Gap analysis
Cargando…
Cargando…
CISO + Sponsor · 177 de 156 controles esperados
| Control | Norma | Requisito | Aplicab. | Estado | Severidad | Owner | WP |
|---|---|---|---|---|---|---|---|
| EN 319 401 §4.2 (REQ-4.2-01) | 401-general-tsp | Al implementar los requisitos, el TSP debe tener en cuenta exposición al riesgo, tamaño, probabilidad e impacto de incidentes. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §4.2 (REQ-4.2-02) | 401-general-tsp | Los requisitos marcados [PRO] se implementan según criterios de proporcionalidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §4.2 (REQ-4.2-03) | 401-general-tsp | Documentar el análisis de aplicabilidad de requisitos como parte del marco de gestión de riesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §4.2 (REQ-4.2-04) | 401-general-tsp | Mantener el análisis y resultados como parte de la documentación de evaluación de riesgos y a disposición de las autoridades. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §4.2 (REQ-4.2-05) | 401-general-tsp | No descartar requisitos PRO sin justificación adecuada, independientemente del tamaño o alcance del TSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §4.2 (REQ-4.2-06) | 401-general-tsp | Garantizar que el efecto acumulado de los PRO no aplicados no comprometa la postura de seguridad global. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-01) | 401-general-tsp | Realizar y documentar evaluaciones de riesgos, plan de tratamiento, procesos de gestión de ciberriesgos, marco de riesgos para redes/SI y revisión anual o tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-02) | 401-general-tsp | Establecer, implementar y monitorizar un plan de tratamiento del riesgo proporcional al riesgo (referencia a ISO/IEC 27005:2022). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-03) | 401-general-tsp | Determinar todos los requisitos de seguridad y procedimientos operativos necesarios para implementar las medidas de tratamiento, documentados en la política de seguridad y en el TSP Practice Statement. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-04) | 401-general-tsp | Revisar y actualizar la evaluación y el plan de tratamiento al menos anualmente y tras cambios o incidentes significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-05) | 401-general-tsp | Los órganos de dirección (o responsables con autoridad) deben aprobar el marco de evaluación de riesgos y aceptar el riesgo residual. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-06) | 401-general-tsp | Al priorizar opciones de tratamiento, considerar resultados de la evaluación, eficacia, coste/beneficio, clasificación de activos y BIA. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-07) | 401-general-tsp | Aplicar metodología de gestión de riesgos: tolerancia/apetito, criterios, identificación all-hazards (incluye terceros), análisis con threat intelligence, evaluación, priorización, monitorización continua, asignación de responsables y documentación de tratamiento y aceptación del residual. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §5 (REQ-5-08) | 401-general-tsp | Determinar qué medidas se monitorizan/miden, métodos, frecuencia, responsables y análisis de resultados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-01) | 401-general-tsp | El TSP debe especificar el conjunto de políticas y prácticas adecuadas a los servicios prestados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-02) | 401-general-tsp | El conjunto de políticas y prácticas debe ser aprobado por la dirección, publicado y comunicado a empleados y partes externas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-03) | 401-general-tsp | Disponer de un Practice Statement que cubra los requisitos de la trust service policy aplicable. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-04) | 401-general-tsp | El Practice Statement debe identificar las obligaciones de todas las organizaciones externas que dan soporte a los servicios. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-05) | 401-general-tsp | Hacer disponibles a suscriptores y relying parties el Practice Statement y la documentación necesaria para demostrar conformidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-06) | 401-general-tsp | Existir un órgano de dirección con responsabilidad global del TSP y autoridad final para aprobar el Practice Statement. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-07) | 401-general-tsp | La dirección debe implementar las prácticas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-08) | 401-general-tsp | Definir un proceso de revisión del Practice Statement, incluyendo responsabilidades de mantenimiento. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-09) [CONDITIONAL] | 401-general-tsp | Notificar adecuadamente a suscriptores y relying parties los cambios que puedan afectar a la aceptación del servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-10) | 401-general-tsp | Hacer disponible inmediatamente el Practice Statement revisado tras su aprobación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.1 (REQ-6.1-11) | 401-general-tsp | Indicar en las prácticas las disposiciones para la terminación del servicio (referencia a §7.12). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.2 (REQ-6.2-01) | 401-general-tsp | Hacer disponibles los términos y condiciones del servicio a todos los suscriptores y relying parties. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.2 (REQ-6.2-02) | 401-general-tsp | Los T&C deben especificar al menos política aplicada, limitaciones, obligaciones del suscriptor, información a relying parties, retención de logs, limitaciones de responsabilidad, sistema legal aplicable, procedimientos de quejas, conformidad con el esquema de evaluación, contacto y compromisos de disponibilidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.2 (REQ-6.2-03) | 401-general-tsp | Informar a suscriptores y relying parties de los términos de forma clara, comprensible y accesible públicamente antes de la relación contractual. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.2 (REQ-6.2-04) | 401-general-tsp | Los T&C deben distribuirse por un medio de comunicación duradero. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.2 (REQ-6.2-05) | 401-general-tsp | Los T&C deben estar disponibles en lenguaje fácilmente comprensible. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.2 (REQ-6.2-06) | 401-general-tsp | Los T&C pueden transmitirse electrónicamente. | Recomendada | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-01) | 401-general-tsp | Definir una política de seguridad de redes y SI aprobada por dirección, alineada con la estrategia de negocio, con objetivos, mejora continua, recursos, comunicación, roles, retención documental, políticas específicas, indicadores y fecha de aprobación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-02) | 401-general-tsp | Comunicar los cambios de la política a terceros relevantes (suscriptores, relying parties, organismos supervisores y de evaluación). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-03) | 401-general-tsp | La política debe estar documentada, implementada y mantenida; revisada y actualizada al menos anualmente y tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-04) | 401-general-tsp | Notificar al organismo supervisor cambios importantes en la prestación (al menos un mes antes del cambio) y la cesación (al menos tres meses antes). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-05) | 401-general-tsp | Publicar y comunicar la política a todos los empleados afectados (referencia a ISO/IEC 27002:2022 §5.1). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-06) | 401-general-tsp | Revisar periódicamente, al menos anualmente, la política y el inventario de activos para asegurar idoneidad y eficacia. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-07) | 401-general-tsp | Los cambios que afecten al nivel de seguridad deben ser aprobados por el órgano de dirección de §6.1-07. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-08) | 401-general-tsp | Comprobar regularmente la configuración de los sistemas para detectar cambios que violen la política de seguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §6.3 (REQ-6.3-09) | 401-general-tsp | Documentar en el Practice Statement el intervalo máximo entre dos comprobaciones. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.1 (REQ-7.1.1-01) | 401-general-tsp | Definir y asignar responsabilidades y autoridades para la seguridad de redes y SI; comunicarlas a los órganos de dirección. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.1 (REQ-7.1.1-02) | 401-general-tsp | Exigir a personal y terceros aplicar la seguridad de redes y SI conforme a la política, políticas específicas y procedimientos del TSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.1 (REQ-7.1.1-03) | 401-general-tsp | Al menos una persona debe reportar directamente a la dirección sobre seguridad de redes y SI. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.1 (PRO-7.1.1-04) | 401-general-tsp | Según el tamaño del TSP, cubrir la seguridad mediante roles dedicados o duties asignados a roles existentes; documentarlo en el plan de gestión de riesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.1 (REQ-7.1.1-05) | 401-general-tsp | Revisar roles, responsabilidades y autoridades a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-01) | 401-general-tsp | La organización del TSP debe ser confiable. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-02) | 401-general-tsp | Las prácticas del TSP no deben ser discriminatorias. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-03) | 401-general-tsp | Hacer accesibles los servicios a todos los solicitantes cuya actividad cae dentro del ámbito declarado y que aceptan los T&C. | Recomendada | TBD | TBD | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-04) | 401-general-tsp | Mantener recursos financieros suficientes y/o seguro de responsabilidad civil adecuado conforme a la ley aplicable (referencia a art. 13 Reglamento (UE) 910/2014). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-05) | 401-general-tsp | Tener la estabilidad financiera y los recursos necesarios para operar conforme a esta política. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.2 (REQ-7.1.2-06) | 401-general-tsp | Disponer de políticas y procedimientos para resolver quejas y disputas de clientes y relying parties. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.1.3 (REQ-7.1.3-01) | 401-general-tsp | Segregar deberes y responsabilidades en conflicto para reducir oportunidades de uso indebido o modificación no autorizada de los activos del TSP (referencia a ISO/IEC 27002:2022 §5.3). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.13 (REQ-7.13-01) | 401-general-tsp | El TSP debe operar de forma legal y confiable. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.13 (REQ-7.13-02) | 401-general-tsp | Aportar evidencia de cómo se cumplen los requisitos legales aplicables. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.13 (REQ-7.13-03) | 401-general-tsp | Hacer accesibles los servicios y productos finales a personas con discapacidad cuando sea factible. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.13 (REQ-7.13-04) | 401-general-tsp | Tener en cuenta las normas de accesibilidad aplicables (referencia a ETSI EN 301 549). | Recomendada | TBD | TBD | — | — |
| EN 319 401 §7.13 (REQ-7.13-05) | 401-general-tsp | Aplicar medidas técnicas y organizativas adecuadas frente al tratamiento no autorizado/ilegal de datos personales y frente a la pérdida o destrucción accidental (referencia a Reglamento (UE) 2016/679 — RGPD; ISO/IEC 27701:2019). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.13 (REQ-7.13-06) | 401-general-tsp | Disponer de un sistema efectivo de reporte de cumplimiento adecuado a la estructura/entorno y capaz de informar a la dirección sobre el estado de gestión de riesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.1 OVR-6.1-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 5 (risk assessment) — sin requisitos adicionales. Ver matriz 401. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 6.1 (TSPS) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-02 | 421-qtsa-policy | El TSPS especificará al menos: a) algoritmo(s) de hash; b) exactitud respecto a UTC; c) limitaciones de uso; d) obligaciones de suscriptores; e) obligaciones de RP; f) cómo verificar el sello y limitaciones de validez; g) reclamaciones de cumplimiento bajo derecho nacional. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-03 | 421-qtsa-policy | El TSA debería incluir información sobre disponibilidad del servicio (MTBF, MTTR, recuperación). | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-04 | 421-qtsa-policy | El disclosure statement puede crearse según plantilla del Anexo B. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-05 | 421-qtsa-policy | El disclosure statement puede formar parte del acuerdo con suscriptor/RP. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-06 | 421-qtsa-policy | El disclosure statement puede incluirse en el TSA practice statement si es visible al lector. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.3 OVR-6.3-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 6.2 (Terms and conditions). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.4 OVR-6.4-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 6.3 (Information security policy). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.6 OVR-6.6-01 | 421-qtsa-policy | Los términos y condiciones a RP incluirán la obligación de: a) verificar firma del sello y no compromiso de la clave hasta el momento de verificación; b) tener en cuenta limitaciones de uso del sello; c) considerar otras precauciones acordadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.2 OVR-7.2-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 7.1 (Internal organization). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.2 OVR-7.2-02 | 421-qtsa-policy | El TSA debe ser una entidad legal según ley nacional. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.2 OVR-7.2-03 | 421-qtsa-policy | El TSA debe contar con sistema(s) de gestión de calidad y seguridad de la información apropiados para el servicio de sellado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.2 OVR-7.2-04 | 421-qtsa-policy | Personal suficiente con educación, formación, conocimientos técnicos y experiencia adecuados al volumen del servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.3 OVR-7.3-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 7.2 (Personnel security) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.4 OVR-7.4-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 7.3 (Asset management) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.5 OVR-7.5-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 7.4 (Access control) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 7.6 (Physical and environmental security) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-02 | 421-qtsa-policy | Aplicar controles de acceso al dispositivo criptográfico seguro acordes con cl. 7.6. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-03 | 421-qtsa-policy | Operar las instalaciones de gestión del sellado en entorno que protege física y lógicamente el servicio frente a accesos no autorizados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-04 | 421-qtsa-policy | Toda entrada al área físicamente segura sujeta a supervisión independiente. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-05 | 421-qtsa-policy | Personas no autorizadas deben ir acompañadas en el área segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-06 | 421-qtsa-policy | Registrar todas las entradas y salidas del área físicamente segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-07 | 421-qtsa-policy | Crear perímetros físicos de seguridad alrededor de la gestión del sellado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-08 | 421-qtsa-policy | Las áreas compartidas con terceros deben quedar fuera del perímetro. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-09 | 421-qtsa-policy | Los controles físicos y ambientales protegerán las instalaciones, recursos y soportes del servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-10 | 421-qtsa-policy | La política físico-ambiental debe abordar al menos: control de acceso, desastres naturales, fuego, fallos de utilities, colapso, fugas, robo y recuperación de desastres. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-11 | 421-qtsa-policy | Controles que impidan la salida no autorizada de equipos, información, soportes y software. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-12 | 421-qtsa-policy | Otras funciones pueden compartir el área segura siempre que el acceso quede limitado al personal autorizado. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.9 OVR-7.9-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 7.7 (Operation security) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.9 OVR-7.9-02 | 421-qtsa-policy | Monitorizar la demanda de capacidad y proyectar requisitos futuros para asegurar potencia y almacenamiento adecuados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.10 OVR-7.10-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 7.8 (Network security) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.10 OVR-7.10-02 | 421-qtsa-policy | Mantener todos los sistemas TSU en zona segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.10 OVR-7.10-03 | 421-qtsa-policy | Configurar los sistemas TSU eliminando o deshabilitando cuentas, aplicaciones, servicios, protocolos y puertos no usados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.10 OVR-7.10-04 | 421-qtsa-policy | Sólo roles de confianza pueden acceder a zonas seguras y de alta seguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.11 OVR-7.11-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 7.9 (Incident management) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 7.10 (Collection of evidence) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-02 | 421-qtsa-policy | Registrar todos los eventos del ciclo de vida de claves del TSU. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-03 | 421-qtsa-policy | Registrar todos los eventos del ciclo de vida de los certificados del TSU (si aplica). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-04 | 421-qtsa-policy | Registrar todos los eventos relativos a sincronización del reloj del TSU con UTC. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-05 | 421-qtsa-policy | Los registros incluirán información sobre re-calibraciones o sincronizaciones normales del reloj. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-06 | 421-qtsa-policy | Registrar todos los eventos relativos a detección de pérdida de sincronización. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 7.11 (Business continuity) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-02 | 421-qtsa-policy | El plan DRP del TSA debe abordar el compromiso o sospecha de compromiso de claves privadas del TSU o pérdida de calibración del reloj. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-03 | 421-qtsa-policy | [CONDITIONAL] En caso de compromiso, sospecha o pérdida de calibración al emitir sellos, el TSA pondrá a disposición de suscriptores y RP una descripción del compromiso ocurrido. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-04 | 421-qtsa-policy | [CONDITIONAL] En caso de compromiso de un TSU (p. ej. compromiso de clave), sospecha o pérdida de calibración, el TSU no debe emitir sellos hasta recuperarse del compromiso. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-05 | 421-qtsa-policy | [CONDITIONAL] En caso de compromiso mayor o pérdida de calibración, el TSA pondrá a disposición de suscriptores y RP información que permita identificar los sellos posiblemente afectados (salvo que afecte a privacidad/seguridad). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.15 OVR-7.15-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 7.13 (Compliance) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.16 OVR-7.16-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 7.14 (Supply chain) — sin adición. | Obligatoria | TBD | TBD | — | — |
| 27001 §4.1 | 27001-sgsi | Determinar el contexto de la organización | Obligatoria | TBD | TBD | — | — |
| 27001 §4.2 | 27001-sgsi | Identificar partes interesadas y sus requisitos | Obligatoria | TBD | TBD | — | — |
| 27001 §4.3 | 27001-sgsi | Definir el alcance del SGSI documentado | Obligatoria | TBD | TBD | — | — |
| 27001 §4.4 | 27001-sgsi | Establecer, implementar, mantener y mejorar el SGSI | Obligatoria | TBD | TBD | — | — |
| 27001 §5.1 | 27001-sgsi | Liderazgo y compromiso de la alta dirección | Obligatoria | TBD | TBD | — | — |
| 27001 §5.2 | 27001-sgsi | Política de seguridad de la información aprobada | Obligatoria | TBD | TBD | — | — |
| 27001 §5.3 | 27001-sgsi | Roles y responsabilidades asignadas y comunicadas | Obligatoria | TBD | TBD | — | — |
| 27001 §6.1.2 | 27001-sgsi | Proceso de evaluación de riesgos definido | Obligatoria | TBD | TBD | — | — |
| 27001 §6.1.3 | 27001-sgsi | Proceso de tratamiento de riesgos + Declaración de Aplicabilidad (SoA) | Obligatoria | TBD | TBD | — | — |
| 27001 §6.2 | 27001-sgsi | Objetivos de seguridad de la información medibles | Obligatoria | TBD | TBD | — | — |
| 27001 §6.3 | 27001-sgsi | Planificación de cambios al SGSI | Obligatoria | TBD | TBD | — | — |
| 27001 §7.1 | 27001-sgsi | Recursos asignados al SGSI | Obligatoria | TBD | TBD | — | — |
| 27001 §7.2 | 27001-sgsi | Competencia (formación + evidencia) | Obligatoria | TBD | TBD | — | — |
| 27001 §7.3 | 27001-sgsi | Sensibilización del personal | Obligatoria | TBD | TBD | — | — |
| 27001 §7.4 | 27001-sgsi | Comunicación interna y externa | Obligatoria | TBD | TBD | — | — |
| 27001 §7.5 | 27001-sgsi | Información documentada controlada | Obligatoria | TBD | TBD | — | — |
| 27001 §8.1 | 27001-sgsi | Planificación y control operacional | Obligatoria | TBD | TBD | — | — |
| 27001 §8.2 | 27001-sgsi | Evaluación de riesgos periódica | Obligatoria | TBD | TBD | — | — |
| 27001 §8.3 | 27001-sgsi | Tratamiento de riesgos ejecutado | Obligatoria | TBD | TBD | — | — |
| 27001 §9.1 | 27001-sgsi | Seguimiento, medición, análisis y evaluación | Obligatoria | TBD | TBD | — | — |
| 27001 §9.2 | 27001-sgsi | Auditoría interna programada y ejecutada | Obligatoria | TBD | TBD | — | — |
| 27001 §9.3 | 27001-sgsi | Revisión por la dirección periódica | Obligatoria | TBD | TBD | — | — |
| 27001 §10.1 | 27001-sgsi | Mejora continua | Obligatoria | TBD | TBD | — | — |
| 27001 §10.2 | 27001-sgsi | No conformidad y acción correctiva | Obligatoria | TBD | TBD | — | — |
| A.5.1 | 27001-sgsi | Políticas para la seguridad de la información | Obligatoria | TBD | TBD | — | — |
| A.5.2 | 27001-sgsi | Roles y responsabilidades | Obligatoria | TBD | TBD | — | — |
| A.5.3 | 27001-sgsi | Segregación de funciones | Obligatoria | TBD | TBD | — | — |
| A.5.4 | 27001-sgsi | Responsabilidades de la dirección | Obligatoria | TBD | TBD | — | — |
| A.5.5 | 27001-sgsi | Contacto con autoridades | Obligatoria | TBD | TBD | — | — |
| A.5.6 | 27001-sgsi | Contacto con grupos de interés especial | Obligatoria | TBD | TBD | — | — |
| A.5.7 | 27001-sgsi | Inteligencia de amenazas (NUEVO 2022) | Obligatoria | TBD | TBD | — | — |
| A.5.8 | 27001-sgsi | Seguridad de la información en gestión de proyectos | Obligatoria | TBD | TBD | — | — |
| eIDAS §20.1 | eidas-legales | Auditoría por CAB acreditado **cada 24 meses como máximo** | Obligatoria | TBD | TBD | — | — |
| eIDAS §20.1 (2) | eidas-legales | Coste a cargo del QTSP | Obligatoria | TBD | TBD | — | — |
| eIDAS §20.1 (3) | eidas-legales | Enviar CAR al supervisor en **3 días hábiles** desde recepción | Obligatoria | TBD | TBD | — | — |
| Ley 6/2020 §9.3.d | eidas-legales | Idem (envío del CAR al Ministerio) — su incumplimiento conlleva retirada de cualificación | Obligatoria | TBD | TBD | — | — |
| eIDAS §20.2 | eidas-legales | Soportar auditoría extraordinaria del supervisor en cualquier momento | Obligatoria | TBD | TBD | — | — |
| eIDAS §20.3 | eidas-legales | Corregir incumplimientos en plazo fijado por supervisor; en su defecto retirada de cualificación | Obligatoria | TBD | TBD | — | — |
| eIDAS §21.1 | eidas-legales | Notificación previa al supervisor con CAR positivo del CAB | Obligatoria | TBD | TBD | — | — |
| eIDAS §21.2 | eidas-legales | Esperar resolución del supervisor — plazo eIDAS: 3 meses | Obligatoria | TBD | TBD | — | — |
| Ley 6/2020 §16.2 | eidas-legales | Plazo nacional España: **6 meses** (silencio negativo) | Obligatoria | TBD | TBD | — | — |
| eIDAS §21.3 | eidas-legales | **No prestar servicio cualificado** hasta aparecer en TSL | Bloqueante | TBD | TBD | — | — |
| eIDAS §22 | eidas-legales | Aparición y mantenimiento en la TSL española | Obligatoria | TBD | TBD | — | — |
| eIDAS §23.1 | eidas-legales | Uso correcto de la etiqueta UE — solo si se está en TSL | Obligatoria | TBD | TBD | — | — |
| eIDAS §23.2 | eidas-legales | Enlace en sitio web a la TSL aplicable | Obligatoria | TBD | TBD | — | — |
| Ley 6/2020 §18.3.b | eidas-legales | Usar la etiqueta sin estar cualificado — **infracción grave** | Información | TBD | TBD | — | — |
| Ley 6/2020 §17.3 | eidas-legales | **Informe anual de actividad** al Ministerio antes del **1 de febrero** de cada año | Obligatoria | TBD | TBD | — | — |
| Ley 6/2020 §17.1 | eidas-legales | Permitir acceso del inspector a instalaciones y documentación | Obligatoria | TBD | TBD | — | — |
| Ley 6/2020 §15.3 | eidas-legales | Asumir coste de pruebas en laboratorio si las requiere el supervisor | Obligatoria | TBD | TBD | — | — |
| RGPD §37 (DPO-01) | rgpd-lopdgdd | Designación formal del Delegado de Protección de Datos (DPO). Obligatorio para Correos por: (a) ser autoridad u organismo público (art. 37.1.a), (b) tratamiento a gran escala de datos en QERDS (art. 37.1.b). | Obligatoria | TBD | TBD | — | — |
| RGPD §37.7 + LOPDGDD §34 (DPO-02) | rgpd-lopdgdd | El DPO debe estar notificado a la AEPD a través del registro oficial. La notificación debe estar vigente y datos de contacto actualizados. | Obligatoria | TBD | TBD | — | — |
| RGPD §38 (DPO-03) | rgpd-lopdgdd | El DPO debe operar con independencia: reporte directo al máximo nivel directivo, recursos suficientes, sin instrucciones sobre cómo desempeñar sus funciones, no debe poder ser despedido o sancionado por desempeñar sus funciones. | Obligatoria | TBD | TBD | — | — |
| RGPD §39 (DPO-04) | rgpd-lopdgdd | Funciones del DPO documentadas y ejecutadas: asesoramiento, supervisión del cumplimiento, asesoría en EIPD, cooperación con la AEPD, punto de contacto. | Obligatoria | TBD | TBD | — | — |
| RGPD §5.2 + §24 (RESP-01) | rgpd-lopdgdd | Principio de responsabilidad proactiva (accountability): Correos debe poder DEMOSTRAR el cumplimiento de RGPD en todo momento. Implica políticas, procedimientos, registros, formación y evidencia documental sistemática. | Obligatoria | TBD | TBD | — | — |
| RGPD §32 (SEG-01) | rgpd-lopdgdd | Medidas técnicas y organizativas apropiadas al riesgo: pseudonimización, cifrado, confidencialidad/integridad/disponibilidad/resiliencia, recuperación tras incidente, evaluación periódica de eficacia. Para QERDS aplica nivel reforzado. | Obligatoria | TBD | TBD | — | — |
| NIS2 §20.1 (GOV-01) | nis2 | Los órganos de dirección (Consejo de Administración de Correos) deben **aprobar** las medidas de ciberseguridad y **supervisar** su implementación. Acta del Consejo aprobando la política de ciberseguridad y los resultados de la última auditoría. | Obligatoria | TBD | TBD | — | — |
| NIS2 §20.1 (GOV-02) | nis2 | **Responsabilidad personal** de los miembros de los órganos de dirección por incumplimientos. Es novedad clave de NIS2 vs NIS1. Asegura que el Consejo no puede delegar la responsabilidad por incumplimiento de medidas de ciberseguridad. | Obligatoria | TBD | TBD | — | — |
| NIS2 §20.2 (GOV-03) | nis2 | Formación periódica del Consejo de Administración en ciberseguridad. Debe ser proporcional al riesgo del sector. Para QTSP, la formación debe cubrir riesgos específicos: compromiso de claves, suplantación, ataques a infraestructura cualificada. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.a (RISK-01) | nis2 | Políticas de análisis de riesgos y de seguridad de los sistemas de información. Solapa con ISO 27001 / EN 319 401 §5 — reutilizar la misma evidencia, pero el régimen sancionador es independiente. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.f (EVAL-01) | nis2 | Políticas y procedimientos para evaluar la **eficacia** de las medidas de gestión de riesgos. Auditorías internas, métricas, indicadores. No basta con tener medidas; hay que probar que funcionan. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.g (HIGIENE-01) | nis2 | Prácticas básicas de ciberhigiene y formación en ciberseguridad para todo el personal. Programa de concienciación anual obligatorio + onboarding. | Obligatoria | TBD | TBD | — | — |
| NIS2 §32.6 (SANC-DIR) | nis2 | Posibilidad de imponer responsabilidad temporal a personas físicas que ejerzan funciones directivas de la entidad (suspensión de la facultad de ejercer funciones directivas). Es la consecuencia personal del control GOV-02. | Obligatoria (riesgo) | TBD | TBD | — | — |
| ENS §40 (CAT-QTSP-01) | ens-impacto-qtsp | Categorización formal de los sistemas QTSA y QERDS en las 5 dimensiones de seguridad: **Confidencialidad, Integridad, Disponibilidad, Autenticidad, Trazabilidad**. Para servicios cualificados QTSP que sirven AAPP, casi seguro nivel **Alto** en las 5 dimensiones (especialmente Integridad y Trazabilidad). Acta del Responsable de la Seguridad documentando la categorización. | Obligatoria | TBD | TBD | — | — |
| ENS §40 (CAT-QTSP-02) | ens-impacto-qtsp | Revisión y actualización del Análisis de Riesgos ENS para incorporar los activos QTSP: HSMs cualificados, claves privadas del TSU y del sello QERDS, evidencias QERDS, registros de identificación. Estos activos tienen valoración Alta en las 5 dimensiones por defecto. | Obligatoria | TBD | TBD | — | — |
| ENS §40 (CAT-QTSP-03) | ens-impacto-qtsp | Actualización de la **Declaración de Aplicabilidad ENS** para reflejar las medidas reforzadas que aplican a los nuevos sistemas QTSP. Coordinación con la SoA de ISO 27001 para evitar incoherencias. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II org.1 (ORG-01-QTSP) | ens-impacto-qtsp | Política de seguridad: actualización para mencionar explícitamente los servicios cualificados QTSA y QERDS y su sujeción al marco ENS. Aprobada por el órgano superior y comunicada. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II org.2 (ORG-02-QTSP) | ens-impacto-qtsp | Normativa de seguridad específica para QTSA y QERDS: procedimientos operativos del TSU, del sello QERDS, de las ceremonias de clave. Integración con la normativa ENS corporativa existente. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II org.3 (ORG-03-QTSP) | ens-impacto-qtsp | Procedimientos de seguridad documentados específicos de QTSP, alineados con ETSI EN 319 401 §7 y otros. Vinculación bidireccional ENS ↔ ETSI. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II org.4 (ORG-04-QTSP) | ens-impacto-qtsp | Proceso de autorización para los nuevos sistemas QTSP previo a su puesta en producción. El Responsable de la Seguridad debe firmar la autorización con base en el análisis de riesgos actualizado y la conformidad de las medidas ENS Alto. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II op.exp.5 (CAMBIOS-QTSP) | ens-impacto-qtsp | Gestión de cambios sobre infraestructura QTSP: cualquier cambio en TSU, configuración del sello QERDS, política CP/CPS o algoritmos criptográficos debe pasar por gestión de cambios ENS formal + comunicación al supervisor eIDAS (Art. 24.2.a). | Obligatoria | TBD | TBD | — | — |