Gap analysis
Cargando…
Cargando…
CISO · 114 de 103 controles esperados
| Control | Norma | Requisito | Aplicab. | Estado | Severidad | Owner | WP |
|---|---|---|---|---|---|---|---|
| EN 319 401 §7.9.1 (REQ-7.9.1-01) | 401-general-tsp | Establecer mecanismos para detectar incidentes y permitir la monitorización y logging continuo de actividades en redes/SI (referencia a ISO/IEC 27002:2022 §8.16, §5.24-5.28, §6.8). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-02) | 401-general-tsp | La monitorización debe considerar la sensibilidad de la información recabada. | Recomendada | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-03) | 401-general-tsp | Las actividades anómalas (incl. intrusiones) deben detectarse y reportarse como alarmas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-04) | 401-general-tsp | Mantener y revisar logs de tráfico, gestión de usuarios/permisos, accesos, autenticación, administración, cambios en ficheros críticos, eventos de seguridad, uso de recursos, accesos físicos y eventos ambientales. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-05) | 401-general-tsp | Monitorizar los sistemas, incluida la revisión de audit logs, con mecanismos automáticos para procesar logs y alertar sobre eventos críticos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-06) | 401-general-tsp | Establecer procedimientos y herramientas para monitorizar y registrar actividades, detectar incidentes y mitigar el impacto. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-07) | 401-general-tsp | La monitorización debe automatizarse y realizarse continuamente o a intervalos en la medida de lo posible. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-08) | 401-general-tsp | Implementar la monitorización minimizando falsos positivos y negativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-09) | 401-general-tsp | Establecer una lista de activos sometidos a logging según la evaluación de riesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-10) | 401-general-tsp | Revisar regularmente los logs en busca de tendencias inusuales o no deseadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (PRO-7.9.1-11) | 401-general-tsp | Establecer valores adecuados para los umbrales de las alarmas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (PRO-7.9.1-12) [CONDITIONAL] | 401-general-tsp | Si se sobrepasan los umbrales, dispararse alarma automáticamente cuando proceda. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (PRO-7.9.1-13) | 401-general-tsp | Asegurar que ante una alarma se inicia una respuesta cualificada en plazo. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-14) | 401-general-tsp | Mantener y respaldar los logs un periodo predefinido y protegerlos frente a cambios o accesos no autorizados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-15) | 401-general-tsp | Sincronizar las fuentes de tiempo de todos los sistemas para correlación de logs en la medida de lo posible. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-16) | 401-general-tsp | Mantener inventario de activos con logging y asegurar la redundancia de los sistemas de monitorización/logging. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-17) | 401-general-tsp | Establecer un sistema independiente para monitorizar la disponibilidad de los sistemas de monitorización/logging. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.1 (REQ-7.9.1-18) | 401-general-tsp | Revisar y actualizar los procedimientos y la lista de activos a intervalos regulares y tras incidentes significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-01) | 401-general-tsp | Establecer e implementar una política de gestión de incidentes con roles, responsabilidades y procedimientos de detección, contención, respuesta, recuperación, documentación y reporte. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-02) | 401-general-tsp | Cumplir con las obligaciones de notificación de los marcos legislativos aplicables (DORA, CER, eIDAS art. 19a/24(2)(fb), CRA, DSA, DGA, NIS2, etc.). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-03) | 401-general-tsp | Informar a los stakeholders sobre incidentes según los planes de comunicación acordados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-04) | 401-general-tsp | Mantener planes de comunicación efectivos con categorización de incidentes, escalado y protocolos estandarizados de reporte. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-05) | 401-general-tsp | Asegurar que el personal cuenta con las competencias necesarias para detectar y responder a incidentes. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-06) | 401-general-tsp | Mantener documentación comprensiva durante todo el proceso de detección y respuesta. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-07) | 401-general-tsp | Establecer interfaces claras entre la gestión de incidentes y la continuidad de negocio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-08) | 401-general-tsp | Probar y revisar regularmente y tras incidentes los roles, responsabilidades y procedimientos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-09) | 401-general-tsp | Atender cualquier vulnerabilidad crítica no abordada previamente en un plazo de 48 horas tras su descubrimiento. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-10) [CHOICE] | 401-general-tsp | Para cualquier vulnerabilidad: implementar un plan de mitigación o documentar la base factual de no remediarla. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-11) | 401-general-tsp | Aplicar los procedimientos de reporte y respuesta para minimizar daños por incidentes y malfuncionamientos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-12) | 401-general-tsp | Designar personal en trusted role para hacer follow-up de alertas potencialmente críticas y reportar incidentes. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-13) | 401-general-tsp | La política de incidentes debe ser coherente con la continuidad y recuperación, e incluir categorización, planes de comunicación, asignación de roles y documentos operativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-14) | 401-general-tsp | Probar y revisar la política a intervalos planificados y tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-15) | 401-general-tsp | Responder a incidentes según los procedimientos documentados y en plazo. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-16) | 401-general-tsp | Los procedimientos de respuesta deben incluir contención, erradicación y recuperación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-17) | 401-general-tsp | Establecer planes y procedimientos de comunicación con CSIRTs/autoridades y entre el personal del TSP y stakeholders externos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-18) | 401-general-tsp | Registrar las actividades de respuesta conforme a los procedimientos de monitorización/logging. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.2 (REQ-7.9.2-19) | 401-general-tsp | Probar a intervalos planificados los procedimientos de respuesta. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-01) | 401-general-tsp | Notificar a las partes apropiadas las brechas de seguridad o pérdidas de integridad significativas en un plazo de 24 horas tras su identificación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-02) | 401-general-tsp | Notificar sin demora a la persona física o jurídica afectada cuando la brecha pueda perjudicarle. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-03) | 401-general-tsp | Establecer un procedimiento simple para que personal, contratistas y clientes reporten posibles incidentes. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-04) | 401-general-tsp | Comunicar el procedimiento de reporte a contratistas y clientes y formarles sobre cómo dirigirse al punto de contacto. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-05) | 401-general-tsp | Implementar un mecanismo simple para que empleados, proveedores y clientes reporten eventos sospechosos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (PRO-7.9.3-06) [CONDITIONAL] | 401-general-tsp | Si se implementa, comunicar el mecanismo a proveedores/clientes y formar regularmente a los empleados sobre su uso. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-07) | 401-general-tsp | Considerar significativo un incidente si cumple uno o más de los criterios listados (pérdidas financieras, exfiltración, daño a personas, indisponibilidad del servicio, accesos comprometidos, etc.). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-08) | 401-general-tsp | Las interrupciones programadas y sus consecuencias planificadas no se consideran incidentes significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-09) | 401-general-tsp | Para calcular usuarios impactados, considerar clientes con contrato y personas asociadas a clientes empresariales. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.3 (REQ-7.9.3-10) | 401-general-tsp | Considerar incidentes individuales no significativos como uno significativo si son recurrentes (≥2 en 6 meses, misma causa raíz y suman umbrales financieros). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.4 (REQ-7.9.4-01) | 401-general-tsp | Analizar los eventos reportados y evaluar su severidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.4 (REQ-7.9.4-02) | 401-general-tsp | Reevaluar y reclasificar eventos en función de nuevos inputs. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.4 (REQ-7.9.4-03) | 401-general-tsp | Evaluar eventos sospechosos para determinar si constituyen incidentes y, en su caso, su naturaleza y severidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.4 (REQ-7.9.4-04) | 401-general-tsp | Para la evaluación de eventos: realizar el análisis con criterios predefinidos y triage, evaluar recurrencias trimestralmente, revisar logs, correlación, y reclasificar con nueva información. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-01) | 401-general-tsp | Mantener informado al TSP sobre vulnerabilidades técnicas de los sistemas que utiliza. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-02) | 401-general-tsp | Evaluar la exposición a dichas vulnerabilidades y tomar medidas (referencia a ISO/IEC 27002:2022 §8.8). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-03) | 401-general-tsp | Identificar la causa raíz de cada incidente y realizar una post-incident review que pueda derivar en medidas para evitar la recurrencia. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-04) | 401-general-tsp | Asegurar que cada incidente pasado dio lugar a una post-incident review. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (PRO-7.9.5-05) | 401-general-tsp | Cuando proceda, realizar post-incident reviews tras la recuperación. | Recomendada | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (PRO-7.9.5-06) | 401-general-tsp | Las post-incident reviews deben identificar la causa raíz cuando sea posible y producir lecciones aprendidas documentadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-07) | 401-general-tsp | Asegurar que las post-incident reviews contribuyen a mejorar la seguridad, las medidas de tratamiento de riesgos y los procedimientos de incidentes. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.9.5 (REQ-7.9.5-08) | 401-general-tsp | Revisar a intervalos planificados si los incidentes condujeron efectivamente a post-incident reviews. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.1 (REQ-7.11.1-01) | 401-general-tsp | Mantener copias de seguridad y recursos suficientes (incluyendo personal, instalaciones y SI) para asegurar redundancia conforme al análisis de riesgos y al plan de continuidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.1 (REQ-7.11.1-02) | 401-general-tsp | En caso de desastre (incluido el compromiso de claves privadas o credenciales), restaurar las operaciones dentro del plazo establecido tras abordar las causas (referencia a ISO/IEC 27002:2022 §5.29-§5.30, §8.13). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.1 (REQ-7.11.1-03) | 401-general-tsp | Asegurar disponibilidad mediante redundancia parcial al menos de redes/SI, activos, personal y canales de comunicación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.1 (REQ-7.11.1-04) | 401-general-tsp | Documentar los resultados de las pruebas y aplicar acciones correctivas cuando proceda. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-01) | 401-general-tsp | Mantener un plan de backup y actualizarlo regularmente. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-02) | 401-general-tsp | El plan de backup debe contemplar tiempos de recuperación, integridad y completitud, almacenamiento off-site, controles físicos/lógicos, procesos de restauración con aprobación y períodos de retención. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-03) | 401-general-tsp | Realizar comprobaciones regulares de integridad sobre las copias. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-04) | 401-general-tsp | Probar a intervalos planificados la recuperación de copias y redundancias y aplicar acciones correctivas; documentar los resultados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.2 (PRO-7.11.2-05) | 401-general-tsp | Cuando proceda, asegurar que la monitorización y ajuste de recursos refleja debidamente las necesidades de backup y redundancia. | Recomendada | TBD | TBD | — | — |
| EN 319 401 §7.11.2 (REQ-7.11.2-06) | 401-general-tsp | Realizar pruebas regulares de recuperación de backups y redundancias para confirmar que pueden ser fiables en condiciones reales. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.3 (REQ-7.11.3-01) | 401-general-tsp | Establecer procesos de gestión de crisis que cubran roles, comunicación con autoridades competentes y aplicación de controles para mantener seguridad de redes/SI en crisis. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.3 (REQ-7.11.3-02) | 401-general-tsp | Implementar un proceso para gestionar y aprovechar la información recibida del CSIRT nacional (o autoridades competentes) sobre incidentes, vulnerabilidades, amenazas o medidas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.3 (REQ-7.11.3-03) | 401-general-tsp | Probar y revisar el plan de gestión de crisis a intervalos planificados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.11.3 (REQ-7.11.3-04) | 401-general-tsp | Actualizar el plan de gestión de crisis tras incidentes/cambios significativos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-01) | 401-general-tsp | Minimizar las disrupciones a suscriptores y relying parties como consecuencia del cese, manteniendo en particular la información necesaria para verificar la corrección de los servicios. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-02) | 401-general-tsp | Disponer de un plan de cese actualizado. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-03) | 401-general-tsp | Antes del cese, informar a suscriptores, otras entidades con relación contractual y autoridades como el supervisor. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-04) | 401-general-tsp | Antes del cese, hacer disponible la información del cese a otras relying parties. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-05) | 401-general-tsp | Antes del cese, retirar la autorización a todos los subcontratistas que actúen en nombre del TSP en la emisión de tokens. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-06) | 401-general-tsp | Antes del cese, transferir las obligaciones a una parte fiable para mantener accesible la información necesaria como evidencia, salvo que pueda demostrarse que el TSP no la posee. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-07) | 401-general-tsp | Antes del cese, destruir o retirar de uso las claves privadas del TSP (incluidas las copias de seguridad) de forma irrecuperable. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-08) | 401-general-tsp | Antes del cese, en lo posible, gestionar la transferencia de la prestación de los servicios a otro TSP. | Recomendada | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-09) | 401-general-tsp | Disponer de un acuerdo para cubrir los costes mínimos del cese en caso de quiebra u otra causa que impida cubrirlos por sí mismo, en lo posible dentro de la legislación aplicable. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-10) | 401-general-tsp | Indicar en las prácticas las disposiciones del cese, incluyendo notificación a entidades afectadas y, en su caso, transferencia de obligaciones a otras partes. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.12 (REQ-7.12-11) | 401-general-tsp | Mantener o transferir a una parte fiable la obligación de hacer disponibles a relying parties la clave pública o los tokens del TSP durante un periodo razonable. | Obligatoria | TBD | TBD | — | — |
| A.5.24 | 27001-sgsi | Planificación y preparación de la gestión de incidentes | Obligatoria | TBD | TBD | — | — |
| A.5.25 | 27001-sgsi | Evaluación y decisión sobre eventos de seguridad | Obligatoria | TBD | TBD | — | — |
| A.5.26 | 27001-sgsi | Respuesta a incidentes de seguridad | Obligatoria | TBD | TBD | — | — |
| A.5.27 | 27001-sgsi | Aprendizaje de los incidentes | Obligatoria | TBD | TBD | — | — |
| A.5.28 | 27001-sgsi | Recopilación de evidencias | Obligatoria | TBD | TBD | — | — |
| A.5.29 | 27001-sgsi | Seguridad de la información durante interrupción | Obligatoria | TBD | TBD | — | — |
| A.5.30 | 27001-sgsi | Preparación de TIC para continuidad del negocio (NUEVO 2022) | Obligatoria | TBD | TBD | — | — |
| eIDAS §19.1 | eidas-legales | Adoptar medidas técnicas y organizativas adecuadas para gestionar riesgos | Obligatoria | TBD | TBD | — | — |
| eIDAS §19.1 (2) | eidas-legales | Adoptar medidas para evitar y reducir impacto de incidentes; informar a afectados | Obligatoria | TBD | TBD | — | — |
| eIDAS §19.2 | eidas-legales | Notificar al supervisor violaciones de seguridad o pérdida de integridad — **plazo 24 h** | Obligatoria | TBD | TBD | — | — |
| eIDAS §19.2 (2) | eidas-legales | Notificar a la persona afectada cuando proceda | Obligatoria | TBD | TBD | — | — |
| eIDAS §19.2 (3) | eidas-legales | Notificar a otros organismos relevantes (CSIRT, autoridad protección datos) | Obligatoria | TBD | TBD | — | — |
| Ley 6/2020 §13.3 | eidas-legales | Notificación complementaria al supervisor — **plazo 1 mes** tras la inicial y tras la resolución | Obligatoria | TBD | TBD | — | — |
| Ley 6/2020 §13.2 | eidas-legales | Tomar medidas necesarias para resolver incidentes | Obligatoria | TBD | TBD | — | — |
| Ley 6/2020 §18.3.f | eidas-legales | Incumplir notificación de incidentes — **infracción grave** (multa 50.001-150.000 €) | Información | TBD | TBD | — | — |
| eIDAS §24.2.h | eidas-legales | Registrar y mantener accesible información relevante (incluso tras cese) — para prueba | Obligatoria | TBD | TBD | — | — |
| Ley 6/2020 §9.3.a | eidas-legales | **Conservación 15 años** desde extinción del certificado o finalización del servicio | Obligatoria | TBD | TBD | — | — |
| eIDAS §24.2.i | eidas-legales | Plan de cese actualizado verificado por supervisor | Obligatoria | TBD | TBD | — | — |
| Ley 6/2020 §9.3.c | eidas-legales | Comunicar cese a clientes y supervisor con **2 meses** de antelación | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.b (INC-01) | nis2 | Gestión de incidentes (detección, análisis, contención, respuesta, recuperación). Procedimiento documentado con roles claros y plazos. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.c (BCP-01) | nis2 | Continuidad de negocio: gestión de copias de seguridad y de recuperación, gestión de crisis. Plan BCP/DRP probado periódicamente (al menos anual). | Obligatoria | TBD | TBD | — | — |
| NIS2 §23.4.a (NOT-24H) | nis2 | **Alerta temprana en 24 horas** al CSIRT o autoridad competente, indicando si se sospecha actuación maliciosa o transfronteriza. Procedimiento documentado, plantilla preparada, canal con CCN-CERT / INCIBE-CERT operativo 24/7. | Obligatoria | TBD | TBD | — | — |
| NIS2 §23.4.b (NOT-72H) | nis2 | **Notificación de incidente en 72 horas**, con evaluación inicial: gravedad, impacto, indicadores de compromiso. Coordinada con la notificación eIDAS §19.2 (24h) y RGPD §33 (72h) si hay datos personales. | Obligatoria | TBD | TBD | — | — |
| NIS2 §23.4.c (NOT-INT) | nis2 | Informe intermedio cuando lo solicite el CSIRT/autoridad. Capacidad de proporcionar actualizaciones del estado del incidente. | Obligatoria | TBD | TBD | — | — |
| NIS2 §23.4.d (NOT-1M) | nis2 | **Informe final en 1 mes** desde la notificación inicial: descripción detallada del incidente, gravedad e impacto, tipo de amenaza/causa raíz, medidas de mitigación aplicadas y en curso, repercusión transfronteriza si la hay. | Obligatoria | TBD | TBD | — | — |
| NIS2 §23.2 (NOT-USUARIOS) | nis2 | Cuando proceda, notificación sin demora indebida a los destinatarios de los servicios afectados por incidentes significativos que puedan afectar negativamente a la prestación. Coordinada con eIDAS §19.2 y RGPD §34. | Obligatoria | TBD | TBD | — | — |
| NIS2 §23.3 (UMBRAL-INC) | nis2 | Definición operativa de "incidente significativo" — los que cumplen alguno de: causan o pueden causar grave perturbación operativa o pérdida financiera; afectan o pueden afectar a otras personas físicas o jurídicas con daños materiales o inmateriales considerables. Criterios documentados. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II op.exp.7 (INC-QTSP) | ens-impacto-qtsp | Gestión de incidentes: el procedimiento ENS existente debe incorporar los incidentes específicos del QTSP (compromiso de clave del TSU, drift UTC fuera de umbral, fallo de sello QERDS, intrusión en sala criptográfica) y su escalado coordinado con eIDAS §19.2 (24h) y NIS2 §23 (24h alerta / 72h notif). | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II op.exp.10 (REG-QTSP) | ens-impacto-qtsp | Protección de registros de actividad. Para sistemas QTSP en nivel Alto: WORM o equivalente, hash chain firmado, custodia 15 años (Ley 6/2020 §9.3.a) — más estricto que el mínimo ENS general. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II op.cont.4 (CONT-QTSP) | ens-impacto-qtsp | Pruebas periódicas del plan de continuidad incluyendo escenarios QTSP: pérdida del TSU primario y conmutación a secundario, recuperación de evidencias QERDS desde backup, ceremonia de recuperación de clave. Frecuencia mínima anual para ENS Alto. | Obligatoria | TBD | TBD | — | — |