Presupuesto
CAPEX inicial T0–T+18m · OPEX recurrente anual
CAPEX total (T0–T+18m)
602,0 mil € – 1,8 M €
Punto medio realista: 1,2 M €
OPEX anual (post-alta TSL)
550,5 mil € – 1,4 M €
Por año, recurrente
CAPEX por categoría
Hardware224,0 mil € – 471,0 mil €
Software / licencias378,0 mil € – 1,3 M €
OPEX por categoría
Operación e infraestructura260,5 mil € – 949,0 mil €
Personal interno290,0 mil € – 465,0 mil €
CAPEX — detalle de partidas
| Categoría | Partida | Cant. | Subtotal mín | Subtotal máx | Notas |
|---|---|---|---|---|---|
| Hardware | HSM CC EAL 4+ / EN 419 221-5 producción | 2 | 70.000 € | 120.000 € | Modelos típicos: Thales Luna, Utimaco SecurityServer, Entrust nShield. |
| Hardware | HSM DR | 1 | 35.000 € | 60.000 € | Mismo modelo y firmware que producción. |
| Hardware | HSM offline (custodia raíz, ceremonia) | 1 | 8000 € | 15.000 € | Modelo más pequeño aceptable. |
| Hardware | Servidores TSA (físicos o virtuales reforzados) | 4 | 16.000 € | 32.000 € | 2 sites x 2 nodos. |
| Hardware | Servidores QERDS (físicos o virtuales reforzados) | 6 | 24.000 € | 48.000 € | 2 sites x 3 nodos (frontend + engine + storage). |
| Hardware | Storage para evidencias (15 años retención) | 2 sites | 20.000 € | 60.000 € | Cifra cubre primeros 3-5 años; se amplía con OPEX. |
| Hardware | Receptores GNSS + NTP estrato 1 | 2 | 6000 € | 16.000 € | 1 por site. |
| Hardware | Equipos de red (cortafuegos perimetrales, segmentación interna) | — | 30.000 € | 80.000 € | Depende de arquitectura. |
| Hardware | Equipos para sala criptográfica (CCTV, control acceso, detección) | — | 15.000 € | 40.000 € | Solo si se construye nueva. |
| Software / licencias | Software TSA (comercial o desarrollo) | — | 30.000 € | 150.000 € | Ascertia ADSS, EJBCA Enterprise, Cryptomathic, PrimeKey, o desarrollo propio. |
| Software / licencias | Software QERDS (comercial o desarrollo) | — | 50.000 € | 250.000 € | OpenIAM, IGS, Logalty, in-house. |
| Software / licencias | SIEM | — | 15.000 € | 60.000 € | Splunk, Elastic Security, Wazuh+managed. |
| Software / licencias | EDR/XDR endpoints | — | 5000 € | 20.000 € | CrowdStrike, SentinelOne, Microsoft Defender. |
| Software / licencias | Plataforma de gestión de identidades / SSO | — | 8000 € | 25.000 € | Auth0, Keycloak managed, Okta. |
| Software / licencias | Backup y archivado WORM | — | 10.000 € | 30.000 € | NetBackup, Commvault, MinIO+WORM. |
| Software / licencias | Vault de secretos | — | 5000 € | 20.000 € | HashiCorp Vault, CyberArk. |
| Software / licencias | Consultoría externa eIDAS / arquitectura QTSP | — | 80.000 € | 200.000 € | Auditor exQTSP o despacho especializado. |
| Software / licencias | Despacho legal (T&C, EIPD, plan de cese, contratos) | — | 25.000 € | 80.000 € | — |
| Software / licencias | Auditoría CAB inicial (ETSI EN 319 403-1) | — | 30.000 € | 80.000 € | LSTI, AENOR, BSI, EY, KPMG (varía mucho). |
| Software / licencias | Pruebas de penetración (mínimo 2: pre-auditoría y anual) | — | 20.000 € | 50.000 € | — |
| Software / licencias | Identificación remota integración (si remota) | — | 15.000 € | 50.000 € | Veridas, Electronic Identification, Onfido. |
| Software / licencias | Formación equipo + certificaciones (CISA, CISSP, ISO 27001 LA) | — | 15.000 € | 40.000 € | — |
| Software / licencias | Acondicionamiento sala criptográfica | — | 30.000 € | 100.000 € | Si se construye nueva. |
| Software / licencias | Doble acometida + UPS + generador | — | 40.000 € | 150.000 € | Si no existe. |
OPEX — detalle de partidas
| Categoría | Partida | Cant. | Subtotal mín | Subtotal máx | Notas |
|---|---|---|---|---|---|
| Operación e infraestructura | Datacenter colocation 2 sites (si aplica) | — | 30.000 € | 120.000 € | — |
| Operación e infraestructura | Conectividad redundante | — | 15.000 € | 50.000 € | — |
| Operación e infraestructura | SOC subcontratado 24/7 | — | 60.000 € | 200.000 € | — |
| Operación e infraestructura | Mantenimiento HSMs (típico 18-22% del CAPEX) | — | 25.000 € | 50.000 € | — |
| Operación e infraestructura | Renovaciones licencias software | — | 60.000 € | 300.000 € | — |
| Operación e infraestructura | Backup y archivado | — | 10.000 € | 40.000 € | — |
| Operación e infraestructura | Auditoría CAB ETSI EN 319 403-1 (cada 24 meses, prorrateada anual) | — | 15.000 € | 40.000 € | — |
| Operación e infraestructura | Auditoría interna ISO 27001 + revisión por dirección | — | 5000 € | 15.000 € | — |
| Operación e infraestructura | Pruebas de penetración + vulnerability scans | — | 10.000 € | 30.000 € | — |
| Operación e infraestructura | Pruebas de DR anuales | — | 5000 € | 15.000 € | — |
| Operación e infraestructura | Watch normativo (consultoría) | — | 6000 € | 20.000 € | — |
| Operación e infraestructura | Suscripciones a estándares ETSI/CEN/ISO | — | 1500 € | 4000 € | — |
| Operación e infraestructura | Póliza RC profesional 2.000.000 € (Ley 6/2020 §9.3.b) | — | 8000 € | 25.000 € | — |
| Operación e infraestructura | Póliza ciberseguridad complementaria | — | 10.000 € | 40.000 € | — |
| Personal interno | CISO | 1 FTE | 80.000 € | 130.000 € | — |
| Personal interno | Operaciones / SRE TSA-QERDS | 2 FTE | 100.000 € | 160.000 € | — |
| Personal interno | PKI Engineer | 1 FTE | 60.000 € | 90.000 € | — |
| Personal interno | Compliance Officer | — | 30.000 € | 50.000 € | — |
| Personal interno | DPO | — | 20.000 € | 35.000 € | — |