¿Qué exige este criterio?
Contratos con subcontratistas críticos (CA, TSA externa si aplica, proveedor de identidad, hosting/cloud, soporte HSM) con cláusulas específicas eIDAS/ETSI: cumplimiento de requisitos, derecho de auditoría, notificación de incidentes, plan de continuidad, terminación. El TSP mantiene SIEMPRE la responsabilidad ante el cliente.

¿Qué hay que revisar al cliente?

• Mapa de subcontratistas críticos del servicio.
• Contratos con cláusulas específicas eIDAS.
• Auditorías a subcontratistas (del prestador o de terceros aceptables).
• Procedimiento de monitorización de su rendimiento.
• Plan de contingencia ante fallo de subcontratista.

Preguntas clave para las entrevistas

• ¿Quiénes son vuestros subcontratistas críticos del servicio?
• ¿Habéis revisado los contratos con cláusulas eIDAS específicas?
• ¿Cómo monitorizáis su cumplimiento?
• ¿Qué pasa si una TSA externa cualificada deja de operar?

¿Por qué es esencial para QERDS y TSA?
El TSP no se libera de responsabilidad por subcontratar. Una falla en el proveedor es una falla del servicio cualificado. Las cláusulas contractuales son la herramienta principal para gestionar este riesgo.

Evidencia que demostraría conformidad

• Mapa de subcontratistas críticos.
• Contratos revisados.
• Cláusulas específicas eIDAS.
• Auditorías y monitorización.