¿Qué exige este criterio?
Las infracciones graves cubren incumplimientos de las obligaciones del art. 24 de eIDAS (personal, sistemas, seguro, retención, plan de cese) y de los procedimientos de notificación. Son más frecuentes que las muy graves porque muchas son omisiones operativas o documentales. El TSP debe tener un checklist de las obligaciones del art. 24 eIDAS y verificar su cumplimiento periódicamente.

¿Qué hay que revisar al cliente?

• Checklist de obligaciones del art. 24 eIDAS con estado de cumplimiento.
• Proceso de notificación de incidentes (no solo el plazo de 24h sino también los seguimientos).
• Procedimiento de notificación de cambios sustanciales.
• Revisión periódica de cumplimiento de las obligaciones de art. 24.

Preguntas clave para las entrevistas

• ¿Hay un checklist de las obligaciones del art. 24 de eIDAS con estado de cumplimiento actualizado?
• ¿Quién es el responsable de revisar periódicamente el cumplimiento de esas obligaciones?
• ¿Los procedimientos de notificación prevén tanto la notificación inicial como los seguimientos?

¿Por qué es esencial para QERDS y TSA?
Las infracciones graves son las más probables en auditoría porque muchas son omisiones de documentación o procedimientos. Un checklist actualizado de las obligaciones del art. 24 es la herramienta más eficaz para prevenirlas.

Evidencia que demostraría conformidad

• Checklist de obligaciones art. 24 eIDAS con estado actualizado.
• Responsable de la revisión periódica del cumplimiento.
• Resultado de la última revisión de cumplimiento.