¿Qué exige este criterio?
Para ENS ALTA, los proveedores externos críticos (TSA externa, IDP, CA, hosting, redes) deben gestionarse con: (1) inventario de proveedores críticos con su nivel de riesgo; (2) contratos con cláusulas de seguridad (ENS, NIS2, RGPD si aplica); (3) derechos de auditoría; (4) SLA con penalizaciones; (5) auditorías o evaluaciones periódicas; (6) planes de contingencia ante cese o fallo del proveedor.

¿Qué hay que revisar al cliente?

• Inventario de proveedores externos críticos del QERDS.
• Contratos con cláusulas de seguridad para cada proveedor crítico.
• Derechos de auditoría en los contratos.
• Evaluaciones periódicas de proveedores.
• Plan de contingencia para el proveedor más crítico.

Preguntas clave para las entrevistas

• ¿Hay un inventario de proveedores externos críticos del QERDS?
• ¿Los contratos incluyen cláusulas de seguridad y derechos de auditoría?
• ¿Se evalúan periódicamente los proveedores críticos?
• ¿Hay plan de contingencia si la TSA externa o el IDP no están disponibles?

¿Por qué es esencial para QERDS y TSA?
La cadena de suministro es el punto débil más frecuente en servicios cualificados. Un TSA externa no disponible, un IDP comprometido o una CA revocada pueden paralizar el servicio. Los contratos con cláusulas de seguridad y los planes de contingencia son la forma de gestionar ese riesgo.

Evidencia que demostraría conformidad

• Inventario de proveedores críticos.
• Contratos con cláusulas de seguridad.
• Evaluaciones de proveedores.
• Plan de contingencia para el proveedor más crítico.