¿Qué exige este criterio?
Para ENS ALTA, la monitorización debe ser 24/7 y cubrir: (1) detección de intrusiones en la red del servicio (IDS/IPS); (2) correlación de eventos en SIEM; (3) alertas automáticas con escalado definido; (4) dashboards de seguridad con visibilidad del estado en tiempo real; (5) revisión periódica de alertas y métricas. La cobertura del servicio cualificado debe ser explícita, no derivada de la monitorización corporativa genérica.

¿Qué hay que revisar al cliente?

• SIEM con cobertura del servicio QERDS.
• IDS/IPS en la red del servicio.
• Alertas configuradas y proceso de escalado.
• Cobertura 24/7: ¿hay equipo de guardia en horario no laborable?
• Dashboards de estado del servicio.

Preguntas clave para las entrevistas

• ¿El SIEM tiene cobertura específica del servicio QERDS (no solo la red corporativa)?
• ¿Hay IDS/IPS en el perímetro del servicio?
• ¿Quién atiende las alertas fuera del horario laboral?
• ¿Los dashboards muestran el estado del servicio QERDS en tiempo real?

¿Por qué es esencial para QERDS y TSA?
La monitorización 24/7 es un diferenciador de categoría ALTA respecto a categorías inferiores. Para un servicio cualificado disponible 24/7, un incidente nocturno sin monitorización puede pasar desapercibido durante horas, incumpliendo los plazos de notificación de eIDAS.

Evidencia que demostraría conformidad

• Configuración del SIEM con cobertura del QERDS.
• IDS/IPS en la red del servicio.
• Proceso de escalado de alertas.
• Cobertura 24/7 del equipo de operaciones.