eIDAS-2-2024-1183

REQ-EIDAS2-CYBER-A

Alineación con NIS2: los TSP cualificados como entidades esenciales
NC Alta
Texto del requisito

eIDAS 2 refuerza las exigencias de ciberseguridad sobre los TSP cualificados, clasificándolos como entidades esenciales bajo la Directiva NIS2 (UE 2022/2555) y sus requisitos de gestión de riesgos.

¿Qué pide este criterio y por qué?

¿Qué exige este criterio?
NIS2 (Directiva UE 2022/2555) considera a los TSP cualificados 'entidades esenciales'. Esto implica obligaciones adicionales de ciberseguridad más allá de EN 319 401: (1) medidas de gestión de riesgos de ciberseguridad conforme al art. 21 de NIS2 (gestión de incidentes, continuidad, seguridad de la cadena de suministro, cifrado, control de acceso, etc.); (2) notificación de incidentes en plazos NIS2 (alerta 24h, notificación 72h, informe final 1 mes); (3) responsabilidad de los órganos directivos en la aprobación de medidas de ciberseguridad; (4) inscripción en los registros de entidades esenciales del Estado miembro.

¿Qué hay que revisar al cliente?

  • Análisis de aplicabilidad de NIS2 al QERDS/TSA del prestador.
  • Medidas de gestión de riesgos del art. 21 NIS2 implementadas o en planificación.
  • Responsabilidad de los órganos directivos en ciberseguridad (actas de aprobación).
  • Inscripción en el registro de entidades esenciales (INCIBE/CCN).
  • Coordinación entre los equipos de eIDAS y NIS2 en el prestador.

Preguntas clave para las entrevistas

  • ¿Ha analizado el prestador si está sujeto a NIS2 como entidad esencial por ser TSP cualificado?
  • ¿Están los órganos directivos del prestador formalmente involucrados en la aprobación de medidas de ciberseguridad?
  • ¿Se ha informado al equipo de ciberseguridad del prestador de las obligaciones adicionales de NIS2 para el QERDS?
  • ¿Hay un plan de cumplimiento NIS2 paralelo al de eIDAS para el servicio?

¿Por qué es esencial para QERDS y TSA?
La doble obligación eIDAS+NIS2 refuerza los requisitos de ciberseguridad del QERDS y la TSA. El incumplimiento de NIS2 puede ser sancionado por las autoridades NIS2 (INCIBE/CCN en España) con sanciones de hasta el 2% del volumen de negocio global. Es un requisito paralelo que debe coordinarse con el proceso de cualificación eIDAS.

Evidencia que demostraría conformidad

  • Análisis de aplicabilidad NIS2 al QERDS/TSA.
  • Plan de cumplimiento NIS2 (o referencia al plan general de NIS2 del prestador).
  • Actas de aprobación de medidas de ciberseguridad por órganos directivos.
Evidencia esperada

Análisis de aplicabilidad NIS2 + plan de cumplimiento + aprobación por órganos directivos.

Volver
Evidencias vinculadas 0

Aún no hay evidencias vinculadas.

Subir nueva evidencia
Por defecto, la evidencia se analiza con Claude (Anthropic) para emitir un dictamen consultivo de cobertura del control. El dictamen es orientativo: el CAB sigue siendo la autoridad sobre la conformidad real.
Aplicabilidad
Aplica
Información del requisito
Última actualización
2026-05-03 18:31
Marco
Reglamento (UE) 2024/1183 – eIDAS 2
Versión
Vigente
Referencia bibliográfica
Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo de 11 de abril de 2024. DOUE. https://eur-lex.europa.eu/eli/reg/2024/1183/oj