¿Qué exige este criterio?
El art. 19 exige un conjunto de medidas proporcionales al riesgo. En la práctica, su cumplimiento se demuestra principalmente mediante conformidad con ETSI EN 319 401 (que detalla todas las medidas técnicas y organizativas exigibles a un TSP). Sin embargo, el art. 19 también exige: (1) análisis de riesgos actualizado; (2) plan de tratamiento de riesgos; (3) política de seguridad aprobada por la Dirección; (4) revisión anual o tras incidentes significativos.

¿Qué hay que revisar al cliente?

• Política de Seguridad de la Información aprobada y actualizada.
• Análisis de riesgos documentado y actualizado anualmente.
• Plan de tratamiento de riesgos con controles implementados.
• Mecanismos de revisión y mejora continua del sistema de gestión.
• Coherencia con los requisitos de EN 319 401 (ver módulo etsi_319_401.py).

Preguntas clave para las entrevistas

• ¿Hay una Política de Seguridad aprobada por la Dirección? ¿Cuándo fue la última revisión?
• ¿El análisis de riesgos cubre específicamente los riesgos del servicio de confianza?
• ¿Las medidas técnicas implementadas están documentadas y son verificables?
• ¿Hay un proceso de revisión anual de las medidas técnicas y organizativas?

¿Por qué es esencial para QERDS y TSA?
El art. 19 es el 'paraguas' legal bajo el que se ubican todos los requisitos técnicos de EN 319 401. Su cumplimiento se demuestra principalmente a través de la conformidad con ETSI. Sin embargo, el supervisor puede pedir el análisis de riesgos directamente y verificar que las medidas son proporcionales a los riesgos identificados.

Evidencia que demostraría conformidad

• Política de Seguridad de la Información (vigente, firmada por la Dirección).
• Análisis de riesgos del servicio (versión vigente).
• Plan de tratamiento de riesgos con evidencia de controles implementados.