eIDAS-910-2014

REQ-EIDAS-19-2

Art. 19.2 – Notificación de violaciones de seguridad en 24h
NC Alta
Texto del requisito

El TSP debe notificar al supervisor cualquier violación de seguridad o pérdida de integridad significativa SIN DILACIÓN INDEBIDA y a más tardar EN 24 HORAS.

¿Qué pide este criterio y por qué?

¿Qué exige este criterio?
El plazo de 24 horas es estricto y vinculante. El procedimiento de notificación debe: (1) definir qué es un incidente 'significativo' (criterios claros para evitar ambigüedad); (2) establecer el canal de notificación al supervisor (formulario, email oficial); (3) definir el contenido mínimo de la notificación inicial; (4) prever notificaciones de seguimiento conforme evoluciona el incidente; (5) contemplar la notificación a usuarios afectados si procede; (6) ser ensayado con simulacros anuales. La Ley 6/2020 art. 23 cataloga el incumplimiento de este plazo como infracción muy grave con sanción hasta 1.500.000 €.

¿Qué hay que revisar al cliente?

  • Procedimiento documentado de notificación de incidentes al supervisor (con plazos explícitos).
  • Criterios de clasificación de incidentes: ¿cuándo aplica el plazo de 24h?
  • Canal de notificación al supervisor habilitado y probado.
  • Plantilla de notificación inicial de incidente al supervisor.
  • Procedimiento de notificación a usuarios afectados.
  • Registro de simulacros realizados (al menos uno al año).

Preguntas clave para las entrevistas

  • ¿Hay un procedimiento documentado con el plazo de 24h explícito para notificación al supervisor?
  • ¿Qué criterios definen que un incidente es 'significativo' y activa la obligación de notificación?
  • ¿Se conoce el canal de notificación al supervisor? ¿Está habilitado y probado?
  • ¿Se ha simulado alguna vez el proceso de notificación de incidente?
  • ¿Cuánto tiempo tardaríal prestador en detectar y notificar un incidente significativo dentro de las 24h?

¿Por qué es esencial para QERDS y TSA?
El plazo de 24h es el más exigente de todos los requisitos procedimentales de eIDAS. En la práctica, desde que se detecta el incidente hasta que se notifica al supervisor pueden pasar solo horas. Sin un procedimiento probado, el riesgo de incumplir el plazo es muy alto. La sanción de hasta 1.500.000 € hace que este requisito sea crítico.

Evidencia que demostraría conformidad

  • Procedimiento de notificación de incidentes con el plazo de 24h explícito.
  • Criterios de clasificación de incidentes (tabla de criterios).
  • Canal de notificación al supervisor habilitado.
  • Plantilla de notificación inicial.
  • Registro del último simulacro realizado.
Evidencia esperada

Procedimiento de notificación al supervisor ≤24h + criterios de clasificación + canal habilitado + simulacro realizado.

Volver
Evidencias vinculadas 0

Aún no hay evidencias vinculadas.

Subir nueva evidencia
Por defecto, la evidencia se analiza con Claude (Anthropic) para emitir un dictamen consultivo de cobertura del control. El dictamen es orientativo: el CAB sigue siendo la autoridad sobre la conformidad real.
Aplicabilidad
Aplica
Información del requisito
Última actualización
2026-05-03 18:31
Marco
Reglamento (UE) 910/2014 – eIDAS
Versión
Versión consolidada vigente
Referencia bibliográfica
Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014. DOUE L 257, 28.8.2014. https://eur-lex.europa.eu/eli/reg/2014/910/oj