El pasado 5 de enero, el Instituto Europeo de Normas de Telecomunicaciones (ETSI) publicó la versión 3.2.1 de la norma EN 319 401, que establece los requisitos generales de políticas para prestadores de servicios de confianza. Esta actualización supone un paso importante en la alineación del sector con el nuevo marco europeo de ciberseguridad.
La principal novedad de esta versión es su adaptación al Reglamento de Ejecución (UE) 2024/2690 de la Comisión, publicado el 17 de octubre de 2024. Este reglamento desarrolla los requisitos técnicos y metodológicos de las medidas de gestión de riesgos de ciberseguridad establecidos en la Directiva NIS2, reforzando así el marco de seguridad aplicable a los prestadores de servicios de confianza en toda la Unión Europea.
La versión 3.2.1 incorpora modificaciones relevantes que afectan a diversos aspectos de la gestión y operación de los prestadores de servicios de confianza:
- Marco de proporcionalidad: Se introduce un enfoque proporcional para la aplicación de determinados requisitos, permitiendo una implementación ajustada al tamaño del prestador y su exposición al riesgo. Sin embargo, esta flexibilidad viene acompañada de obligaciones: es necesario documentar el análisis de proporcionalidad, mantenerlo disponible para las autoridades competentes y garantizar que el efecto acumulativo de las adaptaciones no comprometa la seguridad global del sistema.
- Gobernanza reforzada: se incrementan las exigencias en cuanto a la supervisión y el compromiso de la dirección en la gestión de la seguridad y el cumplimiento normativo.
- Controles de seguridad ampliados: se refuerzan y amplían los requisitos relacionados con el control de acceso, el uso de criptografía y las medidas de seguridad física.
- Notificación de incidentes: La norma alinea los plazos de notificación con NIS2, formalizando la alerta temprana en 24 horas, la notificación completa en 72 horas y el informe final en un mes. Además, define once criterios para determinar cuándo un incidente es significativo y exige análisis trimestrales de incidentes recurrentes, estableciendo un marco sistemático para la gestión y comunicación de eventos de seguridad.
- Revisión anual obligatoria: se establece la obligación de revisar políticas y procedimientos al menos una vez al año, asegurando su vigencia y adecuación a los cambios normativos y técnicos.
- Cadena de suministro: La nueva cláusula 7.14 introduce requisitos exhaustivos sobre la gestión de proveedores. Los prestadores deben mantener un registro actualizado de proveedores, evaluar sus prácticas de ciberseguridad antes de contratarlos y requerir contractualmente que propaguen los requisitos de seguridad a lo largo de toda la cadena, con monitorización continua. Este enfoque integral garantiza que la seguridad se extiende más allá de las fronteras de la organización.
Otra novedad destacable de esta versión es la incorporación del Anexo A, que mapea los requisitos de la norma con el artículo 30 del Reglamento DORA (Digital Operational Resilience Act). Para los prestadores que trabajan con entidades financieras, el cumplimiento de la EN 319 401 V3.2.1 permite demostrar a sus clientes que cumplen las exigencias de DORA para proveedores TIC críticos, facilitando así su posicionamiento en un sector altamente regulado. Esta convergencia normativa refleja la tendencia europea hacia la armonización de requisitos de ciberseguridad entre diferentes sectores, reduciendo la carga de cumplimiento para organizaciones que operan en múltiples ámbitos regulados.
Paloma Llaneza, directora técnica de CerteIDAS, ha participado como editora de esta norma en ETSI ESI. Esta experiencia directa en la elaboración del estándar se traduce en un conocimiento profundo de los objetivos, la estructura y las implicaciones prácticas de cada cambio introducido. Así, en CerteIDAS estamos ya preparados para realizar evaluaciones de conformidad contra la versión 3.2.1, sin necesidad de esperar al fin del período transitorio establecido para el 31 de octubre de 2026. Los prestadores de servicios de confianza que deseen adelantarse a la obligatoriedad y demostrar su compromiso con los más altos estándares de ciberseguridad pueden iniciar ya su proceso de adaptación y evaluación.
