Art. 4
Medidas de tratamiento de riesgos
En vigor desde 27 oct 2025
Artículo 4
Medidas de tratamiento de riesgos
1. De conformidad con las políticas a que se refiere el artículo 2, los prestadores no cualificados de servicios de confianza planificarán, documentarán y aplicarán medidas de tratamiento de riesgos y, en particular, llevarán a cabo las siguientes tareas:
a)
determinarán y priorizarán las medidas adecuadas de tratamiento de riesgos;
b)
seleccionarán, aprobarán y documentarán las medidas de tratamiento del riesgo elegidas, incluidos sus requisitos de seguridad y procedimientos operativos, en un plan de tratamiento de riesgos, determinarán quién es responsable de la aplicación de las medidas de tratamiento del riesgo y cuándo deben aplicarse;
c)
supervisarán constantemente la aplicación de las medidas de tratamiento de riesgos.
2. El plan de tratamiento de riesgos establecido en el apartado 1, letra b), expondrá las razones que justifiquen la aceptación de los riesgos residuales de manera comprensible.
3. Como parte de las medidas de tratamiento de riesgos a que se refiere el apartado 1, los prestadores no cualificados de servicios de confianza:
a)
verificarán, cuando proceda, la identidad de los usuarios del servicio de confianza directamente o por medio de un tercero y publicarán información sobre los métodos de verificación de la identidad utilizados;
b)
a efectos de aportar pruebas en procedimientos judiciales y de garantizar la continuidad del servicio, registrarán y conservarán de forma segura durante el tiempo que sea necesario de conformidad con el Derecho de la Unión o nacional, incluso después de que hayan cesado las actividades del prestador no cualificado de servicios de confianza, la siguiente información:
—
toda la información pertinente recogida en el proceso de registro e incorporación de los usuarios de servicios de confianza, incluida, en su caso, la verificación de la identidad de los usuarios,
—
los datos de autenticación asignados al usuario del servicio de confianza, cuando proceda, y
—
cualquier cambio en el estado de los certificados de clave pública u otro material criptográfico utilizado en la prestación del servicio de confianza.
c)
garantizarán, cuando proceda, que los datos de autenticación asignados al usuario del servicio de confianza sean únicos.
4. Al determinar, seleccionar, aprobar y priorizar medidas adecuadas de tratamiento del riesgo, los prestadores no cualificados de servicios de confianza tendrán en cuenta los siguientes elementos:
a)
los resultados de la evaluación de riesgos a que se refiere el artículo 3;
b)
la efectividad de las medidas de tratamiento de riesgos;
c)
la evaluación de la conformidad;
d)
los incidentes significativos;
e)
el coste de la implementación en relación con el beneficio previsto;
f)
la clasificación de activos apropiada aplicable;
g)
el análisis de cualquier impacto económico de los riesgos detectados de conformidad con el artículo 3.
5. Los órganos de dirección de los prestadores no cualificados de servicios de confianza aprobarán los riesgos residuales restantes tras la aplicación de las medidas de tratamiento de riesgos establecidas en el plan de tratamiento de riesgos.
6. Los prestadores no cualificados de servicios de confianza revisarán, documentarán y, cuando proceda, actualizarán los resultados de la evaluación de riesgos y el plan de tratamiento de riesgos a intervalos planificados, y al menos una vez al año, y cuando se produzcan cambios significativos en la infraestructura, las operaciones o los riesgos, o incidentes significativos.
7. Los prestadores no cualificados de servicios de confianza garantizarán la disponibilidad, integridad y confidencialidad de la información a que se refiere el apartado 3, letra b).
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_impl:2025:2160:oj#art-4