Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
Resumen
El
Reglamento de Ejecución (UE) 2025/1567 de
la Comisión, de 29 de julio de 2025, establece normas detalladas para la aplicación
del Reglamento (UE) n.º 910/2014 (Reglamento eIDAS) en lo relativo a la gestión
de los dispositivos remotos cualificados de creación de firmas electrónicas (QESCD
remotos) y de los dispositivos remotos cualificados de creación de sellos electrónicos
(QSealCD remotos) como servicios de confianza cualificados.
El
Reglamento (UE) n.º 910/2014 (eIDAS)
establece el marco jurídico para la identificación electrónica y los servicios de
confianza para las transacciones electrónicas en el mercado interior, garantizando
el efecto jurídico y la interoperabilidad de las firmas electrónicas cualificadas,
los sellos y los servicios de confianza..
El
auge de la firma remota cuyos datos de
creación de firmas son gestionados por un proveedor en lugar de solo por el firmante
requiere de normas explícitas a nivel de la UE para garantizar que dichos servicios
remotos cumplan requisitos estrictos de seguridad y confiabilidad equivalentes a
los dispositivos locales.
Las
principales disposiciones clave del Reglamento
de Ejecución (UE) 2025/1567 se refieren a: 1. Ámbito de aplicación. A los proveedores de servicios de confianza
que gestionan QESCD y QSealCD remotos en nombre de los firmantes o creadores de
sellos. “Remoto” significa que los datos de creación de firmas o sellos se gestionan
de forma centralizada en lugar de estar almacenados únicamente por el usuario, pero
el usuario conserva el control exclusivo sobre su uso.
2. Seguridad y normas técnicas. Los proveedores deben garantizar la confidencialidad
e integridad de los datos de creación de firmas y sellos durante su generación,
almacenamiento y uso.
3. Evaluación de la conformidad
y certificación. Los QESCD
y QSealCD remotos deben ser evaluados de forma independiente por organismos de evaluación
de la conformidad acreditados según las normas establecidas de la UE. La certificación
garantiza que los dispositivos/servicios cumplen los requisitos de seguridad y funcionalidad.
4. Responsabilidades del
proveedor de servicios de confianza calificado. Los proveedores de dispositivos remotos
de firma/sello electrónico cualificado están totalmente sujetos a la supervisión
del eIDAS, que incluyen: obligaciones de notificación, gestión de incidentes e informes
de seguridad; investigación de personal, capacitación y medidas de seguridad organizacional;
mantenimiento de la transparencia, la auditabilidad y los procedimientos de revocación/suspensión
alineados con eIDAS y los requisitos de reconocimiento transfronterizo.
5. Interoperabilidad y derechos
de los usuarios. Normas
explícitas para garantizar que todos los Estados miembros reconozcan las firmas
y sellos remotos cualificados producidos de conformidad con estos requisitos.
En
síntesis, el Reglamento de Ejecución (UE) 2025/1567 de la Comisión proporciona el
marco operativo y las estrictas obligaciones de seguridad para la gestión remota
de dispositivos cualificados de creación de firmas y sellos electrónicos conforme
al Reglamento eIDAS, facilitando la provisión de servicios de confianza remotos
cualificados seguros, fáciles de usar y ampliamente reconocidos en toda la Unión
Europea.
A fin de acceder a normas similares y estándares
europeos, las empresas, organizaciones públicas y privados interesados en
asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías
sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com
____________________________________________
 | Diario Oficial | ES Serie L |
2025/1567 | 30.7.2025 |
REGLAMENTO DE EJECUCIÓN (UE) 2025/1567 DE LA COMISIÓN
de 29 de julio de 2025
por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la gestión de dispositivos cualificados de creación de firma electrónica a distancia y de dispositivos cualificados de creación de sello electrónico a distancia como servicios de confianza cualificados
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 29 bis, apartado 2, y su artículo 39 bis,
Considerando lo siguiente:
(1) | Los servicios de confianza cualificados para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y de dispositivos cualificados de creación de sello electrónico a distancia desempeñan un papel crucial en el entorno empresarial digital al promover la transición de los procesos tradicionales en papel a los equivalentes electrónicos. Estos servicios de confianza cualificados contribuyen a una gestión segura y fiable de esos dispositivos a distancia en nombre de los firmantes y creadores de los sellos, de manera que se garantice el cumplimiento de las condiciones para las firmas electrónicas cualificadas y los sellos electrónicos cualificados. |
(2) | A fin de aumentar la seguridad jurídica y la fiabilidad de los servicios de confianza cualificados para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y de los servicios de confianza cualificados para la gestión de dispositivos cualificados de creación de sello electrónico a distancia, los prestadores cualificados de servicios de confianza que presten dichos servicios cualificados deben cumplir las normas establecidas en el presente Reglamento. |
(3) | Estas normas deben reflejar las prácticas establecidas y ser ampliamente aceptadas en los sectores pertinentes. Deben estar adaptadas para incluir controles que garanticen la seguridad y la fiabilidad de los servicios de confianza cualificados y que los firmantes tengan el control exclusivo, con un alto nivel de confianza, sobre el uso de sus datos de creación de la firma electrónica, y que los creadores del sello tengan el control sobre el uso de sus datos de creación del sello electrónico, respectivamente. |
(4) | Con el fin de garantizar un plazo adecuado para la auditoría de los prestadores de servicios de confianza en lo que respecta al cumplimiento de los nuevos requisitos, el presente Reglamento debe empezar a ser aplicable veinticuatro meses después de su entrada en vigor. |
(5) | La Comisión evalúa periódicamente las nuevas tecnologías, prácticas, normas y especificaciones técnicas. De conformidad con el considerando 75 del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (2), la Comisión debe revisar y actualizar el presente Reglamento, en caso necesario, para mantenerlo en consonancia con la evolución mundial, las nuevas tecnologías, normas o especificaciones técnicas y seguir las mejores prácticas del mercado interior. |
(6) | El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (4) deben aplicarse a todas las actividades de tratamiento de datos personales en virtud del presente Reglamento. |
(7) | El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (5), emitió su dictamen el 6 de junio de 2025. |
(8) | Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n.o 910/2014. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
Normas de referencia y especificaciones
En el anexo del presente Reglamento se establecen las normas de referencia y especificaciones para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y de dispositivos cualificados de creación de sello electrónico a distancia como servicios de confianza cualificados a que se refieren el artículo 29 bis, apartado 2, y el artículo 39 bis del Reglamento (UE) n.o 910/2014.
Artículo 2
Entrada en vigor y aplicabilidad
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será aplicable a partir del 19 de agosto de 2027.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 29 de julio de 2025
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.° 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (DO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(5) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE, (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
ANEXO
Lista de normas de referencia y especificaciones para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y de dispositivos cualificados de creación de sello electrónico a distancia
La norma ETSI TS 119 431-1 V1.3.1 (2024-12) (en lo sucesivo, «ETSI TS 119 431-1») se aplica a efectos de evaluar la conformidad con la versión 2 de la política de servicio de aplicación de firma en servidor de la UE de conformidad con el anexo A de dicha norma, con las siguientes adaptaciones:
1) | 2.1 Referencias normativas
|
2) | 6.1 Responsabilidades de publicación y repositorio
|
3) | 6.4.4 Controles del personal
|
4) | 6.4.9 Cese del servicio de los proveedores de servicio de aplicación de firma en servidor
|
5) | 6.5.5 Controles de seguridad de las redes
|
6) | 6.8.5 Controles criptográficos
|
7) | Anexo A, sección A.3 Requisitos generales
|
(1) https://certification.enisa.europa.eu/publications/eucc-guidelines-cryptography_en.
ELI: http://data.europa.eu/eli/reg_impl/2025/1567/oj
ISSN 1977-0685 (electronic edition)
No hay comentarios:
Publicar un comentario