Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
RESUMEN
El Reglamento de Ejecución (UE) 2026/248
actualiza y armoniza los formatos técnicos de firmas electrónicas avanzadas y
sellos electrónicos avanzados que las administraciones públicas de los Estados
miembros deben reconocer cuando exigen este tipo de firma o sello para acceder
a servicios en línea, derogando la Decisión de Ejecución (UE) 2015/1506 y
fijando un periodo transitorio hasta 2028.
El Reglamento precisa los alcances de los
artículos 27.5 y 37.5 del Reglamento (UE) 910/2014 (eIDAS) sobre formatos y
validación de firmas y sellos avanzados en servicios públicos en línea. Su
finalidad es facilitar la validación transfronteriza, mejorar la
interoperabilidad y adaptar la lista de formatos de referencia a nuevas
tecnologías y normas ETSI, derogando 2015/1506.
El Reglamento se aplica cuando un Estado
miembro exige una firma electrónica avanzada (con o sin certificado
cualificado) o un sello electrónico avanzado (con o sin certificado
cualificado) para utilizar un servicio en línea ofrecido por un organismo del
sector público o en su nombre. Ello obliga al reconocimiento de firmas y sellos
avanzados en determinados formatos normalizados o, si se usan otros formatos,
mediante métodos de validación que cumplan requisitos comunes.
Según los formatos normalizados
obligatorios, los Estados miembros deben reconocer firmas electrónicas
avanzadas que utilicen formatos o contenedores que cumplan las especificaciones
técnicas del anexo I (perfiles base XAdES, CAdES, PAdES, JAdES y contenedores
ASiC según normas ETSI EN/TS 319 xxx).
De forma transitoria, también deben
reconocer firmas avanzadas creadas antes del 23 de febrero de 2028 que se
ajusten a las especificaciones del anexo II (antiguas normas ETSI TS 103 171,
103 172, 103 173 y 103 174 usadas en 2015/1506).
El mismo esquema se aplica a sellos
electrónicos avanzados sujetos a la obligación de reconocer los formatos y
contenedores de sellos que cumplan el anexo I y, hasta 23.2.2028, los del anexo
II si el sello fue creado antes de esa fecha.
Se permite, así mismo, formatos
alternativos y métodos de validación, para el uso de otros formatos de firma o
sello avanzados distintos de los listados, pero bajo estrictas condiciones.
El Estado miembro donde esté establecido
el proveedor de servicios de confianza debe ofrecer a los demás Estados
miembros métodos de validación para esos formatos alternativos. Esos métodos
deben ser, entre otros: en lo posible, adecuados para el tratamiento
automatizado; permitir la validación en línea, gratuita, por otros Estados
miembros; incluir instrucciones claras, completas, comprensibles y accesibles…
El Reglamento entra en vigor a los veinte
días de su publicación en el DOUE; las obligaciones de reconocimiento de los
nuevos formatos normalizados (art. 1.1 y 3.1) se aplican a partir del 23 de
febrero de 2027.
Los Estados miembros deben seguir
reconociendo, hasta el 23 de febrero de 2028, firmas y sellos avanzados de
nueva creación en los formatos normalizados de 2015/1506 (los del anexo II),
para garantizar una transición ordenada.
El Reglamento declara aplicables el RGPD
y, en su caso, la Directiva 2002/58/CE al tratamiento de datos personales
asociado a las actividades reguladas; el SEPD emitió observaciones formales en
2025 sobre el proyecto de este Reglamento.
A fin de acceder a
normas similares y estándares europeos, las empresas, organizaciones públicas y
privadas interesadas en asesorías, consultorías, capacitaciones, estudios,
evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo
electrónico:cferreyros@ferreyros-ferreyros.com
_____________________________________________________
 | Diario Oficial | ES Serie L |
2026/248 | 3.2.2026 |
REGLAMENTO DE EJECUCIÓN (UE) 2026/248 DE LA COMISIÓN
de 2 de febrero de 2026
por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a los formatos de las firmas electrónicas avanzadas y los sellos electrónicos avanzados que deben reconocer los organismos del sector público y por el que se deroga la Decisión de Ejecución (UE) 2015/1506 de la Comisión
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 27, apartado 5, y su artículo 37, apartado 5,
Considerando lo siguiente:
(1) | Los Estados miembros deben establecer los medios técnicos necesarios que les permitan procesar los documentos firmados o sellados electrónicamente que son necesarios cuando se utiliza un servicio en línea ofrecido por un organismo del sector público, o en nombre de este. |
(2) | Conforme a los artículos 27 y 37 del Reglamento (UE) n.o 910/2014, los Estados miembros que exijan una firma electrónica avanzada o un sello electrónico avanzado para utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre de este, deben reconocer las firmas electrónicas avanzadas y los sellos electrónicos avanzados, las firmas electrónicas avanzadas y los sellos electrónicos avanzados basados en un certificado cualificado y las firmas electrónicas y los sellos electrónicos cualificados en formatos específicos o en formatos alternativos validados con arreglo a métodos de referencia específicos. |
(3) | A fin de facilitar la validación transfronteriza de firmas o sellos electrónicos y mejorar la interoperabilidad transfronteriza de las transacciones electrónicas, la Decisión de Ejecución (UE) 2015/1506 de la Comisión (2) establece formatos de referencia para las firmas electrónicas avanzadas y los sellos electrónicos avanzados que han de admitir los Estados miembros. Como consecuencia de las nuevas tecnologías, prácticas, normas y especificaciones técnicas que se han desarrollado, debe derogarse la Decisión de Ejecución (UE) 2015/1506. El presente Reglamento de Ejecución debe proporcionar una lista de formatos normalizados y disposiciones para el reconocimiento de tales formatos. |
(4) | Los formatos normalizados deben reflejar las prácticas establecidas y ser ampliamente aceptados en los sectores pertinentes. Cuando para firmar o sellar electrónicamente se utilicen formatos de firma electrónica avanzada o sello electrónico avanzado distintos de los que se suelen admitir técnicamente, deben facilitarse métodos para la validación transfronteriza de firmas electrónicas avanzadas o sellos electrónicos avanzados. Para que los Estados miembros receptores puedan basarse en los métodos de validación de otro Estado miembro, es necesario que el Estado miembro remitente facilite información fácilmente accesible sobre dichos métodos de validación. Por consiguiente, dicha información sobre el método de validación aplicable debe incluirse en los documentos electrónicos, en las firmas electrónicas avanzadas o los sellos electrónicos avanzados, o en los contenedores de documentos electrónicos. |
(5) | Cuando en un servicio público de un Estado miembro se disponga de métodos alternativos de validación de firma o sello electrónico avanzado aptos para el tratamiento automatizado, tales métodos de validación deben ofrecerse y proporcionarse al Estado miembro receptor. No obstante, las disposiciones del artículo 27, apartados 1 y 2, y del artículo 37, apartados 1 y 2, del Reglamento (UE) n.o 910/2014 deben seguir aplicándose cuando el tratamiento automatizado de métodos de validación alternativos no sea técnicamente viable. |
(6) | A fin de establecer requisitos comparables para la validación y aumentar la confianza en los métodos de validación proporcionados por los Estados miembros para formatos de firma electrónica avanzada o sello electrónico avanzado distintos de los comúnmente admitidos, los requisitos establecidos en el presente Reglamento para dichos métodos de validación se basan en los requisitos para la validación de firmas y sellos electrónicos cualificados a que se refieren los artículos 32 y 40 del Reglamento (UE) n.o 910/2014, y en los requisitos para la validación de firmas electrónicas avanzadas y sellos electrónicos avanzados basados en certificados cualificados a que se refieren los artículos 32 bis y 40 bis del Reglamento (UE) n.o 910/2014. |
(7) | La Comisión evalúa periódicamente las nuevas tecnologías, prácticas, normas o especificaciones técnicas. De conformidad con el considerando 75 del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (3), la Comisión debe revisar y actualizar este Reglamento, en caso necesario, para mantenerlo en consonancia con la evolución mundial, las nuevas tecnologías, normas o especificaciones técnicas y seguir las mejores prácticas del mercado interior. |
(8) | Los Estados miembros que requieran una firma electrónica avanzada, una firma electrónica avanzada basada en un certificado cualificado, un sello electrónico avanzado o un sello electrónico avanzado basado en un certificado cualificado, tal como se establece en el artículo 27, apartados 1 y 2, y en el artículo 37, apartados 1 y 2, del Reglamento (UE) n.o 910/2014, deben reconocer, respectivamente, las firmas electrónicas avanzadas que utilicen formatos o contenedores de firmas asociadas, o los sellos electrónicos avanzados que utilicen formatos o contenedores de sellos asociados, que cumplan las especificaciones técnicas enumeradas en el presente Reglamento. Esta obligación de reconocer las firmas electrónicas avanzadas o los sellos electrónicos avanzados cuando se utilice un servicio en línea ofrecido por un organismo del sector público, o en su nombre, debe aplicarse siempre que la legislación nacional o de la UE exija la validación de las firmas electrónicas avanzadas o los sellos electrónicos avanzados, desde el momento de su creación. A fin de que los Estados miembros dispongan de tiempo suficiente para modificar sus solicitudes de validación, los requisitos pertinentes del presente Reglamento solo deben ser aplicables doce meses después de la entrada en vigor del presente Reglamento. Para garantizar la transición a las normas más avanzadas, la obligación de reconocer las firmas electrónicas avanzadas o los sellos electrónicos avanzados de nueva creación en los formatos normalizados enumerados en la Decisión de Ejecución (UE) 2015/1506 debe limitarse en el tiempo, hasta veinticuatro meses después de la entrada en vigor del presente Reglamento. |
(9) | El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (4) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (5) son aplicables a las actividades de tratamiento de datos personales en virtud del presente Reglamento. |
(10) | El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (6), emitió su dictamen el 21 de octubre de 2025 (7). |
(11) | Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n.o 910/2014. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
Formatos avanzados de firma electrónica
1. Los Estados miembros que requieran una firma electrónica avanzada o una firma electrónica avanzada basada en un certificado cualificado como se prevé en el artículo 27, apartados 1 y 2, del Reglamento (UE) n.o 910/2014, reconocerán las firmas electrónicas avanzadas que utilicen formatos o contenedores de firmas asociadas que cumplan las especificaciones técnicas que figuran en el anexo I del presente Reglamento.
2. Los Estados miembros reconocerán las firmas electrónicas avanzadas que utilicen formatos o contenedores de firmas asociadas que cumplan las especificaciones técnicas enumeradas en el anexo II del presente Reglamento, cuando dichas firmas electrónicas se hayan creado antes del 23 de febrero de 2028.
Artículo 2
Métodos de validación de firmas electrónicas avanzadas alternativas
1. Los Estados miembros que requieran una firma electrónica avanzada o una firma electrónica avanzada basada en un certificado cualificado de conformidad con el artículo 27, apartados 1 y 2, del Reglamento (UE) n.o 910/2014 reconocerán formatos de firmas electrónicas avanzadas distintos de los mencionados en el artículo 1 del presente Reglamento cuando:
a) | el Estado miembro en el que está establecido el proveedor de servicios de confianza utilizado por el firmante ofrezca a otros Estados miembros métodos de validación de firma para dichos formatos; y |
b) | tales métodos de validación se apliquen conforme a lo dispuesto en el apartado 2. |
2. Los métodos de validación de formatos alternativos de firma deberán cumplir todas las condiciones siguientes:
a) | ser, en la medida de lo posible, adecuados para el tratamiento automatizado; |
b) | permitir a otros Estados miembros validar en línea, de forma gratuita, la firma electrónica recibida; |
c) | proporcionar instrucciones claras, completas, fácilmente comprensibles y accesibles para llevar a cabo la validación; |
d) | estar indicados en el documento firmado, en la firma electrónica o en el contenedor del documento electrónico; |
e) | confirmar la validez de una firma electrónica avanzada, siempre que:
|
3. La indicación a que se refiere el apartado 2, letra d), permitirá a las partes usuarias acceder fácilmente y de forma gratuita a las especificaciones completas del método de validación de la firma.
Artículo 3
Formatos de sello electrónico avanzado
1. Los Estados miembros que requieran un sello electrónico avanzado o un sello electrónico avanzado basado en un certificado cualificado como se prevé en el artículo 37, apartados 1 y 2, del Reglamento (UE) n.o 910/2014, reconocerán los sellos electrónicos avanzados que utilicen formatos o contenedores de sellos asociados que cumplan las especificaciones técnicas que figuran en el anexo I del presente Reglamento.
2. Los Estados miembros reconocerán los sellos electrónicos avanzados que utilicen formatos o contenedores de sellos asociados que cumplan las especificaciones técnicas enumeradas en el anexo II del presente Reglamento, cuando dichos sellos electrónicos se hayan creado antes del 23 de febrero de 2028.
Artículo 4
Métodos de validación de sellos electrónicos avanzados alternativos
1. Los Estados miembros que requieran un sello electrónico avanzado o un sello electrónico avanzado basado en un certificado cualificado de conformidad con el artículo 37, apartados 1 y 2, del Reglamento (UE) n.o 910/2014 reconocerán formatos de sellos electrónicos avanzados distintos de los mencionados en el artículo 3 del presente Reglamento cuando:
a) | el Estado miembro en el que está establecido el proveedor de servicios de confianza utilizado por el creador del sello ofrezca a otros Estados miembros métodos de validación de sello para dichos formatos; y |
b) | tales métodos de validación se apliquen conforme a lo dispuesto en el apartado 2. |
2. Los métodos de validación de formatos alternativos de sello deberán cumplir todas las condiciones siguientes:
a) | ser, en la medida de lo posible, adecuados para el tratamiento automatizado; |
b) | permitir a otros Estados miembros validar en línea, de forma gratuita, el sello electrónico recibido; |
c) | proporcionar instrucciones claras, completas, fácilmente comprensibles y accesibles para llevar a cabo la validación; |
d) | estar indicados en el documento sellado, en el sello electrónico o en el contenedor del documento electrónico; y |
e) | confirmar la validez de un sello electrónico avanzado siempre que:
|
3. La indicación a que se refiere el apartado 2, letra d), permitirá a las partes usuarias acceder fácilmente y de forma gratuita a las especificaciones completas del método de validación del sello.
Artículo 5
Derogación
Queda derogada la Decisión de Ejecución (UE) 2015/1506 de la Comisión.
Las referencias a la Decisión derogada se entenderán hechas al presente Reglamento.
Artículo 6
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El artículo 1, apartado 1, y el artículo 3, apartado 1, serán aplicables a partir del 23 de febrero de 2027.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 2 de febrero de 2026.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Decisión de Ejecución (UE) 2015/1506 de la Comisión, de 8 de septiembre de 2015, por la que se establecen las especificaciones relativas a los formatos de las firmas electrónicas avanzadas y los sellos avanzados que deben reconocer los organismos del sector público de conformidad con los artículos 27, apartado 5, y 37, apartado 5, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (DO L 235 de 9.9.2015, p. 37, ELI: http://data.europa.eu/eli/dec_impl/2015/1506/oj).
(3) Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (DO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(4) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(5) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(6) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(7) EDPS Formal comments on draft Implementing Regulation on application of Regulation (EU) No 910/2014 regarding formats of advanced electronic signatures and seals to be recognised by public sector bodies and repealing Implementing Decision (EU) 2015/1506 [Observaciones formales del SEPD sobre el proyecto de Reglamento de Ejecución relativo a la aplicación del Reglamento (UE) n.o 910/2014 en lo que respecta a los formatos de firmas y sellos electrónicos avanzados que deben reconocer los organismos del sector público y por el que se deroga la Decisión de Ejecución (UE) 2015/1506].
ANEXO I
Lista de especificaciones técnicas para las firmas electrónicas avanzadas a que se refiere el artículo 1, apartado 1, y para los sellos electrónicos avanzados a que se refiere el artículo 3, apartado 1
Perfil de base XAdES | ETSI EN 319 132 -1 V1.3.1 (2024-07) (1) | ||
Perfil de base CAdES | ETSI EN 319 122 -1 V1.3.1 (2023-06) (2) | ||
Perfil de base PAdES | ETSI EN 319 142 -1 V1.2.1 (2024-01) (3) | ||
Perfil de base JAdES | ETSI TS 119 182 -1 V1.2.1 (2024-07) (4), con la adaptación siguiente:
|
Lista de especificaciones técnicas para los contenedores de firmas asociadas a que se refiere el artículo 1, apartado 1, y para los contenedores de sellos asociados a que se refiere el artículo 3, apartado 1
Perfil de base del contenedor de firmas/sellos asociadas/os | ETSI EN 319 162 -1 V1.1.1 (2016-04) (5) ETSI EN 319 162 -2 V1.1.1 (2016-04) (6) para un contenedor adicional ASiC-E CAdES, tal como se especifica en la cláusula 4.3.1. |
(1) https://www.etsi.org/deliver/etsi_en/319100_319199/31913201/01.03.01_60/en_31913201v010301p.pdf.
(2) https://www.etsi.org/deliver/etsi_en/319100_319199/31912201/01.03.01_60/en_31912201v010301p.pdf.
(3) https://www.etsi.org/deliver/etsi_en/319100_319199/31914201/01.02.01_60/en_31914201v010201p.pdf.
(4) https://www.etsi.org/deliver/etsi_ts/119100_119199/11918201/01.02.01_60/ts_11918201v010201p.pdf.
(5) https://www.etsi.org/deliver/etsi_en/319100_319199/31916201/01.01.01_60/en_31916201v010101p.pdf.
(6) https://www.etsi.org/deliver/etsi_en/319100_319199/31916202/01.01.01_60/en_31916202v010101p.pdf.
ANEXO II
Lista de especificaciones técnicas para las firmas electrónicas avanzadas a que se refiere el artículo 1, apartado 2, y para los sellos electrónicos avanzados a que se refiere el artículo 3, apartado 2
Perfil de base XAdES | ETSI TS 103 171 v.2.1.1 (1) con excepción de la cláusula 9 y en el nivel de conformidad B, T o LT |
Perfil de base CAdES | ETSI TS 103 173 v.2.2.1 (2) con excepción de la cláusula 9 y en el nivel de conformidad B, T o LT |
Perfil de base PAdES | ETSI TS 103 172 v.2.2.2 (3) con excepción de la cláusula 9 y en el nivel de conformidad B, T o LT |
Lista de especificaciones técnicas para los contenedores de firmas asociadas a que se refiere el artículo 1, apartado 2, y para los contenedores de sellos asociados a que se refiere el artículo 3, apartado 2
Perfil de base del contenedor de firmas/sellos asociadas/os | ETSI TS 103 174 v.2.2.1 (4) |
(1) http://www.etsi.org/deliver/etsi_ts/103100_103199/103171/02.01.01_60/ts_103171v020101p.pdf.
(2) http://www.etsi.org/deliver/etsi_ts/103100_103199/103173/02.02.01_60/ts_103173v020201p.pdf.
(3) http://www.etsi.org/deliver/etsi_ts/103100_103199/103172/02.02.02_60/ts_103172v020202p.pdf.
(4) http://www.etsi.org/deliver/etsi_ts/103100_103199/103174/02.02.01_60/ts_103174v020201p.pdf.
ELI: http://data.europa.eu/eli/reg_impl/2026/248/oj
ISSN 1977-0685 (electronic edition)
