EIDAS 2014/0910 ES

1. El presente Reglamento se aplica a los sistemas de identificación_electrónica notificados por los Estados miembros y a los prestadores de servicios de confianza establecidos en la Unión.

2. El presente Reglamento no se aplica a la prestación de servicios de confianza utilizados exclusivamente dentro de sistemas cerrados resultantes del Derecho nacional o de acuerdos entre un conjunto definido de participantes.

3. El presente Reglamento no afecta al Derecho nacional o de la Unión relacionado con la celebración y validez de los contratos u otras obligaciones legales o de procedimiento relativos a la forma.

Artículo 10

Violación de la seguridad

1. En caso de que el sistema de identificación_electrónica notificado con arreglo al artículo 9, apartado 1, o la autenticación a que se refiere el artículo 7, letra f), hayan sido violados o puestos parcialmente en peligro de una forma que afecte a la fiabilidad de la autenticación transfronteriza de dicho sistema, el Estado miembro que efectúa la notificación suspenderá o revocará sin dilaciones indebidas dicha autenticación transfronteriza o las partes afectadas, e informará al respecto a los demás Estados miembros y a la Comisión.

2. Cuando se haya subsanado la violación o la puesta en peligro a que se refiere el apartado 1, el Estado miembro que efectúa la notificación restablecerá la autenticación transfronteriza e informará sin dilaciones indebidas a los demás Estados miembros y a la Comisión.

3. Si la violación o la puesta en peligro a que se refiere el apartado 1 no se corrige en un plazo de tres meses a partir de la suspensión o revocación, el Estado miembro que efectúa la notificación comunicará la retirada del sistema de identificación_electrónica a los demás Estados miembros y a la Comisión.

La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones correspondientes de la lista a que se refiere el artículo 9, apartado 2, sin dilaciones indebidas.

Artículo 19

Requisitos de seguridad aplicables a los prestadores de servicios de confianza

1. Los prestadores cualificados y no cualificados de servicios de confianza adoptarán las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan. Habida cuenta de los últimos avances tecnológicos, dichas medidas garantizarán un nivel de seguridad proporcionado al grado de riesgo. En particular, se adoptarán medidas para evitar y reducir al mínimo el impacto de los incidentes de seguridad e informar a los interesados de los efectos negativos de cualquiera de tales incidentes.

2. Los prestadores cualificados y no cualificados de servicios de confianza, sin demoras indebidas pero en cualquier caso en un plazo de 24 horas tras tener conocimiento de ellas, notificarán al organismo de supervisión y, en caso pertinente, a otros organismo relevantes como el organismo nacional competente en materia de seguridad de la información, o la autoridad de protección de datos, cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio_de_confianza prestado o en los datos personales correspondientes.

Cuando la violación de seguridad o la pérdida de integridad puedan atentar contra una persona física o jurídica a la que se ha prestado el servicio_de_confianza, el prestador_de_servicios_de_confianza notificará también a la persona física o jurídica, sin demora indebida, la violación de seguridad o la pérdida de integridad.

Cuando proceda, en particular si una violación de la seguridad o pérdida de la integridad afecta a dos o más Estados miembros, el organismo de supervisión notificado informará al respecto a los organismos de supervisión de los demás Estados miembros de que se trate y a la ENISA.

El organismo de supervisión notificado informará al público o exigirá al prestador_de_servicios_de_confianza que lo haga, en caso de considerar que la divulgación de la violación de seguridad o la pérdida de integridad reviste interés público.

3. El organismo de supervisión facilitará a la ENISA anualmente un resumen de las notificaciones de violación de la seguridad y pérdida de la integridad recibidas de los prestadores de servicios de confianza.

4. La Comisión podrá, mediante actos de ejecución, establecer:

a)	una mayor especificación de las medidas a que se refiere el apartado 1, y

b)	la definición de los formatos y procedimientos, incluidos los plazos, aplicables a efectos del apartado 2.

Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

SECCIÓN 3

Servicios de confianza cualificados

Artículo 28

Certificados cualificados de firma_electrónica

1. Los certificados cualificados de firma_electrónica cumplirán los requisitos establecidos en el anexo I.

2. Los certificados cualificados de firma_electrónica no estarán sometidos a ningún requisito obligatorio que exceda de los requisitos establecidos en el anexo I.

3. Los certificados cualificados de firmas electrónicas podrán incluir atributos específicos adicionales no obligatorios. Esos atributos no afectarán a la interoperabilidad y el reconocimiento de las firmas electrónicas cualificadas.

4. Si un certificado cualificado de firma_electrónica ha sido revocado después de su activación inicial, perderá su validez desde el momento de su revocación y no podrá en ninguna circunstancia recuperar su estado.

5. Según las condiciones que siguen, los Estados miembros podrán fijar normas nacionales sobre la suspensión temporal de certificados cualificados de firma_electrónica:

a)	Si un certificado cualificado de firma_electrónica ha sido suspendido temporalmente, ese certificado perderá su validez durante el período de suspensión.

b)	El período de suspensión se indicará claramente en la base de datos de certificados y el estado de suspensión será visible, durante el período de suspensión, a partir del servicio que proporcione la información sobre el estado del certificado.

6. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los certificados cualificados de firma_electrónica. Se presumirá el cumplimiento de los requisitos establecidos en el anexo I cuando un certificado cualificado de firma_electrónica se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 38

Certificados cualificados de sello_electrónico

1. Los certificados cualificados de sello_electrónico cumplirán los requisitos establecidos en el anexo III.

2. Los certificados cualificados de sello_electrónico no estarán sometidos a ningún requisito obligatorio que exceda de los requisitos establecidos en el anexo III.

3. Los certificados cualificados de sello_electrónico podrán incluir atributos específicos adicionales no obligatorios. Esos atributos no afectarán a la interoperabilidad y reconocimiento de los sellos electrónicos cualificados.

4. Si un certificado cualificado de sello_electrónico ha sido revocado después de su activación inicial, perderá su validez desde el momento de su revocación y no podrá en ninguna circunstancia recuperar su estado.

5. Según las condiciones expuestas a continuación, los Estados miembros podrán fijar normas nacionales sobre la suspensión temporal de certificados cualificados de sello_electrónico:

a)	Si un certificado cualificado de sello_electrónico ha sido suspendido temporalmente, ese certificado perderá su validez durante el período de suspensión.

b)	El período de suspensión se indicará claramente en la base de datos de certificados y el estado de suspensión será visible, durante el período de suspensión, a partir del servicio que proporcione la información sobre el estado del certificado.

6. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los certificados cualificados de sello_electrónico. Se presumirá el cumplimiento de los requisitos establecidos en el anexo III cuando un certificado cualificado de sello_electrónico se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 47

Ejercicio de la delegación

1. Se faculta a la Comisión para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2. Los poderes para adoptar los actos delegados a que se refiere el artículo 30, apartado 4, se otorgarán a la Comisión para un período indefinido a más tardar el 17 de septiembre de 2014.

3. La delegación de poderes a que se refiere el artículo 30, apartado 4, podrá ser revocada en todo momento por el Parlamento Europeo o el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto al día siguiente de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en la misma. No afectará a la validez de los actos delegados que ya estén en vigor.

4. En cuanto la Comisión adopte un acto delegado, lo notificará simultáneamente al Parlamento Europeo y al Consejo.

5. Los actos delegados adoptados con arreglo al artículo 30, apartado 4, entrarán en vigor únicamente en caso de que ni el Parlamento Europeo ni el Consejo hayan manifestado objeción alguna en un plazo de dos meses a partir de la notificación de dicho acto a ambas instituciones o en caso de que, antes de que expire dicho plazo, el Parlamento Europeo y el Consejo hayan informado a la Comisión de que no manifestarán objeción alguna. El plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.

whereas

(18) El presente Reglamento establece la responsabilidad del Estado miembro que efectúa la notificación, de la parte que expide los medios de identificación_electrónica y de la parte que realiza el procedimiento de autenticación en caso de incumplimiento de las obligaciones pertinentes dispuestas en el mismo.
No obstante, el presente Reglamento debe aplicarse en consonancia con las normas nacionales sobre responsabilidad.
Por lo tanto, no afectará a dichas normas nacionales, por ejemplo sobre la definición de daños y perjuicios o sobre las normas de procedimiento aplicables, incluida la carga de la prueba.

- = -

(19) La seguridad de los sistemas de identificación_electrónica es esencial para la confianza en el reconocimiento transfronterizo recíproco de los medios de identificación_electrónica.
En tal sentido, los Estados miembros deben cooperar en relación con la seguridad y la interoperabilidad de los sistemas de identificación_electrónica en el plano de la Unión.
Toda vez que los sistemas de identificación_electrónica puedan requerir el empleo de equipos o programas informáticos específicos por las partes usuarias a escala nacional, la interoperabilidad transfronteriza exige que los Estados miembros no impongan tales requisitos y los costes asociados a las partes usuarias establecidas fuera de su territorio.
En tal caso, se deben debatir y desarrollar soluciones adecuadas dentro del ámbito de aplicación del marco de interoperabilidad.
Sin embargo, resultan inevitables los requisitos técnicos derivados de las especificaciones intrínsecas de los medios de identificación_electrónica nacionales (por ejemplo tarjetas inteligentes), que pueden afectar a los titulares de esos medios electrónicos.

- = -

(21) El presente Reglamento también debe establecer un marco jurídico general para la utilización de los servicios de confianza.
Sin embargo, no debe crear la obligación general de utilizarlos ni de instalar un punto de acceso para todos los servicios de confianza existentes.
En particular, no debe cubrir la prestación de servicios utilizados exclusivamente dentro de sistemas cerrados entre un conjunto definido de participantes, que no tengan efectos en terceros.
Por ejemplo, los sistemas establecidos en empresas o administraciones públicas para gestionar procedimientos internos que hagan uso de servicios de confianza no deben estar sujetos a las obligaciones del presente Reglamento. Únicamente los servicios de confianza prestados al público que tengan efectos en terceros deben cumplir las obligaciones establecidas en el presente Reglamento.
Tampoco debe regular el presente Reglamento los aspectos relacionados con la celebración y validez de los contratos u otras obligaciones legales cuando existan requisitos de forma establecidos por el Derecho nacional o de la Unión.
Por otro lado, no debe afectar a los requisitos nacionales de formato correspondientes a los registros públicos, en particular los registros mercantiles y de la propiedad.

- = -

(37) El presente Reglamento debe establecer la responsabilidad de todos los prestadores de servicios de confianza.
Establece, en particular, el régimen de responsabilidad conforme al cual todos los prestadores de servicios de confianza deben responder de los perjuicios ocasionados a cualquier persona física o jurídica con motivo del incumplimiento por su parte de las obligaciones que impone el presente Reglamento.
Con objeto de facilitar la evaluación del riesgo financiero que podrían tener que soportar los prestadores de servicios de confianza, o el que deberían cubrir mediante pólizas de seguros, el presente Reglamento permite que los prestadores de servicios de confianza establezcan limitaciones, en determinadas circunstancias, relativas a la utilización de los servicios que prestan y que los exima de responsabilidad por los perjuicios derivados de la utilización de los servicios que superen dichas limitaciones.
Debe informarse debidamente a los clientes de estas limitaciones con antelación.
Tales limitaciones deben poder ser reconocidas por terceros, por ejemplo mediante la inclusión de información al respecto en las condiciones generales del servicio prestado o por otros medios reconocibles.
Con el fin de dar efecto a estos principios, el presente Reglamento debe aplicarse de conformidad con las normas nacionales en materia de responsabilidad.
Por lo tanto, el presente Reglamento no afectará a tales normas nacionales, por ejemplo las relativas a la definición de los perjuicios, la intencionalidad, la negligencia o las normas de procedimiento aplicables pertinentes.

- = -

keyboard_tab EIDAS 2014/0910 ES

EIDAS 2014/0910 ES