keyboard_tab EIDAS 2014/0910 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
CAPÍTULO I
DISPOSICIONES GENERALES
CAPÍTULO II
IDENTIFICACIÓN ELECTRÓNICA
CAPÍTULO III
SERVICIOS DE CONFIANZA
secciÓn 1
Disposiciones generales
secciÓn 2
Supervisión
secciÓn 3
Servicios de confianza cualificados
secciÓn 4
Firma electrónica
secciÓn 5
Sellos electrónicos
secciÓn 6
Sello de tiempo electrónico
secciÓn 7
Servicio de entrega electrónica certificada
secciÓn 8
Autenticación de sitios web
CAPÍTULO IV
DOCUMENTOS ELECTRÓNICOS
CAPÍTULO V
DELEGACIÓN DE PODERES Y DISPOSICIONES DE EJECUCIÓN
CAPÍTULO VI
DISPOSICIONES FINALES
- identificación electrónica
- medios de identificación electrónica
- datos de identificación de la persona
- sistema de identificación electrónica
- autenticación
- parte usuaria
- organismo del sector público
- organismo de Derecho público
- firmante
- firma electrónica
- firma electrónica avanzada
- firma electrónica cualificada
- datos de creación de la firma electrónica
- certificado de firma electrónica
- certificado cualificado de firma electrónica
- servicio de confianza
- servicio de confianza cualificado
- organismo de evaluación de conformidad
- prestador de servicios de confianza
- prestador cualificado de servicios de confianza
- producto
- dispositivo de creación de firma electrónica
- dispositivo cualificado de creación de firma electrónica
- creador de un sello
- sello electrónico
- sello electrónico avanzado
- sello electrónico cualificado
- datos de creación del sello electrónico
- certificado de sello electrónico
- certificado cualificado de sello electrónico
- dispositivo de creación de sello electrónico
- dispositivo cualificado de creación de sello electrónico
- sello de tiempo electrónico
- sello cualificado de tiempo electrónico
- documento electrónico
- servicio de entrega electrónica certificada
- servicio cualificado de entrega electrónica certificada
- certificado de autenticación de sitio web
- certificado cualificado de autenticación de sitio web
- datos de validación
- validación
- datos 28
- artículo 25
- seguridad 24
- cualificados 23
- apartado 20
- servicios 19
- confianza 18
- requisitos 17
- para 16
- ejecución 14
- normas 13
- sistemas 13
- actos 13
- identificación_electrónica 12
- prestadores 12
- información 10
- persona 10
- cualificado 9
- cualquier 9
- organismo 9
- conformidad 9
- arreglo 8
- secciÓn 8
- procedimiento 8
- certificado 8
- miembros 8
- cuando 8
- establecidos 8
- adoptarán 8
- supervisión 8
- mediante 8
- estados 8
- servicio 8
- interoperabilidad 8
- referencia 7
- podrá 7
- comisión 7
- los 7
- examen 7
- física 7
- pérdida 6
- niveles 6
- violación 6
- más 6
- entre 6
- caso 6
- certificados 6
- contemplado 6
- recepción 6
- jurídica 6
Artículo 12
Cooperación e interoperabilidad
1. Los sistemas nacionales de identificación_electrónica notificados de conformidad con el artículo 9, apartado 1, serán interoperables.
2. A efectos del apartado 1, se establecerá un marco de interoperabilidad.
3. El marco de interoperabilidad debe cumplir los criterios siguientes:
| a) | aspirar a ser neutro desde un punto de vista tecnológico y no discriminar entre soluciones técnicas nacionales específicas para la identificación_electrónica dentro del Estado miembro; |
| b) | ajustarse a las normas internacionales y europeas, siempre que sea posible; |
| c) | facilitar la aplicación del principio de privacidad desde el diseño, y |
| d) | garantizar que los datos personales se procesen con arreglo a la Directiva 95/46/CE. |
4. El marco de interoperabilidad consistirá en lo siguiente:
| a) | una referencia a los requisitos técnicos mínimos relativos a los niveles de seguridad contemplados en el artículo 8; |
| b) | una correlación entre los niveles de seguridad nacionales de los sistemas de identificación_electrónica y los niveles de seguridad contemplados en el artículo 8; |
| c) | una referencia a los requisitos técnicos mínimos para la interoperabilidad; |
| d) | una referencia a un conjunto mínimo de datos_de_identificación_de_la_persona que representan de manera única a una persona física o jurídica, y que está disponible en los sistemas de identificación_electrónica; |
| e) | reglas de procedimiento; |
| f) | acuerdos para la resolución de litigios, y |
| g) | normas comunes de seguridad operativa. |
5. Los Estados miembros cooperarán con respecto a lo siguiente:
| a) | la interoperabilidad de los sistemas de identificación_electrónica notificados con arreglo al artículo 9, apartado 1, y los sistemas de identificación_electrónica que los Estados miembros tienen intención de notificar, y |
| b) | la seguridad de los sistemas de identificación_electrónica. |
6. La cooperación entre Estados miembros consistirá en:
| a) | un intercambio de información, experiencia y prácticas idóneas sobre sistemas de identificación_electrónica, en particular sobre los requisitos técnicos relacionados con la interoperabilidad y los niveles de seguridad; |
| b) | un intercambio de información, experiencia y prácticas idóneas sobre el trabajo con los niveles de seguridad de los sistemas de identificación_electrónica contemplados en el artículo 8; |
| c) | una revisión inter pares de los sistemas de identificación_electrónica que entran en el ámbito de aplicación del presente Reglamento, y |
| d) | un examen de las novedades pertinentes en el sector de la identificación_electrónica. |
7. A más tardar el 18 de marzo de 2015, la Comisión fijará, mediante actos de ejecución, las modalidades de procedimiento necesarias para facilitar la cooperación entre los Estados miembros a que se refieren los apartados 5 y 6, con vistas a fomentar un alto grado de confianza y seguridad que corresponda al nivel de riesgo.
8. A más tardar el 18 de septiembre de 2015, a efectos de establecer condiciones uniformes para la ejecución de los requisitos del apartado 1, la Comisión, sin perjuicio de los criterios establecidos en el apartado 3 y teniendo en cuenta los resultados de la cooperación entre Estados miembros, adoptará actos de ejecución sobre el marco de interoperabilidad tal como se establece en el apartado 4.
9. Los actos de ejecución a que se refieren los apartados 7 y 8 del presente artículo se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 48, apartado 2.
CAPÍTULO III
SERVICIOS DE CONFIANZA
secciÓn 1
Disposiciones generales
Artículo 16
Sanciones
Los Estados miembros establecerán normas relativas a las sanciones aplicables a las infracciones del presente Reglamento. Las sanciones previstas serán eficaces, proporcionadas y disuasorias.
secciÓn 2
Supervisión
Artículo 19
Requisitos de seguridad aplicables a los prestadores de servicios de confianza
1. Los prestadores cualificados y no cualificados de servicios de confianza adoptarán las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan. Habida cuenta de los últimos avances tecnológicos, dichas medidas garantizarán un nivel de seguridad proporcionado al grado de riesgo. En particular, se adoptarán medidas para evitar y reducir al mínimo el impacto de los incidentes de seguridad e informar a los interesados de los efectos negativos de cualquiera de tales incidentes.
2. Los prestadores cualificados y no cualificados de servicios de confianza, sin demoras indebidas pero en cualquier caso en un plazo de 24 horas tras tener conocimiento de ellas, notificarán al organismo de supervisión y, en caso pertinente, a otros organismo relevantes como el organismo nacional competente en materia de seguridad de la información, o la autoridad de protección de datos, cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio_de_confianza prestado o en los datos personales correspondientes.
Cuando la violación de seguridad o la pérdida de integridad puedan atentar contra una persona física o jurídica a la que se ha prestado el servicio_de_confianza, el prestador_de_servicios_de_confianza notificará también a la persona física o jurídica, sin demora indebida, la violación de seguridad o la pérdida de integridad.
Cuando proceda, en particular si una violación de la seguridad o pérdida de la integridad afecta a dos o más Estados miembros, el organismo de supervisión notificado informará al respecto a los organismos de supervisión de los demás Estados miembros de que se trate y a la ENISA.
El organismo de supervisión notificado informará al público o exigirá al prestador_de_servicios_de_confianza que lo haga, en caso de considerar que la divulgación de la violación de seguridad o la pérdida de integridad reviste interés público.
3. El organismo de supervisión facilitará a la ENISA anualmente un resumen de las notificaciones de violación de la seguridad y pérdida de la integridad recibidas de los prestadores de servicios de confianza.
4. La Comisión podrá, mediante actos de ejecución, establecer:
| a) | una mayor especificación de las medidas a que se refiere el apartado 1, y |
| b) | la definición de los formatos y procedimientos, incluidos los plazos, aplicables a efectos del apartado 2. |
Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
secciÓn 3
Servicios de confianza cualificados
Artículo 24
Requisitos para los prestadores cualificados de servicios de confianza
1. Al expedir un certificado cualificado para un servicio_de_confianza, un prestador_cualificado_de_servicios_de_confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.
La información a que se refiere el párrafo primero será verificada por el prestador_de_servicios_de_confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:
| a) | en presencia de la persona física o de un representante autorizado de la persona jurídica, o |
| b) | a distancia, utilizando medios de identificación_electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o |
| c) | por medio de un certificado de una firma_electrónica cualificada o de un sello_electrónico cualificado expedido de conformidad con la letra a) o b), o |
| d) | utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad. |
2. Los prestadores cualificados de servicios de confianza que prestan servicios de confianza cualificados:
| a) | informarán al organismo de supervisión de cualquier cambio en la prestación de servicios de confianza cualificados, y de su intención de cesar tales actividades; |
| b) | contarán con personal y, si procede, con subcontratistas, que posean los conocimientos especializados, la fiabilidad, la experiencia y las cualificaciones necesarios y hayan recibido la formación adecuada en materia de seguridad y normas de protección de datos personales y que apliquen procedimientos administrativos y de gestión que correspondan a normas europeas o internacionales; |
| c) | con respecto al riesgo de la responsabilidad por daños y perjuicios de conformidad con el artículo 13, mantendrán recursos financieros suficientes u obtendrán pólizas de seguros de responsabilidad adecuadas, de conformidad con la legislación nacional; |
| d) | antes de entrar en una relación contractual, informarán, de manera clara y comprensible, a cualquier persona que desee utilizar un servicio_de_confianza cualificado acerca de las condiciones precisas relativas a la utilización de dicho servicio, incluidas las limitaciones de su utilización; |
| e) | utilizarán sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad y la fiabilidad técnicas de los procesos que sustentan; |
| f) | utilizarán sistemas fiables para almacenar los datos que se les faciliten de forma verificable, de modo que:
|
| g) | tomarán medidas adecuadas contra la falsificación y el robo de datos; |
| h) | registrarán y mantendrán accesible durante un período de tiempo apropiado, incluso cuando hayan cesado las actividades del prestador_cualificado_de_servicios_de_confianza, toda la información pertinente referente a los datos expedidos y recibidos por el prestador_cualificado_de_servicios_de_confianza, en particular al objeto de que sirvan de prueba en los procedimientos legales y para garantizar la continuidad del servicio. Esta actividad de registro podrá realizarse por medios electrónicos; |
| i) | contarán con un plan de cese actualizado para garantizar la continuidad del servicio, de conformidad con las disposiciones verificadas por el organismo de supervisión con arreglo al artículo 17, apartado 4, letra i); |
| j) | garantizarán un tratamiento lícito de los datos personales de conformidad con la Directiva 95/46/CE; |
| k) | en caso de los prestadores cualificados de servicios de confianza que expidan certificados cualificados, establecerán y mantendrán actualizada una base de datos de certificados. |
3. Cuando los prestadores cualificados de servicios de confianza que expidan certificados cualificados decidan revocar un certificado, registrarán su revocación en su base de datos de certificados y publicarán el estado de revocación del certificado oportunamente y, en todo caso, en un plazo de 24 horas después de la recepción de la solicitud. La revocación será efectiva inmediatamente después de su publicación.
4. Con respecto a lo dispuesto en el apartado 3, los prestadores cualificados de servicios de confianza que expidan certificados cualificados proporcionarán a cualquier parte_usuaria información sobre el estado de validez o revocación de los certificados cualificados expedidos por ellos. Esta información deberá estar disponible al menos por cada certificado en cualquier momento y con posterioridad al período de validez del certificado en una forma automatizada que sea fiable, gratuita y eficiente.
5. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para sistemas y productos fiables que cumplan con los requisitos establecidos las letras e) y f) del apartado 2 del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el presente artículo cuando los sistemas y productos fiables cumplan dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
secciÓn 4
Firma electrónica
Artículo 34
Servicio cualificado de conservación de firmas electrónicas cualificadas
1. Solo podrá prestar un servicio cualificado de conservación de firmas electrónicas cualificadas el prestador_cualificado_de_servicios_de_confianza que utilice procedimientos y tecnologías capaces de ampliar la fiabilidad de los datos de la firma_electrónica cualificada más allá del período de validez tecnológico.
2. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas al servicio cualificado de conservación de firmas electrónicas cualificadas. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando los mecanismos del servicio cualificado de conservación de firmas electrónicas cualificadas se ajusten a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
secciÓn 5
Sellos electrónicos
Artículo 40
Validación y conservación de sellos electrónicos cualificados
Los artículos 32, 33 y 34 se aplicarán mutatis mutandis a la validación y conservación de los sellos electrónicos cualificados.
secciÓn 6
Sello de tiempo electrónico
Artículo 42
Requisitos de los sellos cualificados de tiempo electrónicos
1. Un sello_cualificado_de_tiempo_electrónico cumplirá los requisitos siguientes:
| a) | vincular la fecha y hora con los datos de forma que se elimine razonablemente la posibilidad de modificar los datos sin que se detecte; |
| b) | basarse en una fuente de información temporal vinculada al Tiempo Universal Coordinado, y |
| c) | haber sido firmada mediante el uso de una firma_electrónica avanzada o sellada con un sello_electrónico avanzado del prestador_cualificado_de_servicios_de_confianza o por cualquier método equivalente. |
2. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a la vinculación de la fecha y hora con los datos y a una fuente de información temporal exacta. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la vinculación de la fecha y hora con los datos y la fuente de información temporal exacta se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
secciÓn 7
Servicio de entrega electrónica certificada
Artículo 44
Requisitos de los servicios cualificados de entrega electrónica certificada
1. Los servicios cualificados de entrega electrónica certificada cumplirán los requisitos siguientes:
| a) | ser prestados por uno o más prestadores cualificados de servicios de confianza; |
| b) | asegurar con un alto nivel de fiabilidad la identificación del remitente; |
| c) | garantizar la identificación del destinatario antes de la entrega de los datos; |
| d) | estar protegidos el envío y recepción de datos por una firma_electrónica avanzada o un sello_electrónico avanzado de un prestador_cualificado_de_servicios_de_confianza de tal forma que se impida la posibilidad de que se modifiquen los datos sin que se detecte; |
| e) | indicar claramente al emisor y al destinatario de los datos cualquier modificación de los datos necesarios a efectos del envío o recepción de los datos; |
| f) | indicar mediante un sello_cualificado_de_tiempo_electrónico la fecha y hora de envío, recepción y eventual modificación de los datos. |
En caso de que los datos se transfieran entre dos o más prestadores cualificados de servicios de confianza, se aplicarán los requisitos establecidos en las letras a) a f) a todos los prestadores cualificados de servicios de confianza.
2. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los procesos de envío y recepción de datos. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando el proceso de envío y recepción de datos se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
secciÓn 8
Autenticación de sitios web
whereas