Skip to main content

Reglamento eIDAS

Resumen

Proyecto que permite el reconocimiento europeo de las identidades electrónicas, en concreto, la aceptación del DNI electrónico en servicios de otras administraciones europeas así como la identificación de ciudadanos europeos en servicios públicos españoles utilizando un medio de identificación de su país de origen.

El reglamento eIDAS establece una serie de normas para la identificación electrónica, la firma electrónica y los servicios de confianza, con el fin de garantizar su validez y eficacia en toda la Unión Europea. Además, el reglamento establece un marco común para la interoperabilidad y el reconocimiento mutuo de los sistemas de identificación electrónica y los servicios de confianza en los diferentes estados miembros de la UE.

Algunos de los aspectos clave del Reglamento eIDAS incluyen:

  • La definición de diferentes tipos de firmas electrónicas, desde las simples a las avanzadas y las cualificadas, cada una con diferentes niveles de seguridad y requisitos técnicos.

  • La creación de un sistema de identificación electrónica transfronteriza que permita a los ciudadanos y empresas de la UE utilizar su identificación electrónica en cualquier estado miembro de la UE.

  • La definición de requisitos técnicos y de seguridad para los servicios de confianza, como la conservación a largo plazo de datos electrónicos, la validación de firmas electrónicas y la autenticación de sitios web seguros.

  • La promoción de la interoperabilidad entre los sistemas de identificación electrónica y los servicios de confianza de diferentes estados miembros de la UE. En resumen, el Reglamento eIDAS establece un marco armonizado para la identificación electrónica y los servicios de confianza en toda la UE, con el objetivo de fomentar el uso de las transacciones electrónicas y mejorar la seguridad y eficacia de las mismas.

Descripción nodo eIDAS español

El nodo eIDAS español es un proyecto que permite el reconocimiento mutuo de identidades electrónicas en Europa. En concreto, facilita la aceptación del DNI electrónico en servicios de Administración Electrónica de otras administraciones europeas, así como la identificación de ciudadanos europeos en servicios públicos españoles utilizando un medio de identificación de su país de origen.

El nodo eIDAS es el componente de interoperabilidad que se conecta con los servicios electrónicos y los sistemas de identificación nacionales, y con los nodos correspondientes de otros Estados Miembros, y permite el reconocimiento de identidades electrónicas emitidas por otros países de acuerdo con el Reglamento Europeo eIDAS .

El nodo eIDAS español se basa en la implementación de referencia que la Comisión Europea ha desarrollado de las especificaciones técnicas que marca el Reglamento, y utiliza un sistema de intercambio de mensajes conforme al estándar SAML 2.0. Para las Administraciones Públicas, la integración con el nodo eIDAS español se realiza a través del sistema Cl@ve.

¿QUÉ HACE ESTE REGLAMENTO?

  • El Reglamento relativo a la identificación electrónica y los servicios de confianza (eIDAS, por sus siglas en inglés) crea un nuevo sistema para garantizar las interacciones electrónicas en la Unión Europea (UE) entre empresas, ciudadanos y autoridades públicas.

  • Pretende mejorar la confianza en las transacciones electrónicas dentro de la UE, para aumentar la eficacia de los servicios en línea públicos y privados y del comercio electrónico. El Reglamento se aplica a:

    • programas de identificación electrónica (IDE)* notificados a la Comisión Europea por los países de la UE,
    • proveedores de servicios de confianza con sede en la UE.

  • Elimina las barreras existentes para el uso de la IDE en la UE. Por ejemplo, ahora sería sencillo para una empresa portuguesa presentar una oferta para un contrato de servicio público en Suecia, mientras que las concesiones de financiación europea se pueden gestionar totalmente en línea. PUNTOS CLAVE

Identificación electrónica

  • La IDE emitida por un país de la UE debe ser reconocida por todos los demás. Esto es así solo si la IDE cumple los requisitos del Reglamento y ha sido notificada a la Comisión y publicada en una lista. El reconocimiento mutuo de las IDE será obligatorio a partir del 28 de septiembre de 2018 y facilitará las transacciones electrónicas seguras en la UE.

  • Un sistema de IDE debe especificar uno de los tres niveles deseguridad (bajo, sustancial o alto) para la forma de identificación electrónica emitida en virtud de dicho sistema. El reconocimiento mutuo solo es obligatorio cuando el organismo pertinente del sector público utiliza los niveles «sustancial» o «alto» para acceder a ese servicio en línea.

Notificación

  • A la hora de notificar a la Comisión los sistemas de IDE, los países de la UE deben aportar información sobre aspectos como:
    • el nivel de seguridad y el emisor de la IDE recogidos en el sistema,
    • los sistemas aplicables de supervisión y responsabilidad, el organismo que gestiona el registro de datos únicos de identificación personal.
  • En el supuesto de una violación de la seguridad del sistema de IDE o de la autenticación, el país de la UE que la notifique deberá:
    • suspender o revocar rápidamente la autenticación en toda la UE o las partes comprometidas del sistema e
    • informar a los demás países de la UE y a la Comisión.

Responsabilidad

  • En cualquier transacción entre los países de la UE en la que se incumplan las obligaciones estipuladas en el Reglamento, las siguientes partes podrán ser consideradas responsables de los perjuicios causados de forma deliberada o por negligencia a cualquier persona física u organismo:
    • un país de la UE que efectúe la notificación,
    • la parte que expide la IDE,
    • la parte que gestiona el procedimiento de autenticación.

Cooperación y operabilidad entre los países de la UE

  • Los sistemas nacionales de IDE notificados deben ser interoperables. El marco de interoperabilidad debe ser neutro desde un punto de vista tecnológico y no favorecer a soluciones técnicas nacionales específicas para la IDE.

Servicios de confianza

  • El Reglamento define los servicios de confianza como servicios de pago que incluyen:

    • la creación, la verificación y la validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relacionados con dichos servicios
    • la creación, la verificación y la validación de certificados para la autenticación de sitios web
    • la conservación de firmas electrónicas, sellos o certificados relacionados con dichos servicios.

  • Los proveedores de servicios de confianza con sede en la UE son considerados «cualificados» si cumplen con los requisitos aplicables del Reglamento. Están legalmente capacitados para ofrecer servicios de confianza cualificados (por ejemplo, firmas, sellos o certificados electrónicos cualificados) en todos los países de la UE. Los servicios de confianza ofrecidos por proveedores de servicios de terceros países podrán ser reconocidos como legalmente equivalentes a los cualificados, pero solo después de alcanzarse un acuerdo entre la Unión Europea y el tercer país o una organización internacional.

Supervisión

  • Los países de la UE deben designar uno o más organismos para que se encarguen de las actividades de supervisión recogidas en este Reglamento. Cuando proceda, estos organismos deben cooperar con las autoridades de protección de datos.
  • Todos los proveedores de servicios de confianza están sujetos a supervisión y a obligaciones relacionadas con la gestión de riesgos y la notificación de violaciones de la seguridad.
  • Los proveedores de servicios de confianza no cualificados están sometidos a una supervisión menos estricta; esto es, el organismo de supervisión solo actúa si se sospecha una conducta inapropiada por parte del proveedor.
  • Los proveedores de servicios de confianza con sede en la UE están sujetos a una estricta supervisión. Así, son sometidos a una autorización previa por parte de los organismos de supervisión y a una auditoría al menos una vez cada dos años por parte de - - una organización que evalúa si cumplen los requisitos estipulados en el Reglamento.
  • Una nueva etiqueta de confianza «UE» voluntaria identificará los servicios de confianza cualificados que ofrezcan los proveedores correspondientes.

Una serie de actos adoptados por la Comisión Europea durante 2015 establecen:

  • modalidades de procedimiento para la cooperación entre los países de la UE en materia de identificación electrónica,
  • especificaciones relativas a la forma de la etiqueta de confianza «UE» para servicios de confianza cualificados,
  • requisitos técnicos y de funcionamiento del marco de interoperabilidad,
  • especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de IDE,
  • especificaciones técnicas y los formatos relacionados con las listas de confianza,
  • especificaciones relativas a los formatos de las firmas electrónicas avanzadas y los sellos avanzados que deben reconocer los organismos del sector público y
  • circunstancias, formatos y procedimientos de notificación de los sistemas de IDE.

¿A PARTIR DE CUÁNDO ESTÁ EN VIGOR ESTE REGLAMENTO?

A DESTACAR

Entra en vigor a partir del 17 de septiembre de 2014.