This document is an excerpt from the EUR-Lex website
Document 32015R1502
Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)
Reglamento de Ejecución (UE) 2015/1502 de la Comisión, de 8 de septiembre de 2015, sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica con arreglo a lo dispuesto en el artículo 8, apartado 3, del Reglamento (UE) n° 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Texto pertinente a efectos del EEE)
Reglamento de Ejecución (UE) 2015/1502 de la Comisión, de 8 de septiembre de 2015, sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica con arreglo a lo dispuesto en el artículo 8, apartado 3, del Reglamento (UE) n° 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Texto pertinente a efectos del EEE)
DO L 235 de 9.9.2015, p. 7–20
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 11/07/2022
Relation | Act | Comment | Subdivision concerned | From | To |
---|---|---|---|---|---|
Corrected by | 32015R1502R(01) | (DA, PL) | |||
Modified by | 32022R0960 | sustitución (CS) | anexo sección 2.1.2 punto 1 letra (c) | 11/07/2022 |
9.9.2015 |
ES |
Diario Oficial de la Unión Europea |
L 235/7 |
REGLAMENTO DE EJECUCIÓN (UE) 2015/1502 DE LA COMISIÓN
de 8 de septiembre de 2015
sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica con arreglo a lo dispuesto en el artículo 8, apartado 3, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y, en particular, su artículo 8, apartado 3,
Considerando lo siguiente:
(1) |
El artículo 8 del Reglamento (UE) no 910/2014 establece que un sistema de identificación electrónica notificado en virtud del artículo 9, apartado 1, debe especificar los niveles de seguridad bajo, sustancial y alto de los medios de identificación electrónica expedidos en el marco de ese sistema. |
(2) |
Determinar las especificaciones, las normas y los procedimientos técnicos mínimos es fundamental a fin de garantizar un entendimiento común en cuanto a los detalles de los niveles de seguridad, así como la interoperabilidad al correlacionar los niveles de seguridad nacionales de los sistemas de identificación electrónica notificados con los niveles de seguridad contemplados en el artículo 8, de conformidad con el artículo 12, apartado 4, letra b), del Reglamento (UE) no 910/2014. |
(3) |
Se ha tenido en cuenta la norma internacional ISO/CEI 29115 en relación con las especificaciones y los procedimientos establecidos en el presente acto de ejecución como norma internacional de principio disponible en el dominio de los niveles de seguridad de los medios de identificación electrónica. No obstante, el contenido del Reglamento (UE) no 910/2014 difiere de esa norma internacional, en particular por lo que se refiere a los requisitos de prueba y verificación de la identidad, así como a la forma en que se tienen en cuenta las diferencias entre las disposiciones de los Estados miembros en materia de identidad y las herramientas existentes en la UE para el mismo fin. Por lo tanto, el anexo, aunque se basa en esta norma internacional, no debe hacer referencia a ningún contenido específico de la norma ISO/CEI 29115. |
(4) |
El presente Reglamento se ha desarrollado en forma de enfoque basado en los resultados, que es el más apropiado, lo que también se refleja en las definiciones que se utilizan para especificar los términos y conceptos. Estas tienen en cuenta el objetivo del Reglamento (UE) no 910/2014 en relación con los niveles de seguridad de los medios de identificación electrónica. Por lo tanto, el proyecto piloto a gran escala STORK, incluidas las especificaciones desarrolladas por él, y las definiciones y los conceptos de la norma ISO/CEI 29115 se deben tener en cuenta en la mayor medida posible al establecer las especificaciones y los procedimientos previstos en el presente acto de ejecución. |
(5) |
En función del contexto en el que haya que verificar un aspecto de la prueba de la identidad, las fuentes auténticas pueden adoptar diferentes formas, como registros, documentos y organismos, entre otros. Las fuentes auténticas pueden ser diferentes en los distintos Estados miembros, incluso en un contexto similar. |
(6) |
Los requisitos de prueba y verificación de la identidad deben tener en cuenta los distintos sistemas y prácticas, y garantizar al mismo tiempo una seguridad suficientemente alta con el fin de establecer la confianza necesaria. Por lo tanto, la aceptación de los procedimientos utilizados anteriormente para un fin distinto de la expedición de los medios de identificación electrónica debe estar condicionada a la confirmación de que dichos procedimientos cumplen los requisitos previstos para el correspondiente nivel de seguridad. |
(7) |
Se suelen emplear ciertos factores de autenticación, como secretos compartidos, dispositivos físicos y atributos físicos. No obstante, se debe fomentar el uso de un mayor número de factores de autenticación, especialmente de las diferentes categorías de factores, para aumentar la seguridad del proceso de autenticación. |
(8) |
El presente Reglamento no debe afectar a los derechos de representación de las personas jurídicas. Sin embargo, el anexo debe contemplar los requisitos relacionados con la vinculación entre los medios de identificación electrónica de las personas físicas y jurídicas. |
(9) |
Debe reconocerse la importancia de los sistemas de gestión de la seguridad de la información y de los servicios, así como también la importancia de utilizar metodologías reconocidas y de aplicar los principios incorporados en normas como las de las series ISO/CEI 27000 e ISO/CEI 20000. |
(10) |
También deben tenerse en cuenta las buenas prácticas en relación con los niveles de seguridad en los Estados miembros. |
(11) |
La certificación de seguridad TI basada en normas internacionales es un importante instrumento para verificar si las características de seguridad de los productos cumplen los requisitos del presente acto de ejecución. |
(12) |
El Comité mencionado en el artículo 48 del Reglamento (UE) no 910/2014 no ha emitido ningún dictamen en el plazo fijado por su Presidente. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
1. Los niveles de seguridad bajo, sustancial y alto de los medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado se determinarán con arreglo a las especificaciones y los procedimientos establecidos en el anexo.
2. Las especificaciones y los procedimientos establecidos en el anexo se utilizarán para especificar el nivel de seguridad de los medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado por medio de la determinación de la fiabilidad y la calidad de los siguientes elementos:
a) |
inscripción, como se establece en la sección 2.1 del anexo del presente Reglamento, de conformidad con el artículo 8, apartado 3, letra a), del Reglamento (UE) no 910/2014; |
b) |
gestión de medios de identificación electrónica, como se establece en la sección 2.2 del anexo del presente Reglamento, de conformidad con el artículo 8, apartado 3, letras b) y f), del Reglamento (UE) no 910/2014; |
c) |
autenticación, como se establece en la sección 2.3 del anexo del presente Reglamento, de conformidad con el artículo 8, apartado 3, letra c), del Reglamento (UE) no 910/2014; |
d) |
gestión y organización, como se establece en la sección 2.4 del anexo del presente Reglamento, de conformidad con el artículo 8, apartado 3, letras d) y e), del Reglamento (UE) no 910/2014. |
3. Cuando los medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado cumplen un requisito de un nivel de seguridad superior, se dará por supuesto que cumplen el requisito equivalente de un nivel de seguridad inferior.
4. A menos que se indique lo contrario en la parte pertinente del anexo, todos los elementos enumerados en el anexo para un determinado nivel de seguridad de los medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado deberán cumplirse para coincidir con el nivel de seguridad reclamado.
Artículo 2
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 8 de septiembre de 2015.
Por la Comisión
El Presidente
Jean-Claude JUNCKER
(1) DO L 257 de 28.8.2014, p. 73.
ANEXO
Especificaciones y procedimientos técnicos de los niveles de calidad bajo, sustancial y alto para medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado
1. Definiciones aplicables
A efectos del presente anexo, se aplicarán las definiciones siguientes:
1) «fuente auténtica»: cualquier fuente, independientemente de la forma, en la que se pueda confiar para proporcionar datos, información o pruebas exactos que se puedan utilizar para demostrar la identidad;
2) «factor de autenticación»: un factor confirmado como vinculado a una persona, que se encuentra en alguna de las categorías siguientes:
a) «factor de autenticación basado en la posesión»: factor de autenticación en el que el sujeto está obligado a demostrar posesión del mismo;
b) «factor de autenticación basado en el conocimiento»: factor de autenticación en el que el sujeto está obligado a demostrar conocimiento del mismo;
c) «factor de autenticación inherente»: factor de autenticación que se basa en un atributo físico de una persona física del cual el sujeto está obligado a demostrar su posesión;
3) «autenticación dinámica»: proceso electrónico que utiliza criptografía u otras técnicas para proporcionar un medio de crear a petición una prueba electrónica que demuestre que el sujeto controla o posee los datos de identificación y que cambia con cada autenticación entre el sujeto y el sistema que verifica la identidad del sujeto;
4) «sistema de gestión de la seguridad de la información»: conjunto de procesos y procedimientos diseñados para gestionar a niveles aceptables los riesgos relacionados con la seguridad de la información.
2. Especificaciones y procedimientos técnicos
Los elementos de las especificaciones y los procedimientos técnicos establecidos en el presente anexo se utilizarán para determinar cómo se aplicarán los requisitos y criterios establecidos en el artículo 8 del Reglamento (UE) no 910/2014 en relación con los medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica.
2.1. Inscripción
2.1.1.
Nivel de seguridad |
Elementos necesarios |
||||||
Bajo |
|
||||||
Sustancial |
Igual que el nivel bajo. |
||||||
Alto |
Igual que el nivel bajo. |
2.1.2.
Nivel de seguridad |
Elementos necesarios |
||||||||||
Bajo |
|
||||||||||
Sustancial |
Nivel bajo y, además, se debe cumplir una de las alternativas indicadas en los puntos 1 a 4:
|
||||||||||
Alto |
Deben cumplirse los requisitos del punto 1 o 2:
|
2.1.3.
Nivel de seguridad |
Elementos necesarios |
||||||
Bajo |
|
||||||
Sustancial |
Nivel bajo y, además, se debe cumplir una de las alternativas indicadas en los puntos 1 a 3:
|
||||||
Alto |
Nivel sustancial y, además, se debe cumplir una de las alternativas indicadas en los puntos 1 a 3:
|
2.1.4.
En su caso, para la vinculación de los medios de identificación electrónica de una persona física y los medios de identificación electrónica de una persona jurídica («vinculación»), se aplican las condiciones siguientes:
1) |
Deberá ser posible suspender y/o revocar una vinculación. El ciclo de vida de una vinculación (por ejemplo, activación, suspensión, renovación, revocación) se administrará de conformidad con los procedimientos reconocidos a escala nacional. |
2) |
La persona física cuyos medios de identificación electrónica están vinculados a los miembros de identificación electrónica de la persona jurídica podrá delegar el ejercicio de la vinculación en otra persona física sobre la base de los procedimientos reconocidos a nivel nacional. No obstante, la persona física que realiza la delegación seguirá siendo responsable. |
3) |
La vinculación se realizará de la siguiente manera:
|
2.2. Gestión de medios de identificación electrónica
2.2.1.
Nivel de seguridad |
Elementos necesarios |
||||
Bajo |
|
||||
Sustancial |
|
||||
Alto |
Nivel sustancial, además de lo siguiente:
|
2.2.2.
Nivel de seguridad |
Elementos necesarios |
Bajo |
Después de la expedición, el medio de identificación electrónica se entrega a través de un mecanismo mediante el cual se puede suponer que solo llega a la persona prevista. |
Sustancial |
Después de la expedición, el medio de identificación electrónica se entrega a través de un mecanismo mediante el cual se puede suponer que solo se entrega a la persona a la que pertenece. |
Alto |
El proceso de activación verifica que el medio de identificación electrónica solo se entrega a la persona a la que pertenece. |
2.2.3.
Nivel de seguridad |
Elementos necesarios |
||||||
Bajo |
|
||||||
Sustancial |
Igual que el nivel bajo. |
||||||
Alto |
Igual que el nivel bajo. |
2.2.4.
Nivel de seguridad |
Elementos necesarios |
Bajo |
Teniendo en cuenta los riesgos de un cambio en los datos de identificación de la persona, la renovación o sustitución debe cumplir los mismos requisitos de seguridad que la prueba y verificación de identidad inicial o basarse en un medio de identificación electrónica válido del mismo nivel de seguridad o de un nivel superior. |
Sustancial |
Igual que el nivel bajo. |
Alto |
Nivel bajo, además de lo siguiente: Si la renovación o sustitución se basa en un medio de identificación electrónica válido, los datos de identidad se verifican con una fuente auténtica. |
2.3. Autenticación
Esta sección se centra en las amenazas asociadas al uso del mecanismo de autenticación y enumera los requisitos de cada nivel de seguridad. En esta sección se da por entendido que los controles están en consonancia con los riesgos en el nivel determinado.
2.3.1.
La tabla siguiente establece los requisitos por nivel de seguridad con respecto al mecanismo de autenticación, a través del cual la persona física o jurídica utiliza los medios de identificación electrónica para confirmar su identidad a la parte usuaria.
Nivel de seguridad |
Elementos necesarios |
||||||
Bajo |
|
||||||
Sustancial |
Nivel bajo, además de lo siguiente:
|
||||||
Alto |
Nivel sustancial, además de lo siguiente: El mecanismo de autenticación aplica controles de seguridad para la verificación de los medios de identificación electrónica, por lo que es muy poco probable que actividades como intentos de adivinación, escucha, reproducción o manipulación de la comunicación por un atacante con potencial de ataque alto puedan alterar los mecanismos de autenticación. |
2.4. Gestión y organización
Todos los participantes que presten un servicio relacionado con la identificación electrónica en un contexto transfronterizo («proveedores») contarán con prácticas y políticas de gestión de la seguridad de la información documentadas, metodologías de gestión de riesgo y otros controles reconocidos para proporcionar garantías a los órganos de control apropiados encargados de los sistemas de identificación electrónica de los respectivos Estados miembros de que se aplican prácticas eficaces. En la sección 2.4, todos los requisitos o elementos deberán entenderse como acordes a los riesgos en el nivel determinado.
2.4.1.
Nivel de seguridad |
Elementos necesarios |
||||||||||
Bajo |
|
||||||||||
Sustancial |
Igual que el nivel bajo. |
||||||||||
Alto |
Igual que el nivel bajo. |
2.4.2.
Nivel de seguridad |
Elementos necesarios |
||||||
Bajo |
|
||||||
Sustancial |
Igual que el nivel bajo. |
||||||
Alto |
Igual que el nivel bajo. |
2.4.3.
Nivel de seguridad |
Elementos necesarios |
Bajo |
Existe un sistema de gestión de la seguridad de la información eficaz para la gestión y el control de los riesgos para la seguridad de la información. |
Sustancial |
Nivel bajo, además de lo siguiente: El sistema de gestión de la seguridad de la información satisface normas o principios establecidos para la gestión y el control de los riesgos para la seguridad de la información. |
Alto |
Igual que el nivel sustancial. |
2.4.4.
Nivel de seguridad |
Elementos necesarios |
||||
Bajo |
|
||||
Sustancial |
Igual que el nivel bajo. |
||||
Alto |
Igual que el nivel bajo. |
2.4.5.
La siguiente tabla representa los requisitos relativos a las instalaciones, el personal y los subcontratistas, en su caso, que desempeñen las funciones reguladas por el presente Reglamento. El cumplimiento de cada uno de los requisitos será proporcional al nivel de riesgo asociado al nivel de seguridad indicado.
Nivel de seguridad |
Elementos necesarios |
||||||||
Bajo |
|
||||||||
Sustancial |
Igual que el nivel bajo. |
||||||||
Alto |
Igual que el nivel bajo. |
2.4.6.
Nivel de seguridad |
Elementos necesarios |
||||||||||
Bajo |
|
||||||||||
Sustancial |
Igual que el nivel bajo, además de lo siguiente: El material criptográfico confidencial, si se utiliza para la expedición de medios de identificación electrónica y autenticación, está protegido contra su manipulación |
||||||||||
Alto |
Igual que el nivel sustancial. |
2.4.7.
Nivel de seguridad |
Elementos necesarios |
||||
Bajo |
Existencia de auditorías internas periódicas cuyo ámbito comprenda todas las partes pertinentes para la prestación de los servicios a fin de garantizar el cumplimiento de las políticas pertinentes. |
||||
Sustancial |
Existencia de auditorías internas o externas periódicas e independientes cuyo ámbito comprenda todas las partes pertinentes para la prestación de los servicios a fin de garantizar el cumplimiento de las políticas pertinentes. |
||||
Alto |
|
(1) Reglamento (CE) no 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos y por el que se deroga el Reglamento (CEE) no 339/93 (DO L 218 de 13.8.2008, p. 30).