ISSN 1977-0685 |
||
Diario Oficial de la Unión Europea |
L 235 |
|
Edición en lengua española |
Legislación |
58° año |
|
|
|
(1) Texto pertinente a efectos del EEE |
ES |
Los actos cuyos títulos van impresos en caracteres finos son actos de gestión corriente, adoptados en el marco de la política agraria, y que tienen generalmente un período de validez limitado. Los actos cuyos títulos van impresos en caracteres gruesos y precedidos de un asterisco son todos los demás actos. |
II Actos no legislativos
REGLAMENTOS
9.9.2015 |
ES |
Diario Oficial de la Unión Europea |
L 235/1 |
REGLAMENTO DE EJECUCIÓN (UE) 2015/1501 DE LA COMISIÓN
de 8 de septiembre de 2015
sobre el marco de interoperabilidad de conformidad con el artículo 12, apartado 8, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (1), y, en particular, su artículo 12, apartado 8,
Considerando lo siguiente:
(1) |
El artículo 12, apartado 2, del Reglamento (UE) no 910/2014 dispone que debe establecerse un marco de interoperabilidad de los sistemas nacionales de identificación electrónica notificados de conformidad con el artículo 9, apartado 1, de dicho Reglamento. |
(2) |
Los nodos desempeñan un papel central en la interconexión de los sistemas de identificación electrónica de los Estados miembros. Su contribución se explica en la documentación relacionada con el Mecanismo «Conectar Europa» establecido por el Reglamento (UE) no 1316/2013 del Parlamento Europeo y del Consejo (2), incluidos los componentes y las funciones del «nodo eIDAS». |
(3) |
Cuando un Estado miembro o la Comisión proporcionan software para habilitar la autenticación en un nodo explotado en otro Estado miembro, la parte que suministra y actualiza el software utilizado para el mecanismo de autenticación puede acordar con la parte que aloja el software cómo se gestionará el funcionamiento del mecanismo de autenticación. Un acuerdo de este tipo no debe imponer requisitos técnicos o costes desproporcionados (incluidos la asistencia, las responsabilidades, el alojamiento y otros costes) a la parte que realiza el alojamiento. |
(4) |
En la medida en que la aplicación del marco de interoperabilidad lo justifique, la Comisión podría desarrollar especificaciones técnicas adicionales que proporcionen información detallada sobre los requisitos técnicos establecidos en el presente Reglamento, en cooperación con los Estados miembros, en particular teniendo en cuenta los dictámenes de la Red de Cooperación a que se refiere el artículo 14, letra d), de la Decisión de Ejecución (UE) 2015/296 de la Comisión (3). Dichas especificaciones deben desarrollarse como parte de las infraestructuras de servicios digitales del Reglamento (UE) no 1316/2013, en el que se proporcionan los medios para la aplicación práctica de un módulo de identificación electrónica. |
(5) |
Los requisitos técnicos establecidos en el presente Reglamento deben ser aplicables a pesar de los cambios en las especificaciones técnicas que podrían desarrollarse de conformidad con el artículo 12 del presente Reglamento. |
(6) |
El proyecto piloto a gran escala STORK, incluidas las especificaciones que desarrolle, y los principios y los conceptos del marco europeo de interoperabilidad para los servicios públicos europeos se han tenido en cuenta en la mayor medida posible al establecer las disposiciones del marco de interoperabilidad previsto en el presente Reglamento. |
(7) |
Los resultados de la cooperación entre los Estados miembros se han tenido en cuenta en la mayor medida posible. |
(8) |
Las medidas previstas en el presente Reglamento se ajustan al Dictamen del Comité establecido por el artículo 48 del Reglamento (UE) no 910/2014. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
Objeto
El presente Reglamento establece los requisitos técnicos y de funcionamiento del marco de interoperabilidad con el fin de garantizar la interoperabilidad de los sistemas de identificación electrónica que los Estados miembros notifiquen a la Comisión.
Estos requisitos incluyen en particular:
a) |
requisitos técnicos mínimos relacionados con los niveles de seguridad y la correlación de niveles de seguridad nacionales de medios de identificación electrónica notificados expedidos en el marco de sistemas de identificación electrónica notificados en virtud del artículo 8 del Reglamento (UE) no 910/2014, como se establece en los artículos 3 y 4; |
b) |
requisitos técnicos mínimos de interoperabilidad, como se establece en los artículos 5 y 8; |
c) |
el conjunto mínimo de datos de identificación de personas que representen de manera exclusiva a una persona física o jurídica, como se establece en el artículo 11 y en el anexo; |
d) |
normas de seguridad operativa comunes, como se establece en los artículos 6, 7, 9 y 10; |
e) |
disposiciones para la solución de litigios, como se establece en el artículo 13. |
Artículo 2
Definiciones
A efectos del presente Reglamento, se aplicarán las siguientes definiciones:
1) «nodo»: punto de conexión que forma parte de la arquitectura de interoperabilidad de identificación electrónica, que participa en la autenticación transfronteriza de las personas y que tiene la capacidad de reconocer y procesar o reenviar transmisiones a otros nodos permitiendo a la infraestructura de identificación electrónica nacional de un Estado miembro interaccionar con las infraestructuras de identificación electrónica nacionales de otros Estados miembros;
2) «operador del nodo»: entidad responsable de garantizar que el nodo realiza de manera correcta y fiable sus funciones como punto de conexión.
Artículo 3
Requisitos técnicos mínimos relacionados con los niveles de seguridad
Los requisitos técnicos mínimos relacionados con los niveles de seguridad serán los establecidos en el Reglamento de Ejecución (UE) 2015/1502 (4) de la Comisión.
Artículo 4
Correlación de los niveles de seguridad nacionales
La correlación de los niveles de seguridad nacionales de los sistemas de identificación electrónica notificados se ajustará a los requisitos establecidos en el Reglamento de Ejecución (UE) 2015/1502 de la Comisión. Los resultados de la correlación se notificarán a la Comisión mediante la plantilla de notificación establecida en la Decisión de Ejecución (UE) 2015/1505 (5) de la Comisión.
Artículo 5
Nodos
1. Un nodo de un Estado miembro será capaz de conectarse con los nodos de otros Estados miembros.
2. Los nodos serán capaces de distinguir entre los organismos del sector público y otras partes usuarias por medios técnicos.
3. La aplicación por parte de un Estado miembro de los requisitos técnicos establecidos en el presente Reglamento no impondrá requisitos técnicos y costes desproporcionados a los demás Estados miembros con el fin de que puedan interoperar con la aplicación adoptada por el primer Estado miembro.
Artículo 6
Privacidad y confidencialidad de datos
1. La protección de la privacidad y la confidencialidad de los datos intercambiados y el mantenimiento de la integridad de los datos entre los nodos se garantizarán mediante las mejores soluciones técnicas y prácticas de protección disponibles.
2. Los nodos no almacenarán ningún dato personal, salvo para los fines establecidos en el artículo 9, apartado 3.
Artículo 7
Integridad y autenticidad de los datos para la comunicación
La comunicación entre los nodos garantizará la integridad y autenticidad de los datos para asegurar que todas las solicitudes y respuestas sean auténticas y no hayan sido alteradas. Con este fin, los nodos utilizarán las soluciones que se han empleado con éxito en el uso operativo transfronterizo.
Artículo 8
Formato de los mensajes para la comunicación
Los nodos utilizarán para la sintaxis formatos de mensaje comunes basados en las normas que ya se hayan implantado más de una vez entre los Estados miembros y que hayan demostrado funcionar en un entorno operativo. La sintaxis permitirá:
a) |
el correcto tratamiento del conjunto mínimo de datos de identificación de la persona que representen de manera exclusiva a una persona física o jurídica; |
b) |
el correcto tratamiento del nivel de seguridad de los medios de identificación electrónica; |
c) |
la distinción entre los organismos del sector público y otras partes usuarias; |
d) |
la flexibilidad para satisfacer las necesidades de atributos adicionales relacionados con la identificación. |
Artículo 9
Gestión de los metadatos y la información de seguridad
1. El operador del nodo comunicará los metadatos de la gestión del nodo de una manera normalizada que pueda procesarse por medios mecánicos y de modo seguro y fiable.
2. Como mínimo los parámetros pertinentes para la seguridad se recuperarán de forma automática.
3. El operador del nodo almacenará datos que, en caso de producirse un incidente, permitan la reconstrucción de la secuencia del intercambio de mensajes para establecer el lugar y la naturaleza del incidente. Los datos se almacenarán durante un período de tiempo conforme a los requisitos nacionales y, como mínimo, constarán de los siguientes elementos:
a) |
identificación del nodo; |
b) |
identificación de los mensajes; |
c) |
fecha y hora de los mensajes. |
Artículo 10
Seguridad de la información y normas de seguridad
1. Los operadores de nodos que proporcionen autenticación demostrarán que, con respecto a los nodos participantes en el marco de interoperabilidad, el nodo cumple los requisitos de la norma ISO/CEI 27001 por medio de certificación, o por métodos de evaluación equivalentes, o mediante el cumplimiento de la legislación nacional.
2. Los operadores de nodos implantarán actualizaciones críticas de seguridad sin demora indebida.
Artículo 11
Datos de identificación de la persona
1. Un conjunto mínimo de datos de identificación de la persona que represente de manera exclusiva a una persona física o jurídica cumplirá los requisitos establecidos en el anexo cuando se utilice en un contexto transfronterizo.
2. Un conjunto de datos mínimos para una persona física que represente a una persona jurídica contendrá la combinación de los atributos que se indican en el anexo para las personas físicas y las personas jurídicas cuando se utilice en un contexto transfronterizo.
3. Los datos se transmitirán según el alfabeto original y, en su caso, también se transliterarán al alfabeto latino.
Artículo 12
Especificaciones técnicas
1. En los casos en que lo justifique el proceso de aplicación del marco de interoperabilidad, la Red de Cooperación establecida por la Decisión de Ejecución (UE) 2015/296 podrá adoptar dictámenes de conformidad con el artículo 14, letra d), de la misma sobre la necesidad de desarrollar especificaciones técnicas. Estas especificaciones técnicas deberán proporcionar más detalles sobre los requisitos técnicos establecidos en el presente Reglamento.
2. De conformidad con el dictamen a que se refiere el apartado 1, la Comisión, en cooperación con los Estados miembros, desarrollará las especificaciones técnicas como parte de las infraestructuras de servicios digitales del Reglamento (UE) no 1316/2013.
3. La Red de Cooperación adoptará un dictamen de conformidad con el artículo 14, letra d), de la Decisión de Ejecución (UE) 2015/296 en el que se evalúe si las especificaciones técnicas desarrolladas en virtud del apartado 2 corresponden a la necesidad identificada en el dictamen a que se refiere el apartado 1 o a los requisitos establecidos en el presente Reglamento y en qué medida. Podrá recomendar a los Estados miembros que tengan en cuenta las especificaciones técnicas al aplicar el marco de interoperabilidad.
4. La Comisión proporcionará una aplicación de referencia como ejemplo de interpretación de las especificaciones técnicas. Los Estados miembros podrán aplicar esa aplicación de referencia o utilizarla a modo de ejemplo al probar otras aplicaciones de las especificaciones técnicas.
Artículo 13
Resolución de litigios
1. En la medida de lo posible, cualquier litigio relacionado con el marco de interoperabilidad será resuelto por los Estados miembros afectados por medio de una negociación.
2. Si no se llega a ninguna solución de conformidad con el apartado 1, la Red de Cooperación establecida de conformidad con lo dispuesto en el artículo 12 de la Decisión de Ejecución (UE) 2015/296 de la Comisión tendrá competencia en el litigio de acuerdo con su reglamento de procedimiento.
Artículo 14
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 8 de septiembre de 2015.
Por la Comisión
El Presidente
Jean-Claude JUNCKER
(1) DO L 257 de 28.8.2014, p. 73.
(2) Reglamento (UE) no 1316/2013 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2013, por el que se crea el Mecanismo «Conectar Europa», por el que se modifica el Reglamento (UE) no 913/2010 y por el que se derogan los Reglamentos (CE) no 680/2007 y (CE) no 67/2010 (DO L 348 de 20.12.2013, p. 129).
(3) Decisión de Ejecución (UE) 2015/296 de la Comisión, de 24 de febrero de 2015, por la que se establecen las modalidades de procedimiento para la cooperación entre los Estados miembros en materia de identificación electrónica con arreglo al artículo 12, apartado 7, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (DO L 53 de 25.2.2015, p. 14).
(4) Reglamento de Ejecución (UE) 2015/1502 de la Comisión, de 8 de septiembre de 2015, sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica con arreglo a lo dispuesto en el artículo 8, apartado 3, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (véase la página 7 del presente Diario Oficial).
(5) Decisión de Ejecución (UE) 2015/1505 de la Comisión, de 8 de septiembre de 2015, por la que se establecen las especificaciones técnicas y los formatos relacionados con las listas de confianza de conformidad con el artículo 22, apartado 5, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (véase la página 26 del presente Diario Oficial).
ANEXO
Requisitos relativos al conjunto mínimo de datos de identificación de la persona que representen de manera exclusiva a una persona física o jurídica, a que se refiere el artículo 11
1. Conjunto mínimo de datos para una persona física
El conjunto mínimo de datos para una persona física contendrá todos los siguientes atributos obligatorios:
a) |
apellido o apellidos actuales; |
b) |
nombre o nombres actuales; |
c) |
fecha de nacimiento; |
d) |
un identificador único confeccionado por el Estado miembro expedidor de conformidad con las especificaciones técnicas para los fines de identificación transfronteriza y que sea tan constante como sea posible a lo largo del tiempo. |
El conjunto mínimo de datos para una persona física podrá contener uno o más de los siguientes atributos adicionales:
a) |
nombre o nombres y apellido o apellidos de nacimiento; |
b) |
lugar de nacimiento; |
c) |
dirección actual; |
d) |
sexo. |
2. Conjunto mínimo de datos para una persona jurídica
El conjunto mínimo de datos para una persona jurídica contendrá todos los siguientes atributos obligatorios:
a) |
nombre jurídico actual; |
b) |
un identificador único confeccionado por el Estado miembro expedidor de conformidad con las especificaciones técnicas para los fines de identificación transfronteriza y que sea tan constante como sea posible a lo largo del tiempo. |
El conjunto mínimo de datos para una persona jurídica podrá contener uno o más de los siguientes atributos adicionales:
a) |
dirección actual; |
b) |
número de registro de IVA; |
c) |
número de referencia fiscal; |
d) |
el identificador relacionado con el artículo 3, apartado 1, de la Directiva 2009/101/CE del Parlamento Europeo y del Consejo (1); |
e) |
el identificador de entidades jurídicas (LEI) al que se refiere el Reglamento de Ejecución (UE) no 1247/2012 de la Comisión (2); |
f) |
el número de registro e identificación de operadores económicos (número EORI) al que se refiere el Reglamento de Ejecución (UE) no 1352/2013 de la Comisión (3); |
g) |
número de impuestos especiales indicado en el artículo 2, punto 12, del Reglamento (UE) no 389/2012 del Consejo (4). |
(1) Directiva 2009/101/CE del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, tendente a coordinar, para hacerlas equivalentes, las garantías exigidas en los Estados miembros a las sociedades definidas en el artículo 48, párrafo segundo, del Tratado, para proteger los intereses de socios y terceros (DO L 258 de 1.10.2009, p. 11).
(2) Reglamento de Ejecución (UE) no 1247/2012 de la Comisión, de 19 de diciembre de 2012, por el que se establecen normas técnicas de ejecución relativas al formato y la frecuencia de las notificaciones de operaciones a los registros de operaciones, de conformidad con el Reglamento (UE) no 648/2012 del Parlamento Europeo y del Consejo, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (DO L 352 de 21.12.2012, p. 20).
(3) Reglamento de Ejecución (UE) no 1352/2013 de la Comisión, de 4 de diciembre de 2013, por el que se establecen los formularios previstos en el Reglamento (UE) no 608/2013 del Parlamento Europeo y del Consejo, relativo a la vigilancia por parte de las autoridades aduaneras del respeto de los derechos de propiedad intelectual (DO L 341 de 18.12.2013, p. 10).
(4) Reglamento (UE) no 389/2012 del Consejo, de 2 de mayo de 2012, sobre cooperación administrativa en el ámbito de los impuestos especiales y por el que se deroga el Reglamento (CE) no 2073/2004 (DO L 121 de 8.5.2012, p. 1).
9.9.2015 |
ES |
Diario Oficial de la Unión Europea |
L 235/7 |
REGLAMENTO DE EJECUCIÓN (UE) 2015/1502 DE LA COMISIÓN
de 8 de septiembre de 2015
sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica con arreglo a lo dispuesto en el artículo 8, apartado 3, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y, en particular, su artículo 8, apartado 3,
Considerando lo siguiente:
(1) |
El artículo 8 del Reglamento (UE) no 910/2014 establece que un sistema de identificación electrónica notificado en virtud del artículo 9, apartado 1, debe especificar los niveles de seguridad bajo, sustancial y alto de los medios de identificación electrónica expedidos en el marco de ese sistema. |
(2) |
Determinar las especificaciones, las normas y los procedimientos técnicos mínimos es fundamental a fin de garantizar un entendimiento común en cuanto a los detalles de los niveles de seguridad, así como la interoperabilidad al correlacionar los niveles de seguridad nacionales de los sistemas de identificación electrónica notificados con los niveles de seguridad contemplados en el artículo 8, de conformidad con el artículo 12, apartado 4, letra b), del Reglamento (UE) no 910/2014. |
(3) |
Se ha tenido en cuenta la norma internacional ISO/CEI 29115 en relación con las especificaciones y los procedimientos establecidos en el presente acto de ejecución como norma internacional de principio disponible en el dominio de los niveles de seguridad de los medios de identificación electrónica. No obstante, el contenido del Reglamento (UE) no 910/2014 difiere de esa norma internacional, en particular por lo que se refiere a los requisitos de prueba y verificación de la identidad, así como a la forma en que se tienen en cuenta las diferencias entre las disposiciones de los Estados miembros en materia de identidad y las herramientas existentes en la UE para el mismo fin. Por lo tanto, el anexo, aunque se basa en esta norma internacional, no debe hacer referencia a ningún contenido específico de la norma ISO/CEI 29115. |
(4) |
El presente Reglamento se ha desarrollado en forma de enfoque basado en los resultados, que es el más apropiado, lo que también se refleja en las definiciones que se utilizan para especificar los términos y conceptos. Estas tienen en cuenta el objetivo del Reglamento (UE) no 910/2014 en relación con los niveles de seguridad de los medios de identificación electrónica. Por lo tanto, el proyecto piloto a gran escala STORK, incluidas las especificaciones desarrolladas por él, y las definiciones y los conceptos de la norma ISO/CEI 29115 se deben tener en cuenta en la mayor medida posible al establecer las especificaciones y los procedimientos previstos en el presente acto de ejecución. |
(5) |
En función del contexto en el que haya que verificar un aspecto de la prueba de la identidad, las fuentes auténticas pueden adoptar diferentes formas, como registros, documentos y organismos, entre otros. Las fuentes auténticas pueden ser diferentes en los distintos Estados miembros, incluso en un contexto similar. |
(6) |
Los requisitos de prueba y verificación de la identidad deben tener en cuenta los distintos sistemas y prácticas, y garantizar al mismo tiempo una seguridad suficientemente alta con el fin de establecer la confianza necesaria. Por lo tanto, la aceptación de los procedimientos utilizados anteriormente para un fin distinto de la expedición de los medios de identificación electrónica debe estar condicionada a la confirmación de que dichos procedimientos cumplen los requisitos previstos para el correspondiente nivel de seguridad. |
(7) |
Se suelen emplear ciertos factores de autenticación, como secretos compartidos, dispositivos físicos y atributos físicos. No obstante, se debe fomentar el uso de un mayor número de factores de autenticación, especialmente de las diferentes categorías de factores, para aumentar la seguridad del proceso de autenticación. |
(8) |
El presente Reglamento no debe afectar a los derechos de representación de las personas jurídicas. Sin embargo, el anexo debe contemplar los requisitos relacionados con la vinculación entre los medios de identificación electrónica de las personas físicas y jurídicas. |
(9) |
Debe reconocerse la importancia de los sistemas de gestión de la seguridad de la información y de los servicios, así como también la importancia de utilizar metodologías reconocidas y de aplicar los principios incorporados en normas como las de las series ISO/CEI 27000 e ISO/CEI 20000. |
(10) |
También deben tenerse en cuenta las buenas prácticas en relación con los niveles de seguridad en los Estados miembros. |
(11) |
La certificación de seguridad TI basada en normas internacionales es un importante instrumento para verificar si las características de seguridad de los productos cumplen los requisitos del presente acto de ejecución. |
(12) |
El Comité mencionado en el artículo 48 del Reglamento (UE) no 910/2014 no ha emitido ningún dictamen en el plazo fijado por su Presidente. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
1. Los niveles de seguridad bajo, sustancial y alto de los medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado se determinarán con arreglo a las especificaciones y los procedimientos establecidos en el anexo.
2. Las especificaciones y los procedimientos establecidos en el anexo se utilizarán para especificar el nivel de seguridad de los medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado por medio de la determinación de la fiabilidad y la calidad de los siguientes elementos:
a) |
inscripción, como se establece en la sección 2.1 del anexo del presente Reglamento, de conformidad con el artículo 8, apartado 3, letra a), del Reglamento (UE) no 910/2014; |
b) |
gestión de medios de identificación electrónica, como se establece en la sección 2.2 del anexo del presente Reglamento, de conformidad con el artículo 8, apartado 3, letras b) y f), del Reglamento (UE) no 910/2014; |
c) |
autenticación, como se establece en la sección 2.3 del anexo del presente Reglamento, de conformidad con el artículo 8, apartado 3, letra c), del Reglamento (UE) no 910/2014; |
d) |
gestión y organización, como se establece en la sección 2.4 del anexo del presente Reglamento, de conformidad con el artículo 8, apartado 3, letras d) y e), del Reglamento (UE) no 910/2014. |
3. Cuando los medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado cumplen un requisito de un nivel de seguridad superior, se dará por supuesto que cumplen el requisito equivalente de un nivel de seguridad inferior.
4. A menos que se indique lo contrario en la parte pertinente del anexo, todos los elementos enumerados en el anexo para un determinado nivel de seguridad de los medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado deberán cumplirse para coincidir con el nivel de seguridad reclamado.
Artículo 2
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 8 de septiembre de 2015.
Por la Comisión
El Presidente
Jean-Claude JUNCKER
(1) DO L 257 de 28.8.2014, p. 73.
ANEXO
Especificaciones y procedimientos técnicos de los niveles de calidad bajo, sustancial y alto para medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado
1. Definiciones aplicables
A efectos del presente anexo, se aplicarán las definiciones siguientes:
1) «fuente auténtica»: cualquier fuente, independientemente de la forma, en la que se pueda confiar para proporcionar datos, información o pruebas exactos que se puedan utilizar para demostrar la identidad;
2) «factor de autenticación»: un factor confirmado como vinculado a una persona, que se encuentra en alguna de las categorías siguientes:
a) «factor de autenticación basado en la posesión»: factor de autenticación en el que el sujeto está obligado a demostrar posesión del mismo;
b) «factor de autenticación basado en el conocimiento»: factor de autenticación en el que el sujeto está obligado a demostrar conocimiento del mismo;
c) «factor de autenticación inherente»: factor de autenticación que se basa en un atributo físico de una persona física del cual el sujeto está obligado a demostrar su posesión;
3) «autenticación dinámica»: proceso electrónico que utiliza criptografía u otras técnicas para proporcionar un medio de crear a petición una prueba electrónica que demuestre que el sujeto controla o posee los datos de identificación y que cambia con cada autenticación entre el sujeto y el sistema que verifica la identidad del sujeto;
4) «sistema de gestión de la seguridad de la información»: conjunto de procesos y procedimientos diseñados para gestionar a niveles aceptables los riesgos relacionados con la seguridad de la información.
2. Especificaciones y procedimientos técnicos
Los elementos de las especificaciones y los procedimientos técnicos establecidos en el presente anexo se utilizarán para determinar cómo se aplicarán los requisitos y criterios establecidos en el artículo 8 del Reglamento (UE) no 910/2014 en relación con los medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica.
2.1. Inscripción
2.1.1.
Nivel de seguridad |
Elementos necesarios |
||||||
Bajo |
|
||||||
Sustancial |
Igual que el nivel bajo. |
||||||
Alto |
Igual que el nivel bajo. |
2.1.2.
Nivel de seguridad |
Elementos necesarios |
||||||||||
Bajo |
|
||||||||||
Sustancial |
Nivel bajo y, además, se debe cumplir una de las alternativas indicadas en los puntos 1 a 4:
|
||||||||||
Alto |
Deben cumplirse los requisitos del punto 1 o 2:
|
2.1.3.
Nivel de seguridad |
Elementos necesarios |
||||||
Bajo |
|
||||||
Sustancial |
Nivel bajo y, además, se debe cumplir una de las alternativas indicadas en los puntos 1 a 3:
|
||||||
Alto |
Nivel sustancial y, además, se debe cumplir una de las alternativas indicadas en los puntos 1 a 3:
|
2.1.4.
En su caso, para la vinculación de los medios de identificación electrónica de una persona física y los medios de identificación electrónica de una persona jurídica («vinculación»), se aplican las condiciones siguientes:
1) |
Deberá ser posible suspender y/o revocar una vinculación. El ciclo de vida de una vinculación (por ejemplo, activación, suspensión, renovación, revocación) se administrará de conformidad con los procedimientos reconocidos a escala nacional. |
2) |
La persona física cuyos medios de identificación electrónica están vinculados a los miembros de identificación electrónica de la persona jurídica podrá delegar el ejercicio de la vinculación en otra persona física sobre la base de los procedimientos reconocidos a nivel nacional. No obstante, la persona física que realiza la delegación seguirá siendo responsable. |
3) |
La vinculación se realizará de la siguiente manera:
|
2.2. Gestión de medios de identificación electrónica
2.2.1.
Nivel de seguridad |
Elementos necesarios |
||||
Bajo |
|
||||
Sustancial |
|
||||
Alto |
Nivel sustancial, además de lo siguiente:
|
2.2.2.
Nivel de seguridad |
Elementos necesarios |
Bajo |
Después de la expedición, el medio de identificación electrónica se entrega a través de un mecanismo mediante el cual se puede suponer que solo llega a la persona prevista. |
Sustancial |
Después de la expedición, el medio de identificación electrónica se entrega a través de un mecanismo mediante el cual se puede suponer que solo se entrega a la persona a la que pertenece. |
Alto |
El proceso de activación verifica que el medio de identificación electrónica solo se entrega a la persona a la que pertenece. |
2.2.3.
Nivel de seguridad |
Elementos necesarios |
||||||
Bajo |
|
||||||
Sustancial |
Igual que el nivel bajo. |
||||||
Alto |
Igual que el nivel bajo. |
2.2.4.
Nivel de seguridad |
Elementos necesarios |
Bajo |
Teniendo en cuenta los riesgos de un cambio en los datos de identificación de la persona, la renovación o sustitución debe cumplir los mismos requisitos de seguridad que la prueba y verificación de identidad inicial o basarse en un medio de identificación electrónica válido del mismo nivel de seguridad o de un nivel superior. |
Sustancial |
Igual que el nivel bajo. |
Alto |
Nivel bajo, además de lo siguiente: Si la renovación o sustitución se basa en un medio de identificación electrónica válido, los datos de identidad se verifican con una fuente auténtica. |
2.3. Autenticación
Esta sección se centra en las amenazas asociadas al uso del mecanismo de autenticación y enumera los requisitos de cada nivel de seguridad. En esta sección se da por entendido que los controles están en consonancia con los riesgos en el nivel determinado.
2.3.1.
La tabla siguiente establece los requisitos por nivel de seguridad con respecto al mecanismo de autenticación, a través del cual la persona física o jurídica utiliza los medios de identificación electrónica para confirmar su identidad a la parte usuaria.
Nivel de seguridad |
Elementos necesarios |
||||||
Bajo |
|
||||||
Sustancial |
Nivel bajo, además de lo siguiente:
|
||||||
Alto |
Nivel sustancial, además de lo siguiente: El mecanismo de autenticación aplica controles de seguridad para la verificación de los medios de identificación electrónica, por lo que es muy poco probable que actividades como intentos de adivinación, escucha, reproducción o manipulación de la comunicación por un atacante con potencial de ataque alto puedan alterar los mecanismos de autenticación. |
2.4. Gestión y organización
Todos los participantes que presten un servicio relacionado con la identificación electrónica en un contexto transfronterizo («proveedores») contarán con prácticas y políticas de gestión de la seguridad de la información documentadas, metodologías de gestión de riesgo y otros controles reconocidos para proporcionar garantías a los órganos de control apropiados encargados de los sistemas de identificación electrónica de los respectivos Estados miembros de que se aplican prácticas eficaces. En la sección 2.4, todos los requisitos o elementos deberán entenderse como acordes a los riesgos en el nivel determinado.
2.4.1.
Nivel de seguridad |
Elementos necesarios |
||||||||||
Bajo |
|
||||||||||
Sustancial |
Igual que el nivel bajo. |
||||||||||
Alto |
Igual que el nivel bajo. |
2.4.2.
Nivel de seguridad |
Elementos necesarios |
||||||
Bajo |
|
||||||
Sustancial |
Igual que el nivel bajo. |
||||||
Alto |
Igual que el nivel bajo. |
2.4.3.
Nivel de seguridad |
Elementos necesarios |
Bajo |
Existe un sistema de gestión de la seguridad de la información eficaz para la gestión y el control de los riesgos para la seguridad de la información. |
Sustancial |
Nivel bajo, además de lo siguiente: El sistema de gestión de la seguridad de la información satisface normas o principios establecidos para la gestión y el control de los riesgos para la seguridad de la información. |
Alto |
Igual que el nivel sustancial. |
2.4.4.
Nivel de seguridad |
Elementos necesarios |
||||
Bajo |
|
||||
Sustancial |
Igual que el nivel bajo. |
||||
Alto |
Igual que el nivel bajo. |
2.4.5.
La siguiente tabla representa los requisitos relativos a las instalaciones, el personal y los subcontratistas, en su caso, que desempeñen las funciones reguladas por el presente Reglamento. El cumplimiento de cada uno de los requisitos será proporcional al nivel de riesgo asociado al nivel de seguridad indicado.
Nivel de seguridad |
Elementos necesarios |
||||||||
Bajo |
|
||||||||
Sustancial |
Igual que el nivel bajo. |
||||||||
Alto |
Igual que el nivel bajo. |
2.4.6.
Nivel de seguridad |
Elementos necesarios |
||||||||||
Bajo |
|
||||||||||
Sustancial |
Igual que el nivel bajo, además de lo siguiente: El material criptográfico confidencial, si se utiliza para la expedición de medios de identificación electrónica y autenticación, está protegido contra su manipulación |
||||||||||
Alto |
Igual que el nivel sustancial. |
2.4.7.
Nivel de seguridad |
Elementos necesarios |
||||
Bajo |
Existencia de auditorías internas periódicas cuyo ámbito comprenda todas las partes pertinentes para la prestación de los servicios a fin de garantizar el cumplimiento de las políticas pertinentes. |
||||
Sustancial |
Existencia de auditorías internas o externas periódicas e independientes cuyo ámbito comprenda todas las partes pertinentes para la prestación de los servicios a fin de garantizar el cumplimiento de las políticas pertinentes. |
||||
Alto |
|
(1) Reglamento (CE) no 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos y por el que se deroga el Reglamento (CEE) no 339/93 (DO L 218 de 13.8.2008, p. 30).
9.9.2015 |
ES |
Diario Oficial de la Unión Europea |
L 235/21 |
REGLAMENTO DE EJECUCIÓN (UE) 2015/1503 DE LA COMISIÓN
de 8 de septiembre de 2015
por el que se establecen valores de importación a tanto alzado para la determinación del precio de entrada de determinadas frutas y hortalizas
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) no 1308/2013 del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, por el que se crea la organización común de mercados de los productos agrarios y por el que se derogan los Reglamentos (CEE) no 922/72, (CEE) no 234/79, (CE) no 1037/2001 y (CE) no 1234/2007 (1),
Visto el Reglamento de Ejecución (UE) no 543/2011 de la Comisión, de 7 de junio de 2011, por el que se establecen disposiciones de aplicación del Reglamento (CE) no 1234/2007 del Consejo en los sectores de las frutas y hortalizas y de las frutas y hortalizas transformadas (2), y, en particular, su artículo 136, apartado 1,
Considerando lo siguiente:
(1) |
El Reglamento de Ejecución (UE) no 543/2011 establece, en aplicación de los resultados de las negociaciones comerciales multilaterales de la Ronda Uruguay, los criterios para que la Comisión fije los valores de importación a tanto alzado de terceros países correspondientes a los productos y períodos que figuran en el anexo XVI, parte A, de dicho Reglamento. |
(2) |
De acuerdo con el artículo 136, apartado 1, del Reglamento de Ejecución (UE) no 543/2011, el valor de importación a tanto alzado se calcula cada día hábil teniendo en cuenta datos que varían diariamente. Por lo tanto, el presente Reglamento debe entrar en vigor el día de su publicación en el Diario Oficial de la Unión Europea. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
En el anexo del presente Reglamento quedan fijados los valores de importación a tanto alzado a que se refiere el artículo 136 del Reglamento de Ejecución (UE) no 543/2011.
Artículo 2
El presente Reglamento entrará en vigor el día de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 8 de septiembre de 2015.
Por la Comisión,
en nombre del Presidente,
Jerzy PLEWA
Director General de Agricultura y Desarrollo Rural
(1) DO L 347 de 20.12.2013, p. 671.
(2) DO L 157 de 15.6.2011, p. 1.
ANEXO
Valores de importación a tanto alzado para la determinación del precio de entrada de determinadas frutas y hortalizas
(EUR/100 kg) |
||
Código NC |
Código tercer país (1) |
Valor de importación a tanto alzado |
0702 00 00 |
MA |
173,3 |
MK |
48,7 |
|
XS |
41,5 |
|
ZZ |
87,8 |
|
0707 00 05 |
MK |
76,3 |
TR |
116,3 |
|
XS |
42,0 |
|
ZZ |
78,2 |
|
0709 93 10 |
TR |
133,1 |
ZZ |
133,1 |
|
0805 50 10 |
AR |
135,9 |
BO |
135,7 |
|
CL |
125,5 |
|
UY |
142,2 |
|
ZA |
136,9 |
|
ZZ |
135,2 |
|
0806 10 10 |
EG |
239,8 |
MK |
63,9 |
|
TR |
129,5 |
|
ZZ |
144,4 |
|
0808 10 80 |
AR |
188,7 |
BR |
93,9 |
|
CL |
134,4 |
|
NZ |
143,4 |
|
US |
112,5 |
|
UY |
110,5 |
|
ZA |
117,6 |
|
ZZ |
128,7 |
|
0808 30 90 |
AR |
131,9 |
CL |
100,0 |
|
TR |
122,9 |
|
ZA |
113,5 |
|
ZZ |
117,1 |
|
0809 30 10, 0809 30 90 |
MK |
80,1 |
TR |
141,7 |
|
ZZ |
110,9 |
|
0809 40 05 |
BA |
54,8 |
IL |
336,8 |
|
MK |
44,1 |
|
XS |
70,3 |
|
ZZ |
126,5 |
(1) Nomenclatura de países fijada por el Reglamento (UE) no 1106/2012 de la Comisión, de 27 de noviembre de 2012, por el que se aplica el Reglamento (CE) no 471/2009 del Parlamento Europeo y del Consejo, sobre estadísticas comunitarias relativas al comercio exterior con terceros países, en lo que concierne a la actualización de la nomenclatura de países y territorios (DO L 328 de 28.11.2012, p. 7). El código «ZZ» significa «otros orígenes».
DECISIONES
9.9.2015 |
ES |
Diario Oficial de la Unión Europea |
L 235/24 |
DECISIÓN DE EJECUCIÓN (UE) 2015/1504 DE LA COMISIÓN
de 7 de septiembre de 2015
por la que se conceden excepciones a determinados Estados miembros en materia de suministro de estadísticas, con arreglo al Reglamento (CE) no 1099/2008 del Parlamento Europeo y del Consejo, relativo a las estadísticas sobre energía
[notificada con el número C(2015) 6105]
(Los textos en lenguas neerlandesa, estonia, francesa, griega y eslovaca son los únicos auténticos)
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (CE) no 1099/2008 del Parlamento Europeo y del Consejo, de 22 de octubre de 2008, relativo a las estadísticas sobre energía (1), y, en particular, su artículo 5, apartado 4, y su artículo 10, apartado 2,
Considerando lo siguiente:
(1) |
De conformidad con el artículo 5, apartado 4, del Reglamento (CE) no 1099/2008, a petición debidamente justificada de un Estado miembro, pueden concederse excepciones en relación con aquellas partes de las estadísticas nacionales cuya recogida suponga una carga excesiva para los consultados. |
(2) |
Bélgica, Estonia, Chipre y Eslovaquia han presentado solicitudes para obtener excepciones por lo que se refiere al suministro de estadísticas sobre el consumo energético de los hogares detallado por tipo de consumo final para determinados años de referencia. |
(3) |
La información facilitada por los Estados miembros justifica la concesión de excepciones. |
(4) |
Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité del Sistema Estadístico Europeo. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Se conceden las siguientes excepciones a lo dispuesto en el Reglamento (CE) no 1099/2008:
1. |
Se concede una excepción a Bélgica en lo que se refiere al suministro de resultados para el año de referencia 2015 en lo relativo al anexo B, punto 1.2.3, partidas 4.2.1 a 4.2.5, punto 2.2.3, partidas 4.2.1 a 4.2.5, punto 3.2.3, partidas 3.1 a 3.6, punto 4.2.3, partidas 7.2.1 a 7.2.5, y punto 5.2.4, partidas 4.2.1 a 4.2.5, sobre estadísticas relativas al consumo energético de los hogares detallado por tipo de consumo final (tal como se define en el anexo A, punto 2.3, partida 26, «Otros sectores — residencial»). |
2. |
Se concede una excepción a Estonia en lo que se refiere al suministro de resultados para los años de referencia 2015, 2016 y 2017 en lo relativo al anexo B, punto 1.2.3, partidas 4.2.1 a 4.2.5, punto 2.2.3, partidas 4.2.1 a 4.2.5, punto 3.2.3, partidas 3.1 a 3.6, punto 4.2.3, partidas 7.2.1 a 7.2.5, y punto 5.2.4, partidas 4.2.1 a 4.2.5, sobre estadísticas relativas al consumo energético de los hogares detallado por tipo de consumo final (tal como se define en el anexo A, punto 2.3, partida 26, «Otros sectores — residencial»). |
3. |
Se concede una excepción a Chipre en lo que se refiere al suministro de resultados para los años de referencia 2015, 2016 y 2017 en lo relativo anexo B, punto 1.2.3, partidas 4.2.1 a 4.2.5, punto 2.2.3, partidas 4.2.1 a 4.2.5, punto 3.2.3, partidas 3.1 a 3.6, y punto 5.2.4, partidas 4.2.1 a 4.2.5, sobre estadísticas relativas al consumo energético de los hogares detallado por tipo de consumo final (tal como se define en el anexo A, punto 2.3, partida 26, «Otros sectores — residencial»). |
4. |
Se concede una excepción a Eslovaquia en lo que se refiere al suministro de resultados para los años de referencia 2015 y 2016 en lo relativo al anexo B, punto 1.2.3, partidas 4.2.1 a 4.2.5, punto 2.2.3, partidas 4.2.1 a 4.2.5, punto 3.2.3, partidas 3.1 a 3.6, punto 4.2.3, partidas 7.2.1 a 7.2.5, y punto 5.2.4, partidas 4.2.1 a 4.2.5, sobre estadísticas relativas al consumo energético de los hogares detallado por tipo de consumo final (tal como se define en el anexo A, punto 2.3, partida 26, «Otros sectores — residencial»). |
Artículo 2
Los destinatarios de la presente Decisión serán el Reino de Bélgica, la República de Estonia, la República de Chipre y la República Eslovaca.
Hecho en Bruselas, el 7 de septiembre de 2015.
Por la Comisión
Marianne THYSSEN
Miembro de la Comisión
(1) DO L 304 de 14.11.2008, p. 1.
9.9.2015 |
ES |
Diario Oficial de la Unión Europea |
L 235/26 |
DECISIÓN DE EJECUCIÓN (UE) 2015/1505 DE LA COMISIÓN
de 8 de septiembre de 2015
por la que se establecen las especificaciones técnicas y los formatos relacionados con las listas de confianza de conformidad con el artículo 22, apartado 5, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (1), y, en particular, su artículo 22, apartado 5,
Considerando lo siguiente:
(1) |
Las listas de confianza son esenciales para la creación de un clima de confianza entre los operadores del mercado, ya que indican la cualificación del proveedor de servicios en el momento de la supervisión. |
(2) |
El uso transfronterizo de firmas electrónicas ha sido facilitado en virtud de la Decisión 2009/767/CE de la Comisión (2), que impone a los Estados miembros la obligación de establecer, mantener y publicar listas de confianza que incluyan información referida a los proveedores de servicios de certificación que expiden certificados cualificados al público de conformidad con la Directiva 1999/93/CE del Parlamento Europeo y del Consejo (3) y que estén supervisadas y acreditadas por los Estados miembros. |
(3) |
El artículo 22 del Reglamento (UE) no 910/2014 impone a los Estados miembros la obligación de establecer, mantener y publicar listas de confianza, de manera segura, firmadas o selladas electrónicamente en una forma apropiada para el tratamiento automático y de notificar a la Comisión los organismos responsables del establecimiento de las listas de confianza nacionales. |
(4) |
Un proveedor de servicios de confianza y los servicios de confianza que ofrece deben considerarse cualificados cuando la cualificación se ha asociado con el proveedor en la lista de confianza. Con el fin de garantizar que los proveedores de servicios puedan cumplir fácilmente las demás obligaciones derivadas del Reglamento (UE) no 910/2014, en particular las establecidas en los artículos 27 y 37, a distancia y por medios electrónicos, y con el fin de responder a las expectativas legítimas de otros proveedores de servicios de certificación que no expidan certificados cualificados, pero que ofrezcan servicios relacionados con las firmas electrónicas en el marco de la Directiva 1999/93/CE y que se incluyan en la lista antes del 30 de junio de 2016, los Estados miembros deben poder añadir servicios de confianza distintos de los cualificados en las listas de confianza, de manera voluntaria, a escala nacional y siempre que se indique claramente que no están cualificados de conformidad con el Reglamento (UE) no 910/2014. |
(5) |
Conforme al considerando 25 del Reglamento (UE) no 910/2014, los Estados miembros podrán añadir otros tipos de servicios de confianza definidos a escala nacional distintos de los definidos en el artículo 3, apartado 16, del Reglamento (UE) no 910/2014, siempre que esté claramente indicado que no están cualificados de conformidad con el Reglamento (UE) no 910/2014. |
(6) |
Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité establecido por el artículo 48 del Reglamento (UE) no 910/2014. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Los Estados miembros establecerán, publicarán y mantendrán listas de confianza que incluyan información sobre los proveedores de servicios de confianza cualificados que supervisan, así como información sobre los servicios de confianza cualificados que proporcionan dichos proveedores. Esas listas se ajustarán a las especificaciones técnicas que figuran en el anexo I.
Artículo 2
Los Estados miembros podrán incluir en las listas de confianza información sobre proveedores de servicios de confianza no cualificados, junto con información relacionada con los servicios de confianza no cualificados que proporcionan. La lista deberá indicar claramente qué proveedores de servicios de confianza no están cualificados y cuáles son los servicios de confianza que proporcionan que no están cualificados.
Artículo 3
1. De conformidad con el artículo 22, apartado 2, del Reglamento (UE) no 910/2014, los Estados miembros firmarán o sellarán electrónicamente en una forma apropiada para el tratamiento automático la lista de confianza de acuerdo con las especificaciones técnicas que figuran en el anexo I.
2. Si un Estado miembro publica electrónicamente una versión legible por personas de la lista de confianza, se asegurará de que esa versión de la lista de confianza contenga los mismos datos que la versión apropiada para el tratamiento automático y procederá a firmarla o sellarla por medios electrónicos, de conformidad con las especificaciones técnicas que figuran en el anexo I.
Artículo 4
1. Los Estados miembros notificarán a la Comisión la información a que se refiere el artículo 22, apartado 3, del Reglamento (UE) no 910/2014 mediante la plantilla incluida en el anexo II.
2. La información a que se refiere el apartado 1 incluirá dos o más certificados de clave pública del operador del sistema, con un desfase mínimo de tres meses entre sus períodos de vigencia, que correspondan a las claves privadas que pueden utilizarse para firmar o sellar electrónicamente la versión apropiada para el tratamiento automático de la lista de confianza y la versión legible por personas cuando se publique.
3. De conformidad con el artículo 22, apartado 4, del Reglamento (UE) no 910/2014, la Comisión pondrá a disposición del público, a través de un canal seguro a un servidor web autenticado, la información a que se refieren los apartados 1 y 2 que hayan notificado los Estados miembros, en una versión firmada o sellada electrónicamente apropiada para el tratamiento automático.
4. La Comisión podrá poner a disposición del público, a través de un canal seguro a un servidor web autenticado, la información a que se refieren los apartados 1 y 2 que hayan notificado los Estados miembros, en una forma firmada o sellada legible por personas.
Artículo 5
La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
La presente Decisión será obligatoria en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 8 de septiembre de 2015.
Por la Comisión
El Presidente
Jean-Claude JUNCKER
(1) DO L 257 de 28.8.2014, p. 73.
(2) Decisión 2009/767/CE de la Comisión, de 16 de octubre de 2009, por la que se adoptan medidas que facilitan el uso de procedimientos por vía electrónica a través de las «ventanillas únicas» con arreglo a la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, relativa a los servicios en el mercado interior (DO L 274 de 20.10.2009, p. 36).
(3) Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica (DO L 13 de 19.1.2000, p. 12).
ANEXO I
ESPECIFICACIONES TÉCNICAS DE UNA PLANTILLA COMÚN DE LISTAS DE CONFIANZA
CAPÍTULO I
REQUISITOS GENERALES
Las listas de confianza deberán incluir información tanto actual como histórica, desde la fecha de inclusión de un proveedor de servicios de confianza en las listas de confianza, acerca del estado de los servicios de confianza incluidos en la lista.
Los términos «aprobado», «acreditado» y «supervisado» utilizados en las presentes especificaciones también comprenden los sistemas de aprobación nacionales, pero los Estados miembros proporcionarán información adicional sobre la naturaleza de tales sistemas nacionales en su lista de confianza, incluida una aclaración con respecto a las posibles diferencias con los sistemas de supervisión aplicados a los proveedores de servicios de confianza cualificados y a los servicios de confianza cualificados que estos prestan.
La información que se proporciona en la lista de confianza está destinada principalmente a respaldar la validación de los tokens de servicios de confianza cualificados, es decir, objetos físicos o binarios (lógicos) generados o expedidos como resultado de la utilización de un servicio de confianza cualificado, por ejemplo, firmas electrónicas o sellos electrónicos cualificados, firmas electrónicas o sellos electrónicos avanzados admitidos por un certificado cualificado, marcas de tiempo cualificadas, pruebas de entrega electrónica cualificadas, etc.
CAPÍTULO II
ESPECIFICACIONES DETALLADAS DE LA PLANTILLA COMÚN DE LAS LISTAS DE CONFIANZA
Las presentes especificaciones se basan en las especificaciones y los requisitos establecidos en la norma ETSI TS 119 612 v2.1.1 (denominada en lo sucesivo ETSI TS 119 612).
Cuando en las presentes especificaciones no se establezca ningún requisito específico, se aplicarán íntegramente los requisitos de las cláusulas 5 y 6 de ETSI TS 119 612. Cuando se establezcan requisitos específicos, estos prevalecerán sobre los requisitos correspondientes de ETSI TS 119 612. En caso de discrepancia entre las presentes especificaciones y las especificaciones de ETSI TS 119 612, prevalecerán las primeras.
Scheme name (cláusula 5.3.6)
Este campo deberá estar presente y cumplir las especificaciones previstas en la cláusula 5.3.6 de TS 119 612, y se utilizará para el sistema el nombre que sigue:
«EN_name_value»= «Lista de confianza que incluye información relacionada con los proveedores de servicios de confianza cualificados que supervisa el Estado miembro de expedición, junto con información relacionada con los servicios de confianza cualificados que estos prestan, de conformidad con las disposiciones pertinentes establecidas en el Reglamento no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE».
Scheme information URI (cláusula 5.3.7)
Este campo deberá estar presente y cumplir las especificaciones previstas en la cláusula 5.3.7 de TS 119 612, y la «información apropiada sobre el sistema» incluirá, al menos:
a) |
Información introductoria común a todos los Estados miembros con respecto al alcance y al contexto de la lista de confianza, el sistema de supervisión subyacente y, en su caso, los sistemas de aprobación (por ejemplo, acreditación) nacionales aplicables. El texto común que debe utilizarse es el que figura a continuación, en el que la cadena de caracteres «[nombre del Estado miembro pertinente]» será sustituida por el nombre del Estado miembro pertinente: «La presente lista es la lista de confianza que incluye información relacionada con los proveedores de servicios de confianza cualificados supervisados por [nombre del Estado miembro pertinente], junto con información relacionada con los servicios de confianza cualificados que estos prestan, de conformidad con las disposiciones pertinentes establecidas en el Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE. El uso transfronterizo de firmas electrónicas ha sido facilitado en virtud de la Decisión 2009/767/CE de la Comisión, de 16 de octubre de 2009, que estipula la obligación de los Estados miembros de establecer, mantener y publicar listas de confianza que incluyan información referida a los proveedores de servicios de certificación que expiden certificados cualificados al público de conformidad con la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica, y que estén supervisados y acreditados por los Estados miembros. La presente lista de confianza es la continuación de la lista de confianza establecida por la Decisión 2009/767/CE». Las listas de confianza son elementos esenciales para la creación de un clima de confianza entre los operadores del mercado electrónico, puesto que permiten a los usuarios determinar el estado de cualificado y el historial de estado de los proveedores de servicios de confianza y de sus servicios. Las listas de confianza de los Estados miembros incluyen, como mínimo, la información especificada en los artículos 1 y 2 de la Decisión 2015/[reemplazar con el número de la presente Decisión de Ejecución (UE) 2015/1505 de la Comisión. Los Estados miembros podrán incluir en las listas de confianza información sobre proveedores de servicios de confianza no cualificados, junto con información relacionada con los servicios de confianza no cualificados que proporcionan. Se indicará claramente que no están cualificados de conformidad con el Reglamento (UE) no 910/2014. Los Estados miembros podrán incluir en las listas de confianza información sobre otros tipos de servicios de confianza definidos a escala nacional distintos de los definidos en el artículo 3, apartado 16, del Reglamento (UE) no 910/2014. Se indicará claramente que no están cualificados de conformidad con el Reglamento (UE) no 910/2014. |
b) |
Información específica sobre el sistema de supervisión subyacente y, en su caso, los sistemas de aprobación (por ejemplo, acreditación) nacionales aplicables, en particular (1):
Esta información específica incluirá, como mínimo, para cada sistema subyacente enumerado:
|
Scheme type/community/rules (cláusula 5.3.9)
Este campo deberá estar presente y cumplir las especificaciones previstas en la cláusula 5.3.9 de TS 119 612.
Solo deberá incluir URI en inglés del Reino Unido.
Deberá incluir al menos dos URI:
1) |
Un URI común a todas las listas de confianza de los Estados miembros que lleve a un texto descriptivo que será aplicable a todas las listas de confianza: URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon Texto descriptivo: «Participation in a scheme Each Member State must create a trusted list including information related to the qualified trust service providers that are under supervision, together with information related to the qualified trust services provided by them, in accordance with the relevant provisions laid down in Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC. The present implementation of such trusted lists is also to be referred to in the list of links (pointers) towards each Member State's trusted list, compiled by the European Commission. Policy/rules for the assessment of the listed services Member States must supervise qualified trust service providers established in the territory of the designating Member State as laid down in Chapter III of Regulation (EU) No 910/2014 to ensure that those qualified trust service providers and the qualified trust services that they provide meet the requirements laid down in the Regulation. The trusted lists of Member States include, as a minimum, information specified in Articles 1 and 2 of Commission Implementing Decision (UE) 2015/1505. The trusted lists include both current and historical information about the status of listed trust services. Each Member State's trusted list must provide information on the national supervisory scheme and where applicable, national approval (e.g. accreditation) scheme(s) under which the trust service providers and the trust services that they provide are listed. Interpretation of the Trusted List The general user guidelines for applications, services or products relying on a trusted list published in accordance with Regulation (EU) No 910/2014 are as follows: The “qualified” status of a trust service is indicated by the combination of the “Service type identifier” (“Sti”) value in a service entry and the status according to the “Service current status” field value as from the date indicated in the “Current status starting date and time”. Historical information about such a qualified status is similarly provided when applicable. Regarding qualified trust service providers issuing qualified certificates for electronic signatures, for electronic seals and/or for website authentication: A “CA/QC”“Service type identifier” (“Sti”) entry (possibly further qualified as being a “RootCA-QC” through the use of the appropriate “Service information extension” (“Sie”) additionalServiceInformation Extension)
“Service digital identifiers” are to be used as Trust Anchors in the context of validating electronic signatures or seals for which signer's or seal creator's certificate is to be validated against TL information, hence only the public key and the associated subject name are needed as Trust Anchor information. When more than one certificate are representing the public key identifying the service, they are to be considered as Trust Anchor certificates conveying identical information with regard to the information strictly required as Trust Anchor information. The general rule for interpretation of any other “Sti” type entry is that, for that “Sti” identified service type, the listed service named according to the “Service name” field value and uniquely identified by the “Service digital identity” field value has the current qualified or approval status according to the “Service current status” field value as from the date indicated in the “Current status starting date and time”. Specific interpretation rules for any additional information with regard to a listed service (e.g. “Service information extensions” field) may be found, when applicable, in the Member State specific URI as part of the present “Scheme type/community/rules” field. Please refer to the applicable secondary legislation pursuant to Regulation (EU) No 910/2014 for further details on the fields, description and meaning for the Member States' trusted lists.» |
2) |
Un URI específico de la lista de confianza del Estado miembro que lleve a un texto descriptivo que será aplicable a la lista de confianza de este Estado miembro: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC, donde CC = el código de país ISO 3166-1 (2) alfa-2 utilizado en el campo «Scheme territory» (cláusula 5.3.10)
Los Estados miembros PODRÁN definir y utilizar URI adicionales que amplíen el URI específico del Estado miembro (es decir, URI definidos a partir de este URI específico jerárquico). |
TSL policy/legal notice (cláusula 5.3.11)
Este campo deberá estar presente y cumplir las especificaciones de la cláusula 5.3.11 de TS 119 612 en virtud de la cual la política o el aviso legal referente a la situación jurídica del sistema o los requisitos legales que cumple el sistema en virtud de la jurisdicción en el que se ha establecido y/o las restricciones y condiciones en virtud de las cuales se mantiene y publica la lista de confianza deben ser una secuencia de cadenas de caracteres multilingües (véase la cláusula 5.1.4) que proporcione, en inglés del Reino Unido como lengua obligatoria y de manera opcional en una o más lenguas nacionales, el texto real de tal política o aviso de la manera siguiente:
1) |
una primera parte obligatoria, común a las listas de confianza de todos los Estados miembros, que indique el marco jurídico aplicable, y cuya versión en inglés es la siguiente: The applicable legal framework for the present trusted list is Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC. Texto en la lengua nacional de un Estado miembro: El marco jurídico aplicable a la presente lista de confianza es el Reglamento no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE. |
2) |
Una segunda parte opcional, específica para cada lista de confianza, que indique las referencias a marcos jurídicos nacionales concretos aplicables. |
Service current status (cláusula 5.5.4)
Este campo deberá estar presente y cumplir las especificaciones previstas en la cláusula 5.5.4 de TS 119 612.
La migración del valor de «Service current status» de los servicios que figuran en la lista de confianza EUMS con fecha del día anterior a la de la aplicación del Reglamento (UE) no 910/2014 (es decir, el 30 de junio de 2016) se llevará a cabo el día en que se aplique el Reglamento (es decir, el 1 de julio de 2016), tal y como se especifica en el anexo J de ETSI TS 119 612.
CAPÍTULO III
CONTINUIDAD DE LAS LISTAS DE CONFIANZA
Los certificados que se notificarán a la Comisión de conformidad con el artículo 4, apartado 2, de la presente Decisión deberán cumplir los requisitos de la cláusula 5.7.1 de ETSI TS 119 612 y se expedirán de manera que:
— |
tengan por lo menos tres meses de diferencia en su fecha final de validez («Not After»), |
— |
se creen en pares de claves nuevos; los pares de claves utilizados anteriormente no se deben volver a certificar. |
En caso de expiración de uno de los certificados de clave pública que se podrían utilizar para validar la firma o el sello de la lista de confianza que se ha notificado a la Comisión y que se ha publicado en la lista central de indicadores de la Comisión, los Estados miembros:
— |
en el caso de que la lista de confianza actualmente publicada haya sido firmada o sellada con una clave privada cuyo certificado de clave pública haya expirado, reexpedirán, sin demora, una nueva lista de confianza firmada o sellada con una clave privada cuyo certificado de clave pública notificado no haya expirado, |
— |
cuando sea necesario, generarán nuevos pares de claves que se podrían usar para firmar o sellar la lista de confianza y realizarán la generación de sus correspondientes certificados de clave pública, |
— |
notificarán de inmediato a la Comisión la nueva lista de certificados de clave pública correspondientes a las claves privadas que podrían utilizarse para firmar o sellar la lista de confianza. |
En el caso de que una de las claves privadas correspondiente a uno de los certificados de clave pública que se podrían usar para validar la firma o el sello de la lista de confianza, que se ha notificado a la Comisión y que se ha publicado en la lista central de indicadores de la Comisión, se vea comprometida o sea retirada, los Estados miembros:
— |
reexpedirán, sin demora, una nueva lista de confianza firmada o sellada con una clave privada no comprometida en caso de que la lista de confianza publicada se haya firmado o sellado con una clave privada comprometida o retirada, |
— |
cuando sea necesario, generarán nuevos pares de claves que se podrían usar para firmar o sellar la lista de confianza y realizarán la generación de sus correspondientes certificados de clave pública, |
— |
notificarán de inmediato a la Comisión la nueva lista de certificados de clave pública correspondientes a las claves privadas que podrían utilizarse para firmar o sellar la lista de confianza. |
En caso de que se comprometan o se retiren todas las claves privadas correspondientes a los certificados de clave pública que podrían utilizarse para validar la firma de la lista de confianza, que se hayan notificado a la Comisión y que figuren publicadas en la lista central de indicadores de la Comisión, los Estados miembros:
— |
generarán nuevos pares de claves que se podrían usar para firmar o sellar la lista de confianza y realizarán la generación de sus correspondientes certificados de clave pública, |
— |
reexpedirán, sin demora, una nueva lista de confianza firmada o sellada con una de esas nuevas claves privadas, y cuyo certificado de clave pública correspondiente deba ser notificado, |
— |
notificarán de inmediato a la Comisión la nueva lista de certificados de clave pública correspondientes a las claves privadas que podrían utilizarse para firmar o sellar la lista de confianza. |
CAPÍTULO IV
ESPECIFICACIONES PARA LA FORMA LEGIBLE POR PERSONAS DE LA LISTA DE CONFIANZA
Si se establece y se publica una forma legible por personas de la lista de confianza, deberá facilitarse en forma de documento PDF con arreglo a ISO 32000 (3), que deberá estar formateado de acuerdo con el perfil PDF/A (ISO 19005 (4)).
El contenido de la forma legible por personas basada en PDF/A de la lista de confianza deberá cumplir los siguientes requisitos:
— |
La estructura de la forma legible por personas deberá reflejar el modelo lógico descrito en TS 119 612. |
— |
Deberán aparecer todos los campos presentes, que facilitarán:
|
— |
Los siguientes campos y los valores correspondientes de los certificados digitales (5), si están presentes en el campo «Service digital identity», se mostrarán, como mínimo, en versión legible por personas:
|
— |
La versión legible por personas se deberá poder imprimir fácilmente. |
— |
La versión legible por personas deberá estar firmada o sellada por el operador del sistema de conformidad con la firma avanzada de PDF especificada en los artículos 1 y 3 de la Decisión de Ejecución (UE) 2015/1505 de la Comisión. |
(1) Esos conjuntos de información son de vital importancia para que las partes usuarias evalúen el nivel de calidad y seguridad de tales sistemas. Estos conjuntos de información se facilitarán en el nivel de la lista de confianza mediante el uso del presente «Scheme information URI» (cláusula 5.3.7 — información facilitada por el Estado miembro), de «Scheme type/community/rules» (cláusula 5.3.9 — mediante el uso de un texto común a todos los Estados miembros) y de «TSL policy/legal notice» (cláusula 5.3.11 — texto común a todos los Estados miembros, junto con la posibilidad de que cada Estado miembro añada textos/referencias específicas). Se podrá proporcionar información adicional sobre tales sistemas sobre servicios de confianza no cualificados y servicios de confianza (cualificados) definidos a escala nacional en el nivel de servicio cuando sea aplicable y necesario (por ejemplo, para distinguir entre varios niveles de calidad o de seguridad) a través del uso de «Scheme service definition URI» (cláusula 5.5.6).
(2) ISO 3166-1:2006: «Códigos para la representación de nombres de países y sus subdivisiones. Parte 1: Códigos de los países».
(3) ISO 32000-1:2008: Gestión de documentos — PDF — Parte 1: PDF 1.7.
(4) ISO 19005-2:2011: Gestión de documentos — Formato de archivo de documento electrónico para su conservación a largo plazo — Parte 2: Uso de ISO 32000-1 (PDF/A-2).
(5) Recomendación ITU-T X.509 | ISO/IEC 9594-8: Tecnología de la información-Interconexión de sistemas abiertos-El Directorio: marcos de certificados de atributos y clave pública (véase http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=X.509)
(6) RFC 5280: Certificado PKI y perfil CRL X.509 de internet.
(7) RFC 3739: PKI X.509 de internet: perfil de certificados reconocidos.
ANEXO II
PLANTILLA PARA LAS NOTIFICACIONES DE LOS ESTADOS MIEMBROS
La información que deben notificar los Estados miembros de conformidad con el artículo 4, apartado 1, de la presente Decisión deberá contener los siguientes datos y cualesquiera modificaciones de los mismos:
1) |
Estado miembro, con códigos alfa 2 conforme a la norma ISO 3166-1 (1), con las siguientes excepciones:
|
2) |
El organismo o los organismos responsables del establecimiento, el mantenimiento y la publicación de la versión apropiada para el tratamiento automático y la versión legible por personas de las listas de confianza:
|
3) |
Lugar en que esté publicada la versión apropiada para el tratamiento automático de la lista de confianza (lugar en que está publicada la lista de confianza actual). |
4) |
Lugar en que esté publicada una versión de la lista de confianza legible por personas (lugar en que está publicada la lista de confianza actual). En caso de que ya no esté publicada una lista de confianza legible por personas, una indicación de este hecho. |
5) |
Los certificados de clave pública que corresponden a las claves privadas que se pueden utilizar para firmar o sellar electrónicamente la versión apropiada para el tratamiento automático de la lista de confianza y la versión legible por personas de las listas de confianza: los certificados se proporcionarán como certificados DER con codificación Base64 de Privacy-enhanced Mail. Para notificar cambios, se debe añadir información adicional en caso de que un nuevo certificado deba sustituir al certificado específico de la lista de la Comisión y en el caso de que el certificado notificado se deba añadir a los existentes sin ninguna sustitución. |
6) |
Fecha de presentación de los datos notificados en los puntos 1 a 5. |
Los datos notificados con arreglo a los puntos 1, 2, letra a), 3, 4 y 5 se incluirán en la lista compilada por la CE de listas de confianza en sustitución de la información notificada previamente incluida en esa lista compilada.
(1) ISO 3166-1: «Códigos para la representación de nombres de países y sus subdivisiones. Parte 1: Códigos de los países».
9.9.2015 |
ES |
Diario Oficial de la Unión Europea |
L 235/37 |
DECISIÓN DE EJECUCIÓN (UE) 2015/1506 DE LA COMISIÓN
de 8 de septiembre de 2015
por la que se establecen las especificaciones relativas a los formatos de las firmas electrónicas avanzadas y los sellos avanzados que deben reconocer los organismos del sector público de conformidad con los artículos 27, apartado 5, y 37, apartado 5, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (1), y, en particular, sus artículos 27, apartado 5, y 37, apartado 5,
Considerando lo siguiente:
(1) |
Los Estados miembros deben establecer los medios técnicos necesarios que les permitan procesar los documentos firmados electrónicamente que son necesarios cuando se utiliza un servicio en línea ofrecido por, o en nombre de, un organismo del sector público. |
(2) |
El Reglamento (UE) no 910/2014 obliga a los Estados miembros que requieran una firma electrónica avanzada o un sello electrónico avanzado para utilizar un servicio en línea ofrecido por, o en nombre de, un organismo del sector público a reconocer las firmas electrónicas avanzadas y los sellos electrónicos avanzados, las firmas electrónicas avanzadas y los sellos electrónicos avanzados basados en un certificado cualificado y las firmas electrónicas y los sellos electrónicos cualificados en formatos específicos o en formatos alternativos validados con arreglo a métodos de referencia específicos. |
(3) |
Para definir los formatos y los métodos de referencia específicos, deben tenerse en cuenta las prácticas, las normas y los actos jurídicos de la Unión existentes. |
(4) |
La Decisión de Ejecución 2014/148/UE de la Comisión (2) ha definido una serie de formatos de firma electrónica avanzada más habituales que deben admitir técnicamente los Estados miembros cuando se necesiten firmas electrónicas avanzadas para un procedimiento administrativo en línea. La finalidad del establecimiento de los formatos de referencia es facilitar la validación transfronteriza de las firmas electrónicas y mejorar la interoperabilidad transfronteriza de los procedimientos electrónicos. |
(5) |
Las normas recogidas en el anexo de la presente Decisión son las normas existentes para los formatos de firmas electrónicas avanzadas. Debido a la revisión en curso de los organismos de normalización de las versiones de archivo a largo plazo de los formatos de referencia, las normas que detallan el archivo a largo plazo se excluyen del ámbito de aplicación de la presente Decisión. Cuando esté disponible la nueva versión de las normas citadas, se revisarán las referencias a las normas y las cláusulas sobre archivo a largo plazo. |
(6) |
Las firmas electrónicas avanzadas y los sellos electrónicos avanzados son similares desde el punto de vista técnico. Por lo tanto, las normas de los formatos de firmas electrónicas avanzadas deben aplicarse mutatis mutandis a los formatos de sellos electrónicos avanzados. |
(7) |
En los casos en que se utilicen formatos de firma electrónica o sello electrónico distintos de los que se suelen admitir técnicamente para firmar o sellar, se deben proporcionar medios de validación que permitan la verificación transfronteriza de las firmas electrónicas o los sellos electrónicos. Para permitir que los Estados miembros receptores puedan confiar en las herramientas de validación de otro Estado miembro, es necesario proporcionar información de fácil acceso sobre dichas herramientas de validación, para lo que se debe incluir la información en los documentos electrónicos, en las firmas electrónicas o en los contenedores de documentos electrónicos. |
(8) |
Cuando haya posibilidades de validación de firma electrónica o sello electrónico apropiadas para el tratamiento automático en los servicios públicos de un Estado miembro, esas posibilidades de validación deben ponerse a disposición y proporcionarse al Estado miembro receptor. No obstante, la presente Decisión no debe obstaculizar la aplicación del artículo 27, apartados 1 y 2, ni del artículo 37, apartados 1 y 2, del Reglamento (UE) no 910/2014 cuando no sea posible el tratamiento automático de las posibilidades de validación de métodos alternativos. |
(9) |
Para establecer requisitos comparables para la validación y para aumentar la confianza en las posibilidades de validación proporcionadas por los Estados miembros para otros formatos de firma electrónica o sello electrónico distintos de los comúnmente admitidos, los requisitos previstos en la presente Decisión para las herramientas de validación parten de los requisitos para la validación de las firmas electrónicas y los sellos electrónicos cualificados a los que hacen referencia los artículos 32 y 40 del Reglamento (UE) no 910/2014. |
(10) |
Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité establecido por el artículo 48 del Reglamento (UE) no 910/2014. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Los Estados miembros que requieran una firma electrónica avanzada o una firma electrónica avanzada basada en un certificado cualificado como se prevé en el artículo 27, apartados 1 y 2, del Reglamento (UE) no 910/2014, reconocerán la firma electrónica avanzada XML, CMS o PDF en el nivel de conformidad B, T o LT o con un contenedor con firma asociada donde las firmas cumplan las especificaciones técnicas que figuran en el anexo.
Artículo 2
1. Los Estados miembros que requieran una firma electrónica avanzada o una firma electrónica avanzada basada en un certificado cualificado como se prevé en el artículo 27, apartados 1 y 2, del Reglamento (UE) no 910/2014, reconocerán otros formatos de firma electrónica distintos a los contemplados en el artículo 1 de la presente Decisión, siempre que el Estado miembro en el que tenga su sede el proveedor de servicios de confianza utilizado por el firmante ofrezca a otros Estados miembros posibilidades de validación de firmas adecuadas, en la medida de lo posible, para el tratamiento automático.
2. Las posibilidades de validación de la firma deberán:
a) |
permitir a los demás Estados miembros validar las firmas electrónicas recibidas en línea de manera gratuita y en una forma comprensible para los hablantes no nativos; |
b) |
indicarse en el documento firmado, en la firma electrónica o en el contenedor del documento electrónico, y |
c) |
confirmar la validez de una firma electrónica avanzada siempre que:
|
Artículo 3
Los Estados miembros que requieran un sello electrónico avanzado o un sello electrónico avanzado basado en un certificado cualificado como se prevé en el artículo 37, apartados 1 y 2, del Reglamento (UE) no 910/2014 reconocerán el sello electrónico avanzado XML, CMS o PDF en el nivel de conformidad B, T o LT o con un contenedor con sello asociado que cumpla las especificaciones técnicas que figuran en el anexo.
Artículo 4
1. Los Estados miembros que requieran un sello electrónico avanzado o un sello electrónico avanzado basado en un certificado cualificado como se prevé en el artículo 37, apartados 1 y 2, del Reglamento (UE) no 910/2014 reconocerán otros formatos de sello electrónico distintos a los contemplados en el artículo 3 de la presente Decisión, siempre que el Estado miembro en el que tenga su sede el proveedor de servicios de confianza utilizado por el creador del sello ofrezca a otros Estados miembros posibilidades de validación de sellos adecuadas, en la medida de lo posible, para el tratamiento automático.
2. Las posibilidades de validación del sello deberán:
a) |
permitir a los demás Estados miembros validar los sellos electrónicos recibidos en línea de manera gratuita y en una forma comprensible para los hablantes no nativos; |
b) |
indicarse en el documento sellado, en el sello electrónico o en el contenedor del documento electrónico; |
c) |
confirmar la validez de un sello electrónico avanzado siempre que:
|
Artículo 5
La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
La presente Decisión será obligatoria en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 8 de septiembre de 2015.
Por la Comisión
El Presidente
Jean-Claude JUNCKER
(1) DO L 257 de 28.8.2014, p. 73.
(2) Decisión de Ejecución 2014/148/UE de la Comisión, de 17 de marzo de 2014, que modifica la Decisión 2011/130/UE, por la que se establecen los requisitos mínimos para el tratamiento transfronterizo de los documentos firmados electrónicamente por las autoridades competentes en virtud de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, relativa a los servicios en el mercado interior (DO L 80 de 19.3.2014, p. 7).
ANEXO
Lista de especificaciones técnicas para las firmas electrónicas avanzadas XML, CMS o PDF y el contenedor con firma asociada
Las firmas electrónicas avanzadas mencionadas en el artículo 1 de la Decisión deben cumplir una de las siguientes especificaciones técnicas del ETSI, con la excepción de la cláusula 9 de las mismas:
Perfil de base XAdES |
ETSI TS 103171 v.2.1.1 (1) |
Perfil de base CAdES |
ETSI TS 103173 v.2.2.1 (2) |
Perfil de base PAdES |
ETSI TS 103172 v.2.2.2 (3) |
El contenedor con firma asociada mencionado en el artículo 1 de la Decisión debe cumplir las siguientes especificaciones técnicas del ETSI:
Perfil de base del contenedor con firma asociada |
ETSI TS 103174 v.2.2.1 (4) |
Lista de especificaciones técnicas para los sellos electrónicos avanzados XML, CMS o PDF y el contenedor con sello asociado
Los sellos electrónicos avanzados mencionados en el artículo 3 de la Decisión deben cumplir una de las siguientes especificaciones técnicas del ETSI, con la excepción de la cláusula 9 de las mismas:
Perfil de base XAdES |
ETSI TS 103171 v.2.1.1 |
Perfil de base CAdES |
ETSI TS 103173 v.2.2.1 |
Perfil de base PAdES |
ETSI TS 103172 v.2.2.2 |
El contenedor con sello asociado mencionado en el artículo 3 de la Decisión debe cumplir las siguientes especificaciones técnicas del ETSI:
Perfil de base del contenedor con sello asociado |
ETSI TS 103174 v.2.2.1 |
(1) http://www.etsi.org/deliver/etsi_ts/103100_103199/103171/02.01.01_60/ts_103171v020101p.pdf
(2) http://www.etsi.org/deliver/etsi_ts/103100_103199/103173/02.02.01_60/ts_103173v020201p.pdf
(3) http://www.etsi.org/deliver/etsi_ts/103100_103199/103172/02.02.02_60/ts_103172v020202p.pdf
(4) http://www.etsi.org/deliver/etsi_ts/103100_103199/103174/02.02.01_60/ts_103174v020201p.pdf