Agencia Estatal Boletín Oficial del Estado
Está Vd. en

Documento DOUE-L-2025-81419

Reglamento de Ejecución (UE) 2025/1945 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la validación de las firmas electrónicas cualificadas y de los sellos electrónicos cualificados y a la validación de las firmas electrónicas avanzadas basadas en certificados cualificados y de los sellos electrónicos avanzados basados en certificados cualificados.

Publicado en:
«DOUE» núm. 1945, de 30 de septiembre de 2025, páginas 1 a 6 (6 págs.)
Departamento:
Unión Europea
Referencia:
DOUE-L-2025-81419

TEXTO ORIGINAL

 

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 32, apartado 3, su artículo 32 bis, apartado 3, su artículo 40 y su artículo 40 bis,

Considerando lo siguiente:

(1)

Las firmas electrónicas cualificadas, los sellos electrónicos cualificados, las firmas electrónicas avanzadas basadas en certificados cualificados de firma electrónica y los sellos electrónicos avanzados basados en certificados cualificados de sello electrónico, siempre que su validez pueda confirmarse, garantizan a las partes usuarias la integridad y autenticidad de los datos firmados o sellados y aumentan la seguridad en cuanto a la identidad del firmante o del creador del sello. Tales firmas y sellos electrónicos desempeñan un papel crucial en el entorno empresarial digital al promover la transición de los procesos tradicionales en papel a los procedimientos electrónicos equivalentes.

(2)

La presunción de cumplimiento establecida en el artículo 32, apartado 1, el artículo 40, el artículo 32 bis, apartado 3, y el artículo 40 bis del Reglamento (UE) n.o 910/2014 debe aplicarse cuando los procesos de validación de las firmas electrónicas cualificadas, los sellos electrónicos cualificados, las firmas electrónicas avanzadas basadas en certificados cualificados de firma electrónica y los sellos electrónicos avanzados basados en certificados cualificados de sello electrónico cumplan las normas técnicas establecidas en el presente Reglamento. Estas normas deben reflejar las prácticas establecidas y ser ampliamente aceptadas en los sectores pertinentes. Deben adaptarse para incluir controles adicionales que garanticen la capacidad de verificar la validez técnica de dichas firmas y sellos y, en su caso, su cualificación.

(3)

La Comisión evalúa periódicamente las nuevas tecnologías, prácticas, normas y especificaciones técnicas. De conformidad con el considerando 75 del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (2), la Comisión debe revisar y actualizar el presente Reglamento, en caso necesario, para mantenerlo en consonancia con la evolución mundial, las nuevas tecnologías, normas o especificaciones técnicas y seguir las mejores prácticas del mercado interior.

(4)

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (4) son aplicables a las actividades de tratamiento de datos personales en virtud del presente Reglamento.

(5)

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (5), emitió su dictamen el 6 de junio de 2025.

(6)

Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n.o 910/2014.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Normas de referencia y especificaciones

1.   En el anexo I del presente Reglamento se establecen las normas de referencia y las especificaciones a que se refieren el artículo 32, apartado 3, y el artículo 40 del Reglamento (UE) n.o 910/2014.

2.   En el anexo II del presente Reglamento se establecen las normas de referencia y las especificaciones a que se refieren el artículo 32 bis, apartado 3, y el artículo 40 bis del Reglamento (UE) n.o 910/2014.

Artículo 2

Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 29 de septiembre de 2025.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

 

(1)   DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)  Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (DO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

ANEXO I
Lista de normas de referencia y especificaciones para la validación de firmas electrónicas cualificadas y de sellos electrónicos cualificados

Se aplican las normas ETSI TS 119 172-4 V1.1.1 (2021-05) (1) («ETSI TS 119 172-4») y ETSI TS 119 102-2 V1.4.1 (2023-06) (2) («ETSI TS 119 102-2») con las siguientes adaptaciones:

1.

En el caso de ETSI TS 119 172-4

1)

2.1 Referencias normativas:

[1] ETSI EN 319 102-1 V1.4.1 (2024-06) «Firmas electrónicas e infraestructuras de confianza (ESI). Procedimientos para la creación y validación de firmas digitales AdES. Parte 1: Creación y validación».

Todas las referencias a «ETSI TS 119 102-1 [1]» se entenderán hechas a «ETSI EN 319 102-1 [1]».

[2] ETSI TS 119 612 V2.3.1 (2024-11) «Electronic Signatures and Infrastructures (ESI); Trusted Lists» [«Firmas electrónicas e infraestructuras (ESI). Listas de confianza»].

[13] ETSI TS 119 101 V1.1.1 (2016-03) «Electronic Signatures and Infrastructures (ESI); Policy and security requirements for applications for signature creation and signature validation» [«Firmas electrónicas e infraestructuras (ESI). Requisitos de política y seguridad para las solicitudes de creación y validación de firmas»].

2)

4.2 Restricciones para la validación y procedimientos de validación, requisito REQ-4.2-03, sección «Restricciones para la validación X.509», letra c):

i) Si un certificado de entidad final representa un ancla de confianza, no se utilizarán las «RevocationCheckingConstraints» («restricciones relativas a la comprobación de la revocación»).

ii) Si un certificado de entidad final no representa un ancla de confianza, las «RevocationCheckingConstraints» se establecerán en «eitherCheck» («cualquier comprobación»), según se define en ETSI TS 119 172-1 [3], cláusula A.4.2.1, cuadro A.2, filas (m)2.1.

iii) Si un certificado de entidad final representa un ancla de confianza, no se utilizarán las «RevocationFreshnessConstraints» («restricciones relativas a la actualidad de la revocación») definidas en ETSI TS 119 172-1 [3], cláusula A.4.2.1, cuadro A.2, filas (m)2.2.

iv) Si un certificado de entidad final no representa un ancla de confianza, se utilizarán las «RevocationFreshnessConstraints» definidas en ETSI TS 119 172-1 [3], cláusula A.4.2.1, cuadro A.2, filas (m)2.2, con un valor máximo de 24 horas para el certificado de firma. No se fijará ningún valor para las «RevocationFreshnessConstraints» para los certificados distintos del certificado de firma, incluidos los certificados que admitan sellos de tiempo.

3)

4.3 Requisitos relativos a la validación de la firma y prácticas de comprobación de las normas de aplicabilidad

REQ-4.3-02 Las aplicaciones de validación de firmas deberán ser conformes con ETSI TS 119 101 [13].

4)

4.4 Proceso de comprobación de (las normas de) la aplicabilidad técnica

REQ-4.4.2-03 Si alguno de los controles especificados en REQ-4.4.2-01 no es conforme, entonces:

a)

el proceso se detiene;

b)

la firma se considerará técnicamente como indeterminada, es decir, no como una firma electrónica cualificada de la UE ni como un sello electrónico cualificado de la UE, y

c)

el resultado mencionado y los resultados de los procesos de todos los procesos intermedios se reflejarán en el informe de comprobación de las normas de aplicabilidad de la firma.

(1)  ETSI TS 119 172-4: «Electronic Signatures and Infrastructures (ESI); Signature Policies; Part 4: Signature applicability rules (validation policy) for European qualified electronic signatures/seals using trusted lists» [«Firmas electrónicas e infraestructuras (ESI). Políticas de firma. Parte 4: Normas de aplicabilidad de la firma (política de validación) para firmas/sellos electrónicos cualificados europeos que utilizan listas de confianza»], V1.1.1 (2021-05).

(2)  ETSI TS 119 102-2: «Electronic Signatures and Infrastructures (ESI); Procedures for Creation and Validation of AdES Digital Signatures; Part 2: Signature Validation Report» [«Firmas electrónicas e infraestructuras (ESI). Procedimientos de creación y validación de firmas digitales AdES. Parte 2: Informe de validación de firmas»], V1.4.1 (2023-06).

ANEXO II
Lista de normas de referencia y especificaciones para la validación de firmas electrónicas avanzadas basadas en certificados cualificados y de sellos electrónicos avanzados basados en certificados cualificados

Se aplican las normas ETSI TS 119 172-4 V1.1.1 (2021-05) (1) («ETSI TS 119 172-4») y ETSI TS 119 102-2 V1.4.1 (2023-06) (2) («ETSI TS 119 102-2») con las siguientes adaptaciones:

1.

En el caso de ETSI TS 119 172-4

1)

2.1 Referencias normativas:

[1] ETSI EN 319 102-1 V1.4.1 (2024-06) «Firmas electrónicas e infraestructuras de confianza (ESI). Procedimientos para la creación y validación de firmas digitales AdES. Parte 1: Creación y validación».

Todas las referencias a «ETSI TS 119 102-1 [1]» se entenderán hechas a «ETSI EN 319 102-1 [1]».

[2] ETSI TS 119 612 V2.3.1 (2024-11) «Electronic Signatures and Infrastructures (ESI); Trusted Lists» [«Firmas electrónicas e infraestructuras (ESI). Listas de confianza»].

[13] ETSI TS 119 101 V1.1.1 (2016-03) «Electronic Signatures and Infrastructures (ESI); Policy and security requirements for applications for signature creation and signature validation» [«Firmas electrónicas e infraestructuras (ESI). Requisitos de política y seguridad para las solicitudes de creación y validación de firmas»].

2)

4.2 Restricciones para la validación y procedimientos de validación, requisito REQ-4.2-03, sección «Restricciones para la validación X.509», letra c):

i) Si un certificado de entidad final no representa un ancla de confianza, no se utilizarán las «RevocationCheckingConstraints» («restricciones relativas a la comprobación de la revocación»).

ii) Si un certificado de entidad final representa un ancla de confianza, las «RevocationCheckingConstraints» se establecerán en «eitherCheck», según se define en ETSI TS 119 172-1 [3], cláusula A.4.2.1, cuadro A.2, filas (m)2.1.

iii) Si un certificado de entidad final representa un ancla de confianza, no se utilizarán las «RevocationFreshnessConstraints» («restricciones relativas a la actualidad de la revocación») definidas en ETSI TS 119 172-1 [3], cláusula A.4.2.1, cuadro A.2, filas (m)2.2.

iv) Si un certificado de entidad final no representa un ancla de confianza, se utilizarán las «RevocationFreshnessConstraints» definidas en ETSI TS 119 172-1 [3], cláusula A.4.2.1, cuadro A.2, filas (m)2.2, con un valor máximo de 24 horas para el certificado de firma. No se fijará ningún valor para las «RevocationFreshnessConstraints» para los certificados distintos del certificado de firma, incluidos los certificados que admitan sellos de tiempo.

3)

4.3 Requisitos relativos a la validación de la firma y prácticas de comprobación de las normas de aplicabilidad

REQ-4.3-02 Las aplicaciones de validación de firmas deberán ser conformes con ETSI TS 119 101 [13].

4)

4.4 Proceso de comprobación de (las normas de) la aplicabilidad técnica

REQ-4.4.2-03 Si alguno de los controles especificados en REQ-4.4.2-01 no es conforme, entonces:

a)

el proceso se detiene;

b)

la firma se considerará técnicamente como indeterminada, es decir, no como una firma electrónica avanzada basada en un certificado cualificado de la UE ni como un sello electrónico avanzado basado en un certificado cualificado de la UE, y

c)

el resultado mencionado y los resultados de los procesos de todos los procesos intermedios se reflejarán en el informe de comprobación de las normas de aplicabilidad de la firma.

REQ-4.4.2-04 sin efecto.

REQ-4.4.2-05 sin efecto.

REQ-4.4.2-06 En ese punto del proceso TARC, si se cumplen las siguientes condiciones:

a)

el certificado de firma se considera, en el mejor tiempo de la firma, como certificado cualificado de la UE para firmas electrónicas (respectivamente, para sellos electrónicos), tal como se especifica en REQ-4.4.2-02 a), y

b)

el resultado del proceso realizado según lo especificado en la cláusula 4.2 del presente documento es «TOTAL-PASSED» («superado en su totalidad»),

a continuación, la firma digital se considerará técnicamente adecuada para implementar una firma electrónica avanzada de la UE basada en un certificado cualificado (respectivamente, un sello electrónico avanzado de la UE basado en un certificado cualificado); de lo contrario, la firma no se considerará técnicamente ni como una firma electrónica avanzada de la UE basada en un certificado cualificado ni como un sello electrónico avanzado de la UE basado en un certificado cualificado.

 

(1)  TS 119 172-4: «Electronic Signatures and Infrastructures (ESI); Signature Policies; Part 4: Signature applicability rules (validation policy) for European qualified electronic signatures/seals using trusted lists» [«Firmas electrónicas e infraestructuras (ESI). Políticas de firma. Parte 4: Normas de aplicabilidad de la firma (política de validación) para firmas/sellos electrónicos cualificados europeos que utilizan listas de confianza»], V1.1.1 (2021-05).

(2)  3 TS 119 102-2: «Electronic Signatures and Infrastructures (ESI); Procedures for Creation and Validation of AdES Digital Signatures; Part 2: Signature Validation Report» [«Firmas electrónicas e infraestructuras (ESI). Procedimientos de creación y validación de firmas digitales AdES. Parte 2: Informe de validación de firmas»], V1.4.1 (2023-06).

ANÁLISIS

Referencias anteriores
  • DE CONFORMIDAD con el art. 40 del Reglamento 910/2014, de 23 de julio (Ref. DOUE-L-2014-81822).
Materias
  • Administración electrónica
  • Certificados telemáticos
  • Firma electrónica
  • Nomenclatura
  • Notificaciones telemáticas
  • Procedimiento administrativo

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid