BOE.es - DOUE-L-2025-81580 Decisión de Ejecución (UE) 2025/2164 de la Comisión, de 27 de octubre de 2025, por la que se modifica la Decisión de Ejecución (UE) 2015/1505 en lo que respecta a la versión de la norma en la que se basa la plantilla común para las listas de confianza.

Documento DOUE-L-2025-81580

Decisión de Ejecución (UE) 2025/2164 de la Comisión, de 27 de octubre de 2025, por la que se modifica la Decisión de Ejecución (UE) 2015/1505 en lo que respecta a la versión de la norma en la que se basa la plantilla común para las listas de confianza.

Publicado en:: «DOUE» núm. 2164, de 28 de octubre de 2025, páginas 1 a 7 (7 págs.)
Departamento:: Unión Europea
Referencia:: DOUE-L-2025-81580

Otros formatos:
PDF
XML

Texto

TEXTO ORIGINAL

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 22, apartado 5,

Considerando lo siguiente:

(1)

Las listas de confianza previstas en el artículo 22, apartado 1, del Reglamento (UE) n.o 910/2014 son esenciales para generar confianza entre los operadores del mercado, ya que permiten validar la cualificación de los prestadores de servicios de confianza y de los servicios de confianza que prestan. Por lo tanto, los prestadores cualificados de servicios de confianza solo deben empezar a prestar un servicio de confianza cualificado una vez que se haya indicado la cualificación en las listas de confianza.

(2)	La Decisión de Ejecución (UE) 2015/1505 de la Comisión (2) establece especificaciones técnicas y formatos relativos a las listas de confianza. Estas especificaciones y formatos aprovechan las especificaciones y requisitos establecidos en la norma ETSI TS 119 612, versión 2.1.1.

(3)

El Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (3) modificó el Reglamento (UE) n.o 910/2014 mediante la introducción de nuevos servicios de confianza cualificados, a saber, la gestión de dispositivos cualificados de creación de firma electrónica a distancia, la gestión de dispositivos cualificados de creación de sello electrónico a distancia, la expedición de declaraciones electrónicas cualificadas de atributos, la prestación de servicios cualificados de archivo electrónico y el registro de datos electrónicos en un libro mayor electrónico cualificado. La norma ETSI TS 119 612 se ha actualizado a la versión 2.4.1 y ahora contiene especificaciones que permiten que las listas de confianza incluyan e indiquen el estado de esos nuevos servicios de confianza cualificados. La versión actualizada 2.4.1 también ha modificado las especificaciones del formato de las firmas o los sellos que deben utilizar los Estados miembros para firmar o sellar sus listas de confianza nacionales.

(4)

Por consiguiente, debe modificarse la Decisión de Ejecución (UE) 2015/1505 de la Comisión para actualizar la referencia a la norma ETSI TS 119 612 a su versión más reciente 2.4.1. Como consecuencia de esta modificación, también son necesarios algunos cambios adicionales a dicha Decisión de Ejecución. En primer lugar, la información a que se hace referencia en las listas de confianza, en lo que respecta a la interpretación del contenido de dichas listas, debe aclararse para que las partes usuarias puedan interpretar la información de las listas de confianza. En segundo lugar, las especificaciones relativas a la creación de las firmas o sellos electrónicos que deben aplicarse a las listas de confianza deben adaptarse para evitar determinadas vulnerabilidades conocidas y notificadas.

(5)

(6)

A fin de garantizar que las partes usuarias dispongan de tiempo suficiente para adaptarse a las especificaciones establecidas en el anexo, debe retrasarse la aplicación de la presente Decisión.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (4) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (5) son aplicables a las actividades de tratamiento de datos personales en virtud de la presente Decisión.

(7)

(8)

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (6), emitió su dictamen el 8 de agosto de 2025 (7).

Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité establecido por el artículo 48 del Reglamento (UE) n.o 910/2014.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

El anexo I de la Decisión de Ejecución (UE) 2015/1505 queda modificado como se establece en el anexo de la presente Decisión.

Artículo 2

La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

La presente Decisión de Ejecución será aplicable a partir del 29 de abril de 2026.

Hecho en Bruselas, el 27 de octubre de 2025.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1) DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Decisión de Ejecución (UE) 2015/1505 de la Comisión, de 8 de septiembre de 2015, por la que se establecen las especificaciones técnicas y los formatos relacionados con las listas de confianza de conformidad con el artículo 22, apartado 5, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (DO L 235 de 9.9.2015, p. 26, ELI: http://data.europa.eu/eli/dec_impl/2015/1505/oj).

(3) Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (DO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(4) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(5) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(6) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(7) Observaciones formales del SEPD sobre el proyecto relativo a la versión de la norma en la que se basa la plantilla común para las listas de confianza |Supervisor Europeo de Protección de Datos.

ANEXO

El anexo I de la Decisión de Ejecución (UE) 2015/1505 se modifica como sigue:

1)	En el capítulo II, el párrafo primero se sustituye por el texto siguiente: «Las presentes especificaciones aprovechan las especificaciones y los requisitos establecidos en la norma ETSI TS 119 612 v2.4.1 (denominada en lo sucesivo “ETSI TS 119 612”).».

En el capítulo II, la sección bajo el título «Scheme type/community/rules (cláusula 5.3.9)» se sustituye por el texto siguiente:

« Scheme type/community/rules (cláusula 5.3.9)

Este campo será obligatorio y deberá cumplir las especificaciones previstas en la cláusula 5.3.9 de TS 119 612.

Este campo solo deberá incluir URI en inglés del Reino Unido.

Este campo deberá incluir al menos dos URI:

Un URI común a todas las listas de confianza de los Estados miembros que lleve a un texto descriptivo que será aplicable a todas las listas de confianza:

—	URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon

—

Texto descriptivo:

“A. Participation in a scheme

Each Member State must create a trusted list including information related to the qualified trust service providers that are under supervision, together with information related to the qualified trust services they provide, in accordance with the relevant provisions laid down in Regulation (EU) No 910/2014.

The present implementation of such trusted lists is also to be referred to in the list of links (pointers) towards each Member State’s trusted list, compiled by the European Commission.

B. Policy/rules for the assessment of the listed services

Member States must supervise qualified trust service providers established in the territory of the designating Member State as laid down in Chapter III of Regulation (EU) No 910/2014 to ensure that those qualified trust service providers and the qualified trust services they provide meet the requirements laid down in that Regulation.

The trusted lists of Member States include, as a minimum, information specified in Articles 1 and 2 of Implementing Decision (EU) 2015/1505.

The trusted lists include both current and historical information about the status of listed trust services.

Each Member State’s trusted list must provide information on the national supervisory scheme and, where applicable, national approval, including through accreditation scheme(s) under which the trust service providers and the trust services they provide are listed.

C. Interpretation of the trusted list

The general user guidelines for applications, services or products relying on a trusted list published in accordance with Regulation (EU) No 910/2014 are as follows:

C.1 Qualified status of a trust service

The qualified status of a trust service is indicated by the combination of:

—	the ‘Service type identifier’ (‘Sti’) value in a service entry;

—

where applicable, the presence of one of the following values in all the fields ‘additionalServiceInformation extension’ in the service entry:

—	‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/ForeSignatures ’: further specifying the ‘Sti’ identified service as being provided for electronic signatures;

—	‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/ForeSeals ’: further specifying the ‘Sti’ identified service as being provided for electronic seals; or

—	‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/ForWebSiteAuthentication ’: further specifying the ‘Sti’ identified service as being provided for website authentication; and

—	the status according to the ‘Service current status’ field value as from the date indicated in the ‘Current status starting date and time’.

Historical information about such a qualified status is similarly provided when applicable.

C.1.1 Service status under Regulation (EU) No 910/2014

Including and after 1 July 2016 (UTC+2), the value of the ‘Service current status’ field used by the Supervisory Body designated in a Member State to indicate that a trust service entry is representing a qualified trust service is the URI ‘ http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/granted ’.

C.1.2 Service status under Directive 1999/93/EC

Strictly before 1st July 2016 (UTC+2), the value of the ‘Service current status’ field used by the Supervisory Body designated in a Member State to indicate that a trust service entry is representing a certification-service-provider issuing qualified certificates is one of the following URIs:

—	‘ http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/undersupervision ’;

—	‘ http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/supervisionincessation ’; or

—	‘ http://uri.etsi.org/TrstSvc/TrustedList/Svcstatus/accredited ’.

C.2 Qualified status of a certificate

Regarding qualified trust service providers issuing qualified certificates for electronic signatures, for electronic seals and/or for website authentication, a ‘CA/QC’ ‘Service type identifier’ (‘Sti’) entry indicates that any end-entity certificate issued by or under the CA represented by the CA’s public key and CA’s name (both CA data to be considered as trust anchor input) present in the ‘Service digital identifier’ (‘Sdi’), is or was a qualified certificate (QC) at a certain date and time provided that the trust service entry indicates a granted qualified status (see clause C.1) and that the below requirements are met with reference to that date and time.

C.2.1 Default rules

C.2.1.1 Certificate status standardised rule

The end-entity certificate contains the ETSI standardised QcStatements extension as specified in estándar ETSI EN 319 412-5 with the following requirements:

—	the id-etsi-qcs-QcCompliance (urn:oid:0.4.0.1862.1.1) QcStatement is present; and

—

where present, the id-etsi-qcs-QcType (urn:oid:0.4.0.1862.1.6) QcStatement contains exactly one of the following values:

—	the id-etsi-qct-esign (urn:oid:0.4.0.1862.6.1) ETSI defined QC type identifier;

—	the id-etsi-qct-eseal (urn:oid:0.4.0.1862.6.2) ETSI defined QC type identifier; or

—	the id-etsi-qct-web (urn:oid:0.4.0.1862.6.3) ETSI defined QC type identifier.

Optionally, the id-etsi-qct-QcSSCD (urn:oid:0.4.0.1862.4) QcStatement may be present.

C.2.1.2 Certificate status under Directive 1999/93/EC

Restricted to the context of Directive 1999/93/EC and as a legacy alternative to the above standardised rule, the end-entity certificate contains:

—	the ETSI standardised QcStatements extension (as specified in ETSI EN 319 412-5) with the id-etsi-qcs-QcCompliance (urn:oid:0.4.0.1862.1.1) QcStatement being present;

—	the legacy QCP+ (urn:oid:0.4.0.1456.1.1) ETSI defined certificate policy OID; or

—	the legacy QCP (urn:oid:0.4.0.1456.1.2) ETSI defined certificate policy OID.

C.2.2 Additional rules: Presence of Qualifications Extension

If ‘Sie’ ‘Qualifications Extension’ information as specified in clause 5.5.9.2 of estándar ETSI TS 119 612 is present, then in addition to the above default rules, those certificates that are identified through the use of ‘Sie’ ‘Qualifications Extension’ information must be considered according to the associated qualifiers. Those qualifiers are used when necessary to compensate for a lack of standardised machine processable information in the corresponding certificate content. They are not to be used to compensate for a lack of machine processable information in certificates issued after 1 July 2016 where that lack would result in a non-compliance with Annex I, III or IV of Regulation (EU) No 910/2014. However, they can be used to provide further machine processable information when the information provided in the certificate, while compliant with the Regulation, does not align with the above default interpretation rules. Where used, they provide additional information regarding:

—

their qualified status:

—	‘QCStatement’ (‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCStatement ’) meaning the identified certificates are qualified under Directive 1999/93/EC or under Regulation (EU) No 910/2014; or

—	‘NotQualified’(‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/NotQualified ’) meaning the identified certificates are not to be considered as qualified.

—

the nature of their qualification:

—	‘QCForESig’ (‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCForESig ’) meaning the identified certificates, when claimed or stated as qualified, are qualified certificates for electronic signature under Regulation (EU) No 910/2014;

—	‘QCForESeal’ (‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCForESeal ’) meaning the identified certificates, when claimed or stated as qualified, are qualified certificates for electronic seal under Regulation (EU) No 910/2014; or

—	‘QCForWSA’ (‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCForWSA ’) meaning the identified certificates, when claimed or stated as qualified, are qualified certificates for website authentication under Regulation (EU) No 910/2014.

—

whether or not the private key resides in a qualified signature or qualified seal creation device (QSCD) and the nature thereof:

—	‘QCWithQSCD’ (‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCWithQSCD ’) meaning the identified certificates, when claimed or stated as qualified, have their private key residing in a QSCD;

—	‘QCNoQSCD’ (‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCNoQSCD ’) meaning the identified certificates, when claimed or stated as qualified, have not their private key residing in a QSCD;

—	‘QCQSCDStatusAsInCert’ (‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCQSCDStatusAsInCert ’) meaning the identified certificates, when claimed or stated as qualified, do contain proper machine processable information about whether or not their private key is residing in a QSCD; or

—

‘QCQSCDManagedOnBehalf’ (‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCQSCDManagedOnBehalf ’) meaning the identified certificates, when they are claimed or stated as qualified, have their private key is residing in a QSCD for which the generation and management of that private key is done by a qualified TSP on behalf of the entity whose identity is certified in the certificate;

Restricted to the context of certificates issued under Directive 1999/93/EC, the following qualifiers are defined and provide additional information regarding:

—

whether or not the private key resides in a secure signature creation device (SSCD):

—	‘QCWithSSCD’ (‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCWithSSCD ’) meaning the identified certificates, when claimed or stated as qualified, have their private key residing in an SSCD;

—	‘QCNoSSCD’ (‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCNoSSCD ’) meaning the identified certificates, when claimed or stated as qualified, do not have their private key residing in an SSCD; or

—	‘QCSSCDStatusAsInCert’ (‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCSSCDStatusAsInCert ’) meaning the identified certificates, when claimed or stated as qualified, do contain proper machine processable information about whether or not their private key is residing in an SSCD.

—

the issuance to a Legal Person:

—	‘QCForLegalPerson’ (‘ http://uri.etsi.org/TrstSvc/TrustedList/SvcInfoExt/QCForLegalPerson ’) meaning the identified certificates, when claimed or stated as qualified, are issued to a Legal Person under Directive 1999/93/EC.

Note:

The information provided in the trusted list is to be considered as accurate meaning that the certificate is not to be considered as qualified if the end-entity certificate does not follow any of the default rules defined above, and:

—	if no ‘Sie’ ‘Qualifications Extension’ information is present for the trust anchor CA/QC corresponding service entry to qualify the certificate with a ‘QCStatement’ qualifier, or

—	a ‘Sie’ ‘Qualifications Extension’ information is present for the trust anchor CA/QC corresponding service entry to qualify the certificate with a ‘NotQualified’ qualifier.

C.3 Trust anchors

‘Service digital identifiers’ are to be used as Trust Anchors in the context of validating electronic signatures or seals for which signer’s or seal creator’s certificate is to be validated against information in the trusted list, hence only the public key and the associated subject name are needed as Trust Anchor information. When more than one certificate represents the public key identifying the service, they are to be considered as Trust Anchor certificates conveying identical information with regard to the information strictly required as Trust Anchor information.

C.4 General rule for the interpretation of trust service entries

The general rule for interpretation of any ‘Sti’ type entry, possibly further specified through a ‘Sie’ ‘additionalServiceInformation’, not corresponding to qualified trust services is that, for that ‘Sti’ identified service type, and possibly in combination with a ‘Sie’ ‘additionalServiceInformation’ URI, the listed service named according to the ‘Service name’ field value and uniquely identified by the ‘Service digital identity’ field value has the current approval status according to the ‘Service current status’ field value as from the date indicated in the ‘Current status starting date and time’.

Specific interpretation rules for any additional information with regard to a listed service (e.g. ‘Service information extensions’ field) may be found, when applicable, in the Member State specific URI as part of the present ‘Scheme type/community/rules’ field.

Please refer to the implementing acts adopted pursuant to Article 22(5) of Regulation (EU) No 910/2014 for further details on the specifications of the fields of the Member States’ trusted lists.”.

Un URI específico de la lista de confianza del Estado miembro que lleve a un texto descriptivo que será aplicable a la lista de confianza de este Estado miembro:

http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC donde CC = el código de país ISO 3166-1 (1) alfa-2 utilizado en el campo “Scheme territory” (cláusula 5.3.10)

—

donde los usuarios pueden obtener las normas y políticas específicas del Estado miembro a las que se hace referencia que se siguen en la evaluación de los servicios de confianza incluidos en la lista, en cumplimiento del sistema de supervisión y, en su caso, del sistema de aprobación del Estado miembro,

—

donde los usuarios pueden obtener la descripción concreta del Estado miembro a la que se hace referencia acerca de cómo utilizar e interpretar el contenido de la lista de confianza con respecto a los servicios de confianza no cualificados que figuran en la lista y los servicios de confianza definidos a nivel nacional. Esto podrá utilizarse para indicar una granularidad potencial en el sistema de aprobación nacional en relación con los CSP/TSP que no expiden QC y cómo se utilizan a tal efecto los campos “Scheme service definition URI” (cláusula 5.5.6) y “Service información extensión” (cláusula 5.5.9).

b)	Los Estados miembros podrán definir y utilizar URI adicionales que amplíen el URI específico del Estado miembro (es decir, URI definidos a partir de este URI específico jerárquico).»

En el capítulo II, después de la sección titulada «Service current status (cláusula 5.5.4)», se añade la sección siguiente:

“ The Signature element (cláusula B.1), General (cláusula B.1.0)

Esta cláusula será obligatoria y cumplirá las especificaciones de TS 119 612, cláusula B.1.0, donde el punto 2) se sustituye por el texto siguiente:

‘2)

su elemento ds:SignedInfo contendrá un elemento ds:Reference con el atributo URI constituido por una cadena vacía (es decir, URI =’) a fin de referirse a la totalidad del documento. El elemento ds:Reference deberá cumplir los siguientes requisitos:

a)	deberá contener un único elemento ds:Transforms;

el elemento ds:Transforms deberá contener dos elementos ds:Transform. El atributo Algorithm del primero deberá indicar la transformación envuelta con el valor: ‘http://www.w3.org/2000/09/xmldsig#enveloped-signature’. El atributo Algorithm del segundo deberá dar instrucciones para llevar a cabo la canonicalización exclusiva ‘http://www.w3.org/2001/10/xml-exc-c14n#’.”.»

(1) ISO 3166-1:2006: «Códigos para la representación de los nombres de los países y sus subdivisiones. Parte 1: Códigos de país».

Análisis

ANÁLISIS

Rango: Decisión
Fecha de disposición: 27/10/2025
Fecha de publicación: 28/10/2025
Fecha de entrada en vigor: 17/11/2025
Aplicable desde el 29 de abril de 2026.
Permalink ELI EUR-Lex: https://data.europa.eu/eli/dec_impl/2025/2164/spa

Referencias anteriores

MODIFICA el anexo I de la Decisión 2015/1505, de 8 de septiembre (Ref. DOUE-L-2015-81818).

Materias

Armonización de legislaciones
Certificaciones
Comercio electrónico
Comunicaciones electrónicas
Firma electrónica
Información
Mercado Intracomunitario
Nomenclatura
Redes de telecomunicación
Reglamentaciones técnicas
Seguridad informática

subir

State Agency Official State Gazette