LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 29 bis, apartado 2, y su artículo 39 bis,

Considerando lo siguiente:

(1)

Los servicios de confianza cualificados para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y de dispositivos cualificados de creación de sello electrónico a distancia desempeñan un papel crucial en el entorno empresarial digital al promover la transición de los procesos tradicionales en papel a los equivalentes electrónicos. Estos servicios de confianza cualificados contribuyen a una gestión segura y fiable de esos dispositivos a distancia en nombre de los firmantes y creadores de los sellos, de manera que se garantice el cumplimiento de las condiciones para las firmas electrónicas cualificadas y los sellos electrónicos cualificados.

(2)

A fin de aumentar la seguridad jurídica y la fiabilidad de los servicios de confianza cualificados para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y de los servicios de confianza cualificados para la gestión de dispositivos cualificados de creación de sello electrónico a distancia, los prestadores cualificados de servicios de confianza que presten dichos servicios cualificados deben cumplir las normas establecidas en el presente Reglamento.

(3)

Estas normas deben reflejar las prácticas establecidas y ser ampliamente aceptadas en los sectores pertinentes. Deben estar adaptadas para incluir controles que garanticen la seguridad y la fiabilidad de los servicios de confianza cualificados y que los firmantes tengan el control exclusivo, con un alto nivel de confianza, sobre el uso de sus datos de creación de la firma electrónica, y que los creadores del sello tengan el control sobre el uso de sus datos de creación del sello electrónico, respectivamente.

(4)

(5)

Con el fin de garantizar un plazo adecuado para la auditoría de los prestadores de servicios de confianza en lo que respecta al cumplimiento de los nuevos requisitos, el presente Reglamento debe empezar a ser aplicable veinticuatro meses después de su entrada en vigor.

La Comisión evalúa periódicamente las nuevas tecnologías, prácticas, normas y especificaciones técnicas. De conformidad con el considerando 75 del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (2), la Comisión debe revisar y actualizar el presente Reglamento, en caso necesario, para mantenerlo en consonancia con la evolución mundial, las nuevas tecnologías, normas o especificaciones técnicas y seguir las mejores prácticas del mercado interior.

(6)

(7)

(8)

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (4) deben aplicarse a todas las actividades de tratamiento de datos personales en virtud del presente Reglamento.

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (5) , emitió su dictamen el 6 de junio de 2025.

Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n. o 910/2014.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Normas de referencia y especificaciones

En el anexo del presente Reglamento se establecen las normas de referencia y especificaciones para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y de dispositivos cualificados de creación de sello electrónico a distancia como servicios de confianza cualificados a que se refieren el artículo 29 bis, apartado 2, y el artículo 39 bis del Reglamento (UE) n.o 910/2014.

Artículo 2

Entrada en vigor y aplicabilidad

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será aplicable a partir del 19 de agosto de 2027.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 29 de julio de 2025

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1) DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2) Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.° 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (DO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE, (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

ANEXO

Lista de normas de referencia y especificaciones para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y de dispositivos cualificados de creación de sello electrónico a distancia

La norma ETSI TS 119 431-1 V1.3.1 (2024-12) (en lo sucesivo, «ETSI TS 119 431-1») se aplica a efectos de evaluar la conformidad con la versión 2 de la política de servicio de aplicación de firma en servidor de la UE de conformidad con el anexo A de dicha norma, con las siguientes adaptaciones:

2.1 Referencias normativas

—

[1] ETSI EN 319 401 V3.1.1 (2024-06): «Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers» [«Firmas electrónicas e infraestructuras de confianza (ESI); Requisitos de política general para prestadores de servicios de confianza», documento en inglés].

—	[7] Grupo Europeo de Certificación de la Ciberseguridad, Subgrupo de Criptografía: «Agreed Cryptographic Mechanisms» («Mecanismos criptográficos acordados», documento en inglés) publicado por la Agencia de la Unión Europea para la Ciberseguridad («ENISA») (1).

6.1 Responsabilidades de publicación y repositorio

—	OVR-6.1-04: La información indicada en OVR-6.1-01 deberá estar a disposición del público y a escala internacional.

6.4.4 Controles del personal

—

OVR-6.4.4-02: Los proveedores de servicio de aplicación de firma en servidor (SSASP) emplearán en funciones de confianza personal y, en su caso, subcontratistas que posean los conocimientos especializados, la experiencia y las cualificaciones necesarios obtenidos a través de formación y credenciales formales, o de la experiencia, o de una combinación de ambas cosas.

—	OVR-6.4.4-03: El cumplimiento de los requisitos de OVR-6.4.4-02 incluirá actualizaciones periódicas (al menos cada doce meses) sobre las nuevas amenazas y las prácticas de seguridad actuales.

6.4.9 Cese del servicio de los proveedores de servicio de aplicación de firma en servidor

—	OVR-6.4.9-02: El plan de cese de los proveedores de servicio de aplicación de firma en servidor cumplirá lo dispuesto en los actos de ejecución adoptados en virtud del artículo 24, apartado 5, del Reglamento (UE) n.o 910/2014 [i.1].

6.5.5 Controles de seguridad de las redes

—	OVR-6.5.5-02: El escaneado de vulnerabilidades exigido en el REQ-7.8-13 de ETSI EN 319 401 [1] se realizará al menos una vez al trimestre.

—	OVR-6.5.5-03: Los cortafuegos estarán configurados de manera que impidan todos los protocolos y accesos que no sean necesarios para el funcionamiento del prestador de servicios de confianza.

6.8.5 Controles criptográficos

—	OVR-6.8.5-01: Se establecerán controles de seguridad adecuados para la gestión de toda técnica criptográfica del proveedor de servicio de aplicación de firma en servidor a lo largo de su ciclo de vida.

—

OVR-6.8.5-02: Por lo que se refiere a OVR-6.8.5-01, el proveedor de servicio de aplicación de firma en servidor seleccionará y utilizará técnicas criptográficas adecuadas conformes con los mecanismos criptográficos acordados aprobados por el Grupo Europeo de Certificación de la Ciberseguridad y publicados por la ENISA [7].

Anexo A, sección A.3 Requisitos generales

—

OVR-A.3-02 [EUSPv2]: La declaración de prácticas del prestador de servicios de confianza (TSP) incluirá la referencia a la certificación del dispositivo cualificado de creación de firma electrónica (QSCD) empleado de conformidad con los requisitos del anexo II del Reglamento (UE) n.o 910/2014 [i.1].

(1) https://certification.enisa.europa.eu/publications/eucc-guidelines-cryptography_en.