Agencia Estatal Boletín Oficial del Estado

El artículo 7.2 de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, establece en su párrafo primero que reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeoidentificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.

Mediante la Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados, la Ministra de Asuntos Económicos y Transformación Digital procedió a dar cumplimiento al citado mandato legal.

Entre las medidas de seguridad que impone la mencionada Orden, el artículo 6.d) exige que el prestador cualificado de servicios electrónicos de confianza emplee un producto de identificación remota por vídeo que cumpla los requisitos mínimos de seguridad indicados en el anexo F.11 de la Guía de Seguridad de las TIC CCN-STIC-140, del Centro Criptológico Nacional de categoría alta. El cumplimiento de dicha obligación deberá ser certificado siguiendo metodologías de evaluación reconocidas por el Organismo de Certificación del ENECSTI (Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información) por un organismo acreditado según la norma ISO/IEC 17065, de acuerdo con lo establecido en el artículo 24.1 d) del Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Debido a la ausencia de productos de identificación remota cuyo cumplimiento de los citados requisitos hubiese sido certificado a fecha de adopción de la Orden ETD/465/2021, de 6 de mayo, la misma previó un periodo transitorio hasta el 1 de julio de 2022, que permite demostrar el cumplimiento de los requisitos de seguridad mediante otras certificaciones, informes o pruebas en laboratorios o entidades especializadas, revisadas por un Organismo de Evaluación de la Conformidad oportunamente acreditado.

No obstante, durante los últimos meses el Centro Criptológico Nacional ha evidenciado la imposibilidad de cumplimiento de los requisitos establecidos en el citado artículo 6.d) de la Orden ETD/465/2021 por parte de los prestadores de servicios en el plazo transitorio inicialmente previsto. Ante tal circunstancia, esta orden ministerial introduce una modificación en la mencionada Orden con objeto de la ampliación del plazo transitorio hasta el 1 de marzo de 2023, que permita la continuidad en la prestación de los servicios de emisión de certificados electrónicos mediante identificación remota de los solicitantes, y no afecte a la actividad y competitividad de los prestadores de servicios establecidos en España.

Por otra parte, el Centro Criptológico Nacional ha constatado que un elevado porcentaje de los productos de identificación remota han sido desarrollados para su utilización de manera nativa en la nube, lo que imposibilita la utilización de las metodologías de certificación reconocidas por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTIC). En consecuencia, en el citado artículo 6.d) se introduce la posibilidad de acreditar el cumplimiento de tales requisitos mediante una evaluación de seguridad y posterior inclusión del producto cualificado en el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (Guía de Seguridad de las TIC CCN-STIC-105) publicado por el Centro Criptológico Nacional.

Esta norma se compone de un artículo único y una disposición final única, y se adecúa a los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia, a los que debe sujetarse el ejercicio de la potestad reglamentaria, de conformidad con lo dispuesto en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

De este modo, cumple con el principio de necesidad y eficacia, ante la exigencia en aras del interés general de ampliación del plazo transitorio previsto y la precisión de los métodos de acreditación de cumplimiento de requisitos, por los motivos expuestos ut supra, siendo esta orden el instrumento más adecuado al efecto. Asimismo, cumple con el principio de eficiencia, dado que se constituye como la alternativa adecuada ante la situación planteada y no impone cargas administrativas innecesarias.

Se adecúa, asimismo, al principio de proporcionalidad, dado que contiene la regulación imprescindible para atender la necesidad a cubrir, intentando garantizar en todo momento el equilibrio entre las necesidades en relación con los servicios de emisión de certificados electrónicos y el adecuado nivel de protección de los usuarios y la actividad económica. Por otra parte, se ajusta al principio de seguridad jurídica, al ser coherente con lo establecido en las disposiciones legales y reglamentarias que le sirven de fundamento.

En el procedimiento de elaboración de esta orden se ha tenido en cuenta lo dispuesto en la Ley 50/1997, de 27 de noviembre, del Gobierno, y en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Se ha sometido el texto al trámite de audiencia e información pública previsto en el artículo 26.6 de la citada Ley 50/1997, posibilitando así la participación activa de los potenciales destinatarios, y se han definido con claridad los objetivos de la norma. En consecuencia, se considera cumplido el principio de transparencia.

Por último, se han recabado informes, de conformidad con lo previsto en el artículo 26.5 de la Ley 50/1997, del Ministerio de Defensa y del Ministerio del Interior.

Esta orden se dicta al amparo de las competencias exclusivas que corresponden al Estado en materia de legislación civil, de telecomunicaciones y de seguridad pública, conforme a lo dispuesto en el artículo 149.1. 8.ª, 21.ª y 29.ª de la Constitución Española, respectivamente.

En su virtud, de acuerdo con el Consejo de Estado, dispongo:

Artículo único. Modificación de la Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados.

La Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados, queda modificada como sigue:

Uno. Se modifica el apartado d) del artículo 6, que queda redactado en los siguientes términos:

«d) Empleará un producto de identificación remota por vídeo que cumpla los requisitos mínimos de seguridad indicados en el anexo F.11 de la Guía de Seguridad de las TIC CCN-STIC-140, del Centro Criptológico Nacional de categoría alta. El prestador cualificado deberá seguir las indicaciones de configuración y uso seguro del producto. El cumplimiento de dicha obligación deberá ser certificado siguiendo metodologías de evaluación reconocidas por el Organismo de Certificación del ENECSTI (Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información), por un organismo acreditado según la norma ISO/IEC 17065.

No obstante, en caso de indisponibilidad de metodologías de evaluación aplicables para la certificación del producto, se admitirá la acreditación de cumplimiento de la citada obligación mediante la evaluación de su seguridad e inclusión en el listado de productos cualificados del Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (Guía de Seguridad de las TIC CCN-STIC-105) publicado por el Centro Criptológico Nacional.»

Dos. Se modifica la Disposición transitoria única, que queda redactada en los siguientes términos:

«Hasta que entre en vigor el artículo 6.d), el cumplimiento de los requisitos de seguridad se demostrará mediante otras certificaciones, informes o pruebas en laboratorios o entidades especializadas, que se revisarán por un organismo de evaluación de la conformidad, quien incluirá el resultado en el informe de evaluación de la conformidad.»

Tres. Se modifica la Disposición final segunda, que queda redactada en los siguientes términos:

«La presente orden entrará en vigor el día siguiente al de su publicación en el “Boletín Oficial del Estado”, salvo lo dispuesto en el artículo 6.d) que entrará en vigor el 1 de marzo de 2023.»

Disposición final única. Entrada en vigor.

La presente orden entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

Madrid, 26 de julio de 2022.–La Ministra de Asuntos Económicos y Transformación Digital, Nadia Calviño Santamaría.