En muchas convocatorias de juntas de accionistas se incluyen párrafos en la convocatoria o en un documento adjunto posiblemente titulado «Normas de funcionamiento para la representación y votación a través de medios de comunicación a distancia previos a la junta» parecidos a este:
(…) A tal efecto, los accionistas deberán acreditar su identidad, en la aplicación informática de participación en la Junta, mediante:
(i) el Documento Nacional de Identidad Electrónico,
(ii) un certificado electrónico de usuario reconocido, válido y vigente, de conformidad con lo previsto en la Ley XXX y emitido por la Autoridad Pública de Certificación Española (CERES), dependiente de la Fábrica Nacional de Moneda y Timbre (FNMT), (…)
El ejemplo se incluye para detectar los términos «reconocido» (los certificados, en la actualidad se denominan cualificados tras la publicación del Reglamento UE 910/2014) y la mención expresa a la FNMT es excesivamente restrictiva (en la actualidad son válidos todos los certificados emitidos por PSC -Prestadores de Servicios de Confianza- cualificados) mencionados en la TSL española y en la TSL europea. TSL significa Trusted Service List.
Si está preparando una junta de accionistas, contacte con EADTrust en el 902 365 612 o 917160555 para asegurarse (sin coste) de que redacta de forma adecuada la Convocatoria y los documentos complementarios. Y le podemos explicar los servicios societarios que ofrecemos.
Y no olvide que EADTrust pertenece al reconocido despacho Garrigues
Hace no muchos años, la vida de una sociedad mercantil tenía una banda sonora inconfundible: el paso de páginas del BOE, el crujido de los periódicos de gran tirada buscando convocatorias y el sello húmedo sobre el papel notarial. Hoy, esa liturgia física está dando paso a un entorno puramente digital. Pero no nos confundamos: digitalizar el gobierno corporativo no es simplemente hacer reuniones por Zoom o Teams.
Bajo el epígrafe de «Servicios Societarios Electrónicos» se está consolidando una nueva industria de servicios de confianza (Trust Services) diseñada para garantizar que la voluntad de la empresa —desde cómo se reúne hasta cómo toma decisiones— tenga la misma (o mayor) solidez jurídica que en la era del papel.
Ya no se trata solo de tecnología, se trata de gobernanza digital y seguridad jurídica preventiva. Repasemos qué piezas componen este nuevo puzle.
1. La Convocatoria y la Sede Electrónica: El Desafío del Artículo 518 LSC
Uno de los cambios más trascendentales en el gobierno corporativo es el método de convocatoria. La Ley de Sociedades de Capital (LSC) ha permitido sustituir la costosa y lenta publicación en prensa por la difusión en la Página Web Corporativa de la sociedad. Sin embargo, este cambio acarrea una responsabilidad de prueba crítica que se detalla en el Artículo 518 de la LSC.
Este artículo no se limita a autorizar la publicación digital; exige que la sociedad garantice la validez del acto de convocatoria, lo que nos obliga a resolver tres retos técnicos y jurídicos fundamentales:
A. Disponibilidad y Continuidad (La Prueba de Permanencia)
El Artículo 518 exige que la publicación debe permanecer en la web «desde la fecha de la convocatoria hasta la celebración de la junta». La sociedad debe ser capaz de demostrar judicialmente que el anuncio estuvo accesible sin interrupciones significativas durante todo el periodo legal. Esto se logra mediante servicios de monitorización externa que actúan como un tercero de confianza.
B. Integridad del Contenido (El Hashing y el Sellado de Tiempo)
Es crucial demostrar que el contenido de la convocatoria no fue modificado tras su publicación inicial. Un cambio sutil en una fecha o en el orden del día podría anular la Junta. El servicio de confianza resuelve esto mediante:
La aplicación de funciones hash al documento (huella digital criptográfica).
El sellado de tiempo cualificado sobre el hash en el momento de la publicación. Esto ofrece una evidencia irrefutable sobre la inmutabilidad de la convocatoria.
C. Accesibilidad y Usabilidad (Descargable e Imprimible)
La ley requiere que el documento de la convocatoria sea «descargable e imprimible» por cualquier socio. El servicio debe certificar que el archivo (generalmente un PDF) cumple las condiciones técnicas mínimas de usabilidad y que no está cifrado, dañado o protegido de forma que impida su correcta impresión. Este es un requisito técnico que tiene consecuencias jurídicas directas.
En resumen: la sede electrónica corporativa se convierte en un medio de prueba. La inversión en un servicio fehaciente de certificación de la publicación es, en realidad, una póliza de seguro contra la impugnación de acuerdos societarios.
2. El Foro Electrónico de Accionistas
Antes de la reunión, la interacción es clave. Especialmente en las sociedades cotizadas (y recomendable en grandes empresas no cotizadas), el Foro Electrónico de Accionistas se ha convertido en el ágora digital.
Este servicio no es un simple chat. Es un entorno securizado, con control de acceso riguroso, que permite a los accionistas:
Publicar propuestas complementarias al orden del día.
Lanzar iniciativas para alcanzar el porcentaje necesario para ejercer derechos minoritarios.
Presentar ofertas de adhesión o representación.
El reto técnico aquí es la identificación fehaciente de los participantes para evitar suplantaciones que podrían manipular el clima previo a la Junta.
3. La Junta Híbrida y el Voto Electrónico
El momento de la verdad es la celebración de la Junta General. La pandemia normalizó las juntas telemáticas o híbridas, pero para que sean válidas legalmente requieren mucho más que una videollamada. Y además en la actualidad para poderlas llevar a acabo deben estar expresamente recogidas en los estatutos.
Los servicios societarios modernos ofrecen plataformas que integran:
Gestión de Quórum en tiempo real: Calculando el capital presente y representado al instante.
Voto Electrónico anticipado a distancia: Emitido antes de la reunión de forma cifrada.
Voto y delegación durante la sesión: Permitiendo a quien asiste remotamente emitir su voto con la misma validez que quien levanta la mano en la sala.
Aquí los servicios cualificados de confianza digital impulsados por el Reglamento eIDAS ayudan a crear servicios confiables para garantizar la identidad de los votantes, la prueba de posesión de títulos de la sociedad y el sentido de voto, disociando el voto del votante.
4. La Trastienda: Administración Societaria y Legalización
Esta sección es fundamental para el secretario del Consejo y el compliance legal:
Firma de Actas y Certificaciones: El uso de certificados cualificados (de persona física o de representante) para cerrar los acuerdos del Consejo o de la Junta, garantizando la autoría y la inalterabilidad.
Legalización Telemática de Libros: El envío digital al Registro Mercantil de los libros de actas y el libro registro de socios, sustituyendo la presentación física.
Notificaciones Fehacientes: Comunicación de acuerdos o eventos críticos mediante servicios de entrega electrónica certificada, aportando prueba del envío y recepción con plenas garantías.
5. Identidad Digital: La llave maestra y la Visión de Futuro
Nada de lo anterior se sostiene sin una Identidad Digital robusta. Ya sea para acceder al Foro, para descargar la convocatoria certificada o para votar, necesitamos certeza sobre «quién es quién».
Estamos transitando del uso de certificados digitales tradicionales hacia modelos más ágiles pero igualmente seguros, alineados con el reglamento eIDAS2. En el futuro inmediato, veremos cómo los accionistas se identifican en las Juntas utilizando su Cartera de Identidad Digital de la UE (EUDI Wallet), simplificando el acceso transfronterizo para inversores internacionales. La integración con los Prestadores de Servicios de Confianza Cualificados (QTSP) será el nexo para dar validez legal a cada interacción.
Conclusión
Los Servicios Societarios Electrónicos han dejado de ser una «innovación» para convertirse en una necesidad de compliance. La digitalización de la sociedad mercantil no consiste solo en ahorrar papel; consiste en blindar los procesos corporativos.
Desde certificar que un PDF era descargable en la web bajo el escrutinio del Art. 518 LSC, hasta garantizar que un voto electrónico no ha sido alterado, la tecnología se ha convertido en el nuevo notario de la vida societaria. Y en este escenario, contar con servicios de confianza cualificados no es un lujo, es la única póliza de seguro real contra la impugnación.
Contacte con EADTrust en el 917160555 (o por email info (at) eadtrust.com) para entender mejor nuestros servicios y valorar su adopción. Mejoran la seguridad jurídica de la empresa en la organización de Juntas con un coste contenido.
Las empresas enfrentan riesgos de ciberseguridad, que se complementan con un marco regulatorio que obliga a tomar medidas frente a ellos.
Una de las dimensiones de la actividad de las empresas es ahora, por tanto, el cumplimiento normativo del marco regulatorio de la Unión Europea, que exige conocimientos especializados que es difícil tener en nómina y que hace recomendable tener localizados a especialistas que colaboren con la empresa como consultores externos.
Uno de los primeros pasos es navegar por el laberinto regulatorio, en base a normas ya publicadas y en vigor, otras publicadas que entrarán en vigor más adelante, y otras normas anunciadas, pero cuyos principios ya son conocidos.
En un mundo en el que los ciberataques cuestan miles de millones al año, regulaciones como NIS2, CRA, CER y DORA no son solo «buenas prácticas», sino obligaciones que pueden evitar multas de hasta el 2% de la facturación global.
En este artículo se comentan someramente sus similitudes y diferencias para poder entender el panorama completo.
Resumen de las normas citadas:
NIS2 (Directiva (UE) 2022/2555 de Ciberseguridad): Impulsa la ciberseguridad en infraestructuras críticas y servicios digitales esenciales. Aplica a entidades «esenciales» e «importantes» en sectores como energía, transporte, salud e ICT, con énfasis en gestión de riesgos y respuesta a incidentes. Implementación obligatoria desde octubre de 2024. En España existe un Anteproyecto de Ley, ya que la Directiva se tiene que transponer al ordenamiento legal español
CRA (Reglamento (UE) 2024/2847 de Ciberresiliencia): Asegura que productos digitales (software, IoT, hardware conectado) sean seguros «por diseño» durante todo su ciclo de vida. Dirigida a fabricantes, importadores y distribuidores; excluye sectores regulados como dispositivos médicos. Plena aplicación en diciembre de 2027.
CER (Directiva (UE) 2022/2557 de Resiliencia de Entidades Críticas): Protege infraestructuras críticas contra disrupciones amplias (ciber, físicas, operativas). Cubre 11 sectores clave como energía, banca, salud y transporte; las entidades designadas deben cumplir también con NIS2. Identificación de entidades críticas hasta julio de 2026.
DORA (Reglamento (UE) 2022/2554 de Resiliencia Operativa Digital): Enfocada en el sector financiero (bancos, aseguradoras, fintech) y proveedores ICT críticos, para resistir interrupciones digitales. Incluye pruebas de resiliencia y gestión de terceros. Cumplimiento desde enero de 2025. Implica la adecuación de las entidades proveedoras de banca que serán auditadas por las propias entidades financieras.
Estas regulaciones forman un ecosistema complementario, pero su solapamiento puede generar confusión si no se abordan de forma integrada. Todas buscan elevar la resiliencia digital de la UE frente a amenazas crecientes, promoviendo una armonización transfronteriza. Aquí un resumen:
Aspecto
Descripción Común
Objetivo Principal
Mejorar la ciberseguridad y resiliencia operativa contra riesgos digitales y disrupciones.
Enfoque en Riesgos
Obligan a evaluaciones de riesgos, gestión de cadena de suministro/terceros y controles técnicos/organizativos.
Reporte de Incidentes
Requerimiento de notificación rápida (e.g., 24-72 horas) a autoridades nacionales o europeas.
Gobernanza
Responsabilidad de la alta dirección; auditorías regulares y pruebas de vulnerabilidades.
Sanciones
Multas elevadas (hasta 2% de ingresos globales) y medidas correctivas; obligatorias para entidades en cada ámbito.
Complementariedad
Se solapan (e.g., entidades CER deben cumplir NIS2); alineadas con ISO 27001 para ~80% de medidas.
Estas similitudes significan que una empresa en sectores críticos (como finanzas o energía) podría tener que cumplir varias a la vez.
Desde el punto de vista del consultor, una aportación muy valorada es la realización conjunta con la entidad de un «gap analysis» unificado, lo que ahorra tiempo y recursos!Diferencias: Lo que las Distingue (y por qué Necesita Asesoría Personalizada)Las variaciones radican en alcance sectorial, enfoque y plazos, lo que complica el cumplimiento si no se mapea correctamente. Por ejemplo, un fabricante de IoT cae en CRA, pero un banco en DORA + NIS2 + CER.
Amplio para servicios digitales; ~80% overlap con ISO 27001.
Mercado: productos no conformes no se venden en UE.
Físico-digital: cubre riesgos no cibernéticos.
Financiero: fines hasta €5M para proveedores ICT.
Como se puede apreciar, NIS2 y CER son «hermanas» en infraestructuras (CER es más amplia en riesgos), mientras CRA está «centrada en producto» y DORA tiene clara orientación «financiera».
Hay diferencias en plazos (e.g., NIS2 ya obliga hoy, aunque no esté aprobado el anteproyecto de ley) por lo que es conveniente realizar una evaluación de impacto lo antes posible, teniendo en cuenta las diferentes normas y las peculiaridades de cada empresa.
Planificar la preparación de la empresa a todos estos cambios regulatorios de forma agrupada ayuda a optimizar esfuerzos y a dar un tratamiento unificado, sobre todo al asignar recursos humanos para su gestión, lo que supone ahorro de costes.
Puede contactar con EADtrust si necesita valorar el impacto de la normativa en su empresa y en su industria. Nuestra división de Servicios Profesionales es especialista en Ciberseguridad y ha contribuido a que la propia EADTrust esté certificada en la exigente normativa EIDAS y en diferentes normativas de seguridad certificables : ENS, ISO 27001, ISO 20000-1,…
Es posible ahorrar un 30-50% en costes al integrar el compliance (con un roadmap que cubra NIS2 + DORA en 6 meses). Recuerde que aunque DORA se orienta a entidades financieras, afecta a todos su proveedores.
Si su empresa pertenece a sectores regulados —ya sea fabricando dispositivos, operando infraestructuras o gestionando finanzas— conviene no esperar para pasar a la acción.
iContáctennos llamando al 917160555 para tener un primer diagnóstico del posible impacto regulatorio! Nuestros especialistas pueden ayudarle a transformar obligaciones en oportunidades de innovación segura.
El GLTH Day (o GLTHDAY) es un evento anual organizado por el Global LegalTech Hub (GLTH), que este año está siendo del 22 al 24 de octubre.
Global LegalTech Hub es una asociación sin ánimo de lucro que conecta a profesionales del sector jurídico, innovadores tecnológicos, startups y expertos en legaltech a nivel mundial. Su objetivo principal es promover la innovación en el ámbito legal mediante la transformación digital, el intercambio de conocimiento y el análisis de tendencias globales en tecnología aplicada al derecho.
En la jornada del 23 de octubre de 2025 pudimos escuchar a nuestra compañera Belén Aguayo explicando la conexión entre Garrigues (g-digital) y EADtrust y casos prácticos en los que ya se usan servicios de confianza cualificados, que dejan evidencias digitales de procesos operativos.
g-digital, es la división de negocios digitales de Garrigues (la mayor Firma de abogados de la Unión Europea) dedicada a fomentar la innovación y el desarrollo tecnológicos para ayudar a los clientes de la Firma en su transformación digital. Asume la misión de desarrollar soluciones tecnológicas que integren el conocimiento del derecho de los negocios del despacho legal en los procesos de sus clientes, no solo mejorando la eficiencia y la seguridad jurídica, sino también habilitando nuevas oportunidades de negocio en un entorno cada vez más digital.
Los profesionales de Garrigues Digital, que son los expertos del despacho en TechLaw y economía digital, trabajan estrechamente con los tecnólogos de g-digital en el diseño de sus soluciones, asegurando que tecnología y legalidad se integran en cada propuesta e identificando las necesidades y oportunidades del mercado. Esta colaboración es el factor clave y distintivo que asegura que sus productos y servicio sean innovadores y de confianza.
Las soluciones de g-digital están concebidas como herramientas esenciales para garantizar la seguridad jurídica, la eficiencia y el cumplimiento normativo en los procesos desplegados por o clientes del a Firma.
g-digital, trabaja en estrecha colaboración con EADTrust, prestador cualificado de servicios de confianza digital, participado por Garrigues.
Esta colaboración representa una alianza estratégica que redefine la forma en que las empresas gestionan sus transacciones digitales. Esta sinergia combina el liderazgo legal de Garrigues con la experiencia técnica de EADTrust para ofrecer soluciones integrales que garantizan seguridad, eficiencia y cumplimiento normativo.
¿Qué ofrecen juntos g-digital y EADTrust?
La propuesta comercial conjunta se basa en tres pilares fundamentales:
Servicios de confianza digital regulados
EADTrust aporta su experiencia en servicios cualificados, como la expedición de certificados cualificados de personas físicas para la realización de firmas electrónicas cualificadas, la expedición de certificados cualificados de personas jurídicas para la realización de sellos electrónicos cualificados, la emisión de sellos de tiempo cualificados, la provisión de servicios de custodia digital y notificaciones certificadas, esenciales para garantizar la autenticidad y seguridad de las transacciones digitales.
g-digital integra estos servicios en procesos legales, optimizando la gestión de contratos y asegurando que las empresas cumplan con normativas como eIDAS2.
Innovación tecnológica aplicada al ámbito legal
Ambas entidades han desarrollado soluciones como GoCertius, que permite certificar fotografías y videos captados con el móvil asociándolos al momento en que se tomaron, y que se ha ampliado para dejar constancia de lo tratado en chats «securizados» en plataformas como Telegram con alta eficacia probatoria, y que permitiría un sistema de contratación con muy baja fricción en la experiencia de usuario.
g-digitaltrabaja en proyectos basados en blockchain, como plataformas de activos financieros tokenizados bajo el régimen piloto de la UE (Reglamento UE 2022/858) y la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión y su constitución como ERIR (Entidad Responsable de la Inscripción y del Registro. También impulsa soluciones de «EAD Enterprise Suite» como «eArchiving» y «Signature Manager» una herramienta colaborativa que permite la firma electrónica de varios intervinientes en un acuerdo e incluso invitar asesores legales al proceso de firma.
Cumplimiento normativo y adaptación al mercado europeo
La colaboración está alineada con regulaciones clave como eIDAS2, NIS2, DORA y MiCA, asegurando que las empresas puedan operar dentro del marco legal europeo mientras aprovechan herramientas avanzadas para la gestión digital.
Beneficios para las empresas
La alianza entre g-digital y EADTrust ofrece ventajas tangibles para empresas de todos los sectores:
Seguridad jurídica: Las soluciones conjuntas garantizan que las transacciones digitales cumplan con los estándares legales más exigentes, reduciendo riesgos regulatorios.
Eficiencia operativa: La integración de servicios digitales permite automatizar procesos clave, como la firma electrónica o la custodia documental, optimizando tiempos y costes. El uso de sello de tiempo cualificado en pasos clave de procesos de negocio digitalizados los transforma en pruebas con presunción «Iuris Tantum»
Innovación adaptada: Con herramientas como blockchain y carteras digitales europeas (EUDI Wallets), las empresas pueden liderar la transformación digital sin comprometer la seguridad ni el cumplimiento normativo.
Casos destacados
Entre los proyectos desarrollados conjuntamente se encuentran:
GoCertius: Una solución innovadora para certificar fotos, videos y documentos captados por la cámara controlada por la App y comunicaciones digitales por Telegram , ideal para sectores donde la evidencia legal es crítica.
EAD Factory: Servicios diseñados para transformar procesos empresariales tradicionales en entornos completamente digitales por diseño, beneficiando especialmente a industrias como banca y seguros. Puede implantarse en sus propios CPDs o en plataformas en la nube TIC
EAD Enterprise Suite: eArchiving: Solución de custodia digital de archivos, equivalente en cierto sentido al depósito notarial, con funcionalidades de escrow.
EAD Enterprise Suite: Signature Manager: Solución de firma electrónica de uso muy sencillo que reduce la fricción para los firmantes y sus asesores, y que resuelve los retos de la firma en contextos multinacionales donde aplican diferentes leyes y jurisdicciones.
Conclusión
La colaboración entre g-digital y EADTrust no solo fortalece la confianza digital en Europa, sino que también posiciona a ambas entidades como líderes en un mercado donde la seguridad jurídica y tecnológica son esenciales. Su propuesta conjunta es una invitación a las empresas a abrazar el futuro digital con herramientas que garantizan autenticidad, integridad y cumplimiento normativo. En un entorno donde la innovación es clave, esta alianza representa el puente perfecto entre tecnología avanzada y seguridad legal.
GoCertius es la base conceptual sobre la que EADTrust y g-digital han construido los servicios de EAD Factory. Una panoplia de servicios para que empresas de diferentes tamaños y sectores puedan desarrollar entornos de gestión de evidencias electrónicas sacando ventaja de los servicios regulados, tales como los que se describen en el Reglamento europeo eIDAS.
Las soluciones de EAD Factory, al integrar servicios de confianza digital y optimizar procesos legales, pueden beneficiar a diversas industrias que requieren gestión segura y eficiente de documentos y transacciones digitales. De esta forma se pueden optimizar los procesos empresariales de gestión rediseñándolos para que sean completamente digitales por diseño, sabiendo que se podrá contar con evidencias digitales prescindiendo del papel.
A continuación, se presentan algunas de las industrias que podrían beneficiarse más de estas soluciones:
Sector Financiero y Seguros:
Beneficios: La gestión segura de documentos financieros y la autenticidad de las transacciones son cruciales en este sector. EAD Factory puede ayudar a cumplir con las regulaciones financieras y de protección de datos, como el Reglamento General de Protección de Datos (GDPR), Digital Operational Resilience Act (DORA), Directiva 2022/2555 (NIS2) y el Reglamento 910/2014 eIDAS con los cambios introducidos por el Reglamento 1183/2024.
Industria Legal y Jurídica:
Beneficios: La generación de evidencias digitales y la gestión de contratos electrónicos son fundamentales para este sector. EAD Factory facilita la creación de documentos legales electrónicos seguros y auténticos, mejorando la eficiencia en los procesos legales. Por su influencia en otras activiadades el punto de vista legal es crucial para entender el ·Compliance y entender la presunción Iuris Tantum de los servicios cualificados de confianza
Sector de la Salud:
Beneficios: La gestión de registros médicos electrónicos o los Consentimientos Informados requiere altos niveles de seguridad y confianza. EAD Factory puede ayudar a proteger la privacidad de los pacientes y asegurar la integridad de los datos médicos. También ayuda digitalizar historias clínicas, respetando la normativa definida para ellos,
Industria de la Energía y Recursos Naturales:
Beneficios: La optimización de procesos y la gestión eficiente de documentos son clave en este sector, donde la seguridad y el cumplimiento normativo son fundamentales. EAD Factory puede ayudar a mejorar la eficiencia operativa y reducir costos. También la contratación se beneficia de un marco regulatorio más garantista.
Sector de Transporte y Logística:
Beneficios: La gestión de documentos de transporte y la trazabilidad de mercancías requieren sistemas confiables. EAD Factory puede proporcionar soluciones para asegurar la autenticidad y seguridad en la gestión de documentos relacionados con el transporte y la logística. En particular, albaranes gestionados de forma digital que puedan surtir efecto también como documentos híbridos con versión en papel.
En resumen, cualquier industria que requiera gestión segura de documentos y transacciones digitales puede beneficiarse de las soluciones de EAD Factory. La plataforma es especialmente útil para sectores con altos requisitos de seguridad y cumplimiento normativo.
EAD Factory está formado por diferentes servicios cualificados de confianza
EAD Factory está formado por diferentes servicios cualificados de confianza definidos por el reglamento #eIDAS y desarrollos auxiliares que permiten dotar a cualquier proceso que incluya gestión digital de un respaldo regulatorio en forma de evidencias digitales con valor «Iuris Tantum» que aportar tanto en entornos MASC (Medios adecuados de solución de controversias) como contextos de litigación.
Roadshow NIS 2 & DORA: Estrategias para la Seguridad y Cumplimiento
📅 20 de febrero | 📍 Madrid
El próximo 20 de febrero de 2025 intervendré en el evento para partners organizado por Ingram Micro sobre la Directiva NIS2 (para la que recientemente se ha publicado el anteproyecto de ley que será su transposición a la legislación española) y sobre el Reglamento DORA (Digital Operational Resilience Act).
También intervendrán ponentes de Barracuda, Hewlett Packard Enterprise, SonicWall y Zerto.
Tanto la Directiva NIS2 como el Reglamento DORA imponen requisitos de seguridad a las empresas, en particular a las que son proveedoras de las entidades financieras y aseguradoras.
En este evento analizaremos: ✅ Cómo la Directiva NIS2 y el Reglamento DORA afectan a tu negocio. ✅ Consecuencias legales y sanciones por incumplimiento. ✅ Estrategias prácticas para gestionar la ciberseguridad de manera sistemática
¡Reserva tu plaza y prepárate para transformar los desafíos de NIS2 y DORA en oportunidades!
NIS2
La Directiva NIS2, que busca fortalecer la ciberseguridad en la Unión Europea, debía ser transpuesta por los Estados miembros a sus legislaciones nacionales antes del 17 de octubre de 2024. Sin embargo, hasta esa fecha, solo cuatro países—Bélgica, Croacia, Italia y Lituania—habían completado la transposición. España no se encontraba entre ellos.
En enero de 2025, el Consejo de Ministros de España aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, destinado a transponer la Directiva NIS2 al ordenamiento jurídico español. Este anteproyecto busca establecer un marco actualizado para la prevención y gestión de amenazas en el ciberespacio.
A pesar de estos avances, la transposición aún no se ha completado en España. El proceso legislativo continúa, y se espera que la ley sea debatida y aprobada en las Cortes Generales en los próximos meses. Mientras tanto, las empresas y organizaciones deben prepararse para cumplir con las obligaciones que la Directiva NIS2 impondrá una vez sea plenamente incorporada al marco legal español.
DORA
El Reglamento DORA (Digital Operational Resilience Act) es aplicable desde el 17 de enero de 2025. Este reglamento de la Unión Europea establece un marco para fortalecer la resiliencia operativa digital del sector financiero, incluyendo bancos, aseguradoras y empresas de inversión. Su objetivo es garantizar que estas entidades puedan resistir, responder y recuperarse de perturbaciones operativas graves, como ciberataques o fallos tecnológicos.
DORA impone requisitos específicos en áreas como la gestión de riesgos relacionados con las tecnologías de la información y la comunicación (TIC), la notificación de incidentes, la realización de pruebas de resiliencia operativa digital y la gestión de riesgos de terceros proveedores de servicios TIC. Las entidades financieras deben haber adaptado sus procesos y sistemas para cumplir con estas obligaciones desde la fecha de aplicación.
En España, el Banco de España y la Comisión Nacional del Mercado de Valores (CNMV) han emitido comunicaciones y establecido procedimientos para supervisar el cumplimiento de DORA por parte de las entidades bajo su supervisión. Por ejemplo, el Banco de España ha requerido a las entidades financieras que adapten sus procesos de gestión de incidentes relacionados con las TIC y que notifiquen los incidentes graves a través de un nuevo servicio electrónico.
Es fundamental que las entidades financieras y los proveedores de servicios TIC relacionados con el sector financiero aseguren el cumplimiento de DORA para fortalecer la resiliencia operativa digital y protegerse contra amenazas y perturbaciones en el entorno digital.
El concepto Digital Transaction Management (DTM), Gestión de Transacciones Digitales engloba un conjunto de servicios y tecnologías basados en la nube diseñados para gestionar digitalmente transacciones basadas en documentos. El objetivo principal de la Gestión de Transacciones Digitales es eliminar la fricción inherente a las transacciones que involucran personas, documentos y datos, creando procesos más rápidos, fáciles, convenientes y seguros.
Los componentes clave de un sistema DTM incluyen:
Firmas electrónicas: Permiten la vinculación de documentos a sus firmantes, su autenticación segura y la atribución legalmente vinculante de documentos firmados.
Gestión de documentos y transacciones: Incluye almacenamiento digital, asociado al concepto de custodia, organización y recuperación eficiente de documentos y operaciones.
Automatización de flujos de trabajo: Reduciendo tareas manuales y mejorando la consistencia de los procesos.
Protocolos de seguridad: Implementando el cifrado donde se precisa (teniendo en ciuenta los riesgos que anuncia la computación cuántica) y controles de acceso para proteger información sensible.
Autenticación digital: Verificando la identidad de los participantes en las transacciones.
Gestión de evidencias digitales para favorecer la fuerza probatoria en contextos de resolución de controversias.
Gestión de entornos híbridos de documentos digitales y en papel, con gestión de la digitalización cualificada de documentos en papel con fuerza probatoria y documentos nacidos digitales que se pueden usar impresos por la posibilidad de cotejo de su CSV (Código Seguro de Verificación) en su sede electrónica de referencia.
Los servicios de EADTrust encajan perfectamente en el concepto de Digital Transaction Management, ya que ofrecen varias soluciones clave que son fundamentales para la gestión digital de transacciones:
Firmas electrónicas cualificadas: EADTrust emite certificados cualificados para personas físicas y entidades legales, que permiten la creación de firmas y sellos electrónicos avanzados y cualificados. También ofrece servicios de comprobación de las firmas electrónicas que se reciben en las entidades.
Sellos de tiempo cualificados: Estos sellos permiten probar el momento exacto en que ocurrió un evento digital, dejando un registro irrefutable de la fecha, hora y contenido del evento mediante criptografía. Se asocia un sello de teiempo con cada transacción.
Custodia digital: EADTrust ha desarrollado una tecnología que permite a los usuarios almacenar documentos digitalmente, pudiendo probar su autenticidad a través de CSV y su inalterabilidad mediante métodos criptográficos avanzados. En línea con la normativa de eArchivos de EIDAS2
Notificaciones certificadas (Noticeman): Ofreciendo una plataforma de gestión de correo electrónico y SMS certificados que permite registrar la identidad del remitente, el receptor, el contenido y el momento exacto en que se realizaron las comunicaciones.
Servicios corporativos: Proporcionan testimonios de publicación de documentos a las entidades obligadas para convocatorias de juntas generales de accionistas, foros y gestión de voto electrónico, cumpliendo con la Ley de Sociedades de Capital.
Custodia de claves privadas: Celebran ceremonias de creación de claves, generando pares de claves asimétricas y manteniendo la clave privada para garantizar la integridad. Estos servicios son esenciales en la gestión de firmas manuscritas capturadas en tabletas digitalizadoras
Estos servicios de EADTrust abordan aspectos críticos de DTM, como la autenticación, la seguridad, la gestión de documentos y el cumplimiento normativo. Al ofrecer estas soluciones, EADTrust contribuye significativamente a la transformación digital de las empresas, permitiéndoles gestionar sus transacciones de manera más eficiente, segura y conforme a la normativa vigente.
En relación con las Carteras IDUE ayuda a adaptarse a las entidades obligadas por mandato del Reglamento EIDAS2 en el articulo 5 septies:
Cuando el Derecho de la Unión o nacional exija que las partes usuarias privadas que prestan servicios —con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión ( 5 )— utilicen una autenticación reforzada de usuario para la identificación en línea, o cuando se requiera una autenticación reforzada de usuario para la identificación en línea en virtud de una obligación contractual, en particular en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones, dichas partes usuarias privadas también aceptarán, a más tardar treinta y seis meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, y únicamente a petición voluntaria del usuario, las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.
Justo antes de Navidades la Agencia ENISA me comunicó que había sido designado como uno de los Expertos que colaborarían en la definición del modelo de certificación de seguridad de la Cartera IDUE (EUDI Wallet, en inglés).
Un gran honor y una gran responsabilidad .
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha lanzado un Grupo de Trabajo Ad Hoc (AHWG-Ad Hoc Working Group) centrado en la certificación de las Carteras de Identidad Digital de la UE (EUDI Wallet). Esta iniciativa surge en respuesta a una solicitud de la Comisión Europea para desarrollar un esquema de certificación de ciberseguridad para las Carteras IDUE (EUDI Wallets).
El Grupo de trabajo ad hoc (AHWG) tiene por objeto:
Cumplir los requisitos del Marco Europeo de Identidad Digital (European Digital Identity Framework – EDIF), garantizando que se tengan en cuenta los sistemas de certificación, las normas y las especificaciones técnicas existentes y relevantes;
encajar perfectamente con el conjunto de soluciones para EUDI Wallets debatidas durante los últimos años en el Grupo de Expertos de la Caja de Herramientas eIDAS y su Subgrupo de Certificación, garantizando la alineación con las aportaciones del Marco de Arquitectura y Referencia como parte del proceso de la Caja de Herramientas, el Grupo de Cooperación de Identidad Digital Europea y su Subgrupo de Certificación.
ENISA ha buscado expertos con amplio conocimiento y experiencia en:
Certificación de ciberseguridad
Carteras digitales
Identificación electrónica
Servicios de confianza
Parece ser que yo cumplo el conocimiento y experiencia de esos temas y he sido designado como uno de los miembros del AHWG, tras haber solicitado mi participación.
Un honor para mí y un reconocimiento para EADTRUST.
Ya se están convocando las primeras reuniones y espero contribuir durante todas las fases del proyecto que conducen al desarrollo del esquema de certificación.
La primera reunión tendrá lugar los días 20 y 21 de enero de 2025.
El esquema de certificación de las Carteras IDUE es importante por varias razones:
Garantiza que todas las Carteras EUDI emitidas a los ciudadanos de la UE funcionen de manera segura y uniforme en toda la UE.
Verifica que cada cartera cumpla con los altos requisitos de seguridad establecidos por la regulación.
Contribuye a proteger los datos y la privacidad de los usuarios
La Orden HAC/1177/2024, de 17 de octubre, publicada en el Boletín Oficial del Estado (BOE) el 28 de octubre de 2024, establece las especificaciones técnicas, funcionales y de contenido que deben cumplir los sistemas y programas informáticos utilizados en los procesos de facturación por empresarios y profesionales en España.
Es el último paso en el desarrollo regulatorio que se ha producido tras la la inclusión del artículo 29.2.j) de la Ley 58/2003, de 17 de diciembre, General Tributaria, que ha incorporado una nueva obligación tributaria formal, para impedir o dificultar la fabricación, producción, importación y tenencia de sistemas y programas informáticos que permitan o faciliten la manipulación u ocultación de datos contables, de facturación o de gestión a la Administración tributaria.
Este cambio establece que los productores, comercializadores y usuarios de los sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión de quienes desarrollen actividades económicas, deben garantizar la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros (ICALTI), sin interpolaciones, omisiones o alteraciones de las que no quede la debida anotación en los sistemas mismos, así como la obligación de que los mismos estén debidamente certificados y utilicen formatos estándares para su legibilidad.
Su desarrollo reglamentario se produjo con el Reglamento que establece los requisitos que deben adoptar los sistemas y programas informáticos o electrónicos que soporten los procesos de facturación de empresarios y profesionales, y la estandarización de formatos de los registros de facturación, aprobado por el Real Decreto 1007/2023, de 5 de diciembre, detallando los requisitos que deben cumplir dichos sistemas con el fin de garantizar la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad (ICALTI) de los registros de facturación.
Este artículo resume la Orden HAC/1177/2024, y ofrece algunas orientaciones sobre su implementación.
Objetivos principales
Garantizar la integridad y seguridad de los registros de facturación: Los sistemas deben asegurar que los datos sean inalterables y estén protegidos contra manipulaciones indebidas.
Establecer requisitos técnicos y funcionales: Se detallan las características que deben cumplir los programas de facturación, incluyendo la capacidad de remitir información a la Agencia Estatal de Administración Tributaria (AEAT) y garantizar la trazabilidad de las facturas emitidas.
Estandarizar formatos de los registros de facturación: Se definen estructuras y formatos uniformes para los registros, facilitando su tratamiento y análisis por parte de la administración tributaria.
Aspectos destacados
Declaración responsable: Los desarrolladores de sistemas de facturación deben presentar una declaración responsable que acredite el cumplimiento de los requisitos establecidos.
Sistema VERI*FACTU: Se introduce la posibilidad de que los sistemas de facturación se adhieran voluntariamente al sistema VERI*FACTU, que permite la remisión de información en tiempo real a la AEAT.
Elementos adicionales en las facturas: Se establece la inclusión obligatoria de un código QR y, en su caso, una frase que indique que el sistema informático de facturación utilizado es VERI*FACTU.
Estructura
La orden se compone de 21 artículos distribuidos en ocho capítulos, dos disposiciones adicionales, una disposición final y un anexo que detalla la estructura y formato de los registros de facturación.
Entrada en vigor
La orden entró en vigor el 29 de octubre de 2024, al día siguiente de su publicación en el BOE.
Hashes encadenados
El artículo 13 de la Orden HAC/1177/2024, orienta en el uso de la «huella» o «hash» de los registros de facturación.
Para entenderlo mejor se puede echar un vistazo a este diagrama:
Para cada registro se calcula un HASH1 a partir de los datos del registro que no cambian (no se incluiría en el cálculo de hash el campo de referencia al registro de anulación, ya que muchos registros no se anularán). Además, en cada registro se calcula un HASH2 a partir del HASH1 del propio registro y el HASH2 del registro anterior.
Si está en el proceso de implementar técnicamente los requisitos de la Orden HAC/1177/2024, contacte con EADTrustporque le pueden ser útiles nuestros servicios de consultoría de Facturación Electrónica y las librerías de programación que podemos aportarle. Llame al 902 365 612 (equivalente al 91 716 0555) o envíe un email a info (at) eadtrust (dot) eu
Todo es electrónico 