He detectado un error difundido entre especialistas en firma electrónica y certificación en relación con los requisitos que existen en el marco del EIDAS (Reglamento UE 91/2014) para que un dispositivo de creación de sello electrónico o de firma electrónica tenga la consideración de cualificado.
El error probablemente procede de una respuesta a preguntas frecuentes publicada en la página web de la Secretaría de Estado de Avance Digital, Organismo Supervisor del sector de los servicios de confianza y de la certificación.
La pregunta es:
¿Qué es un dispositivo cualificado de creación de firma / de sello electrónico?
Y la respuesta publicada por la SEAD dice:
Un dispositivo de creación de firmas electrónicas que cumple los requisitos enumerados en el anexo II del Reglamento (UE) 910/2014. Asimismo, un dispositivo cualificado de creación de sello electrónico es aquel que cumple, mutatis mutandis, los requisitos indicados en el anexo II del Reglamento (UE) 910/2014.
De acuerdo con el artículo 30 del Reglamento (UE) 910/2014, la certificación es una condición sine qua non para la consideración de un dispositivo de creación de firma o sello electrónico como cualificado. La citada certificación obligatoria, que atestiguará el cumplimiento de los requisitos establecidos en el anexo II del citado Reglamento, podrá ser únicamente llevada a cabo por los organismos europeos designados al efecto de acuerdo con su artículo 30.2, en concreto en España, el Centro Criptológico Nacional.
La lista de dispositivos cualificados que han sido notificados a la Comisión Europea por parte de los Estados miembros en virtud del artículo 31 del Reglamento (UE) 910/2014 contiene, en consecuencia, todos aquellos dispositivos que han sido certificados, por lo que cualquier otro dispositivo que no figure en la citada lista no tiene la consideración de dispositivo cualificado.
Puede encontrar información actualizada sobre la lista de organismos europeos de certificación y la lista de dispositivos cualificados de creación de firma y sello en la página de la Comisión Europea.
Sin embargo, si leemos detalladamente el Reglamento EIDAS, lo que dice es bien distinto:
Artículo 29
Requisitos de los dispositivos cualificados de creación de firmas electrónicas
1. Los dispositivos cualificados de creación de firmas electrónicas cumplirán los requisitos establecidos en el anexo II.
2. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los dispositivos cualificados de creación de firmas electrónicas. Se presumirá el cumplimiento de los requisitos establecidos en el anexo II cuando un dispositivo cualificado de creación de firmas electrónicas se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
Artículo 30
Certificación de los dispositivos cualificados de creación de firmas electrónicas
1. La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el anexo II será certificada por los organismos públicos o privados adecuados designados por los Estados miembros.
2. Los Estados miembros notificarán a la Comisión los nombres y direcciones de los organismos públicos o privados a que se refiere el apartado 1. La Comisión pondrá la información a disposición de los Estados miembros.
3. La certificación contemplada en el apartado 1 se basará en los elementos siguientes:
a) un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo, o
b) un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).
La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.
4. La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 47, en lo que respecta al establecimiento de criterios específicos que deben satisfacer los organismos designados a que se refiere el apartado 1 del presente artículo.
Como puede apreciarse, lo que dice el Reglamento (art 29) es que se presumirá el cumplimiento de los requisitos establecidos en el anexo II cuando un dispositivo cualificado de creación de firmas electrónicas se ajuste a dichas norma, no que sea una condición «sine qua non». Es decir, puede haber otras formas de demostrar los requisitos establecidos en el anexo II. De hecho, los requisitos del Anexo II son esencialmente los mismos que se incluían en el Anexo III de la Directiva 1999/93:
ANEXO III – Directiva 1999/93
Requisitos de los dispositivos seguros de creación de firma electrónica
1. Los dispositivos seguros de creación de firma garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:
a) los datos utilizados para la generación de firma sólo pueden producirse una vez en la práctica y se garantiza razonablemente su secreto;
b) existe la seguridad razonable de que los datos utilizados para la generación de firma no pueden ser hallados por deducción y la firma está protegida contra la falsificación mediante la tecnología existente en la actualidad;
c) los datos utilizados para la generación de firma pueden ser protegidos de forma fiable por el firmante legítimo contra su utilización por otros.
2. Los dispositivos seguros de creación de firma no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes del proceso de firma.
REQUISITOS DE LOS DISPOSITIVOS CUALIFICADOS DE CREACIÓN DE FIRMA ELECTRÓNICA (Reglamento EIDAS)
|
1.
|
Los dispositivos cualificados de creación de firma electrónica garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:
|
a) esté garantizada razonablemente la confidencialidad de los datos de creación de firma electrónica utilizados para la creación de firmas electrónicas;
|
|
b) los datos de creación de firma electrónica utilizados para la creación de firma electrónica solo puedan aparecer una vez en la práctica;
|
|
c) exista la seguridad razonable de que los datos de creación de firma electrónica utilizados para la creación de firma electrónica no pueden ser hallados por deducción y de que la firma está protegida con seguridad contra la falsificación mediante la tecnología disponible en el momento;
|
|
d) los datos de creación de la firma electrónica utilizados para la creación de firma electrónica puedan ser protegidos por el firmante legítimo de forma fiable frente a su utilización por otros.
|
|
|
2.
|
Los dispositivos cualificados de creación de firmas electrónicas no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes de firmar.
|
|
3.
|
La generación o la gestión de los datos de creación de la firma electrónica en nombre del firmante solo podrán correr a cargo de un prestador cualificado de servicios de confianza.
|
|
4.
|
Sin perjuicio de la letra d) del punto 1, los prestadores cualificados de servicios de confianza que gestionen los datos de creación de firma electrónica en nombre del firmante podrán duplicar los datos de creación de firma únicamente con objeto de efectuar una copia de seguridad de los citados datos siempre que se cumplan los siguientes requisitos:
|
a) la seguridad de los conjuntos de datos duplicados es del mismo nivel que para los conjuntos de datos originales;
|
|
b) el número de conjuntos de datos duplicados no supera el mínimo necesario para garantizar la continuidad del servicio.
|
|
La similitud de requisitos entre el Anexo III de la Directiva y el Anexo II del Reglamento se ha reflejado en el artículo 51.1 del EIDAS:
1. Los dispositivos seguros de creación de firma cuya conformidad se haya determinado con arreglo a lo dispuesto en el artículo 3, apartado 4, de la Directiva 1999/93/CE se considerarán dispositivos cualificados de creación de firma electrónica con arreglo al presente Reglamento.
En el contexto de la Directiva, inicialmente los dispositivos considerados dispositivos seguros de creación de firma electrónica eran los certificados en el ámbito del NIST. Inicialmente los FIPS-140-1 y posteriormente los FIPS 140-2 desde el 25 de mayo de 2001.
Hasta el año 2001 no existió una norma equivalente en el contexto europeo. En esa fecha se crearon en el CEN (Comité Europeo de Normalización) los borradores de las normas CWA 14167, CWA 14168 y CWA 14169 que finalmente se aprobaron en su versión final en el 2004. En el año 2003 se publicó la Decisión 2003/511/CE:de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo
Estos son los dispositivos a los que hace referencia el artículo 3, apartado 4, de la Directiva 1999/93/CE
Y en todo el tiempo desde la publicación de la Directiva (1999) hasta la publicación de esta Decisión el cumplimiento del Anexo III se suponía que se llevaba a cabo por dispositivos certificados FIPS-140-1 y s FIPS 140-2.
Tras la entrada en vigor del Reglamento EIDAS (publicado en 2014) pasó un tiempo sin que se aprobaran los nuevos estándares, por lo que siguieron siendo válidos los dispositivos seguros de creación de firma de la Directiva 1999/93.
En aplicación del apartado 3-b del artículo 30 cabía definir un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso hiciera uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notificaran ese proceso a la Comisión. Solo podía recurrirse a ese proceso a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).
España definió un proceso propio al amparo del apartado 3-b que se recogió en la «List of alternative processes notified to the Commission in accordance with Article 30.3(b) and 39.2 of the eIDAS Regulation (EU) No 910/2014»
El documento de metodología definido por le Centro Criptológico Nacional «IT-009 – Remote Qualified Electronic Signature Creation Device Evaluation Methodology» se publicó en Enero de 2017, cuando ya empezaban a estar disponibles los borradores de las normas de evaluación de QSCD (Qualified Signature Cretion Device)
En 2016 se publicó la DECISIÓN DE EJECUCIÓN (UE) 2016/650 DE LA COMISIÓN de 25 de abril de 2016 por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior
Una vez publicados los estándares quedaban sin efecto las normas transitorias.
Por resumir:
Hay varias circunstancias por las que un dispositivo tenga la consideración de cualificado:
Porque cumplía con el Anexo III de la Directiva:
- FIPS-140-1 y FIPS-140-2
- Common Criteria EAL4 (y EAL4+, o superior) en base a la norma CWA 14169, Según la Decisión 2003/511/CE:de la Comisión,
Porque cumple con el anexo II del Reglamento:
- Common Criteria EAL4 (y EAL4+, o superior) en base a la norma EN 419211 (partes 1 a 6) Según la DECISIÓN DE EJECUCIÓN (UE) 2016/650
- Normas transitorias en aplicación del art. 30 2 b del EIDAS (como la IT-009 del CCN)
- Normas transitorias en aplicación del art. 51.1 del EIDAS: Common Criteria EAL4 (y EAL4+, o superior) en base a la norma CWA 14169, Según la Decisión 2003/511/CE:de la Comisión,