Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
Justo antes de Navidades la Agencia ENISA me comunicó que había sido designado como uno de los Expertos que colaborarían en la definición del modelo de certificación de seguridad de la Cartera IDUE (EUDI Wallet, en inglés).
Un gran honor y una gran responsabilidad .
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha lanzado un Grupo de Trabajo Ad Hoc (AHWG-Ad Hoc Working Group) centrado en la certificación de las Carteras de Identidad Digital de la UE (EUDI Wallet). Esta iniciativa surge en respuesta a una solicitud de la Comisión Europea para desarrollar un esquema de certificación de ciberseguridad para las Carteras IDUE (EUDI Wallets).
El Grupo de trabajo ad hoc (AHWG) tiene por objeto:
Cumplir los requisitos del Marco Europeo de Identidad Digital (European Digital Identity Framework – EDIF), garantizando que se tengan en cuenta los sistemas de certificación, las normas y las especificaciones técnicas existentes y relevantes;
encajar perfectamente con el conjunto de soluciones para EUDI Wallets debatidas durante los últimos años en el Grupo de Expertos de la Caja de Herramientas eIDAS y su Subgrupo de Certificación, garantizando la alineación con las aportaciones del Marco de Arquitectura y Referencia como parte del proceso de la Caja de Herramientas, el Grupo de Cooperación de Identidad Digital Europea y su Subgrupo de Certificación.
ENISA ha buscado expertos con amplio conocimiento y experiencia en:
Certificación de ciberseguridad
Carteras digitales
Identificación electrónica
Servicios de confianza
Parece ser que yo cumplo el conocimiento y experiencia de esos temas y he sido designado como uno de los miembros del AHWG, tras haber solicitado mi participación.
Un honor para mí y un reconocimiento para EADTRUST.
Ya se están convocando las primeras reuniones y espero contribuir durante todas las fases del proyecto que conducen al desarrollo del esquema de certificación.
La primera reunión tendrá lugar los días 20 y 21 de enero de 2025.
El esquema de certificación de las Carteras IDUE es importante por varias razones:
Garantiza que todas las Carteras EUDI emitidas a los ciudadanos de la UE funcionen de manera segura y uniforme en toda la UE.
Verifica que cada cartera cumpla con los altos requisitos de seguridad establecidos por la regulación.
Contribuye a proteger los datos y la privacidad de los usuarios
Ya se han publicado en el Diario Oficial de la Unión Europea del 4 de diciembre de 2024 los 5 Actos de Implementación asociados al Reglamento EIDAS2 correspondientes al primer lote.
Entran en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea, es decir, el 24 de diciembre de 2024, en plena «Nochebuena».
Reglamento de Ejecución (UE) 2024/2977 de la Comisión, de 28 de noviembre de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a los datos de identificación de la persona y las declaraciones electrónicas de atributos expedidos a carteras de identidad digital europea.
Reglamento de Ejecución (UE) 2024/2979 de la Comisión, de 28 de noviembre de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la integridad y las funcionalidades básicas de las carteras de identidad digital europea.
Reglamento de Ejecución (UE) 2024/2980 de la Comisión, de 28 de noviembre de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las notificaciones a la Comisión relativas al ecosistema de lacartera de identidad digital europea.
Reglamento de Ejecución (UE) 2024/2981 de la Comisión, de 28 de noviembre de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la certificación de las carteras de identidad digital europea.
Reglamento de Ejecución (UE) 2024/2982 de la Comisión, de 28 de noviembre de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a los protocolos y las interfaces que admitirá el marco europeo de identidad digital.
El viernes 29 de noviembre de 2024 la Comisión Europea publicó nuevos borradores de Actos de Ejecución necesarios para el desarrollo de la Cartera IDUE (Identidad Digital de la Unión Europea) en el portal ‘Have your say’ (Díganos lo que piensa), solicitando comentarios de los expertos y partes interesadas hasta el 27 de diciembre.
Este segundo lote podría publicarse, tras las modificaciones propuestas que se hayan aceptado, en marzo de 2025 en el Diario Oficial.
Wallet lists This implementing act sets out rules for the submission to the Commission of information on certified wallet solutions and their associated electronic identification schemes by EU countries. It also sets out the requirements for the secure electronic system to be set up by the Commission for receiving the submissions.
Este acto de ejecución establece normas para la notificación a la Comisión por los países de la UE de la información sobre sus soluciones certificadas de cartera y los esquemas de identificación electrónica asociados. También establece los requisitos para el sistema electrónico seguro que debe desplegar la Comisión para recibir las notificaciones.
This implementing act sets out the provisions on unequivocal identity matching when using electronic identification means or European Digital Identity Wallets. It sets out what EU countries must do to ensure unequivocal identity matching when users want to access online cross-border public services when using electronic identification means or European digital identity wallets.
Este acto de ejecución establece las disposiciones sobre la correspondencia inequívoca de identidades cuando se utilizan medios de identificación electrónica o carteras europeas de identidad digital. Establece lo que deben hacer los países de la UE para garantizar la concordancia inequívoca de la identidad cuando los usuarios deseen acceder a servicios públicos transfronterizos en línea utilizando medios de identificación electrónica o carteras digitales de identidad europea.
This act sets out the provisions on the process for registering relying parties in EU countries. The provisions relate to information necessary for authentication to access European Digital Identity Wallets, and to relying parties’ contact details and their intended use of wallets, including what data relying parties may ask users for. The provisions include specifications and requirements for relying party access certificates issued after the registration of a wallet relying party.
Este acto establece las disposiciones sobre el proceso de registro de las partes usuarias (partes informadas) en los países de la UE. Las disposiciones se refieren a la información necesaria para la autenticación con el fin de acceder a las carteras de identidad digital europea, así como a los datos de contacto de las partes usuarias y el uso previsto de las carteras, incluidos los datos que las partes usuarias pueden solicitar a los usuarios. Las disposiciones incluyen especificaciones y requisitos para los certificados que habilitan el acceso de las partes usuarias a las que se expide tras su registro como parte usuaria (parte informada) de cartera.
This implementing act sets out rules for EU countries to have mechanisms in place to ensure the suspension and, where applicable, withdrawal of European Digital Identity Wallets if there is a security breach or partial compromise affecting a wallet’s reliability.
Este acto de ejecución establece normas para que los países de la UE dispongan de mecanismos que garanticen la suspensión y, en su caso, la retirada de las carteras de identidad digital europea si se produce una violación de la seguridad o un incidente de seguridad parcial que afecte a la fiabilidad de la cartera.
For the successful implementation of European Digital Identity Wallets, this implementing act sets out requirements for issuing and validating electronic attestations of attributes.
It also establishes a catalogue of attributes that must be verifiable against authentic sources, and sets out rules on notifying and publishing information on public sector bodies that issue attestations of attributes and are responsible for managing the authentic sources these attestations come from.
Para implantar con éxito las Carteras de Identidad Digital Europea, este acto de ejecución establece requisitos para la emisión y validación de declaraciones electrónicas o testimonios electrónicos de atributos.
También establece un catálogo de atributos que deben poder verificarse a partir de fuentes auténticas, así como normas sobre notificación y publicación de información sobre los organismos del sector público que expiden declaraciones o testimonios de atributos y son responsables de la gestión de las fuentes auténticas de las que proceden dichos certificados.
La Comisión ha adoptado el 28 de noviembre de 2024 el primer paquete de normas para las funcionalidades básicas y la certificación de la Cartera de Identidad Digital Europea (eID ) con arreglo al Marco Europeo de Identidad Digital. Se trata de un paso importante para que los Estados miembros creen sus propias Carteras y las pongan en circulación antes de que finalice 2026.
Cuatro reglamentos de ejecución establecen normas, especificaciones y procedimientos uniformes para las funcionalidades técnicas de las carteras, como los formatos de datos necesarios para el uso transfronterizo de documentos digitales y las medidas para garantizar la fiabilidad y seguridad de las carteras. El establecimiento de normas y especificaciones uniformes permitirá a cada Estado miembro desarrollar carteras interoperables y aceptadas en toda la UE, protegiendo al mismo tiempo los datos personales y la privacidad. Los datos se almacenan localmente en la cartera, y los usuarios tienen el control sobre la información que comparten, sin posibilidad de rastreo o de elaboración de perfiles en el diseño de las carteras. También se incorporará un cuadro de mandos de privacidad que ofrecerá total transparencia sobre cómo y con quién se comparte la información de la cartera.
El quinto Reglamento de ejecución establece especificaciones y procedimientos para crear un marco robusto de certificación de las carteras electrónicas, garantizando su seguridad y la protección de la intimidad y de los datos personales de los usuarios.
Las carteras de identidad digital europea ofrecerán a los usuarios particulares y a las empresas una forma universal, fiable y segura de identificarse cuando accedan a servicios públicos y privados de su país y de otros países de la Unión Europea.
Algunos ejemplos de uso de las carteras digitales son la apertura de una cuenta bancaria, la posibilidad de demostrar la edad sin revelar la fecha de nacimiento, la posibilidad de exhibir recetas médicas para su dispensación, el alquiler de un coche o la presentación de billetes de avión en un punto de embarque.
La normativa de aplicación se publicará en breve en el Diario Oficial de la Unión Europea y entrará en vigor 20 días después.
Estos actos establecen las especificaciones técnicas y los procedimientos para la Cartera de Identidad Digital Europea (𝗘𝘂𝗿𝗼𝗽𝗲𝗮𝗻 𝗗𝗶𝗴𝗶𝘁𝗮𝗹 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝘆 𝗪𝗮𝗹𝗹𝗲𝘁), incluidas las normas de referencia para los certificados electrónicos y las medidas de seguridad. La Comisión hizo hincapié en que estos actos son cruciales para garantizar la interoperabilidad y la seguridad entre los Estados miembros, con un plazo para que los Estados miembros proporcionen al menos un monedero de identidad digital para 2026.
Los proyectos de actos de ejecución aprobados están relacionados con los Artículos 𝟱𝗮(𝟮𝟯) (5 bis) y 𝟱𝗰(𝟲) (5 quater) del Reglamento (UE) nº 910/2014 (eIDAS), modificado por el REGLAMENTO (UE) 2024/1183 (eIDAS2) . Estos artículos se refieren al marco jurídico de la identificación electrónica y los servicios de confianza en toda la Unión Europea.
Hay que recordar que los primeros borradores públicos se difundieron el 12 de agosto de 2024, y ya preparé un artículo sobre ello: Actos de ejecución de #EIDAS2 que incluye los textos publicados en aquella ocasión.
No he verificado aun qué diferencias hay entre los nuevos textos y los de agosto, pero más abajo hago referencia a la información publicada por Epicenter Work.
3. 𝗔𝗿𝘁𝗶𝗰𝗹𝗲 𝟱𝗮: 𝗣𝗜𝗗 & 𝗘𝗔𝗔 Artículo 5 bis. Carteras de identidad digital europea – Datos de identificación de la persona y Declaraciones electrónicas de atributos.
4. 𝗔𝗿𝘁𝗶𝗰𝗹𝗲 𝟱𝗮: 𝗪𝗮𝗹𝗹𝗲𝘁 𝗘𝗰𝗼𝘀𝘆𝘀𝘁𝗲𝗺 𝗡𝗼𝘁𝗶𝗳𝗶𝗰𝗮𝘁𝗶𝗼𝗻𝘀 Artículo 5 bis. Carteras de identidad digital europea – Notificaciones a la Comisión en relación con el Ecosistema de la Cartera de identidad digital europea.
1. 𝗢𝗽𝗲𝗻 𝗦𝗼𝘂𝗿𝗰𝗲 𝗥𝗲𝗾𝘂𝗶𝗿𝗲𝗺𝗲𝗻𝘁: La obligación de que el código fuente de la Cartera Europea de Identidad Digital se publique bajo una licencia de código abierto suscitó preocupaciones sobre la seguridad y la propiedad intelectual.
2. 𝗠𝗮𝗻𝗱𝗮𝘁𝗼𝗿𝘆 𝗗𝗮𝘁𝗮 𝗗𝗶𝘀𝗰𝗹𝗼𝘀𝘂𝗿𝗲: las propuestas que exigen la divulgación de un conjunto mínimo de datos para la identificación podría entrar en conflicto con la protección de la privacidad y obstaculizar las alternativa de empleo de métodos de divulgación selectiva.
3. 𝗨𝗻𝗶𝗾𝘂𝗲 𝗜𝗱𝗲𝗻𝘁𝗶𝗳𝗶𝗲𝗿𝘀: la introducción de identificadores únicos para los usuarios encontró oposición debido a posibles violaciones de la privacidad y conflictos con las leyes nacionales vigentes en algunos Estados miembros.
Cambios en los borradores sometidos a votación, respecto a las versiones de agosto
A continuación se detallan los cambios relevantes en el último borrador de los actos de ejecución del artículo 5 bis del eIDAS (con los cambios de EIDAS2). El análisis procede de Epicenter Works que había identificado aspectos controvertidos. La base de este análisis es el texto que fue enviado por la Comisión Europea el pasado 15. noviembre de 2024 y se votó el 21de Noviembre. Desde entonces, el texto ha sido publicado por el parlamento austriaco. Para facilitar la comprensión, este documento puede leerse conjuntamente con las presentaciones anteriores de esta entidad (Epicenter Works).
1. Inobservabilidad
Al retirar una adición en la definición de «instancia de cartera», ahora se garantiza una vez más que los registros de transacciones solo permanezcan en el dispositivo del usuario final. Anteriormente, la información sobre el comportamiento de uso concreto de todos los usuarios de la cartera habría sido visible para el operador de la cartera a través del almacenamiento de todos los registros de transacciones en el servidor. Esto contradice el principio de inobservabilidad establecido en el artículo 5 bis, apartado 14, y en el considerando 32 del Reglamento. Esta enmienda refleja la recomendación de Epicenter Works.
2. Regulación de casos de uso
El registro de los usuarios de confianza que incluye los atributos que pretenden solicitar ahora se refleja en la introducción de los «certificados de registro de usuarios de confianza de cartera». Gracias a las modificaciones introducidas en los artículos 2 y 3 del acto de ejecución sobre protocolos e interfaces, ahora se advierte al usuario al menos si la parte usuaria va más allá de su registro. De conformidad con el artículo 5b, apartado 3, del eIDAS, estas solicitudes de información que vayan más allá del registro serían ilegales. Los Estados miembros individuales ahora pueden ir más allá y evitar por completo que tales consultas ilegales se presenten al usuario. Esta no es la solución óptima, pero al menos una arquitectura que permita proteger a los usuarios y que pueda evitar que se repita un desastre de banner de cookies.
3. Divulgación selectiva
Si los consumidores se enfrentan a solicitudes de información, tienen derecho, en virtud del Reglamento eIDAS, a responderlas en su totalidad, no responderlas en absoluto o responderlas de forma parcial o selectiva. Este principio de divulgación selectiva no se incluyó anteriormente en los actos de ejecución y ahora se ha adoptado con la redacción de las enmiendas propuestas por el Tribunal en el artículo 3 del acto de ejecución sobre protocolos e interfaces.
Una desacierto sería que en el artículo 14 del acto de ejecución sobre integridad y funcionalidades básicas, el uso de un seudónimo sigue yendo de la mano con la transferencia de datos personales solicitada sin necesidad de un consentimiento por separado.
4 Derecho al seudónimo
Epicenter Works Lamenta que el artículo 14 del acto de ejecución sobre integridad y funcionalidades básicas no ha adoptado sus recomendaciones. Y, el considerando 14 se limita a reiterar el tenor literal del Reglamento. La norma técnica del Anexo V también ha cambiado aquí de «WebAuthn» a «Credenciales Verificables». Incluso después de consultar con varios negociadores, existe confusión en cuanto a cómo exactamente se supone que esto funciona para la autenticación y la declaración de atributos.
Parece preocupante que todavía no hay una forma técnica de que la cartera pueda averiguar si un caso de uso específico está sujeto a una obligación legal de identificar al usuario (KYC: Know Your Customer). Sin embargo, esta distinción es necesaria para garantizar el derecho al seudónimo en los casos que no se exija el cumplimiento de la normativa KYC.
5. Ampliación de las bases de datos
El anexo del PID contiene dos nuevos campos de datos opcionales: correo electrónico y número de teléfono. Estos dos identificadores únicos causan preocupación a Epicenter Works y se agregaron en la última versión del texto.
Este artículo está basado en la publicación en LinkedIn de Roberto Garavaglia y la citada de Epicenter Works
El próximo 20 de noviembre de 2024, a partir de las 8:45 tendrá lugar el evento organizado por la Revista SICIdentiSIC 2024 con el lema Identidad digital. Cebo y salvoconducto, al que me han invitado como ponente.
08:45 – Acreditación y entrega de documentación. 9:00 – Identidad digital europea. El camino empieza a despejarse. Julián Inza – Presidente de EADTrust (Grupo Garrigues). 9:30 – La autenticación de usuario como atributo en la Cartera de Identidad Digital de la UE. Paloma Llaneza – CEO de Razona Legaltech. 10:00 – Evolucionando el role mining para robustecer los cimientos IAM – Julio Castilla Director en Business Security Solutions – Identity and Data Governance de PwC. 11:00 – CISCO. Jorge Hormigos – Security Solutions Engineer. 11:30 – OKTA. Felipe San Román. Presales Engineer. 12:00 – OMADA. Jorge Sendra. Country Manager. 12:30 – Open Text. Jacinto Grijalba. Cybersecurity Sales Manager Spain and Portugal. 13:00 – SIA, an Indra company. Raúl Olivar. Digital Identity & Signature Manager. 13:30 – Coloquio. 14:00 – Almuerzo presencial
Este artículo vuelca al español el titulado EUDI Wallet Reference Implementation, explicado por la Unión Europea sobre la disponibilidad del código fuente de la cartera IDUE.
La implementación de referencia de la Cartera IDUE se basa en su documento resúmen de arquitectura y marco de referencia y tiene como objetivo mostrar una plataforma robusta e interoperable para la identificación digital de personasy entidades, la autenticación y las firmas electrónicas basadas en estándares comunes en toda la Unión Europea.
La implementación de referencia de la cartera EUDI se adopta una arquitectura modular compuesta por un conjunto de componentes reutilizables para cada funciónque se desarrollarán paulatinamente y se podrán reutilizar en otros proyectos. En concreto, como parte de la implementación de referencia de la cartera IDUE, se entregará el siguiente conjunto de componentes:
Consulte la documentación publicada en Github que se detalla en las siguientes secciones para saber como compilar y participar en la Implementación de referencia de Cartera IDUE (EUDI Wallet).
Ámbito funcional
El alcance de la Implementación de Referencia de la Cartera IDUEse publica pensando en mejoras sucesivas de funcionalidad enfatizando las funcionalidades clave que permiten acoger un amplio conjunto de casos de uso. Por ejemplo:
Permiso de conducir móvil
Acceso a servicios públicos y privados en línea
Apertura de una cuenta bancaria
Registro de SIM
Autorización de pago
Autenticar un servicio de terceros para firmar documentos
Las siguientes observaciones se considerarán en relación con las funcionalidades proporcionadas.
Presentación remota
Flujos entre dispositivos y en el mismo dispositivo para autenticación y autorización en línea (OpenID4VP (borrador 20) que transfiere mDoc para autenticación y autorización remotas)
Plataformas aplicables: Android, iOS
Compartir proximidad
Uso de protocolos de proximidad QR/BLE
Etiqueta NFC para compatibilidad con dispositivos (entrega estática)
Plataformas aplicables: Android, iOS
Emisor
Una implementación de un servicio de emisión de credenciales, según OpenId4VCI (borrador 13) (proporciona un servicio de emisión de PID y mDL de prueba en formato mDoc y SD-JWT-VC)
Hoja de ruta
La hoja de ruta de la implementación de referencia de EUDI Wallet ofrece una visión transparente de las características y mejoras que se están desarrollando actualmente o que se planean para el futuro. Su propósito es promover la comunicación y la colaboración abiertas en nuestra comunidad.
Le animamos a que contribuya o proporcione sus comentarios o sugerencias para la implementación de referencia de EUDI Wallet. Según el tipo de comentarios que desee proporcionar, puede utilizar uno de los siguientes canales:Contribuciones al códigoSugerencias para la hoja de rutaOtros comentarios
Repositorios
En esta sección se ofrece una descripción general de los repositorios clave de la implementación de referencia de EUDI. La tabla que aparece a continuación sirve como ayuda de navegación para encontrar la información que está buscando.
Bibliotecas
Bibliotecas coordinadoras de Wallet Core (Android) y Wallet Kit (iOS)
Implementación de la biblioteca EUDI Wallet (Cartera IDUE) Core para Android que sirve como capa coordinadora entre la aplicación UI y las bibliotecas Wallet. Actualmente, coordina las bibliotecas de emisión, proximidad y presentación remota.
Implementación de la biblioteca EUDI Wallet Kit (Cartera IDUE) para iOS que sirve como capa coordinadora entre la aplicación UI y las bibliotecas Wallet. Actualmente coordina las bibliotecas de emisión, proximidad y presentación remota.
Implementación de la aplicación de interfaz de usuario de carterapara Android. Actualmente, también incluye una aplicación de demostración que demuestra las siguientes capacidades: presentación de proximidad, autenticación en línea en el mismo dispositivo y emisión de PID y mDL.
Implementación de la aplicación de interfaz de usuario de cartera para iOS. Actualmente, también incluye la aplicación de demostración, que demuestra las siguientes capacidades: presentación de proximidad y presentación en línea desde el mismo dispositivo y emisión de PID y mDL.
Aplicación de interfaz de usuario (frontend) de Web Verifier de demostración que actúa como punto final de confianza de Verifier/RP. Disponible en https://verifier.eudiw.dev
Una implementación de un servicio de emisión de credenciales, según OpenId4VCI (borrador 13), en JVM Kotlin. Disponible en https://issuer-backend.eudiw.dev/
Trust Provider Signer es un proveedor y cliente de servicios de firma remota en Java
Preguntas frecuentes y guías prácticas
Se ha recogido una lista de preguntas frecuentes sobre la implementación de la referencia de cartera IDUE.
Las instrucciones para instalar y utilizar las aplicaciones/bibliotecas correspondientes se pueden encontrar en los archivos ‘ReadMe’ correspondientes, es decir:
El software publicado en GitHub es una versión de desarrollo inicial:
La versión de desarrollo inicial es un entregable inicial que refleja los esfuerzos de un período de tiempo corto y no puede considerarse el producto final.
La versión de desarrollo inicial puede modificarse sustancialmente con el tiempo, puede acoger nuevas características pero también puede cambiar o eliminar las existentes, renunciando, potencialmente, a la compatibilidad con su código preexistente.
La versión de desarrollo inicial tiene un alcance funcional limitado.
La versión de desarrollo inicial puede contener errores o fallos de diseño y otros problemas que podrían causar fallas del sistema u otros errores y pérdida de datos.
La versión de desarrollo inicial hace uso de un juego de estándares de seguridad, privacidad, disponibilidad y confiabilidad reducidos en relación con las versiones futuras. Esto podría hacer que el software sea más lento, menos confiable o más vulnerable a ataques que el software maduro.
La versión de desarrollo inicial aún no está documentada exhaustivamente.
Los usuarios del software deben realizar ingeniería y pruebas adicionales suficientes para evaluar adecuadamente su aplicación y determinar si alguno de los componentes de código abierto es adecuado para su uso en esa aplicación.
Se recomienda encarecidamente no utilizar esta versión del software en producción.
Inscripción por email: confirmaciones.madrid (at) garrigues.com
Con la entrada en vigor de regulaciones clave como el Reglamento de Inteligencia Artificial, la Ley de Servicios Digitales (DSA) o el Reglamento eIDAS2, las organizaciones enfrentan el reto de revisar su estrategia de cumplimiento sobre la materia e integrar soluciones tecnológicas y legales enfocadas a la gestión del riesgo.
En esta jornada, Garrigues reúne a abogados y tecnólogos para explorar, a través de un formato práctico, cómo las herramientas tecnolegales facilitan el cumplimiento normativo, utilizando ejemplos y demostraciones reales de soluciones basadas en los servicios de confianza digital.
16:30 h – Introducción: el marco regulatorio de la UE y su impacto en las empresas. 16:45 h – Inteligencia artificial y cumplimiento del Reglamento de IA. Alejandro Padín. 17:30 h – Contratación digital en la economía de plataformas. Especial referencia a la DSA. Cristina Mesa. 18:15 h – EIDAS2: Hacia las ‘EUDI Wallet Ready Organizations’ Moisés Menéndez y Julián Inza. 18:45 h – Conclusiones y preguntas 19:00 h – Cóctel
En el contexto del desarrollo de lo previsto en el Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.° 910/2014 en lo que respecta al establecimiento del Marco Europeo de Identidad Digital, la Comisión Europea ha solicitado a ENISA que proporcione apoyo para la certificación de las Carteras de Identidad Digital de la Unión Europea (Carteras IDUE, EUDI Wallets), incluido el desarrollo de un esquema europeo candidato de certificación de ciberseguridad de conformidad con la Ley Europea de Ciberseguridad (Reglamento (UE) 2019/881).
La directora en funciones de Sociedad Digital, Confianza y Ciberseguridad de la Comisión Europea, Christiane Kirketerp de Viron, destacó: «El sistema de certificación para las Carteras de Identidad Digital de la UE es clave para un funcionamiento exitoso del concepto de Carteras. La certificación garantiza que las Carteras IDUE son seguros y protegen la privacidad de los usuarios y sus datos personales. Además, garantizará que los ciudadanos puedan utilizar sus Carteras digitales nacionales en toda la UE».
El Director Ejecutivo de ENISA, la Agencia de Ciberseguridad de la UE, Juhan Lepassaar, declaró que: «En el mundo interconectado de hoy, el uso de Carteras digitales es un paso fundamental hacia una identificación segura tanto en el mundo físico como en el digital. Mediante el desarrollo del sistema europeo de certificación de la ciberseguridad para la Cartera de Identidad Digital de la Unión Europea (EUDIWallet), ENISA ayudará a la Comisión y a los Estados miembros a establecer controles de ciberseguridad en el ámbito de la identificación digital que permitan su adopción en toda la UE. Las Carteras digitales contribuyen a la madurez de la digitalización de la UE y mejoran la ciberseguridad y la privacidad de los ciudadanos.»
¿Qué pasa con las Carteras de Identidad Digital de la UE?
Dado que la ola de avances tecnológicos ha transformado los sectores y servicios privados y públicos por igual, es esencial proponer soluciones que permitan identificar y autenticar de forma segura a los usuarios en un mundo digitalizado en evolución.
En mayo de 2024 entró en vigor el Marco Europeo de Identidad Digital (Reglamento EIDAS2). El despliegue de EUDI Wallets (Carteras IDUE) es un paso en esta dirección. Las Carteras IDUE permiten almacenar, acceder y compartir datos y documentos de identificación personal, todo ello en una aplicación de fácil acceso. A través de las Carteras IDUE, los procesos de identificación y autenticación en línea mejorarán y contribuirán a reducir las barreras existentes desde hace tiempo de manera que la identificación digital se extienda de forma segura e interoperable en toda Europa.
Desarrollo de sistemas de certificación para EUDIW
La petición de la Comisión aborda dos líneas de trabajo principales.
En primer lugar, pide a ENISA que apoye el establecimiento de esquemas nacionales de certificación por los Estados miembros de la UE proporcionando requisitos de certificación armonizados con arreglo al Marco de Identidad Digital Europea. Como complemento, ENISA participará en la preparación de los actos de ejecución pertinentes que establezcan una lista de normas de referencia y, en caso necesario, especificaciones y procedimientos con el fin de expresar especificaciones técnicas detalladas de dichos requisitos (abordando principalmente aspectos de seguridad y privacidad).
En segundo lugar, solicita a ENISA que inicie la preparación de un esquema de certificación de ciberseguridad europeo candidato para los Carteras IDUE y sus esquemas de identificación electrónica (eID) en el marco de la Ley europea de Ciberseguridad.
De acuerdo con la Ley de Ciberseguridad de la UE adoptada en 2019, la Comisión Europea puede emitir una solicitud a ENISA para el desarrollo de un esquema europeo de certificación de ciberseguridad. ENISA iniciará el trabajo técnico preparatorio teniendo en cuenta los esquemas de certificación existentes y los previsibles en la medida de lo posible. En la actualidad, ENISA puede apoyarse en el Sistema Europeo de Certificación de la Ciberseguridad sobre Criterios Comunes (EUCC, European Cybersecurity Certification Scheme on Common Criteria) adoptado, así como en el trabajo relacionado con el proyecto candidato de Sistema Europeo de Certificación de los Servicios en la Nube (EUCS, European Certification Scheme for Cloud Services) y la certificación de la 5G (EU5G).
Actualmente se está llevando a cabo una consulta pública sobre la certificación de la tarjeta de circuito integrado universal incorporada (eUICC, Universal Integrated Circuit Card) con arreglo a la EUCC, desarrollada en el marco de la EU5G. La certificación eUICC sería una posibilidad para dar soporte a los objetivos de certificación de las carteras IDUE.
ENISA dirigirá este trabajo en estrecha cooperación con los Estados miembros de la UE y las diferentes partes interesadas. Ya ha estado apoyando al Grupo de Expertos eIDAS y a su Subgrupo de Certificación y apoyará al Grupo Europeo de Cooperación en materia de Identidad Digital (European Digital Identity Cooperation Group) una vez establecido. Además, ENISA ha prestado apoyo al conjunto de herramientas IDUE (EUDI Toolbox) durante los últimos tres años, asesorando sobre las amenazas y los requisitos de seguridad de las carteras digitales. El desarrollo del sistema europeo candidato de certificación de la ciberseguridad contará con el apoyo de un Grupo de Trabajo ad hoc compuesto por expertos en la materia y se llevará a cabo en estrecha coordinación con el Grupo Europeo de Certificación de la Ciberseguridad (ECCG, European Cybersecurity Certification Group), en consonancia con la Ley europea de Ciberseguridad (Cybersecurity Act).
Viajo en unos días a Heraclión para participar de forma presencial en dos eventos que se vienen celebrando anualmente y que se esperan con grandes expectativas en el sector de los Prestadores Cualificados de Servicios de Confianza.
Otro hito significativo que hace estas jornadas especiales es la celebración del vigésimo aniversario desde la creación de la Agencia Europea ENISA radicada en Grecia, en la actualidad en Atenas (desde 2012), pero inicialmente en Heraclión, Creta, desde 2004, en las instalaciones del centro FORTH (Foundation for Research and Technology – Hellas) que fue fundada en 1983 y acogió las primeras actividades de ENISA.
En estas jornadas se pretende
Compartir las mejores prácticas para la aplicación del Reglamento eIDAS2, incluidos los nuevos servicios de confianza, los pros y los contras para los proveedores de servicios de confianza y las perspectivas de extensión a otras regiones del globo;
Debatir los últimos avances en el marco que rodea a las Carteras de Identidad Digital de la Unión Europea (IDUE) incluida la certificación, las normas, los actos de ejecución y las cuestiones técnicas;
Intercambiar puntos de vista sobre cuestiones operativas y de aplicación identificadas de las Carteras IDUE y los Servicios de Confianza Cualificados;
Debatir estrategias para seguir promoviendo el mercado de los servicios de confianza y prever el panorama futuro.
Las jornadas se celebrarán en el FORTH Research Institute (ITE), Auditorium “Georgios Lianis”
10th Trust Services and eID Forum
La décima edición de Trust Services and eID Forum tendrá lugar el 25 de septiembre con una Agenda preparada por ENISA:
Time
SPEAKERS AND PANELISTS
PANEL
09:00 10:00
Registrations & Coffee
10:00 11:20
Dimitris Papastergiou, Minister of Digital Governance Hans de Vries, Chief Cybersecurity and Operational Officer, ENISA Andrea Servida Vedran Lalic, Head of Office at European Parliament Vicente Andreu Navarro, Policy Officer, European Commission
Welcome Statements Setting up the scene Introductory Speeches / Keynotes
11:20
Let’s have a coffee
11:40 11:55
Mathias Trier Reindel, Division for eID and Apps, Agency for Digital Government, Denmark
Perspectives on Implementing an EUDI Wallet in Denmark
11:55 12:45
Paolo de Rosa, Digital Identity & Trust Services CTO, European Commission Wim Coulier, Belgian Mobile ID-itsme Katarzyna Seroczynska, Legal Expert, National IT Centre, Poland Mathias Trier Reindel, Agency for Digital Government, DenmarkModerated by Rossen Naydenov, ENISA
Panel Discussion Digital Wallets: Exploring Current Trends, Overcoming Challenges, and Unveiling Opportunities
12:45
Maria Owczarek, Polish Data Protection Authority
Digital Identities and Privacy Challenges
13:00
Lunch Break
14:00 15:00
Arno Fiedler, Vice Chair, ETSI ESI Clemens Wanko, Chair EU-Accredited Conformity Assessment Bodies Stéfane Mouille, General Manager, CLR Labs Sam Van den Eynde, eIDAS and Digital Identity Expert, BOSAModerated by Eric Vetillard, ENISA
Presentation: Setting up the scene Panel Discussion Why Digital Wallet Certification and Standardization are so vital?
15:00
Jon Shamah, Co-founder & Director, Global Trust Foundation
Digital Wallets – A Future Vision
15:20
Let’s have a coffee
15:40 16:30
Jérôme Bordier, ClubPSCo Maria Kalli, Digital Trust Services Manager, JCC Payment Systems – Cyprus Kim Nguyen, Bundesdruckerei/D-Trust Andras Barsi, Senior Consultant, ARUBAModerated by Evgenia Nikolouzou, ENISA
Panel Discussion What are the main changes that TSPs will experience under eIDAS2?
16:30 16:45
Apostolos Apladas, Program Manager, DG DIGIT
Preservation of Qualified Electronic Signatures and eIDAS Dashboard update
Let’s dream of the future – CRA and Digital wallets – Market perspectives
17:15 17:30
Andreas Mitrakas, Head of Market, Certification and Standardisation Unit, ENISA
Closing remarks
19:30 22:30
@Neworking event
16th CA-day
La decimosexta edición del CA-day tendrá lugar el 26 de septiembre con una Agenda preparada por D-TRUST en cooperación con TÜV NORD:
Time
SPEAKERS AND PANELISTS
PANEL
08:30 09:00
Registrations & Coffee
09:00 10:15
Welcome by D-Trust, TÜV NORD CERT and ENISA Dr. Katharina von Knop, VDE e.V. Tim Callan, Sectigo Dr. Kim Nguyen, Bundesdruckerei Paloma Llaneza González, Certeidas
Welcome Statements Setting up the scene Keynotes on digital trust, preventing security incidents, trust services andAI, legal perspective on trust services
10:15 10:40
Let’s have a coffee
10:40 12:10
Andreas Wand, Christian Seegebarth, D-Trust Jon Ølnes, Signicat Andrea Röck, ANSSI Enrico Entschew (D-Trust), Dimitris Zacharopoulous (HARICA – CA/Browser Forum Chair), Matthias Wiedenhorst (TÜV NORD CERT), Andrea Servida, Arno Fiedler (Nimbus)
Presentations: Stimulations from the QTSP-Trust anchors, QEAA and other challenges, Identity proofing, Best practices for implementing eIDAS 2 Fireside Chat Pros and Cons for eIDAS 2 stakeholders
12:10 13:10
Lunch Break
13:10 14:30
Michal Tabor, Obserwatorium.biz Dr. Ignacio Alamillo-Domingo, Logalty Jörg Lenz, Namirial Ivan Marin, GLEIF
Presentations: QES for the wallet, EBSI perspectives on qualified electronic ledger, Intelligent trust services, Organisational identities
14:30 14:50
Let’s have a coffee
14:50 16:15
Keynote: Giorgia Paola Dragoni, Digital Identity Observatory, Politecnico di Milano Dean Coclin, DigiCert Juliana Cafik (Microsoft), Evgenia Nikolouzou (ENISA), Viky Manaila (Intesi/CSC), Giorgia Paola Dragoni (Digital Identity Observatory, Politecnico di Milano)
Presentations: Investments of the private sector in the EUDIW, Transatlantic perspectives on eIDAS Panel Discussion Digital Identities 2035 – what does the future look like?
16:15 16:20
Closing remarks
16:20 18:00
@Neworking event
Ya estoy deseando saludaros a los que podáis acudir.
Todo es electrónico 