Ayer comenté la publicación de 6 nuevos actos de ejecución en el Diario Oficial de la Unión Europea (DOUE) —anteriormente Diario Oficial de las Comunidades Europeas (DOCE)—
Con lo que la lista completa queda con 22 actos de ejecución publicados:
En inglés:
CIR 2024/2977 PID (Personal Identification Data) and EAA (Electronic Attestations of Attributes)
Recordemos que quedan borradores de actos de ejecución cuyos plazos para enviar comentarios acabaron el 2 de octubre, salvo el de archivo con orden cronológico que acaba el 3 de octubre.
En el DOCE del 30 de septiembre se han publicado 6 reglamentos de ejecución que conocíamos en estado de borrador. Son los siguientes:
Español
CIR-2025-1929-ES Reglamento de Ejecución (UE) 2025/1929 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la vinculación de la fecha y la hora con los datos y al establecimiento de la exactitud de las fuentes de información temporal para el suministro de sellos cualificados de tiempo electrónicos
CIR-2025-1942-ES Reglamento de Ejecución (UE) 2025/1942 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a los servicios cualificados de validación de firmas electrónicas cualificadas y los servicios cualificados de validación de sellos electrónicos cualificados
CIR-2025-1943-ES Reglamento de Ejecución (UE) 2025/1943 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia para los certificados cualificados de firma electrónica y los certificados cualificados de sello electrónico
CIR-2025-1944-ES Reglamento de Ejecución (UE) 2025/1944 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia de los procesos de envío y recepción de datos en los servicios cualificados de entrega electrónica certificada y en lo que respecta a la interoperabilidad de tales servicios
CIR-2025-1945-ES Reglamento de Ejecución (UE) 2025/1945 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la validación de las firmas electrónicas cualificadas y de los sellos electrónicos cualificados y a la validación de las firmas electrónicas avanzadas basadas en certificados cualificados y de los sellos electrónicos avanzados basados en certificados cualificados
CIR-2025-1946-ES Reglamento de Ejecución (UE) 2025/1946 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a los servicios cualificados de conservación de firmas electrónicas cualificadas y de sellos electrónicos cualificados
English
CIR-2025-1929-EN Commission Implementing Regulation (EU) 2025/1929 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards the binding of date and time to data and establishing the accuracy of the time sources for the provision of qualified electronic time stamps
CIR-2025-1942-EN Commission Implementing Regulation (EU) 2025/1942 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards qualified validation services for qualified electronic signatures and qualified validation services for qualified electronic seals
CIR-2025-1943-EN Commission Implementing Regulation (EU) 2025/1943 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards reference standards for qualified certificates for electronic signatures and qualified certificates for electronic seals
CIR-2025-1944-EN Commission Implementing Regulation (EU) 2025/1944 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards reference standards for processes for sending and receiving data in qualified electronic registered delivery services and as regards interoperability of those services
CIR-2025-1945-EN Commission Implementing Regulation (EU) 2025/1945 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards the validation of qualified electronic signatures and of qualified electronic seals and the validation of advanced electronic signatures based on qualified certificates and of advanced electronic seals based on qualified certificates
CIR-2025-1946-EN Commission Implementing Regulation (EU) 2025/1946 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards qualified preservation services for qualified electronic signatures and for qualified electronic seals
Continúa la publicación de estándares de ETSI para apoyar el desarrollo de EIDAS y EIDAS2. Algunos de ellos forman parte de los actos de ejecución de EIDAS2.
Uno de los aspectos desarrollados es el que tiene que ver con los certificados cualificados de autenticación de sitios web (en inglés QWAC Qualified Website Authentication Certificates), con dos enfoque técnicos diferentes (1-QWAC y 2-QWAC).
Con la publicación del Reglamento 2024/1183 la redacción de los artículos 45 y 45 bis quedó así:
Artículo 45 – Requisitos aplicables a los certificados cualificados de autenticación de sitios web
Los certificados cualificados de autenticación de sitios web cumplirán los requisitos establecidos en el anexo IV. La evaluación del cumplimiento de dichos requisitos se llevará a cabo de conformidad con las normas, especificaciones y procedimientos a que se refiere el apartado 2 del presente artículo.
1 bis. Los proveedores de navegadores web reconocerán los certificados cualificados de autenticación de sitios web expedidos de conformidad con el apartado 1 del presente artículo. Los proveedores de navegadores web garantizarán que los datos de identificación de la persona declarados en el certificado y los atributos declarados adicionales se muestren al usuario de un modo fácil de consultar. Los proveedores de navegadores web garantizarán la compatibilidad e interoperabilidad con los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo, con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE durante sus primeros cinco años de actividad como prestadores de servicios de navegación web.
1 ter. Los certificados cualificados de autenticación de sitios web no estarán sometidos a ningún requisito obligatorio que no sean los requisitos establecidos en el apartado 1.
A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables a los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».
Artículo 45 bis – Medidas cautelares en materia de ciberseguridad
Los proveedores de navegadores web no adoptarán ninguna medida contraria a sus obligaciones establecidas en el artículo 45, en particular los requisitos de reconocer los certificados cualificados de autenticación de sitios web y de mostrar los datos de identificación de la persona proporcionados de un modo que sea fácil de consultar.
No obstante lo dispuesto en el apartado 1 y solo en caso de preocupaciones justificadas relacionadas con violaciones de la seguridad o la pérdida de integridad de un certificado o conjunto de certificados identificados, los proveedores de navegadores web podrán adoptar medidas cautelares en relación con dicho certificado o conjunto de certificados.
Cuando se adopten medidas, los proveedores de navegadores web notificarán, en virtud del apartado 2, sus preocupaciones por escrito, sin demora indebida, junto con una descripción de las medidas adoptadas para mitigarlas, a la Comisión, al organismo de supervisión competente, a la entidad a la que se haya expedido el certificado y al prestador cualificado de servicios de confianza que haya expedido dicho certificado o conjunto de certificados. Tras la recepción de dicha notificación, el organismo de supervisión competente expedirá un acuse de recibo al proveedor del navegador web en cuestión.
El organismo de supervisión competente investigará las cuestiones planteadas en la notificación, de conformidad con el artículo 46 ter, apartado 4, letra k). Cuando el resultado de la investigación no implique la retirada de la cualificación del certificado, el organismo de supervisión informará de ello al proveedor del navegador web y solicitará que ese proveedor ponga fin a las medidas cautelares a que se refiere el apartado 2 del presente artículo.».
Para aterrizar este articulado, se ha publicado recientemente la norma técnica de ETSI ETSI TS 119 411-5 V2.1.1 que orienta a los navegadores en la implementación de los certificados QWAC.
Y hace pocos días el acto de ejecución correspondiente, que todavía está en forma de borrador con plazo de comentarios hasta el 2 de octubre de 2025.
En resumen, existen dos opciones para la integración de certificados web cualificados en los servidores, denominadas «one quack and two quacks» (haciendo broma con la onomatopeya de un graznido y dos graznidos).
Corresponden a las etiquetas 1-QWAC y 2-QWAC.
1-QWAC consiste en añadir información a los certificados TLS existentes. Con este enfoque, los QWAC son certificados TLS (Publicly Trusted Certificates) que cumplen las normas actuales, como los Requisitos básicos (Baseline Requirements) de CA/Browser Forum. También tendrían que cumplir cualquier requisito adicional impuesto por los programas de aceptación de certificados raíz de los navegadores web.
2-QWAC es una solución más alambicada. Equivale a mantener separados los ecosistemas TLS de CABForum y los QWAC del Reglamento EIDAS. Para ello se expiden dos certificados simultáneamente: uno TLS (PTC) estándar (que puede ser emitido por una CA diferente, incluida en los programas de Root-CA de los navegadores) y otro QWAC (derivado de la norma TS 119 411-2) con un enlace para conectarlos protegido criptográficamente. La información sobre el enlace debe enviarse a través de una cabecera HTTP Link, pero el enlace en sí es un archivo JSON firmado con la clave privada para la que se emite el certificado QWAC. Un enlace puede respaldar varios certificados TLS, lo que es una ventaja para quienes deseen admitir varios certificados al mismo tiempo.
El enfoque 2-QWAC supone poner deberes a los navegadores, ya que tienen que gestionar una nueva cabecera HTTP, añadir código para obtener el enlace e implementar una nueva firma (utilizando JSON Advanced Electronic Signatures – JAdES) y verificación del enlace. Y supondría también más trabajo para los administradores de sitios Web, si no fuera porque ya va a ser imprescindible adoptar herramientas de automatización como «ACME». ACME (Automated Certificate Management Environment) es un protocolo estandarizado que permite la automatización de la emisión, renovación y revocación de certificados TLS/SSL.
El enfoque 2-QWAC es el que se adoptaría por los Prestadores Cualificados de Servicios de Confianza europeos que no quisieran pasar por el procedimiento de aprobación de Bugzilla, CCADB, Baseline Requirements y Extended Validation Guidelines.
De esta manera, no se cambian los procedimientos de CAB Forum y de los programas de CA-Raíz convencionales de los navegadores, pero se establece un marco técnico para que se puedan aceptar certificados cualificados de web «puros» en la Unión Europea (apoyados, no obstante, en certificados emitidos por jerarquías PKI incluidas en dichos programas de Root-CA de los navegadores).
El acto de ejecución mencionado (en estado «borrador» incorpora el siguiente anexo:
En el marco de los Servicios de EADTrust de preparación de infraestructuras para afrontar los retos de la Computación Cuántica en relación con la Criptografía y la Preservación de documentos, uno de los primeros pasos es ayudar a entender bien como la física cuántica nos lleva a la Computación Cuántica, como podemos hacer algunos programas simples con qubits y, tras entenderlos, como la superposición y el entrelazamiento cuánticos dan lugar al algoritmo de Shor que permitirá descifrar claves privadas de algoritmos como RSA y ECC.
Después ayudaremos a nuestros clientes a diagnosticar sus infraestructuras identificando en qué puntos se usa cifrado y otras técnicas criptográficas y explicando qué alternativas van apareciendo entre los algoritmos postcuánticos para reforzar los puntos débiles.
Y cuando estén listos les proporcionaremos los servicios criptográficos actualizados con los últimos algoritmos resistentes a la computación cuántica estandarizados como FIPS-203, FIPS-204, FIPS-205 y FIPS-206.
En esta fase presentamos el curso “Introducción a la Computación Cuántica y a la Criptografía Postcuántica» en Madrid, dirigido a entidades que emplean cifrado y técnicas criptográficas, con ponentes expertos y temario adaptado a la emergencia de la computación cuántica y sus riesgos para la seguridad digital.
Objetivo y Público
El curso está orientado a empleados y directivos de entidades financieras, bancarias, aseguradoras, administraciones públicas, organismos de defensa y seguridad, empresas tecnológicas, telecomunicaciones y proveedores considerados infraestructuras críticas, así como a responsables de innovación, ciberseguridad y estrategia tecnológica.
Fechas, Lugar y Participación
Fechas: 12 y 13 de noviembre de 2025, de 10 a 17 horas.
Lugar: Hotel Zenith Conde Orgaz, Madrid (presencial).
Participación: Incluye material didáctico, ejercicios prácticos con el IQC Kit, comidas y café.
Realización y Ponentes
Jorge Christen, experto en computación cuántica y profesor universitario.
Julián Inza, especialista en criptografía y consultor en ciberseguridad encargado de iniciativas internacionales de estandarización post-cuántica.
Temario
Día 1: Nivel introductorio
Historia de la física cuántica.
Conceptos básicos (qubits, superposición, esferas de Bloch, puertas cuánticas).
Impacto de la computación cuántica en criptografía.
Revisión de algoritmos post-cuánticos y roadmap NIST, ETSI, UE, ENISA y CCN.
Contexto y Relevancia
2025 es el Año Internacional de la Ciencia y la Tecnología Cuánticas, con importantes avances como la primera computadora cuántica comercial de Microsoft (24 cúbits lógicos), incremento de inversión tecnológica global y esfuerzos coordinados por la UE, NIST y otros organismos para la adopción de criptografía post-cuántica ante el riesgo del “criptocalipsis”.
Roadmap Europeo
La hoja de ruta comunitaria prevé:
Concienciación y evaluación de riesgos (2023-2024).
Desarrollo de capacidades y planificación (2024-2025).
Implementación y pruebas (2025-2027).
Adopción completa y monitoreo (desde 2027). Prioriza sectores críticos, seguridad de la cadena de suministro, cumplimiento normativo, interoperabilidad, capacitación y campañas de sensibilización.
Precios y Descuentos
Precio general: 900 € + IVA.
Descuento del 25% (675 €) para clientes de EADTrust o referenciados. Fecha límite para descuento: 1 de noviembre de 2025.
Certificado e Inscripción
Se entrega certificado acreditativo de la formación.
Inscripción mediante formulario en la web o por correo electrónico, con protección de datos conforme a RGPD y LOPDGDD.
Requisitos y Contacto
No se requieren conocimientos previos de física, computación cuántica ni criptografía.
Información y consultas en info@eadtrust.eu o teléfono 917160555
Recientemente, el Organismo Supervisor de Prestadores Cualificados de Confianza eIDAS en España ha comunicado a los prestadores de servicios de confianza la recomendación de abandonar el uso de claves RSA de hasta 2048 bits, indicando que la fuente de la recomendación es el CCN (Centro Criptógico Nacional) a través del documento CCN-STIC 221 – Guía de Mecanismos Criptográficos autorizados por el CCN.
Sin embargo, ese documento no entra en detalles de tamaños de clave recomendados aunque indica en su página 104
Los resultados del ataque ROCA obligó a varios gobiernos europeos a revocar todos los certificados digitales de millones de tarjetas de identificación de sus ciudadanos, ya que tenían claves de 1024 bits y se podía suplantar la identidad de sus ciudadanos. En España se optó por la misma medida de prevención, aunque los DNIe españoles no corrían el mismo peligro que los documentos de identidad utilizados en otros países, ya que el DNIe español utiliza claves de 2048 bits.
dando a entender que un tamaño de 2048 bits en RSA es apropiado.
En realidad, las claves de los dispositivos cualificados de casi todos los países (no solo España) eran en aquel momento de 2048 bits, pero la vulnerabilidad ROCA afectaba al algoritmo de generación de claves adoptado por Infineon (que lo limitó al uso de la variante «Fast Prime») con lo que hubiera sido sencillo sustituir las claves generadas por aquellos chips con generadores externos al propio chip.
En muchos lugares (incluida España) se optó por generar claves RSA de 1952-bits en el propio chip. A tal efecto se modificó el software de los «cajeros automáticos del DNI» para actualizar los certificados (y su clave privada asociada) cuando acudieran los ciudadanos a la renovación de certificados. Para siguientes emisiones de DNIe se usaron dispositivos diferentes.
Los mecanismos criptográficos autorizados indicados en los siguientes apartados se han clasificado en dos (2) categorías (CAT) de acuerdo con su fortaleza estimada a corto y largo plazo:
a) Recomendados (R): mecanismos que ofrecen un nivel adecuado de seguridad a largo plazo. Se considera que representan el estado del arte actual en seguridad criptográfica y que, a día de hoy, no presentan ningún riesgo de seguridad significativo. Se pueden utilizar de forma segura a largo plazo, incluso teniendo en cuenta el aumento en potencia de computación esperado en un futuro próximo. Cualquier riesgo residual, solo podrá proceder del desarrollo de ataques muy innovadores.
b) Heredado o Legacy (L): mecanismos con una implementación muy extendida a día de hoy, pero que ofrecen un nivel de seguridad aceptable solo a corto plazo. Únicamente deben utilizarse en escenarios en los que la amenaza sea baja/media y el nivel de seguridad requerido por el sistema bajo/medio (como veremos en el apartado 5) y deben ser reemplazados tan pronto como sea posible, ya que se consideran obsoletos respecto al estado del arte actual en seguridad criptográfica, y su garantía de seguridad es limitada respecto a la que ofrecen los mecanismos recomendados. Como consecuencia de ello, para estos mecanismos se define el periodo de validez hasta 2025 (31 de diciembre), salvo indicación expresa de otro periodo.
En la Tabla 3-2. Tamaño de las primitivas RSA acordadas se considera (L)egacy la criptografía RSA de hasta 2024 bits.
En la Tabla 3-4. Curvas elípticas acordadas se consideran (R)ecomendada la criptografía ECC de todos los tamaños habituales entre los que se encuentran NIST P-256 o secp256r11 y NIST P-384 o secp384r1
En la Tabla 3-8. Esquemas de Firma electrónica autorizados se consideran L los tamaños de clave RSA hasta 2024 y R los tamaños de clave RSA de más de 3072 bits. Y en las variantes ECC las de tamaños a partir de 256 bits.
En la página 50 se entra en detalle sobre la firma electrónica [MP.INFO.3] tal como se encuentra definida en el Reglamento eIDAS y según la forma en la que se debe aplicar en las Administraciones Públicas en el contexto del Esquema Nacional de Seguridad.
Para los niveles bajo y medio del ENS se admiten claves RSA (del firmante) de, al menos, 2048 bits, claves de 224-255 bits si se emplean curvas elípticas y Funciones hash SHA-256 o superior.
Sin embargo, tal como se ha visto esa posibilidad entra en la consideración de «Legacy» y se tiene que dejar de usar desde el 1 de enero de 2026.
Para el nivel alto del ENS se requiere una fortaleza mínima de 128 bits, que, según se ve en las tablas indicadas anteriormente debe ser en RSA de al menos, 3072 bits, y de más de 256 bits si se emplean curvas elípticas . Se entra en detalle en la Tabla 3-8.
En cuanto a los Sellos de Tiempo [MP.INFO.4] se consideran los requisitos para el ENS alto:
Se utilizarán productos certificados conforme a lo establecido en el ENS ([op.pl.5] Componentes Certificados).
Se emplearán «sellos cualificados de tiempo electrónicos» atendiendo a lo establecido en el Reglamento eIDAS.
Se utilizarán mecanismos de firma electrónica recomendados y fortaleza mínima 128 bits, es decir: # RSA de, al menos, 3072 bits (aunque se recomienda el uso de 4096 bits). # Curvas elípticas con claves de, al menos, 256 bits. # Funciones resumen de las incluidas en la serie SHA-2 o SHA-3 con una seguridad mayor o igual que SHA-256. – Para los esquemas enlazados, la seguridad recae en la función resumen empleada, por tanto, se empleará cualquiera de las funciones de la serie SHA-2 o SHA-3 con una seguridad mayor o igual que SHA-256.
Todos estos requisitos son muy difíciles de afrontar si se empiezan a considerar en el año 2025, pero EADTrust ya los tuvo en cuenta en la definición de sus jerarquías de certificación desde su creación.
Jerarquias de certificación de EADTrust.
Las jerarquías de certificación de EADTrust ya cumplen los requisitos establecidos por el CCN desde que se diseñaron y se llevó a cabo la ceremonia de generación de claves de CA en 2019, sin esperar a la fecha límite de diciembre de 2025. Se estructuran en tres niveles (Root CA, Sub-CA e Issuing CA) y combinan tecnologías RSA y ECC, posicionando a EADTrust como pionera en Europa por su uso dual. Esta estructura soporta la emisión de certificados cualificados para firma electrónica, sellos electrónicos y autenticación de sitios web, cumpliendo con los estándares de ETSI y CEN para eIDAS y garantizando alta seguridad y confianza en transacciones electrónicas. La adopción de ECC refuerza su preparación para desafíos criptográficos futuros y ha sido clave para su designación como la entidad emisora de los certificados utilizados por los organismos sanitarios españoles para emitir el pasaporte COVID-19 durante la pandemia.
Las variantes de certificados ofrecidos por EADTrust son las siguientes:
Autenticación y firma electrónica de personas físicas,
Autenticación y firma electrónica de personas físicas, con indicación de entidad en la que trabajan,
Autenticación y firma electrónica de representantes legales de personas jurídicas,
Autenticación y firma electrónica de empleados públicos,
Autenticación y firma electrónica de empleados públicos, en el contexto de la Administración de Justicia
Autenticación y sello electrónico de personas jurídicas,
Autenticación y sello electrónico de órganos de la administración pública,
Autenticación y sello electrónico de personas jurídicas sujetas a la normativa PSD2,
La creación de sellos de tiempo electrónicos cualificados,
La comprobación y validación de firmas electrónicas, sellos electrónicos, y de sellos de tiempo electrónicos,
La conservación de firmas electrónicas, sellos o certificados para estos servicios
Se contemplan algoritmos criptográficos de tipo RSA con tamaños de clave de 2048 bits, 4196 bits y 8192 bits y algoritmos criptográficos de tipo ECC (Criptografía de Curva Elíptica) con tamaños de clave de 256 bits y 384 bits.
Los diferentes niveles de robustez de criptografía permiten el cumplimiento de los niveles medios y altos del ENS (Esquema Nacional de Seguridad) de España, tal como se describen en el documento “Guía de Seguridad de las TIC – CCN-STIC 807 – Criptología de empleo en el Esquema Nacional de Seguridad” citado, según las necesidades de las Administraciones Públicas.
Los tamaños de clave para los certificados cualificados (a partir de los certificados de Autoridad de Certificación raíz) son:
RSA Root CA 2048-bit key size with SHA256 digest algorithm para certificados cualificados.
RSA Root CA 4096-bit key size with SHA256 digest algorithm para certificados cualificados.
RSA Root CA 8192-bit key size with SHA512 digest algorithm para certificados cualificados.
ECC Root CA P-256 with SHA256 digest algorithm para certificados cualificados.
ECC Root CA P-384 with SHA384 digest algorithm para certificados cualificados. Para certificados no cualificados
RSA Root CA 2048-bit key size with SHA256 digest algorithm para certificados no cualificados.
En la siguiente figura se muestra la jerarquía RSA de 4096 bits que es similar a la de 8192 bits.
En la siguiente figura se muestra la jerarquía ECC de 384 bits que es similar a la de 256 bits.
Desde principios de 2023 EADTrust ha difundido además los nuevos certificados para la provisión de servicios de sello de tiempo cualificado diferenciados por usar diferentes algoritmos criptográficos, tamaño de clave y uso o no de Dispositivo Cualificado de Creación de Sello o de Firma (DCCF, DCCS o QSCD) Algunos están especialmente diseñados para cumplir requisitos establecidos en el Esquema nacional de Seguridad (ENS) para el Nivel de Seguridad Alto.
Los campos “CommonName” de los nuevos certificados son:
Certificado
Criptografía
Tamaño Clave
QCSD
ENS
EADT QTSU 2023 RSA 2048
RSA
2048
NO
NO
EADT QTSU 2023 ENS alto RSA 3072
RSA
3072
NO
SI
EADT QTSU QSCD 2023 ENS alto RSA 4096
RSA
4096
SI
SI
EADT QTSU 2023 ENS alto ECC 256
ECC
256
NO
SI
EADT QTSU QSCD 2023 ENS alto ECC 384
ECC
384
SI
SI
Por compatibilidad se mantienen los sellos de tiempo basados en criptografía RSA de 2048 bits, destinados a entidades no sujetas al cumplimiento del la normativa ENS del Esquema nacional de Seguridad.
A los largo del último año se han producido algunos cambios en la normativa EPREL y en su implementación y ahora es obligatorio que en los certificados de persona jurídica conste el identificador EUID de personas jurídicas que se codifica como tipo de dato NTR.
Este ha sido uno de los retos gestionados por EADTrust, que hemos ido explicando a nuestros clientes los cambios y la forma de conectarse al registro, gestionar la identidad digital ECAS, y dar de alta a la entidad en el registro de aparatos eléctricos en el que se gestionan las etiquetas de eficiencia energética.
La última versión del manual (disponible en el sitio web de EPREL) es del 15 de julio de 2025: European Product Registry for Energy Labelling (EPREL) – USER MANUAL FOR SUPPLIERS y recoge todas las novedades con mucho detalle. Se nota que en el Organismo han ido detectando los problemas que encuentran las entidades que desean registrar sus productos eléctricos y abundan las explicaciones y las guías para resolver la mayor parte de incidencias que puedan surgir.
He traducido a fecha de 6 de agosto de 2025 el manual (versión 1.46) al español, de modo que esta traducción se suma a otras que hice con anterioridad. Registro Europeo de Productos para el Etiquetado Energético (EPREL) – MANUAL DE USO PARA PROVEEDORES
Las empresas pueden obtener su EUID a través del buscador europeo Business Registers (del European e-Justice Portal) o el Buscador de Sociedades de los Registradores (resolviendo el acertijo de girar una imagen hasta que quede representada de un modo lógico).
Por ejemplo, en el caso de EADTrust el EUID es ES28065.080862918
Contacte con EADTrust para obtener los certificados cualificados necesarios para acceder a EPREL y registrar los productos de su empresa para la etiqueta energética. Llame al +34 91 7160555
El 24 de septiembre de 2025, ENISA organiza el 11º Foro sobre Servicios de Confianza y Identificación Electrónica (11th Trust Services and eID Forum). El 25 de septiembre de 2025, D-TRUST, en colaboración con TÜV Nord Cert, celebrará la 17ª Jornada de CAs (17th CA-Day).
¿A quién va dirigido?
El foro, organizado en colaboración con la Comisión Europea desde 2015, se ha convertido en «la cita ineludible» para las partes interesadas del amplio ámbito del Reglamento eIDAS. Reúne a responsables políticos, prestadores de servicios de confianza, organismos de evaluación de la conformidad, supervisores, instituciones europeas y de los Estados miembros y usuarios finales interesados, ofreciendo un lugar único para los debates relacionados con las identidades digitales en Europa. Este año, el evento se traslada a Split, Croacia, y se garantiza también la retransmisión en línea para la participación virtual.
Contenido
Entre los temas que se debatirán este año, abordaremos los siguientes
Normalización y certificación de la Cartera de Identidad Digital Europea
Interacción de eIDASv2 con otra legislación (CRA, Ley de Chips de la UE, NISD2), incluidos los aspectos relacionados con la privacidad
Aplicación de los servicios de confianza nuevos y previamente definidos, desde el punto de vista técnico y organizativo
Nuevas necesidades de colaboración entre todos los servicios de confianza y las partes interesadas en la identificación electrónica
Estrategias para promover el mercado de la identidad digital
Como en años anteriores (desde 2018), el Trust Services and eID Forum irá seguido del CA-Day, organizado por D-Trust y TÜV Nord Cert, que tendrá lugar el 25 de septiembre en el mismo lugar.
Agenda en inglés
El borrador del programa ya está disponible. Contiene interesantes presentaciones y cautivadores debates entre expertos reconocidos en la materia. Tenga en cuenta que se seguirá actualizando en las próximas semanas. Ver la traducción más abajo
Inscripción
Ya puede reservar su plaza inscribiéndose aquí. Reserve su plaza presencial solo si está seguro de que podrá asistir al evento en persona. Tenga en cuenta que no es posible acoger presencialmente a más de 2-3 participantes de la misma organización.
El Cuaderno Digital de Explotación Agrícola (CUE) es una herramienta digital diseñada para registrar y gestionar electrónicamente los datos detallados de las actividades realizadas en una explotación agraria en España. Su propósito es recopilar información sobre prácticas agrícolas, como aplicaciones fitosanitarias, fertilización, riego, ecorregímenes y otras actividades relacionadas con la gestión de la explotación, de manera integrada con el Registro Autonómico de Explotaciones Agrícolas (REA) y el Sistema de Información de Explotaciones Agrícolas y Ganaderas (SIEX).
El CUE sustituye al tradicional cuaderno de explotación en papel, digitalizando el proceso para cumplir con las normativas de la Política Agrícola Común (PAC) 2023-2027 y otras regulaciones, como el Real Decreto 1054/2022 y la Orden APA/204/2023. El Real Decreto 34/2025. actualiza y aclara algunos aspectos de la normativa existente, retrasando la obligatoriedad de ciertos registros digitales.
El sistema permite a los titulares de explotaciones, entidades colaboradoras o personas habilitadas registrar datos de forma electrónica, garantizando la trazabilidad y el cumplimiento de requisitos técnicos.
Las características principales del CUE son:
Integración con el REA: El CUE se conecta con el REA, que contiene la información general de las explotaciones (superficies, cultivos, etc.), para cargar datos automáticamente y facilitar su gestión.
Obligatoriedad progresiva: Aunque su uso es voluntario hasta el 31 de diciembre de 2025 para ciertos registros (como los fitosanitarios), a partir del 1 de enero de 2026 será obligatorio en muchos casos, según el Real Decreto 34/2025.
Opciones de uso: Los titulares pueden usar el CUE proporcionado gratuitamente por la administración autonómica (como el SGA_CEX en Castilla-La Mancha o Cuecyl en Castilla y León) o un CUE comercial autorizado, siempre que cumpla con los requisitos técnicos y esté registrado.
Acceso y autorización: Los titulares, entidades colaboradoras o personas habilitadas pueden acceder al CUE mediante identificación electrónica (como certificado digital). Los titulares pueden autorizar a terceros para gestionar su CUE.
Contenido: Incluye información sobre tratamientos fitosanitarios, fertilización, riego, manejo sostenible de insumos y datos relacionados con ecorregímenes o ayudas de la PAC.
El Registro Autonómico de Explotaciones Agrícolas (REA) es una base de datos que recopila información general de las explotaciones agrarias, como superficies, cultivos y referencias SIGPAC (Sistema de Información Geográfica de Parcelas Agrícolas). Es obligatorio estar inscrito en el REA para poder cumplimentar el CUE, ya que este último toma datos directamente del registro para su funcionamiento. El REA, a su vez, se integra con el SIEX a nivel nacional para centralizar la información y facilitar la gestión de la PAC.
Con el CUE se simplifica la gestión administrativa y el cumplimiento normativo, se facilita el seguimiento de prácticas agrícolas para fines estadísticos y de control y se mejora la interoperabilidad entre administraciones autonómicas y nacionales a través del SIEX. El CUE es una herramienta clave para la digitalización del sector agrario, integrada con el REA para garantizar una gestión eficiente y transparente de las explotaciones agrícolas, en línea con las exigencias de la PAC y la normativa europea
En diciembre de 2024 se publicó la Versión: 3.3.0 del documento Anexo VI Diseño del Sistema de Importación y Exportación REA-CUE que describe los distintos métodos implementados en el servicio web de REA y CUE para poder facilitar información del registro de explotaciones a los CUE comerciales.
En el Apartado 4.3 se recomienda el uso de certificados de Persona Jurídica (con el que se realizan sellos electrónicos):
Sello de entidad: este certificado debería contener, al menos, lo siguientes campos del Subject para poder realizar la comunicación con el SW:
CN: para indicar el nombre del dominio: empresa.local.es (máximo 64 caracteres) Este campo es de contenido libre, por lo que se puede utilizar para almacenar el dominio, aunque con la limitación de 64 caracteres.
serialNumber: Para indicar el NIF (AXXXXXXXXX) de la empresa propietaria del dominio. Este campo es el serial number (SN) del Subject del certificado. No confundir con el Serial number identificador principal del certificado, el cual no es personalizable.
Recordemos que, las normas técnicas aplicables a estos tipos de certificados son la ETSI TS 119 412-1, la ETSI TS 119 412-2 y la ETSI TS 119 412-3 que determinan el uso del atributo organizationIdentifier en el campo subject con esta estructura de datos y en este orden:
3 character legal person identity type reference;
2 character ISO 3166 [2] country code;
hyphen-minus «-» (0x2D (ASCII), U+002D (UTF-8)); and
identifier (according to country and identity type reference).
The three initial characters shall have one of the following defined values:
«VAT» for identification based on a national value added tax identification number.
«NTR» for identification based on an identifier from a national trade register.
«PSD» for identification based on national authorization number of a payment service provider under Payments Services Directive (EU) 2015/2366 [i.13]. This shall use the extended structure as defined in ETSI TS 119 495 [3], clause 5.2.1.
«LEI» for a global Legal Entity Identifier as specified in ISO 17442 [4]. The 2 character ISO 3166 [2] country code shall be set to ‘XG’.
Two characters according to local definition within the specified country and name registration authority, identifying a national scheme that is considered appropriate for national and European level, followed by the character «:» (colon).
Por ejemplo, para España VATES-B85626240
De modo que el CIF debería obtenerse preferentemente del campo organizationIdentifier del Certificado.
Para más información contacte con EADTrust llamando al 917160555.
He escrito otros artículos sobre el Cuaderno Digital de Explotación Agrícola (CUE):
La Escuela Técnica Superior de Ingeniería Informática de la Universidad de Málaga y el grupo de investigación NICS Lab han organizado un curso de verano en ciberseguridad, CYBER BOOTCAMP Málaga, dentro del Programa «Seminarios de Ciberseguridad» financiado por Google.org.
El objetivo del programa es entrenar a estudiantes de Universidades Públicas Españolas en aspectos relacionados con la ciberseguridad.
El curso de Verano tiene dos itinerarios, cada uno con 50 estudiantes, y está dirigido a Estudiantes Universitarios de cualquier Universidad Española.
Uno de los itinerarios está orientado a estudiantes de titulaciones técnicas con sólidos conocimientos informáticos y fundamentos de ciberseguridad (modalidad avanzada), y otro orientado a estudiantes de otras titulaciones sin ese nivel de conocimientos (modalidad básica).
Las clases tienen lugar desde el 1 al 11 de julio de 2025 en la Escuela Técnica Superior de Ingeniería Informática de la Universidad de Málaga.
Yo imparto la sesión de mañana del primer día (martes, 1 de julio) del Módulo Avanzado y trataré sobre Identidad Digital enfatizando los últimos avances del Reglamento EIDAS2 y la Cartera de Identidad Europea.
Este es el temario del Módulo Avanzado:
DÍAS
MAÑANA 9:00 – 13:30
TARDE 15:00 – 18:15
MARTES 1
Identidad Digital Julián Inza EAD Trust, European Agency of Digital Trust
Privacidad Jordi Forné Universidad Politécnica de Cataluña
MIÉRCOLES 2
Seguridad de Redes y Sistemas Pedro García Universidad de Granada
La Unión Europea publicó el 15 de abril de 2025 los borradores de doce nuevos actos de ejecución centrados en los servicios electrónicos de confianza y la cartera de identidad digital europea, en lo que será el tercer bloque de actos de ejecución tras los dos anteriores, cumpliendo lo previsto en el Reglamento (UE) 1183/2024.
La publicación de estos borradores abre también la posibilidad de enviar comentarios hasta el 13 de mayo de 2025 a través de la plataforma «Have your say» .
El conjunto de actos de ejecución configura el Marco Europeo de Identidad Digital y forma parte del juego de requisitos y especificaciones que determinan la evolución del documento de ARF («Architecture and Reference Framework», Arquitectura y Marco de Referencia) de la Cartera de Identidad DIgital. Recientemente publiqué la traducción al español del documento ARF versión 1.8.
Inicio de los servicios de confianza cualificados Establece los formatos y procedimientos para notificar a los Organismos de Supervisión la intención de los prestadores de servicios de confianza de ofrecer servicios de confianza cualificados.
Sellos de tiempo cualificados Establece normas de referencia y, cuando es necesario, establece especificaciones y procedimientos para vincular la fecha y la hora a los datos y para establecer la precisión de las fuentes de tiempo con respecto a los sellos de tiempo electrónicos cualificados.
Servicios cualificados de entrega electrónica certificada Establece una lista de normas de referencia y las especificaciones y procedimientos para los procesos de envío y recepción de datos en el contexto de los servicios cualificados de entrega electrónica certificada.
Informes anuales de los organismos de supervisión Establece los formatos y procedimientos para los informes anuales de los organismos de supervisión designados responsables de la supervisión de las Carteras de Identidad Digital Europea y de los organismos de supervisión designados responsables de la supervisión de los servicios de confianza.
El lote anterior se publicó el viernes 29 de noviembre de 2024 con posibilidad de enviar comentarios en el portal ‘Have your say’ (Díganos lo que piensa), hasta el 27 de diciembre.
Los actos de ejecución se adoptaron el 9 de abril de 2025, per todavía no están publicados en el Diario Oficial.
El primer lote de 5 actos de ejecución se publicó el 4 de diciembre de 2024, en el Diario Oficial de la Unión Europea, entrando en vigor a los 20 días, el 24 de diciembre. Desde esa fecha se calculan los 2 años para que los estados pongan a disposición de los ciudadanos la Cartera de Identidad Digital correspondiente a cada estado y el plazo de 3 años para que las entidades privadas obligadas a la aceptación de la identidad basada en una Cartera Digital deban empezar a hacerlo.
Todo es electrónico 