Reflexiones que acompañan a la propuesta de Reglamento sobre las carteras europeas de empresas (European Business Wallet)

Deja un comentario

En la Propuesta COM(2025) 838 (Proposal for a Regularion of the European Parliament and of the Council on the establishment of European Business Wallets) publicada el 19 de noviembre de 2025 y de la que me hice eco hace pocos días se incluye como introducción un «Memorando explicativo» que recoge un conjunto de reflexiones sobre el marco tecnológico actual y la necesidad de dar cobertura legal a las nuevas oportunidades de negocio que aparecen.

•Razones y objetivos de la propuesta

Este memorando explicativo acompaña la propuesta de Reglamento sobre la creación de las carteras europeas de empresas. El instrumento legal tiene como objetivo proporcionar un marco digital armonizado, de confianza y fácil de usar para que los operadores económicos y los organismos públicos puedan identificar, autenticar e intercambiar datos de forma segura con pleno efecto legal a través de las fronteras de la UE.

Los recientes desarrollos tecnológicos y sociales requieren un nuevo enfoque armonizado y digital para las interacciones entre empresas y administraciones públicas (B2G) y de empresa a empresa (B2B). La IA, la computación en la nube y la identidad digital segura avanzan a un ritmo trepidante, afectando a la forma de hacer negocios en Europa: los procesos administrativos han pasado de estar basados en documentos a estar basados en datos en contextos de automatización. Por ejemplo, el 91% de las scaleups (empresas de crecimiento rápido) consideran que las tecnologías digitales son fundamentales para su crecimiento. Estos desarrollos, combinados con las prioridades estratégicas de la UE en cuanto a competitividad, soberanía digital, simplificación y servicios públicos digitales por defecto, crean la necesidad de soluciones ágiles que puedan apoyar transacciones comerciales transfronterizas de confianza a gran escala.

Los informes de Draghi y Letta han advertido que la persistencia de las cargas administrativas y la fragmentación del Mercado Único debilitan significativamente la competitividad de Europa, desincentivan a las empresas de la UE a escalar y aumentan la dependencia de proveedores de alto riesgo. En este contexto, la infraestructura digital disponible para los organismos públicos y los operadores económicos está fragmentada y las obligaciones de cumplimiento y de reporte son complejas: la mayoría de los interesados consultados destacaron la falta de interoperabilidad transfronteriza como una fuente importante de burocracia. En toda la Unión, las autoridades públicas siguen operando en entornos digitales heterogéneos que limitan la plena realización de los servicios públicos transfronterizos: el eGovernment Benchmark 2024 muestra que, mientras que el 88 % de los servicios públicos están disponibles en línea para los usuarios nacionales, los usuarios transfronterizos solo pueden acceder al 56 % de esos servicios de forma digital y las barreras de interoperabilidad siguen siendo los principales obstáculos para un gobierno electrónico eficiente. Para los operadores económicos activos en varios Estados miembros, garantizar transacciones fluidas, como las de índole fiscal, la obtención de licencias o las participación e licitaciones, es clave para seguir siendo competitivos.

Las consecuencias prácticas del «status quo» son inasumibles. Por ejemplo, los participantes en el estudio informaron que necesitaban dos empleados a tiempo completo exclusivamente para gestionar obligaciones de reporte de sostenibilidad, o incurriendo en costes superiores a 100.000 € para contratar consultorías especializadas en esta área. Además, los operadores económicos estiman que alrededor del 20% del tiempo del personal se absorbe en actividades relacionadas con el cumplimiento normativo. En contextos transfronterizos, esto suele requerir una verificación manual o en papel que retrasa las transacciones y multiplica los costes administrativos. Estos costes son desproporcionados, especialmente para las pymes, para las que las obligaciones de cumplimiento desvían recursos significativos de actividades estratégicas de alto valor: el Banco Europeo de Inversiones (European Investment Bank) estima que el cumplimiento regulatorio consume el 1,8% de la facturación de las empresas en general y el 2,5% de las empresas más pequeñas. Los procedimientos de «Know-Your-Customer» solo en el sector financiero pueden durar entre 30 y 50 días por cliente corporativo, y cada expediente requiere decenas de horas de procesamiento manual.

Para los organismos del sector público, las barreras estructurales impiden la transición completa hacia servicios modernos, digitales y accesibles, así como la creación de un espacio administrativo comunitario fluidos. Aunque la digitalización de los servicios públicos muestra signos de mayor madurez, al ritmo actual no alcanzará el objetivo establecido en el Informe europeo «Digital Decade Report» de tener el 100% de los servicios públicos online para 2030. Este escenario limita la escalabilidad, aumenta los costes administrativos y ralentiza la prestación de servicios. Digitalizar las interacciones implica procedimientos administrativos más eficientes, mejor prestación de servicios y oportunidades para la recualificación de recursos públicos hacia tareas más estratégicas. La evidencia muestra que la digitalización en el sector público puede hacer que las administraciones sean más efectivas, ya sea ampliando los servicios sin presupuestos adicionales o reasignando recursos humanos hacia actividades de mayor valor añadido.

La ausencia de un canal estandarizado y confiable para las interacciones entre empresas y administraciones públicas (B2G) y de empresa a empresa (B2B) que permita intercambiar información (atributos en términos de la normativa eIDAS2) socava la trazabilidad y la seguridad. Las credenciales (otro término para atributos) suelen compartirse por correo electrónico o portales propietarios, que ofrecen garantías limitadas de autenticidad, aumentando la exposición a prácticas fraudulentas, como las estafas de falsas facturas, que ya generan más de 26 millones de euros anuales en beneficios ilícitos, según Europol y EUIPO. Por tanto, aunque la privacidad y la divulgación mínima de datos personales son esenciales para las personas físicas, las empresas requieren transparencia y trazabilidad de los intercambios para apoyar la gestión de riesgos, el cumplimiento y la prevención del fraude. La UE ya ha alcanzado un hito importante en su agenda de simplificación con el Marco Europeo de Identidad Digital, un sistema de identificación digital de última generación, respetuoso con la privacidad e interoperable que permite a ciudadanos y entidades jurídicas compartir datos de forma segura a través de las fronteras. La propuesta de las Carteras Europeas de Empresas pretende complementar las Carteras de Identidad Digital Europeas introduciendo una herramienta digital orientada al mercado, diseñada para las necesidades específicas de las transacciones comerciales.

El actual impulso de simplificación y digitalización está firmemente asumido en la agenda política de la Unión Europea. La Agenda Estratégica 2024–2029 de la UE, las conclusiones del Consejo Europeo y la Brújula de la Competitividad de la Comisión subrayan la urgencia de reducir las cargas administrativas, con objetivos explícitos de una reducción del 25% en la carga total y del 35% para las pymes. Los informes de Draghi y Letta identifican la fragmentación y la complejidad administrativa como grandes obstáculos para la competitividad de Europa, mientras que el Estado de la Unión 2025 de la presidenta von der Leyen dejó claro que las barreras internas siguen obstaculizando más a los operadores económicos que las barreras externas. En marzo y junio de 2025, el Consejo Europeo reafirmó la necesidad de la «simplicidad por diseño» y, a principios de 2025, la Comisión identificó explícitamente el establecimiento de las Carteras Europeas de Empresas como piedra angular de una Europa más sencilla y rápida.

En este contexto económico y político, la propuesta de las Carteras Empresariales Europeas cumple con la demanda de simplificación al alcanzar los siguientes objetivos específicos:

Reducir las cargas administrativas, agilizar los procesos de cumplimiento y mejorar la prestación de servicios
Garantizar que los operadores económicos y los organismos públicos tengan acceso a una identificación digital segura y de confianza transfronteriza, satisfaciendo las necesidades y demandas de los usuarios

• Coherencia con las disposiciones políticas existentes en el ámbito de política

La propuesta de Carteras Europeas de Empresas se basa y amplía el ecosistema establecido bajo el Marco de Identidad Digital Europeo (IDUE) – Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, tal como fue modificado por el Reglamento (UE) 2024/1183. Las «European Business Wallets» pretenden complementar el Marco IDUE ofreciendo funcionalidades adaptadas a las necesidades de los organismos públicos y de los operadores económicos, incluyendo la gestión digital de los poderes de representación y de los mandatos de representación, y un canal seguro para el intercambio de documentos oficiales y declaraciones de atributos apoyado por un directorio común. Se garantizará la interoperabilidad total con las Carteras de Identidad Digital de la Unión Europea (Carteras IDUE).

La propuesta es complementaria al acervo de derecho de sociedades de la UE y utiliza el Identificador Único Europeo existente que todas las sociedades de responsabilidad limitada y sociedades comerciales (así como las futuras sociedades del «régimen 28») tienen conforme a la legislación societaria de la UE. Además, la propuesta es compatible con el Sistema de Interconexión de Registros Mercantiles (Business Registers Interconnection System – BRIS), desarrollado de acuerdo con la Directiva de Derecho Mercantil, codificada (UE) 2017/1132. Por último, la propuesta también está en línea con el Sistema de Interconexión de Registros de Titulares Beneficiarios (Beneficial ownership registers interconnection system – BORIS), desarrollado de acuerdo con la Directiva contra el Blanqueo de Capitales (UE) 2015/849. Estas interconexiones utilizan el Identificador Único Europeo (EUID) para identificar de forma única empresas y otras entidades jurídicas, así como los vinculaciones legales en la UE, pero no cubren a todos los operadores económicos ni organismos públicos, como autónomos, cooperativas o instituciones públicas. Las «European Business Wallets» amplían este ecosistema ofreciendo un medio fiable e interoperable para todas estas entidades.

• Coherencia con otras políticas de la Unión Europea

La nueva propuesta regulatoria de Carteras Europeas de Empresas está integrada en la agenda política más amplia de la Unión Europea para impulsar la competitividad, reducir las cargas administrativas y lograr un Mercado Único integrado digitalmente. Contribuye directamente a los objetivos establecidos en la Estrategia del Mercado Único de la Comisión, que aboga por una digitalización más eficaz en la UE para permitir el funcionamiento óptimo del Mercado Único, así como a la Agenda Estratégica de la UE 2024–2029, la Brújula de la Competitividad, la Estrategia de las PYMES para una Europa sostenible y digital, y el Programa de Política de la Década Digital. Todo ello pone de manifiesto la necesidad de simplificación, interoperabilidad y servicios públicos digitales por defecto. La propuesta de «European Business Wallets» cumple con estas prioridades estratégicas al ofrecer un instrumento concreto para hacer que el cumplimiento y las interacciones transfronterizas sean más simples, rápidas y fiables para los operadores económicos y los organismos públicos.

Además, la propuesta garantiza la complementariedad con las principales iniciativas legislativas de la siguiente manera:

La Pasarela Digital Única (ODS) y su Sistema Técnico Único (OOTS) implementan el principio de «solo una vez», exigiendo a las autoridades reutilizar datos ya poseídos en otro Estado miembro sin que las empresas presenten repetidamente. La propuesta de Carteras Empresariales Europeos complementará los ODS y la OOTS proporcionando identificación y autenticación fiables de operadores económicos y administraciones públicas, así como una capa de intercambio segura que permitirá a empresas y organismos públicos compartir y reutilizar datos verificados y atestados oficiales sin problemas a través de fronteras.
El Pasaporte de Producto Digital (DPP), central en la agenda de economía circular de la UE, depende del acceso fiable a los datos de conformidad y sostenibilidad. La propuesta de Business Wallets puede demostrar la identidad legal y cualquier derecho de acceso concedido, permitir la firma y sellación de declaraciones de conformidad, y garantizar que los datos del producto se intercambien de forma segura y verificable a través de las fronteras.
La Ley de Europa Interoperable (AIE) establece el marco para la interoperabilidad transfronteriza de los servicios públicos. La propuesta de Business Wallets complementará esto sirviendo como una infraestructura de confianza que las administraciones podrán integrar en la prestación digital de servicios por defecto, reforzando la eliminación de barreras técnicas y organizativas.
La próxima propuesta sobre el marco legal corporativo del Régimen del 28º proporcionará procedimientos sencillos, flexibles y rápidos para que las empresas puedan crear, operar y atraer inversión en la UE mediante soluciones digitales. Garantizará que herramientas digitales como el certificado de empresa de la UE y el Poder Notarial digital de la UE puedan utilizarse en los carteras empresariales europeos.
El paquete del IVA en la Era Digital (ViDA) moderniza la declaración del IVA, introduce la facturación electrónica obligatoria a través de las fronteras y refuerza la prevención del fraude. La propuesta de Business Wallets permitirá el almacenamiento seguro y el intercambio verificable de atestiguaciones de IVA y datos de transacciones, apoyando así la información en tiempo real y la facturación confiable.

2. BASE LEGAL, SUBSIDIARIEDAD Y PROPORCIONALIDAD

•Base jurídica

La base legal de la propuesta es el artículo 114 del Tratado sobre el Funcionamiento de la Unión Europea (TFUE), que prevé la adopción de medidas a nivel de la UE para garantizar el correcto funcionamiento del mercado interior. La identificación segura, los servicios de confianza y el intercambio fluido de declaraciones electrónicas de atributos son esenciales para que los operadores económicos y los organismos públicos participen eficazmente en el Mercado Único.

El funcionamiento del mercado interior se basa en normas uniformes y coherentes aplicadas en todos los organismos públicos relevantes que desempeñan funciones equivalentes o prestan servicios comparables. Las instituciones, agencias, oficinas y organismos de la Unión Europea (entidades de la Unión) suelen llevar a cabo actividades similares a las de los organismos públicos nacionales y desempeñan funciones clave de supervisión y regulación. Por tanto, su implicación en el apoyo al correcto funcionamiento del Mercado Único es necesaria. Excluirlos crearía brechas regulatorias, fragmentación y aplicación desigual de las normas, socavando así el objetivo de «Business Wallet» de salvaguardar la integridad, estabilidad y resiliencia del mercado interior. Además, la simplificación sigue siendo un motor clave del compromiso de la UE con la construcción de una Unión más audaz, sencilla y rápida. Un Mercado Único competitivo y bien funcional requiere la participación activa tanto de las autoridades nacionales como de las de la UE, siendo estas últimas la que lidera con el ejemplo. En consecuencia, las entidades de la Unión deberían adoptar y utilizar la Cartera Empresarial Europea, ampliando la simplificación y eficiencia de sus interacciones con los operadores económicos.

Las disparidades actuales en la forma en que los Estados miembros identifican a los operadores económicos, verifican poderes y mandatos e intercambian datos y documentación oficiales en formato digital pueden suponer riesgos de obstáculos a las libertades fundamentales o causar distorsiones significativas de la competencia. Al proporcionar una solución armonizada para la identificación empresarial segura y el intercambio de datos, la propuesta de «European Business Wallets» pretende eliminar barreras administrativas, prevenir nuevas divergencias y garantizar que todos los operadores económicos puedan competir en igualdad de condiciones dentro de la UE.

• Subsidiariedad (para competencia no exclusiva)

Los operadores económicos y los organismos públicos de toda la Unión deberían poder contar con soluciones de identidad digital altamente seguras y fiables, incluyendo la portabilidad de las declaraciones electrónicas de atributos que puedan utilizarse en todo el Mercado Único de manera fácil de usar y eficiente. Estas necesidades no pueden ser suficientemente atendidas por los Estados miembros actuando de forma individual, ya que las soluciones nacionales siguen fragmentadas en alcance, efecto y diseño técnico.

Por tanto, es necesario actuar a nivel de la UE para garantizar que todas las autoridades públicas, tanto nacionales como europeas, reconozcan y apliquen las mismas soluciones interoperables al interactuar con los operadores económicos. Esto garantiza un entorno regulatorio coherente y evita procedimientos paralelos o sistemas incompatibles que fueran contrarios a los objetivos de simplificación y funcionamiento óptimo del mercado interior. Surgen obstáculos para la libertad de establecimiento y la libertad de prestar servicios porque las credenciales emitidas digitalmente en un Estado miembro no siempre pueden reutilizarse o confiarse en otro.

Además, se producen distorsiones de la competencia cuando los operadores se enfrentan a condiciones desiguales que dependen únicamente de su lugar de establecimiento. En los Estados miembros donde los procedimientos están completamente digitalizados, las empresas pueden registrarse para liquidar el IVA o proporcionar declaraciones de atributos en cuestión de días a bajo coste, mientras que en entornos domésticos menos digitalizados, el mismo proceso puede requerir servicios de mensajería o comprobaciones manuales prolongadas, que duran semanas y desvían al personal de actividades productivas. El Referente de Gobierno Electrónico 2024 revela diferencias sustanciales entre Estados miembros en la disponibilidad digital y usabilidad de los servicios públicos clave: la puntuación media global de los 10 mejores resultados dentro de los 27 de la UE es de 87 puntos, frente a 64 puntos para los 10 con peor desempeño, una brecha que pone de manifiesto las persistentes disparidades en la digitalización de los servicios públicos de la UE. Estas disparidades se traducen en diferentes costes de cumplimiento de la digitalización que perjudican desproporcionadamente a las pymes y microempresas, debilitando su capacidad para competir en el Mercado Único y limitando su participación en oportunidades económicas como la contratación pública.

La intervención a nivel de la UE es la forma más eficiente de restablecer un campo de juego equitativo: un marco común y armonizado garantiza que todos los operadores económicos, independientemente de su tamaño o ubicación, puedan contar con una única herramienta para interactuar con las autoridades públicas y los socios de toda la Unión. Al eliminar barreras administrativas y crear condiciones uniformes, la propuesta de «European Business Wallets» fortalece la seguridad jurídica, la confianza y la competitividad.

En cuanto al valor añadido, las carteras europeas de empresas eliminarán duplicaciones y reducirán los costes de cumplimiento, mejorarán la calidad y transparencia de los datos, y proporcionarán a los organismos públicos información más fiable, mejorando así la prestación de servicios. Para los operadores económicos, especialmente las pymes, esto significa que el tiempo y los recursos ahorrados pueden redirigirse a la innovación, el crecimiento y la expansión internacional. Al mismo tiempo, la armonización a nivel de la UE evita la dependencia de proveedores de alto riesgo, refuerza la resiliencia de las infraestructuras críticas y consolida la soberanía digital de la Unión. Más allá del mercado interior, la iniciativa también puede reforzar el papel de la Unión como referente global de infraestructuras digitales de confianza, apoyando la competitividad europea en el comercio internacional.

•Proporcionalidad

Esta iniciativa es proporcional a los objetivos buscados, ya que limita las obligaciones a lo estrictamente necesario para garantizar un marco seguro, armonizado e interoperable para las interacciones digitales entre los operadores económicos y los organismos del sector público. Las carteras empresariales europeas no prescriben un único modelo de negocio rígido ni un diseño técnico, sino que establecen un marco que combina interoperabilidad con flexibilidad, fomentando la competencia y la innovación.

Además, las obligaciones de los organismos del sector público se equilibran mediante políticas transitorias: los periodos flexibles de implementación permiten a los organismos públicos tiempo suficiente para adaptar sus sistemas administrativos y de TI y prevenir interrupciones. La propuesta no crea nuevos procedimientos administrativos que deban ser realizados por los operadores económicos ni los organismos del sector público. En cambio, proporciona un canal común y de confianza para cumplir con obligaciones que ya existen bajo la legislación de la Unión. Al ser independiente del sector, la iniciativa no aborda el contenido de las obligaciones actuales y simplemente proporciona un medio para simplificar el cumplimiento de las normas europeas y nacionales existentes, al tiempo que ayuda a superar la fragmentación y las disparidades de tratamiento en todo el Mercado Único.

Los costes de adopción y mantenimiento serán soportados por los operadores económicos y los organismos del sector público. En particular, estos se refieren a la incorporación, la formación y la adaptación de las TIC. Sin embargo, estos costes se ven compensados por las mejoras de eficiencia derivadas de procesos simplificados, la reducción de duplicaciones y una mayor seguridad jurídica. Además, los costes de formación, que constituyen los costes puntuales más sustanciales, podrían ser parcialmente apoyados por iniciativas existentes de la Unión para la transformación digital y el fortalecimiento de capacidades, lo que puede ayudar a aliviar los costes de formación y adaptación.

La propuesta también es proporcional en cuanto al impacto esperado sobre los operadores económicos. También utiliza el Identificador Único Europeo (EUID) existente, que evita costes adicionales para 18 millones de empresas. Se espera que las pymes y microempresas, que sufren la mayor carga relativa de la complejidad administrativa tanto en términos de costes como de tiempo de personal, se beneficien más de la simplificación y las mejoras de eficiencia derivadas del uso de las carteras empresariales europeas. Esto es totalmente coherente con las prioridades políticas de la UE, incluyendo la Estrategia de Nuevas empresas (Startus) y empresas de alto crecimiento (Scaleups) de la UE, el próximo régimen número 28 y las recomendaciones del Informe Draghi, que enfatizan la necesidad de reducir la burocracia y las barreras administrativas como requisito previo para la competitividad y el crecimiento de las pymes.

Cabe destacar que la propuesta no impone ninguna obligación a los operadores económicos. Exige que los organismos públicos habiliten el uso de las Carteras Empresariales Europeas para funcionalidades específicas, asegurando que tanto los operadores económicos como las pequeñas y medianas empresas tengan la opción de adoptar las Carteras Empresariales y beneficiarse de procedimientos simplificados. Este enfoque se alinea con el principio de “Think Small First” («Pensar en pequeño primero») al evitar presiones regulatorias innecesarias sobre las pymes. Los autónomos también pueden confiar en sus European Digital Identity Wallets EUDI Wallets o Carteras IDUE) para acceder a los servicios de confianza que ofrecen los European Business Wallets, incluyendo el canal de comunicación seguro o las firmas electrónicas, sin necesidad de adquirir un Business Wallet completo. Esto garantiza un trato proporcionado a los operadores más pequeños al evitar la imposición de una carga excesiva.

Por último, la iniciativa también es proporcional en su diseño regulatorio, ya que se basa en la supervisión ex post por parte de los órganos de supervisión especificados y en un procedimiento de notificación en lugar de la autorización previa. Este enfoque garantiza una supervisión y rendición de cuentas efectivas de los proveedores sin introducir retrasos administrativos o costes innecesarios, manteniendo al tiempo un alto nivel de confianza y seguridad.

En conjunto, estos elementos demuestran que la propuesta respeta el principio de proporcionalidad. Al combinar un marco común claro con flexibilidad para la innovación, cumple de la manera más eficiente para responder a las necesidades urgentes tanto de los operadores económicos como de los organismos del sector público.

• Elección del instrumento

La elección de un Reglamento Europeo como instrumento legal se justifica por la necesidad de garantizar un marco uniforme de aplicación para la identificación segura, autenticación e intercambio de declaraciones de tributos por parte de los operadores económicos y organismos públicos en todo el Mercado Único. Solo las normas directamente aplicables pueden garantizar que las carteras empresariales europeas funcionen sin problemas en todo el Mercado Único y que sus efectos legales sean reconocidos y aplicados por igual en todos los Estados miembros, lo cual es esencial para salvaguardar las libertades fundamentales de establecimiento y de prestación de servicios, actualmente debilitadas por soluciones nacionales divergentes y procedimientos fragmentados.

La aplicabilidad directa de un Reglamento Europeo, de acuerdo con el artículo 288 TFUE, evitará una mayor fragmentación legal y garantizará que los operadores económicos y los organismos públicos puedan confiar en un instrumento común con la misma seguridad jurídica en toda la Unión.

Además, para garantizar la aplicación coherente de todos los instrumentos relacionados y teniendo en cuenta que el Marco EUDI (EIDAS + EIDAS2) está establecido por un Reglamento, la presente propuesta también debe adoptar la misma forma jurídica.

3. RESULTADOS DE EVALUACIONES EX-POST, CONSULTAS CON PARTES INTERESADAS Y EVALUACIONES DE IMPACTO

• Consultas con las partes interesadas

para la elaboración de la propuesta regulatoria se realizaron consultas específicas para las carteras empresariales europeas, reflejando su enfoque particular en las interacciones B2G y B2B. Una convocatoria de pruebas se celebró entre mayo y junio de 2025 y recibió casi cien contribuciones de empresas, asociaciones empresariales, registros, autoridades públicas y ciudadanos de 17 Estados miembros y varios terceros países. La Comisión también realizó encuestas, entrevistas en profundidad y una serie de talleres dedicados con Estados miembros, registros, pymes, representantes de la industria y proveedores de servicios de confianza. Los comentarios se complementaron con aportaciones de conferencias y diálogos «ad hoc» con las partes interesadas a lo largo de 2025.

La estrategia de consulta se centró en cuestiones específicas relevantes para los operadores económicos y organismos del sector público, incluyendo requisitos operativos, integraciones técnicas, optimizaciones de flujos de trabajo e integración de obligaciones de informe, adaptadas para captar las realidades técnicas y prácticas a las que se enfrentan los usuarios profesionales.

Los interesados destacaron que las herramientas y canales digitales existentes para las actividades administrativas están muy fragmentados, especialmente en los intercambios transfronterizos, lo que conduce a envíos repetitivos de datos y cargas administrativas. Varias actividades administrativas fueron descritas como excesivamente burocráticas, especialmente aquellas que implicaban el intercambio de documentos, el cumplimiento y la verificación entre Estados miembros. Estas actividades suelen ser lentas, repetitivas y propensas a errores humanos.

Los encuestados anticiparon que las carteras europeas de empresas podrían reducir significativamente el coste y la complejidad de las tareas administrativas. Los beneficios citados incluyeron servicios más rápidos, mayor precisión de los datos y operaciones transfronterizas mejoradas. Muchos actores implicados expresaron ser proclives a adoptar una solución basada en la nube como las «European Business Wallets», especialmente si agiliza procesos y reduce costes. Sin embargo, se expresaron preocupaciones sobre los desafíos de integración y la necesidad de una orientación y apoyo claros. Además, los interesados identificaron diversos casos de uso y oportunidades de ahorro de costes, incluyendo la automatización de la verificación de identidad, la simplificación de procesos de cumplimiento y la posibilitación de transacciones transfronterizas seguras. Los beneficios potenciales se cuantificaron en términos de tiempo ahorrado en tareas administrativas y reducción de procesos manuales.

Los resultados de la consulta pusieron de manifiesto la necesidad de un enfoque armonizado en la identidad empresarial, la representación (poderes) y el cumplimiento normativo. Las recomendaciones incluían la necesidad de neutralidad tecnológica, asegurando que las carteras sean tecnológicamente neutrales, flexibles y «a prueba de futuro», basándose en estándares y protocolos armonizados. La interoperabilidad es fundamental, ya que las carteras estarán integradas con marcos existentes, como la EU Digital Identity Wallet (Cartera IDUE), para garantizar operaciones transfronterizas sin interrupciones. Las carteras deberían basarse en modelos sostenibles y orientados al mercado, con directrices claras y apoyo a la adopción. Debe prestarse especial atención a las pymes, teniendo en cuenta sus desafíos en la adopción de herramientas digitales y la necesidad de casos de uso claros y accionables.

La estrategia de consulta con las partes interesadas proporcionó valiosos puntos de vista sobre las necesidades, desafíos y expectativas de los operadores económicos y organismos del sector público respecto a las carteras europeas de empresas. Las conclusiones favorecían el desarrollo de la nueva normativa, asegurando que responda a las necesidades específicas de los usuarios profesionales cumpliendo varias expectativas: ser tecnológicamente neutrales y a prueba de futuro; permitir la recuperación segura de datos de registros empresariales y otras fuentes auténticas, garantizando la interacción rastreable; permitiendo un modelo orientado al mercado y, finalmente, haciendo obligatoria la aceptación de las «Business Wallets» para los organismos públicos para garantizar una adopción coherente y eficaz en toda la UE.

La iniciativa también se basa en la amplia consulta pública realizada en 2021 en el contexto de la revisión del Reglamento eIDAS, que recopiló amplios comentarios sobre identidad digital y servicios de confianza. Los resultados de esa consulta siguen siendo válidos para comprender las expectativas de los usuarios en cuanto a interoperabilidad, seguridad jurídica, usabilidad transfronteriza y confianza. Por lo tanto, no se acometió ninguna consulta pública abierta en este sentido.

• Recogida y uso de experiencia

Para preparar esta iniciativa regulatoria, la Comisión recurrió a la experiencia externa. Más allá de los intercambios regulares con expertos de los Estados miembros, registros empresariales y representantes del sector, la Comisión contrató a consultoras especializadas para apoyar la recopilación y análisis de pruebas. Estas consultoras realizaron entrevistas y encuestas específicas con las partes interesadas, recopilaron retroalimentación cualitativa y cuantitativa, y realizaron un análisis coste/beneficio para el «Documento de Trabajo del Personal». Su trabajo se complementó con la experiencia interna de la Comisión.

• Documento de trabajo del personal

Para esta propuesta se concedió una eximente a la evaluación de impacto, ya que los «European Business Wallets» se basan directamente en la elección política ya evaluada en 2021 para el Marco Europeo de Identidad Digital y la adaptan al contexto y necesidades específicas de los operadores económicos y organismos del sector público. Por tanto, la propuesta sigue la opción preferida de 2021, es decir, el establecimiento de un marco de cartera armonizado con efecto legal a nivel de toda la Unión, personalizándolo a las interacciones profesionales. Sin embargo, se preparó un «Documento de Trabajo del Personal» que analizaba en detalle los costes y beneficios esperados de la propuesta. El documento proporciona la lógica de intervención (problemas, factores de impulso y objetivos), describe la opción política y cuantifica los impactos económicos tanto para organismos públicos como para operadores económicos basándose en investigaciones de métodos mixtos, incluyendo análisis cuantitativo y cualitativo de fuentes públicas, datos de encuestas y datos de entrevistas combinados con fuentes secundarias (los detalles completos sobre la metodología se proporcionan en el Documento de Trabajo del Personal).

Para cumplir los objetivos de simplificación, reducción de la carga administrativa e interacciones digitales transfronterizas seguras, la iniciativa exige que todos los organismos del sector público de la UE acepten las carteras europeas de empresas en su interacción con los operadores económicos para cumplir con las funcionalidades mínimas básicas (identificación/autenticación; firma/sellado; presentación y recepción de documentos y notificaciones oficiales). que tienen un efecto legal equivalente a los procesos basados en papel o presenciales en toda la UE. El instrumento es neutral tecnológicamente y está orientado al mercado: no prescribe un diseño único, deja espacio para características innovadoras más allá de la capa común y garantiza interoperabilidad con servicios de confianza eIDAS y fuentes auténticas.

Los impactos de la opción política se detallan en el Anexo 3 del Documento de Trabajo del Personal (¿A quien afecta y cómo?). El análisis de costes-beneficio indica que existen costes directos anuales tanto para los operadores económicos como para los organismos del sector público. Se dividen en costes puntuales de formación e incorporación, activación e implementación de TIC, costes de contratación/adquisición, y en costes recurrentes de licencias y mantenimiento. En general, cuando las carteras empresariales alcancen su máximo potencial y la tasa de adopción, tanto para organismos públicos como para operadores económicos, alcance el 100%, los costes y beneficios totales estimados podrían alcanzar las siguientes cifras:

Interesado	Num. en la UE	Año 1 (€ miles de millones)			Año 2 (€ miles de millones)
		Beneficios	Costes	Beneficios netos	Beneficios	Costes	Beneficios netos
Organismos del sector público	95,825	19.13	7.32	11.81	19.13	1.15	17.98
Operadores económicos	32,721,957	205.82	60.67	145.15	205.82	27.23	178.59
Total		224.95	67.99	156.96	224.95	28.38	196.57

Entre las microempresas, los autónomos podrían utilizar sus carteras de identidad digital de la UE para acceder al canal de comunicación recién introducido e interactuar con el ecosistema de la cartera empresarial, sin necesidad de obtener una cartera empresarial completa. Según los precios actuales del mercado en toda la UE, el coste anual recurrente estimado de este servicio rondaría los 45 €, lo que sugiere que estos operadores podrían conectarse al ecosistema a un coste relativamente bajo.

• Encuadre regulatorio y simplificación

Esta propuesta define las Carteras Empresariales Europeas como una herramienta única y armonizada para que los operadores económicos identifiquen, firmen, almacenen, presenten y reciban documentos en sus interacciones con las autoridades públicas. Permitirá reemplazar procedimientos nacionales fragmentados con una solución segura e interoperable, eliminando así la complejidad administrativa y reduciendo los costes de cumplimiento.

Para los organismos del sector público, se agilizan los procesos de informes y verificación, permitiendo una supervisión y un constancia de trámites realizados más eficientes. Para los operadores económicos, en particular las pymes, elimina procedimientos repetitivos y cargas desproporcionadas. Estos últimos son los que más se benefician, ya que están desproporcionadamente afectados por procedimientos burocráticos fragmentados y duplicados. Los beneficios directos se estiman en 4.000 € anuales a nivel individual para las microempresas y 42.250 € al año para las grandes pymes, pero el impacto va más allá del ahorro de costes: los procedimientos transfronterizos simplificados permitirán un despliegue empresarial más rápido en el extranjero, un acceso más fácil a la financiación y una mayor participación en los mercados de contratación. Al garantizar la seguridad jurídica y la aplicación uniforme, la propuesta promueve la libre circulación de bienes y servicios, al mismo tiempo que fomenta la innovación, permitiendo que las características orientadas al mercado prosperen.

•Derechos fundamentales

Aunque esta propuesta legislativa se dirige principalmente a personas jurídicas, apoya indirectamente la protección de varios derechos fundamentales consagrados en la Carta de Derechos Fundamentales de la Unión Europea. Al proporcionar un instrumento armonizado y de confianza para las interacciones empresariales transfronterizas, la iniciativa refuerza la libertad para llevar a cabo un negocio (Artículo 16) al eliminar barreras innecesarias en el Mercado Único. También facilita el ejercicio de la libertad de elegir una ocupación y el derecho a trabajar (Artículo 15), ya que empresas y profesionales pueden expandir sus actividades más fácilmente y a menor coste.

En su papel de «guardianes» de los procedimientos administrativos dentro del Mercado Único, los organismos del sector público podrán ofrecer procedimientos más transparentes y eficientes, reforzando así indirectamente el derecho a una buena administración (artículo 41). Las carteras europeas empresariales también contribuyen a garantizar un alto nivel de protección de los datos personales (Artículo 8) conforme a las leyes vigentes de la UE, en particular el Reglamento (UE) 2016/67. Por ejemplo, la función de divulgación selectiva, inspirada en el Marco Europeo de Identidad Digital, también sirve como medida para la protección de datos personales, ya que los usuarios de las carteras empresariales europeas pueden limitar el tipo y la cantidad de datos comunicados a otros titulares de carteras empresariales europeas y a partes interesadas en una gestión de declaraciones de atributos (partes informadas). . Además, al preparar la implementación del Directorio Digital Europeo, deben considerarse los principios y obligaciones relevantes de protección de datos, como la minimización y la protección de datos tanto por diseño como por defecto.

Finalmente, al aumentar la precisión y fiabilidad de las credenciales empresariales, la propuesta refuerza indirectamente la protección del consumidor (Artículo 38) y contribuye a la confianza general en la dinámica del Mercado Único.

4. IMPLICACIONES PRESUPUESTARIAS

La inclusión de entidades de la Unión Europea tendrá implicaciones financieras, que estarán predominantemente cubiertas por el presupuesto de la UE bajo el Marco Financiero Multianual (FMF) 2028-2034. Estos costes están principalmente asociados a la implementación y uso de las carteras europeas de empresas por parte de las entidades de la Unión y al establecimiento y mantenimiento del Directorio Digital Europeo dentro de la Comisión.

En el ‘estado financiero’ vinculado a esta propuesta se ofrece una visión detallada de los costes implicados.

5. OTROS ELEMENTOS

• Planes de implementación e implementación de supervisión, evaluación e informes

El impacto del Reglamento propuesto será supervisado y evaluado conforme a las Better Regulation Guidelines (Directrices de mejor Regulación), que cubren su implementación y aplicación. El sistema de supervisión constituye una parte importante de la propuesta. La Comisión supervisará su implementación con el fin de generar la información necesaria y relevante que alimente una evaluación futura y proporcione pruebas sólidas para la formulación de políticas. En particular, se evaluarán y supervisarán los siguientes aspectos: 1) reducción de la carga administrativa del cumplimiento normativo y los requisitos de reporte para las empresas mediante beneficios económicos demostrables; 2) mejora en la prestación de servicios públicos y 3) mejora de la competitividad gracias a la introducción de «Business Wallets».

Dado el alcance horizontal de esta regulación y considerando los amplios usos que las «Business Wallets» podrían favorecer en diversos sectores económicos, será importante garantizar una coordinación eficiente y colaborativa de su implementación. Para ello, se establecerá un «cross-Commission interservice group» (grupo interservicios de la Comisión) presidido por DG CONNECT.

Sobre la aplicación del instrumento propuesto, la Comisión Europea y las Autoridades Competentes Nacionales evaluarán también: 1) el desarrollo de un mercado para la identificación digital segura y los servicios de confianza entre operadores económicos y organismos del sector público; 3) fiabilidad y seguridad de las soluciones disponibles y su cumplimiento de todos los requisitos para proporcionar carteras empresariales europeas y 3) adopción de carteras empresariales entre diferentes sectores.

Cuatro años después de la adopción del Reglamento, la Comisión realizará una evaluación para medir la eficacia con la que las carteras empresariales europeas han cumplido sus objetivos. La evaluación se centrará en particular en la usabilidad de las funcionalidades mínimas de las carteras, el nivel de cumplimiento de los proveedores de carteras, el funcionamiento de la supervisión nacional y las sanciones, el rendimiento de los servicios electrónicos de notificaciones certificadas cualificados y el uso de carteras empresariales. Los Estados miembros proporcionarán a la Comisión los datos y evidencias necesarios para esta evaluación (para un análisis en profundidad del aspecto de seguimiento y evaluación, véase el Capítulo 9 de la versión no simplificada del Documento de Trabajo del Personal).

• Explicación detallada de las disposiciones específicas de la propuesta

El Capítulo I establece el tema y el alcance de la propuesta que se aplica a la provisión y aceptación de las carteras empresariales europeas. También establece las definiciones utilizadas a lo largo del instrumento regulatorio. La definición de las carteras empresariales europeas es deliberadamente amplia y tecnológicamente neutral para permitir flexibilidad para diversas soluciones impulsadas por el mercado y futuros desarrollos tecnológicos, una cartera digital que permite a los propietarios almacenar, gestionar y compartir datos de identificación verificados y declaraciones electrónicas de atributos, así como emitir y delegar mandatos y poderes de manera legalmente reconocida.

El Capítulo II establece los componentes clave del marco de las Carteras Empresariales Europeas. Establece el principio de equivalencia jurídica, sirviendo como una disposición que equipara las acciones realizadas a través de una cartera empresarial europea con las realizadas en persona, en papel o por cualquier otro medio o proceso: un elemento esencial para eliminar fricciones administrativas en los intercambios correspondientes. El principio de equivalencia también se aplica al uso del servicio electrónico de notificación certificada cualificada (entrega registrada) por autónomos. En el mismo capítulo, se define un conjunto mínimo e interoperable de funcionalidades centrales, junto con un servicio electrónico de notificaciones cualificado como servicio independiente para los usuarios de Carteras de Identidad Digital Europeas, junto con los requisitos técnicos, ampliados en el Anexo y que se prevé que se complementen mediante actos de implementación. Las disposiciones de este capítulo también abordan quién puede proporcionar carteras europeas de empresas, los requisitos relevantes que deben cumplir dichas personas jurídicas y el proceso que debe seguir una entidad elegible a nivel nacional para ser incluida en la lista de proveedores de confianza. Para garantizar un reconocimiento transfronterizo consistente, la propuesta se basa en los datos de identificación de los propietarios de «European Business Wallets» emitidos como declaraciones electrónicas de atributos por proveedores cualificados de servicios de confianza, organismos públicos nacionales o por la Comisión para las entidades de la Unión Europea. El uso de estas certificaciones garantiza que cada propietario de «Business Wallet» pueda ser identificado de forma fiable a partir de información oficial y verificable. Además, se atribuye un identificador único a cada propietario de «Business Wallet». Cuando se asigna un Identificador Único Europeo conforme a la Directiva de Derecho de Sociedades (UE) 2017/1132 o la Directiva contra el Blanqueo de Capitales, las carteras comerciales utilizarán el Identificador Único Europeo como identificador único. En otros casos, los Estados miembros designan los registros nacionales existentes y los números de registro correspondientes como la fuente auténtica para generar un identificador equivalente. La estructura y las especificaciones técnicas de este identificador, que garantizarán la unicidad e interoperabilidad a nivel de la Unión, se definirán mediante actos de implementación.

Para permitir una comunicación sencilla a través de las carteras empresariales, la propuesta también establece un Directorio Digital Europeo, que será creado y mantenido por la Comisión y permitirá contactar fácilmente a operadores económicos y organismos del sector público, al tiempo que implementará medidas adecuadas para la protección de los datos personales. En este sentido, la Comisión establecerá normas, especificaciones técnicas y las categorías de información que deberán comunicarse a la Comisión del Directorio mediante actos de ejecución.

El Capítulo II también establece el mecanismo de gobernanza y supervisión. Para minimizar la fragmentación y aprovechar la experiencia existente, la propuesta nombra a los órganos supervisores eIDAS existentes como autoridades supervisoras en cada Estado Miembro para los proveedores de «Business Wallets» establecidos en los respectivos territorios. Estas autoridades también ayudan a los proveedores de carteras empresariales a acceder a la información necesaria para la emisión de datos de identificación de propietarios por parte de los emisores basados en la información disponible de fuentes auténticas, cooperan estrechamente con las autoridades competentes para proveedores de servicios de confianza cualificados y notifican a la Comisión sobre los registros nacionales que poseen datos sobre operadores económicos y organismos del sector público. En este sentido, el Reglamento contempla el rol y las funciones de dichas autoridades. Dado el equilibrio institucional de los Tratados, las instituciones, organismos y agencias de la UE (entidad de la Unión) no están sujetos a la supervisión de los Estados miembros. La propuesta prevé, en cambio, un sistema de supervisión a nivel de la Unión Europea sometido a la Comisión.

En el Capítulo III se establecen las obligaciones impuestas a los organismos del sector público. Estas disposiciones garantizan que los organismos del sector público permitan a los operadores económicos utilizar las carteras europeas de empresas para identificar, autenticar, firmar o sellar, presentar documentos y enviar o recibir notificaciones en procedimientos administrativos o de reporte. Para el intercambio de documentos y notificaciones, los organismos públicos deben poseer ellos mismos una cartera europea de negocios y utilizar el canal de comunicación seguro. Las obligaciones deben cumplirse en plazos establecidos. Los organismos del sector público también pueden reconocer el uso de las carteras europeas de empresas y el canal de comunicación (para autónomos) como el único medio para presentar documentos electrónicos y declaraciones de atributos cuando sea necesario por la legislación de la Unión. La Comisión revisará estas obligaciones y su alcance a lo largo del tiempo.

El Capítulo IV establece la dimensión internacional del marco europeo de la cartera empresarial, estableciendo la posibilidad de reconocer sistemas desarrollados en terceros países que ofrezcan funcionalidades equivalentes a la propuesta cuando las condiciones relevantes garantizan un nivel comparable de confianza, seguridad e interoperabilidad. Este enfoque permite a la UE facilitar intercambios globales de confianza con socios no comunitarios, manteniendo al mismo tiempo los altos estándares de la Unión en materia de identidad digital, autenticación e integridad de los datos.

El capítulo V contiene las disposiciones horizontales y de cierre. Establece la evaluación y revisión de la propuesta de regulación para valorar la eficacia de su implementación y el funcionamiento del marco de supervisión.

2025/0358 (Código de documento)

La Cartera Europea de Empresas (European Business Wallet)

1 respuesta

La Unión Europea avanza hacia la creación de una cartera digital de empresas (European Business Wallet o EBW) plenamente interoperable en los 27 Estados miembros. Esta herramienta, basada en el marco eIDAS 2.0, permitirá a las personas jurídicas acreditar su identidad, compartir declaraciones de atributos y realizar trámites transfronterizos de forma segura y sin fricciones administrativas.

Una de los últimas noticias sobre el desarrollo del marco normativo asociado a las Carteras de Empresas Europeas ha sido la publicación de la Propuesta COM(2025) 838 (Proposal for a Regularion of the European Parliament and of the Council on the establishment of European Business Wallets) publicada el 19 de noviembre de 2025.

La publicación de esta propuesta de normativa tiene especial interés considerando los dos grandes proyectos piloto lanzados este año —We Build y Aptitude— .

La Comisión Europea también ha presentado un resumen de lo que implicará la nueva cartera empresarial.

Los principales elementos del borrador son:

Obligación de los Estados miembros de reconocer las EBW como medio de identificación electrónica de personas jurídicas y sus representantes (art. 6).
Interoperabilidad obligatoria con la European Digital Identity Wallet (EUDI Wallet, Cartera IDUE) para personas físicas (definida en el Reglamento EU 2024/1183, EIDAS2).
Plazo de transposición: 24 meses desde la entrada en vigor (previsiblemente 2027-2028).
Certificación europea obligatoria de los proveedores de carteras (nivel de garantía alto o sustancial según eIDAS 2.0).
Uso obligatorio en procedimientos transfronterizos regulados (contratación pública, notificaciones oficiales, registros mercantiles, etc.).

Con esta publicación el texto está oficialmente en tramitación ordinaria en el Parlamento Europeo y el Consejo.

Hasta ahora, la relevancia de las Business Wallets venía marcada por los nuevos proyectos pilot de la Unión Europea We Build y Aptitude.

Consorcio «We Build» (Wallet Ecosystem Building)

Inicio: enero de 2025
Presupuesto: 25 millones € (programa Digital Europe)
198 socios de 24 países (13 registros mercantiles, 20 proveedores de wallets, 30 qualified trust service providers)
Casos de uso principales:
- Constitución transfronteriza de sociedades
- Licitaciones públicas electrónicas
- Verificación KYB (Know Your Business) y cumplimiento normativo
- Pagos tokenizados con identidad empresarial vinculada

Página oficial del consorcio: https://www.webuildconsortium.eu/

Consorcio «Aptitude» (Advanced Pilots for Travel & Identity)

Inicio: 1 de octubre de 2025
Presupuesto: 22 millones €
112 socios de 15 Estados miembros + Ucrania (asociado)
Enfoque: movilidad corporativa, transporte, banca y credenciales sectoriales
Casos de uso destacados:
- Credenciales digitales de vehículos y permisos de transporte
- Identidad empresarial para pagos SEPA instantáneos
- Acceso transfronterizo a servicios de movilidad compartida

Sitio web: https://aptitude.digital-identity-wallet.eu/our-consortium/

Próximos hitos

Fecha prevista	Hito
Q1 2026	Adopción del Reglamento EBW
Q3 2026	Publicación de los actos delegados e implementadores
2027	Obligatoriedad para administraciones públicas en procedimientos transfronterizos
2028	Obligatoriedad para sectores regulados (banca, contratación pública)

La combinación del marco normativo ya en tramitación y los dos grandes pilotos en marcha en 2025 confiere a la cartera europea de empresas un notable grado de madurez.

Webinar: Certificados TLS de 47 días, era post-cuántica y cripto-agilidad

Deja un comentario

Sectigo y Camerfirma de forma conjunta, organizaron ayer, 20/11/2025 un webinar para divulgar la evolución de la duración de los certificados de sitio web (TLS) hasta 47 días (con pasos intermedios de reducción de la duración de este tipo de certificados), y los retos de la computación cuántica que requieren soluciones técnicas (especialmente criptográficas) post-cuánticas y la adopción del concepto de criptoagilidad.

Es muy satisfactorio comprobar este alineamiento de mensajes en el sector de los prestadores de servicios de certificación, que coinciden con algunas ideas que he compartido recientemente en este blog, con actividades de EADTrust relacionadas:

Y en el Webinar de ayer se volvió a recordar que a partir de marzo de 2026, los certificados TLS reducirán su validez máxima a 200 días, dando inicio a un proceso que culminará en certificados de solo 47 días de validez en 2029. Este cambio impulsará la automatización de la gestión de la seguridad y la forma en que las organizaciones protegen su infraestructura digital. Ya que no se puede tener personal dedicado a generar e instalar cientos de certificados (en algunas organizaciones) básicamente de forma mensual.

Para eso se usan sistemas de automatización centrados en la adopción de protocolo ACME (Automatic Certificate Management Environment) estandarizado en la norma del IETF (RFC 8555).

Temas que se trataron::

Cómo los certificados digitales influyen en la continuidad, reputación y crecimiento del negocio.
El ciclo de vida de los certificados: Por qué la automatización será imprescindible.
Por qué los navegadores impulsan esta reducción.
Cripto-agilidad: Cómo prepararse para los retos de la computación cuantica.

Son mensajes que compartimos otros prestadores de servicios de confianza como EADTrust.

Retos de adecuación a las normas NIS2, CRA, CER y DORA

Deja un comentario

Las empresas enfrentan riesgos de ciberseguridad, que se complementan con un marco regulatorio que obliga a tomar medidas frente a ellos.

Una de las dimensiones de la actividad de las empresas es ahora, por tanto, el cumplimiento normativo del marco regulatorio de la Unión Europea, que exige conocimientos especializados que es difícil tener en nómina y que hace recomendable tener localizados a especialistas que colaboren con la empresa como consultores externos.

Uno de los primeros pasos es navegar por el laberinto regulatorio, en base a normas ya publicadas y en vigor, otras publicadas que entrarán en vigor más adelante, y otras normas anunciadas, pero cuyos principios ya son conocidos.

En un mundo en el que los ciberataques cuestan miles de millones al año, regulaciones como NIS2, CRA, CER y DORA no son solo «buenas prácticas», sino obligaciones que pueden evitar multas de hasta el 2% de la facturación global.

En este artículo se comentan someramente sus similitudes y diferencias para poder entender el panorama completo.

Resumen de las normas citadas:

NIS2 (Directiva (UE) 2022/2555 de Ciberseguridad): Impulsa la ciberseguridad en infraestructuras críticas y servicios digitales esenciales. Aplica a entidades «esenciales» e «importantes» en sectores como energía, transporte, salud e ICT, con énfasis en gestión de riesgos y respuesta a incidentes. Implementación obligatoria desde octubre de 2024. En España existe un Anteproyecto de Ley, ya que la Directiva se tiene que transponer al ordenamiento legal español
CRA (Reglamento (UE) 2024/2847 de Ciberresiliencia): Asegura que productos digitales (software, IoT, hardware conectado) sean seguros «por diseño» durante todo su ciclo de vida. Dirigida a fabricantes, importadores y distribuidores; excluye sectores regulados como dispositivos médicos. Plena aplicación en diciembre de 2027.
CER (Directiva (UE) 2022/2557 de Resiliencia de Entidades Críticas): Protege infraestructuras críticas contra disrupciones amplias (ciber, físicas, operativas). Cubre 11 sectores clave como energía, banca, salud y transporte; las entidades designadas deben cumplir también con NIS2. Identificación de entidades críticas hasta julio de 2026.
DORA (Reglamento (UE) 2022/2554 de Resiliencia Operativa Digital): Enfocada en el sector financiero (bancos, aseguradoras, fintech) y proveedores ICT críticos, para resistir interrupciones digitales. Incluye pruebas de resiliencia y gestión de terceros. Cumplimiento desde enero de 2025. Implica la adecuación de las entidades proveedoras de banca que serán auditadas por las propias entidades financieras.

Estas regulaciones forman un ecosistema complementario, pero su solapamiento puede generar confusión si no se abordan de forma integrada. Todas buscan elevar la resiliencia digital de la UE frente a amenazas crecientes, promoviendo una armonización transfronteriza. Aquí un resumen:

Aspecto	Descripción Común
Objetivo Principal	Mejorar la ciberseguridad y resiliencia operativa contra riesgos digitales y disrupciones.
Enfoque en Riesgos	Obligan a evaluaciones de riesgos, gestión de cadena de suministro/terceros y controles técnicos/organizativos.
Reporte de Incidentes	Requerimiento de notificación rápida (e.g., 24-72 horas) a autoridades nacionales o europeas.
Gobernanza	Responsabilidad de la alta dirección; auditorías regulares y pruebas de vulnerabilidades.
Sanciones	Multas elevadas (hasta 2% de ingresos globales) y medidas correctivas; obligatorias para entidades en cada ámbito.
Complementariedad	Se solapan (e.g., entidades CER deben cumplir NIS2); alineadas con ISO 27001 para ~80% de medidas.

Estas similitudes significan que una empresa en sectores críticos (como finanzas o energía) podría tener que cumplir varias a la vez.

Desde el punto de vista del consultor, una aportación muy valorada es la realización conjunta con la entidad de un «gap analysis» unificado, lo que ahorra tiempo y recursos!Diferencias: Lo que las Distingue (y por qué Necesita Asesoría Personalizada)Las variaciones radican en alcance sectorial, enfoque y plazos, lo que complica el cumplimiento si no se mapea correctamente. Por ejemplo, un fabricante de IoT cae en CRA, pero un banco en DORA + NIS2 + CER.

Aspecto	NIS2	CRA	CER	DORA
Ámbito/Sector	Infraestructuras críticas (energía, salud, ICT); entidades >50 empleados o €10M facturación.	Productos digitales (IoT, software); fabricantes/importadores (excluye médicos/vehículos).	11 sectores críticos (banca, transporte, agua); entidades designadas por Estados.	Sector financiero (bancos, seguros, fintech) + proveedores ICT críticos.
Enfoque Clave	Ciberseguridad en redes/sistemas; cooperación UE.	Seguridad «por diseño» en ciclo de vida del producto; actualizaciones obligatorias.	Resiliencia amplia (ciber + física/operativa); planes de continuidad.	Resiliencia operativa digital; pruebas de estrés y riesgos ICT.
Requisitos Específicos	Auditorías, supply chain, accountability directiva.	Manejo de vulnerabilidades, conformidad (propia o por terceros).	Estrategias nacionales, evaluaciones cada 4 años, respuesta a incidentes.	Framework ICT, testing avanzado, gestión proveedores estricta.
Plazos de Cumplimiento	Octubre 2024 (ya en vigor en muchos países).	Diciembre 2027 (reportes desde 2026).	Octubre 2024; identificación hasta 2026.	Enero 2025.
Impacto Principal	Amplio para servicios digitales; ~80% overlap con ISO 27001.	Mercado: productos no conformes no se venden en UE.	Físico-digital: cubre riesgos no cibernéticos.	Financiero: fines hasta €5M para proveedores ICT.

Como se puede apreciar, NIS2 y CER son «hermanas» en infraestructuras (CER es más amplia en riesgos), mientras CRA está «centrada en producto» y DORA tiene clara orientación «financiera».

Hay diferencias en plazos (e.g., NIS2 ya obliga hoy, aunque no esté aprobado el anteproyecto de ley) por lo que es conveniente realizar una evaluación de impacto lo antes posible, teniendo en cuenta las diferentes normas y las peculiaridades de cada empresa.

Planificar la preparación de la empresa a todos estos cambios regulatorios de forma agrupada ayuda a optimizar esfuerzos y a dar un tratamiento unificado, sobre todo al asignar recursos humanos para su gestión, lo que supone ahorro de costes.

Puede contactar con EADtrust si necesita valorar el impacto de la normativa en su empresa y en su industria. Nuestra división de Servicios Profesionales es especialista en Ciberseguridad y ha contribuido a que la propia EADTrust esté certificada en la exigente normativa EIDAS y en diferentes normativas de seguridad certificables : ENS, ISO 27001, ISO 20000-1,…

Es posible ahorrar un 30-50% en costes al integrar el compliance (con un roadmap que cubra NIS2 + DORA en 6 meses). Recuerde que aunque DORA se orienta a entidades financieras, afecta a todos su proveedores.

Si su empresa pertenece a sectores regulados —ya sea fabricando dispositivos, operando infraestructuras o gestionando finanzas— conviene no esperar para pasar a la acción.

iContáctennos llamando al 917160555 para tener un primer diagnóstico del posible impacto regulatorio! Nuestros especialistas pueden ayudarle a transformar obligaciones en oportunidades de innovación segura.

Pioneros de la física cuántica al cómputo cuántico

Deja un comentario

Al principio de la formación organizada por EADTrust sobre computación cuántica y criptoagilidad se hace un ejercicio para situar cronológicamente figuras claves del desarrollo de la física cuántica y presentar el debate entre expertos al que dieron lugar estos pioneros. Aquí presento una breve reseña de algunos de los físicos precursores de esta ciencia que tiene algo «mágica»:

Max Planck (1858–1947): Introdujo el concepto de cuantización de la energía en 1900 al resolver el problema de la radiación del cuerpo negro, proponiendo que la energía se emite en paquetes discretos llamados «cuantos». Esto sentó las bases de la mecánica cuántica.
Arnold Sommerfeld (1868-1951): A veces llamado «el maestro de la cuántica». Aunque su modelo atómico fue superado, fue el mentor directo de Heisenberg, Pauli, Debye y Bethe. Introdujo el segundo número cuántico (azimutal) y la constante de estructura fina. Es el gran «padrino» que conecta a la generación anterior (Planck/Einstein) con la joven (Heisenberg/Pauli).
Albert Einstein (1879–1955): En 1905, explicó el efecto fotoeléctrico postulando que la luz se comporta como partículas (fotones) con energía cuantizada, lo que le valió el Nobel en 1921. También criticó aspectos de la interpretación cuántica (paradoja EPR en 1935), impulsando debates sobre la completitud de la teoría.
Niels Bohr (1885–1962): Desarrolló el modelo atómico cuántico en 1913, incorporando cuantos de energía para explicar los espectros atómicos. Fundador de la interpretación de Copenhague, enfatizó el principio de complementariedad (onda-partícula) y mentorizó a generaciones de físicos cuánticos.
Louis de Broglie (1892–1987): En 1924, propuso la dualidad onda-partícula para la materia (hipótesis de De Broglie), sugiriendo que las partículas como electrones tienen propiedades ondulatorias, verificado experimentalmente y base para la mecánica ondulatoria.
Satyendra Nath Bose (1894-1974): Su trabajo dio pie a la estadística de Bose-Einstein y al concepto de «bosón». Sin él, la mitad de las partículas del universo (los bosones, portadores de fuerza) no tendrían nombre. Einstein expandió su trabajo, pero la chispa fue de Bose.
Werner Heisenberg (1901–1976): Formuló la mecánica matricial en 1925 y el principio de incertidumbre en 1927, que establece límites fundamentales al conocimiento simultáneo de posición y momento. Pionero de la mecánica cuántica no conmutativa.
Erwin Schrödinger (1887–1961): Desarrolló la mecánica ondulatoria en 1926 con su ecuación de onda (ecuación de Schrödinger), equivalente a la de Heisenberg, describiendo la evolución temporal de sistemas cuánticos. Introdujo el famoso «gato de Schrödinger» para ilustrar superposiciones.
Max Born (1882–1970): Interpretó la función de onda de Schrödinger como una densidad de probabilidad en 1926, fundamentando la interpretación probabilística de la cuántica. Colaboró con Heisenberg en la mecánica matricial y ganó el Nobel en 1954.
Wolfgang Pauli (1900–1958): Enunció el principio de exclusión en 1925, explicando la estructura electrónica de los átomos y la tabla periódica. Predijo el neutrino en 1930 y contribuyó a la teoría cuántica de campos con el teorema de espín-estadística.
Paul Dirac (1902–1984): Formuló la ecuación relativista del electrón en 1928 (ecuación de Dirac), prediciendo la antimateria (positrones, confirmados en 1932). Unificó cuántica y relatividad especial, y desarrolló la notación de bra-ket en mecánica cuántica.
John von Neumann (1903–1957): Matemático húngaro-estadounidense que estableció las bases matemáticas rigurosas de la mecánica cuántica en 1932, formalizando la teoría con espacios de Hilbert y operadores lineales. Introdujo la matriz densidad para estados mixtos y demostró la imposibilidad de variables ocultas deterministas. Su trabajo fue fundamental para la teoría de la medición cuántica y la información cuántica posterior.
Eugene Wigner (1902–1995): Físico húngaro-estadounidense que aplicó la teoría de grupos y simetrías a la mecánica cuántica, demostrando cómo las leyes de conservación derivan de simetrías fundamentales. Contribuyó a la teoría de reacciones nucleares y planteó la paradoja del «amigo de Wigner» sobre el rol del observador en la medición cuántica. Nobel en 1963.
Enrico Fermi (1901–1954): Contribuyó a la teoría cuántica de la radiación y la desintegración beta (interacción débil) en los años 1930. Desarrolló la estadística de Fermi-Dirac para partículas con espín semientero, clave en física de partículas y condensados.
Ettore Majorana (1906–1938?): Físico teórico italiano, miembro del grupo de Fermi en Roma. En 1937 propuso los fermiones de Majorana (partículas neutras que son su propia antipartícula), idea que anticipó propiedades del neutrino y hoy es clave en computación cuántica topológica. Su ecuación describe partículas relativistas sin masa y contribuyó a fuerzas nucleares de intercambio. Desaparecido misteriosamente en 1938 a los 31 años, sus ideas inspiran los qubits más estables del futuro.
Richard Feynman (1918–1988): Propuso la integral de caminos en 1948 como formulación alternativa de la mecánica cuántica, y desarrolló los diagramas de Feynman para electrodinámica cuántica (QED) en los 1940-1950, renormalizando la teoría. Nobel en 1965. En 1982: propuso usar sistemas cuánticos para simular otros sistemas cuánticos de manera eficiente, idea seminal que inspiró directamente la computación cuántica práctica.
Roy Glauber (1925–2018): Fundador de la óptica cuántica moderna con su teoría de coherencia cuántica de 1963. Introdujo los estados coherentes que describen matemáticamente el láser en términos cuánticos, esenciales para información y comunicación cuántica con fotones. Nobel en 2005 por su contribución a la teoría cuántica de la coherencia óptica.
Murray Gell-Mann (1929–2019): Propuso el modelo de quarks en 1964, revolucionando la física de partículas al identificar las partículas fundamentales que componen protones y neutrones. Desarrolló la cromodinámica cuántica (QCD) que describe la fuerza nuclear fuerte. Nobel en 1969 por sus contribuciones a la clasificación de partículas elementales mediante el «camino óctuple».
John Bell (1928–1990): Demostró las desigualdades de Bell en 1964, probando experimentalmente la no localidad cuántica y refutando variables ocultas locales, impulsando tests de la mecánica cuántica vs. teorías clásicas.
Alain Aspect (1947-): Físico experimental, de nacionalidad francesa, laureado con el Premio Nobel de Física en 2022 junto con Anton Zeilinger y John Clauser por sus experimentaciones con fotones entrelazados. Aspect realizó experimentos que confirmaron el teorema de Bell.

Cabría citar también a

Pascual Jordan (coautor con Born y Heisenberg de la mecánica matricial).
Wolfgang Heitler, Paul Ehrenfest (formaron y consolidaron junto con Arnold Sommerfeld la primera generación cuántica).
Julian Schwinger y Sin-Itiro Tomonaga (pioneros de la QED junto a Feynman).

En la lista de físicos merece la pena relacionar a los que con sus investigaciones han supuesto avances en la computación cuántica:

Paul Benioff (1930-2022): En 1980 demostró que una computadora clásica teórica (Máquina de Turing) podía describirse mecánicamente de forma cuántica sin disipar energía. A menudo se le atribuye el primer modelo teórico reconocible de un ordenador cuántico, incluso antes de la famosa charla de Feynman de 1981.
Yuri Manin (1937-2023): En su libro Computable and Uncomputable (1980), expresó la idea de la simulación cuántica casi al mismo tiempo que Feynman. Es interesante para mostrar que la idea estaba «en el aire» en la comunidad matemática soviética y occidental simultáneamente.
Stephen Wiesner (1942-2021): Es el «padre intelectual» de Bennett y Brassard (BB84). En los 60 (aunque publicado en los 80) inventó la «codificación conjugada», que es la base directa de la criptografía cuántica y del dinero cuántico. Bennett y Brassard se basaron explícitamente en sus ideas para crear el protocolo BB84.
Rainer Blatt (1952–): Líder mundial en computación cuántica con iones atrapados, director del instituto en Innsbruck. Ha logrado récords de fidelidad en puertas cuánticas (>99.9%) y demostró los primeros algoritmos cuánticos con iones. Sus técnicas son estándar en empresas como Alpine Quantum Technologies (AQT).
David Deutsch (1953–): Considerado el «padre de la computación cuántica». En 1985, propuso el modelo universal de computadora cuántica (basado en qubits y puertas cuánticas), demostrando que puede simular cualquier proceso físico con eficiencia superior a las computadoras clásicas. Fundamentó la ventaja cuántica teórica.
Peter Shor (1959–): En 1994, desarrolló el algoritmo de Shor, que factoriza números enteros grandes en tiempo polinomial en una computadora cuántica, rompiendo criptosistemas como RSA. Esto impulsó la inversión global en hardware cuántico y la criptografía post-cuántica.
Seth Lloyd (1960–): Profesor en MIT, propuso en los años 1990 modelos de computadores cuánticos universales basados en interacciones locales. Pionero en algoritmos cuánticos para simulación de sistemas químicos y físicos, demostrando ventajas exponenciales. Desarrolló protocolos de comunicación cuántica y contribuyó a la termodinámica cuántica
Lov Grover (1961–): Creó el algoritmo de Grover en 1996, que ofrece aceleración cuadrática en búsquedas no estructuradas (de (O(N)) a O(N)O(\sqrt{N})O(\sqrt{N})). Aplicado en optimización, machine learning cuántico y bases de datos.
Charles Bennett (1943–): Además de co-inventar con Charles Bennett el protocolo BB84 para criptografía cuántica (distribución segura de claves usando polarización de fotones)., lideró en 1993 el descubrimiento teórico de la teleportación cuántica, demostrando que estados cuánticos pueden transferirse usando entrelazamiento sin violar la no-clonación. IBM Fellow, sus trabajos en teoría de información cuántica sentaron bases conceptuales del campo desde los años 1970.
Gilles Brassard (1955–): Nacido en Montreal, Brassard es un científico de la computación y matemático. Obtuvo su doctorado en la Universidad de Cornell y ha sido profesor en la Université de Montréal durante décadas. Mientras Bennett aportaba la intuición física, Brassard aportaba el rigor de la criptografía y la teoría de la complejidad. Ambos son fundadores de la información cuántica, demostraron que la mecánica cuántica habilita comunicación incondicionalmente segura.
Artur Ekert (1961–): Propuso en 1991 la criptografía cuántica basada en entrelazamiento (protocolo E91), usando violaciones de desigualdades de Bell para detectar espionaje. Amplió el campo más allá de la polarización a estados entrelazados.
Juan Ignacio Cirac (1965–) y Peter Zoller (1952–): En 1995, diseñaron el modelo teórico de computación cuántica con iones atrapados (puertas lógicas usando vibraciones y láseres). Base para los procesadores cuánticos de iones de empresas como IonQ y Honeywell.
David Wineland (1944–): Experimentalista que en 2012 ganó el Nobel por manipulación individual de iones para computación cuántica. Demostró puertas cuánticas de alta fidelidad y teletransportación cuántica (2004), pionero en hardware cuántico práctico.
Michel Devoret (1953–) y Robert Schoelkopf (1964–): Pioneros en superconductividad cuántica. Desarrollaron circuitos superconductores (qubits transmon) en los 2000, base de los procesadores de IBM Quantum y Google. Lograron coherencia prolongada y corrección de errores.
John Preskill (1953–): Acuñó el término «supremacía cuántica» en 2012. Líder en teoría de corrección de errores cuánticos y simulaciones cuánticas. En 2019, Google citó su definición al lograr supremacía con Sycamore (53 qubits).
Umesh Vazirani (1959–) y Scott Aaronson (1981–): Teóricos en complejidad computacional cuántica. Vazirani contribuyó a algoritmos y criptografía; Aaronson formalizó clases como BQP y demostró límites de la computación cuántica (e.g., no resuelve NP-completo).
Edward Witten (1951–): sus trabajos en teoría de cuerdas y dualidades (especialmente AdS/CFT junto a Maldacena) son hoy herramientas clave para códigos de corrección de errores topológicos y límites fundamentales de la computación cuántica. Único físico con Medalla Fields (1990).
Seth Lloyd (1960–): Profesor en MIT, propuso en los años 1990 modelos de computadores cuánticos universales basados en interacciones locales. Pionero en algoritmos cuánticos para simulación de sistemas químicos y físicos, demostrando ventajas exponenciales. Desarrolló protocolos de comunicación cuántica y contribuyó a la termodinámica cuántica.
Alexei Kitaev (1963–): Físico ruso-estadounidense, pionero de la computación cuántica topológica. En 1997 propuso códigos topológicos de corrección de errores resistentes a perturbaciones locales y desarrolló la teoría de anyones no abelianos como qubits protegidos. Sus ideas inspiran el proyecto de Microsoft con fermiones de Majorana.
Hartmut Neven (1964–): fundador y director de Google Quantum AI desde 2006. Lideró los experimentos Sycamore (2019, primera supremacía cuántica) y Willow (2024–2025), el procesador de 105 qubits con corrección de errores activa. Google Quantum AI es hoy el laboratorio corporativo más avanzado en superconductores.
Michelle Simmons (1967–): líder mundial en computación cuántica de silicio atómico. Directora de CQC²T (Australia) y fundadora de Silicon Quantum Computing. Su equipo coloca átomos de fósforo individuales con precisión atómica y en 2023–2025 logró qubits con coherencia récord (>30 s) y fidelidad >99,9 %. Ruta más prometedora para chips cuánticos compatibles con fábricas actuales.
Christopher Monroe (1965–): cofundador y chief scientist de IonQ (la empresa de iones atrapados más valuada). Ex-perimentador de NIST, logró en 2023–2025 los primeros algoritmos útiles con corrección de errores en iones y sistemas de hasta 56 qubits físicos con alta conectividad.
Juan Maldacena (1968–): propuso en 1997 la correspondencia AdS/CFT, la idea más citada de la física teórica del siglo XXI. Desde 2015 se usa para simular sistemas cuánticos complejos, diseñar códigos holográficos y estudiar caos y complejidad cuántica.
Daniel Gottesman (1971–): Desarrolló en 1996 el formalismo de códigos estabilizadores, base matemática para la corrección de errores cuánticos moderna. Unificó familias como códigos de superficie, permitiendo corrección eficiente mediante mediciones. Su trabajo es fundamental en todas las plataformas con corrección de errores activa.
Krysta Svore (1976–): directora de Quantum Systems en Microsoft. Lidera el proyecto de computación cuántica topológica basada en fermiones de Majorana. En 2024–2025 Microsoft presentó los primeros qubits topológicos estables y un “logical qubit” con tasa de error 1000 veces menor que los físicos. Ruta que promete millones de qubits con mínima sobrecarga.
Rebecca Krauthamer (1991-): fundadora y CPO de QuSecure, líder mundial en criptografía post-cuántica empresarial. Forbes 30 Under 30, miembro del WEF Global Future Council on Quantum Computing. Acelera la adopción real de soluciones híbridas cuántico-clásicas en finanzas, defensa y salud.

Este año 2025 de ha otorgado el Premio Nobel de Física a tres pioneros de la física cuántica aplicada y precursores de la computación cuántica: John Clarke (UC Berkeley), Michel H. Devoret (Yale/Google) y John M. Martinis (UC Santa Barbara). Estos físicos han sido galardonados con el Premio Nobel de Física 2025 “por el descubrimiento del túnel mecánico cuántico macroscópico y la cuantización de la energía en un circuito eléctrico”. El anuncio se realizó el 7 de octubre de 2025 por la Real Academia Sueca de Ciencias.

Durante los años 80, el equipo demostró que circuitos superconductores del tamaño de un chip (uniones Josephson) pueden comportarse cuánticamente como una sola entidad física:

Túnel cuántico macroscópico: observaron que la “carga colectiva” del circuito puede atravesar una barrera aislante sin suficiente energía clásica, validando el efecto túnel a escala visible.
Cuantización de la energía: mostraron que el circuito solo absorbe o emite energía en niveles discretos (cuantos), igual que un átomo; de facto, un “átomo artificial” fabricado en el laboratorio.

Este resultado resolvió una pregunta histórica: los sistemas macroscópicos también pueden presentar fenómenos cuánticos, si se diseñan y aíslan adecuadamente.

Este premio sigue al Premio de Física 2024 otorgado a Geoffrey Hinton y John Hopfield por su trabajo en redes neuronales y aprendizaje autónomo.

Todavía quedan retos importantes para el desarrollo de la computación cuántica, por lo que veremos que la lista se amplía con nuevos investigadores. Algunas de las líneas de trabajo identificadas son:

Decoherencia Cuántica y Estabilidad de Qubits
Uno de los desafíos más persistentes es la decoherencia, donde los qubits —las unidades básicas de información cuántica— pierden su estado superpuesto o entrelazado debido a interacciones mínimas con el entorno, como vibraciones, cambios de temperatura o ruido electromagnético. Esto ocurre en milisegundos o menos, limitando la duración de los cálculos cuánticos. En 2025, los sistemas NISQ (Noisy Intermediate-Scale Quantum) operan con 50-1.000 qubits, pero la coherencia promedio es de solo microsegundos, lo que hace imposible ejecutar algoritmos complejos sin errores masivos.
Impacto: Requiere entornos ultrafríos (cerca del cero absoluto) y aislamiento perfecto, lo que complica el diseño de hardware. Empresas como IBM y Google están experimentando con qubits superconductoros y de iones atrapados para extender la coherencia, pero el progreso es gradual.
Progreso reciente: En noviembre de 2025, un equipo de Harvard-MIT demostró corrección de errores mediante «teleportación cuántica», transfiriendo estados cuánticos sin contacto físico, un paso hacia arquitecturas escalables.
Corrección de Errores Cuánticos
La corrección de errores es un cuello de botella crítico, ya que los qubits son inherentemente ruidosos y propensos a fallos (tasas de error del 0,1-1% por operación). A diferencia de los bits clásicos, que se corrigen fácilmente con redundancia simple, los qubits requieren códigos complejos como el Surface Code, que demandan miles de qubits físicos para simular un solo qubit lógico estable.
En 2025, el umbral de corrección (donde los errores se reducen al escalar) se ha alcanzado en prototipos como Willow de Google, pero implementar esto a gran escala sigue siendo un «desafío de tres décadas».
Impacto: Sin corrección robusta, los computadores cuánticos solo sirven para demostraciones, no para aplicaciones prácticas. Esto limita su utilidad en simulaciones químicas o optimización.
Progreso reciente: PsiQuantum planea un computador de 1 millón de qubits fotónicos con corrección integrada para 2025, aunque expertos dudan de su viabilidad inmediata.
Escalabilidad y Fabricación de Hardware
Escalar de cientos a millones de qubits es un reto exponencial: cada qubit adicional aumenta la complejidad de interconexiones, control y refrigeración. Los qubits actuales son «escasamente conectados», lo que dificulta circuitos profundos con múltiples puertas cuánticas.
En 2025, IBM apunta a 4.000 qubits para un «supercomputador cuántico-centrado», pero la integración de componentes con tasas de error variables (ruido, defectos en materiales) sigue siendo un obstáculo.
Impacto: La diversidad de tecnologías (superconductores de Google/IBM, iones atrapados de IonQ, átomos neutros de QuEra) fragmenta el ecosistema, complicando la estandarización.
Progreso reciente: Avances en qubits «cat» (Alice & Bob) y fotónicos (Xanadu) prometen mayor estabilidad, pero la fabricación precisa y la minimización de defectos requieren innovaciones en materiales.
Implicaciones en Criptografía y Seguridad
La computación cuántica amenaza algoritmos clásicos como RSA y ECC mediante algoritmos como el de Shor, que podrían descifrar claves en minutos. Esto genera el riesgo de «harvest now, decrypt later» (cosecha datos ahora para descifrarlos después).
En 2025, el NIST ha lanzado estándares post-cuánticos (PQC) adicionales en marzo, pero la transición a criptografía «crypto-ágil» requiere años para organizaciones grandes.
Impacto: Es la preocupación más urgente para industrias como finanzas y gobiernos, requiriendo mapeo de inventarios criptográficos y actualizaciones de protocolos.
Progreso reciente: Bain destaca que el PQC se integra en stacks IT, pero el 70% de las empresas no tienen planes de adopción.
Desarrollo de Algoritmos y Software
Aunque el hardware avanza, faltan algoritmos maduros para casos prácticos más allá de demostraciones. La madurez algorítmica es clave para aplicaciones en IA, simulación y optimización, pero requiere avances en software cuántico.
En 2025, lenguajes como Q# (Microsoft) y compiladores adaptados existen, pero la depuración y el formateo de datos para QPUs (Quantum Processing Units) son complejos.
Impacto: La experimentación toma 6-9 meses por caso de uso, retrasando la adopción empresarial.
Progreso reciente: Avances en algoritmos para simulación molecular (McKinsey), pero la integración híbrida (cuántico-clásico) es esencial.
Talentos, Costos y Adopción Empresarial
La demanda de talento cuántico es aguda: se necesitan expertos en física, ingeniería y software, pero la formación es limitada. Los costos son prohibitivos —hardware, cadenas de suministro y mantenimiento superan millones por sistema— y la adopción comercial depende de equilibrar inversión y madurez.
En 2025, ela financiación del estado impulsa el crecimiento, pero la demanda comercial es baja, enfocada en inteligencia competitiva.
Impacto: Pequeñas empresas no pueden competir; la armonización de tecnologías diversas (CPU/GPU/QPU) es un reto ecosistémico.
Progreso reciente: Iniciativas como las de la UE y EE.UU. invierten en educación, pero McKinsey prevé brechas hasta 2030.

Aunque 2025 marca un año de hitos —como roadmaps de IBM hacia 2033 y avances en corrección de errores—, los retos técnicos como decoherencia y escalabilidad dominan, junto con barreras prácticas en seguridad y adopción.

ARF 2.7.2 Arquitectura y Marco de Referencia de la cartera IDUE

Deja un comentario

Hace pocos días se ha publicado la versión 2.7.2 del documento «ARF Architecture and Reference Framework» de la EUDI Wallet por lo que traigo aquí su traducción al español en línea con otras traducciones del ARF que he ido produciendo.

ARF-Español-Arquitectura-y-marco-de-referencia-V2-7-2-ES Descarga

La Cartera IDUE (Cartera de Identidad Digital de la Unión Europea, por sus siglas en español, o European Digital Identity Wallet en inglés, conocida como EUDI Wallet) es una solución digital desarrollada en el marco del Reglamento eIDAS 2.0 de la Unión Europea. Su objetivo principal es permitir a los ciudadanos europeos gestionar de forma segura y privada sus credenciales asociadas a la identidad digital (declaraciones de atributos), como documentos electrónicos (DNI digital, pasaportes, diplomas o certificados), en un dispositivo móvil o similar. Esto facilita transacciones transfronterizas, como abrir una cuenta bancaria en otro país o acceder a servicios públicos, sin necesidad de documentos físicos. La Cartera IDUE se basa en principios de identidad centrada en el usuario, que impulsan un enfoque en el que el usuario controla sus datos y decide qué compartir, garantizando privacidad y seguridad mediante estándares comunes.

El «Architecture and Reference Framework» (ARF), o Marco de Arquitectura y Referencia en español, es un documento técnico clave que define la estructura, componentes y especificaciones para el ecosistema de la Cartera IDUE.

Fue impulsado por la Recomendación de la Comisión Europea de junio de 2021 (COMMISSION RECOMMENDATION (EU) 2021/946), que insta a los Estados miembros a colaborar en una «caja de herramientas» común para la identidad digital europea.

El ARF actúa como guía para el desarrollo de implementaciones interoperables, asegurando que las Carteras IDUE funcionen de manera uniforme en toda la UE, independientemente del país.

El propósito principal del ARF es:

Explicar la arquitectura del ecosistema: Describe cómo interactúan los componentes de la Cartera IDUE para garantizar la seguridad, privacidad y usabilidad. Incluye diagramas, flujos de datos y requisitos de alto nivel.
Servir como referencia técnica: Proporciona estándares comunes, especificaciones técnicas y mejores prácticas para que los proveedores (como Estados miembros o entidades privadas) desarrollen soluciones compatibles. No es un reglamento vinculante, pero se usa para actualizar actos de ejecución del Reglamento eIDAS 2.0.
Apoyar el desarrollo y pruebas: Facilita la creación de una implementación de referencia (open-source en GitHub) y pilots nacionales/transfronterizos por parte de los Proveedores de Servicios de Cartera («Large Scale Pilots» o LSP).

El ARF detalla un ecosistema modular con los siguientes elementos principales:

Componente	Descripción	Rol en la Cartera IDUE
Cartera IDUE (Wallet)	Aplicación en el dispositivo del usuario (móvil o PC) para almacenar y gestionar declaraciones de atributos.	Permite al usuario autenticarse, firmar documentos y compartir datos (entre otros «zero-knowledge proofs»).
Emisores cualificados, no cualificados y estatales, de declaraciones de atributos a partir de «Fuentes auténticas»	Entidades que emiten documentos digitales (ej. gobiernos, bancos, universidades) en especial a través de Prestadores Cualificados que emiten Declaraciones de Atributos Cualificadas.	Generan declaraciones de atributos compatibles con estándares como ISO/IEC 18013-7 para carnets de conducir.
Prestadores de Servicios de Confianza	PSC que gestionan la confianza en el ecosistema (ej. firma cualificada remota, o certificados de participantes en el ecosistema).	Aseguran la interoperabilidad y cumplimiento normativo.
Partes usuarias (o informadas)	Plataformas que solicitan y reciben la información de las declaraciones de atributos (ej. bancos, administraciones).	Solicitan información para proporcionar algún servicio a petición del usuario de la Cartera sin acceder a datos innecesarios.
Datos de Identificación Personal (DIP/PID)	La identidad original del usuario con la que empieza a funcionar la cartera para permitir otros usos. La incorpora a la cartera un organismo del Estado miembro	Facilitan la autenticación del usuario y la obtención y presentación de declaraciones de atributos.

Algunos aspectos claves del ARF son:

El ARF se actualiza con frecuencia para adaptarse a avances tecnológicos y a las publicaciones de «Actos de Ejecución» que desarrollan el Reglamento (UE) 1183/2024 (eIDAS2).
Está disponible en el repositorio de GitHub del proyecto EUDI Wallet y en documentos traducidos al español, euskera, gallego y catalán en este blog.
Se integra con el citado Reglamento de Identidad Digital Europe (eIDAS2), que obliga a los Estados miembros a ofrecer al menos una Cartera IDUE gratuita para finales de 2026-2027 y a entidades privadas de varios sectores (transporte, energía, banca, servicios financieros, seguridad social, sanidad, agua potable, servicios postales, infraestructura digital, educación o telecomunicaciones) a aceptarlas a finales de 2027.

En resumen, el ARF es el documento técnico que detalla la estructura e interfaces de la Cartera y hace posible una identidad digital europea unificada, que promueve la innovación y enfatiza la protección de la privacidad del usuario.

Otras versiones que he traducido:

1-11-2025 – Versión 2.6 del documento ARF de la Cartera IDUE en español
11-05-2025 – Versión 1.10 del documento de «Arquitectura y Marco de Referencia» (ARF) de la Cartera IDUE en español
5-4-2025 – Versión 1.8 del ARF de la Cartera IDUE en español
2-06-2024 – He empezado a traducir el documento ARF 1.4 y ya tengo el diagrama del ecosistema actualizado
21-01-2024 – ARF V1.2 – Arquitectura y marco de referencia de la cartera de identidad digital de la Unión Europea
15-01-2024 – Arquitectura y Marco de Referencia (ARF) de la Cartera IDUE (de EIDAS2) en euskera, galego y catalá
12-02-2023 – Arquitectura y marco de referencia (ARF) de la Cartera IDUE (EUDI Wallet) versión 1.0 en español
10-02-2023 – Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2 – documento en español
2-02-2023 – Identidad digital europea. Arquitectura y Marco de Identidad digital europea – Arquitectura y Marco de Referencia – Esquema – V 0.9
13-11-2022 – Cartera IDUE = EUDI Wallet

Otros enlaces relacionados:

14-11-2024 – Usercentric-id: Sitio web para impulsar la adopción de la Cartera IDUE y la creación de su ecosistema
8-11-2024 – Código fuente de la implementación de referencia de la Cartera IDUE (EUDI Wallet)
17-09-2024 – Directorio de partes usuarias y fuentes auténticas de la Cartera IDUE de #EIDAS2
23-09-2023 – State supported identity #SSI y la #EUDI Wallet
1-04-2023 – Normas ETSI TS 119 462, ETSI TS 119 471 y ETSI TS 119 472 para la Cartera IDUE

Aprendiendo computación cuántica y criptoagilidad

2 respuestas

Los días 12 y 13 de noviembre de 2025, EADTrust organizó un evento formativo para que los alumnos puedan entender la forma en que el desarrollo de la física cuántica nos ha permitido llegar a programar ordenadores cuánticos que, entre otras muchas aplicaciones, permiten obtener las claves privadas a partir de las públicas en los sistemas de criptografía de clave pública más utilizados (con el afamado algoritmo de Shor). Hice un recordatorio hace unos días.

Todavía falta algún tiempo para el criptocalipsis pero es muy recomendable iniciar la transición a la criptografía postcuántica lo antes posible, especialmente a la vista de la amenaza «Harvest now, decrypt later».

Y de eso iba la segunda parte del evento: identificar las directivas y reglamentos europeos que establecen obligaciones en la mejora de la seguridad de las organizaciones, interpretando como cumplirlas, entre otras acciones llevando a cabo la adopción de la criptografía postcuántica, siguiendo las recomendaciones de diferentes organizaciones, incluyendo el Centro Criptológico Nacional.

Los alumnos procedían de diferentes sectores: despachos de abogados , organismos de la administración pública, empresa consultoras especializadas en ámbitos legales, prestadores de servicios de confianza,…

Y tuvieron ese efecto «Wow» que he ido anunciando a todos los que les comenté sobre la organización de este evento en las semanas previas a su realización.

Porque sin conocimientos previos de física se llegan a entender conceptos como la «superposición» y «entrelazamiento» de los qubits y como se utiliza la notación de Dirac al definir algoritmos cuánticos utilizando puertas simbólicas como la de Hadamard en el Quantum Composer de IBM.

La clave de este aprendizaje es la metodología ENSAR (Experience Name, Speak, Apply and Repeat) de Jorge Christen y las actividades de construcción de modelos representativos de conceptos cuánticos, como la esfera de Bloch, haciendo uso del IQC Kit de Jorge.

Ya estamos preparando la siguiente edición de este evento formativo, que tendrá lugar la última semana de febrero de 2026.

Actualización urgente para las administraciones públicas en relación con las firmas electrónicas

Deja un comentario

Cambios de algoritmos criptográficos y tamaños de clave exigidos por el Organismo Supervisor de los Prestadores Cualificados de Servicios de Confianza requerirán la adaptación de las administraciones públicas en un plazo muy corto para admitir los nuevos certificados en sus sedes electrónicas, lo que hace recomendable considerar la inversión requerida en los presupuestos de las entidades y organismos para el próximo año.

Recientemente el Organismo Supervisor de los Prestadores de Servicios de Certificación en España ha difundido una circular destinada a estas entidades, disponible en la sección de Notas informativas relativas a los Servicios electrónicos de confianza de su web.

En la nota lacónicamente titulada Nota Migración RSA se establece lo siguiente:

Este órgano de supervisión establece que los prestadores de servicios de confianza, cualificados y no cualificados, que emplean algoritmos RSA para la prestación de servicios de confianza, deben cumplir con lo establecido por el Centro Criptológico Nacional, en el Anexo 1- Prestadores de Servicios de Confianza que acompaña a la Guía de Seguridad de las TIC CCN STIC 807 Criptología de Empleo en el Esquema Nacional de Seguridad.

(…) este órgano supervisor determina que el impacto en la migración del algoritmo
RSA con longitud de claves inferiores a 3000 bits es significativo, requiriéndose por tanto que (…)

los prestadores de servicios de confianza cualificados que hayan desplegado jerarquías de certificación con claves RSA con longitud de claves inferiores a 3000 bits, generen nuevas jerarquías de certificación con tamaños de clave mayor. Y deberán

(…) aportar como mínimo la evidencia del hito de celebración de la ceremonia de generación de claves criptográficas.

Hay ciertas referencias a plazos en relación con los Informes de Evaluación de Conformidad, de los prestadores que realicen estos cambios de tamaño de claves RSA en su infraestructura, pero son plazos muy cortos. Por otro lado, el citado Anexo 1 del CCN también detalla plazos en los que deberán dejar de usarse claves RSA con longitud de claves inferiores a 3000 bits y establece que

(…) A partir del 1 de enero de 2027, si aún se emiten certificados basados en RSA, se deberán emitir con módulos de al menos 3000 bits.

El documento del CCN a su vez hace referencia al documento de ENISA: ECCG Agreed Cryptographic Mechanisms – version 2 que también recomienda dejar de usar claves RSA de tamaños menores a 3000 bits. Concluye el CCN con esta recomendación:

No obstante, en virtud del principio de mejora continua de la ciberseguridad y de las recomendaciones técnicas emitidas por organismos internacionales y del propio Centro Criptológico Nacional, se insta a los organismos responsables a proceder a la implementación de mecanismos más robustos para mecanismos de clave asimétrica (RSA de mayor longitud y algoritmos postcuánticos) a la mayor brevedad posible.

Entre las entidades afectadas está la FNMT que ya ha generado una nueva jerarquía de certificación con tamaños RSA mayores de 3000 bits (lo que se ha actualizado en la TSL) y está avisando a las todos los organismos públicos de los cambios que se avecinan. Los certificados que ha estado emitiendo hasta ahora eran de 2048 bits.

A EADTrust no le ha afectado esta circular del Organismo Supervisor porque desde el primer momento ha estado gestionando PKIs de diferentes algoritmos y tamaños de clave: RSA 4096, RSA 8192, ECC 256 y ECC 384 (con la posibilidad de emitir certificados RSA 2048 por compatibilidad en proyectos críticos).

Sin embargo, el reto que tienen por delante las administraciones públicas, es el de adaptar sus portales, sus sedes electrónicas y sus sistemas de firma electrónica para que admitan los nuevos certificados, con diferentes algoritmos y tamaños de clave. Y capaces de validar la TSL europea. Y ya casi no queda tiempo. Conviene que reserven una partida para ello en los presupuestos de 2026.

Para que puedan valorar el reto, EADTrust ofrece sin coste a las entidades públicas juegos de certificados de prueba de todo tipo de perfiles y con los algoritmos y tamaños de clave siguientes: RSA 4096, RSA 8192, ECC 256 y ECC 384.

Por ejemplo, estos son los perfiles:

Servicio de expedición de certificados electrónicos cualificados de firma electrónica
Expedición de Certificado de Persona física
Servicio de expedición de certificados electrónicos cualificados de firma electrónica
— Certificados electrónicos cualificados de Empleado Público
Expedición de Certificado de Persona física para AAPP
Servicio de expedición de certificados electrónicos cualificados de sello electrónico
— Expedición de certificado de persona jurídica
Servicio de expedición de certificados electrónicos cualificados de sello electrónico
— Certificados cualificados de sello electrónico PSD2
Expedición de certificado de persona jurídica PSD2
Servicio de expedición de certificados electrónicos cualificados de sello electrónico
— Certificados cualificados de Sello electrónico de la Administración Pública
Expedición de certificado de persona jurídica para AAPP
Servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web
Expedición de certificados electrónicos cualificados de autenticación de sitios web
Expedición de certificados electrónicos cualificados de autenticación de sitios web PSD2
Servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web
— Certificados cualificados de Sede electrónica de la Administración Pública
Certificado cualificado de sitio web para sede electrónica

Se pueden comprobar los perfiles de certificados de los diferentes prestadores en esta página web: Prestadores de Servicios de Confianza Cualificados

Los certificados de EADTrust son «oficiales»: se han testado en la plataforma de @firma aFirma_Anexo_PSC y en Valide, lo que los hace idóneos para las pruebas.

También ponemos a disposición de las administraciones públicas de forma gratuita la plataforma de comprobación de firmas electrónicas y certificados DSS de EADTrust que da una gran información técnica y permite elegir informes simplificados o completos de las firmas y certificados que se quieren comprobar.

Para solicitar el «paquete» de certificados de prueba, pueden contactar con info (at) eadtrust.com o llamar al teléfono 917160555 (añadiendo el prefijo 34 si llaman desde fuera de España)

La semana que viene: Formación sobre Computación Cuántica y Criptografía Postcuántica

1 respuesta

Los días 12 y 13 de noviembre de 2025, de 10 a 17 horas. tendrá lugar la Formación sobre Computación Cuántica y Criptografía Postcuántica que ye he anunciado con anterioridad y que se impartirá en el Hotel Zenith Conde Orgaz de Madrid de forma presencial.

Este curso, impartido por Jorge Christen (experto en metodologías formativas como ENSAR que ha colaborado en iniciativas de Qureka) y Julián Inza (Presidente de EADTrust, con amplia experiencia en servicios de confianza digital, ciberseguridad y adopción de estándares criptográficos), se enmarca en los servicios de preparación de infraestructuras digitales de EADTrust.

Está diseñado para abordar los desafíos emergentes de la computación cuántica en el ámbito de la criptografía, promoviendo la transición hacia soluciones seguras y resistentes. Se trata de una formación presencial que se anuncia como un evento clave para 2025, con énfasis en la actualización práctica ante el «criptocalipsis» (el riesgo de quiebra de algoritmos clásicos como RSA y ECC).

Detalles:

Duración: 2 días (formato intensivo presencial).
Público Objetivo: Profesionales de ciberseguridad, TI, legaltech y compliance en empresas u organizaciones que manejan datos sensibles. Ideal para responsables de infraestructuras digitales, auditores y decisores que necesitan anticiparse a regulaciones como EIDAS 2.0 y estándares NIST.
Modalidad: Presencial, con enfoque práctico y metodologías interactivas (incluyendo ENSAR: Experience, Name, Speak, Apply and Repeat, y con un kit de componentes que ayudan a visualizar conceptos como la superposición y el entrelazamiento).
Inscripción: A través de este formulario de EADTrust
Contactar a info@eadtrust.eu para ampliar información.

Objetivos Principales:

Comprender los fundamentos de la computación cuántica y su impacto en la seguridad digital actual.
Identificar vulnerabilidades en criptosistemas clásicos y promover la criptoagilidad (capacidad de actualizar algoritmos de forma eficiente).
Analizar y aplicar soluciones de criptografía postcuántica (PQC) para mitigar amenazas cuánticas, como algoritmos basados en lattices (Kyber/ML-KEM, Dilithium/ML-DSA) y firmas digitales resistentes (Falcon/FN-DSA, HQC).
Preparar infraestructuras para estándares emergentes (FIPS 203, 204, 205, 206) y protocolos como TLS 1.3, ACME y mecanismos híbridos.
Fomentar la preservación de documentos y evidencias electrónicas en entornos cuántico-resistentes, alineado con normativas europeas (EIDAS 2.0, ETSI TR 103 619).

El programa combina teoría, casos prácticos y demostraciones, cubriendo:

Introducción a la Computación Cuántica: Conceptos básicos (qubits, superposición, entrelazamiento), avances recientes (ej. chip Majorana 1 de Microsoft, febrero 2025) y el «criptocalipsis» inminente.
Amenazas a la Criptografía Clásica: Análisis de algoritmos vulnerables (RSA, ECC) y el algoritmo de Shor como catalizador de riesgos.
Criptografía Postcuántica:
- Estándares NIST: ML-KEM (encapsulación de claves), ML-DSA (firmas digitales), SLH-DSA y FN-DSA (Falcon).
- Estrategias de migración: Híbridos (clásico + postcuántico), criptoagilidad y pruebas de interoperabilidad.
Aplicaciones Prácticas: Adaptación de servidores web (TLS 1.3), PKI resistente, preservación de firmas electrónicas y análisis de riesgos GRC (Governance, Risk, Compliance).
Marco Regulatorio: Impacto de EIDAS 2.0, borradores de actos de ejecución y recomendaciones ETSI para esquemas «Quantum-Safe».
Sesiones Interactivas: Talle rcon acceso a la herramienta de programación Qiskit iónde IBM
Ideas para evaluar impactos en legaltech, banca y administración pública.

Contexto

Este curso surge de la colaboración entre EADTrust y Jorge Christen, respondiendo a la urgencia de adopción PQC ante avances como los de NIST (agosto 2024) y ENISA.

Servicio de adecuación a NIS2 y Dora

Deja un comentario

La Directiva NIS2 (Directiva de Seguridad de las Redes y de la Información 2, Directiva (UE) 2022/2555) y el Reglamento DORA (Reglamento de Resiliencia Operativa Digital, Reglamento (UE) 2022/2554) son dos marcos regulatorios clave de la Unión Europea diseñados para fortalecer la ciberseguridad y la resiliencia digital en sectores críticos.

Aunque difieren en alcance (NIS2 es general para infraestructuras esenciales, y DORA es específico para el sector financiero), comparten varios elementos fundamentales derivados de la estrategia de ciberresiliencia de la UE.

A continuación, se detallan sus principales similitudes

CONCEPTO	Similitud en NIS2 y DORA
Objetivo principal	Ambas buscan mejorar la resiliencia digital y la ciberseguridad para proteger la economía y la sociedad contra amenazas cibernéticas, como ciberataques y disrupciones.
Gestión de riesgos	Requieren evaluaciones regulares de riesgos, incluyendo la identificación, mitigación y monitoreo continuo de amenazas TIC (Tecnologías de la Información y Comunicación).
Responsabilidad de la dirección	La alta dirección es directamente responsable de la implementación, supervisión y cumplimiento, fomentando una cultura de accountability. Sanciones previstas para la dirección
Pruebas y ejercicios	Ambas exigen pruebas periódicas de sistemas (ej. simulacros de incidentes) para verificar la resiliencia operativa y la capacidad de recuperación.
Notificación de incidentes	Obligan a reportar incidentes significativos a las autoridades competentes en plazos estrictos (generalmente 24-72 horas), para una respuesta coordinada.
Gestión de terceros	Enfatizan la seguridad en la cadena de suministro y el riesgo de proveedores externos (terceros críticos), con requisitos de auditorías y contratos seguros.
Supervisión regulatoria	Establecen mecanismos de oversight por autoridades nacionales, con inspecciones y enforcement para garantizar el cumplimiento uniforme en la UE.
Sanciones	Ambas imponen multas disuasorias basadas en el volumen de negocio global (hasta 2% del facturación anual mundial), similares al RGPD.
Armonización en la UE	Promueven prácticas estandarizadas de ciberseguridad a nivel europeo, facilitando el reconocimiento mutuo y la interoperabilidad entre sectores.

Estas similitudes permiten tratar ambos marcos regulatorios de forma armonizada en las entidades con el objetivo de elevar el nivel de protección cibernética, donde el cumplimiento de una puede facilitar el de la otra en casos de solapamiento (aunque DORA prevalece en el sector financiero, imponiendo criterios de ciberresiliencia a sus proveedores).

Si tuna organización opera en sectores mixtos, tiene sentidos considerar una adecuación y una auditoría integradas.

Anteproyecto de Ley

En España, el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad (aprobado por el Consejo de Ministros el 14 de enero de 2025, en tramitación urgente) transpondrá la directiva NIS2 cuando se apruebe, incorporando elementos nacionales como el Esquema Nacional de Seguridad (ENS) y una nueva estructura institucional.

Aunque el anteproyecto es fiel a la NIS2 en sus principios, introduce adaptaciones para integrarse con el marco español existente (como el Real Decreto-ley 12/2018 de NIS1 y el ENS).Las diferencias radican principalmente en la especificidad nacional, instituciones y medios de cumplimiento, ya que la NIS2 deja flexibilidad a los Estados miembros para la implementación. A continuación, se resumen las principales diferencias a partir del texto de la directiva y el del anteproyecto

CONCEPTO	NIS2 (Directiva Europea)	Anteproyecto Español (Ley de Coordinación y Gobernanza de la Ciberseguridad)
Estructura Institucional	Establece autoridades competentes nacionales genéricas (CSIRT y reguladores sectoriales), sin crear órganos específicos. Enfatiza cooperación UE (ej. red EU-CyCLONe).	Crea el Centro Nacional de Ciberseguridad (CNCS) como órgano único de coordinación, adscrito al Ministerio del Interior, que actúa como punto de contacto UE, gestiona crisis y supervisa el registro de entidades. Integra INCIBE y CCN-CERT, pero centraliza en CNCS (no existía en NIS2).
Medios de Cumplimiento y Certificación	Requiere medidas de gestión de riesgos (art. 21), con certificación obligatoria para entidades esenciales (basada en estándares UE como EN-ISO/IEC 27001). Deja a los Estados definir equivalentes.	Integra el Esquema Nacional de Seguridad (ENS) como equivalente nacional para demostrar cumplimiento (CCN-STIC 892), permitiendo certificación voluntaria del «Perfil de Cumplimiento Específico del ENS» para entidades esenciales. Añade flexibilidad con normas internacionales, pero prioriza el ENS para alinear con el marco español preexistente.
Alcance y Categorización de Entidades	Clasifica en «esenciales» e «importantes» (Anexos I y II), con obligaciones escaladas por tamaño (>50 empleados o >10M€ facturación). Incluye sectores como energía, salud, digital y manufactura.	Mantiene la clasificación, pero amplía explícitamente al sector público español (ej. administraciones locales y autonómicas no cubiertas en NIS1), estimando >12.000 entidades afectadas (vs. ~400 en NIS1). Introduce registro obligatorio en CNCS con plazos de 3 meses para notificación de datos técnicos (IPs, contactos). Exime microempresas con «cláusula de salvaguarda» si demuestran bajo impacto.
Gobernanza y Estrategia Nacional	Promueve estrategias nacionales de ciberseguridad y planes de crisis, pero sin detalles operativos.	Establece la Estrategia Nacional de Ciberseguridad como marco vinculante, con énfasis en cooperación transfronteriza y equipos de respuesta (monitoreo de amenazas, alertas tempranas). Crea una «Plataforma Nacional de Notificación de Incidentes» basada en LUCIA (herramienta existente), más integrada que en NIS2.
Responsabilidades de la Dirección	Responsabilidad personal de la gerencia por cumplimiento, con sanciones por negligencia.	Refuerza con la figura obligatoria del Responsable de Seguridad de la Información (RSI) como contacto directo con autoridades, permitiendo externalización pero manteniendo accountability. Mayor énfasis en auditorías y pruebas periódicas alineadas con ENS.
Notificación de Incidentes y Sanciones	Plazos uniformes: 24h inicial, 72h detallada, 1 mes final. Multas hasta 10M€ o 2% facturación global.	Adopta plazos idénticos, pero prioriza notificación a CNCS e INCIBE-CCN-CERT vía plataforma nacional. Mantiene sanciones, pero aumenta poderes de inspección de autoridades (ej. CNCS con acceso a datos en tiempo real), con régimen más estricto para entidades públicas.
Integración con Otras Normas	Modifica eIDAS y Código Europeo de Comunicaciones, pero es autónoma.	Integra NIS2 con ENS y normativa nacional (ej. Ley Orgánica de Protección de Datos), y transpone simultáneamente la Directiva CER (Resiliencia de Entidades Críticas). Añade foco en sector salud y manufactura con requisitos específicos.

Conviene que las entidades inicien las valoraciones de su grado de adecuación lo antes posible para estimar el impacto de esta adecuación y considerarlo ya en los Presupuestos del año próximo.

EADTrust aporta el profundo conocimiento de su división EAD Servicios Profesionales respecto a NIS2, DORA y otras regulaciones para ayudar a las empresas a preparase. Y aporta un sistema de gestión de evidencias digitales de los procesos internos que permiten demostrar la «debida diligencia» de la entidad en la gestión de los retos de ciberseguridad.

Llame al 91 7160555 para más información

Todo es electrónico

Identidad digital, Cartera IDUE, Frma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital

Reflexiones que acompañan a la propuesta de Reglamento sobre las carteras europeas de empresas (European Business Wallet)

La Cartera Europea de Empresas (European Business Wallet)

Webinar: Certificados TLS de 47 días, era post-cuántica y cripto-agilidad

Retos de adecuación a las normas NIS2, CRA, CER y DORA

Pioneros de la física cuántica al cómputo cuántico

ARF 2.7.2 Arquitectura y Marco de Referencia de la cartera IDUE

Aprendiendo computación cuántica y criptoagilidad

Actualización urgente para las administraciones públicas en relación con las firmas electrónicas

La semana que viene: Formación sobre Computación Cuántica y Criptografía Postcuántica

Servicio de adecuación a NIS2 y Dora

Anteproyecto de Ley