Roadshow de Ingram Micro sobre NIS 2 & DORA: Estrategias para la Seguridad y Cumplimiento. Evento para partners.

1 respuesta

Roadshow NIS 2 & DORA: Estrategias para la Seguridad y Cumplimiento

📅 20 de febrero | 📍 Madrid

El próximo 20 de febrero de 2025 intervendré en el evento para partners organizado por Ingram Micro sobre la Directiva NIS2 (para la que recientemente se ha publicado el anteproyecto de ley que será su transposición a la legislación española) y sobre el Reglamento DORA (Digital Operational Resilience Act).

También intervendrán ponentes de Barracuda, Hewlett Packard Enterprise, SonicWall y Zerto.

Tanto la Directiva NIS2 como el Reglamento DORA imponen requisitos de seguridad a las empresas, en particular a las que son proveedoras de las entidades financieras y aseguradoras.

En este evento analizaremos:
✅ Cómo la Directiva NIS2 y el Reglamento DORA afectan a tu negocio.
✅ Consecuencias legales y sanciones por incumplimiento.
✅ Estrategias prácticas para gestionar la ciberseguridad de manera sistemática

¡Reserva tu plaza y prepárate para transformar los desafíos de NIS2 y DORA en oportunidades!

NIS2

La Directiva NIS2, que busca fortalecer la ciberseguridad en la Unión Europea, debía ser transpuesta por los Estados miembros a sus legislaciones nacionales antes del 17 de octubre de 2024. Sin embargo, hasta esa fecha, solo cuatro países—Bélgica, Croacia, Italia y Lituania—habían completado la transposición. España no se encontraba entre ellos.

En enero de 2025, el Consejo de Ministros de España aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, destinado a transponer la Directiva NIS2 al ordenamiento jurídico español. Este anteproyecto busca establecer un marco actualizado para la prevención y gestión de amenazas en el ciberespacio.

01_2025_Anteproyecto_ley_coordinacion_gobernanza_ciberseguridadDescarga

A pesar de estos avances, la transposición aún no se ha completado en España. El proceso legislativo continúa, y se espera que la ley sea debatida y aprobada en las Cortes Generales en los próximos meses. Mientras tanto, las empresas y organizaciones deben prepararse para cumplir con las obligaciones que la Directiva NIS2 impondrá una vez sea plenamente incorporada al marco legal español.

DORA

El Reglamento DORA (Digital Operational Resilience Act) es aplicable desde el 17 de enero de 2025. Este reglamento de la Unión Europea establece un marco para fortalecer la resiliencia operativa digital del sector financiero, incluyendo bancos, aseguradoras y empresas de inversión. Su objetivo es garantizar que estas entidades puedan resistir, responder y recuperarse de perturbaciones operativas graves, como ciberataques o fallos tecnológicos.

DORA impone requisitos específicos en áreas como la gestión de riesgos relacionados con las tecnologías de la información y la comunicación (TIC), la notificación de incidentes, la realización de pruebas de resiliencia operativa digital y la gestión de riesgos de terceros proveedores de servicios TIC. Las entidades financieras deben haber adaptado sus procesos y sistemas para cumplir con estas obligaciones desde la fecha de aplicación.

En España, el Banco de España y la Comisión Nacional del Mercado de Valores (CNMV) han emitido comunicaciones y establecido procedimientos para supervisar el cumplimiento de DORA por parte de las entidades bajo su supervisión. Por ejemplo, el Banco de España ha requerido a las entidades financieras que adapten sus procesos de gestión de incidentes relacionados con las TIC y que notifiquen los incidentes graves a través de un nuevo servicio electrónico.

Es fundamental que las entidades financieras y los proveedores de servicios TIC relacionados con el sector financiero aseguren el cumplimiento de DORA para fortalecer la resiliencia operativa digital y protegerse contra amenazas y perturbaciones en el entorno digital.

Nos vemos en el evento: Nuevo Modelo de Identidad Digital: telemática y segura – SocInfo Digital

Deja un comentario

El jueves 13 de febrero 2025 tendrá lugar en el INAP. C/ Atocha, 106. 28012 Madrid este evento de la revista «Sociedad de la Información Digital», con el patrocinio de Teknei, SICPA, EAD Trust y VeriDas.

Mi ponencia se centrará en la Certificación de la Cartera de Identidad Europea, gracias al impulso de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) que ha lanzado un Grupo de Trabajo Ad Hoc (AHWG-Ad Hoc Working Group) centrado en la certificación de las Carteras de Identidad Digital de la UE (EUDI Wallet) y para el que he sido seleccionado como uno de los expertos.

El encuentro “Nuevo Modelo de Identidad Digital: telemática y segura” promete ser muy interesante y nos actualizará sobre el desarrollo del marco normativo y tecnológico de la Identidad Digital Europea.

La inscripción en el evento es gratuita para funcionarios de sector público.

La inscripción de asistentes de sector privado tiene un coste de 199 euros (IVA incluido), y, para gestionarla, deben ponerse en contacto con la organización: administracion@socinfodigital.es


El programa es el siguiente:

09.30 Acreditación. Entrega de Identificador personal y documentación.

10.00 Bienvenida.
Dª Carolina Sánchez Sánchez. Directora. Revista Sociedad de la Información Digital.

10.10 Nuevo Modelo de identidad Digital: telemática y segura.
D. Ángel Martín Bautista. Subdirector Adjunto de Planificación y Gobernanza de la Administración Digital. Ministerio para la Transformación Digital y de la Función Pública.

10.25 El Ecosistema Europeo de Identidad Digital (EUDI): más allá del wallet.
D. Lucas Carmona. Director Identidad Digital. Teknei.

10.40 Dirección General de la Policía.
Responsable de la Unidad de Informática y Telecomunicación. Dirección General de la Policía.

10.55 Del Fraude a la Confianza: La Identidad Digital como pilar de la Administración Pública.
Ciberseguridad, centralidad del dato y el Wallet de Identidad para la transformación digital.
D. David Luquin.Director de Sector Público. Veridas.

11.10 Modelo de Identidad Digital en la Comunidad de Madrid.
Dª Marta Bilbao. Directora de Innovación, Datos y Transformación Digital. Madrid Digital. Comunidad de Madrid.

11.25 Turno de preguntas.

11.30 Pausa Café.

12.00 Viajes inteligentes: los beneficios de las credenciales de viaje digitales en 2026 con el nuevo EU Wallet.
D. Fabián Torres. Director. Business Development. SICPA.

12.15 Benidorm sandbox en el nuevo modelo de la identidad digital.
Dª Leire Bilbao. Directora General. Fundación Visit-Benidorm.

12.30 Certificación de la Cartera de Identidad Europea.
D. Julián Inza. Presidente. EAD Trust.

12.45 AOC.
D. Miquel Estapé. Director Gerente. Administración Oberta de Cataluña.

13.15 Turno de preguntas.

13.20 Cierre.

Puede ver el programa actualizado en el siguiente enlace: https://socinfodigital.es/2025…

Qué son los OID y qué papel juegan en ellos los PEN (Private Enterprise Numbers)

Deja un comentario

Los OIDs (Object Identifiers o Identificadores de Objeto) son elementos fundamentales en los certificados X.509, que se utilizan en las infraestructuras de clave pública (PKI) para crear etiquetas y contenidos que forman parte de los certificados. También se usan para identificar sistemas en contextos de gestión de red SNMP.

SNMP es un tipo de protocolo que permite a los administradores supervisar el estado del hardware y el software de una red. Los dispositivos habilitados para SNMP pueden supervisarse de forma remota con herramientas que muestran el estado de la red para realizar el seguimiento de su rendimiento y la disponibilidad. Los OID forman parte del sistema de identificación de equipos y aplicaciones.

Aunque hay varios organismos en los que gestionar las secuencias numéricas de OID para garantizar que identifican de manera única un concepto, los OID gestionados a través de la herramienta Private Enterprise Numbers (PEN) de la Internet Assigned Numbers Authority (IANA) son los más extendidos.

La norma técnica de referencia (de la codificación ASN1) es la de ITU-T, «Information technology – ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)«, ITU-T Recommendation X.690, February 2021.

Características principales de los OIDs

  • Representación: Los OIDs se representan como una serie de números separados por puntos, formando una estructura jerárquica.
  • Unicidad: Cada OID es único a nivel mundial, lo que permite identificar de manera inequívoca diferentes elementos dentro de un certificado.
  • Estandarización: Proporcionan un enfoque estandarizado para nombrar e identificar elementos en la estructura del certificado X.509.

Funciones de los OIDs en certificados

Los OIDs cumplen diversas funciones importantes en los certificados X.509:

  1. Identificación de algoritmos: Especifican los algoritmos criptográficos utilizados para la firma y verificación de certificados.
  2. Definición de tipos de claves: Identifican diferentes tipos de claves criptográficas empleadas en los certificados.
  3. Especificación de políticas: Definen políticas específicas asociadas con la emisión y uso de certificados.
  4. Usos extendidos de claves: Indican los propósitos para los cuales se puede utilizar la clave pública de un certificado.
  5. Atributos de sujeto y emisor: Definen varios atributos como nombre común, unidad organizativa, país, etc.

Ejemplos de OIDs comunes

  • 2.5.4.3: Corresponde al «Nombre común» dentro de un Nombre distinguido (DN) de un certificado.
  • 1.2.840.113549.1.1.11: Identifica el algoritmo RSA-SSA-PSS para firmas digitales.
  • 2.5.29.15: Indica la extensión «Uso de clave».
  • 0.4.0.1862.1.1: Representa la declaración de certificado cualificado (QcCompliance).

Los OIDs son esenciales para comprender y procesar los certificados X.509 de manera coherente en diferentes sistemas y aplicaciones en todo el mundo. Su uso garantiza la interoperabilidad y la seguridad en el complejo ecosistema de la infraestructura de clave pública.

Private Enterprise Numbers (PEN)

Los Private Enterprise Numbers (PEN) son identificadores únicos asignados por la Internet Assigned Numbers Authority (IANA) a organizaciones para diversos propósitos dentro de estándares de red y protocolos. Se utilizan principalmente en la identificación de objetos dentro de esquemas de numeración, como en OID (Object Identifiers). Estos identificadores son los más adoptados por los Prestadores de Servicios de Certificación y comienzan con la secuencia de números; 1.3.6.1.4.1.

Por ejemplo, el de EADTrust es 1.3.6.1.4.1.501.

En la web de IANA es posible solicitar y consultar los identificadores PEN. También hay un listado completo de PEN – Private Enterprise Numbers.

Uso en Prestadores de Servicios de Certificación (PSC)

En el contexto de los Prestadores de Servicios de Certificación (PSC) y la infraestructura de clave pública (PKI), los PENs son esenciales porque:

  1. Definen OID personalizados: Los PSC necesitan OIDs para definir sus políticas de certificación, perfiles de certificados, extensiones personalizadas y atributos dentro de certificados digitales.
  2. Garantizan unicidad: Como los OIDs se utilizan en certificados digitales y listas de revocación (CRLs), cada autoridad de certificación (CA) necesita identificadores únicos, y un PEN asignado por IANA garantiza que no haya colisiones.
  3. Facilitan la interoperabilidad: Muchas entidades gubernamentales y privadas exigen que los PSC definan sus propias políticas de certificación usando OIDs únicos, los cuales derivan de su PEN.

El EUID de empresa es necesario para solicitar certificados QSEAL para #EPREL

1 respuesta

EADTrust es uno de los principales Prestadores de Servicios Cualificados de Confianza que emite certificados electrónicos cualificados de persona jurídicas para EPREL (QSEAL). Este artículo pretende hacer recomendaciones a sus clientes para que lo puedan gestionar más fácilmente.

EPREL (European Product Registry for Energy Labelling) es la Base de Datos Europea de Productos para el Etiquetado Energético, una plataforma creada por la Comisión Europea en la que los proveedores de productos eléctricos (fabricantes, importadores o representantes autorizados) deben registrar los productos que requieren etiquetado energético en la UE antes de comercializarlos en el mercado comunitario. Proporciona información detallada sobre los productos registrados, incluyendo datos sobre su eficiencia energética, dimensiones, volumen, garantía mínima y otras características relevantes.

Desde el 1 de enero de 2019, es obligatorio para los proveedores registrar sus productos en EPREL antes de introducirlos en el mercado de la UE, EEE (Noruega, Islandia y Liechtenstein) e Irlanda del Norte. Los fabricantes de terceros países necesitan un importador o representante legal establecido en la UE/EEE para registrar sus productos.

Para completar el registro en EPREL, los proveedores deben firmar (sellar) electrónicamente el documento de registro con un sello cualificado (QSEAL), lo que requiere un certificado electrónico cualificado de persona jurídica soportado en un dispositivo cualificado de creación de sello, según lo requerido por el Reglamento EIDAS.

En abril de 2024 se publicó el REGLAMENTO DE EJECUCIÓN (UE) 2024/994 DE LA COMISIÓN de 2 de abril de 2024 por el que se establecen los detalles operativos de la base de datos de los productos creada en virtud del Reglamento (UE) 2017/1369 del Parlamento Europeo y del Consejo. Es la normativa que rige la identificación de las empresas para que puedan dar de alta los productos eléctricos que fabrican o venden en la base de datos #EPREL.

Hasta abril de 2025 se pueden seguir emitiendo para #EPREL certificados cualificados de persona jurídica con números de identificación empresarial acordes con las diferentes pautas que recoge la norma ETSI TS 119 412-1 (por ejemplo, en el caso de España, el CIF).

Pero desde mayo de 2025, los certificados de persona jurídica destinados a facilitar el registro de las empresas en la base de datos #EPREL deben ser del tipo «NTR» (National Trade Register) según se describe en la citada norma TS 119 412-1.

Las empresas pueden consultar en la herramienta desplegada por la Unión Europea «European e-Justice Portal – Business registers» y obtener los datos de su empresa: «Registration number» y «Business Register ID» con los que se forma el identificador «EUID». Este EUDI es un dato requerido en el portal #EPREL y es el que debe figurar en la identificación NTR del certificado.

El identificador según la referencia del tipo de identidad para el NTR, utiliza la estructura y el orden siguientes, especificado en el Reglamento de Ejecución (UE) 2021/1042 como identificador único europeo (EUID):

  •  el identificador del registro mercantil, para la sección u oficina concreta del registro público que haya asignado el número de registro mercantil a la persona jurídica de que se trate,
  •  punto, «.» (U + 002E),
  •  el número de registro mercantil asignado a la persona jurídica por el registro mercantil nacional al que se refiere el primer punto.
  • El código de país, que forma parte del EUID y que precede a los tres campos mencionados, así como el dígito de verificación, son opcionales

Contacte con el 917160555 o 902 365 612 si su empresa necesita gestionar etiquetas de eficiencia energética para sus productos eléctricos.

Nuevo impulso a los los clústeres tecnológicos de la Comunidad de Madrid

Deja un comentario

La Comunidad de Madrid organizó ayer 22 de enero de 2025 por la tarde un evento para mostrar el estado de desarrollo de los clústeres tecnológicos que acoge y anunciar más medios para reforzar su competitividad y la de las empresas que participan en ellos.

A los clústeres de Inteligencia Artificial (IA), Blockchain, Internet de las Cosas (IoT) y Transformación Digital, pronto se sumará el de Computación Cuántica.

Ante la nutrida participación de más de 100 empresas tecnológicas, la mayor parte de ellas participantes en los clústeres, Ignacio Azorín, director general de Estrategia Digital en la Comunidad de Madrid, ofreció las diferentes instalaciones de la Comunidad de Madrid para actos de presentación, formación, hackatones,… Sedes en Madrid capital y en Las Rozas (donde radica el clúster de «Internet de las Cosas»), Tres Cantos (con el clúster de Blockchain), Leganés (con el de «Inteligencia Artificial») y Torrejón de Ardoz (con el de «Transformación Digital»). Y la próxima apertura del de Computación Cuántica en Boadilla del Monte.

Ignacio Azorín, repasó algunos de los objetivos de la Comunidad en cuanto a la Digitalización y remarcó el papel de Clústeres en esa estrategia y las nuevas oportunidades que surgen para hacer networking entre entidades y promover alianzas, o posicionarse ante las ayudas que se anuncien desde la Unión Europea, .

Posteriormente los presidentes de los cuatro clústeres tecnológicos: comentaron las actividades de los diferentes clústeres y las auditorías financieras de sus actividades en 2024 con algunas ideas para impulsar la competitividad de las empresas participantes en los clústeres.

Tomaron la palabra los presidentes de los clústeres : Luis Llopis Pagán, presidente del clúster de Transformación Digital, Miguel Rego Fernández, presidente del clúster de Inteligencia Artificial, Lorena Valencia Bueno, presidenta del clúster de lnternet de las Cosas y Miguel Ángel Domínguez Castellano, presidente del clúster de Blockchain

Un punto importante es que la financiación de actividades de los clústeres cuentan este año con los desembolsos necesarios desde este mismo mes de enero.

Fue muy interesante la mesa redonda sobre como plantearse la financiación de los clústeres y la participación de sus miembros en convocatorias de ayudas de la Unión Euopea (y nacionales). Con la moderación de Carlos González Luis, secretario de los clústeres de la Comunidad de Madrid, y los ponentes Saioa Maritxalar Goñi de Fi Group y Jaime Velasco Alarcón de CEIM.

Cerró el evento el Consejero de Digitalización Miguel López-Valverde Argüeso animando a aprovechar los recursos impulsados por la Comunidad en los clústeres y otras actividades. Incidió en que los cuatro clústeres colaborarán con startups y empresas en proyectos innovadores y darán pie a que aparezcan nuevas oportunidades de negocio, a partir de la colaboración de sus miembros.

Para mi fue una satisfacción asistir al evento como uno de los representantes de AMETIC, por mi rol de Presidente de la Comisión Blockchain, y por mi actividad en el Clúster de Blockchain, en el que lidero la iniciativa de Identidad DIgital, de especial relevancia tras la aprobación del Reglamento europeo EIDAS2.


Tecnocasta

Deja un comentario

El término «tecnocasta» ha saltado a la palestra recientemente en el discurso político español. Sin embargo, el uso de este neologismo presenta varios problemas conceptuales y etimológicos.

Origen y contexto

El término «tecnocasta» fue utilizado a nivel político para referirse a los grandes magnates tecnológicos de Silicon Valley.

El problema es que aparenta ser un termino peyorativo que descalifica a todos los profesionales de tipo técnico, incluso a los empleados de empresas tecnológicas.

Problemas con el término

Imprecisión conceptual

  1. Confusión con «tecnocracia»: El término «tecnocasta» parece ser una fusión de «tecnología» y «casta», pero puede confundirse fácilmente con «tecnocracia», que tiene un significado establecido y diferente.
    La tecnocracia es la perspectiva de un sistema de gobierno en el que los responsables de la toma de decisiones se seleccionan en función de su experiencia en un área determinada de responsabilidad, particularmente con respecto al conocimiento científico o técnico. Las habilidades de liderazgo para los tomadores de decisiones se seleccionan sobre la base de conocimientos especializados y desempeño, en lugar de afiliaciones políticas o habilidades políticas tradicionales.
  2. En principio el término «tecnocracia» tendría connotaciones positivas mientras tecnocasta tendría connotaciones negativas.
  3. Simplificación excesiva: Al agrupar a todos los líderes tecnológicos en una supuesta «casta», se ignora la diversidad de opiniones y enfoques dentro del sector tecnológico.

Inconsistencia histórica

El uso del término contradice la narrativa existente sobre el papel de la tecnología en la democratización de la información. De forma consistente y dese hace muchos años, las redes sociales han sido elogiadas por su capacidad para cuestionar dictaduras y fomentar el debate público.

Sesgo político

El uso del término parece estar motivado más por diferencias políticas y opiniones personales que por una crítica objetiva al sector tecnológico. Los políticos que emplean el término parece que lo utilizaran selectivamente, criticando a todos los tecnólogos cuando no están alineados con sus propios intereses políticos.

Alternativas más precisas

En lugar de «tecnocasta», sería más apropiado utilizar términos más específicos y menos cargados políticamente:

  • «Magnates tecnológicos» para referirse a los líderes de las grandes empresas de tecnología. Tampoco tendría sentido usar este concepto de forma despectiva.
  • «Oligarquía digital» si se quiere enfatizar la concentración de poder en pocas manos dentro del sector tecnológico. Sin embargo habría que justificar por qué la oligarquía digital es negativa para ciertas posiciones ideológicas y no para otras.
  • «Élite tecnológica» para describir al grupo de personas influyentes en el ámbito de la tecnología. Formar parte de esa élite es un logro difícil de alcanzar. Tampoco tendría sentido usar este concepto de forma despectiva.

Conclusión

El uso del término «tecnocasta» a nivel político representa un intento de acuñar un neologismo político con fines retóricos que perjudica a todas las personas de perfil técnico. Además, su imprecisión conceptual, inconsistencia histórica y sesgo político lo convierten en un término problemático para el debate público serio sobre el papel de la tecnología en la sociedad y la política. Es preferible utilizar términos más precisos y menos polarizantes para abordar las preocupaciones legítimas sobre la concentración de poder en el sector tecnológico.

El término podría expresar, en realidad, el interés de los políticos de controlar no solo lo que se dice en los medios de comunicación en papel, televisión, radio y digitales, sino también lo que se dice en redes sociales.

Actualización para navarros.

Nota del 28 de enero de 2025.

En Navarra, llamamos a una persona «casta» (en masculino, un «casta«, en plural «los castas«) a una persona (o varias, en plural) que es maja y a la que le gusta la fiesta y el cachondeo. Especialmente los Sanfermines. Hay hasta canciones que los mencionan.

O sea que, por ese lado, connotaciones positivas. Yo mismo, que soy de Navarra y muy afín a la tecnología sería un «tecnocasta«.

EADTrust, la entidad líder en Digital Transaction Management (DTM)

Deja un comentario

El concepto Digital Transaction Management (DTM), Gestión de Transacciones Digitales engloba un conjunto de servicios y tecnologías basados en la nube diseñados para gestionar digitalmente transacciones basadas en documentos. El objetivo principal de la Gestión de Transacciones Digitales es eliminar la fricción inherente a las transacciones que involucran personas, documentos y datos, creando procesos más rápidos, fáciles, convenientes y seguros.

Los componentes clave de un sistema DTM incluyen:

  1. Firmas electrónicas: Permiten la vinculación de documentos a sus firmantes, su autenticación segura y la atribución legalmente vinculante de documentos firmados.
  2. Gestión de documentos y transacciones: Incluye almacenamiento digital, asociado al concepto de custodia, organización y recuperación eficiente de documentos y operaciones.
  3. Automatización de flujos de trabajo: Reduciendo tareas manuales y mejorando la consistencia de los procesos.
  4. Protocolos de seguridad: Implementando el cifrado donde se precisa (teniendo en ciuenta los riesgos que anuncia la computación cuántica) y controles de acceso para proteger información sensible.
  5. Autenticación digital: Verificando la identidad de los participantes en las transacciones.
  6. Gestión de evidencias digitales para favorecer la fuerza probatoria en contextos de resolución de controversias.
  7. Gestión de entornos híbridos de documentos digitales y en papel, con gestión de la digitalización cualificada de documentos en papel con fuerza probatoria y documentos nacidos digitales que se pueden usar impresos por la posibilidad de cotejo de su CSV (Código Seguro de Verificación) en su sede electrónica de referencia.

Los servicios de EADTrust encajan perfectamente en el concepto de Digital Transaction Management, ya que ofrecen varias soluciones clave que son fundamentales para la gestión digital de transacciones:

  1. Firmas electrónicas cualificadas: EADTrust emite certificados cualificados para personas físicas y entidades legales, que permiten la creación de firmas y sellos electrónicos avanzados y cualificados. También ofrece servicios de comprobación de las firmas electrónicas que se reciben en las entidades.
  2. Sellos de tiempo cualificados: Estos sellos permiten probar el momento exacto en que ocurrió un evento digital, dejando un registro irrefutable de la fecha, hora y contenido del evento mediante criptografía. Se asocia un sello de teiempo con cada transacción.
  3. Custodia digital: EADTrust ha desarrollado una tecnología que permite a los usuarios almacenar documentos digitalmente, pudiendo probar su autenticidad a través de CSV y su inalterabilidad mediante métodos criptográficos avanzados. En línea con la normativa de eArchivos de EIDAS2
  4. Notificaciones certificadas (Noticeman): Ofreciendo una plataforma de gestión de correo electrónico y SMS certificados que permite registrar la identidad del remitente, el receptor, el contenido y el momento exacto en que se realizaron las comunicaciones.
  5. Servicios corporativos: Proporcionan testimonios de publicación de documentos a las entidades obligadas para convocatorias de juntas generales de accionistas, foros y gestión de voto electrónico, cumpliendo con la Ley de Sociedades de Capital.
  6. Custodia de claves privadas: Celebran ceremonias de creación de claves, generando pares de claves asimétricas y manteniendo la clave privada para garantizar la integridad. Estos servicios son esenciales en la gestión de firmas manuscritas capturadas en tabletas digitalizadoras

Estos servicios de EADTrust abordan aspectos críticos de DTM, como la autenticación, la seguridad, la gestión de documentos y el cumplimiento normativo. Al ofrecer estas soluciones, EADTrust contribuye significativamente a la transformación digital de las empresas, permitiéndoles gestionar sus transacciones de manera más eficiente, segura y conforme a la normativa vigente.

En relación con las Carteras IDUE ayuda a adaptarse a las entidades obligadas por mandato del Reglamento EIDAS2 en el articulo 5 septies: 

Cuando el Derecho de la Unión o nacional exija que las partes usuarias privadas que prestan servicios —con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión ( 5 )— utilicen una autenticación reforzada de usuario para la identificación en línea, o cuando se requiera una autenticación reforzada de usuario para la identificación en línea en virtud de una obligación contractual, en particular en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones, dichas partes usuarias privadas también aceptarán, a más tardar treinta y seis meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, y únicamente a petición voluntaria del usuario, las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.

Los días 20 y 21 de enero de 2025 tendrá lugar la reunión inicial del Grupo de Expertos de Certificación de la Cartera de identidad Digital de la Unión Europea (Cartera IDUE)

1 respuesta

Justo antes de Navidades la Agencia ENISA me comunicó que había sido designado como uno de los Expertos que colaborarían en la definición del modelo de certificación de seguridad de la Cartera IDUE (EUDI Wallet, en inglés).

Un gran honor y una gran responsabilidad .

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha lanzado un Grupo de Trabajo Ad Hoc (AHWG-Ad Hoc Working Group) centrado en la certificación de las Carteras de Identidad Digital de la UE (EUDI Wallet). Esta iniciativa surge en respuesta a una solicitud de la Comisión Europea para desarrollar un esquema de certificación de ciberseguridad para las Carteras IDUE (EUDI Wallets).

La Agencia ENISA solicitó en octubre de 2024 (con límite del 18 de noviembre para presentar candidaturas) expresiones de interés para participar en el Grupo d Expertos: The European Union Agency for Cybersecurity (ENISA) launches a call for expression of interest to create an Ad Hoc Working Group on the certification of EU Digital Identity Wallets.

El Grupo de trabajo ad hoc (AHWG) tiene por objeto:

  • Cumplir los requisitos del Marco Europeo de Identidad Digital (European Digital Identity Framework – EDIF), garantizando que se tengan en cuenta los sistemas de certificación, las normas y las especificaciones técnicas existentes y relevantes;
  • encajar perfectamente con el conjunto de soluciones para EUDI Wallets debatidas durante los últimos años en el Grupo de Expertos de la Caja de Herramientas eIDAS y su Subgrupo de Certificación, garantizando la alineación con las aportaciones del Marco de Arquitectura y Referencia como parte del proceso de la Caja de Herramientas, el Grupo de Cooperación de Identidad Digital Europea y su Subgrupo de Certificación.

ENISA ha buscado expertos con amplio conocimiento y experiencia en:

  • Certificación de ciberseguridad
  • Carteras digitales
  • Identificación electrónica
  • Servicios de confianza

Parece ser que yo cumplo el conocimiento y experiencia de esos temas y he sido designado como uno de los miembros del AHWG, tras haber solicitado mi participación.

Un honor para mí y un reconocimiento para EADTRUST.

Ya se están convocando las primeras reuniones y espero contribuir durante todas las fases del proyecto que conducen al desarrollo del esquema de certificación.

La primera reunión tendrá lugar los días 20 y 21 de enero de 2025.

El esquema de certificación de las Carteras IDUE es importante por varias razones:

  1. Garantiza que todas las Carteras EUDI emitidas a los ciudadanos de la UE funcionen de manera segura y uniforme en toda la UE.
  2. Verifica que cada cartera cumpla con los altos requisitos de seguridad establecidos por la regulación.
  3. Contribuye a proteger los datos y la privacidad de los usuarios

Como son los nuevos certificados que necesitan los organismos sanitarios para adherirse a la red mundial de certificación sanitaria digital tras la finalización de la pandemia COVID

Deja un comentario

Para facilitar una libre circulación segura durante la pandemia de COVID-19, la Unión Europea creó el certificado COVID digital de la UE.  

El 1 de julio de 2023, la Organización Mundial de la Salud (OMS) adoptó el sistema de la UE de certificación digital de la COVID-19 para establecer un sistema mundial que ayude a proteger a los ciudadanos de todo el mundo de las amenazas sanitarias actuales y futuras, incluidas las pandemias.

El certificado COVID digital de la UE ha sido un elemento crucial en la respuesta de Europa a la pandemia de COVID-19, con más de 2 300 millones de certificados expedidos.

El certificado, que abarcaba la vacunación, las pruebas de diagnóstico y la recuperación de la COVID-19, facilitó la seguridad de los desplazamientos de los ciudadanos, y también fue fundamental para apoyar al sector turístico europeo, duramente afectado.

El Reglamento sobre el certificado COVID digital de la UE comenzó a ser aplicable el 1 de julio de 2021 y expiró el 30 de junio de 2023. 

La adopción de las especificaciones del certificado COVID digital de la UE por parte de la OMS en 2023 se apoya en un acuerdo de amplio alcance en el ámbito de la sanidad digital.

Se ha concretado en la RECOMENDACIÓN (UE) 2023/1339 DEL CONSEJO de 27 de junio de 2023 relativa a la adhesión a la red mundial de certificación sanitaria digital establecida por la Organización Mundial de la Salud y a las disposiciones temporales para facilitar los viajes internacionales ante la expiración del Reglamento (UE) 2021/953 del Parlamento Europeo y del Consejo

En la recomendación se indica:

  1. El Consejo acoge con satisfacción la intención de la Comisión de cooperar estrechamente con la OMS en el desarrollo de la red mundial de certificación sanitaria digital, lo que permitirá a la OMS incorporar en su propia estructura el marco de confianza del certificado COVID digital de la UE, así como sus principios y tecnologías abiertas, sobre la base de las especificaciones técnicas previamente establecidas en la Decisión de Ejecución (UE) 2021/1073.
  2. Se anima a los Estados miembros a que se conecten a la red mundial de certificación sanitaria digital que está estableciendo la OMS, siempre que en el Derecho nacional exista una base jurídica adecuada, a la mayor brevedad y a más tardar el 31 de diciembre de 2023.
  3. Se alienta a cada Estado miembro que desee incorporarse a la red mundial de certificación sanitaria digital de la OMS a que expida un nuevo certificado de firmante de documentos con la máxima validez técnica posible y a que lo registre en la pasarela de la UE antes de la expiración del Reglamento (UE) 2021/953.
  4. El Consejo acoge con satisfacción la intención de la Comisión de facilitar una transición fluida del sistema de certificado COVID digital de la UE a la red mundial de certificación sanitaria digital de la OMS. No obstante, corresponde a los Estados miembros decidir si conectarse a la red mundial de certificación sanitaria digital y si hacerlo con la tecnología existente o realizar la conexión en una fase posterior.

De modo que en España, estos certificados, que emite EAdTrust, serán como máximo de 5 años, según la normativa aplicable

EADTrust ha tenido un rol clave en la implementación del Pasaporte COVID en España:

  • Es el principal emisor de los certificados electrónicos utilizados por los organismos sanitarios españoles para firmar los Pasaportes COVID.
  • Emite certificados cualificados de Sello de Entidad basados en Criptografía de Curva Elíptica, considerados más seguros
  • Su Autoridad de Certificación Subordinada ECC se convirtió en la principal CSCA (Certificate Signing Certificate Authority) de España para este propósito, asumiendo el rol de autoridad de certificación raíz (de los certificados de pasaportes)

Estos fueron los certificados emitidos a los organismos sanitarios a nivel mundial para que firmaran los pasaportes COVID mientras estuvo vigente la normativa.

En la actualidad, la lista de certificados de organismos sanitarios firmantes (EU DCC Trust List) la gestiona la Comisión Europea. Es una Lista de DCC (Digital COVID Certificate) comprimida en formato ZIP.

En este blog ya se han incluido otros artículos en relación con los certificados COVID:

Los organismos sanitarios deberían contactar con EADTrust en el +34 91 716 0555 para ver la forma de obtener estos certificados.

Nuevo cambio regulatorio para impulsar la facturación electrónica

Deja un comentario

Ayer se publicó en el BOE la Ley 7/2024, de 20 de diciembre, por la que se establecen un Impuesto Complementario para garantizar un nivel mínimo global de imposición para los grupos multinacionales y los grupos nacionales de gran magnitud, un Impuesto sobre el margen de intereses y comisiones de determinadas entidades financieras y un Impuesto sobre los líquidos para cigarrillos electrónicos y otros productos relacionados con el tabaco, y se modifican otras normas tributarias.

De la extensa norma extraigo lo que afecta al marco normativo de la Factura Electrónica ya que habilita a la AEAT para ofrecer una solución pública de facturación electrónica. ¿Es cosa mía o se parece a una iniciativa de competencia desleal frente a la iniciativa privada? ¿Y no es excesivamente intrusivo el sistema?

Disposición final duodécima. Modificación de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.

Se introduce una nueva disposición adicional vigesimoprimera en la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, con la siguiente redacción:

«Disposición adicional vigesimoprimera. Solución Pública de Facturación Electrónica.

1. La Agencia Estatal de Administración Tributaria desarrollará y gestionará, en los términos que se establezcan reglamentariamente, una solución pública de facturación electrónica que, a los efectos de lo previsto en el artículo 2 bis de la presente Ley, preste los servicios de facturación electrónica de aquellos empresarios o profesionales que así lo elijan y sirva de repositorio universal y obligatorio de todas las facturas electrónicas expedidas, remitidas o recibidas conforme a la presente ley.

2. Las plataformas, soluciones o sistemas de facturación que utilicen los empresarios o profesionales obligados a emitir y recibir facturas electrónicas, que no utilicen la solución pública de facturación electrónica, estarán obligadas a remitir simultáneamente a su emisión una copia electrónica fiel de cada factura a la citada solución pública en los términos previstos reglamentariamente.

3. Los empresarios o profesionales destinatarios de las facturas electrónicas estarán obligados a comunicar de forma electrónica a la solución pública de facturación electrónica el pago efectivo completo de las facturas o su rechazo, en los términos que se determinen reglamentariamente.

4. Los datos almacenados en la solución pública de facturación electrónica tendrán el carácter reservado y estarán sometidos a las mismas medidas necesarias para garantizar su confidencialidad y uso adecuado previstas en el artículo 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria para los datos con trascendencia tributaria. Solo podrán ser utilizados para los fines previstos en la presente Ley y para la efectiva aplicación del sistema tributario y aduanero y la gestión de los demás recursos que tiene encomendada la Agencia Estatal de Administración Tributaria y, mediante la correspondiente cesión conforme al artículo 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria, para la efectiva aplicación de los tributos o recursos cuya gestión compete a las Administraciones tributarias de los Territorios Históricos de la Comunidad Autónoma del País Vasco y de la Comunidad Foral de Navarra y las demás Administraciones tributarias. Fuera del caso anterior, solo podrán ser cedidos o comunicados a terceros en los supuestos y con las condiciones previstas en el artículo 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria.

Fuera de los casos previstos en el párrafo anterior, sólo se permitirá el acceso a las facturas electrónicas almacenadas en la solución pública de facturación electrónica y a la información de pago o rechazo de las mismas, a los emisores y los receptores de las facturas o a las personas o entidades autorizadas por aquéllos.

Tendrá igualmente acceso a información almacenada en la solución pública de facturación electrónica el Observatorio Estatal de la Morosidad Privada, para que pueda ejercer las funciones previstas en la disposición final sexta de la Ley 18/2022, de 28 de septiembre, de creación y crecimiento de empresas; así como los Ministerios de Economía, Comercio y Empresa y de Industria y Turismo, para que puedan ejercer las funciones que tienen atribuidas de seguimiento, análisis y propuesta de medidas en materia de morosidad comercial.

5. Las facturas electrónicas y la información relativa a las mismas, almacenadas en la solución pública de facturación electrónica se conservarán en dicha plataforma durante el plazo de conservación previsto en la Ley 58/2003, de 17 de diciembre, General Tributaria y su normativa de desarrollo, sin que en ningún caso pueda superar los 12 años.

6. Los tratamientos de datos personales consecuencia de la gestión de la solución pública de facturación electrónica prevista en la presente disposición quedarán sometidos al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

La Agencia Estatal de Administración Tributaria ostentará la condición de responsable de los tratamientos de datos personales que lleve a cabo en el desempeño de su función de gestión de la solución pública de facturación electrónica.

La Agencia Estatal de Administración Tributaria adoptará las garantías adecuadas para los derechos y las libertades de los interesados, singularmente para garantizar el respeto del principio de minimización de los datos personales atendidos los fines perseguidos por la solución pública de facturación electrónica señalados en el apartado 1 de la presente disposición. En particular, adoptará las medidas oportunas para evitar que, como consecuencia de lo previsto en el apartado 4 de la presente disposición, pueda revelarse a terceros distintos del emisor o receptor de las facturas y a las personas o entidades autorizadas por aquéllos, datos de los previstos en el artículo 9 del Reglamento (UE) 2016/679, salvo que concurra alguna de las excepciones previstas en el apartado 2 de dicho precepto.

Cuando las facturas sean remitidas a la solución pública de facturación electrónica en cumplimiento del deber impuesto en el apartado 2 de la presente disposición, corresponderá al emisor de la factura cumplir con el deber de información previsto en el artículo 13 del Reglamento (UE) 2016/679, informando expresamente al destinatario de la factura de que la misma será remitida a la solución pública de facturación electrónica.

La Agencia Estatal de la Administración Tributaria podrá restringir total o parcialmente, de forma proporcionada, el ejercicio del derecho de acceso, de rectificación y de limitación del tratamiento a que se refieren los artículos 15, 16 y 18 del Reglamento (UE) 2016/679 o la comunicación de una violación de la seguridad de los datos a que se refiere el artículo 34, apartado 1, del Reglamento (UE) 2016/679 cuando obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias o cuando pongan en peligro una investigación tributaria en curso.

Cuando la Agencia Estatal de la Administración Tributaria restrinja los derechos previstos en el párrafo anterior adoptará las medidas siguientes:

a) Informará al interesado, en respuesta a la solicitud, de la restricción aplicada y de los motivos principales para aplicarla, así como de la posibilidad de presentar una reclamación ante la Agencia Española de Protección de Datos. Dicha información podrá aplazarse u omitirse cuando la comunicación de dicha información pueda perjudicar a los fines de la restricción.

b) Registrará los motivos de la restricción y, cuando haya omitido la comunicación prevista en la letra a) anterior, las razones por las que facilitar dicha información podría perjudicar a los fines de la restricción.

Cuando la información almacenada sea facilitada a las autoridades judiciales o al Ministerio Fiscal en los términos previstos en el artículo 7 de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, el interesado no será informado de la transmisión de sus datos a dichas autoridades, ni de haber facilitado el acceso a los mismos a dichas autoridades de cualquier otra forma.

7. En virtud de su régimen foral, la aplicación de lo dispuesto en esta disposición adicional a los empresarios o profesionales sometidos a la normativa tributaria de los territorios forales conforme a lo previsto en el Concierto Económico con la Comunidad Autónoma del País Vasco y en el Convenio Económico entre el Estado y la Comunidad Foral de Navarra se realizará en todo caso ateniendo a lo dispuesto en los mismos, estableciéndose los oportunos acuerdos entre las Haciendas Forales y la Agencia Estatal de Administración Tributaria conforme al principio de colaboración regulado en aquellos.»