Participación en Tinku TV para hablar de EIDAS2 y de la Cartera IDUE

Deja un comentario

Hoy participo en Tinku TV, en el Programa de Derecho que dirige Lara Novis y en el que comentaremos brevemente algunos de los aspectos más relevantes del Reglamento EIDAS2 y de la Cartera de Identidad Digital de la Unión Europea.

Lara siempre organiza debates interesantes para garantizar un análisis exhaustivo de las cuestiones actuales y emergentes en el ámbito jurídico, por lo que agradezco que me haya invitado a su programa.

A través de cada episodio, da pie a que abogados, empresarios y responsables de diversas áreas compartan su visión y sus experiencias prácticas, dando respuesta a las preguntas más apremiantes del entorno jurídico actual.

El programa se emite en directo a las 17:00 y quedará disponible en la plataforma de Tinku TV

🔴 Para verlo en directo en Tinku Televisión (plataforma propia)
https://tinku.es/live/

🔴 Para verlo en directo y suscribirte a su canal en YouTube
https://www.youtube.com/channel/UCXd4lSr-NWwfLF7hUqT6HUQ?sub_confirmation=1

🔴 Para verlo en directo por LinkedIn
https://www.linkedin.com/company/tinku-es/

Y para que tengáis contexto de qué es el Reglamento EIDAS 2 y la Cartera IDUE, y podáis seguir mejor la entrevista (que quizá entre en detalles técnicos y legales), os incluyo información adicional a continuación.

El eIDAS2 es una actualización del Reglamento eIDAS original (Reglamento UE 910/2014), que entró en vigor el 20 de mayo de 2024 como el Reglamento (UE) 2024/1183. Este nuevo marco legal busca mejorar la identificación electrónica y los servicios de confianza en la Unión Europea, adaptándose a las necesidades actuales de un entorno digital en constante evolución. Su objetivo principal es garantizar una identidad digital segura, interoperable y fácil de usar para todos los ciudadanos, residentes y empresas de la UE, promoviendo transacciones digitales más seguras y eficientes tanto a nivel nacional como transfronterizo.

Uno de los elementos más destacados del eIDAS2 es la introducción de la Cartera de Identidad Digital Europea, conocida como EUDI Wallet (European Digital Identity Wallet) o Cartera IDUE en español (Identidad Digital de la Unión Europea). Se trata de una aplicación móvil que permitirá a los usuarios almacenar, gestionar y compartir de manera segura datos de identidad y declaraciones electrónicas de atributos personales, (como el DNI, el carné de conducir, títulos académicos, certificados médicos, datos de empadronamiento o poderes de representación) y firmar documentos electrónicamente con firma cualificada. Esta cartera digital no sustituye los propios documentos físicos como el DNI, pero amplía sus funcionalidades al ámbito digital, ofreciendo un medio unificado para autenticarse en servicios públicos y privados, tanto en línea como presencialmente.

La Cartera IDUE está diseñada para dar a los usuarios un mayor control sobre sus datos personales. Por ejemplo, permite compartir solo la información necesaria para una transacción específica (como probar que eres mayor de edad sin revelar tu fecha de nacimiento completa) y registrar todas las interacciones para mayor transparencia. En el futro permitirá retirar el consentimiento sobre datos personales aportados con anterioridad por lo que será una de las primeras herramientas para ejercer los derechos SOPLAR (antiguos ARCO) con un click.

Además, deberá ser aceptada obligatoriamente por empresas y organismos en todos los países de la UE, lo que facilita la interoperabilidad y el acceso a servicios transfronterizos. Los Estados miembros deberán proporcionar esta cartera a sus ciudadanos en un plazo de 24 meses tras la aprobación de las especificaciones técnicas detalladas, previstas en actos de ejecución que complementan el reglamento. Es decir, en diciembre de 2026.

Del Legado de Ettore Majorana al Criptocalipsis: Adopción de la computación postcuántica para firmas electrónicas y otros usos

1 respuesta

Ettore Majorana fue un físico italiano brillante y enigmático que dejó una huella imborrable en la ciencia antes de desaparecer misteriosamente en 1938. En 1937, propuso la existencia de unas partículas especiales, hoy llamadas “fermiones de Majorana”, que son únicas porque son sus propias antipartículas. Este concepto, inicialmente teórico, ha inspirado avances modernos como el chip Majorana 1, anunciado por Microsoft en febrero de 2025. Con este chip, la computación cuántica da un salto hacia adelante, pero también nos acerca a un “criptocalipsis”: el momento en que las claves privadas de los criptosistemas de clave pública actuales podrían descifrarse mediante la computación cuántica.

El avance en computación cuántica que supone el chip Majorana 1, con qubits topológicos, pone en riesgo la criptografía de clave pública basada en algortmos RSA y ECC.

Las autoridades de certificación (CAs), nos planteamos la disyuntiva: ¿priorizamos la emisión de certificados resistentes a la criptografía cuántica futuro o mejoramos los sistema de archivo electrónico para preservar documentos firmados electrónicamente con las técnicas actuales? Este artículo analiza el impacto técnico del Majorana 1, el papel del algoritmo de Shor y estrategias prácticas frente a esta transición.

Majorana 1 y el Algoritmo de Shor

El chip Majorana 1 usa los fermiones de Ettore para crear “qubits topológicos”, unidades de cálculo cuántico más estables que las tradicionales. Aunque el presentado estos días solo tiene 8 qubits, Microsoft promete escalarlo a miles o incluso un millón en pocos años. ¿Por qué importa? Porque con suficientes qubits (digamos, 3000-6000), una computadora cuántica podría usar el algoritmo de Shor para descifrar sistemas como ECC-512, comunes en certificados digitales, en cuestión de horas. Esto podría pasar hacia 2031-2033. Para RSA-4096, más resistente, harían falta 20,000 qubits o más, retrasando su caída quizás a 2035-2040. Sin embargo, el peligro ya existe: los datos protegidos hoy podrían ser guardados y descifrados después, un riesgo conocido como “recolectar ahora, descifrar después”.

Certificados Post-Cuánticos

La criptografía post-cuántica (PQC) utiiza algoritmos que no son vulnerables frente al algoritmos de Shor con problemas matemáticos resistentes, como los basados en retículos (lattices). En 2024, NIST estandarizó algoritmos clave:

  • CRYSTALS-Dilithium (ML-DSA): Usa Module-LWE y SIS; firmas de 2.7-4.8 KB, nivel 128-256 bits PQC.
  • FALCON (FN-DSA): Basado en NTRU-SVP; firmas compactas (0.6-1.2 KB), optimizado para verificación rápida.
  • CRYSTALS-Kyber (ML-KEM): Cifrado con MLWE; claves/cifrados de 0.8-1.6 KB.

La estrategia híbrida combina estos algoritmos con los clásicos: un certificado con ECDSA P-256 y ML-DSA-44 es válido hoy y seguro contra el algoritmo de Shor en el futuro. En eIDAS, un HSM QSCD como el Thales Luna S750 (firmware 7.7+, que figura en el listado de QSCD certificados en el Dashboard de la UE) genera estas claves duales. Para ECC, que se usó en pasaportes digitales COVID, la urgencia sería alta en otros usos que requieran validez a mayor plazo: 3000 qubits en 2031 podrían atacar estas longitudes de clave. Las claves basadas en RSA-4096 permiten una transición más pausada, pero iniciar PQC híbrido pronto evita prisas futuras.

Archivado Digital: Garantizar la Preservación

El archivado digital es un pilar técnico y regulatorio, especialmente bajo eIDAS (Art. 32), que exige poder validar firmas años después de su realización. Si el algoritmo de Shor rompe claves ECC en 2031 o RSA en 2035, las firmas y sello electrónicos basados en los certificados actuales deben seguir siendo verificables, Por lo que conviene ir adoptando técnicas apropiadas:

  • Sellos de tiempo cualificados: Firmarlos con ML-DSA asegura su resistencia cuántica.
  • Almacenamiento: Bases de datos replicadas y HSMs guardan certificados, CRLs y logs por 7-10 años (siguiendo las pautas de la norma ETSI EN 319 521).

Para CAs con predominio de RSA-4096, reforzar el servicio de archivo electróncio es prioritario: su mayor resistencia da tiempo, pero la trazabilidad es crítica. Para ECC, el archivado complementa PQC, protegiendo datos históricos mientras Shor acecha.

Recomendaciones para Prestadores de Servicios de Confianza DIgital

A modo de resumen

  • Prestadores que emiten certificados ECC : Deben considerar que existe una alta probabilidad de que se puede alcanzar un computador cuántico de 3000-6000 qubits en 2031, por lo que el algoritmo ECC-512 podría estar en riesgo (logaritmo discreto resuelto en O(n3)). Los PSC debería emitir certificados híbridos (ECC + PQC) ya y gestionar el archivo con sellos de tiempo basados en algoritmos PQC.
  • Prestadores que emiten certificados RSA-4096: Se requieren 20,000+ qubits (factorización en O(n3)), por lo que el computador cuántico apropiado podría no llegar hasta hasta 2035+. En este caso convendría priorizar el archivado digital, con sellos de tiempo basados en algoritmos PQC.

El chip Majorana 1, heredero del genio de Ettore, hace que el algoritmo de Shor se convierta en una amenaza más inminente de lo que se pensaba para los algoritmos de criptografía de clave pública ECC y RSA. La respuesta técnica combinará certificados PQC híbridos y un archivado robusto.

XI Congreso Internacional de Derecho Digital ENATIC

Deja un comentario

Madrid acogerá el próximo 27 de febrero de 2025, la undécima edición del Congreso Internacional de Derecho Digital de ENATIC, en la que me han invitado a participar.

El congreso se celebrará en la sede del Consejo General de la Abogacía Española en Paseo de Recoletos 13 – 28004 Madrid y ya es posible inscribirse.

La cita reunirá a expertos de referencia y líderes en sus áreas de actividad en el ámbito del Derecho Digital, como inteligencia artificial, Blockchain, servicios y mercados digitales, ciberseguridad o privacidad.

Estructura de la jornada

9:00 Inaugración. Belén Arribas (Abogada y Presidenta de ENATIC). Participan Miguel Hermosa (Consejero adjunto a Presidencia CGAE), SEDIA, Red.es y ENATIC

9:30 Mesa redonda: Los Derechos Digitales para la nueva era. Modera: Rodolfo Tesone (Presidente emérito ENATIC)

  • Borja Adsuara
  • Ofelia Tejerina
  • Ramsés Gallego

10:15 Mesa redonda: Los Derechos Digitales y la IA. Modera: José Manuel Muñoz

  • Carmen Muñoz
  • Antonio Serrano
  • Belén Arribas

11:00 Pausa – Café

11:30 Mesa redonda: Protección de Datos. Modera: Esther García

  • Francisco Pérez
  • Joana Marí
  • Marcos Mª Judel

12:15 Mesa redonda: Ciberseguridad. Modera: Carlos Saiz

  • Francisco Lázaro
  • Daniel García

13:00 TBD- Enatic, ISMS, ESYS, ICMedia, Registradores

14:00 Comida Asamblea General

15:30 Mesa redonda: Identidad Digital (eIDAS2). Moderada por Pilar Garrido

  • Elena Gil
  • Lucas Carmona
  • Julián Inza

16:15 Mesa redonda: Legaltech. Modera: Carlos Fernández

  • Sara Molina
  • Ferrán Sala

16:45 Mesa redonda: Protección de menores de edad y Ciberseguridad. Moderada por Pilar Tintoré

  • Beatriz Izquierdo
  • Escarlata Gutiérrez

17:15 Modernización de la Justicia. Modera: Laura Fra

  • Miguel Hermosa
  • Ana de la Ser
  • Joaquín Delgado

18:00 Los Derechos Digitales y el Compliance. Leandro Núñez

  • Eloy Velasco
  • Concepción Campos

18:45 Clausura.

  • Belén Arribas
  • Rodolfo Tesone
  • Participan: CGAE, SEDIA, Red.es y ENATIC

Congreso Internacional «Desafíos pendientes en la digitalización de los mercados financieros (del 4 al 6 de marzo de 2025)

Deja un comentario

El Congreso Internacional «Desafíos pendientes en la digitalización de los mercados financieros» tendrá lugar los días 4, 5 y 6 de marzo de 2025 en el Salón de Grados de la Facultad de Derecho Universidad Complutense de Madrid.

Mi presentación, titulada «Seguridad Jurídica Preventiva Digital. Los servicios cualificados de confianza europeos EIDAS y EIDAS2” tendrá lugar el 4 de marzo.

Organizado en el marco del proyecto de investigación La digitalización de los mercados financieros (análisis jurídico) – PID2020-113447RB-I00, IP es la prof. Isabel Fernández Torres.

  • Dir. Isabel Fernández Torres, Catedrática (Ac.), UCM
  • Dir. Adjunta: Luz María García, UCM

Acceso libre hasta completar aforo.

Martes, 4 de marzo de 2025


9:00 Inauguración de las Jornadas
9:15 Ponencia inaugural: Miguel Ángel Fernández Ordoñez, ex – gobernador del Banco
de España


METAVERSO, IA, MACHINE LEARNING Y SU IMPACTO EN EL MUNDO JURÍDICO

9:45 Conferencia: “IA en el mercado financiero”, Isabel Fernández Torres, Universidad
Complutense
10: 45 Conferencia: “AI Regulation”, T. Bonneau, Univ. Paris II Panthéon-Assas


11:00 Mesa redonda. Modera Maite Martínez Martínez, Universidad Complutense

  • Almudena de la Mata (Blockchain Intellingence Law Institute): “Confluencia de IA y Blockchain en el Metaverso y los nuevos servicios financieros”
  • Julián Inza (Presidente EAD Trust): “Seguridad Jurídica Preventiva Digital. Los servicios cualificados de confianza europeos EIDAS y EIDAS2”
  • Noemí Brito (KPMG): “Ética Digital e IA Confiable”
  • Pedro Portellano (Universidad Autónoma de Madrid): “Decisiones financieras, inteligencia artificial y Business Judgment Rule”

12:00 Pausa-Café

DATOS

12:30 Conferencia: “Minería de datos”, Begoña González Otero, Max Planck for
innovation and competition (Munich).


13.00 Mesa redonda. Modera Antonio Alonso Bartol Bustos, Universidad Complutense

  • Luis Felipe López (UDIMA): “Protección de Datos”
  • Cristina Timón (Universidad de Murcia): “Identidad Digital”
  • Julio V. González (Universidad Complutense): “Transferencia internacional de datos”
  • Julia Suderow (Universidad de Deusto): “Big data: nuevos modelos y mala regulación”

14:00 Comida

15.30 Mesa redonda. INATBA
16.30 Comunicaciones


Miércoles, 5 de marzo de 2025


MERCADOS DE CAPITAL DIGITALES

9.00 Conferencia. Montserrat Martínez Parera, Vicepresidenta de la Comisión Nacional del Mercado de Valores
9.30 Conferencia, Francesca Romana Medda, “Sandboxes”, University College of London

10:15 Mesa redonda. Modera Javier Juste Mencía, Universidad Complutense

  • Nuria Fernández (Universidad de Alicante): “Protección al inversor”
  • Luz María García (Universidad Complutense): “Abuso de mercado y descentralización”
  • Konstantinos Sergakis (Glasgow University): “Democratizing Finance via AI: Investor Protection and Investor Engagement”
  • Juan Ignacio Peinado Gracia (Universidad de Málaga): “Sostenibilidad y digitalización”

11:45 Pausa/café

PRESENTE Y FUTURO DE LOS CRIPTOACTIVOS

12:15 Conferencia. Carmen Pastor, Universidad de Alicante

12.45 Mesa redonda. Modera Javier Megías López, Universidad Complutense

  • Cristina Guerrero (Universidad Complutense): “Taxonomía”
  • Alfredo Muñoz (Universidad Complutense): “Colocación y venta de tokens”
  • Emilio Díaz Ruíz (Universidad Complutense): “Transparencia en la promoción y colocación”
  • Rebeca Herrero Morant (Universidad de Zaragoza): “Algunos problemas jurídicos de los security tokens”

14.15 Comida

EURODIGITAL, TRIBUTACION Y BLANQUEO DE CAPITALES

16.00 Conferencia: Francisco Javier Priego, Secretario General del Banco de España

16.30 Conferencia: Joachim Wüermeling, former member of the Executive Committee Bundesbank, Partner Allen y Board Member Blockchain Intelligence

17.00 Mesa redonda. Modera: José Luis Colino Mediavilla, Universidad Complutense

  • José María López (Universidad de Málaga): “Proveedores de servicios de pago”
  • Xavier Codina (CUNEF): “Blanqueo de capitales”
  • Pablo Sanz Bayón (ICADE): “Comparativa CBDCs”
  • Rosa Galán (Universidad Complutense): “Tributación” DEFI, DAOS, P2P

18.15 Modera: Eva Recamán Graña, Universidad Complutense

  • Alfonso Martínez Echevarría (CEU): “Tokens de gobernanza”
  • Sagrario Navarro (UCLM): “DAOS”
  • Ana Muñoz (URJC): “DEFI”
  • Fernando Carbajo (Universidad de Salamanca): “NFT”

Jueves, 6 de marzo de 2025

9.00 DIGITALIZACION Y REGISTROS

NUEVOS DESAFIOS EN EL DERECHO BANCARIO

10.30 Conferencia: Rosa María Barresi, University of Florence

11.00 Conferencia: Alicia Muñoz Lombardía, Banco Santander

11:30 Pausa Café

12.00 Mesa redonda. Modera José Carlos González Vázquez, Universidad Complutense

  • Alberto Ruiz Ojeda (Universidad de Málaga): “Resolución y digitalización”
  • Mª Ángeles Alcalá (Universidad de Castilla la Mancha): “Digitalización y Buen Gobierno Corporativo”
  • Francisco Uría (KPMG): “PSD3”
  • Silvia Madrid (Unicredit): “Compliance”
  • Sofia País (Universidad Católica de Porto): “Prácticas anticompetitivas en el sector Bancario”

13.30 PONENCIA DE CLAUSURA: Montserrat Martínez Parera, Vicepresidenta de la
CNMV

Menciones a la firma manuscrita digitalizada en la normativa

Deja un comentario

Una norma de reciente publicación, el «Real Decreto-ley 6/2023, de 19 de diciembre, por el que se aprueban medidas urgentes para la ejecución del Plan de Recuperación, Transformación y Resiliencia en materia de servicio público de justicia, función pública, régimen local y mecenazgo» recoge de manera expresa la posibilidad de usar la firma manuscrita en determinados contextos.

.En su artículo 29 indica:

3. Si la constancia se obtiene utilizando una firma, esta podrá ser manuscrita, bien en papel, bien utilizando dispositivos técnicos idóneos para su captura que gestionen la firma con medidas de seguridad equivalentes a la firma avanzada definida en el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, y según lo establecido en la Guía de Interoperabilidad y Seguridad de Autenticación, Certificados y Firma Electrónica aprobada por el Comité técnico estatal de la Administración judicial electrónica.

Dicha Guía, recoge los requisitos de ese tipo de firmas en el apartado 17 «Pautas de realización de firmas electrónicas en PDF basadas en firmas manuscritas, sin uso de certificado«.

Estas son las recomendaciones establecidas en esa sección:

En el caso de que se empleen firmas electrónicas avanzadas no basadas en certificado, sino en la vinculación a los documentos electrónicos de firmas manuscritas captadas con técnicas biométricas se respetarán los siguientes criterios:

  • El proceso de creación de las firmas manuscritas digitalizadas implicará el cifrado de la información biométrica asociada a la realización del trazo de la firma sobre un dispositivo idóneo y su incorporación al propio documento. El cifrado se apoyará sobre una clave pública gestionada por el software de codificación de firmas, asociada con una clave privada custodiada por un notario o un Prestador de Servicios de Confianza Digital.
  • En caso de controversia sobre la firma, debe ser posible su cotejo para lo que se podrá recurrir al notario o Prestador de Servicios de Confianza Digital supervisado por el órgano designado (Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, adscrita al Ministerio de Industria, Energía y Turismo)., que custodia la clave privada, que colaborarán para el descifrado de la información biométrica del documento, lo que podrá utilizar un perito calígrafo para comparar la firma con otras indubitadas del mismo autor.
  • La posibilidad de extraer la información dinámica estará disponible sin coste en el Prestador a disposición de los firmantes y terceros con interés legítimo.
  • La firma y el contenido del documento se vincularán de forma indisociable, de forma que esta vinculación pueda ser comprobada por quien acceda al documento
  • La imagen estática de la firma será visible en el documento PDF
  • El software de análisis pericial que permita comparar una firma controvertida con otras indubitadas estará disponible sin coste en un tercero depositario a disposición de los firmantes y terceros con interés legítimo.
  • Las firmas electrónicas de este tipo pueden ir reforzadas con sellos de tiempo o firmas o sellos automatizados
  • Se preferirán los sistemas que estén respaldados por sellos de calidad que el fabricante o distribuidor haya obtenido tras superar una auditoría de una entidad auditora especializada en sistemas de firma manuscrita digitalizada avanzada.

Además de esta norma se tratan las firmas digitalizadas en otras normas:

  • Resolución de 4 de febrero de 2011, de la Presidencia de la Agencia Estatal de Administración Tributaria, sobre uso de código seguro de verificación y por la que se crean sellos electrónicos del organismo. Indica los siguiente:

Sexto. Integración de las firmas de los funcionarios actuantes y de los obligados tributarios en un documento administrativo.–Conforme a los criterios que establezca la Dirección General de la Agencia Tributaria se podrán utilizar instrumentos que permitan la firma conjunta de los funcionarios actuantes y de los ciudadanos con quienes se entiendan las actuaciones, tales como tabletas digitalizadoras o asistentes personales digitales, siempre que quede asegurada la integridad del documento firmado mediante la inmediata generación de un CSV o sistema análogo.

  • Resolución de 6 de abril de 2016, del Servicio Público de Empleo Estatal, por la que se aprueba el sistema de firma electrónica mediante captura de firma digitalizada con datos biométricos para relacionarse presencialmente con el Servicio Público de Empleo Estatal.

Contempla la firma digitalizada especialmente en el apartado Primero. «Aprobación del sistema de firma electrónica mediante captura de firma digitalizada con datos biométricos para relacionarse presencialmente con el Servicio Público de Empleo Estatal.» y en el Anexo.

Contacte con EADTrust se necesita una entidad auditora especializada en sistemas de firma manuscrita digitalizada avanzada. Llame al 91 7160555.

Present and Future of the European and Global Remote Signature Market

Deja un comentario

🚨 Last chance to be first to receive the report! 🚨
Be among the first to receive exclusive insights into the European and Global Remote Signature Market—but time is running out! Before February 14th

💡 Share your perspective now in our 👉 survey:
📊 «Present and Future of the European and Global Remote Signature Market»

We’re uncovering key trends, challenges, and opportunities, with a focus on:
✅ Legal frameworks (eIDAS 2.0)
✅ Availability, integration, and adoption of remote signatures
✅ Market dynamics & customer expectations
This survey is conducted by Obserwatorium.biz and Nimbus Technologieberatung GmbH for the Cloud Signature Consortium.
The results will be featured in an upcoming CSC publication.
⏳ Don’t miss your chance—take the survey today!

Se está desarrollando un estudio sobre «Presente y futuro del mercado europeo y mundial de la firma remota» y los que participen en la encuestan recibirán el informe sin coste, tan pronto como se complete. Y quedan pocos días para responder a la encuesta. ¡El plazo acaba el 14 de febrero!

Dos reconocidas consultoras del ámbito de los Servicios de Confianza Digital y EIDAS Obserwatorium.biz y Nimbus Technologieberatung GmbH han diseñado la encuesta para el Cloud Signature Consortium, que publicará los resultados del estudio.

🚨 ¡Última oportunidad para ser de los primeros en recibir el informe! 🚨
Sea de los primeros en recibir información exclusiva sobre el mercado europeo y mundial de la firma a distancia, ¡pero se acaba el tiempo!

💡 Comparte tu perspectiva ahora en esta👉 encuesta::
📊 «Presente y futuro del mercado europeo y mundial de la firma remota»

El estudio está descubriendo tendencias, retos y oportunidades clave, con especial atención a:
✅ Marcos jurídicos (eIDAS 2.0)
✅ Disponibilidad, integración y adopción de firmas remotas
✅ Dinámica del mercado y expectativas de los clientes

Los resultados aparecerán en una próxima publicación del Cloud Signature Consortium.

⏳ No pierda su oportunidad: ¡responda a la encuesta hoy mismo!

Roadshow de Ingram Micro sobre NIS 2 & DORA: Estrategias para la Seguridad y Cumplimiento. Evento para partners.

1 respuesta

Roadshow NIS 2 & DORA: Estrategias para la Seguridad y Cumplimiento

📅 20 de febrero | 📍 Madrid

El próximo 20 de febrero de 2025 intervendré en el evento para partners organizado por Ingram Micro sobre la Directiva NIS2 (para la que recientemente se ha publicado el anteproyecto de ley que será su transposición a la legislación española) y sobre el Reglamento DORA (Digital Operational Resilience Act).

También intervendrán ponentes de Barracuda, Hewlett Packard Enterprise, SonicWall y Zerto.

Tanto la Directiva NIS2 como el Reglamento DORA imponen requisitos de seguridad a las empresas, en particular a las que son proveedoras de las entidades financieras y aseguradoras.

En este evento analizaremos:
✅ Cómo la Directiva NIS2 y el Reglamento DORA afectan a tu negocio.
✅ Consecuencias legales y sanciones por incumplimiento.
✅ Estrategias prácticas para gestionar la ciberseguridad de manera sistemática

¡Reserva tu plaza y prepárate para transformar los desafíos de NIS2 y DORA en oportunidades!

NIS2

La Directiva NIS2, que busca fortalecer la ciberseguridad en la Unión Europea, debía ser transpuesta por los Estados miembros a sus legislaciones nacionales antes del 17 de octubre de 2024. Sin embargo, hasta esa fecha, solo cuatro países—Bélgica, Croacia, Italia y Lituania—habían completado la transposición. España no se encontraba entre ellos.

En enero de 2025, el Consejo de Ministros de España aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, destinado a transponer la Directiva NIS2 al ordenamiento jurídico español. Este anteproyecto busca establecer un marco actualizado para la prevención y gestión de amenazas en el ciberespacio.

01_2025_Anteproyecto_ley_coordinacion_gobernanza_ciberseguridadDescarga

A pesar de estos avances, la transposición aún no se ha completado en España. El proceso legislativo continúa, y se espera que la ley sea debatida y aprobada en las Cortes Generales en los próximos meses. Mientras tanto, las empresas y organizaciones deben prepararse para cumplir con las obligaciones que la Directiva NIS2 impondrá una vez sea plenamente incorporada al marco legal español.

DORA

El Reglamento DORA (Digital Operational Resilience Act) es aplicable desde el 17 de enero de 2025. Este reglamento de la Unión Europea establece un marco para fortalecer la resiliencia operativa digital del sector financiero, incluyendo bancos, aseguradoras y empresas de inversión. Su objetivo es garantizar que estas entidades puedan resistir, responder y recuperarse de perturbaciones operativas graves, como ciberataques o fallos tecnológicos.

DORA impone requisitos específicos en áreas como la gestión de riesgos relacionados con las tecnologías de la información y la comunicación (TIC), la notificación de incidentes, la realización de pruebas de resiliencia operativa digital y la gestión de riesgos de terceros proveedores de servicios TIC. Las entidades financieras deben haber adaptado sus procesos y sistemas para cumplir con estas obligaciones desde la fecha de aplicación.

En España, el Banco de España y la Comisión Nacional del Mercado de Valores (CNMV) han emitido comunicaciones y establecido procedimientos para supervisar el cumplimiento de DORA por parte de las entidades bajo su supervisión. Por ejemplo, el Banco de España ha requerido a las entidades financieras que adapten sus procesos de gestión de incidentes relacionados con las TIC y que notifiquen los incidentes graves a través de un nuevo servicio electrónico.

Es fundamental que las entidades financieras y los proveedores de servicios TIC relacionados con el sector financiero aseguren el cumplimiento de DORA para fortalecer la resiliencia operativa digital y protegerse contra amenazas y perturbaciones en el entorno digital.

Nos vemos en el evento: Nuevo Modelo de Identidad Digital: telemática y segura – SocInfo Digital

Deja un comentario

El jueves 13 de febrero 2025 tendrá lugar en el INAP. C/ Atocha, 106. 28012 Madrid este evento de la revista «Sociedad de la Información Digital», con el patrocinio de Teknei, SICPA, EAD Trust y VeriDas.

Mi ponencia se centrará en la Certificación de la Cartera de Identidad Europea, gracias al impulso de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) que ha lanzado un Grupo de Trabajo Ad Hoc (AHWG-Ad Hoc Working Group) centrado en la certificación de las Carteras de Identidad Digital de la UE (EUDI Wallet) y para el que he sido seleccionado como uno de los expertos.

El encuentro “Nuevo Modelo de Identidad Digital: telemática y segura” promete ser muy interesante y nos actualizará sobre el desarrollo del marco normativo y tecnológico de la Identidad Digital Europea.

La inscripción en el evento es gratuita para funcionarios de sector público.

La inscripción de asistentes de sector privado tiene un coste de 199 euros (IVA incluido), y, para gestionarla, deben ponerse en contacto con la organización: administracion@socinfodigital.es


El programa es el siguiente:

09.30 Acreditación. Entrega de Identificador personal y documentación.

10.00 Bienvenida.
Dª Carolina Sánchez Sánchez. Directora. Revista Sociedad de la Información Digital.

10.10 Nuevo Modelo de identidad Digital: telemática y segura.
D. Ángel Martín Bautista. Subdirector Adjunto de Planificación y Gobernanza de la Administración Digital. Ministerio para la Transformación Digital y de la Función Pública.

10.25 El Ecosistema Europeo de Identidad Digital (EUDI): más allá del wallet.
D. Lucas Carmona. Director Identidad Digital. Teknei.

10.40 Dirección General de la Policía.
Responsable de la Unidad de Informática y Telecomunicación. Dirección General de la Policía.

10.55 Del Fraude a la Confianza: La Identidad Digital como pilar de la Administración Pública.
Ciberseguridad, centralidad del dato y el Wallet de Identidad para la transformación digital.
D. David Luquin.Director de Sector Público. Veridas.

11.10 Modelo de Identidad Digital en la Comunidad de Madrid.
Dª Marta Bilbao. Directora de Innovación, Datos y Transformación Digital. Madrid Digital. Comunidad de Madrid.

11.25 Turno de preguntas.

11.30 Pausa Café.

12.00 Viajes inteligentes: los beneficios de las credenciales de viaje digitales en 2026 con el nuevo EU Wallet.
D. Fabián Torres. Director. Business Development. SICPA.

12.15 Benidorm sandbox en el nuevo modelo de la identidad digital.
Dª Leire Bilbao. Directora General. Fundación Visit-Benidorm.

12.30 Certificación de la Cartera de Identidad Europea.
D. Julián Inza. Presidente. EAD Trust.

12.45 AOC.
D. Miquel Estapé. Director Gerente. Administración Oberta de Cataluña.

13.15 Turno de preguntas.

13.20 Cierre.

Puede ver el programa actualizado en el siguiente enlace: https://socinfodigital.es/2025…

Qué son los OID y qué papel juegan en ellos los PEN (Private Enterprise Numbers)

Deja un comentario

Los OIDs (Object Identifiers o Identificadores de Objeto) son elementos fundamentales en los certificados X.509, que se utilizan en las infraestructuras de clave pública (PKI) para crear etiquetas y contenidos que forman parte de los certificados. También se usan para identificar sistemas en contextos de gestión de red SNMP.

SNMP es un tipo de protocolo que permite a los administradores supervisar el estado del hardware y el software de una red. Los dispositivos habilitados para SNMP pueden supervisarse de forma remota con herramientas que muestran el estado de la red para realizar el seguimiento de su rendimiento y la disponibilidad. Los OID forman parte del sistema de identificación de equipos y aplicaciones.

Aunque hay varios organismos en los que gestionar las secuencias numéricas de OID para garantizar que identifican de manera única un concepto, los OID gestionados a través de la herramienta Private Enterprise Numbers (PEN) de la Internet Assigned Numbers Authority (IANA) son los más extendidos.

La norma técnica de referencia (de la codificación ASN1) es la de ITU-T, «Information technology – ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)«, ITU-T Recommendation X.690, February 2021.

Características principales de los OIDs

  • Representación: Los OIDs se representan como una serie de números separados por puntos, formando una estructura jerárquica.
  • Unicidad: Cada OID es único a nivel mundial, lo que permite identificar de manera inequívoca diferentes elementos dentro de un certificado.
  • Estandarización: Proporcionan un enfoque estandarizado para nombrar e identificar elementos en la estructura del certificado X.509.

Funciones de los OIDs en certificados

Los OIDs cumplen diversas funciones importantes en los certificados X.509:

  1. Identificación de algoritmos: Especifican los algoritmos criptográficos utilizados para la firma y verificación de certificados.
  2. Definición de tipos de claves: Identifican diferentes tipos de claves criptográficas empleadas en los certificados.
  3. Especificación de políticas: Definen políticas específicas asociadas con la emisión y uso de certificados.
  4. Usos extendidos de claves: Indican los propósitos para los cuales se puede utilizar la clave pública de un certificado.
  5. Atributos de sujeto y emisor: Definen varios atributos como nombre común, unidad organizativa, país, etc.

Ejemplos de OIDs comunes

  • 2.5.4.3: Corresponde al «Nombre común» dentro de un Nombre distinguido (DN) de un certificado.
  • 1.2.840.113549.1.1.11: Identifica el algoritmo RSA-SSA-PSS para firmas digitales.
  • 2.5.29.15: Indica la extensión «Uso de clave».
  • 0.4.0.1862.1.1: Representa la declaración de certificado cualificado (QcCompliance).

Los OIDs son esenciales para comprender y procesar los certificados X.509 de manera coherente en diferentes sistemas y aplicaciones en todo el mundo. Su uso garantiza la interoperabilidad y la seguridad en el complejo ecosistema de la infraestructura de clave pública.

Private Enterprise Numbers (PEN)

Los Private Enterprise Numbers (PEN) son identificadores únicos asignados por la Internet Assigned Numbers Authority (IANA) a organizaciones para diversos propósitos dentro de estándares de red y protocolos. Se utilizan principalmente en la identificación de objetos dentro de esquemas de numeración, como en OID (Object Identifiers). Estos identificadores son los más adoptados por los Prestadores de Servicios de Certificación y comienzan con la secuencia de números; 1.3.6.1.4.1.

Por ejemplo, el de EADTrust es 1.3.6.1.4.1.501.

En la web de IANA es posible solicitar y consultar los identificadores PEN. También hay un listado completo de PEN – Private Enterprise Numbers.

Uso en Prestadores de Servicios de Certificación (PSC)

En el contexto de los Prestadores de Servicios de Certificación (PSC) y la infraestructura de clave pública (PKI), los PENs son esenciales porque:

  1. Definen OID personalizados: Los PSC necesitan OIDs para definir sus políticas de certificación, perfiles de certificados, extensiones personalizadas y atributos dentro de certificados digitales.
  2. Garantizan unicidad: Como los OIDs se utilizan en certificados digitales y listas de revocación (CRLs), cada autoridad de certificación (CA) necesita identificadores únicos, y un PEN asignado por IANA garantiza que no haya colisiones.
  3. Facilitan la interoperabilidad: Muchas entidades gubernamentales y privadas exigen que los PSC definan sus propias políticas de certificación usando OIDs únicos, los cuales derivan de su PEN.

El EUID de empresa es necesario para solicitar certificados QSEAL para #EPREL

1 respuesta

EADTrust es uno de los principales Prestadores de Servicios Cualificados de Confianza que emite certificados electrónicos cualificados de persona jurídicas para EPREL (QSEAL). Este artículo pretende hacer recomendaciones a sus clientes para que lo puedan gestionar más fácilmente.

EPREL (European Product Registry for Energy Labelling) es la Base de Datos Europea de Productos para el Etiquetado Energético, una plataforma creada por la Comisión Europea en la que los proveedores de productos eléctricos (fabricantes, importadores o representantes autorizados) deben registrar los productos que requieren etiquetado energético en la UE antes de comercializarlos en el mercado comunitario. Proporciona información detallada sobre los productos registrados, incluyendo datos sobre su eficiencia energética, dimensiones, volumen, garantía mínima y otras características relevantes.

Desde el 1 de enero de 2019, es obligatorio para los proveedores registrar sus productos en EPREL antes de introducirlos en el mercado de la UE, EEE (Noruega, Islandia y Liechtenstein) e Irlanda del Norte. Los fabricantes de terceros países necesitan un importador o representante legal establecido en la UE/EEE para registrar sus productos.

Para completar el registro en EPREL, los proveedores deben firmar (sellar) electrónicamente el documento de registro con un sello cualificado (QSEAL), lo que requiere un certificado electrónico cualificado de persona jurídica soportado en un dispositivo cualificado de creación de sello, según lo requerido por el Reglamento EIDAS.

En abril de 2024 se publicó el REGLAMENTO DE EJECUCIÓN (UE) 2024/994 DE LA COMISIÓN de 2 de abril de 2024 por el que se establecen los detalles operativos de la base de datos de los productos creada en virtud del Reglamento (UE) 2017/1369 del Parlamento Europeo y del Consejo. Es la normativa que rige la identificación de las empresas para que puedan dar de alta los productos eléctricos que fabrican o venden en la base de datos #EPREL.

Hasta abril de 2025 se pueden seguir emitiendo para #EPREL certificados cualificados de persona jurídica con números de identificación empresarial acordes con las diferentes pautas que recoge la norma ETSI TS 119 412-1 (por ejemplo, en el caso de España, el CIF).

Pero desde mayo de 2025, los certificados de persona jurídica destinados a facilitar el registro de las empresas en la base de datos #EPREL deben ser del tipo «NTR» (National Trade Register) según se describe en la citada norma TS 119 412-1.

Las empresas pueden consultar en la herramienta desplegada por la Unión Europea «European e-Justice Portal – Business registers» y obtener los datos de su empresa: «Registration number» y «Business Register ID» con los que se forma el identificador «EUID». Este EUDI es un dato requerido en el portal #EPREL y es el que debe figurar en la identificación NTR del certificado.

El identificador según la referencia del tipo de identidad para el NTR, utiliza la estructura y el orden siguientes, especificado en el Reglamento de Ejecución (UE) 2021/1042 como identificador único europeo (EUID):

  •  el identificador del registro mercantil, para la sección u oficina concreta del registro público que haya asignado el número de registro mercantil a la persona jurídica de que se trate,
  •  punto, «.» (U + 002E),
  •  el número de registro mercantil asignado a la persona jurídica por el registro mercantil nacional al que se refiere el primer punto.
  • El código de país, que forma parte del EUID y que precede a los tres campos mencionados, así como el dígito de verificación, son opcionales

Contacte con el 917160555 o 902 365 612 si su empresa necesita gestionar etiquetas de eficiencia energética para sus productos eléctricos.