Cambios inmediatos en el Reglamento UE 910/2014 (EIDAS) por la Directiva (UE) 2022/2555 (NIS2)


Aunque el Reglamento UE 910/2014 (EIDAS) está inmerso en un proceso de revisión que dará lugar a lo que ya se está llamando «EIDAS 2» y que contendrá, entre otros aspectos, la definición de una «Cartera Electrónica EUDI» especialmente orientada a la identificación, existen otros desarrollos legislativos que se interrelacionan con EIDAS.

Uno, que ya he mencionado en alguna ocasión es la posibilidad de abrir cuentas bancarias con certificados cualificados «EIDAS» (establecido en la Directiva AML5 Directiva (UE) 2018/843, en el artículo 1, que modifica la Directiva (UE) 2015/849 en varios aspectos, y, en particular el artículo 13, apartado 1). Esta Directiva se traspuso en España mediante el Real Decreto-ley 7/2021, de 27 de abril que modificó los artículos 12 y 25 de Ley 10/2010 dando cobertura a esta posibilidad.

El cambio normativo más reciente es la publicación de la denominada «Directiva NIS2» que uniformiza el tratamiento de la ciberseguridad y los requisitos de aplicación entre todos los sectores, en especial los sectores en los que la ciberseguridad es más importante.

Esta Directiva elimina el artículo del Reglamento EIDAS referido a las medidas de ciberseguridad de los Prestadores de Servicios de Confianza y a su supervisión y establece que tales Prestadores deben cumplir en ese sentido lo establecido en la Directiva NIS2,. La norma distingue entre Prestadores de Servicios de Confianza en general y Prestadores de Servicios de Confianza Cualificados a los que considera Entidades esenciales e importantes. Habrá que esperar a la transposición de la Directiva al ordenamiento español que contemplará el establecimiento de una estrategia nacional de ciberseguridad actualizada en la que se encaje a los Prestadores de Servicios de Confianza.

En concreto, la «Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2)» conocida como Directiva NIS2 ha eliminado el artículo 19 del Reglamento (UE) nº 910/2014 (EIDAS) con efectos a partir del 18 de octubre de 2024.

El artículo 19 del EIDAS eliminado, en su redacción actual dice lo siguiente:

Requisitos de seguridad aplicables a los prestadores de servicios de confianza

  1. Los prestadores cualificados y no cualificados de servicios de confianza adoptarán las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan. Habida cuenta de los últimos avances tecnológicos, dichas medidas garantizarán un nivel de seguridad proporcionado al grado de riesgo. En particular, se adoptarán medidas para evitar y reducir al mínimo el impacto de los incidentes de seguridad e informar a los interesados de los efectos negativos de cualquiera de tales incidentes.
  2. Los prestadores cualificados y no cualificados de servicios de confianza, sin demoras indebidas pero en cualquier caso en un plazo de 24 horas tras tener conocimiento de ellas, notificarán al organismo de supervisión y, en caso pertinente, a otros organismo relevantes como el organismo nacional competente en materia de seguridad de la información, o la autoridad de protección de datos, cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes.

Cuando la violación de seguridad o la pérdida de integridad puedan atentar contra una persona física o jurídica a la que se ha prestado el servicio de confianza, el prestador de servicios de confianza notificará también a la persona física o jurídica, sin demora indebida, la violación de seguridad o la pérdida de integridad.

Cuando proceda, en particular si una violación de la seguridad o pérdida de la integridad afecta a dos o más Estados miembros, el organismo de supervisión notificado informará al respecto a los organismos de supervisión de los demás Estados miembros de que se trate y a la ENISA.

El organismo de supervisión notificado informará al público o exigirá al prestador de servicios de confianza que lo haga, en caso de considerar que la divulgación de la violación de seguridad o la pérdida de integridad reviste interés público.

  1. El organismo de supervisión facilitará a la ENISA anualmente un resumen de las notificaciones de violación de la seguridad y pérdida de la integridad recibidas de los prestadores de servicios de confianza.
  2. La Comisión podrá, mediante actos de ejecución, establecer:

a) una mayor especificación de las medidas a que se refiere el apartado 1, y

b) la definición de los formatos y procedimientos, incluidos los plazos, aplicables a efectos del apartado 2.

Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Este artículo ya no será necesario, porque los artículos 2 y 3 de la Directiva NIS2 indican:

Artículo 2

Ámbito de aplicación

1.   La presente Directiva se aplicará a las entidades públicas o privadas de alguno de los tipos mencionados en los anexos I o II que sean consideradas medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE, o que superen los límites máximos para las medianas empresas previstos en el apartado 1 de dicho artículo, y que presten sus servicios o lleven a cabo sus actividades en la Unión.

El artículo 3, apartado 4, del anexo de dicha Recomendación no se aplicará a efectos de la presente Directiva.

2.   Independientemente de su tamaño, la presente Directiva también se aplicará a las entidades de alguno de los tipos mencionados en los anexos I o II cuando:

 a) los servicios son prestados por:

(…)

  ii) prestadores de servicios de confianza;

(…)

Artículo 3

Entidades esenciales e importantes

1.   A efectos de la presente Directiva, las siguientes entidades se considerarán entidades esenciales:

(…)

 b) prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel, así como proveedores de servicios de DNS, independientemente de su tamaño;

De modo que los PSC deberán analizar como les impacta la Directiva NIS2, dado que es muy probable que sus requisitos tengan que ser considerados por las Entidades de Evaluación de Conformidad (CAB, Conformity Assessment Body) en sus auditorías periódicas

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.