Este es el segundo de dos artículos dedicados al concepto de proporcionalidad en la norma ETSI EN 319 401 v3.2.1. En la primera entrega analizamos cómo la norma articula la proporcionalidad -cláusula 4.2, etiquetas [PRO] y lenguaje implícito de riesgos- y el análisis de riesgos como motor operativo. En esta segunda parte situamos ese mecanismo en su contexto regulatorio: el mandato de eIDAS2, la coherencia dentro de la familia de normas ETSI 319 y las diferencias con los enfoques de proporcionalidad de NIS2, el RGPD y la ISO 27001.
El mecanismo de proporcionalidad descrito en la primera parte de esta serie -con su cláusula 4.2, sus etiquetas [PRO] y sus salvaguardas de efecto acumulativo- no es una creación autónoma de ETSI. Responde a un mandato legislativo concreto del Reglamento eIDAS2, se despliega de forma coordinada a través de un ecosistema de normas técnicas interrelacionadas, y dialoga con los enfoques de proporcionalidad de otros marcos regulatorios europeos. Entender este contexto es necesario para comprender por qué la norma dice lo que dice y, sobre todo, para aplicarla con criterio.
El mandato legislativo: eIDAS2 y la proporcionalidad como principio rector
El Reglamento (UE) 2024/1183 -el marco eIDAS2 que modifica el Reglamento 910/2014- incorpora la proporcionalidad en múltiples niveles de su arquitectura, creando el fundamento jurídico que la norma ETSI EN 319 401 concreta después.
El artículo 19.1 proporciona el mandato central: los prestadores de servicios de confianza, cualificados y no cualificados, deben adoptar medidas técnicas y organizativas apropiadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan, garantizando que el nivel de seguridad sea proporcionado al grado de riesgo. Esta formulación es la que el REQ-5-02 de la EN 319 401 reproduce de forma casi literal, cerrando la cadena entre legislación y estándar técnico.
Los considerandos del Reglamento amplían el principio en distintos ámbitos. El considerando 19 exige medidas de seguridad del monedero (wallet) proporcionadas a los riesgos planteados para los derechos y libertades de las personas físicas. El considerando 44 impone sanciones efectivas, proporcionadas y disuasorias, en las que el tamaño de las entidades afectadas, sus modelos de negocio y la gravedad de las infracciones deben tenerse debidamente en cuenta. El considerando 56 requiere que cualquier solicitud de datos por parte de las partes usuarias sea necesaria y proporcionada al uso previsto. Y el considerando 63 invoca expresamente el principio de proporcionalidad al determinar los efectos jurídicos de las firmas electrónicas, pidiendo a los Estados miembros que ponderen el valor jurídico del documento a firmar y el nivel de seguridad y coste que requiere una firma electrónica.
Más allá de estos enunciados, el marco eIDAS2 incorpora la proporcionalidad de forma estructural a través de su modelo de confianza de dos niveles. Los TSP cualificados se enfrentan a evaluaciones de conformidad obligatorias cada 24 meses, inclusión en las listas de confianza nacionales, obligaciones reforzadas de verificación de identidad y requisitos de seguridad más estrictos. Los TSP no cualificados están sujetos a la seguridad de base del artículo 19 y a una supervisión ex post. Esta graduación es en sí misma un mecanismo de proporcionalidad: la carga de cumplimiento se escala con el nivel de confianza declarado. Dentro del nivel cualificado, las normas ETSI diferencian aún más mediante niveles de política: la EN 319 411-1 define políticas de certificados Lightweight (LCP), Normalized (NCP) y Extended Validation (EVCP), cada una con niveles de aseguramiento distintos y la correspondiente intensidad de requisitos.
La familia ETSI 319: un modelo hub-and-spoke coherente
El ecosistema de normas ETSI para servicios de confianza sigue una arquitectura clara de centro y radios (hub-and-spoke) para la proporcionalidad. La EN 319 401 actúa como centro, definiendo el marco de proporcionalidad que heredan todas las normas específicas por tipo de servicio.
Las normas EN 319 411-1 (certificados, general) y EN 319 411-2 (certificados cualificados) referencian la EN 319 401 como su base de política general: todos los requisitos de la EN 319 401, incluidos los criterios de proporcionalidad de la cláusula 4.2, se aplican como capa base. La EN 319 411-1 añade después requisitos específicos de certificados mediante sus propios prefijos de nivel de política (GEN-, OVR-, LCP-, NCP-, EVCP-), mientras que la EN 319 411-2 incorpora requisitos de servicios cualificados que son intrínsecamente más estrictos, reduciendo la flexibilidad que la proporcionalidad ofrece para los servicios de mayor nivel de aseguramiento.
La EN 319 421 (sellos de tiempo) sigue el mismo patrón de herencia, declarando explícitamente que se aplican los requisitos de la ETSI EN 319 401 para el análisis de riesgos. La EN 319 521 (entrega electrónica certificada) lista la EN 319 401 como su única referencia normativa. Normas adicionales como la ETSI TS 119 431-1 (componentes de servicio QSCD remoto), la ETSI TS 119 461 (prueba de identidad) y la ETSI TS 119 511 (servicios de preservación) se construyen todas sobre el mismo marco.
Esta coherencia tiene una consecuencia práctica importante: un TSP que opera múltiples servicios de confianza se encuentra con la misma lógica de proporcionalidad independientemente del tipo de servicio. Solo cambian los requisitos obligatorios específicos del servicio. El enfoque también implica que cuando la EN 319 401 v3.2.1 introduce el mecanismo [PRO], todas las normas dependientes se benefician automáticamente del marco de proporcionalidad reforzado sin necesitar actualizaciones individuales.
La EN 319 403-1 -la norma que regula los organismos de evaluación de la conformidad- apoya esta arquitectura exigiendo a los auditores competencia en análisis y gestión de riesgos. Sin embargo, es menos explícita que la EN 319 401 sobre cómo deben los auditores evaluar específicamente las decisiones de proporcionalidad, una laguna que organismos nacionales como el BSI alemán han abordado mediante manuales de evaluación suplementarios y que tiene implicaciones directas para la práctica de auditoría.
Proporcionalidad en clave comparada: NIS2, RGPD e ISO 27001
El concepto de proporcionalidad en ETSI/eIDAS comparte ADN con marcos regulatorios paralelos, pero difiere en aspectos estructurales que conviene conocer. Los cuatro grandes marcos -eIDAS/ETSI, NIS2, RGPD e ISO 27001- utilizan variantes de «apropiado al riesgo» como formulación central, exigen evaluación de proporcionalidad multifactorial, requieren revisión continua y anclan las medidas al estado del arte. Pero las diferencias en cómo instrumentan el principio son relevantes.
La Directiva NIS2 (Directiva (UE) 2022/2555) es la más explícita en cuanto a los criterios de evaluación de proporcionalidad, exigiendo tener debidamente en cuenta cuatro factores: la exposición al riesgo de la entidad, su tamaño, la probabilidad y gravedad de los incidentes, y el impacto social y económico. Su artículo 21.1 exige medidas «apropiadas y proporcionadas», un lenguaje que sigue de cerca el artículo 19.1 de eIDAS. La conexión entre ambos marcos no es solo retórica: eIDAS2 sujeta explícitamente a los TSP a las obligaciones de gestión de riesgos de ciberseguridad de NIS2, de modo que la EN 319 401 v3.2.1 incorpora los requisitos de NIS2 directamente. Esto crea una arquitectura de proporcionalidad por capas donde los criterios de evaluación de NIS2 operan junto a los propios de eIDAS.
El RGPD (artículo 32) articula la proporcionalidad a través de un conjunto más amplio de factores: el estado del arte, los costes de implementación, la naturaleza, alcance, contexto y fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Sus evaluaciones de impacto relativas a la protección de datos exigen explícitamente la valoración de la necesidad y proporcionalidad de las operaciones de tratamiento en relación con los fines. La proporcionalidad del RGPD opera en un espectro continuo, sin niveles formales predefinidos.
ISO 27001:2022 adopta el enfoque más flexible: las organizaciones definen sus propios criterios de riesgo y aplican controles proporcionalmente a través de la Declaración de Aplicabilidad (SoA), que documenta cuáles de los 93 controles del Anexo A se implementan y cuáles se excluyen con justificación. El concepto de SoA es estructuralmente similar al requisito de documentación [PRO] de la EN 319 401 v3.2.1, aunque sin la salvaguarda de efecto acumulativo que esta última incorpora.
La innovación distintiva de la ETSI EN 319 401 v3.2.1 es precisamente el mecanismo de etiquetado [PRO]: ningún otro marco marca explícitamente requisitos individuales como susceptibles de proporcionalidad exigiendo simultáneamente justificación documentada y prohibiendo la erosión acumulativa. Esto representa una concreción de la proporcionalidad más granular que la ofrecida por cualquier marco comparable.
Hay además una diferencia estructural relevante en el mecanismo de graduación. eIDAS opera de forma única un sistema formal de dos niveles (cualificado vs. no cualificado) donde el nivel determina todo el régimen de cumplimiento. La distinción entre entidades esenciales e importantes de NIS2 es principalmente supervisora: distinta intensidad de supervisión, pero mismas medidas exigibles. RGPD e ISO 27001 carecen de clasificación formal de entidades. La graduación de eIDAS significa que la proporcionalidad opera dentro de carriles predefinidos: un TSP cualificado tiene menos flexibilidad de proporcionalidad que uno no cualificado, por diseño. La seguridad no se negocia al mismo nivel cuando lo que está en juego es la presunción legal de validez que acompaña al estatus cualificado.
Hasta aquí el contexto regulatorio en el que se inserta el marco de proporcionalidad de la EN 319 401 v3.2.1: un mandato legislativo claro de eIDAS2, una arquitectura de normas ETSI coherente que propaga el principio de forma uniforme, y un diálogo con marcos paralelos que revela tanto convergencias como una innovación técnica propia -el etiquetado [PRO]- que no tiene equivalente directo.
