El borrador de reglamento se fundamenta en el ya existente Reglamento (UE) No 910/2014, conocido como eIDAS, y tiene como objetivo principal asegurar un alto nivel de seguridad y confianza en las carteras digitales. Para lograr este propósito, el documento detalla un exhaustivo proceso de certificación que abarca desde los componentes de software hasta los procesos operativos que sustentan estas soluciones tecnológicas.
Una de las características más destacadas del reglamento es la obligación de los Estados miembros de establecer esquemas de certificación nacionales. Estos esquemas no solo deben cubrir las soluciones de cartera en sí, sino también los sistemas de identificación electrónica bajo los cuales se proporcionan. Este enfoque integral busca garantizar la coherencia y la robustez de todo el ecosistema de identidad digital en la UE.
El documento hace especial hincapié en los requisitos de certificación. Las carteras deben certificarse contra el nivel de garantía más alto según el Reglamento eIDAS, lo que implica cumplir con estrictos criterios de ciberseguridad. Estos criterios no son genéricos, sino que deben basarse en un análisis detallado de cada arquitectura específica soportada por la solución de cartera. Además, los proveedores de estas carteras deben implementar y mantener robustas políticas de gestión de riesgos, cambios y vulnerabilidades.
El proceso de evaluación y certificación descrito en el reglamento es riguroso y multifacético. Los esquemas nacionales deben especificar métodos y procedimientos para diversas actividades de evaluación, incluyendo auditorías, pruebas funcionales y evaluaciones de vulnerabilidad. Se establece también la necesidad de reglas de muestreo para evitar la repetición innecesaria de actividades de evaluación idénticas, lo que contribuye a la eficiencia del proceso sin comprometer su rigurosidad.
Un aspecto crucial del reglamento es la gestión de incidentes y vulnerabilidades. Los proveedores de carteras están obligados a establecer procedimientos para la notificación de brechas o compromisos de seguridad en sus soluciones. Además, deben mantener procesos continuos de gestión de vulnerabilidades, incluyendo la evaluación de la severidad e impacto potencial de cualquier fallo de seguridad detectado. Esta atención constante a la seguridad refleja la naturaleza dinámica de las amenazas en el ámbito digital y la necesidad de una vigilancia permanente.
El ciclo de vida de la certificación es otro elemento clave del reglamento. Los certificados emitidos no son permanentes, sino que están sujetos a evaluaciones regulares. Estas incluyen una evaluación de vigilancia anual, una evaluación de vulnerabilidades cada dos años, y un proceso completo de recertificación antes de la expiración del certificado inicial. Este enfoque garantiza que las soluciones de cartera mantengan altos estándares de seguridad a lo largo del tiempo y se adapten a las nuevas amenazas y requisitos que puedan surgir.
El reglamento se complementa con una serie de anexos que proporcionan información detallada sobre diversos aspectos del proceso de certificación. Entre ellos destaca el Anexo I, que contiene un registro de riesgos que identifica y describe las amenazas potenciales para las EUDIW. Este registro clasificará las amenazas por categorías de seguridad y privacidad, vinculándolas a las diferentes fases del ciclo de vida de las carteras y a los activos e interfaces involucrados.
Otro anexo de gran relevancia es el Anexo II, que establece los criterios de aceptabilidad de la información de garantía. Este anexo proporciona una tabla detallada con criterios para evaluar la información de garantía de diversos esquemas y estándares, incluyendo EUCC, EUCS, SOG-IS, esquemas nacionales, ISO 27001, SOC2, entre otros. Para cada esquema, se especifican puntos de atención sobre el emisor, el alcance y la garantía proporcionada, lo que permite una evaluación comparativa y exhaustiva de las diferentes soluciones.
El reglamento también aborda los requisitos funcionales de las EUDIW en su Anexo III, haciendo referencia a otros Reglamentos de Implementación relacionados. Estos requisitos cubren aspectos como la integridad, las funcionalidades principales, los protocolos e interfaces, y el manejo de datos de identificación personal y atestación electrónica de atributos.
Los métodos y procedimientos para las actividades de evaluación se detallan en el Anexo IV, que proporciona una guía exhaustiva para la realización de auditorías y evaluaciones específicas. Esto incluye evaluaciones para componentes como el WSCD (Dispositivo de Creación de Firma Cualificada), WSCA (Aplicación de Creación de Firma Cualificada), el dispositivo del usuario final, la instancia de cartera, y los servicios y procesos asociados.
El reglamento también establece requisitos de transparencia a través del Anexo V, que especifica la información que debe hacerse pública sobre las EUDIW. Esto incluye limitaciones de uso, orientaciones para los usuarios finales, período de soporte de seguridad, información de contacto y referencias a repositorios de vulnerabilidades. Esta disposición busca garantizar que los usuarios finales tengan acceso a información crucial para el uso seguro y efectivo de sus carteras digitales.
Los Anexos VI, VII y VIII proporcionan metodologías detalladas para evaluar la aceptabilidad de la información de garantía, el contenido requerido para los certificados de conformidad y los informes de certificación, respectivamente. Estos anexos aseguran una uniformidad en la evaluación y documentación de las soluciones de cartera en toda la UE, facilitando la interoperabilidad y el reconocimiento mutuo entre los Estados miembros.
Finalmente, el Anexo IX establece un calendario de referencia para las evaluaciones obligatorias de vigilancia, basado en un ciclo de 4 años. Este calendario detalla las actividades a realizar en cada año del ciclo, incluyendo la evaluación inicial, las evaluaciones de vigilancia y la recertificación. Aunque se permite cierta flexibilidad en la programación, se establece un límite máximo de 5 años para la validez de un certificado, asegurando así una revisión periódica y exhaustiva de todas las soluciones certificadas.
En su conjunto, este reglamento representa un gran paso hacia la creación de un ecosistema de identidad digital robusto y confiable en la Unión Europea. Al establecer estándares rigurosos y procesos de certificación exhaustivos, el reglamento busca garantizar que las Carteras de Identidad Digital Europea sean seguras, fiables y capaces de resistir las amenazas cibernéticas actuales y futuras. La implementación de este reglamento supondrá un desafío considerable para los Estados miembros y los proveedores de soluciones de cartera, pero también representa una oportunidad para establecer un nuevo estándar global en materia de identidad digital. A medida que avanza la digitalización de los servicios públicos y privados en la UE, la importancia de contar con identidades digitales seguras y confiables no puede ser subestimada, y este reglamento sienta las bases para lograr ese objetivo.
Este artículo forma parte de una serie de cinco que exploran los diferentes aspectos del marco técnico y operativo de la EUDIW, siendo este el último tras los anteriores: “Trust Framework del EUDIW. Las cinco implementing acts del eIDAS2”, “Protocolos e interfaces de la Cartera de Identidad Digital Europea: Un paso hacia la interoperabilidad” y “Reglamentos de ejecución del reglamento eIDAS2: personal identification data (PID) y atestaciones electrónicas de atributos (EAA)” y “El corazón del EUDIW: integridad y funcionalidades básicas”.
