Skip to main content

La Comisión Europea ha publicado un nuevo borrador de acto de implantación que establece las normas detalladas para gestionar y responder ante brechas de seguridad en las carteras digitales europeas (European Digital Identity Wallets). Este documento, que complementa el Reglamento (UE) Nº 910/2014 (eIDAS), representa un paso crucial hacia la construcción de un ecosistema de identidad digital más seguro y resiliente en toda la Unión Europea.

El nuevo marco regulatorio establece un sistema integral para la detección, notificación y gestión de incidentes de seguridad que afecten a las carteras digitales europeas. La normativa introduce criterios específicos para evaluar la gravedad de las brechas de seguridad y define los procedimientos que deben seguir los Estados miembros cuando se producen estos incidentes.

Entre los aspectos más relevantes del borrador de acto de implantación encontramos los criterios para determinar cuándo una brecha de seguridad es lo suficientemente grave como para requerir una respuesta inmediata. Estos incluyen pérdidas financieras superiores a 500.000 euros o el 5% de la facturación anual del proveedor afectado, la posibilidad de daños a la salud o la vida de las personas, el acceso no autorizado a sistemas críticos, y la indisponibilidad prolongada del servicio por más de 12 horas consecutivas o 16 horas en una semana natural.

El borrador de acto de implantación establece un sistema de respuesta escalonado que incluye tres niveles de acción: suspensión, restablecimiento y retirada de las carteras digitales afectadas. La suspensión debe implementarse en las primeras 24 horas tras detectar una brecha de seguridad significativa, mientras que la retirada definitiva se contempla en casos de extrema gravedad o cuando una brecha no se ha podido resolver en un plazo de tres meses.

Un aspecto fundamental del nuevo marco es el requisito de notificación rápida y transparente. Los Estados miembros deben informar a los usuarios afectados, las partes que confían en las carteras (wallet-relying parties) y a la Comisión Europea en un plazo máximo de 24 horas tras la suspensión o retirada de una cartera digital. Estas notificaciones deben incluir información detallada sobre la naturaleza de la brecha, su impacto potencial y las medidas adoptadas para su resolución.

El borrador de acto de implantación también introduce el sistema CIRAS (Cyber Incident Reporting and Analysis System), operado por ENISA, como plataforma centralizada para la notificación de incidentes. Este sistema facilitará la coordinación entre Estados miembros y garantizará una respuesta coherente ante las amenazas de seguridad en toda la UE.

En el anexo del borrador se detallan los criterios específicos para evaluar la gravedad de las brechas de seguridad, proporcionando una guía clara para que los Estados miembros puedan determinar cuándo es necesario tomar medidas. Entre estos criterios se incluye el impacto sobre los usuarios (considerando crítico cuando afecta a más del 1% de los usuarios o a más de 100.000 personas), la naturaleza de los datos comprometidos y la recurrencia de los incidentes.

La normativa hace especial hincapié en la protección de datos personales, estableciendo salvaguardas adicionales cuando la brecha afecta a categorías especiales de datos personales según el Reglamento General de Protección de Datos (RGPD) o cuando existe un alto riesgo para los derechos y libertades de las personas físicas.

El borrador de acto de implantación también contempla excepciones para las operaciones de mantenimiento planificadas, siempre que estas hayan sido notificadas previamente a los usuarios y partes afectadas, y no cumplan con ninguno de los criterios de gravedad establecidos en el anexo.

Esta nueva normativa representa un avance significativo en la madurez del marco europeo de identidad digital, estableciendo procedimientos claros y estandarizados para gestionar incidentes de seguridad. Su implementación contribuirá a fortalecer la confianza en las carteras digitales europeas y a garantizar una respuesta coordinada y eficaz ante las amenazas de seguridad en todo el espacio común europeo.

La entrada en vigor del borrador de acto de implantación está prevista para veinte días después de su publicación en el Diario Oficial de la UE, con la excepción del artículo 10 sobre el sistema de notificación, que será aplicable doce meses después de la publicación. Este período de transición permitirá a los Estados miembros y a las entidades afectadas adaptar sus sistemas y procedimientos a los nuevos requisitos.