Reglamento eIDAS y eIDAS2: Diferencias, Implementación y Beneficios en la Identificación Electrónica
El Reglamento eIDAS (Electronic Identification, Authentication and Trust Services) es el marco legislativo que establece las normas comunes para la identificación electrónica y los servicios de confianza, como firmas electrónicas, para todos los países integrantes de la Unión Europea.
Se implementó en 2014, pero dado que la tecnología está en continuo avance, en 2021 se actualizó bajo el nombre de eIDAS2. En este texto, veremos las principales diferencias entre ambas versiones, y profundizaremos en la adopción e implementación del Reglamento y en los servicios de confianza.
Principales diferencias entre el Reglamento eIDAS y la actualización eIDAS2
Comenzamos por conocer cuáles son las diferencias principales entre la primera versión del Reglamento eIDAS (Reglamento (UE) Nº 910/2014) y la posterior actualización, llevada a cabo en 2021.
Ámbito de aplicación y alcance
- eIDAS. Establece un marco para la identificación electrónica y los servicios de confianza en la UE. Su objetivo es que las transacciones electrónicas entre empresas, ciudadanía y autoridades públicas sean seguras.
- eIDAS2. En esta actualización, se amplía el marco regulador con la inclusión de las nuevas tecnologías y se da respuesta a las necesidades emergentes en el ámbito digital. Por ejemplo, con la introducción de la Identidad Digital Europea (EUDI Wallet).
Identidad Digital Europea (EUDI Wallet)
- eIDAS. Esta versión inicial no incluye a la Carta de Identidad Digital, que se usa para almacenar y gestionar credenciales digitales. Las identidades electrónicas se gestionan a nivel nacional con ciertos requisitos de interoperabilidad.
- eIDAS2. Introduce la aplicación EUDI Wallet, que permite a la ciudadanía y a las empresas de la UE almacenar y gestionar múltiples credenciales electrónicas (identidad, diplomas, permisos, etc.) con seguridad y con un alto grado de interoperabilidad entre los Estados miembros.
Interoperabilidad y usabilidad
- eIDAS. Si bien promueve la interoperabilidad de los sistemas de identificación electrónica entre los Estados miembros, hay desafíos prácticos en la implementación y adopción homogénea.
- eIDAS2. Los problemas de interoperabilidad y usabilidad se resuelven con la EUDI Wallet. Logra que la experiencia de usuario sea más simple y coherente en toda la UE.
Servicios de confianza y certificados electrónicos
- eIDAS. Define y regula varios servicios de confianza como firmas electrónicas, sellos electrónicos, sellos de tiempo, servicios de entrega electrónica certificada y certificados de autenticación de sitios web.
- eIDAS2. Mantiene y amplía las definiciones anteriores para mejorar la seguridad y la confianza en las transacciones digitales. Para ello, se introducen nuevas normativas relativas a las tecnologías emergentes, así como prácticas en el ámbito de los servicios de confianza.
Niveles de seguridad
- eIDAS. Establece tres niveles de seguridad para los servicios de identificación electrónica: bajo, sustancial y alto.
- eIDAS2. Refuerza y aclara los requisitos de seguridad, especialmente en el contexto del EUDI Wallet, para que los niveles de seguridad vayan acordes con las tecnologías y aplicaciones que se usan.
Implementación y adopción
- eIDAS. Sentó las bases para la identificación electrónica y los servicios de confianza en la UE, pero no hubo uniformidad en la implementación práctica y la adopción entre los Estados miembros.
- eIDAS2. Los mecanismos de implementación y cumplimiento son más firmes y claros, y se centran en la cooperación y coordinación entre los Estados miembros, para que que la adopción sea uniforme y eficaz.
Como podemos observar, el eIDAS2 sigue el mismo marco creado por la versión anterior, pero se adapta a las necesidades tecnológicas y prácticas actuales en la identificación y servicios de confianza electrónicos dentro de la UE.
Cambios en los servicios de confianza y sus características
Los servicios de confianza son herramientas y procesos que garantizan la seguridad, autenticidad, integridad y validez de las transacciones y comunicaciones electrónicas. Dentro de ellos, figuran la emisión de certificados electrónicos, firmas electrónicas, sellos electrónicos, sellos de tiempo y otros mecanismos.
Todos ellos aseguran que los datos y documentos digitales son auténticos y no han sido alterados. Por tanto, facilitan la confianza y la seguridad en el entorno digital. Sin embargo, los que presentaba el Reglamento eIDAS, también han sufrido algunos cambios en la actualización al eIDAS2. A continuación vamos a ver cuáles son las novedades al respecto.
Servicios de confianza y certificados electrónicos
El Reglamento eIDAS definía los siguientes servicios de confianza:
- Firmas electrónicas. Son conjuntos de datos electrónicos que se adjuntan a un documento digital y que se utilizan para verificar la identidad de la persona firmante y la integridad del documento. eIDAS distingue entre:
- Firma electrónica simple.
- Firma electrónica avanzada, que se basa en un certificado y se crea mediante un dispositivo seguro de creación de firmas.
- Firma electrónica cualificada, que se basa en un certificado cualificado, se crea con un dispositivo cualificado y equivale legalmente a una firma manuscrita.
- Sellos electrónicos. Las personas jurídicas los usan para garantizar la autenticidad e integridad de un documento. Para aumentar la confianza, también pueden ser cualificados.
- Sellos de tiempo electrónicos. Pueden certificar que un conjunto de datos existía en un momento específico, por lo que aumentan la seguridad y la fiabilidad.
- Servicios de entrega electrónica certificada. Garantizan la transmisión segura de documentos electrónicos mediante pruebas de envío y de recepción. También impiden las alteraciones.
- Certificados de autenticación de sitios web. Aseguran que un sitio web es auténtico y no fraudulento y que pertenece a la entidad que lo opera.
Por el contrario, en el eIDAS2 esta clasificación de servicios queda de la siguiente forma:
- Firma y sello electrónico cualificados. Se enfatiza la interoperabilidad y la aceptación transfronteriza de firmas y sellos electrónicos cualificados, para reforzar las versiones anteriores. Se pueden usar en toda la UE y aumentan la confianza en las transacciones electrónicas.
- Certificados electrónicos para atributos. Estos se introducen para facilitar la verificación de información adicional, como roles o permisos específicos de una persona o entidad, cuando además de la identidad, se requieren ciertas cualificaciones o permisos.
- Ampliación de definiciones y requisitos en los servicios de entrega electrónica certificada. Se mejora la seguridad y fiabilidad para adaptarse a un mayor número de casos de uso en el entorno digital.
- Certificados de autenticación de sitios web. Se introducen mejoras en los requisitos para la emisión y gestión de certificados de autenticación de sitios web. Se pretende aumentar la confianza del usuario en los servicios en línea y reducir los riesgos asociados con sitios web fraudulentos.
- Identidad Digital Europea (EUDI Wallet). Su introducción permite a la ciudadanía gestionar sus identidades electrónicas y otros atributos, como certificados electrónicos, con seguridad e interoperabilidad. Facilita el acceso a servicios en línea en toda la UE y la portabilidad.
Beneficios de eIDAS y eIDAS2 en los servicios de confianza
Tanto el Reglamento eIDAS como la actualización eIDAS2 ofrecen múltiples beneficios a nivel empresarial y particular. Son los siguientes:
- Seguridad. Aumenta la seguridad de las transacciones electrónicas mediante la implementación de servicios de confianza cualificados y requisitos estrictos para la emisión de certificados.
- Interoperabilidad. Promueve la interoperabilidad de servicios de confianza y certificados electrónicos entre los Estados miembros, y facilita transacciones transfronterizas.
- Confianza. Aumenta la confianza de la ciudadanía y las empresas en los servicios electrónicos, y se promueve un entorno digital más seguro y fiable.
- Innovación. La adaptación a las nuevas tecnologías y prácticas facilita la innovación y el desarrollo de nuevos servicios digitales.
Implementación y adopción del eIDAS y el eIDAS2
Comenzamos por ver cuál fue el proceso de implementación y de adopción de la versión inicial del Reglamento eIDAS, para luego pasar al eIDAS2.
Implementación en eIDAS
- Notificación de sistemas de identificación electrónica. Los Estados miembros deben notificar a la Comisión Europea que sus sistemas nacionales de identificación electrónica cumplen con eIDAS. El proceso consiste en una notificación que evalúa y asegura que los sistemas cumplen con los requisitos técnicos y de seguridad establecidos por eIDAS. Una vez notificados, estos sistemas deben ser aceptados y reconocidos por todos los Estados miembros.
- Creación de infraestructuras nacionales. Cada Estado miembro debe desarrollar y mantener infraestructuras técnicas y organizativas para apoyar los servicios de identificación electrónica y confianza. Por ejemplo, la creación de Nodos eIDAS, que son puntos de conexión que permiten la interoperabilidad entre los sistemas de identificación electrónica de los distintos Estados miembros. También implica el desarrollo de servicios de confianza como firmas electrónicas, sellos electrónicos y servicios de entrega electrónica certificada.
- Supervisión y auditoría. Hay que supervisar y auditar con regularidad a los proveedores de servicios de confianza para asegurar el cumplimiento de los requisitos de eIDAS y que se mantienen altos estándares de seguridad y fiabilidad. Esta responsabilidad recae sobre las autoridades nacionales de supervisión.
Adopción en eIDAS
- Aceptación por parte de los Estados miembros:
- Descripción: La adopción de eIDAS varía entre los Estados miembros, con algunos países avanzando más rápidamente en la implementación de sus sistemas de identificación electrónica y servicios de confianza.
- Ejemplos: Países como Estonia y Suecia han sido líderes en la implementación de sistemas avanzados de identificación electrónica, mientras que otros países han enfrentado retrasos debido a desafíos técnicos y regulatorios.
- Uso para ciudadanía y empresa. Para facilitar la adopción por parte de la ciudadanía y las empresas, los gobiernos han llevado a cabo campañas de concienciación y formación, que fomenten el uso de servicios de identificación electrónica y confianza.
- Desafíos en la adopción. La adopción de eIDAS ha enfrentado varios desafíos, como problemas de interoperabilidad, diferencias culturales y jurídicas entre los Estados miembros y preocupaciones sobre la privacidad y la seguridad. Como respuesta, se han mejorado los estándares técnicos y la promoción de la colaboración entre los Estados miembros.
Implementación en eIDAS2
- Introducción del EUDI Wallet. Esta herramienta digital permite gestionar identidades electrónicas y otras credenciales de manera segura.
- Implementación: Los Estados miembros deben desarrollar y proporcionar el EUDI Wallet, asegurando que sea interoperable y cumpla con los requisitos de seguridad establecidos por eIDAS2.
- Actualización de infraestructuras. El eIDAS2 requiere la actualización de las infraestructuras nacionales existentes para soportar nuevas tecnologías y servicios. Por ejemplo, la integración de nuevas capacidades de autenticación, como biometría, y la mejora de los Nodos eIDAS para aumentar la interoperabilidad y la seguridad.
- Supervisión y cumplimiento mejorados. Se refuerzan los mecanismos de supervisión y cumplimiento, para que los proveedores de servicios de confianza y los sistemas de identificación electrónica mantengan altos estándares de seguridad y confiabilidad. Para ello, se establecen procedimientos de auditoría más rigurosos y mecanismos de sanción para los incumplimientos.
Adopción en eIDAS2
- Mayor enfoque en la experiencia del usuario. Se busca asegurar que las soluciones de identificación electrónica sean intuitivas y accesibles. Para ello, se implementan campañas de educación y formación que aumentan la familiaridad y la confianza en el EUDI Wallet y en otros servicios de identificación electrónica.
- Fomento de la adopción de identidades electrónicas y servicios de confianza en el sector privado. El objetivo es facilita la integración en servicios como la banca, telecomunicaciones y comercio electrónico. Se fomentará la colaboración entre el sector público y privado para desarrollar soluciones interoperables y seguras que beneficien a todos los usuarios.
- Inclusión y accesibilidad de los sistemas de identificación electrónica. Se implementarán estándares de accesibilidad y se promoverá el diseño inclusivo en todas las soluciones de identificación electrónica y servicios de confianza, para que sean accesibles a toda la ciudadanía, incluidas las personas con discapacidades.
Beneficios de la implementación y adopción en eIDAS y eIDAS2
La implementación y adopción de ambas versiones ha traído una serie de beneficios, que podemos resumir como los siguientes:
- Cohesión europea. La implementación de eIDAS y eIDAS2 promueve la cohesión y la integración digital en la UE, y facilita el acceso transfronterizo a servicios electrónicos.
- Seguridad y confianza. Asegura que los sistemas de identificación electrónica y servicios de confianza mantengan altos estándares de seguridad, y aumenta la confianza de los usuarios.
- Eficiencia administrativa. Reduce la burocracia y mejora la eficiencia administrativa al facilitar el acceso a servicios públicos y privados a través de identidades electrónicas interoperables.
- Innovación y competitividad. Fomenta la innovación en el sector de las tecnologías digitales, y promueve soluciones avanzadas y seguras que pueden aumentar la competitividad de la UE en el ámbito digital global.
Para concluir, la implementación y adopción de eIDAS y eIDAS2 son procesos fundamentales para construir un ecosistema digital seguro, confiable y eficiente en la Unión Europea. eIDAS2, en particular, introduce mejoras significativas que abordan las limitaciones de su predecesor y promueven una adopción más amplia y efectiva, tanto en el sector público como en el privado. Pero dado que seguiremos presenciando cambios en las tecnologías y en su uso, es probable que en los próximos años también haya nuevas actualizaciones.