El próximo 1 de julio entrará en vigor el Reglamento Europeo de Firma Electrónica (eIDAS).
La nueva norma tendrá un gran impacto en la actividad de Firmaprofesional y en los demás Proveedores de Servicios de Confianza (TSP en sus siglas en inglés) de los estados miembros de la Unión Europea. eIDAS substituirá y ampliará la antigua Directiva de Firma Electrónica y marcará los pilares del mercado único digital. ¿A qué retos nos enfrentamos a un mes de su puesta en marcha?
La Agencia de Ciberseguridad Europea, ENISA, ha reunido a los expertos en el tema en Bruselas y ha celebrado el Fórum de Servicios de Confianza 2016, con la participación de Chema López, de Firmaprofesional, para identificar los retos operativos de los TPS.
¿Estamos preparados? Sí Los proveedores están preparados para emitir certificados. Muchos han hecho sus deberes, pero eIDAS cambia los modelos de negocio y en ese punto queda mucho por hacer. Por ejemplo, la información sobre el estado de validez o de revocación de los certificados expedidos deberá estar disponible a partir de julio de forma automatizada, fiable, eficiente y gratuita. Esto acabará con el modelo de negocio de algunos Prestadores de servicios, y deberán adaptarse.
¿Qué áreas tendrán los mayores retos? Los cambios que trae eIDAS afectan completamente a las compañías. Pero seguramente, el departamento de Cumplimiento sea el más afectado. Ellos son los encargados de proteger los datos de la organización.
Nuevas auditorías A partir de eIDAS las auditorías se deberán hacer cada 24 meses por un organismo de evaluación (Conformity Assessment Body –CAB-). Una de las novedades es que los Prestadores de Servicios deberán correr con los gastos que ello genere. Algunos Proveedores de Servicios de Confianza, como Firmaprofesional, hace tiempo que se han adelantado y ya se someten a auditorías voluntarias asumiendo sus costes, como las ISO 9001, ISO 27001 o la certificación WebTrust.
El papel de los gobiernos Los gobiernos, en general, se han definido poco a la hora de adaptar sus leyes y prácticas a eIDAS. Los cambios se están haciendo tarde y de forma parcial. Esto dificulta la implementación de eIDAS, ya que todavía hay indefinición a la hora de obligar a cumplimientos históricos que se habían permitido por las regulaciones sin fecha de finalización (2048, SHA2), y se complica con las acciones estrictas de navegadores y problemas del JAVA.
Necesitamos un buen mapa El espacio a trabajar todavía está un poco verde. No hay suficiente orientación sobre los nuevos servicios de confianza y faltan experiencias comunes en Europa de este tipo de servicios, aunque hay experiencias aisladas, como la PEC italiana.
Hasta dónde debe llegar la regulación. Uno de los objetivos más importantes de la regulación es la armonización y la equidad. Por ello, la legislación debe asegurar que se cumplan los requisitos para ofrecer un servicio cualificado, y debe aplicarse a todos los servicios relacionados. Si finalmente la Comisión decide no desarrollar algunas de las acciones de implementación opcionales se perderá la armonización. “Estaríamos corriendo una maratón y abandonando en el último kilómetro”, analiza López. Si la comisión no regula, los estados miembros actuarán con sus propios criterios, que no tienen por qué ser iguales entre ellos.
¿Qué pasaría si un estado miembro permite una cosa y otro estado lo prohíbe? ¿Cómo se podrá conseguir la validez de los certificados en todos los estados miembros? López pide que se busque un equilibrio: “Cuánto más dura sea la legislación de los estados miembros menos competitivos serán sus Proveedores de Servicios de Confianza. Pero, por otra parte, cuanto más dura sea la regulación más alta será la barrera para nuevos operadores”.
Habrá que notificar los incidentes La notificación de los incidentes depende de los estados miembros. De hecho, la legislación española no lo tiene en cuenta. Otro punto flaco por la equidad. Además habrá que definir qué incidentes tenemos y cuál es el umbral a partir del cual se deben notificar.
En general, los incidentes suelen ser menos de lo que se imagina y suelen ser generalistas (DoS, por ejemplo), para los que hay herramientas preventivas. Para lidiar con ellos los proveedores de servicios de confianza y supervisores están más que preparados. Pero por otro lado tenemos los incidentes especiales, como la emisión de certificados falsos. Estos se deben tener muy en cuenta y prevenirlos con una combinación de elementos automatizados y manuales.
eIDAS aportará muchas ventajas, tanto por los prestadores de servicios como para los usuarios. Faltará ver cómo se despliega y cómo se adaptan los diferentes agentes para hacer valoraciones y ver si se han cubierto todas nuestras expectativas.
También te puede interesar:
- Los certificados de persona jurídica y entidades sin personalidad jurídica dejarán de emitirse el 1 de julio
- Ponte al día sobre el Reglamento Europeo de Firma Electrónica (eIDAS)