Agencia Estatal Boletín Oficial del Estado

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 12, apartado 6, y su artículo 46 sexies, apartado 7,

Considerando lo siguiente:

(1)

El Reglamento (UE) n.o 910/2014 establece un mecanismo de revisión inter pares con respecto a los sistemas de identificación electrónica que deben notificarse, en el que los Estados miembros pueden participar de forma voluntaria. Las revisiones inter pares deben permitir a los Estados miembros comprender los sistemas de identificación electrónica que han de notificarse de conformidad con el artículo 9, apartado 1, letra a), del Reglamento (UE) n.o 910/2014 y cooperar eficazmente con vistas a garantizar la interoperabilidad de dichos sistemas y generar confianza en toda la Unión. Las revisiones inter pares deben organizarse de manera que se garantice una distribución equitativa de los esfuerzos y una amplia representación de todos los Estados miembros, y no deben entenderse como auditorías.

(2)

La Decisión de Ejecución (UE) 2015/296 de la Comisión (2) estableció las modalidades de procedimiento para la cooperación en materia de sistemas de identificación electrónica en el contexto de la antigua Red de Cooperación eIDAS, incluidas las revisiones inter pares realizadas por los miembros de dicha red. Dado que las tareas de revisión inter pares deben ser organizadas ahora por el Grupo de Cooperación sobre la Identidad Digital Europea, creado en virtud de la Decisión C(2024) 6132 de la Comisión, de 5.9.2024, por la que se establece el Grupo de Cooperación Europea sobre Identidad Digital y se modifica la Decisión de Ejecución (UE) 2015/296, de conformidad con el artículo 46 sexies, apartado 1, del Reglamento (UE) n.o 910/2014 («Grupo de Cooperación»), debe derogarse la Decisión de Ejecución (UE) 2015/296.

(3)

Para que las revisiones inter pares sean fácilmente accesibles, cualquier Estado miembro debe poder solicitar el inicio de una revisión de este tipo. La solicitud debe indicar los motivos por los que se solicita la revisión inter pares y contener información suficiente que corrobore que dicha revisión puede contribuir a la interoperabilidad o la seguridad de los sistemas de identificación electrónica que deben notificarse. A tal fin, es necesario crear normas uniformes relativas a la información mínima requerida para garantizar que la revisión inter pares pueda llevarse a cabo de manera eficiente y oportuna. La Comisión podrá organizar reuniones del Grupo de Cooperación para facilitar el inicio y la conclusión oportunos de una revisión inter pares.

(4)

Cuando un Estado miembro facilite información a los demás Estados miembros sobre un sistema de identificación electrónica de conformidad con el artículo 7, letra g), del Reglamento (UE) n.o 910/2014 («notificación previa»), dicha acción debe considerarse formalmente una solicitud del Estado miembro notificante para que se lleve a cabo una revisión inter pares de su sistema de identificación electrónica.

(5)

A fin de garantizar una preparación y ejecución efectivas de la revisión inter pares, deben determinarse funciones y responsabilidades tipo en dicha revisión. Los Estados miembros deben tener la posibilidad de designar representantes para desempeñar dichas funciones y responsabilidades. Dado que es fundamental garantizar que todas las revisiones inter pares se lleven a cabo sin problemas y de manera racionalizada y rápida, los Estados miembros que participen en dicha revisión deben acordar los aspectos prácticos de cada revisión inter pares, como su alcance exacto y su calendario.

(6)

Para garantizar que todos los Estados miembros contribuyan a la aplicación del mecanismo de revisión inter pares, y para que puedan beneficiarse del aprendizaje entre iguales, los representantes de cada Estado miembro deben contribuir a una distribución equitativa de los esfuerzos entre los Estados miembros en todas las revisiones inter pares que deban realizarse.

(7)

Para fomentar un alto nivel de confianza en los sistemas de identificación electrónica revisados inter pares, los Estados miembros deben proporcionar la información mínima requerida, garantizando al mismo tiempo la confidencialidad de la información potencialmente sensible. Dicha información debe ser evaluada por tres grupos de trabajo en las revisiones inter pares, cada uno de ellos con un mandato correspondiente a los temas centrales para la evaluación de un sistema de identificación electrónica, tal como se establece en el Reglamento de Ejecución (UE) 2015/1501 de la Comisión (3) y en el Reglamento de Ejecución (UE) 2015/1502 de la Comisión (4).

(8)

Dado que la Decisión de Ejecución (UE) 2015/296 ya estableció el inglés como lengua de cooperación, salvo que se acuerde otra cosa, es práctica actual de los Estados miembros realizar el proceso de revisión inter pares en dicha lengua. Por lo tanto, los Estados miembros deben facilitar la información pertinente para esa revisión al menos en inglés. No obstante, la traducción no debe generar cargas administrativas o económicas excesivas. A este respecto, los Estados miembros son libres de utilizar herramientas de traducción automática, incluidas las proporcionadas por la Comisión.

(9)

Teniendo en cuenta la importancia de las revisiones inter pares como herramienta para garantizar la fiabilidad de los sistemas de identificación electrónica notificados, debe establecerse un proceso sencillo para la adopción de un informe final de revisión inter pares claro y exhaustivo. Durante ese proceso, el Grupo de Cooperación y los Estados miembros que participen en la revisión inter pares deben tener la posibilidad de formular preguntas adicionales al Estado miembro cuyo sistema de identificación electrónica esté siendo revisado inter pares, mientras que dicho Estado miembro debe tener la oportunidad de formular observaciones adicionales. A fin de garantizar la transparencia, el proceso debe completarse con la publicación del dictamen del Grupo de Cooperación sobre la conclusión de la revisión inter pares.

(10)

Dado que los sistemas de identificación electrónica pueden experimentar cambios tras la conclusión de su revisión inter pares, también es necesario establecer un proceso para iniciar una actualización de revisiones inter pares previas si dichos cambios pueden afectar a la interoperabilidad, la seguridad o la fiabilidad del sistema de identificación electrónica notificado. De este modo, las revisiones inter pares seguirían siendo pertinentes con el tiempo a medida que evolucionen los sistemas de identificación electrónica.

(11)

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (5)y, en aquellos casos en que proceda, el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (6) y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (7) son aplicables a todas las actividades de tratamiento de datos personales en virtud del presente Reglamento.

(12)	El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 28 de mayo de 2025.

(13)	Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n.o 910/2014.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Principios generales de la revisión inter pares

1.   Cuando un Estado miembro efectúe una notificación previa de un sistema de identificación electrónica a la Comisión y a los demás Estados miembros, la revisión inter pares se iniciará de conformidad con lo dispuesto en el artículo 2.

2.   El Estado miembro que efectúe una notificación previa de un sistema de identificación electrónica podrá retirar su notificación previa en todo momento. Cuando el Estado miembro retire su notificación previa del sistema de identificación electrónica, la revisión inter pares se considerará concluida.

3.   Todo Estado miembro podrá participar, si así lo decide, en la revisión inter pares del sistema de identificación electrónica de otro Estado miembro.

4.   Cada Estado miembro que participe en una revisión inter pares correrá con los gastos en los que incurra en el proceso.

5.   Los representantes de los Estados miembros que lleven a cabo la revisión inter pares utilizarán la información obtenida a través de esta revisión únicamente a efectos de dicha revisión y no revelarán a terceros ninguna información sensible o confidencial así obtenida.

6.   Todo Estado miembro que decida participar en la revisión inter pares de un sistema de identificación electrónica de otro Estado miembro dará a conocer todo conflicto de intereses que afecte a los representantes designados por dicho Estado miembro. En aquellos casos en que exista un conflicto de intereses, el Estado miembro cuyo sistema de identificación electrónica vaya a ser sometido a revisión inter pares podrá rechazar la participación del representante de que se trate en la evaluación de su sistema de identificación electrónica.

7.   Todo litigio que surja durante la revisión inter pares en relación con las actividades de revisión inter pares establecidas en el artículo 4, apartado 4, del presente Reglamento se resolverá de conformidad con el reglamento interno del Grupo de Cooperación.

8.   Un sistema de identificación electrónica no se someterá a una nueva revisión inter pares en el plazo de dos años a partir de la conclusión de una revisión inter pares, excepto cuando se hayan introducido los cambios significativos a que se refiere el artículo 6, apartado 1, en el sistema de identificación electrónica revisado inter pares.

Artículo 2

Inicio de la revisión inter pares

1.   La notificación previa deberá contener, como mínimo:

a)

una comparación entre el sistema de identificación electrónica notificado previamente y los requisitos establecidos en el Reglamento de Ejecución (UE) 2015/1502, en forma de documento de correlación de los niveles de seguridad para la revisión inter pares de conformidad con el anexo I del presente Reglamento;

b)	una descripción de alto nivel del sistema de identificación electrónica, de su ecosistema y de la identificación electrónica en el Estado miembro que haya efectuado la notificación previa, en forma de libro blanco de conformidad con el anexo II del presente Reglamento;

c)

información sobre la interoperabilidad del sistema de identificación electrónica y los requisitos establecidos en el Reglamento de Ejecución (UE) 2015/1501, en forma de documento de análisis descriptivo del marco de interoperabilidad de conformidad con la plantilla que figura en el anexo III del presente Reglamento.

2.   La Comisión difundirá la información de la notificación previa al Grupo de Cooperación.

3.   La información exigida en el apartado 1, letra c), se facilitará al menos en inglés. Los Estados miembros no estarán obligados a traducir ningún documento cuando esto suponga una carga administrativa o financiera excesiva.

Artículo 3

Preparación de la revisión inter pares

1.   Tras el acuse de recibo de una notificación previa completa, la Comisión informará al Grupo de Cooperación del inicio de la revisión inter pares y programará una reunión en la que el sistema de identificación electrónica previamente notificado estará incluido en el orden del día para su presentación al Grupo de Cooperación por el Estado miembro que haya efectuado la notificación previa.

2.   El presidente del Grupo de Cooperación se asegurará de que la reunión prevista a que se refiere el apartado 1 se celebre a más tardar dos meses después de que el Grupo de Cooperación haya sido informado del inicio de la revisión inter pares.

3.   La fecha de presentación se considerará la fecha oficial de inicio de la revisión inter pares.

4.   Una vez que el Estado miembro que realizara la notificación previa haya efectuado la presentación a que se refiere el apartado 3, los demás Estados miembros podrán designar representantes para que participen en la revisión inter pares en su nombre. En caso de hacerlo, facilitarán los nombres y datos de contacto de sus representantes. Dichos representantes designados formarán el grupo de revisión inter pares.

Los miembros del grupo de revisión inter pares se pondrán de acuerdo para la asignación de las siguientes funciones:

a)	un coordinador, que será responsable de organizar la revisión inter pares y de gestionar la comunicación con los Estados miembros, el Grupo de Cooperación y la Comisión;

b)	un máximo de tres ponentes en función del alcance de la revisión inter pares, cada uno de los cuales dirigirá un grupo de trabajo según lo dispuesto en el artículo 4, apartado 2;

c)	un mínimo de un miembro activo por grupo de trabajo, que ayudará a formular preguntas y proporcionar información a los ponentes y contribuirá a la elaboración del informe final de la revisión inter pares.

5.   El coordinador a que se refiere el apartado 4, letra a), supervisará la correcta ejecución de la revisión inter pares y hará un seguimiento del cumplimiento de los requisitos de procedimiento establecidos en el presente Reglamento. A tal fin, el coordinador llevará a cabo las siguientes tareas a su debido tiempo:

a)	organizar las preguntas y respuestas;

b)	finalizar la revisión inter pares;

c)	elaborar el dictamen sobre el sistema de identificación electrónica revisado inter pares.

6.   Los ponentes a que se refiere el apartado 4, letra b), determinarán las preguntas para el Estado miembro que haya efectuado la notificación previa y redactarán los elementos del informe de revisión inter pares relacionados con el ámbito de responsabilidad de sus respectivos grupos de trabajo.

7.   Teniendo en cuenta las orientaciones facilitadas por el Grupo de Cooperación, el Estado miembro que haya efectuado la notificación previa y los Estados miembros que participen en la revisión inter pares se pondrán de acuerdo sobre cualesquiera modalidades de organización relativas a dicha revisión no previstas específicamente en el presente Reglamento, en concreto las normas y directrices relativas a la confidencialidad y los conflictos de intereses.

8.   La duración de la revisión inter pares no excederá de tres meses a partir de la fecha oficial de inicio a que se refiere el apartado 3 y podrá prorrogarse por un máximo de dos meses si todos los Estados miembros que participan en ella así lo acuerdan.

Artículo 4

Organización de la revisión inter pares

1.   El grupo de revisión inter pares realizará dicha revisión sobre la base de la información facilitada de conformidad con el artículo 2, apartado 1, por el Estado miembro que haya efectuado la notificación previa.

2.   La revisión inter pares se organizará en tres grupos de trabajo o mediante cualquier otro procedimiento acordado en el Grupo de Cooperación de conformidad con su reglamento interno. Cuando se recurra a grupos de trabajo, cada uno de ellos estará compuesto por un ponente y al menos un miembro activo.

3.   Los grupos de trabajo a que se refiere el apartado 2 serán los siguientes:

a)	un grupo de trabajo de inscripción, que revise inter pares la adecuación del sistema de identificación electrónica previamente notificado a los requisitos relativos a la inscripción establecidos en la sección 2.1 del anexo del Reglamento de Ejecución (UE) 2015/1502;

b)

un grupo de trabajo de autenticación y gestión de medios de identificación electrónica, que revise inter pares la adecuación del sistema de identificación electrónica previamente notificado a los requisitos relativos a la gestión de medios de identificación electrónica y a la autenticación establecidos en las secciones 2.2 y 2.3 del anexo del Reglamento de Ejecución (UE) 2015/1502;

c)	un grupo de trabajo de gestión y organización, que revise inter pares la adecuación del sistema de identificación electrónica previamente notificado a los requisitos relativos a la gestión y organización establecidos en la sección 2.4 del anexo del Reglamento de Ejecución (UE) 2015/1502.

4.   La revisión inter pares incluirá, sin que la relación sea exhaustiva, una o varias de las actividades siguientes:

a)	la evaluación de la documentación pertinente facilitada por el Estado miembro que haya efectuado la notificación previa;

b)	el examen de los procesos descritos como parte de dicha documentación;

c)	seminarios de carácter técnico;

d)	la consideración de las evaluaciones independientes de terceros, cuando se disponga de este tipo de evaluaciones pertinentes;

e)	la redacción del informe de revisión inter pares en el que se resuman las conclusiones y los resultados de dicha revisión.

5.   Los grupos de trabajo podrán solicitar al Estado miembro que haya efectuado la notificación previa información adicional debidamente justificada, respaldada por documentación suplementaria, cuando la información facilitada de conformidad con el artículo 2, apartado 1, no sea suficiente para finalizar la revisión inter pares.

6.   El Estado miembro que haya efectuado la notificación previa atenderá dichas solicitudes, salvo si se da uno de los casos siguientes:

a)	que no esté en posesión de la información o la documentación y obtenerla produciría una carga administrativa desproporcionada;

b)	que la información o la documentación solicitada se refiera a cuestiones de seguridad pública o seguridad nacional;

c)	que la información se refiera a cuestiones relacionadas con secretos comerciales, profesionales o empresariales;

d)	que, por el carácter sensible de la información, sea imposible establecer un canal seguro para comunicarla a los miembros del grupo de revisión inter pares.

7.   En tales casos, el Estado miembro que haya efectuado la notificación previa informará al coordinador de los motivos por los que se niega a facilitar la información o la documentación solicitada y facilitará un resumen de alto nivel de la información o una versión expurgada de la documentación.

Artículo 5

Resultados de la revisión inter pares

1.   Sin perjuicio de lo dispuesto en el artículo 3, apartado 9, el grupo de revisión inter pares:

a)

facilitará un proyecto de informe de revisión inter pares al Estado miembro que haya efectuado la notificación previa a más tardar tres meses después de la fecha de inicio de la revisión inter pares a que se refiere el artículo 3, apartado 3, a menos que la revisión inter pares esté sujeta a una prórroga de conformidad con el artículo 3, apartado 8, en cuyo caso el informe debe facilitarse con arreglo a la prórroga acordada;

b)

facilitará un proyecto de informe final de la revisión inter pares a la Comisión y al Grupo de Cooperación, una vez tomadas en cuenta las observaciones del Estado miembro que haya efectuado la notificación previa sobre el contenido del proyecto de informe de revisión inter pares, y a más tardar tres meses y dos semanas después de la fecha de inicio oficial de la revisión inter pares con arreglo al artículo 3, apartado 3, a menos que dicha revisión esté sujeta a una prórroga de conformidad con el artículo 3, apartado 8, en cuyo caso el informe debe facilitarse con arreglo a la prórroga acordada;

c)

facilitará al Estado miembro que haya efectuado la notificación previa un proyecto de dictamen sobre el sistema de identificación electrónica notificado previamente a más tardar tres meses y dos semanas después de la fecha oficial de inicio de la revisión inter pares a que se refiere el artículo 3, apartado 3, a menos que dicha revisión esté sujeta a una prórroga de conformidad con el artículo 3, apartado 8, en cuyo caso el dictamen debe facilitarse con arreglo a la prórroga acordada, y elaborará el proyecto de dictamen utilizando el modelo que figura en el anexo IV;

d)

facilitará a la Comisión y al Grupo de Cooperación un proyecto de dictamen final sobre el sistema de identificación electrónica notificado previamente a más tardar tres meses y tres semanas después de la fecha de inicio de la revisión inter pares a que se refiere el artículo 3, apartado 3, a menos que dicha revisión esté sujeta a una prórroga de conformidad con el artículo 3, apartado 8, en cuyo caso el dictamen debe facilitarse con arreglo a la prórroga acordada.

2.   Antes de que el Grupo de Cooperación adopte y publique en un sitio web específico de la Comisión su dictamen final sobre la conclusión de la revisión inter pares de conformidad con el apartado 9, podrá solicitar información o aclaraciones adicionales al Estado miembro que haya efectuado la notificación previa o al grupo de revisión inter pares.

3.   El Estado miembro que haya efectuado la notificación previa facilitará la información adicional requerida a que se refiere el apartado 2, salvo si se da uno de los casos siguientes:

a)	que el Estado miembro no esté en posesión de la información y obtenerla suponga una carga administrativa desproporcionada;

b)	que la información se refiera a cuestiones de seguridad pública o seguridad nacional;

c)	que la información se refiera a cuestiones relacionadas con secretos comerciales, profesionales o empresariales;

d)	que, por el carácter sensible de la información, sea imposible establecer un canal seguro para comunicarla información a los miembros del Grupo de Cooperación.

4.   En el informe final de evaluación inter pares se indicará la información solicitada por el grupo de revisión inter pares o por el Grupo de Cooperación que no haya podido facilitarse por uno o varios de los motivos previstos en el apartado 3, sin especificar los motivos aducidos por el Estado miembro que haya efectuado la notificación previa. El grupo de revisión inter pares podrá examinar las repercusiones de la falta de información en el informe final de dicha revisión.

5.   El grupo de revisión inter pares presentará el informe final de dicha revisión y su proyecto de dictamen final al Grupo de Cooperación a más tardar cuatro meses después, o, en caso de prórroga de conformidad con el artículo 3, apartado 8, a más tardar seis meses después de la fecha oficial de inicio de la revisión inter pares con arreglo al artículo 3, apartado 3.

6.   En el dictamen final del grupo de revisión inter pares sobre el sistema de identificación electrónica del Estado miembro que haya efectuado la notificación previa se indicarán los compromisos contraídos por dicho Estado miembro.

7.   Tras la presentación del informe final de la revisión inter pares y el dictamen final del grupo de revisión inter pares, el Grupo de Cooperación adoptará y publicará su propio dictamen sobre la conclusión de la revisión inter pares, indicando si el sistema de identificación electrónica revisado inter pares cumple, y de qué manera, los requisitos establecidos en el Reglamento de Ejecución (UE) 2015/1502 aplicables a los niveles de seguridad indicados por el Estado miembro que haya efectuado la notificación previa, de conformidad con el anexo I del presente Reglamento. El proceso de adopción se ajustará al reglamento interno del Grupo de Cooperación.

8.   En el dictamen del Grupo de Cooperación se indicará el Estado miembro que haya efectuado la notificación previa, así como el sistema de identificación electrónica previamente notificado y su nivel de seguridad. Se mencionará asimismo si la revisión inter pares se ha completado satisfactoriamente.

9.   La información facilitada de conformidad con el artículo 2, apartado 1, será publicada por el Grupo de Cooperación, salvo cuando el Estado miembro que la haya facilitado haya indicado por escrito que no debe hacerse pública.

Artículo 6

Cambios significativos en los sistemas de identificación electrónica revisados inter pares

1.   Cuando un sistema de identificación electrónica notificado cambie de una manera que pueda afectar a su interoperabilidad, seguridad o fiabilidad, el Estado miembro que haya efectuado la notificación comunicará sin demora indebida dichos cambios al Grupo de Cooperación y actualizará la información facilitada previamente.

2.   Tras la recepción de la notificación a que se refiere el apartado 1, y siempre que el sistema de identificación electrónica notificado haya sido revisado inter pares, cualquier Estado miembro del Grupo de Cooperación podrá solicitar una actualización de la revisión inter pares.

3.   En caso de que se solicite una actualización, se aplicarán en consecuencia los procedimientos establecidos en los artículos 3 a 5 y el grupo de revisión inter pares limitará dicha revisión a los elementos que se hayan modificado con arreglo a la notificación original y a las repercusiones de dichos cambios.

Artículo 7

Derogación

Queda derogada la Decisión de Ejecución (UE) 2015/296.

Artículo 8

Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 29 de julio de 2025.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

 

(1)   DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/ojhttp://data.europa.eu/eli/reg/2014/910/2024-10-18.

(2)  Decisión de Ejecución (UE) 2015/296 de la Comisión, de 24 de febrero de 2015, por la que se establecen las modalidades de procedimiento para la cooperación entre los Estados miembros en materia de identificación electrónica con arreglo al artículo 12, apartado 7, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (DO L 53 de 25.2.2015, p. 14, ELI: http://data.europa.eu/eli/dec_impl/2015/296/oj).

(3)  Reglamento de Ejecución (UE) 2015/1501 de la Comisión, de 8 de septiembre de 2015, sobre el marco de interoperabilidad de conformidad con el artículo 12, apartado 8, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (DO L 235 de 9.9.2015, p. 1, ELI: http://data.europa.eu/eli/reg_impl/2015/1501/oj).

(4)  Reglamento de Ejecución (UE) 2015/1502 de la Comisión, de 8 de septiembre de 2015, sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica con arreglo a lo dispuesto en el artículo 8, apartado 3, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (DO L 235 de 9.9.2015, p. 7, ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).

(5)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(6)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE, (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(7)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

ANEXO I

Lista de la información mínima que debe facilitarse en el documento de correlación de los niveles de seguridad para la revisión inter pares a que se refiere el artículo 2, apartado 1, letra a)

El documento de correlación de los niveles de seguridad para la revisión inter pares a que se refiere el artículo 2, apartado 1, letra a), incluirá, como mínimo, la siguiente información:

1)	información general, en concreto: a) el nombre del Estado miembro notificante; b) el título del sistema de identificación electrónica (en su caso); c) el nivel o los niveles de seguridad del sistema de identificación electrónica, indicados como bajo, sustancial o alto;

2)

la autoridad o autoridades responsables del sistema de identificación electrónica, en particular: a) el nombre o los nombres de la autoridad o las autoridades responsables del sistema de identificación electrónica; b) la dirección de correo electrónico de la autoridad o las autoridades responsables del sistema de identificación electrónica;

3)

información sobre las partes, entidades y organismos pertinentes que participan en el sistema de identificación electrónica, en particular: a) el nombre de la entidad o las entidades que gestionan el proceso de registro de los datos únicos de identificación de la persona; b) el nombre de la parte o partes que expiden los medios de identificación electrónica y, en su caso, una indicación de si la parte o partes se mencionan en el artículo 7, letra a), incisos i), ii) o iii), del Reglamento (UE) n.o 910/2014; c) el nombre de la parte o las partes que llevan a cabo el procedimiento de autenticación (el «nodo eIDAS»); d) el nombre o los nombres de la organización u organizaciones de gobernanza que participen en el régimen de supervisión relacionado con el sistema de identificación electrónica;

4)

una descripción del sistema de identificación electrónica, en particular: a) cuando proceda, el documento o los documentos que se adjuntarán para cada uno de los elementos siguientes: — una breve descripción del sistema de identificación electrónica, y en concreto del contexto en el que opera, su alcance y su disponibilidad para las partes usuarias privadas; — una lista de los atributos adicionales que pueden facilitarse en relación con personas físicas en el marco del sistema de identificación electrónica si así lo solicita una parte usuaria; — una lista de los atributos adicionales que pueden facilitarse en relación con las personas jurídicas en el marco del sistema de identificación electrónica si así lo solicita una parte usuaria; b) el régimen de supervisión, responsabilidad y gestión aplicable, en particular: — una descripción del régimen de supervisión del sistema de identificación electrónica, incluido el proceso de evaluación con respecto a lo siguiente: — el régimen de supervisión aplicable a la parte o las partes que expiden los medios de identificación electrónica; — el régimen de supervisión aplicable a la parte o las partes que gestionan el nodo eIDAS. Cuando proceda, estas descripciones incluirán las funciones, responsabilidades y competencias de las organizaciones de gobernanza que participen en el régimen de supervisión a que se refiere el punto 3, letra d), y la entidad de la que dependan. Si las organizaciones no dependen de la autoridad responsable del sistema, se facilitarán los datos completos de la entidad de la que dependan; — una descripción del régimen nacional de responsabilidades aplicable, que incluya: — una descripción de la responsabilidad del Estado miembro con arreglo al artículo 11, apartado 1, del Reglamento (UE) n.o 910/2014; — una descripción de la responsabilidad de la parte o las partes que expidan los medios de identificación electrónica con arreglo al artículo 11, apartado 2, del Reglamento (UE) n.o 910/2014; — una descripción de la responsabilidad de la parte o las partes que gestionen el nodo eIDAS en virtud del artículo 11, apartado 3, del Reglamento (UE) n.o 910/2014; — las disposiciones de gestión, suspensión o revocación, bien de la totalidad del sistema de identificación, bien de los medios de identificación electrónica específicos, bien del nodo eIDAS, bien de sus partes en peligro; c) una descripción de los componentes del sistema de identificación electrónica, en particular: — una descripción de cómo se han cumplido los requisitos relativos a las especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica establecidos en el Reglamento de Ejecución (UE) 2015/1502, a fin de justificar el nivel de seguridad indicado para la inscripción; — una descripción de cómo se abordan los siguientes procesos en el marco del sistema de identificación electrónica, incluida la documentación sobre la combinación de opciones elegidas por el Estado miembro: — la solicitud y el registro; — la acreditación y verificación de la identidad de una persona física: — la acreditación y verificación de la identidad de una persona jurídica; — la vinculación entre los medios de identificación electrónica de personas físicas y jurídicas; — en lo que respecta a la gestión de los medios de identificación electrónica, una descripción de cómo se abordan los siguientes procesos en el marco de los medios de identificación electrónica: — las características y el diseño de los medios de identificación electrónica, incluida, cuando proceda, información sobre la certificación de seguridad; — la expedición, la entrega y la activación; — la suspensión, la revocación y la reactivación; — la renovación y la sustitución; — en lo que respecta a la autenticación, una descripción del mecanismo de autenticación, incluidas las condiciones de acceso a la autenticación por partes usuarias distintas de los organismos del sector público; — por lo que se refiere a la gestión y organización, una descripción de la gestión y organización de los siguientes aspectos: — las disposiciones generales en materia de gestión y organización; — los avisos publicados y la información del usuario; — la gestión de la seguridad de la información; — la llevanza de registros; — las instalaciones y el personal; — los controles técnicos; — el cumplimiento y la auditoría; d) una descripción del modo en que se cumplen los requisitos de interoperabilidad y los requisitos mínimos de seguridad técnica y operativa; e) una lista de toda la documentación justificativa presentada y una declaración de a cuál de los elementos anteriores se refiere, incluidas las referencias a la legislación nacional relacionada con la prestación de identificación electrónica pertinente para la notificación y los informes de auditoría, las declaraciones de prácticas de certificación y los informes de las pruebas pertinentes; f) los documentos y la información pertinentes en relación con la certificación del sistema de identificación electrónica con arreglo al artículo 12 bis, apartado 1, y en su caso, al artículo 12 bis, apartado 5, del Reglamento (UE) n.o 910/2014.

ANEXO II

Lista de la información mínima que debe facilitarse en el libro blanco a que se refiere el artículo 2, apartado 1, letra b)

1.   

El libro blanco describirá el ecosistema general del sistema de identificación electrónica objeto de notificación previa, así como la historia de dicho sistema y de la identificación electrónica en el Estado miembro.

2.   

El libro blanco también proporcionará una descripción del sistema de identificación electrónica y de los medios de identificación electrónica facilitados en el marco de dicho sistema, incluida una breve descripción de los elementos que también están cubiertos por el documento de correlación de los niveles de seguridad a que se refiere el artículo 2, apartado 1, letra a), del presente Reglamento, el documento de análisis descriptivo del marco de interoperabilidad a que se refiere el artículo 2, apartado 1, letra c), del presente Reglamento, y otros documentos.

3.   

El libro blanco también describirá el papel del sistema de identificación electrónica en el ecosistema general y su relación con las partes usuarias y otros servicios prestados dentro del ecosistema.

ANEXO III

Plantilla para el documento de análisis descriptivo del marco de interoperabilidad

Requisitos de interoperabilidad

Artículo del Reglamento de Ejecución (UE) 2015/1501	Requisito	Descripción
4	Correlación de los niveles de seguridad nacionales La correlación de los niveles de seguridad nacionales de los sistemas de identificación electrónica notificados se ajustará a los requisitos establecidos en el Reglamento de Ejecución (UE) 2015/1502. Los resultados de la correlación se notificarán a la Comisión mediante la plantilla de notificación establecida en la Decisión de Ejecución (UE) 2015/1984.	<Rellénese por el Estado miembro>
5	Nodos 1. Un nodo de un Estado miembro será capaz de conectarse con los nodos de otros Estados miembros. 2. Los nodos serán capaces de distinguir entre los organismos del sector público y otras partes usuarias por medios técnicos. 3. La aplicación por parte de un Estado miembro de los requisitos técnicos establecidos en el presente Reglamento no impondrá requisitos técnicos y costes desproporcionados a los demás Estados miembros con el fin de que puedan interoperar con la aplicación adoptada por el primer Estado miembro.	<Rellénese por el Estado miembro>
6	Privacidad y confidencialidad de datos 1. La protección de la privacidad y la confidencialidad de los datos intercambiados y el mantenimiento de la integridad de los datos entre los nodos se garantizarán mediante las mejores soluciones técnicas y prácticas de protección disponibles. 2. Los nodos no almacenarán datos personales, excepto para los fines establecidos en el artículo 9, apartado 3, del Reglamento de Ejecución (UE) 2015/1501	<Rellénese por el Estado miembro>
7	Integridad y autenticidad de los datos para la comunicación La comunicación entre los nodos garantizará la integridad y autenticidad de los datos para asegurar que todas las solicitudes y respuestas sean auténticas y no hayan sido alteradas. Con este fin, los nodos utilizarán las soluciones que se han empleado con éxito en el uso operativo transfronterizo.	<Rellénese por el Estado miembro>
8	Formato de los mensajes para la comunicación Los nodos utilizarán para la sintaxis formatos de mensaje comunes basados en las normas que ya se hayan implantado más de una vez entre los Estados miembros y que hayan demostrado funcionar en un entorno operativo. La sintaxis permitirá: a) el correcto tratamiento del conjunto mínimo de datos de identificación de la persona que representen de manera exclusiva a una persona física o jurídica; b) el correcto tratamiento del nivel de seguridad de los medios de identificación electrónica; c) la distinción entre los organismos del sector público y otras partes usuarias; d) la flexibilidad para satisfacer las necesidades de atributos adicionales relacionados con la identificación.	<Rellénese por el Estado miembro>
9	Gestión de los metadatos y la información de seguridad 1. El operador del nodo comunicará los metadatos de la gestión del nodo de una manera normalizada que pueda procesarse por medios mecánicos y de modo seguro y fiable. 2. Como mínimo los parámetros pertinentes para la seguridad se recuperarán de forma automática. 3. El operador del nodo almacenará datos que, en caso de producirse un incidente, permitan la reconstrucción de la secuencia del intercambio de mensajes para establecer el lugar y la naturaleza del incidente. Los datos se almacenarán durante un período de tiempo conforme a los requisitos nacionales y, como mínimo, constarán de los siguientes elementos: a) la identificación del nodo; b) la identificación de los mensajes; c) la fecha y la hora de los mensajes.	<Rellénese por el Estado miembro>
10	Seguridad de la información y normas de seguridad 1. Los operadores de nodos que proporcionen autenticación demostrarán que, con respecto a los nodos participantes en el marco de interoperabilidad, el nodo cumple los requisitos de la norma ISO/CEI 27001 por medio de certificación, o por métodos de evaluación equivalentes, o mediante el cumplimiento de la legislación nacional. 2. Los operadores de nodos implantarán actualizaciones críticas de seguridad sin demora indebida.	<Rellénese por el Estado miembro>
11	Datos de identificación de la persona 1. Un conjunto mínimo de datos de identificación de la persona que represente de manera exclusiva a una persona física o jurídica cumplirá los requisitos establecidos en el anexo del Reglamento de Ejecución (UE) 2015/1501 cuando se utilice en un contexto transfronterizo. 2. Un conjunto mínimo de datos para una persona física que represente a una persona jurídica contendrá la combinación de los atributos que se indican en el anexo del Reglamento de Ejecución (UE) 2015/1501 para las personas físicas y jurídicas cuando se utilice en un contexto transfronterizo. 3. Los datos se transmitirán según el alfabeto original y, en su caso, también se transliterarán al alfabeto latino.	<Rellénese por el Estado miembro>

ANEXO IV

Plantilla de dictamen sobre el sistema de identificación electrónica de un Estado miembro

Dictamen n.o XX/202X del Grupo de Cooperación sobre el sistema de identificación electrónica <indíquese el nombre del sistema> de <indíquese el Estado miembro>

Visto el artículo 12, apartado 5, del Reglamento (UE) n.o 910/2014 (en lo sucesivo, «Reglamento sobre la identidad digital europea»),

Visto el Reglamento de Ejecución (UE) 2025/1568 de la Comisión,

Visto el Reglamento interno del Grupo de Cooperación,

Considerando lo siguiente:

El artículo 12, apartado 5, del Reglamento sobre la identidad digital europea obliga a los Estados miembros a llevar a cabo revisiones inter pares de los sistemas de identificación electrónica que deben notificarse en virtud del artículo 9, apartado 1, letra a), del Reglamento sobre la identidad digital europea.

El artículo 5, apartado 10, del Reglamento de Ejecución (UE) 2025/1568 de la Comisión, sobre la cooperación, encomienda al Grupo de Cooperación la adopción de dictámenes sobre la manera en que un sistema de identificación electrónica que debe notificarse cumple los requisitos del Reglamento sobre la identidad digital europea.

<Indíquese el Estado miembro>, con el fin de notificar su sistema de identificación electrónica <indíquese el nombre del sistema> de conformidad con el artículo 9, apartado 1, del Reglamento sobre la identidad digital europea, facilitó la siguiente información a los Estados miembros el <indíquese la fecha> (en lo sucesivo, «notificación previa»), de conformidad con el artículo 7, letra g), del Reglamento sobre la identidad digital europea:

—	el formulario de notificación;

—	los documentos justificativos.

El <indíquese la fecha de la reunión del GC>, el Grupo de Cooperación:

—

acordó organizar la revisión inter pares del sistema de identificación electrónica <indíquese el nombre del sistema> de <indíquese el Estado miembro> de conformidad con el artículo 46 sexies, apartado 5, letra d), del Reglamento sobre la identidad digital europea y el Reglamento de Ejecución (UE) 2025/1568;

—	formó un «Grupo de revisión inter pares»; y

—	acordó qué temas abarcaría el proceso de revisión inter pares y cómo se organizaría de conformidad con las disposiciones del Reglamento de Ejecución (UE) 2025/1568.

El Grupo de revisión inter pares presentó su informe, de conformidad con el artículo 5 del Reglamento de Ejecución (UE) 2025/1568, al Grupo de Cooperación el <indíquese la fecha>. El Grupo de Cooperación ha examinado y debatido el informe de la revisión inter pares.

Teniendo en cuenta los resultados de la revisión inter pares, el informe de la evaluación inter pares y la información adicional facilitada por <indíquese el Estado miembro> en relación con:

—

y que <indíquese el Estado miembro> se compromete a:

—

El Grupo de Cooperación ha adoptado el siguiente dictamen:

Dictamen

Sobre la base del examen de los documentos de la notificación previa facilitados por <indíquese el Estado miembro> y de las conclusiones del informe de la revisión inter pares, el Grupo de Cooperación considera que los documentos de la notificación previa y la información adicional facilitados por <indíquese el Estado miembro> demuestran suficientemente de qué manera el sistema de identificación electrónica <indíquese el nombre del sistema> de <indíquese el Estado miembro> que ha de notificarse cumple los requisitos

—	correspondientes al nivel de seguridad «alto»;

—	correspondientes al nivel de seguridad «sustancial»;

—	correspondientes al nivel de seguridad «bajo»;

en consonancia con lo dispuesto en el artículo 7, el artículo 8, apartados 1 a 2, el artículo 12, apartado 1, el artículo 12 bis, apartados 1 y 5, del Reglamento sobre la identidad digital europea y con lo dispuesto en el Reglamento de Ejecución (UE) 2015/1502.

De conformidad con el artículo <indíquese el número> del Reglamento interno, el Grupo de Cooperación acuerda publicar el presente dictamen.

<indíquese el Estado miembro>, <indíquese la fecha>