Agencia Estatal Boletín Oficial del Estado
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 45, apartado 2,
Considerando lo siguiente:
|
(1) |
Los certificados cualificados de autenticación de sitios web son esenciales para garantizar la confianza y la transparencia en las interacciones en línea. Permiten autenticar un sitio web y vincularlo a la persona física o jurídica a la que se expide el certificado. La Comisión debe establecer una lista de normas de referencia para dichos certificados. |
|
(2) |
Las normas de referencia deben permitir la aplicación de diferentes tipos de certificados cualificados de autenticación de sitios web para diversos casos de uso, incluido su uso en virtud de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo (2). Deben reflejar las prácticas establecidas y ser ampliamente aceptadas en los sectores pertinentes. Para permitir la innovación y satisfacer diversas necesidades técnicas y operativas, las normas de referencia también deben permitir la expedición de certificados cualificados para la autenticación de sitios web de diferentes maneras, es decir, como certificados independientes, como certificados vinculados a otros certificados, o en otras configuraciones que cumplan los requisitos del Reglamento (UE) n.o 910/2014. Esta flexibilidad en relación con la expedición de certificados cualificados para la autenticación de sitios web garantiza que los certificados puedan adaptarse para satisfacer las necesidades de una amplia gama de casos de uso, que mantengan la confianza y la interoperabilidad entre los Estados miembros, sin afectar a la libertad de los proveedores de navegadores web para garantizar la seguridad web, la autenticación de dominios y el cifrado del tráfico web de la manera y por los medios tecnológicos que consideren más adecuados. |
|
(3) |
Con el fin de garantizar suficiente tiempo para la auditoría de los prestadores cualificados de servicios de confianza en lo que respecta al cumplimiento de los requisitos del presente Reglamento, este debe aplicarse doce meses después de su entrada en vigor. |
|
(4) |
La Comisión evalúa periódicamente las nuevas tecnologías, prácticas, normas o especificaciones técnicas. De conformidad con el considerando 75 del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (3), la Comisión debe revisar y, en caso necesario, actualizar el presente Reglamento para mantenerlo en consonancia con la evolución mundial, las nuevas tecnologías, prácticas, normas o especificaciones técnicas y seguir las mejores prácticas en el mercado interior. |
|
(5)
(6)
(7) |
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (4) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (5) son aplicables a las actividades de tratamiento de datos personales en virtud del presente Reglamento.
El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (6), emitió su dictamen el 21 de octubre de 2025 (7).
Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n.o 910/2014. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Las normas de referencia a que se refiere el artículo 45, apartado 2, del Reglamento (UE) n.o 910/2014 figuran en el anexo del presente Reglamento.
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será aplicable a partir del 6 de enero de 2027.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 16 de diciembre de 2025.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) n.o 1093/2010 y se deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).
(3) Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (DO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(4) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(5) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(6) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(7) EDPS Formal comments on the draft Implementing Regulation laying down rules for the application of Regulation (EU) No 910/2014 as regards reference standards for qualified certificates for website authentication [«Observaciones formales del SEPD sobre el proyecto de Reglamento de Ejecución por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 en lo que respecta a las normas de referencia para los certificados cualificados de autenticación de los sitios web», documento en inglés].
1. Para los certificados cualificados de autenticación de sitios web que se expiden para su uso en la autenticación de seguridad de la capa de transporte fuera del contexto de un navegador web:
|
— |
ETSI EN 319.411-2 V2.6.1 (2025-06); estos certificados se expedirán de conformidad con la política de certificados QNCP-w-gen, con la política de certificados QEVCP-w, o con la política de certificados QNCP-w, tal como se especifica en dicha norma, o |
|
— |
ETSI TS 119.495 V1.7.1 (2024-07). |
2. Para otros certificados cualificados de autenticación de sitios web distintos de los mencionados en el punto 1, también se expedirán en el contexto de un navegador web:
|
— |
ETSI TS 119.411-5 V2.1.1 (2025-02). |
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
