Official Gazette (BOE)

Content not available in English

You are in

Documento DOUE-L-2025-81960

Reglamento de Ejecución (UE) 2025/2532 de la Comisión, de 16 de diciembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas y especificaciones de referencia para los servicios cualificados de archivo electrónico.

Publicado en:
«DOUE» núm. 2532, de 17 de diciembre de 2025, páginas 1 a 6 (6 págs.)
Departamento:
Unión Europea
Referencia:
DOUE-L-2025-81960

TEXTO ORIGINAL

 

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 45 undecies, apartado 2,

Considerando lo siguiente:

(1)

Mediante el Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (2), se introdujo en el Reglamento (UE) n.o 910/2014 una lista de nuevos servicios de confianza y servicios de confianza cualificados, incluido el servicio cualificado de archivo electrónico. La Comisión debe establecer una lista de normas de referencia y, cuando sea necesario, establecer especificaciones para dichos servicios.

(2)

Un archivo electrónico es un servicio para la recepción, el almacenamiento, la recuperación y la eliminación de datos electrónicos y documentos electrónicos con el fin de asegurar su durabilidad y legibilidad, así como para preservar su integridad, confidencialidad y prueba de origen durante todo el período de conservación. Los servicios cualificados de archivo electrónico desempeñan un papel crucial en el entorno empresarial digital al promover la transición de los procesos tradicionales en papel a procedimientos electrónicos equivalentes. Para garantizar que los datos y documentos electrónicos preserven la presunción de su integridad y de su origen durante el período de conservación por parte del prestador cualificado de servicios de confianza, y para lograr un alto nivel de transparencia y confianza entre todos los participantes en el ciclo de vida de la información, es necesario establecer un conjunto común de especificaciones para los servicios cualificados de archivo electrónico.

(3)

Para aumentar el valor probatorio, la seguridad y la fiabilidad de los servicios cualificados de archivo electrónico, cuando se utilicen firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos para crear, firmar, sellar o acreditar la fecha y hora de, por ejemplo, pruebas de archivo, registros de pruebas, registros de eventos, registros de la correcta aplicación de los procedimientos, o informes de confirmación de archivo, deben utilizarse servicios de confianza cualificados.

(4)

La presunción de cumplimiento establecida en el artículo 45 undecies, apartado 2, del Reglamento (UE) n.o 910/2014 solo debe aplicarse cuando los servicios cualificados de archivo electrónico cumplan los requisitos establecidos en el presente Reglamento. Las normas de referencia para los servicios cualificados de archivo electrónico deben reflejar las prácticas establecidas y ser ampliamente aceptadas en los sectores pertinentes. Deben adaptarse para incluir controles adicionales que garanticen la seguridad y la fiabilidad de los servicios cualificados de archivo electrónico.

(5)

Si un prestador de servicios de confianza cumple los requisitos establecidos en el presente Reglamento, los organismos de supervisión deben presumir el cumplimiento de los requisitos pertinentes del Reglamento (UE) n.o 910/2014 y tener debidamente en cuenta dicha presunción para conceder o confirmar la cualificación del servicio de confianza. No obstante, un prestador cualificado de servicios de confianza puede seguir basándose en otras prácticas para demostrar el cumplimiento de los requisitos del Reglamento (UE) n.o 910/2014.

(6)

Con el fin de preservar la integridad y la prueba del origen de los datos electrónicos y los documentos electrónicos que contengan una o varias firmas o sellos electrónicos cualificados, los servicios cualificados de archivo electrónico deben utilizar procedimientos y tecnologías capaces de ampliar la fiabilidad de dichas firmas y sellos electrónicos más allá del período de validez tecnológica, al menos durante todo el período de conservación.

(7)

La Comisión evalúa periódicamente las nuevas tecnologías, prácticas, normas y especificaciones técnicas. De conformidad con el considerando 75 del Reglamento (UE) 2024/1183, la Comisión debe revisar y, en caso necesario, actualizar el presente Reglamento para mantenerlo en consonancia con la evolución mundial, las nuevas tecnologías, prácticas, normas o especificaciones técnicas y seguir las mejores prácticas del mercado interior.

(8)

 

(9)

 

(10)

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (4) son aplicables a las actividades de tratamiento de datos personales en virtud del presente Reglamento.

 

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (5), emitió su dictamen el 21 de octubre de 2025 (6).

 

Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n.o 910/2014.
   

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Archivo electrónico de documentos con una firma electrónica cualificada o un sello electrónico cualificado

1.   Al archivar datos electrónicos o documentos electrónicos que contengan firmas electrónicas cualificadas o sellos electrónicos cualificados, los prestadores de servicios cualificados de archivo electrónico velarán por que se mantenga la fiabilidad de dichas firmas electrónicas cualificadas o sellos electrónicos cualificados, incluso más allá de su período de validez tecnológica, y por que se mantengan la integridad y la exactitud del origen de las firmas electrónicas cualificadas y los sellos electrónicos cualificados, al menos hasta el final del período de conservación legal o contractual.

2.   A efectos del apartado 1, los prestadores de servicios cualificados de archivo electrónico podrán recurrir a un servicio cualificado de conservación de firmas electrónicas cualificadas o a un servicio cualificado de conservación de sellos electrónicos cualificados.

Artículo 2

Normas de referencia y especificaciones para la prestación de servicios cualificados de archivo electrónico

Las normas y especificaciones de referencia a que se refiere el artículo 45 undecies, apartado 2, del Reglamento (UE) n.o 910/2014 figuran en el anexo del presente Reglamento.

Artículo 3

Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 16 de diciembre de 2025.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1)   DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.

(2)  Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (DO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).

(3)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(5)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE, (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(6)   EDPS Formal comments on the draft Implementing Regulation laying down rules for the application of Regulation (EU) No 910/2014 as regards reference standards and specifications for qualified electronic archiving services [«Observaciones formales del SEPD sobre el proyecto de Reglamento de Ejecución por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 en lo que respecta a las normas y especificaciones de referencia para los servicios cualificados de archivo electrónico», documento en inglés].

ANEXO

Lista de normas de referencia y especificaciones para los servicios cualificados de archivo electrónico

Se aplica la norma UNE-CEN/TS 18170:2025 («UNE-CEN/TS 18170») con las siguientes adaptaciones:

a)

Referencias normativas (cláusula 2)

ETSI EN 319 401 V3.1.1 (2024-06) — Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers [«Firmas electrónicas e infraestructuras de confianza (ESI). Requisitos de política general para prestadores de servicios de confianza», documento en inglés].

ETSI EN 319 421 V1.3.1 (2025-07), Electronic Signatures and Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Time-Stamps [«Firmas electrónicas e infraestructuras (ESI). Requisitos de política y seguridad para los prestadores de servicios de confianza que expiden sellos de tiempo», documento en inglés].

ISO 14721: 2025, Space Data System Practices — Reference model for an open archival information system (OAIS) [«Prácticas del sistema de datos espaciales — Modelo de referencia para un sistema abierto de información de archivos», documento en inglés].

«ACM-ECCG»: Grupo Europeo de Certificación de la Ciberseguridad, Subgrupo de Criptografía: «Agreed Cryptographic Mechanisms» [«Mecanismos criptográficos acordados», documento en inglés] publicado por la Agencia de la Unión Europea para la Ciberseguridad («ENISA»).

Reglamento de Ejecución (UE) 2024/482 de la Comisión (1).

Reglamento de Ejecución (UE) 2024/3144 de la Comisión (2).

ISO/IEC 15408: 2022 (partes 1 a 5) «Seguridad de la información, ciberseguridad y protección de la privacidad. Criterios de evaluación para la seguridad de TI».

FIPS PUB 140-3 (2019) «Security Requirements for Cryptographic Modules» [«Requisitos de seguridad para módulos criptográficos»].

b)

Declaración de políticas y prácticas (cláusula 6.1)

Se aplicarán los requisitos de la norma UNE-CEN/TS 18170, cláusula 6.1.

Se aplicarán los requisitos de la norma ETSI EN 319 401, cláusula 5.

El prestador de servicios de confianza para el archivo electrónico establecerá procedimientos para notificar al organismo de supervisión cualquier modificación en la prestación del servicio de confianza para el archivo electrónico y la intención de cesar dichas actividades, de conformidad con los requisitos empresariales y las disposiciones legales y reglamentarias pertinentes, también de conformidad con los requisitos de los actos de ejecución adoptados en virtud del artículo 24, apartado 5, del Reglamento (UE) n.o 910/2014 [i.2].

El prestador de servicios de confianza para el archivo electrónico notificará al organismo de supervisión competente, como mínimo:

cualquier modificación un mes antes de llevarla a cabo;

el cese previsto de la prestación de un servicio de confianza tres meses antes de que se produzca.

c)

Condiciones generales (cláusula 6.2)

Se aplicarán los requisitos de la norma UNE-CEN/TS 18170, cláusula 6.2.

Los abonados y las partes que dependan del servicio de confianza de archivo electrónico serán informados, de manera clara, completa y fácilmente accesible, en un espacio de acceso público e individualmente, de las condiciones precisas antes de entablar una relación contractual.

d)

Recursos humanos (cláusula 7.3)

Se aplicarán los requisitos de la norma UNE-CEN/TS 18170, cláusula 7.3.

El personal del prestador de servicios de confianza para el archivo electrónico en funciones de confianza y, en su caso, sus subcontratistas en funciones de confianza, deberán ser capaces de cumplir el requisito de poseer los conocimientos especializados, la experiencia y las cualificaciones necesarios obtenidos a través de la formación y las credenciales formales, o de la experiencia real, o de una combinación de ambas cosas. Esto incluirá actualizaciones periódicas (al menos cada doce meses) sobre las nuevas amenazas y las prácticas de seguridad actuales.

e)

Controles y monitorización criptográficos (cláusula 7.6)

El sistema de archivo debe garantizar la confidencialidad de los datos y documentos a lo largo del ciclo de vida del archivo, desde su depósito hasta su eliminación.

Se aplicarán los requisitos especificados en la norma ETSI EN 319 401, cláusula 7.5 «Controles criptográficos».

El prestador de servicios de confianza para el archivo electrónico establecerá el origen de los datos que deban archivarse en el sistema de archivo electrónico. Si utilizan firmas electrónicas o sellos electrónicos para ello, dichas firmas electrónicas o sellos electrónicos deberán ser cualificados.

Cuando el prestador de servicios de confianza para el archivo electrónico firme digitalmente (parte de) un objeto o registro digital, la clave de firma privada del prestador de servicios de confianza para el archivo electrónico se guardará y utilizará en un dispositivo de creación de firma electrónica cualificada o de sello cualificado o en un dispositivo criptográfico seguro que sea un sistema fiable certificado de conformidad con:

a)

los criterios comunes para la evaluación de la seguridad de las tecnologías de la información, tal como se establecen en la norma ISO/IEC 15408 o en los criterios comunes para la evaluación de la seguridad de las tecnologías de la información, versión CC:2022, partes 1 a 5, publicados por los participantes en el Acuerdo sobre el reconocimiento de certificados de criterios comunes en el ámbito de la seguridad informática, y con certificación EAL 4 o superior; o

b)

el esquema europeo de certificación de la ciberseguridad basado en los criterios comunes de los Reglamentos de Ejecución (UE) 2024/482 y (UE) 2024/3144 y con certificación EAL 4 o superior; o

c)

hasta el 31.12.2030, FIPS PUB 140-3, nivel 3.

Esta certificación se referirá a un objetivo de seguridad o perfil de protección, o a una documentación sobre seguridad y diseño de módulo, que cumpla los requisitos del presente documento, sobre la base de un análisis de riesgos y teniendo en cuenta las medidas de seguridad físicas y otras medidas de seguridad no técnicas.

Si el dispositivo criptográfico seguro cuenta con una certificación EUCC conforme con los Reglamentos de Ejecución (UE) 2024/482 y (UE) 2024/3144, dicho dispositivo se configurará y utilizará de conformidad con dicha certificación.

El prestador de servicios de confianza para el archivo electrónico supervisará la solidez del algoritmo criptográfico que se utilice o se haya utilizado. En caso de que se considere que uno de los algoritmos o parámetros utilizados no es adecuado a la luz de su definición en la gestión de riesgos, el prestador de servicios de confianza para el archivo electrónico actualizará la política de archivo correspondiente o creará un nuevo perfil de archivo para gestionar los paquetes de archivos de información y definir y aplicar las medidas adecuadas.

La evaluación de los algoritmos criptográficos y su uso por el prestador de servicios de confianza para el archivo electrónico serán conformes con los mecanismos criptográficos acordados aprobados por el Grupo Europeo de Certificación de la Ciberseguridad y publicados por ENISA (ACM-ECCG).

Los componentes técnicos del servicio de confianza para el archivo electrónico se autenticarán mutuamente sobre la base de técnicas criptográficas antes de comunicarse.

f)

Red (cláusula 7.9)

Se aplicarán los requisitos especificados en la norma ETSI EN 319 401, cláusula 7.8, «Seguridad de la red».

El escaneado de vulnerabilidades exigido en el REQ-7.8-13 de ETSI EN 319 401 se realizará al menos una vez al trimestre.

La prueba de penetración exigida por REQ-7.8-17X de ETSI EN 319 401 se realizará al menos una vez al año.

Los cortafuegos estarán configurados de manera que impidan todos los protocolos y accesos que no sean necesarios para el funcionamiento del prestador de servicios de confianza para el archivo electrónico.

g)

Recopilación de pruebas (cláusula 7.11)

Se aplicarán los requisitos especificados en la norma ETSI EN 319 401, cláusula 7.10, «Recopilación de pruebas», también para acontecimientos críticos y no críticos (véase la cláusula 13.2).

h)

Cese y plan de cese del prestador de servicios de confianza para el archivo electrónico (cláusula 7.13)

Se aplicarán los requisitos de la norma UNE-CEN/TS 18170, cláusula 7.13.

El plan de cese del prestador de servicios de confianza para el archivo electrónico cumplirá los requisitos establecidos en los actos de ejecución adoptados en virtud del artículo 24, apartado 5, del Reglamento (UE) n.o 910/2014.

i)

Hora fiable de los acontecimientos (cláusula 13.3.1)

Se aplicarán los requisitos de la norma UNE-CEN/TS 18170, cláusula 13.3.1.

Al utilizar sellos de tiempo, el prestador de servicios de confianza para el archivo electrónico utilizará un sello de tiempo cualificado.

(1)  Reglamento de Ejecución (UE) 2024/482 de la Comisión, de 31 de enero de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo en lo concerniente a la adopción del esquema europeo de certificación de la ciberseguridad basado en los criterios comunes (EUCC) (DO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).

(2)  Reglamento de Ejecución (UE) 2024/3144 de la Comisión, de 18 de diciembre de 2024, por el que se modifica el Reglamento de Ejecución (UE) 2024/482 en lo relativo a las normas internacionales aplicables y se corrige dicho Reglamento de Ejecución (DO L, 2024/3144, 19.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/3144/oj).

ANÁLISIS

Referencias anteriores
  • DE CONFORMIDAD con el Reglamento 910/2014, de 23 de julio (Ref. DOUE-L-2014-81822).
Materias
  • Administración electrónica
  • Archivos
  • Certificaciones
  • Internet
  • Normalización
  • Registros telemáticos
  • Seguridad informática

subir

State Agency Official State Gazette

Avda. de Manoteras, 54 - 28050 Madrid