La Unión Europea ha emprendido un proceso de convergencia normativa sin precedentes para garantizar que la confianza digital se construya sobre bases sólidas de ciberseguridad. Tradicionalmente, el Reglamento (UE) 910/2014 —conocido como eIDAS— estableció el marco jurídico de los servicios de confianza y la identificación electrónica. Sin embargo, su foco inicial se centraba en la validez jurídica de las firmas y sellos electrónicos, la entrega certificada o el sellado de tiempo, sin detallar los requisitos técnicos en materia de gestión de riesgos o respuesta ante incidentes.
La Directiva (UE) 2022/2555 —conocida como NIS 2— y su Reglamento de Ejecución (UE) 2024/2690, aplicable desde octubre de 2024, amplían y refuerzan este marco, imponiendo a los proveedores de servicios de confianza, tanto cualificados como no cualificados, obligaciones específicas de gobernanza, ciberseguridad y gestión de incidentes.
1. De eIDAS a NIS 2: una evolución hacia la resiliencia digital
El artículo 1 de NIS 2 establece un objetivo ambicioso: garantizar un elevado nivel común de ciberseguridad en toda la Unión, abarcando entidades esenciales e importantes. Entre ellas se incluyen explícitamente los prestadores de servicios de confianza definidos en eIDAS, lo que convierte a estos proveedores en actores obligados a aplicar las medidas del artículo 21 (gestión de riesgos) y del artículo 23 (notificación de incidentes).
Por su parte, el Reglamento (UE) 2024/2690 desarrolla los requisitos técnicos y metodológicos de dichas medidas, citando expresamente la norma ETSI EN 319 401 como referencia. Esto crea un puente regulatorio directo entre la seguridad jurídica de eIDAS y la seguridad técnica de NIS 2.
La consecuencia práctica es que un proveedor de firma electrónica remota, de sellado de tiempo o de entrega certificada deberá acreditar no solo la fiabilidad criptográfica y procedimental de su servicio, sino también la madurez de su sistema de gestión de ciberseguridad, incluyendo controles de detección, respuesta y recuperación ante incidentes.
2. Marco normativo de referencia: de ETSI EN 319 401 a TS 119 431 y 119 511
Las normas ETSI constituyen la traducción técnica del espíritu de NIS 2.
- ETSI EN 319 401 define los requisitos de política general para los prestadores de servicios de confianza: gestión de activos, control de acceso, seguridad de red, continuidad del negocio y gestión de incidentes.
- ETSI TS 119 431-1 y 119 431-2 profundizan en los requisitos de seguridad específicos para los sistemas de creación de firmas o sellos, especialmente en entornos remotos con HSM.
- ETSI TS 119 511 regula la preservación a largo plazo de las firmas electrónicas, exigiendo modelos de almacenamiento seguros, políticas de conservación y evidencia criptográfica verificable durante décadas.
El Reglamento 2690 confirma esta orientación técnica al basar su anexo de medidas en las normas ISO/IEC 27001, 27002 y en ETSI EN 319 401, lo que refuerza la interoperabilidad entre marcos. De esta forma, una auditoría basada en ETSI cubre simultáneamente los requisitos del artículo 21 de NIS 2 y de eIDAS en materia de fiabilidad y control de la información.
3. Obligaciones específicas para los servicios de confianza
Los proveedores de servicios de confianza (PSCs) deben demostrar conformidad con tres bloques fundamentales:
a) Gobernanza y gestión de riesgos.
NIS 2 exige que los órganos de dirección aprueben la política de seguridad y supervisen su aplicación. El Reglamento 2690 detalla que esta política debe incluir un marco de gestión de riesgos, un plan de tratamiento y una evaluación periódica que contemple amenazas emergentes. En el caso de una plataforma de firma remota, esto implica analizar riesgos asociados a la autenticación multifactor, al acceso al HSM, a la integridad de las claves y a la trazabilidad de las operaciones.
b) Controles técnicos y organizativos.
Se exige la implementación de medidas como la segregación de funciones, la protección criptográfica de los datos de creación de firma, la seguridad física y ambiental de los centros de datos y la supervisión continua de la red. Estos controles coinciden con los apartados 7 y 8 de la ETSI EN 319 401, que describen los requisitos de gestión de activos, control de acceso, continuidad, auditoría y respuesta ante incidentes.
c) Detección y notificación de incidentes significativos.
El artículo 23 de NIS 2 obliga a reportar a la autoridad competente cualquier incidente que tenga impacto considerable en la prestación del servicio. El Reglamento 2690 establece los criterios de significatividad: número de usuarios afectados, duración, impacto económico o reputacional. Un fallo de disponibilidad en un servicio de entrega certificada, por ejemplo, deberá notificarse en un plazo máximo de 24 horas, con un informe final en 72 horas.
4. Relación con la identidad electrónica y la confianza del usuario
La convergencia NIS 2–eIDAS refuerza el principio de responsabilidad compartida: el prestador garantiza la seguridad técnica y organizativa, mientras el usuario confía en que la identidad digital y la integridad de los datos están protegidas.
Esto es especialmente relevante en los servicios de firma electrónica remota, donde los datos de creación de firma se custodian en un HSM bajo control exclusivo del firmante, conforme a ETSI TS 119 431-1. Si un atacante comprometiera la infraestructura, el prestador debería acreditar la robustez de sus controles de detección, aislamiento y registro forense.
5. Supervisión, auditoría y consecuencias jurídicas
La NIS 2 impone un régimen de supervisión más estricto. Las autoridades nacionales pueden requerir auditorías periódicas, pruebas de penetración o evidencias documentadas de cumplimiento. Las sanciones por incumplimiento alcanzan hasta 10 millones de euros o el 2 % del volumen de negocio mundial, lo que eleva la ciberseguridad a la categoría de obligación corporativa.
Las auditorías eIDAS, por su parte, ya exigían verificaciones de conformidad con las normas ETSI. Ahora, la NIS 2 convierte esa práctica en un requisito transversal para todos los servicios esenciales y de confianza, integrando la seguridad de la información con la seguridad jurídica.
6. El papel de los auditores eIDAS en la nueva convergencia normativa
Como auditores de cumplimiento eIDAS y NIS 2, ayudamos a los prestadores a implementar un marco integral de ciberseguridad y cumplimiento legal, alineado con los estándares europeos. Nuestro trabajo abarca la revisión de políticas de seguridad, la validación de los procedimientos de gestión de incidentes, la comprobación del control exclusivo de las claves y la trazabilidad de las operaciones en los sistemas de firma o entrega certificada.
El objetivo no es solo cumplir la norma, sino demostrar ante un tercero —sea cliente, regulador o juez— que el servicio es confiable, auditable y resiliente.
7. Conclusión
La intersección entre eIDAS, NIS 2 y el Reglamento 2690 representa el nacimiento de una segunda generación de servicios de confianza, donde la seguridad técnica y la jurídica se funden en un único requisito de ciberresiliencia. Los proveedores de firma electrónica, sellado de tiempo o entrega certificada no solo deben garantizar la validez probatoria de sus servicios, sino también su disponibilidad, integridad y continuidad frente a cualquier amenaza.
En este nuevo escenario, la figura del auditor eIDAS cobra una relevancia estratégica: es quien traduce las obligaciones normativas en controles verificables, ayudando a las organizaciones a pasar del mero cumplimiento formal a una confianza digital sostenible.
