Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market (Text with EEA relevance)

Cited authorities 9

Cited in

Amendments 3

Published date	09 September 2015
Subject Matter	informations et vérifications,informazione e verifiche,información y verificación
Official Gazette Publication	Journal officiel de l'Union européenne, L 235, 9 septembre 2015,Gazzetta ufficiale dell'Unione europea, L 235, 9 settembre 2015,Diario Oficial de la Unión Europea, L 235, 9 de septiembre de 2015

L_2015235ES.01000701.xml

9.9.2015

Diario Oficial de la Unión Europea

L 235/7

REGLAMENTO DE EJECUCIÓN (UE) 2015/1502 DE LA COMISIÓN

de 8 de septiembre de 2015

sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica con arreglo a lo dispuesto en el artículo 8, apartado 3, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior

(Texto pertinente a efectos del EEE)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y, en particular, su artículo 8, apartado 3,

Considerando lo siguiente:

(1)	El artículo 8 del Reglamento (UE) no 910/2014 establece que un sistema de identificación electrónica notificado en virtud del artículo 9, apartado 1, debe especificar los niveles de seguridad bajo, sustancial y alto de los medios de identificación electrónica expedidos en el marco de ese sistema.

(2)

Determinar las especificaciones, las normas y los procedimientos técnicos mínimos es fundamental a fin de garantizar un entendimiento común en cuanto a los detalles de los niveles de seguridad, así como la interoperabilidad al correlacionar los niveles de seguridad nacionales de los sistemas de identificación electrónica notificados con los niveles de seguridad contemplados en el artículo 8, de conformidad con el artículo 12, apartado 4, letra b), del Reglamento (UE) no 910/2014.

(3)

Se ha tenido en cuenta la norma internacional ISO/CEI 29115 en relación con las especificaciones y los procedimientos establecidos en el presente acto de ejecución como norma internacional de principio disponible en el dominio de los niveles de seguridad de los medios de identificación electrónica. No obstante, el contenido del Reglamento (UE) no 910/2014 difiere de esa norma internacional, en particular por lo que se refiere a los requisitos de prueba y verificación de la identidad, así como a la forma en que se tienen en cuenta las diferencias entre las disposiciones de los Estados miembros en materia de identidad y las herramientas existentes en la UE para el mismo fin. Por lo tanto, el anexo, aunque se basa en esta norma internacional, no debe hacer referencia a ningún contenido específico de la norma ISO/CEI 29115.

(4)

El presente Reglamento se ha desarrollado en forma de enfoque basado en los resultados, que es el más apropiado, lo que también se refleja en las definiciones que se utilizan para especificar los términos y conceptos. Estas tienen en cuenta el objetivo del Reglamento (UE) no 910/2014 en relación con los niveles de seguridad de los medios de identificación electrónica. Por lo tanto, el proyecto piloto a gran escala STORK, incluidas las especificaciones desarrolladas por él, y las definiciones y los conceptos de la norma ISO/CEI 29115 se deben tener en cuenta en la mayor medida posible al establecer las especificaciones y los procedimientos previstos en el presente acto de ejecución.

(5)

En función del contexto en el que haya que verificar un aspecto de la prueba de la identidad, las fuentes auténticas pueden adoptar diferentes formas, como registros, documentos y organismos, entre otros. Las fuentes auténticas pueden ser diferentes en los distintos Estados miembros, incluso en un contexto similar.

(6)

Los requisitos de prueba y verificación de la identidad deben tener en cuenta los distintos sistemas y prácticas, y garantizar al mismo tiempo una seguridad suficientemente alta con el fin de establecer la confianza necesaria. Por lo tanto, la aceptación de los procedimientos utilizados anteriormente para un fin distinto de la expedición de los medios de identificación electrónica debe estar condicionada a la confirmación de que dichos procedimientos cumplen los requisitos previstos para el correspondiente nivel de seguridad.

(7)

Se suelen emplear ciertos factores de autenticación, como secretos compartidos, dispositivos físicos y atributos físicos. No obstante, se debe fomentar el uso de un mayor número de factores de autenticación, especialmente de las diferentes categorías de factores, para aumentar la seguridad del proceso de autenticación.

(8)	El presente Reglamento no debe afectar a los derechos de representación de las personas jurídicas. Sin embargo, el anexo debe contemplar los requisitos relacionados con la vinculación entre los medios de identificación electrónica de las personas físicas y jurídicas.

(9)	Debe reconocerse la importancia de los sistemas de gestión de la seguridad de la información y de los servicios, así como también la importancia de utilizar metodologías reconocidas y de aplicar los principios incorporados en normas como las de las series ISO/CEI 27000 e ISO/CEI 20000.

(10)	También deben tenerse en cuenta las buenas prácticas en relación con los niveles de seguridad en los Estados miembros.

(11)	La certificación de seguridad TI basada en normas internacionales es un importante instrumento para verificar si las características de seguridad de los productos cumplen los requisitos del presente acto de ejecución.

(12)	El Comité mencionado en el artículo 48 del Reglamento (UE) no 910/2014 no ha emitido ningún dictamen en el plazo fijado por su Presidente.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

1. Los niveles de seguridad bajo, sustancial y alto de los medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado se determinarán con arreglo a las especificaciones y los procedimientos establecidos en el anexo.

2. Las especificaciones y los procedimientos establecidos en el anexo se utilizarán para especificar el nivel de seguridad de los medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado por medio de la determinación de la fiabilidad y la calidad de los siguientes elementos:

a)	inscripción, como se establece en la sección 2.1 del anexo del presente Reglamento, de conformidad con el artículo 8, apartado 3, letra a), del Reglamento (UE) no 910/2014;

b)	gestión de medios de identificación electrónica, como se establece en la sección 2.2 del anexo del presente Reglamento, de conformidad con el artículo 8, apartado 3, letras b) y f), del Reglamento (UE) no 910/2014;

c)	autenticación, como se establece en la sección 2.3 del anexo del presente Reglamento, de conformidad con el artículo 8, apartado 3, letra c), del Reglamento (UE) no 910/2014;

d)	gestión y organización, como se establece en la sección 2.4 del anexo del presente Reglamento, de conformidad con el artículo 8, apartado 3, letras d) y e), del Reglamento (UE) no 910/2014.

3. Cuando los medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado cumplen un requisito de un nivel de seguridad superior, se dará por supuesto que cumplen el requisito equivalente de un nivel de seguridad inferior.

4. A menos que se indique lo contrario en la parte pertinente del anexo, todos los elementos enumerados en el anexo para un determinado nivel de seguridad de los medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado deberán cumplirse para coincidir con el nivel de seguridad reclamado.

Artículo 2

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 8 de septiembre de 2015.

Por la Comisión

El Presidente

Jean-Claude JUNCKER

(1) DO L 257 de 28.8.2014, p. 73.

ANEXO

Especificaciones y procedimientos técnicos de los niveles de calidad bajo, sustancial y alto para medios de identificación electrónica expedidos en el marco de un sistema de identificación electrónica notificado

1. Definiciones aplicables

A efectos del presente anexo, se aplicarán las definiciones siguientes:

1) «fuente auténtica»: cualquier fuente, independientemente de la forma, en la que se pueda confiar para proporcionar datos, información o pruebas exactos que se puedan utilizar para demostrar la identidad;

2) «factor de autenticación»: un factor confirmado como vinculado a una persona, que se encuentra en alguna de las categorías siguientes:

a) «factor de autenticación basado en la posesión»: factor de autenticación en el que el sujeto está obligado a demostrar posesión del mismo;

b) «factor de autenticación basado en el conocimiento»: factor de autenticación en el que el sujeto está obligado a demostrar conocimiento del mismo;

c) «factor de autenticación inherente»: factor de autenticación que se basa en un atributo físico de una persona física del cual el sujeto está obligado a demostrar su posesión;

3) «autenticación dinámica»: proceso electrónico que utiliza criptografía u otras técnicas para proporcionar un medio de crear a petición una prueba electrónica que demuestre que el sujeto controla o posee los datos de identificación y que cambia con cada autenticación entre el sujeto y el sistema que verifica la identidad del sujeto;

4) «sistema de gestión de la seguridad de la información»: conjunto de procesos y procedimientos diseñados para gestionar a niveles aceptables los riesgos relacionados con la seguridad de la información.

2...

To continue reading

Request your trial

Subscribers can access the reported version of this case.

You can sign up for a trial and make the most of our service including these benefits.

Request your trial

Why Sign-up to vLex?

Over 100 Countries

Search over 120 million documents from over 100 countries including primary and secondary collections of legislation, case law, regulations, practical law, news, forms and contracts, books, journals, and more.
Thousands of Data Sources

Updated daily, vLex brings together legal information from over 750 publishing partners, providing access to over 2,500 legal and news sources from the world’s leading publishers.
Find What You Need, Quickly

Advanced A.I. technology developed exclusively by vLex editorially enriches legal information to make it accessible, with instant translation into 14 languages for enhanced discoverability and comparative research.
Over 2 million registered users

Founded over 20 years ago, vLex provides a first-class and comprehensive service for lawyers, law firms, government departments, and law schools around the world.

Subscribers are able to see a list of all the cited cases and legislation of a document.

You can sign up for a trial and make the most of our service including these benefits.

Request your trial

Why Sign-up to vLex?

Over 100 Countries

Search over 120 million documents from over 100 countries including primary and secondary collections of legislation, case law, regulations, practical law, news, forms and contracts, books, journals, and more.
Thousands of Data Sources

Updated daily, vLex brings together legal information from over 750 publishing partners, providing access to over 2,500 legal and news sources from the world’s leading publishers.
Find What You Need, Quickly

Advanced A.I. technology developed exclusively by vLex editorially enriches legal information to make it accessible, with instant translation into 14 languages for enhanced discoverability and comparative research.
Over 2 million registered users

Founded over 20 years ago, vLex provides a first-class and comprehensive service for lawyers, law firms, government departments, and law schools around the world.

Subscribers are able to see a list of all the documents that have cited the case.

You can sign up for a trial and make the most of our service including these benefits.

Request your trial

Why Sign-up to vLex?

Over 100 Countries

Search over 120 million documents from over 100 countries including primary and secondary collections of legislation, case law, regulations, practical law, news, forms and contracts, books, journals, and more.
Thousands of Data Sources

Updated daily, vLex brings together legal information from over 750 publishing partners, providing access to over 2,500 legal and news sources from the world’s leading publishers.
Find What You Need, Quickly

Advanced A.I. technology developed exclusively by vLex editorially enriches legal information to make it accessible, with instant translation into 14 languages for enhanced discoverability and comparative research.
Over 2 million registered users

Founded over 20 years ago, vLex provides a first-class and comprehensive service for lawyers, law firms, government departments, and law schools around the world.

Subscribers are able to see the revised versions of legislation with amendments.

You can sign up for a trial and make the most of our service including these benefits.

Request your trial

Why Sign-up to vLex?

Over 100 Countries

Search over 120 million documents from over 100 countries including primary and secondary collections of legislation, case law, regulations, practical law, news, forms and contracts, books, journals, and more.
Thousands of Data Sources

Updated daily, vLex brings together legal information from over 750 publishing partners, providing access to over 2,500 legal and news sources from the world’s leading publishers.
Find What You Need, Quickly

Advanced A.I. technology developed exclusively by vLex editorially enriches legal information to make it accessible, with instant translation into 14 languages for enhanced discoverability and comparative research.
Over 2 million registered users

Founded over 20 years ago, vLex provides a first-class and comprehensive service for lawyers, law firms, government departments, and law schools around the world.

Subscribers are able to see any amendments made to the case.

You can sign up for a trial and make the most of our service including these benefits.

Request your trial

Why Sign-up to vLex?

Over 100 Countries

Search over 120 million documents from over 100 countries including primary and secondary collections of legislation, case law, regulations, practical law, news, forms and contracts, books, journals, and more.
Thousands of Data Sources

Updated daily, vLex brings together legal information from over 750 publishing partners, providing access to over 2,500 legal and news sources from the world’s leading publishers.
Find What You Need, Quickly

Advanced A.I. technology developed exclusively by vLex editorially enriches legal information to make it accessible, with instant translation into 14 languages for enhanced discoverability and comparative research.
Over 2 million registered users

Founded over 20 years ago, vLex provides a first-class and comprehensive service for lawyers, law firms, government departments, and law schools around the world.

Subscribers are able to see a visualisation of a case and its relationships to other cases. An alternative to lists of cases, the Precedent Map makes it easier to establish which ones may be of most relevance to your research and prioritise further reading. You also get a useful overview of how the case was received.

Request your trial

Why Sign-up to vLex?

Over 100 Countries

Search over 120 million documents from over 100 countries including primary and secondary collections of legislation, case law, regulations, practical law, news, forms and contracts, books, journals, and more.
Thousands of Data Sources

Updated daily, vLex brings together legal information from over 750 publishing partners, providing access to over 2,500 legal and news sources from the world’s leading publishers.
Find What You Need, Quickly

Advanced A.I. technology developed exclusively by vLex editorially enriches legal information to make it accessible, with instant translation into 14 languages for enhanced discoverability and comparative research.
Over 2 million registered users

Founded over 20 years ago, vLex provides a first-class and comprehensive service for lawyers, law firms, government departments, and law schools around the world.

Subscribers are able to see the list of results connected to your document through the topics and citations Vincent found.

You can sign up for a trial and make the most of our service including these benefits.

Request your trial

Why Sign-up to vLex?

Over 100 Countries

Search over 120 million documents from over 100 countries including primary and secondary collections of legislation, case law, regulations, practical law, news, forms and contracts, books, journals, and more.
Thousands of Data Sources

Updated daily, vLex brings together legal information from over 750 publishing partners, providing access to over 2,500 legal and news sources from the world’s leading publishers.
Find What You Need, Quickly

Advanced A.I. technology developed exclusively by vLex editorially enriches legal information to make it accessible, with instant translation into 14 languages for enhanced discoverability and comparative research.
Over 2 million registered users

Founded over 20 years ago, vLex provides a first-class and comprehensive service for lawyers, law firms, government departments, and law schools around the world.

You can sign up for a trial and make the most of our service including these benefits.

Why Sign-up to vLex?

Over 100 Countries

Thousands of Data Sources

Find What You Need, Quickly

Over 2 million registered users

You can sign up for a trial and make the most of our service including these benefits.

Why Sign-up to vLex?

Over 100 Countries

Thousands of Data Sources

Find What You Need, Quickly

Over 2 million registered users

You can sign up for a trial and make the most of our service including these benefits.

Why Sign-up to vLex?

Over 100 Countries

Thousands of Data Sources

Find What You Need, Quickly

Over 2 million registered users

You can sign up for a trial and make the most of our service including these benefits.

Why Sign-up to vLex?

Over 100 Countries

Thousands of Data Sources

Find What You Need, Quickly

Over 2 million registered users

You can sign up for a trial and make the most of our service including these benefits.

Why Sign-up to vLex?

Over 100 Countries

Thousands of Data Sources

Find What You Need, Quickly

Over 2 million registered users

Why Sign-up to vLex?

Over 100 Countries

Thousands of Data Sources

Find What You Need, Quickly

Over 2 million registered users

You can sign up for a trial and make the most of our service including these benefits.

Why Sign-up to vLex?

Over 100 Countries

Thousands of Data Sources

Find What You Need, Quickly

Over 2 million registered users