Incidentes de seguridad en entornos de firma electrónica tras el #eIDAS

El Reglamento (UE) Nº 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (Reglamento eIDAS) prevé la notificación de Incidentes de seguridad , según se recoge en el artículo 19.2 .

Los prestadores de servicios electrónicos de confianza, cualificados y no cualificados, sin demoras indebidas pero en cualquier caso en un plazo de 24 horas tras tener conocimiento de ellas, notificarán al organismo de supervisión (en España, el Ministerio de Energía, Turismo y Agenda Digital, en concreto la Secretaría de Estado de Sociedad de Información y Agenda Digital, SESIAD) y, en caso pertinente, a otros organismos relevantes como el organismo nacional competente en materia de seguridad de la información, o la autoridad de protección de datos (en España, la Agencia de Protección de Datos), cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes.

Asimismo, cuando la violación de seguridad o la pérdida de integridad puedan afectar a una persona física o jurídica a la que se ha prestado el servicio de confianza, el prestador de servicios de confianza debe notificar el incidente a la persona física o jurídica afectada .

En la comunicación a la SESIAD se deben aportar los siguientes datos:

Acceso al procedimiento de notificación [1] .

En la página indicada se tramitarán las Notificaciones que deben remitir a la SESIAD los prestadores de servicios electrónicos de confianza que inicien o presten servicios de confianza cualificados y no cualificados.

La Supervisión de la SESIAD está contemplada tanto en el Reglamento (UE) Nº 910/2014, como en la Ley 59/2003 de Firma Electrónica.

Posteriormente, en el plazo máximo de 1 mes desde que tuvo lugar el incidente de seguridad, y una vez analizado exhaustivamente, identificando sus causas, consecuencias y las medidas adoptadas, el prestador de servicios de confianza digital notificará a este la SESIAD toda la información relacionada, de forma que la información se gestione en el marco europeo de coordinación de incidentes con ENISA [2]

Estaúltima notificación se puede realizar mediante un formulario [3] especialmente diseñado para ello.

Contacte con Inza Consulting si necesita ayuda para coordinar las actuaciones necesarias ante incidentes de seguridad.

[1] https://sedeinetur.gobs/es-ES/procedimientoselectronicos/Paginas/ley592003.aspx

[2] httpsnisauropau/publications/article19-incident-reporting-framework

[3] httpinetad.gobs/telecomunicaciones/es-ES/Servicios/FirmaElectronica/Documents/Notificacion_incidentes.pdf

Julián Inza