¿Soy un prestador de servicios de confianza conforme a NIS2?
Los prestadores de servicios de confianza se sitúan en el sector 8 del Anexo I de NIS2. Los TSP cualificados están vinculados con independencia del tamaño conforme al artículo 2(2)(b). Los TSP no cualificados siguen la prueba estándar del tamaño del artículo 2(1). eIDAS se sitúa en paralelo y rige el propio servicio de confianza.
La versión breve
Un prestador de servicios de confianza es cualquiera que preste uno o más servicios de confianza según se definen en el artículo 3(16) del Reglamento eIDAS (UE) 910/2014: firmas electrónicas, sellos electrónicos, sellos de tiempo electrónicos, entrega electrónica certificada, certificados de autenticación de sitios web, o la conservación de cualquiera de estos. El sector 8 del Anexo I de NIS2 nombra explícitamente a los prestadores de servicios de confianza como parte de la Infraestructura Digital.
El artículo 2(2)(b) NIS2 acciona entonces una palanca que no se aplica a la mayoría de los demás sectores. Los prestadores cualificados de servicios de confianza, según se definen en el artículo 3(17) de eIDAS, están dentro del ámbito de aplicación con independencia del tamaño. Un TSP cualificado de dos personas que emite certificados cualificados para firmas electrónicas está vinculado del mismo modo que una AC de 500 personas. El umbral de mediana empresa del artículo 2(1) no los condiciona.
Los TSP no cualificados siguen la prueba del tamaño habitual: al menos 50 empleados, o por encima de 10 millones de euros de volumen de negocios anual o de balance, los sitúa dentro del ámbito de aplicación. Por debajo de eso quedan fuera de NIS2, aunque el artículo 19 de eIDAS sigue vinculándolos con una base de seguridad. Dos regímenes se ejecutan en paralelo en cualquier caso: eIDAS para el propio servicio de confianza, NIS2 para las obligaciones cibernéticas interorganizativas (formación de la dirección del artículo 20, notificación de incidentes significativos del §32 BSIG, medidas de gestión de riesgos del artículo 21).
Directiva NIS2 (2022/2555), Anexo I sector 8 (Infraestructura Digital)
Anbieter von Vertrauensdiensten; Anbieter von Diensten der Domänennamenauflösung (DNS), ausgenommen Betreiber von Root-Nameservern; Registrierungsstellen für Domänennamen der obersten Stufe (TLD); Anbieter von Cloud-Computing-Diensten; Anbieter von Rechenzentrumsdiensten; Anbieter von Content Delivery Networks; Anbieter öffentlicher elektronischer Kommunikationsnetze; Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste.
Verbatim del DO L 333/146. El sector 8 es la Infraestructura Digital. Los prestadores de servicios de confianza son la primera subcategoría enumerada. La lista de sectores no separa cualificados de no cualificados; esa separación la hacen el artículo 2(2)(b) y eIDAS.
Artículo 2(2)(b) NIS2 + Artículo 3(16) y 3(17) de eIDAS
Artículo 2(2)(b) NIS2: La presente Directiva se aplica también a las entidades de un tipo de los referidos en el Anexo I o II, con independencia de su tamaño, cuando la entidad sea un prestador cualificado de servicios de confianza. Artículo 3(16) eIDAS: «servicio de confianza» significa un servicio electrónico prestado habitualmente a cambio de una remuneración que consiste en: (a) la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a esos servicios, o (b) la creación, verificación y validación de certificados de autenticación de sitios web, o (c) la conservación de firmas electrónicas, sellos o certificados relativos a esos servicios. Artículo 3(17): «servicio de confianza cualificado» significa un servicio de confianza que cumple los requisitos aplicables establecidos en el presente Reglamento.
Dos definiciones apiladas. El artículo 3(16) de eIDAS le indica qué cuenta como servicio de confianza. El artículo 3(17) le indica cuándo uno es cualificado (cumple los requisitos del Anexo de eIDAS y figura en la lista de confianza nacional). El artículo 2(2)(b) NIS2 dice entonces: si está cualificado, está dentro de NIS2 con independencia de la plantilla o del volumen de negocios.
§28 BSIG + Vertrauensdienstegesetz (Alemania)
El §28 BSIG transpone el ámbito de aplicación del Anexo I al derecho alemán y captura explícitamente a los prestadores cualificados de servicios de confianza como «besonders wichtige Einrichtungen» con independencia del tamaño. La Vertrauensdienstegesetz (VDG) es la ley nacional de acompañamiento del Reglamento eIDAS; designa a la Bundesnetzagentur como órgano de supervisión de los servicios de confianza y opera la lista de confianza alemana.
El Reglamento eIDAS se aplica directamente sin transposición alemana. La VDG solo añade la maquinaria de supervisión. NIS2 se sitúa por separado por encima de ambos: el §28 BSIG sitúa a los TSP cualificados en el nivel más alto (besonders wichtige Einrichtung), con independencia del tamaño, con el BSI como regulador cibernético.
¿Presta un servicio de confianza?
Contraste su oferta con el artículo 3(16) de eIDAS. La lista cerrada es: firmas electrónicas, sellos electrónicos, sellos de tiempo electrónicos, servicios de entrega electrónica certificada, certificados de autenticación de sitios web, y la conservación de cualquiera de estos. El servicio se presta habitualmente a cambio de una remuneración. Si su oferta no encaja en ninguna de estas categorías, no es un TSP conforme a eIDAS, por mucha criptografía que despliegue.
¿Es el prestador o solo un usuario?
Un TSP emite u opera el servicio de confianza para otros. Una empresa que firma sus propias facturas con un servicio externo de firma cualificada es un usuario de ese servicio, no un TSP. Una consultoría que ayuda a un cliente a desplegar flujos de firma es también un usuario. La condición de prestador depende de si usted crea, valida, entrega o conserva el propio servicio de confianza, para otra persona, a cambio de dinero.
¿Cualificado o no cualificado?
Compruebe la lista de confianza nacional (en Alemania: la lista de confianza de la Bundesnetzagentur conforme a la VDG). Si figura en ella como prestador cualificado, el artículo 2(2)(b) NIS2 le vincula con independencia del tamaño. Si no figura en ella, es no cualificado y se aplica la prueba estándar del tamaño del artículo 2(1): mediana empresa o mayor. Los TSP cualificados de dos y tres personas son comunes en este sector, y todos están dentro del ámbito de aplicación.
Cualificado significa con independencia del tamaño
El artículo 2(2)(b) NIS2 es una de las siete excepciones con independencia del tamaño de la directiva. Los servicios de confianza entraron en la lista porque el daño de un certificado cualificado comprometido es estructural: toda firma, sello o sello de tiempo emitido al amparo de él pierde su efecto jurídico. El tamaño del prestador no guarda relación con la magnitud del daño aguas abajo. Una AC de dos personas puede romper toda la cadena de firma de un Estado miembro. Por eso la prueba del tamaño se desactiva.
Los TSP cualificados ejecutan dos regímenes paralelos
El artículo 19 de eIDAS vincula la seguridad del propio servicio de confianza, con auditorías cada 24 meses conforme al artículo 24 para los TSP cualificados. NIS2 añade las obligaciones cibernéticas interorganizativas: formación de la dirección del artículo 20, medidas de gestión de riesgos del artículo 21, notificación de incidentes significativos del artículo 23. El artículo 4 NIS2 no desactiva NIS2 aquí. Ambos regímenes se aplican en su totalidad. El órgano de supervisión de eIDAS y la autoridad competente de NIS2 pueden ser distintos (en Alemania: la Bundesnetzagentur para eIDAS, el BSI para NIS2).
BSI / §28 BSIG (lado NIS2)
El BSI es la autoridad competente de NIS2. Opera el portal de registro del §33 BSIG, recibe las notificaciones de incidentes significativos del §32 BSIG y supervisa las medidas de gestión de riesgos del §30 BSIG. Los TSP cualificados aterrizan en el nivel «besonders wichtige Einrichtung» mediante el §28 BSIG, lo que significa una supervisión más estricta y los mismos plazos de notificación de incidentes que los operadores KRITIS.
Bundesnetzagentur (lado eIDAS)
La Bundesnetzagentur es el órgano de supervisión de los servicios de confianza conforme a la Vertrauensdienstegesetz. Opera la lista de confianza alemana, acredita la condición de cualificado, recibe los informes de evaluación de la conformidad conforme al artículo 20 de eIDAS y gestiona el ciclo de auditoría de 24 meses conforme al artículo 24. Cuando un incidente es a la vez un incidente significativo del §32 BSIG y una violación del artículo 19(2) de eIDAS, notifica ambos, a ambas autoridades.
ENISA Technical Implementation Guidance + trabajo de la EUDI Wallet
ENISA publica la guía técnica para los servicios de confianza conforme al artículo 19 de eIDAS y redacta la base de ciberseguridad que alimenta las expectativas de los supervisores nacionales. El mismo organismo está redactando ahora el paquete de trabajo sobre servicios de confianza para la Cartera Europea de Identidad Digital, que amplía el perímetro de los TSP cualificados a partir de 2026.
Leyes nacionales de transposición
eIDAS es un Reglamento, por lo que las reglas de los servicios de confianza son uniformes en toda la UE. NIS2 es una Directiva, por lo que cada Estado miembro la transpone: NL mediante la Cyberbeveiligingswet, AT mediante el NISG, FR mediante la Ordonnance 2024-1093. El sector 8 del Anexo I y la regla del artículo 2(2)(b) con independencia del tamaño son idénticos en todos ellos. La autoridad competente para el lado NIS2 difiere de un país a otro.
Los servicios de confianza no cualificados están fuera de NIS2.
Falso. Los TSP no cualificados siguen estando en el sector 8 del Anexo I. No obtienen la elevación con independencia del tamaño del artículo 2(2)(b), de modo que decide la prueba estándar del artículo 2(1). Un proveedor de sellos de tiempo no cualificado con 60 empleados está plenamente dentro de NIS2 como entidad importante. Solo la condición de cualificado cambia si se aplica la prueba del tamaño, no si se aplica el sector.
eIDAS ya cubre la ciberseguridad, así que NIS2 no añade nada.
El artículo 19 de eIDAS fija la base de seguridad para el servicio de confianza. Los artículos 20, 21 y 23 de NIS2 añaden obligaciones interorganizativas: formación del órgano de dirección, el catálogo completo de gestión de riesgos desde la criptografía hasta la cadena de suministro, y la notificación de incidentes significativos conforme al §32 BSIG con una alerta temprana de 24 horas. La lex specialis del artículo 4 NIS2 no desactiva NIS2 para los servicios de confianza. Dos regímenes paralelos, ninguno sustituye al otro.
Somos demasiado pequeños para NIS2.
Si es un TSP cualificado, el tamaño es la pregunta equivocada. El artículo 2(2)(b) le incluye con independencia de la plantilla, el volumen de negocios o el balance. Una autoridad de certificación cualificada de dos personas está en el mismo nivel de NIS2 que una AC multinacional. La razón está aguas abajo: toda firma emitida al amparo de un certificado cualificado comprometido pierde su efecto jurídico, con independencia de quién la emitiera.
Caso típico: un TSP cualificado de 12 personas que emite certificados cualificados para firmas electrónicas, con un ciclo de evaluación de la conformidad eIDAS de 24 meses y una entrada en la lista de confianza nacional a través de la Bundesnetzagentur. El ámbito de aplicación de NIS2 es automático mediante el artículo 2(2)(b). El §28 BSIG sitúa a la empresa en el nivel «besonders wichtige Einrichtung». Dos reguladores, dos canales de notificación, una empresa.
Lo que hacen realmente los profesionales: tomar la evidencia de auditoría del artículo 24 de eIDAS y reutilizarla para los controles pertinentes del artículo 21 NIS2 (criptografía, control de acceso, gestión de incidentes, continuidad de negocio). Ejecutar el registro del §33 BSIG ante el BSI. Añadir los elementos que eIDAS no cubre: formación de la dirección del artículo 20, riesgo de proveedores del artículo 21(2)(d), el canal de incidentes significativos del §32 BSIG. Los dos regímenes se solapan en criptografía y respuesta a incidentes; todo lo demás es adicional.
La comprobación de aplicabilidad identifica a los TSP cualificados mediante el artículo 2(2)(b) y desactiva automáticamente la prueba del tamaño. El resultado es una Anwendbarkeitsprüfung escrita que cita el sector 8 del Anexo I y el artículo 2(2)(b), firmada por el órgano de dirección, fijada a la versión del texto de la directiva.
El catálogo de controles refleja la realidad de los dos regímenes. Los controles del artículo 19 de eIDAS están etiquetados de modo que pueda adjuntar el informe de evaluación de la conformidad más reciente una sola vez y que se compute frente a las medidas pertinentes del artículo 21 NIS2. El registro de proveedores señala a cualquier subencargado que sea a su vez un TSP, de modo que las obligaciones de cadena de suministro del artículo 21(2)(d) sigan siendo trazables.
- Directiva (UE) 2022/2555 (NIS2), Anexo I sector 8 y Artículo 2(2)(b) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Reglamento (UE) 910/2014 (eIDAS), Artículo 3(16), Artículo 3(17), Artículo 19, Artículo 24 — eur-lex.europa.eu/eli/reg/2014/910/oj
- Ley del BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) y §33 (Registrierung) en su versión modificada por la Ley de Implementación de NIS2 y de Refuerzo de la Ciberseguridad
- Vertrauensdienstegesetz (VDG) — gesetze-im-internet.de/vdg
- Lista de confianza alemana de la Bundesnetzagentur conforme al artículo 22 de eIDAS
- ENISA Technical Implementation Guidance para los servicios de confianza conforme al artículo 19 de eIDAS — enisa.europa.eu