red seguridad 074

meses para su mantenimiento en la TSL. En este sentido, apunta Campillos, "la Entidad Nacional de Acreditación (ENAC) se encuentra en disposición de acreditar a los organismos de evaluación de la conformidad que deseen realizar las evaluaciones de los prestadores de servicios electrónicos de confianza". Claro que no todo pinta tan bien, tal y como se encargan de recordar desde AMETIC. Fuentes de la asociación apuntan que "los prestadores de servicios de certificación no pueden solicitar las auditorías, porque están a la espera de que se definan las entidades auditoras, y los estándares en base a los que se realizarán las auditorías todavía no están definidos para los nuevos servicios". Y agregan: "Sólo los servicios de certificación, cuyos estándares de auditoría se basan en los que se definieron para la Directiva 1999/93/CE, tienen un contexto claro". Ahora bien, para AMETIC, esto "no es un problema únicamente de los reguladores españoles. La Unión Europea tampoco tiene resueltos muchos de estos aspectos, aunque ha cumplido los hitos principales de publicación de normativa complementaria al Reglamento". Eso sí, cabe reseñar una iniciativa del Centro Criptológico Nacional para definir la normativa de auditoría de sistemas para gestión de certificados y firma en la nube TIC que podrá ser utilizada en España, aunque tarde en publicarse la norma equivalente prevista por los órganos de normalización. Según fuentes de AMETIC, "es una demanda del mercado que, afortunadamente, ha tenido una respuesta temprana por el CCN, lo que mejorará el posicionamiento de las entidades españolas". Servicios innovadores y conclusión Por último, hay que destacar otra de las grandes novedades del Reglamento eIDAS. Y es que abre la posibilidad de prestación de servicios innovadores basados en soluciones móviles y en la nube, como la firma y sello electrónicos remotos, en respuesta a la evolución de la tecnología y ataques de suplantación de la identidad, con todas las consecuencias negativas que ello genera. En cualquier caso, tal y como explica Buch, de Safelayer, el Reglamento eIDAS es "un avance contundente en la mejora de la confianza y la conveniencia del que se beneficiarán las organizaciones y los ciudadanos". Además, prosigue, "acepta nuevas formas de identificación y firma electrónica que imponen los vectores 'social, movilidad y nube' de Internet, acompaña a la mejora de la eficiencia de los procesos electrónicos de las organizaciones, y respalda nuevos modelos de negocio que demandan sistemas de identificación de uso sencillo y menos costosos de integrar". En definitiva, reconoce la subdirectora general de Servicios de la Sociedad de la Información, el Reglamento eIDAS constituye "un hito para progresar en ámbitos clave de la economía digital, al facilitar el uso transfronterizo de los servicios en línea públicos y privados y el comercio electrónico, a través de dos importantes medidas: el uso de medios de identificación electrónica para el acceso transfronterizo a los servicios públicos en línea ofrecidos por cualquier Estado de la UE, y la generación de una mayor competencia en el mercado de servicios de confianza. las exigencias del mercado. En esta modalidad, explica Campillo, "los prestadores de servicios gestionan los datos de creación de firma del firmante o titular del sello, a quienes se garantiza con un alto grado de confianza que van a detentar un control exclusivo sobre sus datos de creación de firma o sello", puntualiza. A pesar de todo lo comentado aquí, varios de los expertos consultados opinan que todavía hay un largo camino por delante. Por ejemplo, Rojo, de Víntegris, considera que "queda mucho recorrido hasta alcanzar una extensión del uso de estas tecnologías, debido a barreras tecnológicas que, por fortuna, el Reglamento eIDAS elimina; en particular, los dispositivos criptográficos, como las tarjetas, han supuesto una menor adopción de la firma electrónica cualificada". Al respecto también se pronuncia Ojeda, de Always On, quien coincide en que "queda mucho por hacer, como por ejemplo, la información sobre el estado de revocación o validez de los certificados expedidos debe estar ya disponible de forma fiable, eficiente, automatizada y gratuita", asegura. El directivo, además, hace un llamamiento a la concienciación ciudadana para que se pongan en marcha las medidas de seguridad necesarias para evitar especial red seguridad tercer trimestre 2016 27 R eportaje Reglamento eIDAS especial