Incidentes de seguridad en entornos de firma electrónica tras el #eIDAS

El Reglamento (UE) Nº 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (Reglamento eIDAS) prevé la notificación de Incidentes de seguridad, según se recoge en el artículo 19.2 .

Los prestadores de servicios  electrónicos de confianza, cualificados y no cualificados, sin demoras indebidas pero en cualquier caso en un plazo de 24 horas tras tener conocimiento de ellas, notificarán al organismo de supervisión (en España, el Ministerio de Energía, Turismo y Agenda Digital) y, en caso pertinente, a otros organismos relevantes como el organismo nacional competente en materia de seguridad de la información, o la autoridad de protección de datos (en España, la Agencia de Protección de Datos), cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes.

Asimismo, cuando la violación de seguridad o la pérdida de integridad puedan afectar a una persona física o jurídica a la que se ha prestado el servicio de confianza, el prestador de servicios de confianza debe notificar el incidente a la persona física o jurídica afectada.

Acceso al procedimiento de notificación.

Notificaciones que deben remitir a la SESIAD los prestadores de servicios electrónicos de confianza que inicien o presten servicios de confianza cualificados y no cualificados.

Supervisión contemplada en el Reglamento (UE) Nº 910/2014, en la Ley 59/2003 de Firma Electrónica.