Índice
El mejor contenido en tu bandeja de entrada
El RGS (Référentiel Général de Sécurité) es el marco normativo y técnico francés creado por la ANSSI (Agencia Nacional de Seguridad de los Sistemas de Información) que establece las reglas de seguridad para los sistemas de información de las administraciones públicas y sus proveedores. Se basa en un sistema de calificación de confianza estructurado en certificados RGS de 1, 2 y 3 estrellas, los cuales determinan el nivel de robustez criptográfica y el soporte (software o hardware) necesario para realizar trámites como la firma electrónica, autenticación y cifrado.
Para las empresas españolas, obtener un certificado RGS** (2 estrellas) o su equivalente cualificado bajo eIDAS es fundamental para participar en licitaciones públicas transfronterizas en Francia y operar en el mercado europeo con plenas garantías jurídicas.
¿Qué es el RGS (Référentiel Général de Sécurite)?
El RGS (Repositorio General de Seguridad) es un marco regulatorio y un conjunto de estándares técnicos de ciberseguridad establecido en Francia, cuya supervisión y actualización constante corre a cargo de la ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information).
Este marco legal nació bajo la Ordenanza nº 2005-1516 y el posterior Decreto 2010-112, con el objetivo fundacional de blindar la seguridad de los intercambios electrónicos entre los ciudadanos, las empresas y las diferentes entidades de la Administración Pública francesa.
El RGS no es simplemente una recomendación de buenas prácticas, es una obligación legal vinculante. Define de manera exhaustiva y milimétrica las reglas, los procedimientos de auditoría, las especificaciones criptográficas y los requisitos de infraestructura que deben cumplir las Autoridades de Certificación para emitir los denominados certificados RGS. Estos certificados digitales son los únicos instrumentos válidos para autenticar identidades, firmar documentos de manera electrónica y cifrar datos en interacciones críticas con el Estado francés.
Desde una perspectiva técnica, el RGS establece políticas estrictas sobre:
- Algoritmos criptográficos aceptados: Longitud de claves RSA o ECC (Curva Elíptica), y funciones hash permitidas (como la familia SHA-2 o SHA-3).
- Soporte de almacenamiento: Exigencias sobre si las claves privadas pueden residir en un software local, en la nube, o si requieren obligatoriamente un Dispositivo Seguro de Creación de Firma (QSCD o dispositivo hardware como tokens y HSMs).
- Procesos de verificación de identidad: Requisitos presenciales o telemáticos avanzados (onboarding digital) para identificar a la persona física o jurídica antes de emitir el certificado.
A quién va dirigido y por qué es relevante para las empresas en España
A priori, podría parecer que una normativa nacional francesa como el RGS solo afecta a las entidades galas. Sin embargo, en el contexto del Mercado Único Europeo, la realidad es muy distinta. El RGS es de vital importancia para las empresas en España debido a la alta interconexión económica y la existencia de licitaciones transfronterizas.
Participación en licitaciones públicas francesas
Francia es uno de los principales socios comerciales de España. Cualquier empresa española del sector de la construcción, ingeniería, consultoría o tecnología que desee presentarse a un concurso público en Francia a través de plataformas como PLACE (Plateforme des achats de l'État), necesita firmar su oferta técnica y económica con un nivel de seguridad específico. El pliego de condiciones de estas licitaciones exige de forma rutinaria el uso de certificados RGS (generalmente de nivel 2 estrellas) o certificados estrictamente equivalentes y reconocidos en la lista de confianza europea (EUTL).
Interconexión Europea y Cadenas de Suministro Seguras
Las grandes corporaciones francesas del sector aeronáutico, automovilístico o de defensa exigen a sus proveedores españoles (Tier 1, Tier 2) que se alineen con sus propios estándares de ciberseguridad. En muchos de estos portales de proveedores (EDI, plataformas de facturación electrónica), el uso de un certificado RGS garantiza el no repudio y la integridad del intercambio documental.
Anticipación Regulatoria
El RGS de la ANSSI está considerado uno de los marcos de seguridad más maduros y exigentes del mundo. Las empresas españolas que adoptan procesos compatibles con el RGS están, por defecto, implementando políticas de seguridad de la información que superan la media del mercado, lo que las protege ante auditorías, ciberataques y normativas futuras, elevando su competitividad a nivel global.
Para las empresas españolas, el RGS es una barrera de entrada estratégica, ya que Francia exige certificados que cumplan este estándar para firmar facturas, contratos y ofertas ante su administración. Carecer de una solución compatible no solo eleva el riesgo de ciberseguridad, sino que supone la exclusión inmediata de licitaciones públicas en sectores como ingeniería, tecnología o construcción.
Los tres tipos de certificados RGS: El sistema de estrellas
La innovación del RGS respecto a otros marcos de seguridad radica en su pragmatismo para clasificar los riesgos mediante una escala visual e intuitiva: el sistema de estrellas. Dependiendo de la criticidad de la operación, el impacto financiero, los requisitos de confidencialidad y la naturaleza de los datos tratados, la ANSSI exige un nivel u otro. Esta clasificación de los certificados RGS se divide en tres niveles crecientes de seguridad: 1 estrella (*), 2 estrellas (**) y 3 estrellas (***).
RGS 1 estrella (*): Seguridad básica y operativa
El certificado RGS 1 estrella está diseñado para operaciones de riesgo bajo o moderado. Su principal ventaja es la agilidad y la facilidad de despliegue en entornos corporativos, ya que no requiere hardware dedicado en el lado del usuario final.
- Características técnicas: Se trata de un certificado en formato software (entregado típicamente en un archivo .p12 o .pfx). La clave privada del usuario se almacena en el navegador web, en el almacén de certificados del sistema operativo (Windows/macOS) o en un servidor corporativo centralizado.
- Autenticación y firma: Permite una autenticación fuerte básica y la generación de firmas electrónicas simples o avanzadas de bajo perfil. No obstante, al residir en software, es más vulnerable a extracciones no autorizadas si el equipo del usuario es comprometido por malware o troyanos.
Este nivel es óptimo para la firma de facturas electrónicas comunes que no requieren la máxima garantía legal y para agilizar procesos internos de Recursos Humanos, como la firma de vacaciones o recibos de nómina. Además, resulta muy útil para proteger comunicaciones y correos electrónicos cifrados dentro de una misma red corporativa, así como para gestionar el acceso a plataformas no críticas o portales de información general.
RGS 2 estrellas (**): Seguridad media-alta y el estándar transfronterizo
El certificado RGS 2 estrellas es el verdadero protagonista del ecosistema empresarial B2B y B2G, y el que buscan la inmensa mayoría de empresas españolas. Representa un salto cualitativo enorme en términos de ciberseguridad y garantías jurídicas.
- Características técnicas: La clave de este nivel es que requiere obligatoriamente un soporte hardware criptográfico. El certificado no puede ser exportado ni copiado. Se entrega y se custodia en un dispositivo físico, habitualmente un token USB criptográfico o una tarjeta inteligente que cumple con normativas internacionales de seguridad (como Common Criteria EAL4+ o FIPS 140-2 Nivel 3).
- Equivalencia legal: Dependiendo de cómo se haya realizado la verificación de identidad (que suele requerir presencia física o un onboarding de video identificación altamente cualificado), un RGS** es el equivalente directo a una firma electrónica avanzada reforzada o, en muchos casos, a una firma electrónica cualificada.
- Proceso de uso: Para firmar un documento, el usuario debe conectar el token físico a su ordenador e introducir un código PIN personal. Esto garantiza la autenticidad mediante dos factores (algo que posees: el token; y algo que sabes: el PIN), asegurando el no repudio absoluto.
Este nivel es obligatorio en licitaciones públicas para presentar ofertas a la Administración Pública francesa. También es idóneo para la firma de contratos mercantiles de alto valor económico y acuerdos de confidencialidad (NDA), así como para la firma de cuentas anuales, balances financieros y documentación societaria con plenos efectos jurídicos, e indispensable para realizar trámites de alta sensibilidad ante agencias tributarias y registros mercantiles.
RGS 3 estrellas (***): Máxima seguridad gubernamental y defensa
El nivel RGS 3 estrellas representa el pináculo de la seguridad criptográfica civil y gubernamental. Su obtención, mantenimiento y uso implican procesos extremadamente rigurosos, lentos y costosos.
- Características técnicas: Utiliza algoritmos criptográficos de última generación recomendados para la protección de secretos de Estado. Los requisitos para la Autoridad de Certificación que los emite son draconianos, incluyendo auditorías constantes, instalaciones físicas búnkerizadas e infraestructuras redundantes a prueba de ataques de estado-nación. El soporte hardware es aún más restrictivo que en el nivel 2.
- Verificación de identidad: El escrutinio sobre la identidad y los antecedentes del solicitante es absoluto, requiriendo validaciones presenciales exhaustivas por personal autorizado específicamente por el Estado.
Este nivel no está destinado al entorno empresarial común, ya que su uso está restringido a Operadores de Importancia Vital (OIV) definidos por el Estado francés. Se aplica específicamente en comunicaciones militares, sistemas de defensa, redes de inteligencia y gestión de infraestructuras críticas (energía nuclear, control aéreo, telecomunicaciones estratégicas), así como en la protección de documentos clasificados como "Difusión Restringida" o superior.
| Característica | RGS 1 Estrella (*) | RGS 2 Estrellas (**) | RGS 3 Estrellas (***) |
|---|---|---|---|
| Nivel de Riesgo | Bajo / Moderado | Alto / Crítico | Máximo / Seguridad Nacional |
| Soporte de Almacenamiento | Software (Navegador, .p12, Servidor) | Hardware (Token USB Criptográfico, Tarjeta) | Hardware Criptográfico de Alta Seguridad |
| Extracción de Claves | Posible (si se configura) | Imposible (protección por hardware) | Imposible |
| Uso en Licitaciones | No válido o muy limitado | El estándar requerido por defecto | Requerido solo para Defensa/OIV |
| Coste y Complejidad | Bajo | Medio-Alto | Muy Alto |
El RGS y el reglamento europeo eIDAS
Es imposible hablar de certificados RGS en la actualidad sin contextualizarlos dentro del Reglamento eIDAS (Reglamento UE 910/2014, y su próxima iteración eIDAS 2.0). Mientras que el RGS es un marco nacional francés anterior, la normativa europea es la legislación suprema de la Unión que busca crear un Mercado Único Digital interoperable. Este texto legal clasifica la firma electrónica en tres niveles: Simple, Avanzada y Cualificada. La pregunta que surge inevitablemente para los expertos legales y CTOs es: ¿Cómo se mapean las estrellas RGS con las categorías comunitarias? La respuesta reside en la interoperabilidad y el reconocimiento mutuo, ya que la ANSSI ha trabajado intensamente para alinear su repositorio RGS con las exigencias del eIDAS. En términos generales, la equivalencia funcional y legal es la siguiente:
- Convergencia del RGS:** Un certificado RGS de 2 estrellas, emitido por un Prestador Cualificado de Servicios de Confianza (QTSP) que cumple con los requisitos del RGS y utiliza un Dispositivo Cualificado de Creación de Firma (QSCD), es equivalente en la práctica a una Firma Electrónica Cualificada bajo eIDAS.
- Lista de Confianza Europea (EUTL): Gracias a la estandarización europea, una empresa española no está estrictamente obligada a comprar un certificado a una CA francesa para licitar en Francia. Puede utilizar un certificado emitido por una CA española (como la FNMT, Camerfirma, o prestadores privados cualificados), siempre y cuando este certificado alcance el nivel de "Cualificado" (QES) y cumpla con especificaciones técnicas asimilables al nivel de exigencia de un RGS**. La plataforma compradora francesa validará que el certificado se encuentra en la EUTL europea.
- El futuro con eIDAS 2.0 y el EUDI Wallet: La evolución hacia la Cartera de Identidad Digital Europea (EUDI Wallet) obligará a marcos locales como el RGS a seguir adaptándose. Sin embargo, los preceptos de seguridad en los que se basan los certificados RGS (como el cifrado robusto y la vinculación inequívoca al firmante) seguirán siendo el núcleo de cualquier arquitectura de confianza. El enfoque francés basado en "estrellas" seguirá siendo una referencia a la hora de realizar análisis de riesgos dentro de la UE.
Entender esta dualidad eIDAS/RGS es la clave para que las empresas españolas no dupliquen costes operacionales adquiriendo múltiples certificados para diferentes países, sino que opten por soluciones de firma electrónica que garanticen el cumplimiento paneuropeo simultáneo.
Cómo elegir el nivel RGS adecuado para tu negocio
Seleccionar el nivel de certificación RGS incorrecto para las operaciones de tu empresa puede derivar en dos problemas estratégicos graves que afectarán directamente a la cuenta de resultados. Por un lado, podrías enfrentarte a un severo bloqueo operativo y legal al utilizar un nivel de firma inferior al exigido por los pliegos oficiales, invalidando tus documentos en licitaciones públicas o contratos críticos. Por otro lado, pecar de exceso e implementar una infraestructura criptográfica de máxima seguridad para trámites corporativos mundanos generará un sobrecoste económico inmediato y una fricción tecnológica innecesaria en el día a día de tus empleados.
Para evitar ambos escenarios y tomar la decisión tecnológica y jurídica correcta, los directores de IT (CIO), responsables de seguridad (CISO) y directores legales (CLO) deben ejecutar de forma conjunta un enfoque basado estrictamente en el riesgo. Este análisis corporativo previo requiere mapear detalladamente los flujos documentales de la empresa, evaluar el impacto legal de cada trámite transfronterizo y sopesar la sensibilidad de la información tratada frente a la usabilidad del sistema. Al auditar rigurosamente estos factores, la cúpula directiva podrá garantizar el cumplimiento normativo exigido por la ANSSI sin comprometer la agilidad operativa del negocio ni sobrecargar el presupuesto de sus departamentos.
Análisis de riesgos según el trámite: Licitaciones públicas vs. Facturación interna
El primer paso antes de adquirir cualquier tipo de identidad digital es llevar a cabo un mapeo exhaustivo y estratégico de todos los procesos documentales y transaccionales de la compañía. Las organizaciones deben catalogar cada trámite en función de su criticidad legal, el volumen de firmas requerido diariamente y el tipo de interlocutor involucrado (entidades públicas frente a partners privados). Esta auditoría interna de riesgos permitirá discriminar de forma precisa qué flujos de trabajo requieren un blindaje jurídico absoluto frente a terceros y cuáles demandan, por encima de todo, rapidez tecnológica y automatización para no asfixiar la productividad diaria corporativa. Para lograr este equilibrio, el análisis debe centrarse en los siguientes escenarios clave:
1. Evaluación de impacto (Licitaciones y contratos externos):
Si el objetivo principal de la empresa es expandir su cuota de mercado en Francia participando en el ecosistema público, la decisión es automática. La normativa de contratación pública francesa no deja margen de maniobra. Necesitas, sin excepción, procesos compatibles con RGS 2 estrellas (o equivalentes eIDAS Cualificados con token/nube cualificada).
- Riesgo asociado: Rechazo de la oferta por defecto de forma, pérdida de millones de euros en contratos, nulidad legal del acuerdo.
- Acción: Adquisición de certificados en hardware o firmas centralizadas cualificadas eIDAS/RGS**.
2. Evaluación de volumen y agilidad (Operaciones internas y facturación):
Si la empresa opera en Francia pero su actividad se ciñe a la emisión de facturas electrónicas a clientes privados mediante plataformas EDI (Intercambio Electrónico de Datos), o procesos de RRHH transfronterizos (contratos laborales de expatriados), un nivel RGS** puede generar demasiada fricción. Obligar a cada empleado de facturación a insertar un USB y teclear un PIN 200 veces al día es inviable.
- Riesgo asociado: Fricción operativa, lentitud en los procesos, pérdida de productividad, aunque el riesgo legal de impugnación sea bajo.
- Acción: Implementación de certificados RGS 1 estrella en software, integrados en el ERP corporativo (SAP, Navision) para el sellado automatizado de facturas o documentos masivos.
Soluciones de firma y onboarding que integran estándares RGS y eIDAS
El gran reto al que se enfrentan las organizaciones es cómo implementar exigencias criptográficas de alto nivel sin destruir la experiencia de usuario. Históricamente, usar certificados físicos tipo RGS** era sinónimo de instalaciones complejas de drivers, incompatibilidades de navegadores y frustración por parte del usuario final.
Actualmente, las plataformas líderes en el mercado RegTech y LegalTech resuelven esta dicotomía. Es fundamental apoyarse en soluciones de vanguardia que oculten la complejidad técnica (la criptografía subyacente, los chequeos de las listas CRL u OCSP) y ofrezcan una interfaz intuitiva.
Herramientas como Tecalis Sign y Tecalis Identity facilitan el cumplimiento
Las plataformas integrales de identidad digital como Tecalis han sido diseñadas específicamente para navegar por estos complejos marcos regulatorios de forma transparente, permitiendo que el cliente corporativo cumpla con la normativa sin sacrificar la eficiencia operativa. Para lograr esta simplificación del cumplimiento normativo, la tecnología de Tecalis se apoya en los siguientes pilares clave:
- Onboarding digital y verificación de identidad: Antes de emitir o utilizar un certificado de alto nivel, la identidad debe ser validada rigurosamente. Soluciones como Tecalis Identity utilizan inteligencia artificial, biometría facial y lectura avanzada de documentos mediante NFC o OCR. Estas herramientas permiten cumplir con los requisitos de identificación previa exigidos por eIDAS y las CAs que emiten RGS. Gracias a este sistema, se eliminan los desplazamientos físicos y se reducen semanas de burocracia a solo unos minutos.
- Firma electrónica multicanal y multi-estándar: Mediante Tecalis Sign, las empresas configuran flujos de firma según el riesgo del documento. El sistema permite solicitar una firma biométrica simple para albaranes de entrega o exigir certificados cualificados para contratos de alto valor. Esta flexibilidad garantiza el cumplimiento del rigor exigido por el estándar RGS** en operaciones críticas.
- Integración API y experiencia de usuario: La clave del éxito es la integración técnica fluida. Mediante APIs RESTful, las empresas españolas incrustan firmas compatibles con RGS y eIDAS en sus propios CRMs o portales. El usuario firma con plena validez legal desde cualquier dispositivo sin necesidad de ser experto en normativas de la ANSSI.
En definitiva, comprender qué es el RGS, dominar su clasificación por estrellas y apoyarse en proveedores tecnológicos solventes que alineen estos requisitos franceses con la robustez del reglamento eIDAS, es el movimiento estratégico definitivo para cualquier empresa española que desee triunfar y operar con total seguridad en el mercado europeo e internacional.
