Calendrier eIDAS 2 : déploiement UE 2026-2027

Introducció: per què el calendari eIDAS 2 és crucial per a la vostra organització

Des de l'entrada en vigor del regulament (UE) 2024/1183 — comunment anomenat eIDAS 2 — el marc europeu de la identitat digital i de la signatura electrònica està experimentant la seva transformació més profunda des del 2014. Si bé el text revisat ha estat formalment adoptat, el seu desplegament operacional, distribuït entre 2024 i 2027, és el que ara concentra l'atenció dels DSI, juristes i responsables de conformitat. Comprendre el calendari oficial de desplegament del regulament eIDAS 2 a la Unió Europea permet anticipar les obligacions, asegurar els vostres processos contractuals i evitar qualsevol desvió de conformitat. Aquest article descifra les etapes clau, els actes d'execució esperats i els impactes concrets per a les empreses franceses i europees.

---

1. Recordatori: què és eIDAS 2 i per què aquesta revisió?

1.1 Les limitacions d'eIDAS 1 (2014)

El regulament eIDAS original (núm. 910/2014) va establir els fonaments de la confiança digital a Europa: el reconeixement mutu de signatures electròniques, la creació dels nivells qualificats (QES), simple (SES) i avançat (AdES), i l'acreditació dels proveïdors de serveis de confiança (Trust Service Providers, TSP). Tanmateix, deu anys d'aplicació han posat de manifest diverses buits majors:

• Fragmentació nacional: menys del 19% dels ciutadans europeus utilitzaven un esquema d'identificació electrònica transfronterera el 2022 segons la Comissió Europea.
• Absència de cartera d'identitat digital: eIDAS 1 no preveia cap instrument universal que permitís a cada ciutadà o empresa provar la seva identitat en línia a tots els Estats membres.
• Cobertura parcial: els serveis d'arxiu electrònic qualificat o les attestacions d'atributs no estaven harmonitzats.

1.2 Les aportacions estructurants d'eIDAS 2

Adoptat el 11 d'abril de 2024 i publicat al Diari Oficial de la UE el 30 d'abril de 2024, el regulament (UE) 2024/1183 introdueix especialment:

• El European Digital Identity Wallet (EUDI Wallet): cartera d'identitat digital que cada Estat membre ha de proposar als seus ressortissants.
• Nous serveis de confiança qualificats: attestacions d'atributs electrònics qualificats, arxiu electrònic qualificat, gestió de dispositius de creació de signatures a distància.
• L'extensió de l'àmbit d'aplicació: les grans plataformes en línia (en el sentit del regulament DSA) hauran d'acceptar el EUDI Wallet per a l'autenticació dels usuaris.
• Un reforçament de la governança: creació d'un marc de certificació de conformitat més estricte per als TSP.

Per aprofundir en els fonaments del regulament, la nostra guia completa sobre eIDAS 2.0 detalla tots els canvis reglamentaris.

---

2. El calendari oficial de desplegament d'eIDAS 2: etapes i dates clau 2024-2027

El regulament eIDAS 2 articula la seva entrada en aplicació al voltant d'un mecanisme en diversos temps: entrada en vigor, actes d'execució de la Comissió, transposició nacional i desplegament efectiu de les eines. Aquí teniu la full de ruta oficial.

2.1 Fase 1 — Entrada en vigor i actes delegats (maig 2024 – final de 2025)

| Data | Etapa | |---|---| | 30 d'abril de 2024 | Publicació del regulament (UE) 2024/1183 al DOUE | | 20 de maig de 2024 | Entrada en vigor oficial (D+20 després de la publicació) | | T3-T4 2024 | Llançament dels grups de treball sobre actes d'execució (Toolbox eIDAS 2) | | Final de 2024 | Publicació de les primeres especificacions tècniques de referència per al EUDI Wallet (ARF — Architecture Reference Framework v1.4) | | T1-T2 2025 | Actes d'execució de la Comissió sobre les especificacions tècniques de les carteres (termini de 12 mesos previst per l'article 5a) | | T3 2025 | Actes d'execució relatius als nous serveis de confiança qualificats |

La Comissió Europea va publicar a gener de 2025 el primer paquet d'actes d'execució sobre les especificacions tècniques comunes del EUDI Wallet. Aquests textos constitueixen la base tècnica obligatòria per als Estats membres.

2.2 Fase 2 — Desplegament dels projectes pilots i transposicions nacionals (2025-2026)

En el marc del programa de grans projectes pilots (Large Scale Pilots — LSP), quatre consorcis han provat el EUDI Wallet des de 2023 en més de 360 casos d'ús a través de 25 Estats membres:

• EU Digital Identity Wallet Consortium (EUDIW) — 140+ entitats
• NOBID — centrat en els pagaments digitals
• POTENTIAL — identitat i atributs
• DC4EU — diplomes i qualificacions professionals

Els resultats d'aquests pilots alimenten directament els actes d'execució. En el pla nacional, els Estats membres disposen de 24 mesos a partir de l'entrada en aplicació dels actes d'execució per desplegar la seva cartera nacional. En la pràctica, això significa que la gran majoria dels desplegaments nacionals s'espera entre mitjans de 2026 i final de 2026.

| Període | Accions esperades | |---|---| | T1-T2 2026 | Adopció definitiva dels actes d'execució que falten (arxiu qualificat, attestacions d'atributs) | | T2 2026 | Primeres versions de producció dels EUDI Wallets en els Estats precursors (Alemanya, Països Baixos, Espanya) | | T3-T4 2026 | Desplegament progressiu als 27 Estats membres — obertura als usuaris professionals | | Final de 2026 | Obligacions d'acceptació del EUDI Wallet per als serveis públics en línia (art. 5b) |

França, a través de l'Agència Nacional de Seguretat dels Sistemes d'Informació (ANSSI) i la Direcció Interministerial del Digital (DINUM), ha posat en marxa els seus treballs d'adaptació el 2025. El projecte de cartera francés es fonamenta en Francia Identité com a base tècnica.

2.3 Fase 3 — Obligacions d'acceptació per al sector privat (2027)

Es tracta de l'etapa més impactant per a les empreses. L'article 5b del regulament eIDAS 2 imposa que certs proveïdors del sector privat acceptin el EUDI Wallet per a la identificació en línia en els dominis següents:

• Serveis bancaris i financers (obertura de compte, KYC)
• Mobilitat (transports, lloguer de vehicles)
• Energia (contractes per a consumidors)
• Plataformes en línia molt grans (en el sentit del DSA, > 45 milions d'usuaris mensuals a la UE)
• Telecomunicacions

El termini d'acceptació obligatòria es fixa en 12 mesos després de la posada a disposició de la cartera en cada Estat membre, cosa que col·loca la data límit real per a la majoria dels sectors durant el primer semestre de 2027.

Per a les empreses que ja utilitzen solucions de signatura electrònica conforme a eIDAS, el repte és assegurar la compatibilitat dels seus fluxos documentals amb els nous atributs d'identitat provinents de les carteres digitals.

---

3. Impacte en els proveïdors de serveis de confiança (TSP) i els editors SaaS

3.1 Noves obligacions per als TSP qualificats

Els proveïdors de serveis de confiança qualificats (QTSP) han d'actualitzar les seves pràctiques de certificació per integrar les noves categories de serveis introduïdes per eIDAS 2:

• Attestacions d'atributs electrònics qualificats: permís de conduir digital, diplomes, qualificacions professionals
• Arxiu electrònic qualificat: servei que garanteix la integritat a llarg termini dels documents signats
• Gestió de dispositius de creació de signatura a distància (RQSCD): clarificació del marc per a les solucions cloud

Els QTSP han de complir dins de 18 mesos després de la publicació de les normes ETSI revisades (esperades T2-T3 2026) amb les noves exigències tècniques, cosa que posiciona les primeres re-certificacions efectives en 2027.

3.2 Què significa això per a les empreses usuàries

Si la vostra organització utilitza un proveïdor de signatura electrònica SaaS — ja sigui una solució certificada QES o una eina de signatura avançada — sorgeixen diverses qüestions de conformitat des d'ara:

1. El vostre proveïdor està en curs d'actualització de la seva certificació per integrar les exigències d'eIDAS 2?
2. Els vostres workflows de signatura estan preparats per rebre identitats provinent dels EUDI Wallets?
3. La vostra política d'arxiu compleix les futures exigències d'arxiu electrònic qualificat?

Les nostres anàlisis del comparatiu de solucions de signatura electrònica integren ara el criteri de roadmap eIDAS 2 com a factor diferenciador clau.

3.3 Les normes tècniques de referència

L'ETSI (Institut Europeu de Normes de Telecomunicacions) és responsable de produir les normes harmonitzades en què es basa eIDAS 2. El programa de treball 2025-2027 cobreix especialment:

• ETSI EN 319 411-1 i -2 (revisades): polítiques i exigències per als TSP que emet certificats
• ETSI EN 319 132-1 (XAdES) i EN 319 122-1 (CAdES): formats de signatura avançada i qualificada
• ETSI TS 119 500: marc de confiança per als serveis d'arxiu electrònic qualificat
• ISO/IEC 18013-5: protocol de presentació dels atributs mDL (permís de conduir mòbil), adoptat com a base tècnica del EUDI Wallet

---

4. Calendari eIDAS 2 a França: estat d'avanç i obligacions específiques

4.1 El paper de l'ANSSI en la governança nacional

A França, l'ANSSI és l'autoritat de supervisió dels proveïdors de serveis de confiança segons eIDAS. De cara a eIDAS 2, pilota:

• L'adaptació del referencial general de seguretat (RGS) per integrar els nous serveis qualificats
• La participació en els treballs del grup de cooperació eIDAS (article 46e del regulament)
• La supervisió dels auditories de conformitat dels QTSP francesos

L'ANSSI va publicar a març de 2025 una full de ruta nacional especificant les etapes d'adaptació del marc francés a eIDAS 2, amb un punt de situació previst en setembre de 2026.

4.2 Obligacions per a les grans empreses franceses

Les empreses franceses que superen els límits del DSA o que operen en els sectors visats per l'article 5b han de realitzar des d'ara una anàlisi d'impacte. Les etapes recomanades són:

1. Cartografia dels fluxos d'identificació: identificar els processos on és necessària la identitat digital (KYC, signatura de contractes, accés als espais de clients)
2. Avaluació dels proveïdors actuals: verificar la seva roadmap de conformitat eIDAS 2
3. Pla d'actualització de les CGV i polítiques de signatura: anticipar la integració dels atributs d'identitat provinents dels EUDI Wallets
4. Formació dels equips jurídics i DSI: el marc tècnic i legal evoluciona significativament

Per a les empreses que gestionen grans volums contractuals, les eines de signatura electrònica a l'empresa han de ser avaluades sota el prisma de la seva capacitat per evolucionar cap a eIDAS 2 sense ruptura de servei.

4.3 Articulació amb altres regulacions europees

El desplegament d'eIDAS 2 no es realitza aïllat. S'articula estretament amb:

• El RGPD (2016/679): els atributs d'identitat continguts en els EUDI Wallets constitueixen dades personals sotmeses als principis de minimització i finalitat
• La directiva NIS 2 (2022/2555): els TSP són entitats essencials en el sentit de NIS 2 i han de complir les exigències de ciberseguretat reforçades
• El regulament DORA (2022/2554): les institucions financeres que utilitzen serveis de confiança per a les seves operacions digitals han d'integrar aquestes dependències en la seva cartografia de riscos TIC
• El regulament sobre dades (Data Act, 2023/2854): interoperabilitat de dades d'identitat entre sectors

Les empreses que ja han posat en marxa la seva conformitat amb NIS 2 trobaran sinergies significatives amb la posada en conformitat eIDAS 2, especialment en els aspectes de gestió de riscos i continuïtat de l'activitat.

---

5. Preparar la vostra organització des d'ara mateix: la checklist 2026

5.1 Per a les direccions jurídiques i conformitat

• [ ] Llegir el regulament (UE) 2024/1183 en la seva versió consolidada i identificar els articles aplicables al vostre sector
• [ ] Cartografiar els contractes i processos que necessiten actualització (clàusules de signatura, política de conservació)
• [ ] Verificar la validesa jurídica transfronterera de les vostres signatures electròniques actuals en el context d'eIDAS 2
• [ ] Anticipar la integració de les attestacions d'atributs qualificades (ex.: verificació de qualitat professional per a actes notarials o mèdics)

5.2 Per a les direccions de sistemes d'informació

• [ ] Avaluar la compatibilitat de la vostra stack tècnica amb els protocols EUDI Wallet (OpenID4VP, ISO 18013-5)
• [ ] Identificar les API a actualitzar en els vostres editors de signatura electrònica
• [ ] Preveure els tests d'integració amb les carteres pilots disponibles en 2026
• [ ] Establir una vigilancia sobre els actes d'execució de la Comissió (notificacions al Diari Oficial de la UE)

5.3 Per a les direccions de negoci

Els guanys esperats d'una conformitat ben anticipada són concrets: reducció de frictions en els recorreguts de signatura gràcies a la identitat preverificada del EUDI Wallet, acceleració dels processos KYC, i reducció dels costos de verificació d'identitat. Per avaluar la rendibilitat de la inversió de la vostra transició, el nostres calculador ROI signatura electrònica integra els paràmetres específics de la conformitat eIDAS 2.

Finalment, les organitzacions que envisionen una migració des d'altres solucions cap a una plataforma nascuda preparada per a eIDAS 2 poden consultar la nostra guia de migració des de DocuSign o YouSign cap a Certyneo, que detalla les etapes tècniques i contractuals d'una transició sense ruptura.

Marc legal aplicable al desplegament d'eIDAS 2

Textos fonamentals i jerarquia de les normes

El desplegament del regulament eIDAS 2 s'inscriu en un corpus jurídic estratificat la domació del qual és indispensable per a qualsevol organització sotmesa a obligacions de conformitat.

Regulament (UE) 2024/1183 del Parlament Europeu i del Consell — dit « eIDAS 2 » — constitueix la norma de referència. Abroga i substitueix el regulament (UE) núm. 910/2014 (eIDAS 1) en els aspectes que revisa, mantenint la validesa de les certificacions existents durant els períodes de transició previstos als articles 51 i següents. Publicat al Diari Oficial de la UE sèrie L el 30 d'abril de 2024, va entrar en vigor el 20 de maig de 2024.

El Codi Civil francés, articles 1366 i 1367, consagra el reconeixement de la signatura electrònica com a equivalent a la signatura manuscrita quan compleix les condicions d'identificació del signant i integritat del document. Aquestes disposicions s'interpreten a la llum del dret europeu eIDAS, que prioritza en vertu del principi de primacia del dret de la Unió.

El regulament (UE) 2016/679 (RGPD) s'aplica integralment als tractaments de dades personals realitzats en el context del EUDI Wallet i dels serveis de confiança. Els atributs d'identitat (dades biogràfiques, qualificacions, permís) constitueixen dades de caràcter personal en el sentit de l'article 4 §1 del RGPD. El principi de minimització (art. 5 §1 c) és especialment pertinent: els proveïdors només han de recopilar els atributs estrictament necessaris per a la finalitat de la transacció.

La directiva (UE) 2022/2555 (NIS 2), transposada al dret francés per la llei núm. 2024-449 del 21 de maig de 2024, classifica els proveïdors de serveis de confiança qualificats entre les entitats essencials sotmeses a obligacions reforçades de gestió de riscos cibernètics, notificació d'incidents i seguretat de la cadena de subministrament.

Les normes ETSI constitueixen el referencial tècnic harmonitzat d'eIDAS 2:

• ETSI EN 319 401: exigències generals per als TSP
• ETSI EN 319 411-1/-2: polítiques per a TSP que emet certificats qualificats
• ETSI EN 319 132-1: format XAdES (signatures XML avançades)
• ETSI EN 319 122-1: format CAdES (signatures CMS avançades)
• ETSI EN 319 162-1: format ASiC (contenidors de signatures)

Riscos jurídics en cas de no conformitat

El no respecte de les obligacions eIDAS 2 exposa les organitzacions a diversos riscos:

1. Inoposabilitat de les signatures: una signatura electrònica realitzada per un TSP no conforme amb les noves exigències pot perdre la presumpció legal de validesa, qüestionant la valor probatòria dels contractes signats.
2. Sancions administratives: les autoritats de supervisió nacionals (ANSSI a França) poden pronunciar mesures correctives, injuncions de posada en conformitat, o fins i tot retirada d'acreditació per als TSP.
3. Responsabilitat contractual: les empreses que utilitzen ferramentes no conformes pot veure la seva responsabilitat compromesa enfront dels seus clients i socis si un litigio versa sobre la validesa d'un acte signat electrònicament.
4. Acumulació amb el RGPD: una gestió no conforme dels atributs d'identitat del EUDI Wallet pot exposar simultàniament a sancions CNIL (fins al 4% del volum de negocis mundial anual).

Escenaris d'ús concrets davant el calendari eIDAS 2

Escenari 1 — Un despatx jurídic de mida intermèdia gestionant actes transfronterers

Un despatx d'advocats d'assumptes que compte amb uns quinze col·laboradors i tracta regularment operacions de M&A que impliquen contraparts en diversos Estats membres de la UE (Bèlgica, Països Baixos, Espanya) utilitza actualment una solució de signatura electrònica qualificada per als seus actes de cessió de participacions i protocols de confidencialitat. Amb l'entrada en aplicació del calendari eIDAS 2, el despatx anticipa dues evolutions majors d'aquí a final de 2026:

• Verificació d'identitat simplificada: les contraparts estrangeres podran presentar els seus atributs d'identitat a través de la seva cartera EUDI nacional, eliminant els intercanvis de còpies de passaport i els procediments KYC redundants. Segons les estimacions dels informes de la Comissió Europea sobre els LSP, el guany de temps en la fase de verificació d'identitat s'estima entre el 40% i el 60% depenent de les jurisdiccions implicades.
• Valor probatòria reforçada: els actes signats amb identitats attestades per EUDI Wallets qualificats gaudiran d'una presumpció legal encara més robusta, reduint el risc de contestació judicial en litigis transfronterers.

El despatx preveu migrar cap a una plataforma SaaS amb una roadmap eIDAS 2 documentada abans de T3 2026, és a dir, aproximadament sis mesos abans de les primeres obligacions d'acceptació.

Escenari 2 — Una PIME industrial gestionant un volum alt de contractes amb proveïdors

Una PIME del sector de l'equipament industrial que gestiona aproximadament 250 contractes de proveïdors anuals, dels quals el 30% amb socis europeus fora de França, s'enfronta a restriccions creixents de verificació d'identitat en l'onboarding de nous proveïdors. El procés actual — sol·licitud de Kbis, còpia del document d'identitat del representant legal, verificació manual — mobilitza una mitjana de 2,5 hores per expedient segons els benchmarks sectorials de la federació de compradors.

Amb la integració del EUDI Wallet en el seu workflow de signatura d'aquí a 2027, la PIME projecta:

• Una reducció del 55 al 70% del temps dedicat a la verificació d'identitat gràcies a les attestacions d'atributs qualificades (número d'immatrikulació, representació legal)
• Una disminució del 80% de les retrobades documentals amb proveïdors estrangers
• Una seguretat augmentada contra la fraude documentals, els atributs sent criptogràficament verificables

La PIME ha identificat la necessitat d'actualitzar les seves condicions generals de compra per integrar-hi la referència a les attestacions eIDAS 2, en connexió amb el seu assessor jurídic.

Escenari 3 — Un grupament hospitalari anticipant la conformitat per a actes mèdics digitals

Un grupament hospitalari d'aproximadament 900 llits repartits en tres localitzacions ha de gestionar la signatura electrònica de documents mèdics sensibles: consentiments informats, prescripcions, comptes de l'activitat operatòria i contractes amb proveïdors de cura. La regulació francesa imposa la signatura qualificada per a certs actes mèdics amb abast jurídic fort.

En la perspectiva del calendari eIDAS 2, el grupament anticipa l'arribada de les attestacions d'atributs qualificades per a les qualificacions professionals de salut (número RPPS, especialitat, establiment d'exercici), que permetran:

• Automatitzar la verificació de la qualitat del signant (metge, cirurgià, farmacèutic) sense verificació manual en els directoris professionals
• Reduir els riscos d'error d'atribució de signatura en els reemplaçaments i guàrdies
• Facilitar la portabilitat dels registres mèdics digitals entre establiments, en el marc de l'espai europeu de dades de salut (EHDS)

El grupament estima que la integració dels fluxos EUDI Wallet en el seu sistema d'informació hospitalari (SIH) representa un projecte de 12 a 18 mesos, justificant el llançament dels estudis tècnics des de T3 2026 per a una posada en producció abans de l'obligació d'acceptació sectorial.

Conclusió

El calendari de desplegament del regulament eIDAS 2 a la Unió Europea ara està clarament balisasat: actes d'execució en curs de finalització en 2026, desplegament dels EUDI Wallets nacionals entre mitjans de 2026 i final de 2026, i obligacions d'acceptació per al sector privat a partir del primer semestre de 2027. Aquesta full de ruta deixa una finestra d'acció concreta per a les empreses franceses i europees, sempre que comencin ja l'anàlisi de conformitat, l'avaluació dels proveïdors i l'actualització dels processos contractuals.

Esperar fins a 2027 per posar-se en conformitat és arriscar una transició urgent, amb els costos i riscos jurídics que això implica. Certyneo, concebut nascut per a les exigències eIDAS i amb una roadmap activa cap a eIDAS 2, us acompanya ja avui en aquesta transició. Comenceu gratuïtament a Certyneo i assegureu els vostres fluxos documentals en respecte del marc europeu de confiança digital.