Certificació eIDAS 2 per a prestataris de signatura 2026

Per què la certificació eIDAS 2 canvia les regles del joc per als prestataris

Des de l'entrada en vigor del regulament (UE) 2024/1183 del 11 d'abril de 2024 — comunament anomenat eIDAS 2 — els prestataris de serveis de confiança (PSC) que operen a la Unió Europea s'enfronten a un marc regulador profundament reformulat. La revisió del regulament eIDAS original de 2014 no es limita a ampliar l'abast dels serveis reconeguts: endureix sensiblement les condicions d'acreditació, introdueix nous nivells de garantia i reforça els requisits de supervisió dels organismes de control nacionals. Per a qualsevol actor que desitgi oferir serveis de signatura electrònica qualificada (QES) o avançada (AdES) al mercat europeu, entendre com obtenir una certificació eIDAS 2 per a prestatari de signatura ja no és una opció — és una obligació estratègica.

Aquest article ofereix un panorama exhaustiu del recorregut de certificació: textos aplicables, normes tècniques a respectar, paper dels organismes d'avaluació de la conformitat (CAB), terminis realistes i punts de vigilància operacional.

---

El nou panorama regulador eIDAS 2: què ha canviat

Del regulament 910/2014 al regulament 2024/1183: les evolucions principals

El regulament eIDAS original (núm. 910/2014) havia establert les fonaments d'un mercat únic digital de confiança a Europa. Definia tres nivells de signatura — simple, avançada i qualificada — i imposava als prestataris qualificats figurar en les llistes de confiança nacionals (TSL, Trust Service Lists). eIDAS 2 conserva aquesta arquitectura però l'enriqueix en diversos aspectes estructurants:

• Extensió dels serveis qualificats: arxivament electrònic qualificat, attestacions electròniques d'atributs (AEA), gestió a distància de dispositius de creació de signatura qualificada (QSCD). Aquests nous serveis estan ara sotmesos al mateix procediment d'acreditació que la signatura qualificada.
• La cartera europea d'identitat digital (EUDIW): els prestataris que desitgen interactuar amb la futura cartera d'identitat han de demostrar la seva conformitat a especificacions tècniques publicades per la Comissió (ARF — Architecture and Reference Framework, v1.4, 2024).
• Reforçament de la supervisió: les autoritats de supervisió nacionals (a França, l'ANSSI) disposen de poders d'investigació i d'imposició reforçats. Els PSC qualificats poden ser subjectes d'auditories sorpresa.
• Terminis de notificació reduits: qualsevol incident de seguretat significatiu ha de ser notificat a l'autoritat competent en 24 hores (en comparació amb 72 hores en la versió anterior per a certs incidents).

Per a una visió general del regulament, la guia eIDAS 2.0 de Certyneo ofereix una síntesi pedagògica de totes aquestes evolucions.

Els nivells de garantia i les seves implicacions per a la certificació

La distinció entre signatura electrònica avançada i qualificada continua sent el pilar del sistema. Només la QES es beneficia d'una presumpció legal d'integritat i d'imputabilitat equivalent a la signatura manuscrita (art. 25 del regulament eIDAS 2). Aquesta presumpció està directament condicionada a la certificació del prestatari.

| Nivell | Valor probatori | Requisit prestatari | |---|---|---| | Simple (SES) | Limitat | Cap | | Avançada (AdES) | Significatiu | Bones pràctiques + normes ETSI | | Qualificada (QES) | Màxim (presumpció legal) | Certificació eIDAS 2 obligatòria |

---

El procés de certificació eIDAS 2 pas a pas

Etapa 1 — Requisits organitzacionals i tècnics

Abans d'engegar formalment el procés de certificació, un prestatari ha d'auditar el seu nivell de maduresa en tres eixos:

1. Conformitat amb les normes ETSI Les normes de la sèrie EN 319 constitueixen la base tècnica incontestable. Les principals són:

• ETSI EN 319 401: requisits generals per als prestataris de serveis de confiança
• ETSI EN 319 411-1 i 411-2: polítiques i requisits per als organismes d'emissió de certificats (perfils PTC-QC per a certificacions qualificades)
• ETSI EN 319 421: política i requisits per als prestataris de serveis de marques de temps
• ETSI EN 319 132: formats de signatura XAdES (XML), i la sèrie associada CAdES (CMS) i PAdES (PDF)

La conformitat amb aquestes normes no és opcional per als prestataris qualificats: és explícitament requerida pels actes d'execució de la Comissió Europea.

2. Seguretat dels sistemes d'informació Els QSCD (dispositius de creació de signatura qualificada) han de ser certificats segons els Common Criteria (CC) EAL4+ o equivalent. Per a les solucions de signatura a distància — model dominant en SaaS — els requisits cobreixen també els mòduls HSM (Hardware Security Module) i els procediments de gestió de claus criptogràfiques (conformitat FIPS 140-2 nivell 3 mínim).

3. Política de seguretat (PSSI) i gestió de riscos L'expedient de certificació exigeix una PSSI formalitzada, alineada amb ISO/IEC 27001 (la certificació de la qual és fortament recomanada i a vegades exigida pels CAB) i que integri els requisits de NIS2 per a les entitats qualificades d'«importants» o «essencials».

Etapa 2 — Selecció i compromís d'un organisme d'avaluació de la conformitat (CAB)

A França, els CAB acreditats per la COFRAC (Comité Francés d'Acreditació) per avaluar els prestataris de serveis de confiança són pocs. A títol d'exemple, LSTI (Laboratoire de Sécurité des Technologies de l'Information) i Bureau Veritas Certification figuren entre els actors referenciats. A escala europea, cada Estat membre publica la llista dels seus CAB notificats.

El paper del CAB és conduir una auditoria de conformitat en dues fases:

1. Revisió documental (Fase 1): examen de les polítiques, procediments, Declaració de Pràctiques de Certificació (DPC / CPS) i proves tècniques.
2. Auditoria in situ (Fase 2): verificació dels controls operacionals, proves de penetració, entrevistes amb els equips.

La durada total d'una auditoria CAB varia generalment entre 4 i 8 setmanes segons la maduresa prèvia del candidat.

Etapa 3 — Instrucció per part de l'autoritat de supervisió nacional

A França, és l'ANSSI (Agència Nacional de la Seguretat dels Sistemes d'Informació) la que instrueix les sol·licituds d'inscripció en la llista de confiança nacional (TSL FR). Basant-se en l'informe d'auditoria CAB, l'ANSSI condueix la seva pròpia anàlisi i pot demanar informació complementària o mesures correctives.

El termini regulador d'instrucció és de 3 mesos a partir de la recepció d'un expedient complet (art. 17 del regulament eIDAS 2). En la pràctica, els terminis efectius són sovint més llargs si l'expedient inicial és incomplet.

Un cop inscrit en la TSL nacional, el prestatari és automàticament referenciador en la EUTL (EU Trusted List), publicada per la Comissió Europea, la qual li confeix una reconeixement transfronterer immediat als 27 Estats membres.

Etapa 4 — Manteniment de la qualificació i renovació

La certificació eIDAS 2 no és definitiva. Els prestataris qualificats estan sotmesos a:

• Una auditoria de supervisió anual dirigida pel CAB
• Una auditoria de renovació completa cada 24 mesos (cicle escurçat respecte a la pràctica anterior)
• Controls sorpresa possibles per iniciativa de l'ANSSI

Qualsevol modificació substancial de la infraestructura (canvi d'HSM, evolució de la PKI, nou servei qualificat) decadència un procediment de notificació prèvia i pot imposar una auditoria parcial.

---

Costos, terminis i factors de risc: el que els DSI han d'anticipar

Pressupost i recursos humans

El cost d'una primera certificació eIDAS 2 és significatiu. Els conceptes de despesa comprenen:

• Auditoria CAB: entre 40 000 € i 120 000 € segons la complexitat del perímetre
• Adequació tècnica (HSM, PKI, QSCD certificats CC): de 80 000 € a centenars de milers d'euros per a una infraestructura pròpia
• Certificació ISO 27001 (recomanada com a pas previ): 15 000 a 50 000 € segons la mida
• Despeses de consell legal i redacció DPC: 10 000 a 30 000 €
• Costos interns: mobilització d'un equip dedicat (RSSI, DPO, responsable de conformitat) durant 12 a 18 mesos

En acumular tots aquests conceptes, una certificació completa representa una inversió global de l'ordre de 200 000 a 500 000 € per a un prestatari de mida mitjana, sense incloure els costos recurrents de manteniment.

Factors de risc operacionals

Les causes més freqüents de fracàs o retard en els procediments de certificació són:

1. Una DPC insuficientment detallada: la Declaració de Pràctiques de Certificació ha de documentar cada control amb una granularitat que de vegades és subestimada.
2. Llacunes en la gestió del cicle de vida de les claus: revocació, arxivament, destrucció de les claus privades.
3. Una governança de incidents insuficient: absència de SIEM, de procediments de gestió de crisi provats, de runbooks.
4. La subestimació de NIS2: des d'octubre de 2024, els PSC qualificats estan automàticament classificats com a entitats «importants» al sentit de la Directiva NIS2, amb obligacions addicionals de declaració i de gestió de riscos.

Per a les empreses que desitgen delegar aquestes restriccions a un prestatari ja certificat més que construir la seva pròpia infraestructura, la comparativa de les solucions de signatura electrònica disponible a Certyneo ajuda a objectivar aquesta opció de build-vs-buy.

---

eIDAS 2 i signatura electrònica a l'empresa: enjocs de transició

Per a les empreses usuàries — en oposició als prestataris — la certificació eIDAS 2 del seu proveïdor SaaS de signatura és un criteri de selecció ara incontestable. Integrar als appels d'ofertes una clàusula que exigeix la presència en la TSL nacional s'ha convertit en una pràctica estàndard en els sectors regulats (finances, salut, immobiliari).

La signatura electrònica a l'empresa imposa de fet distingir clarament els casos d'ús que necessiten una QES — actes sota senyos privats amb gran enjoc, mandats, actes notarials electrònics — dels que una AdES és suficient. Aquesta cartografia dels usos condiciona directament el nivell de servei contractualment exigible al prestatari.

Les organitzacions que migren d'una solució existent cap a un prestatari certificat eIDAS 2 han de també anticipar la portabilitat dels arxius de proves. La guia sobre la migració des de DocuSign o YouSign cap a Certyneo detalla les bones pràctiques per preservar el valor probatori dels documents ja signats durant la transició.

Marc legal aplicable a la certificació eIDAS 2

Textos fonamentals

La certificació dels prestataris de serveis de confiança es basa en un sistema normatiu dens que cal dominar en la seva totalitat:

Regulament (UE) 2024/1183 del 11 d'abril de 2024 (eIDAS 2): text de referència que abroga i substitueix les disposicions corresponents del regulament 910/2014. Defineix les condicions per a l'obtenció i manteniment de l'estatus de prestatari qualificat, les obligacions de supervisió nacional, i els requisits relatius als nous serveis (EUDIW, AEA).

Regulament (UE) núm. 910/2014 (eIDAS 1): encara parcialment aplicable per a les disposicions no modificades; els actes d'execució i delegats adoptats en virtut d'aquest regulament continuen en vigor fins a la seva revisió formal.

Codi Civil francés, articles 1366 i 1367: l'article 1366 estableix el principi d'equivalència de la signatura electrònica a la signatura manuscrita sota condició de fiabilitat; l'article 1367 precisa que la fiabilitat es presumeix fins a prova del contrari quan la signatura qualificada és utilitzada. Aquestes disposicions nacionals s'articulen directament amb la presumpció legal de l'art. 25 eIDAS 2.

Directiva (UE) 2022/2555 (NIS2): transposada al dret francés per la llei del 15 d'octubre de 2024, classifica automàticament els prestataris de serveis de confiança qualificats entre les entitats importants. Obligacions: declaració a l'ANSSI en 72 hores per a qualsevol incident significatiu, implementació d'una gestió de riscos cibernètics formalitzada, auditoria de seguretat periòdica.

Regulament (UE) 2016/679 (RGPD): els prestataris de serveis de signatura tracten dades personals sensibles (identitat dels signants, registres d'auditoria). El respect dels principis de minimització, de limitació de la conservació i d'integritat imposa una anàlisi d'impacte (AIPD) específica. La base legal del tractament ha de ser documentada per a cada servei.

Normes tècniques amb valor regulador

Els actes d'execució de la Comissió Europea (notablement la decisió d'execució (UE) 2015/1506 i les seves revisions) designen les normes ETSI com a presumptives de conformitat:

• ETSI EN 319 401: requisits generals TSP
• ETSI EN 319 411-1 i 411-2: polítiques de certificació
• ETSI EN 319 421: marca de temps qualificada
• ETSI EN 319 132 / 122 / 102: formats AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: serveis de signatura a distància

Riscos jurídics en cas de no conformitat

L'ús fraudulent o negligent de l'estatus de prestatari qualificat està exposat a sancions administratives pronunciades per l'ANSSI (suspensió, supressió de la llista de confiança) i a persecucions penals (art. 226-17 del Codi Penal per defecte de seguretat de les dades personals). En el pla civil, la qüestió de la validesa del valor probatori de les signatures emeses durant un període de no conformitat pot comprometre la responsabilitat contractual del prestatari envers els seus clients.

Escenaris d'ús: la certificació eIDAS 2 en la pràctica

Escenari 1 — Un editor SaaS de mida mitjana visant la qualificació QES

Una empresa especialitzada en desmaterialització documental, amb una centena de col·laboradors i gestant diversos milions de transaccions de signatura anualment per compte de clients en els sectors banca i assegurances, decideix sol·licitar la qualificació eIDAS 2 per al seu servei de signatura electrònica. Fins ara, l'empresa oferia una signatura avançada basada en certificats (AdES), suficient per a la majoria dels seus contractes clients, però insuficient per als actes que exigixen un valor probatori màxim (mandats SEPA, convenis de prova notarials).

Després d'una auditoria interna de 3 mesos revelant una quinzena de discrepàncies majors respecte als requisits ETSI EN 319 411-2, l'empresa engega un programa d'adequació en 14 mesos. Els principals projectes cobreixen la substitució dels HSM existents per mòduls certificats FIPS 140-2 nivell 3, la redacció d'una DPC de 180 pàgines, i l'obtenció de la certificació ISO 27001 prèviament a l'auditoria CAB. L'inversió total arriba a 340 000 €. Al final del procés, la inscripció en la TSL francesa permet a l'empresa accedir a appels d'ofertes dels quals estava sistemàticament exclosa, representant un potencial comercial estimat en un 20% de revenues addicionals.

Escenari 2 — Un agrupament hospitalari integrant la signatura qualificada per als actes medico-legals

Un agrupament hospitalari d'aproximadament 1 200 llits desitja desmaterialitzar els seus processos de consentiment informat, de delegació de poders mèdics i de contractes de recerca clínica. Aquests documents pertanyen a la categoria d'actes per als quals la QES és exigida o fortament recomanada pels referentials de la HAS i el marc legal de les dades de salut (art. L. 1110-4 CSP).

En lloc de certificar una infraestructura interna — opció considerada massa cara i fora de l'activitat principal — l'agrupament opta per la integració d'un prestatari tercero ja inscrit a la TSL. La DSI realitza una auditoria de conformitat del proveïdor basada en la llista de comprovació ETSI EN 319 401 i verifica la presència efectiva en l'EUTL abans de qualsevol contractualització. La implementació, realitzada en 4 mesos, redueix un 65% el termini de recollida de signatures en els expedients de recerca clínica i elimina el risc de contestació jurídica lligat a l'ús anterior de signatures simples per a actes sensibles.

Escenari 3 — Un bufet d'advocats d'empresa sectoritzant els seus actes sota senyos privats

Un bufet d'advocats d'empresa d'uns trenta socis, gestionant anualment prop de 400 operacions de fusió-adquisició i transferències de fons de comerç, busca fiabilitzar la signatura dels seus actes sota senyos privats complexos. El valor unitari de les transaccions tractades supera sovint el milió d'euros, i qualsevol vicissitud de forma pot comprometre la responsabilitat professional del bufet.

Després de l'anàlisi, l'equip IT i el managing partner s'acorden en la requerida contractual mínima d'una QES emesa per un prestatari certificat eIDAS 2 per a qualsevol acte el valor del qual supera 100 000 €. El criteri de selecció del prestatari integra obligatòriament la verificació de la inscripció en la TSL nacional i la disponibilitat d'un certificat de conformitat ETSI recent (menys de 12 mesos). Aquest marc permet al bufet de reduir més d'un 80% les sol·licituds de contrapericia sobre la validesa de les signatures en litigis posteriors, segons els retorns observats en estructures comparables en el sector.

Conclusió

Obtenir una certificació eIDAS 2 com a prestatari de serveis de signatura electrònica és un procés exigeant, costós i llarg — però incontestable per a qualsevol actor que desitgi oferir garanties legals màximes als seus clients al mercat europeu. Entre l'adequació als normes ETSI, el pas de l'auditoria CAB, la instrucció per l'ANSSI i el manteniment de la qualificació en la durada, la iniciativa mobilitza recursos substancials en 12 a 24 mesos.

Per a les empreses usuàries, la bona notícia és que no és necessari construir aquesta infraestructura internament: triar un prestatari SaaS ja certificat eIDAS 2 i inscrit a la llista de confiança nacional permet beneficiar-se immediatament de la presumpció legal adjunta a la QES, sense suportar els costos de certificació.

Certyneo és un prestatari de confiança certificat, concebut per a les empreses B2B que exigixen rigor jurídic i simplicitat d'ús. Descobriu els nostres preus i comenceu la vostra prova gratuïta avui mateix.