eIDAS 2 vs eIDAS 1: canvis claus per a les PME

Introducció: per què eIDAS 2 canvia les regles del joc per a les PME

Des del 20 de maig de 2024, el regulament (UE) 2024/1183 — comunament anomenat eIDAS 2 — ha entrat en vigor, derogant i substituint gradualment el regulament (UE) núm. 910/2014 (eIDAS 1). Per a les PME franceses, aquest canvi no és una simple actualització administrativa: redefineix els nivells de confiança digital, introdueix una cartera d'identitat europea (EUDIW), reforça els requisits aplicables als prestadors de serveis de confiança i amplia el camp dels serveis reconeguts. Aquest article compara punt per punt eIDAS 1 i eIDAS 2, identifica els impactes operacionals concrets per a les petites i mitjanes empreses, i us dona un pla d'acció per romandre conformes el 2026.

---

1. Recordatori: què establia eIDAS 1 (2014-2024)

1.1 Els fonaments del regulament inicial

Adoptat en juliol de 2014 i aplicable des de setembre de 2016, eIDAS 1 va posar els primers fonaments d'un espai de confiança digital europeu. Va introduir tres grans categories de signatura electrònica — simple (SES), avançada (AdES) i qualificada (QES) — i va crear la llista de confiança dels prestadors qualificats (Trusted List), consultable en el portal de la Comissió Europea.

Per a les PME, l'aportació principal d'eIDAS 1 era el reconeixement transfronterer de les signatures qualificades: un contracte signat amb una QES francesa era legalment reconegut a Alemanya, Espanya o Itàlia sense apostille ni formalitat addicional. Aquest principi — anomenat de «no-discriminació» — ha romàs la base sobre la qual ofertes SaaS com Certyneo han construït els seus serveis.

1.2 Les limitacions identificades

Malgrat els seus avenços, eIDAS 1 patia diverses mancances documentades per la Comissió Europea en el seu informe d'avaluació de 2021:

• Fragmentació dels esquemes d'identitat: només els Estats membres que havien notificat el seu esquema nacional (com FranceConnect+ nivell substantiu) es beneficiaven del reconeixement mutu. El 2023, només 14 Estats de 27 havien notificat un esquema conforme.
• Absència de suport mòbil natiu: el dispositiu qualificat de creació de signatura (QSCD) requeria sovint una targeta intel·ligent o un token material, frenant l'adopció mòbil.
• Serveis de confiança limitats: eIDAS 1 listava nou tipus de serveis qualificats; els nous usos (arxivament electrònic qualificat, gestió d'atributs) no estaven enquadrats.
• Absència de cartera d'identitat unificada: cada ciutadà o empresa gestionava els seus identificadors de manera aïllada, sense interoperabilitat garantida.

Aquestes limitacions van conduir la Comissió a llançar la revisió el 2020, resultant en el regulament eIDAS 2 després de tres anys de triàleg.

---

2. Les cinc grans novetats d'eIDAS 2 per a les PME

2.1 La cartera d'identitat digital europea (EU Digital Identity Wallet — EUDIW)

Aquesta és la novetat més visible del regulament. D'aquí al mes de novembre de 2026 (termini de transposició fixat per l'article 5a), cada Estats membre haurà de proposar almenys una cartera d'identitat digital certificada als seus ciutadans i residents. Per a les PME, aquesta evolució té dues conseqüències directes:

1. Autenticació dels clients i socis simplificada: la cartera permetrà compartir atributs verificats (edat, número de TVA intracomunal, extracte Kbis, dades bancàries certificades) sense fricció. Un acord marc amb un soci alemany podrà ser signat després de la verificació instantània dels seus atributs professionals des de la seva EUDIW.
2. Obligació d'acceptació per a certs sectors: els serveis en línia de les grans plataformes (article 45bis) i certs serveis públics hauran d'acceptar l'EUDIW com a mitjà d'autenticació. Les PME que subministren portals B2B hauran d'adaptar les seves API d'autenticació.

2.2 Extensió de la llista dels serveis de confiança qualificats

eIDAS 2 estén el catàleg dels serveis de confiança qualificats de 9 a 14 categories. Les noves entrades que afecten directament les PME són:

• L'arxivament electrònic qualificat (art. 45septies): conservació a llarg termini amb valor probatori reforçat. Fins ara, l'arxivament amb valor probatori es basava en referentials nacionals (a França, el referencial SIAF/ANSSI); eIDAS 2 harmonitza el marc europeu.
• La gestió a distància de dispositius qualificats de creació de signatura (RQSCD): ara explícitament enquadrada, alça les ambigüitats que pesaven sobre les solucions cloud de signatura qualificada. Per a una PME de 50 treballadors, això significa accedir a una signatura qualificada sense token físic, des de qualsevol dispositiu.
• El servei de registre electrònic qualificat: els registres basats en blockchain o tecnologies de gran llibre distribuït podem obtenir ara l'estatus qualificat, obrint la porta a nous models de gestió contractual.

Per a saber més sobre els nivells de signatura i el seu valor legal, consulteu el nostre guia complet de signatura electrònica.

2.3 Reforçament dels requisits de seguretat per als prestadors qualificats (QTSP)

eIDAS 2 endueix les obligacions dels prestadors de serveis de confiança qualificats (QTSP). L'article 24 revisat imposa notamment:

• Una certificació de ciberseguretat conforme al marc europeu (EU Cybersecurity Act, regulament 2019/881), amb esquemes sectorials en desenvolupament per ENISA.
• Requisits reforçats en matèria de resiliència operacional: els QTSP han de documentar ara el seu pla de continuïtat d'activitat i sotmetre'l a l'organisme de supervisió nacional (a França, ANSSI per als prestadors qualificats).
• Una obligació de notificació dels incidents de seguretat dins de les 24 hores (alineament amb NIS 2).

Per a les PME usuàries, això es tradueix en una obligació de diligència accrescut en l'elecció del prestador: verificar que la vostra solució de signatura figura bé en la Trusted List europea actualitzada és ara una etapa crítica del vostre procés de compra. El nostre comparatiu de solucions de signatura electrònica us pot ajudar en aquesta anàlisi.

2.4 Interoperabilitat obligatòria dels esquemes d'identitat

On eIDAS 1 deixava als Estats membres la llibertat de notificar (o no) el seu esquema, eIDAS 2 fa la notificació i interoperabilitat obligatòries per als esquemes d'identitat utilitzats en els serveis públics en línia (art. 5). France Identité — l'esquema nacional portat pel ministeri de l'Interior — es troba en procés de posada en conformitat amb les especificacions tècniques de l'EUDIW, publicades per la Comissió en el regulament d'execució (UE) 2024/2977.

Per a una PME que interactua regularment amb administracions públiques (contractacions públiques, teletramitacions fiscals, procediments duaners), aquesta evolució significa que les gestions en línia es unificaran progressivament al voltant d'un identificador digital únic i reconegut en tota la UE.

2.5 Noves normes de responsabilitat i supervisió

eIDAS 2 precisa i estén els règims de responsabilitat dels prestadors (art. 13 revisat). Un QTSP és ara presumiblement responsable de tot dany causat a una persona física o jurídica per un incompliment de les seves obligacions, excepte per provar l'absència de culpa. Aquesta presumció de responsabilitat, reforçada respecte a eIDAS 1, ha d'incitar les PME a:

• Formalitzar per contracte els compromisos del seu prestador (SLA, garanties de disponibilitat, indemnització).
• Verificar la cobertura d'assegurança de responsabilitat civil professional del QTSP.
• Conservar les proves d'auditoria de les transaccions signades (registres d'estampa temporal, informes de verificació de signatura).

Els nostres equips han redactat una guia detallada sobre la signatura electrònica en empresa que aborda aquests aspectes contractuals.

---

3. Taula comparativa eIDAS 1 vs eIDAS 2: què canvia concrètament

3.1 Síntesi de les evolucions majors

| Criteri | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Cartera identitat | Absent | EUDIW obligatòria (Estats membres) | | Serveis qualificats | 9 categories | 14 categories (arxivament, RQSCD, registres…) | | Notificació esquemes | Facultativa | Obligatòria per a serveis públics | | Seguretat QTSP | Criteris Common Criteria | Cybersecurity Act + esquemes ENISA | | Responsabilitat QTSP | Parcial | Presumció de responsabilitat reforçada | | Termini notificació incident | No especificat | 24 hores (alineament NIS 2) | | QSCD mòbil | Ambigüitat jurídica | RQSCD explícitament enquadrat |

3.2 Els terminis claus a retenir per al 2026

• Maig de 2024: entrada en vigor del regulament (UE) 2024/1183.
• Novembre de 2026: data límit perquè cada Estats membre proposi almenys una solució EUDIW certificada.
• 2027: obligació per a les grans plataformes (art. 45bis) d'acceptar l'EUDIW com a mitjà d'autenticació.
• 2028: revisió prevista dels actes d'execució tècnics (regulaments delegats sobre les especificacions EUDIW).

Si la vostra PME envisuja migrar cap a una solució més conforme, la nostra oferta de migració cap a Certyneo inclou una auditoria de conformitat eIDAS 2 oferta.

---

4. Pla d'acció pràctic per posar la vostra PME en conformitat eIDAS 2

4.1 Auditar els vostres fluxos documentals existents

Comenceu per cartografiar tots els processos en els quals utilitzeu actualment la signatura electrònica o l'identitat digital: contractes de proveïdors, nòmines desmaterialitzades, mandats SEPA, acords de confidencialitat, actes RH. Per a cada flux, identifiqueu:

• El nivell de signatura utilitzat (SES, AdES, QES).
• El prestador actual i el seu estatus en la Trusted List.
• El nivell de risc jurídic en cas de contestació.

Aquesta auditoria és el punt de partida recomanat per ANSSI en la seva guia de posada en conformitat publicada el març de 2025.

4.2 Actualitzar la vostra solució de signatura

Si el vostre prestador actual no figura en la Trusted List eIDAS 2 o no ofereix encara el RQSCD, és hora de comparar les ofertes del mercat. Certyneo és un QTSP certificat que suporta els tres nivells de signatura (SES, AdES, QES) i integra nativament els nous requisits eIDAS 2, notamment l'arxivament qualificat i la gestió remota de dispositius.

4.3 Formar els vostres equips i actualitzar els vostres contractes

eIDAS 2 reforça el valor probatori de les signatures qualificades però imposa també bones pràctiques documentals. Assegureu-vos que els vostres equips jurídics i administratius:

• Saben distingir els tres nivells de signatura i el seu valor legal respectiu.
• Integren en els contractes amb proveïdors una clàusula d'auditoria de conformitat eIDAS.
• Conserven les proves de verificació de signatura (informe de validació, estampa temporal qualificada) durant el termini legal de conservació aplicable (3 a 10 anys segons la natura de l'acte).

Per estructurar aquest enfocament, el nostre calculador ROI signatura electrònica us permetrà quantificar els guanys operacionals relacionats amb l'actualització.

Marc legal aplicable

Textos de referència

La posada en conformitat eIDAS 2 per a una PME francesa s'inscriu en un apilament normatiu que és essencial de dominar.

Regulament (UE) 2024/1183 del Parlament Europeu i del Consell (dit « eIDAS 2 »): aquest és el text fundacional, publicat en el DOUE el 30 d'abril de 2024. Deroga i reemplaça el regulament (UE) núm. 910/2014 segons un calendari de desplegament progressiu que s'estén fins al 2027. Té aplicació directa en tots els Estats membres, sense necessitat de transposició legislativa nacional per a les seves disposicions principals.

Regulament (UE) núm. 910/2014 (eIDAS 1): certes de les seves disposicions romanen aplicables durant els períodes de transició previstos per eIDAS 2, notamment per als prestadors qualificats que van obtenir la seva qualificació abans de maig de 2024 i disposen d'un termini per recertificar-se.

Codi civil francès, articles 1366 i 1367: l'article 1366 posa el principi d'equivalència entre l'escrit electrònic i l'escrit de paper, sota la reserva que « la persona de la qual emana pugui ser deument identificada i que es demostri i es conservi en condicions de natura que en garanteixin la integritat ». L'article 1367 reconeix la signatura electrònica com a mode de prova, remitent a les condicions fixades per decret en Consell d'Estat (decret núm. 2017-1416 del 28 de setembre de 2017, codificat en els articles R. 1369-1 a R. 1369-10 del Codi civil).

Regulament (UE) 2016/679 (RGPD): el desplegament de l'EUDIW i el tractament dels atributs d'identitat en els fluxos de signatura electrònica constitueixen tractaments de dades personals al sentit del RGPD. Les PME han d'assegurar-se que el seu QTSP actua com a responsable del tractament al sentit de l'article 28 RGPD, amb un DPA (Data Processing Agreement) conforme. La CNIL ha publicat el gener de 2026 una recomanació específica sobre la integració EUDIW-RGPD.

Directiva (UE) 2022/2555 (NIS 2): eIDAS 2 s'alinea explícitament amb NIS 2 per a les obligacions de notificació d'incidents (art. 24, §2 eIDAS 2 remitint a les disposicions NIS 2). Els QTSP es consideren entitats « essencials » o « importants » al sentit de NIS 2 segons la seva mida, i sotmesos a aquest títol a auditories de seguretat regulars.

Normes ETSI: les signatures electrònicas qualificades han de respectar les normes ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) i ETSI EN 319 102-1 (procediment de validació). La norma ETSI TS 119 461 enquadra la verificació a distància d'identitat (IDV), particularment rellevant per al RQSCD.

Riscos jurídics en cas de no-conformitat

Utilitzar una solució de signatura electrònica no conforme a eIDAS 2 exposa la PME a diversos riscos:

• Inadmissibilitat judici: un jutge pot rebutjar una signatura electrònica el nivell de la qual no correspon a l'acte signat (ex.: signatura simple per a un acte que necessita un nivell avançat o qualificat).
• Responsabilitat contractual: si un contracte és contestat per un soci al motiu de la nul·litat de la signatura, la PME pot estar exposada a demandes d'indemnització.
• Sancions RGPD: en cas de violació de dades relacionada amb un defecte de seguretat del prestador, la PME, co-responsable o responsable del tractament, pot ser sancionada per la CNIL fins al 4% del volum de negocis mundial anual (art. 83 §4 RGPD).

Escenaris d'ús concrets

Escenari 1: una PME industrial de 80 treballadors gestionant 400 contractes de proveïdors anualment

Una PME del sector de la metal·lúrgia tractant aproximadament 400 contractes de proveïdors anuals utilitzava fins al 2024 una solució de signatura electrònica simple (SES) per a l'conjunto dels seus compromisos, inclosos els contractes marc superiors a 50.000 €. Després d'una auditoria de conformitat eIDAS 2, va constatar que el 35% dels seus contractes necessitaven una signatura avançada o qualificada per resistir a una contestació judici, notamment amb proveïdors establerts en altres Estats membres de la UE.

En migrar cap a una solució que combinava signatura avançada (AdES) per als contractes corrents i qualificada (QES) per als contractes marc, i en activar l'arxivament electrònic qualificat (nou servei eIDAS 2), aquesta PME va reduir el 70% el temps dedicat a la gestió documental post-signatura (classament, recerca, enviament de còpies certificades) i va portar a zero els litigis relacionats amb la contestació de signatura en els 18 mesos següents, contra dos incidents els 18 mesos anteriors.

Escenari 2: un despatx de dret jurídic de 15 col·laboradors

Un despatx especialitzat en dret mercantil, emetent en mitjana 1.200 actes signats anualment (cartes de missió, mandats, acords de confidencialitat), enfrontava una demanda creixent dels seus clients corporatius per a signatures qualificades reconeixibles en tota la UE. Sota eIDAS 1, l'obtenció d'un certificat qualificat requeria un procediment de cara a cara o una verificació de vídeo llarga (45 a 90 minuts per usuari).

Gràcies al RQSCD (Remote Qualified Signature Creation Device) enquadrat per eIDAS 2, el despatx va poder desplegar la signatura qualificada per al conjunto dels seus col·laboradors en menys de dues setmanes, mitjançant un procediment d'inscripció 100% remot conforme a la norma ETSI TS 119 461. La taxa d'adopció interna va passar del 40% al 95% en tres mesos, i el termini mitjà de retorn dels actes signats va ser reduït de 4,2 dies a menys de 6 hores segons les mesures internes del despatx.

Escenari 3: una PME e-commerce operant en tres països de la UE

Una empresa de venda en línia que emplea 35 persones i opera a França, Bèlgica i als Països Baixos havia de gestionar tres tipus d'acords electrònics: contractes de treball per als seus treballadors locals, acords de col·laboració amb transportistes, i mandats SEPA per als seus clients professionals. La fragmentació dels requisits nacionals sota eIDAS 1 l'obligava a mantenir tres fluxos de signatura distints, amb costos de gestió estimats en aproximadament 12.000 € anualment.

L'adopció d'una solució única conforme a eIDAS 2 — integrant el reconeixement mutu de les signatures qualificades en els tres país — va permetre unificar els fluxos, reduir el cost de gestió a aproximadament 4.500 € anualment (estalvi del 62%) i eliminar els terminis relacionats amb la validació manual de les signatures estrangeres pel servei jurídic.

Conclusió

eIDAS 2 no és una simple revisió cosmètica del marc regulador: redefineix profundament les normes del joc de la confiança digital a Europa. Per a les PME franceses, les cinc evolucions majors — cartera EUDIW, extensió dels serveis qualificats, RQSCD, interoperabilitat obligatòria i responsabilitat reforçada — representen alhora una restricció de posada en conformitat i una oportunitat d'accelerar la seva transformació documental.

Les PME que anticipen avui aquests canvis se'n beneficiaran d'una ventatge competitiva real: contractes reconeguts en tota la UE sense fricció, arxivament amb valor probatori integrat, i processos de signatura completament desmaterialitzats i segurs.

Certyneo està dissenyat per acompanyar aquesta transició. Inicieu la vostra prova gratuïta a certyneo.com i beneficieu-vos d'una auditoria de conformitat eIDAS 2 oferta per als vostres fluxos documentals existents.