Transició eIDAS 1 a eIDAS 2: impactes en la signatura el 2025

El 20 de maig de 2024, el reglament (UE) 2024/1183 — comunament denominat eIDAS 2 — va ser publicat al Diari Oficial de la Unió Europea, derogant progressivament el reglament núm. 910/2014 (eIDAS 1). Aquest text representa la reforma més estructurant de la identitat digital i la signatura electrònica a Europa des de 2016. Per a les empreses franceses que utilitzen solucions de signatura electrònica en els seus fluxos contractuals, la transició no és una formalitat: implica ajustos tècnics, jurídics i organitzacionals l'horitzó dels quals s'estén fins al 2026 i més allà. Entendre el pas d'eIDAS 1 a eIDAS 2 i el seu impacte en la signatura electrònica el 2025 és, per tant, esdevingut una prioritat per a les direccions jurídiques, DSI i DRH. Aquest article desxifra les evolucions fonamentals del marc, el calendari precís de la transició i les mesures concretes a prendre per romandre conforme.

Què modifica fonamentalment el reglament eIDAS 2

Del reglament de 2014 a la refeta de 2024: per què una revisió era necessària

EIDAS 1 havia posat els fonaments del reconeixement mutu de les signatures electròniques dins de la Unió. Tres nivells jeràrquics — simple (SES), avançada (AdES) i qualificada (QES) — estructuraven el valor probatori de les signatures, recolzat en una llista de proveïdors de confiança (TSL). Però en deu anys, dues mancances majors han aparegut.

Primer, el reglament original s'aplicava essencialment a les relacions amb les administracions públiques (G2B, G2C). No creava obligacions directes en les transaccions privades (B2B, B2C), deixant un buit normatiu que cada Estat membre omplia de forma heterogènia. Segon, l'ascens en potència dels serveis digitals — aplicacions mòbils, banca oberta, telemedecina — havia revelat l'absència d'un sistema d'identitat digital portable i interoperable al nivell continental.

EIDAS 2 respon a aquests dos desafiaments introduint el moneder europeu d'identitat digital (EU Digital Identity Wallet, EUDIW) i ampliant el perímetres dels serveis de confiança a nous casos d'ús: arxivament electrònic qualificat, attestacions d'atributs qualificats, registres electrònics qualificats (incloent-hi les aplicacions blockchain certificades).

Les noves categories de serveis de confiança qualificats

El reglament eIDAS 2 estén la llista dels serveis de confiança qualificats (article 3 i annex IV revisat). A més de les signatures, segells i marques de temps qualificats ja reconeguts per eIDAS 1, són ara qualificats:

• Els serveis d'arxivament electrònic qualificat (art. 34 bis): obligació de preservar la integritat i la legibilitat dels documents signats a llarg termini, amb exigències reforçades per als proveïdors (QTSP).
• Els serveis de gestió de dispositius de creació de signatura a distància qualificats (QRCD): enquadrament reforçat de les solucions de signatura a distància via HSM (Hardware Security Module) al núvol.
• Les attestacions d'atributs qualificats: mecanisme que permet a un tercer de confiança certificar atributs d'una entitat (ex. qualitat d'advocat, estatus de metge) sense revelar el conjunt de la identitat.
• Els registres electrònics qualificats: reconeixement de registres distribuïts sota condicions estrictes d'auditabilitat i resiliència.

Per als usuaris de solucions de signatura electrònica, aquesta extensió significa que els serveis de confiança qualificats disponibles al mercat es diversificaran, i que els criteris de selecció d'un proveïdor (QTSP) han d'integrar aquestes noves capacitats.

L'EUDIW: el moneder d'identitat digital com a infraestructura de la signatura

La innovació més visible d'eIDAS 2 continua sent l'EUDIW. Cada Estat membre haurà de posar a disposició dels seus ciutadans i residents un moneder d'identitat digital gratuït, interoperable amb tots els altres Estats membres, fins al 26 de novembre de 2026 (termini de conformitat nacional segons l'article 5 bis). Aquest moneder permetrà:

• autenticar l'usuari amb un nivell d'assegurança elevat (LoA High) sense recórrer a un proveïdor tencer d'identificació;
• signar electrònicament documents amb un valor qualificat (QES) directament des de la cartera;
• compartir atributs d'identitat selectives (selective disclosure), respectant així el principi de minimització de dades del RGPD.

Per a les empreses, l'EUDIW simplifica teòricament els procediments de verificació de la identitat prèvia a la signatura qualificada, suprimint la fricció de la vídeo-identificació o de la identificació cara a cara. En la pràctica, l'impacte dependrà del ritme del desplegament nacional — França ha llançat el 2025 una experimentació pilot en el marc del programa « France Identité ».

Calendari precís de la transició eIDAS 1 a eIDAS 2

Els fites regulatòries a conèixer

El reglament 2024/1183 va entrar en vigor el 20 de maig de 2024, però la seva aplicació és progressiva. Aquestes són les dates límit clau:

| Data | Esdeveniment | |------|----------| | 20 de maig de 2024 | Publicació al DOUE, entrada en vigor formal | | 20 de novembre de 2024 | Termini de 6 mesos per a l'adopció dels actes d'execució per part de la Comissió (especificacions tècniques de l'EUDIW) | | Final del 2025 | Publicació dels estàndards ETSI revisats (EN 319 411-1/2, EN 319 401) integrant les exigències eIDAS 2 | | 26 de maig de 2026 | Data límit per a la conformitat dels Estats membres sobre les noves categories de serveis qualificats | | 26 de novembre de 2026 | Posada a disposició obligatòria de l'EUDIW per part de cada Estat membre | | 2027-2028 | Revisió completa de les llistes de confiança nacionals (TSL) i acreditació dels nous QTSP |

EIDAS 1 continua sent vàlida i les signatures emeses sota el seu règim conserven la seva plena validesa jurídica. No hi ha cap obligació de re-signar els documents existents. En canvi, els proveïdors de confiança qualificats hauran de renovar la seva acreditació segons les noves normes tècniques fins al 2027.

El que no canvia i el que cal vigilar

La continuïtat és un principi cardinal de la transició. Els tres nivells de signatura (SES, AdES, QES) es mantenen amb les seves definicions inalterades. La presumpció d'equivalència amb una signatura manuscrita unida a la QES (article 25 eIDAS 1, reprès a l'article 27 eIDAS 2) continua en vigor. El valor probatori de les vostres signatures electròniques actuals no es qüestiona.

El que cal vigilar, en canvi: els actes d'execució (implementing acts) publicats per la Comissió Europea al llarg de 2025-2026 fixaran les especificacions tècniques precises de l'EUDIW i de les noves categories de serveis. Aquests textos de nivell 2 tenen una importància pràctica considerable per als integradors i els editors de programari. Per a les empreses que utilitzen la signatura electrònica en els seus processos de RH o jurídics, es recomana demanar al proveïdor una fulla de ruta de conformitat eIDAS 2.

Impacte concret en les empreses i les seves solucions de signatura

Quins fluxos estan afectats prioritàriament?

La transició d'eIDAS 1 a eIDAS 2 no té el mateix impacte segons el nivell de signatura utilitzat. Per a les empreses, es distingeixen tres situacions:

Signatura electrònica simple (SES): utilitzada per a les addenda de baix valor, confirmacions de recepció, formularis interns. Cap obligació de posada al dia immediata. Les regles probatòries continuen sent regulades pel Codi Civil (art. 1366-1367) i no directament per eIDAS.

Signatura electrònica avançada (AdES/AdESQC): les empreses que utilitzen solucions B2B per a contractes comercials, dels contractes de treball desmaterialitzats o actes immobiliaris han de verificar que el seu proveïdor manté una conformitat amb les normes ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) i EN 319 142 (PAdES) en les seves versions revisades per a eIDAS 2. Aquestes normes seran publicades per l'ETSI fins a final de 2025.

Signatura electrònica qualificada (QES): els proveïdors qualificats (QTSP) hauran de passar a una nova acreditació eIDAS 2. El període transitori concedeix un termini raonable (fins al 2027), però els concursos llançats ja el 2025 haurien d'integrar una clàusula de conformitat eIDAS 2 en els criteris de selecció. Per a les organitzacions que comparen les opcions disponibles, el comparatiu de les solucions de signatura electrònica permet avaluar la maduresa dels editors sobre aquest tema.

Noves exigències per als proveïdors de confiança qualificats (QTSP)

EIDAS 2 endueix les exigències aplicables als QTSP en tres punts majors:

1. Seguretat dels sistemes: alineament obligatori amb NIS2 (directiva (UE) 2022/2555) per a les QTSP, ara classificats com a entitats essencials. Això es tradueix en obligacions de notificació d'incidents en 24 hores, auditories de seguretat anuals i la implementació de plans de continuïtat del negoci.

1. Responsabilitat reforçada: l'article 13 eIDAS 2 amplia el règim de responsabilitat dels QTSP. En cas de manquement provat, la càrrega de la prova s'inverteix: el proveïdor ha de demostrar que no ha comès negligència, i no a l'inversa.

1. Interoperabilitat obligatòria: els QTSP hauran d'exposar API estandarditzades compatibles amb l'EUDIW per a permetre la integració nativa dels moneders d'identitat. Aquesta exigència accelerarà la modernització de les interfícies d'integració disponibles per als desenvolupadors.

Per a les empreses que consideren canviar de proveïdor en aquest context, migrar de DocuSign o YouSign cap a una solució conforme amb eIDAS 2 és una tasca que mereix ser anticipada des d'ara més que en urgència el 2027.

Dades personals i eIDAS 2: l'articulació amb el RGPD

L'EUDIW recull i tracta dades d'identitat de caràcter personal. El reglament eIDAS 2 preveu explícitament (considerant 11 i article 5 bis §14) que el conjunt del dispositiu ha de ser conforme al RGPD (reglament (UE) 2016/679). Diversos punts d'atenció:

• Selective disclosure: el moneder ha de permetre a l'usuari compartir només els atributs estrictament necessaris per a la transacció (principi de minimització, art. 5(1)(c) RGPD). Per a una signatura de contracte, només la verificació de majoritat podria ser compartida sense revelar la data de naixement completa.
• Transferències fora de la UE: les dades d'identitat tractades en el marc de l'EUDIW no poden ser transferides fora de l'EEE sinó amb garanties apropiades (art. 46 RGPD). Els proveïdors que utilitzen infraestructures núvol americans han de documentar la seva conformitat.
• Conservació dels registres de signatura: l'arxivament de les proves de signatura ha de respectar la durada de conservació proporcional a la naturalesa del document. El nou servei d'arxivament qualificat eIDAS 2 ofereix un marc tècnic per a respondre a aquesta exigència.

Les empreses que gestionen contractes de treball internacionals estan particulàrment afectades per aquesta articulació RGPD/eIDAS 2, especialment quan els signants resideixen fora de la UE.

Marc legal aplicable a la transició eIDAS 1 a eIDAS 2

Textos de referència

La transició es recolza en un empilement de textos que és imprescindible dominar:

Al nivell europeu:

• Reglament (UE) núm. 910/2014 (eIDAS 1): continua en vigor fins a la seva derogació progressiva per eIDAS 2. Defineix els tres nivells de signatura (SES, AdES, QES) i el règim dels QTSP.
• Reglament (UE) 2024/1183 (eIDAS 2): entrat en vigor el 20 de maig de 2024. Modifica substancialment eIDAS 1 sense abrogar-lo immediatament. Les disposicions relatives a l'EUDIW s'apliquen ja amb la publicació dels actes d'execució.
• Reglament (UE) 2016/679 (RGPD): s'aplica integralment al tractament de dades d'identitat en el marc de l'EUDIW i dels processos de signatura. L'article 5 bis §14 d'eIDAS 2 recorda aquesta subordinació explícitament.
• Directiva (UE) 2022/2555 (NIS2): imposa obligacions de ciberseguretat reforçades als QTSP, ara classificats entitats essencials. Transposada al dret francés per l'ordenança núm. 2024-821 de 20 de juny de 2024 (en curs de decret d'aplicació).

Al nivell francés:

• Codi Civil, articles 1366 i 1367: fonament de la validesa probatòria dels escrits en forma electrònica. L'article 1366 estableix l'equivalència entre escrit electrònic i paper sota condicions. L'article 1367 confereix a la signatura qualificada (QES) la mateixa força probatòria que una signatura manuscrita.
• Decret núm. 2017-1416 de 28 de setembre de 2017: precisa les condicions d'utilització de la signatura electrònica en els actes sota signe privat. Continua sent aplicable durant el període transitori.
• Referencial general de seguretat (RGS) v2: per a les administracions franceses, el RGS imposa l'utilització de solucions referenciades per l'ANSSI. La seva posada al dia per integrar eIDAS 2 s'espera durant el 2026.

Normes tècniques ETSI aplicables

Les normes ETSI constitueixen el nivell 3 de la jerarquia normativa. Les versions actuals aplicables:

• EN 319 132-1/2: format XAdES (signatures XML avançades)
• EN 319 122-1/2: format CAdES (signatures CMS avançades)
• EN 319 142-1/2: format PAdES (signatures PDF avançades)
• EN 319 401: exigències generals per als proveïdors de serveis de confiança
• EN 319 411-1/2: exigències per a les AC emetent certificats qualificats

Aquestes normes seran revisades fins a final de 2025 per integrar les noves exigències eIDAS 2. Els contractes amb els QTSP han d'incloure una clàusula de posada al dia cap a les versions revisades sense sobrecoste.

Riscos jurídics de falta de conformitat

Una signatura emesa per un proveïdor que ja no estaria acreditat després del 2027 no perdria automàticament la seva validesa jurídica pels documents ja signats, però ja no es beneficiaria de la presumpció legal d'equivalència amb una signatura manuscrita (art. 25 eIDAS). La càrrega de la prova de la integritat i de la identitat del signant recauria llavors integrament en l'empresa en cas de contenciós. Aquest risc probatori és particulàrment sensible per als actes el termini de prescripció dels quals és llarg (5 anys en matèria comercial, 30 anys pels drets reals immobiliaris).

Escenaris d'ús: com les organitzacions anticipen la transició eIDAS 2

Escenari 1: un despatx d'advocats de 25 col·laboradors racionalitza la seva conformitat documentaria

Un despatx d'advocats especialitzat en dret dels afers, amb aproximadament 25 col·laboradors i una activitat intensa de signatura de mandats, actes de cessió i protocols d'acord, utilitzava fins al 2024 una solució de signatura avançada (AdES) per a la totalitat dels seus fluxos. Amb l'anunci d'eIDAS 2, el despatx va realitzar una auditoria dels seus 1 200 documents signats anualment per identificar els que necessitaven una QES segons les noves recomanacions del seu barreau.

Resultat: el 15% dels actes (aproximadament 180 per any) van ser reclassificats cap a signatura qualificada, el que va permetre asegurar el règim probatori d'aquests documents. El despatx va negociar amb el seu editor de signatura una clàusula garantint la conformitat eIDAS 2 ja amb la publicació dels actes d'execució, sense sobrecoste. El temps administratiu vinculat a la verificació de la identitat dels signants va disminuir el 40% gràcies a l'anticipació de la integració EUDIW planificada per al 2026.

Escenari 2: una PIME industrial de 150 salaris assegura la seva cadena contractual de proveïdors

Una PIME industrial que gestiona aproximadament 350 contractes de proveïdors per any — ordres de compra, NDA, contractes-marc — funcionava amb dues solucions de signatura diferents per als seus fluxos interns i externs, creant una fragmentació de les proves d'auditoria. En el context de la transició eIDAS 2 i de les noves exigències d'arxivament qualificat, la DSI va decidir unificar la seva plataforma.

Migrant cap a una solució única integrant l'arxivament electrònic qualificat (futura categoria eIDAS 2), la PIME ha reduït els seus costos d'emmagatzematge segur el 30% i ha consolidat les seves proves de signatura en un calaix de seguretat digital conforme. El conjunt de la cadena documentaria és ara auditable en menys de 2 minuts durant els controls de proveïdors — una exigència creixent dels seus donants d'ordre a la indústria automòbil.

Escenari 3: un agrupament hospitalari d'aproximadament 600 llits prepara la integració EUDIW

Un agrupament hospitalari públic utilitzava la signatura electrònica qualificada pels seus contractes mèdics i els seus mercats públics, d'acord amb les obligacions del codi de contractació pública. Amb eIDAS 2, el servei informàtic va identificar dos enjulls prioritaris: la futura integració de la cartera « France Identité » per als metges liberals intervinguts en l'establiment, i la conformitat NIS2 del seu QTSP.

L'agrupament va inscriure en el seu esquema director digital 2025-2028 un lot específic « conformitat eIDAS 2 », amb un pressupost previsional de 45 000 € per a la migració tècnica i la formació dels agents. L'objectiu és ser en condicions d'acceptar signatures via EUDIW ja amb el desplegament nacional previst per al novembre de 2026, reduint així els terminis de contractació amb els professionals de salut liberals de 3 dies a menys de 4 hores en mitjana segons els punts de referència sectorials disponibles.

Conclusió

La transició d'eIDAS 1 a eIDAS 2 no és una ruptura sinó una evolució estructurada, amb un calendari precís que s'estén fins al 2027. Els impactes en la signatura electrònica són reals — extensió dels serveis qualificats, arribada de l'EUDIW, endurimientn de les exigències NIS2 per als QTSP — però gestionables des del moment que siguin anticipats. Les empreses que actuen ara es beneficien d'un marge de maniobra per auditar els seus fluxos, asegurar els seus contractes amb els seus proveïdors i formar els seus equips sense pressió d'urgència reglamentària.

Certyneo acompanya les empreses en aquesta transició amb una fulla de ruta de conformitat eIDAS 2 clara, formats de signatura mantinguts actualitzats i una arquitectura preparada per a la integració EUDIW. Disposat a asegurar els teus fluxos de signatura en aquest nou marc regulatori? Descobreix les nostres ofertes i comença de forma gratuïta a Certyneo.