Calendario eIDAS 2 : implementación UE 2026-2027

Introducción : por qué el calendario eIDAS 2 es crucial para tu organización

Desde la entrada en vigor del Reglamento (UE) 2024/1183 — comúnmente llamado eIDAS 2 — el marco europeo de identidad digital y firma electrónica experimenta su transformación más profunda desde 2014. Si el texto revisado está formalmente adoptado, es su implementación operativa, escalonada entre 2024 y 2027, la que ahora concentra la atención de los CIO, juristas y responsables de cumplimiento normativo. Comprender el calendario oficial de implementación del reglamento eIDAS 2 en la Unión Europea permite anticipar las obligaciones, asegurar tus procesos contractuales y evitar cualquier incumplimiento normativo. Este artículo descifra las etapas clave, los actos de ejecución esperados y los impactos concretos para las empresas francesas y europeas.

---

1. Recordatorio : ¿qué es eIDAS 2 y por qué esta revisión ?

1.1 Las limitaciones de eIDAS 1 (2014)

El reglamento eIDAS original (nº 910/2014) sentó las bases de la confianza digital en Europa : reconocimiento mutuo de firmas electrónicas, creación de niveles cualificados (QES), simple (SES) y avanzado (AdES), y acreditación de proveedores de servicios de confianza (Trust Service Providers, TSP). Sin embargo, diez años de aplicación revelaron varias deficiencias importantes :

• Fragmentación nacional : menos del 19 % de los ciudadanos europeos utilizaba un esquema de identificación electrónica transfronterizo en 2022 según la Comisión Europea.
• Ausencia de cartera de identidad digital : eIDAS 1 no preveía un instrumento universal que permitiera a cada ciudadano o empresa demostrar su identidad en línea en todos los Estados miembros.
• Cobertura parcial : los servicios de archivo electrónico cualificado o las atestaciones de atributos no estaban armonizados.

1.2 Los aportes estructurantes de eIDAS 2

Adoptado el 11 de abril de 2024 y publicado en el Diario Oficial de la UE el 30 de abril de 2024, el Reglamento (UE) 2024/1183 introduce en particular :

• La Cartera de Identidad Digital Europea (EUDI Wallet) : cartera de identidad digital que cada Estado miembro debe ofrecer a sus ciudadanos.
• Nuevos servicios de confianza cualificados : atestaciones de atributos electrónicos cualificados, archivo electrónico cualificado, gestión de dispositivos de creación de firmas a distancia.
• La ampliación del ámbito de aplicación : las grandes plataformas en línea (en el sentido del Reglamento DSA) deberán aceptar la Cartera EUDI para la autenticación de usuarios.
• Un fortalecimiento de la gobernanza : creación de un marco de certificación de conformidad más riguroso para los TSP.

Para profundizar en los fundamentos del reglamento, nuestro guía completo sobre eIDAS 2.0 detalla todas las evoluciones normativas.

---

2. El calendario oficial de implementación de eIDAS 2 : etapas y fechas clave 2024-2027

El reglamento eIDAS 2 articula su entrada en aplicación alrededor de un mecanismo en varios tiempos : entrada en vigor, actos de ejecución de la Comisión, transposición nacional e implementación efectiva de las herramientas. Esta es la hoja de ruta oficial.

2.1 Fase 1 — Entrada en vigor y actos delegados (mayo 2024 – fin de 2025)

| Fecha | Etapa | |---|---| | 30 de abril de 2024 | Publicación del Reglamento (UE) 2024/1183 en el DOUE | | 20 de mayo de 2024 | Entrada en vigor oficial (D+20 después de la publicación) | | T3-T4 2024 | Lanzamiento de grupos de trabajo sobre actos de ejecución (Toolbox eIDAS 2) | | Fin de 2024 | Publicación de las primeras especificaciones técnicas de referencia para la Cartera EUDI (ARF — Architecture Reference Framework v1.4) | | T1-T2 2025 | Actos de ejecución de la Comisión sobre especificaciones técnicas de carteras (plazo de 12 meses previsto por el artículo 5a) | | T3 2025 | Actos de ejecución relativos a los nuevos servicios de confianza cualificados |

La Comisión Europea publicó en enero de 2025 el primer lote de actos de ejecución sobre especificaciones técnicas comunes de la Cartera EUDI. Estos textos constituyen la base técnica obligatoria para los Estados miembros.

2.2 Fase 2 — Implementación de proyectos piloto y transposiciones nacionales (2025-2026)

En el marco del programa de grandes proyectos piloto (Large Scale Pilots — LSP), cuatro consorcios han probado la Cartera EUDI desde 2023 en más de 360 casos de uso en 25 Estados miembros :

• Consorcio de Cartera de Identidad Digital de la UE (EUDIW) — 140+ entidades
• NOBID — enfocado en pagos digitales
• POTENTIAL — identidad y atributos
• DC4EU — diplomas y cualificaciones profesionales

Los resultados de estos pilotos alimentan directamente los actos de ejecución. A nivel nacional, los Estados miembros disponen de 24 meses a partir de la entrada en aplicación de los actos de ejecución para implementar su cartera nacional. En la práctica, esto significa que la gran mayoría de las implementaciones nacionales se esperan entre mediados de 2026 y fin de 2026.

| Período | Acciones esperadas | |---|---| | T1-T2 2026 | Adopción definitiva de los actos de ejecución faltantes (archivo cualificado, atestaciones de atributos) | | T2 2026 | Primeras versiones de producción de Carteras EUDI en los Estados precursores (Alemania, Países Bajos, España) | | T3-T4 2026 | Implementación progresiva en los 27 Estados miembros — apertura a usuarios profesionales | | Fin de 2026 | Obligaciones de aceptación de la Cartera EUDI para servicios públicos en línea (art. 5b) |

Francia, a través de la Agencia Nacional de Seguridad de Sistemas de Información (ANSSI) y la Dirección Interministerial de lo Digital (DINUM), ha iniciado sus trabajos de adaptación en 2025. El proyecto de cartera francesa se basa en France Identité como base técnica.

2.3 Fase 3 — Obligaciones de aceptación para el sector privado (2027)

Esta es la etapa más impactante para las empresas. El artículo 5b del reglamento eIDAS 2 impone que ciertos proveedores del sector privado acepten la Cartera EUDI para la identificación en línea en los siguientes ámbitos :

• Servicios bancarios y financieros (apertura de cuenta, KYC)
• Movilidad (transporte, alquiler de vehículos)
• Energía (contratos de consumidores)
• Plataformas en línea muy grandes (en el sentido de la DSA, > 45 millones de usuarios mensuales en la UE)
• Telecomunicaciones

El plazo de aceptación obligatoria se fija en 12 meses después de la puesta a disposición de la cartera en cada Estado miembro, lo que sitúa la fecha real para la mayoría de los sectores durante el primer semestre de 2027.

Para las empresas que ya utilizan soluciones de firma electrónica conforme a eIDAS, el reto es garantizar la compatibilidad de sus flujos documentales con los nuevos atributos de identidad procedentes de las carteras digitales.

---

3. Impacto en los proveedores de servicios de confianza (TSP) y editores SaaS

3.1 Nuevas obligaciones para los TSP cualificados

Los proveedores de servicios de confianza cualificados (QTSP) deben actualizar sus prácticas de certificación para integrar las nuevas categorías de servicios introducidas por eIDAS 2 :

• Atestaciones de atributos electrónicos cualificados : permiso de conducir digital, diplomas, cualificaciones profesionales
• Archivo electrónico cualificado : servicio que garantiza la integridad a largo plazo de los documentos firmados
• Gestión de dispositivos de creación de firma a distancia (RQSCD) : aclaración del marco para soluciones en la nube

Los QTSP tienen hasta 18 meses después de la publicación de las normas ETSI revisadas (esperadas T2-T3 2026) para cumplir con los nuevos requisitos técnicos, lo que sitúa las primeras re-certificaciones efectivas en 2027.

3.2 Lo que esto significa para las empresas usuarias

Si tu organización utiliza un proveedor de firma electrónica SaaS — ya sea una solución certificada QES o una herramienta de firma avanzada — varias cuestiones de cumplimiento normativo se plantean desde ahora :

1. ¿Tu proveedor está actualizando su certificación para integrar los requisitos de eIDAS 2 ?
2. ¿Tus flujos de firma están preparados para recibir identidades procedentes de Carteras EUDI ?
3. ¿Tu política de archivo cumple con los futuros requisitos de archivo electrónico cualificado ?

Nuestros análisis del comparativo de soluciones de firma electrónica integran ahora el criterio de roadmap eIDAS 2 como factor diferenciador clave.

3.3 Las normas técnicas de referencia

El ETSI (Instituto Europeo de Normas de Telecomunicaciones) es responsable de producir las normas armonizadas en las que se basa eIDAS 2. El programa de trabajo 2025-2027 cubre en particular :

• ETSI EN 319 411-1 y -2 (revisadas) : políticas y requisitos para TSP que emiten certificados
• ETSI EN 319 132-1 (XAdES) y EN 319 122-1 (CAdES) : formatos de firma avanzada y cualificada
• ETSI TS 119 500 : marco de confianza para servicios de archivo electrónico cualificado
• ISO/IEC 18013-5 : protocolo de presentación de atributos mDL (Licencia de conducir móvil), adoptado como base técnica de la Cartera EUDI

---

4. Calendario eIDAS 2 en Francia : estado de avance y obligaciones específicas

4.1 El papel de la ANSSI en la gobernanza nacional

En Francia, la ANSSI es la autoridad supervisora de los proveedores de servicios de confianza en virtud de eIDAS. En la perspectiva de eIDAS 2, dirige :

• La adaptación del referencial general de seguridad (RGS) para integrar los nuevos servicios cualificados
• La participación en los trabajos del grupo de cooperación eIDAS (artículo 46e del reglamento)
• La supervisión de los auditorías de conformidad de los QTSP franceses

La ANSSI publicó en marzo de 2025 una hoja de ruta nacional precisando las etapas de adaptación del marco francés a eIDAS 2, con un punto de situación previsto en septiembre de 2026.

4.2 Obligaciones para las grandes empresas francesas

Las empresas francesas que superen los umbrales del DSA u operen en los sectores dirigidos por el artículo 5b deben iniciar ahora un análisis de impacto. Las etapas recomendadas son :

1. Mapeo de flujos de identificación : identificar los procesos donde se requiere identidad digital (KYC, firma de contratos, acceso a espacios de clientes)
2. Evaluación de proveedores actuales : verificar su roadmap de cumplimiento eIDAS 2
3. Plan de actualización de CGV y políticas de firma : anticipar la integración de atributos de identidad procedentes de Carteras EUDI
4. Formación de equipos jurídicos y TI : el marco técnico y legal evoluciona significativamente

Para las empresas que gestionan volúmenes contractuales importantes, las herramientas de firma electrónica en empresas deben evaluarse desde la perspectiva de su capacidad para evolucionar hacia eIDAS 2 sin interrupción de servicio.

4.3 Articulación con otras regulaciones europeas

La implementación de eIDAS 2 no ocurre en silo. Se articula estrechamente con :

• El RGPD (2016/679) : los atributos de identidad contenidos en las Carteras EUDI constituyen datos personales sujetos a principios de minimización y finalidad
• La Directiva NIS 2 (2022/2555) : los TSP son entidades esenciales en el sentido de NIS 2 y deben cumplir con requisitos de ciberseguridad reforzados
• El Reglamento DORA (2022/2554) : las instituciones financieras que utilizan servicios de confianza para sus operaciones digitales deben integrar estas dependencias en su mapeo de riesgos ICT
• El Reglamento sobre Datos (Data Act, 2023/2854) : interoperabilidad de datos de identidad entre sectores

Las empresas que ya han iniciado su cumplimiento de NIS 2 encontrarán sinergias significativas con la puesta en cumplimiento de eIDAS 2, en particular en los aspectos de gestión de riesgos y continuidad de negocio.

---

5. Preparar tu organización desde ahora : el checklist 2026

5.1 Para direcciones jurídicas y cumplimiento normativo

• [ ] Leer el Reglamento (UE) 2024/1183 en su versión consolidada e identificar los artículos aplicables a tu sector
• [ ] Mapear los contratos y procesos que requieren actualización (cláusulas de firma, política de conservación)
• [ ] Verificar la validez jurídica transfronteriza de tus firmas electrónicas actuales en el contexto de eIDAS 2
• [ ] Anticipar la integración de atestaciones de atributos cualificados (por ejemplo : verificación de calidad profesional para actos notariales o médicos)

5.2 Para direcciones de sistemas de información

• [ ] Evaluar la compatibilidad de tu stack técnico con los protocolos de Cartera EUDI (OpenID4VP, ISO 18013-5)
• [ ] Identificar las API que necesitan actualización en tus editores de firma electrónica
• [ ] Prever pruebas de integración con carteras piloto disponibles en 2026
• [ ] Establecer monitoreo de los actos de ejecución de la Comisión (notificaciones en el Diario Oficial de la UE)

5.3 Para direcciones de negocio

Los beneficios esperados de un cumplimiento bien anticipado son concretos : reducción de fricciones en los procesos de firma gracias a la identidad pre-verificada de la Cartera EUDI, aceleración de procesos KYC, y reducción de costos de verificación de identidad. Para evaluar el retorno sobre inversión de tu transición, nuestro calculador ROI firma electrónica integra parámetros específicos del cumplimiento de eIDAS 2.

Finalmente, las organizaciones que contemplan una migración desde otras soluciones hacia una plataforma preparada nativamente para eIDAS 2 pueden consultar nuestro guía de migración desde DocuSign o YouSign hacia Certyneo, que detalla las etapas técnicas y contractuales de una transición sin interrupciones.

Marco legal aplicable a la implementación de eIDAS 2

Textos fundadores y jerarquía de normas

La implementación del Reglamento eIDAS 2 se inscribe en un corpus jurídico estratificado cuya asimilación es indispensable para cualquier organización sujeta a obligaciones de cumplimiento.

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo — denominado « eIDAS 2 » — constituye la norma de referencia. Deroga y reemplaza el Reglamento (UE) nº 910/2014 (eIDAS 1) en los puntos que revisa, manteniendo la validez de las certificaciones existentes durante los períodos de transición previstos en los artículos 51 y siguientes. Publicado en el Diario Oficial de la UE serie L el 30 de abril de 2024, entró en vigor el 20 de mayo de 2024.

El Código Civil francés, artículos 1366 y 1367, consagra el reconocimiento de la firma electrónica como equivalente a la firma manuscrita cuando cumple las condiciones de identificación del firmante e integridad del documento. Estas disposiciones se interpretan a la luz del derecho europeo eIDAS, que prevalece en virtud del principio de primacía del derecho de la Unión.

El Reglamento (UE) 2016/679 (RGPD) se aplica íntegramente a los tratamientos de datos personales realizados en el marco de la Cartera EUDI y de los servicios de confianza. Los atributos de identidad (datos biográficos, cualificaciones, permisos) constituyen datos de carácter personal en el sentido del artículo 4 §1 del RGPD. El principio de minimización (art. 5 §1 c) es particularmente pertinente : los proveedores solo deben recopilar los atributos estrictamente necesarios para la finalidad de la transacción.

La Directiva (UE) 2022/2555 (NIS 2), transpuesta al derecho francés por la Ley nº 2024-449 de 21 de mayo de 2024, clasifica a los proveedores de servicios de confianza cualificados entre las entidades esenciales sujetas a obligaciones reforzadas de gestión de riesgos cibernéticos, notificación de incidentes y seguridad de la cadena de suministro.

Las normas ETSI constituyen el referencial técnico armonizado de eIDAS 2 :

• ETSI EN 319 401 : requisitos generales para TSP
• ETSI EN 319 411-1/-2 : políticas para TSP que emiten certificados cualificados
• ETSI EN 319 132-1 : formato XAdES (firmas XML avanzadas)
• ETSI EN 319 122-1 : formato CAdES (firmas CMS avanzadas)
• ETSI EN 319 162-1 : formato ASiC (contenedores de firmas)

Riesgos jurídicos en caso de incumplimiento

El incumplimiento de las obligaciones de eIDAS 2 expone a las organizaciones a varios riesgos :

1. Ineficacia de las firmas : una firma electrónica realizada a través de un TSP no conforme con los nuevos requisitos puede perder la presunción legal de validez, cuestionando el valor probatorio de los contratos firmados.
2. Sanciones administrativas : las autoridades supervisoras nacionales (ANSSI en Francia) pueden pronunciar medidas correctivas, órdenes de cumplimiento, e incluso retiros de acreditación para los TSP.
3. Responsabilidad contractual : las empresas que utilizan herramientas no conformes pueden ver su responsabilidad comprometida frente a clientes y socios si un litigio versa sobre la validez de un acto firmado electrónicamente.
4. Cumplimiento simultáneo del RGPD : una gestión no conforme de los atributos de identidad de la Cartera EUDI puede exponer simultáneamente a sanciones de la CNIL (hasta el 4 % del volumen de negocios mundial anual).

Escenarios de uso concretos frente al calendario eIDAS 2

Escenario 1 — Un despacho de abogados de tamaño intermedio gestionando actos transfronterizos

Un despacho de abogados mercantilistas con unos quince colaboradores que trata regularmente operaciones de fusiones y adquisiciones que implican contrapartes en varios Estados miembros de la UE (Bélgica, Países Bajos, España) utiliza actualmente una solución de firma electrónica cualificada para sus actos de cesión de participaciones y sus protocolos de confidencialidad. Con la entrada en aplicación del calendario eIDAS 2, el despacho anticipa dos evoluciones principales antes de fin de 2026 :

• Verificación de identidad simplificada : las contrapartes extranjeras podrán presentar sus atributos de identidad a través de su Cartera EUDI nacional, eliminando los intercambios de copias de pasaporte y los procedimientos KYC redundantes. Según las estimaciones procedentes de los informes de la Comisión Europea sobre los LSP, la ganancia de tiempo en la fase de verificación de identidad se estima entre 40 % y 60 % según las jurisdicciones implicadas.
• Valor probatorio reforzado : los actos firmados con identidades atestadas por Carteras EUDI cualificadas beneficiarán de una presunción legal aún más robusta, reduciendo el riesgo de impugnación judicial en litigios transfronterizos.

El despacho prevé migrar hacia una plataforma SaaS con una roadmap de eIDAS 2 documentada antes del T3 2026, es decir aproximadamente seis meses antes de las primeras obligaciones de aceptación.

Escenario 2 — Una PYME industrial gestionando un volumen alto de contratos con proveedores

Una PYME del sector de equipos industriales gestionando aproximadamente 250 contratos con proveedores anuales, de los cuales 30 % con socios europeos fuera de Francia, enfrenta restricciones crecientes de verificación de identidad durante la incorporación de nuevos proveedores. El proceso actual — solicitud de Kbis, copia de documento de identidad del representante legal, verificación manual — moviliza en promedio 2,5 horas por expediente según los benchmarks sectoriales de la federación de compradores.

Con la integración de la Cartera EUDI en su flujo de firma antes de 2027, la PYME proyecta :

• Una reducción de 55 a 70 % del tiempo dedicado a la verificación de identidad gracias a las atestaciones de atributos cualificados (número de registro, representación legal)
• Una disminución de 80 % de las solicitudes de documentos a proveedores extranjeros
• Una seguridad mejorada contra el fraude documental, siendo los atributos verificables criptográficamente

La PYME ha identificado la necesidad de actualizar sus condiciones generales de compra para integrar la referencia a las atestaciones eIDAS 2, en coordinación con su asesor legal.

Escenario 3 — Un grupo hospitalario anticipando cumplimiento para actos médicos digitales

Un grupo hospitalario de aproximadamente 900 camas distribuidas en tres emplazamientos debe gestionar la firma electrónica de documentos médicos sensibles : consentimientos informados, prescripciones, informes operatorios y contratos con proveedores de servicios médicos. La regulación francesa requiere firma cualificada para ciertos actos médicos de fuerte alcance jurídico.

En la perspectiva del calendario eIDAS 2, el grupo anticipa la llegada de atestaciones de atributos cualificados para cualificaciones profesionales sanitarias (número RPPS, especialidad, establecimiento de ejercicio), que permitirán :

• Automatizar la verificación de la calidad del firmante (médico, cirujano, farmacéutico) sin verificación manual en los registros profesionales
• Reducir los riesgos de error de atribución de firma durante sustituciones y guardias
• Facilitar la portabilidad de historiales médicos digitales entre establecimientos, en el marco del espacio europeo de datos sanitarios (EHDS)

El grupo estima que la integración de flujos de Cartera EUDI en su sistema de información hospitalaria (SIH) representa un proyecto de 12 a 18 meses, justificando un lanzamiento de estudios técnicos desde el T3 2026 para puesta en producción antes de la obligación de aceptación sectorial.

Conclusión

El calendario de implementación del Reglamento eIDAS 2 en la Unión Europea ya está claramente delimitado : actos de ejecución en vías de finalización en 2026, implementación de Carteras EUDI nacionales entre mediados de 2026 y fin de 2026, y obligaciones de aceptación para el sector privado a partir del primer semestre de 2027. Esta hoja de ruta deja una ventana de acción concreta para las empresas francesas y europeas, siempre que inicien desde ahora el análisis de cumplimiento, la evaluación de proveedores y la actualización de procesos contractuales.

Esperar hasta 2027 para conformarse significa correr el riesgo de una transición en urgencia, con los costos y riesgos jurídicos que esto implica. Certyneo, diseñado nativamente para los requisitos de eIDAS e con roadmap activa hacia eIDAS 2, te acompaña desde hoy en esta transición. Comienza gratis en Certyneo y asegura tus flujos documentales en cumplimiento del marco europeo de confianza digital.