Certificación eIDAS 2 para prestatarios de firma 2026

Por qué la certificación eIDAS 2 cambia la partida para los prestadores

Desde la entrada en vigor del Reglamento (UE) 2024/1183 del 11 de abril de 2024 —comúnmente llamado eIDAS 2— los prestadores de servicios de confianza (PSC) que operan en la Unión Europea se enfrentan a un marco regulatorio profundamente remodelado. La revisión del Reglamento eIDAS original de 2014 no se limita a ampliar el perímetro de los servicios reconocidos: endurece significativamente las condiciones de acreditación, introduce nuevos niveles de garantía y refuerza los requisitos de supervisión de los organismos de control nacionales. Para cualquier actor que desee ofrecer servicios de firma electrónica cualificada (QES) o avanzada (AdES) en el mercado europeo, entender cómo obtener una certificación eIDAS 2 para prestador de firma ya no es una opción —es una obligación estratégica.

Este artículo proporciona un panorama exhaustivo del proceso de certificación: textos aplicables, normas técnicas a respetar, rol de los organismos de evaluación de la conformidad (CAB), plazos realistas y puntos de atención operacionales.

---

El nuevo panorama regulatorio eIDAS 2: qué ha cambiado

Del Reglamento 910/2014 al Reglamento 2024/1183: las evoluciones principales

El Reglamento eIDAS original (n° 910/2014) había sentado las bases de un mercado único digital de confianza en Europa. Definía tres niveles de firma —simple, avanzada y cualificada— e imponía a los prestadores cualificados figurar en las listas de confianza nacionales (TSL, Trust Service Lists). eIDAS 2 conserva esta arquitectura pero la enriquece en varios puntos estructurantes:

• Ampliación de servicios cualificados: archivo electrónico cualificado, atestaciones electrónicas de atributos (AEA), gestión a distancia de dispositivos de creación de firma cualificada (QSCD). Estos nuevos servicios ahora están sujetos al mismo procedimiento de acreditación que la firma cualificada.
• La cartera europea de identidad digital (EUDIW): los prestadores que deseen interactuar con la futura cartera de identidad deben demostrar su conformidad con especificaciones técnicas publicadas por la Comisión (ARF — Architecture and Reference Framework, v1.4, 2024).
• Refuerzo de la supervisión: las autoridades de supervisión nacionales (en Francia, la ANSSI) tienen poderes de investigación e imposición reforzados. Los PSC cualificados pueden ser objeto de auditorías no anunciadas.
• Plazos de notificación reducidos: todo incidente de seguridad significativo debe notificarse a la autoridad competente en 24 horas (frente a 72 horas en la versión anterior para ciertos incidentes).

Para una visión general del Reglamento, la guía eIDAS 2.0 de Certyneo ofrece una síntesis pedagógica de todas estas evoluciones.

Los niveles de garantía y sus implicaciones para la certificación

La distinción entre firma electrónica avanzada y cualificada sigue siendo el eje del sistema. Solo la QES goza de una presunción legal de integridad e imputabilidad equivalente a la firma manuscrita (art. 25 del Reglamento eIDAS 2). Esta presunción está directamente condicionada a la certificación del prestador.

| Nivel | Valor probatorio | Requisito prestador | |---|---|---| | Simple (SES) | Limitado | Ninguno | | Avanzada (AdES) | Significativo | Buenas prácticas + normas ETSI | | Cualificada (QES) | Máximo (presunción legal) | Certificación eIDAS 2 obligatoria |

---

El proceso de certificación eIDAS 2 paso a paso

Paso 1 — Requisitos organizacionales y técnicos previos

Antes de formalizar el proceso de certificación, un prestador debe auditar su nivel de madurez en tres ejes:

1. Conformidad con normas ETSI Las normas de la serie EN 319 constituyen el fundamento técnico imprescindible. Las principales son:

• ETSI EN 319 401: requisitos generales para prestadores de servicios de confianza
• ETSI EN 319 411-1 y 411-2: políticas y requisitos para autoridades de certificación que emiten certificados (perfiles PTC-QC para certificaciones cualificadas)
• ETSI EN 319 421: política y requisitos para prestadores de servicios de sellado de tiempo
• ETSI EN 319 132: formatos de firma XAdES (XML), y la serie asociada CAdES (CMS) y PAdES (PDF)

La conformidad con estas normas no es facultativa para prestadores cualificados: está explícitamente requerida por los actos de ejecución de la Comisión Europea.

2. Seguridad de sistemas de información Los QSCD (dispositivos de creación de firma cualificada) deben estar certificados según Common Criteria (CC) EAL4+ o equivalente. Para soluciones de firma a distancia —modelo dominante en SaaS— los requisitos también recaen sobre módulos HSM (Hardware Security Module) y procedimientos de gestión de claves criptográficas (conformidad FIPS 140-2 nivel 3 mínimo).

3. Política de seguridad (PSSI) y gestión de riesgos El expediente de certificación exige una PSSI formalizada, alineada con ISO/IEC 27001 (cuya certificación es ampliamente recomendada y a veces exigida por los CAB) e integrando requisitos NIS2 para entidades calificadas como "importantes" o "esenciales".

Paso 2 — Elección y compromiso de un organismo de evaluación de la conformidad (CAB)

En Francia, los CAB acreditados por el COFRAC (Comité Francés de Acreditación) para evaluar prestadores de servicios de confianza son escasos. A modo de ejemplo, LSTI (Laboratoire de Sécurité des Technologies de l'Information) y Bureau Veritas Certification figuran entre los actores referenciados. A escala europea, cada Estado miembro publica la lista de sus CAB notificados.

El rol del CAB es conducir una auditoría de conformidad en dos fases:

1. Revisión documental (Fase 1): examen de políticas, procedimientos, Declaración de Prácticas de Certificación (DPC / CPS) y pruebas técnicas.
2. Auditoría en sitio (Fase 2): verificación de controles operacionales, pruebas de penetración, entrevistas con equipos.

La duración total de una auditoría CAB varía generalmente de 4 a 8 semanas según la madurez previa del candidato.

Paso 3 — Instrucción por la autoridad de supervisión nacional

En Francia, es la ANSSI (Agencia Nacional de Seguridad de Sistemas de Información) quien instruye las solicitudes de inscripción en la lista de confianza nacional (TSL FR). Sobre la base del informe de auditoría CAB, la ANSSI realiza su propio análisis y puede solicitar información complementaria o medidas correctivas.

El plazo reglamentario de instrucción es de 3 meses a partir de la recepción de un expediente completo (art. 17 del Reglamento eIDAS 2). En la práctica, los plazos efectivos suelen ser más largos si el expediente inicial es incompleto.

Una vez inscrito en la TSL nacional, el prestador se referencia automáticamente en la EUTL (EU Trusted List), publicada por la Comisión Europea, lo que le confiere reconocimiento transfronterizo inmediato en los 27 Estados miembros.

Paso 4 — Mantenimiento de la calificación y renovación

La certificación eIDAS 2 no es definitiva. Los prestadores cualificados están sujetos a:

• Una auditoría de vigilancia anual conducida por el CAB
• Una auditoría de renovación completa cada 24 meses (ciclo acortado respecto de la práctica anterior)
• Controles inopinados posibles por iniciativa de la ANSSI

Cualquier modificación sustancial de la infraestructura (cambio de HSM, evolución de la PKI, nuevo servicio cualificado) desencadena un procedimiento de notificación previa y puede imponer una auditoría parcial.

---

Costos, plazos y factores de riesgo: lo que los DSI deben anticipar

Presupuesto y recursos humanos

El costo de una primera certificación eIDAS 2 es significativo. Las partidas de gastos comprenden:

• Auditoría CAB: entre 40 000 € y 120 000 € según la complejidad del perímetro
• Conformidad técnica (HSM, PKI, QSCD certificados CC): de 80 000 € a varios cientos de miles de euros para una infraestructura propia
• Certificación ISO 27001 (recomendada como paso previo): 15 000 a 50 000 € según el tamaño
• Honorarios de asesoría legal y redacción DPC: 10 000 a 30 000 €
• Costos internos: movilización de equipo dedicado (RSSI, DPO, responsable de conformidad) durante 12 a 18 meses

Sumando todos estos conceptos, una certificación completa representa una inversión global del orden de 200 000 a 500 000 € para un prestador de tamaño intermedio, sin incluir costos recurrentes de mantenimiento.

Factores de riesgo operacionales

Las causas más frecuentes de fracaso o retraso en procedimientos de certificación son:

1. Una DPC insuficientemente detallada: la Declaración de Prácticas de Certificación debe documentar cada control con una granularidad a menudo subestimada.
2. Lagunas en la gestión del ciclo de vida de claves: revocación, archivo, destrucción de claves privadas.
3. Gobernanza de incidentes insuficiente: ausencia de SIEM, procedimientos de gestión de crisis probadas, runbooks.
4. Subestimación de NIS2: desde octubre de 2024, los PSC cualificados se clasifican automáticamente como entidades "importantes" según la directiva NIS2, con obligaciones adicionales de notificación y gestión de riesgos.

Para empresas que deseen delegar estas restricciones a un prestador ya certificado en lugar de construir su propia infraestructura, el comparativo de soluciones de firma electrónica disponible en Certyneo ayuda a objetivar esta decisión de build-vs-buy.

---

eIDAS 2 y firma electrónica en empresa: desafíos de transición

Para empresas usuarias —en oposición a prestadores— la certificación eIDAS 2 de su proveedor SaaS de firma es ahora un criterio de selección imprescindible. Integrar en convocatorias de licitación una cláusula que exija presencia en la TSL nacional se ha convertido en práctica estándar en sectores regulados (finanzas, salud, inmuebles).

La firma electrónica en empresa requiere en efecto distinguir claramente casos de uso que necesitan QES —actos bajo firma privada de alto riesgo, mandatos, actos notariales electrónicos— de aquellos donde AdES es suficiente. Este mapeo de usos condiciona directamente el nivel de servicio contractualmente exigible al prestador.

Las organizaciones que migran desde una solución existente a un prestador certificado eIDAS 2 también deben anticipar portabilidad de archivos de pruebas. La guía sobre migración desde DocuSign o YouSign a Certyneo detalla buenas prácticas para preservar el valor probatorio de documentos ya firmados durante la transición.

Marco legal aplicable a la certificación eIDAS 2

Textos fundadores

La certificación de prestadores de servicios de confianza se basa en un apilamiento normativo denso que conviene dominar en su totalidad:

Reglamento (UE) 2024/1183 del 11 de abril de 2024 (eIDAS 2): texto de referencia que deroga y sustituye disposiciones correspondientes del Reglamento 910/2014. Define condiciones de obtención y mantenimiento del estatus de prestador cualificado, obligaciones de supervisión nacional, y requisitos para nuevos servicios (EUDIW, AEA).

Reglamento (UE) n° 910/2014 (eIDAS 1): aún parcialmente aplicable para disposiciones no modificadas; actos de ejecución y delegados adoptados bajo este Reglamento permanecen vigentes hasta su revisión formal.

Código Civil francés, artículos 1366 y 1367: el artículo 1366 sienta el principio de equivalencia de firma electrónica a firma manuscrita bajo condición de fiabilidad; artículo 1367 precisa que la fiabilidad se presume hasta prueba contraria cuando se usa firma cualificada. Estas disposiciones nacionales se articulan directamente con la presunción legal del art. 25 eIDAS 2.

Directiva (UE) 2022/2555 (NIS2): transpuesta a derecho francés por ley del 15 de octubre de 2024, clasifica automáticamente prestadores de servicios de confianza cualificados entre entidades importantes. Obligaciones: notificación a ANSSI dentro de 72 horas para incidente significativo, gestión de riesgos cibernético formalizada, auditoría de seguridad periódica.

Reglamento (UE) 2016/679 (RGPD): prestadores de servicios de firma tratan datos personales sensibles (identidad de firmantes, registros de auditoría). Respeto de principios de minimización, limitación de retención e integridad impone análisis de impacto (AIPD) específica. Base legal del tratamiento debe estar documentada para cada servicio.

Normas técnicas con valor regulatorio

Los actos de ejecución de la Comisión Europea (en particular la Decisión de Ejecución (UE) 2015/1506 y sus revisiones) designan normas ETSI como presuntivas de conformidad:

• ETSI EN 319 401: requisitos generales TSP
• ETSI EN 319 411-1 y 411-2: políticas de certificación
• ETSI EN 319 421: sellado de tiempo cualificado
• ETSI EN 319 132 / 122 / 102: formatos AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: servicios de firma a distancia

Riesgos legales por incumplimiento

Uso fraudulento o negligente del estatus de prestador cualificado expone a sanciones administrativas pronunciadas por ANSSI (suspensión, retiro de lista de confianza) y persecuciones penales (art. 226-17 Código Penal por falta de seguridad datos personales). En plano civil, cuestionamiento de valor probatorio de firmas emitidas durante período de incumplimiento puede comprometer responsabilidad contractual del prestador hacia clientes.

Escenarios de uso: certificación eIDAS 2 en práctica

Escenario 1 — Un editor SaaS de tamaño intermedio buscando calificación QES

Una sociedad especializada en desmaterialización documental, empleando aproximadamente cien colaboradores y gestionando varios millones de transacciones de firma anuales para clientes en sectores banca y seguros, decide solicitar calificación eIDAS 2 para su servicio de firma electrónica. Hasta entonces, la empresa ofrecía firma avanzada basada en certificados (AdES), suficiente para mayoría de contratos clientes, pero insuficiente para actos exigiendo valor probatorio máximo (mandatos SEPA, convenciones de prueba notariales).

Tras auditoría interna de 3 meses revelando quince desviaciones mayores respecto requisitos ETSI EN 319 411-2, la empresa lanza programa de conformidad sobre 14 meses. Principales iniciativas afectan reemplazo de HSM existentes por módulos certificados FIPS 140-2 nivel 3, redacción DPC de 180 páginas, y obtención certificación ISO 27001 previa a auditoría CAB. Inversión total alcanza 340 000 €. Tras proceso, inscripción en TSL francesa permite a empresa acceder convocatorias de las que sistemáticamente estaba excluida, representando potencial comercial estimado en 20% ingresos adicionales.

Escenario 2 — Un agrupamiento hospitalario integrando firma cualificada para actos médico-legales

Un agrupamiento hospitalario de aproximadamente 1 200 camas desea desmaterializar procesos de consentimiento informado, delegación de poderes médicos y contratos de investigación clínica. Estos documentos corresponden a categoría actos para los cuales QES es exigida o ampliamente recomendada por referentes HAS y marco legal datos de salud (art. L. 1110-4 CSP).

En lugar de certificar infraestructura interna —opción juzgada demasiado costosa y fuera core de negocio— agrupamiento opta por integración prestador tercero ya inscrito en TSL. DSI realiza auditoría conformidad proveedor sobre base lista de verificación ETSI EN 319 401 y verifica presencia efectiva en EUTL antes contractualización. Despliegue, realizado en 4 meses, reduce 65% tiempo recogida firmas en dossiers investigación clínica y elimina riesgo contestación legal por uso anterior firmas simples para actos sensibles.

Escenario 3 — Un despacho de abogados especializados asegurando sus actos bajo firma privada

Un despacho de abogados especializados de treinta asociados aproximadamente, gestionando anualmente cerca de 400 operaciones fusión-adquisición y cesiones fondos comercio, busca fiabilizar firma de actos bajo firma privada complejos. Valor unitario transacciones tratadas frecuentemente supera millón euros, y cualquier vicio de forma puede comprometer responsabilidad profesional despacho.

Tras análisis, equipo IT y managing partner se ponen de acuerdo en requisito contractual mínimo QES emitida por prestador certificado eIDAS 2 para todo acto cuyo valor supere 100 000 €. Criterio selección prestador integra obligatoriamente verificación inscripción en TSL nacional y disponibilidad certificado conformidad ETSI reciente (menos 12 meses). Este marco permite despacho reducir más 80% solicitudes contra-pericia sobre validez firmas ante litigios ulteriores, según retornos observados en estructuras comparables en sector.

Conclusión

Obtener certificación eIDAS 2 como prestador servicios firma electrónica es proceso exigente, costoso y largo —pero imprescindible para cualquier actor buscando ofrecer garantías legales máximas a clientes en mercado europeo. Entre conformidad normas ETSI, paso auditoría CAB, instrucción por ANSSI y mantenimiento calificación en duración, iniciativa moviliza recursos sustanciales sobre 12 a 24 meses.

Para empresas usuarias, buena noticia es que no es necesario construir esta infraestructura internamente: elegir prestador SaaS ya certificado eIDAS 2 e inscrito en lista confianza nacional permite beneficiarse inmediatamente de presunción legal adjunta a QES, sin soportar costos certificación.

Certyneo es prestador confianza certificado, diseñado para empresas B2B que exigen rigor jurídico y simpleza uso. Descubre nuestros precios e inicia tu prueba gratuita hoy mismo.