eIDAS 2: el nuevo reglamento europeo explicado en 2026

Introducción: por qué eIDAS 2 lo cambia todo para las empresas europeas

Entrado en vigor el 20 de mayo de 2024 tras una larga gestación legislativa, el reglamento eIDAS 2 —oficialmente denominado Reglamento (UE) 2024/1183— representa la reforma más ambiciosa jamás emprendida en el ámbito de la identificación electrónica y los servicios de confianza en Europa. Deroga y reemplaza parcialmente el reglamento eIDAS inicial de 2014 (n°910/2014), manteniendo la compatibilidad ascendente con la infraestructura existente. Para las empresas que recurren a la firma electrónica conforme a eIDAS, esta refundición introduce nuevas obligaciones, oportunidades inéditas y un calendario de cumplimiento ajustado hasta 2026 y más allá. Este artículo descifra en profundidad las disposiciones clave del texto, sus implicaciones operacionales y la forma en que su organización puede prepararse.

---

Lo que el reglamento eIDAS 2 modifica fundamentalmente

Del reglamento de 2014 a la versión 2024: una refundición estructural

El reglamento eIDAS original de 2014 había sentado las bases para el reconocimiento mutuo de esquemas de identificación electrónica entre Estados miembros y establecido un marco jurídico unificado para los servicios de confianza (firma, sello, sellado de tiempo, etc.). Pero diez años después, las limitaciones eran evidentes: baja tasa de adopción de eID notificadas, fragmentación de las soluciones nacionales, ausencia de una cartera digital universal para los ciudadanos, y sobre todo inadaptación a los usos de la web (GAFAM excluidas del marco de confianza).

eIDAS 2 corrige estas carencias en tres ejes principales:

1. La cartera europea de identidad digital (EUDI Wallet) — cada Estado miembro debe ofrecer, a más tardar en noviembre de 2026, una aplicación de cartera digital que permita a todo ciudadano o residente europeo almacenar y presentar sus atributos de identidad (carné de identidad, permiso de conducir, diplomas, etc.) de forma segura.
2. La ampliación de los servicios de confianza cualificados — el texto añade nuevos servicios cualificados: gestión de archivo electrónico cualificado (QESAP), informes de atributos de identidad cualificados (QEAA), libros de contabilidad electrónica cualificados (QLED) y gestión de dispositivos de creación de firma a distancia (QRCD).
3. La obligación para las grandes plataformas — los proveedores de servicios en línea de gran escala (redes sociales, mercados electrónicos) deberán aceptar la cartera EUDI para la autenticación de usuarios.

La cartera EUDI Wallet: arquitectura y funcionamiento

El EUDI Wallet es el corazón de eIDAS 2. En concreto, se trata de una aplicación de software —entregada o certificada por cada Estado miembro— que se basa en un modelo descentralizado de presentación selectiva de atributos. El usuario solo transmite los datos estrictamente necesarios para la transacción (principio de minimización, conforme al RGPD).

Desde el punto de vista técnico, la arquitectura se basa en las especificaciones del Architecture Reference Framework (ARF), publicado por la Comisión Europea y actualizado regularmente por el Large Scale Pilot (LSP) que agrupa cuatro consorcios piloto (DC4EU, EWC, POTENTIAL, NOBID). Los formatos de datos seleccionados son principalmente ISO/IEC 18013-5 (mDL/mDocs) e W3C Verifiable Credentials, garantizando la interoperabilidad transfronteriza.

Para las empresas, esto significa que podrán, a largo plazo, verificar la identidad de sus clientes o socios a través de la cartera sin gestionar ellas mismas la recopilación de documentos justificativos —reduciendo así considerablemente las fricciones en KYC (Conocer a tu Cliente) y los riesgos de fraude documental.

---

Los niveles de garantía y la jerarquía de firmas: qué cambia

Mantenimiento de la jerarquía QES / AdES / SES

El régimen de firmas electrónicas sigue estructurado en torno a tres niveles definidos en el artículo 3 de eIDAS 2 (retomando la terminología de 2014 pero precisando los requisitos técnicos):

• Firma electrónica simple (SES): valor probatorio mínimo, adaptado a actos corrientes.
• Firma electrónica avanzada (AdES): vínculo exclusivo con el firmante, posibilidad de detectar cualquier modificación posterior.
• Firma electrónica cualificada (QES): equivalente legal de la firma manuscrita en toda la UE (artículo 25§2), emitida a través de un dispositivo cualificado de creación de firma (QSCD) sobre la base de un certificado cualificado.

La novedad radica en la forma en que la QES puede ser ahora entregada a través de servicios de firma a distancia cualificados (QRCD), cuyas condiciones de aprobación se detallan en los artículos 29a y 29b del texto revisado. Esto abre el camino a flujos 100% digitales para los actos más exigentes —contratos notariales, actos auténticos electrónicos— sin necesidad de una tarjeta inteligente física.

El impacto en los proveedores de servicios de confianza cualificados (QTSP)

Los proveedores como Certyneo, que operan apoyándose en QTSP certificados, deben anticipar los nuevos requisitos de auditoría introducidos por eIDAS 2. El artículo 24 impone ahora controles reforzados sobre la cadena de subcontratación, y los requisitos de notificación de incidentes de seguridad se alinean explícitamente con los de la directiva NIS2 (plazo de 24 horas para la notificación inicial). Para profundizar en el funcionamiento de los diferentes niveles de firma en un contexto B2B, consulte nuestra guía completa sobre firma electrónica en empresas.

---

Calendario de despliegue y obligaciones para las empresas en 2025-2026

Las etapas clave del despliegue

El reglamento (UE) 2024/1183 fue publicado en el Diario Oficial de la UE el 30 de abril de 2024 y entró en vigor el 20 de mayo de 2024. Los actos de ejecución y delegados —esenciales para precisar los requisitos técnicos— se publican progresivamente:

| Fecha | Obligación | |---|---| | Mayo de 2024 | Entrada en vigor del reglamento | | Finales de 2024 | Publicación de actos de ejecución sobre ARF v2.0 | | Mediados de 2025 | Certificación de los primeros EUDI Wallets piloto | | Noviembre de 2026 | Disponibilidad obligatoria de un EUDI Wallet en cada Estado miembro | | 2027 | Aceptación obligatoria por las grandes plataformas en línea |

Lo que las empresas B2B deben hacer desde ahora

Para las empresas usuarias de soluciones de firma electrónica, tres prioridades se imponen en 2025-2026:

1. Auditar su cadena de confianza: verificar que su proveedor de firma figure efectivamente en la lista de QTSP (Trusted List) de su Estado miembro, y que los certificados utilizados sean conformes a las nuevas especificaciones ETSI EN 319 401 y EN 319 411-1 revisadas.

2. Anticipar la integración del EUDI Wallet: las empresas que operan en sectores regulados (banca, seguros, sanidad, inmobiliario) serán entre las primeras afectadas por los flujos de verificación de identidad a través de cartera. Preparar las API de integración desde 2025 es recomendado.

3. Revisar sus políticas de conservación: el nuevo servicio cualificado de archivo electrónico (QESAP) introduce estándares de preservación a largo plazo que pueden imponerse en ciertos sectores (mercados públicos, sector farmacéutico). Nuestro calculador de ROI para firma electrónica le permite evaluar el impacto financiero de una actualización de su infraestructura documental.

---

Interoperabilidad, RGPD y desafíos de soberanía digital

eIDAS 2 y RGPD: complementariedad reforzada

Uno de los avances mayores de eIDAS 2 es la integración explícita de los principios de protección de datos desde el diseño (privacy by design) en la arquitectura de la cartera EUDI. El artículo 5a§14 dispone que la cartera no permite a los proveedores rastrear el comportamiento del usuario durante las transacciones. Los emisores de atributos de identidad cualificados (QEAA) no son informados del uso que se hace de los certificados emitidos —lo que constituye una ruptura importante con los modelos centralizados actuales.

Esta arquitectura se califica de unlinkability (no-correlabilidad): dos transacciones distintas realizadas por el mismo usuario no pueden vincularse sin su consentimiento. Esta garantía supera los requisitos mínimos del RGPD mientras se articula perfectamente con este.

La dimensión geopolítica: recuperar el control sobre la identidad en línea

eIDAS 2 también responde a un desafío de soberanía. Actualmente, la autenticación en línea se basa masivamente en los botones "Conectarse con Google/Facebook/Apple", lo que confiere a los gigantes tecnológicos estadounidenses una posición dominante en la gestión de identidades digitales europeas. Al imponer a las plataformas muy grandes (en el sentido de la Ley de Servicios Digitales) que acepten el EUDI Wallet como medio de autenticación, eIDAS 2 crea una alternativa interoperable y soberana.

Para las empresas B2B, esto significa también que el cumplimiento de eIDAS 2 puede convertirse en un criterio de selección de proveedores en las convocatorias de licitación públicas y privadas —de la forma en que hoy representa la certificación ISO 27001 en los procesos de compra. Si su organización contempla evolucionar su solución actual, nuestra guía de migración desde DocuSign o YouSign hacia Certyneo detalla los pasos de una transición controlada.

Marco legal aplicable a eIDAS 2 y a la firma electrónica

Textos de referencia

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo del 11 de abril de 2024, que modifica el reglamento (UE) n°910/2014 en relación con el establecimiento del marco europeo para una identidad digital (eIDAS 2). Publicado en el DOUE el 30 de abril de 2024, entró en vigor el 20 de mayo de 2024.

Reglamento (UE) n°910/2014 (eIDAS 1): se mantiene en vigor para sus disposiciones no modificadas, en particular los artículos relativos a los niveles de garantía "bajo", "sustancial" y "alto" para los esquemas de identificación notificados.

Código Civil francés, artículos 1366 y 1367: el escrito electrónico tiene la misma fuerza probatoria que el escrito en papel siempre que la persona de la cual emana esté debidamente identificada y que el documento sea establecido en condiciones que garanticen su integridad. La firma electrónica cualificada (QES) en el sentido de eIDAS 2 satisface estos requisitos de pleno derecho.

Reglamento (UE) 2016/679 (RGPD): el tratamiento de datos de identidad en el marco de la cartera EUDI está sometido a los principios de minimización (art. 5§1c), limitación de la finalidad (art. 5§1b) y protección de datos desde el diseño (art. 25). Los proveedores cualificados actúan como responsables de tratamiento distintos para las operaciones de verificación.

Directiva (UE) 2022/2555 (NIS2): transpuesta al derecho francés por la ordenanza n°2024-528 del 12 de junio de 2024, impone a los proveedores de servicios de confianza cualificados obligaciones de gestión de riesgos cibernéticos y notificación de incidentes en 24 horas.

Normas ETSI:

• EN 319 132 (XAdES) y EN 319 122 (CAdES): formatos avanzados de firma electrónica.
• EN 319 401: requisitos generales para los proveedores de servicios de confianza.
• EN 319 411-1 y 411-2: política y requisitos de seguridad para las CA que emiten certificados cualificados.
• EN 319 521: requisitos para los servicios cualificados de preservación de firmas (QESAP).

Obligaciones y riesgos jurídicos para las empresas

Toda empresa que utilice firmas electrónicas en un contexto contractual debe asegurarse de que el nivel de firma elegido sea adecuado al valor y la naturaleza del acto. Para los actos sometidos a un requisito legal de firma (promesas de venta, contratos de trabajo, pedidos que superen ciertos umbrales), solo la QES o la AdES basada en un certificado cualificado aporta la presunción de fiabilidad contemplada en el artículo 26 de eIDAS 2.

En caso de disputa, la carga de la prueba se invierte: si la firma es cualificada, corresponde a la parte que contesta el documento probar su alteración; si es simple o avanzada sin certificado cualificado, la carga de la prueba recae en el firmante que la invoca. El incumplimiento de los requisitos de trazabilidad e integridad puede provocar la nulidad del acto o la inoponibilidad de la firma a un tercero.

Escenarios de uso: eIDAS 2 aplicado a empresas B2B

Escenario 1 — Una consultoría de transformación digital (aproximadamente 80 consultores)

Una estructura de consultoría que despliega a sus colaboradores en clientes en varios Estados miembros (Francia, Alemania, Países Bajos) debe hacer firmar cada mes órdenes de misión, modificaciones contractuales y actas de recepción. Antes de eIDAS 2, la gestión de identidades transfronterizas generaba fricciones: rechazo de ciertos clientes alemanes a reconocer certificados emitidos por un QTSP francés, doble autenticación por correo electrónico insuficiente para actos sensibles.

Con el despliegue de la cartera EUDI en 2026, los consultores podrán firmar desde su cartera nacional —reconocida de pleno derecho en todos los Estados miembros— sin fricción alguna. La consultoría estima una reducción del 60 a 70% del tiempo dedicado a intercambios de verificación documental previa a la firma, es decir, aproximadamente 3 a 4 horas ahorradas por consultor y por mes según los puntos de referencia sectoriales publicados por McKinsey Digital (2024).

Escenario 2 — Una PYME industrial que gestiona 350 contratos de proveedores al año

Una PYME del sector de equipos industriales, que trabaja con aproximadamente cien proveedores europeos y asiáticos, debe formalizar pedidos, acuerdos de confidencialidad (NDA) y contratos marco. Hasta ahora, el 30% de estos documentos regresaban sin firma válida o con retrasos superiores a 10 días hábiles.

Al adoptar una solución de firma electrónica conforme a eIDAS 2 con verificación de identidad a través de atributos cualificados (QEAA), la PYME puede imponer un flujo de firma donde la identidad del representante legal del proveedor sea verificada automáticamente a través del portefeuille EUDI, sin entrada manual. Resultado esperado: reducción del plazo medio de firma de 10 días a menos de 48 horas, y disminución del 40% de litigios relacionados con firmas no conformes, sobre la base de márgenes observados en los informes ELENIUS 2025 sobre desmaterialización B2B.

Escenario 3 — Un grupo inmobiliario que gestiona compromisos de venta en varios países

Una red de agencias inmobiliarias que operan en Francia, España y Portugal debe hacer firmar regularmente pre-contratos entre vendedores y compradores de diferentes nacionalidades. La QES es requerida en ciertos contextos para garantizar la equivalencia con la firma manuscrita ante notario.

Gracias a eIDAS 2 y a la interoperabilidad de las carteras EUDI, un comprador portugués puede firmar un compromiso sometido a derecho francés utilizando su cartera nacional, con un nivel de garantía "elevado" reconocido automáticamente por la plataforma de firma. El grupo reduce sus gastos de desplazamiento y legalización en aproximadamente 800 a 1200 euros por expediente transfronterizo, mientras disminuye el plazo de conclusión de compromisos de 3 semanas a 5 días en promedio. Para usos específicos del sector, nuestra página dedicada a la firma electrónica en inmobiliario detalla los flujos de trabajo adaptados.

Conclusión

eIDAS 2 no es una simple actualización reglamentaria: es una refundición profunda de la forma en que la identidad digital y la confianza electrónica funcionan en Europa. El portefeuille EUDI Wallet, los nuevos servicios cualificados, la obligación de interoperabilidad y la alineación con NIS2 y el RGPD forman un ecosistema coherente que transformará los procesos contractuales y de autenticación de las empresas de aquí a finales de 2026.

Para mantenerse conformes y competitivas, las organizaciones B2B deben actuar desde ahora: auditar su cadena de confianza, elegir un proveedor alineado con los nuevos requisitos y preparar sus flujos documentales para la integración de la cartera digital europea.

Certyneo le acompaña en esta transición con soluciones de firma electrónica cualificada conformes a eIDAS 2, listas para 2026. Solicite una demostración o cree su cuenta en Certyneo para asegurar sus contratos desde hoy.