eIDAS 2 vs eIDAS 1: cambios clave para las PyMES

Introducción: por qué eIDAS 2 cambia las reglas para las PyMES

Desde el 20 de mayo de 2024, el reglamento (UE) 2024/1183 — comúnmente llamado eIDAS 2 — ha entrado en vigor, derogando y reemplazando progresivamente el reglamento (UE) n° 910/2014 (eIDAS 1). Para las PyMES francesas, este cambio no es una simple actualización administrativa: redefine los niveles de confianza digital, introduce una cartera de identidad europea (EUDIW), refuerza los requisitos aplicables a los proveedores de servicios de confianza y amplía el alcance de los servicios reconocidos. Este artículo compara punto por punto eIDAS 1 y eIDAS 2, identifica los impactos operativos concretos para las pequeñas y medianas empresas, y le proporciona un plan de acción para permanecer conforme en 2026.

---

1. Recordatorio: qué planteaba eIDAS 1 (2014-2024)

1.1 Los fundamentos del reglamento inicial

Adoptado en julio de 2014 y aplicable desde septiembre de 2016, eIDAS 1 sentó los primeros pilares de un espacio de confianza digital europeo. Introdujo tres grandes categorías de firma electrónica — simple (SES), avanzada (AdES) y cualificada (QES) — y creó la lista de confianza de los proveedores cualificados (Trusted List), consultable en el portal de la Comisión Europea.

Para las PyMES, el aporte principal de eIDAS 1 era el reconocimiento transfronterizo de las firmas cualificadas: un contrato firmado con una QES francesa era jurídicamente reconocido en Alemania, España o Italia sin apostilla ni trámite adicional. Este principio — denominado de «no discriminación» — seguía siendo la base sobre la cual soluciones SaaS como Certyneo han construido sus servicios.

1.2 Las limitaciones identificadas

A pesar de sus avances, eIDAS 1 sufría de varias carencias documentadas por la Comisión Europea en su informe de evaluación de 2021:

• Fragmentación de los esquemas de identidad: solo los Estados miembros que notificaran su esquema nacional (como FranceConnect+ nivel sustancial) se beneficiaban del reconocimiento mutuo. En 2023, solo 14 de los 27 Estados habían notificado un esquema conforme.
• Ausencia de apoyo móvil nativo: el dispositivo cualificado de creación de firma (QSCD) a menudo requería una tarjeta inteligente o un token de hardware, frenando la adopción móvil.
• Servicios de confianza limitados: eIDAS 1 listaba nueve tipos de servicios cualificados; los nuevos usos (archivo electrónico cualificado, gestión de atributos) no estaban regulados.
• Ausencia de cartera de identidad unificada: cada ciudadano o empresa gestionaba sus identificadores de manera aislada, sin interoperabilidad garantizada.

Estas limitaciones llevaron a la Comisión a lanzar la revisión a partir de 2020, resultando en el reglamento eIDAS 2 tras tres años de trilogía.

---

2. Las cinco grandes novedades de eIDAS 2 para las PyMES

2.1 La cartera de identidad digital europea (EU Digital Identity Wallet — EUDIW)

Esta es la novedad más visible del reglamento. Antes del mes de noviembre de 2026 (plazo de transposición establecido por el artículo 5a), cada Estado miembro deberá ofrecer al menos una cartera de identidad digital certificada a sus ciudadanos y residentes. Para las PyMES, esta evolución tiene dos consecuencias directas:

1. Autenticación simplificada de clientes y socios: la cartera permitirá compartir atributos verificados (edad, número de IVA intracomunitario, extracto del registro mercantil, datos bancarios certificados) sin fricción. Un acuerdo marco con un socio alemán podrá firmarse después de la verificación instantánea de sus atributos profesionales desde su EUDIW.
2. Obligación de aceptación para ciertos sectores: los servicios en línea de grandes plataformas (artículo 45bis) y ciertos servicios públicos deberán aceptar el EUDIW como medio de autenticación. Las PyMES que suministren portales B2B deberán adaptar sus API de autenticación.

2.2 Extensión de la lista de servicios de confianza cualificados

eIDAS 2 extiende el catálogo de servicios de confianza cualificados de 9 a 14 categorías. Las nuevas entradas que afectan directamente a las PyMES son:

• El archivo electrónico cualificado (art. 45septies): conservación a largo plazo con valor probatorio reforzado. Hasta ahora, el archivo con valor probatorio se basaba en referencias nacionales (en Francia, el referencial SIAF/ANSSI); eIDAS 2 armoniza el marco europeo.
• La gestión remota de dispositivos cualificados de creación de firma (RQSCD): ahora explícitamente regulada, resuelve las ambigüedades que pesaban sobre las soluciones en la nube de firma cualificada. Para una PyME de 50 empleados, esto significa acceder a una firma cualificada sin token físico, desde cualquier dispositivo.
• El servicio de registro electrónico cualificado: los registros basados en blockchain o tecnologías de libro mayor distribuido pueden ahora obtener el estado cualificado, abriendo el camino a nuevos modelos de gestión contractual.

Para profundizar en los niveles de firma y su valor legal, consulte nuestro guía completo de firma electrónica.

2.3 Refuerzo de los requisitos de seguridad para los proveedores cualificados (QTSP)

eIDAS 2 endurece las obligaciones de los proveedores de servicios de confianza cualificados (QTSP). El artículo 24 revisado impone en particular:

• Una certificación de ciberseguridad conforme al marco europeo (EU Cybersecurity Act, reglamento 2019/881), con esquemas sectoriales en desarrollo por la ENISA.
• Requisitos reforzados en materia de resiliencia operacional: los QTSP deben documentar ahora su plan de continuidad de negocio y presentarlo a su organismo de supervisión nacional (en Francia, la ANSSI para los proveedores cualificados).
• Una obligación de notificación de incidentes de seguridad en 24 horas (alineación con NIS 2).

Para las PyMES usuarias, esto se traduce en una obligación de debida diligencia aumentada en la elección del proveedor: verificar que su solución de firma figure en la Trusted List europea actualizada es ahora un paso crítico de su proceso de compra. Nuestro comparativo de soluciones de firma electrónica puede ayudarle en este análisis.

2.4 Interoperabilidad obligatoria de los esquemas de identidad

Donde eIDAS 1 dejaba a los Estados miembros la libertad de notificar (o no) su esquema, eIDAS 2 hace obligatoria la notificación e interoperabilidad para los esquemas de identidad utilizados en los servicios públicos en línea (art. 5). France Identité — el esquema nacional llevado por el ministerio del Interior — está en proceso de adaptación a las especificaciones técnicas de la EUDIW, publicadas por la Comisión en el reglamento de ejecución (UE) 2024/2977.

Para una PyME que interactúa regularmente con administraciones públicas (compras públicas, declaraciones telemáticas fiscales, procedimientos aduanales), esta evolución significa que los trámites en línea se unificarán progresivamente en torno a un identificador digital único y reconocido en toda la UE.

2.5 Nuevas reglas de responsabilidad y supervisión

eIDAS 2 precisa y amplía los regímenes de responsabilidad de los proveedores (art. 13 revisado). Un QTSP es ahora presumiblemente responsable de cualquier daño causado a una persona física o jurídica por un incumplimiento de sus obligaciones, salvo que demuestre la ausencia de culpa. Esta presunción de responsabilidad, reforzada respecto a eIDAS 1, debe incitar a las PyMES a:

• Formalizar por contrato los compromisos de su proveedor (SLA, garantías de disponibilidad, indemnización).
• Verificar la cobertura de seguro de responsabilidad civil profesional del QTSP.
• Conservar las pruebas de auditoría de las transacciones firmadas (registros de marca de tiempo, informes de verificación de firma).

Nuestros equipos han redactado una guía detallada sobre firma electrónica en la empresa que aborda estos aspectos contractuales.

---

3. Tabla comparativa eIDAS 1 vs eIDAS 2: qué cambia concretamente

3.1 Síntesis de las evoluciones principales

| Criterio | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Cartera identidad | Ausente | EUDIW obligatoria (Estados miembros) | | Servicios cualificados | 9 categorías | 14 categorías (archivo, RQSCD, registros…) | | Notificación esquemas | Facultativa | Obligatoria para servicios públicos | | Seguridad QTSP | Criterios Common Criteria | Cybersecurity Act + esquemas ENISA | | Responsabilidad QTSP | Parcial | Presunción de responsabilidad reforzada | | Plazo notificación incidente | No especificado | 24 horas (alineación NIS 2) | | QSCD móvil | Ambigüedad jurídica | RQSCD explícitamente regulado |

3.2 Los plazos clave a recordar para 2026

• Mayo 2024: entrada en vigor del reglamento (UE) 2024/1183.
• Noviembre 2026: fecha límite para que cada Estado miembro ofrezca al menos una solución EUDIW certificada.
• 2027: obligación para grandes plataformas (art. 45bis) de aceptar EUDIW como medio de autenticación.
• 2028: revisión prevista de los actos de ejecución técnicos (reglamentos delegados sobre especificaciones EUDIW).

Si su PyME planea migrar hacia una solución más conforme, nuestro oferta de migración a Certyneo incluye una auditoría de conformidad eIDAS 2 gratuita.

---

4. Plan de acción práctico para poner su PyME en conformidad eIDAS 2

4.1 Auditar sus flujos documentales existentes

Comience cartografiando todos los procesos en los cuales utiliza actualmente firma electrónica o identidad digital: contratos con proveedores, nóminas desmaterializadas, mandatos SEPA, acuerdos de confidencialidad, actos de RRHH. Para cada flujo, identifique:

• El nivel de firma utilizado (SES, AdES, QES).
• El proveedor actual y su estado en la Trusted List.
• El nivel de riesgo jurídico en caso de contestación.

Esta auditoría es el punto de partida recomendado por la ANSSI en su guía de puesta en conformidad publicada en marzo de 2025.

4.2 Actualizar su solución de firma

Si su proveedor actual no figura en la Trusted List eIDAS 2 o no ofrece aún el RQSCD, es momento de comparar las ofertas del mercado. Certyneo es un QTSP certificado que soporta los tres niveles de firma (SES, AdES, QES) e integra nativamente los nuevos requisitos eIDAS 2, en particular el archivo cualificado y la gestión remota de dispositivos.

4.3 Formar sus equipos y actualizar sus contratos

eIDAS 2 refuerza el valor probatorio de las firmas cualificadas pero también impone buenas prácticas documentales. Asegúrese de que sus equipos jurídicos y administrativos:

• Sepan distinguir los tres niveles de firma y su valor legal respectivo.
• Integren en los contratos con proveedores una cláusula de auditoría de conformidad eIDAS.
• Conserven las pruebas de verificación de firma (informe de validación, marca de tiempo cualificada) durante el plazo legal de conservación aplicable (3 a 10 años según la naturaleza del acto).

Para estructurar este enfoque, nuestro calculador ROI firma electrónica le permitirá cuantificar los beneficios operativos relacionados con la actualización.

Marco legal aplicable

Textos de referencia

La puesta en conformidad eIDAS 2 para una PyME francesa se inscribe en una acumulación normativa que es esencial dominar.

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (denominado «eIDAS 2»): es el texto fundador, publicado en la DOUE el 30 de abril de 2024. Deroga y reemplaza el reglamento (UE) n° 910/2014 según un calendario de despliegue progresivo hasta 2027. Tiene aplicación directa en todos los Estados miembros, sin requerir transposición legislativa nacional para sus disposiciones principales.

Reglamento (UE) n° 910/2014 (eIDAS 1): algunas de sus disposiciones siguen siendo aplicables durante los períodos transitorios previstos por eIDAS 2, en particular para los proveedores cualificados que obtuvieron su calificación antes de mayo de 2024 y disponen de plazo para recertificarse.

Código Civil francés, artículos 1366 y 1367: el artículo 1366 sienta el principio de equivalencia entre el escrito electrónico y el escrito en papel, bajo la condición de que «la persona de la cual emana pueda ser debidamente identificada y que esté establecido y conservado en condiciones que garanticen su integridad». El artículo 1367 reconoce la firma electrónica como modo de prueba, remitiendo a las condiciones establecidas por decreto en Consejo de Estado (decreto n° 2017-1416 de 28 de septiembre de 2017, codificado en los artículos R. 1369-1 a R. 1369-10 del Código Civil).

Reglamento (UE) 2016/679 (RGPD): el despliegue de la EUDIW y el tratamiento de atributos de identidad en los flujos de firma electrónica constituyen tratamientos de datos personales al sentido del RGPD. Las PyMES deben asegurarse de que su QTSP actúa como encargado de tratamiento al sentido del artículo 28 RGPD, con un DPA (Acuerdo de Procesamiento de Datos) conforme. La CNIL publicó en enero de 2026 una recomendación específica sobre integración EUDIW-RGPD.

Directiva (UE) 2022/2555 (NIS 2): eIDAS 2 se alinea explícitamente con NIS 2 para las obligaciones de notificación de incidentes (art. 24, §2 eIDAS 2 remitiendo a las disposiciones NIS 2). Los QTSP se consideran entidades «esenciales» o «importantes» al sentido de NIS 2 según su tamaño, y están sometidos como tales a auditorías de seguridad periódicas.

Normas ETSI: las firmas electrónicas cualificadas deben cumplir las normas ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) y ETSI EN 319 102-1 (procedimiento de validación). La norma ETSI TS 119 461 regula la verificación de identidad remota (IDV), particularmente relevante para RQSCD.

Riesgos jurídicos en caso de incumplimiento

Utilizar una solución de firma electrónica no conforme a eIDAS 2 expone la PyME a varios riesgos:

• Inadmisibilidad en justicia: un juez puede rechazar una firma electrónica cuyo nivel no corresponda al acto firmado (por ej.: firma simple para un acto que requiere nivel avanzado o cualificado).
• Responsabilidad contractual: si un contrato es cuestionado por un socio por razón de nulidad de la firma, la PyME puede estar expuesta a demandas de indemnización.
• Sanciones RGPD: en caso de violación de datos relacionada con defecto de seguridad del proveedor, la PyME, corresponsable o responsable del tratamiento, puede ser sancionada por la CNIL hasta 4% de la facturación mundial anual (art. 83 §4 RGPD).

Escenarios de uso concretos

Escenario 1: una PyME industrial de 80 empleados gestión 400 contratos con proveedores por año

Una PyME del sector metalúrgico que trata aproximadamente 400 contratos con proveedores anuales utilizaba hasta 2024 una solución de firma electrónica simple (SES) para el conjunto de sus compromisos, incluyendo contratos marco superiores a 50 000 €. Tras una auditoría de conformidad eIDAS 2, constató que 35% de sus contratos requerían firma avanzada o cualificada para resistir una contestación judicial, en particular con proveedores establecidos en otros Estados miembros de la UE.

Al migrar a una solución combinando firma avanzada (AdES) para contratos corrientes y cualificada (QES) para contratos marco, e integrando archivo electrónico cualificado (nuevo servicio eIDAS 2), esta PyME redujo en 70% el tiempo dedicado a gestión documentaria post-firma (clasificación, búsqueda, envío de copias certificadas) y llevó a cero los litigios relacionados con contestación de firma en los 18 meses siguientes, comparado con dos incidentes en los 18 meses precedentes.

Escenario 2: un despacho de asesoría jurídica de 15 colaboradores

Un despacho especializado en derecho de sociedades, emitiendo en promedio 1 200 actos firmados por año (cartas de encargo, mandatos, acuerdos de confidencialidad), enfrentaba demanda creciente de sus clientes corporativos por firmas cualificadas reconocibles en toda la UE. Bajo eIDAS 1, la obtención de un certificado cualificado requerería un procedimiento cara a cara o verificación por video extensa (45 a 90 minutos por usuario).

Gracias al RQSCD (Dispositivo Remoto Cualificado de Creación de Firma) regulado por eIDAS 2, el despacho pudo desplegar firma cualificada para todos sus colaboradores en menos de dos semanas, mediante un procedimiento de enrolamiento 100% remoto conforme a la norma ETSI TS 119 461. La tasa de adopción interna pasó de 40% a 95% en tres meses, y el plazo promedio de retorno de actos firmados se redujo de 4,2 días a menos de 6 horas según mediciones internas del despacho.

Escenario 3: una PyME de comercio electrónico operando en tres países de la UE

Una empresa de venta en línea empleando 35 personas y operando en Francia, Bélgica y Países Bajos debía gestionar tres tipos de acuerdos electrónicos: contratos de empleo para sus empleados locales, acuerdos de asociación con transportistas, y mandatos SEPA para sus clientes profesionales. La fragmentación de requisitos nacionales bajo eIDAS 1 la obligaba a mantener tres flujos de firma distintos, con costos de gestión estimados en aproximadamente 12 000 € por año.

La adopción de una solución única conforme a eIDAS 2 — integrando reconocimiento mutuo de firmas cualificadas en los tres países — permitió unificar los flujos, reducir el costo de gestión a aproximadamente 4 500 € por año (ahorro de 62%) y eliminar los retrasos relacionados con validación manual de firmas extranjeras por el servicio jurídico.

Conclusión

eIDAS 2 no es una simple revisión cosmética del marco reglamentario: rediseña profundamente las reglas del juego de la confianza digital en Europa. Para las PyMES francesas, las cinco evoluciones principales — cartera EUDIW, extensión de servicios cualificados, RQSCD, interoperabilidad obligatoria y responsabilidad reforzada — representan tanto una restricción de conformidad como una oportunidad de acelerar su transformación documentaria.

Las PyMES que anticipan hoy estos cambios se beneficiarán de una ventaja competitiva real: contratos reconocidos en toda la UE sin fricción, archivo con valor probatorio integrado, y procesos de firma completamente desmaterializados y seguros.

Certyneo está diseñado para acompañar esta transición. Inicie su prueba gratuita en certyneo.com y benefíciese de una auditoría de conformidad eIDAS 2 gratuita para sus flujos documentarios existentes.