Transición eIDAS 1 a eIDAS 2: impactos en la firma en 2025

El 20 de mayo de 2024, el reglamento (UE) 2024/1183 —comúnmente llamado eIDAS 2— fue publicado en el Diario Oficial de la Unión Europea, derogando progresivamente el reglamento nº 910/2014 (eIDAS 1). Este texto representa la reforma más estructurante de la identidad digital y la firma electrónica en Europa desde 2016. Para las empresas francesas que utilizan soluciones de firma electrónica en sus flujos contractuales, la transición no es una formalidad: implica ajustes técnicos, jurídicos y organizacionales cuyo horizonte se extiende hasta 2026 y más allá. Comprender el paso de eIDAS 1 a eIDAS 2 y su impacto en la firma electrónica en 2025 se ha convertido en una prioridad para las direcciones jurídicas, CIOs y DRH. Este artículo descifra las evoluciones fundamentales del marco, el calendario preciso de la transición y las medidas concretas a tomar para mantenerse conforme.

Lo que el reglamento eIDAS 2 modifica fundamentalmente

Del reglamento de 2014 a la refundación de 2024: por qué era necesaria una revisión

EIDAS 1 había sentado las bases del reconocimiento mutuo de las firmas electrónicas dentro de la Unión. Tres niveles jerárquicos —simple (SES), avanzada (AdES) y calificada (QES)— estructuraban el valor probatorio de las firmas, respaldados por una lista de proveedores de confianza (TSL). Pero en diez años, aparecieron dos lagunas importantes.

Primero, el reglamento original se aplicaba esencialmente a las relaciones con las administraciones públicas (G2B, G2C). No creaba obligaciones directas en las transacciones privadas (B2B, B2C), dejando un vacío normativo que cada Estado miembro llenaba de manera heterogénea. Segundo, el auge de los servicios digitales —aplicaciones móviles, banca abierta, telemedicina— había revelado la ausencia de un sistema de identidad digital portátil e interoperable a nivel continental.

EIDAS 2 responde a estos dos desafíos introduciendo el monedero europeo de identidad digital (EU Digital Identity Wallet, EUDIW) y ampliando el perímetro de los servicios de confianza a nuevos casos de uso: archivo electrónico calificado, atestaciones de atributos calificados, registros electrónicos calificados (incluidas las aplicaciones blockchain certificadas).

Las nuevas categorías de servicios de confianza calificados

El reglamento eIDAS 2 amplía la lista de servicios de confianza calificados (artículo 3 y anexo IV revisado). Además de las firmas, sellos y marcas de tiempo calificados ya reconocidos por eIDAS 1, ahora son calificados:

• Los servicios de archivo electrónico calificado (art. 34 bis): obligación de preservar la integridad y legibilidad de los documentos firmados a largo plazo, con requisitos reforzados para los proveedores (QTSP).
• Los servicios de gestión de dispositivos de creación de firma a distancia calificados (QRCD): marco reforzado de las soluciones de firma a distancia vía HSM (Hardware Security Module) en la nube.
• Las atestaciones de atributos calificados: mecanismo que permite a un tercero de confianza certificar atributos de una entidad (por ejemplo, calidad de abogado, estatus de médico) sin revelar toda la identidad.
• Los registros electrónicos calificados: reconocimiento de registros distribuidos bajo condiciones estrictas de auditabilidad y resiliencia.

Para los usuarios de soluciones de firma electrónica, esta extensión significa que los servicios de confianza calificados disponibles en el mercado van a diversificarse, y que los criterios de selección de un proveedor (QTSP) deben integrar estas nuevas capacidades.

El EUDIW: el monedero de identidad digital como infraestructura de la firma

La innovación más visible de eIDAS 2 sigue siendo el EUDIW. Cada Estado miembro deberá poner a disposición de sus ciudadanos y residentes un monedero de identidad digital gratuito, interoperable con todos los demás Estados miembros, antes del 26 de noviembre de 2026 (plazo de conformidad nacional según el artículo 5 bis). Este monedero permitirá:

• autenticar al usuario con un alto nivel de confianza (LoA High) sin recurrir a un proveedor tercero de identificación;
• firmar electrónicamente documentos con valor calificado (QES) directamente desde el monedero;
• compartir atributos de identidad selectivos (selective disclosure), respetando así el principio de minimización de datos del RGPD.

Para las empresas, el EUDIW simplifica teóricamente los procedimientos de verificación de identidad previa a la firma calificada, eliminando la fricción de la identificación por video o presencial. En la práctica, el impacto dependerá del ritmo de despliegue nacional —Francia lanzó en 2025 una experimentación piloto en el marco del programa "France Identité".

Calendario preciso de la transición eIDAS 1 a eIDAS 2

Los hitos regulatorios a conocer

El reglamento 2024/1183 entró en vigor el 20 de mayo de 2024, pero su aplicación es progresiva. Aquí están los plazos clave:

| Fecha | Evento | |------|----------| | 20 de mayo de 2024 | Publicación en el DOUE, entrada en vigor formal | | 20 de noviembre de 2024 | Plazo de 6 meses para la adopción de actos de ejecución por la Comisión (especificaciones técnicas del EUDIW) | | Fin de 2025 | Publicación de normas ETSI revisadas (EN 319 411-1/2, EN 319 401) integrando requisitos eIDAS 2 | | 26 de mayo de 2026 | Fecha límite para la conformidad de los Estados miembros en las nuevas categorías de servicios calificados | | 26 de noviembre de 2026 | Disponibilidad obligatoria del EUDIW por cada Estado miembro | | 2027-2028 | Revisión completa de las listas de confianza nacionales (TSL) y acreditación de nuevos QTSP |

EIDAS 1 sigue siendo válido y las firmas emitidas bajo su régimen conservan su pleno valor jurídico. No hay ninguna obligación de re-firmar los documentos existentes. En cambio, los proveedores de servicios de confianza calificados deberán renovar su acreditación según las nuevas normas técnicas antes de 2027.

Lo que no cambia y lo que hay que vigilar

La continuidad es un principio cardinal de la transición. Los tres niveles de firma (SES, AdES, QES) se mantienen con sus definiciones sin cambios. La presunción de equivalencia con una firma manuscrita vinculada a la QES (artículo 25 eIDAS 1, retomado en el artículo 27 eIDAS 2) sigue en vigor. El valor probatorio de tus firmas electrónicas actuales no se cuestiona.

Lo que hay que vigilar en cambio: los actos de ejecución (implementing acts) publicados por la Comisión Europea a lo largo de 2025-2026 establecerán las especificaciones técnicas precisas del EUDIW y de las nuevas categorías de servicios. Estos textos de nivel 2 tienen una importancia práctica considerable para los integradores y editores de software. Para las empresas que utilizan la firma electrónica en sus procesos de RRHH o jurídicos, se recomienda solicitar a su proveedor una hoja de ruta de conformidad eIDAS 2.

Impacto concreto en las empresas y sus soluciones de firma

¿Qué flujos de trabajo se ven afectados en prioridad?

La transición de eIDAS 1 a eIDAS 2 no tiene el mismo impacto según el nivel de firma utilizado. Para las empresas, se distinguen tres situaciones:

Firma electrónica simple (SES): utilizada para enmiendas de bajo valor, acuses de recibo, formularios internos. Ninguna obligación de actualización inmediata. Las reglas probatorias siguen siendo regidas por el Código Civil (art. 1366-1367) y no directamente por eIDAS.

Firma electrónica avanzada (AdES/AdESQC): las empresas que utilizan soluciones B2B para contratos comerciales, contratos de trabajo desmaterializados o actos inmobiliarios deben verificar que su proveedor mantiene conformidad con las normas ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) y EN 319 142 (PAdES) en sus versiones revisadas para eIDAS 2. Estas normas serán publicadas por ETSI antes de finales de 2025.

Firma electrónica calificada (QES): los proveedores calificados (QTSP) deberán pasar a una nueva acreditación eIDAS 2. El período transitorio otorga un plazo razonable (hasta 2027), pero los procesos de licitación lanzados a partir de 2025 deberían integrar una cláusula de conformidad eIDAS 2 en los criterios de selección. Para las organizaciones que comparan opciones disponibles, el comparativo de soluciones de firma electrónica permite evaluar la madurez de los editores en este tema.

Nuevos requisitos para los proveedores de servicios de confianza calificados (QTSP)

EIDAS 2 endurece los requisitos aplicables a los QTSP en tres puntos principales:

1. Seguridad de sistemas: alineación obligatoria con NIS2 (directiva (UE) 2022/2555) para los QTSP, ahora clasificados como entidades esenciales. Esto se traduce en obligaciones de notificación de incidentes en 24 horas, auditorías de seguridad anuales y la implementación de planes de continuidad de negocio.

1. Responsabilidad reforzada: el artículo 13 eIDAS 2 amplía el régimen de responsabilidad de los QTSP. En caso de incumplimiento probado, la carga de la prueba se invierte: el proveedor debe demostrar que no cometió negligencia, y no al revés.

1. Interoperabilidad obligatoria: los QTSP deberán exponer APIs estandarizadas compatibles con el EUDIW para permitir la integración nativa de los monederos de identidad. Este requisito acelerará la modernización de las interfaces de integración disponibles para desarrolladores.

Para las empresas considerando cambiar de proveedor en este contexto, migrar de DocuSign o YouSign a una solución conforme eIDAS 2 es un enfoque que merece anticiparse desde ahora en lugar de hacerlo de forma urgente en 2027.

Datos personales y eIDAS 2: la articulación con el RGPD

El EUDIW recopila y procesa datos de identidad de carácter personal. El reglamento eIDAS 2 prevé explícitamente (considerando 11 y artículo 5 bis §14) que todo el dispositivo debe ser conforme al RGPD (reglamento (UE) 2016/679). Varios puntos de atención:

• Selective disclosure: el monedero debe permitir al usuario compartir solo los atributos estrictamente necesarios para la transacción (principio de minimización, art. 5(1)(c) RGPD). Para una firma de contrato, solo se podría compartir la verificación de mayoría de edad sin revelar la fecha de nacimiento completa.
• Transferencias fuera de la UE: los datos de identidad procesados en el marco del EUDIW no pueden transferirse fuera del EEE excepto con garantías apropiadas (art. 46 RGPD). Los proveedores que utilizan infraestructuras en la nube estadounidenses deben documentar su conformidad.
• Conservación de registros de firma: el archivo de las pruebas de firma debe respetar la duración de conservación proporcional a la naturaleza del documento. El nuevo servicio de archivo calificado eIDAS 2 ofrece un marco técnico para responder a este requisito.

Las empresas que gestionan contratos de trabajo internacionales se ven particularmente afectadas por esta articulación RGPD/eIDAS 2, especialmente cuando los firmantes residen fuera de la UE.

Marco legal aplicable a la transición eIDAS 1 a eIDAS 2

Textos de referencia

La transición se basa en un apilamiento de textos que es indispensable dominar:

A nivel europeo:

• Reglamento (UE) nº 910/2014 (eIDAS 1): aún en vigor hasta su derogación progresiva por eIDAS 2. Define los tres niveles de firma (SES, AdES, QES) y el régimen de los QTSP.
• Reglamento (UE) 2024/1183 (eIDAS 2): entró en vigor el 20 de mayo de 2024. Modifica sustancialmente eIDAS 1 sin derogarlo inmediatamente. Las disposiciones relativas al EUDIW se aplican desde la publicación de los actos de ejecución.
• Reglamento (UE) 2016/679 (RGPD): se aplica integralmente al tratamiento de datos de identidad en el marco del EUDIW y los procesos de firma. El artículo 5 bis §14 de eIDAS 2 recuerda explícitamente esta subordinación.
• Directiva (UE) 2022/2555 (NIS2): impone obligaciones de ciberseguridad reforzadas a los QTSP, ahora clasificados como entidades esenciales. Transpuesta al derecho francés por la ordenanza nº 2024-821 del 20 de junio de 2024 (en proceso de decreto de aplicación).

A nivel francés:

• Código Civil, artículos 1366 y 1367: fundamento del valor probatorio de los escritos en forma electrónica. El artículo 1366 establece la equivalencia entre escrito electrónico y papel bajo condiciones. El artículo 1367 confiere a la firma calificada (QES) la misma fuerza probatoria que una firma manuscrita.
• Decreto nº 2017-1416 del 28 de septiembre de 2017: precisa las condiciones de uso de la firma electrónica en actos bajo firma privada. Sigue siendo aplicable durante el período transitorio.
• Referencial General de Seguridad (RGS) v2: para las administraciones francesas, el RGS impone la utilización de soluciones referenciadas por el ANSSI. Su actualización para integrar eIDAS 2 se espera durante 2026.

Normas técnicas ETSI aplicables

Las normas ETSI constituyen el nivel 3 de la jerarquía normativa. Las versiones actuales aplicables:

• EN 319 132-1/2: formato XAdES (firmas XML avanzadas)
• EN 319 122-1/2: formato CAdES (firmas CMS avanzadas)
• EN 319 142-1/2: formato PAdES (firmas PDF avanzadas)
• EN 319 401: requisitos generales para los proveedores de servicios de confianza
• EN 319 411-1/2: requisitos para las AC que emiten certificados calificados

Estas normas serán revisadas antes de finales de 2025 para integrar los nuevos requisitos eIDAS 2. Los contratos con los QTSP deben incluir una cláusula de actualización a las versiones revisadas sin sobrecosto.

Riesgos jurídicos de no conformidad

Una firma emitida por un proveedor que ya no estuviera acreditado después de 2027 no perdería automáticamente su valor jurídico para los documentos ya firmados, pero ya no se beneficiaría de la presunción legal de equivalencia con una firma manuscrita (art. 25 eIDAS). La carga de la prueba de la integridad e identidad del firmante recaería entonces completamente en la empresa en caso de litigio. Este riesgo probatorio es particularmente sensible para actos cuyo plazo de prescripción es largo (5 años en materia comercial, 30 años para derechos reales inmobiliarios).

Escenarios de uso: cómo las organizaciones anticipan la transición eIDAS 2

Escenario 1: un despacho de abogados de 25 colaboradores racionaliza su conformidad documental

Un despacho de abogados especializado en derecho empresarial, con aproximadamente 25 colaboradores y una intensa actividad de firma de mandatos, actos de cesión y protocolos de acuerdo, utilizaba hasta 2024 una solución de firma avanzada (AdES) para la totalidad de sus flujos. Ante el anuncio de eIDAS 2, el despacho realizó una auditoría de sus 1.200 documentos firmados anualmente para identificar aquellos que requerían una QES según las nuevas recomendaciones de su colegio de abogados.

Resultado: el 15 % de los actos (aproximadamente 180 por año) fueron reclasificados hacia la firma calificada, lo que permitió asegurar el régimen probatorio de estos documentos. El despacho negoció con su editor de firma una cláusula que garantiza la conformidad eIDAS 2 desde la publicación de los actos de ejecución, sin sobrecosto. El tiempo administrativo relacionado con la verificación de identidad de los firmantes disminuyó un 40 % gracias a la anticipación de la integración EUDIW prevista para 2026.

Escenario 2: una PYME industrial de 150 empleados asegura su cadena contractual de proveedores

Una PYME industrial que gestiona aproximadamente 350 contratos de proveedores por año —órdenes de compra, NDA, contratos marco— funcionaba con dos soluciones de firma distintas para sus flujos internos y externos, creando una fragmentación de las pruebas de auditoría. En el contexto de la transición eIDAS 2 y los nuevos requisitos de archivo calificado, la DSI decidió unificar su plataforma.

Al migrar a una solución única que integra archivo electrónico calificado (futura categoría eIDAS 2), la PYME redujo sus costos de almacenamiento seguro en un 30 % y consolidó sus pruebas de firma en una caja fuerte digital conforme. Toda la cadena documental es ahora auditable en menos de 2 minutos durante los controles de proveedores —un requisito cada vez más frecuente de sus clientes en la industria automotriz.

Escenario 3: un grupo hospitalario de alrededor de 600 camas prepara la integración EUDIW

Un grupo hospitalario público utilizaba la firma electrónica calificada para sus contratos médicos y sus licitaciones públicas, de conformidad con las obligaciones del código de contratación pública. Con eIDAS 2, el servicio de informática identificó dos desafíos prioritarios: la integración futura del monedero "France Identité" para los médicos liberales que intervienen en el establecimiento, y la conformidad NIS2 de su QTSP.

El grupo inscribió en su esquema director digital 2025-2028 un lote específico "conformidad eIDAS 2", con un presupuesto estimado de 45.000 € para la migración técnica y la capacitación de agentes. El objetivo es estar en condiciones de aceptar firmas a través de EUDIW desde el despliegue nacional previsto para noviembre de 2026, reduciendo así los plazos de contractualización con los profesionales de la salud liberales de 3 días a menos de 4 horas en promedio según los puntos de referencia sectoriales disponibles.

Conclusión

La transición de eIDAS 1 a eIDAS 2 no es una ruptura sino una evolución estructurada, con un calendario preciso que se extiende hasta 2027. Los impactos en la firma electrónica son reales —extensión de servicios calificados, llegada del EUDIW, endurecimiento de requisitos NIS2 para los QTSP— pero manejables siempre que se anticipen. Las empresas que actúan ahora se benefician de un margen de maniobra para auditar sus flujos de trabajo, asegurar sus contratos con sus proveedores y capacitar a sus equipos sin presión de urgencia regulatoria.

Certyneo acompaña a las empresas en esta transición con una hoja de ruta de conformidad eIDAS 2 clara, formatos de firma mantenidos actualizados y una arquitectura lista para la integración EUDIW. ¿Listo para asegurar tus flujos de firma en este nuevo marco regulatorio? Descubre nuestras ofertas y comienza gratis en Certyneo.