Calendario eIDAS 2: despliegue UE 2026-2027

Introducción: por qué el calendario eIDAS 2 es crucial para tu organización

Desde la entrada en vigor del reglamento (UE) 2024/1183 —comúnmente llamado eIDAS 2— el marco europeo de la identidad digital y la firma electrónica experimenta su transformación más profunda desde 2014. Si el texto revisado está formalmente adoptado, es su despliegue operacional, distribuido entre 2024 y 2027, el que concentra ahora la atención de los directores de TI, juristas y responsables de cumplimiento normativo. Comprender el calendario oficial de despliegue del reglamento eIDAS 2 en la Unión Europea permite anticipar las obligaciones, asegurar tus procesos contractuales y evitar cualquier brecha de conformidad. Este artículo descifra las etapas clave, los actos de ejecución esperados y los impactos concretos para las empresas francesas y europeas.

---

1. Recordatorio: ¿qué es eIDAS 2 y por qué esta revisión?

1.1 Las limitaciones de eIDAS 1 (2014)

El reglamento eIDAS original (n° 910/2014) sentó las bases de la confianza digital en Europa: reconocimiento mutuo de firmas electrónicas, creación de niveles calificados (QES), simple (SES) y avanzado (AdES), y acreditación de proveedores de servicios de confianza (Trust Service Providers, TSP). Sin embargo, diez años de aplicación revelaron varias lagunas significativas:

• Fragmentación nacional: menos del 19% de los ciudadanos europeos utilizaban un esquema de identificación electrónica transfronteriza en 2022 según la Comisión Europea.
• Ausencia de cartera de identidad digital: eIDAS 1 no preveía un instrumento universal que permitiera a cada ciudadano o empresa probar su identidad en línea en todos los Estados miembros.
• Cobertura parcial: los servicios de archivo electrónico calificado o los atestados de atributos no estaban armonizados.

1.2 Los aportes estructurantes de eIDAS 2

Adoptado el 11 de abril de 2024 y publicado en el Diario Oficial de la UE el 30 de abril de 2024, el reglamento (UE) 2024/1183 introduce en particular:

• El Cartera de Identidad Digital Europea (EUDI Wallet): cartera de identidad digital que cada Estado miembro debe ofrecer a sus ciudadanos.
• Nuevos servicios de confianza calificados: atestados de atributos electrónicos calificados, archivo electrónico calificado, gestión de dispositivos de creación de firmas a distancia.
• La extensión del ámbito de aplicación: las grandes plataformas en línea (en el sentido del reglamento DSA) deberán aceptar EUDI Wallet para la autenticación de usuarios.
• Un refuerzo de la gobernanza: creación de un marco de certificación de conformidad más estricto para los TSP.

Para profundizar en los fundamentos del reglamento, nuestro guía completo sobre eIDAS 2.0 detalla el conjunto de evoluciones regulatorias.

---

2. El calendario oficial de despliegue de eIDAS 2: etapas y fechas clave 2024-2027

El reglamento eIDAS 2 articula su entrada en aplicación alrededor de un mecanismo en varios tiempos: entrada en vigor, actos de ejecución de la Comisión, transposición nacional y despliegue efectivo de las herramientas. Aquí está la hoja de ruta oficial.

2.1 Fase 1 — Entrada en vigor y actos delegados (mayo 2024 – fin 2025)

| Fecha | Etapa | |---|---| | 30 de abril de 2024 | Publicación del reglamento (UE) 2024/1183 en el DOUE | | 20 de mayo de 2024 | Entrada en vigor oficial (D+20 después de la publicación) | | T3-T4 2024 | Lanzamiento de grupos de trabajo sobre actos de ejecución (Toolbox eIDAS 2) | | Fin de 2024 | Publicación de las primeras especificaciones técnicas de referencia para EUDI Wallet (ARF — Architecture Reference Framework v1.4) | | T1-T2 2025 | Actos de ejecución de la Comisión sobre especificaciones técnicas de carteras (plazo de 12 meses previsto por el artículo 5a) | | T3 2025 | Actos de ejecución relativos a nuevos servicios de confianza calificados |

La Comisión Europea publicó en enero de 2025 el primer conjunto de actos de ejecución sobre las especificaciones técnicas comunes de EUDI Wallet. Estos textos constituyen la base técnica obligatoria para los Estados miembros.

2.2 Fase 2 — Despliegue de proyectos piloto y transposiciones nacionales (2025-2026)

En el marco del programa de grandes proyectos piloto (Large Scale Pilots — LSP), cuatro consorcios han probado EUDI Wallet desde 2023 en más de 360 casos de uso en 25 Estados miembros:

• EU Digital Identity Wallet Consortium (EUDIW) — 140+ entidades
• NOBID — enfocado en pagos digitales
• POTENTIAL — identidad y atributos
• DC4EU — diplomas y cualificaciones profesionales

Los resultados de estos pilotos alimentan directamente los actos de ejecución. A nivel nacional, los Estados miembros disponen de 24 meses a partir de la entrada en aplicación de los actos de ejecución para desplegar su cartera nacional. En la práctica, esto significa que la gran mayoría de despliegues nacionales se esperan entre mediados de 2026 y finales de 2026.

| Período | Acciones esperadas | |---|---| | T1-T2 2026 | Adopción definitiva de actos de ejecución pendientes (archivo calificado, atestados de atributos) | | T2 2026 | Primeras versiones de producción de EUDI Wallets en Estados precursores (Alemania, Países Bajos, España) | | T3-T4 2026 | Despliegue progresivo en los 27 Estados miembros — apertura a usuarios profesionales | | Fin de 2026 | Obligaciones de aceptación de EUDI Wallet para servicios públicos en línea (art. 5b) |

Francia, a través de la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) y la Dirección Interministerial del Numérico (DINUM), ha iniciado sus trabajos de adaptación en 2025. El proyecto de cartera francés se basa en France Identité como base técnica.

2.3 Fase 3 — Obligaciones de aceptación para el sector privado (2027)

Esta es la etapa más impactante para las empresas. El artículo 5b del reglamento eIDAS 2 impone que ciertos proveedores del sector privado acepten EUDI Wallet para la identificación en línea en los siguientes ámbitos:

• Servicios bancarios y financieros (apertura de cuenta, KYC)
• Movilidad (transporte, alquiler de vehículos)
• Energía (contratos de consumidores)
• Plataformas en línea muy grandes (en el sentido de la DSA, > 45 millones de usuarios mensuales en la UE)
• Telecomunicaciones

El plazo de aceptación obligatoria se fija en 12 meses después de que la cartera esté disponible en cada Estado miembro, lo que coloca la fecha real para la mayoría de sectores durante el primer semestre de 2027.

Para las empresas que ya utilizan soluciones de firma electrónica conforme a eIDAS, el desafío es garantizar la compatibilidad de sus flujos de documentos con los nuevos atributos de identidad procedentes de las carteras digitales.

---

3. Impacto en proveedores de servicios de confianza (TSP) y editores SaaS

3.1 Nuevas obligaciones para TSP calificados

Los proveedores de servicios de confianza calificados (QTSP) deben actualizar sus prácticas de certificación para integrar las nuevas categorías de servicios introducidas por eIDAS 2:

• Atestados de atributos electrónicos calificados: permiso de conducir digital, diplomas, cualificaciones profesionales
• Archivo electrónico calificado: servicio que garantiza la integridad a largo plazo de documentos firmados
• Gestión de dispositivos de creación de firma a distancia (RQSCD): clarificación del marco para soluciones en la nube

Los QTSP tienen hasta 18 meses después de la publicación de las normas ETSI revisadas (esperadas T2-T3 2026) para cumplir con los nuevos requisitos técnicos, lo que posiciona las primeras re-certificaciones efectivas en 2027.

3.2 Qué significa esto para las empresas usuarias

Si tu organización utiliza un proveedor de firma electrónica SaaS —ya sea una solución certificada QES o una herramienta de firma avanzada— varias cuestiones de conformidad se plantean ahora:

1. ¿Tu proveedor está en proceso de actualización de su certificación para integrar los requisitos de eIDAS 2?
2. ¿Tus flujos de firma están listos para recibir identidades procedentes de EUDI Wallets?
3. ¿Tu política de archivo cumple con los futuros requisitos de archivo electrónico calificado?

Nuestros análisis del comparativo de soluciones de firma electrónica integran ahora el criterio de hoja de ruta eIDAS 2 como factor diferenciador clave.

3.3 Las normas técnicas de referencia

ETSI (Instituto Europeo de Normas de Telecomunicaciones) tiene la responsabilidad de producir las normas armonizadas en las que se basa eIDAS 2. El programa de trabajo 2025-2027 cubre en particular:

• ETSI EN 319 411-1 y -2 (revisadas): políticas y requisitos para TSP que emiten certificados
• ETSI EN 319 132-1 (XAdES) y EN 319 122-1 (CAdES): formatos de firma avanzada y calificada
• ETSI TS 119 500: marco de confianza para servicios de archivo electrónico calificado
• ISO/IEC 18013-5: protocolo de presentación de atributos mDL (mobile Driving Licence), adoptado como base técnica de EUDI Wallet

---

4. Calendario eIDAS 2 en Francia: estado de avance y obligaciones específicas

4.1 El papel de ANSSI en la gobernanza nacional

En Francia, ANSSI es la autoridad de supervisión de proveedores de servicios de confianza conforme a eIDAS. En la perspectiva de eIDAS 2, pilota:

• La adaptación del referencial general de seguridad (RGS) para integrar nuevos servicios calificados
• La participación en los trabajos del grupo de cooperación eIDAS (artículo 46e del reglamento)
• La supervisión de auditorías de conformidad de QTSP franceses

ANSSI publicó en marzo de 2025 una hoja de ruta nacional que precisa las etapas de adaptación del marco francés a eIDAS 2, con un punto de estado previsto en septiembre de 2026.

4.2 Obligaciones para grandes empresas francesas

Las empresas francesas que superen los umbrales de la DSA u operen en los sectores dirigidos por el artículo 5b deben iniciar ahora un análisis de impacto. Las etapas recomendadas son:

1. Mapeo de flujos de identificación: identificar los procesos donde la identidad digital es requerida (KYC, firma de contratos, acceso a espacios de cliente)
2. Evaluación de proveedores actuales: verificar su hoja de ruta de conformidad eIDAS 2
3. Plan de actualización de CGC y políticas de firma: anticipar la integración de atributos de identidad procedentes de EUDI Wallets
4. Capacitación de equipos jurídicos y TI: el marco técnico y legal evoluciona significativamente

Para empresas que gestionan volúmenes contractuales importantes, las herramientas de firma electrónica en empresa deben evaluarse desde la perspectiva de su capacidad de evolucionar hacia eIDAS 2 sin ruptura de servicio.

4.3 Articulación con otras regulaciones europeas

El despliegue de eIDAS 2 no ocurre en aislamiento. Se articula estrechamente con:

• El RGPD (2016/679): los atributos de identidad contenidos en EUDI Wallets constituyen datos personales sujetos a principios de minimización y propósito
• La directiva NIS 2 (2022/2555): los TSP son entidades esenciales en el sentido de NIS 2 y deben cumplir requisitos de ciberseguridad reforzados
• El reglamento DORA (2022/2554): las instituciones financieras que utilizan servicios de confianza para operaciones digitales deben integrar estas dependencias en su cartografía de riesgos TIC
• El reglamento sobre datos (Data Act, 2023/2854): interoperabilidad de datos de identidad entre sectores

Las empresas que ya han iniciado su conformidad con NIS 2 encontrarán sinergias significativas con la conformidad eIDAS 2, particularmente en aspectos de gestión de riesgos y continuidad de negocio.

---

5. Preparar tu organización ahora: el checklist 2026

5.1 Para direcciones jurídicas y cumplimiento

• [ ] Leer el reglamento (UE) 2024/1183 en su versión consolidada e identificar los artículos aplicables a tu sector
• [ ] Mapear contratos y procesos que requieren actualización (cláusulas de firma, política de conservación)
• [ ] Verificar la validez jurídica transfronteriza de tus firmas electrónicas actuales en el contexto de eIDAS 2
• [ ] Anticipar la integración de atestados de atributos calificados (ej: verificación de cualificación profesional para actos notariales o médicos)

5.2 Para direcciones de sistemas de información

• [ ] Evaluar la compatibilidad de tu stack técnico con protocolos EUDI Wallet (OpenID4VP, ISO 18013-5)
• [ ] Identificar APIs a actualizar en tus editores de firma electrónica
• [ ] Prever pruebas de integración con carteras piloto disponibles en 2026
• [ ] Establecer vigilancia sobre actos de ejecución de la Comisión (notificaciones en el Diario Oficial de la UE)

5.3 Para direcciones de negocio

Los beneficios esperados de una conformidad bien anticipada son concretos: reducción de fricciones en procesos de firma gracias a identidad pré-verificada de EUDI Wallet, aceleración de procesos KYC, y reducción de costos de verificación de identidad. Para evaluar el ROI de tu transición, nuestro calculador ROI firma electrónica integra parámetros específicos de conformidad eIDAS 2.

Finalmente, las organizaciones que contemplan migración desde otras soluciones hacia una plataforma nativamente preparada para eIDAS 2 pueden consultar nuestra guía de migración desde DocuSign o YouSign hacia Certyneo, que detalla las etapas técnicas y contractuales de una transición sin ruptura.

Marco legal aplicable al despliegue de eIDAS 2

Textos fundadores y jerarquía de normas

El despliegue del reglamento eIDAS 2 se inscribe en un corpus jurídico estratificado cuyo dominio es indispensable para toda organización sometida a obligaciones de conformidad.

El Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo —llamado « eIDAS 2» — constituye la norma de referencia. Deroga y reemplaza el reglamento (UE) nº 910/2014 (eIDAS 1) en los puntos que revisa, manteniendo la validez de las certificaciones existentes durante los períodos de transición previstos en los artículos 51 y siguientes. Publicado en el Diario Oficial de la UE serie L el 30 de abril de 2024, entró en vigor el 20 de mayo de 2024.

El Código Civil francés, artículos 1366 y 1367, consagra el reconocimiento de la firma electrónica como equivalente a la firma manuscrita cuando cumple las condiciones de identificación del firmante e integridad del documento. Estas disposiciones se interpretan a la luz del derecho europeo eIDAS, que prevalece en virtud del principio de primacía del derecho de la Unión.

El Reglamento (UE) 2016/679 (RGPD) se aplica íntegramente a los tratamientos de datos personales realizados en el contexto de EUDI Wallet y servicios de confianza. Los atributos de identidad (datos biográficos, cualificaciones, permisos) constituyen datos personales en el sentido del artículo 4 §1 del RGPD. El principio de minimización (art. 5 §1 c) es particularmente relevante: los proveedores solo deben recopilar atributos estrictamente necesarios para la finalidad de la transacción.

La Directiva (UE) 2022/2555 (NIS 2), transpuesta a derecho francés por la ley nº 2024-449 de 21 de mayo de 2024, clasifica los proveedores de servicios de confianza calificados entre entidades esenciales sometidas a obligaciones reforzadas de gestión de riesgos cibernéticos, notificación de incidentes y seguridad de la cadena de suministro.

Las normas ETSI constituyen el referencial técnico armonizado de eIDAS 2:

• ETSI EN 319 401: requisitos generales para TSP
• ETSI EN 319 411-1/-2: políticas para TSP que emiten certificados calificados
• ETSI EN 319 132-1: formato XAdES (firmas XML avanzadas)
• ETSI EN 319 122-1: formato CAdES (firmas CMS avanzadas)
• ETSI EN 319 162-1: formato ASiC (contenedores de firmas)

Riesgos jurídicos en caso de incumplimiento

El incumplimiento de obligaciones eIDAS 2 expone las organizaciones a varios riesgos:

1. Ineficacia de las firmas: una firma electrónica realizada a través de un TSP no conforme con los nuevos requisitos puede perder la presunción legal de validez, cuestionando el valor probatorio de los contratos firmados.
2. Sanciones administrativas: las autoridades de supervisión nacionales (ANSSI en Francia) pueden pronunciar medidas correctivas, órdenes de conformidad, e incluso retiros de acreditación para TSP.
3. Responsabilidad contractual: las empresas que utilizan herramientas no conformes pueden ver su responsabilidad comprometida frente a clientes y socios si un litigio cuestiona la validez de un acto firmado electrónicamente.
4. Cumplimiento con RGPD: una gestión no conforme de atributos de identidad de EUDI Wallet puede exponer simultáneamente a sanciones de CNIL (hasta 4% de la facturación anual mundial).

Escenarios de uso concretos frente al calendario eIDAS 2

Escenario 1 — Un bufete de abogados de tamaño intermedio gestionando actos transfronterizos

Un bufete de abogados de negocios con una quincena de colaboradores que trata regularmente operaciones de M&A involucrando contrapartes en varios Estados miembros de la UE (Bélgica, Países Bajos, España) utiliza actualmente una solución de firma electrónica calificada para sus actos de cesión de participaciones y protocolos de confidencialidad. Con la entrada en aplicación del calendario eIDAS 2, el bufete anticipa dos evoluciones principales antes de finales de 2026:

• Verificación de identidad simplificada: las contrapartes extranjeras podrán presentar sus atributos de identidad a través de su EUDI Wallet nacional, eliminando intercambios de copias de pasaporte y procedimientos KYC redundantes. Según estimaciones de informes de la Comisión Europea sobre LSP, la ganancia de tiempo en la fase de verificación de identidad se estima entre 40% y 60% según las jurisdicciones implicadas.
• Valor probatorio reforzado: los actos firmados con identidades atestadas por EUDI Wallets calificados se beneficiarán de una presunción legal aún más robusta, reduciendo el riesgo de impugnación judicial en litigios transfronterizos.

El bufete planea migrar a una plataforma SaaS con una hoja de ruta eIDAS 2 documentada antes del T3 2026, aproximadamente seis meses antes de las primeras obligaciones de aceptación.

Escenario 2 — Una PYME industrial gestionando alto volumen de contratos de proveedores

Una PYME del sector de equipamiento industrial que gestiona aproximadamente 250 contratos de proveedores anuales, de los cuales 30% con socios europeos fuera de Francia, enfrenta presiones crecientes de verificación de identidad durante la incorporación de nuevos proveedores. El proceso actual —solicitud de Kbis, copia de documento de identidad del representante legal, verificación manual— moviliza en promedio 2,5 horas por dossier según benchmarks sectoriales de asociaciones de compradores.

Con la integración de EUDI Wallet en su flujo de firma antes de 2027, la PYME proyecta:

• Una reducción de 55 a 70% del tiempo dedicado a verificación de identidad gracias a atestados de atributos calificados (número de registro, representación legal)
• Una disminución de 80% de requerimientos documentales a proveedores extranjeros
• Una seguridad mejorada contra fraude documental, siendo los atributos criptográficamente verificables

La PYME ha identificado la necesidad de actualizar sus condiciones generales de compra para integrar referencias a atestados eIDAS 2, en coordinación con su asesor jurídico.

Escenario 3 — Un agrupamiento hospitalario anticipando conformidad para actos médicos digitales

Un agrupamiento hospitalario de aproximadamente 900 camas distribuidas en tres sitios debe gestionar la firma electrónica de documentos médicos sensibles: consentimientos informados, prescripciones, informes operatorios y contratos con proveedores de cuidados. La regulación francesa impone firma calificada para ciertos actos médicos de fuerte alcance jurídico.

En la perspectiva del calendario eIDAS 2, el agrupamiento anticipa la llegada de atestados de atributos calificados para cualificaciones profesionales de salud (número RPPS, especialidad, establecimiento de ejercicio), que permitirán:

• Automatizar la verificación de cualificación del firmante (médico, cirujano, farmacéutico) sin verificación manual en directorios profesionales
• Reducir riesgos de error de atribución de firma durante reemplazos y guardias
• Facilitar portabilidad de historiales médicos digitales entre establecimientos, en el marco del espacio europeo de datos de salud (EHDS)

El agrupamiento estima que la integración de flujos EUDI Wallet en su sistema de información hospitalario (SIH) representa un proyecto de 12 a 18 meses, justificando un lanzamiento de estudios técnicos antes del T3 2026 para puesta en producción antes de la obligación de aceptación sectorial.

Conclusión

El calendario de despliegue del reglamento eIDAS 2 en la Unión Europea está ahora claramente señalizado: actos de ejecución en finalización en 2026, despliegue de EUDI Wallets nacionales entre mediados de 2026 y finales de 2026, y obligaciones de aceptación para sector privado a partir del primer semestre de 2027. Esta hoja de ruta deja una ventana de acción concreta para empresas francesas y europeas, siempre que inicien ahora el análisis de conformidad, evaluación de proveedores y actualización de procesos contractuales.

Esperar a 2027 para conformarse es arriesgarse a una transición apresurada, con los costos y riesgos jurídicos que ello implica. Certyneo, diseñado nativamente para requisitos eIDAS y con hoja de ruta activa hacia eIDAS 2, te acompaña desde hoy en esta transición. Comienza gratuitamente en Certyneo y asegura tus flujos documentales respetando el marco europeo de confianza digital.