Certificación eIDAS 2 prestador firma 2026

Por qué la certificación eIDAS 2 cambia las reglas para los prestadores

Desde la entrada en vigencia del Reglamento (UE) 2024/1183 del 11 de abril de 2024 —comúnmente llamado eIDAS 2— los prestadores de servicios de confianza (PSC) que operan en la Unión Europea enfrentan un marco regulatorio profundamente reformulado. La revisión del reglamento eIDAS original de 2014 no se limita a ampliar el perímetro de los servicios reconocidos: endurecen significativamente las condiciones de acreditación, introducen nuevos niveles de garantía y refuerzan los requisitos de supervisión de los organismos de control nacionales. Para cualquier actor que desee ofrecer servicios de firma electrónica calificada (QES) o avanzada (AdES) en el mercado europeo, entender cómo obtener una certificación eIDAS 2 para prestador firma ya no es una opción —es una obligación estratégica.

Este artículo presenta un panorama exhaustivo del recorrido de certificación: textos aplicables, normas técnicas a respetarse, papel de los organismos de evaluación de la conformidad (CAB), plazos realistas y puntos de vigilancia operacional.

---

El nuevo panorama regulatorio eIDAS 2: qué ha cambiado

Del reglamento 910/2014 al reglamento 2024/1183: las evoluciones principales

El reglamento eIDAS original (n° 910/2014) había sentado las bases de un mercado único digital de confianza en Europa. Definía tres niveles de firma —simple, avanzada y calificada— e imponía a los prestadores calificados figurar en las listas de confianza nacionales (TSL, Trust Service Lists). eIDAS 2 conserva esta arquitectura pero la enriquece en varios puntos estructurantes:

• Extensión de los servicios calificados: archivo electrónico calificado, atestaciones electrónicas de atributos (AEA), gestión remota de dispositivos de creación de firma calificada (QSCD). Estos nuevos servicios ahora están sujetos al mismo procedimiento de acreditación que la firma calificada.
• La cartera europea de identidad digital (EUDIW): los prestadores que deseen interactuar con la futura cartera de identidad deben demostrar su conformidad con especificaciones técnicas publicadas por la Comisión (ARF — Architecture and Reference Framework, v1.4, 2024).
• Refuerzo de la supervisión: las autoridades de supervisión nacionales (en Francia, la ANSSI) disponen de poderes de investigación e inyunción reforzados. Los PSC calificados pueden ser objeto de auditorías sorpresa.
• Plazos de notificación reducidos: todo incidente de seguridad significativo debe ser notificado a la autoridad competente bajo 24 horas (en comparación con 72 horas en la versión anterior para ciertos incidentes).

Para una visión general del reglamento, la guía eIDAS 2.0 de Certyneo ofrece una síntesis pedagógica de todas estas evoluciones.

Los niveles de garantía y sus implicaciones para la certificación

La distinción entre firma electrónica avanzada y calificada sigue siendo el eje del sistema. Solo la QES se beneficia de una presunción legal de integridad e imputabilidad equivalente a la firma manuscrita (art. 25 del reglamento eIDAS 2). Esta presunción está directamente condicionada a la certificación del prestador.

| Nivel | Valor probatorio | Requisito prestador | |---|---|---| | Simple (SES) | Limitado | Ninguno | | Avanzada (AdES) | Significativo | Buenas prácticas + normas ETSI | | Calificada (QES) | Máximo (presunción legal) | Certificación eIDAS 2 obligatoria |

---

El proceso de certificación eIDAS 2 paso a paso

Paso 1 — Prerequisitos organizacionales y técnicos

Antes de iniciar formalmente el proceso de certificación, un prestador debe auditar su nivel de madurez en tres ejes:

1. Conformidad con las normas ETSI Las normas de la serie EN 319 constituyen la base técnica imprescindible. Las principales son:

• ETSI EN 319 401: requisitos generales para prestadores de servicios de confianza
• ETSI EN 319 411-1 y 411-2: políticas y requisitos para autoridades de certificación que emiten certificados (perfiles PTC-QC para certificaciones calificadas)
• ETSI EN 319 421: política y requisitos para prestadores de servicios de marca de tiempo
• ETSI EN 319 132: formatos de firma XAdES (XML), y la serie asociada CAdES (CMS) y PAdES (PDF)

La conformidad con estas normas no es opcional para prestadores calificados: es explícitamente requerida por los actos de ejecución de la Comisión Europea.

2. Seguridad de sistemas de información Los QSCD (dispositivos de creación de firma calificada) deben certificarse según Common Criteria (CC) EAL4+ o equivalente. Para soluciones de firma remota —modelo dominante en SaaS— los requisitos también se centran en módulos HSM (Hardware Security Module) y procedimientos de gestión de claves criptográficas (cumplimiento FIPS 140-2 nivel 3 mínimo).

3. Política de seguridad (PSSI) y gestión de riesgos El expediente de certificación requiere una PSSI formalizada, alineada con ISO/IEC 27001 (cuya certificación es fuertemente recomendada y a veces requerida por los CAB) e integrando los requisitos NIS2 para entidades calificadas de "importantes" o "esenciales".

Paso 2 — Selección y contratación de un organismo de evaluación de la conformidad (CAB)

En Francia, los CAB acreditados por COFRAC (Comité Francés de Acreditación) para evaluar prestadores de servicios de confianza son pocos. A título de ejemplo, LSTI (Laboratoire de Sécurité des Technologies de l'Information) y Bureau Veritas Certification figuran entre los actores referenciados. A escala europea, cada Estado miembro publica la lista de sus CAB notificados.

El papel del CAB es conducir una auditoría de conformidad en dos fases:

1. Revisión documental (Fase 1): examen de políticas, procedimientos, Declaración de Prácticas de Certificación (DPC / CPS) y pruebas técnicas.
2. Auditoría en sitio (Fase 2): verificación de controles operacionales, pruebas de penetración, entrevistas con equipos.

La duración total de una auditoría CAB varía generalmente de 4 a 8 semanas según la madurez previa del candidato.

Paso 3 — Instrucción por la autoridad de supervisión nacional

En Francia, es la ANSSI (Agencia Nacional de Seguridad de Sistemas de Información) quien instruye las solicitudes de inscripción en la lista de confianza nacional (TSL FR). Sobre la base del informe de auditoría CAB, la ANSSI realiza su propio análisis y puede solicitar información complementaria o medidas correctivas.

El plazo reglamentario de instrucción es de 3 meses a partir de la recepción de un expediente completo (art. 17 del reglamento eIDAS 2). En la práctica, los plazos efectivos suelen ser más largos si el expediente inicial está incompleto.

Una vez inscrito en la TSL nacional, el prestador automáticamente se referencia en la EUTL (EU Trusted List), publicada por la Comisión Europea, lo que le confiere reconocimiento transfronterizo inmediato en los 27 Estados miembros.

Paso 4 — Mantenimiento de la calificación y renovación

La certificación eIDAS 2 no es definitiva. Los prestadores calificados están sujetos a:

• Una auditoría de vigilancia anual conducida por el CAB
• Una auditoría de renovación completa cada 24 meses (ciclo acortado en comparación con la práctica anterior)
• Controles sorpresa posibles por iniciativa de la ANSSI

Cualquier cambio sustancial de la infraestructura (cambio de HSM, evolución de la PKI, nuevo servicio calificado) desencadena un procedimiento de notificación previa y puede imponer una auditoría parcial.

---

Costos, plazos y factores de riesgo: lo que los DSI deben anticipar

Presupuesto y recursos humanos

El costo de una primera certificación eIDAS 2 es significativo. Las partidas de gasto incluyen:

• Auditoría CAB: entre 40 000 € y 120 000 € según la complejidad del perímetro
• Cumplimiento técnico (HSM, PKI, QSCD certificados CC): de 80 000 € a varios cientos de miles de euros para una infraestructura propia
• Certificación ISO 27001 (recomendada previamente): 15 000 a 50 000 € según el tamaño
• Honorarios de asesoría legal y redacción DPC: 10 000 a 30 000 €
• Costos internos: movilización de un equipo dedicado (RSSI, DPO, responsable de conformidad) durante 12 a 18 meses

Sumando todos estos rubros, una certificación completa representa una inversión global del orden de 200 000 a 500 000 € para un prestador de tamaño intermedio, sin incluir costos recurrentes de mantenimiento.

Factores de riesgo operacional

Las causas más frecuentes de fracaso o retraso en procedimientos de certificación son:

1. Una DPC insuficientemente detallada: la Declaración de Prácticas de Certificación debe documentar cada control con una granularidad a veces subestimada.
2. Brechas en la gestión del ciclo de vida de claves: revocación, archivo, destrucción de claves privadas.
3. Una gobernanza de incidentes insuficiente: ausencia de SIEM, procedimientos de gestión de crisis probadas, runbooks.
4. Subestimación de NIS2: desde octubre de 2024, los PSC calificados se clasifican automáticamente como entidades "importantes" bajo la directiva NIS2, con obligaciones adicionales de notificación y gestión de riesgos.

Para empresas que deseen delegar estas limitaciones a un prestador ya certificado en lugar de construir su propia infraestructura, la comparación de soluciones de firma electrónica disponible en Certyneo ayuda a objetivar esta decisión de construcción versus compra.

---

eIDAS 2 y firma electrónica en empresa: desafíos de transición

Para empresas usuarias —en oposición a prestadores— la certificación eIDAS 2 de su proveedor SaaS de firma es un criterio de selección ahora inevitable. Integrar en las licitaciones una cláusula que exija presencia en la TSL nacional se ha convertido en una práctica estándar en sectores regulados (finanzas, sanidad, inmuebles).

La firma electrónica en empresa de hecho requiere distinguir claramente los casos de uso que necesitan QES —actos bajo firma privada de alto riesgo, poderes, actos notariales electrónicos— de aquellos donde AdES es suficiente. Este mapeo de usos condiciona directamente el nivel de servicio contractualmente exigible al prestador.

Las organizaciones que migran de una solución existente hacia un prestador certificado eIDAS 2 también deben anticipar la portabilidad de archivos de prueba. La guía sobre migración desde DocuSign o YouSign hacia Certyneo detalla las buenas prácticas para preservar el valor probatorio de documentos ya firmados durante la transición.

Marco legal aplicable a la certificación eIDAS 2

Textos fundadores

La certificación de prestadores de servicios de confianza se basa en un apilamiento normativo denso que conviene dominar en su totalidad:

Reglamento (UE) 2024/1183 del 11 de abril de 2024 (eIDAS 2): texto de referencia que deroga y reemplaza las disposiciones correspondientes del reglamento 910/2014. Define las condiciones para obtener y mantener el estatus de prestador calificado, las obligaciones de supervisión nacional y los requisitos relativos a nuevos servicios (EUDIW, AEA).

Reglamento (UE) n° 910/2014 (eIDAS 1): todavía parcialmente aplicable para disposiciones no modificadas; los actos de ejecución y delegados adoptados bajo este reglamento permanecen vigentes hasta su revisión formal.

Código Civil francés, artículos 1366 y 1367: el artículo 1366 plantea el principio de equivalencia de la firma electrónica a la firma manuscrita bajo condición de fiabilidad; el artículo 1367 precisa que la fiabilidad se presume hasta prueba de lo contrario cuando se utiliza firma calificada. Estas disposiciones nacionales se articulan directamente con la presunción legal del art. 25 eIDAS 2.

Directiva (UE) 2022/2555 (NIS2): transpuesta a derecho francés por la ley del 15 de octubre de 2024, clasifica automáticamente prestadores de servicios de confianza entre entidades importantes. Obligaciones: notificación a ANSSI bajo 72 horas para incidentes significativos, implementación de gestión de riesgos cibernéticos formalizada, auditoría de seguridad periódica.

Reglamento (UE) 2016/679 (RGPD): los prestadores de servicios de firma procesan datos personales sensibles (identidad de firmantes, registros de auditoría). El respeto de principios de minimización, limitación de retención e integridad impone un análisis de impacto (AIPD) específico. La base legal del tratamiento debe documentarse para cada servicio.

Normas técnicas con valor reglamentario

Los actos de ejecución de la Comisión Europea (en particular la Decisión de Ejecución (UE) 2015/1506 y sus revisiones) designan las normas ETSI como presuntivamente conformes:

• ETSI EN 319 401: requisitos generales TSP
• ETSI EN 319 411-1 y 411-2: políticas de certificación
• ETSI EN 319 421: marca de tiempo calificada
• ETSI EN 319 132 / 122 / 102: formatos AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: servicios de firma remota

Riesgos legales por incumplimiento

El uso fraudulento o negligente del estatus de prestador calificado expone a sanciones administrativas pronunciadas por ANSSI (suspensión, retirada de lista de confianza) y a enjuiciamientos penales (art. 226-17 del Código Penal por falta de seguridad de datos personales). En lo civil, poner en cuestión el valor probatorio de firmas emitidas durante período de incumplimiento puede comprometer la responsabilidad contractual del prestador frente a sus clientes.

Escenarios de uso: la certificación eIDAS 2 en la práctica

Escenario 1 — Un editor SaaS de tamaño intermedio apuntando a calificación QES

Una sociedad especializada en desmaterialización documental, empleando alrededor de cien colaboradores y gestionando varios millones de transacciones de firma al año para clientes en sectores banca y seguros, decide solicitar la calificación eIDAS 2 para su servicio de firma electrónica. Hasta entonces, la empresa ofrecía firma avanzada basada en certificados (AdES), suficiente para la mayoría de sus contratos clientes, pero insuficiente para actos que exigen valor probatorio máximo (mandatos SEPA, acuerdos de prueba notariados).

Tras auditoría interna de 3 meses revelando alrededor de quince desviaciones mayores respecto a requisitos ETSI EN 319 411-2, la empresa inicia programa de cumplimiento durante 14 meses. Los principales proyectos incluyen reemplazo de HSM existentes por módulos certificados FIPS 140-2 nivel 3, redacción de DPC de 180 páginas y obtención de certificación ISO 27001 previa a auditoría CAB. La inversión total alcanza 340 000 €. Tras finalizar el proceso, la inscripción en TSL francesa permite a la empresa acceder a licitaciones de las que sistemáticamente estaba excluida, representando potencial comercial estimado en 20% de ingresos adicionales.

Escenario 2 — Un agrupamiento hospitalario integrando firma calificada para actos médico-legales

Un agrupamiento hospitalario de alrededor de 1 200 camas desea desmaterializar sus procesos de consentimiento informado, delegación de poderes médicos y contratos de investigación clínica. Estos documentos pertenecen a la categoría de actos para los cuales QES es requerida o fuertemente recomendada por referentes HAS y marco legal de datos de salud (art. L. 1110-4 CSP).

En lugar de certificar infraestructura interna —opción considerada demasiado costosa y fuera del negocio central— el agrupamiento opta por integración de prestador tercero ya inscrito en TSL. La DSI realiza auditoría de conformidad del proveedor sobre base de lista de verificación ETSI EN 319 401 y verifica presencia efectiva en EUTL antes de cualquier contratación. El despliegue, realizado en 4 meses, reduce 65% el plazo de recopilación de firmas en expedientes de investigación clínica y elimina riesgo de contestación legal ligado a uso anterior de firmas simples para actos sensibles.

Escenario 3 — Un despacho de abogados de negocios asegurando sus actos bajo firma privada

Un despacho de abogados de negocios de alrededor de treinta socios, gestionando anualmente aproximadamente 400 operaciones de fusión-adquisición y cesiones de fondos de comercio, busca fiabilizar la firma de sus actos bajo firma privada complejos. El valor unitario de transacciones gestionadas frecuentemente supera el millón de euros y cualquier vicio de forma puede comprometer responsabilidad profesional del despacho.

Tras análisis, el equipo IT y managing partner concuerdan sobre exigencia contractual mínima de QES emitida por prestador certificado eIDAS 2 para todo acto cuyo valor supera 100 000 €. El criterio de selección del prestador integra obligatoriamente verificación de inscripción en TSL nacional y disponibilidad de certificado de conformidad ETSI reciente (menos de 12 meses). Este marco permite al despacho reducir más de 80% solicitudes de contra-pericia sobre validez de firmas durante litigios posteriores, según retornos observados en estructuras comparables en sector.

Conclusión

Obtener certificación eIDAS 2 como prestador de servicios de firma electrónica es un proceso exigente, costoso y largo —pero ineludible para cualquier actor que desee ofrecer garantías legales máximas a sus clientes en el mercado europeo. Entre cumplimiento con normas ETSI, paso de auditoría CAB, instrucción por ANSSI y mantenimiento de calificación en el tiempo, la iniciativa moviliza recursos sustanciales durante 12 a 24 meses.

Para empresas usuarias, la buena noticia es que no es necesario construir esta infraestructura internamente: elegir prestador SaaS ya certificado eIDAS 2 e inscrito en lista de confianza nacional permite beneficiarse inmediatamente de presunción legal adjunta a QES, sin soportar costos de certificación.

Certyneo es prestador de confianza certificado, diseñado para empresas B2B que exigen rigor jurídico y simplicidad de uso. Descubra nuestros precios e inicie su prueba gratuita hoy mismo.