eIDAS 2: el nuevo reglamento europeo explicado en 2026

Introducción: por qué eIDAS 2 cambia todo para las empresas europeas

Entrado en vigor el 20 de mayo de 2024 tras una larga gestación legislativa, el reglamento eIDAS 2 —oficialmente denominado Reglamento (UE) 2024/1183— representa la reforma más ambiciosa jamás emprendida en el ámbito de la identificación electrónica y los servicios de confianza en Europa. Deroga y reemplaza parcialmente el reglamento eIDAS inicial de 2014 (nº 910/2014), mantuviendo la compatibilidad ascendente con la infraestructura existente. Para las empresas que recurren a la firma electrónica conforme eIDAS, esta refundición introduce obligaciones nuevas, oportunidades inéditas y un calendario de cumplimiento normativo ajustado hasta 2026 y más allá. Este artículo descifra en profundidad las disposiciones clave del texto, sus implicaciones operacionales y la manera en que tu organización puede prepararse.

---

Qué modifica fundamentalmente el reglamento eIDAS 2

Del reglamento de 2014 a la versión 2024: una refundición estructural

El reglamento eIDAS original de 2014 había sentado las bases del reconocimiento mutuo de los esquemas de identificación electrónica entre Estados miembros y establecido un marco jurídico unificado para los servicios de confianza (firma, sello, marca de tiempo, etc.). Pero diez años después, los límites eran evidentes: baja tasa de adopción de eID notificados, fragmentación de las soluciones nacionales, ausencia de una cartera digital universal para los ciudadanos, y sobre todo inadecuación a los usos de la web (GAFAM excluidos del marco de confianza).

eIDAS 2 corrige estas carencias en tres ejes mayores:

1. La cartera europea de identidad digital (EUDI Wallet) — cada Estado miembro debe ofrecer, a más tardar en noviembre de 2026, una aplicación de cartera digital que permita a todo ciudadano o residente europeo almacenar y presentar sus atributos de identidad (carnet de identidad, permiso de conducir, diplomas, etc.) de forma segura.
2. La ampliación de los servicios de confianza calificados — el texto añade nuevos servicios calificados: gestión de archivo electrónico calificado (QESAP), informes de atributos de identidad calificados (QEAA), libros de cuentas electrónicos calificados (QLED) y gestión de dispositivos de creación de firma a distancia (QRCD).
3. La obligación para las grandes plataformas — los proveedores de servicios en línea de gran tamaño (redes sociales, marketplaces) deberán aceptar la cartera EUDI para la autenticación de usuarios.

La cartera EUDI Wallet: arquitectura y funcionamiento

La cartera EUDI es el corazón de eIDAS 2. Concretamente, se trata de una aplicación de software —entregada o certificada por cada Estado miembro— que se basa en un modelo descentralizado de presentación selectiva de atributos. El usuario transmite solo los datos estrictamente necesarios para la transacción (principio de minimización, conforme al RGPD).

Desde el punto de vista técnico, la arquitectura se basa en las especificaciones del Marco de Referencia de Arquitectura (ARF), publicado por la Comisión Europea y actualizado regularmente por el Piloto a Gran Escala (LSP) que agrupa cuatro consorcios piloto (DC4EU, EWC, POTENTIAL, NOBID). Los formatos de datos retenidos son principalmente ISO/IEC 18013-5 (mDL/mDocs) e W3C Verifiable Credentials, garantizando la interoperabilidad transfronteriza.

Para las empresas, esto significa que podrán, a término, verificar la identidad de sus clientes o socios a través de la cartera sin gestionar por sí mismas la recopilación de documentos justificativos —reduciendo así considerablemente las fricciones KYC (Conocer a tu Cliente) y los riesgos de fraude documental.

---

Los niveles de garantía y la jerarquía de firmas: qué cambia

Mantenimiento de la jerarquía QES / AdES / SES

El régimen de firmas electrónicas sigue estructurado alrededor de tres niveles definidos en el artículo 3 de eIDAS 2 (retomando la terminología de 2014 pero precisando los requisitos técnicos):

• Firma electrónica simple (SES): valor probatorio mínimo, adaptado a actos corrientes.
• Firma electrónica avanzada (AdES): vínculo exclusivo con el firmante, posibilidad de detectar cualquier modificación posterior.
• Firma electrónica calificada (QES): equivalente legal de la firma manuscrita en toda la UE (artículo 25§2), emitida a través de un dispositivo calificado de creación de firma (QSCD) sobre la base de un certificado calificado.

La novedad reside en la forma en que la QES puede ahora ser entregada mediante servicios de firma a distancia calificados (QRCD), cuyas condiciones de aprobación se precisan en los artículos 29a y 29b del texto revisado. Esto abre el camino a flujos 100% digitales para los actos más exigentes —contratos notariales, actos auténticos electrónicos— sin necesidad de una tarjeta inteligente física.

El impacto en los proveedores de servicios de confianza calificados (QTSP)

Los proveedores como Certyneo, que operan apoyándose en QTSP certificados, deben anticipar los nuevos requisitos de auditoría introducidos por eIDAS 2. El artículo 24 impone ahora controles reforzados sobre la cadena de subcontratación, y los requisitos de notificación de incidentes de seguridad se alinean explícitamente con los de la directiva NIS2 (plazo de 24 horas para la notificación inicial). Para profundizar en el funcionamiento de los diferentes niveles de firma en un contexto B2B, consulta nuestra guía completa sobre firma electrónica en empresa.

---

Calendario de despliegue y obligaciones para las empresas en 2025-2026

Los hitos clave del despliegue

El reglamento (UE) 2024/1183 fue publicado en el Diario Oficial de la UE el 30 de abril de 2024 e entró en vigor el 20 de mayo de 2024. Los actos de ejecución y delegados —esenciales para precisar los requisitos técnicos— se publican progresivamente:

| Plazo | Obligación | |---|---| | Mayo 2024 | Entrada en vigor del reglamento | | Fin de 2024 | Publicación de los actos de ejecución sobre ARF v2.0 | | Mediados de 2025 | Certificación de los primeros EUDI Wallets piloto | | Noviembre 2026 | Disponibilidad obligatoria de un EUDI Wallet en cada Estado miembro | | 2027 | Aceptación obligatoria por las grandes plataformas en línea |

Lo que las empresas B2B deben hacer ahora mismo

Para las empresas usuarias de soluciones de firma electrónica, se imponen tres prioridades en 2025-2026:

1. Auditar su cadena de confianza: verificar que su proveedor de firma figura bien en la lista de QTSP (Trusted List) de su Estado miembro, y que los certificados utilizados cumplen con las nuevas especificaciones ETSI EN 319 401 y EN 319 411-1 revisadas.

2. Anticipar la integración de la cartera EUDI: las empresas que operan en sectores regulados (banca, seguros, sanidad, inmobiliario) serán de entre las primeras afectadas por los flujos de verificación de identidad a través de cartera. Preparar las API de integración desde 2025 es recomendado.

3. Revisar sus políticas de conservación: el nuevo servicio calificado de archivo electrónico (QESAP) introduce estándares de preservación a largo plazo que pueden imponerse en ciertos sectores (compras públicas, sector farmacéutico). Nuestra calculadora de ROI para la firma electrónica te permite evaluar el impacto financiero de una actualización de tu infraestructura documental.

---

Interoperabilidad, RGPD y cuestiones de soberanía digital

eIDAS 2 y RGPD: complementariedad reforzada

Uno de los avances mayores de eIDAS 2 es la integración explícita de los principios de protección de datos desde el diseño (privacy by design) en la arquitectura de la cartera EUDI. El artículo 5a§14 dispone que la cartera no permite a los proveedores rastrear el comportamiento del usuario durante las transacciones. Los emisores de atributos de identidad calificados (QEAA) no son informados del uso que se hace de las acreditaciones entregadas —lo que constituye una ruptura mayor con los modelos centralizados actuales.

Esta arquitectura se califica de unlinkability (no correlacionabilidad): dos transacciones distintas realizadas por el mismo usuario no pueden vincularse sin su consentimiento. Esta garantía supera los requisitos mínimos del RGPD mientras se articula perfectamente con él.

La dimensión geopolítica: recuperar el control sobre la identidad en línea

eIDAS 2 responde también a una cuestión de soberanía. Hoy en día, la autenticación en línea se basa ampliamente en los botones "Conectarse con Google/Facebook/Apple", lo que confiere a los gigantes tecnológicos estadounidenses una posición dominante en la gestión de identidades digitales europeas. Al exigir a las plataformas muy grandes (en el sentido de la Digital Services Act) que acepten la cartera EUDI como medio de autenticación, eIDAS 2 crea una alternativa interoperable y soberana.

Para las empresas B2B, esto significa también que el cumplimiento de eIDAS 2 puede convertirse en un criterio de selección de proveedores en las convocatorias de licitaciones públicas y privadas —a la imagen de lo que representa hoy en día la certificación ISO 27001 en los procesos de compra. Si tu organización considera evolucionarsu solución actual, nuestra guía de migración de DocuSign o YouSign a Certyneo detalla los pasos de una transición controlada.

Marco legal aplicable a eIDAS 2 y a la firma electrónica

Textos de referencia

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo de 11 de abril de 2024, que modifica el Reglamento (UE) nº 910/2014 en lo que respecta al establecimiento del marco europeo relativo a una identidad digital (eIDAS 2). Publicado en el DOUE el 30 de abril de 2024, entrado en vigor el 20 de mayo de 2024.

Reglamento (UE) nº 910/2014 (eIDAS 1): mantenido en vigor para sus disposiciones no modificadas, en particular los artículos relativos a los niveles de garantía "bajo", "sustancial" y "alto" para los esquemas de identificación notificados.

Código civil francés, artículos 1366 y 1367: el escrito electrónico tiene la misma fuerza probatoria que el escrito en papel a condición de que la persona de la que emana esté debidamente identificada y que el documento esté establecido en condiciones que garanticen su integridad. La firma electrónica calificada (QES) en el sentido de eIDAS 2 satisface estos requisitos de pleno derecho.

Reglamento (UE) 2016/679 (RGPD): el tratamiento de datos de identidad en el marco de la cartera EUDI está sujeto a los principios de minimización (art. 5§1c), de limitación de la finalidad (art. 5§1b) y de protección de datos desde el diseño (art. 25). Los proveedores calificados ejercen la condición de responsables del tratamiento distintos para las operaciones de verificación.

Directiva (UE) 2022/2555 (NIS2): transpuesta al derecho francés por la ordenanza nº 2024-528 de 12 de junio de 2024, impone a los proveedores de servicios de confianza calificados obligaciones de gestión de riesgos cibernéticos y notificación de incidentes en 24 horas.

Normas ETSI:

• EN 319 132 (XAdES) y EN 319 122 (CAdES): formatos avanzados de firma electrónica.
• EN 319 401: requisitos generales para los proveedores de servicios de confianza.
• EN 319 411-1 y 411-2: política y requisitos de seguridad para las CA que emiten certificados calificados.
• EN 319 521: requisitos para los servicios calificados de preservación de firmas (QESAP).

Obligaciones y riesgos jurídicos para las empresas

Toda empresa que utilice firmas electrónicas en un contexto contractual debe asegurarse de que el nivel de firma elegido es adecuado al valor y naturaleza del acto. Para los actos sometidos a un requisito legal de firma (promesas de venta, contratos de trabajo, órdenes de compra que superen ciertos umbrales), solo la QES o la AdES basada en un certificado calificado aporta la presunción de fiabilidad contemplada en el artículo 26 de eIDAS 2.

En caso de litigio, la carga de la prueba se invierte: si la firma es calificada, corresponde a la parte que contesta el documento probar su alteración; si es simple o avanzada sin certificado calificado, la carga de la prueba recae sobre el firmante que la invoca. El incumplimiento de los requisitos de trazabilidad e integridad puede acarrear la nulidad del acto o la inoponibilidad de la firma a un tercero.

Escenarios de uso: eIDAS 2 aplicado a empresas B2B

Escenario 1 — Un despacho de consultoría en transformación digital (aproximadamente 80 consultores)

Una estructura de consultoría que despliega sus colaboradores en clientes en varios Estados miembros (Francia, Alemania, Países Bajos) debe hacer firmar cada mes órdenes de misión, adendas contractuales y actas de recepción. Antes de eIDAS 2, la gestión de identidades transfronterizas generaba fricciones: rechazo de ciertos clientes alemanes a reconocer certificados emitidos por un QTSP francés, doble autenticación por correo electrónico insuficiente para actos sensibles.

Con el despliegue de la cartera EUDI en 2026, los consultores podrán firmar desde su cartera nacional —reconocida de pleno derecho en todos los Estados miembros— sin fricción alguna. El despacho estima una reducción del 60 a 70% del tiempo dedicado a intercambios de verificación documental previa a la firma, es decir aproximadamente 3 a 4 horas economizadas por consultor y por mes según los benchmarks sectoriales publicados por McKinsey Digital (2024).

Escenario 2 — Una PYME industrial que gestiona 350 contratos de proveedores al año

Una PYME del sector de equipos industriales, que trabaja con un centenar de proveedores europeos y asiáticos, debe contractualizar pedidos, acuerdos de confidencialidad (NDA) y contratos marco. Hasta ahora, el 30% de estos documentos volvía sin firma válida o con retrasos superiores a 10 días laborables.

Al adoptar una solución de firma electrónica conforme eIDAS 2 con verificación de identidad mediante atributos calificados (QEAA), la PYME puede imponer un flujo de firma donde la identidad del representante legal del proveedor se verifica automáticamente a través de la cartera EUDI, sin entrada manual. Resultado esperado: reducción del plazo medio de firma de 10 días a menos de 48 horas, y disminución del 40% de litigios relacionados con firmas no conformes, según los rangos observados en los informes ELENIUS 2025 sobre desmaterialización B2B.

Escenario 3 — Un grupo inmobiliario que gestiona compromisos de venta en varios países

Una red de agencias inmobiliarias que opera en Francia, España y Portugal debe hacer firmar regularmente precontratos entre vendedores y compradores de diferentes nacionalidades. La QES es requerida en ciertos contextos para garantizar la equivalencia con la firma manuscrita ante notario.

Gracias a eIDAS 2 y a la interoperabilidad de las carteras EUDI, un comprador portugués puede firmar un compromiso sujeto a derecho francés utilizando su cartera nacional, con un nivel de garantía "alto" reconocido automáticamente por la plataforma de firma. El grupo reduce sus gastos de desplazamiento y legalización en aproximadamente 800 a 1 200 euros por expediente transfronterizo, además de disminuir el plazo de conclusión de precontratos de 3 semanas a 5 días en promedio. Para usos específicos del sector, nuestra página dedicada a la firma electrónica en inmobiliario detalla los flujos de trabajo adaptados.

Conclusión

eIDAS 2 no es una simple actualización regulatoria: es una refundición profunda de la forma en que la identidad digital y la confianza electrónica funcionan en Europa. La cartera EUDI Wallet, los nuevos servicios calificados, la obligación de interoperabilidad y la alineación con NIS2 y el RGPD forman un ecosistema coherente que va a transformar los procesos contractuales y de autenticación de las empresas antes de fin de 2026.

Para mantenerse conformes y competitivas, las organizaciones B2B deben actuar ahora mismo: auditar su cadena de confianza, elegir un proveedor alineado con los nuevos requisitos y preparar sus flujos documentales para la integración de la cartera digital europea.

Certyneo te acompaña en esta transición con soluciones de firma electrónica calificada conformes a eIDAS 2, listas para 2026. Solicita una demostración o crea tu cuenta en Certyneo para asegurar tus contratos desde hoy.