eIDAS 2 vs eIDAS 1: cambios clave para las PYMES

Introducción: por qué eIDAS 2 cambia las reglas para las PYMES

Desde el 20 de mayo de 2024, el reglamento (UE) 2024/1183 — comúnmente llamado eIDAS 2 — ha entrado en vigor, derogando y reemplazando progresivamente el reglamento (UE) n° 910/2014 (eIDAS 1). Para las PYMES francesas, este cambio no es una simple actualización administrativa: redefine los niveles de confianza digital, introduce una cartera de identidad europea (EUDIW), refuerza los requisitos aplicables a los proveedores de servicios de confianza y amplía el alcance de los servicios reconocidos. Este artículo compara punto por punto eIDAS 1 y eIDAS 2, identifica los impactos operativos concretos para las pequeñas y medianas empresas, y le proporciona un plan de acción para mantenerse conforme en 2026.

---

1. Recordatorio: lo que planteaba eIDAS 1 (2014-2024)

1.1 Los cimientos del reglamento inicial

Adoptado en julio de 2014 y aplicable desde septiembre de 2016, eIDAS 1 estableció los primeros pilares de un espacio de confianza digital europeo. Introdujo tres grandes categorías de firma electrónica — simple (SES), avanzada (AdES) y cualificada (QES) — y creó la lista de confianza de los proveedores cualificados (Trusted List), consultable en el portal de la Comisión Europea.

Para las PYMES, el aporte principal de eIDAS 1 fue el reconocimiento transfronterizo de las firmas cualificadas: un contrato firmado con una QES francesa era jurídicamente reconocido en Alemania, España o Italia sin apóstol ni formalidad adicional. Este principio — llamado de «no discriminación» — fue el fundamento sobre el cual ofertas SaaS como Certyneo construyeron sus servicios.

1.2 Las limitaciones identificadas

A pesar de sus avances, eIDAS 1 sufría de varias carencias documentadas por la Comisión Europea en su informe de evaluación de 2021:

• Fragmentación de esquemas de identidad: solo los Estados miembros que notificaron su esquema nacional (como FranceConnect+ nivel sustancial) se beneficiaban del reconocimiento mutuo. En 2023, solo 14 Estados de 27 habían notificado un esquema conforme.
• Ausencia de soporte móvil nativo: el dispositivo cualificado de creación de firma (QSCD) a menudo requería una tarjeta inteligente o un token de hardware, frenando la adopción móvil.
• Servicios de confianza limitados: eIDAS 1 enumeraba nueve tipos de servicios cualificados; los nuevos usos (archivo electrónico cualificado, gestión de atributos) no estaban regulados.
• Sin cartera de identidad unificada: cada ciudadano o empresa gestionaba sus identificadores de manera aislada, sin interoperabilidad garantizada.

Estas limitaciones llevaron a la Comisión a iniciar la revisión desde 2020, resultando en el reglamento eIDAS 2 después de tres años de trilógo.

---

2. Las cinco grandes novedades de eIDAS 2 para las PYMES

2.1 La cartera de identidad digital europea (EU Digital Identity Wallet — EUDIW)

Esta es la novedad más visible del reglamento. Antes del mes de noviembre de 2026 (plazo de transposición establecido por el artículo 5a), cada Estado miembro deberá proporcionar al menos una cartera de identidad digital certificada a sus ciudadanos y residentes. Para las PYMES, esta evolución tiene dos consecuencias directas:

1. Autenticación simplificada de clientes y socios: la cartera permitirá compartir atributos verificados (edad, número de IVA intracomunitario, extracto del registro mercantil, datos bancarios certificados) sin fricción. Un acuerdo marco con un socio alemán podrá firmarse después de verificación instantánea de sus atributos profesionales desde su EUDIW.
2. Obligación de aceptación para ciertos sectores: los servicios en línea de grandes plataformas (artículo 45bis) y ciertos servicios públicos deberán aceptar el EUDIW como medio de autenticación. Las PYMES que proporcionan portales B2B deberán adaptar sus API de autenticación.

2.2 Extensión de la lista de servicios de confianza cualificados

eIDAS 2 amplía el catálogo de servicios de confianza cualificados de 9 a 14 categorías. Las nuevas entradas que afectan directamente a las PYMES son:

• El archivo electrónico cualificado (art. 45septies): conservación de largo plazo con valor probatorio reforzado. Hasta ahora, el archivo con valor probatorio se basaba en referentes nacionales (en Francia, el referente SIAF/ANSSI); eIDAS 2 armoniza el marco europeo.
• La gestión remota de dispositivos cualificados de creación de firma (RQSCD): ahora explícitamente regulada, elimina las ambigüedades que pesaban sobre las soluciones cloud de firma cualificada. Para una PYME de 50 empleados, esto significa acceder a una firma cualificada sin token físico, desde cualquier dispositivo.
• El servicio de registro electrónico cualificado: los registros basados en blockchain o tecnologías de libro mayor distribuido ahora pueden obtener el estatus cualificado, abriendo el camino a nuevos modelos de gestión contractual.

Para saber más sobre los niveles de firma y su valor legal, consulte nuestro guía completo de firma electrónica.

2.3 Refuerzo de los requisitos de seguridad para proveedores cualificados (QTSP)

eIDAS 2 endurece las obligaciones de los proveedores de servicios de confianza cualificados (QTSP). El artículo 24 revisado impone en particular:

• Una certificación de ciberseguridad conforme al marco europeo (EU Cybersecurity Act, reglamento 2019/881), con esquemas sectoriales en desarrollo por la ENISA.
• Requisitos reforzados en términos de resiliencia operativa: los QTSP ahora deben documentar su plan de continuidad de negocio y presentarlo a su organismo de supervisión nacional (en Francia, la ANSSI para proveedores cualificados).
• Una obligación de notificación de incidentes de seguridad dentro de 24 horas (alineación con NIS 2).

Para las PYMES usuarias, esto se traduce en una obligación de diligencia debida reforzada en la elección del proveedor: verificar que su solución de firma figura efectivamente en la Trusted List europea actualizada es ahora un paso crítico en su proceso de compra. Nuestro comparativo de soluciones de firma electrónica puede ayudarle en este análisis.

2.4 Interoperabilidad obligatoria de esquemas de identidad

Donde eIDAS 1 dejaba a los Estados miembros libertad para notificar (o no) su esquema, eIDAS 2 hace la notificación e interoperabilidad obligatorias para esquemas de identidad utilizados en servicios públicos en línea (art. 5). France Identité — el esquema nacional llevado por el ministerio del Interior — se está actualizando para cumplir con las especificaciones técnicas de la EUDIW, publicadas por la Comisión en el reglamento de ejecución (UE) 2024/2977.

Para una PYME que interactúa regularmente con administraciones públicas (contratación pública, declaraciones fiscales telemáticas, procedimientos aduanales), esta evolución significa que los trámites en línea se unificarán progresivamente alrededor de un identificador digital único y reconocido en toda la UE.

2.5 Nuevas reglas de responsabilidad y supervisión

eIDAS 2 aclara y amplía los regímenes de responsabilidad de proveedores (art. 13 revisado). Un QTSP ahora es presumiblemente responsable de todo daño causado a una persona física o moral por incumplimiento de sus obligaciones, salvo que pruebe la ausencia de culpa. Esta presunción de responsabilidad, reforzada respecto a eIDAS 1, debe incitar a las PYMES a:

• Formalizar por contrato los compromisos de su proveedor (SLA, garantías de disponibilidad, indemnización).
• Verificar la cobertura de seguro de responsabilidad civil profesional del QTSP.
• Conservar las pruebas de auditoría de transacciones firmadas (registros de marca de tiempo, informes de verificación de firma).

Nuestros equipos han redactado una guía detallada sobre firma electrónica en empresa que aborda estos aspectos contractuales.

---

3. Tabla comparativa eIDAS 1 vs eIDAS 2: qué cambia concretamente

3.1 Síntesis de las evoluciones mayores

| Criterio | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Cartera de identidad | Ausente | EUDIW obligatoria (Estados miembros) | | Servicios cualificados | 9 categorías | 14 categorías (archivo, RQSCD, registros…) | | Notificación esquemas | Facultativa | Obligatoria para servicios públicos | | Seguridad QTSP | Criterios Common Criteria | Cybersecurity Act + esquemas ENISA | | Responsabilidad QTSP | Parcial | Presunción de responsabilidad reforzada | | Plazo notificación incidente | No especificado | 24 horas (alineación NIS 2) | | QSCD móvil | Ambigüedad jurídica | RQSCD explícitamente regulado |

3.2 Los plazos clave a retener para 2026

• Mayo 2024: entrada en vigor del reglamento (UE) 2024/1183.
• Noviembre 2026: fecha límite para que cada Estado miembro proponga al menos una solución EUDIW certificada.
• 2027: obligación para grandes plataformas (art. 45bis) de aceptar EUDIW como medio de autenticación.
• 2028: revisión prevista de los actos de ejecución técnicos (reglamentos delegados sobre especificaciones EUDIW).

Si su PYME está considerando migrar hacia una solución más conforme, nuestra oferta de migración hacia Certyneo incluye una auditoría de conformidad eIDAS 2 gratuita.

---

4. Plan de acción práctico para poner su PYME conforme con eIDAS 2

4.1 Auditar sus flujos documentales existentes

Comience por mapear todos los procesos en los que actualmente utiliza firma electrónica o identidad digital: contatos con proveedores, nóminas desmaterializadas, mandatos SEPA, acuerdos de confidencialidad, actos de RRHH. Para cada flujo, identifique:

• El nivel de firma utilizado (SES, AdES, QES).
• El proveedor actual y su estatus en la Trusted List.
• El nivel de riesgo legal en caso de disputa.

Esta auditoría es el punto de partida recomendado por la ANSSI en su guía de puesta en conformidad publicada en marzo de 2025.

4.2 Actualizar su solución de firma

Si su proveedor actual no figura en la Trusted List eIDAS 2 o aún no ofrece RQSCD, es momento de comparar las ofertas del mercado. Certyneo es un QTSP certificado que soporta los tres niveles de firma (SES, AdES, QES) e integra nativamente los nuevos requisitos eIDAS 2, especialmente archivo cualificado y gestión remota de dispositivos.

4.3 Formar a sus equipos y actualizar sus contratos

eIDAS 2 refuerza el valor probatorio de las firmas cualificadas pero también impone buenas prácticas documentales. Asegúrese de que sus equipos jurídicos y administrativos:

• Saben distinguir los tres niveles de firma y su valor legal respectivo.
• Integran en contratos de proveedores una cláusula de auditoría de conformidad eIDAS.
• Conservan las pruebas de verificación de firma (informe de validación, marca de tiempo cualificada) durante el plazo legal de conservación aplicable (3 a 10 años según la naturaleza del acto).

Para estructurar este enfoque, nuestro calculador ROI firma electrónica le permitirá cuantificar las ganancias operativas relacionadas con la actualización.

Marco legal aplicable

Textos de referencia

La puesta en conformidad con eIDAS 2 para una PYME francesa se inscribe en un apilamiento normativo que es esencial dominar.

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (denominado «eIDAS 2»): es el texto fundador, publicado en el DOUE el 30 de abril de 2024. Deroga y reemplaza el reglamento (UE) n° 910/2014 según un calendario de despliegue progresivo que se extiende hasta 2027. Se aplica directamente en todos los Estados miembros, sin requerir transposición legislativa nacional para sus disposiciones principales.

Reglamento (UE) n° 910/2014 (eIDAS 1): algunas de sus disposiciones siguen siendo aplicables durante los períodos transitorios previstos por eIDAS 2, especialmente para proveedores cualificados que obtuvieron su calificación antes de mayo de 2024 y disponen de plazo para recertificarse.

Código Civil francés, artículos 1366 y 1367: el artículo 1366 establece el principio de equivalencia entre escrito electrónico y escrito en papel, bajo la condición de que «la persona de quien emana pueda ser debidamente identificada y que se establezca y conserve en condiciones que garanticen su integridad». El artículo 1367 reconoce la firma electrónica como modo de prueba, remitiendo a las condiciones fijadas por decreto en Consejo de Estado (decreto n° 2017-1416 de 28 de septiembre de 2017, codificado en los artículos R. 1369-1 a R. 1369-10 del Código Civil).

Reglamento (UE) 2016/679 (RGPD): el despliegue del EUDIW y el tratamiento de atributos de identidad en flujos de firma electrónica constituyen tratamientos de datos personales en el sentido del RGPD. Las PYMES deben asegurar que su QTSP actúa como encargado del tratamiento en el sentido del artículo 28 RGPD, con un DPA (Data Processing Agreement) conforme. La CNIL publicó en enero de 2026 una recomendación específica sobre la integración EUDIW-RGPD.

Directiva (UE) 2022/2555 (NIS 2): eIDAS 2 se alinea explícitamente con NIS 2 para obligaciones de notificación de incidentes (art. 24, §2 eIDAS 2 remitiendo a disposiciones NIS 2). Los QTSP se consideran entidades «esenciales» o «importantes» en el sentido de NIS 2 según su tamaño, y sujetos en consecuencia a auditorías de seguridad regulares.

Normas ETSI: las firmas electrónicas cualificadas deben cumplir las normas ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) y ETSI EN 319 102-1 (procedimiento de validación). La norma ETSI TS 119 461 regula la verificación remota de identidad (IDV), particularmente relevante para RQSCD.

Riesgos legales en caso de no conformidad

Usar una solución de firma electrónica no conforme con eIDAS 2 expone a la PYME a varios riesgos:

• Inadmisibilidad ante tribunales: un juez puede descartar una firma electrónica cuyo nivel no corresponda al acto firmado (ej.: firma simple para un acto que requiere nivel avanzado o cualificado).
• Responsabilidad contractual: si un contrato es contestado por un socio alegando nulidad de la firma, la PYME puede estar expuesta a demandas de indemnización.
• Sanciones RGPD: en caso de violación de datos relacionada con defecto de seguridad del proveedor, la PYME, corresponsable o responsable del tratamiento, puede ser sancionada por la CNIL hasta 4% de la facturación anual mundial (art. 83 §4 RGPD).

Escenarios de uso concretos

Escenario 1: una PYME industrial de 80 empleados gestionando 400 contratos de proveedores por año

Una PYME del sector metalúrgico manejando aproximadamente 400 contratos con proveedores anuales utilizaba hasta 2024 una solución de firma electrónica simple (SES) para todos sus compromisos, incluyendo contratos marco superiores a 50 000 €. Después de una auditoría de conformidad eIDAS 2, constató que 35% de sus contratos requerían firma avanzada o cualificada para resistir una disputa judicial, especialmente con proveedores establecidos en otros Estados miembros de la UE.

Al migrar hacia una solución combinando firma avanzada (AdES) para contratos corrientes y cualificada (QES) para contratos marco, e implementando archivo electrónico cualificado (nuevo servicio eIDAS 2), esta PYME redujo 70% el tiempo dedicado a gestión documental post-firma (clasificación, búsqueda, envío de copias certificadas) y llevó a cero las disputas relacionadas con contestación de firma en los 18 meses siguientes, contra dos incidentes en los 18 meses anteriores.

Escenario 2: un despacho de asesoramiento jurídico de 15 colaboradores

Un despacho especializado en derecho mercantil, emitiendo en promedio 1 200 actos firmados por año (cartas de encargo, mandatos, acuerdos de confidencialidad), enfrentaba demanda creciente de sus clientes corporativos por firmas cualificadas reconocibles en toda la UE. Bajo eIDAS 1, obtener un certificado cualificado requería procedimiento presencial o verificación por video larga (45 a 90 minutos por usuario).

Gracias al RQSCD (Remote Qualified Signature Creation Device) regulado por eIDAS 2, el despacho pudo desplegar firma cualificada para todos sus colaboradores en menos de dos semanas, mediante procedimiento de inscripción 100% remoto conforme a norma ETSI TS 119 461. La tasa de adopción interna pasó de 40% a 95% en tres meses, y el plazo promedio de retorno de actos firmados se redujo de 4,2 días a menos de 6 horas según mediciones internas del despacho.

Escenario 3: una PYME de comercio electrónico operando en tres países de la UE

Una empresa de venta en línea empleando 35 personas y operando en Francia, Bélgica y Países Bajos debía gestionar tres tipos de acuerdos electrónicos: contratos de empleo para empleados locales, acuerdos de asociación con transportistas, y mandatos SEPA para clientes profesionales. La fragmentación de requisitos nacionales bajo eIDAS 1 la obligaba mantener tres flujos de firma distintos, con costos de gestión estimados aproximadamente en 12 000 € por año.

La adopción de solución única conforme eIDAS 2 — integrando reconocimiento mutuo de firmas cualificadas en los tres países — permitió unificar flujos, reducir costo de gestión a aproximadamente 4 500 € por año (economía de 62%) y eliminar retrasos relacionados con validación manual de firmas extranjeras por servicio jurídico.

Conclusión

eIDAS 2 no es una simple revisión cosmética del marco regulatorio: redefine profundamente las reglas del juego de la confianza digital en Europa. Para las PYMES francesas, las cinco evoluciones mayores — cartera EUDIW, extensión de servicios cualificados, RQSCD, interoperabilidad obligatoria y responsabilidad reforzada — representan tanto una restricción de conformidad como una oportunidad para acelerar su transformación documental.

Las PYMES que anticipan estos cambios hoy se beneficiarán de una ventaja competitiva real: contratos reconocidos en toda la UE sin fricción, archivo con valor probatorio integrado, y procesos de firma completamente desmaterializados y seguros.

Certyneo está diseñado para acompañar esta transición. Comience su prueba gratuita en certyneo.com y obtenga una auditoría de conformidad eIDAS 2 gratuita para sus flujos documentales existentes.