Calendario eIDAS 2: despliegue de la UE 2026-2027

Introducción: por qué el calendario eIDAS 2 es crucial para tu organización

Desde la entrada en vigor del Reglamento (UE) 2024/1183 — comúnmente llamado eIDAS 2 — el marco europeo de identidad digital y firma electrónica experimenta su transformación más profunda desde 2014. Si bien el texto revisado está formalmente adoptado, su despliegue operacional, extendido entre 2024 y 2027, concentra ahora la atención de los DSI, juristas y responsables de cumplimiento. Comprender el calendario oficial de despliegue del Reglamento eIDAS 2 en la Unión Europea permite anticipar obligaciones, asegurar tus procesos contractuales y evitar cualquier incumplimiento de conformidad. Este artículo descifra las etapas clave, los actos de ejecución esperados y los impactos concretos para las empresas francesas y europeas.

---

1. Recordatorio: ¿qué es eIDAS 2 y por qué esta revisión?

1.1 Las limitaciones de eIDAS 1 (2014)

El Reglamento eIDAS original (nº 910/2014) sentó las bases de la confianza digital en Europa: reconocimiento mutuo de firmas electrónicas, creación de niveles calificados (QES), simple (SES) y avanzado (AdES), y acreditación de proveedores de servicios de confianza (Trust Service Providers, TSP). Sin embargo, diez años de aplicación han puesto de manifiesto varias carencias importantes:

• Fragmentación nacional: menos del 19 % de los ciudadanos europeos utilizaban un esquema de identificación electrónica transfronteriza en 2022 según la Comisión Europea.
• Ausencia de cartera de identidad digital: eIDAS 1 no preveía un instrumento universal que permitiera a cada ciudadano o empresa probar su identidad en línea en todos los Estados miembros.
• Cobertura parcial: los servicios de archivo electrónico calificado o las atestaciones de atributos no estaban armonizados.

1.2 Las aportaciones estructurales de eIDAS 2

Adoptado el 11 de abril de 2024 y publicado en el Diario Oficial de la UE el 30 de abril de 2024, el Reglamento (UE) 2024/1183 introduce en particular:

• La European Digital Identity Wallet (EUDI Wallet): cartera de identidad digital que cada Estado miembro debe ofrecer a sus ciudadanos.
• Nuevos servicios de confianza calificados: atestaciones de atributos electrónicos calificados, archivo electrónico calificado, gestión de dispositivos de creación de firma a distancia.
• La extensión del ámbito de aplicación: las grandes plataformas en línea (en el sentido del Reglamento DSA) deberán aceptar EUDI Wallet para la autenticación de usuarios.
• Un fortalecimiento de la gobernanza: creación de un marco de certificación de conformidad más estricto para los TSP.

Para profundizar en los fundamentos del Reglamento, nuestra guía completa sobre eIDAS 2.0 detalla todas las evoluciones regulatorias.

---

2. El calendario oficial de despliegue de eIDAS 2: etapas y fechas clave 2024-2027

El Reglamento eIDAS 2 articula su entrada en aplicación alrededor de un mecanismo en varios tiempos: entrada en vigor, actos de ejecución de la Comisión, transposición nacional y despliegue efectivo de herramientas. Aquí está la hoja de ruta oficial.

2.1 Fase 1 — Entrada en vigor y actos delegados (mayo 2024 – fin 2025)

| Fecha | Etapa | |---|---| | 30 de abril de 2024 | Publicación del Reglamento (UE) 2024/1183 en el DOUE | | 20 de mayo de 2024 | Entrada en vigor oficial (D+20 después de la publicación) | | T3-T4 2024 | Lanzamiento de grupos de trabajo sobre actos de ejecución (Toolbox eIDAS 2) | | Fin de 2024 | Publicación de las primeras especificaciones técnicas de referencia para EUDI Wallet (ARF — Architecture Reference Framework v1.4) | | T1-T2 2025 | Actos de ejecución de la Comisión sobre especificaciones técnicas de carteras (plazo de 12 meses previsto por el artículo 5a) | | T3 2025 | Actos de ejecución relativos a los nuevos servicios de confianza calificados |

La Comisión Europea publicó en enero de 2025 el primer paquete de actos de ejecución sobre las especificaciones técnicas comunes de EUDI Wallet. Estos textos constituyen la base técnica obligatoria para los Estados miembros.

2.2 Fase 2 — Despliegue de proyectos piloto y transposiciones nacionales (2025-2026)

En el marco del programa de grandes proyectos piloto (Large Scale Pilots — LSP), cuatro consorcios han probado EUDI Wallet desde 2023 en más de 360 casos de uso en 25 Estados miembros:

• EU Digital Identity Wallet Consortium (EUDIW) — 140+ entidades
• NOBID — enfocado en pagos digitales
• POTENTIAL — identidad y atributos
• DC4EU — diplomas y cualificaciones profesionales

Los resultados de estos pilotos alimentan directamente los actos de ejecución. A nivel nacional, los Estados miembros disponen de 24 meses a partir de la entrada en aplicación de los actos de ejecución para desplegar su cartera nacional. En la práctica, esto significa que la gran mayoría de los despliegues nacionales se esperan entre mediados de 2026 y fin de 2026.

| Período | Acciones esperadas | |---|---| | T1-T2 2026 | Adopción definitiva de actos de ejecución faltantes (archivo calificado, atestaciones de atributos) | | T2 2026 | Primeras versiones de producción de EUDI Wallets en Estados precursores (Alemania, Países Bajos, España) | | T3-T4 2026 | Despliegue progresivo en los 27 Estados miembros — apertura a usuarios profesionales | | Fin de 2026 | Obligaciones de aceptación de EUDI Wallet para servicios públicos en línea (art. 5b) |

Francia, a través de la Agencia Nacional de Seguridad de Sistemas de Información (ANSSI) y la Dirección Interministerial de lo Digital (DINUM), ha iniciado sus trabajos de adaptación en 2025. El proyecto de cartera francesa se basa en France Identité como base técnica.

2.3 Fase 3 — Obligaciones de aceptación para el sector privado (2027)

Esta es la etapa más impactante para las empresas. El artículo 5b del Reglamento eIDAS 2 impone que ciertos proveedores del sector privado acepten EUDI Wallet para identificación en línea en los siguientes ámbitos:

• Servicios bancarios y financieros (apertura de cuenta, KYC)
• Movilidad (transportes, alquiler de vehículos)
• Energía (contratos de consumidores)
• Plataformas en línea muy grandes (en el sentido del DSA, > 45 millones de usuarios mensuales en la UE)
• Telecomunicaciones

El plazo para aceptación obligatoria se fija en 12 meses después de la puesta a disposición de la cartera en cada Estado miembro, lo que sitúa la fecha real para la mayoría de sectores durante el primer semestre de 2027.

Para las empresas que ya utilizan soluciones de firma electrónica conforme a eIDAS, el desafío es garantizar la compatibilidad de sus flujos documentales con los nuevos atributos de identidad procedentes de las carteras digitales.

---

3. Impacto en los proveedores de servicios de confianza (TSP) y editores SaaS

3.1 Nuevas obligaciones para los TSP calificados

Los proveedores de servicios de confianza calificados (QTSP) deben actualizar sus prácticas de certificación para integrar las nuevas categorías de servicios introducidas por eIDAS 2:

• Atestaciones de atributos electrónicos calificados: permiso de conducir digital, diplomas, cualificaciones profesionales
• Archivo electrónico calificado: servicio que garantiza la integridad a largo plazo de documentos firmados
• Gestión de dispositivos de creación de firma a distancia (RQSCD): clarificación del marco para soluciones cloud

Los QTSP tienen hasta 18 meses después de la publicación de las normas ETSI revisadas (esperadas T2-T3 2026) para cumplir con los nuevos requisitos técnicos, posicionando las primeras re-certificaciones efectivas en 2027.

3.2 Qué significa esto para las empresas usuarias

Si tu organización utiliza un proveedor de firma electrónica SaaS — ya sea una solución certificada QES o una herramienta de firma avanzada — varias cuestiones de conformidad se plantean ya ahora:

1. ¿Tu proveedor está actualizando su certificación para integrar los requisitos de eIDAS 2?
2. ¿Tus flujos de firma están preparados para recibir identidades procedentes de EUDI Wallets?
3. ¿Tu política de archivo cumple con los futuros requisitos de archivo electrónico calificado?

Nuestros análisis del comparativo de soluciones de firma electrónica integran ahora el criterio de hoja de ruta eIDAS 2 como factor diferenciador clave.

3.3 Las normas técnicas de referencia

ETSI (European Telecommunications Standards Institute) es responsable de producir las normas armonizadas en las que se basa eIDAS 2. El programa de trabajo 2025-2027 cubre especialmente:

• ETSI EN 319 411-1 y -2 (revisadas): políticas y requisitos para TSP que emiten certificados
• ETSI EN 319 132-1 (XAdES) y EN 319 122-1 (CAdES): formatos de firma avanzada y calificada
• ETSI TS 119 500: marco de confianza para servicios de archivo electrónico calificado
• ISO/IEC 18013-5: protocolo de presentación de atributos mDL (mobile Driving Licence), adoptado como base técnica de EUDI Wallet

---

4. Calendario eIDAS 2 en Francia: estado de avance y obligaciones específicas

4.1 El papel de ANSSI en la gobernanza nacional

En Francia, ANSSI es la autoridad supervisora de proveedores de servicios de confianza según eIDAS. En perspectiva de eIDAS 2, lidera:

• La adaptación del referencial general de seguridad (RGS) para integrar los nuevos servicios calificados
• La participación en los trabajos del grupo de cooperación eIDAS (artículo 46e del Reglamento)
• La supervisión de auditorías de conformidad de los QTSP franceses

ANSSI publicó en marzo de 2025 una hoja de ruta nacional aclarando las etapas de adaptación del marco francés a eIDAS 2, con un punto de control previsto para septiembre de 2026.

4.2 Obligaciones para las grandes empresas francesas

Las empresas francesas que superan los umbrales del DSA u operan en sectores dirigidos por el artículo 5b deben realizar ya un análisis de impacto. Las etapas recomendadas son:

1. Cartografía de flujos de identificación: identificar los procesos donde se requiere identidad digital (KYC, firma de contratos, acceso a espacios de clientes)
2. Evaluación de proveedores actuales: verificar su hoja de ruta de conformidad con eIDAS 2
3. Plan de actualización de CGC y políticas de firma: anticipar la integración de atributos de identidad procedentes de EUDI Wallets
4. Formación de equipos jurídicos y TI: el marco técnico y legal evoluciona significativamente

Para empresas que manejan volúmenes contractuales importantes, las herramientas de firma electrónica en empresa deben evaluarse en perspectiva de su capacidad para evolucionar hacia eIDAS 2 sin ruptura de servicio.

4.3 Articulación con otras regulaciones europeas

El despliegue de eIDAS 2 no se realiza de forma aislada. Se articula estrechamente con:

• El RGPD (2016/679): los atributos de identidad contenidos en EUDI Wallets constituyen datos personales sujetos a principios de minimización y finalidad
• La Directiva NIS 2 (2022/2555): los TSP son entidades esenciales según NIS 2 y deben satisfacer requisitos de ciberseguridad reforzados
• El Reglamento DORA (2022/2554): los establecimientos financieros que utilizan servicios de confianza para operaciones digitales deben integrar estas dependencias en su cartografía de riesgos ICT
• El Reglamento sobre datos (Data Act, 2023/2854): interoperabilidad de datos de identidad entre sectores

Las empresas que ya han iniciado su conformidad con NIS 2 encontrarán sinergias significativas con la puesta en conformidad eIDAS 2, especialmente en los aspectos de gestión de riesgos y continuidad de actividad.

---

5. Preparar tu organización desde ahora: la checklist 2026

5.1 Para direcciones jurídicas y cumplimiento

• [ ] Leer el Reglamento (UE) 2024/1183 en su versión consolidada e identificar artículos aplicables a tu sector
• [ ] Cartografiar contratos y procesos que necesiten actualización (cláusulas de firma, política de conservación)
• [ ] Verificar validez jurídica transfronteriza de tus firmas electrónicas actuales en contexto eIDAS 2
• [ ] Anticipar integración de atestaciones de atributos calificados (ej: verificación de cualificación profesional para actos notariales o médicos)

5.2 Para direcciones de sistemas de información

• [ ] Evaluar compatibilidad de tu stack técnico con protocolos EUDI Wallet (OpenID4VP, ISO 18013-5)
• [ ] Identificar APIs a actualizar con editores de firma electrónica
• [ ] Prever pruebas de integración con carteras piloto disponibles en 2026
• [ ] Establecer vigilancia sobre actos de ejecución de la Comisión (notificaciones en Diario Oficial de la UE)

5.3 Para direcciones de negocio

Los beneficios esperados de una conformidad bien anticipada son concretos: reducción de fricciones en parcursos de firma gracias a identidad preverificada de EUDI Wallet, aceleración de procesos KYC y reducción de costos de verificación de identidad. Para evaluar el retorno de inversión de tu transición, nuestro calculador ROI firma electrónica integra parámetros específicos para conformidad eIDAS 2.

Finalmente, organizaciones considerando migración desde otras soluciones hacia plataforma nativement preparada para eIDAS 2 pueden consultar nuestra guía de migración desde DocuSign o YouSign hacia Certyneo, que detalla etapas técnicas y contractuales de transición sin ruptura.

Marco legal aplicable al despliegue de eIDAS 2

Textos fundacionales y jerarquía de normas

El despliegue del Reglamento eIDAS 2 se inscribe en un corpus jurídico estratificado cuyo dominio es indispensable para cualquier organización sujeta a obligaciones de conformidad.

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo — llamado « eIDAS 2 » — constituye la norma de referencia. Deroga y sustituye el Reglamento (UE) nº 910/2014 (eIDAS 1) en los puntos que revisa, mientras mantiene la validez de certificaciones existentes durante los períodos de transición previstos en artículos 51 y siguientes. Publicado en el Diario Oficial de la UE serie L el 30 de abril de 2024, entró en vigor el 20 de mayo de 2024.

El Código Civil francés, artículos 1366 y 1367, consagra el reconocimiento de la firma electrónica como equivalente a firma manuscrita cuando satisface condiciones de identificación del firmante e integridad del documento. Estas disposiciones se interpretan a la luz del derecho europeo eIDAS, que prima por principio de primacía del derecho de la Unión.

El Reglamento (UE) 2016/679 (RGPD) se aplica íntegramente a tratamientos de datos personales realizados en marco EUDI Wallet y servicios de confianza. Los atributos de identidad (datos biográficos, cualificaciones, permisos) constituyen datos de carácter personal en sentido artículo 4 §1 RGPD. El principio de minimización (art. 5 §1 c) es particularmente pertinente: proveedores solo deben recopilar atributos estrictamente necesarios para la finalidad de la transacción.

La Directiva (UE) 2022/2555 (NIS 2), transpuesta en derecho francés por ley nº 2024-449 de 21 de mayo de 2024, clasifica proveedores de servicios de confianza calificados entre entidades esenciales sujetas a obligaciones reforzadas de gestión de riesgos cyber, notificación de incidentes y seguridad de cadena de suministro.

Las normas ETSI constituyen el referencial técnico armonizado de eIDAS 2:

• ETSI EN 319 401: requisitos generales para TSP
• ETSI EN 319 411-1/-2: políticas para TSP que emiten certificados calificados
• ETSI EN 319 132-1: formato XAdES (firmas XML avanzadas)
• ETSI EN 319 122-1: formato CAdES (firmas CMS avanzadas)
• ETSI EN 319 162-1: formato ASiC (contenedores de firmas)

Riesgos jurídicos en caso de incumplimiento

El incumplimiento de obligaciones eIDAS 2 expone a las organizaciones a varios riesgos:

1. Inoposabilidad de firmas: una firma electrónica realizada vía TSP no conforme a nuevos requisitos puede perder presunción legal de validez, cuestionando valor probatorio de contratos firmados.
2. Sanciones administrativas: autoridades supervisoras nacionales (ANSSI en Francia) pueden pronunciar medidas correctivas, órdenes de puesta en conformidad, incluso retiros de acreditación para TSP.
3. Responsabilidad contractual: empresas usando herramientas no conformes pueden ver responsabilidad comprometida ante clientes y socios si litigio versa sobre validez de acto firmado electrónicamente.
4. Cumplimiento con RGPD: gestión no conforme de atributos de identidad EUDI Wallet puede exponer simultáneamente a sanciones CNIL (hasta 4% de facturación mundial anual).

Escenarios de uso concretos frente a calendario eIDAS 2

Escenario 1 — Un despacho jurídico de tamaño intermedio gestionando actos transfronterizos

Un despacho de abogados de negocios con unos quince colaboradores que trata regularmente operaciones de M&A implicando contrapartes en varios Estados miembros de la UE (Bélgica, Países Bajos, España) utiliza actualmente solución de firma electrónica calificada para actos de cesión de participaciones y protocolos de confidencialidad. Con entrada en aplicación del calendario eIDAS 2, el despacho anticipa dos evoluciones principales antes de fin 2026:

• Verificación de identidad simplificada: contrapartes extranjeras podrán presentar sus atributos de identidad vía su EUDI Wallet nacional, eliminando intercambios de copias de pasaporte y procedimientos KYC redundantes. Según estimaciones de reportes de la Comisión Europea sobre LSP, la ganancia de tiempo en fase de verificación de identidad se estima entre 40 % y 60 % según jurisdicciones implicadas.
• Valor probatorio reforzado: actos firmados con identidades atestiguadas por EUDI Wallets calificados se beneficiarán de presunción legal aún más robusta, reduciendo riesgo de impugnación judicial en litigios transfronterizos.

El despacho prevé migrar hacia plataforma SaaS con hoja de ruta eIDAS 2 documentada antes de T3 2026, aproximadamente seis meses antes de las primeras obligaciones de aceptación.

Escenario 2 — Una PYME industrial gestionando volumen alto de contratos proveedores

Una PYME del sector equipamiento industrial gestionando aproximadamente 250 contratos proveedores por año, de los cuales 30 % con socios europeos fuera de Francia, enfrenta restricciones crecientes de verificación de identidad en onboarding de nuevos proveedores. Proceso actual — solicitud Kbis, copia documento identidad representante legal, verificación manual — moviliza en promedio 2,5 horas por expediente según benchmarks sectoriales de federación compradores.

Con integración de EUDI Wallet en flujo de firma antes de 2027, la PYME proyecta:

• Una reducción de 55 a 70 % del tiempo dedicado a verificación de identidad gracias a atestaciones de atributos calificados (número registro mercantil, representación legal)
• Una disminución de 80 % de requerimientos documentales a proveedores extranjeros
• Una seguridad incrementada contra fraude documental, siendo atributos criptográficamente verificables

La PYME ha identificado necesidad de actualizar condiciones generales de compra para integrar referencias a atestaciones eIDAS 2, en coordinación con su asesoría jurídica.

Escenario 3 — Un agrupamiento hospitalario anticipando conformidad para actos médicos digitales

Un agrupamiento hospitalario de aproximadamente 900 camas distribuidas en tres sedes debe gestionar firma electrónica de documentos médicos sensibles: consentimientos informados, prescripciones, relatos operatorios y contratos con proveedores de cuidados. Regulación francesa impone firma calificada para ciertos actos médicos de peso jurídico fuerte.

En perspectiva del calendario eIDAS 2, el agrupamiento anticipa llegada de atestaciones de atributos calificados para cualificaciones profesionales de salud (número RPPS, especialidad, establecimiento ejercicio), que permitirán:

• Automatizar verificación de cualificación del firmante (médico, cirujano, farmacéutico) sin verificación manual en directorios profesionales
• Reducir riesgos de error de atribución de firma durante reemplazos y guardias
• Facilitar portabilidad de historiales médicos digitales entre establecimientos, en marco del espacio europeo de datos de salud (EHDS)

El agrupamiento estima que integración de flujos EUDI Wallet en su sistema de información hospitalaria (SIH) representa proyecto de 12 a 18 meses, justificando lanzamiento de estudios técnicos desde T3 2026 para puesta en producción antes de obligación de aceptación sectorial.

Conclusión

El calendario de despliegue del Reglamento eIDAS 2 en la Unión Europea está ahora claramente marcado: actos de ejecución finalizándose en 2026, despliegue de EUDI Wallets nacionales entre mediados de 2026 y fin de 2026, y obligaciones de aceptación para sector privado a partir de primer semestre 2027. Esta hoja de ruta deja una ventana de acción concreta para empresas francesas y europeas, siempre que inició ya el análisis de conformidad, evaluación de proveedores y actualización de procesos contractuales.

Esperar a 2027 para ponerse en conformidad es asumir riesgo de transición en urgencia, con costos y riesgos jurídicos que ello implica. Certyneo, diseñado nativamente para requisitos eIDAS y en hoja de ruta activa hacia eIDAS 2, te acompaña desde hoy en esta transición. Comienza gratuitamente en Certyneo y asegura tus flujos documentales en respeto del marco europeo de confianza digital.