Certificación eIDAS 2 para prestadores de firma electrónica 2026

Por qué la certificación eIDAS 2 cambia las reglas para los prestadores

Desde la entrada en vigor del Reglamento (UE) 2024/1183 del 11 de abril de 2024 — comúnmente conocido como eIDAS 2 — los prestadores de servicios de confianza (PSC) que operan en la Unión Europea enfrentan un marco regulatorio profundamente reformulado. La revisión del reglamento eIDAS original de 2014 no se limita a ampliar el alcance de los servicios reconocidos: endurece significativamente las condiciones de acreditación, introduce nuevos niveles de garantía y refuerza los requisitos de supervisión de los organismos de control nacionales. Para cualquier actor que desee ofrecer servicios de firma electrónica cualificada (QES) o avanzada (AdES) en el mercado europeo, comprender cómo obtener una certificación eIDAS 2 para prestador de firma ya no es una opción — es una obligación estratégica.

Este artículo ofrece un panorama exhaustivo del proceso de certificación: textos aplicables, normas técnicas a respetar, papel de los organismos de evaluación de la conformidad (CAB), plazos realistas y puntos críticos operacionales.

---

El nuevo panorama regulatorio eIDAS 2: qué ha cambiado

Del reglamento 910/2014 al reglamento 2024/1183: las evoluciones principales

El reglamento eIDAS original (n° 910/2014) había sentado las bases de un mercado único digital de confianza en Europa. Definía tres niveles de firma — simple, avanzada y cualificada — e imponía a los prestadores cualificados figurar en las listas de confianza nacionales (TSL, Trust Service Lists). eIDAS 2 conserva esta arquitectura pero la enriquece en varios puntos estructurales:

• Extensión de los servicios cualificados: archivo electrónico cualificado, certificaciones electrónicas de atributos (AEA), gestión remota de dispositivos de creación de firma cualificada (QSCD). Estos nuevos servicios están ahora sujetos al mismo procedimiento de acreditación que la firma cualificada.
• La cartera europea de identidad digital (EUDIW): los prestadores que deseen interactuar con la futura cartera de identidad deben demostrar su conformidad con las especificaciones técnicas publicadas por la Comisión (ARF — Architecture and Reference Framework, v1.4, 2024).
• Reforzamiento de la supervisión: las autoridades de supervisión nacionales (en Francia, la ANSSI) cuentan con poderes de investigación e imposición reforzados. Los PSC cualificados pueden ser objeto de auditorías sorpresivas.
• Plazos de notificación reducidos: todo incidente de seguridad significativo debe ser notificado a la autoridad competente en 24 horas (frente a las 72 horas en la versión anterior para ciertos incidentes).

Para una visión general del reglamento, la guía eIDAS 2.0 de Certyneo ofrece una síntesis pedagógica de todas estas evoluciones.

Los niveles de garantía y sus implicaciones para la certificación

La distinción entre firma electrónica avanzada y cualificada sigue siendo el pivote del sistema. Solo la QES se beneficia de una presunción legal de integridad e imputabilidad equivalente a la firma manuscrita (art. 25 del reglamento eIDAS 2). Esta presunción está directamente condicionada a la certificación del prestador.

| Nivel | Valor probatorio | Requisito prestador | |---|---|---| | Simple (SES) | Limitado | Ninguno | | Avanzada (AdES) | Significativo | Buenas prácticas + normas ETSI | | Cualificada (QES) | Máximo (presunción legal) | Certificación eIDAS 2 obligatoria |

---

El proceso de certificación eIDAS 2 paso a paso

Paso 1 — Requisitos organizacionales y técnicos previos

Antes de iniciar formalmente el proceso de certificación, un prestador debe auditar su nivel de madurez en tres ejes:

1. Conformidad con las normas ETSI Las normas de la serie EN 319 constituyen la base técnica indispensable. Las principales son:

• ETSI EN 319 401: requisitos generales para prestadores de servicios de confianza
• ETSI EN 319 411-1 y 411-2: políticas y requisitos para autoridades de certificación que emiten certificados (perfiles PTC-QC para certificaciones cualificadas)
• ETSI EN 319 421: política y requisitos para prestadores de servicios de sellado de tiempo
• ETSI EN 319 132: formatos de firma XAdES (XML) y la serie asociada CAdES (CMS) y PAdES (PDF)

La conformidad con estas normas no es opcional para los prestadores cualificados: está explícitamente requerida por los actos de ejecución de la Comisión Europea.

2. Seguridad de los sistemas de información Los QSCD (dispositivos de creación de firma cualificada) deben estar certificados según Common Criteria (CC) EAL4+ o equivalente. Para soluciones de firma remota — modelo dominante en SaaS — los requisitos también afectan a los módulos HSM (Hardware Security Module) y los procedimientos de gestión de claves criptográficas (conformidad FIPS 140-2 nivel 3 mínimo).

3. Política de seguridad (PSSI) y gestión de riesgos El dossier de certificación requiere una PSSI formalizada, alineada con ISO/IEC 27001 (cuya certificación es muy recomendada y a veces exigida por los CAB) e integrando los requisitos de NIS2 para entidades calificadas como « importantes » o « esenciales ».

Paso 2 — Selección y contratación de un organismo de evaluación de la conformidad (CAB)

En Francia, los CAB acreditados por el COFRAC (Comité Francés de Acreditación) para evaluar prestadores de servicios de confianza son pocos. A modo de ejemplo, LSTI (Laboratorio de Seguridad de Tecnologías de la Información) y Bureau Veritas Certification figuran entre los actores referenciados. A escala europea, cada Estado miembro publica la lista de sus CAB notificados.

El rol del CAB es conducir un audit de conformidad en dos fases:

1. Revisión documental (Fase 1): examen de políticas, procedimientos, Declaración de Prácticas de Certificación (DPC / CPS) y pruebas técnicas.
2. Auditoría in situ (Fase 2): verificación de controles operacionales, pruebas de penetración, entrevistas con los equipos.

La duración total de una auditoría CAB generalmente varía de 4 a 8 semanas según la madurez previa del candidato.

Paso 3 — Instrucción por la autoridad de supervisión nacional

En Francia, es la ANSSI (Agencia Nacional de Seguridad de Sistemas de Información) quien instruye las solicitudes de inscripción en la lista de confianza nacional (TSL FR). Sobre la base del informe de auditoría CAB, la ANSSI realiza su propio análisis y puede solicitar información complementaria o medidas correctivas.

El plazo regulatorio de instrucción es de 3 meses a partir de la recepción de un dossier completo (art. 17 del reglamento eIDAS 2). En la práctica, los plazos efectivos son frecuentemente más largos si el dossier inicial está incompleto.

Una vez inscrito en la TSL nacional, el prestador se referencia automáticamente en la EUTL (EU Trusted List), publicada por la Comisión Europea, lo cual le confiere un reconocimiento transfronterizo inmediato en los 27 Estados miembros.

Paso 4 — Mantenimiento de la calificación y renovación

La certificación eIDAS 2 no es definitiva. Los prestadores cualificados están sujetos a:

• Una auditoría de vigilancia anual realizada por el CAB
• Una auditoría de renovación completa cada 24 meses (ciclo acortado respecto a la práctica anterior)
• Controles sorpresivos posibles por iniciativa de la ANSSI

Cualquier cambio sustancial en la infraestructura (cambio de HSM, evolución de la PKI, nuevo servicio cualificado) desencadena un procedimiento de notificación previa y puede imponer una auditoría parcial.

---

Costos, plazos y factores de riesgo: lo que los DSI deben anticipar

Presupuesto y recursos humanos

El costo de una primera certificación eIDAS 2 es significativo. Los rubros de gasto comprenden:

• Auditoría CAB: entre 40 000 € y 120 000 € según la complejidad del alcance
• Cumplimiento técnico (HSM, PKI, QSCD certificados CC): de 80 000 € a varios cientos de miles de euros para una infraestructura propia
• Certificación ISO 27001 (recomendada previamente): 15 000 a 50 000 € según el tamaño
• Honorarios de asesoramiento legal y redacción DPC: 10 000 a 30 000 €
• Costos internos: movilización de un equipo dedicado (RSSI, DPO, responsable de cumplimiento) durante 12 a 18 meses

Sumando todos estos rubros, una certificación completa representa una inversión global del orden de 200 000 a 500 000 € para un prestador de tamaño intermedio, sin incluir costos recurrentes de mantenimiento.

Factores de riesgo operacionales

Las causas más frecuentes de fracaso o retraso en los procedimientos de certificación son:

1. Una DPC insuficientemente detallada: la Declaración de Prácticas de Certificación debe documentar cada control con una granularidad a veces subestimada.
2. Lagunas en la gestión del ciclo de vida de las claves: revocación, archivo, destrucción de claves privadas.
3. Una gobernanza de incidentes insuficiente: ausencia de SIEM, procedimientos de gestión de crisis probadas, runbooks.
4. La subestimación de NIS2: desde octubre de 2024, los PSC cualificados se clasifican automáticamente como entidades « importantes » conforme a la Directiva NIS2, con obligaciones adicionales de notificación y gestión de riesgos.

Para las empresas que deseen delegar estas restricciones a un prestador ya certificado en lugar de construir su propia infraestructura, el comparativo de soluciones de firma electrónica disponible en Certyneo ayuda a objetivar esta decisión de construir vs. comprar.

---

eIDAS 2 y firma electrónica en empresa: desafíos de transición

Para las empresas usuarias — a diferencia de los prestadores — la certificación eIDAS 2 de su proveedor SaaS de firma es un criterio de selección ahora imprescindible. Integrar en los pliegos de condiciones una cláusula exigiendo la presencia en la TSL nacional se ha convertido en una práctica estándar en los sectores regulados (finanzas, sanidad, inmobiliario).

La firma electrónica en empresa impone en efecto distinguir claramente los casos de uso que requieren QES — actos bajo firma privada de alto riesgo, mandatos, actos notariales electrónicos — de aquellos donde una AdES es suficiente. Esta cartografía de los usos condiciona directamente el nivel de servicio contractualmente exigible al prestador.

Las organizaciones que migran de una solución existente a un prestador certificado eIDAS 2 también deben anticipar la portabilidad de los archivos de pruebas. La guía sobre la migración desde DocuSign o YouSign a Certyneo detalla las mejores prácticas para preservar el valor probatorio de los documentos ya firmados durante la transición.

Marco legal aplicable a la certificación eIDAS 2

Textos fundamentales

La certificación de los prestadores de servicios de confianza se basa en una acumulación normativa densa que conviene dominar en su totalidad:

Reglamento (UE) 2024/1183 del 11 de abril de 2024 (eIDAS 2): texto de referencia que deroga y sustituye las disposiciones correspondientes del reglamento 910/2014. Define las condiciones para obtener y mantener el estatus de prestador cualificado, las obligaciones de supervisión nacional y los requisitos relativos a los nuevos servicios (EUDIW, AEA).

Reglamento (UE) n° 910/2014 (eIDAS 1): aún parcialmente aplicable para las disposiciones no modificadas; los actos de ejecución y delegados adoptados bajo este reglamento permanecen en vigor hasta su revisión formal.

Código Civil francés, artículos 1366 y 1367: el artículo 1366 establece el principio de equivalencia de la firma electrónica a la firma manuscrita bajo condición de fiabilidad; el artículo 1367 precisa que la fiabilidad se presume hasta prueba en contrario cuando se utiliza la firma cualificada. Estas disposiciones nacionales se articulan directamente con la presunción legal del art. 25 eIDAS 2.

Directiva (UE) 2022/2555 (NIS2): transpuesta al derecho francés por la ley del 15 de octubre de 2024, clasifica automáticamente a los prestadores de servicios de confianza cualificados entre las entidades importantes. Obligaciones: notificación a la ANSSI dentro de 72 horas para cualquier incidente significativo, implementación de una gestión de riesgos cibernéticos formalizada, auditoría de seguridad periódica.

Reglamento (UE) 2016/679 (RGPD): los prestadores de servicios de firma tratan datos personales sensibles (identidad de los firmantes, registros de auditoría). El respeto de los principios de minimización, limitación de la conservación e integridad impone un análisis de impacto (AIPD) específico. La base legal del tratamiento debe estar documentada para cada servicio.

Normas técnicas con valor reglamentario

Los actos de ejecución de la Comisión Europea (en particular la Decisión de Ejecución (UE) 2015/1506 y sus revisiones) designan las normas ETSI como presuntivas de conformidad:

• ETSI EN 319 401: requisitos generales TSP
• ETSI EN 319 411-1 y 411-2: políticas de certificación
• ETSI EN 319 421: sellado de tiempo cualificado
• ETSI EN 319 132 / 122 / 102: formatos AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: servicios de firma remota

Riesgos jurídicos en caso de incumplimiento

El uso fraudulento o negligente del estatus de prestador cualificado expone a sanciones administrativas pronunciadas por la ANSSI (suspensión, retiro de la lista de confianza) y a persecución penal (art. 226-17 del Código Penal por defecto de seguridad de datos personales). En el plano civil, cuestionar el valor probatorio de las firmas emitidas durante un período de incumplimiento puede comprometer la responsabilidad contractual del prestador ante sus clientes.

Escenarios de uso: la certificación eIDAS 2 en la práctica

Escenario 1 — Un editor SaaS de tamaño intermedio apuntando a la calificación QES

Una sociedad especializada en desmaterialización documental, con unos cien colaboradores y gestionando varios millones de transacciones de firma anualmente para clientes en los sectores bancario y de seguros, decide solicitar la calificación eIDAS 2 para su servicio de firma electrónica. Hasta ahora, la empresa ofrecía una firma avanzada basada en certificados (AdES), suficiente para la mayoría de sus contratos con clientes, pero insuficiente para los actos que requieren valor probatorio máximo (mandatos SEPA, convenciones de prueba notariadas).

Después de una auditoría interna de 3 meses que revela unos quince desvíos mayores respecto a los requisitos ETSI EN 319 411-2, la empresa inicia un programa de cumplimiento sobre 14 meses. Los principales proyectos afectan al reemplazo de los HSM existentes por módulos certificados FIPS 140-2 nivel 3, la redacción de una DPC de 180 páginas y la obtención de la certificación ISO 27001 previamente a la auditoría CAB. La inversión total alcanza 340 000 €. Al final del proceso, la inscripción en la TSL francesa permite a la empresa acceder a licitaciones de las que sistemáticamente había sido excluida, representando un potencial comercial estimado en 20 % de ingresos adicionales.

Escenario 2 — Un agrupamiento hospitalario integrando la firma cualificada para actos medico-legales

Un agrupamiento hospitalario de aproximadamente 1 200 camas desea desmaterializar sus procesos de consentimiento informado, delegación de poderes médicos y contratos de investigación clínica. Estos documentos se enmarcan en la categoría de actos para los cuales la QES es requerida o fuertemente recomendada por los referentes de la HAS y el marco legal de datos de salud (art. L. 1110-4 CSP).

En lugar de certificar una infraestructura interna — opción considerada demasiado costosa y fuera del núcleo de negocio — el agrupamiento opta por integrar un prestador tercero ya inscrito en la TSL. La DSI realiza una auditoría de conformidad del proveedor sobre la base de la lista de verificación ETSI EN 319 401 y verifica la presencia efectiva en la EUTL antes de cualquier contractualización. El despliegue, realizado en 4 meses, reduce en 65 % el plazo de recopilación de firmas en los dossiers de investigación clínica y elimina el riesgo de controversia jurídica vinculado al uso anterior de firmas simples para actos sensibles.

Escenario 3 — Un despacho de abogados de negócios asegurando sus actos bajo firma privada

Un despacho de abogados de negócios de unos treinta socios, gestionando anualmente cerca de 400 operaciones de fusión-adquisición y transmisiones de fondos de comercio, busca reforzar la firma de sus actos bajo firma privada complejos. El valor unitario de las transacciones tratadas frecuentemente supera el millón de euros, y cualquier vicio de forma puede comprometer la responsabilidad profesional del despacho.

Después del análisis, el equipo IT y el socio gestor se ponen de acuerdo sobre la exigencia contractual mínima de una QES emitida por un prestador certificado eIDAS 2 para todo acto cuyo valor supere 100 000 €. El criterio de selección del prestador integra obligatoriamente la verificación de la inscripción en la TSL nacional y la disponibilidad de un certificado de conformidad ETSI reciente (menos de 12 meses). Este marco permite al despacho reducir en más del 80 % las solicitudes de pericia contradictoria sobre la validez de las firmas en litigios posteriores, según los retroalimentaciones observadas en estructuras comparables en el sector.

Conclusión

Obtener una certificación eIDAS 2 como prestador de servicios de firma electrónica es un proceso exigente, costoso y largo — pero imprescindible para todo actor que desee ofrecer garantías legales máximas a sus clientes en el mercado europeo. Entre el cumplimiento de las normas ETSI, la superación de la auditoría CAB, la instrucción por la ANSSI y el mantenimiento de la calificación a largo plazo, el proceso moviliza recursos sustanciales durante 12 a 24 meses.

Para las empresas usuarias, la buena noticia es que no es necesario construir esta infraestructura internamente: elegir un prestador SaaS ya certificado eIDAS 2 e inscrito en la lista de confianza nacional permite beneficiarse inmediatamente de la presunción legal vinculada a la QES, sin soportar los costos de certificación.

Certyneo es un prestador de confianza certificado, diseñado para empresas B2B que exigen rigor jurídico y simplicidad de uso. Descubre nuestros precios e inicia tu prueba gratuita hoy mismo.