eIDAS 2: El nuevo reglamento europeo explicado para 2026

Introducción: por qué eIDAS 2 lo cambia todo para las empresas europeas

Entrado en vigor el 20 de mayo de 2024 tras una larga gestación legislativa, el reglamento eIDAS 2 — oficialmente denominado Reglamento (UE) 2024/1183 — representa la reforma más ambiciosa jamás emprendida en el ámbito de la identificación electrónica y los servicios de confianza en Europa. Deroga y reemplaza parcialmente el reglamento eIDAS inicial de 2014 (n°910/2014), mientras mantiene compatibilidad ascendente con la infraestructura existente. Para las empresas que recurren a la firma electrónica conforme eIDAS, esta refundación introduce nuevas obligaciones, oportunidades inéditas y un calendario de conformidad ajustado hasta 2026 y más allá. Este artículo descifra en profundidad las disposiciones clave del texto, sus implicaciones operacionales y cómo tu organización puede prepararse.

---

Lo que el reglamento eIDAS 2 modifica fundamentalmente

Del reglamento de 2014 a la versión 2024: una refundación estructural

El reglamento eIDAS original de 2014 había sentado las bases del reconocimiento mutuo de esquemas de identificación electrónica entre Estados miembros y establecido un marco jurídico unificado para los servicios de confianza (firma, sello, marca de tiempo, etc.). Pero diez años después, los límites eran evidentes: bajo índice de adopción de eID notificados, fragmentación de soluciones nacionales, ausencia de una cartera digital universal para los ciudadanos, e inadecuación principalmente a los usos de la web (GAFAM excluidos del marco de confianza).

eIDAS 2 corrige estas carencias en tres ejes principales:

1. La cartera europea de identidad digital (EUDI Wallet) — cada Estado miembro debe ofrecer, a más tardar en noviembre de 2026, una aplicación de cartera digital que permita a todo ciudadano o residente europeo almacenar y presentar sus atributos de identidad (carné de identidad, permiso de conducir, diplomas, etc.) de forma segura.
2. La ampliación de los servicios de confianza cualificados — el texto añade nuevos servicios cualificados: gestión de archivado electrónico cualificado (QESAP), informes de atributos de identidad cualificados (QEAA), libros de cuentas electrónicos cualificados (QLED) y gestión de dispositivos de creación de firma a distancia (QRCD).
3. La obligación para las grandes plataformas — los proveedores de servicios en línea de gran tamaño (redes sociales, mercados electrónicos) deberán aceptar la cartera EUDI para la autenticación de usuarios.

La cartera EUDI Wallet: arquitectura y funcionamiento

La EUDI Wallet es el núcleo de eIDAS 2. Concretamente, se trata de una aplicación de software — entregada o certificada por cada Estado miembro — que se basa en un modelo descentralizado de presentación selectiva de atributos. El usuario solo transmite los datos estrictamente necesarios para la transacción (principio de minimización, conforme al RGPD).

Desde el punto de vista técnico, la arquitectura se basa en las especificaciones del Architecture Reference Framework (ARF), publicado por la Comisión Europea y actualizado regularmente por el Large Scale Pilot (LSP) que agrupa cuatro consorcios piloto (DC4EU, EWC, POTENTIAL, NOBID). Los formatos de datos seleccionados son principalmente ISO/IEC 18013-5 (mDL/mDocs) e W3C Verifiable Credentials, garantizando la interoperabilidad transfronteriza.

Para las empresas, esto significa que podrán, a término, verificar la identidad de sus clientes o socios mediante la cartera sin gestionar ellas mismas la recopilación de justificantes — reduciendo así considerablemente las fricciones KYC (Know Your Customer) y los riesgos de fraude documental.

---

Los niveles de garantía y la jerarquía de firmas: lo que cambia

Mantenimiento de la jerarquía QES / AdES / SES

El régimen de las firmas electrónicas sigue estructurado en torno a tres niveles definidos en el artículo 3 de eIDAS 2 (retomando la terminología de 2014 pero precisando las exigencias técnicas):

• Firma electrónica simple (SES): valor probatorio mínimo, adecuada para actos comunes.
• Firma electrónica avanzada (AdES): vínculo exclusivo al firmante, posibilidad de detectar toda modificación posterior.
• Firma electrónica cualificada (QES): equivalente legal de la firma manuscrita en toda la UE (artículo 25§2), emitida mediante un dispositivo cualificado de creación de firma (QSCD) sobre la base de un certificado cualificado.

La novedad reside en cómo la QES puede ahora ser entregada mediante servicios de firma a distancia cualificados (QRCD), cuyas condiciones de aprobación se precisan en los artículos 29a y 29b del texto revisado. Esto abre el camino a flujos 100% digitales para los actos más exigentes — contratos notariales, actas auténticas electrónicas — sin necesidad de una tarjeta inteligente física.

El impacto en los proveedores de servicios de confianza cualificados (QTSP)

Los proveedores como Certyneo, que operan apoyándose en QTSP certificados, deben anticipar las nuevas exigencias de auditoría introducidas por eIDAS 2. El artículo 24 impone ahora controles reforzados sobre la cadena de subcontratación, y las exigencias de notificación de incidentes de seguridad se alinean explícitamente con las de la directiva NIS2 (plazo de 24 horas para la notificación inicial). Para profundizar en el funcionamiento de los diferentes niveles de firma en un contexto B2B, consulta nuestro guía completa sobre firma electrónica en empresas.

---

Calendario de despliegue y obligaciones para las empresas en 2025-2026

Los hitos clave del despliegue

El reglamento (UE) 2024/1183 fue publicado en el Diario Oficial de la UE el 30 de abril de 2024 y entró en vigor el 20 de mayo de 2024. Los actos de ejecución y delegados — esenciales para precisar las exigencias técnicas — se publican progresivamente:

| Fecha límite | Obligación | |---|---| | Mayo 2024 | Entrada en vigor del reglamento | | Fin 2024 | Publicación de actos de ejecución sobre el ARF v2.0 | | Mediados 2025 | Certificación de los primeros EUDI Wallets piloto | | Noviembre 2026 | Disponibilidad obligatoria de un EUDI Wallet en cada Estado miembro | | 2027 | Aceptación obligatoria por las grandes plataformas en línea |

Lo que las empresas B2B deben hacer ahora

Para las empresas usuarias de soluciones de firma electrónica, tres prioridades se imponen en 2025-2026:

1. Auditar su cadena de confianza: verificar que su proveedor de firma figure bien en la lista de QTSP (Trusted List) de su Estado miembro, y que los certificados utilizados sean conformes a las nuevas especificaciones ETSI EN 319 401 y EN 319 411-1 revisadas.

2. Anticipar la integración de la EUDI Wallet: las empresas operando en sectores regulados (banca, seguros, sanidad, bienes raíces) estarán entre las primeras afectadas por los flujos de verificación de identidad mediante cartera. Preparar las APIs de integración desde 2025 es recomendable.

3. Revisar sus políticas de conservación: el nuevo servicio cualificado de archivado electrónico (QESAP) introduce estándares de preservación a largo plazo que pueden imponerse en ciertos sectores (compras públicas, sector farmacéutico). Nuestro calculador de ROI para la firma electrónica te permite evaluar el impacto financiero de una actualización de tu infraestructura documental.

---

Interoperabilidad, RGPD y cuestiones de soberanía digital

eIDAS 2 y RGPD: complementariedad reforzada

Uno de los avances mayores de eIDAS 2 es la integración explícita de los principios de protección de datos desde el diseño (privacy by design) en la arquitectura de la cartera EUDI. El artículo 5a§14 establece que la cartera no permite a los proveedores seguir el comportamiento del usuario durante las transacciones. Los emisores de atributos de identidad cualificados (QEAA) no son informados del uso que se hace de los certificados emitidos — lo que constituye una ruptura importante con los modelos centralizados actuales.

Esta arquitectura se califica de unlinkability (no-correlacionabilidad): dos transacciones distintas realizadas por el mismo usuario no pueden vincularse sin su consentimiento. Esta garantía va más allá de las exigencias mínimas del RGPD mientras se articula perfectamente con él.

La dimensión geopolítica: recuperar el control sobre la identidad en línea

eIDAS 2 responde también a un desafío de soberanía. Hoy en día, la autenticación en línea depende en gran medida de los botones "Conectarse con Google/Facebook/Apple", lo que confiere a los gigantes tecnológicos estadounidenses una posición dominante en la gestión de identidades digitales europeas. Al imponer a las plataformas muy grandes (en el sentido de la Digital Services Act) que acepten la EUDI Wallet como medio de autenticación, eIDAS 2 crea una alternativa interoperable y soberana.

Para las empresas B2B, esto significa también que la conformidad con eIDAS 2 puede convertirse en un criterio de selección de proveedores en los procesos de licitación pública y privada — a imagen de lo que representa hoy la certificación ISO 27001 en los procesos de compra. Si tu organización contempla evolucionar su solución actual, nuestro guía de migración desde DocuSign o YouSign hacia Certyneo detalla los pasos de una transición controlada.

Marco legal aplicable a eIDAS 2 y a la firma electrónica

Textos de referencia

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo de 11 de abril de 2024, que modifica el Reglamento (UE) n°910/2014 respecto del establecimiento del marco europeo relativo a una identidad digital (eIDAS 2). Publicado en el DOUE el 30 de abril de 2024, entrado en vigor el 20 de mayo de 2024.

Reglamento (UE) n°910/2014 (eIDAS 1): mantiene su vigencia en sus disposiciones no modificadas, en particular los artículos relativos a los niveles de garantía "bajo", "sustancial" y "elevado" para los esquemas de identificación notificados.

Código Civil español, artículos 1225 y ss.: el escrito electrónico tiene la misma fuerza probatoria que el escrito en papel siempre que la persona cuya procedencia consta sea debidamente identificada y el documento se establezca en condiciones que garanticen su integridad. La firma electrónica cualificada (QES) en el sentido de eIDAS 2 satisface plenamente estos requisitos.

Reglamento (UE) 2016/679 (RGPD): el tratamiento de datos de identidad en el marco de la cartera EUDI está sujeto a los principios de minimización (art. 5§1c), limitación de la finalidad (art. 5§1b) y protección de datos desde el diseño (art. 25). Los proveedores cualificados actúan como responsables de tratamiento distintos para las operaciones de verificación.

Directiva (UE) 2022/2555 (NIS2): impone a los proveedores de servicios de confianza cualificados obligaciones de gestión de riesgos cibernéticos y notificación de incidentes en el plazo de 24 horas.

Normas ETSI:

• EN 319 132 (XAdES) y EN 319 122 (CAdES): formatos avanzados de firma electrónica.
• EN 319 401: requisitos generales para proveedores de servicios de confianza.
• EN 319 411-1 y 411-2: política y requisitos de seguridad para las AC que emiten certificados cualificados.
• EN 319 521: requisitos para servicios cualificados de preservación de firmas (QESAP).

Obligaciones y riesgos legales para las empresas

Toda empresa que utilice firmas electrónicas en un contexto contractual debe asegurarse de que el nivel de firma elegido sea adecuado al valor y naturaleza del acto. Para los actos sujetos a exigencia legal de firma (promesas de venta, contratos de trabajo, órdenes de compra que superen ciertos umbrales), solo la QES o la AdES basada en un certificado cualificado aporta la presunción de fiabilidad contemplada en el artículo 26 de eIDAS 2.

En caso de litigio, la carga de la prueba se invierte: si la firma es cualificada, corresponde a la parte que contesta el documento probar su alteración; si es simple o avanzada sin certificado cualificado, la carga de la prueba recae sobre quien la invoca. El incumplimiento de las exigencias de trazabilidad e integridad puede provocar la nulidad del acto o la inoponibilidad de la firma a un tercero.

Escenarios de uso: eIDAS 2 aplicado a empresas B2B

Escenario 1 — Un despacho de consultoría en transformación digital (aproximadamente 80 consultores)

Una estructura consultora desplegando sus colaboradores en clientes de varios Estados miembros (Francia, Alemania, Países Bajos) debe hacer firmar cada mes órdenes de misión, avenencias contractuales y actas de recepción. Antes de eIDAS 2, la gestión de identidades transfronterizas generaba fricciones: rechazo de ciertos clientes alemanes de reconocer certificados emitidos por un QTSP francés, doble autenticación por correo electrónico insuficiente para actos sensibles.

Con el despliegue de la EUDI Wallet en 2026, los consultores podrán firmar desde su cartera nacional — reconocida de pleno derecho en todos los Estados miembros — sin fricción alguna. El despacho estima una reducción del 60 al 70% del tiempo dedicado a intercambios de verificación documental previa a la firma, lo que representa aproximadamente 3 a 4 horas economizadas por consultor y mes según los puntos de referencia sectoriales publicados por McKinsey Digital (2024).

Escenario 2 — Una PYME industrial gestionando 350 contratos proveedores anuales

Una PYME del sector de equipos industriales, trabajando con unos cien proveedores europeos y asiáticos, debe contratar compras, acuerdos de confidencialidad (NDA) y contratos marco. Hasta ahora, el 30% de estos documentos regresaban sin firma válida o con demoras superiores a 10 días laborales.

Adoptando una solución de firma electrónica conforme eIDAS 2 con verificación de identidad mediante atributos cualificados (QEAA), la PYME puede imponer un flujo de firma donde la identidad del representante legal del proveedor se verifica automáticamente mediante la cartera EUDI, sin entrada manual. Resultado esperado: reducción del plazo medio de firma de 10 días a menos de 48 horas, y disminución del 40% de litigios relacionados con firmas no conformes, sobre la base de rangos observados en informes ELENIUS 2025 sobre desmaterialización B2B.

Escenario 3 — Un grupo inmobiliario gestionando compromisos de venta en varios países

Una red de inmobiliarias operando en Francia, España y Portugal debe regularmente hacer firmar antecontratos entre vendedores y compradores de diferentes nacionalidades. La QES es requerida en ciertos contextos para garantizar equivalencia con la firma manuscrita ante notario.

Gracias a eIDAS 2 e interoperabilidad de carteras EUDI, un comprador portugués puede firmar un compromiso sujeto a derecho francés utilizando su cartera nacional, con nivel de garantía "elevado" reconocido automáticamente por la plataforma de firma. El grupo reduce sus gastos de desplazamiento y legalización en aproximadamente 800 a 1.200 euros por expediente transfronterizo, mientras disminuye el plazo de conclusión de antecontratos de 3 semanas a 5 días en promedio. Para usos específicos del sector, nuestra página dedicada a la firma electrónica en inmobiliaria detalla los flujos de trabajo adaptados.

Conclusión

eIDAS 2 no es una simple actualización reglamentaria: es una refundación profunda de cómo funcionan la identidad digital y la confianza electrónica en Europa. La cartera EUDI Wallet, los nuevos servicios cualificados, la obligación de interoperabilidad y el alineamiento con NIS2 y el RGPD forman un ecosistema coherente que transformará los procesos contractuales y de autenticación de las empresas antes de fin de 2026.

Para mantenerse conformes y competitivas, las organizaciones B2B deben actuar ahora: auditar su cadena de confianza, elegir un proveedor alineado con las nuevas exigencias y preparar sus flujos documentales para la integración de la cartera digital europea.

Certyneo te acompaña en esta transición con soluciones de firma electrónica cualificada conformes con eIDAS 2, listas para 2026. Solicita una demostración o crea tu cuenta en Certyneo para asegurar tus contratos desde hoy.