eIDAS 2 vs eIDAS 1: cambios clave para las PYMES

Introducción: por qué eIDAS 2 cambia las reglas del juego para las PYMES

Desde el 20 de mayo de 2024, el Reglamento (UE) 2024/1183 — comúnmente llamado eIDAS 2 — ha entrado en vigor, derogando y reemplazando progresivamente el Reglamento (UE) n° 910/2014 (eIDAS 1). Para las PYMES francesas, este cambio no es una simple actualización administrativa: redefinit los niveles de confianza digital, introduce una cartera de identidad europea (EUDIW), refuerza los requisitos aplicables a los prestadores de servicios de confianza y amplía el ámbito de los servicios reconocidos. Este artículo compara punto por punto eIDAS 1 y eIDAS 2, identifica los impactos operacionales concretos para pequeñas y medianas empresas, y le proporciona un plan de acción para seguir siendo conforme en 2026.

---

1. Recordatorio: lo que establecía eIDAS 1 (2014-2024)

1.1 Los fundamentos del reglamento inicial

Adoptado en julio de 2014 y aplicable desde septiembre de 2016, eIDAS 1 sentó los primeros pilares de un espacio de confianza digital europeo. Introdujo tres grandes categorías de firma electrónica — simple (SES), avanzada (AdES) y cualificada (QES) — y creó la lista de confianza de prestadores cualificados (Trusted List), consultable en el portal de la Comisión Europea.

Para las PYMES, la aportación principal de eIDAS 1 era el reconocimiento transfronterizo de firmas cualificadas: un contrato firmado con una QES francesa era juridicamente reconocido en Alemania, España o Italia sin apostilla ni formalidad adicional. Este principio — llamado de "no discriminación" — se ha mantenido como fundamento en el que soluciones SaaS como Certyneo han construido sus servicios.

1.2 Las limitaciones identificadas

A pesar de sus avances, eIDAS 1 sufría de varias lagunas documentadas por la Comisión Europea en su informe de evaluación de 2021:

• Fragmentación de esquemas de identidad: solo los Estados miembros que habían notificado su esquema nacional (como FranceConnect+ nivel sustancial) se beneficiaban del reconocimiento mutuo. En 2023, solo 14 Estados de 27 habían notificado un esquema conforme.
• Ausencia de soporte móvil nativo: el dispositivo cualificado de creación de firma (QSCD) a menudo requería una tarjeta de circuito integrado o un token de hardware, frenando la adopción móvil.
• Servicios de confianza limitados: eIDAS 1 listaba nueve tipos de servicios cualificados; los nuevos usos (archivo electrónico cualificado, gestión de atributos) no estaban regulados.
• Sin cartera de identidad unificada: cada ciudadano o empresa gestionaba sus identificadores de manera aislada, sin interoperabilidad garantizada.

Estas limitaciones llevaron a la Comisión a iniciar la revisión desde 2020, resultando en el Reglamento eIDAS 2 después de tres años de trilógo.

---

2. Las cinco grandes novedades de eIDAS 2 para las PYMES

2.1 La cartera de identidad digital europea (EU Digital Identity Wallet — EUDIW)

Esta es la novedad más visible del reglamento. Para noviembre de 2026 (plazo de transposición fijado por el artículo 5a), cada Estado miembro deberá ofrecer al menos una cartera de identidad digital certificada a sus ciudadanos y residentes. Para las PYMES, esta evolución tiene dos consecuencias directas:

1. Autenticación de clientes y socios simplificada: la cartera permitirá compartir atributos verificados (edad, número de IVA intracomunitario, extracto del registro mercantil, datos bancarios certificados) sin fricciones. Un acuerdo marco con un socio alemán podrá ser firmado tras verificación instantánea de sus atributos profesionales desde su EUDIW.
2. Obligación de aceptación para ciertos sectores: los servicios en línea de grandes plataformas (artículo 45bis) y ciertos servicios públicos deberán aceptar el EUDIW como medio de autenticación. Las PYMES que suministran portales B2B deberán adaptar sus API de autenticación.

2.2 Ampliación del catálogo de servicios de confianza cualificados

eIDAS 2 amplía el catálogo de servicios de confianza cualificados de 9 a 14 categorías. Las nuevas entradas que afectan directamente a las PYMES son:

• El archivo electrónico cualificado (art. 45septies): conservación a largo plazo con valor probatorio reforzado. Hasta ahora, el archivo con valor probatorio se apoyaba en marcos nacionales (en Francia, el marco de referencia SIAF/ANSSI); eIDAS 2 armoniza el marco europeo.
• La gestión remota de dispositivos cualificados de creación de firma (RQSCD): ahora explícitamente regulada, disipa las ambigüedades que pesaban sobre las soluciones en la nube de firma cualificada. Para una PYME de 50 empleados, esto significa acceder a una firma cualificada sin token físico, desde cualquier dispositivo.
• El servicio de registro electrónico cualificado: los registros basados en blockchain o tecnologías de libro mayor distribuido pueden ahora obtener el estado cualificado, abriendo la puerta a nuevos modelos de gestión contractual.

Para más información sobre los niveles de firma y su valor legal, consulte nuestra guía completa de firma electrónica.

2.3 Refuerzo de requisitos de seguridad para prestadores cualificados (QTSP)

eIDAS 2 endurecen las obligaciones de los prestadores de servicios de confianza cualificados (QTSP). El artículo 24 revisado impone particularmente:

• Una certificación de ciberseguridad conforme al marco europeo (EU Cybersecurity Act, Reglamento 2019/881), con esquemas sectoriales en desarrollo por la ENISA.
• Requisitos reforzados en materia de resiliencia operacional: los QTSP deben ahora documentar su plan de continuidad de negocio y presentarlo a su organismo de supervisión nacional (en Francia, el ANSSI para prestadores cualificados).
• Una obligación de notificación de incidentes de seguridad en 24 horas (alineación con NIS 2).

Para las PYMES usuarias, esto se traduce en una obligación de mayor diligencia en la elección del prestador: verificar que su solución de firma figura efectivamente en la Trusted List europea actualizada es ahora un paso crítico en su proceso de compra. Nuestro comparativo de soluciones de firma electrónica puede ayudarle en este análisis.

2.4 Interoperabilidad obligatoria de esquemas de identidad

Mientras eIDAS 1 dejaba a los Estados miembros libertad para notificar (o no) su esquema, eIDAS 2 hace obligatoria la notificación e interoperabilidad para esquemas de identidad utilizados en servicios públicos en línea (art. 5). France Identité — el esquema nacional llevado por el Ministerio del Interior — está en proceso de adecuación a las especificaciones técnicas de la EUDIW, publicadas por la Comisión en el Reglamento de Ejecución (UE) 2024/2977.

Para una PYME que interactúa regularmente con administraciones públicas (licitaciones públicas, presentaciones fiscales telemáticas, procedimientos aduaneros), esta evolución significa que los trámites en línea se unificarán progresivamente alrededor de un identificador digital único y reconocido en toda la UE.

2.5 Nuevas reglas de responsabilidad y supervisión

eIDAS 2 precisa y amplia los regímenes de responsabilidad de los prestadores (art. 13 revisado). Un QTSP ahora se presume responsable de todo daño causado a una persona física o jurídica por incumplimiento de sus obligaciones, salvo que pruebe la ausencia de falta. Esta presunción de responsabilidad, reforzada en comparación con eIDAS 1, debe incitar a las PYMES a:

• Formalizar por contrato los compromisos de su prestador (SLA, garantías de disponibilidad, indemnización).
• Verificar la cobertura de seguro de responsabilidad civil profesional del QTSP.
• Conservar pruebas de auditoría de las transacciones firmadas (registros de marcas de tiempo, informes de verificación de firma).

Nuestros equipos han redactado una guía detallada sobre firma electrónica en empresas que aborda estos aspectos contractuales.

---

3. Tabla comparativa eIDAS 1 vs eIDAS 2: qué cambia concretamente

3.1 Síntesis de las evolutions principales

| Criterio | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Cartera identidad | Ausente | EUDIW obligatorio (Estados miembros) | | Servicios cualificados | 9 categorías | 14 categorías (archivo, RQSCD, registros…) | | Notificación esquemas | Facultativa | Obligatoria para servicios públicos | | Seguridad QTSP | Criterios Common Criteria | Cybersecurity Act + esquemas ENISA | | Responsabilidad QTSP | Parcial | Presunción de responsabilidad reforzada | | Plazo notificación incidente | No especificado | 24 horas (alineación NIS 2) | | QSCD móvil | Ambigüedad jurídica | RQSCD explícitamente regulado |

3.2 Los plazos clave a recordar para 2026

• Mayo 2024: entrada en vigor del Reglamento (UE) 2024/1183.
• Noviembre 2026: fecha límite para que cada Estado miembro ofrezca al menos una solución EUDIW certificada.
• 2027: obligación para grandes plataformas (art. 45bis) de aceptar EUDIW como medio de autenticación.
• 2028: revisión prevista de actos de ejecución técnicos (reglamentos delegados sobre especificaciones EUDIW).

Si su PYME contempla migrar a una solución más conforme, nuestro oferta de migración a Certyneo incluye una auditoría de conformidad eIDAS 2 ofrecida.

---

4. Plan de acción práctico para poner su PYME en conformidad eIDAS 2

4.1 Auditar sus flujos documentales existentes

Comience cartografiando todos los procesos en los que actualmente utiliza firma electrónica o identidad digital: contatos con proveedores, nóminas desmaterializadas, mandatos SEPA, acuerdos de confidencialidad, actos de RR.HH. Para cada flujo, identifique:

• El nivel de firma utilizado (SES, AdES, QES).
• El prestador actual y su estado en la Trusted List.
• El nivel de riesgo jurídico en caso de contestación.

Esta auditoría es el punto de partida recomendado por el ANSSI en su guía de adecuación publicada en marzo de 2025.

4.2 Actualizar su solución de firma

Si su prestador actual no figura en la Trusted List eIDAS 2 o aún no ofrece RQSCD, es hora de comparar las ofertas del mercado. Certyneo es un QTSP certificado que admite los tres niveles de firma (SES, AdES, QES) e integra nativamente los nuevos requisitos eIDAS 2, particularmente archivo cualificado y gestión remota de dispositivos.

4.3 Formar sus equipos y actualizar sus contratos

eIDAS 2 refuerza el valor probatorio de firmas cualificadas pero también impone buenas prácticas documentales. Asegúrese de que sus equipos jurídicos y administrativos:

• Saben distinguir los tres niveles de firma y su valor legal respectivo.
• Integran en contratos con proveedores una cláusula de auditoría de conformidad eIDAS.
• Conservan pruebas de verificación de firma (informe de validación, marca de tiempo cualificada) durante el período de conservación legal aplicable (3 a 10 años según la naturaleza del acto).

Para estructurar este enfoque, nuestro calculador ROI firma electrónica le permitirá cuantificar los ahorros operacionales relacionados con la actualización.

Marco legal aplicable

Textos de referencia

La adecuación a eIDAS 2 para una PYME francesa se inscribe en un apilamiento normativo que es esencial dominar.

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (llamado "eIDAS 2"): es el texto fundamental, publicado en el DOUE el 30 de abril de 2024. Deroga y reemplaza el Reglamento (UE) n° 910/2014 conforme a un calendario de despliegue progresivo hasta 2027. Es de aplicación directa en todos los Estados miembros, sin requerir transposición legislativa nacional para sus disposiciones principales.

Reglamento (UE) n° 910/2014 (eIDAS 1): algunas de sus disposiciones permanecen aplicables durante los períodos transitorios previstos por eIDAS 2, particularmente para prestadores cualificados que obtuvieron su calificación antes de mayo de 2024 y disponen de plazo para recertificarse.

Código Civil francés, artículos 1366 y 1367: el artículo 1366 establece el principio de equivalencia entre el escrito electrónico y el escrito en papel, bajo la condición de que "la persona de quien emana pueda ser debidamente identificada y esté establecido y conservado en condiciones propias para garantizar su integridad". El artículo 1367 reconoce la firma electrónica como modo de prueba, remitiendo a las condiciones fijadas por decreto en Consejo de Estado (decreto n° 2017-1416 de 28 de septiembre de 2017, codificado en los artículos R. 1369-1 a R. 1369-10 del Código Civil).

Reglamento (UE) 2016/679 (RGPD): el despliegue de EUDIW y el tratamiento de atributos de identidad en flujos de firma electrónica constituyen tratamientos de datos personales en el sentido del RGPD. Las PYMES deben asegurarse de que su QTSP actúa como encargado del tratamiento en el sentido del artículo 28 RGPD, con un DPA (Acuerdo de Tratamiento de Datos) conforme. La CNIL publicó en enero de 2026 una recomendación específica sobre integración EUDIW-RGPD.

Directiva (UE) 2022/2555 (NIS 2): eIDAS 2 se alinea explícitamente con NIS 2 para obligaciones de notificación de incidentes (art. 24, §2 eIDAS 2 remitiendo a disposiciones NIS 2). Los QTSP se consideran entidades "esenciales" o "importantes" en el sentido de NIS 2 según su tamaño, y están sujetos a auditorías de seguridad regulares.

Normas ETSI: las firmas electrónicas cualificadas deben respetar normas ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) y ETSI EN 319 102-1 (procedimiento de validación). La norma ETSI TS 119 461 regula la verificación remota de identidad (IDV), particularmente relevante para RQSCD.

Riesgos jurídicos en caso de no conformidad

Utilizar una solución de firma electrónica no conforme a eIDAS 2 expone a la PYME a varios riesgos:

• Inadmisibilidad ante justicia: un juez puede rechazar una firma electrónica cuyo nivel no corresponde al acto firmado (ej.: firma simple para acto que requiere nivel avanzado o cualificado).
• Responsabilidad contractual: si un contrato es cuestionado por un socio alegando nulidad de firma, la PYME puede estar expuesta a demandas de indemnización.
• Sanciones RGPD: en caso de incumplimiento de datos relacionado con defecto de seguridad del prestador, la PYME, corresponsable o responsable del tratamiento, puede ser sancionada por la CNIL hasta 4% del volumen de negocios global anual (art. 83 §4 RGPD).

Casos de uso concretos

Escenario 1: una PYME industrial de 80 empleados gestionando 400 contratos con proveedores por año

Una PYME del sector de la metalurgia que gestiona aproximadamente 400 contratos con proveedores anuales utilizaba hasta 2024 una solución de firma electrónica simple (SES) para todos sus compromisos, incluyendo contratos marco superiores a 50.000 €. Tras un audit de conformidad eIDAS 2, constató que el 35% de sus contratos requería firma avanzada o cualificada para resistir una contestación judicial, particularmente con proveedores establecidos en otros Estados miembros de la UE.

Al migrar a una solución que combina firma avanzada (AdES) para contratos ordinarios y cualificada (QES) para contratos marco, y al activar archivo electrónico cualificado (nuevo servicio eIDAS 2), esta PYME redujo en 70% el tiempo dedicado a la gestión documental post-firma (clasificación, búsqueda, envío de copias certificadas) y llevó a cero los litigios relacionados con contestación de firma en los 18 meses siguientes, contra dos incidentes los 18 meses anteriores.

Escenario 2: un despacho de asesoría jurídica de 15 colaboradores

Un despacho especializado en derecho mercantil, emitiendo en promedio 1.200 actos firmados por año (cartas de encargo, mandatos, acuerdos de confidencialidad), enfrentaba demanda creciente de sus clientes corporativos por firmas cualificadas reconocibles en toda la UE. Bajo eIDAS 1, la obtención de un certificado cualificado requería procedimiento presencial o verificación por video larga (45 a 90 minutos por usuario).

Gracias al RQSCD (Dispositivo Remoto Cualificado de Creación de Firma) regulado por eIDAS 2, el despacho pudo desplegar firma cualificada para todos sus colaboradores en menos de dos semanas, mediante procedimiento de inscripción 100% remota conforme a la norma ETSI TS 119 461. La tasa de adopción interna pasó de 40% a 95% en tres meses, y el tiempo promedio de retorno de actos firmados se redujo de 4,2 días a menos de 6 horas según mediciones internas del despacho.

Escenario 3: una PYME de comercio electrónico operando en tres países de la UE

Una empresa de venta en línea empleando 35 personas y operando en Francia, Bélgica y Países Bajos debía gestionar tres tipos de acuerdos electrónicos: contratos de empleo para empleados locales, acuerdos de asociación con transportistas, y mandatos SEPA para clientes profesionales. La fragmentación de requisitos nacionales bajo eIDAS 1 la obligaba a mantener tres flujos de firma distintos, con costos de gestión estimados en aproximadamente 12.000 € por año.

La adopción de una solución única conforme a eIDAS 2 — integrando el reconocimiento mutuo de firmas cualificadas en los tres países — permitió unificar los flujos, reducir el costo de gestión a aproximadamente 4.500 € por año (ahorro de 62%) y eliminar los retrasos relacionados con validación manual de firmas extranjeras por el servicio jurídico.

Conclusión

eIDAS 2 no es una simple revisión cosmética del marco regulatorio: rediseña profundamente las reglas del juego de la confianza digital en Europa. Para las PYMES francesas, las cinco evoluciones principales — cartera EUDIW, extensión de servicios cualificados, RQSCD, interoperabilidad obligatoria y responsabilidad reforzada — representan tanto una restricción de adecuación como una oportunidad para acelerar su transformación documental.

Las PYMES que anticipan estos cambios desde hoy se beneficiarán de una ventaja competitiva real: contratos reconocidos en toda la UE sin fricciones, archivo con valor probatorio integrado, y procesos de firma completamente desmaterializados y seguros.

Certyneo está diseñado para acompañar esta transición. Comience su prueba gratuita en certyneo.com y benefíciese de una auditoría de conformidad eIDAS 2 ofrecida para sus flujos documentales existentes.