Transición de eIDAS 1 a eIDAS 2: impactos en la firma en 2025

El 20 de mayo de 2024, el reglamento (UE) 2024/1183 — comúnmente llamado eIDAS 2 — fue publicado en el Diario Oficial de la Unión Europea, derogando progresivamente el reglamento n°910/2014 (eIDAS 1). Este texto representa la reforma más estructurante de la identidad digital y la firma electrónica en Europa desde 2016. Para las empresas colombianas que utilizan soluciones de firma electrónica en sus flujos contractuales, la transición no es una formalidad: implica ajustes técnicos, jurídicos y organizacionales cuyo horizonte se extiende hasta 2026 y más allá. Comprender el paso de eIDAS 1 a eIDAS 2 y su impacto en la firma electrónica en 2025 se ha convertido en una prioridad para las direcciones jurídicas, DSI y RRHH. Este artículo descifra las evoluciones fundamentales del marco, el calendario preciso de la transición y las medidas concretas a tomar para mantenerse conforme.

Lo que el reglamento eIDAS 2 modifica fundamentalmente

Del reglamento de 2014 a la refundación de 2024: por qué era necesaria una revisión

EIDAS 1 había sentado las bases del reconocimiento mutuo de las firmas electrónicas dentro de la Unión. Tres niveles jerárquicos — simple (SES), avanzada (AdES) y cualificada (QES) — estructuraban el valor probatorio de las firmas, basados en una lista de proveedores de confianza (TSL). Pero en diez años, han aparecido dos lagunas importantes.

Primero, el reglamento original se aplicaba esencialmente a las relaciones con las administraciones públicas (G2B, G2C). No creaba obligaciones directas en las transacciones privadas (B2B, B2C), dejando un vacío normativo que cada Estado miembro llenaba de forma heterogénea. Segundo, el auge de los servicios digitales — aplicaciones móviles, banca abierta, telemedicina — había revelado la ausencia de un sistema de identidad digital portátil e interoperable a nivel continental.

EIDAS 2 responde a estos dos desafíos introduciendo el monedero europeo de identidad digital (EU Digital Identity Wallet, EUDIW) y ampliando el perímetro de los servicios de confianza a nuevos casos de uso: archivado electrónico cualificado, atestaciones de atributos cualificados, registros electrónicos cualificados (incluyendo aplicaciones blockchain certificadas).

Las nuevas categorías de servicios de confianza cualificados

El reglamento eIDAS 2 amplía la lista de servicios de confianza cualificados (artículo 3 y anexo IV revisado). Además de las firmas, sellos y marcas de tiempo cualificados ya reconocidos por eIDAS 1, ahora son cualificados:

• Los servicios de archivado electrónico cualificado (art. 34 bis): obligación de preservar la integridad y legibilidad de los documentos firmados a largo plazo, con requisitos reforzados para los proveedores (QTSP).
• Los servicios de gestión de dispositivos de creación de firma a distancia cualificados (QRCD): marco reforzado de las soluciones de firma a distancia vía HSM (Hardware Security Module) en la nube.
• Las atestaciones de atributos cualificados: mecanismo que permite a un tercero de confianza certificar atributos de una entidad (ex. calidad de abogado, estatus de médico) sin revelar toda la identidad.
• Los registros electrónicos cualificados: reconocimiento de registros distribuidos bajo condiciones estrictas de trazabilidad y resiliencia.

Para los usuarios de soluciones de firma electrónica, esta extensión significa que los servicios de confianza cualificados disponibles en el mercado se diversificarán, y que los criterios de selección de un proveedor (QTSP) deben integrar estas nuevas capacidades.

El EUDIW: el monedero de identidad digital como infraestructura de la firma

La innovación más visible de eIDAS 2 sigue siendo el EUDIW. Cada Estado miembro deberá poner a disposición de sus ciudadanos y residentes un monedero de identidad digital gratuito, interoperable con todos los demás Estados miembros, antes del 26 de noviembre de 2026 (plazo de conformidad nacional según el artículo 5 bis). Este monedero permitirá:

• autenticar al usuario con un nivel de seguridad elevado (LoA High) sin recurrir a un proveedor tercero de identificación;
• firmar electrónicamente documentos con valor cualificado (QES) directamente desde el wallet;
• compartir atributos de identidad selectivos (selective disclosure), respetando así el principio de minimización de datos del RGPD.

Para las empresas, el EUDIW simplifica teóricamente los procedimientos de verificación de identidad previa a la firma cualificada, eliminando la fricción de la videoidentificación o de la identificación cara a cara. En la práctica, el impacto dependerá del ritmo de despliegue nacional — Colombia está desarrollando iniciativas de identidad digital que se alinearán con estos estándares internacionales.

Calendario preciso de la transición de eIDAS 1 a eIDAS 2

Los hitos regulatorios a conocer

El reglamento 2024/1183 entró en vigor el 20 de mayo de 2024, pero su aplicación es progresiva. Aquí están las fechas clave:

| Fecha | Evento | |------|--------| | 20 de mayo de 2024 | Publicación en DOUE, entrada en vigor formal | | 20 de noviembre de 2024 | Plazo de 6 meses para la adopción de actos de ejecución por la Comisión (especificaciones técnicas del EUDIW) | | Fin de 2025 | Publicación de normas ETSI revisadas (EN 319 411-1/2, EN 319 401) integrando requisitos eIDAS 2 | | 26 de mayo de 2026 | Fecha límite para la conformidad de los Estados miembros sobre nuevas categorías de servicios cualificados | | 26 de noviembre de 2026 | Disponibilidad obligatoria del EUDIW por cada Estado miembro | | 2027-2028 | Revisión completa de las listas de confianza nacionales (TSL) y acreditación de nuevos QTSP |

EIDAS 1 sigue siendo válido y las firmas emitidas bajo su régimen conservan su pleno valor jurídico. No hay ninguna obligación de re-firmar documentos existentes. En cambio, los proveedores de confianza cualificados deberán renovar su acreditación según las nuevas normas técnicas antes de 2027.

Lo que no cambia y lo que hay que vigilar

La continuidad es un principio cardinal de la transición. Los tres niveles de firma (SES, AdES, QES) se mantienen con sus definiciones sin cambios. La presunción de equivalencia con una firma manuscrita adjunta a QES (artículo 25 eIDAS 1, retomado en el artículo 27 eIDAS 2) sigue en vigor. El valor probatorio de sus firmas electrónicas actuales no se pone en cuestión.

Lo que hay que vigilar en cambio: los actos de ejecución (implementing acts) publicados por la Comisión Europea a lo largo de 2025-2026 establecerán las especificaciones técnicas precisas del EUDIW y de las nuevas categorías de servicios. Estos textos de nivel 2 tienen una importancia práctica considerable para los integradores y editores de software. Para las empresas que utilizan la firma electrónica en sus procesos de RRHH o jurídicos, se recomienda solicitar a su proveedor una hoja de ruta de conformidad eIDAS 2.

Impacto concreto en las empresas y sus soluciones de firma

¿Qué flujos de trabajo están afectados prioritariamente?

La transición de eIDAS 1 a eIDAS 2 no tiene el mismo impacto según el nivel de firma utilizado. Para las empresas, se distinguen tres situaciones:

Firma electrónica simple (SES): utilizada para enmiendas de bajo valor, acuses de recibo, formularios internos. Ninguna obligación de actualización inmediata. Las reglas probatorias siguen siendo reguladas por el Código civil (art. 1366-1367) y no directamente por eIDAS.

Firma electrónica avanzada (AdES/AdESQC): las empresas que utilizan soluciones B2B para contratos comerciales, contratos de trabajo desmaterializados o actos inmobiliarios deben verificar que su proveedor mantiene conformidad con normas ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) y EN 319 142 (PAdES) en sus versiones revisadas para eIDAS 2. Estas normas serán publicadas por ETSI antes de fin de 2025.

Firma electrónica cualificada (QES): los proveedores cualificados (QTSP) deberán pasar a una nueva acreditación eIDAS 2. El período transitorio otorga un plazo razonable (hasta 2027), pero los procesos de licitación lanzados a partir de 2025 deberían integrar una cláusula de conformidad eIDAS 2 en los criterios de selección. Para las organizaciones comparando opciones disponibles, el comparativo de soluciones de firma electrónica permite evaluar la madurez de los editores sobre este tema.

Nuevos requisitos para los proveedores de servicios de confianza cualificados (QTSP)

EIDAS 2 endurece los requisitos aplicables a los QTSP en tres puntos importantes:

1. Seguridad de sistemas: alineación obligatoria con NIS2 (directiva (UE) 2022/2555) para QTSP, ahora clasificados como entidades esenciales. Esto se traduce en obligaciones de notificación de incidentes en 24 horas, auditorías de seguridad anuales y establecimiento de planes de continuidad de negocio.

1. Responsabilidad reforzada: el artículo 13 eIDAS 2 amplía el régimen de responsabilidad de los QTSP. En caso de incumplimiento probado, la carga de la prueba se invierte: el proveedor debe demostrar que no ha cometido negligencia, y no al revés.

1. Interoperabilidad obligatoria: los QTSP deberán exponer API estandarizadas compatibles con el EUDIW para permitir la integración nativa de wallets de identidad. Este requisito acelerará la modernización de las interfaces de integración disponibles para los desarrolladores.

Para las empresas considerando cambiar de proveedor en este contexto, migrar de DocuSign o YouSign a una solución conforme eIDAS 2 es una iniciativa que merece ser anticipada ahora más que en urgencia en 2027.

Datos personales y eIDAS 2: la articulación con el RGPD

El EUDIW recopila y trata datos de identidad a carácter personal. El reglamento eIDAS 2 prevé explícitamente (considerando 11 y artículo 5 bis §14) que el conjunto del dispositivo debe ser conforme al RGPD (reglamento (UE) 2016/679). Varios puntos de atención:

• Selective disclosure: el monedero debe permitir al usuario compartir solo los atributos estrictamente necesarios para la transacción (principio de minimización, art. 5(1)(c) RGPD). Para una firma de contrato, solo la verificación de mayoría de edad podría compartirse sin revelar la fecha de nacimiento completa.
• Transferencias fuera de la UE: los datos de identidad tratados en el marco del EUDIW no pueden transferirse fuera del EEE sino con garantías apropiadas (art. 46 RGPD). Los proveedores que utilizan infraestructuras en la nube americanas deben documentar su conformidad.
• Conservación de registros de firma: el archivado de pruebas de firma debe respetar la duración de conservación proporcional a la naturaleza del documento. El nuevo servicio de archivado cualificado eIDAS 2 ofrece un marco técnico para responder a este requisito.

Las empresas que gestionan contratos de trabajo internacionales están particularmente afectadas por esta articulación RGPD/eIDAS 2, especialmente cuando los firmantes residen fuera de la UE.

Marco legal aplicable a la transición de eIDAS 1 a eIDAS 2

Textos de referencia

La transición se basa en un conjunto de textos que es indispensable dominar:

A nivel europeo:

• Reglamento (UE) n°910/2014 (eIDAS 1): aún en vigor hasta su derogación progresiva por eIDAS 2. Define los tres niveles de firma (SES, AdES, QES) y el régimen de los QTSP.
• Reglamento (UE) 2024/1183 (eIDAS 2): entrado en vigor el 20 de mayo de 2024. Modifica sustancialmente eIDAS 1 sin derogarlo inmediatamente. Las disposiciones relativas al EUDIW se aplican desde la publicación de los actos de ejecución.
• Reglamento (UE) 2016/679 (RGPD): se aplica integralmente al tratamiento de datos de identidad en el marco del EUDIW y de los procesos de firma. El artículo 5 bis §14 de eIDAS 2 recuerda esta subordinación explícitamente.
• Directiva (UE) 2022/2555 (NIS2): impone obligaciones de ciberseguridad reforzadas a los QTSP, ahora clasificados como entidades esenciales. Transpuesta en derecho colombiano conforme a los estándares internacionales de seguridad digital.

A nivel local (Colombia):

• Código civil: fundamento de la validad de los escritos bajo forma electrónica. Establece la equivalencia entre escrito electrónico y papel bajo condiciones. La firma cualificada (QES) tiene la misma fuerza probatoria que una firma manuscrita.
• Normativa de firma digital local: Colombia cuenta con regulaciones propias en materia de firma digital que deben alinearse con estándares internacionales como eIDAS 2 para garantizar reconocimiento mutuo.
• Políticas de seguridad digital: las autoridades colombianas han adoptado marcos de seguridad que se alinean con directrices internacionales como NIS2 para proteger la infraestructura crítica digital.

Normas técnicas ETSI aplicables

Las normas ETSI constituyen el nivel 3 de la jerarquía normativa. Las versiones actuales aplicables:

• EN 319 132-1/2: formato XAdES (firmas XML avanzadas)
• EN 319 122-1/2: formato CAdES (firmas CMS avanzadas)
• EN 319 142-1/2: formato PAdES (firmas PDF avanzadas)
• EN 319 401: requisitos generales para proveedores de servicios de confianza
• EN 319 411-1/2: requisitos para AC que emiten certificados cualificados

Estas normas serán revisadas antes de fin de 2025 para integrar los nuevos requisitos eIDAS 2. Los contratos con los QTSP deben incluir una cláusula de actualización hacia las versiones revisadas sin sobrecosto.

Riesgos legales de no conformidad

Una firma emitida por un proveedor que ya no estuviera acreditado después de 2027 no perdería automáticamente su valor jurídico para los documentos ya firmados, pero no se beneficiaría más de la presunción legal de equivalencia con una firma manuscrita (art. 25 eIDAS). La carga de la prueba de la integridad e identidad del firmante recaería entonces completamente en la empresa en caso de litigio. Este riesgo probatorio es particularmente sensible para actos cuyo plazo de prescripción es largo (5 años en materia comercial, 30 años para derechos reales inmobiliarios).

Escenarios de uso: cómo las organizaciones anticipan la transición eIDAS 2

Escenario 1: un bufete de abogados de 25 colaboradores racionaliza su conformidad documental

Un bufete de abogados especializado en derecho mercantil, con aproximadamente 25 colaboradores y una actividad intensa de firma de mandatos, actas de cesión y protocolos de acuerdo, utilizaba hasta 2024 una solución de firma avanzada (AdES) para la totalidad de sus flujos. Con el anuncio de eIDAS 2, el bufete realizó una auditoría de sus 1 200 documentos firmados anualmente para identificar aquellos que requieren QES según las nuevas recomendaciones de su colegio profesional.

Resultado: el 15% de los actos (aproximadamente 180 por año) fueron reclasificados hacia la firma cualificada, lo que permitió asegurar el régimen probatorio de estos documentos. El bufete negoció con su editor de firma una cláusula garantizando conformidad eIDAS 2 desde publicación de los actos de ejecución, sin sobrecosto. El tiempo administrativo relacionado con la verificación de identidad de los firmantes disminuyó 40% gracias a la anticipación de la integración EUDIW planeada para 2026.

Escenario 2: una PYME industrial de 150 empleados asegura su cadena contractual de proveedores

Una PYME industrial que gestiona aproximadamente 350 contratos de proveedores por año — órdenes de compra, NDA, contratos marco — funcionaba con dos soluciones de firma distintas para sus flujos internos y externos, creando una fragmentación de las pruebas de auditoría. En el contexto de la transición eIDAS 2 y de los nuevos requisitos de archivado cualificado, la DSI decidió unificar su plataforma.

Al migrar a una solución única integrando archivado electrónico cualificado (futura categoría eIDAS 2), la PYME redujo sus costos de almacenamiento seguro 30% y consolidó sus pruebas de firma en un cofre digital conforme. El conjunto de la cadena documental es ahora auditable en menos de 2 minutos durante controles de proveedores — un requisito creciente de sus clientes en la industria automotriz.

Escenario 3: un agrupamiento hospitalario de aproximadamente 600 camas prepara integración EUDIW

Un agrupamiento hospitalario público utilizaba firma electrónica cualificada para sus contratos médicos y sus licitaciones públicas, conforme a obligaciones del código de contratación pública. Con eIDAS 2, el servicio informático identificó dos desafíos prioritarios: la integración futura del wallet de identidad digital para médicos libres interviniendo en el establecimiento, y la conformidad NIS2 de su QTSP.

El agrupamiento inscribió en su esquema rector digital 2025-2028 un lote específico «conformidad eIDAS 2», con presupuesto provisional de 45 000 € para migración técnica y formación de agentes. El objetivo es estar en capacidad de aceptar firmas vía EUDIW desde despliegue nacional previsto para noviembre de 2026, reduciendo así plazos de contractualización con profesionales sanitarios libres de 3 días a menos de 4 horas en promedio según benchmarks sectoriales disponibles.

Conclusión

La transición de eIDAS 1 a eIDAS 2 no es una ruptura sino una evolución estructurada, con un calendario preciso extendiéndose hasta 2027. Los impactos en la firma electrónica son reales — extensión de servicios cualificados, llegada del EUDIW, endurecimiento de requisitos NIS2 para QTSP — pero son manejables en la medida en que se anticipen. Las empresas que actúen ahora se benefician de un margen de maniobra para auditar sus flujos de trabajo, asegurar sus contratos con sus proveedores y formar sus equipos sin presión de urgencia regulatoria.

Certyneo acompaña a las empresas en esta transición con una hoja de ruta de conformidad eIDAS 2 clara, formatos de firma mantenidos al día y una arquitectura lista para integración EUDIW. ¿Listo para asegurar tus flujos de firma en este nuevo marco regulatorio? Descubre nuestras ofertas y comienza gratis en Certyneo.