Calendario eIDAS 2: despliegue UE 2026-2027

Introducción: por qué el calendario eIDAS 2 es crucial para tu organización

Desde la entrada en vigor del reglamento (UE) 2024/1183 — comúnmente llamado eIDAS 2 — el marco europeo de identidad digital y firma electrónica experimenta su transformación más profunda desde 2014. Si bien el texto revisado ha sido formalmente adoptado, es su despliegue operacional, distribuido entre 2024 y 2027, el que concentra ahora la atención de directores de TI, juristas y responsables de cumplimiento. Entender el calendario oficial de despliegue del reglamento eIDAS 2 en la Unión Europea permite anticipar obligaciones, asegurar procesos contractuales y evitar cualquier incumplimiento normativo. Este artículo descifra las etapas clave, los actos de ejecución esperados y los impactos concretos para las empresas francesas y europeas.

---

1. Recordatorio: ¿qué es eIDAS 2 y por qué esta revisión?

1.1 Las limitaciones de eIDAS 1 (2014)

El reglamento eIDAS original (n.° 910/2014) sentó las bases de la confianza digital en Europa: reconocimiento mutuo de firmas electrónicas, creación de los niveles cualificados (QES), simple (SES) y avanzado (AdES), y acreditación de prestadores de servicios de confianza (Proveedores de Servicios de Confianza, TSP). Sin embargo, diez años de aplicación han puesto de manifiesto varias lagunas importantes:

• Fragmentación nacional: menos del 19 % de los ciudadanos europeos utilizaban un esquema de identificación electrónica transfronteriza en 2022 según la Comisión Europea.
• Ausencia de cartera de identidad digital: eIDAS 1 no preveía un instrumento universal que permitiera a cada ciudadano o empresa demostrar su identidad en línea en todos los Estados miembros.
• Cobertura parcial: los servicios de archivo electrónico cualificado o las atestaciones de atributos no estaban armonizados.

1.2 Las aportaciones estructurantes de eIDAS 2

Adoptado el 11 de abril de 2024 y publicado en el Diario Oficial de la UE el 30 de abril de 2024, el reglamento (UE) 2024/1183 introduce, entre otros, los siguientes elementos:

• La Cartera de Identidad Digital Europea (EUDI Wallet): cartera de identidad digital que cada Estado miembro debe ofrecer a sus ciudadanos.
• Nuevos servicios de confianza cualificados: atestaciones de atributos electrónicos cualificados, archivo electrónico cualificado, gestión de dispositivos de creación de firma a distancia.
• Ampliación del ámbito de aplicación: las grandes plataformas en línea (en el sentido del reglamento DSA) deberán aceptar la EUDI Wallet para la autenticación de usuarios.
• Refuerzo de la gobernanza: creación de un marco de certificación de conformidad más estricto para los TSP.

Para profundizar en los fundamentos del reglamento, nuestra guía completa sobre eIDAS 2.0 detalla el conjunto de cambios regulatorios.

---

2. El calendario oficial de despliegue de eIDAS 2: etapas y fechas clave 2024-2027

El reglamento eIDAS 2 articula su entrada en aplicación en torno a un mecanismo en varios tiempos: entrada en vigor, actos de ejecución de la Comisión, transposición nacional y despliegue efectivo de herramientas. Esta es la hoja de ruta oficial.

2.1 Fase 1 — Entrada en vigor y actos delegados (mayo 2024 – fin 2025)

| Fecha | Etapa | |---|---| | 30 de abril de 2024 | Publicación del reglamento (UE) 2024/1183 en el DOUE | | 20 de mayo de 2024 | Entrada en vigor oficial (D+20 después de la publicación) | | T3-T4 2024 | Lanzamiento de grupos de trabajo sobre actos de ejecución (Toolbox eIDAS 2) | | Fin de 2024 | Publicación de las primeras especificaciones técnicas de referencia para la EUDI Wallet (ARF — Architecture Reference Framework v1.4) | | T1-T2 2025 | Actos de ejecución de la Comisión sobre especificaciones técnicas de carteras (plazo de 12 meses previsto en el artículo 5a) | | T3 2025 | Actos de ejecución relativos a nuevos servicios de confianza cualificados |

La Comisión Europea publicó en enero de 2025 el primer lote de actos de ejecución sobre las especificaciones técnicas comunes de la EUDI Wallet. Estos textos constituyen la base técnica obligatoria para los Estados miembros.

2.2 Fase 2 — Despliegue de proyectos piloto y transposiciones nacionales (2025-2026)

En el marco del programa de grandes proyectos piloto (Pruebas Piloto a Gran Escala — LSP), cuatro consorcios han estado probando la EUDI Wallet desde 2023 en más de 360 casos de uso en 25 Estados miembros:

• EU Digital Identity Wallet Consortium (EUDIW) — 140+ entidades
• NOBID — enfocado en pagos digitales
• POTENTIAL — identidad y atributos
• DC4EU — diplomas y cualificaciones profesionales

Los resultados de estos pilotos alimentan directamente los actos de ejecución. En el plano nacional, los Estados miembros disponen de 24 meses a partir de la entrada en aplicación de los actos de ejecución para desplegar su cartera nacional. En la práctica, esto significa que la gran mayoría de despliegues nacionales se espera entre mediados de 2026 y fin de 2026.

| Período | Acciones esperadas | |---|---| | T1-T2 2026 | Adopción definitiva de actos de ejecución faltantes (archivo cualificado, atestaciones de atributos) | | T2 2026 | Primeras versiones de producción de EUDI Wallets en Estados precursores (Alemania, Países Bajos, España) | | T3-T4 2026 | Despliegue progresivo en los 27 Estados miembros — apertura a usuarios profesionales | | Fin de 2026 | Obligaciones de aceptación de la EUDI Wallet para servicios públicos en línea (art. 5b) |

Francia, a través de la Agencia Nacional de Seguridad de Sistemas de Información (ANSSI) y la Dirección Interministerial de lo Digital (DINUM), ha iniciado sus trabajos de adaptación en 2025. El proyecto de cartera francesa se basa en France Identité como base técnica.

2.3 Fase 3 — Obligaciones de aceptación para el sector privado (2027)

Esta es la etapa más impactante para las empresas. El artículo 5b del reglamento eIDAS 2 impone que ciertos prestadores del sector privado acepten la EUDI Wallet para la identificación en línea en los siguientes ámbitos:

• Servicios bancarios y financieros (apertura de cuenta, KYC)
• Movilidad (transportes, alquiler de vehículos)
• Energía (contratos de consumidores)
• Plataformas en línea muy grandes (en el sentido del DSA, > 45 millones de usuarios mensuales en la UE)
• Telecomunicaciones

El plazo de aceptación obligatoria se fija en 12 meses después de la puesta a disposición de la cartera en cada Estado miembro, lo que sitúa la fecha límite real para la mayoría de sectores en el primer semestre de 2027.

Para las empresas que ya utilizan soluciones de firma electrónica conforme a eIDAS, el reto es asegurar la compatibilidad de sus flujos documentales con los nuevos atributos de identidad procedentes de las carteras digitales.

---

3. Impacto en los prestadores de servicios de confianza (TSP) y los editores SaaS

3.1 Nuevas obligaciones para los TSP cualificados

Los prestadores de servicios de confianza cualificados (QTSP) deben actualizar sus prácticas de certificación para integrar las nuevas categorías de servicios introducidas por eIDAS 2:

• Atestaciones de atributos electrónicos cualificados: permiso de conducir digital, diplomas, cualificaciones profesionales
• Archivo electrónico cualificado: servicio que garantiza la integridad a largo plazo de documentos firmados
• Gestión de dispositivos de creación de firma a distancia (RQSCD): aclaración del marco para soluciones en la nube

Los QTSP tienen hasta 18 meses después de la publicación de las normas ETSI revisadas (esperadas en T2-T3 2026) para cumplir con los nuevos requisitos técnicos, lo que sitúa las primeras re-certificaciones efectivas en 2027.

3.2 Qué significa esto para las empresas usuarias

Si tu organización utiliza un prestador de firma electrónica SaaS — ya sea una solución certificada QES o una herramienta de firma avanzada — varias cuestiones de cumplimiento se plantean desde ahora:

1. ¿Tu prestador está actualizando su certificación para integrar los requisitos eIDAS 2?
2. ¿Tus flujos de firma están preparados para recibir identidades procedentes de EUDI Wallets?
3. ¿Tu política de archivo cumple con los futuros requisitos de archivo electrónico cualificado?

Nuestros análisis de comparativa de soluciones de firma electrónica integran ahora el criterio de roadmap eIDAS 2 como factor diferenciador clave.

3.3 Las normas técnicas de referencia

La ETSI (Instituto Europeo de Estándares de Telecomunicaciones) es responsable de producir las normas armonizadas en las que se apoya eIDAS 2. El programa de trabajo 2025-2027 cubre, entre otros:

• ETSI EN 319 411-1 y -2 (revisadas): políticas y requisitos para TSP que emiten certificados
• ETSI EN 319 132-1 (XAdES) y EN 319 122-1 (CAdES): formatos de firma avanzada y cualificada
• ETSI TS 119 500: marco de confianza para servicios de archivo electrónico cualificado
• ISO/IEC 18013-5: protocolo de presentación de atributos mDL (Licencia de Conducir Móvil), adoptado como base técnica de la EUDI Wallet

---

4. Calendario eIDAS 2 en Francia: estado de avance y obligaciones específicas

4.1 El papel de ANSSI en la gobernanza nacional

En Francia, ANSSI es la autoridad supervisora de los prestadores de servicios de confianza conforme a eIDAS. En perspectiva de eIDAS 2, dirige:

• La adaptación del referencial general de seguridad (RGS) para integrar nuevos servicios cualificados
• La participación en trabajos del grupo de cooperación eIDAS (artículo 46e del reglamento)
• La supervisión de auditorías de conformidad de QTSP franceses

ANSSI publicó en marzo de 2025 una hoja de ruta nacional que especifica las etapas de adaptación del marco francés a eIDAS 2, con un punto de verificación previsto en septiembre de 2026.

4.2 Obligaciones para las grandes empresas francesas

Las empresas francesas que superan los umbrales del DSA u operan en sectores objetivo del artículo 5b deben realizar desde ahora un análisis de impacto. Las etapas recomendadas son:

1. Mapeo de flujos de identificación: identificar procesos donde la identidad digital es requerida (KYC, firma de contratos, acceso a espacios de cliente)
2. Evaluación de prestadores actuales: verificar su roadmap de conformidad eIDAS 2
3. Plan de actualización de CGC y políticas de firma: anticipar la integración de atributos de identidad procedentes de EUDI Wallets
4. Capacitación de equipos legal y TI: el marco técnico y legal evoluciona significativamente

Para empresas que gestionan altos volúmenes contractuales, las herramientas de firma electrónica en empresa deben evaluarse con base en su capacidad para evolucionar hacia eIDAS 2 sin ruptura de servicio.

4.3 Articulación con otras normativas europeas

El despliegue de eIDAS 2 no ocurre aisladamente. Se articula estrechamente con:

• El RGPD (2016/679): los atributos de identidad contenidos en EUDI Wallets constituyen datos personales sujetos a principios de minimización y finalidad
• La Directiva NIS 2 (2022/2555): los TSP son entidades esenciales en el sentido de NIS 2 y deben cumplir requisitos reforzados de ciberseguridad
• El reglamento DORA (2022/2554): las instituciones financieras que utilizan servicios de confianza para operaciones digitales deben integrar estas dependencias en su mapeo de riesgos ICT
• El reglamento sobre datos (Data Act, 2023/2854): interoperabilidad de datos de identidad entre sectores

Las empresas que ya iniciaron su conformidad NIS 2 encontrarán sinergias significativas con la adaptación a eIDAS 2, particularmente en gestión de riesgos y continuidad de negocio.

---

5. Preparar tu organización desde ahora: checklist 2026

5.1 Para direcciones jurídicas y cumplimiento

• [ ] Leer el reglamento (UE) 2024/1183 en su versión consolidada e identificar artículos aplicables a tu sector
• [ ] Mapear contratos y procesos que requieren actualización (cláusulas de firma, política de conservación)
• [ ] Verificar validez legal transfronteriza de tus firmas electrónicas actuales en contexto eIDAS 2
• [ ] Anticipar integración de atestaciones de atributos cualificadas (ej.: verificación de cualificación profesional para actos notariales o médicos)

5.2 Para direcciones de sistemas de información

• [ ] Evaluar compatibilidad de tu stack técnico con protocolos EUDI Wallet (OpenID4VP, ISO 18013-5)
• [ ] Identificar APIs a actualizar con tus editores de firma electrónica
• [ ] Prever pruebas de integración con carteras piloto disponibles en 2026
• [ ] Implementar vigilancia de actos de ejecución de la Comisión (notificaciones en Diario Oficial de la UE)

5.3 Para direcciones de negocio

Las ganancias esperadas de una conformidad bien anticipada son concretas: reducción de fricciones en procesos de firma gracias a identidad pre-verificada de EUDI Wallet, aceleración de procesos KYC, y reducción de costos de verificación de identidad. Para evaluar el ROI de tu transición, nuestro calculador ROI firma electrónica integra parámetros específicos de conformidad eIDAS 2.

Finalmente, organizaciones considerando migración desde otras soluciones hacia plataforma nativa preparada para eIDAS 2 pueden consultar nuestra guía de migración desde DocuSign o YouSign hacia Certyneo, que detalla etapas técnicas y contractuales de transición sin ruptura.

Marco legal aplicable al despliegue de eIDAS 2

Textos fundadores y jerarquía de normas

El despliegue del reglamento eIDAS 2 se inscribe en un corpus jurídico estratificado cuyo dominio es indispensable para cualquier organización sujeta a obligaciones de cumplimiento.

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo — denominado « eIDAS 2 » — constituye la norma de referencia. Deroga y reemplaza el reglamento (UE) n.° 910/2014 (eIDAS 1) en los puntos que revisa, manteniendo la validez de certificaciones existentes durante períodos de transición previstos en artículos 51 y siguientes. Publicado en el Diario Oficial de la UE serie L el 30 de abril de 2024, entró en vigor el 20 de mayo de 2024.

El Código Civil francés, artículos 1366 y 1367, consagra el reconocimiento de firma electrónica como equivalente a firma manuscrita cuando cumple condiciones de identificación del firmante e integridad del documento. Estas disposiciones se interpretan a la luz de derecho europeo eIDAS, que prevalece en virtud del principio de primacía del derecho de la Unión.

El reglamento (UE) 2016/679 (RGPD) se aplica integralmente a tratamientos de datos personales realizados en marco de EUDI Wallet y servicios de confianza. Los atributos de identidad (datos biográficos, cualificaciones, permisos) constituyen datos de carácter personal conforme artículo 4 §1 del RGPD. El principio de minimización (art. 5 §1 c) es particularmente relevante: prestadores solo deben recopilar atributos estrictamente necesarios para finalidad de transacción.

La Directiva (UE) 2022/2555 (NIS 2), transpuesta a derecho francés por ley n.° 2024-449 del 21 de mayo de 2024, clasifica prestadores de servicios de confianza cualificados entre entidades esenciales sujetas a obligaciones reforzadas de gestión de riesgos cibernéticos, notificación de incidentes y seguridad de cadena de suministro.

Las normas ETSI constituyen referencial técnico armonizado de eIDAS 2:

• ETSI EN 319 401: requisitos generales para TSP
• ETSI EN 319 411-1/-2: políticas para TSP que emiten certificados cualificados
• ETSI EN 319 132-1: formato XAdES (firmas XML avanzadas)
• ETSI EN 319 122-1: formato CAdES (firmas CMS avanzadas)
• ETSI EN 319 162-1: formato ASiC (contenedores de firmas)

Riesgos legales en caso de incumplimiento

El incumplimiento de obligaciones eIDAS 2 expone organizaciones a varios riesgos:

1. Inoponibilidad de firmas: una firma electrónica realizada vía TSP no conforme a nuevos requisitos puede perder presunción legal de validez, cuestionando valor probatorio de contratos firmados.
2. Sanciones administrativas: autoridades supervisoras nacionales (ANSSI en Francia) pueden pronunciar medidas correctivas, órdenes de conformidad, o incluso retiradas de acreditación para TSP.
3. Responsabilidad contractual: empresas usando herramientas no conformes pueden ver responsabilidad comprometida ante clientes y socios si litigio cuestiona validez acto firmado electrónicamente.
4. Acumulación con RGPD: gestión no conforme de atributos de identidad de EUDI Wallet puede exponer simultáneamente a sanciones CNIL (hasta 4 % de volumen de negocio mundial anual).

Escenarios de uso concretos ante calendario eIDAS 2

Escenario 1 — Un bufete legal de tamaño intermedio gestionando actos transfronterizos

Un bufete de abogados de negocios con alrededor de quince colaboradores tratando regularmente operaciones de fusiones y adquisiciones involucrando contrapartes en múltiples Estados miembros de la UE (Bélgica, Países Bajos, España) utiliza actualmente solución de firma electrónica cualificada para actos de cesión de participaciones y protocolos de confidencialidad. Con entrada en aplicación del calendario eIDAS 2, el bufete anticipa dos evoluciones mayores antes de fin 2026:

• Verificación de identidad simplificada: contrapartes extranjeras podrán presentar atributos de identidad vía su EUDI Wallet nacional, eliminando intercambios de copias de pasaporte y procedimientos KYC redundantes. Según estimaciones de reportes de la Comisión Europea sobre LSP, ganancia de tiempo en fase de verificación de identidad se estima entre 40 % y 60 % según jurisdicciones involucradas.
• Valor probatorio reforzado: actos firmados con identidades atestadas por EUDI Wallets cualificados gozarán presunción legal aún más robusta, reduciendo riesgo de impugnación judicial en litigios transfronterizos.

El bufete prevé migrar hacia plataforma SaaS con roadmap eIDAS 2 documentado antes de T3 2026, aproximadamente seis meses antes de primeras obligaciones de aceptación.

Escenario 2 — Una PYME industrial gestionando volumen elevado de contratos con proveedores

Una PYME del sector equipamiento industrial gestionando aproximadamente 250 contratos con proveedores por año, de los que 30 % con socios europeos fuera de Francia, enfrenta restricciones crecientes en verificación de identidad durante onboarding de nuevos proveedores. Proceso actual — solicitud de Kbis, copia de documento de identidad del representante legal, verificación manual — moviliza en promedio 2,5 horas por expediente según benchmarks sectoriales de federación de compradores.

Con integración de EUDI Wallet en su flujo de firma antes de 2027, PYME proyecta:

• Una reducción de 55 a 70 % del tiempo dedicado a verificación de identidad gracias a atestaciones de atributos cualificadas (número de registro, representación legal)
• Una disminución de 80 % de seguimientos documentales ante proveedores extranjeros
• Una seguridad acrecentada contra fraude documental, siendo atributos criptográficamente verificables

La PYME ha identificado necesidad de actualizar sus condiciones generales de compra para integrar referencia a atestaciones eIDAS 2, en coordinación con su asesor legal.

Escenario 3 — Un agrupamiento hospitalario anticipando conformidad para actos médicos digitales

Un agrupamiento hospitalario de aproximadamente 900 camas distribuidas en tres sitios debe gestionar firma electrónica de documentos médicos sensibles: consentimientos informados, prescripciones, informes operatorios y contratos con prestadores de servicios sanitarios. Normativa francesa impone firma cualificada para ciertos actos médicos con alcance jurídico significativo.

En perspectiva del calendario eIDAS 2, agrupamiento anticipa llegada de atestaciones de atributos cualificadas para cualificaciones profesionales de salud (número RPPS, especialidad, establecimiento ejercicio), que permitirán:

• Automatizar verificación de cualidad del firmante (médico, cirujano, farmacéutico) sin verificación manual en repertorios profesionales
• Reducir riesgos de error en atribución de firma durante reemplazos y guardias
• Facilitar portabilidad de historiales médicos digitales entre establecimientos, en marco de espacio europeo de datos de salud (EHDS)

El agrupamiento estima que integración de flujos EUDI Wallet en su sistema información hospitalario (SIH) representa proyecto de 12 a 18 meses, justificando lanzamiento de estudios técnicos antes de T3 2026 para puesta en producción antes de obligación de aceptación sectorial.

Conclusión

El calendario de despliegue del reglamento eIDAS 2 en la Unión Europea está ahora claramente jalonado: actos de ejecución en curso de finalización en 2026, despliegue de EUDI Wallets nacionales entre mediados 2026 y fin 2026, obligaciones de aceptación para sector privado a partir del primer semestre 2027. Esta hoja de ruta deja ventana de acción concreta para empresas francesas y europeas, con condición de engancharse desde ahora en análisis de conformidad, evaluación de prestadores y actualización de procesos contractuales.

Esperar hasta 2027 para conformarse conlleva riesgo de transición en urgencia, con costos y riesgos legales que ello implica. Certyneo, diseñado nativamante para requisitos eIDAS y en roadmap activo hacia eIDAS 2, te acompaña desde hoy en esta transición. Comienza gratuitamente en Certyneo y asegura tus flujos documentales en respeto del marco europeo de confianza digital.