Certificación eIDAS 2 de proveedores de firma: guía completa 2026

Por qué la certificación eIDAS 2 cambia las reglas para los proveedores

Desde la entrada en vigor del Reglamento (UE) 2024/1183 del 11 de abril de 2024 —comúnmente llamado eIDAS 2— los proveedores de servicios de confianza (PSC) que operan en la Unión Europea enfrentan un marco regulatorio profundamente reformulado. La revisión del reglamento eIDAS original de 2014 no se limita a ampliar el alcance de los servicios reconocidos: endurecen sustancialmente las condiciones de acreditación, introduce nuevos niveles de garantía y refuerza los requisitos de supervisión de los organismos de control nacionales. Para todo actor que desee ofrecer servicios de firma electrónica cualificada (QES) o avanzada (AdES) en el mercado europeo, entender cómo obtener una certificación eIDAS 2 para proveedor de firma ya no es una opción, es una obligación estratégica.

Este artículo ofrece una visión exhaustiva del proceso de certificación: textos aplicables, normas técnicas a respetar, papel de los organismos de evaluación de la conformidad (CAB), plazos realistas y puntos de atención operacionales.

---

El nuevo panorama regulatorio eIDAS 2: qué ha cambiado

Del Reglamento 910/2014 al Reglamento 2024/1183: las principales evoluciones

El reglamento eIDAS original (n.° 910/2014) estableció los fundamentos de un mercado único digital de confianza en Europa. Definía tres niveles de firma —simple, avanzada y cualificada— e imponía a los proveedores cualificados figurar en las listas de confianza nacionales (TSL, Trust Service Lists). eIDAS 2 conserva esta arquitectura pero la enriquece en varios puntos estructurales:

• Extensión de los servicios cualificados: archivo electrónico cualificado, atestaciones electrónicas de atributos (AEA), gestión remota de dispositivos de creación de firma cualificada (QSCD). Estos nuevos servicios ahora están sujetos al mismo procedimiento de acreditación que la firma cualificada.
• La cartera europea de identidad digital (EUDIW): los proveedores que deseen interactuar con la futura cartera de identidad deben demostrar su conformidad con especificaciones técnicas publicadas por la Comisión (ARF —Architecture and Reference Framework, v1.4, 2024).
• Refuerzo de la supervisión: las autoridades de supervisión nacionales (en Francia, la ANSSI) cuentan con poderes de investigación e imposición reforzados. Los PSC cualificados pueden ser objeto de auditorías sin previo aviso.
• Plazos de notificación reducidos: todo incidente de seguridad significativo debe notificarse a la autoridad competente en 24 horas (frente a 72 horas en la versión anterior para ciertos incidentes).

Para una visión general del reglamento, la guía eIDAS 2.0 de Certyneo ofrece una síntesis pedagógica de todas estas evoluciones.

Los niveles de garantía y sus implicaciones para la certificación

La distinción entre firma electrónica avanzada y cualificada sigue siendo el pivote del sistema. Solo la QES se beneficia de una presunción legal de integridad e imputabilidad equivalente a la firma manuscrita (art. 25 del reglamento eIDAS 2). Esta presunción está directamente condicionada a la certificación del proveedor.

| Nivel | Valor probatorio | Requisito del proveedor | |---|---|---| | Simple (SES) | Limitado | Ninguno | | Avanzada (AdES) | Significativo | Buenas prácticas + normas ETSI | | Cualificada (QES) | Máximo (presunción legal) | Certificación eIDAS 2 obligatoria |

---

El proceso de certificación eIDAS 2 paso a paso

Paso 1 — Requisitos previos organizacionales y técnicos

Antes de iniciar formalmente el proceso de certificación, un proveedor debe auditar su nivel de madurez en tres ejes:

1. Conformidad con las normas ETSI Las normas de la serie EN 319 constituyen la base técnica imprescindible. Las principales son:

• ETSI EN 319 401: requisitos generales para proveedores de servicios de confianza
• ETSI EN 319 411-1 y 411-2: políticas y requisitos para autoridades de certificación que expiden certificados (perfiles PTC-QC para certificaciones cualificadas)
• ETSI EN 319 421: política y requisitos para proveedores de servicios de sellado de tiempo
• ETSI EN 319 132: formatos de firma XAdES (XML), y la serie asociada CAdES (CMS) y PAdES (PDF)

La conformidad con estas normas no es facultativa para proveedores cualificados: es explícitamente requerida por los actos de ejecución de la Comisión Europea.

2. Seguridad de los sistemas de información Los QSCD (dispositivos de creación de firma cualificada) deben certificarse según Common Criteria (CC) EAL4+ o equivalente. Para soluciones de firma remota —modelo dominante en SaaS— los requisitos también se refieren a módulos HSM (Hardware Security Module) y procedimientos de gestión de claves criptográficas (conformidad FIPS 140-2 nivel 3 como mínimo).

3. Política de seguridad (PSSI) y gestión de riesgos El expediente de certificación exige una PSSI formalizada, alineada con ISO/IEC 27001 (cuya certificación es fuertemente recomendada y a veces exigida por los CAB) e integrando los requisitos NIS2 para entidades calificadas como «importantes» o «esenciales».

Paso 2 — Selección e incorporación de un organismo de evaluación de la conformidad (CAB)

En Francia, los CAB acreditados por el COFRAC (Comité Francés de Acreditación) para evaluar proveedores de servicios de confianza son pocos. A título de ejemplo, LSTI (Laboratoire de Sécurité des Technologies de l'Information) y Bureau Veritas Certification figuran entre los actores referenciados. A nivel europeo, cada Estado miembro publica la lista de sus CAB notificados.

El papel del CAB es conducir una auditoría de conformidad en dos fases:

1. Revisión documental (Fase 1): examen de políticas, procedimientos, Declaración de Prácticas de Certificación (DPC / CPS) y pruebas técnicas.
2. Auditoría en sitio (Fase 2): verificación de controles operacionales, pruebas de penetración, entrevistas con equipos.

La duración total de una auditoría CAB varía generalmente de 4 a 8 semanas según la madurez previa del candidato.

Paso 3 — Instrucción por la autoridad de supervisión nacional

En Francia, es la ANSSI (Agencia Nacional de Seguridad de Sistemas de Información) la que instruye las solicitudes de inscripción en la lista de confianza nacional (TSL FR). Sobre la base del informe de auditoría CAB, la ANSSI realiza su propio análisis y puede solicitar información complementaria o medidas correctivas.

El plazo regulatorio de instrucción es de 3 meses a partir de la recepción de un expediente completo (art. 17 del reglamento eIDAS 2). En la práctica, los plazos efectivos suelen ser más largos si el expediente inicial es incompleto.

Una vez inscrito en la TSL nacional, el proveedor se registra automáticamente en la EUTL (EU Trusted List), publicada por la Comisión Europea, lo que le confiere un reconocimiento transfronterizo inmediato en los 27 Estados miembros.

Paso 4 — Mantenimiento de la calificación y renovación

La certificación eIDAS 2 no es definitiva. Los proveedores cualificados están sujetos a:

• Una auditoría de vigilancia anual realizada por el CAB
• Una auditoría de renovación completa cada 24 meses (ciclo acortado en relación con la práctica anterior)
• Controles sin aviso previo posibles por iniciativa de la ANSSI

Cualquier cambio sustancial de la infraestructura (cambio de HSM, evolución de PKI, nuevo servicio cualificado) activa un procedimiento de notificación previa y puede imponer una auditoría parcial.

---

Costos, plazos y factores de riesgo: lo que los DSI deben anticipar

Presupuesto y recursos humanos

El costo de una primera certificación eIDAS 2 es significativo. Los principales rubros de gasto incluyen:

• Auditoría CAB: entre 40 000 € y 120 000 € según la complejidad del alcance
• Cumplimiento técnico (HSM, PKI, QSCD certificados CC): de 80 000 € a varios cientos de miles de euros para infraestructura propia
• Certificación ISO 27001 (recomendada como preludio): 15 000 a 50 000 € según el tamaño
• Honorarios de asesoramiento legal y redacción de DPC: 10 000 a 30 000 €
• Costos internos: movilización de equipo dedicado (RSSI, DPO, responsable de cumplimiento) durante 12 a 18 meses

Sumando todos estos rubros, una certificación completa representa una inversión global de aproximadamente 200 000 a 500 000 € para un proveedor de tamaño intermedio, sin contar los costos recurrentes de mantenimiento.

Factores de riesgo operacionales

Las causas más frecuentes de fracaso o retraso en los procedimientos de certificación son:

1. Una DPC insuficientemente detallada: la Declaración de Prácticas de Certificación debe documentar cada control con una granularidad a menudo subestimada.
2. Brechas en la gestión del ciclo de vida de las claves: revocación, archivo, destrucción de claves privadas.
3. Una gobernanza de incidentes insuficiente: ausencia de SIEM, procedimientos de gestión de crisis probados, runbooks.
4. La subestimación de NIS2: desde octubre de 2024, los PSC cualificados se clasifican automáticamente como entidades «importantes» conforme a la directiva NIS2, con obligaciones adicionales de notificación y gestión de riesgos.

Para las empresas que deseen delegar estas limitaciones a un proveedor ya certificado en lugar de construir su propia infraestructura, el comparativo de soluciones de firma electrónica disponible en Certyneo ayuda a objetivar esta opción de construir-versus-comprar.

---

eIDAS 2 y firma electrónica en la empresa: desafíos de transición

Para las empresas usuarias —en contraste con los proveedores— la certificación eIDAS 2 de su proveedor SaaS de firma es ahora un criterio de selección imprescindible. Incorporar en convocatorias públicas una cláusula que exija presencia en la TSL nacional se ha convertido en una práctica estándar en sectores regulados (finanzas, sanidad, bienes raíces).

La firma electrónica en la empresa exige efectivamente distinguir claramente los casos de uso que requieren QES —actos bajo firma privada de alto riesgo, mandatos, actos notariales electrónicos— de aquellos donde una AdES es suficiente. Esta cartografía de usos condiciona directamente el nivel de servicio exigible contractualmente al proveedor.

Las organizaciones que migran de una solución existente a un proveedor certificado eIDAS 2 también deben anticipar la portabilidad de archivos de pruebas. La guía sobre la migración desde DocuSign o YouSign hacia Certyneo detalla las mejores prácticas para preservar el valor probatorio de los documentos ya firmados durante la transición.

Marco legal aplicable a la certificación eIDAS 2

Textos fundacionales

La certificación de proveedores de servicios de confianza se basa en una compleja jerarquía normativa que debe dominarse en su totalidad:

Reglamento (UE) 2024/1183 del 11 de abril de 2024 (eIDAS 2): texto de referencia que deroga y sustituye las disposiciones correspondientes del Reglamento 910/2014. Define las condiciones para obtener y mantener el estatus de proveedor cualificado, las obligaciones de supervisión nacional, y los requisitos relativos a nuevos servicios (EUDIW, AEA).

Reglamento (UE) n.° 910/2014 (eIDAS 1): aún parcialmente aplicable para disposiciones no modificadas; los actos de ejecución y delegados adoptados conforme a este reglamento permanecen en vigor hasta su revisión formal.

Código Civil francés, artículos 1366 y 1367: el artículo 1366 establece el principio de equivalencia de la firma electrónica a la firma manuscrita bajo condición de fiabilidad; el artículo 1367 precisa que la fiabilidad se presume hasta prueba en contrario cuando se utiliza firma cualificada. Estas disposiciones nacionales se articulan directamente con la presunción legal del art. 25 eIDAS 2.

Directiva (UE) 2022/2555 (NIS2): transpuesta a derecho francés por ley del 15 de octubre de 2024, clasifica automáticamente a los proveedores de servicios de confianza cualificados entre las entidades importantes. Obligaciones: notificación a la ANSSI en 72 horas para cualquier incidente significativo, implementación de gestión de riesgos cibernéticos formalizada, auditoría de seguridad periódica.

Reglamento (UE) 2016/679 (RGPD): los proveedores de servicios de firma tratan datos personales sensibles (identidad de firmantes, registros de auditoría). El respeto de los principios de minimización, limitación de retención e integridad impone un análisis de impacto (AIPD) específico. La base legal del tratamiento debe documentarse para cada servicio.

Normas técnicas con valor regulatorio

Los actos de ejecución de la Comisión Europea (en particular la Decisión de Ejecución (UE) 2015/1506 y sus revisiones) designan las normas ETSI como presuntivamente conformes:

• ETSI EN 319 401: requisitos generales PST
• ETSI EN 319 411-1 y 411-2: políticas de certificación
• ETSI EN 319 421: sellado de tiempo cualificado
• ETSI EN 319 132 / 122 / 102: formatos AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: servicios de firma remota

Riesgos legales en caso de incumplimiento

El uso fraudulento o negligente del estatus de proveedor cualificado expone a sanciones administrativas dictadas por la ANSSI (suspensión, retirada de lista de confianza) y a procesos penales (art. 226-17 del Código Penal por falta de seguridad de datos personales). En el plano civil, cuestionar el valor probatorio de firmas emitidas durante un período de incumplimiento puede comprometer la responsabilidad contractual del proveedor hacia sus clientes.

Escenarios de uso: la certificación eIDAS 2 en la práctica

Escenario 1 — Un editor SaaS de tamaño intermedio buscando calificación QES

Una sociedad especializada en desmaterialización documental, con alrededor de cien colaboradores y gestionando varios millones de transacciones de firma anualmente para clientes en sectores bancario y de seguros, decide solicitar la calificación eIDAS 2 para su servicio de firma electrónica. Hasta entonces, la empresa ofrecía firma avanzada basada en certificados (AdES), suficiente para la mayoría de contratos de clientes, pero insuficiente para actos que exigen máximo valor probatorio (mandatos SEPA, convenciones de prueba notarizadas).

Tras una auditoría interna de 3 meses que revela alrededor de quince brechas mayores respecto a requisitos ETSI EN 319 411-2, la empresa inicia un programa de cumplimiento en 14 meses. Los principales proyectos afectan la sustitución de HSM existentes por módulos certificados FIPS 140-2 nivel 3, redacción de una DPC de 180 páginas, y obtención de certificación ISO 27001 previamente a la auditoría CAB. La inversión total alcanza 340 000 €. Al finalizar el proceso, la inscripción en la TSL francesa permite a la empresa acceder a convocatorias públicas de las que estaba sistemáticamente excluida, representando un potencial comercial estimado en 20 % de ingresos adicionales.

Escenario 2 — Un grupo hospitalario integrando firma cualificada para actos medico-legales

Un grupo hospitalario de aproximadamente 1 200 camas desea desmaterializar sus procesos de consentimiento informado, delegación de poderes médicos y contratos de investigación clínica. Estos documentos pertenecen a la categoría de actos para los cuales QES es exigida o fuertemente recomendada por referentes de la HAS y marco legal de datos de salud (art. L. 1110-4 CSP).

En lugar de certificar infraestructura interna —opción considerada demasiado costosa y fuera del core de negocio— el grupo opta por integración de proveedor tercero ya inscrito en TSL. El equipo de IT realiza auditoría de conformidad del proveedor sobre base de lista de control ETSI EN 319 401 y verifica presencia efectiva en EUTL previamente a cualquier contratación. El despliegue, realizado en 4 meses, reduce en 65 % el plazo de recopilación de firmas en expedientes de investigación clínica y elimina riesgo de contestación legal vinculado a uso anterior de firmas simples para actos sensibles.

Escenario 3 — Un despacho de abogados de negocios asegurando sus actos bajo firma privada

Un despacho de abogados de negocios de unos treinta socios, gestionando anualmente cerca de 400 operaciones de fusión-adquisición y ventas de fondos de comercio, busca fiabilizar la firma de sus actos bajo firma privada complejos. El valor unitario de transacciones tratadas frecuentemente supera el millón de euros, y cualquier vicio de forma puede comprometer responsabilidad profesional del despacho.

Tras análisis, equipo IT y managing partner concuerdan en requisito contractual mínimo de QES emitida por proveedor certificado eIDAS 2 para todo acto cuyo valor supere 100 000 €. El criterio de selección del proveedor integra obligatoriamente verificación de inscripción en TSL nacional y disponibilidad de certificado de conformidad ETSI reciente (menos de 12 meses). Este marco permite al despacho reducir en más de 80 % solicitudes de contra-pericia sobre validez de firmas durante litigios posteriores, conforme retornos observados en estructuras comparables en el sector.

Conclusión

Obtener certificación eIDAS 2 como proveedor de servicios de firma electrónica es un proceso exigente, costoso y prolongado —pero imprescindible para todo actor deseando ofrecer garantías legales máximas a sus clientes en el mercado europeo. Entre cumplimiento a normas ETSI, paso de auditoría CAB, instrucción por ANSSI y mantenimiento de calificación en tiempo, la iniciativa moviliza recursos sustanciales durante 12 a 24 meses.

Para empresas usuarias, la buena noticia es que no es necesario construir esta infraestructura internamente: elegir proveedor SaaS ya certificado eIDAS 2 e inscrito en lista de confianza nacional permite beneficiarse inmediatamente de presunción legal vinculada a QES, sin soportar costos de certificación.

Certyneo es un proveedor de confianza certificado, diseñado para empresas B2B que exigen rigor jurídico y simplicidad de uso. Descubre nuestras tarifas e inicia tu prueba gratuita hoy.