eIDAS 2: el nuevo reglamento europeo explicado en 2026

Introducción: por qué eIDAS 2 lo cambia todo para las empresas europeas

Entrado en vigor el 20 de mayo de 2024 tras una larga gestación legislativa, el reglamento eIDAS 2 —oficialmente denominado Reglamento (UE) 2024/1183— representa la reforma más ambiciosa jamás emprendida en el ámbito de la identificación electrónica y los servicios de confianza en Europa. Deroga y reemplaza parcialmente el reglamento eIDAS inicial de 2014 (n°910/2014), manteniendo la compatibilidad ascendente con la infraestructura existente. Para las empresas que recurren a la firma electrónica conforme eIDAS, esta remodelación introduce nuevas obligaciones, oportunidades inéditas y un calendario de cumplimiento ajustado hasta 2026 y más allá. Este artículo descifra en profundidad las disposiciones clave del texto, sus implicaciones operacionales y la manera en que tu organización puede prepararse.

---

Lo que el reglamento eIDAS 2 modifica fundamentalmente

Del reglamento de 2014 a la versión 2024: una remodelación estructural

El reglamento eIDAS original de 2014 había sentado las bases del reconocimiento mutuo de los esquemas de identificación electrónica entre Estados miembros y estableció un marco jurídico unificado para los servicios de confianza (firma, sello, marca de tiempo, etc.). Pero diez años después, los límites eran evidentes: tasa de adopción baja de las eID notificadas, fragmentación de las soluciones nacionales, ausencia de un portefeuille digital universal para los ciudadanos, y sobre todo inadaptación a los usos web (GAFAM excluidos del marco de confianza).

eIDAS 2 corrige estas carencias en tres ejes mayores:

1. El portefeuille europeo de identidad digital (Cartera EUDI) — cada Estado miembro debe ofrecer, como máximo en noviembre de 2026, una aplicación de cartera digital que permita a todo ciudadano o residente europeo guardar y presentar sus atributos de identidad (carnet de identidad, permiso de conducir, diplomas, etc.) de forma segura.
2. La ampliación de los servicios de confianza cualificados — el texto añade nuevos servicios cualificados: gestión de archivo electrónico cualificado (QESAP), informes de atributos de identidad cualificados (QEAA), libros de cuentas electrónicos cualificados (QLED) y gestión de dispositivos de creación de firma a distancia (QRCD).
3. La obligación para las grandes plataformas — los proveedores de servicios en línea de gran tamaño (redes sociales, mercadoplacas) deberán aceptar la cartera EUDI para la autenticación de usuarios.

El portefeuille EUDI Wallet: arquitectura y funcionamiento

La Cartera EUDI es el corazón de eIDAS 2. Concretamente, se trata de una aplicación de software —entregada o certificada por cada Estado miembro— que se basa en un modelo descentralizado de presentación selectiva de atributos. El usuario solo transmite los datos estrictamente necesarios para la transacción (principio de minimización, conforme al RGPD).

Desde el punto de vista técnico, la arquitectura se basa en las especificaciones del Marco de Referencia de Arquitectura (ARF), publicado por la Comisión Europea y actualizado regularmente por el Piloto a Gran Escala (LSP) que agrupa cuatro consorcios piloto (DC4EU, EWC, POTENTIAL, NOBID). Los formatos de datos retenidos son principalmente ISO/IEC 18013-5 (mDL/mDocs) e W3C Verifiable Credentials, garantizando la interoperabilidad transfronteriza.

Para las empresas, esto significa que podrán, a término, verificar la identidad de sus clientes o socios a través de la cartera sin gestionar ellas mismas la recopilación de documentos justificativos — reduciendo así considerablemente las fricciones KYC (Conoce a tu Cliente) y los riesgos de fraude documental.

---

Los niveles de garantía y la jerarquía de firmas: qué cambia

Mantenimiento de la jerarquía QES / AdES / SES

El régimen de firmas electrónicas sigue estructurado alrededor de tres niveles definidos en el artículo 3 de eIDAS 2 (retomando la terminología de 2014 pero precisando los requisitos técnicos):

• Firma electrónica simple (SES): valor probatorio mínimo, adaptada a los actos corrientes.
• Firma electrónica avanzada (AdES): vínculo exclusivo al firmante, posibilidad de detectar cualquier modificación posterior.
• Firma electrónica cualificada (QES): equivalente legal de la firma manuscrita en toda la UE (artículo 25§2), emitida a través de un dispositivo cualificado de creación de firma (QSCD) sobre la base de un certificado cualificado.

La novedad radica en la manera en que la QES puede ahora ser entregada a través de servicios de firma a distancia cualificados (QRCD), cuyas condiciones de aprobación se especifican en los artículos 29a y 29b del texto revisado. Esto abre la puerta a flujos 100% digitales para los actos más exigentes — contratos notariales, actos auténticos electrónicos — sin necesidad de tarjeta inteligente física.

El impacto en los proveedores de servicios de confianza cualificados (QTSP)

Los proveedores tales como Certyneo, que operan apoyándose en QTSP certificados, deben anticipar los nuevos requisitos de auditoría introducidos por eIDAS 2. El artículo 24 impone ahora controles reforzados en la cadena de subcontratación, y los requisitos de notificación de incidentes de seguridad se alinean explícitamente con los de la directiva NIS2 (plazo de 24 h para la notificación inicial). Para profundizar en el funcionamiento de los diferentes niveles de firma en un contexto B2B, consulta nuestra guía completa sobre firma electrónica en empresas.

---

Calendario de despliegue y obligaciones para las empresas en 2025-2026

Las etapas clave del despliegue

El Reglamento (UE) 2024/1183 fue publicado en el Diario Oficial de la UE el 30 de abril de 2024 y entró en vigor el 20 de mayo de 2024. Los actos de ejecución y delegados —esenciales para precisar los requisitos técnicos— se publican progresivamente:

| Plazo | Obligación | |---|---| | Mayo de 2024 | Entrada en vigor del reglamento | | Fin de 2024 | Publicación de actos de ejecución sobre ARF v2.0 | | Mediados de 2025 | Certificación de los primeros Carteras EUDI piloto | | Noviembre de 2026 | Disponibilidad obligatoria de una Cartera EUDI en cada Estado miembro | | 2027 | Aceptación obligatoria por las grandes plataformas en línea |

Lo que las empresas B2B deben hacer ahora mismo

Para las empresas usuarias de soluciones de firma electrónica, tres prioridades se imponen en 2025-2026:

1. Auditar su cadena de confianza: verificar que su proveedor de firma figure realmente en la lista de QTSP (Lista de Confianza) de su Estado miembro, y que los certificados utilizados sean conformes a las nuevas especificaciones ETSI EN 319 401 y EN 319 411-1 revisadas.

2. Anticipar la integración de la Cartera EUDI: las empresas que operan en sectores regulados (banca, seguros, sanidad, inmobiliaria) serán entre las primeras afectadas por los flujos de verificación de identidad a través de cartera. Preparar las API de integración desde 2025 es recomendable.

3. Revisar sus políticas de conservación: el nuevo servicio cualificado de archivo electrónico (QESAP) introduce estándares de preservación a largo plazo que pueden imponerse en ciertos sectores (contratación pública, sector farmacéutico). Nuestro calculador de ROI para firma electrónica te permite evaluar el impacto financiero de una actualización de tu infraestructura documental.

---

Interoperabilidad, RGPD y desafíos de soberanía digital

eIDAS 2 y RGPD: complementariedad reforzada

Uno de los avances mayores de eIDAS 2 es la integración explícita de los principios de protección de datos desde el diseño (privacy by design) en la arquitectura de la Cartera EUDI. El artículo 5a§14 dispone que la cartera no permite a los proveedores rastrear el comportamiento del usuario durante las transacciones. Los emisores de atributos de identidad cualificados (QEAA) no son informados del uso que se hace de las atestaciones entregadas — lo cual constituye una ruptura importante con los modelos centralizados actuales.

Esta arquitectura se califica de unlinkability (no-correlabilidad): dos transacciones distintas realizadas por el mismo usuario no pueden ser vinculadas sin su consentimiento. Esta garantía supera los requisitos mínimos del RGPD mientras se articula perfectamente con él.

La dimensión geopolítica: retomar el control sobre la identidad en línea

eIDAS 2 responde también a un desafío de soberanía. Hoy, la autenticación en línea descansa masivamente en los botones "Conectarse con Google/Facebook/Apple", lo cual otorga a los gigantes tecnológicos estadounidenses una posición dominante en la gestión de identidades digitales europeas. Al imponer a las plataformas muy grandes (en el sentido de la Digital Services Act) que acepten la Cartera EUDI como medio de autenticación, eIDAS 2 crea una alternativa interoperable y soberana.

Para las empresas B2B, esto significa también que el cumplimiento de eIDAS 2 puede convertirse en un criterio de selección de proveedores en las licitaciones públicas y privadas — a la imagen de lo que representa hoy la certificación ISO 27001 en los procesos de compra. Si tu organización contempla hacer evolucionar su solución actual, nuestra guía de migración desde DocuSign o YouSign hacia Certyneo detalla las etapas de una transición controlada.

Marco legal aplicable a eIDAS 2 y a la firma electrónica

Textos de referencia

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo del 11 de abril de 2024, que modifica el Reglamento (UE) n°910/2014 en lo que respecta al establecimiento del marco europeo relativo a una identidad digital (eIDAS 2). Publicado en el DOUE el 30 de abril de 2024, entrado en vigor el 20 de mayo de 2024.

Reglamento (UE) n°910/2014 (eIDAS 1): mantenido en vigor para sus disposiciones no modificadas, en particular los artículos relativos a los niveles de garantía "bajo", "sustancial" y "alto" para los esquemas de identificación notificados.

Código Civil francés, artículos 1366 y 1367: el escrito electrónico tiene la misma fuerza probatoria que el escrito en papel siempre que la persona de cuya proveniencia emana esté debidamente identificada y que el documento sea establecido en condiciones que garanticen su integridad. La firma electrónica cualificada (QES) en el sentido de eIDAS 2 satisface plenamente estos requisitos.

Reglamento (UE) 2016/679 (RGPD): el tratamiento de datos de identidad en el marco de la Cartera EUDI está sujeto a los principios de minimización (art. 5§1c), de limitación de la finalidad (art. 5§1b) y de protección de datos desde el diseño (art. 25). Los prestadores cualificados ejercen la calidad de responsables de tratamiento distintos para las operaciones de verificación.

Directiva (UE) 2022/2555 (NIS2): transpuesta al derecho francés por la ordenanza n°2024-528 del 12 de junio de 2024, impone a los prestadores de servicios de confianza cualificados obligaciones de gestión de riesgos cibernéticos y de notificación de incidentes en 24 horas.

Normas ETSI:

• EN 319 132 (XAdES) y EN 319 122 (CAdES): formatos avanzados de firma electrónica.
• EN 319 401: requisitos generales para los prestadores de servicios de confianza.
• EN 319 411-1 y 411-2: política y requisitos de seguridad para las CA que emiten certificados cualificados.
• EN 319 521: requisitos para los servicios cualificados de preservación de firmas (QESAP).

Obligaciones y riesgos jurídicos para las empresas

Toda empresa que utiliza firmas electrónicas en un contexto contractual debe asegurarse de que el nivel de firma elegido sea adecuado al valor y naturaleza del acto. Para los actos sujetos a un requisito legal de firma (promesas de venta, contratos de trabajo, órdenes de compra que superen ciertos umbrales), solo la QES o la AdES basada en un certificado cualificado aporta la presunción de fiabilidad contemplada en el artículo 26 de eIDAS 2.

En caso de litigio, la carga de la prueba se invierte: si la firma es cualificada, corresponde a la parte que la cuestiona probar su alteración; si es simple o avanzada sin certificado cualificado, la carga de la prueba recae sobre el firmante que la invoca. El incumplimiento de los requisitos de trazabilidad e integridad puede llevar a la nulidad del acto o a la inopositabilidad de la firma a un tercero.

Escenarios de uso: eIDAS 2 aplicado a empresas B2B

Escenario 1 — Un gabinete de consultoría en transformación digital (aproximadamente 80 consultores)

Una estructura de consultoría desplegando sus colaboradores en clientes de varios Estados miembros (Francia, Alemania, Países Bajos) debe hacer firmar cada mes órdenes de misión, avenidas contractuales y actas de recepción. Antes de eIDAS 2, la gestión de identidades transfronterizas generaba fricciones: rechazo de ciertos clientes alemanes de reconocer certificados emitidos por un QTSP francés, doble autenticación por correo electrónico insuficiente para los actos sensibles.

Con el despliegue de la Cartera EUDI en 2026, los consultores podrán firmar desde su cartera nacional — reconocida plenamente en todos los Estados miembros — sin ninguna fricción. El gabinete estima una reducción del 60 a 70% del tiempo dedicado a intercambios de verificación documental previos a la firma, es decir aproximadamente 3 a 4 horas economizadas por consultor y por mes según los benchmarks sectoriales publicados por McKinsey Digital (2024).

Escenario 2 — Una PYME industrial gestionando 350 contratos con proveedores al año

Una PYME del sector de equipos industriales, trabajando con una centena de proveedores europeos y asiáticos, debe formalizar contratos de compra, acuerdos de confidencialidad (NDA) y contratos marco. Hasta ahora, el 30% de estos documentos regresaban sin firma válida o con demoras superiores a 10 días laborales.

Al adoptar una solución de firma electrónica conforme eIDAS 2 con verificación de identidad a través de atributos cualificados (QEAA), la PYME puede imponer un flujo de firma donde la identidad del representante legal del proveedor sea verificada automáticamente a través de la Cartera EUDI, sin ingreso manual. Resultado esperado: reducción del plazo promedio de firma de 10 días a menos de 48 horas, y disminución del 40% de litigios relacionados con firmas no conformes, sobre la base de rangos observados en los informes ELENIUS 2025 sobre desmaterialización B2B.

Escenario 3 — Un grupo inmobiliario gestionando compromisos de venta en varios países

Una red de agencias inmobiliarias operando en Francia, España y Portugal debe regularmente hacer firmar precontratos entre vendedores y compradores de nacionalidades diferentes. La QES es requerida en ciertos contextos para garantizar la equivalencia con la firma manuscrita ante notario.

Gracias a eIDAS 2 y a la interoperabilidad de las Carteras EUDI, un comprador portugués puede firmar un compromiso sujeto a la ley francesa usando su cartera nacional, con un nivel de garantía "alto" reconocido automáticamente por la plataforma de firma. El grupo reduce sus gastos de desplazamiento y legalización aproximadamente 800 a 1 200 euros por expediente transfronterizo, reduciendo además el plazo de cierre de precontratos de 3 semanas a 5 días en promedio. Para usos específicos del sector, nuestra página dedicada a la firma electrónica en inmobiliaria detalla los flujos de trabajo adaptados.

Conclusión

eIDAS 2 no es una simple actualización regulatoria: es una remodelación profunda de la manera en que la identidad digital y la confianza electrónica funcionan en Europa. La Cartera EUDI Wallet, los nuevos servicios cualificados, la obligación de interoperabilidad y la alineación con NIS2 y el RGPD forman un ecosistema coherente que transformará los procesos contractuales y de autenticación de las empresas de aquí a finales de 2026.

Para mantenerse conformes y competitivas, las organizaciones B2B deben actuar ahora: auditar su cadena de confianza, elegir un proveedor alineado con los nuevos requisitos y preparar sus flujos documentales para la integración de la cartera digital europea.

Certyneo te acompaña en esta transición con soluciones de firma electrónica cualificada conformes eIDAS 2, listas para 2026. Solicita una demostración o crea tu cuenta en Certyneo para asegurar tus contratos desde hoy.