eIDAS 2 vs eIDAS 1: cambios clave para las PYME

Introducción: por qué eIDAS 2 cambia el juego para las PYME

Desde el 20 de mayo de 2024, el reglamento (UE) 2024/1183 — comúnmente llamado eIDAS 2 — entró en vigor, derogando y reemplazando progresivamente el reglamento (UE) n.° 910/2014 (eIDAS 1). Para las PYME francesas, este cambio no es una simple actualización administrativa: redefine los niveles de confianza digital, introduce una cartera de identidad europea (EUDIW), refuerza los requisitos aplicables a los proveedores de servicios de confianza y amplía el alcance de los servicios reconocidos. Este artículo compara punto por punto eIDAS 1 y eIDAS 2, identifica los impactos operacionales concretos para las pequeñas y medianas empresas, y te proporciona un plan de acción para mantenerte conforme en 2026.

---

1. Recordatorio: qué establecía eIDAS 1 (2014-2024)

1.1 Los fundamentos del reglamento inicial

Adoptado en julio de 2014 y aplicable desde septiembre de 2016, eIDAS 1 sentó los primeros cimientos de un espacio de confianza digital europeo. Introdujo tres grandes categorías de firma electrónica — simple (SES), avanzada (AdES) y calificada (QES) — y creó la lista de confianza de proveedores calificados (Trusted List), consultable en el portal de la Comisión Europea.

Para las PYME, la aportación principal de eIDAS 1 fue el reconocimiento transfronterizo de firmas calificadas: un contrato firmado con una QES francesa era legalmente reconocido en Alemania, España o Italia sin apostilla ni trámite adicional. Este principio — denominado de «no discriminación» — siguió siendo la base sobre la cual ofertas SaaS como Certyneo construyeron sus servicios.

1.2 Las limitaciones identificadas

A pesar de sus avances, eIDAS 1 sufría varias deficiencias documentadas por la Comisión Europea en su informe de evaluación de 2021:

• Fragmentación de esquemas de identidad: solo los Estados miembros que notificaron su esquema nacional (como FranceConnect+ nivel sustancial) se beneficiaban del reconocimiento mutuo. En 2023, solo 14 Estados de 27 habían notificado un esquema conforme.
• Ausencia de soporte móvil nativo: el dispositivo calificado de creación de firma (QSCD) requería frecuentemente una tarjeta inteligente o un token de hardware, dificultando la adopción móvil.
• Servicios de confianza limitados: eIDAS 1 listaba nueve tipos de servicios calificados; los nuevos usos (archivado electrónico calificado, gestión de atributos) no estaban regulados.
• Ausencia de cartera de identidad unificada: cada ciudadano o empresa gestionaba sus identificadores de manera aislada, sin interoperabilidad garantizada.

Estas limitaciones llevaron a la Comisión a iniciar la revisión en 2020, culminando en el reglamento eIDAS 2 tras tres años de triálogo.

---

2. Las cinco grandes novedades de eIDAS 2 para las PYME

2.1 La cartera de identidad digital europea (EU Digital Identity Wallet — EUDIW)

Esta es la novedad más visible del reglamento. Antes de noviembre de 2026 (plazo de transposición fijado por el artículo 5a), cada Estado miembro deberá ofrecer al menos una cartera de identidad digital certificada a sus ciudadanos y residentes. Para las PYME, esta evolución tiene dos consecuencias directas:

1. Autenticación simplificada de clientes y socios: la cartera permitirá compartir atributos verificados (edad, número de IVA intracomunitario, extracto Kbis, datos bancarios certificados) sin fricción. Un acuerdo marco con un socio alemán podrá firmarse tras verificación instantánea de sus atributos profesionales desde su EUDIW.
2. Obligación de aceptación para ciertos sectores: los servicios en línea de grandes plataformas (artículo 45bis) y ciertos servicios públicos deberán aceptar el EUDIW como medio de autenticación. Las PYME que proporcionan portales B2B deberán adaptar sus API de autenticación.

2.2 Extensión de la lista de servicios de confianza calificados

eIDAS 2 amplía el catálogo de servicios de confianza calificados de 9 a 14 categorías. Las nuevas entradas que afectan directamente a las PYME son:

• El archivado electrónico calificado (art. 45septies): conservación a largo plazo con valor probatorio reforzado. Hasta ahora, el archivado con valor probatorio se basaba en marcos nacionales (en Francia, el referencial SIAF/ANSSI); eIDAS 2 armoniza el marco europeo.
• La gestión remota de dispositivos calificados de creación de firma (RQSCD): ahora explícitamente regulada, aclara las ambigüedades que pesaban sobre soluciones de firma calificada en la nube. Para una PYME de 50 empleados, esto significa acceder a una firma calificada sin token físico, desde cualquier dispositivo.
• El servicio de registro electrónico calificado: los registros basados en blockchain o tecnologías de libro mayor distribuido pueden ahora obtener el estatus calificado, abriendo la puerta a nuevos modelos de gestión contractual.

Para más información sobre los niveles de firma y su valor legal, consulta nuestra guía completa de firma electrónica.

2.3 Refuerzo de los requisitos de seguridad para proveedores calificados (QTSP)

eIDAS 2 endurece las obligaciones de los proveedores de servicios de confianza calificados (QTSP). El artículo 24 revisado impone en particular:

• Una certificación de ciberseguridad conforme al marco europeo (EU Cybersecurity Act, reglamento 2019/881), con esquemas sectoriales en desarrollo por la ENISA.
• Requisitos reforzados en materia de resiliencia operacional: los QTSP deben ahora documentar su plan de continuidad de negocio y presentarlo a su organismo de supervisión nacional (en Francia, la ANSSI para proveedores calificados).
• Una obligación de notificación de incidentes de seguridad en 24 horas (alineación con NIS 2).

Para las PYME usuarias, esto se traduce en una obligación de debida diligencia aumentada en la elección del proveedor: verificar que tu solución de firma figure bien en la Trusted List europea actualizada es ahora una etapa crítica de tu proceso de compra. Nuestro comparativo de soluciones de firma electrónica puede ayudarte en este análisis.

2.4 Interoperabilidad obligatoria de esquemas de identidad

Donde eIDAS 1 dejaba a los Estados miembros la libertad de notificar (o no) su esquema, eIDAS 2 hace obligatoria la notificación e interoperabilidad para esquemas de identidad utilizados en servicios públicos en línea (art. 5). France Identité — el esquema nacional impulsado por el ministerio del Interior — está en vías de adecuación a las especificaciones técnicas de la EUDIW, publicadas por la Comisión en el reglamento de ejecución (UE) 2024/2977.

Para una PYME que interactúa regularmente con administraciones públicas (compras públicas, autodeclaraciones fiscales, procedimientos aduaneros), esta evolución significa que los trámites en línea se unificarán progresivamente alrededor de un identificador digital único y reconocido en toda la UE.

2.5 Nuevas reglas de responsabilidad y supervisión

eIDAS 2 precisa y amplía los regímenes de responsabilidad de los proveedores (art. 13 revisado). Un QTSP es ahora presuntamente responsable de todo daño causado a una persona física o jurídica por un incumplimiento de sus obligaciones, a menos que pruebe la ausencia de culpa. Esta presunción de responsabilidad, reforzada respecto a eIDAS 1, debe incitar a las PYME a:

• Formalizar por contrato los compromisos de su proveedor (SLA, garantías de disponibilidad, indemnización).
• Verificar la cobertura de seguro de responsabilidad civil profesional del QTSP.
• Conservar pruebas de auditoría de transacciones firmadas (registros de marcas de tiempo, informes de verificación de firma).

Nuestros equipos han redactado una guía detallada sobre firma electrónica en empresa que aborda estos aspectos contractuales.

---

3. Tabla comparativa eIDAS 1 vs eIDAS 2: qué cambia concretamente

3.1 Síntesis de las principales evoluciones

| Criterio | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Cartera de identidad | Ausente | EUDIW obligatorio (Estados miembros) | | Servicios calificados | 9 categorías | 14 categorías (archivado, RQSCD, registros…) | | Notificación de esquemas | Facultativa | Obligatoria para servicios públicos | | Seguridad QTSP | Criterios Common Criteria | Cybersecurity Act + esquemas ENISA | | Responsabilidad QTSP | Parcial | Presunción de responsabilidad reforzada | | Plazo de notificación de incidente | No especificado | 24 horas (alineación NIS 2) | | QSCD móvil | Ambigüedad jurídica | RQSCD explícitamente regulado |

3.2 Los plazos clave a retener para 2026

• Mayo 2024: entrada en vigor del reglamento (UE) 2024/1183.
• Noviembre 2026: fecha límite para que cada Estado miembro ofrezca al menos una solución EUDIW certificada.
• 2027: obligación para grandes plataformas (art. 45bis) de aceptar el EUDIW como medio de autenticación.
• 2028: revisión prevista de los actos de ejecución técnicos (reglamentos delegados sobre especificaciones EUDIW).

Si tu PYME contempla migrarse a una solución más conforme, nuestra oferta de migración a Certyneo incluye una auditoría de conformidad eIDAS 2 sin costo.

---

4. Plan de acción práctico para poner tu PYME en conformidad eIDAS 2

4.1 Auditar tus flujos documentarios existentes

Comienza por mapear todos los procesos en los que actualmente utilizas firma electrónica o identidad digital: contratos con proveedores, nóminas desmaterializadas, mandatos SEPA, acuerdos de confidencialidad, asuntos de RRHH. Para cada flujo, identifica:

• El nivel de firma utilizado (SES, AdES, QES).
• El proveedor actual y su estatus en la Trusted List.
• El nivel de riesgo legal en caso de impugnación.

Esta auditoría es el punto de partida recomendado por la ANSSI en su guía de conformidad publicada en marzo de 2025.

4.2 Actualizar tu solución de firma

Si tu proveedor actual no figura en la Trusted List eIDAS 2 o no ofrece aún el RQSCD, es momento de comparar las ofertas del mercado. Certyneo es un QTSP certificado que maneja los tres niveles de firma (SES, AdES, QES) e integra nativamente los nuevos requisitos eIDAS 2, incluyendo el archivado calificado y la gestión remota de dispositivos.

4.3 Formar tus equipos y actualizar tus contratos

eIDAS 2 refuerza el valor probatorio de las firmas calificadas pero también impone buenas prácticas documentarias. Asegúrate de que tus equipos jurídicos y administrativos:

• Sepan distinguir los tres niveles de firma y su valor legal respectivo.
• Integren en contratos con proveedores una cláusula de auditoría de conformidad eIDAS.
• Conserven pruebas de verificación de firma (informe de validación, marca de tiempo calificada) durante el plazo legal de conservación aplicable (3 a 10 años según la naturaleza del acto).

Para estructurar este proceso, nuestro calculador de ROI en firma electrónica te permitirá cuantificar los ahorros operacionales vinculados a la actualización.

Marco legal aplicable

Textos de referencia

La conformidad eIDAS 2 para una PYME francesa se inscribe en un apilamiento normativo que es esencial dominar.

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (llamado « eIDAS 2 »): es el texto fundador, publicado en el DOUE el 30 de abril de 2024. Deroga y reemplaza el reglamento (UE) n.° 910/2014 según un calendario de implantación progresiva que se extiende hasta 2027. Es de aplicación directa en todos los Estados miembros, sin necesidad de transposición legislativa nacional para sus disposiciones principales.

Reglamento (UE) n.° 910/2014 (eIDAS 1): algunas de sus disposiciones permanecen aplicables durante los períodos transitorios previstos por eIDAS 2, en particular para proveedores calificados que obtuvieron su calificación antes de mayo de 2024 y disponen de plazo para recertificarse.

Código Civil francés, artículos 1366 y 1367: el artículo 1366 plantea el principio de equivalencia entre escritura electrónica y escritura papel, bajo la condición de que « la persona de la que emana pueda ser debidamente identificada y que esté establecida y conservada en condiciones que garanticen su integridad ». El artículo 1367 reconoce la firma electrónica como modo de prueba, remitiendo a las condiciones fijadas por decreto en Consejo de Estado (decreto n.° 2017-1416 de 28 de septiembre de 2017, codificado en los artículos R. 1369-1 a R. 1369-10 del Código Civil).

Reglamento (UE) 2016/679 (RGPD): el despliegue de la EUDIW y el tratamiento de atributos de identidad en flujos de firma electrónica constituyen tratamientos de datos personales en el sentido del RGPD. Las PYME deben asegurar que su QTSP actúa como encargado del tratamiento en el sentido del artículo 28 RGPD, con un DPA (Data Processing Agreement) conforme. La CNIL publicó en enero de 2026 una recomendación específica sobre integración EUDIW-RGPD.

Directiva (UE) 2022/2555 (NIS 2): eIDAS 2 se alinea explícitamente con NIS 2 para las obligaciones de notificación de incidentes (art. 24, §2 eIDAS 2 remitiendo a disposiciones NIS 2). Los QTSP se consideran entidades « esenciales » o « importantes » en el sentido de NIS 2 según su tamaño, y sujetos a este título a auditorías de seguridad regulares.

Normas ETSI: las firmas electrónicas calificadas deben respetar las normas ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) y ETSI EN 319 102-1 (procedimiento de validación). La norma ETSI TS 119 461 regula la verificación remota de identidad (IDV), particularmente relevante para el RQSCD.

Riesgos legales en caso de no conformidad

Utilizar una solución de firma electrónica no conforme a eIDAS 2 expone a la PYME a varios riesgos:

• Inadmisibilidad ante la justicia: un juez puede rechazar una firma electrónica cuyo nivel no corresponde al acto firmado (ej.: firma simple para un acto que requiere nivel avanzado o calificado).
• Responsabilidad contractual: si un contrato es impugnado por un socio alegando nulidad de la firma, la PYME puede estar expuesta a demandas de indemnización.
• Sanciones RGPD: en caso de violación de datos vinculada a un defecto de seguridad del proveedor, la PYME, co-responsable o responsable del tratamiento, puede ser sancionada por la CNIL hasta 4 % de la facturación mundial anual (art. 83 §4 RGPD).

Escenarios de uso concretos

Escenario 1: una PYME industrial de 80 empleados gestionando 400 contratos con proveedores al año

Una PYME del sector metalúrgico manejando aproximadamente 400 contratos con proveedores anuales utilizaba hasta 2024 una solución de firma electrónica simple (SES) para el conjunto de sus compromisos, incluyendo contratos marco superiores a 50.000 €. Tras una auditoría de conformidad eIDAS 2, constató que 35 % de sus contratos requería firma avanzada o calificada para resistir impugnación judicial, en particular con proveedores establecidos en otros Estados miembros de la UE.

Al migrar a una solución combinando firma avanzada (AdES) para contratos corrientes y calificada (QES) para contratos marco, y activando el archivado electrónico calificado (nuevo servicio eIDAS 2), esta PYME redujo en 70 % el tiempo dedicado a gestión documental post-firma (clasificación, búsqueda, envío de copias certificadas) y llevó a cero los litigios vinculados a impugnación de firma en los 18 meses posteriores, contra dos incidentes en los 18 meses previos.

Escenario 2: un despacho de consultoría jurídica de 15 colaboradores

Un despacho especializado en derecho de empresa, emitiendo en promedio 1.200 actos firmados al año (cartas de encargo, mandatos, acuerdos de confidencialidad), enfrentaba una demanda creciente de sus clientes corporativos por firmas calificadas reconocibles en toda la UE. Bajo eIDAS 1, obtener un certificado calificado requería un procedimiento presencial o verificación por video larga (45 a 90 minutos por usuario).

Gracias al RQSCD (Remote Qualified Signature Creation Device) regulado por eIDAS 2, el despacho pudo desplegar firma calificada para el conjunto de colaboradores en menos de dos semanas, mediante un procedimiento de enrolamiento 100 % remoto conforme a la norma ETSI TS 119 461. La tasa de adopción interna pasó de 40 % a 95 % en tres meses, y el plazo promedio de retorno de actos firmados se redujo de 4,2 días a menos de 6 horas según mediciones internas del despacho.

Escenario 3: una PYME de comercio electrónico operando en tres países de la UE

Una empresa de venta en línea empleando 35 personas y operando en Francia, Bélgica y Países Bajos debía gestionar tres tipos de acuerdos electrónicos: contratos de trabajo para empleados locales, acuerdos de asociación con transportistas, y mandatos SEPA para clientes profesionales. La fragmentación de requisitos nacionales bajo eIDAS 1 la obligaba a mantener tres flujos de firma distintos, con costos de gestión estimados en alrededor de 12.000 € al año.

La adopción de una solución única conforme a eIDAS 2 — integrando reconocimiento mutuo de firmas calificadas en los tres países — permitió unificar flujos, reducir costo de gestión a aproximadamente 4.500 € anuales (economía de 62 %) y eliminar demoras vinculadas a validación manual de firmas extranjeras por el servicio jurídico.

Conclusión

eIDAS 2 no es una mera revisión cosmética del marco regulatorio: redefine profundamente las reglas del juego de la confianza digital en Europa. Para las PYME francesas, las cinco evoluciones principales — cartera EUDIW, extensión de servicios calificados, RQSCD, interoperabilidad obligatoria y responsabilidad reforzada — representan tanto una restricción de conformidad como una oportunidad de acelerar su transformación documental.

Las PYME que anticipan estos cambios hoy se beneficiarán de una ventaja competitiva real: contratos reconocidos en toda la UE sin fricción, archivado con valor probatorio integrado, y procesos de firma completamente desmaterializados y seguros.

Certyneo está diseñado para acompañar esta transición. Inicia tu prueba gratuita en certyneo.com y benefíciate de una auditoría de conformidad eIDAS 2 sin costo para tus flujos documentarios existentes.