Transición eIDAS 1 a eIDAS 2: impactos en la firma en 2025

El 20 de mayo de 2024, el reglamento (UE) 2024/1183 — comúnmente llamado eIDAS 2 — fue publicado en el Diario Oficial de la Unión Europea, derogando progresivamente el reglamento n°910/2014 (eIDAS 1). Este texto representa la reforma más estructurante de la identidad digital y la firma electrónica en Europa desde 2016. Para las empresas francesas que utilizan soluciones de firma electrónica en sus flujos contractuales, la transición no es una formalidad: implica ajustes técnicos, jurídicos y organizacionales cuyo horizonte se extiende hasta 2026 y más allá. Comprender el paso eIDAS 1 a eIDAS 2 y su impacto en la firma electrónica en 2025 se ha convertido en una prioridad para los departamentos jurídicos, TI y recursos humanos. Este artículo descifra las evoluciones fundamentales del marco, el calendario preciso de la transición y las medidas concretas a tomar para mantenerse conforme.

Lo que el reglamento eIDAS 2 modifica fundamentalmente

Del reglamento de 2014 a la reforma de 2024: por qué era necesaria una revisión

eIDAS 1 había sentado las bases del reconocimiento mutuo de firmas electrónicas dentro de la Unión. Tres niveles jerárquicos — simple (SES), avanzada (AdES) y cualificada (QES) — estructuraban el valor probatorio de las firmas, respaldados por una lista de proveedores de confianza (TSL). Pero en diez años, dos lagunas importantes aparecieron.

Primero, el reglamento original se aplicaba esencialmente a las relaciones con las administraciones públicas (G2B, G2C). No creaba obligaciones directas en las transacciones privadas (B2B, B2C), dejando un vacío normativo que cada Estado miembro llenaba de forma heterogénea. Segundo, el auge de los servicios digitales — aplicaciones móviles, banca abierta, telemedicina — había revelado la ausencia de un sistema de identidad digital portátil e interoperable a nivel continental.

eIDAS 2 responde a estos dos desafíos introduciendo la cartera europea de identidad digital (EU Digital Identity Wallet, EUDIW) y ampliando el alcance de los servicios de confianza a nuevos casos de uso: archivo electrónico cualificado, certificaciones de atributos cualificados, registros electrónicos cualificados (incluidas aplicaciones blockchain certificadas).

Las nuevas categorías de servicios de confianza cualificados

El reglamento eIDAS 2 amplía la lista de servicios de confianza cualificados (artículo 3 y anexo IV revisado). Además de las firmas, sellos y marcas de tiempo cualificados ya reconocidos por eIDAS 1, ahora son cualificados:

• Los servicios de archivo electrónico cualificado (art. 34 bis): obligación de preservar la integridad y legibilidad de los documentos firmados a largo plazo, con requisitos reforzados para los proveedores (QTSP).
• Los servicios de gestión de dispositivos de creación de firma a distancia cualificados (QRCD): marco reforzado de soluciones de firma a distancia mediante HSM (Hardware Security Module) en la nube.
• Las certificaciones de atributos cualificados: mecanismo que permite a un tercero de confianza certificar atributos de una entidad (ej. calidad de abogado, estatus de médico) sin revelar toda la identidad.
• Los registros electrónicos cualificados: reconocimiento de registros distribuidos bajo condiciones estrictas de auditoría y resiliencia.

Para los usuarios de soluciones de firma electrónica, esta ampliación significa que los servicios de confianza cualificados disponibles en el mercado se diversificarán, y que los criterios de selección de un proveedor (QTSP) deben integrar estas nuevas capacidades.

El EUDIW: la cartera de identidad digital como infraestructura de la firma

La innovación más visible de eIDAS 2 sigue siendo el EUDIW. Cada Estado miembro deberá poner a disposición de sus ciudadanos y residentes una cartera de identidad digital gratuita, interoperable con todos los otros Estados miembros, antes del 26 de noviembre de 2026 (plazo de cumplimiento nacional según el artículo 5 bis). Esta cartera permitirá:

• autenticar al usuario con un alto nivel de garantía (LoA High) sin recurrir a un proveedor tercero de identificación;
• firmar electrónicamente documentos con valor cualificado (QES) directamente desde la cartera;
• compartir atributos de identidad selectivos (selective disclosure), respetando así el principio de minimización de datos del RGPD.

Para las empresas, el EUDIW simplifica teóricamente los procedimientos de verificación de identidad previa a la firma cualificada, eliminando la fricción de la identificación por video o en persona. En la práctica, el impacto dependerá del ritmo de despliegue nacional — Francia lanzó en 2025 una experimentación piloto en el marco del programa « France Identité ».

Calendario preciso de la transición eIDAS 1 a eIDAS 2

Los hitos regulatorios a conocer

El reglamento 2024/1183 entró en vigor el 20 de mayo de 2024, pero su aplicación es progresiva. Aquí están las fechas clave:

| Fecha | Evento | |------|----------| | 20 de mayo de 2024 | Publicación en el DOUE, entrada en vigor formal | | 20 de noviembre de 2024 | Plazo de 6 meses para la adopción de actos de ejecución por la Comisión (especificaciones técnicas del EUDIW) | | Fin de 2025 | Publicación de normas ETSI revisadas (EN 319 411-1/2, EN 319 401) integrando requisitos eIDAS 2 | | 26 de mayo de 2026 | Fecha límite para la conformidad de los Estados miembros en las nuevas categorías de servicios cualificados | | 26 de noviembre de 2026 | Puesta a disposición obligatoria del EUDIW por cada Estado miembro | | 2027-2028 | Revisión completa de las listas de confianza nacionales (TSL) y acreditación de nuevos QTSP |

eIDAS 1 sigue siendo válido y las firmas emitidas bajo su régimen conservan su pleno valor jurídico. No hay obligación de re-firmar documentos existentes. Sin embargo, los proveedores de confianza cualificados deberán renovar su acreditación según las nuevas normas técnicas antes de 2027.

Lo que no cambia y lo que hay que vigilar

La continuidad es un principio cardinal de la transición. Los tres niveles de firma (SES, AdES, QES) se mantienen con sus definiciones sin cambios. La presunción de equivalencia con una firma manuscrita adosada a la QES (artículo 25 eIDAS 1, retomado en el artículo 27 eIDAS 2) sigue en vigor. El valor probatorio de tus firmas electrónicas actuales no se cuestiona.

Lo que hay que vigilar en cambio: los actos de ejecución (implementing acts) publicados por la Comisión Europea durante 2025-2026 fijarán las especificaciones técnicas precisas del EUDIW y de las nuevas categorías de servicios. Estos textos de nivel 2 tienen una importancia práctica considerable para integradores y editores de software. Para las empresas que utilizan la firma electrónica en sus procesos de recursos humanos o jurídicos, se recomienda solicitar a su proveedor una hoja de ruta de conformidad eIDAS 2.

Impacto concreto en las empresas y sus soluciones de firma

¿Qué flujos de trabajo se ven afectados en prioridad?

La transición eIDAS 1 a eIDAS 2 no tiene el mismo impacto según el nivel de firma utilizado. Para las empresas, se distinguen tres situaciones:

Firma electrónica simple (SES): utilizada para enmiendas de bajo valor, acuses de recibo, formularios internos. Sin obligación de actualización inmediata. Las reglas probatorias siguen siendo regidas por el Código Civil (art. 1366-1367) y no directamente por eIDAS.

Firma electrónica avanzada (AdES/AdESQC): las empresas que utilizan soluciones B2B para contratos comerciales, contratos de trabajo desmaterializados o actos inmobiliarios deben verificar que su proveedor mantiene conformidad con normas ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) y EN 319 142 (PAdES) en sus versiones revisadas para eIDAS 2. Estas normas serán publicadas por ETSI antes de fin de 2025.

Firma electrónica cualificada (QES): los proveedores cualificados (QTSP) deberán pasar a una nueva acreditación eIDAS 2. El período transitorio concede un plazo razonable (hasta 2027), pero los concursos lanzados desde 2025 deberían integrar una cláusula de conformidad eIDAS 2 en los criterios de selección. Para las organizaciones que comparan opciones disponibles, el comparativo de soluciones de firma electrónica permite evaluar la madurez de los editores en este tema.

Nuevas exigencias para los proveedores de confianza cualificados (QTSP)

eIDAS 2 endurece los requisitos aplicables a los QTSP en tres puntos principales:

1. Seguridad de sistemas: alineamiento obligatorio en NIS2 (directiva (UE) 2022/2555) para QTSP, ahora clasificados como entidades esenciales. Esto se traduce en obligaciones de notificación de incidentes en 24 horas, auditorías de seguridad anuales y la implementación de planes de continuidad de negocio.

1. Responsabilidad reforzada: el artículo 13 eIDAS 2 amplía el régimen de responsabilidad de los QTSP. En caso de incumplimiento comprobado, la carga de la prueba se invierte: el proveedor debe demostrar que no cometió negligencia, y no al contrario.

1. Interoperabilidad obligatoria: los QTSP deberán exponer APIs estandarizadas compatibles con el EUDIW para permitir la integración nativa de carteras de identidad. Este requisito acelerará la modernización de las interfaces de integración disponibles para desarrolladores.

Para las empresas que consideran cambiar de proveedor en este contexto, migrar de DocuSign o YouSign hacia una solución conforme eIDAS 2 es una iniciativa que merece ser anticipada ahora mismo en lugar de en urgencia en 2027.

Datos personales y eIDAS 2: la articulación con el RGPD

El EUDIW recopila y trata datos de identidad de carácter personal. El reglamento eIDAS 2 prevé explícitamente (considerandos 11 y artículo 5 bis §14) que el conjunto del dispositivo debe ser conforme al RGPD (reglamento (UE) 2016/679). Varios puntos de atención:

• Selective disclosure: la cartera debe permitir al usuario compartir solo los atributos estrictamente necesarios para la transacción (principio de minimización, art. 5(1)(c) RGPD). Para una firma de contrato, solo la verificación de mayoría de edad podría compartirse sin revelar la fecha de nacimiento completa.
• Transferencias fuera de la UE: los datos de identidad tratados en el marco del EUDIW no pueden transferirse fuera del EEE más que con garantías apropiadas (art. 46 RGPD). Los proveedores que utilizan infraestructuras en la nube estadounidenses deben documentar su conformidad.
• Conservación de registros de firma: el archivo de pruebas de firma debe respetar la duración de conservación proporcional a la naturaleza del documento. El nuevo servicio de archivo cualificado eIDAS 2 ofrece un marco técnico para responder a este requisito.

Las empresas que gestionan contratos de trabajo internacionales se ven particularmente afectadas por esta articulación RGPD/eIDAS 2, especialmente cuando los firmantes residen fuera de la UE.

Marco legal aplicable a la transición eIDAS 1 a eIDAS 2

Textos de referencia

La transición se basa en un conjunto de textos que es indispensable dominar:

A nivel europeo:

• Reglamento (UE) n°910/2014 (eIDAS 1): sigue en vigor hasta su derogación progresiva por eIDAS 2. Define los tres niveles de firma (SES, AdES, QES) y el régimen de QTSP.
• Reglamento (UE) 2024/1183 (eIDAS 2): entró en vigor el 20 de mayo de 2024. Modifica sustancialmente eIDAS 1 sin abrogarlo inmediatamente. Las disposiciones relativas al EUDIW se aplican desde la publicación de los actos de ejecución.
• Reglamento (UE) 2016/679 (RGPD): se aplica íntegramente al tratamiento de datos de identidad en el marco del EUDIW y de los procesos de firma. El artículo 5 bis §14 de eIDAS 2 recuerda esta subordinación explícitamente.
• Directiva (UE) 2022/2555 (NIS2): impone obligaciones de ciberseguridad reforzadas a los QTSP, ahora clasificados entidades esenciales. Transpuesta a la legislación francesa por la ordenanza n°2024-821 del 20 de junio de 2024 (en curso de decreto de aplicación).

A nivel francés:

• Código Civil, artículos 1366 y 1367: fundamento del valor probatorio de los escritos en forma electrónica. El artículo 1366 establece la equivalencia entre escrito electrónico y papel bajo condiciones. El artículo 1367 confiere a la firma cualificada (QES) la misma fuerza probatoria que una firma manuscrita.
• Decreto n°2017-1416 del 28 de septiembre de 2017: precisa las condiciones de utilización de la firma electrónica en actos bajo firma privada. Sigue siendo aplicable durante el período transitorio.
• Referencial General de Seguridad (RGS) v2: para las administraciones francesas, el RGS impone la utilización de soluciones referenciadas por la ANSSI. Su actualización para integrar eIDAS 2 se espera durante 2026.

Normas técnicas ETSI aplicables

Las normas ETSI constituyen el nivel 3 de la jerarquía normativa. Las versiones actuales aplicables:

• EN 319 132-1/2: formato XAdES (firmas XML avanzadas)
• EN 319 122-1/2: formato CAdES (firmas CMS avanzadas)
• EN 319 142-1/2: formato PAdES (firmas PDF avanzadas)
• EN 319 401: requisitos generales para proveedores de servicios de confianza
• EN 319 411-1/2: requisitos para AC que emiten certificados cualificados

Estas normas serán revisadas antes de fin de 2025 para integrar los nuevos requisitos eIDAS 2. Los contratos con QTSP deben incluir una cláusula de actualización a las versiones revisadas sin costo adicional.

Riesgos jurídicos de no conformidad

Una firma emitida por un proveedor que ya no estuviera acreditado después de 2027 no perdería automáticamente su valor jurídico para los documentos ya firmados, pero ya no se beneficiaría de la presunción legal de equivalencia con una firma manuscrita (art. 25 eIDAS). La carga de la prueba de la integridad e identidad del firmante recaería entonces enteramente en la empresa en caso de litigio. Este riesgo probatorio es particularmente sensible para los actos cuyo plazo de prescripción es largo (5 años en asuntos comerciales, 30 años para derechos reales inmobiliarios).

Escenarios de uso: cómo las organizaciones anticipan la transición eIDAS 2

Escenario 1: un despacho de abogados de 25 colaboradores racionaliza su conformidad documental

Un despacho de abogados especializado en derecho mercantil, con aproximadamente 25 colaboradores y una intensa actividad de firma de mandatos, actas de cesión y protocolos de acuerdo, utilizaba hasta 2024 una solución de firma avanzada (AdES) para la totalidad de sus flujos. Ante el anuncio de eIDAS 2, el despacho realizó una auditoría de sus 1 200 documentos firmados anualmente para identificar aquellos que requieren una QES según las nuevas recomendaciones de su colegio.

Resultado: el 15% de los actos (aproximadamente 180 por año) fueron reclasificados hacia la firma cualificada, lo que permitió asegurar el régimen probatorio de estos documentos. El despacho negoció con su editor de firma una cláusula que garantiza la conformidad eIDAS 2 desde la publicación de los actos de ejecución, sin costo adicional. El tiempo administrativo relacionado con la verificación de identidad de los firmantes disminuyó un 40% gracias a la anticipación de la integración EUDIW planificada para 2026.

Escenario 2: una pyme industrial de 150 empleados asegura su cadena contractual de proveedores

Una pyme industrial que gestiona aproximadamente 350 contratos de proveedores por año — órdenes de compra, NDAs, contratos marco — funcionaba con dos soluciones de firma distintas para sus flujos internos y externos, creando una fragmentación de las pruebas de auditoría. En el contexto de la transición eIDAS 2 y de los nuevos requisitos de archivo cualificado, la TI decidió unificar su plataforma.

Al migrar a una solución única que integra el archivo electrónico cualificado (futura categoría eIDAS 2), la pyme redujo sus costos de almacenamiento seguro un 30% y consolidó sus pruebas de firma en una caja de seguridad digital conforme. El conjunto de la cadena documental es ahora auditable en menos de 2 minutos durante los controles de proveedores — un requisito creciente de sus clientes en la industria automotriz.

Escenario 3: un agrupamiento hospitalario de aproximadamente 600 camas prepara la integración EUDIW

Un agrupamiento hospitalario público utilizaba la firma electrónica cualificada para sus contratos médicos y sus compras públicas, conforme a las obligaciones del código de compras públicas. Con eIDAS 2, el servicio informático identificó dos desafíos prioritarios: la integración futura de la cartera « France Identité » para médicos libres que intervienen en el establecimiento, y la conformidad NIS2 de su QTSP.

El agrupamiento inscribió en su plan director digital 2025-2028 un lote específico « conformidad eIDAS 2 », con un presupuesto previsto de 45 000 € para la migración técnica y la capacitación de agentes. El objetivo es estar en condiciones de aceptar firmas vía EUDIW desde el despliegue nacional previsto para noviembre de 2026, reduciendo así los plazos de contractualización con profesionales de salud libres de 3 días a menos de 4 horas en promedio según los benchmarks sectoriales disponibles.

Conclusión

La transición eIDAS 1 a eIDAS 2 no es una ruptura sino una evolución estructurada, con un calendario preciso que se extiende hasta 2027. Los impactos en la firma electrónica son reales — ampliación de servicios cualificados, llegada del EUDIW, endurecimiento de requisitos NIS2 para QTSP — pero gestionables desde el momento en que se anticipan. Las empresas que actúan ahora se benefician de un margen de maniobra para auditar sus flujos de trabajo, asegurar sus contratos con sus proveedores y formar a sus equipos sin presión de urgencia regulatoria.

Certyneo acompaña a las empresas en esta transición con una hoja de ruta de conformidad eIDAS 2 clara, formatos de firma mantenidos actualizados y una arquitectura lista para la integración EUDIW. ¿Listo para asegurar tus flujos de firma en este nuevo marco regulatorio? Descubre nuestras ofertas y comienza gratuitamente en Certyneo.