Calendario eIDAS 2: despliegue de la UE 2026-2027

Introducción: por qué el calendario eIDAS 2 es crucial para tu organización

Desde la entrada en vigor del reglamento (UE) 2024/1183 —comúnmente conocido como eIDAS 2— el marco europeo de la identidad digital y la firma electrónica está experimentando su transformación más profunda desde 2014. Si bien el texto revisado está formalmente adoptado, es su despliegue operacional, escalonado entre 2024 y 2027, el que concentra ahora la atención de los directores de TI, juristas y responsables de conformidad. Comprender el calendario oficial de despliegue del reglamento eIDAS 2 en la Unión Europea permite anticipar obligaciones, asegurar procesos contractuales y evitar cualquier incumplimiento de conformidad. Este artículo descifra las etapas clave, los actos de ejecución esperados y los impactos concretos para las empresas francesas y europeas.

---

1. Recuerdo: ¿qué es eIDAS 2 y por qué esta revisión?

1.1 Las limitaciones de eIDAS 1 (2014)

El reglamento eIDAS original (nº 910/2014) sentó las bases de la confianza digital en Europa: reconocimiento mutuo de firmas electrónicas, creación de niveles cualificados (QES), simple (SES) y avanzado (AdES), y acreditación de proveedores de servicios de confianza (Trust Service Providers, TSP). Sin embargo, diez años de aplicación han puesto de relieve varias carencias importantes:

• Fragmentación nacional: menos del 19 % de los ciudadanos europeos utilizaban un esquema de identificación electrónica transfronteriza en 2022 según la Comisión Europea.
• Ausencia de cartera de identidad digital: eIDAS 1 no preveía un instrumento universal que permitiera a cada ciudadano o empresa probar su identidad en línea en todos los Estados miembros.
• Cobertura parcial: los servicios de archivo electrónico cualificado o las atestaciones de atributos no estaban armonizados.

1.2 Las aportaciones estructurantes de eIDAS 2

Adoptado el 11 de abril de 2024 y publicado en el Diario Oficial de la UE el 30 de abril de 2024, el reglamento (UE) 2024/1183 introduce en particular:

• La Cartera de Identidad Digital Europea (EUDI Wallet): cartera de identidad digital que cada Estado miembro debe ofrecer a sus ciudadanos.
• Nuevos servicios de confianza cualificados: atestaciones de atributos electrónicos cualificados, archivo electrónico cualificado, gestión de dispositivos de creación de firmas a distancia.
• La extensión del ámbito de aplicación: las grandes plataformas en línea (en el sentido del reglamento DSA) deberán aceptar EUDI Wallet para la autenticación de usuarios.
• Un fortalecimiento de la gobernanza: creación de un marco de certificación de conformidad más estricto para los TSP.

Para profundizar en las bases del reglamento, nuestra guía completa sobre eIDAS 2.0 detalla todas las evoluciones reglamentarias.

---

2. El calendario oficial de despliegue de eIDAS 2: etapas y fechas clave 2024-2027

El reglamento eIDAS 2 articula su entrada en aplicación alrededor de un mecanismo en varios tiempos: entrada en vigor, actos de ejecución de la Comisión, transposición nacional y despliegue efectivo de herramientas. Aquí está la hoja de ruta oficial.

2.1 Fase 1 — Entrada en vigor y actos delegados (mayo 2024 – finales 2025)

| Fecha | Etapa | |---|---| | 30 de abril de 2024 | Publicación del reglamento (UE) 2024/1183 en el DOUE | | 20 de mayo de 2024 | Entrada en vigor oficial (D+20 tras la publicación) | | T3-T4 2024 | Lanzamiento de grupos de trabajo sobre actos de ejecución (Caja de herramientas eIDAS 2) | | Finales 2024 | Publicación de las primeras especificaciones técnicas de referencia para EUDI Wallet (ARF — Marco de Referencia de Arquitectura v1.4) | | T1-T2 2025 | Actos de ejecución de la Comisión sobre especificaciones técnicas de carteras (plazo de 12 meses previsto en el artículo 5a) | | T3 2025 | Actos de ejecución relativos a los nuevos servicios de confianza cualificados |

La Comisión Europea publicó en enero de 2025 el primer lote de actos de ejecución sobre las especificaciones técnicas comunes de EUDI Wallet. Estos textos constituyen la base técnica obligatoria para los Estados miembros.

2.2 Fase 2 — Despliegue de proyectos piloto y transposiciones nacionales (2025-2026)

En el marco del programa de grandes proyectos piloto (Large Scale Pilots — LSP), cuatro consorcios han probado EUDI Wallet desde 2023 en más de 360 casos de uso en 25 Estados miembros:

• EU Digital Identity Wallet Consortium (EUDIW) — 140+ entidades
• NOBID — enfocado en pagos digitales
• POTENTIAL — identidad y atributos
• DC4EU — diplomas y cualificaciones profesionales

Los resultados de estos pilotos alimentan directamente los actos de ejecución. A nivel nacional, los Estados miembros disponen de 24 meses a partir de la entrada en aplicación de los actos de ejecución para desplegar su cartera nacional. En la práctica, esto significa que la gran mayoría de despliegues nacionales se esperan entre mediados de 2026 y finales de 2026.

| Período | Acciones esperadas | |---|---| | T1-T2 2026 | Adopción definitiva de actos de ejecución pendientes (archivo cualificado, atestaciones de atributos) | | T2 2026 | Primeras versiones de producción de EUDI Wallets en Estados precursores (Alemania, Países Bajos, España) | | T3-T4 2026 | Despliegue progresivo en los 27 Estados miembros — apertura a usuarios profesionales | | Finales 2026 | Obligaciones de aceptación de EUDI Wallet para servicios públicos en línea (art. 5b) |

Francia, a través de la Agencia Nacional de Seguridad de Sistemas de Información (ANSSI) y la Dirección Interministerial Digital (DINUM), ha iniciado sus trabajos de adaptación en 2025. El proyecto de cartera francesa se basa en France Identité como base técnica.

2.3 Fase 3 — Obligaciones de aceptación para el sector privado (2027)

Es la etapa más impactante para las empresas. El artículo 5b del reglamento eIDAS 2 establece que ciertos proveedores del sector privado acepten EUDI Wallet para identificación en línea en los siguientes ámbitos:

• Servicios bancarios y financieros (apertura de cuenta, KYC)
• Movilidad (transporte, alquiler de vehículos)
• Energía (contratos de consumidores)
• Plataformas en línea muy grandes (en el sentido de DSA, > 45 millones de usuarios mensuales en la UE)
• Telecomunicaciones

El plazo de aceptación obligatoria se fija en 12 meses después de que la cartera esté disponible en cada Estado miembro, lo que sitúa el plazo real para la mayoría de sectores en el primer semestre de 2027.

Para las empresas que ya utilizan soluciones de firma electrónica conforme a eIDAS, el reto es garantizar la compatibilidad de sus flujos documentales con los nuevos atributos de identidad procedentes de las carteras digitales.

---

3. Impacto en los proveedores de servicios de confianza (TSP) y editores SaaS

3.1 Nuevas obligaciones para TSP cualificados

Los proveedores de servicios de confianza cualificados (QTSP) deben actualizar sus prácticas de certificación para integrar las nuevas categorías de servicios introducidas por eIDAS 2:

• Atestaciones de atributos electrónicos cualificados: permiso de conducción digital, diplomas, cualificaciones profesionales
• Archivo electrónico cualificado: servicio que garantiza la integridad a largo plazo de documentos firmados
• Gestión de dispositivos de creación de firma a distancia (RQSCD): aclaración del marco para soluciones en la nube

Los QTSP tienen hasta 18 meses después de la publicación de las normas ETSI revisadas (esperadas T2-T3 2026) para cumplir con los nuevos requisitos técnicos, lo que posiciona las primeras re-certificaciones efectivas en 2027.

3.2 Lo que esto significa para las empresas usuarias

Si tu organización utiliza un proveedor de firma electrónica SaaS —ya sea una solución certificada QES o una herramienta de firma avanzada— varios temas de conformidad se plantean desde ahora:

1. ¿Tu proveedor está en proceso de actualización de su certificación para integrar los requisitos de eIDAS 2?
2. ¿Tus flujos de firma están listos para recibir identidades procedentes de EUDI Wallets?
3. ¿Tu política de archivo responde a los futuros requisitos de archivo electrónico cualificado?

Nuestros análisis del comparativa de soluciones de firma electrónica ahora integran el criterio de roadmap eIDAS 2 como factor diferenciador clave.

3.3 Las normas técnicas de referencia

El ETSI (Instituto Europeo de Normas de Telecomunicaciones) está encargado de producir las normas armonizadas en las que se basa eIDAS 2. El programa de trabajo 2025-2027 cubre en particular:

• ETSI EN 319 411-1 y -2 (revisadas): políticas y requisitos para TSP que emiten certificados
• ETSI EN 319 132-1 (XAdES) y EN 319 122-1 (CAdES): formatos de firma avanzada y cualificada
• ETSI TS 119 500: marco de confianza para servicios de archivo electrónico cualificado
• ISO/IEC 18013-5: protocolo de presentación de atributos mDL (permiso de conducción móvil), adoptado como base técnica de EUDI Wallet

---

4. Calendario eIDAS 2 en Francia: estado de avance y obligaciones específicas

4.1 El papel de la ANSSI en la gobernanza nacional

En Francia, la ANSSI es la autoridad de supervisión de proveedores de servicios de confianza conforme a eIDAS. En perspectiva de eIDAS 2, pilota:

• La adaptación del referencial general de seguridad (RGS) para integrar los nuevos servicios cualificados
• La participación en los trabajos del grupo de cooperación eIDAS (artículo 46e del reglamento)
• La supervisión de auditorías de conformidad de QTSP franceses

La ANSSI publicó en marzo de 2025 una hoja de ruta nacional precisando las etapas de adaptación del marco francés a eIDAS 2, con un punto de situación previsto para septiembre de 2026.

4.2 Obligaciones para las grandes empresas francesas

Las empresas francesas que superan los umbrales de DSA u operan en los sectores dirigidos por el artículo 5b deben realizar desde ahora un análisis de impacto. Las etapas recomendadas son:

1. Mapeo de flujos de identificación: identificar los procesos donde se requiere identidad digital (KYC, firma de contratos, acceso a espacios de cliente)
2. Evaluación de proveedores actuales: verificar su roadmap de conformidad a eIDAS 2
3. Plan de actualización de CGC y políticas de firma: anticipar la integración de atributos de identidad procedentes de EUDI Wallets
4. Formación de equipos jurídicos y TI: el marco técnico y legal evoluciona significativamente

Para empresas que gestionan altos volúmenes contractuales, las herramientas de firma electrónica en empresa deben evaluarse en perspectiva de su capacidad para evolucionar hacia eIDAS 2 sin interrupción de servicio.

4.3 Articulación con otras regulaciones europeas

El despliegue de eIDAS 2 no ocurre en aislamiento. Se articula estrechamente con:

• El RGPD (2016/679): los atributos de identidad contenidos en EUDI Wallets constituyen datos personales sujetos a los principios de minimización y finalidad
• La directiva NIS 2 (2022/2555): los TSP son entidades esenciales en el sentido de NIS 2 y deben satisfacer requisitos reforzados de ciberseguridad
• El reglamento DORA (2022/2554): las instituciones financieras que utilizan servicios de confianza para sus operaciones digitales deben integrar estas dependencias en su mapeo de riesgos TIC
• El reglamento de datos (Data Act, 2023/2854): interoperabilidad de datos de identidad entre sectores

Las empresas que ya han iniciado su conformidad a NIS 2 encontrarán sinergias significativas con la conformidad a eIDAS 2, notablemente en los aspectos de gestión de riesgos y continuidad de negocio.

---

5. Preparar tu organización desde ahora: lista de verificación 2026

5.1 Para direcciones jurídicas y conformidad

• [ ] Leer el reglamento (UE) 2024/1183 en su versión consolidada e identificar los artículos aplicables a tu sector
• [ ] Mapear contratos y procesos que requieran actualización (cláusulas de firma, política de conservación)
• [ ] Verificar la validez jurídica transfronteriza de tus firmas electrónicas actuales en contexto eIDAS 2
• [ ] Anticipar la integración de atestaciones de atributos cualificados (ej.: verificación de cualificación profesional para actos notariales o médicos)

5.2 Para direcciones de sistemas de información

• [ ] Evaluar compatibilidad de tu stack técnico con protocolos EUDI Wallet (OpenID4VP, ISO 18013-5)
• [ ] Identificar APIs a actualizar con tus editores de firma electrónica
• [ ] Prever pruebas de integración con carteras piloto disponibles en 2026
• [ ] Implementar vigilancia sobre actos de ejecución de la Comisión (notificaciones en Diario Oficial de la UE)

5.3 Para direcciones de negocio

Los beneficios esperados de una conformidad bien anticipada son concretos: reducción de fricciones en procesos de firma gracias a identidad pre-verificada de EUDI Wallet, aceleración de procesos KYC, y reducción de costos de verificación de identidad. Para evaluar el retorno sobre inversión de tu transición, nuestro calculador ROI firma electrónica integra parámetros específicos a conformidad eIDAS 2.

Finalmente, las organizaciones que contemplan una migración desde otras soluciones hacia una plataforma nativamente preparada para eIDAS 2 pueden consultar nuestra guía de migración desde DocuSign o YouSign hacia Certyneo, que detalla etapas técnicas y contractuales de una transición sin interrupción.

Marco legal aplicable al despliegue de eIDAS 2

Textos fundadores y jerarquía de normas

El despliegue del reglamento eIDAS 2 se inscribe en un corpus jurídico estratificado cuyo dominio es indispensable para cualquier organización sometida a obligaciones de conformidad.

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo —denominado "eIDAS 2"— constituye la norma de referencia. Deroga y reemplaza el reglamento (UE) nº 910/2014 (eIDAS 1) en los puntos que revisa, manteniendo la validez de certificaciones existentes durante los períodos de transición previstos en los artículos 51 y siguientes. Publicado en el Diario Oficial de la UE serie L el 30 de abril de 2024, entró en vigor el 20 de mayo de 2024.

El Código Civil francés, artículos 1366 y 1367, consagra el reconocimiento de la firma electrónica como equivalente a la firma manuscrita cuando satisface condiciones de identificación del firmante e integridad del documento. Estas disposiciones se interpretan a la luz del derecho europeo eIDAS, que prevalece conforme al principio de primacía del derecho de la Unión.

El reglamento (UE) 2016/679 (RGPD) se aplica íntegramente a los tratamientos de datos personales realizados en contexto EUDI Wallet y servicios de confianza. Los atributos de identidad (datos biográficos, cualificaciones, permisos) constituyen datos personales en sentido del artículo 4 §1 RGPD. El principio de minimización (art. 5 §1 c) es particularmente pertinente: los proveedores solo deben recopilar atributos estrictamente necesarios para la finalidad de la transacción.

La directiva (UE) 2022/2555 (NIS 2), transpuesta a derecho francés por la ley nº 2024-449 del 21 de mayo de 2024, clasifica a proveedores de servicios de confianza cualificados entre entidades esenciales sometidas a obligaciones reforzadas de gestión de riesgos cibernéticos, notificación de incidentes y seguridad de cadena de suministro.

Las normas ETSI constituyen el referencial técnico armonizado de eIDAS 2:

• ETSI EN 319 401: requisitos generales para TSP
• ETSI EN 319 411-1/-2: políticas para TSP que emiten certificados cualificados
• ETSI EN 319 132-1: formato XAdES (firmas XML avanzadas)
• ETSI EN 319 122-1: formato CAdES (firmas CMS avanzadas)
• ETSI EN 319 162-1: formato ASiC (contenedores de firmas)

Riesgos jurídicos en caso de incumplimiento

El incumplimiento de obligaciones eIDAS 2 expone a las organizaciones a varios riesgos:

1. Inoponibilidad de firmas: una firma electrónica realizada vía TSP no conforme a nuevos requisitos puede perder la presunción legal de validez, cuestionando el valor probatorio de contratos firmados.
2. Sanciones administrativas: autoridades de supervisión nacionales (ANSSI en Francia) pueden pronunciar medidas correctivas, mandatos de conformidad, incluso retirada de acreditación para TSP.
3. Responsabilidad contractual: empresas utilizando herramientas no conformes pueden ver su responsabilidad comprometida frente a clientes y socios si litigio versa sobre validez de acto firmado electrónicamente.
4. Cumul con RGPD: una gestión no conforme de atributos de identidad de EUDI Wallet puede exponer simultáneamente a sanciones CNIL (hasta 4 % de facturación mundial anual).

Escenarios de uso concretos frente al calendario eIDAS 2

Escenario 1 — Un bufete de abogados de tamaño intermedio gestionando actos transfronterizos

Un bufete de abogados de negocios con alrededor de quince colaboradores que trata regularmente operaciones de M&A implicando contrapartes en varios Estados miembros de la UE (Bélgica, Países Bajos, España) utiliza actualmente una solución de firma electrónica cualificada para sus actos de cesión de participaciones y protocolos de confidencialidad. Con la entrada en aplicación del calendario eIDAS 2, el bufete anticipa dos evolutions principales antes de finales de 2026:

• Verificación de identidad simplificada: las contrapartes extranjeras podrán presentar sus atributos de identidad vía su EUDI Wallet nacional, eliminando intercambios de copias de pasaporte y procedimientos KYC redundantes. Según estimaciones de reportes de la Comisión Europea sobre LSP, el ahorro de tiempo en fase de verificación de identidad se estima entre 40 % y 60 % según jurisdicciones implicadas.
• Valor probatorio reforzado: actos firmados con identidades atestadas por EUDI Wallets cualificados disfrutarán de presunción legal aún más robusta, reduciendo riesgo de impugnación judicial en litigios transfronterizos.

El bufete planifica migrar hacia plataforma SaaS con roadmap eIDAS 2 documentado antes de T3 2026, aproximadamente seis meses antes de primeras obligaciones de aceptación.

Escenario 2 — Una PyME industrial gestionando alto volumen de contratos proveedores

Una PyME del sector equipamiento industrial gestionando aproximadamente 250 contratos proveedores por año, de los cuales 30 % con socios europeos fuera de Francia, enfrenta restricciones crecientes de verificación de identidad durante onboarding de nuevos proveedores. El proceso actual —solicitud de Kbis, copia de documento de identidad del representante legal, verificación manual— moviliza en promedio 2,5 horas por expediente según benchmarks sectoriales de federación de compradores.

Con integración de EUDI Wallet en su flujo de firma antes de 2027, la PyME proyecta:

• Una reducción de 55 a 70 % del tiempo dedicado a verificación de identidad gracias a atestaciones de atributos cualificados (número de registro, representación legal)
• Una disminución de 80 % de requerimientos documentales hacia proveedores extranjeros
• Una seguridad incrementada contra fraude documental, siendo atributos criptográficamente verificables

La PyME ha identificado necesidad de actualizar sus condiciones generales de compra para integrar referencia a atestaciones eIDAS 2, en coordinación con su asesor jurídico.

Escenario 3 — Un agrupamiento hospitalario anticipando conformidad para actos médicos digitales

Un agrupamiento hospitalario de aproximadamente 900 camas distribuidas en tres sedes debe gestionar firma electrónica de documentos médicos sensibles: consentimientos informados, prescripciones, historiales operatorios y contratos con proveedores de cuidados. Regulación francesa impone firma cualificada para ciertos actos médicos de alto alcance jurídico.

En perspectiva del calendario eIDAS 2, el agrupamiento anticipa llegada de atestaciones de atributos cualificados para cualificaciones profesionales de salud (número RPPS, especialidad, establecimiento de ejercicio), que permitirán:

• Automatizar verificación de cualidad del firmante (médico, cirujano, farmacéutico) sin verificación manual en directorios profesionales
• Reducir riesgos de error de atribución de firma durante sustituciones y guardias
• Facilitar portabilidad de historiales médicos digitales entre establecimientos, en marco de espacio europeo de datos de salud (EHDS)

El agrupamiento estima que integración de flujos EUDI Wallet en su sistema de información hospitalario (SIH) representa proyecto de 12 a 18 meses, justificando lanzamiento de estudios técnicos desde T3 2026 para puesta en producción antes de obligación de aceptación sectorial.

Conclusión

El calendario de despliegue del reglamento eIDAS 2 en la Unión Europea ahora está claramente señalizado: actos de ejecución en curso de finalización en 2026, despliegue de EUDI Wallets nacionales entre mediados de 2026 y finales de 2026, y obligaciones de aceptación para sector privado a partir del primer semestre de 2027. Esta hoja de ruta deja una ventana de acción concreta para empresas francesas y europeas, a condición de iniciar desde ahora análisis de conformidad, evaluación de proveedores y actualización de procesos contractuales.

Esperar a 2027 para conformarse representa riesgo de transición en urgencia, con costos y riesgos jurídicos que implica. Certyneo, diseñado nativamente para requisitos eIDAS y con roadmap activo hacia eIDAS 2, te acompaña desde hoy en esta transición. Inicia gratuitamente en Certyneo y asegura tus flujos documentales en respeto del marco europeo de confianza digital.