Certificación eIDAS 2 para prestatarios de firma: guía completa 2026

Por qué la certificación eIDAS 2 cambia las reglas para los prestatarios

Desde la entrada en vigor del Reglamento (UE) 2024/1183 del 11 de abril de 2024 —comúnmente denominado eIDAS 2— los prestatarios de servicios de confianza (PSC) que operan en la Unión Europea se enfrentan a un marco regulatorio profundamente reconfigurado. La revisión del reglamento eIDAS original de 2014 no se limita a ampliar el alcance de los servicios reconocidos: endurecen considerablemente las condiciones de acreditación, introducen nuevos niveles de garantía y refuerzan las exigencias de supervisión de los organismos de control nacionales. Para cualquier actor que desee ofrecer servicios de firma electrónica cualificada (QES) o avanzada (AdES) en el mercado europeo, comprender cómo obtener una certificación eIDAS 2 para prestatario de firma ya no es una opción: es una obligación estratégica.

Este artículo presenta un panorama exhaustivo del itinerario de certificación: textos aplicables, normas técnicas a respetar, función de los organismos de evaluación de la conformidad (CAB), plazos realistas y puntos de vigilancia operacionales.

---

El nuevo panorama regulatorio eIDAS 2: qué ha cambiado

Del Reglamento 910/2014 al Reglamento 2024/1183: las evoluciones principales

El reglamento eIDAS original (n.° 910/2014) había sentado las bases de un mercado único digital de confianza en Europa. Definía tres niveles de firma —simple, avanzada y cualificada— e imponía a los prestatarios cualificados estar inscritos en las listas nacionales de confianza (TSL, Trust Service Lists). eIDAS 2 mantiene esta arquitectura pero la enriquece en varios puntos estructurantes:

• Ampliación de los servicios cualificados: conservación electrónica cualificada, certificaciones electrónicas de atributos (AEA), gestión remota de dispositivos de creación de firma cualificada (QSCD). Estos nuevos servicios están ahora sujetos al mismo procedimiento de acreditación que la firma cualificada.
• La cartera europea de identidad digital (EUDIW): los prestatarios que deseen interactuar con la futura cartera de identidad deben demostrar su conformidad con las especificaciones técnicas publicadas por la Comisión (ARF —Architecture and Reference Framework, v1.4, 2024).
• Refuerzo de la supervisión: las autoridades de supervisión nacionales (en Francia, la ANSSI) disponen de poderes de investigación e inyunción reforzados. Los PSC cualificados pueden ser objeto de auditorías sin aviso previo.
• Plazos de notificación reducidos: todo incidente de seguridad significativo debe ser notificado a la autoridad competente dentro de 24 horas (en lugar de 72 horas en la versión anterior para ciertos incidentes).

Para una visión general del reglamento, la guía eIDAS 2.0 de Certyneo ofrece una síntesis pedagógica de todas estas evoluciones.

Los niveles de garantía y sus implicaciones para la certificación

La distinción entre firma electrónica avanzada y cualificada sigue siendo el eje del sistema. Solo la QES goza de una presunción legal de integridad e imputabilidad equivalente a la firma manuscrita (art. 25 del Reglamento eIDAS 2). Esta presunción está directamente condicionada a la certificación del prestatario.

| Nivel | Valor probante | Exigencia prestatario | |---|---|---| | Simple (SES) | Limitado | Ninguno | | Avanzada (AdES) | Significativo | Buenas prácticas + normas ETSI | | Cualificada (QES) | Máximo (presunción legal) | Certificación eIDAS 2 obligatoria |

---

El proceso de certificación eIDAS 2 paso a paso

Paso 1 — Requisitos previos organizacionales y técnicos

Antes de iniciar formalmente el proceso de certificación, un prestatario debe auditar su nivel de madurez en tres ejes:

1. Conformidad con las normas ETSI Las normas de la serie EN 319 constituyen la base técnica ineludible. Las principales son:

• ETSI EN 319 401: exigencias generales para prestatarios de servicios de confianza
• ETSI EN 319 411-1 y 411-2: políticas y exigencias para las autoridades de certificación que expiden certificados (perfiles PTC-QC para certificaciones cualificadas)
• ETSI EN 319 421: política y exigencias para prestatarios de servicios de sellado de tiempo
• ETSI EN 319 132: formatos de firma XAdES (XML), y la serie asociada CAdES (CMS) y PAdES (PDF)

La conformidad con estas normas no es facultativa para los prestatarios cualificados: es explícitamente requerida por los actos de ejecución de la Comisión Europea.

2. Seguridad de los sistemas de información Los QSCD (dispositivos de creación de firma cualificada) deben estar certificados conforme a los Criterios Comunes (CC) EAL4+ o equivalente. Para las soluciones de firma remota —modelo dominante en SaaS— las exigencias se refieren también a los módulos HSM (Hardware Security Module) y a los procedimientos de gestión de claves criptográficas (conformidad FIPS 140-2 nivel 3 como mínimo).

3. Política de seguridad (PSSI) y gestión de riesgos El expediente de certificación exige una PSSI formalizada, alineada con ISO/IEC 27001 (cuya certificación es fuertemente recomendada y a veces exigida por los CAB) e integrando las exigencias NIS2 para las entidades calificadas como « importantes » o « esenciales ».

Paso 2 — Selección y contratación de un organismo de evaluación de la conformidad (CAB)

En Francia, los CAB acreditados por el COFRAC (Comité Francés de Acreditación) para evaluar prestatarios de servicios de confianza son pocos. A título de ejemplo, LSTI (Laboratoire de Sécurité des Technologies de l'Information) y Bureau Veritas Certification figuran entre los actores referenciados. A escala europea, cada Estado miembro publica la lista de sus CAB notificados.

El papel del CAB es conducir una auditoría de conformidad en dos fases:

1. Revisión documental (Fase 1): examen de políticas, procedimientos, Declaración de Prácticas de Certificación (DPC / CPS) y pruebas técnicas.
2. Auditoría en sitio (Fase 2): verificación de controles operacionales, pruebas de penetración, entrevistas con los equipos.

La duración total de una auditoría CAB varía generalmente de 4 a 8 semanas dependiendo de la madurez previa del candidato.

Paso 3 — Instrucción por la autoridad de supervisión nacional

En Francia, es la ANSSI (Agencia Nacional de Seguridad de los Sistemas de Información) quien instruye las solicitudes de inscripción en la lista nacional de confianza (TSL FR). Basándose en el informe de auditoría del CAB, la ANSSI realiza su propio análisis y puede solicitar información complementaria o medidas correctivas.

El plazo regulatorio de instrucción es de 3 meses a partir de la recepción de un expediente completo (art. 17 del Reglamento eIDAS 2). En la práctica, los plazos efectivos son a menudo más largos si el expediente inicial está incompleto.

Una vez inscrito en la TSL nacional, el prestatario es automáticamente referenciado en la EUTL (EU Trusted List), publicada por la Comisión Europea, lo que le otorga un reconocimiento transfronterizo inmediato en los 27 Estados miembros.

Paso 4 — Mantenimiento de la calificación y renovación

La certificación eIDAS 2 no es definitiva. Los prestatarios cualificados están sujetos a:

• Una auditoría de seguimiento anual conducida por el CAB
• Una auditoría de renovación completa cada 24 meses (ciclo más corto que la práctica anterior)
• Controles sin aviso previo posibles a iniciativa de la ANSSI

Cualquier modificación sustancial de la infraestructura (cambio de HSM, evolución de la PKI, nuevo servicio cualificado) desencadena un procedimiento de notificación previa y puede imponer una auditoría parcial.

---

Costos, plazos y factores de riesgo: lo que los DSI deben anticipar

Presupuesto y recursos humanos

El costo de una primera certificación eIDAS 2 es significativo. Los puestos de gasto incluyen:

• Auditoría CAB: entre 40.000 € y 120.000 € según la complejidad del alcance
• Conformidad técnica (HSM, PKI, QSCD certificados CC): de 80.000 € a varios cientos de miles de euros para una infraestructura propia
• Certificación ISO 27001 (recomendada como requisito previo): 15.000 a 50.000 € según el tamaño
• Honorarios de asesoramiento jurídico y redacción de DPC: 10.000 a 30.000 €
• Costos internos: movilización de un equipo dedicado (RSSI, DPD, responsable de conformidad) durante 12 a 18 meses

Sumando todos estos puestos, una certificación completa representa una inversión global del orden de 200.000 a 500.000 € para un prestatario de tamaño intermedio, sin incluir los costos recurrentes de mantenimiento.

Factores de riesgo operacionales

Las causas más frecuentes de fracaso o retraso en los procedimientos de certificación son:

1. Una DPC insuficientemente detallada: la Declaración de Prácticas de Certificación debe documentar cada control con una granularidad a veces subestimada.
2. Lagunas en la gestión del ciclo de vida de las claves: revocación, conservación, destrucción de claves privadas.
3. Una gobernanza de incidentes insuficiente: ausencia de SIEM, procedimientos de gestión de crisis probados, runbooks.
4. Subestimación de NIS2: desde octubre de 2024, los PSC cualificados están automáticamente clasificados como entidades « importantes » conforme a la Directiva NIS2, con obligaciones adicionales de notificación y gestión de riesgos.

Para las empresas que deseen delegar estas restricciones a un prestatario ya certificado en lugar de construir su propia infraestructura, el comparativo de soluciones de firma electrónica disponible en Certyneo ayuda a objetivar esta elección de build-vs-buy.

---

eIDAS 2 y firma electrónica en la empresa: desafíos de transición

Para las empresas usuarias —en contraste con los prestatarios— la certificación eIDAS 2 de su proveedor SaaS de firma es un criterio de selección ahora ineludible. Incluir en las licitaciones una cláusula que exija la presencia en la TSL nacional se ha convertido en una práctica estándar en sectores regulados (finanzas, sanidad, inmuebles).

La firma electrónica en la empresa exige en efecto distinguir claramente los casos de uso que requieren una QES —actos bajo firma privada de alto riesgo, mandatos, actos notariales electrónicos— de aquellos para los que una AdES es suficiente. Esta cartografía de usos condiciona directamente el nivel de servicio contractualmente exigible al prestatario.

Las organizaciones que migran de una solución existente hacia un prestatario certificado eIDAS 2 también deben anticipar la portabilidad de los archivos de pruebas. La guía sobre la migración desde DocuSign o YouSign hacia Certyneo detalla las buenas prácticas para preservar el valor probante de los documentos ya firmados durante la transición.

Marco legal aplicable a la certificación eIDAS 2

Textos fundadores

La certificación de prestatarios de servicios de confianza se basa en un apilamient normativo denso que conviene dominar en su integridad:

Reglamento (UE) 2024/1183 del 11 de abril de 2024 (eIDAS 2): texto de referencia que deroga y sustituye las disposiciones correspondientes del Reglamento 910/2014. Define las condiciones para obtener y mantener el estatus de prestatario cualificado, las obligaciones de supervisión nacional, y las exigencias relativas a los nuevos servicios (EUDIW, AEA).

Reglamento (UE) n.° 910/2014 (eIDAS 1): todavía parcialmente aplicable para las disposiciones no modificadas; los actos de ejecución y delegados adoptados conforme a este reglamento siguen vigentes hasta su revisión formal.

Código Civil francés, artículos 1366 y 1367: el artículo 1366 plantea el principio de equivalencia de la firma electrónica a la firma manuscrita bajo condición de fiabilidad; el artículo 1367 precisa que la fiabilidad se presume hasta prueba en contrario cuando se utiliza la firma cualificada. Estas disposiciones nacionales se articulan directamente con la presunción legal del art. 25 eIDAS 2.

Directiva (UE) 2022/2555 (NIS2): transpuesta al derecho francés por la ley del 15 de octubre de 2024, clasifica automáticamente a los prestatarios de servicios de confianza cualificados entre las entidades importantes. Obligaciones: notificación a la ANSSI en 72 horas para todo incidente significativo, implementación de una gestión de riesgos cibernéticos formalizada, auditoría de seguridad periódica.

Reglamento (UE) 2016/679 (RGPD): los prestatarios de servicios de firma tratan datos personales sensibles (identidad de los firmantes, registros de auditoría). El respeto de los principios de minimización, limitación de la conservación e integridad impone un análisis de impacto (AIPD) específico. La base legal del tratamiento debe estar documentada para cada servicio.

Normas técnicas con valor regulatorio

Los actos de ejecución de la Comisión Europea (en particular la Decisión de Ejecución (UE) 2015/1506 y sus revisiones) designan las normas ETSI como presuntivas de conformidad:

• ETSI EN 319 401: exigencias generales PSC
• ETSI EN 319 411-1 y 411-2: políticas de certificación
• ETSI EN 319 421: sellado de tiempo cualificado
• ETSI EN 319 132 / 122 / 102: formatos AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: servicios de firma remota

Riesgos jurídicos en caso de incumplimiento

El uso fraudulento o negligente del estatus de prestatario cualificado expone a sanciones administrativas pronunciadas por la ANSSI (suspensión, retirada de la lista de confianza) y a persecución penal (art. 226-17 del Código Penal por defecto de seguridad de datos personales). En el plano civil, el cuestionamiento del valor probante de las firmas emitidas durante un período de incumplimiento puede comprometer la responsabilidad contractual del prestatario con respecto a sus clientes.

Escenarios de uso: la certificación eIDAS 2 en la práctica

Escenario 1 — Un editor SaaS de tamaño intermedio que busca la calificación QES

Una sociedad especializada en desmaterialización documental, con cerca de un centenar de colaboradores y que gestiona varios millones de transacciones de firma anuales para clientes en sectores de banca y seguros, decide solicitar la calificación eIDAS 2 para su servicio de firma electrónica. Hasta entonces, la empresa ofrecía una firma avanzada basada en certificados (AdES), suficiente para la mayoría de sus contratos con clientes, pero insuficiente para actos que requieren el máximo valor probante (mandatos SEPA, convenciones de prueba notariales).

Tras una auditoría interna de 3 meses que revela una quincena de desviaciones importantes respecto a las exigencias ETSI EN 319 411-2, la empresa inicia un programa de conformidad de 14 meses. Los principales proyectos afectan a la sustitución de los HSM existentes por módulos certificados FIPS 140-2 nivel 3, la redacción de una DPC de 180 páginas, y la obtención de la certificación ISO 27001 previo a la auditoría CAB. La inversión total alcanza 340.000 €. Tras la finalización del proceso, la inscripción en la TSL francesa permite a la empresa acceder a licitaciones de las que estaba sistemáticamente excluida, representando un potencial comercial estimado en un 20 % de ingresos adicionales.

Escenario 2 — Un grupo hospitalario que integra la firma cualificada para actos medico-legales

Un grupo hospitalario de aproximadamente 1.200 camas desea desmaterializar sus procesos de consentimiento informado, delegación de poderes médicos y contratos de investigación clínica. Estos documentos pertenecen a la categoría de actos para los que la QES es exigida o fuertemente recomendada por los marcos de referencia de la HAS y el contexto legal de datos de salud (art. L. 1110-4 CSP).

En lugar de certificar una infraestructura interna —opción considerada demasiado costosa y fuera del ámbito de actividad— el grupo opta por la integración de un prestatario tercero ya inscrito en la TSL. La DSI realiza una auditoría de conformidad del proveedor sobre la base de la lista de comprobación ETSI EN 319 401 y verifica la presencia efectiva en la EUTL antes de cualquier contratación. El despliegue, realizado en 4 meses, reduce en un 65 % el plazo de recopilación de firmas en expedientes de investigación clínica y elimina el riesgo de impugnación jurídica vinculado al uso anterior de firmas simples para actos sensibles.

Escenario 3 — Un despacho de abogados de derecho mercantil que asegura sus actos bajo firma privada

Un despacho de abogados especializado en derecho mercantil de una treintena de socios, que gestiona anualmente cerca de 400 operaciones de fusiones-adquisiciones y cesiones de fondos de comercio, busca mejorar la seguridad de la firma de sus actos bajo firma privada complejos. El valor unitario de las transacciones tratadas frecuentemente excede el millón de euros, y cualquier vicio de forma puede comprometer la responsabilidad profesional del despacho.

Tras el análisis, el equipo IT y el managing partner se ponen de acuerdo en la exigencia contractual mínima de una QES emitida por un prestatario certificado eIDAS 2 para todo acto cuyo valor supere 100.000 €. El criterio de selección del prestatario integra obligatoriamente la verificación de la inscripción en la TSL nacional y la disponibilidad de un certificado de conformidad ETSI reciente (menos de 12 meses). Este marco permite al despacho reducir en más del 80 % las solicitudes de contra-pericia sobre la validez de las firmas en litigios posteriores, según los retornos observados en estructuras comparables del sector.

Conclusión

Obtener una certificación eIDAS 2 como prestatario de servicios de firma electrónica es un proceso exigente, costoso y prolongado —pero ineludible para cualquier actor que desee ofrecer máximas garantías legales a sus clientes en el mercado europeo. Entre la conformidad con las normas ETSI, el paso de la auditoría CAB, la instrucción por la ANSSI y el mantenimiento de la calificación en el tiempo, el proceso moviliza recursos sustanciales durante 12 a 24 meses.

Para las empresas usuarias, la buena noticia es que no es necesario construir esta infraestructura internamente: elegir un prestatario SaaS ya certificado eIDAS 2 e inscrito en la lista nacional de confianza permite beneficiarse inmediatamente de la presunción legal asociada a la QES, sin soportar los costos de certificación.

Certyneo es un prestatario de confianza certificado, diseñado para empresas B2B que exigen rigor jurídico y simplicidad de uso. Descubre nuestros precios e inicia tu prueba gratuita hoy mismo.