eIDAS 2: El nuevo reglamento europeo explicado en 2026

Introducción: por qué eIDAS 2 lo cambia todo para las empresas europeas

Entrado en vigor el 20 de mayo de 2024 tras una larga gestación legislativa, el reglamento eIDAS 2 —oficialmente denominado Reglamento (UE) 2024/1183— representa la reforma más ambiciosa jamás emprendida en el ámbito de la identificación electrónica y los servicios de confianza en Europa. Deroga y sustituye parcialmente el reglamento eIDAS original de 2014 (n°910/2014), manteniendo la compatibilidad ascendente con la infraestructura existente. Para las empresas que recurren a la firma electrónica conforme con eIDAS, esta refundición introduce nuevas obligaciones, oportunidades inéditas y un calendario de conformidad estricto hasta 2026 y más allá. Este artículo descifra en profundidad las disposiciones clave del texto, sus implicaciones operacionales y la manera en que tu organización puede prepararse.

---

Lo que el reglamento eIDAS 2 modifica fundamentalmente

Del reglamento de 2014 a la versión 2024: una refundición estructural

El reglamento eIDAS original de 2014 había sentado las bases del reconocimiento mutuo de esquemas de identificación electrónica entre Estados miembros y establecido un marco jurídico unificado para los servicios de confianza (firma, sello, sellado de tiempo, etc.). Pero diez años más tarde, las limitaciones eran evidentes: baja tasa de adopción de eID notificados, fragmentación de soluciones nacionales, ausencia de una cartera digital universal para los ciudadanos, e inadaptación a los usos web (GAFAM excluidos del marco de confianza).

eIDAS 2 corrige estas carencias en tres ejes principales:

1. La cartera europea de identidad digital (EUDI Wallet) — cada Estado miembro debe ofrecer, a más tardar en noviembre de 2026, una aplicación de cartera digital que permita a todo ciudadano o residente europeo almacenar y presentar sus atributos de identidad (carné de identidad, permiso de conducir, diplomas, etc.) de forma segura.
2. La ampliación de los servicios de confianza cualificados — el texto añade nuevos servicios cualificados: gestión de archivo electrónico cualificado (QESAP), informes de atributos de identidad cualificados (QEAA), libros de cuentas electrónicos cualificados (QLED) y gestión de dispositivos de creación de firma a distancia (QRCD).
3. La obligación para grandes plataformas — los proveedores de servicios en línea de gran tamaño (redes sociales, mercados) deberán aceptar la cartera EUDI para la autenticación de usuarios.

La cartera EUDI Wallet: arquitectura y funcionamiento

La EUDI Wallet está en el corazón de eIDAS 2. Concretamente, se trata de una aplicación de software —entregada o certificada por cada Estado miembro— que se basa en un modelo descentralizado de presentación selectiva de atributos. El usuario solo transmite los datos estrictamente necesarios para la transacción (principio de minimización, conforme al RGPD).

Desde el punto de vista técnico, la arquitectura se basa en las especificaciones del Architecture Reference Framework (ARF), publicado por la Comisión Europea y actualizado regularmente por el Large Scale Pilot (LSP) que agrupa cuatro consorcios piloto (DC4EU, EWC, POTENTIAL, NOBID). Los formatos de datos seleccionados son principalmente ISO/IEC 18013-5 (mDL/mDocs) y W3C Verifiable Credentials, garantizando la interoperabilidad transfronteriza.

Para las empresas, esto significa que podrán, a la larga, verificar la identidad de sus clientes o socios a través de la cartera sin gestionar ellas mismas la recopilación de justificantes —reduciendo así considerablemente las fricciones KYC (Conocimiento del Cliente) y los riesgos de fraude documental.

---

Los niveles de garantía y la jerarquía de firmas: qué cambia

Mantenimiento de la jerarquía QES / AdES / SES

El régimen de firmas electrónicas sigue estructurado en torno a tres niveles definidos en el artículo 3 de eIDAS 2 (retomando la terminología de 2014 pero precisando los requisitos técnicos):

• Firma electrónica simple (SES): valor probatorio mínimo, adecuada para actos ordinarios.
• Firma electrónica avanzada (AdES): vínculo exclusivo con el firmante, posibilidad de detectar cualquier modificación posterior.
• Firma electrónica cualificada (QES): equivalente legal de la firma manuscrita en toda la UE (artículo 25§2), emitida a través de un dispositivo cualificado de creación de firma (QSCD) sobre la base de un certificado cualificado.

La novedad radica en la forma en que la QES puede ahora ser entregada a través de servicios de firma a distancia cualificados (QRCD), cuyas condiciones de autorización se precisan en los artículos 29a y 29b del texto revisado. Esto abre el camino a flujos 100% digitales para los actos más exigentes —contratos notariales, actos auténticos electrónicos— sin necesidad de una tarjeta inteligente física.

El impacto en los proveedores de servicios de confianza cualificados (QTSP)

Los proveedores como Certyneo, que operan apoyándose en QTSP certificados, deben anticipar los nuevos requisitos de auditoría introducidos por eIDAS 2. El artículo 24 impone ahora controles reforzados en la cadena de subcontratación, y los requisitos de notificación de incidentes de seguridad se alinean explícitamente con los de la directiva NIS2 (plazo de 24 h para la notificación inicial). Para profundizar en el funcionamiento de los diferentes niveles de firma en un contexto B2B, consulta nuestra guía completa sobre firma electrónica en empresa.

---

Calendario de despliegue y obligaciones para las empresas en 2025-2026

Los hitos clave del despliegue

El reglamento (UE) 2024/1183 fue publicado en el Diario Oficial de la UE el 30 de abril de 2024 y entró en vigor el 20 de mayo de 2024. Los actos de ejecución y delegados —esenciales para precisar los requisitos técnicos— se publican progresivamente:

| Fecha | Obligación | |---|---| | Mayo 2024 | Entrada en vigor del reglamento | | Finales de 2024 | Publicación de actos de ejecución sobre ARF v2.0 | | Mediados de 2025 | Certificación de primeras carteras EUDI piloto | | Noviembre 2026 | Disponibilidad obligatoria de cartera EUDI en cada Estado miembro | | 2027 | Aceptación obligatoria por grandes plataformas en línea |

Lo que las empresas B2B deben hacer ahora mismo

Para las empresas usuarias de soluciones de firma electrónica, tres prioridades se imponen en 2025-2026:

1. Auditar su cadena de confianza: verificar que su proveedor de firma figura realmente en la lista de QTSP (Trusted List) de su Estado miembro, y que los certificados utilizados son conformes a las nuevas especificaciones ETSI EN 319 401 y EN 319 411-1 revisadas.

2. Anticipar la integración de la cartera EUDI: las empresas que operan en sectores regulados (banca, seguros, sanidad, inmobiliario) serán entre las primeras afectadas por los flujos de verificación de identidad a través de cartera. Preparar las API de integración desde 2025 es recomendable.

3. Revisar sus políticas de conservación: el nuevo servicio cualificado de archivo electrónico (QESAP) introduce estándares de preservación a largo plazo que pueden imponerse en ciertos sectores (contratación pública, sector farmacéutico). Nuestro calculador de ROI para firma electrónica te permite evaluar el impacto financiero de una actualización de tu infraestructura documental.

---

Interoperabilidad, RGPD y desafíos de soberanía digital

eIDAS 2 y RGPD: complementariedad reforzada

Uno de los avances principales de eIDAS 2 es la integración explícita de los principios de protección de datos desde el diseño (privacy by design) en la arquitectura de la cartera EUDI. El artículo 5a§14 dispone que la cartera no permite a los proveedores seguir el comportamiento del usuario durante las transacciones. Los emisores de atributos de identidad cualificados (QEAA) no son informados del uso que se hace de las atestaciones emitidas —lo que constituye una ruptura importante con los modelos centralizados actuales.

Esta arquitectura se califica de unlinkability (no-correlacionabilidad): dos transacciones distintas realizadas por el mismo usuario no pueden relacionarse sin su consentimiento. Esta garantía supera los requisitos mínimos del RGPD mientras se articula perfectamente con él.

La dimensión geopolítica: recuperar el control sobre la identidad en línea

eIDAS 2 responde también a una cuestión de soberanía. Hoy día, la autenticación en línea se basa masivamente en botones «Iniciar sesión con Google/Facebook/Apple», lo que confiere a los gigantes tecnológicos estadounidenses una posición dominante en la gestión de identidades digitales europeas. Al imponer a las plataformas muy grandes (en el sentido de la Ley de Servicios Digitales) que acepten la cartera EUDI como medio de autenticación, eIDAS 2 crea una alternativa interoperable y soberana.

Para las empresas B2B, esto significa también que la conformidad eIDAS 2 puede convertirse en un criterio de selección de proveedores en procesos de licitación públicos y privados —a la imagen de lo que representa hoy la certificación ISO 27001 en los procesos de compra. Si tu organización contempla evolucionar su solución actual, nuestra guía de migración desde DocuSign o YouSign hacia Certyneo detalla los pasos de una transición controlada.

Marco legal aplicable a eIDAS 2 y a la firma electrónica

Textos de referencia

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo del 11 de abril de 2024, que modifica el Reglamento (UE) n°910/2014 en cuanto al establecimiento del marco europeo relativo a una identidad digital (eIDAS 2). Publicado en el DOUE el 30 de abril de 2024, entrado en vigor el 20 de mayo de 2024.

Reglamento (UE) n°910/2014 (eIDAS 1): mantenido en vigor en sus disposiciones no modificadas, particularmente los artículos relativos a los niveles de garantía «bajo», «sustancial» y «alto» para esquemas de identificación notificados.

Código Civil Francés, artículos 1366 y 1367: el escrito electrónico tiene la misma fuerza probatoria que el escrito en papel siempre que la persona de quien emana esté debidamente identificada y el documento esté establecido en condiciones que garanticen su integridad. La firma electrónica cualificada (QES) en el sentido de eIDAS 2 satisface estos requisitos de pleno derecho.

Reglamento (UE) 2016/679 (RGPD): el tratamiento de datos de identidad en el marco de la cartera EUDI está sujeto a los principios de minimización (art. 5§1c), limitación de finalidad (art. 5§1b) y protección de datos desde el diseño (art. 25). Los prestadores cualificados ejercen la calidad de responsables del tratamiento distintos para las operaciones de verificación.

Directiva (UE) 2022/2555 (NIS2): transpuesta a derecho francés por la ordenanza n°2024-528 del 12 de junio de 2024, impone a los prestadores de servicios de confianza cualificados obligaciones de gestión de riesgos cibernéticos y notificación de incidentes en 24 horas.

Normas ETSI:

• EN 319 132 (XAdES) y EN 319 122 (CAdES): formatos avanzados de firma electrónica.
• EN 319 401: requisitos generales para prestadores de servicios de confianza.
• EN 319 411-1 y 411-2: política y requisitos de seguridad para autoridades certificadoras que emiten certificados cualificados.
• EN 319 521: requisitos para servicios cualificados de preservación de firmas (QESAP).

Obligaciones y riesgos jurídicos para las empresas

Toda empresa que utilice firmas electrónicas en un contexto contractual debe asegurarse de que el nivel de firma elegido es adecuado al valor y naturaleza del acto. Para los actos sujetos a requisito legal de firma (promesas de venta, contratos de trabajo, órdenes de compra que superen ciertos umbrales), solo la QES o la AdES basada en certificado cualificado aporta la presunción de fiabilidad contemplada en el artículo 26 de eIDAS 2.

En caso de litigio, la carga de la prueba se invierte: si la firma es cualificada, corresponde a la parte que discute el documento probar su alteración; si es simple o avanzada sin certificado cualificado, la carga de la prueba recae en el firmante que la invoca. El incumplimiento de los requisitos de trazabilidad e integridad puede provocar la nulidad del acto o la inoponibilidad de la firma a terceros.

Escenarios de uso: eIDAS 2 aplicado a empresas B2B

Escenario 1 — Una consultoría de transformación digital (aproximadamente 80 consultores)

Una estructura de consultoría que despliega sus colaboradores en clientes en varios Estados miembros (Francia, Alemania, Países Bajos) debe hacer firmar cada mes órdenes de misión, enmiendas contractuales y actas de recepción. Antes de eIDAS 2, la gestión de identidades transfronterizas generaba fricciones: rechazo de ciertos clientes alemanes de reconocer certificados emitidos por un QTSP francés, doble autenticación por correo electrónico insuficiente para actos sensibles.

Con el despliegue de la cartera EUDI en 2026, los consultores podrán firmar desde su cartera nacional —reconocida de pleno derecho en todos los Estados miembros— sin fricción alguna. La consultoría estima una reducción del 60 a 70% del tiempo dedicado a intercambios de verificación documentaria previa a la firma, es decir, aproximadamente 3 a 4 horas economizadas por consultor y por mes según los benchmarks sectoriales publicados por McKinsey Digital (2024).

Escenario 2 — Una PYME industrial que gestiona 350 contratos de proveedores por año

Una PYME del sector de equipamientos industriales, trabajando con aproximadamente cien proveedores europeos y asiáticos, debe contratar compras, acuerdos de confidencialidad (NDA) y contratos marco. Hasta ahora, el 30% de estos documentos regresaba sin firma válida o con retrasos superiores a 10 días laborales.

Al adoptar una solución de firma electrónica conforme con eIDAS 2 con verificación de identidad a través de atributos cualificados (QEAA), la PYME puede imponer un flujo de firma donde la identidad del representante legal del proveedor se verifica automáticamente a través de la cartera EUDI, sin entrada manual. Resultado esperado: reducción del plazo medio de firma de 10 días a menos de 48 horas, y disminución del 40% de litigios relacionados con firmas no conformes, sobre la base de rangos observados en los informes ELENIUS 2025 sobre desmaterialización B2B.

Escenario 3 — Un agrupamiento inmobiliario que gestiona compromisos de venta en varios países

Una red de agencias inmobiliarias operando en Francia, España y Portugal debe hacer regularmente firmar precontratos entre vendedores y compradores de diferentes nacionalidades. La QES es requerida en ciertos contextos para garantizar la equivalencia con la firma manuscrita ante notario.

Gracias a eIDAS 2 y a la interoperabilidad de las carteras EUDI, un comprador portugués puede firmar un compromiso regido por derecho francés usando su cartera nacional, con un nivel de garantía «alto» reconocido automáticamente por la plataforma de firma. El agrupamiento reduce sus gastos de desplazamiento y legalización en aproximadamente 800 a 1 200 euros por dossier transfronterizo, mientras reduce el plazo de conclusión de precontratos de 3 semanas a 5 días en promedio. Para usos específicos del sector, nuestra página dedicada a firma electrónica en inmobiliario detalla los flujos de trabajo adaptados.

Conclusión

eIDAS 2 no es una simple actualización normativa: es una refundición profunda de la manera en que la identidad digital y la confianza electrónica funcionan en Europa. La cartera EUDI Wallet, los nuevos servicios cualificados, la obligación de interoperabilidad y la alineación con NIS2 y el RGPD forman un ecosistema coherente que transformará los procesos contractuales y de autenticación de las empresas antes de finales de 2026.

Para mantenerse conforme y competitivas, las organizaciones B2B deben actuar ya: auditar su cadena de confianza, elegir un proveedor alineado con los nuevos requisitos y preparar sus flujos documentales para la integración de la cartera digital europea.

Certyneo te acompaña en esta transición con soluciones de firma electrónica cualificada conforme con eIDAS 2, listas para 2026. Solicita una demostración o crea tu cuenta en Certyneo para asegurar tus contratos desde hoy.