eIDAS 2 vs eIDAS 1: cambios clave para las PYME

Introducción: por qué eIDAS 2 cambia las reglas del juego para las PYME

Desde el 20 de mayo de 2024, el reglamento (UE) 2024/1183 — comúnmente llamado eIDAS 2 — ha entrado en vigor, derogando y reemplazando gradualmente el reglamento (UE) nº 910/2014 (eIDAS 1). Para las PYME francesas, este cambio no es una simple actualización administrativa: redefine los niveles de confianza digital, introduce una cartera de identidad europea (EUDIW), refuerza los requisitos aplicables a los proveedores de servicios de confianza y amplía el alcance de los servicios reconocidos. Este artículo compara punto por punto eIDAS 1 y eIDAS 2, identifica los impactos operacionales concretos para las pequeñas y medianas empresas, y te proporciona un plan de acción para mantenerte conforme en 2026.

---

1. Recuerdo: lo que establecía eIDAS 1 (2014-2024)

1.1 Los fundamentos del reglamento inicial

Adoptado en julio de 2014 y aplicable desde septiembre de 2016, eIDAS 1 estableció los primeros cimientos de un espacio de confianza digital europeo. Introdujo tres grandes categorías de firma electrónica — simple (SES), avanzada (AdES) y cualificada (QES) — y creó la lista de confianza de proveedores cualificados (Trusted List), consultable en el portal de la Comisión Europea.

Para las PYME, la principal aportación de eIDAS 1 fue el reconocimiento transfronterizo de firmas cualificadas: un contrato firmado con una QES francesa era legalmente reconocido en Alemania, España o Italia sin necesidad de apostilla o trámite adicional. Este principio —denominado de «no discriminación»— se convirtió en la base sobre la que soluciones SaaS como Certyneo construyeron sus servicios.

1.2 Las limitaciones identificadas

A pesar de sus avances, eIDAS 1 sufría de varias deficiencias documentadas por la Comisión Europea en su informe de evaluación de 2021:

• Fragmentación de esquemas de identidad: solo los Estados miembros que notificaron su esquema nacional (como FranceConnect+ nivel sustancial) se beneficiaban del reconocimiento mutuo. En 2023, solo 14 Estados de 27 habían notificado un esquema conforme.
• Ausencia de soporte móvil nativo: el dispositivo cualificado para la creación de firma (QSCD) a menudo requería una tarjeta inteligente o token físico, limitando la adopción móvil.
• Servicios de confianza limitados: eIDAS 1 enumeraba nueve tipos de servicios cualificados; los nuevos usos (archivo electrónico cualificado, gestión de atributos) no estaban regulados.
• Sin cartera de identidad unificada: cada ciudadano o empresa gestionaba sus identificadores de manera aislada, sin interoperabilidad garantizada.

Estas limitaciones llevaron a la Comisión a lanzar la revisión en 2020, dando lugar al reglamento eIDAS 2 después de tres años de trilogía.

---

2. Las cinco grandes novedades de eIDAS 2 para las PYME

2.1 La cartera de identidad digital europea (EU Digital Identity Wallet — EUDIW)

Esta es la novedad más visible del reglamento. Antes de noviembre de 2026 (plazo de transposición establecido en el artículo 5a), cada Estado miembro deberá ofrecer al menos una cartera de identidad digital certificada a sus ciudadanos y residentes. Para las PYME, esta evolución tiene dos consecuencias directas:

1. Autenticación simplificada de clientes y socios: la cartera permitirá compartir atributos verificados (edad, número de IVA intracomunitario, extracto del Registro Mercantil, datos bancarios certificados) sin fricción. Un acuerdo marco con un socio alemán podrá firmarse tras verificación instantánea de sus atributos profesionales desde su EUDIW.
2. Obligación de aceptación para ciertos sectores: los servicios en línea de grandes plataformas (artículo 45bis) y ciertos servicios públicos deberán aceptar el EUDIW como medio de autenticación. Las PYME que proporcionan portales B2B deberán adaptar sus APIs de autenticación.

2.2 Extensión de la lista de servicios de confianza cualificados

eIDAS 2 amplía el catálogo de servicios de confianza cualificados de 9 a 14 categorías. Las nuevas entradas que afectan directamente a las PYME son:

• El archivo electrónico cualificado (art. 45septies): conservación a largo plazo con valor probatorio reforzado. Hasta ahora, el archivo con valor probatorio se basaba en referentes nacionales (en Francia, el referente SIAF/ANSSI); eIDAS 2 armoniza el marco europeo.
• La gestión remota de dispositivos cualificados para la creación de firma (RQSCD): ahora explícitamente regulada, elimina las ambigüedades que pesaban sobre las soluciones en la nube de firma cualificada. Para una PYME de 50 empleados, esto significa acceder a una firma cualificada sin token físico, desde cualquier dispositivo.
• El servicio de registro electrónico cualificado: los registros basados en blockchain o tecnologías de libro mayor distribuido ahora pueden obtener el estatus cualificado, abriendo la puerta a nuevos modelos de gestión contractual.

Para profundizar en los niveles de firma y su valor legal, consulta nuestro guía completo de la firma electrónica.

2.3 Refuerzo de los requisitos de seguridad para proveedores cualificados (QTSP)

eIDAS 2 endurece las obligaciones de los proveedores de servicios de confianza cualificados (QTSP). El artículo 24 revisado impone en particular:

• Una certificación de ciberseguridad conforme al marco europeo (EU Cybersecurity Act, reglamento 2019/881), con esquemas sectoriales en desarrollo por la ENISA.
• Requisitos reforzados en materia de resiliencia operacional: los QTSP ahora deben documentar su plan de continuidad de negocio y presentarlo a su organismo de supervisión nacional (en Francia, la ANSSI para proveedores cualificados).
• Una obligación de notificación de incidentes de seguridad en las 24 horas (alineación con NIS 2).

Para las PYME usuarias, esto se traduce en una obligación de mayor diligencia en la elección del proveedor: verificar que tu solución de firma figura en la Trusted List europea actualizada es ahora un paso crítico de tu proceso de compra. Nuestro comparativo de soluciones de firma electrónica puede ayudarte en este análisis.

2.4 Interoperabilidad obligatoria de esquemas de identidad

Mientras que eIDAS 1 dejaba a los Estados miembros la libertad de notificar (o no) su esquema, eIDAS 2 hace obligatoria la notificación e interoperabilidad para los esquemas de identidad utilizados en servicios públicos en línea (art. 5). France Identité —el esquema nacional promovido por el Ministerio del Interior— está en proceso de adecuación a las especificaciones técnicas del EUDIW, publicadas por la Comisión en el reglamento de ejecución (UE) 2024/2977.

Para una PYME que interactúa regularmente con administraciones públicas (licitaciones públicas, autoliquidaciones fiscales, procedimientos aduaneros), esta evolución significa que los trámites en línea se unificarán progresivamente alrededor de un identificador digital único y reconocido en toda la UE.

2.5 Nuevas reglas de responsabilidad y supervisión

eIDAS 2 precisa y amplía los regímenes de responsabilidad de los proveedores (art. 13 revisado). Un QTSP ahora se presume responsable de cualquier daño causado a una persona física o jurídica por un incumplimiento de sus obligaciones, salvo que pruebe la ausencia de culpa. Esta presunción de responsabilidad, reforzada respecto a eIDAS 1, debe incitar a las PYME a:

• Formalizar por contrato los compromisos de su proveedor (SLA, garantías de disponibilidad, indemnización).
• Verificar la cobertura de seguro de responsabilidad civil profesional del QTSP.
• Conservar pruebas de auditoría de transacciones firmadas (registros de marcas de tiempo, informes de verificación de firma).

Nuestros equipos han redactado una guía detallada sobre la firma electrónica en empresa que aborda estos aspectos contractuales.

---

3. Tabla comparativa eIDAS 1 vs eIDAS 2: qué cambia concretamente

3.1 Síntesis de las evoluciones mayores

| Criterio | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Cartera de identidad | Ausente | EUDIW obligatorio (Estados miembros) | | Servicios cualificados | 9 categorías | 14 categorías (archivo, RQSCD, registros…) | | Notificación esquemas | Facultativa | Obligatoria para servicios públicos | | Seguridad QTSP | Criterios Common Criteria | Cybersecurity Act + esquemas ENISA | | Responsabilidad QTSP | Parcial | Presunción de responsabilidad reforzada | | Plazo notificación incidente | No especificado | 24 horas (alineación NIS 2) | | QSCD móvil | Ambigüedad jurídica | RQSCD explícitamente regulado |

3.2 Los plazos clave a retener para 2026

• Mayo 2024: entrada en vigor del reglamento (UE) 2024/1183.
• Noviembre 2026: fecha límite para que cada Estado miembro ofrezca al menos una solución EUDIW certificada.
• 2027: obligación para grandes plataformas (art. 45bis) de aceptar EUDIW como medio de autenticación.
• 2028: revisión prevista de los actos de ejecución técnicos (reglamentos delegados sobre especificaciones EUDIW).

Si tu PYME contempla migrar hacia una solución más conforme, nuestra oferta de migración a Certyneo incluye un audit de conformidad eIDAS 2 gratuito.

---

4. Plan de acción práctico para poner tu PYME en conformidad eIDAS 2

4.1 Auditar tus flujos documentales existentes

Comienza cartografiando todos los procesos en los que actualmente utilizas firma electrónica o identidad digital: contratos con proveedores, nóminas desmaterializadas, mandatos SEPA, acuerdos de confidencialidad, actos de RR.HH. Para cada flujo, identifica:

• El nivel de firma utilizado (SES, AdES, QES).
• El proveedor actual y su estatus en la Trusted List.
• El nivel de riesgo jurídico en caso de contestación.

Este audit es el punto de partida recomendado por la ANSSI en su guía de conformidad publicada en marzo de 2025.

4.2 Actualizar tu solución de firma

Si tu proveedor actual no figura en la Trusted List eIDAS 2 o aún no ofrece RQSCD, es momento de comparar ofertas del mercado. Certyneo es un QTSP certificado que soporta los tres niveles de firma (SES, AdES, QES) e integra nativamente los nuevos requisitos eIDAS 2, incluyendo archivo cualificado y gestión remota de dispositivos.

4.3 Formar tus equipos y actualizar tus contratos

eIDAS 2 refuerza el valor probatorio de firmas cualificadas pero también impone buenas prácticas documentales. Asegúrate de que tus equipos legales y administrativos:

• Sepan distinguir los tres niveles de firma y su valor legal respectivo.
• Integren en contratos con proveedores una cláusula de audit de conformidad eIDAS.
• Conserven pruebas de verificación de firma (informe de validación, marca de tiempo cualificada) durante el plazo legal de conservación aplicable (3 a 10 años según la naturaleza del acto).

Para estructurar este enfoque, nuestro calculador ROI firma electrónica te permitirá cuantificar los beneficios operacionales ligados a la actualización.

Marco legal aplicable

Textos de referencia

La conformidad eIDAS 2 para una PYME francesa se inscribe en un apilamiento normativo que es esencial dominar.

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (denominado «eIDAS 2»): es el texto fundacional, publicado en el DOUE el 30 de abril de 2024. Deroga y reemplaza el reglamento (UE) nº 910/2014 según un calendario de despliegue progresivo hasta 2027. Es de aplicación directa en todos los Estados miembros, sin necesidad de transposición legislativa nacional para sus disposiciones principales.

Reglamento (UE) nº 910/2014 (eIDAS 1): algunas de sus disposiciones permanecen aplicables durante los períodos transitorios previstos por eIDAS 2, particularmente para proveedores cualificados que obtuvieron su calificación antes de mayo de 2024 y disponen de plazo para recertificarse.

Código Civil francés, artículos 1366 y 1367: el artículo 1366 establece el principio de equivalencia entre escrito electrónico y escrito en papel, siempre que «la persona de la que emane pueda ser debidamente identificada y esté establecido y conservado en condiciones que garanticen su integridad». El artículo 1367 reconoce la firma electrónica como modo de prueba, remitiendo a las condiciones fijadas por decreto en Consejo de Estado (decreto nº 2017-1416 de 28 de septiembre de 2017, codificado en los artículos R. 1369-1 a R. 1369-10 del Código Civil).

Reglamento (UE) 2016/679 (RGPD): el despliegue del EUDIW y el tratamiento de atributos de identidad en flujos de firma electrónica constituyen tratamientos de datos personales conforme al RGPD. Las PYME deben asegurarse de que su QTSP actúa como encargado del tratamiento conforme al artículo 28 RGPD, con un DPA (Data Processing Agreement) conforme. La CNIL publicó en enero de 2026 una recomendación específica sobre integración EUDIW-RGPD.

Directiva (UE) 2022/2555 (NIS 2): eIDAS 2 se alinea explícitamente con NIS 2 para obligaciones de notificación de incidentes (art. 24, §2 eIDAS 2 remitiendo a disposiciones NIS 2). Los QTSP se consideran entidades «esenciales» o «importantes» conforme a NIS 2 según su tamaño, y sujetos a auditorías de seguridad regulares.

Normas ETSI: las firmas electrónicas cualificadas deben respetar las normas ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) y ETSI EN 319 102-1 (procedimiento de validación). La norma ETSI TS 119 461 regula la verificación remota de identidad (IDV), particularmente relevante para RQSCD.

Riesgos jurídicos en caso de incumplimiento

Utilizar una solución de firma electrónica no conforme a eIDAS 2 expone la PYME a varios riesgos:

• Inadmisibilidad judicial: un juez puede desestimar una firma electrónica cuyo nivel no corresponda al acto firmado (ej.: firma simple para acto que requiere nivel avanzado o cualificado).
• Responsabilidad contractual: si un contrato es cuestionado por socio por invalidez de firma, la PYME puede enfrentar demandas de indemnización.
• Sanciones RGPD: en caso de violación de datos relacionada con defecto de seguridad del proveedor, la PYME, co-responsable o responsable del tratamiento, puede ser sancionada por la CNIL hasta 4% del volumen de negocios mundial anual (art. 83 §4 RGPD).

Escenarios de uso concretos

Escenario 1: una PYME industrial de 80 empleados gestionando 400 contratos proveedores anuales

Una PYME del sector de la metalurgia tratando aproximadamente 400 contratos proveedores anuales utilizaba hasta 2024 una solución de firma electrónica simple (SES) para todos sus compromisos, incluyendo contratos marco superiores a 50.000 €. Después de un audit de conformidad eIDAS 2, constató que el 35% de sus contratos requería firma avanzada o cualificada para resistir una contestación judicial, particularmente con proveedores establecidos en otros Estados miembros de la UE.

Al migrar a una solución combinando firma avanzada (AdES) para contratos ordinarios y cualificada (QES) para contratos marco, e incorporando archivo electrónico cualificado (nuevo servicio eIDAS 2), esta PYME redujo un 70% el tiempo dedicado a gestión documentaria post-firma (clasificación, búsqueda, envío de copias certificadas) y redujo a cero los litigios relacionados con contestación de firma en los 18 meses posteriores, contra dos incidentes los 18 meses anteriores.

Escenario 2: un despacho de consultoría jurídica de 15 colaboradores

Un despacho especializado en derecho mercantil, emitiendo en promedio 1.200 actos firmados anualmente (cartas de encargo, mandatos, acuerdos de confidencialidad), enfrentaba demanda creciente de sus clientes corporativos por firmas cualificadas reconocibles en toda la UE. Bajo eIDAS 1, obtener un certificado cualificado requería procedimiento presencial o verificación por video prolongada (45 a 90 minutos por usuario).

Gracias al RQSCD (Remote Qualified Signature Creation Device) regulado por eIDAS 2, el despacho pudo desplegar firma cualificada para todos sus colaboradores en menos de dos semanas, mediante procedimiento de enrole 100% remoto conforme a norma ETSI TS 119 461. La tasa de adopción interna pasó de 40% a 95% en tres meses, y el plazo medio de retorno de actos firmados se redujo de 4,2 días a menos de 6 horas según mediciones internas del despacho.

Escenario 3: una PYME de comercio electrónico operando en tres países de la UE

Una empresa de venta en línea empleando 35 personas y operando en Francia, Bélgica y Países Bajos debía gestionar tres tipos de acuerdos electrónicos: contratos de empleo para sus empleados locales, acuerdos de asociación con transportistas, y mandatos SEPA para sus clientes profesionales. La fragmentación de requisitos nacionales bajo eIDAS 1 la obligaba a mantener tres workflows de firma distintos, con costos de gestión estimados en aproximadamente 12.000 € anuales.

La adopción de una solución única conforme a eIDAS 2 —integrando reconocimiento mutuo de firmas cualificadas en los tres países— permitió unificar los workflows, reducir costo de gestión a aproximadamente 4.500 € anuales (economía del 62%) y eliminar demoras ligadas a validación manual de firmas extranjeras por servicio jurídico.

Conclusión

eIDAS 2 no es una simple revisión cosmética del marco regulatorio: redefine profundamente las reglas del juego de la confianza digital en Europa. Para las PYME francesas, las cinco evoluciones mayores —cartera EUDIW, extensión de servicios cualificados, RQSCD, interoperabilidad obligatoria y responsabilidad reforzada— representan tanto una restricción de conformidad como una oportunidad de acelerar su transformación documentaria.

Las PYME que anticipan hoy estos cambios se beneficiarán de una ventaja competitiva real: contratos reconocidos en toda la UE sin fricción, archivo con valor probatorio integrado, y procesos de firma completamente desmaterializados y seguros.

Certyneo está diseñado para acompañar esta transición. Comienza tu prueba gratuita en certyneo.com y benefíciate de un audit de conformidad eIDAS 2 gratuito para tus flujos documentales existentes.