Transición eIDAS 1 hacia 2: impactos en la firma en 2025

El 20 de mayo de 2024, el reglamento (UE) 2024/1183 — comúnmente llamado eIDAS 2 — fue publicado en el Diario Oficial de la Unión Europea, derogando progresivamente el reglamento n°910/2014 (eIDAS 1). Este texto representa la reforma más estructurante de la identidad digital y la firma electrónica en Europa desde 2016. Para las empresas francesas que utilizan soluciones de firma electrónica en sus flujos contractuales, la transición no es una formalidad: implica ajustes técnicos, jurídicos y organizacionales cuyo horizonte se extiende hasta 2026 y más allá. Comprender el paso de eIDAS 1 a eIDAS 2 y su impacto en la firma electrónica en 2025 se ha convertido en una prioridad para los departamentos jurídicos, DSI y RRHH. Este artículo descifra las evoluciones fundamentales del marco, el calendario preciso de la transición y las medidas concretas a tomar para seguir siendo conforme.

Lo que el reglamento eIDAS 2 modifica fundamentalmente

Del reglamento de 2014 a la refundación de 2024: por qué una revisión era necesaria

eIDAS 1 había sentado las bases del reconocimiento mutuo de las firmas electrónicas dentro de la Unión. Tres niveles jerárquicos — simple (SES), avanzada (AdES) y cualificada (QES) — estructuraban el valor probatorio de las firmas, respaldados por una lista de prestadores de confianza (TSL). Pero en diez años, dos lagunas importantes han aparecido.

En primer lugar, el reglamento original se aplicaba esencialmente a las relaciones con las administraciones públicas (G2B, G2C). No creaba obligaciones directas en las transacciones privadas (B2B, B2C), dejando un vacío normativo que cada Estado miembro rellenaba de forma heterogénea. En segundo lugar, el auge de los servicios digitales — aplicaciones móviles, banca abierta, telemedicina — había revelado la ausencia de un sistema de identidad digital portable e interoperable a nivel continental.

eIDAS 2 responde a estos dos desafíos introduciendo la cartera europea de identidad digital (EU Digital Identity Wallet, EUDIW) y ampliando el alcance de los servicios de confianza a nuevos casos de uso: archivo electrónico cualificado, atestaciones de atributos cualificados, registros electrónicos cualificados (incluidas las aplicaciones blockchain certificadas).

Las nuevas categorías de servicios de confianza cualificados

El reglamento eIDAS 2 amplia la lista de servicios de confianza cualificados (artículo 3 y anexo IV revisado). Además de las firmas, sellos y marcas de tiempo cualificados ya reconocidos por eIDAS 1, ahora son cualificados:

• Los servicios de archivo electrónico cualificado (art. 34 bis): obligación de preservar la integridad y legibilidad de los documentos firmados a largo plazo, con requisitos reforzados para los prestadores (QTSP).
• Los servicios de gestión de dispositivos de creación de firma a distancia cualificados (QRCD): encuadramiento reforzado de las soluciones de firma a distancia mediante HSM (Hardware Security Module) en la nube.
• Las atestaciones de atributos cualificados: mecanismo que permite a un tercero de confianza certificar atributos de una entidad (por ejemplo, calidad de abogado, estatus de médico) sin revelar el conjunto de la identidad.
• Los registros electrónicos cualificados: reconocimiento de registros distribuidos bajo condiciones estrictas de auditabilidad y resiliencia.

Para los usuarios de soluciones de firma electrónica, esta ampliación significa que los servicios de confianza cualificados disponibles en el mercado van a diversificarse, y que los criterios de selección de un prestador (QTSP) deben integrar estas nuevas capacidades.

EUDIW: la cartera de identidad digital como infraestructura de la firma

La innovación más visible de eIDAS 2 sigue siendo la EUDIW. Cada Estado miembro debe poner a disposición de sus ciudadanos y residentes una cartera de identidad digital gratuita, interoperable con todas las demás, antes del 26 de noviembre de 2026 (plazo de conformidad nacional según el artículo 5 bis). Esta cartera permitirá:

• autenticar al usuario con un nivel de seguridad elevado (LoA High) sin recurrir a un prestador tercero de identificación;
• firmar electrónicamente documentos con valor cualificado (QES) directamente desde la cartera;
• compartir atributos de identidad selectivos (selective disclosure), respetando así el principio de minimización de datos del RGPD.

Para las empresas, la EUDIW simplifica teóricamente los procedimientos de verificación de identidad previos a la firma cualificada, eliminando la fricción de la identificación por vídeo o en persona. En la práctica, el impacto dependerá del ritmo de despliegue nacional — Francia lanzó en 2025 una experimentación piloto en el marco del programa «France Identité».

Calendario preciso de la transición eIDAS 1 hacia eIDAS 2

Los hitos normativos a conocer

El reglamento 2024/1183 entró en vigor el 20 de mayo de 2024, pero su aplicación es progresiva. Aquí están los plazos clave:

| Fecha | Evento | |------|----------| | 20 de mayo de 2024 | Publicación en el DOUE, entrada en vigor formal | | 20 de noviembre de 2024 | Plazo de 6 meses para la adopción de actos de ejecución por la Comisión (especificaciones técnicas de la EUDIW) | | Fin de 2025 | Publicación de las normas ETSI revisadas (EN 319 411-1/2, EN 319 401) integrando los requisitos eIDAS 2 | | 26 de mayo de 2026 | Fecha límite para la conformidad de los Estados miembros sobre las nuevas categorías de servicios cualificados | | 26 de noviembre de 2026 | Disponibilidad obligatoria de la EUDIW por parte de cada Estado miembro | | 2027-2028 | Revisión completa de las listas de confianza nacionales (TSL) y acreditación de los nuevos QTSP |

eIDAS 1 sigue siendo válido y las firmas emitidas bajo su régimen conservan su pleno valor jurídico. No hay ninguna obligación de re-firmar los documentos existentes. Por el contrario, los prestadores de confianza cualificados deberán renovar su acreditación según las nuevas normas técnicas antes de 2027.

Lo que no cambia y lo que es preciso vigilar

La continuidad es un principio cardinal de la transición. Los tres niveles de firma (SES, AdES, QES) se mantienen con sus definiciones sin cambios. La presunción de equivalencia con una firma manuscrita adjunta a la QES (artículo 25 eIDAS 1, retomado en el artículo 27 eIDAS 2) sigue en vigor. El valor probatorio de tus firmas electrónicas actuales no se cuestiona.

Lo que hay que vigilar por el contrario: los actos de ejecución (implementing acts) publicados por la Comisión Europea a lo largo de 2025-2026 fijarán las especificaciones técnicas precisas de la EUDIW y de las nuevas categorías de servicios. Estos textos de nivel 2 tienen una importancia práctica considerable para los integradores y editores de software. Para las empresas que utilizan la firma electrónica en sus procesos de RRHH o jurídicos, se recomienda pedir a su prestador una hoja de ruta de conformidad eIDAS 2.

Impacto concreto en las empresas y sus soluciones de firma

¿Qué flujos de trabajo están especialmente afectados?

La transición eIDAS 1 hacia eIDAS 2 no tiene el mismo impacto según el nivel de firma utilizado. Para las empresas, tres situaciones se distinguen:

Firma electrónica simple (SES): utilizada para anexos de bajo valor, acuses de recibo, formularios internos. Ninguna obligación de actualización inmediata. Las reglas probatorias siguen siendo regidas por el Código Civil (art. 1366-1367) y no directamente por eIDAS.

Firma electrónica avanzada (AdES/AdESQC): las empresas que utilizan soluciones B2B para contratos comerciales, contratos de trabajo desmaterializados o actos inmobiliarios deben verificar que su prestador mantenga una conformidad con las normas ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) y EN 319 142 (PAdES) en sus versiones revisadas para eIDAS 2. Estas normas serán publicadas por el ETSI antes de finales de 2025.

Firma electrónica cualificada (QES): los prestadores cualificados (QTSP) deberán pasar a una nueva acreditación eIDAS 2. El período transitorio otorga un plazo razonable (hasta 2027), pero los procesos de licitación lanzados a partir de 2025 deben integrar una cláusula de conformidad eIDAS 2 en los criterios de selección. Para las organizaciones que comparan las opciones disponibles, el comparativo de soluciones de firma electrónica permite evaluar la madurez de los editores sobre este tema.

Nuevos requisitos para los prestadores de confianza cualificados (QTSP)

eIDAS 2 endurece los requisitos aplicables a los QTSP en tres puntos principales:

1. Seguridad de los sistemas: alineación obligatoria en NIS2 (directiva (UE) 2022/2555) para los QTSP, ahora clasificados como entidades esenciales. Esto se traduce en obligaciones de notificación de incidentes en 24 horas, auditorías de seguridad anuales y la implantación de planes de continuidad de negocio.

1. Responsabilidad reforzada: el artículo 13 de eIDAS 2 amplía el régimen de responsabilidad de los QTSP. En caso de incumplimiento probado, la carga de la prueba se invierte: el prestador debe demostrar que no ha cometido negligencia, y no al revés.

1. Interoperabilidad obligatoria: los QTSP deben exponer APIs estandarizadas compatibles con la EUDIW para permitir la integración nativa de las carteras de identidad. Este requisito acelerará la modernización de las interfaces de integración disponibles para los desarrolladores.

Para las empresas que consideran cambiar de prestador en este contexto, migrar de DocuSign o YouSign hacia una solución conforme eIDAS 2 es un enfoque que merece ser anticipado desde ahora en lugar de hacerlo urgentemente en 2027.

Datos personales y eIDAS 2: la articulación con el RGPD

La EUDIW recopila y trata datos de identidad de carácter personal. El reglamento eIDAS 2 prevé explícitamente (considerando 11 y artículo 5 bis §14) que el conjunto del dispositivo debe ser conforme al RGPD (reglamento (UE) 2016/679). Varios puntos de atención:

• Selective disclosure: la cartera debe permitir al usuario compartir solo los atributos estrictamente necesarios para la transacción (principio de minimización, art. 5(1)(c) RGPD). Para una firma de contrato, solo la verificación de mayoría de edad podría compartirse sin revelar la fecha de nacimiento completa.
• Transferencias fuera de la UE: los datos de identidad tratados en el contexto de la EUDIW no pueden ser transferidos fuera del EEE sino con garantías apropiadas (art. 46 RGPD). Los prestadores que utilizan infraestructuras en la nube estadounidenses deben documentar su conformidad.
• Conservación de los registros de firma: el archivo de las pruebas de firma debe respetar la duración de conservación proporcional a la naturaleza del documento. El nuevo servicio de archivo cualificado eIDAS 2 ofrece un marco técnico para responder a este requisito.

Las empresas que gestionan contratos de trabajo internacionales están especialmente afectadas por esta articulación RGPD/eIDAS 2, en particular cuando los firmantes residen fuera de la UE.

Marco legal aplicable a la transición eIDAS 1 hacia eIDAS 2

Textos de referencia

La transición se basa en una superposición de textos que es indispensable dominar:

A nivel europeo:

• Reglamento (UE) n°910/2014 (eIDAS 1): sigue en vigor hasta su derogación progresiva por eIDAS 2. Define los tres niveles de firma (SES, AdES, QES) y el régimen de los QTSP.
• Reglamento (UE) 2024/1183 (eIDAS 2): entró en vigor el 20 de mayo de 2024. Modifica sustancialmente eIDAS 1 sin derogarlo inmediatamente. Las disposiciones relativas a la EUDIW se aplican a partir de la publicación de los actos de ejecución.
• Reglamento (UE) 2016/679 (RGPD): se aplica íntegramente al tratamiento de datos de identidad en el contexto de la EUDIW y de los procesos de firma. El artículo 5 bis §14 de eIDAS 2 recuerda esta subordinación explícitamente.
• Directiva (UE) 2022/2555 (NIS2): impone obligaciones de ciberseguridad reforzadas a los QTSP, ahora clasificados como entidades esenciales. Transpuesta al derecho francés por la ordenanza n°2024-821 del 20 de junio de 2024 (en proceso de decreto de aplicación).

A nivel francés:

• Código Civil, artículos 1366 y 1367: fundamento del valor probatorio de los escritos bajo forma electrónica. El artículo 1366 establece la equivalencia entre escrito electrónico y papel bajo condiciones. El artículo 1367 confiere a la firma cualificada (QES) la misma fuerza probatoria que una firma manuscrita.
• Decreto n°2017-1416 del 28 de septiembre de 2017: precisa las condiciones de utilización de la firma electrónica en los actos bajo firma privada. Sigue siendo aplicable durante el período transitorio.
• Referencial general de seguridad (RGS) v2: para las administraciones francesas, el RGS impone la utilización de soluciones referenciadas por la ANSSI. Su actualización para integrar eIDAS 2 se espera a lo largo de 2026.

Normas técnicas ETSI aplicables

Las normas ETSI constituyen el nivel 3 de la jerarquía normativa. Las versiones actuales aplicables:

• EN 319 132-1/2: formato XAdES (firmas XML avanzadas)
• EN 319 122-1/2: formato CAdES (firmas CMS avanzadas)
• EN 319 142-1/2: formato PAdES (firmas PDF avanzadas)
• EN 319 401: requisitos generales para los prestadores de servicios de confianza
• EN 319 411-1/2: requisitos para las AC que emiten certificados cualificados

Estas normas serán revisadas antes de finales de 2025 para integrar los nuevos requisitos de eIDAS 2. Los contratos con los QTSP deben incluir una cláusula de actualización hacia las versiones revisadas sin sobrecoste.

Riesgos jurídicos de no conformidad

Una firma emitida por un prestador que ya no estuviera acreditado después de 2027 no perdería automáticamente su valor jurídico para los documentos ya firmados, pero ya no se beneficiaría de la presunción legal de equivalencia con una firma manuscrita (art. 25 eIDAS). La carga de la prueba de la integridad e identidad del firmante recaería entonces enteramente en la empresa en caso de litigio. Este riesgo probatorio es particularmente sensible para los actos cuyo plazo de prescripción es largo (5 años en materia comercial, 30 años para los derechos reales inmobiliarios).

Escenarios de uso: cómo las organizaciones anticipan la transición eIDAS 2

Escenario 1: un despacho de abogados de 25 colaboradores racionaliza su conformidad documental

Un despacho de abogados especializado en derecho mercantil, con aproximadamente 25 colaboradores y una intensa actividad de firma de mandatos, actas de cesión y protocolos de acuerdo, utilizaba hasta 2024 una solución de firma avanzada (AdES) para la totalidad de sus flujos. Ante el anuncio de eIDAS 2, el despacho realizó una auditoría de sus 1 200 documentos firmados anualmente para identificar aquellos que requerían una QES según las nuevas recomendaciones de su colegio.

Resultado: el 15 % de los actos (aproximadamente 180 por año) fueron reclasificados hacia la firma cualificada, lo que permitió asegurar el régimen probatorio de estos documentos. El despacho negoció con su editor de firma una cláusula que garantiza la conformidad eIDAS 2 desde la publicación de los actos de ejecución, sin sobrecoste. El tiempo administrativo vinculado a la verificación de identidad de los firmantes disminuyó un 40 % gracias a la anticipación de la integración EUDIW planeada para 2026.

Escenario 2: una PYME industrial de 150 empleados asegura su cadena contractual con proveedores

Una PYME industrial que gestiona aproximadamente 350 contratos con proveedores por año — pedidos, acuerdos de confidencialidad, contratos marco — funcionaba con dos soluciones de firma distintas para sus flujos internos y externos, creando una fragmentación de las pruebas de auditoría. En el contexto de la transición eIDAS 2 y de los nuevos requisitos de archivo cualificado, la DSI decidió unificar su plataforma.

Al migrar hacia una solución única que integra el archivo electrónico cualificado (futura categoría eIDAS 2), la PYME redujo sus costos de almacenamiento seguro un 30 % y consolidó sus pruebas de firma en una caja fuerte digital conforme. La totalidad de la cadena documental es ahora auditable en menos de 2 minutos durante los controles de proveedores — un requisito cada vez mayor de sus clientes en la industria automotriz.

Escenario 3: un grupo hospitalario de aproximadamente 600 camas prepara la integración EUDIW

Un grupo hospitalario público utilizaba la firma electrónica cualificada para sus contratos médicos y sus licitaciones públicas, de conformidad con las obligaciones del código de compra pública. Con eIDAS 2, el servicio informático identificó dos cuestiones prioritarias: la integración futura de la cartera «France Identité» para los médicos liberales que intervienen en el establecimiento, y la conformidad NIS2 de su QTSP.

El grupo inscribió en su esquema director digital 2025-2028 un lote específico «conformidad eIDAS 2», con un presupuesto provisional de 45 000 € para la migración técnica y la capacitación de los agentes. El objetivo es estar en condiciones de aceptar firmas a través de EUDIW desde el despliegue nacional previsto para noviembre de 2026, reduciendo así los plazos de contractualización con los profesionales de la salud liberal de 3 días a menos de 4 horas en promedio según los puntos de referencia sectoriales disponibles.

Conclusión

La transición eIDAS 1 hacia eIDAS 2 no es una ruptura sino una evolución estructurada, con un calendario preciso que se extiende hasta 2027. Los impactos en la firma electrónica son reales — extensión de los servicios cualificados, llegada de la EUDIW, endurecimiento de los requisitos NIS2 para los QTSP — pero gestionables siempre que se anticipen. Las empresas que actúan ahora se benefician de un margen de maniobra para auditar sus flujos de trabajo, asegurar sus contratos con sus prestadores y formar a sus equipos sin presión de urgencia normativa.

Certyneo acompaña a las empresas en esta transición con una hoja de ruta clara de conformidad eIDAS 2, formatos de firma mantenidos actualizados y una arquitectura lista para la integración EUDIW. ¿Listo para asegurar tus flujos de firma en este nuevo marco normativo? Descubre nuestras ofertas y comienza gratuitamente en Certyneo.