Calendrier eIDAS 2 : déploiement UE 2026-2027

Introdución: por que o calendario eIDAS 2 é crucial para a súa organización

Desde a entrada en vigor do regulamento (UE) 2024/1183 — comunmente chamado eIDAS 2 — o marco europeo da identidade dixital e da firma electrónica coñece a súa transformación máis profunda desde 2014. Se o texto revisado está formalmente adoptado, é o seu despliegue operacional, estendido entre 2024 e 2027, o que concentra agora a atención dos DSI, xuristas e responsables de conformidade. Comprender o calendario oficial de despliegue do regulamento eIDAS 2 na Unión Europea permite anticipar as obrigacións, asegurar os seus procesos contractuais e evitar calquera desvío de conformidade. Este artigo descodifica as etapas clave, os actos de execución esperados e os impactos concretos para as empresas francesas e europeas.

---

1. Recordatorio: que é eIDAS 2 e por que esta revisión?

1.1 Os límites de eIDAS 1 (2014)

O regulamento eIDAS orixinal (nº 910/2014) sentou as bases da confianza dixital en Europa: recoñecemento mutuo das firmas electrónicas, creación dos niveis cualificados (QES), simple (SES) e avanzado (AdES), e acreditación dos provedores de servizos de confianza (Trust Service Providers, TSP). Non obstante, dez anos de aplicación poñen de manifesto varias lagoas maiores:

• Fragmentación nacional: menos do 19 % dos cidadáns europeos usaban un esquema de identificación electrónica transfronteiriza en 2022 segundo a Comisión Europea.
• Ausencia de carteira de identidade dixital: eIDAS 1 non preveía un instrumento universal que permitise a cada cidadán ou empresa probar a súa identidade en liña en todos os Estados membros.
• Cobertura parcial: os servizos de arquivo electrónico cualificado ou os certificados de atributos non estaban harmonizados.

1.2 As achegas estruturantes de eIDAS 2

Adoptado o 11 de abril de 2024 e publicado no Xornal Oficial da UE o 30 de abril de 2024, o regulamento (UE) 2024/1183 introduce nomeadamente:

• A European Digital Identity Wallet (EUDI Wallet): carteira de identidade dixital que cada Estado membro debe ofrecer aos seus cidadáns.
• Novos servizos de confianza cualificados: certificados de atributos electrónicos cualificados, arquivo electrónico cualificado, xestión de dispositivos de creación de firmas a distancia.
• A ampliación do ámbito de aplicación: as grandes plataformas en liña (no sentido do regulamento DSA) deberán aceptar a EUDI Wallet para a autenticación dos usuarios.
• Unha reforzamento da gobernanza: creación dun marco de certificación de conformidade máis estricto para os TSP.

Para profundar nas bases do regulamento, o noso guía completo sobre eIDAS 2.0 detalla o conxunto da evolución regulatoria.

---

2. O calendario oficial de despliegue de eIDAS 2: etapas e datas clave 2024-2027

O regulamento eIDAS 2 articula a súa entrada en aplicación ao redor dun mecanismo en varios tempos: entrada en vigor, actos de execución da Comisión, transposición nacional e despliegue efectivo das ferramentas. Aquí está a folla de ruta oficial.

2.1 Fase 1 — Entrada en vigor e actos delegados (maio 2024 – fin de 2025)

| Data | Etapa | |---|---| | 30 de abril de 2024 | Publicación do regulamento (UE) 2024/1183 no JOUE | | 20 de maio de 2024 | Entrada en vigor oficial (D+20 despois da publicación) | | T3-T4 2024 | Lanzamento dos grupos de traballo sobre os actos de execución (Toolbox eIDAS 2) | | Fin de 2024 | Publicación das primeiras especificacións técnicas de referencia para a EUDI Wallet (ARF — Architecture Reference Framework v1.4) | | T1-T2 2025 | Actos de execución da Comisión sobre as especificacións técnicas das carteiras (prazo de 12 meses previsto no artigo 5a) | | T3 2025 | Actos de execución relativos aos novos servizos de confianza cualificados |

A Comisión Europea publicou en xaneiro de 2025 o primeiro tren de actos de execución relativos ás especificacións técnicas comúns da EUDI Wallet. Estes textos constitúen a base técnica obrigatoria para os Estados membros.

2.2 Fase 2 — Despliegue dos proxectos piloto e transposicións nacionais (2025-2026)

No marco do programa de grandes proxectos piloto (Large Scale Pilots — LSP), catro consorcios probaron a EUDI Wallet desde 2023 en máis de 360 casos de uso en toda 25 Estados membros:

• EU Digital Identity Wallet Consortium (EUDIW) — máis de 140 entidades
• NOBID — enfocado nos pagos dixitais
• POTENTIAL — identidade e atributos
• DC4EU — diplomas e cualificacións profesionais

Os resultados destes pilotos alimentan directamente os actos de execución. No plano nacional, os Estados membros dispoñen de 24 meses desde a entrada en aplicación dos actos de execución para desplegar a súa carteira nacional. Na práctica, isto significa que a gran maioría dos desplegues nacionais se esperan entre mediados de 2026 e fin de 2026.

| Período | Accións esperadas | |---|---| | T1-T2 2026 | Adopción definitiva dos actos de execución que faltaban (arquivo cualificado, certificados de atributos) | | T2 2026 | Primeiras versións de produción das EUDI Wallets nos Estados precursores (Alemaña, Países Baixos, España) | | T3-T4 2026 | Despliegue progresivo nos 27 Estados membros — apertura aos usuarios profesionais | | Fin de 2026 | Obrigacións de aceptación da EUDI Wallet para os servizos públicos en liña (art. 5b) |

Francia, a través da Axencia Nacional de Seguridade dos Sistemas de Información (ANSSI) e da Dirección Interministerial do Dixital (DINUM), iniciou os seus traballos de adaptación en 2025. O proxecto da carteira francesa baséase en France Identité como base técnica.

2.3 Fase 3 — Obrigacións de aceptación para o sector privado (2027)

Esta é a etapa máis impactante para as empresas. O artigo 5b do regulamento eIDAS 2 impón que certos provedores do sector privado acepten a EUDI Wallet para a identificación en liña nos dominios seguintes:

• Servizos bancarios e financeiros (apertura de conta, KYC)
• Mobilidade (transportes, aluguel de vehículos)
• Enerxía (contratos de consumidores)
• Plataformas en liña moi grandes (no sentido do DSA, > 45 millóns de usuarios mensais na UE)
• Telecomunicacións

O prazo de aceptación obrigatoria fíxase en 12 meses despois da dispoñibilidade da carteira en cada Estado membro, o que sitúa o prazo real para a maioría dos sectores no primeiro semestre de 2027.

Para as empresas que xa usan solucións de firma electrónica conforme eIDAS, a cuestión é asegurar a compatibilidade dos seus fluxos documentarios cos novos atributos de identidade procedentes das carteiras numéricas.

---

3. Impacto nos provedores de servizos de confianza (TSP) e nos editores SaaS

3.1 Novas obrigacións para os TSP cualificados

Os provedores de servizos de confianza cualificados (QTSP) deben actualizar as súas prácticas de certificación para integrar as novas categorías de servizos introducidas por eIDAS 2:

• Certificados de atributos electrónicos cualificados: permiso de conducir dixital, diplomas, cualificacións profesionais
• Arquivo electrónico cualificado: servizo que garantiza a integridade a longo prazo dos documentos asinados
• Xestión de dispositivos de creación de firma a distancia (RQSCD): clarificación do marco para as solucións en nube

Os QTSP teñen ata 18 meses despois da publicación das normas ETSI revisadas (esperadas T2-T3 2026) para conformarse ás novas exigencias técnicas, o que posiciona as primeiras re-certificacións efectivas en 2027.

3.2 Isto significa para as empresas usuarias

Se a súa organización usa un provedor de firma electrónica SaaS — xa sexa unha solución certificada QES ou unha ferramenta de firma avanzada — varias cuestións de conformidade xúranse agora mesmo:

1. O seu provedor está en curso de actualización da súa certificación para integrar as exigencias de eIDAS 2?
2. Os seus fluxos de firma están preparados para recibir identidades procedentes das EUDI Wallets?
3. A súa política de arquivo cumpre cos futuros requisitos de arquivo electrónico cualificado?

As nosas análises do comparativo das solucións de firma electrónica integran agora o criterio da folla de ruta eIDAS 2 como factor diferenciador clave.

3.3 As normas técnicas de referencia

A ETSI (European Telecommunications Standards Institute) está encargada de producir as normas harmonizadas nas que se baseia eIDAS 2. O programa de traballo 2025-2027 cobre nomeadamente:

• ETSI EN 319 411-1 e -2 (revisadas): políticas e exigencias para os TSP que emiten certificados
• ETSI EN 319 132-1 (XAdES) e EN 319 122-1 (CAdES): formatos de firma avanzada e cualificada
• ETSI TS 119 500: marco de confianza para os servizos de arquivo electrónico cualificado
• ISO/IEC 18013-5: protocolo de presentación dos atributos mDL (mobile Driving Licence), adoptado como base técnica da EUDI Wallet

---

4. Calendario eIDAS 2 en Francia: estado de avance e obrigacións específicas

4.1 O papel da ANSSI na gobernanza nacional

En Francia, a ANSSI é a autoridade de supervisión dos provedores de servizos de confianza ao abrigo de eIDAS. Na perspectiva de eIDAS 2, lidera:

• A adaptación do referencial xeral de seguridade (RGS) para integrar os novos servizos cualificados
• A participación nos traballos do grupo de cooperación eIDAS (artigo 46e do regulamento)
• A supervisión das auditorías de conformidade dos QTSP franceses

A ANSSI publicou en marzo de 2025 unha folla de ruta nacional que precisa as etapas de adaptación do marco francés a eIDAS 2, cun punto de control previsto en setembro de 2026.

4.2 Obrigacións para as grandes empresas francesas

As empresas francesas que superan os límites do DSA ou que operan nos sectores obxectivos do artigo 5b deben engadir desde agora unha análise de impacto. As etapas recomendadas son:

1. Cartografía dos fluxos de identificación: identificar os procesos onde se require identidade dixital (KYC, asinatura de contratos, acceso aos espazos de cliente)
2. Avaliación dos provedores actuais: verificar a súa folla de ruta de conformidade eIDAS 2
3. Plan de actualización das CGV e políticas de firma: anticipar a integración dos atributos de identidade procedentes das EUDI Wallets
4. Formación dos equipos xurídicos e DSI: o marco técnico e legal evoluciona significativamente

Para as empresas que xestionar volumes importantes de contratos, as ferramentas de firma electrónica en empresa deben avaliarse desde a perspectiva da súa capacidade de evolucionar cara a eIDAS 2 sen ruptura de servizo.

4.3 Articulación con outras regulacións europeas

O despliegue de eIDAS 2 non se realiza en silo. Articúlase estritamente con:

• O RGPD (2016/679): os atributos de identidade contidos nas EUDI Wallets constitúen datos persoais sometidos aos principios de minimización e de finalidade
• A directiva NIS 2 (2022/2555): os TSP son entidades esenciais no sentido de NIS 2 e deben satisfacer as exigencias de ciberseguridade reforzadas
• O regulamento DORA (2022/2554): os establecementos financeiros que usan servizos de confianza para as súas operacións dixitais deben integrar estas dependencias na súa cartografía dos riscos ICT
• O regulamento sobre datos (Data Act, 2023/2854): interoperabilidade dos datos de identidade entre sectores

As empresas que xa iniciaron a súa conformidade con NIS 2 encontrarán sinerxías significativas coa conformidade con eIDAS 2, nomeadamente nos aspectos de xestión de riscos e continuidade de negocio.

---

5. Preparar a súa organización desde agora: a checklist 2026

5.1 Para as direccións xurídicas e conformidade

• [ ] Ler o regulamento (UE) 2024/1183 na súa versión consolidada e identificar os artigos aplicables ao seu sector
• [ ] Cartografar os contratos e procesos que requiren actualización (cláusulas de firma, política de conservación)
• [ ] Verificar a validez xurídica transfronteiriza das súas firmas electrónicas actuais no contexto de eIDAS 2
• [ ] Anticipar a integración dos certificados de atributos cualificados (ex.: verificación de cualificación profesional para actos notariais ou médicos)

5.2 Para as direccións dos sistemas de información

• [ ] Avaliar a compatibilidade do seu stack técnico cos protocolos da EUDI Wallet (OpenID4VP, ISO 18013-5)
• [ ] Identificar as API a actualizar nos seus editores de firma electrónica
• [ ] Prever as probas de integración coas carteiras piloto dispoñibles en 2026
• [ ] Establecer unha vixilancia sobre os actos de execución da Comisión (notificacións no Xornal Oficial da UE)

5.3 Para as direccións de negocio

Os ganhos esperados dunha conformidade ben anticipada son concretos: redución das fricións nos percorridos de firma grazas á identidade preverificada da EUDI Wallet, aceleración dos procesos KYC e redución dos custos de verificación de identidade. Para avaliar o retorno sobre investimento da súa transición, o noso calculador ROI firma electrónica integra os parámetros específicos da conformidade eIDAS 2.

Finalmente, as organizacións que consideran unha migración desde outras solucións cara a unha plataforma nativement preparada para eIDAS 2 poden consultar o noso guía de migración desde DocuSign ou YouSign cara a Certyneo, que detalla as etapas técnicas e contractuais dunha transición sen ruptura.

Marco legal aplicable ao despliegue de eIDAS 2

Textos fundadores e xerarquía das normas

O despliegue do regulamento eIDAS 2 inscríbese nun corpus xurídico estratificado cuxa maestría é indispensable para toda organización sometida a obrigacións de conformidade.

Regulamento (UE) 2024/1183 do Parlamento Europeo e do Consello — chamado « eIDAS 2 » — constitúe a norma de referencia. Derroga e substitúe o regulamento (UE) nº 910/2014 (eIDAS 1) nos puntos que revisa, mantendo a validez das certificacións existentes durante os períodos de transición previstos nos artigos 51 e seguintes. Publicado no Xornal Oficial da UE serie L o 30 de abril de 2024, entrou en vigor o 20 de maio de 2024.

O Código Civil francés, artigos 1366 e 1367, consagra o recoñecemento da firma electrónica como equivalente á firma manuscrita cando cumpre coas condicións de identificación do signatario e integridade do documento. Estas disposicións interprétanse á luz do dereito europeo eIDAS, que ten primacía en virtude do principio de primacía do dereito da Unión.

O regulamento (UE) 2016/679 (RGPD) aplícase integralmente aos tratamentos de datos persoais realizados no marco da EUDI Wallet e dos servizos de confianza. Os atributos de identidade (datos biográficos, cualificacións, permiso) constitúen datos de carácter persoal no sentido do artigo 4 §1 do RGPD. O principio de minimización (art. 5 §1 c) é particularmente pertinente: os provedores só deben colleitar os atributos estritamente necesarios para a finalidade da transacción.

A directiva (UE) 2022/2555 (NIS 2), transposta ao dereito francés pola lei nº 2024-449 do 21 de maio de 2024, clasifica os provedores de servizos de confianza cualificados entre as entidades esenciais sometidas a obrigacións reforzadas de xestión de riscos cibernéticos, notificación de incidentes e seguridade da cadea de subministración.

As normas ETSI constitúen o referencial técnico harmonizado de eIDAS 2:

• ETSI EN 319 401: exigencias xerais para os TSP
• ETSI EN 319 411-1/-2: políticas para TSP que emiten certificados cualificados
• ETSI EN 319 132-1: formato XAdES (firmas XML avanzadas)
• ETSI EN 319 122-1: formato CAdES (firmas CMS avanzadas)
• ETSI EN 319 162-1: formato ASiC (contedores de firmas)

Riscos xurídicos en caso de non-conformidade

O incumprimento das obrigacións de eIDAS 2 expón as organizacións a varios riscos:

1. Inoposabilidade das firmas: unha firma electrónica realizada a través dun TSP non conforme coas novas exigencias pode perder a presunción legal de validez, poñendo en cuestión o valor probatorio dos contratos asinados.
2. Sancións administrativas: as autoridades de supervisión nacionais (ANSSI en Francia) poden pronunciarse mediante medidas correctoras, inxuncións de conformidade, ou incluso retiradas de acreditación para os TSP.
3. Responsabilidade contractual: as empresas que usan ferramentas non conformes poden ver a súa responsabilidade comprometida respecto dos seus clientes e socios se un litixio versa sobre a validez dun acto asinado electronicamente.
4. Acumulación co RGPD: unha xestión non conforme dos atributos de identidade da EUDI Wallet pode exponse simultaneamente a sancións CNIL (ata o 4 % do volume de negocio mundial anual).

Escenarios de uso concretos ante o calendario eIDAS 2

Escenario 1 — Un despacho xurídico de tamaño intermedio xestionando actos transfronterizos

Un despacho de avogados de negocios con uns quince colaboradores que trata regularmente operacións de M&A que implica contrapartes en varios Estados membros da UE (Bélxica, Países Baixos, España) usa actualmente unha solución de firma electrónica cualificada para os seus actos de cesión de participacións e protocolos de confidencialidade. Coa entrada en aplicación do calendario eIDAS 2, o despacho anticipa dúas evolucións maiores ata fin de 2026:

• Verificación de identidade simplificada: as contrapartes estranxeiras poderán presentar os seus atributos de identidade a través da súa EUDI Wallet nacional, eliminando os intercambios de copias de pasaporte e os procedementos KYC redundantes. Segundo as estimacións procedentes dos informes da Comisión Europea sobre os LSP, o ganho de tempo na fase de verificación de identidade estímase entre o 40 % e o 60 % segundo as xurisdiciones implicadas.
• Valor probatorio reforzado: os actos asinados con identidades certificadas por EUDI Wallets cualificadas beneficiaranse dunha presunción legal aínda máis robusta, reducindo o risco de contestación xudicial nos litixios transfronterizos.

O despacho prevé migrar cara a unha plataforma SaaS cunha folla de ruta de eIDAS 2 documentada antes do T3 2026, é dicir, aproximadamente seis meses antes das primeiras obrigacións de aceptación.

Escenario 2 — Unha PEME industrial xestionando un volume alto de contratos con provedores

Unha PEME do sector de equipamento industrial que xestiona uns 250 contratos con provedores anualmente, dos que 30 % coas contrapartes europeas fóra de Francia, enfrántase a constricións crecentes de verificación de identidade ao incorporar novos provedores. O proceso actual — solicitude de Kbis, copia de documento de identidade do representante legal, verificación manual — mobiliza en media 2,5 horas por expediente segundo os benchmarks sectoriais da federación de compradores.

Coa integración da EUDI Wallet no seu fluxo de firma de aquí a 2027, a PEME proxecta:

• Unha redución de 55 a 70 % do tempo dedicado á verificación de identidade grazas aos certificados de atributos cualificados (número de imaxinación, representación legal)
• Unha diminución do 80 % das incidencias documentarias respecto dos provedores estranxeiros
• Unha aseguración acrecentada contra a fraude documental, sendo os atributos criptograficamente verificables

A PEME identificou a necesidade de actualizar as súas condicións xerais de compra para integrar a referencia aos certificados eIDAS 2, en relación co seu asesor xurídico.

Escenario 3 — Un agrupamento hospitalario anticipando a conformidade para actos médicos dixitais

Un agrupamento hospitalario de uns 900 leitos distribuídos en tres sedes debe xestionar a firma electrónica de documentos médicos sensibles: consentementos informados, prescricións, informes operatorios e contratos con provedores de coidados. A regulación francesa impón a firma cualificada para certos actos médicos de envergadura xurídica forte.

Na perspectiva do calendario eIDAS 2, o agrupamento anticipa a chegada dos certificados de atributos cualificados para as cualificacións profesionais de saúde (número RPPS, especialidade, establecemento de exercicio), que permitirán:

• Automatizar a verificación da cualidade do signatario (médico, ciruxián, farmacéutico) sen verificación manual nos anuarios profesionais
• Reducir os riscos de erro de atribución de firma durante as substitucións e garda
• Facilitar a portabilidade dos expedientes médicos dixitais entre estabelecementos, no marco do espazo europeo dos datos de saúde (EHDS)

O agrupamento estima que a integración dos fluxos da EUDI Wallet no seu sistema de información hospitalaria (SIH) representa un proxecto de 12 a 18 meses, xustificando un lanzamento dos estudos técnicos dende o T3 2026 para unha entrada en produción antes da obrigación de aceptación sectorial.

Conclusión

O calendario de despliegue do regulamento eIDAS 2 na Unión Europea agora está claramente marcado: actos de execución en curso de finalización en 2026, despliegue das EUDI Wallets nacionais entre mediados de 2026 e fin de 2026, e obrigacións de aceptación para o sector privado a partir do primeiro semestre de 2027. Esta folla de ruta deixa unha xanela de acción concreta para as empresas francesas e europeas, coa condición de iniciar desde agora a análise de conformidade, a avaliación dos provedores e a actualización dos procesos contractuais.

Agardar a 2027 para conformarse corre o risco dunha transición na urxencia, cos custos e os riscos xurídicos que isto implica. Certyneo, deseñado nativement para as exigencias de eIDAS e en folla de ruta activa cara a eIDAS 2, acompáñao dende hoxe nesta transición. Comeza gratuitamente en Certyneo e asegura os teus fluxos documentarios no respecto do marco europeo de confianza dixital.