Certificación eIDAS 2 para prestadores de firma 2026

Por qué la certificación eIDAS 2 cambia las reglas para los prestadores

Desde la entrada en vigor del Reglamento (UE) 2024/1183 del 11 de abril de 2024 —comúnmente llamado eIDAS 2— los prestadores de servicios de confianza (PSC) que operan en la Unión Europea se enfrentan a un marco regulatorio profundamente reformado. La revisión del Reglamento eIDAS original de 2014 no se limita a ampliar el alcance de los servicios reconocidos: endurecerá significativamente las condiciones de acreditación, introduce nuevos niveles de garantía y refuerza los requisitos de vigilancia de los organismos de control nacionales. Para cualquier actor que desee ofrecer servicios de firma electrónica cualificada (QES) o avanzada (AdES) en el mercado europeo, entender cómo obtener una certificación eIDAS 2 para prestador de firma ya no es una opción — es una obligación estratégica.

Este artículo presenta una visión exhaustiva del proceso de certificación: textos aplicables, normas técnicas a respetar, papel de los organismos de evaluación de la conformidad (CAB), plazos realistas y puntos de vigilancia operacional.

---

El nuevo panorama regulatorio eIDAS 2: qué ha cambiado

Del Reglamento 910/2014 al Reglamento 2024/1183: las principales evoluciones

El Reglamento eIDAS original (n° 910/2014) había sentado las bases de un mercado único digital de confianza en Europa. Definía tres niveles de firma —simple, avanzada y cualificada— e imponía a los prestadores cualificados estar incluidos en las listas de confianza nacionales (TSL, Trust Service Lists). eIDAS 2 conserva esta arquitectura pero la enriquece en varios puntos estructurales:

• Extensión de los servicios cualificados: archivo electrónico cualificado, atestaciones electrónicas de atributos (AEA), gestión a distancia de dispositivos de creación de firma cualificada (QSCD). Estos nuevos servicios están ahora sujetos al mismo procedimiento de acreditación que la firma cualificada.
• La cartera europea de identidad digital (EUDIW): los prestadores que deseen interactuar con la futura cartera de identidad deben demostrar su conformidad con las especificaciones técnicas publicadas por la Comisión (ARF — Architecture and Reference Framework, v1.4, 2024).
• Refuerzo de la supervisión: las autoridades de supervisión nacionales (en Francia, la ANSSI) disponen de poderes de investigación e inyunción reforzados. Los PSC cualificados pueden ser objeto de auditorías sorpresivas.
• Plazos de notificación reducidos: todo incidente de seguridad significativo debe ser notificado a la autoridad competente en 24 horas (frente a 72 horas en la versión anterior para ciertos incidentes).

Para una visión general del Reglamento, la guía eIDAS 2.0 de Certyneo ofrece una síntesis pedagógica de todas estas evoluciones.

Los niveles de garantía y sus implicaciones para la certificación

La distinción entre firma electrónica avanzada y cualificada sigue siendo el punto de apoyo del sistema. Solo la QES se beneficia de una presunción legal de integridad e imputabilidad equivalente a la firma manuscrita (art. 25 del Reglamento eIDAS 2). Esta presunción está directamente condicionada a la certificación del prestador.

| Nivel | Valor probatorio | Requisito prestador | |---|---|---| | Simple (SES) | Limitado | Ninguno | | Avanzada (AdES) | Significativo | Buenas prácticas + normas ETSI | | Cualificada (QES) | Máximo (presunción legal) | Certificación eIDAS 2 obligatoria |

---

El proceso de certificación eIDAS 2 paso a paso

Etapa 1 — Requisitos previos organizacionales y técnicos

Antes de iniciar formalmente el proceso de certificación, un prestador debe auditar su nivel de madurez en tres ejes:

1. Conformidad con las normas ETSI Las normas de la serie EN 319 constituyen el fundamento técnico imprescindible. Las principales son:

• ETSI EN 319 401: requisitos generales para los prestadores de servicios de confianza
• ETSI EN 319 411-1 y 411-2: políticas y requisitos para las autoridades de certificación que expiden certificados (perfiles PTC-QC para certificaciones cualificadas)
• ETSI EN 319 421: política y requisitos para los prestadores de servicios de sellado de tiempo
• ETSI EN 319 132: formatos de firma XAdES (XML), y la serie asociada CAdES (CMS) y PAdES (PDF)

La conformidad con estas normas no es facultativa para los prestadores cualificados: es explícitamente requerida por los actos de ejecución de la Comisión Europea.

2. Seguridad de los sistemas de información Los QSCD (dispositivos de creación de firma cualificada) deben estar certificados según Common Criteria (CC) EAL4+ o equivalente. Para las soluciones de firma a distancia —modelo dominante en SaaS— los requisitos recaen también sobre los módulos HSM (Hardware Security Module) y los procedimientos de gestión de claves criptográficas (conformidad FIPS 140-2 nivel 3 mínimo).

3. Política de seguridad (PSSI) y gestión de riesgos El expediente de certificación exige una PSSI formalizada, alineada con ISO/IEC 27001 (cuya certificación es fuertemente recomendada e incluso a veces exigida por los CAB) e integrando los requisitos de NIS2 para las entidades cualificadas como «importantes» o «esenciales».

Etapa 2 — Selección y contratación de un organismo de evaluación de la conformidad (CAB)

En Francia, los CAB acreditados por el COFRAC (Comité Francés de Acreditación) para evaluar a los prestadores de servicios de confianza son pocos. A título de ejemplo, LSTI (Laboratoire de Sécurité des Technologies de l'Information) y Bureau Veritas Certification figuran entre los actores referenciados. A escala europea, cada Estado miembro publica la lista de sus CAB notificados.

El papel del CAB es conducir una auditoría de conformidad en dos fases:

1. Revisión documental (Fase 1): examen de políticas, procedimientos, Declaración de Prácticas de Certificación (DPC / CPS) y pruebas técnicas.
2. Auditoría en sitio (Fase 2): verificación de controles operacionales, pruebas de intrusión, entrevistas con los equipos.

La duración total de una auditoría CAB varía generalmente de 4 a 8 semanas según la madurez previa del candidato.

Etapa 3 — Instrucción por la autoridad de supervisión nacional

En Francia, es la ANSSI (Agencia Nacional de Seguridad de los Sistemas de Información) la que instruye las solicitudes de inscripción en la lista de confianza nacional (TSL FR). Sobre la base del informe de auditoría del CAB, la ANSSI conduce su propio análisis y puede solicitar información complementaria o medidas correctivas.

El plazo reglamentario de instrucción es de 3 meses a partir de la recepción de un expediente completo (art. 17 del Reglamento eIDAS 2). En la práctica, los plazos efectivos suelen ser más largos si el expediente inicial está incompleto.

Una vez inscrito en la TSL nacional, el prestador es automáticamente referenciado en la EUTL (EU Trusted List), publicada por la Comisión Europea, lo que le confiere un reconocimiento transfronterizo inmediato en los 27 Estados miembros.

Etapa 4 — Mantenimiento de la calificación y renovación

La certificación eIDAS 2 no es definitiva. Los prestadores cualificados están sujetos a:

• Una auditoría de supervisión anual conducida por el CAB
• Una auditoría de renovación completa cada 24 meses (ciclo acortado respecto a la práctica anterior)
• Controles sorpresivos posibles a iniciativa de la ANSSI

Cualquier cambio sustancial de la infraestructura (cambio de HSM, evolución de la PKI, nuevo servicio cualificado) desencadena un procedimiento de notificación previa y puede imponer una auditoría parcial.

---

Costos, plazos y factores de riesgo: lo que los DSI deben anticipar

Presupuesto y recursos humanos

El costo de una primera certificación eIDAS 2 es significativo. Los puestos de gastos incluyen:

• Auditoría CAB: entre 40 000 € y 120 000 € según la complejidad del alcance
• Cumplimiento técnico (HSM, PKI, QSCD certificados CC): de 80 000 € a varios cientos de miles de euros para una infraestructura propia
• Certificación ISO 27001 (recomendada como requisito previo): 15 000 a 50 000 € según el tamaño
• Honorarios de asesoramiento legal y redacción DPC: 10 000 a 30 000 €
• Costos internos: movilización de un equipo dedicado (CISO, DPO, responsable de conformidad) durante 12 a 18 meses

Sumando todos estos puestos, una certificación completa representa una inversión global del orden de 200 000 a 500 000 € para un prestador de tamaño intermedio, sin contar los costos recurrentes de mantenimiento.

Factores de riesgo operacional

Las causas más frecuentes de fracaso o retraso en los procedimientos de certificación son:

1. Una DPC insuficientemente detallada: la Declaración de Prácticas de Certificación debe documentar cada control con una granularidad a veces subestimada.
2. Lagunas en la gestión del ciclo de vida de las claves: revocación, archivo, destrucción de claves privadas.
3. Una gobernanza de incidentes insuficiente: ausencia de SIEM, procedimientos de gestión de crisis probados, runbooks.
4. La subestimación de NIS2: desde octubre de 2024, los PSC cualificados se clasifican automáticamente como entidades «importantes» según la directiva NIS2, con obligaciones adicionales de notificación y gestión de riesgos.

Para las empresas que desean delegar estas limitaciones a un prestador ya certificado en lugar de construir su propia infraestructura, el comparativo de soluciones de firma electrónica disponible en Certyneo ayuda a objetivar esta elección entre construir o comprar.

---

eIDAS 2 y firma electrónica en la empresa: desafíos de transición

Para las empresas usuarias —a diferencia de los prestadores— la certificación eIDAS 2 de su proveedor SaaS de firma es un criterio de selección ahora imprescindible. Integrar en las convocatorias de propuestas una cláusula que exija la presencia en la TSL nacional se ha convertido en una práctica estándar en los sectores regulados (finanzas, sanidad, inmobiliario).

La firma electrónica en la empresa impone efectivamente distinguir claramente los casos de uso que requieren una QES —actos bajo firma privada con alto riesgo, mandatos, actos notariales electrónicos— de aquellos donde una AdES es suficiente. Este mapeo de usos condiciona directamente el nivel de servicio exigible contractualmente al prestador.

Las organizaciones que migran de una solución existente a un prestador certificado eIDAS 2 deben también anticipar la portabilidad de los archivos de prueba. La guía sobre la migración desde DocuSign o YouSign a Certyneo detalla las buenas prácticas para preservar el valor probatorio de los documentos ya firmados durante la transición.

Marco legal aplicable a la certificación eIDAS 2

Textos fundadores

La certificación de prestadores de servicios de confianza se basa en un conjunto normativo denso que conviene dominar en su totalidad:

Reglamento (UE) 2024/1183 del 11 de abril de 2024 (eIDAS 2): texto de referencia que deroga y sustituye las disposiciones correspondientes del Reglamento 910/2014. Define las condiciones para obtener y mantener el estatuto de prestador cualificado, las obligaciones de supervisión nacional y los requisitos relativos a los nuevos servicios (EUDIW, AEA).

Reglamento (UE) n° 910/2014 (eIDAS 1): todavía parcialmente aplicable para las disposiciones no modificadas; los actos de ejecución y delegados adoptados bajo este Reglamento permanecen en vigor hasta su revisión formal.

Código Civil francés, artículos 1366 y 1367: el artículo 1366 establece el principio de equivalencia de la firma electrónica a la firma manuscrita bajo condición de fiabilidad; el artículo 1367 precisa que la fiabilidad se presume hasta prueba en contrario cuando se utiliza la firma cualificada. Estas disposiciones nacionales se articulan directamente con la presunción legal del art. 25 eIDAS 2.

Directiva (UE) 2022/2555 (NIS2): transpuesta a derecho francés por la ley del 15 de octubre de 2024, clasifica automáticamente a los prestadores de servicios de confianza cualificados entre las entidades importantes. Obligaciones: declaración a la ANSSI en 72 horas para todo incidente significativo, implementación de una gestión de riesgos cibernéticos formalizada, auditoría de seguridad periódica.

Reglamento (UE) 2016/679 (RGPD): los prestadores de servicios de firma tratan datos personales sensibles (identidad de los firmantes, registros de auditoría). El respeto de los principios de minimización, limitación de la conservación e integridad impone un análisis de impacto (AIPD) específico. La base legal del tratamiento debe documentarse para cada servicio.

Normas técnicas con valor reglamentario

Los actos de ejecución de la Comisión Europea (en particular la Decisión de Ejecución (UE) 2015/1506 y sus revisiones) designan las normas ETSI como presuntivas de conformidad:

• ETSI EN 319 401: requisitos generales PST
• ETSI EN 319 411-1 y 411-2: políticas de certificación
• ETSI EN 319 421: sellado de tiempo cualificado
• ETSI EN 319 132 / 122 / 102: formatos AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: servicios de firma a distancia

Riesgos legales en caso de incumplimiento

El uso fraudulento o negligente del estatuto de prestador cualificado expone a sanciones administrativas dictadas por la ANSSI (suspensión, retirada de la lista de confianza) y a persecución penal (art. 226-17 del Código Penal por falta de seguridad de datos personales). A nivel civil, la impugnación del valor probatorio de las firmas emitidas durante un período de incumplimiento puede comprometer la responsabilidad contractual del prestador ante sus clientes.

Escenarios de uso: la certificación eIDAS 2 en la práctica

Escenario 1 — Un editor SaaS de tamaño intermedio persiguiendo la calificación QES

Una empresa especializada en desmaterialización documentaria, que emplea a unos cien colaboradores y gestiona varios millones de transacciones de firma anuales para clientes en los sectores bancario y de seguros, decide solicitar la calificación eIDAS 2 para su servicio de firma electrónica. Hasta ahora, la empresa ofrecía una firma avanzada basada en certificados (AdES), suficiente para la mayoría de sus contratos con clientes, pero insuficiente para actos que requieren valor probatorio máximo (mandatos SEPA, convenciones de prueba notariadas).

Tras una auditoría interna de 3 meses que revela unas quince discrepancias mayores respecto a los requisitos ETSI EN 319 411-2, la empresa inicia un programa de cumplimiento de 14 meses. Los principales proyectos afectan al reemplazo de los HSM existentes por módulos certificados FIPS 140-2 nivel 3, la redacción de una DPC de 180 páginas y la obtención de la certificación ISO 27001 previa a la auditoría CAB. La inversión total alcanza 340 000 €. A la conclusión del proceso, la inscripción en la TSL francesa permite a la empresa acceder a licitaciones de las cuales estaba sistemáticamente excluida, representando un potencial comercial estimado en un 20 % de ingresos adicionales.

Escenario 2 — Un grupo hospitalario integrando firma cualificada para actos médico-legales

Un grupo hospitalario de aproximadamente 1 200 camas desea desmaterializar sus procesos de consentimiento informado, delegación de poderes médicos y contratos de investigación clínica. Estos documentos pertenecen a la categoría de actos para los cuales la QES es requerida o fuertemente recomendada por los referentes de la HAS y el marco legal de datos de sanidad (art. L. 1110-4 CSP).

En lugar de certificar una infraestructura interna —opción juzgada demasiado costosa y fuera del core del negocio— el grupo opta por integrar un prestador tercero ya inscrito en la TSL. El departamento de TI realiza una auditoría de conformidad del proveedor sobre la base de la lista de verificación ETSI EN 319 401 y verifica la presencia efectiva en la EUTL antes de cualquier contratación. El despliegue, realizado en 4 meses, reduce en un 65 % el plazo de recopilación de firmas en expedientes de investigación clínica y elimina el riesgo de impugnación legal relacionado con el uso anterior de firmas simples para actos sensibles.

Escenario 3 — Un bufete de abogados especializado en derecho de sociedades asegurando sus actos bajo firma privada

Un bufete de abogados especializado en derecho de sociedades de una treintena de socios, que gestiona anualmente cerca de 400 operaciones de fusión-adquisición y ventas de fondos de comercio, busca fiabilizar la firma de sus actos bajo firma privada complejos. El valor unitario de las transacciones gestionadas frecuentemente supera el millón de euros, y cualquier vicio de forma puede comprometer la responsabilidad profesional del bufete.

Tras el análisis, el equipo de TI y el socio director se ponen de acuerdo sobre la exigencia contractual mínima de una QES emitida por un prestador certificado eIDAS 2 para todo acto cuyo valor supere 100 000 €. El criterio de selección del prestador integra obligatoriamente la verificación de la inscripción en la TSL nacional y la disponibilidad de un certificado de conformidad ETSI reciente (menos de 12 meses). Este marco permite al bufete reducir en más del 80 % las solicitudes de contra-pericia sobre la validez de las firmas en litigios posteriores, según los retornos observados en estructuras comparables en el sector.

Conclusión

Obtener una certificación eIDAS 2 como prestador de servicios de firma electrónica es un proceso exigente, costoso y largo —pero imprescindible para cualquier actor que desee ofrecer garantías legales máximas a sus clientes en el mercado europeo. Entre el cumplimiento de las normas ETSI, la auditoría del CAB, la instrucción por la ANSSI y el mantenimiento de la calificación en el tiempo, el proceso moviliza recursos sustanciales durante 12 a 24 meses.

Para las empresas usuarias, la buena noticia es que no es necesario construir esta infraestructura internamente: elegir un prestador SaaS ya certificado eIDAS 2 e inscrito en la lista de confianza nacional permite beneficiarse inmediatamente de la presunción legal asociada a la QES, sin asumir los costos de certificación.

Certyneo es un prestador de confianza certificado, diseñado para empresas B2B que exigen rigor jurídico y facilidad de uso. Descubre nuestros precios y comienza tu prueba gratuita hoy mismo.