eIDAS 2: a novo normativa europea explicada en 2026

Introdución: por que eIDAS 2 cambia todo para as empresas europeas

Entrada en vigor o 20 de maio de 2024 despois dunha longa xestación lexislativa, a normativa eIDAS 2 — oficialmente denominada Regulamento (UE) 2024/1183 — representa a reforma máis ambiciosa nunca emprendida no ámbito da identificación electrónica e dos servizos de confianza en Europa. Derroga e substitúe parcialmente a normativa eIDAS inicial de 2014 (nº910/2014), mentres mantén a compatibilidade ascendente coa infraestrutura existente. Para as empresas que utilizan a firma electrónica conforme eIDAS, esta refunda introduce novas obrigacións, oportunidades inéditas e un calendario de conformidade tenso até 2026 e máis alá. Este artigo descifra en profundidade as disposicións clave do texto, as súas implicacións operacionais e a forma en que a túa organización pode prepararse.

---

O que a normativa eIDAS 2 modifica fundamentalmente

Da normativa de 2014 á versión 2024: unha refunda estrutural

A normativa eIDAS orixinal de 2014 sentara as bases do recoñecemento mutuo dos esquemas de identificación electrónica entre Estados membros e establecera un marco xurídico unificado para os servizos de confianza (firma, sello, marca de tempo, etc.). Pero dez anos máis tarde, as limitacións eran claras: baixa taxa de adopción dos eID notificados, fragmentación das solucións nacionais, ausencia dunha cartera dixital universal para os cidadáns, e sobre todo inadaptación aos usos da web (GAFAM excluídos do marco de confianza).

eIDAS 2 corrixe estas lagoas en tres eixes maiores:

1. A cartera europea de identidade dixital (Cartera EUDI) — cada Estado membro debe ofrecer, como máximo en novembro de 2026, unha aplicación de cartera dixital que permita a todo cidadán ou residente europeo almacenar e presentar os seus atributos de identidade (documento de identidade, permiso de conducir, diplomas, etc.) de forma segura.
2. A ampliación dos servizos de confianza cualificados — o texto engade novos servizos cualificados: xestión de arquivo electrónico cualificado (QESAP), informes de atributos de identidade cualificados (QEAA), libros de contas electrónicos cualificados (QLED) e xestión de dispositivos de creación de firma remota (QRCD).
3. A obriga para as grandes plataformas — os fornecedores de servizos en liña de gran tamaño (redes sociais, mercados electrónicos) deberán aceptar a cartera EUDI para a autenticación dos usuarios.

A cartera EUDI Wallet: arquitectura e funcionamento

A Cartera EUDI está no corazón de eIDAS 2. Concretamente, trátase dunha aplicación de software — entregada ou certificada por cada Estado membro — que se apoia nun modelo descentralizado de presentación selectiva de atributos. O usuario transmite só os datos estritamente necesarios para a transacción (principio de minimización, conforme ao RGPD).

Desde o punto de vista técnico, a arquitectura se apoia nas especificacións do Marco de Referencia de Arquitectura (ARF), publicado pola Comisión Europea e actualizado regularmente polo Large Scale Pilot (LSP) que agrupa catro consorcios piloto (DC4EU, EWC, POTENTIAL, NOBID). Os formatos de datos retidos son principalmente ISO/IEC 18013-5 (mDL/mDocs) e W3C Verifiable Credentials, garantindo a interoperabilidade transfronteiriza.

Para as empresas, isto significa que poderán, eventualmente, verificar a identidade dos seus clientes ou socios a través da cartera sen xestionar elas mesmas a recollida de documentos xustificativos — reducindo así considerablemente as fricións KYC (Coñece ao túo Cliente) e os riscos de fraude documental.

---

Os niveis de garantía e a xerarquía das firmas: o que cambia

Mantemento da xerarquía QES / AdES / SES

O réxime das firmas electrónicas permanece estruturado ao redor de tres niveis definidos no artigo 3 de eIDAS 2 (retomando a terminoloxía de 2014 pero precisando as exixencias técnicas):

• Firma electrónica simple (SES): valor probatorio mínimo, adaptado aos actos correntes.
• Firma electrónica avanzada (AdES): ligazón exclusiva ao asinante, posibilidade de detectar calquera modificación posterior.
• Firma electrónica cualificada (QES): equivalente legal da firma manuscrita en toda a UE (artigo 25§2), emitida a través dun dispositivo cualificado de creación de firma (QSCD) baseándose nun certificado cualificado.

A novidade reside na forma en que a QES pode agora entregarse a través de servizos de firma remota cualificados (QRCD), cuxas condicións de acreditación se precisan nos artigos 29a e 29b do texto revisado. Isto abre a porta a fluxos 100% dixitais para os actos máis esixentes — contratos notariais, actos auténticos electrónicos — sen necesidade de tarxeta física de circuíto integrado.

O impacto nos fornecedores de servizos de confianza cualificados (QTSP)

Os fornecedores como Certyneo, que operan baseándose en QTSP certificados, deben anticipar as novas exixencias de auditoría introducidas por eIDAS 2. O artigo 24 impón agora controis reforzados sobre a cadea de subcontratación, e as exixencias de notificación dos incidentes de seguridade se aliñan explicitamente coas da directiva NIS2 (prazo de 24 h para a notificación inicial). Para profundizar no funcionamento dos diferentes niveis de firma nun contexto B2B, consulta a nosa guía completa sobre firma electrónica na empresa.

---

Calendario de despregamento e obrigacións para as empresas en 2025-2026

Os pasos clave do despregamento

A normativa (UE) 2024/1183 foi publicada no Xornal Oficial da UE o 30 de abril de 2024 e entrou en vigor o 20 de maio de 2024. Os actos de execución e delegados — esenciais para precisar as exixencias técnicas — se publican progresivamente:

| Fecha límite | Obriga | |---|---| | Maio 2024 | Entrada en vigor da normativa | | Fin de 2024 | Publicación dos actos de execución sobre ARF v2.0 | | Media de 2025 | Certificación dos primeiros Cartera EUDI piloto | | Novembro 2026 | Dispoñibilidade obrigatoria dunha Cartera EUDI en cada Estado membro | | 2027 | Aceptación obrigatoria polas grandes plataformas en liña |

O que as empresas B2B deben facer xa agora

Para as empresas usuarias de solucións de firma electrónica, tres prioridades se imponen en 2025-2026:

1. Auditar a súa cadea de confianza: verificar que o seu fornecedor de firma figura realmente na lista de QTSP (Lista de Confianza) do seu Estado membro, e que os certificados utilizados son conforme ás novas especificacións ETSI EN 319 401 e EN 319 411-1 revisadas.

2. Anticipar a integración da Cartera EUDI: as empresas que operan en sectores regulados (banca, seguros, saúde, inmobiliario) estarán entre as primeiras concernidas polos fluxos de verificación de identidade a través de cartera. Preparar as API de integración xa en 2025 é recomendado.

3. Revisar as súas políticas de conservación: o novo servizo cualificado de arquivo electrónico (QESAP) introduce estándares de preservación a longo prazo que poden impoñerse nalgúns sectores (mercados públicos, sector farmacéutico). A nosa calculadora de ROI para a firma electrónica permíteche avaliar o impacto financeiro dunha actualización da túa infraestrutura documental.

---

Interoperabilidade, RGPD e desafíos de soberanía dixital

eIDAS 2 e RGPD: complementariedade reforzada

Un dos avances maiores de eIDAS 2 é a integración explícita dos principios de protección de datos desde o deseño (privacy by design) na arquitectura da Cartera EUDI. O artigo 5a§14 establece que a cartera non permite aos fornecedores seguir o comportamento do usuario durante as transaccións. Os emisores de atributos de identidade cualificados (QEAA) non son informados do uso que se fai das declaracións entregadas — o que constitúe unha ruptura maior cos modelos centralizados actuais.

Esta arquitectura se cualifica como unlinkability (non-correlacionabilidade): dúas transaccións distintas realizadas polo mesmo usuario non pueden ser vinculadas sen o seu consentimento. Esta garantía supera as exixencias mínimas do RGPD mentres se articula perfectamente con el.

A dimensión xeopolítica: recuperar o control sobre a identidade en liña

eIDAS 2 responde tamén a un desafío de soberanía. Hoxe, a autenticación en liña se apoia masivamente nos botóns « Conectarse con Google/Facebook/Apple », o que confiere aos xigantes tecnolóxicos estadounidenses unha posición dominante na xestión das identidades dixitais europeas. Ao impoñer ás moi grandes plataformas (no sentido da Lei de Servizos Dixitais) aceptar a Cartera EUDI como medio de autenticación, eIDAS 2 crea unha alternativa interoperable e soberana.

Para as empresas B2B, isto significa tamén que a conformidade eIDAS 2 pode converterse nun criterio de selección de fornecedor nos procesos de licitación públicos e privados — á imaxe do que representa hoxe a certificación ISO 27001 nos procesos de compra. Se a túa organización contempla facer evolucionar a súa solución actual, a nosa guía de migración desde DocuSign ou YouSign cara a Certyneo detalla os pasos dunha transición controlada.

Marco legal aplicable a eIDAS 2 e á firma electrónica

Textos de referencia

Regulamento (UE) 2024/1183 do Parlamento Europeo e do Consello do 11 de abril de 2024, que modifica o regulamento (UE) nº910/2014 respecto ao establecemento do marco europeo relativo a unha identidade dixital (eIDAS 2). Publicado no DOUE o 30 de abril de 2024, entrado en vigor o 20 de maio de 2024.

Regulamento (UE) nº910/2014 (eIDAS 1): mantido en vigor para as súas disposicións non modificadas, nomeadamente os artigos relativos aos niveis de garantía « débil », « substancial » e « elevado » para os esquemas de identificación notificados.

Código civil francés, artigos 1366 e 1367: o escrito electrónico ten a mesma forza probatoria que o escrito de papel sempre que a persoa de cuxo o proceda sexa debidamente identificada e o documento sexa establecido en condicións que garantan a súa integridade. A firma electrónica cualificada (QES) no sentido de eIDAS 2 satisfai plenamente estas exixencias.

Regulamento (UE) 2016/679 (RGPD): o tratamento dos datos de identidade no marco da Cartera EUDI está suxeito aos principios de minimización (art. 5§1c), de limitación da finalidade (art. 5§1b) e de protección de datos desde o deseño (art. 25). Os fornecedores cualificados exercen a condición de responsables de tratamento distintos para as operacións de verificación.

Directiva (UE) 2022/2555 (NIS2): transposta ao dereito francés pola ordenanza nº2024-528 do 12 de xuño de 2024, impón aos fornecedores de servizos de confianza cualificados obrigacións de xestión dos riscos ciberneticos e de notificación dos incidentes nun prazo de 24 horas.

Normas ETSI:

• EN 319 132 (XAdES) e EN 319 122 (CAdES): formatos avanzados de firma electrónica.
• EN 319 401: exixencias xerais para os fornecedores de servizos de confianza.
• EN 319 411-1 e 411-2: política e exixencias de seguridade para as CA que emiten certificados cualificados.
• EN 319 521: exixencias para os servizos cualificados de preservación de firmas (QESAP).

Obrigacións e riscos xurídicos para as empresas

Toda empresa que utiliza firmas electrónicas nun contexto contractual debe asegurarse que o nivel de firma escolido é adaptado ao valor e á natureza do acto. Para os actos suxeitos a unha exixencia legal de firma (promesas de venda, contratos de traballo, bons de encarga que superan certos limiares), só a QES ou a AdES baseada nun certificado cualificado aporta a presunción de fiabilidade visada no artigo 26 de eIDAS 2.

En caso de litigio, a carga da proba se inverte: se a firma é cualificada, é á parte que contesta o documento a que corresponde probar a súa alteración; se é simple ou avanzada sen certificado cualificado, a carga da proba repousa no asinante que a invoca. O incumprimento das exixencias de trazabilidade e integridade pode xerar a nulidade do acto ou a inopositibilidade da firma a un terceiro.

Escenarios de uso: eIDAS 2 aplicado ás empresas B2B

Escenario 1 — Un gabinete de consultoría en transformación dixital (aproximadamente 80 consultores)

Unha estrutura de consultoría despregando os seus colaboradores entre clientes en varios Estados membros (Francia, Alemaña, Países Baixos) debe facer sinar cada mes ordes de misión, avenencias contractuais e actas de recepción. Antes de eIDAS 2, a xestión das identidades transfronteirizas xeraba fricións: rexeitamento de certos clientes alemáns de recoñecer certificados emitidos por un QTSP francés, dobre autenticación por correo insuficiente para os actos sensibles.

Co despregamento da Cartera EUDI en 2026, os consultores poderán sinar desde a súa cartera nacional — recoñecida plenamente en todos os Estados membros — sen ningunha fricción. O gabinete estima unha redución do 60 ao 70% do tempo dedicado aos intercambios de verificación documental previa á firma, é dicir aproximadamente 3 a 4 horas economizadas por consultor e por mes segundo os benchmarks sectoriais publicados por McKinsey Digital (2024).

Escenario 2 — Unha PEME industrial xestionando 350 contratos de fornecedores por ano

Unha PEME do sector de equipos industriais, traballando con aproximadamente cen fornecedores europeos e asiáticos, debe contractualizar encargos, acordos de confidencialidade (NDA) e contratos marco. Até agora, o 30% destes documentos volvía sen firma válida ou con prazos superiores a 10 días útiles.

Adoptando unha solución de firma electrónica conforme eIDAS 2 con verificación de identidade a través de atributos cualificados (QEAA), a PEME pode impoñer un fluxo de firma onde a identidade do representante legal do fornecedor se verifica automaticamente a través da cartera EUDI, sen entrada manual. Resultado agardado: redución do prazo medio de firma de 10 días a menos de 48 horas, e diminución do 40% dos litixios relacionados con firmas non conformes, baseándose en franxas observadas nos informes ELENIUS 2025 sobre desmaterialización B2B.

Escenario 3 — Un conxunto inmobiliario xestionando compromisos de venda en varios países

Unha rede de axencias inmobiliarias operando en Francia, España e Portugal debe sinar regularmente antecedentes de contrato entre vendedores e compradores de nacionalidades diferentes. A QES é requirida nalgúns contextos para garantir a equivalencia coa firma manuscrita ante notario.

Grazas a eIDAS 2 e á interoperabilidade das carteras EUDI, un comprador portugués pode sinar un compromiso suxeito ao dereito francés utilizando a súa cartera nacional, cun nivel de garantía « elevado » recoñecido automaticamente pola plataforma de firma. O conxunto reduce as súas taxas de desprazamento e legalización de aproximadamente 800 a 1 200 euros por expediente transfronterizo, mentres diminúe o prazo de conclusión dos antecedentes de contrato de 3 semanas a 5 días de media. Para os usos específicos do sector, a nosa páxina dedicada á firma electrónica en inmobiliario detalla os fluxos de traballo adaptados.

Conclusión

eIDAS 2 non é simplemente unha actualización regulatoria: é unha refunda profunda da forma en que a identidade dixital e a confianza electrónica funcionan en Europa. A Cartera EUDI Wallet, os novos servizos cualificados, a obriga de interoperabilidade e a aliñación con NIS2 e RGPD forman un ecosistema coherente que vai transformar os procesos contractuais e de autenticación das empresas de aquí a fin de 2026.

Para permanecer conformes e competitivas, as organizacións B2B deben actuar xa agora: auditar a súa cadea de confianza, elixir un fornecedor aliñado coas novas exixencias e preparar os seus fluxos documentais para a integración da cartera dixital europea.

Certyneo te acompaña nesta transición con solucións de firma electrónica cualificada conformes con eIDAS 2, preparadas para 2026. Solicita unha demostración ou crea a túa conta en Certyneo para asegurar os teus contratos xa hoxe.