eIDAS 2 vs eIDAS 1: cambios clave para as PEME

Introdución: por que eIDAS 2 cambia as regras do xogo para as PEME

Desde o 20 de maio de 2024, o regulamento (UE) 2024/1183 — comunmente chamado eIDAS 2 — entrou en vigor, derrogando e substituíndo progresivamente o regulamento (UE) nº 910/2014 (eIDAS 1). Para as PEME francesas, este cambio non é unha simple actualización administrativa: redefiniu os niveis de confianza dixital, introduce unha cartera de identidade europea (EUDIW), reforza as exixencias aplicables aos prestadores de servizos de confianza e ampla o campo dos servizos recoñecidos. Este artigo compara punto por punto eIDAS 1 e eIDAS 2, identifica os impactos operacionais concretos para as pequenas e medianas empresas, e lle dá un plan de acción para manter a conformidade en 2026.

---

1. Recordatorio: o que establecía eIDAS 1 (2014-2024)

1.1 Os fundamentos do regulamento inicial

Adoptado en xullo de 2014 e aplicable desde setembro de 2016, eIDAS 1 estableceu os primeiros alicerces dun espazo de confianza dixital europeo. Introduciu tres grandes categorías de sinatura electrónica — simple (SES), avanzada (AdES) e cualificada (QES) — e creou a lista de confianza dos prestadores cualificados (Trusted List), consultable no portal da Comisión Europea.

Para as PEME, a principal contribución de eIDAS 1 foi o recoñecemento transfronteirizo das sinaturas cualificadas: un contrato asinado cunha QES francesa era xurídicamente recoñecido en Alemaña, España ou Italia sen apostila nin formalidade adicional. Este principio — chamado de «non discriminación» — continuou sendo o alicerce sobre o que ofrendas SaaS como Certyneo construíron os seus servizos.

1.2 As limitacións identificadas

A pesar dos seus avances, eIDAS 1 sufría varios buecos documentados pola Comisión Europea no seu informe de avaliación de 2021:

• Fragmentación dos esquemas de identidade: só os Estados membros que notificaron o seu esquema nacional (como FranceConnect+ nivel substancial) beneficiáronse do recoñecemento mutuo. En 2023, só 14 Estados de 27 tiñan notificado un esquema conforme.
• Ausencia de soporte móbil nativo: o dispositivo cualificado de creación de sinatura (QSCD) requería frecuentemente un carné inteligente ou un token material, frenando a adopción móbil.
• Servizos de confianza limitados: eIDAS 1 enumeraba nove tipos de servizos cualificados; os novos usos (arquivo electrónico cualificado, xestión de atributos) non estaban regulados.
• Non había cartera de identidade unificada: cada cidadán ou empresa xestionaba os seus identificadores de forma illada, sen interoperabilidade garantida.

Estas limitacións levaron a Comisión a iniciar a revisión xa en 2020, resultando no regulamento eIDAS 2 despois de tres anos de trilóxo.

---

2. As cinco grandes novidades de eIDAS 2 para as PEME

2.1 A cartera de identidade dixital europea (EU Digital Identity Wallet — EUDIW)

Esta é a novidade máis visible do regulamento. Antes do mes de novembro de 2026 (prazo de transposición fixado no artigo 5a), cada Estado membro deberá ofrecer polo menos unha cartera de identidade dixital certificada aos seus cidadáns e residentes. Para as PEME, esta evolución ten dúas consecuencias directas:

1. Autenticación dos clientes e socios simplificada: a cartera permitirá compartir atributos verificados (idade, número de IVA intracomunitario, extracto do rexistro mercantil, datos bancarios certificados) sen fricción. Un acordo marco con un socio alemán poderá ser asinado despois de verificación instantánea dos seus atributos profesionais desde o seu EUDIW.
2. Obrigación de aceptación para certos sectores: os servizos en liña das grandes plataformas (artigo 45bis) e certos servizos públicos deberán aceptar o EUDIW como medio de autenticación. As PEME que fornecen portais B2B deberán adaptar as súas API de autenticación.

2.2 Extensión da lista dos servizos de confianza cualificados

eIDAS 2 estende o catálogo dos servizos de confianza cualificados de 9 a 14 categorías. As novas entradas que afectan directamente as PEME son:

• O arquivo electrónico cualificado (art. 45septies): conservación a longo prazo con valor probatorio reforzado. Ata agora, o arquivo con valor probatorio apoiábase en referentes nacionais (en Francia, o referente SIAF/ANSSI); eIDAS 2 harmoniza o marco europeo.
• A xestión a distancia de dispositivos cualificados de creación de sinatura (RQSCD): agora explicitamente regulada, levanta as ambigüidades que pesaban sobre as solucións en nube de sinatura cualificada. Para unha PEME de 50 salariados, isto significa acceder a unha sinatura cualificada sen token físico, desde calquera dispositivo.
• O servizo de rexistro electrónico cualificado: os registros baseados en blockchain ou tecnoloxías de gran libro distribuído poderán agora obter o status cualificado, abrindo a porta a novos modelos de xestión contractual.

Para profundar nos niveis de sinatura e o seu valor legal, consulte o noso guía completa da sinatura electrónica.

2.3 Reforzamento das exixencias de seguridade para os prestadores cualificados (QTSP)

eIDAS 2 endurece as obrigacións dos prestadores de servizos de confianza cualificados (QTSP). O artigo 24 revisado impón nomeadamente:

• Unha certificación de ciberseguridade conforme ao marco europeo (EU Cybersecurity Act, regulamento 2019/881), con esquemas sectoriais en desenvolvemento pola ENISA.
• Exixencias reforzadas en materia de resiliencia operacional: os QTSP agora deben documentar o seu plan de continuidade de negocio e sometelo ao seu organismo de supervisión nacional (en Francia, o ANSSI para os prestadores cualificados).
• Unha obrigación de notificación dos incidentes de seguridade en 24 horas (aliñación con NIS 2).

Para as PEME usuarias, isto se traduce nunha obrigación de diligencia aumentada na elección do prestador: verificar que a súa solución de sinatura aparece ben na Trusted List europea actualizada é agora un paso crítico do seu proceso de compra. O noso comparativo das solucións de sinatura electrónica pode axudarvos nesta análise.

2.4 Interoperabilidade obrigatoria dos esquemas de identidade

Alí onde eIDAS 1 deixaba aos Estados membros a liberdade de notificar (ou non) o seu esquema, eIDAS 2 fai a notificación e interoperabilidade obrigatorias para os esquemas de identidade utilizados nos servizos públicos en liña (art. 5). Francia Identité — o esquema nacional levado polo ministerio do Interior — está en curso de adecuación ás especificacións técnicas da EUDIW, publicadas pola Comisión no regulamento de execución (UE) 2024/2977.

Para unha PEME que interactúa regularmente con administracións públicas (mercados públicos, telendeclaracións fiscais, procedementos aduaneiros), esta evolución significa que os trámites en liña serán progresivamente unificados arredor dun identificador dixital único e recoñecido en toda a UE.

2.5 Novas regras de responsabilidade e supervisión

eIDAS 2 precisa e estende os regímenes de responsabilidade dos prestadores (art. 13 revisado). Un QTSP é agora presumiblemente responsable de todo dano causado a unha persoa física ou xurídica polo incumprimento das súas obrigacións, agás que proben a ausencia de culpa. Esta presunción de responsabilidade, reforzada respecto a eIDAS 1, debe incitar as PEME a:

• Formalizar por contrato os compromisos do seu prestador (SLA, garantías de dispoñibilidade, indemnización).
• Verificar a cobertura de seguro de responsabilidade civil profesional do QTSP.
• Conservar as probas de auditoría das transaccións asinadas (diarios de data e hora, informes de verificación de sinatura).

Os nosos equipos redactaron unha guía detallada sobre a sinatura electrónica na empresa que aborda estes aspectos contractuais.

---

3. Táboa comparativa eIDAS 1 vs eIDAS 2: o que cambia concretamente

3.1 Síntese das evolucións principais

| Criterio | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Cartera de identidade | Ausente | EUDIW obrigatoria (Estados membros) | | Servizos cualificados | 9 categorías | 14 categorías (arquivo, RQSCD, rexistros…) | | Notificación de esquemas | Facultativa | Obrigatoria para servizos públicos | | Seguridade QTSP | Criterios Common Criteria | Cybersecurity Act + esquemas ENISA | | Responsabilidade QTSP | Parcial | Presunción de responsabilidade reforzada | | Prazo de notificación de incidente | Non especificado | 24 horas (aliñación NIS 2) | | QSCD móbil | Ambigüidade xurídica | RQSCD explicitamente regulado |

3.2 Os prazos clave a recordar para 2026

• Maio de 2024: entrada en vigor do regulamento (UE) 2024/1183.
• Novembro de 2026: data límite para que cada Estado membro ofreza polo menos unha solución EUDIW certificada.
• 2027: obrigación para as grandes plataformas (art. 45bis) de aceptar o EUDIW como medio de autenticación.
• 2028: revisión prevista dos actos de execución técnicos (regulamentos delegados sobre especificacións EUDIW).

Se a súa PEME contempla migrar a unha solución máis conforme, a nosa oferta de migración a Certyneo inclúe unha auditoría de conformidade eIDAS 2 gratuíta.

---

4. Plan de acción práctico para poñer a súa PEME en conformidade con eIDAS 2

4.1 Auditar os seus fluxos documentarios existentes

Comece a cartografiar todos os procesos nos que usa actualmente a sinatura electrónica ou a identidade dixital: contatos con provedores, xustificantes de soldo desmaterializados, mandatos SEPA, acordos de confidencialidade, actos de RH. Para cada fluxo, identifique:

• O nivel de sinatura utilizado (SES, AdES, QES).
• O prestador actual e o seu estado na Trusted List.
• O nivel de risco xurídico en caso de contestación.

Esta auditoría é o punto de partida recomendado polo ANSSI na súa guía de adecuación publicada en marzo de 2025.

4.2 Actualizar a súa solución de sinatura

Se o seu prestador actual non aparece na Trusted List eIDAS 2 ou aínda non ofrece o RQSCD, é hora de comparar as ofertas do mercado. Certyneo é un QTSP certificado que soporta os tres niveis de sinatura (SES, AdES, QES) e integra nativamente as novas exixencias eIDAS 2, nomeadamente o arquivo cualificado e a xestión distante de dispositivos.

4.3 Formar os seus equipos e actualizar os seus contratos

eIDAS 2 reforza o valor probatorio das sinaturas cualificadas pero tamén impón boas prácticas documentarias. Asegúrese de que os seus equipos xurídicos e administrativos:

• Saban distinguir os tres niveis de sinatura e o seu valor legal respectivo.
• Integren nos contratos con provedores unha cláusula de auditoría de conformidade eIDAS.
• Conserven as probas de verificación de sinatura (informe de validación, data e hora cualificada) durante o prazo de conservación legal aplicable (3 a 10 anos segundo a natureza do acto).

Para estruturar este enfoque, o noso calculador ROI de sinatura electrónica permitiralle cuantificar os ganhos operacionais relacionados coa actualización.

Marco legal aplicable

Textos de referencia

A adecuación a eIDAS 2 para unha PEME francesa inscríbese nun apilamento normativo que é esencial dominar.

Regulamento (UE) 2024/1183 do Parlamento Europeo e do Consello (chamado «eIDAS 2»): este é o texto fundador, publicado no DOUE o 30 de abril de 2024. Deroga e substitúe o regulamento (UE) nº 910/2014 segundo un calendario de despliegue progresivo estendendo até 2027. Ten aplicación directa en todos os Estados membros, sen requerer transposición lexislativa nacional para as súas disposicións principais.

Regulamento (UE) nº 910/2014 (eIDAS 1): algunhas das súas disposicións permanecen aplicables durante os períodos transitorios previstos por eIDAS 2, nomeadamente para os prestadores cualificados que obtiveron a súa cualificación antes de maio de 2024 e dispoñen dun prazo para recertificarse.

Código Civil francés, artigos 1366 e 1367: o artigo 1366 establece o principio de equivalencia entre o escrito electrónico e o escrito papel, baixo a condición de que «a persoa de quen procede poida ser debidamente identificada e que se estableza e conserve en condicións que garantan a súa integridade». O artigo 1367 recoñece a sinatura electrónica como modo de proba, remitindo ás condicións fixadas por decreto en Consello de Estado (decreto nº 2017-1416 do 28 de setembro de 2017, codificado nos artigos R. 1369-1 a R. 1369-10 do Código Civil).

Regulamento (UE) 2016/679 (RGPD): o despliegue da EUDIW e o tratamento dos atributos de identidade nos fluxos de sinatura electrónica constitúen tratamentos de datos personais ao senso do RGPD. As PEME deben asegurarse de que o seu QTSP actúa en calidade de encargado do tratamento ao senso do artigo 28 RGPD, cun DPA (Data Processing Agreement) conforme. A CNIL publicou en xaneiro de 2026 unha recomendación específica sobre a integración EUDIW-RGPD.

Directiva (UE) 2022/2555 (NIS 2): eIDAS 2 se aliña explicitamente con NIS 2 para as obrigacións de notificación de incidentes (art. 24, §2 eIDAS 2 remitindo ás disposicións NIS 2). Os QTSP considéranse como entidades «esenciais» ou «importantes» ao senso de NIS 2 segundo o seu tamaño, e suxeitos como tales a auditorías de seguridade periódicas.

Normas ETSI: as sinaturas electrónicas cualificadas deben respectar as normas ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) e ETSI EN 319 102-1 (procedemento de validación). A norma ETSI TS 119 461 regula a verificación a distancia de identidade (IDV), particularmente pertinente para o RQSCD.

Riscos xurídicos en caso de non conformidade

Usar unha solución de sinatura electrónica non conforme a eIDAS 2 expón a PEME a varios riscos:

• Inadmisibilidade en xustiza: un xuíz pode descartar unha sinatura electrónica cuxo nivel non se corresponda co acto asinado (ex: sinatura simple para un acto que require un nivel avanzado ou cualificado).
• Responsabilidade contractual: se un contrato é contestado por un socio polo motivo da nulidade da sinatura, a PEME pode estar exposta a demandas de indemnización.
• Sancións RGPD: en caso de violación de datos relacionada cun defecto de seguridade do prestador, a PEME, corresponsable ou responsable do tratamento, pode ser sancionada pola CNIL ata o 4% da facturación mundial anual (art. 83 §4 RGPD).

Escenarios de uso concretos

Escenario 1: unha PEME industrial de 80 salariados xestionando 400 contratos con provedores ao ano

Unha PEME do sector da metalurxia que xestiona aproximadamente 400 contratos con provedores anuais utilizaba ata 2024 unha solución de sinatura electrónica simple (SES) para o conxunto dos seus compromisos, incluíndo contratos cadro superiores a 50.000 €. Despois dun auditoría de conformidade eIDAS 2, constatou que o 35% dos seus contratos requería unha sinatura avanzada ou cualificada para resistir a una contestación xudicial, nomeadamente con provedores establecidos noutros Estados membros da UE.

Migrando cara a unha solución que combina sinatura avanzada (AdES) para os contratos correntes e cualificada (QES) para os contratos cadro, e activando o arquivo electrónico cualificado (novo servizo eIDAS 2), esta PEME reduceu nun 70% o tempo dedicado á xestión documental post-sinatura (clasificación, busca, envío de copias certificadas) e levou a cero os litixios relacionados coa contestación de sinatura nos 18 meses seguintes, contra dous incidentes os 18 meses anteriores.

Escenario 2: un despacho de asesoría xurídica de 15 colaboradores

Un despacho especializado en dereito mercantil, emitindo en media 1.200 actos asinados ao ano (cartas de encargo, mandatos, acordos de confidencialidade), enfrontábase a unha demanda crecente dos seus clientes corporativos de sinaturas cualificadas recoñecibles en toda a UE. Baixo eIDAS 1, a obtención dun certificado cualificado requería un procedemento presencial ou una verificación por vídeo longa (45 a 90 minutos por usuario).

Grazas ao RQSCD (Remote Qualified Signature Creation Device) regulado por eIDAS 2, o despacho puido desplegar a sinatura cualificada para o conxunto dos seus colaboradores en menos de dúas semanas, mediante un procedemento de inscrición 100% distante conforme á norma ETSI TS 119 461. A taxa de adopción interna pasou do 40% ao 95% en tres meses, e o prazo medio de devolución dos actos asinados foi reducido de 4,2 días a menos de 6 horas segundo as medicións internas do despacho.

Escenario 3: unha PEME de comercio electrónico operando en tres países da UE

Unha empresa de venda en liña empregando 35 persoas e operando en Francia, Bélxica e Holanda debía xestionar tres tipos de acordos electrónicos: contratos de emprego para os seus salariados locais, acordos de asociación con transportistas, e mandatos SEPA para os seus clientes profesionais. A fragmentación das exixencias nacionais baixo eIDAS 1 oblígaboa a manter tres fluxos de sinatura distintos, cun custo de xestión estimado en aproximadamente 12.000 € ao ano.

A adopción dunha solución única conforme a eIDAS 2 — integrando o recoñecemento mutuo das sinaturas cualificadas nos tres países — permitiu unificar os fluxos, reducir o custo de xestión a aproximadamente 4.500 € ao ano (aforro do 62%) e eliminar os prazos relacionados coa validación manual das sinaturas estranxeiras polo servizo xurídico.

Conclusión

eIDAS 2 non é unha simple revisión cosmética do marco regulador: redefiniu profundamente as regras do xogo da confianza dixital en Europa. Para as PEME francesas, as cinco evolucións principales — cartera EUDIW, extensión dos servizos cualificados, RQSCD, interoperabilidade obrigatoria e responsabilidade reforzada — representan tanto unha constrainza de adecuación como unha oportunidade de acelerar a súa transformación documental.

As PEME que anticipan dende hoxe estes cambios beneficiáranse dun axuste competitivo real: contratos recoñecidos en toda a UE sen fricción, arquivo con valor probatorio integrado, e procesos de sinatura completamente desmaterializados e seguros.

Certyneo está deseñado para acompañar esta transición. Comeza a túa proba gratuíta en certyneo.com e benefíciate dun auditoría de conformidade eIDAS 2 gratuíta para os teus fluxos documentarios existentes.