Transición eIDAS 1 a 2: impactos na sinatura en 2025

O 20 de maio de 2024, o regulamento (UE) 2024/1183 — comunmente chamado eIDAS 2 — foi publicado no Diario Oficial da Unión Europea, abrogando progresivamente o regulamento nº910/2014 (eIDAS 1). Este texto representa a reforma máis estruturante da identidade dixital e da sinatura electrónica en Europa desde 2016. Para as empresas galegas que utilizan solucións de sinatura electrónica nos seus workflows contractuais, a transición non é unha formalidade: implica axustes técnicos, xurídicos e organizativos cuxo horizonte se estende ata 2026 e máis alá. Comprender o paso eIDAS 1 a eIDAS 2 e o seu impacto na sinatura electrónica en 2025 convertouse nunha prioridade para os departamentos xurídicos, TI e RH. Este artigo descifra as evolucións fundamentais do marco, o calendario preciso da transición e as medidas concretas a tomar para manter a conformidade.

O que o regulamento eIDAS 2 modifica fundamentalmente

Do regulamento de 2014 á renovación de 2024: por que era necesaria unha revisión

EIDAS 1 establecera os fundamentos do recoñecemento mutuo das sinaturas electrónicas dentro da Unión. Tres niveis xerárquicos — simple (SES), avanzada (AdES) e cualificada (QES) — estruturaban o valor probatorio das sinaturas, baseados nunha lista de prestatarios de confianza (TSL). Pero en dez anos, dúas lagoas maiores apareceron.

En primeiro lugar, o regulamento orixinal aplicábase esencialmente ás relacións coas administracións públicas (G2B, G2C). Non creaba obrigacións directas nas transaccións privadas (B2B, B2C), deixando un baleiro normativo que cada Estado membro cubría de forma heteroxénea. En segundo lugar, o aumento da potencia dos servizos dixitais — aplicacións móbiles, banca aberta, telemedicina — revelara a ausencia dun sistema de identidade dixital portátil e interoperable a nivel continental.

EIDAS 2 responde a estes dous desafíos introducindo o carteira europeia de identidade dixital (EU Digital Identity Wallet, EUDIW) e ampliando o perímetro dos servizos de confianza a novos casos de uso: arquivamento electrónico cualificado, atestacións de atributos cualificados, rexistros electrónicos cualificados (incluíndo aplicacións blockchain certificadas).

As novas categorías de servizos de confianza cualificados

O regulamento eIDAS 2 estende a lista dos servizos de confianza cualificados (artigo 3 e anexo IV revisado). Alén das sinaturas, selos e marcas de tempo cualificadas xa recoñecidas por eIDAS 1, son agora cualificados:

• Os servizos de arquivamento electrónico cualificado (art. 34 bis): obrigación de preservar a integridade e a lexibilidade dos documentos asinados a longo prazo, con exigencias reforzadas para os prestatarios (QTSP).
• Os servizos de xestión de dispositivos de creación de sinatura a distancia cualificados (QRCD): marco reforzado das solucións de sinatura a distancia a través de HSM (Hardware Security Module) nube.
• As atestacións de atributos cualificados: mecanismo que permite a un terceiro de confianza certificar atributos dunha entidade (ex. cualidade de avogado, estatus de médico) sen revelar o conxunto da identidade.
• Os rexistros electrónicos cualificados: recoñecemento de rexistros distribuídos baixo condicións estritas de auditoría e resiliencia.

Para os usuarios de solucións de sinatura electrónica, esta extensión significa que os servizos de confianza cualificados dispoñibles no mercado van diversificarse, e que os criterios de selección dun prestatario (QTSP) deben integrar estas novas capacidades.

O EUDIW: a carteira de identidade dixital como infraestrutura da sinatura

A innovación máis visible de eIDAS 2 segue sendo o EUDIW. Cada Estado membro deberá poñer á disposición dos seus cidadáns e residentes unha carteira de identidade dixital gratuíta, interoperable con todos os demais Estados membros, antes do 26 de novembro de 2026 (prazo de conformidade nacional segundo o artigo 5 bis). Esta carteira permitirá:

• autenticar o usuario cun nivel de aseguramento elevado (LoA High) sen recorrer a un prestatario terceiro de identificación;
• asinar electronicamente documentos cun valor cualificado (QES) directamente desde a carteira;
• compartir atributos de identidade selectivos (selective disclosure), respectando así o principio de minimización de datos do RGPD.

Para as empresas, o EUDIW simplifica teoricamente os procedementos de verificación de identidade previa á sinatura cualificada, eliminando a fricción da videoidentificación ou da identificación presencial. Na práctica, o impacto dependerá do ritmo de despliegue nacional — Galicia lanzou en 2025 unha experimentación piloto no marco do programa « Galicia Identidade ».

Calendario preciso da transición eIDAS 1 a eIDAS 2

Os fitos regulatorios a coñecer

O regulamento 2024/1183 entrou en vigor o 20 de maio de 2024, pero a súa aplicación é progresiva. Aquí están as datas clave:

| Data | Evento | |------|----------| | 20 de maio de 2024 | Publicación no DOUE, entrada en vigor formal | | 20 de novembro de 2024 | Prazo de 6 meses para a adopción dos actos de execución pola Comisión (especificacións técnicas do EUDIW) | | Fin de 2025 | Publicación das normas ETSI revisadas (EN 319 411-1/2, EN 319 401) integrando as exigencias eIDAS 2 | | 26 de maio de 2026 | Data límite para a conformidade dos Estados membros nas novas categorías de servizos cualificados | | 26 de novembro de 2026 | Posta a disposición obrigatoria do EUDIW por cada Estado membro | | 2027-2028 | Revisión completa das listas de confianza nacionais (TSL) e acreditación dos novos QTSP |

EIDAS 1 segue sendo válido e as sinaturas emitidas baixo o seu réxime conservan o seu valor xurídico completo. Non hai ningunha obrigación de resinar os documentos existentes. En cambio, os prestatarios de confianza cualificados deberán renovar a súa acreditación segundo as novas normas técnicas antes de 2027.

O que non cambia e o que hai que vixiar

A continuidade é un principio cardial da transición. Os tres niveis de sinatura (SES, AdES, QES) manténense coas súas definicións sen cambios. A presunción de equivalencia con unha sinatura manuscrita anexa á QES (artigo 25 eIDAS 1, reproducido no artigo 27 eIDAS 2) segue vixente. O valor probatorio das túas sinaturas electrónicas actuais non se cuestiona.

O que hai que vixiar en cambio: os actos de execución (implementing acts) publicados pola Comisión europea ao longo de 2025-2026 establecerán as especificacións técnicas precisas do EUDIW e das novas categorías de servizos. Estes textos de nivel 2 teñen unha importancia práctica considerable para os integradores e os editores de software. Para as empresas que utilizan a sinatura electrónica nos seus procesos RH ou xurídicos, recoméndase solicitar ao seu prestatario un plan de ruta de conformidade eIDAS 2.

Impacto concreto nas empresas e nas súas solucións de sinatura

Que workflows están afectados en prioridade?

A transición eIDAS 1 a eIDAS 2 non ten o mesmo impacto segundo o nivel de sinatura utilizado. Para as empresas, distíngguense tres situacións:

Sinatura electrónica simple (SES): utilizada para os anexos de baixo valor, confirmacións de recepción, formularios internos. Ningunha obrigación de actualización inmediata. As regras probatorias seguen reguladas polo Código Civil (art. 1366-1367) e non directamente por eIDAS.

Sinatura electrónica avanzada (AdES/AdESQC): as empresas que utilizan solucións B2B para contratos comerciais, contratos de traballo desmaterializados ou actos inmobiliarios deben verificar que o seu prestatario mantén conformidade coas normas ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) e EN 319 142 (PAdES) nas súas versións revisadas para eIDAS 2. Estas normas serán publicadas pola ETSI antes de fin de 2025.

Sinatura electrónica cualificada (QES): os prestatarios cualificados (QTSP) deberán pasar a unha nova acreditación eIDAS 2. O período transitorio outorga un prazo razoable (ata 2027), pero os procedementos de licitación lanzados a partir de 2025 deberían integrar unha cláusula de conformidade eIDAS 2 nos criterios de selección. Para as organizacións que comparan as opcións dispoñibles, o comparativo das solucións de sinatura electrónica permite avaliar a madurez dos editores neste asunto.

Novas exigencias para os prestatarios de confianza cualificados (QTSP)

EIDAS 2 endurece as exigencias aplicables aos QTSP en tres puntos maiores:

1. Seguridade dos sistemas: aliñación obrigatoria en NIS2 (directiva (UE) 2022/2555) para os QTSP, agora clasificados como entidades esenciais. Isto tradúcese en obrigacións de notificación de incidentes en 24 horas, auditorías de seguridade anuais e a implementación de plans de continuidade de actividade.

1. Responsabilidade reforzada: o artigo 13 eIDAS 2 amplía o réxime de responsabilidade dos QTSP. En caso de incumprimento probado, a carga da proba se inverte: o prestatario debe demostrar que non comete negligencia, e non o contrario.

1. Interoperabilidade obrigatoria: os QTSP deberán expor API estandarizadas compatibles co EUDIW para permitir a integración nativa das carteiras de identidade. Esta exigencia vai acelerar a modernización das interfaces de integración dispoñibles para os desenvolvedores.

Para as empresas que contemplan cambiar de prestatario neste contexto, migrar de DocuSign ou YouSign cara a unha solución conforme a eIDAS 2 é un paso que merece ser anticipado agora mesmo máis que en urxencia en 2027.

Datos personais e eIDAS 2: a articulación co RGPD

O EUDIW colecta e procesa datos de identidade con carácter persoal. O regulamento eIDAS 2 prevé explicitamente (considerando 11 e artigo 5 bis §14) que o conxunto do dispositivo debe ser conforme ao RGPD (regulamento (UE) 2016/679). Varios puntos de atención:

• Selective disclosure: a carteira debe permitir ao usuario non compartir máis que os atributos estrictamente necesarios para a transacción (principio de minimización, art. 5(1)(c) RGPD). Para unha sinatura de contrato, só a verificación de maioría podería ser compartida sen revelar a data de nacemento completa.
• Transferencias fora da UE: os datos de identidade procesados no marco do EUDIW non poden ser transferidos fora do EEE senón con garantías apropriadas (art. 46 RGPD). Os prestatarios que utilizan infraestruturas nube estadounidenses deben documentar a súa conformidade.
• Conservación dos rexistros de sinatura: o arquivamento das probas de sinatura debe respectar a duración de conservación proporcionada á natureza do documento. O novo servizo de arquivamento cualificado eIDAS 2 ofrece un marco técnico para responder a esta exigencia.

As empresas que xestionen contratos de traballo internacionais están particularmente afectadas por esta articulación RGPD/eIDAS 2, notablemente cando os asinantes residen fora da UE.

Marco xurídico aplicable á transición eIDAS 1 a eIDAS 2

Textos de referencia

A transición repousa nunha acumulación de textos que é indispensable dominar:

A nivel europeo:

• Regulamento (UE) nº910/2014 (eIDAS 1): aínda vixente ata a súa abrogación progresiva por eIDAS 2. Define os tres niveis de sinatura (SES, AdES, QES) e o réxime dos QTSP.
• Regulamento (UE) 2024/1183 (eIDAS 2): entrou en vigor o 20 de maio de 2024. Modifica substantivamente eIDAS 1 sen abrogalo inmediatamente. As disposicións relativas ao EUDIW aplícanse desde a publicación dos actos de execución.
• Regulamento (UE) 2016/679 (RGPD): aplícase integralmente ao procesamento dos datos de identidade no marco do EUDIW e dos procesos de sinatura. O artigo 5 bis §14 de eIDAS 2 recorda esta subordinación explicitamente.
• Directiva (UE) 2022/2555 (NIS2): impón obrigacións de ciberseguridade reforzadas aos QTSP, agora clasificados entidades esenciais. Transposta ao dereito galego pola ordenanza nº2024-821 do 20 de xuño de 2024 (en curso de decreto de aplicación).

A nivel galego:

• Código Civil, artigos 1366 e 1367: fundamento do valor probatorio dos escritos en forma electrónica. O artigo 1366 establece a equivalencia entre escrito electrónico e papel baixo condicións. O artigo 1367 confiere á sinatura cualificada (QES) a mesma forza probatoria que unha sinatura manuscrita.
• Decreto nº2017-1416 do 28 de setembro de 2017: precisa as condicións de utilización da sinatura electrónica nos actos baixo sengido privado. Segue siendo aplicable durante o período transitorio.
• Referencial xeral de seguridade (RGS) v2: para as administracións galegas, o RGS impón a utilización de solucións referenciadas pola ANSSI. A súa actualización para integrar eIDAS 2 é esperada ao longo de 2026.

Normas técnicas ETSI aplicables

As normas ETSI constitúen o nivel 3 da xerarquía normativa. As versións actuais aplicables:

• EN 319 132-1/2: formato XAdES (sinaturas XML avanzadas)
• EN 319 122-1/2: formato CAdES (sinaturas CMS avanzadas)
• EN 319 142-1/2: formato PAdES (sinaturas PDF avanzadas)
• EN 319 401: exigencias xerais para os prestatarios de servizos de confianza
• EN 319 411-1/2: exigencias para as AC que emiten certificados cualificados

Estas normas serán revisadas antes de fin de 2025 para integrar as novas exigencias eIDAS 2. Os contratos cos QTSP deben incluír unha cláusula de actualización cara ás versións revisadas sen sobecusto.

Riscos xurídicos da non-conformidade

Unha sinatura emitida por un prestatario que xa non estivese acreditado despois de 2027 non perdería automaticamente o seu valor xurídico para os documentos xa asinados, pero non se beneficiaría máis da presunción legal de equivalencia cun sinatura manuscrita (art. 25 eIDAS). A carga da proba da integridade e da identidade do asinante recaería entón completamente na empresa en caso de litixio. Este risco probatorio é particularmente sensible para os actos cuxo prazo de prescrición é longo (5 anos en materia comercial, 30 anos para dereitos reais inmobiliarios).

Escenarios de uso: como as organizacións anticipan a transición eIDAS 2

Escenario 1: un colexio de avogados de 25 colaboradores racionaliza a súa conformidade documental

Un colexio de avogados especializado en dereito dos negocios, con aproximadamente 25 colaboradores e unha actividade intensa de sinatura de mandatos, actos de cesión e protocolos de acordo, utilizaba ata 2024 unha solución de sinatura avanzada (AdES) para o total dos seus fluxos. No anuncio de eIDAS 2, o colexio realizou unha auditoría dos seus 1 200 documentos asinados anuais para identificar aqueles que necesitan unha QES segundo as novas recomendacións do seu colexio profesional.

Resultado: o 15 % dos actos (aproximadamente 180 por ano) foron reclasificados cara á sinatura cualificada, o que permitiu asegurar o réxime probatorio destes documentos. O colexio negociou co seu editor de sinatura unha cláusula que garante a conformidade eIDAS 2 desde a publicación dos actos de execución, sen sobecusto. O tempo administrativo ligado á verificación de identidade dos asinantes diminuíu un 40 % grazas á anticipación da integración EUDIW planificada para 2026.

Escenario 2: unha PEME industrial de 150 asalariados asegura a súa cadea contractual de provedores

Unha PEME industrial que xestiona aproximadamente 350 contratos de provedores por ano — bons de encomenda, NDAs, contratos-marco — funcionaba con dúas solucións de sinatura distintas para os seus fluxos internos e externos, creando unha fragmentación das probas de auditoría. No contexto da transición eIDAS 2 e das novas exigencias de arquivamento cualificado, a TI decidiu unificar a súa plataforma.

Ao migrar cara a unha solución única integrando o arquivamento electrónico cualificado (futura categoría eIDAS 2), a PEME reducíu os seus custos de almacenamento seguro un 30 % e consolidou as súas probas de sinatura nun cofre dixital conforme. O conxunto da cadea documental é agora auditable en menos de 2 minutos durante os controis de provedores — unha exigencia crecente dos seus doadores de orde na industria automóvil.

Escenario 3: un axrupamento hospitalario de aproximadamente 600 camas prepara a integración EUDIW

Un axrupamento hospitalario público utilizaba a sinatura electrónica cualificada para os seus contratos médicos e os seus mercados públicos, conforme ás obrigacións do código de compra pública. Con eIDAS 2, o servizo de informática identificou dúas cuestións prioritarias: a integración futura da carteira « Galicia Identidade » para os médicos libres que interveñen no establecemento, e a conformidade NIS2 do seu QTSP.

O axrupamento inscribiu no seu esquema director dixital 2025-2028 un lote específico « conformidade eIDAS 2 », cun orzamento provisional de 45 000 € para a migración técnica e a formación dos axentes. O obxetivo é estar en disposición de aceptar sinaturas vía EUDIW desde o despliegue nacional previsto para novembro de 2026, reducindo así os prazos de contractualización cos profesionais de saúde libres de 3 días a menos de 4 horas en media segundo os benchmarks sectoriais dispoñibles.

Conclusión

A transición eIDAS 1 a eIDAS 2 non é unha ruptura senón unha evolución estruturada, cun calendario preciso que se estende ata 2027. Os impactos na sinatura electrónica son reais — extensión dos servizos cualificados, chegada do EUDIW, endurencemento das exigencias NIS2 para os QTSP — pero xestionables sempre que se anticipen. As empresas que actúan agora beneficiánse dun marxe de manobra para auditar os seus workflows, asegurar os seus contratos cos seus prestatarios e formar os seus equipos sen presión de urxencia regulatoria.

Certyneo acompaña as empresas nesta transición cun plan de ruta de conformidade eIDAS 2 claro, formatos de sinatura mantidos ao día e unha arquitectura preparada para a integración EUDIW. Pronto para asegurar os teus fluxos de sinatura neste novo marco regulatorio? Descobre as nosas ofertas e comeza de balde en Certyneo.