Calendário eIDAS 2: implantação UE 2026-2027

Introdução: por que o calendário eIDAS 2 é crucial para sua organização

Desde a entrada em vigor do regulamento (UE) 2024/1183 — comumente chamado eIDAS 2 — o marco europeu de identidade digital e assinatura eletrônica está vivenciando sua transformação mais profunda desde 2014. Se o texto revisado foi formalmente adotado, é sua implantação operacional, distribuída entre 2024 e 2027, que concentra agora a atenção dos CIOs, juristas e responsáveis de conformidade. Compreender o calendário oficial de implantação do regulamento eIDAS 2 na União Europeia permite antecipar as obrigações, securizar seus processos contratuais e evitar qualquer desvio de conformidade. Este artigo decifra as etapas-chave, os atos de execução esperados e os impactos concretos para as empresas francesas e europeias.

---

1. Lembrete: o que é eIDAS 2 e por que essa revisão?

1.1 As limitações do eIDAS 1 (2014)

O regulamento eIDAS original (nº 910/2014) estabeleceu os alicerces da confiança digital na Europa: reconhecimento mútuo de assinaturas eletrônicas, criação de níveis qualificados (QES), simples (SES) e avançado (AdES), e acreditação de prestadores de serviços de confiança (Trust Service Providers, TSP). Porém, dez anos de aplicação revelaram várias lacunas significativas:

• Fragmentação nacional: menos de 19% dos cidadãos europeus usavam um esquema de identificação eletrônica transfronteiriça em 2022, segundo a Comissão Europeia.
• Ausência de carteira de identidade digital: eIDAS 1 não previa um instrumento universal que permitisse a cada cidadão ou empresa comprovar sua identidade online em todos os Estados-membros.
• Cobertura parcial: os serviços de arquivamento eletrônico qualificado ou as atestações de atributos não eram harmonizados.

1.2 As contribuições estruturantes do eIDAS 2

Adotado em 11 de abril de 2024 e publicado no Jornal Oficial da UE em 30 de abril de 2024, o regulamento (UE) 2024/1183 introduz notavelmente:

• A Carteira de Identidade Digital Europeia (EUDI Wallet): carteira de identidade digital que cada Estado-membro deve oferecer a seus nacionais.
• Novos serviços de confiança qualificados: atestações de atributos eletrônicos qualificados, arquivamento eletrônico qualificado, gestão de dispositivos de criação de assinaturas à distância.
• A ampliação do escopo de aplicação: as grandes plataformas online (no sentido do regulamento DSA) deverão aceitar a EUDI Wallet para autenticação de usuários.
• Um reforço da governança: criação de um marco de certificação de conformidade mais rigoroso para os TSP.

Para aprofundar os fundamentos do regulamento, nosso guia completo sobre eIDAS 2.0 detalha todas as evoluções regulatórias.

---

2. O calendário oficial de implantação do eIDAS 2: etapas e datas-chave 2024-2027

O regulamento eIDAS 2 articula sua entrada em aplicação em torno de um mecanismo em várias etapas: entrada em vigor, atos de execução da Comissão, transposição nacional e implantação efetiva das ferramentas. Aqui está o roteiro oficial.

2.1 Fase 1 — Entrada em vigor e atos delegados (maio 2024 – final de 2025)

| Data | Etapa | |---|---| | 30 de abril de 2024 | Publicação do regulamento (UE) 2024/1183 no JOUE | | 20 de maio de 2024 | Entrada em vigor oficial (D+20 após publicação) | | T3-T4 2024 | Lançamento dos grupos de trabalho sobre atos de execução (Caixa de Ferramentas eIDAS 2) | | Final de 2024 | Publicação das primeiras especificações técnicas de referência para a EUDI Wallet (ARF — Architecture Reference Framework v1.4) | | T1-T2 2025 | Atos de execução da Comissão sobre especificações técnicas das carteiras (prazo de 12 meses previsto no artigo 5a) | | T3 2025 | Atos de execução relativos aos novos serviços de confiança qualificados |

A Comissão Europeia publicou em janeiro de 2025 o primeiro lote de atos de execução sobre as especificações técnicas comuns da EUDI Wallet. Esses textos constituem a base técnica obrigatória para os Estados-membros.

2.2 Fase 2 — Implantação de projetos piloto e transposições nacionais (2025-2026)

No marco do programa de grandes projetos piloto (Large Scale Pilots — LSP), quatro consórcios testaram a EUDI Wallet desde 2023 em mais de 360 casos de uso em 25 Estados-membros:

• EU Digital Identity Wallet Consortium (EUDIW) — 140+ entidades
• NOBID — focado em pagamentos digitais
• POTENTIAL — identidade e atributos
• DC4EU — diplomas e qualificações profissionais

Os resultados desses projetos piloto alimentam diretamente os atos de execução. No plano nacional, os Estados-membros dispõem de 24 meses a contar da entrada em aplicação dos atos de execução para implantar sua carteira nacional. Na prática, isso significa que a grande maioria das implantações nacionais é esperada entre meados de 2026 e final de 2026.

| Período | Ações esperadas | |---|---| | T1-T2 2026 | Adoção definitiva dos atos de execução faltantes (arquivamento qualificado, atestações de atributos) | | T2 2026 | Primeiras versões de produção das EUDI Wallets nos Estados precursores (Alemanha, Países Baixos, Espanha) | | T3-T4 2026 | Implantação progressiva nos 27 Estados-membros — abertura para usuários profissionais | | Final de 2026 | Obrigações de aceitação da EUDI Wallet para serviços públicos online (art. 5b) |

A França, via Agência Nacional de Segurança de Sistemas de Informação (ANSSI) e Direção Interministerial do Digital (DINUM), engajou seus trabalhos de adaptação em 2025. O projeto de carteira francesa se apoia em France Identité como base técnica.

2.3 Fase 3 — Obrigações de aceitação para o setor privado (2027)

Esta é a etapa mais impactante para as empresas. O artigo 5b do regulamento eIDAS 2 impõe que certos prestadores do setor privado aceitem a EUDI Wallet para identificação online nos seguintes domínios:

• Serviços bancários e financeiros (abertura de conta, KYC)
• Mobilidade (transportes, aluguel de veículos)
• Energia (contratos para consumidores)
• Plataformas online muito grandes (no sentido do DSA, > 45 milhões de usuários mensais na UE)
• Telecomunicações

O prazo de aceitação obrigatória é fixado em 12 meses após a disponibilização da carteira em cada Estado-membro, o que coloca o prazo real para a maioria dos setores no curso do primeiro semestre de 2027.

Para as empresas que já utilizam soluções de assinatura eletrônica conforme eIDAS, a questão é garantir a compatibilidade de seus fluxos documentários com os novos atributos de identidade provenientes das carteiras digitais.

---

3. Impacto nos prestadores de serviços de confiança (TSP) e editores SaaS

3.1 Novas obrigações para TSP qualificados

Os prestadores de serviços de confiança qualificados (QTSP) devem atualizar suas práticas de certificação para integrar as novas categorias de serviços introduzidas pelo eIDAS 2:

• Atestações de atributos eletrônicos qualificados: carteira de motorista digital, diplomas, qualificações profissionais
• Arquivamento eletrônico qualificado: serviço que garante a integridade a longo prazo dos documentos assinados
• Gestão de dispositivos de criação de assinatura à distância (RQSCD): clarificação do marco para soluções cloud

Os QTSP têm até 18 meses após a publicação das normas ETSI revisadas (esperadas T2-T3 2026) para se conformarem aos novos requisitos técnicos, o que posiciona as primeiras re-certificações efetivas em 2027.

3.2 O que isso significa para as empresas usuárias

Se sua organização utiliza um prestador de assinatura eletrônica SaaS — seja uma solução certificada QES ou uma ferramenta de assinatura avançada — várias questões de conformidade se colocam desde agora:

1. Seu prestador está em processo de atualização de sua certificação para integrar os requisitos do eIDAS 2?
2. Seus workflows de assinatura estão prontos para receber identidades provenientes das EUDI Wallets?
3. Sua política de arquivamento atende aos futuros requisitos de arquivamento eletrônico qualificado?

Nossas análises do comparativo de soluções de assinatura eletrônica integram agora o critério de roadmap eIDAS 2 como fator diferenciador-chave.

3.3 As normas técnicas de referência

A ETSI (Instituto Europeu de Normas de Telecomunicações) é responsável por produzir as normas harmonizadas sobre as quais se apoia o eIDAS 2. O programa de trabalho 2025-2027 abrange notavelmente:

• ETSI EN 319 411-1 e -2 (revisadas): políticas e requisitos para TSP emitindo certificados
• ETSI EN 319 132-1 (XAdES) e EN 319 122-1 (CAdES): formatos de assinatura avançada e qualificada
• ETSI TS 119 500: marco de confiança para serviços de arquivamento eletrônico qualificado
• ISO/IEC 18013-5: protocolo de apresentação de atributos mDL (carteira de motorista móvel), adotado como base técnica da EUDI Wallet

---

4. Calendário eIDAS 2 na França: estado de avanço e obrigações específicas

4.1 O papel da ANSSI na governança nacional

Na França, a ANSSI é a autoridade de supervisão dos prestadores de serviços de confiança no marco do eIDAS. Na perspectiva do eIDAS 2, ela pilota:

• A adaptação do referencial geral de segurança (RGS) para integrar os novos serviços qualificados
• A participação nos trabalhos do grupo de cooperação eIDAS (artigo 46e do regulamento)
• A supervisão das auditorias de conformidade dos QTSP franceses

A ANSSI publicou em março de 2025 um roteiro nacional que precisa as etapas de adaptação do marco francês ao eIDAS 2, com um ponto de situação previsto para setembro de 2026.

4.2 Obrigações para grandes empresas francesas

As empresas francesas ultrapassando os limites do DSA ou operando nos setores alvo do artigo 5b devem engajar desde agora uma análise de impacto. As etapas recomendadas são:

1. Mapeamento dos fluxos de identificação: identificar os processos onde a identidade digital é necessária (KYC, assinatura de contratos, acesso aos espaços de clientes)
2. Avaliação dos prestadores atuais: verificar seu roteiro de conformidade com eIDAS 2
3. Plano de atualização das CGU e políticas de assinatura: antecipar a integração dos atributos de identidade provenientes das EUDI Wallets
4. Formação das equipes jurídicas e de TI: o marco técnico e legal evolui significativamente

Para as empresas que gerenciam volumes significativos de contratos, as ferramentas de assinatura eletrônica em empresa devem ser avaliadas sob a perspectiva de sua capacidade de evoluir para o eIDAS 2 sem interrupção de serviço.

4.3 Articulação com outras regulamentações europeias

O desdobramento do eIDAS 2 não ocorre isoladamente. Articula-se estreitamente com:

• O RGPD (2016/679): os atributos de identidade contidos nas EUDI Wallets constituem dados pessoais sujeitos aos princípios de minimização e finalidade
• A diretiva NIS 2 (2022/2555): os TSP são entidades essenciais no sentido do NIS 2 e devem satisfazer aos requisitos reforçados de segurança cibernética
• O regulamento DORA (2022/2554): os estabelecimentos financeiros utilizando serviços de confiança para suas operações digitais devem integrar essas dependências em seu mapeamento de riscos TIC
• O regulamento sobre dados (Data Act, 2023/2854): interoperabilidade dos dados de identidade entre setores

As empresas que já engajaram sua conformidade com NIS 2 encontrarão sinergias significativas com a colocação em conformidade com eIDAS 2, notavelmente nos aspectos gestão de riscos e continuidade operacional.

---

5. Preparar sua organização desde agora: o checklist 2026

5.1 Para direções jurídicas e conformidade

• [ ] Ler o regulamento (UE) 2024/1183 em sua versão consolidada e identificar os artigos aplicáveis a seu setor
• [ ] Mapear os contratos e processos necessitando de atualização (cláusulas de assinatura, política de retenção)
• [ ] Verificar a validade jurídica transfronteiriça de suas assinaturas eletrônicas atuais no contexto do eIDAS 2
• [ ] Antecipar a integração de atestações de atributos qualificados (ex.: verificação de qualificação profissional para atos notariais ou médicos)

5.2 Para direções de sistemas de informação

• [ ] Avaliar a compatibilidade de seu stack técnico com os protocolos EUDI Wallet (OpenID4VP, ISO 18013-5)
• [ ] Identificar as APIs a atualizar junto a seus editores de assinatura eletrônica
• [ ] Prever testes de integração com carteiras piloto disponíveis em 2026
• [ ] Implementar uma vigilância sobre os atos de execução da Comissão (notificações no Jornal Oficial da UE)

5.3 Para direções de negócio

Os ganhos esperados de uma conformidade bem antecipada são concretos: redução de atritos nos percursos de assinatura graças à identidade pré-verificada da EUDI Wallet, aceleração dos processos de KYC, e redução dos custos de verificação de identidade. Para avaliar o retorno sobre investimento de sua transição, nosso calculador ROI assinatura eletrônica integra os parâmetros específicos à conformidade com eIDAS 2.

Finalmente, as organizações que consideram uma migração desde outras soluções para uma plataforma nativamente preparada para eIDAS 2 podem consultar nosso guia de migração de DocuSign ou YouSign para Certyneo, que detalha as etapas técnicas e contratuais de uma transição sem interrupção.

Marco legal aplicável ao desdobramento do eIDAS 2

Textos fundadores e hierarquia das normas

O desdobramento do regulamento eIDAS 2 se inscreve em um corpus jurídico estratificado cuja compreensão é indispensável para toda organização sujeita a obrigações de conformidade.

Regulamento (UE) 2024/1183 do Parlamento Europeu e do Conselho — dito « eIDAS 2 » — constitui a norma de referência. Ele revoga e substitui o regulamento (UE) nº 910/2014 (eIDAS 1) nos pontos que revisa, mantendo a validade das certificações existentes durante os períodos de transição previstos nos artigos 51 e seguintes. Publicado no Jornal Oficial da UE série L em 30 de abril de 2024, entrou em vigor em 20 de maio de 2024.

O Código Civil francês, artigos 1366 e 1367, consagra o reconhecimento da assinatura eletrônica como equivalente à assinatura manuscrita quando satisfaz às condições de identificação do signatário e integridade do documento. Essas disposições são interpretadas à luz do direito europeu eIDAS, que prevalece em virtude do princípio de primazia do direito da União.

O regulamento (UE) 2016/679 (RGPD) se aplica integralmente aos tratamentos de dados pessoais realizados no marco da EUDI Wallet e dos serviços de confiança. Os atributos de identidade (dados biográficos, qualificações, licenças) constituem dados pessoais no sentido do artigo 4 §1 do RGPD. O princípio de minimização (art. 5 §1 c) é particularmente pertinente: os prestadores devem coletar apenas os atributos estritamente necessários à finalidade da transação.

A diretiva (UE) 2022/2555 (NIS 2), transposta para direito francês pela lei nº 2024-449 de 21 de maio de 2024, classifica os prestadores de serviços de confiança qualificados entre as entidades essenciais sujeitas a obrigações reforçadas de gestão de riscos cibernéticos, notificação de incidentes e segurança da cadeia de suprimentos.

As normas ETSI constituem o referencial técnico harmonizado do eIDAS 2:

• ETSI EN 319 401: requisitos gerais para os TSP
• ETSI EN 319 411-1/-2: políticas para TSP emitindo certificados qualificados
• ETSI EN 319 132-1: formato XAdES (assinaturas XML avançadas)
• ETSI EN 319 122-1: formato CAdES (assinaturas CMS avançadas)
• ETSI EN 319 162-1: formato ASiC (contêineres de assinaturas)

Riscos jurídicos em caso de não-conformidade

O não-respeito das obrigações do eIDAS 2 expõe as organizações a vários riscos:

1. Ineficácia das assinaturas: uma assinatura eletrônica realizada via TSP não conforme aos novos requisitos pode perder a presunção legal de validade, questionando o valor probatório dos contratos assinados.
2. Sanções administrativas: as autoridades de supervisão nacionais (ANSSI na França) podem pronunciar medidas corretivas, injunções de conformidade, ou até retiradas de acreditação para os TSP.
3. Responsabilidade contratual: as empresas utilizando ferramentas não conformes podem ver sua responsabilidade envolvida frente a seus clientes e parceiros se um litígio incidir sobre a validade de um ato assinado eletronicamente.
4. Acúmulo com o RGPD: uma gestão não-conforme dos atributos de identidade da EUDI Wallet pode expor simultaneamente a sanções CNIL (até 4% do faturamento anual mundial).

Cenários de uso concretos face ao calendário eIDAS 2

Cenário 1 — Um escritório jurídico de tamanho intermediário gerenciando atos transfronteiriços

Um escritório de advocacia de negócios contando uma quinzena de colaboradores e tratando regularmente de operações de M&A envolvendo contrapartes em vários Estados-membros da UE (Bélgica, Países Baixos, Espanha) utiliza atualmente uma solução de assinatura eletrônica qualificada para seus atos de cessão de quotas e seus protocolos de confidencialidade. Com a entrada em aplicação do calendário eIDAS 2, o escritório antecipa duas evoluções significativas até final de 2026:

• Verificação de identidade simplificada: as contrapartes estrangeiras poderão apresentar seus atributos de identidade via sua EUDI Wallet nacional, eliminando trocas de cópias de passaporte e procedimentos KYC redundantes. Conforme estimativas dos relatórios da Comissão Europeia sobre os LSP, o ganho de tempo na fase de verificação de identidade é estimado entre 40% e 60% segundo as jurisdições envolvidas.
• Valor probatório reforçado: os atos assinados com identidades atestadas por EUDI Wallets qualificadas se beneficiarão de uma presunção legal ainda mais robusta, reduzindo o risco de contestação judicial em litígios transfronteiriços.

O escritório planeja migrar para uma plataforma SaaS dispondo de um roadmap eIDAS 2 documentado antes do T3 2026, ou seja, aproximadamente seis meses antes das primeiras obrigações de aceitação.

Cenário 2 — Uma PME industrial gerenciando um volume elevado de contratos com fornecedores

Uma PME do setor de equipamento industrial gerenciando aproximadamente 250 contratos com fornecedores por ano, dos quais 30% com parceiros europeus fora da França, enfrenta restrições crescentes de verificação de identidade durante o onboarding de novos fornecedores. O processo atual — demanda de Kbis, cópia de documento de identidade do representante legal, verificação manual — mobiliza em média 2,5 horas por dossier conforme benchmarks setoriais da federação de compradores.

Com a integração da EUDI Wallet em seu workflow de assinatura até 2027, a PME projeta:

• Uma redução de 55 a 70% do tempo dedicado à verificação de identidade graças às atestações de atributos qualificados (número de registro, representação legal)
• Uma diminuição de 80% das solicitações de documentação para fornecedores estrangeiros
• Uma securização aumentada contra fraude documental, sendo os atributos criptograficamente verificáveis

A PME identificou a necessidade de atualizar suas condições gerais de compra para integrar a referência às atestações eIDAS 2, em ligação com seu conselho jurídico.

Cenário 3 — Um agrupamento hospitalar antecipando a conformidade para atos médicos digitais

Um agrupamento hospitalar de aproximadamente 900 leitos distribuídos em três localidades deve gerenciar a assinatura eletrônica de documentos médicos sensíveis: consentimentos esclarecidos, prescrições, relatórios operatórios e contratos com prestadores de cuidados. A regulamentação francesa impõe a assinatura qualificada para certos atos médicos com alcance jurídico forte.

Na perspectiva do calendário eIDAS 2, o agrupamento antecipa a chegada das atestações de atributos qualificados para qualificações profissionais de saúde (número RPPS, especialidade, estabelecimento de exercício), o que permitirá:

• Automatizar a verificação da qualidade do signatário (médico, cirurgião, farmacêutico) sem verificação manual nos anuários profissionais
• Reduzir riscos de erro de atribuição de assinatura durante substituições e guardas
• Facilitar a portabilidade dos prontuários médicos digitais entre estabelecimentos, no marco do espaço europeu de dados de saúde (EHDS)

O agrupamento estima que a integração dos fluxos EUDI Wallet em seu sistema de informação hospitalar (SIH) representa um projeto de 12 a 18 meses, justificando um lançamento dos estudos técnicos a partir do T3 2026 para uma colocação em produção antes da obrigação de aceitação setorial.

Conclusão

O calendário de desdobramento do regulamento eIDAS 2 na União Europeia está agora claramente sinalizado: atos de execução em processo de finalização em 2026, desdobramento das EUDI Wallets nacionais entre meados de 2026 e final de 2026, e obrigações de aceitação para o setor privado a partir do primeiro semestre de 2027. Esse roteiro deixa uma janela de ação concreta para as empresas francesas e europeias, contanto que engajem desde agora a análise de conformidade, a avaliação dos prestadores e a atualização dos processos contratuais.

Esperar até 2027 para se colocar em conformidade é correr o risco de uma transição na urgência, com os custos e riscos jurídicos que isso implica. Certyneo, concebido nativamente para os requisitos eIDAS e em roadmap ativo rumo ao eIDAS 2, a acompanha desde hoje nessa transição. Comece gratuitamente no Certyneo e securize seus fluxos documentários no respeito do marco europeu de confiança digital.