eIDAS 2 vs eIDAS 1: principais mudanças para PMEs

Introdução: por que eIDAS 2 muda o jogo para as PMEs

Desde 20 de maio de 2024, o regulamento (UE) 2024/1183 — comumente chamado de eIDAS 2 — entrou em vigor, revogando e substituindo progressivamente o regulamento (UE) nº 910/2014 (eIDAS 1). Para as PMEs francesas, essa mudança não é simplesmente uma atualização administrativa: ela redefine os níveis de confiança digital, introduz uma carteira de identidade europeia (EUDIW), reforça os requisitos aplicáveis aos prestadores de serviços de confiança e amplia o escopo dos serviços reconhecidos. Este artigo compara ponto por ponto eIDAS 1 e eIDAS 2, identifica os impactos operacionais concretos para pequenas e médias empresas, e oferece um plano de ação para permanecer em conformidade até 2026.

---

1. Resumo: o que estabelecia eIDAS 1 (2014-2024)

1.1 Os fundamentos do regulamento inicial

Adotado em julho de 2014 e aplicável desde setembro de 2016, eIDAS 1 estabeleceu os primeiros marcos de um espaço de confiança digital europeu. Introduziu três grandes categorias de assinatura eletrônica — simples (SES), avançada (AdES) e qualificada (QES) — e criou a lista de confiança dos prestadores qualificados (Trusted List), consultável no portal da Comissão Europeia.

Para as PMEs, o principal contributo do eIDAS 1 era o reconhecimento transfronteiriço das assinaturas qualificadas: um contrato assinado com uma QES francesa era juridicamente reconhecido na Alemanha, Espanha ou Itália sem apostila ou formalidade adicional. Este princípio — chamado de "não-discriminação" — permaneceu a base sobre a qual ofertas SaaS como Certyneo construíram seus serviços.

1.2 As limitações identificadas

Apesar de seus avanços, eIDAS 1 sofria de várias lacunas documentadas pela Comissão Europeia em seu relatório de avaliação de 2021:

• Fragmentação dos esquemas de identidade: apenas os Estados-membros que notificaram seu esquema nacional (como FranceConnect+ nível substancial) se beneficiavam do reconhecimento mútuo. Em 2023, apenas 14 Estados de 27 haviam notificado um esquema conforme.
• Ausência de suporte móvel nativo: o dispositivo qualificado de criação de assinatura (QSCD) frequentemente exigia um cartão inteligente ou token físico, dificultando a adoção móvel.
• Serviços de confiança limitados: eIDAS 1 listava nove tipos de serviços qualificados; novos usos (arquivamento eletrônico qualificado, gestão de atributos) não eram enquadrados.
• Sem carteira de identidade unificada: cada cidadão ou empresa gerenciava seus identificadores de forma isolada, sem interoperabilidade garantida.

Essas limitações levaram a Comissão a iniciar a revisão em 2020, resultando no regulamento eIDAS 2 após três anos de trialogação.

---

2. As cinco grandes novidades do eIDAS 2 para as PMEs

2.1 A carteira de identidade digital europeia (EU Digital Identity Wallet — EUDIW)

Esta é a novidade mais visível do regulamento. A partir do mês de novembro de 2026 (prazo de transposição fixado pelo artigo 5a), cada Estado-membro deverá oferecer pelo menos uma carteira de identidade digital certificada a seus cidadãos e residentes. Para as PMEs, essa evolução tem duas consequências diretas:

1. Autenticação de clientes e parceiros simplificada: a carteira permitirá compartilhar atributos verificados (idade, número de IVA intracomunitário, extrato Kbis, dados bancários certificados) sem fricção. Um acordo-marco com um parceiro alemão poderá ser assinado após verificação instantânea de seus atributos profissionais desde sua EUDIW.
2. Obrigação de aceitação para certos setores: os serviços online de grandes plataformas (artigo 45bis) e certos serviços públicos deverão aceitar a EUDIW como meio de autenticação. As PMEs que fornecem portais B2B deverão adaptar suas APIs de autenticação.

2.2 Extensão da lista de serviços de confiança qualificados

eIDAS 2 estende o catálogo dos serviços de confiança qualificados de 9 para 14 categorias. As novas entradas que afetam diretamente as PMEs são:

• O arquivamento eletrônico qualificado (art. 45septies): conservação de longo prazo com valor probatório reforçado. Até aqui, o arquivamento com valor probatório baseava-se em referentes nacionais (na França, o referente SIAF/ANSSI); eIDAS 2 harmoniza o marco europeu.
• A gestão remota de dispositivos qualificados de criação de assinatura (RQSCD): agora explicitamente enquadrada, ela elimina as ambiguidades que pesavam sobre as soluções cloud de assinatura qualificada. Para uma PME de 50 funcionários, isso significa acessar uma assinatura qualificada sem token físico, de qualquer dispositivo.
• O serviço de registro eletrônico qualificado: os registros baseados em blockchain ou tecnologias de ledger distribuído podem agora obter o status qualificado, abrindo caminho para novos modelos de gestão contratual.

Para aprofundar os níveis de assinatura e seu valor legal, consulte nosso guia completo de assinatura eletrônica.

2.3 Reforço dos requisitos de segurança para prestadores qualificados (QTSP)

eIDAS 2 enrijece as obrigações dos prestadores de serviços de confiança qualificados (QTSP). O artigo 24 revisado impõe em particular:

• Uma certificação de cibersegurança conforme ao marco europeu (EU Cybersecurity Act, regulamento 2019/881), com esquemas setoriais em desenvolvimento pela ENISA.
• Requisitos reforçados em matéria de resiliência operacional: os QTSP devem agora documentar seu plano de continuidade de atividades e submetê-lo ao seu organismo de supervisão nacional (na França, a ANSSI para prestadores qualificados).
• Uma obrigação de notificação de incidentes de segurança dentro de 24 horas (alinhamento com NIS 2).

Para as PMEs usuárias, isso se traduz em uma obrigação de diligência reforçada na escolha do prestador: verificar que sua solução de assinatura figura bem na Trusted List europeia atualizada é agora uma etapa crítica de seu processo de compra. Nosso comparativo de soluções de assinatura eletrônica pode ajudá-lo nessa análise.

2.4 Interoperabilidade obrigatória dos esquemas de identidade

Enquanto eIDAS 1 deixava aos Estados-membros a liberdade de notificar (ou não) seu esquema, eIDAS 2 torna a notificação e a interoperabilidade obrigatórias para os esquemas de identidade utilizados em serviços públicos online (art. 5). France Identité — o esquema nacional conduzido pelo ministério do Interior — está em fase de adequação às especificações técnicas da EUDIW, publicadas pela Comissão no regulamento de execução (UE) 2024/2977.

Para uma PME que interage regularmente com administrações públicas (licitações, tele-declarações fiscais, procedimentos aduaneiros), essa evolução significa que os procedimentos online serão progressivamente unificados em torno de um identificador digital único e reconhecido em toda a UE.

2.5 Novas regras de responsabilidade e supervisão

eIDAS 2 precisa e estende os regimes de responsabilidade dos prestadores (art. 13 revisado). Um QTSP é agora presumivelmente responsável por qualquer dano causado a uma pessoa física ou jurídica por um descumprimento de suas obrigações, a menos que prove a ausência de culpa. Essa presunção de responsabilidade, reforçada em relação a eIDAS 1, deve incitar as PMEs a:

• Formalizar por contrato os compromissos de seu prestador (SLA, garantias de disponibilidade, indenização).
• Verificar a cobertura de seguro responsabilidade civil profissional do QTSP.
• Conservar as provas de auditoria das transações assinadas (registros de timestamp, relatórios de verificação de assinatura).

Nossas equipes redigiram um guia detalhado sobre assinatura eletrônica em empresa que aborda esses aspectos contratuais.

---

3. Tabela comparativa eIDAS 1 vs eIDAS 2: o que muda concretamente

3.1 Síntese das principais evoluções

| Critério | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Carteira identidade | Ausente | EUDIW obrigatória (Estados-membros) | | Serviços qualificados | 9 categorias | 14 categorias (arquivamento, RQSCD, registros…) | | Notificação esquemas | Facultativa | Obrigatória para serviços públicos | | Segurança QTSP | Critérios Common Criteria | Cybersecurity Act + esquemas ENISA | | Responsabilidade QTSP | Parcial | Presunção de responsabilidade reforçada | | Prazo notificação incidente | Não especificado | 24 horas (alinhamento NIS 2) | | QSCD móvel | Ambiguidade jurídica | RQSCD explicitamente enquadrado |

3.2 Os prazos-chave a reter para 2026

• Maio 2024: entrada em vigor do regulamento (UE) 2024/1183.
• Novembro 2026: data limite para que cada Estado-membro ofereça pelo menos uma solução EUDIW certificada.
• 2027: obrigação para as grandes plataformas (art. 45bis) de aceitar a EUDIW como meio de autenticação.
• 2028: revisão prevista dos atos de execução técnicos (regulamentos delegados sobre as especificações EUDIW).

Se sua PME planeja migrar para uma solução mais conforme, nossa oferta de migração para Certyneo inclui uma auditoria de conformidade eIDAS 2 oferecida.

---

4. Plano de ação prático para colocar sua PME em conformidade com eIDAS 2

4.1 Auditar seus fluxos documentários existentes

Comece mapeando todos os processos nos quais você atualmente utiliza assinatura eletrônica ou identidade digital: contratos de fornecedores, contracheques desmaterializados, mandatos SEPA, acordos de confidencialidade, atos RH. Para cada fluxo, identifique:

• O nível de assinatura utilizado (SES, AdES, QES).
• O prestador atual e seu status na Trusted List.
• O nível de risco jurídico em caso de contestação.

Essa auditoria é o ponto de partida recomendado pela ANSSI em seu guia de conformidade publicado em março de 2025.

4.2 Atualizar sua solução de assinatura

Se seu prestador atual não figura na Trusted List eIDAS 2 ou ainda não oferece o RQSCD, é hora de comparar as ofertas do mercado. Certyneo é um QTSP certificado que suporta os três níveis de assinatura (SES, AdES, QES) e integra nativamente os novos requisitos eIDAS 2, incluindo arquivamento qualificado e gestão remota de dispositivos.

4.3 Treinar suas equipes e atualizar seus contratos

eIDAS 2 reforça o valor probatório das assinaturas qualificadas mas também impõe boas práticas documentárias. Garanta que suas equipes jurídicas e administrativas:

• Saibam distinguir os três níveis de assinatura e seu valor legal respectivo.
• Integrem nos contratos de fornecedores uma cláusula de auditoria de conformidade eIDAS.
• Conservem as provas de verificação de assinatura (relatório de validação, timestamp qualificado) durante o período legal de conservação aplicável (3 a 10 anos segundo a natureza do ato).

Para estruturar essa abordagem, nosso calculador de ROI de assinatura eletrônica permitirá quantificar os ganhos operacionais ligados à atualização.

Marco legal aplicável

Textos de referência

A conformidade eIDAS 2 para uma PME francesa se inscreve em um empilhamento normativo que é essencial dominar.

Regulamento (UE) 2024/1183 do Parlamento Europeu e do Conselho (dito "eIDAS 2"): é o texto fundador, publicado no DOUE em 30 de abril de 2024. Revoga e substitui o regulamento (UE) nº 910/2014 segundo um calendário de desdobramento progressivo até 2027. É de aplicação direta em todos os Estados-membros, sem necessidade de transposição legislativa nacional para suas disposições principais.

Regulamento (UE) nº 910/2014 (eIDAS 1): algumas de suas disposições permanecem aplicáveis durante os períodos transitórios previstos por eIDAS 2, em particular para prestadores qualificados que obtiveram sua qualificação antes de maio de 2024 e dispõem de prazo para se recertificarem.

Código Civil Francês, artigos 1366 e 1367: o artigo 1366 estabelece o princípio de equivalência entre a escritura eletrônica e a escritura em papel, sob a condição de que "a pessoa de quem provém possa ser devidamente identificada e que seja estabelecida e conservada em condições adequadas para garantir sua integridade". O artigo 1367 reconhece a assinatura eletrônica como modo de prova, remetendo às condições fixadas por decreto em Conselho de Estado (decreto nº 2017-1416 de 28 de setembro de 2017, codificado nos artigos R. 1369-1 a R. 1369-10 do Código Civil).

Regulamento (UE) 2016/679 (RGPD): o desdobramento da EUDIW e o tratamento de atributos de identidade nos fluxos de assinatura eletrônica constituem tratamentos de dados pessoais no sentido do RGPD. As PMEs devem garantir que seu QTSP atua como subcontratante no sentido do artigo 28 RGPD, com um DPA (Data Processing Agreement) conforme. A CNIL publicou em janeiro de 2026 uma recomendação específica sobre integração EUDIW-RGPD.

Diretiva (UE) 2022/2555 (NIS 2): eIDAS 2 se alinha explicitamente com NIS 2 para as obrigações de notificação de incidentes (art. 24, §2 eIDAS 2 remetendo às disposições NIS 2). Os QTSP são considerados entidades "essenciais" ou "importantes" no sentido de NIS 2 segundo seu tamanho, e sujeitos a este título a auditorias de segurança regulares.

Normas ETSI: as assinaturas eletrônicas qualificadas devem respeitar as normas ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) e ETSI EN 319 102-1 (procedimento de validação). A norma ETSI TS 119 461 enquadra a verificação remota de identidade (IDV), particularmente relevante para o RQSCD.

Riscos jurídicos em caso de não-conformidade

Utilizar uma solução de assinatura eletrônica não conforme a eIDAS 2 expõe a PME a vários riscos:

• Inadmissibilidade em justiça: um juiz pode descartar uma assinatura eletrônica cujo nível não corresponde ao ato assinado (ex: assinatura simples para um ato necessitando nível avançado ou qualificado).
• Responsabilidade contratual: se um contrato é contestado por um parceiro pelo motivo da nulidade da assinatura, a PME pode estar exposta a pedidos de indenização.
• Sanções RGPD: em caso de violação de dados ligada a um defeito de segurança do prestador, a PME, co-responsável ou responsável pelo tratamento, pode ser sancionada pela CNIL até 4% do faturamento mundial anual (art. 83 §4 RGPD).

Cenários de uso concretos

Cenário 1: uma PME industrial de 80 funcionários gerenciando 400 contratos fornecedores por ano

Uma PME do setor de metalurgia tratando aproximadamente 400 contratos fornecedores anuais utilizava até 2024 uma solução de assinatura eletrônica simples (SES) para todos seus compromissos, incluindo contratos-marco superiores a 50 000 €. Após auditoria de conformidade eIDAS 2, constatou que 35% de seus contratos necessitavam assinatura avançada ou qualificada para resistir a uma contestação judicial, em particular com fornecedores estabelecidos em outros Estados-membros da UE.

Migrando para uma solução combinando assinatura avançada (AdES) para contratos comuns e qualificada (QES) para contratos-marco, e ativando o arquivamento eletrônico qualificado (novo serviço eIDAS 2), essa PME reduziu em 70% o tempo dedicado à gestão documentária pós-assinatura (classificação, busca, envio de cópias certificadas) e levou a zero os litígios ligados à contestação de assinatura nos 18 meses seguintes, contra dois incidentes nos 18 meses anteriores.

Cenário 2: um escritório de advocacia com 15 colaboradores

Um escritório especializado em direito empresarial, emitindo em média 1 200 atos assinados por ano (cartas de procuração, mandatos, acordos de confidencialidade), enfrentava uma demanda crescente de seus clientes corporativos por assinaturas qualificadas reconhecíveis em toda a UE. Sob eIDAS 1, obter um certificado qualificado necessitava um procedimento presencial ou verificação vídeo longa (45 a 90 minutos por usuário).

Graças ao RQSCD (Remote Qualified Signature Creation Device) enquadrado por eIDAS 2, o escritório pôde desdobrar a assinatura qualificada para todos seus colaboradores em menos de duas semanas, através de um procedimento de inscrição 100% remoto conforme à norma ETSI TS 119 461. A taxa de adoção interna passou de 40% para 95% em três meses, e o prazo médio de retorno dos atos assinados foi reduzido de 4,2 dias para menos de 6 horas segundo as medidas internas do escritório.

Cenário 3: uma PME e-commerce operando em três países da UE

Uma empresa de venda online empregando 35 pessoas e operando na França, Bélgica e Países Baixos deveria gerenciar três tipos de acordos eletrônicos: contratos de emprego para seus funcionários locais, acordos de parceria com transportadores, e mandatos SEPA para seus clientes profissionais. A fragmentação de requisitos nacionais sob eIDAS 1 a obrigava a manter três fluxos de trabalho de assinatura distintos, com custos de gestão estimados em aproximadamente 12 000 € por ano.

A adoção de uma solução única conforme a eIDAS 2 — integrando o reconhecimento mútuo de assinaturas qualificadas nos três países — permitiu unificar os fluxos de trabalho, reduzir o custo de gestão para aproximadamente 4 500 € por ano (economia de 62%) e eliminar os prazos ligados à validação manual de assinaturas estrangeiras pelo serviço jurídico.

Conclusão

eIDAS 2 não é uma simples revisão cosmética do marco regulatório: ela redefine em profundidade as regras do jogo da confiança digital na Europa. Para as PMEs francesas, as cinco principais evoluções — carteira EUDIW, extensão dos serviços qualificados, RQSCD, interoperabilidade obrigatória e responsabilidade reforçada — representam tanto uma limitação de conformidade quanto uma oportunidade de acelerar sua transformação documentária.

As PMEs que antecipam desde hoje essas mudanças se beneficiarão de uma vantagem concorrencial real: contratos reconhecidos em toda a UE sem fricção, arquivamento com valor probatório integrado, e processos de assinatura inteiramente desmaterializados e seguros.

Certyneo é concebido para acompanhar essa transição. Inicie seu teste gratuito em certyneo.com e aproveite uma auditoria de conformidade eIDAS 2 oferecida para seus fluxos documentários existentes.