Calendário eIDAS 2 : implantação UE 2026-2027

Introdução : por que o calendário eIDAS 2 é crucial para sua organização

Desde a entrada em vigor do regulamento (UE) 2024/1183 — comumente chamado de eIDAS 2 — o marco europeu de identidade digital e assinatura eletrônica está passando por sua transformação mais profunda desde 2014. Se o texto revisado foi formalmente adotado, é sua implantação operacional, distribuída entre 2024 e 2027, que concentra agora a atenção dos DSI, juristas e responsáveis de conformidade. Compreender o calendário oficial de implantação do regulamento eIDAS 2 na União Europeia permite antecipar obrigações, proteger seus processos contratuais e evitar qualquer desvio de conformidade. Este artigo decifra as etapas-chave, os atos de execução esperados e os impactos concretos para as empresas francesas e europeias.

---

1. Lembrete : o que é eIDAS 2 e por que essa revisão ?

1.1 As limitações do eIDAS 1 (2014)

O regulamento eIDAS original (nº 910/2014) estabeleceu os alicerces da confiança digital na Europa : reconhecimento mútuo de assinaturas eletrônicas, criação de níveis qualificados (QES), simples (SES) e avançados (AdES), e acreditação de prestadores de serviços de confiança (Trust Service Providers, TSP). No entanto, dez anos de aplicação revelaram várias lacunas importantes :

• Fragmentação nacional : menos de 19% dos cidadãos europeus utilizavam um esquema de identificação eletrônica transfronteiriço em 2022 segundo a Comissão Europeia.
• Ausência de carteira de identidade digital : eIDAS 1 não previa um instrumento universal permitindo que cada cidadão ou empresa comprovasse sua identidade online em todos os Estados-membros.
• Cobertura parcial : os serviços de arquivo eletrônico qualificado ou as atestações de atributos não eram harmonizados.

1.2 As contribuições estruturantes do eIDAS 2

Adotado em 11 de abril de 2024 e publicado no Jornal Oficial da UE em 30 de abril de 2024, o regulamento (UE) 2024/1183 introduz em particular :

• A European Digital Identity Wallet (EUDI Wallet) : carteira de identidade digital que cada Estado-membro deve oferecer a seus cidadãos.
• Novos serviços de confiança qualificados : atestações de atributos eletrônicos qualificados, arquivo eletrônico qualificado, gerenciamento de dispositivos de criação de assinaturas remotas.
• A extensão do escopo de aplicação : as grandes plataformas online (no sentido do regulamento DSA) deverão aceitar a EUDI Wallet para autenticação de usuários.
• Um reforço da governança : criação de um marco de certificação de conformidade mais rigoroso para os TSP.

Para aprofundar os fundamentos do regulamento, nosso guia completo sobre eIDAS 2.0 detalha todas as evoluções regulatórias.

---

2. O calendário oficial de implantação do eIDAS 2 : etapas e datas-chave 2024-2027

O regulamento eIDAS 2 articula sua entrada em aplicação em torno de um mecanismo em várias etapas : entrada em vigor, atos de execução da Comissão, transposição nacional e implantação efetiva das ferramentas. Aqui está o roteiro oficial.

2.1 Fase 1 — Entrada em vigor e atos delegados (maio de 2024 – fim de 2025)

| Data | Etapa | |---|---| | 30 de abril de 2024 | Publicação do regulamento (UE) 2024/1183 no JOUE | | 20 de maio de 2024 | Entrada em vigor oficial (D+20 após publicação) | | T3-T4 2024 | Lançamento dos grupos de trabalho sobre atos de execução (Toolbox eIDAS 2) | | Fim de 2024 | Publicação das primeiras especificações técnicas de referência para a EUDI Wallet (ARF — Architecture Reference Framework v1.4) | | T1-T2 2025 | Atos de execução da Comissão sobre as especificações técnicas das carteiras (prazo de 12 meses previsto pelo artigo 5a) | | T3 2025 | Atos de execução relativos aos novos serviços de confiança qualificados |

A Comissão Europeia publicou em janeiro de 2025 o primeiro lote de atos de execução relativos às especificações técnicas comuns da EUDI Wallet. Esses textos constituem a base técnica obrigatória para os Estados-membros.

2.2 Fase 2 — Implantação de projetos-piloto e transposições nacionais (2025-2026)

No marco do programa de grandes projetos piloto (Large Scale Pilots — LSP), quatro consórcios testaram a EUDI Wallet desde 2023 em mais de 360 casos de uso em 25 Estados-membros :

• EU Digital Identity Wallet Consortium (EUDIW) — 140+ entidades
• NOBID — focado em pagamentos digitais
• POTENTIAL — identidade e atributos
• DC4EU — diplomas e qualificações profissionais

Os resultados desses pilotos alimentam diretamente os atos de execução. No plano nacional, os Estados-membros dispõem de 24 meses a contar da entrada em aplicação dos atos de execução para implantar sua carteira nacional. Na prática, isso significa que a grande maioria das implantações nacionais é esperada entre meados de 2026 e fim de 2026.

| Período | Ações esperadas | |---|---| | T1-T2 2026 | Adoção definitiva dos atos de execução faltantes (arquivo qualificado, atestações de atributos) | | T2 2026 | Primeiras versões de produção das EUDI Wallets nos Estados precursores (Alemanha, Países Baixos, Espanha) | | T3-T4 2026 | Implantação progressiva nos 27 Estados-membros — abertura para usuários profissionais | | Fim de 2026 | Obrigações de aceitação da EUDI Wallet para serviços públicos online (art. 5b) |

A França, via Agência Nacional de Segurança dos Sistemas de Informação (ANSSI) e Direção Interministerial do Digital (DINUM), iniciou seus trabalhos de adaptação em 2025. O projeto da carteira francesa se baseia na France Identité como base técnica.

2.3 Fase 3 — Obrigações de aceitação para o setor privado (2027)

Esta é a etapa mais impactante para as empresas. O artigo 5b do regulamento eIDAS 2 impõe que certos prestadores do setor privado aceitem a EUDI Wallet para identificação online nos seguintes domínios :

• Serviços bancários e financeiros (abertura de conta, KYC)
• Mobilidade (transportes, aluguel de veículos)
• Energia (contratos de consumidores)
• Plataformas online muito grandes (no sentido da DSA, > 45 milhões de usuários mensais na UE)
• Telecomunicações

O prazo de aceitação obrigatória é fixado em 12 meses após a disponibilização da carteira em cada Estado-membro, o que coloca o prazo real para a maioria dos setores no primeiro semestre de 2027.

Para as empresas que já utilizam soluções de assinatura eletrônica em conformidade com eIDAS, a questão é garantir a compatibilidade de seus fluxos documentários com os novos atributos de identidade provenientes das carteiras digitais.

---

3. Impacto nos prestadores de serviços de confiança (TSP) e editores SaaS

3.1 Novas obrigações para os TSP qualificados

Os prestadores de serviços de confiança qualificados (QTSP) devem atualizar suas práticas de certificação para integrar as novas categorias de serviços introduzidas pelo eIDAS 2 :

• Atestações de atributos eletrônicos qualificados : carteira de motorista digital, diplomas, qualificações profissionais
• Arquivo eletrônico qualificado : serviço garantindo integridade a longo prazo dos documentos assinados
• Gerenciamento de dispositivos de criação de assinatura remota (RQSCD) : esclarecimento do marco para soluções na nuvem

Os QTSP têm até 18 meses após a publicação das normas ETSI revisadas (esperadas T2-T3 2026) para se conformar aos novos requisitos técnicos, o que posiciona as primeiras recertificações efetivas em 2027.

3.2 O que isso significa para as empresas usuárias

Se sua organização utiliza um prestador de assinatura eletrônica SaaS — seja uma solução certificada QES ou uma ferramenta de assinatura avançada — várias questões de conformidade se colocam desde já :

1. Seu prestador está em processo de atualização de sua certificação para integrar os requisitos eIDAS 2 ?
2. Seus workflows de assinatura estão prontos para receber identidades provenientes das EUDI Wallets ?
3. Sua política de arquivo atende aos futuros requisitos de arquivo eletrônico qualificado ?

Nossas análises do comparativo das soluções de assinatura eletrônica integram agora o critério de roadmap eIDAS 2 como fator diferenciador-chave.

3.3 As normas técnicas de referência

A ETSI (Instituto Europeu de Normas de Telecomunicações) é responsável pela produção das normas harmonizadas nas quais se baseia eIDAS 2. O programa de trabalho 2025-2027 cobre em particular :

• ETSI EN 319 411-1 e -2 (revisadas) : políticas e requisitos para TSP emitindo certificados
• ETSI EN 319 132-1 (XAdES) e EN 319 122-1 (CAdES) : formatos de assinatura avançada e qualificada
• ETSI TS 119 500 : marco de confiança para serviços de arquivo eletrônico qualificado
• ISO/IEC 18013-5 : protocolo de apresentação de atributos mDL (Mobile Driving Licence), adotado como base técnica da EUDI Wallet

---

4. Calendário eIDAS 2 na França : estado de avanço e obrigações específicas

4.1 O papel da ANSSI na governança nacional

Na França, a ANSSI é a autoridade de supervisão dos prestadores de serviços de confiança no âmbito do eIDAS. Na perspectiva do eIDAS 2, ela pilota :

• A adaptação do referencial geral de segurança (RGS) para integrar os novos serviços qualificados
• A participação nos trabalhos do grupo de cooperação eIDAS (artigo 46e do regulamento)
• A supervisão das auditorias de conformidade dos QTSP franceses

A ANSSI publicou em março de 2025 um roteiro nacional esclarecendo as etapas de adaptação do marco francês ao eIDAS 2, com um ponto de situação previsto para setembro de 2026.

4.2 Obrigações para as grandes empresas francesas

As empresas francesas que ultrapassam os limites da DSA ou que operam nos setores direcionados pelo artigo 5b devem engajar imediatamente uma análise de impacto. As etapas recomendadas são :

1. Mapeamento dos fluxos de identificação : identificar os processos onde a identidade digital é necessária (KYC, assinatura de contratos, acesso aos espaços clientes)
2. Avaliação dos prestadores atuais : verificar seu roteiro de conformidade eIDAS 2
3. Plano de atualização das CGC e políticas de assinatura : antecipar a integração dos atributos de identidade provenientes das EUDI Wallets
4. Capacitação das equipes jurídicas e de TI : o marco técnico e legal está evoluindo significativamente

Para as empresas que gerenciam grandes volumes contratuais, as ferramentas de assinatura eletrônica em empresa devem ser avaliadas sob a perspectiva de sua capacidade de evoluir para eIDAS 2 sem interrupção de serviço.

4.3 Articulação com outras regulamentações europeias

A implantação do eIDAS 2 não ocorre isoladamente. Ela se articula estreitamente com :

• O RGPD (2016/679) : os atributos de identidade contidos nas EUDI Wallets constituem dados pessoais sujeitos aos princípios de minimização e finalidade
• A diretiva NIS 2 (2022/2555) : os TSP são entidades essenciais no sentido da NIS 2 e devem satisfazer aos requisitos reforçados de cibersegurança
• O regulamento DORA (2022/2554) : os estabelecimentos financeiros que utilizam serviços de confiança para suas operações digitais devem integrar essas dependências em seu mapeamento de riscos TIC
• O regulamento sobre dados (Data Act, 2023/2854) : interoperabilidade dos dados de identidade entre setores

As empresas que já iniciaram sua conformidade com NIS 2 encontrarão sinergias significativas com a conformidade eIDAS 2, particularmente nos aspectos de gestão de riscos e continuidade de negócios.

---

5. Preparar sua organização desde agora : o checklist 2026

5.1 Para as direções jurídicas e conformidade

• [ ] Ler o regulamento (UE) 2024/1183 em sua versão consolidada e identificar os artigos aplicáveis ao seu setor
• [ ] Mapear os contratos e processos que necessitam de atualização (cláusulas de assinatura, política de conservação)
• [ ] Verificar a validade jurídica transfronteiriça de suas assinaturas eletrônicas atuais no contexto eIDAS 2
• [ ] Antecipar a integração de atestações de atributos qualificados (ex. : verificação de qualidade profissional para atos notariais ou médicos)

5.2 Para as direções de sistemas de informação

• [ ] Avaliar a compatibilidade de seu stack técnico com os protocolos EUDI Wallet (OpenID4VP, ISO 18013-5)
• [ ] Identificar as APIs que devem ser atualizadas junto a seus editores de assinatura eletrônica
• [ ] Prever testes de integração com as carteiras piloto disponíveis em 2026
• [ ] Implementar vigilância sobre os atos de execução da Comissão (notificações no Jornal Oficial da UE)

5.3 Para as direções de negócios

Os ganhos esperados de uma conformidade bem antecipada são concretos : redução de atritos nos percursos de assinatura graças à identidade pré-verificada da EUDI Wallet, aceleração dos processos KYC e redução dos custos de verificação de identidade. Para avaliar o retorno sobre investimento de sua transição, nosso calculador ROI assinatura eletrônica integra os parâmetros específicos para conformidade eIDAS 2.

Por fim, as organizações que consideram uma migração de outras soluções para uma plataforma nativement preparada para eIDAS 2 podem consultar nosso guia de migração de DocuSign ou YouSign para Certyneo, que detalha as etapas técnicas e contratuais de uma transição sem interrupção.

Marco legal aplicável à implantação do eIDAS 2

Textos fundadores e hierarquia das normas

A implantação do regulamento eIDAS 2 se inscreve em um corpus jurídico estratificado cuja maestria é indispensável para qualquer organização sujeita a obrigações de conformidade.

Regulamento (UE) 2024/1183 do Parlamento Europeu e do Conselho — dito « eIDAS 2 » — constitui a norma de referência. Ele abroga e substitui o regulamento (UE) nº 910/2014 (eIDAS 1) nos pontos que revisa, mantendo a validade das certificações existentes durante os períodos de transição previstos nos artigos 51 e seguintes. Publicado no Jornal Oficial da UE série L em 30 de abril de 2024, entrou em vigor em 20 de maio de 2024.

O Código Civil francês, artigos 1366 e 1367, consagram o reconhecimento da assinatura eletrônica como equivalente à assinatura manuscrita quando satisfaz as condições de identificação do signatário e integridade do documento. Essas disposições são interpretadas à luz do direito europeu eIDAS, que prevalece em virtude do princípio da primazia do direito da União.

O regulamento (UE) 2016/679 (RGPD) se aplica integralmente aos tratamentos de dados pessoais realizados no marco da EUDI Wallet e dos serviços de confiança. Os atributos de identidade (dados biográficos, qualificações, licenças) constituem dados de caráter pessoal no sentido do artigo 4 §1 do RGPD. O princípio de minimização (art. 5 §1 c) é particularmente relevante : os prestadores só devem coletar os atributos estritamente necessários à finalidade da transação.

A diretiva (UE) 2022/2555 (NIS 2), transposta para o direito francês pela lei nº 2024-449 de 21 de maio de 2024, classifica os prestadores de serviços de confiança qualificados entre as entidades essenciais sujeitas a obrigações reforçadas de gestão de riscos cibernéticos, notificação de incidentes e segurança da cadeia de suprimentos.

As normas ETSI constituem o referencial técnico harmonizado do eIDAS 2 :

• ETSI EN 319 401 : requisitos gerais para TSP
• ETSI EN 319 411-1/-2 : políticas para TSP emitindo certificados qualificados
• ETSI EN 319 132-1 : formato XAdES (assinaturas XML avançadas)
• ETSI EN 319 122-1 : formato CAdES (assinaturas CMS avançadas)
• ETSI EN 319 162-1 : formato ASiC (contêineres de assinaturas)

Riscos jurídicos em caso de não-conformidade

O não-respeito das obrigações eIDAS 2 expõe as organizações a vários riscos :

1. Ineficácia das assinaturas : uma assinatura eletrônica realizada via TSP não-conforme aos novos requisitos pode perder a presunção legal de validade, colocando em questão o valor probatório dos contratos assinados.
2. Sanções administrativas : as autoridades de supervisão nacionais (ANSSI na França) podem pronunciar medidas corretivas, injunções de conformidade, ou até retira de acreditação para os TSP.
3. Responsabilidade contratual : as empresas que utilizam ferramentas não-conformes podem ver sua responsabilidade engajada vis-à-vis seus clientes e parceiros se um litígio incide sobre a validade de um ato assinado eletronicamente.
4. Cumulação com RGPD : uma gestão não-conforme dos atributos de identidade da EUDI Wallet pode expor simultaneamente a sanções CNIL (até 4% do faturamento mundial anual).

Cenários de uso concretos face ao calendário eIDAS 2

Cenário 1 — Um escritório de advocacia de tamanho intermediário gerenciando atos transfronteiriços

Um escritório de advocacia de negócios com cerca de quinze colaboradores tratando regularmente de operações de M&A envolvendo contrapartes em vários Estados-membros da UE (Bélgica, Países Baixos, Espanha) utiliza atualmente uma solução de assinatura eletrônica qualificada para seus atos de cessão de participações e seus protocolos de confidencialidade. Com a entrada em aplicação do calendário eIDAS 2, o escritório antecipa duas evoluções principais até fim de 2026 :

• Verificação de identidade simplificada : as contrapartes estrangeiras poderão apresentar seus atributos de identidade via sua EUDI Wallet nacional, eliminando trocas de cópias de passaporte e procedimentos KYC redundantes. De acordo com estimativas dos relatórios da Comissão Europeia sobre os LSP, o ganho de tempo na fase de verificação de identidade é estimado entre 40% e 60% dependendo das jurisdições envolvidas.
• Valor probatório reforçado : os atos assinados com identidades atestadas por EUDI Wallets qualificados se beneficiarão de uma presunção legal ainda mais robusta, reduzindo o risco de contestação judicial em litígios transfronteiriços.

O escritório planeja migrar para uma plataforma SaaS dispondo de um roteiro eIDAS 2 documentado antes de T3 2026, ou seja, aproximadamente seis meses antes das primeiras obrigações de aceitação.

Cenário 2 — Uma PME industrial gerenciando alto volume de contratos com fornecedores

Uma PME do setor de equipamentos industriais gerenciando aproximadamente 250 contratos com fornecedores por ano, dos quais 30% com parceiros europeus fora da França, enfrenta crescentes restrições de verificação de identidade durante o onboarding de novos fornecedores. O processo atual — solicitação de Kbis, cópia de documento de identidade do representante legal, verificação manual — mobiliza em média 2,5 horas por dossier segundo benchmarks setoriais da federação de compradores.

Com a integração da EUDI Wallet em seu workflow de assinatura até 2027, a PME projeta :

• Uma redução de 55 a 70% do tempo dedicado à verificação de identidade graças às atestações de atributos qualificados (número de matrícula, representação legal)
• Uma diminuição de 80% nas relações com fornecedores estrangeiros
• Uma segurança aumentada contra fraude documental, com atributos sendo criptograficamente verificáveis

A PME identificou a necessidade de atualizar suas condições gerais de compra para integrar referência às atestações eIDAS 2, em ligação com seu conselho jurídico.

Cenário 3 — Um agrupamento hospitalar antecipando conformidade para atos médicos digitais

Um agrupamento hospitalar de aproximadamente 900 leitos distribuídos em três locais deve gerenciar a assinatura eletrônica de documentos médicos sensíveis : consentimentos informados, prescrições, relatórios operatórios e contratos com prestadores de cuidados. A regulamentação francesa impõe assinatura qualificada para certos atos médicos de forte alcance jurídico.

Na perspectiva do calendário eIDAS 2, o agrupamento antecipa a chegada de atestações de atributos qualificados para qualificações profissionais de saúde (número RPPS, especialidade, estabelecimento de exercício), que permitirão :

• Automatizar a verificação da qualidade do signatário (médico, cirurgião, farmacêutico) sem verificação manual em diretórios profissionais
• Reduzir riscos de erro de atribuição de assinatura durante substituições e guardas
• Facilitar portabilidade de prontuários médicos digitais entre estabelecimentos, no marco do espaço europeu de dados de saúde (EHDS)

O agrupamento estima que a integração dos fluxos EUDI Wallet em seu sistema de informação hospitalar (SIH) representa um projeto de 12 a 18 meses, justificando um lançamento dos estudos técnicos a partir de T3 2026 para produção antes da obrigação de aceitação setorial.

Conclusão

O calendário de implantação do regulamento eIDAS 2 na União Europeia está agora claramente balisado : atos de execução em finalização em 2026, implantação das EUDI Wallets nacionais entre meados de 2026 e fim de 2026, e obrigações de aceitação para o setor privado a partir do primeiro semestre de 2027. Este roteiro deixa uma janela de ação concreta para as empresas francesas e europeias, desde que iniciem imediatamente a análise de conformidade, a avaliação dos prestadores e a atualização dos processos contratuais.

Esperar 2027 para se conformar é correr o risco de uma transição na urgência, com os custos e riscos jurídicos que isso implica. Certyneo, concebido nativement para os requisitos eIDAS e em roadmap ativo para eIDAS 2, o acompanha desde hoje nesta transição. Comece gratuitamente em Certyneo e proteja seus fluxos documentários em respeito ao marco europeu de confiança digital.