eIDAS 2 vs eIDAS 1 : mudanças-chave para as PME

Introdução : por que eIDAS 2 muda o jogo para as PME

Desde 20 de maio de 2024, o regulamento (UE) 2024/1183 — comumente chamado eIDAS 2 — entrou em vigor, revogando e substituindo progressivamente o regulamento (UE) nº 910/2014 (eIDAS 1). Para as PME francesas, essa mudança não é uma simples atualização administrativa : ela redefine os níveis de confiança digital, introduz uma carteira de identidade europeia (EUDIW), reforça as exigências aplicáveis aos prestadores de serviços de confiança e amplia o escopo dos serviços reconhecidos. Este artigo compara ponto a ponto eIDAS 1 e eIDAS 2, identifica os impactos operacionais concretos para pequenas e médias empresas, e oferece um plano de ação para manter a conformidade em 2026.

---

1. Lembrança : o que estabelecia eIDAS 1 (2014-2024)

1.1 Os fundamentos do regulamento inicial

Adotado em julho de 2014 e aplicável desde setembro de 2016, eIDAS 1 estabeleceu os primeiros alicerces de um espaço de confiança digital europeu. Introduziu três grandes categorias de assinatura eletrônica — simples (SES), avançada (AdES) e qualificada (QES) — e criou a lista de confiança dos prestadores qualificados (Trusted List), consultável no portal da Comissão Europeia.

Para as PME, a grande contribuição de eIDAS 1 foi o reconhecimento transfronteiriço de assinaturas qualificadas : um contrato assinado com uma QES francesa era legalmente reconhecido na Alemanha, Espanha ou Itália sem apostila ou formalidade adicional. Este princípio — chamado de « não-discriminação » — permaneceu como base sobre a qual ofertas SaaS como Certyneo construíram seus serviços.

1.2 As limitações identificadas

Apesar de seus avanços, eIDAS 1 sofria com várias lacunas documentadas pela Comissão Europeia em seu relatório de avaliação de 2021 :

• Fragmentação dos esquemas de identidade : apenas os Estados-membros que notificaram seu esquema nacional (como FranceConnect+ nível substantivo) se beneficiavam do reconhecimento mútuo. Em 2023, apenas 14 Estados em 27 tinham notificado um esquema compatível.
• Ausência de suporte móvel nativo : o dispositivo qualificado de criação de assinatura (QSCD) frequentemente exigia um cartão inteligente ou token de hardware, limitando a adoção móvel.
• Serviços de confiança limitados : eIDAS 1 listava nove tipos de serviços qualificados ; os novos usos (arquivamento eletrônico qualificado, gerenciamento de atributos) não eram regulados.
• Ausência de carteira de identidade unificada : cada cidadão ou empresa gerenciava seus identificadores de forma silos, sem interoperabilidade garantida.

Essas limitações levaram a Comissão a lançar a revisão desde 2020, resultando no regulamento eIDAS 2 após três anos de negociações.

---

2. As cinco grandes inovações do eIDAS 2 para as PME

2.1 A carteira de identidade digital europeia (EU Digital Identity Wallet — EUDIW)

Esta é a inovação mais visível do regulamento. Até novembro de 2026 (prazo de transposição fixado pelo artigo 5a), cada Estado-membro deverá oferecer pelo menos uma carteira de identidade digital certificada a seus cidadãos e residentes. Para as PME, essa evolução tem duas consequências diretas :

1. Autenticação simplificada de clientes e parceiros : a carteira permitirá compartilhar atributos verificados (idade, número de IVA intracomununitário, extrato do registro comercial, dados bancários certificados) sem fricção. Um acordo-quadro com um parceiro alemão poderá ser assinado após verificação instantânea de seus atributos profissionais a partir de seu EUDIW.
2. Obrigação de aceitação para certos setores : os serviços online das grandes plataformas (artigo 45bis) e certos serviços públicos deverão aceitar a EUDIW como meio de autenticação. As PME que fornecem portais B2B deverão adaptar suas APIs de autenticação.

2.2 Expansão da lista de serviços de confiança qualificados

eIDAS 2 expande o catálogo de serviços de confiança qualificados de 9 para 14 categorias. As novas entradas afetando diretamente as PME são :

• O arquivamento eletrônico qualificado (art. 45septies) : preservação de longo prazo com valor probante reforçado. Até agora, o arquivamento com valor probante se apoiava em referenciais nacionais (na França, o referencial SIAF/ANSSI) ; eIDAS 2 harmoniza o marco europeu.
• A gestão remota de dispositivos qualificados de criação de assinatura (RQSCD) : agora explicitamente regulada, ela esclarece as ambiguidades que pesavam sobre soluções em nuvem de assinatura qualificada. Para uma PME de 50 funcionários, isso significa acessar assinatura qualificada sem token físico, a partir de qualquer dispositivo.
• O serviço de registro eletrônico qualificado : registros baseados em blockchain ou tecnologias de livro-razão distribuído agora podem obter o status qualificado, abrindo caminho para novos modelos de gestão contratual.

Para saber mais sobre os níveis de assinatura e seu valor legal, consulte nosso guia completo de assinatura eletrônica.

2.3 Reforço das exigências de segurança para prestadores qualificados (QTSP)

eIDAS 2 endurece as obrigações dos prestadores de serviços de confiança qualificados (QTSP). O artigo 24 revisado impõe notadamente :

• Uma certificação de cibersegurança conforme o marco europeu (EU Cybersecurity Act, regulamento 2019/881), com esquemas setoriais em desenvolvimento pela ENISA.
• Exigências reforçadas em matéria de resiliência operacional : os QTSP devem agora documentar seu plano de continuidade de negócios e submetê-lo a seu órgão de supervisão nacional (na França, a ANSSI para prestadores qualificados).
• Uma obrigação de notificação de incidentes de segurança em 24 horas (alinhamento com NIS 2).

Para as PME usuárias, isso se traduz em uma obrigação de diligência reforçada na escolha do prestador : verificar que sua solução de assinatura consta na Trusted List europeia atualizada é agora uma etapa crítica do seu processo de compra. Nosso comparativo de soluções de assinatura eletrônica pode ajudá-lo nessa análise.

2.4 Interoperabilidade obrigatória dos esquemas de identidade

Onde eIDAS 1 deixava aos Estados-membros a liberdade de notificar (ou não) seu esquema, eIDAS 2 torna a notificação e interoperabilidade obrigatórias para esquemas de identidade usados em serviços públicos online (art. 5). France Identité — o esquema nacional apoiado pelo Ministério do Interior — está em processo de conformação com as especificações técnicas da EUDIW, publicadas pela Comissão no regulamento de execução (UE) 2024/2977.

Para uma PME que interage regularmente com administrações públicas (contratos públicos, autodeclarações fiscais, procedimentos aduaneiros), essa evolução significa que os procedimentos online serão progressivamente unificados em torno de um identificador digital único e reconhecido em toda a UE.

2.5 Novas regras de responsabilidade e supervisão

eIDAS 2 esclarece e estende os regimes de responsabilidade dos prestadores (art. 13 revisado). Um QTSP é agora presumivelmente responsável por qualquer dano causado a uma pessoa física ou jurídica por um descumprimento de suas obrigações, a menos que prove a ausência de culpa. Essa presunção de responsabilidade, reforçada em relação a eIDAS 1, deve incentivar as PME a :

• Formalizar por contrato os compromissos de seu prestador (SLA, garantias de disponibilidade, indenização).
• Verificar a cobertura de seguro de responsabilidade civil profissional do QTSP.
• Conservar as provas de auditoria das transações assinadas (registros de carimbo de tempo, relatórios de verificação de assinatura).

Nossas equipes redigiram um guia detalhado sobre assinatura eletrônica em empresa que aborda esses aspectos contratuais.

---

3. Tabela comparativa eIDAS 1 vs eIDAS 2 : o que muda concretamente

3.1 Síntese das evoluções maiores

| Critério | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Carteira identidade | Ausente | EUDIW obrigatória (Estados-membros) | | Serviços qualificados | 9 categorias | 14 categorias (arquivamento, RQSCD, registros…) | | Notificação esquemas | Facultativa | Obrigatória para serviços públicos | | Segurança QTSP | Critérios Common Criteria | Cybersecurity Act + esquemas ENISA | | Responsabilidade QTSP | Parcial | Presunção de responsabilidade reforçada | | Prazo notificação incidente | Não especificado | 24 horas (alinhamento NIS 2) | | QSCD móvel | Ambiguidade jurídica | RQSCD explicitamente regulado |

3.2 Os prazos-chave a reter para 2026

• Maio 2024 : entrada em vigor do regulamento (UE) 2024/1183.
• Novembro 2026 : data limite para cada Estado-membro oferecer pelo menos uma solução EUDIW certificada.
• 2027 : obrigação para grandes plataformas (art. 45bis) de aceitar EUDIW como meio de autenticação.
• 2028 : revisão prevista dos atos de execução técnicos (regulamentos delegados sobre especificações EUDIW).

Se sua PME contempla migração para uma solução mais conforme, nossa oferta de migração para Certyneo inclui uma auditoria de conformidade eIDAS 2 oferecida.

---

4. Plano de ação prático para colocar sua PME em conformidade com eIDAS 2

4.1 Auditar seus fluxos documentários existentes

Comece mapeando todos os processos nos quais você usa atualmente assinatura eletrônica ou identidade digital : contatos fornecedores, contracheques desmaterializados, mandatos SEPA, acordos de confidencialidade, atos de RH. Para cada fluxo, identifique :

• O nível de assinatura utilizado (SES, AdES, QES).
• O prestador atual e seu status na Trusted List.
• O nível de risco jurídico em caso de contestação.

Esta auditoria é o ponto de partida recomendado pela ANSSI em seu guia de conformidade publicado em março de 2025.

4.2 Atualizar sua solução de assinatura

Se seu prestador atual não consta na Trusted List eIDAS 2 ou não oferece ainda o RQSCD, é hora de comparar as ofertas do mercado. Certyneo é um QTSP certificado que suporta os três níveis de assinatura (SES, AdES, QES) e integra nativamente as novas exigências eIDAS 2, notadamente o arquivamento qualificado e a gestão remota de dispositivos.

4.3 Treinar suas equipes e atualizar seus contratos

eIDAS 2 reforça o valor probante das assinaturas qualificadas mas também impõe boas práticas documentárias. Certifique-se de que suas equipes jurídicas e administrativas :

• Saibam distinguir os três níveis de assinatura e seu valor legal respectivo.
• Integrem em contratos fornecedores uma cláusula de auditoria de conformidade eIDAS.
• Conservem as provas de verificação de assinatura (relatório de validação, carimbo de tempo qualificado) durante o período legal de conservação aplicável (3 a 10 anos conforme a natureza do ato).

Para estruturar essa abordagem, nosso calculador ROI assinatura eletrônica permitirá quantificar os ganhos operacionais relacionados à atualização.

Marco legal aplicável

Textos de referência

A conformidade com eIDAS 2 para uma PME francesa se inscreve em um acúmulo normativo que é essencial dominar.

Regulamento (UE) 2024/1183 do Parlamento Europeu e do Conselho (chamado « eIDAS 2 ») : é o texto fundador, publicado no JOUE em 30 de abril de 2024. Ele revoga e substitui o regulamento (UE) nº 910/2014 segundo um calendário de implantação progressiva até 2027. É de aplicação direta em todos os Estados-membros, sem necessidade de transposição legislativa nacional para suas disposições principais.

Regulamento (UE) nº 910/2014 (eIDAS 1) : algumas de suas disposições permanecem aplicáveis durante os períodos transitórios previstos por eIDAS 2, notadamente para prestadores qualificados que obtiveram sua qualificação antes de maio de 2024 e dispõem de prazo para se recertificar.

Código Civil francês, artigos 1366 e 1367 : o artigo 1366 estabelece o princípio de equivalência entre escrito eletrônico e escrito em papel, sob a condição de que « a pessoa de cuja autoria emana possa ser devidamente identificada e que seja estabelecido e conservado em condições apropriadas para garantir sua integridade ». O artigo 1367 reconhece a assinatura eletrônica como modo de prova, remetendo às condições fixadas por decreto em Conselho de Estado (decreto nº 2017-1416 de 28 de setembro de 2017, codificado nos artigos R. 1369-1 a R. 1369-10 do Código Civil).

Regulamento (UE) 2016/679 (RGPD) : a implantação da EUDIW e o tratamento de atributos de identidade nos fluxos de assinatura eletrônica constituem tratamentos de dados pessoais no sentido do RGPD. As PME devem assegurar-se de que seu QTSP atua como subcontratante no sentido do artigo 28 RGPD, com um DPA (Data Processing Agreement) conforme. A CNIL publicou em janeiro de 2026 uma recomendação específica sobre integração EUDIW-RGPD.

Diretiva (UE) 2022/2555 (NIS 2) : eIDAS 2 se alinha explicitamente com NIS 2 para obrigações de notificação de incidentes (art. 24, §2 eIDAS 2 remetendo às disposições NIS 2). Os QTSP são considerados entidades « essenciais » ou « importantes » no sentido de NIS 2 conforme seu tamanho, e sujeitos a esse título a auditorias de segurança regulares.

Normas ETSI : assinaturas eletrônicas qualificadas devem respeitar as normas ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) e ETSI EN 319 102-1 (procedimento de validação). A norma ETSI TS 119 461 regula verificação de identidade remota (IDV), particularmente relevante para RQSCD.

Riscos jurídicos em caso de não-conformidade

Usar uma solução de assinatura eletrônica não conforme a eIDAS 2 expõe a PME a vários riscos :

• Inadmissibilidade em justiça : um juiz pode rejeitar uma assinatura eletrônica cujo nível não corresponde ao ato assinado (ex. : assinatura simples para um ato necessitando nível avançado ou qualificado).
• Responsabilidade contratual : se um contrato é contestado por um parceiro sob o argumento de nulidade da assinatura, a PME pode estar exposta a demandas de indenização.
• Sanções RGPD : em caso de violação de dados relacionada a um defeito de segurança do prestador, a PME, coproprietária ou responsável pelo tratamento, pode ser sancionada pela CNIL até 4% da receita global anual (art. 83 §4 RGPD).

Cenários de uso concretos

Cenário 1 : uma PME industrial de 80 funcionários gerenciando 400 contratos fornecedores por ano

Uma PME do setor de metalurgia tratando cerca de 400 contratos fornecedores anuais utilizava até 2024 uma solução de assinatura eletrônica simples (SES) para todos seus compromissos, incluindo contratos-marco superiores a 50 000 €. Após auditoria de conformidade eIDAS 2, constatou que 35% de seus contratos necessitavam assinatura avançada ou qualificada para resistir a contestação judicial, notadamente com fornecedores estabelecidos em outros Estados-membros da UE.

Ao migrar para uma solução combinando assinatura avançada (AdES) para contratos correntes e qualificada (QES) para contratos-marco, e ativando arquivamento eletrônico qualificado (novo serviço eIDAS 2), essa PME reduziu em 70% o tempo dedicado à gestão documentária pós-assinatura (classificação, busca, envio de cópias certificadas) e levou a zero os litígios relacionados a contestação de assinatura nos 18 meses seguintes, contra dois incidentes nos 18 meses anteriores.

Cenário 2 : um escritório de consultoria jurídica de 15 colaboradores

Um escritório especializado em direito empresarial, emitindo em média 1 200 atos assinados por ano (cartas de missão, mandatos, acordos de confidencialidade), enfrentava demanda crescente de seus clientes corporativos por assinaturas qualificadas reconhecíveis em toda a UE. Sob eIDAS 1, a obtenção de certificado qualificado necessitava procedimento presencial ou verificação por vídeo longa (45 a 90 minutos por usuário).

Graças ao RQSCD (Remote Qualified Signature Creation Device) regulado por eIDAS 2, o escritório pôde desdobrar assinatura qualificada para todos seus colaboradores em menos de duas semanas, via procedimento de inscrição 100% remota conforme a norma ETSI TS 119 461. A taxa de adoção interna passou de 40% para 95% em três meses, e o tempo médio de retorno de atos assinados foi reduzido de 4,2 dias para menos de 6 horas conforme medições internas do escritório.

Cenário 3 : uma PME e-commerce operando em três países da UE

Uma empresa de venda online empregando 35 pessoas e operando na França, Bélgica e Países Baixos deveria gerenciar três tipos de acordos eletrônicos : contratos de emprego para seus funcionários locais, acordos de parceria com transportadores, e mandatos SEPA para seus clientes profissionais. A fragmentação das exigências nacionais sob eIDAS 1 a obrigava a manter três workflows de assinatura distintos, com custos de gestão estimados em cerca de 12 000 € por ano.

A adoção de uma solução única conforme eIDAS 2 — integrando reconhecimento mútuo de assinaturas qualificadas nos três países — permitiu unificar os workflows, reduzir o custo de gestão para cerca de 4 500 € por ano (economia de 62%) e eliminar atrasos relacionados à validação manual de assinaturas estrangeiras pelo serviço jurídico.

Conclusão

eIDAS 2 não é uma simples revisão cosmética do marco regulatório : ela redefine profundamente as regras do jogo da confiança digital na Europa. Para as PME francesas, as cinco evoluções maiores — carteira EUDIW, expansão de serviços qualificados, RQSCD, interoperabilidade obrigatória e responsabilidade reforçada — representam tanto uma obrigação de conformidade quanto uma oportunidade de acelerar sua transformação documentária.

As PME que antecipam hoje essas mudanças se beneficiarão de uma vantagem competitiva real : contratos reconhecidos em toda a UE sem fricção, arquivamento com valor probante integrado, e processos de assinatura completamente desmaterializados e seguros.

Certyneo é concebido para acompanhar essa transição. Inicie seu teste gratuito em certyneo.com e beneficie de uma auditoria de conformidade eIDAS 2 oferecida para seus fluxos documentários existentes.