eIDAS 2 مقابل eIDAS 1: التغييرات الرئيسية للشركات الصغيرة والمتوسطة

مقدمة: لماذا eIDAS 2 يغير القواعد للشركات الصغيرة والمتوسطة

منذ 20 مايو 2024، دخلت اللائحة (EU) 2024/1183 — المعروفة باسم eIDAS 2 — حيز النفاذ، وألغت وحلت محل اللائحة (EU) رقم 910/2014 (eIDAS 1) تدريجياً. بالنسبة للشركات الصغيرة والمتوسطة الفرنسية، هذا التحول ليس مجرد تحديث إداري بسيط: فهو يعيد تعريف مستويات الثقة الرقمية، ويقدم محفظة هوية أوروبية (EUDIW)، ويعزز المتطلبات المطبقة على مقدمي خدمات الثقة ويوسع نطاق الخدمات المعترف بها. تقارن هذه المقالة نقطة تلو الأخرى eIDAS 1 و eIDAS 2، وتحدد التأثيرات التشغيلية الملموسة للشركات الصغيرة والمتوسطة، وتزودك بخطة عمل للبقاء متوافقاً في 2026.

---

1. ملخص: ما وضعه eIDAS 1 (2014-2024)

1.1 أساسات اللائحة الأولية

اعتمدت في يوليو 2014 وأصبحت قابلة للتطبيق منذ سبتمبر 2016، وضعت eIDAS 1 حجر الأساس الأول لمساحة ثقة رقمية أوروبية موحدة. قدمت ثلاث فئات رئيسية من التوقيع الإلكتروني — بسيط (SES)، متقدم (AdES) ومؤهل (QES) — وأنشأت قائمة الثقة بمقدمي الخدمات المؤهلين (Trusted List)، والتي يمكن الاستشارة بها على بوابة المفوضية الأوروبية.

بالنسبة للشركات الصغيرة والمتوسطة، كان الإسهام الرئيسي لـ eIDAS 1 هو الاعتراف عبر الحدود بالتوقيعات المؤهلة: عقد موقع بـ QES فرنسي كان معترفاً به قانونياً في ألمانيا وإسبانيا أو إيطاليا بدون توثيق أو إجراء إضافي. ظل هذا المبدأ — المعروف بـ "عدم التمييز" — الأساس الذي بنت عليه العروض SaaS مثل Certyneo خدماتها.

1.2 القيود المحددة

رغم تقدمه، عانت eIDAS 1 من عدة نقاط ضعف موثقة من قبل المفوضية الأوروبية في تقرير التقييم الخاص بها لعام 2021:

• تجزئة أنظمة الهوية: استفادت فقط الدول الأعضاء التي أخطرت بنظامها الوطني (مثل FranceConnect+ على المستوى الموضوعي) من الاعتراف المتبادل. في 2023، أخطرت فقط 14 دولة من أصل 27 بنظام متوافق.
• غياب الدعم المحمول الأصلي: كان جهاز الإنشاء المؤهل للتوقيع (QSCD) يتطلب في كثير من الأحيان بطاقة ذكية أو رمز مادي، مما يعيق اعتماد الجوال.
• خدمات ثقة محدودة: أدرجت eIDAS 1 تسعة أنواع من الخدمات المؤهلة؛ لم تكن الاستخدامات الجديدة (الأرشفة الإلكترونية المؤهلة، إدارة الخصائص) منظمة.
• عدم وجود محفظة هوية موحدة: أدار كل مواطن أو شركة معرفاته بطريقة منعزلة، بدون ضمان قابلية التشغيل البيني.

قادت هذه القيود المفوضية إلى إطلاق المراجعة منذ 2020، مما أسفر عن اللائحة eIDAS 2 بعد ثلاث سنوات من المفاوضات الثلاثية.

---

2. التطورات الخمسة الكبرى لـ eIDAS 2 للشركات الصغيرة والمتوسطة

2.1 محفظة الهوية الرقمية الأوروبية (EU Digital Identity Wallet — EUDIW)

هذه هي الجديدة الأكثر وضوحاً في اللائحة. بحلول شهر نوفمبر 2026 (الموعد النهائي للتبديل الوارد في المادة 5a)، يجب على كل دولة عضو أن توفر لمواطنيها والمقيمين فيها محفظة هوية رقمية معتمدة واحدة على الأقل. بالنسبة للشركات الصغيرة والمتوسطة، لهذا التطور عاقبتان مباشرتان:

1. تبسيط المصادقة لدى العملاء والشركاء: ستسمح المحفظة بمشاركة الخصائص المحققة (العمر، رقم معرف الضريبة بين الدول الأعضاء، مستخرج Kbis، البيانات المصرفية المعتمدة) بدون احتكاك. يمكن توقيع اتفاقية إطار عمل مع شريك ألماني بعد التحقق الفوري من خصائصه المهنية من محفظته.
2. التزام القبول لقطاعات معينة: سيتعين على الخدمات عبر الإنترنت للمنصات الكبيرة (المادة 45bis) وبعض الخدمات العامة قبول EUDIW كوسيلة مصادقة. يجب على الشركات الصغيرة والمتوسطة التي تزود بوابات B2B تكييف واجهات برمجة تطبيقات المصادقة الخاصة بها.

2.2 توسيع قائمة خدمات الثقة المؤهلة

توسع eIDAS 2 كتالوج خدمات الثقة المؤهلة من 9 إلى 14 فئة. الإدخالات الجديدة التي تؤثر مباشرة على الشركات الصغيرة والمتوسطة هي:

• الأرشفة الإلكترونية المؤهلة (الفن. 45septies): الحفظ على المدى الطويل بقيمة إثبات معززة. حتى الآن، اعتمدت الأرشفة ذات القيمة الإثباتية على أطر مرجعية وطنية (في فرنسا، معيار SIAF/ANSSI)؛ توحد eIDAS 2 الإطار الأوروبي.
• إدارة أجهزة الإنشاء المؤهل للتوقيع عن بعد (RQSCD): الآن مشمولة صراحة، فهي تزيل الغموض الذي كان يثقل حلول التوقيع المؤهل في السحابة. بالنسبة لشركة صغيرة ومتوسطة بـ 50 موظفاً، يعني هذا الوصول إلى توقيع مؤهل بدون رمز مادي، من أي جهاز.
• خدمة السجل الإلكتروني المؤهل: يمكن للسجلات المبنية على البلوكتشين أو تقنيات دفتر الأستاذ الموزعة الحصول الآن على الحالة المؤهلة، مما يفتح الطريق لنماذج جديدة لإدارة العقود.

للتعمق أكثر في مستويات التوقيع وقيمتها القانونية، راجع دليلنا الشامل للتوقيع الإلكتروني.

2.3 تعزيز متطلبات الأمان لمقدمي الخدمات المؤهلين (QTSP)

تصعد eIDAS 2 التزامات مقدمي خدمات الثقة المؤهلين (QTSP). تفرض المادة 24 المعدلة على وجه الخصوص:

• شهادة أمن السيبرانية متوافقة مع الإطار الأوروبي (قانون أمن السيبرانية الأوروبي، اللائحة 2019/881)، مع أنظمة قطاعية قيد التطوير من قبل ENISA.
• المتطلبات المعززة فيما يتعلق بـ المرونة التشغيلية: يجب على QTSP الآن توثيق خطة استمرارية أنشطتهم وتقديمها إلى هيئة الإشراف الوطنية (في فرنسا، ANSSI لمقدمي الخدمات المؤهلين).
• التزام بـ إخطار حوادث الأمان في غضون 24 ساعة (محاذاة مع NIS 2).

بالنسبة للشركات الصغيرة والمتوسطة المستخدمة، يترجم هذا إلى التزام بالعناية الواجبة المعززة في اختيار مقدم الخدمة: التحقق من أن حلك يظهر بالفعل على قائمة الثقة الأوروبية المحدثة أصبح الآن خطوة حاسمة في عملية الشراء. يمكن لـ مقارنتنا لحلول التوقيع الإلكتروني أن تساعدك في هذا التحليل.

2.4 إمكانية التشغيل البيني الإلزامية لأنظمة الهوية

بينما تركت eIDAS 1 للدول الأعضاء حرية الإخطار (أم لا)، تجعل eIDAS 2 الإخطار وإمكانية التشغيل البيني إلزامية لأنظمة الهوية المستخدمة في الخدمات العامة عبر الإنترنت (الفن. 5). France Identité — النظام الوطني المدعوم من وزارة الداخلية — قيد المحاذاة مع المواصفات الفنية لـ EUDIW، المنشورة من قبل المفوضية في اللائحة التنفيذية (UE) 2024/2977.

بالنسبة لشركة صغيرة ومتوسطة تتفاعل بانتظام مع الإدارات العامة (المشتريات العامة، الإقرارات الضريبية الإلكترونية، الإجراءات الجمركية)، يعني هذا التطور أن الإجراءات عبر الإنترنت سيتم توحيدها تدريجياً حول معرف رقمي واحد معترف به في جميع أنحاء الاتحاد الأوروبي.

2.5 قواعد جديدة للمسؤولية والإشراف

توضح eIDAS 2 وتوسع أنظمة مسؤولية مقدمي الخدمات (الفن. 13 المعدل). يُفترض الآن أن يكون QTSP مسؤولاً عن أي ضرر تسبب به لشخص طبيعي أو معنوي لأي إخلال بالتزاماته، إلا إذا أثبت عدم وجود خطأ. يجب أن تحفز هذه الافتراضية المعززة للمسؤولية، مقارنة بـ eIDAS 1، الشركات الصغيرة والمتوسطة على:

• توثيق التزامات مقدم الخدمة بموجب العقد (SLA، ضمانات التوفر، التعويض).
• التحقق من تغطية التأمين على المسؤولية المدنية المهنية لـ QTSP.
• الاحتفاظ بالأدلة على مراجعة المعاملات الموقعة (سجلات الطابع الزمني، تقارير التحقق من التوقيع).

أعدت فرقنا دليلاً تفصيلياً عن التوقيع الإلكتروني في المؤسسة التي تتناول هذه الجوانب العقدية.

---

3. جدول مقارنة eIDAS 1 مقابل eIDAS 2: ما الذي يتغير عملياً

3.1 ملخص التطورات الرئيسية

| المعيار | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | محفظة الهوية | غائب | EUDIW إلزامي (الدول الأعضاء) | | الخدمات المؤهلة | 9 فئات | 14 فئة (أرشفة، RQSCD، سجلات...) | | إخطار الأنظمة | اختياري | إلزامي للخدمات العامة | | أمان QTSP | معايير Common Criteria | Cybersecurity Act + أنظمة ENISA | | مسؤولية QTSP | جزئية | افتراضية مسؤولية معززة | | موعد إخطار الحادث | غير محدد | 24 ساعة (محاذاة NIS 2) | | QSCD للجوال | غموض قانوني | RQSCD منظم صراحة |

3.2 الآجال الرئيسية المراد تذكرها لسنة 2026

• مايو 2024: دخول اللائحة (UE) 2024/1183 حيز النفاذ.
• نوفمبر 2026: الموعد النهائي لكل دولة عضو لتقديم حل EUDIW معتمد واحد على الأقل.
• 2027: التزام المنصات الكبيرة (الفن. 45bis) بقبول EUDIW كوسيلة مصادقة.
• 2028: مراجعة مخطط لها للأعمال التنفيذية الفنية (اللائحات المفوضة بشأن مواصفات EUDIW).

إذا كانت شركتك الصغيرة والمتوسطة تفكر في الهجرة إلى حل أكثر توافقاً، فإن عرض الهجرة إلى Certyneo يتضمن تدقيق توافق eIDAS 2 مجاني.

---

4. خطة عمل عملية لإدراج شركتك الصغيرة والمتوسطة في eIDAS 2

4.1 تدقيق سير المستندات الموجود

ابدأ بتعيين جميع العمليات التي تستخدم حالياً التوقيع الإلكتروني أو الهوية الرقمية: عقود الموردين، رواتب الموظفين المنشورة إلكترونياً، تفويضات SEPA، اتفاقيات السرية، قضايا الموارد البشرية. لكل تدفق، حدد:

• مستوى التوقيع المستخدم (SES، AdES، QES).
• مقدم الخدمة الحالي وحالته على قائمة الثقة.
• مستوى المخاطر القانونية في حالة النزاع.

هذا التدقيق هو نقطة الانطلاق الموصى بها من قبل ANSSI في دليل التوافق المنشور في مارس 2025.

4.2 ترقية حل التوقيع الخاص بك

إذا كان مقدم الخدمة الحالي لا يظهر على قائمة ثقة eIDAS 2 أو لم يقدم RQSCD بعد، فقد حان الوقت لمقارنة عروض السوق. Certyneo هو QTSP معتمد يدعم مستويات التوقيع الثلاثة (SES، AdES، QES) ويدمج أصلياً متطلبات eIDAS 2 الجديدة، لا سيما الأرشفة المؤهلة وإدارة الأجهزة عن بعد.

4.3 تدريب فريقك وتحديث عقودك

يعزز eIDAS 2 القيمة الإثباتية للتوقيعات المؤهلة لكنه يفرض أيضاً ممارسات توثيقية جيدة. تأكد من أن فرقك القانونية والإدارية:

• تعرف كيفية التمييز بين مستويات التوقيع الثلاثة وقيمتها القانونية الخاصة بها.
• تدمج في عقود الموردين بنداً يتعلق بتدقيق توافق eIDAS.
• احتفظ بأدلة التحقق من التوقيع (تقرير التحقق، الطابع الزمني المؤهل) لمدة الاحتفاظ القانونية المعمول بها (3 إلى 10 سنوات حسب طبيعة المستند).

لهيكلة هذا النهج، يمكن لـ حاسبة العائد على الاستثمار للتوقيع الإلكتروني أن تسمح لك بقياس المكاسب التشغيلية المتعلقة بالترقية.

الإطار القانوني المعمول به

نصوص الرجوع

يندرج التوافق مع eIDAS 2 لشركة صغيرة ومتوسطة فرنسية في إطار معايير معقدة من الضروري إتقان مفاهيمها.

اللائحة (UE) 2024/1183 من البرلمان الأوروبي والمجلس (تسمى « eIDAS 2 »): هذا هو النص الأساسي، المنشور في JOUE في 30 أبريل 2024. يلغي ويحل محل اللائحة (UE) رقم 910/2014 وفقاً لجدول زمني للنشر التدريجي يستمر حتى 2027. يطبق مباشرة في جميع الدول الأعضاء، بدون الحاجة إلى تبديل تشريعي وطني لأحكامه الرئيسية.

اللائحة (UE) رقم 910/2014 (eIDAS 1): لا تزال بعض أحكامها قابلة للتطبيق خلال الفترات الانتقالية المنصوص عليها في eIDAS 2، وخاصة بالنسبة لمقدمي الخدمات المؤهلين الذين حصلوا على تأهيلهم قبل مايو 2024 ولديهم موعد نهائي لإعادة الاعتماد.

القانون المدني الفرنسي، المواد 1366 و 1367: تضع المادة 1366 مبدأ التعادل بين الكتابة الإلكترونية والكتابة الورقية، بشرط أن « يتمكن من إصدارها أن يتم تحديده هويته بشكل صحيح وأنه تم إنشاؤه والاحتفاظ به في ظروف من شأنها ضمان سلامته ». تعترف المادة 1367 بالتوقيع الإلكتروني كطريقة إثبات، وتحيل إلى الشروط المحددة بموجب مرسوم من مجلس الدولة (المرسوم رقم 2017-1416 المؤرخ 28 سبتمبر 2017، المقنن في المواد R. 1369-1 إلى R. 1369-10 من القانون المدني).

اللائحة (UE) 2016/679 (RGPD): يشكل نشر EUDIW والتعامل مع خصائص الهوية في تدفقات التوقيع الإلكتروني معالجات بيانات شخصية بموجب RGPD. يجب على الشركات الصغيرة والمتوسطة التأكد من أن QTSP تعمل كمعالج فرعي بموجب المادة 28 RGPD، مع اتفاقية معالجة البيانات (DPA) متوافقة. نشرت CNIL في يناير 2026 توصية محددة بشأن دمج EUDIW-RGPD.

التوجيه (UE) 2022/2555 (NIS 2): توافق eIDAS 2 صراحة مع NIS 2 لالتزامات إخطار الحوادث (الفن. 24، §2 من eIDAS 2 يشير إلى أحكام NIS 2). يعتبر QTSP كيانات « أساسية » أو « مهمة » بموضوعية NIS 2 حسب حجمها، وخاضعة بهذه الصفة لعمليات تدقيق أمان منتظمة.

معايير ETSI: يجب أن تتوافق التوقيعات الإلكترونية المؤهلة مع معايير ETSI EN 319 132-1 (XAdES)، ETSI EN 319 122-1 (CAdES)، ETSI EN 319 162-1 (ASiC) و ETSI EN 319 102-1 (إجراء التحقق). تنظم معيار ETSI TS 119 461 التحقق عن بعد من الهوية (IDV)، وهو أمر مناسب بشكل خاص لـ RQSCD.

الأخطار القانونية في حالة عدم التوافق

يعرض استخدام حل التوقيع الإلكتروني غير الموافق مع eIDAS 2 الشركة الصغيرة والمتوسطة لعدة مخاطر:

• عدم القبول في المحكمة: قد يستبعد القاضي التوقيع الإلكتروني الذي لا يتطابق مستواه مع المستند الموقع (مثل التوقيع البسيط لمستند يتطلب مستوى متقدماً أو مؤهلاً).
• المسؤولية العقدية: إذا تمت الطعن في عقد من قبل شريك على أساس بطلان التوقيع، قد تكون الشركة الصغيرة والمتوسطة عرضة لطلبات تعويضات.
• عقوبات RGPD: في حالة انتهاك بيانات مرتبط بقصور أمني في مقدم الخدمة، قد تكون الشركة الصغيرة والمتوسطة، كمسؤول مشارك أو معالج، عرضة لعقوبات من CNIL بنسبة تصل إلى 4% من رقم الأعمال السنوي العالمي (الفن. 83 §4 من RGPD).

سيناريوهات الاستخدام الملموسة

السيناريو 1: شركة صغيرة ومتوسطة صناعية بـ 80 موظفاً تدير 400 عقد مورد سنوياً

كانت شركة صغيرة ومتوسطة في قطاع المعادن تتعامل مع حوالي 400 عقد مورد سنوية حتى 2024 تستخدم حل التوقيع الإلكتروني البسيط (SES) لجميع التزاماتها، بما في ذلك العقود الإطارية التي تتجاوز 50,000 يورو. بعد تدقيق التوافق مع eIDAS 2، لاحظت أن 35% من عقودها كانت تتطلب توقيعاً متقدماً أو مؤهلاً للصمود أمام طعن قانوني، خاصة مع الموردين الموجودين في دول أعضاء أخرى في الاتحاد الأوروبي.

بالهجرة إلى حل يجمع بين التوقيع المتقدم (AdES) للعقود الروتينية والموقع المؤهل (QES) للعقود الإطارية، وتفعيل الأرشفة الإلكترونية المؤهلة (خدمة جديدة في eIDAS 2)، قللت هذه الش