انتقال eIDAS 1 إلى eIDAS 2: التأثيرات على التوقيع الإلكتروني في 2025

في 20 مايو 2024، تم نشر اللائحة (EU) 2024/1183 — المعروفة عادة باسم eIDAS 2 — في الجريدة الرسمية للاتحاد الأوروبي، لإلغاء اللائحة رقم 910/2014 (eIDAS 1) تدريجياً. يمثل هذا النص أعمق إصلاح لالهوية الرقمية والتوقيع الإلكتروني في أوروبا منذ عام 2016. بالنسبة للشركات الفرنسية التي تستخدم حلول التوقيع الإلكتروني في سير عمل العقود الخاصة بها، الانتقال ليس صيغة شكلية: فهو ينطوي على تعديلات تقنية وقانونية وتنظيمية يمتد أفقها حتى عام 2026 وما بعده. لذا فإن فهم الانتقال من eIDAS 1 إلى eIDAS 2 وتأثيره على التوقيع الإلكتروني في عام 2025 أصبح أولوية لمديري الشؤون القانونية والمسؤولين عن الأنظمة وموارد البشر. تقوم هذه المقالة بفك تشفير التطورات الأساسية للإطار والجدول الزمني الدقيق للانتقال والتدابير الملموسة المراد اتخاذها للبقاء متوافقة.

ما الذي تعدله لائحة eIDAS 2 بشكل أساسي

من لائحة 2014 إلى إعادة الهيكلة 2024: لماذا كان التعديل ضروريًا

وضعت eIDAS 1 أساس الاعتراف المتبادل بالتوقيعات الإلكترونية داخل الاتحاد. ثلاثة مستويات هرمية — بسيطة (SES) ومتقدمة (AdES) ومؤهلة (QES) — كانت تنظم القيمة الإثباتية للتوقيعات، مدعومة بقائمة موفري الخدمات الموثوقة (TSL). لكن في عشر سنوات، ظهرت فجوتان رئيسيتان.

أولاً، كانت اللائحة الأصلية تنطبق بشكل أساسي على العلاقات مع الإدارات العامة (G2B و G2C). لم تنشئ التزامات مباشرة في المعاملات الخاصة (B2B و B2C)، تاركة فراغًا معياريًا كانت كل دولة عضو تملأه بطريقة غير متجانسة. ثانياً، الصعود القوي للخدمات الرقمية — التطبيقات المحمولة والخدمات المصرفية المفتوحة والطب عن بعد — كان قد كشف عن غياب نظام هوية رقمية محمول وقابل للتشغيل البيني على المستوى القاري.

تجيب eIDAS 2 على هذين التحديين من خلال إدخال محفظة الهوية الرقمية الأوروبية (EU Digital Identity Wallet, EUDIW) وتوسيع نطاق خدمات الثقة إلى حالات استخدام جديدة: الأرشفة الإلكترونية المؤهلة والشهادات الموثوقة للسمات والسجلات الإلكترونية المؤهلة (بما فيها تطبيقات البلوكتشين المعتمدة).

فئات جديدة من خدمات الثقة المؤهلة

تمدد لائحة eIDAS 2 قائمة خدمات الثقة المؤهلة (المادة 3 والملحق الرابع المعدل). بخلاف التوقيعات والأختام والطوابع الزمنية المؤهلة المعترف بها بالفعل من قبل eIDAS 1، أصبحت مؤهلة الآن:

• خدمات الأرشفة الإلكترونية المؤهلة (المادة 34 مكرر): الالتزام بالحفاظ على سلامة وقابلية قراءة المستندات الموقعة على المدى الطويل، مع متطلبات معززة للموفرين (QTSP).
• خدمات إدارة أجهزة إنشاء التوقيع عن بعد المؤهلة (QRCD): الإشراف المعزز للحلول البعيدة للتوقيع عبر وحدات أمان الأجهزة (HSM) السحابية.
• شهادات السمات المؤهلة: آلية تسمح لطرف ثالث موثوق بتوثيق سمات كيان معين (مثل صفة محام أو وضع طبيب) دون الكشف عن مجمل الهوية.
• السجلات الإلكترونية المؤهلة: الاعتراف بالسجلات الموزعة تحت شروط صارمة من القابلية للتدقيق والمرونة.

بالنسبة للمستخدمين من حلول التوقيع الإلكتروني، يعني هذا التوسع أن خدمات الثقة المؤهلة المتاحة في السوق ستتنوع، وأن معايير اختيار موفر (QTSP) يجب أن تتضمن هذه القدرات الجديدة.

EUDIW: محفظة الهوية الرقمية كبنية تحتية للتوقيع

الابتكار الأكثر وضوحاً في eIDAS 2 يبقى EUDIW. سيتعين على كل دولة عضو توفير محفظة هوية رقمية مجانية وقابلة للتشغيل البيني مع جميع الدول الأعضاء الأخرى لمواطنيها والمقيمين فيها، بحلول 26 نوفمبر 2026 (الموعد النهائي للامتثال الوطني وفقاً للمادة 5 مكرر). ستتيح هذه المحفظة:

• مصادقة المستخدم برصيد عالي من الثقة (LoA High) دون الاعتماد على موفر طرف ثالث للتحديد;
• التوقيع الإلكتروني للمستندات برصيد مؤهل (QES) مباشرة من المحفظة;
• مشاركة سمات الهوية الانتقائية (selective disclosure)، احترام بالتالي مبدأ تقليل البيانات من اللائحة العامة لحماية البيانات (RGPD).

بالنسبة للشركات، تبسط EUDIW نظرياً إجراءات التحقق من الهوية قبل التوقيع المؤهل، مما يلغي احتكاك التحديد بالفيديو أو التحديد وجهاً لوجه. عملياً، سيعتمد التأثير على وتيرة النشر الوطني — بدأت فرنسا في عام 2025 تجربة تجريبية في إطار برنامج "فرنسا الهوية".

الجدول الزمني الدقيق للانتقال من eIDAS 1 إلى eIDAS 2

المعالم التنظيمية الواجب معرفتها

دخلت اللائحة 2024/1183 حيز النفاذ في 20 مايو 2024، لكن تطبيقها تدريجي. فيما يلي الآجال الرئيسية:

| التاريخ | الحدث | |------|----------| | 20 مايو 2024 | النشر في الجريدة الرسمية للاتحاد الأوروبي، دخول حيز النفاذ الرسمي | | 20 نوفمبر 2024 | مهلة 6 أشهر لاعتماد لوائح التنفيذ من قبل المفوضية (المواصفات التقنية لـ EUDIW) | | نهاية 2025 | نشر المعايير ETSI المعدلة (EN 319 411-1/2, EN 319 401) التي تتضمن متطلبات eIDAS 2 | | 26 مايو 2026 | الموعد النهائي للامتثال الوطني فيما يتعلق بفئات جديدة من الخدمات المؤهلة | | 26 نوفمبر 2026 | إتاحة EUDIW إجباريًا من قبل كل دولة عضو | | 2027-2028 | مراجعة شاملة لقوائم الثقة الوطنية (TSL) والاعتماد الأكاديمي للـ QTSP الجدد |

تبقى eIDAS 1 صحيحة والتوقيعات الصادرة في إطارها تحافظ على قيمتها القانونية الكاملة. لا توجد أي التزام بإعادة التوقيع على المستندات الموجودة. في المقابل، سيتعين على موفري الخدمات الموثوقة المؤهلة تجديد اعتمادهم وفقاً للمعايير التقنية الجديدة بحلول عام 2027.

ما لا يتغير وما يجب مراقبته

الاستمرارية مبدأ أساسي للانتقال. تم الحفاظ على المستويات الثلاثة للتوقيع (SES و AdES و QES) مع تعاريفها دون تغيير. يبقى الافتراض القانوني بالمكافئة مع التوقيع اليدوي المرفق بـ QES (المادة 25 eIDAS 1، المتكررة في المادة 27 eIDAS 2) سارياً. لم تعد القيمة الإثباتية لتوقيعاتك الإلكترونية الحالية محل تساؤل.

ما يجب مراقبته في المقابل: لوائح التنفيذ المنشورة من قبل المفوضية الأوروبية طوال 2025-2026 ستحدد المواصفات التقنية الدقيقة لـ EUDIW وفئات الخدمات الجديدة. هذه النصوص من المستوى 2 لها أهمية عملية كبيرة للمدمجين ومحررات البرامج. بالنسبة للشركات التي تستخدم التوقيع الإلكتروني في عمليات الموارد البشرية أو العمليات القانونية، يُنصح بطلب خارطة طريق الامتثال لـ eIDAS 2 من موفرك.

التأثير الملموس على الشركات وحلول التوقيع الخاصة بها

أي سير عمل يتأثر بالأولوية؟

للانتقال من eIDAS 1 إلى eIDAS 2 تأثيرات مختلفة حسب مستوى التوقيع المستخدم. بالنسبة للشركات، تنقسم إلى ثلاث حالات:

التوقيع الإلكتروني البسيط (SES): يُستخدم للتعديلات منخفضة القيمة والإقرارات الاستقبال والنماذج الداخلية. لا يوجد التزام بالتحديث الفوري. تبقى القواعس الإثباتية منظمة بواسطة القانون المدني (المواد 1366-1367) وليس مباشرة بواسطة eIDAS.

التوقيع الإلكتروني المتقدم (AdES/AdESQC): يجب على الشركات التي تستخدم حلولاً B2B للعقود التجارية أو العقود الموارد البشرية المسجلة رقمياً أو الأعمال العقارية التحقق من أن موفرها يحافظ على الامتثال للمعايير ETSI EN 319 132 (XAdES) و EN 319 122 (CAdES) و EN 319 142 (PAdES) في نسخها المعدلة لـ eIDAS 2. ستنشر ETSI هذه المعايير بحلول نهاية 2025.

التوقيع الإلكتروني المؤهل (QES): سيتعين على موفري الخدمات المؤهلة (QTSP) الانتقال إلى اعتماد جديد لـ eIDAS 2. توفر الفترة الانتقالية موعداً نهائياً معقولاً (حتى 2027)، لكن طلبات العروض المطروحة بدءاً من عام 2025 يجب أن تتضمن شرطاً عن الامتثال لـ eIDAS 2 في معايير الاختيار. بالنسبة للمنظمات التي تقارن الخيارات المتاحة، يتيح مقارنة حلول التوقيع الإلكتروني تقييم نضج المحررين في هذا الموضوع.

متطلبات جديدة لموفري الخدمات الموثوقة المؤهلة (QTSP)

تشدد eIDAS 2 المتطلبات المعمول بها لـ QTSP على ثلاث نقاط رئيسية:

1. أمان الأنظمة: محاذاة إلزامية نحو NIS2 (التوجيه (EU) 2022/2555) لـ QTSP، وهي الآن مصنفة كجهات حتمية. ينجم عن هذا التزامات بإشعارات الحوادث في غضون 24 ساعة وتدقيقات أمان سنوية وتنفيذ خطط استمرارية الأنشطة.

1. مسؤولية معززة: تمدد المادة 13 eIDAS 2 نظام المسؤولية المعمول به لـ QTSP. في حالة الإخلال المثبت، يتم عكس عبء الإثبات: يجب على موفر الخدمة إثبات أنه لم يرتكب إهمالاً، وليس العكس.

1. التشغيل البيني الإجباري: سيتعين على QTSP فضح واجهات برمجية معيارية متوافقة مع EUDIW للسماح بالتكامل الأصلي لمحافظ الهوية. سيسرع هذا الشرط حداثة واجهات التكامل المتاحة للمطورين.

بالنسبة للشركات التي تفكر في تغيير موفر في هذا السياق، الهجرة من DocuSign أو YouSign نحو حل يتوافق مع eIDAS 2 هو نهج يستحق التوقع الآن بدلاً من الاستعجالية في 2027.

البيانات الشخصية و eIDAS 2: الترابط مع لائحة حماية البيانات

تجمع وتعالج EUDIW بيانات هوية ذات طابع شخصي. تنص لائحة eIDAS 2 بوضوح (الديباجة 11 والمادة 5 مكرر §14) على أن النظام بأكمله يجب أن يكون متوافقاً مع لائحة حماية البيانات (لائحة (EU) 2016/679). عدة نقاط اهتمام:

• الكشف الانتقائي: يجب أن تتيح المحفظة للمستخدم مشاركة السمات الضرورية فقط للمعاملة (مبدأ تقليل البيانات، المادة 5(1)(c) من لائحة حماية البيانات). للتوقيع على عقد، قد يكون فقط التحقق من الرشد العقلي واجب المشاركة دون الكشف عن تاريخ الميلاد الكامل.
• التحويلات خارج الاتحاد الأوروبي: لا يمكن نقل البيانات الشخصية المعالجة في إطار EUDIW خارج المنطقة الاقتصادية الأوروبية إلا مع ضمانات مناسبة (المادة 46 لائحة حماية البيانات). يجب على الموفرين الذين يستخدمون البنى التحتية السحابية الأمريكية توثيق التوافق الخاص بهم.
• الاحتفاظ بسجلات التوقيع: يجب أن يحترم الأرشفة لأدلة التوقيع مدة الاحتفاظ المتناسبة مع طبيعة المستند. توفر خدمة الأرشفة الإلكترونية المؤهلة الجديدة في eIDAS 2 إطاراً تقنياً للرد على هذا المتطلب.

الشركات التي تدير العقود الدولية للموارد البشرية معنية بشكل خاص بهذا الترابط بين حماية البيانات و eIDAS 2، خاصة عندما يقيم الموقعون خارج الاتحاد الأوروبي.

الإطار القانوني المعمول به للانتقال من eIDAS 1 إلى eIDAS 2

نصوص مرجعية

يعتمد الانتقال على تراكم نصوص من الضروري السيطرة عليها:

على المستوى الأوروبي:

• اللائحة (EU) رقم 910/2014 (eIDAS 1): لا تزال سارية حتى إلغاؤها التدريجي من قبل eIDAS 2. تحدد المستويات الثلاثة من التوقيع (SES و AdES و QES) ونظام QTSP.
• اللائحة (EU) 2024/1183 (eIDAS 2): دخلت حيز النفاذ في 20 مايو 2024. تعدل eIDAS 1 بشكل جوهري دون إلغاء فوري. تنطبق الأحكام المتعلقة بـ EUDIW بمجرد نشر لوائح التنفيذ.
• اللائحة (EU) 2016/679 (لائحة حماية البيانات): تنطبق بشكل كامل على معالجة بيانات الهوية في إطار EUDIW والعمليات الموقعة. تذكر المادة 5 مكرر §14 من eIDAS 2 هذا الخضوع بوضوح.
• التوجيه (EU) 2022/2555 (NIS2): يفرض التزامات أمان سيبرانية معززة على QTSP، وهي الآن مصنفة جهات حتمية. تم نقلها إلى القانون الفرنسي من خلال الأمر رقم 2024-821 الصادر في 20 يونيو 2024 (قيد إصدار القرار).

على المستوى الفرنسي:

• القانون المدني، المادتان 1366 و 1367: أساس القيمة الإثباتية للكتابات بشكل إلكتروني. تحدد المادة 1366 المكافئة بين الكتابة الإلكترونية والورقية تحت شروط. تمنح المادة 1367 التوقيع المؤهل (QES) نفس القوة الإثباتية للتوقيع اليدوي.
• القرار رقم 2017-1416 الصادر في 28 سبتمبر 2017: يوضح شروط استخدام التوقيع الإلكتروني في الأعمال بموجب عقود خاصة. يبقى قابل التطبيق خلال الفترة الانتقالية.
• الإطار المرجعي العام للأمان (RGS) v2: بالنسبة للإدارات الفرنسية، يفرض RGS استخدام حلول مرجعية من قبل ANSSI. يُتوقع تحديثها لتضمين eIDAS 2 في عام 2026.

معايير ETSI التقنية المعمول بها

تشكل معايير ETSI المستوى 3 من التسلسل الهرمي المعياري. النسخ الحالية المعمول بها:

• EN 319 132-1/2: صيغة XAdES (التوقيعات XML المتقدمة)
• EN 319 122-1/2: صيغة CAdES (التوقيعات CMS المتقدمة)
• EN 319 142-1/2: صيغة PAdES (التوقيعات PDF المتقدمة)
• EN 319 401: المتطلبات العامة لموفري خدمات الثقة
• EN 319 411-1/2: المتطلبات لـ AC التي تصدر شهادات مؤهلة

ستُعدل هذه المعايير بحلول نهاية 2025 لتضمين متطلبات eIDAS 2 الجديدة. يجب أن تتضمن العقود مع QTSP شرطاً لتحديث النسخ المعدلة بدون تكلفة إضافية.

أخطار قانونية لعدم الامتثال

التوقيع الصادر من موفر لم يعد معتمداً بعد 2027 لن يفقد تلقائياً قيمته القانونية للمستندات الموقعة بالفعل، لكنه لن يستفيد بعد الآن من الافتراض القانوني بالمكافئة مع التوقيع اليدوي (المادة 25 eIDAS). سيقع عبء إثبات سلامة وهوية الموقع بالكامل على الشركة في حالة المنازعة. هذا الخطر الإثباتي حساس بشكل خاص للأعمال التي تكون مهلة الالتزام بها طويلة (5 سنوات في المسائل التجارية، 30 سنة للحقوق العقارية الفعلية).

سيناريوهات الاستخدام: كيف تتوقع المنظمات الانتقال إلى eIDAS 2

السيناريو 1: مكتب محاماة بـ 25 موظفاً يرشد امتثاله الوثائقي

مكتب محاماة متخصص في قانون الأعمال، بحوالي 25 موظفاً وأنشطة مكثفة في التوقيع على الولايات والأعمال القانونية وبروتوكولات الاتفاق، كان يستخدم حتى عام 2024 حلاً للتوقيع المتقدم (AdES) لمجمل تدفقاته. مع إعلان eIDAS 2، أدرك المكتب الحاجة إلى إجراء تدقيق على 1,200 مستند موقع سنوياً لتحديد تلك التي تتطلب QES وفقاً للتوصيات الجديدة من هيئة المحامين الخاصة به.

النتيجة: تم إعادة تصنيف 15٪ من الأعمال (حوالي 180 سنوياً) نحو التوقيع المؤهل، مما سمح بتأمين النظام الإثباتي لهذه المستندات. تفاوض المكتب مع محرره على توقيع شرط يضمن الامتثال لـ eIDAS 2 عند نشر لوائح التنفيذ، دون تكلفة إضافية. انخفض الوقت الإداري المرتبط بالتحقق من هوية الموقعين بنسبة 40٪ بفضل التوقع المسبق لتكامل EUDIW المخطط لعام 2026.

السيناريو 2: شركة صناعية صغيرة ومتوسطة بـ 150 موظفاً تأمن سلسلة العقود الخاصة بها مع الموردين

تدير شركة صناعية صغيرة ومتوسطة حوالي 350 عقد موردين سنوياً — طلبات شراء واتفاقيات عدم الإفشاء وعقود إطارية — كانت تعمل مع حلين مختلفين للتوقيع للتدفقات الداخلية والخارجية، مما أدى إلى جزء من الأدلة الحسابية. في سياق الانتقال إلى eIDAS 2 والمتطلبات الجديدة للأرشفة المؤهلة، قررت DSI توحيد منصتها.

بالهجرة إلى حل واحد موحد يتضمن أرشفة إلكترونية مؤهلة (فئة e