انتقال eIDAS 1 إلى 2: الآثار على التوقيع الإلكتروني في عام 2025

في 20 مايو 2024، تم نشر اللائحة (EU) 2024/1183 — المعروفة عادة باسم eIDAS 2 — في الجريدة الرسمية للاتحاد الأوروبي، مما ألغى تدريجياً اللائحة رقم 910/2014 (eIDAS 1). يمثل هذا النص الإصلاح الأكثر جوهرية للهوية الرقمية والتوقيع الإلكتروني في أوروبا منذ عام 2016. بالنسبة للشركات الفرنسية التي تستخدم حلول التوقيع الإلكتروني في سير عمل العقود الخاصة بها، فإن الانتقال ليس مجرد إجراء شكلي: فهو يتضمن تعديلات تقنية وقانونية وتنظيمية يمتد آفاقها حتى عام 2026 وما بعده. يعتبر فهم انتقال eIDAS 1 إلى eIDAS 2 وتأثيره على التوقيع الإلكتروني في عام 2025 أولوية قصوى للإدارات القانونية وضباط المعلومات والموارد البشرية. تفصل هذه المقالة التطورات الأساسية في الإطار والجدول الزمني الدقيق للانتقال والتدابير العملية المراد اتخاذها للبقاء متوافقاً.

ما الذي تعدله لائحة eIDAS 2 بشكل أساسي

من لائحة 2014 إلى إعادة صياغة 2024: لماذا كان التعديل ضرورياً

وضعت EIDAS 1 أساسات الاعتراف المتبادل بالتوقيعات الإلكترونية داخل الاتحاد. كانت ثلاثة مستويات هرمية — بسيطة (SES) ومتقدمة (AdES) ومؤهلة (QES) — تحدد قيمة الإثبات للتوقيعات، مدعومة بقائمة مقدمي الخدمات الموثوقة (TSL). لكن على مدى عشر سنوات، ظهرت فجوتان رئيسيتان.

أولاً، انطبقت اللائحة الأصلية بشكل أساسي على العلاقات مع الإدارات العامة (G2B, G2C). لم تنشئ التزامات مباشرة في المعاملات الخاصة (B2B, B2C)، مما ترك فراغاً معيارياً كان كل دولة عضو تملأه بطريقة غير متجانسة. ثانياً، أظهرت زيادة الخدمات الرقمية — التطبيقات المحمولة والخدمات المصرفية المفتوحة والطب عن بعد — غياب نظام هوية رقمية محمول وقابل للتشغيل البيني على المستوى القاري.

تجيب EIDAS 2 على هذين التحديين من خلال تقديم محفظة الهوية الرقمية الأوروبية (EU Digital Identity Wallet, EUDIW) وتوسيع نطاق خدمات الثقة إلى حالات استخدام جديدة: الأرشفة الإلكترونية المؤهلة والشهادات على السمات المؤهلة والسجلات الإلكترونية المؤهلة (بما في ذلك تطبيقات البلوكتشين المعتمدة).

الفئات الجديدة من خدمات الثقة المؤهلة

توسع لائحة eIDAS 2 قائمة خدمات الثقة المؤهلة (المادة 3 والملحق IV المعدل). بالإضافة إلى التوقيعات والأختام والطوابع الزمنية المؤهلة المعترف بها بالفعل من قبل eIDAS 1، أصبحت الآن مؤهلة:

• خدمات الأرشفة الإلكترونية المؤهلة (المادة 34 مكرراً): التزام بالحفاظ على سلامة وقراءة المستندات الموقعة على المدى الطويل، مع متطلبات معززة لمقدمي الخدمات (QTSP).
• خدمات إدارة أجهزة إنشاء التوقيع عن بعد المؤهلة (QRCD): إشراف معزز لحلول التوقيع عن بعد عبر HSM (وحدة أمان الأجهزة) السحابية.
• الشهادات على السمات المؤهلة: آلية تسمح لطرف ثالث موثوق بتصديق سمات كيان (مثل صفة محام أو حالة الطبيب) دون الكشف عن المجمل الهوية.
• السجلات الإلكترونية المؤهلة: الاعتراف بالسجلات الموزعة في ظروف صارمة من قابلية المراجعة والمرونة.

بالنسبة لمستخدمي حلول التوقيع الإلكتروني، يعني هذا التوسع أن خدمات الثقة المؤهلة المتاحة في السوق ستتنوع، وأن معايير اختيار مقدم الخدمة (QTSP) يجب أن تدمج هذه القدرات الجديدة.

EUDIW: محفظة الهوية الرقمية كبنية تحتية للتوقيع

تبقى الابتكار الأكثر وضوحاً في eIDAS 2 هو EUDIW. يجب على كل دولة عضو توفير محفظة هوية رقمية مجانية وقابلة للتشغيل البيني مع جميع الدول الأعضاء الأخرى لمواطنيها والمقيمين فيها، بحلول 26 نوفمبر 2026 (فترة الامتثال الوطني وفقاً للمادة 5 مكرراً). ستتيح هذه المحفظة:

• مصادقة المستخدم بمستوى تأكيد عالٍ (LoA High) دون اللجوء إلى طرف ثالث لتقديم الهوية؛
• التوقيع الإلكتروني على المستندات بقيمة مؤهلة (QES) مباشرة من المحفظة؛
• مشاركة سمات الهوية الانتقائية (selective disclosure)، احترام مبدأ تقليل البيانات في GDPR.

بالنسبة للشركات، يبسط EUDIW نظرياً إجراءات التحقق من الهوية قبل التوقيع المؤهل، مما يزيل احتكاك التحديد عبر الفيديو أو التحديد وجهاً لوجه. عملياً، سيعتمد التأثير على وتيرة النشر الوطني — بدأت فرنسا في عام 2025 تجربة تجريبية في إطار برنامج "France Identité".

الجدول الزمني الدقيق للانتقال من eIDAS 1 إلى eIDAS 2

المعالم التنظيمية التي يجب معرفتها

دخلت اللائحة 2024/1183 حيز النفاذ في 20 مايو 2024، لكن تطبيقها تدريجي. فيما يلي المواعيد النهائية الرئيسية:

| التاريخ | الحدث | |------|----------| | 20 مايو 2024 | النشر في الجريدة الرسمية، دخول النفاذ الرسمي | | 20 نوفمبر 2024 | مهلة 6 أشهر لاعتماد لوائح التنفيذ من قبل المفوضية (المواصفات الفنية ل EUDIW) | | نهاية 2025 | نشر معايير ETSI المعدلة (EN 319 411-1/2, EN 319 401) التي تدمج متطلبات eIDAS 2 | | 26 مايو 2026 | الموعد النهائي لامتثال الدول الأعضاء للفئات الجديدة من الخدمات المؤهلة | | 26 نوفمبر 2026 | التوفر الإلزامي ل EUDIW من قبل كل دولة عضو | | 2027-2028 | المراجعة الكاملة لقوائم الثقة الوطنية (TSL) واعتماد QTSP الجديدة |

تبقى EIDAS 1 سارية وتحتفظ التوقيعات الصادرة بموجب نظامها بقيمتها القانونية الكاملة. لا توجد أي التزام بإعادة التوقيع على المستندات الموجودة. في المقابل، يجب على مقدمي الخدمات الموثوقة المؤهلة تجديد اعتمادهم وفقاً للمعايير الفنية الجديدة بحلول عام 2027.

ما الذي لا يتغير وما الذي يجب مراقبته

الاستمرارية مبدأ أساسي للانتقال. يتم الحفاظ على المستويات الثلاثة للتوقيع (SES, AdES, QES) مع تعاريفها دون تغيير. يبقى الافتراض القانوني للمكافئة مع التوقيع بخط اليد المرفق ب QES (المادة 25 eIDAS 1، المكررة في المادة 27 eIDAS 2) ساري المفعول. قيمة الإثبات لتوقيعاتك الإلكترونية الحالية لا تطعن فيها.

يجب مراقبته في المقابل: لوائح التنفيذ (implementing acts) المنشورة من قبل المفوضية الأوروبية طوال 2025-2026 ستحدد المواصفات الفنية الدقيقة ل EUDIW والفئات الجديدة من الخدمات. لهذه النصوص من المستوى 2 أهمية عملية كبيرة للمدمجين والناشرين. بالنسبة للشركات التي تستخدم التوقيع الإلكتروني في عمليات الموارد البشرية أو العمليات القانونية، من الموصى به طلب خارطة طريق الامتثال eIDAS 2 من مقدم الخدمة.

التأثير العملي على الشركات وحلول التوقيع الخاصة بها

ما هي سير العمل المعنية بالأولوية؟

لا يكون للانتقال من eIDAS 1 إلى eIDAS 2 نفس التأثير حسب مستوى التوقيع المستخدم. بالنسبة للشركات، تتميز ثلاث حالات:

التوقيع الإلكتروني البسيط (SES): يُستخدم للملاحق ذات القيمة المنخفضة وإقرارات الاستقبال والنماذج الداخلية. لا التزام بالتحديث الفوري. تبقى القواعس الإثباتية منظمة بموجب القانون المدني (المادة 1366-1367) وليس مباشرة بموجب eIDAS.

التوقيع الإلكتروني المتقدم (AdES/AdESQC): يجب على الشركات التي تستخدم حلول B2B للعقود التجارية أو العقود العمل الرقمية أو الأعمال العقارية التحقق من أن مقدم الخدمة يحافظ على الامتثال لمعايير ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) و EN 319 142 (PAdES) في نسخهما المعدلة ل eIDAS 2. ستنشر ETSI هذه المعايير بحلول نهاية 2025.

التوقيع الإلكتروني المؤهل (QES): يجب على مقدمي الخدمات المؤهلين (QTSP) الانتقال إلى اعتماد eIDAS 2 جديد. توفر الفترة الانتقالية مهلة معقولة (حتى 2027)، لكن طلبات العروض التي تم إطلاقها ابتداءً من 2025 يجب أن تدمج شرط الامتثال eIDAS 2 في معايير الاختيار. بالنسبة للمنظمات التي تقارن الخيارات المتاحة، يتيح المقارنة بين حلول التوقيع الإلكتروني تقييم نضج الناشرين في هذا الموضوع.

متطلبات جديدة لمقدمي الخدمات الموثوقة المؤهلة (QTSP)

تشدد EIDAS 2 من المتطلبات المنطبقة على QTSP في ثلاث نقاط رئيسية:

1. أمان الأنظمة: محاذاة إلزامية مع NIS2 (التوجيه (EU) 2022/2555) ل QTSP، التي تصنف الآن ككيانات حيوية. يترجم هذا إلى التزامات بإخطار الحوادث خلال 24 ساعة وعمليات تدقيق أمان سنوية وتنفيذ خطط استمرارية الأنشطة.

1. المسؤولية المعززة: توسع المادة 13 eIDAS 2 نظام المسؤولية ل QTSP. في حالة عدم الامتثال المثبت، تنقلب عبء الإثبات: يجب على مقدم الخدمة إثبات أنه لم يرتكب إهمالاً، وليس العكس.

1. القابلية للتشغيل البيني الإلزامية: يجب على QTSP تعريض واجهات برمجية موحدة متوافقة مع EUDIW للسماح بالتكامل الأصلي لمحافظ الهوية. سيسرع هذا الشرط عصرنة واجهات التكامل المتاحة للمطورين.

بالنسبة للشركات التي تفكر في تغيير مقدم الخدمة في هذا السياق، فإن الانتقال من DocuSign أو YouSign إلى حل متوافق مع eIDAS 2 هو نهج يستحق الترقب الآن بدلاً من الاستعجالية في 2027.

البيانات الشخصية و eIDAS 2: الترابط مع GDPR

يجمع EUDIW ويعالج بيانات هوية شخصية. تنص لائحة eIDAS 2 صراحة (الاعتبار 11 والمادة 5 مكرراً §14) على أن مجمل الجهاز يجب أن يكون متوافقاً مع GDPR (لائحة (EU) 2016/679). عدة نقاط انتباه:

• الإفصاح الانتقائي: يجب أن تسمح المحفظة للمستخدم بمشاركة السمات الضرورية فقط للمعاملة (مبدأ تقليل البيانات، المادة 5(1)(c) GDPR). بالنسبة لتوقيع العقد، قد لا يكون إلا التحقق من البلوغ مشاركة دون الكشف عن تاريخ الميلاد الكامل.
• التحويلات خارج الاتحاد: لا يمكن تحويل بيانات الهوية المعالجة في سياق EUDIW خارج المنطقة الاقتصادية الأوروبية إلا بضمانات مناسبة (المادة 46 GDPR). يجب على مقدمي الخدمات الذين يستخدمون بنية تحتية سحابية أمريكية توثيق امتثالهم.
• الحفاظ على سجلات التوقيع: يجب أن يحترم أرشفة أدلة التوقيع مدة الاحتفاظ المتناسبة مع طبيعة المستند. توفر خدمة الأرشفة المؤهلة الجديدة eIDAS 2 إطاراً تقنياً للاستجابة لهذا المتطلب.

الشركات التي تدير العقود العمل الدولية معنية بشكل خاص بهذا الترابط GDPR/eIDAS 2، لا سيما عندما يقيم الموقعون خارج الاتحاد.

الإطار القانوني المنطبق على الانتقال من eIDAS 1 إلى eIDAS 2

نصوص المرجع

يستند الانتقال إلى مجموعة من النصوص التي يجب فهمها بضرورة:

على المستوى الأوروبي:

• اللائحة (EU) رقم 910/2014 (eIDAS 1): لا تزال سارية حتى يتم إلغاؤها تدريجياً بواسطة eIDAS 2. تحدد المستويات الثلاثة للتوقيع (SES, AdES, QES) ونظام QTSP.
• اللائحة (EU) 2024/1183 (eIDAS 2): دخلت حيز النفاذ في 20 مايو 2024. تعديل جوهري ل eIDAS 1 دون إلغاء فوري. يسري تطبيق الأحكام المتعلقة ب EUDIW من نشر الأفعال التنفيذية.
• لائحة (EU) 2016/679 (GDPR): تنطبق بالكامل على معالجة بيانات الهوية في سياق EUDIW وعمليات التوقيع. تذكر المادة 5 مكرراً §14 من eIDAS 2 هذا التبعية صراحة.
• التوجيه (EU) 2022/2555 (NIS2): يفرض التزامات تعزيز الأمان السيبراني على QTSP، المصنفة الآن ككيانات حيوية. تم نقلها إلى القانون الفرنسي بموجب الأمر رقم 2024-821 بتاريخ 20 يونيو 2024 (قيد تطبيق المرسوم).

على المستوى الفرنسي:

• القانون المدني، المواد 1366 و1367: أساس الثقل الإثباتي للكتابات في شكل إلكتروني. تضع المادة 1366 المكافئة بين الكتابة الإلكترونية والورق بشروط. تمنح المادة 1367 للتوقيع المؤهل (QES) نفس قوة الإثبات كتوقيع بخط اليد.
• المرسوم رقم 2017-1416 بتاريخ 28 سبتمبر 2017: يوضح شروط استخدام التوقيع الإلكتروني في الأعمال تحت التوقيع الخاص. تبقى قابلة للتطبيق خلال فترة الانتقال.
• المرجع العام للأمان (RGS) v2: بالنسبة للإدارات الفرنسية، يفرض RGS استخدام حلول مرجعية بواسطة ANSSI. يتوقع تحديث لدمج eIDAS 2 في الربع الأول 2026.

معايير ETSI التقنية المنطبقة

تشكل معايير ETSI المستوى 3 من التدرج المعياري. النسخ الحالية المنطبقة:

• EN 319 132-1/2: تنسيق XAdES (توقيعات XML متقدمة)
• EN 319 122-1/2: تنسيق CAdES (توقيعات CMS متقدمة)
• EN 319 142-1/2: تنسيق PAdES (توقيعات PDF متقدمة)
• EN 319 401: متطلبات عامة لمقدمي خدمات الثقة
• EN 319 411-1/2: متطلبات لـ AC الصادرة لشهادات مؤهلة

سيتم تعديل هذه المعايير بحلول نهاية 2025 لدمج متطلبات eIDAS 2 الجديدة. يجب أن تشمل العقود مع QTSP شرطاً لتحديث النسخ المعدلة بدون تكلفة إضافية.

مخاطر قانونية لعدم الامتثال

التوقيع الصادر عن مقدم خدمة لم يعد معتمداً بعد 2027 لن يفقد قيمته القانونية تلقائياً للمستندات الموقعة بالفعل، لكنه لن يستفيد بعد من الافتراض القانوني للمكافئة مع التوقيع بخط اليد (المادة 25 eIDAS). سيقع عبء إثبات سلامة وهوية الموقع بالكامل على الشركة في حالة النزاع. يكون هذا الخطر الإثباتي حساساً بشكل خاص للأعمال التي تتمتع بمدة طويلة من التقادم (5 سنوات في المسائل التجارية، 30 سنة للحقوق العقارية).

سيناريوهات الاستخدام: كيف تتوقع المنظمات انتقال eIDAS 2

السيناريو 1: مكتب محاماة من 25 متعاوناً يؤدي تحقيقاً شاملاً في امتثاله

مكتب محاماة متخصص في قانون الأعمال، بحوالي 25 متعاوناً ونشاط مكثف لتوقيع التفويضات وأعمال التنازل والبروتوكولات، استخدم حتى 2024 حل توقيع متقدم (AdES) لمجمل تدفقاته. مع إعلان eIDAS 2، أدرك المكتب أهمية إجراء تدقيق لـ 1200 مستند موقع سنوياً لتحديد تلك التي تتطلب QES وفقاً للتوصيات الجديدة لنقابة محاميه.

النتيجة: تم إعادة تصنيف 15% من الأعمال (حوالي 180 سنوياً) نحو التوقيع المؤهل، مما سمح بتأمين نظام الإثبات لهذه المستندات. فاوض المكتب مع ناشره شرطاً يضمن امتثال eIDAS 2 مع نشر الأفعال التنفيذية، بدون تكلفة إضافية. انخفض الوقت الإداري المتعلق بالتحقق من هوية الموقعين بنسبة 40% بفضل الترقب المسبق لتكامل EUDIW المخطط له لعام 2026.

السيناريو 2: شركة صناعية صغيرة ومتوسطة من 150 موظفاً تؤمن سلسلة عقودها الموردة

شركة صناعية صغيرة ومتوسطة تدير حوالي 350 عقد مورد سنوياً — أوامر الشراء والاتفاقيات السرية والعقود الإطارية — كانت تعمل مع حلين توقيع متميزين لتدفقاتها الداخلية والخارجية، مما أنشأ تجزئة في أدلة التدقيق. في سياق انتقال eIDAS 2 والمتطلبات الجديدة للأرشفة المؤهلة، قررت DSI توحيد منصتها.

بالانتقال إلى حل موحد يدمج الأرشفة الإلكترونية المؤهلة (فئة eIDAS 2 المستقبلية)، قللت الشركة الصغيرة والمتوسطة تكاليف التخزين الآمن بنسبة 30% وموحدة أدلة توقيعها في خزينة رقمية متوافقة. مجمل السلسلة الوثائقية قابلة الآن للمراجعة في أقل من دقيقتين أثناء عمليات فحص الموردين — متطلب متزايد من أصحاب عملهم في صناعة السيارات.

السيناريو 3: تجمع مستشفيات حوالي 600 سرير يعد لتكامل EUDI