eIDAS 2: النظام الأوروبي الجديد موضح في 2026

المقدمة: لماذا يغير eIDAS 2 كل شيء للشركات الأوروبية

دخل النظام eIDAS 2 — المعروف رسميًا باسم النظام (EU) 2024/1183 — حيز التنفيذ في 20 مايو 2024 بعد صراع تشريعي طويل، ويمثل الإصلاح الأكثر طموحًا الذي تم الاضطلاع به في مجال التعرف الإلكتروني والخدمات الموثوقة في أوروبا. وهو يلغي ويستبدل جزئيًا نظام eIDAS الأصلي لعام 2014 (رقم 910/2014)، مع الحفاظ على التوافق مع البنية الأساسية الموجودة. بالنسبة للشركات التي تستخدم التوقيع الإلكتروني المتوافق مع eIDAS، تقدم هذه الإعادة تشكيل التزامات جديدة وفرصًا غير مسبوقة وجدول زمني صارم للامتثال حتى عام 2026 وما بعده. يكسر هذا المقال الأحكام الرئيسية للنص وتبعاته التشغيلية والطريقة التي يمكن لمنظمتك الاستعداد بها.

---

ما يعدله النظام eIDAS 2 بشكل جوهري

من النظام 2014 إلى الإصدار 2024: إعادة هيكلة جذرية

وضع نظام eIDAS الأصلي لعام 2014 أساس الاعتراف المتبادل بأنظمة التعرف الإلكتروني بين الدول الأعضاء وأنشأ إطارًا قانونيًا موحدًا للخدمات الموثوقة (التوقيع والختم والطابع الزمني، إلخ). لكن بعد عشر سنوات، كانت القيود واضحة: معدل اعتماد منخفض للمعرفات الإلكترونية المخطر بها، وتجزئة الحلول الوطنية، وعدم وجود محفظة رقمية عالمية للمواطنين، والأهم من ذلك عدم التوافق مع استخدام الويب (GAFAM مستبعدة من إطار الثقة).

يصحح eIDAS 2 هذه الثغرات على ثلاثة محاور رئيسية:

1. المحفظة الأوروبية للهوية الرقمية (EUDI Wallet) — يجب على كل دولة عضو أن توفر، في موعد لا يتجاوز نوفمبر 2026، تطبيقًا للمحفظة الرقمية يسمح لأي مواطن أو مقيم أوروبي بتخزين وتقديم خصائص هويته (بطاقة الهوية وجواز السفر والشهادات، إلخ) بطريقة آمنة.
2. توسيع الخدمات الموثوقة المؤهلة — يضيف النص خدمات مؤهلة جديدة: إدارة الأرشفة الإلكترونية المؤهلة (QESAP)، وتقارير السمات المؤهلة (QEAA)، والدفاتر الإلكترونية المؤهلة (QLED) وإدارة أجهزة إنشاء التوقيع عن بعد (QRCD).
3. الالتزام على المنصات الكبيرة — يجب على مزودي خدمات الإنترنت بحجم كبير (الشبكات الاجتماعية والأسواق) قبول محفظة EUDI لتوثيق المستخدمين.

محفظة EUDI Wallet: الهندسة والعمل

EUDI Wallet في قلب eIDAS 2. بشكل عملي، إنه تطبيق برمجي — يُسلّم أو يُصدّق عنه من قبل كل دولة عضو — يقوم على نموذج لامركزي لعرض السمات الانتقائي. لا يقوم المستخدم بنقل سوى البيانات الضرورية بدقة للعملية (مبدأ التقليل، متوافق مع RGPD).

من وجهة النظر التقنية، تعتمد الهندسة على مواصفات Architecture Reference Framework (ARF) التي نشرتها المفوضية الأوروبية وتم تحديثها بانتظام من قبل Large Scale Pilot (LSP) الذي يضم أربعة اتحادات تجريبية (DC4EU و EWC و POTENTIAL و NOBID). التنسيقات المختارة هي بشكل أساسي ISO/IEC 18013-5 (mDL/mDocs) و W3C Verifiable Credentials، مما يضمن التشغيل البيني عبر الحدود.

بالنسبة للشركات، هذا يعني أنها ستتمكن في النهاية من التحقق من هوية عملائها أو شركائها عبر المحفظة دون إدارة جمع المستندات الداعمة بأنفسهم — مما يقلل بشكل كبير من الاحتكاك في KYC (اعرف عميلك) والمخاطر من الاحتيال الوثائقي.

---

مستويات الضمان والتسلسل الهرمي للتوقيعات: ما يتغير

الحفاظ على التسلسل الهرمي QES / AdES / SES

يبقى نظام التوقيعات الإلكترونية منظمًا حول ثلاثة مستويات معرّفة في المادة 3 من eIDAS 2 (تكرار المصطلحات من 2014 لكن توضيح المتطلبات التقنية):

• التوقيع الإلكتروني البسيط (SES): قيمة إثباتية ضئيلة، مناسبة للأعمال الروتينية.
• التوقيع الإلكتروني المتقدم (AdES): ارتباط حصري بالموقع، القدرة على اكتشاف أي تعديل لاحق.
• التوقيع الإلكتروني المؤهل (QES): معادل قانوني للتوقيع اليدوي في جميع أنحاء الاتحاد الأوروبي (المادة 25§2)، الصادر عن طريق جهاز مؤهل لإنشاء التوقيع (QSCD) على أساس شهادة مؤهلة.

يكمن الجديد في الطريقة التي يمكن بها تسليم QES الآن عن طريق خدمات التوقيع عن بعد المؤهلة (QRCD)، حيث يتم توضيح شروط الموافقة عليها في المواد 29a و 29b من النص المعدل. وهذا يفتح الطريق أمام تدفقات رقمية بنسبة 100٪ للأعمال الأكثر تطلبًا — العقود الموثقة والأعمال الإلكترونية الحقيقية — دون الحاجة إلى بطاقة ذاكرية مادية.

التأثير على مزودي خدمات الثقة المؤهلة (QTSP)

يجب على مزودي الخدمات مثل Certyneo، الذين يعملون بالاعتماد على QTSP معتمدة، توقع المتطلبات الجديدة للتدقيق التي قدمتها eIDAS 2. تفرض المادة 24 الآن ضوابط معززة على سلسلة المقاولة من الباطن، وتتماشى متطلبات إخطار حوادث الأمان بشكل صريح مع متطلبات توجيه NIS2 (مهلة 24 ساعة للإخطار الأولي). لمزيد من المعلومات حول عمل المستويات المختلفة للتوقيع في سياق B2B، راجع دليلنا الشامل حول التوقيع الإلكتروني في المؤسسات.

---

جدول النشر والالتزامات للشركات في 2025-2026

المراحل الرئيسية للنشر

تم نشر النظام (EU) 2024/1183 في الجريدة الرسمية للاتحاد الأوروبي في 30 أبريل 2024 ودخل حيز التنفيذ في 20 مايو 2024. يتم نشر الأعمال التنفيذية والمفوضة — الضرورية لتوضيح المتطلبات التقنية — تدريجيًا:

| الموعد النهائي | الالتزام | |---|---| | مايو 2024 | دخول النظام حيز التنفيذ | | نهاية 2024 | نشر الأعمال التنفيذية على ARF v2.0 | | منتصف 2025 | شهادة محافظ EUDI الأولى التجريبية | | نوفمبر 2026 | توافر إلزامي لمحفظة EUDI في كل دولة عضو | | 2027 | قبول إلزامي من قبل المنصات الضخمة على الإنترنت |

ما يجب على الشركات B2B القيام به الآن

بالنسبة للشركات التي تستخدم حلول التوقيع الإلكتروني، تفرض ثلاث أولويات نفسها في 2025-2026:

1. تدقيق سلسلة الثقة الخاصة بهم: التحقق من أن مزود الخدمة الخاص بهم مدرج بالفعل في قائمة QTSP (Trusted List) لدولتهم العضو، وأن الشهادات المستخدمة تتوافق مع مواصفات ETSI EN 319 401 و EN 319 411-1 المعدلة الجديدة.

2. توقع دمج محفظة EUDI: الشركات العاملة في قطاعات منظمة (البنوك والتأمين والصحة والعقارات) ستكون من بين الأولى المتعلقة بتدفقات التحقق من الهوية عبر المحفظة. يُنصح بتجهيز واجهات برمجة التطبيقات (APIs) للتكامل من عام 2025.

3. مراجعة سياسات الحفظ الخاصة بهم: تقدم خدمة الأرشفة الإلكترونية المؤهلة الجديدة (QESAP) معايير الحفظ على المدى الطويل التي قد تفرض نفسها في قطاعات معينة (المشتريات العامة والقطاع الصيدلاني). توفر حاسبة العائد على الاستثمار للتوقيع الإلكتروني الخاصة بنا إمكانية تقييم التأثير المالي لترقية البنية التحتية الخاصة بك للمستندات.

---

التشغيل البيني و RGPD وقضايا السيادة الرقمية

eIDAS 2 و RGPD: تكامل معزز

أحد التقدمات الرئيسية في eIDAS 2 هو التكامل الصريح لمبادئ حماية البيانات منذ البداية (privacy by design) في هندسة محفظة EUDI. تنص المادة 5a§14 على أن المحفظة لا تسمح للمزودين بمتابعة سلوك المستخدم أثناء المعاملات. لم يتم إخطار محررو سمات الهوية المؤهلة (QEAA) باستخدام الشهادات المُصدرة — وهذا يشكل قطيعة رئيسية مع النماذج المركزية الحالية.

تُوصف هذه الهندسة بأنها unlinkability (عدم القابلية للربط): لا يمكن ربط معاملتين منفصلتين من قبل نفس المستخدم دون موافقته. يتجاوز هذا الضمان الحد الأدنى من متطلبات RGPD مع التوافق المثالي معها.

البُعد الجيوسياسي: استعادة السيطرة على الهوية على الإنترنت

يرد eIDAS 2 أيضًا على قضية السيادة. اليوم، يعتمد التوثيق عبر الإنترنت بشكل كبير على الأزرار "تسجيل الدخول مع Google/Facebook/Apple"، مما يمنح عمالقة التكنولوجيا الأمريكيين موقعًا مهيمنًا في إدارة الهويات الرقمية الأوروبية. بفرض قبول المنصات الضخمة جدًا (بمعنى Digital Services Act) محفظة EUDI كوسيلة توثيق، ينشئ eIDAS 2 بديلاً قابلاً للتشغيل البيني وسيادًا.

بالنسبة لشركات B2B، هذا يعني أيضًا أن امتثال eIDAS 2 يمكن أن يصبح معايير اختيار المزود في طلبات المشتريات العامة والخاصة — تمامًا مثل ما تمثله شهادة ISO 27001 اليوم في عمليات الشراء. إذا كانت منظمتك تفكر في تطوير حلك الحالي، فإن دليل الهجرة من DocuSign أو YouSign إلى Certyneo يفصل مراحل الانتقال المضبوط.

الإطار القانوني المنطبق على eIDAS 2 والتوقيع الإلكتروني

نصوص المرجعية

النظام (EU) 2024/1183 من البرلمان الأوروبي والمجلس المؤرخ 11 أبريل 2024، معدِّلاً النظام (EU) رقم 910/2014 فيما يتعلق بإنشاء الإطار الأوروبي لهوية رقمية (eIDAS 2). منشور في الجريدة الرسمية للاتحاد الأوروبي في 30 أبريل 2024، دخل حيز التنفيذ في 20 مايو 2024.

النظام (EU) رقم 910/2014 (eIDAS 1): يبقى نافذًا لأحكامه غير المعدلة، لا سيما المواد المتعلقة بمستويات الضمان "منخفضة" و"كبيرة" و"عالية" للأنظمة المخطر بها.

القانون المدني الفرنسي، المواد 1366 و 1367: الكتابة الإلكترونية لها نفس قيمة الإثبات مثل الكتابة الورقية بشرط أن يتم تحديد هوية الشخص الذي تصدر عنه بشكل صحيح وأن تُؤسس الوثيقة في ظروف تضمن سلامتها. يستوفي التوقيع الإلكتروني المؤهل (QES) بمعنى eIDAS 2 هذه المتطلبات بحق.

النظام (EU) 2016/679 (RGPD): تخضع معالجة بيانات الهوية في سياق محفظة EUDI لمبادئ التقليل (art. 5§1c) وتقييد الغرض (art. 5§1b) وحماية البيانات منذ البداية (art. 25). يمارس المزودون المؤهلون دور المسؤولين عن المعالجة منفصلين لعمليات التحقق.

التوجيه (EU) 2022/2555 (NIS2): تم نقله إلى القانون الفرنسي بموجب المرسوم رقم 2024-528 المؤرخ 12 يونيو 2024، يفرض على مزودي خدمات الثقة المؤهلة التزامات بإدارة مخاطر الإنترنت وإخطار الحوادث خلال 24 ساعة.

معايير ETSI:

• EN 319 132 (XAdES) و EN 319 122 (CAdES): تنسيقات التوقيع الإلكتروني المتقدمة.
• EN 319 401: المتطلبات العامة لمزودي خدمات الثقة.
• EN 319 411-1 و 411-2: السياسة والمتطلبات الأمنية لهيئات إصدار الشهادات المؤهلة.
• EN 319 521: متطلبات الخدمات المؤهلة للحفاظ على التوقيعات (QESAP).

التزامات ومخاطر قانونية للشركات

يجب على أي شركة تستخدم التوقيعات الإلكترونية في سياق عقدي التأكد من أن مستوى التوقيع المختار مناسب لقيمة وطبيعة العمل. بالنسبة للأعمال الخاضعة لمتطلب قانوني للتوقيع (وعود البيع والعقود والشروط وأوامر الشراء التي تتجاوز عتبات معينة)، توفر QES أو AdES على أساس شهادة مؤهلة فقط الافتراض المقصود في المادة 26 من eIDAS 2.

في حالة نزاع، تنعكس عبء الإثبات: إذا كان التوقيع مؤهلاً، فيقع على عاتق الطرف الذي ينكر الوثيقة إثبات تعديلها؛ إذا كانت بسيطة أو متقدمة بدون شهادة مؤهلة، يقع عبء الإثبات على الموقع الذي يستدعيها. قد يؤدي عدم الامتثال لمتطلبات التتبع والسلامة إلى بطلان العمل أو عدم قابلية التوقيع للمعارضة من قبل طرف ثالث.

السيناريوهات الاستخدام: تطبيق eIDAS 2 على الشركات B2B

السيناريو 1 — مكتب استشارات متخصص في التحول الرقمي (حوالي 80 مستشار)

هيكل استشارة ينشر المتعاونين لديه لدى العملاء في عدة دول أعضاء (فرنسا وألمانيا وهولندا) يجب أن يوقع كل شهر على أوامر مهام وتعديلات عقدية وتقارير الاستقبال. قبل eIDAS 2، كانت إدارة الهويات عبر الحدود تولد احتكاكات: رفض بعض العملاء الألمان الاعتراف بالشهادات الصادرة عن QTSP فرنسي، ومصادقة مزدوجة بالبريد الإلكتروني غير كافية للأعمال الحساسة.

مع نشر محفظة EUDI في عام 2026، سيتمكن المستشارون من التوقيع من محفظتهم الوطنية — المعترف بها بحق في جميع الدول الأعضاء — دون أي احتكاك. يقدر المكتب تقليلاً بنسبة 60 إلى 70٪ من الوقت المنقضي على تبادلات التحقق الوثائقي قبل التوقيع، أي حوالي 3 إلى 4 ساعات موفرة لكل مستشار وشهريًا وفقًا للمعايير القطاعية التي نشرتها McKinsey Digital (2024).

السيناريو 2 — مشروع صناعي صغير ومتوسط يدير 350 عقد موردين سنويًا

مشروع صناعي صغير ومتوسط في قطاع المعدات الصناعية، يعمل مع حوالي مائة مزود أوروبي وآسيوي، يجب أن يبرم عقود شراء واتفاقيات سرية (NDA) وعقود إطارية. حتى الآن، عادت 30٪ من هذه المستندات بدون توقيع صحيح أو بتأخيرات تزيد عن 10 أيام عمل.

من خلال اعتماد حل التوقيع الإلكتروني المتوافق مع eIDAS 2 مع التحقق من الهوية عبر السمات المؤهلة (QEAA)، يمكن للمشروع الصغير والمتوسط فرض تدفق توقيع حيث يتم التحقق من هوية الممثل القانوني للمزود تلقائيًا عبر محفظة EUDI، دون إدخال يدوي. النتيجة المتوقعة: تقليل متوسط مهلة التوقيع من 10 أيام إلى أقل من 48 ساعة، وتقليل 40٪ من النزاعات المتعلقة بالتوقيعات غير المتطابقة، بناءً على الفترات الزمنية المرصودة في تقارير ELENIUS 2025 حول إلغاء المستندات B2B.

السيناريو 3 — مجموعة عقارات تدير تسويات بيع في عدة دول

شبكة وكالات عقارية تعمل في فرنسا وإسبانيا والبرتغال يجب عليها بانتظام توقيع العقود الأولية بين البائعين والمشترين من جنسيات مختلفة. يُطلب QES في سياقات معينة لضمان التكافؤ مع التوقيع اليدوي أمام كاتب العدل.

بفضل eIDAS 2 والقابلية للتشغيل البيني لمحافظ EUDI، يمكن لمشتري برتغالي توقيع عقد استحواذ خاضع للقانون الفرنسي باستخدام محفظته الوطنية، بمستوى ضمان "عالي" معترف به تلقائيًا بواسطة منصة التوقيع. تقلل المجموعة نفقات السفر والتصديق بحوالي 800 إلى 1200 يورو لكل ملف عابر للحدود، مع تقليل مهلة إبرام العقود الأولية من 3 أسابيع إلى 5 أيام في المتوسط. للاستخدامات المحددة للقطاع، تفصل الصفحة المخصصة لنا حول التوقيع الإلكتروني في القطاع العقاري سير العمل المناسب.

الخلاصة

eIDAS 2 ليست مجرد تحديث تنظيمي: إنها إعادة تشكيل عميقة للطريقة التي تعمل بها الهوية الرقمية والثقة الإلكترونية في أوروبا. تشكل محفظة EUDI Wallet والخدمات المؤهلة الجديدة والالتزام بالقابلية للتشغيل البيني والمحاذاة مع NIS2 و RGPD نظامًا متماسكًا سيحول العمليات العقدية والمصادقة للشركات بحلول نهاية عام 2026.

لتبقى متوافقة وتنافسية، يجب على المنظمات B2B التحرك الآن: تدقيق سلسلة الثقة الخاصة بهم واختيار مزود موافق للمتطلبات الجديدة وتحضير تدفقات المستندات لديهم لدمج المحفظة الرقمية الأوروبية.

يصاحبك Certyneo في هذا الانتقال مع حلول التوقيع الإلكتروني المؤهل المتوافق مع eIDAS 2، جاهز لعام 2026. اطلب عرضًا توضيحيًا أو أنشئ حسابك على Certyneo لتأمين عقودك من اليوم.