eIDAS 2 مقابل eIDAS 1: التغييرات الرئيسية للشركات الصغيرة والمتوسطة

المقدمة: لماذا يغير eIDAS 2 القواعد للشركات الصغيرة والمتوسطة

منذ 20 مايو 2024، دخل اللائحة (EU) 2024/1183 — المعروفة عموماً باسم eIDAS 2 — حيز التنفيذ، حيث ألغت وحلت تدريجياً محل اللائحة (EU) رقم 910/2014 (eIDAS 1). بالنسبة للشركات الصغيرة والمتوسطة الفرنسية، هذا التحول ليس مجرد تحديث إداري: فهو يعيد تعريف مستويات الثقة الرقمية، ويقدم محفظة الهوية الأوروبية (EUDIW)، ويعزز متطلبات مقدمي خدمات الثقة، ويوسع نطاق الخدمات المعترف بها. تقارن هذه المقالة نقطة تلو الأخرى بين eIDAS 1 و eIDAS 2، وتحدد التأثيرات التشغيلية العملية للشركات الصغيرة والمتوسطة، وتعطيك خطة عمل للبقاء متوافقاً في عام 2026.

---

1. تذكير: ما الذي وضعته eIDAS 1 (2014-2024)

1.1 أسس اللائحة الأولية

تم اعتماد eIDAS 1 في يوليو 2014 وبدأ تطبيقها من سبتمبر 2016، وقد وضعت اللبنات الأولى لمساحة ثقة رقمية أوروبية. قدمت ثلاث فئات رئيسية من التوقيع الإلكتروني — بسيط (SES)، متقدم (AdES)، وموثق (QES) — وأنشأت قائمة الثقة لمقدمي الخدمات الموثقين (Trusted List)، والتي يمكن الاطلاع عليها على بوابة المفوضية الأوروبية.

بالنسبة للشركات الصغيرة والمتوسطة، كان الإسهام الرئيسي لـ eIDAS 1 هو الاعتراف العابر للحدود للتوقيعات الموثقة: كان العقد الموقع بـ QES فرنسي معترفاً به قانونياً في ألمانيا أو إسبانيا أو إيطاليا بدون توثيق أو إجراء إضافي. كان هذا المبدأ — المعروف باسم « عدم التمييز » — هو الأساس الذي بنت عليه عروض SaaS مثل Certyneo خدماتها.

1.2 القيود المحددة

على الرغم من تقدمه، كانت eIDAS 1 تعاني من عدة فجوات وثقتها المفوضية الأوروبية في تقرير تقييمها لعام 2021:

• تجزئة المخطط الهويات: استفادت فقط الدول الأعضاء التي أخطرت بمخططها الوطني (مثل FranceConnect+ على المستوى الكبير) من الاعتراف المتبادل. في عام 2023، كان 14 دولة فقط من أصل 27 قد أخطرت بمخطط متوافق.
• عدم وجود دعم محمول أصلي: كان الجهاز الموثق لإنشاء التوقيع (QSCD) يتطلب غالباً بطاقة ذكية أو رمز مادي، مما أعاق اعتماد الأجهزة المحمولة.
• خدمات ثقة محدودة: احتوت eIDAS 1 على تسع أنواع من الخدمات الموثقة؛ لم تكن الاستخدامات الجديدة (الأرشفة الإلكترونية الموثقة، إدارة السمات) مشمولة.
• عدم وجود محفظة هوية موحدة: كان كل مواطن أو شركة تدير معرّفاتها بطريقة معزولة، بدون ضمان التشغيل البيني.

أدت هذه القيود إلى قيام المفوضية ببدء المراجعة في عام 2020، مما أسفر عن اللائحة eIDAS 2 بعد ثلاث سنوات من المفاوضات.

---

2. الخمس ابتكارات الرئيسية لـ eIDAS 2 للشركات الصغيرة والمتوسطة

2.1 محفظة الهوية الرقمية الأوروبية (EU Digital Identity Wallet — EUDIW)

هذه هي أكثر ابتكارات اللائحة ظهوراً. بحلول شهر نوفمبر 2026 (الموعد النهائي للنقل المحدد في المادة 5أ)، يجب على كل دولة عضو أن توفر لمواطنيها والمقيمين بها محفظة هوية رقمية معتمدة واحدة على الأقل. بالنسبة للشركات الصغيرة والمتوسطة، لهذا التطور نتيجتان مباشرتان:

1. تبسيط مصادقة العملاء والشركاء: ستسمح المحفظة بمشاركة السمات المحققة (العمر، رقم الضريبة المضافة بين الدول، مستخرج من سجل الشركات، البيانات المصرفية المعتمدة) بدون احتكاك. يمكن توقيع اتفاق إطاري مع شريك ألماني بعد التحقق الفوري من سماته المهنية من محفظة EUDIW الخاصة به.
2. التزام القبول لقطاعات معينة: يجب على الخدمات عبر الإنترنت للمنصات الكبيرة (المادة 45 ثنائية) وبعض الخدمات العامة قبول EUDIW كوسيلة للمصادقة. يجب على الشركات الصغيرة والمتوسطة التي توفر بوابات B2B تكييف واجهات برمجة تطبيقات المصادقة الخاصة بها.

2.2 توسيع قائمة خدمات الثقة الموثقة

تعيد eIDAS 2 توسيع كتالوج خدمات الثقة الموثقة من 9 إلى 14 فئة. الإضافات الجديدة التي تؤثر مباشرة على الشركات الصغيرة والمتوسطة هي:

• الأرشفة الإلكترونية الموثقة (المادة 45 سبتيس): الحفظ طويل الأجل بقيمة إثبات معززة. حتى الآن، كانت الأرشفة بقيمة إثبات تعتمد على الأطر المرجعية الوطنية (في فرنسا، الإطار المرجعي SIAF/ANSSI)؛ تقوم eIDAS 2 بتوحيد الإطار الأوروبي.
• الإدارة عن بعد لأجهزة إنشاء التوقيع الموثقة (RQSCD): الآن مشمولة بشكل صريح، فهي ترفع الغموضات التي كانت تثقل حلول التوقيع الموثق السحابية. بالنسبة لشركة صغيرة ومتوسطة بـ 50 موظفاً، هذا يعني الوصول إلى توقيع موثق بدون رمز مادي، من أي جهاز.
• خدمة السجل الإلكتروني الموثق: يمكن للسجلات المستندة إلى blockchain أو تقنيات الدفاتر الموزعة الحصول الآن على وضع موثق، مما يفتح الباب أمام نماذج جديدة لإدارة العقود.

للحصول على المزيد من المعلومات عن مستويات التوقيع وقيمتها القانونية، راجع الدليل الشامل للتوقيع الإلكتروني.

2.3 تعزيز متطلبات الأمان لمقدمي الخدمات الموثقين (QTSP)

تشدد eIDAS 2 التزامات مقدمي خدمات الثقة الموثقين (QTSP). تفرض المادة 24 المعدلة خاصة:

• شهادة أمان سيبراني متوافقة مع الإطار الأوروبي (EU Cybersecurity Act، اللائحة 2019/881)، مع أنظمة قطاعية قيد التطوير من قبل ENISA.
• متطلبات معززة تتعلق بـ المرونة التشغيلية: يجب على QTSP الآن توثيق خطة الاستمرارية والعمليات وتقديمها إلى جهة الإشراف الوطنية (في فرنسا، ANSSI لمقدمي الخدمات الموثقين).
• التزام إخطار حوادث الأمان خلال 24 ساعة (محاذاة مع NIS 2).

بالنسبة للشركات الصغيرة والمتوسطة المستخدمة، هذا يترجم إلى التزام بعناية معززة في اختيار مقدم الخدمة: التحقق من أن حلك التوقيع مدرج بالفعل على قائمة الثقة الأوروبية المحدثة أصبح الآن خطوة حاسمة في عملية الشراء الخاصة بك. يمكن لـ مقارنتنا لحلول التوقيع الإلكتروني أن تساعدك في هذا التحليل.

2.4 التشغيل البيني الإلزامي للمخططات الهويات

حيث تركت eIDAS 1 للدول الأعضاء حرية الإخطار (أو عدمه) بمخططها، تجعل eIDAS 2 الإخطار والتشغيل البيني إلزاميين لمخططات الهويات المستخدمة في الخدمات العامة عبر الإنترنت (المادة 5). France Identité — المخطط الوطني الذي تحمله وزارة الداخلية — في طور المحاذاة مع المواصفات التقنية لـ EUDIW، التي نشرتها المفوضية في اللائحة التنفيذية (EU) 2024/2977.

بالنسبة لشركة صغيرة ومتوسطة تتفاعل بانتظام مع الإدارات العامة (المشتريات العامة، التصريحات الإلكترونية، الإجراءات الجمركية)، يعني هذا التطور أن الإجراءات عبر الإنترنت ستكون موحدة تدريجياً حول معرف رقمي فريد ومعترف به في جميع أنحاء الاتحاد الأوروبي.

2.5 قواعد المسؤولية والإشراف الجديدة

توضح eIDAS 2 وتوسع أنظمة مسؤولية مقدمي الخدمات (المادة 13 المعدلة). يُفترض الآن أن يكون QTSP مسؤولاً عن أي ضرر يلحق بشخص طبيعي أو اعتباري ناتج عن عدم امتثاله لالتزاماته، ما لم يثبت عدم وجود خطأ. يجب أن تشجع هذه الافتراضية للمسؤولية، المعززة عن eIDAS 1، الشركات الصغيرة والمتوسطة على:

• توثيق التزامات مقدم الخدمة بعقد (SLA، ضمانات التوفر، التعويض).
• التحقق من تغطية التأمين على المسؤولية المهنية لـ QTSP.
• الاحتفاظ بأدلة تدقيق معاملات التوقيع (سجلات الطابع الزمني، تقارير التحقق من التوقيع).

كتبت فريقنا دليلاً مفصلاً حول التوقيع الإلكتروني في المؤسسة الذي يتناول هذه الجوانب الانقباضية.

---

3. جدول مقارن eIDAS 1 مقابل eIDAS 2: ما يتغير بالفعل

3.1 ملخص التطورات الرئيسية

| المعيار | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | محفظة الهوية | غير موجودة | EUDIW إلزامية (الدول الأعضاء) | | الخدمات الموثقة | 9 فئات | 14 فئة (أرشفة، RQSCD، سجلات...) | | إخطار المخططات | اختياري | إلزامي للخدمات العامة | | أمان QTSP | معايير Common Criteria | Cybersecurity Act + أنظمة ENISA | | مسؤولية QTSP | جزئية | افتراضية للمسؤولية معززة | | موعد إخطار الحادثة | غير محدد | 24 ساعة (محاذاة NIS 2) | | QSCD محمول | غموض قانوني | RQSCD مشمول بوضوح |

3.2 المواعيد الرئيسية المراد تذكرها في 2026

• مايو 2024: دخول اللائحة (EU) 2024/1183 حيز التنفيذ.
• نوفمبر 2026: الموعد النهائي لكل دولة عضو لتقديم حل EUDIW واحد معتمد على الأقل.
• 2027: التزام المنصات الكبيرة (المادة 45 ثنائية) بقبول EUDIW كوسيلة للمصادقة.
• 2028: المراجعة المخطط لها لأعمال التنفيذ التقنية (اللوائح المفوضة بشأن مواصفات EUDIW).

إذا كانت شركتك الصغيرة والمتوسطة تخطط للترقية إلى حل أكثر توافقاً، فإن عرض الترقية إلى Certyneo يتضمن تدقيق امتثال eIDAS 2 مجاني.

---

4. خطة عمل عملية لجعل شركتك الصغيرة والمتوسطة متوافقة مع eIDAS 2

4.1 تدقيق تدفقاتك الوثائقية الحالية

ابدأ بتعيين جميع العمليات التي تستخدم فيها حالياً التوقيع الإلكتروني أو الهوية الرقمية: العقود مع الموردين، رواتب مدفوعة الأجر، تفويضات SEPA، اتفاقيات السرية، الأعمال البشرية. بالنسبة لكل تدفق، حدد:

• مستوى التوقيع المستخدم (SES، AdES، QES).
• مقدم الخدمة الحالي وحالته على قائمة الثقة.
• مستوى الخطر القانوني في حالة النزاع.

هذا التدقيق هو نقطة الانطلاق الموصى بها من قبل ANSSI في دليل الامتثال الخاص بها الذي نُشر في مارس 2025.

4.2 ترقية حل التوقيع الخاص بك

إذا كان مقدم الخدمة الحالي غير مدرج على قائمة الثقة eIDAS 2 أو لم يقدم حتى الآن RQSCD، فقد حان وقت مقارنة عروض السوق. Certyneo هو QTSP معتمد يدعم مستويات التوقيع الثلاثة (SES، AdES، QES) ويدمج نطاقياً متطلبات eIDAS 2 الجديدة، لا سيما الأرشفة الموثقة وإدارة الأجهزة عن بعد.

4.3 تدريب فريقك وتحديث عقودك

تعزز eIDAS 2 القيمة الإثباتية للتوقيعات الموثقة لكن تفرض أيضاً أفضل الممارسات الوثائقية. تأكد من أن فريقك القانوني والإداري:

• يعرف الفرق بين مستويات التوقيع الثلاثة وقيمتها القانونية الخاصة بكل منها.
• يدمج في عقود الموردين شرط تدقيق امتثال eIDAS.
• يحتفظ بأدلة التحقق من التوقيع (تقرير التحقق، الطابع الزمني الموثق) لمدة الحفظ القانونية المعمول بها (3 إلى 10 سنوات حسب طبيعة الفعل).

لهيكلة هذا النهج، حاسبة العائد على الاستثمار للتوقيع الإلكتروني سيسمح لك بتقدير الفوائد التشغيلية المرتبطة بالترقية.

الإطار القانوني المنطبق

نصوص مرجعية

المحاذاة مع eIDAS 2 لشركة صغيرة ومتوسطة فرنسية تندرج ضمن تراكب معياري من الضروري إتقانه.

اللائحة (EU) 2024/1183 للبرلمان الأوروبي والمجلس (تُسمى « eIDAS 2 »): هذا هو النص الأساسي، المنشور في الجريدة الرسمية للاتحاد الأوروبي في 30 أبريل 2024. تلغي وتحل محل اللائحة (EU) رقم 910/2014 وفقاً لجدول نشر تدريجي يستمر حتى عام 2027. إنها قابلة للتطبيق المباشر في جميع الدول الأعضاء، بدون الحاجة إلى نقل تشريعي وطني لأحكامها الرئيسية.

اللائحة (EU) رقم 910/2014 (eIDAS 1): تظل بعض أحكامها قابلة للتطبيق خلال فترات الانتقال المنصوص عليها في eIDAS 2، لا سيما بالنسبة لمقدمي الخدمات الموثقين الذين حصلوا على تصديقهم قبل مايو 2024 وديهم مهلة للحصول على إعادة اعتماد.

القانون المدني الفرنسي، المادتان 1366 و 1367: تضع المادة 1366 مبدأ التكافؤ بين الكتابة الإلكترونية والكتابة الورقية، شريطة أن « يمكن تحديد الشخص الذي تصدر عنه بشكل صحيح وأن يتم إنشاؤها والاحتفاظ بها في ظروف لضمان سلامتها ». تعترف المادة 1367 بالتوقيع الإلكتروني كطريقة إثبات، إحالة إلى الشروط التي تضعها مرسوم بقرار من مجلس الدولة (مرسوم رقم 2017-1416 من 28 سبتمبر 2017، مرمزة في المواد R.1369-1 إلى R.1369-10 من القانون المدني).

اللائحة (EU) 2016/679 (GDPR): نشر EUDIW ومعالجة سمات الهوية في تدفقات التوقيع الإلكتروني يشكلان معالجة للبيانات الشخصية بمعنى GDPR. يجب على الشركات الصغيرة والمتوسطة التأكد من أن QTSP الخاص بها يعمل كمتعاقد من الباطن بمعنى المادة 28 GDPR، مع DPA (Data Processing Agreement) متوافق. نشرت CNIL في يناير 2026 توصية محددة بشأن دمج EUDIW-GDPR.

التوجيه (EU) 2022/2555 (NIS 2): تتماشى eIDAS 2 بشكل صريح مع NIS 2 بشأن التزامات إخطار الحوادث (المادة 24، الفقرة 2 eIDAS 2 إشارة إلى أحكام NIS 2). يعتبر QTSP كيانات « أساسية » أو « مهمة » بمعنى NIS 2 حسب حجمها، وتخضع بهذا الصفة لعمليات تدقيق أمان منتظمة.

معايير ETSI: يجب أن تمتثل التوقيعات الإلكترونية الموثقة لمعايير ETSI EN 319 132-1 (XAdES)، ETSI EN 319 122-1 (CAdES)، ETSI EN 319 162-1 (ASiC) و ETSI EN 319 102-1 (إجراء التحقق). يؤطر معيار ETSI TS 119 461 التحقق من الهوية عن بعد (IDV)، ذات صلة بشكل خاص لـ RQSCD.

المخاطر القانونية في حالة عدم الامتثال

يعرّض استخدام حل التوقيع الإلكتروني غير المتوافق مع eIDAS 2 الشركة الصغيرة والمتوسطة لعدة مخاطر:

• عدم قبول في المحكمة: قد يرفع القاضي توقيعاً إلكترونياً لا يتطابق مستواه مع الفعل الموقع (على سبيل المثال: توقيع بسيط لفعل يتطلب مستوى متقدم أو موثق).
• المسؤولية الانقباضية: إذا تنازع شريك حول عقد بسبب بطلان التوقيع، قد تكون الشركة الصغيرة والمتوسطة معرضة لطلبات تعويض.
• عقوبات GDPR: في حالة انتهاك البيانات المرتبطة بعيب أمان مقدم الخدمة، قد تكون الشركة الصغيرة والمتوسطة، المسؤولة المشتركة أو مسؤولة المعالجة، عرضة لعقوبات CNIL تصل إلى 4% من الدخل العالمي السنوي (المادة 83، الفقرة 4 GDPR).

سيناريوهات الاستخدام العملية

السيناريو 1: شركة صناعية صغيرة ومتوسطة بـ 80 موظفاً تدير 400 عقد موردين سنوياً

كانت شركة صغيرة ومتوسطة في قطاع الأعمال المعدنية تتعامل مع حوالي 400 عقد موردين سنوياً استخدمت حتى عام 2024 حلاً للتوقيع الإلكتروني البسيط (SES) لجميع التزاماتها، بما في ذلك العقود الإطارية التي تتجاوز 50000 يورو. بعد تدقيق امتثال eIDAS 2، اكتشفت أن 35% من عقودها تتطلب توقيعاً متقدماً أو موثقاً للصمود أمام طعن قضائي، خاصة مع الموردين المقيمين في دول أعضاء أخرى في الاتحاد الأوروبي.

من خلال الترقية إلى حل يجمع بين التوقيع المتقدم (AdES) للعقود الروتينية والموثق (QES) للعقود الإطارية، وتفعيل الأرشفة الإلكترونية الموثقة (خدمة eIDAS 2 الجديدة)، قللت هذه الشركة الصغيرة والمتوسطة بنسبة 70% الوقت المخصص ل