الانتقال من eIDAS 1 إلى eIDAS 2: التأثيرات على التوقيع الإلكتروني في عام 2025

في 20 مايو 2024، تم نشر النظام (EU) 2024/1183 — الذي يُعرّف عادة باسم eIDAS 2 — في الجريدة الرسمية للاتحاد الأوروبي، وألغى تدريجياً النظام رقم 910/2014 (eIDAS 1). يمثل هذا النص أعمق إصلاح للهوية الرقمية والتوقيع الإلكتروني في أوروبا منذ عام 2016. بالنسبة للمؤسسات الفرنسية التي تستخدم حلول التوقيع الإلكتروني في سير العمل الخاص بها، فإن الانتقال ليس مسألة شكلية: فهو يتطلب تعديلات تقنية وقانونية وتنظيمية تمتد حتى عام 2026 وما بعده. أصبح فهم الانتقال من eIDAS 1 إلى eIDAS 2 وتأثيره على التوقيع الإلكتروني في عام 2025 أولوية قصوى للأقسام القانونية وقسم تكنولوجيا المعلومات وقسم الموارد البشرية. تشرح هذه المقالة التطورات الأساسية للإطار والجدول الزمني الدقيق للانتقال والتدابير العملية المراد اتخاذها للبقاء متوافقة.

ما الذي يعدل النظام eIDAS 2 بشكل أساسي

من النظام لعام 2014 إلى إعادة الصياغة لعام 2024: لماذا كان التعديل ضرورياً

وضع eIDAS 1 الأساس للاعتراف المتبادل بالتوقيعات الإلكترونية داخل الاتحاد. أرست ثلاث مستويات هرمية — بسيطة (SES) ومتقدمة (AdES) ومؤهلة (QES) — قيمة الحجية للتوقيعات، مدعومة بقائمة مقدمي خدمات الثقة (TSL). لكن على مدى عشر سنوات، ظهرت فجوتان رئيسيتان.

أولاً، انطبق النظام الأصلي بشكل أساسي على العلاقات مع الإدارات العامة (G2B، G2C). لم يقم بإنشاء التزامات مباشرة في المعاملات الخاصة (B2B، B2C)، مما ترك فراغاً قانونياً كانت كل دولة عضو تملأه بطريقة غير متجانسة. ثانياً، أدت صعود الخدمات الرقمية — التطبيقات المحمولة والخدمات المصرفية المفتوحة والطب عن بعد — إلى الكشف عن غياب نظام هوية رقمية محمول وقابل للتشغيل البيني على الصعيد القاري.

يستجيب eIDAS 2 لهذين التحديين بإدخال محفظة الهوية الرقمية الأوروبية (EU Digital Identity Wallet, EUDIW) وتوسيع نطاق خدمات الثقة للحالات الاستخدامية الجديدة: الأرشفة الإلكترونية المؤهلة، شهادات السمات المؤهلة، السجلات الإلكترونية المؤهلة (بما في ذلك تطبيقات blockchain المعتمدة).

الفئات الجديدة من خدمات الثقة المؤهلة

يوسع النظام eIDAS 2 قائمة خدمات الثقة المؤهلة (المادة 3 والملحق الرابع المنقح). بالإضافة إلى التوقيعات والأختام والطوابع الزمنية المؤهلة المعترف بها بالفعل من قبل eIDAS 1، أصبحت الآن مؤهلة:

• خدمات الأرشفة الإلكترونية المؤهلة (المادة 34 مكرر): التزام بالحفاظ على سلامة وقابلية قراءة المستندات الموقعة على المدى الطويل، مع متطلبات معززة لمقدمي الخدمة (QTSP).
• خدمات إدارة أجهزة إنشاء التوقيع عن بعد المؤهلة (QRCD): إطار معزز لحلول التوقيع عن بعد عبر HSM (وحدة الأمان الصلبة) السحابية.
• شهادات السمات المؤهلة: آلية تسمح لطرف ثالث موثوق بتصديق سمات الكيان (مثل صفة محامي، حالة طبيب) دون الكشف عن مجموع الهوية.
• السجلات الإلكترونية المؤهلة: الاعتراف بالسجلات الموزعة في ظل شروط صارمة للمراجعة والمرونة.

بالنسبة لمستخدمي حلول التوقيع الإلكتروني، يعني هذا التوسع أن خدمات الثقة المؤهلة المتاحة في السوق ستتنوع، وأن معايير اختيار مقدم خدمة (QTSP) يجب أن تدمج هذه القدرات الجديدة.

EUDIW: محفظة الهوية الرقمية بوصفها أساس البنية التحتية للتوقيع

تبقى الابتكار الأكثر وضوحاً في eIDAS 2 هو EUDIW. يجب على كل دولة عضو أن توفر لمواطنيها والمقيمين فيها محفظة هوية رقمية مجانية وقابلة للتشغيل البيني مع جميع الدول الأعضاء الأخرى، بحلول 26 نوفمبر 2026 (مهلة التوافق الوطني وفقاً للمادة 5 مكرر). ستسمح هذه المحفظة بـ:

• المصادقة على المستخدم بمستوى تأكيد عالي (LoA High) دون الاعتماد على طرف ثالث للتحقق من الهوية؛
• توقيع المستندات إلكترونياً بقيمة مؤهلة (QES) مباشرة من المحفظة؛
• مشاركة سمات الهوية الانتقائية (selective disclosure)، محترمة بذلك مبدأ تقليل البيانات في نظام GDPR.

بالنسبة للمؤسسات، تبسط EUDIW نظرياً إجراءات التحقق من الهوية السابقة للتوقيع المؤهل، مما يزيل احتكاك التحقق بالفيديو أو التحقق وجهاً لوجه. عملياً، سيعتمد التأثير على سرعة النشر الوطني — أطلقت فرنسا في عام 2025 تجربة استكشافية في إطار برنامج "France Identité".

جدول زمني دقيق للانتقال من eIDAS 1 إلى eIDAS 2

المحطات التنظيمية المهمة

دخل النظام 2024/1183 حيز النفاذ رسمياً في 20 مايو 2024، لكن تطبيقه تدريجي. فيما يلي المواعيد الحرجة:

| التاريخ | الحدث | |--------|-------| | 20 مايو 2024 | النشر في JOUE، دخول حيز النفاذ الرسمي | | 20 نوفمبر 2024 | مهلة 6 أشهر لاعتماد اللوائح التنفيذية من قبل المفوضية (المواصفات التقنية لـ EUDIW) | | نهاية 2025 | نشر معايير ETSI المنقحة (EN 319 411-1/2، EN 319 401) التي تدمج متطلبات eIDAS 2 | | 26 مايو 2026 | الحد الأقصى لتاريخ توافق الدول الأعضاء مع الفئات الجديدة من الخدمات المؤهلة | | 26 نوفمبر 2026 | توفر EUDIW إلزامي من قبل كل دولة عضو | | 2027-2028 | مراجعة شاملة لقوائم الثقة الوطنية (TSL) واعتماد QTSP الجديدة |

يبقى eIDAS 1 سارياً والتوقيعات الصادرة في إطاره تحافظ على قيمتها القانونية الكاملة. لا توجد أي التزام بإعادة توقيع المستندات الموجودة. من ناحية أخرى، يجب على مقدمي خدمات الثقة المؤهلة تجديد اعتمادهم وفقاً للمعايير التقنية الجديدة بحلول عام 2027.

ما الذي لا يتغير وما الذي يجب مراقبته

التكامل هو مبدأ أساسي للانتقال. تُحتفظ المستويات الثلاثة للتوقيع (SES، AdES، QES) بتعريفاتها دون تغيير. يبقى الافتراض بالمعادلة مع التوقيع اليدوي المرفق بـ QES (المادة 25 eIDAS 1، المعاد نسخها في المادة 27 eIDAS 2) ساري المفعول. لا تُطعن قيمة الحجية لتوقيعاتك الإلكترونية الحالية.

ما الذي يجب مراقبته بدلاً من ذلك: ستحدد اللوائح التنفيذية (implementing acts) المنشورة من قبل المفوضية الأوروبية طوال 2025-2026 المواصفات التقنية الدقيقة لـ EUDIW والفئات الجديدة من الخدمات. لهذه النصوص ذات المستوى 2 أهمية عملية كبيرة للمدمجين وناشري البرامج. بالنسبة للمؤسسات التي تستخدم التوقيع الإلكتروني في عمليات الموارد البشرية أو العمليات القانونية، يُنصح بطلب خريطة طريق توافق eIDAS 2 من مقدم الخدمة الخاص بك.

التأثير العملي على المؤسسات وحلولها في التوقيع

أي سير عمل معني بالأولوية؟

الانتقال من eIDAS 1 إلى eIDAS 2 لا يؤثر بنفس الطريقة على كل مستوى توقيع. بالنسبة للمؤسسات، تتميز ثلاث حالات:

التوقيع الإلكتروني البسيط (SES): يُستخدم لتعديلات القيمة المنخفضة، إقرارات الاستلام، النماذج الداخلية. لا توجد التزامات بتحديث فوري. تبقى قواعد الحجية منظمة من قبل القانون المدني (المادة 1366-1367) وليس مباشرة من قبل eIDAS.

التوقيع الإلكتروني المتقدم (AdES/AdESQC): يجب على المؤسسات التي تستخدم حلول B2B للعقود التجارية، عقود العمل الرقمية أو الأعمال العقارية أن تتحقق من أن مقدم الخدمة الخاص بها يحافظ على التوافق مع معايير ETSI EN 319 132 (XAdES)، EN 319 122 (CAdES) و EN 319 142 (PAdES) في نسخها المنقحة لـ eIDAS 2. ستُنشر هذه المعايير من قبل ETSI بحلول نهاية عام 2025.

التوقيع الإلكتروني المؤهل (QES): يجب على مقدمي الخدمات المؤهلة (QTSP) الانتقال إلى اعتماد eIDAS 2 جديد. توفر الفترة الانتقالية مهلة معقولة (حتى عام 2027)، لكن العطاءات المفتوحة ابتداءً من عام 2025 يجب أن تدمج شرط توافق eIDAS 2 في معايير الاختيار. بالنسبة للمنظمات التي تقارن الخيارات المتاحة، يسمح المقارنة بين حلول التوقيع الإلكتروني بتقييم نضج الناشرين في هذا الموضوع.

متطلبات جديدة لمقدمي خدمات الثقة المؤهلة (QTSP)

يشدد eIDAS 2 على المتطلبات المنطبقة على QTSP في ثلاث نقاط رئيسية:

1. أمان الأنظمة: محاذاة إلزامية مع NIS2 (التوجيه (EU) 2022/2555) لـ QTSP، المصنفة الآن كدول أساسية. ينعكس هذا في التزامات إبلاغ الحوادث خلال 24 ساعة، عمليات التدقيق الأمني السنوي وتنفيذ خطط استمرار العمل.

1. مسؤولية معززة: توسع المادة 13 eIDAS 2 نظام المسؤولية لـ QTSP. في حالة الإخلال المثبت، تنقلب عبء الإثبات: يجب على مقدم الخدمة إثبات أنه لم يرتكب إهمالاً، وليس العكس.

1. قابلية التشغيل البيني الإلزامية: يجب على QTSP أن تعرّض واجهات برمجة تطبيقات (APIs) موحدة متوافقة مع EUDIW للسماح بتكامل المحافظ الأصلية. سيؤدي هذا المتطلب إلى تسريع حداثة واجهات التكامل المتاحة للمطورين.

بالنسبة للمؤسسات التي تفكر في تغيير مقدم الخدمة في هذا السياق، الهجرة من DocuSign أو YouSign إلى حل متوافق مع eIDAS 2 هي خطوة تستحق التوقع الآن بدلاً من التسرع في عام 2027.

البيانات الشخصية و eIDAS 2: التعريف مع GDPR

تجمع EUDIW وتعالج بيانات الهوية ذات الطابع الشخصي. ينص النظام eIDAS 2 صراحةً (الاعتبار 11 والمادة 5 مكرر §14) على أن مجموع الجهاز يجب أن يكون متوافقاً مع GDPR (النظام (EU) 2016/679). عدة نقاط للانتباه:

• الكشف الانتقائي: يجب أن تسمح المحفظة للمستخدم بمشاركة السمات الضرورية بدقة للمعاملة فقط (مبدأ تقليل البيانات، المادة 5(1)(c) GDPR). بالنسبة لتوقيع العقد، يمكن مشاركة التحقق من الرشد فقط دون الكشف عن تاريخ الميلاد الكامل.
• التحويلات خارج الاتحاد الأوروبي: بيانات الهوية المعالجة في إطار EUDIW لا يمكن نقلها خارج EEE إلا بضمانات مناسبة (المادة 46 GDPR). يجب على مقدمي الخدمة الذين يستخدمون بنى البنية التحتية السحابية الأمريكية توثيق امتثالهم.
• الاحتفاظ بسجلات التوقيع: يجب أن يحترم الأرشفة من أدلة التوقيع مدة الاحتفاظ المتناسبة مع طبيعة المستند. توفر خدمة الأرشفة المؤهلة الجديدة eIDAS 2 إطاراً تقنياً للرد على هذا المتطلب.

المؤسسات التي تدير عقود عمل دولية معنية بشكل خاص بهذا التعريف GDPR/eIDAS 2، خاصة عندما يقيم الموقعون خارج الاتحاد الأوروبي.

الإطار القانوني المنطبق على الانتقال من eIDAS 1 إلى eIDAS 2

نصوص مرجعية

يقوم الانتقال على تراكم من النصوص التي لا بد من إتقانها:

على المستوى الأوروبي:

• النظام (EU) رقم 910/2014 (eIDAS 1): لا يزال ساري المفعول حتى إلغاء تدريجي من eIDAS 2. يحدد المستويات الثلاثة للتوقيع (SES، AdES، QES) ونظام QTSP.
• النظام (EU) 2024/1183 (eIDAS 2): دخل حيز النفاذ في 20 مايو 2024. يعدّل eIDAS 1 بشكل كبير دون إلغاؤه فوراً. تنطبق الأحكام المتعلقة بـ EUDIW فور نشر اللوائح التنفيذية.
• النظام (EU) 2016/679 (GDPR): ينطبق بالكامل على معالجة بيانات الهوية في إطار EUDIW وعمليات التوقيع. تذكّر المادة 5 مكرر §14 من eIDAS 2 بهذا التبعية بوضوح.
• التوجيه (EU) 2022/2555 (NIS2): يفرض التزامات تعزيز السيبرنيتية على QTSP، المصنفة الآن كدول أساسية. منقولة إلى القانون الفرنسي بموجب الأمر رقم 2024-821 من 20 يونيو 2024 (قيد إصدار المرسوم).

على المستوى الفرنسي:

• القانون المدني، المادتان 1366 و1367: الأساس لقيمة الحجية للمستندات المكتوبة بشكل إلكتروني. تنشئ المادة 1366 المعادلة بين الكتابة الإلكترونية والورقية في ظل شروط. تمنح المادة 1367 التوقيع المؤهل (QES) نفس قوة الحجية للتوقيع اليدوي.
• المرسوم رقم 2017-1416 من 28 سبتمبر 2017: يوضح شروط استخدام التوقيع الإلكتروني في الأعمال الخاصة. تبقى قابلة للتطبيق خلال الفترة الانتقالية.
• الإطار العام للأمان (RGS) الإصدار 2: بالنسبة للإدارات الفرنسية، يفرض RGS استخدام حلول مرجعية من قبل ANSSI. يُتوقع تحديثها لدمج eIDAS 2 خلال عام 2026.

معايير ETSI التقنية المنطبقة

تشكل معايير ETSI المستوى 3 من الهرم المعياري. النسخ الحالية المنطبقة:

• EN 319 132-1/2: تنسيق XAdES (التوقيعات XML المتقدمة)
• EN 319 122-1/2: تنسيق CAdES (التوقيعات CMS المتقدمة)
• EN 319 142-1/2: تنسيق PAdES (التوقيعات PDF المتقدمة)
• EN 319 401: متطلبات عامة لمقدمي خدمات الثقة
• EN 319 411-1/2: متطلبات سلطات الشهادات التي تصدر شهادات مؤهلة

ستُنقح هذه المعايير بحلول نهاية عام 2025 لدمج متطلبات eIDAS 2 الجديدة. يجب أن تتضمن العقود مع QTSP بند تحديث إلى النسخ المنقحة بدون تكلفة إضافية.

مخاطر قانونية من عدم الامتثال

لن يفقد التوقيع الصادر من مقدم خدمة لم تعد معتمد بعد عام 2027 قيمته القانونية تلقائياً للمستندات الموقعة بالفعل، لكنه لن يستفيد من الافتراض القانوني بالمعادلة مع التوقيع اليدوي (المادة 25 eIDAS). ستقع حينئذ عبء إثبات سلامة وهوية الموقّع بالكامل على عاتق المؤسسة في حالة النزاع. هذا الخطر الإثباتي حساس بشكل خاص للأعمال التي يكون فيها تاريخ التقادم طويلاً (5 سنوات في المسائل التجارية، 30 سنة للحقوق العينية العقارية).

سيناريوهات الاستخدام: كيف تتوقع المنظمات الانتقال إلى eIDAS 2

السيناريو 1: مكتب محاماة بـ 25 موظف يحسّن الامتثال الوثائقي الخاص به

كان مكتب محاماة متخصص في قانون الأعمال يضم حوالي 25 موظف، مع نشاط مكثف لتوقيع الوكالات وأعمال التنازل والبروتوكولات، يستخدم حتى عام 2024 حلاً للتوقيع المتقدم (AdES) لجميع سير أعماله. عند الإعلان عن eIDAS 2، أدرك المكتب أهمية إجراء تدقيق على 1200 مستند موقع سنوياً لتحديد تلك التي تتطلب QES وفقاً للتوصيات الجديدة لنقابته.

النتيجة: أُعيد تصنيف 15% من الأعمال (حوالي 180 سنوياً) إلى التوقيع المؤهل، مما سمح بتأمين نظام الحجية لهذه المستندات. تفاوض المكتب مع ناشر التوقيع الخاص به على بند يضمن التوافق مع eIDAS 2 عند نشر اللوائح التنفيذية، بدون تكلفة إضافية. انخفض الوقت الإداري المتعلق بالتحقق من هوية الموقعين بنسبة 40% بفضل التوقع المسبق لتكامل EUDIW المخطط له لعام 2026.

السيناريو 2: شركة صناعية صغيرة بـ 150 موظف تأمّن السلسلة العقدية للموردين

كانت شركة صناعية صغيرة تدير حوالي 350 عقد موردين سنوياً — أوامر شراء، عقود عدم الإفصاح، عقود إطار عمل — تعمل بحلين توقيع مختلفين لسير أعمالها الداخلية والخارجية، مما أوجد تفاوتاً في الأدلة الحسابية. في سياق الانتقال إلى eIDAS 2 والمتطلبات الجديدة للأرشفة المؤهلة، قررت DSI توحيد منصتها.

بالهجرة إلى حل واحد يدمج الأرشفة الإلكترونية المؤهلة (فئة eIDAS 2 المستقبلية)، قللت الشركة الصغيرة تكاليف التخزين الآمن بنسبة 30% وجمعت أدلة التوقيع في خزينة رقمية متوافقة. أصبحت السلسلة الوثائقية بأكملها قابلة للتدقيق في أقل من دقيقتين أثناء عمليات التحكم من الموردين — متطلب متزايد من مشت