eIDAS 2: новият европейски регламент обяснен за 2026

Въведение: защо eIDAS 2 променя всичко за европейските предприятия

Влязъл в сила на 20 май 2024 г. след дълга законодателна подготовка, регламентът eIDAS 2 — официално наречен Регламент (ЕС) 2024/1183 — представлява най-амбициозната реформа, предприета някога в областта на електронната идентификация и услугите на доверие в Европа. Той отменя и частично замества първоначалния регламент eIDAS от 2014 г. (№910/2014), като същевременно поддържа съвместимост с наклон нагоре с съществуващата инфраструктура. За предприятията, които използват електронна подпис, съответстващ на eIDAS, тази преустройство въвежда нови задължения, безпрецедентни възможности и тесен график за съответствие до 2026 г. и след това. Тази статия разшифрова в дълбочина ключовите разпоредби на текста, техните оперативни последици и начина, по който вашата организация може да се подготви.

---

Какво регламентът eIDAS 2 променя коренно

От регламента от 2014 г. до версията от 2024 г.: структурна преустройство

Първоначалният регламент eIDAS от 2014 г. беше положил основите на взаимното признаване на схемите за електронна идентификация между държавите членки и установи унифицирана правна рамка за услугите на доверие (подпис, печат, времева марка и т.н.). Но десет години по-късно недостатъците бяха очевидни: ниска степен на приемане на уведомени eID, фрагментация на националните решения, отсъствие на универсален цифров портфейл за граждане и преди всичко неадекватност по отношение на използването в уеб (GAFAM са изключени от рамката на доверие).

eIDAS 2 коригира тези пропуски по три основни оси:

1. Европейският портфейл за цифрова идентичност (EUDI Wallet) — всяка държава членка трябва да предложи, най-късно в ноември 2026 г., приложение за цифров портфейл, което позволява на всеки европейски гражданин или жител да съхранява и представя своите атрибути на идентичност (самоличностна карта, водачко свидетелство, дипломи и т.н.) по безопасен начин.
2. Разширяване на квалифицираните услуги на доверие — текстът добавя нови квалифицирани услуги: управление на квалифициран електронен архив (QESAP), доклади за квалифицирани атрибути на идентичност (QEAA), квалифицирани електронни книги на сметки (QLED) и управление на устройства за създаване на отдалечена подпис (QRCD).
3. Задължение за големи платформи — доставчиците на онлайн услуги с голям размер (социални мрежи, маркетплейси) ще трябва да приемат портфейлът EUDI за удостоверяване на потребители.

Портфейлът EUDI Wallet: архитектура и функциониране

EUDI Wallet е в центъра на eIDAS 2. Конкретно, това е софтуерно приложение — доставено или сертифицирано от всяка държава членка — което се основава на децентрализиран модел на представяне на избрани атрибути. Потребителят предава само данните, които са строго необходими за транзакцията (принцип на минимизиране, в съответствие с GDPR).

От технологична гледна точка, архитектурата се основава на спецификациите на Architecture Reference Framework (ARF), публикувана от Европейската комисия и редовно актуализирана от Large Scale Pilot (LSP), който включва четири пилотни консорциума (DC4EU, EWC, POTENTIAL, NOBID). Избраните формати на данни са главно ISO/IEC 18013-5 (mDL/mDocs) и W3C Verifiable Credentials, което гарантира трансграничната интероперабилност.

За предприятията това означава, че в крайна сметка те ще могат да проверят самоличността на своите клиенти или партньори чрез портфейла, без да управляват сами събирането на подпомагащи документи — намалявайки значително триенията при KYC (Know Your Customer) и рисковете от документална измама.

---

Нивата на гарантия и йерархията на подписите: какво се променя

Поддържане на йерархията QES / AdES / SES

Режимът на електронните подписи остава структуриран около три нива, определени в член 3 на eIDAS 2 (повтаряйки терминологията от 2014 г., но уточнявайки техническите изисквания):

• Прост електронен подпис (SES): минимална доказателствена стойност, подходяща за обичайни акти.
• Напреднал електронен подпис (AdES): изключителна връзка със подписващия, възможност за открийване на всяка последваща промяна.
• Квалифициран електронен подпис (QES): правен еквивалент на ръкопис в цялата ЕС (член 25§2), издаден чрез квалифицирано устройство за създаване на подпис (QSCD) въз основа на квалифициран сертификат.

Новостта се крие в начина, по който QES може да бъде издадена чрез квалифицирани услуги за отдалечена подпис (QRCD), чиито условия за одобрение са уточнени в членове 29a и 29b на преработения текст. Това отваря път към 100% цифрови потоци за най-взискателните акти — нотариални договори, електронни автентични акти — без необходимост от физическа чип карта.

Влиянието върху доставчиците на квалифицирани услуги на доверие (QTSP)

Доставчиците като Certyneo, които работят на базата на сертифицирани QTSP, трябва да предвидят новите изисквания за одит, въведени от eIDAS 2. Член 24 налага сега засилени контроли върху веригата на подизпълнителите, и изискванията за уведомяване на инциденти на сигурност са явно съгласувани с тези на директива NIS2 (период от 24 часа за първоначално уведомяване). За да разберете по-дълбоко функционирането на различните нива на подпис в контекст B2B, вижте нашия пълен указател за електронна подпис в предприятието.

---

График на развертане и задължения за предприятията през 2025-2026

Ключовите етапи на развертането

Регламентът (ЕС) 2024/1183 е публикуван в Официалния вестник на ЕС на 30 април 2024 г. и влезе в сила на 20 май 2024 г. Актовете за изпълнение и делегирани — основни за уточняване на техническите изисквания — са публикувани постепенно:

| Краен срок | Задължение | |---|---| | май 2024 | Влизане в сила на регламента | | Край на 2024 | Публикуване на актовете за изпълнение на ARF v2.0 | | Средата на 2025 | Сертификация на първите пилотни EUDI Wallets | | ноември 2026 | Задължителна наличност на EUDI Wallet във всяка държава членка | | 2027 | Задължително приемане от големи онлайн платформи |

Какво трябва да направят сега B2B предприятията

За предприятия, които използват решения за електронна подпис, три приоритета се налагат през 2025-2026:

1. Одит на своята верига на доверие: проверка, че техният доставчик на подписи е на правилната позиция в списъка на QTSP (Trusted List) на техните държава членка, и че използваните сертификати съответстват на новите спецификации ETSI EN 319 401 и EN 319 411-1.

2. Предвиждане на интеграцията на EUDI Wallet: предприятията, работещи в регулирани сектори (банков, застраховки, здравеопазване, недвижимости), ще бъдат сред първите засегнати от потоци на верификация на идентичност чрез портфейл. Препоръчително е да се подготвят API интеграции още през 2025 г.

3. Преглед на своите политики на съхранение: новата квалифицирана услуга на архивиране на електронен документ (QESAP) въвежда стандарти на запазване на дългосрочна основа, които може да се наложат в определени сектори (публични поръчки, фармацевтичен сектор). Нашият калкулатор на ROI за електронна подпис ви позволява да оцените финансовото влияние на модернизирането на вашата документална инфраструктура.

---

Интероперабилност, GDPR и въпроси на цифровия суверенитет

eIDAS 2 и GDPR: укрепена допълнителност

Един от основните напредъци на eIDAS 2 е явното интегриране на принципите на защита на данните от начало (privacy by design) в архитектурата на портфейлът EUDI. Член 5a§14 предвижда, че портфейлът не позволява на доставчиците да следят поведението на потребителя при транзакции. Издаватели на квалифицирани атрибути на идентичност (QEAA) не се информират за начина, по който издадените удостоверения се използват — което представлява драматична промяна спрямо текущите централизирани модели.

Тази архитектура е квалифицирана като unlinkability (некорелируемост): две отделни транзакции, извършени от един и същ потребител, не могат да бъдат свързани без неговото съгласие. Тази гаранция надвишава минималните изисквания на GDPR, докато се артикулира с него идеално.

Геополитическото измерение: преземане на контрола върху онлайн идентичност

eIDAS 2 отговаря и на въпрос на суверенитет. Днес онлайн удостоверяването разчита масово на бутони "Вход със Google/Facebook/Apple", което дава на американските технологични гиганти доминираща позиция при управлението на европейските цифрови идентичности. Налагайки на много големи платформи (в смисъла на Закона за цифровите услуги) да приемат EUDI Wallet като средство за удостоверяване, eIDAS 2 създава интероперабилна и суверенна алтернатива.

За B2B предприятията това означава също, че съответствието с eIDAS 2 може да стане критерий за избор на доставчик в публични и частни тръжни — подобно на това, което днес представлява сертификацията ISO 27001 в процесите на покупки. Ако вашата организация планира да развие своето текущо решение, нашият указател за преместване от DocuSign или YouSign към Certyneo детайлизира етапите на контролиран преход.

Правна рамка, приложима към eIDAS 2 и електронна подпис

Референтни текстове

Регламент (ЕС) 2024/1183 на Европейския парламент и на Съвета от 11 април 2024 г., с който се изменя Регламент (ЕС) № 910/2014 относно установяването на европейския механизъм за цифрова идентичност (eIDAS 2). Публикуван в ЕВЕСТНИК на 30 април 2024 г., влезе в сила на 20 май 2024 г.

Регламент (ЕС) № 910/2014 (eIDAS 1): поддържан в сила за своите неизменени разпоредби, по-специално членовете относно нивата на гарантия "ниска", "значителна" и "висока" за уведомени схеми на идентификация.

Френски гражданския кодекс, членове 1366 и 1367: електронен документ има същата доказателствена сила като хартиен документ, при условие че лицето, от което произтича, е надлежно идентифицирано и че документът е съставен при условия, които гарантират неговата цялост. Квалифицирания електронен подпис (QES) в смисъла на eIDAS 2 отговаря на тези изисквания по право.

Регламент (ЕС) 2016/679 (GDPR): обработката на данни на идентичност в контекста на портфейлът EUDI е подложена на принципите на минимизиране (чл. 5§1c), ограничение на целта (чл. 5§1b) и защита на данни от начало (чл. 25). Квалифицираните доставчици упражняват качеството на отделни отговорни лица при операции на верификация.

Директива (ЕС) 2022/2555 (NIS2): транспонирана в френския закон чрез наредба № 2024-528 от 12 юни 2024 г., налага на доставчиците на квалифицирани услуги на доверие задължения за управление на киберрисковете и уведомяване на инциденти в 24 часа.

Стандарти ETSI:

• EN 319 132 (XAdES) и EN 319 122 (CAdES): напреднали формати на електронна подпис.
• EN 319 401: общи изисквания за доставчиците на услуги на доверие.
• EN 319 411-1 и 411-2: политика и изисквания на сигурност за CA издаващи квалифицирани сертификати.
• EN 319 521: изисквания за квалифицирани услуги на запазване на подписи (QESAP).

Задължения и правни рискове за предприятията

Всяко предприятие, което използва електронни подписи в договорен контекст, трябва да гарантира, че избраното ниво на подпис е подходящо за стойност и характер на акта. За акти, подложени на правно изискване за подпис (обещания за продажба, трудови договори, нарядки за поръчки надвишаващи определени прагове), само QES или AdES въз основа на квалифициран сертификат предоставя презумпцията на надеждност, посочена в член 26 на eIDAS 2.

В случай на спор, бремето на доказване се променя: ако подписът е квалифициран, е на страната, която оспорва документа, да докаже неговото изменение; ако е прост или напреднал без квалифициран сертификат, бремето на доказване почива на подписващия, който го призовава. Неспазването на изисквания на проследяемост и цялост може да приведе до ничтожност на акта или неприложимост на подписа спрямо трета страна.

Сценарии на употреба: eIDAS 2 приложена на B2B предприятия

Сценарий 1 — Консултантска фирма за цифровата трансформация (около 80 консултанти)

Структура на консултанция, разгръщаща своите сътрудници при клиенти в няколко държави членки (Франция, Германия, Нидерландия), трябва да подпишет всеки месец нарядите за мисия, договорни изменения и протоколи на получаване. Преди eIDAS 2, управлението на трансграничните идентичности генерираше триене: отказ на определени германски клиенти да признаят сертификати издадени от френски QTSP, двойно удостоверяване по имейл недостатъчно за чувствителни акти.

С развертането на EUDI Wallet през 2026 г., консултантите ще могат да подпишат от своя национален портфейл — признат по право във всички държави членки — без никакво триене. Фирмата оценява намаляване на 60 до 70 % от времето, отделено на обмени на верификация на документи, предварителен на подписа, т.е. около 3 до 4 часа спестени на консултант и на месец според секторните бенчмарки, публикувани от McKinsey Digital (2024).

Сценарий 2 — МСП в индустриалния сектор управляющ 350 доставчикови договора на година

МСП в сектора на индустриалното оборудване, работеща със около сто европейски и азиатски доставчици, трябва да заключи договори за поръчки, споразумения за поверителност (NDA) и рамкови договори. До момента 30 % от тези документи се връщаха без валидна подпис или със закъснения надвишаващи 10 работни дни.

Приемайки решение за електронна подпис, съответстващо на eIDAS 2, с верификация на идентичност чрез квалифицирани атрибути (QEAA), МСП може да наложи поток на подпис, където идентичност на представител на доставчика е автоматично верифицирана чрез портфейлът EUDI, без ръчен въвод. Очаквания резултат: намаляване на средния период на подпис от 10 дни на по-малко от 48 часа, и намаляване на 40 % от спорове, свързани с неконформни подписи, на основата на разширени граници, наблюдавани в доклади ELENIUS 2025 относно B2B демониране.

Сценарий 3 — Групиране на недвижимости управляващ обещания за продажба в няколко страни

Мрежа на агенции за недвижимости, работещи във Франция, Испания и Португалия, трябва редовно да направи преди-договори между продавачи и купувачи на различни национални произходи. QES е необходимо в определени контексти за гарантиране на еквивалентност с ръкописна подпис пред нотар.

Благодарение на eIDAS 2 и интероперабилността на портфейлите EUDI, португалски купувач може да подпише преди-договор, подложен на френския закон, използвайки своя национален портфейл, с ниво на гарантия "високо" признато автоматично от платформата на подпис. Групирането намалява своите разходи по преселяне и легализация с около 800 до 1 200 евро на файл трансграничен, докато намалява периода на заключение на преди-договори от 3 седмици на 5 дни в средната стойност. За специфични употреби в сектора, нашата посвещена страница на електронна подпис в недвижимости детайлизира адаптирани работни потоци.

Заключение

eIDAS 2 не е просто нормативна актуализация: това е дълбока преустройство на начина, по който цифровата идентичност и електронния доверие функционират в Европа. Портфейлът EUDI Wallet, новите квалифицирани услуги, задължението на интероперабилност и съгласуванието с NIS2 и GDPR образуват кохерентна екосистема, която ще трансформира договорните процеси и удостоверяванията на B2B предприятията до края на 2026 г.

За останалост съответни и конкурентни, B2B организациите трябва да действат още сега: одит на своята верига на доверие, избор на доставчик, съгласуван с новите изисквания и подготовка на своите документални потоци за интеграция на европейския цифров портфейл.

Certyneo ви съпровожда в този преход с решения за квалифицирана електронна подпис, съответстващи на eIDAS 2, готови за 2026. Поискайте демонстрация или създайте своя профил на Certyneo за защита на своите договори още днес.