eIDAS 2 срещу eIDAS 1: ключови промени за МСП

Въведение: защо eIDAS 2 променя играта за МСП

От 20 май 2024 г. Регламент (ЕС) 2024/1183 — обикновено наричан eIDAS 2 — влезе в сила, отменяйки и постепенно замествайки Регламент (ЕС) № 910/2014 (eIDAS 1). За френските МСП това преминаване не е просто административно обновление: то преопределя нивата на цифрово доверие, въвежда европейски портфейл на дигиталната самоличност (EUDIW), засилва изискванията към доставчиците на услуги за доверие и разширява обхвата на признатите услуги. Тази статия сравнява точка по точка eIDAS 1 и eIDAS 2, определя конкретните оперативни въздействия за малки и средни предприятия и ви дава план на действие за оставане в съответствие през 2026 г.

---

1. Напомняне: какво постави eIDAS 1 (2014-2024)

1.1 Основите на първоначалния регламент

Приет през юли 2014 г. и приложим от септември 2016 г., eIDAS 1 положи първите начала на европейско пространство на цифрово доверие. Той въведе три основни категории електронния подпис — обикновен (SES), усъвършенстван (AdES) и квалифициран (QES) — и създаде списъка на доверие на квалифицираните доставчици (Trusted List), който може да се консултира на портала на Европейската комисия.

За МСП основният принос на eIDAS 1 беше трансграничното признание на квалифицираните подписи: договор, подписан с QES френския, беше правно признат в Германия, Испания или Италия без апостил или допълнителна формалност. Този принцип — известен като „недискриминация" — остана основата, върху която решения като SaaS Certyneo надградиха своите услуги.

1.2 Установени ограничения

Въпреки своите напредъци, eIDAS 1 страдаше от няколко пропуски, документирани от Европейската комисия в доклада си за оценка от 2021 г.:

• Фрагментация на схемите на самоличност: само държавите-членки, които бяха уведомили своята национална схема (като FranceConnect+ на съществено ниво), се радваше на взаимното признание. През 2023 г. само 14 от 27 държави бяха уведомили съответна схема.
• Липса на роден мобилен поддържане: квалифицираното устройство за създаване на подпис (QSCD) често изискваше смарт карта или физически токен, което препятстваше приемането на мобилни устройства.
• Ограничени услуги за доверие: eIDAS 1 изброява девет вида квалифицирани услуги; новите употреби (квалифициран електронен архив, управление на атрибути) не бяха регулирани.
• Нямаше единен портфейл на самоличност: всеки гражданин или предприятие управляваше своите идентификатори по отделен начин, без гарантирана интероперативност.

Тези ограничения накараха Комисията да стартира преглед през 2020 г., които доведоха до Регламент eIDAS 2 след три години триалог.

---

2. Пет голямо новостите на eIDAS 2 за МСП

2.1 Европейския портфейл на цифровата самоличност (EU Digital Identity Wallet — EUDIW)

Това е най-видимата новост на регламента. До ноември 2026 г. (крайния срок за прилагане, определен в член 5а), всяка държава-членка ще трябва да предложи поне един сертифициран портфейл на цифровата самоличност на своите граждани и жители. За МСП това развитие има две преки последствия:

1. Опростена проверка на идентичност на клиентите и партньорите: портфейлът ще позволи да се делят верифицирани атрибути (възраст, номер на ДДС в общността, добив Kbis, сертифицирани банкови данни) без фрикция. Основна рамка с германския партньор ще може да бъде подписана след незабавна верификация на неговите професионални атрибути от неговия EUDIW.
2. Задължение да се приемат в определени сектори: онлайн услугите на големите платформи (член 45bis) и някои публични услуги ще трябва да приемат EUDIW като средство за удостоверяване. МСП, които предоставят портали B2B, ще трябва да адаптират своите API-та за удостоверяване.

2.2 Разширяване на списъка на квалифицираните услуги за доверие

eIDAS 2 разширява каталога на квалифицираните услуги за доверие от 9 на 14 категории. Новите записи, отнасящи се директно до МСП, са:

• Квалифициран електронен архив (чл. 45septies): дълготрайно съхранение с повишена доказателствена стойност. До сега архивирането със стойност на доказателство разчиташе на национални референциали (във Франция референциалът SIAF/ANSSI); eIDAS 2 хармонизира европейската рамка.
• Дистанционно управление на квалифицирани устройства за създаване на подпис (RQSCD): вече е явно регулирано, то отстранява неяснотите, които тежаха на облачните решения за квалифициран подпис. За МСП от 50 служители, това означава достъп до квалифициран подпис без физичен токен, от всяко устройство.
• Услугата на квалифициран електронен регистър: регистрите, основани на блокчейн или технологии на разпределен регистър, вече могат да получат квалифицираният статус, прокарвайки път към нови модели на управление на договорите.

За повече информация относно нивата на подпис и техния правна стойност, консултирайте нашия пълен справочник за електронния подпис.

2.3 Засилване на изискванията на сигурност за квалифицирани доставчици (QTSP)

eIDAS 2 затяга задължението на доставчиците на квалифицирани услуги за доверие (QTSP). Преглеждания член 24 налага по-специално:

• Сертификат за кибербезопасност, съответстващ на европейската рамка (EU Cybersecurity Act, Регламент 2019/881), със сектори схеми, разработвани от ENISA.
• Засилени изисквания относно оперативна устойчивост: QTSP трябва вече да документира план за непрекъснатост на бизнеса и да го представи на своя национален орган за надзор (във Франция ANSSI за квалифицирани доставчици).
• Задължение за уведомяване на инциденти от сигурност в рамките на 24 часа (приравняване с NIS 2).

За МСП потребители, това се превежда на задължение за повишена проверка при избора на доставчик: проверка дали вашето решение е наистина вътрешни Trusted List на европейската лист е вече критична стъпка от вашия процес на покупка. Нашият сравнител на решенията за електронния подпис може да ви помогне при тази анализ.

2.4 Задължителна интероперативност на схемите на самоличност

Докато eIDAS 1 оставяше на държавите-членки свободата да уведомят (или не) своята схема, eIDAS 2 прави уведомяването и интероперативността задължителни за схемите на самоличност, използвани в публичните онлайн услуги (чл. 5). France Identité — национална схема, поддържана от министерството на вътрешните работи — е в процес на приравняване със спецификациите на техническите EUDIW, публикувани от Комисията в Регламент на изпълнението (ЕС) 2024/2977.

За МСП, което редовно взаимодейства с публичните администрации (публични поръчки, електронни деклариране на данъци, митнически процедури), това развитие означава, че онлайн процедурите постепенно ще бъдат унифицирани около един уникален и признат в целия ЕС цифров идентификатор.

2.5 Нови правила на отговорност и надзор

eIDAS 2 уточнява и разширява режимите на отговорност на доставчиците (пресмотрен чл. 13). QTSP вече е предполагаемо отговорен за всички щети, причинени на физическо или юридическо лице поради нарушаване на своите задължения, освен да докаже отсъствие на вина. Това укрепено предположение на отговорност спрямо eIDAS 1 трябва да побуди МСП да:

• Формално уредят по договор задълженията на своя доставчик (SLA, гаранции за достъпност, обезщетение).
• Проверят покритието на застраховката на гражданска отговорност на QTSP.
• Запазват доказателствата на одит на подписаните операции (дневници с време на печат, доклади за верификация на подпис).

Нашите екипи са редактирали подробно ръководство относно електронния подпис в предприятието, които обхваща тези договорни аспекти.

---

3. Сравнителна таблица eIDAS 1 срещу eIDAS 2: какво се променя практически

3.1 Синтез на основните промени

| Критерий | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Портфейл на самоличност | Отсъства | EUDIW задължителен (държави-членки) | | Квалифицирани услуги | 9 категории | 14 категории (архив, RQSCD, регистри…) | | Уведомяване на схеми | Добавително | Задължително за публичните услуги | | Сигурност QTSP | Критерии Common Criteria | Cybersecurity Act + ENISA схеми | | Отговорност QTSP | Частична | Укрепено предположение на отговорност | | Крайния срок уведомяване на инцидент | Неспециализиран | 24 часа (приравняване с NIS 2) | | QSCD мобилни | Правна неяснота | RQSCD явно регулирано |

3.2 Ключови крайни срокове, които трябва да запомните за 2026

• Май 2024: влизане в сила на Регламент (ЕС) 2024/1183.
• Ноември 2026: последния крайния срок за всяка държава-членка да предложи поне една сертифицирана EUDIW решение.
• 2027: задължение за големите платформи (чл. 45bis) да приемат EUDIW като средство за удостоверяване.
• 2028: планиран преглед на технически актовите за изпълнение (делегирани регламенти за спецификациите на EUDIW).

Ако вашото МСП обмисля миграция към по-съответно решение, нашия пакет за миграция към Certyneo включва безплатен одит за съответствие с eIDAS 2.

---

4. Практичен план на действие, за да приведете вашето МСП в съответствие с eIDAS 2

4.1 Одит на вашите съществуващи документни потоци

Започнете чрез картографиране всички процесите, в които в момента използвате електронния подпис или цифровата самоличност: договори с доставчици, демaterialизирани заплатни ведомости, мандати SEPA, споразумения о поверителност, кадрови акти. За всеки поток идентифицирайте:

• Нивото на подпис, използвано (SES, AdES, QES).
• Сегашния доставчик и неговия статус на Trusted List.
• Нивото на правно риск в случай на оспорване.

Тази одит е препоръчаният начална точка от ANSSI в своя справочник за съответствие, публикуван през март 2025 г.

4.2 Надстройка на вашето решение за подпис

Ако вашия сегашния доставчик не е вътрешни Trusted List eIDAS 2 или все още не предлага RQSCD, време е да сравните предложенията на пазара. Certyneo е QTSP, който е сертифициран и поддържа трите нива на подпис (SES, AdES, QES) и интегрира нативно новите изисквания на eIDAS 2, по-специално квалифицирания архив и дистанционното управление на устройствата.

4.3 Обучение на вашите екипи и обновяване на вашите договори

eIDAS 2 засилва доказателствената стойност на квалифицираните подписи, но налага също и добрите практики на документиране. Уверете се, че вашите правни и административни екипи:

• Знаят да разграничат трите нива на подпис и техния правна стойност съответно.
• Интегрирани договори с доставчици клауза за одит на съответствие с eIDAS.
• Запазят доказателствата за верификация на подпис (валидационен доклад, квалифициран печат на време) по време на применимия правния срок на съхранение (3 до 10 години, според характера на акта).

За структуриран този подход, нашия калкулатор на ROI за електронния подпис ще ви позволи да квантифицирате оперативните печалби, свързани с надстройката.

Приложим правна рамка

Текстове на справка

Приемането на eIDAS 2 за френското МСП се вписва в нормативна пирамида, която е важно да се овладее.

Регламент (ЕС) 2024/1183 на Европейския парламент и на Съвета (наречен „eIDAS 2"): това е основния текст, публикуван в ЕВPO на 30 април 2024 г. Той отменя и замества Регламент (ЕС) № 910/2014 според график на постепенно развертане до 2027 г. Той е с преки приложение във всички държави-членки, без да е необходима национална законодателна прилагане за неговите основни разпоредби.

Регламент (ЕС) № 910/2014 (eIDAS 1): някои от неговите разпоредби остават приложими по време на преходните периоди, предвидени от eIDAS 2, по-специално за квалифицираните доставчици, които са получили своята квалификация преди май 2024 г. и имат крайния срок за преквалификация.

Френския гражданския кодекс, членове 1366 и 1367: член 1366 поставя принципа на еквивалентност между електронния писмена форма и писмената хартия, при условие че „личност, от което идва, може да бъде надлежно идентифицирана и че е изготвена и съхранена при условия, способни да гарантират своята интегритета". Член 1367 признава електронния подпис като начин на доказване, отнасяйки се условията, предвидени по декрет на Съвета на държавата (декрет № 2017-1416 от 28 септември 2017 г., кодифициран в членове R. 1369-1 до R. 1369-10 на Гражданския кодекс).

Регламент (ЕС) 2016/679 (GDPR): развертаването на EUDIW и обработката на атрибутите на самоличност в потоците на електронния подпис представляват обработка на личните данни в смисъла на GDPR. МСП трябва да се уверят, че техния QTSP действа като подизпълнител в смисъла на член 28 GDPR, с DPA (Data Processing Agreement) в съответствие. CNIL публикува препоръка специфика за интеграцията на EUDIW-GDPR през януари 2026 г.

Директива (ЕС) 2022/2555 (NIS 2): eIDAS 2 се приравнява явно с NIS 2 за задълженията на уведомяване на инциденти (чл. 24, §2 eIDAS 2 отнасяйки се до разпоредбите на NIS 2). QTSP считани за „съществени" или „важни" субекти в смисъла на NIS 2 според техния размер и подлежи на този съответно редовен одит на сигурност.

ETSI стандарти: квалифицираните електронни подписи трябва да съответстват на стандартите ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) и ETSI EN 319 102-1 (процес на валидация). Стандартът ETSI TS 119 461 регулира дистанционна проверка на самоличност (IDV), което е особено релевантно за RQSCD.

Правни рискове при несъответствие

Използване на решение за електронния подпис, което не е в съответствие с eIDAS 2, излага МСП на няколко рискове:

• Недопустимост в съдите: съдия може да отхвърли електронния подпис, чието ниво не отговаря на подписаният акт (например: обикновен подпис за акт, който изисква усъвършенстван или квалифициран уровен).
• Договорна отговорност: ако договор е оспорен от партньор на основата на недействителност на подпис, МСП може да е изложено на исковете за обезщетение.
• Санкции на GDPR: в случай на нарушение на данни, свързано с дефект на сигурност на доставчика, МСП, съдържание или отговорен за обработка, може да бъде санкциониран от CNIL до 4% от световния годишен оборот (чл. 83 §4 GDPR).

Конкретни сценарии на употреба

Сценарий 1: индустриално МСП от 80 служители, управляващо 400 договора с доставчици годишно

МСП от сектора на металургията, обработващо около 400 договора с доставчици годишно, използваше до 2024 г. решение за обикновен електронен подпис (SES) за всички ангажименти, включително договори-рамки, надвишаващи 50 000 евро. След одит за съответствие с eIDAS 2, установи, че 35% от своите договори изискват усъвършенстван или квалифициран подпис за съпротива на съдебно оспорване, особено с доставчици, установени в други държави-членки на ЕС.

През миграция към решение, комбиниращо усъвършенстван подпис (AdES) за преживее договори и квалифициран (QES) за договори-рамки, и активирайки квалифицирания електронен архив (нова услуга на eIDAS 2), това МСП е намалило с 70% времето, посветено на управление на документи след подпис (класиране, намиране, праща на сертифицирани копия) и е намалило на нула спорове, свързани със поддържане на подпис при 18 месеца, в сравнение с два инцидента в предходните 18 месеца.

Сценарий 2: юридически консултантски кабинет от 15 сътрудници

Кабинет, специализиран в деловното право, издавайки средно 1 200 подписани документи годишно (писма за мисия, пълномощия, споразумения о поверителност), се сблътска нарастващо искане от своите корпоративни клиенти за квалифицирани подписи, признати в целия ЕС. Под eIDAS 1, получаване на квалифициран сертификат изисква процедура „face-to-face" или дълга верификация чрез видео (45 до 90 минути за всеки потребител).

Благодарение на RQSCD (дистанционно квалифицирано устройство за създаване на подпис), регулирано от eIDAS 2, кабинета е могъл да развърта квалифицирания подпис за всичките си сътрудници в по-малко от две седмици, чрез процес на записване 100% дистанционна в съответствие със стандартния ETSI TS 119 461. Процентът на вътрешното приемане е скочил от 40% на 95% в три месеца, а средния крайния срок за връщане на подписаните документи е намален от 4,2 дни на по-малко от 6 часа според вътрешния измерване на кабинета.

Сценарий 3: МСП електронна търговия, работеща в три страни на ЕС

Предприятие за онлайн продажба, наемащо 35 човека и работеща във Франция, Белгия и Нидерландия, трябваше да управлява три вида електронни споразумения: трудови договори за своите местни служители, партньорски споразумения с превозвачи и мандати SEPA за своите професионални клиенти. Фрагментация на национални изисквания під eIDAS 1 я принуждава да поддържаше три отделни работни процеса на подпис, с разходи на управление, преценени на около 12 000 евро годишно.

Приемане на единствено решение в съответствие с eIDAS 2 — интегриращо взаимното признание на квалифицираните подписи в трите страни — позволи да унифицира работни процесите, да намали разходи на управление на около 4 500 евро годишно (икономия 62%) и елиминира забавянията, свързани със ръчна валидация на чужди подписи от правния отдел.

Заключение

eIDAS 2 не е просто козметичен преглед на нормативната рамка: той преопределя дълбоко правилата на играта на цифрово доверие в Европа. За френските МСП, пет основни промени — портфейл EUDIW, разширяване на квалифицираните услуги, RQSCD, задължителна интероперативност и укрепена отговорност — представляват както задължение за съответствие, така и възможност за ускоряне на своята документна трансформация.

МСП, които предвидят тези промени вече днес, ще се радват на реално конкурентно предимство: договори, признати в целия ЕС без фрикция, архив със стойност на доказателство, интегриран, и процесите на подпис напълно демательньизирани и защитени.

Certyneo е проектирано да съпровожда този преход. Стартирайте своя безплатен опит на certyneo.com и се ползвайте от безплатен одит на съответствие с eIDAS 2 за своите съществуващи документни потоци.