Преход eIDAS 1 към 2: влияние върху подписването през 2025

На 20 май 2024 г. Регламент (ЕС) 2024/1183 — обикновено наричан eIDAS 2 — беше публикуван в Официалния вестник на Европейския съюз, постепенно отменящ Регламент № 910/2014 (eIDAS 1). Този текст представлява най-значимата реформа на цифровата идентичност и електронния подпис в Европа от 2016 г. За френските предприятия, които използват решения за електронен подпис в своите договорни работни процеси, преходът не е формалност: той предполага технически, юридически и организационни корекции, чиито хоризонт се простира до 2026 г. и отвъд. Разбирането на преходът eIDAS 1 към eIDAS 2 и неговото влияние на електронния подпис през 2025 г. е станало приоритет за юридическите отдели, ръководители на IT и HR. Този член разшифроват основните еволюции на рамката, точния график на преходът и конкретните мерки за поддържане на съответствието.

Какво регламент eIDAS 2 modificira по същество

От регламента от 2014 г. към преработката от 2024 г.: защо беше необходима преглед

EIDAS 1 беше поставил основите на взаимното признаване на електронните подписи в Съюза. Три йерархични нива — прост (SES), разширен (AdES) и квалифициран (QES) — структурираха доказателствената стойност на подписите, подкрепени от списък с доставчици на услуги с доверие (TSL). Но за десет години се появиха две основни пропуски.

Първо, първоначалният регламент се прилагаше по същество за отношения с публичната администрация (G2B, G2C). Той не създава преки задължения в частни транзакции (B2B, B2C), оставяйки нормативен вакуум, който всяко държавно членство попълваше по различни начини. Второ, появата на цифровите услуги — мобилни приложения, отворено банкиране, телемедицина — разкри отсъствието на преносима и интероперативна система на цифровата идентичност на континентално ниво.

EIDAS 2 отговаря на тези два предизвика, въвеждайки европейския портфейл за цифрова идентичност (EU Digital Identity Wallet, EUDIW) и разширявайки обхвата на услугите с доверие към нови случаи на използване: квалифицирано електронно архивиране, удостоверения на квалифицирани атрибути, квалифицирани електронни регистри (включително сертифицирани блокчейн приложения).

Новите категории на квалифицирани услуги с доверие

Регламент eIDAS 2 разширява списъка на квалифицирани услуги с доверие (член 3 и преработена приложение IV). Освен подписите, печатите и квалифицираните времеви клейма вече признати от eIDAS 1, сега са квалифицирани:

• Услуги за квалифицирано електронно архивиране (чл. 34 bis): задължение да се запазят интегритета и четливостта на подписаните документи дългосрочно, с подсилени изисквания за доставчици (QTSP).
• Услуги за управление на квалифицирани устройства за дистанционно създаване на подпис (QRCD): подсилено регулиране на решенията за дистанционен подпис чрез облачен HSM (Hardware Security Module).
• Удостоверения на квалифицирани атрибути: механизъм, позволяващ на трета страна с доверие да сертифицира атрибутите на субект (напр. качество на адвокат, статус на лекар) без да разкрива цялата идентичност.
• Квалифицирани електронни регистри: признаване на разпределени регистри при строги условия на одитност и устойчивост.

За потребителите на решения за електронен подпис, това разширение означава, че квалифицираните услуги с доверие, налични на пазара, ще се разнообразят, и че критериите за избор на доставчик (QTSP) трябва да включват тези нови способности.

EUDIW: портфейлът за цифрова идентичност като инфраструктура на подписът

Най-видимата иновация на eIDAS 2 остава EUDIW. Всяко държавно членство трябва да предостави на своите граждани и жители безплатен портфейл за цифрова идентичност, интероперативен с всички други държави-членки, до 26 ноември 2026 (период за национално привеждане в съответствие според член 5 bis). Този портфейл ще позволи:

• да удостовери потребителя с високо ниво на сигурност (LoA High) без прибягване до доставчик на трета страна за идентификация;
• да подпише електронно документи с квалифицирана стойност (QES) директно от портфейла;
• да поделя селективни атрибути на идентичност (selective disclosure), уважавайки по този начин принципа на минимизиране на данните от GDPR.

За предприятията EUDIW теоретично опростява процедурите на проверка на идентичността преди квалифицирания подпис, премахвайки триенето на видео-идентификацията или лично идентификацията. На практика влиянието зависи от темпото на национално разгръщане — Франция пуска през 2025 пилотен експеримент в рамките на програмата "France Identité".

Точен график на преходът eIDAS 1 към eIDAS 2

Нормативни етапи, които трябва да познаваш

Регламент 2024/1183 влиза в сила на 20 май 2024 г., но неговото прилагане е постепенно. Ето ключевите дати:

| Дата | Събитие | |------|----------| | 20 май 2024 | Публикуване в OJUE, формално влизане в сила | | 20 ноември 2024 | Период от 6 месеца за приемане на акти за изпълнение от Комисията (технически спецификации на EUDIW) | | Край на 2025 | Публикуване на преработени норми ETSI (EN 319 411-1/2, EN 319 401), включващи изисквания на eIDAS 2 | | 26 май 2026 | Краен период за приведение в съответствие на държавите-членки по отношение на новите категории квалифицирани услуги | | 26 ноември 2026 | Задължително предоставяне на EUDIW от всяко държавно членство | | 2027-2028 | Пълна преглед на националните списъци с доверие (TSL) и акредитация на новите QTSP |

EIDAS 1 остава валиден и подписите издадени при неговия режим запазват пълна юридическа стойност. Няма никакво задължение за повторно подписване на съществуващи документи. От друга страна, доставчиците на квалифицирани услуги с доверие трябва да обновят своята акредитация според новите технически норми до 2027 г.

Какво не се променя и на какво трябва да внимаваш

Преемствеността е кардинален принцип на преходът. Трите нива на подпис (SES, AdES, QES) се поддържат със своите непроменени определения. Презумпцията за еквивалентност с подпис на ръка, приложен на QES (член 25 eIDAS 1, преформулиран в член 27 eIDAS 2) остава в сила. Доказателствената стойност на твоите текущи електронни подписи не се оспорва.

На какво трябва да внимаваш: акти за изпълнение (implementing acts), публикувани от Европейската комисия през 2025-2026 г., ще установят точните технически спецификации на EUDIW и новите категории услуги. Тези текстове на ниво 2 имат значителна практическа важност за интеграторите и софтуерните издатели. За предприятия, използващи електронен подпис в своите HR процеси или юридически процеси, се препоръчва да поиска от своя доставчик пътна карта за съответствие с eIDAS 2.

Конкретно влияние върху предприятията и техните решения за подпис

Кои работни процеси са засегнати в приоритет?

Преходът eIDAS 1 към eIDAS 2 няма същото влияние в зависимост от използваното ниво на подпис. За предприятията се разграничават три ситуации:

Прост електронен подпис (SES): използван за подменуване на ниска стойност, потвърждения на приемане, вътрешни формуляри. Никакво задължение за незабавна актуализация. Правилата за доказване остават регулирани от Гражданския кодекс (чл. 1366-1367) и не пряко от eIDAS.

Разширен електронен подпис (AdES/AdESQC): предприятията, които използват решения B2B за търговски договори, дематериализирани трудови договори или недвижимотни акти, трябва да проверят, че тяхния доставчик поддържа съответствието с норми ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) и EN 319 142 (PAdES) в техните преработени версии за eIDAS 2. Тези норми ще бъдат публикувани от ETSI до края на 2025 г.

Квалифициран електронен подпис (QES): доставчиците на квалифицирани услуги (QTSP) ще трябва да преминат на нова акредитация eIDAS 2. Преходният период предоставя разумен период (до 2027 г.), но конкурсите, обявени от 2025 г., трябва да включат клауза за съответствие с eIDAS 2 в критериите за избор. За организации, сравняващи наличните опции, сравнението на решенията за електронен подпис позволява да се оцени зрелостта на издателите по този въпрос.

Нови изисквания за доставчици на квалифицирани услуги с доверие (QTSP)

EIDAS 2 затвърждава изисквания към QTSP по три основни точки:

1. Сигурност на системите: задължително привеждане в съответствие с NIS2 (Директива (ЕС) 2022/2555) за QTSP, сега класифицирани като основни субекти. Това се превежда в задължения за уведомяване на инциденти в рамките на 24 часа, годишни одити на сигурност и установяване на планове за непрекъснатост на дейността.

1. Подсилена отговорност: член 13 eIDAS 2 разширява режима на отговорност на QTSP. В случай на доказан пропуск, тежестта на доказването е обърната: доставчикът трябва да докаже, че не е допустил халатност, а не обратното.

1. Задължителна интероперативност: QTSP ще трябва да изложат стандартизирани API, съвместими с EUDIW, за да позволят родната интеграция на портфейлите за идентичност. Това изискване ще ускори модернизирането на интеграционните интерфейси, достъпни за разработчици.

За предприятия, обмисляни да променят доставчика в този контекст, мигриране от DocuSign или YouSign към решение, съответствуващо eIDAS 2, е подход, който заслужава да се предвиди сега, а не спешно през 2027 г.

Лични данни и eIDAS 2: артикулацията с GDPR

EUDIW събира и обработва данни за цифрова идентичност. Регламент eIDAS 2 явно предвижда (съображение 11 и член 5 bis §14), че целият механизъм трябва да бъде съответствен с GDPR (Регламент (ЕС) 2016/679). Няколко точки на внимание:

• Селективно разкриване: портфейлът трябва да позволи на потребителя да делят само атрибутите, строго необходими за транзакцията (принцип на минимизиране, чл. 5(1)(c) GDPR). За подписване на договор, само проверката на пълнолетие може да бъде разделена без разкриване на пълната дата на раждане.
• Трансфери извън ЕС: данни за цифровата идентичност, обработени в рамката на EUDIW, не могат да бъдат прехвърлени извън EEE без надлежни гаранции (чл. 46 GDPR). Доставчици, използващи облачни инфраструктури на САЩ, трябва да документират своето съответствие.
• Запазване на логове на подпис: архивирането на доказателства за подпис трябва да спазва времетраене на съхранение, пропорционално на природата на документа. Новата квалифицирана услуга за архивиране eIDAS 2 предоставя технически рамка за отговор на това изискване.

Предприятията, управляващи международни трудови договори, са особено засегнати от това артикулация GDPR/eIDAS 2, особено когато подписващите живеят извън ЕС.

Правна рамка, приложима при преходът eIDAS 1 към eIDAS 2

Текстове на справка

Преходът почива на наслагване на текстове, които е неотложно да се овладеят:

На европейско ниво:

• Регламент (ЕС) № 910/2014 (eIDAS 1): по-прежде в сила, докато постепенно се отмени от eIDAS 2. Определя трите нива на подпис (SES, AdES, QES) и режима на QTSP.
• Регламент (ЕС) 2024/1183 (eIDAS 2): влиза в сила на 20 май 2024 г. По същество променя eIDAS 1 без да го отменя незабавно. Разпоредбите, касаещи EUDIW, се прилагат веднага след публикуване на актите за изпълнение.
• Регламент (ЕС) 2016/679 (GDPR): прилага се напълно при обработката на данни за цифровата идентичност в контекста на EUDIW и процесите на подпис. Член 5 bis §14 на eIDAS 2 напомня за това подчинение явно.
• Директива (ЕС) 2022/2555 (NIS2): налага подсилени задължения на кибератаки на QTSP, сега класифицирани като основни субекти. Транспонирана в френското право чрез Указ № 2024-821 от 20 юни 2024 г. (в процес на декрет за приложение).

На френско ниво:

• Гражданския кодекс, членове 1366 и 1367: основание на доказателствената стойност на писмени по електронна форма. Членът 1366 установява еквивалентност между електронното писмено и хартия при условия. Членът 1367 придава на квалифицирания подпис (QES) същата доказателствена сила като подпис на ръка.
• Декрет № 2017-1416 от 28 септември 2017 г.: уточнява условията за използване на електронен подпис в документи със собствена хартия. Остава приложим по време на преходния период.
• Общ справочник на безопасността (RGS) v2: за френските администрации RGS налага използването на решения, препоръчани от ANSSI. Неговата актуализация за интегриране на eIDAS 2 се очаква през 2026 г.

Приложими технически норми ETSI

Норми ETSI представляват ниво 3 на нормативната йерархия. Текущо приложими версии:

• EN 319 132-1/2: формат XAdES (разширени XML подписи)
• EN 319 122-1/2: формат CAdES (разширени CMS подписи)
• EN 319 142-1/2: формат PAdES (разширени PDF подписи)
• EN 319 401: общи изисквания за доставчици на услуги с доверие
• EN 319 411-1/2: изисквания за АС, издаващи квалифицирани сертификати

Тези норми ще бъдат преработени до края на 2025 г., за да интегрират новите изисквания на eIDAS 2. Договорите с QTSP трябва да включват клауза за актуализация към преработени версии без допълнителни разходи.

Юридически рискове от несъответствие

Подпис, издаден от доставчик, който не би повече акредитиран след 2027 г., не би загубил автоматично доказателствената си стойност за вече подписани документи, но не би се ползвал с презумпцията на еквивалентност със подпис на ръка (чл. 25 eIDAS). Тежестта на доказване на интегритета и идентичността на подписващия би се паднала напълно на предприятието в случай на спор. Този доказателствен риск е особено чувствителен за документи, чийто период на давност е дълъг (5 години в търговските отношения, 30 години за вещни права по недвижимото имущество).

Сценарии на използване: как организациите предвиждат преходът eIDAS 2

Сценарий 1: кантора по адвокатури от 25 сътрудници рационализира своята документна съответствие

Кантора по адвокатури, специализирана по корпоративно право, с около 25 сътрудници и интензивна дейност по подписване на пълномощия, акти на отчуждение и протоколи на съглашение, использ до 2024 г. решение за разширен подпис (AdES) за целия си поток. При обявяването на eIDAS 2, кантората realizua одит на своите 1 200 подписани документи годишно, за да идентифицира тези, изискващи QES според новите препоръки на своята адвокатска камара.

Резултат: 15% от документите (около 180 годишно) беше преклассифицирано към квалифицирания подпис, което позволи да се сигуриран режимът на доказване на тези документи. Кантората договаря със своя издател на подпис клауза, гарантираща съответствие с eIDAS 2 веднага след публикуване на актите за изпълнение, без допълнителни разходи. Административното време, свързано с проверката на идентичността на подписващите, намаля с 40% благодарение на предвиждането на интеграцията на EUDIW, планирана за 2026 г.

Сценарий 2: производствена МСП от 150 служители сигурира своята договорна верига на доставчици

Производствена МСП, управляваща около 350 договора със доставчици годишно — поръчки, NDA, договори-рамки — функционира с две различни решения за подпис за своите вътрешни и външни потоци, създавайки фрагментация на доказателствата за одит. В контекста на преходът eIDAS 2 и новите изисквания за квалифицирано архивиране, DSI реши да унифицира своята платформа.

При миграция към единствено решение, интегриращо квалифицирано електронно архивиране (будеща категория eIDAS 2), МСП намаля разходи за сигурно съхранение с 30% и консолидира доказателствата си за подпис в съответствуващ цифров сейф. Целата документна верига е сега подлежи на одит за по-малко от 2 минути при контрол на доставчици — нарастващо изискване на техните дадоци на поръчки в автомобилната индустрия.

Сценарий 3: болничен комплекс от около 600 легла се подготвя за интеграция на EUDIW

Болничен комплекс, публичен, использ квалифицирания електронен подпис за своите медицински договори и публични поръчки, в съответствие с задължения на кода на публичното закупуване. С eIDAS 2, IT отдела идентифицира два приоритета: бъдещата интеграция на портфейла "France Identité" за либерални лекари, участвуващи в учреждението, и съответствие на NIS2 на своя QTSP.

Болничния комплекс вписа в своя план на цифровата схема 2025-2028 специфичен лот "съответствие с eIDAS 2", с преглед бюджет от 45 000 € за техническата миграция и обучение на агентите. Целта е да е в състояние да приема подписи чрез EUDIW веднага след националното разгръщане, предвидено за ноември 2026 г., намалявайки по този начин периодите на договорни отношения с либерални специалисти в здравеопазване от 3 дни до по-малко от 4 часа в средния случай според наличните бенчмаркове на сектора.

Заключение

Преходът eIDAS 1 към eIDAS 2 не е разрыв, а структурирана еволюция, с точен график, простиращ се до 2027 г. Влиянията върху електронния подпис са реални — разширение на квалифицирани услуги, появата на EUDIW, затвърждаване на изисквания на NIS2 за QTSP — но управляеми, докато са предвидени. Предприятията, които действат сега, се ползват с запас на маневър за одит на своите работни процеси, сигуриране на своите договори с доставчиците и обучение на своите екипи без спешност на нормативно налягане.

Certyneo придружава предприятията в този преход с ясна пътна карта за съответствие с eIDAS 2, формати на подпис, поддържани актуални, и архитектура, готова за интеграция на EUDIW. Готов да сигурирон своите подписни потоци в тази нова нормативна рамка? Открий своите предложения и стартирай безплатно на Certyneo.