Регламент eIDAS: всичко, което трябва да разберете за електронния подпис в Европа
Актуализирано на
Регламентът eIDAS е основополагащият текст за електронния подпис в Европа. Той определя трите нива на подпис (обикновен, усъвършенстван, квалифициран), установява правната стойност на електронните актове и регулира доставчиците на удостоверителни услуги. Това ръководство ви обяснява всичко, което трябва да знаете, за да сте в съответствие през 2026 г.
Какво е eIDAS и защо е бил създаден?
Преди eIDAS всяка държава членка на Европейския съюз имаше своя собствена регулация за електронните подписи, създавайки правна фрагментация, която спираше трансграничните обмени. Електронен подпис, валиден във Франция, не беше непременно признат в Германия или Испания.
Регламент (ЕС) № 910/2014, наричан eIDAS (Electronic IDentification, Authentication and trust Services), беше приет на 23 юли 2014 г. и влезе в приложение на 1 юли 2016 г. Като регламент (а не директива), той се прилага пряко и еднакво в 27-те държави членки, без нужда от национално транспониране.
eIDAS преследва три основни цели: създаване на единен цифров пазар в Европа благодарение на взаимното признаване на електронните идентичности, гарантиране на правна сигурност на трансграничните електронни транзакции и установяване на рамка на доверие за цифровите услуги чрез квалифицираните доставчици на удостоверителни услуги (QTSP — Qualified Trust Service Provider).
Трите нива на подпис, определени от eIDAS
eIDAS установява пирамида от три нива на електронен подпис, всяко със свои собствени технически изисквания и доказателствена стойност.
Обикновен електронен подпис
Изисквания eIDAS
- Данни в електронна форма, свързани с други данни
- Използван за подписване (без специфично техническо изискване)
- Може да бъде обикновен клик, отметка или въведено име
Примери на употреба
- Приемане на условия за ползване
- Онлайн формуляр
- Потвърждение по имейл
Правна стойност
Базова договорна стойност, без правна презумпция
Усъвършенстван електронен подпис
Изисквания eIDAS
- Уникално свързан с подписващия
- Позволява идентификацията на подписващия
- Създаден с данни под изключителния контрол на подписващия
- Всяка последваща модификация на документа е откриваема
Примери на употреба
- Трудови договори
- NDA
- Търговски договори
- Мандати
Правна стойност
Силна доказателствена стойност — препоръчителен за важни договори
Квалифициран електронен подпис
Изисквания eIDAS
- Отговаря на всички изисквания на AES
- Създаден от квалифицирано устройство за създаване на подпис (QSCD)
- Базиран на квалифициран сертификат, издаден от QTSP (доверен списък на ЕС)
Примери на употреба
- Цифрови автентични актове
- Взискателни обществени поръчки
- Регулирани актове
Правна стойност
Правна презумпция, еквивалентна на ръкописен подпис (чл. 25 eIDAS)
eIDAS 2.0: новостите от 2024 г.
Регламентът eIDAS беше ревизиран от Регламент (ЕС) 2024/1183, публикуван в Официален вестник на ЕС на 30 април 2024 г. и влязъл в сила на 20 май 2024 г. Тази ревизия модернизира първоначалната рамка, за да отговори на съвременните цифрови предизвикателства: цифрова идентичност на гражданите, суверенен облак, устойчивост на доставчиците на удостоверителни услуги.
Водещата мярка на eIDAS 2.0 е Европейският портфейл за цифрова идентичност (EUDIW). До края на 2026 г. всяка държава членка ще трябва да предостави на своите граждани и жители приложение, позволяващо съхраняване и представяне на удостоверения за сертифицирана идентичност — цифров еквивалент на лична карта, шофьорска книжка, дипломи. Тази еволюция ще има пряко въздействие върху процесите на квалифициран подпис.
Портфейл за цифрова идентичност (EUDIW)
eIDAS 2.0 въвежда European Digital Identity Wallet: всеки европейски гражданин ще може да съхранява своите удостоверения за сертифицирана идентичност (лична карта, шофьорска книжка, дипломи) в оперативно съвместимо мобилно приложение в целия ЕС.
Засилване на QTSP
Изискванията, приложими към квалифицираните доставчици на удостоверителни услуги (QTSP), са засилени, по-специално по отношение на киберсигурността, одитите и непрекъснатостта на услугата.
Нови удостоверителни услуги
eIDAS 2.0 добавя нови квалифицирани услуги: квалифицирано електронно архивиране, управление на квалифицирани атрибути, квалифициран електронен регистър (сертифициран блокчейн).
Засилена оперативна съвместимост
По-добро взаимно признаване на цифровите идентичности между държавите членки. Квалифицираните подписи, издадени в която и да е държава от ЕС, се признават навсякъде.
Как да сте в съответствие с eIDAS на практика?
Съответствието с eIDAS не се свежда до избора на ниво на подпис. То включва размисъл върху целия процес: идентифициране на рисковете, избор на инструменти, съхранение на доказателствата и документна управленска рамка.
Ето практически списък за проверка за фирмите, които искат да обезпечат процесите си за електронно подписване в съответствие с eIDAS:
Подходът на Certyneo за съответствие с eIDAS
Certyneo прилага нивата SES (Обикновен електронен подпис) и AES (Усъвършенстван електронен подпис) на Регламента eIDAS. Усъвършенстваният подпис се основава на двуфакторно удостоверяване: еднократна връзка, изпратена по имейл, и OTP код, изпратен по SMS чрез OTP SMS. Този механизъм отговаря на четирите критерия на член 26 от eIDAS за усъвършенствания подпис.
Всеки плик генерира пълна одитна следа: времеви печат на всяко действие (изпращане, отваряне на връзката, валидиране на OTP, поставяне на подписа, евентуален отказ), IP адрес на подписващия, user-agent на браузъра. Тази одитна следа е интегрирана в долната част на всяка страница от окончателния PDF (одитно долно поле) и съхранявана 10 години.
Данните са хоствани във Франция (инфраструктура IONOS), в Европейския съюз, съгласно изискванията за цифров суверенитет и GDPR. Вижте нашата страница за сигурност и съответствие за всички технически детайли.
Често задавани въпроси за eIDAS
Какво е Регламент eIDAS?
eIDAS (Electronic Identification, Authentication and Trust Services) е европейски регламент (ЕС) № 910/2014, който установява обща правна рамка за електронните подписи, електронните печати, времевите печати, услугите за електронно препоръчано изпращане и услугите за удостоверяване на уебсайтове в Европейския съюз. Той влезе в сила на 1 юли 2016 г. и се прилага пряко в 27-те държави членки.
Каква е разликата между eIDAS и eIDAS 2.0?
eIDAS 2.0 (Регламент (ЕС) 2024/1183, влязъл в сила на 20 май 2024 г.) модернизира eIDAS 1.0, като въвежда по-специално Европейския портфейл за цифрова идентичност (EUDIW — European Digital Identity Wallet), който ще позволи на европейските граждани да съхраняват удостоверения за сертифицирана цифрова идентичност. За фирмите eIDAS 2.0 засилва изискванията на квалифицираните доставчици на удостоверителни услуги (QTSP) и подобрява трансграничната оперативна съвместимост.
Има ли обикновен електронен подпис правна стойност според eIDAS?
Да. Член 25 от eIDAS изрично забранява да се отказват правни последици на електронен подпис само на основание, че е в електронна форма. Следователно обикновен подпис (SES) има правна стойност, но не се ползва от правната презумпция, запазена за квалифицираните подписи (QES). При спор, този, който се позовава на подписа, трябва да докаже неговата автентичност.
Как да разбера кое eIDAS ниво да избера за моите договори?
Общото правило е да се калибрира нивото към правния и търговски риск на документа. За обичайни документи с нисък залог (оферти, вътрешни поръчки), обикновеният подпис е достатъчен. За важни търговски договори, трудови договори, NDA или мандати, усъвършенстваният подпис (AES) е препоръчителен. Квалифицираният подпис (QES) е запазен за ситуации, в които законът го изисква изрично (някои административни актове, големи обществени поръчки) или когато рискът от оспорване е максимален.
Как Certyneo е в съответствие с eIDAS?
Certyneo прилага обикновения подпис (SES) и усъвършенствания подпис (AES) в съответствие с eIDAS. Усъвършенстваният подпис се основава на двоен OTP имейл + SMS (OTP SMS), който свързва подписващия с неговия акт. Всеки плик генерира одитна следа с времеви печат, интегрирана в окончателния PDF. Данните се хостват във Франция (ЕС), съгласно изискванията за цифров суверенитет.
Прилага ли се eIDAS за фирми извън Европейския съюз?
eIDAS се прилага за удостоверителни услуги, предоставяни в ЕС. Фирма, установена извън ЕС, която иска подписите ѝ да бъдат признати в ЕС, трябва да използва решение, съвместимо с eIDAS, или квалифициран доставчик на удостоверителни услуги (QTSP), признат в доверения списък на държава членка. За международни B2B обмени съществуват споразумения за взаимно признаване с някои трети страни.