eIDAS 2: nová evropská nařízení vysvětlena na rok 2026

Úvod: proč eIDAS 2 mění vše pro evropské podniky

Nařízení eIDAS 2 — oficiálně nazývané Nařízení (EU) 2024/1183 — vstoupilo v platnost 20. května 2024 po dlouhé legislativní přípravě a představuje nejambitnější reformu v oblasti elektronické identifikace a služeb důvěry v Evropě. Ruší a částečně nahrazuje původní nařízení eIDAS z roku 2014 (č. 910/2014), přičemž si zachovává zpětnou kompatibilitu se stávající infrastrukturou. Pro podniky využívající elektronický podpis v souladu s eIDAS tato reforma přináší nové povinnosti, bezprecedentní příležitosti a přísný harmonogram souladu do roku 2026 a později. Tento článek hluboce rozkrývá klíčová ustanovení textu, jejich operační dopady a způsob, jak se na ně vaše organizace může připravit.

---

Co nařízení eIDAS 2 zásadně mění

Od nařízení z roku 2014 k verzi 2024: strukturální reforma

Původní nařízení eIDAS z roku 2014 položilo základy pro vzájemné uznávání schémat elektronické identifikace mezi členskými státy a zavedlo jednotný právní rámec pro služby důvěry (podpis, pečeť, časové razítko atd.). Ale deset let později jsou nedostatky zřejmé: nízká míra přijetí notifikovaných eID, fragmentace národních řešení, absence univerzální digitální peněženky pro občany a především nezpůsobilost pro používání webu (GAFAM jsou vyloučeni z rámce důvěry).

eIDAS 2 tyto mezery řeší ve třech hlavních oblastech:

1. Evropská peněženka digitální identity (EUDI Wallet) — každý členský stát musí poskytnout, nejpozději v listopadu 2026, aplikaci digitální peněženky umožňující každému evropskému občanu nebo rezidentovi bezpečně ukládat a předkládat své atributy identity (občanský průkaz, řidičský průkaz, diplomy atd.).
2. Rozšíření kvalifikovaných služeb důvěry — text přidává nové kvalifikované služby: správu kvalifikovaného elektronického archivování (QESAP), zprávy o kvalifikovaných atributech identity (QEAA), kvalifikované elektronické účetní knihy (QLED) a správu zařízení pro vytváření vzdálených podpisů (QRCD).
3. Povinnost pro velké platformy — poskytovatelé služeb online velkého rozsahu (sociální sítě, tržiště) musí přijmout peněženku EUDI pro ověřování uživatelů.

Peněženka EUDI Wallet: architektura a fungování

EUDI Wallet je jádrem eIDAS 2. Konkrétně jde o softwarovou aplikaci — poskytnutou nebo certifikovanou jednotlivými členskými státy — která se opírá o decentralizovaný model selektivní prezentace atributů. Uživatel přenáší pouze data nezbytně nutná pro transakci (princip minimalizace v souladu s GDPR).

Z technického hlediska je architektura postavena na specifikacích Architecture Reference Framework (ARF), publikovaného Evropskou komisí a pravidelně aktualizovaného velkým pilotním projektem (LSP), který sdružuje čtyři pilotní konsorcium (DC4EU, EWC, POTENTIAL, NOBID). Zvolené formáty dat jsou především ISO/IEC 18013-5 (mDL/mDocs) a W3C Verifiable Credentials, což zajišťuje mezihraniční interoperabilitu.

Pro podniky to znamená, že budou moci ověřit identitu svých zákazníků nebo partnerů prostřednictvím peněženky bez toho, aby sami spravovali sběr dokladů — což výrazně snižuje tření KYC (Know Your Customer) a riziko podvodů s dokumenty.

---

Úrovně záruky a hierarchie podpisů: co se mění

Zachování hierarchie QES / AdES / SES

Režim elektronických podpisů zůstává strukturován kolem tří úrovní definovaných v článku 3 eIDAS 2 (opakující si terminologii z roku 2014, ale s upřesněním technických požadavků):

• Jednoduchý elektronický podpis (SES): minimální důkazní hodnota, vhodný pro běžné záležitosti.
• Rozšířený elektronický podpis (AdES): výlučná vazba na podepisujícího, schopnost zjistit jakoukoli pozdější změnu.
• Kvalifikovaný elektronický podpis (QES): právní ekvivalent vlastnoručního podpisu v celé EU (článek 25§2), vydaný prostřednictvím kvalifikovaného zařízení pro vytváření podpisů (QSCD) na základě kvalifikovaného certifikátu.

Novost spočívá v tom, jak může být QES nyní vydán prostřednictvím kvalifikovaných služeb vzdáleného podpisu (QRCD), jejichž podmínky schválení jsou upřesněny v článcích 29a a 29b revidovaného textu. To otevírá cestu 100% digitálním tokům pro nejnáročnější akty — notářské smlouvy, elektronické veřejné listiny — bez nutnosti fyzické čipové karty.

Dopad na poskytovatele kvalifikovaných služeb důvěry (QTSP)

Poskytovatelé jako Certyneo, kteří působí na základě certifikovaných QTSP, musí předvídat nové požadavky na audit zavedené eIDAS 2. Článek 24 nyní ukládá zpřísněné kontroly na dodavatelský řetězec a požadavky na hlášení bezpečnostních incidentů se výslovně slaďují s požadavky směrnice NIS2 (lhůta 24 hodin na počáteční hlášení). Chcete-li se hlouběji ponořit do fungování různých úrovní podpisů v kontextu B2B, podívejte se na náš komplexní průvodce elektronickým podpisem v podniku.

---

Harmonogram nasazení a povinnosti podniků v letech 2025–2026

Klíčové fáze nasazení

Nařízení (EU) 2024/1183 bylo zveřejněno v Úředním věstníku EU 30. dubna 2024 a vstoupilo v platnost 20. května 2024. Prováděcí a delegované akty — nezbytné pro upřesnění technických požadavků — jsou postupně zveřejňovány:

| Termín | Povinnost | |---|---| | Květen 2024 | Vstup nařízení v platnost | | Konec 2024 | Publikace prováděcích aktů na ARF v2.0 | | Polovina 2025 | Certifikace prvních pilotních EUDI Wallets | | Listopad 2026 | Povinná dostupnost EUDI Wallet v každém членskom státě | | 2027 | Povinné přijetí velkými online platformami |

Co by měly podniky B2B dělat ihned

Pro podniky využívající řešení elektronického podpisu se v letech 2025–2026 ukazují tři priority:

1. Audit jejich řetězce důvěry: ověřit, že jejich poskytovatel podpisů je skutečně uveden na seznamu QTSP (Trusted List) jejich členského státu a že používané certifikáty jsou v souladu s revidovanými specifikacemi ETSI EN 319 401 a EN 319 411-1.

2. Předvídat integraci EUDI Wallet: podniky působící v regulovaných sektorech (bankovnictví, pojištění, zdravotnictví, nemovitosti) budou mezi prvními dotčenými toky ověřování identity prostřednictvím peněženky. Příprava API pro integraci v roce 2025 je doporučena.

3. Přezkoumat zásady uchovávání: nová kvalifikovaná služba elektronického archivování (QESAP) zavádí standardy dlouhodobé konservace, které se mohou uplatnit v některých sektorech (veřejné nákupy, farmaceutický sektor). Náš kalkulátor ROI pro elektronický podpis vám umožní vyhodnotit finanční dopad modernizace vaší dokumentační infrastruktury.

---

Interoperabilita, GDPR a otázky digitální svrchovanosti

eIDAS 2 a GDPR: posílená komplementarita

Jedním z velkých pokroků eIDAS 2 je výslovné začlenění zásad ochrany údajů již od návrhu (privacy by design) do architektury peněženky EUDI. Článek 5a§14 stanoví, že peněženka neumožňuje poskytovatelům sledovat chování uživatele během transakcí. Emitenti kvalifikovaných atributů identity (QEAA) nejsou informováni o způsobu, jakým jsou vydané osvědčení používána — což představuje zásadní zlom s dnešními centralizovanými modely.

Tato architektura se nazývá unlinkability (nekorelabilita): dva odlišné transakce provedené stejným uživatelem nemohou být propojeny bez jeho souhlasu. Tato záruka přesahuje minimální požadavky GDPR a zároveň se s ním dokonale slaďuje.

Geopolitická dimenze: získání kontroly nad online identitou

eIDAS 2 také řeší otázku svrchovanosti. Dnes se ověřování online masivně opírá o tlačítka „Přihlášení přes Google/Facebook/Apple", což dává technologickým gigantům z USA dominantní pozici v řízení digitálních identit v Evropě. Vynucením velkým platformám (v rámci zákona o digitálních službách) přijetí EUDI Wallet jako prostředku ověřování vytváří eIDAS 2 interoperabilní a suverénní alternativu.

Pro podniky B2B to také znamená, že soulad s eIDAS 2 se může stát kritériem výběru dodavatele v tendřích na veřejné a soukromé nákupy — podobně jako je dnes certifikace ISO 27001 v procesech nákupu. Pokud vaše organizace zvažuje vývoj svého současného řešení, náš průvodce migrací z DocuSign nebo YouSign na Certyneo popisuje kroky řídané tranzice.

Právní rámec použitelný na eIDAS 2 a elektronický podpis

Texty sloužící jako reference

Nařízení (EU) 2024/1183 Evropského parlamentu a Rady ze 11. dubna 2024, kterým se mění nařízení (EU) č. 910/2014 pokud jde o vytvoření evropského rámce pro digitální identitu (eIDAS 2). Zveřejněno v ÚVEU 30. dubna 2024, vstoupilo v platnost 20. května 2024.

Nařízení (EU) č. 910/2014 (eIDAS 1): zůstává v platnosti pro svoje nezmařená ustanovení, zejména články týkající se úrovní záruky „nízko", „podstatně" a „vysoko" pro notifikovaná schémata identifikace.

Francouzský občanský zákoník, články 1366 a 1367: elektronické psaní má stejnou důkazní sílu jako psaní na papíře za podmínky, že osoba, od níž pochází, je řádně identifikována a dokument je vyhotoven za podmínek garantujících jeho integritu. Kvalifikovaný elektronický podpis (QES) v rámci eIDAS 2 tyto požadavky splňuje ze zákona.

Nařízení (EU) 2016/679 (GDPR): zpracování údajů o identitě v rámci peněženky EUDI podléhá zásadám minimalizace (čl. 5 odst. 1 písmeno c), omezení účelu (čl. 5 odst. 1 písmeno b) a ochrany údajů od návrhu (čl. 25). Kvalifikovaní poskytovatelé se uplatnují jako odlišní správcové údajů pro operace ověřování.

Směrnice (EU) 2022/2555 (NIS2): převedena do francouzského práva nařízením č. 2024-528 ze 12. června 2024, která ukládá poskytovatelům kvalifikovaných služeb důvěry povinnosti v oblasti řízení kybernetických rizik a hlášení incidentů do 24 hodin.

Normy ETSI:

• EN 319 132 (XAdES) a EN 319 122 (CAdES): pokročilé formáty elektronického podpisu.
• EN 319 401: všeobecné požadavky na poskytovatele služeb důvěry.
• EN 319 411-1 a 411-2: politika a bezpečnostní požadavky na CA vydávající kvalifikované certifikáty.
• EN 319 521: požadavky na kvalifikované služby uchovávání podpisů (QESAP).

Povinnosti a právní rizika pro podniky

Každý podnik používající elektronické podpisy v smluvním kontextu musí zajistit, aby zvolená úroveň podpisu byla přiměřená hodnotě a povaze aktu. Pro akty podléhající právní povinnosti podpisu (slibné prodejní smlouvy, pracovní smlouvy, objednávky nad určitými prahy), pouze QES nebo AdES založená na kvalifikovaném certifikátu přináší předpoklad spolehlivosti uvedený v článku 26 eIDAS 2.

V případě sporu se důkazní břemeno obrátí: je-li podpis kvalifikován, je na straně, která dokument zpochybňuje, aby prokázala jeho změnu; není-li kvalifikován nebo není-li pokročilý bez kvalifikovaného certifikátu, důkazní břemeno spočívá na podepisujícím, který jej uplatňuje. Nedodržení požadavků na sledovatelnost a integritu může vést k neplatnosti aktu nebo neaplikovatelnosti podpisu na třetí straně.

Scénáře použití: eIDAS 2 aplikován na podniky B2B

Scénář 1 — Poradenská firma v oblasti digitální transformace (přibližně 80 poradců)

Struktura poradenství s poradci nasazená u klientů v několika členských státech (Francie, Německo, Nizozemí) musí každý měsíc podepsat příkazy pro mise, dodatky ke smlouvám a zápisy z přejímky. Před eIDAS 2 spravování identit přes hranice generovalo problémy: odmítnutí některých německých klientů aby uznali certifikáty vydané francouzským QTSP, dvojí ověření e-mailem nebylo dostatečné pro citlivé akty.

Se zavedením EUDI Wallet v roce 2026 budou poradci moci podepisovat ze své národní peněženky — uznávané v právu všech členských států — bez jakýchkoli problémů. Společnost odhaduje snížení o 60 až 70% času věnovaného výměně ověřování dokumentů před podpisem, tedy přibližně 3–4 hodiny na poradce za měsíc podle srovnávacích údajů sektoru publikovaných McKinsey Digital (2024).

Scénář 2 — Střední průmyslový podnik řídící 350 dodavatelských smluv ročně

Střední podnik v sektoru průmyslových zařízení, pracující se sto dodavateli z Evropy a Asie, musí smluvně zajistit objednávky, smlouvy o důvěrnosti (NDA) a rámcové smlouvy. Doposud se 30% těchto dokumentů vrátilo bez platného podpisu nebo se zpožděním delším než 10 pracovních dnů.

Přijetím řešení elektronického podpisu v souladu s eIDAS 2 s ověřením identity prostřednictvím kvalifikovaných atributů (QEAA) může podnik prosazovat tok podpisu, kde je identita právního zástupce dodavatele automaticky ověřena prostřednictvím peněženky EUDI bez ručního zadávání. Očekávaný výsledek: snížení průměrné doby podpisu z 10 dnů na méně než 48 hodin a snížení o 40% sporů souvisejících s nekonformními podpisy na základě rozpětí pozorovaných v zprávách ELENIUS 2025 o desmaterializaci B2B.

Scénář 3 — Skupinu nemovitostí řídící smlouvy o prodeji v několika zemích

Síť realitních kanceláří provozujících činnost ve Francii, Španělsku a Portugalsku musí pravidelně zajistit podpisování předsmluvních podmínek mezi prodejci a kupujícími rozdílných národností. QES je v některých kontextech vyžadovánajako forma zajištění rovnocennosti s vlastnoručním podpisem před notářem.

Díky eIDAS 2 a interoperabilitě peněženek EUDI může portugalský kupující podepsat předběžnou smlouvu podléhající francouzskému právu pomocí své národní peněženky s vysokou úrovní záruky, která je automaticky uznávána platformou podpisu. Skupinou se snižují cestovné a notifikační poplatky přibližně na 800–1 200 eur na soubor mezinárodní práce, přičemž se zkracuje lhůta na uzavření předběžných smluv z 3 týdnů na průměrně 5 dnů. Pro specifická použití v sektoru se náš vyhrazený odkaz na elektronický podpis v nemovitostech detailně popisuje příslušné pracovní procesy.

Závěr

eIDAS 2 není pouhá běžná aktualizace právních předpisů: jde o hlubokou reformu způsobu, jakým fungují digitální identita a elektronická důvěra v Evropě. Peněženka EUDI Wallet, nové kvalifikované služby, povinnost interoperability a soulad s NIS2 a GDPR tvoří koherentní ekosystém, který bude transformovat smluvní procesy a ověřování v podnicích do konce roku 2026.

Aby zůstaly v souladu a konkurenceschopné, organizace B2B musí jednat ihned: provést audit svého řetězce důvěry, vybrat poskytovatele v souladu s novými požadavky a připravit své dokumentační toky na integraci evropské digitální peněženky.

Certyneo vás bude doprovázet v této tranzici s řešeními kvalifikovaného elektronického podpisu v souladu s eIDAS 2, připravenými na rok 2026. Požádejte o předvedení nebo vytvořte svůj účet na Certyneo a zajistěte své smlouvy již dnes.