eIDAS 2 vs eIDAS 1: klíčové změny pro malé a střední podniky

Úvod: proč eIDAS 2 změní hru pro malé a střední podniky

Od 20. května 2024 je nařízení (EU) 2024/1183 — běžně nazývané eIDAS 2 — v platnosti, které postupně zrušuje a nahrazuje nařízení (EU) č. 910/2014 (eIDAS 1). Pro francouzské MSP není tento přechod pouhým administrativním aktualizacím: předefinuje úrovně digitální důvěry, zavádí evropskou peněženku identity (EUDIW), posiluje požadavky na poskytovatele služeb důvěry a rozšiřuje okruh uznávaných služeb. Tento článek porovnává bod za bodem eIDAS 1 a eIDAS 2, identifikuje konkrétní operační dopady pro malé a střední podniky a dává vám akční plán, jak zůstat v souladu do roku 2026.

---

1. Připomenutí: co zavádí eIDAS 1 (2014-2024)

1.1 Základy původního nařízení

Přijato v červenci 2014 a použitelné od září 2016, eIDAS 1 položilo první základy evropského prostoru digitální důvěry. Zavedlo tři velké kategorie elektronického podpisu — jednoduchý (SES), pokročilý (AdES) a kvalifikovaný (QES) — a vytvořilo seznam důvěry kvalifikovaných poskytovatelů (Trusted List), dostupný na portálu Evropské komise.

Pro MSP byl hlavním přínosem eIDAS 1 přeshraniční uznání kvalifikovaných podpisů: smlouva podepsaná s QES francouzské byly právně uznávány v Německu, Španělsku nebo Itálii bez apostillu či dalšího formálního kroku. Tento princip — nazývaný „nediskriminace" — se stal základem, na kterém služby SaaS jako Certyneo postavily svou nabídku.

1.2 Zjištěná omezení

Přes své pokroky trpěla eIDAS 1 několika nedostatky zdokumentovanými Evropskou komisí v její zprávě o hodnocení z roku 2021:

• Fragmentace schémat identity: pouze státy, které oznámily své národní schéma (jako FranceConnect+ podstatná úroveň), měly prospěch z vzájemného uznání. V roce 2023 mělo pouze 14 států z 27 oznámeno schéma v souladu.
• Absence nativní mobilní podpory: kvalifikované zařízení pro vytváření podpisu (QSCD) často vyžadovalo čipovou kartu nebo fyzický token, což brzdilo přijetí v mobilním prostředí.
• Omezené služby důvěry: eIDAS 1 Seznam devět typů kvalifikovaných služeb; nové způsoby použití (kvalifikované elektronické archivování, správa atributů) nebyly encyklopedicky upraveny.
• Žádná sjednocená peněženka identity: každý občan nebo podnik spravoval své identifikátory izolovaně bez zaručené interoperability.

Tato omezení vedla Komisi k zahájení revize již v roce 2020, která vedla k nařízení eIDAS 2 po třech letech triloga.

---

2. Pět hlavních novinek eIDAS 2 pro malé a střední podniky

2.1 Evropská digitální peněženka identity (EU Digital Identity Wallet — EUDIW)

Toto je nejviditelnější novinkou nařízení. Do listopadu 2026 (lhůta pro transpozici stanovená článkem 5a) musí každý členský stát poskytnout svým občanům a rezidentům nejméně jednu certifikovanou digitální peněženku identity. Pro MSP má tato evoluce dva přímé důsledky:

1. Zjednodušené ověřování klientů a partnerů: peněženka umožní sdílení ověřených atributů (věk, číslo DIČ v EU, výpis z obchodního rejstříku, certifikované bankovní údaje) bez tření. Rámcová dohoda s německým partnerem bude moci být podepsána po okamžitém ověření jeho profesionálních atributů z jeho EUDIW.
2. Povinnost přijetí pro určitá odvětví: online služby velkých platforem (článek 45bis) a určité veřejné služby budou muset přijmout EUDIW jako prostředek ověřování. MSP, které poskytují portály B2B, budou muset přizpůsobit své autentizační API.

2.2 Rozšíření seznamu kvalifikovaných služeb důvěry

eIDAS 2 rozšiřuje katalog kvalifikovaných služeb důvěry z 9 na 14 kategorií. Nové položky přímo týkající se MSP jsou:

• Kvalifikované elektronické archivování (čl. 45septies): dlouhodobá konzervace s posilovanou právní váhou. Dosud bylo archivování s právní váhou opřeno o národní rámce (ve Francii referenční materiál SIAF/ANSSI); eIDAS 2 harmonizuje evropský rámec.
• Vzdálená správa kvalifikovaných zařízení pro vytváření podpisu (RQSCD): nyní explicitně upravena, vyjasňuje nejasnosti, které vedly na cloudové řešení kvalifikovaného podpisu. Pro MSP s 50 zaměstnanci to znamená přístup ke kvalifikovanému podpisu bez fyzického tokenu z jakéhokoliv zařízení.
• Služba kvalifikovaného elektronického rejstříku: rejstříky založené na blockchainu nebo distribuované technologie ledgeru mohou nyní získat kvalifikovaný status, což otevírá cestu novým modelům správy smluv.

Chcete-li se dozvědět více o úrovních podpisu a jejich právní hodnotě, podívejte se na náš kompletní průvodce elektronickým podpisem.

2.3 Posilování bezpečnostních požadavků na kvalifikované poskytovatele (QTSP)

eIDAS 2 zpřísňuje povinnosti kvalifikovaných poskytovatelů služeb důvěry (QTSP). Revidovaný článek 24 zejména ukládá:

• Certifikaci kybernetické bezpečnosti v souladu s evropským rámcem (EU Cybersecurity Act, nařízení 2019/881), se sektorovými schématy v přípravě od ENISA.
• Zvýšené požadavky na provozní odolnost: QTSP musí nyní dokumentovat svůj plán kontinuity podnikání a předložit jej své národní dozorčí autoritě (ve Francii ANSSI pro kvalifikované poskytovatele).
• Povinnost oznámit bezpečnostní incidenty do 24 hodin (soulad s NIS 2).

Pro MSP jako uživatele se to překládá v zesílenou povinnost péče při výběru poskytovatele: ověřit, že vaše řešení podpisu je skutečně na aktualizované evropské Trusted List, je nyní kritickým krokem vašeho procesu nákupu. Náš srovnávač řešení elektronického podpisu vám může pomoci s touto analýzou.

2.4 Povinná interoperabilita schémat identity

Tam, kde eIDAS 1 ponechal členským státům svobodu v oznámení (či ne), eIDAS 2 činí oznámení a interoperabilitu povinné pro schémata identity používaná v online veřejných službách (čl. 5). France Identité — národní schéma vedené ministerstvem vnitra — je právě v souladu se technickými specifikacemi EUDIW publikovanými Komisí v nařízení o provedení (EU) 2024/2977.

Pro MSP, která se pravidelně setkávají s veřejnou správou (veřejné zakázky, teldeklarace daní, celní postupy), tato evoluce znamená, že online postupy budou postupně sjednoceny kolem jedinečného digitálního identifikátoru uznaného v celé EU.

2.5 Nová pravidla odpovědnosti a dohledu

eIDAS 2 vyjasňuje a rozšiřuje režimy odpovědnosti poskytovatelů (čl. 13 revidovaný). QTSP je nyní předpokládán odpovědný za veškerou škodu způsobenou fyzické nebo právnické osobě porušením jeho povinností, pokud to nedokáže nesdílení důlehy. Tato zesílená domněnka odpovědnosti oproti eIDAS 1 by měla vést MSP:

• Formalizovat závazky jejich poskytovatele smlouvou (SLA, záruky dostupnosti, kompenzace).
• Ověřit rozsah pojistného krytí odpovědnosti za povinnost QTSP.
• Uchovávat důkazy auditu podepsaných transakcí (protokoly časového razítka, zprávy o ověření podpisu).

Naše týmy připravily podrobný průvodce elektronickým podpisem v podniku, který pokrývá tyto smluvní aspekty.

---

3. Srovnávací tabulka eIDAS 1 vs eIDAS 2: co se konkrétně mění

3.1 Shrnutí hlavních evolucí

| Kritérium | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Peněženka identity | Absence | EUDIW povinný (státy) | | Kvalifikované služby | 9 kategorií | 14 kategorií (archivování, RQSCD, rejstříky…) | | Oznámení schémat | Fakultativní | Povinné pro veřejné služby | | Bezpečnost QTSP | Kritéria Common Criteria | Cybersecurity Act + ENISA schémata | | Odpovědnost QTSP | Částečná | Zesílená domněnka odpovědnosti | | Lhůta oznámení incidentu | Neurčeno | 24 hodin (soulad NIS 2) | | QSCD mobilní | Právní nejasnost | RQSCD explicitně upraven |

3.2 Klíčové lhůty k zapamatování na rok 2026

• Květen 2024: vstup v platnost nařízení (EU) 2024/1183.
• listopad 2026: lhůta pro to, aby každý členský stát nabídl nejméně jednu certifikovanou řešení EUDIW.
• 2027: povinnost pro velké platformy (čl. 45bis) přijmout EUDIW jako prostředek ověřování.
• 2028: plánovaná revize technických prováděcích aktů (delegovaná nařízení o specifikacích EUDIW).

Pokud váš MSP plánuje migraci na více kompatibilní řešení, náš plán migrace na Certyneo zahrnuje bezplatný audit souladu eIDAS 2.

---

4. Praktický akční plán pro uvedení vašeho MSP do souladu s eIDAS 2

4.1 Audit vašich stávajících dokumentárních toků

Začněte mapováním všech procesů, ve kterých aktuálně používáte elektronický podpis nebo digitální identitu: smlouvy se dodavateli, elektronické výplatní pásy, mandáty SEPA, smlouvy o důvěrnosti, HR akty. Pro každý tok identifikujte:

• Používaná úroveň podpisu (SES, AdES, QES).
• Aktuální poskytovatel a jeho status na Trusted List.
• Úroveň právního rizika v případě sporu.

Tento audit je doporučeným výchozím bodem ANSSI v jejím průvodci souladu publikovaném v březnu 2025.

4.2 Upgrade vašeho řešení podpisu

Pokud váš aktuální poskytovatel není uveden na Trusted List eIDAS 2 nebo zatím nenabízí RQSCD, je čas porovnat nabídky na trhu. Certyneo je certifikovaný QTSP, který podporuje všechny tři úrovně podpisu (SES, AdES, QES) a nativně integruje nové požadavky eIDAS 2, zejména kvalifikované archivování a vzdálenou správu zařízení.

4.3 Školení vašich týmů a aktualizace vašich smluv

eIDAS 2 posiluje právní váhu kvalifikovaných podpisů, ale také ukládá dobré dokumentační postupy. Ujistěte se, že vaše právní a administrativní týmy:

• Umějí rozlišovat tři úrovně podpisu a jejich příslušnou právní hodnotu.
• Integrují do smluv se dodavateli doložku auditu souladu eIDAS.
• Uchovávají důkazy ověření podpisu (zpráva o validaci, kvalifikované časové razítko) během doby uchovávání uplatnitelné pro daný typ aktu (3 až 10 let podle povahy aktu).

Pro strukturování tohoto přístupu vám náš kalkulátor ROI elektronického podpisu umožní kvantifikovat provozní zisky související s upgradem.

Příslušný právní rámec

Referenční texty

Soulad eIDAS 2 pro francouzský MSP se vejde do právního ekosystému, který je nezbytné zvládnout.

Nařízení (EU) 2024/1183 Evropského parlamentu a Rady (zvané „eIDAS 2"): toto je základní text publikovaný v ÚVES dne 30. dubna 2024. Zrušuje a nahrazuje nařízení (EU) č. 910/2014 podle plánu postupného nasazení trvajícího do roku 2027. Má přímou aplikaci ve všech členských státech bez nutnosti legislativní transpozice na národní úrovni pro jeho hlavní ustanovení.

Nařízení (EU) č. 910/2014 (eIDAS 1): některá z jeho ustanovení zůstávají použitelná během přechodných období předvídaných eIDAS 2, zejména pro kvalifikované poskytovatele, kteří získali kvalifikaci před květnem 2024 a mají lhůtu na re-certifikaci.

Francouzský občanský zákoník, články 1366 a 1367: článek 1366 stanoví princip ekvivalence mezi elektronickým a papírovým zápisem pod podmínkou, že „osoba, od níž emanuje, může být řádně identifikována a je zřízena a uchovávaná způsobem zaručujícím její integritu". Článek 1367 uznává elektronický podpis jako důkazní prostředek, odkazující na podmínky stanovené dekretem Státní rady (dekret č. 2017-1416 ze 28. září 2017, kodifikovaný v článcích R. 1369-1 až R. 1369-10 Občanského zákoníku).

Nařízení (EU) 2016/679 (GDPR): nasazení EUDIW a zpracování atributů identity v tocích elektronického podpisu představují zpracování osobních údajů ve smyslu GDPR. MSP musí zajistit, aby jejich QTSP působil jako zpracovatel ve smyslu článku 28 GDPR s dohodou DPA (Data Processing Agreement) v souladu. CNIL zveřejnila v lednu 2026 doporučení speciálně zaměřené na integraci EUDIW-GDPR.

Směrnice (EU) 2022/2555 (NIS 2): eIDAS 2 se explicitně zarovnává s NIS 2 pro povinnosti oznámení incidentů (čl. 24, odstavec 2 eIDAS 2 odkazující na NIS 2 ustanovení). QTSP jsou považovány za „podstatné" nebo „důležité" subjekty ve smyslu NIS 2 podle jejich velikosti a z tohoto titulu podléhají pravidelnému bezpečnostnímu auditu.

Standardy ETSI: elektronické kvalifikované podpisy musí být v souladu se standardy ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) a ETSI EN 319 102-1 (validační postup). Standard ETSI TS 119 461 upravuje vzdálenou verifikaci identity (IDV), zvláště relevantní pro RQSCD.

Právní rizika v případě noncompliance

Používání řešení elektronického podpisu nevyhovujícího eIDAS 2 vystavuje MSP několika rizikům:

• Nepřijatelnost u soudu: soudce může odmítnout elektronický podpis, jehož úroveň neodpovídá podepsanému aktu (např. jednoduchý podpis pro akt vyžadující pokročilou nebo kvalifikovanou úroveň).
• Smluvní odpovědnost: pokud je smlouva napadena partnerem s tvrzením, že podpis je neplatný, MSP může čelit žádostim o náhradu škody.
• Sankce GDPR: v případě porušení údajů vztahujícího se k chybě zabezpečení poskytovatele může MSP, spoluodpovědný nebo správce údajů, být potrestán CNIL až do 4 % ročního celosvětového obratu (čl. 83 odstavec 4 GDPR).

Konkrétní scénáře použití

Scénář 1: MSP v průmyslu s 80 zaměstnanci spravující 400 smluv se dodavateli ročně

MSP v metalurgickém odvětví zpracovávající přibližně 400 smluv se dodavateli ročně používala až do roku 2024 řešení elektronického podpisu (SES) pro všechny své závazky, včetně hlavních rámcových smluv přesahujících 50 000 €. Po auditu souladu eIDAS 2 zjistila, že 35 % jejích smluv vyžaduje pokročilý nebo kvalifikovaný podpis, aby odolal právnímu napadení, zejména s dodavateli usazenými v jiných členských státech EU.

Migrací na řešení kombinující pokročilý podpis (AdES) pro běžné smlouvy a kvalifikovaný (QES) pro hlavní rámcové smlouvy a aktivací kvalifikovaného elektronického archivování (nová služba eIDAS 2) tato MSP snížila o 70 % čas věnovaný správě dokumentů po podpisu (třídění, vyhledávání, odesílání ověřených kopií) a snížila na nulu spory týkající se napadnutí podpisu v následujících 18 měsících, oproti dvěma incidentům v předchozích 18 měsících.

Scénář 2: právní kancelář specialista na obchodní právo se 15 spolupracovníky

Kancelář specialista na právo v byznysu vytvářející v průměru 1 200 podepsaných aktů ročně (dopis o pověření, mandáty, dohody o důvěrnosti) čelila rostoucímu požadavku svých podnikových klientů na kvalifikované podpisy uznávané v celé EU. V rámci eIDAS 1 získání kvalifikovaného certifikátu vyžadovalo proceduru face-to-face nebo dlouhou video verifikaci (45 až 90 minut na uživatele).

Díky RQSCD (Remote Qualified Signature Creation Device) upravenému eIDAS 2 mohla kancelář nasadit kvalifikovaný podpis pro všechny své spolupracovníky za méně než dva týdny prostřednictvím 100% vzdálené procedury enrolmentu v souladu se standardem ETSI TS 119 461. Míra vnitřního přijetí vzrostla z 40 % na 95 % během tří měsíců a průměrná lhůta vrácení podepsaných aktů se snížila z 4,2 dní na méně než 6 hodin podle interního měření kanceláře.

Scénář 3: MSP e-commerce operující ve třech zemích EU

Společnost online prodeje zaměstnávající 35 lidí a operující ve Francii, Belgii a Holandsku musela spravovat tři typy elektronických dohod: pracovní smlouvy pro své místní zaměstnance, smlouvy o partnerství s přepravci a mandáty SEPA pro své podnikatelské klienty. Fragmentace národních požadavků v rámci eIDAS 1 ji nutila udržovat tři různé workflow podpisů s odhadovanými náklady na správu около 12 000 € ročně.

Přijetí jediného řešení v souladu s eIDAS 2 — integrujícího vzájemné uznání kvalifikovaných podpisů ve všech třech zemích — umožnilo sjednocení workflow, snížení nákladů na správu na přibližně 4 500 € ročně (úspora 62 %) a eliminaci zpoždění spojených s ruční validací zahraničních podpisů právní oddělením.

Závěr

eIDAS 2 není jen kozmetickou revizí regulačního rámce: zásadně předefinuje pravidla hry digitální důvěry v Evropě. Pro francouzské MSP představují pět hlavních evolucí — peněženka EUDIW, rozšíření kvalifikovaných služeb, RQSCD, povinná interoperabilita a zesílená odpovědnost — jak omezení souladu, tak příležitost zrychlit svou transformaci dokumentů.

MSP, které dnes tyto změny anticipují, budou mít reálnou konkurenční výhodu: smlouvy uznávané v celé EU bez třete, archivování s právní váhou integrovanou a procesy podpisu zcela elektronizované a zabezpečené.

Certyneo je navržen tak, aby tento přechod doprovodil. Spusťte svou bezplatnou zkušební verzi na certyneo.com a využijte bezplatný audit souladu eIDAS 2 pro vaše stávající dokumentární toky.