Přechod eIDAS 1 na eIDAS 2: dopady na elektronický podpis v roce 2025

Dne 20. května 2024 bylo nařízení (EU) 2024/1183 — běžně称為 eIDAS 2 — zveřejněno v Úředním věstníku Evropské unie a postupně zrušilo nařízení č. 910/2014 (eIDAS 1). Tento text představuje nejzásadnější reformu digitální identity a elektronického podpisu v Evropě od roku 2016. Pro francouzské podniky, které používají řešení elektronického podpisu ve svých smluvních procesech, není přechod pouhou formalitou: zahrnuje technické, právní a organizační úpravy, jejichž horizont se rozprostírá až do roku 2026 a dále. Porozumění přechodu z eIDAS 1 na eIDAS 2 a jeho dopadům na elektronický podpis v roce 2025 se tedy stalo prioritou pro právní, IT a HR oddělení. Tento článek rozluštuje zásadní vývoj rámce, přesný harmonogram přechodu a konkrétní opatření, která je třeba přijmout, aby zůstala dosažitelná.

Co nařízení eIDAS 2 zásadně mění

Od nařízení z roku 2014 k přepracování v roce 2024: proč byla revize nutná

EIDAS 1 položila základy vzájemného uznávání elektronických podpisů v Unii. Tři hierarchické úrovně — jednoduchý (SES), pokročilý (AdES) a kvalifikovaný (QES) — strukturovaly probativní hodnotu podpisů, opírající se o seznam poskytovatelů služeb důvěry (TSL). Ale za deset let se objevily dvě hlavní mezery.

Zaprvé, původní nařízení se aplikovalo v podstatě na vztahy se státními správami (G2B, G2C). Nevytvářelo přímé povinnosti v soukromých transakcích (B2B, B2C), což zanechávalo regulační prázdnotu, kterou každý členský stát vyplňoval rozdílně. Zadruhé, vzestup digitálních služeb — mobilní aplikace, open banking, telemédicína — odhalil absenci přenositelného a interoperabilního systému digitální identity na kontinentální úrovni.

EIDAS 2 reaguje na tyto dvě výzvy zavedením evropské peněženky digitální identity (EU Digital Identity Wallet, EUDIW) a rozšířením rozsahu služeb důvěry na nové případy použití: kvalifikované elektronické archivování, atestace kvalifikovaných atributů, kvalifikované elektronické registry (včetně certifikovaných aplikací blockchain).

Nové kategorie kvalifikovaných služeb důvěry

Nařízení eIDAS 2 rozšiřuje seznam kvalifikovaných služeb důvěry (článek 3 a revidovaná příloha IV). Kromě podpisů, pečetí a kvalifikovaných časových razítek již uznávaných eIDAS 1 jsou nyní kvalifikované:

• Služby kvalifikovaného elektronického archivování (čl. 34 bis): povinnost zachovat integritu a čitelnost dlouhodobě podepsaných dokumentů s posílenými požadavky na poskytovatele (QTSP).
• Služby správy zařízení pro tvorbu kvalifikovaného vzdáleného podpisu (QRCD): posílená regulace řešení vzdáleného podpisu prostřednictvím cloudového HSM (Hardware Security Module).
• Atestace kvalifikovaných atributů: mechanismus umožňující třetí straně důvěry certifikovat atributy entity (např. kvalifikace právníka, status lékaře) bez odhalení celé identity.
• Kvalifikované elektronické registry: uznání distribuovaných registrů za přísných podmínek auditovatelnosti a odolnosti.

Pro uživatele řešení elektronického podpisu toto rozšíření znamená, že dostupné kvalifikované služby důvěry na trhu se budou rozmanitěji rozšiřovat a kritéria pro výběr poskytovatele (QTSP) musí zahrnovat tyto nové schopnosti.

EUDIW: peněženka digitální identity jako infrastruktura podpisu

Nejviditelnější inovací eIDAS 2 zůstává EUDIW. Každý členský stát bude muset svým občanům a rezidentům do 26. listopadu 2026 (lhůta na dosažení souladu v národní úrovni podle článku 5 bis) poskytnout peněženku digitální identity zdarma, interoperabilní se všemi ostatními členskými státy. Tato peněženka umožní:

• ověřit uživatele s vysokou úrovní záruky (LoA High) bez nutnosti uchýlit se k poskytovateli třetí strany;
• podepsat elektronicky dokumenty s kvalifikovanou hodnotou (QES) přímo z peněženky;
• sdílet vybrané atributy identity (selective disclosure), čímž se respektuje zásada minimalizace dat GDPR.

Pro podniky EUDIW teoreticky zjednodušuje postupy ověření identity před kvalifikovaným podpisem, odstraňuje tak tření video-identifikace nebo osobního ověření. V praxi bude dopad záviset na tempu nasazení v jednotlivých národech — Francie zahájila v roce 2025 pilotní experimentování v rámci programu „France Identité".

Přesný harmonogram přechodu z eIDAS 1 na eIDAS 2

Regulační milníky, které je třeba znát

Nařízení 2024/1183 vstoupilo v platnost dne 20. května 2024, ale jeho uplatnění je postupné. Zde jsou klíčové termíny:

| Datum | Údálost | |------|----------| | 20. května 2024 | Zveřejnění v OJEU, formální vstup v platnost | | 20. listopadu 2024 | Lhůta 6 měsíců pro přijetí prováděcích aktů Komisí (technické specifikace EUDIW) | | Konec 2025 | Zveřejnění revidovaných norem ETSI (EN 319 411-1/2, EN 319 401) obsahujících požadavky eIDAS 2 | | 26. května 2026 | Konečná lhůta pro dosažení souladu členských států v nových kategoriích kvalifikovaných služeb | | 26. listopadu 2026 | Povinné zpřístupnění EUDIW jednotlivými členskými státy | | 2027-2028 | Úplná revize národních seznamů důvěry (TSL) a akreditace nových QTSP |

EIDAS 1 zůstává v platnosti a podpisy vydané v jeho rámci si zachovávají plnou právní hodnotu. Neexistuje žádná povinnost znovu podepisovat existující dokumenty. Na druhé straně budou kvalifikovaní poskytovatelé služeb důvěry muset obnovit svou akreditaci podle nových technických norem do roku 2027.

Co se nezmění a co je třeba sledovat

Kontinuita je kardinálním principem přechodu. Tři úrovně podpisu (SES, AdES, QES) jsou zachovány s nezměněnými definicemi. Domněnka ekvivalence s vlastnoručním podpisem připojeným k QES (článek 25 eIDAS 1, opakovaný v článku 27 eIDAS 2) zůstává v platnosti. Probativní hodnota vašich současných elektronických podpisů není zpochybňována.

Co je třeba sledovat: prováděcí akty (implementing acts) zveřejňované Evropskou komisí během let 2025-2026 budou stanovovat přesné technické specifikace EUDIW a nových kategorií služeb. Tyto texty 2. úrovně mají značný praktický význam pro integrátory a tvůrce softwaru. Pro podniky používající elektronický podpis v HR nebo právních procesech se doporučuje požádat od svého poskytovatele plán souladu s eIDAS 2.

Konkrétní dopad na podniky a jejich řešení pro podpis

Které pracovní postupy jsou zasaženy v prioritě?

Přechod z eIDAS 1 na eIDAS 2 nemá stejný dopad v závislosti na použité úrovni podpisu. Pro podniky se rozlišují tři situace:

Jednoduchý elektronický podpis (SES): používaný pro dodatky nízké hodnoty, potvrzení příjmu, interní formuláře. Žádná povinnost okamžité aktualizace. Probativní pravidla zůstávají regulovány občanským zákoníkem (čl. 1366-1367) a nejsou přímo upravena eIDAS.

Pokročilý elektronický podpis (AdES/AdESQC): podniky používající B2B řešení pro obchodní smlouvy, dematerializované pracovní smlouvy nebo nemovitostní akty musí ověřit, že jejich poskytovatel udržuje soulad s normami ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) a EN 319 142 (PAdES) v jejich revidovaných verzích pro eIDAS 2. Tyto normy budou zveřejněny ETSI do konce roku 2025.

Kvalifikovaný elektronický podpis (QES): kvalifikovaní poskytovatelé (QTSP) budou muset projít novou akreditací eIDAS 2. Přechodné období umožňuje rozumnou lhůtu (až do roku 2027), ale výzvy k nabídkám zahájené v roce 2025 by měly zahrnovat klauzuli souladu s eIDAS 2 v kritériích výběru. Pro organizace porovnávající dostupné možnosti srovnání řešení elektronického podpisu umožňuje vyhodnotit zralost vydavatelů v tomto tématu.

Nové požadavky na kvalifikované poskytovatele služeb důvěry (QTSP)

EIDAS 2 zpřísňuje požadavky na QTSP ve třech hlavních bodech:

1. Bezpečnost systémů: povinné sladění s NIS2 (směrnice (EU) 2022/2555) pro QTSP, nyní klasifikované jako klíčové subjekty. To se projevuje povinnostmi hlášení incidentů do 24 hodin, ročními audity bezpečnosti a zavedením plánů kontinuity činnosti.

1. Posílená odpovědnost: článek 13 eIDAS 2 rozšiřuje režim odpovědnosti QTSP. V případě prokázaného porušení je břemeno důkazu obráceno: poskytovatel musí prokázat, že se nedopustil nedbalosti, nikoli naopak.

1. Povinná interoperabilita: QTSP budou muset vystavit standardizovaná API kompatibilní s EUDIW, aby umožnila nativní integraci peněženek identity. Tento požadavek urychlí modernizaci integračních rozhraní dostupných vývojářům.

Pro podniky zvažující změnu poskytovatele v tomto kontextu je migrace z DocuSign nebo YouSign na řešení splňující eIDAS 2 postupem, který by měl být anticipován právě teď spíše než v urgenci v roce 2027.

Osobní údaje a eIDAS 2: artikulace s GDPR

EUDIW sbírá a zpracovává osobní údaje identity. Nařízení eIDAS 2 výslovně stanovuje (preambule 11 a článek 5 bis §14), že celý systém musí být v souladu s GDPR (nařízení (EU) 2016/679). Několik bodů pozornosti:

• Selektivní zveřejňování: peněženka musí uživateli umožnit sdílet pouze atributy nezbytně nutné pro transakci (zásada minimalizace, čl. 5(1)(c) GDPR). Pro podpis smlouvy by mohlo být sdíleno pouze ověření plnoletosti bez odhalení úplného data narození.
• Přenosy mimo EU: údaje identity zpracovávané v rámci EUDIW nemohou být přeneseny mimo EHP bez patřičných záruk (čl. 46 GDPR). Poskytovatelé používající americké cloudové infrastruktury musí dokumentovat svou shodu.
• Uchovávání protokolů podpisu: archivace důkazů podpisu musí respektovat dobu uchovávání úměrnou povaze dokumentu. Nová služba kvalifikovaného archivování eIDAS 2 nabízí technický rámec pro splnění tohoto požadavku.

Podniky spravující mezinárodní pracovní smlouvy jsou obzvláště postiženy touto artikulací GDPR/eIDAS 2, zejména pokud signatáři sídlí mimo EU.

Právní rámec platný pro přechod z eIDAS 1 na eIDAS 2

Referenční texty

Přechod spočívá na vrstvení textů, které je nezbytné zvládnout:

Na evropské úrovni:

• Nařízení (EU) č. 910/2014 (eIDAS 1): stále v platnosti až do postupného zrušení eIDAS 2. Definuje tři úrovně podpisu (SES, AdES, QES) a režim QTSP.
• Nařízení (EU) 2024/1183 (eIDAS 2): vstoupilo v platnost dne 20. května 2024. Podstatně mění eIDAS 1 bez jeho okamžitého zrušení. Ustanovení týkající se EUDIW se uplatňují již zveřejněním prováděcích aktů.
• Nařízení (EU) 2016/679 (GDPR): se uplatňuje plně na zpracování údajů identity v rámci EUDIW a procesů podpisu. Článek 5 bis §14 eIDAS 2 tuto podřízenost výslovně připomíná.
• Směrnice (EU) 2022/2555 (NIS2): ukládá posílené povinnosti v oblasti kybernetické bezpečnosti QTSP, nyní klasifikované jako klíčové subjekty. Transponována do francouzského práva nařízením č. 2024-821 ze 20. června 2024 (čekající na dekrety v aplikaci).

Na francouzské úrovni:

• Občanský zákoník, články 1366 a 1367: základ pro probativní hodnotu písemností v elektronické formě. Článek 1366 stanovuje ekvivalenci mezi elektronickým a papírovým psaním za podmínek. Článek 1367 přiznává kvalifikovanému podpisu (QES) stejnou probativní sílu jako vlastnoručnímu podpisu.
• Dekret č. 2017-1416 ze 28. září 2017: upřesňuje podmínky použití elektronického podpisu v čestných aktech. Zůstává aplikovatelný během přechodného období.
• Obecný bezpečnostní referenční rámec (RGS) v2: pro francouzské správy RGS ukládá použití řešení uvedených na seznamu ANSSI. Její aktualizace pro integraci eIDAS 2 se očekává během roku 2026.

Technické normy ETSI, které se vztahují

Normy ETSI představují 3. úroveň hierarchie norem. Aktuálně platné verze:

• EN 319 132-1/2: formát XAdES (pokročilé podpisy XML)
• EN 319 122-1/2: formát CAdES (pokročilé podpisy CMS)
• EN 319 142-1/2: formát PAdES (pokročilé podpisy PDF)
• EN 319 401: obecné požadavky na poskytovatele služeb důvěry
• EN 319 411-1/2: požadavky na certifikační autority vydávající kvalifikované certifikáty

Tyto normy budou revidovány do konce roku 2025 s cílem zahrnout nové požadavky eIDAS 2. Smlouvy s QTSP musí obsahovat klauzuli aktualizace na revidované verze bez dodatečných nákladů.

Právní rizika neodpovídajícího

Podpis vydaný poskytovatelem, který by již nebyl akreditován po roce 2027, by neztratil automaticky svou právní hodnotu pro již podepsané dokumenty, ale už by neměl prospěch z právní domněnky ekvivalence s vlastnoručním podpisem (čl. 25 eIDAS). Břemeno důkazu integrity a identity podpisujícího by pak plně spočívalo na podniku v případě sporu. Toto probativní riziko je obzvláště citlivé pro akty se dlouhou dobou preskripce (5 let v obchodních záležitostech, 30 let pro nemovitostní práva).

Scénáře použití: jak organizace anticipují přechod na eIDAS 2

Scénář 1: právnická kancelář se 25 spolupracovníky racionalizuje svou dokumentační soulad

Právnická kancelář specializovaná na právo obchodního styku s přibližně 25 spolupracovníky a intenzivní aktivitou v podpisu mandátů, aktů převodu a protokolů o dohodě používala až do roku 2024 řešení pokročilého podpisu (AdES) pro veškeré toky. Po oznámení eIDAS 2 kancelář provedla audit svých 1 200 dokumentů podepsaných ročně s cílem identifikovat ty, které vyžadují QES podle nových doporučení své kolegialní skupiny.

Výsledek: 15 % aktů (přibližně 180 za rok) bylo reklasifikováno na kvalifikovaný podpis, což umožnilo zabezpečit probativní režim těchto dokumentů. Kancelář vyjednala se svým vydavatelem podpisů klauzuli garantující soulad s eIDAS 2 od zveřejnění prováděcích aktů bez dodatečných nákladů. Administrativní čas spojený s ověřením identity podpisujících se snížil o 40 % díky anticipaci plánované integrace EUDIW na rok 2026.

Scénář 2: malý průmyslový podnik s 150 zaměstnanci zabezpečuje svůj řetězec smluvní dodavatelů

Malý průmyslový podnik spravující přibližně 350 smluv s dodavateli za rok — objednávky, NDA, rámcové smlouvy — fungoval se dvěma odlišnými řešeními podpisu pro své interní a externí toky, čímž vytvářel fragmentaci auditních záznamů. V kontextu přechodu na eIDAS 2 a nových požadavků na kvalifikované archivování se IT oddělení rozhodlo unifikovat svou platformu.

Migrací na jediné řešení integrující kvalifikované elektronické archivování (budoucí kategorie eIDAS 2) podnik snížil své náklady na bezpečné úložiště o 30 % a konsolidoval své důkazy podpisu do digitálního trezoru v souladu. Celý řetězec dokumentace je nyní auditovatelný za méně než 2 minuty během kontrol dodavatelů — rostoucí požadavek jejich objednavatelů v automobilovém průmyslu.

Scénář 3: nemocniční skupiny s přibližně 600 lůžky připravují integraci EUDIW

Veřejná nemocniční skupiny používala kvalifikovaný elektronický podpis pro své lékařské smlouvy a veřejné nákupy v souladu s povinnostmi zákoníku veřejných nákupů. S eIDAS 2 IT oddělení identifikovalo dvě prioritní otázky: budoucí integraci peněženky „France Identité" pro lékaře bez vazby, kteří v zařízení pů sobili, a soulad NIS2 jejího QTSP.

Nemocniční skupiny zapsala do svého schématu řízení digitální transformace 2025-2028 specifický balík „soulad s eIDAS 2" s rozpočtem 45 000 € na technickou migraci a školení zaměstnanců. Cílem je být v měsíci listopadu 2026, aby mohla přijímat podpisy přes EUDIW od plánovaného národního nasazení, čímž se sníží doba smluvní doby s volnopráckými zdravotnickými profesionály z 3 dnů na méně než 4 hodiny v průměru dle dostupných srovnávacích ukazatelů v sektoru.

Závěr

Přechod z eIDAS 1 na eIDAS 2 není zlomem, nýbrž strukturovanou evolucí s přesným harmonogramem rozprostírajícím se až do roku 2027. Dopad na elektronický podpis je reálný — rozšíření kvalifikovaných služeb, příchod EUDIW, zpřísňování požadavků NIS2 pro QTSP — ale zvladatelný, pokud je anticipován. Podniky, které jednají nyní, mají prostor pro audit svých pracovních postupů, zabezpečení svých smluv s poskytovateli a školení svých týmů bez tlaku regulační urgence.

Certyneo doprovází podniky v tomto přechodu s jasným plánem souladu s eIDAS 2, formáty podpisu udržovanými v aktualizaci a architekturou připravenou pro integraci EUDIW. Jste připraveni zabezpečit své toky podpisu v tomto novém regulačním rámci? Objevte naše nabídky a začněte zdarma na Certyneo.