Nařízení eIDAS: vše pochopit o elektronickém podpisu v Evropě
Aktualizováno
Nařízení eIDAS je zakládajícím textem elektronického podpisu v Evropě. Definuje tři úrovně podpisu (jednoduchý, zaručený, kvalifikovaný), stanovuje právní hodnotu elektronických úkonů a upravuje poskytovatele důvěryhodných služeb. Tento průvodce vám vysvětlí vše, co potřebujete vědět pro zajištění souladu v roce 2026.
Co je eIDAS a proč bylo vytvořeno?
Před eIDAS měl každý členský stát Evropské unie vlastní regulaci elektronických podpisů, což vytvářelo právní fragmentaci bránící přeshraniční výměně. Elektronický podpis platný ve Francii nebyl nutně uznáván v Německu nebo Španělsku.
Nařízení (EU) č. 910/2014, zvané eIDAS (Electronic IDentification, Authentication and trust Services), bylo přijato 23. července 2014 a začalo se uplatňovat 1. července 2016. Jako nařízení (a ne směrnice) se aplikuje přímo a jednotně ve všech 27 členských státech, bez potřeby národní transpozice.
eIDAS sleduje tři hlavní cíle: vytvořit jednotný digitální trh v Evropě díky vzájemnému uznávání elektronických identit, zaručit právní jistotu přeshraničních elektronických transakcí a zavést rámec důvěry pro digitální služby prostřednictvím kvalifikovaných poskytovatelů důvěryhodných služeb (QTSP – Qualified Trust Service Provider).
3 úrovně podpisu definované eIDAS
eIDAS zavádí pyramidu tří úrovní elektronického podpisu, každou s vlastními technickými požadavky a průkaznou hodnotou.
Jednoduchý elektronický podpis
Požadavky eIDAS
- Data v elektronické podobě spojená s jinými daty
- Použitá k podpisu (žádný konkrétní technický požadavek)
- Může jít o jednoduché kliknutí, zaškrtnuté pole nebo zadané jméno
Příklady užití
- Přijetí VOP
- Online formulář
- Potvrzovací e-mail
Právní hodnota
Základní smluvní hodnota, bez právní presumpce
Zaručený elektronický podpis
Požadavky eIDAS
- Jedinečně spojený s podepisujícím
- Umožňuje identifikovat podepisujícího
- Vytvořený s daty pod výhradní kontrolou podepisujícího
- Jakákoli pozdější modifikace dokumentu je zjistitelná
Příklady užití
- Pracovní smlouvy
- NDA
- Obchodní smlouvy
- Zprostředkovatelské smlouvy
Právní hodnota
Silná průkazná hodnota – doporučeno pro důležité smlouvy
Kvalifikovaný elektronický podpis
Požadavky eIDAS
- Splňuje všechny požadavky AES
- Vytvořený kvalifikovaným zařízením pro vytváření podpisů (QSCD)
- Založený na kvalifikovaném certifikátu vydaném QTSP (EU seznam důvěry)
Příklady užití
- Digitální autentické úkony
- Náročné veřejné zakázky
- Regulované úkony
Právní hodnota
Právní presumpce rovnocenná vlastnoručnímu podpisu (čl. 25 eIDAS)
eIDAS 2.0: novinky z roku 2024
Nařízení eIDAS bylo revidováno nařízením (EU) 2024/1183, zveřejněným v Úředním věstníku EU 30. dubna 2024 a vstupujícím v platnost 20. května 2024. Tato revize modernizuje původní rámec, aby odpovídal výzvám současného digitálního světa: digitální identita občanů, suverénní cloud, odolnost poskytovatelů důvěry.
Vlajkovým opatřením eIDAS 2.0 je Evropské portfolio digitální identity (EUDIW). Do konce roku 2026 musí každý členský stát nabídnout svým občanům a rezidentům aplikaci umožňující ukládat a prezentovat certifikované atributy identity – digitální ekvivalent občanského průkazu, řidičského průkazu, diplomů. Tento vývoj bude mít přímý dopad na procesy kvalifikovaného podpisu.
Portfolio digitální identity (EUDIW)
eIDAS 2.0 zavádí European Digital Identity Wallet: každý evropský občan bude moci uložit své certifikované atributy identity (občanský průkaz, řidičský průkaz, diplomy) v mobilní aplikaci interoperabilní v celé EU.
Posílení QTSP
Požadavky vztahující se na kvalifikované poskytovatele důvěryhodných služeb (QTSP) jsou zpřísněny, zejména v oblasti kybernetické bezpečnosti, auditů a kontinuity služeb.
Nové důvěryhodné služby
eIDAS 2.0 přidává nové kvalifikované služby: kvalifikovaná elektronická archivace, správa kvalifikovaných atribučních dat, kvalifikovaný elektronický registr (certifikovaná blockchain).
Posílená interoperabilita
Lepší vzájemné uznávání digitálních identit mezi členskými státy. Kvalifikované podpisy vydané v kterékoli zemi EU jsou uznávány všude.
Jak být v souladu s eIDAS v praxi?
Soulad s eIDAS se neomezuje na výběr úrovně podpisu. Vyžaduje úvahu o celém procesu: identifikaci rizik, výběr nástrojů, uchovávání důkazů a dokumentové správě.
Zde je praktický kontrolní seznam pro firmy, které chtějí zabezpečit své procesy elektronického podpisu v souladu s eIDAS:
Přístup Certyneo k souladu s eIDAS
Certyneo implementuje úrovně SES (jednoduchý elektronický podpis) a AES (zaručený elektronický podpis) nařízení eIDAS. Zaručený podpis se opírá o dvoufaktorovou autentizaci: jednorázový odkaz zaslaný e-mailem a OTP kód zaslaný SMS přes OTP SMS. Tento mechanismus splňuje čtyři kritéria článku 26 eIDAS pro zaručený podpis.
Každá obálka generuje kompletní auditní stopu: časové razítko každé akce (odeslání, otevření odkazu, validace OTP, připojení podpisu, případné odmítnutí), IP adresu podepisujícího, user-agent prohlížeče. Tato auditní stopa je integrována v dolní části každé stránky konečného PDF (auditní zápatí) a uchovávána 10 let.
Data jsou hostována ve Francii (infrastruktura IONOS), v Evropské unii, v souladu s požadavky digitální suverenity a GDPR. Prohlédněte si naši stránku zabezpečení a soulad pro všechny technické podrobnosti.
Časté dotazy o eIDAS
Co je nařízení eIDAS?
eIDAS (Electronic Identification, Authentication and Trust Services) je evropské nařízení (EU) č. 910/2014, které stanovuje společný právní rámec pro elektronické podpisy, elektronické pečetě, časová razítka, služby elektronického doporučeného doručování a služby ověřování webových stránek v Evropské unii. Vstoupilo v platnost 1. července 2016 a přímo se aplikuje ve všech 27 členských státech.
Jaký je rozdíl mezi eIDAS a eIDAS 2.0?
eIDAS 2.0 (nařízení (EU) 2024/1183, vstoupilo v platnost 20. května 2024) modernizuje eIDAS 1.0, zejména zavedením evropského portfolia digitální identity (EUDIW – European Digital Identity Wallet), které umožní evropským občanům ukládat certifikované digitální atributy identity. Pro firmy eIDAS 2.0 posiluje požadavky na kvalifikované poskytovatele důvěryhodných služeb (QTSP) a zlepšuje přeshraniční interoperabilitu.
Má jednoduchý elektronický podpis právní hodnotu podle eIDAS?
Ano. Článek 25 eIDAS výslovně zakazuje upírat právní účinky elektronickému podpisu pouze z důvodu, že je v elektronické formě. Jednoduchý podpis (SES) má proto právní hodnotu, ale nepožívá právní presumpce vyhrazené kvalifikovaným podpisům (QES). V případě sporu je na tom, kdo se na podpis odvolává, aby prokázal jeho pravost.
Jak zjistit, kterou úroveň eIDAS zvolit pro své smlouvy?
Obecným pravidlem je kalibrovat úroveň na právní a obchodní riziko dokumentu. Pro běžné dokumenty s nízkým významem (cenové nabídky, interní objednávky) stačí jednoduchý podpis. Pro důležité obchodní smlouvy, pracovní smlouvy, NDA nebo zprostředkovatelské smlouvy se doporučuje zaručený podpis (AES). Kvalifikovaný podpis (QES) je vyhrazen pro situace, kdy to zákon výslovně vyžaduje (některé administrativní úkony, velké veřejné zakázky) nebo když je riziko sporu maximální.
Jak je Certyneo v souladu s eIDAS?
Certyneo implementuje jednoduchý podpis (SES) a zaručený podpis (AES) v souladu s eIDAS. Zaručený podpis se opírá o dvojitý OTP e-mail + SMS (OTP SMS), který váže podepisujícího k jeho úkonu. Každá obálka generuje časově razítkovanou auditní stopu integrovanou v konečném PDF. Data jsou hostována ve Francii (EU) v souladu s požadavky digitální suverenity.
Platí eIDAS pro firmy mimo Evropskou unii?
eIDAS se vztahuje na důvěryhodné služby poskytované v EU. Firma se sídlem mimo EU, která chce, aby její podpisy byly uznány v EU, musí použít řešení v souladu s eIDAS nebo kvalifikovaného poskytovatele důvěry (QTSP) uznaného v seznamu důvěry některého členského státu. Pro mezinárodní B2B výměnu existují dohody o vzájemném uznávání s některými třetími zeměmi.