eIDAS 2: Europæisk forordning om digital identitet forklaret til 2026

Introduktion: hvorfor eIDAS 2 ændrer alt for europæiske virksomheder

Forordningen eIDAS 2 – officielt benævnt Forordning (EU) 2024/1183 – trådte i kraft den 20. maj 2024 efter en lang lovgivningsmæssig proces og repræsenterer den mest ambitiøse reform, der nogensinde er foretaget inden for elektronisk identifikation og tillidsbaserede tjenester i Europa. Den ophæver og erstatter delvis den oprindelige eIDAS-forordning fra 2014 (nr. 910/2014), mens den bevarer bagudkompatibilitet med den eksisterende infrastruktur. For virksomheder, der anvender elektronisk signatur i overensstemmelse med eIDAS, introducerer denne omstrukturering nye forpligtelser, enestående muligheder og en stram overensstemmelses-tidslinje frem til 2026 og derefter. Denne artikel dekoderer dybdegående de vigtigste bestemmelser i teksten, deres operationelle implikationer og hvordan din organisation kan forberede sig.

---

Hvad eIDAS 2-forordningen fundamentalt ændrer

Fra 2014-forordningen til 2024-versionen: en strukturel reform

Den oprindelige eIDAS-forordning fra 2014 etablerede grundlaget for gensidig anerkendelse af elektroniske identifikationsordninger mellem medlemsstater og oprettede en ensartet juridisk ramme for tillidsbaserede tjenester (signatur, segl, tidseksempel osv.). Men ti år senere var manglerne påfaldende: lavt adoptionsrate for notificerede eID'er, fragmentering af nationale løsninger, fravær af en universel digital pung for borgere og især utilpassed til webbaserede anvendelser (GAFAM udelukket fra tillidsrammen).

eIDAS 2 korrigerer disse mangler på tre vigtige områder:

1. Den europæiske digitale identitetspung (EUDI Wallet) – hver medlemsstat skal senest i november 2026 tilbyde en applikation, der giver ethvert europæisk borgere eller resident mulighed for at lagre og præsentere deres identitetsattributter (identitetskort, kørekort, diplomer osv.) på sikker vis.
2. Udvidelse af kvalificerede tillidsbaserede tjenester – teksten tilføjer nye kvalificerede tjenester: styring af kvalificeret elektronisk arkivering (QESAP), rapporter om kvalificerede identitetsattributter (QEAA), kvalificerede elektroniske hovedbøger (QLED) og styring af fjernkunstapparater til signaturgeneration (QRCD).
3. Forpligtelse for store platforme – udbydere af onlinetjenester af stor størrelse (sociale netværk, markedspladser) skal acceptere EUDI-pungen til brugergodkendelse.

EUDI Wallet-pungen: arkitektur og funktionalitet

EUDI Wallet-pungen er hjørnet i eIDAS 2. Konkret handler det om en softwareapplikation – leveret eller certificeret af hver medlemsstat – som bygger på en decentraliseret model for selektiv præsentation af attributter. Brugeren transmitterer kun de data, der er strengt nødvendige for transaktionen (minimiseringsprincippet, i overensstemmelse med GDPR).

Fra et teknisk synspunkt hviler arkitekturen på specifikationerne fra Architecture Reference Framework (ARF), udgivet af Europa-Kommissionen og regelmæssigt opdateret af Large Scale Pilot (LSP), som samler fire pilotconsortier (DC4EU, EWC, POTENTIAL, NOBID). De valgte dataformater er primært ISO/IEC 18013-5 (mDL/mDocs) og W3C Verifiable Credentials, hvilket garanterer grænsegrænseoverskridende interoperabilitet.

For virksomheder betyder det, at de til slut kan verificere deres kunders eller partneres identitet via pungen uden selv at håndtere indsamlingen af dokumentationsmaterialer – hvilket betydeligt reducerer KYC-friktionen (Know Your Customer) og risikoen for dokumentsvindel.

---

Tillidsgrader og signaturniveauer: hvad der ændres

Opretholdelse af QES / AdES / SES-hierarkiet

Regimet for elektroniske signaturer forbliver struktureret omkring tre niveauer defineret i artikel 3 i eIDAS 2 (gentagelse af terminologien fra 2014, men præcisering af tekniske krav):

• Elektronisk simpel signatur (SES): minimumsbevisværdi, egnet til almindelige retshandlinger.
• Elektronisk avanceret signatur (AdES): eksklusiv forbindelse til underskriver, mulighed for at detektere enhver senere ændring.
• Elektronisk kvalificeret signatur (QES): juridisk ækvivalent til håndskriftet i hele EU (artikel 25 stk. 2), udstedt via et kvalificeret signaturgenereringsapparat (QSCD) på grundlag af et kvalificeret certifikat.

Nyheden ligger i måden, hvorpå QES nu kan udstedes via kvalificerede fjernunderskrivelses-tjenester (QRCD), hvis godkendelsesbetingelser præciseres i artikel 29a og 29b i den reviderede tekst. Dette åbner vejen for 100 % digitale arbejdsgange for de mest kræsende retshandlinger – notarielle kontrakter, elektroniske autentiske retshandlinger – uden behov for fysisk smartcard.

Indvirkning på udbydere af kvalificerede tillidsbaserede tjenester (QTSP)

Udbydere såsom Certyneo, der opererer på grundlag af certificerede QTSP'er, skal være forberedt på de nye revisionskrav indført af eIDAS 2. Artikel 24 pålægger nu styrket kontrol af underleverandørkæden, og kravene til indberetning af sikkerhedshændelser er eksplicit afstemt med dem fra NIS2-direktivet (anmeldelsestidsgrænse på 24 timer). For at dykke dybere ned i, hvordan forskellige signaturgrader fungerer i B2B-sammenhæng, se vores omfattende guide til elektronisk signatur i virksomheder.

---

Implementeringstidsplan og virksomhedernes forpligtelser i 2025-2026

De vigtigste trin i implementeringen

Forordningen (EU) 2024/1183 blev offentliggjort i EU-Tidende den 30. april 2024 og trådte i kraft den 20. maj 2024. Gennemførelsesakter og delegerede akter – væsentlige for præcisering af tekniske krav – offentliggøres gradvist:

| Deadline | Forpligtelse | |---|---| | maj 2024 | Forordningens ikrafttræden | | slutningen af 2024 | Offentliggørelse af implementeringsakter om ARF v2.0 | | midt-2025 | Certificering af de første EUDI Wallets-pilotprojekter | | november 2026 | Obligatorisk tilgængelighed af EUDI Wallet i hver medlemsstat | | 2027 | Obligatorisk accept fra store onlineplatforme |

Hvad B2B-virksomheder skal gøre nu

For virksomheder, der bruger løsninger til elektronisk signatur, er tre prioriteter påkrævet i 2025-2026:

1. Gennemgå deres tillidsbaserede kæde: verifikation af, at deres signaturudbyder figurerer på listen over QTSP'er (Trusted List) i deres medlemsstat, og at de anvendte certifikater er i overensstemmelse med de nye ETSI EN 319 401- og EN 319 411-1-specifikationer.

2. Forbered integration af EUDI Wallet: virksomheder, der opererer i regulerede sektorer (bank, forsikring, sundhed, fast ejendom), vil være blandt de første, der pågår af identitetsverificeringsflows via pung. Det anbefales at forberede API-integration fra 2025.

3. Revider deres opbevaringspolitikker: den nye kvalificerede elektroniske arkiveringstjeneste (QESAP) introducerer langsigtede bevaringsstandarter, som kan blive påkrævet i visse sektorer (offentlige indkøb, farmaceutisk sektor). Vores ROI-kalkulator til elektronisk signatur giver dig mulighed for at vurdere den økonomiske indvirkning af en opgradering af din dokumentinfrastruktur.

---

Interoperabilitet, GDPR og spørgsmål om digital suverænitet

eIDAS 2 og GDPR: styrket komplementaritet

En af de store fremskridt ved eIDAS 2 er den eksplicitte integration af databeskyttelsesprincipper fra design (privacy by design) i EUDI-pungens arkitektur. Artikel 5a stk. 14 bestemmer, at pungen ikke gør det muligt for udbydere at spore brugerens adfærd under transaktioner. Udstedere af kvalificerede identitetsattributter (QEAA) underrettes ikke om, hvordan de udstedte attester bliver brugt – hvilket udgør en større ændring i forhold til nuværende centraliserede modeller.

Denne arkitektur henvises til som unlinkability (ikke-korrelabilitet): to separate transaktioner foretaget af samme bruger kan ikke forbindes uden deres samtykke. Denne garanti går ud over GDPR's minimumskrav, samtidig med at den passer perfekt sammen med det.

Den geopolitiske dimension: genvinde kontrol over identitet online

eIDAS 2 besvarer også et spørgsmål om suverænitet. I dag beror onlineautentificering massivt på knaperne "Log på med Google/Facebook/Apple", hvilket giver amerikanske tech-giganter en dominerende position i styringen af europæiske digitale identiteter. Ved at tvinge meget store platforme (i betydningen Digital Services Act) til at acceptere EUDI Wallet som godkendelsesmiddel, skaber eIDAS 2 et interoperabelt og selvstændigt alternativ.

For B2B-virksomheder betyder det også, at eIDAS 2-overholdelse kan blive et udvælgelseskriterium for leverandør i private og offentlige udbud – svarende til hvad ISO 27001-certificering repræsenterer i dag i indkøbsprocesser. Hvis din organisation planlægger at udvikle sin nuværende løsning, detaljerer vores guide til migration fra DocuSign eller YouSign til Certyneo trinene i en kontrolleret overgang.

Juridisk ramme gældende for eIDAS 2 og elektronisk signatur

Referencetekster

Forordning (EU) 2024/1183 fra Europa-Parlamentet og Rådet af 11. april 2024, som ændrer forordning (EU) nr. 910/2014 med hensyn til etablering af den europæiske ramme for digital identitet (eIDAS 2). Offentliggjort i EU-Tidende den 30. april 2024, trådt i kraft den 20. maj 2024.

Forordning (EU) nr. 910/2014 (eIDAS 1): bevaret i kraft for sine uændrede bestemmelser, især artikler vedrørende tillidsgrader "lav", "betydelig" og "høj" for notificerede identifikationsordninger.

Fransk borgerlig lovbog, artikler 1366 og 1367: det elektroniske dokument har samme bevisværdi som papirdokumentet, forudsat at personen, fra hvem det stammer, er behørigt identificeret, og at dokumentet er etableret under forhold, der garanterer dets integritet. Elektronisk kvalificeret signatur (QES) i henhold til eIDAS 2 opfylder disse krav fuldt ud.

Forordning (EU) 2016/679 (GDPR): behandlingen af identitetsdata i forbindelse med EUDI Wallet-pungen er omfattet af principperne for minimering (artikel 5 stk. 1 litra c), begrænsning af formål (artikel 5 stk. 1 litra b) og databeskyttelse fra design (artikel 25). De kvalificerede udbydere fungerer som særskilte dataansvarlige for verifikationsoperationer.

Direktiv (EU) 2022/2555 (NIS2): gennemført i fransk ret ved forordning nr. 2024-528 af 12. juni 2024, pålægger den udbydere af kvalificerede tillidsbaserede tjenester forpligtelser til cybersikringsstyringsog anmeldelse af hændelser inden 24 timer.

ETSI-standarder:

• EN 319 132 (XAdES) og EN 319 122 (CAdES): avancerede elektroniske signaturformater.
• EN 319 401: generelle krav til udbydere af tillidsbaserede tjenester.
• EN 319 411-1 og 411-2: politik og sikkerhedskrav for CA'er, der udsteder kvalificerede certifikater.
• EN 319 521: krav til kvalificerede signaturbevaringstjenester (QESAP).

Forpligtelser og juridiske risici for virksomheder

Enhver virksomhed, der anvender elektroniske signaturer i kontraktlig sammenhæng, skal sikre, at det valgte signaturgradsni veau er tilpasset værdien og arten af retshandlingen. For retshandlinger, der er underlagt en lovpligtigt signaturkrav (salgstilsagn, ansættelseskontrakter, indkøbsordrer over visse grænser), giver kun QES eller AdES baseret på et kvalificeret certifikat den præsumtion om pålidelighed, der omtales i artikel 26 i eIDAS 2.

I tilfælde af tvist vender bevisbyrdenen sig: hvis signaturen er kvalificeret, påhviler det den part, der bestrider dokumentet, at bevise dets ændring; hvis den er simpel eller avanceret uden kvalificeret certifikat, hviler bevisbyrdenen på den underskriver, der påberåber den. Manglende overholdelse af sporbaarheds- og integritetsmekanismer kan medføre nullitet af retshandlingen eller signaturens inopponerbarhed over for tredjemand.

Brugssituationer: eIDAS 2 anvendt på B2B-virksomheder

Situation 1 – Et konsulentfirma inden for digital transformation (omkring 80 konsulenter)

En konsultstruktur, der udrulles hos kunder i flere medlemsstater (Frankrig, Tyskland, Nederlandene), skal månedligt få signeret missionsordrer, kontraktændringer og modtagelsesprotokoller. Før eIDAS 2 genererede styringen af grænsegrænseoverskridende identiteter friktioner: vægring fra visse tyske kunder mod at anerkende certifikater udstedt af en fransk QTSP, dobbelt autentification via email var utilstrækkelig til følsomme retshandlinger.

Med udrulningen af EUDI Wallet i 2026 kan konsulenter signere fra deres nationale pung – anerkendt fuldt ud i alle medlemsstater – uden nogen friktioner. Firmaet estimerer en reduktion på 60-70 % af den tid, der bruges på verifikationsudveksling, inden signatur foreløbes, hvilket svarer til omkring 3-4 timer sparet pr. konsulent og pr. måned ifølge McKinsey Digital-benchmarks (2024).

Situation 2 – En SMV inden for industri, der styrer 350 leverandørkontrakter årligt

En SMV inden for industrilutningssektoren, der arbejder med omkring hundrede europæiske og asiatiske leverandører, skal kontraktualisere indkøbsordrer, fortrolighedsaftaler (NDA) og rammekontrakter. Tidligere returnerede 30 % af disse dokumenter uden gyldig signatur eller med forsinkelser over 10 arbejdsdage.

Ved at tage en elektronisk signaturløsning i brug, som er i overensstemmelse med eIDAS 2, med identitetsverificering via kvalificerede attributter (QEAA), kan SMV'en tvinge et signaturflow, hvor identiteten på leverandørens juridiske repræsentant verificeres automatisk via EUDI-pungen uden manuel input. Forventet resultat: reduktion af den gennemsnitlige signaturudestalt fra 10 dage til mindre end 48 timer og reduktion på 40 % af tvister vedrørende ikke-konforme signaturer, baseret på de spændvidder, der observeres i ELENIUS 2025-rapporter om B2B-digitalisering.

Situation 3 – En ejendomsgruppe, der administrerer salgskompromiser i flere lande

Et netværk af ejendomsmæglere, der opererer i Frankrig, Spanien og Portugal, skal regelmæssigt få underskrevet forkontrakter mellem sælgere og købere af forskellige nationaliteter. QES er påkrævet i visse sammenhænge for at garantere ækvivalens med håndskriftsignatur før notarius publicus.

Takket være eIDAS 2 og EUDI-pungers interoperabilitet kan en portugisisk køber signere en salgsaftale underlagt fransk ret ved hjælp af sin nationale pung med et "højt" tillidsgradsni veau anerkendt automatisk af signaturplatformen. Gruppen reducerer transportomkostninger og legalisering af omkring 800-1200 euros pr. grænsegrænseoverskridende sag, samtidig med at den reducerer tidsspændvidde for afslutning af forkontrakter fra 3 uger til 5 dage i gennemsnit. For sektorspecifikke anvendelser detaljerer vores dedikerede side om elektronisk signatur inden for ejendomme tilpassede arbejdsgange.

Konklusion

eIDAS 2 er ikke blot en simpel lovmæssig opdatering: det er en grundlæggende reform af den måde, digital identitet og elektronisk tillid fungerer i Europa. EUDI Wallet-pungen, de nye kvalificerede tjenester, interoperabilitetskravet og tilpasningen til NIS2 og GDPR danner et sammenhængende økosystem, der vil ændre virksomhedernes kontraktlige processer og godkendelsesflows før slutningen af 2026.

For at forblive kompatible og konkurrencedygtige skal B2B-organisationer handle nu: gennemgå deres tillidsbaserede kæde, vælge en udbyder, der er afstemt med de nye krav, og forberede deres dokumentflows til integration af Europæisk digital pung.

Certyneo ledsager dig i denne transition med elektronisk signaturløsninger, der er i overensstemmelse med eIDAS 2 og klar til 2026. Anmod om en demonstration eller opret din konto på Certyneo for at sikre dine kontrakter fra i dag.