eIDAS 2 vs eIDAS 1: vigtige ændringer for små og mellemstore virksomheder

Introduktion: hvorfor eIDAS 2 ændrer spillereglerne for SMVer

Siden den 20. maj 2024 er forordningen (EU) 2024/1183 — almindeligt kaldet eIDAS 2 — trådt i kraft, og den ophæver og erstatter gradvist forordningen (EU) nr. 910/2014 (eIDAS 1). For danske SMVer er dette skift ikke blot en enkel administrativ opdatering: det omdefinerer niveauerne for digital tillid, introducerer en europæisk identitetsporteføllje (EUDIW), styrker kravene til udbydere af tillidsservices og udvider området for anerkendte services. Denne artikel sammenligner punkt for punkt eIDAS 1 og eIDAS 2, identificerer konkrete operationelle påvirkninger for små og mellemstore virksomheder og giver dig en handlingsplan for at forblive compliant i 2026.

---

1. Påmindelse: hvad eIDAS 1 etablerede (2014-2024)

1.1 Grundlaget for den oprindelige forordning

Vedtaget i juli 2014 og gældende siden september 2016 etablerede eIDAS 1 de første grundsten for et europæisk digitalt tillidsrum. Det introducerede tre hovedkategorier af elektronisk signatur — simpel (SES), avanceret (AdES) og kvalificeret (QES) — og skabte listen over tillidsudbyders prestatører (Trusted List), som kan ses på Kommissionens portal.

For SMVer var den vigtigste fordel ved eIDAS 1 den grænsekrydsende anerkendelse af kvalificerede signaturer: en kontrakt signeret med en fransk QES blev juridisk anerkendt i Tyskland, Spanien eller Italien uden apostille eller yderligere formaliteter. Dette princip — kaldet "ikke-diskriminering" — blev det grundlag, som SaaS-tilbud som Certyneo har bygget deres services på.

1.2 De identificerede begrænsninger

På trods af sine fremskridt led eIDAS 1 af flere mangler, som Kommissionen dokumenterede i sin evalueringsrapport fra 2021:

• Fragmentering af identitetsordninger: kun medlemsstater, der havde meddelt deres nationale ordning (som FranceConnect+ på væsentligt niveau) nød godt af gensidig anerkendelse. I 2023 havde kun 14 ud af 27 stater meddelt en conforme ordning.
• Mangel på native mobil understøttelse: den kvalificerede enhed til signaturudstedelse (QSCD) krævede ofte et smartcard eller en hardwaretoken, hvilket hæmmede mobil adoption.
• Begrænsede tillidsservices: eIDAS 1 listede ni typer af kvalificerede services; nye brugsmuligheder (kvalificeret elektronisk arkivering, attributstyring) var ikke reguleret.
• Ingen samlet identitetsporteføllje: hver borger eller virksomhed administrerede sine identifikatorer på afgrænset måde uden garanteret interoperabilitet.

Disse begrænsninger førte Kommissionen til at påbegynde revisionen i 2020, hvilket resulterede i forordningen eIDAS 2 efter tre års trilogue.

---

2. De fem store nyheder i eIDAS 2 for SMVer

2.1 Den europæiske digitale identitetsporteføllje (EU Digital Identity Wallet — EUDIW)

Dette er det mest synlige nybrud i forordningen. Senest i november 2026 (transponeringsfristen fastsat i artikel 5a) skal hver medlemsstat tilbyde mindst én certificeret digital identitetsporteføllje til sine borgere og beboere. For SMVer har denne udvikling to direkte konsekvenser:

1. Forenklet autentificering af kunder og partnere: porteføljen vil give mulighed for at dele verificerede attributter (alder, CVR-nummer, bankoplysninger med certifikat) uden friktion. En rammeaftale med en tysk partner kan underskrives efter øjeblikkelig verifikation af hans erhvervsmæssige attributter fra hans EUDIW.
2. Acceptpligt for visse sektorer: onlinetjenester fra store platforme (artikel 45bis) og visse offentlige tjenester skal acceptere EUDIW som autentificeringsmiddel. SMVer, der leverer B2B-portaler, skal tilpasse deres autentificerings-API'er.

2.2 Udvidelse af listen over kvalificerede tillidsservices

eIDAS 2 udvider kataloget over kvalificerede tillidsservices fra 9 til 14 kategorier. De nye poster, der direkte vedrører SMVer, er:

• Kvalificeret elektronisk arkivering (art. 45septies): langsigtbevaring med styrket bevisværdi. Tidligere baserede sig arkivering med bevisværdi på nationale referencedokumenter (i Danmark SIAF/ANSSI-referencedokumentet); eIDAS 2 harmoniserer den europæiske ramme.
• Fjernbaseret styring af kvalificerede enheder til signaturudstedelse (RQSCD): nu eksplicit reguleret, den løser ambiguiteter, der hvilede på cloud-løsninger for kvalificeret signatur. For en SMV med 50 medarbeidere betyder det adgang til en kvalificeret signatur uden fysisk token fra hvilken som helst enhed.
• Kvalificeret elektronisk registertjeneste: registre baseret på blockchain eller distribuerede-ledger-teknologi kan nu få kvalificeret status, hvilket åbner mulighed for nye modeller for kontraktstyring.

For mere information om signaturniveauer og deres juridiske værdi, se vores komplet guide til elektronisk signatur.

2.3 Styrket sikkerhedskrav for kvalificerede tjenesteudbydere (QTSP)

eIDAS 2 skærper forpligtelserne for leverandører af kvalificerede tillidsservices (QTSP). Den reviderede artikel 24 pålægger blandt andet:

• En cybersikkerhedscertificering i overensstemmelse med den europæiske ramme (EU Cybersecurity Act, forordning 2019/881) med sektorspecifikke ordninger under udvikling af ENISA.
• Styrkede krav til operationel modstandskraft: QTSP'erne skal nu dokumentere deres beredskabsplan og forelægge den for deres nationale tilsynsorgan (i Danmark er det Datatilsynet for kvalificerede tjenesteudbydere).
• Pligt til indberetning af sikkerhedsincidenter inden for 24 timer (tilpasning til NIS 2).

For SMVer, der bruger disse tjenester, betyder det en styrktet due diligence-pligt ved valg af tjenesteudbyder: at kontrollere, at din signaturopløsning virkelig er på den europæiske Trusted List er nu et kritisk trin i din indkøbsproces. Vores sammenligning af elektroniske signaturopløsninger kan hjælpe dig med denne analyse.

2.4 Obligatorisk interoperabilitet af identitetsordninger

Hvor eIDAS 1 lod medlemsstater frit kunne meddele (eller ikke) deres ordning, gør eIDAS 2 meddelelse og interoperabilitet obligatorisk for identitetsordninger brugt i offentlige onlinetjenester (art. 5). Danmarks Digital-identitet er under tilpasning til de tekniske specifikationer for EUDIW, udgivet af Kommissionen i gennemførelsesforordningen (EU) 2024/2977.

For en SMV, der regelmæssigt interagerer med offentlige myndigheder (offentlig licitation, elektroniske selvangivelser, toldprocedurer), betyder denne udvikling, at onlineprocesser gradvist bliver enformige omkring en unik og europæisk anerkendt digital identifikator.

2.5 Nye haftnings- og tilsynsregler

eIDAS 2 præciserer og udvider ansvarsregimet for tjenesteudbydere (revideret art. 13). En QTSP er nu formodet ansvarlig for ethvert tab, der påføres en fysisk eller juridisk person ved et brud på sine forpligtelser, medmindre den beviser fravær af fejl. Denne ansvarsformodning, styrket i forhold til eIDAS 1, skal få SMVer til at:

• Formalisere deres tjenesteudbyderes forpligtelser ved kontrakt (SLA'er, tilgængelighedsgarantier, erstatning).
• Kontrollere dækningen af civilt ansvarsansvarsforsikring hos QTSP'en.
• Gemme bevis for revision af underskrevne transaktioner (timestampede journaler, signaturvalidationsrapporter).

Vores team har udarbejdet en detaljeret guide om elektronisk signatur i virksomheden som behandler disse kontraktuelle aspekter.

---

3. Sammenligningstabel eIDAS 1 vs eIDAS 2: hvad der konkret ændres

3.1 Oversigt over de vigtigste udviklingen

| Kriterium | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Identitetsporteføllje | Fraværende | EUDIW obligatorisk (medlemsstater) | | Kvalificerede services | 9 kategorier | 14 kategorier (arkivering, RQSCD, registre…) | | Meddelelse af ordninger | Frivillig | Obligatorisk for offentlige tjenester | | QTSP-sikkerhed | Common Criteria-kriterier | Cybersecurity Act + ENISA-ordninger | | QTSP-ansvar | Delvist | Styrket ansvarsformodning | | Indberetningsfrist for incident | Ikke specificeret | 24 timer (tilpasning til NIS 2) | | Mobil QSCD | Juridisk usikkerhed | RQSCD eksplicit reguleret |

3.2 De vigtigste datoer at huske for 2026

• Maj 2024: forordningen (EU) 2024/1183 træder i kraft.
• November 2026: slutdato for, at hver medlemsstat tilbyder mindst én certificeret EUDIW-opløsning.
• 2027: pligt for store platforme (art. 45bis) til at acceptere EUDIW som autentificeringsmiddel.
• 2028: planlagt revision af tekniske gennemførelsesakter (delegerede forordninger om EUDIW-specifikationer).

Hvis din SMV overvejer migration til en mere conforme opløsning, omfatter vores migrationstilbud til Certyneo en gratis eIDAS 2-overensstemmelsesrevision.

---

4. Praktisk handlingsplan for at gøre din SMV eIDAS 2-compliant

4.1 Revidere dine eksisterende dokumentstrømme

Begynde med at kortlægge alle processer, hvor du i øjeblikket bruger elektronisk signatur eller digital identitet: leverandørkontrakter, elektroniske lønningssedler, SEPA-mandater, fortrolighedsaftaler, HR-dokumenter. For hver strøm skal du identificere:

• Det signaturniveau, der bruges (SES, AdES, QES).
• Den nuværende tjenesteudbyder og dens status på Trusted List.
• Niveauet af juridisk risiko i tilfælde af indsigelser.

Denne revision er det anbefalede udgangspunkt af Datatilsynet i sin vejledning til overensstemmelse udgivet i marts 2025.

4.2 Opgradere din signaturopløsning

Hvis din nuværende tjenesteudbyder ikke er på Trusted List eIDAS 2 eller endnu ikke tilbyder RQSCD, er det tid til at sammenligne markedstilbud. Certyneo er en certificeret QTSP, der understøtter de tre signaturniveauer (SES, AdES, QES) og integrerer naturligt de nye eIDAS 2-krav, især kvalificeret arkivering og fjernbaseret enhedsstyring.

4.3 Træne dine teams og opdatere dine kontrakter

eIDAS 2 styrker værdien af kvalificerede signaturer men pålægger også god praksis for dokumenthåndtering. Sikre, at dine juridiske og administrative teams:

• Kan skelne mellem de tre signaturniveauer og deres respektive juridiske værdi.
• Integrerer en revisionscompliance-klausul i tjenesteudbyderkontrakterne.
• Gemmer bevis for signaturvalidering (valideringsrapport, kvalificeret tidsstempel) i den ansøgelige retlige opbevaringsperiode (3 til 10 år afhængig af dokumenttypen).

For at strukturere denne tilgang kan vores ROI-lommeregner for elektronisk signatur hjælpe dig med at kvantificere de operationelle gevinster ved opgraderingen.

Gældende juridisk ramme

Referencetekster

Tilpasning af eIDAS 2 for en dansk SMV foregår inden for en normativ struktur, som det er væsentligt at beherske.

Forordningen (EU) 2024/1183 fra Europa-Parlamentet og Rådet (kaldet "eIDAS 2"): det er det grundlæggende dokument, udgivet i EU-Tidende den 30. april 2024. Den ophæver og erstatter forordningen (EU) nr. 910/2014 ifølge en implementeringsplan, der strækker sig til 2027. Den gælder direkte i alle medlemsstater uden at kræve national lovgivende transponering for sine vigtigste bestemmelser.

Forordningen (EU) nr. 910/2014 (eIDAS 1): visse af dens bestemmelser forbliver gældende i løbet af de overgangstidsrum, som eIDAS 2 foreskriver, især for kvalificerede tjenesteudbydere, som har opnået deres kvalifikation før maj 2024 og har en periode til at blive recertificeret.

Dansk lovgivning om elektroniske transaktioner og digitalisering: Danmarks digitale lovgivning på området vedrører især elektroniske kontrakter og digitale dokumenter, styret gennem forskellige bekendtgørelser og ministerielle direktiver i overensstemmelse med eIDAS-kravene.

Forordningen (EU) 2016/679 (GDPR): implementering af EUDIW og behandling af identitetsattributter i elektroniske signaturs strømme udgør databehandling i henhold til GDPR. SMVer skal sikre, at deres QTSP fungerer som databehandler i henhold til artikel 28 GDPR med en compliant DPA (Data Processing Agreement). Datatilsynet udsendte i januar 2026 en specifik anbefaling om EUDIW-GDPR-integration.

Direktivet (EU) 2022/2555 (NIS 2): eIDAS 2 tilpasser sig eksplicit NIS 2 med hensyn til incidentindberetningspligter (art. 24, §2 eIDAS 2 henviser til NIS 2-bestemmelserne). QTSP'er betragtes som "væsentlige" eller "vigtige" enheder under NIS 2, afhængigt af deres størrelse, og er som sådan underlagt regelmæssige sikkerhedsrevisioner.

ETSI-standarder: elektroniske kvalificerede signaturer skal overholde ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) og ETSI EN 319 102-1 (valideringsprocedure). ETSI TS 119 461-standarden regulerer fjernbaseret identifikationsverifikation (IDV), særlig relevant for RQSCD.

Juridiske risici ved manglende compliance

Brug af en elektronisk signaturopløsning, der ikke er i overensstemmelse med eIDAS 2, udsætter SMV'en for flere risici:

• Afvisning for retten: en dommer kan forkaste en elektronisk signatur, hvis dens niveau ikke svarer til det underliggende dokument (f.eks. simpel signatur for et dokument, der kræver avanceret eller kvalificeret niveau).
• Kontraktansvar: hvis en kontrakt anfægtes af en partner med påstand om signaturens ugyldighed, kan SMV'en blive udsat for erstatningskrav.
• GDPR-sanktioner: hvis en dataafbrydelse skyldes sikkerhedsmangler hos tjenesteudbyder, kan SMV'en, som medansvarlig eller dataansvarlig, få en sanktion fra Datatilsynet op til 4% af det årlige verdensomspændende omsætning (art. 83 §4 GDPR).

Konkrete brugscenarier

Scenarie 1: en industriel SMV på 80 medarbeidere, der administrerer 400 leverandørkontrakter årligt

En SMV inden for metaludstyr, der behandler omkring 400 leverandørkontrakter årligt, brugte frem til 2024 en enkel elektronisk signaturopløsning (SES) til alle sine forpligtelser, herunder rammekontrakter på over 50.000 €. Efter en eIDAS 2-overensstemmelsesrevision fandt den ud af, at 35% af dens kontrakter krævede avanceret eller kvalificeret signatur for at modstå juridisk anfægtelse, især med leverandører etableret i andre EU-medlemsstater.

Ved at migrere til en opløsning, der kombinerer avanceret signatur (AdES) til rutinekontrakter og kvalificeret signatur (QES) til rammekontrakter, og ved at aktivere kvalificeret elektronisk arkivering (ny eIDAS 2-service), reducerede denne SMV den tid, der blev brugt på dokumenthåndtering efter signering (klassificering, søgning, afsendelse af beglemmede kopier) med 70%, og reducerede tvister relateret til signaturanfægtelse til nul over de følgende 18 måneder, mod to hændelser i de tidligere 18 måneder.

Scenarie 2: et juridisk rådgivningsbureau på 15 ansatte

Et bureau specialiseret i erhvervsret, der udsteder omkring 1.200 underskrevne dokumenter årligt (fuldmagts breve, mandater, fortrolighedsaftaler), stod over for stigende krav fra dets juridiske kunder om kvalificerede signaturer, der kan genkendes i hele EU. Under eIDAS 1 krævede erhvervelse af et kvalificeret certifikat en proceduret face-to-face eller en lang videoverifikation (45 til 90 minutter per bruger).

Takket være RQSCD (Remote Qualified Signature Creation Device) reguleret af eIDAS 2, kunne bureauet implementere kvalificeret signatur for alle sine medarbeidere på mindre end to uger via en 100% fjernbaseret indskrivningsprocedure, der var i overensstemmelse med ETSI TS 119 461-standarden. Intern adoptionsgrad steg fra 40% til 95% på tre måneder, og den gennemsnitlige tilbagesendelsestid for underskrevne dokumenter faldt fra 4,2 dage til under 6 timer efter bureauets interne målinger.

Scenarie 3: en e-handels-SMV, der opererer i tre EU-lande

Et onlineforretningsselskab med 35 medarbeidere, der opererer i Danmark, Belgien og Nederlandene, skulle administrere tre elektroniske aftaltyper: ansættelseskontrakter til sine lokale medarbeidere, samarbejdsaftaler med transportører og SEPA-mandater til sine professionelle kunder. Fragmenteringen af nationale krav under eIDAS 1 tvang det til at vedligeholde tre adskilte signaturflows, med estimerede administrationsomkostninger på omkring 12.000 € årligt.

Vedtagelse af en enkel, eIDAS 2-compliant opløsning — integrerende gensidig anerkendelse af kvalificerede signaturer i alle tre lande — gjorde det muligt at forene workflows, reducere administrationsomkostningerne til omkring 4.500 € årligt (besparelse på 62%) og eliminere forsinkelser relateret til manuel validering af udenlandske signaturer af den juridiske afdeling.

Konklusion

eIDAS 2 er ikke blot en kosmetisk revision af det regulatoriske rammeværk: det omdefinerer grundlæggende reglerne for digital tillid i Europa. For danske SMVer repræsenterer de fem hovedændringer — EUDIW-porteføllje, udvidelse af kvalificerede services, RQSCD, obligatorisk interoperabilitet og styrket ansvar — både en overensstemmelsesforpligtelse og en mulighed for at accelerere deres dokumentariske transformation.

SMVer, der allerede nu forudser disse ændringer, vil få en virkelig konkurrencefordel: kontrakter anerkendt i hele EU uden friktion, arkivering med bevisværdi integreret og fuldstændig dematerielliserede og sikre signeringsprocesser.

Certyneo er designet til at ledsage denne overgang. Start din gratis test på certyneo.com og få godt af en gratis eIDAS 2-overensstemmelsesrevision for dine eksisterende dokumentstrømme.