Transition eIDAS 1 til 2: Påvirkning på signering i 2025

Den 20. maj 2024 blev forordningen (EU) 2024/1183 — almindeligt kaldet eIDAS 2 — offentliggjort i Den Europæiske Unions Tidende, hvilket gradvist ophæver forordning nr. 910/2014 (eIDAS 1). Denne tekst repræsenterer den mest strukturerede reform af digital identitet og elektronisk signering i Europa siden 2016. For franske virksomheder, der anvender elektronisk signeringsløsninger i deres kontraktmæssige arbejdsgange, er overgangen ikke blot en formalitet: den indebærer tekniske, juridiske og organisatoriske justeringer, hvis tidshorisont strækker sig til 2026 og derefter. Forståelsen af overgangen fra eIDAS 1 til eIDAS 2 og dens indvirkning på elektronisk signering i 2025 er derfor blevet en prioritet for juridiske direktioner, IT-direktioner og HR-direktioner. Denne artikel afkoder de grundlæggende udviklingen af rammerne, den præcise tidsplan for overgangen og de konkrete foranstaltninger, der skal træffes for at forblive i overensstemmelse.

Hvad forordningen eIDAS 2 ændrer på et fundamentalt niveau

Fra 2014-forordningen til 2024-refusionen: hvorfor var en revision nødvendig

EIDAS 1 havde lagt grundlaget for gensidig anerkendelse af elektroniske signaturer inden for Unionen. Tre hierarkiske niveauer — simpel (SES), avanceret (AdES) og kvalificeret (QES) — strukturerede bevisstyrken for signaturer, understøttet af en liste over betroede tjenesteudbydere (TSL). Men i løbet af ti år dukkede der to store huller op.

For det første gjaldt den oprindelige forordning væsentligst for relationer til offentlige administrationer (G2B, G2C). Det skabte ikke direkte forpligtelser i private transaktioner (B2B, B2C), hvilket efterlod et normativt vakuum, som hver medlemsstat fyldte på uensartet måde. For det andet havde væksten i digitale tjenester — mobilapps, open banking, telemedicin — afsløret fraværet af et bærbart og interoperabelt digitalt identitetssystem på kontinentalt niveau.

EIDAS 2 reagerer på disse to udfordringer ved at introducere Den Europæiske Digitale Identitetspung (EU Digital Identity Wallet, EUDIW) og ved at udvide omfanget af betroede tjenester til nye use cases: kvalificeret elektronisk arkivering, kvalificerede attributattestationer, kvalificerede elektroniske registre (herunder certificerede blockchain-applikationer).

De nye kategorier af kvalificerede tillidstjenester

Forordningen eIDAS 2 udvider listen over kvalificerede tillidstjenester (artikel 3 og revideret bilag IV). Udover signaturer, segl og kvalificerede tidsstempler, der allerede blev anerkendt af eIDAS 1, er følgende nu kvalificerede:

• Kvalificerede elektroniske arkiveringstjenester (art. 34 bis): Forpligtelse til at bevare integritet og læsbarhed af underskrevne dokumenter på lang sigt, med styrket krav til udbydere (QTSP).
• Tjenester til styring af kvalificerede fjernunderskriftsenhedsoprettelse (QRCD): Styrket regulering af fjern-signeringsløsninger via HSM (Hardware Security Module) cloud.
• Kvalificerede attributattestationer: Mekanisme, der tillader en betroet tredjepart at certificere en enheds attributter (f.eks. advokatstatus, lægestatus) uden at afsløre hele identiteten.
• Kvalificerede elektroniske registre: Anerkendelse af distribuerede registre under strenge betingelser for revisionsmulighed og modstandskraft.

For brugere af elektronisk signeringsløsninger betyder denne udvidelse, at de kvalificerede tillidstjenester, der er tilgængelige på markedet, vil diversificeres, og at valgkriterier for en udbyder (QTSP) skal integrere disse nye muligheder.

EUDIW: Den digitale identitetspung som signerings-infrastruktur

Den mest synlige innovation i eIDAS 2 forbliver EUDIW. Hver medlemsstat skal stille en gratis, interoperabel digital identitetspung til rådighed for sine borgere og indbyggere, kompatibel med alle andre medlemsstater senest 26. november 2026 (national overensstemmelsesperiode ifølge artikel 5 bis). Denne pung vil gøre det muligt for:

• at autentificere brugeren med høj sikkerhedsgrad (LoA High) uden tilbagegang til en tredjeparts identificeringudbyder;
• at undertegne elektronisk dokumenter med kvalificeret værdi (QES) direkte fra pungen;
• at dele selektive identitetsattributter (selective disclosure), hvilket respekterer princippet om databegrænsning i GDPR.

For virksomheder forenkler EUDIW teoretisk identitetsverifikationsprocedurer, der er forudgående for kvalificeret signering, hvilket eliminerer friktionen fra videoidentificering eller ansigtsmøde. I praksis afhænger påvirkningen af den nationale implementeringshastighed — Frankrig har i 2025 lanceret et pilotforsøg som led i programmet « France Identité ».

Præcis tidsplan for overgangen fra eIDAS 1 til eIDAS 2

De regulatoriske milepæle, du skal kende

Forordningen 2024/1183 trådte i kraft den 20. maj 2024, men dens anvendelse er gradvis. Her er de vigtigste deadlines:

| Dato | Begivenhed | |------|----------| | 20. maj 2024 | Offentliggørelse i EU-Tidende, formel ikrafttræden | | 20. november 2024 | Frist på 6 måneder for Kommissionens vedtagelse af implementeringsakter (EUDIW-tekniske specifikationer) | | Slutningen af 2025 | Offentliggørelse af reviderede ETSI-standarder (EN 319 411-1/2, EN 319 401), der indeholder eIDAS 2-krav | | 26. maj 2026 | Tidsgrænse for medlemsstaternes overensstemmelse med nye kategorier af kvalificerede tjenester | | 26. november 2026 | Obligatorisk stilling af EUDIW til rådighed af hver medlemsstat | | 2027-2028 | Fuldstændig revision af nationale tillidslister (TSL) og akkreditering af nye QTSP'er |

EIDAS 1 forbliver gyldig, og signaturer udstedt under dets regime bevarer deres fulde juridiske værdi. Der er ingen forpligtelse til at gensigne eksisterende dokumenter. Omvendt skal kvalificerede tillidsudbydere fornye deres akkreditering efter de nye tekniske standarder senest 2027.

Hvad der ikke ændrer sig, og hvad du skal være opmærksom på

Kontinuitet er en kardinal princip for overgangen. De tre niveauer af signering (SES, AdES, QES) opretholdes med deres definitioner uændrede. Præsumptionen om ækvivalens med en håndskrevet underskrift vedhæftet QES (artikel 25 eIDAS 1, genoptaget i artikel 27 eIDAS 2) forbliver gyldig. Bevisværdien af dine nuværende elektroniske signaturer bliver ikke stillet spørgsmålstegn ved.

Hvad du skal være opmærksom på i stedet for: implementeringsaktiviteter (implementing acts), som Den Europæiske Kommission offentliggør i løbet af 2025-2026, vil fastlægge de præcise tekniske specifikationer for EUDIW og de nye tjenestekategorier. Disse niveau 2-tekster er praktisk set ekstremt vigtige for integratorer og softwareudgivere. For virksomheder, der bruger elektronisk signering i deres HR eller juridiske processer, anbefales det at anmode sin udbyder om en eIDAS 2-overensstemmelsesplan.

Konkret påvirkning på virksomheder og deres signeringsløsninger

Hvilke arbejdsgange er primært berørt?

Overgangen fra eIDAS 1 til eIDAS 2 har ikke samme påvirkning afhængigt af det anvendte signeringsniveau. For virksomheder skelnes der tre situationer:

Simpel elektronisk signering (SES): Brugt til lav-værdi-tillæg, kvitteringer, interne formularer. Ingen forpligtelse til omgående opdatering. Beviseringsreglerne forbliver reguleret af Civil Code (art. 1366-1367) og ikke direkte af eIDAS.

Avanceret elektronisk signering (AdES/AdESQC): Virksomheder, der bruger B2B-løsninger til kommercielle kontrakter, dematerede arbejdskontrakter eller ejendomshandlinger, skal bekræfte, at deres udbyder opretholdes i overensstemmelse med ETSI-normerne EN 319 132 (XAdES), EN 319 122 (CAdES) og EN 319 142 (PAdES) i deres reviderede versioner til eIDAS 2. Disse standarder vil blive offentliggjort af ETSI senest slutningen af 2025.

Kvalificeret elektronisk signering (QES): Kvalificerede udbydere (QTSP) skal gennemgå ny akkreditering til eIDAS 2. Overgangsperioden tildeler en rimelig frist (til 2027), men anbudskonkurrencer udskrevet fra 2025 bør integrere en eIDAS 2-overensstemmelsesklausul i udvælgelseskriterier. For organisationer, der sammenligner tilgængelige muligheder, gør sammenligningen af elektroniske signeringsløsninger det muligt at evaluere udgivernes modenhed på denne væsentlige emne.

Nye krav til kvalificerede tillidstjenesteudbydere (QTSP)

EIDAS 2 skærper kravene til QTSP'er på tre vigtige punkter:

1. Systemsikkerhed: Obligatorisk justering af NIS2 (direktiv (EU) 2022/2555) for QTSP'er, der nu klassificeres som vigtige enheder. Dette resulterer i forpligtelser til at underrette om hændelser inden for 24 timer, årlige sikkerhedsrevisioner og etablering af kontinuitetsplaner.

1. Forstærket ansvar: Artikel 13 eIDAS 2 udvider ansvarsregimet for QTSP'er. I tilfælde af påvist misligholdelse vendes bevisbyrden: Udbyderen skal demonstrere, at den ikke har forsømt, og ikke omvendt.

1. Obligatorisk interoperabilitet: QTSP'er skal eksponere standardiserede API'er kompatible med EUDIW for at muliggøre indfødt integration af identitetspunge. Dette krav vil accelerere moderniseringen af de integrationsgrænsesnit, der er tilgængelige for udviklere.

For virksomheder, der overvejer at skifte udbyder i denne sammenhæng, migrering fra DocuSign eller YouSign til en eIDAS 2-kompatibel løsning er en tilgang, som bør forudses nu snarere end i hast i 2027.

Personlige data og eIDAS 2: Artikulation med GDPR

EUDIW indsamler og behandler identitetsdata, der er personoplysninger. Forordningen eIDAS 2 bestemmer eksplicit (præambulenummer 11 og artikel 5 bis §14), at hele arrangementet skal være i overensstemmelse med GDPR (forordning (EU) 2016/679). Flere opmærksomhedspunkter:

• Selektiv videregivelse: Pungen skal gøre det muligt for brugeren kun at dele attributter, der er strengt nødvendige for transaktionen (minimeringingsprincip, art. 5(1)(c) GDPR). For kontraktunderskrift kunne kun myndighed være delt uden fødselsdato fuldt.
• Overførsler uden for EU: Identitetsdata behandlet i forbindelse med EUDIW kan kun overføres uden for EØS med passende garantier (art. 46 GDPR). Udbydere, der bruger amerikanske cloud-infrastrukturer, skal dokumentere deres GDPR-overensstemmelse.
• Bevarelse af signeringslogfiler: Arkivering af signeringsbeviser skal respektere opbevaringsvarighed, der er proportional med dokumenttypen. Den nye kvalificerede arkiveringstjeneste eIDAS 2 tilbyder en teknisk ramme til at opfylde dette krav.

Virksomheder, der administrerer internationale arbejdskontrakter, påvirkes især af denne GDPR/eIDAS 2-artikulation, især når underskrivere bor uden for EU.

Juridisk rammeværk gældende for overgangen fra eIDAS 1 til eIDAS 2

Reference-tekster

Overgangen bygger på et lag af tekster, som det er afgørende at mestre:

På europæisk niveau:

• Forordning (EU) nr. 910/2014 (eIDAS 1): stadig gyldig til dets gradvise ophævelse af eIDAS 2. Definerer de tre niveauer af signering (SES, AdES, QES) og QTSP-regimet.
• Forordning (EU) 2024/1183 (eIDAS 2): trådt i kraft den 20. maj 2024. Ændrer væsentligt eIDAS 1 uden at ophæve det omgående. Bestemmelser vedrørende EUDIW gælder fra offentliggørelse af implementeringsakter.
• Forordning (EU) 2016/679 (GDPR): gælder fuldt ud for behandling af identitetsdata i forbindelse med EUDIW og signeringsprocesser. Artikel 5 bis §14 i eIDAS 2 reminds denne underordning eksplicit.
• Direktiv (EU) 2022/2555 (NIS2): pålægger styrket cybersikkerhedsforpligtelse på QTSP'er, der nu klassificeres som vigtige enheder. Transponeret i fransk lov ved forordning nr. 2024-821 af 20. juni 2024 (med påfølgende dekret under udkast).

På fransk niveau:

• Civilkode, artikler 1366 og 1367: Grundlag for bevisværdien af skrivelser i elektronisk form. Artikel 1366 etablerer ækvivalensen mellem elektronisk og papir-skrift under betingelser. Artikel 1367 giver kvalificeret signering (QES) samme bevisværdi som en håndskrevet signering.
• Dekret nr. 2017-1416 af 28. september 2017: præciserer betingelser for brug af elektronisk signering i dokumenter under privat segl. Forbliver gyldig under overgangsperioden.
• Generelt sikkerhedsreferencekatalog (RGS) v2: For franske administrationer pålægger RGS brug af løsninger refereret af ANSSI. Dets opdatering for integration af eIDAS 2 forventes i løbet af 2026.

ETSI-tekniske normer gældende

ETSI-normer udgør niveau 3 i den normative hierarki. De nuværende gældende versioner:

• EN 319 132-1/2: XAdES-format (avancerede XML-signaturer)
• EN 319 122-1/2: CAdES-format (avancerede CMS-signaturer)
• EN 319 142-1/2: PAdES-format (avancerede PDF-signaturer)
• EN 319 401: Generelle krav til tillidstjenesteudbydere
• EN 319 411-1/2: Krav til CA'er, der udsteder kvalificerede certifikater

Disse normer vil blive revideret senest slutningen af 2025 for at integrere nye eIDAS 2-krav. Kontrakter med QTSP'er skal indeholde en opdateringsklausul til reviderede versioner uden merpris.

Juridiske risici ved manglende overensstemmelse

En signatur udstedt af en udbyder, der ikke længere skulle være akkrediteret efter 2027, ville ikke automatisk miste sin juridiske værdi for allerede underskrevne dokumenter, men den ville ikke længere nyde godt af den juridiske præsumption af ækvivalens med en håndskrevet signering (art. 25 eIDAS). Bevisbyrden for integriteten og signerens identitet ville derefter ligge helt på virksomheden i tilfælde af retstrider. Denne bevisrisiko er særlig sensitiv for dokumenter, hvis forældelsesfrister er lange (5 år i kommercielle forhold, 30 år for ejendomsrettigheder).

Brugscenarier: Hvordan organisationer forbereder sig på overgangen til eIDAS 2

Scenario 1: Et advokatfirma med 25 medarbejdere rationaliserer sin dokumentarkonformalitet

Et advokatfirma specialiseret i handelsjura med omkring 25 medarbejdere og intens aktivitet inden for signering af prokurationer, cesionsakter og aftaleprotokoller brugte indtil 2024 en avanceret signeringsløsning (AdES) til hele sit flow. Ved meddelelse af eIDAS 2 realiserede firmaet en revision af sine 1.200 årligt underskrevne dokumenter for at identificere dem, der kræver QES ifølge nye anbefalinger fra dets advokaturadministration.

Resultat: 15 % af dokumenterne (omkring 180 årligt) blev omklassificeret til kvalificeret signering, hvilket sikrede bevisregimet for disse dokumenter. Firmaet forhandlede med sin signeringsudgiver en klausul, der garanterede eIDAS 2-overensstemmelse fra offentliggørelse af implementeringsakter uden merpris. Administrativ tid knyttet til verifikation af signers identitet faldt 40 % takket være antecipation af EUDIW-integration planlagt til 2026.

Scenario 2: En industriel KMU med 150 medarbejdere sikrer sin leverandørkontrakter

En industriel KMU, der styrer omkring 350 leverandørkontrakter årligt — indkøbsordrer, NDA'er, rammekontrakter — fungerede med to distinkte signeringsløsninger til sine interne og eksterne flows, hvilket skabte fragmentering af revisionssporene. I sammenhængen med overgangen til eIDAS 2 og nye krav om kvalificeret arkivering besluttede IT-direktionen at forene sin platform.

Ved migrering til en enkelt løsning integrering kvalificeret elektronisk arkivering (fremtidig eIDAS 2-kategori) reducerede KMU'en omkostninger til sikker lagring med 30 % og konsoliderede sine signeringsbeviser i en digital pengeboks, der overholder lovgivningen. Hele dokumentkæden er nu revisionsmæssig på mindre end 2 minutter under leverandørkontroller — et stigende krav fra deres giver i bilindustrien.

Scenario 3: En hospitalsgruppe med omkring 600 senge forbereder EUDIW-integration

En offentlig hospitalsgruppe brugte kvalificeret elektronisk signering til sine lægekontakter og offentlige indkøb i overensstemmelse med offentlige indkøbskodekrav. Med eIDAS 2 identificerede IT-servicecenteret to prioriterede spørgsmål: fremtidig integration af « France Identité »-pungen for praktiserende læger, der arbejder i institutionen, og NIS2-overensstemmelse af dens QTSP.

Gruppen indskrev i sit digitale direktionsdiagram 2025-2028 en specifik lot « eIDAS 2-overensstemmelse » med et budgetoverslag på 45.000 € for teknisk migration og træning af agenter. Målet er at kunne acceptere signaturer via EUDIW fra national udrulning planlagt til november 2026, hvilket reducerer kontraktualiseringstider med medicinske fagfolk fra 3 dage til mindre end 4 timer i gennemsnit ifølge tilgængelige sektorbenchmarks.

Konklusion

Overgangen fra eIDAS 1 til eIDAS 2 er ikke en brud men en struktureret udvikling med en præcis tidsplan strækket til 2027. Påvirkningen på elektronisk signering er reel — udvidelse af kvalificerede tjenester, ankomsten af EUDIW, skærpelse af NIS2-krav for QTSP'er — men håndterbar, når den forudses. Virksomheder, der handler nu, har et spillerum til at revidere deres arbejdsgange, sikre deres kontrakter med deres udbydere og træne deres hold uden pres fra regulatorisk hast.

Certyneo ledsager virksomheder gennem denne overgang med en klar eIDAS 2-overensstemmelsesplan, signeringsformater vedligeholdt opdaterede og en arkitektur klar til EUDIW-integration. Klar til at sikre dine signeringflows inden for denne nye regulatoriske rammeværk? Opdag vores tilbud og start gratis på Certyneo.