eIDAS 2: Ο νέος ευρωπαϊκός κανονισμός εξηγημένος για το 2026

Εισαγωγή: γιατί το eIDAS 2 αλλάζει τα πάντα για τις ευρωπαϊκές επιχειρήσεις

Που τέθηκε σε ισχύ στις 20 Μαΐου 2024 μετά από μακρά νομοθετική διαδικασία, ο κανονισμός eIDAS 2 — επίσημα γνωστός ως Κανονισμός (ΕΕ) 2024/1183 — αντιπροσωπεύει τη μεγαλύτερη μεταρρύθμιση που έχει ποτέ επιχειρηθεί στον τομέα της ηλεκτρονικής ταυτοποίησης και των υπηρεσιών εμπιστοσύνης στην Ευρώπη. Καταργεί και αντικαθιστά μερικώς τον αρχικό κανονισμό eIDAS του 2014 (αριθ. 910/2014), διατηρώντας παράλληλα την προς τα πίσω συμβατότητα με την υπάρχουσα υποδομή. Για τις επιχειρήσεις που χρησιμοποιούν την ηλεκτρονική υπογραφή συμμόρφη με eIDAS, αυτή η αναδιάρθρωση εισάγει νέες υποχρεώσεις, άνευ προηγουμένου ευκαιρίες και ένα αυστηρό χρονοδιάγραμμα συμμόρφωσης έως το 2026 και πέρα. Αυτό το άρθρο αποκωδικοποιεί σε βάθος τις κύριες διατάξεις του κειμένου, τις λειτουργικές τους επιπτώσεις και τον τρόπο με τον οποίο ο οργανισμός σας μπορεί να προετοιμαστεί.

---

Τι αλλάζει θεμελιακά στον κανονισμό eIDAS 2

Από τον κανονισμό του 2014 στην έκδοση του 2024: μια δομική αναδιάρθρωση

Ο αρχικός κανονισμός eIDAS του 2014 είχε θέσει τις βάσεις για την αμοιβαία αναγνώριση των σχημάτων ηλεκτρονικής ταυτοποίησης μεταξύ των κρατών μελών και είχε καθιερώσει ένα ενοποιημένο νομικό πλαίσιο για τις υπηρεσίες εμπιστοσύνης (υπογραφή, σφραγίδα, χρονοσήμανση κ.λπ.). Αλλά δέκα χρόνια αργότερα, τα όρια ήταν σαφή: χαμηλό ποσοστό υιοθέτησης των γνωστοποιημένων eID, κατακερματισμός των εθνικών λύσεων, απουσία καθολικού ψηφιακού πορτοφολιού για τους πολίτες και ιδίως ακαταλληλότητα για τις χρήσεις του διαδικτύου (GAFAM αποκλεισμένα από το πλαίσιο εμπιστοσύνης).

Το eIDAS 2 διορθώνει αυτές τις ελλείψεις σε τρεις κύριους άξονες:

1. Το ευρωπαϊκό πορτοφόλι ψηφιακής ταυτότητας (EUDI Wallet) — κάθε κράτος μέλος πρέπει να προσφέρει, το αργότερο τον Νοέμβριο του 2026, μια εφαρμογή ψηφιακού πορτοφολιού που επιτρέπει σε κάθε πολίτη ή κάτοικο της Ευρώπης να αποθηκεύει και να παρουσιάζει τα ταυτοτικά του δεδομένα (ταυτότητα, δίπλωμα οδήγησης, πτυχία κ.λπ.) με ασφάλεια.
2. Η επέκταση των προσδιορισμένων υπηρεσιών εμπιστοσύνης — το κείμενο προσθέτει νέες προσδιορισμένες υπηρεσίες: διαχείριση προσδιορισμένης ηλεκτρονικής αρχειοθέτησης (QESAP), εκθέσεις προσδιορισμένων χαρακτηριστικών ταυτότητας (QEAA), προσδιορισμένα ηλεκτρονικά ημερολόγια λογαριασμών (QLED) και διαχείριση συσκευών δημιουργίας απομακρυσμένης υπογραφής (QRCD).
3. Η υποχρέωση για τις μεγάλες πλατφόρμες — οι παροχείς υπηρεσιών online μεγάλου μεγέθους (κοινωνικά δίκτυα, αγορές ηλεκτρονικού εμπορίου) θα πρέπει να δεχόμενο το πορτοφόλι EUDI για την ταυτοποίηση των χρηστών.

Το πορτοφόλι EUDI Wallet: αρχιτεκτονική και λειτουργία

Το EUDI Wallet είναι στην καρδιά του eIDAS 2. Συγκεκριμένα, πρόκειται για μια εφαρμογή λογισμικού — που παραδίδεται ή πιστοποιείται από κάθε κράτος μέλος — που βασίζεται σε ένα αποκεντρωμένο μοντέλο παρουσίασης επιλεκτικών χαρακτηριστικών. Ο χρήστης μεταδίδει μόνο τα δεδομένα που είναι αυστηρώς απαραίτητα για τη συναλλαγή (αρχή ελαχιστοποίησης, σύμφωνα με το GDPR).

Από τεχνική άποψη, η αρχιτεκτονική βασίζεται στις προδιαγραφές του Architecture Reference Framework (ARF), που δημοσιεύθηκε από την Ευρωπαϊκή Επιτροπή και ενημερώνεται τακτικά από το Large Scale Pilot (LSP) που ομαδοποιεί τέσσερα συνδικαλιστικά σχήματα πιλότων (DC4EU, EWC, POTENTIAL, NOBID). Οι επιλεγμένες μορφές δεδομένων είναι κυρίως ISO/IEC 18013-5 (mDL/mDocs) και W3C Verifiable Credentials, που εγγυώνται τη διασύνδεση μεταξύ χωρών.

Για τις επιχειρήσεις, αυτό σημαίνει ότι θα μπορούν, με την πάροδο του χρόνου, να επαληθεύσουν την ταυτότητα των πελατών ή των συνεργατών τους μέσω του πορτοφολιού χωρίς να διαχειρίζονται και οι ίδιες τη συλλογή δικαιολογητικών — μειώνοντας έτσι σημαντικά τις τριβές KYC (Know Your Customer) και τους κινδύνους απάτης εγγράφων.

---

Τα επίπεδα εγγύησης και η ιεραρχία των υπογραφών: τι αλλάζει

Διατήρηση της ιεραρχίας QES / AdES / SES

Το καθεστώς των ηλεκτρονικών υπογραφών παραμένει δομημένο γύρω από τρία επίπεδα που ορίζονται στο άρθρο 3 του eIDAS 2 (αναλαμβάνοντας την ορολογία του 2014 αλλά διευκρινίζοντας τις τεχνικές απαιτήσεις):

• Απλή ηλεκτρονική υπογραφή (SES) : ελάχιστη αποδεικτική αξία, κατάλληλη για συνήθεις πράξεις.
• Προηγμένη ηλεκτρονική υπογραφή (AdES) : αποκλειστικός δεσμός προς τον υπογράφοντα, δυνατότητα ανίχνευσης οποιασδήποτε μετέπειτα τροποποίησης.
• Προσδιορισμένη ηλεκτρονική υπογραφή (QES) : νομικό ισοδύναμο της χειρόγραφης υπογραφής σε ολόκληρη την ΕΕ (άρθρο 25§2), εκδοθείσα μέσω προσδιορισμένης συσκευής δημιουργίας υπογραφής (QSCD) με βάση προσδιορισμένο πιστοποιητικό.

Η καινοτομία βρίσκεται στον τρόπο που η QES μπορεί πλέον να παραδοθεί μέσω προσδιορισμένων υπηρεσιών απομακρυσμένης υπογραφής (QRCD), των οποίων οι προϋποθέσεις έγκρισης καθορίζονται στα άρθρα 29α και 29β του αναθεωρημένου κειμένου. Αυτό ανοίγει το δρόμο για 100% ψηφιακές ροές για τις πιο απαιτητικές πράξεις — συμβόλαια σχεδίαση, ηλεκτρονικές γνήσιες πράξεις — χωρίς να χρειάζεται φυσική κάρτα.

Η επίπτωση στους παρόχους προσδιορισμένων υπηρεσιών εμπιστοσύνης (QTSP)

Οι παρόχοι όπως ο Certyneo, που λειτουργούν βασιζόμενοι σε πιστοποιημένα QTSP, πρέπει να προβλέψουν τις νέες απαιτήσεις ελέγχου που εισάγει το eIDAS 2. Το άρθρο 24 επιβάλλει πλέον ενισχυμένους ελέγχους στην αλυσίδα υπεργολαβίας και οι απαιτήσεις ειδοποίησης για περιστατικά ασφάλειας ευθυγραμμίζονται ρητά με εκείνες της οδηγίας NIS2 (προθεσμία 24 ωρών για την αρχική ειδοποίηση). Για να εμβαθύνετε σχετικά με τη λειτουργία των διαφόρων επιπέδων υπογραφής σε περιβάλλον B2B, ανατρέξτε στον ολοκληρωμένο οδηγό για ηλεκτρονική υπογραφή στην επιχείρηση.

---

Χρονοδιάγραμμα ανάπτυξης και υποχρεώσεις για τις επιχειρήσεις το 2025-2026

Οι κύριες φάσεις της ανάπτυξης

Ο κανονισμός (ΕΕ) 2024/1183 δημοσιεύθηκε στο Επίσημο Δελτίο της ΕΕ στις 30 Απριλίου 2024 και τέθηκε σε ισχύ στις 20 Μαΐου 2024. Οι εκτελεστικές και εξουσιοδοτικές πράξεις — ουσιώδεις για τη διευκρίνιση των τεχνικών απαιτήσεων — δημοσιεύονται σταδιακά:

| Προθεσμία | Υποχρέωση | |---|---| | Μάιος 2024 | Θέση σε ισχύ του κανονισμού | | Τέλος 2024 | Δημοσίευση εκτελεστικών πράξεων για ARF v2.0 | | Mid-2025 | Πιστοποίηση των πρώτων πιλοτικών EUDI Wallets | | Νοέμβριος 2026 | Υποχρεωτική διαθεσιμότητα EUDI Wallet σε κάθε κράτος μέλος | | 2027 | Υποχρεωτική αποδοχή από μεγάλες διαδικτυακές πλατφόρμες |

Τι πρέπει να κάνουν οι επιχειρήσεις B2B από τώρα

Για τις επιχειρήσεις που χρησιμοποιούν λύσεις ηλεκτρονικής υπογραφής, τρεις προτεραιότητες επιβάλλονται το 2025-2026:

1. Ελέγξτε την αλυσίδα εμπιστοσύνης τους : επαληθεύστε ότι ο παρόχος υπογραφής τους καταχωρείται στη λίστα των QTSP (Trusted List) του κράτους μέλους τους και ότι τα χρησιμοποιούμενα πιστοποιητικά είναι σύμφωνα με τις αναθεωρημένες προδιαγραφές ETSI EN 319 401 και EN 319 411-1.

2. Αναμένετε την ενσωμάτωση του EUDI Wallet : οι επιχειρήσεις που λειτουργούν σε ρυθμιζόμενους τομείς (τραπεζική, ασφάλεια, υγεία, ακίνητα) θα είναι από τις πρώτες που θα επηρεαστούν από τις ροές επαλήθευσης ταυτότητας μέσω πορτοφολιού. Η προετοιμασία των API ενσωμάτωσης από το 2025 συνιστάται.

3. Αναθεωρήστε τις πολιτικές διατήρησης τους : η νέα προσδιορισμένη υπηρεσία ηλεκτρονικής αρχειοθέτησης (QESAP) εισάγει πρότυπα διατήρησης μακροχρόνιας διάρκειας που μπορούν να είναι υποχρεωτικά σε ορισμένους τομείς (δημόσιες συμβάσεις, φαρμακευτικός τομέας). Ο υπολογιστής ROI για την ηλεκτρονική υπογραφή σας επιτρέπει να αξιολογήσετε τις οικονομικές επιπτώσεις μιας αναβάθμισης της υποδομής σας για έγγραφα.

---

Διασύνδεση, GDPR και ζητήματα ψηφιακής κυριαρχίας

eIDAS 2 και GDPR: ενισχυμένη συμπληρωματικότητα

Ένα από τα κύρια πλεονεκτήματα του eIDAS 2 είναι η ρητή ενσωμάτωση των αρχών προστασίας δεδομένων από το σχεδιασμό (privacy by design) στην αρχιτεκτονική του πορτοφολιού EUDI. Το άρθρο 5α§14 προβλέπει ότι το πορτοφόλι δεν επιτρέπει στους παρόχους να παρακολουθούν τη συμπεριφορά του χρήστη κατά τη διάρκεια των συναλλαγών. Οι εκδότες προσδιορισμένων ταυτοτικών χαρακτηριστικών (QEAA) δεν ενημερώνονται για τη χρήση που γίνεται από τις εκδοθείσες μαρτυρίες — που αποτελεί ένα μεγάλο σημείο ασυνέχειας με τα τρέχοντα κεντρικοποιημένα μοντέλα.

Αυτή η αρχιτεκτονική χαρακτηρίζεται ως unlinkability (μη συσχέτιση): δύο διαφορετικές συναλλαγές που πραγματοποιούνται από τον ίδιο χρήστη δεν μπορούν να συσχετιστούν χωρίς τη συγκατάθεσή του. Αυτή η εγγύηση υπερβαίνει τις ελάχιστες απαιτήσεις του GDPR ενώ συντάσσονται τέλεια μαζί του.

Η γεωπολιτική διάσταση: ανάκτηση ελέγχου της ταυτότητας online

Το eIDAS 2 αντιδρά επίσης σε ένα ζήτημα κυριαρχίας. Σήμερα, η ταυτοποίηση online βασίζεται κατά κύριο λόγο στα κουμπιά «Σύνδεση με Google/Facebook/Apple», που δίνει στα τεχνολογικά κολοσσιαία αμερικανικής προέλευσης μια κυρίαρχη θέση στη διαχείριση των ψηφιακών ταυτοτήτων των Ευρωπαίων. Με την επιβολή στις πολύ μεγάλες πλατφόρμες (όπως ορίζονται από το Digital Services Act) να δεχόμενο το EUDI Wallet ως μέσο ταυτοποίησης, το eIDAS 2 δημιουργεί μια διασύνδεση εναλλακτική και κυρίαρχη.

Για τις επιχειρήσεις B2B, αυτό σημαίνει επίσης ότι η συμμόρφωση eIDAS 2 μπορεί να γίνει κριτήριο επιλογής προμηθευτή στις δημόσιες και ιδιωτικές διακηρύξεις προσφορών — όπως ό,τι αντιπροσωπεύει σήμερα η πιστοποίηση ISO 27001 στις διαδικασίες αγοράς. Εάν ο οργανισμός σας σκοπεύει να εξελίξει την τρέχουσα λύση του, ο οδηγός μετάβασης από DocuSign ή YouSign σε Certyneo αναλυτικά εξηγεί τα βήματα μιας ελεγχόμενης μετάβασης.

Νομικό πλαίσιο που ισχύει για eIDAS 2 και ηλεκτρονική υπογραφή

Κείμενα αναφοράς

Κανονισμός (ΕΕ) 2024/1183 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 11ης Απριλίου 2024, που τροποποιεί τον κανονισμό (ΕΕ) αριθ. 910/2014 όσον αφορά την καθιέρωση του ευρωπαϊκού πλαισίου σχετικά με την ψηφιακή ταυτότητα (eIDAS 2). Δημοσιεύθηκε στο ΕΕΕΚ στις 30 Απριλίου 2024, τέθηκε σε ισχύ στις 20 Μαΐου 2024.

Κανονισμός (ΕΕ) αριθ. 910/2014 (eIDAS 1): διατηρείται σε ισχύ για τις διατάξεις του που δεν τροποποιούνται, ιδίως τα άρθρα που αναφέρονται στα επίπεδα εγγύησης «χαμηλό», «ουσιαστικό» και «υψηλό» για τα γνωστοποιημένα σχήματα ταυτοποίησης.

Γαλλικός Αστικός Κώδικας, άρθρα 1366 και 1367 : το ηλεκτρονικό έγγραφο έχει την ίδια αποδεικτική δύναμη με το έγγραφο χαρτιού υπό την προϋπόθεση ότι το πρόσωπο από το οποίο προέρχεται δεν έχει εντοπιστεί σωστά και ότι το έγγραφο έχει συνταχθεί υπό όρους που εγγυώνται την ακεραιότητά του. Η προσδιορισμένη ηλεκτρονική υπογραφή (QES) στο πλαίσιο του eIDAS 2 ικανοποιεί αυτές τις απαιτήσεις κατά δικαίωμα.

Κανονισμός (ΕΕ) 2016/679 (GDPR) : η επεξεργασία δεδομένων ταυτότητας στο πλαίσιο του πορτοφολιού EUDI υπόκειται στις αρχές της ελαχιστοποίησης (άρθρο 5§1γ), του περιορισμού της σκοπού (άρθρο 5§1β) και της προστασίας δεδομένων από το σχεδιασμό (άρθρο 25). Οι προσδιορισμένοι παρόχοι έχουν την ιδιότητα του ξεχωριστού υπεύθυνου επεξεργασίας για τις λειτουργίες επαλήθευσης.

Οδηγία (ΕΕ) 2022/2555 (NIS2) : μεταφερθείσα στον γαλλικό νόμο με την ορδοτόμηση αριθ. 2024-528 της 12ης Ιουνίου 2024, επιβάλλει στους παρόχους προσδιορισμένων υπηρεσιών εμπιστοσύνης υποχρεώσεις διαχείρισης κινδύνων στον τομέα της κυβερνησίας και ειδοποίησης περιστατικών σε 24 ώρες.

Πρότυπα ETSI :

• EN 319 132 (XAdES) και EN 319 122 (CAdES): προηγμένες μορφές ηλεκτρονικής υπογραφής.
• EN 319 401: γενικές απαιτήσεις για παρόχους προσδιορισμένων υπηρεσιών.
• EN 319 411-1 και 411-2: πολιτική και απαιτήσεις ασφάλειας για τις ΚΑ που εκδίδουν προσδιορισμένα πιστοποιητικά.
• EN 319 521: απαιτήσεις για προσδιορισμένες υπηρεσίες διατήρησης υπογραφών (QESAP).

Υποχρεώσεις και νομικοί κίνδυνοι για τις επιχειρήσεις

Κάθε επιχείρηση που χρησιμοποιεί ηλεκτρονικές υπογραφές σε συμβατικό πλαίσιο πρέπει να διασφαλίσει ότι το επιλεγμένο επίπεδο υπογραφής είναι κατάλληλο για την αξία και τη φύση της πράξης. Για τις πράξεις που υπόκεινται σε νομική απαίτηση υπογραφής (προσφορές πώλησης, συμβόλαια εργασίας, εντολές αγοράς που υπερβαίνουν ορισμένα όρια), μόνο η QES ή το AdES με βάση ένα προσδιορισμένο πιστοποιητικό παρέχει την προϋπόθεση της αξιοπιστίας που αναφέρεται στο άρθρο 26 του eIDAS 2.

Σε περίπτωση διαφοράς, η επιβάρυνση της απόδειξης αντιστρέφεται: εάν η υ