eIDAS 2 vs eIDAS 1: Κύριες Αλλαγές για τις ΜΜΕ

Εισαγωγή: Γιατί το eIDAS 2 αλλάζει το παιχνίδι για τις ΜΜΕ

Από τις 20 Μαΐου 2024, ο κανονισμός (ΕΕ) 2024/1183 — που ονομάζεται συνήθως eIDAS 2 — τέθηκε σε ισχύ, καταργώντας και αντικαθιστώντας σταδιακά τον κανονισμό (ΕΕ) αριθ. 910/2014 (eIDAS 1). Για τις γαλλικές ΜΜΕ, αυτή η μετάβαση δεν είναι απλή διοικητική ενημέρωση: επανακαθορίζει τα επίπεδα ψηφιακής εμπιστοσύνης, εισάγει ένα ευρωπαϊκό πορτοφόλι ταυτότητας (EUDIW), ενισχύει τις απαιτήσεις που ισχύουν για τους παρόχους υπηρεσιών εμπιστοσύνης και διευρύνει το πεδίο των αναγνωρισμένων υπηρεσιών. Αυτό το άρθρο συγκρίνει σημείο προς σημείο τα eIDAS 1 και eIDAS 2, προσδιορίζει τις συγκεκριμένες λειτουργικές επιπτώσεις για τις μικρές και μεσαίες επιχειρήσεις και σας δίνει ένα σχέδιο δράσης για να παραμείνετε σύμφωνοι με τις διατάξεις το 2026.

---

1. Ανακεφαλαίωση: Τι καθόρισε το eIDAS 1 (2014-2024)

1.1 Τα θεμέλια του αρχικού κανονισμού

Υιοθετήθηκε τον Ιούλιο του 2014 και ισχύει από τον Σεπτέμβριο του 2016, το eIDAS 1 έθεσε τα πρώτα βάση ενός ευρωπαϊκού χώρου ψηφιακής εμπιστοσύνης. Εισήγαγε τρεις μεγάλες κατηγορίες ηλεκτρονικής υπογραφής — απλή (SES), προηγμένη (AdES) και προσδιορισμένη (QES) — και δημιούργησε τη λίστα εμπιστοσύνης των εξειδικευμένων παρόχων (Trusted List), η οποία είναι διαθέσιμη στο portal της Ευρωπαϊκής Επιτροπής.

Για τις ΜΜΕ, το κύριο κέρδος του eIDAS 1 ήταν η διασυνοριακή αναγνώριση των προσδιορισμένων υπογραφών: ένα συμβόλαιο που υπογράφηκε με μια QES γαλλική ήταν νομικά αναγνωρισμένο στη Γερμανία, στην Ισπανία ή στην Ιταλία χωρίς apostille ή πρόσθετη διατύπωση. Αυτή η αρχή — γνωστή ως «μη διακριτική μεταχείριση» — παρέμεινε το θεμέλιο στο οποίο κατασκευάστηκαν οι προσφορές SaaS όπως το Certyneo.

1.2 Οι προσδιορισμένες περιορισμοί

Παρά τις προόδους του, το eIDAS 1 υπέφερε από πολλές ελλείψεις που καταγράφηκαν από την Ευρωπαϊκή Επιτροπή στην έκθεση αξιολόγησης του 2021:

• Κατακερματισμός των σχημάτων ταυτότητας: μόνο τα κράτη μέλη που δήλωσαν το εθνικό τους σχήμα (όπως FranceConnect+ σε ουσιαστικό επίπεδο) ωφελήθησαν από την αμοιβαία αναγνώριση. Το 2023, μόνο 14 κράτη στα 27 είχαν δηλώσει ένα σχήμα που συμμορφώνεται με τις διατάξεις.
• Απουσία εγγενούς υποστήριξης κινητής τηλεφωνίας: η προσδιορισμένη συσκευή για τη δημιουργία υπογραφής (QSCD) απαιτούσε συχνά έναν έξυπνη κάρτα ή ένα υλικό token, επιβραδύνοντας την υιοθέτηση σε κινητά.
• Περιορισμένες υπηρεσίες εμπιστοσύνης: το eIDAS 1 κατέληξε σε εννέα τύπους προσδιορισμένων υπηρεσιών. οι νέες χρήσεις (προσδιορισμένη ηλεκτρονική αποθήκευση, διαχείριση χαρακτηριστικών) δεν ήταν κανονικές.
• Κανένα ενοποιημένο πορτοφόλι ταυτότητας: κάθε πολίτης ή επιχείρηση διαχείριζε τα αναγνωριστικά του με τρόπο απομονωμένο, χωρίς εγγυημένη διαλειτουργικότητα.

Αυτοί οι περιορισμοί οδήγησαν την Επιτροπή να ξεκινήσει την αναθεώρηση από το 2020, καταλήγοντας στον κανονισμό eIDAS 2 μετά από τρία χρόνια trilogue.

---

2. Οι πέντε μεγάλες καινοτομίες του eIDAS 2 για τις ΜΜΕ

2.1 Το ευρωπαϊκό πορτοφόλι ψηφιακής ταυτότητας (EU Digital Identity Wallet — EUDIW)

Αυτή είναι η πιο ορατή καινοτομία του κανονισμού. Μέχρι τον Νοέμβριο 2026 (προθεσμία μεταφοράς που καθορίζεται στο άρθρο 5α), κάθε κράτος μέλος θα πρέπει να προσφέρει στους πολίτες και κατοίκους του τουλάχιστον ένα πιστοποιημένο πορτοφόλι ψηφιακής ταυτότητας. Για τις ΜΜΕ, αυτή η εξέλιξη έχει δύο άμεσες συνέπειες:

1. Απλοποιημένη αυθεντικοποίηση των πελατών και συνεργατών: το πορτοφόλι θα επιτρέψει να διαμοιράζονται επαληθευμένα χαρακτηριστικά (ηλικία, αριθμό ΦΠΑ ενδοκοινοτικό, εκχύλισμα Kbis, πιστοποιημένα τραπεζικά δεδομένα) χωρίς τριβή. Ένα πλαίσιο συμφωνίας με έναν γερμανικό συνεργάτη θα μπορούσε να υπογραφεί μετά την άμεση επαλήθευση των επαγγελματικών του χαρακτηριστικών από το EUDIW του.
2. Υποχρέωση αποδοχής για ορισμένους τομείς: οι υπηρεσίες σε απευθείας σύνδεση των μεγάλων πλατφορμών (άρθρο 45bis) και ορισμένες δημόσιες υπηρεσίες θα πρέπει να δεχθούν το EUDIW ως μέσο αυθεντικοποίησης. Οι ΜΜΕ που παρέχουν πύλες B2B θα πρέπει να προσαρμόσουν τα API της αυθεντικοποίησης τους.

2.2 Επέκταση του καταλόγου των προσδιορισμένων υπηρεσιών εμπιστοσύνης

Το eIDAS 2 επεκτείνει τον κατάλογο των προσδιορισμένων υπηρεσιών εμπιστοσύνης από 9 σε 14 κατηγορίες. Οι νέες καταχωρήσεις που αφορούν άμεσα τις ΜΜΕ είναι:

• Προσδιορισμένη ηλεκτρονική αποθήκευση (άρθρο 45septies): μακράς διάρκειας συντήρηση με ενισχυμένη αποδεικτική αξία. Μέχρι τώρα, η αποθήκευση με αποδεικτική αξία στηριζόταν σε εθνικά πλαίσια αναφοράς (στη Γαλλία, το πλαίσιο αναφοράς SIAF/ANSSI). το eIDAS 2 εναρμονίζει το ευρωπαϊκό πλαίσιο.
• Διαχείριση από απόσταση διατάξεων προσδιορισμένης δημιουργίας υπογραφής (RQSCD): τώρα ρητά κανονικοποιημένη, διευκρινίζει τις διαφωνίες που εξάρταται σε λύσεις ηλεκτρονικής υπογραφής προσδιορισμένης. Για μια ΜΜΕ 50 εργαζομένων, αυτό σημαίνει πρόσβαση σε μια προσδιορισμένη υπογραφή χωρίς φυσικό token, από οποιαδήποτε συσκευή.
• Υπηρεσία προσδιορισμένου ηλεκτρονικού μητρώου: τα μητρώα που βασίζονται σε blockchain ή τεχνολογίες κατανεμημένου ledger μπορούν τώρα να λάβουν κατάσταση προσδιορισμένη, ανοίγοντας το δρόμο σε νέα πρότυπα διαχείρισης συμβολαίων.

Για περισσότερες πληροφορίες σχετικά με τα επίπεδα υπογραφής και τη νομική τους αξία, συμβουλευτείτε το περιεκτικό οδηγό ηλεκτρονικής υπογραφής.

2.3 Ενίσχυση των απαιτήσεων ασφάλειας για τους προσδιορισμένους παρόχους (QTSP)

Το eIDAS 2 σκληραίνει τις υποχρεώσεις των προσδιορισμένων παρόχων υπηρεσιών εμπιστοσύνης (QTSP). Το αναθεωρημένο άρθρο 24 επιβάλλει ιδιαίτερα:

• Μια πιστοποίηση κυβερνοασφάλειας σύμφωνη με το ευρωπαϊκό πλαίσιο (ΕΕ Cybersecurity Act, κανονισμός 2019/881), με τομεακά σχήματα σε εξέλιξη που αναπτύσσονται από το ENISA.
• Ενισχυμένες απαιτήσεις σχετικά με την επιχειρησιακή ανθεκτικότητα: οι QTSP πρέπει τώρα να τεκμηριώσουν το σχέδιο συνέχισης επιχειρήσεων τους και να το υποβάλουν στο εθνικό όργανό τους εποπτείας (στη Γαλλία, το ANSSI για τους προσδιορισμένους παρόχους).
• Μια υποχρέωση ειδοποίησης των περιστατικών ασφάλειας σε 24 ώρες (ευθυγράμμιση με NIS 2).

Για τις ΜΜΕ που χρήστες, αυτό μεταφράζεται σε υποχρέωση εντατικής επιμέλειας στην επιλογή του παρόχου: η επαλήθευση ότι η λύση υπογραφής σας βρίσκεται πράγματι στη Λίστα Εμπιστοσύνης ευρωπαϊκή που ενημερώνεται είναι τώρα ένα κρίσιμο βήμα της διαδικασίας αγοράς σας. Ο συγκριτικός πίνακας των λύσεων ηλεκτρονικής υπογραφής μπορεί να σας βοηθήσει σε αυτή την ανάλυση.

2.4 Υποχρεωτική διαλειτουργικότητα των σχημάτων ταυτότητας

Όταν το eIDAS 1 άφησε στα κράτη μέλη την ελευθερία να δηλώσουν (ή όχι) το σχήμα τους, το eIDAS 2 κάνει τη δήλωση και τη διαλειτουργικότητα υποχρεωτικές για τα σχήματα ταυτότητας που χρησιμοποιούνται στις δημόσιες ηλεκτρονικές υπηρεσίες (άρθρο 5). Η France Identité — το εθνικό σχήμα που υποστηρίζεται από το Υπουργείο Εσωτερικών — είναι σε εξέλιξη ευθυγράμμισης με τις τεχνικές προδιαγραφές του EUDIW, που δημοσιεύθησαν από την Επιτροπή στον κανονισμό εκτέλεσης (ΕΕ) 2024/2977.

Για μια ΜΜΕ που αλληλεπιδρά τακτικά με δημόσιες διοικήσεις (δημόσια συμβόλαια, ηλεκτρονικές δηλώσεις, τελωνειακές διαδικασίες), αυτή η εξέλιξη σημαίνει ότι οι ηλεκτρονικές διαδικασίες θα ενοποιηθούν σταδιακά γύρω από ένα ενιαίο ψηφιακό αναγνωριστικό που αναγνωρίζεται σε ολόκληρη την ΕΕ.

2.5 Νέοι κανόνες ευθύνης και εποπτείας

Το eIDAS 2 διευκρινίζει και επεκτείνει τα καθεστώτα ευθύνης των παρόχων (άρθρο 13 αναθεωρημένο). Ένας QTSP θεωρείται τώρα υπεύθυνος για οποιαδήποτε ζημία που προκαλείται σε ένα φυσικό ή νομικό πρόσωπο από μη συμμόρφωση με τις υποχρεώσεις του, εκτός αν αποδείξει την απουσία σφάλματος. Αυτή η αναφορά ευθύνης, ενισχυμένη σε σχέση με το eIDAS 1, πρέπει να ενθαρρύνει τις ΜΜΕ να:

• Τυποποιήσουν με συμβόλαιο τις δεσμεύσεις του παρόχου (SLA, διαθεσιμότητα εγγυήσεων, αποζημίωση).
• Επαληθεύσουν τη κάλυψη ασφάλειας ευθύνης ενδιάμεσα του QTSP.
• Διατηρήσουν αποδείξεις ελέγχου των συναλλαγών που υπογράφηκαν (χρονολογημένα ημερολόγια, αναφορές επαλήθευσης υπογραφής).

Οι ομάδες μας έχουν συντάξει έναν λεπτομερή οδηγό στην ηλεκτρονική υπογραφή σε επιχειρήσεις που αποτίει σε αυτές τις συμβατικές πτυχές.

---

3. Πίνακας σύγκρισης eIDAS 1 vs eIDAS 2: τι αλλάζει πραγματικά

3.1 Σύνοψη των κύριων εξελίξεων

| Κριτήριο | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Πορτοφόλι ταυτότητας | Απών | EUDIW υποχρεωτικό (κράτη μέλη) | | Προσδιορισμένες υπηρεσίες | 9 κατηγορίες | 14 κατηγορίες (αποθήκευση, RQSCD, μητρώα…) | | Δήλωση σχημάτων | Προαιρετική | Υποχρεωτική για δημόσιες υπηρεσίες | | Ασφάλεια QTSP | Κριτήρια Common Criteria | Cybersecurity Act + ENISA schemes | | Ευθύνη QTSP | Μερική | Αναφορά ευθύνης ενισχυμένη | | Προθεσμία ειδοποίησης περιστατικού | Μη καθορισμένη | 24 ώρες (ευθυγράμμιση NIS 2) | | QSCD κινητού | Νομική διαφωνία | RQSCD ρητά κανονικοποιημένο |

3.2 Οι κύριες προθεσμίες που πρέπει να θυμάστε για το 2026

• Μάιος 2024: εισαγωγή σε ισχύ του κανονισμού (ΕΕ) 2024/1183.
• Νοέμβριος 2026: τελικής προθεσμία για κάθε κράτος μέλος να προσφέρει τουλάχιστον μία πιστοποιημένη λύση EUDIW.
• 2027: υποχρέωση για τις μεγάλες πλατφόρμες (άρθρο 45bis) να δεχθούν το EUDIW ως μέσο αυθεντικοποίησης.
• 2028: προγραμματισμένη αναθεώρηση των τεχνικών εκτελεστικών πράξεων (κανονισμοί που εναφορούν στις προδιαγραφές EUDIW).

Αν η ΜΜΕ σας σκοπεύει να μετακινηθεί σε μια πιο σύμφωνη λύση, η προσφορά μετάβασης στο Certyneo περιλαμβάνει έναν δωρεάν έλεγχο συμμόρφωσης eIDAS 2.

---

4. Πρακτικό σχέδιο δράσης για την προσαρμογή της ΜΜΕ σας σε συμμόρφωση eIDAS 2

4.1 Ελέγχετε τα υπάρχοντα έγγραφα ροής σας

Ξεκινήστε χαρτογραφώντας όλες τις διεργασίες στις οποίες χρησιμοποιείτε επί του παρόντος ηλεκτρονική υπογραφή ή ψηφιακή ταυτότητα: συμβόλαια προμηθευτών, ηλεκτρονικά δελτία μισθοδοσίας, εντολές SEPA, συμφωνίες εμπιστευτικότητας, ενέργειες ΑΘ. Για κάθε ροή, προσδιορίστε:

• Το επίπεδο υπογραφής που χρησιμοποιείται (SES, AdES, QES).
• Τον τρέχοντα πάροχο και την κατάσταση του στη Λίστα Εμπιστοσύνης.
• Το επίπεδο κινδύνου νομικής ασάφειας σε περίπτωση διαφοράς.

Αυτός ο έλεγχος είναι το συνιστώμενο σημείο εκκίνησης από το ANSSI στον οδηγό συμμόρφωσης του που δημοσιεύθηκε τον Μάρτιο 2025.

4.2 Εκσυγχρονίστε τη λύση υπογραφής σας

Αν ο τρέχων πάροχος δεν εμφανίζεται στη Λίστα Εμπιστοσύνης eIDAS 2 ή δεν προσφέρει ακόμη το RQSCD, ώρα να συγκρίνετε τις προσφορές αγοράς. Το Certyneo είναι ένας πιστοποιημένος QTSP που υποστηρίζει τα τρία επίπεδα υπογραφής (SES, AdES, QES) και ενσωματώνει εγγενώς τις νέες απαιτήσεις eIDAS 2, ιδιαίτερα την προσδιορισμένη αποθήκευση και τη διαχείριση από απόσταση διατάξεων.

4.3 Εκπαιδεύστε τις ομάδες σας και ενημερώστε τα συμβόλαια σας

Το eIDAS 2 ενισχύει την αποδεικτική αξία των προσδιορισμένων υπογραφών αλλά επιβάλλει επίσης καλές πρακτικές τεκμηρίωσης. Βεβαιωθείτε ότι οι νομικές και διοικητικές ομάδες σας:

• Ξέρουν να διακρίνουν τα τρία επίπεδα υπογραφής και την αποδεικτική τους αξία.
• Ενσωματώνουν στα συμβόλαια προμηθευτών ένα όρο ελέγχου συμμόρφωσης eIDAS.
• Διατηρούν αποδείξεις επαλήθευσης υπογραφής (αναφορά επαλήθευσης, προσδιορισμένη χρονολόγηση) κατά τη διάρκεια της νομικής περιόδου διατήρησης εφαρμόσιμης (3 έως 10 χρόνια ανάλογα με τη φύση της ενέργειας).

Για δόμηση αυτής της προσέγγισης, ο υπολογιστής ROI ηλεκτρονικής υπογραφής θα σας επιτρέψει να ποσοτικοποιήσετε τα λειτουργικά κέρδη που σχετίζονται με τον εκσυγχρονισμό.

Εφαρμοστέο νομικό πλαίσιο

Κείμενα αναφοράς

Η προσαρμογή σε συμμόρφωση eIDAS 2 για μια γαλλική ΜΜΕ εντάσσεται σε μια στοίβα κανονιστικής ρύθμισης που είναι ουσιαστικό να κατακτηθεί.

Κανονισμός (ΕΕ) 2024/1183 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ονομαζόμενος « eIDAS 2 »): αυτό είναι το ιδρυτικό κείμενο, δημοσιευμένο στο JOEU στις 30 Απριλίου 2024. Καταργεί και αντικαθιστά τον κανονισμό (ΕΕ) αριθ