Μετάβαση eIDAS 1 σε eIDAS 2: επιπτώσεις στην ψηφιακή υπογραφή το 2025

Στις 20 Μαΐου 2024, ο κανονισμός (ΕΕ) 2024/1183 — που ονομάζεται συνήθως eIDAS 2 — δημοσιεύθηκε στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης, καταργώντας σταδιακά τον κανονισμό αριθ. 910/2014 (eIDAS 1). Αυτό το κείμενο αντιπροσωπεύει την πλέον δομική μεταρρύθμιση της ψηφιακής ταυτότητας και της ηλεκτρονικής υπογραφής στην Ευρώπη από το 2016. Για τις γαλλικές επιχειρήσεις που χρησιμοποιούν λύσεις ηλεκτρονικής υπογραφής στις ροές συμβατικών κειμένων τους, η μετάβαση δεν είναι μια φορμαλιότητα: περιλαμβάνει τεχνικές, νομικές και οργανωτικές προσαρμογές των οποίων ο χρονικός ορίζοντας εκτείνεται έως το 2026 και πέρα. Η κατανόηση της μετάβασης eIDAS 1 eIDAS 2 και της επίδρασής της στην ηλεκτρονική υπογραφή το 2025 έχει γίνει επομένως προτεραιότητα για τις νομικές διευθύνσεις, τα ΔΤ και το ανθρώπινο δυναμικό. Αυτό το άρθρο αποκωδικοποιεί τις θεμελιώδεις εξελίξεις του πλαισίου, το ακριβές χronογράφημα της μετάβασης και τα συγκεκριμένα μέτρα που πρέπει να ληφθούν για να παραμείνετε σύμφωνοι με τις διατάξεις.

Αυτό που αλλάζει θεμελιωδώς ο κανονισμός eIDAS 2

Από τον κανονισμό του 2014 στην ανακατασκευή του 2024: γιατί ήταν απαραίτητη μια αναθεώρηση

Το EIDAS 1 έθεσε τα θεμέλια της αμοιβαίας αναγνώρισης των ηλεκτρονικών υπογραφών εντός της Ένωσης. Τρία ιεραρχικά επίπεδα — απλή (SES), προηγμένη (AdES) και προσδιορισμένη (QES) — διαμόρφωσαν την αποδεικτική αξία των υπογραφών, υποστηριζόμενες από ένα κατάλογο παρόχων εμπιστοσύνης (TSL). Αλλά σε δέκα χρόνια, εμφανίστηκαν δύο σημαντικά κενά.

Πρώτον, ο αρχικός κανονισμός εφαρμοζόταν ουσιαστικά στις σχέσεις με τις δημόσιες διοικήσεις (G2B, G2C). Δεν δημιούργησε άμεσες υποχρεώσεις στις ιδιωτικές συναλλαγές (B2B, B2C), αφήνοντας ένα κενό που κάθε κράτος μέλος συμπλήρωνε με ετερογενή τρόπο. Δεύτερον, η ανάπτυξη των ψηφιακών υπηρεσιών — εφαρμογές κινητών, open banking, τηλεϊατρική — αποκάλυψε την απουσία ενός φορητού και διαλειτουργικού συστήματος ψηφιακής ταυτότητας σε ηπειρωτικό επίπεδο.

Το EIDAS 2 αντιμετωπίζει αυτές τις δύο προκλήσεις εισάγοντας το ευρωπαϊκό πορτοφόλι ψηφιακής ταυτότητας (EU Digital Identity Wallet, EUDIW) και επεκτείνοντας το πεδίο εφαρμογής των υπηρεσιών εμπιστοσύνης σε νέες περιπτώσεις χρήσης: ηλεκτρονική αρχειοθέτηση προσδιορισμένη, πιστοποιήσεις προσδιορισμένων χαρακτηριστικών, προσδιορισμένα ηλεκτρονικά μητρώα (συμπεριλαμβανομένων των πιστοποιημένων εφαρμογών blockchain).

Οι νέες κατηγορίες προσδιορισμένων υπηρεσιών εμπιστοσύνης

Ο κανονισμός eIDAS 2 επεκτείνει τον κατάλογο των προσδιορισμένων υπηρεσιών εμπιστοσύνης (άρθρο 3 και αναθεωρημένο παράρτημα IV). Πέρα από τις υπογραφές, σφραγίδες και χρονοσήμανση που αναγνωρίζονται ήδη από το eIDAS 1, είναι πλέον προσδιορισμένες:

• Υπηρεσίες ηλεκτρονικής αρχειοθέτησης προσδιορισμένης (άρθρ. 34 bis): υποχρέωση διατήρησης της ακεραιότητας και αναγνωσιμότητας των υπογραφών εγγράφων σε μακροπρόθεσμη βάση, με ενισχυμένες απαιτήσεις για τους παρόχους (QTSP).
• Υπηρεσίες διαχείρισης περιφερειακών συσκευών δημιουργίας υπογραφής προσδιορισμένες (QRCD): ενισχυμένη ρύθμιση των λύσεων προσδιορισμένης υπογραφής απομακρυσμένα μέσω HSM (Hardware Security Module) cloud.
• Πιστοποιήσεις προσδιορισμένων χαρακτηριστικών: μηχανισμός που επιτρέπει σε τρίτο φορέα εμπιστοσύνης να πιστοποιήσει χαρακτηριστικά μιας οντότητας (π.χ. ιδιότητα δικηγόρου, κατάσταση γιατρού) χωρίς να αποκαλύψει το σύνολο της ταυτότητας.
• Προσδιορισμένα ηλεκτρονικά μητρώα: αναγνώριση κατανεμημένων μητρώων υπό αυστηρές προϋποθέσεις ελεγξιμότητας και αντοχής.

Για τους χρήστες λύσεων ηλεκτρονικής υπογραφής, αυτή η επέκταση σημαίνει ότι τα προσδιορισμένα υπηρεσίες εμπιστοσύνης που διατίθενται στην αγορά θα διαφοροποιηθούν και ότι τα κριτήρια επιλογής ενός παρόχου (QTSP) πρέπει να ενσωματώσουν αυτές τις νέες δυνατότητες.

Το EUDIW: το πορτοφόλι ψηφιακής ταυτότητας ως υποδομή της υπογραφής

Η πιο ορατή καινοτομία του eIDAS 2 παραμένει το EUDIW. Κάθε κράτος μέλος θα πρέπει να θέσει στη διάθεση των πολιτών και των κατοίκων του ένα δωρεάν πορτοφόλι ψηφιακής ταυτότητας, διαλειτουργικό με όλα τα άλλα κράτη μέλη, έως τις 26 Νοεμβρίου 2026 (περίοδος συμμόρφωσης εθνικού επιπέδου σύμφωνα με το άρθρο 5 bis). Αυτό το πορτοφόλι θα επιτρέψει:

• στον χρήστη να αυθεντικοποιηθεί με ένα υψηλό επίπεδο διασφάλισης (LoA High) χωρίς να προσφύγει σε έναν τρίτο παρόχο ταυτοποίησης·
• να υπογράψει ηλεκτρονικά έγγραφα με προσδιορισμένη αξία (QES) απευθείας από το wallet·
• να μοιράσει επιλεκτικά χαρακτηριστικά ταυτότητας (selective disclosure), σεβόμενος έτσι την αρχή της ελαχιστοποίησης δεδομένων του RGPD.

Για τις επιχειρήσεις, το EUDIW απλοποιεί θεωρητικά τις διαδικασίες επαλήθευσης ταυτότητας πριν από την προσδιορισμένη υπογραφή, εξαλείφοντας την τριβή της βίντεο-ταυτοποίησης ή της ταυτοποίησης πρόσωπο με πρόσωπο. Στην πράξη, η επίδραση θα εξαρτηθεί από τον ρυθμό εθνικής ανάπτυξης — η Γαλλία έχει εκκινήσει το 2025 ένα πιλοτικό πείραμα στο πλαίσιο του προγράμματος « France Identité ».

Ακριβές χronογράφημα της μετάβασης eIDAS 1 σε eIDAS 2

Οι κανονιστικοί σταθμοί που πρέπει να γνωρίζετε

Ο κανονισμός 2024/1183 ισχύει από τις 20 Μαΐου 2024, αλλά η εφαρμογή του είναι σταδιακή. Ακολουθούν τα κύρια σημεία αναφοράς:

| Ημερομηνία | Γεγονός | |------|----------| | 20 Μαΐου 2024 | Δημοσίευση στο ΕΕ, τυπική ισχύ | | 20 Νοεμβρίου 2024 | Προθεσμία 6 μηνών για την υιοθέτηση των εκτελεστικών πράξεων από την Επιτροπή (τεχνικές προδιαγραφές του EUDIW) | | Τέλος 2025 | Δημοσίευση των αναθεωρημένων προτύπων ETSI (EN 319 411-1/2, EN 319 401) που ενσωματώνουν τις απαιτήσεις eIDAS 2 | | 26 Μαΐου 2026 | Προθεσμία συμμόρφωσης των κρατών μελών για τις νέες κατηγορίες προσδιορισμένων υπηρεσιών | | 26 Νοεμβρίου 2026 | Υποχρεωτική θέση σε διάθεση του EUDIW από κάθε κράτος μέλος | | 2027-2028 | Πλήρης αναθεώρηση των εθνικών καταλόγων εμπιστοσύνης (TSL) και πιστοποίηση των νέων QTSP |

Το EIDAS 1 παραμένει έγκυρο και οι υπογραφές που εκδίδονται υπό το καθεστώς του διατηρούν την πλήρη νομική ισχύ τους. Δεν υπάρχει καμία υποχρέωση επανα-υπογραφής των υπάρχοντων εγγράφων. Ωστόσο, οι προσδιορισμένοι παρόχοι υπηρεσιών εμπιστοσύνης θα πρέπει να ανανεώσουν την πιστοποίησή τους σύμφωνα με τα νέα τεχνικά πρότυπα έως το 2027.

Τι δεν αλλάζει και τι πρέπει να παρατηρήσετε

Η συνέχεια είναι αρχή καρδινάλιας σημασίας της μετάβασης. Τα τρία επίπεδα υπογραφής (SES, AdES, QES) διατηρούνται με τους ορισμούς τους αμετάβλητους. Η υπόθεση ισοδυναμίας με μια χειρόγραφη υπογραφή επισυναπτόμενη στο QES (άρθρο 25 eIDAS 1, αναφερόμενη στο άρθρο 27 eIDAS 2) παραμένει σε ισχύ. Η αποδεικτική αξία των τρέχουσων ηλεκτρονικών υπογραφών σας δεν ανακατατάσσεται.

Αυτό που πρέπει να παρατηρήσετε ωστόσο: οι εκτελεστικές πράξεις (implementing acts) που δημοσιεύει η Ευρωπαϊκή Επιτροπή καθ' όλη τη διάρκεια 2025-2026 θα θέσουν τις ακριβείς τεχνικές προδιαγραφές του EUDIW και των νέων κατηγοριών υπηρεσιών. Αυτά τα κείμενα επιπέδου 2 έχουν σημαντικής πρακτικής σημασίας για τους ενσωματωτές και τους εκδότες λογισμικού. Για τις επιχειρήσεις που χρησιμοποιούν τη ηλεκτρονική υπογραφή στις ΔΤΕ ή νομικές διαδικασίες τους, συνιστάται να ζητήσετε από τον πάροχό σας ένα σχέδιο διαδρομής συμμόρφωσης eIDAS 2.

Συγκεκριμένη επίδραση στις επιχειρήσεις και τις λύσεις υπογραφής τους

Ποιες ροές εργασίας είναι ταξινομημένες ως προτεραιότητα;

Η μετάβαση eIDAS 1 σε eIDAS 2 δεν έχει την ίδια επίδραση ανάλογα με το χρησιμοποιούμενο επίπεδο υπογραφής. Για τις επιχειρήσεις, διακρίνονται τρεις καταστάσεις:

Ηλεκτρονική υπογραφή απλή (SES): χρησιμοποιούμενη για τροποποιήσεις χαμηλής αξίας, αποδείξεις λήψης, εσωτερικά έντυπα. Καμία υποχρέωση άμεσης ενημέρωσης. Οι αποδεικτικοί κανόνες παραμένουν ρυθμιζόμενοι από τον Αστικό Κώδικα (άρθρ. 1366-1367) και όχι απευθείας από το eIDAS.

Ηλεκτρονική υπογραφή προηγμένη (AdES/AdESQC): οι επιχειρήσεις που χρησιμοποιούν λύσεις B2B για εμπορικά συμβόλαια, δηλωμένα συμβόλαια εργασίας ή ακίνητα πρέπει να επαληθεύσουν ότι ο πάροχός τους διατηρεί συμμόρφωση με τα πρότυπα ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) και EN 319 142 (PAdES) στις αναθεωρημένες εκδόσεις τους για eIDAS 2. Αυτά τα πρότυπα θα δημοσιευθούν από το ETSI έως τέλος 2025.

Ηλεκτρονική υπογραφή προσδιορισμένη (QES): οι προσδιορισμένοι παρόχοι (QTSP) θα πρέπει να μεταβούν σε νέα πιστοποίηση eIDAS 2. Η μεταβατική περίοδος χορηγεί ένα εύλογο περιθώριο (έως το 2027), αλλά τα κοινοποιηθέντα ως διενέργεια δημοπρασίας διενεργηθέντα από το 2025 θα πρέπει να ενσωματώσουν μια ρήτρα συμμόρφωσης eIDAS 2 στα κριτήρια επιλογής. Για τις οργανώσεις που συγκρίνουν τις διαθέσιμες επιλογές, ο σύγκριση λύσεων ηλεκτρονικής υπογραφής επιτρέπει την αξιολόγηση της ωριμότητας των εκδοτών σε αυτό το θέμα.

Νέες απαιτήσεις για τους παρόχους προσδιορισμένων υπηρεσιών εμπιστοσύνης (QTSP)

Το EIDAS 2 σκληραίνει τις απαιτήσεις που εφαρμόζονται στα QTSP σε τρία σημαντικά σημεία:

1. Ασφάλεια συστημάτων: υποχρεωτική ευθυγράμμιση με NIS2 (οδηγία (ΕΕ) 2022/2555) για τα QTSP, πλέον ταξινομημένα ως ουσιώδεις οντότητες. Αυτό μεταφράζεται σε υποχρεώσεις ειδοποίησης περιστατικών εντός 24 ωρών, ετήσιες ελέγχους ασφάλειας και εγκατάσταση σχεδίων συνέχειας δραστηριότητας.

1. Ενισχυμένη ευθύνη: το άρθρο 13 eIDAS 2 διευρύνει το καθεστώς ευθύνης των QTSP. Σε περίπτωση αποδεδειγμένης παραβίασης, η ανάθεση της δυσχέρειας ανατρέπεται: ο πάροχος πρέπει να αποδείξει ότι δεν διέπραξε αμέλεια, και όχι αντιστρόφως.

1. Υποχρεωτική διαλειτουργικότητα: τα QTSP θα πρέπει να θέσουν διαθέσιμα τυποποιημένα API συμβατά με το EUDIW για την ενδιάμεση ενσωμάτωση των wallet ταυτότητας. Αυτή η απαίτηση θα επιταχύνει τον εκσυγχρονισμό των διαθέσιμων διεπαφών ενσωμάτωσης για τους προγραμματιστές.

Για τις επιχειρήσεις που εξετάζουν την αλλαγή παρόχου σε αυτό το πλαίσιο, μετανάστευση από DocuSign ή YouSign σε μια λύση σύμφωνη με eIDAS 2 είναι μια προσέγγιση που αξίζει να προαναφερθεί τώρα παρά σε αναγκαστική κατάσταση το 2027.

Προσωπικά δεδομένα και eIDAS 2: η ενσωμάτωση με το RGPD

Το EUDIW συλλέγει και επεξεργάζεται δεδομένα ταυτότητας προσωπικού χαρακτήρα. Ο κανονισμός eIDAS 2 προβλέπει ρητώς (θεωρητικός λόγος 11 και άρθρο 5 bis §14) ότι ολόκληρη η διάταξη πρέπει να συμμορφώνεται με το RGPD (κανονισμό (ΕΕ) 2016/679). Αρκετά σημεία προσοχής:

• Επιλεκτική αποκάλυψη: το πορτοφόλι πρέπει να επιτρέπει στον χρήστη να μοιράζεται μόνο τα χαρακτηριστικά απολύτως απαραίτητα για τη συναλλαγή (αρχή ελαχιστοποίησης, άρθρ. 5(1)(γ) RGPD). Για μια υπογραφή συμβολαίου, μόνο η επαλήθευση ηλικίας θα μπορούσε να μοιραστεί χωρίς να αποκαλυφθεί η πλήρης ημερομηνία γέννησης.
• Μεταφορές έξω από την ΕΕ: τα δεδομένα ταυτότητας που επεξεργάζονται στο πλαίσιο του EUDIW δεν μπορούν να μεταφερθούν έξω από τον ΕΟΧ παρά με κατάλληλες εγγυήσεις (άρθρ. 46 RGPD). Οι παρόχοι που χρησιμοποιούν αμερικανικές υποδομές cloud πρέπει να τεκμηριώσουν τη συμμόρφωσή τους.
• Αποθήκευση αρχείων υπογραφής: η αρχειοθέτηση των αποδείξεων υπογραφής πρέπει να σεβόμαι τη διάρκεια διατήρησης ανάλογη με τη φύση του εγγράφου. Η νέα υπηρεσία αρχειοθέτησης προσδιορισμένη eIDAS 2 προσφέρει ένα τεχνικό πλαίσιο για την αντιμετώπιση αυτής της απαίτησης.

Οι επιχειρήσεις που διαχειρίζονται διεθνή συμβόλαια εργασίας είναι ιδιαίτερα ενδιαφερόμενες από αυτή την ενσωμάτωση RGPD/eIDAS 2, ιδιαίτερα όταν οι υπογράφοντες διαμένουν έξω από την ΕΕ.

Ισχύον νομικό πλαίσιο της μετάβασης eIDAS 1 σε eIDAS 2

Κείμενα αναφοράς

Η μετάβαση στηρίζεται σε μια στοίβα κειμένων που είναι απαραίτητο να κατακτήσετε:

Σε ευρωπαϊκό επίπεδο:

• Κανονισμός (ΕΕ) αριθ. 910/2014 (eIDAS 1): εξακολουθεί να ισχύει έως την σταδιακή κατάργησή του από το eIDAS 2. Ορίζει τα τρία επίπεδα υπογραφής (SES, AdES, QES) και το καθεστώς των QTSP.
• Κανονισμός (ΕΕ) 2024/1183 (eIDAS 2): ισχύει από τις 20 Μαΐου 2024. Τροποποιεί ουσιαστικά το eIDAS 1 χωρίς να το καταργεί αμέσως. Οι διατάξεις που σχετίζονται με το EUDIW εφαρμόζονται κατά την ημερομηνία δημοσίευσης των εκτελεστικών πράξεων.
• Κανονισμός (ΕΕ) 2016/679 (RGPD): εφαρμόζεται ολοκληρωτικά στην επεξεργασ