Κανονισμός eIDAS: όλα όσα πρέπει να ξέρετε για την ηλεκτρονική υπογραφή στην Ευρώπη
Ενημερώθηκε στις
Ο κανονισμός eIDAS είναι το θεμελιώδες κείμενο της ηλεκτρονικής υπογραφής στην Ευρώπη. Ορίζει τρία επίπεδα υπογραφής (απλή, προηγμένη, αναγνωρισμένη), καθιερώνει τη νομική αξία των ηλεκτρονικών πράξεων και ρυθμίζει τους παρόχους υπηρεσιών εμπιστοσύνης. Αυτός ο οδηγός σάς εξηγεί όλα όσα πρέπει να γνωρίζετε για να είστε συμβατοί το 2026.
Τι είναι το eIDAS και γιατί δημιουργήθηκε;
Πριν το eIDAS, κάθε κράτος μέλος της Ευρωπαϊκής Ένωσης είχε τη δική του ρύθμιση για τις ηλεκτρονικές υπογραφές, δημιουργώντας νομικό κατακερματισμό που εμπόδιζε τις διασυνοριακές ανταλλαγές. Μια ηλεκτρονική υπογραφή έγκυρη στη Γαλλία δεν αναγνωριζόταν απαραίτητα στη Γερμανία ή την Ισπανία.
Ο κανονισμός (ΕΕ) αριθ. 910/2014, γνωστός ως eIDAS (Electronic IDentification, Authentication and trust Services), θεσπίστηκε στις 23 Ιουλίου 2014 και τέθηκε σε εφαρμογή την 1η Ιουλίου 2016. Ως κανονισμός (και όχι οδηγία), εφαρμόζεται άμεσα και ομοιόμορφα στα 27 κράτη μέλη, χωρίς να απαιτείται εθνική μεταφορά.
Το eIDAS επιδιώκει τρεις κύριους στόχους: τη δημιουργία ενιαίας ψηφιακής αγοράς στην Ευρώπη χάρη στην αμοιβαία αναγνώριση των ηλεκτρονικών ταυτοτήτων, τη διασφάλιση της νομικής βεβαιότητας των διασυνοριακών ηλεκτρονικών συναλλαγών, και την εγκαθίδρυση ενός πλαισίου εμπιστοσύνης για τις ψηφιακές υπηρεσίες μέσω των αναγνωρισμένων παρόχων υπηρεσιών εμπιστοσύνης (QTSP — Qualified Trust Service Provider).
Τα 3 επίπεδα υπογραφής που ορίζει το eIDAS
Το eIDAS θεσπίζει μια πυραμίδα τριών επιπέδων ηλεκτρονικής υπογραφής, το καθένα με τις δικές του τεχνικές απαιτήσεις και την αποδεικτική του αξία.
Απλή Ηλεκτρονική Υπογραφή
Απαιτήσεις eIDAS
- Δεδομένα σε ηλεκτρονική μορφή συνδεδεμένα με άλλα δεδομένα
- Χρησιμοποιούνται για την υπογραφή (καμία συγκεκριμένη τεχνική απαίτηση)
- Μπορεί να είναι ένα απλό κλικ, ένα τσεκαρισμένο πλαίσιο ή ένα πληκτρολογημένο όνομα
Παραδείγματα χρήσης
- Αποδοχή όρων χρήσης
- Ηλεκτρονική φόρμα
- Email επιβεβαίωσης
Νομική αξία
Βασική συμβατική αξία, χωρίς νομικό τεκμήριο
Προηγμένη Ηλεκτρονική Υπογραφή
Απαιτήσεις eIDAS
- Συνδεδεμένη μοναδικά με τον υπογράφοντα
- Επιτρέπει την ταυτοποίηση του υπογράφοντα
- Δημιουργείται με δεδομένα υπό τον αποκλειστικό έλεγχο του υπογράφοντα
- Οποιαδήποτε μεταγενέστερη τροποποίηση του εγγράφου είναι ανιχνεύσιμη
Παραδείγματα χρήσης
- Συμβάσεις εργασίας
- NDA
- Εμπορικές συμβάσεις
- Εντολές
Νομική αξία
Ισχυρή αποδεικτική αξία — συνιστάται για σημαντικές συμβάσεις
Αναγνωρισμένη Ηλεκτρονική Υπογραφή
Απαιτήσεις eIDAS
- Πληροί όλες τις απαιτήσεις της AES
- Δημιουργείται από αναγνωρισμένη συσκευή δημιουργίας υπογραφής (QSCD)
- Βασίζεται σε αναγνωρισμένο πιστοποιητικό που εκδίδεται από QTSP (ενωσιακή λίστα εμπιστοσύνης)
Παραδείγματα χρήσης
- Ψηφιακές πράξεις με δημόσια πίστη
- Απαιτητικές δημόσιες συμβάσεις
- Ρυθμιζόμενες πράξεις
Νομική αξία
Νομικό τεκμήριο ισοδύναμο με ιδιόχειρη υπογραφή (άρθρο 25 eIDAS)
eIDAS 2.0: οι καινοτομίες του 2024
Ο κανονισμός eIDAS αναθεωρήθηκε από τον κανονισμό (ΕΕ) 2024/1183, που δημοσιεύθηκε στην Επίσημη Εφημερίδα της ΕΕ στις 30 Απριλίου 2024 και τέθηκε σε ισχύ στις 20 Μαΐου 2024. Αυτή η αναθεώρηση εκσυγχρονίζει το αρχικό πλαίσιο για να ανταποκριθεί στις σύγχρονες ψηφιακές προκλήσεις: ψηφιακή ταυτότητα των πολιτών, κυρίαρχο cloud, ανθεκτικότητα των παρόχων εμπιστοσύνης.
Το κορυφαίο μέτρο του eIDAS 2.0 είναι το Ευρωπαϊκό Ψηφιακό Πορτοφόλι Ταυτότητας (EUDIW). Μέχρι τα τέλη του 2026, κάθε κράτος μέλος θα πρέπει να προσφέρει στους πολίτες και στους κατοίκους του μια εφαρμογή που επιτρέπει την αποθήκευση και παρουσίαση πιστοποιημένων αποδεικτικών ταυτότητας — ψηφιακό ισοδύναμο της ταυτότητας, του διπλώματος οδήγησης, των πτυχίων. Αυτή η εξέλιξη θα έχει άμεση επίπτωση στις διαδικασίες αναγνωρισμένης υπογραφής.
Ψηφιακό πορτοφόλι ταυτότητας (EUDIW)
Το eIDAS 2.0 εισάγει το European Digital Identity Wallet: κάθε ευρωπαίος πολίτης θα μπορεί να αποθηκεύει τα πιστοποιημένα αποδεικτικά ταυτότητάς του (ταυτότητα, δίπλωμα οδήγησης, πτυχία) σε μια διαλειτουργική εφαρμογή κινητού σε όλη την ΕΕ.
Ενίσχυση των QTSP
Οι απαιτήσεις που ισχύουν για τους αναγνωρισμένους παρόχους υπηρεσιών εμπιστοσύνης (QTSP) ενισχύονται, ιδίως όσον αφορά την κυβερνοασφάλεια, τους ελέγχους και τη συνέχεια της υπηρεσίας.
Νέες υπηρεσίες εμπιστοσύνης
Το eIDAS 2.0 προσθέτει νέες αναγνωρισμένες υπηρεσίες: αναγνωρισμένη ηλεκτρονική αρχειοθέτηση, διαχείριση αναγνωρισμένων δεδομένων ιδιότητας, αναγνωρισμένο ηλεκτρονικό μητρώο (πιστοποιημένο blockchain).
Ενισχυμένη διαλειτουργικότητα
Καλύτερη αμοιβαία αναγνώριση των ψηφιακών ταυτοτήτων μεταξύ κρατών μελών. Οι αναγνωρισμένες υπογραφές που εκδίδονται σε οποιαδήποτε χώρα της ΕΕ αναγνωρίζονται παντού.
Πώς να είστε συμβατοί με eIDAS στην πράξη;
Η συμμόρφωση με το eIDAS δεν περιορίζεται στην επιλογή ενός επιπέδου υπογραφής. Συνεπάγεται προβληματισμό για ολόκληρη τη διαδικασία: αναγνώριση κινδύνων, επιλογή εργαλείων, διατήρηση αποδείξεων και διακυβέρνηση εγγράφων.
Να μια πρακτική λίστα ελέγχου για τις επιχειρήσεις που επιθυμούν να ασφαλίσουν τις διαδικασίες ηλεκτρονικής υπογραφής τους σε συμμόρφωση με το eIDAS:
Η προσέγγιση συμμόρφωσης eIDAS του Certyneo
Το Certyneo υλοποιεί τα επίπεδα SES (Απλή Ηλεκτρονική Υπογραφή) και AES (Προηγμένη Ηλεκτρονική Υπογραφή) του κανονισμού eIDAS. Η προηγμένη υπογραφή βασίζεται σε ταυτοποίηση δύο παραγόντων: έναν σύνδεσμο μίας χρήσης που αποστέλλεται μέσω email και έναν κωδικό OTP που αποστέλλεται μέσω SMS μέσω OTP SMS. Αυτός ο μηχανισμός πληροί τα τέσσερα κριτήρια του άρθρου 26 του eIDAS για την προηγμένη υπογραφή.
Κάθε φάκελος δημιουργεί ένα πλήρες ιστορικό ελέγχου: χρονοσφραγίδα κάθε ενέργειας (αποστολή, άνοιγμα συνδέσμου, επικύρωση OTP, επίθεση υπογραφής, ενδεχόμενη άρνηση), διεύθυνση IP του υπογράφοντα, user-agent του προγράμματος περιήγησης. Αυτό το ιστορικό ελέγχου ενσωματώνεται στο κάτω μέρος κάθε σελίδας του τελικού PDF (footer ελέγχου) και διατηρείται για 10 έτη.
Τα δεδομένα φιλοξενούνται στη Γαλλία (υποδομή IONOS), στην Ευρωπαϊκή Ένωση, σύμφωνα με τις απαιτήσεις ψηφιακής κυριαρχίας και το GDPR. Συμβουλευτείτε τη σελίδα μας ασφάλεια και συμμόρφωση για όλες τις τεχνικές λεπτομέρειες.
Συχνές ερωτήσεις για το eIDAS
Τι είναι ο κανονισμός eIDAS;
Το eIDAS (Electronic Identification, Authentication and Trust Services) είναι ο ευρωπαϊκός κανονισμός (ΕΕ) αριθ. 910/2014 που θεσπίζει ένα κοινό νομικό πλαίσιο για τις ηλεκτρονικές υπογραφές, τις ηλεκτρονικές σφραγίδες, τις χρονοσφραγίδες, τις υπηρεσίες συστημένης ηλεκτρονικής παράδοσης και τις υπηρεσίες ταυτοποίησης ιστότοπων στην Ευρωπαϊκή Ένωση. Τέθηκε σε ισχύ την 1η Ιουλίου 2016 και εφαρμόζεται άμεσα στα 27 κράτη μέλη.
Ποια είναι η διαφορά μεταξύ eIDAS και eIDAS 2.0;
Το eIDAS 2.0 (κανονισμός (ΕΕ) 2024/1183, που τέθηκε σε ισχύ στις 20 Μαΐου 2024) εκσυγχρονίζει το eIDAS 1.0 εισάγοντας ιδίως το Ευρωπαϊκό Ψηφιακό Πορτοφόλι Ταυτότητας (EUDIW — European Digital Identity Wallet), το οποίο θα επιτρέψει στους ευρωπαίους πολίτες να αποθηκεύουν πιστοποιημένα ψηφιακά αποδεικτικά ταυτότητας. Για τις επιχειρήσεις, το eIDAS 2.0 ενισχύει τις απαιτήσεις των αναγνωρισμένων παρόχων υπηρεσιών εμπιστοσύνης (QTSP) και βελτιώνει τη διασυνοριακή διαλειτουργικότητα.
Έχει νομική αξία μια απλή ηλεκτρονική υπογραφή σύμφωνα με το eIDAS;
Ναι. Το άρθρο 25 του eIDAS απαγορεύει ρητά την απάρνηση νομικών αποτελεσμάτων σε μια ηλεκτρονική υπογραφή με μόνη αιτιολογία ότι είναι σε ηλεκτρονική μορφή. Μια απλή υπογραφή (SES) έχει επομένως νομική αξία, αλλά δεν επωφελείται από το νομικό τεκμήριο που προορίζεται για τις αναγνωρισμένες υπογραφές (QES). Σε περίπτωση διαφοράς, εναπόκειται σε αυτόν που επικαλείται την υπογραφή να αποδείξει τη γνησιότητά της.
Πώς να ξέρω ποιο επίπεδο eIDAS να επιλέξω για τις συμβάσεις μου;
Ο γενικός κανόνας είναι να βαθμονομείτε το επίπεδο στον νομικό και εμπορικό κίνδυνο του εγγράφου. Για τα συνήθη έγγραφα χαμηλού κινδύνου (προσφορές, εσωτερικές παραγγελίες), η απλή υπογραφή αρκεί. Για σημαντικές εμπορικές συμβάσεις, συμβάσεις εργασίας, NDA ή εντολές, η προηγμένη υπογραφή (AES) συνιστάται. Η αναγνωρισμένη υπογραφή (QES) προορίζεται για καταστάσεις όπου ο νόμος την απαιτεί ρητά (ορισμένες διοικητικές πράξεις, μεγάλες δημόσιες συμβάσεις) ή όταν ο κίνδυνος αμφισβήτησης είναι μέγιστος.
Πώς είναι συμβατό το Certyneo με το eIDAS;
Το Certyneo υλοποιεί την απλή υπογραφή (SES) και την προηγμένη υπογραφή (AES) σύμφωνα με το eIDAS. Η προηγμένη υπογραφή βασίζεται σε διπλό OTP email + SMS (OTP SMS) που συνδέει τον υπογράφοντα με την πράξη του. Κάθε φάκελος δημιουργεί ένα χρονοσφραγισμένο ιστορικό ελέγχου ενσωματωμένο στο τελικό PDF. Τα δεδομένα φιλοξενούνται στη Γαλλία (ΕΕ), σύμφωνα με τις απαιτήσεις ψηφιακής κυριαρχίας.
Εφαρμόζεται το eIDAS σε επιχειρήσεις εκτός Ευρωπαϊκής Ένωσης;
Το eIDAS εφαρμόζεται στις υπηρεσίες εμπιστοσύνης που παρέχονται στην ΕΕ. Μια επιχείρηση εγκατεστημένη εκτός ΕΕ που επιθυμεί οι υπογραφές της να αναγνωρίζονται στην ΕΕ πρέπει να χρησιμοποιεί μια λύση συμβατή με eIDAS ή έναν αναγνωρισμένο πάροχο εμπιστοσύνης (QTSP) που αναγνωρίζεται στη λίστα εμπιστοσύνης ενός κράτους μέλους. Για τις διεθνείς ανταλλαγές B2B, υπάρχουν συμφωνίες αμοιβαίας αναγνώρισης με ορισμένες τρίτες χώρες.