eIDAS 2: uus Euroopa määrus 2026. aastaks selgitatud

Sissejuhatus: miks eIDAS 2 muudab kõike Euroopa ettevõtete jaoks

Määrus eIDAS 2, mis jõustus 20. mail 2024 pika seadusandliku protsessi järel — ametlikult Määrus (EL) 2024/1183 — esindab ambitsioonikimat reformi, mida on kunagi elektroonilist identifitseerimist ja usalduseteenuseid Euroopas käsitlevates valdkondades võetud ette. See kehtestatakse eelmise eIDAS määruse 2014 (nr 910/2014) asemel, säilitades samal ajal ühilduvust olemasoleva taristuga. Ettevõtete jaoks, kes kasutavad eIDAS-iga nõuetekohast elektroonilist allkirja, toob see ümberkujundamine endaga kaasas uusi kohustusi, esemeid ja tihedat nõuetekohasus-ajakava kuni 2026. aastani ja hiljem. Käesolev artikkel selgitab põhjalikult teksti peamisi sätteid, nende tegevusalaseid tagajärgi ja viisi, kuidas teie organisatsioon saab selleks valmistuda.

---

Mida määrus eIDAS 2 fundamentaalselt muudab

2014. aasta määrusest 2024. aasta versiooni: struktuurne ümberkujundamine

Algne 2014. aasta eIDAS määrus oli paigutanud aluse elektroonilistele identifitseerimisskeemidele liikmesriikide vahel vastastikusele tunnustamisele ja kehtestanud ühtlustatud õigusraamistiku usalduseteenustele (allkirja, pitseriga kinnitamise, ajatemplimise jne jaoks). Ent kümme aastat hiljem olid piirangud silmatorkavad: madal teavitatud eID-i kasutuselevõtu protsent, riiklike lahenduste killustamine, kodanike jaoks universaalse digitaalse rahakoti puudumine ja eelkõige kohanematus veebi kasutamisega (GAFAM välistatud usaldusraamistikust).

eIDAS 2 parandab neid puudujääke kolmel põhisuunal:

1. Euroopa digitaalse identiteedi rahakott (EUDI Wallet) — iga liikmesriik peab pakkuma hiljemalt novembri 2026. aastaks rahakotirakendust, mis võimaldab igal Euroopa kodanikul või elanikul turval viisil salvestada ja esitada oma identiteeditunnuseid (isikutõend, juhiluba, diploomid jne).
2. Kvalifitseeritud usalduseteenuste laiendamine — tekst lisab uusi kvalifitseeritud teenuseid: kvalifitseeritud elektroonilist arhiivihaldust (QESAP), kvalifitseeritud identiteediatribuudi teateid (QEAA), kvalifitseeritud elektroonilist pearaamatut (QLED) ja kvalifitseeritud allkirjaloo kauguse haldust (QRCD).
3. Suurte platvormide kohustus — suurte veebiteenuste pakkujad (sotsiaalmeedia, turuplatssid) peavad aktsepteerima EUDI rahakotti kasutajate autentimiseks.

EUDI Wallet: arhitektuur ja funktsioon

EUDI Wallet on eIDAS 2 keskmes. Praktiliselt on tegemist tarkvararakendusega — mida iga liikmesriik pakub või sertifitseerib — mis tugineb detsentraliseeritud atribuutide esitamise mudelile. Kasutaja edastab üksnes tehingule rangelt vajalikke andmeid (minimeerimise põhimõte, mis on kooskõlas GDPR-iga).

Tehnilisest vaatenurgast tugineb arhitektuur Architecture Reference Framework (ARF) spetsifikatsioonidele, mille avaldas Euroopa Komisjon ja mida regulaarselt ajakohastatakse Large Scale Pilot (LSP) poolt, mis ühendab neli pilootkonsortsiumit (DC4EU, EWC, POTENTIAL, NOBID). Valitud andmevormingud on peamiselt ISO/IEC 18013-5 (mDL/mDocs) ja W3C Verifiable Credentials, mis tagavad piiride ülese ühilduvuse.

Ettevõtete jaoks tähendab see, et nad saavad tulevikus kontrollida oma klientide või partnerite identiteeti rahakoti kaudu ilma ise dokumentide kogumist hallata — vähendades seega märkimisväärselt KYC (teadma oma klientide kohta) hõõrdeid ja dokumendi pettuste riske.

---

Usalduse tasemed ja allkirjade hierarhia: mida muutub

QES / AdES / SES hierarhia säilitamine

Elektrooniliste allkirjade režiim jääb struktureerituks kolme taseme ümber, mis on määratletud eIDAS 2 artiklis 3 (kehtestades taas 2014. aasta terminoloogia, kuid täpsustades tehnilisi nõudeid):

• Lihtne elektrooniline allkiri (SES) — minimaalne tõendamis-väärtus, sobib tavapärastele aktidele.
• Täiustatud elektrooniline allkiri (AdES) — ainuomane seos allkirjastajaiga, võimalus tuvastada igasuguseid hilisemaid muudatusi.
• Kvalifitseeritud elektrooniline allkiri (QES) — käsitäise allkirja õiguslik ekvivalent kogu ELs (artikkel 25§2), väljastatud kvalifitseeritud allkirjaloomise seadmete (QSCD) kaudu kvalifitseeritud sertifikaadi alusel.

Uuendus seisneb selles, kuidas QES-i saab nüüd väljastada kaugsertifitseeritud allkirja teenuste kaudu (QRCD), mille akrediteerimise tingimused on täpsustatud revideeritud teksti artiklites 29a ja 29b. See avab 100% digitaalse voolu võimalused kõige nõudlikumate aktide jaoks — notaribetaanitud lepingud, elektroonilised autentitud aktid — ilma füüsilise nutikaa kaardi vajaduseta.

Mõju kvalifitseeritud usalduseteenuste pakkujatele (QTSP)

Teenusepakkujad nagu Certyneo, kes töötavad sertifitseeritud QTSP-dele toetudes, peavad ette arvama eIDAS 2 poolt seatud uued auditi nõuded. Artikkel 24 kohustab nüüd mitmekordseid kontrolle alltöövõtjate ahelas ja turvaintsidentide teatamise nõuded on selgesõnaliselt joondatud NIS2 direktiivi nõuetega (24 tunnise teatamise tähtaeg). Et süveneda erinevate allkirjatasemete funktsioonidesse B2B kontekstis, vaadake meie täielikku juhist elektroonilistest allkirjadest ettevõttes.

---

Juurutamise ajakava ja ettevõtete kohustused 2025-2026

Juurutamise põhietapid

Määrus (EL) 2024/1183 avaldati ELi ametlikus leheküljel 30. aprillil 2024 ja jõustus 20. mail 2024. Teostamis- ja delegeeritud aktid — olulised tehniliste nõuete täpsustamiseks — avaldatakse järk-järgult:

| Tähtaeg | Kohustus | |---|---| | Mai 2024 | Määruse jõustumine | | 2024. lõpu | ARFT v2.0 teostamisaktide avaldamine | | 2025. keskel | Esimeste EUDI rahakoti piloodide sertifitseerimine | | November 2026 | Kohustuslik EUDI rahakoti kättesaadavus igal liikmesriigil | | 2027 | Kohustuslik aktsepteerimine suurte veebipltvormide poolt |

Mida B2B ettevõtted peaksid tegema kohe

Ettevõtete jaoks, kes kasutavad elektroonilist allkirjahaldust, ilmuvad kolm prioriteeti 2025-2026:

1. Auditeerida oma usaldusahel — kontrollida, et nende allkirja teenusepakkuja kuulub tõepoolest oma liikmesriigi QTSP loetellu (Trusted List) ja et kasutatavad sertifikaadid vastavad revideeritud ETSI EN 319 401 ja EN 319 411-1 spetsifikatsioonidele.

2. Ette valmistada EUDI rahakoti integreerimist — ettevõtted, kes tegutsevad reguleeritud sektoritest (pangandus, kindlustus, tervishoiu, kinnisvara), on esimeste seas, kes peavad tegelema identiteedi verifitseerimise voogudega rahakoti kaudu. API integreerimise valmistamine alates 2025. aastast on soovituslik.

3. Muuta oma säilitamispolitikat — uus kvalifitseeritud elektroonilise arhiivihaldusteenuse teenus (QESAP) kehtestab pikaajalise säilitamise standardid, mis võivad muutuda kohustuslikuks teatud sektorites (avalik hange, farmaatsia sektor). Meie elektrooniline allkirja ROI kalkulaator võimaldab teil hinnata finantsmõju oma dokumenditalituse taristule.

---

Ühilduvus, GDPR ja digitaalse suveräänsuse küsimused

eIDAS 2 ja GDPR: tugevdatud komplementaarsus

Üks eIDAS 2 suurimaid edusamme on andmete kaitse põhimõtete selge integreerimine EUDI rahakoti disainisse (privacy by design). Artikkel 5a§14 ütleb, et rahakott ei võimalda teenusepakkujatel jälgida kasutaja käitumist tehingute ajal. Kvalifitseeritud identiteediatribuutide väljastajad (QEAA) ei saada teada, kuidas väljastatud märkidega tegelikult käitutakse — mis on suur muutus praegustes tsentraalse mudelisse.

Seda arhitektuuri nimetatakse unlinkability (mittekorreleritavuseks) — kaks sama kasutaja poolt tehtud erinevat tehingut ei saa seostada tema nõusolekuta. See garantii ületab GDPR miinimumnõueteid täies kooskõlas sellega.

Geopoliitiline aspekt: võtta kontrolli üle identiteedi internetis

eIDAS 2 vastab ka suveräänsuse küsimusele. Tänapäeval põhineb veebis autentimine suuresti nuppudel „Sisselogimine Google/Facebook/Apple abil", mis annab USA tehnoloogia jätitele domineerivapositsiooni Euroopa kodanike digitaalses identiteedi haldamises. Nõudes väga suurtelt platvormidelt (Digital Services Acti mõttes) aktsepteerida EUDI rahakotti autentimise meetodina, loob eIDAS 2 selle alternatiivi, mis on ühilduv ja souveraane.

B2B ettevõtete jaoks tähendab see, et eIDAS 2 nõuetele vastavus võib muutuda hankija valiku kriteeriumiks avalikes ja erahangetutes — sarnaselt sellele, kuidas ISO 27001 sertifikatsioon täna ostetakse protsessides kasutatakse. Kui teie organisatsioon kavatseb oma praegust lahendust arenduada, uurib meie juhend migratsiooni DocuSignist või YouSignist Certyneole juhiseid kontrollitud üleminekule.

eIDAS 2-le ja elektroonilistele allkirjadele kohaldatav õigusraamistik

Viidevad õigusaktid

Määrus (EL) 2024/1183 Euroopa Parlamendilt ja Nõukogult 11. aprillil 2024, millega muudetakse määrust (EL) nr 910/2014 Euroopa digitaalse identiteedi raamistiku kehtestamise osas (eIDAS 2). Avaldatud EUOL 30. aprillil 2024, jõustus 20. mail 2024.

Määrus (EL) nr 910/2014 (eIDAS 1) — säilib jõus mittemuudetud sätete jaoks, eelkõige artiklitest, mis käsitlevad tunnustatud elektrooniliste identifitseerimisskeemide garantiiastet „nõrk", „oluline" ja „kõrge".

Prantsuse Tsiviilkoodeksi artiklid 1366 ja 1367 — elektrooniline tekst on sama jõud kui paberitekst tingimusel, et isik, kelle poolt see pärineb, on nõuetekohaselt identifitseeritud ja dokument on koostatud tingimused, mis tagavad selle terviklikkuse. Elektrooniline allkiri kvalifitseeritud (QES) eIDAS 2 mõttes rahuldab täielikult neid nõudeid.

Määrus (EL) 2016/679 (GDPR) — identiteediandmete töötlemine EUDI rahakoti raames on allutatud minimeerimise (art. 5§1c), eesmärgi piiramise (art. 5§1b) ja andmete kaitse vahendite esmaplaneeringu (art. 25) põhimõtetele. Kvalifitseeritud teenusepakkujad täidavad erinevate kontrollija rolli verifikatsiooni operatsioonide jaoks.

Direktiiv (EL) 2022/2555 (NIS2) — transponeeritud Prantsuse õigusesse ordinantsiga nr 2024-528 12. juunil 2024, määrab kvalifitseeritud usalduseteenuste pakkujatele riskihalduse ja intsidentide 24-tunnise teatamise kohustused.

ETSI standardid:

• EN 319 132 (XAdES) ja EN 319 122 (CAdES) — täiustatud elektrooniline allkiri vormi.
• EN 319 401 — üldsed nõuded usalduseteenuste pakkujatele.
• EN 319 411-1 ja 411-2 — kvalifitseeritud sertifikaate väljastavaate sertifitseerimiskeskusele kohaldatav poliitika ja turvalisuse nõuded.
• EN 319 521 — allkirjade säilitamise kvalifitseeritud teenuste nõuded (QESAP).

Kohustused ja õiguslikud riskid ettevõtetele

Igal ettevõttel, kes kasutab elektroonilist allkirjahaldust lepinguõigusestlikus kontekstis, tuleb veenduda, et valitud allkirja tase vastab teo väärtusele ja iseloomule. Nende aktide jaoks, mis on seotud allkirja seadusega (müügivalikud, töölepingud, ostutellimused teatud piiril), pakub ainult QES-i või adES-i tehing kvalifitseeritud sertifikaadi alusel artikli 26 muudetavat eIDAS 2 usaldatavuse eeldust.

Vaidlustumisel pöördub tõendamiskohustus ringi: kui allkiri on kvalifitseeritud, peavad dokumendi vaidlustava pooled tõestama selle muutmist; kui see on lihtne või täiustatud ilma kvalifitseeritud sertifikaadita, lasub tõendamiskohustus seda väitenud allkirjastajal. Jälgitavuse ja terviklikkuse nõuete rikkumine võib kaasa tuua akti nullimist või allkirja kolmandate osapoolte vastuseisu.

Kasutuse stsenaariumid: eIDAS 2 rakendamine B2B ettevõtetele

Stsenaarium 1 — Digitaalse teisenduse konsultatsioonibüroo (umbes 80 konsultanti)

Konsultandi struktuur, kes juurutab oma töötajaid mitmel liikmesriigil (Prantsusmaa, Saksamaa, Madalmaad), peab igakuiselt allkirjastama käskude lepinguid, muudatuslepinguid ja vastuvõtu protokolle. Enne eIDAS 2 tekitasid piiride ülese identiteedi haldamine segadust: teateid Saksa klientide keeldumisest tunnustada prantsuse QTSP-poolt väljastatud sertifikaate, kahekordne autentimine e-mailiga oli tundlike aktide jaoks ebapiisav.

EUDI rahakoti 2026. aastast juurutamise korral saavad konsultandid allkirjastada oma riiklikust rahakotist — mida tunnustatakse teiste riikidel täielikult ilma mingite segadusteta. Büroo hindab, et aja kokkuhoiu konsultandi- ja dokumentaalsusega seotud vahetuste jaoks on 60–70% — umbes 3–4 tundi kokkuhoidu konsultandi kohta kuus, vastavalt McKinsey Digital (2024) poolt avaldatud sektorilistele võrdlustele.

Stsenaarium 2 — PME tehaseid haldav 350 tarnija-lepingud aastas

Tööstuse varustuse sektori PME, kes töötab sajaga Euroopa ja Aasia-Vaikse ookeani tarnijaga, peab vormistama ostud, konfidentsiaalsuslepinguid (NDA) ja raamlepingud. Deni järgi tulid 30% nendest dokumentidest tagasi allkirjata või vigase allkirjaga või viivitusega üle 10 tööpäeva.

Vastu võttes elektroonilise allkirja lahenduse, mis on eIDAS 2 nõuetekohaselt vastavalt identiteediverifikatsiooniga (QEAA), saab PME kehtestada allkirja voogu, kus tarnija juriidilise esindaja identiteet verifitseeritakse automaatselt rahakoti kaudu ilma käsitsi sisendit. Oodatav tulemus: allkirja keskmise tähtaja vähenemine 10 päevast vähem kui 48 tunnini ja 40% langus mittevastavate allkirjadega seotud vaidlustes, tuginedes ELENIUS 2025 aruannetes jälgitud B2B demateriaalse demateri vahemikel.

Stsenaarium 3 — Kinnisvaragrupp haldes kompromisse müügiga mitmes riigis

Kinnisvarabüroode võrgustik, kes tegutsevad Prantsusmaal, Hispaanias ja Portugalis, peab regulaarselt allkirjastama müügilepinguid eri rahvusest müüjate ja ostjate vahel. QES on nõutav teatud kontekstides käsitäise allkirja samaväärsuse tagamiseks notaariusest puudujärgi kontekstis.

eIDAS 2 ja EUDI rahakoti ühilduvuse tänu saab Portugali ostja allkirjastada prantsusmaa õigusele kuuluva kompromissi oma riiklike rahakoti abil, millele on „kõrge" taseme garantii automaatselt tunnustatud allkirja platvormil. Grupp vähendab ümberviimise ja legaliseerimise kulusid umbes 800–1200 euroga piiride ülese faili kohta, vähendades samas müügilepingute lõpetamise tähtajad 3 nädalalt keskmiselt 5 päevale. Sektori spetsiifiliste kasutuste jaoks, piiris meie lehel elektrooniline allkiri kinnisvaras detailides kohandatud tööprotsessid.

Järeldus

eIDAS 2 pole lihtsalt regulatiivne uuendus: see on digitaalse identiteedi ja elektroonilise usalduse toimimise viisi uus alusemõte Euroopas. EUDI rahakott, uued kvalifitseeritud teenused, kohustuslik ühiluvus ja joondus NIS2 ja GDPR-iga moodustab sidusa ökosüsteemi, mis muudab B2B ettevõtete lepinguid ja autentimist kuni 2026 lõpuni.

Et jääda nõuetekohaseks ja konkurentsikaaks, peavad organisatsioonid kohe tegutsema: auditeerida oma usaldusahel, valida uutele nõuetele joondunud teenusepakkuja ja valmistada oma dokumendi voogu EUDI rahakoti integreerimiseks.

Certyneo toetab teid selles üleminekus eIDAS 2-le nõuetekohaste elektrooniliste allkirja lahenduste abil, mis on valmis 2026. aastaks. Taotlege demonstratsiooni või looge konto Certyneole oma lepingute turvamiseks juba täna.