eIDAS 2 vs eIDAS 1: peamised muudatused väikeste ja keskmiste ettevõtete jaoks

Sissejuhatus: miks muudab eIDAS 2 mängu väikeste ja keskmiste ettevõtete jaoks

Alates 20. maist 2024 on jõustunud määrus (EL) 2024/1183 — tavaliselt nimetatakse seda eIDAS 2 — mis kaotab ja asendab järk-järgult määrust (EL) nr 910/2014 (eIDAS 1). Prantsusmaa väikestele ja keskmistele ettevõtetele pole see lihtsalt administratiivne uuendus: see määratleb ümber digitaalse usalduse tasemed, tutvustab Euroopa digitaalset identiteedihoidlat (EUDIW), tugevdab usalduseteenuste pakkujate nõudeid ja laiendab tunnustatud teenuste ulatust. See artikkel võrdleb punkt punkti järgi eIDAS 1 ja eIDAS 2, määratleb konkreetsed operatiivsed mõjud väikestele ja keskmistele ettevõtetele ning annab teile tegevusplaani, et jääda vastavaks 2026. aastaks.

---

1. Sissejuhatus: mida tegi eIDAS 1 (2014-2024)

1.1 Algse määruse alused

Vastuvõetud juulis 2014 ja jõustunud septembrist 2016, alustas eIDAS 1 Euroopa digitaalse usalduse ala esimesi aluseid. See tutvustas kolme suurt kategooriat elektroonilisest allkirjast — lihtne (SES), täiustatud (AdES) ja kvalifitseeritud (QES) — ja lõi usaldusväärsete pakkujate nimekirja (Trusted List), mida saab konsulteerida Euroopa Komisjoni portaalis.

Väikestele ja keskmistele ettevõtetele oli eIDAS 1 peamine panus piiriülese tunnustamine kvalifitseeritud allkirjadest: Prantsusmaaga QES-iga allkirjastatud leping tunnistati Saksamaal, Hispaanias või Itaalias õiguslikult ilma apostillita ja täiendavate formaliteetideta. See printsiip — nn „diskrimineerimise keeld" — jäi aluseks, millele tõid Certyneo nagu teenused oma lahendused.

1.2 Tuvastatud piirangud

Vaatamata oma edusammudele, oli eIDAS 1 mitmel Euroopa Komisjoni 2021. aasta hindamisaruandesse dokumenteeritud puudusega:

• Identiteedi skeemide fragmenteeritus: vaid Liikmesriigid, kes olid teatanud oma riiklikust skeemist (nagu FranceConnect+ märkimisväärsel tasemel), kasutasid vastastikust tunnustamist. 2023. aastal oli vaid 14 riiki 27st teatanud vastavasse skeemi.
• Puudu olevad mobiilsed tugi: kvalifitseeritud allkirja loomisseade (QSCD) nõudis sageli kiipkaardi või materiaalsete tarvikute, mis takistasid mobiilsete kasutuselevõtu.
• Piiratud usalduseteenused: eIDAS 1 loetles üheksa liiki kvalifitseeritud teenuseid; uus kasutamine (kvalifitseeritud elektrooniline arhiivimine, atribuutide haldamine) polnud reguleeritud.
• Ühtne identiteedihoidla puudumisel: iga kodanik või ettevõte juhtis oma identifikaatoreid isoleeritud viisil, ilma garanteeritud koostalitlusvõimaluseta.

Need piirangud viisid Komisjoni lähtestama läbivaatamisele juba 2020. aastal, mille tulemusena oli eIDAS 2 määrus pärast kolmeaastast triloogiprotsessi.

---

2. Viis suurt eIDAS 2 uuendit väikestele ja keskmistele ettevõtetele

2.1 Euroopa digitaalne identiteedihoidla (EU Digital Identity Wallet — EUDIW)

See on määruse kõige nähtavam uuendus. Novembri 2026 kuuks (ülevõtmise tähtaeg määrusesse 5a artiklis) peab iga Liikmeriik pakkuma vähemalt ühte oma kodanikele ja elanikele sertifitseeritud digitaalset identiteedihoidlat. Väikestele ja keskmistele ettevõtetele on sellel muutusel kaks otsest tagajärge:

1. Klientide ja partnerite autentimine lihtsustatud: hoidla võimaldab jagada kontrollitud atribuute (vanus, intrakommunaalset käibemaksu numbrit, äriregistri väljaotte, sertifitseeritud pangaandmeid) ilma vastuseisuta. Ärisaamisega Saksamaal partner saab allkirjastada pärast hetkelisi kontrollimiseid tema professionaalsetes atribuutides tema EUDIW kaudu.
2. Kohustus aktsepteerimiseks teatud sektorites: suurte platvormide võrgus olevad teenused (artikkel 45bis) ja teatud avalikud teenused peavad aktsepteerima EUDIW-i autentimise abinõuna. Väikeettevõtted, kes pakuvad B2B portaale, peavad kohandama oma autentimisel API-d.

2.2 Kvalifitseeritud usalduseteenuste nimekirja laiendamine

eIDAS 2 laiendab kvalifitseeritud usalduseteenuste kataloogi 9-st 14 kategooriasse. Uued kirjed, mis puudutavad otseselt väikesi ja keskmisi ettevõtteid:

• Kvalifitseeritud elektrooniline arhiivimine (art. 45septies): pikaajaline säilitamine tugevdatud tõenduseväärtusega. Senini lootud pikaajaline arhiivimine riiklikele viitedele (Prantsusmaal SIAF/ANSSI referentsi); eIDAS 2 harmoniseerib Euroopa raamistikku.
• Kvalifitseeritud allkirja loomisseade kaugjuhtimine (RQSCD): nüüd otseselt reguleeritud, see kõrvaldab ebamäärasused, mis raskendasid pilve allkirja lahenduste jaoks. Kviinu ettevõtte 50 töötajaga, tähendab juurdepääs kvalifitseeritud allkirjale ilma füüsilise tarvikuta, iga seadmelt.
• Kvalifitseeritud elektroonilise registri teenus: registrid, mis on põhinenud plokikettidel või hajutatud suuretele raamatule tehnoloogiale, võivad nüüd kvalifitseeritud staatuse saada, avades tee uutele lepingulistele juhtimismudelile.

Täiendavaks teabeks allkirja tasemete ja nende õigusliku väärtuse kohta, vaadake meie täielikku juhendit elektroonilisele allkirjale.

2.3 Kvalifitseeritud usalduseteenuste pakkujate (QTSP) turvalisuse nõuete tugevdamine

eIDAS 2 rangendab kvalifitseeritud usalduseteenuste pakkujate (QTSP) kohustusi. Muudetud artikkel 24 nõuab eriti:

• Küberturvalisuse sertifikaat vastavalt Euroopa raamistikule (EL Küberturvalisuse seadus, määrus 2019/881), kus sektoriaalid skeemid on ENISA poolt väljatöötamises.
• Tugevdatud nõudmised operatiivne vastupidavus: QTSP peavad nüüd dokumenteerima oma äri jätkamise plaani ja esitama selle oma riikliku järelevalveasutusele (Prantsusmaal on see ANSSI kvalifitseeritud pakkujatele).
• Kohustus turvaintsidentide teatamine 24 tunni jooksul (joondamine NIS 2-ga).

Väikeste ja keskmiste ettevõtete kasutajatele tähendab see tugevdatud hoolsuse kohustust pakkuja valimises: kontroll, et teie allkirja lahendus on kindlasti uuendatud Euroopa Usalduslikus Nimekirjas, on nüüd kriitiliseks osaks teie ostmisprotsessist. Meie elektrooniliste allkirja lahenduste võrdlus võib teid selles analüüsis aidata.

2.4 Identiteediskeemide kohustuslik koostalitlus

Kus eIDAS 1 jättis Liikmesriikidele vabaduse teatada (või mitte), muudab eIDAS 2 teatamise ja koostalitluse kohustuslikuks identiteediskeemide jaoks, mida kasutatakse avalikes veebiteenustes (art. 5). France Identité — riikliku skeemi, mida viib siseministeerium — on muutunud vastavaks EUDIW tehnilise spetsifikatsiooni vastavatele kriteeriumitele, mille on avaldanud Komisjon määruses (EL) 2024/2977.

Väikesele ja keskmisele ettevõttele, kes regulaarselt suhtleb avalike asutustega (avalikud hanked, elektrooniliste deklaratsioonid maksunduse kaudu, tolliprotseduurid), tähendab see muutus, et veebiteenused ühtselt ühendatakse ühtse ja Euroopas tunnustatud digitaalse identifikaatoriga.

2.5 Uued vastutuse ja järelevalve reeglid

eIDAS 2 täpsustab ja laiendab usalduseteenuste pakkujate vastutusrežiime (muudetud art. 13). QTSP on nüüd eeldatavalt vastutav mistahes kahju eest, mille on põhjustanud füüsilisele või juriidilisele isikule oma kohustuste rikkumise teel, välja arvatud juhul, kui tõendab süü puudumist. See vastutuse eeldus, tugevdatum võrreldes eIDAS 1-ga, peaks manustama väikesi ja keskmisi ettevõtteid:

• Formaliseerida lepinguga nende pakkuja kohustused (SLA, kättesaadavusega garantiid, kompensatsioon).
• Kontrollida QTSP kutseline vastutusega kindlustuse ulatust.
• Säilitada allkirja kannetele auditeerimise tõendid (ajavahemiku logid, allkirja kontrolli aruanded).

Meie meeskond on kirjutanud detailse juhendi elektroonilisele allkirjale ettevõttes, mis käsitleb neid lepingulisi aspekte.

---

3. Võrdlustabel eIDAS 1 vs eIDAS 2: mis konkreetselt muutub

3.1 Peamiste arengute kokkuvõte

| Kriteerium | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Identiteedi hoidla | Puudub | EUDIW kohustuslik (Liikmesriigid) | | Kvalifitseeritud teenused | 9 kategooriat | 14 kategooriat (arhiivimine, RQSCD, registrid…) | | Skeemide teatamine | Valikuline | Kohustuslik avalike teenuste jaoks | | QTSP turvalisus | Common Criteria kriteeriumid | Küberturvalisuse seadus + ENISA skeemid | | QTSP vastutus | Osaline | Tugevdatud vastutuse eeldus | | Intsidendi teatamise tähtaeg | Määramata | 24 tundi (joondamine NIS 2-ga) | | QSCD mobiilne | Õigusjärgne ambivalents | RQSCD selgelt reguleeritud |

3.2 Peamised 2026. aasta tähtajad

• Mai 2024: määruse (EL) 2024/1183 jõustumine.
• November 2026: tähtaeg, mil iga Liikmeriik peab pakkuma vähemalt ühte sertifitseeritud EUDIW lahendust.
• 2027: kohustus suurte platvormide (art. 45bis) jaoks aktsepteerida EUDIW autentimisvahendina.
• 2028: planeeritud tehniliste täiteavaldiste ülevaatamine (delegeeritud määrused EUDIW spetsifikatsioone kohta).

Kui teie väikene ja keskmise suurusega ettevõte kaalub üleminekut vastavamale lahendusele, sisaldab meie Certyneole migratsiooni pakkumine tasuta eIDAS 2 vastavuse auditit.

---

4. Praktiline tegevusplaan oma väikese ja keskmise ettevõtte eIDAS 2 vastavusse viimiseks

4.1 Audiita oma olemasolevad dokumentide vood

Alustage kõigi protsesside kaardistamisega, kus kasutate praegu elektroonilise allkirja või digitaalset identiteeti: tarnija lepingud, elektronilised palgaliisid, SEPA mandaadid, konfidentsiaalsuslepingud, HR aktid. Iga voo jaoks määrake:

• Kasutatav allkirja tase (SES, AdES, QES).
• Praegune pakkuja ja tema staatus Usalduslikus Nimekirjas.
• Õigusjärgne riskitase vaidlustamise korral.

See audit on ANSSI soovitatud lähtepunkt tema märtsis 2025 avaldatud vastavuse juhendis.

4.2 Uuendage oma allkirja lahendust

Kui teie praegune pakkuja ei figureeri eIDAS 2 Usalduslikus Nimekirjas või ei paku veel RQSCD-d, on aeg turulahendusi võrrelda. Certyneo on sertifitseeritud QTSP, kes toetab kolme allkirja taset (SES, AdES, QES) ja integreerib omakasutajalt uued eIDAS 2 nõudmised, eriti kvalifitseeritud arhiivimist ja seadmete kaugjuhtimist.

4.3 Koolitada oma meeskondi ja värskendada oma lepinguid

eIDAS 2 tugevdab kvalifitseeritud allkirjade tõenduseväärtust, kuid kehtestab ka heade dokumenteerimistava. Veenduge, et teie juriidilised ja haldusmeeskonnad:

• Teavad eristada kolme allkirja taset ja nende õiguslikku väärtust.
• Sisestavad tarnija lepingutesse eIDAS vastavuse auditi clausule.
• Säilitavad allkirja valideerimise tõendid (valideerimisaruanne, kvalifitseeritud ajajaotus) kohaldatava säilitamisperioodi jooksul (3 kuni 10 aastat olenevalt akti iseloomust).

Selle lähenemise struktureerimiseks saab meie elektroonilise allkirja ROI kalkulaator aidata teil kvantifitseerida operatiivseid kasumeid uuendamisest.

Kohaldatav juriidiline raamistik

Viited õigusaktidele

Väikese ja keskmise suurusega Prantsusmaa ettevõtte eIDAS 2 vastavuskohustus asub normatiivses alaskarus, mida on oluline omandada.

Määrus (EL) 2024/1183 Euroopa Parlamendist ja Nõukogust (nn „eIDAS 2"): see on põhikehtiv tekst, avaldatud EUOT-is 30. aprillil 2024. See kaotab ja asendab määruse (EL) nr 910/2014 vastavalt juurutusgraafikus, mis kulub 2027. aastani. See kehtib otseselt kõikides Liikmesriikides ilma siseriikliku seadusandluseta muudatusteta selle põhisätetele.

Määrus (EL) nr 910/2014 (eIDAS 1): mõned selle sätted jäävad kohaldatavateks eIDAS 2 poolt ettenähtud üleminekuperioodi jooksul, eriselt kvalifitseeritud teenusepakkujatele, kes saavutasid kvalifikatsiooni enne mai 2024 ja neil on aeg ümber sertifitseerida.

Prantsusmaa kodaniku seadus, artiklid 1366 ja 1367: artikkel 1366 kehtestab elektrooniline kirjalikkuse ja paberite kirjalikkuse samaväärsuse põhimõtte, eeldusel, et „inimene, kelle poolt see tuleb, on rahuldavalt identifitseeritav ja see on kehtestatud ja säilitatud tingimustes, et tagatakse selle terviklikkus". Artikkel 1367 tunnustab elektroonilise allkirja tõendusviiside, viidates tingimustele, mis on kehtestatud dekreedis Riigina Juriidilises Nõukogus (dekrmarriidi 2017-1416, 28. september 2017, kodifitseeritud Kodaniku seaduse artiklitest R. 1369-1 kuni R. 1369-10).

Määrus (EL) 2016/679 (GDPR): EUDIW juurutamine ja identiteedi atribuutide töötlemine allkirja elektroonilist voodeid moodustavad isikuandmete töötlemist GDPR-i mõttes. Väikeste ja keskmiste ettevõtete peab tagama, et nende QTSP toimib GDPR artikli 28 kohase alampakkujana, DPA (andmetöötluse lepinguga), mis vastab nõudmistele. CNIL on jaanuaris 2026 avaldanud täpsustava soovituse EUDIW-GDPR integratsioonist.

Direktiiv (EL) 2022/2555 (NIS 2): eIDAS 2 joondub NIS 2-ga otseselt intsidentide teatamise kohustuste jaoks (art. 24, §2 eIDAS 2, mis viitab NIS 2 sätetele). QTSP-id loetakse vastavalt suurusele NIS 2 „oluliseks" või „tähtsaks" tegevuseks ja kuuluvad regulaarse turvalisuse auditeerimise alla.

ETSI standardid: kvalifitseeritud allkirjad peavad vastama ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) ja ETSI EN 319 102-1 (kinnitamise protseduur) standarditele. ETSI TS 119 461 standard reguleerib kaugest identiteedi kontrollimist (IDV), mis on eriti asjakohane RQSCD jaoks.

Õiguslikud riskid vastavuse mittejärgimisel

Mittevastava eIDAS 2 elektroonilise allkirja lahenduse kasutamine avab väikese ja keskmise suurusega ettevõtte mitmetele riskidele:

• Vastuvõetamatus kohtus: kohtunik võib jätta elektroonilise allkirja kõrvale, kelle tase ei vasta allkirjastatud aktile (nt lihtne allkiri aktile, mis nõuab täiustatud või kvalifitseeritud taset).
• Lepingulised vastutus: kui lepingut vaidlustab partner allkirja kehtetu kelpotentsiaalse teine põhjuse peal, võib väikene ja keskmise suurusega ettevõte vastata kahjude nõuete eest.
• GDPR karistused: isikuandmete rikkumisjuhul, mis on seotud teenusepakkuja turvalisuse puudusega, võib väikene ja keskmise suurusega ettevõte, kaasvastutav või vastutav töötlemise, CNIL-i karistuse all, kuni 4% aastakaeve käibest globaalsel (art. 83 §4 GDPR).

Konkreetsed kasutamistingimused

Stsenaarium 1: 80-töötajaga tööstuslik väikene ja keskmise suurusega ettevõte, mis tegeleb 400 tarnija lepinguga aastas

Metallitöötlemise sektori 400 tarnija lepingut aastas käsitlev väikene ja keskmise suurusega ettevõte kasutas kuni 2024 lihtsat elektroonilist allkirja (SES) kõigis oma võlgnemustes, kaasaarvatud lepingu raamid üle 50 000 €. Pärast eIDAS 2 vastavuse auditit avastab ettevõte, et 35% tema lepingutest nõuavad täiustatud või kvalifitseeritud allkirja, et vastupidada kohtuliku vaidlustamise, eriti teiste EL Liikmesriikide tarnijatega.

Migreerudes lahendusele, mis kombineerib täiustatud allkirja (AdES) tavaliseks lepinguks ja kvalifitseeritud (QES) raamlepinguteks, ja aktiveerib kvalifitseeritud elektroonilise arhiivimise (uus eIDAS 2 teenus), vähendab see väikene ja keskmise suurusega ettevõte 70% aja allkirja järgsele dokumentide halduslele (sorteerimine, otsing, sertifitseeritud koopiate saatmine) ja viinud lahendada nullini vaidlusi, mis on seotud allkirja vaidlustamisega 18 kuuks järgneval perioodil, vastandina kahele intsidendile eelnevate 18 kuuga.

Stsenaarium 2: 15 koostöövõimeliste õigusnõustamise kabinet

Juriidilise strateegia spetsialiseeritud kabinet, mis kiidab keskmiselt 1 200 allkirjastatud akti aastas (kirjade ülesandmine, mandaadid, konfidentsiaalsuslepingud), silmitsi kasvava nõudmisega tema korporatiivsetest klientidest kvalifitseeritud allkirjade järele, mis on tunnustatavad kogu ELs. eIDAS 1 all nõudis kvalifitseeritud sertifikaadi hankmine face-to-face protsessi või pika videoverifikatsiooniga (45-90 minutit kasutaja kohta).

Tänu RQSCD-le (Remote Qualified Signature Creation Device), mille on eIDAS 2 reguleeritud, võis kabinet juurutada kvalifitseeritud allkirja kogu oma meeskonna jaoks kahe nädala jooksul, kaugjärgse poliitika teel, mis vastab ETSI TS 119 461 standardile. Sisemise kasutuselevõtu määr tõusis 40%-lt 95%-ks kolme kuu jooksul, ja allkirjastatud aktide keskmise tagasituleku aeg vähenes 4,2 päevalt vähem kui 6 tunnile vastavalt kabineti sisemistele mõõtmistele.

Stsenaarium 3: 35 isikut töötas väikene ja keskmise suurusega e-kaubanduse ettevõte, mis tegutseb kolmes EL riigis

Interneti kaudu 35 inimest palkav ja Prantsusmaal, Belgias ja Hollandis tegutsev ettevõte juhtis kolme tüüpi elektroonilist lepingut: tööleppingud kohalistele töötajatele, partnerlus lepingud transportöride jaoks, ja SEPA mandaadid oma professionaalsete klientide jaoks. Fragmenteeritud riiklik nõudmine eIDAS 1 all kohustas ettevõtet kolme allkirja voolu haldamisele, kusjuures hinnangulised juhtimisotsused olid umbes 12 000 € aastas.

Ühtse eIDAS 2 vastavuse lahenduse kasutuselevõtt — mis sisaldab kvalifitseeritud allkirjade vastastikust tunnustamist kolmes riigis — lubas voodeid ühendada, juhtimiskulud vähendada umbes 4 500 € aastas (säästud 62%) ja kõrvaldada viivitused, mis on seotud välismaaliste allkirjade käsitsi valideerimisega juriidilise teenuse poolt.

Kokkuvõte

eIDAS 2 pole lihtne kosmeetiline revisjon õiguslikust raamistikust: see määratleb põhjalikult ümber usalduse numbrilise ala reeglid Euroopas. Prantsusmaa väikestele ja keskmistele ettevõtetele esindavad viis suurt arendit — EUDIW, laiendatud teenused, RQSCD, kohustuslik koostalitlus ja tugevdatud vastutus — nii vastavuse kohustuse kui ka nende dokumentide transformatsiooni kiirendamise võimalust.

Väikeettevõtted, kes neid muudatusi täna eelnevalt kavandavad, kasutavad tegelikku konkurentsieelist: lepingud tunnustatakse kogu ELs ilma vastuseisuta, arhiivimine õiguslikul väärtusega integreeritud ja protsessid täiesti dematerialiseeritud ja turvaliseks.

Certyneo on loodud selle ülemineku abiga. Alustage tasuta katset certyneo.com ja saate tasuta eIDAS 2 vastavuse auditi oma olemasolevale dokumentide vooguks.