eIDAS 1 ja eIDAS 2 vahel teisenemine: mõju allkirjale aastal 2025

1. mail 2024 avalikustati määrus (EL) 2024/1183 — tavaliselt nimetatakse eIDAS 2 — Euroopa Liidu ametlikus lehes, mis tunistab kehtetuks järk-järgult määruse nr 910/2014 (eIDAS 1). See tekst kujutab endast Euroopas digitaalse identiteedi ja elektrooníse allkirja kõige struktureeruvamaid reforme alates 2016. aastast. Prantsuse ettevõtetele, kes kasutavad elektrooníse allkirja lahendusi oma lepingulisel töövoodel, ei ole üleminek vormiline: see nõuab tehnilisi, juriidilisi ja organisatoorilisi kohandusi, mille horisont ulatub 2026. aastani ja kaugemalegi. eIDAS 1 kuni eIDAS 2 ülemineku mõistmine ja selle mõju elektroonilisele allkirjale 2025. aastal on muutunud prioriteediks juriidiliste juhtide, IT-juhte ja inimressursi juhte jaoks. See artikkel dešifreerub raamistiku põhimuudatusi, siirtumise täpset ajakava ja konkreetseid meetmeid, et jääda vastavaks.

Millist muudab määrus eIDAS 2 põhimõtteliselt

Määruselt 2014 aastat põhjalikule ümberkorraldamisele 2024. aastal: miks oli ülevaatus vajalik

EIDAS 1 oli seadnud Liidus elektroonsete allkirjade vastastikuse tunnustamise alused. Kolm hierarhilised tasemed — lihtne (SES), täiustatud (AdES) ja kvalifitseeritud (QES) — struktueerisid allkirjade tõendusvälist väärtust, tugeval usaldusväärsete teenuse pakkujate nimekirjale (TSL). Kuid kümne aasta jooksul ilmnesid kaks peamist vajakajäämist.

Esiteks kehtis algne määrus põhiliselt avalike haldusasutustega suhtlemisele (G2B, G2C). See ei loonud otseseid kohustusi eravõtete tehingutes (B2B, B2C), jättes regulatoorse tühimiku, mille iga liikmesriik täitis ebaühtlaselt. Teiseks oli digitaalteenuste kasv — mobiilrakendused, avatud pangandus, telemeditsiin — paljastanud kantsleri tasemel kandeva ja ühilduva digitaalse identiteedi süsteemi puudumist.

EIDAS 2 vastab nendele kahele väljakutsele tuues Euroopa digitaalse identiteedi rahakoti (EU Digital Identity Wallet, EUDIW) ja laiendades usaldusväärsete teenuste ulatust uutele kasutamistapaustele: kvalifitseeritud elektrooniline arhiveerimine, kvalifitseeritud atribuutide tunnistused, kvalifitseeritud elektroonikud registrid (sealhulgas sertifitseeritud blockchain-rakendused).

Kvalifitseeritud usaldusteenuste uued kategooriad

Määrus eIDAS 2 laiendab kvalifitseeritud usaldusteenuste loetelu (artikkel 3 ja muudetud lisa IV). Lisaks eIDAS 1 juba tunnustatud allkirjadele, sealing ja ajatemplile, tunnustatakse nüüd:

• Kvalifitseeritud elektroonikud arhiveerimisteenus (art. 34 bis): kohustus säilitada pikaajaline allkirjastatud dokumentide terviklus ja loetavus, koos teenusetarnijate (QTSP) raskendatud nõuetega.
• Kaugallkirja loomise seadmete halduse teenused kvalifitseeritud (QRCD): tugevustatud regulatsioon pilvepõhiste HSM (Hardware Security Module) kaugallkirja lahenduste jaoks.
• Kvalifitseeritud atribuutide tunnistused: mehhanism, mis võimaldab kolmandal osapoole usaldussajamal sertifitseerida üksuse atribuute (nt õiguste omamine, arsti staatus) ilma kogu identiteeti avaldamata.
• Kvalifitseeritud elektroonikud registrid: tunnustamine jaotatud registrite puhul rangete auditeeritavuse ja jätkusuutlikkuse tingimuste puhul.

Elektrooníse allkirja lahenduste kasutajatele tähendab see, et saadaolevad kvalifitseeritud usaldustenused turul muutuvad mitmekesisemaks ja teenuse pakkuja (QTSP) valimise kriteeriumid peavad hõlmama neid uusi võimalusi.

EUDIW: digitaalse identiteedi rahakott kui allkirja infrastruktuuri alus

eIDAS 2 nähtavamaks jäi EUDIW. Iga liikmesriik peab pakkuma oma kodanikele ja elanikele tasuta, teiste liikmesriikide kõigiga ühilduv digitaalse identiteedi rahakotti 26. novembri 2026. aastaks (rahvuslikule vastavuse tähtajale vastavalt artikkel 5 bis). See rahakott võimaldab:

• autentida kasutajat kõrge kindlususe tasemega (LoA High) ilma kolmanda osapoole identifikatsiooni pakkujale tugineda;
• allkirjastada elektrooniliselt dokumente kvalifitseeritud väärtusega (QES) otse rahakotist;
• jagada selektiivseid identiteeidiattribuute (selective disclosure), austades seega GDPR andmete minimeerimise põhimõtet.

Ettevõtetele lihtsustab EUDIW teoreetiliselt allkirja järgse identiteedi kinnitamise protseduure, elimineerides videotuvastamise või silmast silma identifikatsiooni hõõrdumist. Praktikas sõltub mõju rahvuslike juurutamise kiirusest — Prantsusmaa on 2025. aastal alustanud pilootprojekti "France Identité" programmis.

eIDAS 1 kuni eIDAS 2 ülemineku täpne ajakava

Regulatiivsed verstapostid, mida tuleb teada

Määrus 2024/1183 jõustus 20. mail 2024, kuid selle rakendamine on järkjärguline. Siit on peamised tähtajad:

| Kuupäev | Sündmus | |---------|---------| | 20. mai 2024 | JOUE-le avaldamine, ametlik jõustumine | | 20. november 2024 | Euroopa Komisjoni poolt täitetavate aktide vastuvõtmise 6-kuuline tähtaeg (EUDIW tehnilised spetsifikatsioonid) | | 2025. aasta lõpp | ETSI revideeritud standardite avaldamine (EN 319 411-1/2, EN 319 401) mis integreerida eIDAS 2 nõuded | | 26. mai 2026 | Liikmesriikide vastavushõlmutuse tähtaeg uute kategooriate kvalifitseeritud teenuste kohta | | 26. november 2026 | EUDIW pakkumise kohustuslik saadavus iga liikmesriigi poolt | | 2027-2028 | Rahvuslike usaldusloendite (TSL) täielik ülevaatus ja uute QTSP-de akrediteerimine |

EIDAS 1 jääb kehtivaks ja selle režiimi alusel väljastatud allkirjad säilitavad oma täit juriidilist väärtust. Olemasolevate dokumentide uuesti allkirjastamise kohustust ei ole. Vastupidi, kvalifitseeritud usalduse teenuste pakkujad peavad uuesti akrediteerima vastavalt uutele tehnikastandartidele 2027. aastaks.

Mis ei muutu ja mida tuleb jälgida

Jätkamine on siirtumise kardinaluurimus. Kolm allkirja taseme (SES, AdES, QES) on säilitatud koos nende muutmata määratlustega. Käitusvõimetus QES-iga käsitsi allkirjaga (artikkel 25 eIDAS 1, korratakse artiklis 27 eIDAS 2) jääb jõusse. Teie praeguste elektroonsete allkirjade tõendusväline väärtus ei ole kahtluse all.

Mida tuleb jälgida: Euroopa Komisjoni poolt 2025-2026 aastatel avaldatavad täitetavad aktid määravad EUDIW ja uute teenuste kategooriate täpsed tehnilised spetsifikatsioonid. Need tasemel 2 olevad tekstid omavad praktiliselt arvestatavat tähtsust integraatorite ja tarkvara redaktorite jaoks. Ettevõtete jaoks, kes kasutavad elektroonilist allkirja oma HR või juriidilistes protsessides, on soovitatav paluda oma teenusepakkujalt eIDAS 2 vastavuse tegevuskava.

Konkreetne mõju ettevõtetele ja nende allkirjalahendustele

Milliseid töövoolusid puutuvad esikohale?

eIDAS 1 kuni eIDAS 2 üleminekul ei ole sama mõju sõltuvalt kasutatud allkirja tasemest. Ettevõtetele eristuvad kolm olukorda:

Lihtne elektrooniline allkiri (SES): kasutatakse väikese väärtusega muudatuste, vastuvõtulubade, sisemiste vormide jaoks. Kohe uuendamise kohustust pole. Tõendusreeglid jäävad reguleeritud kodeksi poolt (art. 1366-1367) ja mitte otseselt eIDAS-i poolt.

Täiustatud elektrooniline allkiri (AdES/AdESQC): ettevõtted, kes kasutavad B2B lahendusi kaubanduslepingute, demateriaalitud töölepingute või kinnisvaraliste tegude jaoks, peavad kinnitama, et nende teenusepakkuja säilitab vastavuse ETSI standarditele EN 319 132 (XAdES), EN 319 122 (CAdES) ja EN 319 142 (PAdES) eIDAS 2 parandatud versioonides. Need standardid avaldatakse ETSI-st 2025. aasta lõpuks.

Kvalifitseeritud elektrooniline allkiri (QES): kvalifitseeritud pakkujad (QTSP) peavad läbima uue eIDAS 2 akrediteerimise. Üleminekuperiood annab mõistliku aja (kuni 2027. aastani), kuid 2025. aastal käivitatud avatud pakkumised peaks hõlmama eIDAS 2 vastavuse klauslit valiku kriteeriumites. Organisatsioonide jaoks, kes võrdlevad saadaolevaid valikuid, elektrooniline allkirjalahendused võrdlus võimaldab hinnata toimetajate küpsust sel teemadel.

Uued nõuded kvalifitseeritud usaldustenuste pakkujatele (QTSP)

EIDAS 2 karmistab QTSP-dele kohaldatavaid nõudeid kolmel peamisel punktil:

1. Süsteemide turvalisus: kohustuslik joondamine NIS2-ga (direktiiv (EL) 2022/2555) QTSP-dele, nüüd klassifitseeritud oluliste üksustena. See tähendab intsidentide teadaandmise kohustust 24 tunni jooksul, aastaseid turvalisuse audite ja äri jätkusuutlikkuse plaanide juurutamist.

1. Raskendatud vastutus: eIDAS 2 artikkel 13 laiendab QTSP-de vastutusrežiimi. Tõestatud rikkumiste korral on tõendi koorem vastupidine: teenusepakkuja peab tõestama, et tal ei olnud hooletust, mitte vastupidi.

1. Kohustuslik ühilduvus: QTSP-d peavad avama standardiseeritud API-d, mis on ühilduv EUDIW-ga, et võimaldada rahakotipidentiteedi omajuures integreerimist. See nõue kiirendab arendajatele saadaolevate integreerimisliidesete moderniseerimist.

Ettevõtetele, kes kaaluvad teenusepakkuja vahetamist selles kontekstis, migreerumine DocuSign-st või YouSign-st eIDAS 2 vastavale lahendusele on samm, mida tuleks ette näha juba praegu, mitte kiiruses 2027. aastal.

Isikuandmed ja eIDAS 2: artikuleerimine GDPR-iga

EUDIW kogub ja töödeleb identiteediandmeid, mis on isiku andmed. Määrus eIDAS 2 näeb sõnaselgelt ette (kaalutlus 11 ja artikkel 5 bis §14), et kogu mehhanism peab vastama GDPR-ile (määrus (EL) 2016/679). Mitu tähelepanu punkti:

• Selektiivsed tegevused: rahakott peab võimaldama kasutajal jagada ainult kandelepingute jaoks vajalikud atribuudid (minimeerimise põhimõte, art. 5(1)(c) GDPR). Lepingu allkirjastamiseks võib jagada ainult täisealiste kontrollimise, avaldamata täielikku sünnipäeva.
• Ülekanded väljaspool ELi: EUDIW raamistikus töödeldavaid identiteediandmeid ei tohi EEA-st väljaspoole kanda muul kui asjakohaseid garantiidega (art. 46 GDPR). Pakkujad, kes kasutavad USA pilveinfrastruktuuri, peavad dokumenteerima oma vastavuse.
• Allkirja logide säilitamine: allkirjatõendite arhiveerimine peab vastama dokumentide olemuse suhtes proportsionaalsele säilitusperioodile. Uus kvalifitseeritud arhiveerimisteenus eIDAS 2 pakub tehnilist raamistikku selle nõude täitmiseks.

Ettevõted, kes haldusvad rahvusvahelisi töölepinguid, on eriti GDPR/eIDAS 2 artikulatsiooni suhtes seotud, eriti kui allkirjastajad elavad väljaspool ELi.

Siirtumisele kohaldatav õiguslik raamistik eIDAS 1 kuni eIDAS 2

Võrdlusainete viited

Siirtamine tugineb tekstide kuhjumisele, mida on hädavajalik omandada:

Euroopa tasemel:

• Määrus (EL) nr 910/2014 (eIDAS 1): endiselt kehtib kuni selle järkjärgulisele eIDAS 2 poolt tunnistusele kehtetuseni. Määratleb kolm allkirja taseme (SES, AdES, QES) ja QTSP režiimi.
• Määrus (EL) 2024/1183 (eIDAS 2): jõustus 20. mail 2024. Muudab eIDAS 1 põhjalikult ilma seda kohe tunnistusele kehtetuks tegemata. Määrused EUDIW kohta kehtivad alates täitetavate aktide avaldamisest.
• Määrus (EL) 2016/679 (GDPR): kohaldub täielikult identiteediandmete töötlemisele EUDIW raamistikus ja allkirja protsessides. Artikkel 5 bis §14 eIDAS 2-st meenutuab seda sõltuvust selgesõnaliselt.
• Direktiiv (EL) 2022/2555 (NIS2): kehtestab raskendatud küberjulgeoleku kohustused QTSP-dele, nüüd klassifitseeritud olulisteks üksusteks. Transponeeritud Prantsusmaa õigusesse määrusega nr 2024-821 (20. juuni 2024) (dekretaaluse rakendamine on käimas).

Prantsusmaa tasemel:

• Tsiviilkoodeks, artiklid 1366 ja 1367: elektroonilistel kujul olevate kirjalike tõendite väärtuse alus. Artikkel 1366 määrab elektroniliste kirjade samaväärsuse paberiga tingimustel. Artikkel 1367 annab kvalifitseeritud allkirjale (QES) sama tõendusvälja kui käsitsi allkirjale.
• Dekreet nr 2017-1416 (28. september 2017): täpsustab elektrooníse allkirja kasutamise tingimusi eraõiguslike tehingutena. Jääb rakendatavaks üleminekuperioodil.
• Üldine turvalisuse viiteraamistik (RGS) v2: Prantsusmaa haldusasutustele peab RGS kasutama ANSSI poolt viidatud lahendusi. Selle uuendus eIDAS 2 integreerimiseks on oodatud 2026. aastal.

ETSI rakendatavad tehilised standardid

ETSI standardid moodustavad hierarhilise normatiivsuse taseme 3. Kehtivad praegused versioonid:

• EN 319 132-1/2: XAdES vorming (XML-i allkirjad)
• EN 319 122-1/2: CAdES vorming (CMS-i allkirjad)
• EN 319 142-1/2: PAdES vorming (PDF-i allkirjad)
• EN 319 401: üldised nõuded usaldustenuste pakkujatele
• EN 319 411-1/2: nõuded AC-dele, mis väljastada kvalifitseeritud sertifikaate

Need standardid parandatakse 2025. aasta lõpuks eIDAS 2 uute nõuete integreerumiseks. Lepingud QTSP-dega peaksid hõlmama uuendavate versioonide klauslit ilma lisakuluta.

Mittevastavuse juriidilised riskid

Allkiri, mille on väljastanud teenusepakkuja, kes ei oleks enam 2027. aastast alates akrediteeritud, ei kaotaks automaatselt juriidilist väärtust juba allkirjastatud dokumentides, kuid see ei kasutaks enam käsitsi allkirjaga samaväärsuse seaduslikku eeldustamist (art. 25 eIDAS). Tõendi koorem allkirja tervikluse ja allkirjastaja identiteedi osas jääks siis täielikult ettevõttele puhul kohtuvaidluse korral. See tõendirisk on eriti tundlik pikaajaliste dokumentide jaoks (5 aastat kaubanduses, 30 aastat kinnisvara õigustes).

Kasutamise stsenaariumid: kuidas organisatsioonid ette näevad eIDAS 2 siirtumist

Stsenaarium 1: 25-liikmelise advokaadibüroo dokumentide ratsionaalsus

Äriõigusele spetsialiseerunud advokaadibüroo, millel on umbes 25 töötajat ja märkimisväärne mandaatide, loovutamistoimikute ja kokkulepete allkirja toetamise tegevus, kasutas 2024. aastani lahendust täiustatud allkirja (AdES) kõikide oma töövoodes. eIDAS 2 kuulutamisel tegi büroo revideeria oma 1200 aastases dokumendis allkirjade arvu, et määrata need, mis nõuavad QES vastavalt tema barjaama uutele soovitustele.

Tulemus: 15% dokumentidest (umbes 180 aastas) klassifitseeriti ümber kvalifitseeritud allkirjale, mis võimaldas need dokumendid tõendusrezhiimi turvalisust. Büroo negotseeri oma allkirja toimetajaga klausli, mis garanteerib eIDAS 2 vastavuse täitetavate aktide avaldamisel, ilma lisakuluta. Allkirjastajate identiteedi kinnitamisega seotud administratiivne aeg vähenes 40% EUDIW integreerimise ette nägemise tõttu, mis on planeeritud 2026. aastaks.

Stsenaarium 2: 150-liikmelise tööstusettevõtte ahelallikas

Tööstusettevõte, mis haldab umbes 350 tarnija lepingut aastas — ostutellimiused, NDA-d, raamlepingud — töötas kahes eraldi allkirjalahenduses sisemiste ja väliste töövoode jaoks, luues tõendi auditi fragmenteerimise. eIDAS 2 siirtumise ja uute arhiveerimistehingute nõuete kontekstis otsustas IT juht ühendada oma platvormi.

Üleminek üksikule lahendusele, mis integreerib kvalifitseeritud elektroonikud arhiveerimine (tulevane eIDAS 2 kategooria), vähendasid PME turvalist salvestamist 30% ja konsolideerisid allkirja tõendid digitaalsesse ohutusse. Kogu dokumentatsiooni ahel on nüüd auditeeritav vähem kui 2 minutiga kontrolleri tasandil — tarnija kontrolliga seotud nõue, mis kasvavad nende tellija poolt autotööstuses.

Stsenaarium 3: umbes 600-kohalise haiglakompleksi EUDIW integreerimine

Avalik haiglagrupp kasutas kvalifitseeritud elektroonilist allkirja oma meditsiiniliste lepingute ja avalike hangetuste jaoks, vastavalt avalike ostu koodeksi nõuetele. eIDAS 2 puhul tuvastati IT teenus kahte prioriteetse küsimust: "France Identité" rahakoti tulevase integreerimise jaoks arstid, kes töötavad asutuses, ja tema QTSP NIS2 vastavus.

Haiglagrupp sisestas oma numbriahela direktori skeemi 2025-2028, konkreetse "eIDAS 2 vastavuse" partii, eelarveliste kuludega 45 000 eurot tehisintellekti migratsiooni ja töötajate koolituse jaoks. Eesmärk on aktsepteerida EUDIW-i kaudu allkirju juba rahvusliku juurutamise alustamisel plaanitakse november 2026, vähendades patsientarveteenuste lepingute negatiivseid aegu 3 päevast vähem kui 4 tunnini keskmiselt vastavalt saadaolevad sektori benchmarkid.

Järeldus

eIDAS 1 kuni eIDAS 2 üleminekul ei ole katkestus vaid struktureeritud areng, iga täpse ajakavaga, mis ulatub 2027. aastani. Elektroonsele allkirjale avalduvad mõjud on tegelikud — kvalifitseeritud teenuste laienemine, EUDIW juurdetulek, QTSP-le NIS2 nõuete karmenemine — kuid halditavad juhul, kui neid ette näha. Ettevõtted, kes tegutsevad praegu, kasutavad paindlikkust oma töövolude auditeerimiseks, lepingute teenusepakkujatega tagamiseks ja meeskonna koolitamiseks ilma regulatoorse kiiruse survel.

Certyneo toetab ettevõtteid selles üleminekus selge eIDAS 2 vastavuse tegevuskaavaga, allkirja vormingute hooldamisega ajakohaselt ja EUDIW integreerimiseks valmis arhitektuuriga. Valmis turvaliseks tegemiseks oma allkirjatöövood selles uues regulatoorses raamistikus? Avastage meie pakkumised ja alustage tasuta Certyneo-s.