eIDAS 2 vs eIDAS 1 : aldaketa nagusiak PME-entzat

Sarrera : zergatik eIDAS 2 aldatzen dute PME-entzat gauzak

2024ko maiatzaren 20tik, (EB) 2024/1183 araudia — normalean eIDAS 2 deitzen dena — indarrean sartu da, (EB) n° 910/2014 araudia (eIDAS 1) derogatu eta progresiboki ordezkatuz. PME frantsesarentzat, aldaketa honek ez da besterik gabe administratzio-eguneratze bat : identitate digitalen konfiantzaren mailak berreginten ditu, Europako identitate-boltsoa (EUDIW) sartu, konfiantzaren zerbitzuen hornitzaileen baldintzak gogorritzen ditu eta aitorturiko zerbitzuen eremua zabaltzen ditu. Artikulu honek puntuz puntu eIDAS 1 eta eIDAS 2 alderatzen ditu, PME txiki eta ertainen operatibitate-eragina identifikatzen du, eta 2026an betebehar-egilea mantentzeko ekintza-plana ematen dizu.

---

1. Gogorarazpena : eIDAS 1ek (2014-2024) zergintzen zuen

1.1 Hasierako araudia oinarrian zuten gaiak

2014ko uztailean hartu eta 2016ko irailean aplikagarri egin zena, eIDAS 1ek Europako identitate-digital konfiantzaaren espazioko lehen oinarria jartzen zuen. Hiru sinadura elektroniko kategoria sortu zuen — sinplea (SES), aurreratua (AdES) eta kalifikatua (QES) — eta kalifikatutako hornitzaileen konfiantzazko zerrenda sortu (Trusted List), Europako Batzordearen portalan kontsultagarria.

PME-entzat, eIDAS 1ak emandako aportazio nagusia sinadura kalifikatuen transfrontserraren aitorpena zen : frantses QESarekin sinatutako kontratua Alemania, Espaina edo Italiako lege aitorpena zen apostilu edo gainerako formalitaterik gabe. Printzipio honek — «ez-diskriminazio» deituak — Certyneok eta abalik egin duten zerbitzuen oinarria izan zen.

1.2 Identifikatutako mugak

Aurrerakuntzarik ez den arren, eIDAS 1ek 2021eko Europar Batzordearen ebaluazio-txostenak dokumentatutako zenbait hutsune zituen :

• Identitate-schemaren zatiketa : beren schemak jakinarazi zituzten eStatu bakarrik (FranceConnect+ maila substantziala bezala, adibidez) ziren elkarrekiko aitorpena onuratua. 2023an, 27 estatuetako 14ak besterik ez zuten bete diren schemak jakinarazi.
• Mobil natiboaren suportaren eza : sinadura-sortze dispositibo kalifikatua (QSCD) sarritan txartela edo hardware tresna beharko zuen, mobil-hartzea oztopatuz.
• Mugatutako konfiantzaren zerbitzuak : eIDAS 1ek kalifikatutako zerbitzuen bederatziko motak zerrendatzen zituen ; erabiltze-kasu berriak (e-arxibatza kalifikatua, atributuen kudeaketa) ez ziren araututa.
• Identitate-boltsaren batasun ezagatik : herritarra edo enpresa bakoitzak bere identifikadoreak silorean kudeatu behar zituen, beharrezko interoperabilitate gabe.

Mugak hauek Europar Batzordeari berrikusketa hastea bezalako 2020an, eIDAS 2 araudia amaitzea bezalako hiru urteko trilogoak.

---

2. eIDAS 2-ren bost aldaketa nagusiak PME-entzat

2.1 Europako identitate-boltsaren digitala (EU Digital Identity Wallet — EUDIW)

Araudiaren aldaketa ikusgarriena da. 2026ko azaroa (artikuluaren 5a-k finkatutako transposizio-epea) arte, herrialde-kide bakoitzak gutxienez boltsaren identitate digital bat ematen beharko du bere herritarren eta bertakoen. PME-entzat, aldaketa honek bi ondorio zuzena dauka :

1. Kliente eta kideen autentifikazioa sinplifikatua : boltsak atributu egiaztatua (adina, ITVaren barne-zenbakia, Kbis atea, datu bankario sertifikatua) partekatzea ahalbidetuko du zalantzarik gabe. Alemaniako partzaidearekin bilduma-itzuliaren akozioa bera-sortze-attributu profesionaletatik bere EUDIW-etik berrikusita sinatu ahal izango da.
2. Zenbait sektore hobetzeko obligazioa : plataforma handien online-zerbitzuak (45bis artikulua) eta zerbitzuen zerbitzuak EUDIW-a autentifikazio gisa onartzen beharko dute. PME-ak B2B portalak ematen dituztenak beuren autentifikazio-API-ak egokitu beharko dituzte.

2.2 Kalifikatutako konfiantzaren zerbitzuen zerrendaren hedadura

eIDAS 2ek kalifikatutako konfiantzaren zerbitzuen katalogoa 9etik 14 kategoriatara zabaltzen du. PME-entzat zuzenean beharra duten sarrera berriak hauek dira :

• Kalifikatutako elektroniko arxibatza (45septies art.) : aldi-batean kontserbatzea duen frogabide balio goiagoa. Orain arte, duten frogabidea duten arkibatza nazionalen erreferentzietan oinarritzen zen (Frantzian, SIAF/ANSSI erreferentziala) ; eIDAS 2k europako markoa harmonizatu du.
• Sinadura-sortze dispositibo kalifikatuen (RQSCD) urruneko kudeaketa : orain esplizitoki araututa, nube sinadura kalifikatuen solusioetan egon ziren anbiguotasunak aske utzi ditu. 50 langile duten PME bakarentzat, honek sinatadun sinadura kalifikatua lortzea esan nahi du token fisikorik gabe, tresna duen edozein lekutik.
• Kalifikatutako erregistro elektronikoen zerbitzua : blockchain edo teknologia-liburu zabalduaren oinarrian direnak orain kalifikatutako egoeran ditzakete, kontraktazioa kudeatzeko eredu berriak zabalduz.

Signature eta haien bide legalen mailen inguruko gehiago jakiteko, gure sinadura elektronikoen gida osoa kontsultatu.

2.3 Kalifikatutako zerbitzuen hornitzaileen (QTSP) segurtasun-baldintzak gogoratuz

eIDAS 2ek kalifikatutako konfiantzaren zerbitzuen hornitzaileen (QTSP) obligazioak gogoratzen ditu. Artikulu berritutakoak 24 batez bestean nola ematen dituzte :

• Ziber-segurtasunaren sertifikazioa Europako markoaren (SEB Cyber Security Act, 2019/881 araudia) arauan, ENISA-k garatzen ari diren sektore-schemak.
• Operatibitate-bizirik baldintzak gogorragoak : QTSP-ak orain beren ekintza-jarraipena plana dokumentatu eta beren nazionalen supervision-organoan (Frantzian, ANSSI kalifikatutako hornitzaileekin) aurkeztu beharko dute.
• Segurtasun-gertakizun jakinarazpenarako obligazioa 24 orduetan (NIS 2rekin egokitzapena).

Erabiltzaile PME-entzat, honek hornitzaile-hautatu prozesua kontutan hartzea ahalik handiena eguneratzen da : zure sinatza solusioa Europako Trusted List berrituan dagoen egiaztatzea orain zure erosketaren prozeso kritiko bat da. Gure sinadura elektronikoen solusio alderatua analisi honetan lagundu ditzake.

2.4 Identitate-schemaren interoperabilitate obligatoria

eIDAS 1 estatu-kideak beren schemak jakinaraztea edo ez baimena uzten zituen, eIDAS 2k online zerbitzuetan erabilitako identitate-schemaren jakinarazpen eta interoperabilitate obligatorioak egiten ditu (art. 5). Frantzia Identitate — Barneko Ministerioaren bidez hartutako nazionalen schemak — Batzordearen lehen doitutako eIDAS 2-ren espezialisazioekin jarraitua da, (EB) 2024/2977 exekuzio-araudi berrituan argitaratua.

Aldian-aldian administrazio publikoekin elkarlanean egiten duten PME-entzat (publiko-merkatu, tele-deklarazio fiskalak, duana-prozedurak), aldaketa honek errepide-zerbitzuak progresiboki osatuko direla esan nahi du Europako osoan eta aitortu identifikazioen zenbakiaren bueltatza.

2.5 Hornitzaileen erantzukizun eta supervision arauak berriak

eIDAS 2k hornitzaileen erantzukizun-arau (art. 13 berritua) eta estaltza zehaztu ditu. QTSP bat orain ez direla diren bere obligazioetan hutsegite bat direla aurrez dauden, ez da falta egon direla frogatzen ez bada. Prezuntzioa hori, eIDAS 1en aldean gogoratua, PME-ak bezalako gauza honek behartzen dituzte :

• Beren hornitzaile-hartzapenen (SLA, disponibilitate-froga, ordezten) kontratu bidez formalizatu.
• QTSP-aren ziber-erantzukizun aseguruaren estaltza egiaztatu.
• Sinadura-transaksioetan froga kontserbatu (oragatzen seinaleak, sinaduaren egiaztapen-txostenak).

Gure taldeak gida zehatz bat argitaratu duen sinadura elektronikoa enpresatan hauen aspektu kontraktualak zehar.

---

3. eIDAS 1 vs eIDAS 2 alderatze-taula : zertan aldatzen den konkretuago

3.1 Aldaketa nagusien laburpen

| Irizpidea | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Identitate-boltsaa | Ezina | EUDIW obligatorioa (herrialde-kideak) | | Kalifikatutako zerbitzuak | 9 kategoriak | 14 kategoriak (arxibatza, RQSCD, erregistroak…) | | Jakinarazpen-schemak | Aukera eragozagaria | Obligatorioa zerbitzuetan publikoetan | | QTSP-aren segurtzea | Common Criteria | Cyber Security Act + ENISA schemak | | QTSP-aren erantzukizuna | Partzial | Erantzukizun-aurresuposmena gogorratua | | Gertakizun-jakinarazpenen epea | Ez zehaztua | 24 orduak (NIS 2 egokitzapena) | | QSCD mobilean | Ambiguotasun legala | RQSCD esplizitoki araututa |

3.2 2026rako egunak-gaur oroitz beharrak

• 2024ko maiatza : (EB) 2024/1183 araudi-indarra sartzea.
• 2026ko azaroa : herrialde-kide bakoitzak gutxienez kalifikatutako EUDIW solusio bat ematea amaituaren data.
• 2027: plataforma handiekin (45bis art.) EUDIW autentifikazio gisa onartzen obligazioa.
• 2028: eIDAS 2 araketak (EUDIW-ren espezifikazio teknikoetan) egiaztatu aurrera.

PME zuk solusio batean datorren bidean doa, gure Certyneora migrazioaren eskainia eIDAS 2 bideratze-kontrol bat hartze sartu.

---

4. Praktikako ekintza-plana zure PME-a eIDAS 2-ren betebeharrean jartzen du

4.1 Zure dokumentu-fluxuak auditorium

Hasiera, dokumentazioaren prozesuak mapa txertatu dituzte orain sinadura elektronikoa edo identitate digitala erabiltzen den lekuetan : kontratuenak, enpresaren soldaketan datorren paperak, SEPA mandatuak, konfidentialitate-akordiak, RH aktuenak. Fluxu bakoitzerako, identifikatu :

• Erabilitako sinaduraaren maila (SES, AdES, QES).
• Honen hornitzailea eta bere legezko egoeran Trusted List-aren.
• Bide-kontsulta kontuan ezetik jasatzearen eraskitzaile asma-errazkoa.

Ikastaro honek ANSSI-k osatutako batugile-enpleguaren guidearekin hasierakoa da 2025eko martxoa argitaratua.

4.2 Zure sinadure solusioan gorakoa hartzea

Zure hornitzailea orain Trusted List eIDAS 2an ez badago edo RQSCDa ez badago oraindik, dago bestea zerbitzuen merkatu aldatzeko. Certyneo QTSP sertifikatua da hiru sinadure-maila (SES, AdES, QES) aurkezten eta bereziki eIDAS 2 bete-eskaerak sartzen ditu, batean kalifikatutako arxibatzaren eta dispositiboen kudeaketarik.

4.3 Zure taldeak trebakuntza eta zure kontratuak berritua

eIDAS 2 kalifikatutako sinaduraren denbora-baiagena finkotzen ditu baina baita ere dokumentazio-jardute onak ezarri. Zure taldeak juridiko eta administrarioak bermatzen dituzte :

• Badakite hiru sinadure-mailak eta besteko legezko baiagena desberdindu.
• Kontratuenan hornitzaileen eIDAS jardute klausulak egoki besartu.
• Sinaduaren egiaztapen-froga (baliazioa-txostena, orduak sertifikatua) kontserbatu legezko esparrua aplikagarrian (3 tik 10 urtera, jardute motaren arabera).

Ekintza hau egitu, gure sinadure elektronikoa ROI kalkulagailua likidazio-operatibetan irabaziak kuantifikatu ahalbidetuko dizu.

Aplikagarri legezko markoa

Erreferentzia testua

PME frantsearen eIDAS 2 betebeharrera ekintza legearen pila gainjartze normatibo batean sartzen da ezagutu beharrezko.

Europako Parlamentuaren eta Kontseilua (EB) 2024/1183 araudia («eIDAS 2» izena) : testu oinarrian dago, JOUE-n argitaratua 2024ko apirilaren 30ean. (EB) n° 910/2014 araudia uxatzen eta ordezkatzen du 2027aren hiru arte aldiz-aldiko enpleguaren kalendarion. Estatu-kideen guztian ematen da zuzenean, ez behar national transposizioa hartzeko eta bere legezko egitura.

(EB) n° 910/2014 araudia (eIDAS 1) : honen zenbait egitura aplikagarri dirautenak eIDAS 2ak aurreikusi dituen aldaketa-epeen, batean 2024ko maiatz baino lehen kalifikazioan lortutako hornetarako hornitzaileak eta besartu egiteko froga.

Frantsen Zibil-kodea, 1366 eta 1367 artikulua : 1366 artikulua elektronikoa eta papera idatzia artean berdintasunaren printzipioa jartzen du, baldintzarekin «noren iturburutik denean zer modutan identifikazioa eta bulego-emailea egitea argudiak duten kopresoaren eta jarraipena bereziastatu» . 1367 artikulua sinadure elektronikoa froga-modua aitortu dita, Estaturako Kontseiluak (1417ko 2017ko urriaren 28ko dekretua, kodifikatua Zibil-kode 1369-1 tik 1369-10 artikulua) ditzake arazoa.

Europako Parlamentuaren eta Kontseilua (EB) 2016/679 araudia (GDPR) : EUDIW enpleguaren eta identitate-atributuen sinadure elektronikoaren fluxuan sartzen dira pertsonartean datuak industriei orokorrean sentitu GDPR. PME-ek egiaztatu beharko dute haien QTSP sub-prozesagile erantzukizun jokatzen duten GDPR 28 artikulu arabera, datu-enpleguaren akordia (DPA) GDPR bete dituztela. CNIL 2026ko urtean EUDIW-GDPR integrazioan gomendio zehatza argitaratu duen.

Direktiba (EB) 2022/2555 (NIS 2) : eIDAS 2k zuzenean NIS 2n egokitzen da gertakizunaren jakinarazpen obligazioetan (eIDAS 2ko 24 art., §2 NIS 2 zehari xedapenak). QTSP-ak NIS 2 arabera «funtsezko» edo «garrantzitsuak» direla kontuan hartzean kalifikatu, eta sail batean badira segurtasun-ikasketa arruntak.

ETSI araudiak : sinadure elektroniko kalifikatuak ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) eta ETSI EN 319 102-1 (baliazioen prozeduran) dagoen araudian, ETSI TS 119 461 araudia kontala identitate-egiaztatzea (IDV), RQSCD batean nahiko temaile.

Legezko arriskuak ez-betearen kasuan

eIDAS 2rekin bete gabeko sinadura elektroniko solusio bat erabili PME-ak zenbait arriskuei izaiezarrera dituzte :

• Justizian ez-onarpen : juezak sinadure elektroniko bat errefusatu ditzake nive-egokitu den astea (adib. : sinadura sinplea aktu batean behar duen maila aurreratua edo kalifikatua).
• Kontraktazioa erantzukizuna : kontratua partaide bat-en kontestazionarekin sinaduraren nulearen argudian, PME-a identifikazio eskaeraten.
• GDPR santzionatukeak : hornitzaileak segurtasun hutsagatik datuen haustura kasuean, PME-a, elkarren arduradunak edo kalkulagailua, CNIL-etik sandatu datzakete osoa 4 % chiffre urtea (art. 83 §4 GDPR).

Konkretazioen erabiltze-eszenariak

Eszenatokia 1 : 80 langile industrialaren PME urte 400 hornedunak kontratuak

Metalurgia sektorearen PME urte batean gutxi gorabehera 400 hornedunak kontratuan itsuratzen dena 2024an sinadura elektroniko sinplearen solusio bat (SES) erabili zuen bere osoko enpleguetan, batean 50 000 €-ko gain kontratua biderkadak. EIDas 2-ren auditura ondoren, hartu zuen 35 % haien kontratua mailfaskatzeko aurreratua edo kalifikatua sinadure beharra zituzten justiziaren kontestazioaren bulego gabe, batean fede-enpresa erregina estatu kideenak.

Sinadure aurreratua (AdES) kontratuetan arruntak eta kalifikatua (QES) kontratuenak bulego berean eta kalifikatutako elektroniko arxibatzaren (eIDAS 2-ren zerbitzua berriak) gaitzeak aldatu gabe, PME-a murriztu egin zuen 70 % enpresaren denbora gehitu ondotik-sinaduraren kudeaketa (sailaketa, itzelina, kopieraketa zertifikatuak) eta eramana zero litistera sinaduraren kontestazio-balaraetako 18 egunetara, agindua biaren gehintzetara lehenago nola 18-tara.

Eszenatokia 2 : 15 enpleguaren abokatuen bulegoa

Kontseilu enpleguaren haut espezializatua, emitenta urtean batez batean 1 200 sinatutako aktuak (misioen letrak, mandatuak, konfidentialitate-akordiak), gastu handitzen aitorpen bere industrialaren bezeroentzako EB-ko aitorpen kalifikatuak sinaduerentzat. EIDAs 1 azpian, sertifikatuak baten adiskidea-aurrea edo sinestz video luzeak (45 tik 90 minutu erabiltzaileak).

RQSCD (Remote Qualified Signature Creation Device) eIDAS 2 arabera araututa, bulegoak sinadure kalifikatua enplegatu ahal izango ditu bere kolaboratore baten osoan astebete baino gutxiago, ETSI TS 119 461 araudia bat enrolatzeko prozedu urrunean. Adopzio-maila interna 40 % tik 95 % hartzera 3 astean, eta sinatutako aktu jarri itzulitzakoa batez bestean denbora 4,2 egunetik gutxiago 6 oratik bere bulegoarentzat neurriagatik.

Eszenatokia 3 : EU herrialditik hiru PME e-komertzioa

Online saltzen duten enpleguak 35 enpleguak eta Frantzian, Belgikan eta Herbehereak erabiltzen dituen enpleguak administrazio elektroniko akordio motzen kudeaketa behartu zuen : enplegatu kontratuak beren langile berentzat, partaideen bidenaparamentua transportaile sorta, eta SEPA mandatuak beren erabiltzaileek profesionalak. EIDAs 1 azpian herrialde-baldintzaren zatiketa-kudeaketa enpresarari sinadure fluxuen hiru desberdinen mantendu behartu zuen, batean 12 000 € urtean inguruan kudeaketa kostearekin.

Solusio bakarra eIDAS 2rekin bete — integratzea sinadure kalifikatuen elkarrekiko aitorpen herrialdi hiruetan — unifikatua fluxeak ahalbidetuko zuen, baimena kudeaketa kostuaren igoera 4 500 € urtean inguruan (ekonomia %62) eta ezabatu zalantzak manual sinadure etorri egiaztatzean bestalde zerbitzuaren.

Ondorioa

eIDAS 2ren aldaketa legezko-kosmatikoaren gogortasunez da : Europan zehar konfiantzaren digital osoa berreginten du hondoratzen. Frantsen PME-entzat, bost aldaketa nagusiek — EUDIW boltsaa, zerbitzuen kalifikatuaren hedadura, RQSCD, interoperabilitate obligatorioa eta erantzukizun gogoratua — baterean betebehar-egilea ekintza eta dokumentu-transformazioak bizkortzen duten aukeraren neurpen.

PME-ak datorren aldaketekin egungoan aurreikusi ditzakenak benetako lehia-abantaila izango dute : kontrata aitortu osoan EB-ko zalantzarik gabe, integratutako arxibatza-froga, eta prozesua sinadure guztizko desmaterializatua eta segurua.

Certyneo aldaketa honetarako arnastu dute. Hasi zure askea probatzen certyneo.com eta iradoki eIDAS 2-ren dokumentu-fluxuen auditura-egokiak.