رفتن به محتوای اصلی
Certyneo

eIDAS 2: آیین نامه جدید اروپایی در سال 2026 تشریح شده

آیین نامه eIDAS 2 قوانین هویت دیجیتالی در اروپا را برای سال 2026 بازتعریف می‌کند. آنچه برای کسب‌وکارها تغییر می‌کند و نحوه پیش‌بینی انطباق را کشف کنید.

Équipe éditoriale Certyneo11 دقیقه مطالعه

Équipe éditoriale Certyneo

نویسنده — Certyneo · درباره Certyneo

An aerial view of a large building with many windows

مقدمه: چرا eIDAS 2 برای کسب‌وکارهای اروپایی همه چیز را تغییر می‌دهد

آیین نامه eIDAS 2 — رسماً به عنوان Regulation (EU) 2024/1183 نام‌گذاری شده — که در 20 می 2024 به اجرا درآمد، پس از یک فرآیند تقنینی طولانی، یک بازسازی بسیار جسورانه در حوزه شناسایی الکترونیکی و خدمات اعتماد در اروپا را نشان می‌دهد. این آیین نامه را آیین نامه اولیه eIDAS سال 2014 (شماره 910/2014) را لغو و تا حدی جایگزین می‌کند، در حالی که سازگاری رو به عقب را با زیرساخت موجود حفظ می‌کند. برای کسب‌وکارهایی که از امضای الکترونیکی منطبق بر eIDAS استفاده می‌کنند، این بازساخت تعهدات جدید، فرصت‌های بی‌سابقه و برنامه زمانی انطباق محکمی را تا 2026 و به‌ترتیب معرفی می‌کند. این مقاله در عمق تشریح‌گرانه مفاد کلیدی متن، پیامدهای عملیاتی آن و نحوه آماده‌سازی سازمان شما را بررسی می‌کند.

---

آنچه آیین نامه eIDAS 2 به‌طور بنیادی تغییر می‌دهد

از آیین نامه 2014 تا نسخه 2024: بازساخت ساختاری

آیین نامه اولیه eIDAS سال 2014 مبانی شناسایی متقابل طرح‌های شناسایی الکترونیکی میان کشورهای عضو و چارچوب حقوقی یکپارچه‌ای برای خدمات اعتماد (امضا، مهر، مُهر زمان‌دار، و غیره) ریخته بود. اما ده سال بعد، کاستی‌ها واضح بود: نرخ پذیرش پایین eID اعلام‌شده، تکه‌تکه شدن محلول‌های ملی، عدم وجود کیف پول دیجیتالی جهانی برای شهروندان، و درواقع عدم تناسب با استفاده از وب (GAFAM از چارچوب اعتماد استثنا شده).

eIDAS 2 این کاستی‌ها را بر سه محور اصلی اصلاح می‌کند:

  1. کیف پول هویت دیجیتالی اروپایی (EUDI Wallet) — هر کشور عضو باید تا دیرترین تاریخ نوامبر 2026، یک برنامه کیف پول دیجیتالی ارائه دهد که به هر شهروند یا ساکن اروپایی اجازه می‌دهد خصوصیات هویتی خود (شناسنامه، گواهینامه رانندگی، مدارک، و غیره) را به‌طور ایمن ذخیره و ارائه کند.
  2. گسترش خدمات اعتماد واجد‌شرایط — متن خدمات واجد‌شرایط جدید را اضافه می‌کند: مدیریت آرشیو الکترونیکی واجد‌شرایط (QESAP)، گزارش‌های صفات هویت واجد‌شرایط (QEAA)، دفاتر حسابهای الکترونیکی واجد‌شرایط (QLED) و مدیریت دستگاه‌های ایجاد امضای راه دور واجد‌شرایط (QRCD).
  3. الزام برای بستانه‌های بزرگ — تامین‌کنندگان خدمات آنلاین در مقیاس بزرگ (شبکه‌های اجتماعی، بازارهای دیجیتالی) باید کیف پول EUDI را برای احراز هویت کاربران بپذیرند.

کیف پول EUDI Wallet: معماری و عملکرد

EUDI Wallet در قلب eIDAS 2 است. به صورت عملی، این یک برنامه نرم‌افزاری است — که توسط هر کشور عضو تحویل یا تصدیق شده — که بر پایه یک مدل غیرمتمرکز برای ارائه انتخابی صفات استوار است. کاربر فقط داده‌های کاملاً ضروری برای تراکنش را منتقل می‌کند (اصل کمینه‌سازی، منطبق بر GDPR).

از نقطه نظر تکنیکی، معماری بر پایه مشخصات Architecture Reference Framework (ARF) استوار است، که توسط کمیسیون اروپایی منتشر و به طور منظم توسط Large Scale Pilot (LSP) که چهار کنسرسیوم خلبانی (DC4EU، EWC، POTENTIAL، NOBID) را جمع‌آوری می‌کند، به‌روزرسانی می‌شود. فرمت‌های داده انتخاب‌شده عمدتاً ISO/IEC 18013-5 (mDL/mDocs) و W3C Verifiable Credentials هستند، که تعامل پذیری فراملی را تضمین می‌کنند.

برای کسب‌وکارها، این بدان معنی است که آن‌ها می‌توانند، در نهایت، هویت مشتریان یا شرکای خود را از طریق کیف پول بدون مدیریت خود جمع‌آوری اسناد تأیید کنند — بدین ترتیب می‌تواند به‌طور قابل‌توجهی اصطکاک KYC (شناخت مشتری خود) و خطرات تقلب سند را کاهش دهد.

---

سطوح تضمین و سلسله‌مراتب امضا: آنچه تغییر می‌کند

حفظ سلسله‌مراتب QES / AdES / SES

رژیم امضای الکترونیکی به‌دور سه سطح ساختاربندی‌شده باقی می‌ماند که در ماده 3 eIDAS 2 تعریف‌شده‌اند (اصطلاح‌شناسی 2014 را تکرار می‌کند اما الزامات فنی را روشن می‌کند):

  • امضای الکترونیکی ساده (SES): ارزش اثبات کمینه، مناسب برای اقدامات معمول.
  • امضای الکترونیکی پیشرفته (AdES): پیوند انحصاری به امضا‌کننده، امکان تشخیص هرگونه تغییر بعدی.
  • امضای الکترونیکی واجد‌شرایط (QES): معادل حقوقی امضای دستی در تمام اتحادیه اروپایی (ماده 25§2)، صادر شده از طریق دستگاه واجد‌شرایط ایجاد امضا (QSCD) براساس گواهینامه واجد‌شرایط.

نوآوری در نحوه ارائه QES از طریق خدمات امضای راه‌دور واجد‌شرایط (QRCD) است، شرایط تصدیق‌شان در مواد 29a و 29b متن بازنگری‌شده تشریح‌شده است. این راه را برای جریان‌های 100٪ دیجیتالی برای اقدامات بسیار نیازمند — قرارداد‌های کاتب، اقدامات الکترونیکی احراز — بدون نیاز به کارت هوشمند فیزیکی باز می‌کند.

تأثیر بر تامین‌کنندگان خدمات اعتماد واجد‌شرایط (QTSP)

تامین‌کنندگانی مانند Certyneo، که بر مبنای QTSP تصدیق‌شده عمل می‌کنند، باید الزامات حسابرسی جدید معرفی‌شده توسط eIDAS 2 را پیش‌بینی کنند. ماده 24 اکنون کنترل‌های تقویت‌شده بر سلسله‌مراتب انقطاع‌دهندگی و الزامات اطلاع از حوادث امنیتی را به‌طور صریح با آنچه در دستورالعمل NIS2 است، تراز می‌کند (مهلت 24 ساعت برای اطلاع اولیه). برای درک عمیق‌تر عملکرد سطوح مختلف امضا در زمینه B2B، لطفاً راهنمای جامع امضای الکترونیکی در شرکت را مطالعه کنید.

---

برنامه زمانی توسعه و الزامات کسب‌وکار در 2025-2026

مراحل کلیدی توسعه

Regulation (EU) 2024/1183 در روزنامه رسمی اتحادیه اروپایی در تاریخ 30 آوریل 2024 منتشر و در 20 می 2024 به اجرا درآمد. اقدامات اجرایی و تفویض‌شده — ضروری برای روشن‌سازی الزامات فنی — به‌طور تدریجی منتشر می‌شوند:

| مهلت زمانی | الزام | |---|---| | می 2024 | اجرای آیین نامه | | پایان 2024 | انتشار اقدامات اجرایی بر روی ARF v2.0 | | میانی 2025 | تصدیق اولین کیف‌های EUDI پایلوت | | نوامبر 2026 | دسترسی اجباری به کیف پول EUDI در هر کشور عضو | | 2027 | قبول اجباری توسط بستانه‌های بزرگ آنلاین |

آنچه کسب‌وکارهای B2B باید اکنون انجام دهند

برای کسب‌وکارهای کاربر راه‌حل‌های امضای الکترونیکی، سه اولویت در 2025-2026 ضروری است:

1. حسابرسی سلسلة اعتماد خود: تأیید اینکه تامین‌کننده آنها در لیست QTSP (Trusted List) کشور خود قرار دارد و اینکه گواهینامه‌های استفاده‌شده متطابق با مشخصات ETSI EN 319 401 و EN 319 411-1 بازنگری‌شده هستند.

2. پیش‌بینی ادغام کیف پول EUDI: کسب‌وکارهایی که در بخش‌های تنظیم‌شده کار می‌کنند (بانکداری، بیمه، بهداشت، املاک) میان اولین‌های مربوط به جریان‌های تأیید هویت از طریق کیف پول خواهند بود. آماده‌سازی API ادغام از 2025 پیشنهادی است.

3. بازبینی سیاست‌های نگهداری خود: خدمات واجد‌شرایط آرشیو الکترونیکی جدید (QESAP) استانداردهای حفاظت دراز مدت را معرفی می‌کند که می‌تواند در بخش‌های خاص (تدارکات عمومی، بخش دارویی) الزام‌آور شود. ماشین حساب ROI برای امضای الکترونیکی ما شما را قادر می‌سازد تأثیر مالی یک بازنگری در زیرساخت سند خود را ارزیابی کنید.

---

تعامل پذیری، GDPR و نکات اهمیت حاکمیت دیجیتالی

eIDAS 2 و GDPR: تکمیل تقویت‌شده

یکی از پیشرفت‌های اصلی eIDAS 2 ادغام صریح اصول حفاظت داده‌ها از طریق طراحی (privacy by design) در معماری کیف پول EUDI است. ماده 5a§14 تصریح می‌کند که کیف پول به‌دنبال رفتار کاربر در طول تراکنش‌ها نمی‌تواند باشد. منتشرکنندگان خصوصیات هویت واجد‌شرایط (QEAA) در مورد استفاده‌ای که از اعتبارنامه‌های صادرشده انجام می‌شود آگاه نمی‌شوند — که نقطه شکست بسیار مهمی با مدل‌های متمرکز فعلی را نشان می‌دهد.

این معماری unlinkability (عدم‌تعلق) نام‌گذاری می‌شود: دو تراکنش متفاوت توسط همان کاربر انجام‌شده بدون رضایت وی نمی‌تواند مرتبط شود. این تضمین الزامات کمینه GDPR را فراتر می‌رود، در حالی که کاملاً با آن منطبق است.

بُعد ژئوپلیتیکی: بازگرفتن کنترل بر هویت آنلاین

eIDAS 2 همچنین به مسئلة حاکمیت پاسخ می‌دهد. امروز، احراز هویت آنلاین بسیار بر دکمه‌های «ورود با Google/Facebook/Apple» متکی است، که غول‌های تکنولوژیکی آمریکایی را در مدیریت هویت دیجیتالی اروپایی در موقعیت غالب قرار می‌دهد. با فرض بر بستانه‌های بسیار بزرگ (به معنای Digital Services Act) پذیرش کیف پول EUDI به عنوان وسیله احراز هویت، eIDAS 2 گزینة متعامل و حاکی‌ایت را ایجاد می‌کند.

برای کسب‌وکارهای B2B، این همچنین بدان معنی است که انطباق eIDAS 2 می‌تواند معیار انتخاب تامین‌کننده در درخواست‌های عمومی و خصوصی اقتصادی شود — به شیوة چیزی که امروزه تصدیق ISO 27001 نشان می‌دهد درفرآیند خریدهای. اگر سازمان شما قصد تکامل راه‌حل فعلی خود را دارد، راهنمای مهاجرت از DocuSign یا YouSign به Certyneo ما مراحل انتقال کنترل‌شده را شرح می‌دهد.

چارچوب حقوقی قابل اجرا بر eIDAS 2 و امضای الکترونیکی

متون مرجع

Regulation (EU) 2024/1183 of the European Parliament and of the Council از 11 آوریل 2024، تعدیل Regulation (EU) n°910/2014 درباره تأسیس چارچوب اروپایی مربوط به هویت دیجیتالی (eIDAS 2). منتشر شده در JOEU در 30 آوریل 2024، به اجرا درآمده در 20 می 2024.

Regulation (EU) n°910/2014 (eIDAS 1): برای مفاد غیرتعدیل‌شده خود درباقی، به ویژه مواد مربوط به سطوح تضمین «ضعیف»، «اساسی» و «قوی» برای طرح‌های شناسایی اطلاع‌رسانی‌شده.

Code civil français، مواد 1366 و 1367: متن الکترونیکی مانند متن کاغذی ارزش اثباتی یکسانی دارد مشروط‌بر اینکه فردی که از آن سرچشمه می‌گیرد، به‌درستی شناخته‌شده و سند در شرایطی تهیه‌شده باشد که کاملیت آن را تضمین کند. امضای الکترونیکی واجد‌شرایط (QES) به معنای eIDAS 2 این الزامات را به‌طور کامل برآورده می‌کند.

Regulation (EU) 2016/679 (GDPR): پردازش داده‌های هویت در زمینه کیف پول EUDI نسبت به اصول کمینه‌سازی (مادة 5§1c)، محدودیت هدف (مادة 5§1b) و حفاظت اطلاعات از آغاز طراحی (مادة 25) تابع است. تامین‌کنندگان واجد‌شرایط صفت مسئولان پردازش متمایز را برای عملیات تأیید انجام می‌دهند.

Directive (EU) 2022/2555 (NIS2): انتقال‌یافته در قانون فرانسوی توسط ordonnance n°2024-528 از 12 ژوئن 2024، الزام بر تامین‌کنندگان خدمات اعتماد واجد‌شرایط برای الزامات مدیریت خطر سایبری و اطلاع‌رسانی حوادث در 24 ساعت را اعمال می‌کند.

استانداردهای ETSI:

  • EN 319 132 (XAdES) و EN 319 122 (CAdES): فرمت‌های پیشرفته امضای الکترونیکی.
  • EN 319 401: الزامات کلی برای تامین‌کنندگان خدمات اعتماد.
  • EN 319 411-1 و 411-2: سیاست و الزامات امنیتی برای اختیارات تاریخی (CA) صادرکننده گواهینامه‌های واجد‌شرایط.
  • EN 319 521: الزامات برای خدمات واجد‌شرایط حفاظت امضا (QESAP).

الزامات و خطرات حقوقی برای کسب‌وکارها

هر کسب‌وکاری که امضای الکترونیکی را در زمینه قراردادی به‌کار می‌برد، باید اطمینان یابد که سطح امضای انتخاب‌شده متناسب با ارزش و طبیعت عمل است. برای اقداماتی که الزام حقوقی امضا را تحمل می‌کنند (قول‌های فروش، قرارداد‌های کار، سفارشات خریدی فراتر از آستانه‌های خاص)، تنها QES یا AdES براساس گواهینامة واجد‌شرایط، فرض قابل‌اعتماد‌سازی منظور در ماده 26 eIDAS 2 را فراهم می‌کند.

در صورت اختلاف، بار اثبات معکوس می‌شود: اگر امضا واجد‌شرایط باشد، مسئولیت طرفی که سند را مخالفت می‌کند در اثبات تغییر آن است؛ اگر ساده یا پیشرفته بدون گواهینامة واجد‌شرایط باشد، بار اثبات بر امضا‌کننده می‌افتد که آن را استناد می‌کند. عدم رعایت الزامات ردیابی و کاملیت می‌تواند منجر به بطلان عمل یا عدم‌قابل‌مخالفت امضا با ثالث شود.

حالت‌های استفاده: eIDAS 2 در کسب‌وکارهای B2B اجرایی

حالت 1 — یک دفتر مشاوره تحول دیجیتالی (حدود 80 مشاور)

یک ساختار مشاوره که مشاوران خود را در مشتریان در چند کشور عضو (فرانسه، آلمان، هلند) استقرار می‌دهد، باید هر ماه سفارشات ماموریت، تعدیل قرارداد و صورتجلسات پذیرش را امضا کند. پیش از eIDAS 2، مدیریت هویت فراملی اصطکاک ایجاد می‌کرد: امتناع برخی مشتریان آلمانی به شناخت گواهینامه‌هایی که توسط QTSP فرانسوی صادر شدند، احراز هویت دوگانه توسط ایمیل برای اقدامات حساس ناکافی بود.

با استقرار کیف پول EUDI در 2026، مشاوران می‌توانند از کیف پول ملی خود امضا کنند — که در تمام کشورهای عضو بدون هیچ اصطکاک تشخیص داده می‌شود. دفتر مشاوره کاهش 60 تا 70 درصد در زمان اختصاص داده‌شده برای تبادلات تأیید اسناد پیش از امضا را تخمین می‌زند، یعنی تقریباً 3 تا 4 ساعت درحسابر مشاور و در ماه برطبق benchmark‌های بخشی منتشرشده توسط McKinsey Digital (2024).

حالت 2 — یک SME صنعتی مدیریت 350 قرارداد تامین‌کننده بر سال

یک SME در بخش تجهیزات صنعتی، کار با صد تامین‌کننده اروپایی و آسیایی، باید قرارداد‌سازی سفارشات، توافق‌نامه‌های محرمانگی (NDA) و قرارداد‌های چارچوب را انجام دهد. تا کنون، 30 درصد این اسناد بدون امضای معتبر یا با تأخیر فراتر از 10 روز کاری برگشت داده می‌شدند.

با تصرفِ یک راه‌حل امضای الکترونیکی منطبق بر eIDAS 2 با تأیید هویت توسط صفات واجد‌شرایط (QEAA)، SME می‌تواند جریان امضای اجباری کند که هویت نماینده قانونی تامین‌کننده توسط کیف پول EUDI خودکار تأیید‌شود، بدون ورود دستی. نتیجة موردانتظار: کاهش میانگین تأخیر امضا از 10 روز به کمتر از 48 ساعت، و کاهش 40 درصدی اختلافات مربوط به امضاهای غیرمنطبق، بر اساس محدودة مشاهده‌شده در گزارش‌های ELENIUS 2025 بر دماتریالیزاسیون B2B.

حالت 3 — یک گروه املاکی مدیریت مصالحه فروش در چند کشور

یک شبکة دفاتر امکانات واقع‌بینانه در فرانسه، اسپانیا و پرتغال، باید به طور منظم قبل از قراردادهای بین فروشندگان و خریداران با تابعیت‌های متفاوت امضا کند. QES در برخی موارد برای تضمین هم‌ارزی با امضای دستی جلوی کاتب یا نماینده مورد نیاز است.

با لطف eIDAS 2 و تعامل پذیری کیف‌های EUDI، یک خریدار پرتغالی می‌تواند مصالحه‌ای منطبق بر حقوق فرانسوی را با استفاده از کیف پول ملی خود امضا کند، با سطح تضمین «قوی» که خودکار توسط پلتفرم امضا شناخته‌شود. گروه تقریباً 800 تا 1200 یورو برای هر پرونده فراملی سفر و قانونی کاهش می‌دهد، در حالی که تأخیر نهایی‌شدن قبل‌قراردادها را از 3 هفته به میانگین 5 روز کاهش می‌دهد. برای استفادة خاص بخش، صفحة اختصاصی

Certyneo را به صورت رایگان امتحان کنید

اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.

عمیق‌تر شدن در موضوع

راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.

团体 Certyneo

سوالی در مورد امضای الکترونیکی دارید؟

انضم به جامعه Certyneo: سوالات خود را پرسیدید، پاسخ‌ها خود را به اشتراک بگذارید و با هزاران کاربران و تیم ما در ارتباط باشید.