رفتن به محتوای اصلی
Certyneo

انتقال eIDAS 1 به eIDAS 2: تأثیرات بر امضای الکترونیکی در سال 2025

مقررات eIDAS 2 قوانین امضای الکترونیکی را در اروپا به طور عمیقی تغییر می‌دهد. تغییرات کلیدی، زمان‌بندی اجرای قانون و اقدامات لازم را کشف کنید.

Équipe éditoriale Certyneo11 دقیقه مطالعه

Équipe éditoriale Certyneo

نویسنده — Certyneo · درباره Certyneo

در 20 می 2024، مقررات (اتحادیه اروپا) 2024/1183 — که معمولاً eIDAS 2 نامیده می‌شود — در روزنامه رسمی اتحادیه اروپا منتشر شد و مقررات شماره 910/2014 (eIDAS 1) را تدریجی‌طور منسوخ کرد. این متن نمایندگی‌ترین اصلاح هویت دیجیتال و امضای الکترونیکی در اروپا از سال 2016 تا کنون است. برای شرکت‌های فرانسوی که از راه‌حل‌های امضای الکترونیکی در گردش‌های کاری قراردادی استفاده می‌کنند، انتقال یک رسم‌الشرع نیست: این شامل تنظیمات فنی، حقوقی و سازمانی است که افق آن تا 2026 و بیشتر امتداد یافته است. درک انتقال eIDAS 1 به eIDAS 2 و تأثیر آن بر امضای الکترونیکی در سال 2025 بنابراین برای مدیران حقوقی، DSI و DRH یک اولویت شده است. این مقاله تحول‌های بنیادی چارچوب، برنامه زمانی دقیق انتقال و اقدامات عملی برای باقی ماندن در انطباق را تفسیر می‌کند.

چه چیزی در مقررات eIDAS 2 به طور بنیادی تغییر می‌کند

از مقررات 2014 به بازسازی 2024: چرا اصلاح ضروری بود

eIDAS 1 سنگ‌های بنیادی تشخیص متقابل امضای الکترونیکی را در اتحادیه اروپا گذاشت. سه سطح سلسله‌مراتبی — ساده (SES)، پیشرفته (AdES) و معتبر (QES) — ارزش اثباتی امضاها را ساختار‌بندی می‌کردند که به فهرست ارائه‌دهندگان خدمات قابل اعتماد (TSL) تکیه داشتند. اما در ده سال، دو شکاف اساسی آشکار شد.

اولاً، مقررات اصلی اساساً برای روابط با ادارات دولتی (G2B، G2C) اعمال می‌شد. این تعهدات مستقیمی را در معاملات خصوصی (B2B، B2C) ایجاد نکرد و یک خلأ نظارتی را رها کرد که هر کشور عضو آن را به روش‌های ناهمگون پر کرد. دوماً، رشد قدرتمند خدمات دیجیتال — برنامه‌های تلفن‌ همراه، بانکداری باز، تله‌طب — فقدان یک سیستم هویت دیجیتال قابل انتقال و بین‌القاره‌ای در سطح قاره را آشکار کرد.

eIDAS 2 به این دو چالش پاسخ می‌دهد با معرفی کیف‌پول هویت دیجیتال اروپایی (EU Digital Identity Wallet, EUDIW) و گسترش دامنه خدمات قابل اعتماد به موارد استفاده جدید: بایگانی الکترونیکی معتبر، گواهی‌های ویژگی‌های معتبر، رجیستری‌های الکترونیکی معتبر (از جمله برنامه‌های بلاک‌چین معتبرشده).

دسته‌های جدید خدمات قابل اعتماد معتبر

مقررات eIDAS 2 فهرست خدمات قابل اعتماد معتبر (مقالات 3 و ضمیمه IV تجدیدشده) را گسترش می‌دهد. غیر از امضاها، مهرهای الکترونیکی و مهرزمان‌های معتبری که قبلاً توسط eIDAS 1 شناخته شده‌اند، اکنون معتبر هستند:

  • خدمات بایگانی الکترونیکی معتبر (مقاله 34 بیس): تعهد به حفظ یکپارچگی و خوانایی اسناد امضاشده در طول مدت زمان طولانی‌مدت، با الزامات تقویت‌شده برای ارائه‌دهندگان (QTSP).
  • خدمات مدیریت وسایل ایجاد امضای دور معتبر (QRCD): نظارت تقویت‌شده بر راه‌حل‌های امضای دور از طریق HSM (ماژول امنیت سخت‌افزار) ابری.
  • گواهی‌های ویژگی‌های معتبر: مکانیسمی که به طرف سوم قابل اعتماد اجازه می‌دهد ویژگی‌های یک نهاد را تصدیق کند (مثلاً صفت وکیل، وضعیت پزشک) بدون آشکار کردن کل هویت.
  • رجیستری‌های الکترونیکی معتبر: تشخیص رجیستری‌های توزیع‌شده تحت شرایط سختگیرانه قابلیت حسابرسی و انعطاف‌پذیری.

برای کاربران راه‌حل‌های امضای الکترونیکی، این گسترش بدان معناست که خدمات قابل اعتماد معتبر موجود در بازار متنوع‌تر می‌شوند و معیارهای انتخاب ارائه‌دهنده (QTSP) باید این توانایی‌های جدید را ترکیب کند.

EUDIW: کیف‌پول هویت دیجیتال به عنوان زیرساخت امضا

نوآوری دیده‌شونده‌ترین eIDAS 2 همچنان EUDIW است. هر کشور عضو باید برای شهروندان و ساکنان خود یک کیف‌پول هویت دیجیتال رایگان، بین‌القاره‌ای با تمام کشورهای دیگر عضو، در دسترس قرار دهد تا 26 نوامبر 2026 (مهلت انطباق ملی با توجه به مقالات 5 بیس). این کیف‌پول اجازه خواهد داد:

  • کاربر را با سطح تضمین بالا (LoA High) بدون متوسل شدن به ارائه‌دهنده شخص‌ثالث تایید کند؛
  • اسناد الکترونیکی با ارزش معتبر (QES) را مستقیماً از کیف‌پول امضا کند؛
  • ویژگی‌های هویت انتخابی (disclosure انتخابی) را به اشتراک بگذارد، بنابراین اصل کمینه‌سازی داده‌های RGPD را رعایت کند.

برای شرکت‌ها، EUDIW از نظر تئوری رویه‌های تایید هویت پیش از امضای معتبر را ساده می‌کند و اصطکاک ویدیویی‌شناسایی یا شناخت روبه‌رو را حذف می‌کند. در عمل، تأثیر به سرعت استقرار ملی بستگی دارد — فرانسه در سال 2025 یک آزمایش‌کاری پایلوت در چارچوب برنامه "France Identité" راه‌اندازی کرده است.

برنامه زمانی دقیق انتقال از eIDAS 1 به eIDAS 2

سنگ‌های میل‌شامل انطباق برای دانستن

مقررات 2024/1183 در 20 می 2024 لازم‌الاجرا شد، اما اجرای آن تدریجی است. در اینجا سررسیدهای اساسی آمده است:

| تاریخ | رویداد | |------|----------| | 20 می 2024 | انتشار در JOUE، لازم‌الاجرای رسمی | | 20 نوامبر 2024 | مهلت 6 ماه برای تصویب اقدامات اجرایی توسط کمیسیون (مشخصات فنی EUDIW) | | پایان 2025 | انتشار استانداردهای ETSI تجدیدشده (EN 319 411-1/2, EN 319 401) ترکیب‌کننده الزامات eIDAS 2 | | 26 می 2026 | مهلت نهایی برای انطباق کشورهای عضو در دسته‌های جدید خدمات معتبر | | 26 نوامبر 2026 | تهیه اجباری EUDIW توسط هر کشور عضو | | 2027-2028 | بازنگری کامل فهرست‌های اعتماد ملی (TSL) و اعتماد‌دهی QTSP های جدید |

eIDAS 1 معتبر باقی می‌ماند و امضاهای صادر شده تحت نظام آن ارزش حقوقی کامل خود را حفظ می‌کنند. هیچ تعهدی برای دوباره‌امضا‌کردن اسناد موجود وجود ندارد. درعوض، ارائه‌دهندگان خدمات قابل اعتماد معتبر باید مجوز خود را بر اساس استانداردهای فنی جدید تا سال 2027 تجدید کنند.

آنچه تغییر نمی‌کند و آنچه باید نظارت کنید

تداوم یک اصل کاردینالی انتقال است. سه سطح امضا (SES، AdES، QES) با تعریفات بدون تغییر حفظ می‌شوند. فرض برابری با امضای دستی پیوست شده به QES (مقالات 25 eIDAS 1، تکرار شده در مقالات 27 eIDAS 2) در جریان باقی می‌ماند. ارزش اثباتی امضای الکترونیکی فعلی شما تحت سؤال نیست.

آنچه باید نظارت کنید: اقدامات اجرایی (implementing acts) منتشر شده توسط کمیسیون اروپایی در طول 2025-2026 مشخصات فنی دقیق EUDIW و دسته‌های جدید خدمات را تعیین خواهند کرد. این متون سطح 2 اهمیت عملی قابل‌توجهی برای یکپارچگی‌کنندگان و ویرایشگران نرم‌افزار دارند. برای شرکت‌هایی که از امضای الکترونیکی در فرآیندهای منابع انسانی خود استفاده می‌کنند یا حقوقی، توصیه می‌شود از ارائه‌دهنده درخواست نقشه راه انطباق eIDAS 2 کند.

تأثیر عملی بر شرکت‌ها و راه‌حل‌های امضای آن‌ها

کدام گردش‌های کاری از نظر اولویت مربوط می‌شوند؟

انتقال از eIDAS 1 به eIDAS 2 تأثیر یکسانی بسته به سطح امضای استفاده‌شده ندارد. برای شرکت‌ها، سه وضعیت متمایز است:

امضای الکترونیکی ساده (SES): برای اصلاحات کم‌ارزش، گواهی دریافت، فرم‌های داخلی استفاده می‌شود. هیچ تعهد بروزرسانی فوری ندارد. قوانین اثباتی توسط قانون مدنی (مقالات 1366-1367) و نه مستقیماً توسط eIDAS حکومت می‌شود.

امضای الکترونیکی پیشرفته (AdES/AdESQC): شرکت‌هایی که از راه‌حل‌های B2B برای قرارداد‌های تجاری، قرارداد‌های کار الکترونیکی یا اقدامات املاکی استفاده می‌کنند باید تصدیق کنند که ارائه‌دهنده آنها انطباق را با استانداردهای ETSI EN 319 132 (XAdES)، EN 319 122 (CAdES) و EN 319 142 (PAdES) در نسخه‌های تجدیدشده برای eIDAS 2 حفظ می‌کند. این استانداردها توسط ETSI تا پایان 2025 منتشر خواهند شد.

امضای الکترونیکی معتبر (QES): ارائه‌دهندگان معتبر (QTSP) باید به مجوز جدید eIDAS 2 برسند. دوره انتقالی مهلت معقول را منحصر می‌کند (تا 2027)، اما فراخوان پیشنهادی در 2025 باید یک شرط انطباق eIDAS 2 را در معیارهای انتخاب ترکیب کند. برای سازمان‌هایی که گزینه‌های دسترس‌پذیر را مقایسه می‌کنند، مقایسه راه‌حل‌های امضای الکترونیکی اجازه می‌دهد بلوغ ویرایشگران را در این موضوع ارزیابی کنید.

الزامات جدید برای ارائه‌دهندگان خدمات قابل اعتماد معتبر (QTSP)

eIDAS 2 الزامات قابل اجرا برای QTSP‌ها را در سه نقطه اساسی سختتر می‌کند:

  1. امنیت سیستم‌ها: انطباق الزامی با NIS2 (دستورالعمل (اتحادیه اروپا) 2022/2555) برای QTSP‌ها، اکنون به عنوان نهادهای ضروری طبقه‌بندی‌شده. این موارد با اطلاع‌رسانی حوادث در 24 ساعت، حسابرسی‌های امنیتی سالانه و اجرای طرح‌های تداوم تجارت ترجمه می‌شود.
  1. مسئولیت تقویت‌شده: مقالات 13 eIDAS 2 رژیم مسئولیت QTSP‌ها را گسترش می‌دهد. در صورت خلاف اثبات‌شده، بار اثبات معکوس شده است: ارائه‌دهنده باید نشان دهد که بی‌احتیاطی مرتکب نشده، نه برعکس.
  1. بین‌القاره‌ای بودن الزامی: QTSP‌ها باید API‌های استاندارد‌شده سازگار با EUDIW را آشکار کنند تا یکپارچگی بومی کیف‌پول‌های هویت را فعال کنند. این الزام مدرنیزاسیون رابط‌های یکپارچگی دسترس‌پذیر برای توسعه‌دهندگان را شتاب خواهد داد.

برای شرکت‌هایی که در این زمینه تغییر ارائه‌دهنده را در نظر می‌گیرند، انتقال از DocuSign یا YouSign به راه‌حلی متطابق با eIDAS 2 یک دستور کاری است که شایسته انتظار فوری است تا در اضطراری در سال 2027.

داده‌های شخصی و eIDAS 2: مقاله‌گی با RGPD

EUDIW داده‌های هویت اجتماع‌شخصی را جمع‌آوری و پردازش می‌کند. مقررات eIDAS 2 به‌طور صریح (ملاحظات 11 و مقالات 5 بیس §14) را فراهم می‌کند که کل ابزار باید متطابق با RGPD (مقررات (اتحادیه اروپا) 2016/679) باشد. چندین نقطه توجه:

  • Selective disclosure: کیف‌پول باید به کاربر اجازه دهد تنها ویژگی‌های اضافی‌شده برای معامله را به اشتراک بگذارد (اصل کمینه‌سازی، مقالات 5(1)(c) RGPD). برای امضای قرارداد، تنها تایید بزرگ‌سالی را می‌توان به اشتراک گذاشت بدون آشکار کردن تاریخ تولد کامل.
  • انتقالات خارج اتحادیه: داده‌های هویت پردازش‌شده در چارچوب EUDIW را نمی‌توان خارج از فضای اقتصادی اروپایی تنها با تضمین‌های مناسب منتقل کند (مقالات 46 RGPD). ارائه‌دهندگانی که زیرساخت‌های ابری آمریکایی را استفاده می‌کنند باید انطباق خود را مستندسازی کنند.
  • حفظ گزارش‌های امضا: بایگانی شواهد امضا باید مدت نگهداری متناسب با ماهیت سند را رعایت کند. خدمات بایگانی معتبر جدید eIDAS 2 یک چارچوب فنی برای پاسخ به این الزام ارائه می‌دهد.

شرکت‌های مدیریت قرارداد‌های کار بین‌المللی از نظر خاص توسط این تاریخچه RGPD/eIDAS 2 برگرفته‌اند، به‌خصوص زمانی که امضاکنندگان خارج از اتحادیه اروپا ساکن باشند.

چارچوب حقوقی قابل‌اجرا برای انتقال از eIDAS 1 به eIDAS 2

متون مرجع

انتقال بر روی انباشت متون است که ضروری است که بر آن‌ها مسلط باشید:

در سطح اروپایی:

  • مقررات (اتحادیه اروپا) شماره 910/2014 (eIDAS 1): تا سال اش منسوخ‌شده توسط eIDAS 2 در جریان است. سه سطح امضا (SES، AdES، QES) و رژیم QTSP‌ها را تعریف می‌کند.
  • مقررات (اتحادیه اروپا) 2024/1183 (eIDAS 2): در 20 می 2024 لازم‌الاجرا شد. eIDAS 1 را بدون فسخ فوری به‌طور قابل‌توجهی تغییر می‌دهد. مقررات مربوط به EUDIW پس از انتشار اقدامات اجرایی اعمال می‌شود.
  • مقررات (اتحادیه اروپا) 2016/679 (RGPD): به‌طور کامل برای پردازش داده‌های هویت در چارچوب EUDIW و فرآیندهای امضا اعمال می‌شود. مقالات 5 بیس §14 از eIDAS 2 این تابعیت را به‌طور صریح یادآوری می‌کند.
  • دستورالعمل (اتحادیه اروپا) 2022/2555 (NIS2): الزامات امنیت سایبری تقویت‌شده برای QTSP‌ها را تحمیل می‌کند، اکنون نهادهای ضروری طبقه‌بندی‌شده. توسط دستورالعمل شماره 2024-821 در 20 ژوئن 2024 به حقوق فرانسوی منتقل‌شد (در انتظار فرمان اجرایی).

در سطح فرانسه:

  • قانون مدنی، مقالات 1366 و 1367: بنیاد ارزش اثباتی نوشتارهای الکترونیکی. مقالات 1366 برابری بین نوشتار الکترونیکی و کاغذ را تحت شرایط ایجاد می‌کند. مقالات 1367 به امضای معتبر (QES) قدرت اثباتی یکسانی می‌دهد.
  • فرمان شماره 2017-1416 در 28 سپتامبر 2017: شرایط استفاده از امضای الکترونیکی را در اقدامات زیر امضای خصوصی روشن می‌کند. در طول دوره انتقالی قابل اجرا باقی می‌ماند.
  • استاندارد کلی امنیت (RGS) v2: برای ادارات فرانسوی، RGS استفاده از راه‌حل‌های مرجع‌شده توسط ANSSI را تحمیل می‌کند. به‌روزرسانی آن برای ترکیب eIDAS 2 در دوره 2026 انتظار می‌رود.

استانداردهای فنی ETSI قابل‌اجرا

استانداردهای ETSI سطح 3 از سلسله‌مراتب نظارتی را تشکیل می‌دهند. نسخه‌های موجود قابل‌اجرا:

  • EN 319 132-1/2: قالب XAdES (امضای XML پیشرفته)
  • EN 319 122-1/2: قالب CAdES (امضای CMS پیشرفته)
  • EN 319 142-1/2: قالب PAdES (امضای PDF پیشرفته)
  • EN 319 401: الزامات عمومی برای ارائه‌دهندگان خدمات قابل‌اعتماد
  • EN 319 411-1/2: الزامات برای AC صادرکننده گواهی‌های معتبر

این استانداردها تا پایان 2025 برای ترکیب الزامات جدید eIDAS 2 تجدیدشده خواهند شد. قرارداد با QTSP‌ها باید شامل بند به‌روزرسانی به نسخه‌های تجدیدشده بدون هزینه اضافی باشد.

خطرات حقوقی عدم‌انطباق

امضای صادرشده توسط ارائه‌دهنده‌ای که دیگر بعد از 2027 معتبر نباشد بطور خودکار ارزش حقوقی خود را برای اسناد قبلاً امضا‌شده از دست نخواهد داد، اما دیگر از فرض حقوقی برابری با امضای دستی (مقالات 25 eIDAS) بهره‌مند نخواهد بود. بار اثبات یکپارچگی و هویت امضاکننده سپس در صورت منازعه کاملاً بر شرکت قرار خواهد گرفت. این خطر اثباتی به‌خصوص برای اقدامات با مهلت تقادم طولانی حساس است (5 سال در امور تجاری، 30 سال برای حقوق واقعی املاک).

سناریوهای کاربری: چگونه سازمان‌ها برای انتقال eIDAS 2 برنامه می‌ریزند

سناریو 1: یک دفتر وکالت 25 کارمندی انطباق مستندات خود را توسط‌بخش می‌کند

یک دفتر وکالت متخصص در حقوق تجارت با حدود 25 کارمند و فعالیت شدید امضای اختیارات، اقدامات فروش و پیش‌نویس‌های توافق‌نامه تا سال 2024 کل جریان‌های خود را برای امضای پیشرفته (AdES) استفاده می‌کرد. در اطلاع eIDAS 2، دفتر یک حسابرسی از 1200 سند امضاشده ساله خود را برای شناسایی سند‌هایی که نیازمند QES بر اساس نیکل‌های اصلاح‌شده تاله‌شده بود انجام داد.

نتیجه:

Certyneo را به صورت رایگان امتحان کنید

اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.

عمیق‌تر شدن در موضوع

راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.

团体 Certyneo

سوالی در مورد امضای الکترونیکی دارید؟

انضم به جامعه Certyneo: سوالات خود را پرسیدید، پاسخ‌ها خود را به اشتراک بگذارید و با هزاران کاربران و تیم ما در ارتباط باشید.