Calendrier eIDAS 2 : déploiement UE 2026-2027

Johdanto: miksi eIDAS 2 -aikataulu on kriittinen organisaatioillesi

Sitten EU:n asetuksen (EU) 2024/1183 voimaantulon — jota yleisesti kutsutaan nimellä eIDAS 2 — Euroopan digitaalisen identiteetin ja elektronisen allekirjoituksen sääntelykehys on kokenut syvimmän muutoksensa sitten vuoden 2014. Vaikka tarkistettu teksti on virallisesti hyväksytty, sen operatiivinen käyttöönotto, joka on jakautuu vuosien 2024 ja 2027 välille, on nyt päähuomion kohteena johtavissa IT-tehtävissä, oikeusosastoissa ja vaatimustenmukaisuusvastaavissa. Säännöksen eIDAS 2 virallisen käyttöönotto-aikataulun ymmärtäminen Euroopan unionissa antaa sinulle mahdollisuuden ennakoida velvoitteet, turvata sopimuksellisia prosesseja ja välttää vaatimustenmukaisuuspoikkeamia. Tämä artikkeli selittää keskeiset vaiheet, odotettavissa olevat täytäntöönpanosäädökset ja konkreettiset vaikutukset ranskalaisille ja eurooppalaisille yrityksille.

---

1. Katsaus: mikä on eIDAS 2 ja miksi tämä uudistus?

1.1 eIDAS 1:n rajoitukset (2014)

Alkuperäinen eIDAS-asetus (n:o 910/2014) loi perustan digitaaliselle luottamukselle Euroopassa: elektronisten allekirjoitusten keskinäinen tunnustaminen, hyväksyttyjen tasojen luominen (QES), yksinkertainen (SES) ja edistynyt (AdES), sekä luottamuspalvelujen tarjoajien (TSP) akkreditointi. Kymmenen vuotta kestänyt soveltaminen kuitenkin paljasti useita merkittäviä puutteita:

• Kansallinen pirstoutuminen: Euroopan komission mukaan alle 19 % eurooppalaisista kansalaisista käytti rajat ylittävää elektronista tunnistausmenetelmää vuonna 2022.
• Digitaalisen henkilöllisyystodistuksen puuttuminen: eIDAS 1 ei tarjonnut yleistä välinettä, jonka avulla jokainen kansalainen tai yritys voisi todistaa henkilöllisyytensä verkossa kaikissa jäsenvaltioissa.
• Osittainen kattavuus: Hyväksytyt elektronisen arkistoinnin palvelut tai ominaisuuksien todisteet eivät olleet harmonisoidut.

1.2 eIDAS 2:n rakenteelliset edut

Hyväksytty 11. huhtikuuta 2024 ja julkaistu EU:n virallisessa lehdessä 30. huhtikuuta 2024, asetus (EU) 2024/1183 ottaa käyttöön seuraavat asiat:

• European Digital Identity Wallet (EUDI Wallet): Digitaalinen henkilöllisyystodistus, jonka jokainen jäsenvaltio on tarjottava kansalaisilleen.
• Uudet hyväksytyt luottamuspalvelut: Hyväksytyt elektronisen ominaisuuksien todisteet, hyväksytty elektroninen arkistointi, allekirjoituksen luomislaitteen hallinta etäällä.
• Soveltamisalan laajentaminen: Suuret verkkosivustot (DSA-säännöksen merkityksessä) on hyväksyttävä EUDI Wallet käyttäjien todentamiseen.
• Hallinnon vahvistaminen: Tiukempi vaatimustenmukaisuussertifioinnin kehys TSP-yrityksille.

Voit syventää tietämystäsi sääntelystä tutustumalla eIDAS 2.0 -oppaaheemme, joka kuvaa kaikki sääntelymuutokset.

---

2. eIDAS 2:n virallinen käyttöönotto-aikataulu: vaiheet ja tärkeimmät päivämäärät 2024-2027

Asetus eIDAS 2 jäsentää soveltamisen alkamisen usean vaiheen mekanismin kautta: voimaantulo, komission täytäntöönpanosäädökset, kansallinen siirtäminen ja välineiden tosiasiallinen käyttöönotto. Tässä on virallinen toteutussuunnitelma.

2.1 Vaihe 1 — Voimaantulo ja delegoidut säädökset (toukokuu 2024 – vuoden 2025 loppu)

| Päivämäärä | Vaihe | |---|---| | 30. huhtikuuta 2024 | Asetuksen (EU) 2024/1183 julkaisu EU:n virallisessa lehdessä | | 20. toukokuuta 2024 | Virallinen voimaantulo (P+20 julkaisemisen jälkeen) | | K3-K4 2024 | Täytäntöönpanosäädösten työryhmien käynnistys (Toolbox eIDAS 2) | | Vuoden 2024 loppu | Ensimmäisten teknisten referenssispesifikaatioiden julkaisu EUDI Walletille (ARF — Architecture Reference Framework v1.4) | | K1-K2 2025 | Komission täytäntöönpanosäädökset lompakkojen teknisistä spesifikaatioista (12 kuukauden määräaika, joka on määritetty artiklan 5a mukaisesti) | | K3 2025 | Täytäntöönpanosäädökset uusista hyväksytyistä luottamuspalveluista |

Euroopan komissio julkaisi tammikuussa 2025 ensimmäisen täytäntöönpanosäädöspaketin EUDI-lompakon teknisistä yhteisistä spesifikaatioista. Nämä tekstit muodostavat pakollisen teknisen perustan jäsenvaltioille.

2.2 Vaihe 2 — Pilottiprojektien käyttöönotto ja kansalliset siirtämiset (2025-2026)

Suurten pilottiprojektien (Large Scale Pilots — LSP) ohjelman puitteissa neljä konsortiumia testasi EUDI Wallettia vuodesta 2023 lähtien yli 360 käyttötapauksella 25 jäsenvaltion alueella:

• EU Digital Identity Wallet Consortium (EUDIW) — 140+ yksikköä
• NOBID — keskittyen digitaalimaksuihin
• POTENTIAL — henkilöllisyys ja ominaisuudet
• DC4EU — tutkinnot ja ammatilliset pätevyydet

Näiden kokeilujen tulokset ruokkivat suoraan täytäntöönpanosäädöksiä. Kansallisella tasolla jäsenvaltioilla on 24 kuukautta täytäntöönpanosäädösten voimaantulon jälkeen kansallisen lompakkonsa käyttöönottamiseksi. Käytännössä tämä tarkoittaa, että suurin osa kansallisista käyttöönotoista odotetaan vuoden 2026 puolivälistä vuoden 2026 loppuun.

| Ajanjakso | Odotettavissa olevat toimet | |---|---| | K1-K2 2026 | Puuttuvien täytäntöönpanosäädösten lopullinen hyväksyminen (hyväksytty arkistointi, ominaisuuksien todisteet) | | K2 2026 | EUDI-lompakon ensimmäiset tuotantoversiot edelläkävijäjäsenvaltioissa (Saksa, Alankomaat, Espanja) | | K3-K4 2026 | Asteittainen käyttöönotto 27 jäsenvaltiossa — avaaminen ammattikäyttäjille | | Vuoden 2026 loppu | Velvoitteelliset hyväksymisvelvoitteet verkkoportaalit koskevien julkisten palveluiden osalta (artikla 5b) |

Ranska, ANSSI:n (Agence Nationale de la Sécurité des Systèmes d'Information) ja DINUM:n (Direction Interministérielle du Numérique) kautta, on aloittanut sopeutumistyönsä vuonna 2025. Ranskan lompakon projektissa hyödynnetään Ranska Identité -pohjaa teknisenä alustana.

2.3 Vaihe 3 — Hyväksymisvelvoitteet yksityiselle sektorille (2027)

Tämä on vaikuttavin vaihe yrityksille. Säännöksen eIDAS 2 artikla 5b velvoittaa, että tietyt yksityisen sektorin palveluntarjoajat hyväksyvät EUDI Walletin tunnistautumiseen verkossa seuraavilla aloilla:

• Pankki- ja rahoituspalvelut (tilin avaaminen, KYC)
• Liikkuminen (kuljetus, ajoneuvojen vuokraus)
• Energia (kuluttajasopimukset)
• Erittäin suuret verkkosivustot (DSA:n merkityksessä, > 45 miljoonaa kuukausikäyttäjää EU:ssa)
• Televiestintä

Pakollisen hyväksymisen määräaika on 12 kuukautta lompakon käyttöönottamisesta kussakin jäsenvaltiossa, mikä asettaa todellisen määräajan useimmille sektoreille vuoden 2027 ensimmäisellä puoliskolla.

Yrityksille, jotka käyttävät jo eIDAS-säännökseen noudattavia elektronisen allekirjoituksen ratkaisuja, haaste on varmistaa niiden asiakirjavirtojen yhteensopivuus lompakoista peräisin olevien uusien tunnistetietojen kanssa.

---

3. Vaikutus luottamuspalvelujen tarjoajiin (TSP) ja SaaS-editoreihin

3.1 Uudet velvoitteet hyväksytyille TSP-yrityksille

Hyväksytyt luottamuspalvelujen tarjoajat (QTSP) on päivitettävä sertifiointikäytäntöjään integroimaan eIDAS 2:n esittelemät uudet palveluluokat:

• Hyväksytyt elektronisen ominaisuuksien todisteet: Digitaalinen ajokortti, tutkinnot, ammattipätevyydet
• Hyväksytty elektroninen arkistointi: Palvelu, joka takaa allekirjoitettujen asiakirjojen eheyden pitkällä aikavälillä
• Etäkoodauslaitteiden hallinta (RQSCD): Selventäminen pilvipalvelujen ratkaisuille

QTSP:llä on 18 kuukautta tarkistettujen ETSI-standardien julkaisemisen jälkeen (odotetaan K2-K3 2026) vaatimusten mukaisesti. Näin ollen ensimmäiset uudelleensertifioinnit tulisivat tehtyä tosiasiallisesti vuonna 2027.

3.2 Mitä tämä tarkoittaa käyttäville yrityksille

Jos organisaatiosi käyttää elektronisen allekirjoituksen SaaS-palveluntarjoajaa — olipa se hyväksytty QES-ratkaisu tai edistyneen allekirjoituksen työkalu — useita vaatimustenmukaisuuskysymyksiä esiin nyt:

1. Onko palveluntarjoajasi päivittämässä sertifiointiaan integroiden eIDAS 2:n vaatimukset?
2. Ovatko allekirjoitustyövälineet valmiita vastaanottamaan identiteettejä EUDI-lompakkoista?
3. Vastaavatko arkistointikäytäntösi tulevien hyväksytyn elektronisen arkistoinnin vaatimuksiin?

Elektronisen allekirjoitusratkaisujen vertailussa otetaan nyt huomioon eIDAS 2:n toteutussuunnitelma keskeisenä erottelevana tekijänä.

3.3 Tekniset referenssistandardit

ETSI (European Telecommunications Standards Institute) on vastuussa tekniisistä standardeista, joihin eIDAS 2 perustuu. Vuosien 2025-2027 työohjelma kattaa seuraavat asiat:

• ETSI EN 319 411-1 ja -2 (tarkistetut): Käytännöt ja vaatimukset TSP-yrityksille, jotka myöntävät sertifikaatteja
• ETSI EN 319 132-1 (XAdES) ja EN 319 122-1 (CAdES): Edistyneen ja hyväksytyn allekirjoituksen muodot
• ETSI TS 119 500: Luottamuskehys hyväksytyn elektronisen arkistoinnin palveluille
• ISO/IEC 18013-5: mDL:n esittämisen protokolla (mobile Driving Licence), hyväksytty EUDI Walletin teknisenä pohjana

---

4. eIDAS 2:n aikataulu Ranskassa: edistyminen ja erityiset velvoitteet

4.1 ANSSI:n rooli kansallisessa hallinnossa

Ranskassa ANSSI on luottamuspalvelujen tarjoajien valvontaviranomainen eIDAS:n nojalla. eIDAS 2:n näkökulmasta se johtaa:

• Yleisen turvallisuusperiaatteen (RGS) sopeutumista uusien hyväksyttyjen palvelujen integroimiseksi
• Osallistumista eIDAS-yhteistyöryhmän työhön (säännöksen artikla 46e)
• Ranskalaisten QTSP-yritysten vaatimustenmukaisuusauditoinnin valvontaa

ANSSI julkaisi maaliskuussa 2025 kansallisen toteutussuunnitelman, joka kuvaa Ranskan kehyksen sopeutumisen vaiheita eIDAS 2:een, ja seuraavaa tarkastuspistettä suunnitellaan syyskuulle 2026.

4.2 Velvoitteet ranskalaisille suurille yrityksille

DSA-kynnykset ylittävät tai artiklan 5b:n kohteiksi määritellyillä aloilla toimivat ranskalaiset yritykset on arvioitava nyt. Suositellut vaiheet ovat:

1. Tunnistusvirtausten kartoitus: Tunnista prosessit, joissa digitaalinen identiteetti vaaditaan (KYC, sopimusten allekirjoitus, asiakasalueiden käyttö)
2. Nykyisten palveluntarjoajien arviointi: Tarkista heidän eIDAS 2:n vaatimustenmukaisuussuunnitelmansa
3. Yleisten myyntiehtojä ja allekirjoituskäytäntöjä koskevan suunnitelman päivitys: Ennakoide EUDI-lompakkoista peräisin olevien tunnistetietojen integraatio
4. Oikeusalan ja IT-osastojen koulutus: Tekninen ja oikeudellinen kehys muuttuu merkittävästi

Yrityksille, jotka hallitsevat merkittäviä sopimuksia, elektronisen allekirjoituksen työkaluja yrityksissä tulee arvioida niiden kyvyn valossa siirtyä eIDAS 2:een ilman palvelun keskeytystä.

4.3 Artikulaatio muiden eurooppalaisten säännösten kanssa

eIDAS 2:n käyttöönotto ei tapahdu erillisenä. Se liittyy tiukasti:

• GDPR (2016/679): EUDI-lompakon tunnistetiedot muodostavat henkilökohtaisia tietoja, joihin sovelletaan minimointiperiaatetta ja käyttötarkoitusta
• Direktiivi NIS 2 (2022/2555): TSP-yritykset ovat olennaisia entiteettejä NIS 2:n merkityksessä ja on täytettävä vahvistetut kyberturvallisuusvaatimukset
• DORA-asetus (2022/2554): Rahoituslaitokset, jotka käyttävät luottamuspalveluja verkkotoimintoihinsa, on kirjattava nämä riippuvuudet ICT-riskikartognoihinsa
• Data Act (2023/2854): Henkilöllisyystietojen yhteentoimivuus sektoreiden välillä

Yritykset, jotka ovat jo sitoutuneet NIS 2:n vaatimustenmukaisuuteen, löytävät merkittäviä synergiaita eIDAS 2:n vaatimustenmukaisuuden kanssa, erityisesti riskienhallinnassa ja liiketoiminnan jatkuvuudessa.

---

5. Organisaatiosi valmistelu nyt: tarkistuslista 2026

5.1 Oikeusosastoille ja vaatimustenmukaisuudelle

• [ ] Lue asetus (EU) 2024/1183 konsolidoidussa muodossaan ja tunnista sovellettavat artikkelit
• [ ] Kartoita sopimukset ja prosessit, jotka vaativat päivityksen (allekirjoitusjohdannot, säilytyskäytäntö)
• [ ] Tarkista nykyisten elektronisten allekirjoitusten rajat ylittävä oikeudellinen pätevyys eIDAS 2:n yhteydessä
• [ ] Ennakoida hyväksyttyjen ominaisuuksien todisteiden integraatio (esim. ammatillisen pätevyyden varmistus notaarisille tai lääketieteellisille asiakirjoille)

5.2 Tietohallintojohtajille

• [ ] Arvioi teknisen pinosi yhteensopivuus EUDI-lompakon protokollien kanssa (OpenID4VP, ISO 18013-5)
• [ ] Tunnista päivitettävät API:t elektronisen allekirjoituksen toimittajissa
• [ ] Suunnittele integraatio vuonna 2026 saatavilla oleviin lompakon kokeiluihin
• [ ] Määritä EU:n virallisen lehden seurantajärjestelmä komission täytäntöönpanosäädöksille

5.3 Liiketoiminnan johdolle

Hyvin odotettujen muutosten hyödyt ovat konkreettisia: allekirjoitusvirtojen kitkan vähentäminen ennalta tarkistetun identiteetin ansiosta EUDI Walletista, KYC-prosessien nopeutuminen ja henkilöllisyyden tarkistamisen kustannusten pieneneminen. Siirtymisen sijoitetun pääoman tuoton arvioimiseksi elektronisen allekirjoituksen ROI-laskurimme sisältää eIDAS 2:n vaatimuksille ominaiset parametrit.

Lopuksi, organisaatiot, jotka harkitsevat siirtymistä muista ratkaisuista eIDAS 2:n osalta natiivisti valmistetulle alustalle, voivat tutustua migraatioon DocuSignista tai YouSignista Certyneohin, jossa kuvataan siirtymisen tekniset ja sopimukselliset vaiheet ilman keskeytystä.

eIDAS 2:n käyttöönottoon sovellettava oikeudellinen kehys

Perustava teksti ja normien hierarkia

Säännöksen eIDAS 2 käyttöönotto liittyy stratifioidun oikeudellisen peruskokoelmaan, jonka hallitseminen on välttämätöntä kaikille organisaatioille, joihin sovelletaan vaatimustenmukaisuusvelvoitteita.

Euroopan parlamentin ja neuvoston asetus (EU) 2024/1183 — kutsutaan nimellä « eIDAS 2 » — on viiteperusta. Se kumoaa ja korvaa asetuksen (EU) n:o 910/2014 (eIDAS 1) niiltä osin, joita se uudistaa, mutta säilyttää olemassa olevien sertifiointien pätevyyden siirtymäkausien aikana, kuten artiklassa 51 ja sitä seuraavissa artikkeleissa säädetään. Julkaistu EU:n virallisen lehden sarjassa L 30. huhtikuuta 2024, se on tullut voimaan 20. toukokuuta 2024.

Ranskan siviilikoodi, artikkelit 1366 ja 1367, vahvistavat elektronisen allekirjoituksen tunnustamisen vastaa käsin tehtävää allekirjoitusta, kun se täyttää allekirjoittajan tunnistamisen ja asiakirjan eheyden vaatimukset. Nämä määräykset tulkitaan unionin oikeuden valossa eIDAS:n nojalla, joka on etusijalla unioni-oikeuden etusijaperiaatteen nojalla.

Asetus (EU) 2016/679 (GDPR) sovelletaan kokonaan henkilökohtaisiin tietoihin liittyviin käsittelyihin, jotka on suoritettu EUDI Walletin ja luottamuspalvelujen yhteydessä. Tunnistetiedot (elämänkerralliset tiedot, pätevyydet, ajokortit) muodostavat henkilökohtaisia tietoja GDPR:n artiklan 4 kohdassa 1 määritellyllä tavalla. Minimointiperiaate (artikla 5, kohta 1, c) on erityisen merkityksellinen: palveluntarjoajat keräävät vain niitä ominaisuuksia, jotka ovat tarpeellisia siirtotapahtuman tarkoitukseksi.

Direktiivi (EU) 2022/2555 (NIS 2), siirretty Ranskan oikeudeksi lailla n:o 2024-449 21. toukokuuta 2024, luokittelee hyväksytyt luottamuspalvelujen tarjoajat olennaisiksi entiteeteiksi, joita sovelletaan vahvennettuja kyberturvallisuuden hallintaan, tapahtumasilmoituksiin ja toimitusketjun turvallisuuteen.

ETSI-standardit muodostavat eIDAS 2:n teknisen referenssiperustuksen:

• ETSI EN 319 401: TSP:ien yleiset vaatimukset
• ETSI EN 319 411-1/-2: Käytännöt hyväksyttyjen sertifikaattien myöntäville TSP:ille
• ETSI EN 319 132-1: XAdES-muoto (XML-allekirjoitukset edistyneesti)
• ETSI EN 319 122-1: CAdES-muoto (CMS-allekirjoitukset edistyneesti)
• ETSI EN 319 162-1: ASiC-muoto (allekirjoitussäilöt)

Oikeusriski vaatimustenmukaisuuden puuttuessa

eIDAS 2:n velvoitteiden noudattamatta jättäminen altistaa organisaatiot useille riskeille:

1. Allekirjoitusten hyväksyttävyyden puute: Elektroninen allekirjoitus, joka on laadittu uusiin vaatimuksiin noudattamattomalla TSP:llä, voi menettää laillisen pätevyyden, mikä vaarantaa sopimuksilla allekirjoitettujen asiakirjojen näyttöarvon.
2. Hallinnolliset seuraamukset: Kansalliset valvontaviranomaiset (ANSSI Ranskassa) voivat määrätä korjaavista toimista, noudatusvaatimuksista tai jopa TSP:n akkreditoinnin peruuttamisesta.
3. Sopimuksellinen vastuu: Yrityksillä, jotka käyttävät noudattamattomia työkaluja, voi olla vastuu asiakkaiden ja kumppaneiden suhteen, jos kiista liittyy elektronisesti allekirjoitetun asiakirjan pätevyyteen.
4. Kumuloituminen GDPR:n kanssa: Henkilökohtaisten tietojen lainvastainen käsittely EUDI-lompakon tunnistetiedoista voi altistaa samaan aikaan CNIL-sakoille (jopa 4 % maailmanlaajuisesta vuotuisesta liikevaihdosta).

Käytännölliset käyttötapaukset eIDAS 2:n aikataulun valossa

Käyttötapaus 1 — Keskikokoinen lakitoimisto, joka käsittelee rajat ylittäviä sopimuksia

Noin 15 asianajajasta koostuva liikeasioiden lakitoimisto, joka käsittelee säännöllisesti useita EU:n jäsenvaltioita koskevissa fuusioissa ja yrityskaupoisissa (Belgia, Alankomaat, Espanja) käyttää tällä hetkellä hyväksyttyä elektronisen allekirjoituksen ratkaisua osakepaperien luovutusasiakirjoille ja luottamuksellisuusmuistiinpanoille. eIDAS 2:n aikataulun soveltamisen myötä lakitoimisto odottaa kahta merkittävää kehitystä vuoden 2026 loppuun mennessä:

• Yksinkertaistettu henkilöllisyyden varmistus: Ulkomaisen vastapuolen on mahdollista esittää tunnistetiedot kotimaisen EUDI-lompakonsa kautta, jolloin passikopioiden vaihto ja päällekkäiset KYC-menettelyt poistuvat. EU:n komission LSP-raporttien arvioiden mukaan henkilöllisyyden tarkistamisvaiheessa saavutettu aika-aika vähenee 40–60 % osallistuvien juridisten toimivaltaisuuksien mukaan.
• Vahvistunut näyttöarvo: Hyväksytyn EUDI-lompakon identiteetillä allekirjoitettujen asiakirjojen nauttivat entistäkin vahvemmasta laillisesta oletuksesta, jolloin riitakiistojen riskiä rajat ylittävissä oikeusjäärjestelmissä pienennetään.

Lakitoimisto suunnittelee siirtymistä SaaS-alustalle, jonka eIDAS 2:n toteutussuunnitelma on dokumentoitu ennen K3 2026:ta, eli noin kuusi kuukautta ennen ensimmäisiä hyväksymisvelvoitteita.

Käyttötapaus 2 — Pieni ja keskisuuri yritys, joka hallitsee suurta määrää toimittajasopimuksia

Teollisuuslaitteiden tuottaja, joka hallitsee noin 250 toimittajasopimusta vuodessa, joista 30 % on EU:n muiden maiden toimittajien kanssa, kohtaa henkilöllisyyden varmistukseen liittyviä kasvavia rajoituksia uusien toimittajien mukaan ottamisvaiheessa. Nykyinen prosessi — Kbis-pyyntö, henkilöllisyystodistuksen kopiot hallinnolliselle edustajalle, manuaalinen tarkistus — kuluttaa keskimäärin 2,5 tuntia per tapaus, kuten alan ostojen liiton arviointiperusteet osoittavat.

EUDI-lompakon integroimisen myötä allekirjoitustyönkulkuun vuoteen 2027 mennessä PK-yritys odottaa seuraavaa:

• **Henkilöllisyyden tarkistamiseen