eIDAS 2 : uusi eurooppalainen asetus selitettynä 2026

Johdanto: miksi eIDAS 2 muuttaa kaikkea eurooppalaisille yrityksille

Voimaan tullut 20. toukokuuta 2024 pitkän lainsäädäntöprosessin jälkeen, eIDAS 2 -asetus — virallisesti nimeltään asetus (EU) 2024/1183 — edustaa kunnianhimoisinta uudistusta, joka koskaan on toteutettu sähköisen tunnistamisen ja luottamuspalveluiden alalla Euroopassa. Se kumoaa ja korvaa osittain alkuperäisen eIDAS-asetuksen vuodelta 2014 (n°910/2014), samalla kun se säilyttää yhteensopivuuden olemassa olevan infrastruktuurin kanssa. Yrityksille, jotka käyttävät eIDAS-compliant-sähköisiä allekirjoituksia, tämä uudistus tuo uusia velvoitteita, ennennäkemättömiä mahdollisuuksia ja tiukan vaatimustenmukaisuusaikataulun vuoteen 2026 ja sen jälkeen. Tämä artikkeli selvittää tekstin keskeisiä säännöksiä, niiden käytännön vaikutuksia ja sitä, kuinka organisaatiosi voi valmistautua.

---

Mitä eIDAS 2 -asetus muuttaa perusteellisesti

Vuoden 2014 asetuksesta 2024-versioon: rakentava uudistus

Alkuperäinen eIDAS-asetus vuodelta 2014 oli asettanut perustan jäsenmaiden välisen sähköisen tunnistamisen keskinäiselle tunnustamiselle ja perustanut yhtenäisen oikeuskehyksen luottamuspalveluille (allekirjoitus, sinetti, aikaleima jne.). Mutta kymmenen vuotta myöhemmin puutteet olivat ilmeisiä: ilmoitettujen eID:iden alhainen käyttöönottoprosentti, kansallisten ratkaisujen hajautuminen, puuttuva yleinen digitaalinen lompakko kansalaisille ja erityisesti sopeutumattomuus verkon käyttöön (GAFAM poissulkeminen luottamuskehyksestä).

eIDAS 2 korjaa nämä puutteet kolmella pääakselilla:

1. Eurooppalainen digitaalisen identiteetin lompakko (EUDI Wallet) — jokaisen jäsenvaltion on tarjottava viimeistään marraskuussa 2026 digitaalisen lompakon sovellus, jonka avulla mikä tahansa eurooppalainen kansalainen tai asukas voi turvallisesti säilyttää ja esittää identiteettiään koskevia ominaisuuksia (henkilöllisyystodistus, ajokortti, tutkinnot jne.).
2. Hyväksyttyjen luottamuspalveluiden laajentaminen — teksti lisää uusia hyväksyttyjä palveluita: hyväksytyn sähköisen arkistoinnin hallinta (QESAP), hyväksyttyjä identiteettiä koskevia ominaisuusraportteja (QEAA), hyväksyttyjä sähköisiä kirjanpitoja (QLED) ja etäallekirjoituksen luonnin laitteiden hallintaa (QRCD).
3. Velvoite suurille alustoille — suurten verkkopalvelujen tarjoajat (sosiaalisen median verkostot, markkinapaikat) joutuvat hyväksymään EUDI-lompakon käyttäjien todennukseen.

EUDI Wallet -lompakko: arkkitehtuuri ja toiminta

EUDI Wallet on eIDAS 2:n ytimessä. Käytännössä se on ohjelmistosovellus — jonka jokaisessa jäsenvaltiossa toimittaa tai varmentaa — joka perustuu hajautettuihin omaisuuksien esitysmalliin. Käyttäjä välittää vain tapahtumalle ehdottoman välttämättömät tiedot (minimointiperiaate, GDPR:n mukainen).

Teknisestä näkökulmasta arkkitehtuuri perustuu Architecture Reference Framework (ARF) -spesifikaatioihin, jotka on julkaissut Euroopan komissio ja joita päivitetään säännöllisesti Large Scale Pilot (LSP) -ohjelmalla, joka kokoaa neljä pilottikonsortiota (DC4EU, EWC, POTENTIAL, NOBID). Valitut tietomuodot ovat pääasiassa ISO/IEC 18013-5 (mDL/mDocs) ja W3C Verifiable Credentials, mikä takaa rajat ylittävän yhteensopivuuden.

Yrityksille tämä tarkoittaa, että ne voivat tulevaisuudessa varmistaa asiakkaiden tai kumppaneiden henkilöllisyyden lompakon kautta ilman, että ne itse hallitsevat tositteiden keräämistä — vähentäen siten merkittävästi KYC:n (Know Your Customer) kitkaa ja dokumenttipetoksen riskejä.

---

Varmuustasot ja allekirjoitusten hierarkia: mitä muuttuu

QES / AdES / SES -hierarkian säilyttäminen

Sähköisten allekirjoitusten järjestelmä pysyy rakentuneen kolmen tason ympärille, jotka on määritelty eIDAS 2:n artiklassa 3 (toistaen 2014 -terminologian, mutta tarkentaen teknisiä vaatimuksia):

• Yksinkertainen sähköinen allekirjoitus (SES): minimaalinen näyttöarvo, sopiva tavallisille asiakirjoille.
• Kehittynyt sähköinen allekirjoitus (AdES): yksinomaisesti sidottu allekirjoittajaan, mahdollisuus havaita myöhemmät muutokset.
• Hyväksytty sähköinen allekirjoitus (QES): oikeudellisesti vastaava käsin kirjoitettuun allekirjoitukseen koko EU:ssa (artikla 25§2), joka on annettu hyväksytyn allekirjoituksenlisäaineen luomislaitteen (QSCD) kautta hyväksytyn varmenteen perusteella.

Uutuus piilee siinä, kuinka QES voidaan nyt toimittaa hyväksyttyjen etäallekirjoituspalvelujen (QRCD) kautta, joiden hyväksyttävyysehdot on määritelty uusitun tekstin artiklissa 29a ja 29b. Tämä avaa tien 100 % digitaalisille prosesseille vaativimmille asiakirjoille — notariaattisopimukset, sähköiset oikeuskirjat — ilman fyysisen älykortinvaadetta.

Vaikutus hyväksyttyjen luottamuspalvelun tarjoajiin (QTSP)

Tarjoajat, kuten Certyneo, jotka toimivat hyväksyttyjen QTSP:iden perusteella, joutuvat odottamaan eIDAS 2:n uusia vaatimuksia. Artikla 24 asettaa nyt tiukemmat valvontavaatimukset alihankintaketjussa, ja tietoturvapoikkeamien ilmoittamisen vaatimukset mukautuvat nimenomaisesti NIS2-direktiivin vaatimuksiin (24 tunnin ilmoitusaika alkuperäisen ilmoituksen osalta). Jotta ymmärrät paremmin eri allekirjoitustasojen toimintaa B2B-kontekstissa, lue kattava opas sähköisestä allekirjoituksesta yrityksissä.

---

Käyttöönottoaikataulu ja yritysvelvoitteet 2025–2026

Käyttöönottovaiheet

Asetus (EU) 2024/1183 julkaistiin EU:n virallisessa lehdessä 30. huhtikuuta 2024 ja tuli voimaan 20. toukokuuta 2024. Täytäntöönpano- ja valtuusasetus — välttämätöntä teknisten vaatimuksien selkiyttämiseen — julkaistaan asteittain:

| Määräaika | Velvoite | |---|---| | Toukokuu 2024 | Asetuksen voimaantulo | | Vuoden 2024 loppuun mennessä | ARF v2.0:n täytäntöönpanomääräysten julkaisu | | Vuoden 2025 puolivälissä | Ensimmäisten EUDI Wallet -pilottien sertifiointi | | Marraskuu 2026 | EUDI Walletin pakollinen saatavuus jokaisessa jäsenvaltiossa | | 2027 | Pakollinen hyväksyntä suurissa verkkoalustoissa |

Mitä B2B-yritysten on tehtävä heti nyt

Yrityksille, jotka käyttävät sähköisen allekirjoituksen ratkaisuja, kolme prioriteettia on välttämätön vuosina 2025–2026:

1. Tarkasta luottamusketjunsa: varmista, että heidän palveluntarjoajansa on todella QTSP-listalla (Trusted List) omasta jäsenvaltiostaan ja että käytetyt varmenteet ovat uusittujen ETSI EN 319 401- ja EN 319 411-1-spesifikaatioiden mukaisia.

2. Ennakoida EUDI Wallet -integraation: yritykset, jotka toimivat säännellyillä aloilla (pankkitoiminta, vakuutus, terveydenhuolto, kiinteistö), ovat ensimmäisten joukossa, joita koskevat identiteetin varmistusvirrat lompakon kautta. API-integraatioiden valmistelu vuodesta 2025 lähtien on suositeltavaa.

3. Tarkista säilytysperiaatteet: uusi hyväksytty sähköisen arkistoinnin palvelu (QESAP) tuo pitkäaikaisen säilytyksen standardit, jotka saattavat tulla pakollisiksi tietyillä aloilla (julkiset hankinnat, lääketeollisuus). Meidän sähköisen allekirjoituksen ROI-laskin antaa sinulle mahdollisuuden arvioida dokumentin infrastruktuurin päivityksen taloudellisia vaikutuksia.

---

Yhteensopivuus, GDPR ja digitaalisen suvereniteetin haasteet

eIDAS 2 ja GDPR: vahventunut täydentävyys

Yksi eIDAS 2:n merkittävimmistä edistysaskeleista on suunnittelun mukaan integroitu tietosuojan periaatteiden eksplisiittinen sisällyttäminen (privacy by design) EUDI-lompakon arkkitehtuuriin. Artikla 5a§14 säätää, että lompakko ei salli palveluntarjoajille käyttäjän käyttäytymisen seurantaa tapahtumien aikana. Identiteettiominaisuuksien myöntäjät (QEAA) eivät saa tietoa myönnettyjen todistusten käyttötarkoituksesta — mikä on suuri poikkeama nykyisiin keskitettyihin malleihin.

Tämä arkkitehtuuri tunnetaan nimellä unlinkability (ei-korrelaatio): kahta eri tapahtumaa, joita samalla käyttäjällä on sama käyttäjä, ei voi linkittää ilman hänen suostumustaan. Tämä takuu ylittää GDPR:n vähimmäisvaatimukset samalla kun se sopii siihen täydellisesti.

Geopoliittinen ulottuvuus: ottaa takaisin kontrolli verkon identiteetistä

eIDAS 2 vastaa myös suvereniteettiin liittyviin kysymyksiin. Nykyään verkon todentaminen perustuu voimakkaasti "Kirjaudu sisään Googlen/Facebookin/Applen kanssa" -painikkeisiin, mikä antaa amerikkalaisille teknologiajäteille hallitsevaa asemaa eurooppalaisten digitaalisten identiteettisuhteiden hallinnassa. Velvoittamalla erittäin suuria alustoja (Digital Services Act -merkityksessä) hyväksymään EUDI Wallet -todennustapana, eIDAS 2 luo yhteensopivan ja suvereeni vaihtoehdon.

B2B-yrityksille tämä tarkoittaa myös, että eIDAS 2 -vaatimustenmukaisuus voi tulla toimittajan valintakriteeriksi julkisissa ja yksityisissä tarjouskilpailuissa — kuten ISO 27001 -sertifikaatti nykyään edustaa ostoprosesseissa. Jos organisaatiosi harkitsee nykyisen ratkaisunsa kehittämistä, meidän migraatiopäivä DocuSignilta tai YouSignilta Certyneolle antaa yksityiskohtaisen kirjan hallitusta siirtymästä.

eIDAS 2:ta ja sähköistä allekirjoitusta koskeva oikeudellinen kehys

Viitekirjoitukset

Asetus (EU) 2024/1183 Euroopan parlamentista ja neuvostosta 11. huhtikuuta 2024, muutettaessa asetusta (EU) n°910/2014 digitaalisen identiteetin eurooppalaisen kehyksen perustamisesta (eIDAS 2). Julkaistu EUVL:ssa 30. huhtikuuta 2024, tuli voimaan 20. toukokuuta 2024.

Asetus (EU) n°910/2014 (eIDAS 1): pidetään voimassa muille kuin muutetuille säännöksille, erityisesti artiklat, jotka koskevat "heikko", "merkittävä" ja "korkea" varmuustasoja ilmoitetuille tunnistamiskaavioille.

Ranskan siviilikoodi, artikla 1366 ja 1367: sähköisellä kirjoituksella on sama näyttöarvo kuin paperikirjoituksella edellyttäen, että henkilö, josta se on peräisin, tunnistetaan asianmukaisesti ja että asiakirja laaditaan olosuhteissa, jotka takaavat sen eheyden. eIDAS 2:n mukainen hyväksytty sähköinen allekirjoitus (QES) täyttää nämä vaatimukset täysimääräisesti.

Asetus (EU) 2016/679 (GDPR): identiteettiä koskevien tietojen käsittely EUDI-lompakon yhteydessä on alaistettava minimalismin periaatteelle (art. 5§1c), tarkoitukseen rajoittamiselle (art. 5§1b) ja tietojen suojaukselle suunnittelun mukaan (art. 25). Hyväksytyt palveluntarjoajat ovat erilliset vastuuosapuolet varmistustoiminnassa.

Direktiivi (EU) 2022/2555 (NIS2): siirretty Ranskan lainsäädäntöön asetuksella n°2024-528 12. kesäkuuta 2024, se asettaa hyväksyttyjen luottamuspalvelun tarjoajille velvoitteet riskienhallinnan ja poikkeamien ilmoittamisen osalta 24 tunnissa.

ETSI-standardit:

• EN 319 132 (XAdES) ja EN 319 122 (CAdES): kehittyneet sähköisen allekirjoituksen muodot.
• EN 319 401: yleiset vaatimukset luottamuspalveluiden tarjoajille.
• EN 319 411-1 ja 411-2: politiikka ja tietoturvavalmiuksien vaatimukset CA:ille, jotka myöntävät hyväksyttyjä varmenteita.
• EN 319 521: hyväksyttyjen allekirjoitusten säilytyksistä (QESAP) palvelun vaatimukset.

Yritysvelvoitteet ja oikeudelliset riskit

Kaikilla yrityksillä, jotka käyttävät sähköisiä allekirjoituksia sopimuksellisessa yhteydessä, on varmistettava, että valittu allekirjoitusvaihe on sopiva asiakirjan arvon ja luonteen suhteen. Asiakirjoille, joihin sovelletaan allekirjoitus-oikeusvaatimusta (myyntilupaukset, työsopimukset, ostotilaukset, joiden kynnykseet ylittävät), vain QES tai hyväksytyn varmenteen perusteella oleva AdES tuottaa eIDAS 2:n artiklan 26 tarkoittaman luotettavuuden oletusvaikutuksen.

Riitatapauksessa näyttötaakka kääntyy: jos allekirjoitus on hyväksytty, asiakirjaa kiistävän osapuolen on todistettava sen muuttaminen; jos se on yksinkertainen tai kehittynyt ilman hyväksyttävä sertifikaattia, näyttötaakka kuuluu allekirjoittajalle, joka se väittää. Jäljitettävyys- ja eheyysvaatimuksien laiminlyönti voi johtaa asiakirjan mitätöitymiseen tai allekirjoituksen vastakkaisuuteen kolmannella osapuolelle.

Käyttötapaukset: eIDAS 2 sovelletaan B2B-yrityksiin

Tapaus 1 — Digitaalisen muutoksen konsultointitoimisto (noin 80 konsulttia)

Konsulttirakenne, joka levittää työntekijöitään asiakkaille useissa jäsenmaissa (Ranska, Saksa, Alankomaat), joutuu kuukausittain allekirjoittamaan tehtävävelvoitteita, sopimusmuutoksia ja vastaanottopöytäkirjoja. Ennen eIDAS 2:ta rajat ylittävien identiteettiluottamusten hallinta tuotti kitkaa: joidenkin saksalaisten asiakkaiden kieltäytyminen tunnustaa ranskalaisen QTSP:n myöntämät varmenteet, kaksinkertainen todentaminen sähköpostilla riittämätöntä arkaluontoisissa asiakirjoissa.

EUDI Walletin käyttöönottamisen myötä vuonna 2026 konsultit voivat allekirjoittaa kotimaisen lompakkonsa kautta — kaikkien jäsenmaiden täysimääräisesti tunnustama — ilman kitkaa. Konsultointitoimisto arvioi dokumentin tarkastukseen käytettävän ajan vähenemisen 60–70 prosenttia — noin 3–4 tuntia kuukaudessa per konsultti McKinsey Digitalin julkaisemien sektorivertailujen mukaan (2024).

Tapaus 2 — KME-teollisuuslaiteyhtiö hallinnoi 350 toimittajasopimusta vuodessa

KME-teollisuuslaiteyhtiö, joka työskentelee noin sadan eurooppalaisen ja aasialaisen toimittajan kanssa, joutuu solmimaan sopimuksia, salassapitosopimuksia (NDA) ja puitesopimuksia. Toistaiseksi 30 prosenttia näistä asiakirjoista palautui ilman kelvollista allekirjoitusta tai yli 10 arkipäivän viiveellä.

Ottamalla käyttöön eIDAS 2 -compliant-sähköisen allekirjoitusratkaisun hyväksytyllä identiteetin tarkastuksella (QEAA), KME voi pakottaa allekirjoitusvirran, jossa toimittajan oikeudellisen edustajan henkilöllisyys tarkistetaan automaattisesti EUDI-lompakon kautta ilman manuaalista syöttöä. Odotettu tulos: allekirjoituksen keskimääräinen aika lyheni 10 päivästä alle 48 tuntiin, ja 40 % vähenemä vaatimustenmukaisten allekirjoitusten riippumattomiin riitaisuuksiin ELENIUS 2025 -raporttien havainnoimien arvojen perusteella B2B-digi-mukauttamisesta.

Tapaus 3 — Kiinteistöryhmä hallinnoi myyntisopimuksia useissa maissa

Kiinteistönvälitysverkosto, joka toimii Ranskassa, Espanjassa ja Portugalissa, joutuu säännöllisesti allekirjoittamaan myyntisopimuksia myyjien ja ostajien välillä, joilla on eri kansallisuuksia. QES vaaditaan joissakin yhteyksissä notaarissa käsin kirjoitettuun allekirjoitukseen vastaavuuden varmistamiseksi.

eIDAS 2:n ja EUDI Walletien yhteensopivuuden ansiosta portugalilainen ostaja voi allekirjoittaa ranskalaisen oikeuden alaisen myyntisopimuksen kotimaisen lompakkonsa avulla, jolle on "korkea" varmuustaso, jonka allekirjoitusalusta tunnustaa automaattisesti. Ryhmä vähentää matka- ja legalisointikuluja noin 800–1 200 eurolla rajat ylittävää tiedostoa kohden ja lyhentää myyntisopimuksien päätöspäivää kolmesta viikosta viiteen päivään keskimäärin. Alue-spesifiisissä käyttötapauksissa meidän sivu, joka omistetaan sähköisen allekirjoituksen kiinteistöalalla, on kuvataan mukaautetut työnvirrat.

Johtopäätös

eIDAS 2 ei ole yksinkertaisesti sääntelymuutos: se on perusteellinen uudistus, kuinka digitaalinen henkilöllisyys ja sähköinen luottamus toimivat Euroopassa. EUDI Wallet -lompakko, uudet hyväksytyt palvelut, yhteensopivuusvelvoite ja NIS2:n ja GDPR:n kanssa toiminta muodostavat koherenttisen ekosysteemin, joka muuttaa B2B-yritysten sopimus- ja todennusprosesseja vuoden 2026 loppuun mennessä.

Jotta organisaatiot pysyisivät vaatimustenmukaisesti ja kilpailukykyisinä, niiden on toimittava nyt: tarkistaa luottamusketjunsa, valita uusien vaatimuksien mukainen palveluntarjoaja ja valmistaa dokumenttivirtansa digitaalisen eurooppalaisen lompakan integrointiin.

Certyneo auttaa sinua tässä siirtymässä eIDAS 2 -compliant-sähköisen allekirjoitusratkaisuilla, jotka ovat valmiita vuoteen 2026 mennessä. Pyydä esittely tai luo Certyneo-tilisi suojataksesi sopimuksesi jo tänään.