eIDAS 2 vs eIDAS 1: keskeiset muutokset pk-yrityksille

Johdanto: miksi eIDAS 2 muuttaa pelisääntöjä pk-yrityksille

Asetus (EU) 2024/1183 — joka tunnetaan yleisesti nimellä eIDAS 2 — tuli voimaan 20. toukokuuta 2024, kumoten ja korvaten asteittain asetuksen (EU) N:o 910/2014 (eIDAS 1). Ranskalaisille pk-yrityksille tämä siirtymä ei ole pelkkä hallinnollinen päivitys: se määrittelee uudelleen digitaalisen luottamuksen tasot, esittelee eurooppalaisen identiteettiportfolion (EUDIW), vahvistaa luottamuspalveluiden tarjoajille asetettuja vaatimuksia ja laajentaa tunnustettujen palvelujen aluetta. Tämä artikkeli vertaa eIDAS 1:tä ja eIDAS 2:ta kohdassa kerrallaan, tunnistaa konkreettiset operatiiviset vaikutukset pienille ja keskisuurille yrityksille ja antaa sinulle toimintasuunnitelman pysyä vaatimustenmukaisena vuonna 2026.

---

1. Katsaus: mitä eIDAS 1 perusti (2014-2024)

1.1 Alkuperäisen asetuksen perustukset

Hyväksytty heinäkuussa 2014 ja voimassa syyskuusta 2016 lähtien, eIDAS 1 perusti eurooppalaisen digitaalisen luottamuksen alueen ensimmäiset kivisääriö. Se esitteli kolme suurta sähköisen allekirjoituksen kategoriaa — yksinkertainen (SES), kehittynyt (AdES) ja pätevä (QES) — ja loi luotettavien palveluntarjoajien luettelon (Trusted List), joka on saatavilla Euroopan komission portaalissa.

Pk-yrityksille eIDAS 1:n suurin hyöty oli pätevien allekirjoitusten rajat ylittävä tunnustaminen: ranskalaisen QES:n kanssa allekirjoitettu sopimus tunnustettiin laillisesti Saksassa, Espanjassa tai Italiassa ilman apostillia tai muita formaliteeteja. Tämä periaate — ns. "syrjimättömyysperiaate" — oli se sokkelı, jolle SaaS-palvelut kuten Certyneo rakensivat palveluinsa.

1.2 Tunnistetut rajoitukset

Edistymisistään huolimatta eIDAS 1 kärsi useista puutteista, jotka Euroopan komissio dokumentoi vuoden 2021 arviointiraportissaan:

• Identiteettikaavioiden pirstoutuminen: vain EU:n jäsenvaltiot, joiden oli ilmoittanut kansallinen kaavio (kuten FranceConnect+ oleellinen taso), hyötyivät keskinäisestä tunnustamisesta. Vuonna 2023 vain 14 27:stä jäsenvaltiosta oli ilmoittanut vaatimuksenmukaisesta kaavioista.
• Puuttuva alkuperäinen mobiilituki: pätevä allekirjoituksen luontilaitteisto (QSCD) vaati usein älykortin tai matriisitunnisteen, mikä hankaloitti mobiiliomaksumista.
• Rajalliset luottamuspalvelut: eIDAS 1 luetteli yhdeksän pätevän palvelun tyyppiä; uusia käyttötapoja (pätevä sähköinen arkistointi, attribuuttien hallinta) ei ollut säännelty.
• Ei yhtenäistä identiteettiportfoliota: jokainen kansalainen tai yritys hallinnoi tunnisteitaan erillään, ilman taattua yhteentoimivuutta.

Nämä rajoitukset johtivat siihen, että komissio käynnisti revision vuonna 2020, minkä tuloksena syntyi asetus eIDAS 2 kolmen vuoden trilogi-neuvotteluiden jälkeen.

---

2. Viisi suurta uutuutta eIDAS 2:ssa pk-yrityksille

2.1 Eurooppalainen digitaalisen identiteetin portfolio (EU Digital Identity Wallet — EUDIW)

Tämä on säännön näkyvin uutuus. Kunkin EU:n jäsenvaltion on tarjottava väintään yksi sertifioitu digitaalisen identiteetin portfolio kansalaisilleen ja asukkailleen ennen marraskuuta 2026 (siirtymäaika, jonka artikla 5a määrää). Pk-yrityksille tällä kehityksellä on kaksi suoraa seurausta:

1. Asiakkaiden ja kumppaneiden todentamisen yksinkertaistaminen: lompakko mahdollistaa vahvistettujen attribuuttien jakamisen (ikä, intrayhteisöllinen ALV-numero, Kbis-ote, varmistetut pankkitiedot) ilman kitkaa. Puitesopimus saksalaisen kumppanin kanssa voidaan allekirjoittaa hänen ammattillisten attribuuttiensa välittömän vahvistamisen jälkeen hänen EUDIW:stään.
2. Vaatimus hyväksyä tietyt sektorit: suurten alustojen verkkotunnispalvelujen (artikla 45bis) ja tiettyjen julkisten palvelujen on hyväksyttävä EUDIW todennusmenetelmänä. Pk-yritykset, jotka tarjoavat B2B-portaaleja, joutuvat mukauttamaan todennussovellusrajapinnoitaan.

2.2 Pätevien luottamuspalvelujen luettelon laajennus

eIDAS 2 laajentaa pätevien luottamuspalvelujen katalogeja 9:stä 14 kategoriaan. Pk-yrityksille välittömästi liittyvät uudet merkinnät ovat:

• Pätevä sähköinen arkistointi (artikla 45septies): pitkäaikainen säilytys vahvistetulla oikeudellisella arvolla. Tähän asti arkistointi oikeudellisella arvolla perustui kansallisiin viitearvoihin (Ranskassa SIAF/ANSSI-viitearvot); eIDAS 2 yhdenmukaistaa eurooppalaisen kehikon.
• Pätevien allekirjoituslaitteiden etähallinta (RQSCD): nyt nimenomaisesti säännelty, se poistaa epäselvyydet, jotka painoivat pilven pätevän allekirjoitusratkaisun päällä. 50 työntekijän pk-yritykselle tämä tarkoittaa pätevän allekirjoituksen saatavuutta ilman fyysistä tunnistetta mistä tahansa laitteesta.
• Pätevä elektroninen rekisteri: lohkoketjuihin tai hajautetun pääkirjan teknologioihin perustuvat rekisterit voivat nyt saada pätevän statuksen, avaten uusia sopimusten hallintamalleja.

Lisätietoja allekirjoitustasoista ja niiden oikeudellisesta arvosta saat täydellisestä sähköisen allekirjoituksen oppaasta.

2.3 Pätevien luottamuspalvelun tarjoajien (QTSP) turvallisuusvaatimuksien vahvistaminen

eIDAS 2 tiukentaa pätevien luottamuspalvelun tarjoajien (QTSP) velvoitteita. Uusittu artikla 24 vaatii erityisesti:

• Kyberturvallisuussertifikaatio, joka on yhteensopiva eurooppalaisen kehyksen kanssa (EU Cybersecurity Act, asetus 2019/881), ja sektorikohtaiset kaaviot kehittyy ENISA:n toimesta.
• Vahvistuneet vaatimukset operatiivisen sietokyvyn osalta: QTSP:iden on nyt dokumentoitava jatkuvuussuunnitelmansa ja lähetettävä se kansalliselle valvontaelimelle (Ranskassa ANSSI päteville palveluntarjoajille).
• Velvoite ilmoittaa turvallisuuspoikkeamista 24 tunnin kuluessa (yhdenmukaistuminen NIS 2:n kanssa).

Käyttäjäpk-yrityksille tämä merkitsee lisääntynyttä varovaisuusvelvollisuutta palveluntarjoajan valinnassa: varmistaa, että ratkaisusi figuuroi päivitetyillä Trusted List -luettelolla, on nyt kriittinen ostoprosessin vaihe. Analyysissa voi auttaa sähköisen allekirjoitusratkaisujen vertailu.

2.4 Identiteettikaavioiden pakollinen yhteentoimivuus

Siinä missä eIDAS 1 jätti jäsenvaltioille vapauden ilmoittaa (tai olla ilmoittamatta) kaaviot, eIDAS 2 tekee ilmoittamisen ja yhteentoimivuuden pakolliseksi julkisten verkkotunnispalveluissa käytettäville identiteettikaavioille (artikla 5). France Identité — sisäministeriön johtama kansallinen kaavio — on sertifioinneissa, jotka ovat yhteensopivat komission julkaisemien EUDIW-tekniisten erittelyjen kanssa säädöksessä (EU) 2024/2977.

Pk-yritykselle, joka on säännöllisesti vuorovaikutuksessa hallinnon viranomaisten kanssa (julkiset hankinnat, sähköiset ilmoitukset, tulli), tämä kehitys tarkoittaa, että verkkotunnispalvelut yhdenmukaistuvat progressiivisesti ympäri EU:n tunnustetun digitaalisen tunnisteen ympärille.

2.5 Uudet vastuun ja valvonnan säännöt

eIDAS 2 selventää ja laajentaa palveluntarjoajien vastuun sääntöjä (uusittu artikla 13). QTSP on nyt vastuussa kaikista vahingoista, joita fyysinen tai oikeushenkilö kärsii sen velvoitteiden rikkomisesta, ellei se osoita syyttömyyttä. Tämä vastuuolettama, eIDAS 1:een verrattuna vahvistettu, on kannustettava pk-yrityksiä:

• Muodollistaa palveluntarjoajansa sitoumukset sopimuksella (SLA, saatavuustakuut, korvaukset).
• Tarkistaa QTSP:n vakuutusvastuuturvan kattavuus.
• Säilyttää merkinnät allekirjoitettujen transaktioiden auditoinnista (aikaleimat, allekirjoituksen vahvistusraportit).

Tiimillämme on laadittu yksityiskohtainen opas sähköisestä allekirjoituksesta yrityksessä, joka käsittelee näitä sopimukseen liittyviä näkökohtia.

---

3. Vertailutaulukko eIDAS 1 vs eIDAS 2: mitä muuttuu käytännössä

3.1 Päämuutosten yhteenveto

| Kriteeri | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Identiteettiportfolio | Puuttuu | EUDIW pakollinen (jäsenvaltiot) | | Päteviä palveluita | 9 kategoriaa | 14 kategoriaa (arkistointi, RQSCD, rekisterit…) | | Kaavioiden ilmoitus | Vapaaehtoinen | Pakollinen julkisille palveluille | | QTSP-turvallisuus | Common Criteria -kriteerit | Cybersecurity Act + ENISA-mallit | | QTSP-vastuu | Osittainen | Vahvistettu vastuuolettama | | Poikkeaman ilmoitusaika | Ei määritetty | 24 tuntia (yhdenmukaistuminen NIS 2) | | Mobiili-QSCD | Oikeudellinen epäselvyys | RQSCD nimenomaisesti säännelty |

3.2 Merkittävät aikataululliset rajaajat vuodelle 2026

• Toukokuu 2024: säännön (EU) 2024/1183 voimaantulo.
• Marraskuu 2026: määräaika, jonka mennessä jokaisen jäsenvaltion on tarjottava vähintään yksi sertifioitu EUDIW-ratkaisu.
• 2027: suurten alustojen (artikla 45bis) velvoite hyväksyä EUDIW todennusmenetelmänä.
• 2028: aiemmin suunniteltu teknisten täytäntöönpanosovellusten (EUDIW-tekniset erittelyn säädökset) tarkistus.

Jos pk-yrityksesi harkitsee siirtymistä vaatimuksenmukaisempaan ratkaisuun, Certyneoon siirtymisen tarjous sisältää ilmaisen eIDAS 2 -vaatimustenmukaisuuden auditin.

---

4. Käytännön toimintasuunnitelma pk-yrityksesi eIDAS 2 -vaatimustenmukaisuuden varmistamiseksi

4.1 Nykyisten dokumenttivirtojen auditointi

Aloita kartoittamalla kaikki prosessit, joissa käytät tällä hetkellä sähköistä allekirjoitusta tai digitaalista identiteettiä: toimittajasopimukset, palkkakuitit, SEPA-mandaatit, salassapitosopimukset, HR-asiakirjat. Tunnista kullekin virrolle:

• Käytetty allekirjoituksen taso (SES, AdES, QES).
• Nykyinen palveluntarjoaja ja sen asema Trusted List -luettelossa.
• Oikeudellinen riskitaso riitaisuuden varalta.

Tämä auditointi on suositeltu lähtöpiste, jonka ANSSI julkaisee siirtymisoppaastaan, joka julkaistiin maaliskuussa 2025.

4.2 Allekirjoitusratkaisun päivittäminen

Jos nykyinen palveluntarjoajasi ei ole Trusted List eIDAS 2:ssa tai tarjoa vielä RQSCD:tä, on aika vertailla markkinoiden tarjouksia. Certyneo on sertifioitu QTSP, joka tukee kolmea allekirjoitustasoa (SES, AdES, QES) ja integroi natiivisti uudet eIDAS 2 -vaatimukset, erityisesti pätevä arkistointi ja laitteiden etähallinta.

4.3 Tiimien koulutus ja sopimusten päivitys

eIDAS 2 vahvistaa pätevien allekirjoitusten oikeudellista arvoa, mutta asettaa myös hyviä dokumentaatiokäytäntöjä. Varmista, että lakiosastosi ja hallintotiimisi:

• Tietävät erottaa kolme allekirjoitustasoa ja niiden oikeudellinen arvo.
• Sisällyttävät toimittajasopimuksiin eIDAS-vaatimustenmukaisuusauditin lausekkeen.
• Säilyttävät allekirjoituksen vahvistamisen todisteet (vahvistusraportti, pätevä aikaleima) sovellettavan säilytysmääräyksen ajan (3–10 vuotta asiakirjan luonteesta riippuen).

Tämän lähestymistavan järjestämiseksi sähköisen allekirjoituksen ROI-laskin antaa sinulle mahdollisuuden mitata uudistaukseen liittyvät operatiiviset hyödyt.

Sovellettava oikeudellinen kehys

Viittausasiakirjat

Pk-yrityksen eIDAS 2 -vaatimustenmukaisuus koskee säännöllisen kirjoituksen tasoa, joka on olennainen hallita.

Euroopan parlamentin ja neuvoston asetus (EU) 2024/1183 (ns. "eIDAS 2"): tämä on perustava asiakirja, julkaistu virallisessa lehdessä (JOUE) 30. huhtikuuta 2024. Se kumoaa ja korvaa asetuksen (EU) N:o 910/2014 ottamisen aikataulun mukaisesti, joka ulottuu vuoteen 2027 asti. Sillä on välitön soveltamisvaikutus kaikissa jäsenvaltioissa ilman kansallisen lainsäädännön muuttamista sen pääsäännöille.

Asetus (EU) N:o 910/2014 (eIDAS 1): jotkut sen säännöksistä pysyvät voimassa eIDAS 2:n määräämillä siirtymäkausilla, erityisesti palveluntarjoajille, jotka ovat saaneet kelpoisuuden ennen toukokuuta 2024 ja joilla on arvonaika paikalleen sertifioitua uudelleen.

Ranskan siviililaki, artikla 1366 ja 1367: artikla 1366 asettaa sähköisen asiakirjan ja paperisähköisen dokumentin vastaavuuden periaatteen edellyttäen, että "henkilö, josta se lähteistä, voidaan asianmukaisesti tunnistaa ja se on luotu ja säilytettävä olosuhteissa, joissa sen eheys on taattu". Artikla 1367 tunnustaa sähköisen allekirjoituksen todistemuodoksi ja viittaa dekreetin asettamiin ehtoihin (määräys N:o 2017-1416 28. syyskuuta 2017, kodifioitu siviililain artiklan 1369-1 ja 1369-10 R-määräyksissä).

Asetus (EU) 2016/679 (GDPR): EUDIW:n käyttöönotto ja identiteettiattribuuttien käsittely sähköisen allekirjoituksen virroissa muodostavat henkilötietojen käsittelyä GDPR:n tarkoituksessa. Pk-yritysten on varmistettava, että niiden QTSP toimii GDPR:n artiklan 28 mukaisen alitoimittajan roolissa, jolla on vaatimuksenmukaisuusehto (DPA). CNIL julkaisi tammikuussa 2026 suosituksen EUDIW-GDPR-integraatiosta.

Direktiivi (EU) 2022/2555 (NIS 2): eIDAS 2 on selvästi linjassa NIS 2:n kanssa poikkeamailmoitusten velvoitteista (eIDAS 2:n artikla 24, §2, joka viittaa NIS 2 säännöksiin). QTSP:t katsotaan NIS 2:n tarkoituksissa "olennaisiksi" tai "tärkeiksi" yhteisöiksi heidän kokonsa perusteella ja joutuivat tämän vuoksi säännöllisten turvallisuustarkistusten kohteeksi.

ETSI-standardit: pätevät sähköiset allekirjoitukset noudattavat ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) ja ETSI EN 319 102-1 (vahvistusmenettely) -standardeja. Standardi ETSI TS 119 461 säätelee etäidentiteetin vahvistamista (IDV), erityisen olennaista RQSCD:lle.

Oikeudellisten vaatimusten riskitilastot

Sähköisen allekirjoitusratkaisun käyttäminen, joka ei ole eIDAS 2 -vaatimuksenmukaisuus, altistaa pk-yrityksen useille riskeille:

• Vetovoimattomuus oikeudessa: tuomari voi hylätä sähköisen allekirjoituksen, jonka taso ei vastaa allekirjoitettua asiakirjaa (esim. yksinkertainen allekirjoitus asiakirjalle, joka vaatii kehittynyttä tai pätevää tasoa).
• Sopimuksiin liittyvä vastuu: jos sopimusta riitauttaa kumppani allekirjoituksen nulliteetin perusteella, pk-yritys voi altistua korvaushakemuksille.
• GDPR-seuraamukset: GDPR:n artiklan 83 §4 sallia CNIL:n määrätä seuraamuksia tietosuojan loukkauksista, joista johtuu palveluntarjoajan turvallisuuspuutteesta, jopa 4 prosenttia vuosittaisesta maailmanlaajuisesta liikevaihdosta.

Konkreettiset käyttöskenaariot

Skenaario 1: 80 henkilökunnan teollisuus-pk-yritys, joka hallinnoi 400 toimittajasopimusta vuodessa

Metalliteollisuuden pk-yritys, joka käsitteli noin 400 toimittajasopimusta vuodessa, käytti vuoteen 2024 saakka kaikkia sitoumustariffejaan yksinkertaista sähköistä allekirjoitusta (SES), myös sopimuskuiteja yli 50 000 euron, jotka ylittävät. Vaatimustenmukaisuusauditointiin eIDAS 2:sta, se havaitsi, että 35 prosenttia sopimuksistaan tarvitsi kehittyneen tai pätevän allekirjoituksen kestääkseen oikeudellisen riitaisuuden, erityisesti muissa EU:n jäsenvaltioissa sijaitsevien toimittajien kanssa.

Siirtymällä ratkaisuun, joka yhdisti kehittyneet allekirjoitukset (AdES) tavallisiin sopimuksiin ja pätevät (QES) puitesopimuksiin sekä aktivoimalla elektronisen arkistoinnin (uusi eIDAS 2 -palvelu), tämä pk-yritys pienensi allekirjoituksen jälkeiseen dokumentintenhallintoon kuluvaa aikaa (järjestys, haku, sertifikaattien kopioiden lähetys) 70 % ja vähensi allekirjoitukseen liittyvät riitaisuudet nollaan seuraavan 18 kuukauden aikana vastaavasti kahdelle tapaukselle kahdeksan kuukauden edellä.

Skenaario 2: 15 oikeudellisen neuvonnan yhteistyötoimisto

Liiketoiminta-alan oikeuden erikoistunut neuvontotoimisto, joka laskutaa vuosittain noin 1 200 allekirjoitettua asiakirjaa (toimeksiannot, valtuutukset, salassapitosopimukset), kohtasi kasvavaa kysynnän koko EU:ssa tunnustettavista pätevistä allekirjoituksista. eIDAS 1:n alla, pätevän sertifikaatin saaminen vaati henkilökohtaisen kohtaamisen tai pitkän videoiden vahvistamismenettelyn (45–90 minuuttia käyttäjää kohti).

RQSCD:n ansiosta (etälaatuinen allekirjoituslaitteen luonti), jota eIDAS 2 säätelee, neuvontotoimisto pystyi käyttöönottamaan pätevän allekirjoituksen kaikille työntekijöilleen alle kahdessa viikossa täysin etäisen ilmoitusmenettelyn kautta, joka vastaa ETSI TS 119 461 -normin vaatimusta. Sisäisen käyttöasteen nousut lähestyivät 40 prosentista 95 prosenttiin kolmen kuukauden kuluttua, ja allekirjoitettujen asiakirjojen keskimääräinen palautusaika vähensi 4,2 päivästä alle kuudeksi tunniksi toimiston sisäisten mittausten mukaan.

Skenaario 3: Kolmessa EU-maassa toimiva sähköisen kaupan pk-yritys

35 henkilön yritys, joka myy verkon välityksellä ja toimii Ranskassa, Belgiassa ja Alankomaissa, joutui hallinnoimaan kolmen tyyppisiä sähköisiä sopimuksia: työsopimuksia paikallisille työntekijöille, kumppanuussopimuksia kuljettajien kanssa ja SEPA-mandaatteja ammattilaisille asiakkaille. Kansallisten vaatimusten pirstoutumisvaikutus eIDAS 1:n alla pakotti sen ylläpitämään kolmea erillistä allekirjoitustyönkulkua, joiden hallintokustannukset arvioitiin noin 12 000 euroon vuodessa.

Yksittäinen, eIDAS 2:ta noudattava ratkaisu — joka sisältää pätevien allekirjoitusten keskinäisen tunnustamisen kolmessa maassa — mahdollisti työnkulkujen yhdistämisen ja vähensi hallintokustannuksista noin 4 500 euroon vuodessa (62 prosentin säästöt) ja poisti oikeuspalvelun toimittaman ulkomaisten allekirjoitusten manuaalisen vahvistuksen viivästykset.

Johtopäätös

eIDAS 2 ei ole pelkkä kosmeettinen tarkistus säännösten kehykseen: se määrittelee uudelleen Euroopan digitaalisen luottamuksen pelisääntöjä syvällisesti. Ranskalaisille pk-yrityksille viiden pääuutuuden — EUDIW-portfolio, laajennetut pätevät palvelut, RQSCD, pakollinen yhteentoimivuus ja vahvistettu vastuu — edustaa sekä vaatimustenmukaisuuden rajoitusta että dokumentteimuodokksenmuuttamisen kiihdyttämisen mahdollisuutta.

Pk-yritykset, jotka ennakoivat näitä muutoksia jo tänään, hyötyvät todellisesta kilpailuedusta: sopimukset tunnustetaan koko EU:ssa ilman kitkaa, arkistointi oikeudellisella arvolla on integroitu, ja sopimuksenallekirjoitus-prosessit ovat täysin sähköisiä ja turvallisia.

Certyneo on suunniteltu helpottamaan tätä siirtymää. Aloita ilmainen kokeilu certyneo.com-sivustolla ja hyödy ilmaisesta eIDAS 2 -vaatimustenmukaisuusauditista nykyisille dokumenttivirroille.