Siirtymä eIDAS 1:stä eIDAS 2:een: vaikutukset allekirjoitukseen vuonna 2025

Asetuksen (EU) 2024/1183 — yleisesti tunnetaan nimellä eIDAS 2 — julkaistiin 20. toukokuuta 2024 Euroopan unionin virallisessa lehdessä ja se kumosi asteittain asetuksen n:o 910/2014 (eIDAS 1). Tämä teksti edustaa syvällisintä uudistusta digitaalisessa henkilöllisyydessä ja sähköisessä allekirjoituksessa Euroopassa vuodesta 2016 lähtien. Ranskalaisille yrityksille, jotka käyttävät sähköisen allekirjoituksen ratkaisuja sopimusprosesseissaan, siirtyminen ei ole muodollisuus: se edellyttää teknisiä, juridisia ja organisatorisia muutoksia, joiden aikataulu ulottuu vuoteen 2026 ja sen jälkeen. Siirtymisen ymmärtäminen eIDAS 1:stä eIDAS 2:een ja sen vaikutus sähköiseen allekirjoitukseen vuonna 2025 on siksi tullut prioriteetiksi oikeusjohtajille, IT-johtajille ja henkilöstöjohtajille. Tämä artikkeli selittää kehyksen perustavanlaatuisia muutoksia, siirtymisen tarkkaa aikataulua ja konkreettisia toimenpiteitä, joita sinun tulee ryhtyä noudattamisen varmistamiseksi.

Mitä asetus eIDAS 2 muuttaa perustavanlaatuisesti

Vuoden 2014 säännöksestä vuoden 2024 uudistukseen: miksi tarkistus oli välttämätön

EIDAS 1 oli luonut pohjaa sähköisten allekirjoitusten keskinäiselle tunnustamiselle unionin sisällä. Kolme hierarkkista tasoa — yksinkertainen (SES), edistynyt (AdES) ja hyväksytty (QES) — strukturoivat allekirjoitusten todistamisarvoa, tukeutuen luottamuspalveluntarjoajien luetteloon (TSL). Mutta kymmenen vuodessa kaksi merkittävää puutetta ilmaantui.

Ensinnäkin alkuperäinen asetus koski pääasiassa suhteita julkisen hallinnon kanssa (G2B, G2C). Se ei luonut suoria velvoitteita yksityisissä liiketoimissa (B2B, B2C), jättäen normaattorin aukon, jonka kukin jäsenvaltio täytti eri tavalla. Toiseksi digitaalisten palvelujen kasvu — mobiilisovellukset, avoin pankkitoiminta, telemedisiini — oli paljastanut kannettavan ja interoperatiivisen digitaalisen henkilöllisyysjärjestelmän puutteen mannertasolla.

EIDAS 2 vastaa näihin kahteen haasteeseen ottamalla käyttöön Euroopan digitaalisen henkilöllisyyslompakon (EU Digital Identity Wallet, EUDIW) ja laajentamalla luottamuspalvelujen soveltamisalaa uusiin käyttötapauksiin: hyväksytty sähköinen arkistointi, hyväksytyt attribuuttitodistukset, hyväksytyt sähköiset rekisterit (mukaan lukien sertifioidut blockchain-sovellukset).

Uudet hyväksyttyjen luottamuspalvelujen luokat

Asetus eIDAS 2 laajentaa hyväksyttyjen luottamuspalvelujen luetteloa (artikla 3 ja uudistettu liite IV). Allekirjoituksiin, sinetöinteihin ja aikavarmenteisiin hyväksyttyihin palveluihin, jotka eIDAS 1 tunnusti, lisätään nyt:

• Hyväksytty sähköisen arkistoinnin palvelut (art. 34 bis): velvoite säilyttää allekirjoitettujen asiakirjojen eheys ja luettavuus pitkällä aikavälillä, palveluntarjoajille (QTSP) asetetuin vahvistetuin vaatimuksin.
• Hyväksytyt etäallekirjoituslaitteiden luomisen hallintapalvelut (QRCD): etäallekirjoitusratkaisujen (HSM cloud-pohjaisia) vahvistetumpi sääntely.
• Hyväksytyt attribuuttitodistukset: mekanismi, jonka avulla kolmannen osapuolen luottamuspalvelu voi todistaa yhteisön attribuutit (esim. asianajajan pätevyys, lääkärin status) ilman koko henkilöllisyyden paljastamista.
• Hyväksytyt sähköiset rekisterit: hajautettujen rekistereiden tunnustaminen tiukkojen tarkasteltavuuden ja palautumiskyvyn ehtojen alaisena.

Sähköisen allekirjoitusratkaisun käyttäjille tämä laajennus tarkoittaa, että hyväksytyt luottamuspalvelut markkinoilla monipuolistuvat, ja palveluntarjoajan (QTSP) valintakriteerit tulee sisällyttää näihin uusiin kykyihin.

EUDIW: digitaalisen henkilöllisyyslompakko allekirjoitusinfrastruktuurina

EIDAS 2:n näkyvin innovaatio on EUDIW. Jokainen jäsenvaltio asettaa saataville kansalaisilleen ja asukkailleen ilmaisen, kaikkien muiden jäsenvaltioiden kanssa interoperatiivisen digitaalisen henkilöllisyyslompakon 26. marraskuuta 2026 mennessä (kansallisen vaatimustenmukaisuuden määräaika artiklassa 5 bis). Tämä lompakko sallii:

• käyttäjän todentamisen korkealla varmuustasolla (LoA High) ilman kolmannen osapuolen tunnistuspalveluntarjoajaa;
• sähköisten asiakirjojen allekirjoittamisen hyväksytyllä tasolla (QES) suoraan lompakosta;
• henkilöllisyyden attribuuttien valintaisesti jakamisen (selective disclosure), mikä noudattaa GDPR:n tietojen minimoinnin periaatetta.

Yrityksille EUDIW yksinkertaistaa teoriassa henkilöllisyyden vahvistamismenettelyjä ennen hyväksyttyä allekirjoitusta, poistaen videon tunnistamisen tai henkilökohtaisen tunnistamisen kitkan. Käytännössä vaikutus riippuu kansallisen käyttöönoton rytmistä — Ranska käynnisti vuonna 2025 pilottikokeilu "France Identité" -ohjelman puitteissa.

Tarkka siirtymäaikataulu eIDAS 1:stä eIDAS 2:een

Säädöskäytännön välitavoitteet, jotka sinun tulisi tuntea

Asetus 2024/1183 tuli voimaan 20. toukokuuta 2024, mutta sen soveltaminen on asteittaista. Tässä ovat tärkeimmät määräajat:

| Päivämäärä | Tapahtuma | |------|----------| | 20. toukokuuta 2024 | Julkaisu virallisessa lehdessä, muodollinen voimaantulo | | 20. marraskuuta 2024 | 6 kuukauden määräaika komission täytäntöönpanosäädösten hyväksymiselle (EUDIW:n tekniset spesifikaatiot) | | Vuoden 2025 lopussa | ETSI:n uusittujen standardien julkaisu (EN 319 411-1/2, EN 319 401) eIDAS 2 -vaatimusten sisällyttämisellä | | 26. toukokuuta 2026 | Määräaika jäsenvaltioiden vaatimustenmukaisuudelle uusien hyväksyttyjen palvelujen kategorioissa | | 26. marraskuuta 2026 | Jokaisen jäsenvaltion EUDIW:n pakollinen asettaminen saataville | | 2027-2028 | Kansallisten luottamusluetteloiden (TSL) täydellinen tarkistus ja uusien QTSP:iden akkreditointi |

EIDAS 1 säilyy voimassa ja sen mukaisesti laadittujen allekirjoitusten koko oikeudellinen arvo säilyy. Ei ole velvoitetta uudelleenallekirjoittaa olemassa olevia asiakirjoja. Sen sijaan hyväksytyt luottamuspalveluntarjoajat joutuvat uusimaan akkreditointinsa uusien tekniikan standardien mukaisesti vuoteen 2027 mennessä.

Mitä ei muutu ja mihin sinun tulee kiinnittää huomiota

Jatkuvuus on siirtymän kardinalinen periaate. Kolme allekirjoitustasoa (SES, AdES, QES) säilytetään muuttumattomilla määritelmillä. Olettama vastaavuudesta käsinkirjoitettuun allekirjoitukseen, joka liittyy QES:ään (artikla 25 eIDAS 1, toistettu artiklassa 27 eIDAS 2) säilyy voimassa. Nykyisten sähköisten allekirjoitustesi todistamisarvo ei ole kyseenalainen.

Mitä sinun tulee kuitenkin seurata: Euroopan komission täytäntöönpanosäädökset julkaistaan koko 2025-2026 ajanjaksolla ja määrittelevät EUDIW:n ja uusien palveluluokkien tarkat tekniset spesifikaatiot. Nämä tason 2 tekstit ovat käytännön kannalta huomattavan tärkeitä integraattoreille ja ohjelmiston toimittajille. Yrityksille, jotka käyttävät sähköistä allekirjoitusta HR- tai lakiprosesseissaan, on suositeltavaa pyytää palveluntarjoajalta eIDAS 2 -vaatimustenmukaisuuden tiekartta.

Konkreettinen vaikutus yrityksille ja niiden allekirjoitusratkaisuille

Mitkä työnkulut ovat ensisijaisesti vaarassa?

Siirtyminen eIDAS 1:stä eIDAS 2:een ei vaikuta samalla tavalla riippuen käytetystä allekirjoitustasosta. Yrityksille kolme tilannetta erottuvat toisistaan:

Yksinkertainen sähköinen allekirjoitus (SES): käytetään pieniarvoisten muutoksien, vastaanottoilmoitusten, sisäisten lomakkeiden kirjaamiseen. Ei välitöntä päivitysvelvoitetta. Todistamissäännöt jäävät kansalaisylioikeuden (art. 1366-1367) ja ei suoranaisesti eIDAS:in hallinnon alaisina.

Edistynyt sähköinen allekirjoitus (AdES/AdESQC): yritykset, jotka käyttävät B2B-ratkaisuja kaupallisiin sopimuksiin, digitalisoituihin työsopimuksiin tai kiinteistöliiketoimiin, tulee tarkistaa, että heidän palveluntarjoajansa ylläpitää vaatimustenmukaisuutta ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) ja EN 319 142 (PAdES) standardeihin näiden uudelleenlaadittujen versioiden osalta eIDAS 2:lle. Nämä standardit julkaistaan ETSI:n toimesta vuoden 2025 loppuun mennessä.

Hyväksytty sähköinen allekirjoitus (QES): hyväksytyt palveluntarjoajat (QTSP) joutuvat siirtymään uuteen eIDAS 2 -akkreditointiin. Siirtymäkausi sallii kohtuullisen määräajan (vuoteen 2027 asti), mutta vuonna 2025 käynnistetyt tarjouspyynnöt pitäisivät sisällyttää eIDAS 2 -vaatimustenmukaisuusehdon valintakriteereihin. Organisaatioille, jotka vertailevat saatavilla olevia vaihtoehtoja, sähköisen allekirjoitusratkaisujen vertailu mahdollistaa toimittajien kypsyyden arvioimisen tässä asiassa.

Uudet vaatimukset hyväksytyille luottamuspalveluntarjoajille (QTSP)

EIDAS 2 tiukentaa QTSP:ille sovellettavia vaatimuksia kolmella pääalueella:

1. Järjestelmien turvallisuus: pakollinen sovittaminen NIS2:een (direktiivi (EU) 2022/2555) QTSP:ille, jotka nyt luokitellaan olennaisiksi entiteetiksi. Tämä johtaa poikkeamailmoitusvelvoitteeseen 24 tunnin kuluessa, vuosittaisiin turvallisuusauditoihin ja liiketoiminnan jatkuvuussuunnitelmien implementoitumiseen.

1. Vahvistettu vastuu: artikla 13 eIDAS 2 laajentaa QTSP:ien vastuujärjestelmää. Todistetussa laiminlyönnissä todistustaakka käännetään: palveluntarjoaja on osoitettava, ettei se ollut laiminlyönnissä, eikä päinvastoin.

1. Pakollinen yhteensopivuus: QTSP:iden on paljastettava EUDIW:n kanssa yhteensopivat standardisoidut sovellusliittymät (API) kokonaisintegroinnin mahdollistamiseksi. Tämä vaatimus kiihdyttää käyttäjien käytettävissä olevien integrointirajapintojen modernisoitumista.

Yrityksille, jotka harkitsevat palveluntarjoajien vaihtamista tässä tilanteessa, siirtyminen DocuSignista tai YouSignista eIDAS 2 -noudattavaan ratkaisuun on menetelmä, jota tulisi ennakoida nyt pikemmin kuin kiireellisesti vuonna 2027.

Henkilötiedot ja eIDAS 2: artikulaatio GDPR:n kanssa

EUDIW kerää ja käsittelee henkilöllisyyteen liittyviä henkilötietoja. Asetus eIDAS 2 määrää nimenomaisesti (johtosäännöt 11 ja artikla 5 bis §14), että koko järjestelmän on oltava GDPR:n mukainen (asetus (EU) 2016/679). Useita huomioitavia seikkoja:

• Valintainen paljastus: lompakko tulee mahdollistaa käyttäjälle jakaa vain sopimukselle ehdottomasti välttämättömät attribuutit (minimointi, art. 5(1)(c) GDPR). Sopimuksen allekirjoittamiseksi voitaisiin vain tarkistaa täysi-ikäisyys ilman täydellisen syntymäajan paljastamista.
• Siirrot EU:n ulkopuolelle: EUDIW:n yhteydessä käsitellyt henkilöllisyystiedot voidaan siirtää ETA:n ulkopuolelle vain asianmukaisilla takeilla (art. 46 GDPR). Yhdysvaltalaisiin pilveen infrastruktuureihin nojaavat palveluntarjoajat on dokumentoitava vaatimustenmukaisuutensa.
• Allekirjoituslokejen säilytys: allekirjoitustodisteiden arkistointi on noudatettava säilytysaikaa, joka on oikeassa suhteessa asiakirjan luonteeseen. Uusi hyväksytty arkisointipalvelu eIDAS 2 tarjoaa teknisen kehyksen vastaamaan tähän vaatimukseen.

Yritykset, jotka hallitsevat kansainvälisiä työsopimuksia, ovat erityisen huolenaiheena tämä GDPR/eIDAS 2 -artikulaatio, erityisesti silloin, kun allekirjoittajat asuvat EU:n ulkopuolella.

Siirtymään soveltuva lakien ja asetusten kehys eIDAS 1:stä eIDAS 2:een

Viite tekstit

Siirtyminen perustuu tekstien pinoutumiseen, jota on välttämätöntä hallita:

Euroopan tasolla:

• Asetus (EU) n:o 910/2014 (eIDAS 1): edelleen voimassa, kunnes eIDAS 2 sen asteittain kumoaa. Määrittää kolme allekirjoitustasoa (SES, AdES, QES) ja QTSP:ien järjestelmää.
• Asetus (EU) 2024/1183 (eIDAS 2): tuli voimaan 20. toukokuuta 2024. Muuttaa merkittävästi eIDAS 1:tä ilman sen välitöntä kumoamista. EUDIW:iin liittyvät määräykset sovelletaan täytäntöönpanosäädösten julkaisusta.
• Asetus (EU) 2016/679 (GDPR): sovelletaan täysimääräisesti henkilöllisyystietojen käsittelyyn EUDIW:n ja allekirjoitusprosessien yhteydessä. Artiklassa 5 bis §14 eIDAS 2:ssa muistutetaan tästä alistuksesta nimenomaisesti.
• Direktiivi (EU) 2022/2555 (NIS2): asettaa vahvistettuja kyberturvallisuusvelvoitteita QTSP:ille, jotka nyt luokitellaan olennaisiksi entiteeteiksi. Siirretty Ranskan oikeuteen asetuksella n:o 2024-821 20. kesäkuuta 2024 (täytäntöönpanosäädösten valmistelun yhteydessä).

Ranskan tasolla:

• Kansalaisoikeus, artiklat 1366 ja 1367: elektronisen muodon kirjallisen asiakirjan todistamisarvon perusta. Artikla 1366 vahvistaa elektronisen ja paperisen asiakirjan vastaavuuden ehdoilla. Artikla 1367 antaa hyväksytylle allekirjoitukselle (QES) saman todistamisarvon kuin käsinkirjoitetulle allekirjoitukselle.
• Asetus n:o 2017-1416 28. syyskuuta 2017: tarkentaa sähköisen allekirjoituksen käyttöehtoja yksityisillä asiakirjoilla. Jää sovellettavaksi siirtymäkauden ajan.
• Yleinen turvallisuusviitepaketti (RGS) v2: Ranskan hallinnon osalta RGS määrää ANSSI:n viittelevien ratkaisujen käyttöä. Sen päivitys eIDAS 2:n sisällyttämiseksi odotetaan 2026.

ETSI:n soveltuvat tekniset standardit

ETSI:n standardit muodostavat normatiivihuolto-järjestyksen tason 3. Nyt soveltuvat versiot:

• EN 319 132-1/2: XAdES-muoto (edistyneet XML-allekirjoitukset)
• EN 319 122-1/2: CAdES-muoto (edistyneet CMS-allekirjoitukset)
• EN 319 142-1/2: PAdES-muoto (edistyneet PDF-allekirjoitukset)
• EN 319 401: luottamuspalvelujen yleisiä vaatimuksia
• EN 319 411-1/2: hyväksyttyjä sertifikaatteja myöntävien viranomaisten vaatimuksia

Nämä standardit tarkistetaan vuoden 2025 loppuun mennessä sisällyttämään uusia eIDAS 2 -vaatimuksia. QTSP:n kanssa tehdyt sopimukset tulee sisällyttää lauseke, joka päivittää uusittuihin versioihin ilman lisäkuluja.

Ei-noudattamisen oikeudelliset riskit

Allekirjoitus, jonka on antanut palveluntarjoaja, joka ei enää olisi akkreditoitu vuoden 2027 jälkeen, ei automaattisesti menettäisi oikeudellista arvoa jo allekirjoitetuille asiakirjoille, mutta se ei enää hyötyisi käsinkirjoitetun allekirjoituksen vastaavuuden oikeudellisesta olettamuksesta (art. 25 eIDAS). Todistustaakka allekirjoituksen eheydestä ja allekirjoittajan henkilöllisyydestä loukkaisikin kokonaan yritykselle riitatapauksessa. Tämä todistustaakan riski on erityisen herkkä asiakirjoille, joiden vanhentumisaika on pitkä (5 vuotta kaupallisesti, 30 vuotta kiinteistöoikeuksille).

Käyttötapaukset: kuinka organisaatiot ennakoivat eIDAS 2 -siirtymää

Skenaario 1: 25 asianajajan asianajotoimisto rationalisoi dokumenttien vaatimustenmukaisuutta

Asianajotoimisto, joka erikoistuu liike-elämän oikeuteen, noin 25 asianajajaa ja aktiivisella mandaattien, siirtosakirjojen ja sopimusprotokollien allekirjoituksella oli vuoteen 2024 asti käytetty edistynyttä allekirjoitusratkaisua (AdES) kaikille työnkuluilleen. eIDAS 2:n ilmoitettua toimistolla tehtiin auditointi sen 1 200 vuosittain allekirjoitetusta asiakirjasta tunnistaakseen ne, jotka vaativat QES:ää sen palkkioliston uusien suositusten mukaisesti.

Tulos: 15 % asiakirjoista (noin 180 vuodessa) reklassifioitiin hyväksyttyyn allekirjoitukseen, mikä turvasi näiden asiakirjojen todistusjärjestelmää. Toimisto neuvotteli allekirjoitus-editorinsa kanssa lausekkeesta, joka takaa eIDAS 2 -vaatimustenmukaisuuden täytäntöönpanosäädösten julkaisusta ilman lisäkuluja. Allekirjoittajien henkilöllisyyden todentamiseen liittyvä hallinnollinen aika väheni 40 % ennakoitaessa EUDIW-integraatiota, joka on suunniteltu 2026:lle.

Skenaario 2: 150 työntekijän teollisuus-pk-yritys turvaa toimittajasopimusten ketjua

Teollisuus-pk-yritys, joka hallinnoi noin 350 toimittajasopimusta vuodessa — ostotilauksia, salassapitosopimuksia, puitesopimuksia — toimi kahdella erilaisella allekirjoitusratkaisulla sisä- ja ulkoisille työnkuluilleen, mikä loi häiriötekijöitä auditoinnin todistuksiin. eIDAS 2 -siirtymän ja uusien hyväksytyn arkistoinnin vaatimusten yhteydessä IT-johtaja päätti yhdistää alustansa.

Siirtymällä yhteen ratkaisuun, joka integroitiin hyväksyttyä sähköisen arkistoinnin (tulevaksi eIDAS 2 -kategorian), pk-yritys vähensi turvallisen tallennuksen kustannuksia 30 % ja konsolidoi allekirjoitustodisteet digitaaliseen turvallisuuskaappiin, joka oli vaatimuksiltaan. Koko dokumenttien ketju on nyt tarkastettavissa alle 2 minuutissa toimittajien hallinnon tarkastuksissa — kasvavaa vaatimusta heidän tilaajiensa autoteollisuudessa.

Skenaario 3: noin 600 sängyistä muodostuva sairaaloiden ryhmä valmistautuu EUDIW-integrointiin

Sairaaloiden ryhmä käytti hyväksyttyä sähköistä allekirjoitusta lääketieteellisille sopimuksille ja julkisille hankinnoille vaatimustenmukaisesti julkiseen hankintaan liittyvän lainsäädännön kanssa. eIDAS 2:n mukaan IT-palvelu tunnisti kaksi prioriteettista kysymystä: tulevaksi "France Identité" -lompakkoon integrointia laitoksessa toimiville vapaasti toimiville lääkäreille ja QTSP:n NIS2-vaatimustenmukaisuutta.

Sairaaloiden ryhmä merkitsi digitaalisen strategian suunnitelmaan 2025-2028 koskien tietyn eIDAS 2 -vaatimustenmukaisuuden lainauksen, jonka ennustettu budjetti oli 45 000 €. Tavoitteena on pystyä hyväksymään EUDIW:n kautta tehdyt allekirjoitukset kansallisen käyttöönottosta huolimatta, joka on suunniteltu marraskuulle 2026, jolloin sopimusprosessi vapaasti toimivien terveydenhuollon ammattilaisten kanssa vähenee 3 päivästä alle 4 tuntiin keskimäärin saatavilla olevien alan vertailujen mukaan.

Johtopäätös

Siirtyminen eIDAS 1:stä eIDAS 2:een ei ole katkaisu vaan jäsennelty kehitys, jonka aikataulu on tarkka ja ulottuu vuoteen 2027. Vaikutus sähköiseen allekirjoitukseen on todellinen — hyväksyttyjen palvelujen laajennus, EUDIW:n saapuminen, QTSP:ille asetettujen NIS2-vaatimusten tiukentaminen — mutta hallittavissa niin kauan kuin sitä ennakoida. Yritykset, jotka toimivat nyt hyötyvät liikkumavarasta työnkulkujen tarkasteluun, sopimusten turvaamiseen palveluntarjoajien kanssa ja tiimien kouluttamiseen ilman säädöksellisen kiireellisyyden painetta.

Certyneo tukee yrityksiä tässä siirtymässä selkeällä eIDAS 2 -vaatimustenmukaisuuden tiekarjalla, päivitetyillä allekirjoitusmuodoilla ja arkkitehtuurilla, joka on valmis EUDIW-integrointiiin. Haluatko turvata allekirjoitustyönkulkusi tässä uudessa säännösten kehyksessä? Tutustu tarjouksiimme ja aloita ilmaisesti Certyneon kanssa.