eIDAS-asetus: ymmärrä kaikki sähköisestä allekirjoituksesta Euroopassa
Päivitetty
eIDAS-asetus on sähköisen allekirjoituksen perustava teksti Euroopassa. Se määrittää kolme allekirjoitustasoa (yksinkertainen, kehittynyt, hyväksytty), vahvistaa sähköisten asiakirjojen oikeudellisen arvon ja säätelee luottamuspalveluntarjoajia. Tämä opas selittää kaiken, mitä sinun tarvitsee tietää ollaksesi vaatimustenmukainen vuonna 2026.
Mikä on eIDAS ja miksi se luotiin?
Ennen eIDASia jokaisella Euroopan unionin jäsenvaltiolla oli oma sääntelynsä sähköisistä allekirjoituksista, mikä loi oikeudellista pirstoutumista, joka hidasti rajat ylittävää kauppaa. Ranskassa pätevää sähköistä allekirjoitusta ei välttämättä tunnustettu Saksassa tai Espanjassa.
Asetus (EU) N:o 910/2014, niin sanottu eIDAS (Electronic IDentification, Authentication and trust Services), hyväksyttiin 23. heinäkuuta 2014 ja tuli sovellettavaksi 1. heinäkuuta 2016. Asetuksena (ei direktiivinä) sitä sovelletaan suoraan ja yhtenäisesti kaikissa 27 jäsenvaltiossa ilman kansallista täytäntöönpanoa.
eIDAS tavoittelee kolmea päätavoitetta: luoda digitaalinen sisämarkkinat Eurooppaan sähköisten identiteettien vastavuoroisen tunnustuksen avulla, taata rajat ylittävien sähköisten liiketoimien oikeudellinen turvallisuus ja luoda luottamuksen kehys digitaalisille palveluille hyväksyttyjen luottamuspalvelujen tarjoajien kautta (QTSP — Qualified Trust Service Provider).
eIDAS-asetuksen määrittämät 3 allekirjoitustasoa
eIDAS asettaa kolmen sähköisen allekirjoituksen tason pyramidin, joista kullakin on omat tekniset vaatimuksensa ja todistusarvonsa.
Yksinkertainen sähköinen allekirjoitus
eIDAS-vaatimukset
- Sähköisessä muodossa olevat tiedot liitettynä muihin tietoihin
- Käytetään allekirjoittamiseen (ei erityisiä teknisiä vaatimuksia)
- Voi olla yksinkertainen klikkaus, valintaruudun merkitseminen tai syötetty nimi
Käyttöesimerkit
- Käyttöehtojen hyväksyminen
- Verkkolomake
- Vahvistusviesti
Oikeudellinen arvo
Sopimusperusarvo, ei oikeudellista olettamaa
Kehittynyt sähköinen allekirjoitus
eIDAS-vaatimukset
- Liitetty allekirjoittajaan ainutlaatuisesti
- Mahdollistaa allekirjoittajan tunnistamisen
- Luotu tiedoilla, jotka ovat allekirjoittajan yksinomaisessa hallinnassa
- Kaikki asiakirjan myöhemmät muutokset ovat havaittavissa
Käyttöesimerkit
- Työsopimukset
- NDA:t
- Kauppasopimukset
- Toimeksiannot
Oikeudellinen arvo
Vahva todistusarvo — suositeltava tärkeisiin sopimuksiin
Hyväksytty sähköinen allekirjoitus
eIDAS-vaatimukset
- Täyttää kaikki AES:n vaatimukset
- Luotu hyväksytyllä allekirjoituksen luontilaitteella (QSCD)
- Perustuu QTSP:n myöntämään hyväksyttyyn varmenteeseen (EU-luottamusluettelo)
Käyttöesimerkit
- Digitaaliset viralliset asiakirjat
- Vaativat julkiset hankinnat
- Säännellyt asiakirjat
Oikeudellinen arvo
Oikeudellinen olettama vastaa käsin kirjoitettua allekirjoitusta (eIDAS-artikla 25)
eIDAS 2.0: vuoden 2024 uudistukset
eIDAS-asetusta on tarkistettu asetuksella (EU) 2024/1183, joka julkaistiin Euroopan unionin virallisessa lehdessä 30. huhtikuuta 2024 ja tuli voimaan 20. toukokuuta 2024. Tämä tarkistus modernisoi alkuperäistä kehystä vastaamaan nykydigitaalisuuden haasteisiin: kansalaisten digitaalinen identiteetti, suvereeni pilvi, luottamuspalvelujen tarjoajien resilienssi.
eIDAS 2.0:n lippulaivamuutos on Euroopan digitaalinen identiteettilompakko (EUDIW). Vuoden 2026 loppuun mennessä kunkin jäsenvaltion on tarjottava kansalaisilleen ja asukkailleen sovellus, jolla voi tallentaa ja esittää sertifioituja identiteettitositteita — digitaalinen vastine henkilökortille, ajokortille, tutkintotodistuksille. Tämä kehitys vaikuttaa suoraan hyväksyttyihin allekirjoitusprosesseihin.
Digitaalinen identiteettilompakko (EUDIW)
eIDAS 2.0 tuo mukanaan European Digital Identity Walletin: jokainen eurooppalainen kansalainen voi tallentaa sertifioidut identiteettitositteensa (henkilökortti, ajokortti, tutkintotodistukset) mobiilisovellukseen, joka on yhteentoimiva koko EU:ssa.
QTSP-palveluntarjoajien vaatimusten vahvistaminen
Hyväksyttyjen luottamuspalvelujen tarjoajiin (QTSP) sovellettavia vaatimuksia vahvistetaan erityisesti kyberturvallisuuden, auditointien ja palvelun jatkuvuuden osalta.
Uudet luottamuspalvelut
eIDAS 2.0 lisää uusia hyväksyttyjä palveluita: hyväksytty sähköinen arkistointi, hyväksytty ominaisuustietojen hallinta, hyväksytty sähköinen rekisteri (sertifioitu lohkoketju).
Vahvennettu yhteentoimivuus
Parempi digitaalisten identiteettien vastavuoroinen tunnustus jäsenvaltioiden välillä. Missä tahansa EU-maassa myönnetyt hyväksytyt allekirjoitukset tunnustetaan kaikkialla.
Miten olla eIDAS-yhteensopiva käytännössä?
eIDAS-yhteensopivuus ei rajoitu allekirjoitustason valintaan. Se sisältää koko prosessin pohdinnan: riskien tunnistamisen, työkalujen valinnan, todisteiden säilyttämisen ja asiakirjahallinnan.
Tässä on käytännön tarkistuslista yrityksille, jotka haluavat turvata sähköiset allekirjoitusprosessinsa eIDAS-asetuksen mukaisesti:
Certyneon eIDAS-vaatimustenmukaisuuden lähestymistapa
Certyneo toteuttaa eIDAS-asetuksen SES (yksinkertainen sähköinen allekirjoitus) ja AES (kehittynyt sähköinen allekirjoitus) -tasot. Kehittynyt allekirjoitus perustuu kaksivaiheiseen tunnistukseen: kertakäyttöinen sähköpostilinkki ja SMS:llä OTP SMSn kautta lähetetty OTP-koodi. Tämä mekanismi täyttää eIDAS-artiklan 26 neljä kriteeriä kehittyneelle allekirjoitukselle.
Jokainen kuori luo täydellisen tarkastusjäljen: jokaisen toiminnon (lähetys, linkin avaaminen, OTP:n vahvistus, allekirjoituksen lisääminen, mahdollinen hylkäys) aikaleimaus, allekirjoittajan IP-osoite, selaimen käyttäjäagentti. Tämä tarkastusjälki integroidaan lopullisen PDF:n jokaisen sivun alareunaan (tarkastusalatunniste) ja säilytetään 10 vuotta.
Tiedot on ylläpidetty Ranskassa (IONOS-infrastruktuuri) Euroopan unionissa digitaalisen suvereniteetin vaatimusten ja GDPR:n mukaisesti. Tutustu tietoturva- ja vaatimustenmukaisuus -sivuumme saadaksesi kaikki tekniset yksityiskohdat.
Usein kysytyt kysymykset eIDAS-asetuksesta
Mikä on eIDAS-asetus?
eIDAS (Electronic Identification, Authentication and Trust Services) on eurooppalainen asetus (EU) N:o 910/2014, joka luo yhteisen oikeudellisen kehyksen sähköisille allekirjoituksille, sähköisille leimoille, aikaleimoille, sähköisille rekisteröityihin lähetyspalveluihin ja verkkosivustojen todennuspalveluihin Euroopan unionissa. Se tuli voimaan 1. heinäkuuta 2016 ja sitä sovelletaan suoraan kaikissa 27 jäsenvaltiossa.
Mikä on ero eIDASin ja eIDAS 2.0:n välillä?
eIDAS 2.0 (asetus (EU) 2024/1183, voimaantulo 20. toukokuuta 2024) modernisoi eIDAS 1.0:aa tuomalla erityisesti Euroopan digitaalisen identiteettilompakon (EUDIW — European Digital Identity Wallet), joka mahdollistaa eurooppalaisten kansalaisten tallentaa sertifioituja digitaalisia identiteettitositteita. Yrityksille eIDAS 2.0 vahvistaa hyväksyttyjen luottamuspalvelujen tarjoajien (QTSP) vaatimuksia ja parantaa rajat ylittävää yhteentoimivuutta.
Onko yksinkertaisella sähköisellä allekirjoituksella oikeudellinen arvo eIDAS-asetuksen mukaan?
Kyllä. eIDAS-artikla 25 kieltää nimenomaisesti epäämästä sähköiseltä allekirjoitukselta oikeusvaikutuksia pelkästään sillä perusteella, että se on sähköisessä muodossa. Yksinkertaisella allekirjoituksella (SES) on siis oikeudellinen arvo, mutta se ei hyödy hyväksytyille allekirjoituksille (QES) varatusta oikeudellisesta olettamasta. Kiistatilanteessa allekirjoitukseen vetoavan tulee todistaa sen aitous.
Miten tiedän, minkä eIDAS-tason valita sopimuksilleni?
Yleissääntö on kalibroida taso asiakirjan oikeudelliseen ja kaupalliseen riskiin. Tavallisille, vähäisen riskin asiakirjoille (tarjoukset, sisäiset tilaukset) yksinkertainen allekirjoitus riittää. Tärkeille kauppasopimuksille, työsopimuksille, NDA:ille tai toimeksiannoille kehittynyt allekirjoitus (AES) on suositeltava. Hyväksytty allekirjoitus (QES) on varattu tilanteisiin, joissa laki sen nimenomaisesti vaatii (tietyt hallinnolliset asiakirjat, suuret julkiset hankinnat) tai joissa kiistanriski on maksimaalinen.
Miten Certyneo on eIDAS-yhteensopiva?
Certyneo toteuttaa yksinkertaisen allekirjoituksen (SES) ja kehittyneen allekirjoituksen (AES) eIDAS-asetuksen mukaisesti. Kehittynyt allekirjoitus perustuu kaksoiskanavaiseen sähköposti- ja SMS-OTP:hen (OTP SMS), joka yhdistää allekirjoittajan tekoonsa. Jokainen kuori luo aikaleimatun tarkastusjäljen, joka on integroitu lopulliseen PDF:ään. Tiedot on ylläpidetty Ranskassa (EU) digitaalisen suvereniteetin vaatimusten mukaisesti.
Sovelletaanko eIDASia yrityksiin EU:n ulkopuolelle?
eIDAS koskee EU:ssa tarjottavia luottamuspalveluita. EU:n ulkopuolelle sijoittautuneen yrityksen, joka haluaa allekirjoitustensa tunnustettavan EU:ssa, on käytettävä eIDAS-yhteensopivaa ratkaisua tai jäsenvaltion luottamusluetteloon merkittyä hyväksyttyä luottamuspalvelujen tarjoajaa (QTSP). Kansainvälisessä B2B-kaupassa on vastavuoroisia tunnustussopimuksia tiettyjen kolmansien maiden kanssa.