eIDAS 2: הוראה האירופית החדשה מוסברת ב-2026

מבוא: למה eIDAS 2 משנה הכל לחברות אירופיות

התקנון שנכנס לתוקף ב-20 במאי 2024 אחרי הולדה חקיקתית ארוכה, התקנון eIDAS 2 — בשם רשמי Regulation (EU) 2024/1183 — מייצג את הרפורמה החסונה ביותר שנעשתה אי פעם בתחום הזיהוי האלקטרוני ותוקף השירותים באירופה. הוא מבטל ומחליף חלקית את התקנון eIDAS המקורי של 2014 (n°910/2014), תוך שמירה על תאימות לאחור עם הבסיס התשתיתי הקיים. לחברות הפונות לעזרה חתימה אלקטרונית תואמת eIDAS, עיצוב מחדש זה מציג התחייבויות חדשות, הזדמנויות חדשות ולוח זמנים של עמידה בתקנות חזק עד 2026 ומעבר לכך. מאמר זה מפענח בעומק את ההוראות המרכזיות של הטקסט, ההשלכות התפעוליות שלהם וכיצד הארגון שלך יכול להכין את עצמו.

---

מה התקנון eIDAS 2 משנה בעצם

מהתקנון של 2014 לגרסה 2024: עיצוב מחדש מבני

התקנון eIDAS המקורי של 2014 הניח את היסודות של הכרה הדדית של תוכניות זיהוי אלקטרוני בין מדינות חברות והקים מסגרת משפטית מאוחדת לשירותי תוקף (חתימה, חותם, חותמת זמן וכו'). אך עשור מאוחר יותר, המגבלות היו בוטות: שיעור הטמעה נמוך של eID שהודעו עליהם, פיצול של פתרונות לאומיים, היעדר של ארנק דיגיטלי אוניברסלי לאזרחים, ובעיקר חוסר התאמה לשימושי אינטרנט (GAFAM לא כלול במסגרת התוקף).

eIDAS 2 מתקן את החסרונות הללו בשלוש צירים עיקריים:

1. הארנק האירופי של זהות דיגיטלית (EUDI Wallet) — כל מדינה חברה חייבת להציע, לא יאוחר מנובמבר 2026, יישום ארנק דיגיטלי המאפשר לכל אזרח או תושב אירופי לאחסן ולהציג את המאפיינים שלו של זהות (תעודת זהות, רישיון נהיגה, דיפלומות וכו') בצורה מאובטחת.
2. הרחבת שירותי תוקף מוסמכים — הטקסט מוסיף שירותים מוסמכים חדשים: ניהול ארכיון אלקטרוני מוסמך (QESAP), דוחות של תכונות זהות מוסמכות (QEAA), ספרי חשבונות אלקטרוניים מוסמכים (QLED) וניהול של התקנים יצירת חתימה מרחוק (QRCD).
3. התחייבות לפלטפורמות גדולות — ספקי שירותים מקוונים בגודל גדול (רשתות חברתיות, שוקי מכולת) צריכים לקבל את ארנק EUDI לאימות משתמשים.

הארנק EUDI Wallet: ארכיטקטורה ותפעול

EUDI Wallet נמצא במרכז eIDAS 2. בפועל, זה יישום תוכנה — סופק או מוסמך על ידי כל מדינה חברה — המתבסס על מודל מחוזה של הצגה סלקטיבית של המאפיינים. המשתמש משדר רק את הנתונים בדיוק הנחוצים לעסקה (עיקרון מינימיליזציה, תואם ל-GDPR).

מנקודת מבט טכנית, הארכיטקטורה מתבססת על המפרטות של Architecture Reference Framework (ARF), פורסם על ידי הנציבות האירופית ועודכן באופן קבוע על ידי Large Scale Pilot (LSP) המאחד ארבעה קונסורציומים פיילוט (DC4EU, EWC, POTENTIAL, NOBID). פורמטי הנתונים שנבחרו הם בעיקר ISO/IEC 18013-5 (mDL/mDocs) ו-W3C Verifiable Credentials, המבטיחים אינטרופטרביליות חוצה גבולות.

לחברות, זה אומר שהן יוכלו, בסופו של דבר, לאמת את זהות הלקוחות שלהן או שותפים דרך הארנק ללא ניהול בעצמן של אוסף מסמכי תמיכה — מה שמפחית מאוד את החיכוך KYC (Know Your Customer) ואת הסיכונים של הונאת מסמכים.

---

רמות הגרנציה וההיררכיה של החתימות: מה משתנה

שמירה על היררכיית QES / AdES / SES

המשטר של חתימות אלקטרוניות נשאר מובנה סביב שלוש רמות המוגדרות בסעיף 3 של eIDAS 2 (חוזרות על התרמינולוגיה של 2014 אך מפרטות את דרישות טכניות):

• חתימה אלקטרונית פשוטה (SES): ערך הוכחה מינימלי, מתאים לפעולות שכיחות.
• חתימה אלקטרונית מתקדמת (AdES): קשר בלעדי לחותם, אפשרות לגלות כל שינוי עתידי.
• חתימה אלקטרונית מוסמכת (QES): שקול משפטי של חתימה כתובה בכל האיחוד האירופי (סעיף 25§2), שנוצרה דרך התקן מוסמך ליצירת חתימה (QSCD) בעל תעודה מוסמכת.

החדשות טמונות בדרך שבה QES יכול להינתן דרך שירותי חתימה מרחוק מוסמכים (QRCD), שתנאי ההסכמה שלהם מפורטים בסעיפים 29a ו-29b של הטקסט המתוקן. זה פותח את הדרך לזרימות 100% דיגיטליות לפעולות הדורשות ביותר — חוזים משפטיים, מעשי אותנטיים אלקטרוניים — ללא צורך בכרטיס חכם פיזי.

ההשפעה על ספקי שירותים של תוקף מוסמכים (QTSP)

ספקים כמו Certyneo, הפועלים בהסתמך על QTSP מוסמכים, חייבים להמתין לדרישות ביקורת חדשות שהוצגו על ידי eIDAS 2. סעיף 24 קובע כעת בקרות משופרות על שרשרת קבלני המשנה, והדרישות של הודעות על תקלות בטיחות מתיישרות במפורש עם אלה של הוראת NIS2 (פרק זמן של 24 שעות להודעה ראשונית). כדי להעמיק את הפונקציונליות של רמות חתימה שונות בהקשר B2B, עיין בשלנו מדריך מלא על חתימה אלקטרונית בחברה.

---

לוח זמנים של פריסה והתחייבויות לחברות ב-2025-2026

שלבי הפריסה המרכזיים

התקנון (EU) 2024/1183 פורסם בעיתון הרשמי של האיחוד האירופי ב-30 באפריל 2024 ונכנס לתוקף ב-20 במאי 2024. הצעדים למימוש והמינויים — חיוניים להבהרת הדרישות הטכניות — מפורסמים בהדרגה:

| פקק זמן | התחייבות | |---|---| | מאי 2024 | כניסה לתוקף של התקנון | | סוף 2024 | פרסום צעדים למימוש ב-ARF v2.0 | | אמצע 2025 | הסמכה של ארנקי EUDI פיילוט ראשונים | | נובמבר 2026 | זמינות חובה של EUDI Wallet בכל מדינה חברה | | 2027 | קבילות חובה על ידי פלטפורמות מקוונות גדולות |

מה חברות B2B צריכות לעשות כעת

לחברות המשתמשות פתרונות חתימה אלקטרונית, שלוש עדיפויות בולטות ב-2025-2026:

1. ביקורת שרשרת התוקף שלהם: אימות שספקן חתימה נמצא בעצם ברשימת QTSP (Trusted List) של מדינתו, וכי התעודות שבהן נעשה שימוש עומדות בהתאמה למפרטות ETSI EN 319 401 ו-EN 319 411-1 המתוקנות החדשות.

2. צפייה לשילוב של EUDI Wallet: חברות המופעלות במגזרים מרוגזלים (בנקאות, ביטוח, בריאות, נדל"ן) יהיו בקרוב ביותר של זרימות אימות זהות דרך ארנק. הכנת API של אינטיגרציה כבר ב-2025 מומלצת.

3. שינוי מדיניות השמירה שלהם: השירות המוסמך החדש של ארכיון אלקטרוני (QESAP) מציג תקנים של שימור לטווח ארוך שעלולים להתחיל בסקטורים מסוימים (רכש ציבורי, סקטור תרופות). שלנו מחשבון ROI לחתימה אלקטרונית מאפשר לך להעריך את ההשפעה הכספית של שדרוג בתשתיתך המסמכית.

---

אינטרופטרביליות, GDPR וחששות של כריעות דיגיטלית

eIDAS 2 ו-GDPR: השלמה משופרת

אחת ההתקדמויות העיקריות של eIDAS 2 היא אינטגרציה מפורשת של עקרונות הגנת נתונים מעצם ההתחלה (privacy by design) בארכיטקטורה של ארנק EUDI. סעיף 5a§14 קובע כי הארנק לא מאפשר לספקים לעקוב אחרי התנהגות המשתמש במהלך העסקות. מנפיקי תכונות זהות מוסמכות (QEAA) אינם מודעים לשימוש שנעשה בעדויות שהונפקו — מה שמהווה הפסקה עיקרית עם הדגמים הריכוזיים הנוכחיים.

ארכיטקטורה זו מכונה unlinkability (אי-קשירות): שתי עסקות נפרדות המבוצעות על ידי אותו משתמש אינן יכולות להיות קשורות ללא הסכמתו. ערובה זו חוקה את הדרישות המינימליות של GDPR תוך התיישורה בעצמה בעצם.

הממד הגיאופוליטי: השתלטות חוזרת על זהות מקוונת

eIDAS 2 עונה גם לנושא של כריעות. כיום, האימות מקוון מסתמך במידה רבה על כפתורים של "התחברות עם Google/Facebook/Apple", וזה מקנה לענקי טכנולוגיה אמריקאיים עמדה דומיננטית בניהול זהויות דיגיטליות אירופיות. על ידי הטלת חובה על פלטפורמות גדולות מאוד (במובן של Digital Services Act) לקבל את EUDI Wallet כאמצעי אימות, eIDAS 2 יוצר חלופה אינטרופטרבילית וריעותית.

לחברות B2B, זה אומר גם כי עמידה ב-eIDAS 2 יכולה להפוך ל-קריטריון בחירת ספק בקולות ציבוריים וביקוניים — בדומה לתמונה של תעודת ISO 27001 במובן של יום בתהליכי רכישה. אם הארגון שלך חושב להשקיע בהתפתחות פתרונו הנוכחי, מדריך ההגירה מ-DocuSign או YouSign ל-Certyneo שלנו מפרטת את שלבי מעבר מבוקר.

מסגרת משפטית החלה על eIDAS 2 ועל חתימה אלקטרונית

טקסטים של הפניה

Regulation (EU) 2024/1183 של פרלמנט אירופה ו-Council של 11 באפריל 2024, שינוי Regulation (EU) n°910/2014 לפי הקמת מסגרת אירופית ביחס לזהות דיגיטלית (eIDAS 2). פורסם ב-JOUE ב-30 באפריל 2024, נכנס לתוקף ב-20 במאי 2024.

Regulation (EU) n°910/2014 (eIDAS 1): נשאר בתוקף לתנאים שלו שלא שונו, בעיקר הסעיפים החוקים לרמות גרנציה "חלשה", "מהותית" ו"גבוהה" לסכימות זיהוי משודרות.

צרפתי Civil Code, סעיפים 1366 ו-1367: הכתב האלקטרוני יש את אותה כוח הוכחה כתב נייר בתנאי שהאדם שמנוצר ממנו מזוהה כראוי והמסמך הוקם בתנאים שמבטיחים את שלמותו. חתימה אלקטרונית מוסמכת (QES) במובן eIDAS 2 עומדת בדרישות אלה בשלמות.

Regulation (EU) 2016/679 (GDPR): טיפול בנתונים זהות במסגרת ארנק EUDI כפוף לעקרונות של מינימיליזציה (סעיף 5§1c), הגבלת מטרה (סעיף 5§1b) והגנת נתונים מעצם ההתחלה (סעיף 25). ספקים מוסמכים מממלאים את תפקידי אחראים לטיפול נפרדים לפעולות אימות.

Directive (EU) 2022/2555 (NIS2): מועברה לדין צרפתי באמצעות ordinance n°2024-528 של 12 ביוני 2024, היא גוזרת על ספקי שירותים של תוקף מוסמכים התחייבויות של ניהול סיכונים קיברנטיים הודעת תקלות תחת 24 שעות.

תקנות ETSI:

• EN 319 132 (XAdES) ו-EN 319 122 (CAdES): פורמטים מתקדמים של חתימה אלקטרונית.
• EN 319 401: דרישות כלליות לספקי שירותים של תוקף.
• EN 319 411-1 ו-411-2: מדיניות ודרישות בטיחות לתעודות הנושאות תעודות מוסמכות.
• EN 319 521: דרישות לשירותים מוסמכים של שמירת חתימות (QESAP).

התחייבויות וסיכונים משפטיים לחברות

כל חברה המשתמשת בחתימות אלקטרוניות בהקשר חוזי חייבת להבטיח כי רמת החתימה שנבחרה מתאימה לערך ולטבע של השינוי. לפעולות שנוסחו לדרישה משפטית של חתימה (הבטחות מכירה, חוזי עבודה, פקודות רכישה העולות על סף מסוים), רק QES או AdES המבוססת על תעודה מוסמכת מביאה את הנחת הוודאות שנועדה בסעיף 26 של eIDAS 2.

בשיבול של סכסוך, נטל ההוכחה מתהפך: אם החתימה מוסמכת, זה לצד הערעור של המסמך להוכיח את הנסיון שלו; אם היא פשוטה או מתקדמת ללא תעודה מוסמכת, נטל הוכחה נשעה בחותם שמעלה אותה. אי-עמידה בדרישות של מעקב ושלמות עלולה להביא לביטול פעולה או אופציות של חתימה לצד שלישי. לפרטים נוספים, הנה חתימה אלקטרונית בנדל"ן מפרטת את תוכניות עבודה המותאמות.

תרחישי שימוש: eIDAS 2 מיושם לחברות B2B

תרחיש 1 — קבינט ייעוץ בטרנספורמציה דיגיטלית (כ-80 יועצים)

מבנה ייעוץ המונשים בוועדות של קליינטים בכמה מדינות חברות (צרפת, גרמניה, הולנד) חייב לחתום כל חודש על צווי משימה, חוזים שנוספו ופרוטוקולים של הרימה. לפני eIDAS 2, ניהול זהויות חוצה גבולות יצר חיכוך: סירוב של קליינטים גרמנים מסוימים להכיר בתעודות שפוצחו על ידי QTSP צרפתי, אימות כפול דרך דוא"ל בלתי מספיק לפעולות רגישות.

עם פריסה של ארנק EUDI ב-2026, יועצים יוכלו לחתום מתוך ארנק לאומי שלהם — מוכר בדיוק בכל מדינות חברות — ללא כל חיכוך. הקבינט משער הפחתה של 60 עד 70% מהזמן שהוקדש לחילופי אימות מסמכים קודמים לחתימה, כלומר כ-3 עד 4 שעות שנשמרו ליועץ ולחודש בהתאם לנקודות התייחסות סקטוריות שפורסמו על ידי McKinsey Digital (2024).

תרחיש 2 — PME תעשייתי הניהול 350 חוזים ספקיים בשנה

PME של סקטור הציוד התעשייתי, הפועל עם מאה ספקים אירופיים ואסיאטיים, חייב להחליף חוזים, הסכמות סודיות (NDA) וחוזים-קדר. עד כאן, 30% מהמסמכים החזירו ללא חתימה תקנית או עם עיכובים העולים על 10 ימים עבודה.

בהטמעת פתרון של חתימה אלקטרונית תואם eIDAS 2 עם אימות זהות דרך תכונות מוסמכות (QEAA), ה-PME יכול להטיל זרימת חתימה שבה זהות הנציג המשפטי של הספק מואומת באופן אוטומטי דרך ארנק EUDI, ללא ערוץ ידני. תוצאה צפויה: הפחתת עיכוב ממוצע של חתימה מ-10 ימים לפחות 48 שעות, והפחתה של 40% של סכסוכים הקשורים לחתימות לא תואמות, בהתאם לטווחי שנראו בדוחות ELENIUS 2025 על dematerialization B2B.

תרחיש 3 — קבוצה נדל"ן הניהול של פשרי מכירה בכמה מדינות

רשת של סוכנויות נדל"ן המופעלות בצרפת, בספרד ובפורטוגל צריך להיות בקביעות חתימה של בדיקות בין מוכרים וקוני בעלי הוצאות שונות של לאומיות. QES נדרשת בהקשרים מסוימים להבטיח שוויון עם חתימה כתובה בפני נוטר.

הודות ל-eIDAS 2 ול-interoperability של ארנקי EUDI, קוני פורטוגלי יכול לחתום פשרה שנכנעה לדין צרפתי באמצעות ארנק לאומי שלו, עם רמת גרנציה "גבוהה" מוכרת באופן אוטומטי על ידי הפלטפורמה של חתימה. הקבוצה מפחיתה את דמי נסיעה שלה וחוקי לגיטימציה בכ-800 עד 1200 יורו לתיקייה חוצה גבולות, כל זמן שמפחיתה עיכוב של ידוע את הפשרות מ-3 שבועות עד 5 ימים בממוצע. לשימושים ספציפיים לסקטור, דף חתימה אלקטרונית בנדל"ן שלנו מפרטת את התוכניות המותאמות.

סיכום

eIDAS 2 אינו עדכון רגולטיבי פשוט: זו עיצוב מחדש עמוק של הדרך בה זהות דיגיטלית ותוקף אלקטרוני מתפקדים באירופה. ארנק EUDI Wallet, השירותים המוסמכים החדשים, חובת אינטרופטרביליות ויישור עם NIS2 ו-GDPR יוצרים מערכת אקולוגית קוהרנטית שתשנה תהליכים חוזיים ואימות חברות מ-2026.

כדי להישאר תואמים ותחרותיים, ארגוני B2B חייבים לפעול כעת: ביקורת שרשרת תוקף שלהם, בחירה של ספק מתיישר עם דרישות החדשות והכנת תוכניות המסמכים שלהם לאינטגרציה של ארנק דיגיטלי אירופי.

Certyneo מלווה אתך בעברה זו עם פתרונות חתימה אלקטרונית מוסמכת eIDAS 2, מוכנים ל-2026. בקשו הדגמה או אתחלו את החשבון שלכם ב-Certyneo לאבטחת החוזים שלכם מעתה.