eIDAS 2 ארנק זהות דיגיטלית: מדריך 2026

כניסת התוקף של תקנון eIDAS 2 מסמנת נקודת מפנה היסטורית לניהול זהות דיגיטלית באירופה. עם ה-EUDI Wallet — ארנק הזהות הדיגיטלית האירופי — לכל אזרח ולכל עסק בקרוב יהיה ארנק דיגיטלי ריבוני, בר-פעולה הדדית והמוכר ב-27 מדינות חברות. לדירקטוריונים משפטיים, משאבי אנוש, תאימות ו-IT, פרויקט רגולטורי זה פוקח הן הזדמנויות והן אתגרים תפעוליים. מאמר זה מפענח את התפקוד הטכני והמשפטי של ה-EUDI Wallet, את השלכותיו המעשיות לעסקים ואת אופן הקישור שלו עם פתרונות חתימה אלקטרונית מעוררת שכבר בשימוש.

מה זה eIDAS 2 וה-EUDI Wallet?

מתקנון eIDAS 1.0 לתקנון eIDAS 2.0: התפתחות מבנית

שנתקבל בשנת 2014, תקנון eIDAS מס' 910/2014 הניח את היסודות של אמון דיגיטלי באירופה: חתימות אלקטרוניות מעוררות, חותמים, חותמות זמן ושירותי הזדהות. אך עשור מאוחר יותר, הגבלותיו היו ברורות: בר-פעולה הדדית לא מספיקה בין מדינות חברות, אימוץ בלתי שוויוני של זהויות דיגיטליות ארציות, היעדר ארנק מאוחד. תקנון (UE) 2024/1183, בשם eIDAS 2, שנתקבל באופן רשמי ב-11 באפריל 2024 בעיתון הרשמי של האיחוד האירופי, מתקן את הליקויים הללו על ידי הטלת מסגרת משותפת של זהות דיגיטלית ריבונית.

כדי להעמיק את כל מסגרת הרגולציה החדשה, עיין ב-מדריך שלם על תקנון eIDAS 2.0.

ה-EUDI Wallet: ארכיטקטורה וממשקים יוצרים

ה-EUDI Wallet (ארנק הזהות הדיגיטלית האירופי) היא אפליקציה ניידת ו/או תוכנה שכל מדינה חברה תצטרך להציע לאזרחיה ותושביה במאוחר ביותר עד 2026, בהתאם לסעיף 5a של התקנון המתוקן. למעשה, ארנק דיגיטלי זה מאפשר:

• אחסון והצגת תכונות זהות מאומתות: תעודת זהות, רישיון נהיגה, דיפלומות, הסמכות מקצועיות, מספר מזהה מס TVA בתוך-קומוניטאי לאנשים משפטיים.
• הזדהות המשתמש מול שירותים ציבוריים ופרטיים ברמות הוודאות גבוהות (LoA High בהתאם לנספח I של התקנון).
• חתימה אלקטרונית של מסמכים ברמה מעוררת, בהסתמך על התקנות Qualified Electronic Signature Creation Devices (QSCD) המוסמכות.
• שיתוף בחירה של נתונים (עקרון selective disclosure) ללא חשיפת יותר מידע מהנדרש — תרומה משמעותית לתאימות GDPR.

הארכיטקטורה מסתמכת על ההנחיות הטכניות שפורסמו על ידי הנציבות האירופית דרך Architecture and Reference Framework (ARF), תחזוקה על ידי הקונסורציום EUDIW (ארנק הזהות הדיגיטלית האירופי). פורמטי ההצגה שאומצו כוללים בעיקר ISO/IEC 18013-5 (mDL — רישיון נהיגה ניידת) ו-SD-JWT VC (חתימה בחירה JSON Web Token Verifiable Credentials), שני סטנדרטים פתוחים המבטיחים נתונים.

מי מעורב? ענפי עסקים מתייחסים (Relying Parties)

תקנון eIDAS 2 מנציג את הרעיון של Relying Party (צד שנשתמש). כל ארגון — עסק פרטי, ממשל, פלטפורמה מקוונת — שמקבל תכונות זהות מה-EUDI Wallet חייב להתרשם בעבור מדינתו ולהיות בעל מערכת של חובות טכניות ובטיחות. סעיף 5b של התקנון מפרט כי פלטפורמות גדולות (במובן DSA) וענפים מסוימים (בנקאות, בריאות, אנרגיה) יהיו חייבות לקבל את ה-EUDI Wallet מעת כניסת ההפקה הלאומית.

פונקציונליות טכנית של ה-EUDI Wallet לעסקים

זרימת ההזדהות והחתימה שלב אחר שלב

הבנת הזרימה הטכנית היא חיונית כדי להצפות בשילוב במערכות המידע. סיפור תיאור טיפוסי של חתימה על חוזה דרך EUDI Wallet מתרחש כך:

1. אתחול: ה-Relying Party (לדוגמה: הפלטפורמה SaaS שלך) יוצרת בקשת הצגה תואמת לפרוטוקול OpenID4VP (OpenID עבור Verifiable Presentations).
2. עדכון: המשתמש מקבל עדכון בה-EUDI Wallet הניידת שלו.
3. הסכמה ובחירה: המשתמש בוחר את התכונות לשתף (שם, שם משפחה, תאריך לידה) דרך ממשק selective disclosure.
4. הצגה ניתנת לאימות: הארנק יוצר הוכחה קריפטוגרפית חתומה על ידי ה-Trusted Issuer (מדינה חברה או ספק מוסמך).
5. אימות: ה-Relying Party מאמת את ההוכחה דרך רישום האמון האירופי (Trust Framework), ללא אחסון של נתונים עודפים.
6. חתימה מעוררת: אם פעולת חתימה נדרשת, ה-QSCD המוטבע בארנק או המארח בענן (QSign) מייצר חתימה מעוררת בהתאם ל-ETSI EN 319 132.

זרימה זו מבטיחה רמת הוודאה LoA High, הגבוהה ביותר החזויה על ידי התקנון, שווה-ערך להגדלה פנים אל פנים.

שילוב עם פלטפורמות חתימה אלקטרונית קיימות

עורכי פתרונות חתימה אלקטרונית חייבים להשתלב בפרוטוקולים OpenID4VCI (הנפקה) ו-OpenID4VP (הצגה) כדי להתחבר לאקוסיסטם EUDI. לעסקים המשתמשים כבר בפלטפורמת חתימה תואמת eIDAS 1.0, המעבר ל-eIDAS 2 מניח שדרוג טכני, אך משמר את הערך המשפטי של החתימות שכבר הוצאו. לפיכך, הערכה אסטרטגית של roadmap של הספק הנוכחי שלך חיונית, במיוחד אם אתה שוקל הגעה מ-DocuSign או YouSign לפתרון יותר תואם.

זהות דיגיטלית של אנשים משפטיים: הנושא של עסק

EIDAS 2 אינו מוגבל לאנשים פיזיים. סעיף 5a §3 קובע במפורש ארנקים לאנשים משפטיים, המתיר לעסקים:

• הוכחת קיום משפטי שלהם (שווה-ערך לתמציר Kbis דיגיטלי ניתן-לאימות).
• הפקדון של סמכויות חתימה לשיתוף פעולה שלהם בצורה מבוקרת וחזרה להסרה.
• אוטומציה של KYB (Know Your Business) בתהליכי חוזה B2B.

מימד זה הוא בעיקר שנוי במחלוקת עבור תהליכי חתימה אלקטרונית בעסק, במיוחד בסקטורי משאבי אנוש, משפטי ופיננסי.

לוח הזמנים של פריסה וחובות רגולטוריים 2024-2026

שלבי יישום בהתאם לתקנון

התקנון (UE) 2024/1183 קובע לוח זמנים מחייב:

• אפריל 2024: פרסום בעיתון הרשמי, כניסה לתוקף 20 ימים לאחר מכן.
• סוף 2024: פרסום מעשי ביישום (Implementing Acts) המגדירים את הנחיות הטכניה החובה.
• 2025: פריסה של ארנקים מנויים לאומיים (פרויקטים large-scale pilots: EU Digital Identity Wallet Large Scale Pilots, ממומנים בסך 46 מיליון יורו על ידי הנציבות).
• סוף 2026: זמינות חובה על ידי כל מדינות החברות של לפחות ארנק EUDI אחד פעיל. פלטפורמות גדולות וסקטורים מוסדרים יחויבו לקבל אותו.

לעסקים צרפתיים, הפריסה מסתמכת על הזהות הדיגיטלית של La Poste והעבודה של ANSSI לגבי התיעוד של Trusted Issuers ארציים.

חובות עבור Relying Parties

עסקים שרוצים או חייבים לקבל את ה-EUDI Wallet כפופים למספר חובות:

1. רישום בחלות הרוטציה הארצית הכנה (בצרפת, ANSSI והנציבות CNIL לפי מקרים).
2. תאימות טכנית להנחיות ה-ARF v2.x שפורסמו ב-GitHub על ידי הנציבות האירופית.
3. שקיפות: פרסום ברישום ציבורי של התכונות שנשאלו והמטרה של טיפול.
4. מינימום נתונים: דרוש רק את התכונות הנחוצות בחומרה — חובה מחוזקת על ידי GDPR.
5. עקיבוביליות: שמור ביומנים של ההצגות הניתנות לאימות לאודיט, ללא אחסון של נתוני זהות גולמיים.

עסקים שמשלבים את ה-EUDI Wallet בזרימות שלהם של חתימה אלקטרונית לחברות משפטיות או עבור ניהול משאבי אנוש יתהנו מיתרון תחרותי משמעותי מ-2026.

נושאים אסטרטגיים והזדמנויות לעסקים

הפחתת חיכוך בתהליכי KYC/KYB

אחד מהיתרונות הנוירים ביותר של ה-EUDI Wallet היא ביטול אימות הזהות ידנית. כיום, onboarding של לקוח או שותף חדש כרוך בהוצאת אישורים בדואר, אימות אנושי וזמני טיפול. עם ה-EUDI Wallet, האימות הופך לידי, מנוסה בקריפטוגרפיה ומבוקר. סקטורים בנקאיים, נדל"ני וביטוח — כפופים לחובות LCB-FT — רואים בכך הזדמנות משמעותית של תאימות אוטומטית. סקטור חתימה אלקטרונית בנדל"ן מושפע במיוחד, עם תהליכי אימות זהות המהווים כיום עד 40% מזמן הניהול.

ריבונות דיגיטלית והפחתת התלות ב-GAFAM

ה-EUDI Wallet עונה על שאיפה פוליטית חזקה: הפחתת התלות של אירופאים בתוכניות זהות המופעלות על ידי שחקנים שאינם אירופיים (Google, Apple, Meta). לעסקים, זה מתורגם ל-תשתית הזדהות בר-פעולה הדדית, פתוחה וזיכרון רכוש, המבוססת על סטנדרטים ISO ו-W3C ולא על ספריות בעלות קנין. גם ריבונות זו היא טיעון מסחרי להבדל בהצעות ציבוריות, רגישות יותר ויותר לסעיפי רישום נתונים.

הפגע על חתימה אלקטרונית מעוררת וב-QTSP

ספקי שירותי אמון מעוררים (QTSP — Qualified Trust Service Providers) רואים את תפקידם משתנה. עם ה-EUDI Wallet, QSCD יכול להיות מתופעל ישירות בארנק או מופקד ל-QTSP בענן (Remote Qualified Signature). לעסקים, זה אומר שחתימה מעוררת — עד כה שמורה לחקיקה הבחירה הקריטית ביותר בגלל מורכבותה — הופכת ל-נגישה וניתנת להרחבה. ה-השוואה שלנו של פתרונות חתימה אלקטרונית משלבת כעת קריטריון זה של תאימות EUDI Wallet בניתוחה.

מסגרת משפטית החלה על ה-EUDI Wallet ובעסקים

תקנון eIDAS 2: (UE) 2024/1183

הטקסט היוצרי הוא ה-תקנון (UE) 2024/1183 של הפרלמנט האירופי והמועצה מ-11 באפריל 2024, משנה את תקנון eIDAS מס' 910/2014. הוא מיושם ישירות בכל מדינות החברות ללא החקיקה הלאומית, מה שמבטיח אחידות משפטית אירופית. סעיפים 5a עד 5c מגדירים את החובות הקשורות ל-EUDI Wallet, רמות הוודאה וזכויות המשתמשים. סעיף 46f מנציג את החובות הספציפיות עבור Relying Parties של סקטורים המוסדרים.

קוד אזרחי צרפתי: סעיפים 1366 ו-1367

בחוק צרפתי, החתימה האלקטרונית המעוררת שהופקת דרך EUDI Wallet נהנית מהנחת הוודאות המלוכדת על ידי סעיף 1367 של הקוד האזרחי: "החתימה האלקטרונית מורכבת משימוש בתהליך וודאות אמין של זיהוי המבטיח את קישורו לפעולה אליה היא מצורפת." הוודאות נדהלה כאשר החתימה מעוררת במובן eIDAS. סעיף 1366 משווה בין כתוב אלקטרוני לכתוב נייר בתנאי שסופרו מזוהה ושהאמיתות מובטחת — שתי תנאים שה-EUDI Wallet עומד בהם במומרה.

GDPR מס' 2016/679: קשר עם מינימום נתונים

ה-תקנון (UE) 2016/679 (GDPR) חל במלואו על Relying Parties המתהלכים עם תכונות זהות מה-EUDI Wallet. העקרונות של מינימום נתונים (סעיף 5 §1c), של הגבלה לתוכנית (סעיף 5 §1b) ושל פרטיות באופן עיצוב (סעיף 25) חייבים להיות משולבים מרגע עיצוב של החדשול הטכני. ה-selective disclosure המומרה של ה-EUDI Wallet משקעת אחידות טכנית של התאימות, אך העסק נשאר אחראי (סעיף 24) לתיעוד בסיסים משפטיים שלו של טיפול.

נורמות ETSI וסטנדרטים טכניים

החתימה המעוררת שהופקת דרך EUDI Wallet חייבת לכבוד את הנורמות ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ו-ETSI EN 319 162 (PAdES) עבור פורמטי חתימה אלקטרונית מתקדמת ומעוררת. מדיניות ההתיעוד מוגדרות ב-ETSI EN 319 401 (דרישות מדיניות כללית לספקי שירותי אמון). מעשי הביצוע של הנציבות מפרטים את דרישות התיעוד של Trusted Issuers (תקן ISO/IEC 27001 וקריטריונים משותפים EAL 4+).

הנחיה NIS2: (UE) 2022/2555

מפעילי תשתית EUDI Wallet (מדינות חברות, Trusted Issuers, QTSP) כפופים לחובות הנחיה NIS2 (UE) 2022/2555, המתורגלת בצרפת על ידי חוק מס' 2023-703. לעסקים משתמשים, NIS2 מטיל חובות של ניהול סיכונים הקשורים לצדדים שלישיים (סעיף 21 §2d), מה שכולל ספקי פתרונות המשלבים את ה-EUDI Wallet. ניתוח השפעה של סיכונים של שרשרת הרכש הדיגיטלית מומלץ לכן לפני כל פריסה.

תרחישי שימוש של ה-EUDI Wallet בעסק

תרחיש 1: משרד עורכי דין — אימות זהות וחתימה של הסמכויות

משרד עורכי דין עסקי של כ-20 עובדים מטפל בחודש בכמה מאות הסמכויות, מכתבי משימה וכוחות. כיום, אימות הזהות של הלקוחות כרוך בהוצאת אישורי צדק דרך דואר אלקטרוני, אימות ידני על ידי המסייע המשפטי וזמן ממוצע של 48 שעות. עם האחדות של ה-EUDI Wallet כמנגנון הזדהות, הלקוח מציג את תעודת הזהות הדיגיטלית שלו מארנקו בפחות מ-90 שניות. החתימה המעוררת מופקת בעקבות זה, ללא חיכוך נוסף. על פי החזרה שנצפתה בחלוקים של large-scale שהנהלו בין 2023 ל-2025, סוג זה של זרימה מפחית את זמן הטיפול של onboarding לקוח של 60 עד 75% וביטול סיכונים של טעויות כניסה או מסמכים שמש-תוקף. המשרד צובר גם בתאימות LCB-FT, התכונות של זהות מנוסות בקריפטוגרפיה על ידי מדינה חברה.

תרחיש 2: עסק תעשייתי קטן-בינוני — ניהול חוזים וקבלים של חתימה

עסק תעשייתי קטן-בינוני של כ-100 עובדים מנהל בערך 300 חוזים ספקים בשנה, המשלבים אחראים קניות מפוזרים על שלושה אתרים. ניהול קבלים החתימה כיום תיעוד על נייר וקשה לביקורת. עם ה-EUDI Wallet של עסק (אדם משפטי), הניהול יכול להיות תכונות קבלים ניתנות-לאימות לכל אחראי קניות: תקרה של התחייבות, היקף גיאוגרפי, כשך של תוקף. תכונות אלה מוחנטות בארנק של השותף ומוצגות באופן אוטומטי בעת כל פעולת חתימה. במקרה של עזיבה או שינוי בעמדה, ביטול תחומים וביקורות. מנגנון זה מפחית סיכונים של מחלוקות חוזיות הקשורות לחתימות שאינן מעוניינות ומשפר את העקיבוביליות לביקורות פנימיות. דירקטוריונים פיננסיים רואים בדרך כלל הפחתה של 30 עד 40% מהזמן המוקדש לניהול ולאימות של סמכויות חתימה.

תרחיש 3: קיבוץ בתי חולים — הסכמת חולה וגישה לנתוני בריאות

קיבוץ בתי חולים המקביל כמה מתקנים וכ-1,500 סוכנים בריאות עומד בקללות מורכבות של הסכמת חולים, במיוחד לגישה לתיקיות רפואיות משותפות דרך Mon Espace Santé. האחדות של ה-EUDI Wallet כמנגנון הסכמה מודעת מאפשר לחולה להתחייב, מטלפונו החכם, הגישה לנתוניו על ידי מומחה רפואי, בחיזוק המשך וההיקף של הגישה. ה-selective disclosure מבטיחה שרק תכונות רפואיות רלוונטיות משותפות. לסוכני בריאות, הארנק מספק את מספר RPPS שלהם (Répertoire Partagé des Professionnels de Santé) כתכונה ניתנת-לאימות, ביטול תהליכי אימות ידניים נוכחיים. סוג זה של פריסה, תואם עם המסגרת של Espace Européen des Données de Santé (EHDS), יכול להפחית את הזמן של גישה לנתוני בריאות מאושרים מ-שעות מרובות לכמה שניות. כדי ללמוד עוד על החוקים הספציפיים של סקטור, ה-מדריך שלנו על חתימה אלקטרונית בבריאות מפרט את הדרישות הרגולטוריות המיושמות.

סיכום

ה-EUDI Wallet ותקנון eIDAS 2 מהווים את השינוי המשמעותי ביותר של זהות דיגיטלית אירופית מאז עשור. לעסקים, הנושא אינו רק להתאים לרגולציה חדשה, אלא לתפוס הזדמנות למודרניזציה עמוקה של תהליכי חתימה, onboarding וניהול קבלים. סקטורי משפטי, משאבי אנוש, בריאות וא"תעשייתי הם בשורה הראשונה. המפתח להצלחה הוא בציפייה: להעריך כיום את תאימות הכלים הנוכחיים שלך, לחנך את הצוות שלך ובחור שותפים שחלוקו דומה ל-eIDAS 2