eIDAS 2 vs eIDAS 1: שינויים חיוניים עבור עסקים קטנים ובינוניים

מבוא: מדוע eIDAS 2 משנה את המשחק עבור עסקים קטנים ובינוניים

מאז 20 במאי 2024, התקנון (EU) 2024/1183 — הידוע בשם eIDAS 2 — נכנס לתוקף, בוטל והחליף בהדרגה את התקנון (EU) מס' 910/2014 (eIDAS 1). עבור עסקים קטנים ובינוניים צרפתיים, מעבר זה אינו עדכון ממשי בלבד: הוא מגדיר מחדש את רמות האמון הדיגיטלי, מציג ארנק הזדהות אירופאי (EUDIW), מחמיר את הדרישות החלות על ספקי שירותי אמון ומרחיב את תחום השירותים המוכרים. מאמר זה משווה נקודה אחר נקודה בין eIDAS 1 ו-eIDAS 2, מזהה את ההשפעות התפעוליות הקונקרטיות עבור עסקים קטנים ובינוניים, ומעניק לך תוכנית פעולה כדי להישאר תואם לתקנון בשנת 2026.

---

1. תזכורת: מה eIDAS 1 קבע (2014-2024)

1.1 היסודות של התקנון המקורי

אומץ ביולי 2014 והיה בתוקף מספטמבר 2016, eIDAS 1 הציב את הקטעים הראשונים של מרחב אמון דיגיטלי אירופאי. הוא הציג שלוש קטגוריות גדולות של חתימה אלקטרונית — פשוטה (SES), מתקדמת (AdES) ומוסמכת (QES) — ויצר את רשימת האמון של ספקי השירותים המוסמכים (Trusted List), אתרה ניתן לעיין בפורטל של הנציבות האירופית.

עבור עסקים קטנים ובינוניים, התרומה העיקרית של eIDAS 1 הייתה ההכרה בחתימות מוסמכות חוצה גבולות: חוזה חתום ב-QES צרפתי זכה להכרה משפטית בגרמניה, בספרד או באיטליה ללא אפוסטיל או עדויות נוספות. עיקרון זה — הקרוי "אי-הבחנה" — נשאר הבסיס שעליו בנו כנסות כמו Certyneo את שירותיהן.

1.2 המגבלות שזוהו

למרות התקדמותיו, eIDAS 1 סבל מכמה קוביות תיעדו בדוח ההערכה של הנציבות האירופית משנת 2021:

• פיצול סכמות הזדהות: רק מדינות חברות שיידעו את סכמתן הלאומית (כמו FranceConnect+ ברמה משמעותית) נהנו מהכרה הדדית. בשנת 2023, רק 14 מדינות מ-27 היו הודיעו על סכמה תואמת.
• היעדר תמיכה מובייל מקומית: ההתקן המוסמך ליצירת חתימה (QSCD) דרש לעתים קרובות כרטיס חכם או טוקן חומרה, מה שעכב את אימוץ המובייל.
• שירותי אמון מוגבלים: eIDAS 1 רשם תשעה סוגים של שירותים מוסמכים; השימושים החדשים (שמירת קבצים אלקטרונית מוסמכת, ניהול תכונות) לא היו מוסדרים.
• אין ארנק הזדהות מאוחד: כל אזרח או עסק ניהל את המזהים שלו בצורה מנותקת, ללא ערבות לתאימות הדדית.

מגבלות אלה הובילו את הנציבות להשקת סקירה כבר בשנת 2020, שהסתיימה בתקנון eIDAS 2 לאחר שלוש שנות משא ומתן.

---

2. חמש החידושות הגדולות של eIDAS 2 עבור עסקים קטנים ובינוניים

2.1 ארנק ההזדהות הדיגיטלי האירופאי (EU Digital Identity Wallet — EUDIW)

זהו החידוש הגלוי ביותר של התקנון. עד חודש נובמבר 2026 (תאריך ההעברה קבוע בסעיף 5a), כל מדינה חברה תצטרך להציע לפחות ארנק הזדהות דיגיטלי מוסמך לאזרחים ותושבים שלה. עבור עסקים קטנים ובינוניים, לשינוי זה שתי השלכות ישירות:

1. אימות לקוחות ושותפים פשוט יותר: הארנק יאפשר לשתף תכונות מאומתות (גיל, מספר מזהה משפטי בינלאומי, תעודת הרשמה, נתונים בנקאיים מוסמכים) ללא חיכוך. הסכם-קובץ עם שותף גרמני יוכל להיחתם לאחר אימות מיידי של תכונותיו המקצועיות מ-EUDIW שלו.
2. חובה קבלה עבור סקטורים מסוימים: השירותים המקוונים של פלטפורמות גדולות (סעיף 45bis) וכמה שירותים ציבוריים יצטרכו לקבל את ה-EUDIW כאמצעי אימות. עסקים קטנים ובינוניים המספקים פורטלים B2B יצטרכו להתאים את ממשקי ה-API שלהם לאימות.

2.2 הרחבת רשימת שירותי האמון המוסמכים

eIDAS 2 מרחיב את הקטלוג של שירותי אמון מוסמכים מ-9 ל-14 קטגוריות. הערכים החדשים הנוגעים ישירות לעסקים קטנים ובינוניים הם:

• שמירת קבצים אלקטרונית מוסמכת (סעיף 45septies): שימור ארוך טווח עם ערך הוכחתי מתוגבר. עד כה, השמירה בערך הוכחתי סמכה על מסגרות התייחסות לאומיות (בצרפת, המסגרת ההתייחסות SIAF/ANSSI); eIDAS 2 מתקנן את המסגרת האירופית.
• ניהול מרחוק של התקנים מוסמכים ליצירת חתימה (RQSCD): כעת מוסדרת בצורה מפורשת, היא מסירה את אי-הדיוקים שלחצו על פתרונות חתימה מוסמכים בענן. עבור עסק קטן ובינוני של 50 עובדים, זה אומר גישה לחתימה מוסמכת ללא טוקן פיזי, מכל מכשיר.
• שירות רישום אלקטרוני מוסמך: הרישומים המבוססים על בלוקצ'יין או טכנולוגיות של רישום מופץ גדול יכולים כעת להשיג מעמד מוסמך, תוך פתיחת הדלת למודלים חדשים של ניהול חוזים.

כדי להידע יותר על רמות החתימה וערך משפטי שלהן, עיין במדריך הכרה של החתימה האלקטרונית.

2.3 הידוק דרישות האבטחה עבור ספקים מוסמכים (QTSP)

eIDAS 2 מחמיר את התחייבויות ספקי שירותי אמון מוסמכים (QTSP). סעיף 24 המתוקן כופה בעיקר:

• הסמכת סייבר ביטחון תואמת למסגרת האירופית (EU Cybersecurity Act, תקנון 2019/881), עם סכימות סקטוריאליות בפיתוח על ידי ENISA.
• דרישות מתוגברות ביחס לעמידות תפעולית: ספקים מוסמכים חייבים כעת לתיעד את תוכנית ההמשכיות העסקית שלהם ולהציגה בפני גוף הפיקוח הלאומי שלהם (בצרפת, ANSSI עבור ספקים מוסמכים).
• התחייבות ההודעה על תקלות בטיחות בתוך 24 שעות (התאמה עם NIS 2).

עבור עסקים קטנים ובינוניים שהם משתמשים, זה מתורגם לחובה של זהירות מוגברת בבחירת הספק: אימות שפתרון החתימה שלך מופיע בו ברשימת Trusted List האירופית המעודכנת הוא כעת שלב קריטי בתהליך הרכישה שלך. ההשוואה של פתרונות חתימה אלקטרונית שלנו יכולה לעזור לך בניתוח זה.

2.4 תאימות הדדית חובה של סכמות הזדהות

שם eIDAS 1 השאיר למדינות חברות חופש להודיע (או לא), eIDAS 2 הופכת את ההודעה ותאימות הדדית לחובה עבור סכמות הזדהות המשמשות בשירותים ציבוריים מקוונים (סעיף 5). France Identité — הסכימה הלאומית שנישאת על ידי משרד הפנים — נמצאת בתהליך התאמה עם מפרטים טכניים של EUDIW, שפורסמו על ידי הנציבות בתקנון ההוצאה לפועל (EU) 2024/2977.

עבור עסק קטן ובינוני המתקיים באופן קבוע עם רשויות ציבוריות (הסדרים ציבוריים, תצהירים מקוונים, הליכים מכסומיים), שינוי זה אומר שההליכים המקוונים יאוחדו בהדרגה סביב מזהה דיגיטלי אחד ולא לחולק בכל ה-EU.

2.5 כללים חדשים של אחריות והשגחה

eIDAS 2 מבהיר ומרחיב את משטרי אחריות הספקים (סעיף 13 המתוקן). QTSP נחשב כעת לאחראי לכל הפסד שנגרם לאדם פיזי או משפטי כתוצאה מהפרת התחייבויות שלו, אלא אם הוכיח היעדר רשע. הנחת האחריות המוגברת הזו, בהשוואה ל-eIDAS 1, אמורה להנחות עסקים קטנים ובינוניים ל:

• פורמליזציה בחוזה את התחייבויות הספק שלהם (SLA, הבטחות זמינות, פיצויים).
• אימות את כיסוי ביטוח אחריות אזרחית מקצועית של QTSP.
• שימור ראיות של בדיקות של עסקאות חתומות (יומנים בעיתוי, דוחות אימות חתימה).

הצוותים שלנו כתבו מדריך מפורט בחתימה אלקטרונית בעסק הטוען היבטים חוזיים אלה.

---

3. טבלת השוואה eIDAS 1 מול eIDAS 2: מה משתנה בפועל

3.1 סיכום ההתפתחויות המרכזיות

| קריטריון | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | ארנק הזדהות | נעדר | EUDIW חובה (מדינות חברות) | | שירותים מוסמכים | 9 קטגוריות | 14 קטגוריות (שמירת קבצים, RQSCD, רישומים...) | | הודעה על סכמות | אופציונלית | חובה עבור שירותים ציבוריים | | אבטחת QTSP | קריטריונים Common Criteria | Cybersecurity Act + סכימות ENISA | | אחריות QTSP | חלקית | הנחת אחריות מוגברת | | הודעה על תקלה | לא מפורש | 24 שעות (התאמה עם NIS 2) | | QSCD ניידות | אי-ודאות משפטית | RQSCD מוסדר בצורה מפורשת |

3.2 התאריכים המפתח שיש לזכור לשנת 2026

• מאי 2024: התחלת תוקף של התקנון (EU) 2024/1183.
• נובמבר 2026: תאריך הגבול עבור כל מדינה חברה להציע לפחות פתרון EUDIW מוסמך.
• 2027: חובה עבור פלטפורמות גדולות (סעיף 45bis) לקבל את ה-EUDIW כאמצעי אימות.
• 2028: סקירה מתוכננת של פעולות הוצאה לפועל טכניות (תקנונים מסוימים בעבור מפרטים EUDIW).

אם עסקך קטן ובינוני שוקל לעבור לפתרון יותר תואם, ההצעה של הגירה ל-Certyneo שלנו כוללת בדיקת תאימות eIDAS 2 חינם.

---

4. תוכנית פעולה מעשית להנחה של העסק שלך לתאימות eIDAS 2

4.1 ביקורת על זרימות המסמכים הקיימות שלך

התחל בניירות עבודה של כל התהליכים בהם אתה משתמש כיום בחתימה אלקטרונית או הזדהות דיגיטלית: חוזים ספקים, גיליונות משכורת דיגיטליים, מנדטים SEPA, הסכמות סודיות, מעשי משאבי אנוש. עבור כל זרימה, זהה:

• רמת החתימה בשימוש (SES, AdES, QES).
• הספק הנוכחי וסטטוסו ברשימת Trusted List.
• רמת הסיכון המשפטי במקרה של שיגור.

ביקורת זו היא נקודת ההתחלה המומלצת על ידי ANSSI במדריך התאימות שלו שפורסם במרץ 2025.

4.2 שדרוג של פתרון החתימה שלך

אם הספק הנוכחי שלך לא מופיע ברשימת Trusted List של eIDAS 2 או עדיין אינו מציע RQSCD, הגיע הזמן להשוות הצעות בשוק. Certyneo הוא QTSP מוסמך המטפל בשלוש רמות חתימה (SES, AdES, QES) וממשלב באופן מקומי דרישות חדשות של eIDAS 2, בפרט שמירת קבצים אלקטרונית מוסמכת וניהול מרחוק של התקנים.

4.3 הכשרה של הצוותים שלך ועדכון החוזים שלך

eIDAS 2 מחזק את הערך ההוכחתי של חתימות מוסמכות אך כופה גם שיטות עבודה טובות עבור תיעוד. ודא שהצוותים המשפטיים והניהוליים שלך:

• יודעים להבחין בין שלוש רמות החתימה וערכן המשפטי בהתאמה.
• משלבים בחוזים ספקים סעיף של בדיקת תאימות eIDAS.
• משמרים ראיות של אימות חתימה (דוח אימות, בעיתוי מוסמך) במהלך תקופת ההישמרות החוקית החלה (3 עד 10 שנים בהתאם לאופי המעשה).

כדי לארגן את הקדמה זו, המחשבון ROI של חתימה אלקטרונית שלנו יאפשר לך לכמת את הרווחים התפעוליים הקשורים לשדרוג.

מסגרת משפטית חלה

טקסטים הנוגעים בדין

התאימות של eIDAS 2 עבור עסק קטן ובינוני צרפתי משתלבת בערום נורמטיבי שחשוב לשלוט בו.

התקנון (EU) 2024/1183 של הפרלמנט האירופי והמועצה (קרוי "eIDAS 2"): זהו הטקסט היוסד, פורסם בתוך ה-JOUE ב-30 באפריל 2024. הוא בוטל והחליף את התקנון (EU) מס' 910/2014 על סמך לוח זמנים של פריסה הדרגתית עד שנת 2027. הוא חל ישירות בכל מדינות חברות, ללא צורך בתחקוק משפטי לאומי לתנאיו העיקריים.

התקנון (EU) מס' 910/2014 (eIDAS 1): כמה מהתנאיו נשארים בתוקף במהלך תקופות המעבר שנקבעו על ידי eIDAS 2, בעיקר עבור ספקים מוסמכים שקיבלו את הסמכתם לפני מאי 2024 ובעלי פרק זמן להסמכה מחדש.

Code Civil צרפתי, סעיפים 1366 ו-1367: סעיף 1366 קובע את העיקרון של שקילות בין קובץ אלקטרוני לקובץ נייר, בכפוף לכך ש"האדם שממנו הוא חייב להזדהות כראוי ויש להקים ולשמור עליו בתנאים הטבעיים להבטיח את שלמותו". סעיף 1367 מכיר בחתימה אלקטרונית כדרך של הוכחה, ומתייחס לתנאים קבועים בעיצומו של מחוקק (צו מס' 2017-1416 מ-28 בספטמבר 2017, מקודד בסעיפים R. 1369-1 עד R. 1369-10 של Code Civil).

התקנון (EU) 2016/679 (GDPR): פריסת ה-EUDIW וטיפול בתכונות זדהות בזרימות חתימה אלקטרונית מהווים עיבודים של נתונים אישיים על פי ה-GDPR. עסקים קטנים ובינוניים חייבים להבטיח שה-QTSP שלהם פועל בתור מעבד על סמך סעיף 28 GDPR, עם DPA (Data Processing Agreement) תואם. ה-CNIL פרסمה בינואר 2026 המלצה ספציפית על שילוב EUDIW-GDPR.

Directive (EU) 2022/2555 (NIS 2): eIDAS 2 מתואם בבירור עם NIS 2 לחובות הודעה על תקלות (סעיף 24, §2 eIDAS 2 מתייחס לתנאי NIS 2). ספקים מוסמכים נחשבים ליישויות "חיוניות" או "חשובות" על סמך NIS 2 ברמתן, וכפופים לעתות לביקורות אבטחה קבוע.

נורמות ETSI: חתימות אלקטרוניות מוסמכות חייבות לתאים נורמות ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) ו-ETSI EN 319 102-1 (הליך אימות). הנורמה ETSI TS 119 461 מסדירה אימות מרחוק של זדהות (IDV), בעיקר רלוונטית לאחר RQSCD.

סיכונים משפטיים במקרה של אי-תאימות

שימוש בפתרון חתימה אלקטרונית שאינו תואם ל-eIDAS 2 חושף את העסק הקטן ובינוני לכמה סיכונים:

• אי-קבילות בבית משפט: שופט עשוי להחריג חתימה אלקטרונית שרמתה אינה עולה בקנה אחד עם המעשה החתום (לדוגמה: חתימה פשוטה לעבודה הדורשת רמה מתקדמת או מוסמכת).
• אחריות חוזית: אם חוזה מוטל בקנס על ידי שותף על בסיס בטלות החתימה, העסק קטן ובינוני עלול להיות חשוף לתביעות פיצויים.
• סנקציות GDPR: במקרה של הפרת נתונים הקשורה לחסר בטיחות של הספק, העסק קטן ובינוני, שיתוף אחראות או אחראי עיבוד, עלול להיות מעונש על ידי CNIL עד 4% מהנתח הדיווח השנתי העולמי (סעיף 83 §4 GDPR).

תרחישי שימוש קונקרטיים

תרחיש 1: עסק קטן ובינוני תעשייתי של 80 עובדים המנהל 400 חוזים ספקים בשנה

עסק קטן ובינוני בתחום מעבדות מתכת טוען בערך 400 חוזים ספקים מדי שנה השתמש עד 2024 בפתרון חתימה אלקטרונית פשוטה (SES) עבור כל התחייבויותיו, כולל חוזים קדריים גבוהים מ-50,000 €. לאחר ביקורת תאימות eIDAS 2, היא גילתה כי 35% מהחוזים שלה דרשו חתימה מתקדמת או מוסמכת כדי להתנגד לעוררות משפטית, בעיקר עם ספקים בעלי מעמד במדינות חברות אחרות של ה-EU.

על ידי העברה לפתרון המשלב חתימה מתקדמת (AdES) לחוזים שוטפים וחתימה מוסמכת (QES) לחוזים קדריים, והפעלת שמירת קבצים אלקטרונית מוסמכת (שירות חדש eIDAS 2), עסק קטן ובינוני זה הפחית ב-70% את הזמן המוקדש לניהול דוקומנטרי לאחר חתימה (סיווג, חיפוש, שליחת עותקים מוסמכים) והביא לאפס תגובות הקשורות לעוררות חתימה על פני 18 החודשים הבאים, כנגד שני אירועים ב-18 החודשים הקודמים.

תרחיש 2: משרד ייעוץ משפטי של 15 שכנים

משרד מתמחה בדין עסקי, מנפיק בממוצע 1,200 מעשים חתומים בשנה (מכתבי משימה, מנדטים, הסכמות סודיות), עמד בפנים ביקוש הולך וגובר של הלקוחות הקורפורטיביים שלו לחתימות מוסמכות המוכרות בכל ה-EU. תחת eIDAS 1, קבלת תעודה מוסמכת דרשה הליך הפעם בפנים או אימות ווידאו ארוך (45 עד 90 דקות לכל משתמש).

בעזרת