מעבר eIDAS 1 ל-eIDAS 2: השפעות על החתימה בשנת 2025

ב-20 במאי 2024, תקנון (EU) 2024/1183 — המכונה בדרך כלל eIDAS 2 — פורסם בעלון הרשמי של האיחוד האירופי, והביא לביטול הדרגתי של תקנון מס' 910/2014 (eIDAS 1). טקסט זה מהווה את הרפורמה המובנית ביותר של הזהות הדיגיטלית והחתימה האלקטרונית באירופה מאז 2016. לחברות צרפתיות המשתמשות בפתרונות חתימה אלקטרונית בתוך תהליכי החוזים שלהן, המעבר אינו רשלנות: הוא מרמז על התאמות טכניות, משפטיות וארגוניות שהאופק שלהן משתרע עד 2026 ומעבר לכן. הבנת המעבר eIDAS 1 ל-eIDAS 2 והשפעתו על החתימה האלקטרונית ב-2025 הפכה לעדיפות עבור כיווני משפט, DSI ו-DRH. מאמר זה פענח את ההתפתחויות הבסיסיות של המסגרת, לוח הזמנים המדויק של המעבר והאמצעים הקונקרטיים שיש לנקוט כדי להישאר תואם.

מה שתקנון eIDAS 2 משנה בעומקו

מהתקנון של 2014 לעיצוב מחדש של 2024: מדוע היה צורך בתיקומים

eIDAS 1 קבע את אבני היסוד של הכרה הדדית של חתימות אלקטרוניות בתוך האיחוד. שלוש רמות היררכיות — פשוטה (SES), מתקדמת (AdES) וממוסמכת (QES) — ארגנו את הערך ההוכחה של החתימות, מבוססות על רשימת ספקי שירותים מהימנים (TSL). אך בעשר שנים, הופיעו שתי חסרונות עיקריים.

ראשית, התקנון המקורי חל בעיקר על יחסים עם ממשלות ציבוריות (G2B, G2C). הוא לא יצר התחייבויות ישירות בעסקאות פרטיות (B2B, B2C), וישאר חלל נורמטיבי שכל מדינת חבר מילאה בצורה הטרוגנית. שנית, עלייתם של שירותים דיגיטליים — יישומים ניידים, open banking, טלימדיצינה — חשפה את היעדר של מערכת זהות דיגיטלית ניידת וניתנת להפעלה בשיתוף פעולה ברמה יבשתית.

eIDAS 2 עונה על שתי אתגרים אלו על ידי הצגת ארנק הזהות הדיגיטלי של האיחוד (EU Digital Identity Wallet, EUDIW) והרחבת היקף שירותי השקיעות לתיקים חדשים של שימוש: שיגור אלקטרוני מוסמך, עדויות של תכונות מוסמכות, רישומים אלקטרוניים מוסמכים (כולל יישומי blockchain מוסמכים).

הקטגוריות החדשות של שירותי שקיעה מוסמכים

תקנון eIDAS 2 מרחיב את רשימת שירותי השקיעה המוסמכים (סעיף 3 וקביעה IV שונה). חוץ מחתימות, חותמים וטיוטות מוסמכים כבר מוכרים על ידי eIDAS 1, הם כעת מוסמכים:

• שירותי שיגור אלקטרוני מוסמך (art. 34 bis): התחייבות לשמור על השלמות והקריאות של מסמכים חתומים לזמן ארוך, עם דרישות חזקות יותר לספקים (QTSP).
• שירותי ניהול התקני יצירת חתימה מרחוק מוסמכים (QRCD): פיקוח מחוזק על פתרונות חתימה מרחוק דרך HSM (Hardware Security Module) בענן.
• עדויות של תכונות מוסמכות: מנגנון המאפשר לצד שלישי מהימן להעיד על תכונות של ישות (לדוגמה, כישור של עורך דין, מעמד רופא) מבלי לחשוף את כל הזהות.
• רישומים אלקטרוניים מוסמכים: הכרה ברישומים מופצים בתנאים קפדניים של ניתוח והחוסן.

עבור משתמשי פתרונות חתימה אלקטרונית, הרחבה זו אומרת שה-שירותי שקיעה מוסמכים הזמינים בשוק יתגוונו, וכי הקריטריונים לבחירת ספק (QTSP) חייבים לשלב יכולות חדשות אלו.

EUDIW: ארנק הזהות הדיגיטלית כתשתית של החתימה

החידוש הגלוי ביותר של eIDAS 2 נשאר ה-EUDIW. כל מדינת חבר תצטרך להציע לאזרחים שלה וגרים ארנק זהות דיגיטלי חינמי, שניתן להפעלה בשיתוף פעולה עם כל מדינות חברות אחרות, עד 26 בנובמבר 2026 (פרק זמן של עמידה לאומית לפי סעיף 5 bis). ארנק זה יאפשר:

• אימות משתמש עם רמת ביטחון גבוהה (LoA High) ללא פנייה לספק צד שלישי של זיהוי;
• חתימה אלקטרונית של מסמכים עם ערך מוסמך (QES) ישירות מהכיס;
• שיתוף פעולה של תכונות זהות בחירה (selective disclosure), והערכה כך את עקרון המזעור של נתונים של ה-RGPD.

עבור ארגונים, EUDIW מפשט בתיאוריה את ההליכים של אימות זהות מוקדם לחתימה מוסמכת, הסרת החיכוך של הפקת וידאו או של זיהוי פנים אל פנים. בעשייה, ההשפעה תתאמץ לקצב של פרסום לאומי — צרפת הן נהגה בשנת 2025 בנסיון טיול בתוך המסגרת של התכנית « France Identité ».

לוח הזמנים המדויק של המעבר eIDAS 1 ל-eIDAS 2

אבני הדרך הרגולטוריות להכרה

תקנון 2024/1183 נכנס לתוקף ב-20 במאי 2024, אך היישום שלו הוא הדרגתי. הנה אבני הדרך המרכזיות:

| תאריך | אירוע | |------|----------| | 20 במאי 2024 | פרסום ל-JOUE, הצגת תוקף פורמלית | | 20 בנובמבר 2024 | פרק זמן של 6 חודשים לאימוץ עלויות של ביצוע על ידי הנציבות (מפרטות טכניות של EUDIW) | | סוף 2025 | פרסום של תקנים ETSI שונים (EN 319 411-1/2, EN 319 401) אינטגרציה של דרישות eIDAS 2 | | 26 במאי 2026 | מועד סיום לעמידת מדינות חברות בדרישות החדשות של קטגוריות של שירותים מוסמכים | | 26 בנובמבר 2026 | זמינות חובה של EUDIW על ידי כל מדינת חבר | | 2027-2028 | תיקומים מלאים של רשימות אמון לאומיות (TSL) והצהרה של QTSP חדשות |

eIDAS 1 נשאר תוקף וחתימות שהוצאו תחת משטרו לשמור על ערכן המשפטי המלא. אין שום התחייבות לחזרה לחתום על מסמכים קיימים. במקום זאת, ספקי שירותים מהימנים מוסמכים יצטרכו לחדש את ההצהרה שלהם לפי התקנים הטכניים החדשים עד 2027.

מה שלא משתנה ומה שחייב על פי ה

הרציפות היא עיקרון קרדינלי של המעבר. שלוש רמות של חתימה (SES, AdES, QES) נשמרות עם ההגדרות שלהן ללא שינוי. ההנחה של שוויון עם חתימה ידנית המחוברת ל-QES (סעיף 25 eIDAS 1, חזרו בסעיף 27 eIDAS 2) נישמר בתוקף. הערך ההוכחה של חתימות אלקטרוניות כעת אינו מטעם בעיה.

מה שחייב על פי הבחינה במקום זאת: עלויות ביצוע (implementing acts) שפורסמו על ידי הנציבות האירופית לכל אורך 2025-2026 יקבעו את המפרטות הטכניות המדויקות של EUDIW וקטגוריות השירותים החדשות. טקסטים של רמה 2 אלו בעלי חשיבות מעשית ניכרת לאינטגרטורים ועורכים של תוכנה. עבור ארגונים המשתמשים ב-חתימה אלקטרונית בתהליכים שלהם של משאבי אנוש או משפטיים, מומלץ לדרוש מספק שלו דרך מפה של עמידה eIDAS 2.

השפעה קונקרטית על ארגונים ופתרונות החתימה שלהם

איזה תהליכים מעבודה מדוברים בעדיפות?

המעבר eIDAS 1 ל-eIDAS 2 אין את אותה השפעה לפי רמת החתימה בשימוש. עבור ארגונים, שלוש מצבים מתבררים:

חתימה אלקטרונית פשוטה (SES): בשימוש עבור תוספות בערך נמוך, עדויות של קבלה, טפסים פנימיים. שום התחייבות של עדכון מיידי. כללי הוכחה נישארים מנוהלים על ידי הקוד האזרחי (art. 1366-1367) ולא ישירות על ידי eIDAS.

חתימה אלקטרונית מתקדמת (AdES/AdESQC): ארגונים המשתמשים בפתרונות B2B עבור חוזים מסחריים, חוזי עבודה שניתקו או עלויות של נדלן חייבים לאמת שספק שלהם שומר על עמידה בתקנים ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) ו-EN 319 142 (PAdES) בגרסאות שלהם לשונות עבור eIDAS 2. תקנים אלו יפורסמו על ידי ETSI בסוף 2025.

חתימה אלקטרונית מוסמכת (QES): ספקים מוסמכים (QTSP) יצטרכו לעבור להצהרה חדשה eIDAS 2. תקופת המעבר מעניקה פרק זמן סביר (עד 2027), אך הזמנות שפורסמו בשנת 2025 צריכות לשלב סעיף של עמידה eIDAS 2 בקריטריונים של בחירה. עבור ארגונים משווים אפשרויות זמינות, ה-השוואה של פתרונות חתימה אלקטרונית מאפשר הערכה של בגרות עורכים בנושא זה.

דרישות חדשות עבור ספקי שירותים מהימנים מוסמכים (QTSP)

eIDAS 2 מקנא דרישות חוקות החלות על QTSP על שלוש נקודות עיקריות:

1. ביטחון של מערכות: התאמה חובה על NIS2 (הנחיה (UE) 2022/2555) עבור QTSP, כעת סיווגו כישויות חיוניות. זה מתורגם להתחייבויות של הודעה של תקלות תחת 24 שעות, ביקורות ביטחון שנתיות ויישום של תוכניות של המשכיות עסקית.

1. אחריות חזקה יותר: סעיף 13 eIDAS 2 מרחיב את משטר החבות של QTSP. במקרה של הפרה שהוכחה, השינוי של הראיה מיוצר הפוך: הספק חייב להוכיח שהוא לא עשה מחדל, ולא להפך.

1. סיווג חובה: QTSP יצטרכו לחשוף API מתוקננים תואמים עם EUDIW כדי לאפשר שילוב של ילד של כיסים של זהות. דרישה זו תואץ את המודרניזציה של ממשקי ההשתלבות הזמינים לפי מפתחים.

עבור ארגונים המתכננים לשנות ספק בהקשר זה, הגירה מ-DocuSign או YouSign להחלטה עמידה eIDAS 2 היא פעולה שמגיעה להיות צפויה כבר עכשיו ולא בחירום ב-2027.

נתונים אישיים ו-eIDAS 2: הביטוי עם RGPD

EUDIW אוספת וטיפול בנתונים של זהות בעל מאפיין אישי. תקנון eIDAS 2 קובע במפורש (הערה 11 וסעיף 5 bis §14) כי הכיס של המערכת כולה חייב להיות תואם RGPD (תקנון (UE) 2016/679). כמה נקודות של תשומת לב:

• Selective disclosure: הכיס חייב לאפשר למשתמש לשתף רק את התכונות הנדרשות בקפדנות לעסקה (עיקרון של מזעור, art. 5(1)(c) RGPD). עבור חתימה של חוזה, רק אימות של גבול היה יכול להיות משותף מבלי לחשוף את תאריך הלידה המלא.
• העברות מחוץ ל-EU: נתונים של זהות המטופלים בתוך מסגרת של EUDIW לא יכולים להיות מועברים חוץ ל-EEE אלא עם הבטחות מתאימות (art. 46 RGPD). ספקים משתמשים בתשתיות בענן אמריקאי חייבים לתעד עמידה שלהם.
• שמירה של יומני חתימה: אחסון של ראיות של חתימה חייב לכבד משך של שמירה חוקי לאופי של המסמך. שירות ההשמרה המוסמך החדש eIDAS 2 מציע מסגרת טכנית כדי להגיב לדרישה זו.

ארגונים המנהלים חוזי עבודה בינלאומיים מדוברים במיוחד על ידי ביטוי זה של RGPD/eIDAS 2, במיוחד כאשר חתומים שוכנים מחוץ ל-EU.

מסגרת חוקית החלה על המעבר eIDAS 1 ל-eIDAS 2

טקסטים של התייחסות

המעבר מבוסס על ערימה של טקסטים שהוא חיוני לשלוט ב:

ברמת האירופית:

• תקנון (UE) מס' 910/2014 (eIDAS 1): כל עוד בתוקף עד לביטול ההדרגתי שלו על ידי eIDAS 2. מגדיר את שלוש רמות של חתימה (SES, AdES, QES) ומשטר של QTSP.
• תקנון (UE) 2024/1183 (eIDAS 2): נכנס לתוקף ב-20 במאי 2024. משנה בעומק eIDAS 1 ללא ביטול זה מיידי. הוראות הקשורות ל-EUDIW מיישמות בחרוזים של פרסום של עלויות של ביצוע.
• תקנון (UE) 2016/679 (RGPD): מחיל בשלמותו את הטיפול של נתונים של זהות בתוך מסגרת של EUDIW ותהליכים של חתימה. סעיף 5 bis §14 של eIDAS 2 מעלה התחייבות זו במפורש.
• הנחיה (UE) 2022/2555 (NIS2): כובעות התחייבויות של סייבר חזקות יותר לספקים, כעת סיווגו ישויות חיוניות. הנהלה בחוק צרפתי על ידי הנחיה מס' 2024-821 של 20 ביוני 2024 (בתוך קורס של כינון של צו).

ברמת צרפתית:

• קוד אזרחי, סעיפים 1366 ו-1367: יסוד של ערך ההוכחה של כתבים בצורה אלקטרונית. סעיף 1366 קובע שוויון בין טכס אלקטרוני ונייר בתנאים. סעיף 1367 נותן לחתימה מוסמכת (QES) את אותה כוח של ראיה כמו חתימה של יד.
• צו מס' 2017-1416 של 28 בספטמבר 2017: מבהיר את התנאים של שימוש של חתימה אלקטרונית בעלויות תחת חתומות פנימיות בלבד. נשאר חל בתוך תקופה של מעבר.
• מראש כללי של ביטחון (RGS) v2: עבור ממשלות צרפתיות, RGS כובע השימוש של פתרונות שהתייחסו על ידי ANSSI. העדכון שלו לכיסוי eIDAS 2 צפוי הניתן תוקף בחטיבה של 2026.

תקנים טכניים ETSI חלים

תקנים ETSI מהווים את הרמה 3 של ההיררכיה של כללים. גרסאות הנוכחיות החלות:

• EN 319 132-1/2: עוצב XAdES (חתימות XML מתקדמות)
• EN 319 122-1/2: עוצב CAdES (חתימות CMS מתקדמות)
• EN 319 142-1/2: עוצב PAdES (חתימות PDF מתקדמות)
• EN 319 401: דרישות כלליות עבור ספקים של שירותים של שקיעה
• EN 319 411-1/2: דרישות עבור AC שחיל תעודות של מוסמך

תקנים אלו יעברו שינויים בסוף 2025 כדי להשלים דרישות חדשות eIDAS 2. חוזים עם QTSP חייבים לכלול סעיף של עדכון לגרסאות שונות ללא חלק יתר.

סיכונים משפטיים של אי-עמידה

חתימה שהוצאה על ידי ספק שלא היה מוסמך עוד לאחר 2027 לא היתה הולכת באופן אוטומטי להאבד את הערך המשפטי שלה עבור מסמכים שחתומו כבר, אך היא לא היתה יכולה עוד ליהנות מההנחה החוקית של שוויון עם חתימה של יד (art. 25 eIDAS). המטען של הראיה של השלמות והזהות של החותם היה מונח כל כך לחלוטין על הארגון במקרה של התחייבות. סיכון זה של הוכחה קטגורי במיוחד עבור עלויות שהם שתיים בהן זמן של קצבה הוא ארוך (5 שנים בענייני מסחר, 30 שנים עבור זכויות רכוש בל-נדל"ן).

מצבים של שימוש: איך ארגונים צופים את המעבר eIDAS 2

מצב 1: יזום של עורכי דין של 25 שיתופים מסתדר ההתאמה שלו של המסמך

יזום של עורכי דין במיוחד בחוק של ענייני עסקים, עם בערך 25 שיתופים והפעילות של חתימה אינטנסיבית של מנדטים, עלויות של ייזום ופרוטוקולים של הסכם, השתמש עד 2024 בפתרון של חתימה של התקדמות (AdES) עבור הכיס כולו של התהליכים שלו. להודעה של eIDAS 2, היזום היה להחוש ביקורת של 1 200 מסמכים חתומים בשנה כדי לזהות אלו שדורשים QES לפי המלצות חדשות של כיס של ים שלו.

תוצאה: 15% של עלויות (בערך 180 בשנה) בחן כדי לחתום על חתימה מוסמכת, שהיה לתופע כדי להגן על משטר של ראיה של מסמכים אלו. היזום בנה עם עורך שלו של חתימה סעיף של ערב כדי לשמור על עמידה eIDAS 2 מחרוזים של פרסום של עלויות של ביצוע, ללא חלק יתר. הזמן של ניהול הקשור עם אימות של זהות של החותמים ירד על ידי 40% תודה להצפייה של שילוב של EUDIW שתוכנן עבור 2026.

מצב 2: PME עשייתי של 150 עובדים מגן על הרשת של חוזה של עירם

PME עשייתי המנהל בערך 350 חוזים של ספקים בשנה — טובים של הזמנה, NDA, חוזים של מכסה — עבד עם שני פתרונות של חתימה מובחנים עבור תהליכים שלו פנימי וחיצוני, יצירת שיכול של ראיות של ביקורת. בתוך הקשר של מעבר eIDAS 2 ודרישות חדשות של אחסון מוסמך, DSI החליט לאיחוד הפלטפורמה שלו.

בהגירה לפתרון של אחדות אינטגרציה אחסון אלקטרוני מוסמך (עתידי הקטגוריה eIDAS 2), PME הפחית עלויות של אחסון מאובטח על ידי 30% והטבעה של ראיות של חתימה בתוך ארונית של כספת דיגיטלית תואמת. הרשת כל כך של מסמך היא כעת בכושר בעדות בפחות מ-2 דקות של בקרות של ספק — דרישה בעלית של ספקים שלהם בתוך עשייתה של אוטומוביל.

מצב 3: קבוצה הנשמה של בערך 600 מושבות מכינה את ההשתלבות של EUDIW

קבוצה הנשמה הציבורית השתמשה בחתימה אלקטרונית מוסמכת עבור חוזים רפואיים שלה ובשווקים של פרסום, עמידה עם התחייבויות של קוד של הזמנה ציבורית. עם eIDAS 2, הנירות של מחשוב היו זוהי שתי ענייני ערך: השתלבות עתידית של ארנק של «