eIDAS 2 : novi europski pravilnik objašnjen za 2026

Uvod : zašto eIDAS 2 mijenja sve za europska poduzeća

Pravilnik eIDAS 2 — službeno nazvan Uredba (EU) 2024/1183 — koji je stupio na snagu 20. svibnja 2024. godine nakon dugog zakonodavnog procesa, predstavlja najambiciozniju reformu ikada provedenu u području elektroničke identifikacije i usluga povjerenja u Europi. Ukida i djelomično zamjenjuje izvorni pravilnik eIDAS iz 2014. godine (br. 910/2014), dok zadržava kompatibilnost s postojećom infrastrukturom. Za poduzeća koja koriste elektroničku podpisu usklađenu s eIDAS-om, ova prerada uvodi nove obveze, neočekivane prilike i uski vremenski raspored usklađenosti do 2026. i dalje. Ovaj članak detaljno dešifrira ključne odredbe teksta, njihove operativne implikacije i način na koji vaša organizacija može biti spremna.

---

Što pravilnik eIDAS 2 fundamentalno mijenja

Od pravilnika iz 2014. na verziju iz 2024. : strukturna prerada

Izvorni pravilnik eIDAS iz 2014. godine postavio je temelje uzajamnog priznavanja shema elektroničke identifikacije između država članica i uspostavio unified zakonski okvir za usluge povjerenja (podpis, pečat, vremenski pečat, itd.). No deset godina kasnije, nedostaci su bili očiti : niska stopa prihvaćanja notificiranih eID-eva, fragmentacija nacionalnih rješenja, nepostojanje univerz alnog digitalnog novčanika za građane, i posebno neusklađenost s web korištenjem (GAFAM isključeni iz okvira povjerenja).

eIDAS 2 ispravlja te nedostatke na tri glavne ose :

1. Europski novčanik za digitalni identitet (EUDI Wallet) — svaka država članica mora do studenog 2026. ponuditi aplikaciju digitalnog novčanika koja omogućava svakom građaninu ili rezidentu Europe da sigurno pohranjuje i prikazuje svoje atribute identiteta (osobna iskaznica, vozačka dozvola, diplome, itd.).
2. Proširenje kvalificiranih usluga povjerenja — tekst dodaje nove kvalificirane usluge : upravljanje kvalificiranom elektroničkom arhivom (QESAP), izvješća o kvalificiranim atributima identiteta (QEAA), kvalificirani elektronički knjižni zapisi (QLED) i upravljanje uređajima za daljinsku izradu podpisa (QRCD).
3. Obveza za velike platforme — davatelji usluga putem interneta velike veličine (društvene mreže, tržnice) morat će prihvatiti EUDI novčanik za provjeru autentičnosti korisnika.

EUDI Wallet : arhitektura i funkcionalnost

EUDI Wallet je u srcu eIDAS 2. Praktički gledano, radi se o softverskoj aplikaciji — isporučenoj ili certificiranoj od strane svake države članice — koja se oslanja na decentraliziran model selektivne prezentacije atributa. Korisnik prenosi samo podatke koji su strogo potrebni za transakciju (načelo minimizacije, u skladu s GDPR-om).

S tehničke točke vida, arhitektura se oslanja na specifikacije Architecture Reference Framework (ARF), koje je objavila Europska komisija i redovito ih ažurira Large Scale Pilot (LSP) koji broji četiri pilot konzorcija (DC4EU, EWC, POTENTIAL, NOBID). Odabrani formati podataka su uglavnom ISO/IEC 18013-5 (mDL/mDocs) i W3C Verifiable Credentials, što osigurava međunarodnu interoperabilnost.

Za poduzeća to znači da će, na kraju, moći provjeriti identitet svojih klijentima ili partnerima putem novčanika bez da sami upravljaju prikupljanjem dokaznih dokaza — čime se značajno smanjuju KYC (Know Your Customer) trenja i rizici prijevare s dokumentima.

---

Razine osiguranja i hijerarhija podpisa : što se mijenja

Zadržavanje hijerarhije QES / AdES / SES

Režim elektroničke podpise ostaje strukturiran oko tri razine definirane u članku 3. eIDAS 2 (ponavljajući terminologiju iz 2014. ali pojašnjavajući tehničke zahtjeve) :

• Jednostavna elektronička podpis (SES) : minimalna dokazna vrijednost, prikladna za uobičajene akte.
• Napredna elektronička podpis (AdES) : isključiva veza sa potpisom, mogućnost otkrivanja bilo koje kasnije izmjene.
• Kvalificirana elektronička podpis (QES) : zakonski ekvivalent rukopisa u cijeloj EU (članak 25§2), izdana putem kvalificiranog uređaja za izradu podpisa (QSCD) na temelju kvalificiranog certifikata.

Novost leži u tome kako se QES sada može dostaviti putem kvalificiranih usluga udaljene podpise (QRCD), čiji su uvjeti za odobrenje detaljno navedeni u članaka 29a i 29b revidiranog teksta. To otvara put za 100% digitalne tokove za najzahtjevnije akte — notarske ugovore, elektroničke službene akte — bez potrebe za fizičkom čipnom karticom.

Utjecaj na davatelje kvalificiranih usluga povjerenja (QTSP)

Davatelji poput Certyneoa, koji posluju oslanjajući se na certificirane QTSP-a, moraju anticipirati nove zahtjeve revizije uvedene u eIDAS 2. Članak 24 sada nameće pojačane kontrole na lancu podugovaranja, a zahtjevi obavijesti o sigurnosnim incidentima eksplicitno se usklađuju s onima iz direktive NIS2 (rok od 24 sata za početnu obavijest). Za detaljnije razumijevanje funkcionalnosti različitih razina podpisa u B2B kontekstu, pogledajte naš sveobuhvatni vodič elektroničke podpise u poduzeću.

---

Raspored raspoređivanja i obveze za poduzeća 2025.-2026.

Ključni koraci u rasporedu

Uredba (EU) 2024/1183 objavljena je u Službenom listu EU-a 30. travnja 2024. i stupila je na snagu 20. svibnja 2024. Izvršni i delegirani akti — bitni za pojašnjenje tehničkih zahtjeva — objavljuju se postupno :

| Rok | Obveza | |---|---| | Svibanj 2024. | Stupanje na snagu pravilnika | | Kraj 2024. | Objavljivanje izvršnih akata o ARF v2.0 | | Sredina 2025. | Certifikacija prvih pilot EUDI Wallet-a | | Studeni 2026. | Obavezna dostupnost EUDI Wallet-a u svakoj državi članici | | 2027. | Obavezno prihvaćanje od strane velikih internetskih platformi |

Što B2B poduzeća trebaju učiniti odmah sada

Za poduzeća koja koriste rješenja elektroničke podpise, tri prioriteta se nameću u 2025.-2026. :

1. Provjerite svoju lanac povjerenja : provjerite je li njihov davatelj podpisa zaista naveden na Trusted List QTSP-a (Trusted List) njihove države članice, i da li su korišteni certifikati usklađeni s novim specifikacijama ETSI EN 319 401 i EN 319 411-1 revidiranim.

2. Anticipirajte integraciju EUDI Wallet-a : poduzeća koja posluju u reguliranim sektorima (bankarstvo, osiguranje, zdravstvo, nekretnine) biti će među prvima kojih se tiču tokovi provjere identiteta preko novčanika. Priprema API-ja za integraciju od 2025. preporučuje se.

3. Pregledajte njihove politike čuvanja : nova kvalificirana usluga elektroničke arhive (QESAP) uvodi standarde očuvanja na dugi rok koji se mogu nametati u određenim sektorima (javna nabava, farmaceutski sektor). Naš kalkulator ROI-ja za elektroničku podpisu omogućava vam procjenu financijskog utjecaja nadogradnje vaše dokumentacijske infrastrukture.

---

Interoperabilnost, GDPR i pitanja digitalne suverenosti

eIDAS 2 i GDPR : pojačana komplementarnost

Jedan od glavnih napredaka eIDAS 2 je eksplicitna integracija načela zaštite podataka od početka (privacy by design) u arhitekturu EUDI novčanika. Članak 5a§14 određuje da novčanik ne dopušta davateljem da prate ponašanje korisnika tijekom transakcija. Izdavatelji kvalificiranih atributa identiteta (QEAA) nisu obaviješteni o korištenju izdanih atestacija — što predstavlja veliki prekid s trenutnim centraliziranim modelima.

Ova arhitektura se naziva unlinkability (nekorelabilnost) : dvije odvojena transakcija koju provodi isti korisnik ne mogu se povezati bez njega suglasnost. Ova garancija premašuje minimalne zahtjeve GDPR-a dok se savršeno usklađuje s njim.

Geopolitijska dimenzija : vratiti kontrolu nad online identitetom

eIDAS 2 također odgovara na pitanje suverenosti. Danas se online autentifikacija masivno oslanja na gumbe « Prijava s Googlom/Facebookom/Applom », što velikim tehnološkim gigantima iz SAD-a daje dominantnu poziciju u upravljanju digitalnim identitetima Europljana. Nametanjem vrlo velikim platformama (u smislu Digital Services Act-a) da prihvate EUDI Wallet kao sredstvo autentifikacije, eIDAS 2 stvara interoperabilnu i suverenu alternativu.

Za B2B poduzeća, to također znači da usklađenost eIDAS 2 može postati kriterij za odabir dobavljača u javnim i privatnim pozivima za ponude — slično kao što je ISO 27001 certifikacija danas u procesima nabave. Ako vaša organizacija razmatra evoluciju svoje trenutne rješenja, naš vodič migracije s DocuSign-a ili YouSign-a na Certyneo detaljizira korake kontrolirane tranzicije.

Zakonski okvir primjenjiv na eIDAS 2 i elektroničku podpisu

Referentni tekstovi

Uredba (EU) 2024/1183 Europskog parlamenta i Vijeća od 11. travnja 2024., koja mijenja Uredbu (EU) br. 910/2014 u pogledu uspostavljanja europskog okvira za digitalni identitet (eIDAS 2). Objavljena u OJEU 30. travnja 2024., stupila na snagu 20. svibnja 2024.

Uredba (EU) br. 910/2014 (eIDAS 1) : zadržava se na snazi za njene neizmijenjene odredbe, posebno članke koji se odnose na razine osiguranja « slaba », « bitna » i « visoka » za notificirane sheme identifikacije.

Francuski građanski zakonik, članci 1366. i 1367. : elektronički dokument ima istu dokaznu snagu kao papirni dokument pod uvjetom da je osoba od koje je potiče pravilno identificirana i da je dokument izrađen u uvjetima koji osiguravaju njegovu cjelovitost. Kvalificirana elektronička podpis (QES) u smislu eIDAS 2 zadovoljava te zahtjeve u potpunosti.

Uredba (EU) 2016/679 (GDPR) : obrada podataka o identitetu u okviru EUDI novčanika podliježe načelima minimizacije (čl. 5§1c), ograničenja svrhe (čl. 5§1b) i zaštite podataka od početka (čl. 25). Kvalificirani davatelji obavljaju ulogu odvojenih odgovornih osoba za operacije provjere.

Direktiva (EU) 2022/2555 (NIS2) : transponirana u francusko pravo uredbom br. 2024-528 od 12. lipnja 2024., nameće davateljem kvalificiranih usluga povjerenja obveze upravljanja cyber rizicima i obavijesti o incidentima u roku od 24 sata.

Norme ETSI :

• EN 319 132 (XAdES) i EN 319 122 (CAdES) : napredni formati elektroničke podpise.
• EN 319 401 : opći zahtjevi za davatelje usluga povjerenja.
• EN 319 411-1 i 411-2 : politika i sigurnosni zahtjevi za CA koji izdaju kvalificirane certifikate.
• EN 319 521 : zahtjevi za kvalificirane usluge očuvanja podpisa (QESAP).

Obveze i zakonski rizici za poduzeća

Bilo koje poduzeće koje koristi elektroničku podpisu u kontekstu ugovora mora biti sigurno da je odabrana razina podpise prikladna vrijednosti i prirodi akta. Za akte podložne zakonskoj potrebi za potpisom (obećanja prodaje, ugovori o radu, narudžbe koje prelaze određene pragove), samo QES ili AdES na temelju kvalificiranog certifikata pruža pretpostavku pouzdanosti predviđenu člankom 26. eIDAS 2.

U slučaju spora, terete se dokaza obrnuto : ako je podpis kvalificiran, na stranki koja spori dokument je da dokažete njegovu izmjenu ; ako je jednostavna ili napredna bez kvalificiranog certifikata, terete dokaza počiva na potpisaču koji je priziva. Nepoštivanje zahtjeva za tragom i cjelovitošću može dovesti do ništavnosti akta ili nesuprotnosti podpisa prema trećoj strani.

Scenariji korištenja : eIDAS 2 primijenjen na B2B poduzeća

Scenario 1 — Savjetodavna kuća za digitalnu transformaciju (oko 80 konzultanata)

Struktura savjetovanja koja raspoređuje svoje suradnike kod klijenata u nekoliko država članica (Francuska, Njemačka, Nizozemska) mora mjesečno potpisati nalogodavce, izmjene ugovora i zapisnike primopredaje. Prije eIDAS 2, upravljanje transnacionalnim identitetima stvaralo je poteškoće : odbijanje određenih njemačkih klijenata da priznaju certifikate izdane od strane francuskog QTSP-a, dvostruka autentifikacija putem e-maila nedovoljna za osjetljive akte.

S rasporedom EUDI Wallet-a 2026., konzultanti će moći potpisati iz svojeg nacionalnog novčanika — priznanog u cijeloj EU bez ikakvih poteškoća. Savjetodavna kuća procjenjuje smanjenje od 60 do 70% vremena posvećenog razgovorima o provjeri dokumenata prije potpisivanja, odnosno otprilike 3 do 4 sata po konzultantu mjesečno prema benchmark-ima sektora koje je objavila McKinsey Digital (2024).

Scenario 2 — PME industrijski sektor koji upravlja 350 ugovora o dobavljačima godišnje

PME u sektoru industrijske opreme, radi s oko stotinu europskih i azijskih dobavljača, mora zaključivati narudžbe, sporazume o povjerljivosti (NDA) i okvirne ugovore. Do sada se 30% ovih dokumenata vratilo bez valjane potpise ili sa zakašnjenjem većim od 10 radnih dana.

Primjenjujući rješenje elektroničke podpise usklađeno s eIDAS 2 s provjером identiteta putem kvalificiranih atributa (QEAA), PME može nametnuti tok potpisivanja gdje je identitet predstavnika dobavljača automatski provjeren putem EUDI Wallet-a bez ručnog unosa. Očekivani rezultat : smanjenje prosječnog roka potpisivanja sa 10 dana na manje od 48 sati, i smanjenje od 40% sporova vezanih uz neprimjerene potpise, na osnovu raspona opaženih u izvještajima ELENIUS 2025 o dematerijaizaciji B2B.

Scenario 3 — Grupa nekretnina koja upravlja dogovorima o prodaji u nekoliko zemlja

Mreža nekretninama koja radi u Francuskoj, Španjolskoj i Portugalu mora redovito potpisati preliminarne ugovore između prodavatelja i kupaca različitih nacionalnosti. QES je potrebna u određenim kontekstima da bi se osigurala ekvivalencija s rukopism pred notarom.

Zahvaljujući eIDAS 2 i interoperabilnosti EUDI novčanika, португалski kupac može potpisati dogovor podložan francuskom pravu koristeći svoj nacionalni novčanik, s « visokom » razinom osiguranja priznanom automatski od platforme potpisivanja. Grupa smanjuje troškove putovanja i legalizacije za otprilike 800 do 1.200 eura po dosje transnacionalnom, dok istovremeno smanjuje rok zaključenja preliminarnih ugovora sa 3 tjedna na 5 dana u prosjeku. Za specifičnu primjenu u sektoru, naša stranica posvećena elektroničkoj podpisu u nekretninama detaljizira prilagođene tokove.

Zaključak

eIDAS 2 nije samo redovna regulatorna ažuriranja : to je duboka prerada kako digitalni identitet i elektroničko povjerenje funkcioniraju u Europi. EUDI Wallet novčanik, nove kvalificirane usluge, obveza interoperabilnosti i usklađenost s NIS2 i GDPR-om čine koherentan ekosistem koji će transformirati ugovorne procese i autentifikaciju poduzeća do kraja 2026.

Kako bi ostali sukladni i konkurentni, B2B organizacije moraju djelovati odmah sada : provjerite svoj lanac povjerenja, odaberite davatelja usluge usmjeren prema novim zahtjevima i pripremite svoje dokumentacijske tokove za integraciju europskog digitalnog novčanika.

Certyneo vas prati u ovoj tranziciji s rješenjima kvalificirane elektroničke podpise sukladnim eIDAS 2, spremnim za 2026. Zatražite demonstraciju ili stvorite vaš račun na Certyneo da osigurate svoje ugovore sada.