eIDAS 2 Portefeuille Identité Numérique : Vodič za 2026

Stupanjem na snagu Uredbe eIDAS 2 započinje povijesni obrat u upravljanju digitalnom identifikacijom u Europi. Sa EUDI Wallet-om — Europskim digitalnim novčićem za identitet — svaki citizen i poduzeće uskoro će imati suveren, interoperabilan i priznat digitalni novčić u 27 država članica. Za pravne službe, kadrovske službe, službe za usklađenost i DSI-jeve, ovaj regulacijski projekt otvara jednako mogućnosti koliko i operacijskih izazova. Ovaj članak razjašnjava tehničko i pravno funkcioniranje EUDI Wallet-a, njegovih konkretnih implikacija za poduzeća i kako se artikulira sa rješenjima kvalificirane elektronske potpise koje su već na mjestu.

Što je eIDAS 2 i EUDI Wallet?

Od Uredbe eIDAS 1.0 do Uredbe eIDAS 2.0: strukturna evolucija

Usvojena 2014. godine, Uredba eIDAS br. 910/2014 postavila je temelj povjerenja u brojeve u Europi: kvalificirani elektronski potpisi, pečati, vremenski žigovi i usluge autentifikacije. Ali desetljeće kasnije, njezina ograničenja postala su vidljiva: nedovoljna interoperabilnost između država članica, nejednak prijenos digitalnih nacionalnih identiteta, odsutnost jedinstvenog novčića. Uredba (EU) 2024/1183, nazvana eIDAS 2, službeno usvojena 11. travnja 2024. u Službenom listu EU-a, ispravlja te nedostatke nameću zajedničkim okvirom suvereniteta digitalne identifikacije.

Kako biste dublje razumjeli cijeli novi regulacijski okvir, konsultirajte naš sveobuhvatni vodič za Uredbu eIDAS 2.0.

EUDI Wallet: arhitektura i temeljni principi

EUDI Wallet (Europski digitalni novčić za identitet) je mobilna aplikacija i/ili softver koji svaka država članica mora staviti na raspolaganje svojim građanima i rezidentima najkasnije 2026., u skladu s člankom 5a revidirane Uredbe. Konkretno, ovaj digitalni novčić omogućava:

• Pohranu i prezentaciju provjerenih atributa identifikacije: putna isprava, vozačka dozvola, diplome, stručna akreditacija, broj PDV-a u zajednici za pravne osobe.
• Autentifikaciju korisnika prema javnim i privatnim uslugama na visokim razinama sigurnosti (LoA High prema Prilogu I Uredbe).
• Elektronsko potpisivanje dokumenata kvalificiranom razinom, oslanjajući se na certificirane kvalificirane uređaje za izradu elektronskog potpisa (QSCD).
• Selektivno dijeljenje podataka (princip selective disclosure) bez otkrivanja više informacija nego što je potrebno — veliki doprinos sukladu s GDPR-om.

Arhitektura se temelji na tehničkim specifikacijama koje je objavila Europska komisija preko Architecture and Reference Framework (ARF), održavane od strane konzorcija EUDIW (Europski digitalni novčić za identitet). Formati prezentacije koji su usvojeni uključuju osobito ISO/IEC 18013-5 (mDL — mobilna vozačka dozvola) i SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), dva otvorena standarda koji jamče prinosivost.

Tko je zahvaćen? Relying Parties-i (strane koje se oslanjaju)

Uredba eIDAS 2 uvodi pojam Relying Party (strana koja se oslanja). Svaka organizacija — privatno poduzeće, uprava, internetska platforma — koja prihvaća atribute identifikacije iz EUDI Wallet-a mora se registrirati kod svoje države članice i poštivati skup tehničkih i sigurnosnih obveza. Članak 5b Uredbe specificira da su velike platforme (u smislu DSA) i određeni sektori (bankarstvo, zdravstvo, energija) obvezni prihvatiti EUDI Wallet od trenutka nacionalne proizvodne primjene.

Tehničko funkcioniranje EUDI Wallet-a za poduzeća

Tok autentifikacije i potpisivanja korak po korak

Razumijevanje tehničkog toka neophodan je za predviđanje integracije u informacijske sustave. Tipičan scenarij potpisivanja ugovora putem EUDI Wallet-a odvija se na sljedeći način:

1. Inicijalizacija: Relying Party (npr. vaša SaaS platforma) generira zahtjev za prezentaciju u skladu s protokolom OpenID4VP (OpenID za provjerive prezentacije).
2. Obavijest: korisnik prima obavijest na svom EUDI Wallet mobilnom uređaju.
3. Suglasnost i selekcija: korisnik odabira atribute za dijeljenje (ime, prezime, datum rođenja) preko sučelja selective disclosure.
4. Provjeriva prezentacija: novčić generira kriptografsku provjeru potpisanu od strane Trusted Issuer-a (država članica ili akreditirani pružatelja usluga).
5. Provjera: Relying Party provjerava provjeru putem Europskog registra povjerenja (Trust Framework), bez pohranjivanja nepotrebnih podataka.
6. Kvalificirani potpis: ako je potreban čin potpisivanja, QSCD uključen u novčić ili smješten u oblaku (QSign) proizvodi kvalificirani potpis u skladu s ETSI EN 319 132.

Ovaj tok jamči razinu sigurnosti LoA High, najvišu predviđenu Uredbom, ekvivalentnu verifikaciji licem u lice.

Integracija s postojećim platformama za elektronski potpis

Urednici rješenja za elektronski potpis moraju integrirati protokole OpenID4VCI (izdavanje) i OpenID4VP (prezentacija) kako bi se povezali s ekosustavom EUDI. Za poduzeća koja već koriste platformu u skladu s eIDAS 1.0, prijelaz na eIDAS 2 znači tehničku nadogradnju verzije, ali čuva pravnu vrijednost već ostvarenih potpisa. Zato je strateški važno procijeniti roadmap vašeg trenutnog pružatelja, osobito ako razmišljate o migraciji sa DocuSign-a ili YouSign-a na rješenje koje više odgovara.

Digitalna identifikacija pravnih osoba: poslovni izazov

EIDAS 2 nije ograničen samo na fizičke osobe. Članak 5a §3 izričito predviđa novčiće za pravne osobe, omogućujući poduzećima da:

• Dokažu svoju pravnu egzistenciju (ekvivalent numerički provjerivog izvoda iz registra).
• Delegiraju potpisnu ovlast svojim suradnicima na način koji je provjerav i opoziv.
• Automatizirajte provjeru KYB (Upoznajte svoje poduzeće) u B2B ugovornim procesima.

Ova dimenzija je posebno transformacijska za procese elektronskog potpisivanja u poduzeću, posebno u sektorima ljudskih resursa, pravnih i financijskih.

Raspored uvedbe i regulatorne obveze 2024-2026

Faze primjene prema Uredbi

Uredba (EU) 2024/1183 postavlja obvezujući raspored:

• Travanj 2024: objavljivanje u Službenom listu, stupanje na snagu 20 dana nakon.
• Kraj 2024: objavljivanje izvršnih akata (Implementing Acts) koji određuju obvezujuće tehničke specifikacije.
• 2025: uporaba pilotnih nacionalnih novčića (projekti velikih pokusa: EU Digital Identity Wallet Large Scale Pilots, financirani sa 46 milijuna eura od Komisije).
• Kraj 2026: obavezna dostupnost od strane svih država članica od najmanje jednoga operativnog EUDI Wallet-a. Velike platforme i regulirani sektori moraju ga prihvatiti.

Za francuska poduzeća, uporaba se oslanja na digitalnu identifikaciju La Poste i rad ANSSI-ja vezano uz certificiranje nacionalnih Trusted Issuer-a.

Obveze za Relying Parties

Poduzeća koja žele ili moraju prihvatiti EUDI Wallet podliježu nekoliko obveza:

1. Registracija kod nadležne nacionalne vlasti (u Francuskoj, ANSSI i CNIL ovisno o slučaju).
2. Tehnička usklađenost sa specifikacijama ARF v2.x objavljenima na GitHub-u od strane Komisije.
3. Transparentnost: objavite u javnom registru atribute koje trebate i svrhu obrade.
4. Minimizacija podataka: trebam samo atribute koji su strogo potrebni — obaveza pojačana GDPR-om.
5. Logiranje: čuvajte logove provjerivnih prezentacija za reviziju, bez pohranjivanja neobrađenih podataka o identitetu.

Poduzeća koja integriraju EUDI Wallet u svoje procese elektronskog potpisivanja za pravne preglede ili za upravljanje ljudskim resursima dobit će značajnu konkurentsku prednost od 2026.

Strateški izazovi i mogućnosti za poduzeća

Smanjenje trenja u procesima KYC/KYB

Jedna od najneposrednijih prednosti EUDI Wallet-a je eliminacija ručnih provjera identiteta. Danas onboarding novoga kupca ili partnera zahtijeva slanje opravdavajućih dokumenata putem e-maila, ručnu provjeru od strane asistenta i vremenske zakašnjenja obrade. Sa EUDI Wallet-om, provjera postaje trenutna, kriptografski certificirana i provjeravana. Sektori bankarstva, nekretnina i osiguranja — podložni LCB-FT obvezama — vide u tome veliku mogućnost automatizira usklađenosti. Sektor elektronskog potpisivanja u nekretninama je osobito pogođen, sa procesima provjere identiteta koji Today zauzimaju do 40% administrativnog vremena.

Digitalna suverennost i smanjenje ovisnosti o GAFAM-u

EUDI Wallet odgovara jakoj političkoj ambiciji: smanjiti ovisnost Europljana o sustavima identiteta koje vode ne-europski akteri (Google, Apple, Meta). Za poduzeća, to se prevodi u interoperabilnu, otvorenu i ne-zarobljenu infrastrukturu autentifikacije, temeljenu na ISO i W3C standardima umjesto na svojstvenim SDK-jima. Ova suverennost je također komercijalni argument diferenciacije u javnim nabavama, sve osjetljivije na klauzule o lokalizaciji podataka.

Utjecaj na kvalificirani elektronski potpis i QTSP

Kvalificirani pružatelji usluga povjerenja (QTSP — Qualified Trust Service Providers) vide kako se njihova uloga razvija. Sa EUDI Wallet-om, QSCD-ovi mogu biti smješteni izravno u novčić ili delegirani QTSP oblaku (Remote Qualified Signature). Za poduzeća, to znači da kvalificirani potpis — do sada rezerviran za most kritične slučajeve zbog njegove kompleksnosti — postaje dostupan i skalabilan. Naš usporedni pregled rješenja za elektronski potpis sada uključuje ovaj kriterij kompatibilnosti EUDI Wallet-a u svoju analizu.

Primjenjivi pravni okvir za EUDI Wallet i poduzeća

Uredba eIDAS 2: (EU) 2024/1183

Temeljni tekst je Uredba (EU) 2024/1183 Europskog parlamenta i Vijeća od 11. travnja 2024., koja mijenja Uredbu eIDAS br. 910/2014. Izravno se primjenjuje u svim državama članicama bez nacionalne legislative, što jamči europsku pravnu jednoličnost. Članci 5a do 5c određuju obveze vezane uz EUDI Wallet, razine sigurnosti i prava korisnika. Članak 46f uvodi specifične obveze za Relying Parties u reguliranim sektorima.

Francuski građanski zakon: članci 1366 i 1367

U francuskom pravu, kvalificirani elektronski potpis proizveden preko EUDI Wallet-a koristi se od pretpostavke pouzdanosti predviđene člankom 1367 Francouzskog građanskog zakonika: « Elektronski potpis se sastoji od korištenja pouzdanoga postupka identifikacije koji jamči njegovu povezanost sa činom kojem je priložen. » Pouzdanost se pretpostavlja kada je potpis kvalificiran u smislu eIDAS-a. Članak 1366 izjednačava elektronski zapis s papirnatim zapiSom pod uvjetom da je njegov autor identificiran i da je jamčena integrnost — dva uvjeta koja EUDI Wallet nativno ispunjava.

GDPR br. 2016/679: artikulacija sa minimizacijom podataka

Uredba (EU) 2016/679 (GDPR) u potpunosti se primjenjuje na Relying Parties koji obrađuju atribute identiteta iz EUDI Wallet-a. Principi minimizacije podataka (čl. 5 §1c), ograničenja svrhe (čl. 5 §1b) i privatnosti po dizajnu (čl. 25) moraju biti integrirani od početka projektiranja tehnijske integracije. Selective disclosure nativni EUDI Wallet-a olakšava tehnički sklad, ali poduzeće ostaje odgovorno (čl. 24) za dokumentiranje svojih pravnih osnova za obradu.

Norme ETSI i tehnički standardi

Kvalificirani potpis proizveden putem EUDI Wallet-a mora poštivati norme ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) i ETSI EN 319 162 (PAdES) za formate naprednog i kvalificiranog elektronskog potpisa. Politike certificiranja definirane su u ETSI EN 319 401 (Opće zahtjeve politike za pružatelje usluga povjerenja). Izvršni akti Komisije preciziraju zahtjeve certificiranja Trusted Issuers (norma ISO/IEC 27001 i kriteriji Common Criteria EAL 4+).

Direktiva NIS2: (EU) 2022/2555

Operatori EUDI Wallet infrastrukture (države članice, Trusted Issuers, QTSP) podliježu obvezama direktive NIS2 (EU) 2022/2555, prenijete u francusko zakonodavstvo zakonom br. 2023-703. Za poduzeća koja koriste, NIS2 nameće obveze upravljanja rizicima povezane sa vanjskim pružateljima (čl. 21 §2d), što uključuje pružatelje rješenja koja integriraju EUDI Wallet. Analiza utjecaja rizika u lancu opskrbe digitalne tehnologije preporučuje se prije svakog raspoređivanja.

Scenariji korištenja EUDI Wallet-a u poduzeću

Scenarij 1: Odvjetničke kancelarije — provjera identiteta i potpisivanje mandatnih pisama

Odvjetničko društvo od dvadesetak suradnika obrađuje mjesečno nekoliko stotina mandatnih pisama, pismama o zadatku i opunomoćenja. Danas, provjera identitete kupca nameće slanje opravdavajućih dokumenata putem e-maila, ručnu provjeru od strane asistenta i prosječni rok obrade od 48 sati. Sa integracijama EUDI Wallet-a kao mehanizimom autentifikacije, kupac predstavlja svoju numerički putnu ispravu iz svoga novčića u manje od 90 sekundi. Kvalificirani potpis je proizveden u nastavku, bez dodatnog trenja. Prema povratnim informacijama promatranima na velikim pokusima provedenim između 2023 i 2025, ovaj tip toka smanjuje vrijeme obrade onboarding-a kupca za 60 do 75 % i eliminira rizike od grešaka u unosu ili isteknutih dokumenata. Kancelarija također dobiva na LCB-FT usklađenosti, jer su atributi identiteta kriptografski certificirani od strane države članice.

Scenarij 2: Mali industrijski proizvođač — upravljanje dobavljačkim ugovorima i delegacijom potpisa

Mali industrijski proizvođač od stotinu zaposlenika upravlja otprilike 300 dobavljačkih ugovora godišnje, što uključuje kupovne voditele raspoređene na tri lokacije. Upravljanje delegacijom potpisa je danas dokumentirano na papiru i teško se može kontrolirati. Sa EUDI Wallet-om poslovnog subjekta (pravne osobe), uprava može dodijeliti provjerive atribute delegacije svakom voditelu nabavke: prag angažmana, geografski opseg, trajanje valjanosti. Ti atributi su pohranjena u novčiću zaposlenika i automatski se predstavljaju pri svakom činu potpisivanja. U slučaju odlaska ili promjene pozicije, opoziv je trenutačan i provjerav. Ovaj mehanizam smanjuje rizik od ugovornih sporova vezanih uz potpise bez ovlasti i poboljšava prosljeđivanje za interne revizije. Financijske službe obično primjećuju smanjenje od 30 do 40 % vremena utrošenog na upravljanje i provjeru potpisnih ovlasti.

Scenarij 3: Bolnički centri — suglasnost bolesnika i pristup zdravstvenim podacima

Bolnički centri koji okupljaju nekoliko ustanova i otprilike 1500 zdravstvenih radnika suočavaju se sa sve kompleksnijim izazovima suglasnosti bolesnika, posebno za pristup zajedničkim medicinskim dosjeima putem Mon Espace Santé. Integracija EUDI Wallet-a kao mehanizma za svijest suglasnost bolesnika omogućava mu da validira, iz svoga pametnog telefona, pristup njegovim podacima od strane specijaliziranog liječnika, specificiranjem trajanja i opsega pristupa. Selective disclosure jamči da se dijele samo relevantni medicinski atributi. Za zdravstvene radnike, novčić nudi njihov broj RPPS (Zajedničkog registra zdravstvenih stručnjaka) kao provjerivog atributa, eliminirajući trenutne procese ručne provjere. Ovaj tip raspoređivanja, konzistentan s okvirom Europskog prostora za podatke o zdravlju (EHDS), može smanjiti vremenske rokove pristupa autoriziranim zdravstvenim podacima sa nekoliko sati na nekoliko sekundi. Za više informacija o specifičnim izazovima sektora, naš vodič o elektronskom potpisivanju u zdravstvu detaljno objašnjava primjenjive regulacijske ograničenja.

Zaključak

EUDI Wallet i Uredba eIDAS 2 predstavljaju najznačajniju transformaciju europske digitalne identifikacije od njegovog početka. Za poduzeća, izazov nije samo usklađenost s novom uredbom, već je to mogućnost da duboko moderniziraju svoje procese potpisivanja, onboarding-a i upravljanja delegacijama. Pravni, HR, zdravstveni i industrijski sektori su u prvom redu. Ključ uspjeha leži u predviđanju: već sada procijenit kompatibilnost vaših trenutnih alata, obučiti vaše timove i odabrati partnere čija je roadmap usklađena sa eIDAS 2.

Certyneo pomaže poduzećima u ovoj tranziciji sa platformom za elektronski potpis dizajniranom da bude kompatibilna s EUDI Wallet-om od svog raspoređivanja. Saznajte naše ponude i započnite besplatno kako biste 2026 predvidjeli sa punom sigurnosti.