eIDAS 2 vs eIDAS 1: ključne promjene za mala i srednja poduzeća

Uvod: zašto eIDAS 2 mijenja situaciju za mala i srednja poduzeća

Od 20. svibnja 2024. Uredba (EU) 2024/1183 — obično nazivana eIDAS 2 — stupila je na snagu, ukidavajući i postepeno zamjenjujući Uredbu (EU) br. 910/2014 (eIDAS 1). Za francuska mala i srednja poduzeća, ovaj prijelaz nije jednostavna administrativna ažuriranja: ponovno definira razine digitalnog povjerenja, uvodi europski digitalni identitetski novčanik (EUDIW), pojačava zahtjeve primjenjive na pružatelje usluga povjerenja i proširuje spektar priznatih usluga. Ovaj članak uspoređuje točku po točku eIDAS 1 i eIDAS 2, identificira konkretne operativne utjecaje za mala i srednja poduzeća te vam daje akcijski plan kako ostati usklađeni do 2026.

---

1. Napomena: što je postavljala eIDAS 1 (2014-2024)

1.1 Temelji početne uredbe

Doneta u srpnju 2014. i primjenjiva od rujna 2016., eIDAS 1 postavila je prve kamene temeljca europskog prostora digitalnog povjerenja. Uvela je tri velike kategorije elektroničkog potpisivanja — jednostavno (SES), naprednije (AdES) i kvalificirano (QES) — i stvorila je popis povjerenja pružatelja kvalificiranih usluga (Trusted List), dostupan na portalu Europske komisije.

Za mala i srednja poduzeća, glavno doprinošenje eIDAS 1 bila je graničnom priznanja kvalificiranih potpisivanja: ugovor potpisana kvalificiranom potpisom francuski je bio pravno priznat u Njemačkoj, Španjolskoj ili Italiji bez apostila ili dodatnih formalnosti. Ovaj princip — nazvan „nediskriminacija" — ostao je temeljem na kojem su ponude SaaS-a kao što je Certyneo gradile svoje usluge.

1.2 Identificirane ograničenja

Unatoč napretku, eIDAS 1 je trpio nekoliko nedostataka dokumentiranih izvješćem o procjeni Europske komisije iz 2021.:

• Fragmentacija shema identiteta: samo članice koje su notificirale svoju nacionalnu shemu (kao što je FranceConnect+ na znatnoj razini) koristile su od međusobnog priznanja. U 2023. samo je 14 država od 27 notificiralo usklađenu shemu.
• Nedostatak izvorne mobilne podrške: kvalificirani uređaj za stvaranje potpisivanja (QSCD) često je zahtijevao pametnu karticu ili materijalni token, što je usporavalo mobalnu prihvaćenost.
• Ograničene usluge povjerenja: eIDAS 1 je navodio devet vrsta kvalificiranih usluga; novi namjeni (kvalificirani elektronički arhiv, upravljanje atributima) nisu bili okviru.
• Nema unificiranog novčanika identiteta: svaki građanin ili poduzeće upravljalo je svojim identifikatorima na silirani način, bez zajamčene interoperabilnosti.

Ova ograničenja dovela su Komisiju da pokrene pregled od 2020., rezultirajući Uredbom eIDAS 2 nakon tri godine trilogusa.

---

2. Pet velikih novosti eIDAS 2 za mala i srednja poduzeća

2.1 Europski digitalni identitetski novčanik (EU Digital Identity Wallet — EUDIW)

Ovo je vidljiva novost uredbe. Tijekom mjeseca studenog 2026. (rok za transpoziciju naveden u članku 5a), svaka članica trebat će ponuditi najmanje jedan certificirani digitalni identitetski novčanik svojim građanima i stanovnicima. Za mala i srednja poduzeća, ova promjena ima dvije izravne posljedice:

1. Pojednostavljena autentifikacija klijentima i partnerima: novčanik će omogućiti dijeljenje provjerenih atributa (dob, intracommunity VAT broj, izvod iz registra, certificirani bankovni podaci) bez trenja. Okvir za kooperaciju s njemačkim partnerom mogao bi biti potpisana nakon trenutne provjere njegovih profesionalnih atributa iz njegovog EUDIW-a.
2. Obveza prihvaćanja za određene sektore: internetske usluge velikih platformi (članak 45bis) i određene javne usluge trebat će prihvatiti EUDIW kao sredstvo autentifikacije. Mala i srednja poduzeća koja pružaju B2B portale trebat će prilagoditi svoje API-je za autentifikaciju.

2.2 Proširenje popisa kvalificiranih usluga povjerenja

eIDAS 2 proširuje katalog kvalificiranih usluga povjerenja sa 9 na 14 kategorija. Novi unosi koji izravno dotičemo mala i srednja poduzeća su:

• Kvalificirani elektronički arhiv (članak 45septies): dugoročna čuvanja s pojačanom dokaznom vrijednosti. Do sada, arhiviranje s dokaznom vrijednosti oslanjalo se na nacionalne referentne okvirne (u Francuskoj, SIAF/ANSSI referentni okvir); eIDAS 2 harmonizira europski okvir.
• Udaljeno upravljanje kvalificiranim uređajima za stvaranje potpisivanja (RQSCD): sada eksplicitno okvira, oslobađa dvosmislenosti koje su opterećivale oblačne rješenja kvalificiranog potpisivanja. Za malo poduzeće sa 50 zaposlenika, to znači pristup kvalificiranom potpisu bez fizičkog tokena, s bilo kojeg uređaja.
• Kvalificirani servis registra: registri temeljeni na blockchainu ili tehnologijama distribuiranog glavne knjige sada mogu dobiti kvalificirani status, otvarajući nove modele upravljanja ugovorima.

Za više informacija o razinama potpisivanja i njihovoj pravnoj vrijednosti, pogledajte naš sveobuhvatan vodič elektroničkog potpisivanja.

2.3 Pojačanje sigurnosnih zahtjeva za kvalificirane pružatelje (QTSP)

eIDAS 2 pojačava obveze kvalificiranih pružatelja usluga povjerenja (QTSP). Ponovno pregledani članak 24 posebno traži:

• Certifikaciju kibernetske sigurnosti usklađenu s europskim okvirom (EU Cybersecurity Act, Uredba 2019/881), sa sektorskim shemama u razvoju od strane ENISA-e.
• Pojačane zahtjeve za operacijsku otpornost: QTSP-ovi sada trebaju dokumentirati svoj plan kontinuiteta i poslovanja te ga predložiti svojoj nacionalnoj agenciji za nadzor (u Francuskoj, ANSSI za kvalificirane pružatelje).
• Obaveza obavijesti o incidentima sigurnosti u roku od 24 sata (poravnanje s NIS 2).

Za mala i srednja poduzeća kao korisnike, to se prevodi u pojačanu obavezu dužne pažnje pri odabiru pružatelja: provjera da vaša rješenja za potpisivanje budu na ažuriranom Popisu povjerenja je sada kritičan korak u vašem procesu nabave. Naš usporedni popis rješenja elektroničkog potpisivanja može vam pomoći u ovoj analizi.

2.4 Obvezna međuoperabilnost shema identiteta

Gdje eIDAS 1 ostavlja članicama slobodu notificiranja (ili ne), eIDAS 2 čini notifikaciju i međuoperabilnost obveznom za sheme identiteta korištene u internetskim javnim uslugama (članak 5). France Identité — nacionalna shema koju nosi Ministarstvo unutarnjih poslova — je u toku prilagodbe specifikacijama EUDIW-a, objavljenim od Komisije u Uredbi provedbe (EU) 2024/2977.

Za malo poduzeće koje redovito comunira s javnim upravama (javne nabave, telediklaracije za poreze, carinske procedure), ova promjena znači da će internetske procedure postepeno biti ujedinjene oko jedinog digitalnog identifikatora priznatog u cijeloj EU.

2.5 Nova pravila odgovornosti i nadzora

eIDAS 2 pojašnjava i proširuje režime odgovornosti pružatelja (članak 13 ponovno pregledana). QTSP je sada pretpostavljen odgovoran za bilo koju štetu fizičkoj ili pravnoj osobi uzrokovanu kršenjem svojih obveza, osim ako dokaže odsustvo krivnje. Ova pojačana pretpostavka odgovornosti, u odnosu na eIDAS 1, trebala bi motivirati mala i srednja poduzeća da:

• Formaliziraju ugovorom obveze svojeg pružatelja (SLA, jamstva dostupnosti, naknada).
• Provjerite osiguranje odgovornosti pružatelja.
• Čuvate dokaze o auditu transakcija (dnevnici vremenskog žiga, izvještaji o provjeri potpisivanja).

Naše su ekipe razvile detaljan vodič o elektroničkom potpisivanju u poduzeću koji obrađuje ove ugovorne aspekte.

---

3. Usporedna tablica eIDAS 1 vs eIDAS 2: što se konkretno mijenja

3.1 Sažetak glavnih promjena

| Kriterij | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Digitalni identitetski novčanik | Odsutan | EUDIW obavezan (članice) | | Kvalificirane usluge | 9 kategorija | 14 kategorija (arhiv, RQSCD, registri…) | | Notifikacija sheme | Opcionalna | Obvezna za javne usluge | | Sigurnost QTSP | Common Criteria kriteriji | Cybersecurity Act + ENISA sheme | | Odgovornost QTSP | Djeljiva | Pojačana pretpostavka odgovornosti | | Rok obavijesti incidenta | Nenavedn | 24 sata (poravnanje NIS 2) | | Mobilni QSCD | Pravna dvosmislenost | RQSCD eksplicitno okvira |

3.2 Ključni rokovi koje trebate zapamtiti za 2026.

• Svibanj 2024.: stupanje na snagu Uredbe (EU) 2024/1183.
• Studeni 2026.: krajnji rok da svaka članica ponudi najmanje jedno certificlano rješenje EUDIW.
• 2027.: obveza velikih platformi (članak 45bis) prihvatiti EUDIW kao sredstvo autentifikacije.
• 2028.: planirani pregled tehničkih uredbi o provedbi (delegirane uredbe za EUDIW specifikacije).

Ako vaše malo poduzeće razmišlja o migraciji na usklađenije rješenje, naša ponuda migracije na Certyneo uključuje besplatni audit eIDAS 2 usklađenosti.

---

4. Praktičan akcijski plan za usklađenost vašeg malog poduzeća s eIDAS 2

4.1 Revizija postojećih toka dokumenata

Počnite kartiranjem svih procesa u kojima trenutno koristite elektroničko potpisivanje ili digitalni identitet: ugovori sa dobavljačima, demateriijalizirani obračuni plaća, SEPA mandati, ugovori o povjerljivosti, HR ugovori. Za svaki tok, identificirajte:

• Razinu potpisivanja korištene (SES, AdES, QES).
• Pružatelja i njegov status na Popisu povjerenja.
• Razinu pravnog rizika u slučaju spora.

Ovaj audit je preporučeni početak od ANSSI u njenom vodiču o usklađenosti objavljenom u ožujku 2025.

4.2 Nadogradnja vašeg rješenja za potpisivanje

Ako vaš sadašnji pružatelj nije na Popisu povjerenja eIDAS 2 ili još ne nudi RQSCD, vrijeme je usporediti ponude na tržištu. Certyneo je certificlani QTSP koji pokriva tri razine potpisivanja (SES, AdES, QES) i nativno integrira nove zahtjeve eIDAS 2, posebice kvalificirano arhiviranje i upravljanje udaljenim uređajima.

4.3 Obuka svojih timova i ažuriranje svojih ugovora

eIDAS 2 pojačava dokaznu vrijednost kvalificiranih potpisivanja, ali također nameće praksu dokumentiranja. Provjerite da vaši pravni i administrativni timovi:

• Znaju razlikovati tri razine potpisivanja i njihovu pravnu vrijednost.
• Integriraju klauzulu o auditu eIDAS usklađenosti u ugovore dobavljačima.
• Čuvaju dokaze o provjeri potpisivanja (izvještaj o provjeri, kvalificirani vremenski žig) tijekom primjenjivog roka čuvanja (3 do 10 godina ovisno o prirodi akta).

Za strukturiranje ovog pristupa, naš kalkulator ROI elektroničkog potpisivanja omogućit će vam kvantificirati operativne dobitke povezane s nadogradnjom.

Primjenjivi pravni okvir

Referentni tekstovi

Usklađenost eIDAS 2 za malo francusko poduzeće upisuje se u pravni sloj koji je bitno razumjeti.

Uredba (EU) 2024/1183 Europskog parlamenta i Vijeća (koja se naziva „eIDAS 2"): ovo je temeljni tekst, objavljen u EU Službenom listu 30. travnja 2024. Ukida i zamjenjuje Uredbu (EU) br. 910/2014 prema rasporedu primjene koji se proteže do 2027. Direktno je primjenjiva u svim članicama bez potrebe za nacionalnom legislativnom transpozicom za njene glavne odredbe.

Uredba (EU) br. 910/2014 (eIDAS 1): neke njene odredbe ostaju primjenjive tijekom prelaznih razdoblja predviđenih eIDAS 2, posebice za kvalificirane pružatelje koji su dobili kvalifikaciju prije svibnja 2024. i imaju rok za re-certifikaciju.

Francuski građanski zakoniik, članaka 1366 i 1367: članak 1366 postavlja princip ekvivalentnosti između elektronskog pisanja i papirnatog pisanja, pod uvjetom da se „osoba od koje potječe može trebati identificirati i da je utvrđena i čuvana u uvjetima koji mogu zajamčiti njenu cjelovitost". Članak 1367 priznajem elektroničko potpisivanje kao dokazni dokaz, pozivajući se na uvjete postavljene dekretom u Vijeću države (dekret br. 2017-1416 od 28. rujna 2017., kodificiran u članaka R. 1369-1 do R. 1369-10 Građanskog zakonika).

Uredba (EU) 2016/679 (GDPR): primjena EUDIW-a i obrada atributa identiteta u tokovima elektroničkog potpisivanja čini tretmane osobnih podataka u smislu GDPR-a. Mala i srednja poduzeća trebala bi osigurati da njihov QTSP djeluje kao subodbor u smislu članka 28 GDPR-a, s DPA-om (sporazumom o obradi podataka) usklađenim. CNIL je objavio u siječnju 2026. preporuku specifičnu za integraciju EUDIW-GDPR-a.

Direktiva (EU) 2022/2555 (NIS 2): eIDAS 2 se eksplicitno poravnava s NIS 2 za obveze obavijesti incidenta (članak 24, §2 eIDAS 2 pozivajući se na odredbe NIS 2). QTSP-ovi se smatraju „bitnim" ili „važnim" subjektima u smislu NIS 2 ovisno o njihovoj veličini te su kao takvi podložni redovitim sigurnosnim auditima.

ETSI norme: kvalificirani elektronički potpisivanja trebala bi slijediti ETSI norme EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) i ETSI EN 319 102-1 (proceduru validacije). Norma ETSI TS 119 461 regulira udaljenu provjeru identiteta (IDV), posebice relevantna za RQSCD.

Pravni rizici u slučaju neusklađenosti

Korištenje rješenja za elektroničko potpisivanje neusklađenog s eIDAS 2 izlaže malo poduzeće nekoliko rizika:

• Neprikvadninost na sudu: sudac može odbaciti elektroničko potpisivanje čija razina ne odgovara potpisu aktu (npr.: jednostavno potpisivanje za akt koji zahtijeva napredniu ili kvalificiranu razinu).
• Ugovorna odgovornost: ako je ugovor osporavan partnerom zbog ništavnosti potpisivanja, malo poduzeće može biti izloženo zahtjevima za naknadu štete.
• Kazne GDPR: u slučaju povrede podataka povezane s nedostatkom sigurnosti pružatelja, malo poduzeće, ko-odgovorno ili odgovorno za tretman, može biti kaznljeno od CNIL-a do 4% godišnjeg svjetskog prometa (članak 83 §4 GDPR).

Konkretni scenariji korištenja

Scenarij 1: malo poduzeće iz metalnog sektora s 80 zaposlenika koji upravljaju 400 ugovora s dobavljačima godišnje

Malo poduzeće u metalnom sektoru koje godišnje obavlja oko 400 ugovora s dobavljačima koristilo je do 2024. rješenje za elektroničko potpisivanje jednostavne (SES) razine za sve obveze, uključujući ugovore kadre prelaze 50.000 €. Nakon audita eIDAS 2 usklađenosti, zaključilo je da 35% svojih ugovora zahtijeva naprednije ili kvalificirano potpisivanje kako bi se usprotivilo sudskoj spora, posebice s dobavljačima iz drugih EU članica.

Migracijom na rješenje koje kombinira naprednije potpisivanje (AdES) za uobičajene ugovore i kvalificirano (QES) za kaderske ugovore, te aktivacijom kvalificiranog elektronskog arhiva (nova usluga eIDAS 2), ovo malo poduzeće smanjilo je za 70% vrijeme posvećeno upravljanju dokumentima nakon potpisivanja (klasiranje, pretraga, slanje potvrđenih kopija) i svelo je na nulu sporove vezane uz osporavanje potpisivanja tijekom narednih 18 mjeseci, naspram dva incidenta u prethodnih 18 mjeseci.

Scenarij 2: pravni savjetodavni ured sa 15 suradnika

Ured specijaliziran za poslovno pravo koji godišnje iz cirka 1.200 potpisanih dokumenata (pisma o mandarinu, mandati, ugovori o povjerljivosti) suočavao se s rastućim zahtjevom svojih klijentela za kvalificirane potpisivanja priznate u cijeloj EU. Prema eIDAS 1, dobi kvalificiranog certifikata trebalo je suočiti osobno ili provjere videa (45 do 90 minuta po korisniku).

Zahvaljujući RQSCD (Udaljenom kvalificiranom uređaju za stvaranje potpisivanja) okvira od strane eIDAS 2, ured je mogao primjenjjivati kvalificirano potpisivanje za sve svoje suradnike u manje od dva tjedna, putem 100% udaljene procedure registracije sukladne normi ETSI TS 119 461. Stopa unutarnje prihvaćenosti prešla je sa 40% na 95% u tri mjeseca, a prosječni rok povratka potpisanih dokumenata smanjio se s 4,2 dana na manje od 6 sati prema internim mjerama ureda.

Scenarij 3: malo e-commerce poduzeće poslovanja u tri EU države

Internetska prodajna tvrtka s 35 zaposlena i poslovanja u Francuskoj, Belgiji i Holandiji trebala je upravljati tri vrste elektroničkih ugovora: ugovori o zaposlenju za svoje lokalne zaposlenike, sporazumi o partnerstvu s prijevoznicima i SEPA mandati za svoje poslovne klijente. Fragmentacija nacionalnih zahtjeva prema eIDAS 1 bila joj je obveza da održava tri različita radna toka potpisivanja, s procijenjenim troškovima upravljanja od oko 12.000 € godišnje.

Primjena jednog rješenja usklađenog s eIDAS 2 — integrirajući međusobno priznavanje kvalificiranih potpisivanja u sve tri zemlje — omogućila je ujedinjenje toka rada, smanjenje troška upravljanja na oko 4.500 € godišnje (uštedu od 62%) i eliminiranje kašnjenja povezanih s ručnom validacijom stranih potpisivanja od strane pravnog odjela.

Zaključak

eIDAS 2 nije jednostavna kozmetička revizija regulatornog okvira: temeljito ponovno definira pravila igre u digitalnom povjerenju Europi. Za francuska mala i srednja poduzeća, pet velikih promjena — digitalni identitetski novčanik EUDIW, proširenje kvalificiranih usluga, RQSCD, obvezna međuoperabilnost i pojačana odgovornost — predstavljaju i zahtjev za usklađenostom i prilike ubrzati njihovu dokumentarnu transformaciju.

Mala i srednja poduzeća koja ove promjene anticipiraju od danas će imati vidljivo konkurentsku prednost: ugovori priznatim u cijeloj EU bez trenja, arhiv s dokaznom vrijednosti integriran i potpisivanja koji su u potpunosti demateriijalizirani i sigurni.

Certyneo je projektiran da prati ovaj prijelaz. Počnite s besplatnim pokušajem na certyneo.com i uživajte u besplatnom auditu eIDAS 2 usklađenosti za svoje postojeće tokove dokumenata.