Tranzicija eIDAS 1 na eIDAS 2: utjecaji na elektronski potpis u 2025

Dana 20. svibnja 2024. uredba (EU) 2024/1183 — koja se obično naziva eIDAS 2 — objavljena je u Službenom listu Europske unije, postepeno raskidajući uredbu br. 910/2014 (eIDAS 1). Ovaj tekst predstavlja najznačajniju reformu digitalne identifikacije i elektronskog potpisa u Europi od 2016. Za francuska poduzeća koja koriste rješenja za elektronski potpis u svojim sugovornim procesima, tranzicija nije formalnost: uključuje tehnička, pravna i organizacijska prilagođavanja čiji se vremenski okvir proteže do 2026. i dalje. Razumijevanje prijelaza eIDAS 1 na eIDAS 2 i njegovog utjecaja na elektronski potpis u 2025. postalo je prioritetom za pravne službe, IT i HRO. Ovaj članak objašnjava temeljne evolucije okvira, točan raspored tranzicije i konkretne mjere koje trebate poduzeti da ostanete u skladu s propisima.

Što uredba eIDAS 2 temeljito mijenja

Od uredbe iz 2014. do ažuriranja iz 2024.: zašto je bila potrebna revizija

EIDAS 1 postavio je temelje za međusobno priznavanju elektronskih potpisa unutar Unije. Tri hijerarhijske razine — jednostavni (SES), napredni (AdES) i kvalificirani (QES) — strukturirale su dokažnu vrijednost potpisa, potkrepljenoj popisa davatelja povjerenja (TSL). Ali tijekom deset godina pojavile su se dvije velike nedostatnosti.

Prvo, izvorna uredba primjenjivala se uglavnom na odnose s javnom upravom (G2B, G2C). Nije stvorila izravne obveze u privatnim transakcijama (B2B, B2C), ostavljajući normativni vakuum koji je svaka članica popunjavala heterogeno. Drugo, razvoj digitalnih usluga — mobilne aplikacije, otvorka banka, telemedicina — otkrio je odsutnost prijenosnog i interoperabilnog sustava digitalne identifikacije na kontinentalnoj razini.

EIDAS 2 odgovara na ova dva izazova uvodeci europski novčanik za digitalnu identifikaciju (EU Digital Identity Wallet, EUDIW) i proširujući opseg usluga povjerenja na nove slučajeve upotrebe: kvalificirano elektronsko arhiviranje, potvrde o kvalificiranim atributima, kvalificirani elektronski registri (uključujući certificirane blockchain aplikacije).

Nove kategorije kvalificiranih usluga povjerenja

Uredba eIDAS 2 proširuje popis kvalificiranih usluga povjerenja (članak 3 i revidirana prilog IV). Osim potpisa, pečata i vremenskih žigova kvalificiranih već priznatih prema eIDAS 1, sada su kvalificirani:

• Usluge kvalificiranog elektronskog arhiviranja (čl. 34 bis): obveza čuvanja integriteta i čitljivosti potpisanih dokumenata na dugi rok, s pojačanim zahtjevima za davatelje (QTSP).
• Usluge upravljanja kvalificiranim udaljenim uređajima za stvaranje potpisa (QRCD): pojačan nadzor rješenja za potpisivanje na daljinu putem cloud HSM (Hardware Security Module).
• Potvrde o kvalificiranim atributima: mehanizam koji omogućuje trećoj strani od povjerenja da certifikuje atribute entitete (npr. kvaliteta odvjetnika, status liječnika) bez otkrivanja cijelog identiteta.
• Kvalificirani elektronski registri: priznavanja distribuiranih registara pod strogim uvjetima revizije i otpornosti.

Za korisnike rješenja elektronskog potpisa, ovo proširenje znači da će se kvalificirane usluge povjerenja dostupne na tržištu diversificirati, a kriteriji za odabir davatelja (QTSP) moraju integrirati ova nova svojstva.

EUDIW: novčanik digitalne identifikacije kao infrastruktura potpisa

Najvidljivija inovacija eIDAS 2 ostaje EUDIW. Svaka članica morat će staviti na raspolaganje svojim građanima i stanovnicima besplatan, međuoperabilan novčanik digitalne identifikacije sa svim ostalim članicama do 26. studenog 2026. (rok za usklađenost prema članku 5 bis). Ovaj novčanik omogućit će:

• autentifikaciju korisnika s visokim razinama jamstva (LoA High) bez pribjegavanja davatelju treće strane za identifikaciju;
• elektronski potpis dokumenata s kvalificiranom vrijednosti (QES) izravno iz novčanika;
• dijeljenje odabranih atributa identifikacije (selective disclosure), čime se poštuje princip minimizacije podataka GDPR-a.

Za poduzeća, EUDIW teoretski pojednostavljuje postupke provjere identiteta prije kvalificiranog potpisa, uklanjajući trenje video-identifikacije ili identifikacije licem u lice. U praksi, utjecaj će ovisi o brzini nacionalnog uvođenja — Francuska je lansirala u 2025. pokusni projekt u okviru programa « France Identité ».

Točan raspored tranzicije eIDAS 1 na eIDAS 2

Regulatorni kilometraži koje trebate znati

Uredba 2024/1183 stupila je na snagu 20. svibnja 2024., ali njezina primjena je postepena. Evo ključnih datuma:

| Datum | Događaj | |------|----------| | 20. май 2024. | Objavljivanje u Službenom listu, formalno stupanje na snagu | | 20. studenog 2024. | Rok od 6 mjeseci za donošenje izvršnih akata Komisije (tehničke specifikacije EUDIW-a) | | Kraj 2025. | Objavljivanje revidiranih normi ETSI (EN 319 411-1/2, EN 319 401) integrirajući zahtjeve eIDAS 2 | | 26. май 2026. | Rok za usklađenost članica na nove kategorije kvalificiranih usluga | | 26. studenog 2026. | Obvezna dostupnost EUDIW-a od strane svake članice | | 2027-2028 | Potpuna revizija nacionalnih popisa povjerenja (TSL) i akreditacija novih QTSP |

EIDAS 1 ostaje vrijedan i potpisi izdani pod njegovim režimom zadržavaju punu pravnu vrijednost. Nema obveze ponovnog potpisivanja postojećih dokumenata. Međutim, kvalificirani davatelji povjerenja morat će obnoviti svoju akreditaciju prema novim tehničkim normama do 2027.

Što se ne mijenja i što trebate pratiti

Kontinuitet je temeljni princip tranzicije. Tri razine potpisa (SES, AdES, QES) održavaju se s nepromijenjenim definicijama. Pretpostavka ekvivalencije s rukom pisanom potpisom koji je priložen QES-u (članak 25 eIDAS 1, prenesen na članak 27 eIDAS 2) ostaje na snazi. Dokažna vrijednost vaših sadašnjih elektronskih potpisa nije dovedena u pitanje.

Ono što trebate pratiti: izvršni akti (implementing acts) objavljeni od strane Europske komisije tijekom 2025-2026 će postaviti točne tehničke specifikacije EUDIW-a i novih kategorija usluga. Ovi tekstovi razine 2 imaju značajnu praktičnu važnost za integratora i softverske izdavače. Za poduzeća koja koriste elektronski potpis u svojim HR procesima ili pravnim procesima, preporuča se zatražiti od davatelja plan usklađenosti eIDAS 2.

Konkretan utjecaj na poduzeća i njihova rješenja za potpise

Koji su radni procesi prioritetni?

Tranzicija s eIDAS 1 na eIDAS 2 nema isti utjecaj ovisno o korištenoj razini potpisa. Za poduzeća se razlikuju tri situacije:

Jednostavni elektronski potpis (SES): korišten za dodatke male vrijednosti, potvrde primitka, interne obrasce. Nema obveze za hitnu ažuriranja. Pravila o dokazima reguirana su građanskim zakonom (čl. 1366-1367) i ne direktno eIDAS-om.

Napredni elektronski potpis (AdES/AdESQC): poduzeća koja koriste B2B rješenja za poslovne ugovore, dematerijalizirane radne ugovore ili nekretnin trebaju provjeriti da njihov davatelj održava sukladnost sa normama ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) i EN 319 142 (PAdES) u njihovim revidiranim verzijama za eIDAS 2. Ove norme će objaviti ETSI do kraja 2025.

Kvalificirani elektronski potpis (QES): kvalificirani davatelji (QTSP) morat će proći kroz novu akreditaciju eIDAS 2. Prijelazno razdoblje dopušta razumnu mogućnost (do 2027), ali javni natječaji pokrenuti u 2025. trebali bi integrirati klauzulu o usklađenosti eIDAS 2 u kriterijima odabira. Za organizacije koje uspoređuju dostupne mogućnosti, usporednica rješenja elektronskog potpisa omogućava procjenu zrelosti izdavača na ovaj tema.

Nove obveze za kvalificirane davatelje usluga povjerenja (QTSP)

EIDAS 2 postrožava zahtjeve primjenjive na QTSP na tri glavna točka:

1. Sigurnost sustava: obvezna usklađenost s NIS2 (direktivom (EU) 2022/2555) za QTSP, sada razvrstane kao bitne entitete. To se prevodi u obveze obavijesti o incidentima unutar 24 sata, godišnjim sigurnosnim revizijama i primjenom planova nastavka poslovanja.

1. Pojačana odgovornost: članak 13 eIDAS 2 proširuje režim odgovornosti QTSP. U slučaju dokazanog nepoštovanja, dokazni teret je obrnut: davatelj mora dokazati da nije počinio nemar, a ne obrnuto.

1. Obvezna interoperabilnost: QTSP-ovi će morati izložiti standardizirane API-je kompatibilne s EUDIW-om kako bi omogućili izvorno integriranje novčanika identifikacije. Ovaj zahtjev ubrzat će modernizaciju dostupnih sučelja integracije za razvijatelje.

Za poduzeća koja razmatraju promjenu davatelja u ovom kontekstu, migracija s DocuSign-a ili YouSign-a na rješenje usklađeno s eIDAS 2 je pristup koji zaslužuje biti anticipiran odmah nego u hitnosti 2027.

Osobni podaci i eIDAS 2: članak s GDPR-om

EUDIW prikuplja i obrađuje podatke identifikacije koji su osjetljivi za osobne podatke. Uredba eIDAS 2 izričito predviđa (razmatrajući 11 i članak 5 bis §14) da cijeli uređaj mora biti sukladan GDPR-u (uredbi (EU) 2016/679). Nekoliko točaka pažnje:

• Selective disclosure: novčanik mora omogućiti korisniku da dijeli samo atribute strogo potrebne za transakciju (princip minimizacije, čl. 5(1)(c) GDPR). Za potpisivanje ugovora, mogla bi biti provjerena samo većina bez otkrivanja potpune godine rođenja.
• Prijenosi izvan EU: podaci identifikacije obrađeni u okviru EUDIW-a ne mogu se prenositi izvan EGP-a osim s odgovarajućim jamstvima (čl. 46 GDPR). Davatelji koji koriste američke cloud infrastrukture trebaju dokumentirati svoju sukladnost.
• Čuvanje zapisa potpisa: arhiviranje dokaza o potpisu mora poštovati trajanja čuvanja proporcionalno prirodi dokumenta. Nova usluga kvalificiranog arhiviranja eIDAS 2 pruža tehnički okvir za ispunjavanje ovog zahtjeva.

Poduzeća koja upravljaju međunarodnim radnim ugovorima posebno su pogođena ovim člankom GDPR-a/eIDAS 2, naročito kada žive potpisnici izvan EU.

Pravni okvir primjenjiv na tranziciju eIDAS 1 na eIDAS 2

Referentni tekstovi

Tranzicija se oslanja na slaganje tekstova koje je nezaobilazno ovladati:

Na europskoj razini:

• Uredba (EU) br. 910/2014 (eIDAS 1): još uvijek na snazi do postepenog ukidanja od strane eIDAS 2. Definira tri razine potpisa (SES, AdES, QES) i režim QTSP.
• Uredba (EU) 2024/1183 (eIDAS 2): stupila na snagu 20. svibnja 2024. Znatno mijenja eIDAS 1 bez njegovoga neposrednog ukidanja. Odredbe koje se odnose na EUDIW-a primjenjuju se čim budu objavljeni izvršni akti.
• Uredba (EU) 2016/679 (GDPR): u potpunosti se primjenjuje na obradu podataka identifikacije u okviru EUDIW i procesa potpisivanja. Članak 5 bis §14 eIDAS 2 eksplicitno podsjeća na ovu subordinaciju.
• Direktiva (EU) 2022/2555 (NIS2): nameće pojačane obveze kibernetske sigurnosti QTSP, sada razvrstane kao bitne entitete. Transponirana u francusko pravo ordenancom br. 2024-821 od 20. lipnja 2024. (u tijeku je donošenje dekreta).

Na francuskoj razini:

• Građanski zakon, članci 1366 i 1367: osnova dokažne vrijednosti pisanja u elektronskom obliku. Članak 1366 uspostavljajući ekvivalenciju između elektronskog pisanja i papira pod uvjetima. Članak 1367 daje kvalificiranom potpisu (QES) istu dokaznu vrijednost kao potpis od ruke.
• Dekret br. 2017-1416 od 28. rujna 2017.: pojašnjava uvjete korištenja elektronskog potpisa u aktima pod privatnom rukom. Ostaje primjenjiv tijekom prijelaznog razdoblja.
• Opće sigurnosne reference (RGS) v2: za francuske administracije, RGS nameće korištenje rješenja koja se pozivaju ANSSI. Njezina ažuriranja za integraciju eIDAS 2 očekuje se tijekom 2026.

Primjenjive tehničke norme ETSI

Norme ETSI čine razinu 3 u hijerarhiji normi. Trenutne primjenjive verzije:

• EN 319 132-1/2: format XAdES (napredni XML potpisi)
• EN 319 122-1/2: format CAdES (napredni CMS potpisi)
• EN 319 142-1/2: format PAdES (napredni PDF potpisi)
• EN 319 401: opći zahtjevi za davatelje usluga povjerenja
• EN 319 411-1/2: zahtjevi za CA koji izdaju kvalificirane certifikate

Ove norme biti će revidirane do kraja 2025. kako bi se integrirali novi zahtjevi eIDAS 2. Ugovori s QTSP trebali bi uključiti klauzulu o ažuriranju na revidirana izdanja bez dodatnih troškova.

Pravni rizici nesukladnosti

Potpis izdao davatelj koji više ne bi bio akreditiran nakon 2027. ne bi automatski izgubio svoju pravnu vrijednost za već potpisane dokumente, ali više ne bi imao zakonsku pretpostavku ekvivalencije s rukom pisanom potpisom (čl. 25 eIDAS). Dokazni teret integriteta i identiteta potpisnika tada bi počivao u potpunosti na poduzeću u slučaju spora. Ovaj dokazni rizik je posebno osjetljiv za akte čiji je rok zastare dugačak (5 godina u trgovačkim stvarima, 30 godina za imovinské pravo na nekretninama).

Scenariji korištenja: kako organizacije anticipiraju tranziciju eIDAS 2

Scenarij 1: odvjetnička kancelarija od 25 suradnika racionalizira svoju sukladnost dokumentima

Odvjetnička kancelarija specijalizirana za право о poslovnom zakonodavstvu, sa oko 25 suradnika i intenzivnom djelatnosti potpisivanja mandata, zakupa prodaje i protokola dogovora, koristio je do 2024. rješenje za napredni potpis (AdES) za sve svoje tokove. Objavom eIDAS 2, kancelarija je provela reviziju svojih 1.200 godišno potpisanih dokumenata kako bi identificirala one koji trebaju QES prema novim preporukama svebarnog ordena.

Rezultat: 15% akata (oko 180 godišnje) reklasificirano je prema kvalificiranom potpisu, što je osiguralo režim dokazne vrijednosti tih dokumenata. Kancelarija je pregovarala sa svojim izdavačem potpisa klauzulu grantiranja eIDAS 2 sukladnosti čim se objave izvršni akti, bez dodatnih troškova. Vrijeme administracije vezano uz provjeru identiteta potpisnika smanjilo se za 40% zahvaljujući anticipaciji integracije EUDIW planirane za 2026.

Scenarij 2: PME od 150 zaposlenika osigurava svoju sugovornu lanac dobavljača

PME industrijska upravljajući oko 350 sugovorima dobavljača godišnje — narudžbe nabave, NDA, okviri ugovora — radi s dva odvojena rješenja za potpise za svoje internih i vanjskih tokove, stvarajući fragmentaciju revizijskih dokaza. U kontekstu tranzicije eIDAS 2 i novih zahtjeva za kvalificirano arhiviranje, DSI je odlučio unificirati svoju platformu.

Migracijom na jedinstveno rješenje koje integrira kvalificirano elektronsko arhiviranje (budućeg eIDAS 2 kategorija), PME je smanjila troškove sigurnog pohranjivanja za 30% i konsolidirala svoje dokazne potpise u digitalnom sefu sukladnom. Cijela dokumentacijska lanac sada je reviziva za manje od 2 minute tijekom provjere dobavljača — rastuć zahtjev njihovih davatelja u automobilskoj industriji.

Scenarij 3: bolnička grupi od oko 600 kreveta priprema se za EUDIW integraciju

Javna bolnička grupi koristi kvalificirani elektronski potpis za svoje medicinske ugovore i javne pozive za ponude, u skladu s obvezama zakona o javnoj nabavi. Prema eIDAS 2, IT služba identificirala je dva prioritetna problema: budućinu integraciju novčanika « France Identité » za slobodno prakticirajuće liječnike koji rade u ustanovi, i NIS2 sukladnost njegovog QTSP.

Grupi je u svom digitalnom sklopu 2025-2028 upisala specifičnu partiju « eIDAS 2 sukladnost », s procijenjenim budžetom od 45.000 EUR za tehničku migraciju i obuku agencija. Cilj je biti u mogućnosti primiti potpise putem EUDIW od početka nacionalnog uvođenja planiranog za studeni 2026., čime se skraćuje vrijeme ugovaranja sa samozaposlenim stručnjacima iz zdravstva sa 3 dana na manje od 4 sata u prosjeku prema dostupnih sektora benchmark.

Zaključak

Tranzicija s eIDAS 1 na eIDAS 2 nije prekid već strukturirana evolucija, s točnim rasporedom koji se proteže do 2027. Utjecaji na elektronski potpis su stvarni — proširenje kvalificiranih usluga, dolazak EUDIW, postrožavanje zahtjeva NIS2 za QTSP — ali upravljivi čim se anticipiraju. Poduzeća koja djeluju sada imaju prostor za manevar kako bi revidirale svoje procese, osigurala svoje ugovore s davateljima i obučila svoje timove bez pritiska regulatorske hitnosti.

Certyneo prati poduzeća u ovoj tranziciji s jasnom putanjom sukladnosti eIDAS 2, formatima potpisa održavanih ažuriranim i arhitekturom spremnom za EUDIW integraciju. Spremni da osigurate svoje tokove potpisa u ovom novom regulatornom okviru? Otkrijte naše ponude i počnite besplatno na Certyneo.