eIDAS 2: az új európai szabályozás magyarázata 2026-ban

Bevezetés: miért változtat az eIDAS 2 mindent az európai vállalatok számára

1. május 20-án hatályba lépett, hosszú jogalkotási folyamat után, az eIDAS 2 rendelet — hivatalosan az (EU) 2024/1183 rendelet — az elektronikus azonosítás és bizalmi szolgáltatások területén valaha végrehajtott legambiciózusabb reformot képviseli Európában. Hatályon kívül helyezi és részben helyettesíti az eredeti 2014-es eIDAS rendeletet (910/2014), miközben megtartja a visszamenőleges kompatibilitas az létező infrastruktúrával. Az eIDAS-nak megfelelő elektronikus aláírást használó vállalatok számára ez az átalakítás új kötelezettségeket, szokatlan lehetőségeket és szoros megfelelési ütemtervet jelent 2026-ig és azon túl. Ez a cikk mélyrehatóan dekódolja a szöveg kulcsfontosságú rendelkezéseit, azok működési vonatkozásait és azt, hogy szervezete hogyan készülhet fel rá.

---

Mit változtat az eIDAS 2 rendelet alapvetően

A 2014-es rendelettől a 2024-es verzióig: szerkezeti átalakítás

Az eredeti 2014-es eIDAS rendelet az elektronikus azonosítási rendszerek kölcsönös elismerésének alapját fektette le a tagállamok között és egységes jogi keretrendszert létesített a bizalmi szolgáltatások számára (aláírás, pecsét, időbélyeg stb.). De tíz évvel később a hiányosságok megnyilvánultak: az értesített eID-ek alacsony elfogadási rátája, a nemzeti megoldások szétaprózódása, az univerzális digitális pénztárca hiánya a polgárok számára, és mindenekelőtt az alkalmatlanság a webes felhasználásra (GAFAM kizárva a bizalmi keretrendszerből).

Az eIDAS 2 ezeket a hiányosságokat három fő tengely mentén korrigálja:

1. Az Európai Digitális Identitási Pénztárca (EUDI Wallet) — minden tagállamnak legkésőbb 2026 novemberéig olyan pénztárca-alkalmazást kell kínálnia, amely lehetővé teszi bármely európai állampolgár vagy lakos számára identitásbeli attribútumait (személyi igazolvány, jogosítvány, diplomák stb.) biztonságosan tárolni és bemutatni.
2. A minősített bizalmi szolgáltatások bővítése — a szöveg új minősített szolgáltatásokat ad hozzá: minősített elektronikus archiválási szolgáltatás (QESAP), minősített identitási attribútumleirat (QEAA), minősített elektronikus könyvvitel (QLED) és minősített távoli aláírás-létrehozási eszközkezelés (QRCD).
3. A nagyvállalatok kötelezettségei — a nagy online szolgáltatások nyújtói (közösségi hálózatok, piacok) köteles az EUDI pénztárcát elfogadni a felhasználók hitelesítéséhez.

Az EUDI Wallet: architektúra és működése

Az EUDI Wallet az eIDAS 2 szíve. Gyakorlatban egy szoftveralkalmazásról van szó — amelyet minden tagállam kiadhat vagy tanúsíthat — amely a selectív attribútumbemutatás decentralizált modelljén alapul. A felhasználó csak a tranzakcióhoz szükséges adatokat továbbítja (minimalizálási elv, a GDPR-ral összhangban).

Technikai szempontból az architektúra az Architecture Reference Framework (ARF) specifikációjára támaszkodik, amelyet az Európai Bizottság adott ki és rendszeresen frissít a Large Scale Pilot (LSP), amely négy próbaprojektet csoportosít (DC4EU, EWC, POTENTIAL, NOBID). A kiválasztott adatformátumok főként az ISO/IEC 18013-5 (mDL/mDocs) és W3C Verifiable Credentials, biztosítva a határmelletti interoperabilitást.

Az vállalatok számára ez azt jelenti, hogy végül a pénztárcán keresztül tudják majd ellenőrizni ügyfeleik vagy partnereik személyazonosságát anélkül, hogy maguk kellene kezeljék az igazolásfeltöltéseket — ezáltal drasztikusan csökkentve a KYC (Know Your Customer) súrlódásait és a dokumentumfrankósság kockázatait.

---

A garantálási szintek és az aláírási hierarchia: mi változik

A QES / AdES / SES hierarchia fenntartása

Az elektronikus aláírások rendszere továbbra is az eIDAS 2 3. cikkében meghatározott három szint körül szerveződik (a 2014-es terminológiát követve, de a technikai követelmények pontosításával):

• Egyszerű elektronikus aláírás (SES): minimális bizonyító érték, alkalmas közönséges aktusokhoz.
• Fejlett elektronikus aláírás (AdES): kizárólagos kapcsolat az aláíróval, az azt követő módosítások felismerésének lehetősége.
• Minősített elektronikus aláírás (QES): a kézzel írott aláírás jogi egyenértékese az egész EU-ban (25. cikk 2. bekezdés), minősített aláírás-létrehozási eszköz (QSCD) révén kibocsátva minősített tanúsítvány alapján.

Az újdonság az, hogy a QES mostantól a minősített távolról aláírási szolgáltatások (QRCD) útján bocsátható ki, amelyekre az engedélyezési feltételeket az átdolgozott szöveg 29a és 29b cikkei rögzítik. Ez megnyitja az utat a 100%-ban digitális folyamatokhoz a legigényesebb aktusok — notárius által hitelesített szerződések, elektronikus közjegyzői aktusok — számára, anélkül, hogy fizikai okosszükséges lenne.

A hatás a minősített bizalmi szolgáltatások nyújtóira (QTSP)

Az olyan szolgáltatók, mint a Certyneo, amely minősített QTSP-re támaszcodva működik, anticipinálniuk kell az eIDAS 2 által bevezetett új auditkövetelményeket. A 24. cikk mostantól az alkontraktáló-lánc tekintetében megerősített ellenőrzéseket ír elő, és a biztonsági incidensek értesítési követelményei kifejezetten a NIS2 direktívájéhoz igazodnak (24 órás kezdeti értesítési határidő). A B2B-kontextusban az aláírási szintek működésének mélyebb megértéséhez kérjük, olvassa el a vállalkozásban az elektronikus aláírásról szóló teljes útmutatónkat.

---

Az üzembehelyezési ütemterv és az 2025-2026 közötti vállalatok kötelezettségei

Az üzembehelyezés fő lépései

Az (EU) 2024/1183 rendelet az EU-s Hivatalos Lapban 2024. április 30-án jelent meg és 2024. május 20-án lépett hatályba. A végrehajtási és delegált aktusok — amelyek elengedhetetlenek az ARF v2.0 technikai követelményeinek pontosításához — fokozatosan kerülnek közzétételre:

| Határidő | Kötelezettség | |---|---| | 2024. május | A rendelet hatálybalépése | | 2024. vége | Az ARF v2.0-t tartalmazó végrehajtási aktusok közzététele | | 2025. közepén | Az első EUDI Wallet próbaverziók tanúsítása | | 2026. november | Kötelező EUDI Wallet elérhető minden tagállamban | | 2027 | Kötelező elfogadás a nagy online platformok által |

Mit kell a B2B vállalatok számára már most tenni

A elektronikus aláírási megoldásokat alkalmazó vállalatok számára a 2025-2026-ban három prioritás vetődik fel:

1. A bizalmi lánc auditálása: annak ellenőrzése, hogy szolgáltatójuk valóban szerepel-e tagállama QTSP (Trusted List) listáján, és az általuk alkalmazott tanúsítványok megfelelnek-e a módosított ETSI EN 319 401 és EN 319 411-1 specifikációknak.

2. Az EUDI Wallet integrációjára való felkészülés: a szabályozott szektorokban működő vállalatok (pénzügyi, biztosítás, egészségügy, ingatlan) az identitás-ellenőrzés pénztárcán keresztüli folyamatainak között lesznek az elsők. Az API-integrációs felkészülés a 2025-ből ajánlott.

3. Az adatmegőrzési házirendek felülvizsgálata: az új minősített elektronikus archiválási szolgáltatás (QESAP) olyan hosszú távú megőrzési normákat vezet be, amelyek egyes szektorok számára kötelezők lehetnek (közszerzés, gyógyszerészeti szektor). Az elektronikus aláíráshoz tartozó ROI-kalkulátor lehetővé teszi a dokumentumkezelési infrastruktúra frissítésének pénzügyi hatásának kiértékelésére.

---

Interoperabilitás, GDPR és a digitális szuverenitás kockázatai

eIDAS 2 és GDPR: erősödött komplementaritás

Az eIDAS 2 egyik fő előrelépése az adatvédelmi elvek, különösen az adatvédelmi by design (tervezés alapján) explicit integrálása az EUDI pénztárca architektúrájába. Az 5a. cikk 14. bekezdése kimondja, hogy a pénztárca nem teszi lehetővé a szolgáltatók számára, hogy a felhasználó viselkedésének nyomon követését tranzakciók során. A minősített identitásbeli attribútumok kibocsátói (QEAA) nem tudják, hogy a kibocsátott attesztációk hogyan használják — ez jelentős eltérés az aktuális központi modellektől.

Ezt az architektúrát unlinkability (nem-korrelálhatóság) néven nevezik: két különálló tranzakció, amelyet ugyanaz a felhasználó hajtott végre, nem kapcsolható össze beleegyezése nélkül. Ez a garancia meghaladja a GDPR minimális követelményeit, miközben tökéletesen összhangban áll azzal.

A geopolitikai dimenzió: a felügyelet visszavétele az online azonosítás felett

Az eIDAS 2 a szuverenitás kérdésére is válaszol. Ma az online hitelesítés masszívan a „Bejelentkezés Google-lal / Facebook-kal / Apple-vel" gombokra támaszkodik, ami az amerikai technológiai óriásoknak domináns helyzetét adja az európai digitális identitások kezelésében. Azáltal, hogy az igen nagy platformokra (a Digital Services Act értelmében) kötelezővé teszi az EUDI Wallet mint hitelesítési mód elfogadását, az eIDAS 2 létrehoz egy interoperábilis és szuverenitási alternatívát.

A B2B vállalatok számára ez azt is jelenti, hogy az eIDAS 2 megfelelés lehet olyan szállítóválasztási kritérium az állami és magánjellegű közbeszerzésekben — ahogy azt manapság az ISO 27001 tanúsítás képviseli az beszerzési folyamatokban. Ha szervezete úgy gondolja, hogy fejlesztenie kell jelenlegi megoldását, az útmutató a DocuSign vagy YouSign-ből a Certyneo-ba való átálláshoz a egy ellenőrzött átmenet lépéseit részletezi.

Az eIDAS 2-re és az elektronikus aláírásra alkalmazandó jogi keret

Hivatkozási szövegek

(EU) 2024/1183 Rendelet az Európai Parlament és a Tanács 2024. április 11-ről, amely módosítja az (EU) 910/2014 rendeletet az európai digitális azonosítási keret létrehozásához (eIDAS 2). Az EU-s Официъле Lapban 2024. április 30-án közzétéve, 2024. május 20-án hatályba lépett.

(EU) 910/2014 Rendelet (eIDAS 1): hatályban marad az át nem módosított rendelkezéseitől, különösen az értesített azonosítási sémák „alacsony", „lényeges" és „magas" szintű garantálásaira vonatkozó cikkektől.

Francia Polgári Törvénykönyv, 1366. és 1367. cikkek: az elektronikus irat ugyanolyan bizonyító erővel bír, mint a papír alapú irat, feltéve, hogy az ezt kibocsátó személy szabályosan azonosítható, és a dokumentum az integritásának biztosítása feltételeire készült. Az eIDAS 2 szerinti minősített elektronikus aláírás (QES) teljes jogon teljesíti ezeket az követelményeket.

Rendelet (EU) 2016/679 (GDPR): az identitásbeli adatok feldolgozása az EUDI pénztárca keretén belül a minimalizálási (1. cikk 5. bekezdés c), a céllimitáció (1. cikk 5. bekezdés b) és az adatvédelmi by design (25. cikk) elveknek van alávetve. A minősített szolgáltatók a verifikációs operációkban különálló adatkezelőkként járnak el.

(EU) 2022/2555 Direktíva (NIS2): a 2024. június 12-i n°2024-528 ordinancia által a francia jogba átültetett, a minősített bizalmi szolgáltatások nyújtóira a kibernetikai kockázatkezelés és az incidensek 24 óránál nem később értesítésének kötelezettségeit írja elő.

ETSI normák:

• EN 319 132 (XAdES) és EN 319 122 (CAdES): fejlett elektronikus aláírási formátumok.
• EN 319 401: általános követelmények a bizalmi szolgáltatások nyújtóinak.
• EN 319 411-1 és 411-2: politika és biztonsági követelmények a minősített tanúsítványokat kibocsátó hitelesítésszolgáltatók számára.
• EN 319 521: követelmények aláírások minősített megőrzési szolgáltatásaira (QESAP).

Kötelezettségek és jogi kockázatok a vállalatok számára

Bármely vállalat, amely elektronikus aláírásokat használ szerződéskötési kontextusban, annak biztosítania kell, hogy a választott aláírási szint megfelelő az aktus értékéhez és jellegéhez. Az aláíráshoz jogi követelmény tárgya alkalmazások (eladási ígéretek, munkaszerződések, bizonyos küszöb feletti megrendelések) esetén csak a QES vagy a minősített tanúsítványon alapuló AdES nyújtja az eIDAS 2. 26. cikkében említett megbízhatóságot.

Jogviták esetén a bizonyítás terhe fordítódik: ha az aláírás minősített, annak a félnek kell bizonyítania az azt vitatózó félnek az megváltoztatottságot; ha egyszerű vagy minősített tanúsítvány nélküli fejlett, az aláírás bizonyítási terhe azon van, aki azt kimaványa. Az nyomon követhetőség és integritás követelményeinek be nem tartása az aktus érvénytelensége vagy az aláírás egy harmadik félre nem kötelezővé válhat.

Alkalmazási forgatókönyvek: az eIDAS 2 B2B vállalatok esetén

Forgatókönyv 1 — Egy digitális transzformációs tanácsadó iroda (kb. 80 konzultáns)

Egy tanácsadói struktúra, amely konzultánsait több tagállamban működteti (Franciaország, Németország, Hollandia), havi szinten kell aláírni megbízási rendeléseket, szerződésmódosításokat és átvételi jegyzőkönyveket. Az eIDAS 2 előtt a határmelletti identitáskezelés súrlódásokat generált: egyes német ügyfelek nem ismerték el a francia QTSP által kibocsátott tanúsítványokat, az emailes dupla hitelesítés nem volt elegendő az érzékeny aktusokhoz.

Az EUDI Wallet 2026-os üzembehelyezésével a konzultánsok saját nemzeti pénztárcájukból aláírhatnak — amely teljes jogon ismert fel az összes tagállamban — anélkül hogy bármi súrlódás lenne. A cég felbecsüli, hogy a dokumentumverifikáció előtti információcserékre fordított idő 60-70%-kal csökken, vagyis körülbelül 3-4 óra konzultánsonként és hónaponként, a McKinsey Digital (2024) által közzétett szektoriális benchmarkoknak megfelelően.

Forgatókönyv 2 — Egy KKV ipari vállalat évente 350 szállítói szerződést kezel

Egy ipari berendezések szektorában működő KKV, amely mintegy száz európai és ázsiai szállítóval működik együtt, meg kell kötnie megrendeléseket, bizalmasságvédelmi szerződéseket (NDA-kat) és kereti szerződéseket. Eddig ezeknek a dokumentumoknak 30%-a nem kielégítő aláírásokkal tért vissza, vagy hosszabb, mint 10 munkanapon át szokott tartani.

Az eIDAS 2-nek megfelelő elektronikus aláírási megoldás bevezetésével a minősített identitásbeli attribútumok (QEAA) verifikációjával a KKV rá tudja kényszeríteni az aláírási folyamatot, ahol a szállító képviselő-megbízottjának identitása automatikusan ellenőrizve van az EUDI pénztárcán keresztül, kézi adatbevitel nélkül. Várható eredmény: az aláírás átlagos időtartama 10 napról kevesebb, mint 48 órára csökken, és a nem megfelelő aláírásokkal kapcsolatos litiges 40%-kal csökkennek, az ELENIUS 2025 által megfigyelt fogyókkal a B2B-dematerializációról szóló jelentésekből.

Forgatókönyv 3 — Egy ingatlan-kezelési csoport, amely több országban kezel eladási kompromisszumokat

Egy ingatlani ügynökségek hálózata, amely Franciaország, Spanyolország és Portugália területén működik, rendszeresen kell előszerződéseket aláírtatnia különböző nemzetiségű eladók és vevők között. A QES olyan kontextusokban szükséges, hogy garantálják az ekvivalenciát a jegyző előtti kézzel írott aláíráshoz.

Az eIDAS 2 és az EUDI pénztárcák interoperabilitása révén egy portugál vevő aláírhat egy francia jog alá tartozó kompromisszumot saját nemzeti pénztárcáját használva, „magas" szintű garanciaval, amelyet az aláírási platform automatikusan ismeri fel. A csoport az átfogó ügyekben a költségeket körülbelül 800-1200 euróval csökkenti, míg az előszerződések megkötésének átlagos időtartama 3 hétből 5 napra csökken. Az szektorra jellemző felhasználásokra vonatkozóan az ingatlanban az elektronikus aláírásról szóló oldal az alkalmas munkafolyamatokat részletezi.

Összegzés

Az eIDAS 2 nem egyszerű szabályozási frissítés: az európai digitális identitás és elektronikus bizalom működésének mély átalakítása. Az EUDI Wallet, az új minősített szolgáltatások, az interoperabilitás-kötelezettség és az igazodás a NIS2-höz és a GDPR-hoz egy koherent ökoszisztémát képeznek, amely 2026 végéig át fogja alakítani az vállalatok szerződéskötési és hitelesítési folyamatait.

A szervezeteknek már azonnal kell cselekedniük ahhoz, hogy összhangban és konkurenciavédelmi maradjanak: auditálniuk kell bizalmi láncukat, egy új követelményekhez igazodott szolgáltatót kell választaniuk és fel kell készíteniük dokumentációs folyamataikat az európai digitális pénztárca integrációjára.

A Certyneo az eIDAS 2 -nek megfelelő minősített elektronikus aláírási megoldásokkal és 2026-ra kész infrastruktúrával támogatja az átmenetet. Kérjen bemutatót vagy hozzon létre számlát a Certyneo-nál a szerződéseit biztosítsa még ma.