eIDAS 2 Digitális Identitási Tárca: 2026-os Útmutató

Az eIDAS 2 rendelet hatálybalépése a digitális identitás kezelésének történelmi fordulópontját jelenti Európában. Az EUDI Wallet — European Digital Identity Wallet — segítségével hamarosan minden polgár és vállalkozás rendelkezni fog egy szuverén, interoperábilis és a 27 tagállam által elismert digitális tárcával. A jogi igazgatások, HR, compliance és IT igazgatások számára ez a szabályozási projekt számtalan lehetőséget és operatív kihívást is nyit. Ez a cikk feltárja az EUDI Wallet technikai és jogi működésének alapjait, vállalatok számára való gyakorlati következményeit, és azt, hogy hogyan kapcsolódik az minősített elektronikus aláírás meglévő megoldásaihoz.

Mit jelent az eIDAS 2 és az EUDI Wallet?

Az eIDAS 1.0 rendeletből az eIDAS 2.0 rendeletbe: szerkezeti fejlődés

Az eIDAS N°910/2014 rendelet 2014-ben elfogadva megalapozta a digitális bizalom Európában: minősített elektronikus aláírások, pecsétik, időbélyegek és hitelesítési szolgáltatások. Azonban egy évtizeddel később korlátai váltak nyilvánvalóvá: a tagállamok közötti elégtelen interoperabilitás, az európai digitális identitások egyenlőtlen elfogadása, az egységes tárca hiánya. A (2024/1183 EU) rendelet, az ún. eIDAS 2, amely 2024. április 11-én hivatalosan elfogadták az Európai Unió Közlönyében, ezt az ellehetetlenülést elhárította azáltal, hogy közös keretet írt elő a szuverén digitális identitás számára.

A teljes új szabályozási keret mélyebb megismeréséhez tanulmányozza meg az eIDAS 2.0 rendeletről szóló teljes útmutatónkat.

Az EUDI Wallet: architektúra és alapelvek

Az EUDI Wallet (European Digital Identity Wallet) egy mobil és/vagy szoftveres alkalmazás, amelyet minden tagállam a rendelet módosított 5a cikke szerint 2026. év végéig köztelen hozzáférhetővé kell tennie polgárai és lakói számára. Gyakorlatilag ez a digitális tárca lehetővé teszi:

• Ellenőrzött identitási attribútumok tárolása és bemutatása: személyazonossági igazolvány, jogosítvány, végzettségek, szakmai akkreditációk, az EU-n belüli ÁFA-szám jogi személyek számára.
• A felhasználó hitelesítése közszolgáltatások és magánszolgáltatások előtt magas szintű bizonyossági szinteken (LoA High a rendelet I. melléklete szerint).
• Elektronikus aláírás dokumentumokon minősített szinten, a minősített elektronikus aláírás-létrehozási eszközöket (QSCD) felhasználva.
• Szelektív adatmegosztás (selective disclosure elv) az adatok felfedése nélkül — amely jelentős előrelépés a GDPR-nak való megfelelésben.

Az architektúra az Európai Bizottság által közzétett technikai specifikációkon alapul az Architecture and Reference Framework (ARF) segítségével, amelyet az EUDIW konzorcium (European Digital Identity Wallet) tart karban. A bevezetett prezentációs formátumok tartalmazzák különösen az ISO/IEC 18013-5 (mDL — mobile Driver's Licence) és az SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials) standardokat, amelyek a hordozhatóságot garantálják.

Ki az érintett? Intézmények (Relying Parties)

Az eIDAS 2 rendelet bemutatja a Relying Party (felhasználó fél) fogalmát. Bármely szervezet — magáncég, közigazgatás, online platform — amely elfogad az EUDI Walletből származó identitási attribútumokat, regisztrálnia kell tagállamánál, és számos technikai és biztonsági kötelezettséget be kell tartania. A rendelet 5b cikkelye tisztázza, hogy a nagy platformok (a DSA értelmében) és bizonyos szektorok (pénzügy, egészségügy, energia) kötelezően el kell fogadniuk az EUDI Wallet -et az országos termelésbe való belépéskor.

Az EUDI Wallet technikai működése a vállalatok számára

A hitelesítés és aláírás lépésenkénti folyamata

A technikai folyamat megértése elengedhetetlen a rendszer-információs integráció előrejelzéséhez. Az EUDI Walleten keresztül szerződés aláírásának jellemző forgatókönyve így zajlik le:

1. Inicializálás: a Relying Party (pl. az Ön SaaS platformja) egy, az OpenID4VP protokollnak (OpenID for Verifiable Presentations) megfelelő megjelenítési kérést hoz létre.
2. Értesítés: a felhasználó értesítést kap az EUDI Wallet mobil alkalmazásán.
3. Hozzájárulás és kiválasztás: a felhasználó szelektív felfedésen keresztül választja ki az osztandó attribútumokat (név, keresztnév, születési dátum).
4. Ellenőrizhető bemutatás: a wallet kriptográfiai bizonyítékot hoz létre, amelyet a Trusted Issuer (a tagállam vagy akkreditált szolgáltató) aláír.
5. Ellenőrzés: a Relying Party az Európai Bizottság Trust Framework regisztrálásán keresztül ellenőrzi a bizonyítékot, szükségtelen adatok tárolása nélkül.
6. Minősített aláírás: ha aláírási cselekmény szükséges, a walletbe ágyazott QSCD vagy a felhőben üzemeltetett (QSign) minősített aláírást hoz létre az ETSI EN 319 132 szabvány szerint.

Ez a folyamat garantálja a LoA High bizonyossági szintet, amely az arcok közötti ellenőrzéssel egyenértékű.

Integráció a meglévő elektronikus aláírás platformokkal

Az elektronikus aláírás megoldások szerkesztőjének integrálnia kell az OpenID4VCI (kibocsátás) és OpenID4VP (bemutatás) protokollokat az EUDI ökoszisztémához való csatlakozáshoz. Az eIDAS 1.0-nak megfelelő platformot már használó vállalatok számára az eIDAS 2-be való átmenet technikai verziófrissítést igényel, de megőrzi a már realizált aláírások jogi értékét. Stratégiaként fontos felmérni az Ön jelenlegi szállítójának ütemtervét, különösen akkor, ha azt fontolgatja, hogy a DocuSign vagy YouSign helyett átmigráljon egy megfelelőbb megoldásra.

Jogi személyek digitális identitása: az üzleti probléma

Az EIDAS 2 nem korlátozott a fizikai személyekre. A 5a § 3 cikkelye kifejezetten előírja az EUDI Wallet jogi személyeknek, amely lehetővé teszi a vállalatok számára:

• Jogalapú léte bizonyítása (ellenőrizhető digitális cégjegyzék kivonattal).
• Aláírási hatalmak delegálása az alkalmazottaknak felügyelt és visszavonható módon.
• A KYB-ellenőrzés (Know Your Business) automatizálása a B2B szerződéses folyamatokban.

Ez a dimenzió különösen átalakító az elektronikus aláírás folyamatok számára a vállalatoknál, különösen az HR, jogi és pénzügyi szektorok szervezeteiben.

Telepítési ütemterv és szabályozási kötelezettségek 2024-2026

A (2024/1183 EU) rendelet szerinti megvalósítási fázisok

A rendelet meghatározott ütemtervet rögzít:

• 2024. április: publikáció az Közlönyben, hatálybalépés 20 nappal később.
• 2024. vége: a végrehajtási aktusok (Implementing Acts) közzététele, amelyek az alárendelt technikai specifikációkat definiálják.
• 2025: az uniós digitális identitási tárca pilotális nemzeti alkalmazásainak telepítése (EU Digital Identity Wallet Large Scale Pilots, amely az Európai Bizottságtól 46 millió euróval részesül).
• 2026. vége: az összes tagállamnak kötelezően legalább egy működőképes EUDI Wallet-et kell rendelkezésre bocsátaniuk. A nagy platformok és szabályozott szektorok el kell fogadniuk azt.

A francia vállalkozások számára a telepítés az La Poste digitális identitása és az ANSSI munkája alapján működik, amely a megbízható nemzeti kibocsátók tanúsítványát érinti.

A Relying Parties kötelezettségei

Azok a vállalatok, amelyek elfogadni kívánják vagy kötelesek elfogadni az EUDI Wallet-et, számos kötelezettségnek vannak alávetve:

1. Regisztráció az illetékes nemzeti hatóság előtt (Franciaországban az ANSSI és a CNIL az esetek szerint).
2. Technikai megfelelőség az Európai Bizottság GitHub-on közzétett ARF v2.x specifikációinak.
3. Átláthatóság: publikálja nyilvános regisztrálásban az igényelt attribútumokat és az adatkezelés célját.
4. Adatminimalizálás: csak a szigorúan szükséges attribútumok igénylése — erősített kötelezettség a GDPR által.
5. Naplózás: megőrzi az ellenőrizhető bemutatások naplóit auditáláshoz, az identitási adatok nyers tárolása nélkül.

Azok a vállalatok, amelyek az EUDI Wallet-et az jogi kabineteknek szóló elektronikus aláírásba vagy az HR-menedzsmentbe integrálják, 2026-tól jelentős versenyképi előnyhöz jutnak.

Stratégiai kérdések és lehetőségek a vállalatok számára

Frukció csökkentése a KYC/KYB folyamatokban

Az EUDI Wallet egyik legközvetlenebb előnye a kézi identitásellenőrzések felszámolása. Jelenleg az új ügyfél vagy partner beléptetése jusszifikációk emailen való küldésével, humán ellenőrzésével és feldolgozási késedelemmel jár. Az EUDI Wallet integrációval az ügyfél digitális identitási dokumentumát bemutatja a walletből 90 másodpercen belül. A minősített aláírás azonnal lezajlik, további frukció nélkül. A 2023-2025 között végzett large-scale próbák tapasztalatai szerint az ilyen típusú folyamat 60-75% között csökkenti az ügyfél-beléptetés feldolgozási idejét, és eliminálják az imput hibák vagy lejárt dokumentumok kockázatát. A kabin az LCB-FT megfelelősége terén is nyerésben jár, mivel az identitási attribútumok kriptográfiailag egy tagállam által tanúsítottak.

Digitális szuverenitás és a GAFAM függőség csökkentése

Az EUDI Wallet erős politikai ambícióra válaszol: csökkenteni az európaiak függőségét olyan szereplők által működtetett identitásrendszerektől, akik nem európaiak (Google, Apple, Meta). Vállalatok számára ez azt jelenti, hogy interoperábilis, nyílt és nem fogvatartott hitelesítési infrastruktúra, az ISO és W3C standardokon alapuló, nem pedig szabadalmazott SDK-kon. Ez a szuverenitás a nyilvános pályázatok közbeszerzésében való kereskedelmi megkülönböztetés argumentuma is, amely egyre fogékonyabb az adatlokalizációs záradékokra.

Hatás a minősített elektronikus aláírásra és a QTSP-kre

A Qualified Trust Service Providers (QTSP) szerepe fejlődik. Az EUDI Wallet-tel a QSCD közvetlenül az walletbe ágyazható vagy egy QTSP felhőhöz delegálható (Remote Qualified Signature). Vállalatok számára ez azt jelenti, hogy a minősített aláírás — eddig a legtöbb kritikus esetekre korlátozódott a komplexitása miatt — hozzáférhetővé és skálázhatóvá válik. Az elektronikus aláírás-megoldások összehasonlítása már tartalmazza ezt az EUDI Wallet-kompatibilitási kritériumot az elemzésben.

Az EUDI Wallet-re és a vállalatok számára alkalmazandó jogi keret

Az eIDAS 2 rendelet: (2024/1183 EU)

Az alapvető szöveg az Európai Parlament és Tanács (2024/1183 EU) rendeletét módosított az eIDAS N°910/2014 rendeletet, 2024. április 11. Ez közvetlenül alkalmazható az összes tagállamban a nemzeti jogszabályok átültetése nélkül, amely az európai jogi egyetemességet garantálja. Az 5a-5c cikkek az EUDI Wallet-re, a bizonyossági szintekre és az felhasználói jogokra vonatkozó kötelezettségeket definiálják. A 46f cikk a szabályozott szektorok Relying Parties számára való specifikus kötelezettségeket vezeti be.

Francia polgári törvény: 1366. és 1367. cikkek

A francia jogban az EUDI Walletből származó minősített elektronikus aláírás az 1367. cikk által előírt megbízhatóság vérte élvez: « Az elektronikus aláírás egy megbízható folyamat alkalmazásából áll, amely az aláírás azonosítását és a dokumentumhoz való kötődésének garantálása » A megbízhatóság feltételezett, ha az aláírás az eIDAS értelemben minősített. Az 1366. cikk az elektronikus írást az írásos papírozottnak felel meg azzal a feltétellel, hogy szerzője azonosított és az épség garantált — két feltétel, amelyet az EUDI Wallet eredendően teljesít.

GDPR N°2016/679: összekapcsolás az adatok minimalizálásával

A (2016/679 EU) rendelet (GDPR) teljes mértékben alkalmazandó az EUDI Walletből származó identitási attribútumokat feldolgozó Relying Parties számára. Az adatminimalizálás (5. cikk 1. pont c), a célmeghatározás korlátozása (5. cikk 1. pont b) és az alapértelmezett adatvédelem (25. cikk) elveit beépíteni kell a technikai integrációba. Az EUDI Wallet eredendően nyújtott selective disclosure technikai szinten megkönnyíti a megfelelést, azonban a vállalkozat továbbra is felelős (24. cikk) a feldolgozás jogi alapjainak dokumentálásáért.

ETSI normák és technikai standardok

Az EUDI Walletből származó minősített aláírásnak az ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) és ETSI EN 319 162 (PAdES) normáknak meg kell felelniük az elektronikus aláírás formátumaihoz. A tanúsítvány házirendjei az ETSI EN 319 401 ben vannak definiálva (General Policy Requirements for Trust Service Providers). A végrehajtási aktusok a Trusted Issuers tanúsítványának követelményeit pontosítják (ISO/IEC 27001 norma és Common Criteria EAL 4+).

NIS2 irányelv: (2022/2555 EU)

Az EUDI Wallet infrastruktúra operátorai (tagállamok, Trusted Issuers, QTSP) a NIS2 irányelv (2022/2555 EU) kötelezettségeinek vannak alávetve, amelyet Franciaországban az 2023-703 törvény ültetett át. Vállalatok számára a NIS2 harmadik fél szállítóik kockázatkezelésének kötelezettségét írja elő (21. cikk 2. pont d), amely az EUDI Walletot integrálóközponti szállítókat is magában foglalja. A digitális beszerzési lánc kockázati hatáselemzése ajánlott a telepítés előtt.

Az EUDI Wallet felhasználási forgatókönyvei a vállalatoknál

Forgatókönyv 1: Jogi kabin — személyazonosság ellenőrzése és meghatalmazások aláírása

Egy húsz főnyi ügyvédi kabin számos ügyfelet kezel, amely havi több száz meghatalmazást, levelet és procuratiót igényel. Jelenleg az ügyfél identitásellenőrzése jusszifikációk emailen való küldéseit, az asszisztens humán ellenőrzését és 48 órányi feldolgozási késedelmet igényel. Az EUDI Wallet integrációjával az ügyfél digitális személyazonossági dokumentumot mutatja be a walletből kevesebb, mint 90 másodpercen belül. A minősített aláírás azonnal lezajlik, további frukció nélkül. A 2023-2025 között végzett large-scale próbák tapasztalatai szerint az ilyen típusú ügyfélbeléptetési feldolgozási időt 60-75% között csökkenti, és eliminálják az imput hibák vagy lejárt dokumentumok kockázatát. A kabin az LCB-FT megfelelőségét is nyerésben jár, mivel az identitási attribútumok kriptográfiailag egy tagállam által tanúsítottak.

Forgatókönyv 2: KKV ipari vállalkozása — szállítói szerződések és aláírási delegációk menedzselése

Egy száz alkalmazottú KKV körülbelül 300 szállítói szerződést kezel évente, amely három helyszín között szétszórt beszerzési igazgatókat magában foglal. Az aláírási delegációk menedzselése jelenleg papír alapú és auditálása nehéz. Az EUDI Wallet vállalkozás (jogi személy) esetén a menedzsmen ellenőrizhető delegálási attribútumokat rendelhet minden beszerzési igazgatóhoz: kötelezettség plafonja, területi kör, érvényességi időtartam. Ezek az attribútumok az alkalmazott walletjében vannak tárolva és automatikusan bemutatva minden aláírási cselekmény során. Egy alkalmazott távozása vagy munkaköri változása esetén a visszavonás azonnali és auditálható. Ez a megoldás csökkenti a nem hatalmaz aláírások miatti szerződéses viták kockázatát és javítja a belső auditok nyomon követhetőségét. A pénzügyi igazgatások általában 30-40% közötti csökkenést tapasztalnak az aláírási hatalmak menedzselésére fordított idő terén.

Forgatókönyv 3: Kórházi csoport — beteg hozzájárulása és egészségügyi adathozzáférés

Egy több intézmények csoportosítása közelítőleg 1 500 egészségügyi dolgozóval összetett beteg hozzájárulási problémákkal szembeszáll, különösen az ossza megosztott orvosi nyilvántartások hozzáférésében. Az EUDI Wallet hozzájárulás-ellenőrzési mechanizmusként történő integrációja lehetővé teszi a beteg számára, hogy okostelefonjáról érvényt szerez az adataihoz való hozzáférésre egy szakorvos által, pontosítva az időtartamot és az adatkörhöz. Az selective disclosure biztosítja, hogy csak a releváns orvosi attribútumok vannak megosztva. Az egészségügyi dolgozók számára a wallet az RPPS szám (Shared Professional Health Directory) ellenőrizhető attribútumként biztosít, felszámolva a jelenlegi kézi ellenőrzési folyamatokat. Ez a típusú telepítés, konzisztens az Európai Egészségügyi Adatok Térével (EHDS), a jogosult adathozzáférési késedelmet több órától néhány másodpercre csökkentheti. A szektor-specifikus kérdésekről részletesen az egészségügyi elektronikus aláírásról szóló útmutatónk ismerteti az alkalmazandó szabályozási korlátozásokat.

Konklúzió

Az EUDI Wallet és az eIDAS 2 rendelet az európai digitális identitás legjelentősebb átalakítása egy évtized alatt. Vállalatok számára a tét nem csak új szabályozásnak való megfelelés, hanem az aláírás, beléptetés és delegálás-kezelés folyamatainak mély modernizálásának felismerése. A jogi, HR, egészségügyi és ipari szektorok az elsősorban érintett. A siker kulcsa az anticipáció: értékelje már most meglévő eszközei kompatibilitását, képezze ki csapatait, és válasszon olyan partnereket, akiknek az ütemterve az eIDAS 2-vel összhangban áll.

A Certyneo elektronikus aláírás platformmal segíti a vállalatok ezt az átmenetet, amely az EUDI Wallet-nek már a telepítésénél fogva kompatibilis. Fedezze fel ajánlatainkat és kezdje el ingyenesen, hogy 2026-ot teljes biztonságban előkészítse.