eIDAS 2 vs eIDAS 1: kulcsfontosabb változások a KKV-k számára

Bevezetés: miért változtat az eIDAS 2 a KKV-k helyzetén

1. május 20. óta az (EU) 2024/1183 rendelet — közismert nevén eIDAS 2 — hatályba lépett, és fokozatosan hatályon kívül helyezi az (EU) 910/2014 rendeletet (eIDAS 1). A francia KKV-k számára ez az átmenet nem csupán egy közigazgatási frissítés: átdefiniálja a digitális bizalmi szinteket, bevezetésre kerül az európai digitális identitás tárca (EUDIW), szigorítja a bizalmi szolgáltatók követelményeit, és kiterjeszti az elismertek körét. Ez a cikk részletesen összevetı az eIDAS 1 és eIDAS 2 szabályait, azonosítja az operatív hatásokat a kis- és középvállalkozások számára, és konkrét cselekvési tervet nyújt a 2026-ig történő megfeleléshez.

---

1. Emlékeztetõ: mit rögzített az eIDAS 1 (2014-2024)

1.1 Az eredeti rendelet alapjai

2014 júliusában elfogadott és 2016 szeptembere óta alkalmazott eIDAS 1 az európai digitális bizalom terének első alapköveit letette. Bevezette az elektronikus aláírás három nagy kategóriáját — egyszerû (SES), haladó (AdES) és minõsített (QES) — és létrehozta a minõsített szolgáltatók bizalmi listáját (Trusted List), amely az Európai Bizottság portálján tekinthetõ meg.

A KKV-k szempontjából az eIDAS 1 fõ előnye a minõsített aláírások határokon átnyúló elismerése volt: egy francia QES-sel aláírt szerződés jogi értelemben Németországban, Spanyolországban vagy Olaszországban is elismert volt apostille vagy további formalitás nélkül. Ez az elvé — az „egyenlõ bánásmód" — az alapja annak, hogy az olyan SaaS-kínálatok, mint a Certyneo, a szolgáltatásaikat erre építhették.

1.2 Az azonosított hiányosságok

Fejlõdése ellenére az eIDAS 1 számos hiányosságban szenvedett, amelyeket az Európai Bizottság 2021-es értékelési jelentésében dokumentált:

• Az identitás-sémák fragmentálódása: csak azok az államok élveztek közös elismerést, amelyek értesítették az országos sémájukat (például FranceConnect+ lényeges szint). 2023-ban mindössze 14 ország az 27-bõl értesített egy megfelelõ sémát.
• Natív mobil támogatás hiánya: az aláírás-létrehozás minõsített eszköze (QSCD) gyakran megkívánta az intelligens kártyát vagy hardver tokent, ami akadályozta a mobil alkalmazást.
• Korlátozott bizalmi szolgáltatások: az eIDAS 1 kilenc típusú minõsített szolgáltatást sorolt fel; az új felhasználási lehetõségek (minõsített elektronikus archiválás, attribútumok kezelése) nem voltak szabályozva.
• Nincs egységes identitás tárca: minden polgár vagy vállalkozás az identifikátorokat szigetelten kezelve, garantált interoperabilitás nélkül.

Ezek a korlátok arra vezették az Európai Bizottságot, hogy 2020-ban elindítsa a felülvizsgálatot, amely három év trilógus után az eIDAS 2 rendelethez vezetett.

---

2. Az eIDAS 2 öt fõ újdonsága a KKV-k számára

2.1 Az európai digitális identitás tárca (EU Digital Identity Wallet — EUDIW)

Ez a rendelet legmegjelenõbb újdonsága. 2026. november végéig (az 5a. cikkben meghatározott átültetési határidõ) minden tagállamnak legalább egy minõsített digitális identitás tárcát kell ajánlania a polgárai és lakosai számára. A KKV-k szempontjából ennek az átmenetnek két közvetlen következménye van:

1. Az ügyfelek és partnerek hitelesítésének egyszerûsítése: a tárca ellenõrzött attribútumok (életkor, közösségi TVA szám, Kbis kivonat, tanúsított banki adatok) megosztását teszi lehetõvé súrlódásmentesen. Egy német partnerrel kötött keretmegállapodás aláírható az attribútumok azonnali ellenõrzése után az EUDIW-ból.
2. Kötelezõ elfogadás bizonyos szektoroknál: a nagy platformok online szolgáltatásai (45bis cikk) és bizonyos közszolgáltatások kötelesek lesznek az EUDIW-t hitelesítési módozatként elfogadni. Az olyan B2B portálokat nyújtó KKV-knek alkalmazkodniuk kell a hitelesítési API-jaik.

2.2 A minõsített bizalmi szolgáltatások listájának kiterjesztése

az eIDAS 2 a minõsített bizalmi szolgáltatások katalógusát 9-rõl 14 kategóriára bõvíti. Az új bejegyzések közül közvetlenül az KKV-kat érintõk:

• Minõsített elektronikus archiválás (45septies cikk): hosszú távú megõrzés megerõsített bizonyító értékkel. Eddig a bizonyító értékû archiválás az országos referenciakeretekre támaszkodott (Franciaországban a SIAF/ANSSI referenciakeret); az eIDAS 2 harmonizálja az európai keretet.
• Az aláírás-létrehozás minõsített eszközének távoli kezelése (RQSCD): mostantól kifejezetten szabályozva, feloldja az olyan felhõalapú minõsített aláírási megoldásokra vonatkozó kétértelmûségeket. Egy 50 fõs KKV számára ez azt jelenti, hogy minõsített aláírás nélkül token, bármely eszközrõl.
• Minõsített elektronikus nyilvántartási szolgáltatás: az olyan blokkláncra alapuló vagy elosztott nyilvántartás-technológiákon alapuló nyilvántartások mostantól megkaphatják a minõsített státuszt, új szerkezeti kezelési modellek nyitottságához vezetik.

Az aláírási szintekrõl és azok jogi értékérõl a részletekért lásd az elektronikus aláírás teljes útmutatóját.

2.3 A minõsített bizalmi szolgáltatók (QTSP) biztonsági követelményeinek szigorítása

Az eIDAS 2 megszigorítja a minõsített bizalmi szolgáltatók (QTSP) kötelezettségeit. A felülvizsgált 24. cikk különösen meghatározza:

• Az európai keretnek megfelelõ kiberbiztonsági tanúsítványt (EU Cybersecurity Act, 2019/881 rendelet), az ENISA által fejlesztésben lévõ szektoriális sémákkal.
• Megerõsített operatív rugalmassági követelményeket: a QTSP-knek dokumentálniuk kell a üzletmenet-folytonosság tervét, és be kell nyújtaniuk azt az országos felügyeleti szervezetükhöz (Franciaországban az ANSSI a minõsített szolgáltatók számára).
• A biztonsági incidensek 24 órás értesítési kötelezettségét (NIS 2-vel való összhang).

A felhasználó KKV-k számára ez fokozott gondosságot jelent a szolgáltató kiválasztásakor: annak ellenõrzése, hogy a megoldás az aktualizált európai Trusted List-en szerepel-e, mostantól kritikus lépés az Ön beszerzési folyamatában. A elektronikus aláírási megoldások összehasonlítása segíthet ebben az elemzésben.

2.4 Az identitás-sémák kötelezõ interoperabilitása

Ahol az eIDAS 1 az államok számára szabadságot hagyott a sémájuk értesítésében (vagy sem), az eIDAS 2 kötelezõvé teszi az értesítést és az interoperabilitást az online közszolgáltatásban használt identitás-sémák esetében (5. cikk). A Franciaország Identitás — az Belügyminisztérium által támogatott nemzeti séma — az EUDIW technikai specifikációinak megfelelõsítés alatt áll, amelyeket az Európai Bizottság az (EU) 2024/2977 végrehajtási rendeletben publikálna.

Az olyan KKV, amely rendszeresen közigazgatási szervekkel lépcsõzik (közszerzõdések, elektronikus teljesítések, vámeljárások), számára ez azt jelenti, hogy az online eljárások fokozatosan az egész EU-ban elismert és egységes digitális azonosító köré lesznek unifikálva.

2.5 Az új felelõsségi és felügyeleti szabályok

Az eIDAS 2 pontosít és kiterjeszti a szolgáltatók felelõsségének szabályait (felülvizsgált 13. cikk). A QTSP mostantól vélelmezetten felelõs minden olyan kárért, amely egy természetes vagy jogi személyhez okozódott kötelezettségének megsértésével, hacsak nem bizonyítja a hibátlanságot. Ez a vélelem, az eIDAS 1-hez képest erõsítve, a KKV-kat a következõkre ösztönzi:

• Szerzoõdésben formalizálni a szolgáltatóval szembeni kötelezettségeket (SLA-k, elérhetõségi garantiák, kártérítés).
• A QTSP szakmai felelõsségbiztosítási fedezete ellenõrzése.
• Az aláírt tranzakciók auditálási bizonyítékainak megõrzése (időbélyegzésû naplók, aláírás-ellenõrzési jelentések).

A csapatunk részletes útmutatót készített az vállalati elektronikus aláírásról, amely ezeket a szerzoõdési aspektusokat tárgyalja.

---

3. Összehasonlító táblázat az eIDAS 1 vs eIDAS 2: mi változik konkrétan

3.1 A fõbb fejlemények összegzése

| Kritérium | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Identitás tárca | Hiányzik | EUDIW kötelezõ (tagállamok) | | Minõsített szolgáltatások | 9 kategória | 14 kategória (archiválás, RQSCD, nyilvántartások…) | | Sémák értesítése | Opcionális | Kötelezõ közszolgáltatások számára | | QTSP biztonság | Common Criteria kritériumok | Cybersecurity Act + ENISA sémák | | QTSP felelõsség | Részleges | Megerõsített felelõsség vélelmezése | | Incidensértesítési határidõ | Nem meghatározott | 24 óra (NIS 2 összhang) | | QSCD mobil | Jogi kétértelme | RQSCD kifejezetten szabályozva |

3.2 A 2026-ot érintõ kulcsfontosságú határidõk

• 2024. május: az (EU) 2024/1183 rendelet hatályba lépése.
• 2026. november: az egyes tagállamok kötelezettségének határideje, hogy legalább egy tanúsított EUDIW-megoldást ajánljanak.
• 2027: a nagy platformoknak (45bis cikk) kötelesek az EUDIW-t hitelesítési módozatként elfogadni.
• 2028: az EUDIW technikai specifikációit tartalmazó végrehajtási aktusok felülvizsgálatára vonatkozó terv (delegált rendeletek).

Ha KKV-ja a szervezeti átállásra, a Certyneo-ra történõ migrálási ajánlatunk ingyenes eIDAS 2 megfelelõség-auditot tartalmaz.

---

4. Gyakorlati cselekvési terv: KKV-ja eIDAS 2 megfelelésének biztosítása

4.1 Az érkezési dokumentumok auditálása

Kezdje az összes eljárás összevetésébõl, amelyekben jelenleg elektronikus aláírást vagy digitális identitást használ: szállítói szerzoõdések, dematerializált fizetési naplók, SEPA megbízások, titoktartási megállapodások, HR-eljárások. Az egyes eljárások esetében azonosítsa:

• A jelenleg használt aláírási szint (SES, AdES, QES).
• A jelenlegi szolgáltatót és státuszát a Trusted List-en.
• Az illegális vitatkozás jogi kockázatát.

Ez az audit az ANSSI által 2025 márciusában megjelent megfelelõség útmutatója által javasolt kiindulópont.

4.2 Az aláírási megoldás frissítése

Ha a jelenlegi szolgáltatón nincs meg az eIDAS 2 Trusted List-en, vagy még nem kínál RQSCD-t, ideje a piaci ajánlatokat összevetni. A Certyneo olyan QTSP, amely az aláírás mindhárom szintjét (SES, AdES, QES) támogatja és natívan integrálja az eIDAS 2 új követelményeit, különösen az archiválást és az eszközkezelést távolról.

4.3 Az csapatok képzése és szerzoõdések frissítése

Az eIDAS 2 megerõsíti a minõsített aláírások bizonyító értékét, de dokumentációs jó gyakorlatokat is megkövetel. Gondoskodjon arról, hogy az Ön jogi és közigazgatási csapatai:

• Megkülönböztetik az aláírás három szintjét és azok jogi értékét.
• Az aláírási szerzoõdésbe beépítik az eIDAS-megfelelõség auditálási záradékát.
• Megõrzik az aláírás-ellenõrzés bizonyítékait (validációs jelentés, minõsített időbélyeg) a vonatkozó megõrzési törvényi idõtartam alatt (3-10 év az aktus jellegétõl függõen).

E megközelítés structurálásához, a elektronikus aláírás ROI kalkulátora lehetõvé teszi a frissítéshez kapcsolódó operatív nyeresegek számszerûsítését.

Alkalmazandó jogi keret

Referencia szövegek

A KKV francia megfelelõséget az eIDAS 2 számára egy szabályozáson fekvõ empilement keretezi, amely nélkülözhetetlen az elsajátítása.

Az Európai Parlament és a Tanács (EU) 2024/1183 rendelete (úgynevezett „eIDAS 2"): ez az alapítõ szöveg, az LOGA-ban 2024. április 30-án publikálta. Az (EU) 910/2014 rendeletet az 2024-2027-ig terjedõ teljesítési ütemterv szerint visszavonja és helyettesíti. Közvetlenül alkalmazandó az összes tagállamban, amely nem igényel nemzeti jogalkotási átültetést a fõ rendelkezésekre nézve.

Az (EU) 910/2014 rendelet (eIDAS 1): meghatározott rendelkezéseit az eIDAS 2 által elõírt átmeneti idõszakokban továbbra is alkalmazni kell, különösen azoknak a minõsített szolgáltatók számára, akiknek a minõsítésük 2024. május elõtt szerzõdése lett, és átminõsítési határideje van.

Francia Polgári Törvénykönyv, 1366-1367 cikkek: az 1366. cikk az elektronikus írásbeli és a papíralapú írásbeli egyenértékûségének elvét rögzíti, feltéve, hogy „az adó személyét megfelelõen azonosítani lehessen, és azt olyan körülmények között állítják fel és kezelik, amely az integritásának garantálása érdekében." A 1367. cikk az elektronikus aláírást bizonyítási módnak ismeri el, a Tanácsállamok által rendeletben meghatározott feltételekhez szólít (2017. szeptember 28-i rendelet, amely a Polgári Törvénykönybe foglalva az 1369-1-1369-10 cikkben).

Az (EU) 2016/679 rendelet (GDPR): az EUDIW telepítése és az identitásattribútumok az elektronikus aláírási folyamatok során az a személyes adatkezelés, amelyre a GDPR vonatkozik. A KKV-knak biztosítaniuk kell, hogy a QTSP a GDPR 28. cikkében szereplõ feldolgozó minõségébõl működik, egy megfelelõ DPA-val (Adatfeldolgozási Megállapodás). A CNIL 2026. januárjában egy speciális ajánlást közzétett az EUDIW-GDPR integrációhoz.

Az (EU) 2022/2555 irányelv (NIS 2): az eIDAS 2 kifejezetten NIS 2-vel összhangot vesz az incidenswertesítési kötelezettségek tekintetében (eIDAS 2 24. cikk, 2. bekezdés, amely az NIS 2 rendelkezésekre utal). A QTSP-k az NIS 2 értelmében „lényeges" vagy „fontos" entitásnak tekintendõk a méretük alapján, és e jogcímén az önálló biztonsági auditoknak alávetetteknek.

ETSI normák: az elektronikus aláírások minõsítettnek meg kell felelniük az ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) és ETSI EN 319 102-1 (validációs eljárás) normáknak. Az ETSI TS 119 461 norma az identitás távoli ellenõrzésének (IDV) szabályozza, különösen fontos az RQSCD számára.

Jogi kockázatok a non-compliance esetén

Az eIDAS 2-nek nem megfelelõ elektronikus aláírási megoldás használata több kockázatnak teszi ki a KKV-t:

• Tárgytalanság a bírósági eljárásban: a bíró elutasíthat egy elektronikus aláírást, amelynek a szintje nem felel meg az aláírt aktusnak (pl. egyszerû aláírás egy olyan aktusban, amely haladó vagy minõsített szintet igényel).
• Szerzoõdési felelõsség: ha egy szerzoõdést egy partner vitatja az aláírás érvénytelensége miatt, a KKV kártérítési igénynek lehet kitéve.
• GDPR szankciók: adatbiztonság megsértéséhez, a szolgáltató biztonsági hiányára hivatkozva, a KKV, mint társfelelõs vagy adatkezelõ, a CNIL által szankcionálható lehet az éves világwireless forgalomnak a 4%-áig (GDPR 83. cikk, 4. bekezdés).

Konkrét használati esetek

Eset 1: 80 fõs ipari KKV, amely évente 400 szállítói szerzoõdést kezel

Egy fém iparban mûködõ KKV, amely évente körülbelül 400 szállítói szerzoõdést kezel, 2024-ig egy egyszerû elektronikus aláírási (SES) megoldást használt az összes kötelezettségéhez, beleértve az 50 000 €-nál magasabb keretszerzoõdéseket is. Az eIDAS 2 megfelelõség auditálása után 35%-a a szerzoõdésének olyan haladó vagy minõsített aláírást igényelt, amely egy bírósági vita ellen áll, különösen más EU-tagállamban mûködõ szállítóknál.

A haladó aláírás (AdES) bevezetésével a szokásos szerzoõdésekhez és minõsített aláírás (QES) a keretszerzoõdésekhez, valamint a minõsített elektronikus archiválás aktiválásához (új eIDAS 2 szolgáltatás), a KKV 70%-kal csökkentette az aláírás utáni dokumentumkezelésre fordított idõ (osztályozás, keresés, tanúsított másolatok küldése), a nullára csökkentette az aláírás vitájához kapcsolódó összes ügyletet az ezt követõ 18 hónapban az azt megelõzõ 18 hónapban beszerzett két incidenshez képest.

Eset 2: 15 munkatársas jogi tanácsadó iroda

Az üzleti jog szakosított iroda, amely évente átlagosan 1 200 aláírt aktust bocsát ki (megbízási levelek, megbízások, titoktartási megállapodások), a vállalati ügyfelek része által az egész EU-ban elismert minõsített aláírások iránti kereslet növekedésének szembesült. Az eIDAS 1 alatt a minõsített tanúsítvány beszerzése egy személyes találkozó eljárást vagy egy hosszú videó-ellenõrzést igényelt (felhasználónként 45-90 perc).

Az eIDAS 2 által szabályozott RQSCD (Remote Qualified Signature Creation Device) segítségével az iroda kevesebb, mint két hét alatt bevezethetõ a minõsített aláírás az összes munkatársa számára az ETSI TS 119 461 normának megfelelõ 100% távolról történõ bevezetési eljárás révén. A belõsítési bevezetési ütem 40%-ról 95%-ra nõtt három hónap alatt, és az aláírt aktusok átlagos visszatérési ideje 4,2 napról kevesebb, mint 6 órára csökkent az iroda belõs mérései szerint.

Eset 3: Az EU három országában mûködõ e-kereskedelmi KKV

Egy 35 fõs vállalkozás, amely Franciaországban, Belgiumban és Hollandiában mûködik, és három típusú elektronikus megállapodást kell kezelnie: az alkalmazottakra vonatkozó munkaszerzoõdések helyi, szállítókkal kötött partnerségi megállapodások és SEPA megbízások az üzleti ügyfeleknek. Az eIDAS 1 alatt a nemzeti követelmények fragmentálódása kötelezõ volt, hogy három különálló aláírási munkafolyamatot tartsanak, a kezelési költségek körülbelül 12 000 € évente becsültek.

Az eIDAS 2-vel összhangban álló egységes megoldás bevezetésével — integrálva a minõsített aláírások közös elismerésére a három országban — lehetõvé vált az munkafolyamatok unifikálása, a kezelési költségek körülbelül 4 500 €-ra csökkentése évente (62%-os megtakarítás) és az idegen nyelvû aláírások manuális jogi szolgáltatáson történõ validálásához kapcsolódó késztartási kizárása.

Következtetés

Az eIDAS 2 nem csupán kozmetikai felülvizsgálata az szabályozási keretnek: az Európa digitális bizalmának játékszabályait definiálja újra. A francia KKV-k számára az öt fõ fejlemény — EUDIW-tárca, a minõsített szolgáltatások kiterjesztése, RQSCD, kötelezõ interoperabilitás és megerõsített felelõsség — egyszerre jelent megfelelõségi terheket és lehetõségeket a dokumentumkezelésük gyorsítására.

Az olyan KKV-k, amelyek már ma előre jelzik ezeket a változásokat, igazi versenyelõnyt élveznek: az egész EU-ban súrlódásmentesen elismert szerzoõdések, integrált bizonyító értékû archiválás, és teljes dématérialás és biztosított aláírási eljárások.

A Certyneo e átmenet kíséretére szervezetének. Kezdje a certyneo.com ingyenes próbáját és kapjon ingyenes eIDAS 2 megfelelõség auditot a meglévõ dokumentumáramlásokhoz.