eIDAS 1-ről eIDAS 2-re való áttérés: hatások az aláírásra 2025-ben

1. május 20-án az (EU) 2024/1183 rendelet — közismert nevén eIDAS 2 — megjelent az Európai Unió Hivatalos Lapjában, fokozatosan felváltva az 910/2014 rendeletet (eIDAS 1). Ez a szöveg az európai digitális identitás és elektronikus aláírás legmélyebb reformja 2016 óta. Az elektronikus aláírási megoldásokat szerződéses munkafolyamataikban alkalmazó francia vállalkozások számára az átmenet nem formális kérdés: technikai, jogi és szervezeti módosításokat jelent, amelyek időhorizontja 2026-ig és azon túlra nyúlik. Az eIDAS 1-ről eIDAS 2-re való áttérés és az elektronikus aláírásra gyakorolt hatásának megértése 2025-ben prioritássá vált a jogi igazgatások, informatikai vezetők és HR-vezetők számára. Ez a cikk az alapvető keretváltozások, az átmenet pontos ütemezése és a megfelelőség biztosítására szükséges konkrét intézkedések dekódolása.

Az eIDAS 2 rendelet által alapvetően megváltoztatott elemek

A 2014-es rendelectől a 2024-es felújításig: miért volt szükséges a felülvizsgálat

Az eIDAS 1 megteremtette az elektronikus aláírások kölcsönös elismerésének alapjait az Unióban. Három hierarchikus szint — egyszerű (SES), haladó (AdES) és minősített (QES) — strukturálta az aláírások jogvitai értékét, támogatva a megbízható szolgáltatók listáját (TSL). Azonban tíz év alatt két nagy hiányosság jelent meg.

Első sorban az eredeti rendelet lényegében a közigazgatási kapcsolatokra alkalmazandó volt (G2B, G2C). Nem teremtett közvetlen kötelezettségeket magánszektor-beli tranzakciók tekintetében (B2B, B2C), így normatív hézagot hagyott, amelyet minden tagállam heterogén módon töltött be. Másodszor a digitális szolgáltatások - mobilalkalmazások, nyílt banki szolgáltatások, telemediciná - előretörése feltárta a kontinens szintjén hordozható és interoperábilis digitális identitási rendszer hiányát.

Az eIDAS 2 ezekre a kihívásokra válaszol az európai digitális identitás tárcát (EU Digital Identity Wallet, EUDIW) bevezetésével és a megbízható szolgáltatások körének új felhasználási esetekre kiterjesztésével: minősített elektronikus archiválás, minősített attribútumok tanúsítványa, minősített elektronikus nyilvántartások (beleértve a tanúsított blockchain-alkalmazásokat).

A minősített megbízható szolgáltatások új kategóriái

Az eIDAS 2 rendelet kiterjeszti a minősített megbízható szolgáltatások listáját (3. cikk és az átdolgozott IV. melléklet). Az aláírások, pecsétyek és időbélyegzők mellett, amelyek már az eIDAS 1 által ismertek voltak, mostantól minősítettnek számítanak:

• A minősített elektronikus archiválási szolgáltatások (34. bis cikk): a digitálisan aláírt dokumentumok sértetlenségének és olvashatóságának hosszú távú megőrzésének kötelezettségé, az erősített követelményekkel a szolgáltatóknál (QTSP).
• A minősített távolsági aláírási eszközkezelési szolgáltatások (QRCD): az erősített felügyelet a HSM (Hardware Security Module) felhő-alapú távolsági aláírási megoldásokon.
• A minősített attribútumok tanúsítványai: a megbízható harmadik fél számára az entitás attribútumainak tanúsítványa (például ügyvédi minőség, orvosi státusz) anélkül, hogy az egész azonosságot felfedné.
• A minősített elektronikus nyilvántartások: az elosztott nyilvántartások elismerése szigorú auditálhatóság és rugalmasság feltételeivel.

Az elektronikus aláírási megoldásokat alkalmazó felhasználók számára ez a kiterjesztés azt jelenti, hogy a piacon elérhető minősített megbízható szolgáltatások sokfélebbé válnak, és a szolgáltató (QTSP) kiválasztásának kritériumai ezeket az új képességeket is tartalmazniuk kell.

Az EUDIW: a digitális identitás tárca az aláírás infrastruktúrájaként

Az eIDAS 2 legjellegzetesebb újítása az EUDIW marad. Minden tagállam köteles biztosítania polgárai és lakosai számára egy ingyenes, az összes többi tagállammal interoperábilis digitális identitás tárcát 2026. november 26-ig (a 2. bis cikk szerint az országos megfelelőségi határidő). Ez a tárca lehetővé teszi majd:

• a felhasználó hitelesítését magas biztonsági szinttel (LoA High) harmadik féltől történő azonosítási szolgáltatás nélkül;
• elektronikus dokumentumok aláírását minősített értékkel (QES) közvetlenül a tárcából;
• az identitás attribútumok szélektív megosztása (selective disclosure), ezzel tiszteletben tartva a GDPR adatminimalizálási elvét.

A vállalkozások számára az EUDIW elméletileg leegyszerűsíti az aláírás előtti személyazonossági ellenőrzési eljárásokat, kiküszöbölve a videó-azonosítás vagy az offline azonosítás feszültségét. A gyakorlatban a hatás az országos kiépítés ütemétől függ — Franciaország 2025-ben pilot kísérletet indított a „France Identité" program keretében.

Az eIDAS 1-ről eIDAS 2-re való áttérés pontos ütemezése

A szerződési mérföldkövek ismeretéhez

A 2024/1183 rendelet 2024. május 20-án lépett hatályba, de alkalmazása fokozatos. Íme az esedékes dátumok:

| Dátum | Esemény | |------|----------| | 2024. május 20. | Megjelenés az EUJO-ban, formális hatálybalépés | | 2024. november 20. | 6 hónapos határidő a Bizottság végrehajtási aktusainak elfogadásához (az EUDIW műszaki specifikációi) | | 2025 vége | Az ETSI módosított normáinak közzététele (EN 319 411-1/2, EN 319 401) az eIDAS 2 követelményeit integrálva | | 2026. május 26. | Határidő a tagállamok megfelelőségéhez az új minősített szolgáltatások kategóriáihoz | | 2026. november 26. | Az EUDIW kötelező biztosítása minden tagállam által | | 2027-2028 | A nemzeti megbízhatósági listák (TSL) teljes felülvizsgálata és az új QTSP-k akkreditálása |

Az eIDAS 1 továbbra is érvényes marad és az alatta kiállított aláírások megtartják teljes jogi érvényességüket. Nincsen kötelezettség a meglévő dokumentumok újra aláírására. Azonban a minősített megbízható szolgáltatók új műszaki normák szerint kell, hogy megújítsák akkreditációjukat 2027-ig.

Ami nem változik és amit figyelni kell

A folytonosság az átmenet kardinális elve. Az aláírás három szintje (SES, AdES, QES) az értelmezések változatlansága mellett megmarad. A QES-hez csatolt kézzel írott aláíráshoz való egyenértékűség vélelmezése (eIDAS 1 25. cikk, az eIDAS 2 27. cikkbe átvezetett) továbbra is érvényes marad. Jelenlegi elektronikus aláírásainak jogvitai értéke nincs megkérdőjelezve.

Amit viszont figyelni kell: az Európai Bizottság által közzétett végrehajtási aktusok 2025-2026 során az EUDIW és az új szolgáltatások műszaki specifikációit rögzítik. Ezek a 2. szintű szövegek gyakorlati szempontból számottevő fontosságúak az integrátorok és szoftverfejlesztők számára. Az elektronikus aláírást HR vagy jogi folyamataikban alkalmazó vállalkozások számára ajánlott, hogy szolgáltatójuktól az eIDAS 2 megfelelőségi ütemtervét kérjék.

Konkrét hatás a vállalkozásokra és aláírási megoldásaikra

Mely munkafolyamatok érintik elsősorban?

Az eIDAS 1-ből eIDAS 2-re való átmenet nem egyforma hatással van az alkalmazott aláírás szintjétől függően. A vállalkozások számára három helyzet különíthető el:

Egyszerű elektronikus aláírás (SES): alacsony értékű kiegészítések, fogadási visszaigazolások, belső nyomtatványok aláírásához használva. Nincsen azonnali frissítésre vonatkozó kötelezettség. A jogvitai szabályok a Polgári Törvénykönyre (1366-1367. cikk) vonatkoznak, nem közvetlenül az eIDAS-ra.

Haladó elektronikus aláírás (AdES/AdESQC): a vállalkozások, amelyek kereskedelmi szerződésekhez, szegényített munkaügyi szerződésekhez vagy ingatlan-ügyletek B2B-megoldásaihoz AdES-t használnak, meg kell erősíteniük, hogy szolgáltatójuk az ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) és EN 319 142 (PAdES) normák eIDAS 2-re felülvizsgált verzióit fenntartja. Ezeket a normákat az ETSI 2025 végéig teszi közzé.

Minősített elektronikus aláírás (QES): a minősített szolgáltatók (QTSP) új eIDAS 2-es akkreditáció alá kerülnek. Az átmeneti időszak ésszerű határidőt (2027-ig) engedélyez, de 2025-ben kiírt pályázatok az eIDAS 2 megfelelőséget a kiválasztási kritériumokba kellene, hogy felvegyék. Az intézmények, amely az elérhető lehetőségeket összehasonlítják, a elektronikus aláírási megoldások összehasonlítása lehetővé teszi a szerkesztők érettségének értékelését ebben a témában.

Az új követelmények a minősített megbízható szolgáltatók (QTSP) számára

Az eIDAS 2 az alkalmazandó QTSP-követelményeket három fő ponton szigorítja:

1. Rendszerbiztonság: kötelező NIS2-vel való igazodás (az (EU) 2022/2555 irányelv) a QTSP-hez, most alapvető entitásként besorolva. Ez 24 órás incidensbejelentési kötelezettségeket, éves biztonsági auditokat és üzletmenet-folytonosság tervek elkészítését jelent.

1. Erősített felelősség: az eIDAS 2 13. cikke kiterjeszti a QTSP-k felelősségének rendszerét. Bizonyított szerződésszegés esetén a bizonyítási terhet fordított az: a szolgáltatónak kell bizonyítania, hogy nem követett el gondatlanságot, nem az ellenkezője.

1. Kötelező interoperabilitás: a QTSP-knek szabványosított, az EUDIW-vel kompatibilis API-kat kell bemutatniuk az identitás-tárcák natív integrációjának engedélyezéséhez. Ez a követelmény felgyorsítja a fejlesztők számára elérhető integrációs felületek korszerűsítését.

A szolgáltatót változtatni szándékozó vállalkozások számára a DocuSignról vagy YouSignről az eIDAS 2-vel megfelelő megoldásra való migrálás olyan megközelítés, amelyet most, azonnal kellene előkészíteni, nem pedig 2027-ben sietségesen.

Személyes adatok és eIDAS 2: az artikuláció a GDPR-rel

Az EUDIW személyazonosítási adatokat gyűjt és dolgoz fel. Az eIDAS 2 rendelet kifejezetten (11. preambulum és a 2. bis cikk 14. bekezdés) előírja, hogy a teljes eszköz a GDPR-nak (a (EU) 2016/679 rendelet) megfelelő legyen. Több figyelemre méltó pont:

• Szélektív nyilvánosságra hozatal: a tárcának lehetővé kell tennie a felhasználónak, hogy csak a tranzakcióhoz szigorúan szükséges attribútumokat ossza meg (minimalizálási elv, GDPR 5(1)(c) cikk). Egy szerződés aláírásához csak a nagykorúsági ellenőrzésre lehetne szükség a teljes születési dátum közzététele nélkül.
• Unión kívüli átvitelek: az EUDIW keretén belül feldolgozott személyazonosítási adatok csak megfelelő garanciák mellett vihető az EU-n kívülre (GDPR 46. cikk). Az amerikai felhő-infrastruktúrát alkalmazó szolgáltatók dokumentálniuk kell megfelelőségüket.
• Az aláírási naplók megőrzése: az aláírás-bizonyítékok archiválása tiszteletben kell, hogy tartsa a dokumentum jellegéhez arányos megőrzési időtartamot. Az új minősített archiválási szolgáltatás az eIDAS 2-ben műszaki keretrendszert nyújt erre a követelményre.

A nemzetközi munkaügyi szerződéseket kezelő vállalkozások különösen érintett az eIDAS 2-vel való GDPR-tagosultság szempontjából, különösen, ha az aláírók az EU-n kívül tartózkodnak.

Az eIDAS 1-ről eIDAS 2-re való átmenetben alkalmazandó jogi keret

Referenciaszövegek

Az átmenet olyan szövegek egymásra épülésén alapul, amelyeket elengedhetetlen elsajátítani:

Az európai szinten:

• Rendelet (EU) 910/2014 (eIDAS 1): még érvényes, az eIDAS 2 fokozatos felváltásáig. Meghatározza az aláírás három szintjét (SES, AdES, QES) és a QTSP-rendszert.
• Rendelet (EU) 2024/1183 (eIDAS 2): 2024. május 20-án lépett hatályba. Lényegesen módosítja az eIDAS 1-et anélkül, hogy azonnal felváltaná. Az EUDIW-vel kapcsolatos rendelkezések a végrehajtási aktusok közzétételétől kezdve alkalmazandóak.
• Rendelet (EU) 2016/679 (GDPR): teljes mértékben alkalmazandó az EUDIW-ben és aláírási folyamatokban az személyazonosítási adatok kezelésére. Az eIDAS 2 5. bis cikk 14. bekezdése ezt az alárendelést kifejezetten visszaigazolja.
• Direktíva (EU) 2022/2555 (NIS2): a QTSP-k számára erősített kiberbiztonsági kötelezettségeket ír elő, mostantól alapvető entitásként besorolva. A francia jogba 2024. június 20-ai 2024-821. sz. rendelettel (jelenleg a végrehajtási dekrétum készülés alatt) transzponálták.

A francia szinten:

• Polgári Törvénykönyv, 1366. és 1367. cikkei: az elektronikus írások jogvitai értékének alapja. Az 1366. cikk az elektronikus írás és a papír egyenértékűségét rögzíti feltételek mellett. Az 1367. cikk a minősített aláírásnak (QES) a kézzel írott aláíráshoz hasonló jogvitai erőt tulajdonít.
• 2017. szeptember 28-i 2017-1416. sz. dekrét: pontosítja az elektronikus aláírás használatának feltételeit a magánjogi okiratokban. Az átmeneti periódusban alkalmazandó marad.
• Általános biztonsági referenciakeret (RGS) v2: a francia közigazgatás számára az RGS az ANSSI által nyilvántartott megoldások használatát írja elő. Frissítése az eIDAS 2 integrálásához 2026 során várható.

Az eIDAS-ra vonatkozó alkalmazandó ETSI normák

Az ETSI normák a normatív hierarchia 3. szintjét képezik. A jelenlegi alkalmazandó verziók:

• EN 319 132-1/2: XAdES formátum (fejlett XML-aláírások)
• EN 319 122-1/2: CAdES formátum (fejlett CMS-aláírások)
• EN 319 142-1/2: PAdES formátum (fejlett PDF-aláírások)
• EN 319 401: általános követelmények a megbízható szolgáltatások szolgáltatóinak
• EN 319 411-1/2: követelmények a minősített tanúsítványok kiállító hitelesítési hatóságoknak

Ezeket a normákat 2025 végéig az eIDAS 2 új követelményeinek integrálásához felülvizsgálják. A QTSP-kkel kötött szerződéseknek olyan klauzulát kell tartalmazniuk, amely az átdolgozott verziókra történő frissítést biztosítja további költség nélkül.

A nem-megfelelőség jogi kockázatai

Az olyan szolgáltatónak aláírt aláírás, amely 2027 után már nem lenne akkreditált, nem vesztené el automatikusan az értékét a már aláírt dokumentumok tekintetében, de már nem lenne részesülne a kézzel írott aláíráshoz való egyenértékűség jogi vélelmezésében (eIDAS 25. cikk). Az aláírás sértetlenségét és az aláíró személyazonosságát bizonyító terhet ebben az esetben az üzleti élet kizárólag viseli vitában. Ez a bizonyítási kockázat különösen érzékeny az olyan okiratokra nézve, amelyek feldolgozási határideje hosszú (5 év a kereskedelmi ügyekben, 30 év az ingatlan-jogokra).

Felhasználási esetek: hogyan készülnek az szervezetek az eIDAS 2 átmenetre

1. forgatókönyv: egy 25 tagú ügyvédi iroda racionalizálja dokumentum-megfelelőségét

Egy üzleti jogra szakosodott ügyvédi iroda, körülbelül 25 kollégájával és megbízások, eladási okiratok és megállapodási protokollok intenzív aláírási tevékenységével, 2024-ig fejlett aláírási (AdES) megoldást használt az összes munkafolyamatához. Az eIDAS 2 bejelentésére az iroda tájékozódást végzett 1200 éves aláírási dokumentumainak azonosítására azokból, amelyekhez új barreau-ajánlások szerint QES szükséges.

Eredmény: az okiratok 15%-a (körülbelül évente 180) minősített aláírás felé lett reclassificálva, amely biztosította az említett dokumentumok jogvitai rendszersége. Az iroda szolgáltatója felé tárgyalt egy olyan klauzulát, amely az eIDAS 2 megfelelőséget garantálja a végrehajtási aktusok közzétételétől, további költség nélkül. Az aláírók személyazonosság-ellenőrzésével kapcsolatos adminisztratív idő 40%-kal csökkent az EUDIW-integráció 2026-ra tervezett előkészítésének előrelátása révén.

2. forgatókönyv: egy 150 fős ipari kis és középvállalat biztosítja szállítói szerződési láncát

Egy ipari kis és középvállalat körülbelül 350 éves szállítói szerződést — beszerzési rendeléseket, NDA-kat, kereten belüli szerződéseket — kezelve két különálló aláírási megoldás alkalmazott belső és külső munkafolyamatokhoz, amit a naplózottság bizonyítékainak széttagoltsága okozott. Az eIDAS 2 átmenet és az új minősített archiválási követelmények kontextusában a digitális vezetés egyetlen platformra döntött.

A minősített elektronikus archiválást integrálva egy megoldásra való migrálás (jövőbeli eIDAS 2 kategória) révén a kis és középvállalat biztonságos tárolásának költségeit 30%-kal csökkentette és aláírás-bizonyítékait egy megfelelő digitális széfbe összesítette. Az egész dokumentációs lánc mostantól kevesebb mint 2 perc alatt auditálható a szállítói ellenőrzések során — a növekvő követelmény az autóipar donnereik által.

3. forgatókönyv: egy körülbelül 600 ágyas kórház-csoportosulás az EUDIW-integráció előkészítése

Egy közfinanszírozott kórház-csoportosulás minősített elektronikus aláírást alkalmazott orvosi szerződésekhez és közszféra-beszerzésekhez a közszféra-beszerzési kódex követelménye szerint. Az eIDAS 2-vel az információs biztonsági csoport két prioritást azonosított: az "France Identité" tárca jövőbeli integrációját a kórházban dolgozó szabad orvosok számára és szolgáltatójának NIS2-megfelelőségét.

A csoportosulás a digitális ütemtervében 2025-2028 egy konkrét "eIDAS 2 megfelelőség" lézert sorakoztatott fel, 45 000 € tervezett költségvetéssel a műszaki migrálásra és az ügynökök képzésére. A cél az, hogy az EUDIW-n keresztüli aláírásokat elfogadni tudjon az országos kiépítésétől 2026 novemberétől, ezzel a szabad orvosokkal szerzési megállapodások időigénye 3 napról átlagosan kevesebb mint 4 órára csökkenne a szakterület benchmarkai szerint.

Összegzés

Az eIDAS 1-ről eIDAS 2-re való átmenet nem szakadás, hanem egy strukturált fejlődés, az ütemezése 2027-ig nyúlik. Az elektronikus aláírásra gyakorolt hatások valósak — a minősített szolgáltatások kiterjesztése, az EUDIW érkezése, a QTSP-k QTSP-k NIS2-erősítése — de kezelhetőek, amennyiben előrelátottak. Az azonnalban cselekvő vállalkozások mozgástérrel élvezethetik munkafolyamataikat auditálniuk, szerződéseiket biztosítaniuk szolgáltatóikkal és csapataikat képezniük anélkül, hogy szabályozási sürgősség nyomásaként kelljen működniük.

A Certyneo az átmenetet az eIDAS 2 világos megfelelőségi ütemtervével, az aláírás-formátumokkal, amelyeket napi szinten tartanak, és az EUDIW-integrációra kész architektúrával támogatja. Kész erre az új szabályozási keretben az aláírási folyamatokat biztosítani? Fedezze fel ajánlatainkat és induljon ingyenesen a Certyneóval.