eIDAS rendelet: minden az európai elektronikus aláírásról
Frissítve
Az eIDAS rendelet az európai elektronikus aláírás alapdokumentuma. Három aláírási szintet határoz meg (egyszerű, fokozott biztonságú, minősített), megállapítja az elektronikus okiratok jogi értékét és szabályozza a bizalmi szolgáltatókat. Ez az útmutató mindent elmagyaráz, amit tudnia kell ahhoz, hogy 2026-ban megfeleljen a szabályoknak.
Mi az eIDAS és miért hozták létre?
Az eIDAS előtt az Európai Unió minden tagállamának saját szabályozása volt az elektronikus aláírásokról, ami jogi fragmentációt hozott létre, amely akadályozta a határokon átnyúló kereskedelmet. A Franciaországban érvényes elektronikus aláírást nem feltétlenül ismerték el Németországban vagy Spanyolországban.
Az (EU) 910/2014 rendeletet — az úgynevezett eIDAS-t (Electronic IDentification, Authentication and trust Services) — 2014. július 23-án fogadták el, és 2016. július 1-jén lépett alkalmazásba. Rendeletként (nem pedig irányelvként) közvetlenül és egységesen alkalmazandó a 27 tagállamban, nemzeti átültetés nélkül.
Az eIDAS három fő célt követ: egységes digitális piac létrehozása Európában a elektronikus identitások kölcsönös elismerésével, a határokon átnyúló elektronikus tranzakciók jogbiztonságának biztosítása, és a digitális szolgáltatások bizalmi keretének megalapozása a minősített bizalmi szolgáltatók (QTSP — Qualified Trust Service Provider) révén.
Az eIDAS által meghatározott 3 aláírási szint
Az eIDAS háromszintű elektronikus aláírás-piramist állít fel, mindegyik saját technikai követelményekkel és bizonyító erővel.
Egyszerű elektronikus aláírás
eIDAS követelmények
- Elektronikus formában lévő, más adatokhoz kapcsolt adatok
- Aláírásra használt (nincs specifikus technikai követelmény)
- Lehet egyszerű kattintás, bejelölt jelölőnégyzet vagy begépelt név
Felhasználási példák
- ÁSZF elfogadása
- Online űrlap
- Visszaigazoló e-mail
Jogi érték
Alapszintű szerződéses érték, nincs jogi vélelem
Fokozott biztonságú elektronikus aláírás
eIDAS követelmények
- Egyedi módon kapcsolódik az aláíróhoz
- Lehetővé teszi az aláíró azonosítását
- Az aláíró kizárólagos ellenőrzése alatt álló adatokkal jött létre
- A dokumentum minden későbbi módosítása észlelhető
Felhasználási példák
- Munkaszerződések
- Titoktartási megállapodások
- Üzleti szerződések
- Meghatalmazások
Jogi érték
Erős bizonyító erő — fontos szerződésekhez ajánlott
Minősített elektronikus aláírás
eIDAS követelmények
- Megfelel az AES összes követelményének
- Minősített aláíráslétrehozó eszközzel (QSCD) jött létre
- QTSP által kiállított minősített tanúsítványon alapul (EU bizalmi lista)
Felhasználási példák
- Digitális közokiratok
- Igényes közbeszerzések
- Szabályozott okiratok
Jogi érték
A kézzel írott aláírással egyenértékű jogi vélelem (eIDAS 25. cikk)
eIDAS 2.0: a 2024-es újdonságok
Az eIDAS rendeletet a (EU) 2024/1183 rendelet felülvizsgálta, amelyet 2024. április 30-án tettek közzé az EU Hivatalos Lapjában, és 2024. május 20-án lépett hatályba. Ez a felülvizsgálat modernizálja az eredeti keretet a kortárs digitális kihívásokra válaszul: polgárok digitális identitása, szuverén felhő, a bizalmi szolgáltatók rezilienciája.
Az eIDAS 2.0 kiemelt intézkedése az Európai Digitális Identitás Tárca (EUDIW). 2026 végéig minden tagállamnak polgárai és lakosai számára olyan alkalmazást kell biztosítania, amely lehetővé teszi tanúsított személyazonossági igazolások tárolását és bemutatását — a személyi igazolvány, a vezetői engedély, a diplomák digitális megfelelőjét. Ez az evolúció közvetlen hatással lesz a minősített aláírási folyamatokra.
Digitális identitás-tárca (EUDIW)
Az eIDAS 2.0 bevezeti az Európai Digitális Identitás Tárcát: minden európai polgár tárolhatja tanúsított személyazonossági igazolásait (személyi igazolvány, vezetői engedély, diplomák) egy az egész EU-ban interoperábilis mobilalkalmazásban.
QTSP-k megerősítése
A minősített bizalmi szolgáltatókra (QTSP) vonatkozó követelmények megerősödnek, különösen a kiberbiztonság, az auditok és a szolgáltatásfolytonosság területén.
Új bizalmi szolgáltatások
Az eIDAS 2.0 új minősített szolgáltatásokat vezet be: minősített elektronikus archiválás, minősített attribútum-adatkezelés, minősített elektronikus nyilvántartás (tanúsított blokklánc).
Megerősített interoperabilitás
A tagállamok közötti jobb digitális identitás-kölcsönös elismerés. Az EU bármely országában kiállított minősített aláírásokat mindenhol elismerik.
Hogyan feleljünk meg az eIDAS-nak a gyakorlatban?
Az eIDAS-megfelelőség nem korlátozódik egy aláírási szint kiválasztására. Elmélyedést igényel a teljes folyamaton: a kockázatok azonosítása, az eszközök kiválasztása, a bizonyítékok megőrzése és a dokumentum-irányítás.
Íme egy gyakorlati ellenőrzőlista azoknak a vállalkozásoknak, amelyek aláírási folyamataikat biztonságossá akarják tenni az eIDAS-nak megfelelően:
A Certyneo eIDAS-megfelelőségi megközelítése
A Certyneo az eIDAS rendelet SES (egyszerű elektronikus aláírás) és AES (fokozott biztonságú elektronikus aláírás) szintjeit implementálja. A fokozott biztonságú aláírás egy kétfaktoros hitelesítésre épül: egy e-mailben küldött egyszer használatos hivatkozás és egy SMS-ben küldött OTP-kód a OTP SMS-on keresztül. Ez a mechanizmus megfelel az eIDAS 26. cikkelyének négy kritériumának a fokozott biztonságú aláírásra vonatkozóan.
Minden boríték teljes audit naplót generál: minden művelet időbélyegzése (küldés, hivatkozás megnyitása, OTP-ellenőrzés, aláírás elhelyezése, esetleges elutasítás), az aláíró IP-címe, böngésző user-agent. Ez az audit napló integrálódik a végleges PDF minden oldalának aljára (audit lábléc), és 10 évig megőrizzük.
Az adatokat Franciaországban tároljuk (IONOS infrastruktúra), az Európai Unióban, a digitális szuverenitási követelményeknek és a GDPR-nek megfelelően. Az összes technikai részletért tekintse meg biztonság és megfelelőség oldalunkat.
Gyakori kérdések az eIDAS-ról
Mi az eIDAS rendelet?
Az eIDAS (Electronic Identification, Authentication and Trust Services) az (EU) 910/2014 számú európai rendelet, amely közös jogi keretet hoz létre az elektronikus aláírások, elektronikus bélyegzők, időbélyegzések, elektronikus ajánlott küldési szolgáltatások és weboldal-hitelesítési szolgáltatások számára az Európai Unióban. 2016. július 1-jén lépett hatályba és közvetlenül alkalmazandó a 27 tagállamban.
Mi a különbség az eIDAS és az eIDAS 2.0 között?
Az eIDAS 2.0 ((EU) 2024/1183 rendelet, 2024. május 20-án lépett hatályba) modernizálja az eIDAS 1.0-t különösen az Európai Digitális Identitás Tárca (EUDIW — European Digital Identity Wallet) bevezetésével, amely lehetővé teszi az európai polgárok számára, hogy tanúsított digitális személyazonossági igazolásokat tároljanak. A vállalkozások számára az eIDAS 2.0 megerősíti a minősített bizalmi szolgáltatókra (QTSP) vonatkozó követelményeket és javítja a határokon átnyúló interoperabilitást.
Van-e jogi értéke az eIDAS szerint az egyszerű elektronikus aláírásnak?
Igen. Az eIDAS 25. cikkelye kifejezetten megtiltja, hogy egy elektronikus aláírástól megtagadják a joghatást pusztán azért, mert elektronikus formában van. Az egyszerű aláírásnak (SES) tehát van jogi értéke, de nem élvezi a minősített aláírásoknak (QES) fenntartott jogi vélelmet. Jogvita esetén az aláírásra hivatkozó félnek kell bizonyítania annak hitelességét.
Hogyan tudjam, melyik eIDAS szintet válasszam a szerződéseimhez?
Az általános szabály, hogy a szintet a dokumentum jogi és üzleti kockázatához kell igazítani. Alacsony tétű gyakori dokumentumokhoz (árajánlatok, belső rendelések) az egyszerű aláírás elegendő. Fontos üzleti szerződésekhez, munkaszerződésekhez, titoktartási megállapodásokhoz vagy meghatalmazásokhoz a fokozott biztonságú aláírás (AES) ajánlott. A minősített aláírás (QES) azokra a helyzetekre van fenntartva, ahol a törvény ezt kifejezetten megköveteli (egyes közigazgatási okiratok, nagy értékű közbeszerzések), vagy ahol a vita kockázata maximális.
Hogyan felel meg a Certyneo az eIDAS-nak?
A Certyneo az eIDAS-nak megfelelően implementálja az egyszerű (SES) és a fokozott biztonságú (AES) aláírást. A fokozott biztonságú aláírás dupla OTP e-mail + SMS-re (OTP SMS) épül, amely összekapcsolja az aláírót az aktusával. Minden boríték időbélyegzett audit naplót generál, amely integrálódik a végleges PDF-be. Az adatok Franciaországban (EU) vannak tárolva, a digitális szuverenitási követelményeknek megfelelően.
Alkalmazandó-e az eIDAS az Európai Unión kívüli vállalkozásokra?
Az eIDAS az EU-ban nyújtott bizalmi szolgáltatásokra vonatkozik. Az EU-n kívül letelepedett vállalat, amely szeretné, hogy aláírásait az EU-ban elismerjék, eIDAS-kompatibilis megoldást vagy egy tagállam bizalmi listáján elismert minősített bizalmi szolgáltatót (QTSP) kell használnia. A nemzetközi B2B kapcsolatokhoz léteznek kölcsönös elismerési megállapodások bizonyos harmadik országokkal.