eIDAS 2: peraturan Eropa baru dijelaskan pada tahun 2026

Pengantar: mengapa eIDAS 2 mengubah segalanya untuk perusahaan Eropa

Berlaku sejak 20 Mei 2024 setelah periode legislatif yang panjang, Peraturan eIDAS 2 — secara resmi disebut Peraturan (UE) 2024/1183 — merepresentasikan reformasi paling ambisius yang pernah dilakukan dalam bidang identifikasi elektronik dan layanan kepercayaan di Eropa. Peraturan ini menghapus dan sebagian menggantikan peraturan eIDAS awal tahun 2014 (No. 910/2014), sambil mempertahankan kompatibilitas ke depan dengan infrastruktur yang ada. Bagi perusahaan yang menggunakan signature elektronik yang sesuai dengan eIDAS, pembaruan ini memperkenalkan kewajiban baru, peluang yang belum pernah terjadi sebelumnya, dan jadwal kepatuhan yang ketat hingga 2026 dan seterusnya. Artikel ini menguraikan secara mendalam ketentuan kunci teks, implikasi operasionalnya, dan cara organisasi Anda dapat mempersiapkan diri.

---

Apa yang diubah secara fundamental oleh peraturan eIDAS 2

Dari peraturan 2014 ke versi 2024: pembaruan struktural

Peraturan eIDAS asli tahun 2014 telah menetapkan dasar untuk pengakuan timbal balik skema identifikasi elektronik antar negara anggota dan membentuk kerangka hukum terpadu untuk layanan kepercayaan (tanda tangan, segel, cap waktu, dll.). Namun sepuluh tahun kemudian, keterbatasannya jelas: tingkat adopsi rendah dari eID yang diberitahukan, fragmentasi solusi nasional, tidak adanya dompet digital universal untuk warga negara, dan terutama ketidaksesuaian dengan penggunaan web (GAFAM dikecualikan dari kerangka kepercayaan).

eIDAS 2 memperbaiki kekurangan ini di tiga sumbu utama:

1. Dompet identitas digital Eropa (EUDI Wallet) — setiap negara anggota harus menyediakan, paling lambat pada November 2026, aplikasi dompet digital yang memungkinkan setiap warga negara atau penduduk Eropa untuk menyimpan dan mempresentasikan atribut identitasnya (kartu identitas, surat izin mengemudi, diploma, dll.) dengan aman.
2. Perluasan layanan kepercayaan yang berkualitas — teks menambahkan layanan berkualitas baru: manajemen pengarsipan elektronik yang berkualitas (QESAP), laporan atribut identitas berkualitas (QEAA), buku akun elektronik berkualitas (QLED), dan manajemen perangkat pembuatan tanda tangan jarak jauh yang berkualitas (QRCD).
3. Kewajiban untuk platform besar — penyedia layanan online dalam skala besar (media sosial, pasar) harus menerima dompet EUDI untuk autentikasi pengguna.

Dompet EUDI Wallet: arsitektur dan fungsi

EUDI Wallet adalah jantung eIDAS 2. Secara konkret, ini adalah aplikasi perangkat lunak — yang disediakan atau disertifikasi oleh setiap negara anggota — yang didasarkan pada model presentasi atribut yang terdesentralisasi. Pengguna hanya mengirimkan data yang benar-benar diperlukan untuk transaksi (prinsip minimalisasi, sesuai dengan GDPR).

Dari sudut pandang teknis, arsitektur didasarkan pada spesifikasi Architecture Reference Framework (ARF), diterbitkan oleh Komisi Eropa dan diperbarui secara berkala oleh Large Scale Pilot (LSP) yang mengelompokkan empat konsortium percontohan (DC4EU, EWC, POTENTIAL, NOBID). Format data yang dipilih terutama adalah ISO/IEC 18013-5 (mDL/mDocs) dan W3C Verifiable Credentials, menjamin interoperabilitas lintas negara.

Bagi perusahaan, ini berarti mereka dapat, pada akhirnya, memverifikasi identitas klien atau mitra mereka melalui dompet tanpa mengelola pengumpulan dokumen pendukung mereka sendiri — sehingga mengurangi friksi KYC (Kenali Pelanggan Anda) dan risiko penipuan dokumen secara signifikan.

---

Tingkat jaminan dan hierarki tanda tangan: apa yang berubah

Mempertahankan hierarki QES / AdES / SES

Rezim tanda tangan elektronik tetap terstruktur di sekitar tiga tingkat yang ditentukan dalam Pasal 3 eIDAS 2 (mengulangi terminologi tahun 2014 tetapi memperjelas persyaratan teknis):

• Tanda tangan elektronik sederhana (SES) : nilai bukti minimal, cocok untuk tindakan biasa.
• Tanda tangan elektronik lanjutan (AdES) : hubungan eksklusif dengan penandatangan, kemungkinan mendeteksi modifikasi berikutnya.
• Tanda tangan elektronik berkualitas (QES) : setara hukum tanda tangan tulisan tangan di seluruh UE (pasal 25§2), dikeluarkan melalui perangkat pembuatan tanda tangan berkualitas (QSCD) berdasarkan sertifikat berkualitas.

Inovasi terletak pada cara QES sekarang dapat disediakan melalui layanan tanda tangan jarak jauh berkualitas (QRCD), yang syarat-syaratnya untuk persetujuan dijelaskan dalam pasal 29a dan 29b teks revisi. Ini membuka jalan untuk alur 100% digital bagi tindakan paling mendesak — kontrak notaris, dokumen keaslian elektronik — tanpa memerlukan kartu pintar fisik.

Dampak pada penyedia layanan kepercayaan berkualitas (QTSP)

Penyedia seperti Certyneo, yang beroperasi dengan mengandalkan QTSP bersertifikat, harus mengantisipasi persyaratan audit baru yang diperkenalkan oleh eIDAS 2. Pasal 24 sekarang memaksakan kontrol yang diperkuat atas rantai subkontrak, dan persyaratan untuk melaporkan insiden keamanan selaras secara eksplisit dengan arahan NIS2 (batas waktu 24 jam untuk pemberitahuan awal). Untuk memperdalam cara kerja berbagai tingkat tanda tangan dalam konteks B2B, konsultasikan panduan lengkap kami tentang tanda tangan elektronik di perusahaan.

---

Jadwal penerapan dan kewajiban perusahaan pada 2025-2026

Tahap-tahap kunci penerapan

Peraturan (UE) 2024/1183 diterbitkan di Jurnal Resmi UE pada 30 April 2024 dan berlaku pada 20 Mei 2024. Tindakan pelaksanaan dan delegasi — penting untuk memperjelas persyaratan teknis — dipublikasikan secara bertahap:

| Tenggat | Kewajiban | |---|---| | Mei 2024 | Berlakunya peraturan | | Akhir 2024 | Publikasi tindakan pelaksanaan pada ARF v2.0 | | Pertengahan 2025 | Sertifikasi dompet EUDI pilot pertama | | November 2026 | Ketersediaan wajib dompet EUDI di setiap negara anggota | | 2027 | Penerimaan wajib oleh platform online besar |

Apa yang harus dilakukan perusahaan B2B sekarang juga

Bagi perusahaan pengguna solusi tanda tangan elektronik, tiga prioritas penting pada 2025-2026:

1. Audit rantai kepercayaan mereka : verifikasi bahwa penyedia tanda tangan mereka benar-benar terdaftar di daftar QTSP (Daftar Terpercaya) negara anggota mereka, dan bahwa sertifikat yang digunakan sesuai dengan spesifikasi baru ETSI EN 319 401 dan EN 319 411-1 yang direvisi.

2. Mengantisipasi integrasi Dompet EUDI : perusahaan yang beroperasi di sektor yang diatur (perbankan, asuransi, kesehatan, real estate) akan menjadi yang pertama terkena dampak oleh alur verifikasi identitas melalui dompet. Mempersiapkan integrasi API sejak 2025 adalah rekomendasi.

3. Tinjau kebijakan penyimpanan mereka : layanan pengarsipan elektronik berkualitas baru (QESAP) memperkenalkan standar pelestarian jangka panjang yang dapat berlaku di sektor tertentu (pasar publik, farmasi). Kalkulator ROI kami untuk tanda tangan elektronik memungkinkan Anda mengevaluasi dampak keuangan dari peningkatan infrastruktur dokumenter Anda.

---

Interoperabilitas, GDPR, dan masalah kedaulatan digital

eIDAS 2 dan GDPR: komplementaritas yang diperkuat

Salah satu kemajuan utama eIDAS 2 adalah integrasi eksplisit dari prinsip perlindungan data sejak desain (privacy by design) dalam arsitektur dompet EUDI. Pasal 5a§14 menetapkan bahwa dompet tidak memungkinkan penyedia untuk melacak perilaku pengguna selama transaksi. Penerbit atribut identitas berkualitas (QEAA) tidak diberitahu tentang penggunaan yang dibuat dari attestasi yang dikeluarkan — yang merupakan perpecahan utama dengan model terpusat saat ini.

Arsitektur ini disebut sebagai unlinkability (non-keterhubungan): dua transaksi terpisah yang dilakukan oleh pengguna yang sama tidak dapat terhubung tanpa persetujuannya. Jaminan ini melampaui persyaratan minimal GDPR sambil mengartikulasikan dengan sempurna.

Dimensi geopolitik: merebut kembali kontrol atas identitas online

eIDAS 2 juga merespons isu kedaulatan. Hari ini, autentikasi online sangat bergantung pada tombol "Masuk dengan Google/Facebook/Apple", yang memberi raksasa teknologi Amerika posisi dominan dalam mengelola identitas digital Eropa. Dengan memaksakan platform yang sangat besar (dalam arti Digital Services Act) untuk menerima EUDI Wallet sebagai sarana autentikasi, eIDAS 2 menciptakan alternatif yang dapat bekerja sama dan berdaulat.

Bagi perusahaan B2B, ini juga berarti bahwa kepatuhan eIDAS 2 dapat menjadi kriteria pemilihan penyedia dalam tender publik dan swasta — mirip dengan apa yang diwakili oleh sertifikasi ISO 27001 saat ini dalam proses pembelian. Jika organisasi Anda mempertimbangkan untuk mengembangkan solusi saat ini, panduan migrasi kami dari DocuSign atau YouSign ke Certyneo merinci langkah-langkah transisi yang terkontrol.

Kerangka hukum yang berlaku untuk eIDAS 2 dan tanda tangan elektronik

Teks referensi

Peraturan (UE) 2024/1183 Parlemen Eropa dan Dewan tanggal 11 April 2024, mengubah Peraturan (UE) No. 910/2014 mengenai pembentukan kerangka Eropa yang berkaitan dengan identitas digital (eIDAS 2). Dipublikasikan di OJEU pada 30 April 2024, berlaku pada 20 Mei 2024.

Peraturan (UE) No. 910/2014 (eIDAS 1): tetap berlaku untuk ketentuannya yang tidak diubah, khususnya pasal-pasal yang berkaitan dengan tingkat jaminan "rendah", "substansial", dan "tinggi" untuk skema identifikasi yang diberitahukan.

Kode Sipil Prancis, Pasal 1366 dan 1367 : dokumen elektronik memiliki kekuatan bukti yang sama dengan dokumen kertas dengan syarat bahwa orang dari siapa dokumen itu berasal harus diidentifikasi dengan benar dan bahwa dokumen dibuat dalam kondisi yang menjamin integritasnya. Tanda tangan elektronik berkualitas (QES) menurut eIDAS 2 memenuhi persyaratan ini sepenuhnya.

Peraturan (UE) 2016/679 (GDPR) : pemrosesan data identitas dalam konteks dompet EUDI tunduk pada prinsip minimalisasi (pasal 5§1c), pembatasan tujuan (pasal 5§1b), dan perlindungan data sejak desain (pasal 25). Penyedia berkualitas memainkan peran tanggung jawab pemrosesan yang terpisah untuk operasi verifikasi.

Arahan (UE) 2022/2555 (NIS2) : ditransposisikan ke hukum Prancis melalui ordonansi No. 2024-528 tanggal 12 Juni 2024, mengumpulkan kewajiban pada penyedia layanan kepercayaan berkualitas untuk manajemen risiko siber dan pemberitahuan insiden dalam 24 jam.

Standar ETSI :

• EN 319 132 (XAdES) dan EN 319 122 (CAdES): format tanda tangan elektronik lanjutan.
• EN 319 401: persyaratan umum untuk penyedia layanan kepercayaan.
• EN 319 411-1 dan 411-2: kebijakan dan persyaratan keamanan untuk CA yang mengeluarkan sertifikat berkualitas.
• EN 319 521: persyaratan untuk layanan berkualitas pelestarian tanda tangan (QESAP).

Kewajiban dan risiko hukum bagi perusahaan

Setiap perusahaan yang menggunakan tanda tangan elektronik dalam konteks kontraktual harus memastikan bahwa tingkat tanda tangan yang dipilih cocok untuk nilai dan sifat tindakan. Untuk tindakan yang tunduk pada persyaratan hukum tanda tangan (janji penjualan, kontrak kerja, pesanan pembelian melebihi ambang tertentu), hanya QES atau AdES berdasarkan sertifikat berkualitas yang memberikan asumsi keandalan yang dimaksud dalam pasal 26 eIDAS 2.

Dalam kasus sengketa, beban pembuktian berbalik: jika tanda tangannya berkualitas, pihak yang mempertanyakan dokumen harus membuktikan penyalahgunaannya; jika itu sederhana atau maju tanpa sertifikat berkualitas, beban pembuktian terletak pada penandatangan yang memanggilnya. Ketidakpatuhan terhadap persyaratan pelacakan dan integritas dapat menyebabkan pembatalan tindakan atau ketidakberlakuan tanda tangan terhadap pihak ketiga.

Skenario penggunaan: eIDAS 2 diterapkan pada perusahaan B2B

Skenario 1 — Kantor konsultasi transformasi digital (sekitar 80 konsultan)

Sebuah struktur konsultasi yang menerapkan kolaboratornya ke klien di beberapa negara anggota (Prancis, Jerman, Belanda) harus menandatangani setiap bulan pesanan misi, amandemen kontrak, dan catatan penerimaan. Sebelum eIDAS 2, pengelolaan identitas lintas batas menghasilkan gesekan: penolakan klien Jerman tertentu untuk mengakui sertifikat yang dikeluarkan oleh QTSP Prancis, autentikasi ganda melalui email tidak cukup untuk tindakan sensitif.

Dengan penerapan Dompet EUDI pada 2026, konsultan dapat menandatangani dari dompet nasional mereka — diakui sepenuhnya di semua negara anggota — tanpa gesekan apa pun. Kantor memperkirakan pengurangan 60 hingga 70% waktu yang dihabiskan untuk pertukaran verifikasi dokumenter sebelum tanda tangan, yaitu sekitar 3 hingga 4 jam yang dihemat per konsultan dan per bulan menurut benchmark sektor yang diterbitkan oleh McKinsey Digital (2024).

Skenario 2 — UKM industri mengelola 350 kontrak pemasok per tahun

UKM di sektor peralatan industri, bekerja dengan seratus pemasok Eropa dan Asia, harus membuat kontrak pesanan, perjanjian kerahasiaan (NDA), dan kontrak-kontrak kerangka kerja. Sampai saat ini, 30% dari dokumen ini kembali tanpa tanda tangan yang sah atau dengan penundaan lebih dari 10 hari kerja.

Dengan mengadopsi solusi tanda tangan elektronik yang sesuai dengan eIDAS 2 dengan verifikasi identitas melalui atribut berkualitas (QEAA), UKM dapat menerapkan alur tanda tangan di mana identitas perwakilan hukum pemasok diverifikasi secara otomatis melalui dompet EUDI, tanpa input manual. Hasil yang diharapkan: mengurangi waktu tanda tangan rata-rata dari 10 hari menjadi kurang dari 48 jam, dan penurunan 40% dalam sengketa yang berkaitan dengan tanda tangan yang tidak sesuai, berdasarkan rentang yang diamati dalam laporan ELENIUS 2025 tentang dematering B2B.

Skenario 3 — Pengelompokan real estat yang mengelola kompromi penjualan di beberapa negara

Jaringan agen properti yang beroperasi di Prancis, Spanyol, dan Portugal harus secara teratur menandatangani pra-kontrak antara penjual dan pembeli dengan kebangsaan yang berbeda. QES diperlukan dalam konteks tertentu untuk menjamin kesetaraan dengan tanda tangan tulisan tangan di depan notaris.

Berkat eIDAS 2 dan interoperabilitas dompet EUDI, pembeli Portugis dapat menandatangani kompromi yang tunduk pada hukum Prancis menggunakan dompet nasionalnya, dengan tingkat jaminan "tinggi" yang diakui secara otomatis oleh platform tanda tangan. Pengelompokan mengurangi biaya perjalanan dan legalisasi sekitar 800 hingga 1.200 euro per file lintas batas, sambil mengurangi periode penutupan pra-kontrak dari 3 minggu menjadi rata-rata 5 hari. Untuk penggunaan spesifik sektor, halaman kami yang didedikasikan untuk tanda tangan elektronik di real estate merinci alur kerja yang disesuaikan.

Kesimpulan

eIDAS 2 bukan hanya pembaruan regulasi sederhana: ini adalah pembaruan mendalam tentang cara kerja identitas digital dan kepercayaan elektronik di Eropa. Dompet EUDI Wallet, layanan berkualitas baru, kewajiban interoperabilitas, dan penyelarasan dengan NIS2 dan GDPR membentuk ekosistem yang koheren yang akan mengubah proses kontraktual dan autentikasi perusahaan hingga akhir 2026.

Untuk tetap patuh dan kompetitif, organisasi B2B harus bertindak sekarang juga: audit rantai kepercayaan mereka, pilih penyedia yang selaras dengan persyaratan baru, dan persiapkan alur dokumen mereka untuk integrasi dompet digital Eropa.

Certyneo membimbing Anda melalui transisi ini dengan solusi tanda tangan elektronik berkualitas yang sesuai dengan eIDAS 2, siap untuk 2026. Minta demonstrasi atau buat akun Anda di Certyneo untuk mengamankan kontrak Anda mulai hari ini.