eIDAS 2 Portefeuille Identitas Digital Eropa : Panduan 2026

Berlakunya Peraturan eIDAS 2 menandai titik balik yang bersejarah untuk pengelolaan identitas digital di Eropa. Dengan EUDI Wallet — European Digital Identity Wallet — setiap warga negara dan setiap perusahaan segera memiliki dompet digital yang berdaulat, dapat saling beroperasi, dan diakui di 27 negara anggota. Bagi departemen hukum, SDM, kepatuhan, dan DSI, proyek peraturan ini membuka peluang sekaligus tantangan operasional. Artikel ini menguraikan cara kerja teknis dan hukum EUDI Wallet, implikasi konkret bagi perusahaan, dan bagaimana hal itu terartikulasi dengan solusi tanda tangan elektronik berkualitas yang sudah ada.

Apa itu eIDAS 2 dan EUDI Wallet?

Dari Peraturan eIDAS 1.0 ke Peraturan eIDAS 2.0: evolusi struktural

Diadopsi pada tahun 2014, Peraturan eIDAS No. 910/2014 meletakkan dasar-dasar kepercayaan digital di Eropa: tanda tangan elektronik berkualitas, segel, stempel waktu, dan layanan autentikasi. Namun satu dekade kemudian, keterbatasannya menjadi jelas: interoperabilitas yang tidak mencukupi antar negara anggota, adopsi identitas digital nasional yang tidak merata, ketiadaan dompet terpadu. Peraturan (UE) 2024/1183, yang disebut eIDAS 2, diadopsi secara resmi pada 11 April 2024 di Jurnal Resmi UE, mengoreksi kekurangan ini dengan mengenakan kerangka kerja umum untuk identitas digital yang berdaulat.

Untuk mempelajari keseluruhan kerangka peraturan baru, konsultasikan panduan lengkap kami tentang Peraturan eIDAS 2.0.

EUDI Wallet: arsitektur dan prinsip pendiri

EUDI Wallet (European Digital Identity Wallet) adalah aplikasi seluler dan/atau perangkat lunak yang harus disediakan oleh setiap negara anggota kepada warga negara dan penduduknya paling lambat pada tahun 2026, sesuai dengan pasal 5a peraturan yang direvisi. Secara praktis, dompet digital ini memungkinkan untuk:

• Menyimpan dan menyajikan atribut identitas yang diverifikasi: kartu identitas, SIM, diploma, akreditasi profesional, nomor VAT intra-komunitas untuk badan hukum.
• Mengautentikasi pengguna terhadap layanan publik dan swasta pada tingkat jaminan yang tinggi (LoA High sesuai Lampiran I peraturan).
• Menandatangani secara elektronik dokumen dengan tingkat berkualitas, mengandalkan Qualified Electronic Signature Creation Devices (QSCD) yang tersertifikasi.
• Berbagi data secara selektif (prinsip selective disclosure) tanpa mengungkapkan informasi lebih dari yang diperlukan — kontribusi utama untuk kepatuhan GDPR.

Arsitektur didasarkan pada spesifikasi teknis yang diterbitkan oleh Komisi Eropa melalui Architecture and Reference Framework (ARF), dikelola oleh konsorsium EUDIW (European Digital Identity Wallet). Format presentasi yang diadopsi mencakup terutama ISO/IEC 18013-5 (mDL — mobile Driver's Licence) dan SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), dua standar terbuka yang menjamin portabilitas.

Siapa yang terlibat? Perusahaan pihak yang mengandalkan (Relying Parties)

Peraturan eIDAS 2 memperkenalkan konsep Relying Party (pihak yang menggunakan). Setiap organisasi — perusahaan swasta, administrasi, platform online — yang menerima atribut identitas dari EUDI Wallet harus mendaftar dengan negara anggotanya dan mematuhi serangkaian kewajiban teknis dan keamanan. Pasal 5b peraturan menjelaskan bahwa platform besar (dalam arti DSA) dan sektor-sektor tertentu (perbankan, kesehatan, energi) akan diwajibkan menerima EUDI Wallet sejak peluncuran produksi nasional.

Cara Kerja Teknis EUDI Wallet untuk Perusahaan

Alur autentikasi dan tanda tangan langkah demi langkah

Memahami alur teknis sangat penting untuk mengantisipasi integrasi dalam sistem informasi. Skenario tipikal penandatanganan kontrak melalui EUDI Wallet berlangsung sebagai berikut:

1. Inisialisasi: Relying Party (mis. platform SaaS Anda) menghasilkan permintaan presentasi yang sesuai dengan protokol OpenID4VP (OpenID for Verifiable Presentations).
2. Notifikasi: pengguna menerima notifikasi di dompet EUDI Wallet seluler mereka.
3. Persetujuan dan pemilihan: pengguna memilih atribut yang akan dibagikan (nama, nama belakang, tanggal lahir) melalui antarmuka selective disclosure.
4. Presentasi yang dapat diverifikasi: dompet menghasilkan bukti kriptografis yang ditandatangani oleh Trusted Issuer (negara anggota atau penyedia terakreditasi).
5. Verifikasi: Relying Party memverifikasi bukti melalui registri kepercayaan Eropa (Trust Framework), tanpa menyimpan data yang tidak perlu.
6. Tanda tangan berkualitas: jika tindakan penandatanganan diperlukan, QSCD yang tertanam dalam dompet atau dihosting di cloud (QSign) menghasilkan tanda tangan berkualitas sesuai dengan ETSI EN 319 132.

Alur ini menjamin tingkat jaminan LoA High, yang tertinggi yang disediakan oleh peraturan, setara dengan verifikasi tatap muka.

Integrasi dengan platform tanda tangan elektronik yang ada

Editor solusi tanda tangan elektronik harus mengintegrasikan protokol OpenID4VCI (penerbitan) dan OpenID4VP (presentasi) untuk terhubung ke ekosistem EUDI. Bagi perusahaan yang sudah menggunakan platform yang sesuai eIDAS 1.0, transisi ke eIDAS 2 melibatkan peningkatan teknis, tetapi mempertahankan nilai hukum tanda tangan yang telah dilakukan. Oleh karena itu, penting untuk mengevaluasi roadmap penyedia Anda saat ini, terutama jika Anda mempertimbangkan untuk bermigrasi dari DocuSign atau YouSign ke solusi yang lebih sesuai.

Identitas digital untuk badan hukum: tantangan perusahaan

EIDAS 2 tidak terbatas pada orang fisik. Pasal 5a §3 secara eksplisit menyediakan untuk dompet untuk badan hukum, memungkinkan perusahaan untuk:

• Membuktikan keberadaan hukum mereka (setara dengan ekstrak Kbis digital yang dapat diverifikasi).
• Mendelegasikan wewenang penandatanganan kepada karyawan mereka dengan cara yang diaudit dan dapat dicabut.
• Mengotomatisasi verifikasi KYB (Know Your Business) dalam proses kontrak B2B.

Dimensi ini sangat mengubah proses tanda tangan elektronik di perusahaan, terutama di sektor SDM, hukum, dan keuangan.

Jadwal Penerapan dan Kewajiban Peraturan 2024-2026

Fase implementasi menurut peraturan

Peraturan (UE) 2024/1183 menetapkan jadwal yang mengikat:

• April 2024: publikasi di Jurnal Resmi, berlaku 20 hari kemudian.
• Akhir 2024: publikasi akta pelaksanaan (Implementing Acts) yang menentukan spesifikasi teknis yang mengikat.
• 2025: penerapan dompet pilot nasional (proyek large-scale pilots: EU Digital Identity Wallet Large Scale Pilots, didanai sebesar 46 juta euro oleh Komisi).
• Akhir 2026: penyediaan wajib oleh semua negara anggota setidaknya satu EUDI Wallet operasional. Platform besar dan sektor yang diatur harus menerimanya.

Untuk perusahaan Prancis, penerapannya mengandalkan identitas digital La Poste dan pekerjaan ANSSI mengenai sertifikasi Trusted Issuers nasional.

Kewajiban untuk Relying Parties

Perusahaan yang ingin atau harus menerima EUDI Wallet tunduk pada beberapa kewajiban:

1. Pendaftaran dengan otoritas nasional yang kompeten (di Prancis, ANSSI dan CNIL sesuai kasus).
2. Kepatuhan teknis terhadap spesifikasi ARF v2.x yang diterbitkan di GitHub oleh Komisi Eropa.
3. Transparansi: publikasikan di registri publik atribut yang diminta dan tujuan pemrosesan.
4. Meminimalkan data: hanya minta atribut yang benar-benar diperlukan — kewajiban yang diperkuat oleh GDPR.
5. Pencatatan: simpan log presentasi yang dapat diverifikasi untuk audit, tanpa menyimpan data identitas mentah.

Perusahaan yang mengintegrasikan EUDI Wallet dalam alur tanda tangan elektronik untuk kantor hukum atau untuk manajemen SDM akan mendapatkan keuntungan kompetitif yang signifikan mulai tahun 2026.

Isu-Isu Strategis dan Peluang bagi Perusahaan

Pengurangan hambatan dalam proses KYC/KYB

Salah satu manfaat paling langsung dari EUDI Wallet adalah penghapusan verifikasi identitas manual. Saat ini, onboarding klien baru atau mitra melibatkan pengiriman justifikasi, verifikasi manual oleh personel, dan waktu pemrosesan. Dengan EUDI Wallet, verifikasi menjadi instan, tersertifikasi secara kriptografis, dan diaudit. Sektor perbankan, real estat, dan asuransi — tunduk pada kewajiban AML/CFT — melihat ini sebagai peluang besar untuk kepatuhan otomatis. Sektor tanda tangan elektronik dalam real estat sangat terpengaruh, dengan proses verifikasi identitas yang saat ini mewakili hingga 40% waktu administratif.

Kedaulatan digital dan pengurangan ketergantungan pada GAFAM

EUDI Wallet merespons ambisi politik yang kuat: mengurangi ketergantungan Eropa pada sistem identitas yang dioperasikan oleh aktor non-Eropa (Google, Apple, Meta). Bagi perusahaan, ini diterjemahkan menjadi infrastruktur autentikasi yang dapat saling beroperasi, terbuka, dan tidak terkunci, berdasarkan standar ISO dan W3C daripada SDK proprieter. Kedaulatan ini juga merupakan argumen penjualan diferensiasi dalam penawaran publik, semakin sensitif terhadap klausa lokalisasi data.

Dampak pada tanda tangan elektronik berkualitas dan QTSP

Penyedia Layanan Kepercayaan Terkualifikasi (QTSP — Qualified Trust Service Providers) melihat peran mereka berkembang. Dengan EUDI Wallet, QSCD dapat dihosting langsung di dompet atau didelegasikan ke QTSP cloud (Remote Qualified Signature). Bagi perusahaan, ini berarti tanda tangan berkualitas — hingga sekarang terbatas pada kasus paling kritis karena kompleksitasnya — menjadi dapat diakses dan skalabel. Perbandingan solusi tanda tangan elektronik kami sekarang mengintegrasikan kriteria kompatibilitas EUDI Wallet ini ke dalam analisisnya.

Kerangka Hukum yang Berlaku untuk EUDI Wallet dan Perusahaan

Peraturan eIDAS 2: (UE) 2024/1183

Teks dasar adalah Peraturan (UE) 2024/1183 Parlemen Eropa dan Dewan tanggal 11 April 2024, yang memodifikasi Peraturan eIDAS No. 910/2014. Ini langsung berlaku di semua negara anggota tanpa transposisi legislatif nasional, yang menjamin keseragaman hukum Eropa. Pasal 5a hingga 5c menentukan kewajiban terkait EUDI Wallet, tingkat jaminan, dan hak pengguna. Pasal 46f memperkenalkan kewajiban khusus untuk Relying Parties di sektor yang diatur.

Kode Sipil Prancis: pasal 1366 dan 1367

Dalam hukum Prancis, tanda tangan elektronik berkualitas yang dihasilkan melalui EUDI Wallet mendapat manfaat dari praduga keandalan yang disediakan oleh pasal 1367 Kode Sipil: "Tanda tangan elektronik terdiri dari penggunaan proses identifikasi yang andal menjamin hubungannya dengan tindakan yang melekat padanya." Keandalan diasumsikan ketika tanda tangan berkualitas dalam arti eIDAS. Pasal 1366 menyamakan tulisan elektronik dengan tulisan kertas dengan syarat penulisnya diidentifikasi dan integritasnya dijamin — dua syarat yang secara asli dipenuhi oleh EUDI Wallet.

GDPR No. 2016/679: artikulasi dengan meminimalkan data

Peraturan (UE) 2016/679 (GDPR) sepenuhnya berlaku pada Relying Parties yang memproses atribut identitas dari EUDI Wallet. Prinsip meminimalkan data (pasal 5 §1c), pembatasan tujuan (pasal 5 §1b), dan privacy by design (pasal 25) harus diintegrasikan dari awal desain integrasi teknis. Selective disclosure native EUDI Wallet memfasilitasi kepatuhan secara teknis, tetapi perusahaan tetap bertanggung jawab (pasal 24) untuk mendokumentasikan dasar hukum pemrosesannya.

Standar ETSI dan standar teknis

Tanda tangan berkualitas yang dihasilkan melalui EUDI Wallet harus memenuhi standar ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES), dan ETSI EN 319 162 (PAdES) untuk format tanda tangan elektronik lanjutan dan berkualitas. Kebijakan sertifikasi didefinisikan dalam ETSI EN 319 401 (Persyaratan Kebijakan Umum untuk Penyedia Layanan Kepercayaan). Akta pelaksanaan Komisi menentukan persyaratan sertifikasi untuk Trusted Issuers (standar ISO/IEC 27001 dan kriteria umum EAL 4+).

Arahan NIS2: (UE) 2022/2555

Operator infrastruktur EUDI Wallet (negara anggota, Trusted Issuers, QTSP) tunduk pada kewajiban arahan NIS2 (UE) 2022/2555, ditranposisikan di Prancis oleh undang-undang No. 2023-703. Bagi perusahaan pengguna, NIS2 memaksakan kewajiban manajemen risiko terkait penyedia pihak ketiga (pasal 21 §2d), yang mencakup penyedia solusi yang mengintegrasikan EUDI Wallet. Analisis dampak risiko rantai pasokan digital oleh karena itu disarankan sebelum penerapan apa pun.

Skenario Penggunaan EUDI Wallet di Perusahaan

Skenario 1: Kantor Hukum — verifikasi identitas dan penandatanganan mandat

Kantor hukum bisnis dengan sekitar dua puluh rekan kerja menangani beberapa ratus mandat, surat penugasan, dan kuasa setiap bulan. Saat ini, verifikasi identitas klien memerlukan pengiriman justifikasi melalui email, verifikasi manual oleh asisten hukum, dan penundaan rata-rata 48 jam. Dengan integrasi EUDI Wallet sebagai mekanisme autentikasi, klien menyajikan kartu identitas digital mereka dari dompet mereka dalam waktu kurang dari 90 detik. Tanda tangan berkualitas dihasilkan dalam pengikutannya, tanpa gesekan tambahan. Berdasarkan umpan balik dari pilot berskala besar yang dilakukan antara 2023 dan 2025, jenis alur ini mengurangi waktu pemrosesan onboarding klien sebesar 60 hingga 75% dan menghilangkan risiko kesalahan entri atau dokumen yang kadaluarsa. Kantor juga mendapatkan kepatuhan AML/CFT yang lebih baik, dengan atribut identitas yang disertifikasi secara kriptografis oleh negara anggota.

Skenario 2: UKM industri — manajemen kontrak pemasok dan delegasi tanda tangan

UKM industri dengan sekitar seratus karyawan mengelola sekitar 300 kontrak pemasok per tahun, melibatkan manajer pembelian yang tersebar di tiga lokasi. Manajemen delegasi tanda tangan saat ini didokumentasikan di atas kertas dan sulit diaudit. Dengan EUDI Wallet perusahaan (badan hukum), manajemen dapat menugaskan atribut delegasi yang dapat diverifikasi kepada setiap manajer pembelian: plafon keterlibatan, ruang lingkup geografis, durasi validitas. Atribut ini disimpan di dompet karyawan dan disajikan secara otomatis selama setiap tindakan penandatanganan. Dalam hal keberangkatan atau perubahan posisi, pencabutan bersifat instan dan diaudit. Mekanisme ini mengurangi risiko sengketa kontrak terkait tanda tangan yang tidak berwenang dan meningkatkan ketertelusuran untuk audit internal. Departemen keuangan umumnya mengamati pengurangan 30 hingga 40% dalam waktu yang dihabiskan untuk manajemen dan verifikasi wewenang tanda tangan.

Skenario 3: Kelompok rumah sakit — persetujuan pasien dan akses ke data kesehatan

Kelompok rumah sakit yang mengelompokkan beberapa lembaga dan sekitar 1.500 agen kesehatan menghadapi tantangan persetujuan pasien yang semakin kompleks, terutama untuk akses ke catatan medis bersama melalui Mon Espace Santé. Integrasi EUDI Wallet sebagai mekanisme persetujuan yang terinformasi memungkinkan pasien untuk memvalidasi, dari smartphone mereka, akses ke data mereka oleh spesialis medis, menentukan durasi dan ruang lingkup akses. Selective disclosure memastikan bahwa hanya atribut medis yang relevan yang dibagikan. Bagi agen kesehatan, dompet menyediakan nomor RPPS mereka (Répertoire Partagé des Professionnels de Santé) sebagai atribut yang dapat diverifikasi, menghilangkan proses verifikasi manual saat ini. Jenis penerapan ini, selaras dengan kerangka Ruang Data Kesehatan Eropa (EHDS), dapat mengurangi penundaan akses ke data kesehatan yang diizinkan dari beberapa jam menjadi beberapa detik. Untuk mempelajari lebih lanjut tentang tantangan khusus sektor, panduan kami tentang tanda tangan elektronik dalam kesehatan merinci kendala peraturan yang berlaku.

Kesimpulan

EUDI Wallet dan Peraturan eIDAS 2 merupakan transformasi paling signifikan dari identitas digital Eropa dalam satu dekade terakhir. Bagi perusahaan, perjuangan bukanlah sekadar mematuhi peraturan baru, tetapi memanfaatkan peluang untuk memodernisasi secara mendalam proses penandatanganan, onboarding, dan manajemen delegasi mereka. Sektor hukum, SDM, kesehatan, dan industri berada di garis depan. Kunci kesuksesan terletak pada antisipasi: evaluasi kesesuaian alat Anda saat ini sekarang, latih tim Anda, dan pilih mitra yang roadmap-nya selaras dengan eIDAS 2.

Certyneo mendampingi perusahaan dalam transisi ini dengan platform tanda tangan elektronik yang dirancang untuk kompatibel EUDI Wallet sejak penerapannya. Temukan penawaran kami dan mulai secara gratis untuk mengantisipasi 2026 dengan tenang.