eIDAS 2 vs eIDAS 1: perubahan kunci untuk UKM

Pengenalan: mengapa eIDAS 2 mengubah permainan untuk UKM

Sejak 20 Mei 2024, peraturan (UE) 2024/1183 — yang biasa disebut eIDAS 2 — telah mulai berlaku, mencabut dan menggantikan secara bertahap peraturan (UE) n° 910/2014 (eIDAS 1). Bagi UKM Prancis, perubahan ini bukan hanya pembaruan administratif sederhana: ia mendefinisikan ulang tingkat kepercayaan digital, memperkenalkan dompet identitas Eropa (EUDIW), memperkuat persyaratan yang berlaku untuk penyedia layanan kepercayaan dan memperluas cakupan layanan yang diakui. Artikel ini membandingkan poin demi poin eIDAS 1 dan eIDAS 2, mengidentifikasi dampak operasional konkret untuk usaha kecil dan menengah, dan memberikan rencana tindakan untuk tetap mematuhi dalam 2026.

---

1. Pengingat: apa yang ditentukan eIDAS 1 (2014-2024)

1.1 Fondasi peraturan awal

Diadopsi pada Juli 2014 dan berlaku sejak September 2016, eIDAS 1 menetapkan batu loncatan pertama ruang kepercayaan digital Eropa. Ia memperkenalkan tiga kategori besar tanda tangan elektronik — sederhana (SES), canggih (AdES) dan berkualitas (QES) — dan menciptakan daftar kepercayaan penyedia berkualitas (Trusted List), yang dapat dikonsultasikan di portal Komisi Eropa.

Bagi UKM, kontribusi utama eIDAS 1 adalah pengakuan lintas batas tanda tangan berkualitas: kontrak yang ditandatangani dengan QES Prancis diakui secara hukum di Jerman, Spanyol atau Italia tanpa apostille atau formalitas tambahan. Prinsip ini — yang disebut "non-diskriminasi" — tetap menjadi fondasi di mana penawaran SaaS seperti Certyneo membangun layanan mereka.

1.2 Keterbatasan yang diidentifikasi

Meskipun kemajuannya, eIDAS 1 menderita beberapa kekurangan yang didokumentasikan oleh Komisi Eropa dalam laporan evaluasinya tahun 2021:

• Fragmentasi skema identitas: hanya Negara-negara anggota yang telah memberi tahu skema nasional mereka (seperti FranceConnect+ tingkat substansial) yang mendapat manfaat dari pengakuan timbal balik. Pada 2023, hanya 14 dari 27 negara yang telah memberi tahu skema yang sesuai.
• Tidak ada dukungan seluler asli: perangkat berkualitas untuk pembuatan tanda tangan (QSCD) sering kali memerlukan kartu pintar atau token material, yang menghambat adopsi seluler.
• Layanan kepercayaan terbatas: eIDAS 1 mencantumkan sembilan jenis layanan berkualitas; penggunaan baru (pengarsipan elektronik berkualitas, manajemen atribut) tidak diatur.
• Tidak ada dompet identitas terpadu: setiap warga negara atau perusahaan mengelola pengidentifikasi mereka secara terpisah, tanpa jaminan interoperabilitas.

Keterbatasan ini mendorong Komisi untuk meluncurkan revisi sejak 2020, menghasilkan peraturan eIDAS 2 setelah tiga tahun trilogue.

---

2. Lima inovasi besar eIDAS 2 untuk UKM

2.1 Dompet identitas digital Eropa (EU Digital Identity Wallet — EUDIW)

Ini adalah inovasi paling terlihat dari peraturan. Pada bulan November 2026 (batas waktu transposisi yang ditentukan oleh pasal 5a), setiap Negara anggota harus menawarkan setidaknya satu dompet identitas digital bersertifikat kepada warganya dan penduduk. Bagi UKM, evolusi ini memiliki dua konsekuensi langsung:

1. Autentikasi pelanggan dan mitra disederhanakan: dompet akan memungkinkan berbagi atribut yang terverifikasi (usia, nomor TVA intrablok, ekstrak Kbis, data perbankan bersertifikat) tanpa hambatan. Perjanjian kerangka kerja dengan mitra Jerman dapat ditandatangani setelah verifikasi instan atribut profesionalnya dari EUDIW-nya.
2. Kewajiban penerimaan untuk sektor tertentu: layanan online platform besar (pasal 45bis) dan beberapa layanan publik harus menerima EUDIW sebagai sarana autentikasi. UKM yang menyediakan portal B2B harus menyesuaikan API autentikasi mereka.

2.2 Perluasan daftar layanan kepercayaan berkualitas

eIDAS 2 memperluas katalog layanan kepercayaan berkualitas dari 9 menjadi 14 kategori. Entri baru yang langsung menyangkut UKM adalah:

• Pengarsipan elektronik berkualitas (art. 45septies): konservasi jangka panjang dengan nilai bukti yang diperkuat. Sebelumnya, pengarsipan dengan nilai bukti bergantung pada kerangka kerja nasional (di Prancis, kerangka kerja SIAF/ANSSI); eIDAS 2 menharmoniskan kerangka kerja Eropa.
• Pengelolaan jarak jauh perangkat berkualitas untuk pembuatan tanda tangan (RQSCD): sekarang secara eksplisit diatur, ia mengangkat ambiguitas yang membebani solusi cloud tanda tangan berkualitas. Bagi UKM dengan 50 karyawan, ini berarti akses ke tanda tangan berkualitas tanpa token fisik, dari perangkat mana pun.
• Layanan registri elektronik berkualitas: registri berdasarkan blockchain atau teknologi buku besar terdistribusi kini dapat memperoleh status berkualitas, membuka jalan bagi model manajemen kontrak baru.

Untuk informasi lebih lanjut tentang tingkat tanda tangan dan nilai hukum mereka, lihat panduan lengkap tanda tangan elektronik.

2.3 Penguatan persyaratan keamanan untuk penyedia berkualitas (QTSP)

eIDAS 2 memperketat kewajiban penyedia layanan kepercayaan berkualitas (QTSP). Pasal 24 yang direvisi khususnya mengamanatkan:

• Sertifikasi keamanan siber yang sesuai dengan kerangka kerja Eropa (EU Cybersecurity Act, peraturan 2019/881), dengan skema sektoral sedang dikembangkan oleh ENISA.
• Persyaratan yang diperkuat dalam hal ketahanan operasional: QTSP sekarang harus mendokumentasikan rencana kelangsungan bisnis mereka dan menyerahkannya ke organisme pengawasan nasional mereka (di Prancis, ANSSI untuk penyedia berkualitas).
• Kewajiban notifikasi insiden keamanan dalam 24 jam (penyelarasan dengan NIS 2).

Bagi UKM pengguna, ini diterjemahkan menjadi kewajiban kehati-hatian yang ditingkatkan dalam memilih penyedia: memverifikasi bahwa solusi tanda tangan Anda benar-benar ada di Trusted List Eropa yang diperbarui adalah sekarang langkah penting dalam proses pembelian Anda. Perbandingan solusi tanda tangan elektronik kami dapat membantu Anda dalam analisis ini.

2.4 Interoperabilitas wajib skema identitas

Di mana eIDAS 1 memberi Negara-negara anggota kebebasan untuk memberi tahu (atau tidak), eIDAS 2 membuat notifikasi dan interoperabilitas wajib untuk skema identitas yang digunakan dalam layanan publik online (art. 5). France Identité — skema nasional yang didukung oleh kementerian interior — sedang dalam proses penyesuaian dengan spesifikasi teknis EUDIW, dipublikasikan oleh Komisi dalam peraturan pelaksanaan (UE) 2024/2977.

Bagi UKM yang berinteraksi secara teratur dengan administrasi publik (kontrak publik, pernyataan pajak telematik, prosedur bea cukai), evolusi ini berarti prosedur online akan secara bertahap disatukan di sekitar pengidentifikasi digital unik yang diakui di seluruh UE.

2.5 Aturan tanggung jawab dan pengawasan baru

eIDAS 2 mengklarifikasi dan memperluas rezim tanggung jawab penyedia (art. 13 direvisi). Sebuah QTSP sekarang dianggap bertanggung jawab atas setiap kerugian yang disebabkan kepada orang fisik atau hukum oleh pelanggaran kewajiban mereka, kecuali untuk membuktikan tidak adanya kesalahan. Prasumsi tanggung jawab ini, diperkuat dibandingkan dengan eIDAS 1, harus mendorong UKM untuk:

• Memformalkan oleh kontrak komitmen penyedia mereka (SLA, jaminan ketersediaan, ganti rugi).
• Memverifikasi cakupan asuransi tanggung jawab sipil profesional QTSP.
• Menyimpan bukti audit transaksi yang ditandatangani (log stempel waktu, laporan verifikasi tanda tangan).

Tim kami telah menyusun panduan detail tentang tanda tangan elektronik di perusahaan yang mengatasi aspek kontrak ini.

---

3. Tabel perbandingan eIDAS 1 vs eIDAS 2: apa yang berubah secara konkret

3.1 Ringkasan evolusi utama

| Kriteria | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Dompet identitas | Tidak ada | EUDIW wajib (Negara-negara anggota) | | Layanan berkualitas | 9 kategori | 14 kategori (pengarsipan, RQSCD, registri…) | | Notifikasi skema | Opsional | Wajib untuk layanan publik | | Keamanan QTSP | Kriteria Common Criteria | Cybersecurity Act + skema ENISA | | Tanggung jawab QTSP | Parsial | Prasumsi tanggung jawab yang diperkuat | | Batas waktu notifikasi insiden | Tidak ditentukan | 24 jam (penyelarasan NIS 2) | | QSCD seluler | Ambiguitas hukum | RQSCD secara eksplisit diatur |

3.2 Tenggat waktu kunci yang harus diingat untuk 2026

• Mei 2024: peraturan (UE) 2024/1183 mulai berlaku.
• November 2026: batas waktu bagi setiap Negara anggota untuk menawarkan setidaknya satu solusi EUDIW bersertifikat.
• 2027: kewajiban bagi platform besar (art. 45bis) untuk menerima EUDIW sebagai sarana autentikasi.
• 2028: revisi yang direncanakan dari akta pelaksanaan teknis (peraturan delegasi tentang spesifikasi EUDIW).

Jika UKM Anda merencanakan untuk bermigrasi ke solusi yang lebih sesuai, penawaran migrasi ke Certyneo kami mencakup audit kepatuhan eIDAS 2 gratis.

---

4. Rencana tindakan praktis untuk membuat UKM Anda sesuai dengan eIDAS 2

4.1 Audit alur dokumenter yang ada

Mulai dengan memetakan semua proses di mana Anda saat ini menggunakan tanda tangan elektronik atau identitas digital: kontrak pemasok, slip gaji tanpa kertas, mandat SEPA, perjanjian kerahasiaan, tindakan SDM. Untuk setiap alur, identifikasi:

• Tingkat tanda tangan yang digunakan (SES, AdES, QES).
• Penyedia saat ini dan statusnya di Trusted List.
• Tingkat risiko hukum dalam hal pengakuan.

Audit ini adalah titik awal yang direkomendasikan oleh ANSSI dalam panduan kepatuhan yang diterbitkan pada Maret 2025.

4.2 Tingkatkan solusi tanda tangan Anda

Jika penyedia saat ini Anda tidak ada di Trusted List eIDAS 2 atau belum menawarkan RQSCD, saatnya membandingkan penawaran pasar. Certyneo adalah QTSP bersertifikat yang mendukung ketiga tingkat tanda tangan (SES, AdES, QES) dan secara native mengintegrasikan persyaratan eIDAS 2 baru, khususnya pengarsipan berkualitas dan pengelolaan jarak jauh perangkat.

4.3 Latih tim Anda dan perbarui kontrak Anda

eIDAS 2 memperkuat nilai bukti tanda tangan berkualitas tetapi juga memaksakan praktik dokumenter terbaik. Pastikan tim hukum dan administratif Anda:

• Tahu membedakan tiga tingkat tanda tangan dan nilai hukum masing-masing.
• Mengintegrasikan dalam kontrak pemasok klausa audit kepatuhan eIDAS.
• Menyimpan bukti verifikasi tanda tangan (laporan validasi, stempel waktu berkualitas) selama durasi penyimpanan hukum yang berlaku (3 hingga 10 tahun sesuai sifat tindakan).

Untuk menstrukturkan pendekatan ini, kalkulator ROI tanda tangan elektronik kami memungkinkan Anda mengukur keuntungan operasional yang terkait dengan peningkatan.

Kerangka kerja hukum yang berlaku

Teks referensi

Kepatuhan eIDAS 2 untuk UKM Prancis dilakukan dalam tumpukan normatif yang penting untuk dikuasai.

Peraturan (UE) 2024/1183 Parlemen Eropa dan Dewan (disebut "eIDAS 2"): ini adalah teks dasar, dipublikasikan di JOUE pada 30 April 2024. Ia mencabut dan menggantikan peraturan (UE) n° 910/2014 menurut jadwal penerapan progresif hingga 2027. Ini memiliki penerapan langsung di semua Negara anggota, tanpa memerlukan transposisi legislatif nasional untuk disposisi utamanya.

Peraturan (UE) n° 910/2014 (eIDAS 1): beberapa disposisinya tetap berlaku selama periode transisi yang disediakan oleh eIDAS 2, khususnya untuk penyedia berkualitas yang memperoleh kualifikasi mereka sebelum Mei 2024 dan memiliki tenggat waktu untuk bersertifikat ulang.

Kode Sipil Prancis, pasal 1366 dan 1367: pasal 1366 menetapkan prinsip kesetaraan antara tulisan elektronik dan tulisan kertas, asalkan "orang yang kepadanya itu berasal dapat diidentifikasi dengan tepat dan itu dibuat dan dipertahankan dalam kondisi yang dirancang untuk menjamin integritasnya". Pasal 1367 mengakui tanda tangan elektronik sebagai cara bukti, merujuk pada kondisi yang ditetapkan oleh dekret dalam Dewan Negara (dekret n° 2017-1416 tanggal 28 September 2017, dikodifikasi dalam pasal R. 1369-1 hingga R. 1369-10 Kode Sipil).

Peraturan (UE) 2016/679 (GDPR): penerapan EUDIW dan pemrosesan atribut identitas dalam alur tanda tangan elektronik merupakan pemrosesan data pribadi dalam arti GDPR. UKM harus memastikan bahwa QTSP mereka bertindak sebagai pemroses dalam arti pasal 28 GDPR, dengan DPA (Data Processing Agreement) yang sesuai. CNIL menerbitkan pada Januari 2026 rekomendasi khusus tentang integrasi EUDIW-GDPR.

Direktif (UE) 2022/2555 (NIS 2): eIDAS 2 secara eksplisit sejalan dengan NIS 2 untuk kewajiban notifikasi insiden (art. 24, §2 eIDAS 2 merujuk pada disposisi NIS 2). QTSP dianggap sebagai entitas "penting" atau "signifikan" dalam arti NIS 2 menurut ukuran mereka, dan sebagai demikian tunduk pada audit keamanan reguler.

Standar ETSI: tanda tangan elektronik berkualitas harus mematuhi standar ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) dan ETSI EN 319 102-1 (prosedur validasi). Standar ETSI TS 119 461 mengatur verifikasi identitas jarak jauh (IDV), khususnya relevan untuk RQSCD.

Risiko hukum dalam hal ketidaksesuaian

Menggunakan solusi tanda tangan elektronik yang tidak sesuai dengan eIDAS 2 membuka UKM pada beberapa risiko:

• Tidak dapat diterima di pengadilan: hakim dapat mengesampingkan tanda tangan elektronik yang tingkatnya tidak sesuai dengan tindakan yang ditandatangani (misalnya: tanda tangan sederhana untuk tindakan yang memerlukan tingkat lanjutan atau berkualitas).
• Tanggung jawab kontrak: jika kontrak dipertanyakan oleh mitra berdasarkan keraguan tentang keabsahan tanda tangan, UKM dapat terpapar pada klaim ganti rugi.
• Sanksi GDPR: jika ada pelanggaran data yang terkait dengan cacat keamanan penyedia, UKM, sebagai tanggung jawab bersama atau pemroses, dapat dikenakan sanksi oleh CNIL hingga 4% dari pendapatan tahunan global (art. 83 §4 GDPR).

Skenario penggunaan konkret

Skenario 1: UKM industri dengan 80 karyawan mengelola 400 kontrak pemasok per tahun

UKM sektor metalurgi menangani sekitar 400 kontrak pemasok tahunan menggunakan hingga 2024 solusi tanda tangan elektronik sederhana (SES) untuk semua keterlibatannya, termasuk kontrak kerangka kerja di atas 50.000 €. Setelah audit kepatuhan eIDAS 2, ia menemukan bahwa 35% kontraknya memerlukan tanda tangan lanjutan atau berkualitas untuk menahan pengakuan hukum, terutama dengan pemasok yang ditetapkan di Negara-negara anggota UE lainnya.

Dengan bermigrasi ke solusi yang menggabungkan tanda tangan lanjutan (AdES) untuk kontrak rutin dan berkualitas (QES) untuk kontrak kerangka kerja, dan mengaktifkan pengarsipan elektronik berkualitas (layanan eIDAS 2 baru), UKM ini mengurangi 70% waktu yang dihabiskan untuk manajemen dokumenter pasca-tanda tangan (klasifikasi, pencarian, pengiriman salinan bersertifikat) dan mengurangi menjadi nol sengketa yang terkait dengan pengakuan tanda tangan selama 18 bulan berikutnya, dibandingkan dengan dua insiden 18 bulan sebelumnya.

Skenario 2: firma konsultasi hukum dengan 15 kolaborator

Firma khusus dalam hukum bisnis, mengeluarkan rata-rata 1.200 tindakan yang ditandatangani per tahun (surat penugasan, mandat, perjanjian kerahasiaan), menghadapi permintaan yang berkembang dari klien korporat mereka untuk tanda tangan berkualitas yang dapat dikenali di seluruh UE. Menurut eIDAS 1, memperoleh sertifikat berkualitas memerlukan prosedur tatap muka atau verifikasi video yang panjang (45 hingga 90 menit per pengguna).

Berkat RQSCD (Remote Qualified Signature Creation Device) yang diatur oleh eIDAS 2, firma dapat menerapkan tanda tangan berkualitas untuk semua kolaboratornya dalam waktu kurang dari dua minggu, melalui prosedur pendaftaran 100% jarak jauh yang sesuai dengan standar ETSI TS 119 461. Tingkat adopsi internal meningkat dari 40% menjadi 95% dalam tiga bulan, dan waktu rata-rata pengembalian tindakan yang ditandatangani berkurang dari 4,2 hari menjadi kurang dari 6 jam menurut pengukuran internal firma.

Skenario 3: UKM e-commerce beroperasi di tiga negara UE

Perusahaan penjualan online yang mempekerjakan 35 orang dan beroperasi di Prancis, Belgia dan Belanda harus mengelola tiga jenis perjanjian elektronik: kontrak kerja untuk karyawan lokal mereka, perjanjian kemitraan dengan pengangkut, dan mandat SEPA untuk klien profesional mereka. Fragmentasi persyaratan nasional menurut eIDAS 1 memaksanya mempertahankan tiga alur tanda tangan yang berbeda, dengan biaya manajemen diestimasi sekitar 12.000 € per tahun.

Adopsi solusi unik yang sesuai dengan eIDAS 2 — mengintegrasikan pengakuan timbal balik tanda tangan berkualitas di ketiga negara — memungkinkan penyatuan alur kerja, mengurangi biaya manajemen menjadi sekitar 4.500 € per tahun (penghematan 62%) dan menghilangkan penundaan yang terkait dengan validasi manual tanda tangan asing oleh layanan hukum.

Kesimpulan

eIDAS 2 bukan sekadar revisi kosmetik kerangka regulasi: ia mendefinisikan ulang secara mendalam aturan permainan kepercayaan digital di Eropa. Bagi UKM Prancis, lima evolusi utama — dompet EUDIW, perluasan layanan berkualitas, RQSCD, interoperabilitas wajib dan tanggung jawab yang diperkuat — mewakili baik kendala kepatuhan dan peluang untuk mempercepat transformasi dokumenter mereka.

UKM yang mengantisipasi perubahan ini sejak hari ini akan mendapatkan keuntungan kompetitif nyata: kontrak yang diakui di seluruh UE tanpa hambatan, pengarsipan dengan nilai bukti terintegrasi, dan proses tanda tangan yang sepenuhnya tanpa kertas dan aman.

Certyneo dirancang untuk mendampingi transisi ini. Mulai uji coba gratis Anda di certyneo.com dan dapatkan audit kepatuhan eIDAS 2 gratis untuk alur dokumenter yang ada saat ini.