Transisi eIDAS 1 ke 2: dampak pada tanda tangan pada 2025

Pada 20 Mei 2024, peraturan (UE) 2024/1183 — yang biasa disebut eIDAS 2 — telah dipublikasikan di Jurnal Resmi Uni Eropa, secara bertahap mencabut peraturan No. 910/2014 (eIDAS 1). Teks ini merepresentasikan reformasi paling struktural terhadap identitas digital dan tanda tangan elektronik di Eropa sejak 2016. Bagi perusahaan Prancis yang menggunakan solusi tanda tangan elektronik dalam alur kerja kontraktual mereka, transisi ini bukan sekadar formalitas: ini melibatkan penyesuaian teknis, hukum, dan organisasi yang batas waktunya menyentuh hingga 2026 dan seterusnya. Memahami transisi eIDAS 1 ke eIDAS 2 dan dampaknya pada tanda tangan elektronik pada 2025 telah menjadi prioritas bagi direktur hukum, DSI, dan DRH. Artikel ini menguraikan evolusi fundamental dari kerangka, jadwal tepatnya transisi, dan langkah konkret untuk tetap mematuhi.

Apa yang diubah regulasi eIDAS 2 secara fundamental

Dari regulasi 2014 hingga reformasi 2024: mengapa revisi diperlukan

EIDAS 1 telah menetapkan dasar untuk pengakuan timbal balik tanda tangan elektronik dalam Uni. Tiga tingkatan hierarkis — sederhana (SES), maju (AdES), dan berkualitas (QES) — menstrukturkan nilai bukti tanda tangan, didasarkan pada daftar penyedia terpercaya (TSL). Namun dalam sepuluh tahun, dua kesenjangan utama muncul.

Pertama, peraturan asli pada dasarnya berlaku untuk hubungan dengan administrasi publik (G2B, G2C). Ini tidak menciptakan kewajiban langsung dalam transaksi swasta (B2B, B2C), meninggalkan kekosongan normatif yang setiap negara anggota isi dengan cara yang heterogen. Kedua, meningkatnya layanan digital — aplikasi mobile, open banking, telemedicine — mengungkapkan ketiadaan sistem identitas digital portabel dan dapat dioperasikan di tingkat kontinental.

EIDAS 2 menjawab kedua tantangan ini dengan memperkenalkan dompet identitas digital Eropa (EU Digital Identity Wallet, EUDIW) dan memperluas ruang lingkup layanan terpercaya ke kasus penggunaan baru: pengarsipan elektronik berkualitas, atestasi atribut berkualitas, register elektronik berkualitas (termasuk aplikasi blockchain bersertifikat).

Kategori layanan kepercayaan berkualitas baru

Regulasi eIDAS 2 memperluas daftar layanan kepercayaan berkualitas (pasal 3 dan lampiran IV yang direvisi). Selain tanda tangan, segel, dan cap waktu berkualitas yang sudah diakui oleh eIDAS 1, sekarang berkualitas:

• Layanan pengarsipan elektronik berkualitas (ps. 34 bis): kewajiban untuk melestarikan integritas dan keterbacaan dokumen yang ditandatangani dalam jangka panjang, dengan persyaratan yang diperkuat untuk penyedia (QTSP).
• Layanan manajemen perangkat pembuatan tanda tangan jarak jauh berkualitas (QRCD): pembatasan yang diperkuat atas solusi tanda tangan jarak jauh melalui HSM (Hardware Security Module) cloud.
• Atestasi atribut berkualitas: mekanisme yang memungkinkan pihak ketiga terpercaya untuk mengesahkan atribut suatu entitas (mis. kualifikasi pengacara, status dokter) tanpa mengungkapkan seluruh identitas.
• Register elektronik berkualitas: pengakuan register terdistribusi di bawah kondisi ketat auditabilitas dan ketahanan.

Bagi pengguna solusi tanda tangan elektronik, perluasan ini berarti bahwa layanan kepercayaan berkualitas yang tersedia di pasar akan beragam, dan kriteria untuk memilih penyedia (QTSP) harus mengintegrasikan kemampuan baru ini.

EUDIW: dompet identitas digital sebagai infrastruktur tanda tangan

Inovasi paling terlihat dari eIDAS 2 tetap menjadi EUDIW. Setiap negara anggota harus menyediakan bagi warganya dan penduduknya dompet identitas digital gratis, dapat dioperasikan dengan semua negara anggota lain, pada 26 November 2026 (batas waktu kepatuhan nasional menurut pasal 5 bis). Dompet ini akan memungkinkan:

• mengotentikasi pengguna dengan tingkat jaminan tinggi (LoA High) tanpa menggunakan penyedia identifikasi pihak ketiga;
• menandatangani dokumen elektronik dengan nilai berkualitas (QES) langsung dari dompet;
• berbagi atribut identitas selektif (selective disclosure), sehingga menghormati prinsip meminimalkan data RGPD.

Bagi perusahaan, EUDIW secara teoritis menyederhanakan prosedur verifikasi identitas sebelum tanda tangan berkualitas, menghilangkan friksi identifikasi video atau identifikasi tatap muka. Dalam praktik, dampaknya bergantung pada kecepatan penerapan nasional — Prancis telah meluncurkan pada 2025 uji coba percontohan dalam kerangka program "France Identité".

Jadwal tepatnya transisi eIDAS 1 ke eIDAS 2

Tonggak regulasi yang perlu diketahui

Peraturan 2024/1183 mulai berlaku pada 20 Mei 2024, tetapi penerapannya bertahap. Berikut tanggalan kunci:

| Tanggal | Peristiwa | |--------|----------| | 20 Mei 2024 | Publikasi di JOUE, berlaku secara formal | | 20 November 2024 | Batas waktu 6 bulan untuk adopsi tindakan eksekusi Komisi (spesifikasi teknis EUDIW) | | Akhir 2025 | Publikasi standar ETSI yang direvisi (EN 319 411-1/2, EN 319 401) mengintegrasikan persyaratan eIDAS 2 | | 26 Mei 2026 | Batas waktu kepatuhan negara anggota pada kategori layanan berkualitas baru | | 26 November 2026 | Penyediaan wajib EUDIW oleh setiap negara anggota | | 2027-2028 | Revisi lengkap daftar kepercayaan nasional (TSL) dan akreditasi QTSP baru |

EIDAS 1 tetap berlaku dan tanda tangan yang dikeluarkan di bawah rezimnya mempertahankan nilai hukum penuh. Tidak ada kewajiban untuk menandatangani kembali dokumen yang ada. Sebaliknya, penyedia kepercayaan berkualitas harus memperbarui akreditasi mereka menurut standar teknis baru pada 2027.

Apa yang tidak berubah dan apa yang harus diperhatikan

Kontinuitas adalah prinsip kardinal dari transisi. Tiga tingkatan tanda tangan (SES, AdES, QES) dipertahankan dengan definisi yang tidak berubah. Anggapan kesetaraan dengan tanda tangan tulisan tangan yang melekat pada QES (pasal 25 eIDAS 1, diulang pada pasal 27 eIDAS 2) tetap berlaku. Nilai bukti dari tanda tangan elektronik Anda saat ini tidak dipertanyakan.

Apa yang harus diperhatikan: tindakan eksekusi (implementing acts) yang dipublikasikan oleh Komisi Eropa sepanjang 2025-2026 akan menetapkan spesifikasi teknis tepatnya dari EUDIW dan kategori layanan baru. Teks tingkat 2 ini memiliki arti praktis yang luar biasa bagi integrator dan editor perangkat lunak. Bagi perusahaan yang menggunakan tanda tangan elektronik dalam proses SDM atau hukum mereka, disarankan untuk meminta roadmap kepatuhan eIDAS 2 dari penyedia Anda.

Dampak konkret pada perusahaan dan solusi tanda tangan mereka

Alur kerja apa yang terpengaruh sebagai prioritas?

Transisi eIDAS 1 ke eIDAS 2 tidak memiliki dampak yang sama tergantung pada tingkat tanda tangan yang digunakan. Bagi perusahaan, tiga situasi membedakan:

Tanda tangan elektronik sederhana (SES): digunakan untuk alinea nilai rendah, tanda terima, formulir internal. Tidak ada kewajiban pembaruan segera. Aturan bukti tetap diatur oleh Kode Sipil (ps. 1366-1367) dan bukan langsung oleh eIDAS.

Tanda tangan elektronik maju (AdES/AdESQC): perusahaan yang menggunakan solusi B2B untuk kontrak komersial, kontrak kerja digital atau tindakan properti harus memverifikasi bahwa penyedia mereka mempertahankan kepatuhan terhadap standar ETSI EN 319 132 (XAdES), EN 319 122 (CAdES), dan EN 319 142 (PAdES) dalam versi yang direvisi untuk eIDAS 2. Standar ini akan dipublikasikan oleh ETSI pada akhir 2025.

Tanda tangan elektronik berkualitas (QES): penyedia berkualitas (QTSP) harus melalui akreditasi baru eIDAS 2. Periode transisi memberi jangka waktu yang wajar (hingga 2027), tetapi permintaan penawaran yang diluncurkan mulai 2025 harus mengintegrasikan klausul kepatuhan eIDAS 2 dalam kriteria seleksi. Bagi organisasi yang membandingkan opsi yang tersedia, perbandingan solusi tanda tangan elektronik memungkinkan mengevaluasi kematangan editor pada topik ini.

Persyaratan baru untuk penyedia kepercayaan berkualitas (QTSP)

EIDAS 2 mengeraskan persyaratan yang berlaku untuk QTSP pada tiga poin utama:

1. Keamanan sistem: keselarasan wajib pada NIS2 (direktif (UE) 2022/2555) untuk QTSP, sekarang diklasifikasikan sebagai entitas penting. Ini diterjemahkan menjadi kewajiban pemberitahuan insiden dalam 24 jam, audit keamanan tahunan, dan implementasi rencana kontinuitas bisnis.

1. Tanggung jawab yang diperkuat: pasal 13 eIDAS 2 memperluas rezim tanggung jawab QTSP. Dalam hal pelanggaran yang terbukti, beban bukti terbalik: penyedia harus membuktikan bahwa mereka tidak melakukan kelalaian, bukan sebaliknya.

1. Interoperabilitas wajib: QTSP harus mengekspos API terstandar yang kompatibel dengan EUDIW untuk memungkinkan integrasi asli dompet identitas. Persyaratan ini akan mempercepat modernisasi antarmuka integrasi yang tersedia bagi pengembang.

Bagi perusahaan yang mempertimbangkan untuk mengganti penyedia dalam konteks ini, bermigrasi dari DocuSign atau YouSign ke solusi sesuai eIDAS 2 adalah langkah yang layak diantisipasi sekarang daripada terburu-buru pada 2027.

Data pribadi dan eIDAS 2: artikulasi dengan RGPD

EUDIW mengumpulkan dan memproses data identitas yang merupakan data pribadi. Regulasi eIDAS 2 secara eksplisit menyediakan (pertimbangan 11 dan pasal 5 bis §14) bahwa seluruh perangkat harus sesuai dengan RGPD (peraturan (UE) 2016/679). Beberapa poin perhatian:

• Selective disclosure: dompet harus memungkinkan pengguna hanya berbagi atribut yang benar-benar diperlukan untuk transaksi (prinsip meminimalkan, ps. 5(1)(c) RGPD). Untuk tanda tangan kontrak, hanya verifikasi keadaan dewasa yang dapat dibagikan tanpa mengungkapkan tanggal lahir lengkap.
• Transfer di luar UE: data identitas yang diproses dalam kerangka EUDIW tidak dapat ditransfer di luar EEA tanpa jaminan yang tepat (ps. 46 RGPD). Penyedia yang menggunakan infrastruktur cloud Amerika harus mendokumentasikan kepatuhannya.
• Penyimpanan log tanda tangan: pengarsipan bukti tanda tangan harus menghormati durasi penyimpanan yang proporsional dengan sifat dokumen. Layanan pengarsipan berkualitas eIDAS 2 baru menawarkan kerangka teknis untuk memenuhi persyaratan ini.

Perusahaan yang mengelola kontrak kerja internasional secara khusus berkaitan dengan artikulasi RGPD/eIDAS 2 ini, terutama ketika penandatangan berada di luar UE.

Kerangka hukum yang berlaku untuk transisi eIDAS 1 ke eIDAS 2

Teks referensi

Transisi didasarkan pada tumpukan teks yang penting untuk dikuasai:

Di tingkat Eropa:

• Peraturan (UE) No. 910/2014 (eIDAS 1): masih berlaku hingga pencabutannya bertahap oleh eIDAS 2. Menentukan tiga tingkatan tanda tangan (SES, AdES, QES) dan rezim QTSP.
• Peraturan (UE) 2024/1183 (eIDAS 2): berlaku pada 20 Mei 2024. Memodifikasi eIDAS 1 secara substansial tanpa mencabutnya segera. Ketentuan terkait EUDIW berlaku sejak publikasi tindakan eksekusi.
• Peraturan (UE) 2016/679 (RGPD): berlaku sepenuhnya untuk pemrosesan data identitas dalam kerangka EUDIW dan proses tanda tangan. Pasal 5 bis §14 eIDAS 2 mengingatkan kembali subordinasi ini secara eksplisit.
• Direktif (UE) 2022/2555 (NIS2): memberlakukan kewajiban keamanan siber yang diperkuat untuk QTSP, sekarang diklasifikasikan entitas penting. Ditransposisikan ke hukum Prancis melalui peraturan No. 2024-821 tanggal 20 Juni 2024 (dalam persiapan dekret aplikasi).

Di tingkat Prancis:

• Kode Sipil, pasal 1366 dan 1367: dasar nilai bukti penulisan dalam bentuk elektronik. Pasal 1366 menetapkan kesetaraan antara tulisan elektronik dan kertas di bawah kondisi. Pasal 1367 memberikan pada tanda tangan berkualitas (QES) kekuatan bukti yang sama dengan tanda tangan tulisan tangan.
• Dekrit No. 2017-1416 tanggal 28 September 2017: memperjelas kondisi penggunaan tanda tangan elektronik dalam tindakan di bawah hak pribadi. Tetap berlaku selama periode transisi.
• Referensi Keamanan Umum (RGS) v2: untuk administrasi Prancis, RGS memberlakukan penggunaan solusi yang dirujuk oleh ANSSI. Pembaruannya untuk mengintegrasikan eIDAS 2 diharapkan pada 2026.

Standar teknis ETSI yang berlaku

Standar ETSI merupakan tingkat 3 dari hierarki normatif. Versi saat ini yang berlaku:

• EN 319 132-1/2: format XAdES (tanda tangan XML maju)
• EN 319 122-1/2: format CAdES (tanda tangan CMS maju)
• EN 319 142-1/2: format PAdES (tanda tangan PDF maju)
• EN 319 401: persyaratan umum untuk penyedia layanan kepercayaan
• EN 319 411-1/2: persyaratan untuk AC yang mengeluarkan sertifikat berkualitas

Standar ini akan direvisi pada akhir 2025 untuk mengintegrasikan persyaratan eIDAS 2 baru. Kontrak dengan QTSP harus mencakup klausul pembaruan ke versi yang direvisi tanpa biaya tambahan.

Risiko hukum dari non-kepatuhan

Tanda tangan yang dikeluarkan oleh penyedia yang tidak lagi terakreditasi setelah 2027 tidak akan secara otomatis kehilangan nilai hukum untuk dokumen yang sudah ditandatangani, tetapi tidak lagi akan mendapat manfaat dari anggapan legal kesetaraan dengan tanda tangan tulisan tangan (ps. 25 eIDAS). Beban bukti integritas dan identitas penandatangan akan sepenuhnya pada perusahaan dalam kasus sengketa. Risiko probatif ini sangat sensitif untuk tindakan yang memiliki jangka waktu preskripsi lama (5 tahun dalam hal komersial, 30 tahun untuk hak properti real).

Skenario penggunaan: bagaimana organisasi mengantisipasi transisi eIDAS 2

Skenario 1: kantor hukum dengan 25 kolaborator merasionalisasi kepatuhan dokumenternya

Sebuah kantor hukum yang berspesialisasi dalam hukum bisnis, dengan sekitar 25 kolaborator dan aktivitas intens penandatanganan mandat, tindakan penyerahan, dan protokol kesepakatan, menggunakan hingga 2024 solusi tanda tangan maju (AdES) untuk seluruh alurannya. Dengan pengumuman eIDAS 2, kantor melakukan audit atas 1.200 dokumen yang ditandatangani setiap tahunnya untuk mengidentifikasi yang memerlukan QES menurut rekomendasi barreau baru mereka.

Hasil: 15% dari tindakan (sekitar 180 per tahun) telah diklasifikasikan kembali ke tanda tangan berkualitas, yang memungkinkan untuk mengamankan rezim probatif dokumen ini. Kantor bernegosiasi dengan editor tanda tangannya klausul yang menjamin kepatuhan eIDAS 2 sejak publikasi tindakan eksekusi, tanpa biaya tambahan. Waktu administratif yang terkait dengan verifikasi identitas penandatangan berkurang 40% berkat antisipasi integrasi EUDIW yang direncanakan untuk 2026.

Skenario 2: UKM industri dengan 150 karyawan mengamankan rantai kontraktual pemasoknya

Sebuah UKM industri yang mengelola sekitar 350 kontrak pemasok per tahun — pesanan pembelian, NDA, kontrak-kerangka — beroperasi dengan dua solusi tanda tangan yang berbeda untuk aluran internal dan eksternalnya, menciptakan fragmentasi bukti audit. Dalam konteks transisi eIDAS 2 dan persyaratan pengarsipan berkualitas baru, DSI memutuskan untuk menyatukan platformnya.

Dengan bermigrasi ke solusi tunggal yang mengintegrasikan pengarsipan elektronik berkualitas (kategori eIDAS 2 masa depan), UKM mengurangi biaya penyimpanan aman sebesar 30% dan mengkonsolidasikan bukti tanda tangannya dalam brankas digital yang sesuai. Seluruh rantai dokumenter sekarang dapat diaudit dalam waktu kurang dari 2 menit selama pengendalian pemasok — persyaratan yang terus meningkat dari pemberi pesanan mereka di industri otomotif.

Skenario 3: kelompok rumah sakit sekitar 600 tempat tidur mempersiapkan integrasi EUDIW

Sebuah kelompok rumah sakit publik menggunakan tanda tangan elektronik berkualitas untuk kontrak medisnya dan pasar publiknya, sesuai dengan kewajiban kode pengadaan publik. Dengan eIDAS 2, layanan informatika telah mengidentifikasi dua isu prioritas: integrasi masa depan dompet "France Identité" untuk dokter liberal yang bertindak di lembaga, dan kepatuhan NIS2 dari QTSPnya.

Kelompok telah menginskripsikan dalam skema direktif digital 2025-2028 lot khusus "kepatuhan eIDAS 2", dengan anggaran provisional 45.000 € untuk migrasi teknis dan pelatihan agen. Tujuannya adalah untuk dapat menerima tanda tangan melalui EUDIW sejak penerapan nasional yang direncanakan untuk November 2026, mengurangi jadi waktu kontraktisasi dengan profesional kesehatan liberal dari 3 hari menjadi kurang dari 4 jam rata-rata menurut benchmark sektor yang tersedia.

Kesimpulan

Transisi eIDAS 1 ke eIDAS 2 bukan keputusan tetapi evolusi terstruktur, dengan jadwal tepatnya menyebar hingga 2027. Dampak pada tanda tangan elektronik nyata — perluasan layanan berkualitas, kedatangan EUDIW, pengerasan persyaratan NIS2 untuk QTSP — tetapi dapat dikelola asalkan diantisipasi. Perusahaan yang bertindak sekarang mendapat manfaat dari margin maneuver untuk mengaudit alur kerja mereka, mengamankan kontrak mereka dengan penyedia mereka, dan melatih tim mereka tanpa tekanan urgensi regulasi.

Certyneo menyertai perusahaan dalam transisi ini dengan roadmap kepatuhan eIDAS 2 yang jelas, format tanda tangan dipertahankan terbaru, dan arsitektur siap untuk integrasi EUDIW. Siap untuk mengamankan alur tanda tangan Anda dalam kerangka regulasi baru ini? Temukan penawaran kami dan mulai gratis di Certyneo.