Calendrier eIDAS 2 : déploiement UE 2026-2027

Inngangur: af hverju er tímaáætlun eIDAS 2 mikilvæg fyrir stofnun þína

Frá gildistöku reglugerðar (EB) 2024/1183 — almennt kölluð eIDAS 2 — hefur evrópska rammi stafrænnar auðkenningar og rafrænnar undirskriftar gengið í gegn um dýpstu umbreytingu sína frá 2014. Þó að endurskoðuðum texta sé opinberlega samþykktur er rekstrarkjörir hans, sem dreifast á tímabilið 2024-2027, sem nú var beinir athygli IT-stjóra, lögfræðinga og samræmisábyrgra. Skilningur á opinberu dregningartöfli reglugerðar eIDAS 2 innan Evrópusambandsins gerir kleift að sjá fyrir skuldbindingar, tryggja stafræna samningaflæði og forðast allt misalignment við regluvörslu. Þessi grein afhjúpar lykiltakskil, væntanleg framkvæmdaskipun og raun skil fyrir frönsk og evrópsk fyrirtæki.

---

1. Yfirlit: hvað er eIDAS 2 og af hverju þessi endurskoðun?

1.1 Takmarkanir eIDAS 1 (2014)

Upprunalega reglugerð eIDAS (nr. 910/2014) lagði grunnn að stafrænu trausti í Evrópu: gagnkvæm viðurkenning rafrænna undirskrifta, stofnun hæfðra stiga (QES), einfalda (SES) og framhaldsins (AdES), og viðurkenning þjónustuveitenda treystrar (Trust Service Providers, TSP). Þó að tíu ár beiting hafi birt mörg þverskurðir:

• Þjóðarframboð : minna en 19 % evrópskra borgara notuðu þverskurðaða rafrænna auðkenningartóla árið 2022 samkvæmt framkvæmdastofnun Evrópusambandsins.
• Engin stafræn auðkenningarveita : eIDAS 1 var ekki með óalvornlega tækið sem myndi leyfa hverjum borgara eða fyrirtæki að sanna auðkenningu sína á netinu í öllum aðildarríkjum.
• Aðeins hluta : hættu fyrir hæfu rafrænna arkívun eða staðsetningagögn voru ekki samhæfðir.

1.2 Burðu framtakslegir öfundsverðir bættirnir eIDAS 2

Samþykktur 11. apríl 2024 og birtur í Opinbera blað ESB 30. apríl 2024 kynnir reglugerð (EB) 2024/1183 sérstaklega:

• European Digital Identity Wallet (EUDI Wallet) : stafræn auðkenningarveita sem hvert aðildarríki verður að bjóða borgurum sínum.
• Ný hæf þjónusta trausts : heimildir fyrir hæf rafrænna eiginda, hæf rafræn arkívun, umsýsla um fjarbúinn undirskriftagerandi.
• Viðstæða gagnaferlis : stórir netkerfi (samkvæmt reglugerð DSA) verða að samþykkja EUDI Wallet fyrir auðkenningu notenda.
• Styrkari stjórnun : stofnun strangari framfylgni sertifikatskerfis fyrir TSP.

Til að dýpka grunnatriði reglugerðar, okkar yfirlit um eIDAS 2.0 lýsir öllum eftirlýsingum reglugerðar.

---

2. Opinber tímaáætlun fyrir dreifingu eIDAS 2: skref og lykilsúlunum 2024-2027

Reglugerð eIDAS 2 stærðir gildistöku hennar umhverfis marglega verkefni: gildistöku, framkvæmdaskipun framkvæmdastofnunar, landsbundna innleiðingu og skýr dreifingu tækja. Hér er opinber leiðarkerfi.

2.1 Þrep 1 — Gildistaka og framkvæmdaskipun (maí 2024 – lok 2025)

| Dagsetning | Skref | |---|---| | 30. apríl 2024 | Birtingir reglugerðar (EB) 2024/1183 í OJEU | | 20. maí 2024 | Opinber gildistaka (D+20 eftir birtingu) | | T3-T4 2024 | Ræsing vinnuhópa um framkvæmdaskipun (eIDAS 2 Toolbox) | | lok 2024 | Útgáfa fyrstu tæknilegra viðmiðanna fyrir EUDI Wallet (ARF — Architecture Reference Framework v1.4) | | T1-T2 2025 | Framkvæmdaskipun framkvæmdastofnunar um tæknilega framleiðslu veita (12 mánaða frestur samkvæmt grein 5a) | | T3 2025 | Framkvæmdaskipun um ný hæf þjónusta trausts |

Framkvæmdastofnun Evrópusambandsins birti í janúar 2025 fyrri flokk framkvæmdaskipana um algengar tæknilegar verkfærleika EUDI Wallet. Þessir textar eru skylda tæknilega grunnatriði fyrir aðildarríki.

2.2 Þrep 2 — Dreifingu verkefna með tilraunum og landsbundnunni (2025-2026)

Innan rammi stórra tilraunuverkefna (Large Scale Pilots — LSP) hafa fjórir félögunir prófað EUDI Wallet frá 2023 með fleiri en 360 málum um notkun um 25 aðildarríki:

• EU Digital Identity Wallet Consortium (EUDIW) — 140+ aðilar
• NOBID — miðað við stafræna greiðslur
• POTENTIAL — auðkenning og eigindir
• DC4EU — prófskírteini og fagleg hæfni

Niðurstöður þessara tilrauna fóðra beint framkvæmdaskipunum. Landsplani hafa aðildarríki 24 mánaða frá gildistöku framkvæmdaskipana til að dreifa bókasafni sínu. Í framkvæmd þýðir þetta að meirihluti landsbundnunni búast við milli mitt-2026 og lok 2026.

| Tímabil | Væntanleg aðgerðir | |---|---| | T1-T2 2026 | Endanleg samþykki framankomna framkvæmdaskipana (hæf arkívun, eigindir) | | T2 2026 | Fyrstu framleiðsluútgáfur EUDI Wallets hjá fyrstu aðildarríkjum (Þýskaland, Hollandi, Spáni) | | T3-T4 2026 | Dreifingin flakari um 27 aðildarríki — opnun fyrir fagaðila | | lok 2026 | Skuldbindingar um samþykkt EUDI Wallet fyrir netþjónustu opinberra (art. 5b) |

Frakkland, um ANSSI og DINUM, hefur ráðið fram verkum sinna um aðlögun á 2025. Frönsk verkefni veitu byggist á France Identité sem tæknilegur grunnur.

2.3 Þrep 3 — Skuldbindingar um samþykkt fyrir einkageirann (2027)

Þetta er sem mest áhrifamikil áfangi fyrir fyrirtæki. Grein 5b reglugerðar eIDAS 2 framfylgir að ákveðnir þjónustuveitur einkageirans samþykkja EUDI Wallet fyrir auðkenningu á netinu á eftirfarandi sviðum:

• Bankaðir og fjárhagsþjónustur (reikningsopnun, KYC)
• Flutningur (samgöngur, bíláleiga)
• Orka (samningar um neytendur)
• Stór netkerfi (samkvæmt DSA, > 45 milljón mánaðarlegra notenda innan ESB)
• Fjarskipti

Frestur um skyldusamþykkt er 12 mánuðir eftir að veita er framboðin á hverjum aðildarríki, sem setur raunverulega gjalddaga fyrir flesta geiru á fyrri hluta 2027.

Fyrir fyrirtæki sem þegar nota lausnir um rafræna undirskrift sem fjallar um eIDAS er jákvæðið að tryggja samhæfi þeirra skjalaflæðis við ný eigindir auðkenningar sem komin frá stafrænnum veitu.

---

3. Áhrif á þjónustuveitendur trausts (TSP) og SaaS-útgefendur

3.1 Nýjar skuldbindingar fyrir hæfa TSP

Hæf þjónustuveitur (QTSP) verða að uppfæra starfsvenjur sína um sertifikun til að flytja nýja flokkun þjónusta kynnta af eIDAS 2:

• Heimildir fyrir hæf rafrænna eiginda : lokuð stafræn akstursleyfis, prófskírteini, fagleg hæfni
• Hæf rafræn arkívun : þjónusta sem tryggir heilleika yfir langan tíma á undirrituðum skjölum
• Stjórnun fjarbúins gerandi undirskrifta (RQSCD) : skýring á ramma fyrir skýjalausnir

QTSP hafa allt að 18 mánaða eftir birtingu endurskoðaðra ETSI-staðla (væntanlegir T2-T3 2026) til að uppfylla ný tæknilegar kröfur, sem setur fyrstu endurkjörningu á 2027.

3.2 Hvað þetta þýðir fyrir notandi fyrirtæki

Ef stofnun þín notar rafræna undirskriftarveitu SaaS — hvort sem það er sertifykað QES-tól eða háþróuð undirskriftarverkfæri — margar spurningar um regluvörslu vakna strax:

1. Er þjónustuveitur þinn að uppfæra sína sertifikun til að flytja eIDAS 2-kröfur?
2. Eru undirskriftarflæði þinn tilbúin til að taka auðkenningar frá EUDI Wallets?
3. Styrkir arkívunarstefna þín framtíðarkrófum um hæfða rafræna arkívun?

Okkar greining um samanburð rafræna undirskriftarlausna inniheldur nú eIDAS 2 roadmap-viðmið sem aðgreiningarþáttur.

3.3 Tæknileguir viðmiðar

ETSI (European Telecommunications Standards Institute) ber ábyrgð á að framleiða samhæfðu staðla sem eIDAS 2 treystir á. Verknaðarúmönnun 2025-2027 nær þar á meðal:

• ETSI EN 319 411-1 og -2 (endurskoðaðir) : reglur og kröfur fyrir TSP sem gefa út skírteini
• ETSI EN 319 132-1 (XAdES) og EN 319 122-1 (CAdES) : snið framhaldsins og hæfu undirskriftu
• ETSI TS 119 500 : framkvæmdatakmarki fyrir hæfa rafræna arkívunarþjónustu
• ISO/IEC 18013-5 : samskiptaregla fyrir framsetningarkjósn mDL (mobile Driving Licence), samþykkt sem tæknilegir grunnur EUDI Wallet

---

4. Tímaáætlun eIDAS 2 á Frakklandi : framrás og sérstakar skuldbindingar

4.1 Hlutverk ANSSI í landsbundnunni

Á Frakklandi er ANSSI yfirstjórn fyrir umsjón þjónustuveitenda trausts samkvæmt eIDAS. Með tilliti til eIDAS 2 stýrir hún:

• Aðlögun almennra öryggisviðmið (RGS) til að flytja ný hæf þjónusta
• Samning um vinnuhóp ESB um samvinnu eIDAS (grein 46e reglugerðarinnar)
• Umsjón með endurskoðunum á frönsku QTSP samhæfi

ANSSI birti í mars 2025 landsbundna leiðarkerfi sem staðfestir framvinnuskref við aðlögun frönsku ramma á eIDAS 2, með framvindustaðlokun í september 2026.

4.2 Skuldbindingar fyrir stór frönsk fyrirtæki

Frönsk fyrirtæki sem fara yfir DSA-mörk eða starfa á sviðum sem miðað er við grein 5b verða að hefja tafarlaust áhrifagreiningu. Meðmæltu skref eru:

1. Kortlegging auðkenningaflæðis : auðkenning á ferlum þar sem stafræn auðkenning er nauðsynleg (KYC, undirskrift samninga, aðgangur að rýmum viðskiptavina)
2. Mat á núverandi veitu : staðfesta roadmap þeirra um eIDAS 2 samhæfi
3. Áætlun um uppfærslu takmarkaðra skilmála og undirskriftarstefnu : sjá fyrir flytjandi eiginda auðkenningar frá EUDI Wallets
4. Þjálfun lögfræðilegra og IT-teymis : tæknilegur og lagalegur rammi breytist marktækt

Fyrir fyrirtæki sem stjórna stórkostlegum magni samninga, stærðir rafræna undirskriftar í fyrirtækinu verða að vera metin með tilliti til getu þeirra að þróast til eIDAS 2 án þjónustustopp.

4.3 Tengsl við aðrar evrópsk lög

Dreifing eIDAS 2 á sér endalok ekki í einangrun. Það tengist nátengd:

• RGPD (2016/679) : auðkenningaregind í EUDI Wallets eru persónuupplýsingar sem mynda meginreglur um lágmörkun og markmiði
• NIS 2 Tilskipun (2022/2555) : TSP eru nauðsynlegir einir samkvæmt NIS 2 og verða að fullnægja auknu auðlindarökri framfylgni
• DORA Reglugerð (2022/2554) : fjármálastofnanir sem nota þjónustu trausts fyrir stafrænar aðgerðir sínar verða að flytja þessar ósjálfstæðar í neti þeirra um ICT-áhættu
• Gögn Reglugerð (Data Act, 2023/2854) : milliaukinn auðkenningargagna milli geiru

Fyrirtæki sem hafa nú þegar ráðið samhæfi NIS 2 munu finna margar samspilaaðstæðu með framhaldi til eIDAS 2 samhæfi, sérstaklega á flokkunum og áhættuhandsömunar og viðfangsefna.

---

5. Undirbúning stofnunar þinnar strax: gátlisti fyrir 2026

5.1 Fyrir lögfræðilegar og regluvörslustofnanir

• [ ] Lestu reglugerð (EB) 2024/1183 í hennar sameinuðu útgáfu og auðkenndu greinarnar sem gilda um flokk þinn
• [ ] Kortlægðu samninga og ferla sem þarfnast uppfærðu (undirskriftarkjósn, geymslukjósn)
• [ ] Staðfestðu lögfræðilega gildi þverskurðaðra rafrænna undirskrifta þinna sem nú standa í eIDAS 2 samhengi
• [ ] Sjá fyrir flytjandi eiginda hæfu eiginda (t.d. staðfesting á faglegri gæðum fyrir lagaðir eða læknaðir aðgerðir)

5.2 Fyrir IT-stjórnir

• [ ] Mat á samhæfi geymslustæðisins þinn við EUDI Wallet-samskiptareglur (OpenID4VP, ISO 18013-5)
• [ ] Auðkenning á API-um til uppfærðu hjá útgefendum rafræna undirskriftar
• [ ] Síðan tilraunir um flytjandi með tilraunaveilum sem eru við boðið á 2026
• [ ] Setja upp eftirlit með framkvæmdaskipunum framkvæmdastofnunar ESB (tilkynningum til Opinbera blað ESB)

5.3 Fyrir viðskipta-stjórn

Væntanlegar hagnaðir af vel fyrirhuguðu samhæfi eru stærðir: minnkun á núningi í undirskriftarferli þökk fyrir forsannfæringaðan auðkenningu EUDI Wallet, hraðari KYC-ferla, og minnkun á kostnaði um auðkenningarstaðfestingu. Til að meta arðsemi fjárfestingar þinnar við flutninga, okkar ROI reiknivél fyrir rafræna undirskrift inniheldur eiginleika sérstakar til eIDAS 2 samhæfi.

Að lokum geta stofnanir sem endalok á flutningi frá öðrum lausnum til grunnsmiðu fyrirhuguðum fyrir eIDAS 2 platforni hinstu okkar leiðarkerfi um flutninga frá DocuSign eða YouSign til Certyneo, sem staðfestir tæknilegra og samningsbundna skref við flutninga án þjónustustopp.

Lagalegur rammi sem gildir um dreifingu eIDAS 2

Stofnlög og stigveldi staðla

Dreifing reglugerðar eIDAS 2 fellur undir hlutekið lagalegum öðruvísi sem nauðsynlegt er að kunna fyrir hvaða stofnun sem er bundin við skuldbindingar um regluvörslu.

Reglugerð (EB) 2024/1183 Evrópuþingsins og ráðsins — sögð « eIDAS 2 » — myndar helstu viðmiðun. Það fellur niður og kemur í stað reglugerðar (EB) nr. 910/2014 (eIDAS 1) á punkta sem hún endurskoðar, meðan virðing um gildandi sertifikun á tímabilum framgangs sem heimilað er í greinum 51 og síðar. Gefin út í Opinbera blað ESB flokki L 30. apríl 2024 tók gildi 20. maí 2024.

Frönsk borgaraleg lög, greinar 1366 og 1367, heimilar viðurkenningu rafrænu undirskriftar sem jafngild ritmálskuðu undirskrifti þegar hún fullnægir skilyrðum um auðkenningu undirritara og heilleika skjalsins. Þessar ákvæði eru túlkuð með ljósi evrópska réttar eIDAS, sem kemur fram vegna meginreglunnar um forgang Evrópsambandsréttar.

Reglugerð (EB) 2016/679 (RGPD) gildir fullilega um meðhöndlun persónuupplýsinga sem framkvæmdar eru í samhengi EUDI Wallet og þjónustuveitenda trausts. Auðkenningaregind (æðisupplýsingar, hæfni, leyfir) mynda persónuupplýsingar samkvæmt grein 4 § 1 RGPD. Meginreglan um lágmörkun (art. 5 § 1 c) er sérstaklega viðeigandi: veituflytjendur mega aðeins safna eigindum sem eru beint nauðsynlegar fyrir tilgang viðskiptanna.

Tilskipun (EB) 2022/2555 (NIS 2), flytjuð í fröskan rétt með lögum nr. 2024-449 frá 21. maí 2024, flokkar hæfa þjónustuveitendur trausts meðal nauðsynlegra eininga sem mynda aukin skuldbindingu um stjórnun netáhættu, tilkynningum um aðstæðu og öryggistöku framboðskeðju.

ETSI-staðlarnir mynda tæknilegu viðmiðun samhæfi eIDAS 2:

• ETSI EN 319 401: almennar kröfur fyrir TSP
• ETSI EN 319 411-1/-2: reglur fyrir TSP sem gefa út hæf skírteini
• ETSI EN 319 132-1: snið XAdES (XML framhaldsundirskrifta)
• ETSI EN 319 122-1: snið CAdES (CMS framhaldsundirskrifta)
• ETSI EN 319 162-1: snið ASiC (undirskriftaílátugum)

Lagaleg áhætta ef ekki er farið eftir regluvörslu

Vanræksla á skuldbindingum eIDAS 2 stofnar stofnunum á margar áhættur:

1. Óskilnaðar undirskrifta : rafræn undirskrift sem framkvæmd er um QTSP sem ekki samhæfir nýjum kröfum kann að missa forsendulöggildi, sem endurspeglar gildi undirskrifta samninga.
2. Stjórnun sektir : landsbundin eftirlit (ANSSI á Frakklandi) getur gefið út leiðréttingaraðgerðir, fyrirskipun um regluvörslu eða jafnvel afskönnun fyrir TSP.
3. Samningsbundin ábyrgð : fyrirtæki sem nota ósamhæfðu tól geta séð ábyrgð sína skulduð gagnvart viðskiptavinum og samstarfsaðilum ef deila gildir um gildi rafrænnar undirskriftar.
4. Samantekt við RGPD : ósamhæfð stjórnun auðkenningaeiginda EUDI Wallet getur stofnað samvægjandi CNIL-sekta (allt að 4 % af heildarvöruafgreiðslu á heimsvísu).

Gagnleg atburðarás frammi fyrir tímaáætlun eIDAS 2

Atburðarás 1 — Lögfræðistofur með meðalstærð sem stjórna þverskurðaðum aðgerðum

Lögfræðistofu fyrir viðskipta sem hefur um 15 samstarfsmenn og ræðir með reglulegri hætti M&A-aðgerðir sem ber með sér andstæðum í mörgum aðildarríkjum ESB (Belgía, Holland, Spáni) notar nú rafræna undirskriftarlausn sem er hæf fyrir aðgerðir þess um kaup hlutabréfa og trúnaðarsamkömulag. Með gildistöku tímaáætlunar eIDAS 2 getur stofan sem blikri tvö meginafleiðingar fram til lokar 2026:

• Einfölduð auðkenningarstaðfesting : andstæðum erlendum geta sett fram auðkenningaregind sína um EUDI Wallet innlent, sem útrýmir skipunum um afrit af vegabréfi og endurkast KYC-ferla. Samkvæmt metum frá ESB-samskiptum um LSP er tíminnverkinn við auðkenningarstaðfestingu um 40% til 60% eftir framkvæmtum aðildarríkjum.
• Styrkt gildi sem sönnun : aðgerðir undirritaðar með auðkenningum sem staðfestar eru af hæfum EUDI Wallets nýta fullmikla löggildi, sem minnkar áhættu á deilingu fyrir dómi í þverskurðaðum deilum.

Stofan áætlar að flytja yfir til SaaS-plattformu með skjalfestri eIDAS 2-roadmap fyrir T3 2026, sem er um sex mánuðir fyrir fyrstu samþykkisskuldbindingu.

Atburðarás 2 — SME iðnaðar sem stjórna stórkostlegu magni af birgjasamninga

SME iðnaðarsviðs sem stjórnar um 250 birgjasamninga á ári, þar sem 30% með samstarfsaðilum ESB utan Frakklands standa frammi fyrir auknu álagi við auðkenningarstaðfestingu við boð nýrra birgja. Núverandi ferli — beiðni um Kbis, afrit af persónukjósn fulltrúa, handvirk staðfesting — bindur að meðaltali 2,5 klukka á málefni samkvæmt geiraviðmiðum um kaupendum.

Með flytjandi EUDI Wallet í undirskriftarflæði frammi til 2027 gerir SME frá sér:

• Minnkun um 55 til 70% af tíma sem ætlaður er auðkenningarstaðfestingu þökk fyrir hæf eiginda staðfestingu (skráningarflokkun, löggildi fulltrúa)
• Minnkun um 80% á endurteknum beiðnum um gögn hjá erlendum birgjum
• Aukið öryggis gegn skjalfestum svikum, þar sem eigindir eru dulkóðun staðfestir

SME hefur auðkennt nauðsyn þess að uppfæra almenn kaupskjöl sín til að flytja tilvísun í eIDAS 2 eiginda, í samvinnu við lögfræðiráðgefandann.

Atburðarás 3 — Spítali-hópur sem sjá fyrir samhæfi fyrir stafrænar læknisaðgerðir

Spítali-hópur um 900 rúm sem dreifður er á þremur stöðum verður að stjórna rafrænni undirskrift tíðra læknislegra skjala: áskoranir með góðum viðhorfi, lyfseðlar, skýrslur um aðgerðir og samninga með veituflytjendum. Frönsk reglur knýa fram hæfu undirskrifti fyrir ákveðnar læknisaðgerðir með sterkri löglegri gildingu.

Með tilliti til tímaáætlunar eIDAS 2 væntir spítali á að koma hæfum eiginda um fagleg heilsuskilríki (RPPS-númer, sérgrein, framkvæmsustofa), sem gera það mögulegt að:

• Sjálfvirka staðfestingu á hæfni undirritara (læknir, skurðlæknir, apótekari) án handvirkrar staðfestingu í faglegum skráningu
• Minnka áhætu á villuútkastningu af undirskrift meðan um skiptastörf og vörslur
• **Auðvelda bur