eIDAS 2: Nýja evrópska reglugerð útskýrð árið 2026

Inngangur: Hvers vegna eIDAS 2 breytir öllu fyrir evrópsk fyrirtæki

Reglugerðin tók gildi 20. maí 2024 eftir langa löggjafar umferð og reglugerð eIDAS 2 — opinberlega nefnd Reglugerð (ESB) 2024/1183 — táknar metnaðfyllstu umbót sem nokkur sinni hafa verið framkvæmdar á sviði rafrænnar auðkenningar og traust þjónustu í Evrópu. Hún fellir niður og kemur að hluta í stað upphaflegrar reglugerðar eIDAS frá 2014 (nr. 910/2014), en heldur niðri fram á móti samhæfingu við gildandi innviði. Fyrir fyrirtæki sem nota rafræna undirskrift samkvæmt eIDAS kynnir þessi endurskoðun ný skyldu, óvissar tækifæri og þröngan framfylgndaráætlun til 2026 og þar eftir. Þessi grein skýrir út í dýpt helstu ákvæði textans, rekstrarleg áhrif þeirra og hvernig skipulag þitt getur undirbúið sig.

---

Hvað reglugerð eIDAS 2 breytir í grundvallaratriðum

Frá reglugerðinni frá 2014 til útgáfu 2024: skipulagsleg endirbygging

Upphaflega reglugerð eIDAS frá 2014 lagði grunn að gagnkvæmri viðurkenningu skema fyrir rafræna auðkenningu milli aðildarríkja og komst á samstæðan lagalegan ramma fyrir traust þjónustu (undirskrift, innsiglu, tímastimpla osfrv.). En tíu árum síðar voru takmarkanir augljósar: lág samþykkningshlutfall tilkynntra eID, sundrung landsbundinna lausna, engin algild stafræn veski fyrir borgara og ekki síst óheppilegir fyrir notkun á vefnum (GAFAM útilokaðir frá traustrammi).

eIDAS 2 bætir þessar veikleika á þremur meginsviðum:

1. Evrópska stafræna auðkenningarveskið (EUDI Wallet) — hvert aðildarríki verður að bjóða fram, seinasta 1. nóvember 2026, stafrænt veskisforrit sem gerir öllum evrópskum borgurum eða búsetum kleift að geyma og framvísa auðkenningargögnum sínum (auðkenniskorti, ökuskírteini, prófskírteinum osfrv.) á öruggan hátt.
2. Útvíkkun viðurkenndu traust þjónustu — textinn bætir við nýrri viðurkenndu þjónustu: stöðvuð stafræn geymsla (QESAP), viðurkenndir auðkenningareiginleika skýrslur (QEAA), viðurkenndir stafræn bókahaldsritmál (QLED) og stöðvun á tækjum fyrir fjarvirkri undirskriftargerð (QRCD).
3. Skylda fyrir stórar pallar — birgjar með stærri netkjörva þjónustu (samfélagsvefir, markaðstorg) verða að samþykkja EUDI veskið fyrir auðkenningu notenda.

EUDI veskið: arkitektúr og aðgerðir

EUDI veskið er miðja eIDAS 2. Í rauntíma er um að ræða hugbúnaðarforrit — sem afhent eða vottað af hverju aðildarríki — sem byggir á dreifðu fyrirmynd fyrir sérvalinn kynningu eiginleika. Notandinn sendir aðeins gögn sem eru alveg nauðsynleg fyrir viðskiptin (meginregluminnkun, samkvæmt GDPR).

Frá tæknilegu sjónarmiði byggir arkitektúrinn á forskriftum Architecture Reference Framework (ARF), gefnar út af framkvæmdastjórn Evrópusambandsins og uppfærðar reglulega af Large Scale Pilot (LSP) sem samanstendur af fjórum tilraunakonsórtíum (DC4EU, EWC, POTENTIAL, NOBID). Gagnasniðin sem valin voru eru fyrst og fremst ISO/IEC 18013-5 (mDL/mDocs) og W3C Verifiable Credentials, sem tryggja yfirlandaciðið.

Fyrir fyrirtæki þýðir þetta að þau geta að lokum staðfest auðkenningu viðskiptavina eða samstarfsaðila með veskinu án þess að stjórna sjálf gögnum sönnunar — sem dregur verulega úr KYC (Know Your Customer) núningi og hættu á skjölasvikim.

---

Trauststig og stigveldi undirskrifa: hvað breytist

Viðhald QES / AdES / SES stigveldis

Undirskriftir rafeinda skrá er ennþá skipulögð um þrjú stig sem skilgreind eru í 3. grein eIDAS 2 (endurtekja hugtök frá 2014 en skýra tæknilegar kröfur):

• Einföld rafræn undirskrift (SES): lágmarksgildi fyrir sönnunargögn, viðeigandi fyrir algenga gerðabréf.
• Háþróuð rafræn undirskrift (AdES): einkum tengsl við undirritara, möguleiki á að greina breytingar sem gerðar voru síðar.
• Viðurkennd rafræn undirskrift (QES): lagalegt jafngildi handritaðrar undirskriftar um alla ESB (28. grein§2), gefin út með viðurkenndri undirskriftargerðartæki (QSCD) á grunni viðurkenndrar vottorðs.

Nýjungin felst í því hvernig QES er nú hægt að afhenda með fjarvirkri viðurkenndri undirskriftarþjónustu (QRCD), þar sem skilyrði samþykkis eru tilgreind í 29a og 29b greinum endurskoruðra texta. Þetta opnar leið fyrir 100% stafræna flæði fyrir krefandi bréf — samningar, stafræn opinber gerðabréf — án þess að þurfa efnislega flöt spjalds.

Áhrif á vottaða traust þjónustuveita (QTSP)

Veitendur eins og Certyneo, sem starfa á grundvelli viðurkenndra QTSP, verða að sjá fyrir ný endurskoðunarkröfu sem kynntar eru af eIDAS 2. 24. grein setur nú fram aukinn eftirlitshöfða með undirverktakakeðju, og kröfur um tilkynningu um öryggistilvik eru skýrt samtengdar kröfum í NIS2-tilskipuninni (24 klst. fyrir upphafstilkynningu). Til að dýpka skilning á mismunandi undirskriftarstigum í B2B samhengi, skoðið okkar heildstæðum leiðbeiningar um rafræna undirskrift í fyrirtækjum.

---

Dreifingaáætlun og skylda fyrir fyrirtæki 2025-2026

Helstu etappasvið dreifingar

Reglugerð (ESB) 2024/1183 var birt í Stofnblaði ESB 30. apríl 2024 og tók gildi 20. maí 2024. Framkvæmda- og framvöxtu gerðir — nauðsynlegar til að skýra tæknilegar kröfur — eru birtar smám saman:

| Tímamörk | Skylda | |---|---| | Maí 2024 | Reglugerðin tók gildi | | Lok 2024 | Birting á framkvæmdagerðum um ARF v2.0 | | Mitt 2025 | Vottun á fyrstu EUDI veskum tilraunum | | Nóvember 2026 | Skylda boð EUDI veskis í hverju aðildarríki | | 2027 | Skylduðan samþykki stórra netkjörva |

Það sem B2B fyrirtæki verða að gera núna

Fyrir fyrirtæki sem nota rafræna undirskriftarlausnir, þrjár forgangsatriðir koma fram 2025-2026:

1. Endurskoðun á traustkeðju þeirra: staðfestið að þeirra undirskriftarborgari sé raunverulega á Traustlista (Trusted List) aðildarríkis þeirra og að vottorð sem notuð eru séu í samræmi við endurskorun tæknilega sérstakreglur ETSI EN 319 401 og EN 319 411-1.

2. Fyrirvari um samþættingu EUDI veskis: fyrirtæki sem starfa í stjórnuðum geirum (bankastarfsemi, tryggingar, heilsugæsla, fasteignir) verða þau fyrri sem snerta af sannprófunarflæði auðkennis gegnum veskum. Undirbúning API samþættingar árið 2025 er mælt með.

3. Endurskoðun á varðveislureglum þeirra: ný viðurkennd þjónusta fyrir stafræna geymslu (QESAP) kynnir staðla fyrir langtímageymslu sem geta verið nauðsynleg í ákveðnum geirum (opinber markaðir, lyfjagreining). Okkar ROI reiknivél fyrir rafræna undirskrift leyfir þér að meta fjárhagslega áhrif endurnýjunar á stafrænu skjalavefingu þinni.

---

Samhæfing, GDPR og spurningar um stafræna fullveldisrétt

eIDAS 2 og GDPR: aukin samhliðan

Ein af helstu framfarum eIDAS 2 er skýr samþætting gagnaverndar-fyrir-hönnun (privacy by design) meginreglna í arkitektúri EUDI veskis. 5a. grein§14 segir að veskið gefi ekki birgja kleift að fylgjast með hegðun notanda við viðskipti. Gefendur viðurkenndra auðkenningar eiginleika (QEAA) eru ekki kunnir um notkun á vottorðum sem gefin voru — sem er stór breyting frá miðstýrðum fyrirmyndum nú.

Þessi arkitektúr er kölluð unlinkability (ótengjanleiki): tvö aðgreind viðskipti sömu notanda geta ekki tengst án samþykkis. Þessi trygging fer fram yfir lágmarkarkröfur GDPR á meðan það tengist því fullkomlega.

Geopolitískan vídd: endurkjösa yfirráð yfir auðkenning á netinu

eIDAS 2 svarar einnig spurning um fullveldisrétt. Í dag veltur auðkenning á netinu mikið á hnöppum „Skrá inni með Google/Facebook/Apple", sem gefur bandarískum tæknigirnum yfirburða stöðu í stöðvun stafræna auðkenningar fyrir Evrópubúa. Með því að knýja stærstu vettvang (samkvæmt Digital Services Act) til að samþykkja EUDI veskið sem auðkenningsaðferð, skapar eIDAS 2 samhæfa og fullveldisréttandi valkost.

Fyrir B2B fyrirtæki þýðir þetta einnig að samræmi eIDAS 2 getur orðið valkostur fyrir val á birgi í opinberum og einkaaðilum útboðum — líkt og það sem ISO 27001 vottun táknar nú um daginn í innkaupaferlum. Ef fyrirtæki þitt íhugar að þróa núverandi lausn, okkar leiðbeinir um flutning frá DocuSign eða YouSign yfir í Certyneo ítarlegur flutningur taka.

Lagarammi eIDAS 2 og rafræn undirskrift

Viðmiðunartextar

Reglugerð (ESB) 2024/1183 Evrópu þingsins og ráðsins frá 11. apríl 2024 um breytingu á reglugerð (ESB) nr. 910/2014 um stofnun evrópsku rammans fyrir stafræna auðkenningu (eIDAS 2). Birt í STÉB 30. apríl 2024 og tók gildi 20. maí 2024.

Reglugerð (ESB) nr. 910/2014 (eIDAS 1): haldin í gildi fyrir ekki breyttu ákvæði þess, sérstaklega greinum um „veik", „gildandi" og „há" trauststig fyrir tilkynntu auðkenningarskema.

Frönsk borgaralög, 1366. og 1367. grein: Stafræn rit hefur sama sönnunargild og pappírsrit með því skilyrði að sá sem frá honum kemur sé sannarlega auðkenndur og að skjalið sé gert undir skilyrðum sem tryggja heilleika þess. Viðurkennd rafræn undirskrift (QES) samkvæmt eIDAS 2 fullnægir þessum kröfum án fyrirvara.

Reglugerð (ESB) 2016/679 (GDPR): Meðferð auðkenninargagna innan EUDI veskisins er háð meginreglum um lágmörkun (5. grein§1c), tilgangsaðlögun (5. grein§1b) og gagnavernd frá hönnun (25. grein). Viðurkendir þjónustuveitendur eru með stöðu sem sitja ábyrgjir fyrir mismunandi aðgerðum sannprófunar.

Tilskipun (ESB) 2022/2555 (NIS2): flutt inn í frönska lög með lögfestingu nr. 2024-528 frá 12. júní 2024, hún setur skyldu fyrir viðurkennda traust þjónustu fyrir áhættustjórnun og tilkynningu tilvika innan 24 klst.

ETSI staðlar:

• EN 319 132 (XAdES) og EN 319 122 (CAdES): háþróuð snið fyrir rafræna undirskrift.
• EN 319 401: almennar kröfur fyrir traust þjónustuveitendur.
• EN 319 411-1 og 411-2: stefna og öryggiskröfur fyrir CA sem gefa út viðurkennd vottorð.
• EN 319 521: kröfur fyrir viðurkennda þjónustu fyrir varðveislu undirskrifa (QESAP).

Skuldbindingar og löglegar áhættur fyrir fyrirtæki

Hvert fyrirtæki sem notar rafrænar undirskriftir í samningssambandi verður að ganga úr skugga um að undirskriftarstig sem valið er sé viðeigandi fyrir gildi og eðli bréfsins. Fyrir gerðabréf sem háð lagalegri undirskriftarkröfu (sölutilboð, vinnusamningar, innkaupapantanir sem fara yfir ákveðin þröskuld), aðeins QES eða AdES sem byggt á viðurkenndri vottorðsframboð gefur forsendu trúverðugleika sem viðmiðað er í 26. grein eIDAS 2.

Komi til deilunnar snúast sönnunarbyrðar: ef undirskriftin er viðurkennd er það andstæðingur skjalsins sem þarf að sanna breytingu; ef hún er einföld eða há án viðurkenndrar vottorðs liggur sönnunarbyrð á undirritara. Endalok á kröfum um rakstöð og heilleika getur leitt til núllunar bréfsins eða ófær undirskriftar á þriðja aðila.

Notkunartilvik: eIDAS 2 beitt á B2B fyrirtæki

Atburðarás 1 — Ráðgjafastofnun um stafræna umbreytingu (um 80 ráðgjafar)

Ráðgjöf sem leggur starfsmenn sína frá sér hjá viðskiptavinum í nokkrum aðildarríkjum (Frakklandi, Þýskalandi, Hollandi) verður að undirrita hverja mánaðarmót tilskipanir, samningsbreytingar og svörun þrauf. Fyrir eIDAS 2 skapaði stjórnun auðkenningar yfir landamærum núning: neita ákveðinna þýskra viðskiptavina að viðurkenna vottorð gefin af frönsku QTSP, tvöföld auðkenning með tölvupósti ófullnægjandi fyrir viðkvæm bréf.

Með uppsetningu EUDI veskis árið 2026 geta ráðgjafar undirritað frá landsveskum sínum — viðurkennt af öllu aðildarríkjum — án nokkurs núnings. Ráðgjöfstofnun áætlar minnkun 60 til 70% tímans sem varið er í samskipti um staðfestingu á skjölum fyrir undirskrift, um 3 til 4 klst. fyrir hvern ráðgjafa á mánuði samkvæmt benchmarks sem McKinsey Digital (2024) birti.

Atburðarás 2 — Iðnaðarsmáfyrirtæki sem heldur 350 verkefnum með birgjum á ári

Lítil iðnaðarbúnaðarfyrirtæki sem vinnur með um 100 birgja um allt Evrópu og Asíu verður að gera samninga, trúnaðarsamkomulag (NDA) og rammasamninga. Hingað til kom 30% af skjölum án gildrar undirskriftar eða með drögum umfram 10 virka daga.

Með því að samþykkja rafræna undirskriftarlausn sem samræmist eIDAS 2 með auðkenningarstaðfestingu með viðurkenndri auðkenningum (QEAA) getur smáfyrirtækið lagt auðkenningu á undirskrift þar sem auðkenning lögmanns birgja er sjálfkrafa staðfest í gegnum EUDI veskið án handvinna. Ábótum væntir: minnkun á meðaldögum undirskriftar frá 10 dögum í minna en 48 klst., og 40% minnkun á ósáttum vegna ósamræmdra undirskrifa, samkvæmt bilum sem sést var í ELENIUS 2025 skýrslum um B2B stafræna miðlun.

Atburðarás 3 — Fasteignahópur sem stjórnar söluhótti í nokkrum löndum

Net fasteignaskrifstofanna sem starfa í Frakklandi, Spáni og Portúgali verður að undirrita að jafnaði fyrir-samninga milli seljenda og kaupenda mismunandi þjóðernis. QES er krafist í sumum samhengi til að tryggja jafngildi með handritaðri undirskrift fyrir framan lögbókandi.

Með eIDAS 2 og samhæfingu EUDI veskja getur portúgalskur kaupandi undirritað fyrir-samning háð frönsku lögum með portúgalsku veskinu með „há" trauststigi sem sjálfkrafa viðurkennt af undirskriftarkerfi. Hópurinn dregur úr ferðamálakostnaði og lagalegs staðfestingar um 800 til 1.200 evra fyrir hverja þverflokkun, en dregur einnig úr tíma til að ljúka fyrir-samningum frá 3 vikum í 5 daga að meðaltali. Fyrir geira sértæka notkun, okkar síða um rafræna undirskrift í fasteignum útskýrir aðlöguð verkflæði.

Niðurstöður

eIDAS 2 er ekki einföld lagaleg uppfærsla: það er djúp endirbygging á því hvernig stafræn auðkenning og rafrænir traust virka í Evrópu. EUDI veskið, nýjar viðurkenndar þjónustur, samhæfingarskuld og samræmi við NIS2 og GDPR mynda samstillt vistkerfi sem mun breyta samningsferlum og auðkenningum B2B fyrirtækja fram til loka 2026.

Til að vera samræmd og samkeppnishæf verða stærri fyrirtæki að bregðast núna: endurskoðun traustkeðju, val birgi samkvæmt nýjum kröfum og undirbúning stafræna skjalaflæðis fyrir samþættingu evrópska stafrænna auðkenningarveskisins.

Certyneo aðstoðar þig í þessum umbótum með viðurkenndum rafrænum undirskriftarlausnum sem samræmast eIDAS 2 og tilbúnar fyrir 2026. Farðu fram fyrir kynningarmynd eða búðu þér til reikning á Certyneo til að tryggja samninga þína nú þegar.