eIDAS 2 Portefeuille Identité Numérique : Guide 2026

Gildistaka reglugerðar eIDAS 2 markar sagnfræðilegt tímamót fyrir stjórnun stafræns auðkennis í Evrópu. Með EUDI Wallet — European Digital Identity Wallet — hefur hver borgarinn og hvert fyrirtæki bráðlega aðgang að fullvalda, samvirkri og viðurkenndri stafrænu veski í 27 aðildarríkjunum. Fyrir lögfræðideild, mannauðsstjórnun, samræmi og upplýsingatæknisvið opnar þetta regluverk jafnmargar tækifæri og rekstraráskoranir. Þessi grein skýrir tæknilega og lagalega virkni EUDI Wallet, hagnýt áhrif hennar á fyrirtæki og hvernig hún tengist lausnum fyrir staðfesta rafræna undirskrif sem þegar eru til staðar.

Hvað er eIDAS 2 og EUDI Wallet?

Frá reglugerð eIDAS 1.0 til reglugerðar eIDAS 2.0: skipulagsbreytingar

Samþykkt árið 2014, reglugerð eIDAS nr. 910/2014 lagði grundvöll að stafrænni trausti í Evrópu: staðfest rafræn undirskrift, innsigli, tímastimplar og sannvottunarþjónusta. En tugum árum síðar komu takmarkanir hennar í ljós: ófullnægjandi samvirkni milli aðildarríkja, ójöfn samþykkt stafræns auðkennis á landsvísu, engin sameinuð veski. Reglugerð (ESB) 2024/1183, kölluð eIDAS 2, samþykkt formlega 11. apríl 2024 í Stjórnartíðindum ESB, bætir þessi göll með því að setja sameiginlegan ramma fyrir fullvalda stafræn auðkenni.

Til að kynnast öllu nýja regluverk, lestu okkar umfangsmikla leiðbeiningar um reglugerð eIDAS 2.0.

EUDI Wallet: arkitektúr og grundvallarreglur

EUDI Wallet (European Digital Identity Wallet) er farsímaforrit og/eða hugbúnaðarforrit sem hvert aðildarríki verður að gera aðgengilegt borgurum sínum og búsetu sinni eigi síðar en árið 2026, í samræmi við 5a. grein endurskoðuðu reglugerðarinnar. Í raun og veru gerir þetta stafræna veski mögulegt að:

• Geyma og framvísa staðfestum auðkenniseindum : auðkenni, ökuskírteini, gráðu, faglegum skilríkjum, ESB-skattanúmeri fyrir lögaðila.
• Sannvotta notendann fyrir opinberum og einkareknum þjónustum á háu tryggingastigi (LoA High samkvæmt viðauka I reglugerðarinnar).
• Undirrita rafrænt skjöl á hæfu stigi með því að nota staðfesta rafræna undirskriftarbúnaði (QSCD).
• Deila gagnum á markvissan hátt (meginregla um selective disclosure) án þess að gefa upp fleiri upplýsingar en nauðsynlegt er — stór framför fyrir samræmi GDPR.

Arkitektúrinn byggir á tæknilegum skilgreiningum sem gefnar eru út af Framkvæmdastjórn Evrópusambandsins um arkitektúr og viðmiðunarramma (ARF), viðhaldið af EUDIW samstarfshópi (European Digital Identity Wallet). Innleiðingarsnið sem samþykkt eru innihalda meðal annars ISO/IEC 18013-5 (mDL — mobile Driver's Licence) og SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), tvær opnar staðlir sem tryggja flutning.

Hver er viðkomandi? Fyrirtæki sem treysta aðilum (Relying Parties)

Reglugerð eIDAS 2 innleiðir hugtak Relying Party (treystandi aðili). Hvert fyrirtæki — einkaaðilar, stjórnvöld, netkerfi — sem tekur á móti auðkenniseindum frá EUDI Wallet verður að skrá sig hjá aðildarríki sínu og fylgja mengi tæknilegra og öryggismála. Í 5b. grein reglugerðarinnar kemur fram að stór vettvangir (í skilningi DSA) og ákveðnir geirar (bankastarfsemi, heilsugæsla, orka) verða krafnir um að samþykkja EUDI Wallet við innleiðingu á landsvísu.

Tæknivirkni EUDI Wallet fyrir fyrirtæki

Flæði sannvottunar og undirskriftar skref fyrir skref

Að skilja tæknilega flæðið er nauðsynlegt til að sjá fyrir sér samþættingu í upplýsingatæknisistem. Dæmigert atburðarás um undirskrift samnings í gegnum EUDI Wallet fer fram svona:

1. Frumhönnun : Relying Party (td. ykkar SaaS vettvangur) myndar beiðni um kynningu í samræmi við OpenID4VP samskiptareglur (OpenID for Verifiable Presentations).
2. Tilkynning : Notandi fær tilkynningu á EUDI Wallet farsíma sinn.
3. Samþykki og val : Notandi velur hvaða eiginleika á að deila (nafn, fornafn, fæðingardagur) í gegnum viðmót selective disclosure.
4. Sannanir sem hægt er að staðfesta : Veskið myndar dulmálslega sönnun sem undirskrifuð er af treystandi útgefanda (aðildarríkinu eða viðurkenndum veitanda).
5. Staðfesting : Relying Party staðfestir sönnunina í gegnum evrópska traustkerfið (Trust Framework) án þess að geyma óþörf gögn.
6. Staðfest undirskrift : Ef krafist er undirskriftar verks, framleiðir QSCD sem er innbyggður í veskið eða hýst í skýinu (QSign) staðfesta undirskrif sem er í samræmi við ETSI EN 319 132.

Þetta flæði tryggir tryggingastig LoA High, það hæsta sem kveðið er á um í reglugerðinni, jafngilt sannprófun andliti til andlits.

Samþætting við núverandi rafræna undirskriftarkerfi

Útgefendur rafræna undirskriftarlausna verða að samþætta OpenID4VCI (útgáfa) og OpenID4VP (framboð) samskiptareglur til að tengst EUDI vistkerfi. Fyrir fyrirtæki sem nota nú þegar kerfi sem samrýmist eIDAS 1.0, felur umskipti til eIDAS 2 í sér tæknilega uppfærslu, en varðveitir lagagildi undirskrifta sem þegar hafa verið gerðar. Það er því stefnumótandi að meta vegvísi núverandi söluaðila þinn, sérstaklega ef þú ert að íhuga að flytja frá DocuSign eða YouSign til lausnar sem er betur samræmd.

Stafrænt auðkenni lögaðila: áskorun fyrirtækisins

EIDAS 2 takmarkast ekki við einstaklingaðila. Í 5a. grein §3 er beinlínis tekið upp vesku fyrir lögaðila, sem gerir fyrirtækjum kleift að:

• Sanninaðu lögmætan tilvist sína (jafngildi stafrænni, sannanlegri útdrætti frá fyrirtækjaskrá).
• Framselja undirskriftarvald til starfsmanna á endurskoðuðum og afturkallanlegum háttum.
• Gera sjálfvirka KYB sannprófun (Know Your Business) í B2B samningsferlum.

Þessi vídd er sérstaklega umbreytandi fyrir rafræna undirskriftarferla í fyrirtækjum, sérstaklega í mannauðs-, lögfræðideild og fjármálageirum.

Dreifingartímaplan og regluverk skyldur 2024-2026

Innleiðingarfasir samkvæmt reglugerðinni

Reglugerð (ESB) 2024/1183 setur bindandi tímaáætlun:

• Apríl 2024 : útgáfa í Stjórnartíðindum, gildistaka 20 dögum eftir.
• Lok 2024 : útgáfa framkvæmdargerða (Implementing Acts) sem skilgreina skylduuga tækniforskrift.
• 2025 : dreifing á landsbundnum pilótverkum fyrir vesku (EU Digital Identity Wallet Large Scale Pilots verkefni, með fjármögnun um 46 milljónir evra frá Framkvæmdastjórninni).
• Lok 2026 : skyldulegur aðgangur allra aðildarríkja að að minnsta kosti einu EUDI Wallet sem er í rekstri. Stórir vettvangar og eftirlitsgeirar verða að samþykkja hann.

Fyrir frönsk fyrirtæki byggir dreifing á stafrænu auðkenni La Poste og verkum frönsku viðvarningarstofu (ANSSI) varðandi vottunarkerfi treystandi útgefenda á landsvísu.

Skyldur fyrir Relying Parties

Fyrirtæki sem vilja eða verða að samþykkja EUDI Wallet falla undir margar skyldur:

1. Skráning hjá ábyrgu landsbundinni yfirvaldi (í Frökkum, ANSSI og CNIL eftir atvikum).
2. Tæknileg samræmi við skilgreiningar ARF v2.x sem gefnar eru út á GitHub af Framkvæmdastjórninni.
3. Gagnsæi : birta á almennum gagnagrunni eiginleika sem beðið er um og tilgang gagnavinnslu.
4. Lágmarkssamsetning gagna : aðeins krefjast eininga sem eru stranglega nauðsynleg — skylda styrkjuð af GDPR.
5. Skráning : geyma skrár yfir kynningu á sannanlegum gögnum til endurskoðunar án þess að geyma hrá auðkenninu.

Fyrirtæki sem samþætta EUDI Wallet í rafræna undirskriftarflæði sín fyrir lögfræðistofur eða fyrir stjórnun mannauðs munu njóta verulegrar samkeppnisaukningar frá árinu 2026.

Stefnumótandi áhugaáll og tækifæri fyrir fyrirtæki

Minnkun núnings í KYC/KYB ferlum

Ein af bestu strax áhrifum EUDI Wallet er eyðing handvirkra auðkennissannprófunar. Í dag felur innleiðing nýs viðskiptavinar eða samstarfsaðila að senda skjöl með sönnunargögnum á tölvupósti, handvirka sannprófun af lögfræðingahjálp og meðaltunarflutning 48 klukkustundir. Með samþættingu EUDI Wallet sem sannvottunarkerfi, framvísar viðskiptavinurinn stafrænna auðkenni frá veskinu sínu á innan við 90 sekúndum. Staðfest undirskrift er framkölduð hratt, án frekari núnings. Samkvæmt athugasemdum frá stærri prófunum sem gerðir voru á milli 2023 og 2025 dregur svona flæði úr tíma fyrir innleiðingu viðskiptavinar um 60 til 75% og útilokar hættu á innsláttuvillum eða útrunnum skjölum. Skrifstofan öðlast einnig betri samræmi AML-FT, þar sem auðkenniseiningar eru dulmálslega staðfestar af aðildarríki.

Fullveldi stafrænt og minnkun á ósjálfstæði á GAFAM

EUDI Wallet svarar sterka pólitískri yfirætlan: að minnka ósjálfstæði Evrópmanna á kennikerfum sem rekin eru af ekki-evrópskum aðilum (Google, Apple, Meta). Fyrir fyrirtæki þýðir þetta samvirkur, opin og ekki lokuð innviðir fyrir sannvottun, byggðir á ISO og W3C stöðlum frekar en eignarlegum SDK. Þetta fullveldi er einnig söluargument sem aðgreinir í opinberum útboðum, sérstaklega sem eru viðkvæm gagnvart gagnalokastjórn.

Áhrif á staðfesta rafræna undirskrif og QTSP

Viðurkenndir traustsþjónustuveitendur (QTSP — Qualified Trust Service Providers) sjá hlutverk sitt þróast. Með EUDI Wallet geta QSCD verið hýst beint í veskinu eða útveggð QTSP skýi (Remote Qualified Signature). Fyrir fyrirtæki þýðir þetta að staðfest undirskrift — hingað til frátekin fyrir kritiskustu tilfelli vegna flókinnar — verður aðgengileg og skalanlega. Okkar samanburðar á rafrænum undirskriftarlausnum felur nú inn þessa skilyrði EUDI Wallet samhæfðar í greiningu sinni.

Gildandi lagarammi EUDI Wallet og fyrirtæki

Reglugerð eIDAS 2: (ESB) 2024/1183

Grundvallartextinn er reglugerð (ESB) 2024/1183 Evrópuþingsins og ráðsins frá 11. apríl 2024, breytingarReglugerð eIDAS nr. 910/2014. Hún á beint við á öllum aðildarríkjum án þess að krefjast landsbundinnar löggjafar, sem tryggir samræmi á Evrópustigi. Greinum 5a til 5c er skilgreint skyldur varðandi EUDI Wallet, tryggingastig og réttindi notenda. Grein 46f innleiðir sérstakar skyldur fyrir Relying Parties í eftirlitsgeirum.

Franski borgaralög: greinum 1366 og 1367

Samkvæmt frönsku lögum nýtur staðfest rafræn undirskrift sem framleidd er í gegnum EUDI Wallet forsetasannprófun sem kveðið er á um í 1367. grein Borgararalaga : « Rafræn undirskrift felst í notkun áreiðanlegs auðkennisferlisins sem tryggir sambandið við verkið sem fylgi henni.» Áreiðanleiki er forsenað þegar undirskriftin er staðfest samkvæmt eIDAS. Grein 1366 jafngærir rafrænt rit við pappírsrit að skilyrði að höfundur sé auðkenndur og heilleiki sé tryggður — tvö skilyrði sem EUDI Wallet fullnægja frá náttúrunnar hálfu.

GDPR nr. 2016/679: tenging við lágmarkssamsetning gagna

Reglugerð (ESB) 2016/679 (GDPR) gildir að fullu um Relying Parties sem afgreiða auðkenniseiningar sem upprunnnar eru í EUDI Wallet. Meginreglur um lágmarkssamsetning gagna (grein 5 §1c), takmarkanir á tilgangi (grein 5 §1b) og friðhelgi með hönnun (grein 25) verða að vera samþættar frá hönnunarstigi. Selective disclosure sem framboð EUDI Wallet auðveldar tæknilega samræmi, en fyrirtækið ber ábyrgðina (grein 24) á að skrá lagalega grundvöll fyrir vinnslu sinni.

ETSI staðlir og tæknilegir staðlir

Staðfest undirskrift sem framleidd er í gegnum EUDI Wallet verður að fylgja stöðlum ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) og ETSI EN 319 162 (PAdES) fyrir snið fyrir rafræna og staðfesta undirskrif. Fulltrúastefnur eru skilgreindar í ETSI EN 319 401 (General Policy Requirements for Trust Service Providers). Framkvæmdargerðir Framkvæmdastjórnar tilgreina skilyrði fyrir vottunarkerfi Treystandi Útgefenda (stöðull ISO/IEC 27001 og Common Criteria EAL 4+).

NIS2 tilskipun: (ESB) 2022/2555

Rekstraraðilar EUDI Wallet innviða (aðildarríki, Treystandi Útgefendur, QTSP) falla undir skyldur NIS2 tilskipunar (ESB) 2022/2555, innleidd í Frökkum með lögum nr. 2023-703. Fyrir fyrirtæki sem notendur leggur NIS2 skyldur á stjórnun áhættu sem tengist þriðja aðilum (grein 21 §2d), sem felur í sér veitendur lausna sem samþætta EUDI Wallet. Sérstök ályktun um áhættu stafræna birgðakeðjunnar er því ráðlegt fyrir alla dreifingu.

Notkunarsvið EUDI Wallet í fyrirtæki

Svið 1: Lögfræðistofur — auðkennissannprófun og undirskrift umboðsmála

Lögfræðistofur fyrir viðskiptastörf með um 20 starfsmenn fer með margvíslegar hundruðir umboðsmála, deildarskjöl og fullvaldan hvert mánuð. Í dag felur sannprófun auðkennis viðskiptavina að senda réttlætandi skjöl með tölvupósti, handvirka sannprófun af lögfræðingahjálp og flutning sem tekur um 48 klukkustundir. Með samþættingu EUDI Wallet sem sannvottunarkerfi, framvísar viðskiptavinurinn stafrænni auðkenni frá veskinu sínu á innan við 90 sekúndum. Staðfest undirskrift er framleidd strax, án aukinna núnings. Samkvæmt athugasemdum frá prófunum sem gerðir voru á milli 2023 og 2025 dregur svona flæði úr tíma fyrir innleiðingu viðskiptavinar um 60 til 75% og útilokar hættu á innsláttuvillum eða útrunnum skjölum. Skrifstofan öðlast einnig betri samræmi AML-FT, auðkenniseiningar eru dulmálslega staðfestar af aðildarríki.

Svið 2: Lítil iðnfyrirtæki — stjórnun birgðasamninga og undirskriftareftirlýsingar

Lítil iðnfyrirtæki með um 100 starfsmenn hagar um 300 birgðasamningum á ári og felur það með sér innkaupa ábyrgðarmenn sem dreifast á þrjá staði. Stjórnun undirskriftaeftirlýsinga er í dag skjalfest á pappír og erfitt að endurskoða. Með EUDI Wallet fyrirtæki (lögaðili), getur stjórnun úthlutað sannanlegum eftirlýsingum til hvers innkaupastjóra: samningamörk, landfræðilegur gildissvið, gildistíma. Þessir eiginleikar eru geymdir í vesku starfsmannsins og framvísaðir sjálfvirkt við hvert verkefni. Við brottfarir eða starfaskipti er afturköllun samstundis og endurskoðuð. Þessi kerfi minnkar hættu á deilum um samninga tengda óheimilum undirskriftum og bætir traustið fyrir innri endurskoðun. Fjármáladeild skýrir almennt um 30 til 40% lækkun á tíma sem tileinkaðist stjórnun og sannprófun aðflutnings.

Svið 3: Sjúkrahúshópur — samþykki sjúklinga og aðgangur að heilsugögnum

Sjúkrahúshópur sem samanstendur af nokkrum stofnunum og um 1 500 heilbrigðisstarfsmönnum standa frammi fyrir auknum áskorunum varðandi samþykki sjúklinga, sérstaklega fyrir aðgang að deildargögnum heilsugæslugagna gegnum Mon Espace Santé. Samþætting EUDI Wallet sem samþykkiskerfi gefur sjúklingi möguleika á að staðfesta, frá snjallsíma sínum, aðgang læknir til sinna gagna, með tilgreiningu tíma og gildissvið aðgangsins. Selective disclosure tryggir að aðeins viðeigandi heilsugögn séu deilt. Fyrir heilbrigðisstarfsmenn veitir veskið RPPS númer þeirra (Shared Repository of Healthcare Professionals) sem sannanlegur eiginleiki, sem útilokar núverandi handvirka sannprófunarferli. Þessi tegund dreifingar, sem er í samræmi við ramma Evrópska heilsugagnavistkaupa (EHDS), getur minnkað tíma fyrir aðgang að heilsuleyfilegum gögnum frá mörgum klukkustundum í nokkra sekúndu. Til að læra meira um geira sérstöðu, okkar leiðbeiningar um rafræna undirskrif í heilsugæslu útskýrir gildandi regluverkskröfur.

Niðurlausn

EUDI Wallet og reglugerð eIDAS 2 mynda mikilvægustu umbreytingu stafræns auðkennis Evrópu í áratug. Fyrir fyrirtæki er málefnið ekki bara að fylgja nýrri reglu, heldur að nýta tækifæri til að endurbæta í grundvallaratriðum undirskrifar-, innleiðingar- og eftirlýsingaferla sína. Lögfræðilegir, mannauðs-, heilsu- og iðngeirar eru í forgrunni. Árangurslykillinn felst í fyrirfinningu: Mat á samhæfingu núverandi tóla þinn nú þegar, þjálfun starfsmanna þinna og val á samstarfsaðilum sem vegvísir er í samræmi við eIDAS 2.

Certyneo fylgir fyrirtækjum í þessum umskiptum með rafræna undirskriftarplatformu sem hönnuð er fyrir samhæfðu EUDI Wallet við dreifingu hennar. Uppgötvaðu okkar tilboð og byrjaðu óendanlegur til að búa þig undir 2026 með fullri hugarró.