eIDAS 2 á móti eIDAS 1: Lykilbreytingar fyrir SME

Inngangur: Hvers vegna eIDAS 2 breytir leiknum fyrir SME

Frá 20. maí 2024 hefur reglugerðin (ESB) 2024/1183 — almennt kölluð eIDAS 2 — tekið gildi og afturkallar og kemur í stað reglugerðar (ESB) nr. 910/2014 (eIDAS 1) stigvaxandi. Fyrir frönsk SME er þessi skiptimynt ekki einungis einföld stjórnsýslubreyting: hún endurskilgreinir traustarstig fyrir stafræna auðkenningu, kynnir evrópska stafræna auðkenningsvesku (EUDIW), styrkir kröfur á þjónustuveitendur sem treysta fyrir sér og víkkar svið viðurkenndra þjónustu. Þessi grein ber saman eIDAS 1 og eIDAS 2 beinum beinum, auðkennir áhrifin á rekstur fyrir lítil og meðalstór fyrirtæki og gefur þér aðgerðaáætlun til að vera í samræmi árið 2026.

---

1. Endurminning: hvað eIDAS 1 lagði fram (2014-2024)

1.1 Undirstöður upphaflegrar reglugerðar

Samþykkt í júlí 2014 og gildisfull síðan september 2016 lagði eIDAS 1 fyrstu steina að evrópskum stafrænum traustsvæði. Hún kynnti þrjár stórar flokkanir rafrænar undirskriftir — einfaldar (SES), háþróaðar (AdES) og viðurkenndar (QES) — og stofnaði lista yfir traustverðlega þjónustuveitendur (Trusted List), sem hægt er að skoða á gátt framkvæmdastjórnarinnar.

Fyrir SME var stærsti framlag eIDAS 1 þjóðlæg viðurkenning á viðurkenndum undirskriftum: samningur undirritaður með QES frá Frökkum var löglega viðurkenndur í Þýskalandi, Spáni eða Ítalíu án apostille eða viðbótarformsatriða. Þessi regla — kennd við „non-discrimination" — var undirstaðan sem SaaS-tilboð eins og Certyneo byggðu þjónustu sína á.

1.2 Þær takmarkanir sem auðkenndar voru

Þrátt fyrir framfarir þjáðist eIDAS 1 af nokkrum göllum sem var skjalfest af framkvæmdastjórninni í matsskýrslu sinni frá 2021:

• Brot af auðkenningskerfum: Aðeins ríkið sem hafði tilkynnt sinn landsbundna kóða (eins og FranceConnect+ á verulegu stigi) nutu innbyrðis viðurkenningar. Árið 2023 höfðu aðeins 14 ríki af 27 tilkynnt samþykktan kóða.
• Engin innfærð farsímaöflun: Hinn viðurkenndi búnaður til að búa til undirskrift (QSCD) krafðist oft snjallkorts eða efnislegs tákns, sem truflaði farsímaöflun.
• Takmörkuð þjónusta fyrir traust: eIDAS 1 skráði níu tegundir viðurkenndra þjónustu; ný not (viðurkennd rafræn geymsla, stjórnun eiginleika) voru ekki með lögum.
• Engar sameinaðar auðkenningsvesku: Hver borgarinn eða fyrirtæki stjórnaði auðkennunum sínum á einangruðum hátt án þess að tryggt væri samvirkni.

Þessar takmarkanir hvöttu framkvæmdastjórnina til að hefja endurskoðun árið 2020, sem leiddi til reglugerðar eIDAS 2 eftir þriggja ára samningaviðræður.

---

2. Fimm helstu nýjungar eIDAS 2 fyrir SME

2.1 Evrópsk stafræn auðkenningaveska (EU Digital Identity Wallet — EUDIW)

Þetta er sýnilegustu nýjung reglugerðarinnar. Fyrir nóvember 2026 (flutningsfrestur sem settur er fram í 5a. grein) verður hvert ríkisfélag að bjóða að minnsta kosti eina stafræna auðkenningsvesku sem er vottuð fyrir borgara sína og búsetu. Fyrir SME hefur þessi þróun tvær beinar afleiðingar:

1. Einfalduð auðkenning viðskiptavina og samstarfsaðila: Veskið mun gera það mögulegt að deila staðfestu eiginleikum (aldur, virðisaukaskattsnúmer innan sambandsins, útdráttur frá Kbis, vottuð bankaupplýsingar) án núnings. Rammasamningur með þýskum samstarfsaðila gæti verið undirritaður eftir tafarlausa staðfestingu á faglegum eiginleikum hans frá hans EUDIW.
2. Skyldur til að samþykkja fyrir ákveðnum geirum: Þjónusta á netinu stærstu vettvanga (45bis. grein) og ákveðin opinber þjónusta verða að samþykkja EUDIW sem leið til auðkenningar. SME sem veita B2B-gáttir verða að aðlaga API-heitanir sínar fyrir auðkenningu.

2.2 Framlenging lista yfir viðurkennda þjónustu fyrir traust

eIDAS 2 deilir ekki út vöruflutningum viðurkenndra þjónustu fyrir traust frá 9 til 14 flokkum. Nýju færslurnar sem snerta beint SME eru:

• Viðurkennd rafræn geymsla (45septies. grein): langtímageymsla með auknum sönnunargildi. Hingað til var geymsla með sönnunargildi studd þjóðlegum kóðum (í Frakklandi, SIAF/ANSSI-viðmið); eIDAS 2 samhæfir evrópska ramma.
• Fjarhaul stjórnun á viðurkenndum búnaði til að búa til undirskrift (RQSCD): nú með beinum hætti með lögum, það leysir tvíðu sem voru þunga fyrir skýjaflutning viðurkenndra undirskriftarlausna. Fyrir SME sem er 50 starfsmenn, þetta þýðir aðgang að viðurkenndum undirskriftum án efnislegs tákns, frá hvaða tæki sem er.
• Viðurkennd rafræn skráningarþjónusta: Skrár sem standa á blockchain eða dreifðri höfuðbókatækni geta nú fengið viðurkennt stöðu, sem opnar leið að nýjum líkönum fyrir samningsastjórnun.

Til að fá frekari upplýsingar um undirskriftarstig og löggildi þeirra skaltu skoða okkar heildargálp um rafrænar undirskriftir.

2.3 Styrkleiki á öryggisgötum fyrir viðurkennda þjónustuveitendur (QTSP)

eIDAS 2 herðir skyldur viðurkenndra þjónustuveitenda fyrir traust (QTSP). Breytt 24. grein kveður sérstaklega á um:

• Vottunarrit fyrir netvörn í samræmi við evrópska ramma (EU Cybersecurity Act, reglugerð 2019/881), með geirum sem eru í þróun af ENISA.
• Auknar kröfur um rekstraryrkja: QTSP verða nú að skjalfesta framhaldanlegri áætlun sína og leggja hana fram til tilskilins lands (í Frokklandi, ANSSI fyrir viðurkennda þjónustuveitendur).
• Skylda til að tilkynna öryggisatburði innan 24 klst (samhæfing við NIS 2).

Fyrir SME sem notendur, þetta skilar sér auknum aðgæslum við val á þjónustuveitandanum: sannpróun að þinni undirskriftarlausn er rétt á uppfærðum traustalistanum fyrir Evrópu er nú gagnrýnið skref í kaupferlinu. Okkar samanburð á undirskriftarleysnum getur aðstoðað þig við þessa greiningu.

2.4 Lögboðin samvirkni auðkenningakerfanna

Þar sem eIDAS 1 gaf ríkjunum frelsi til að tilkynna (eða ekki) sitt skipulag, gerir eIDAS 2 tilkynningu og samvirkni lögboðna fyrir auðkenningakerfin sem notuð eru í opinberrri þjónustu á netinu (5. grein). France Identité — landsbundinn kerfi sem stýrt er af innanríkisráðuneytinu — er í vinnslu til að koma í samræmi við tæknilýsingar EUDIW, sem framkvæmdastjórnin gaf út í reglugerð (ESB) 2024/2977.

Fyrir SME sem hefur með reglulegu samskipti við opinbera stjórnsýslu (opinber samningar, rafræn skattskýrslur, tolla, þessari þróun þýðir að verklagsið á netinu verður smám saman sameinað um stakan og viðurkenndan stafræna auðkenni út um allt ESB.

2.5 Ný reglur um ábyrgð og eftirleit

eIDAS 2 skýrir og útvíkkar ábyrgðarreglur þjónustuveitenda (breytt 13. grein). QTSP ber nú gert ráð fyrir að beri ábyrgð á öllum skaða sem hlýst til einstaklings eða lögaðila af því að brjóta skuldbindingar sínar, nema endalaust fullyrta um skorti á sök. Þessi forsenda um ábyrgð, styrkt miðað við eIDAS 1, ætti að hvetja SME til að:

• Formfesta með samningi skuldbindingarnar frá þjónustuveitandanum (SLA, framboð, bætur).
• Sannpróa netvarnir og ábyrgðartryggingu fyrir faglegt ábyrg QTSP.
• Geyma sönnun um endurskoðun á undirskriftum (tímastimpilskrá, undirskriftarstaðfestingarskýrslur).

Okkar liðir hafa skrifað ítarlega handbók um rafræna undirskrift í fyrirtæki sem tekur á þessum samningamálum.

---

3. Samanburðartafla eIDAS 1 á móti eIDAS 2: hvað breytist í reynd

3.1 Samantekt um helstu þróun

| Málefni | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Auðkenningaveska | Vantar | EUDIW lögboðin (ríkisríki) | | Viðurkennd þjónusta | 9 flokkar | 14 flokkar (geymsla, RQSCD, skrár…) | | Tilkynning kerfa | Valfrjáls | Lögboðin fyrir opinbera þjónustu | | Öryggi QTSP | Common Criteria málstef | Cybersecurity Act + ENISA skipulag | | Ábyrgð QTSP | Hlutabundin | Styrktuð forsendu um ábyrgð | | Frasending atburðar | Ekki tilgreint | 24 klst (samhæfing NIS 2) | | QSCD farsími | Réttarlegur óvissu | RQSCD með skýrum hætti heimilað |

3.2 Helstu tímamót til að muna fyrir 2026

• Maí 2024: Reglugerð (ESB) 2024/1183 tekur gildi.
• Nóvember 2026: Frestur fyrir hvern ríkisfélag að bjóða að minnsta kosti eina vottuða EUDIW lausn.
• 2027: Skylda fyrir stóra vettvanga (45bis. grein) að samþykkja EUDIW sem leið til auðkenningar.
• 2028: Fyrirhuguð endurskoðun á tæknilegum framkvæmdasamningum (framkvæmdareglur á EUDIW einkennum).

Ef þinn SME hyggst flytja yfir á fullnægjandi lausn, okkar flutningsframboð til Certyneo innifalið er auðkenning á samræmi eIDAS 2 gefin ókeypis.

---

4. Hagnýt aðgerðaáætlun til að setja SME þína í samræmi við eIDAS 2

4.1 Endurskoðun gagna um núverandi skjöl

Byrjaðu á því að kortleggja alla ferla þar sem þú ert nú að nota rafræna undirskrift eða stafræna auðkenningu: samningar við birgja, launaseðla án pappírs, SEPA-umboð, trúnaðarsamningar, verkstjórnun. Fyrir hvern flæði, auðkenni:

• Undirskriftarstig sem notað er (SES, AdES, QES).
• Núverandi þjónustuveitandi og stöðu hans á Trusted List.
• Lögrégluleg áhættu ef deilt.

Þessi endurskoðun er upphafspunktur sem ANSSI mælir með í leiðbeiningu sinni um samræmi sem gefin var út í mars 2025.

4.2 Uppfæring undirskriftarleysnarinnar þinnar

Ef núverandi þjónustuveitandi þinn er ekki á Trusted List eIDAS 2 eða býður ekki ennþá RQSCD, það er kominn tími til að bera saman tilboð markaðarins. Certyneo er QTSP sem vottuð er sem tekur tillit til allra þriggja undirskriftarstig (SES, AdES, QES) og innbyggðra frá ný kröfu eIDAS 2, sérstaklega viðurkennd geymsla og fjarvirkni stjórnun tækja.

4.3 Þjálfun starfsmanna og uppfæring samninga

eIDAS 2 styrkar sönnunargildi viðurkenndra undirskriftir en kveður einnig á um góða starfsemi í skjölum. Gakktu úr skugga um að réttarlegar og stjórnunarteymi þín:

• Vita hvernig á að aðgreina þrjú undirskriftarstig og löggildi þeirra.
• Samþætta í birgjasamningum sátt um endurskoðun á samræmi eIDAS.
• Geyma sönnun um staðfestingu undirskriftar (staðfestingarskýrsla, viðurkennd tímastimpil) meðan gildandi lagaúrvinnsla gildistíma (3 til 10 ár eftir eðli athæðunnar).

Til að skipuleggja þessa nálgun, okkar reiknivél ROI fyrir rafrænar undirskriftir mun gera þér kleift að magn rekstrarhagnaðinn sem tengist uppfærslu.

Gildandi lagarammi

Tilvísanir í texta

Samræmisaðlögun eIDAS 2 fyrir SME frönska er sett inn í efnislegum lagalögum sem nauðsynlegt er að kunna.

Reglugerð (ESB) 2024/1183 frá Evrópaþingi og ráðinu (kölluð „eIDAS 2"): þetta er stofnritið, gefið út á OJEU 30. apríl 2024. Það afturkallar og kemur í stað reglugerðar (ESB) nr. 910/2014 samkvæmt útfærðum tímaáætlun til loka 2027. Það er með beinum hætti beitingu í öllum ríkjum án þess að flutningslög sé þörf fyrir helstu ákvæðin.

Reglugerð (ESB) nr. 910/2014 (eIDAS 1): sum ákvæði hennar halda gildi sinni meðan á flutningartímabilum eIDAS 2 stendur, sérstaklega fyrir viðurkennda þjónustuveitendur sem fengu viðurkenningu fyrir maí 2024 og hafa tíma til endurvottunar.

Borgaralög frönsku, 1366. og 1367. gr: 1366. grein setur fram jöfnunarhæfni milli rafræns ritunar og pappírsritunar, með fyrirvara um að „sá sem gefur hana þarf að geta verið rétt auðkenndur og það skal framkvæmt og geymt við aðstæður sem ætlað er að tryggi heilleika þess". 1367. grein viðurkennir rafræna undirskrift sem sönnunarmáta, með vísun til skilyrða sett með skilun (dekrét nr. 2017-1416 frá 28. september 2017, kóðað á gr. R. 1369-1 til R. 1369-10 borgaralaganna).

Reglugerð (ESB) 2016/679 (GDPR): útfærsla EUDIW og meðhöndlun auðkenningaeiginleika í flæðum rafrænar undirskriftar eru meðhöndlun persónuupplýsinga samkvæmt GDPR. SME verða að tryggja að QTSP þeirra virkar sem vinnuherji samkvæmt 28. grein GDPR, með DPA (Data Processing Agreement) sem er samkvæmt. CNIL gaf út í janúar 2026 tilmæli um EUDIW-GDPR samþættingu.

Tilskipun (ESB) 2022/2555 (NIS 2): eIDAS 2 samhæfist með skýrum hætti NIS 2 fyrir skyldir um tilkynningu atburða (24. gr., 2. málsgrein eIDAS 2 og vísanir NIS 2 ákvæðum). QTSP er talinn vera „ósnortin" eða „mikilvæg" eining samkvæmt NIS 2 eftir stærð og í samræmi þar með reglulega skoðað öryggi.

ETSI staðlar: viðurkenndar rafrænar undirskriftir verða að farið samkvæmt ETSI staðlum EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) og ETSI EN 319 102-1 (staðfestingarferli). ETSI TS 119 461 staðallinn stýrir auðkenning frá fjarlægð (IDV), sérstaklega tilefni fyrir RQSCD.

Réttarleg áhætta ef ekki er farið eftir

Notkun rafrænar undirskriftarlausnar sem er ekki í samræmi við eIDAS 2 útsetur SME fyrir mörgum áhættum:

• Óhæfi fyrir dómstóla: dómari getur hafnað rafræn undirskrift þar sem stigið passar ekki við verkstjórnun (t.d. einföld undirskrift fyrir athæðu sem krefst háþróaðs eða viðurkenndra stigs).
• Samningabundin ábyrgð: ef samningur deilir af því að undirskrift sé ógild, SME getur verið útsettur fyrir skaðabótakröfum.
• GDPR refsingar: ef gögnin eru brotin vegna öryggishanda þjónustuveitanda, SME, aðal eða meðábyrgð, getur verið refsuð af CNIL allt að 4% af árlegum heimsviðlegum tekjum (83. gr. 4. málsgrein GDPR).

Aðstæður nota í reynd

Aðstæður 1: Iðnaðar-SME um 80 starfsmenn stjórna 400 birgjasamningum á ári

SME í málmvinnslugeiri sem saman yfir 400 birgjasamningum á ári notaði til 2024 einfalda rafræna undirskriftarlausn (SES) fyrir allar skuldbindingar, þar á meðal rammakóða samningar yfir 50 000 €. Eftir endurskoðun á samræmi eIDAS 2, var það komist að 35% af samningum hans þurftu háþróaðar eða viðurkenndar undirskriftir til að standast réttarlegum ágangi, sérstaklega við birgja sem stofnaðir væru í öðrum ESB-ríkjum.

Með flutningi til lausnar sem sameinuðu háþróaða undirskrift (AdES) fyrir venjulega samninga og viðurkennda undirskrift (QES) fyrir rammakóða, og með sjálfvirkni viðurkenndri geymslu (ný eIDAS 2 þjónusta), þessi SME minnkaði um 70% tíminn sem eytt var að stjórna skjölum eftir undirskriftir (skjalfestingu, leit, sending vottuð afrit) og úrvinna á núll málefni tengd undirskriftum á 18 mánaðir eftir, miðað við tveir atburðir 18 mánaðir fyrir áður.

Aðstæður 2: Lögfræðilegur ráðgjafarskrifstofa með 15 samstarfsmönnum

Skrifstofa sem sérhæfuð er í réttarlegum málum fyrirtækja, gefa út að meðaltali 1 200 undirritaðar athæðu á ári (bréf um verkefni, umboð, trúnaðarsamningar), stóð frammi fyrir vaxandi eftirspurn frá sinum fyrirtækjaviðskiptavinum fyrir viðurkenndum undirskriftum auðkennanlegar um allt ESB. Undir eIDAS 1, fengið á viðurkenndri vottunarskírteini nauðsynleg andlit-til-andlit aðgerð eða langur myndbandsstofnu (45 til 90 mín fyrir hvern notanda).

Takk fyrir RQSCD (Remote Qualified Signature Creation Device) stýrt af eIDAS 2, skrifstofu gat auðkennað viðurkenndum undirskriftum fyrir allt starfsmanna sína innan tveggja vikna, með 100% fjarsmeðferð enroll ferli samkvæmt ETSI TS 119 461 staðli. Innri innleiðingu var farið frá 40% til 95% innan þriggja mánaða, og meðaltal seinkun skiluðu undirskriftum athæðum var minnkað um 4,2 dögum til innan 6 klst samkvæmt innri mælingu skrifstofu.

Aðstæður 3: SME rafverzlun sem starfar í þremur ESB-löndum

Rafverzlunarfyrirtæki með 35 starfsmenn og starfandi í Frokklandi, Belgíu og Hollandi vertu að stjórna þremur tegund rafkerfa athæðu: ráðningarsamningum fyrir starfsmenn sína staðbundnu, samstarfssamningum með flutningafyrirtækjum, og SEPA-umboðum fyrir sína viðskiptavin. Spraggi af landsbundnum kröfum undir eIDAS 1 nauðgaði honum að hafa þrjá aðskilda undirskriftur verkflæðis, með stjórnunarkostnaðar metinn um 12 000 € á ári.

Innleiðingu á einni lausn í samræmi við eIDAS 2 — samþætting innbyrðis viðurkenning viðurkenndra undirskrifta í þremur löndum — myndu einfalda verkflæðis, minnka stjórnunarkostnað á um 4 500 € á ári (sparnaðar 62%) og losna um sökka tengd handvirkri staðfestingu erlendu undirskrifta við réttarstarfsemi.

Lokaorð

eIDAS 2 er ekki einföld endurskoðun á grunni sem myndar neit reglunarmyndunum: hún endurskilgreinir í heilinni tilskipingarreglulegum leiknum sem treysta fyrir sér stafrænt í Evrópu. Fyrir frönsk SME, fimm helstu þróun — EUDIW veska, framlengingu viðurkenndra þjónustu, RQSCD, lögboðin samvirkni og aukna ábyrgð — eru bæði skylda við samræmi og tækifæri til að flýta fyrir stafrænum framkvæmdum.

SME sem sjáist fyrir framan breytinga dags verða og njóta raunhæfra samkeppnis ætlandi: samningir viðurkenndir um allt ESB án núnings, geymsla með sönnunargildi innbyggðir, og allir rafrænum undirskriftar ferlar og vernda.

Certyneo er hönnuð til að standa með þessari flutningi. Byrjaðu ókeypis tilraun á certyneo.com og njótaðu endurskoðunar á samræmi eIDAS 2 fyrir þín núverandi skjalflæðis ókeypis.