Viðurkenning eIDAS á milli standa: gildi í Evrópu 2026

Inngangur: Hvers vegna gagnkvæm viðurkenning eIDAS er stefnumótandi málefni

Á evrópskum sameiginlegum markaði þar sem greiðslur yfir landamæri eru hærri en 4.000 milljarðar evra á ári, hafa spurningar um lagalega gildi rafrænna undirskrifta fyrir utan innlend landamæri orðið afgerandi. Reglugerð eIDAS nr. 910/2014 — og þróun hennar eIDAS 2.0 í gegnum reglugerð ESB 2024/1183 — var hönnuð til að takast á við þetta vandamál. Gagnakerfi hennar um gagnkvæma viðurkenningu tryggir að rafræn undirritun sem gefin er út í einu aðildarríki sé löglega viðurkennd í öllum 27 aðildarríkjum. Þessi leiðarvísir sýnir grundvallaratriði, takmörkun og hagnýt áhrif þessarar meginreglu fyrir evrópsk fyrirtæki árið 2026.

---

Meginreglan um gagnkvæma viðurkenningu: lagalegir grundir og löggæsla

ReglugerðeIDAS byggir á einni einfaldri en byltingu fyrir stafrænt lögfræði Evrópu: Þegar traust þjónustukerfi er fullnægt í einu aðildarríki nýtur það réttmætis fyrir hlutdeild í allri Evrópusambandinu. Þessi meginregla er útlistuð í grein 25, stafsetning 3 reglugerðarinnar: „Rafræn undirritun sem gefin er út á grunni fullnægts skírteinis gefið út í einu aðildarríki er viðurkennd sem rafræn undirritun sem fullnægir öllum öðrum aðildarríkjum."

Þrír flokkar undirritana og viðurkenning þeirra

EIDAS aðgreinar þrjá flokka rafrænnar undirritunna, og aðeins hinn fullnægskaflokki nýtur fullrar gagnkvæmrar viðurkenningar sjálfkrafa:

• Einföld rafræn undirritun (SES): lagaleg gildi viðurkennd um alla Evrópu, en ekki gert ráð fyrir hlutdeild við handskrifaða undirskrift. Hennar hlutaðkenning fer eftir innlendu lögum.
• Háð rafræn undirritun (SEA): tengd á einstakan hátt við undirritara, mögulegt að greina ef breyting á sér stað. Viðurkennd um alla ESB sem sannandi sönnunargögn, en án sjálfkrafa lagalegrar forsendu um jafngildi við handskrifaða undirskrift.
• Fullnæg rafræn undirritun (SEQ): búin til með fullnægu tæki til þess að búa til undirritun (QSCD) og byggt á fullnægu skírteini gefinu út af fullnægðum veitanda trausts þjónustu (QTSP) sem skráð er á innlenda traustaefni (TSL). Hún nýtur fullrar gagnkvæmrar viðurkenningar og er löglega jöfn handskrifaðri undirskrift í öllum aðildarríkjum.

Til þess að fá dýpra skilning á aðgreiningu þessara flokka, er heildstæður leiðarvísir um rafræna undirritun gagnlegur tilvísun.

Innlend traustaefni (TSL): tæknilegt kerfi viðurkenningarinnar

Viðurkenningarkerfið á gagnkvæmum grundum byggir á Trusted Service Lists (TSL), opinberum skrám sem hvert aðildarríki hefur umsjón með og sem ESB-framkvæmdarstjórnin hefur eftirlit með. Safnað evrópsk efnorðlisti, birtur á eTL gátt (European Trusted List), telur allt magn fullnægðra traust þjónustveitenda ESB.

Í júní 2026 teljast meira en 280 fullnæg þjónustuveitendur skráðir á þessum listum, sem deila 27 aðildarríkjum. Skjal undirritað af QTSP frá Frakklandi er því sjálfkrafa viðurkennt í Þýskalandi, Spáni eða Póllandi án aukalegs stjórnsýsluverks. Þetta er hjartarót gagnkvæmra viðurkenningargerfis eIDAS.

---

eIDAS 2.0: framfarir reglugerðarinnar varðandi gagnkvæma viðurkenningu yfir landamæri

ReglugerðESB 2024/1183, kölluð eIDAS 2.0, sem tók gildi 20. maí 2024, styrkir gagnkvæmt viðurkenningarramma verulega. Stærsti nýjungin er innleiðing Evrópulegrar stafrænu auðkennis veskis (EUDI Wallet), sem framkvæmd tilskipun þess er smám saman samþykkt á 2025–2026.

EUDI-hnefinn og ný traustaarkitektúr

EUDI-hnefinn mun gera hverjum borgara og búsetum ESB kleift að hafa gert ráð fyrir lokaðri stafrænu auðkenningu sem viðurkennd er í öllum aðildarríkjum. Fyrir rafræna undirritun felur það í sér:

• Auðveldt aðgengi að fullnægum skírteinum í gegnum veskið, án þess að treysta á langar auðkennisferla sem eru með hverri veitanda.
• Flytjanleika auðkenniseiginleika: gráður, fagleg númer, sektorgefin eiginleikar (læknar, lögfræðingar, löggiltir opinberir óskrifaðir) viðurkenndir yfir landamæri.
• Rafræn undirritun með hæfu fjarlægu aðgangi (QES remote), staðfestuð af stöðlum ETSI EN 119 431 og EN 119 432, verður viðmiðunarmáta fyrir faglærða ferðamenn.

Til að fá yfirganginn á fullum breytingum sem eIDAS 2.0 kynnti skaltu skoða okkar sérstakan leiðarvísi um reglugerð eIDAS 2.0.

Ný fullnæg traustaþjónusta kynnt af eIDAS 2.0

EIDAS 2.0 víkkar út lista yfir fullnæga traustaþjónustu í sjö nýja flokka, sem meðal annars innihalda:

• Þjónusta við fullnæga rafræna geymslu (Qualified Electronic Archiving Services)
• Þjónusta fullnægra rafrænna skrár (Qualified Electronic Ledgers — gildandi fyrir opinberar blokkakeðjur sem samræmast)
• Þjónusta við stjórnun tækja til að búa til fullnæga undirritun í fjarlægum aðgangi

Hver ein þessara nýju þjónustu mun njóta viðurkenningarkerfisins á gagnkvæmum grundum, og stækka þannig meginregluna langt umfram einfalda undirskrift.

---

Hagnýt takmörk viðurkenningarinnar: það sem fyrirtæki ættu að vita

Þó að meginreglan sé skýr löglega, hefur framkvæmd hennar í reynd mikilvæg blæbrigði sem hver ábyrgðaraðili fyrir dómsmálum eða IT-stjóra þarf að samþætta í undirritunarstefnu sinni.

Sérfræðileg undantekning: innlend lög sem eru æðri

EIDAS segir skýrt í 2. gr., staf. 3, að reglugerðin á ekki við um gerðir skrifa sem krefjast beinlínis endalaust notaraliðs eða annarra myndunar auðkennings sem er takmörkuð fyrir opinbera starfsmenn. Í reynd verða tiltekin skjöl áfram háð innlendu lögum:

• Í Frakklandi: óyggurlegt framboð (fasteign, gjöf, ákveðin samsetning fyrirtækis) krefjast þess að leita til löggiltins opinbeaks óskrifaðs og geta ekki verið að öllu leyti rafvædd í gegnum einfalda SEQ.
• Í Þýskalandi: notaraliðkerfið (auðkenning með opinberum löggiltum) fyrir árslokahluti GmbH hlutaforma haldast utan eIDAS.
• Í Ítalíu: tiltekin sambands- eða skipulags skjöl krefjast opinbers starfs (atto pubblico).

Þessar undantekningar verða að vera teiknað með vandvirkni við viðskipti yfir landamæri sem fela í sér skjöl með miklum áhættu.

Spurningin um fullnæga tímastimpla og lögafræðilega varðveislu

Viðurkenning gagnkvæmra undirritana gefur aðeins til gildi á þeim tíma undirskrift. Langtímageymslur gildi sannargagna krefst notkunar á fullnægum tímastimpilþjónustu (QTS) og fyrir skjöl geymslu fullnægðu rafrænni geymsluþjónustu. Án þessara tækja gæti rafræn undirritun sem fullnægir geymt það gildi ef skírteini rennur út eða er afturkallað, jafnvel þó hún væri gild á undirritunartíma.

ETSI EN 319 132-1 (XAdES) og EN 319 122-1 (CAdES) staðlir skilgreina snið undirritana fyrir langtímageymslu (LTA — Long Term Archival), sem felur í sér sönnunargögn sem nauðsynleg eru fyrir framtíðarsannprófun, jafnvel í gagnkvæmnu landamærasamhengi.

Samvirkni tækni: undirritasnið sem samþykkt eru

Löglegar gagnkvæmar viðurkenningar tryggja ekki sjálfkrafa tæknilega samvirkni. Aðildarríkin kunna að hafa mismunandi óskir eða tæknilegar kröfur:

• XAdES (XML Advanced Electronic Signatures) — ráðlegt fyrir XML-skjöl og vefverkflæði
• PAdES (PDF Advanced Electronic Signatures) — staðall í raun fyrir PDF-skjöl, en er almennt samþykktur um alla ESB
• CAdES (CMS Advanced Electronic Signatures) — fyrir tvöfalda skjöl eða EDI-skipti
• ASiC (Associated Signature Containers) — ílöt sem flokka skjöl og undirskrift

Val á sniðinu ætti að vera ákveðið fyrirfram, sérstaklega þegar skjöl verða að vera unnin af opinberum skrifstofum frá þriðju löndum. Til þess að bera saman lausnir markaðarins á þessum forsendum, er samanburður á rafrænum undirritunarlausnum gefur nákvæm greiningu.

---

Hagnýt framkvæmd hjá evrópskum fyrirtækjum

Fyrir fyrirtæki sem starfa í mörgum löndum Evrópu, krefst þess að setja upp stefnu fyrir rafræna undirritun sem samræmist eIDAS og nýtir fulllega gagnkvæma viðurkenningu skipulagðrar aðferðar.

Kortlagning á flæðum yfir landamæri

Fyrsti skrefið er að bera kennsl á flæði skjala eftir:

1. Búsetuland undirritara — ákvarðar hvaða QTSP hentar best (nálægð, tungumál, auðkennslerki)
2. Stig undirritana sem krafist er — samkvæmt eðli lagarannsóknar og aðstæðna í hverju landi
3. Atvinnugreinin — sumar atvinnugreinar (heilbrigðisvæði, fjármál, vörn) hafa viðbótarðörf um innlenda samræmi

Þessi kortlagning er sérstaklega mikilvæg fyrir alþjóðleg vinnusamningar, þar sem gildandi réttur getur verið mismunandi eftir stað framkvæmdar samnings.

Samþætting í upplýsingakerfi

Nútímaleg API fyrir rafræna undirritun gerir kleift að stjórna flóknu viðurkenningarkerfinu á gagnsæ hátt fyrir endanlegum notanda. Tengill sem samræmist eIDAS ætti að birta:

• Kraft valið af undirritunstigi samkvæmt samhengi
• Rauntímastaðfestingu á skirteinastöðu (OCSP/CRL) við QTSP útgefanda
• Fullnægt tímastimpla kerfisbundið
• Myndum sannprófunarskýrslur sem flytjanlegar eru (Validation Reports samkvæmt ETSI EN 319 102-1)

Fyrir fyrirtæki sem vilja flytja úr núverandi lausn yfir á vettvang sem er innfærð í eIDAS 2.0, er leiðarvísirinn flutnir frá DocuSign eða YouSign yfir í Certyneo lýsir helstu skrefum.

Stjórn og þjálfun löglegra teymis

Mannleg hlið helst afgerandi. Lögfræðingar, innkaupi og sölumenn sem taka þátt í viðskiptum yfir landamæri verða að fá þjálfun um eftirfarandi:

• Aðgreina undirritunarstig sem krafist er eftir landi og tegund handritunar
• Staðfesta hinn fullnægða stöðu QTSP um evrópska traustaefna
• Tilgreina val á undirritunarstigum innan stefnu sem er innlend og andstæðu
• Vita um endalaust beitta í tilfelli deilna um undirritun í þriðja aðildarríki

Lagalegur ramminn sem gildir um gagnkvæma viðurkenningu eIDAS

ReglugerðeIDAS og grunnstjórnsýslutextar

Lagaleg grunn gagnkvæmrar viðurkenningar rafrænnar undirritunnar í Evrópu byggir á nokkrum lykilgildum sem nauðsyn ber að trúa:

Reglugerð (ESB) nr. 910/2014 frá Evrópuþingi og ráðinu (eIDAS): grunnstofnatexti sem ákvarðar löglegt hóf fyrir fullnæga traustaþjónustu og helgar gagnkvæma viðurkenningu rafrænna undirskrifta í 25. gr. Sinn 46. málsgr. kveður á um að rafræn skjöl geti ekki neitað lagalegum áhrifum fyrir það eitt að vera í rafrænu formi.

Reglugerð (ESB) 2024/1183 (eIDAS 2.0): breyti reglugerðinni frá 2014, kynnir EUDI veskið, stækkar listann yfir fullnæga traustaþjónustu og styrkir skuldbindingar aðildarríkja um að samþykkja tilkynnt rafrænt auðkenni.

Frönsku borgaralögmál, greinar 1366 og 1367: 1366. grein kveður á um að „rafrænt framboð hefur sömu sannargögn og framboð á pappíri, með fyrirvara um að réttri henni sé kleift að bera kennsl á þann sem hún kemur frá og að hún sé sett og varðveist við skilyrði sem eru talin ábótavænlegar til að tryggja heilleika hennar. Sinn 1367. málsgr. jafngildir rafræn undirskrift sem öryggðuð við handskrifaða undirskrift.

Skyldur þjónustveitenda og ábyrg

QTSP (Qualified Trust Service Providers) eru háðir strangum skyldum samkvæmt 24. gr. reglugerðar eIDAS:

• Strangar auðkenningsferlar fyrir beiðendur um skírteini (augliti til andlits eða rafrænt jafngilt með eftirliti)
• Framboð á skírteinisstöðu sannprófunarþjónustu (OCSP) dyggilega
• Tilkynning á öryggisatburðum fyrir innlenda yfirmannorgan (í Frakklandi: ANSSI) innan 24 tíma
• Varðveisla á endurskráningu a.m.k. 20 ár eftir lok þjónustuútvegunar

Ábyrg QTSP getur komist til marks með broti á þessum skyldum, samkvæmt 13. gr. reglugerðarinnar.

Samhæfing við GDPR

Auðkenning og staðfestingu á aðferðum sem felur í sér afhendingu fullnægra skírteina felur í sér meðhöndlun persónuupplýsinga (lífkenni, auðkenni). Reglugerð (ESB) 2016/679 (GDPR) gildir að fullu. QTSP er skylt að tilnefna DPO, framkvæma áhættumat (DPIA) fyrir meðferð með miklum áhættu og hlíta hömmul gögnum.

Flutningur auðkennupplýsinga til QTSP sem eru komin utan ESB þarf að uppfylla kröfur V. kafla GDPR, sem takmarkar í raun samningabundna vinnu utan EES fyrir fullnæg skírteini.

Tæknilegir staðlar til viðmiðunar

Tæknilegur framfæri rafrænna undirskrifta sem fullnægja eru skilgreind af ETSI stöðlum:

• ETSI EN 319 411-1 og -2: kröfur fyrir ógildar stofnanir sem gefa út fullnæg skírteini
• ETSI EN 319 132-1: XAdES snið fyrir háðar og fullnægar undirskriftir
• ETSI EN 319 122-1: CAdES snið
• ETSI EN 319 162-1: ASiC snið
• ETSI EN 319 102-1: aðferðir til að staðfesta undirskriftir

Vanefnding á þessum stöðlum getur leitt til þess að þjónustukerfi sé flokkaðs og þar með missi styrkleika gagnkvæmrar viðurkenningar.

Notkunarmyndir af gannkvæmri viðurkenningu eIDAS

Atburðarás 1: Franskur-þýskur iðnaðarhópur og birgðasamningar hans yfir landamæri

Miðlungs iðnaðarhópur (ETI) með höfuðstöðvar í Frakklandi og framleiðsludeild í Þýskalandi stjórnar um 350 birgðasamningum á ári, sem fela í sér undirritara í báðum löndum. Fyrir innleiðingu rafrænnar undirritunarlausnar sem samræmist eIDAS var meðaltal undirritunartíma fyrir samning yfir landamæri 12 virka dagar, vegna endurútsendininga og krafa um þýðingu og auðkenningu.

Með dreifingu vettvangur sem leggur til rafrænu undirskriftir sem fullnægja í gegnum QTSP sem eru skráðir á traustaefnum Frakka og Þýskra, hefur hópurinn dregið þennan tíma niður í minna en 48 klukkustundir. Auðgun gagnkvæmrar viðurkenningar eIDAS gerði það kleift að forðast endalaust umræðu um lagargildi skjala á þýskri hliðinni. Samkvæmt viðmiðum sem gefin eru út af sérstökum skrifstofum, hefur svona dreifing dregið úr skjalavinnslukostnaði um 60 til 75 prósent og 40 prósent lækkun á deilum samninganna vegna umdeildra undirskrifta.

Atburðarás 2: Lögfræðistofnun sem starfar með lögum Evrópu um viðskipti

Viðskiptalögfræðistofnun með um 20 félaga, sem sérhæfir sig í samruna og yfirtökum yfir landamæri innan ESB, stendur reglulega frammi fyrir viðskiptum sem fela í sér undirritara sem búa í þremur til fimm löndum (venjulega Frakkland, Lúxemborg, Holland, Belgía og Pólland). Hvert viðskipti færir milli 15 og 40 skjöl sem á að skrifa samtímis af mörgum aðilum.

Með því að taka upp rafræna undirritunarlausn sem fullnægir og viðurkennd er gagnkvæmum samkvæmt eIDAS hefur stofnunin geta til að minnka lokadaga um 5 til 10 virka daga að meðaltali. Stofnunin gat einnig eytt grindum og þörf fyrir lagalegum skerfingu fyrir sína einstaklinga, sem eru mikil kostnaðar- og tímastjórkir. Aukin rekjanleiki (endurskráning, fullnæg tímastimpal) hefur jafnframt aukið dómsvarnaðaröryggi skjalanna fyrir dómstólum margra aðildarríkja.

Lögfræðistofnanir sem vilja skipuleggja stafræna starfsemi sína munu finna tafarlaus ávinning í lausn sem er innfærð í eIDAS.

Atburðarás 3: Alþjóðleg HR þjónustudeildarleið sem stjórnar vinnusamningum á mörgum löndum

Starfsmenntunarfyrirtæki sem aðstoðar fyrirtæki sem vilja stunda ráðningu á evrópskum mælikvarðum stjórnar hundruðum vinnusamninga mánaðarlega fyrir starfsmenn sem búa í mismunandi aðildarríkjum. Fjölbreytni aðstæðna (samninga frönsku réttarins fyrir fjarvinnu sem búa í Spáni, belgískra samninga fyrir tímabundið flutninga, osfrv.) skapar flókna skjalaverkfreið.

Þökk sé gagnkvæmri viðurkenningu eIDAS hefur deildin staðlað undirritarferli sinn á háðri rafrænni undirskrift fyrir algenga samninga og fullnæga undirskrift fyrir athafnir með mikilli áhættu (samningaslitum, starfsrétti). Starfsmenn ESB skrifa með auðkenningarferli sem vinnur fjarhlút samkvæmt eIDAS, án líkamlegra ferða. Hlutfall samninga sem hætti hefur lækkað úr 35 prósentum í minna en 5 prósent eftir innleiðingu farsímaskilgreindra viðmóts, og þjálfunartími nýs starfsmanns hefur verið minnkaður úr 8 dögum í minna en 24 klukkustundir að meðaltali.

Ályktun

Gagnkvæm viðurkenning eIDAS er einn af mikilvægustu styrkleikum stafræns réttarfars Evrópu. Með því að tryggja að rafræn undirritun sem gefin er út í einu aðildarríki sé að fullu gild í 26 öðrum, útilokar reglugerðin helstu lagalegu hindranir fyrir viðskiptum yfir landamæri sem eru ókeypis stafr. EIDAS 2.0 eykur þessa hreyfingu með því að víkka út umfang fullnægrar þjónustu og kynnir EUDI-hnef sem flutning fyrir fullnæga stafræna auðkenningu.

Fyrir evrópsk fyrirtæki krefst það að nýta sér þennan ramma af vettvange fyrir undirritun sem er innfærð í eIDAS-kröfum, geta til að velja rétt stig undirritunnar eftir samhengi og stuðst við fullnæga QTSP í viðkomandi löndum.

Certyneo var hannað til að taka beint til þessara sjónarmiða. Uppgötvaðu okkar eiginleika, prófaðu frjáls vettvang eða biddu um sérhæfða kynningu til að meta hvernig Certyneo getur varið þá skjalflæðistinn þína yfir landamæri frá og með í dag.