Transition eIDAS 1 gegn eIDAS 2: áhrif á undirritun árið 2025

Þann 20. maí 2024 var reglugerðin (ESB) 2024/1183 — almennt kölluð eIDAS 2 — birt í Stjórnartíðindum Evrópusambandsins og felldi úr gildi smám saman reglugerð nr. 910/2014 (eIDAS 1). Þessi texti táknar umfangsmesta endurbót á stafrænni auðkenni og rafrænum undirritun í Evrópu síðan 2016. Fyrir frönsk fyrirtæki sem nota lausnir á rafrænum undirritum í samningavinnslu sinni er þessi breyting ekki formlegir málbúnaður: hún felur í sér tæknilegar, lagalegar og skipulagslegar breytingar sem ná til ársins 2026 og lengra. Skilningur á flutningi frá eIDAS 1 til eIDAS 2 og áhrifum hans á rafræna undirritun árið 2025 er því orðinn forgangsatriði fyrir lögfræðilegar deildir, IT-stjórnendur og HR-stjórnendur. Þessi grein skýrir grundvallarbreytingar á lagalegum ramma, nákvæma tímaáætlun flutningsins og konkretar aðgerðir til að halda reglufylgni.

Það sem reglugerðin eIDAS 2 breytir í grundvallaratriðum

Frá reglugerðinni 2014 til endurskipulagningar 2024: hvers vegna var endurskoðun nauðsynleg

EIDAS 1 hafði sett grunninn að gagnkvæmri viðurkenningu á rafrænum undirritum innan Evrópusambandsins. Þrjú skipulög — einföld (SES), ítarlög (AdES) og fullgild (QES) — skipulögðu sönnunargild undirritanna og byggðu á lista yfir trauststjónustuveitendur (TSL). En á tíu árum komu fram tvær meginskortir.

Í fyrsta lagi átti reglugerðin frá upphafi aðallega við um samskipti við opinberar stjórnvöld (G2B, G2C). Hún skapaði ekki beinar skyldur í einkaviðskiptum (B2B, B2C), sem skildi eftir réttarlausa rými sem hver aðildarríki fyllti á ólíkan hátt. Í öðru lagi hafði aukning stafrænna þjónustu — farsímaforrits, opins bankastarfsemi, fjartækna — leitt í ljós skortur á burtu-, samvinnufærri stafrænum auðkenniskerfi á álfköstum.

EIDAS 2 bregðist við þessum tveimur áskorunum með því að kynna evrópska veskið fyrir stafræna auðkenni (EU Digital Identity Wallet, EUDIW) og stækka umfang trauststjónustanna til nýrra notkunar: hæfa rafræna skjalasöfnun, vottun á hæfðum eiginleikum, hæf rafræn skrár (þ.m.t. auðkennd blockchain-forrit).

Nýir flokkar hæfra trauststjónusta

Reglugerðin eIDAS 2 útvíkkar listann yfir hæfa trauststjónusta (3. og endurskoðuð viðauki IV). Auk undirrita, innsigli og tímamerkja sem þegar eru viðurkennd af eIDAS 1 eru nú hæf:

• Þjónusta hæfrar rafrænnar skjalasöfnunar (30. gr. biss): skylda til að varðveita heilleika og lesanleika stafrænt undirritaðra skjala til lengri tíma, með auknum kröfum fyrir veitendur (QTSP).
• Þjónusta við stjórnun hæfra fjarstýrðra undirritunartækja (QRCD): aukið rammaflokk lausna fyrir fjarstýrða undirritun í gegnum HSM (Hardware Security Module) ský.
• Vottun á hæfðum eiginleikum: kerfi sem gerir þriðja aðila kleift að staðfesta eiginleika aðila (td réttarstöðu lögfræðings, stöðu læknis) án þess að birta auðkennið alfarið.
• Hæf rafræn skrár: viðurkenning á dreifðum skrám við strangar skilyrði endurskoðunargetu og sérstöðu.

Fyrir notendur lausna á rafrænum undirritum þýðir þessi útvíkkun að hæf trauststjónusta á markaðnum mun auka fjölbreytni og að valviðmið fyrir val á veitanda (QTSP) verður að innihalda þessa nýju getu.

EUDIW: stafræna auðkennisvesk sem innviðir undirritunar

Sýnilegasta nýjung eIDAS 2 er EUDIW. Hvert aðildarríki verður að gera aðgengilegt fyrir borgara sína og búfasta stafræna auðkennisvesk gjaldfrjáls, samvinnufær við öll önnur aðildarríki, eigi síðar en 26. nóvember 2026 (frestur til að fullnægja landsbundnum kröfum samkvæmt 5. gr. biss). Þetta vesk mun gera kleift:

• að sannvotta notandann með há tryggindastig (LoA High) án þess að leita til aðila sem er til sannvottunar;
• að skrifa rafrænt undir skjöl með fullgiltri gildingu (QES) beint frá veskinu;
• að deila völdum auðkennaeiginleikum (selective disclosure), og þar með virða meginregluna um gagnavinnu GDPR.

Fyrir fyrirtæki einfaldaði EUDIW fræðilega ferla sannvottunar fyrir undirritun sem er fullgild, og fjarlægðir núning myndbands- eða persónutengs auðkenning. Í reynd mun áhrifið ráðast af hraða innleiðingar á landsvísu — Frakkland hefur hafið tilraunapróf árið 2025 sem hluta af áætluninni „France Identité".

Nákvæm tímaáætlun fyrir flutning frá eIDAS 1 til eIDAS 2

Reglulegu tímamótin sem þarf að vita

Reglugerðin 2024/1183 tók gildi 20. maí 2024, en beiting hennar er smám saman. Hér eru lykilmilestólar:

| Dagsetning | Atburður | |------|----------| | 20. maí 2024 | Útgáfa á JOUE, formleg innleiðing | | 20. nóvember 2024 | Frestur fyrir samþykkt framkvæmdaverkanna frá framkvæmdastjórninni (tæknilegar forskriftir EUDIW) | | Lok 2025 | Útgáfa endurútgáfinna ETSI-staðla (EN 319 411-1/2, EN 319 401) með kröfum eIDAS 2 | | 26. maí 2026 | Frestur fyrir reglufylgni aðildarríkja á nýjum flokkum hæfra þjónusta | | 26. nóvember 2026 | Skylda til að gera EUDIW aðgengilegt fyrir hvert aðildarríki | | 2027-2028 | Fullkomin endurskoðun landsbundinna trauststjóna (TSL) og viðurkenning nýrra QTSP |

EIDAS 1 er enn gilt og undirrit sem gefin eru út samkvæmt því halda fullri lagalegri gildi. Það er engin skylda til að endurundirrita núverandi skjöl. Hinsvegar verða hæfir trauststjónustuveitar að endurnýja viðurkenningu sína samkvæmt nýjum tæknilegum stöðlum fyrir árið 2027.

Það sem breytist ekki og það sem á að fylgjast með

Samfelldni er meginregla flutningsins. Þrír flokkar undirrita (SES, AdES, QES) eru haldnir með óbreyttum skilgreiningum. Forsenda um jafngildi við handskrift sem tengist QES (25. gr. eIDAS 1, endurtekin á 27. gr. eIDAS 2) er enn gild. Sönnunargild núverandi undirrita þinna er ekki sett til endurskoðunar.

Það sem á að fylgjast með hinsvegar: framkvæmdarverkir (implementing acts) gefnir út af Framkvæmdastjórn Evrópusambandsins yfir 2025-2026 munu setja nákvæmum tæknilegum forskriftum á EUDIW og nýjum flokkum þjónusta. Þessi 2. stigs texti hafa umtalsvert hagnýtt mikilvægi fyrir sameinaðir og hugbúnaðarútgefendur. Fyrir fyrirtæki sem nota rafræna undirritun í HR-ferlum eða lagalegum ferlum er mælt með því að biðja veitanda um vegvísi um reglufylgni eIDAS 2.

Raunveruleg áhrif á fyrirtæki og lausnir þeirra á undirritun

Hvaða verkflæði eru mikilvæg í forgangi?

Flutningur frá eIDAS 1 til eIDAS 2 hefur ekki sömu áhrif eftir því hvaða undirritun er notuð. Fyrir fyrirtæki skera sig þrjár aðstæður úr:

Einföld rafræn undirritun (SES): notuð fyrir breytingar á litlum gildum, staðfestingu á móttöku, innri eyðublöð. Engin skylda til tafarlausrar enduruppfærslu. Sannandi reglur eru enn stjórnað af borgaralögum (gr. 1366-1367) en ekki beint af eIDAS.

Ítarleg rafræn undirritun (AdES/AdESQC): fyrirtæki sem nota B2B-lausnir fyrir viðskiptasamninga, stafræna ráðningarsamninga eða fasteignasamningssamning verða að ganga úr skugga um að veitandi þeirra haldi reglufylgni við endurbættu ETSI-staðla EN 319 132 (XAdES), EN 319 122 (CAdES) og EN 319 142 (PAdES). Þessir staðlar verða birtir af ETSI fyrir lok 2025.

Fullgild rafræn undirritun (QES): hæfir veitendur (QTSP) verða að fara í nýja viðurkenningu eIDAS 2. Flutningartímabilið gefur hæfilega frestunarforrit (til ársins 2027), en útboð sem sett eru árið 2025 ættu að fela í sér skilyrði um reglufylgni eIDAS 2 í völdum viðmiðum. Fyrir stofnanir sem bera saman tiltæka valkosti er samanburður á lausnum rafrænnar undirritunnar leyfir mat á þroska ritstjóra um þetta efni.

Nýjar kröfur fyrir hæfa trauststjónustuveitendur (QTSP)

EIDAS 2 herðir kröfur sem gilda um QTSP á þremur helstu atriðum:

1. Öryggi kerfa: skylduaðlögun við NIS2 (tilskipun (ESB) 2022/2555) fyrir QTSP, sem eru nú flokkuð sem nauðsynlegar aðilar. Þetta skilaboð um tilkynningarskyldur atvika innan 24 klukkustunda, árleg öryggisúttektir og framkvæmd áætlana um samfellu rekstrar.

1. Aukna ábyrgð: 13. grein eIDAS 2 útvíkkar skaðabótareglu fyrir QTSP. Ef sannað misferli á sér stað er sönnunarbyrðin snúin við: veitandinn verður að sýna fram á að hann hafi ekki brotið gegn ókunnáttu og ekki öfugt.

1. Skylda samvinna: QTSP verða að birta staðlaðar API sem samhæfa EUDIW til að gera innbyggða samlegð auðkenningsveska möguleg. Þessi krafa mun flýta nútímavæðingu samlegða viðmóta sem eru tiltæk fyrir forritara.

Fyrir fyrirtæki sem hyggja á að skipta um veitanda í þessu samhengi er flutningur frá DocuSign eða YouSign til lausnar sem er í samræmi við eIDAS 2 verkefni sem ætti að búa sig undir þá en ekki í brýnu árið 2027.

Persónuupplýsingar og eIDAS 2: samspil GDPR

EUDIW safnar og vinnur persónutengda auðkennaupplýsingar. Reglugerðin eIDAS 2 kveður skýrt á (tillöguorð 11 og 5. gr. biss §14) að allt tækið verði að vera í samræmi við GDPR (reglugerð (ESB) 2016/679). Nokkur atriði til athygli:

• Valkvæm birtingarmöguleiki: vesk verður að veita notandanum kleift að deila aðeins þeim eiginleikum sem eru nauðsynlegir fyrir viðskipti (meginregla um lágmörkun, 5. gr.(1)(c) GDPR). Fyrir undirritun samnings gæti aðeins verið deilt á getu til fullorðins manns án þess að birta heila fæðingardeild.
• Flutningur utan ESB: gögn um auðkenni sem unnin eru innan ramma EUDIW er ekki heimilt að flytja utan EES nema með fullnægjandi tryggingum (46. gr. GDPR). Veitendur sem nota tölvuskýjamannvirki Bandaríkjanna verða að veita skjöl um reglufylgni.
• Varðveisla undirritunarlogs: skjalasöfnun sönnunar um undirritun verður að virða varðveislutíma sem er hlutfallslegur eðli skjalsins. Nýja hæfa skjalasöfnunarþjónusta eIDAS 2 veitir tæknilegt rammaflokk til að fullnægja þessari kröfu.

Fyrirtæki sem halda alþjóðlegum ráðningarsamningum eru sérstaklega tengd þessari GDPR/eIDAS 2 samlegð, sérstaklega þegar undirritaðir búa utan ESB.

Lagalegur rammi sem á við um flutning frá eIDAS 1 til eIDAS 2

Tilvísunir í texta

Flutningurinn byggir á uppsöfnun á textum sem nauðsynlegt er að ná tökum á:

Á evrópskum stigi:

• Reglugerðin (ESB) nr. 910/2014 (eIDAS 1): enn gild þar til hún er felld úr gildi smám saman af eIDAS 2. Skilgreinir þrjá flokka undirrita (SES, AdES, QES) og reglu QTSP.
• Reglugerð (ESB) 2024/1183 (eIDAS 2): tók gildi 20. maí 2024. Breytir umtalsvert eIDAS 1 án þess að fella það alfarið úr gildi. Ákvæði um EUDIW gilda um leið og framkvæmdarverkir eru birtir.
• Reglugerð (ESB) 2016/679 (GDPR): á við um meðhöndlun auðkennaupplýsinga innan ramma EUDIW og undirritunarferla. 5. gr. biss §14 af eIDAS 2 endurminni þessa forgangsröðun skýrt.
• Tilskipun (ESB) 2022/2555 (NIS2): setur aukin öryggisorð fyrir QTSP sem eru nú flokkuð nauðsynlegar aðilar. Innleidd í franska lög með skipun nr. 2024-821 frá 20. júní 2024 (yfirlýsingu á framkvæmd).

Á frönsku stigi:

• Borgaralög, 1366. og 1367. grein: undirstaða sannargilda rafrænna ritunga. 1366. grein setur jafngildi rafræns ritunga og pappírs undir skilyrðum. 1367. grein gefur fullgiltri undirritun (QES) sömu sönnunargetu og handskriftarundirritun.
• Tilskipun nr. 2017-1416 frá 28. september 2017: skýrir skilyrði fyrir notkun rafrænnar undirritunnar í einkasamningum sem eru undirritaðir. Verður áfram notuð á flutningartímabili.
• Almennt öryggisviðmið (RGS) v2: fyrir frönsk stjórnvöld leggur RGS skylduna á notkun lausna sem ANSSI hvíslar. Uppfærsla hans til að innihalda eIDAS 2 er vænt á árinu 2026.

Tæknilegar ETSI-staðlar sem eiga við

ETSI-staðlar mynda 3. stig staðlaflokks. Núverandi útgáfur sem eiga við:

• EN 319 132-1/2: XAdES-snið (ítarleg XML-undirrit)
• EN 319 122-1/2: CAdES-snið (ítarleg CMS-undirrit)
• EN 319 142-1/2: PAdES-snið (ítarleg PDF-undirrit)
• EN 319 401: almennar kröfur fyrir veitendur trauststjónusta
• EN 319 411-1/2: kröfur fyrir AC sem gefa út hæf vottorð

Þessir staðlar verða endurbættir fyrir lok 2025 til að fella inn nýjar kröfur eIDAS 2. Samningar við QTSP verða að innihalda ákvæði um uppfærslu á endurbættum útgáfum án aukaverðs.

Lagalega áhætta af mangandi reglufylgni

Undirrit gefin út af veitanda sem væru ekki lengur viðurkenndir eftir 2027 myndu ekki sjálfkrafa missa löggilda fyrir þá skjöl sem þegar hafa verið undirrituð, en myndu ekki lengur njóta löglegrar forsendna um jafngildi við handskrift (25. gr. eIDAS). Sönnunarbyrðin um heilleika og auðkenni undirritara myndi þá hvila alfarið á fyrirtækinu ef deilur myndu upp komast. Þessi sannandaski er sérstaklega viðkvæmur fyrir aðgerðum þar sem fyrningarfrestur er langur (5 ár í viðskiptamálum, 30 ár fyrir fasteignarétti).

Notkunarsvið: hvernig stofnanir bera sig undir flutning eIDAS 2

Dæmi 1: lögfræðistofan með 25 starfsmenn hagræðir reglufylgni skjala sinnar

Lögfræðistofnun sérhæfð í verslunarrétti, með um 25 starfsmenn og mikla starfsemi við undirritun umboða, framsal og samkomulaga, notuð til ársins 2024 ítarlega undirritunarlausn (AdES) fyrir alla flæði sína. Við tilkynningu um eIDAS 2 gerði stofnunin endurskoðun á 1.200 skjölum sem undirrituð voru árlega til að bera kennsl á þau sem þurfa QES samkvæmt nýjum meðmælum frá dómsstofum sinni.

Niðurstaða: 15% af aðgerðum (um 180 á ári) voru endurflokkaðar í fullgilta undirritun, sem tryggði sannaðan lagalegan stöðu þessara skjala. Stofnunin semjaði við ritstjóra sinn um undirritun ákvæðis sem tryggði reglufylgni eIDAS 2 við útgáfu framkvæmdarverka án aukaverðs. Stjórnunartími sem tengist sannvottun auðkennis undirritara minnkaði um 40% þökk fyrir forsendingu samlegðar EUDIW sem er áætluð fyrir 2026.

Dæmi 2: lítil iðnaðarfyrirtæki með 150 starfsmenn tryggir samningabanda sína við birgja

Lítil iðnaðarfyrirtæki sem halda um 350 birgjasamningum á ári — innkaupapantanir, NDA, rammasamningar — virkuðu tveimur sérstökum undirritunarlausnum fyrir innri og ytri flæði sína, sem skapaði skiptingu á endurmati endurskoðunar. Í samhengi við flutning eIDAS 2 og nýjar kröfur um hæfa skjalasöfnun ákvað IT-deildin að sameina vettvang sinn.

Með flutningi á eina lausn sem inniheldur hæfa rafræna skjalasöfnun (framtíðarflokk eIDAS 2) gæti fyrirtækið minnkað kostnað við örugga geymslu um 30% og styrkt sönnun sína um undirritun í stafrænu íslandi sem er í samræmi. Allir skjalaflæðir eru nú skoðunaðir á innan við 2 mínútum við ytri ábyrga athugun — þörf sem stærst er frá geirum þeirra í bíliðnaðinum.

Dæmi 3: spítalarsamtök með um 600 rúm undirbúa samlegð EUDIW

Opinbir spítalarsamtök nota fullgilta rafræna undirritun fyrir sína læknisfræðilega samninga og almenning bæjakaup, samkvæmt skyldum laga um almenna kaup. Með eIDAS 2 bera IT-þjónustur tvær forgangsvægar spurningar: framtíðarsamlegð "France Identité" veska fyrir óháða lækna sem starfa í stofnuninni og NIS2-reglufylgni QTSP sinni.

Samtökin hafa skráð í stafrænu stefnumótandi skipulagningum 2025-2028 sérstakt lotu "eIDAS 2-reglufylgni" með áætluðum fjárhagsáætlun 45.000 € fyrir tæknilega flutning og þjálfun starfsmanna. Markmið er að geta tekið við undirritum í gegnum EUDIW við innleiðingu á innlendum stigi sem er áætluð fyrir nóvember 2026, og þar með minnka samningaferla við sjálfstæða heilbrigðisstarfsmenn um 3 daga í minna en 4 klukkustundur að meðaltali samkvæmt aðgengilegum viðmiðum geirans.

Niðurstaða

Flutningur frá eIDAS 1 til eIDAS 2 er ekki rof heldur skipulögð þróun, með nákvæmri tímaáætlun sem nær til 2027. Áhrif á rafræna undirritun eru raunveruleg — stækkun hæfra þjónusta, tilkoma EUDIW, herðing krafna NIS2 fyrir QTSP — en stýrjanleg svo lengi sem þau eru forsend. Fyrirtæki sem bregðast við núna njóta svigrúms til að endurskoða verkflæði sín, tryggja samninga sína við veitendur og þjálfa liði sína án þrýstings reglusamfellunarkröfu.

Certyneo fylgir fyrirtækjum í þessum flutningi með skýrri vegvísi um reglufylgni eIDAS 2, undirritunarsniðum sem eru haldin uppfærðum og högun sem er tilbúin fyrir EUDIW-samlegð. Tilbúin til að tryggja undirritunarbeitu þinni í þessum nýja lagalegum ramma? Uppgötvaðu tilboð okkar og byrjaðu ókeypis á Certyneo.