eIDAS 2 vs eIDAS 1: pagrindiniai pokyčiai KMU

Įvadas: kodėl eIDAS 2 keičia KMU situaciją

Nuo 2024 m. gegužės 20 d. reguliavimas (ES) 2024/1183 — paprastai vadinamas eIDAS 2 — įsigaliojo, panaikinant ir palaipsniškai keičiant reguliavimą (ES) Nr. 910/2014 (eIDAS 1). Prancūzų KMU perspektyvoje šis pokytis nėra tik paprasta administracinė atnaujinimo procedūra: jis iš naujo apibrėžia skaitmeninio pasitikėjimo lygius, pristato Europos skaitmeninės tapatybės piniginę (EUDIW), sustiprina pasitikėjimo paslaugų teikėjams keliamus reikalavimus ir išplečia pripažintų paslaugų sritį. Šis straipsnis palygins eIDAS 1 ir eIDAS 2 detalizuotai, nustatys konkrečius operacinius poveikius mažosioms ir vidutinėms įmonėms ir jums suteiks veiksmų planą, kaip 2026 m. likusti atitinkantiems reikalavimus.

---

1. Atgaivinimas: ką numatė eIDAS 1 (2014-2024)

1.1 Pradinio regulavimo pamatai

Priimtas 2014 m. liepos mėn. ir galiojimas pradėtas nuo 2016 m. rugsėjo, eIDAS 1 nustatė pirmuosius Europos skaitmeninio pasitikėjimo erdvės akmenimis. Jis pristatė tris dideles elektroninio parašo kategorijas — paprastą (SES), išplėstinę (AdES) ir kvalifikuotą (QES) — ir sukūrė pasitiklinų paslaugų teikėjų sąrašą (Trusted List), prieinamą Komisijos portale.

KMU perspektyvoje pagrindinė eIDAS 1 naujovė buvo tarpsienos kvalifikuotų parašų pripažinimas: kontraktas, pasirašytas su prancūzų QES, buvo teisiškai pripažintas Vokietijoje, Ispanijoje ar Italijoje be apoštilyje ar papildomos procedūros. Šis principas — vadinamas „nediskriminacijos" — liko pagrindu, ant kurio SaaS sprendimai, tokie kaip Certyneo, pastatė savo paslaugas.

1.2 Nustatyti apribojimai

Nepaisant savo laimėjimų, eIDAS 1 kentėjo nuo keleto spragų, kurį dokumentavo Komisija savo 2021 m. vertinimo ataskaitoje:

• Tapatybės schemų fragmentacija: tik tos valstybės narės, kurios pranešė apie savo schemą (pavyzdžiui, FranceConnect+ daugialyg lygis), naudojosi abipusiu pripažinimu. 2023 m. tik 14 iš 27 valstybių narių buvo pranešusios apie atitinkamą schemą.
• Nėra gimtojo mobiliųjų įrenginių palaikymo: kvalifikuotas parašo kūrimo įrenginys (QSCD) dažnai reikalavo smart kortelės arba aparatinės žetonos, sulėtindamas mobiliųjų įrenginių priėmimą.
• Ribotos pasitikėjimo paslaugos: eIDAS 1 sąraše buvo devyni kvalifikuotų paslaugų tipai; nauji naudojimo atvejai (elektroninis kvalifikuotas archyvavimas, atributų valdymas) nebuvo reguliuojami.
• Nėra vienodos tapatybės piniginės: kiekvienas pilietis ar įmonė valdė savo identifikatorius atskirai, be garantuoto tarpoperabilumo.

Šie apribojimai paskatino Komisiją pradėti peržiūrą jau 2020 m., čia atsirado eIDAS 2 reguliavimas po trijų metų trikampio diskusijų.

---

2. Penki didieji eIDAS 2 naujumai KMU

2.1 Europos skaitmeninės tapatybės piniginė (EU Digital Identity Wallet — EUDIW)

Tai ryškiausia regulavimo naujovė. Iki 2026 m. lapkričio mėnesio (perkėlimo terminas, nustatytas 5a straipsnyje), kiekviena valstybė narė turi pasiūlyti savo piliečiams ir gyventojams bent vieną sertifikuotą skaitmeninę tapatybės piniginę. KMU perspektyvoje šis pokytis turi dvi tiesiogines pasekmes:

1. Supaprastinta kliento ir partnerio autentifikacija: piniginė leis dalintis patikrintais atributais (amžius, artūrinis pridėtinės vertės mokesčio numeris, Kbis ištrauka, patvirtinti banko duomenys) be trukdžių. Pagrindinį susitarimą su vokiečių partneru bus galima pasirašyti po momentinio jos profesinių atributų patvirtinimo iš jos EUDIW.
2. Priimti reikalavimas tam tikriems sektoriams: didelių platformų interneto paslaugos (45bis straipsnis) ir tam tikros valstybinės paslaugos turi priimti EUDIW kaip autentifikacijos būdą. KMU, teikiančios B2B portalus, turės pritaikyti savo autentifikacijos API.

2.2 Kvalifikuotų pasitikėjimo paslaugų sąrašo išplėtimas

eIDAS 2 išplečia kvalifikuotų pasitikėjimo paslaugų katalogą iš 9 į 14 kategorijų. Naujos įrašai, tiesiogiai susijęs su KMU, yra:

• Kvalifikuotas elektroninis archyvavimas (45septies straipsnis): ilgalaikis saugojimas su sustiprintu įrodymų svarbu. Iki šiol archyvavimas su įrodymų svarbu pasiklausė nacionalinių nuostatų (Prancūzijoje, SIAF/ANSSI nuostatų); eIDAS 2 suderina Europos nuostatą.
• Nuotolinis kvalifikuotų parašo kūrimo įrenginių valdymas (RQSCD): dabar aiškiai reglamentuotas, jis nuima dvejones, kurios prislėgusios debesies pagrįstus kvalifikuoto parašo sprendimus. Penkiasdešimt žmonių KMU tai reiškia prieigą prie kvalifikuoto parašo be fiziško žetono iš bet kurio įrenginio.
• Kvalifikuoto elektroninio registro paslauga: registrai, paremti blockchain arba paskirstytųjų dėžių technologijomis, gali dabar gauti kvalifikuotą statusą, atveriant kelią naujiem sutarties valdymo modeliams.

Norint daugiau sužinoti apie parašo lygius ir jų teisinę vertę, žiūrėkite mūsų išsamų elektroninio parašo vadovą.

2.3 Pasitikėjimo paslaugų teikėjų (QTSP) saugumo reikalavimų sustiprinimas

eIDAS 2 sunkina kvalifikuoto pasitikėjimo paslaugų teikėjų (QTSP) įpareigojimu. Peržiūrėtas 24 straipsnis nustato ypač:

• Kibersaugumo sertifikavimą suderintą su Europos sistema (ES Cybersecurity Act, reguliavimas 2019/881), su sektoriaus nuostatais, kuriuos šiuo metu vykdo ENISA.
• Sustiprintus operacinės atsparumo reikalavimus: QTSP dabar turi dokumentuoti savo verslo tęstinumo planą ir jį pateikti nacionaliniam priežiūros organui (Prancūzijoje – ANSSI kvalifikuotiems teikėjams).
• Saugumo incidentų pranešimo pareigą per 24 valandas (sutapimas su NIS 2).

KMU naudotojams tai reiškia griežtesnę diligenciją pasirenkant teikėją: patikrinti, ar jūsų sprendimas iš tiesų išvardytas atnaujintame Europos Trusted List yra kritinis žingsnis jūsų pirkimo procese. Mūsų elektroninio parašo sprendimų palyginimas gali padėti jums šioje analizėje.

2.4 Tapatybės schemų tarpoperabilumo privalomumas

Ten, kur eIDAS 1 suteikė valstybėms narėms laisvę pranešti (arba ne) apie savo schemą, eIDAS 2 daro pranešimą ir tarpoperabilumą privalomais tapatybės schemoms, kurie naudojami valstybinės paslaugos internete (5 straipsnis). France Identité — nacionalinė schema, kurią veda Vidaus reikalų ministerija — yra žurnaluojant patikslinta pagal EUDIW technines specifikacijas, kurias paskelbia Komisija reguliavime (ES) 2024/2977.

KMU, kurie reguliariai sąveikauja su valstybės institucijomis (viešieji pirkimai, el. deklaracijos, muitinės procedūros), šis pokytis reiškia, kad interneto procedūros bus pamažu suvienodintos aplink unikalų ir visoje ES pripažintą skaitmeninį identifikatorių.

2.5 Nauji atsakomybės ir priežiūros taisyklės

eIDAS 2 aiškina ir išplečia teikėjų atsakomybės režimus (peržiūrėtas 13 straipsnis). QTSP dabar tariasi atsakinga už bet kokią žalą, padarytą fiziniam ar juridiniam asmeniui, jei nepildytos jos pareigos, nebent įrodytų kaltės nebuvimą. Ši atsakomybės prezumpcija, sustiprinusi eIDAS 1 atžvilgiu, privalo paskatinti KMU:

• Formalizuoti savo teikėjo įsipareigojimus kontraktu (SLA, veikimo garantijos, kompensacija).
• Patikrinti QTSP civilinės atsakomybės draudimą.
• Saugoti parašo operacijų audito įrodymus (laiko žymos žurnalai, parašo patikrinimo ataskaitos).

Mūsų komandos sudarė detalų vadovą elektroninis parašas įmonėje, kuris aptaria šiuos sutartinius aspektus.

---

3. eIDAS 1 ir eIDAS 2 palyginimas: kas iš tiesų keičiasi

3.1 Pagrindinių pokyčių santrauka

| Kriterijus | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Tapatybės piniginė | Nėra | EUDIW privaloma (valstybės narės) | | Kvalifikuotos paslaugos | 9 kategorijų | 14 kategorijų (archyvavimas, RQSCD, registrai…) | | Schemų pranešimas | Fakultatyvus | Privalomas valstybinei paslaugai | | QTSP saugumas | Kriterijai Common Criteria | Cybersecurity Act + ENISA schemos | | QTSP atsakomybė | Dalinė | Sustiprintos atsakomybės prezumpcija | | Incidento pranešimo terminas | Nenustatytas | 24 valandos (sutapimas NIS 2) | | Mobilus QSCD | Teisinė dvejone | RQSCD aiškiai reglamentuotas |

3.2 Pagrindiniai 2026 m. terminai, kuriuos reikia atsiminti

• Gegužė 2024: regulavimo (ES) 2024/1183 įsigaliojimas.
• Lapkritis 2026: skola kiekvienai valstybei narei pasiūlyti bent vieną sertifikuotą EUDIW sprendimą.
• 2027: mažųjų platformų (45bis straipsnis) pareiga priimti EUDIW kaip autentifikacijos būdą.
• 2028: planuota EUDIW techninių nuostatų aktų peržiūra (deleguoti reguliavimai dėl specifikacijų).

Jei jūsų KMU planuoja migruoti į atitinkamesnį sprendimą, mūsų migracijos į Certyneo pasiūlyma apima nemokamą eIDAS 2 atitikties auditą.

---

4. Praktinis veiksmų planas savo KMU paruošti eIDAS 2 atitikčiai

4.1 Auditavimas jūsų esamų dokumentų srautus

Pradėkite kartografuodami visus procesus, kuriuose jūs šiuo metu naudojate elektroninį parašą arba skaitmeninę tapatybę: tiekėjų kontraktus, dematerializuotus algų čekius, SEPA mandatus, slaptybės sutartis, HR aktus. Kiekvienam srautui nustatykite:

• Šiuo metu naudojamą parašo lygį (SES, AdES, QES).
• Esamą teikėją ir jo statusą Trusted List sistemoje.
• Teisinės rizikos lygį ginčo atveju.

Šis auditas yra rekomenduojamas ANSSI pradžios taškas savo 2025 m. kovo mėn. skelbtu atitikties vadovu.

4.2 Jūsų parašo sprendimo atnaujinimas

Jei jūsų esamas teikėjas nėra Trusted List eIDAS 2 sistemoje arba dar nesiūlo RQSCD, atėjo laikas lyginti rinkoje esančias pasiūlas. Certyneo yra sertifikuotas QTSP, kuris naudoja visus tris parašo lygius (SES, AdES, QES) ir vietoje integruoja naujas eIDAS 2 reikalavimas, ypač kvalifikuotą archyvavimą ir nuotolinį įrenginių valdymą.

4.3 Savo komandų mokymas ir sutarčių atnaujinimas

eIDAS 2 stiprina kvalifikuotų parašų įrodymų svarbą, tačiau taip pat nustato geras dokumentų praktikas. Įsitikinkite, kad jūsų juridinės ir administracinės komandos:

• Žino, kaip atskirti tris parašo lygius ir jų santykinę teisinę vertę.
• Integruoja į tiekėjų sutartis eIDAS atitikties audito sąlygą.
• Saugo parašo patikrinimo įrodymus (patikrinimo ataskaitą, kvalifikuotą laiko žymą) per visą taikomą saugojimo trukmę (3 iki 10 metų pagal akto pobūdį).

Norėdami struktūrizuoti šią veiklą, mūsų elektroninio parašo ROI skaičiuotuvas jums leis kiekybiškai įvertinti sprendimo atnaujinimo operacinį pelną.

Taikomasis teisinės rėmimas

Nuorodų tekstai

eIDAS 2 atitikties siekimas prancūzų KMU yra sudėtiniame norminės tvarkos sluoksnyje, kurio supratimas yra būtinas.

Reguliavimas (ES) 2024/1183 Europos Parlamento ir Tarybos (vadinamas „eIDAS 2"): tai yra pagrindinis tekstas, paskelbtas EUST 2024 m. balandžio 30 d. Jis panaikina ir pakeičia reguliavimą (ES) Nr. 910/2014 pagal palaipsnius diegimo grafiką, kuris tęsiasi iki 2027 m. Jis yra tiesiogiai taikomas visose valstybėse narėse be reikalavimo nacionalinės įstatymų dėl jo pagrindinių nuostatų.

Reguliavimas (ES) Nr. 910/2014 (eIDAS 1): kai kurios jo nuostatos lieka taikomos pereinamuoju laikotarpiu, kurį numatė eIDAS 2, ypač teikėjams, kurie gavo kvalifikavimą iki gegužės 2024 m. ir turi laiką perrenkraistytis.

Prancūzijos pilietybės kodeksas, 1366 ir 1367 straipsniai: 1366 straipsnis nustato elektroninio rašto ir popieriaus rašto atitikties principą, su sąlyga, kad „asmuo, iš kurio jis kilęs, galų gale turi būti tinkamai identifikuotas ir jis turi būti iš tikrųjų suformuotas ir saugotas tokiomis sąlygomis, kurios garantuos jo vientisumą". 1367 straipsnis pripažįsta elektroninį parašą kaip įrodymų būdą, nukreipiant į Valstybės Tarybos dekretu nustatytas sąlygas (1417 dekretas iš 2017 m. rugsėjo 28 d., kodifikuotas 1369-1 iš R. iki 1369-10 Pilietybės kodekso straipsniais).

Reguliavimas (ES) 2016/679 (GDPR): EUDIW diegimas ir tapatybės atributų apdorojimas elektroninio parašo sraute sudarą asmeninių duomenų apdorojimą GDPR prasmėje. KMU turi patikrinti, kad jų QTSP veikia kaip subcontractor GDPR 28 straipsnio prasme, su atitinkamu DPA (Data Processing Agreement). CNIL 2026 m. sausio mėn. paskelbė specifinę rekomendaciją dėl EUDIW-GDPR integracijos.

Direktyva (ES) 2022/2555 (NIS 2): eIDAS 2 aiškiai sutampa su NIS 2 dėl incidentų pranešimo pareigos (eIDAS 2 24 straipsnis, §2 nurodo NIS 2 nuostatas). QTSP yra laikomi „esminiais" arba „svarbiais" subjektais NIS 2 prasmėje, atsižvelgiant į jų dydį, ir šiuo tipu priklausę reguliariam saugumo auditui.

ETSI standartai: elektroniniai kvalifikuoti parašai turi atitikti ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) ir ETSI EN 319 102-1 (patikrinimo procedūra) standartus. Standartą ETSI TS 119 461 reglamentuoja nuotolinis tapatybės patvirtinimas (IDV), ypač svarbus RQSCD.

Teisinė rizika jei neatitinkate reikalavimų

Naudoti elektroninio parašo sprendimą, kuris neatitinka eIDAS 2, atidaro KMU keliems rizikoms:

• Nepriimamumas teisme: teisėjas gali atmesti elektroninį parašą, kurio lygis neatitinka pasirašyto akto (pvz., paprastas parašas aktui, reikalingam išplėstiniam ar kvalifikuotam lygiui).
• Sutarties nuostoliai: jei partneris kontestus sutartį dėl parašo negaliotumo, KMU gali susidurti su kompensacijos reikalavimais.
• GDPR sankcijos: duomenų saugumo pažeidos atveju, susijusios su teikėjo saugumo defektu, KMU, kaip bendras atsakovas arba duomenų kontrolierius, gali būti nubausta CNIL iki 4% metinio pasaulio apyvartos (GDPR 83 straipsnis, §4).

Praktiniai naudojimo scenarijai

1 scenarijus: 80 žmonių pramonės KMU, valdanti 400 tiekėjų kontraktų per metus

Metalurgijos sektoriaus KMU, turinčiusi apie 400 tiekėjų kontraktus per metus, naudojo iki 2024 m. paprastą elektroninio parašo sprendimą (SES) visiems susitarimams, įskaitant pagrindinius sutartis, viršijančias 50 000 €. Po eIDAS 2 atitikties audito ji išdėstė, kad 35% jos kontraktų reikalavo išplėstinį arba kvalifikuotą parašą, norint atlaikyti teisinę kontestaciją, ypač su tiekėjais, esančiais kitose ES valstybėse.

Perėjusi prie sprendimo, kuris apjungė išplėstinį parašą (AdES) bendra kontraktams ir kvalifikuotą (QES) pagrindinėms sutartims, bei aktivavusi kvalifikuotą elektroninį archyvavimą (nauja eIDAS 2 paslauga), ši KMU sumažino 70% laiką, skirtą dokumentų valdymui po parašymo (klasifikavimas, paieška, sertifikuotų kopijų siuntimas), o teisinių ginčų dėl parašo kvestionavimo sumažino iki nulio per sekančius 18 mėnesių, palyginus su dviem incidentais ankstesniuose 18 mėnesių.

2 scenarijus: 15 bendradarbių teisės konsultacijos kabinetas

Advokatūra, specializuota verslo teisėje, kurioje metams išleidžiama vidutiniškai 1 200 pasirašytų dokumentų (įsakai, mandatai, slaptybės sutartys), susidūrė su augančiu kliento poreikiu dėl kvalifikuotų parašų, kurie būtų pripažįstami visoje ES. Pagal eIDAS 1, kvalifikuoto sertifikato gavimas reikalavo susitikimo procedūrą arba ilgą vaizdo patvirtinimą (45 iki 90 minučių vienam naudotojui).

Dėl RQSCD (nuotolinio kvalifikuoto parašo kūrimo įrenginio), reglamentuoto pagal eIDAS 2, kabinetas sugebėjo diegti kvalifikuotą parašą visiem savo bendradarbiams per mažiau nei dvi savaites per 100% nuotolinę įrašymo procedūrą, atitinkančią ETSI TS 119 461 standartą. Vidinis priėmimo lygis pakilo nuo 40% iki 95% per tris mėnesius, o vidutinis pasirašytų dokumentų grąžinimo laikas buvo sumažintas nuo 4,2 dienos iki mažiau nei 6 valandų pagal kabineto vidines matavimo priemones.

3 scenarijus: KMU e-prekyba veikianti trijose ES šalyse

Internetinė prekybos įmonė, kurioje dirba 35 žmonės ir veikia Prancūzijoje, Belgijoje ir Nyderlanduose, turėjo valdyti tris elektroninio susitarimo tipus: darbo sutartys savo vietiniams darbuotojams, susitarimai su partneriniais pervežėjais ir SEPA mandatai savo profesionaliam klientam. Fragmentacija nacionalinių reikalavimų pagal eIDAS 1 jai reikalavo trijų skirtingų parašo darbo srauto, su valdymo kaštais, apskaitytais apie 12 000 € per metus.

Priėmimas vienodai eIDAS 2 atitinkančiu sprendinu — integruojančiu gegužės parašų abipusio pripažinimo tris šalies — sugebėjo suvienodinti darbo srautus, sumažinti valdymo išlaidas iki apie 4 500 € per metus (62% taupymas) ir pašalinti trūkumus, susietus su galutine valido patvirtinimu iš užsienio parašų.

Išvada

eIDAS 2 nėra paprastas estetas reguliavimo rėmimo peržvalga: jis iš esmės perranda Europos skaitmeninio pasitikėjimo žaidimo taisykles. Prancūzų KMU perspektyvoje penki didieji pokyčiai — EUDIW piniginė, išplėstos kvalifikuotos paslaugos, RQSCD, privalomas tarpoperabilumas ir sustiprintą atsakomybė — reiškia tiek atitikties prievartą, tiek galimybę paspartinti jų dokumentų transformaciją.

KMU, kurios pagreitina šiuos pokyčius jau šiandien, naudos konkrečią konkurencinę pranašumą: sutartys, pripažintų visoje ES be jokių delsų, archyvavimas su įrodymų svarbu integruotu ir visiškai dematerializuoti bei saugi parašo procesai.

Certyneo skirtas šiam perėjimui palaikyti. Pradėkite savo nemokamą bandymą certyneo.com ir naudojitės nemokamu eIDAS 2 atitikties auditu jūsų esamiems dokumentų srautams.