Perėjimas nuo eIDAS 1 prie eIDAS 2: poveikis parašui 2025 metais

2024 m. gegužės 20 d. reguliavimas (ES) 2024/1183 — paprastai vadinamas eIDAS 2 — buvo paskelbtas Europos Sąjungos Oficialiame žiniaskyje, palaipsniui panaikindamas reguliavimą Nr. 910/2014 (eIDAS 1). Šis tekstas reiškia struktūriausiausią skaitmeninės tapatybės ir elektroninio parašo reformą Europoje nuo 2016 metų. Prancūzų įmonėms, naudojančioms elektroninio parašo sprendimus savo sutarčių darbo eigos procesams, perėjimas nėra tik formalumas: tai reikalauja techninių, teisinių ir organizacinių suderinimų, kurie tęsis iki 2026 metų ir toliau. Suprasti perėjimą nuo eIDAS 1 prie eIDAS 2 ir jo poveikį elektroniniam parašui 2025 metais tapo prioritetu teisiniam, IT ir personaliniam vadovams. Šis straipsnis iš esmės paaiškina sistemos pokyčius, tikslų perėjimo grafiką ir konkrečius žingsnius, kuriuos reikia imtis, kad liktumėte atitiktimi reikalavimams.

Ką reguliavimas eIDAS 2 iš esmės keičia

Nuo 2014 metų reguliavimo prie 2024 metų perreguliavimo: kodėl buvo būtina peržiūra

EIDAS 1 buvo padėjęs pamatą tarpusavio elektroninių parašų pripažinimui Sąjungoje. Trys hierarchiniai lygiai — paprastas (SES), išplėstinis (AdES) ir kvalifikuotas (QES) — struktūrizavo parašų įrodymų vertę, remiantis pasitikėjimo paslaugų (TSL) sąrašu. Tačiau per dešimt metų pasirodė du dideli trūkumai.

Pirma, pradinis reguliavimas taikėsi iš esmės tik santykiams su viešosiomis administracijomis (G2B, G2C). Jis nekūrė tiesioginių pareigų privačiose operacijose (B2B, B2C), paliekdamas norminį vakuumą, kurį kiekviena valstybė narė užpildydavo skirtingai. Antra, skaitmeninių paslaugų augimas — mobiliosios programos, atvirasis bankininkystė, telemedikina — atskleidė bendrinio ir sąveikaus skaitmeninės tapatybės sistemos nebuvimą kontinentiniame lygmenyje.

EIDAS 2 atsako į šiuos du iššūkius įvedant Europos skaitmeninės tapatybės piniginę (EU Digital Identity Wallet, EUDIW) ir praplėsdamas pasitikėjimo paslaugų taikymo sritį naujais panaudojimo atvejais: kvalifikuotą elektroninį archyvavimą, kvalifikuotus atributų liudijimus, kvalifikuotus elektroninius registrus (įskaitant sertifikuotas blockchain programas).

Naujos kvalifikuotų pasitikėjimo paslaugų kategorijos

Reguliavimas eIDAS 2 pratęsia kvalifikuotų pasitikėjimo paslaugų sąrašą (3 straipsnis ir perreg. IV priedas). Be parašų, antspaudų ir laiko ženklų, jau pripažintų pagal eIDAS 1, dabar laikomi kvalifikuotais:

• Kvalifikuoto elektroninio archyvavimo paslaugos (34 bis straipsnis): pareiga išsaugoti pasirašytų dokumentų vientisumą ir skaitomumą per ilgą laiką, su sustiprintais reikalavimais paslaugų teikėjams (QTSP).
• Nuotolinės parašo kūrimo įrenginio valdymo paslaugos (QRCD): sustiprintas nuotolinės parašo sudarymo per HSM (aparatūros saugumo modulis) debesyje reglamentavimas.
• Kvalifikuoti atributų liudijimai: mechanizmas, leidžiantis trečiajam šaliui pasitikėjimo pareigybei patvirtinti subjekto atributus (pvz., advokato statusą, gydytojo statusą) neatskleidžiant visos tapatybės.
• Kvalifikuoti elektroniniai registrai: paskirstytų registrų pripažinimas griežtais audituojamumo ir atsparumo sąlygomis.

Tiems, kurie naudoja elektroninio parašo sprendimus, šis praplėtimas reiškia, kad prieinamos rinkoje kvalifikuoto pasitikėjimo paslaugos bus įvairesnes, ir QTSP pasirinkimo kriterijai turėtų integruoti šias naujas galimybes.

EUDIW: skaitmeninės tapatybės piniginė kaip parašo infrastruktūra

Ryškiausia eIDAS 2 naujovė lieka EUDIW. Kiekviena valstybė narė turės suteikti savo piliečiams ir gyventojams nemokamą, visuose valstybės narių skaitmenines tapatybės pinigines sąveikią pinigą iki 2026 m. lapkričio 26 d. (nacionalinio atitikimo terminas pagal V bis straipsnį). Šis piniginė leis:

• autentifikuoti naudotoją su aukštu patikimumo lygiu (LoA High) nesinaudojant trečiojo šalyje identifikacijos paslaugų teikėju;
• pasirašyti elektroniniu parašu dokumentus su kvalifikuota verte (QES) tiesiai iš piniginės;
• dalintis pasirinktais tapatybės atributais (selective disclosure), tokiu būdu laikantis GDPR duomenų minimizavimo principo.

Įmonėms EUDIW teoriškai supaprastina tapatybės patikrinimo procedūras prieš kvalifikuotą parašą, pašalindama vaizdo identifikacijos ar asmeninės identifikacijos trintį. Praktikoje poveikis priklausys nuo nacionalinio diegimo greičio — Prancūzija 2025 metais pradėjo pilotinį bandymą „France Identité" programos rėmuose.

Tikslus perėjimo iš eIDAS 1 į eIDAS 2 grafikas

Reguliaciniai orientyrai, kuriuos reikia žinoti

Reguliavimas 2024/1183 įsigaliojo 2024 m. gegužės 20 d., tačiau jo taikymas yra palaipsnis. Čia yra pagrindinės skaidės:

| Data | Įvykis | |------|--------| | 2024 m. gegužės 20 | Paskelbta OJEU, formalus įsigaliojimas | | 2024 m. lapkričio 20 | 6 mėnesių terminas Komisijai priimti vykdomuosius aktus (EUDIW techninės specifikacijos) | | 2025 metų pabaiga | Perreg. ETSI standartų publikavimas (EN 319 411-1/2, EN 319 401) su eIDAS 2 reikalavimais | | 2026 m. gegužės 26 | Valstybių narių atitikties terminas naujoms kvalifikuotų paslaugų kategorijoms | | 2026 m. lapkričio 26 | Privaloma EUDIW prieinamumas kiekvienoje valstybėje narėje | | 2027-2028 metai | Pilnas nacionalinių pasitikėjimo sąrašų (TSL) perreg. ir naujų QTSP akreditacija |

EIDAS 1 lieka galiojantis ir parašai, išduoti pagal jos reguliavimą, išlaiko pilną teisinę jėgą. Nėra jokios pareigos iš naujo pasirašyti esamiems dokumentams. Tačiau kvalifikuoti pasitikėjimo paslaugų teikėjai turės atnaujinti akreditaciją pagal naujas technines normas iki 2027 metų.

Ko nesikeičia ir ko reikia stebėti

Tęstinumas yra pagrindinė perėjimo prieiga. Trys parašo lygiai (SES, AdES, QES) išlieka su nekintamais apibrėžimais. Lygiavertumą su ranka pasirašyta parašu, priesanti QES (24 straipsnis eIDAS 1, kartojamas 27 straipsnyje eIDAS 2), lieka galiojančia. Jūsų dabartinių elektroninių parašų ir

dokumento vertė neatšaukiama.

Į ką reikia atkreipti dėmesį: vykdomieji aktai, kuriuos per 2025-2026 m. paskels Europos Komisija, nustatys tikslius EUDIW techninius specifikacijas ir naujų paslaugų kategorijas. Šios 2 lygio tekstai turi praktinę reikšmę integratoriams ir programinės įrangos redaktoriams. Įmonėms, naudojančioms elektroninį parašą savo žmogiškųjų išteklių ar teisinėje veikloje, rekomenduojama paprašyti iš savo paslaugų teikėjo eIDAS 2 atitikties veiklos plano.

Konkretus poveikis įmonėms ir jų parašo sprendimams

Kurie darbo eigos procesai yra daugiausia pažeisti?

Perėjimas nuo eIDAS 1 prie eIDAS 2 nevienodai veikia pagal naudojamo parašo lygį. Įmonėms atsiskyrę trys situacijos:

Paprastas elektroninis parašas (SES): naudojamas mažos vertės priedams, priėmimo patvirtinimams, vidiniams formams. Nėra jokios pareigos nedelsiant atnaujinti. Įrodymų taisyklės lieka reguliuojamos pagal Civilinį kodeksą (1366-1367 straipsniai) ir ne tiesioginę eIDAS.

Išplėstinis elektroninis parašas (AdES/AdESQC): įmonės, naudojančios B2B sprendimus komerciniams sutartims, demateriaeliziuotiems darbo sutartyms ar nekilnojamo turto aktams, turėtų patikrinti, ar jų paslaugų teikėjas pralaiko atitiktį ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) ir EN 319 142 (PAdES) standartams jų perreg. versijose eIDAS 2. Šie standartai bus paskelbti ETSI iki 2025 metų pabaigos.

Kvalifikuotas elektroninis parašas (QES): kvalifikuoti paslaugų teikėjai (QTSP) turės gauti naują eIDAS 2 akreditaciją. Pereinamasis laikotarpis suteikia pagrįstą terminą (iki 2027 metų), tačiau 2025 metais pradėti viešieji pirkimai turėtų integruoti eIDAS 2 atitikties sąlygą į atrankos kriterijus. Organizacijoms lyginant galimas galimybes, elektroninio parašo sprendimų lyginimas leidžia įvertinti redaktorių brandumą šiuo klausimu.

Nauji QTSP reikalavimai

EIDAS 2 griežtina QTSP taikomus reikalavimus trijose pagrindinėse vietose:

1. Sistemų saugumas: privalomas NIS2 (direktyva (ES) 2022/2555) suderinimas QTSP, kurie dabar klasifikuojami kaip esminės subjektai. Tai reiškia 24 valandų per incident pranešimo pareigą, metinius saugumo auditus ir verslo tęstinumo planų diegimą.

1. Sustiprintą atsakomybę: 13 straipsnis eIDAS 2 plečia QTSP atsakomybę. Jei patvirtinti pažaidimas, įrodymo našta pasikeičia: paslaugų teikėjas turi įrodyti, kad nebuvo nedbangtus, o ne priešingai.

1. Privalomą sąveikumą: QTSP turės normuotus API, suderinamus su EUDIW, kad būtų galima autentiniui integruoti tapatybės piniginės. Šis reikalavimas pagreitins turimų integravimo sąsajų modernizavimą kūrėjams.

Įmonėms, planuojančioms keisti paslaugų teikėją šiame kontekste, migruoti iš DocuSign ar YouSign į eIDAS 2 atitiktą sprendimą yra veiksmažingiau palaida dabar nei skubiai 2027 metais.

Asmeniniai duomenys ir eIDAS 2: artikuliavimas su GDPR

EUDIW renka ir apdoroja tapatybės duomenis. Reguliavimas eIDAS 2 iš esmės nustatyti (12 dėmė ir 5 bis straipsnis §14), kad visas įrenginys turi atitikti GDPR (reguliavimas (ES) 2016/679). Keletas dėmesio punktų:

• Pasirinktas atskleisdimas: piniginė turi leisti naudotojui dalintis tik griežtai reikalingais atributais operacijai (minimizavimo principas, GDPR 5(1)(c) straipsnis). Sutarties parašui galėtų būti patvirtinta tik pilnamečiškumas be pilnos gimimo datos atskleidimo.
• Persiuntimas iš ES: tapatybės duomenys, apdoroti EUDIW kontekste, negali būti persiųsti iš EEE be atitinkamų garantijų (GDPR 46 straipsnis). Paslaugų teikėjai, naudojantys Amerikos debesies infrastruktūrą, turi dokumentuoti jų atitiktį.
• Parašo žurnalų saugojimas: parašo patikrinimo archyvavimas turi laikytis proporcingi konservavimo trukmei, atsižvelgiant į dokumento pobūdį. Nauja eIDAS 2 kvalifikuoto archyvavimo paslauga suteikia techninę sistemą šiam reikalavimui.

Įmonės, tvarkančios tarptautinius darbo sutartis, yra ypatingai susijusios su šiuo GDPR/eIDAS 2 sąsajos klausimu, ypač kai parašai gyveną už ES ribų.

Teisinė sistema, taikoma perėjimui nuo eIDAS 1 prie eIDAS 2

Nuorodos tekstai

Perėjimas remiasi tekstų sluoksniu, kurį gyvybiškai svarbu valdyti:

Europos lygyje:

• Reguliavimas (ES) Nr. 910/2014 (eIDAS 1): toliau galioja iki jos palaipsnio panaikinimo pagal eIDAS 2. Apibrėžia tris parašo lygius (SES, AdES, QES) ir QTSP sistemą.
• Reguliavimas (ES) 2024/1183 (eIDAS 2): įsigaliojo 2024 m. gegužės 20 d. Iš esmės modifikuoja eIDAS 1 nepanaikindama jos iš karto. Nuotatymai EUDIW taikomi nuo vykdomųjų aktų publikavimo.
• Reguliavimas (ES) 2016/679 (GDPR): pilnai taikomas tapatybės duomenų apdorojimui EUDIW kontekste ir parašo procesuose. 5 bis straipsnis §14 eIDAS 2 iš esmės primena šią subordinaciją.
• Direktyva (ES) 2022/2555 (NIS2): nustato sustiprintus kibernetinio saugumo reikalavimus QTSP, dabar klasifikuotiems kaip esminės subjektai. Perkelti į Prancūzijos teisę ordonnansere Nr. 2024-821, 2024 m. birželio 20 d. (šiuo metu vykdymo dekretai).

Prancūzijos lygyje:

• Civilinis kodeksas, 1366 ir 1367 straipsniai: elektroninės formos rašto įrodinės vertės pamatai. 1366 straipsnis nustato elektroninio rašto ir popieraaus ekvivalentumą sąlygomis. 1367 straipsnis suteikia kvalifikuotam parašui (QES) tokią pat patikrą jėgą kaip ranka pasirašytam.
• Dekretus Nr. 2017-1416, 2017 m. rugsėjo 28 d.: patikslina elektroninio parašo naudojimo sąlygas privačiuose dokumantuose. Lieka taikomas pereinamojo laikotarpio metu.
• Bendrasios saugumo nuorodos (RGS) v2: Prancūzijos administratoriai, RGS reikalauja naudoti ANSSI nurodytus sprendimus. Jos atnaujinimas eIDAS 2 integravimui laukiamas 2026 metais.

Taikytinos ETSI techninės normos

ETSI normos sudaro 3 lygį normatyvinėje hierarchijoje. Šiuo metu taikomos versijos:

• EN 319 132-1/2: XAdES formatas (išplėstini XML parašai)
• EN 319 122-1/2: CAdES formatas (išplėstini CMS parašai)
• EN 319 142-1/2: PAdES formatas (išplėstini PDF parašai)
• EN 319 401: bendri pasitikėjimo paslaugų teikėjų reikalavimai
• EN 319 411-1/2: kvalifikuotus sertifikatus išduodančios AC reikalavimai

Šios normos bus perreg. iki 2025 metų pabaigos integruoti naujus eIDAS 2 reikalavimus. Sutartys su QTSP turėtų būti su papeikti į perreg. versijas be papildomos išlaidos.

Teisminės nekimplentavimo rizikos

Parašas, išduotas paslaugų teikėjo, kuris po 2027 metų nebe būtų akredituotas, automatiškai neprarastų teisinio galiojimo jau pasirašytiems dokumentams, tačiau jis nebetektų legito lygiavertumą su ranka pasirašytu (eIDAS 25 straipsnis). Parašo vientisumą ir parašiusio asmens tapatybę būtų lemtas įrodyti įmonei ginčijimo atveju. Ši įrodymų rizika yra ypač jautri tų aktų, kurių prieplaikos terminas yra ilgas (5 metai komerciniams, 30 metų nekilnojamo turto teisėms).

Panaudojimo atvejai: kaip organizacijos iš anksto ruošiasi eIDAS 2 perėjimui

Atvejas 1: 25 bendradarbių advokatų kontora racionalizuoja jų dokumentų atitiktį

Advokatų kontora, ekspertizuojanti verslo teisę, su apie 25 bendradarbiais ir intesyvios mandatų, cesijos aktų ir susitarimo protokolų parašymo veikla, iki 2024 metų naudojo išplėstinio (AdES) parašo sprendimą visam savo darbų srautui. Dėl eIDAS 2 skelbimu kontora atliko 1 200 dokumentų, parašytų per metus, auditą, kad identifikuotų tuos, kurie reikalingi QES pagal naujas savo barai rekomendacijas.

Rezultatas: 15 % aktų (apie 180 per metus) buvo reklasifikuoti į kvalifikuotą parašą, išsauguant šių dokumentų įrodymų sistemą. Kontora dalyvavo su jos redaktoriumi sudarant sutartį, garantuojančią eIDAS 2 atitiktį iš vykdomųjų aktų publikavimo, be papildomos išlaidos. Administracinės parašų tikrinimo laiko sumažėjo 40 % dėl iš anksto numatytos EUDIW integracijos 2026 metams.

Atvejas 2: 150 darbuotojų pramoninė MVĮ saugo jos tiekėjų sutartų grandinę

Pramoninė MVĮ, tvarkanti apie 350 tiekėjo sutartis per metus — užsakymo formų, NDA, sisteminių sutarčių — veikė su dviem atskiromis parašo sprendimais savo vidinei ir išorinei veiklai, sukelianti audito įrodymų fragmentavimą. Atsižvelgiant į eIDAS 2 perėjimą ir naujus kvalifikuoto archyvavimo reikalavimus, IT vadovybė nusprendė suvienodinti savo platformą.

Migruodama į vienintelį sprendimą, integruojantį elektroninio archyvavimo (EIDAS 2 kategoriją) paslauga, MVĮ sumažino jų saugumo saugojimo išlaidas 30 % ir išgrynino parašo įrodymą saugiame skaitmeniniame kasoje, suderinto su reikalavimais. Visa dokumentų grandinė dabar gali būti audituota mažiau nei per 2 minutes audžiam patikrinime — augantis reikalavimas iš duomenų davimo šaltinio automobilyje.

Atvejas 3: apie 600 lovų ligoninių grupė ruošiasi EUDIW integravimui

Viešoji ligoninė, naudojusi kvalifikuotą elektroninį parašą savo medicininiams sutartims ir viešiesiems pirkimams, atitinkančiui viešųjų pirkimų kodeksą. Su eIDAS 2, IT paslaugos nustatė du prioritetinius iššūkius: „France Identité" piniginės integravimas ateityje dėl laisvoje praktikoje dirbančių gydytojų, veikiančių įstaigoje, ir jos QTSP NIS2 atitiktį.

Ligoninė įtraukė į jos skaitmeninį tiesioginį schemą 2025-2028 metams specialų paketą „eIDAS 2 atitiktis", su suplanuota biudžetu 45 000 eurų techninei migracijai ir darbuotojų mokymui. Tikslas yra galėti priimti parašus per EUDIW nuo nacionalinio diegimo 2026 metų lapkritį, taip sumažinant sutarčių sudarymo laiką su laisvai praktikuojančiais sveikatos specialistais nuo 3 dienų iki mažiau nei 4 valandų vidutiniškai pagal turimus sekto standartus.

Išvada

Perėjimas nuo eIDAS 1 prie eIDAS 2 nėra nutrūkimas, o strukturuota evoliucija, kurios grafikas tęsiasi iki 2027 metų. Poveikiai elektroniniam parašui yra realūs — paslaugų kategorijų praplėtimas, EUDIW atsiradimas, QTSP NIS2 reikalavimų susitvirrinimas — tačiau tvarkomi jei jie iš anksto numatyti. Įmonės, kurios veikia dabar, naudojasi erdvę auditui savo darbų srautų, saugumo sutartimis su jų paslaugų teikėjais ir komandų mokymu be skubiaumo reguliacinių reikalavimų.

Certyneo lydi įmones per šį perėjimą su aiškiu eIDAS 2 atitikties planu, parašo formatomis, atnaujintomis ir architektūra, paruošta EUDIW integravimui. Ar jūs esate pasirengę saugoti savo parašo srautus šiame naujame reguliavimo kontekste? Atraskite mūsų pasiūlymus ir pradėkite nemokamai Certyneo.