eIDAS 2 vs eIDAS 1: galvenie izmaiņas uzņemumiem

Ievads: kāpēc eIDAS 2 maina situāciju mazajiem un vidējiem uzņēmumiem

Kopš 2024. gada 20. maija regulējums (ES) 2024/1183 — parasti saukts par eIDAS 2 — ir stājies spēkā, atceļot un pakāpeniski aizstājot regulējumu (ES) nr. 910/2014 (eIDAS 1). Franču mazajiem un vidējiem uzņēmumiem šī pāreja nav vienkārša administratīva atjaunināšana: tā pārdefinē digitālā uzticamības līmeņus, ieviš Eiropas identitātes digitālo maciņu (EUDIW), pastiprina prasības, kas attiecas uz uzticamības pakalpojumu sniedzējiem, un paplašina atzīto pakalpojumu tvērumu. Šis raksts salīdzina eIDAS 1 un eIDAS 2 katru punktu, identificē konkrēto operacionālo ietekmi uz mazajiem un vidējiem uzņēmumiem un sniedz jums darbības plānu, lai palikt atbilstošam 2026. gadā.

---

1. Atgādinājums: kas bija eIDAS 1 (2014–2024)

1.1 Sākotnējā regulējuma pamati

Pieņemts 2014. gada jūlijā un spēkā kopš 2016. gada septembra, eIDAS 1 izvirzīja pirmās Eiropas digitālā uzticamības telpiskas pamatinstitūcijas. Tas ieviesa trīs lielas elektroniskās parakstīšanas kategorijas — vienkāršu (SES), paaugstinātu (AdES) un kvalificētu (QES) — un izveido kvalificēto pakalpojumu sniedzēju uzticamības sarakstu (Trusted List), kas ir pieejams Eiropas Komisijas portālā.

Mazajiem un vidējiem uzņēmumiem galvenais eIDAS 1 ieguvums bija pārrobežu atzīšana no kvalificētajiem parakstiem: ar Franču QES parakstīts līgums tika juridski atzīts Vācijā, Spānijā vai Itālijā bez apostila vai papildu formalitātēm. Šis princips — saukts par „nediskriminācijas" principu — palika pamatā, uz kuras Certyneo tādi SaaS pakalpojumi bija uzbūvēti.

1.2 Identificētie ierobežojumi

Neskatoties uz tā sasniegumiem, eIDAS 1 cieš no vairākiem nepilnībām, ko dokumentējusi Eiropas Komisija savā 2021. gada novērtējuma ziņojumā:

• Identitātes shēmu sašķaidīšana: tikai tie dalībvalstis, kas bija paziņojušas savu nacionālo shēmu (piemēram, FranceConnect+ virziens substantiāls), baudīja savstarpēju atzīšanu. 2023. gadā tikai 14 no 27 valstīm bija paziņojušas atbilstošu shēmu.
• Iedzīvotāju mobilā atbalsta trūkums: kvalificēts parakstu izveides ierīcei (QSCD) bieži vien bija nepieciešama smart karte vai materiāls pilnvaras žetona līdzeklis, kas kavēja mobilo pieņemšanu.
• Ierobežoti uzticamības pakalpojumi: eIDAS 1 uzskaitīja deviņus kvalificētu pakalpojumu veidus; jauni lietošanas veidi (kvalificēts elektronisks arhīvs, atribūtu pārvaldīšana) nebija regulēti.
• Nav vienota identitātes maciņa: katrs pilsonis vai uzņēmums pārvaldīja savus identifikatorus noslēgtā veidā bez garantētas savietojamības.

Šie ierobežojumi izraisīja Komisiju 2020. gadā sākt revīziju, kā rezultātā tika pieņemts regulējums eIDAS 2 pēc triju gadu triloga.

---

2. Pieci lielie eIDAS 2 jaunumi mazajiem un vidējiem uzņēmumiem

2.1 Eiropas digitālā identitātes maciņš (EU Digital Identity Wallet — EUDIW)

Šis ir regulējuma pamanāmākais jaunums. Līdz 2026. gada novembrim (transponēšanas termiņš, kas noteikts 5a pantā), katrai dalībvalstij jāpiedāvā vismaz viens sertificēts digitālās identitātes maciņš saviem pilsoņiem un rezidentiem. Mazajiem un vidējiem uzņēmumiem šai evolūcijai ir divas tiešas sekas:

1. Vienkāršota klientu un partneru autentifikācija: maciņš ļaus dalīties verificētiem atribūtiem (vecums, intrakomunitārs PVN numurs, Kbis izraksts, sertificēti bankas dati) bez jums. Līgumu cadre ar Vācu partneri var noslēgt pēc momentānas verifikācijas viņa profesionālajiem atribūtiem no viņa EUDIW.
2. Pieņemšanas pienākums noteiktiem sektoriem: lielās platformas (45bis pants) tiešsaistes pakalpojumiem un noteiktiem valsts pakalpojumiem būs jāpieņem EUDIW kā autentifikācijas līdzeklis. Mazie un vidējie uzņēmumi, kas nodrošina B2B portāļus, būs jāadaptē savām autentifikācijas API.

2.2 Kvalificēto uzticamības pakalpojumu saraksta paplašināšana

eIDAS 2 paplašina kvalificēto uzticamības pakalpojumu katalogu no 9 uz 14 kategorijām. Jaunais ieraksts, kas tieši attiecas uz mazajiem un vidējiem uzņēmumiem:

• Kvalificēts elektronisks arhīvs (45septies pants): ilgtermiņa konservācija ar pastiprinātu pierādīšanas vērtību. Līdz šim arhīvs ar pierādīšanas vērtību paļāvās uz nacionālajiem referenciāliem (Francijā — SIAF/ANSSI referenciāls); eIDAS 2 harmonizē Eiropas karkasu.
• Attālināta pārvaldīšana no kvalificēta parakstu izveides ierīces (RQSCD): tagad eksplīciti regulēts, tas novērš neskaidrības, kas slogoja mākoņa risinājumu ar kvalificētu parakstu. Mazajam uzņēmumam ar 50 darbiniekiem tas nozīmē piekļuvi kvalificētam parakstam bez fiziska pilnvaras žetona no jebkura ierīces.
• Kvalificēts elektroniska reģistra pakalpojums: reģistri, kuri pamatoti uz blokķēdi vai sadalītas grāmatas tehnoloģijām, tagad var iegūt kvalificētu statusu, atvērt ceļu uz jauniem līgumsaistību pārvaldības modeļiem.

Lai uzzinātu vairāk par parakstu līmeņiem un to juridisko vērtību, skatiet mūsu pilno elektroniskās parakstīšanas ceļvedi.

2.3 Pastiprinātas drošības prasības kvalificētajiem pakalpojumu sniedzējiem (QTSP)

eIDAS 2 paostrina kvalificētu uzticamības pakalpojumu sniedzēju (QTSP) pienākumus. Pārskatītais 24. pants nosaka jo īpaši:

• Kibernespēles sertifikācija, kas atbilst Eiropas karkasam (ES Cybersecurity Act, regulējums 2019/881), ar nozares shēmām, kurus izstrādā ENISA.
• Pastiprinātas prasības attiecībā uz operacionālo elastību: QTSP tagad jādokumentē savu biznesa kontinuitātes plāns un jāiesniedz savam nacionālajam uzraudzības organam (Francijā — ANSSI kvalificētajiem pakalpojumu sniedzējiem).
• Drošības incidentu paziņošanas pienākums 24 stundu laikā (saskaņošana ar NIS 2).

Lietotāju mazajiem un vidējiem uzņēmumiem tas nozīmē pastiprinātu piesardzību pakalpojumu sniedzēja izvēlē: pārbaudīt, ka jūsu risinājums patiešām atrodas atjauninātajā Eiropas Uzticamības sarakstā, tagad ir kritisks jūsu iegādes procesa solis. Mūsu elektroniskās parakstīšanas risinājumu salīdzinājums var jums palīdzēt šajā analīzē.

2.4 Obligāta identitātes shēmu savietojamība

Turpretī eIDAS 1 dalībvalstīm sniedza brīvību paziņot (vai nepazīt) savus shēmas, eIDAS 2 padara paziņošanu un savietojamību obligātu identitātes shēmām, ko izmanto tiešsaistes valsts pakalpojumos (5. pants). France Identité — nacionālā shēma, ko veicina Iekšlietu ministrija — tiek modificēta, lai atbilstu EUDIW tehniskajām specifikācijām, kuras publicējusi Komisija izpildes regulējumā (ES) 2024/2977.

Mazajam un vidējam uzņēmumam, kas regulāri mijiedarbināta ar valsts iestādēm (publiskos iepirkumus, tiešsaistes deklarācijas nodokļiem, muitas procedūrām), šo evolūciju nozīmē, ka tiešsaistes procedūras pakāpeniski tiks vienošanas apkārt vienotam digitālam identifikatoram, kas atzīts visā ES.

2.5 Jauni atbildības un uzraudzības noteikumi

eIDAS 2 uzskaita un paplašina pakalpojumu sniedzēju atbildības režīmus (pārskatīts 13. pants). QTSP tagad tiek pieņemts atbildīgs par jebkādu kaitējumu, ko izraisa pienākuma neizpilde pret fiziskiem vai juridiskām personām, izņemot gadījumu, kad tas pierāda vainu. Šo atbildības pieņēmumu, salīdzinājumā ar eIDAS 1, stiprinājums, mājo, ka mazie un vidējie uzņēmumi:

• Formalizē ar līgumu sava pakalpojumu sniedzēja saistibes (SLA, pieejamības garantijas, atlīdzinājums).
• Pārbaudīt, vai QTSP nokrāsoja profesionālās atbildības apdrošināšanas iespēju.
• Saglabāt parakstīto transakciju pierādījumus (horodatēšanas žurnāli, paraksta verifikācijas ziņojumi).

Mūsu komandas ir uzrakstījusi detalizētu ceļvedi par elektroniskajos parakstiem uzņēmumos, kas aplūko šos līgumiskos aspektus.

---

3. Salīdzinošā tabula eIDAS 1 vs eIDAS 2: kas konkrēti mainās

3.1 Galveno izmainu kopsavilkums

| Kritērijs | eIDAS 1 (2016–2024) | eIDAS 2 (2024–2026+) | |---|---|---| | Identitātes maciņš | Nav | EUDIW obligāts (dalībvalstis) | | Kvalificēti pakalpojumi | 9 kategorijas | 14 kategorijas (arhīvs, RQSCD, reģistri…) | | Shēmu paziņošana | Brīvprātīga | Obligāta valsts pakalpojumiem | | QTSP drošība | Common Criteria kritēriji | Cybersecurity Act + ENISA shēmas | | QTSP atbildība | Daļēja | Pastiprināts atbildības pieņēmums | | Incidenta paziņošanas termiņš | Nav specifikts | 24 stundas (saskaņošana ar NIS 2) | | Mobilā QSCD | Juridiska neskaidrība | RQSCD skaidri regulēts |

3.2 Galvenie termiņi, ko atcerēties 2026. gadam

• 2024. maijs: regulējuma (ES) 2024/1183 stāšanās spēkā.
• 2026. novembris: termiņš, kad katrai dalībvalstij jāpiedāvā vismaz viena sertificēta EUDIW risinājuma.
• 2027: lielajām platformām (45bis pants) obligāta EUDIW pieņemšana autentifikācijas līdzeklim.
• 2028: plānotā EUDIW specifikāciju tehnisko izpildes aktu pārskatīšana.

Ja jūsu mazais un vidējais uzņēmums plāno migrāciju uz saderīgāku risinājumu, mūsu migrācija uz Certyneo ietver bezmaksas eIDAS 2 atbilstības auditu.

---

4. Praktisks darbības plāns jūsu mazā un vidējā uzņēmuma eIDAS 2 atbilstības nodrošināšanai

4.1 Pārbaudīt esošos dokumentu plūsmas

Sāciet ar visu procesu kartografēšanu, kuros jūs pašlaik izmantojat elektroniskos parakstus vai digitālo identitāti: piegādātāju līgumi, dematerializētas algas loksnes, SEPA mandāti, konfidencialitātes nolīgumi, HR akti. Katrai plūsmai identificējiet:

• Izmantotais paraksta līmenis (SES, AdES, QES).
• Pašreizējais pakalpojumu sniedzējs un tā statuss Uzticamības sarakstā.
• Juridiskā riska līmenis strīda gadījumā.

Šis audits ir ieteiktais sākuma punkts ANSSI savā 2025. gada martā publicētajā atbilstības ceļvedī.

4.2 Jūsu parakstīšanas risinājuma modernizācija

Ja jūsu pašreizējais pakalpojumu sniedzējs neatrodas eIDAS 2 Uzticamības sarakstā vai vēl nepiedāvā RQSCD, ir pienācis laiks salīdzināt piedāvājumus tirgū. Certyneo ir sertificēts QTSP, kas atbalsta visus trīs paraksta līmeņus (SES, AdES, QES) un nacionāli integrē jaunās eIDAS 2 prasības, jo īpaši kvalificētu arhīvu un attālinātās ierīces pārvaldīšanu.

4.3 Apmācīt jūsu komandas un atjaunināt jūsu līgumus

eIDAS 2 stiprina kvalificēto parakstu pierādīšanas vērtību, bet arī uzliek labas prakses dokumentācijai. Pārliecinieties, ka jūsu juridiskās un administratīvās komandas:

• Zina, kā atšķirt trīs paraksta līmeņus un to juridisko vērtību.
• Integrē piegādātāju līgumos eIDAS atbilstības revīzijas klauzulu.
• Saglabāja paraksta verifikācijas pierādījumus (validācijas ziņojums, kvalificēts horodatējums) noteiktā konservācijas perioda ilgumā (3 līdz 10 gadi atkarībā no akta rakstura).

Lai strukturētu šo pieeju, mūsu elektroniskās parakstīšanas ROI kalkulators ļaus jums kvantificēt operacionālos ieguvumus, kas saistīti ar modernizāciju.

Piemērojamais tiesību regulējums

Atsauču teksti

Mazā un vidējā uzņēmuma eIDAS 2 atbilstības nodrošināšana Francijā ir ietverta normatīvajā piļu kumulācijā, ko ir būtiski apgūt.

Regulējums (ES) 2024/1183 no Eiropas Parlamenta un Padomes (saukts par „eIDAS 2") — tas ir pamatojošais teksts, publicēts JOEU 2024. gada 30. aprīlī. Tas atceļ un aizstāj regulējumu (ES) nr. 910/2014 saskaņā ar pakāpenisku izvietošanas grafiku, kas ilgst līdz 2027. gadam. Tas ir tieši piemērojams visās dalībvalstīs bez nepieciešamības pēc nacionālās likumdevības transponēšanas tā galvenajiem noteikumiem.

Regulējums (ES) nr. 910/2014 (eIDAS 1): daži no tā noteikumiem paliek spēkā eIDAS 2 noteiktajiem pārejas periodiem, jo īpaši pakalpojumu sniedzējiem, kuri ir ieguvuši kvalifikāciju pirms 2024. gada maija un kam ir termiņš pārsertificēties.

Franču Civilkodekss, 1366. un 1367. pants: 1366. pants nosaka principu par elektroniskā rakstījuma ekvivalenci papīra rakstījumam, ja „persona, no kuras tas nāk, var būt pienormāli identificēta un tas ir izstrādāts un saglabāts apstākļos, kas paredzēti tā integritātes garantēšanai". 1367. pants atzīst elektroniskos parakstus kā pierādījuma paņēmieni, atsaucoties uz nosacījumiem, kurus nosaka Padomes dekrēts (dekrēts nr. 2017-1416 no 2017. gada 28. septembra, kodificēts Civilkodeksa 1369-1 līdz 1369-10 panta).

Regulējums (ES) 2016/679 (GDPR): EUDIW izvietošana un identitātes atribūtu apstrāde elektroniskās parakstīšanas plūsmās veido personīgo datu apstrādi GDPR nozīmē. Mazajiem un vidējiem uzņēmumiem jāpārliecinās, ka viņu QTSP darbojas kā apakšuzņēmējs GDPR 28. panta nozīmē, ar atbilstošu DPA (Data Processing Agreement). CNIL publicējis 2026. gada janvārī īpašu ieteikumu par EUDIW-GDPR integrāciju.

Direktīva (ES) 2022/2555 (NIS 2): eIDAS 2 skaidri saskaņo ar NIS 2 incidenta paziņošanas pienākumiem (eIDAS 2 24. panta §2, atsaucoties uz NIS 2 noteikumiem). QTSP tiek uzskatīti par „būtiskām" vai „svarīgām" entītijām NIS 2 nozīmē atkarībā no to izmēra un tāpēc pakļauti regulāriem drošības auditiem.

ETSI standartiem: elektroniskajiem parakstiem jāatbilst ETSI standartiem EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) un ETSI EN 319 102-1 (validācijas procedūra). ETSI TS 119 461 regulē attālinātu identitātes verifikāciju (IDV), jo īpaši attiecīgu RQSCD.

Juridiskie riski, ja nav atbilstības

Elektroniskās parakstīšanas risinājuma izmantošana, kas neatbilst eIDAS 2, pakļauj mazais un vidējais uzņēmums vairākiem riskiem:

• Noraidīšana tiesā: tiesnesis var noraidīt elektroniskos parakstus, kuru līmenis nesakrīt ar parakstīto aktu (piemēram: vienkāršs paraksts par likumprojektu, kas pieprasa paaugstinātus vai kvalificētus līmeņus).
• Līgumsaistību atbildība: ja līgumu apstrīd partneris, jo paraksts ir spēkā, mazais un vidējais uzņēmums var būt pakļauts atlīdzināšanas prasībām.
• GDPR soda: datu pārkāpuma gadījumā, kas saistīts ar pakalpojumu sniedzēja drošības defektu, mazais un vidējais uzņēmums, līdzatbildīgais vai atbildīgais, var tikti sods no CNIL līdz 4% no gada pasaules apgrozījuma (GDPR 83. pants §4).

Konkrētie lietošanas scenāriji

1. scenārijs: 80 darbinieku liels rūpniecisks mazais un vidējais uzņēmums, pārvaldot 400 piegādātāju līgumus gadā

Metālapstrādes nozares mazais un vidējais uzņēmums, kas gadā apstrādā apmēram 400 piegādātāju līgumus, līdz 2024. gadam izmantoja vienkāršas elektroniskās parakstīšanas risinājumu (SES) visiem saviem saistībām, ieskaitant cadre līgumus virs 50 000 eiro. Pēc eIDAS 2 atbilstības audita konstatēja, ka 35% no tā līgumiem pieprasa paaugstinātu vai kvalificētu parakstu, lai izturētu juridisko apstrīdi, jo īpaši ar piegādātājiem, kas ustoti citās ES dalībvalstīs.

Migrējot uz risinājumu, kas apvieno paaugstinātu parakstu (AdES) parastajiem līgumiem un kvalificētu (QES) cadre līgumiem un aktivizējot kvalificētu elektronisko arhīvu (jauns eIDAS 2 pakalpojums), šis mazais un vidējais uzņēmums samazināja par 70% laiku, kas veltīts dokumentu pārvaldībai pēc parakstitēšanas (arhivēšana, meklēšana, sertificētu kopiju sūtīšana) un vēlāk uz nulli noveda strīdus par paraksta apstrīdi nākamajiem 18 mēnešiem, salīdzinājumā ar diviem incidentiem iepriekšējos 18 mēnešos.

2. scenārijs: 15 darbinieku juridiskais konsultācijas birojs

Tiesību lietu nozares birojš, kas gadā izdod vidēji 1200 parakstītos dokumentus (klientu vēstules, mandātus, konfidencialitātes nolīgumus), saskāra pieaugošu prasību no korporatīvajiem klientiem uz kvalificētajiem parakstiem, kuri būtu atzīti visā ES. Saskaņā ar eIDAS 1 kvalificēta sertifikata iegūšana prasīja personisku tikšanos vai garu video verifikāciju (45 līdz 90 minūtes per lietotājs).

Pateicoties RQSCD (Remote Qualified Signature Creation Device), ko regulē eIDAS 2, birojs varēja izvietot kvalificētu parakstu visiem saviem darbinieki mazāk par divām nedēļām, izmantojot 100% attālinātu reģistrācijas procedūru, kas atbilst ETSI TS 119 461 standartam. Iekšējā pieņemšanas ātrums palielinājās no 40% līdz 95% trīs mēnešu laikā, un vidējais parakstīto dokumentu atgriešanas termiņš tika samazināts no 4,2 dienām uz mazāk nekā 6 stundām pēc birojs iekšējiem mērījumiem.

3. scenārijs: e-komercijas mazais un vidējais uzņēmums, kas darbojas trīs ES valstīs

Tiešsaistes pārdošanas uzņēmums ar 35 darbiniekiem un darbībām Francijā, Beļģijā un Nīderlandē bija jāpārvaldo trīs veidu elektroniskos nolīgumus: darba līgumi vietējiem darbiniekiem, partnerības nolīgumi ar pārvadājuma uzņēmumiem un SEPA mandāti profesionālajiem klientiem. Nacionālo prasību sašķaidīšana saskaņā ar eIDAS 1 viņam bija jāuztur trīs atsevišķi parakstīšanas darbplūsmas, ar administrācijas izmaksām, kas novērtētas aptuveni 12 000 eiro gadā.

Vienotas risinājuma pieņemšana, kas atbilst eIDAS 2 — integrējot savstarpēju atzīšanu no kvalificētajiem parakstiem trīs valstīs — ļāva vienošanas darbplūsmas, samazināt pārvaldības izmaksas uz aptuveni 4500 eiro gadā (62% ekonomija) un novērst ar ārzemju parakstu manuālu validāciju saistītos kavējumus juridiskajā departamentā.

Secinājums

eIDAS 2 nav vienkārša kosmētiska regulējuma revīzija: tā pamatīgi pārdefinē digitālā uzticamības spēļu noteikumus Eiropā. Franču mazajiem un vidējiem uzņēmumiem pieci galvenie izmaiņu punkti — EUDIW maciņš, kvalificēto pakalpojumu paplašināšana, RQSCD, obligāta savietojamība un stiprināta atbildība — pārstāv gan atbilstības prasību slogu, gan paātrināt viņu dokumentu transformācijas iespēju.

Mazie un vidējie uzņēmumi, kuri šīs izmaiņas sagaida jau šodien, gūs reālas konkurences priekšrocības: līgumi, kurus atzīst visā ES bez jebkādām problēmām, integrēts arhīvs ar pierādīšanas vērtību un pilnībā dematerializēti un draudzīgi parakstīšanas procesi.

Certyneo ir izstrādāts, lai atbalstītu šo pāreju. Sāciet savu bezmaksas izmēģinājumu vietnē certyneo.com un saņemiet bezmaksas eIDAS 2 atbilstības auditu saviem esošajiem dokumentu plūsmām.