eIDAS 2 vs eIDAS 1: sleutelwijzigingen voor KMO's

Introductie: waarom eIDAS 2 een game-changer is voor KMO's

Sinds 20 mei 2024 is verordening (EU) 2024/1183 — algemeen bekend als eIDAS 2 — van kracht gegaan, waarin verordening (EU) nr. 910/2014 (eIDAS 1) geleidelijk wordt ingetrokken en vervangen. Voor Franse KMO's is deze overgang niet slechts een administratieve update: het herdefiniëert de digitale vertrouwensniveaus, voert een Europese identiteitsportefeuille in (EUDIW), verscherpt de vereisten voor dienstverleners van vertrouwensdiensten en verbreed het bereik van erkende diensten. Dit artikel vergelijkt eIDAS 1 en eIDAS 2 punt voor punt, identificeert de concrete operationele gevolgen voor kleine en middelgrote ondernemingen en geeft u een actieplan om in 2026 compliant te blijven.

---

1. Overzicht: wat eIDAS 1 vastlegde (2014-2024)

1.1 De fundamenten van de oorspronkelijke verordening

Aangenomen in juli 2014 en van toepassing vanaf september 2016, legde eIDAS 1 de eerste stenen van een Europese ruimte van digitaal vertrouwen. Het introduceerde drie grote categorieën van elektronische handtekeningen — eenvoudig (SES), gevorderd (AdES) en gekwalificeerd (QES) — en creëerde de vertrouwenslijst van gekwalificeerde dienstverleners (Trusted List), raadpleegbaar op het portaal van de Europese Commissie.

Voor KMO's was de grote bijdrage van eIDAS 1 de grensoverschrijdende erkenning van gekwalificeerde handtekeningen: een contract ondertekend met een Franse QES werd juridisch erkend in Duitsland, Spanje of Italië zonder apostille of aanvullende formaliteit. Dit principe — genoemd de "non-discriminatie" — bleef de basis waarop aanbieders zoals Certyneo hun diensten hebben opgebouwd.

1.2 Vastgestelde beperkingen

Ondanks zijn voordelen leed eIDAS 1 onder verschillende tekortkomingen, gedocumenteerd door de Europese Commissie in haar evaluatierapport van 2021:

• Fragmentatie van identiteitsschema's: alleen lidstaten die hun nationaal schema hadden gemeld (zoals FranceConnect+ op substantieel niveau) profiteerden van wederzijdse erkenning. In 2023 hadden slechts 14 van de 27 lidstaten een conform schema gemeld.
• Geen native mobiele ondersteuning: het gekwalificeerde apparaat voor het maken van handtekeningen (QSCD) vereiste vaak een smartcard of hardware-token, waardoor mobiele adoptie werd belemmerd.
• Beperkte vertrouwensdiensten: eIDAS 1 noemde negen soorten gekwalificeerde diensten; nieuwe toepassingen (gekwalificeerde elektronische archivering, attributenbeheer) waren niet geregeld.
• Geen uniforme identiteitsportefeuille: elke burger of onderneming beheerde zijn of haar identifiers geïsoleerd, zonder gegarandeerde interoperabiliteit.

Deze beperkingen leidden ertoe dat de Commissie al in 2020 een herziening startte, wat na drie jaar triloog leidde tot eIDAS 2.

---

2. De vijf grote vernieuwingen van eIDAS 2 voor KMO's

2.1 De Europese digitale identiteitsportefeuille (EU Digital Identity Wallet — EUDIW)

Dit is de meest zichtbare vernieuwing van de verordening. Voor november 2026 (omzettingstermijn bepaald in artikel 5a) moet elke lidstaat minstens één gekwalificeerde digitale identiteitsportefeuille aan zijn burgers en ingezetenen aanbieden. Voor KMO's heeft deze ontwikkeling twee directe gevolgen:

1. Vereenvoudigde authenticatie van klanten en partners: de portefeuille maakt het mogelijk om geverifieerde attributen (leeftijd, BTW-identificatienummer, handelsregisteruitreksel, geverifieerde bankgegevens) zonder friction te delen. Een raamakkoord met een Duitse partner kan worden ondertekend na directe verificatie van zijn professionele attributen uit zijn EUDIW.
2. Aanvaardingsverplichting voor bepaalde sectoren: onlinediensten van grote platforms (artikel 45bis) en bepaalde openbare diensten moeten EUDIW als verificatiemiddel accepteren. KMO's die B2B-portals aanbieden, moeten hun verificatie-API's aanpassen.

2.2 Uitbreiding van de lijst met gekwalificeerde vertrouwensdiensten

eIDAS 2 verbreed de catalogus van gekwalificeerde vertrouwensdiensten van 9 naar 14 categorieën. De nieuwe posten die KMO's rechtstreeks raken zijn:

• Gekwalificeerde elektronische archivering (art. 45septies): langetermijnopslag met versterkte bewijswaarde. Tot nu toe steunde archivering met bewijswaarde op nationale referentiekaders (in Frankrijk het SIAF/ANSSI-referentiekader); eIDAS 2 harmoniseert het Europese kader.
• Beheer op afstand van gekwalificeerde apparaten voor het maken van handtekeningen (RQSCD): nu expliciet geregeld, wat de onduidelijkheden over cloudoplossingen voor gekwalificeerde handtekeningen opheft. Voor een KMO van 50 medewerkers betekent dit toegang tot een gekwalificeerde handtekening zonder fysieke token, vanaf elk apparaat.
• Gekwalificeerde elektronische registeringsdienst: registers op basis van blockchain of gedistribueerde grootboektechnologieën kunnen nu gekwalificeerde status krijgen, wat nieuwe modellen voor contractbeheer opent.

Voor meer informatie over handtekeningsniveaus en hun juridische waarde, raadpleeg onze volledige gids voor elektronische handtekeningen.

2.3 Versterking van beveiligingsvereisten voor gekwalificeerde dienstverleners (QTSP)

eIDAS 2 verscherpt de verplichtingen van gekwalificeerde vertrouwensdienstverleners (QTSP). Het herziene artikel 24 schrijft met name voor:

• Een cybersecurity-certificering conform het Europese kader (EU Cybersecurity Act, verordening 2019/881), met sectorale schema's in ontwikkeling door het ENISA.
• Versterkte vereisten voor operationele veerkracht: QTSP's moeten nu hun bedrijfscontinuïteitsplan documenteren en indienen bij hun nationale toezichthoudende instantie (in Frankrijk het ANSSI voor gekwalificeerde dienstverleners).
• Een verplichting voor melding van beveiligingsincidenten binnen 24 uur (afstemming met NIS 2).

Voor gebruikers van KMO's leidt dit tot verhoogde due diligence bij de keuze van dienstverlener: controleren dat uw handtekeningenoplossing op de bijgewerkte Europese Trusted List staat is nu een kritieke stap in uw aankoopproces. Onze vergelijking van elektronische handtekeningenoplossingen kan u bij deze analyse helpen.

2.4 Verplichte interoperabiliteit van identiteitsschema's

Waar eIDAS 1 lidstaten de vrijheid gaf om al dan niet hun schema te melden, maakt eIDAS 2 melding en interoperabiliteit verplicht voor identiteitsschema's gebruikt in onlinediensten van het openbare sector (art. 5). France Identité — het nationale schema onder leiding van het ministerie van Binnenlandse Zaken — wordt momenteel aangepast aan de technische specificaties van de EUDIW, gepubliceerd door de Commissie in uitvoeringsverordening (EU) 2024/2977.

Voor een KMO die regelmatig met overheidsdiensten samenwerkt (openbare aanbestedingen, elektronische aangiftes, douaneprocedures), betekent deze ontwikkeling dat onlineprocedures geleidelijk rondom één digitale identiteit worden geharmoniseerd die in heel de EU wordt erkend.

2.5 Nieuwe aansprakelijkheids- en toezichtsregels

eIDAS 2 verduidelijkt en verbreed de aansprakelijkingsregimes voor dienstverleners (herzien artikel 13). Een QTSP is nu aansprakelijk voor elke schade veroorzaakt aan een natuurlijke of rechtspersoon door een tekortkoming in zijn verplichtingen, tenzij deze kan bewijzen dat geen schuld bestaat. Deze versterkte aansprakelijkheidsvermutting, vergeleken met eIDAS 1, dient KMO's ertoe aan te zetten:

• De verplichtingen van hun dienstverlener contractueel vast te leggen (SLA's, beschikbaarheidsgaranties, schadevergoeding).
• De dekking van de beroepsaansprakelijkheidsverzekering van de QTSP te controleren.
• Bewijzen van audit van ondertekende transacties te bewaren (tijdstempel-logboeken, handtekeningverificatierapporten).

Onze teams hebben een gedetailleerde gids opgesteld over de elektronische handtekening in ondernemingen waarin deze contractuele aspecten worden behandeld.

---

3. Vergelijkingstabel eIDAS 1 vs eIDAS 2: wat er concreet verandert

3.1 Samenvatting van de belangrijkste wijzigingen

| Criterium | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Identiteitsportefeuille | Afwezig | EUDIW verplicht (lidstaten) | | Gekwalificeerde diensten | 9 categorieën | 14 categorieën (archivering, RQSCD, registers…) | | Melding schema's | Facultatief | Verplicht voor openbare diensten | | QTSP-beveiliging | Common Criteria-criteria | Cybersecurity Act + ENISA-schema's | | QTSP-aansprakelijkheid | Gedeeld | Versterkte aansprakelijkheidsvermutting | | Incidentmeldingstermijn | Niet bepaald | 24 uur (afstemming NIS 2) | | Mobiele QSCD | Juridische onduidelijkheid | RQSCD expliciet geregeld |

3.2 De belangrijkste deadlines voor 2026

• Mei 2024: inwerkingtreding van verordening (EU) 2024/1183.
• November 2026: uiterste termijn waarop elke lidstaat minstens één gekwalificeerde EUDIW-oplossing aanbiedt.
• 2027: verplichting voor grote platforms (art. 45bis) EUDIW als verificatiemiddel te accepteren.
• 2028: geplande herziening van technische uitvoeringsbesluiten (gedelegeerde verordeningen over EUDIW-specificaties).

Als uw KMO overweegt naar een conform oplossing te migreren, bevat onze migratieaanbod naar Certyneo een gratis eIDAS 2 complianceaudit.

---

4. Praktisch actieplan om uw KMO eIDAS 2-compliant te maken

4.1 Controleer uw bestaande documentstromen

Begin met het in kaart brengen van alle processen waarin u momenteel elektronische handtekeningen of digitale identiteit gebruikt: aanbodfornulieren, gedematerieerde salarisbrieven, SEPA-mandaten, geheimhoudingsovereenkomsten, HR-aktes. Voor elke stroom, bepaal:

• Het gebruikte handtekeningsniveau (SES, AdES, QES).
• De huidige dienstverlener en diens status op de Trusted List.
• Het juridische risico in geval van geschil.

Deze audit is het aanbevolen startpunt door het ANSSI in zijn compliant gemaakshandleiding gepubliceerd in maart 2025.

4.2 Werk uw handtekeningenoplossing bij

Als uw huidige dienstverlener niet op de eIDAS 2 Trusted List staat of nog geen RQSCD biedt, is het tijd om aanbiedingen op de markt te vergelijken. Certyneo is een gekwalificeerde QTSP die alle drie handtekeningsniveaus ondersteunt (SES, AdES, QES) en integreert natively de nieuwe eIDAS 2 vereisten, met name gekwalificeerde archivering en beheer op afstand van apparaten.

4.3 Train uw teams en werk uw contracten bij

eIDAS 2 versterkt de bewijswaarde van gekwalificeerde handtekeningen maar stelt ook documenteringsbest practices in. Zorg ervoor dat uw juridische en administratieve teams:

• De drie handtekeningsniveaus en hun respectieve juridische waarde kunnen onderscheiden.
• Integreert in leverancierscontracten een eIDAS-complianceclausule.
• Bewaart bewijzen van handtekeningverificatie (validatierappport, gekwalificeerde tijdstempel) voor de geldende bewaartermijn (3 tot 10 jaar afhankelijk van de soort acte).

Om deze aanpak te structureren, kunt u onze ROI-calculator voor elektronische handtekeningen gebruiken om de operationele winsten van de upgrade te kwantificeren.

Toepasselijk juridisch kader

Referentiedocumenten

De eIDAS 2-compliance voor een Franse KMO past in een regelgevingsstapeling die essentieel is om onder de knie te krijgen.

Verordening (EU) 2024/1183 van het Europees Parlement en de Raad (genaamd "eIDAS 2"): dit is het fundamentele document, gepubliceerd in het PB op 30 april 2024. Het trekt verordening (EU) nr. 910/2014 in en vervangt deze volgens een uitvoeringsschema dat tot 2027 loopt. Het is rechtstreeks van toepassing in alle lidstaten, zonder nationale omzettingswetgeving te vereisen voor zijn belangrijkste bepalingen.

Verordening (EU) nr. 910/2014 (eIDAS 1): sommige bepalingen blijven van toepassing tijdens de door eIDAS 2 voorziene overgangsfasen, met name voor gekwalificeerde dienstverleners die hun kwalificatie vóór mei 2024 hebben verkregen en een termijn hebben om zich opnieuw te certificeren.

Frans Burgerlijk Wetboek, artikelen 1366 en 1367: artikel 1366 stelt het beginsel van gelijkwaardigheid tussen elektronisch en papiergeschrift vast, op voorwaarde dat "de persoon van wie het afkomstig is naar behoren kan worden geïdentificeerd en het is opgesteld en bewaard op zodanige wijze dat de integriteit ervan is gewaarborgd". Artikel 1367 erkent elektronische handtekening als bewijsmiddel, stellende naar de voorwaarden vastgesteld bij decreet in Raad van State (decreet nr. 2017-1416 van 28 september 2017, gecodificeerd in de artikelen R. 1369-1 tot R. 1369-10 van het Burgerlijk Wetboek).

Verordening (EU) 2016/679 (GDPR): de implementatie van de EUDIW en het verwerken van identiteitsattributen in elektronische handtekeningsstromen vormen gegevensverwerkingen in de zin van GDPR. KMO's moeten ervoor zorgen dat hun QTSP als verwerker optreedt in de zin van artikel 28 GDPR, met een conforme gegevensVerwerkingsovereenkomst (DPA). De CNIL publiceerde in januari 2026 een specifieke aanbeveling over EUDIW-GDPR-integratie.

Richtlijn (EU) 2022/2555 (NIS 2): eIDAS 2 sluit expliciet aan op NIS 2 voor incidentmeldingsverplichtingen (art. 24, §2 eIDAS 2 verwijzend naar NIS 2 bepalingen). QTSP's worden beschouwd als "essentiële" of "belangrijke" entiteiten in de zin van NIS 2 afhankelijk van hun grootte, en zijn als zodanig onderworpen aan regelmatige beveiligingsaudits.

ETSI-normen: gekwalificeerde elektronische handtekeningen moeten voldoen aan ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) en ETSI EN 319 102-1 (validatieprocedure). ETSI TS 119 461 regelt verificatie op afstand van identiteit (IDV), bijzonder relevant voor RQSCD.

Juridische risico's in geval van niet-compliance

Het gebruik van een elektronische handtekeningenoplossing die niet conform eIDAS 2 is, stelt de KMO bloot aan verschillende risico's:

• Ontvankelijkheidsberoep in geding: een rechter kan een elektronische handtekening waarvan het niveau niet overeenkomt met de ondertekende acte verwerpen (bijv. eenvoudige handtekening voor een acte die gevorderd of gekwalificeerd niveau vereist).
• Contractuele aansprakelijkheid: als een contract door een partner wordt betwist op grond van de nietigheid van de handtekening, kan de KMO blootstelling aan schadeclaims hebben.
• GDPR-sancties: in geval van dataschending door een beveiligingstekort van de dienstverlener, kan de KMO, als medeverantwoordelijke of verantwoordelijke voor verwerking, door de CNIL worden beboet tot 4% van de jaarlijkse mondiale omzet (art. 83 §4 GDPR).

Concrete gebruiksscenario's

Scenario 1: een industriële KMO met 80 medewerkers die 400 leverancierscontracten per jaar beheert

Een KMO in de metallurgiasector die ongeveer 400 leverancierscontracten per jaar sloot, gebruikte tot 2024 een eenvoudige elektronische handtekeningenoplossing (SES) voor al haar verplichtingen, inclusief raamcontracten boven de 50.000 €. Na een eIDAS 2 complianceaudit concludeerde zij dat 35% van haar contracten een gevorderde of gekwalificeerde handtekening vereiste om bestand te zijn tegen juridische betwisting, met name met leveranciers in andere EU-lidstaten.

Door naar een oplossing te migreren met gevorderde handtekening (AdES) voor reguliere contracten en gekwalificeerde (QES) voor raamcontracten, en door gekwalificeerde elektronische archivering in te schakelen (nieuwe eIDAS 2-dienst), reduceerde deze KMO de tijd voor het beheer van documenten na ondertekening (classificatie, zoeken, versturen van geverifieerde kopieën) met 70% en bracht zij geschillen over handtekeningcontestatie tot nul op de volgende 18 maanden, tegenover twee incidenten in de voorgaande 18 maanden.

Scenario 2: een juridisch advieskantoor met 15 medewerkers

Een kantoor gespecialiseerd in handelsrecht, dat gemiddeld 1.200 ondertekende acten per jaar emitteert (opdrachtverleningen, mandaten, geheimhoudingsovereenkomsten), stond voor stijgende vraag van klanten naar gekwalificeerde handtekeningen erkend in heel de EU. Onder eIDAS 1 vereiste het verkrijgen van een gekwalificeerd certificaat een lange procedure van face-to-face of videoverificatie (45 tot 90 minuten per gebruiker).

Dankzij RQSCD (Remote Qualified Signature Creation Device) geregeld in eIDAS 2, kon het kantoor gekwalificeerde handtekening voor al haar medewerkers in minder dan twee weken inzetten, via een procedure voor 100% elektronische inschrijving conform ETSI TS 119 461. Het interne adoptatietarief steeg van 40% naar 95% in drie maanden, en de gemiddelde terugkeerijd voor ondertekende acten daalde van 4,2 dagen naar minder dan 6 uur volgens interne metingen van het kantoor.

Scenario 3: een e-commerce KMO werkzaam in drie EU-landen

Een onlineverkooponderneming met 35 medewerkers werkzaam in Frankrijk, België en Nederland moest drie soorten elektronische akten beheren: arbeidsovereenkomsten voor lokale medewerkers, samenwerkingsovereenkomsten met vervoerders en SEPA-mandaten voor haar zakelijke klanten. Fragmentatie van nationale vereisten onder eIDAS 1 dwong haar drie afzonderlijke handtekeningsworkflows in stand te houden, met geschatte beheerkosten van ongeveer 12.000 € per jaar.

De invoering van één geïntegreerde eIDAS 2-conforme oplossing — met wederzijdse erkenning van gekwalificeerde handtekeningen in alle drie landen — maakte unificatie van workflows mogelijk, reduceerde beheerkosten tot ongeveer 4.500 € per jaar (besparing van 62%) en elimineerde vertragingen vanwege handmatige validatie van buitenlandse handtekeningen door de juridische dienst.

Conclusie

eIDAS 2 is geen cosmetische herziening van het regelgevingskader: het definieert de regels van het vertrouwenspel in Europa fundamenteel opnieuw. Voor Franse KMO's vertegenwoordigen de vijf grote veranderingen — EUDIW-portefeuille, uitbreiding van gekwalificeerde diensten, RQSCD, verplichte interoperabiliteit en versterkte aansprakelijkheid — zowel een complianceverplichting als een kans om hun documenttransformatie te versnellen.

KMO's die deze veranderingen vandaag al voorzien, zullen een echt concurrentievoordeel hebben: contracten in heel de EU zonder friction erkend, archivering met bewijswaarde ingebouwd, en volledig gedigitaliseerde en veilige handtekeningsprocessen.

Certyneo is ontworpen om deze overstap te faciliteren. Start uw gratis proef op certyneo.com en profiteer van een gratis eIDAS 2 complianceaudit voor uw bestaande documentstromen.