eIDAS 2 vs eIDAS 1: sleutelveranderingen voor MKB's

Inleiding: waarom eIDAS 2 het speelveld verandert voor MKB's

Sinds 20 mei 2024 is de verordening (EU) 2024/1183 — algemeen bekend als eIDAS 2 — van kracht geworden en vervangt geleidelijk de verordening (EU) nr. 910/2014 (eIDAS 1). Voor Franse MKB's is deze verschuiving niet zomaar een administratieve update: het herdefineert digitale vertrouwensniveaus, introduceert een Europese digitale identiteitsportefeuille (EUDIW), verscherpt de eisen voor dienstverleners van vertrouwensdiensten en breidt het bereik van erkende diensten uit. Dit artikel vergelijkt eIDAS 1 en eIDAS 2 punt voor punt, identificeert concrete operationele gevolgen voor kleine en middelgrote bedrijven en geeft u een actieplan om in 2026 compliant te blijven.

---

1. Terugblik: wat eIDAS 1 (2014-2024) inhield

1.1 De fundamenten van de oorspronkelijke verordening

Aangenomen in juli 2014 en van toepassing vanaf september 2016, legde eIDAS 1 de eerste stenen voor een Europese ruimte van digitaal vertrouwen. Het introduceerde drie grote categorieën van elektronische handtekening — eenvoudig (SES), geavanceerd (AdES) en gekwalificeerd (QES) — en creëerde een lijst met vertrouwde dienstverleners (Trusted List), raadpleegbaar op het portaal van de Europese Commissie.

Voor MKB's was de belangrijkste bijdrage van eIDAS 1 de grensoverschrijdende erkenning van gekwalificeerde handtekeningen: een contract ondertekend met een Franse QES werd juridisch erkend in Duitsland, Spanje of Italië zonder apostille of aanvullende formaliteit. Dit principe — het zogenaamde 'non-discriminatie' — vormde de basis waarop aanbieders van SaaS-diensten zoals Certyneo hun diensten hebben opgebouwd.

1.2 Geïdentificeerde beperkingen

Ondanks de vooruitgang leed eIDAS 1 onder verschillende hiaten die door de Europese Commissie waren gedocumenteerd in haar evaluatieverslag uit 2021:

• Fragmentatie van identiteitschema's: alleen lidstaten die hun nationaal schema hadden aangemeld (zoals FranceConnect+ op substantieel niveau) profiteerden van wederzijdse erkenning. In 2023 hadden slechts 14 van de 27 lidstaten een conform schema aangemeld.
• Afwezigheid van native mobiele ondersteuning: het gekwalificeerde apparaat voor het creëren van handtekeningen (QSCD) vereiste vaak een smartcard of hardwaretoken, wat mobiele adoptie belemmerde.
• Beperkte vertrouwensdiensten: eIDAS 1 somt negen soorten gekwalificeerde diensten op; nieuwe gebruiksgevallen (gekwalificeerde elektronische archivering, attributenbeheer) werden niet geregeld.
• Geen unified identiteitsportefeuille: elke burger of bedrijf beheerde zijn identificatoren op gesloten wijze, zonder gegarandeerde interoperabiliteit.

Deze beperkingen leidden de Commissie ertoe de herziening in 2020 in te stellen, wat na drie jaar driehoeksonderhandelingen tot eIDAS 2 leidde.

---

2. De vijf grote vernieuwingen van eIDAS 2 voor MKB's

2.1 De Europese digitale identiteitsportefeuille (EU Digital Identity Wallet — EUDIW)

Dit is de meest zichtbare nieuwheid van de verordening. Uiterlijk november 2026 (transposietermijn vastgesteld in artikel 5a) moet elke lidstaat minstens één gecertificeerde digitale identiteitsportefeuille aan zijn burgers en ingezetenen aanbieden. Voor MKB's heeft deze ontwikkeling twee rechtstreekse gevolgen:

1. Vereenvoudigde verificatie van klanten en partners: de portefeuille maakt het mogelijk geverifieerde attributen (leeftijd, intracommunautair btw-nummer, uittreksel inschrijving, geverifieerde bankgegevens) zonder wrijving te delen. Een raamakkoord met een Duitse partner kan na onmiddellijke verificatie van zijn professionele attributen vanuit zijn EUDIW worden ondertekend.
2. Acceptatieverplichting voor bepaalde sectoren: onlinediensten van grote platforms (artikel 45bis) en bepaalde openbare diensten moeten EUDIW als verificatiewijze accepteren. MKB's die B2B-portalen leveren, moeten hun verificatie-API's aanpassen.

2.2 Uitbreiding van de lijst met gekwalificeerde vertrouwensdiensten

eIDAS 2 breidt de catalogus van gekwalificeerde vertrouwensdiensten uit van 9 naar 14 categorieën. De nieuwe posten die rechtstreeks MKB's betreffen zijn:

• Gekwalificeerde elektronische archivering (art. 45septies): langetermijnbewaring met versterkte bewijswaarde. Tot nu toe baseerde bewaring met bewijswaarde zich op nationale referentiekaders (in Frankrijk het SIAF/ANSSI-referentiekader); eIDAS 2 harmoniseert het Europese kader.
• Beheer op afstand van gekwalificeerde apparaten voor het creëren van handtekeningen (RQSCD): nu expliciet geregeld, verduidelijkt dit de ambiguïteiten rond cloud-oplossingen voor gekwalificeerde handtekeningen. Voor een MKB van 50 werknemers betekent dit toegang tot een gekwalificeerde handtekening zonder fysieke token, vanaf elk apparaat.
• Gekwalificeerde elektronische registerservice: registers gebaseerd op blockchain of gedistribueerde boekhouding-technologieën kunnen nu de gekwalificeerde status verkrijgen, wat nieuwe contractbeheermodellen mogelijk maakt.

Voor meer informatie over handtekeningniveaus en hun juridische waarde, raadpleeg onze volledige gids voor elektronische handtekeningen.

2.3 Verscherpte veiligheidseisen voor gekwalificeerde dienstverleners (QTSP)

eIDAS 2 verscherpt de verplichtingen van dienstverleners van gekwalificeerde vertrouwensdiensten (QTSP). Het herziene artikel 24 stelt met name het volgende voor:

• Een cyberbeveiligingscertificatie conform het Europese kader (EU Cybersecurity Act, verordening 2019/881), met sectorale schema's in ontwikkeling door ENISA.
• Verscherpte eisen met betrekking tot operationele veerkracht: QTSP's moeten nu hun bedrijfscontinuïteitsplan documenteren en indienen bij hun nationale toezichthouder (in Frankrijk de ANSSI voor gekwalificeerde dienstverleners).
• Een verplichting voor melding van beveiligingsincidenten binnen 24 uur (afstemming met NIS 2).

Voor MKB's als gebruiker vertaalt dit zich in een verhoogde due diligence-verplichting bij het kiezen van de dienstverlener: controleren dat uw handtekeningoplossing op de bijgewerkte Europese Trusted List staat, is nu een cruciale stap in uw aankoopproces. Onze vergelijking van oplossingen voor elektronische handtekeningen kan u helpen bij deze analyse.

2.4 Verplichte interoperabiliteit van identiteitschema's

Waar eIDAS 1 lidstaten de vrijheid liet hun schema aan te melden (of niet), maakt eIDAS 2 aanmelding en interoperabiliteit verplicht voor identiteitschema's die in online openbare diensten worden gebruikt (art. 5). France Identité — het nationale schema onder leiding van het Ministerie van Binnenlandse Zaken — wordt momenteel in overeenstemming gebracht met de technische specificaties van EUDIW, gepubliceerd door de Commissie in implementatieverordening (EU) 2024/2977.

Voor een MKB dat regelmatig met openbare autoriteiten omgaat (openbare aanbestedingen, elektronische aangiften, douaneprocedures), betekent deze ontwikkeling dat online procedures geleidelijk rond één unieke en in de hele EU erkende digitale identifier zullen worden geunificeerd.

2.5 Nieuwe aansprakelijkheids- en toezichtregels

eIDAS 2 verduidelijkt en breidt de aansprakelijkingsregelingen van dienstverleners uit (herziene art. 13). Een QTSP is nu verondersteld aansprakelijk te zijn voor alle schade aan een natuurlijke of rechtspersoon door niet-naleving van zijn verplichtingen, tenzij hij het ontbreken van schuld bewijst. Deze versterkte aansprakelijkheidsvermutting dwingt MKB's ertoe:

• De verbintenissen van hun dienstverlener contractueel vast te leggen (SLA, beschikbaarheidswaarborgen, schadevergoeding).
• De dekking van zakelijke aansprakelijkheidsverzekering van de QTSP te controleren.
• Bewijzen van auditcontrole van ondertekende transacties te bewaren (tijdstempelingslogs, handtekeningsverificatierapporten).

Onze teams hebben een gedetailleerde gids opgesteld over elektronische handtekening in ondernemingen die deze contractuele aspecten behandelt.

---

3. Vergelijkingstabel eIDAS 1 vs eIDAS 2: wat verandert er concreet

3.1 Samenvatting van grote veranderingen

| Criterium | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Identiteitsportefeuille | Afwezig | EUDIW verplicht (lidstaten) | | Gekwalificeerde diensten | 9 categorieën | 14 categorieën (archivering, RQSCD, registers…) | | Aanmelding schema's | Facultatief | Verplicht voor openbare diensten | | QTSP-veiligheid | Common Criteria-criteria | Cybersecurity Act + ENISA-schema's | | QTSP-aansprakelijkheid | Gedeeld | Versterkte aansprakelijkheidsvermutting | | Incidentmeldingstermijn | Niet gespecificeerd | 24 uur (afstemming NIS 2) | | Mobiele QSCD | Juridische dubbelzinnigheid | RQSCD expliciet geregeld |

3.2 Belangrijkste termijnen om in 2026 in gedachten te houden

• Mei 2024: inwerkingtreding van verordening (EU) 2024/1183.
• November 2026: uiterste termijn opdat elke lidstaat minstens één gecertificeerde EUDIW-oplossing aanbiedt.
• 2027: verplichting voor grote platforms (art. 45bis) EUDIW als verificatiewijze te accepteren.
• 2028: geplande herziening van technische uitvoeringsbesluiten (gedelegeerde verordeningen over EUDIW-specificaties).

Als uw MKB van plan is naar een meer conforme oplossing over te stappen, bevat onze migratiepakket naar Certyneo een gratis eIDAS 2-nalevingsaudit.

---

4. Praktisch actieplan om uw MKB eIDAS 2-compliant te maken

4.1 Audit uw bestaande documentstromen

Begin met het in kaart brengen van alle processen waarin u momenteel elektronische handtekeningen of digitale identiteit gebruikt: leverancierscontracten, uitgeprinte salarissen, SEPA-mandaten, geheimhoudingsovereenkomsten, HR-documenten. Identificeer voor elke stroom:

• Het gebruikte handtekeningniveau (SES, AdES, QES).
• De huidige dienstverlener en zijn status op de Trusted List.
• Het juridische risico in geval van betwisting.

Deze audit is het aanbevolen startpunt van de ANSSI in haar compliancegids gepubliceerd in maart 2025.

4.2 Werk uw handtekeningoplossing bij

Als uw huidige dienstverlener niet op de eIDAS 2-Trusted List staat of nog geen RQSCD aanbiedt, is het tijd om aanbiedingen te vergelijken. Certyneo is een gecertificeerde QTSP die alle drie handtekeningniveaus (SES, AdES, QES) ondersteunt en native is geïntegreerd in nieuwe eIDAS 2-vereisten, met name gekwalificeerde archivering en apparaatbeheer op afstand.

4.3 Trainings- en contractualisatie

eIDAS 2 versterkt de bewijswaarde van gekwalificeerde handtekeningen maar stelt ook documentaire best practices voor. Zorg ervoor dat uw juridische en administratieve teams:

• De drie handtekeningniveaus en hun respectieve juridische waarde kunnen onderscheiden.
• Een EUDIW-nalevingsclausule in leverancierscontracten opnemen.
• Bewijzen van handtekeningsverificatie (validatierap port, gekwalificeerde tijdstempel) voor de wettelijke bewaartermijn (3 tot 10 jaar naar gelang de aard van de akte) bewaren.

Om deze aanpak te structureren, helpt onze elektronische handtekening ROI-calculator u de operationele voordelen van de upgrade te kwantificeren.

Van toepassing juridisch kader

Referentieteksten

Het eIDAS 2-compliancetraject voor een Frans MKB past in een regelgevingsstapel die essentieel is om in te beheersen.

Verordening (EU) 2024/1183 van het Europees Parlement en de Raad (genaamd « eIDAS 2 »): dit is het grondleggende document, gepubliceerd in het PbEU op 30 april 2024. Het heft verordening (EU) nr. 910/2014 in en vervangt deze volgens een faseringsschema tot 2027. Het is rechtstreeks van toepassing in alle lidstaten en vereist geen nationale omzettingswetgeving voor de hoofdbepalingen.

Verordening (EU) nr. 910/2014 (eIDAS 1): sommige bepalingen blijven van toepassing tijdens overgangsperioden voorzien in eIDAS 2, met name voor gekwalificeerde dienstverleners die vóór mei 2024 kwalificatie hebben behaald en een termijn hebben voor hercertificering.

Frans Burgerlijk Wetboek, artikelen 1366 en 1367: artikel 1366 stelt het beginsel van equivalentie tussen elektronisch en papieren geschrift vast, mits « de persoon van wie het afkomstig is, op passende wijze kan worden geïdentificeerd en het is opgesteld en bewaard onder omstandigheden die de integriteit ervan waarborgen ». Artikel 1367 erkent elektronische handtekening als bewijsmiddel, verwijzend naar voorwaarden gesteld in decreet van de Staatsraad (decreet nr. 2017-1416 van 28 september 2017, gecodificeerd in artikelen R. 1369-1 tot R. 1369-10 van het Burgerlijk Wetboek).

Verordening (EU) 2016/679 (AVG): de implementatie van EUDIW en de verwerking van identiteitskenmerken in elektronische handtekeningstromen vormen gegevensverwerkingen onder AVG. MKB's moeten vaststellen dat hun QTSP optreden als verwerker in de zin van artikel 28 AVG, met een conform DPA (Data Processing Agreement). De CNIL publiceerde in januari 2026 een specifieke aanbeveling over EUDIW-AVG-integratie.

Richtlijn (EU) 2022/2555 (NIS 2): eIDAS 2 is expliciet afgestemd op NIS 2 voor incidentmeldingsverplichtingen (art. 24, §2 eIDAS 2 verwijzend naar NIS 2-bepalingen). QTSP's worden als « essentiële » of « belangrijke » entiteiten onder NIS 2 beschouwd en zijn dienovereenkomstig onderworpen aan regelmatige beveiligingsaudits.

ETSI-normen: gekwalificeerde elektronische handtekeningen moeten voldoen aan de normen ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) en ETSI EN 319 102-1 (validatieprocedure). De norm ETSI TS 119 461 regelt verificatie van identiteit op afstand (IDV), bijzonder relevant voor RQSCD.

Juridische risico's bij niet-naleving

Het gebruik van een handtekeningoplossing die niet conform eIDAS 2 is, stelt het MKB aan meerdere risico's bloot:

• Ontvankelijkheidsuitsluiting in rechte: een rechter kan een elektronische handtekening waarvan het niveau niet overeenkomt met de ondertekende akte, afwijzen (bijv. eenvoudige handtekening voor een akte die geavanceerd of gekwalificeerd niveau vereist).
• Contractuele aansprakelijkheid: als een contract door een partner wordt betwist met als reden de nietigheid van de handtekening, kan het MKB aan schadeclaims worden blootgesteld.
• AVG-sancties: in geval van gegevensinbreuk als gevolg van beveiligingstekorten van de dienstverlener, kan het MKB, medeverantwoordelijke of verantwoordelijke voor verwerking, door de CNIL met sancties worden veroordeeld tot 4 % van de jaarlijkse wereldomzet (art. 83 §4 AVG).

Concrete gebruiksscenario's

Scenario 1: een industrieel MKB van 80 werknemers met 400 leverancierscontracten per jaar

Een MKB in de metaalbewerking dat ongeveer 400 leverancierscontracten per jaar afhandelt, gebruikte tot 2024 voor alle transacties een eenvoudige handtekeningoplossing (SES), ook voor raamcontracten van meer dan 50.000 euro. Na een eIDAS 2-nalevingsaudit constateerde het dat 35% van zijn contracten een geavanceerde of gekwalificeerde handtekening nodig heeft om tegen juridische aanvechting bestand te zijn, vooral met leveranciers in andere EU-lidstaten.

Door over te stappen op een oplossing die geavanceerde handtekeningen (AdES) voor normale contracten combineert en gekwalificeerde (QES) voor raamcontracten, en door gekwalificeerde elektronische archivering (nieuwe eIDAS 2-dienst) in te schakelen, heeft dit MKB de tijd voor posthandtekeningsbeheer (ordening, zoeking, verzending van geverifieerde kopieën) met 70% verminderd en heeft het incidenten in verband met handtekeningsbezwaren op de volgende 18 maanden tot nul teruggebracht, vergeleken met twee incidenten in de voorgaande 18 maanden.

Scenario 2: een juridisch adviesbureau van 15 medewerkers

Een bureau gespecialiseerd in ondernemingsrecht dat gemiddeld 1.200 ondertekende documenten per jaar uitgeeft (instructiebrieven, mandaten, geheimhoudingsovereenkomsten), ondervond groeiende vraag van zakelijke cliënten naar gekwalificeerde handtekeningen erkend in de hele EU. Onder eIDAS 1 vereiste het verkrijgen van een gekwalificeerd certificaat een langdurige persoonlijke verificatie of videoverificatieprocedure (45 tot 90 minuten per gebruiker).

Dankzij RQSCD (Remote Qualified Signature Creation Device) geregeld onder eIDAS 2, kon het bureau gekwalificeerde handtekeningen voor alle medewerkers binnen twee weken implementeren via een volledig onlineaanmeldingsprocedure conform de ETSI TS 119 461-norm. De interne adoptiequote steeg van 40% naar 95% in drie maanden, en de gemiddelde retourturnaround voor ondertekende akten daalde van 4,2 dagen tot minder dan 6 uur volgens interne metingen van het bureau.

Scenario 3: een e-commerceMKB actief in drie EU-landen

Een onlineverkoopbedrijf met 35 werknemers actief in Frankrijk, België en Nederland moest drie soorten elektronische overeenkomsten beheren: arbeidsovereenkomsten voor lokale werknemers, partnerschapsovereenkomsten met transporteurs en SEPA-mandaten voor zakelijke cliënten. De fragmentatie van nationale vereisten onder eIDAS 1 dwong het bedrijf drie verschillende handtekeningsworkflows in stand te houden, met geschatte beheerskosten van ongeveer 12.000 euro per jaar.

Door een unieke eIDAS 2-conforme oplossing aan te nemen — met integratie van wederzijdse erkenning van gekwalificeerde handtekeningen in de drie landen — kon het bedrijf de workflows unificeren, de beheerkosten tot ongeveer 4.500 euro per jaar terugbrengen (62% besparing) en vertragingen met betrekking tot handmatige validatie van buitenlandse handtekeningen door de juridische afdeling elimineren.

Conclusie

eIDAS 2 is geen zomaar een cosmetische herziening van het regelgevingskader: het herdefinieer diepgaand de spelregels van digitaal vertrouwen in Europa. Voor Franse MKB's vertegenwoordigen de vijf grote veranderingen — portefeuille EUDIW, uitbreiding van gekwalificeerde diensten, RQSCD, verplichte interoperabiliteit en versterkte aansprakelijkheid — zowel een nalevingsconstraint als een kans om hun documentaire transformatie te versnellen.

MKB's die vandaag al op deze veranderingen anticiperen, zullen een reëel concurrentieel voordeel hebben: contracten erkend in de hele EU zonder wrijving, archivering met gewaarborgde bewijswaarde ingebouwd, en volledig gedigitaliseerde en beveiligde handtekeningsprocessen.

Certyneo is ontworpen om deze overgang te begeleiden. Start uw gratis proefversie op certyneo.com en profiteer van een gratis eIDAS 2-nalevingsaudit voor uw bestaande documentstromen.