eIDAS 2 : det nye europeiske regelverket forklart i 2026

Introduksjon: hvorfor eIDAS 2 endrer alt for europeiske bedrifter

Vedtatt 20. mai 2024 etter en lang lovgivningsprosess, forordningen eIDAS 2 — offisielt kalt forordning (EU) 2024/1183 — representerer den mest ambisiøse reformen som noen gang er gjennomført innen elektronisk identifikasjon og tillitsbaserte tjenester i Europa. Den opphever og erstatter delvis det opprinnelige eIDAS-regelverket fra 2014 (nr. 910/2014), samtidig som det opprettholder bakoverkompatibilitet med den eksisterende infrastrukturen. For bedrifter som bruker elektronisk signatur i samsvar med eIDAS, introduserer denne gjennomarbeidingen nye forpliktelser, unikke muligheter og en stram samsvarsfrist frem til 2026 og videre. Denne artikkelen dekoder grundig hoveddisposisjonene i teksten, deres operasjonelle implikasjoner og hvordan organisasjonen din kan forberede seg.

---

Hva forordningen eIDAS 2 endrer fundamentalt

Fra forordningen fra 2014 til 2024-versjonen: en strukturell omarbeiding

Det opprinnelige eIDAS-regelverket fra 2014 la grunnlaget for gjensidig anerkjennelse av elektroniske identifikasjonsordninger mellom medlemsstater og etablerte en enhetlig juridisk ramme for tillitsbaserte tjenester (signatur, segl, tidsstempel osv.). Men ti år senere var begrensningene åpenbare: lav adopsjonsrate for meldte eID-ordninger, fragmentering av nasjonale løsninger, fravær av en universell digital lommebok for borgere, og særlig upassende for webbruk (GAFAM ekskludert fra tillitsrammen).

eIDAS 2 korrigerer disse manglene på tre hovednivåer:

1. Den europeiske digitale identitetslommeboken (EUDI Wallet) — hver medlemsstat må tilby, senest i november 2026, en digital lommebokapplikasjon som tillater enhver europeisk borger eller bosatt å lagre og presentere sine identitetsattributter (ID-kort, førerkort, diplomer osv.) på sikker måte.
2. Utvidelse av kvalifiserte tillitsbaserte tjenester — teksten legger til nye kvalifiserte tjenester: administrasjon av kvalifisert elektronisk arkivering (QESAP), rapporter om kvalifiserte identitetsattributter (QEAA), kvalifiserte elektroniske regnskap (QLED) og administrasjon av enheter for opprettelse av elektronisk signatur på avstand (QRCD).
3. Forpliktelse for store plattformer — leverandører av nettjenester i stor skala (sosiale nettverk, markedsplasser) må akseptere EUDI-lommeboken for brukerautentisering.

EUDI Wallet-lommeboken: arkitektur og funksjonalitet

EUDI Wallet er sentralt i eIDAS 2. Konkret er det en programvareapplikasjon — levert eller sertifisert av hver medlemsstat — som hviler på en desentralisert modell for selektiv presentasjon av attributter. Brukeren overfører bare dataene som er strengt nødvendige for transaksjonen (minimiseringsprinsipp, i samsvar med GDPR).

Fra et teknisk synspunkt hviler arkitekturen på spesifikasjonene til Architecture Reference Framework (ARF), publisert av Europakommisjonen og regelmessig oppdatert av Large Scale Pilot (LSP) som samler fire pilotkonsortsier (DC4EU, EWC, POTENTIAL, NOBID). Dataromatene som er valgt, er hovedsakelig ISO/IEC 18013-5 (mDL/mDocs) og W3C Verifiable Credentials, garantierer tverrlandsgående interoperabilitet.

For bedrifter betyr dette at de til slutt vil kunne verifisere identiteten til kundene eller partnerne sine via lommeboken uten selv å administrere innsamling av bekreftelsdokumenter — noe som reduserer KYC-friksjon (Know Your Customer) og risiko for dokumentfalsk betydelig.

---

Tillitsnivåer og hierarki for signaturer: hva som endres

Opprettholdelse av hierarkiet QES / AdES / SES

Regelverket for elektroniske signaturer forblir strukturert rundt tre nivåer definert i artikkel 3 i eIDAS 2 (som gjentar terminologien fra 2014, men presiserer tekniske krav):

• Enkel elektronisk signatur (SES): minimal bevisverddi, egnet for vanlige handlinger.
• Avansert elektronisk signatur (AdES): eksklusiv binding til underskriver, mulighet til å oppdage endringer senere.
• Kvalifisert elektronisk signatur (QES): juridisk ekvivalent med håndskriftsignatur i hele EU (artikkel 25§2), utstedt via en kvalifisert enhetsopprett for signatur (QSCD) basert på et kvalifisert sertifikat.

Nyheten ligger i måten QES nå kan leveres via kvalifiserte tjenester for elektronisk signatur på avstand (QRCD), hvis godkjenningsbetingelser presiseres i artikler 29a og 29b i den reviderte teksten. Dette åpner veien til 100 % digitale arbeidsflyter for de mest krevende handlingene — notarielle kontrakter, elektroniske autentiske handlinger — uten å kreve fysisk smartkort.

Påvirkning på leverandører av kvalifiserte tillitsbaserte tjenester (QTSP)

Leverandører som Certyneo, som opererer ved å stole på sertifiserte QTSP, må forutse de nye revisjonsbehovene introdusert av eIDAS 2. Artikkel 24 krever nå styrket kontroll over underleverandørkjeden, og kravene til varsling av sikkerhetsincidenter er eksplisitt på linje med NIS2-direktivet (24-timers varslingsvarsel). For å utdype funksjonen til de ulike signaturnivenene i en B2B-kontekst, se vår komplette veiledning om elektronisk signatur i bedrift.

---

Deploreringskalender og bedriftsforpliktelser i 2025-2026

De viktigste deployeringsstegene

Forordning (EU) 2024/1183 ble publisert i EUs Amtsblad 30. april 2024 og trådte i kraft 20. mai 2024. Gjennomførings- og delegerte handlinger — vesentlig for å presisere tekniske krav — publiseres gradvis:

| Deadline | Forpliktelse | |---|---| | Mai 2024 | Regelverket trer i kraft | | Slutten av 2024 | Publisering av implementeringshandlinger for ARF v2.0 | | Midten av 2025 | Sertifisering av første EUDI Wallet-piloter | | November 2026 | Obligatorisk tilgjengelighet av EUDI Wallet i hver medlemsstat | | 2027 | Obligatorisk aksept fra store nettplattformer |

Hva B2B-bedrifter må gjøre nå

For bedrifter som bruker løsninger for elektronisk signatur, pålegger tre prioriteringer seg i 2025-2026:

1. Revisjon av tillitskjeden: verifiser at leverandøren av signatur virkelig er oppført på QTSP-listen (Trusted List) i sin medlemsstat, og at sertifikatene som brukes, er i samsvar med de reviderte ETSI EN 319 401 og EN 319 411-1 spesifikasjonene.

2. Forutsi integrasjonen av EUDI-lommeboken: bedrifter som opererer i regulerte sektorer (bank, forsikring, helsevesen, eiendom) vil være blant de første som er berørt av identitetsverifiseringsarbeidsflyter via lommebok. Det anbefales å forberede API-integrasjon fra 2025.

3. Revidering av oppbevaringspolitikk: den nye kvalifiserte elektroniske arkiveringstjenesten (QESAP) introduserer langsiktige bevaringsstandarder som kan pålegges i visse sektorer (offentlige anskaffelser, farmasøytisk sektor). Vår ROI-kalkulator for elektronisk signatur lar deg evaluere den økonomiske effekten av å oppgradere dokumentinfrastrukturen din.

---

Interoperabilitet, GDPR og spørsmål om digital suverenitet

eIDAS 2 og GDPR: styrket komplementaritet

En av de viktigste framskrittene i eIDAS 2 er eksplisitt integrasjon av datavernprinsippene fra design (privacy by design) i EUDI-portføljens arkitektur. Artikkel 5a§14 bestemmer at lommeboken ikke tillater leverandører å spore brukerens oppførsel under transaksjoner. Utstedere av kvalifiserte identitetsattributter (QEAA) blir ikke informert om hvordan attestasjonene som er utstedt, brukes — noe som er et stort brudd med dagens sentraliserte modeller.

Denne arkitekturen kalles unlinkability (ikke-korrelasjonsevne): to ulike transaksjoner utført av samme bruker kan ikke knyttes sammen uten samtykke. Denne garantien overstiger GDPR-minimumskravene mens den artikuleres perfekt med dem.

Den geopolitiske dimensjonen: gjenerobre kontrollen over online identitet

eIDAS 2 adresserer også et suverenitetsspørsmål. I dag hviler nettbasert autentisering i stor grad på knappene « Logg inn med Google/Facebook/Apple », noe som gir amerikanske teknologigiganter en dominerende stilling i administrasjonen av digitale europeiske identiteter. Ved å pålegge svært store plattformer (i betydningen Digital Services Act) å akseptere EUDI-lommeboken som autentiseringsmiddel, skaper eIDAS 2 et interoperabelt og suverent alternativ.

For B2B-bedrifter betyr dette også at eIDAS 2-samsvar kan bli en valutakriterie for leverandørseleksjon i offentlige og private anbudsrunder — på samme måte som ISO 27001-sertifisering representerer i dag i innkjøpsprocesser. Hvis organisasjonen din planlegger å utvikle den nåværende løsningen, gir vår migreringsveiledning fra DocuSign eller YouSign til Certyneo detaljer om etappene i en styrt overgang.

Juridisk rammeverk som gjelder eIDAS 2 og elektronisk signatur

Referansetekster

Forordning (EU) 2024/1183 fra Europaparlamentet og Rådet av 11. april 2024, som endrer forordning (EU) nr. 910/2014 med hensyn til etablering av den europeiske rammen for digital identitet (eIDAS 2). Publisert i EUs Amtsblad 30. april 2024, trådt i kraft 20. mai 2024.

Forordning (EU) nr. 910/2014 (eIDAS 1): forblir i kraft for bestemmelsene som ikke er endret, særlig artikler vedrørende tillitsnivåer « lav », « betydelig » og « høy » for meldte identifikasjonsordninger.

Fransk sivillovbok, artikler 1366 og 1367: det elektroniske dokumentet har samme bevisverddi som papiret forutsatt at personen som stammer fra dokumentet, er ordentlig identifisert, og dokumentet er opprettet under betingelser som sikrer integriteten. Kvalifisert elektronisk signatur (QES) i betydningen eIDAS 2 oppfyller disse kravene automatisk.

Forordning (EU) 2016/679 (GDPR): behandling av identitetsdata i konteksten av EUDI-lommeboken er underlagt minimaliserings- (art. 5§1c), formålsbegrensnings- (art. 5§1b) og datavern-fra-design-prinsippene (art. 25). Kvalifiserte leverandører er separate databehandlingsansvarlige for verifiseringsoperasjoner.

Direktiv (EU) 2022/2555 (NIS2): som skal oppføres i fransk lovgivning ved forordning nr. 2024-528 av 12. juni 2024, pålegger den kvalifiserte tillitsbaserte tjenestleverandører risikostyrings- og 24-timers incidentvarslingsforpliktelser.

ETSI-standarder:

• EN 319 132 (XAdES) og EN 319 122 (CAdES): avanserte elektroniske signaturformater.
• EN 319 401: generelle krav til leverandører av tillitsbaserte tjenester.
• EN 319 411-1 og 411-2: retningslinjer og sikkerhetskrav for sertifiseringsmyndigheters utstedelse av kvalifiserte sertifikater.
• EN 319 521: krav til kvalifiserte tjenester for signaturbevaringsformål (QESAP).

Forpliktelser og juridiske risikoer for bedrifter

Enhver bedrift som bruker elektroniske signaturer i en kontraktsmessig sammenheng, må sikre at signaturnivenivået som velges, passer til verdien og arten av handlingen. For handlinger som er underlagt et lovmessig signaturkrav (salgsprotokoller, arbeidskontrakter, inntil bestede terskelbeløp), gir kun QES eller AdES basert på et kvalifisert sertifikat den presumsjonen av pålitelighet som refereres til i artikkel 26 i eIDAS 2.

I tilfelle av tvist, vendes bevisbyrden: hvis signaturen er kvalifisert, det er opp til parten som bestrider dokumentet å bevise dets endring; hvis den er enkel eller avansert uten kvalifisert sertifikat, hviler bevisbyrden på undertegneren som påberoper seg det. Manglende overholdelse av krav til sporbarhet og integritet kan føre til ugyldighet av handlingen eller ueffektivitet av signaturen overfor en tredjepart.

Bruksscenarioer: eIDAS 2 brukt på B2B-bedrifter

Scenario 1 — Et konsulentfirma innen digital transformasjon (ca 80 konsulenter)

En struktur av konsulenter som distribuerer sine ansatte hos kunder i flere medlemsstater (Frankrike, Tyskland, Nederland) må få signert hver måned oppgaveavtaler, avtalvendringer og mottakelsesprosesser. Før eIDAS 2 skapte administrasjon av tverrlandske identiteter friksjon: avslag fra enkelte tyske klienter på å anerkjenne sertifikater utstedt av en fransk QTSP, dobbel autentisering per e-post utilstrekkelig for sensitive handlinger.

Med deployal av EUDI-lommeboken i 2026 kan konsulentene signere fra sin nasjonale lommebok — fullt ut anerkjent i alle medlemsstater — uten noen friksjon. Firmaet estimerer en reduksjon på 60 til 70 % av tiden brukt på informasjonsutvekslinger for forutgående dokumentverifisering før signering, det vil si omkring 3 til 4 timer sparct per konsulent og per måned ifølge bransjebenchmarks publisert av McKinsey Digital (2024).

Scenario 2 — En SMB i industrien som administrerer 350 leverandørkontrakter årlig

En SMB innen industribransjens utstyrsseksjon, som arbeider med hundre europeiske og asiatiske leverandører, må kontraherer innkjøp, fortrolighetserklæringer (NDA) og rammeavtaler. Til nå kom 30 % av disse dokumentene tilbake uten gyldig signatur eller med forsinkelser som oversteg 10 arbeidsdager.

Ved å adoptere en løsning for elektronisk signatur i samsvar med eIDAS 2 med identitetsverifisering via kvalifiserte attributter (QEAA), kan SMB pålegge en signaturflyt der identiteten til leverandørens juridiske representant automatisk verifiseres via EUDI-lommeboken, uten manuell inndata. Forventet resultat: reduksjon av gjennomsnittlig signaturvarighet fra 10 dager til mindre enn 48 timer, og 40 % reduksjon av tvister knyttet til manglende samsvarte signaturer, på grunnlag av intervaller som observeres i ELENIUS 2025-rapporter om B2B-digitalisering.

Scenario 3 — En eiendomsgruppe som administrerer solgte avtaler i flere land

Et nettverk av eiendomsmeglerkontorer som opererer i Frankrike, Spania og Portugal, må regelmessig få signert foravtaler mellom selgere og kjøpere av ulike nasjonaliteter. QES kreves i visse sammenhenger for å garantere ekvivalens med håndskriftsignatur før notarius.

Takket være eIDAS 2 og interoperabilitet til EUDI-portføljer kan en portugisisk kjøper signere en avtale underlagt fransk rett ved å bruke sin nasjonale lommebok, med et tillitsnivå « høyt » automatisk anerkjent av signeringsplattformen. Gruppen reduserer reis- og legaliseringskostnader med omkring 800 til 1 200 euro per tverrlandsk dossier, samtidig som den reduserer fristen for avslutning av foravtaler fra 3 uker til 5 dager i gjennomsnitt. For brukstilfeller spesifikke for sektoren, vår dedikert side for elektronisk signatur i eiendom detaljerer tilpassede arbeidsflyter.

Konklusjon

eIDAS 2 er ikke bare en enkel regulatorisk oppdatering: det er en dyp omarbeiding av måten digital identitet og elektronisk tillit fungerer i Europa. EUDI Wallet-lommeboken, de nye kvalifiserte tjenestene, interoperabilitetsmandatet og tilpasningen til NIS2 og GDPR danner et sammenhengende økosystem som vil transformere kontraktsmessige prosesser og autentisering av bedrifter innen slutten av 2026.

For å forbli samsvarende og konkurransedyktige må organisasjoner B2B handle nå: revisjon av tillitskjeden, valg av leverandør i tråd med de nye kravene og forberedelse av deres dokumentarbeidsflyter til integrering av den europeiske digitale lommeboken.

Certyneo ledsager deg i denne overgangen med løsninger for kvalifisert elektronisk signatur som er i samsvar med eIDAS 2, klare for 2026. Be om en demonstrasjon eller opprett kontoen din på Certyneo for å sikre kontraktene dine fra i dag.