eIDAS 2 Portefeuille Identité Numérique : Guide 2026

Iverksettingen av forordningen eIDAS 2 markerer et historisk vendepunkt for forvaltningen av digital identitet i Europa. Med EUDI Wallet — European Digital Identity Wallet — vil hver borger og hver bedrift snart ha tilgang til en suveren, interoperabel og anerkjent digital portefølje i alle 27 medlemsstater. For juridiske direktørater, HR, compliance og IT-ledelse åpner denne regulatoriske satsingen både muligheter og operasjonelle utfordringer. Denne artikkelen dekoder den tekniske og juridiske funksjonen til EUDI Wallet, dens konkrete implikasjoner for bedrifter og hvordan den samarbeider med løsninger for kvalifiserte elektroniske signaturer som allerede er på plass.

Hva er eIDAS 2 og EUDI Wallet?

Fra forordningen eIDAS 1.0 til forordningen eIDAS 2.0: en strukturell utvikling

Vedtatt i 2014, la forordningen eIDAS nr. 910/2014 grunnlaget for digital tillit i Europa: kvalifiserte elektroniske signaturer, segl, tidsstempler og autentiseringstjenester. Men et tiår senere ble dens begrensninger åpenbar: utilstrekkelig interoperabilitet mellom medlemsstater, ujevn adopsjonen av nasjonale digitale identiteter, mangel på en enhetlig portefølje. Forordningen (EU) 2024/1183, kalt eIDAS 2, offisielt vedtatt 11. april 2024 i EU-journalen, retter opp disse manglene ved å pålegge en felles ramme for suveren digital identitet.

For å dypere utforske hele det nye regulatoriske rammeverket, se vårt omfattende guide til forordningen eIDAS 2.0.

EUDI Wallet: arkitektur og grunnleggende prinsipper

EUDI Wallet (European Digital Identity Wallet) er en mobilapplikasjon og/eller programvare som hver medlemsstat må stille til disposisjon for sine borgere og innbyggere senest i 2026, i samsvar med artikkel 5a i den reviderte forordningen. I praksis tillater denne digitale porteføljen å:

• Lagre og presentere verifiserte identitetsattributter: identitetsdokument, førerbevis, diplomer, faglige sertifiseringer, intrastat-mva-nummer for juridiske personer.
• Autentisere brukeren overfor offentlige og private tjenester på høye sikkerhetsnivåer (LoA High i henhold til vedlegg I i forordningen).
• Signere elektronisk dokumenter med kvalifisert nivå, ved å stole på sertifiserte Qualified Electronic Signature Creation Devices (QSCD).
• Dele informasjon selektivt (prinsippet om selective disclosure) uten å avsløre mer informasjon enn nødvendig — et stort bidrag til GDPR-samsvar.

Arkitekturen hviler på de tekniske spesifikasjonene publisert av Europakommisjonen via Architecture and Reference Framework (ARF), vedlikeholdt av EUDIW-konsortiet (European Digital Identity Wallet). Presentasjonsformatene som er vedtatt inkluderer blant annet ISO/IEC 18013-5 (mDL — mobile Driver's Licence) og SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), to åpne standarder som garanterer portabilitet.

Hvem er berørt? Virksomheter som bruker porteføljen (Relying Parties)

Forordningen eIDAS 2 introduserer konseptet Relying Party (bruker av porteføljen). Enhver organisasjon — privat bedrift, administrasjon, nettplattform — som godtar identitetsattributter fra EUDI Wallet må registrere seg hos sin medlemsstat og oppfylle et sett tekniske og sikkerhetskrav. Artikkel 5b i forordningen presiserer at store plattformer (i henhold til DSA) og visse sektorer (bank, helsevesen, energi) vil være pålagt å godta EUDI Wallet når det går i produksjon nasjonalt.

Teknisk funksjon av EUDI Wallet for bedrifter

Autentiserings- og signaturflyt trinn for trinn

Det er avgjørende å forstå den tekniske flyten for å forberede integrasjonen i informasjonssystemer. Et typisk scenario for kontraktsignering via EUDI Wallet foregår slik:

1. Initialisering: Relying Party (eks. din SaaS-plattform) genererer en presentasjonsforespørsel som er i samsvar med OpenID4VP-protokollen (OpenID for Verifiable Presentations).
2. Varsling: Brukeren mottar et varsel på sin EUDI Wallet mobil.
3. Samtykke og valg: Brukeren velger hvilke attributter som skal deles (navn, fornavn, fødselsdato) via grensesnittet selective disclosure.
4. Verifiserbar presentasjon: Porteføljen genererer et kryptografisk bevis signert av Trusted Issuer (medlemsstaten eller en akkreditert leverandør).
5. Verifisering: Relying Party verifiserer beviset via det europeiske tillitsregisteret (Trust Framework), uten å lagre overflødig data.
6. Kvalifisert signatur: Hvis en signaturhandling er påkrevd, produserer QSCD innebygd i porteføljen eller hostet i skyen (QSign) en kvalifisert signatur i samsvar med ETSI EN 319 132.

Denne flyten garanterer et sikkerhetsnivå LoA High, det høyeste som er foreskrevet i forordningen, tilsvarende en ansikt-til-ansikt-verifisering.

Integrering med eksisterende elektroniske signaturplattformer

Utgivere av løsninger for elektronisk signatur må integrere protokollene OpenID4VCI (utstedelse) og OpenID4VP (presentasjon) for å koble seg til EUDI-økosystemet. For bedrifter som allerede bruker en eIDAS 1.0-kompatibel plattform, innebærer overgangen til eIDAS 2 en teknisk versjonering, men bevarer den juridiske verdien av signaturer som allerede er utført. Det er derfor strategisk å evaluere leverandørens plan, spesielt hvis du vurderer å migrere fra DocuSign eller YouSign til en mer samsvarende løsning.

Digital identitet for juridiske personer: bedriftsutfordringen

EIDAS 2 begrenses ikke til fysiske personer. Artikkel 5a §3 foreskriver eksplisitt porteføljer for juridiske personer, som lar bedrifter:

• Bevise sin juridiske eksistens (ekvivalent til et digitalt verifiserbart selskapsregisterutdrag).
• Delegere signeringsstyrke til sine medarbeidere på en revisjert og gjenkallbar måte.
• Automatisere verifiseringen av KYB (Know Your Business) i B2B-kontraktsprocesser.

Denne dimensjonen er særlig transformativ for elektroniske signaturprosesser i bedrifter, spesielt innen HR, juridisk og finansiell sektor.

Distribusjonsplan og regulatoriske krav 2024-2026

Implementeringsfaser i henhold til forordningen

Forordningen (EU) 2024/1183 fastsetter en bindende tidsplan:

• April 2024: Publisering i EU-journalen, ikrafttreden 20 dager etter.
• Slutten av 2024: Publisering av gjennomføringsloven (Implementing Acts) som definerer obligatoriske tekniske spesifikasjoner.
• 2025: Distribusjon av nasjonale pilot-porteføljer (large-scale pilots: EU Digital Identity Wallet Large Scale Pilots, finansiert med 46 millioner euro av Kommisjonen).
• Slutten av 2026: Alle medlemsstater må gjøre minst en operasjonell EUDI Wallet tilgjengelig. Store plattformer og regulerte sektorer må godta den.

For franske bedrifter hviler distribusjonen på La Postes digitale identitet og ANSSI's arbeid med sertifiseringen av nasjonale Trusted Issuers.

Krav for Relying Parties

Bedrifter som ønsker eller må godta EUDI Wallet er underlagt flere krav:

1. Registrering hos den relevante nasjonale myndigheten (i Frankrike, ANSSI og CNIL etter situasjon).
2. Teknisk samsvar med ARF v2.x-spesifikasjonene publisert på GitHub av Europakommisjonen.
3. Åpenhet: Publiser i et offentlig register hvilke attributter som kreves og hensikten med behandlingen.
4. Minimerning av data: Krev bare de attributter som er strengt nødvendig — obligasjon forsterket av GDPR.
5. Logging: Bevar logger over verifiserbare presentasjoner for revisjon, uten å lagre råe identitetsdata.

Bedrifter som integrerer EUDI Wallet i sine elektroniske signaturflyter for advokatfirmaer eller for HR-håndtering vil få et betydelig konkurransefortrinn fra 2026.

Strategiske utfordringer og muligheter for bedrifter

Reduksjon av friksjoner i KYC/KYB-prosesser

En av de mest umiddelbare fordelene med EUDI Wallet er eliminasjonen av manuelle identitetsverifiseringer. I dag innebærer ombordstigning av en ny klient eller partner sending av dokumenter via e-post, manuell verifisering av juridisk assistent og behandlingstider på gjennomsnittlig 48 timer. Med EUDI Wallet-integrering blir verifikasjonen øyeblikkelig, kryptografisk sertifisert og revidert. Bank-, eiendoms- og forsikringssektorer — underlagt AML/CFT-krav — ser her en stor mulighet for automatisert samsvar. Sektoren for elektronisk signatur i eiendom er særlig påvirket, med identitetsverifiseringsprosesser som i dag representerer opptil 40 % av administrativ tid.

Digital suverenitet og reduksjon av avhengighet av GAFAM

EUDI Wallet svarer til en sterk politisk ambisjon: å redusere avhengigheten til europeere av identitetssystemer drevet av ikke-europeiske aktører (Google, Apple, Meta). For bedrifter betyr dette en interoperabel, åpen og ikke-proprietær autentiseringsinfrastruktur, basert på ISO- og W3C-standarder snarere enn proprietære SDK-er. Denne suvereniteteten er også et kommersielt differensieringargument i offentlige anbudskonkurranser, som blir stadig mer følsomme for datalokaliseringsklauser.

Innvirkning på kvalifisert elektronisk signatur og QTSP

Leverandører av kvalifiserte tillitsjenester (QTSP — Qualified Trust Service Providers) ser sin rolle utvikle seg. Med EUDI Wallet kan QSCD være direkte innebygd i porteføljen eller delegert til en QTSP i skyen (Remote Qualified Signature). For bedrifter betyr dette at kvalifisert signatur — inntil nylig forbeholdt de mest kritiske sakene på grunn av kompleksitet — blir tilgjengelig og skalerbar. Vår sammenligning av elektroniske signaturløsninger inkorporerer nå dette EUDI Wallet-samsvarsakselet i sin analyse.

Gjeldende juridisk rammeverk for EUDI Wallet og bedrifter

Forordningen eIDAS 2: (EU) 2024/1183

Det grunnleggende dokumentet er forordningen (EU) 2024/1183 fra Europaparlamentet og rådet av 11. april 2024, som endrer eIDAS-forordningen nr. 910/2014. Det er direkte anvendelig i alle medlemsstater uten nasjonal gjennomføringslove, noe som sikrer juridisk enhetlighet i hele Europa. Artikler 5a til 5c definerer forpliktelser angående EUDI Wallet, sikkerhetsnivåer og brukerrettigheter. Artikkel 46f introduserer spesifikke forpliktelser for Relying Parties i regulerte sektorer.

Fransk sivillovbok: artikler 1366 og 1367

I fransk rett nyter kvalifisert elektronisk signatur produsert via EUDI Wallet godt av formodningen om pålitelighet fastsatt i artikkel 1367 i den franske sivillovboken: « Elektronisk signatur består i bruk av en pålitelig identifikasjonsprosedyre som garanterer dens forbindelse til dokumentet det henger fast ved. » Påliteligheten formodas når signaturen er kvalifisert i henhold til eIDAS. Artikkel 1366 likestiller elektronisk dokument med papirdokument forutsatt at dets forfatters identitet fastslås og integritet garanteres — to forhold som EUDI Wallet oppfyller innstilt.

GDPR nr. 2016/679: artikulering med dataminimering

Forordningen (EU) 2016/679 (GDPR) gjelder fullt ut for Relying Parties som behandler identitetsattributter fra EUDI Wallet. Prinsippene om dataminimering (art. 5 §1c), formålsbegrensning (art. 5 §1b) og privacy by design (art. 25) må integreres fra designstadiet av den tekniske integrasjonen. EUDI Wallets innebygde selective disclosure gjør det teknisk enklere å oppfylle kravene, men bedriften forblir ansvarlig (art. 24) for å dokumentere sine juridiske grunnlag for behandlingen.

ETSI-standarder og tekniske standarder

Kvalifisert signatur produsert via EUDI Wallet må respektere standardene ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) og ETSI EN 319 162 (PAdES) for formater av avansert og kvalifisert elektronisk signatur. Sertifiseringspolicyer er definert i ETSI EN 319 401 (General Policy Requirements for Trust Service Providers). Kommisjonsvedtakene presiserer sertifiseringskravene for Trusted Issuers (standarden ISO/IEC 27001 og Common Criteria EAL 4+).

Direktiv NIS2: (EU) 2022/2555

Operatørene av EUDI Wallet-infrastruktur (medlemsstater, Trusted Issuers, QTSP) er underlagt forpliktelsene i NIS2-direktivet (EU) 2022/2555, gjennomført i Frankrike av loven nr. 2023-703. For brukervirksomheter pålegger NIS2 risikostyringsforpliktelser knyttet til tredjepartsleverandører (art. 21 §2d), som inkluderer leverandørene av løsninger som integrerer EUDI Wallet. En analyser av impakter på risiko i den digitale forsyningskjeden anbefales derfor sterkt før all distribusjon.

Bruksscenarier for EUDI Wallet i bedrifter

Scenario 1: Advokatfirma — identitetsverifisering og signaturer på mandater

Et advokatfirma for forretninger med rundt 20 medarbeidere håndterer flere hundre mandater, instruksjonsbrev og fullmakter hver måned. I dag innebærer identitetsverifisering av klienter sending av bevis via e-post, manuell verifisering av juridisk assistent og gjennomsnittlig ventetid på 48 timer. Med EUDI Wallet-integrering presenterer klienten sin digitale ID fra sin portefølje på under 90 sekunder. Kvalifisert signatur produseres umiddelbar deretter, uten ekstra friksjon. Ifølge tilbakemeldinger fra large-scale pilot gjennomført mellom 2023 og 2025 reduserer denne type flyt behandlingstiden for klientombordstigning med 60 til 75 % og eliminerer risikoen for innskrivingsfeil eller utløpte dokumenter. Firmaet vinner også ved AML/CFT-samsvar, da identitetsattributter er kryptografisk sertifisert av en medlemsstat.

Scenario 2: Små og mellomstore industriell bedrift — håndtering av leverandørkontrakter og signaturdelegeringer

En liten til medium industriell bedrift med rundt hundre ansatte håndterer cirka 300 leverandørkontrakter per år, som involverer innkjøpsansvarlige fordelt over tre anlegg. Håndteringen av signaturdelegeringer er i dag dokumentert på papir og vanskelig å revisjonere. Med EUDI Wallet for bedrifter (juridisk person) kan ledelsen tilordne verifiserbare delegeringsattributter til hver innkjøpsansvarlig: forpliktelsestak, geografisk omfang, gyldighetsvarighet. Disse attributtene lagres i medarbeidernes portefølje og presenteres automatisk ved hver signaturhandling. I tilfelle avgang eller stilling endring er tilbakekalling øyeblikkelig og revidert. Denne mekanismen reduserer risikoen for kontrakttvister knyttet til uautoriserte signaturer og forbedrer sporbarheten for interne revisjonsjekker. Finansledere konstaterer vanligvis en reduksjon på 30 til 40 % av tiden brukt på forvaltning og verifisering av signaturstyrke.

Scenario 3: Sykehusgruppe — pasientsamtykke og tilgang til helseopplysninger

En sykehusgruppe som omfatter flere institusjoner og cirka 1 500 helsepersonell står overfor stadig mer komplekse pasientsamtykkeproblemer, spesielt for tilgang til delte medisinske journaler via Mon Espace Santé. EUDI Wallet-integrering som mekanisme for informert samtykke lar pasienten validere, fra sin smarttelefon, tilgang til sine opplysninger av en spesialist, og spesifisere varighet og omfang av tilgangen. Selective disclosure sikrer at bare relevante medisinske attributter deles. For helsepersonell gir porteføljen deres RPPS-nummer (Shared Registry of Healthcare Professionals) som verifiserbart attributt, og fjerner aktuelle manuelle verifikasjonsprosesser. Denne type distribusjon, som er i samsvar med rammeverket for det europeiske helsedatarommet (EHDS), kan redusere tilgangstider for autoriserte helseopplysninger fra flere timer til noen sekunder. For mer informasjon om sektor-spesifikke problemer, vår guide om elektronisk signatur i helsevesen detaljerer de gjeldende regulatoriske begrensningene.

Konklusjon

EUDI Wallet og forordningen eIDAS 2 utgjør den mest betydningsfulle transformasjonen av europeisk digital identitet på et tiår. For bedrifter handler innsatsen ikke bare om å overholde ny regulering, men å gripe en mulighet til å modernisere sine signatur-, ombordstigning- og delegeringsstyrelsesprosesser dypt. Juridiske, HR-, helse- og industrielle sektorer er i første linje. Suksessnøkkelen ligger i forutsigelse: vurder nå kompatibiliteten til dine eksisterende verktøy, skolér dine lag og velg partnere hvis plan er justert med eIDAS 2.

Certyneo følger bedrifter gjennom denne overgangen med en elektronisk signaturplattform designet for å være kompatibel med EUDI Wallet fra distribusjon. Oppdag våre tilbud og start gratis for å forberede 2026 med full trygghet.