eIDAS 2 vs eIDAS 1: nøkkelendringer for små og mellomstore bedrifter

Introduksjon: hvorfor eIDAS 2 endrer situasjonen for SMB

Siden 20. mai 2024 har forordningen (EU) 2024/1183 — vanligvis kalt eIDAS 2 — trådt i kraft og opphever og erstatter gradvis forordningen (EU) nr. 910/2014 (eIDAS 1). For franske SMB er ikke dette skiftet en enkel administrativ oppdatering: det omdefinerer nivåene for digital tillit, introduserer en europeisk identitetslommebook (EUDIW), strammet opp kravene til tilbydere av tillitsbaserte tjenester og utvidet omfanget av anerkjente tjenester. Denne artikkelen sammenligner eIDAS 1 og eIDAS 2 punkt for punkt, identifiserer konkrete driftsmessige konsekvenser for små og mellomstore bedrifter, og gir deg en handlingsplan for å forbli kompatibel i 2026.

---

1. Påminnelse: hva eIDAS 1 etablerte (2014-2024)

1.1 Grunnlaget for den opprinnelige forordningen

Vedtatt i juli 2014 og gjeldende siden september 2016, etablerte eIDAS 1 de første grunnsteinene for et europeisk område for digital tillit. Den introduserte tre hovedkategorier av elektronisk signatur — enkel (SES), avansert (AdES) og kvalifisert (QES) — og opprettet listen over tillitsverdige tilbydere (Trusted List), som kan konsulteres på Kommisjonens portal.

For SMB var eIDAS 1s største bidrag tverrgrensegodkjenning av kvalifiserte signaturer: en kontrakt signert med en QES fra Frankrike ble juridisk anerkjent i Tyskland, Spania eller Italia uten notarisering eller tilleggsformelle krav. Dette prinsippet — kalt "ikke-diskriminering" — ble grunnlaget som tilbud som Certyneo bygde tjenestene sine på.

1.2 Identifiserte begrensninger

Til tross for sine fremskritt led eIDAS 1 av flere mangler dokumentert av Kommisjonens evalueringsrapport fra 2021:

• Fragmentering av identitetsordninger: bare medlemsstater som hadde varslet sitt nasjonale opplegg (som FranceConnect+ på vesentlig nivå) nøt gjensidig godkjenning. I 2023 hadde bare 14 av 27 stater varslet et oppleggskonformt skjema.
• Fravær av innebygd mobilstøtte: den kvalifiserte enheten for opprettelse av signatur (QSCD) krevde ofte et smartkort eller maskinvaretoken, noe som hindret mobiladopsjon.
• Begrenset tillitsbaserte tjenester: eIDAS 1 oppførte ni typer kvalifiserte tjenester; nye bruksområder (kvalifisert elektronisk arkivering, attributtstyring) var ikke regulert.
• Ingen samlet identitetslommebook: hver borger eller bedrift administrerte sine identifikatorer på isolert måte, uten garantert interoperabilitet.

Disse begrensningene førte til at Kommisjonens startet revisjonen allerede i 2020, som resulterte i forordning eIDAS 2 etter tre år med trilogenforhandlinger.

---

2. De fem store nyhetene ved eIDAS 2 for SMB

2.1 Den europeiske digitale identitetslommeboken (EU Digital Identity Wallet — EUDIW)

Dette er den mest synlige nyheten i forordningen. Innen november 2026 (gjennomføringsfristen fastsatt i artikkel 5a) må hver medlemstat tilby minst én sertifisert digital identitetslommebook til sine borgere og fastboende. For SMB har denne utviklingen to direkte konsekvenser:

1. Forenklet autentisering av kunder og partnere: lommeboken tillater deling av verifiserte attributter (alder, intrastat-VAT-nummer, bedriftsutdrag, sertifiserte bankdata) uten friksjon. En rammeavtale med en tysk partner kan signeres etter øyeblikkelig verifisering av dens profesjonelle attributter fra dens EUDIW.
2. Akseptanseforpliktelse for visse sektorer: elektroniske tjenester fra store plattformer (artikkel 45bis) og visse offentlige tjenester må akseptere EUDIW som autentiseringsmiddel. SMB som tilbyr B2B-portaler må tilpasse sine autentiserings-APIer.

2.2 Utvidelse av listen over kvalifiserte tillitsbaserte tjenester

eIDAS 2 utvidet katalogen over kvalifiserte tillitsbaserte tjenester fra 9 til 14 kategorier. De nye oppføringene som direkte angår SMB er:

• Kvalifisert elektronisk arkivering (art. 45septies): langsiktig oppbevaring med styrket bevisverdi. Inntil nå baserte arkivering med bevisverdi seg på nasjonale rammeverk (i Frankrike, SIAF/ANSSI-referanserammen); eIDAS 2 harmoniserer den europeiske rammen.
• Fjernstyring av kvalifiserte signatururettelsesenheter (RQSCD): nå eksplisitt regulert, løser det opp uklarheter som veide på cloud-baserte løsninger for kvalifisert signatur. For en SMB på 50 ansatte betyr det tilgang til en kvalifisert signatur uten fysisk token, fra en hvilken som helst enhet.
• Kvalifisert elektronisk registertjeneste: registre basert på blokkjede eller distribuert-hovedbok-teknologier kan nå oppnå kvalifisert status, og åpner døren til nye modeller for kontraktshåndtering.

For mer detaljert informasjon om signatureavelsene og deres juridiske verdi, se vår fullstendige guide for elektronisk signatur.

2.3 Strengere sikkerhetskrav for kvalifiserte tjenestetilbydere (QTSP)

eIDAS 2 strammet obligasjonene til tilbydere av kvalifiserte tillitsbaserte tjenester (QTSP). Den reviderte artikkelen 24 pålegger særlig:

• En cybersikkerhetssertifisering i samsvar med den europeiske rammen (EU Cybersecurity Act, forordning 2019/881), med sektorielle ordninger som ENISA er i ferd med å utvikle.
• Strengere krav til operasjonell motstandskraft: QTSP må nå dokumentere sin handlingsplan for forretningskontinuitet og sende den til sitt nasjonale tillsynsorgan (i Frankrike, ANSSI for kvalifiserte tilbydere).
• En obligasjon til å varsle sikkerhetshendelser innen 24 timer (justering med NIS 2).

For SMB-brukere innebærer dette økt omhu ved valg av tilbyder: å verifisere at din løsning for signatur er oppført på den oppdaterte europeiske Trusted List-en er nå et kritisk trinn i kjøpsprosessen. Vår sammenligning av elektroniske signaturløsninger kan hjelpe deg med denne analysen.

2.4 Obligatorisk interoperabilitet for identitetsordninger

Der eIDAS 1 ga medlemsstater frihet til å varsle (eller ikke) sitt opplegg, gjør eIDAS 2 varsling og interoperabilitet obligatorisk for identitetsordninger som brukes i elektroniske offentlige tjenester (art. 5). France Identité — det nasjonale opplegget drevet av Innenriksdepartementet — er i prosess med å gjøres kompatibel med de tekniske spesifikasjonene for EUDIW, publisert av Kommisjonens i gjennomføringsforordning (EU) 2024/2977.

For en SMB som samhandler regelmessig med offentlige myndigheter (offentlige anskaffelser, elektroniske skatteinnberetninger, tollprosedyrer) betyr denne utviklingen at elektroniske prosedyrer gradvis vil bli enhetliggjort rundt en enkelt digital identifikator anerkjent i hele EU.

2.5 Nye ansvar- og tilsynsregler

eIDAS 2 presiserer og utvider ansvarsmidlene for tilbydere (revidert art. 13). En QTSP er nå formelt ansvarlig for enhver skade forårsaket av en fysisk eller juridisk person ved et brudd på sine forpliktelser, bortsett fra bevis for mangel på skyld. Denne styrket ansvarsformodlingen, sammenlignet med eIDAS 1, skal oppmuntre SMB til:

• Å formalisere ved kontrakt sine tilbyderes forpliktelser (SLA, garantier for tilgjengelighet, erstatning).
• Å verifisere deksningen av profesjonell ansvarsforsikring hos QTSP-en.
• Å oppbevare bevisene for revisjon av undertegningsoperasjoner (loggfiler for tidsstempling, signaturvalideringsrapporter).

Våre team har skrevet en detaljert guide om elektronisk signatur i bedrifter som tar opp disse avtalefasettene.

---

3. Sammenlignende tabell eIDAS 1 vs eIDAS 2: hva som endrer praktisk

3.1 Sammendrag av store endringer

| Kriterium | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Identitetslommebook | Fraværende | EUDIW obligatorisk (medlemsstater) | | Kvalifiserte tjenester | 9 kategorier | 14 kategorier (arkivering, RQSCD, registre…) | | Varsling av opplegget | Valgfritt | Obligatorisk for offentlige tjenester | | Sikkerhet hos QTSP | Common Criteria-kriterier | Cybersecurity Act + ENISA-ordninger | | QTSP-ansvar | Delvis | Styrket ansvarsformodling | | Varslingsfrist for hendelser | Ikke spesifisert | 24 timer (justering med NIS 2) | | Mobil QSCD | Juridisk uklarhet | RQSCD eksplisitt regulert |

3.2 Nøkkeldatoene å holde styr på i 2026

• Mai 2024: iverksetting av forordning (EU) 2024/1183.
• November 2026: frist for at hver medlemstat skal tilby minst én sertifisert EUDIW-løsning.
• 2027: obligasjon for store plattformer (art. 45bis) til å akseptere EUDIW som autentiseringsmiddel.
• 2028: planlagt revisjon av tekniske gjennomføringsbestemmelser (delegerte forordninger om EUDIW-spesifikasjoner).

Hvis din SMB vurderer å migrere til en mer kompatibel løsning, inkluderer vår migreringstilbud til Certyneo en gratis eIDAS 2-kompatibilitetsvurdering.

---

4. Praktisk handlingsplan for å gjøre din SMB eIDAS 2-kompatibel

4.1 Utfør revisjon av dine eksisterende dokumentflyter

Begynn med å kartlegge alle prosessene der du for øyeblikket bruker elektronisk signatur eller digital identitet: leverandørkontrakter, dematerielliserte lønnsslipp, SEPA-mandater, fortrolighetserklæringer, HR-avtaler. For hver flyte identifiserer du:

• Signaturnivået som brukes (SES, AdES, QES).
• Gjeldende tilbyder og dens status på Trusted List.
• Risikonivået for juridisk gjensaksjon ved tvister.

Denne revisjonen er startpunktet anbefalt av ANSSI i sin kompatibilitetsveiledning publisert i mars 2025.

4.2 Oppgrader din signaturløsning

Hvis din gjeldende tilbyder ikke er oppført på eIDAS 2 Trusted List eller ikke tilbyr RQSCD ennå, er det tid til å sammenligne markedstilbud. Certyneo er en sertifisert QTSP som håndterer alle tre signaturnivåene (SES, AdES, QES) og integrerer innbygd de nye eIDAS 2-kravene, særlig kvalifisert arkivering og fjernstyring av enheter.

4.3 Opplær dine team og oppdater dine kontrakter

eIDAS 2 styrker bevisverdien av kvalifiserte signaturer men pålegger også gode dokumentpraksis. Sørg for at dine juridiske og administrative team:

• Vet å skille de tre signaturnivåene og deres respektive juridiske verdi.
• Integrerer i leverandørkontrakter en klausul for eIDAS-kompatibilitetsrevisjon.
• Oppbevarer bevisene for signaturverifisering (valideringsrapport, kvalifisert tidsstempling) i den lovpålagte oppbevaringsperioden (3 til 10 år avhengig av akttypen).

For å strukturere denne tilnærmingen tillater vår ROI-kalkulator for elektronisk signatur deg å kvantifisere de operative gevinstene knyttet til oppgraderingen.

Gjeldende juridisk rammeverk

Референциальные tекстови

Gjøring av en fransk SMB kompatibel med eIDAS 2 foregår innenfor en stabelreguleringsfølge som det er essensielt å mestere.

Forordning (EU) 2024/1183 fra Europa-Parlamentet og Rådet (kalt « eIDAS 2 »): det er grunnlagsteksten, publisert i EUT 30. april 2024. Den opphever og erstatter forordning (EU) nr. 910/2014 etter en gradvis gjennomføringsplan som går til 2027. Den gjelder direkte i alle medlemsstater, uten å kreve nasjonal lovgivningstransposisjon for sine hovedbestemmelser.

Forordning (EU) nr. 910/2014 (eIDAS 1): noen av dens bestemmelser forblir anvendelige i løpet av de overgangsperiodene som er fastsatt av eIDAS 2, særlig for kvalifiserte tilbydere som oppnådde sin kvalifikasjon før mai 2024 og har tid til å resertifisere seg.

Franske sivile rettsregler, artikler 1366 og 1367: artikkel 1366 setter prinsippet om ekvivalens mellom elektronisk skrift og papirskrift under forutsetning av at « personen hvis navn vises på en måte som sikrer at det kan bli forsvarlig identifisert og at det blir etablert og bevart under betingelser som sikrer integriteten ». Artikkel 1367 anerkjenner elektronisk signatur som bevismetode og henviser til vilkårene fastsatt ved dekretet fra Statråd (dekret nr. 2017-1416 av 28. september 2017, kodifisert i artikler R. 1369-1 til R. 1369-10 i Sivile rettsregler).

Forordning (EU) 2016/679 (GDPR): distribusjon av EUDIW og håndtering av identitetsattributter i elektroniske signaturflyter utgjør behandling av personopplysninger i henhold til GDPR. SMB må sikre at deres QTSP handler som databehandler i henhold til artikkel 28 GDPR, med en kompatibel DPA (Data Processing Agreement). CNIL publiserte i januar 2026 en spesifikk anbefaling om EUDIW-GDPR-integrering.

Direktiv (EU) 2022/2555 (NIS 2): eIDAS 2 blir eksplisitt justert med NIS 2 for obligasjoner til å varsle om hendelser (art. 24, §2 eIDAS 2 som henviser til NIS 2-bestemmelser). QTSP betraktes som «essensielle» eller «viktige» enheter i henhold til NIS 2 ut fra størrelse, og utsettes som sådan for regelmessige sikkerhetsvurderinger.

ETSI-normer: kvalifiserte elektroniske signaturer må respektere normene ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) og ETSI EN 319 102-1 (valideringsprosedyre). Normen ETSI TS 119 461 regulerer fjerntverifisering av identitet (IDV), særlig relevant for RQSCD.

Juridiske risikoer ved manglende kompatibilitet

Å bruke en elektronisk signaturløsning som ikke er kompatibel med eIDAS 2 utsetter SMB for flere risikoer:

• Uakseptabilitet før domstol: en dommer kan avvise en elektronisk signatur hvis nivået ikke samsvarer med den undertegnede akten (f.eks. enkel signatur for en akt som krever et avansert eller kvalifisert nivå).
• Kontraktsskyld: hvis en kontrakt blir bestridt av en partner på grunn av signaturens ugyldighet, kan SMB utsettes for erstatningskrav.
• GDPR-sansjoner: i tilfelle av databrudd knyttet til en sikkerhetsfeil hos tilbydere, SMB, som med-ansvarlig eller dataansvarlig, kan få sanksjon av CNIL opp til 4 % av det årlige verdensomspennende omsetningen (art. 83 §4 GDPR).

Konkrete bruksscenarioer

Scenario 1: en industri-SMB på 80 ansatte som håndterer 400 leverandørkontrakter per år

En SMB innenfor metallsektoren som behandler om lag 400 leverandørkontrakter årlig brukte inntil 2024 en enkel elektronisk signaturløsning (SES) for alle sine forpliktelser, inkludert rammeavtaler over € 50 000. Etter en eIDAS 2-kompatibilitetsvurdering oppdaget den at 35 % av kontraktene krevde avansert eller kvalifisert signatur for å motstå juridisk tvister, særlig med leverandører som var etablert i andre EU-medlemsstater.

Ved å migrere til en løsning som kombinerer avansert signatur (AdES) for rutinekontrakter og kvalifisert (QES) for rammeavtaler, og ved å aktivere kvalifisert elektronisk arkivering (ny eIDAS 2-tjeneste), reduserte denne SMB tiden brukt på dokumenthåndtering etter signering (klassifisering, søk, sending av sertifiserte kopier) med 70 % og redusertes antallet tvister knyttet til signaturbestriding til null på de 18 påfølgende månedene, sammenlignet med to hendelser i de 18 foregående månedene.

Scenario 2: en juridisk konsultanbedrift med 15 samarbeidere

Et firma som spesialiserer seg i forretningsrett og utsteder i gjennomsnitt 1 200 undertegnede dokumenter per år (oppdragsbrev, mandater, fortrolighetserklæringer), møtte økende etterspørsel fra sine bedriftskunder etter kvalifiserte signaturer anerkjent i hele EU. Under eIDAS 1 krevde oppnåelse av et kvalifisert sertifikat en ansikt-til-ansikt-prosedyre eller en lang videobekrefting (45 til 90 minutter per bruker).

Takket være RQSCD (Remote Qualified Signature Creation Device) regulert av eIDAS 2 kunne bedriften distribuere kvalifisert signatur for alle sine samarbeidere på mindre enn to uker via en 100 % fjern enroleringsprosedyre kompatibel med normen ETSI TS 119 461. Graden av intern adopsjonen gikk fra 40 % til 95 % på tre måneder, og gjennomsnittlig returneringsfrist for undertegnede dokumenter ble redusert fra 4,2 dager til mindre enn 6 timer ifølge bedriftens interne målinger.

Scenario 3: en e-handels-SMB som opererer i tre EU-land

Et netthandelsselskap som ansetter 35 personer og opererer i Frankrike, Belgia og Nederland måtte håndtere tre typer elektroniske avtaler: arbeidskontrakter for sine lokale ansatte, partneravtaler med transportører, og SEPA-mandater for sine profesjonelle kunder. Fragmenteringen av nasjonale krav under eIDAS 1 tvang det til å opprettholde tre distinkte signeringsworkflows, med estimerte driftskostnader på omkring € 12 000 per år.

Adopsjonen av en enkelt eIDAS 2-kompatibel løsning — som integrerer gjensidig gjenkjenning av kvalifiserte signaturer i de tre landene — tillatt enhetliggjøring av workflows, kostnaden for driftshåndtering ble redusert til omkring € 4 500 per år (besparelse på 62 %) og eliminerte forsinkelsene knyttet til manuell validering av utenlandske signaturer av juridisk avdeling.

Konklusjon

eIDAS 2 er ikke en enkel kosmetisk revisjon av reguleringsrammeverket: det omdefinerer i stor grad reglene for digital tillit i Europa. For franske SMB representerer de fem store endringene — EUDIW-lommebook, utvidelse av kvalifiserte tjenester, RQSCD, obligatorisk interoperabilitet og styrket ansvar — både en kompatibilitetsforing og en mulighet til å akselerere sin dokumentære transformasjon.

SMB som forutser disse endringene fra i dag vil få en reell konkurransefordel: kontrakter anerkjent i hele EU uten friksjon, arkivering med bevisverdi innebygd, og fullt dematerielliserte og sikre signaturprosesser.

Certyneo er designet til å ledsage denne overgangen. Start din gratis trial på certyneo.com og få en gratis eIDAS 2-kompatibilitetsvurdering for dine eksisterende dokumentflyter.