Overgang fra eIDAS 1 til eIDAS 2: konsekvenser for signering i 2025

Den 20. mai 2024 ble forordningen (EU) 2024/1183 — vanligvis kalt eIDAS 2 — publisert i Den europeiske unions tidende, og opphevet gradvis forordning nr. 910/2014 (eIDAS 1). Denne teksten representerer den mest strukturelle reformen for digital identitet og elektronisk signering i Europa siden 2016. For franske bedrifter som bruker løsninger for elektronisk signering i deres kontraktuelle arbeidsflyter, er overgangen ikke en formalitet: den innebærer tekniske, juridiske og organisatoriske tilpasninger med tidshorisont frem til 2026 og utover. Det å forstå overgangen fra eIDAS 1 til eIDAS 2 og dens konsekvenser for elektronisk signering i 2025 har blitt en prioritet for juridiske, IT- og HR-ledelser. Denne artikkelen dekrypterer de grunnleggende utviklingene i rammeverket, den presise tidsplanen for overgangen og konkrete tiltak for å forbli samsvarende.

Hva forordningen eIDAS 2 endrer fundamentalt

Fra 2014-forordningen til omleggingen i 2024: hvorfor var en revisjon nødvendig

EIDAS 1 hadde lagt grunnlaget for gjensidig anerkjennelse av elektroniske signaturer innen Unionen. Tre hierarkiske nivåer — enkel (SES), avansert (AdES) og kvalifisert (QES) — strukturerte signaturer sitt bevisverdi, støttet av en liste over tiltrodde tjenesteleverandører (TSL). Men i løpet av ti år har to store mangler dukket opp.

For det første gjaldt den opprinnelige forordningen hovedsakelig forhold med offentlige administrasjoner (G2B, G2C). Den skapte ikke direkte forpliktelser i private transaksjoner (B2B, B2C), noe som etterlot et regulatorisk tomrom som hver medlemsstat fylte på heterogent vis. For det andre hadde oppgangen av digitale tjenester — mobilapplikasjoner, åpen bankvirksomhet, telemedisin — avslørt fraværet av et bærbart og interoperabelt digitalt identitetssystem på kontinentalt nivå.

EIDAS 2 svarer på disse to utfordringene ved å introdusere Den europeiske digitale identitetskassen (EU Digital Identity Wallet, EUDIW) og ved å utvide omfanget av tiltrodde tjenester til nye brukstilfeller: kvalifisert elektronisk arkivering, attestasjoner av kvalifiserte attributter, kvalifiserte elektroniske registre (inkludert sertifiserte blockchain-applikasjoner).

De nye kategoriene av kvalifiserte tiltrodde tjenester

Forordningen eIDAS 2 utvider listen over kvalifiserte tiltrodde tjenester (artikkel 3 og revidert vedlegg IV). Foruten signaturer, sealer og tidsstempler som allerede ble anerkjent av eIDAS 1, er følgende nå kvalifisert:

• Tjenester for kvalifisert elektronisk arkivering (art. 34 bis): forpliktelse til å bevare integriteten og lesbarhet av signerte dokumenter på lang sikt, med forsterket krav til tjenesteleverandører (QTSP).
• Tjenester for håndtering av enheter for opprettelse av fjernsingering kvalifisert (QRCD): forsterket regulering av fjernSignering-løsninger via HSM (Hardware Security Module) i skyen.
• Attestasjoner av kvalifiserte attributter: mekanisme som tillater en tiltrodde tredjepart å sertifisere attributter til en enhet (f.eks. kvalitet av advokat, status av lege) uten å avsløre hele identiteten.
• Kvalifiserte elektroniske registre: anerkjennelse av distribuerte registre under strenge betingelser for revisjonsevne og motstandskraft.

For brukere av løsninger for elektronisk signering betyr denne utvidelsen at de tilgjengelige kvalifiserte tiltrodde tjenestene på markedet vil diversifiseres, og at urvalskriteriene for en tjenesteleverandør (QTSP) må integrere disse nye egenskapene.

EUDIW: den digitale identitetskassen som infrastruktur for signering

Den mest synlige innovasjonen innen eIDAS 2 er EUDIW. Hver medlemsstat må gjøre en digital identitetskasse tilgjengelig for sine borgere og innbyggere gratis, samvirkende med alle andre medlemsstater, innen 26. november 2026 (tidsgrense for nasjonale samsvarkrav i henhold til artikkel 5 bis). Denne kassen vil tillate:

• å autentisere brukeren med høyt sikkerhetsnivå (LoA High) uten å ty til en tredjeparts identifikasjonstjenesteleverandør;
• å signere elektronisk dokumenter med kvalifisert verdi (QES) direkte fra lommeboken;
• å dele selektive identitetsattributter (selective disclosure), og respektere således dataminimeringsprinsippet i GDPR.

For bedrifter forenkler EUDIW teoretisk prosedyrene for identitetsverifisering før kvalifisert signering, og eliminerer friksjon fra video-identifikasjon eller ansikt-til-ansikt-identifikasjon. I praksis avhenger virkningen av hastigheten på nasjonalt utplasseringstempo — Frankrike lanserte i 2025 en piloteksperiment som del av programmet « France Identité ».

Presis tidsplan for overgangen fra eIDAS 1 til eIDAS 2

De regulatoriske milepælene du må kjenne

Forordningen 2024/1183 trådte i kraft den 20. mai 2024, men bruken er progressiv. Her er de viktige datoene:

| Dato | Hendelse | |------|----------| | 20. mai 2024 | Publisering i EUT, formell ikrafttreden | | 20. november 2024 | Fristen på 6 måneder for vedtagelse av gjennomføringsakter fra Kommisjonen (tekniske spesifikasjoner for EUDIW) | | Slutten av 2025 | Publisering av reviderte ETSI-standarder (EN 319 411-1/2, EN 319 401) som integrerer eIDAS 2-krav | | 26. mai 2026 | Tidsfristen for at medlemsstater skal oppfylle nye kategorier av kvalifiserte tjenester | | 26. november 2026 | Obligatorisk tilgjengeliggjøring av EUDIW av hver medlemsstat | | 2027-2028 | Fullstendig revisjon av nasjonale tillitslister (TSL) og akkreditering av nye QTSP |

EIDAS 1 forblir gyldig, og signaturer utstedt under dets regime bevarer sin fulle juridiske verdi. Det er ingen forpliktelse til å resignere eksisterende dokumenter. I stedet må kvalifiserte tiltrodde tjenesteleverandører fornye akkrediteringen sin i henhold til nye tekniske standarder innen 2027.

Det som ikke endres og det du bør holde øye med

Kontinuitet er et hovedprinsipp for overgangen. De tre nivåene av signering (SES, AdES, QES) opprettholdes med uendrede definisjoner. Formodningen om likestilling med en håndskrevet signatur knyttet til QES (artikkel 25 eIDAS 1, gjentatt i artikkel 27 eIDAS 2) forblir i kraft. Bevisverdien av dine nåværende elektroniske signaturer blir ikke stilt spørsmål.

Det du bør holde øye med: gjennomføringsaktene publisert av Kommisjonen gjennom 2025-2026 vil fastsette presise tekniske spesifikasjoner for EUDIW og nye tjenestekategorier. Disse tekster på nivå 2 har betydelig praktisk betydning for integratorer og softwareutviklere. For bedrifter som bruker elektronisk signering i sine HR eller juridiske prosesser anbefales det å be sin tjenesteleverandør om en eIDAS 2-samsvarsveikart.

Konkret innvirkning på bedrifter og deres signeringsløsninger

Hvilke arbeidsflyter berøres prioritert?

Overgangen fra eIDAS 1 til eIDAS 2 påvirker ikke alle signeringsnivåer likt. For bedrifter skiller tre situasjoner seg ut:

Enkel elektronisk signering (SES): brukt til lavverdige tillegg, kvitteringer, interne skjemaer. Ingen forpliktelse til umiddelbar oppdatering. Bevisreglene er fortsatt regulert av den sivile koden (art. 1366-1367) og ikke direkte av eIDAS.

Avansert elektronisk signering (AdES/AdESQC): bedrifter som bruker B2B-løsninger for kommersielle kontrakter, digitaliserte arbeidskontrakter eller eiendomshandlinger må verifisere at deres tjenesteleverandør opprettholder samsvar med ETSI-standardene EN 319 132 (XAdES), EN 319 122 (CAdES) og EN 319 142 (PAdES) i deres reviderte versjoner for eIDAS 2. Disse standardene vil bli publisert av ETSI innen utgangen av 2025.

Kvalifisert elektronisk signering (QES): kvalifiserte tjenesteleverandører (QTSP) må gå gjennom ny eIDAS 2-akkreditering. Overgangsperioden gir rimelig tidsfrist (frem til 2027), men anbudsutlysninger i 2025 bør integrere eIDAS 2-samsvarsklausul i urvalskriteriene. For organisasjoner som sammenligner tilgjengelige alternativer, lar sammenligningen av løsninger for elektronisk signering deg vurdere forfatterenes modenhet på dette emnet.

Nye krav til kvalifiserte tiltrodde tjenesteleverandører (QTSP)

EIDAS 2 skjerper kravene for QTSP på tre hovedpunkter:

1. Systemsikkerhet: obligatorisk justering til NIS2 (direktiv (EU) 2022/2555) for QTSP, nå klassifisert som essensielle enheter. Dette oversettes til forpliktelser om hendelsesvarsel innen 24 timer, årlige sikkerhetsrevisjoner og opprettelse av gjennomføringskontinuitet-planer.

1. Forsterket ansvar: artikkel 13 eIDAS 2 utvider ansvaret for QTSP. I tilfelle påvist brudd vises det at tjenesteleverandøren ikke oppfyllte negligence-standarden, ikke omvendt.

1. Obligatorisk interoperabilitet: QTSP må eksponere standardiserte API-er som er kompatible med EUDIW for å tillate innebygd integrasjon av identitetskassene. Dette kravet vil akselerere moderniseringen av integrasjonsgrensesnitt tilgjengelig for utviklere.

For bedrifter som vurderer å bytte tjenesteleverandør i denne sammenheng, migrering fra DocuSign eller YouSign til en eIDAS 2-samsvarende løsning er en tilnærming som fortjener å forventes nå snarere enn i hastighet i 2027.

Persondata og eIDAS 2: samspillet med GDPR

EUDIW samler og behandler identitetsdata med personlig karakter. Forordningen eIDAS 2 forutsetter eksplisitt (fortale 11 og artikkel 5 bis §14) at hele ordningen må være GDPR-samsvarende (forordning (EU) 2016/679). Flere fokusområder:

• Selektiv avsløring: kassen må tillate brukeren å dele kun de attributter som er strengt nødvendige for transaksjonen (dataminimeringsprinsipp, art. 5(1)(c) GDPR). For kontraktsignering kunne bare verifisering av myndighet deles uten å avsløre fullstendig fødselsdato.
• Overføringer utenfor EU: identitetsdata behandlet i forbindelse med EUDIW kan ikke overføres utenfor EØS uten passende garantier (art. 46 GDPR). Tjenesteleverandører som bruker amerikanske skyinfrastrukturer må dokumentere samsvar.
• Oppbevaring av signeringslogger: arkivering av signeringsbevis må respektere oppbevaringsvarigheten proporsjonal med dokumenttypen. Den nye kvalifiserte arkiveringstjenesten eIDAS 2 tilbyr et teknisk rammeverk for å oppfylle dette kravet.

Bedrifter som forvalter internasjonale arbeidskontrakter er særlig påvirket av dette GDPR/eIDAS 2-samspillet, særlig når signatarer bor utenfor EU.

Juridisk rammeverk for overgangen fra eIDAS 1 til eIDAS 2

Referansetekster

Overgangen hviler på en stabel tekster som det er uunnværlig å beherskse:

På europeisk nivå:

• Forordning (EU) nr. 910/2014 (eIDAS 1): fortsatt i kraft til gradvis opphevelse av eIDAS 2. Definerer de tre signeringsnivåene (SES, AdES, QES) og ordningen for QTSP.
• Forordning (EU) 2024/1183 (eIDAS 2): trådte i kraft den 20. mai 2024. Endrer vesentlig eIDAS 1 uten å oppheve den umiddelbart. Bestemmelsene vedrørende EUDIW gjelder fra publisering av gjennomføringsakterne.
• Forordning (EU) 2016/679 (GDPR): gjelder fullt ut behandlingen av identitetsdata i forbindelse med EUDIW og signeringsprosesser. Artikkel 5 bis §14 av eIDAS 2 gjentar denne underordningen eksplisitt.
• Direktiv (EU) 2022/2555 (NIS2): pålegger forsterket cybersikkerhetskrav til QTSP, nå klassifisert som essensielle enheter. Omgjort til fransk rett ved forordning nr. 2024-821 av 20. juni 2024 (gjennomføringsdekret under utarbeidelse).

På fransk nivå:

• Sivilkode, artikler 1366 og 1367: grunnlag for bevisverdien av skrifter i elektronisk form. Artikkel 1366 etablerer likestilling mellom elektronisk og papirskriv under vilkår. Artikkel 1367 gir kvalifisert signering (QES) samme bevisverdi som håndskrift.
• Dekret nr. 2017-1416 av 28. september 2017: presiserer betingelser for bruk av elektronisk signering i skriv under privat segl. Forblir aktuell under overgangsperioden.
• Generell sikkeringsreferanse (RGS) v2: for franske administrasjoner pålegger RGS bruk av løsninger referert av ANSSI. Dens oppdatering for integrering av eIDAS 2 forventes i løpet av 2026.

ETSI-standarder som gjelder

ETSI-standardene danner nivå 3 i den normative hierarkien. Gjeldende versjoner:

• EN 319 132-1/2: XAdES-format (avanserte XML-signaturer)
• EN 319 122-1/2: CAdES-format (avanserte CMS-signaturer)
• EN 319 142-1/2: PAdES-format (avanserte PDF-signaturer)
• EN 319 401: generelle krav for tiltrodde tjenesteleverandører
• EN 319 411-1/2: krav for sertifikatmyndigheter som utsteder kvalifiserte sertifikater

Disse standardene vil bli revidert innen utgangen av 2025 for integrering av nye eIDAS 2-krav. Kontrakter med QTSP må inneholde en klausul for oppdatering til reviderte versjoner uten ekstra kostnad.

Juridiske risikoer ved manglende samsvar

En signatur utstedt av en tjenesteleverandør som ikke lenger akkrediteres etter 2027 ville ikke automatisk miste juridisk verdi for dokumenter som allerede er signert, men ville ikke lenger nyte godt av den juridiske formodningen om likestilling med håndskrift (art. 25 eIDAS). Bevisbyrden for integriteten og identiteten til underskriveren ville da ligge helt på bedriften ved en tvist. Denne bevisrisikoen er særlig sensitiv for handlinger hvis preskripsjonstid er lang (5 år i handelssaker, 30 år for eiendomsrettigheter).

Bruksscenarioer: hvordan organisasjoner forventer seg overgangen fra eIDAS 2

Scenario 1: et advokatkontor med 25 ansatte rasjonaliserer dokumentsamsvaret sitt

Et advokatkontor spesialisert i næringsliv, med cirka 25 ansatte og intens aktivitet ved signering av mandater, avhendingsvilkår og enighetsprotokoll, brukte frem til 2024 en avansert signeringsløsning (AdES) for all sinus. Etter kunngjøringen av eIDAS 2 gjennomførte kontoret en revisjon av sine 1200 årlig signerte dokumenter for å identifisere de som krever QES i henhold til nye anbefalinger fra sitt advokatalag.

Resultat: 15 % av handlingene (cirka 180 per år) ble omklassifisert til kvalifisert signering, som sikret bevisverdien for disse dokumentene. Kontoret forhandlet med sin signeringsutgiver en klausul som garanterer eIDAS 2-samsvar fra publisering av gjennomføringsakterne, uten ekstra kostnad. Den administrative tiden knyttet til verifisering av identitet til underskriverne minket med 40 % takket være forutseende integrering av EUDIW planlagt for 2026.

Scenario 2: en industriell SME med 150 ansatte sikrer sin leverandørkontraktskjede

En industriell SME som administrerer cirka 350 leverandørkontrakter per år — bestillinger, NDA-er, rammekontrakter — fungerte med to distinkte signeringsløsninger for sine interne og eksterne strømmer, noe som skapte fragmentering av revisjonsbevis. I sammenheng med eIDAS 2-overgangen og nye krav til kvalifisert arkivering bestemte IT-avdelingen seg for å enhetliggjøre sin plattform.

Ved migrering til en enkelt løsning som integrerer kvalifisert elektronisk arkivering (fremtidig eIDAS 2-kategori), reduserte SME dets sikre lagringskostnader med 30 % og konsolidert signeringsbevisene sine i en samsvarende digital safe. Hele dokumentkjeden er nå revisjonsbar på mindre enn 2 minutter under leverandørkontroller — et stadig økende krav fra deres bestillere i bilindustrien.

Scenario 3: et sykehusgruppering på cirka 600 senger forbereder EUDIW-integreringen

Et offentlig sykehusgruppering brukte kvalifisert elektronisk signering for sine medisinske kontrakter og offentlige prosurements, i samsvar med kravene i kommandekoden. Med eIDAS 2 identifiserte IT-tjenesten to prioritetsspørsmål: fremtidig integrering av « France Identité »-lommeboken for frilans-leger som arbeider i institusjonen, og NIS2-samsvar for dens QTSP.

Sykehusgrupperingen skrev inn i sitt digitale direkteskjema 2025-2028 et spesifikt parti « eIDAS 2-samsvar » med budsjett på 45 000 € for teknisk migrering og opplæring av agenter. Målet er å kunne godta signaturer via EUDIW fra nasjonalt deploy planlagt for november 2026, noe som reduserer kontraktiseringsfristene med fagfolk fra 3 dager til mindre enn 4 timer i snitt i henhold til tilgjengelige sektorbenchmarks.

Konklusjon

Overgangen fra eIDAS 1 til eIDAS 2 er ikke en brudd men en strukturert utvikling, med en presis tidsplan som strekker seg til 2027. Konsekvensene for elektronisk signering er virkelig — utvidelse av kvalifiserte tjenester, ankomst av EUDIW, forsterket NIS2-krav for QTSP — men kan håndteres når de forventes. Bedrifter som handler nå nyter godt av en handlingsrom for å revisere arbeidsflytene sine, sikre kontraktene med sine tjenesteleverandører og trene teamene sine uten regulatorisk hastepress.

Certyneo følger bedrifter gjennom denne overgangen med en klar eIDAS 2-samsvarsveikart, signeringsformater holdt oppdaterte og arkitektur klar for EUDIW-integreringen. Klar til å sikre signeringsflyten din innenfor dette nye regulatoriske rammeverket? Oppdag våre tilbud og begynn gratis på Certyneo.