Kalendarz eIDAS 2: wdrożenie UE 2026-2027

Wprowadzenie: dlaczego harmonogram eIDAS 2 jest kluczowy dla Twojej organizacji

Od wejścia w życie rozporządzenia (UE) 2024/1183 — powszechnie zwanego eIDAS 2 — europejskie ramy tożsamości cyfrowej i podpisu elektronicznego przechodzą najgłęboższą transformację od 2014 roku. Jeśli tekst zmieniony został formalnie przyjęty, to jego wdrożenie operacyjne, rozciągnięte między 2024 a 2027 rokiem, skupia teraz uwagę dyrektorów IT, prawników i osób odpowiedzialnych za zgodność. Zrozumienie oficjalnego harmonogramu wdrażania rozporządzenia eIDAS 2 w Unii Europejskiej pozwala na przewidzenie obowiązków, zabezpieczenie procesów umownych i uniknięcie rozbieżności zgodności. Ten artykuł wyjaśnia kluczowe etapy, oczekiwane akty wykonawcze i konkretny wpływ na francuskie i europejskie przedsiębiorstwa.

---

1. Przypomnienie: czym jest eIDAS 2 i dlaczego ta rewizja?

1.1 Ograniczenia eIDAS 1 (2014)

Oryginalne rozporządzenie eIDAS (nr 910/2014) położyło fundamenty zaufania cyfrowego w Europie: wzajemne uznawanie podpisów elektronicznych, utworzenie poziomów kwalifikowanych (QES), prostych (SES) i zaawansowanych (AdES), oraz akredytacja dostawców usług zaufania (Trust Service Providers, TSP). Jednak dziesięć lat wdrażania ujawniło kilka znaczących luk:

• Fragmentacja krajowa: mniej niż 19% obywateli europejskich korzystało z transgranicznego schematu identyfikacji elektronicznej w 2022 roku, zgodnie z Komisją Europejską.
• Brak portfela tożsamości cyfrowej: eIDAS 1 nie przewidywał uniwersalnego instrumentu umożliwiającego każdemu obywatelowi lub przedsiębiorstwie udowodnienie jego tożsamości online we wszystkich państwach członkowskich.
• Częściowe pokrycie: usługi kwalifikowanego archiwizowania elektronicznego lub zaświadczenia o atrybutach nie były harmonizowane.

1.2 Strukturalne osiągnięcia eIDAS 2

Przyjęty 11 kwietnia 2024 i opublikowany w Dzienniku Urzędowym UE 30 kwietnia 2024, rozporządzenie (UE) 2024/1183 wprowadza w szczególności:

• European Digital Identity Wallet (EUDI Wallet): portfel tożsamości cyfrowej, który każde państwo członkowskie musi oferować swoim obywatelom.
• Nowe kwalifikowane usługi zaufania: kwalifikowane elektroniczne zaświadczenia o atrybutach, kwalifikowane archiwizowanie elektroniczne, zarządzanie urządzeniami do tworzenia podpisów zdalnie.
• Rozszerzenie zakresu zastosowania: duże platformy internetowe (w rozumieniu rozporządzenia DSA) będą musiały zaakceptować EUDI Wallet do uwierzytelniania użytkowników.
• Wzmocnienie zarządzania: utworzenie bardziej rygorystycznego ramy certyfikacji zgodności dla TSP.

Aby pogłębić podstawy rozporządzenia, nasz kompletny przewodnik dotyczący eIDAS 2.0 szczegółowo wyjaśnia wszystkie zmiany regulacyjne.

---

2. Oficjalny harmonogram wdrażania eIDAS 2: etapy i kluczowe daty 2024-2027

Rozporządzenie eIDAS 2 artykułuje wejście w aplikację wokół mechanizmu wieloetapowego: wejście w życie, akty wykonawcze Komisji, transponowanie krajowe i faktyczne wdrażanie narzędzi. Oto oficjalna mapa drogowa.

2.1 Faza 1 — Wejście w życie i akty delegowane (maj 2024 – koniec 2025)

| Data | Etap | |---|---| | 30 kwietnia 2024 | Publikacja rozporządzenia (UE) 2024/1183 w DZUE | | 20 maja 2024 | Oficjalne wejście w życie (J+20 po publikacji) | | T3-T4 2024 | Uruchomienie grup roboczych nad aktami wykonawczymi (Toolbox eIDAS 2) | | Koniec 2024 | Publikacja pierwszych specyfikacji technicznych referencyjnych dla EUDI Wallet (ARF — Architecture Reference Framework v1.4) | | T1-T2 2025 | Akty wykonawcze Komisji w sprawie specyfikacji technicznych portfeli (okres 12 miesięcy przewidziany w artykule 5a) | | T3 2025 | Akty wykonawcze dotyczące nowych kwalifikowanych usług zaufania |

Komisja Europejska opublikowała w styczniu 2025 pierwszy pakiet aktów wykonawczych dotyczący wspólnych specyfikacji technicznych EUDI Wallet. Teksty te stanowią obowiązkową podstawę techniczną dla państw członkowskich.

2.2 Faza 2 — Wdrażanie projektów pilotażowych i transponowania krajowe (2025-2026)

W ramach programu dużych projektów pilotażowych (Large Scale Pilots — LSP) cztery konsorcja testowały EUDI Wallet od 2023 roku na ponad 360 przypadkach użycia w 25 państwach członkowskich:

• EU Digital Identity Wallet Consortium (EUDIW) — 140+ jednostek
• NOBID — nastawiony na płatności cyfrowe
• POTENTIAL — tożsamość i atrybuty
• DC4EU — dyplomy i kwalifikacje zawodowe

Wyniki tych pilotów bezpośrednio zasilają akty wykonawcze. Na poziomie krajowym państwa członkowskie mają 24 miesiące od wejścia w moc aktów wykonawczych na wdrożenie swojego portfela krajowego. W praktyce oznacza to, że zdecydowana większość wdrożeń krajowych oczekiwana jest między połową 2026 a końcem 2026.

| Okres | Oczekiwane działania | |---|---| | T1-T2 2026 | Ostateczne przyjęcie brakujących aktów wykonawczych (kwalifikowane archiwizowanie, zaświadczenia o atrybutach) | | T2 2026 | Pierwsze wersje produkcyjne EUDI Wallets w państwach pionierskich (Niemcy, Holandia, Hiszpania) | | T3-T4 2026 | Stopniowe wdrażanie w 27 państwach członkowskich — otwarcie dla użytkowników zawodowych | | Koniec 2026 | Obowiązki akceptacji EUDI Wallet dla usług publicznych online (art. 5b) |

Francja, poprzez Agencję Narodową Bezpieczeństwa Systemów Informatycznych (ANSSI) i Międzyresortową Dyrekcję ds. Cyfryzacji (DINUM), podjęła swoje prace adaptacyjne w 2025 roku. Projekt francuska portfela opiera się na France Identité jako podstawie technicznej.

2.3 Faza 3 — Obowiązki akceptacji dla sektora prywatnego (2027)

To najbardziej wpływowy etap dla przedsiębiorstw. Artykuł 5b rozporządzenia eIDAS 2 nakłada na niektórych dostawców usług sektora prywatnego obowiązek akceptacji EUDI Wallet do identyfikacji online w następujących dziedzinach:

• Usługi bankowe i finansowe (otwarcie konta, KYC)
• Mobilność (transport, wynajem pojazdów)
• Energia (umowy konsumenckie)
• Platformy internetowe bardzo duże (w rozumieniu DSA, > 45 milionów miesięcznych użytkowników w UE)
• Telekomunikacja

Okres obowiązkowej akceptacji wynosi 12 miesięcy od udostępnienia portfela w każdym państwie członkowskim, co plasuje rzeczywisty termin dla większości sektorów w pierwszym półroczu 2027.

Dla przedsiębiorstw, które już używają rozwiązań podpisu elektronicznego zgodnego z eIDAS, wyzwaniem jest zapewnienie kompatybilności ich przepływów dokumentów z nowymi atrybutami tożsamości pochodzącymi z portfeli cyfrowych.

---

3. Wpływ na dostawców usług zaufania (TSP) i edytorów SaaS

3.1 Nowe obowiązki dla kwalifikowanych TSP

Dostawcy kwalifikowanych usług zaufania (QTSP) muszą zaktualizować swoje praktyki certyfikacyjne, aby zintegrować nowe kategorie usług wprowadzone przez eIDAS 2:

• Kwalifikowane elektroniczne zaświadczenia o atrybutach: prawo jazdy cyfrowe, dyplomy, kwalifikacje zawodowe
• Kwalifikowane archiwizowanie elektroniczne: usługa gwarantująca długoterminową integralność podpisanych dokumentów
• Zarządzanie urządzeniami do tworzenia podpisów zdalnie (RQSCD): wyjaśnienie ramy dla rozwiązań chmurowych

QTSP mają do 18 miesięcy od publikacji zrewidowanych norm ETSI (oczekiwanych T2-T3 2026) na zgodność z nowymi wymaganiami technicznymi, co pozycjonuje pierwsze ponowne certyfikacje efektywne w 2027.

3.2 Co to oznacza dla przedsiębiorstw użytkowników

Jeśli Twoja organizacja używa dostawcy podpisu elektronicznego SaaS — czy to rozwiązanie certyfikowane QES czy narzędzie podpisu zaawansowanego — już teraz pojawia się kilka kwestii zgodności:

1. Czy Twój dostawca aktualizuje swoją certyfikację w celu zintegrowania wymagań eIDAS 2?
2. Czy Twoje przepływy pracy podpisów są gotowe do odbioru tożsamości pochodzących z EUDI Wallets?
3. Czy Twoja polityka archiwizowania spełnia przyszłe wymagania kwalifikowanego archiwizowania elektronicznego?

Nasze analizy porównania rozwiązań podpisu elektronicznego teraz integrują kryterium mapy drogowej eIDAS 2 jako kluczowy czynnik różnicujący.

3.3 Normy techniczne referencyjne

ETSI (Europejski Instytut Norm Telekomunikacyjnych) odpowiada za opracowanie norm harmonizowanych, na których opiera się eIDAS 2. Program pracy 2025-2027 obejmuje w szczególności:

• ETSI EN 319 411-1 i -2 (zmienione): polityki i wymagania dla TSP wydających certyfikaty
• ETSI EN 319 132-1 (XAdES) i EN 319 122-1 (CAdES): formaty podpisu zaawansowanego i kwalifikowanego
• ETSI TS 119 500: rama zaufania dla usług kwalifikowanego archiwizowania elektronicznego
• ISO/IEC 18013-5: protokół prezentacji atrybutów mDL (mobilne prawo jazdy), przyjęty jako podstawa techniczna EUDI Wallet

---

4. Harmonogram eIDAS 2 we Francji: postęp i obowiązki specyficzne

4.1 Rola ANSSI w zarządzaniu krajowym

We Francji ANSSI jest władzą nadzoru dostawców usług zaufania na mocy eIDAS. W perspektywie eIDAS 2 kieruje:

• Adaptacją ogólnego referencyjnego ramy bezpieczeństwa (RGS) do zintegrowania nowych usług kwalifikowanych
• Udziałem w pracach grupy współpracy eIDAS (artykuł 46e rozporządzenia)
• Nadzorem audytów zgodności francuskich QTSP

ANSSI opublikowała w marcu 2025 krajową mapę drogową wyjaśniającą etapy adaptacji francuskiej ramy do eIDAS 2, z punktem kontrolnym przewidzianym na wrzesień 2026.

4.2 Obowiązki dla dużych francuskich przedsiębiorstw

Francuskie przedsiębiorstwa przekraczające progi DSA lub działające w sektorach wskazanych w artykule 5b muszą już teraz przeprowadzić analizę wpływu. Rekomendowane etapy to:

1. Kartografia przepływów identyfikacyjnych: zidentyfikowanie procesów, gdzie tożsamość cyfrowa jest wymagana (KYC, podpisywanie umów, dostęp do przestrzeni klientów)
2. Ocena obecnych dostawców: weryfikacja ich mapy drogowej zgodności eIDAS 2
3. Plan aktualizacji WZ i polityk podpisu: przewidzenie integracji atrybutów tożsamości pochodzących z EUDI Wallets
4. Szkolenie zespołów prawnych i IT: rama techniczna i prawna znacząco się zmienia

Dla przedsiębiorstw obsługujących duże ilości umów narzędzia podpisu elektronicznego w przedsiębiorstwie muszą być oceniane pod kątem ich zdolności do ewolucji w kierunku eIDAS 2 bez przerwania usług.

4.3 Artykułacja z innymi europejskimi regulacjami

Wdrażanie eIDAS 2 nie odbywa się w odizolowaniu. Ściśle wiąże się z:

• RODO (2016/679): atrybuty tożsamości zawarte w EUDI Wallets stanowią dane osobowe podlegające zasadom minimalizacji i celu
• Dyrektywą NIS 2 (2022/2555): TSP są jednostkami istotnymi w znaczeniu NIS 2 i muszą spełniać wzmocnione wymagania cyberbezpieczeństwa
• Rozporządzeniem DORA (2022/2554): instytucje finansowe korzystające z usług zaufania do operacji cyfrowych muszą zintegrować te zależności w mapowaniu ryzyk ICT
• Rozporządzeniem o danych (Data Act, 2023/2854): interoperacyjność danych tożsamości między sektorami

Przedsiębiorstwa, które już podjęły zgodność NIS 2, znajdą znaczące synergie ze zmianami zgodności eIDAS 2, w szczególności w zakresach zarządzania ryzykiem i ciągłości biznesu.

---

5. Przygotuj swoją organizację już teraz: lista kontrolna 2026

5.1 Dla departamentów prawnych i compliance

• [ ] Przeczytaj rozporządzenie (UE) 2024/1183 w jego skonsolidowanej wersji i zidentyfikuj artykuły stosujące się do Twojego sektora
• [ ] Zmapuj umowy i procesy wymagające aktualizacji (klauzule podpisu, polityka przechowywania)
• [ ] Zweryfikuj ważność prawną transgraniczną Twoich obecnych podpisów elektronicznych w kontekście eIDAS 2
• [ ] Przewidź integrację kwalifikowanych zaświadczeń o atrybutach (np. weryfikacja kwalifikacji zawodowych dla aktów notarialnych lub medycznych)

5.2 Dla departamentów systemów informatycznych

• [ ] Oceń kompatybilność Twojego stosu technicznego z protokołami EUDI Wallet (OpenID4VP, ISO 18013-5)
• [ ] Zidentyfikuj interfejsy API do aktualizacji u dostawców podpisu elektronicznego
• [ ] Przewidź testy integracji z dostępnymi portfelami pilotażowymi w 2026
• [ ] Ustanów monitoring aktów wykonawczych Komisji (notyfikacje w Dzienniku Urzędowym UE)

5.3 Dla departamentów biznesowych

Oczekiwane korzyści z dobrze zaplanowanej zgodności są konkretne: zmniejszenie tarcia w przepływach podpisów dzięki wstępnie zweryfikowanej tożsamości EUDI Wallet, przyspieszenie procesów KYC i zmniejszenie kosztów weryfikacji tożsamości. Aby ocenić zwrot z inwestycji przejścia, nasz kalkulator ROI podpisu elektronicznego integruje parametry specyficzne dla zgodności eIDAS 2.

Wreszcie organizacje, które rozważają migrację z innych rozwiązań na platformę natywnie przygotowaną dla eIDAS 2, mogą zapoznać się z naszym przewodnikiem migracji z DocuSign lub YouSign do Certyneo, który szczegółowo opisuje etapy techniczne i umowne przejścia bez przerwania.

Ramy prawne mające zastosowanie do wdrażania eIDAS 2

Teksty założycielskie i hierarchia norm

Wdrażanie rozporządzenia eIDAS 2 wpisuje się w warstwowy korpus prawny, którego opanowanie jest niezbędne dla każdej organizacji podlegającej obowiązkom zgodności.

Rozporządzenie (UE) 2024/1183 Parlamentu Europejskiego i Rady — zwane „eIDAS 2" — stanowi normę odniesienia. Uchyla i zastępuje rozporządzenie (UE) nr 910/2014 (eIDAS 1) w zakresie punktów, które zmienia, zachowując jednocześnie ważność istniejących certyfikacji w okresach przejściowych przewidzianych w artykułach 51 i następnych. Opublikowane w Dzienniku Urzędowym UE seria L 30 kwietnia 2024, weszło w życie 20 maja 2024.

Kodeks cywilny francuski, artykuły 1366 i 1367, uznaje podpis elektroniczny za równoważny podpisowi ręcznego, gdy spełnia warunki identyfikacji sygnatariusza i integralności dokumentu. Przepisy te interpretuje się w świetle prawa europejskiego eIDAS, które ma pierwszeństwo na mocy zasady pierwszeństwa prawa Unii.

Rozporządzenie (UE) 2016/679 (RODO) stosuje się w całości do przetwarzania danych osobowych realizowanego w ramach EUDI Wallet i usług zaufania. Atrybuty tożsamości (dane biograficzne, kwalifikacje, prawo) stanowią dane osobowe w rozumieniu artykułu 4 pkt 1 RODO. Zasada minimalizacji (art. 5 ust. 1 lit. c) jest szczególnie istotna: dostawcy mogą zbierać tylko atrybuty ściśle niezbędne do celu transakcji.

Dyrektywa (UE) 2022/2555 (NIS 2), transponowana na prawo francuskie ustawą nr 2024-449 z 21 maja 2024, klasyfikuje kwalifikowanych dostawców usług zaufania wśród jednostek istotnych podlegających wzmocnionym obowiązkom zarządzania ryzykiem cyber, powiadamiania o incydentach i bezpieczeństwa łańcucha dostaw.

Normy ETSI stanowią harmonizowany punkt odniesienia technicznego eIDAS 2:

• ETSI EN 319 401: ogólne wymagania dla TSP
• ETSI EN 319 411-1/-2: polityki dla TSP wydających certyfikaty kwalifikowane
• ETSI EN 319 132-1: format XAdES (zaawansowane podpisy XML)
• ETSI EN 319 122-1: format CAdES (zaawansowane podpisy CMS)
• ETSI EN 319 162-1: format ASiC (kontenery podpisów)

Ryzyka prawne w przypadku niezgodności

Niezastosowanie się do obowiązków eIDAS 2 naraża organizacje na kilka zagrożeń:

1. Niedopuszczalność podpisów: podpis elektroniczny dokonany przez niezgodny z nowymi wymaganiami TSP może utracić domniemanie ważności prawnej, podważając wartość dowodową podpisanych umów.
2. Sankcje administracyjne: krajowe władze nadzoru (ANSSI we Francji) mogą wydać środki naprawcze, nakazy wprowadzenia w stan zgodności, a nawet wycofać akredytację dla TSP.
3. Odpowiedzialność umowna: przedsiębiorstwa korzystające z niezgodnych narzędzi mogą ponieść odpowiedzialność wobec swoich klientów i partnerów, jeśli spór dotyczy ważności aktu podpisanego elektronicznie.
4. Kumulacja z RODO: niedostateczne zarządzanie atrybutami tożsamości EUDI Wallet może jednocześnie narazić na sankcje CNIL (do 4% rocznego przychodu światowego).

Konkretne scenariusze użycia wobec harmonogramu eIDAS 2

Scenariusz 1 — Kancelaria prawna średniej wielkości zajmująca się aktami transgranicznymi

Kancelaria prawnicza zajmująca się sprawami handlowymi z około piętnastu pracownikami, regularnie zajmująca się operacjami fuzji i przejęć (M&A) z kontrapartami w kilku państwach członkowskich UE (Belgia, Holandia, Hiszpania), korzysta obecnie z rozwiązania podpisu elektronicznego kwalifikowanego dla swoich aktów zbycia udziałów i protokołów poufności. Wraz z wejściem w moc harmonogramu eIDAS 2, kancelaria przewiduje dwie główne ewolucje do końca 2026:

• Uproszczona weryfikacja tożsamości: kontraparty zagraniczne będą mogły przedstawić swoje atrybuty tożsamości poprzez swój krajowy EUDI Wallet, eliminując wymianę kopii paszportów i zduplikowane procedury KYC. Zgodnie z szacunkami z raportów Komisji Europejskiej na temat LSP, zysk czasu na etapie weryfikacji tożsamości szacuje się na 40-60% w zależności od zaangażowanych jurysdykcji.
• Wzmocniona wartość dowodowa: akty podpisane tożsamościami poświadczonymi przez kwalifikowane EUDI Wallets będą korzystać z jeszcze bardziej solidnego domniemania prawnego, zmniejszając ryzyko kwestionowania sądowego w sporach transgranicznych.

Kancelaria planuje migrację na platformę SaaS dysponującą dokumentowaną mapą drogową eIDAS 2 przed T3 2026, czyli około sześć miesięcy przed pierwszymi obowiązkami akceptacji.

Scenariusz 2 — Przedsiębiorstwo przemysłowe SME zarządzające dużą liczbą umów dostawców

Przedsiębiorstwo sektora sprzętu przemysłowego zarządzające około 250 umowami dostawców rocznie, z czego 30% z partnerami europejskimi spoza Francji, napotyka rosnące trudności weryfikacji tożsamości podczas onboardingu nowych dostawców. Obecny proces — żądanie Kbis, kopia dokumentu tożsamości przedstawiciela prawnego, weryfikacja manualna — mobilizuje średnio 2,5 godziny na dossier zgodnie z benchmarkami sektorowymi federacji nabywców.

Wraz z integracją EUDI Wallet w swoim przepływie podpisów do 2027, SME prognozuje:

• Zmniejszenie o 55-70% czasu poświęconego weryfikacji tożsamości dzięki kwalifikowanym zaświadczeniom o atrybutach (numer rejestracji, reprezentacja prawna)
• Zmniejszenie o 80% uzupełnień dokumentacji od dostawców zagranicznych
• Wzmocnioną ochronę przed oszustwami dokumentów, ponieważ atrybuty są kryptograficznie weryfikowalne

SME zidentyfikowała konieczność aktualizacji swoich ogólnych warunków zakupu w celu zintegrowania odniesienia do zaświadczeń eIDAS 2, w połączeniu z jej poradą prawną.

Scenariusz 3 — Grupa szpitalna przewidująca zgodność dla cyfrowych aktów medycznych

Grupa szpitalna z około 900 łóżkami rozłożonymi na trzy oddziały musi zarządzać podpisem elektronicznym wrażliwych dokumentów medycznych: świadomych zgód, recept, raportów operacyjnych i umów z dostawcami opieki zdrowotnej. Francuskie przepisy nakładają podpis kwalifikowany dla niektórych aktów medycznych o dużej wadze prawnej.

W perspektywie harmonogramu eIDAS 2, grupa przewiduje przyjście kwalifikowanych zaświadczeń o atrybutach dla kwalifikacji zawodowych w opiece zdrowotnej (numer RPPS, specjalność, placówka praktyki), które umożliwią:

• Automatyzację weryfikacji jakości sygnatariusza (lekarz, chirurg, farmaceuta) bez weryfikacji ręcznej w zawodowych katalogach
• Zmniejszenie ryzyka błędu atrybutu podpisu podczas zastępstw i dyżurów
• Ułatwienie przenoszenia elektronicznych dokumentów medycznych między placówkami, w ramach europejskiej przestrzeni danych zdrowia (EHDS)

Grupa szacuje, że integracja przepływów EUDI Wallet w swoim szpitalnym systemie informacyjnym (SIH) stanowi projekt na 12-18 miesięcy, uzasadniając rozpoczęcie badań technicznych w T3 2026 w celu uruchomienia produkcji przed obowiązkową akceptacją sektorową.

Podsumowanie

Harmonogram wdrażania rozporządzenia eIDAS 2 w Unii Europejskiej jest teraz jasno nakreślony: akty wykonawcze w trakcie finalizacji w 2026, wdrażanie krajowych EUDI Wallets między połową 2026 a końcem 2026, oraz obowiązki akceptacji dla sektora prywatnego od pierwszego półrocza 2027. Ta mapa drogowa pozostawia konkretne okno działań dla francuskich i europejskich przedsiębiorstw, pod warunkiem podjęcia już teraz analizy zgodności, oceny dostawców i aktualizacji procesów umownych.

Czekanie do 2027, aby wdrożyć zgodność, to ryzyko przejścia w pośpiechu, z towarzyszącymi temu kosztami i zagrożeniami prawnymi. Certyneo, zaprojektowany natywnie dla wymagań eIDAS i aktywnie mapowany w kierunku eIDAS 2, towarzyszyć Ci już dzisiaj w tym przejściu. Zacznij bezpłatnie na Certyneo i zabezpiecz swoje przepływy dokumentów zgodnie z europejskim ramami zaufania cyfrowego.