eIDAS 2: nowe rozporządzenie europejskie wyjaśnione w 2026 roku

Wprowadzenie: dlaczego eIDAS 2 zmienia wszystko dla europejskich przedsiębiorstw

Wkroczył w życie 20 maja 2024 roku po długim procesie legislacyjnym, rozporządzenie eIDAS 2 — oficjalnie nazwane Rozporządzeniem (UE) 2024/1183 — reprezentuje najambitniejszą reformę kiedykolwiek podjętą w dziedzinie identyfikacji elektronicznej i usług zaufania w Europie. Uchyla i częściowo zastępuje pierwotne rozporządzenie eIDAS z 2014 roku (nr 910/2014), jednocześnie utrzymując kompatybilność wsteczną z istniejącą infrastrukturą. Dla przedsiębiorstw korzystających z podpisu elektronicznego zgodnego z eIDAS, ta przebudowa wprowadza nowe obowiązki, bezprecedensowe możliwości i ścisły harmonogram zgodności do 2026 roku i poza. Artykuł ten szczegółowo wyjaśnia kluczowe przepisy tekstu, ich implikacje operacyjne i sposób, w jaki Twoja organizacja może się do nich przygotować.

---

Co rozporządzenie eIDAS 2 zasadniczo zmienia

Od rozporządzenia z 2014 roku do wersji 2024: zmiana strukturalna

Pierwotne rozporządzenie eIDAS z 2014 roku położyło podwaliny pod wzajemne uznawanie schematów identyfikacji elektronicznej między państwami członkowskimi i ustanowiło ujednolicone ramy prawne dla usług zaufania (podpis, pieczęć, sygnatura czasowa itp.). Ale dziesięć lat później, ograniczenia były uderz ące: niska stopa przyjęcia powiadomionego eID, fragmentacja rozwiązań krajowych, brak uniwersalnego portfela cyfrowego dla obywateli, a przede wszystkim niedostosowanie do sposobów użytkowania sieci (GAFAM wyłączeni z ram zaufania).

eIDAS 2 naprawia te braki na trzech głównych osiach:

1. Europejski portfel tożsamości cyfrowej (EUDI Wallet) — każde państwo członkowskie musi udostępnić, najpóźniej w listopadzie 2026 roku, aplikację portfela cyfrowego umożliwiającą każdemu obywatelowi lub rezydentowi Unii Europejskiej bezpieczne przechowywanie i prezentowanie swoich atrybutów tożsamości (dowód osobisty, prawo jazdy, dyplomy itp.).
2. Rozszerzenie usług zaufania kwalifikowanego — tekst dodaje nowe usługi kwalifikowane: zarządzanie archiwizacją elektroniczną (QESAP), raporty atrybutów tożsamości kwalifikowane (QEAA), kwalifikowane księgi elektroniczne (QLED) oraz zarządzanie urządzeniami do tworzenia podpisu zdalnego (QRCD).
3. Obowiązek dla dużych platform — dostawcy usług online dużej skali (sieci społeczne, platformy handlowe) będą musieli zaakceptować portfel EUDI do uwierzytelniania użytkowników.

Portfel EUDI Wallet: architektura i funkcjonowanie

Portfel EUDI jest sercem eIDAS 2. Konkretnie, jest to aplikacja oprogramowania — dostarczona lub certyfikowana przez każde państwo członkowskie — opierająca się na zdecentralizowanym modelu selektywnej prezentacji atrybutów. Użytkownik przesyła wyłącznie dane ściśle niezbędne do transakcji (zasada minimalizacji, zgodna z RODO).

Z technicznego punktu widzenia architektura opiera się na specyfikacjach Architecture Reference Framework (ARF), opublikowanego przez Komisję Europejską i regularnie aktualizowanego przez Large Scale Pilot (LSP), który skupia cztery konsorcja pilotażowe (DC4EU, EWC, POTENTIAL, NOBID). Wybrane formaty danych to głównie ISO/IEC 18013-5 (mDL/mDocs) i W3C Verifiable Credentials, gwarantujące międzygraniczną interoperacyjność.

Dla przedsiębiorstw oznacza to, że będą mogły w przyszłości weryfikować tożsamość swoich klientów lub partnerów za pośrednictwem portfela bez zarządzania samodzielnie zbieraniem dokumentów uzupełniających — znacznie zmniejszając tarcia w procesach KYC (Know Your Customer) i ryzyka oszustw dokumentowych.

---

Poziomy gwarancji i hierarchia podpisów: co się zmienia

Utrzymanie hierarchii QES / AdES / SES

System podpisów elektronicznych pozostaje strukturyzowany wokół trzech poziomów zdefiniowanych w artykule 3 eIDAS 2 (powtarzając terminologię z 2014 roku, ale wyjaśniając wymagania techniczne):

• Podpis elektroniczny prosty (SES): minimalna wartość dowodowa, dostosowana do aktów zwyczajnych.
• Podpis elektroniczny zaawansowany (AdES): wyłączny związek z podpisującym, możliwość wykrycia wszelkich zmian dokonanych później.
• Podpis elektroniczny kwalifikowany (QES): równoważny prawnie podpisowi odręcznemu w całej UE (artykuł 25§2), wystawiony za pośrednictwem kwalifikowanego urządzenia do tworzenia podpisu (QSCD) na podstawie certyfikatu kwalifikowanego.

Nowością jest sposób, w jaki QES może być obecnie dostarczana za pośrednictwem kwalifikowanych usług podpisu zdalnego (QRCD), których warunki dopuszczenia są wyjaśnione w artykułach 29a i 29b zmienionego tekstu. Otwiera to drogę do 100% cyfrowych przepływów dla najbardziej wymagających aktów — umowy notarialne, akty autentyczne elektroniczne — bez konieczności posiadania fizycznej karty chipowej.

Wpływ na dostawców kwalifikowanych usług zaufania (QTSP)

Dostawcy tacy jak Certyneo, operujący w oparciu o certyfikowanych QTSP, muszą przygotować się na nowe wymagania audytu wprowadzone przez eIDAS 2. Artykuł 24 nakłada teraz wzmocnioną kontrolę nad łańcuchem podwykonawstwa, a wymagania dotyczące zgłaszania incydentów bezpieczeństwa są wyraźnie wyrównane z wymogami dyrektywy NIS2 (okres 24 godzin na zgłoszenie początkowe). Aby dogłębnie zrozumieć funkcjonowanie różnych poziomów podpisu w kontekście B2B, zapoznaj się z naszym kompleksowym przewodnikiem po podpisach elektronicznych w przedsiębiorstwie.

---

Harmonogram wdrażania i obowiązki przedsiębiorstw w latach 2025-2026

Kluczowe etapy wdrażania

Rozporządzenie (UE) 2024/1183 zostało opublikowane w Dzienniku Urzędowym UE 30 kwietnia 2024 r. i weszło w życie 20 maja 2024 r. Akty wykonawcze i delegowane — niezbędne do sprecyzowania wymagań technicznych — są publikowane stopniowo:

| Termin | Obowiązek | |---|---| | Maj 2024 | Wejście w życie rozporządzenia | | Koniec 2024 | Publikacja aktów wykonawczych na ARF v2.0 | | Połowa 2025 | Certyfikacja pierwszych portfeli EUDI pilotażowych | | Listopad 2026 | Obowiązkowa dostępność portfela EUDI w każdym państwie członkowskim | | 2027 | Obowiązkowa akceptacja przez duże platformy online |

Co przedsiębiorstwa B2B powinny robić od razu

Dla przedsiębiorstw korzystających z rozwiązań do podpisów elektronicznych, trzy priorytety narzucają się w 2025-2026:

1. Audyt łańcucha zaufania: sprawdzić, czy dostawca podpisów figuruje rzeczywiście na liście QTSP (Trusted List) ich państwa członkowskiego, oraz że używane certyfikaty spełniają nowe specyfikacje ETSI EN 319 401 i EN 319 411-1 w zmienionej postaci.

2. Anticipation integracji portfela EUDI: przedsiębiorstwa operujące w sektorach regulowanych (bankowość, ubezpieczenia, opieka zdrowotna, nieruchomości) będą wśród pierwszych dotkniętych przepływami weryfikacji tożsamości za pośrednictwem portfela. Przygotowywanie API integracyjnych od 2025 roku jest zalecane.

3. Przegląd polityk przechowywania: nowa kwalifikowana usługa archiwizacji elektronicznej (QESAP) wprowadza standardy długoterminowej konserwacji, które mogą być obowiązkowe w niektórych sektorach (zamówienia publiczne, sektor farmaceutyczny). Nasz kalkulator ROI dla podpisów elektronicznych pozwala ocenić wpływ finansowy modernizacji infrastruktury dokumentacyjnej.

---

Interoperacyjność, RODO i kwestie suwerenności cyfrowej

eIDAS 2 i RODO: wzmocniona komplementarność

Jednym z głównych postępów eIDAS 2 jest wyraźna integracja zasad ochrony danych od początku (privacy by design) w architekturze portfela EUDI. Artykuł 5a§14 stanowi, że portfel nie pozwala dostawcom na śledzenie zachowania użytkownika podczas transakcji. Emitenci atrybutów tożsamości kwalifikowanej (QEAA) nie są informowani o sposobie użytkowania wydanych zaświadczeń — co stanowi przełom w stosunku do obecnych modeli scentralizowanych.

Ta architektura jest określana jako unlinkability (nie-korelowalność): dwie odrębne transakcje tego samego użytkownika nie mogą być połączone bez jego zgody. Ta gwarancja przekracza minimalne wymogi RODO, jednocześnie doskonale się z nim artykułując.

Wymiar geopolityczny: odzyskanie kontroli nad tożsamością online

eIDAS 2 odpowiada również na zagadnienie suwerenności. Dziś uwierzytelnianie online w dużej mierze opiera się na przyciskach „Zaloguj się przez Google/Facebook/Apple", co daje gigantom technologicznym amerykańskim dominującą pozycję w zarządzaniu tożsamościami cyfrowymi europejczyków. Poprzez narzucenie bardzo dużym platformom (w znaczeniu Digital Services Act) akceptacji portfela EUDI jako środka uwierzytelniania, eIDAS 2 tworzy alternatywę interoperacyjną i suwerenną.

Dla przedsiębiorstw B2B oznacza to również, że zgodność z eIDAS 2 może stać się kryteria wyboru dostawcy w przetargach publicznych i prywatnych — podobnie jak jest dziś certyfikacja ISO 27001 w procesach zakupowych. Jeśli Twoja organizacja rozważa modernizację obecnego rozwiązania, nasz przewodnik migracji z DocuSign lub YouSign na Certyneo szczegółowo opisuje etapy kontrolowanego przejścia.

Ramy prawne mające zastosowanie do eIDAS 2 i podpisów elektronicznych

Teksty odniesienia

Rozporządzenie (UE) 2024/1183 Parlamentu Europejskiego i Rady z 11 kwietnia 2024 r., zmieniające rozporządzenie (UE) nr 910/2014 w sprawie ustanowienia europejskiego ramy dotyczącej tożsamości cyfrowej (eIDAS 2). Opublikowane w DZUE 30 kwietnia 2024 r., weszło w życie 20 maja 2024 r.

Rozporządzenie (UE) nr 910/2014 (eIDAS 1): utrzymane w mocy dla jego przepisów niemienionej, w szczególności artykułów dotyczących poziomów gwarancji „niski", „znaczny" i „wysoki" dla powiadomionego schematu identyfikacji.

Kodeks cywilny francuski, artykuły 1366 i 1367: dokument elektroniczny ma taką samą moc dowodową jak dokument papierowy pod warunkiem, że osoba, od której pochodzi, jest należycie zidentyfikowana, oraz że dokument został sporządzony w warunkach gwarantujących jego integralność. Podpis elektroniczny kwalifikowany (QES) w rozumieniu eIDAS 2 spełnia te wymogi ipso facto.

Rozporządzenie (UE) 2016/679 (RODO): przetwarzanie danych tożsamości w ramach portfela EUDI podlega zasadom minimalizacji (art. 5§1c), ograniczenia celu (art. 5§1b) i ochrony danych od projektowania (art. 25). Dostawcy usług kwalifikowani działają jako odrębni administratorzy danych dla operacji weryfikacyjnych.

Dyrektywa (UE) 2022/2555 (NIS2): transponowana do prawa francuskiego przez rozporządzenie nr 2024-528 z 12 czerwca 2024 r., nakłada na dostawców usług zaufania kwalifikowani obowiązki zarządzania ryzykiem cyber i zgłaszania incydentów w ciągu 24 godzin.

Normy ETSI:

• EN 319 132 (XAdES) i EN 319 122 (CAdES): zaawansowane formaty podpisu elektronicznego.
• EN 319 401: ogólne wymagania dla dostawców usług zaufania.
• EN 319 411-1 i 411-2: polityka i wymagania bezpieczeństwa dla CA wydających certyfikaty kwalifikowane.
• EN 319 521: wymagania dla kwalifikowanych usług konserwacji podpisów (QESAP).

Obowiązki i ryzyka prawne dla przedsiębiorstw

Każde przedsiębiorstwo używające podpisów elektronicznych w kontekście umownym musi upewnić się, że wybrany poziom podpisu jest dostosowany do wartości i charakteru aktu. Dla aktów podlegających wymogowi prawnemu podpisu (obietnice sprzedaży, umowy pracy, zamówienia przekraczające określone progi), tylko QES lub AdES oparta na certyfikacie kwalifikowanym zapewnia domniemanie rzetelności określone w artykule 26 eIDAS 2.

W przypadku sporu, ciężar dowodu ulega odwróceniu: jeśli podpis jest kwalifikowany, to na stronie kwestionującej dokument spoczywa ciężar wykazania jego zmiany; jeśli jest prosty lub zaawansowany bez certyfikatu kwalifikowanego, ciężar dowodu spoczywa na podpisującym, który go powołuje. Niezastosowanie się do wymagań dotyczących śledzenia i integralności może prowadzić do unieważnienia aktu lub nieważności podpisu wobec trzeciej strony.

Scenariusze użytkowania: eIDAS 2 w praktyce przedsiębiorstw B2B

Scenariusz 1 — Kancelaria konsultingowa ds. transformacji cyfrowej (około 80 konsultantów)

Struktura konsultingowa rozmieszczająca swoich pracowników u klientów w kilku państwach członkowskich (Francja, Niemcy, Niderlandy) musi co miesiąc podpisywać zlecenia, aneksy umowne i protokoły odbioru. Przed eIDAS 2, zarządzanie tożsamościami międzynarodowymi wywoływało tarcia: odmowa niektórych klientów niemieckich uznawania certyfikatów wydanych przez QTSP francuski, podwójna autentykacja e-mailowa niewystarczająca dla aktów wrażliwych.

W przypadku wdrożenia portfela EUDI w 2026 roku, konsultanci będą mogli podpisywać ze swoich portfeli krajowych — uznawanych ipso facto we wszystkich państwach członkowskich — bez żadnych problemów. Kancelaria szacuje zmniejszenie o 60-70% czasu poświęcanego na wymianę weryfikacyjną przed podpisaniem, czyli około 3-4 godzin oszczędzonych na konsultanta miesięcznie zgodnie z benchmarkami sektorowymi opublikowanymi przez McKinsey Digital (2024).

Scenariusz 2 — Mała i średnia przedsiębiorstwo przemysłowe zarządzające 350 umowami dostawców rocznie

Mały i średni producent urządzeń przemysłowych pracujący ze stuem dostawców europejskich i azjatyckich musi zawierać umowy dotyczące zamówień, umowy poufności (NDA) i umowy ramowe. Do tej pory 30% tych dokumentów wracało bez prawidłowego podpisu lub z opóźnieniami przekraczającymi 10 dni roboczych.

Przyjmując rozwiązanie do podpisów elektronicznych zgodne z eIDAS 2 z weryfikacją tożsamości za pośrednictwem atrybutów kwalifikowanych (QEAA), mały i średni przedsiębiorca może narzucić przepływ podpisów, w którym tożsamość pełnomocnika dostawcy jest automatycznie weryfikowana za pośrednictwem portfela EUDI, bez ręcznego wprowadzania danych. Spodziewany wynik: zmniejszenie średniego czasu podpisania z 10 dni do poniżej 48 godzin i zmniejszenie o 40% sporów związanych z podpisami niezgodnymi, w oparciu o zakresy obserwowane w raportach ELENIUS 2025 dotyczących dematerializacji B2B.

Scenariusz 3 — Grupa nieruchomościowa zarządzająca umowami sprzedaży w kilku krajach

Sieć biur nieruchomościowych operujących we Francji, Hiszpanii i Portugalii musi regularnie podpisywać wstępne umowy między sprzedającymi i kupującymi różnych narodowości. QES jest wymagana w niektórych kontekstach w celu zagwarantowania równoważności podpisem odręcznym przed notariuszem.

Dzięki eIDAS 2 i interoperacyjności portfeli EUDI, kupujący portugalski może podpisać umowę sprzedaży podlegającą prawu francuskiemu, używając swojego portfela krajowego, z poziomem gwarancji „wysoki" automatycznie rozpoznawanym przez platformę podpisów. Grupa zmniejsza swoje koszty podróży i legalizacji o około 800 do 1200 euro za sprawę transgraniczną, jednocześnie skracając czas zawarcia wstępnych umów z 3 tygodni do średnio 5 dni. W przypadku specjalnych zastosowań sektora, nasza strona poświęcona podpisom elektronicznym w nieruchomościach szczegółowo opisuje dostosowane przepływy pracy.

Podsumowanie

eIDAS 2 to nie tylko zwykła aktualizacja normatywna: to głęboka przebudowa sposobu, w jaki tożsamość cyfrowa i zaufanie elektroniczne funkcjonują w Europie. Portfel EUDI Wallet, nowe usługi kwalifikowane, obowiązek interoperacyjności i wyrównanie z NIS2 i RODO tworzą spójny ekosystem, który będzie transformować procesy umowne i uwierzytelniania przedsiębiorstw do końca 2026 roku.

Aby pozostać zgodnymi i konkurencyjnymi, organizacje B2B muszą działać teraz: audytować swój łańcuch zaufania, wybrać dostawcę wyrównanego z nowymi wymogami i przygotować przepływy dokumentacyjne do integracji europejskiego portfela cyfrowego.

Certyneo towarzyszy Ci w tej transformacji dzięki rozwiązaniom do podpisów elektronicznych kwalifikowanych zgodnym z eIDAS 2, gotowym na 2026 rok. Poproś o demonstrację lub utwórz swoje konto w Certyneo, aby zabezpieczyć swoje umowy już dzisiaj.