eIDAS 2 Portfel Tożsamości Cyfrowej: Przewodnik 2026

Wejście w życie rozporządzenia eIDAS 2 stanowi przełomowy moment dla zarządzania tożsamością cyfrową w Europie. Dzięki EUDI Wallet — European Digital Identity Wallet — każdy obywatel i każde przedsiębiorstwo będzie dysponować niezawisnym, interoperacyjnym i uznanym w 27 państwach członkowskich portfelem cyfrowym. Dla działów prawnych, HR, compliance i zespołów IT to przedsięwzięcie regulacyjne otwiera zarówno szanse, jak i wyzwania operacyjne. Ten artykuł objaśnia techniczne i prawne funkcjonowanie EUDI Wallet, jego konkretne implikacje dla przedsiębiorstw i sposób, w jaki artykułuje się z istniejącymi rozwiązaniami kwalifikowanego podpisu elektronicznego.

Czym jest eIDAS 2 i EUDI Wallet?

Od rozporządzenia eIDAS 1.0 do rozporządzenia eIDAS 2.0: ewolucja strukturalna

Przyjęte w 2014 roku, rozporządzenie eIDAS nr 910/2014 położyło fundamenty zaufania cyfrowego w Europie: kwalifikowane podpisy elektroniczne, pieczęcie, znaki czasu i usługi uwierzytelniania. Jednak po dekadzie pojawiły się jego ograniczenia: niewystarczająca interoperacyjność między państwami członkowskimi, nierówna adopcja krajowych tożsamości cyfrowych, brak ujednoliconego portfela. Rozporządzenie (UE) 2024/1183, zwane eIDAS 2, przyjęte oficjalnie 11 kwietnia 2024 r. w Dzienniku Urzędowym UE, naprawia te luki, narzucając wspólne ramy suwerennej tożsamości cyfrowej.

Aby pogłębić wiedzę na temat całego nowego ramy regulacyjnej, zapoznaj się z naszym kompleksowym przewodnikiem na temat rozporządzenia eIDAS 2.0.

EUDI Wallet: architektura i zasady założycielskie

EUDI Wallet (European Digital Identity Wallet) to aplikacja mobilna i/lub programowa, którą każde państwo członkowskie będzie musiało udostępnić swoim obywatelom i mieszkańcom najpóźniej w 2026 roku, zgodnie z artykułem 5a zmienionego rozporządzenia. W praktyce portfel cyfrowy umożliwia:

• Przechowywanie i prezentowanie zweryfikowanych atrybutów tożsamości: dowód tożsamości, prawo jazdy, dyplomy, akredytacje zawodowe, numer VAT dla osób prawnych.
• Uwierzytelnianie użytkownika wobec usług publicznych i prywatnych na wysokim poziomie pewności (LoA High zgodnie z załącznikiem I rozporządzenia).
• Elektroniczne podpisywanie dokumentów z poziomem kwalifikowanym, opierając się na certyfikowanych Qualified Electronic Signature Creation Devices (QSCD).
• Selektywne udostępnianie danych (zasada selective disclosure) bez ujawniania więcej informacji niż niezbędne — znaczący wkład w zgodność z RODO.

Architektura opiera się na specyfikacjach technicznych opublikowanych przez Komisję Europejską za pośrednictwem Architecture and Reference Framework (ARF), utrzymywane przez konsorcjum EUDIW (European Digital Identity Wallet). Przyjęte formaty prezentacji obejmują między innymi ISO/IEC 18013-5 (mDL — mobilny prawo jazdy) i SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), dwa otwarte standardy gwarantujące przenośność.

Kto jest zainteresowany? Przedsiębiorstwa jako strony polegające (Relying Parties)

Rozporządzenie eIDAS 2 wprowadza koncepcję Relying Party (strona polegająca). Każda organizacja — prywatne przedsiębiorstwo, administracja, platforma internetowa — która przyjmuje atrybuty tożsamości pochodzące z EUDI Wallet musi zarejestrować się u swojego państwa członkowskiego i przestrzegać zestawu zobowiązań technicznych i bezpieczeństwa. Artykuł 5b rozporządzenia precyzuje, że duże platformy (w sensie DSA) i niektóre sektory (bankowość, opieka zdrowotna, energia) będą zobowiązane akceptować EUDI Wallet od wejścia w produkcję krajową.

Funkcjonowanie techniczne EUDI Wallet dla przedsiębiorstw

Przepływ uwierzytelniania i podpisywania krok po kroku

Zrozumienie przepływu technicznego jest niezbędne do przewidzenia integracji w systemach informatycznych. Typowy scenariusz podpisania umowy za pośrednictwem EUDI Wallet przebiega w następujący sposób:

1. Inicjalizacja: Relying Party (np. Twoja platforma SaaS) generuje żądanie prezentacji zgodne z protokołem OpenID4VP (OpenID for Verifiable Presentations).
2. Powiadomienie: użytkownik otrzymuje powiadomienie na swoim mobilnym EUDI Wallet.
3. Zgoda i wybór: użytkownik wybiera atrybuty do udostępnienia (imię, nazwisko, datę urodzenia) za pośrednictwem interfejsu selective disclosure.
4. Prezentacja weryfikowalna: portfel generuje dowód kryptograficzny podpisany przez Trusted Issuer (państwo członkowskie lub akredytowanego dostawcę).
5. Weryfikacja: Relying Party weryfikuje dowód za pośrednictwem europejskiego rejestru zaufania (Trust Framework), bez przechowywania zbędnych danych.
6. Kwalifikowany podpis: jeśli wymagany jest akt podpisania, QSCD wbudowany w portfel lub hostowany w chmurze (QSign) tworzy kwalifikowany podpis zgodnie z ETSI EN 319 132.

Ten przepływ gwarantuje poziom pewności LoA High, najwyższy przewidziany przez rozporządzenie, równoważny weryfikacji twarzą w twarz.

Integracja z istniejącymi platformami podpisu elektronicznego

Edytorzy rozwiązań podpisu elektronicznego muszą zintegrować protokoły OpenID4VCI (emisja) i OpenID4VP (prezentacja), aby połączyć się z ekosystemem EUDI. Dla przedsiębiorstw już używających platformy zgodnej z eIDAS 1.0, przejście do eIDAS 2 wiąże się ze wzrostem wersji technicznej, ale zachowuje wartość prawną już utworzonych podpisów. Dlatego strategiczne jest ocenić plan rozwojowy Twojego obecnego dostawcy, szczególnie jeśli rozważasz migrację z DocuSign lub YouSign do bardziej zgodnego rozwiązania.

Tożsamość cyfrowa osób prawnych: wyzwanie dla przedsiębiorstw

EIDAS 2 nie ogranicza się do osób fizycznych. Artykuł 5a §3 wyraźnie przewiduje portfele dla osób prawnych, umożliwiające przedsiębiorstwom:

• Udowodnienie swojego istnienia prawnego (równoważne cyfrowemu sprawozdawczemu wyciągowi z rejestru).
• Delegowanie uprawnień do podpisywania swojego pracownikom w sposób poddawany audytowi i odwołalny.
• Automatyzowanie weryfikacji KYB (Know Your Business) w procesach kontraktowych B2B.

Ten wymiar jest szczególnie transformacyjny dla procesów podpisu elektronicznego w przedsiębiorstwie, szczególnie w sektorach HR, prawnym i finansowym.

Harmonogram wdrożenia i zobowiązania regulacyjne 2024-2026

Etapy wdrażania zgodnie z rozporządzeniem

Rozporządzenie (UE) 2024/1183 ustala wiążący harmonogram:

• Kwiecień 2024: publikacja w Dzienniku Urzędowym, wejście w życie 20 dni później.
• Koniec 2024: publikacja aktów wykonawczych (Implementing Acts) definiujących obowiązkowe specyfikacje techniczne.
• 2025: wdrożenie krajowych portfeli pilotażowych (projekty wielkoskalowych pilotów: EU Digital Identity Wallet Large Scale Pilots, finansowane przez Komisję w wysokości 46 milionów euro).
• Koniec 2026: obowiązkowe udostępnienie przez wszystkie państwa członkowskie przynajmniej jednego operacyjnego EUDI Wallet. Duże platformy i sektory regulowane będą je musiały akceptować.

Dla przedsiębiorstw francuskich wdrożenie opiera się na tożsamości cyfrowej La Poste i pracach ANSSI dotyczących certyfikacji krajowych Trusted Issuers.

Zobowiązania dla Relying Parties

Przedsiębiorstwa, które chcą lub muszą zaakceptować EUDI Wallet, podlegają kilku zobowiązaniom:

1. Rejestracja u krajowej właściwej władzy (we Francji: ANSSI i CNIL w zależności od przypadku).
2. Zgodność techniczna ze specyfikacjami ARF v2.x opublikowanymi na GitHub przez Komisję Europejską.
3. Przejrzystość: opublikowanie w rejestru publicznym atrybutów żądanych i celu przetwarzania.
4. Minimalizacja danych: żądanie tylko atrybutów ściśle niezbędnych — zobowiązanie wzmocnione przez RODO.
5. Rejestracja: przechowywanie logów prezentacji weryfikowalnych do audytu, bez przechowywania surowych danych tożsamości.

Przedsiębiorstwa integrujące EUDI Wallet w swoich przepływach podpisu elektronicznego dla biur prawnych lub zarządzania HR będą dysponować znaczącą przewagą konkurencyjną od 2026 roku.

Kwestie strategiczne i szanse dla przedsiębiorstw

Zmniejszenie tarcia w procesach KYC/KYB

Jedną z najbardziej bezpośrednich korzyści EUDI Wallet jest eliminacja ręcznej weryfikacji tożsamości. Współcześnie onboarding nowego klienta lub partnera wiąże się z wysyłaniem dokumentów uzasadniających, weryfikacją człowieka i czasami opóźnienia w przetwarzaniu. Dzięki EUDI Wallet weryfikacja staje się natychmiastowa, kryptograficznie certyfikowana i poddawana audytowi. Sektory bankowy, nieruchomości i ubezpieczeń — podlegające zobowiązaniom AML/CFT — widzą w tym główną szansę na zautomatyzowaną zgodność. Sektor podpisu elektronicznego w nieruchomościach jest szczególnie wpłynięty, z procesami weryfikacji tożsamości stanowiącymi dziś do 40% czasu administracyjnego.

Suwerenność cyfrowa i zmniejszenie zależności od GAFAM

EUDI Wallet odpowiada na silną ambicję polityczną: zmniejszenie zależności Europejczyków od systemów tożsamości operowanych przez aktorów spoza Europy (Google, Apple, Meta). Dla przedsiębiorstw oznacza to infrastrukturę uwierzytelniania interoperacyjną, otwartą i nie wychwyconą, opartą na standardach ISO i W3C zamiast na zastrzeżonych SDK. Ta suwerenność jest również argumentem handlowym do różnicowania się w zamówieniach publicznych, coraz bardziej czułych na klauzule lokalizacji danych.

Wpływ na kwalifikowany podpis elektroniczny i QTSP

Kwalifikowani Dostawcy Usług Zaufania (QTSP — Qualified Trust Service Providers) widzą ewolucję swojej roli. Dzięki EUDI Wallet QSCD mogą być hostowane bezpośrednio w portfelu lub delegowane QTSP w chmurze (Remote Qualified Signature). Dla przedsiębiorstw oznacza to, że podpis kwalifikowany — dotychczas zarezerwowany dla najbardziej krytycznych przypadków ze względu na złożoność — staje się dostępny i skalowalny. Nasz porównanie rozwiązań podpisu elektronicznego teraz integruje to kryterium zgodności EUDI Wallet w swojej analizie.

Ramy prawne mające zastosowanie do EUDI Wallet i przedsiębiorstw

Rozporządzenie eIDAS 2: (UE) 2024/1183

Tekst założycielski to rozporządzenie (UE) 2024/1183 Parlamentu Europejskiego i Rady z 11 kwietnia 2024 r., zmieniające rozporządzenie eIDAS nr 910/2014. Jest bezpośrednio stosowalne we wszystkich państwach członkowskich bez krajowej transpozycji legislacyjnej, co gwarantuje jednorodność prawną w Europie. Artykuły 5a do 5c definiują zobowiązania dotyczące EUDI Wallet, poziomy pewności i prawa użytkowników. Artykuł 46f wprowadza zobowiązania dla Relying Parties w sektorach regulowanych.

Kodeks cywilny francuski: artykuły 1366 i 1367

W prawie francuskim, kwalifikowany podpis elektroniczny wytworzony za pośrednictwem EUDI Wallet korzysta z domniemania niezawodności przewidzianego przez artykuł 1367 Kodeksu cywilnego: « Podpis elektroniczny polega na użyciu niezawodnego procesu identyfikacji gwarantującego jego związek z aktem, do którego się przyłącza. » Niezawodność jest domniemana, gdy podpis jest kwalifikowany w sensie eIDAS. Artykuł 1366 zrównuje dokument elektroniczny z dokumentem papierowym pod warunkiem, że jego autor jest zidentyfikowany, a integralność jest gwarantowana — dwa warunki, które EUDI Wallet spełnia natywnie.

RODO nr 2016/679: artykułacja z minimalizacją danych

Rozporządzenie (UE) 2016/679 (RODO) stosuje się w pełni do Relying Parties przetwarzających atrybuty tożsamości pochodzące z EUDI Wallet. Zasady minimalizacji danych (art. 5 §1c), ograniczenia celu (art. 5 §1b) i privacy by design (art. 25) muszą być zintegrowane od samego początku projektowania integracji technicznej. Natywne selective disclosure EUDI Wallet technologicznie ułatwia zgodność, ale przedsiębiorstwo pozostaje odpowiedzialne (art. 24) za udokumentowanie swoich podstaw prawnych przetwarzania.

Normy ETSI i standardy techniczne

Podpis kwalifikowany wytworzony za pośrednictwem EUDI Wallet musi respektować normy ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) i ETSI EN 319 162 (PAdES) dla formatów zaawansowanego i kwalifikowanego podpisu elektronicznego. Polityki certyfikacji zdefiniowano w ETSI EN 319 401 (Ogólne Wymagania Polityki dla Dostawców Usług Zaufania). Akty wykonawcze Komisji precyzują wymagania certyfikacji Trusted Issuers (norma ISO/IEC 27001 i kryteria Common Criteria EAL 4+).

Dyrektywa NIS2: (UE) 2022/2555

Operatorzy infrastruktury EUDI Wallet (państwa członkowskie, Trusted Issuers, QTSP) podlegają zobowiązaniom dyrektywy NIS2 (UE) 2022/2555, transponowanej we Francji przez ustawę nr 2023-703. Dla przedsiębiorstw użytkowników NIS2 narzuca zobowiązania w zakresie zarządzania ryzykami związanymi z dostawcami trzecimi (art. 21 §2d), co obejmuje dostawców rozwiązań integrujących EUDI Wallet. Rekomenduje się przeprowadzenie analizy wpływu ryzyk łańcucha dostaw cyfrowych przed każdym wdrożeniem.

Scenariusze użycia EUDI Wallet w przedsiębiorstwie

Scenariusz 1: Kancelaria prawna — weryfikacja tożsamości i podpisanie pełnomocnictw

Kancelaria prawna zajmująca się sprawami gospodarczo-majątkowego złożona z dwudziestu pracowników obsługuje miesięcznie kilkaset pełnomocnictw, listów intencyjnych i pełnomocnictw. Dzisiaj weryfikacja tożsamości klientów wymaga wysłania dokumentów uzasadniających przez email, ręcznej weryfikacji przez asystentkę prawną i średniego opóźnienia wynoszącego 48 godzin. Dzięki integracji EUDI Wallet jako mechanizmu uwierzytelniania, klient prezentuje swoją cyfrową kartę tożsamości ze swojego portfela w mniej niż 90 sekund. Kwalifikowany podpis jest wytworzony bez dodatkowych trudności. Zgodnie z obserwacjami uzyskanymi z pilotów wielkoskalowych przeprowadzanych między 2023 a 2025 rokiem, ten typ przepływu zmniejsza czas przetwarzania onboardingu klienta o 60 do 75% i eliminuje ryzyko błędów pisowni lub wygasłych dokumentów. Kancelaria zyskuje również w zgodności AML/CFT, ponieważ atrybuty tożsamości są kryptograficznie certyfikowane przez państwo członkowskie.

Scenariusz 2: Mała i średnia przedsiębiorstwo produkcyjne — zarządzanie umowami z dostawcami i delegacją podpisów

Mała i średnia przedsiębiorstwo produkcyjne zatrudniające około sto pracowników zarządza około 300 umowami dostawców rocznie, angażując kierowników zakupów rozproszonych na trzech miejscach. Zarządzanie delegacją podpisów jest dzisiaj udokumentowane na papierze i trudne do audytu. Dzięki EUDI Wallet przedsiębiorstwa (osoba prawna), kierownictwo może przypisać każdemu kierownikowi zakupów weryfikowalne atrybuty delegacji: limit zobowiązań, zakres geograficzny, okres ważności. Te atrybuty są przechowywane w portfelu pracownika i automatycznie prezentowane przy każdym akcie podpisania. W przypadku odejścia lub zmiany stanowiska, unieważnienie jest natychmiastowe i podlegające audytowi. Ten mechanizm zmniejsza ryzyko sporów umownych wynikających z nieupełnomocnionych podpisów i poprawia śledzalność do audytów wewnętrznych. Kierownictwa finansowe zazwyczaj obserwują zmniejszenie 30 do 40% czasu poświęconego na zarządzanie i weryfikację uprawnień do podpisywania.

Scenariusz 3: Szpital — zgoda pacjenta i dostęp do danych zdrowotnych

Szpitalny zespół medyczny obejmujący kilka placówek i około 1500 pracowników opieki zdrowotnej stoi przed coraz bardziej złożonymi wyzwaniami zgody pacjenta, szczególnie dla dostępu do udostępnionych dokumentacji medycznych za pośrednictwem Mon Espace Santé. Integracja EUDI Wallet jako mechanizmu świadomej zgody umożliwia pacjentowi zatwierdzanie, ze swojego smartfonu, dostępu do swoich danych przez specjalistę, precyzując czas trwania i zakres dostępu. Selective disclosure gwarantuje, że tylko odpowiednie atrybuty medyczne są udostępniane. Dla pracowników opieki zdrowotnej portfel dostarcza ich numer RPPS (Udostępniony Rejestr Specjalistów Opieki Zdrowotnej) jako atrybutu weryfikowalnego, eliminując obecne procesy ręcznej weryfikacji. Ten typ wdrożenia, spójny z ramami Europejskiej Przestrzeni Danych Zdrowotnych (EHDS), może zmniejszyć opóźnienia dostępu do autoryzowanych danych zdrowotnych z wielu godzin na zaledwie kilka sekund. Aby wiedzieć więcej o specyficznych wyzwaniach tego sektora, nasz przewodnik na temat podpisu elektronicznego w opiece zdrowotnej szczegółowo opisuje zastosowalne ograniczenia regulacyjne.

Podsumowanie

EUDI Wallet i rozporządzenie eIDAS 2 stanowią najbardziej znaczącą transformację europejskiej tożsamości cyfrowej od dekady. Dla przedsiębiorstw stawka nie jest jedynie zgodą na nową regulację, ale wykorzystaniem szansy do gruntownej modernizacji procesów podpisywania, onboardingu i zarządzania delegacjami. Sektory prawniczy, HR, opieki zdrowotnej i przemysłowy są w pierwszej linii. Klucz do sukcesu leży w przewidywaniu: oceń już teraz zgodność Twoich obecnych narzędzi, przeszkolaj swoje zespoły i wybierz partnerów, których plan rozwojowy jest wyrównany z eIDAS 2.

Certyneo wspiera przedsiębiorstwa w tej transformacji dzięki platformie podpisu elektronicznego zaprojektowanej z myślą o zgodności EUDI Wallet już od jej wdrożenia. Odkryj nasze oferty i zacznij bezpłatnie aby antycypować 2026 rok ze spokojem.