eIDAS 2 vs eIDAS 1: kluczowe zmiany dla MŚP

Wprowadzenie: dlaczego eIDAS 2 zmienia grę dla MŚP

Od 20 maja 2024 r. rozporządzenie (UE) 2024/1183 — powszechnie zwane eIDAS 2 — weszło w życie, uchylając i stopniowo zastępując rozporządzenie (UE) nr 910/2014 (eIDAS 1). Dla francuskich MŚP ta zmiana nie jest zwykłą aktualizacją administracyjną: przedefiniuje ona poziomy zaufania cyfrowego, wprowadza europejski portfel tożsamości (EUDIW), wzmacnia wymogi dla dostawców usług zaufania i rozszerza katalog usług uznawanych. Niniejszy artykuł porównuje punkt po punkcie eIDAS 1 i eIDAS 2, identyfikuje konkretne skutki operacyjne dla małych i średnich przedsiębiorstw oraz daje Ci plan działania, aby pozostać zgodnym z przepisami do 2026 roku.

---

1. Przypomnienie: na czym polegało eIDAS 1 (2014-2024)

1.1 Fundament rozporządzenia początkowego

Przyjęte w lipcu 2014 r. i obowiązujące od września 2016 r., eIDAS 1 położyło pierwsze kamienie milowe europejskiej przestrzeni zaufania cyfrowego. Wprowadził trzy główne kategorie podpisu elektronicznego — prosty (SES), zaawansowany (AdES) i kwalifikowany (QES) — oraz utworzył listę zaufania dostawców kwalifikowanych (Trusted List), którą można przeglądać na portalu Komisji Europejskiej.

Dla MŚP głównym wkładem eIDAS 1 było uznawanie transgranicznego podpisów kwalifikowanych: umowa podpisana kwalifikowanym podpisem elektronicznym (QES) we Francji była prawnie uznawana w Niemczech, Hiszpanii czy Włoszech bez apostille czy dodatkowych formalności. Zasada ta — zwana zasadą „niedyskryminacji" — stała się fundamentem, na którym firmy takie jak Certyneo budowały swoje usługi.

1.2 Zidentyfikowane ograniczenia

Pomimo swoich postępów, eIDAS 1 miał kilka luk udokumentowanych w raporcie oceniającym Komisji Europejskiej z 2021 r.:

• Fragmentacja schematów tożsamości: tylko państwa członkowskie, które powiadomiły o swoim schemacie krajowym (takie jak FranceConnect+ poziom istotny) korzystały z wzajemnego uznawania. W 2023 r. tylko 14 państw spośród 27 powiadomiło zgodny schemat.
• Brak wbudowanej obsługi urządzeń mobilnych: kwalifikowany urządzenie do tworzenia podpisu (QSCD) wymagało zwykle karty chipowej lub sprzętowego tokena, co hamowało adopcję na urządzeniach mobilnych.
• Ograniczone usługi zaufania: eIDAS 1 wymieniał dziewięć typów usług kwalifikowanych; nowe zastosowania (kwalifikowana archiwizacja elektroniczna, zarządzanie atrybutami) nie były regulowane.
• Brak ujednoliconego portfela tożsamości: każdy obywatel lub przedsiębiorstwo zarządzał swoimi identyfikatorami w izolacji, bez gwarantowanej interoperacyjności.

Te ograniczenia skłoniły Komisję do rozpoczęcia przeglądu w 2020 r., co doprowadziło do rozporządzenia eIDAS 2 po trzech latach dialogu trójstronnego.

---

2. Pięć głównych innowacji eIDAS 2 dla MŚP

2.1 Europejski portfel tożsamości cyfrowej (EU Digital Identity Wallet — EUDIW)

To jest najbardziej widoczna nowość regulacji. Do listopada 2026 r. (termin transpozycji określony w art. 5a) każde państwo członkowskie będzie musiało zaproponować przynajmniej jeden certyfikowany portfel tożsamości cyfrowej swoim obywatelom i rezydentom. Dla MŚP ta ewolucja ma dwie bezpośrednie konsekwencje:

1. Uproszczona autentykacja klientów i partnerów: portfel umożliwi udostępnianie zweryfikowanych atrybutów (wiek, numer VAT wewnątrzunijny, wypis z rejestru handlowego, certyfikowane dane bankowe) bez przeszkód. Umowa ramowa z partnerem z Niemiec będzie mogła być podpisana po natychmiastowej weryfikacji jego atrybutów zawodowych z jego EUDIW.
2. Obowiązek akceptacji dla niektórych sektorów: usługi online dużych platform (art. 45bis) i niektóre usługi publiczne będą musiały akceptować EUDIW jako sposób uwierzytelnienia. MŚP dostarczające portale B2B będą musiały dostosować swoje interfejsy API uwierzytelniania.

2.2 Rozszerzenie listy kwalifikowanych usług zaufania

eIDAS 2 rozszerza katalog kwalifikowanych usług zaufania z 9 do 14 kategorii. Nowe wpisy bezpośrednio dotyczące MŚP to:

• Kwalifikowana archiwizacja elektroniczna (art. 45septies): długoterminowa konserwacja z wzmocnioną wartością dowodową. Do tej pory archiwizacja z wartością dowodową opierała się na krajowych ramach (we Francji zasadach SIAF/ANSSI); eIDAS 2 harmonizuje ramy europejskie.
• Zdalna obsługa kwalifikowanych urządzeń do tworzenia podpisu (RQSCD): obecnie wyraźnie uregulowana, usuwa ona dwuznaczności ciążące na rozwiązaniach chmurowych podpisu kwalifikowanego. Dla MŚP zatrudniającej 50 pracowników oznacza to dostęp do podpisu kwalifikowanego bez fizycznego tokena z dowolnego urządzenia.
• Usługa kwalifikowanego rejestru elektronicznego: rejestry oparte na blockchain lub rozproszonej technologii księgi mogą teraz uzyskać status kwalifikowany, otwierając drogę do nowych modeli zarządzania umowami.

Aby dowiedzieć się więcej na temat poziomów podpisu i ich wartości prawnej, zapoznaj się z naszym kompleksowym przewodnikiem podpisu elektronicznego.

2.3 Wzmocnienie wymogów bezpieczeństwa dla dostawców kwalifikowanych (QTSP)

eIDAS 2 zaostrzył obowiązki dostawców kwalifikowanych usług zaufania (QTSP). Zmieniony art. 24 narzuca w szczególności:

• Certyfikację bezpieczeństwa cybernetycznego zgodną z europejskim ramy (EU Cybersecurity Act, rozporządzenie 2019/881), ze schematami sektorowymi obecnie opracowywanymi przez ENISA.
• Wzmocnione wymogi w zakresie odporności operacyjnej: QTSP muszą teraz dokumentować swój plan ciągłości biznesu i poddawać go instytucji nadzorczej w swoim kraju (we Francji ANSSI dla dostawców kwalifikowanych).
• Obowiązek powiadomienia o zdarzeniach bezpieczeństwa w ciągu 24 godzin (dostosowanie do NIS 2).

Dla MŚP użytkowników przekłada się to na wzmocniony obowiązek należytej staranności przy wyborze dostawcy: weryfikacja, że Twoje rozwiązanie podpisu rzeczywiście figuruje na uaktualnionej europejskiej liście zaufania jest teraz krytycznym etapem procesu zakupu. Nasz porównanie rozwiązań podpisu elektronicznego może Ci w tym pomóc.

2.4 Obowiązkowa interoperacyjność schematów tożsamości

Tam gdzie eIDAS 1 dał państwom członkowskim swobodę powiadomienia (lub nie) o swoim schemacie, eIDAS 2 czyni powiadomienie i interoperacyjność obowiązkową dla schematów tożsamości używanych w usługach publicznych online (art. 5). France Identité — krajowy schemat nadzorowany przez Ministerstwo Spraw Wewnętrznych — jest w trakcie dostosowania do specyfikacji technicznych EUDIW opublikowanych przez Komisję w rozporządzeniu wykonawczym (UE) 2024/2977.

Dla MŚP, która regularnie współdziała z władzami publicznymi (zamówienia publiczne, e-deklaracje podatkowe, procedury celne), ewolucja ta oznacza, że procedury online będą stopniowo zunifikowane wokół pojedynczego identyfikatora cyfrowego uznanego w całej UE.

2.5 Nowe zasady odpowiedzialności i nadzoru

eIDAS 2 precyzuje i rozszerza režimy odpowiedzialności dostawców (zmieniony art. 13). QTSP jest teraz domniemanie odpowiedzialny za wszelkie szkody wyrządzone osobie fizycznej lub prawnej z powodu naruszenia jego obowiązków, chyba że udowodni brak winy. To wzmocnione domniemanie odpowiedzialności w stosunku do eIDAS 1 powinno skłonić MŚP do:

• Sformalizowania w umowie zobowiązań dostawcy (SLA, gwarancje dostępności, odszkodowanie).
• Weryfikacji pokrycia ubezpieczenia od odpowiedzialności cywilnej zawodowej QTSP.
• Zachowania dowodów audytu transakcji podpisanych (dzienniki sygnatury czasowej, raporty weryfikacji podpisu).

Nasze zespoły przygotowały szczegółowy przewodnik na temat podpisu elektronicznego w przedsiębiorstwie obejmujący te aspekty umowne.

---

3. Tabela porównawcza eIDAS 1 vs eIDAS 2: co konkretnie się zmienia

3.1 Streszczenie głównych zmian

| Kryterium | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Portfel tożsamości | Nieobecny | EUDIW obowiązkowy (państwa członkowskie) | | Usługi kwalifikowane | 9 kategorii | 14 kategorii (archiwizacja, RQSCD, rejestry…) | | Powiadomienie schematów | Fakultatywne | Obowiązkowe dla usług publicznych | | Bezpieczeństwo QTSP | Kryteria Common Criteria | Cybersecurity Act + schematy ENISA | | Odpowiedzialność QTSP | Częściowa | Wzmocnione domniemanie odpowiedzialności | | Termin powiadomienia zdarzenia | Nieokreślony | 24 godziny (dostosowanie NIS 2) | | Mobilny QSCD | Dwuznaczność prawna | RQSCD wyraźnie uregulowany |

3.2 Kluczowe terminy do zapamiętania na 2026 rok

• Maj 2024: wejście w życie rozporządzenia (UE) 2024/1183.
• listopad 2026: termin ostateczny dla każdego państwa członkowskiego do zaproponowania przynajmniej jednego certyfikowanego rozwiązania EUDIW.
• 2027: obowiązek dla dużych platform (art. 45bis) akceptacji EUDIW jako sposobu uwierzytelnienia.
• 2028: planowana przegląd aktów wykonawczych technicznych (rozporządzenia delegowane na temat specyfikacji EUDIW).

Jeśli Twoje MŚP planuje migrację do bardziej zgodnego rozwiązania, nasza oferta migracji do Certyneo obejmuje darmowy audyt zgodności eIDAS 2.

---

4. Praktyczny plan działania aby dostosować Twoje MŚP do eIDAS 2

4.1 Audyt Twoich istniejących przepływów dokumentów

Zacznij od zmapowania wszystkich procesów, w których aktualnie używasz podpisu elektronicznego lub tożsamości cyfrowej: umowy dostawców, zdemateriazowane listy płac, mandaty SEPA, umowy poufności, akty HR. Dla każdego przepływu zidentyfikuj:

• Używany poziom podpisu (SES, AdES, QES).
• Obecnego dostawcę i jego status na liście zaufania.
• Poziom ryzyka prawnego w przypadku sporów.

Ten audyt jest punktem wyjścia zalecanym przez ANSSI w jej przewodniku zgodności opublikowanym w marcu 2025 r.

4.2 Uaktualnienie Twojego rozwiązania podpisu

Jeśli Twój obecny dostawca nie figuruje na liście zaufania eIDAS 2 lub nie oferuje jeszcze RQSCD, nadszedł czas aby porównać oferty na rynku. Certyneo jest certyfikowanym QTSP, który obsługuje wszystkie trzy poziomy podpisu (SES, AdES, QES) i natywnie integruje nowe wymogi eIDAS 2, w szczególności kwalifikowaną archiwizację i zdalną obsługę urządzeń.

4.3 Szkolenie zespołów i aktualizacja umów

eIDAS 2 wzmacnia wartość dowodową podpisów kwalifikowanych, ale również nakłada dobre praktyki dokumentarne. Upewnij się, że Twoje zespoły prawne i administracyjne:

• Potrafią rozróżniać trzy poziomy podpisu i ich wzajemną wartość prawną.
• Włączają w umowy dostawcy klauzulę audytu zgodności eIDAS.
• Zachowują dowody weryfikacji podpisu (raport weryfikacji, kwalifikowana sygnatura czasowa) przez czas wymagany prawnie (od 3 do 10 lat w zależności od charakteru aktu).

Aby ustrukturyzować to podejście, nasz kalkulator ROI podpisu elektronicznego pozwoli Ci kwantyfikować zyski operacyjne związane z modernizacją.

Obowiązujące ramy prawne

Texty odniesienia

Dostosowanie eIDAS 2 dla francuskich MŚP wpisuje się w stos normatywny, który niezbędnie trzeba opanować.

Rozporządzenie (UE) 2024/1183 Parlamentu Europejskiego i Rady (zwane „eIDAS 2"): to tekst założycielski opublikowany w DZUE 30 kwietnia 2024 r. Uchyla i zastępuje rozporządzenie (UE) nr 910/2014 zgodnie z harmonogramem wdrażania stopniowego trwającym do 2027 r. Ma bezpośrednie zastosowanie we wszystkich państwach członkowskich bez konieczności transpozycji przepisów krajowych dla jego głównych postanowień.

Rozporządzenie (UE) nr 910/2014 (eIDAS 1): niektóre jego postanowienia pozostają obowiązkowe w okresach przejściowych przewidzianych przez eIDAS 2, w szczególności dla dostawców kwalifikowanych, którzy uzyskali kwalifikację przed majem 2024 r. i mają czas na przearocyfikowanie.

Kodeks cywilny francuski, artykuły 1366 i 1367: artykuł 1366 ustanawia zasadę równoważności pomiędzy pismem elektronicznym a pismem papierowym, pod warunkiem że „osoba, od której pochodzi, może być należycie zidentyfikowana i że jest sporządzone i zachowywane w warunkach mogących gwarantować jego integralność". Artykuł 1367 uznaje podpis elektroniczny jako formę dowodu, odsyłając do warunków określonych dekreetem w Radzie Stanu (dekret nr 2017-1416 z 28 września 2017 r., kodyfikowany w artykułach R. 1369-1 do R. 1369-10 Kodeksu cywilnego).

Rozporządzenie (UE) 2016/679 (RODO): wdrażanie EUDIW i przetwarzanie atrybutów tożsamości w przepływach podpisu elektronicznego stanowią przetwarzanie danych osobowych w rozumieniu RODO. MŚP muszą upewnić się, że ich QTSP działa jako przetwarzający w rozumieniu art. 28 RODO, z umową DPA (Data Processing Agreement) zgodną. CNIL opublikowała w styczniu 2026 r. specjalne zalecenie dotyczące integracji EUDIW-RODO.

Dyrektywa (UE) 2022/2555 (NIS 2): eIDAS 2 wyraźnie dostosowuje się do NIS 2 dla obowiązków powiadomienia o zdarzeniach (art. 24, §2 eIDAS 2 odsyłający do postanowień NIS 2). QTSP są uważane za jednostki „podstawowe" lub „ważne" w rozumieniu NIS 2 w zależności od ich wielkości i podlegają w związku z tym regularnym audytom bezpieczeństwa.

Normy ETSI: podpisy elektroniczne kwalifikowane muszą być zgodne z normami ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) i ETSI EN 319 102-1 (procedura weryfikacji). Norma ETSI TS 119 461 reguluje weryfikację tożsamości na odległość (IDV), szczególnie istotną dla RQSCD.

Ryzyka prawne w przypadku niezgodności

Wykorzystywanie rozwiązania podpisu elektronicznego niezgodnego z eIDAS 2 narażauje MŚP na kilka ryzyk:

• Niedopuszczalność w sądzie: sędzia może uchylić podpis elektroniczny, którego poziom nie odpowiada podpisanemu aktowi (np. podpis prosty dla aktu wymagającego poziomu zaawansowanego lub kwalifikowanego).
• Odpowiedzialność umowna: jeśli umowa zostanie zakwestionowana przez partnera ze względu na nieważność podpisu, MŚP może być narażona na roszczenia odszkodowawcze.
• Sankcje RODO: w przypadku naruszenia danych powiązanego z brakiem bezpieczeństwa dostawcy, MŚP, wspó-odpowiedzialna lub odpowiedzialna za przetwarzanie, może być ukarana przez CNIL do 4% rocznego światowego obrotu (art. 83 §4 RODO).

Konkretne scenariusze zastosowania

Scenariusz 1: przemysłowe MŚP zatrudniające 80 pracowników zarządzające 400 umowami dostawców rocznie

MŚP sektora metalurgii obsługująca około 400 umów dostawców rocznie używała do 2024 r. rozwiązania podpisu elektronicznego prostego (SES) dla wszystkich zobowiązań, w tym umów ramowych powyżej 50 000 €. Po audycie zgodności eIDAS 2 stwierdziła, że 35% jej umów wymagało podpisu zaawansowanego lub kwalifikowanego aby wytrzymać kwestionowanie sądowe, zwłaszcza z dostawcami z innych państw członkowskich UE.

Migrując do rozwiązania łączącego podpis zaawansowany (AdES) dla umów bieżących i kwalifikowany (QES) dla umów ramowych oraz aktywując kwalifikowaną archiwizację elektroniczną (nowa usługa eIDAS 2), MŚP zmniejszyła o 70% czas poświęcony zarządzaniu dokumentami po podpisaniu (klasyfikacja, wyszukiwanie, wysyłanie kopii uwierzytelnionych) i sprowadzi do zera spory dotyczące kwestionowania podpisu w ciągu następnych 18 miesięcy w stosunku do dwóch incydentów w poprzednich 18 miesiącach.

Scenariusz 2: kancelaria doradztwa prawnego z 15 współpracownikami

Kancelaria specjalizująca się w prawie handlowym, wystawiająca średnio 1 200 aktów podpisanych rocznie (listy ofertowe, mandaty, umowy poufności), napotykała rosnące żądania od klientów korporacyjnych na podpisy kwalifikowane uznawane w całej UE. Zgodnie z eIDAS 1, uzyskanie certyfikatu kwalifikowanego wymagało procedury face-to-face lub długiej weryfikacji wideo (od 45 do 90 minut na użytkownika).

Dzięki RQSCD (Remote Qualified Signature Creation Device) uregulowanemu przez eIDAS 2, kancelaria mogła wdrożyć podpis kwalifikowany dla wszystkich współpracowników w mniej niż dwa tygodnie, poprzez procedurę rejestracji 100% zdalną zgodną z normą ETSI TS 119 461. Wskaźnik wewnętrznego przyjęcia wzrósł z 40% do 95% w ciągu trzech miesięcy, a średni czas zwrotu podpisanych aktów zmniejszył się z 4,2 dnia do poniżej 6 godzin zgodnie z pomiarami wewnętrznymi kancelarii.

Scenariusz 3: MŚP e-commerce operująca w trzech krajach UE

Przedsiębiorstwo sprzedaży online zatrudniające 35 pracowników i operujące we Francji, Belgii i Holandii musiało zarządzać trzema typami elektronicznych umów: umowy zatrudnienia dla pracowników lokalnych, umowy partnerstwa z operatorami transportu i mandaty SEPA dla klientów biznesowych. Fragmentacja wymogów krajowych zgodnie z eIDAS 1 zmuszała ją do utrzymywania trzech odrębnych obiegów podpisu, z szacowanymi kosztami zarządzania około 12 000 € rocznie.

Wdrożenie jednego rozwiązania zgodnego z eIDAS 2 — integrującego wzajemne uznawanie podpisów kwalifikowanych w trzech krajach — umożliwiło zunifikowanie obiegów, zmniejszenie kosztu zarządzania do około 4 500 € rocznie (oszczędność 62%) oraz wyeliminowanie opóźnień związanych z ręczną walidacją obcych podpisów przez departament prawny.

Podsumowanie

eIDAS 2 nie jest prostą kosmetyczną rewizją ramy regulacyjnej: gruntownie redefiniuje zasady gry zaufania cyfrowego w Europie. Dla francuskich MŚP pięć głównych zmian — portfel EUDIW, rozszerzenie usług kwalifikowanych, RQSCD, obowiązkowa interoperacyjność i wzmocniona odpowiedzialność — stanowią zarówno wymóg dostosowania się jak i okazję do przyspieszenia transformacji dokumentowej.

MŚP, które już dziś anticipują te zmiany, będą cieszyć się rzeczywistą przewagą konkurencyjną: umowy rozpoznawane w całej UE bez przeszkód, archiwizacja z wartością dowodową zintegrowana i całkowicie demateriazowane oraz bezpieczne procesy podpisu.

Certyneo został zaprojektowany aby wspierać to przejście. Zacznij darmową wersję próbną na certyneo.com i skorzystaj z bezpłatnego audytu zgodności eIDAS 2 dla Twoich istniejących przepływów dokumentów.