Przejście eIDAS 1 do eIDAS 2: wpływ na podpis elektroniczny w 2025

W dniu 20 maja 2024 r. rozporządzenie (UE) 2024/1183 — powszechnie zwane eIDAS 2 — zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej, stopniowo uchylając rozporządzenie nr 910/2014 (eIDAS 1). Tekst ten stanowi najbardziej strukturalną reformę tożsamości cyfrowej i podpisu elektronicznego w Europie od 2016 r. Dla francouzskich przedsiębiorstw korzystających z rozwiązań podpisu elektronicznego w ich przepływach kontraktowych, przejście nie jest tylko formalność: wymaga dostosowań technicznych, prawnych i organizacyjnych, których horyzont rozciąga się do 2026 r. i dalej. Zrozumienie przejścia z eIDAS 1 do eIDAS 2 i jego wpływu na podpis elektroniczny w 2025 r. stało się priorytetem dla działów prawnych, CIO i HR. Artykuł ten wyjaśnia fundamentalne ewolucje ram, precyzyjny harmonogram przejścia i konkretne środki do podjęcia w celu pozostania w zgodności.

Co rozporządzenie eIDAS 2 zmienia fundamentalnie

Od rozporządzenia z 2014 r. do całkowitej reformy z 2024 r.: dlaczego rewizja była konieczna

EIDAS 1 położył fundamenty dla wzajemnego uznawania podpisów elektronicznych w obrębie Unii. Trzy poziomy hierarchiczne — prosty (SES), zaawansowany (AdES) i kwalifikowany (QES) — strukturalizowały wartość dowodową podpisów, opierając się na liście dostawców zaufania (TSL). Jednak w ciągu dziesięciu lat pojawiły się dwie poważne luki.

Po pierwsze, oryginalne rozporządzenie miało zastosowanie głównie do relacji z administracją publiczną (G2B, G2C). Nie tworzyło bezpośrednich obowiązków w transakcjach prywatnych (B2B, B2C), pozostawiając lukę normatywną, którą każde państwo członkowskie wypełniało w heterogeniczny sposób. Po drugie, wzrost liczby usług cyfrowych — aplikacje mobilne, otwarta bankowość, telemedycyna — ujawnił brak przenośnego i interoperacyjnego systemu tożsamości cyfrowej na poziomie kontynentalnym.

EIDAS 2 odpowiada na te dwa wyzwania, wprowadzając europejski portfel tożsamości cyfrowej (EU Digital Identity Wallet, EUDIW) i rozszerzając zakres usług zaufania na nowe przypadki użycia: kwalifikowana archiwizacja elektroniczna, zaświadczenia o atrybutach kwalifikowanych, kwalifikowane rejestry elektroniczne (w tym zaświadczone aplikacje blockchain).

Nowe kategorie kwalifikowanych usług zaufania

Rozporządzenie eIDAS 2 rozszerza listę kwalifikowanych usług zaufania (artykuł 3 i zmieniony aneks IV). Oprócz podpisów, pieczęci i znaczników czasowych już uznanych przez eIDAS 1, są teraz kwalifikowane:

• Usługi kwalifikowanej archiwizacji elektronicznej (art. 34 bis): obowiązek zachowania integralności i czytelności dokumentów podpisanych na długi termin, ze wzmocnionymi wymaganiami dla dostawców (QTSP).
• Usługi zarządzania urządzeniami do tworzenia podpisu zdalna kwalifikowanego (QRCD): wzmocniony nadzór nad rozwiązaniami podpisu zdalnego poprzez HSM (Hardware Security Module) w chmurze.
• Zaświadczenia o atrybutach kwalifikowanych: mechanizm pozwalający stronie trzeciej zaufanej na poświadczenie atrybutów jednostki (np. status adwokata, status lekarza) bez ujawniania całej tożsamości.
• Kwalifikowane rejestry elektroniczne: uznanie rejestrów rozproszonych pod warunkami rygorystycznie określonych przez audytowalność i odporność.

Dla użytkowników rozwiązań podpisu elektronicznego, to rozszerzenie oznacza, że kwalifikowane usługi zaufania dostępne na rynku będą się dywersyfikować, a kryteria wyboru dostawcy (QTSP) muszą integrować te nowe możliwości.

EUDIW: portfel tożsamości cyfrowej jako infrastruktura podpisu

Najbardziej widoczna innowacja eIDAS 2 pozostaje EUDIW. Każde państwo członkowskie będzie musiało udostępnić swoim obywatelom i mieszkańcom bezpłatny portfel tożsamości cyfrowej, interoperacyjny ze wszystkimi innymi państwami członkowskimi, do 26 listopada 2026 r. (okres zgodności narodowej zgodnie z artykułem 5 bis). Portfel będzie umożliwiać:

• uwierzytelnianie użytkownika z wysokim poziomem pewności (LoA High) bez konieczności korzystania z dostawcy identyfikacji strony trzeciej;
• podpisywanie elektronicznie dokumentów z wartością kwalifikowaną (QES) bezpośrednio z portfela;
• udostępnianie selektywnych atrybutów tożsamości (selective disclosure), respektując tym samym zasadę minimalizacji danych RODO.

Dla przedsiębiorstw, EUDIW teoretycznie upraszcza procedury weryfikacji tożsamości przed podpisem kwalifikowanym, eliminując tarcie identyfikacji wideo lub identyfikacji twarzą w twarz. W praktyce wpływ zależy od tempa wdrożenia krajowego — Francja uruchomiła w 2025 r. pilotażową eksperymentację w ramach programu „France Identité".

Precyzyjny harmonogram przejścia z eIDAS 1 do eIDAS 2

Kamienie milowe regulacyjne do poznania

Rozporządzenie 2024/1183 weszło w życie 20 maja 2024 r., ale jego stosowanie jest progresywne. Oto kluczowe terminy:

| Data | Wydarzenie | |------|----------| | 20 maja 2024 | Publikacja w DZUE, wejście w życie formalne | | 20 listopada 2024 | Termin 6 miesięcy na przyjęcie aktów wykonawczych przez Komisję (specyfikacje techniczne EUDIW) | | Koniec 2025 | Publikacja zaktualizowanych norm ETSI (EN 319 411-1/2, EN 319 401) integrujących wymagania eIDAS 2 | | 26 maja 2026 | Ostateczny termin dla zgodności państw członkowskich dotyczący nowych kategorii usług kwalifikowanych | | 26 listopada 2026 | Obowiązkowe udostępnianie EUDIW przez każde państwo członkowskie | | 2027-2028 | Całkowita rewizja krajowych list zaufania (TSL) i akredytacja nowych QTSP |

EIDAS 1 pozostaje ważny, a podpisy wydane w jego ramach zachowują pełną wartość prawną. Nie ma żadnego obowiązku ponownego podpisywania istniejących dokumentów. Natomiast kwalifikowani dostawcy zaufania będą musieli odnowić swoją akredytację zgodnie z nowymi normami technicznymi do 2027 r.

Co się nie zmienia i co należy obserwować

Ciągłość jest zasadą kardynalną przejścia. Trzy poziomy podpisu (SES, AdES, QES) są utrzymywane z niezmienionymi definicjami. Domniemanie równoważności z podpisem odręcznym związanym z QES (artykuł 25 eIDAS 1, powtórzony w artykule 27 eIDAS 2) pozostaje w mocy. Wartość dowodowa twoich obecnych podpisów elektronicznych nie jest podważana.

Co należy obserwować: akty wykonawcze (implementing acts) opublikowane przez Komisję Europejską w ciągu 2025-2026 ustalą precyzyjne specyfikacje techniczne EUDIW i nowych kategorii usług. Te teksty poziomu 2 mają znaczną wagę praktyczną dla integratorów i wydawców oprogramowania. Dla przedsiębiorstw korzystających z podpisu elektronicznego w procesach HR lub prawnych zaleca się poproszenie swojego dostawcy o plan działania zgodności eIDAS 2.

Konkretny wpływ na przedsiębiorstwa i ich rozwiązania podpisu

Które przepływy pracy są objęte priorytetowo?

Przejście z eIDAS 1 do eIDAS 2 nie ma tego samego wpływu w zależności od stosowanego poziomu podpisu. Dla przedsiębiorstw wyróżniają się trzy sytuacje:

Podpis elektroniczny prosty (SES): używany do zmian niskiej wartości, potwierdzeń odbioru, formularzy wewnętrznych. Żaden obowiązek niezwłocznej aktualizacji. Reguły dowodowe pozostają regulowane przez Kodeks cywilny (art. 1366-1367) i nie bezpośrednio przez eIDAS.

Podpis elektroniczny zaawansowany (AdES/AdESQC): przedsiębiorstwa korzystające z rozwiązań B2B do umów handlowych, umów o pracę w formie elektronicznej lub aktów nieruchomości muszą sprawdzić, czy ich dostawca utrzymuje zgodność z normami ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) i EN 319 142 (PAdES) w wersjach zaktualizowanych dla eIDAS 2. Te normy będą opublikowane przez ETSI do końca 2025 r.

Podpis elektroniczny kwalifikowany (QES): dostawcy kwalifikowani (QTSP) będą musieli przejść nową akredytację eIDAS 2. Okres przejściowy przyznaje rozsądny termin (do 2027 r.), ale przetargi ogłaszane od 2025 r. powinny integrować klauzulę zgodności eIDAS 2 w kryteriach wyboru. Dla organizacji porównujących dostępne opcje, porównanie rozwiązań podpisu elektronicznego pozwala ocenić dojrzałość wydawców w tym zakresie.

Nowe wymagania dla kwalifikowanych dostawców usług zaufania (QTSP)

EIDAS 2 zaostrzył wymagania dotyczące QTSP na trzech głównych punktach:

1. Bezpieczeństwo systemów: obowiązkowe wyrównanie do NIS2 (dyrektywa (UE) 2022/2555) dla QTSP, teraz zaklasyfikowanych jako jednostki istotne. Przekłada się to na obowiązki powiadomienia o incydentach w ciągu 24 godzin, coroczne audyty bezpieczeństwa i wdrażanie planów ciągłości biznesu.

1. Wzmocniona odpowiedzialność: artykuł 13 eIDAS 2 rozszerza system odpowiedzialności QTSP. W przypadku udowodnionego naruszenia, ciężar dowodu jest odwrócony: dostawca musi wykazać, że nie zaniedbał, a nie na odwrót.

1. Obowiązkowa interoperacyjność: QTSP będą musieli ujawnić standardowe interfejsy API kompatybilne z EUDIW, aby umożliwić natywną integrację portfeli tożsamości. Ten wymóg przyspieszy modernizację interfejsów integracji dostępnych dla programistów.

Dla przedsiębiorstw rozważających zmianę dostawcy w tym kontekście, migracja z DocuSign lub YouSign na rozwiązanie zgodne z eIDAS 2 to działanie, które zasługuje na anticipowanie już teraz, a nie w pośpiechu w 2027 r.

Dane osobowe i eIDAS 2: artykułacja z RODO

EUDIW gromadzi i przetwarza dane tożsamości o charakterze osobowym. Rozporządzenie eIDAS 2 wyraźnie przewiduje (rozważanie 11 i artykuł 5 bis §14), że całe urządzenie musi być zgodne z RODO (rozporządzenie (UE) 2016/679). Kilka punktów uwagi:

• Selective disclosure: portfel musi umożliwiać użytkownikowi udostępnianie tylko atrybutów niezbędnie wymaganych do transakcji (zasada minimalizacji, art. 5(1)(c) RODO). Do podpisania umowy mogłaby być udostępniona tylko weryfikacja pełnoletności bez ujawniania pełnej daty urodzenia.
• Transfery poza UE: dane tożsamości przetwarzane w ramach EUDIW nie mogą być transferowane poza EEE bez odpowiednich gwarancji (art. 46 RODO). Dostawcy korzystający z infrastruktury chmurowej w Stanach Zjednoczonych muszą dokumentować swoją zgodność.
• Przechowywanie dzienników podpisu: archiwizacja dowodów podpisu musi respektować okres przechowywania proporcjonalny do charakteru dokumentu. Nowa usługa archiwizacji kwalifikowanej eIDAS 2 zapewnia ramy techniczne do spełnienia tego wymagania.

Przedsiębiorstwa zarządzające umowami o pracę na arenie międzynarodowej są szczególnie dotkniętą przez tę artykułację RODO/eIDAS 2, zwłaszcza gdy sygnatariusze mieszkają poza UE.

Ramy prawne mające zastosowanie do przejścia z eIDAS 1 do eIDAS 2

Teksty referencyjne

Przejście opiera się na stratyfikacji tekstów, które konieczne jest opanować:

Na poziomie europejskim:

• Rozporządzenie (UE) nr 910/2014 (eIDAS 1): nadal obowiązuje do jego stopniowego uchylenia przez eIDAS 2. Określa trzy poziomy podpisu (SES, AdES, QES) i system QTSP.
• Rozporządzenie (UE) 2024/1183 (eIDAS 2): weszło w życie 20 maja 2024 r. Istotnie modyfikuje eIDAS 1 bez jego natychmiastowego uchylenia. Przepisy dotyczące EUDIW stosuje się od publikacji aktów wykonawczych.
• Rozporządzenie (UE) 2016/679 (RODO): ma pełne zastosowanie do przetwarzania danych tożsamości w ramach EUDIW i procesów podpisu. Artykuł 5 bis §14 eIDAS 2 wyraźnie przypomina to podporządkowanie.
• Dyrektywa (UE) 2022/2555 (NIS2): nakłada wzmocnione obowiązki cyberbezpieczeństwa na QTSP, teraz zaklasyfikowanych jako jednostki istotne. Transponowana do prawa francuskiego rozporządzeniem nr 2024-821 z 20 czerwca 2024 r. (w trakcie decyzji implementacyjnej).

Na poziomie francuskim:

• Kodeks cywilny, artykuły 1366 i 1367: podstawa wartości dowodowej pism w formie elektronicznej. Artykuł 1366 ustanawia równoważność między pismem elektronicznym a papierem pod warunkami. Artykuł 1367 przyznaje podpisowi kwalifikowanemu (QES) taką samą moc dowodową co podpisowi odręcznemu.
• Dekret nr 2017-1416 z 28 września 2017: precyzuje warunki stosowania podpisu elektronicznego w aktach pod prywatnymi znakami ręki. Pozostaje obowiązujący w okresie przejściowym.
• Ogólny referentariusz bezpieczeństwa (RGS) v2: dla francuskich administracji, RGS nakazuje korzystanie z rozwiązań referencjowanych przez ANSSI. Jego aktualizacja w celu integracji eIDAS 2 jest oczekiwana na 2026 r.

Normy techniczne ETSI mające zastosowanie

Normy ETSI stanowią poziom 3 hierarchii normatywnej. Aktualnie obowiązujące wersje:

• EN 319 132-1/2: format XAdES (zaawansowane podpisy XML)
• EN 319 122-1/2: format CAdES (zaawansowane podpisy CMS)
• EN 319 142-1/2: format PAdES (zaawansowane podpisy PDF)
• EN 319 401: wymagania ogólne dla dostawców usług zaufania
• EN 319 411-1/2: wymagania dla CA wydających certyfikaty kwalifikowane

Te normy będą zmieniane do końca 2025 r. w celu integracji nowych wymagań eIDAS 2. Umowy z QTSP powinny zawierać klauzulę aktualizacji do zmienionych wersji bez dodatkowych kosztów.

Zagrożenia prawne braku zgodności

Podpis wydany przez dostawcę, który nie byłby już akredytowany po 2027 r., nie straciłby automatycznie wartości prawnej dla już podpisanych dokumentów, ale nie byłby już objęty domniemaniem prawnym równoważności z podpisem odręcznym (art. 25 eIDAS). Ciężar dowodu integralności i tożsamości sygnatariusza spadłby w całości na przedsiębiorstwo w przypadku sporu. To zagrożenie dowodowe jest szczególnie wrażliwe dla aktów, których okres przedawnienia jest długi (5 lat w sprawach handlowych, 30 lat dla praw rzeczowych nieruchomości).

Scenariusze użycia: jak organizacje przygotowują się na przejście eIDAS 2

Scenariusz 1: kancelaria prawna z 25 pracownikami racjonalizuje swoją zgodność dokumentową

Kancelaria prawna specjalizująca się w prawie handlowym, zatrudniająca około 25 pracowników i charakteryzująca się intensywną działalnością podpisywania pełnomocnictw, aktów cesji i protokołów porozumienia, korzystała do 2024 r. z rozwiązania podpisu zaawansowanego (AdES) dla całości swoich przepływów. Przy ogłoszeniu eIDAS 2, kancelaria przeprowadziła audyt swoich 1200 dokumentów podpisanych rocznie, aby zidentyfikować te wymagające QES zgodnie z nowymi rekomendacjami swojej rady adwokackiej.

Wynik: 15% aktów (około 180 rocznie) zostało reklasyfikowanych na podpis kwalifikowany, co pozwoliło zabezpieczyć tryb dowodowy tych dokumentów. Kancelaria wynegocjowała z wydawcą podpisu klauzulę gwarantującą zgodność eIDAS 2 od publikacji aktów wykonawczych, bez dodatkowych kosztów. Czas administracyjny związany z weryfikacją tożsamości sygnatariuszy zmniejszył się o 40% dzięki antycypowaniu integracji EUDIW zaplanowanej na 2026 r.

Scenariusz 2: MŚP przemysłowe ze 150 pracownikami zabezpiecza swoją łańcuch kontraktowy dostawców

MŚP przemysłowe zarządzająca około 350 umowami dostawców rocznie — zamawieniami, NDA, umowami ramowymi — funkcjonowała z dwoma odrębnymi rozwiązaniami podpisu dla swoich przepływów wewnętrznych i zewnętrznych, tworząc fragmentaryzację dowodów audytu. W kontekście przejścia eIDAS 2 i nowych wymagań dotyczących archiwizacji kwalifikowanej, dział IT zdecydował się na ujednolicenie swojej platformy.

Migrując do jedynego rozwiązania integrującego kwalifikowaną archiwizację elektroniczną (przyszła kategoria eIDAS 2), MŚP zmniejszyła swoje koszty bezpiecznego przechowywania o 30% i skonsolidowała swoje dowody podpisu w skarbcu cyfrowym zgodnym. Cały łańcuch dokumentacji jest teraz audytowalny w mniej niż 2 minuty podczas kontroli dostawców — rosnące wymaganie ich dających pracę w branży motoryzacyjnej.

Scenariusz 3: szpitalny zespół około 600 łóżek przygotowuje integrację EUDIW

Szpitalny zespół publiczny korzystał z kwalifikowanego podpisu elektronicznego do swoich umów medycznych i zamówień publicznych, zgodnie z obowiązkami kodeksu zamówień publicznych. Z eIDAS 2, dział informatyki zidentyfikował dwa priorytetowe wyzwania: przyszłą integrację portfela „France Identité" dla lekarzy niezależnych pracujących w placówce, oraz zgodność NIS2 swojego QTSP.

Zespół szpitalny wpisał do swojego schematu kierunkowego informatyki 2025-2028 konkretny pakiet „zgodność eIDAS 2", z budżetem prognozowanym 45 000 € na migrację techniczną i szkolenie pracowników. Celem jest bycie w stanie zaakceptować podpisy poprzez EUDIW od czasowego wdrożenia krajowego zaplanowanego na listopad 2026 r., zmniejszając tym samym okresy umowy z niezależnymi specjalistami zdrowia z 3 dni do średnio mniej niż 4 godzin zgodnie z dostępnymi benchmarkami branżowymi.

Wnioski

Przejście z eIDAS 1 do eIDAS 2 nie jest przerwą, ale ewolucją strukturyzowaną, z precyzyjnym harmonogramem rozciągającym się do 2027 r. Wpływ na podpis elektroniczny jest rzeczywisty — rozszerzenie usług kwalifikowanych, przybycie EUDIW, zaostrzenie wymagań NIS2 dla QTSP — ale zarządzalny pod warunkiem, że jest antycypowany. Przedsiębiorstwa, które działają teraz, czerpią korzyści z pola manewru do audytu swoich przepływów, zabezpieczenia swoich umów z dostawcami i szkolenia swoich zespołów bez presji pilności regulacyjnej.

Certyneo towarzyszyć przedsiębiorstwom w tym przejściu z jasnym planem działania zgodności eIDAS 2, formatami podpisu utrzymywanymi na bieżąco i architekturą gotową do integracji EUDIW. Gotów zabezpieczyć swoje przepływy podpisu w tej nowej ramie regulacyjnej? Odkryj nasze oferty i zacznij bezpłatnie na Certyneo.