Przejdź do zawartości głównej
Certyneo
Rozporządzenie (UE) nr 910/2014 · Zaktualizowane 2026

Rozporządzenie eIDAS: wszystko zrozumieć o podpisie elektronicznym w Europie

Zaktualizowano

Rozporządzenie eIDAS jest założycielskim tekstem podpisu elektronicznego w Europie. Definiuje trzy poziomy podpisu (zwykły, zaawansowany, kwalifikowany), ustanawia wartość prawną aktów elektronicznych i reguluje dostawców usług zaufania. Ten przewodnik wyjaśnia wszystko, co powinni Państwo wiedzieć, aby być zgodnym w 2026 r.

Rozporządzenie eIDAS — flaga europejska i instytucje

Czym jest eIDAS i dlaczego został stworzony?

Przed eIDAS każde państwo członkowskie Unii Europejskiej miało własną regulację dotyczącą podpisów elektronicznych, tworząc fragmentację prawną, która hamowała wymiany transgraniczne. Podpis elektroniczny ważny we Francji niekoniecznie był uznawany w Niemczech czy Hiszpanii.

Rozporządzenie (UE) nr 910/2014, zwane eIDAS (Electronic IDentification, Authentication and trust Services), zostało przyjęte 23 lipca 2014 r. i weszło w życie 1 lipca 2016 r. Jako rozporządzenie (a nie dyrektywa) stosuje się bezpośrednio i jednolicie w 27 państwach członkowskich, bez potrzeby transpozycji krajowej.

eIDAS realizuje trzy główne cele: utworzenie jednolitego rynku cyfrowego w Europie dzięki wzajemnemu uznawaniu tożsamości elektronicznych, zagwarantowanie bezpieczeństwa prawnego transgranicznych transakcji elektronicznych i ustanowienie ram zaufania dla usług cyfrowych przez kwalifikowanych dostawców usług zaufania (QTSP — Qualified Trust Service Provider).

3 poziomy podpisu zdefiniowane przez eIDAS

eIDAS ustanawia piramidę trzech poziomów podpisu elektronicznego, każdy z własnymi wymaganiami technicznymi i wartością dowodową.

Poziom 1SESArtykuł 3(10) eIDAS

Zwykły Podpis Elektroniczny

Dostępne w Certyneo

Wymagania eIDAS

  • Dane w formie elektronicznej powiązane z innymi danymi
  • Używane do podpisu (brak szczególnych wymagań technicznych)
  • Może to być zwykłe kliknięcie, zaznaczone pole lub wpisane imię

Przykłady zastosowań

  • Akceptacja regulaminu
  • Formularz online
  • E-mail potwierdzający

Wartość prawna

Podstawowa wartość umowna, brak domniemania prawnego

Poziom 2AESArtykuł 26 eIDAS

Zaawansowany Podpis Elektroniczny

Dostępne w Certyneo

Wymagania eIDAS

  • Powiązany w unikalny sposób z sygnatariuszem
  • Pozwala zidentyfikować sygnatariusza
  • Tworzony za pomocą danych pod wyłączną kontrolą sygnatariusza
  • Każda późniejsza modyfikacja dokumentu jest wykrywalna

Przykłady zastosowań

  • Umowy o pracę
  • NDA
  • Umowy handlowe
  • Pełnomocnictwa

Wartość prawna

Silna wartość dowodowa — zalecana dla ważnych umów

Poziom 3QESArtykuł 25(2) + Załącznik I eIDAS

Kwalifikowany Podpis Elektroniczny

Wymagania eIDAS

  • Spełnia wszystkie wymagania AES
  • Tworzony przez kwalifikowane urządzenie do składania podpisu (QSCD)
  • Oparty na kwalifikowanym certyfikacie wydanym przez QTSP (europejska lista zaufania)

Przykłady zastosowań

  • Cyfrowe akty autentyczne
  • Wymagające zamówienia publiczne
  • Akty regulowane

Wartość prawna

Domniemanie prawne równoważne podpisowi odręcznemu (art. 25 eIDAS)

eIDAS 2.0: nowości z 2024

Rozporządzenie eIDAS zostało zmienione przez rozporządzenie (UE) 2024/1183, opublikowane w Dzienniku Urzędowym UE 30 kwietnia 2024 r. i wchodzące w życie 20 maja 2024 r. Ta rewizja modernizuje pierwotne ramy, aby odpowiedzieć na wyzwania współczesnej cyfrowej rzeczywistości: tożsamość cyfrowa obywateli, suwerenna chmura, odporność dostawców zaufania.

Kluczowym środkiem eIDAS 2.0 jest Europejski Portfel Tożsamości Cyfrowej (EUDIW). Do końca 2026 r. każde państwo członkowskie musi zaoferować swoim obywatelom i mieszkańcom aplikację pozwalającą przechowywać i przedstawiać certyfikowane zaświadczenia tożsamości — cyfrowy odpowiednik dowodu osobistego, prawa jazdy, dyplomów. Ta ewolucja będzie miała bezpośredni wpływ na procesy podpisu kwalifikowanego.

Portfel tożsamości cyfrowej (EUDIW)

eIDAS 2.0 wprowadza European Digital Identity Wallet: każdy obywatel europejski będzie mógł przechowywać certyfikowane zaświadczenia tożsamości (dowód osobisty, prawo jazdy, dyplomy) w aplikacji mobilnej interoperacyjnej w całej UE.

Wzmocnienie QTSP

Wymagania mające zastosowanie do kwalifikowanych dostawców usług zaufania (QTSP) są wzmocnione, szczególnie w zakresie cyberbezpieczeństwa, audytów i ciągłości usługi.

Nowe usługi zaufania

eIDAS 2.0 dodaje nowe kwalifikowane usługi: kwalifikowana archiwizacja elektroniczna, kwalifikowane zarządzanie danymi atrybutowymi, kwalifikowany rejestr elektroniczny (certyfikowany blockchain).

Wzmocniona interoperacyjność

Lepsze wzajemne uznawanie tożsamości cyfrowych między państwami członkowskimi. Podpisy kwalifikowane wydane w dowolnym kraju UE są uznawane wszędzie.

Jak być zgodnym z eIDAS w praktyce?

Zgodność z eIDAS nie sprowadza się do wyboru poziomu podpisu. Implikuje refleksję nad całym procesem: identyfikacja ryzyk, wybór narzędzi, przechowywanie dowodów i zarządzanie dokumentami.

Oto praktyczna lista kontrolna dla firm, które chcą zabezpieczyć swoje procesy podpisu elektronicznego zgodnie z eIDAS:

Zidentyfikować poziom podpisu dostosowany do każdego typu dokumentu
Używać rozwiązania, którego dostawca hostuje dane w UE
Przechowywać znakowaną czasem ścieżkę audytu z każdym podpisanym dokumentem
Upewnić się, że sygnatariusz jest odpowiednio identyfikowany na wybranym poziomie
Posiadać udokumentowaną politykę przechowywania (czas, dostęp, zniszczenie)
Sprawdzić, czy dostawca dysponuje DPA (Data Processing Agreement) RODO
Dla AES: wdrożyć mechanizm OTP lub silnego uwierzytelnienia
Dla QES: skorzystać z QTSP znajdującego się na krajowej liście zaufania

Podejście Certyneo do zgodności z eIDAS

Certyneo wdraża poziomy SES (Zwykły Podpis Elektroniczny) i AES (Zaawansowany Podpis Elektroniczny) rozporządzenia eIDAS. Podpis zaawansowany opiera się na uwierzytelnianiu dwuskładnikowym: jednorazowy link wysłany e-mailem i kod OTP wysłany SMS-em przez OTP SMS. Ten mechanizm spełnia cztery kryteria artykułu 26 eIDAS dla podpisu zaawansowanego.

Każda koperta generuje kompletną ścieżkę audytu: znacznik czasu każdej czynności (wysyłka, otwarcie linku, walidacja OTP, złożenie podpisu, ewentualna odmowa), adres IP sygnatariusza, user-agent przeglądarki. Ta ścieżka audytu jest zintegrowana u dołu każdej strony ostatecznego PDF (stopka audytu) i przechowywana przez 10 lat.

Dane są hostowane we Francji (infrastruktura IONOS), w Unii Europejskiej, zgodnie z wymaganiami suwerenności cyfrowej i RODO. Zapoznajcie się Państwo z naszą stroną bezpieczeństwa i zgodności, aby poznać wszystkie szczegóły techniczne.

Najczęstsze pytania o eIDAS

Czym jest rozporządzenie eIDAS?

eIDAS (Electronic Identification, Authentication and Trust Services) to europejskie rozporządzenie (UE) nr 910/2014, które ustanawia wspólne ramy prawne dla podpisów elektronicznych, pieczęci elektronicznych, znaczników czasu, usług rejestrowanego doręczenia elektronicznego i usług uwierzytelniania strony internetowej w Unii Europejskiej. Weszło w życie 1 lipca 2016 r. i stosuje się bezpośrednio w 27 państwach członkowskich.

Jaka jest różnica między eIDAS a eIDAS 2.0?

eIDAS 2.0 (rozporządzenie (UE) 2024/1183, weszło w życie 20 maja 2024 r.) modernizuje eIDAS 1.0, wprowadzając między innymi Europejski Portfel Tożsamości Cyfrowej (EUDIW — European Digital Identity Wallet), który pozwoli obywatelom europejskim przechowywać certyfikowane cyfrowe zaświadczenia tożsamości. Dla firm eIDAS 2.0 wzmacnia wymagania kwalifikowanych dostawców usług zaufania (QTSP) i poprawia transgraniczną interoperacyjność.

Czy zwykły podpis elektroniczny ma wartość prawną według eIDAS?

Tak. Artykuł 25 eIDAS jawnie zakazuje odmawiania skutków prawnych podpisowi elektronicznemu tylko dlatego, że ma formę elektroniczną. Podpis zwykły (SES) ma więc wartość prawną, ale nie korzysta z domniemania prawnego zarezerwowanego dla podpisów kwalifikowanych (QES). W razie sporu to ten, kto powołuje się na podpis, musi udowodnić jego autentyczność.

Jak wybrać odpowiedni poziom eIDAS dla moich umów?

Ogólna zasada to kalibrowanie poziomu do ryzyka prawnego i handlowego dokumentu. Dla typowych dokumentów o niskiej stawce (kosztorysy, wewnętrzne zamówienia) wystarcza podpis zwykły. Dla ważnych umów handlowych, umów o pracę, NDA lub pełnomocnictw zalecany jest podpis zaawansowany (AES). Podpis kwalifikowany (QES) jest zarezerwowany dla sytuacji, w których prawo go jawnie wymaga (niektóre akty administracyjne, duże zamówienia publiczne) lub gdy ryzyko kwestionowania jest maksymalne.

Jak Certyneo jest zgodne z eIDAS?

Certyneo wdraża podpis zwykły (SES) i zaawansowany (AES) zgodnie z eIDAS. Podpis zaawansowany opiera się na podwójnym OTP e-mail + SMS (OTP SMS), który wiąże sygnatariusza z jego aktem. Każda koperta generuje znakowaną czasem ścieżkę audytu zintegrowaną z ostatecznym PDF. Dane są hostowane we Francji (UE), zgodnie z wymaganiami suwerenności cyfrowej.

Czy eIDAS stosuje się do firm spoza Unii Europejskiej?

eIDAS stosuje się do usług zaufania świadczonych w UE. Firma z siedzibą poza UE, która chce, aby jej podpisy były uznawane w UE, musi używać rozwiązania zgodnego z eIDAS lub kwalifikowanego dostawcy zaufania (QTSP) uznanego na liście zaufania państwa członkowskiego. Dla międzynarodowej wymiany B2B istnieją umowy o wzajemnym uznawaniu z niektórymi krajami trzecimi.

Powiązane przewodniki

Przewodnik po podpisie elektronicznym

Definicja, działanie i ważność prawna we Francji.

Przeczytaj przewodnik

Podpis w firmie

Zastosowania według działu i wdrożenie.

Przeczytaj przewodnik

Porównanie rozwiązań

Kluczowe kryteria wyboru rozwiązania podpisu.

Przeczytaj przewodnik

Rozwiązanie zgodne z eIDAS, już dziś

Certyneo wdraża podpisy SES i AES zgodnie z rozporządzeniem eIDAS. Hosting we Francji, znakowana czasem ścieżka audytu i RODO w cenie.