eIDAS 2 vs eIDAS 1 : schimbări cheie pentru IMM-uri

Introducere: de ce eIDAS 2 schimbă regulile jocului pentru IMM-uri

Începând cu 20 mai 2024, regulamentul (UE) 2024/1183 — cunoscut în mod obișnuit sub denumirea de eIDAS 2 — a intrat în vigoare, abrogând și înlocuind progresiv regulamentul (UE) nr. 910/2014 (eIDAS 1). Pentru IMM-urile franceze, această schimbare nu este o simplă actualizare administrativă: redefinește nivelurile de încredere digitală, introduce un portofel de identitate european (EUDIW), întărește cerințele aplicabile furnizorilor de servicii de încredere și extinde domeniul serviciilor recunoscute. Acest articol compară punct cu punct eIDAS 1 și eIDAS 2, identifică impacturile operaționale concrete pentru mici și mijlocii întreprinderi și vă oferă un plan de acțiune pentru a rămâne conform în 2026.

---

1. Reamintire: ce impunea eIDAS 1 (2014-2024)

1.1 Fundamentele regulamentului inițial

Adoptat în iulie 2014 și aplicabil din septembrie 2016, eIDAS 1 a pus primii temei ai unui spațiu de încredere digital european. A introdus trei mari categorii de semnătură electronică — simplă (SES), avansată (AdES) și calificată (QES) — și a creat lista de încredere a furnizorilor calificați (Trusted List), consultabilă pe portalul Comisiei Europene.

Pentru IMM-uri, aportul major al eIDAS 1 a fost recunoașterea transfrontalieră a semnăturilor calificate: un contract semnat cu o QES franceză era recunoscut din punct de vedere juridic în Germania, Spania sau Italia fără apostilă sau formalitate suplimentară. Acest principiu — numit „non-discriminare" — a rămas baza pe care ofertele SaaS precum Certyneo și-au construit serviciile.

1.2 Limitările identificate

În ciuda progreselor sale, eIDAS 1 suferea de mai multe lacune documentate de Comisia Europeană în raportul său de evaluare din 2021:

• Fragmentarea schemelor de identitate: doar statele membre care și-au notificat schema națională (cum ar fi FranceConnect+ nivel substanțial) beneficiau de recunoașterea reciprocă. În 2023, doar 14 state din 27 aveau o schemă notificată conformă.
• Absența suportului mobil nativ: dispozitivul calificat de creare a semnăturii (QSCD) necesita adesea o carte inteligentă sau un token hardware, descurajând adoptarea mobilă.
• Servicii de încredere limitate: eIDAS 1 enumera nouă tipuri de servicii calificați; noile utilizări (arhivare electronică calificată, gestionarea atributelor) nu erau reglementate.
• Fără portofel de identitate unificat: fiecare cetățean sau întreprindere și-a gestionat identificatorii în mod silozat, fără interoperabilitate garantată.

Aceste limitări au determinat Comisia să lanseze revizuirea din 2020, cu rezultatul regulamentului eIDAS 2 după trei ani de trilogue.

---

2. Cinci mari noutăți ale eIDAS 2 pentru IMM-uri

2.1 Portofelul de identitate digitală european (EU Digital Identity Wallet — EUDIW)

Aceasta este cea mai vizibilă noutate a regulamentului. Până la luna noiembrie 2026 (termen de transpunere stabilit prin articolul 5a), fiecare stat membru trebuie să ofere cel puțin un portofel de identitate digitală certificat cetățenilor și rezidenților săi. Pentru IMM-uri, această evoluție are două consecințe directe:

1. Autentificare simplificată a clienților și partenerilor: portofelul va permite partajarea atributelor verificate (vârstă, numărul de TVA intracomunitară, extras din registrul Kbis, date bancare certificate) fără fricțiuni. Un acord-cadru cu un partener german va putea fi semnat după verificarea instantanee a atributelor sale profesionale din EUDIW-ul acestuia.
2. Obligație de acceptare pentru anumite sectoare: serviciile online ale marilor platforme (articolul 45bis) și anumite servicii publice vor trebui să accepte EUDIW ca mijloc de autentificare. IMM-urile care furnizează portaluri B2B vor trebui să-și adapteze API-urile de autentificare.

2.2 Extinderea listei serviciilor de încredere calificați

eIDAS 2 extinde catalogul serviciilor de încredere calificați de la 9 la 14 categorii. Noile intrări care privesc direct IMM-urile sunt:

• Arhiva electronică calificată (art. 45septies): conservare pe termen lung cu valoare probatorie întărită. Până acum, arhivarea cu valoare probatorie se baza pe referențiale naționale (în Franța, referențialul SIAF/ANSSI); eIDAS 2 armonizează cadrul european.
• Gestionarea de la distanță a dispozitivelor calificați de creare a semnăturii (RQSCD): acum explicit reglementată, ridică ambiguitatea care apăsa pe soluțiile cloud de semnătură calificată. Pentru un IMM cu 50 de angajați, aceasta înseamnă accesarea unei semnături calificată fără token fizic, de pe orice dispozitiv.
• Serviciul de registru electronic calificat: registrele bazate pe blockchain sau tehnologii de jurnal distribuit pot obține acum statutul calificat, deschizând calea unor noi modele de gestionare contractuală.

Pentru a afla mai multe despre nivelurile de semnătură și valoarea lor juridică, consultați ghidul complet al semnării electronice.

2.3 Consolidarea cerințelor de securitate pentru furnizori calificați (QTSP)

eIDAS 2 întărește obligațiile furnizorilor de servicii de încredere calificați (QTSP). Articolul 24 revizuit impune în special:

• O certificare de securitate cibernetică conformă cadrului european (EU Cybersecurity Act, regulamentul 2019/881), cu scheme sectoriale în curs de dezvoltare de către ENISA.
• Cerințe întărire în materie de reziliență operațională: QTSP-urile trebuie acum să-și documenteze planul de continuitate a activității și să-l supună autorității de supraveghere naționale (în Franța, ANSSI pentru furnizorii calificați).
• O obligație de notificare a incidentelor de securitate în 24 de ore (alinierea cu NIS 2).

Pentru IMM-urile utilizatoare, aceasta se traduce printr-o obligație de diligență sporită în alegerea furnizorului: verificarea că soluția dvs. de semnătură figurează pe lista de încredere europeană actualizată este acum o etapă critică a procesului de achiziție. Comparația soluțiilor de semnătură electronică vă poate ajuta în această analiză.

2.4 Interoperabilitate obligatorie a schemelor de identitate

Acolo unde eIDAS 1 le lăsa statelor membre libertatea de a notifica (sau nu) schema lor, eIDAS 2 face notificarea și interoperabilitatea obligatorii pentru schemele de identitate utilizate în serviciile publice online (art. 5). France Identité — schema națională purtată de ministerul Afacerilor Interne — este în curs de punere în conformitate cu specificațiile tehnice EUDIW, publicate de Comisie în regulamentul de executare (UE) 2024/2977.

Pentru un IMM care interacționează regulat cu autoritățile publice (achiziții publice, declarații fiscale electronice, proceduri vamale), această evoluție înseamnă că procedurile online vor fi progresiv unificate în jurul unui identificator digital unic și recunoscut în toată UE.

2.5 Noile norme de responsabilitate și supraveghere

eIDAS 2 precizează și extinde regimurile de răspundere ai furnizorilor (art. 13 revizuit). Un QTSP este acum prezumat răspunzător pentru orice daună cauzată unei persoane fizice sau juridice printr-o nerespectare a obligațiilor sale, decât dacă dovedește absența vinovăției. Această prezumție de răspundere, întărită comparativ cu eIDAS 1, ar trebui să incite IMM-urile să:

• Formalizeze prin contract angajamentele furnizorului lor (SLA, garanții de disponibilitate, indemnizare).
• Verifice acoperirea asigurării de răspundere profesională a QTSP-ului.
• Păstreze dovezile de audit ale tranzacțiilor semnate (jurnale de marcare temporală, rapoarte de verificare a semnăturii).

Echipele noastre au redactat un ghid detaliat despre semnarea electronică în întreprindere care abordează aceste aspecte contractuale.

---

3. Tabel comparativ eIDAS 1 vs eIDAS 2: ce se schimbă concret

3.1 Sinteză a evoluțiilor majore

| Criteriu | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Portofel identitate | Absent | EUDIW obligatoriu (state membre) | | Servicii calificați | 9 categorii | 14 categorii (arhivare, RQSCD, registre…) | | Notificare scheme | Facultativă | Obligatorie pentru servicii publice | | Securitate QTSP | Criterii Common Criteria | Cybersecurity Act + ENISA schemes | | Răspundere QTSP | Parțială | Prezumție de răspundere întărită | | Termen notificare incident | Nespecificat | 24 ore (alinierea NIS 2) | | QSCD mobil | Ambiguitate juridică | RQSCD explicit reglementat |

3.2 Termenele cheie de reținut pentru 2026

• Mai 2024: intrarea în vigoare a regulamentului (UE) 2024/1183.
• Noiembrie 2026: data limită pentru ca fiecare stat membru să ofere cel puțin o soluție EUDIW certificată.
• 2027: obligație pentru marile platforme (art. 45bis) să accepte EUDIW ca mijloc de autentificare.
• 2028: revizuire prevăzută a actelor de executare tehnice (regulamentele delegate privind specificațiile EUDIW).

Dacă IMM-ul dvs. intenționează să migreze către o soluție mai conformă, oferta de migrare către Certyneo include un audit de conformitate eIDAS 2 oferit gratuit.

---

4. Plan de acțiune practic pentru a pune IMM-ul dvs. în conformitate cu eIDAS 2

4.1 Audiți fluxurilor documentare existente

Începeți prin cartografierea tuturor proceselor în care utilizați în prezent semnarea electronică sau identitatea digitală: contracte furnizori, bulletin de salaru demateriozati, mandate SEPA, acorduri de confidențialitate, acte HR. Pentru fiecare flux, identificați:

• Nivelul de semnătură utilizat (SES, AdES, QES).
• Furnizorul curent și statutul acestuia pe lista de încredere.
• Nivelul de risc juridic în caz de contestare.

Acest audit este punctul de plecare recomandat de ANSSI în ghidul de punere în conformitate publicat în martie 2025.

4.2 Modernizarea soluției de semnătură

Dacă furnizorul curent nu figurează pe lista de încredere eIDAS 2 sau nu oferă încă RQSCD, este momentul să comparați ofertele pieței. Certyneo este un QTSP certificat care acceptă cele trei niveluri de semnătură (SES, AdES, QES) și integrează nativ noile cerințe eIDAS 2, în special arhivarea calificată și gestionarea de la distanță a dispozitivelor.

4.3 Instruiți echipele și actualizați contractele

eIDAS 2 consolidează valoarea probatorie a semnăturilor calificați dar impune și bune practici documentare. Asigurați-vă că echipele juridice și administrative ale voastre:

• Știu să distingă cele trei niveluri de semnătură și valoarea lor juridică respectivă.
• Integrează în contractele furnizorilor o clauză de audit de conformitate eIDAS.
• Păstrează dovezile de verificare a semnăturii (raport de validare, marcă temporală calificată) pe toată perioada de păstrare legală aplicabilă (3 la 10 ani în funcție de natura actului).

Pentru a structura această abordare, calculatorul ROI semnătură electronică vă va permite să cuantificați câștigurile operaționale asociate modernizării.

Cadrul legal aplicabil

Texte de referință

Punerea în conformitate eIDAS 2 pentru un IMM francez se încadrează într-o stratificare normativă pe care este esențial să o stăpânești.

Regulamentul (UE) 2024/1183 al Parlamentului European și al Consiliului (denumit „eIDAS 2"): acesta este textul fondator, publicat în JOUE la 30 aprilie 2024. Abroga și înlocuiește regulamentul (UE) nr. 910/2014 conform unui calendar de implementare progresivă până în 2027. Este de aplicare directă în toate statele membre, fără a necesita transpunere legislativă națională pentru principalele dispozițiile sale.

Regulamentul (UE) nr. 910/2014 (eIDAS 1): unele dintre dispozițiile sale rămân aplicabile în perioadele de tranziție prevăzute de eIDAS 2, în special pentru furnizorii calificați care și-au obținut calificarea înainte de mai 2024 și dispun de un termen pentru a se recertifica.

Codul civil francez, articolele 1366 și 1367: articolul 1366 enunță principiul echivalenței între scriptul electronic și scriptul pe hârtie, cu condiția ca „persoana din care provine să poată fi în mod corespunzător identificată și să fie stabilit și conservat în condiții de natură să garanteze integritatea acestuia". Articolul 1367 recunoaște semnătura electronică ca mod de probă, trimițând la condițiile stabilite prin decret în Consiliul de Stat (decretul nr. 2017-1416 din 28 septembrie 2017, codificat în articolele R. 1369-1 la R. 1369-10 din Codul civil).

Regulamentul (UE) 2016/679 (GDPR): implementarea EUDIW și tratamentul atributelor de identitate în fluxurile de semnătură electronică constituie tratamente de date cu caracter personal conform GDPR. IMM-urile trebuie să se asigure că QTSP-ul lor acționează în calitate de subcontractor în sensul articolului 28 GDPR, cu un DPA (Data Processing Agreement) conform. CNIL a publicat în ianuarie 2026 o recomandare specifică privind integrarea EUDIW-GDPR.

Directiva (UE) 2022/2555 (NIS 2): eIDAS 2 se aliniază explicit la NIS 2 pentru obligațiile de notificare a incidentelor (art. 24, alin. 2 eIDAS 2 trimitând la dispozițiile NIS 2). QTSP-urile sunt considerate entități „esențiale" sau „importante" în sensul NIS 2 în funcție de dimensiunea lor și sunt supuse ca atare auditurilor de securitate regulate.

Norme ETSI: semnăturile electronice calificate trebuie să respecte normele ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) și ETSI EN 319 102-1 (procedură de validare). Norma ETSI TS 119 461 reglementează verificarea de la distanță a identității (IDV), deosebit de relevanță pentru RQSCD.

Riscuri juridice în caz de neconformitate

Utilizarea unei soluții de semnătură electronică neconformă cu eIDAS 2 expune IMM-ul la mai multe riscuri:

• Inadmisibilitate în justiție: un judecător poate respinge o semnătură electronică al cărei nivel nu corespunde actului semnat (ex.: semnătură simplă pentru un act care necesită nivel avansat sau calificat).
• Răspundere contractuală: dacă un contract este contestat de un partener pe motiv de nulitate a semnăturii, IMM-ul poate fi expus la demande de indemnizare.
• Sancțiuni GDPR: în caz de încălcare a datelor legată de defect de securitate al furnizorului, IMM-ul, co-responsabil sau responsabil de tratament, poate fi sancționat de CNIL până la 4% din cifra de afaceri anuală mondială (art. 83 alin. 4 GDPR).

Scenarii concrete de utilizare

Scenariul 1: un IMM industrial cu 80 de angajați gestionând 400 de contracte furnizori pe an

Un IMM din sectorul prelucrării metalelor care tratează aproximativ 400 de contracte furnizori anual utiliza până în 2024 o soluție de semnătură electronică simplă (SES) pentru toate angajamentele, inclusiv contracte-cadru depășind 50.000 €. După un audit de conformitate eIDAS 2, a constatat că 35% din contractele sale necesitau semnătură avansată sau calificată pentru a rezista la contestare judiciară, în special cu furnizori înființați în alte state membre ale UE.

Prin migrarea către o soluție combinând semnătură avansată (AdES) pentru contractele curente și calificată (QES) pentru contractele-cadru, și prin activarea arhivării electronice calificați (nou serviciu eIDAS 2), acest IMM a redus cu 70% timpul dedicat gestionării documentare post-semnătură (clasificare, căutare, trimitere de copii certificate) și a redus la zero litigiile legate de contestare de semnătură în cei 18 luni următori, comparativ cu două incidente în cei 18 luni precedenți.

Scenariul 2: un cabinet de consiliu juridic cu 15 colaboratori

Un cabinet specializat în drept afacerilor, emițând în medie 1.200 de acte semnate pe an (scrisori de mandat, mandate, acorduri de confidențialitate), se confrunta cu cerere crescândă din partea clienților corp pentru semnături calificați recunoscute în toată UE. Conform eIDAS 1, obținerea unui certificat calificat necesita o procedură față în față sau o verificare video lungă (45 la 90 de minute pe utilizator).

Datorită RQSCD (Remote Qualified Signature Creation Device) reglementat de eIDAS 2, cabinetul a putut implementa semnătură calificată pentru toți colaboratorii în mai puțin de două săptămâni, prin intermediul unei proceduri de înscriiere 100% distanță conformă normei ETSI TS 119 461. Rata de adoptare internă a crescut de la 40% la 95% în trei luni, și termenul mediu de returnare a actelor semnate a fost redus de la 4,2 zile la mai puțin de 6 ore conform măsurătorilor interne ale cabinetului.

Scenariul 3: un IMM de comerț electronic operând în trei țări ale UE

O companie de vânzări online angajând 35 de persoane și operând în Franța, Belgia și Olanda trebuia să gestioneze trei tipuri de acorduri electronice: contracte de muncă pentru salariații locali, acorduri de parteneriat cu transportatori și mandate SEPA pentru clienții profesioniști. Fragmentarea cerințelor naționale conform eIDAS 1 o forța să mențină trei fluxuri de semnătură distincte, cu costuri de gestionare estimate la aproximativ 12.000 € pe an.

Adoptarea unei soluții unice conforme cu eIDAS 2 — integrând recunoașterea reciprocă a semnăturilor calificați în cele trei țări — a permis unificarea fluxurilor, reducerea costului de gestionare la aproximativ 4.500 € pe an (economie de 62%) și eliminarea întârzierilor legate la validare manuală a semnăturilor străine de către serviciul juridic.

Concluzie

eIDAS 2 nu este o simplă revizuire cosmetică a cadrului de reglementare: redefinește în profunzime regulile jocului de încredere digitală în Europa. Pentru IMM-urile franceze, cele cinci evoluții majore — portofel EUDIW, extindere a serviciilor calificați, RQSCD, interoperabilitate obligatorie și răspundere întărită — reprezintă atât o constrângere de punere în conformitate cât și o oportunitate de accelerare a transformării documentare.

IMM-urile care anticipează aceste schimbări deja astazi vor beneficia de un avantaj concurențial real: contracte recunoscute în toată UE fără fricțiuni, arhivare cu valoare probatorie integrată, și procese de semnătură integral demateriozate și securizate.

Certyneo este proiectat pentru a însoți această tranziție. Porniți proba gratuită pe certyneo.com și beneficiați de audit de conformitate eIDAS 2 oferit pentru fluxurile dvs. documentare existente.