Tranziția eIDAS 1 la eIDAS 2 : impacturi asupra semnăturii în 2025

La 20 mai 2024, regulamentul (UE) 2024/1183 — denumit în mod obișnuit eIDAS 2 — a fost publicat în Jurnalul Oficial al Uniunii Europene, abrogând progresiv regulamentul nr. 910/2014 (eIDAS 1). Acest text reprezintă reforma cea mai structurală a identității digitale și a semnăturii electronice în Europa din 2016. Pentru întreprinderile franceze care utilizează soluții de semnătură electronică în fluxurile lor contractuale, tranziția nu este o formalitate: implică ajustări tehnice, juridice și organizaționale al căror orizont se întinde până în 2026 și dincolo. Înțelegerea tranziției de la eIDAS 1 la eIDAS 2 și impactul acesteia asupra semnăturii electronice în 2025 a devenit o prioritate pentru direcțiile juridice, DSI și DRH. Acest articol descramă evoluțiile fundamentale ale cadrului, calendarul precis al tranziției și măsurile concrete pe care trebuie să le luați pentru a rămâne conformi.

Ce modifică în mod fundamental regulamentul eIDAS 2

De la regulamentul din 2014 la refacerea din 2024: de ce era necesară o revizuire

EIDAS 1 pusese jaloanele recunoașterii reciproce a semnăturilor electronice în cadrul Uniunii. Trei niveluri ierarhice — simplu (SES), avansat (AdES) și calificat (QES) — structurau valoarea probatorie a semnăturilor, susținute de o listă de furnizori de servicii de încredere (TSL). Dar în zece ani, au apărut două lacune majore.

Premierul, regulamentul original se aplica în esență relațiilor cu administrațiile publice (G2B, G2C). Nu crea obligații directe în tranzacțiile private (B2B, B2C), lăsând un gol normativ pe care fiecare stat membru îl completa în mod heterogen. În al doilea rând, ascensiunea serviciilor digitale — aplicații mobile, open banking, telemedicină — revelase absența unui sistem de identitate digitală portabil și interoperabil la nivel continental.

EIDAS 2 răspunde la aceste două provocări introducând portofelul european de identitate digitală (EU Digital Identity Wallet, EUDIW) și extinzând domeniul serviciilor de încredere la cazuri de utilizare noi: arhivare electronică calificată, atestări de atribute calificate, registre electronice calificate (inclusiv aplicații blockchain certificate).

Noile categorii de servicii de încredere calificate

Regulamentul eIDAS 2 extinde lista serviciilor de încredere calificate (articolul 3 și anexa IV revizuită). Pe lângă semnăturile, ștampilele și marcajele temporale calificate deja recunoscute de eIDAS 1, sunt acum calificate:

• Serviciile de arhivare electronică calificată (art. 34 bis): obligația de a păstra integritatea și lizibilitatea documentelor semnate pe termen lung, cu cerințe întărite pentru furnizori (QTSP).
• Serviciile de gestionare a dispozitivelor de creare a semnăturii la distanță calificate (QRCD): reglementare întărită a soluțiilor de semnătură la distanță prin HSM (Hardware Security Module) cloud.
• Atestări de atribute calificate: mecanism care permite unui terț de încredere să certifice atributele unei entități (ex. calitate de avocat, statut de medic) fără a dezvălui întreaga identitate.
• Registrele electronice calificate: recunoașterea registrelor distribuite sub condiții stricte de auditabilitate și reziliență.

Pentru utilizatorii de soluții de semnătură electronică, această extindere înseamnă că serviciile de încredere calificate disponibile pe piață vor deveni mai diversificate, iar criteriile de selectare a unui furnizor (QTSP) trebuie să integreze aceste noi capacități.

EUDIW: portofelul de identitate digitală ca infrastructură a semnăturii

Inovația cea mai vizibilă a eIDAS 2 rămâne EUDIW. Fiecare stat membru va trebui să pună la dispoziția cetățenilor și rezidenților săi un portofel de identitate digitală gratuit, interoperabil cu toți ceilalți membri, până la 26 noiembrie 2026 (termen de conformare națională conform articolului 5 bis). Acest portofel va permite:

• autentificarea utilizatorului cu un nivel ridicat de asigurare (LoA High) fără a recurge la un furnizor terț de identificare;
• semnarea electronică a documentelor cu valoare calificată (QES) direct din portofel;
• partajarea selectivă a atributelor de identitate (selective disclosure), respectând astfel principiul minimizării datelor din RGPD.

Pentru întreprinderi, EUDIW simplifică teoretic procedurile de verificare a identității anterioare semnării calificate, eliminând fricțiunea identificării video sau identificării față în față. În practică, impactul depinde de ritmul implementării naționale — Franța a lansat în 2025 o experimentare pilot în cadrul programului „France Identité".

Calendar precis al tranziției eIDAS 1 la eIDAS 2

Jaloanele reglementare pe care trebuie să le cunoașteți

Regulamentul 2024/1183 a intrat în vigoare la 20 mai 2024, dar aplicarea sa este progresivă. Iată termenele cheie:

| Data | Eveniment | |------|----------| | 20 mai 2024 | Publicare în JOUE, intrare în vigoare formală | | 20 noiembrie 2024 | Termen de 6 luni pentru adoptarea actelor de execuție de către Comisie (specificații tehnice EUDIW) | | Sfârșitul 2025 | Publicarea normelor ETSI revizuite (EN 319 411-1/2, EN 319 401) integrând cerințele eIDAS 2 | | 26 mai 2026 | Termen limită pentru conformarea statelor membre la noile categorii de servicii calificate | | 26 noiembrie 2026 | Disponibilitate obligatorie a EUDIW de fiecare stat membru | | 2027-2028 | Revizuire completă a listelor de încredere naționale (TSL) și acreditare a noilor QTSP |

EIDAS 1 rămâne valid și semnăturile emise sub regimul său păstrează valoarea juridică deplină. Nu există nici o obligație de re-semna documentele existente. În schimb, furnizorii de servicii de încredere calificați vor trebui să-și reînnoiască acreditarea conform noilor norme tehnice până în 2027.

Ce nu se schimbă și ce trebuie să urmăriți

Continuitatea este un principiu cardinal al tranziției. Cele trei niveluri de semnătură (SES, AdES, QES) sunt menținute cu definițiile lor neschimbate. Prezumția de echivalență cu o semnătură olografă anexată la QES (articolul 25 eIDAS 1, preluat la articolul 27 eIDAS 2) rămâne în vigoare. Valoarea probatorie a semnăturilor electronice actuale nu este pusă în discuție.

Ceea ce trebuie să urmăriți în schimb: actele de execuție (implementing acts) publicate de Comisia Europeană pe parcursul 2025-2026 vor fixa specificațiile tehnice precise ale EUDIW și ale noilor categorii de servicii. Aceste texte de nivel 2 au o importanță practică considerabilă pentru integratori și editori de software. Pentru întreprinderi care utilizează semnătura electronică în procesele lor HR sau juridice, se recomandă solicitarea unui plan de conformitate eIDAS 2 furnizorului.

Impact concret asupra întreprinderilor și soluțiilor lor de semnătură

Ce fluxuri sunt afectate prioritar?

Tranziția eIDAS 1 la eIDAS 2 nu are același impact în funcție de nivelul de semnătură utilizat. Pentru întreprinderi, trei situații se distinge:

Semnătură electronică simplă (SES): utilizată pentru aventuri de valoare scăzută, confirmări de primire, formulare interne. Nici o obligație de actualizare imediată. Regulile probatorii rămân reglementate de Codul civil (art. 1366-1367) și nu direct de eIDAS.

Semnătură electronică avansată (AdES/AdESQC): întreprinderile care utilizează soluții B2B pentru contracte comerciale, contracte de muncă desmaterializate sau acte imobiliare trebuie să verifice că furnizorul lor menține conformitate cu normele ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) și EN 319 142 (PAdES) în versiunile lor revizuite pentru eIDAS 2. Aceste norme vor fi publicate de ETSI până la sfârșitul 2025.

Semnătură electronică calificată (QES): furnizorii calificați (QTSP) vor trebui să treacă la o nouă acreditare eIDAS 2. Perioada de tranziție acordă un termen rezonabil (până în 2027), dar apelurile de oferte lansate din 2025 ar trebui să integreze o clauză de conformitate eIDAS 2 în criteriile de selecție. Pentru organizații care compară opțiunile disponibile, comparația soluțiilor de semnătură electronică permite evaluarea maturității editorilor pe această temă.

Noi cerințe pentru furnizori de servicii de încredere calificați (QTSP)

EIDAS 2 înăsprește cerințele aplicabile QTSP pe trei puncte majore:

1. Securitatea sistemelor: aliniere obligatorie pe NIS2 (directiva (UE) 2022/2555) pentru QTSP, acum clasificați ca entități esențiale. Aceasta se traduce prin obligații de notificare a incidentelor în 24 de ore, audituri de securitate anuale și implementarea planurilor de continuitate a activității.

1. Responsabilitate întărită: articolul 13 eIDAS 2 lărgește regimul de responsabilitate al QTSP. În caz de încălcare dovedită, inversarea sarcinii probei: furnizorul trebuie să demonstreze că nu a comis neglijență, și nu invers.

1. Interoperabilitate obligatorie: QTSP vor trebui să expună API standardizate compatibile cu EUDIW pentru a permite integrarea nativă a portofelelor de identitate. Această cerință va accelera modernizarea interfețelor de integrare disponibile pentru dezvoltatori.

Pentru întreprinderi care lucrează la schimbarea furnizorului în acest context, migrarea de la DocuSign sau YouSign la o soluție conformă eIDAS 2 este o demersă pe care merită să o anticipați acum mai degrabă decât în urgență în 2027.

Date personale și eIDAS 2: articulația cu RGPD

EUDIW colectează și prelucrează date de identitate cu caracter personal. Regulamentul eIDAS 2 prevede explicit (considerentul 11 și articolul 5 bis §14) că întregul dispozitiv trebuie să fie conform cu RGPD (regulamentul (UE) 2016/679). Câteva puncte de atenție:

• Selective disclosure: portofelul trebuie să permită utilizatorului să nu partajeze decât atributele strict necesare tranzacției (principiul minimizării, art. 5(1)(c) RGPD). Pentru o semnare de contract, ar putea fi partajată doar verificarea majorității fără a dezvălui data completă de naștere.
• Transferuri în afara UE: datele de identitate prelucrate în cadrul EUDIW nu pot fi transferate în afara SEE decât cu garanții corespunzătoare (art. 46 RGPD). Furnizorii care utilizează infrastructuri cloud americane trebuie să-și documenteze conformitatea.
• Conservarea jurnalelor de semnătură: arhivarea dovezilor de semnătură trebuie să respecte durata de conservare proporționată cu natura documentului. Noul serviciu de arhivare calificat eIDAS 2 oferă un cadru tehnic pentru a răspunde acestei cerințe.

Întreprinderile care gestionează contracte de muncă internaționale sunt în mod special afectate de această articulație RGPD/eIDAS 2, mai ales atunci când semnatorii locuiesc în afara UE.

Cadrul legal aplicabil tranziției eIDAS 1 la eIDAS 2

Texte de referință

Tranziția se bazează pe un stivuire de texte pe care este indispensabil să le stăpâniți:

La nivel european:

• Regulamentul (UE) nr. 910/2014 (eIDAS 1): încă în vigoare până la abrogarea sa progresivă de eIDAS 2. Definește cele trei niveluri de semnătură (SES, AdES, QES) și regimul QTSP.
• Regulamentul (UE) 2024/1183 (eIDAS 2): intrat în vigoare la 20 mai 2024. Modifică substanțial eIDAS 1 fără să-l abroge imediat. Dispozițiile privind EUDIW se aplică din publicarea actelor de execuție.
• Regulamentul (UE) 2016/679 (RGPD): se aplică integral prelucrării datelor de identitate în contextul EUDIW și al proceselor de semnătură. Articolul 5 bis §14 din eIDAS 2 amintește explicit această subordinare.
• Directiva (UE) 2022/2555 (NIS2): impune obligații de securitate cibernetică întărite QTSP, acum clasificați entități esențiale. Transpusă în dreptul francez prin ordonanța nr. 2024-821 din 20 iunie 2024 (în curs de decret de aplicare).

La nivel francez:

• Codul civil, articolele 1366 și 1367: fundamentul valorii probatorii a scrisorilor sub formă electronică. Articolul 1366 stabilește echivalența dintre scrisul electronic și hârtie sub condiții. Articolul 1367 conferă semnăturii calificate (QES) aceeași forță probatorie ca o semnătură olografă.
• Decretul nr. 2017-1416 din 28 septembrie 2017: precizează condițiile de utilizare a semnăturii electronice în actele sub semnătură privată. Rămâne aplicabil în perioada de tranziție.
• Referențialul general de securitate (RGS) v2: pentru administrațiile franceze, RGS impune utilizarea de soluții referențiate de ANSSI. Actualizarea sa pentru integrarea eIDAS 2 se așteaptă în cursul 2026.

Norme tehnice ETSI aplicabile

Normele ETSI constituie nivelul 3 al ierarhiei normative. Versiunile actuale aplicabile:

• EN 319 132-1/2: format XAdES (semnături XML avansate)
• EN 319 122-1/2: format CAdES (semnături CMS avansate)
• EN 319 142-1/2: format PAdES (semnături PDF avansate)
• EN 319 401: cerințe generale pentru furnizori de servicii de încredere
• EN 319 411-1/2: cerințe pentru AC care emit certificate calificate

Aceste norme vor fi revizuite până la sfârșitul 2025 pentru a integra noile cerințe eIDAS 2. Contractele cu QTSP trebuie să includă o clauză de actualizare la versiunile revizuite fără cost suplimentar.

Riscuri juridice ale neconformității

O semnătură emisă de un furnizor care nu ar mai fi acreditat după 2027 nu ar pierde automat valoarea juridică pentru documentele deja semnate, dar nu ar mai beneficia de prezumția legală de echivalență cu o semnătură olografă (art. 25 eIDAS). Sarcina probei integrității și identității semnatarului ar reveni atunci în întregime întreprinderii în caz de litigiu. Acest risc probator este deosebit de sensibil pentru actele al căror termen de prescripție este lung (5 ani în materie comercială, 30 de ani pentru drepturi reale imobiliare).

Scenarii de utilizare: cum organizații anticipează tranziția eIDAS 2

Scenariu 1: un cabinet de avocați cu 25 de colaboratori raționaliza conformitatea sa documentară

Un cabinet de avocați specializat în drept comercial, cu aproximativ 25 de colaboratori și o activitate intensă de semnare a mandatelor, acte de cesiune și protocoale de acord, utiliza până în 2024 o soluție de semnătură avansată (AdES) pentru totalitatea fluxurilor sale. La anunțul eIDAS 2, cabinetul a realizat un audit al celor 1 200 de documente semnate anual pentru a identifica pe cei care necesită QES conform noilor recomandări ale baroului său.

Rezultat: 15% din acte (aproximativ 180 pe an) au fost reclasificate către semnătura calificată, ceea ce a permis securizarea regimului probator al acestor documente. Cabinetul a negociat cu editorul de semnătură o clauză garantând conformitatea eIDAS 2 din publicarea actelor de execuție, fără cost suplimentar. Timpul administrativ legat de verificarea identității semnatarilor a scăzut cu 40% datorită anticipării integrării EUDIW planificate pentru 2026.

Scenariu 2: o PME industrială cu 150 de salariați securizează lanțul contractual furnizorilor

O PME industrială care gestionează aproximativ 350 de contracte furnizori pe an — comenzi, NDA, contracte-cadru — funcționa cu două soluții de semnătură distincte pentru fluxurile sale interne și externe, creând o fragmentare a dovezilor de audit. În contextul tranziției eIDAS 2 și al noilor cerințe de arhivare calificată, DSI a hotărât să unificeze platforma sa.

Prin migrarea la o soluție unică integrând arhivarea electronică calificată (viitoare categorie eIDAS 2), PME a redus costurile de stocare sigură cu 30% și a consolidat dovezile de semnătură într-un seif digital conform. Întreaga lanț documentar este acum auditabil în mai puțin de 2 minute în cursul controalelor furnizorilor — o cerință din ce în ce mai frecventă a donatorilor lor de comenzi în industria automobilului.

Scenariu 3: un grupament spitalicesc cu aproximativ 600 de paturi pregătește integrarea EUDIW

Un grupament spitalicesc public utiliza semnătura electronică calificată pentru contractele sale medicale și pentru piețele sale publice, conform obligațiilor codului cumpărărilor publice. Cu eIDAS 2, serviciul de informatică a identificat două probleme prioritare: integrarea viitoare a portofelului « France Identité » pentru medicii liberi care intervin în estableciment, și conformitatea NIS2 a QTSP-ului său.

Grupamentul a înscris în schema sa de direcție digitală 2025-2028 un lot specific « conformitate eIDAS 2 », cu un buget previzionat de 45 000 € pentru migrația tehnică și formarea agenților. Obiectivul este să fie în măsură să accepte semnături prin EUDIW din implementarea națională prevăzută pentru noiembrie 2026, reducând astfel termenele de contractare cu profesioniștii de sănătate liberi de la 3 zile la mai puțin de 4 ore în medie conform benchmark-urilor sectoriale disponibile.

Concluzie

Tranziția eIDAS 1 la eIDAS 2 nu este o ruptură ci o evoluție structurată, cu un calendar precis s-étendant până în 2027. Impacturile asupra semnăturii electronice sunt reale — extinderea serviciilor calificate, sosirea EUDIW, înăsprirea cerințelor NIS2 pentru QTSP — dar gestionabile atâta timp cât sunt anticipate. Întreprinderile care acționează acum beneficiază de o marjă de manevră pentru a audita fluxurile, a securiza contractele cu furnizorii și a forma echipele fără presiune urgentă de reglementare.

Certyneo însoțește întreprinderile în această tranziție cu un plan de conformitate eIDAS 2 clar, formate de semnătură menținute la zi și o arhitectură gata pentru integrarea EUDIW. Pregătit să securizezi fluxurile de semnătură în acest nou cadru reglementar? Descoperă ofertele noastre și începe gratuit pe Certyneo.