eIDAS 2 vs eIDAS 1: ключевые изменения для МСП

Введение: почему eIDAS 2 меняет правила игры для МСП

С 20 мая 2024 года регламент (ЕС) 2024/1183 — обычно называемый eIDAS 2 — вступил в силу, отменяя и постепенно заменяя регламент (ЕС) № 910/2014 (eIDAS 1). Для французских МСП этот переход — не просто административное обновление: он переопределяет уровни цифрового доверия, вводит европейский портал цифровой идентичности (EUDIW), усиливает требования к поставщикам услуг доверия и расширяет сферу признанных услуг. В этой статье сравниваются eIDAS 1 и eIDAS 2 пункт за пунктом, определяются конкретные операционные влияния на малые и средние предприятия и предлагается план действий для соответствия требованиям в 2026 году.

---

1. Напоминание: что устанавливал eIDAS 1 (2014-2024)

1.1 Основы первоначального регламента

Принятый в июле 2014 года и применяемый с сентября 2016 года, eIDAS 1 заложил первые камни в фундамент европейского пространства цифрового доверия. Он ввел три основные категории электронной подписи — простая (SES), продвинутая (AdES) и квалифицированная (QES) — и создал список доверия квалифицированных поставщиков (Trusted List), доступный на портале Европейской комиссии.

Для МСП главный вклад eIDAS 1 заключался в трансграничном признании квалифицированных подписей: контракт, подписанный с помощью французского QES, получал юридическое признание в Германии, Испании или Италии без апостиля и дополнительных формальностей. Этот принцип — называемый «недискриминацией» — стал основой, на которой компании наподобие Certyneo построили свои услуги.

1.2 Выявленные ограничения

Несмотря на свои достижения, eIDAS 1 страдал от нескольких пробелов, задокументированных Европейской комиссией в её оценочном отчете 2021 года:

• Фрагментация схем идентичности: только государства-члены, уведомившие о своей национальной схеме (например, FranceConnect+ существенного уровня), получали взаимное признание. В 2023 году только 14 из 27 государств-членов уведомили о соответствующей схеме.
• Отсутствие встроенной поддержки мобильных устройств: квалифицированное устройство создания подписи (QSCD) часто требовало смарт-карту или материальный токен, препятствуя мобильному внедрению.
• Ограниченные услуги доверия: eIDAS 1 насчитывал девять типов квалифицированных услуг; новые использования (квалифицированный электронный архив, управление атрибутами) не подпадали под регулирование.
• Отсутствие единого портала идентичности: каждый гражданин или предприятие управлял своими идентификаторами отдельно, без гарантированной совместимости.

Эти ограничения побудили Комиссию начать пересмотр в 2020 году, что привело к регламенту eIDAS 2 после трех лет переговоров.

---

2. Пять крупных инноваций eIDAS 2 для МСП

2.1 Портал европейской цифровой идентичности (EU Digital Identity Wallet — EUDIW)

Это самая видимая инновация регламента. До ноября 2026 года (срок транспозиции, установленный статьей 5a) каждое государство-член должно предложить своим гражданам и резидентам по крайней мере один сертифицированный портал цифровой идентичности. Для МСП это развитие имеет два прямых следствия:

1. Упрощенная аутентификация клиентов и партнеров: портал позволит обмениваться проверенными атрибутами (возраст, номер НДС в ЕС, выписка из реестра компаний, проверенные банковские данные) без трений. Рамочное соглашение с немецким партнером сможет быть подписано после мгновенной проверки его профессиональных атрибутов из его EUDIW.
2. Обязательность принятия в некоторых секторах: онлайн-услуги крупных платформ (статья 45bis) и определенные государственные услуги должны будут принимать EUDIW как способ аутентификации. МСП, которые предоставляют порталы B2B, должны будут адаптировать свои API аутентификации.

2.2 Расширение каталога квалифицированных услуг доверия

eIDAS 2 расширяет каталог квалифицированных услуг доверия с 9 до 14 категорий. Новые записи, непосредственно относящиеся к МСП:

• Квалифицированный электронный архив (ст. 45septies): длительное хранение с усиленной доказательственной силой. До сих пор архивирование с доказательственной силой опиралось на национальные справочники (во Франции на справочник SIAF/ANSSI); eIDAS 2 гармонизирует европейскую базу.
• Удаленное управление квалифицированными устройствами создания подписи (RQSCD): теперь явно регулируется, устраняя неясности, которые висели над облачными решениями квалифицированной подписи. Для МСП из 50 работников это означает доступ к квалифицированной подписи без физического токена с любого устройства.
• Услуга квалифицированного электронного реестра: реестры, основанные на блокчейне или технологиях распределенного реестра, теперь могут получить квалифицированный статус, открывая новые модели управления контрактами.

Для более подробной информации об уровнях подписи и их юридической ценности см. наш полный справочник по электронной подписи.

2.3 Усиление требований безопасности для квалифицированных поставщиков (QTSP)

eIDAS 2 ужесточает обязательства квалифицированных поставщиков услуг доверия (QTSP). Пересмотренная статья 24 требует в частности:

• Сертификацию кибербезопасности, соответствующую европейской базе (EU Cybersecurity Act, регламент 2019/881), с секторальными схемами, разрабатываемыми ENISA.
• Усиленные требования по операционной устойчивости: QTSP теперь должны документировать свой план непрерывности деятельности и представлять его национальному органу надзора (во Франции ANSSI для квалифицированных поставщиков).
• Обязательность уведомления об инцидентах безопасности в течение 24 часов (согласование с NIS 2).

Для МСП-пользователей это означает усиленную должную осмотрительность при выборе поставщика: проверка того, что ваше решение для подписи фигурирует в актуальном Европейском списке доверия, становится критическим этапом процесса закупки. Наш сравнительный анализ решений электронной подписи может помочь вам в этом анализе.

2.4 Обязательная совместимость схем идентичности

Там, где eIDAS 1 оставлял государствам-членам свободу в уведомлении (или нет) своей схемы, eIDAS 2 делает уведомление и совместимость обязательными для схем идентичности, используемых в онлайн-услугах государственного сектора (ст. 5). France Identité — национальная схема, которую несет Министерство внутренних дел — находится в процессе приведения в соответствие с техническими спецификациями EUDIW, опубликованными Комиссией в исполнительном регламенте (ЕС) 2024/2977.

Для МСП, которая регулярно взаимодействует с государственными органами (государственные закупки, электронные декларации, таможенные процедуры), это развитие означает, что процедуры в Интернете будут постепенно объединены вокруг единого цифрового идентификатора, признаваемого во всей ЕС.

2.5 Новые правила ответственности и надзора

eIDAS 2 уточняет и расширяет режимы ответственности поставщиков (пересмотренная ст. 13). QTSP теперь предположительно несет ответственность за любой ущерб, причиненный физическому или юридическому лицу нарушением его обязательств, если только он не докажет отсутствие вины. Эта предполагаемая ответственность, усиленная по сравнению с eIDAS 1, должна побудить МСП:

• Формализировать в контракте обязательства поставщика (SLA, гарантии доступности, возмещение).
• Проверить покрытие страховки профессиональной ответственности QTSP.
• Сохранять доказательства аудита подписанных транзакций (журналы отметок времени, отчеты проверки подписей).

Наши команды составили подробное руководство по электронной подписи в компании, которое охватывает эти договорные аспекты.

---

3. Сравнительная таблица eIDAS 1 vs eIDAS 2: что конкретно меняется

3.1 Резюме основных развитий

| Критерий | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Портал идентичности | Отсутствует | EUDIW обязателен (государства-члены) | | Квалифицированные услуги | 9 категорий | 14 категорий (архив, RQSCD, реестры…) | | Уведомление схем | Факультативно | Обязательно для государственных услуг | | Безопасность QTSP | Критерии Common Criteria | Cybersecurity Act + схемы ENISA | | Ответственность QTSP | Частичная | Усиленная предполагаемая ответственность | | Срок уведомления инцидента | Не указан | 24 часа (согласование NIS 2) | | Мобильное QSCD | Юридическая неясность | RQSCD явно регулируется |

3.2 Ключевые сроки, которые нужно помнить на 2026 год

• Май 2024: вступление в силу регламента (ЕС) 2024/1183.
• Ноябрь 2026: крайний срок для каждого государства-члена предложить по крайней мере одно сертифицированное решение EUDIW.
• 2027: обязательство для крупных платформ (ст. 45bis) принимать EUDIW как способ аутентификации.
• 2028: предусмотренный пересмотр технических исполнительных актов (делегированные регламенты по спецификациям EUDIW).

Если ваша МСП планирует миграцию на более соответствующее решение, наше предложение по миграции на Certyneo включает предоставленный бесплатно аудит соответствия eIDAS 2.

---

4. Практический план действий для приведения вашей МСП в соответствие eIDAS 2

4.1 Проведите аудит существующих документооборотов

Начните с картирования всех процессов, в которых вы в настоящее время используете электронную подпись или цифровую идентичность: контракты поставщиков, электронные зарплатные листы, мандаты SEPA, соглашения о конфиденциальности, документы HR. Для каждого потока определите:

• Используемый уровень подписи (SES, AdES, QES).
• Текущего поставщика и его статус в Trusted List.
• Уровень юридического риска в случае оспаривания.

Этот аудит — рекомендуемая отправная точка ANSSI в его справочнике по приведению в соответствие, опубликованном в марте 2025 года.

4.2 Обновите ваше решение для подписи

Если ваш текущий поставщик не указан в Trusted List eIDAS 2 или еще не предлагает RQSCD, пришло время сравнить предложения на рынке. Certyneo — это сертифицированный QTSP, поддерживающий все три уровня подписи (SES, AdES, QES) и нативно интегрирующий новые требования eIDAS 2, включая квалифицированный архив и удаленное управление устройствами.

4.3 Обучите свои команды и обновите контракты

eIDAS 2 усиливает доказательственную силу квалифицированных подписей, но также требует надлежащих документационных практик. Убедитесь, что ваши юридические и административные команды:

• Могут различать три уровня подписи и их соответствующую юридическую ценность.
• Интегрируют в контракты поставщиков пункт об аудите соответствия eIDAS.
• Сохраняют доказательства проверки подписи (отчет валидации, квалифицированная отметка времени) в течение применимого периода хранения (3-10 лет в зависимости от характера документа).

Чтобы структурировать этот подход, наш калькулятор ROI электронной подписи позволит вам количественно оценить операционные выгоды от обновления.

Применимая правовая база

Справочные документы

Приведение в соответствие eIDAS 2 для французской МСП вписывается в нормативный стек, который необходимо освоить.

Регламент (ЕС) 2024/1183 Европейского парламента и Совета (именуемый «eIDAS 2»): это основополагающий текст, опубликованный в OJEU 30 апреля 2024 года. Он отменяет и заменяет регламент (ЕС) № 910/2014 в соответствии с графиком поэтапного развертывания до 2027 года. Он непосредственно применяется во всех государствах-членах без необходимости национальной законодательной трансposition для его основных положений.

Регламент (ЕС) № 910/2014 (eIDAS 1): некоторые из его положений остаются применимыми в течение переходных периодов, предусмотренных eIDAS 2, в частности для квалифицированных поставщиков, получивших квалификацию до мая 2024 года и имеющих время на пересертификацию.

Гражданский кодекс Франции, статьи 1366 и 1367: статья 1366 устанавливает принцип эквивалентности между электронным и бумажным документом при условии, что «лицо, от которого он исходит, может быть надлежащим образом идентифицировано и что он установлен и сохранен в условиях, гарантирующих его целостность». Статья 1367 признает электронную подпись как способ доказательства, отсылая к условиям, установленным декретом в Совете государства (декрет № 2017-1416 от 28 сентября 2017 года, кодифицированный в статьях R. 1369-1 к R. 1369-10 Гражданского кодекса).

Регламент (ЕС) 2016/679 (GDPR): развертывание EUDIW и обработка атрибутов идентичности в потоках электронной подписи представляют собой обработку персональных данных в смысле GDPR. МСП должны убедиться, что их QTSP действует как подрядчик в смысле статьи 28 GDPR с соответствующим соглашением об обработке данных (DPA). CNIL опубликовала в январе 2026 года специальную рекомендацию по интеграции EUDIW-GDPR.

Директива (ЕС) 2022/2555 (NIS 2): eIDAS 2 явно согласуется с NIS 2 по обязательствам по уведомлению инцидентов (ст. 24, §2 eIDAS 2 со ссылкой на положения NIS 2). QTSP считаются «существенными» или «важными» субъектами в смысле NIS 2 в зависимости от их размера и подлежат регулярным проверкам безопасности.

Стандарты ETSI: квалифицированные электронные подписи должны соответствовать стандартам ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) и ETSI EN 319 102-1 (процедура валидации). Стандарт ETSI TS 119 461 регулирует удаленную проверку идентичности (IDV), особенно релевантную для RQSCD.

Юридические риски при несоответствии

Использование решения электронной подписи, не соответствующего eIDAS 2, подвергает МСП нескольким рискам:

• Недопустимость в суде: судья может отклонить электронную подпись, уровень которой не соответствует подписанному документу (например, простая подпись для документа, требующего продвинутого или квалифицированного уровня).
• Договорная ответственность: если контракт оспаривается партнером по основанию недействительности подписи, МСП может быть подвергнута требованиям возмещения убытков.
• Санкции GDPR: в случае нарушения данных из-за дефекта безопасности поставщика МСП как соответственный или ответственный обработчик может быть оштрафована CNIL до 4% годового мирового оборота (ст. 83 §4 GDPR).

Конкретные сценарии использования

Сценарий 1: промышленная МСП из 80 работников, управляющая 400 контрактами поставщиков в год

МСП в секторе металлообработки, обрабатывающая около 400 контрактов поставщиков ежегодно, использовала до 2024 года решение простой электронной подписи (SES) для всех своих обязательств, включая рамочные контракты на сумму более 50 000 евро. После проведения аудита соответствия eIDAS 2 она обнаружила, что 35% ее контрактов требуют продвинутой или квалифицированной подписи для противостояния судебному оспариванию, особенно с поставщиками, установленными в других государствах-членах ЕС.

После миграции на решение, сочетающее продвинутую подпись (AdES) для текущих контрактов и квалифицированную (QES) для рамочных контрактов, и активации квалифицированного электронного архива (новая услуга eIDAS 2), эта МСП сократила на 70% время, затрачиваемое на управление документами после подписания (классификация, поиск, отправка заверенных копий) и снизила до нуля споры, связанные с оспариванием подписи за последующие 18 месяцев, в отличие от двух инцидентов в предыдущие 18 месяцев.

Сценарий 2: юридическая контора из 15 сотрудников

Конторе, специализирующейся на корпоративном праве и выпускающей в среднем 1 200 подписанных документов в год (письма-поручения, мандаты, соглашения о конфиденциальности), приходилось сталкиваться с растущим спросом со стороны своих корпоративных клиентов на квалифицированные подписи, признаваемые во всей ЕС. В соответствии с eIDAS 1 получение квалифицированного сертификата требовало очной процедуры или длительной видеопроверки (45-90 минут на пользователя).

Благодаря RQSCD (Remote Qualified Signature Creation Device), регулируемому eIDAS 2, контора смогла развернуть квалифицированную подпись для всех своих сотрудников менее чем за две недели посредством 100% удаленной процедуры регистрации, соответствующей стандарту ETSI TS 119 461. Уровень внутреннего принятия вырос с 40% до 95% за три месяца, а средний срок получения подписанных документов сократился с 4,2 дня до менее чем 6 часов согласно внутренним измерениям конторы.

Сценарий 3: МСП в области электронной коммерции, работающая в трех странах ЕС

Интернет-магазин с 35 сотрудниками, работающий во Франции, Бельгии и Нидерландах, должен был управлять тремя типами электронных соглашений: трудовые контракты для местных сотрудников, соглашения о партнерстве с перевозчиками и мандаты SEPA для своих деловых клиентов. Фрагментация национальных требований в соответствии с eIDAS 1 обязывала ее поддерживать три отдельных рабочих процесса подписи с годовыми затратами на управление, оцениваемыми примерно в 12 000 евро.

Принятие единого решения, соответствующего eIDAS 2 — интегрирующего взаимное признание квалифицированных подписей в трех странах — позволило объединить рабочие процессы, снизить затраты на управление до примерно 4 500 евро в год (экономия 62%) и исключить задержки, связанные с ручной валидацией иностранных подписей службой юридической поддержки.

Заключение

eIDAS 2 — это не просто косметический пересмотр нормативно-правовой базы: он коренным образом переопределяет правила игры доверия в цифровой Европе. Для французских МСП пять основных инноваций — портал EUDIW, расширение квалифицированных услуг, RQSCD, обязательная совместимость и усиленная ответственность — представляют как требование приведения в соответствие, так и возможность ускорить свою трансформацию документооборота.

МСП, которые предвидят эти изменения уже сегодня, получат реальное конкурентное преимущество: контракты, признаваемые по всей ЕС без трений, встроенный архив с доказательственной силой и полностью дематериализованные и защищенные процессы подписания.

Certyneo разработан для поддержки этого перехода. Начните бесплатный тестовый период на certyneo.com и получите предоставляемый бесплатно аудит соответствия eIDAS 2 для ваших существующих документооборотов.