Переход eIDAS 1 на eIDAS 2: последствия для подписи в 2025 году

20 мая 2024 года регламент (ЕС) 2024/1183 — обычно называемый eIDAS 2 — был опубликован в Официальном журнале Европейского Союза, постепенно отменяя регламент №910/2014 (eIDAS 1). Этот текст представляет собой наиболее структурирующую реформу цифровой идентичности и электронной подписи в Европе с 2016 года. Для французских компаний, которые используют решения для электронной подписи в своих контрактных рабочих процессах, переход — это не формальность: он предполагает технические, юридические и организационные корректировки, горизонт которых распространяется до 2026 года и далее. Понимание перехода от eIDAS 1 к eIDAS 2 и его влияния на электронную подпись в 2025 году стало приоритетом для отделов юридической защиты, ИТ-директоров и HR-директоров. Эта статья расшифровывает фундаментальные эволюции нормативно-правовой базы, точный расписание переходного периода и конкретные меры, которые необходимо принять для обеспечения соответствия.

Что регламент eIDAS 2 принципиально изменяет

От регламента 2014 года к переработке 2024 года: почему была необходима пересмотр

EIDAS 1 установил основы для взаимного признания электронных подписей в Союзе. Три иерархических уровня — простая (SES), продвинутая (AdES) и квалифицированная (QES) — структурировали доказательственную ценность подписей, поддерживаемые списком поставщиков доверия (TSL). Но за десять лет появились две основные пробелы.

Во-первых, первоначальный регламент применялся по существу к отношениям с государственными администрациями (G2B, G2C). Он не создавал прямых обязательств в частных сделках (B2B, B2C), оставляя нормативный вакуум, который каждое государство-член заполняло разнородно. Во-вторых, рост мощности цифровых услуг — мобильных приложений, открытого банкинга, телемедицины — выявил отсутствие переносимой и интероперабельной системы цифровой идентичности на континентальном уровне.

EIDAS 2 отвечает на эти два вызова, вводя европейский бумажник цифровой идентичности (EU Digital Identity Wallet, EUDIW) и расширяя сферу услуг доверия на новые варианты использования: квалифицированное электронное архивирование, квалифицированные атрибутивные свидетельства, квалифицированные электронные реестры (включая сертифицированные приложения блокчейна).

Новые категории квалифицированных услуг доверия

Регламент eIDAS 2 расширяет перечень квалифицированных услуг доверия (статья 3 и пересмотренное приложение IV). Помимо подписей, печатей и квалифицированных временных меток, уже признанных eIDAS 1, теперь квалифицированы:

• Услуги квалифицированного электронного архивирования (ст. 34 bis): обязательство сохранять целостность и читаемость подписанных документов в долгосрочной перспективе с усиленными требованиями к поставщикам (QTSP).
• Услуги управления квалифицированными удаленными устройствами создания подписей (QRCD): усиленное регулирование решений удаленной подписи через облачные HSM (аппаратные модули безопасности).
• Квалифицированные атрибутивные свидетельства: механизм, позволяющий третьей стороне доверия сертифицировать атрибуты сущности (например, статус адвоката, статус врача) без раскрытия всей идентичности.
• Квалифицированные электронные реестры: признание распределенных реестров при строгих условиях аудитируемости и устойчивости.

Для пользователей решений электронной подписи это расширение означает, что доступные на рынке квалифицированные услуги доверия будут диверсифицироваться, и что критерии выбора поставщика (QTSP) должны интегрировать эти новые возможности.

EUDIW: бумажник цифровой идентичности как инфраструктура подписи

Наиболее заметное нововведение eIDAS 2 остается EUDIW. Каждое государство-член должно будет предоставить своим гражданам и жителям бесплатный портфель цифровой идентичности, совместимый со всеми другими государствами-членами, к 26 ноября 2026 года (срок обеспечения соответствия в соответствии со статьей 5 bis). Этот портфель позволит:

• аутентифицировать пользователя с высоким уровнем уверенности (LoA High) без обращения к третьей стороне идентификации;
• электронно подписывать документы с квалифицированной ценностью (QES) непосредственно из бумажника;
• делиться избирательными атрибутами идентичности (selective disclosure), соблюдая тем самым принцип минимизации данных GDPR.

Для предприятий EUDIW теоретически упрощает процедуры проверки личности перед квалифицированной подписью, устраняя трение видеоидентификации или личной идентификации. На практике влияние будет зависеть от темпов национального развертывания — Франция запустила в 2025 году пилотный эксперимент в рамках программы "France Identité".

Точное расписание переходного периода от eIDAS 1 к eIDAS 2

Нормативные вехи, которые необходимо знать

Регламент 2024/1183 вступил в силу 20 мая 2024 года, но его применение является прогрессивным. Вот ключевые сроки:

| Дата | Событие | |------|----------| | 20 мая 2024 г. | Опубликование в OJEU, формальное вступление в силу | | 20 ноября 2024 г. | Срок 6 месяцев для принятия актов имплементации Комиссией (технические спецификации EUDIW) | | Конец 2025 г. | Опубликование пересмотренных стандартов ETSI (EN 319 411-1/2, EN 319 401) с требованиями eIDAS 2 | | 26 мая 2026 г. | Крайний срок для обеспечения соответствия государств-членов новым категориям квалифицированных услуг | | 26 ноября 2026 г. | Обязательное предоставление EUDIW каждым государством-членом | | 2027-2028 гг. | Полный пересмотр национальных списков доверия (TSL) и аккредитация новых QTSP |

EIDAS 1 остается действительным, и подписи, выданные под его режимом, сохраняют полную юридическую силу. Нет никакого обязательства повторно подписывать существующие документы. Однако квалифицированные поставщики доверия должны будут обновить свою аккредитацию в соответствии с новыми техническими стандартами к 2027 году.

Что не меняется и на что следует обратить внимание

Преемственность является кардинальным принципом переходного периода. Три уровня подписи (SES, AdES, QES) сохраняются с неизменными определениями. Предположение об эквивалентности письменной подписи, прилагаемой к QES (статья 25 eIDAS 1, повторенная в статье 27 eIDAS 2), остается в силе. Доказательственная ценность ваших текущих электронных подписей не ставится под сомнение.

На что следует обратить внимание: акты имплементации, опубликованные Европейской комиссией на протяжении 2025-2026 годов, установят точные технические спецификации EUDIW и новые категории услуг. Эти тексты уровня 2 имеют значительное практическое значение для интеграторов и издателей программного обеспечения. Для компаний, использующих электронную подпись в своих HR-процессах или юридических процессах, рекомендуется попросить у своего поставщика дорожную карту соответствия eIDAS 2.

Конкретное влияние на предприятия и их решения для подписи

Какие рабочие процессы в приоритете?

Переход от eIDAS 1 к eIDAS 2 не имеет одинакового влияния в зависимости от используемого уровня подписи. Для предприятий выделяются три ситуации:

Простая электронная подпись (SES): используется для дополнений низкой ценности, подтверждений получения, внутренних форм. Никаких обязательств немедленного обновления. Правила доказательства регулируются Гражданским кодексом (ст. 1366-1367) и не напрямую eIDAS.

Продвинутая электронная подпись (AdES/AdESQC): компании, использующие решения B2B для торговых контрактов, дематериализованные трудовые договоры или недвижимые акты должны убедиться, что их поставщик поддерживает соответствие стандартам ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) и EN 319 142 (PAdES) в их пересмотренных версиях для eIDAS 2. Эти стандарты будут опубликованы ETSI к концу 2025 года.

Квалифицированная электронная подпись (QES): квалифицированные поставщики (QTSP) должны будут пройти новую аккредитацию eIDAS 2. Переходный период предоставляет разумный срок (до 2027 года), но запросы предложений, запущенные в 2025 году, должны интегрировать пункт соответствия eIDAS 2 в критериях выбора. Для организаций, сравнивающих доступные варианты, сравнение решений электронной подписи позволяет оценить зрелость издателей по этому вопросу.

Новые требования к квалифицированным поставщикам доверия (QTSP)

EIDAS 2 ужесточает требования, применимые к QTSP по трем основным пунктам:

1. Безопасность систем: обязательное выравнивание по NIS2 (директива (ЕС) 2022/2555) для QTSP, теперь классифицируемых как критически важные сущности. Это означает обязательства по уведомлению об инцидентах в течение 24 часов, годовые аудиты безопасности и внедрение планов непрерывности деятельности.

1. Усиленная ответственность: статья 13 eIDAS 2 расширяет режим ответственности QTSP. В случае доказанного нарушения бремя доказывания является обратным: поставщик должен доказать, что он не допустил халатности, а не наоборот.

1. Обязательная совместимость: QTSP должны будут выставить стандартизированные API, совместимые с EUDIW, чтобы позволить родную интеграцию бумажников идентичности. Это требование ускорит модернизацию доступных интеграционных интерфейсов для разработчиков.

Для компаний, рассматривающих возможность смены поставщика в этом контексте, переход от DocuSign или YouSign на решение, соответствующее eIDAS 2, — это мероприятие, которое следует предусмотреть прямо сейчас, а не срочно в 2027 году.

Личные данные и eIDAS 2: взаимодействие с GDPR

EUDIW собирает и обрабатывает данные идентичности персонального характера. Регламент eIDAS 2 явно предусматривает (преамбула 11 и статья 5 bis §14), что весь механизм должен соответствовать GDPR (регламент (ЕС) 2016/679). Несколько моментов внимания:

• Избирательное раскрытие: портфель должен позволить пользователю делиться только атрибутами, строго необходимыми для сделки (принцип минимизации, ст. 5(1)(c) GDPR). Для подписи контракта можно было бы поделиться только проверкой совершеннолетия без раскрытия полной даты рождения.
• Передачи вне ЕС: данные идентичности, обрабатываемые в контексте EUDIW, не могут быть переданы вне ЕЭЗ без надлежащих гарантий (ст. 46 GDPR). Поставщики, использующие американские облачные инфраструктуры, должны документировать свое соответствие.
• Сохранение журналов подписи: архивирование доказательств подписи должно соблюдать срок хранения, пропорциональный характеру документа. Новая услуга квалифицированного архивирования eIDAS 2 предоставляет технический каркас для соответствия этому требованию.

Компании, управляющие международными трудовыми договорами, особенно обеспокоены этим взаимодействием GDPR/eIDAS 2, особенно когда подписывающие стороны проживают вне ЕС.

Нормативно-правовая база, применимая к переходу от eIDAS 1 к eIDAS 2

Справочные тексты

Переход основан на наслоении текстов, которые необходимо освоить:

На европейском уровне:

• Регламент (ЕС) №910/2014 (eIDAS 1): все еще в силе до его постепенной отмены eIDAS 2. Определяет три уровня подписи (SES, AdES, QES) и режим QTSP.
• Регламент (ЕС) 2024/1183 (eIDAS 2): вступил в силу 20 мая 2024 года. Существенно изменяет eIDAS 1 без его немедленной отмены. Положения, касающиеся EUDIW, применяются с момента опубликования актов имплементации.
• Регламент (ЕС) 2016/679 (GDPR): полностью применяется к обработке данных идентичности в контексте EUDIW и процессов подписи. Статья 5 bis §14 eIDAS 2 явно напоминает об этом подчинении.
• Директива (ЕС) 2022/2555 (NIS2): налагает усиленные обязательства по кибербезопасности на QTSP, теперь классифицированные как критически важные сущности. Транспонирована в французское право ордонансом №2024-821 от 20 июня 2024 г. (ожидается применение декрета).

На французском уровне:

• Гражданский кодекс, статьи 1366 и 1367: основа доказательственной ценности письменных документов в электронной форме. Статья 1366 устанавливает эквивалентность между электронным документом и бумажным при условиях. Статья 1367 придает квалифицированной подписи (QES) ту же доказательственную силу, что и рукописная подпись.
• Декрет №2017-1416 от 28 сентября 2017 г.: уточняет условия использования электронной подписи в приватных актах. Остается применимым в переходный период.
• Общий стандарт безопасности (RGS) v2: для французских администраций RGS налагает использование решений, указанных ANSSI. Его обновление для интеграции eIDAS 2 ожидается в течение 2026 года.

Применимые технические стандарты ETSI

Стандарты ETSI составляют уровень 3 нормативной иерархии. Текущие применимые версии:

• EN 319 132-1/2: формат XAdES (продвинутые подписи XML)
• EN 319 122-1/2: формат CAdES (продвинутые подписи CMS)
• EN 319 142-1/2: формат PAdES (продвинутые подписи PDF)
• EN 319 401: общие требования к поставщикам услуг доверия
• EN 319 411-1/2: требования к AC, выдающим квалифицированные сертификаты

Эти стандарты будут пересмотрены к концу 2025 года для интеграции новых требований eIDAS 2. Контракты с QTSP должны содержать пункт об обновлении до пересмотренных версий без дополнительных затрат.

Юридические риски несоответствия

Подпись, выданная поставщиком, который больше не будет аккредитован после 2027 года, не потеряет автоматически свою юридическую ценность для уже подписанных документов, но больше не будет пользоваться законной презумпцией эквивалентности рукописной подписи (ст. 25 eIDAS). Бремя доказывания целостности и личности подписывающего будет целиком лежать на компании в случае судебного разбирательства. Этот риск доказывания особенно чувствителен для актов с длительным сроком давности (5 лет в коммерческих вопросах, 30 лет для прав на недвижимость).

Сценарии использования: как организации предусмотрели переход eIDAS 2

Сценарий 1: адвокатское бюро из 25 сотрудников рационализирует соответствие документации

Адвокатское бюро, специализирующееся на корпоративном праве, примерно с 25 сотрудниками и интенсивной деятельностью по подписанию мандатов, актов отступления и протоколов соглашения, до 2024 года использовало решение продвинутой подписи (AdES) для всех своих потоков. При объявлении eIDAS 2 бюро провело аудит своих 1200 документов, подписанных ежегодно, чтобы определить, какие требуют QES в соответствии с новыми рекомендациями своей палаты.

Результат: 15% актов (примерно 180 в год) были переклассифицированы на квалифицированную подпись, что позволило защитить режим доказывания этих документов. Бюро договорилось со своим издателем подписи о пункте, гарантирующем соответствие eIDAS 2 с момента опубликования актов имплементации, без дополнительных затрат. Время администрирования, связанное с проверкой личности подписывающих, сократилось на 40% благодаря предусмотренной интеграции EUDIW, запланированной на 2026 год.

Сценарий 2: малое промышленное предприятие с 150 сотрудниками защищает свою цепь поставщиков контрактов

Малое промышленное предприятие, управляющее примерно 350 контрактами поставщиков в год — заказы на покупку, NDA, рамочные контракты — функционировало с двумя различными решениями подписи для своих внутренних и внешних потоков, создавая фрагментацию доказательств аудита. В контексте переходного периода eIDAS 2 и новых требований архивирования, ИТ-директорат принял решение об унификации своей платформы.

Перейдя на единое решение, интегрирующее квалифицированное электронное архивирование (будущая категория eIDAS 2), малое предприятие сократило затраты на безопасное хранилище на 30% и консолидировало доказательства подписи в цифровом сейфе, соответствующем требованиям. Вся цепочка документов теперь подлежит аудиту менее чем за 2 минуты при контролях поставщиков — растущее требование их заказчиков в автомобильной промышленности.

Сценарий 3: больничная группа примерно из 600 кроватей подготавливает интеграцию EUDIW

Больничная группа общественного сектора использовала квалифицированную электронную подпись для своих медицинских контрактов и государственных закупок, в соответствии с требованиями кодекса государственных закупок. С eIDAS 2 ИТ-служба выявила два приоритетных вопроса: будущую интеграцию бумажника "France Identité" для независимых врачей, работающих в учреждении, и соответствие NIS2 своего QTSP.

Больничная группа включила в свой стратегический план цифровизации на 2025-2028 годы конкретный пакет "соответствие eIDAS 2" с прогнозным бюджетом в размере 45000 евро для технической миграции и подготовки сотрудников. Цель состоит в том, чтобы быть в состоянии принимать подписи через EUDIW с момента национального развертывания, запланированного на ноябрь 2026 года, сокращая таким образом сроки контрактации с независимыми медицинскими работниками с 3 дней до менее чем 4 часов в среднем, согласно доступным отраслевым бенчмаркам.

Заключение

Переход от eIDAS 1 к eIDAS 2 — это не разрыв, а структурированная эволюция с точным расписанием, распространяющимся до 2027 года. Влияние на электронную подпись является реальным — расширение квалифицированных услуг, прибытие EUDIW, ужесточение требований NIS2 для QTSP — но управляемо, если его предусмотреть. Компании, которые действуют сейчас, получают пространство для маневра для аудита своих рабочих процессов, защиты своих контрактов с поставщиками и обучения своих команд без давления срочности нормативных требований.

Certyneo сопровождает компании в этом переходе с четкой дорожной картой соответствия eIDAS 2, форматами подписей, поддерживаемыми в актуальном состоянии, и архитектурой, готовой к интеграции EUDIW. Готовы обезопасить ваши потоки подписи в этой новой нормативной среде? Откройте для себя наши предложения и начните бесплатно на Certyneo.