eIDAS 2 vs eIDAS 1: kľúčové zmeny pre malé a stredné podniky

Úvod: prečo eIDAS 2 mení hru pre malé a stredné podniky

Od 20. mája 2024 je v platnosti nariadenie (EÚ) 2024/1183 — bežne nazývané eIDAS 2 — ktoré ruší a postupne nahrádza nariadenie (EÚ) č. 910/2014 (eIDAS 1). Pre francúzske malé a stredné podniky nie je tento prechod jednoduchou administratívnou aktualizáciou: predefinuje úrovne digitálnej dôvery, zavádza európsku digitálnu peňaženku identity (EUDIW), sprísnuje požiadavky na poskytovateľov služieb dôvery a rozširuje oblasť uznávaných služieb. Tento článok porovnáva bod po bode eIDAS 1 a eIDAS 2, identifikuje konkrétne operačné vplyvy na malé a stredné podniky a poskytuje vám akčný plán na zostanie v súlade v roku 2026.

---

1. Pripomenutie: čo stanovoval eIDAS 1 (2014-2024)

1.1 Základy pôvodného nariadenia

Prijaté v júli 2014 a použiteľné od septembra 2016, eIDAS 1 položilo prvé kamene európskeho priestoru digitálnej dôvery. Zaviedlo tri hlavné kategórie elektronického podpisu — jednoduchý (SES), pokročilý (AdES) a kvalifikovaný (QES) — a vytvorilo zoznam dôvery kvalifikovaných poskytovateľov (Trusted List), dostupný na portáli Európskej komisie.

Pre malé a stredné podniky bola hlavnou výhodou eIDAS 1 cezhraničné uznanie kvalifikovaných podpisov: zmluva podpísaná pomocou QES vo Francúzsku bola právne uznávaná v Nemecku, Španielsku alebo Taliansku bez apostilu či ďalšej formalitnosti. Tento princíp — nazývaný „nediskriminácia" — zostal základom, na ktorom služby SaaS ako Certyneo postavili svoje ponuky.

1.2 Identifikované obmedzenia

Napriek svojim pokrokom trpela eIDAS 1 niekoľkými mezerami zdokumentovanými Európskou komisiou v jej správe o hodnotení z roku 2021:

• Fragmentácia schém identity: len členské štáty, ktoré notifikovali svoj národný systém (ako FranceConnect+ na podstatnej úrovni), mali úžu z obojstranného uznania. V roku 2023 malo notifikovaný kompatibilný systém len 14 štátov z 27.
• Absencia natívnej podpory mobilných zariadení: kvalifikované zariadenie na vytvorenie podpisu (QSCD) často vyžadovalo čipovú kartu alebo hardvérový token, čo brzdilo prijatie mobilných riešení.
• Obmedzené služby dôvery: eIDAS 1 uvádza deväť typov kvalifikovaných služieb; nové použitia (kvalifikovaná elektronická archivizácia, správa atribútov) neboli regulované.
• Bez jednotnej peňaženky identity: každý občan alebo podnik spravoval svoje identifikátory izolovaným spôsobom bez garantovanej interoperability.

Tieto obmedzenia viedli Komisiu k zahájeniu revízie už v roku 2020, čo viedlo k nariadeniu eIDAS 2 po troch rokoch trilógu.

---

2. Päť hlavných noviniek eIDAS 2 pre malé a stredné podniky

2.1 Európska digitálna peňaženka identity (EU Digital Identity Wallet — EUDIW)

Toto je najviditeľnejšia novinka nariadenia. Do novembra 2026 (lehota transpozície stanovená článkom 5a) bude musieť každý členský štát poskytnúť svojim občanom a rezidentom aspoň jednu certifikovanú digitálnu peňaženku identity. Pre malé a stredné podniky má táto zmena dve priame dôsledky:

1. Zjednodušené overovanie zákazníkov a partnerov: peňaženka umožní zdieľať overené atribúty (vek, číslo IČ pre DPH v intrakomunitárnom styku, výpisov z obchodného registra, certifikované bankové údaje) bez prekážok. Rámcová zmluva so nemeckým partnerom sa bude môcť podpísať po okamžitom overení jeho profesionálnych atribútov z jeho EUDIW.
2. Povinnosť prijímať pre určité sektory: služby online veľkých platforiem (článok 45bis) a určité verejné služby budú musieť prijímať EUDIW ako prostriedok overenia identity. Malé a stredné podniky, ktoré poskytujú portály B2B, budú musieť adaptovať svoje API pre overovanie identity.

2.2 Rozšírenie zoznamu kvalifikovaných služieb dôvery

eIDAS 2 rozširuje katalóg kvalifikovaných služieb dôvery z 9 na 14 kategórií. Nové položky týkajúce sa priamo malých a stredných podnikov sú:

• Kvalifikovaná elektronická archivizácia (čl. 45septies): uchovanie na dlhodobý horizont s posilnenou dôkaznou hodnotou. Doteraz sa archivizácia s dôkaznou hodnotou spoliehala na národné referenčné materiály (vo Francúzsku referenčný materiál SIAF/ANSSI); eIDAS 2 harmonizuje európskeho rámca.
• Vzdialenosť správa kvalifikovaných zariadení na vytvorenie podpisu (RQSCD): teraz explicitne regulované, odstraňuje nejasnosti, ktoré vážili na cloudových riešeniach kvalifikovaného podpisu. Pre malú a strednú podnik s 50 zamestnancami to znamená prístup k kvalifikovanému podpisu bez fyzického tokenu, z akéhokoľvek zariadenia.
• Služba kvalifikovaného elektronického registra: registre založené na blockchaine alebo technológiách distribuovaného účetného registra môžu teraz získať kvalifikovaný status, čo otvára cestu k novým modelom správy zmlúv.

Ďalšie informácie o úrovniach podpisu a ich právnej hodnote nájdete v našom komplexnom sprievodcovi elektronickým podpisom.

2.3 Sprísnenie požiadaviek na bezpečnosť pre kvalifikovaných poskytovateľov (QTSP)

eIDAS 2 sprísnuje povinnosti kvalifikovaných poskytovateľov služieb dôvery (QTSP). Previdovaný článok 24 predpisuje najmä:

• Certifikácia kybernetickej bezpečnosti v súlade s európskym rámcom (EU Cybersecurity Act, nariadenie 2019/881), so sektorovými schémami v procese vývoja ENISA.
• Sprísnené požiadavky na operačnú odolnosť: QTSP musia teraz zdokumentovať svoj plán kontinuity činnosti a predložiť ho svojmu národnému organisu dozoru (vo Francúzsku ANSSI pre kvalifikovaných poskytovateľov).
• Povinnosť notifikácie bezpečnostných incidentov do 24 hodín (zarovnanie s NIS 2).

Pre malé a stredné podniky ako používateľov sa to premieta do povinnosti zvýšenej starostlivosti pri výbere poskytovateľa: overenie si, že vaše riešenie na podpisovanie je skutočne uvedené na aktualizovanom zozname dôvery Trusted List je teraz kritickým krokom vášho nákupného procesu. Náš porovnávací prehľad riešení elektronického podpisu vám môže pomôcť v tejto analýze.

2.4 Povinná interoperabilita schém identity

Tam, kde eIDAS 1 ponecháva členským štátom slobodu notifikovať (alebo nie) svoj systém, eIDAS 2 robí notifikáciu a interoperabilitu povinnou pre schémy identity používané v službách verejnej správy online (čl. 5). France Identité — národný systém podporovaný ministerstvom vnútra — je v procese výroby na základe špecifikácií EUDIW, publikovaných Komisiou v delegovanom nariadení (EÚ) 2024/2977.

Pre malú a strednú podnik, ktorá pravidelne interaguje s verejnou správou (verejné zákazky, elektronické hlásenia daní, colné postupy), táto zmena znamená, že online postupy budú postupne zjednotené okolo jedinečného digitálneho identifikátora uznaného v celej EÚ.

2.5 Nové pravidlá zodpovednosti a dohľadu

eIDAS 2 upresňuje a rozširuje režimy zodpovednosti poskytovateľov (previdovaný čl. 13). QTSP sa teraz predpokladá zodpovedný za všetky škody spôsobené fyzickej alebo právnickej osobe porušením svojich povinností, pokiaľ nepreukáže absenciu viny. Táto posilnená prezumrácie zodpovednosti v porovnaní s eIDAS 1 by mala malým a stredným podnikom naliehať, aby:

• Formalizovali zmluvu záväzky svojho poskytovateľa (SLA, záväzky dostupnosti, náhrady škody).
• Overili si pokrytie záväznosti pojistenia zodpovednosti poskytovateľa.
• Zachovalmi dôkazy auditu podpísaných transakcií (zápisy o časových značkách, správy o overení podpisu).

Naše tímy vypracovali podrobný sprievodca o elektronickom podpise v podniku, ktorý sa zaoberá týmito zmluvnými aspektami.

---

3. Porovnávacia tabuľka eIDAS 1 vs eIDAS 2: čo sa konkrétne mení

3.1 Zhrnutie hlavných vývoja

| Kritérium | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Peňaženka identity | Neprítomná | EUDIW povinná (členské štáty) | | Kvalifikované služby | 9 kategórií | 14 kategórií (archivizácia, RQSCD, registre…) | | Notifikácia schém | Voliteľná | Povinná pre verejné služby | | Bezpečnosť QTSP | Kritéria Common Criteria | Cybersecurity Act + ENISA schémy | | Zodpovednosť QTSP | Čiastočná | Posilnená prezumrácie zodpovednosti | | Lehota notifikácie incidentu | Nešpecifikovaná | 24 hodín (zarovnanie NIS 2) | | QSCD mobile | Právna nejasnosť | RQSCD explicitne regulované |

3.2 Kľúčové lehoty na zapamätanie si pre rok 2026

• Máj 2024: vstúpenie v platnosť nariadenia (EÚ) 2024/1183.
• November 2026: lehota na to, aby každý členský štát ponúkol aspoň jedno certifikované riešenie EUDIW.
• 2027: povinnosť pre veľké platformy (čl. 45bis) prijímať EUDIW ako prostriedok overenia identity.
• 2028: plánovaná revízia technických aktov vykonávacích (delegované nariadenia o špecifikáciách EUDIW).

Ak vaša malá a stredná podnik plánuje migráciu na kompatibilnejšie riešenie, naša ponuka migrácie na Certyneo zahŕňa bezplatný audit súladu s eIDAS 2.

---

4. Praktický akčný plán na uvedenie vašej malej a strednej spoločnosti do súladu s eIDAS 2

4.1 Audit vašich existujúcich dokumentárnych tokov

Začnite mapovaním všetkých procesov, v ktorých v súčasnosti používate elektronický podpis alebo digitálnu identitu: zmluvy s dodávateľmi, elektronické výplatné pásky, mandáty SEPA, zmluvy o mlčanlivosti, personálne dohovory. Pre každý tok identifikujte:

• Úroveň použitého podpisu (SES, AdES, QES).
• Aktuálneho poskytovateľa a jeho stav na zozname Trusted List.
• Úroveň právneho rizika v prípade sporu.

Tento audit je odporúčaný východzí bod ANSSI v jej sprievodcovi prispôsobením zverejnenom v marci 2025.

4.2 Upgrade vášho riešenia na podpisovanie

Ak váš aktuálny poskytovateľ nie je na zozname Trusted List eIDAS 2 alebo ešte nenabúda RQSCD, je čas porovnať ponuky na trhu. Certyneo je certifikovaný QTSP, ktorý podporuje všetky tri úrovne podpisu (SES, AdES, QES) a nativne integruje nové požiadavky eIDAS 2, vrátane kvalifikovanej archivizácie a vzdialenej správy zariadení.

4.3 Školenie vašich tímov a aktualizácia zmlúv

eIDAS 2 posilňuje dôkaznú hodnotu kvalifikovaných podpisov, ale zároveň ukladá aj osvedčené postupy pri správe dokumentov. Uistite sa, že vaše právne a administratívne tímy:

• Vedia rozlíšiť tri úrovne podpisu a ich relatívnu právnu hodnotu.
• Integrujú do zmlúv s dodávateľmi klauzulu o audite súladu s eIDAS.
• Zachovajú dôkazy o overení podpisu (správa o overení, kvalifikovaná časová značka) po dobu právneho uchovania platného pre danú vec (3 až 10 rokov v závislosti od povahy listiny).

Na štruktúrovanie tohto postupu vám náš kalkulátor ROI elektronického podpisu umožní kvantifikovať operačné výnosy súvisejúce s upgradovaním.

Použiteľný právny rámec

Zdrojové texty

Prispôsobenie malej a strednej spoločnosti eIDAS 2 vo Francúzsku sa vpisuje do normatívneho súboru, ktorý je nevyhnutné zvládnuť.

Nariadenie (EÚ) 2024/1183 Parlamentu a Rady Európskej únie (nazývané „eIDAS 2"): toto je zakladajúci text, zverejnený v Úradnom vestníku EÚ 30. apríla 2024. Ruší a nahrádzajúci nariadenie (EÚ) č. 910/2014 podľa harmonogramu postupného nasadzovania do roku 2027. Je priamo použiteľný vo všetkých členských štátoch bez potreby vnútrostátnej legislatívnej transpozície pre svoje hlavné ustanovenia.

Nariadenie (EÚ) č. 910/2014 (eIDAS 1): niektoré z jeho ustanovení zostávajú použiteľné počas prechodných období predpokladaných eIDAS 2, najmä pre kvalifikovaných poskytovateľov, ktorí získali kvalifikáciu pred májom 2024 a majú lehotu na preveriť si svoju certifikáciu.

Francúzsky občiansky zákonník, články 1366 a 1367: článok 1366 stanovuje zásadu ekvivalencie medzi elektronickým a papierovým zápisom, pod podmienkou, že „osoba, od ktorej pochádza, sa môže riadne identifikovať a že je vytvorený a uchovávany za podmienok, ktoré zaručujú jeho integritu". Článok 1367 uznáva elektronický podpis ako prostriedok dokazovania, odkazujúc na podmienky stanovené dekrétom v Rade štátu (dekrét č. 2017-1416 z 28. septembra 2017, kodifikovaný v články R. 1369-1 až R. 1369-10 Občianskeho zákonníka).

Nariadenie (EÚ) 2016/679 (GDPR): nasadenie EUDIW a spracovanie atribútov identity v tokoch elektronického podpisu predstavujú spracovanie osobných údajov v zmysle GDPR. Malé a stredné podniky musia zabezpečiť, aby ich QTSP pôsobil ako spracovateľ podľa článku 28 GDPR, s kompatibilnou dohodou DPA (Data Processing Agreement). CNIL zverejnila v januári 2026 špecifické odporúčanie o integrácii EUDIW-GDPR.

Smernica (EÚ) 2022/2555 (NIS 2): eIDAS 2 sa výslovne vyrovnáva s NIS 2 pre povinnosti notifikácie incidentov (čl. 24, §2 eIDAS 2 s odkazom na ustanovenia NIS 2). QTSP sa považujú za „podstatné" alebo „dôležité" subjekty v zmysle NIS 2 podľa ich veľkosti a v tejto súvislosti podliehajú pravidelnému bezpečnostnému auditu.

Normy ETSI: kvalifikovaní elektronickí podpisy musia spĺňať normy ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) a ETSI EN 319 102-1 (postupy overenia). Norma ETSI TS 119 461 reguluje vzdialenosť overovanie identity (IDV), ktoré je obzvlášť relevantné pre RQSCD.

Právne riziká v prípade nesúladu

Použitie riešenia elektronického podpisu, ktoré nie je v súlade s eIDAS 2, vystavuje malú a strednú podnik niekoľkým rizikám:

• Neprípustnosť v právnom procese: sudca môže odmietnuť elektronický podpis, ktorého úroveň nezodpovedá podpisanej listine (napr. jednoduchý podpis na listine vyžadujúcej pokročilú alebo kvalifikovanú úroveň).
• Zmluvná zodpovednosť: ak je zmluva spochybňovaná partnerom z dôvodu neplatnosti podpisu, malá a stredná podnik môže byť vystavená požiadavkám na náhradu škody.
• Sankcie GDPR: v prípade porušenia údajov súvisiaceho s bezpečnostným defektom poskytovateľa je malá a stredná podnik, spoluodpovedný alebo prevádzkovateľ spracovania, predmetom sankcií CNIL až do výšky 4 % celosvetového ročného obratu (čl. 83 §4 GDPR).

Konkrétne scenáre použitia

Scenár 1: priemyselná malá a stredná podnik s 80 zamestnancami, ktorá spravuje 400 zmlúv s dodávateľmi ročne

Malá a stredná podnik v sektore metalurgie spracovávajúca približne 400 zmlúv s dodávateľmi ročne používala až do roku 2024 riešenie elektronického podpisu (SES) pre všetky jej záväzky, vrátane zmluv s dodávateľmi presahujúcich 50 000 €. Po audite súladu s eIDAS 2 zistila, že 35 % jej zmlúv vyžaduje pokročilý alebo kvalifikovaný podpis, aby odolali právnemu sporu, najmä so dodávateľmi establecenými v iných členských štátoch EÚ.

Migráciou na riešenie kombinujúce pokročilý podpis (AdES) pre štandardné zmluvy a kvalifikovaný (QES) pre zmluvy rámcové a aktiváciou kvalifikovanej elektronickej archivizácie (nová služba eIDAS 2) táto malá a stredná podnik znížila o 70 % čas venovaný správe dokumentov po podpisu (triedenie, vyhľadávanie, odosielanie overených kópií) a znížila na nulu spory súvisiace so spochybňovaním podpisu za nasledujúcich 18 mesiacov, v porovnaní s dvoma incidentmi za predchádzajúcich 18 mesiacov.

Scenár 2: právna kancelária so 15 spolupracovníkmi

Kancelária špecializovaná na práva obchodného práva, vytvárrajúca v priemere 1 200 podpísaných listín ročne (zmluvy o pôsobení, mandáty, zmluvy o mlčanlivosti), čelila rastúcej požiadavke svojich korporátnych klientov na kvalifikované podpisy uznávané v celej EÚ. Podľa eIDAS 1 vyžadovalo získanie kvalifikovaného certifikátu dlhý proces (face-to-face alebo dlhé overovanie videom trvajúce 45 až 90 minút na používateľa).

Vďaka RQSCD (Remote Qualified Signature Creation Device) regulovanému eIDAS 2 sa kancelária mohla nasadiť kvalifikovaný podpis na všetkých svojich spolupracovníkov za menej ako dva týždne prostredníctvom 100 % vzdialeného procesu zapísania kompatibilného so štandardom ETSI TS 119 461. Miera príjatia vnútri spoločnosti stúpla zo 40 % na 95 % do troch mesiacov a priemerný čas vrátenia podpísaných listín sa skrátil z 4,2 dňa na menej ako 6 hodín podľa vnútorných meraní kancelárie.

Scenár 3: malá a stredná podnik e-commerce pôsobiaca v troch krajinách EÚ

Spoločnosť predávajúca online s 35 zamestnancami a pôsobiaca vo Francúzsku, Belgicku a Holandsku musela spravovať tri typy elektronických zmlúv: pracovné zmluvy pre svojich miestnych zamestnancov, zmluvy o partnerstve s prepravcami a mandáty SEPA pre svojich odborných zákazníkov. Fragmentácia národných požiadaviek podľa eIDAS 1 ju nútila udržiavať tri samostatné pracovné postupy na podpisovanie, s odhadovanými nákladmi na správu približne 12 000 € ročne.

Prijatím jednotného riešenia kompatibilného s eIDAS 2 — integrujúceho obojstranné uznanie kvalifikovaných podpisov v troch krajinách — sa malej a strednej spoločnosti podarilo zjednotiť pracovné postupy, znížiť náklady na správu na približne 4 500 € ročne (úspora 62 %) a vylúčiť oneskorenia súvisiace s ručným overovaním cudzích podpisov právnym oddelením.

Záver

eIDAS 2 nie je jednoducho kozmetickou revíziou regulačného rámca: hlboko predefinuje pravidlá hry digitálnej dôvery v Európe. Pre francúzske malé a stredné podniky päť hlavných zmien — peňaženka EUDIW, rozšírenie kvalifikovaných služieb, RQSCD, povinná interoperabilita a posilnená zodpovednosť — predstavuje jednak povinnosť prispôsobenia a jednak príležitosť urýchliť ich digitálnu transformáciu dokumentácie.

Malé a stredné podniky, ktoré týmto zmenám predídu už dnes, budú mať skutočnú konkurenčnú výhodu: zmluvy uznávané v celej EÚ bez problémov, archivizácia s dôkaznou hodnotou zabudovaná a procesy podpisovania úplne digitalizované a zabezpečené.

Certyneo je navrhnutý na sprostredkovanie tejto transformácie. Spustite svoje bezplatné skúšobné obdobie na certyneo.com a využite bezplatný audit súladu s eIDAS 2 na vaše existujúce dokumentárne toky.