Prechod eIDAS 1 na eIDAS 2: dopady na signatúru v roku 2025

Dňa 20. mája 2024 bolo nariadenie (EÚ) 2024/1183 — bežne nazývané eIDAS 2 — zverejnené v Úradnom vestníku Európskej únie, čím postupne zrušilo nariadenie č. 910/2014 (eIDAS 1). Tento text predstavuje najvýznamnejšiu reformu digitálnej identity a elektronickej signatúry v Európe od roku 2016. Pre francúzske podniky, ktoré používajú riešenia elektronickej signatúry v ich zmluvných pracovných postupoch, prechod nie je len formalitou: zahŕňa technické, právne a organizačné úpravy, ktorých časový horizont sa rozprestiera do roku 2026 a ďalej. Pochopenie prechodu z eIDAS 1 na eIDAS 2 a jeho vplyvu na elektronickú signatúru v roku 2025 sa stalo prioritou pre právne oddelenia, IT riaditeľov a oddelenia ľudských zdrojov. Tento článok objasňuje fundamentálne zmeny v právnom rámci, presný harmonogram prechodu a konkrétne opatrenia potrebné na zachovanie súladu.

Čo nariadenie eIDAS 2 fundamentálne mení

Od nariadenia z roku 2014 k reforme z roku 2024: prečo bola revízia potrebná

eIDAS 1 vytvoril základy vzájomného uznávania elektronických podpisov v Únii. Tri hierarchické úrovne — jednoduchá (SES), pokročilá (AdES) a kvalifikovaná (QES) — štruktúrovali dôkazní charakter podpisov, založené na zozname poskytovateľov dôvery (TSL). Avšak za desať rokov sa objavili dve hlavné medzery.

Po prvé, pôvodné nariadenie sa použitie zásadne týkalo vzťahov s verejnou správou (G2B, G2C). Nevytvorilo priame povinnosti v súkromných transakciách (B2B, B2C), čím zanechalo normatívnu prázdnotu, ktorú každý členský štát zaplňoval heterogénnym spôsobom. Po druhé, nárast digitálnych služieb — mobilné aplikácie, otvoreného bankovníctva, telemedicíny — odhalil absenciu prenosného a interoperabilného systému digitálnej identity na kontinentálnej úrovni.

eIDAS 2 reaguje na tieto dve výzvy zavedením európskej peňaženky digitálnej identity (EU Digital Identity Wallet, EUDIW) a rozšírením rozsahu dôveryhodných služieb na nové prípady použitia: kvalifikované elektronické archívovanie, atestácie kvalifikovaných atribútov, kvalifikované elektronické registry (vrátane certifikovaných aplikácií blockchain).

Nové kategórie kvalifikovaných dôveryhodných služieb

Nariadenie eIDAS 2 rozširuje zoznam kvalifikovaných dôveryhodných služieb (článok 3 a revidovaná príloha IV). Okrem podpisov, pečatí a kvalifikovaných časových pečiatok už uznávaných eIDAS 1 sú teraz kvalifikované:

• Služby kvalifikovaného elektronického archívovania (č. 34 bis): povinnosť zachovávať integritu a čitateľnosť podpísaných dokumentov v dlhodobom horizonte, s posilnenými požiadavkami na poskytovateľov (QTSP).
• Služby správy kvalifikovaných zariadení na tvorbu vzdialených podpisov (QRCD): posilnené rámce riešení vzdialených podpisov cez HSM (Hardware Security Module) v cloude.
• Atestácie kvalifikovaných atribútov: mechanizmus umožňujúci tretej dôveryhodnej osobe certifikovať atribúty subjektu (napr. kvalifikácia právnika, status lekára) bez odhalenia celej identity.
• Kvalifikované elektronické registry: uznanie distribuovaných registrov za prísnych podmienok auditovateľnosti a odolnosti.

Pre používateľov riešení elektronickej signatúry znamená toto rozšírenie, že dostupné kvalifikované dôveryhodné služby na trhu sa budú rozšíriť a kritériá výberu poskytovateľa (QTSP) musia integrovať tieto nové schopnosti.

EUDIW: peňaženka digitálnej identity ako infraštruktúra signatúry

Najvýraznejšia inovácia eIDAS 2 zostáva EUDIW. Každý členský štát musí svojim občanom a rezidentom sprístupniť bezplatnú, interoperabilnú peňaženku digitálnej identity so všetkými ostatnými členskými štátmi do 26. novembra 2026 (lehota na dosiahnutie národnej zhody podľa článku 5 bis). Táto peňaženka umožní:

• overiť používateľa na vysokej úrovni záruky (LoA High) bez používania tretej strany na identifikáciu;
• elektronicky podpísať dokumenty s kvalifikovanou hodnotou (QES) priamo z peňaženky;
• zdieľať selektívne atribúty identity (selective disclosure), čím sa rešpektuje princíp minimalizácie údajov GDPR.

Pre podniky EUDIW teoreticky zjednodušuje postupy overovania totožnosti pred kvalifikovaným podpisom, odstrániac trenie videa-identifikácie alebo osobného overovania. V praxi bude vplyv závisieť od tempa národného nasadenia — Francúzsko v roku 2025 spustilo pilotný experiment v rámci programu „France Identité".

Presný harmonogram prechodu z eIDAS 1 na eIDAS 2

Regulačné míľniky na vedomie

Nariadenie 2024/1183 vstúpilo do platnosti 20. mája 2024, ale jeho uplatňovanie je postupné. Tu sú kľúčové termíny:

| Dátum | Udalosť | |------|----------| | 20. mája 2024 | Zverejnenie v Úradnom vestníku, vstup do formálnej platnosti | | 20. novembra 2024 | Lehota 6 mesiacov na prijatie vykonávacích aktov Komisiou (technické špecifikácie EUDIW) | | Koniec 2025 | Zverejnenie revidovaných noriem ETSI (EN 319 411-1/2, EN 319 401) integráciou požiadaviek eIDAS 2 | | 26. mája 2026 | Lehota na dosiahnutie súladu členských štátov s novými kategóriami kvalifikovaných služieb | | 26. novembra 2026 | Povinné sprístupnenie EUDIW každým členskym štátom | | 2027-2028 | Kompletná revízia národných zoznamov dôvery (TSL) a akreditácia nových QTSP |

eIDAS 1 zostáva platný a podpisy vydané podľa jeho režimu si zachovávajú plnú právnu hodnotu. Neexistuje žiadna povinnosť znova podpisovať existujúce dokumenty. Na druhej strane, kvalifikovaní poskytovatelia dôveryhodných služieb budú musieť obnoviť svoju akreditáciu podľa nových technických noriem do roku 2027.

Čo sa nemení a čo je potrebné sledovať

Kontinuita je základným princípom prechodu. Tri úrovne podpisu (SES, AdES, QES) sú udržiavané s ich nezmenými definíciami. Domnienka ekvivalencie s vlastnoručným podpisom pripojená k QES (článok 25 eIDAS 1, prepísaný na článok 27 eIDAS 2) zostáva platná. Dôkazní charakter vašich súčasných elektronických podpisov nie je spochybňovaný.

To, čo je potrebné sledovať, sú však vykonávacie akty (implementing acts) zverejnené Európskou komisiou počas 2025-2026, ktoré stanovia presné technické špecifikácie EUDIW a nových kategórií služieb. Tieto texty úrovne 2 majú značný praktický význam pre integrátorov a vydavateľov softvéru. Pre podniky využívajúce elektronickú signatúru vo svojich procesoch personálneho riadenia alebo právnych, sa odporúča požiadať svojho poskytovateľa o plán zhody eIDAS 2.

Konkrétny vplyv na podniky a ich riešenia signatúry

Ktoré pracovné postupy sú v priorite?

Prechod z eIDAS 1 na eIDAS 2 nemá rovnaký vplyv v závislosti od úrovne používanej signatúry. Pre podniky sa rozlišujú tri situácie:

Jednoduchá elektronická signatúra (SES): používaná pre zmeny nízkeho značenia, potvrdenia prijatia, interné formuláre. Žiadna povinnosť okamžitej aktualizácie. Pravidlá dôkaznosti zostávajú upravené Občanským zákonníkom (čl. 1366-1367) a nie priamo eIDAS.

Pokročilá elektronická signatúra (AdES/AdESQC): podniky používajúce riešenia B2B pre obchodné zmluvy, demateriálované pracovné zmluvy alebo nehnuteľné akty musia skontrolovať, že ich poskytovateľ udržiava súlad so štandardmi ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) a EN 319 142 (PAdES) v ich revidovaných verziách pre eIDAS 2. Tieto normy budú zverejnené ETSI do konca roku 2025.

Kvalifikovaná elektronická signatúra (QES): kvalifikovaní poskytovatelia (QTSP) budú musieť prejsť na novú akreditáciu eIDAS 2. Prechodné obdobie poskytuje rozumnú lehotu (do roku 2027), ale verejné zákázky spustené v roku 2025 by mali zahŕňať klauzulu o zhode eIDAS 2 v kritériách výberu. Pre organizácie porovnávajúce dostupné možnosti, porovnanie riešení elektronickej signatúry umožňuje vyhodnotiť zrelosť vydavateľov v tejto oblasti.

Nové požiadavky pre kvalifikovaných poskytovateľov dôveryhodných služieb (QTSP)

eIDAS 2 sprísnuje požiadavky platné pre QTSP na troch hlavných bodoch:

1. Bezpečnosť systémov: povinné zarovnanie so smernicou NIS2 (smernica (EÚ) 2022/2555) pre QTSP, teraz klasifikovaných ako základné subjekty. To sa prejavuje povinnosťou oznámiť incidenty do 24 hodín, ročnými bezpečnostnými auditmi a zavedením plánov kontinuity činnosti.

1. Posilnená zodpovednosť: článok 13 eIDAS 2 rozširuje režim zodpovednosti QTSP. V prípade preukázaného porušenia je dôkazné bremeno obrátené: poskytovateľ musí dokázať, že sa nedopustil zanedbania, nie naopak.

1. Povinná interoperabilita: QTSP budú musieť exposovať štandardizované rozhrania API kompatibilné s EUDIW, aby umožnili natívnu integráciu peňaženiek identity. Táto požiadavka urýchli modernizáciu rozhraní integrácie dostupných pre vývojárov.

Pre podniky zvažujúce zmenu poskytovateľa v tejto súvislosti, migrácia z DocuSign alebo YouSign na riešenie kompatibilné s eIDAS 2 je krok, ktorý stojí za to anticipovať už teraz, nie v naliehavosti v roku 2027.

Osobné údaje a eIDAS 2: spojenie s GDPR

EUDIW zbiera a spracúva údaje o identite, ktoré sú osobného charakteru. Nariadenie eIDAS 2 výslovne predpokladá (úvahy 11 a článok 5 bis §14), že celý systém musí byť v súlade s GDPR (nariadenie (EÚ) 2016/679). Niekoľko bodov pozornosti:

• Selektívne zveľadenie: peňaženka musí umožniť používateľovi zdieľať iba atribúty prísne potrebné pre transakciu (princíp minimalizácie, čl. 5(1)(c) GDPR). Pre podpis zmluvy by len overenie plnoletosti mohlo byť zdieľané bez odhalenia úplného dátumu narodenia.
• Prenosy mimo EÚ: údaje o identite spracúvané v rámci EUDIW nemôžu byť prenesené mimo EHP iba s primeranými zárukami (čl. 46 GDPR). Poskytovatelia používajúci infraštruktúru cloudu v USA musia zdokumentovať svoju zhodu.
• Uchovávanie záznamov o podpise: archívovanie dôkazov o podpise musí rešpektovať dobu uchovania úmernú povahe dokumentu. Nová služba kvalifikovaného archívovania eIDAS 2 poskytuje technický rámec na splnenie tejto požiadavky.

Podniky spravujúce medzinárodné pracovné zmluvy sú osobitne dotýkané týmto spojením GDPR/eIDAS 2, najmä ak sa signatári nachádzajú mimo EÚ.

Právny rámec uplatniteľný na prechod z eIDAS 1 na eIDAS 2

Texty na referenciu

Prechod je založený na navrstvení textov, ktoré je nevyhnutné ovládať:

Na európskej úrovni:

• Nariadenie (EÚ) č. 910/2014 (eIDAS 1): stále platné až do jeho postupného zrušenia eIDAS 2. Definuje tri úrovne signatúry (SES, AdES, QES) a režim QTSP.
• Nariadenie (EÚ) 2024/1183 (eIDAS 2): vstúpilo do platnosti 20. mája 2024. Podstatne modifikuje eIDAS 1 bez jeho okamžitého zrušenia. Ustanovenia týkajúce sa EUDIW sa uplatňujú od zverejnenia vykonávacích aktov.
• Nariadenie (EÚ) 2016/679 (GDPR): úplne sa uplatňuje na spracúvanie údajov identity v rámci EUDIW a procesov signatúry. Článok 5 bis §14 eIDAS 2 túto podriadenosť výslovne pripomína.
• Smernica (EÚ) 2022/2555 (NIS2): ukladá posilnené požiadavky na kybernetickú bezpečnosť QTSP, teraz klasifikovaných ako základné subjekty. Transponovaná do francúzskeho práva nariadením č. 2024-821 z 20. júna 2024 (v priebehu implementácie dekrétu).

Na francúzskej úrovni:

• Občiansky zákonník, články 1366 a 1367: základ dôkazní hodnoty písomností v elektronickej forme. Článok 1366 ustanovuje ekvivalenciu medzi elektronickým a papierovým písmom za podmienok. Článok 1367 udeľuje kvalifikovanej signatúre (QES) rovnakú probatúru ako vlastnoručnému podpisu.
• Dekrét č. 2017-1416 z 28. septembra 2017: upresňuje podmienky používania elektronickej signatúry v aktoch podpísaných súkromne. Zostáva uplatniteľný počas prechodného obdobia.
• Všeobecný referenčný rámec bezpečnosti (RGS) v2: pre francúzske správy RGS vyžaduje použitie riešení referencovaných ANSSI. Jej aktualizácia na integráciu eIDAS 2 sa očakáva počas roku 2026.

Aplikovateľné technické normy ETSI

Normy ETSI tvoria úroveň 3 hierarchie noriem. Aktuálne aplikovateľné verzie:

• EN 319 132-1/2: formát XAdES (pokročilé podpisy XML)
• EN 319 122-1/2: formát CAdES (pokročilé podpisy CMS)
• EN 319 142-1/2: formát PAdES (pokročilé podpisy PDF)
• EN 319 401: všeobecné požiadavky na poskytovateľov služieb dôvery
• EN 319 411-1/2: požiadavky na CA vyžadujúce kvalifikované certifikáty

Tieto normy budú revidované do konca roku 2025, aby integrovaly nové požiadavky eIDAS 2. Zmluvy s QTSP musia zahŕňať klauzulu aktualizácie na revidované verzie bez dodatočných nákladov.

Právne riziká nezodpovednosti

Podpis vydaný poskytovateľom, ktorý by nebol už akreditovaný po roku 2027, by automaticky neprišiel o svoju právnu hodnotu pre už podpísané dokumenty, ale už by nemohol profitovať z právneho predpokladu ekvivalencie s vlastnoručným podpisom (čl. 25 eIDAS). Dôkazné bremeno integrity a totožnosti signatára by potom úplne ležalo na podniku v prípade právneho sporu. Toto riziká dôkaznosti je osobitne citlivé pre akty, ktorých lehota na premlčanie je dlhá (5 rokov v obchodných záležitostiach, 30 rokov pre nehnuteľné práva).

Scenáre použitia: ako organizácie anticipujú prechod eIDAS 2

Scenár 1: advokátska kancelária s 25 spolupracovníkmi racionalizuje svoju dokumentárnu zhodu

Advokátska kancelária špecializovaná na obchodné právo, s približne 25 spolupracovníkmi a intenzívnou aktivitou v oblasti podpisovania mandátov, aktov prevodu a protokolov dohody, používala do roku 2024 riešenie pokročilej signatúry (AdES) pre všetky svoje toky. Po ohlásení eIDAS 2 si kancelária realizovala audit svojich 1 200 ročne podpísaných dokumentov, aby identifikovala tie, ktoré podľa nových odporúčaní svojej asosiacií advokátov vyžadujú QES.

Výsledok: 15 % aktov (približne 180 ročne) bolo reklasifikovaných na kvalifikovanú signatúru, čím sa zabezpečila dôkazní režim týchto dokumentov. Kancelária vyjednávala so svojím vydavateľom signatúry klauzulu záruky zhody eIDAS 2 od zverejnenia vykonávacích aktov bez dodatočných nákladov. Čas potrebný na správu overovania totožnosti signatárov sa znížil o 40 % vďaka anticipácii integrácie EUDIW plánovanej na rok 2026.

Scenár 2: malý a stredný priemyselný podnik so 150 zamestnancami zabezpečuje svoju zmluvnú reťaz dodávateľov

Malý a stredný priemyselný podnik spravujúci približne 350 zmlúv dodávateľov ročne — objednávky, dohody o dôvernosti, rámcové zmluvy — fungoval s dvomi odlišnými riešeniami signatúry pre svoje interné a externé toky, čím sa vytvoril fragment dôkazov auditu. V kontexte prechodu eIDAS 2 a nových požiadaviek na kvalifikované archívovanie sa DSI rozhodla zjednotiť svoju platformu.

Migráciou na jediné riešenie integráciou kvalifikovaného elektronického archívovania (budúca kategória eIDAS 2) podnik znížil náklady na bezpečné skladovanie o 30 % a konsolidoval dôkazy o svojej signatúre v bezpečnom digitálnom trezore v súlade. Celý dokumentárny reťazec je teraz auditorský v menej ako 2 minútach počas kontrol dodávateľov — požiadavka, ktorá je stále väčšia od ich zákazníkov v automobilovom priemysle.

Scenár 3: skupiny nemocníc s približne 600 lôžkami pripravujú integráciu EUDIW

Skupiny nemocníc verejného sektora používali kvalifikovanú elektronickú signatúru na svoje medicínske zmluvy a verejné obstarávania v súlade s požiadavkami kódexu verejného obstarávania. S eIDAS 2 IT služba identifikovala dve prioritné problémy: budúcu integráciu tašky „France Identité" pre libre praktizujúcich lekárov pôsobiacich v zariadení a zhodu NIS2 svojho QTSP.

Skupiny nemocníc zaradili do svojho direktívneho schémy digitalizácie 2025-2028 špecifickú položku „zhoda eIDAS 2", s predpokladaným rozpočtom 45 000 € na technickú migráciu a školenie agentov. Cieľom je byť schopný prijímať podpisy cez EUDIW od národného nasadenia plánovaného na november 2026, čím sa znížia lehoty zmluvného uzatvárania s profesiám zdravotníctva o 3 dni na menej ako 4 hodiny v priemere podľa dostupných benchmarkov sektora.

Záver

Prechod z eIDAS 1 na eIDAS 2 nie je porušením, ale štruktúrovanou evolúciou s presným harmonogramom rozprestierajúcim sa do roku 2027. Dopady na elektronickú signatúru sú skutočné — rozšírenie kvalifikovaných služieb, príchod EUDIW, sprísnenie požiadaviek NIS2 pre QTSP — ale zvládateľné, pokiaľ sú anticipované. Podniky, ktoré konajú teraz, využívajú manévrovací priestor na audit ich pracovných postupov, zabezpečenie ich zmlúv s ich poskytovateľmi a školenie svojich tímov bez regulačného tlaku urgentnosti.

Certyneo sprevádzajú podniky v tomto prechode s jasným plánom zhody eIDAS 2, formátmi signatúry udržiavaných v aktualizácii a architektúrou pripravené na integráciu EUDIW. Ste pripravení zabezpečiť vaše podpisové toky v tomto novom regulačnom rámci? Objavte naše ponuky a začnite bezplatne na Certyneo.