eIDAS 2: novi evropski pravilnik razložen v letu 2026

Uvod: zakaj eIDAS 2 spreminja vse za evropska podjetja

Prihod v veljavo 20. maja 2024 po dolgotrajnem zakonodajnem postopku predstavlja pravilnik eIDAS 2 — uradno poimenovan Pravilnik (EU) 2024/1183 — najambicioznejšo reformo, kdaj koli izvedeno na področju elektronske identifikacije in storitev zaupanja v Evropi. Razveljavi in delno nadomesti prvotni pravilnik eIDAS iz leta 2014 (št. 910/2014), medtem ko ohranja kompatibilnost nazaj s subjektom obstoječe infrastrukture. Za podjetja, ki uporabljajo elektronsko podpis v skladu z eIDAS, ta prenova uvaja nove obveznosti, nove priložnosti in tesne roke za skladnost do leta 2026 in naprej. Ta članek podrobno razlaga ključne določbe besedila, njihove operativne posledice in način, kako se vaša organizacija lahko nanje pripravi.

---

Kaj pravilnik eIDAS 2 temeljito spreminja

Od pravilnika iz leta 2014 do različice 2024: strukturna prenova

Prvotni pravilnik eIDAS iz leta 2014 je postavil temelje vzajemnega priznavanja shem elektronske identifikacije med državami članicami in vzpostavil enotni pravni okvir za storitve zaupanja (podpis, pečat, časovni žig itd.). Toda deset let pozneje so bile omejitve očitne: nizka stopnja sprejetosti notificiranih eID-jev, fragmentacija nacionalnih rešitev, odsotnost univerzalne digitalne denarnice za državljane in predvsem neustreznost za spletne odjemalce (GAFAM izključeni iz okvira zaupanja).

eIDAS 2 odpravi te pomanjkljivosti na treh glavnih področjih:

1. Evropski denarniči digitalne identitete (EUDI Wallet) — vsaka država članica mora do novembra 2026 zagotoviti aplikacijo digitalne denarnice, ki omogoča vsakemu evropskemu državljanu ali rezidentu, da varno shranja in predstavi svoje atribute identitete (izkaznico, vozniški izpit, diplome itd.).
2. Razširitev kvalificiranih storitev zaupanja — besedilo dodaja nove kvalificirane storitve: upravljanje z arhiviranjem (QESAP), poročila o atributih identitete (QEAA), elektronske knjige računov (QLED) in upravljanje s podpisovalnimi napravami na daljavo (QRCD).
3. Obveznost za velike platforme — ponudniki spletnih storitev velike velikosti (družabna omrežja, tržišta) morajo sprejeti denarnico EUDI za avtentifikacijo uporabnikov.

Denarnica EUDI Wallet: arhitektura in delovanje

EUDI Wallet je jedro eIDAS 2. Konkretno gre za programsko aplikacijo — dostavljeno ali certificirano s strani vsake države članice — ki temelji na decentraliziranem modelu predstavitve izbirnih atributov. Uporabnik prenaša le podatke, ki so strogo potrebni za transakcijo (načelo minimizacije, v skladu z GDPR).

Z vidika tehnike je arhitektura zasnovana na specifikacijah Architecture Reference Framework (ARF), ki ga je objavila Evropska komisija in ki se redno posodablja s strani Large Scale Pilot (LSP), ki združuje štiri pilotne konzorcije (DC4EU, EWC, POTENTIAL, NOBID). Izbrani formati podatkov so predvsem ISO/IEC 18013-5 (mDL/mDocs) in W3C Verifiable Credentials, kar zagotavlja mednarodno interoperabilnost.

Za podjetja to pomeni, da bodo lahko sčasoma preverila identiteto svojih strank ali partnerjev prek denarnice, ne da bi same upravljala zbiranje dokaznih gradiv — s čimer se bistveno zmanjšata trenja KYC (Know Your Customer) in tveganja za goljufije z dokumenti.

---

Ravni zaupanja in hierarhija podpisov: kaj se spreminja

Ohranitev hierarhije QES / AdES / SES

Režim elektronskih podpisov ostaja strukturiran okrog treh ravni, opredeljena v členu 3 eIDAS 2 (ki ponovno navaja terminologijo iz leta 2014, vendar pojasnjuje tehnične zahteve):

• Preprosti elektronski podpis (SES) : minimalna dokazna vrednost, primerna za običajne akte.
• Napredni elektronski podpis (AdES) : izključna povezava s podpisovalcem, možnost zaznavanja kakršnega koli poznejšega spreminjanja.
• Kvalificirani elektronski podpis (QES) : pravna enakovrednost ročnemu podpisu v celej EU (člen 25§2), izdan prek kvalificirane naprave za ustvarjanje podpisov (QSCD) na podlagi kvalificiranega certifikata.

Novost je v tem, kako je mogoče QES sedaj dostaviti prek kvalificiranih storitev oddaljene podpisovanja (QRCD), katerih pogoji za odobritev so navedeni v členih 29a in 29b revidirane besedila. To odpira pot za 100 % digitalne tokove za najbolj zahtevne akte — notarske pogodbe, elektronske javne listine — brez potrebe po fizični pametni kartici.

Vpliv na ponudnike kvalificiranih storitev zaupanja (QTSP)

Ponudniki, kot je Certyneo, ki delujejo na podlagi certificiranih QTSP-jev, morajo pričakovati nove zahteve za revidiranje, ki jih uvedlo eIDAS 2. Člen 24 sedaj nalaga krepljene nadzore nad verigami podizvajalcev, zahteve za obveščanje o varnostnih incidentih pa se izrecno usklajujejo s tistimi v direktivi NIS2 (rok 24 ur za začetno obvestilo). Za poglobljeno razumevanje delovanja različnih ravni podpisov v kontekstu B2B si oglejte naš celovit vodnik elektronskega podpisa v podjetjih.

---

Razpored razporeditve in obveznosti podjetij 2025-2026

Ključne mejnike razporeditve

Pravilnik (EU) 2024/1183 je bil objavljen v Uradnem listu EU 30. aprila 2024 in je prihod v veljavo 20. maja 2024. Izvedbeni in delegirani akti — bistveni za pojasnjenje tehničnih zahtev — se postopoma objavljajo:

| Rok | Obveznost | |---|---| | Maj 2024 | Prihod v veljavo pravilnika | | Konec 2024 | Objava izvedbenih aktov o ARF v2.0 | | Sredina 2025 | Certificiranje prvih pilotnih EUDI Wallet-ov | | November 2026 | Obvezna dostopnost EUDI Wallet-a v vsaki državi članici | | 2027 | Obvezno sprejemanje s strani velikih spletnih platform |

Kaj bi morala podjetja B2B storiti zdaj

Za podjetja, ki uporabljajo rešitve elektronskega podpisa, se v letih 2025-2026 postavlja tri prednosti:

1. Revidirajte svojo verigo zaupanja: preverite, ali je vaš ponudnik podpisa v resnici na seznamu QTSP (Trusted List) svoje države članice in da se uporabljeni certifikati skladajo z novimi specifikacijami ETSI EN 319 401 in EN 319 411-1, ki so se revidirale.

2. Pričakujte integracijo EUDI Wallet-a: podjetja, ki delujejo v reguliranih sektorjih (bankarstvo, zavarovanje, zdravstvo, nepremičnine), bodo med prvimi, ki bodo obravnavana s tokovi preverjanja identitete prek denarnice. Priporočeno je, da pripravite API-je za integracijo že leta 2025.

3. Preglejte svoje politike hrambe: nova kvalificirana storitev arhiviranja (QESAP) uvaja standarde za dolgoročno ohranjevanje, ki se lahko nametejo v določenih sektorjih (javne naročitve, farmacevtski sektor). Naš kalkulator ROI za elektronski podpis vam omogoča, da ocenite finančni vpliv modernizacije vaše infrastrukture za dokumente.

---

Interoperabilnost, GDPR in vprašanja digitalnega suverenitete

eIDAS 2 in GDPR: okrepljena komplementarnost

Ena od glavnih napredkov eIDAS 2 je izrecna integracija načel varstva podatkov že ob oblikovanju (privacy by design) v arhitekturo EUDI Wallet-a. Člen 5a§14 določa, da denarnica ne omogoča ponudnikom slediti vedenju uporabnika med transakcijami. Izdajatelji kvalificiranih atributov identitete (QEAA) niso obveščeni o uporabi, ki se jo odvija z изданими potrdilima — kar predstavlja velik preobrat glede na sedanje centralizirane modele.

Ta arhitektura je kvalificirana kot unlinkability (nezvezljivost): dve ločeni transakciji istega uporabnika ni mogoče povezati brez njegove privolitve. To zagotovilo presega minimalne zahteve GDPR in se nanjo dobro ujema.

Geopolitična dimenzija: ponovno prevzeti nadzor nad spletno identiteto

eIDAS 2 se odziva tudi na vprašanje suverenosti. Danes se avtentifikacija spletne strani v veliki meri opira na gumbe »Prijava z Google/Facebook/Apple«, kar ameriškim tehnološkim velikanom daje prevladujočo vlogo pri upravljanju evropskih digitalnih identitet. S predpisovanjem, da velike platforme (v smislu Digital Services Act) sprejmejo EUDI Wallet kot način avtentifikacije, eIDAS 2 ustvari interoperabilno in suverenost alternativo.

Za B2B podjetja to pomeni tudi, da se skladnost eIDAS 2 lahko postavi kot kriterij izbire ponudnika v javnih in privatnih javnih razpisih — podobno kot je danes ISO 27001 v procesih nakupa. Če vaša organizacija razmišlja o razvoju svoje trenutne rešitve, naš vodnik migracije iz DocuSign ali YouSign v Certyneo podrobno pojasni korake nadzorovanega prehoda.

Pravni okvir, ki se uporablja za eIDAS 2 in elektronski podpis

Besedila za referenco

Pravilnik (EU) 2024/1183 Evropskega parlamenta in Sveta z dne 11. aprila 2024, spremembe Pravilnika (EU) št. 910/2014 glede vzpostavitve evropskega okvira za digitalno identiteto (eIDAS 2). Objavljen v UL 30. aprila 2024, prihod v veljavo 20. maja 2024.

Pravilnik (EU) št. 910/2014 (eIDAS 1): ostal v veljavi za svoje sprememnjene določbe, zlasti članke, ki se nanašajo na ravni zaupanja »nizka«, »bistvena« in »visoka« za objavljena shema identifikacije.

Francoski civilni zakonik, členi 1366 in 1367: elektronski dokument ima enako dokazno vrednost kot papirnat dokument, če je oseba, iz katere izhaja, pravilno identificirana in je dokument postavljen v razmerah, ki zagotavljajo njegovu integrnost. Kvalificirani elektronski podpis (QES) v smislu eIDAS 2 v polnem obsegu zadošča tem zahtevam.

Pravilnik (EU) 2016/679 (GDPR): obdelava podatkov o identiteti v okviru EUDI Wallet-a je podvržena načelom minimizacije (čl. 5§1c), omejevanja namena (čl. 5§1b) in varstva podatkov ob zasnovi (čl. 25). Kvalificirani ponudniki so odgovorni subjekti za različite operacije preverjanja.

Direktiva (EU) 2022/2555 (NIS2): prenesena v francoski zakon z naredbom št. 2024-528 z dne 12. junija 2024 nalaga ponudnikom kvalificiranih storitev zaupanja obveznosti upravljanja s kibernetskimi tveganji in obveščanja o incidentih v roku 24 ur.

Standardi ETSI:

• EN 319 132 (XAdES) in EN 319 122 (CAdES): napredni formati elektronskih podpisov.
• EN 319 401: splošne zahteve za ponudnike storitev zaupanja.
• EN 319 411-1 in 411-2: politika in varnostne zahteve za CA-je, ki izdajajo kvalificirane certifikate.
• EN 319 521: zahteve za kvalificirane storitve ohranjanja podpisov (QESAP).

Obveznosti in pravna tveganja za podjetja

Vsako podjetje, ki uporablja elektronske podpise v pogodbenih kontekstih, mora zagotoviti, da je izbrana raven podpisa primerna za vrednost in naravo akte. Za akte, ki so predmet zakonske zahteve za podpis (obljube za prodajo, pogodbe o zaposlitvi, naročilni listi, ki presegajo določene pragove), samo QES ali AdES na podlagi kvalificiranega certifikata zagotavlja domnevnost zanesljivosti iz člena 26 eIDAS 2.

V primeru spora se breme dokazovanja obrne: če je podpis kvalificiran, je naloga stranke, ki sporni dokument, dokazati njegovo spremembo; če je preprost ali napredljiv brez kvalificiranega certifikata, breme dokazovanja počiva na podpisovalcu, ki ga vpliva. Neupoštevanje zahtev za sledljivost in celovitost lahko povzroči nič akte ali neučinkovitost podpisa tretji osebi.

Scenariji uporabe: eIDAS 2 uporabljen za podjetja B2B

Scenarij 1 — Poslovna svetovalnica za digitalno transformacijo (približno 80 svetovalcev)

Struktura svetovanja, ki uvaja svoje sodelavce pri različnih državah članicah (Francija, Nemčija, Nizozemska), mora mesečno podpisovati naročila za misije, spremembe pogodb in zapisnike o sprejemu. Pred eIDAS 2 je upravljanje s čezmejnimi identitetami ustvarilo težave: zavrnitev določenih nemških strank, da bi priznale certifikate, izdane s strani QTSP-ja v Franciji, dvojna avtentifikacija z imejlom je bila nezadostna za občutljive akte.

S razporeditvijo EUDI Wallet-a v letu 2026 bodo svetovalci lahko podpisali svoje nacionalne denarnice — priznane v vseh državah članicah — brez kakršnih koli težav. Svetovalnica ocenjuje zmanjšanje 60 do 70 % časa namenjenega izmenjavanju preverjanja dokumentacije pred podpisom, to je približno 3 do 4 ure na svetovalca na mesec glede na referenčne vrednosti, ki jih je objavila McKinsey Digital (2024).

Scenarij 2 — Delno podjetje v industriji, ki upravlja 350 dobaviteljskih pogodb letno

Podjetje v sektorju industrijske opreme, ki deluje s stotino evropskih in azijskih dobaviteljev, mora pogajati nakupne pogodbe, sporazume o zaupnosti (NDA) in okvirne pogodbe. Do sedaj se je 30 % teh dokumentov vrnilo brez veljavnega podpisa ali z zakasnjenim rokom, daljšim od 10 delovnih dni.

Z sprejetjem rešitve elektronskega podpisa v skladu z eIDAS 2 s preverjanjem identitete prek kvalificiranih atributov (QEAA) lahko delno podjetje nasilno izvršuj podpisovalnim tokom, ko se identiteta pravnega predstavnika dobavitelja samodejno preveri prek EUDI Wallet-a brez ročnega vnosa. Pričakovan rezultat: zmanjšanje povprečnega roka podpisa z 10 dni na manj kot 48 ur in zmanjšanje 40 % sporov, povezanih z neustreznimi podpisi, na podlagi razponov, opaženih v poročilih ELENIUS 2025 o demateriailzaciji B2B.

Scenarij 3 — Nepremičninsko združenje, ki upravlja compromise prodaje v več deželah

Omrežje nepremičninskih agencij, ki deluje v Franciji, Španiji in Portugalski, mora redno podpisati predpogodbe med prodajalci in kupci različnih narodnosti. QES je potrebna v določenih kontekstih za zagotovitev enakovrednosti z ročnim podpisom pred notarjem.

S pomočjo eIDAS 2 in interoperabilnosti EUDI Wallet-ov lahko portugalski kupec podpiše kompromis v skladu s francoskim pravom s pomočjo svoje nacionalne denarnice, s stopnjo zaupanja »visoko« avtomatično priznavano s strani podpisovalnih platform. Nepremičninsko združenje zmanjša svoje stroške potovanj in legalizacije za približno 800 do 1 200 evrov na primer, hkrati pa zmanjša rok zaključka predpogodb z 3 tednov na 5 dni v povprečju. Za posebne primerose sektorja naš posebej namenjena stran elektronskega podpisa v nepremičninah pojasnjuje prilagojene delovne tokove.

Zaključek

eIDAS 2 ni le preprosta regulativna posodobitev: to je temeljita preureditev načina delovanja digitalne identitete in elektronskega zaupanja v Evropi. EUDI Wallet, nove kvalificirane storitve, obveznost interoperabilnosti in uskladitev z NIS2 in GDPR sestavljajo koherentni ekosistem, ki bo do konca leta 2026 spremenil pogodljive in avtentifikacijske procese podjetij.

Da bi ostala skladna in konkurenčna, morata organizaciji B2B deluje takoj: revidira svojo verigo zaupanja, izbira ponudnika, usklajenega z novimi zahtevami in pripravi svoje dokumente toke za integracijo digitalne evropske denarnice.

Certyneo vas spremlja pri tem prehodu z rešitvami kvalificiranega elektronskega podpisa v skladu z eIDAS 2, pripravljenimi za 2026. Zahtevajte predstavitev ali ustvarite svoj račun na Certyneo za zavarovanje svojih pogodb že danes.