eIDAS 2 v eIDAS 1: ključne spremembe za MSP

Uvod: zakaj eIDAS 2 spremeni igro za MSP

Od 20. maja 2024 je Uredba (EU) 2024/1183 — splošno znana kot eIDAS 2 — stopila v veljavo, preklicala in postopoma nadomestila Uredbo (EU) št. 910/2014 (eIDAS 1). Za francoske MSP ta prehod ni zgolj administrativa: ponovno opredelja ravni digitalne zaupanja, uvaja evropski digitalni denarnico za identiteto (EUDIW), okrepljuje zahteve za posredovalce storitev zaupanja in razširja področje priznanih storitev. Ta članek po točki primerjava eIDAS 1 in eIDAS 2, identificira praktične operativne vplive na majhna in srednja podjetja ter vam daje načrt ukrepanja, da ostanete skladni do 2026.

---

1. Opomin: kaj je postavilo eIDAS 1 (2014-2024)

1.1 Temelji prvotne uredbe

Sprejet julija 2014 in veljaven od septembra 2016 je eIDAS 1 postavil prve temelje evropskega prostora digitalne zaupanja. Uvedel je tri velike kategorije elektronskega podpisovanja — preprosto (SES), napredno (AdES) in kvalificirano (QES) — in ustvaril seznam zaupanja kvalificiranih posredovalcev (Trusted List), dostopen prek portala Evropske komisije.

Za MSP je bil glavni prispevek eIDAS 1 čezmejno priznanje kvalificiranih podpisov: pogodba, podpisana s kvalificiranim elektronskim podpisom v Franciji, je bila pravno priznana v Nemčiji, Španiji ali Italiji brez apostila ali dodatnih formalnosti. To načelo — imenovano »nediskriminacija« — je ostalo osnova, na kateri so ponudniki storitev v oblaku, kot je Certyneo, zgradili svoje storitve.

1.2 Identificirane omejitve

Kljub svojim napredkom je eIDAS 1 trpel številne manjše pomanjkljivosti, dokumentirane v poročilu Evropske komisije o ovrednotenju iz 2021:

• Fragmentacija shem identitete: le države članice, ki so obvestile svoje nacionalne sheme (kot je FranceConnect+ na vsebinski ravni), so bile deležne medsebojnega priznanja. Leta 2023 je le 14 držav članic od 27 obvestilo shemo v skladu.
• Odsotnost domače mobilne podpore: kvalificirani pripomoček za tvorjenje podpisa (QSCD) je pogosto zahteval pametno kartico ali fizični token, kar je utrudilo mobilno sprejetje.
• Omejene storitve zaupanja: eIDAS 1 je navedel devet vrst kvalificiranih storitev; nove rabe (kvalificirano elektronsko arhiviranje, upravljanje atributov) niso bile regulirane.
• Brez enotnega portfelja identitete: vsak državljan ali podjetje je upravljal svoje identifikatorje izoliranega, brez zagotovljene interoperabilnosti.

Te omejitve so pripeljale Komisijo do začetka revizije leta 2020, kar je vodilo do uredbe eIDAS 2 po treh letih triloga.

---

2. Pet velikih novosti eIDAS 2 za MSP

2.1 Evropski digitalni denarnica za identiteto (EU Digital Identity Wallet — EUDIW)

To je najbolj vidna novost uredbe. Do novembra 2026 (rok za prenos, določen s členom 5a) mora vsaka članica državam svojim državljanom in prebivalcem ponuditi najmanj en digitalni denarnico za identiteto s certifikatom. Za MSP ima ta sprememba dve neposredni posledici:

1. Poenostavljeno preverjanje pristnosti strank in partnerjev: denarnica bo omogočila deljenje preverenih atributov (starost, davčna številka, popis sprememb, certificirani podatki o bančnem računu) brez trenja. Okvir pogodbe s partnerjem v Nemčiji bo mogoče podpisati po takojšnjem preverjanju njegovih poslovnih atributov iz njegove EUDIW.
2. Obveznost sprejetja za določene sektorje: spletne storitve velikih platform (člen 45bis) in določene javne storitve morajo spremeniti EUDIW kot sredstvo preverjanja pristnosti. MSP-jem, ki zagotavljajo portale B2B, morajo prilagoditi svoje API-je preverjanja pristnosti.

2.2 Razširitev seznama kvalificiranih storitev zaupanja

eIDAS 2 razširja katalog kvalificiranih storitev zaupanja s 9 na 14 kategorij. Novi vnosi, ki se neposredno nanašajo na MSP, so:

• Kvalificirano elektronsko arhiviranje (člen 45septies): dolgoročna ohranitev z ojačano vrednostjo dokazov. Do zdaj je bilo arhiviranje s vrednostjo dokazov opiralo na narodne referenčne sisteme (v Franciji referenčni sistem SIAF/ANSSI); eIDAS 2 usklajuje evropski okvir.
• Upravljanje na daljavo kvalificiranih pripomočkov za tvorjenje podpisa (RQSCD): sada eksplicitno urejena, odpira negotovosti glede rešitev oblačnega kvalificiranega podpisovanja. Za MSP s 50 delavci to pomeni dostop do kvalificiranega podpisa brez fizičnega tokena, s kateregakoli naprave.
• Storitev kvalificiranega elektronskega registra: registri, izvedeni na osnovi verižnice ali tehnologij distribuiranega splošnega glavnega razloga, lahko zdaj dobijo kvalificiran status, kar odpira nove modele upravljanja pogodb.

Če želite več informacij o ravneh podpisovanja in njihovi pravni vrednosti, preglejte naš splošni vodnik za elektronsko podpisovanje.

2.3 Okrepitev varnostnih zahtev za kvalificirane posredovalce (QTSP)

eIDAS 2 zpriostri obveznosti kvalificiranih posredovalcev storitev zaupanja (QTSP). Revidiran člen 24 nalaga zlasti:

• Certifikacijo kibernetske varnosti v skladu z evropskim okvirom (Zakon EU o kibernetski varnosti, Uredba 2019/881), s sektorskimi shemami v razvoju ENISA.
• Okrepljene zahteve glede operativne odpornosti: QTSP mora zdaj dokumentirati svoj načrt nadaljevanja poslovanja in ga posredovati svojemu nacionalnemu organu nadzora (v Franciji ANSSI za kvalificirane posredovalce).
• Obveznost obvestila o varnostnih incidentih v 24 urah (usklajitev z NIS 2).

Za MSP kot uporabnike se to prevede v obveznost povečane skrbnosti pri izbiri ponudnika: potrditi, da je vaša rešitev za podpisovanje na dnevno posodobljeni Trusted List Evrope, je zdaj kritični korak vašega postopka nakupa. Naš primerjalni pregled rešitev elektronskega podpisovanja vam lahko pomaga pri tej analizi.

2.4 Obvezna interoperabilnost shem identitete

Tam, kjer je eIDAS 1 pustil državam članicam svobodo, da obvestijo (ali ne) svojo shemo, eIDAS 2 naredi obvestilo in interoperabilnost obvezni za sheme identitete, ki se uporabljajo v spletnih javnih storitvah (člen 5). France Identité — nacionalna shema, ki jo nosi Ministrstvo za notranje zadeve — je v teku usklajitve z tehnični specifikacijami EUDIW, objavljenimi s strani Komisije v Uredbi (EU) 2024/2977.

Za MSP, ki redno komunicira z javno upravo (javni natečaji, elektronske dajatve, carinski postopki), ta sprememba pomeni, da bodo spletni postopki postopoma enotni glede na enotni digitalni identifikator, priznan v celotni EU.

2.5 Nova pravila odgovornosti in nadzora

eIDAS 2 pojasnjuje in razširja režime odgovornosti posredovalcev (revidiran člen 13). QTSP je sada domnevno odgovoren za vse škode, povzročene fizični ali pravni osebi z nespoštovanjem svojih obveznosti, razen da dokaže odsotnost krivde. Ta domnevna odgovornost, okrepljena v primerjavi z eIDAS 1, mora vzpodbuditi MSP, da:

• Formalno uredijo zavezanosti svojega ponudnika (SLA, jamstva za razpoložljivost, odškodnine).
• Preverijo obseg zavarovanja odgovornosti za poklicne napake QTSP.
• Obdržijo dokaze o reviziji podpisanih transakcij (dnevniki časovnih žigov, poročila o preverki podpisa).

Naše ekipe so napisale podroben vodnik o elektronskem podpisovanju v podjetju, ki obravnava te pogodbenike.

---

3. Primerjalna tabela eIDAS 1 v eIDAS 2: kaj se v praksi spremeni

3.1 Povzetek glavnih sprememb

| Merilo | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Digitalni denarnica za identiteto | Odsotna | Obvezna EUDIW (države članice) | | Kvalificirane storitve | 9 kategorij | 14 kategorij (arhiviranje, RQSCD, registri…) | | Obvestilo shem | Izbirno | Obvezno za javne storitve | | Varnost QTSP | Kriteriji Common Criteria | Zakon o kibernetski varnosti + ENISA sheme | | Odgovornost QTSP | Delna | Okrepljena domnevna odgovornost | | Rok obvestila incidenta | Nespečen | 24 ur (usklajitev NIS 2) | | QSCD mobilni | Pravna negotovost | RQSCD eksplicitno uređen |

3.2 Ključni roki do 2026

• Maj 2024: stopitev v veljavo Uredbe (EU) 2024/1183.
• November 2026: skrajni rok, da vsaka članica ponudi najmanj eno rešitev EUDIW s certifikatom.
• 2027: obveznost za velike platforme (člen 45bis), da spremenijo EUDIW kot sredstvo preverjanja pristnosti.
• 2028: predvidena revizija tehničnih izvajalnih aktov (delegirane uredbe o specifikacijah EUDIW).

Če vaša MSP načrtuje selitev na bolj usklajeno rešitev, naša ponudba za selitev na Certyneo vključuje brezplačno revizijo skladnosti eIDAS 2.

---

4. Praktični načrt ukrepanja za uskladitev vaše MSP z eIDAS 2

4.1 Revidirajte obstoječe dokumentarne tokove

Začnite s kartografijo vseh procesov, pri katerih trenutno uporabljate elektronsko podpisovanje ali digitalno identiteto: pogodbe s dobavitelji, elektronska nadomestila, mandata SEPA, sporazume o zaupnosti, akte v zvezi s kadrom. Za vsak tok identificirajte:

• Uporabljeno raven podpisovanja (SES, AdES, QES).
• Sedanji ponudnik in njegov status na Trusted List.
• Raven pravnega tveganja v primeru spora.

Ta revizija je priporočeni izhodišč ANSSI v njenem vodniku skladnosti, objavljenem marca 2025.

4.2 Nadgradite svojo rešitev za podpisovanje

Če vaš sedanji ponudnik ni na Trusted List eIDAS 2 ali še ne ponuja RQSCD, je čas, da primerjate ponudbe na trgu. Certyneo je QTSP s certifikatom, ki podpira vse tri ravni podpisovanja (SES, AdES, QES) in izvira novo integrirane nove zahteve eIDAS 2, zlasti kvalificirano arhiviranje in upravljanje na daljavo naprav.

4.3 Obučite svoje ekipe in posodobite svoje pogodbe

eIDAS 2 okrepljuje vrednost dokazov kvalificiranih podpisov, toda tudi nalaga dobre prakse dokumentarjev. Zagotovite, da vaše pravne in upravne ekipe:

• Vedo, kako razlikovati tri ravni podpisovanja in njihove respective pravne vrednosti.
• Vključijo v pogodbe s ponudniki klavzulo o reviziji skladnosti eIDAS.
• Obdržijo dokaze o preverki podpisa (poročilo o preverki, kvalificirani časovni žig) med dobo zakonske ohranitve (3 do 10 let glede na naravo akta).

Da struktuirate ta pristop, naš kalkulator ROI elektronskega podpisovanja vam bo omogočil kvantificirati operativne dobičke, povezane z nadgradnjo.

Veljaven pravni okvir

Referenčni pravni akti

Uskladitev MSP z eIDAS 2 v Franciji je del normativnega sloja, ki ga je nujno obvladati.

Uredba (EU) 2024/1183 Evropskega parlamenta in Sveta (imenovana »eIDAS 2«): to je temeljni pravni akt, objavljen v Uradnem listu EU 30. aprila 2024. Preklicuje in nadomešča Uredbo (EU) št. 910/2014 po uredniku poteka, ki se nadaljuje do 2027. Je neposredno uporabna v vseh državah članicah, brez potrebe po nacionalni zakonodajni transpozciji za njene glavne določbe.

Uredba (EU) št. 910/2014 (eIDAS 1): nekatere njene določbe ostajajo uporabne med prehodnimi obdobji, predvideni v eIDAS 2, posebej za kvalificirane posredovalce, ki so pridobili kvalifikacijo pred majem 2024 in imajo rok za ponovno certificiranje.

Francoski civilni zakonik, členi 1366 in 1367: člen 1366 postavlja načelo enakovrednosti med elektronskim in papirnatim pisanjem, pod pogojem, da »osebo, od katere izvira, je mogoče ustrezno identificirati in je bila vzpostavljena in ohranjena na način, ki zagotavlja njeno celovitost«. Člen 1367 priznava elektronski podpis kot sredstvo dokazovanja, z obvestilom na pogoje, določene z dekretem Sveta države (dekret št. 2017-1416 z 28. septembra 2017, kodificiran v članoch R. 1369-1 do R. 1369-10 Civilnega zakonika).

Uredba (EU) 2016/679 (GDPR): uvajanje EUDIW in obdelava identitetnih atributov v tokovih elektronskega podpisovanja predstavljata obdelavo osebnih podatkov v smislu GDPR. MSP morajo zagotoviti, da njihov QTSP deluje kot podprocesor v smislu člena 28 GDPR, z DPA (Sporazum o obdelavi podatkov) v skladu. CNIL je objavila januarja 2026 priporočilo, specifično za integracijo EUDIW-GDPR.

Direktiva (EU) 2022/2555 (NIS 2): eIDAS 2 se eksplicitno poravnava z NIS 2 za obveznosti obvestila o incidentih (člen 24, odstavek 2 eIDAS 2 z obvestilom na NIS 2). QTSP se obravnavajo kot »bistvene« ali »pomembne« subjekte v smislu NIS 2 glede na njihovo velikost in so kot taki podvrženi rednim revizijam varnosti.

Standardi ETSI: kvalificirani elektronski podpisi morajo biti v skladu s standardi ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) in ETSI EN 319 102-1 (postopek preverjanja). Standard ETSI TS 119 461 ureja preverjanje identitete na daljavo (IDV), posebej relevantno za RQSCD.

Pravna tveganja v primeru neskladnosti

Uporaba elektronske rešitve za podpisovanje, ki ni v skladu z eIDAS 2, izpostavlja MSP več tveganjem:

• Nezadopolnjenost v sodstvu: sodnik lahko zavrne elektronski podpis, katere raven ne ustreza podpisanem aktu (npr. enostaven podpis za akt, ki zahteva napredno ali kvalificirano raven).
• Pogodbena odgovornost: če je pogodba sporjena s strani partnerja na osnovi ničnosti podpisa, je MSP izpostavljena zahtevkom za nadomestilo škode.
• Sankcije GDPR: v primeru kršitve podatkov, povezane s pomanjkljivostjo varnosti ponudnika, je MSP, soodgovorni ali odgovorna oseba za obdelavo, sankcionirana s strani CNIL do 4 % svetovnega letnega prometa (člen 83, odstavek 4 GDPR).

Konkretni scenariji uporabe

Scenario 1: industrijska MSP s 80 delavci z upravljanjem 400 pogodb dobaviteljev letno

MSP v metalurški panogi, ki obravnava približno 400 pogodb dobaviteljev letno, je do 2024 uporabljala enostavno rešitev elektronskega podpisovanja (SES) za vse svoje obveznosti, tudi za pogodbe, ki so višje od 50.000 €. Po reviziji skladnosti eIDAS 2 je ugotovila, da 35 % njenih pogodb zahteva napredno ali kvalificirano podpisovanje, da bi se uprlo sporu v sodstvu, posebej s dobavitelji, ki so ustanovljeni v drugih državah članicah EU.

Z migracijo na rešitev, ki kombinira napredno podpisovanje (AdES) za običajne pogodbe in kvalificirano (QES) za okvirne pogodbe, ter z aktivacijo kvalificiranega elektronskega arhiviranja (nova storitev eIDAS 2), je ta MSP zmanjšala za 70 % čas, namenjen upravljanju dokumentov po podpisovanju (razvrstitev, iskanje, pošiljanje preslikancev certificirane), in je povrnila na ničlo sporov, povezanih s problemi podpisa na 18 mesecev po tem, kot sta bila prej dva incidenta.

Scenario 2: pravniški kabinet s 15 sodelavci

Kabinet, ki se ukvarja s poslovnim pravom, ki ima povprečno 1.200 podpisanih aktov letno (pisma o pravomočnosti, mandata, sporazume o zaupnosti), je bil soočen z naraščajočim povpraševanjem svojih korporativnih strank za kvalificirane podpise, prizname v celotni EU. Pod eIDAS 1 je pridobitev kvalificiranega certificeta zahtevala postopek osebnega pristopa ali dolgo video-preverjanje (45 do 90 minut na uporabnika).

Zahvaljujoč RQSCD (Pripomoček na daljavo za tvorjenje kvalificiranega podpisa), urejenemu z eIDAS 2, je kabinet lahko uvedel kvalificirano podpisovanje za vse svoje sodelavce v manj kot dveh tednih, prek postopka vpisovanja 100 % na daljavo v skladu s standardom ETSI TS 119 461. Stopnja notranjega sprejetja je skočila s 40 % na 95 % v treh mesecih, povprečni rok povratka podpisanih aktov pa je bil skrajšan s 4,2 dnevi na manj kot 6 ur glede na notranje meritve kabineta.

Scenario 3: MSP za e-trgovino, ki deluje v treh državah EU

Podjetje za spletno prodajo s 35 zaposlenimi, ki deluje v Franciji, Belgiji in Nizozemski, je morala upravljati tri vrste elektronskih sporazumov: pogodbe o zaposlitvi za svoje lokalne delavce, pogodbe o partnerstvu s prevozniki in mandata SEPA za svoje strokovno stranke. Fragmentacija narodnih zahtev pod eIDAS 1 je zahtevala vzdrževanje treh ločenih delovnih tokov podpisovanja, s stroški upravljanja, ocenjenimi na približno 12.000 € na leto.

Sprejetje enotne rešitve v skladu z eIDAS 2 — vključujoč medsebojno priznanje kvalificiranih podpisov v treh državah — je omogočilo poenotenje delovnih tokov, zmanjšanje stroškov upravljanja na približno 4.500 € na leto (prihranek 62 %) in odpravo zakasnitev, povezane s ročnim preverjanjem tujih podpisov s strani pravnega oddelka.

Sklep

eIDAS 2 ni le estetski popravek regulatory: temeljito ponovno opredeljuje pravila digitalne zaupanja v Evropi. Za francoske MSP pet glavnih sprememb — denarnica EUDIW, razširitev kvalificiranih storitev, RQSCD, obvezna interoperabilnost in okrepljena odgovornost — predstavljata tako omejitev skladnosti kot priložnost za pospešitev svoje digitalne transformacije.

MSP, ki ta spremembe pričakujejo že danes, bodo uživale resno konkurenčno prednost: pogodbe, priznane v celotni EU brez trenja, arhiviranje s vrednostjo dokazov vključeno, in postopki podpisovanja v celosti dematerializirani in varni.

Certyneo je namenjena spremljanju te prehoda. Začni s svojim brezplačnim preizkusom na certyneo.com in se koristite iz brezplačne revizije skladnosti eIDAS 2 za vaše obstoječe dokumnetarne tokove.