Prehod eIDAS 1 na eIDAS 2: vplivi na podpis v letu 2025

Prehod eIDAS 1 na eIDAS 2: vplivi na podpis v letu 2025

Dne 20. maja 2024 je bila uredba (EU) 2024/1183 — splošno znana kot eIDAS 2 — objavljena v Uradnem listu Evropske unije in je postopoma razveljavila uredbo št. 910/2014 (eIDAS 1). To besedilo predstavlja najbolj strukturirajočo reformo digitalne identitete in elektronskega podpisa v Evropi od leta 2016. Za francoska podjetja, ki uporabljajo rešitve elektronskega podpisa v svojih pogodbenih delovnih tokovih, prehod ni formalnost: zahteva tehnične, pravne in organizacijske prilagoditve, katerih obdobje se razteza do leta 2026 in naprej. Razumevanje prehoda eIDAS 1 na eIDAS 2 in njegove vplive na elektronski podpis v letu 2025 je zato postalo prioriteta za pravne oddelke, informatike in kadrovske direktorije. Ta članek razčlenjuje temeljne razvoje okvira, natančen urnik prehoda in konkretne ukrepe za ohranitev skladnosti.

Kaj uredba eIDAS 2 temeljito spreminja

Od uredbe iz 2014 do prenove iz 2024: zakaj je bila revizija potrebna

EIDAS 1 je postavil temelje medsebojnega priznanja elektronskih podpisov znotraj Unije. Tri hierarhične ravni — preprost (SES), naprednjen (AdES) in kvalificiran (QES) — so strukturirale probativno vrednost podpisov, podprte s seznamom ponudnikov storitev zaupanja (TSL). Vendar se je v desetih letih pojavili dve večji vrzel.

Prvič, originalna uredba se je uporabljala v bistvu za razmerja z javnimi upravami (G2B, G2C). Ni ustvarila direktnih obveznosti v zasebnih transakcijah (B2B, B2C), kar je pustilo normativno vrzel, ki jo je vsaka država članica zapolnjevala heterogeno. Drugič, porast digitalnih storitev — mobilne aplikacije, odprtno bančništvo, telemedicina — je razodel pomanjkanje prenosnega in interoperabilnega sistema digitalne identitete na kontinentalnem ravni.

EIDAS 2 odgovarja na oba izziva z uvedbo evropskega denarnice digitalne identitete (EU Digital Identity Wallet, EUDIW) in razširitvijo področja storitev zaupanja na nove primere uporabe: kvalificirano elektronsko arhiviranje, dokazila o kvalificiranih atributih, kvalificirani elektronski registri (vključno s certificiranimi aplikacijami blockchain).

Nove kategorije kvalificiranih storitev zaupanja

Uredba eIDAS 2 razširja seznam kvalificiranih storitev zaupanja (člen 3 in spremenjena priloga IV). Poleg podpisov, pečatov in kvalificiranih časovnih markerjev, že priznanih z eIDAS 1, so sedaj kvalificirani:

• Storitve kvalificiranega elektronskega arhiviranja (čl. 34 bis): obveznost ohraniti celovitost in berljivost dolgotrajno podpisanih dokumentov s povečanimi zahtevami za ponudnike (QTSP).
• Storitve upravljanja naprav za oddaljeno ustvarjanje kvalificiranih podpisov (QRCD): okrepljen nadzor rešitev za oddaljeno podpisovanje prek HSM (Hardware Security Module) v oblaku.
• Dokazila o kvalificiranih atributih: mehanizem, ki tretji osebi zaupanja omogoči, da potrdi atribute entitete (npr. naziv odvetnika, status zdravnika) brez razkritja celotne identitete.
• Kvalificirani elektronski registri: priznavanje distribuiranih registrov pod strogimi pogoji revizijske zmožnosti in odpornosti.

Za uporabnike rešitev elektronskega podpisa to razširitev pomeni, da se bodo razpoložljive kvalificirane storitve zaupanja na trgu raznoličile, in da morajo merila za izbiro ponudnika (QTSP) vključevati te nove zmožnosti.

EUDIW: denarnica digitalne identitete kot infrastruktura podpisa

Najbolj vidna inovacija eIDAS 2 ostaja EUDIW. Vsaka država članica mora своим državljanom in prebivalcem do 26. novembra 2026 (rok za nacionalno skladnost po členu 5 bis) zagotoviti brezplačno, medsebojno interoperabilno denarnico digitalne identitete. Ta denarnica bo omogočila:

• avtentificiranje uporabnika z visoko raven zagotovila (LoA High) brez zatekanja k tretji osebi za identifikacijo;
• elektronsko podpisovanje dokumentov s kvalificirano vrednostjo (QES) neposredno iz denarnice;
• izmenjavo izbirnih atributov identitete (selective disclosure), s čimer spoštuje načelo minimizacije podatkov GDPR.

Za podjetja EUDIW teoretično poenostavi postopke preverjanja istovetnosti pred kvalificiranim podpisovanjem, kar zmanjša trenje video-identifikacije ali osebne identifikacije. V praksi je vpliv odvisen od ritma nacionalnega uvajanja — Francija je leta 2025 zagnala pilotni poskus v okviru programa »France Identité«.

Natančen urnik prehoda eIDAS 1 na eIDAS 2

Regulativni mejniki, ki jih je treba poznati

Uredba 2024/1183 je vstopila v veljavo 20. maja 2024, vendar je njena uporaba postopna. Tukaj so ključni roki:

| Datum | Dogodek | |------|----------| | 20. maj 2024 | Objava v JOUE, formalni vstop v veljavo | | 20. november 2024 | Rok 6 mesecev za sprejetje izvedbenih aktov Komisije (tehnične specifikacije EUDIW) | | Konec 2025 | Objava revidirane norme ETSI (EN 319 411-1/2, EN 319 401) vključujoče zahteve eIDAS 2 | | 26. maj 2026 | Rok za nacionalno skladnost držav članic z novimi kategorijami kvalificiranih storitev | | 26. november 2026 | Obvezna dostopnost EUDIW vsake države članice | | 2027-2028 | Popolna revizija nacionalnih seznamov zaupanja (TSL) in akreditacija novih QTSP |

EIDAS 1 ostaja veljaven in podpisi izdani pod njegovim režimom ohranijo polno pravno vrednost. Ni nobene obveznosti za ponovno podpisovanje obstoječih dokumentov. Kvalificirani ponudniki storitev zaupanja pa morajo do leta 2027 obnoviti svojo akreditacijo v skladu z novimi tehničnimi standardi.

Kaj se ne spreminja in kaj je treba spremljati

Kontinuiranost je temeljno načelo prehoda. Tri ravni podpisa (SES, AdES, QES) so ohranjena z nespremenjenima definicijama. Domneva enakovrednosti z lastnoročnim podpisom pripetim QES (člen 25 eIDAS 1, ponovljen v členu 27 eIDAS 2) ostaja v veljavi. Probativna vrednost vaših trenutnih elektronskih podpisov ni postavljena v vprašaj.

Kar je treba spremljati: izvedbeni akti, objavljeni s strani Evropske komisije v obdobju 2025-2026, bodo določili natančne tehnične specifikacije EUDIW in novih kategorij storitev. Ti besedili ravni 2 imajo precejšnjo praktično pomen za integratorje in urejevalce programske opreme. Za podjetja, ki uporabljajo elektronski podpis v svojih kadrovskih ali pravnih procesih, je priporočljivo zahtevati od svojega ponudnika načrt skladnosti eIDAS 2.

Konkreten vpliv na podjetja in njihove rešitve podpisovanja

Kateri delovni tokovi so prioritetno vključeni?

Prehod eIDAS 1 na eIDAS 2 nima enakovrednega vpliva glede na raven uporabljenega podpisa. Za podjetja se razlikujejo tri situacije:

Preprost elektronski podpis (SES): uporabljen za prilagoditve nizke vrednosti, potrdila prejema, notranje obrazce. Nobena obveznost takojšnje posodobitve. Pravila dokazov ostajajo urejena s Civilnim zakonikom (čl. 1366-1367) in ne neposredno s strani eIDAS.

Napredni elektronski podpis (AdES/AdESQC): podjetja, ki uporabljajo rešitve B2B za komercialne pogodbe, demarterializirane delovne pogodbe ali nepremičninske akte, morajo preveriti, ali njihov ponudnik vzdržuje skladnost z revidirani različici normami ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) in EN 319 142 (PAdES) za eIDAS 2. Te norme bodo objavljene s strani ETSI do konca leta 2025.

Kvalificirani elektronski podpis (QES): kvalificirani ponudniki (QTSP) morajo preiti na novo akreditacijo eIDAS 2. Prehodna doba omogoča razumen rok (do leta 2027), vendar bi javni razpisi, sproščeni že leta 2025, morali vključiti klavzulo skladnosti eIDAS 2 v merilih izbora. Za organizacije, ki primerjajo razpoložljive možnosti, primerjava rešitev elektronskega podpisa omogoča oceno zrelosti izdajateljev na tej temi.

Nove zahteve za kvalificirane ponudnike storitev zaupanja (QTSP)

EIDAS 2 poostruje zahteve za QTSP na treh glavnih točkah:

1. Varnost sistemov: obvezno uskladitev z NIS2 (direktiva (EU) 2022/2555) za QTSP, sedaj razvrščene kot bistvene entitete. To se odraža v obveznostih obvestila o dogodkih v 24 urah, letnih revizij varnosti in uvedbe načrtov poslovne kontinuitete.

1. Okrepljena odgovornost: člen 13 eIDAS 2 razširja režim odgovornosti QTSP. V primeru dokazanega nesklada je breme dokazovanja obrnjeno: ponudnik mora dokazati, da ni storil malomarnosti, in ne obratno.

1. Obvezna interoperabilnost: QTSP morajo izpostaviti standardizirane API, združljive z EUDIW, da omogočijo native integracijo denarnic identitete. Ta zahteva bo pospešila modernizacijo vmesnikov integracije, ki jih imajo na voljo razvijalci.

Za podjetja, ki razmišljajo o spremembi ponudnika v tem kontekstu, je migracijo iz DocuSign ali YouSign na rešitev, usklajeno s eIDAS 2 priporočljivo predvideti že sedaj namesto nujno leta 2027.

Osebni podatki in eIDAS 2: povezava z GDPR

EUDIW zbira in obdeluje osebne podatke o identiteti. Uredba eIDAS 2 eksplicitno predvideva (uvodna beseda 11 in člen 5 bis §14), da mora biti celoten mehanizem skladen z GDPR (uredba (EU) 2016/679). Več vidikov za pozornost:

• Selective disclosure: denarnica mora uporabniku omogočiti, da deli samo strogo potrebne atribute za transakcijo (načelo minimizacije, čl. 5(1)(c) GDPR). Za podpisovanje pogodbe bi bilo le preverjanje polnoletnosti lahko deljeno brez razkritja popolnega datuma rojstva.
• Prenosi izven EU: osebni podatki, obdelani v okviru EUDIW, ne smejo biti preneseni zunaj EGP brez ustreznih garancij (čl. 46 GDPR). Ponudniki, ki uporabljajo oblačne infrastrukture ZDA, morajo dokumentirati svojo skladnost.
• Ohranjanje dnevnikov podpisov: arhiviranje dokazov podpisov mora spoštovati trajanje hrambe, sorazmerno naravi dokumenta. Nova storitev kvalificiranega arhiviranja eIDAS 2 nudi tehnični okvir za odgovor na to zahtevo.

Podjetja, ki upravljajo mednarodne delovne pogodbe, so posebej vključena v to povezavo GDPR/eIDAS 2, zlasti kadar podpisovalci prebivajo izven EU.

Pravni okvir, ki se uporablja pri prehodu eIDAS 1 na eIDAS 2

Referenčni besedili

Prehod temelji na nizu besedil, ki jih je nujno potrebno obvladati:

Na evropski ravni:

• Uredba (EU) št. 910/2014 (eIDAS 1): še vedno veljavna do svoje postopne razveljavitve s strani eIDAS 2. Definira tri ravni podpisa (SES, AdES, QES) in režim QTSP.
• Uredba (EU) 2024/1183 (eIDAS 2): vstopila v veljavo 20. maja 2024. Bistveno spreminja eIDAS 1 brez takojšnje razveljavitve. Določbe, ki se nanašajo na EUDIW, se uporabljajo takoj po objavi izvedbenih aktov.
• Uredba (EU) 2016/679 (GDPR): se v celoti uporablja za obdelavo osebnih podatkov o identiteti v okviru EUDIW in procesov podpisovanja. Člen 5 bis §14 eIDAS 2 to subordinacijo eksplicitno spomnina.
• Direktiva (EU) 2022/2555 (NIS2): uvaja okrepljene obveznosti kibernetske varnosti za QTSP, sedaj razvrščene kot bistvene entitete. Transponirana v francuski zakon z odlokom št. 2024-821 z dne 20. junija 2024 (v teku sprejetja dekreta o izvajanju).

Na francoski ravni:

• Civilni zakonik, členi 1366 in 1367: temelj probativne vrednosti pisov v elektronski obliki. Člen 1366 vzpostavlja enakovrednost med elektronskim in papirnatim pismom pod pogoji. Člen 1367 daje kvalificiranemu podpisu (QES) enako dokazno moč kot lastnoročnemu podpisu.
• Odlok št. 2017-1416 z dne 28. septembra 2017: pojasnjuje pogoje uporabe elektronskega podpisa v aktih pod zasebnim pečatom. Ostaja veljaven v prehodnem obdobju.
• Splošni referenčni standard varnosti (RGS) v2: za francoske javne uprave RGS nalaga uporabo rešitev, na katere se sklicuje ANSSI. Njegova posodobitev za vključitev eIDAS 2 je pričakovana v teku leta 2026.

Veljavni tehnični standardi ETSI

Standardi ETSI predstavljajo raven 3 normativne hierarhije. Trenutne veljavne različice:

• EN 319 132-1/2: oblika XAdES (naprednjaeni XML podpisi)
• EN 319 122-1/2: oblika CAdES (napredni CMS podpisi)
• EN 319 142-1/2: oblika PAdES (napredni PDF podpisi)
• EN 319 401: splošne zahteve za ponudnike storitev zaupanja
• EN 319 411-1/2: zahteve za CA, ki izdajajo kvalificirane certifikate

Te norme bodo revidirane do konca leta 2025 za vključitev novih zahtev eIDAS 2. Pogodbe s QTSP morajo vključevati klavzulo posodobitve na revidirirane različice brez dodatnih stroškov.

Pravna tveganja neskładnosti

Podpis, izdan s strani ponudnika, ki po letu 2027 ne bi bil več akreditiran, ne bi avtomatično izgubil svoje pravne vrednosti za že podpisane dokumente, vendar ne bi več imel korist od predpostavke zakonske enakovrednosti z lastnoročnim podpisom (čl. 25 eIDAS). Breme dokazovanja integritete in identitete podpisovalca bi v primeru spora v celoti padlo na podjetje. To probativno tveganje je posebej občutljivo za akte, katerih rok zastaranja je dolg (5 let v trgovini, 30 let za stvarne pravice na nepremičninah).

Scenariji uporabe: kako organizacije predvidevajo prehod eIDAS 2

Scenarij 1: odvetniška pisarna s 25 sodelavci racionalizira svojo dokumentarno skladnost

Odvetniška pisarna, specializirana za poslovno pravo, s približno 25 sodelavci in intenzivno dejavnostjo podpisovanja pooblastil, cesijskih aktov in sporazumov o dogovoru, je do leta 2024 uporabljala rešitev naprednega podpisa (AdES) za vse svoje tokove. Po najavi eIDAS 2 je pisarna izvedla revizijo svojih 1 200 letno podpisanih dokumentov, da bi identificirala tiste, ki potrebujejo QES glede na nove priporočila svojega odvetniške zbornice.

Rezultat: 15 % aktov (približno 180 letno) je bilo ponovno razvrščeno v kvalificirani podpis, kar je omogočilo varnost režima dokazov teh dokumentov. Pisarna je z urediteljem podpisa pogodila klavzulo, ki zagotavlja skladnost eIDAS 2 takoj po objavi izvedbenih aktov, brez dodatnih stroškov. Upravni čas, povezan s preverko identitete podpisovalcev, se je zmanjšal za 40 % zahvaljujoči predvidevanju integracije EUDIW, načrtovane za leto 2026.

Scenarij 2: industrijska KMJ s 150 zaposlenimi varnostno zagotavlja svojo pogodno verigo dobaviteljev

Industrijska KMJ, ki upravlja približno 350 pogodb dobaviteljev letno — naročilnice, sporazume o zaupnosti, okvirne pogodbe — je delovala z dvema različnima rešitvama podpisovanja za svoje notranje in zunanje tokove, kar je ustvarilo fragmentacijo dokazov revizije. V kontekstu prehoda eIDAS 2 in novih zahtev kvalificiranega arhiviranja se je DSI odločila za poenotenje svoje platforme.

Z migracijo na enotno rešitev, ki vključuje kvalificirano elektronsko arhiviranje (prihodnja kategorija eIDAS 2), je KMJ zmanjšala svoje stroške varnega shranjevanja za 30 % in konsolidirala dokaze podpisa v varni digitalni sef, uskladen s standardi. Celotna dokumentarna veriga je sedaj revizijska v manj kot 2 minutah med kontrolami dobaviteljev — zahteva, ki se povečuje od njihovih naročilnikov v avtomobilski industriji.

Scenarij 3: bolnišnična skupina z približno 600 posteljami pripravlja integracijo EUDIW

Javna bolnišnična skupina je uporabljala kvalificirani elektronski podpis za svoje medicinske pogodbe in javne razpise, v skladu z obveznostmi kodeksa javnega naročanja. S strani eIDAS 2 je informatična služba identificirala dve prioritetni problematiki: prihodnja integracija denarnice »France Identité« za zdravnike prostolastnike, ki delujejo v ustanovi, in skladnost NIS2 svojega QTSP.

Skupina je vključila v svoj načrt direktnih informatike 2025-2028 specifičen sklop »skladnost eIDAS 2«, s proračunsko napovedjo 45 000 € za tehnično migracijo in usposabljanje delavcev. Cilj je biti v stanju sprejeti podpise prek EUDIW že ob nacionalnem uvajanju, načrtovanem za november 2026, kar bi zmanjšalo roke za sklepanje pogodb s svobodnimi zdravstvenimi delavci s 3 dni na manj kot 4 ure v povprečju glede na razpoložljive sekojske merilnike.

Zaključek

Prehod eIDAS 1 na eIDAS 2 ni prekinitev temveč strukturiran razvoj, s natančnim urnikom, ki se razteza do leta 2027. Vplivi na elektronski podpis so resnični — razširitev kvalificiranih storitev, prihod EUDIW, poostritev zahtev NIS2 za QTSP — vendar obvladljivi, če jih predvidite. Podjetja, ki ukrepajo sedaj, imajo mandat za preudarnost, da pregledajo svoje delovne tokove, varnostno zagotovijo svoje pogodbe s svojimi ponudniki in usposobijo svoje ekipe brez pritiska regulativne nujnosti.

Certyneo spremlja podjetja pri prehodu s jasno poti skladnosti eIDAS 2, ohranjenimi oblikami podpisa in arhitekturo, pripravljeno za integracijo EUDIW. Ste pripravljeni da varnostno zagotovite svoje tokove podpisovanja v tem novem regulativnem okviru? Odkrijte naše ponudbe in začnite brezplačno na Certyneo.