eIDAS 2 vs eIDAS 1: ključne promene za MSP

Uvod: zašto eIDAS 2 menja igru za MSP

Od 20. maja 2024. godine, Uredba (EU) 2024/1183 — obično nazvana eIDAS 2 — je stupila na snagu, koju je promenila i postepeno zamenila Uredba (EU) br. 910/2014 (eIDAS 1). Za francuske MSP, ova promena nije samo jednostavna administrativna ažuriranja: ona redefinira nivoe digitalne pouzdanosti, uvodi evropski digitalni novčanik za identitet (EUDIW), ojačava zahteve primenjljive na pružaoce usluga poverenja i proširuje obim priznatih usluga. Ovaj članak poredi po stavci eIDAS 1 i eIDAS 2, identifikuje konkretne operativne uticaje na male i srednje preduzeće, i daje vam akcioni plan da budete u skladu sa zakonima do 2026.

---

1. Podsetnik: šta je eIDAS 1 postavio (2014-2024)

1.1 Temelji početne uredbe

Usvojena u julu 2014. i primenjiva od septembra 2016., eIDAS 1 je postavio prve temelje za evropski prostor digitalne pouzdanosti. Uveo je tri velike kategorije elektronskog potpisa — jednostavna (SES), napredna (AdES) i kvalifikovana (QES) — i kreirao listu poverenja kvalifikovanih pružalaca (Trusted List), dostupnu na portalu Evropske komisije.

Za MSP, najveći doprinos eIDAS 1 je bila međugranična prepoznatljivost kvalifikovanih potpisa: ugovor potpisany sa QES iz Francuske je bio pravno prepoznat u Nemačkoj, Španiji ili Italiji bez dodatnog apostila ili formalnosti. Ovaj princip — nazvan „bez diskriminacije" — ostao je temelje na kojem su rešenja kao što je Certyneo izgradila svoje usluge.

1.2 Identifikovana ograničenja

Uprkos svojim napredima, eIDAS 1 je patila od nekoliko nedostataka dokumentovanih od strane Evropske komisije u svom izveštaju o evaluaciji iz 2021.:

• Fragmentacija šema identiteta: samo države članice koje su notifikovale svoju nacionalnu šemu (kao što je FranceConnect+ na supstancijalnom nivou) imale su korist od međusobne prepoznatljivosti. Do 2023., samo 14 država od 27 je notificiralo šemu u skladu sa zakonima.
• Nema nativne mobilne podrške: kvalifikovani uređaj za kreiranje potpisa (QSCD) često je zahtevao karticu sa čipom ili fizički token, što je usporavalo mobilnu primenu.
• Ograničene usluge poverenja: eIDAS 1 je listao devet tipova kvalifikovanih usluga; nova korišćenja (kvalifikovana elektronska arhivacija, upravljanje atributima) nisu bila regulisana.
• Nema unificiranog digitalno identitetnog novčanika: svaki gradjanin ili preduzeće je upravljalo svojim identifikatorima na izolovani način, bez garantovane interoperabilnosti.

Ova ograničenja su dovela komisiju da pokrene reviziju već 2020., što je rezultiralo uredbom eIDAS 2 nakon tri godine triloga.

---

2. Pet glavnih novosti eIDAS 2 za MSP

2.1 Evropski digitalni novčanik za identitet (EU Digital Identity Wallet — EUDIW)

Ovo je najvidljivija novost uredbe. Do novembra 2026. (rok transpozicije fiksiran članom 5a), svaka država članica će morati da ponudi najmanje jedan sertifikovani digitalni novčanik za identitet svojim građanima i stanovnicima. Za MSP, ova evolucija ima dve direktne posledice:

1. Pojednostavljena autentifikacija klijenata i partnera: novčanik će omogućiti deljenje verifikovanih atributa (uzrast, broj PDV identifikacije, izvod iz poslovnog registra, verifikovani bankarski podaci) bez trenja. Sporazum sa nemačkim partnerom može biti potpisana nakon trenutne verifikacije njegovih stručnih atributa iz njegovog EUDIW.
2. Obaveza prihvatanja za određene sektore: online usluge velikih platformi (član 45bis) i određene javne usluge će morati da prihvate EUDIW kao sredstvo autentifikacije. MSP koji pružaju B2B portale će morati da prilagode svoje API-je autentifikacije.

2.2 Proširenje liste kvalifikovanih usluga poverenja

eIDAS 2 proširuje katalog kvalifikovanih usluga poverenja sa 9 na 14 kategorija. Novi unosi od direktnog značaja za MSP su:

• Kvalifikovana elektronska arhivacija (član 45septies): dugoročna očuvanja sa pojačanom dokaznom vrednošću. Do sada je arhivacija sa dokaznom vrednošću počivala na nacionalnim referentnim okvirima (u Francuskoj, referentnom okviru SIAF/ANSSI); eIDAS 2 harmonizuje evropski okvir.
• Daljinska upravljanja kvalifikovanim uređajima za kreiranje potpisa (RQSCD): sada je eksplicitno regulisana, eliminišući neusaglašenosti koje su opterećivale cloud rešenja za kvalifikovane potpise. Za MSP od 50 zaposlenih, to znači pristup kvalifikovanu potpisu bez fizičkog tokena, sa bilo kog uređaja.
• Usluga kvalifikovane elektronske registre: registri zasnovani na blockchain-u ili tehnologijama distribuiranog ledžera sada mogu dobiti kvalifikovani status, što otvara put novim modelima ugovornog upravljanja.

Za detaljnije informacije o nivoima potpisa i njihovoj pravnoj vrednosti, pogledajte naš kompletan vodič za elektronske potpise.

2.3 Ojačanje zahteva za bezbednost kvalifikovanih pružalaca usluga (QTSP)

eIDAS 2 ojačava obaveze kvalifikovanih pružalaca usluga poverenja (QTSP). Revidovani član 24 nametnava posebno:

• Sertifikaciju kibernetske bezbednosti u skladu sa evropskim okvirom (EU Cybersecurity Act, Uredba 2019/881), sa sektorskim šemama u razvoju ENISA.
• Ojačane zahteve u pogledu operativne otpornosti: QTSP sada moraju da dokumentuju svoj plan kontinuiteta poslovanja i da ga podnese svojoj nacionalnoj nadležnoj instituciji (u Francuskoj, ANSSI za kvalifikovane pružaoce).
• Obaveza obaveštavanja o sigurnosnim incidenima unutar 24 sata (usklađenost sa NIS 2).

Za MSP kao korisnike, to znači ojačanu obavezu pažnje pri odabiru pružaoca: verifikacija da vaše rešenje za potpis postoji na ažuriranoj evropskoj Trusted List je sada kritični korak vašeg procesa nabavke. Naš poredak rešenja za elektronske potpise može vam pomoći u ovoj analizi.

2.4 Obavezna interoperabilnost šema identiteta

Gde je eIDAS 1 dopustio državama članicama da slobodno notifikuju (ili ne notifikuju) svoju šemu, eIDAS 2 čini notifikaciju i interoperabilnost obaveznim za šeme identiteta korišćene u online javnim uslugama (član 5). France Identité — nacionalna šema nosila od strane Ministarstva unutrašnjih poslova — je u procesu usklađenosti sa tehničkim specifikacijama EUDIW, objavljenim od komisije u Uredbi za provedbu (EU) 2024/2977.

Za MSP koja redovno komunicira sa javnim administracijama (javni pozivi, telediklaracije poreza, carinska postupaka), ova evolucija znači da će online postupci biti postepeno unifikovani oko jedinstvenog i priznatanog digitalnog identifikatora u svoj EU.

2.5 Nova pravila odgovornosti i nadzora

eIDAS 2 pojašnjava i proširuje režime odgovornosti pružalaca (revidovani član 13). QTSP sada snosi pretpostavku odgovornosti za svu štetu uzročenu fizičkog ili pravnog lica usled kršenja svojih obaveza, osim ako ne dokaže odsustvo okrivnje. Ova pojačana pretpostavka odgovornosti, pojačana u odnosu na eIDAS 1, trebala bi da podstakne MSP na:

• Formalizovanje ugovorom obaveza svojeg pružaoca (SLA, garancije dostupnosti, naknada).
• Verifikaciju obima odgovarajuće osiguranja od odgovornosti pružaoca.
• Čuvanje dokaza revizije transakcija potpisane (vremenske žigove, izveštaje verifikacije potpisa).

Naš tim je izradio detaljnog vodiča o elektronskom potpisu u preduzeću koji pokriva ove ugovorni aspekti.

---

3. Poredna tabela eIDAS 1 vs eIDAS 2: šta se konkretno menja

3.1 Sinteza većih evolucija

| Kriterijum | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Digitalni novčanik identiteta | Odsutan | EUDIW obavezan (države članice) | | Kvalifikovane usluge | 9 kategorija | 14 kategorija (arhivacija, RQSCD, registri…) | | Notifikacija šema | Fakultativna | Obavezna za javne usluge | | QTSP sigurnost | Kriterijumi Common Criteria | Cybersecurity Act + ENISA šeme | | QTSP odgovornost | Delimična | Pojačana pretpostavka odgovornosti | | Rok notifikacije incidenta | Nespreciziran | 24 sata (usklađenost NIS 2) | | QSCD mobilni | Pravna neusaglašenost | RQSCD eksplicitno regulisan |

3.2 Ključni rokovi za 2026

• Maj 2024: stupanje na snagu Uredbe (EU) 2024/1183.
• Novembar 2026: krajnji rok da svaka država članica ponudi najmanje jedno sertifikovano rešenje EUDIW.
• 2027: obaveza za velike platforme (član 45bis) da prihvate EUDIW kao sredstvo autentifikacije.
• 2028: planirana revizija tehničkih izvršavajućih akata (delegirane uredbe o specifikacijama EUDIW).

Ako vaša MSP razmaatra da se prebaci na više usklađeno rešenje, naš ponuda za prebacivanje na Certyneo uključuje besplatnog reviziju usklađenosti eIDAS 2.

---

4. Praktičan akcioni plan za usklađenost vaše MSP sa eIDAS 2

4.1 Revizija vaših postojećih toka dokumenata

Počnite mapiranjem svih procesa u kojima trenutno koristite elektronski potpis ili digitalni identitet: ugovore sa dobavljačima, dematrijalizovane plačne liste, SEPA mandate, sporazume o poverljivosti, HR akte. Za svaki tok, identifikujte:

• Korišćeni nivo potpisa (SES, AdES, QES).
• Trenutnog pružaoca i njegov status na Trusted List.
• Nivo pravnog rizika u slučaju spora.

Ova revizija je preporučena polazna tačka od strane ANSSI u svom vodiču za usklađenost objavljenom u martu 2025.

4.2 Nadogradnja vašeg rešenja za potpis

Ako vaš trenutni pružalac ne postoji na Trusted List eIDAS 2 ili još ne nudi RQSCD, vreme je da poredite ponude na tržištu. Certyneo je sertifikovani QTSP koji podržava tri nivoa potpisa (SES, AdES, QES) i nativno integriše nove zahteve eIDAS 2, posebno kvalifikovanu arhivaciju i daljinsko upravljanje uređajima.

4.3 Obučite svoje timove i ažurirajte svoje ugovore

eIDAS 2 ojačava dokaznu vrednost kvalifikovanih potpisa ali takođe nametnuje dobre dokumentarne prakse. Osigurajte da vaši timovi zakonodavstva i administracije:

• Znaju razlikovati tri nivoa potpisa i njihova pravna vrednost.
• Integruju u ugovore sa dobavljačima klauzulu revizije usklađenosti eIDAS.
• Čuvaju dokaze verifikacije potpisa (izveštaj validacije, kvalifikovani vremenski žig) tokom primenjljive pravne dužine čuvanja (3 do 10 godina u zavisnosti od prirode akta).

Da biste strukturirali ovaj pristup, naš kalkulator ROI elektronskog potpisa će vam omogućiti kvantifikovanje operativnih dobitaka povezanih sa nadogradnjom.

Primenjljivi pravni okvir

Referentni tekstovi

Usklađenost MSP Francuske sa eIDAS 2 se uklapa u normativan niz koji je bitno razumeti.

Uredba (EU) 2024/1183 Evropskog parlamenta i Saveta (nazvana „eIDAS 2"): ovo je osnivajući tekst, objavljena u JOEU 30. aprila 2024. Proglašava ništavnom i zamenjuje Uredbu (EU) br. 910/2014 prema rasporedu provedbe koji se proteže do 2027. Ima neposrednu primenu u svim državama članicama, bez potrebe za nacionalnom zakonskom transposicijom za njegove glavne odredbe.

Uredba (EU) br. 910/2014 (eIDAS 1): neke od njegovih odredbi ostaju primenjljive tokom prelaznih perioda predviđenih od eIDAS 2, posebno za kvalifikovane pružaoce koji su dobili kvalifikaciju pre maja 2024. i imaju rok za ponovno sertifikovanje.

Francuski Građanski zakonik, članci 1366 i 1367: član 1366 postavljает princip ekvivalentnosti između elektronskog i papirnog pisma, sa uslovom da se „osoba čiji je izvor može biti pravilno identifikovana i da je uspostavljena i čuvana na načine koji sprečavaju narušavanje integriteta". Član 1367 priznaje elektronski potpis kao način dokazivanja, pozivajući se na uslove fiksne uredbom Saveta države (Uredba br. 2017-1416 od 28. septembra 2017., kodifikovana u članovima R. 1369-1 do R. 1369-10 Građanskog zakonika).

Uredba (EU) 2016/679 (GDPR): provedba EUDIW i obrada atributa identiteta u tokovima elektronskog potpisa čine obrade ličnih podataka u smislu GDPR. MSP moraju osigurati da njihov QTSP deluje kao podobrađivač u smislu člana 28 GDPR, sa DPA (Data Processing Agreement) u skladu. CNIL je objavila u januaru 2026. preporuku specifičnu za integraciju EUDIW-GDPR.

Direktiva (EU) 2022/2555 (NIS 2): eIDAS 2 se eksplicitno usklađuje sa NIS 2 za obaveze obaveštavanja incidenta (član 24, §2 eIDAS 2 pozivajući se na odredbe NIS 2). QTSP se smatraju „bitnim" ili „važnim" entitetima u smislu NIS 2 prema njihovoj veličini, i podložni su tome redovnim revizijama bezbednosti.

ETSI standardi: kvalifikovani elektronski potpisi moraju poštovati ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) i ETSI EN 319 102-1 (postupak validacije). Standard ETSI TS 119 461 reguliše daljinsku verifikaciju identiteta (IDV), posebno relevantan za RQSCD.

Pravni rizici u slučaju neuslađenosti

Korišćenje rešenja elektronskog potpisa neuslađenog sa eIDAS 2 izlaže MSP na nekoliko rizika:

• Neupravljajućost na sudu: sudija može odbaciti elektronski potpis čiji nivo ne odgovara potpisanom aktu (npr.: jednostavnu signaturu za akt koji zahteva napredni ili kvalifikovani nivo).
• Ugovorna odgovornost: ako je ugovor osporavan od strane partnera na osnovu ništavnosti potpisa, MSP može biti izložena zahtevima za naknadu štete.
• GDPR sankcije: u slučaju povrede podataka povezane sa nedostatkom bezbednosti pružaoca, MSP, kao suodgovoran ili odgovoran za obradu, može biti санкционирана od strane CNIL do 4% godišnjег svetskog prometa (član 83 §4 GDPR).

Konkretni scenariji upotrebe

Scenarij 1: industrijska MSP od 80 zaposlenih upravljajući 400 ugovora sa dobavljačima godišnje

MSP u sektoru metalurgije obrađujući oko 400 ugovora sa dobavljačima godišnje koristila je do 2024. rešenje za jednostavni elektronski potpis (SES) za sve svoje obaveze, uključujući okvire ugovore veće od 50.000 €. Nakon revizije usklađenosti eIDAS 2, otkrivene je da 35% njenih ugovora zahteva napredni ili kvalifikovani potpis da bi se odupro spornom, posebno sa dobavljačima osnovanim u drugim državama članicama EU.

Prebacivanjem na rešenje koje kombinuje napredni potpis (AdES) za obične ugovore i kvalifikovani (QES) za okvire ugovore, i aktiviranjem kvalifikovane elektronske arhivacije (nova usluga eIDAS 2), ova MSP je smanjila za 70% vreme utrošeno na upravljanje dokumentima nakon potpisa (klasifikaciju, pretragu, slanje sertifikovanih kopija) i donela na nulu sporove vezane za osporavanje potpisa u sledećih 18 meseci, u odnosu na dva incidenta u prethodnih 18 meseci.

Scenarij 2: kancelarija pravnog savetovanja od 15 saradnika

Kancelarija specijalizovana za korporativno pravo, izdajući prosečno 1.200 potpisanih dokumenata godišnje (pisma o angažovanju, mandate, sporazume o poverljivosti), suočavala se sa rastućom tražnjom svojih klijenta za kvalifikovane potpise priznate u čitavoj EU. Pod eIDAS 1, dobijanje kvalifikovane sertifikatske procedure zahtevalo je susret lica ili dugačku video verifikaciju (45 do 90 minuta po korisniku).

Zahvaljujući RQSCD (Remote Qualified Signature Creation Device) regulisanom eIDAS 2, kancelarija je mogla da rasporedi kvalifikovani potpis za sve svoje saradnike u manje od dve nedelje, kroz 100% daljinski postupak enrolovanja u skladu sa ETSI TS 119 461 normom. Stopa interne primene je porasla sa 40% na 95% u tri meseca, a prosečno vreme povratka potpisanih dokumenata je smanjeno sa 4,2 dana na manje od 6 sati prema internim merama kancelarije.

Scenarij 3: MSP e-commerce koja posluje u tri zemlje EU

Kompanija za online prodaju zapošljavajuća 35 osoba i poslujuća u Francuskoj, Belgiji i Holandiji morala je upravljati tri vrste elektronskih sporazuma: ugovore o zapošljavanju za svoje lokalnih zaposlene, sporazume o partnerstvu sa transportnim kompanijama, i SEPA mandate za svoje poslovne klijente. Fragmentacija nacionalnih zahteva pod eIDAS 1 primorala ju je da održava tri različita toka potpisa, sa procenjenim troškovima upravljanja od oko 12.000 € godišnje.

Usvajanjem jedinstvenog rešenja u skladu sa eIDAS 2 — integrisanjem međugranične prepoznatljivosti kvalifikovanih potpisa u tri zemlje — omogućilo je ujedinjavanje tokova, smanjenje troška upravljanja na oko 4.500 € godišnje (ušteda od 62%) i eliminisanje kašnjenja vezanog za ručnu validaciju stranih potpisa od strane pravnog odeljenja.

Zaključak

eIDAS 2 nije samo kozmetička revizija regulatornog okvira: suštinski preoblikuje pravila digitalne pouzdanosti u Evropi. Za francuske MSP, pet većih evolucija — EUDIW novčanik, proširenje kvalifikovanih usluga, RQSCD, obavezna interoperabilnost i pojačana odgovornost — predstavljaju i obavezu usklađenosti i priliku da ubrzaju svoju dokumentarnu transformaciju.

MSP koja već danas anticipira ove promene imaće pravi konkurentski prednost: ugovori priznatih u čitavoj EU bez trenja, archivacija sa dokaznom vrednošću integrisana, i procesi potpisa potpuno dematrijalizovani i bezbedni.

Certyneo je dizajniran da prati ovu tranziciju. Počnite sa besplatnim pokušajem na certyneo.com i uživajte besplatnom revizijom usklađenosti eIDAS 2 za vaše postojeće toke dokumenata.