Prelazak sa eIDAS 1 na eIDAS 2: uticaji na potpis u 2025.

Dne 20. maja 2024., Uredba (EU) 2024/1183 — uobičajeno nazvana eIDAS 2 — objavljena je u Službenom listu Evropske unije, postepeno ukidajući Uredbu br. 910/2014 (eIDAS 1). Ovaj tekst predstavlja najznačajniju reformu digitalnog identiteta i elektronskog potpisivanja u Evropi od 2016. godine. Za francuska preduzeća koja koriste rešenja za elektronski potpis u svojim tokovima ugovora, prelazak nije formalnost: uključuje tehničke, pravne i organizacijske prilagodbe čiji se horizont proteže do 2026. i dalje. Razumevanje prelaza eIDAS 1 na eIDAS 2 i njegovog uticaja na elektronski potpis u 2025. postalo je prioritet za pravne odeljenja, ITI i HR odeljenja. Ovaj članak objašnjava temeljne promene u okviru, preciznu vremensku tabelu prelaza i konkretne mere koje treba preduzeti da biste ostali usaglašeni.

Šta Uredba eIDAS 2 fundamentalno menja

Od uredbe iz 2014. na preobrazbu iz 2024.: zašto je bila potrebna revizija

EIDAS 1 je postavio temelje za uzajamno priznavanje elektronskih potpisa unutar Unije. Tri hierarchijska nivoa — jednostavni (SES), napredni (AdES) i kvalifikovani (QES) — strukturirali su dokaznu vrednost potpisa, oslanjajući se na listu provajdera pouzdanosti (TSL). Ali tokom deset godina, pojavile su se dve grote štete.

Prvo, originalna uredba se primenjivala uglavnom na odnose sa javnom administracijom (G2B, G2C). Nije stvarala direktne obaveze u privatnim transakcijama (B2B, B2C), ostavljajući normativan vakuum koji je svaka država članica popunjavala neusklađeno. Drugo, porast snage digitalnih usluga — mobilne aplikacije, otvorko bankarstvo, telemedicina — otkrio je odsustvo prenosivog i interoperabilnog sistema digitalnog identiteta na kontinentalnom nivou.

EIDAS 2 odgovara na ova dva izazova uvođenjem evropskog novčanika digitalnog identiteta (EU Digital Identity Wallet, EUDIW) i proširenjem obima usluga pouzdanosti na nove slučajeve upotrebe: kvalifikovana elektronska arhivacija, atestacije kvalifikovanih atributa, kvalifikovani elektronski registri (uključujući sertifikovane blockchain aplikacije).

Nove kategorije kvalifikovanih usluga pouzdanosti

Uredba eIDAS 2 proširuje listu kvalifikovanih usluga pouzdanosti (članak 3 i revidirana prilog IV). Pored potpisa, pečata i vremenskih žigova koji su već priznati od strane eIDAS 1, sada su kvalifikovani:

• Usluge kvalifikovane elektronske arhivacije (čl. 34 bis): obaveza da se čuva integritet i čitljivost potpisanih dokumenata dugoročno, sa pojačanim zahtevima za provajdere (QTSP).
• Usluge upravljanja uređajima za kreiranje kvalifikovanih potisa na daljinu (QRCD): pojačano regulisanje rešenja za potpisivanje na daljinu preko HSM (Hardware Security Module) u oblaku.
• Atestacije kvalifikovanih atributa: mehanizam koji omogućava trećoj strani od pouzdanja da sertifikuje atribute entiteta (npr. kvalifikaciju advokata, status lekara) bez otkrivanja celog identiteta.
• Kvalifikovani elektronski registri: priznaće distribuiranih registara pod strogim uslovima auditornosti i otpornosti.

Za korisnike rešenja za elektronski potpis, ovo proširenje znači da će se kvalifikovane usluge pouzdanosti dostupne na tržištu diversificirati, a kriterijumi za izbor provajdera (QTSP) moraju uključiti ove nove mogućnosti.

EUDIW: novčanik digitalnog identiteta kao infrastruktura potpisivanja

Najvidljivija inovacija eIDAS 2 ostaje EUDIW. Svaka država članica će morala da učini dostupnom svojim građanima i rezidentima besplatan, međusobno kompatibilan novčanik digitalnog identiteta do 26. novembra 2026. (rok za usaglašavanje na nacionalnom nivou prema članu 5bis). Ovaj novčanik će omogućiti:

• autentifikovanje korisnika sa visokim nivoom osiguranja (LoA High) bez pribegavanja trećem provajderu za identifikaciju;
• elektronsko potpisivanje dokumenata sa kvalifikovanjem vrednošću (QES) direktno iz novčanika;
• deljenje selektivnih atributa identiteta (selective disclosure), čime se poštuje princip minimizacije podataka GDPR-a.

Za preduzeća, EUDIW teoretski pojednostavljuje procedure verifikacije identiteta pre kvalifikovane potpisa, uklanjajući trenje video-identifikacije ili lično-susretne identifikacije. U praksi, uticaj zavisi od темпа nacionalnog razvoja — Francuska je pokrenula 2025. pilot eksperiment u okviru programa "France Identité".

Precizna vremenska tabela prelaza sa eIDAS 1 na eIDAS 2

Regulatorni milestoni koji treba znati

Uredba 2024/1183 je stupia na snagu 20. maja 2024., ali njena primena je postepena. Evo ključnih roka:

| Datum | Događaj | |------|----------| | 20. maja 2024. | Objavljivanje u OJEU, formalno stupanje na snagu | | 20. novembra 2024. | Rok od 6 meseci za Komisiju da usvoji izvršne akte (tehničke specifikacije EUDIW) | | Kraj 2025. | Objavljivanje revidiranih ETSI standarda (EN 319 411-1/2, EN 319 401) koji integriše zahteve eIDAS 2 | | 26. maja 2026. | Krajnji rok za usaglašavanje država članica sa novim kategorijama kvalifikovanih usluga | | 26. novembra 2026. | Obavezna dostupnost EUDIW od strane svake države članice | | 2027-2028 | Kompletna revizija nacionalnih listi pouzdanosti (TSL) i akreditacija novih QTSP |

EIDAS 1 ostaje validan i potpisi izdati pod njegovim režimom održavaju svoju punu pravnu vrednost. Nema nikakve obaveze da se postojeći dokumenti ponovo potpisuju. Međutim, kvalifikovani provajderi pouzdanosti će morati da obnove svoju akreditaciju prema novim tehničkim normama do 2027.

Šta se ne menja i šta treba pratiti

Kontinuitet je kardinalan princip prelaza. Tri nivoa potpisivanja (SES, AdES, QES) se održavaju sa neizmenjenim definicijama. Pretpostavka ekvivalencije sa pisanim potpisom prislikan na QES (članak 25 eIDAS 1, ponovljen u članu 27 eIDAS 2) ostaje važeća. Dokazna vrednost vaših trenutnih elektronskih potpisa nije dovedena u pitanje.

Šta trebate pratiti: izvršni akti (implementing acts) koje je objavila Komisija tokom 2025-2026 uspostaviće precizne tehničke specifikacije EUDIW i novih kategorija usluga. Ovi tekstovi 2. nivoa imaju značajnu praktičnu važnost za integratora i izdavače softvera. Za preduzeća koja koriste elektronski potpis u svojim HR ili pravnim procesima, preporučuje se da od svog provajdera zatraži putanju usaglašenosti eIDAS 2.

Konkretan uticaj na preduzeća i njihova rešenja za potpisivanje

Koje tokove rada su u prioritetu?

Prelazak sa eIDAS 1 na eIDAS 2 nema isti uticaj u zavisnosti od korišćenog nivoa potpisivanja. Za preduzeća, tri situacije se razlikuju:

Jednostavni elektronski potpis (SES): koristi se za male izmene vrednosti, potvrde o prijemu, unutrašnje obrasce. Nema obaveze za odmah ažuriranje. Pravila dokaznosti ostaju regulisana Civilnim zakonikom (čl. 1366-1367) i nisu direktno eIDAS.

Napredni elektronski potpis (AdES/AdESQC): preduzeća koja koriste B2B rešenja za poslovne ugovore, dematerijalizovane radne ugovore ili nekretnine trebaju da proveravaju da njihov provajder održava usaglašenost sa ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) i EN 319 142 (PAdES) u njihovim revidiranim verzijama za eIDAS 2. Ovi standardi će biti objavljeni od ETSI do kraja 2025.

Kvalifikovani elektronski potpis (QES): kvalifikovani provajderi (QTSP) će morati da proveđu novu akreditaciju eIDAS 2. Period prelaza daje razumljiv rok (do 2027), ali javni pozivi pokrenuti od 2025. trebalo bi da integrišu klauzulu eIDAS 2 usaglašenosti u kriterijume selekcije. Za organizacije koje poredia dostupne opcije, poređenje rešenja za elektronski potpis omogućava da procenite zrelost izdavača na ovoj temi.

Nove obaveze za provajdere kvalifikovane pouzdanosti (QTSP)

EIDAS 2 pojačava zahteve primenljive na QTSP na tri velika pitanja:

1. Bezbednost sistema: obavezno usklađivanje sa NIS2 (Direktiva (EU) 2022/2555) za QTSP, sada klasifikovane kao suštinske entitete. To se prevodi u obaveze obaveštavanja o incidentima u roku od 24 sata, godišnje revizije bezbednosti i uspostavljanje planova kontinuiteta poslovanja.

1. Pojačana odgovornost: članak 13 eIDAS 2 proširuje režim odgovornosti QTSP. U slučaju dokazane povrede, teret dokaza je preokrenut: provajder mora dokazati da nije počinio zanemarivanje, a ne obrnuto.

1. Obavezna interoperabilnost: QTSP će morati da izlože standardizovane API kompatibilne sa EUDIW da bi omogućili nativnu integraciju novčanika identiteta. Ovaj zahtev će ubrzati modernizaciju dostupnih interfejsa integracije za razvijače.

Za preduzeća koja razmatra promenu provajdera u ovom kontekstu, prelazak sa DocuSign-a ili YouSign-a na rešenje koje je u skladu sa eIDAS 2 je korak koji treba da se predvidi sada umesto u žurbi 2027.

Lični podaci i eIDAS 2: artikulacija sa GDPR-om

EUDIW prikuplja i obrađuje podatke identiteta lične prirode. Uredba eIDAS 2 eksplicitno predviđa (razmatranje 11 i članak 5bis §14) da je ceo uređaj mora biti usaglašen sa GDPR-om (Uredba (EU) 2016/679). Nekoliko točaka pažnje:

• Selektivno otkrivanje: novčanik mora omogućiti korisniku da deli samo atribute strogo neophodne za transakciju (princip minimizacije, članak 5(1)(c) GDPR-a). Za potpisivanje ugovora, moglo bi se deliti samo potvrdu punoletstva bez otkrivanja potpune datuma rođenja.
• Prenosi van EU: podaci identiteta obrađeni u okviru EUDIW ne mogu se prenositi van EEA bez odgovarajućih zaštita (čl. 46 GDPR). Provajderi koji koriste američku cloud infrastrukturu moraju dokumentovati svoju usaglašenost.
• Čuvanje sloga potpisivanja: arhiviranje dokaza o potpisivanju mora poštovati period čuvanja proporcionalan prirodi dokumenta. Nova kvalifikovana usluga arhivacije eIDAS 2 nudi tehnički okvir da se odgovori na ovaj zahtev.

Preduzeća koja upravljaju međunarodnim radnim ugovorima posebno su zahvaćena ovom artikulacijom GDPR/eIDAS 2, naročito kada potpisnici stanuju van EU.

Pravni okvir primenjiv na prelazak sa eIDAS 1 na eIDAS 2

Referentni tekstovi

Prelazak se oslanja na slaganje tekstova koje je neophodno savojiti:

Na evropskom nivou:

• Uredba (EU) br. 910/2014 (eIDAS 1): još uvek je važeća dok je postepeno ukidanje od strane eIDAS 2. Definiše tri nivoa potpisivanja (SES, AdES, QES) i režim QTSP.
• Uredba (EU) 2024/1183 (eIDAS 2): stupila na snagu 20. maja 2024. Supstancijalno menja eIDAS 1 bez njenog trenutnog ukidanja. Odredbe vezane za EUDIW primenjuju se od objavljivanja izvršnih akata.
• Uredba (EU) 2016/679 (GDPR): u potpunosti se primenjuje na obradu podataka identiteta u okviru EUDIW i procesa potpisivanja. Članak 5bis §14 eIDAS 2 eksplicitno podseća na ovu podređenost.
• Direktiva (EU) 2022/2555 (NIS2): nameće pojačane obaveze kibernetske bezbednosti QTSP, sada klasifikovane esencijalne entitete. Preneta je u francuski zakon Uredbom br. 2024-821 od 20. juna 2024. (u toku je donošenje odredbi).

Na francuskom nivou:

• Gradanski zakonik, članovi 1366 i 1367: osnova dokazne vrednosti pisanja elektronskog oblika. Članak 1366 uspostavlja ekvivalenciju između elektronskog i papirnog pisanja pod uslovima. Članak 1367 dodeljivanje QES (kvalifikovani potpis) istu dokaznu snagu kao pisanom potpisivanju.
• Dekret br. 2017-1416 od 28. septembra 2017.: pojašnjava uslove korišćenja elektronskog potpisivanja u aktima pod privatnom rukom. Ostaje primenjiv tokom prelaznoga perioda.
• Opšti referentni okvir bezbednosti (RGS) v2: za francuske administracije, RGS nameće korišćenje rešenja referencirane od strane ANSSI. Njega ažuriranje da integruje eIDAS 2 očekuje se u toku 2026.

ETSI tehnički standardi primenjivi

ETSI standardi čine 3. nivo normativne hijerarhije. Trenutne primenjive verzije:

• EN 319 132-1/2: format XAdES (napredni XML potpisi)
• EN 319 122-1/2: format CAdES (napredni CMS potpisi)
• EN 319 142-1/2: format PAdES (napredni PDF potpisi)
• EN 319 401: opšti zahtevi za provajdere usluga pouzdanosti
• EN 319 411-1/2: zahtevi za AC koje izdaju kvalifikovane sertifikate

Ovi standardi će biti revidirani do kraja 2025. da integrišu nove zahteve eIDAS 2. Ugovori sa QTSP moraju uključiti klauzulu ažuriranja na revidirana izdanja bez dodatnih troškova.

Pravni rizici neusaglašenosti

Potpis izdat od strane provajdera koji ne bi bio više akreditovan nakon 2027. ne bi automatski izgubio svoju pravnu vrednost za već potpisane dokumente, ali više ne bi imao korist od pretpostavke zakonske ekvivalencije sa pisanim potpisom (čl. 25 eIDAS). Teret dokaza o integrici i identitetu potpisnika bi tada u potpunosti ležao na preduzeću u slučaju spora. Ovaj rizik dokaznosti je posebno osetljiv za akte čiji rok zastare je dugačak (5 godina za trgovačke stvari, 30 godina za nepokretne nekretnine).

Scenariji korišćenja: kako su organizacije predvidele prelazak eIDAS 2

Scenarij 1: kancelarija od 25 saradnika racionalizuje svoju dokumentarnu usaglašenost

Kancelarija za advokature specijalizovana u poslovnom pravu, sa oko 25 saradnika i intenzivnom aktivnošću potpisivanja mandata, dokumenata o ceiji i protokola dogovora, koristila je do 2024. naprednog potpisivanja (AdES) za sve svoje tokove. Na najavi eIDAS 2, kancelarija je realizila reviziju svojih 1.200 godišnje potpisanih dokumenata da identifikuje one koji trebaju QES prema novim preporukama svoje barskke komore.

Rezultat: 15% akta (oko 180 godišnje) je reklasifikovano na kvalifikovani potpis, što je omogućilo osiguranje dokaznog režima ovih dokumenata. Kancelarija je pregovarala sa svojim izdavačem potpisa klauzulu koja garantuje eIDAS 2 usaglašenost čim budu objavljeni izvršni akti, bez dodatnih troškova. Vreme administracije povezano sa verifikacijom identiteta potpisnika smanjeno je za 40% zahvaljujući anticipaciji EUDIW integracije planiranom za 2026.

Scenarij 2: PME od 150 zaposlenih osigurava svoju ugovorna lanac sa dobavljačima

PME proizvodnja sa oko 350 godišnjeg ugovora sa dobavljačima — narudžbine, NDA, okvir ugovore — funkcionisala je sa dve različite rešenja potpisivanja za svoje interne i eksterne tokove, kreirajući fragmentaciju dokaza audita. U kontekstu prelaza eIDAS 2 i novih zahteva za kvalifikovanu arhivaciju, ITI je odlučila da ujedini svoju platformu.

Prelaskom na jedinstveno rešenje koje integruje kvalifikovanu elektronsku arhivaciju (buduća kategorija eIDAS 2), PME je smanjila troškove osiguranog skladištenja za 30% i konsolidovala svoje dokaze potpisivanja u digitalnom trezoru-sklonistu koji je u skladu. Ceo dokumentarni lanac je sada auditan manje od 2 minuta tijekom pregleda dobavljača — rastući zahtev od svojih davaoca u automobilskoj industriji.

Scenarij 3: bolnička grupa od oko 600 kreveta priprema EUDIW integraciju

Javna bolnička grupa koristila je kvalifikovani elektronski potpis za svoje medicinske ugovore i javne nabavke, u skladu sa obavezama Koda javnih nabavki. Sa eIDAS 2, informatička služba je identifikovala dva prioritetna pitanja: buduća integracija "France Identité" novčanika za medicinare koji rade u ustanovi i NIS2 usaglašenost svoga QTSP.

Grupa je upisala u svoj direktni digitalni šematizam 2025-2028 specifičnu stavku "eIDAS 2 usaglašenost", sa budžetskom prognozu od 45.000 € za tehničku migraciju i obuku agenata. Cilj je biti u mogućnosti da prihvati potpise preko EUDIW čim se nacionalno pokretanje planira za novembar 2026, čime se smanjuje vreme za ugovaranje sa zdravstvenim stručnjacima u privatnosti sa 3 dana na manje od 4 sata prosečno prema dostupnim referentnim vrednostima sektora.

Zaključak

Prelazak sa eIDAS 1 na eIDAS 2 nije praskozorje već strukturirana evolucija, sa preciznom vremenskom tabelem koja se proteže do 2027. Uticaji na elektronski potpis su realni — proširenje kvalifikovanih usluga, dolazak EUDIW, pojačane obaveze NIS2 za QTSP — ali upravljivi čim su anticipirani. Preduzeća koja deluju sada imaju marginu za rukovođenje da proveravaju svoje tokove rada, osiguravaju svoje ugovore sa svojim provajderima i treniraju svoje timove bez pritiska regulatornog hitnog slučaja.

Certyneo prati preduzeća kroz ovaj prelazak sa jasnom putanjom eIDAS 2 usaglašenosti, potpisnih formata ažuriranih i arhitekture spremne za EUDIW integraciju. Spremni da osigurate svoje tokove potpisivanja u ovom novom regulatornom okviru? Otkrijte naše ponude i počnite besplatno na Certyneo.