eIDAS 2: den nya europeiska förordningen förklarat för 2026

Introduktion: varför eIDAS 2 förändrar allt för europeiska företag

Efter en långdragen lagstiftningsprocess trädde förordningen eIDAS 2 i kraft den 20 maj 2024 — officiellt benämnd förordning (EU) 2024/1183 — och representerar den mest ambitiösa reformen som någonsin genomförts inom elektronisk identifiering och betrodda tjänster i Europa. Den upphäver och ersätter delvis den ursprungliga eIDAS-förordningen från 2014 (nr 910/2014), samtidigt som den upprätthåller bakåtkompatibilitet med den befintliga infrastrukturen. För företag som använder elektronisk signatur enligt eIDAS introducerar denna omläggning nya skyldigheter, oönskade möjligheter och ett snävt efterlevnadsschema fram till 2026 och därefter. Denna artikel dekrypterar i detalj textens viktiga bestämmelser, deras operativa konsekvenser och hur din organisation kan förbereda sig.

---

Vad förordningen eIDAS 2 förändrar fundamentalt

Från förordningen 2014 till 2024-versionen: en strukturell omläggning

Den ursprungliga eIDAS-förordningen från 2014 hade lagt grunden för ömsesidig erkännande av elektroniska identifieringsscheman mellan medlemsländer och etablerade en enhetlig juridisk ram för betrodda tjänster (signatur, förseglar, tidsstämplar, etc.). Men tio år senare var bristerna slående: lågt antagande av anmälda eID:n, fragmentering av nationella lösningar, avsaknad av en universell digital plånbok för medborgare och framför allt olämpliga för webbanvändning (GAFAM utesluts från förtroendenumret).

eIDAS 2 korrigerar dessa luckor på tre huvudsakliga axlar:

1. Den europeiska portföljen för digital identitet (EUDI Wallet) — varje medlemsland måste tillhandahålla, senast i november 2026, en digital plånboksapplikation som gör det möjligt för alla europeiska medborgare eller invånare att säkert lagra och presentera sina identitetsattribut (identitetskort, körkort, diplom, etc.).
2. Utvidgningen av kvalificerade betrodda tjänster — texten lägger till nya kvalificerade tjänster: hantering av kvalificerad elektronisk arkivering (QESAP), rapporter om kvalificerade identitetsattribut (QEAA), kvalificerade elektroniska huvudböcker (QLED) och hantering av enheterna för fjärrsignering (QRCD).
3. Skyldighet för stora plattformar — leverantörer av onlinetjänster av stor skala (sociala nätverk, marknadsplatser) måste acceptera EUDI-plånboken för användarautentisering.

EUDI Wallet-plånboken: arkitektur och funktion

EUDI Wallet är kärnan i eIDAS 2. I praktiken är det en mjukvaruapplikation — levererad eller certifierad av varje medlemsland — som bygger på en decentraliserad modell för selektiv presentation av attribut. Användaren överför endast de data som är strikt nödvändiga för transaktionen (minimiseringsprincip, i enlighet med GDPR).

Ur teknisk synvinkel bygger arkitekturen på specifikationerna för Architecture Reference Framework (ARF), publicerad av Europeiska kommissionen och regelbundet uppdaterad av Large Scale Pilot (LSP) som samlar fyra pilotkonsortier (DC4EU, EWC, POTENTIAL, NOBID). De valda dataformaten är huvudsakligen ISO/IEC 18013-5 (mDL/mDocs) och W3C Verifiable Credentials, vilket garanterar gränsöverskridande interoperabilitet.

För företag betyder detta att de på sikt kan verifiera sina kunders eller partners identitet via plånboken utan att själva hantera insamlingen av verifikationsdokument — vilket avsevärt minskar friktionen i KYC (Know Your Customer) och risken för dokumentbedrägeri.

---

Garantinivåer och signaterhierarki: vad som förändras

Upprätthållande av QES / AdES / SES-hierarkin

Regelverket för elektroniska signaturer förblir strukturerat kring tre nivåer definierade i artikel 3 i eIDAS 2 (återupptar terminologin från 2014 men förtydligar de tekniska kraven):

• Enkel elektronisk signatur (SES): minimalt bevispris, lämplig för vanliga handlingar.
• Avancerad elektronisk signatur (AdES): exklusiv koppling till undertecknaren, möjlighet att upptäcka eventuell senare ändring.
• Kvalificerad elektronisk signatur (QES): juridisk motsvarighet till handskriven signatur i hela EU (artikel 25§2), utgiven via en kvalificerad signeringsenhet (QSCD) baserad på ett kvalificerat certifikat.

Nyheterna ligger i sättet på vilket QES nu kan utfärdas via kvalificerade tjänster för fjärrsignering (QRCD), vars godkännandebetingelser anges i artiklarna 29a och 29b i den reviderade texten. Detta öppnar vägen för 100 % digitala flöden för de mest krävande handlingarna — notarierade kontrakt, elektroniska autentiska handlingar — utan att det krävs något fysiskt smartkort.

Påverkan på leverantörer av kvalificerade betrodda tjänster (QTSP)

Leverantörer som Certyneo, som arbetar utifrån certifierade QTSP, måste förutse de nya revisionskraven som införs av eIDAS 2. Artikel 24 föreskriver nu förstärkta kontroller av underleverantörskedjan, och kraven på anmälan av säkerhetshändelser anpassas uttryckligen till direktiv NIS2 (anmälning inom 24 timmar). För att fördjupa funktionen av olika signaturerningsniváer i ett B2B-sammanhang, se vår fullständiga guide för elektronisk signatur i företag.

---

Distributionsschema och skyldigheter för företag under 2025-2026

De viktigaste stegen för distribution

Förordningen (EU) 2024/1183 publicerades i EU:s officiella tidning den 30 april 2024 och trädde i kraft den 20 maj 2024. De genomförande och delegerade akterna — väsentliga för att förtydliga de tekniska kraven — publiceras gradvis:

| Deadline | Skyldighet | |---|---| | Maj 2024 | Förordningens ikraftträdande | | Slutet av 2024 | Publicering av genomförandebeslut för ARF v2.0 | | Mitten av 2025 | Certifiering av de första EUDI Wallet-pilotprojekten | | November 2026 | Obligatorisk tillgänglighet för EUDI Wallet i varje medlemsland | | 2027 | Obligatorisk acceptans från stora onlineplattformar |

Vad B2B-företag måste göra redan nu

För företag som använder elektroniska signatörlösningar är tre prioriteringar tvingande under 2025-2026:

1. Granska deras förtroendekedja: verifiera att deras signaturleverantör faktiskt är listad som QTSP (Trusted List) i sitt medlemsland, och att de använt certifikaten är i överensstämmelse med de reviderade ETSI EN 319 401 och EN 319 411-1 specifikationerna.

2. Förutse integrationen av EUDI Wallet: företag som arbetar i reglerade sektorer (bank, försäkring, hälsa, fastigheter) kommer att vara bland de första som påverkas av verifieringsflöden för identitet via plånbok. Det rekommenderas att förbereda API-integrationen redan 2025.

3. Revidera sina bevarandepolicy: den nya kvalificerade elektroniska arkiveringstjänsten (QESAP) introducerar långsiktiga bevarandestandarder som kan bli tvingande i vissa sektorer (offentlig upphandling, farmaceutisk sektor). Vår ROI-kalkylator för elektronisk signatur gör det möjligt för dig att bedöma den ekonomiska effekten av en uppgradering av din dokumentinfrastruktur.

---

Interoperabilitet, GDPR och frågor om digital suveränitet

eIDAS 2 och GDPR: förstärkt komplementaritet

En av de stora framstegen med eIDAS 2 är den uttryckliga integrationen av dataskyddsprinciper från början (privacy by design) i EUDI-plånbokens arkitektur. Artikel 5a§14 stipulerar att plånboken inte tillåter leverantörer att spåra användares beteende under transaktioner. Utgivare av kvalificerade identitetsattribut (QEAA) informeras inte om hur de utfärdade intyg används — vilket utgör en stor förändring från nuvarande centraliserade modeller.

Denna arkitektur kallas unlinkability (icke-korrelierbarhet): två olika transaktioner utförda av samma användare kan inte kopplas samman utan hans eller hennes samtycke. Denna garanti överskrider GDPR:s minimikrav samtidigt som den fungerar perfekt tillsammans med det.

Den geopolitiska dimensionen: återta kontrollen över onlineidentitet

eIDAS 2 svarar också på en suveränitétsfråga. Idag bygger onlineautentisering i stor utsträckning på knapparna "Logga in med Google/Facebook/Apple", vilket ger amerikanska teknikjättar en dominant position i hanteringen av europeiska digitala identiteter. Genom att tvinga mycket stora plattformar (i meningen Digital Services Act) att acceptera EUDI Wallet som autentiseringsmmedel skapar eIDAS 2 ett interoperabelt och suveränt alternativ.

För B2B-företag betyder detta också att eIDAS 2-överensstämmelse kan bli ett urvalskriterium för leverantör i offentliga och privata anbudsöppningar — på samma sätt som ISO 27001-certifiering representerar idag i inköpsprocesser. Om din organisation överväger att utveckla sin nuvarande lösning, vägleder vår migreringsguide från DocuSign eller YouSign till Certyneo genom stegen för en väl kontrollerad övergång.

Rättslig ram som gäller eIDAS 2 och elektronisk signatur

Referenstexterna

Förordning (EU) 2024/1183 från Europaparlamentet och rådet av den 11 april 2024, som ändrar förordning (EU) nr 910/2014 när det gäller upprättandet av den europeiska ramen för digital identitet (eIDAS 2). Publicerad i EU:s officiella tidning den 30 april 2024, trädde i kraft den 20 maj 2024.

Förordning (EU) nr 910/2014 (eIDAS 1): förblir i kraft för sina oförändrade bestämmelser, särskilt artiklarna om "låga", "betydande" och "höga" garantinivåer för anmälda identifieringsscheman.

Franska civil code, artiklarna 1366 och 1367: elektronisk skrift har samma beviskraft som skriftlig handling förutsatt att personen från vilken den kommer är behörigen identifierad och att dokumentet upprättats under förhållanden som garanterar dess integritet. Kvalificerad elektronisk signatur (QES) enligt eIDAS 2 uppfyller dessa krav i alla avseenden.

Förordning (EU) 2016/679 (GDPR): behandlingen av identitetsdata i samband med EUDI-plånboken är föremål för principerna om dataminimering (art. 5§1c), ändamålsbegränsning (art. 5§1b) och dataskydd från början (art. 25). Kvalificerade tjänsteleverantörer fungerar som distinkta personuppgiftansvariga för verifieringsåtgärder.

Direktiv (EU) 2022/2555 (NIS2): implementerad i fransk rätt genom förordningen nr 2024-528 av den 12 juni 2024, den pålägg leverantörer av kvalificerade betrodda tjänster skyldigheter att hantera cyberrisker och meddela incidenter inom 24 timmar.

ETSI-standarder:

• EN 319 132 (XAdES) och EN 319 122 (CAdES): avancerade format för elektronisk signatur.
• EN 319 401: allmänna krav för leverantörer av betrodda tjänster.
• EN 319 411-1 och 411-2: policy och säkerhetskrav för CA:er som utfärdar kvalificerade certifikat.
• EN 319 521: krav för kvalificerade signaturbevarandetjänster (QESAP).

Skyldigheter och juridiska risker för företag

Alla företag som använder elektroniska signaturer i ett kontraktuellt sammanhang måste säkerställa att den valda signaturnivån är lämplig för aktuella och aktuella handlingar. För handlingar som är föremål för ett lagkrav på signatur (försäljningsutfästelser, anställningsavtal, inköpsorder över vissa tröskelvärden), endast QES eller AdES baserat på ett kvalificerat certifikat ger den tillförlitlighetspresumtion som avses i artikel 26 i eIDAS 2.

I händelse av tvister omkullkastas bevisbördan: om signaturen är kvalificerad, är det till motparten att bevisa dokumentets ändrande; om det är enkelt eller avancerat utan kvalificerat certifikat, vilar bevisbördan på undertecknaren som åberopar det. Underlåtenhet att uppfylla kraven på spårbarhet och integritet kan leda till ogiltigförklaring av handlingen eller signaturs ogiltigförklaring för tredje man.

Användningsscenarier: eIDAS 2 tillämpas på B2B-företag

Scenario 1 — Ett konsultföretag för digital transformation (cirka 80 konsulter)

En rådgivningsstruktur som distribuerar sina anställda till kunder i flera medlemsländer (Frankrike, Tyskland, Nederländerna) måste varje månad få signerade uppdragsorder, kontraktsändringar och godkänd protokoll. Före eIDAS 2 genererade hantering av gränsöverskridande identiteter friktioner: vissa tyska kunders vägran att erkänna certifikat utfärdade av en fransk QTSP, dubbel autentisering via e-post otillräcklig för känsliga handlingar.

Med distribueringen av EUDI Wallet 2026 kan konsulter signera från sin nationella plånbok — erkänd i alla medlemsländer utan någon friktion — utan att behöva dubbelverifiera något. Konsultföretaget uppskattar en minskning på 60 till 70 procent av tiden som ägnats åt utbyten av dokumentverifiering före signering, vilket motsvarar cirka 3 till 4 timmar sparade per konsult och månad enligt branschriktmärken publicerade av McKinsey Digital (2024).

Scenario 2 — En småindustriell företag som hanterar 350 leverantörskontrakt per år

En SME-tillverkare av industriell utrustning som arbetar med cirka hundra europeiska och asiatiska leverantörer måste ingå kontrakt för beställningar, sekretessavtal (NDA) och ramavtal. Hittills kom 30 procent av dessa dokument tillbaka utan giltig signatur eller med förseningar på över 10 arbetsdagar.

Genom att använda en elektronisk signeringslösning som följer eIDAS 2 med identitetsverifikation via kvalificerade attribut (QEAA) kan SME:n tillämpa ett signaturflöde där identiteten för den auktoriserade representanten för leverantören verifieras automatiskt via EUDI Wallet utan manuell inmatning. Förväntad resultat: minskning av genomsnittlig signeringstid från 10 dagar till mindre än 48 timmar, och minskning av 40 procent av tvister relaterade till otillfredställande signaturer, baserat på intervall som observerats i ELENIUS 2025-rapporter om B2B-digitalisering.

Scenario 3 — En fastighetsgrupp som hanterar försäljningsöverenskommelser i flera länder

Ett nätverk av fastighetsbyråer som arbetar i Frankrike, Spanien och Portugal måste regelbundet få förköpskontrakt undertecknade mellan säljare och köpare av olika nationaliteter. QES krävs i vissa sammanhang för att garantera likvärdighet med handskriven signatur inför notarie.

Tack vare eIDAS 2 och interoperabiliteten för EUDI-plånboken kan en portugisisk köpare signera ett kompromiss som omfattas av fransk lag genom att använda sin nationella plånbok, med en "hög" garantinivå som automatiskt erkänns av signeringsplattformen. Gruppen minskar sina resekostnader och legalisering med cirka 800 till 1 200 euro per gränsöverskridande ärendehantering, samtidigt som tidpunkten för slutförandet av förköpskontrakt reduceras från 3 veckor till 5 dagar i genomsnitt. För sektorsspecifika användningar vägleder vår dedikerade sida om elektronisk signatur inom fastigheter anpassade arbetsflöden.

Avslutning

eIDAS 2 är inte bara en enkel regeluppdatering: det är en grundläggande omläggning av hur digital identitet och elektronisk tillit fungerar i Europa. EUDI Wallet-plånboken, de nya kvalificerade tjänsterna, interoperabilitetskravet och anpassningen till NIS2 och GDPR bildar ett sammanhängande ekosystem som kommer att omvandla B2B-företagens kontraktuella processer och autentiseringsflöden före slutet av 2026.

För att förbli kompatibel och konkurrenskraftig måste organisationer agera redan nu: granska deras förtroendekedja, välja en leverantör som är anpassad till de nya kraven och förbereda sina dokumentflöden för integrering av den europeiska digitala plånboken.

Certyneo assisterar dig i denna övergång med elektroniska signeringslösningar som är qualificerade eIDAS 2-konforma och redo för 2026. Begär en demonstration eller skapa ditt konto på Certyneo för att säkra dina kontrakt redan idag.