eIDAS 2 vs eIDAS 1 : viktigaste förändringarna för små och medelstora företag

Introduktion : varför eIDAS 2 förändrar reglerna för små och medelstora företag

Sedan den 20 maj 2024 har förordningen (EU) 2024/1183 — allmänt kallad eIDAS 2 — trätt i kraft och progressivt upphävt och ersatt förordningen (EU) nr 910/2014 (eIDAS 1). För franska små och medelstora företag är denna övergång inte bara en enkel administrativ uppdatering : den omdefinierar nivåerna för digital tillit, introducerar en europeisk identitetsplånbok (EUDIW), skärper kraven på leverantörer av förtroendetjänster och utökar omfattningen av erkända tjänster. Den här artikeln jämför eIDAS 1 och eIDAS 2 punkt för punkt, identifierar konkreta operativa effekter för små och medelstora företag och ger dig en handlingsplan för att förbli i överensstämmelse 2026.

---

1. Påminnelse : vad eIDAS 1 etablerade (2014-2024)

1.1 Grunderna för den ursprungliga förordningen

Antagen i juli 2014 och tillämplig från september 2016 lade eIDAS 1 de första grunderna för ett europeiskt område för digital tillit. Den introducerade tre huvudsakliga kategorier av elektronisk signering — enkel (SES), avancerad (AdES) och kvalificerad (QES) — och skapade listan över pålitliga leverantörer av kvalificerade tjänster (Trusted List), som kan ses på Europeiska kommissionens portal.

För små och medelstora företag var det största bidraget från eIDAS 1 den gränsöverskridande recognitionen av kvalificerade signaturer : ett kontrakt signerat med en QES från Frankrike erkändes juridiskt i Tyskland, Spanien eller Italien utan apostille eller ytterligare formaliteter. Denna princip — kallad « icke-diskriminering » — blev grunden på vilken SaaS-erbjudanden som Certyneo byggde sina tjänster.

1.2 Identifierade begränsningar

Trots sina framsteg led eIDAS 1 av flera brister dokumenterade av Europeiska kommissionen i sin utvärderingsrapport från 2021 :

• Fragmentering av identitetsscheman : endast medlemsstater som hade anmält sitt nationella schema (som FranceConnect+ på väsentlig nivå) hade fördel av ömsesidig erkännande. År 2023 hade endast 14 av 27 stater anmält ett schema i överensstämmelse.
• Avsaknad av inbyggt mobilt stöd : den kvalificerade enheten för signaturgenering (QSCD) krävde ofta ett smartkort eller en fysisk token, vilket hämmar mobil adoption.
• Begränsade förtroendetjänster : eIDAS 1 listade nio typer av kvalificerade tjänster ; nya användningsfall (kvalificerad elektronisk arkivering, attributhantering) var inte reglerade.
• Ingen enhetlig identitetsplånbok : varje medborgare eller företag hanterade sina identifierare på ett silot sätt, utan garanterad interoperabilitet.

Dessa begränsningar ledde till att kommissionen påbörjade granskningen 2020, vilket resulterade i förordningen eIDAS 2 efter tre år av triloga.

---

2. Fem stora nyheter i eIDAS 2 för små och medelstora företag

2.1 Den europeiska digitala identitetsplånboken (EU Digital Identity Wallet — EUDIW)

Detta är förordningens mest synliga nyhet. Innan november 2026 (övergångsfristen enligt artikel 5a) måste varje medlemsstat erbjuda minst en certifierad digital identitetsplånbok till sina medborgare och invånare. För små och medelstora företag har denna utveckling två direkta konsekvenser :

1. Förenklad autentisering av kunder och partners : plånboken gör det möjligt att dela verifierade attribut (ålder, intra-EU-momsregistreringsnummer, bolagsregistrering, certifierade bankuppgifter) utan friktion. Ett ramavtal med en tysk partner kan signeras efter omedelbar verifiering av dess professionella attribut från dess EUDIW.
2. Acceptanskyldighet för vissa sektorer : online-tjänster från stora plattformar (artikel 45bis) och vissa offentliga tjänster måste acceptera EUDIW som autentiseringsmetod. Small och medelstora företag som tillhandahåller B2B-portaler måste anpassa sina autentiserings-API:er.

2.2 Utvidgning av listan över kvalificerade förtroendetjänster

eIDAS 2 utökar katalogen över kvalificerade förtroendetjänster från 9 till 14 kategorier. De nya poster som direkt påverkar små och medelstora företag är :

• Kvalificerad elektronisk arkivering (art. 45septies) : långsiktig bevarande med förstärkt beviskraft. Hittills baserade arkivering med beviskraft på nationella referensramar (i Frankrike, SIAF/ANSSI-referensen) ; eIDAS 2 harmoniserar den europeiska ramen.
• Fjärrhantering av kvalificerade enheter för signaturgenering (RQSCD) : nu uttryckligt reglerad, den avlägsnar tvetydigheterna kring molnlösningar för kvalificerad signering. För ett litet eller medelstort företag med 50 anställda innebär detta att få tillgång till en kvalificerad signatur utan fysisk token från valfri enhet.
• Kvalificerad elektronisk registerservice : register baserade på blockchain eller distribuerad ledger-teknik kan nu få kvalificerad status, vilket öppnar vägen för nya modeller för kontraktshantering.

För mer information om signeringsnivåer och deras juridiska värde, se vår kompletta guide för elektronisk signering.

2.3 Skärpta säkerhetskrav för kvalificerade tjänsteleverantörer (QTSP)

eIDAS 2 straffar leverantörer av kvalificerade förtroendetjänster (QTSP). Den reviderade artikeln 24 föreskriver särskilt :

• En cybersäkerhetscertifiering i överensstämmelse med den europeiska ramen (EU Cybersecurity Act, förordning 2019/881), med sektorschemata som utvecklas av ENISA.
• Skärpta krav gällande operativ motståndskraft : QTSP:er måste nu dokumentera sin verksamhetskontinuitetsplan och lämna den till sin nationella tillsynsmyndighet (i Frankrike, ANSSI för kvalificerade leverantörer).
• En skyldighet att anmäla säkerhetshändelser inom 24 timmar (anpassning till NIS 2).

För små och medelstora användare översätts detta till en ökad aktsamhetsskyldighet vid val av leverantör : kontrollera att din signeringslösning är korrekt listad på den uppdaterade europeiska Trusted List blir nu ett kritiskt steg i din inköpsprocess. Vår jämförelse av elektroniska signeringslösningar kan hjälpa dig med denna analys.

2.4 Obligatorisk interoperabilitet för identitetsscheman

Där eIDAS 1 gav medlemsstater frihet att anmäla (eller inte) sitt schema gör eIDAS 2 anmälan och interoperabilitet obligatorisk för identitetsscheman som används i online-offentliga tjänster (art. 5). France Identité — det nationella schema som drivs av inrikesministeriet — håller på att anpassas till EUDIW:s tekniska specifikationer, publicerade av kommissionen i genomförandeförordningen (EU) 2024/2977.

För ett litet eller medelstort företag som regelbundet interagerar med offentliga myndigheter (offentlig upphandling, elektroniska deklarationer, tullformaliteter) innebär denna utveckling att online-förfaranden progressivt kommer att förenas kring en unik digital identifierare som är erkänd i hela EU.

2.5 Nya ansvarsvregler och övervakningsbestämmelser

eIDAS 2 klargör och utökar ansvarssystemen för leverantörer (reviderad art. 13). En QTSP är nu presumerad ansvarig för all skada som uppstår för en fysisk eller juridisk person genom ett försummelse av dess skyldigheter, såvida den inte kan bevisa avsaknaden av culpa. Denna presumtion om ansvar, förstärkt jämfört med eIDAS 1, bör uppmuntra små och medelstora företag att :

• Formalisera genom kontrakt sin leverantörs åtaganden (SLA, tillgänglighetsgarantier, skadeersättning).
• Kontrollera QTSP:s yrkesansvarsförsäkringsskydd.
• Bevara bevis på granskning av signerade transaktioner (tidsstämplingsjournaler, verifieringsrapporter).

Våra team har skrivit en detaljerad guide om elektronisk signering i företag som behandlar dessa kontraktsaspekter.

---

3. Jämförande tabell eIDAS 1 vs eIDAS 2 : vad som konkret förändras

3.1 Sammanfattning av stora utvecklingar

| Kriterium | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Identitetsplånbok | Frånvarande | Obligatorisk EUDIW (medlemsstater) | | Kvalificerade tjänster | 9 kategorier | 14 kategorier (arkivering, RQSCD, register…) | | Anmälan av scheman | Frivillig | Obligatorisk för offentliga tjänster | | QTSP-säkerhet | Common Criteria-kriterier | Cybersecurity Act + ENISA-scheman | | QTSP-ansvar | Partiellt | Förstärkt ansvarspresumtion | | Anmälningstid för händelse | Ospecificerad | 24 timmar (anpassning till NIS 2) | | Mobil QSCD | Juridisk tvetydighet | RQSCD uttryckligt reglerad |

3.2 Viktiga tidsfristerna att komma ihåg för 2026

• Maj 2024 : Förordningen (EU) 2024/1183 träder i kraft.
• November 2026 : Tidsfrist för att varje medlemsstat erbjuder minst en certifierad EUDIW-lösning.
• 2027 : Skyldighet för stora plattformar (art. 45bis) att acceptera EUDIW som autentiseringsmetod.
• 2028 : Planerad revision av tekniska genomförandeakter (delegerade förordningar om EUDIW-specifikationer).

Om ditt lilla eller medelstort företag planerar att migrera till en mer överensstämmande lösning erbjuder vår migreringsangebot till Certyneo en kostnadsfri eIDAS 2-överensstämmelsegranskning.

---

4. Praktisk handlingsplan för att göra ditt små och medelstora företag eIDAS 2-kompatibelt

4.1 Granska befintliga dokumentflöden

Börja med att kartlägga alla processer där du för närvarande använder elektronisk signering eller digital identitet : leverantörskontrakt, elektroniska lönebesked, SEPA-mandat, sekretessavtal, HR-dokument. För varje flöde, identifiera :

• Den signeringsnivå som används (SES, AdES, QES).
• Den nuvarande leverantören och dess status på Trusted List.
• Riskgraden för juridisk granskning vid tvist.

Denna granskning är startpunkten som rekommenderas av ANSSI i sin riktlinje för överensstämmelse publicerad i mars 2025.

4.2 Uppgradera din signeringslösning

Om din nuvarande leverantör inte finns på eIDAS 2 Trusted List eller inte ännu erbjuder RQSCD är det dags att jämföra marknadsalternativen. Certyneo är en certifierad QTSP som stöder alla tre signeringsnivåer (SES, AdES, QES) och integrerar nativt de nya eIDAS 2-kraven, inklusive kvalificerad arkivering och fjärrhantering av enheter.

4.3 Träna dina team och uppdatera dina kontrakt

eIDAS 2 förstärker värdet av kvalificerade signaturer men lägger också goda dokumentäriska praxis. Se till att dina juridiska och administrativa team :

• Vet hur man skiljer mellan de tre signeringsnivåerna och deras respektive juridiska värde.
• Integrerar i leverantörskontrakt en eIDAS-överensstämmelsegranskningsklausul.
• Bevarar bevis på signaturverifiering (valideringsrapport, kvalificerad tidsstämpel) under den tillämpliga lagliga bevarandeperioden (3 till 10 år beroende på akttyp).

För att strukturera denna process kan vår ROI-kalkylator för elektronisk signering låta dig kvantifiera de operativa vinsterna med att uppgradera.

Tillämpligt juridiskt ramverk

Rättskällor

Att göra ett franskt litet eller medelstort företag eIDAS 2-kompatibelt faller under en normativ stapelek som är väsentlig att behärska.

Förordningen (EU) 2024/1183 från Europaparlamentet och rådet (kallad « eIDAS 2 ») : det är grundtexten, publicerad i OJEU den 30 april 2024. Den upphäver och ersätter förordningen (EU) nr 910/2014 enligt en driftsättningsplan som pågår fram till 2027. Den är direkt tillämplig i alla medlemsstater utan att kräva nationell lagstiftning för dess huvudbestämmelser.

Förordningen (EU) nr 910/2014 (eIDAS 1) : vissa av dess bestämmelser förblir tillämpliga under övergångsperioderna som anges av eIDAS 2, särskilt för kvalificerade leverantörer som fick sina kvalificeringar före maj 2024 och har en tidsfrist för omcertifiering.

Fransk civillag, artiklar 1366 och 1367 : artikel 1366 fastställer principen om likvärdighet mellan elektronisk skrift och papperskrift, under förutsättning att « personen från vilken den härrör kan på lämpligt sätt identifieras och att den är upprättad och bevarad på ett sådant sätt att dess integritet garanteras ». Artikel 1367 erkänner elektronisk signering som bevismetod och hänvisar till villkoren fastställda genom dekret i statsrådet (dekret nr 2017-1416 från den 28 september 2017, kodificerat i artiklarna R. 1369-1 till R. 1369-10 i civillagen).

Förordningen (EU) 2016/679 (GDPR) : driftsättningen av EUDIW och behandlingen av identitetsattribut i elektroniska signeringsflöden utgör behandling av personuppgifter enligt GDPR. Small och medelstora företag måste se till att deras QTSP fungerar som databehandlare enligt artikel 28 GDPR, med ett DPA (Data Processing Agreement) i överensstämmelse. CNIL publicerade i januari 2026 en rekommendation specifik för EUDIW-GDPR-integration.

Direktivet (EU) 2022/2555 (NIS 2) : eIDAS 2 är uttryckligen anpassad till NIS 2 för anmälningsskyldigheter för incidenter (art. 24, §2 eIDAS 2 som hänvisar till NIS 2-bestämmelser). QTSP:er anses vara « väsentliga » eller « viktiga » enheter enligt NIS 2 beroende på deras storlek och omfattas enligt detta av regelbundna säkerhetsgransköningar.

ETSI-normer : kvalificerade elektroniska signaturer måste följa ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) och ETSI EN 319 102-1 (valideringsprocedur)-normer. ETSI TS 119 461-normen reglerar fjärrverifiering av identitet (IDV), särskilt relevant för RQSCD.

Juridiska risker vid bristande överensstämmelse

Att använda en elektronisk signeringslösning som inte är eIDAS 2-kompatibel exponerar det lilla eller medelstora företaget för flera risker :

• Irreceivability i domstol : en domstol kan förkasta en elektronisk signatur vars nivå inte motsvarar det signerade dokumentet (t.ex. enkel signatur för ett dokument som kräver avancerad eller kvalificerad nivå).
• Avtalsansvar : om ett kontrakt bestrids av en partner på grund av signeringsnullitet kan det lilla eller medelstora företaget exponeras för skadeståndsfordringar.
• GDPR-sanktioner : vid dataintrång relaterat till en säkerhetsbrist hos leverantören kan det lilla eller medelstora företaget, medansvarig eller personuppgiftsansvarig, sanktioneras av CNIL upp till 4% av årlig global omsättning (art. 83 §4 GDPR).

Konkreta användningsscenarier

Scenario 1 : ett industriellt litet eller medelstort företag med 80 anställda som hanterar 400 leverantörskontrakt per år

Ett litet eller medelstort företag inom metallurgin som hanterade cirka 400 leverantörskontrakt årligen användes fram till 2024 en enkel elektronisk signeringslösning (SES) för alla åtaganden, inklusive ramkontrakt över 50 000 €. Efter en eIDAS 2-överensstämmelsegranskning upptäckte det att 35% av dess kontrakt kräver avancerad eller kvalificerad signering för att motstå juridisk granskning, särskilt med leverantörer etablerade i andra EU-medlemsstater.

Genom att migrera till en lösning som kombinerar avancerad signering (AdES) för vanliga kontrakt och kvalificerad (QES) för ramkontrakt, och genom att aktivera kvalificerad elektronisk arkivering (ny eIDAS 2-tjänst), reducerade detta lilla eller medelstort företag tiden för arkiveringshantering efter signering (klassificering, sökning, skickande av certifierade kopior) med 70% och minskade till noll tvister relaterade till signaturbestridning på de följande 18 månaderna jämfört med två incidenter de föregående 18 månaderna.

Scenario 2 : ett juridiskt rådgivningsföretag med 15 samarbetspartners

En specialiserad advokatbyrå för affärsrätt, som utfärdade cirka 1 200 signerade dokument per år (uppdragssamtal, mandat, sekretessavtal), mötte en växande efterfrågan från sina företagsklienter för kvalificerade signaturer som är erkända i hela EU. Under eIDAS 1 krävde erhållandet av ett kvalificerat certifikat en personlig möte eller en lång videoverifiering (45 till 90 minuter per användare).

Tack vare RQSCD (Remote Qualified Signature Creation Device) reglerad av eIDAS 2 kunde byrån driftsätta kvalificerad signering för alla samarbetspartners på mindre än två veckor via en 100% fjärrregistreringsprocedur i enlighet med ETSI TS 119 461-standarden. Graden av intern adoption gick från 40% till 95% på tre månader, och genomsnittlig tid för returnerande signerade dokument minskade från 4,2 dagar till mindre än 6 timmar enligt byråns interna mätningar.

Scenario 3 : ett e-handelsföretag som är verksamt i tre EU-länder

Ett online-försäljningsföretag sysselsätt 35 personer och var verksamt i Frankrike, Belgien och Nederländerna och måste hantera tre typer av elektroniska avtal : anställningskontrakt för dess lokala anställda, samarbetsavtal med transportörer och SEPA-mandat för dess affärskundar. Fragmenteringen av nationella krav under eIDAS 1 tvingade den att upprätthålla tre separata arbetsflödesprocesser för signering med uppskattade förvaltningskostnader på omkring 12 000 € per år.

Antagandet av en enda eIDAS 2-kompatibel lösning — integrerande ömsesidig erkännande av kvalificerade signaturer i de tre länderna — gjorde det möjligt att förena arbetsflödena, minska förvaltningskostnaden till cirka 4 500 € per år (besparing på 62%) och eliminera förseningar relaterade till manuell validering av utländska signaturer av juridiska avdelningen.

Slutsats

eIDAS 2 är inte en enkel ytlig revision av regelverket : det omdefinierar på ett grundläggande sätt spelreglerna för digital tillit i Europa. För franska små och medelstora företag representerar de fem stora utvecklingarna — EUDIW-plånboken, utvidgning av kvalificerade tjänster, RQSCD, obligatorisk interoperabilitet och förstärkt ansvar — både en överensstämmelsebörda och en möjlighet att accelerera deras dokumenttransformation.

Small och medelstora företag som förutser dessa förändringar redan idag får en verklig konkurrensövertag : kontrakt erkända i hela EU utan friktion, arkivering med integrerad beviskraft och helt dematerielliserade och säkra signeringsprocesser.

Certyneo är utformad för att stödja denna övergång. Starta din gratis test på certyneo.com och få en kostnadsfri eIDAS 2-överensstämmelsegranskning för dina befintliga dokumentflöden.