Övergång eIDAS 1 till 2: konsekvenser för underskrift år 2025

Den 20 maj 2024 publicerades förordningen (EU) 2024/1183 — ofta kallad eIDAS 2 — i Europeiska unionens officiella tidning och upphävde gradvis förordningen nr 910/2014 (eIDAS 1). Denna text representerar den mest omfattande reformen av digital identitet och elektronisk underskrift i Europa sedan 2016. För franska företag som använder elektroniska signeringslösningar i sina avtalsflöden är övergången inte en formalitet: den innebär tekniska, juridiska och organisatoriska justeringar vars tidshorizont sträcker sig till 2026 och därefter. Det är därför viktigt att förstå övergången från eIDAS 1 till eIDAS 2 och dess inverkan på elektronisk underskrift år 2025 för juridiska chefer, IT-chefer och personalchefer. Den här artikeln klarläggger de grundläggande utvecklingarna i ramverket, den exakta övergångstidplanen och de konkreta åtgärder som behöver vidtas för att förbli kompatibel.

Vad förordningen eIDAS 2 förändrar fundamentalt

Från förordningen 2014 till omformningen 2024: varför en revidering var nödvändig

EIDAS 1 hade fastställt grunderna för ömsesidig igenkänning av elektroniska signaturer inom unionen. Tre hierarkiska nivåer — enkel (SES), avancerad (AdES) och kvalificerad (QES) — strukturerade signaturernas bevisvärde, understödd av en lista över betrodda tjänstleverantörer (TSL). Men under tio år uppstod två stora luckor.

För det första tillämpades den ursprungliga förordningen i huvudsak på relationer med offentliga myndigheter (G2B, G2C). Den skapade inte direkta skyldigheter i privata transaktioner (B2B, B2C), vilket lämnade ett regulatoriskt vakuum som varje medlemsstat fyllde på olika sätt. För det andra hade ökningen av digitala tjänster — mobilapplikationer, öppen bankverksamhet, telemmedicin — avslöjat frånvaron av ett portabelt och interoperabelt system för digital identitet på kontinental nivå.

EIDAS 2 svarar på dessa två utmaningar genom att införa den europeiska plånboken för digital identitet (EU Digital Identity Wallet, EUDIW) och genom att utöka omfattningen av betrodda tjänster till nya användningsfall: kvalificerad elektronisk arkivering, attestationer för kvalificerade attribut, kvalificerade elektroniska register (inklusive certifierade blockkedjeapplikationer).

De nya kategorierna av kvalificerade betrodda tjänster

Förordningen eIDAS 2 utökar listan över kvalificerade betrodda tjänster (artikel 3 och reviderad bilaga IV). Förutom signaturer, sigill och tidsstämplar som redan erkändes av eIDAS 1, är följande nu kvalificerade:

• Tjänster för kvalificerad elektronisk arkivering (artikel 34 bis): skyldighet att bevara dokumentens integritet och läsbarhet signerat på lång sikt, med stärkta krav för leverantörer (QTSP).
• Tjänster för hantering av enheters skapande av fjärr-signatur kvalificerad (QRCD): stärkt reglering av fjärrsigneringslösningar via HSM (Hardware Security Module) i molnet.
• Attestationer för kvalificerade attribut: mekanisme som tillåter en betrodd tredje part att certifiera attribut för en entitet (t.ex. status som advokat, läkares status) utan att avslöja hela identiteten.
• Kvalificerade elektroniska register: igenkänning av distribuerade register under strikta villkor för reviderbarhet och motståndskraft.

För användare av elektroniska signeringslösningar betyder denna utökning att de kvalificerade betrodda tjänster som finns tillgängliga på marknaden kommer att diversifieras, och att kriterierna för val av leverantör (QTSP) måste integrera dessa nya kapaciteter.

EUDIW: plånboken för digital identitet som infrastruktur för underskrift

Den mest synliga innovationen i eIDAS 2 förblir EUDIW. Varje medlemsstat måste ställa en digital identitetsplånbok kostnadsfritt tillgänglig för sina medborgare och invånare, interoperabel med alla andra medlemsstater, senast den 26 november 2026 (tidsgräns för efterlevnad enligt artikel 5 bis). Denna plånbok kommer att tillåta:

• att autentisera användaren med höga försäkringsnivåer (LoA High) utan att behöva tillgripa en tredjepartsleverantör för identifiering;
• att elektroniskt signera dokument med kvalificerad värde (QES) direkt från plånboken;
• att dela selektiva identitetsattribut (selective disclosure), vilket därmed respekterar principen om dataminimering i GDPR.

För företag förenklar EUDIW teoretiskt verifieringsförfarandena före kvalificerad signering, vilket eliminerar friktionen från videoidentifiering eller ansikte-mot-ansikte-identifiering. I praktiken beror effekten på takten för nationell distribution — Frankrike lanserade 2025 ett pilotförsök i ramen för programmet "France Identité".

Exakt tidsplan för övergången från eIDAS 1 till eIDAS 2

De regulatoriska milstolparna att känna till

Förordningen 2024/1183 trädde i kraft den 20 maj 2024, men dess tillämpning är gradvis. Här är de viktigaste tiderna:

| Datum | Händelse | |------|----------| | 20 maj 2024 | Publicering i EU-tidningen, formell ikraftträdande | | 20 november 2024 | Tidsfristen på 6 månader för antagande av genomföranderegler av kommissionen (tekniska specifikationer för EUDIW) | | Slutet av 2025 | Publicering av reviderade ETSI-standarder (EN 319 411-1/2, EN 319 401) som integrerar eIDAS 2-krav | | 26 maj 2026 | Slutlig dag för medlemsstaternas efterlevnad av de nya kategorierna av kvalificerade tjänster | | 26 november 2026 | Obligatorisk tillgänglighet av EUDIW för varje medlemsstat | | 2027-2028 | Fullständig granskning av nationella förteckningar över betrodda enheter (TSL) och ackreditering av nya QTSP |

EIDAS 1 förblir giltig och signaturer utfärdade enligt dess system behåller sitt fulla juridiska värde. Det finns ingen skyldighet att omarbeta befintliga dokument. Å andra sidan måste kvalificerade betrodda tjänstleverantörer förnya sin ackreditering enligt de nya tekniska standarderna senast 2027.

Vad som inte förändras och vad du måste övervaka

Kontinuitet är en kardinal princip för övergången. De tre nivåerna av signatur (SES, AdES, QES) bevaras med deras oförändrade definitioner. Förmutningen om ekvivalens med en handskriftsunderskrift kopplad till QES (artikel 25 eIDAS 1, upprepat i artikel 27 eIDAS 2) förblir i kraft. Bevisvärdet för dina nuvarande elektroniska signaturer ifrågasätts inte.

Vad du måste övervaka: genomförandereglerna (implementing acts) som publicerats av Europeiska kommissionen under 2025-2026 kommer att fastställa de exakta tekniska specifikationerna för EUDIW och de nya tjänstekategorierna. Dessa nivå-2-texter har en betydande praktisk betydelse för integratörer och programvaruleverantörer. För företag som använder elektronisk underskrift i sina HR- eller juridiska processer rekommenderas det att fråga din leverantör om en EUDIW 2-överensstämmelsekarta.

Konkret påverkan på företag och deras signeringslösningar

Vilka arbetsflöden påverkas i första hand?

Övergången från eIDAS 1 till eIDAS 2 har inte samma inverkan beroende på signernivån som används. För företag skiljer sig tre situationer:

Enkel elektronisk signatur (SES): används för ändringsavtal av lågt värde, mottagningsbekräftelser, interna formulär. Ingen omedelbar uppdateringsskyldighet. Beviseringsreglerna förblir reglerade av civil rätt (art. 1366-1367) och inte direkt av eIDAS.

Avancerad elektronisk signatur (AdES/AdESQC): företag som använder B2B-lösningar för affärsavtal, demateriaiserade arbetsavtal eller fastighetshandlingar måste verifiera att deras leverantör upprätthåller överensstämmelse med ETSI-standarderna EN 319 132 (XAdES), EN 319 122 (CAdES) och EN 319 142 (PAdES) i deras reviderade versioner för eIDAS 2. Dessa standarder kommer att publiceras av ETSI senast slutet av 2025.

Kvalificerad elektronisk signatur (QES): kvalificerade leverantörer (QTSP) måste genomgå en ny eIDAS 2-ackreditering. Övergångsperioden ger en rimlig tidsfrist (till 2027), men anbudsförfrågningar som lanseras från 2025 bör integrera en eIDAS 2-överensstämmelseklausul i urvalskriterierna. För organisationer som jämför tillgängliga alternativ tillåter jämförelsen av elektroniska signeringslösningar att utvärdera redigerarnas mognad kring detta ämne.

Nya krav för kvalificerade betrodda tjänstleverantörer (QTSP)

EIDAS 2 skärper kraven på QTSP på tre huvudpunkter:

1. Systemsäkerhet: obligatorisk anpassning till NIS2 (direktiv (EU) 2022/2555) för QTSP, nu klassificerad som väsentliga enheter. Detta föranleder anmälningsskyldigheter för incidenter inom 24 timmar, årliga säkerhetskontroller och etablering av kontinuitetsberedskapsplaner.

1. Stärkt ansvar: artikel 13 eIDAS 2 utökar QTSP:s ansvarsregim. I fall av bevisad misslyckande är bevisbördan omvänd: leverantören måste bevisa att det inte har gjort något grovt fel, inte tvärtom.

1. Obligatorisk interoperabilitet: QTSP:er måste exponera standardiserade API:er kompatibla med EUDIW för att möjliggöra ursprunglig integration av identitetsplånböcker. Detta krav kommer att accelerera moderniseringen av integrationsgränssnitt tillgängliga för utvecklare.

För företag som överväger att byta leverantör i denna kontext är migrering från DocuSign eller YouSign till en eIDAS 2-kompatibel lösning en åtgärd som bör förutses redan nu snarare än brådskande 2027.

Personuppgifter och eIDAS 2: artikuleringen med GDPR

EUDIW samlar in och behandlar personuppgifter om identitet. Förordningen eIDAS 2 föreskriver uttryckligt (skäl 11 och artikel 5 bis §14) att hela anordningen måste överensstämma med GDPR (förordning (EU) 2016/679). Flera uppmärksamhetspunkter:

• Selektiv avslöjande: plånboken måste tillåta användaren att endast dela de attribut som är strikt nödvändiga för transaktionen (minimieringsprincip, art. 5(1)(c) GDPR). För en avtalsunderskrift kunde endast verifikation av myndigheters ålder delas utan att avslöja det fullständiga födelsedatumet.
• Överföringar utanför EU: personuppgifter som behandlas inom ramen för EUDIW kan inte överföras utanför EES utan lämpliga garantier (art. 46 GDPR). Leverantörer som använder amerikanska molninfrastrukturer måste dokumentera sin överensstämmelse.
• Lagring av signeringsloggar: arkiveringen av signeringsbevis måste respektera uppbevaringstiderna i proportion till dokumentets karaktär. Den nya kvalificerade arkiveringstjänsten eIDAS 2 erbjuder ett tekniskt ramverk för att svara på detta krav.

Företag som förvaltar internationella arbetsavtal påverkas särskilt av denna GDPR/eIDAS 2-artikulering, särskilt när signerare bor utanför EU.

Rättslig ram tillämplig på övergången från eIDAS 1 till eIDAS 2

Referenstexterna

Övergången bygger på ett lager av texter som det är viktigt att behärska:

På europeisk nivå:

• Förordning (EU) nr 910/2014 (eIDAS 1): fortfarande i kraft tills den gradvis upphävs av eIDAS 2. Definierar de tre nivåerna av signatur (SES, AdES, QES) och QTSP-systemet.
• Förordning (EU) 2024/1183 (eIDAS 2): trädde i kraft den 20 maj 2024. Ändrar väsentligt eIDAS 1 utan att omedelbar upphäva det. Bestämmelserna om EUDIW tillämpas från publicering av genomförande åtgärder.
• Förordning (EU) 2016/679 (GDPR): tillämpas fullt ut på behandlingen av identitetsuppgifter inom ramen för EUDIW och signeringsprocesser. Artikel 5 bis §14 i eIDAS 2 påminner om denna underordning uttryckligt.
• Direktiv (EU) 2022/2555 (NIS2): gör cybernetisk säkerhet skyldigheter för QTSP, nu klassificerad som väsentliga enheter. Genomförd i fransk rätt genom förordning nr 2024-821 den 20 juni 2024 (under dekretutgång).

På fransk nivå:

• Civilesetsen, artiklarna 1366 och 1367: grund för bevisvärdet för skrivna elektroniska bidrag. Artikel 1366 fastställer ekvivalensen mellan elektronisk skrift och papper under villkor. Artikel 1367 ger kvalificerad signatur (QES) samma bevisvärde som en handskriftsunderskrift.
• Dekret nr 2017-1416 från 28 september 2017: klargör villkoren för elektroniska signeringars användning i privata avtalshandlingar. Förblir tillämplig under övergångsperioden.
• Allmän säkerhetshänvisning (RGS) v2: för franska myndigheter kräver RGS användningen av lösningar refererade av ANSSI. Dess uppdatering för att integrera eIDAS 2 förväntas under 2026.

ETSI-standarder som är tillämpliga

ETSI-standarder utgör nivå 3 i den normativa hierarkin. De nuvarande gällande versionerna:

• EN 319 132-1/2: XAdES-format (avancerade XML-signaturer)
• EN 319 122-1/2: CAdES-format (avancerade CMS-signaturer)
• EN 319 142-1/2: PAdES-format (avancerade PDF-signaturer)
• EN 319 401: allmänna krav för betrodda tjänstleverantörer
• EN 319 411-1/2: krav för AC:er som utfärdar kvalificerade certifikat

Dessa standarder kommer att revideras senast slutet av 2025 för att integrera de nya eIDAS 2-kraven. Kontrakt med QTSP måste innehålla en klausul om uppdatering till de reviderade versionerna utan extrakostnad.

Juridiska risker för icke-överensstämmelse

En signatur utfärdad av en leverantör som inte längre skulle vara ackrediterad efter 2027 skulle inte automatiskt förlora sitt juridiska värde för redan signerade dokument, men den skulle inte längre dra nytta av den juridiska antagandet om ekvivalens med en handskriftsunderskrift (art. 25 eIDAS). Bevisbördan för integritet och signeraridentitet skulle då fullt ut falla på företaget vid en eventuell rättegång. Denna bevaisrisk är särskilt känslig för handlingar vars föreskrivelse är lång (5 år i handelsfrågor, 30 år för fastighetsrättigheter).

Användarscenarier: hur organisationer förutser övergången eIDAS 2

Scenario 1: ett advokatkontor med 25 anställda effektiviserar sin dokumentöverenstämmelse

Ett advokatkontor med specialisering på affärsrätt, med cirka 25 anställda och intensiv verksamhet med underteckning av mandat, handlingar för avyttring och förlikningsmemo, använde fram till 2024 en avancerad signeringslösning (AdES) för samtliga flöden. Vid meddelandet om eIDAS 2 genomförde kontoretet en granskning av sina 1 200 årligt signerade dokument för att identifiera de som kräver QES enligt sitt kammarkollegiums nya rekommendationer.

Resultat: 15 % av handlingarna (cirka 180 per år) omklassificerades till kvalificerad signering, vilket gjorde det möjligt att säkra dessa dokumentens bevislager. Kontortet förhandlade med sin signeringsleverantör en klausul som garanterar eIDAS 2-överensstämmelse från publiceringen av genomföranderegler, utan extrakostnad. Den administrativa tiden för verifiering av signerares identitet minskade med 40 % tack vare förutseendet av den framtida EUDIW-integrationen som planeras för 2026.

Scenario 2: ett industriellt SMF med 150 anställda säkrar sin avtalskedjningen för leverantörer

Ett industriellt SMF som förvaltar cirka 350 leverantörsavtal per år — inköpsorder, NDA:er, ramavtal — fungerade med två olika signeringslösningar för dess interna och externa flöden, vilket skapade en fragmentering av revisionsbevis. I samband med övergången till eIDAS 2 och de nya kraven på kvalificerad arkivering bestämde IT-avdelningen att förena sin plattform.

Genom migrering till en enhetlig lösning som integrerar kvalificerad elektronisk arkivering (framtida eIDAS 2-kategori) minskade SMF kostnaderna för säker lagring med 30 % och konsoliderade sina signeringsbevis i ett digitalt kassavalv som uppfyller kraven. Hela dokumentationen är nu reviderbar på mindre än 2 minuter vid leverantörskontroller — ett växande krav från deras beställare inom bilindustrin.

Scenario 3: ett sjukhusföretag med cirka 600 bäddplatser förbereder EUDIW-integreringen

Ett offentligt sjukhusföretag använde kvalificerad elektronisk signering för sina medicinska avtal och offentliga upphandlingar, i överensstämmelse med kraven i offentlig upphandlingskoden. Med eIDAS 2 identifierade IT-tjänsten två prioriterade problem: framtida integration av "France Identité"-plånboken för praktiserande läkare som arbetar på anläggningen, och NIS2-överensstämmelse för sin QTSP.

Sjukhusföretaget skrev in ett specifikt paket "eIDAS 2-överensstämmelse" i sitt digitala direktschema 2025-2028, med en budgetprognos på 45 000 € för teknisk migrering och personal utbildning. Målet är att kunna acceptera signaturer via EUDIW från den nationella utplaceringen som planeras för november 2026, vilket minskar avtalsslutningens tidsfrister med fristående hälsovårdspersonal från 3 dagar till mindre än 4 timmar i genomsnitt enligt tillgängliga sektorbenchmarks.

Slutsats

Övergången från eIDAS 1 till eIDAS 2 är inte ett brott utan en strukturerad utveckling med en exakt tidsplan som sträcker sig till 2027. Effekterna på elektronisk underskrift är reella — utökning av kvalificerade tjänster, ankomsten av EUDIW, skärpning av NIS2-kraven för QTSP — men överskådliga så länge de förutses. Företag som agerar nu drar nytta av ett manöverutrymme för att granska sina arbetsflöden, säkra sina kontrakt med sina leverantörer och utbilda sina lag utan regelkrävande brådska.

Certyneo assisterar företag i denna övergång med en tydlig eIDAS 2-överensstämmelsekarta, signeringsformat som hålls uppdaterade och en arkitektur redo för EUDIW-integration. Redo att säkra dina signeringsflöden i denna nya regulatoriska ram? Upptäck våra erbjudanden och börja kostnadsfritt på Certyneo.