Calendrier eIDAS 2 : déploiement UE 2026-2027

Giriş: eIDAS 2 takviminin organizasyonunuz için neden kritik olduğu

(AB) 2024/1183 yönetmeliğinin yürürlüğe girmesinden bu yana — yaygın olarak eIDAS 2 olarak adlandırılan — Avrupa dijital kimlik ve elektronik imza çerçevesi, 2014 yılından bu yana en derin dönüşümü yaşamaktadır. Revize edilen metin resmen benimsenmiş olsa da, 2024 ile 2027 arasında yayılmış olan operasyonel dağıtımı, şimdi CIO'ların, hukuk müşavirlerinin ve uyum sorumluların dikkatini çekmektedir. Birleşik Avrupa'da eIDAS 2 yönetmeliğinin resmi dağıtım takvimini anlamak, yükümlülükleri önceden planlamaya, sözleşme süreçlerinizi güvenli hale getirmeye ve uyum sapmasından kaçınmaya olanak tanır. Bu makale temel aşamaları, beklenen uygulama eylemlerini ve Fransa ve Avrupa işletmeleri için somut etkilerini açıklamaktadır.

---

1. Hatırlatma: eIDAS 2 nedir ve bu revizyon neden yapılmıştır?

1.1 eIDAS 1'in (2014) sınırlamaları

Orijinal eIDAS yönetmeliği (n° 910/2014), Avrupa'da dijital güven temellerini atarak: elektronik imzaların karşılıklı tanınması, nitelikli (QES), basit (SES) ve ileri (AdES) seviyelerin oluşturulması ve güven hizmetleri sağlayıcılarının (Trust Service Providers, TSP) akreditasyonu. Ancak on yıllık uygulama, birkaç önemli boşluğu ortaya çıkarmıştır:

• Ulusal parçalanma: 2022 yılında Avrupa Komisyonu'na göre Avrupa vatandaşlarının %19'dan azı sınır ötesi elektronik kimlik şemasını kullanıyordu.
• Dijital kimlik cüzdanı eksikliği: eIDAS 1, her vatandaş veya işletmenin tüm Üye Devletlerde kimliğini çevrimiçi olarak kanıtlamasını sağlayan evrensel bir araç öngörmedi.
• Kısmi kapsam: nitelikli elektronik arşivleme hizmetleri veya nitelik attestasyonları uyumlu hale getirilmedi.

1.2 eIDAS 2'nin yapısal katkıları

11 Nisan 2024 tarihinde kabul edilen ve 30 Nisan 2024 tarihinde AB Resmi Gazetesi'nde yayınlanan (AB) 2024/1183 yönetmeliği özellikle şunları sunmaktadır:

• European Digital Identity Wallet (EUDI Wallet): her Üye Devletin vatandaşlarına sunması gereken dijital kimlik cüzdanı.
• Yeni nitelikli güven hizmetleri: nitelikli elektronik nitelik attestasyonları, nitelikli elektronik arşivleme, uzaktan imza oluşturma cihazı yönetimi.
• Uygulama alanının genişletilmesi: çevrimiçi büyük platformlar (DSA yönetmeliği anlamında) kullanıcı kimlik doğrulaması için EUDI Wallet'i kabul etmek zorunda kalacak.
• Yönetim gücünün güçlendirilmesi: TSP'ler için daha katı uyum sertifikasyonu çerçevesi oluşturulması.

Regülasyonun temellerini derinlemesine incelemek için, eIDAS 2.0 hakkında kapsamlı rehberimiz tüm düzenleyici gelişmeleri detaylandırmaktadır.

---

2. eIDAS 2'nin resmi dağıtım takvimi: aşamalar ve 2024-2027 temel tarihleri

eIDAS 2 yönetmeliği operasyonel dağıtımını birden fazla mekanizm etrafında yapılandırır: yürürlüğe giriş, Komisyon uygulama eylemleri, ulusal aktarım ve araçların etkili dağıtımı. İşte resmi yol haritası.

2.1 Faz 1 — Yürürlüğe giriş ve delege edilen eylemler (Mayıs 2024 – 2025 sonu)

| Tarih | Aşama | |---|---| | 30 Nisan 2024 | (AB) 2024/1183 yönetmeliğinin AB Resmi Gazetesi'nde yayınlanması | | 20 Mayıs 2024 | Resmi yürürlüğe giriş (yayından 20 gün sonra) | | T3-T4 2024 | Uygulama eylemleri üzerinde çalışma gruplarının başlatılması (eIDAS 2 Araç Kutusu) | | 2024 sonu | EUDI Wallet için ilk teknik referans spesifikasyonlarının yayınlanması (ARF — Mimari Referans Çerçevesi v1.4) | | T1-T2 2025 | Portföy teknik spesifikasyonları hakkında Komisyon uygulama eylemleri (madde 5a tarafından öngörülen 12 aylık süre) | | T3 2025 | Yeni nitelikli güven hizmetlerine ilişkin uygulama eylemleri |

Avrupa Komisyonu Ocak 2025'te EUDI Wallet'in ortak teknik spesifikasyonları hakkında ilk uygulama eylemleri paketini yayınlamıştır. Bu metinler, Üye Devletler için zorunlu teknik temel oluşturmaktadır.

2.2 Faz 2 — Pilot proje dağıtımı ve ulusal aktarımlar (2025-2026)

Büyük ölçekli pilot program (Large Scale Pilots — LSP) çerçevesinde, dört konsorsiyum 2023'ten bu yana EUDI Wallet'i 25 Üye Devlet arasında 360'tan fazla kullanım durumunda test etmiştir:

• EU Digital Identity Wallet Consortium (EUDIW) — 140'tan fazla kuruluş
• NOBID — dijital ödemelere odaklanmış
• POTENTIAL — kimlik ve nitelikler
• DC4EU — diplomalar ve mesleki nitelikler

Bu pilot sonuçları doğrudan uygulama eylemlerini bilgilendirir. Ulusal düzlemde, Üye Devletler uygulama eylemlerinin yürürlüğe girmesinden 24 aya kadar ulusal portföy dağıtmak için sahibiz. Pratikte, bu, ulusal dağıtımların çoğunluğunun 2026 ortası ile 2026 sonu arasında bekleneceği anlamına gelir.

| Dönem | Beklenen eylemler | |---|---| | T1-T2 2026 | Eksik uygulama eylemlerinin nihai kabulü (nitelikli arşivleme, nitelik attestasyonları) | | T2 2026 | Öncü Devletlerdeki (Almanya, Hollanda, İspanya) üretim sürümlerinin ilk versiyonları | | T3-T4 2026 | 27 Üye Devlet'te kademeli dağıtım — mesleki kullanıcılara açılış | | 2026 sonu | Çevrimiçi kamu hizmetleri için EUDI Wallet'i kabul etme yükümlülükleri (mad. 5b) |

Fransa, Ulusal Bilgi Sistem Güvenliği Ajansı (ANSSI) ve Sayısal İç Bakanlık Yönetimi (DINUM) aracılığıyla, 2025 yılında uyum çalışmalarını başlatmıştır. Fransız portföy projesi, teknik altyapı olarak Fransa Kimliği'ne dayanmaktadır.

2.3 Faz 3 — Özel sektör için kabul yükümlülükleri (2027)

Bu, işletmeler için en etkili aşamadır. eIDAS 2 yönetmeliğinin 5b maddesi, belirli özel sektör hizmet sağlayıcılarının çevrimiçi kimlik doğrulaması için EUDI Wallet'i kabul etmesi gerektiğini şu alanlarda empoze eder:

• Bankacılık ve finansal hizmetler (hesap açma, KYC)
• Hareketlilik (ulaştırma, araç kiralama)
• Enerji (tüketici sözleşmeleri)
• Çok büyük çevrimiçi platformlar (DSA anlamında, Avrupa'da 45 milyondan fazla aylık aktif kullanıcı)
• Telekomünikasyon

Zorunlu kabul süresi, her Üye Devlet'te portföy sunulduktan sonra 12 ay olarak belirlenmiştir; bu, çoğu sektör için gerçek hedefi 2027 ilk yarısında yerleştirir.

eIDAS uyumlu elektronik imza kullanan işletmeler için sorun, belge akışlarının dijital portföylerden çıkan yeni kimlik nitelikleriyle uyumlu olmasını sağlamaktır.

---

3. Güven hizmetleri sağlayıcıları (TSP) ve SaaS editörleri üzerindeki etki

3.1 Nitelikli TSP'ler için yeni yükümlülükler

Nitelikli güven hizmetleri sağlayıcıları (QTSP), eIDAS 2 tarafından tanıtılan yeni hizmet kategorilerini bütünleştirmek için sertifikasyon uygulamalarını güncellemelidir:

• Nitelikli elektronik nitelik attestasyonları: dijital sürüş belgesi, diplomalar, mesleki nitelikler
• Nitelikli elektronik arşivleme: imzalı belgelerin uzun vadede bütünlüğünü garanti eden hizmet
• Uzaktan imza oluşturma cihazı yönetimi (RQSCD): bulut çözümleri için çerçevenin açıklığı

QTSP'ler, revize edilen ETSI normlarının yayınlanmasından (T2-T3 2026 beklenen) sonra 18 aya kadar yeni teknik gereksinimlerle uyum sağlamak zorundadır; bu da ilk yeniden sertifika dönemlerini 2027'de konum almaktadır.

3.2 Bu işletme kullanıcıları için ne anlama gelir?

Kurumunuz elektronik imza SaaS sağlayıcısını kullanıyorsa — sertifikalı QES çözümü veya ileri imza aracı olsun — şimdi birkaç uyum sorusu ortaya çıkmaktadır:

1. Sağlayıcınız eIDAS 2 gereksinimlerini entegre etmek için sertifikasyon güncellemesinde mi?
2. İmza iş akışlarınız EUDI Wallet'lerden kaynaklanan kimlikleri almaya hazır mı?
3. Arşivleme politikanız gelecekteki nitelikli elektronik arşivleme gereksinimlerini karşılıyor mu?

Elektronik imza çözümleri karşılaştırması analizleri şimdi eIDAS 2 yol haritası kriterini anahtar ayırıcı faktör olarak birleştirmektedir.

3.3 Referans teknik standartları

ETSI (Avrupa Telekomünikasyon Standartları Enstitüsü), eIDAS 2'nin temel aldığı uyumlaştırılmış normları üretmekle görevlidir. 2025-2027 çalışma programı şunları kapsıyor:

• ETSI EN 319 411-1 ve -2 (revize): sertifika yayınlayan TSP'ler için politikalar ve gereksinimler
• ETSI EN 319 132-1 (XAdES) ve EN 319 122-1 (CAdES): ileri ve nitelikli imza formatları
• ETSI TS 119 500: nitelikli elektronik arşivleme hizmetleri güven çerçevesi
• ISO/IEC 18013-5: mDL (mobil Sürüş Belgesi) nitelik sunumu protokolü, EUDI Wallet'in teknik tabanı olarak kabul edilmiş

---

4. Fransa'da eIDAS 2 takvimi: ilerleme durumu ve özgü yükümlülükler

4.1 ANSSI'nin ulusal yönetişimdeki rolü

Fransa'da ANSSI, eIDAS kapsamında güven hizmetleri sağlayıcılarının gözetim otoritesidir. eIDAS 2 perspektifinde, yönetmektedir:

• Yeni nitelikli hizmetleri entegre etmek için genel güvenlik referans çerçevesinin (RGS) uyarlanması
• eIDAS işbirliği grubunun (yönetmeliğin 46e maddesi) çalışmalarına katılım
• Fransa QTSP'lerinin uyum denetiminin gözetimi

ANSSI, Mart 2025'te eIDAS 2 tarafından Fransa çerçevesinin uyarlanma adımlarını belirten bir ulusal yol haritası yayınlamıştır; Eylül 2026'da bir kontrol noktası öngörülmüştür.

4.2 Büyük Fransız işletmeleri için yükümlülükler

DSA eşiklerini aşan veya 5b maddesi tarafından hedeflenen sektörlerde faaliyet gösteren Fransız işletmeleri şimdiden etki analizi yapmalıdır. Önerilen adımlar şunlardır:

1. Kimlik akışlarının haritası çıkarılması: kimlik doğrulamanın gerekli olduğu süreçleri belirlemek (KYC, sözleşme imzalaması, müşteri alanlarına erişim)
2. Mevcut sağlayıcılar değerlendirmesi: eIDAS 2 uyum yol haritalarını doğrulama
3. CGV ve imza politikaları güncelleme planı: EUDI Wallet'lerden kaynaklanan kimlik niteliklerinin entegrasyonunu önceden planlama
4. Hukuk ve BT takımlarının eğitimi: teknik ve yasal çerçeve önemli ölçüde gelişmektedir

Önemli sözleşme hacimlerini yöneten işletmeler için, işletmede elektronik imza araçları eIDAS 2'ye hizmet kesintisi olmaksızın evrim yapabilme kapasiteleri açısından değerlendirilmelidir.

4.3 Diğer Avrupa yönetmelikleriyle irtibatlandırılması

eIDAS 2 dağıtımı silo içinde gerçekleşmez. Yakından irtibatlıdır:

• GDPR (2016/679): EUDI Wallet'lerde bulunan kimlik niteikleri, minimizasyon ve amaç ilkeleri uyarınca kişisel veri kurallarına tabidir
• NIS 2 Yönergesi (2022/2555): TSP'ler, NIS 2 anlamında temel kuruluşlardır ve güçlendirilmiş siber güvenlik gereksinimlerini karşılamalıdır
• DORA Yönetmeliği (2022/2554): finansal kuruluşlar, işlemler için güven hizmetlerini kullanan, bağımlılıkları ICT risk haritasına entegre etmelidir
• Veri Yönetmeliği (2023/2854): kimlik verileri sektörler arasında birlikte çalışabilirlik

NIS 2 uyumluluğuna zaten başlayan işletmeler, özellikle risk yönetimi ve iş sürekliliği yönlerinde, eIDAS 2 uyumluluğuna yönelik anlamlı sinerji bulacaklardır.

---

5. Organizasyonunuzu şimdi hazırlamak: 2026 kontrol listesi

5.1 Hukuk ve uyum yönetimi için

• [ ] Konsolide versiyonda (AB) 2024/1183 yönetmeliğini okuyun ve sektörünüze uygulanabilir maddeleri belirleyin
• [ ] Güncelleme gerektiren sözleşmeleri ve süreçleri haritalandırın (imza maddeleri, koruma politikası)
• [ ] Güncel elektronik imzalarınızın eIDAS 2 bağlamında sınır ötesi hukuki geçerliliğini doğrulayın
• [ ] Nitelikli nitelik attestasyonlarının entegrasyonunu önceden planlayın (ör. notaryal veya tıbbi eylemler için mesleki yeterlilik doğrulaması)

5.2 Bilgi sistemleri yönetimleri için

• [ ] Teknik yığının EUDI Wallet protokolleriyle (OpenID4VP, ISO 18013-5) uyumluluğunu değerlendirin
• [ ] Elektronik imza editörleri arasında güncellenecek API'leri belirleyin
• [ ] 2026'da mevcut pilot portföylerle entegrasyon testleri planlanması
• [ ] Komisyon uygulama eylemlerine (AB Resmi Gazetesi bildirimlerine) ilişkin izleme sistemi kurun

5.3 İş yönetimi için

Uyumluluğun iyi önceden planlanmasından beklenen kazançlar somuttur: EUDI Wallet önceden doğrulanmış kimliğine bağlı olarak imza akışlarında frikiyon azalması, KYC süreçleri hızlandırılması ve kimlik doğrulama maliyetlerinin azalması. Geçişinizin yatırım getirisini değerlendirmek için, elektronik imza ROI hesaplayıcısı eIDAS 2 uyumluluğu için spesifik parametreleri içermektedir.

Son olarak, diğer çözümlerden eIDAS 2 için yerel olarak hazırlanan bir platforma taşınmayı düşünen organizasyonlar, DocuSign veya YouSign'dan Certyneo'ya geçiş rehberi'nden danışabilir; bu, hizmet kesintisi olmaksızın bir geçişin teknik ve sözleşme aşamalarını detaylandırmaktadır.

eIDAS 2 dağıtımına uygulanabilir hukuki çerçeve

Kurucu metinler ve normlar hiyerarşisi

eIDAS 2 yönetmeliğinin dağıtımı, uyum yükümlülüklerine tabi herhangi bir kuruluş için hakimiyeti gerekli olan tabakalaşmış bir yasal kurum içinde yer almaktadır.

Avrupa Parlamentosu ve Konseyin (AB) 2024/1183 Yönetmeliği — "eIDAS 2" diye adlandırılmakta — referans normu oluşturmaktadır. (AB) n° 910/2014 (eIDAS 1) yönetmeliğini, revizyon yaptığı noktalar hakkında yürürlükten kaldırır ve değiştirir; fakat mevcut sertifikasyonların 51 ve sonrası maddeler tarafından öngörülen geçiş dönemleri boyunca geçerliliği devam eder. 30 Nisan 2024 tarihinde AB Resmi Gazetesi'nin L serisinde yayınlanmış olup, 20 Mayıs 2024 tarihinde yürürlüğe girmiştir.

Fransız Medeni Kanunu, maddeler 1366 ve 1367, elektronik imzayı, imzalayanın tanımlanması ve belge bütünlüğü koşullarını karşıladığında el imzasına eşdeğer olarak kabul etmektedir. Bu hükümler, AB hukuku ve eIDAS tarafından yorumlanır; bu, AB hukuku primasyı ilkesi uyarınca üstün hukuk meydana gelir.

Yönetmelik (AB) 2016/679 (GDPR) eIDAS Wallet ve güven hizmetlerinin çerçevesi içinde yapılan kişisel veri işlemlerine tamamen uygulanmaktadır. Kimlik niteikleri (biyografik veriler, nitelikler, belgeler) GDPR 4. madde 1. parçası anlamında kişisel verileri oluşturmaktadır. Minimizasyon ilkesi (mad. 5 par. 1 harf c) özellikle ilgilidir: sağlayıcılar işlemin amacına kesinlikle gerekli olan niteikleri toplamalıdır.

Yönetmelik (AB) 2022/2555 (NIS 2), 21 Mayıs 2024 tarih 2024-449 Yasası ile Fransız hukuku içinde kabul edilerek, nitelikli güven hizmetleri sağlayıcılarını siber risk yönetimi, olay bildirimi ve tedarik zinciri güvenliğinin güçlendirilmiş yükümlülükleri altında temel kuruluşlar arasında sınıflandırmaktadır.

ETSI normları eIDAS 2'nin uyumlaştırılmış teknik referans çerçevesini oluşturmaktadır:

• ETSI EN 319 401: TSP'ler için genel gereksinimler
• ETSI EN 319 411-1/-2: nitelikli sertifika yayınlayan TSP'ler için politikalar
• ETSI EN 319 132-1: XAdES formatı (XML ileri imzalar)
• ETSI EN 319 122-1: CAdES formatı (CMS ileri imzalar)
• ETSI EN 319 162-1: ASiC formatı (imza konteynerleri)

Uyumsuzluk durumunda yasal riskler

eIDAS 2 yükümlülüklerine uyulmaması kuruluşları birkaç riske maruz bırakmaktadır:

1. İmzaların karşı uyuşmazlık başarısızlığı: yeni gereksinimlerle uyumlu olmayan bir TSP aracılığıyla yapılan elektronik imza, imza geçerliliğinin yasal varsayımını kaybedebilir; imzalı sözleşmelerin kanıt değerini yeniden sorgular.
2. İdari yaptırımlar: ulusal gözetim otoriteleri (Fransa'da ANSSI) düzeltici önlemler, uyum emri veya TSP'ler için akreditasyon geri çekme işlemi yapabilir.
3. Sözleşme sorumluluğu: uyumsuz araçlar kullanan işletmeler, bir davada elektronik imza geçerliliği sorgulanırsa müşterileri ve ortaklarına karşı sorumluluğu görebilir.
4. GDPR ile birikim: EUDI Wallet'in kimlik niteiklerinin uyumsuz yönetimi, aynı anda CNIL yaptırımlarına (küresel yıllık ciro %4'üne kadar) maruz kalabilir.

eIDAS 2 takvimi karşısında somut kullanım senaryoları

Senaryo 1 — Sınır ötesi işlemler gerçekleştiren ara ölçekli hukuk bürosu

Avukatlar kümesinden oluşan bir avukatlık bürosu, 15 kadar avukat sayısında ve birkaç Üye Devlet (Belçika, Hollanda, İspanya) içeren birleşme satın alma işlemlerini düzenli olarak işlemektedir; nitelikli elektronik imza çözümü hissedar devri sözleşmeleri ve gizlilik protokolleri için kullanmaktadır. eIDAS 2 takviminin 2026 sonu boyunca uygulanmasıyla, büro iki önemli gelişim beklemektedir:

• Basitleştirilmiş kimlik doğrulaması: yabancı taraflar, kimlik niteiklerini ulusal EUDI Wallet'leri aracılığıyla sunarak, pasaport kopyaları değişimini ve yedek KYC prosedürlerini ortadan kaldıracak. Avrupa Komisyonu'nun LSP raporlarından elde edilen tahminlere göre, kimlik doğrulama aşamasında zaman kazancı, ilgili yetki alanlarına bağlı olarak %40 ile %60 arasında tahmin edilmektedir.
• Güçlendirilmiş kanıt değeri: nitelikli EUDI Wallet'lerden gelen kimlikle imzalanan eylemler, sınır ötesi davalarda dava riskini azaltarak, daha da sağlam bir yasal varsayımdan yararlanacak.

Büro, sektör tarafından kabul edilen bir kaynaktan T3 2026'nın önüne (zorunlu kabul dönemine yaklaşık altı ay önce) bir platforma taşınmayı hedeflemektedir.

Senaryo 2 — Yüksek hacimde sağlayıcı sözleşmeleri yöneten KOBİ

Endüstriyel ekipman sektöründe bir KOBİ, yılda yaklaşık 250 sağlayıcı sözleşmesi yönetmektedir; %30'u Fransa dışı Avrupa ortakları ile yapılmaktadır. Mevcut süreç — Kbis talebi, kimlik kopyası, manuel doğrulama — sektör benchmarkları uyarınca her dossye için ortalama 2,5 saat harcanmaktadır.

EUDI Wallet'in iş akışına 2027 yılına kadar entegre edilmesiyle, KOBİ tahmin etmektedir:

• Kimlik doğrulama zamanında %55 ile 70 arasında azalma: nitelikli niteliklerle (kayıt numarası, yasal temsil)
• Yabancı sağlayıcılardan belgeler isteğinde %80 azalma
• Belge sahteciliğine karşı artırılmış güvenlik: nitelikler, şifreli olarak doğrulanabilir

KOBİ, EUDI Wallet'i gözden geçirmek ve hukuk müşaviri ile değişiklikleri bir bağlantıyla entegre etmek için genel satın alma koşullarını güncelleme ihtiyacını belirlemiştir.

Senaryo 3 — Dijital tıbbi eylemler için uyumluluğu önceden planlayan hastane grubu

900 yatak civarında ve üç alan üzerinde dağılmış bir hastane grubu, hassas tıbbi belgelerin elektronik imzasını