eIDAS 2: 2026'da Açıklanan Yeni Avrupa Yönetmeliği

Giriş: eIDAS 2 Avrupa işletmeleri için neden her şeyi değiştiyor

20 Mayıs 2024'te yürürlüğe giren ve uzun bir yasal geçişin ardından, resmi olarak Yönetmelik (AB) 2024/1183 olarak adlandırılan eIDAS 2 yönetmeliği, elektronik kimlik ve Avrupa'daki güven hizmetleri alanında yapılmış en iddialı reformu temsil eder. 2014 yılının orijinal eIDAS yönetmeliğini (n°910/2014) yürürlükten kaldırır ve kısmen değiştirir; aynı zamanda mevcut altyapı ile ileri uyumluluğunu korur. eIDAS uyumlu elektronik imza kullanan işletmeler için bu yeniden yapılandırma, yeni yükümlülükleri, benzersiz fırsatları ve 2026'ya kadar ve sonrası sıkı bir uyum zaman çizelgesi getirmektedir. Bu makale, metnin temel hükümlerini, operasyonel etkilerini ve kuruluşunuzun buna nasıl hazırlanabileceğini derinlemesine açıklamaktadır.

---

eIDAS 2 Yönetmeliğinin Temelde Değiştirdikleri

2014 Yönetmeliğinden 2024 Versiyonuna: Yapısal Bir Yeniden Yapılama

2014 orijinal eIDAS yönetmeliği, elektronik kimlik şemaları arasında karşılıklı tanınmanın temelini atmıştı ve güven hizmetleri (imza, mühür, zaman damgası, vb.) için birleşik bir hukuki çerçeve kurmuştu. Ancak on yıl sonra sınırlamalar açık hale gelmişti: bildirilmiş eID'lerin düşük benimseme oranı, ulusal çözümlerin parçalanması, vatandaşlar için evrensel bir dijital cüzdan olmaması ve özellikle web kullanımlarına uyum eksikliği (GAFAM, güven çerçevesinden hariç tutulmuş).

eIDAS 2 bu boşlukları üç ana eksende düzeltiyor:

1. Avrupa Dijital Kimlik Cüzdanı (EUDI Wallet) — her Üye Devlet, en geç Kasım 2026'da, her Avrupalı vatandaş veya ikamet edene, kimlik özelliklerini (kimlik kartı, ehliyet, diplomalar vb.) güvenli bir şekilde depolayıp sunmasını sağlayan bir cüzdan uygulaması sunmalıdır.
2. Nitelikli güven hizmetlerinin genişletilmesi — metin yeni nitelikli hizmetleri ekler: nitelikli elektronik arşiv yönetimi (QESAP), nitelikli kimlik özelliği raporları (QEAA), nitelikli elektronik defterler (QLED) ve uzaktan imza oluşturma cihazlarının yönetimi (QRCD).
3. Büyük platformlar için yükümlülük — geniş ölçekli çevrimiçi hizmet sağlayıcıları (sosyal ağlar, pazaryerleri), kullanıcı kimlik doğrulaması için EUDI cüzdanını kabul etmek zorunda olacaklar.

EUDI Wallet Portefüyü: Mimari ve İşleyişi

EUDI Wallet, eIDAS 2'nin merkezinde yer almaktadır. Somut olarak, her Üye Devlet tarafından sunulan veya sertifikalandırılan bir yazılım uygulaması olup, seçici öznitelik sunumunun merkezi olmayan bir modeline dayanır. Kullanıcı, yalnızca işlem için kesinlikle gerekli verileri iletir (minimizasyon prensibi, GDPR uyumlu).

Teknik açıdan, mimari Avrupa Komisyonu tarafından yayınlanan ve dört pilot konsorsyumu (DC4EU, EWC, POTENTIAL, NOBID) bir araya getiren Büyük Ölçekli Pilot (LSP) tarafından düzenli olarak güncellenen Architecture Reference Framework (ARF) spesifikasyonlarına dayanır. Seçilen veri biçimleri başlıca ISO/IEC 18013-5 (mDL/mDocs) ve W3C Verifiable Credentials'tır ve sınır ötesi birlikte çalışabilirliği garantiler.

İşletmeler için bu, müşterilerinin veya ortaklarının kimliğini, cüzdan aracılığıyla doğrulayabilecekleri ve kendileri belgeler toplama yönetmek zorunda olmadıkları anlamına gelir — KYC (Müşterini Tanı) freksiyonlarını ve belge dolandırıcılığı risklerini önemli ölçüde azaltır.

---

Güven Seviyeleri ve İmza Hiyerarşisi: Neler Değişiyor

QES / AdES / SES Hiyerarşisinin Muhafazası

Elektronik imzalar rejimi, eIDAS 2'nin 3. maddesinde (2014'ün terminolojisini yineleyerek ancak teknik gereksinimleri netleştirerek) tanımlanan üç seviye etrafında yapılandırılmış kalır:

• Basit Elektronik İmza (SES): minimum kanıt değeri, yaygın işlemler için uygun.
• Geliştirilmiş Elektronik İmza (AdES): imza sahibine özel bağlantı, sonraki herhangi bir değişikliği algılama yeteneği.
• Nitelikli Elektronik İmza (QES): tüm AB'de yazılı imzaya yasal eşdeğer (madde 25§2), nitelikli imza oluşturma cihazı (QSCD) aracılığıyla ve nitelikli bir sertifika temelinde yayınlanır.

Yenilik, QES'in artık nitelikli uzaktan imza hizmetleri (QRCD) aracılığıyla sunulabileceğinde yatmaktadır; akreditasyon koşulları, revize edilmiş metnin 29a ve 29b maddelerinde belirtilmiştir. Bu, en hassas işlemler — noter imzalı sözleşmeler, elektronik noter senetleri — için fiziksel akıllı kart gerektirmeden %100 dijital akışların yolunu açar.

Nitelikli Güven Hizmeti Sağlayıcılarına (QTSP) Etkisi

Certyneo gibi sertifikalandırılmış QTSP'ye dayanarak faaliyet gösteren Sağlayıcılar, eIDAS 2 tarafından sunulan yeni denetim gerekliliklerine hazırlanmalıdır. Madde 24, artık alt yükleme zincirine ilişkin güçlendirilmiş kontroller dayatırken, güvenlik olaylarının bildirilmesi gereksinimleri, NIS2 Direktifi'ninkilerle açıkça hizalanmıştır (ilk bildirim için 24 saatlik zaman sınırı). B2B bağlamında farklı imza seviyeleri hakkında daha derinlemesine bilgi için, lütfen işletmede elektronik imza hakkında kapsamlı rehberimizi inceleyin.

---

Dağıtım Zaman Çizelgesi ve 2025-2026 İçin İşletme Yükümlülükleri

Dağıtımın Temel Aşamaları

Yönetmelik (AB) 2024/1183, 30 Nisan 2024'te AB Resmî Gazetesi'nde yayınlanmış ve 20 Mayıs 2024'te yürürlüğe girmiştir. Teknik gereksinimleri netleştirmek için gerekli olan uygulama ve devredilen yasalar, kademeli olarak yayınlanıyor:

| Tarih | Yükümlülük | |---|---| | Mayıs 2024 | Yönetmeliğin yürürlüğe girmesi | | 2024 Sonu | ARF v2.0'a ilişkin uygulama yasalarının yayınlanması | | 2025 Ortası | İlk EUDI Cüzdanı pilot sertifikasyonları | | Kasım 2026 | Her Üye Devlette bir EUDI Cüzdanının zorunlu kullanılabilirliği | | 2027 | Büyük çevrimiçi platformlar tarafından zorunlu kabul |

İşletmelerin Şu An Yapması Gereken İşlemler

Elektronik imza çözümleri kullanan işletmeler için, 2025-2026'da üç öncelik kendini gösteriyor:

1. Güven zincirini denetleyin: İmza sağlayıcısının kendi Üye Devletinin QTSP (Güvenilir Liste) listesinde yer aldığını ve kullanılan sertifikaların revize edilmiş ETSI EN 319 401 ve EN 319 411-1 spesifikasyonlarına uygun olduğunu doğrulayın.

2. EUDI Cüzdanı Entegrasyonuna Hazırlanın: Düzenlenmiş sektörlerde faaliyet gösteren işletmeler (bankacılık, sigorta, sağlık, gayrimenkul) cüzdan aracılığıyla kimlik doğrulama akışlarından ilk etkilenenler olacaklar. API entegrasyonlarını 2025'ten itibaren hazırlamak önerilmektedir.

3. Saklama Politikalarını Gözden Geçirin: Yeni nitelikli elektronik arşiv hizmeti (QESAP), bazı sektörlerde (kamu alımları, ilaç sektörü) kendini dayatabilecek uzun vadeli koruma standartlarını tanıtır. Belge altyapınızın yükseltilmesinin finansal etkisini değerlendirmek için elektronik imzalar için ROI hesaplayıcısını kullanabilirsiniz.

---

Birlikte Çalışabilirlik, GDPR ve Dijital Egemenlik Sorunları

eIDAS 2 ve GDPR: Güçlendirilmiş Tamamlayıcılık

eIDAS 2'nin ana ilerlemelerinden biri, veri koruma ilkelerinin tasarımdan itibaren (privacy by design) açıkça entegre edilmesidir. Madde 5a§14 cüzdanın, kullanıcı işlem sırasında davranışını takip etmesine izin vermediğini hükmeder. Nitelikli kimlik özelliği yayıncıları (QEAA), sunulan tasdiklerin nasıl kullanıldığı hakkında bilgilendirilmez — bu, mevcut merkezi modelleri şiddetli biçimde kırar.

Bu mimari, unlinkability (non-correlatability) olarak nitelendirilir: aynı kullanıcı tarafından gerçekleştirilen iki farklı işlem, onun rızası olmadan ilişkilendirilemez. Bu garantı GDPR minimum gerekliliklerini aşarken aynı zamanda mükemmel şekilde hizalanır.

Jeopolitik Boyut: Çevrimiçi Kimlik Üzerinde Kontrolü Geri Alın

eIDAS 2 ayrıca bir egemenlik sorununa cevap veriyor. Bugün, çevrimiçi kimlik doğrulaması, "Google/Facebook/Apple ile Bağlan" düğmelerine büyük ölçüde bağımlıdır; bu, Amerikan teknoloji devlerine Avrupa çevrimiçi kimlik yönetiminde baskın bir konumu verir. Çok büyük platformları (Digital Services Act anlamında) EUDI Cüzdanını kimlik doğrulama aracı olarak kabul etmeye zorlayarak, eIDAS 2 birlikte çalışabilen ve egemen bir alternatif yaratır.

B2B işletmeleri için bu aynı zamanda eIDAS 2 uyumluluğunun kamu ve özel alım süreçlerinde bir sağlayıcı seçim kriteri haline gelebileceği anlamına gelir — bugün ISO 27001 sertifikasyonunun alım süreçlerinde temsil ettiği şeye benzer şekilde. Kuruluşunuz mevcut çözümü geliştirmeyi düşünüyorsa, DocuSign veya YouSign'dan Certyneo'ya göç rehberi kontrollü bir geçişin adımlarını detaylandırır.

eIDAS 2 ve Elektronik İmzaya Uygulanabilir Hukuki Çerçeve

Referans Metinleri

Parlement ve Konsey Yönetmeliği (AB) 2024/1183, 11 Nisan 2024, dijital kimlikle ilgili Avrupa çerçevesinin kurulmasıyla ilgili olarak Yönetmelik (AB) n°910/2014'ü (eIDAS 2) değiştirmiştir. AB Resmî Gazetesi'nde 30 Nisan 2024'te yayınlandı, 20 Mayıs 2024'te yürürlüğe girdi.

Yönetmelik (AB) n°910/2014 (eIDAS 1): bildirilmiş kimlik şemaları için "düşük", "önemli" ve "yüksek" güven seviyeleri ile ilgili maddeler de dahil olmak üzere değiştirilmemiş hükümleri için yürürlükte kalır.

Fransız Medeni Kanunu, maddeler 1366 ve 1367: elektronik yazı, yazı sahibi düzgün şekilde tanımlanmış ve belge bütünlüğü koşullarında düzenlenmiş olması koşuluyla, yazılı yazıyla aynı kanıt gücüne sahiptir. eIDAS 2 anlamında nitelikli elektronik imza (QES), bu gereksinimleri tamamen karşılar.

Yönetmelik (AB) 2016/679 (GDPR): EUDI Portefüyü bağlamında kimlik verilerinin işlenmesi, minimizasyon ilkeleri (madde 5§1c), amaç sınırlaması (madde 5§1b) ve tasarımdan itibaren veri koruma (madde 25) ve sorumluluğa tabi tutulur. Nitelikli sağlayıcılar, doğrulama işlemleri için ayrı veri sorumluları olarak hareket eder.

Yönetmelik (AB) 2022/2555 (NIS2): 12 Haziran 2024 tarihli Ordinans n°2024-528'de Fransız hukuku uyarlanmış, nitelikli güven hizmeti sağlayıcılarına siber risk yönetimi ve 24 saatlik olaylar bildirilmesi yükümlülükleri getirmektedir.

ETSI Standartları:

• EN 319 132 (XAdES) ve EN 319 122 (CAdES): ileri elektronik imza biçimleri.
• EN 319 401: güven hizmeti sağlayıcılarına genel gereksinimler.
• EN 319 411-1 ve 411-2: nitelikli sertifika yayan CA'lar için politika ve güvenlik gereklilikleri.
• EN 319 521: nitelikli imza koruma hizmetleri (QESAP) gereklilikleri.

İşletmeler için Yükümlülükler ve Yasal Riskler

Sözleşmeye bağlı bağlamda elektronik imzaları kullanan herhangi bir işletme, seçilen imza seviyesinin eylem değeri ve niteliğine uygun olduğundan emin olmalıdır. Yasal olarak imza gerektiren işlemler için (sözleşme taahhütleri, iş sözleşmeleri, belirli eşikleri aşan satın alma siparişleri), yalnızca QES veya nitelikli bir sertifikaya dayanan AdES, eIDAS 2'nin 26. maddesinde belirtilen güvenilirlik varsayımını sağlar.

Uyuşmazlık durumunda, kanıt yükü tersine çevrilir: imza niteliklilendirilmişse, belgeyi itiraz edenlerin değiştirilmesini kanıtlamak zorunda olur; nitelikli olmayan sertifika olmadan basit veya geliştirilmişse, kanıt yükü onu iddia eden imza sahibine düşer. İzlenebilirlik ve bütünlük gerekliliklerine uyulmaması işlemin iptaline veya imzanın üçüncü bir tarafa karşı itiraz edilemez hale gelmesine neden olabilir.

Senaryo Örnekleri: eIDAS 2 B2B İşletmelere Uygulanması

Senaryo 1 — Dijital Dönüştürme Danışmanlığı Firması (yaklaşık 80 danışman)

Birden fazla Üye Devlette danışmanları dağıtan bir danışmanlık firması (Fransa, Almanya, Hollanda) her ay görev emirleri, sözleşme değişiklikleri ve kabul tutanakları imzalatmalıdır. eIDAS 2 öncesinde, sınır ötesi kimlik yönetimi sürtüşme yaratıyordu: bazı Alman müşterilerin Fransız QTSP tarafından yayınlanan sertifikaları kabul etmemesi, iki katına çıkmış kimlik doğrulamada email yetersiz kalması.

2026'da EUDI Cüzdanının dağıtılmasıyla, danışmanlar ulusal cüzdanlarından imza atabilir — tüm Üye Devletlerde tam olarak tanınır — herhangi bir uyuşmazlık olmadan. Danışmanlık şirketi, imza öncesi belge doğrulama alışverişleriyle ilgili harcanan zamanı %60 ila %70 azaltmayı tahmin ediyor; bu, McKinsey Digital tarafından yayınlanan sektör kıyaslamalarına göre danışman başına ve aylık yaklaşık 3-4 saate eşittir.

Senaryo 2 — Yılda 350 Sözleşme Yönetmeyen PME Endüstriyel

Endüstriyel ekipman sektöründe bir PME, bir yüz civarındaki Avrupa ve Asyalı tedarikçiyle çalışarak, satın alma siparişlerini, gizlilik anlaşmalarını (NDA) ve çerçeve sözleşmelerini yapılandırmalıdır. Şimdiye kadar, bu belgelerin %30'u geçersiz imza veya 10 iş günün üzerinde gecikmelerle geri dönüyordu.

eIDAS 2'ye uygun bir elektronik imza çözümünü benimseyerek ve nitelikli öznitelikler (QEAA) aracılığıyla kimlik doğrulama yapılarak, PME tedarikçinin yasal temsilcisinin kimliğinin otomatik olarak EUDI Cüzdanı aracılığıyla doğrulandığı bir imza akışı uygulayabilir; manuel veri girişi olmadan. Beklenen sonuç: ortalama imza gecikmesini 10 günden 48 saatten kısaya indirme ve ELENIUS 2025 B2B dijitalleştirme raporlarında gözlemlenen oranlar temelinde, imza uyumluluğu ile ilgili anlaşmazlıkları %40 azaltmak.

Senaryo 3 — Çoklu Ülkede Satış Tarafinamesini Yöneten Gayrimenkul Grubu

Fransa, İspanya ve Portekiz'de faaliyet gösteren emlakçı ağı, satıcı ve alıcı arasında farklı uyruklarında ön sözleşme imzalatmalıdır. QES, bazı bağlamlarda noterde yazılı imzayla eşdeğeri garantilemek için gereklidir.

eIDAS 2 ve EUDI Cüzdanlarının birlikte çalışabilirliği sayesinde, Portekiz alıcısı, Fransız hukuku tabi bir satış sözleşmesini milli cüzdanını kullanarak imzalayabilir ve "yüksek" güven seviyesi platformu tarafından otomatik olarak tanınır. Grup, sınır ötesi satış tarafinamesine ilişkin seyahat ve meşrulaştırma maliyetlerini dosya başına yaklaşık 800 ila 1.200 euro azaltırken; ön sözleşme sonlandırma süresini ortalama 3 haftadan 5 güne indirmektedir. Sektöre özel kullanımlara ilişkin, gayrimenkule ait elektronik imza sayfamız uyarlanmış iş akışlarını detaylandırır.

Sonuç

eIDAS 2 basit bir düzenleyici güncelleme değildir: dijital kimlik ve elektronik güven işlemesinin Avrupa'da nasıl işlediğine dair derinlemesine bir yeniden yapılandırmadır. EUDI Cüzdanı, yeni nitelikli hizmetler, birlikte çalışabilirlik yükümlülüğü ve NIS2 ve GDPR hizalaması, 2026 sonu itibariyle işletmelerin sözleşme ve kimlik doğrulama süreçlerini dönüştürecek uyumlu bir ekosistem oluşturur.

Uyumlu ve rekabetçi kalabilmek için B2B kuruluşları hemen harekete geçmelidir: güven zincirlerini denetleyin, yeni gerekliliklerle hizalı bir sağlayıcı seçin ve belge akışlarınızı Avrupa dijital cüzdanının entegrasyonuna hazırlayın.

Certyneo, eIDAS 2'ye uygun nitelikli elektronik imza çözümleriyle sizi 2026'ya hazırlanması adına desteklemektedir. Certyneo'da bir gösteri isteyin veya hesabınızı oluşturun ve sözleşmelerinizi bugün güvenli hale getirin.