eIDAS 2 vs eIDAS 1: KOBİ'ler için kilit değişiklikler

Giriş: eIDAS 2 neden KOBİ'ler için oyun kurallarını değiştiriyor?

20 Mayıs 2024'ten beri, eIDAS 2 olarak bilinen (AB) 2024/1183 yönetmeliği yürürlüğe girmiş ve (AB) n° 910/2014 yönetmeliğini (eIDAS 1) kademeli olarak yürürlükten kaldırıp yerini almıştır. Fransız KOBİ'leri için bu geçiş sadece idari bir güncelleme değildir: dijital güven seviyelerini yeniden tanımlar, bir Avrupa dijital kimlik cüzdanı (EUDIW) tanıtır, güven hizmetleri sağlayıcılarının yükümlülüklerini güçlendirir ve tanınmış hizmetlerin kapsamını genişletir. Bu makale eIDAS 1 ve eIDAS 2'yi noktaya noktaya karşılaştırır, küçük ve orta ölçekli işletmeler için somut işletme etkilerini belirler ve 2026'da uyumlu kalmak için bir eylem planı sunar.

---

1. Hatırlatma: eIDAS 1 (2014-2024) neler ortaya koydular

1.1 İlk yönetmeliğin temelleri

Temmuz 2014'te kabul edilen ve Eylül 2016'dan beri uygulanabilen eIDAS 1, Avrupa dijital güven alanının ilk taşlarını atmıştır. Üç büyük elektronik imza kategorisi — basit (SES), ileri (AdES) ve nitelikli (QES) — tanıtmış ve güvenilir sağlayıcılar listesini (Trusted List) oluşturmuştur; bu liste Avrupa Komisyonu portalında bulunabilir.

KOBİ'ler için eIDAS 1'in temel katkısı sınırlar arası nitelikli imzaların tanınması idi: Fransız QES ile imzalanan bir sözleşme Almanya, İspanya veya İtalya'da apostil veya ek formalite olmaksızın yasal olarak tanınırdı. Bu ilke — "ayrım yapılmaması" olarak adlandırılır — Certyneo gibi SaaS tekliflerinin hizmetlerini inşa ettiği temelidir.

1.2 Tespit edilen sınırlamalar

Avantajlarına rağmen eIDAS 1, Avrupa Komisyonu'nun 2021 değerlendirme raporunda belgelenen çeşitli eksiklikleri vardı:

• Kimlik şemaları'nın parçalanması: yalnızca ulusal şemalarını bildiren Üye Devletler (FranceConnect+ önemli seviye gibi) karşılıklı tanınmaydan yararlanırdı. 2023'te 27 devletten sadece 14'ü uyumlu bir şema bildirmişti.
• Yerel mobil desteğinin olmaması: nitelikli imza oluşturma cihazı (QSCD) sıklıkla akıllı kart veya donanım token gerektirirdi, mobil benimsenmesini frenledi.
• Sınırlı güven hizmetleri: eIDAS 1 dokuz tür nitelikli hizmeti listeledi; yeni kullanım senaryoları (nitelikli elektronik arşivleme, nitelik yönetimi) düzenlenmiyordu.
• Birleştirilmiş kimlik cüzdanının olmaması: her vatandaş veya işletme kimlik bilgilerini ayrı ayrı yönetirdi, garantili birlikte çalışabilirlik olmaksızın.

Bu sınırlamalar Komisyon'u 2020'de revizyona başlamaya yönlendirmiş ve üç yıllık triloga sonucunda eIDAS 2 yönetmeliğine varılmıştır.

---

2. KOBİ'ler için eIDAS 2'nin beş ana yeniliği

2.1 Avrupa dijital kimlik cüzdanı (EU Digital Identity Wallet — EUDIW)

Bu yönetmeliğin en görünür yeniliğidir. Kasım 2026 (madde 5a tarafından belirlenen transpoze edilme süresi) bitiminden önce, her Üye Devlet vatandaşlarına ve sakinlerine en az bir sertifikalı dijital kimlik cüzdanı sunmalıdır. KOBİ'ler için bu gelişimin iki doğrudan sonucu vardır:

1. Müşteri ve ortak kimlik doğrulaması basitleştirilmiş: cüzdan, doğrulanmış nitelikler (yaş, KDV vergi numarası, şirket belgesi, sertifikalı banka bilgileri) hiçbir sürtünme olmaksızın paylaşmaya izin verecektir. Alman bir ortakla imzalanan çerçeve anlaşması, onun EUDIW'deki mesleki nitelikleri anında doğruladıktan sonra yapılabilir.
2. Belirli sektörler için EUDIW kabulü zorunlu: büyük platformlar (madde 45bis) ve bazı kamu hizmetlerinin hizmetleri EUDIW'yi kimlik doğrulama yöntemi olarak kabul etmeleri gerekecektir. B2B portallar sağlayan KOBİ'ler kimlik doğrulama API'lerini uyarlamak zorunda kalacaktır.

2.2 Nitelikli güven hizmetleri listesinin genişletilmesi

eIDAS 2, nitelikli güven hizmetleri kataloğunu 9'dan 14 kategoriye genişletir. KOBİ'leri doğrudan ilgilendiren yeni girdiler şunlardır:

• Nitelikli elektronik arşivleme (madde 45septies): uzun süreli koruma ve güçlendirilmiş kanıt değeri. Daha önce, kanıt değeri olan arşivleme ulusal çerçevelere dayanırdı (Fransa'da SIAF/ANSSI çerçevesi); eIDAS 2 Avrupa çerçevesini uyumlu hale getiriyor.
• Nitelikli imza oluşturma cihazlarının (RQSCD) uzaktan yönetimi: artık açıkça düzenleniyor, bulut nitelikli imza çözümlerine ağır baskan belirsizliği gideriyor. 50 çalışanlı bir KOBİ için bu, fiziksel token olmaksızın herhangi bir cihazdan nitelikli imzaya erişim anlamına gelir.
• Nitelikli elektronik kayıt hizmeti: blokzincir veya dağıtılmış muhasebe teknolojilerine dayanan kayıtlar artık nitelikli statüsü elde edebilirler, sözleşme yönetiminin yeni modellerine kapı açar.

İmza seviyeleri ve yasal değerleri hakkında daha fazla bilgi için, lütfen bizim elektronik imza tam rehberine başvurun.

2.3 Nitelikli güven hizmetleri sağlayıcılarının (QTSP) güvenlik yükümlülükleri güçlendirildi

eIDAS 2, nitelikli güven hizmetleri sağlayıcılarının (QTSP) yükümlülüklerini sertleştirir. Revize edilen madde 24 şunları zorunlu kılar:

• Avrupa çerçevesine (AB Siber Güvenlik Yasası, 2019/881 yönetmeliği) uyumlu siber güvenlik sertifikasyonu, ENISA tarafından geliştirilen sektörel şemalarla.
• Operasyonel esneklik alanında güçlendirilmiş yükümlülükler: QTSP'ler artık iş sürekliliği planlarını belgelendirmeli ve ulusal denetim kurumlarına (Fransa'da ANSSI) sunmalıdırlar.
• Güvenlik olaylarının 24 saat içinde bildiriş yükümlülüğü (NIS 2 ile uyumlaştırma).

Kullanıcı KOBİ'ler için bu, sağlayıcı seçiminde artan özen yükümlülüğü anlamına gelir: imza çözümünüzün güncellenmiş Avrupa Trusted List'inde yer aldığını doğrulamak artık satın alma sürecinizin kritik bir aşamasıdır. Bizim elektronik imza çözümleri karşılaştırması bu analiz yapmanıza yardımcı olabilir.

2.4 Kimlik şemaları'nın zorunlu birlikte çalışabilirliği

eIDAS 1 Üye Devletlere şemaları bildirme (veya bildirememe) özgürlüğü verirken, eIDAS 2 kamu hizmetlerinde kullanılan kimlik şemaları için bildirimi ve birlikte çalışabilirliği zorunlu kılar (madde 5). Fransa'nın milli şeması olan France Identité — İçişleri Bakanlığı tarafından yönetilen — EUDIW teknik spesifikasyonlarına uyacak şekilde güncellenmektedir; bu spesifikasyonlar Komisyon tarafından (AB) 2024/2977 yönetmeliğinde yayınlanmıştır.

Düzenli olarak kamu kurumlarıyla etkileşim içinde olan (kamu ihaleleri, elektronik vergi beyanları, gümrük prosedürleri gibi) bir KOBİ için bu gelişme, çevrimiçi işlemlerin kademeli olarak tüm AB'de tanınan ve birleştirilmiş bir dijital kimlik etrafında birleştirileceği anlamına gelir.

2.5 Yeni sorumluluk ve denetim kuralları

eIDAS 2, sağlayıcıların sorumluluk rejimlerini (madde 13 revize) netleştirir ve genişletir. Bir QTSP artık yükümlülüklerine uymamaktan kaynaklanan herhangi bir hasardan sorumlu olduğu presumed edilir (kişi veya gerçek olmayan varlığa), sorumluluğun olmadığını kanıtlamak kaydıyla. Bu sorumluluk presumption, eIDAS 1'e kıyasla güçlendirilmiş olup KOBİ'leri şunlara yöneltmelidir:

• Sağlayıcıları sözleşmelerle taahhüt etmeyi (SLA, kullanılabilirlik garantileri, tazminat).
• QTSP'nin mesleki sorumluluk sigortası kapsamını doğrulamak.
• İmzalı işlemler için denetim kanıtlarını (zaman damgası günlükleri, imza doğrulama raporları) korumak.

Ekiplerimiz işletmede elektronik imza üzerine bu sözleşmesel hususları ele alan detaylı rehber hazırladılar.

---

3. eIDAS 1 vs eIDAS 2 karşılaştırmalı tablo: somut neler değişiyor

3.1 Ana gelişmelerin özeti

| Kriter | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Dijital kimlik cüzdanı | Yok | EUDIW zorunlu (Üye Devletler) | | Nitelikli hizmetler | 9 kategori | 14 kategori (arşivleme, RQSCD, kayıtlar…) | | Şemaları bildirme | İsteğe bağlı | Kamu hizmetleri için zorunlu | | QTSP güvenliği | Common Criteria kriterleri | Siber Güvenlik Yasası + ENISA şemaları | | QTSP sorumluluğu | Kısmi | Güçlendirilmiş sorumluluk presumption'u | | Olaylı bildirme süresi | Belirtilmemiş | 24 saat (NIS 2 uyumlaştırma) | | Mobil QSCD | Yasal belirsizlik | RQSCD açıkça düzenlendi |

3.2 2026 için hatırlaması gereken ana tarihler

• Mayıs 2024: (AB) 2024/1183 yönetmeliğinin yürürlüğe giriş.
• Kasım 2026: her Üye Devlet'in en az bir sertifikalı EUDIW çözümü sunması gereken son tarih.
• 2027: büyük platformlar (madde 45bis) için EUDIW'yi kimlik doğrulama yöntemi olarak kabul zorunluluğu.
• 2028: EUDIW teknik spesifikasyonları (Komisyon yetkilendirilmiş yönetmeliği) revizyon planlanıyor.

KOBİ'niz daha uyumlu bir çözüme geçmeyi planlıyorsa, bizim Certyneo'ya geçiş teklifi bedava eIDAS 2 uyum denetimi içerir.

---

4. KOBİ'nizi eIDAS 2 uyumlu hale getirmek için pratik eylem planı

4.1 Mevcut belge akışlarını denetleyin

Şu anda elektronik imza veya dijital kimlik kullandığınız tüm işlemleri haritalayarak başlayın: tedarikçi sözleşmeleri, demateriyalize maaş bordroları, SEPA mandatları, gizlilik anlaşmaları, İK işlemleri. Her akış için şunu tanımlayın:

• Kullanılan imza seviyesi (SES, AdES, QES).
• Geçerli sağlayıcı ve Trusted List'indeki durumu.
• Uyuşmazlık durumunda yasal risk seviyesi.

Bu denetim Mart 2025'te ANSSI tarafından yayınlanan uyum rehberinde önerilen başlangıç noktasıdır.

4.2 İmza çözümünüzü güncelleyin

Mevcut sağlayıcınız eIDAS 2 Trusted List'inde yoksa veya henüz RQSCD sunmuyorsa, pazar tekliflerini karşılaştırma zamanı gelmiştir. Certyneo, üç imza seviyesini (SES, AdES, QES) destekleyen ve eIDAS 2'nin yeni yükümlülüklerini (nitelikli arşivleme ve uzaktan cihaz yönetimi) yerel olarak birleştiren sertifikalı bir QTSP'dir.

4.3 Ekiplerinizi eğitin ve sözleşmelerinizi güncelleyin

eIDAS 2 nitelikli imzaların kanıt değerini güçlendirir ancak belge yönetiminde iyi uygulamaları da zorunlu kılar. Yasal ve idari ekipleriniz şunları bilmelidir:

• Üç imza seviyesini ve yasal değerlerini ayırt etmek.
• Sağlayıcı sözleşmelerine eIDAS uyum denetim maddesini eklemek.
• İmza doğrulama kanıtlarını (doğrulama raporu, nitelikli zaman damgası) uygulanabilir saklama süresince muhafaza etmek (işlemin niteliğine göre 3-10 yıl).

Bu yaklaşımı yapılandırmak için, bizim elektronik imza ROI hesaplayıcı yükseltmeyle ilişkili operasyonel kazançları nicelemenize izin verir.

Uygulanabilir yasal çerçeve

Referans metinler

Fransız bir KOBİ için eIDAS 2 uyumluluğu, hakim olmak gerekli olan normatif bir katmanlaşmaya katılır.

(AB) 2024/1183 Avrupa Parlamentosu ve Konseyi Yönetmeliği ("eIDAS 2" olarak adlandırılır): temel metin olup, 30 Nisan 2024'te ABJB'de yayınlanmıştır. (AB) n° 910/2014 yönetmeliğini 2027'ye kadar ilerleme planına göre yürürlükten kaldırır ve yerine geçer. Tüm Üye Devletlerde doğrudan uygulanır; ana hükümleri için ulusal yasal aktarımı gerektirmez.

(AB) n° 910/2014 yönetmeliği (eIDAS 1): eIDAS 2 tarafından öngörülen geçiş dönemleri boyunca bazı hükümleri uygulanabilir kalır; özellikle Mayıs 2024'ten önce nitelik alan ve yeniden sertifika oldukları için zaman alan sağlayıcılarınkiler.

Fransız Medenî Kanunu, madde 1366 ve 1367: madde 1366 elektronik belgenin kâğıt belgeyle eşdeğer ilkesini ortaya koyar; şu şartla ki "menşei kişi düzgün şekilde tanımlanabilir ve bütünlüğü garantileyen koşullarda oluşturulmuş ve muhafaza edilmiş." Madde 1367 elektronik imzayı ispat yöntemi olarak tanır; Konseyden kararnamenin belirlediği koşullara gönderme yapar (28 Eylül 2017 tarihli karar n° 2017-1416, Medenî Kanun'un R. 1369-1 ile R. 1369-10 maddelerine kodlanmıştır).

(AB) 2016/679 (GDPR): EUDIW'nin devreye alınması ve dijital imza akışlarında kimlik niteliklerinin işlenmesi GDPR anlamında kişisel verilerin işlenmesi oluşturur. KOBİ'ler sağlayıcının GDPR madde 28 anlamında alt işlemci olarak hareket ettiğini, uyumlu bir VPA (Veri İşleme Anlaşması) ile doğrulamak zorundadırlar. CNIL Ocak 2026'da EUDIW-GDPR entegrasyonu hakkında özel tavsiye yayınladı.

(AB) 2022/2555 Yönergesi (NIS 2): eIDAS 2 açıkça olay bildirimi yükümlülükleri (eIDAS 2 madde 24, §2 NIS 2 hükümlerine gönderme) konusunda NIS 2 ile uyumlanır. QTSP'ler, NIS 2 anlamında boyutlarına göre "kritik" veya "önemli" varlık olarak kabul edilir; bu sıfatla düzenli güvenlik denetimlerine tabidir.

ETSI Standartları: nitelikli elektronik imzalar ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) ve ETSI EN 319 102-1 (doğrulama prosedürü) standartlarına uymalıdır. ETSI TS 119 461 standardı, özellikle RQSCD için uygun olan, uzaktan kimlik doğrulama (IDV) yönergesi verir.

Uyumsuzluk halinde yasal riskler

eIDAS 2'ye uyumlu olmayan bir elektronik imza çözümü kullanmak KOBİ'yi çeşitli risklere maruz bırakır:

• Yargı önünde red: hakim imza seviyesi işlemle uyuşmadığından (ör. nitelik veya ileri seviye gerektiren imzalar için basit imza) elektronik imzayı reddedebilir.
• Sözleşmesel sorumluluk: imza geçersizliğinin danışmanı hedef alan bir imzanın taraftarı tarafından uyuşmazlık konusu yapılırsa, KOBİ tazminat taleplerinde bulunabilir.
• GDPR yaptırımları: sağlayıcının güvenlik kusuru nedeniyle veri ihlali durumunda, KOBİ ortak sorumlu veya sorumlu işlemci olarak CNIL tarafından yıllık küresel ciro'nun %4'üne kadar cezalandırılabilir (GDPR madde 83 §4).

Somut kullanım senaryoları

Senaryo 1: yılda yaklaşık 400 tedarikçi sözleşmesini yöneten 80 kişilik bir KOBİ

Yıllık yaklaşık 400 tedarikçi sözleşmesi işleyen metal işleme sektöründe bir KOBİ 2024'e dek tüm sözleşmeleri (50.000 €'yu aşan çerçeve sözleşmeler de dahil) basit elektronik imza (SES) ile yapıyordu. Eylül 2 uyum denetiminden sonra, sözleşmelerinin %35'inin, özellikle AB'nin diğer Üye Devletlerinde yerleşik tedarikçilerle, yasal uyuşmazlıktan direnmek için ileri veya nitelikli seviye imza gerektirdiğini görüldü.

İmza kombinasyonuyla geçen (sıradan sözleşmeler için ileri/AdES, çerçeve sözleşmeleri için nitelikli/QES) ve nitelikli elektronik arşivleme (yeni eIDAS 2 hizmeti) kapatılırken, bu KOBİ imza sonrası belge yönetiminde harcanan zamanı (sınıflandırma, arama, sertifikalı kopyalar) %70 oranında azalttı ve izleyen 18 aylık dönemde imza uyuşmazlıkları açısından sıfıra indi; önceki 18 aylık dönemde iki olay vardı.

Senaryo 2: yılda ortalama 1.200 imzalı belge çıkaran 15 kişilik hukuk müşavir bürosu

Hukuk meseleleri uzmanlaşmış bir büro, her yıl ortalama 1.200 imzalı belge (hizmet sözleşmeleri, mandatlar, gizlilik anlaşmaları) yayınlayan, şirket müşterilerinden tüm AB'de tanınabilir nitelikli imza talebi giderek artıyordu. eIDAS 1'in altında, nitelikli sertifika almak yüz yüze prosedür veya uzun video doğrulama (kullanıcı başına 45-90 dakika) gerektiriyordu.

eIDAS 2 tarafından düzenlenen RQSCD (Uzaktan Nitelikli İmza Oluşturma Cihazı) sayesinde, büro tüm çalışanları için nitelikli imzayı 14 günden kısa sürede devreye alabildı; ETSI TS 119 461 standardına uyumlu 100% uzaktan kayıt prosedürü vasıtasıyla. İç benimseme hızı 40%'dan 95%'e üç ayda yükseldi; imzalı belgelerin ortalama dönüş süresi bu ölçüye göre 4,2 günden 6 saatten az süreye kısaldı.

Senaryo 3: AB'nin üç ülkesinde faaliyet gösteren 35 kişilik e-ticaret KOBİ

Fransa, Belçika ve Hollanda'da faaliyet gösteren çevrimiçi satış işletmesi üç tür elektronik anlaşmayı yönetmeliydi: yerel çalışanlar için istihdam sözleşmeleri, taşıyıcılarla ortak anlaşmalar ve müşteri profesyonelleri için SEPA mandatları. eIDAS 1'in altında ulusal yükümlülüklerin parçalanması işletmeyi üç farklı imza iş akışı tutmaya zorlayırdı; tahmini yönetim maliyeti yılda yaklaşık 12.000 € idi.

eIDAS 2'ye uyumlu tek çözüm benimsemesi — üç ülkede nitelikli imzaların karşılıklı tanınmasını birleştirerek — iş akışlarını birleştirmeyi, yönetim maliyetini yaklaşık 4.500 €/yıla indirgemeyi (%62 tasarruf) ve yasal hizmetin yabancı imzaları manuel doğrulamasıyla ilgili gecikmeleri ortadan kaldırmayı sağladı.

Sonuç

eIDAS 2, yönetimsel çerçevenin basit bir kozmetik revizyonu değildir: Avrupa'da dijital güven kurallarını kökten yeniden tanımlar. Fransız KOBİ'leri için beş büyük gelişme — EUDIW cüzdanı, nitelikli hizmetler genişlemesi, RQSCD, zorunlu birlikte çalışabilirlik ve güçlendirilmiş sorumluluk — hem uyum zorunluluğu hem de elektronik belge dönüşümlerini hızlandırma fırsatı temsil eder.

Bu değişiklikleri bugünden öngören KOBİ'ler gerçek rekabet avantajı elde edecektir: tüm AB'de hiçbir sürtünmesiz tanınan sözleşmeler, entegre kanıt değeri arşivleme ve tamamen demateriyalize güvenli imza işlemleri.

Certyneo bu geçişi desteklemek için tasarlanmıştır. Certyneo.com'da ücretsiz deneme başlatın ve mevcut belge akışlarınız için bedava eIDAS 2 uyum denetiminden yararlanın.