eIDAS 1'den eIDAS 2'ye Geçiş: 2025 Yılında İmzaya Etkiler

20 Mayıs 2024'te, (UE) 2024/1183 yönetmeliği — yaygın olarak eIDAS 2 olarak adlandırılan — Avrupa Birliği Resmi Gazetesi'nde yayımlandı ve 910/2014 sayılı yönetmeliği (eIDAS 1) kademeli olarak yürürlükten kaldırdı. Bu metin, 2016'dan beri Avrupa'da dijital kimlik ve elektronik imza açısından en yapılandırıcı reformu temsil etmektedir. Elektronik imza çözümleri kullanarak sözleşme iş akışlarında çalışan Fransız işletmeler için geçiş basit bir formalite değildir: teknik, yasal ve örgütsel ayarlamalar gerektirir ve bunların süresi 2026 yılına ve sonrasına kadar uzanır. eIDAS 1'den eIDAS 2'ye geçişini ve 2025 yılında elektronik imzaya etkisini anlamak, yasal müdürler, BİY müdürleri ve İK müdürleri için bir öncelik haline gelmiştir. Bu makale, çerçevenin temel gelişimlerini, geçişin kesin takvimini ve uyumlu kalmak için atılması gereken somut önlemleri açıklamaktadır.

eIDAS 2 Yönetmeliği Temel Olarak Neler Değiştirir

2014 Yönetmeliğinden 2024'ün Yeniden Yapılandırılmasına: Neden Bir Revizyon Gerekli Idi

EIDAS 1, Birlik içinde elektronik imzaların karşılıklı tanınmasının temelini atmıştı. Üç hiyerarşik seviye — basit (SES), geliştirilmiş (AdES) ve nitelikli (QES) — imzaların kanıtlanma değerini yapılandırdı ve güven hizmeti sağlayıcıları listesine (TSL) bağlı idi. Ancak on yılda iki temel boşluk ortaya çıktı.

Birincisi, orijinal yönetmelik esas olarak kamu yönetimi ile ilişkilerde (G2B, G2C) uygulanıyordu. Özel işlemlerde (B2B, B2C) doğrudan yükümlülükler yaratmamıştı ve her üye devlet bu boşluğu farklı şekilde doldurmuştu. İkincisi, dijital hizmetlerin güçlenmesi — mobil uygulamalar, açık bankacılık, telemedisyn — taşınabilir ve kıta genelinde birlikte çalışabilir bir dijital kimlik sisteminin eksikliğini ortaya çıkarmıştı.

EIDAS 2, Avrupa Dijital Kimlik Cüzdanı (EU Digital Identity Wallet, EUDIW) sunarak ve güven hizmetlerinin kapsamını yeni kullanım durumlarına genişleterek bu iki zorluğa cevap veriyor: nitelikli elektronik arşivleme, nitelikli öznitelik tanıtımları, nitelikli elektronik defterler (sertifikalı blockchain uygulamaları dahil).

Nitelikli Güven Hizmetlerinin Yeni Kategorileri

eIDAS 2 yönetmeliği, nitelikli güven hizmetlerinin listesini (3. madde ve revize edilmiş IV. Ek) genişletmektedir. eIDAS 1 tarafından zaten tanınan imzalar, mühürler ve nitelikli zaman damgaları dışında, şu hizmetler artık niteliklidir:

• Nitelikli elektronik arşivleme hizmetleri (34 bis madde): imzalı belgelerin bütünlüğünü ve okunabilirliğini uzun vadede koruma yükümlülüğü, hizmet sağlayıcılar için (QTSP) güçlendirilmiş gereksinimler ile.
• Nitelikli uzaktan imza oluşturma cihazı yönetim hizmetleri (QRCD): HSM (Donanım Güvenlik Modülü) bulutu aracılığıyla uzaktan imza çözümlerinin güçlendirilmiş denetimi.
• Nitelikli öznitelik tanıtımları: bir üçüncü taraf güven hizmetine bir kuruluşun özniteliklerini (ör. avukat olma niteliği, doktor statüsü) kimlik tamamını açığa çıkarmadan tasdik etme mekanizması.
• Nitelikli elektronik defterler: katı denetlenebilirlik ve esneklik koşulları altında dağıtılmış defterlerin tanınması.

Elektronik imza çözümü kullananlar için bu genişleme, piyasada mevcut olan nitelikli güven hizmetlerinin çeşitleneceği ve bir hizmet sağlayıcı (QTSP) seçim kriterleri bu yeni yetenekleri içermesi gerektiği anlamına gelir.

EUDIW: İmzanın Altyapısı Olarak Dijital Kimlik Cüzdanı

eIDAS 2'nin en görünür yeniliği EUDIW'dir. Her üye devlet, vatandaşları ve sakinlerine 26 Kasım 2026 tarihine kadar (5 bis madde uyarınca ulusal uyum süresi) tüm diğer üye devletlerle birlikte çalışabilir, ücretsiz bir dijital kimlik cüzdanı sunmalıdır. Bu cüzdan şunları sağlayacak:

• kullanıcıyı üçüncü taraf kimlik doğrulama hizmetine başvurmadan yüksek bir güvence seviyesi (LoA High) ile doğrulamak;
• cüzdandan doğrudan nitelikli değeri (QES) olan elektronik belgeler imzalamak;
• seçici kimlik özniteliklerini paylaşmak (selective disclosure), böylece RGPD'nin veri minimizasyonu ilkesine uyum sağlamak.

İşletmeler için EUDIW teorik olarak nitelikli imzadan önceki kimlik doğrulama prosedürlerini basitleştirir, video kimliğinin veya yüz yüze kimlik tanımlamasının sürtüşmesini ortadan kaldırır. Pratik olarak, etki ulusal dağıtım hızına bağlıdır — Fransa 2025'te "France Identité" programı kapsamında pilot bir deneme başlatmıştır.

eIDAS 1'den eIDAS 2'ye Geçişin Kesin Takvimi

Bilinmesi Gereken Düzenleyici Kilometre Taşları

2024/1183 yönetmeliği 20 Mayıs 2024'te yürürlüğe girdi, ancak uygulaması kademeli. Temel son teslim tarihleri:

| Tarih | Olay | |------|----------| | 20 Mayıs 2024 | JOUE'de yayımlama, resmi yürürlüğe giriş | | 20 Kasım 2024 | Komisyon'un uygulama eylemlerini kabul etmesi için 6 aylık süre (EUDIW'nin teknik özellikleri) | | 2025 Sonu | ETSI revize edilmiş standartlarının (EN 319 411-1/2, EN 319 401) yayımlanması eIDAS 2 gereksinimlerini içeren | | 26 Mayıs 2026 | Üye devletlerin nitelikli hizmetlerin yeni kategorilerine uyum sağlaması için son tarih | | 26 Kasım 2026 | Her üye devlet tarafından EUDIW'nin zorunlu olarak kullanıma sunulması | | 2027-2028 | Ulusal güven listeleri (TSL) ve yeni QTSP akreditasyonunun tam revizyonu |

EIDAS 1 geçerliliğini korur ve altında verilen imzalar tam yasal değerini korur. Mevcut belgeleri yeniden imzalamaya yönelik hiçbir yükümlülük yoktur. Bununla birlikte, nitelikli güven hizmeti sağlayıcılarının yeni teknik standartlara göre akreditasyonlarını 2027'ye kadar yenilemesi gerekecektir.

Değişmeyen ve İzlenecek Şeyler

Süreklilik geçişin temel ilkesidir. Üç imza seviyesi (SES, AdES, QES) tanımları değişmeden korunur. Nitelikli imza ile yazılı imzaya eşdeğerlik tahmini (eIDAS 1'in 25. maddesi, eIDAS 2'nin 27. maddesine aktarılan) yürürlükte kalır. Mevcut elektronik imzalarınızın kanıtlanma değeri sorgulanmaz.

Bununla birlikte, izlenmesi gereken: Avrupa Komisyonu tarafından 2025-2026 boyunca yayımlanacak uygulama eylemleri (implementing acts), EUDIW'nin ve yeni hizmet kategorilerinin kesin teknik özellikleri belirleyecektir. Bu seviye 2 metinleri, sistem entegratörleri ve yazılım editörleri için pratik açıdan önemli bir anlama sahiptir. İmza elektroniklerini insan kaynakları veya yasal süreçlerde kullanan işletmeler için, hizmet sağlayıcıdan eIDAS 2 uyum yol haritası istenmesi önerilir.

İşletmelere ve İmza Çözümlerine Somut Etki

Hangi İş Akışları Öncelikli Olarak Etkileniyor?

eIDAS 1'den eIDAS 2'ye geçiş, kullanılan imza seviyesine göre farklı etkilere sahiptir. İşletmeler için üç durum ayırt edilir:

Basit elektronik imza (SES): düşük değerli değişiklikler, alındı bildirimleri, iç formlar için kullanılır. Anında güncelleme yükümlülüğü yok. Probatif kurallar Medeni Kanun (md. 1366-1367) tarafından yönetilir, eIDAS tarafından doğrudan değil.

Geliştirilmiş elektronik imza (AdES/AdESQC): ticari sözleşmeler, sayısallaştırılmış iş sözleşmeleri veya gayrimenkul işlemleri için B2B çözümleri kullanan işletmeler, hizmet sağlayıcılarının ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) ve EN 319 142 (PAdES) standartlarını revize edilmiş sürümlerinde (eIDAS 2 için) koruduğunu doğrulaması gerekir. Bu standartlar ETSI tarafından 2025 yılının sonuna kadar yayımlanacaktır.

Nitelikli elektronik imza (QES): nitelikli hizmet sağlayıcılar (QTSP) yeni eIDAS 2 akreditasyonuna geçmelidir. Geçiş süresi makul bir süre tanır (2027'ye kadar), ancak 2025'te başlatılan ihraç müzakereleri, seçim kriterlerine eIDAS 2 uyum maddesi eklemelidir. Mevcut seçenekleri karşılaştıran kuruluşlar için, elektronik imza çözümleri karşılaştırması editörlerin bu konudaki olgunluk seviyesini değerlendirmesine izin verir.

Nitelikli Güven Hizmeti Sağlayıcıları (QTSP) İçin Yeni Gereksinimler

EIDAS 2, QTSP'ler için geçerli gereksinimleri üç ana noktada sertleştirir:

1. Sistem güvenliği: QTSP'ler için NIS2'ye (Direktif (UE) 2022/2555) zorunlu hizalama, artık temel kuruluşlar olarak sınıflandırılır. Bu, 24 saatlik olay bildirim yükümlülükleri, yıllık güvenlik denetimleri ve iş sürekliliği planlarının hazırlanmasını gerektirir.

1. Güçlendirilmiş sorumluluk: eIDAS 2'nin 13. maddesi QTSP'lerin sorumluluk rejimine önemli ölçüde genişleme getirmektedir. Kanıtlanmış bir ihlal durumunda, kanıt yükü ters çevrilir: hizmet sağlayıcı ihmalde bulunmadığını kanıtlamalı, değilse ters şekilde.

1. Zorunlu birlikte çalışabilirlik: QTSP'ler, EUDIW ile yerel entegrasyonu etkinleştirmek için standartlaştırılmış API'ler sağlamalıdır. Bu gereksinim, geliştiriciler için mevcut entegrasyon arayüzlerinin modernizasyonunu hızlandıracaktır.

Bu bağlamda hizmet sağlayıcı değiştirmeyi düşünen işletmeler için, DocuSign veya YouSign'dan eIDAS 2 uyumlu bir çözüme geçiş şimdi değil 2027'de acele halinde yapılması daha iyi olan bir süreçtir.

Kişisel Veriler ve eIDAS 2: GDPR ile Koordinasyon

EUDIW, kimlik verilerini toplar ve işler. eIDAS 2 yönetmeliği açıkça (başlangıç 11 ve 5 bis madde §14) tüm cihazın GDPR'ye (Yönetmelik (UE) 2016/679) uyumlu olması gerektiğini öngörmektedir. Birkaç dikkat edilecek nokta:

• Seçici açıklama: cüzdan, kullanıcıya işlem için kesinlikle gerekli olan öznitelikleri paylaşmasına izin vermelidir (minimizasyon ilkesi, GDPR md. 5(1)(c)). Bir sözleşme imzası için, sadece reşitlik doğrulaması tam doğum tarihi açığa çıkarmadan paylaşılabilir.
• AB Dışı Transferler: EUDIW çerçevesinde işlenen kimlik verileri, yalnızca uygun garantilerle EEA dışına aktarılabilir (GDPR md. 46). Amerikan bulut altyapılarını kullanan hizmet sağlayıcılar uyumluluklarını belgelemelidir.
• İmza günlüklerinin saklanması: imza kanıtlarının arşivlenmesi, belgenin doğasına orantılı bir saklama süresine uymalıdır. Yeni eIDAS 2 nitelikli arşivleme hizmeti bu gereksinime cevap vermeyi sağlayan teknik bir çerçeve sunar.

Uluslararası iş sözleşmelerini yöneten işletmeler, özellikle imzacılar AB dışında ikamet ediyorsa, bu GDPR/eIDAS 2 koordinasyonundan özellikle etkilenmektedir.

eIDAS 1'den eIDAS 2'ye Geçişe Uygulanabilir Yasal Çerçeve

Referans Metinler

Geçiş, biri tarafından kontrol edilmesi gerekli metinlerin bir yığınına dayanır:

Avrupa düzeyinde:

• Yönetmelik (UE) 910/2014 (eIDAS 1): eIDAS 2 tarafından kademeli olarak yürürlükten kaldırılıncaya kadar yürürlükte. Üç imza seviyesini (SES, AdES, QES) ve QTSP rejimiyle tanımlar.
• Yönetmelik (UE) 2024/1183 (eIDAS 2): 20 Mayıs 2024'te yürürlüğe girdi. eIDAS 1'i hemen yürürlükten kaldırmadan önemli ölçüde değiştirir. EUDIW ile ilgili hükümler, uygulama eylemlerinin yayımlanmasından itibaren geçerli olur.
• Yönetmelik (UE) 2016/679 (GDPR): EUDIW çerçevesinde ve imza süreçlerinde kimlik verilerinin işlenmesine tamamen uygulanır. eIDAS 2'nin 5 bis maddesi §14 bu bağımlılığı açıkça hatırlatır.
• Direktif (UE) 2022/2555 (NIS2): QTSP'lere güçlendirilmiş siber güvenlik yükümlülükleri getirir, artık temel kuruluşlar olarak sınıflandırılır. 20 Haziran 2024 tarihli 2024-821 sayılı kararname ile Fransız hukuku müktesebatına aktarılmıştır (uygulama dekreti işlemde).

Fransa düzeyinde:

• Medeni Kanun, 1366 ve 1367 maddeler: elektronik form altında yazılı yazılar için kanıtlanma değerinin temeli. 1366. madde, şartlar altında elektronik yazının kağıt yazıya eşdeğerini oluşturur. 1367. madde, nitelikli imzaya (QES) yazılı imzayla aynı kanıtlama gücü verir.
• 29 Eylül 2017 tarihli Kararname 2017-1416: özel sözleşmelerde elektronik imza kullanımı koşullarını belirtir. Geçiş döneminde uygulanabilir kalır.
• Genel Güvenlik Referansı (RGS) v2: Fransız kamu yönetimi için RGS, ANSSI tarafından referans gösterilen çözümlerin kullanımını zorunlu kılar. eIDAS 2'yi entegre etmek için güncellemesi 2026'da bekleniyor.

Geçerli ETSI Teknik Standartları

ETSI standartları normatif hiyerarşinin 3. seviyesini oluşturur. Şu anda geçerli sürümler:

• EN 319 132-1/2: XAdES formatı (XML geliştirilmiş imzalar)
• EN 319 122-1/2: CAdES formatı (CMS geliştirilmiş imzalar)
• EN 319 142-1/2: PAdES formatı (PDF geliştirilmiş imzalar)
• EN 319 401: güven hizmet sağlayıcılarının genel gereksinimleri
• EN 319 411-1/2: nitelikli sertifika yayınlayan AC'ler için gereksinimler

Bu standartlar, eIDAS 2'nin yeni gereksinimlerini entegre etmek için 2025 yılı sonuna kadar revize edilecektir. QTSP'lerle yapılan sözleşmeler, revize edilmiş sürümlere ek maliyet olmadan güncelleme maddesi içermelidir.

Uyumluluğa Uymama Yasal Riskleri

2027'den sonra artık akredite olmayan bir hizmet sağlayıcı tarafından verilen imza, zaten imzalanan belgeler için otomatik olarak yasal değerini kaybetmez, ancak yazılı imzayla eşdeğerlik yasal tahmini artık yararlanmaz (eIDAS md. 25). İmzacının bütünlüğü ve kimliğinin kanıtı tamamen işletmeye kalır ve anlaşmazlık halinde. Bu kanıtlama riski özellikle uzun zamanlı belgelerde hassastır (ticari açıdan 5 yıl, gayrimenkul hakları açısından 30 yıl).

Kullanım Senaryoları: Kuruluşlar eIDAS 2 Geçişine Nasıl Hazırlık Yapıyor

Senaryo 1: 25 Çalışanlı Bir Avukat Bürası Belge Uyumunu Basitleştiriyor

Yaklaşık 25 çalışanı olan ve vekalet, cession eylemleri ve uzlaşma protokollerinin imzalanmasında yoğun bir faaliyete sahip olan ticari huk konusunda uzmanlaşmış bir avukat bürası, 2024'e kadar tüm akışları için geliştirilmiş imza (AdES) çözümü kullanıyordu. eIDAS 2 duyurusuyla birlikte, bürası yeni baro tavsiyelerine göre nitelikli imza (QES) gerektiren belgeleri tanımlamak için yıllık 1.200 imzalı belgenin bir denetimini gerçekleştirdi.

Sonuç: işlemlerin %15'i (yılda yaklaşık 180) nitelikli imzaya yeniden sınıflandırıldı, bu da bu belgelerin kanıtlanma rejimine güvenlik sağladı. Bürası, imza editörü ile eIDAS 2 uyumluluğunu hiçbir ek maliyet olmadan uygulama eylemleri yayımlandığında sağlayan bir madde müzakere etti. İmzacıların kimlik doğrulama ile ilgili idari zaman, 2026'da planlanmış EUDIW entegrasyonunun önceki bilinmesiyle %40 oranında azaldı.

Senaryo 2: 150 Çalışanlı Bir Sanayi KOBİ'si Tedarikçi Sözleşme Zincirini Güvence Altına Alıyor

Yıllık yaklaşık 350 tedarikçi sözleşmesini yöneten — satınalma emirleri, gizlilik sözleşmeleri, çerçeve sözleşmeler — bir sanayi KOBİ'si iç ve harici akışlar için iki farklı imza çözümü kullanıyordu ve bu da kanıt denetim izini parçaladı. eIDAS 2 geçişi ve nitelikli arşivleme için yeni gereksinimler bağlamında, BİY tüm platformu birleştirmeye karar verdi.

Nitelikli elektronik arşivlemeyi (gelecek eIDAS 2 kategorisi) entegre eden tek bir çözüme geçiş yaparak, KOBİ güvenli depolama maliyetlerini %30 oranında azalttı ve imza kanıtlarını uyumlu dijital kasa içinde konsolide etti. Belge zincirinin tamamı şimdi tedarikçi denetimleri sırasında 2 dakitadan kısa sürede denetlenebilir — otomotiv endüstrisinde alıcılarının artan gerekliliği.

Senaryo 3: Yaklaşık 600 Yataklı Hastane Grubu EUDIW Entegrasyonuna Hazırlanıyor

Yaklaşık 600 yataklı bir kamu hastanesi grubu, tıbbi sözleşmeler ve kamu alımları için nitelikli elektronik imzayı kullanıyordu, kamusal satınalma kodunun gerekliliklerine uygun şekilde. eIDAS 2 ile birlikte, bilgi işlem servisi iki öncelikli sorunu tanımladı: kurumda müdahale eden serbest doktor hekimler için gelecekteki "France Identité" cüzdanının entegrasyonu ve QTSP'nin NIS2 uyumluluğu.

Grup, 2025-2028 dijital şema direktifi içine özel bir "eIDAS 2 uyumluluğu" paketi ekledi ve teknik geçiş ve personel eğitimi için 45.000 € tahmini bütçe ile. Amaç, Kasım 2026'da planlanmış ulusal dağıtımda EUDIW aracılığıyla imzaları kabul edebilmeye hazır olmaktır, bu da serbest pratisyonler ile sözleşme zamanını 3 günden ortalama 4 saatten az bir süreye kısaltan (mevcut sektör kıyaslamalarına göre).

Sonuç

eIDAS 1'den eIDAS 2'ye geçiş bir kopuş değil, 2027 yılına kadar uzanan kesin bir takvim ile yapılandırılmış bir evrim. Elektronik imzaya etkiler gerçektir — nitelikli hizmetlerin genişletilmesi, EUDIW'nin gelişi, QTSP'ler için NIS2 gereksinimlerinin sertleştirilmesi — ancak ileriye dönük hareket edildiğinde yönetilebilir. İnsan kaynakları akışlarını denetleyen, hizmet sağlayıcılarla sözleşmelerini güvence altına alan ve ekiplerini şu anda eğiten işletmeler, düzenleyici aciliyet olmadan özgürlük ve manevraya sahip.

Certyneo, işletmeleri net bir eIDAS 2 uyum yol haritası, güncellenmiş imza formatları ve EUDIW entegrasyonuna hazır bir mimari ile bu geçişte desteklemektedir. İmza akışlarınızı bu yeni düzenleyici çerçevedeki güvenceye almaya hazır mısınız? Certyneo'daki tekliflerimizi keşfedin ve ücretsiz başlayın.