eIDAS tüzüğü: Avrupa'da elektronik imza hakkında her şey
Güncellenme tarihi
eIDAS tüzüğü, Avrupa'da elektronik imzanın temel metnidir. Üç imza seviyesi (basit, gelişmiş, nitelikli) tanımlar, elektronik senetlerin hukuki değerini belirler ve güven hizmeti sağlayıcılarını düzenler. Bu rehber, 2026'da uyumlu olmak için bilmeniz gereken her şeyi size açıklar.
eIDAS nedir ve neden oluşturuldu?
eIDAS'tan önce, Avrupa Birliği'nin her üye devletinin elektronik imzalar üzerinde kendi düzenlemeleri vardı ve bu sınır ötesi alışverişleri engelleyen hukuki bir parçalanma yaratıyordu. Fransa'da geçerli bir elektronik imza, Almanya veya İspanya'da mutlaka tanınmıyordu.
(AB) 910/2014 tüzüğü, eIDAS (Electronic IDentification, Authentication and trust Services) olarak bilinen, 23 Temmuz 2014'te kabul edildi ve 1 Temmuz 2016'da uygulamaya girdi. Bir tüzük (direktif değil) olduğu için 27 üye devlette doğrudan ve tek tip şekilde, ulusal bir aktarıma gerek olmadan uygulanır.
eIDAS üç ana hedef peşinde koşar: elektronik kimliklerin karşılıklı tanınmasıyla Avrupa’da tek bir dijital pazar oluşturmak, sınır ötesi elektronik işlemlerin hukuki güvenliğini garanti etmek ve nitelikli güven hizmeti sağlayıcıları (QTSP — Qualified Trust Service Provider) aracılığıyla dijital hizmetler için bir güven çerçevesi kurmak.
eIDAS tarafından tanımlanan 3 imza seviyesi
eIDAS, her biri kendi teknik gereksinimleri ve ispat değeri olan üç elektronik imza seviyesinin bir piramidini kurar.
Basit Elektronik İmza
eIDAS gereksinimleri
- Başka verilere bağlı elektronik form verileri
- İmzalamak için kullanılır (özel teknik gereksinim yoktur)
- Basit bir tıklama, işaretli bir kutu veya girilen bir ad olabilir
Kullanım örnekleri
- Kullanım şartlarının kabulü
- Çevrimiçi form
- Onay e-postası
Hukuki değer
Temel sözleşme değeri, yasal karine yok
Gelişmiş Elektronik İmza
eIDAS gereksinimleri
- İmzacıya benzersiz bir şekilde bağlı
- İmzacıyı tanımlamayı sağlar
- İmzacının özel kontrolü altındaki verilerle oluşturulur
- Belgedeki sonraki herhangi bir değişiklik tespit edilebilir
Kullanım örnekleri
- İş sözleşmeleri
- NDA
- Ticari sözleşmeler
- Vekaletnameler
Hukuki değer
Güçlü ispat değeri — önemli sözleşmeler için önerilir
Nitelikli Elektronik İmza
eIDAS gereksinimleri
- AES'in tüm gereksinimlerini karşılar
- Nitelikli bir imza oluşturma cihazı (QSCD) tarafından oluşturulur
- Bir QTSP tarafından verilen nitelikli sertifikaya dayalı (AB güven listesi)
Kullanım örnekleri
- Dijital resmi senetler
- Talepkar kamu ihaleleri
- Düzenlenmiş senetler
Hukuki değer
El yazısı imzayla eşdeğer yasal karine (eIDAS 25. madde)
eIDAS 2.0: 2024'ün yenilikleri
eIDAS tüzüğü, 30 Nisan 2024’te AB Resmi Gazetesi’nde yayınlanan ve 20 Mayıs 2024’te yürürlüğe giren (AB) 2024/1183 tüzüğü tarafından revize edildi. Bu revizyon, ilk çerçeveyi çağdaş dijital zorluklara yanıt verecek şekilde modernize eder: vatandaşların dijital kimliği, egemen bulut, güven sağlayıcıların direnci.
eIDAS 2.0'ın amiral gemisi önlemi Avrupa Dijital Kimlik Cüzdanı (EUDIW)'dır. 2026 sonuna kadar her üye devlet, vatandaşlarına ve sakinlerine sertifikalı kimlik belgelerini saklayabilecekleri ve sunabilecekleri bir uygulama sunmalıdır — kimlik kartının, ehliyetin, diplomaların dijital eşdeğeri. Bu gelişme nitelikli imza süreçleri üzerinde doğrudan etkiye sahip olacak.
Dijital kimlik cüzdanı (EUDIW)
eIDAS 2.0, Avrupa Dijital Kimlik Cüzdanı'nı (European Digital Identity Wallet) tanıtır: her Avrupa vatandaşı, AB genelinde birlikte çalışabilir bir mobil uygulamada sertifikalı kimlik belgelerini (kimlik kartı, ehliyet, diplomalar) saklayabilecek.
QTSP'lerin güçlendirilmesi
Nitelikli güven hizmeti sağlayıcılarına (QTSP) uygulanabilir gereksinimler, özellikle siber güvenlik, denetimler ve hizmet sürekliliği konularında güçlendirilmiştir.
Yeni güven hizmetleri
eIDAS 2.0 yeni nitelikli hizmetler ekler: nitelikli elektronik arşivleme, nitelikli atıf verisi yönetimi, nitelikli elektronik kayıt (sertifikalı blockchain).
Güçlendirilmiş birlikte çalışabilirlik
Üye devletler arasında dijital kimliklerin daha iyi karşılıklı tanınması. AB'nin herhangi bir ülkesinde verilen nitelikli imzalar her yerde tanınır.
Pratikte eIDAS uyumlu nasıl olunur?
eIDAS uyumluluğu bir imza seviyesinin seçimine indirgenmez. Tüm süreç üzerinde bir düşünme gerektirir: risklerin tanımlanması, araçların seçimi, kanıtların saklanması ve belge yönetimi.
İşte imza süreçlerini eIDAS uyumlu olarak güvence altına almak isteyen işletmeler için pratik bir kontrol listesi:
Certyneo'nun eIDAS uyumluluk yaklaşımı
Certyneo, eIDAS tüzüğünün SES (Basit Elektronik İmza) ve AES (Gelişmiş Elektronik İmza) seviyelerini uygular. Gelişmiş imza, çift faktörlü kimlik doğrulama temeline dayanır: e-posta ile gönderilen tek kullanımlık bir bağlantı ve OTP SMS aracılığıyla SMS ile gönderilen bir OTP kodu. Bu mekanizma, gelişmiş imza için eIDAS’ın 26. maddesinin dört kriterini karşılar.
Her zarf tam bir denetim izi üretir: her eylemin zaman damgası (gönderim, bağlantının açılması, OTP’nin doğrulanması, imzanın uygulanması, olası red), imzacının IP adresi, tarayıcının user-agent’ı. Bu denetim izi son PDF’in her sayfasının altına entegre edilir (denetim altbilgisi) ve 10 yıl saklanır.
Veriler Fransa’da barındırılmaktadır (IONOS altyapısı), Avrupa Birliği’nde, dijital egemenlik gereksinimlerine ve GDPR’ye uygundur. Tüm teknik ayrıntılar için güvenlik ve uyumluluk sayfamıza bakın.
eIDAS hakkında sıkça sorulan sorular
eIDAS tüzüğü nedir?
eIDAS (Electronic Identification, Authentication and Trust Services), elektronik imzalar, elektronik mühürler, zaman damgaları, elektronik taahhütlü gönderim hizmetleri ve Avrupa Birliği'nde web sitesi kimlik doğrulama hizmetleri için ortak bir hukuki çerçeve kuran (AB) 910/2014 sayılı Avrupa tüzüğüdür. 1 Temmuz 2016'da yürürlüğe girdi ve 27 üye devlette doğrudan uygulanır.
eIDAS ve eIDAS 2.0 arasındaki fark nedir?
eIDAS 2.0 ((AB) 2024/1183 tüzüğü, 20 Mayıs 2024'te yürürlüğe girdi), Avrupa Dijital Kimlik Cüzdanı'nı (EUDIW — European Digital Identity Wallet) tanıtarak eIDAS 1.0'ı modernize eder; bu cüzdan Avrupa vatandaşlarının sertifikalı dijital kimlik belgelerini saklamalarına olanak tanıyacaktır. İşletmeler için eIDAS 2.0, nitelikli güven hizmeti sağlayıcılarının (QTSP) gereksinimlerini güçlendirir ve sınır ötesi birlikte çalışabilirliği iyileştirir.
eIDAS'a göre basit elektronik imzanın hukuki değeri var mı?
Evet. eIDAS'ın 25. maddesi, yalnızca elektronik formda olması nedeniyle bir elektronik imzaya hukuki etkileri reddetmeyi açıkça yasaklar. Basit imza (SES) bu nedenle hukuki değere sahiptir, ancak nitelikli imzalara (QES) özgü yasal karineden yararlanmaz. Anlaşmazlık durumunda imzayı ileri sürenin özgünlüğünü kanıtlaması gerekir.
Sözleşmelerim için hangi eIDAS seviyesini seçeceğimi nasıl bilirim?
Genel kural, seviyeyi belgenin hukuki ve ticari riskine göre ayarlamaktır. Düşük riskli günlük belgeler için (teklifler, dahili siparişler) basit imza yeterlidir. Önemli ticari sözleşmeler, iş sözleşmeleri, NDA'lar veya vekaletnameler için gelişmiş imza (AES) önerilir. Nitelikli imza (QES) yasanın açıkça gerektirdiği durumlara (bazı idari senetler, büyük çaplı kamu ihaleleri) veya itiraz riskinin maksimum olduğu durumlara ayrılmıştır.
Certyneo eIDAS'a nasıl uyumlu?
Certyneo, eIDAS'a uygun olarak basit imzayı (SES) ve gelişmiş imzayı (AES) uygular. Gelişmiş imza, imzacıyı eylemine bağlayan çift e-posta + SMS OTP (OTP SMS) üzerine kuruludur. Her zarf, son PDF'e entegre edilmiş zaman damgalı bir denetim izi üretir. Veriler Fransa'da (AB) dijital egemenlik gereksinimlerine uygun olarak barındırılır.
eIDAS Avrupa Birliği dışındaki işletmelere uygulanır mı?
eIDAS, AB'de sunulan güven hizmetlerine uygulanır. AB dışında kurulu bir işletmenin imzalarının AB'de tanınmasını istemesi durumunda eIDAS uyumlu bir çözüm veya bir üye devletin güven listesinde tanınan nitelikli güven sağlayıcı (QTSP) kullanması gerekir. Uluslararası B2B alışverişler için bazı üçüncü ülkelerle karşılıklı tanıma anlaşmaları mevcuttur.