Календар eIDAS 2: розгортання в ЄС 2026-2027

Введення: чому календар eIDAS 2 є критичним для вашої організації

З моменту набрання чинності Регламентом (ЄС) 2024/1183 — розповсюджено відомим як eIDAS 2 — європейські рамки цифрової ідентичності та електронного підпису переживають найглибшу трансформацію з 2014 року. Якщо переглянутий текст формально прийнято, саме його операційне розгортання, розтягнуте на період між 2024 та 2027 роками, тепер концентрує увагу директорів з інформаційних систем, юристів та відповідальних осіб за відповідність вимогам. Розуміння офіційного календару розгортання Регламенту eIDAS 2 в Європейському союзі дозволяє передбачити зобов'язання, забезпечити безпеку своїх контрактних процесів та уникнути будь-яких невідповідностей з вимогами законодавства. Ця стаття розшифровує ключові етапи, очікувані акти виконання та конкретний вплив на французькі та європейські компанії.

---

1. Нагадування: що таке eIDAS 2 та чому цей перегляд?

1.1 Обмеження eIDAS 1 (2014)

Оригінальний Регламент eIDAS (№ 910/2014) заклав основи цифрової довіри в Європі: взаємне визнання електронних підписів, створення кваліфікованих рівнів (QES), простих (SES) та розширених (AdES), а також акредитація постачальників послуг довіри (Trust Service Providers, TSP). Однак десять років застосування виявили кілька серйозних прогалин:

• Національна фрагментація: менш ніж 19% європейських громадян користувалися трансграничною схемою електронної ідентифікації у 2022 році, за даними Європейської комісії.
• Відсутність портфеля цифрової ідентичності: eIDAS 1 не передбачав універсального інструменту, який дозволив би кожному громадянину чи компанії довести свою ідентичність в Інтернеті в усіх державах-членах.
• Часткове охоплення: послуги кваліфікованого електронного архівування або атестації атрибутів не були гармонізовані.

1.2 Конструктивні внески eIDAS 2

Прийнято 11 квітня 2024 року та опубліковано в Офіційному журналі ЄС 30 квітня 2024 року, Регламент (ЄС) 2024/1183 запроваджує, зокрема:

• Портфель європейської цифрової ідентичності (EUDI Wallet): портфель цифрової ідентичності, який кожна держава-член має запропонувати своїм громадянам.
• Нові кваліфіковані послуги довіри: атестації кваліфікованих електронних атрибутів, кваліфіковане електронне архівування, управління пристроями для створення підписів на відстані.
• Розширення сфери застосування: великі онлайн-платформи (у розумінні Регламенту DSA) повинні прийняти EUDI Wallet для аутентифікації користувачів.
• Посилення управління: створення більш суворої системи сертифікації відповідності для TSP.

Для поглиблення основ регламенту наш повний посібник з eIDAS 2.0 детально описує всі нормативні зміни.

---

2. Офіційний календар розгортання eIDAS 2: етапи та ключові дати 2024-2027

Регламент eIDAS 2 структурує своє набрання чинності навколо механізму в кілька часів: набрання чинності, акти виконання Комісії, національна трансформація та ефективне розгортання інструментів. Ось офіційна дорожна карта.

2.1 Фаза 1 — Набрання чинності та делеговані акти (травень 2024 – кінець 2025)

| Дата | Етап | |---|---| | 30 квітня 2024 | Публікація Регламенту (ЄС) 2024/1183 в ЛЄСТ | | 20 травня 2024 | Офіційне набрання чинності (J+20 після публікації) | | T3-T4 2024 | Запуск робочих груп з актів виконання (Toolbox eIDAS 2) | | Кінець 2024 | Публікація перших технічних специфікацій для EUDI Wallet (ARF — Architecture Reference Framework v1.4) | | T1-T2 2025 | Акти виконання Комісії щодо технічних специфікацій портфелів (термін 12 місяців, передбачений статтею 5a) | | T3 2025 | Акти виконання щодо нових кваліфікованих послуг довіри |

Європейська комісія опублікувала в січні 2025 року перший пакет актів виконання щодо спільних технічних специфікацій EUDI Wallet. Ці тексти становлять обов'язкову технічну основу для держав-членів.

2.2 Фаза 2 — Розгортання пілотних проектів та національні трансформації (2025-2026)

У рамках програми великих пілотних проектів (Large Scale Pilots — LSP) чотири консорціуми тестували EUDI Wallet з 2023 року на понад 360 сценаріях використання в 25 державах-членах:

• EU Digital Identity Wallet Consortium (EUDIW) — 140+ суб'єктів
• NOBID — зосередже на цифрових платежах
• POTENTIAL — ідентичність та атрибути
• DC4EU — дипломи та професійні кваліфікації

Результати цих пілотів безпосередньо живлять акти виконання. На національному рівні держави-члени мають 24 місяці з моменту набрання чинності актів виконання для розгортання свого національного портфеля. На практиці це означає, що переважна більшість національних розгортань очікується між серединою 2026 та кінцем 2026 року.

| Період | Очікувані дії | |---|---| | T1-T2 2026 | Остаточне прийняття бракуючих актів виконання (кваліфіковане архівування, атестації атрибутів) | | T2 2026 | Перші виробничі версії EUDI Wallets в передових державах (Німеччина, Нідерланди, Іспанія) | | T3-T4 2026 | Поступове розгортання в 27 державах-членах — відкриття для професійних користувачів | | Кінець 2026 | Зобов'язання приймати EUDI Wallet для онлайн-послуг державного сектору (ст. 5b) |

Франція, через Національне агентство безпеки інформаційних систем (ANSSI) та Міжвідомче управління цифровими технологіями (DINUM), розпочала роботи з адаптації в 2025 році. Проект французького портфеля спирається на France Identité як на технічну основу.

2.3 Фаза 3 — Зобов'язання щодо прийняття для приватного сектору (2027)

Це найбільш впливовий етап для компаній. Стаття 5b Регламенту eIDAS 2 вимагає, щоб певні постачальники приватного сектору прийняли EUDI Wallet для онлайн-ідентифікації в таких областях:

• Банківські та фінансові послуги (відкриття рахунку, KYC)
• Мобільність (транспорт, оренда автомобілів)
• Енергетика (споживчі контракти)
• Дуже великі онлайн-платформи (у розумінні DSA, > 45 мільйонів щомісячних користувачів в ЄС)
• Телекомунікації

Термін обов'язкового прийняття встановлено на 12 місяців після надання портфеля в кожній державі-члені, що розташовує реальний дедлайн для більшості секторів у першій половині 2027 року.

Для компаній, які вже використовують рішення електронного підпису, сумісні з eIDAS, завдання полягає в забезпеченні сумісності їх документообігу з новими атрибутами ідентичності з цифрових портфелів.

---

3. Вплив на постачальників послуг довіри (TSP) та редакторів SaaS

3.1 Нові зобов'язання для кваліфікованих TSP

Постачальники кваліфікованих послуг довіри (QTSP) повинні оновити свої практики сертифікації для інтеграції нових категорій послуг, введених eIDAS 2:

• Атестації кваліфікованих електронних атрибутів: цифровий водійське посвідчення, дипломи, професійні кваліфікації
• Кваліфіковане електронне архівування: послуга, яка гарантує довгостроковість цілісності підписаних документів
• Управління пристроями для створення підписів на відстані (RQSCD): уточнення рамок для хмарних рішень

QTSP мають до 18 місяців після публікації переглянутих стандартів ETSI (очікувані T2-T3 2026) для відповідності новим технічним вимогам, що розташовує перші ефективні повторні сертифікації у 2027 році.

3.2 Що це означає для користувальницьких компаній

Якщо ваша організація використовує постачальника послуг електронного підпису SaaS — чи то кваліфіковане рішення QES, чи інструмент розширеного підпису — кілька питань відповідності виникають уже зараз:

1. Ваш постачальник перебуває в процесі оновлення своєї сертифікації для інтеграції вимог eIDAS 2?
2. Ваші робочі процеси підписання готові отримувати ідентичності з EUDI Wallets?
3. Ваша політика архівування відповідає майбутнім вимогам кваліфікованого електронного архівування?

Наш порівняльний аналіз рішень електронного підпису тепер включає критерій roadmap eIDAS 2 як ключовий диференціюючий фактор.

3.3 Технічні стандарти довідки

ETSI (Європейський інститут телекомунікаційних стандартів) відповідає за розроблення гармонізованих стандартів, на які спирається eIDAS 2. Програма робіт на 2025-2027 роки охоплює, зокрема:

• ETSI EN 319 411-1 та -2 (переглянуті): політики та вимоги для TSP, які видають сертифікати
• ETSI EN 319 132-1 (XAdES) та EN 319 122-1 (CAdES): формати розширеного та кваліфікованого підпису
• ETSI TS 119 500: рамки довіри для послуг кваліфікованого електронного архівування
• ISO/IEC 18013-5: протокол представлення атрибутів mDL (мобільне водійське посвідчення), прийнято як технічна основа EUDI Wallet

---

4. Календар eIDAS 2 у Франції: стан і специфічні зобов'язання

4.1 Роль ANSSI у національному управлінні

У Франції ANSSI є органом нагляду за постачальниками послуг довіри відповідно до eIDAS. З огляду на eIDAS 2, вона керує:

• Адаптацією загального еталону безпеки (RGS) для інтеграції нових кваліфікованих послуг
• Участю в роботі групи співпраці eIDAS (стаття 46e Регламенту)
• Наглядом за аудитами відповідності французьких QTSP

ANSSI опублікувала в березні 2025 року національну дорожну карту, яка уточнює етапи адаптації французької системи до eIDAS 2, з точкою перевірки, запланованою на вересень 2026 року.

4.2 Зобов'язання для великих французьких компаній

Французькі компанії, які перевищують пороги DSA або діють у секторах, визначених статтею 5b, повинні розпочати аналіз впливу прямо зараз. Рекомендовані етапи:

1. Картографія потоків ідентифікації: визначити процеси, де потрібна цифрова ідентичність (KYC, підписання контрактів, доступ до клієнтських просторів)
2. Оцінка поточних постачальників: перевірити їх дорожну карту відповідності eIDAS 2
3. План оновлення умов використання та політик підписування: передбачити інтеграцію атрибутів ідентичності з EUDI Wallets
4. Навчання юридичних та IT-команд: технічні та правові рамки значно еволюціонують

Для компаній, які керують значними обсягами контрактів, інструменти електронного підпису для підприємств повинні оцінюватися з урахуванням їх спроможності розвиватися в бік eIDAS 2 без переривання послуг.

4.3 Взаємодія з іншими європейськими нормативними документами

Розгортання eIDAS 2 не відбувається окремо. Вона тісно пов'язана з:

• GDPR (2016/679): атрибути ідентичності в EUDI Wallets є особистими даними, які підлягають принципам мінімізації та мети
• Директивою NIS 2 (2022/2555): TSP є суттєвими суб'єктами у розумінні NIS 2 та повинні задовольняти посилені вимоги кібербезпеки
• Регламентом DORA (2022/2554): фінансові установи, які використовують послуги довіри для своїх онлайн-операцій, повинні включити ці залежності в картографію своїх ICT-ризиків
• Регламентом про дані (Data Act, 2023/2854): сумісність даних ідентичності між секторами

Компанії, які вже почали свою відповідність NIS 2, знайдуть значні синергії з приведенням у відповідність eIDAS 2, зокрема щодо управління ризиками та безперервності діяльності.

---

5. Підготовка вашої організації вже зараз: контрольний список на 2026 рік

5.1 Для юридичних управлінь та відповідності

• [ ] Прочитайте Регламент (ЄС) 2024/1183 в його консолідованій версії та визначте застосовні вам статті
• [ ] Картографуйте контракти та процеси, які вимагають оновлення (умови підписування, політика архівування)
• [ ] Перевірте територіальну дійсність ваших поточних електронних підписів у контексті eIDAS 2
• [ ] Передбачте інтеграцію кваліфікованих атестацій атрибутів (наприклад, перевірка професійної якості для нотаріальних або медичних актів)

5.2 Для IT-управлінь

• [ ] Оцініть сумісність вашого технічного стеку з протоколами EUDI Wallet (OpenID4VP, ISO 18013-5)
• [ ] Визначте API, які потрібно оновити у ваших редакторів електронного підпису
• [ ] Передбачте тести інтеграції з доступними пілотними портфелями у 2026 році
• [ ] Встановіть моніторинг актів виконання Комісії (повідомлення в Офіційному журналі ЄС)

5.3 Для бізнес-управлінь

Очікувані переваги від добре передбачуваної відповідності є конкретними: зменшення потертостей в процесах підписування завдяки попередньо перевіреній ідентичності EUDI Wallet, прискорення процесів KYC та зменшення витрат на перевірку ідентичності. Щоб оцінити окупність капіталовкладень у вашу перехід, наш калькулятор ROI електронного підпису інтегрує параметри, специфічні для відповідності eIDAS 2.

Нарешті, організації, які розглядають міграцію з інших рішень на платформу, нативно підготовану для eIDAS 2, можуть звернутися до нашого посібника з міграції з DocuSign або YouSign на Certyneo, який деталізує технічні та контрактні етапи переходу без переривання.

Правовий кадр, застосовний до розгортання eIDAS 2

Засновницькі тексти та ієрархія норм

Розгортання Регламенту eIDAS 2 вписується в стратифіковану правову базу, володіння якою є важливим для будь-якої організації, котра підлягає зобов'язанням щодо відповідності.

Регламент (ЄС) 2024/1183 Європейського парламенту та Ради — називається « eIDAS 2» — становить еталонну норму. Він скасовує та замінює Регламент (ЄС) № 910/2014 (eIDAS 1) щодо пунктів, які він переглядає, водночас зберігаючи дійсність існуючих сертифікацій під час перехідних періодів, передбачених статтями 51 та наступними. Опублікований в Офіційному журналі ЄС серія L 30 квітня 2024 року, він набув чинності 20 травня 2024 року.

Цивільний кодекс Франції, статті 1366 та 1367, визнають електронний підпис еквівалентним підпису від руки, коли він задовольняє умови ідентифікації підписувача та цілісність документа. Ці положення тлумачаться в світлі європейського права eIDAS, яке має перевагу на підставі принципу верховенства права Союзу.

Регламент (ЄС) 2016/679 (GDPR) повністю застосовується до обробки персональних даних, здійснюваної в контексті EUDI Wallet та послуг довіри. Атрибути ідентичності (біографічні дані, кваліфікації, посвідчення) становлять персональні дані у розумінні статті 4 §1 GDPR. Принцип мінімізації (ст. 5 §1 c) є особливо актуальним: постачальники повинні збирати лише атрибути, строго необхідні для мети транзакції.

Директива (ЄС) 2022/2555 (NIS 2), трансформована у французьке законодавство Законом № 2024-449 від 21 травня 2024 року, класифікує постачальників послуг кваліфікованої довіри серед суттєвих суб'єктів, котрі підлягають посиленим зобов'язанням щодо управління кіберризиками, повідомлення про інциденти та безпеки ланцюга поставок.

Стандарти ETSI становлять технічний еталонний довідник eIDAS 2:

• ETSI EN 319 401: загальні вимоги для TSP
• ETSI EN 319 411-1/-2: політики для TSP, які видають кваліфіковані сертифікати
• ETSI EN 319 132-1: формат XAdES (підписи XML розширені)
• ETSI EN 319 122-1: формат CAdES (підписи CMS розширені)
• ETSI EN 319 162-1: формат ASiC (контейнери підписів)

Юридичні ризики при недотриманні

Невиконання зобов'язань eIDAS 2 піддає організації декільком ризикам:

1. Недійсність підписів: електронний підпис, здійснений через TSP, що не відповідає новим вимогам, може втратити законну презумпцію дійсності, ставлячи під сумнів доказову силу підписаних контрактів.
2. Адміністративні санкції: національні органи нагляду (ANSSI у Франції) можуть здійснювати коригуючі заходи, наказати привести у відповідність, а навіть скасувати акредитацію для TSP.
3. Договірна відповідальність: компанії, які використовують несумісні інструменти, можуть нести відповідальність перед своїми клієнтами та партнерами, якщо суперечка стосується дійсності електронного акту.
4. Накопичення з GDPR: невідповідне управління атрибутами ідентичності EUDI Wallet може одночасно піддати санкціям CNIL (до 4% річного світового обороту).

Конкретні сценарії використання перед обличчям графіка eIDAS 2

Сценарій 1 — Середня за розміром адвокатська контора, що керує трансграничними актами

Адвокатська контора, присвячена комерційному праву, з близько п'ятнадцятьма співробітниками та регулярною обробкою M&A операцій, які залучають контрагентів у кількох державах-членах ЄС (Бельгія, Нідерланди, Іспанія), наразі використовує кваліфіковане рішення електронного підпису для своїх актів передачі та протоколів конфіденційності. З набранням чинності графіком eIDAS 2 контора передбачає дві основні еволюції до кінця 2026 року:

• Спрощена перевірка ідентичності: іноземні контрагенти можуть представити свої атрибути ідентичності через свій національний EUDI Wallet, скасовуючи обмін копіями паспортів та надлишкові процедури KYC. Згідно з оцінками з звітів Європейської комісії щодо LSP, виграш у часі на етапі перевірки ідентичності оцінюється від 40% до 60% залежно від задіяних юрисдикцій.
• Посилена доказова сила: акти, підписані з ідентичностями, засвідчені кваліфікованими EUDI Wallets, матимуть ще міцнішу законну презумпцію, зменшуючи ризик судового оскарження в трансграничних спорах.

Контора планує перейти на платформу SaaS з документованою roadmap eIDAS 2 до T3 2026 року, тобто приблизно за шість місяців до перших зобов'язань щодо прийняття.

Сценарій 2 — МСП промислового сектору, що керує великим обсягом контрактів постачальників

МСП сектору промислового обладнання, яка керує близько 250 контрактами постачальників на рік, з яких 30% з партнерами в Європі за межами Франції, стикається зі зростаючими обмеженнями щодо перевірки ідентичності при онбордингу нових постачальників. Поточний процес — запит Kbis, копія посвідчення особи представника, ручна перевірка — мобілізує в середньому 2,5 години на файл, згідно з галузевими бенчмарками федерації закупівельників.

З інтеграцією EUDI Wallet у робочий процес підписування до 2027 року МСП планує:

• Скорочення на 55 до 70% часу, присвяченого перевірці ідентичності завдяки кваліфікованим атестаціям атрибутів (реєстраційний номер, представництво)
• Зменшення на 80% повторних запитів документів у іноземних постачальників
• Посилену безпеку від документальної шахрайства, адже атрибути криптографічно перевіряються

МСП визначила необхідність оновлення своїх загальних умов закупівлі, щоб інтегрувати посилання на атестації eIDAS 2, у взаємодії зі своєю юридичною консультацією.

Сценарій 3 — Госпітальний гурт, що передбачає відповідність цифровим медичним актам

Госпітальний гурт близько 900 ліжок, розташованих на трьох місцях, повинен керувати електронним підписанням чутливих медичних документів: інформовані згоди, рецепти, операційні звіти та контракти з постачальниками медичних послуг. Французька нормативна база вимагає кваліфікованого підпису для деяких медичних актів із значною правовою силою.

Перед обличчям графіку eIDAS 2 гурт передбачає прибуття кваліфікованих атестацій атрибутів для медичних професійних кваліфікацій (номер RPPS, спеціальність, установа практики), які дозволять:

• Автоматизувати перевірку якості підписувача (лікар, хірург, фармацевт) без ручної перевірки в професійних реєстрах
• Зменшити ризики помилок атрибуції підпису під час замін та чергування

-