eIDAS 2: новий європейський регламент пояснений у 2026 році

Вступ: чому eIDAS 2 змінює все для європейських підприємств

Вступивши в силу 20 травня 2024 року після тривалого законодавчого процесу, регламент eIDAS 2 — офіційно названий Регламентом (ЄС) 2024/1183 — становить найамбітнішу реформу, коли-либо здійснювану в галузі електронної ідентифікації та служб довіри в Європі. Він скасовує та частково замінює первинний регламент eIDAS 2014 року (№910/2014), зберігаючи зворотну сумісність з існуючою інфраструктурою. Для підприємств, які використовують електронний підпис відповідно до eIDAS, це переформатування запроваджує нові обов'язки, невідомі раніше можливості та суворий календар відповідності до 2026 року та далі. Ця стаття детально розшифровує ключові положення документу, їх оперативні наслідки та спосіб, яким ваша організація може до них підготуватися.

---

Що фундаментально змінює регламент eIDAS 2

Від регламенту 2014 року до версії 2024 року: структурна реформа

Первинний регламент eIDAS 2014 року встановив основи для взаємного визнання схем електронної ідентифікації між державами-членами та встановив єдину правову базу для служб довіри (підпис, печатка, часова мітка тощо). Але десять років потому обмеження були очевидні: низька частота впровадження сповіщених eID, фрагментація національних рішень, відсутність універсального цифрового портфеля для громадян та, найголовніше, непристосованість до використання інтернету (GAFAM виключені з рамок довіри).

eIDAS 2 виправляє ці недоліки за трьома основними напрямами:

1. Європейський портфель цифрової ідентичності (EUDI Wallet) — кожна держава-член повинна запропонувати, не пізніше листопада 2026 року, додаток портфеля, який дозволяє будь-якому європейському громадянину або мешканцю безпечно зберігати та представляти свої атрибути ідентичності (посвідчення особи, водійське посвідчення, дипломи тощо).
2. Розширення кваліфікованих служб довіри — документ додає нові кваліфіковані послуги: управління кваліфікованим електронним архівуванням (QESAP), звіти про кваліфіковані атрибути ідентичності (QEAA), кваліфіковані електронні реєстри (QLED) та управління пристроями для створення дистанційного підпису (QRCD).
3. Обов'язок для великих платформ — постачальники онлайн-сервісів великого розміру (соціальні мережі, маркетплейси) повинні будуть приймати портфель EUDI для автентифікації користувачів.

Портфель EUDI Wallet: архітектура та функціонування

EUDI Wallet знаходиться в центрі eIDAS 2. Конкретно це програмне застосування — надане або сертифіковане кожною державою-членом — яке базується на децентралізованій моделі вибіркового представлення атрибутів. Користувач передає лише дані, абсолютно необхідні для транзакції (принцип мінімізації, відповідно до GDPR).

З технічної точки зору, архітектура базується на специфікаціях Architecture Reference Framework (ARF), опублікованого Європейською Комісією та регулярно оновлюваного Large Scale Pilot (LSP), який об'єднує чотири пілотні консорціуми (DC4EU, EWC, POTENTIAL, NOBID). Обрані формати даних переважно ISO/IEC 18013-5 (mDL/mDocs) та W3C Verifiable Credentials, гарантуючи трансграничну взаємосумісність.

Для підприємств це означає, що вони зможуть, з часом, перевірити ідентичність своїх клієнтів або партнерів через портфель без самостійного управління збиранням документів — суттєво зменшуючи тертя в KYC (Know Your Customer) та ризики шахрайства з документами.

---

Рівні гарантії та ієрархія підписів: що змінюється

Збереження ієрархії QES / AdES / SES

Режим електронних підписів залишається структурованим навколо трьох рівнів, визначених у статті 3 eIDAS 2 (повторюючи термінологію 2014 року, але уточнюючи технічні вимоги):

• Простий електронний підпис (SES): мінімальна доказова цінність, придатна для звичайних актів.
• Розширений електронний підпис (AdES): виключний зв'язок з підписувачем, можливість виявити будь-яку подальшу зміну.
• Кваліфікований електронний підпис (QES): юридичний еквівалент рукописного підпису у всій ЄС (стаття 25§2), виданий через кваліфікований пристрій для створення підпису (QSCD) на основі кваліфікованого сертифіката.

Новизна полягає в тому, як QES тепер може надаватися через кваліфіковані послуги дистанційного підпису (QRCD), умови акредитації яких деталізовані у статтях 29a та 29b переглянутого документу. Це відкриває шлях до 100% цифрових потоків для найбільш вимогливих актів — нотаріально посвідчені контракти, електронні автентичні акти — без необхідності фізичної смарт-карти.

Вплив на постачальників кваліфікованих служб довіри (QTSP)

Постачальники, такі як Certyneo, які працюють на основі сертифікованих QTSP, повинні передбачити нові вимоги з аудиту, запроваджені eIDAS 2. Стаття 24 тепер накладає посилені контролі над ланцюгом аутсорсингу, а вимоги до сповіщення про інциденти безпеки явно узгоджуються з директивою NIS2 (24-годинний термін для початкового сповіщення). Для більш глибокого розуміння функціонування різних рівнів підпису в контексті B2B, зверніться до нашого всебічного посібника з електронного підпису в підприємстві.

---

Графік розгортання та обов'язки для підприємств у 2025-2026 роках

Ключові етапи розгортання

Регламент (ЄС) 2024/1183 був опублікований у Офіційному журналі ЄС 30 квітня 2024 року та вступив в силу 20 травня 2024 року. Виконавчі та делеговані акти — важливі для уточнення технічних вимог — публікуються поступово:

| Термін | Обов'язок | |---|---| | Май 2024 | Вступлення регламенту в силу | | Кінець 2024 | Публікація виконавчих актів на ARF v2.0 | | Середина 2025 | Сертифікація перших пілотних EUDI Wallets | | Листопад 2026 | Обов'язкова доступність EUDI Wallet у кожній державі-члені | | 2027 | Обов'язкове прийняття великими онлайн-платформами |

Що підприємства B2B повинні зробити зараз

Для підприємств, які використовують рішення електронного підпису, у 2025-2026 роках виникають три пріоритети:

1. Перевірити свій ланцюг довіри: переконатися, що їх постачальник підпису дійсно указаний у списку QTSP (Trusted List) своєї держави-члена, та що використовувані сертифікати відповідають новим специфікаціям ETSI EN 319 401 та EN 319 411-1.

2. Передбачити інтеграцію EUDI Wallet: підприємства, які працюють у регульованих секторах (банки, страховки, охорона здоров'я, нерухомість), будуть серед перших, у кого виникнуть потоки перевірки ідентичності через портфель. Рекомендується підготувати API інтеграції вже у 2025 році.

3. Переглянути свої політики збереження: нова кваліфікована послуга електронного архівування (QESAP) запроваджує стандарти збереження в довгостроковій перспективі, які можуть бути обов'язковими в деяких секторах (державні закупівлі, фармацевтичний сектор). Наш калькулятор ROI для електронного підпису дозволяє оцінити фінансовий вплив оновлення вашої документальної інфраструктури.

---

Взаємосумісність, GDPR та питання цифрового суверенітету

eIDAS 2 та GDPR: посилена доповнювальність

Однією з великих переваг eIDAS 2 є явна інтеграція принципів захисту даних з моменту проектування (privacy by design) в архітектуру портфеля EUDI. Стаття 5a§14 передбачає, що портфель не дозволяє постачальникам відстежувати поведінку користувача під час транзакцій. Емітенти кваліфікованих атрибутів ідентичності (QEAA) не інформуються про використання видалених посвідчень — що є великим розривом з поточними централізованими моделями.

Ця архітектура називається unlinkability (неспорідненість): дві окремі транзакції, здійснені одним користувачем, не можуть бути пов'язані без його згоди. Ця гарантія перевищує мінімальні вимоги GDPR, одночасно прекрасно узгоджуючись з ними.

Геополітичний аспект: повернення контролю над онлайн-ідентичністю

eIDAS 2 також відповідає питанню суверенітету. На сьогодні онлайн-аутентифікація в значній мірі спирається на кнопки "Увійти через Google/Facebook/Apple", що надає американським технологічним гігантам домінуючу позицію в управлінні цифровими ідентичностями в Європі. Вимагаючи від дуже великих платформ (у розумінні Закону про цифрові послуги) приймати EUDI Wallet як засіб аутентифікації, eIDAS 2 створює взаємосумісну та суверенну альтернативу.

Для B2B підприємств це також означає, що відповідність eIDAS 2 може стати критерієм вибору постачальника у державних і приватних тендерах — як нині представляють сертифікацію ISO 27001 у процесах закупівлі. Якщо ваша організація розглядає оновлення поточного рішення, наш посібник з миграції з DocuSign або YouSign на Certyneo деталізує етапи контрольованого переходу.

Правова база, застосовна до eIDAS 2 та електронного підпису

Документи-посилання

Регламент (ЄС) 2024/1183 Європейського Парламенту та Ради від 11 квітня 2024 року, що змінює Регламент (ЄС) №910/2014 щодо встановлення рамок Європейського союзу для цифрової ідентичності (eIDAS 2). Опублікований у DZUE від 30 квітня 2024 року, вступив в силу 20 травня 2024 року.

Регламент (ЄС) №910/2014 (eIDAS 1): залишається в силі для своїх положень, не змінених, зокрема статей, пов'язаних з рівнями гарантій "низький", "суттєвий" та "високий" для сповіщених схем ідентифікації.

Цивільний кодекс Франції, статті 1366 та 1367: письмовий документ у електронному вигляді має ту ж доказову силу, що й письмовий документ на папері, за умови, що особа, від якої він походить, дозвіленим чином ідентифікована, та документ складений в умовах, що гарантують його цілісність. Кваліфікований електронний підпис (QES) за значенням eIDAS 2 задовольняє ці вимоги повністю.

Регламент (ЄС) 2016/679 (GDPR): обробка даних ідентичності в рамках портфеля EUDI підлягає принципам мінімізації (стаття 5§1c), обмеження цілей (стаття 5§1b) та захисту даних з моменту проектування (стаття 25). Кваліфіковані постачальники беруть на себе роль окремих контролерів обробки даних для операцій перевірки.

Директива (ЄС) 2022/2555 (NIS2): перенесена у французьке право ординацією №2024-528 від 12 червня 2024 року, вона накладає на постачальників кваліфікованих служб довіри обов'язки з управління кіберризиками та сповіщення про інциденти протягом 24 годин.

Стандарти ETSI:

• EN 319 132 (XAdES) та EN 319 122 (CAdES): розширені формати електронного підпису.
• EN 319 401: загальні вимоги до постачальників служб довіри.
• EN 319 411-1 та 411-2: політика та вимоги безпеки для ЦС, що видають кваліфіковані сертифікати.
• EN 319 521: вимоги до кваліфікованих послуг збереження підписів (QESAP).

Обов'язки та юридичні ризики для підприємств

Будь-яке підприємство, яке використовує електронні підписи в договірному контексті, повинно переконатися, що обраний рівень підпису відповідає вартості та природі акту. Для актів, на які поширюється юридична вимога підпису (обіцянки про продаж, трудові контракти, замовлення понад певні суми), лише QES або AdES на основі кваліфікованого сертифіката забезпечує презумпцію надійності, передбачену статтею 26 eIDAS 2.

У разі спірки навантаження доказів змінюється: якщо підпис кваліфікований, стороні, що оспорює документ, потрібно довести його зміну; якщо він простий або розширений без кваліфікованого сертифіката, навантаження доказів лягає на підписувача, який його використовує. Недотримання вимог щодо прослідковуваності та цілісності може призвести до недійсності акту або непередачі підпису третій стороні.

Сценарії використання: eIDAS 2 застосований до B2B підприємств

Сценарій 1 — Консалтингова фірма з цифрової трансформації (близько 80 консультантів)

Структура консалтингу, яка розгортає своїх співробітників у клієнтів у кількох державах-членах (Франція, Німеччина, Нідерланди), повинна щомісяця підписувати накази на виконання робіт, доповнення до контрактів та протоколи прийняття робіт. До eIDAS 2, управління трансграничними ідентичностями генерувало тертя: відмова деяких німецьких клієнтів визнавати сертифікати, видані французьким QTSP, подвійна аутентифікація через електронну пошту недостатньою для чутливих актів.

З розгортанням EUDI Wallet у 2026 році консультанти зможуть підписувати зі свого національного портфеля — визнаного за правом у всіх державах-членах — без жодного тертя. Фірма оцінює скорочення на 60-70% часу, присвяченого обміну перевіркою документів перед підписанням, що становить близько 3-4 годин на консультанта на місяць згідно з еталонними показниками сектору, опублікованими McKinsey Digital (2024).

Сценарій 2 — Промислова МСП, яка управляє 350 контрактами з постачальниками на рік

МСП у секторі промислового обладнання, яка працює зі сотнею європейських та азіатських постачальників, повинна контрактувати замовлення, угоди про конфіденційність (NDA) та рамкові контракти. До цього часу 30% цих документів повертаються без дійсного підпису або з затримками більше 10 робочих днів.

Прийнявши рішення електронного підпису, відповідне eIDAS 2, з перевіркою ідентичності через кваліфіковані атрибути (QEAA), МСП може нав'язати потік підпису, де ідентичність юридичного представника постачальника автоматично перевіряється через портфель EUDI без ручного введення. Очікуваний результат: скорочення середнього часу підпису з 10 днів до менше 48 годин та зменшення на 40% спорів, пов'язаних з невідповідними підписами, на основі діапазонів, спостережених у звітах ELENIUS 2025 про цифровізацію B2B.

Сценарій 3 — Група з нерухомості, яка управляє попередніми угодами про продаж у кількох країнах

Мережа агентств нерухомості, яка працює у Франції, Іспанії та Португалії, повинна регулярно підписувати попередні контракти між продавцями та покупцями різних національностей. QES вимагається в деяких контекстах, щоб гарантувати еквівалентність рукописному підпису перед нотаріусом.

Завдяки eIDAS 2 та взаємосумісності портфелів EUDI, португальський покупець може підписати попередній контракт, на який поширюється французьке право, використовуючи свій національний портфель з рівнем гарантії "високий", автоматично визнаним платформою підпису. Група скорочує витрати на подорожі та засвідчення приблизно на 800-1200 євро на трансграничну справу, одночасно скорочуючи термін закриття попередніх контрактів з 3 тижнів до середнього 5 днів. Для використання, характерного для сектору, наша спеціалізована сторінка про електронний підпис у нерухомості деталізує адаптовані робочі процеси.

Висновок

eIDAS 2 — це не просто нормативне оновлення: це глибока переробка способу функціонування цифрової ідентичності та електронної довіри в Європі. Портфель EUDI Wallet, нові кваліфіковані послуги, вимога взаємосумісності та узгодження з NIS2 та GDPR формують узгоджену екосистему, яка трансформуватиме договірні процеси та аутентифікацію B2B підприємств до кінця 2026 року.

Щоб залишатися відповідними та конкурентоспроможними, організації B2B повинні діяти негайно: перевірити свій ланцюг довіри, вибрати постачальника, узгодженого з новими вимогами, та підготувати свої документальні потоки до інтеграції європейського портфеля цифрової ідентичності.

Certyneo супроводжує вас у цьому переході з рішеннями кваліфікованого електронного підпису, відповідними eIDAS 2, готовими до 2026 року. Попросіть демонстрацію або створіть свій обліковий запис на Certyneo для безпеки ваших контрактів з сьогоднішнього дня.