eIDAS 2 Портфель цифрової ідентичності : Посібник 2026

Вступ у силу Регламенту eIDAS 2 позначає історичний поворот у управлінні цифровою ідентичністю в Європі. Завдяки EUDI Wallet — Європейському портфелю цифрової ідентичності — кожен громадянин і кожна компанія незабаром матимуть суверенний, взаємосумісний і визнаний у 27 державах-членах цифровий портфель. Для директорів юридичних служб, HR, комплаєнсу та IT ця нормативна робота відкриває стільки ж можливостей, скільки операційних викликів. Ця стаття розшифровує технічне і юридичне функціонування EUDI Wallet, його практичні наслідки для компаній та те, як він взаємодіє з рішеннями кваліфікованого електронного підпису, які вже розгорнуті.

Що таке eIDAS 2 і EUDI Wallet?

Від Регламенту eIDAS 1.0 до Регламенту eIDAS 2.0: структурна еволюція

Прийнятий у 2014 році, Регламент eIDAS №910/2014 заклав основи цифрової довіри в Європі: кваліфіковані електронні підписи, печатки, позначення часу та послуги аутентифікації. Але десять років потому його обмеження стали очевидні: недостатня взаємосумісність між державами-членами, нерівномірне впровадження національних цифрових ідентичностей, відсутність уніфікованого портфеля. Регламент (ЄС) 2024/1183, так звана eIDAS 2, офіційно прийнята 11 квітня 2024 року в Офіційному журналі ЄС, виправляє ці прогалини, встановлюючи спільну базу суверенної цифрової ідентичності.

Щоб поглибитися у всю нову нормативну базу, див. наш повний посібник із Регламенту eIDAS 2.0.

EUDI Wallet: архітектура та основні принципи

EUDI Wallet (Європейський портфель цифрової ідентичності) — це мобільне та/або програмне забезпечення, яке кожна держава-член повинна надати своїм громадянам і резидентам не пізніше 2026 року відповідно до статті 5a переглянутого Регламенту. На практиці цей цифровий портфель дозволяє:

• Зберігати та подавати перевірені атрибути ідентичності: посвідчення особи, водійське посвідчення, дипломи, професійні акредитації, внутрішньокомунітарний номер платника податків на додану вартість для юридичних осіб.
• Аутентифікувати користувача перед державними та приватними послугами на високих рівнях впевненості (LoA High відповідно до додатка I Регламенту).
• Електронно підписувати документи з кваліфікованим рівнем, спираючись на сертифіковані пристрої для створення кваліфікованого електронного підпису (QSCD).
• Вибірково поділяти дані (принцип selective disclosure) без розкриття більше інформації, ніж необхідно — найбільший внесок для комплаєнсу GDPR.

Архітектура грунтується на технічних специфікаціях, опублікованих Європейською Комісією через рамкову архітектуру (ARF), яку підтримує консорціум EUDIW (Європейський портфель цифрової ідентичності). Прийняті формати представлення включають у тому числі ISO/IEC 18013-5 (mDL — мобільне посвідчення водія) та SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), два відкритих стандарти, що гарантують портативність.

Хто це стосується? Компанії, що покладаються на Wallet (Relying Parties)

Регламент eIDAS 2 вводить поняття Relying Party (організація, що користується послугою). Будь-яка організація — приватна компанія, адміністрація, онлайн-платформа — яка приймає атрибути ідентичності, що надходять від EUDI Wallet, повинна зареєструватися в своїй державі-члені та дотримуватися набору технічних та безпекових зобов'язань. Стаття 5b Регламенту уточнює, що великі платформи (у розумінні DSA) та деякі сектори (банківська справа, охорона здоров'я, енергетика) будуть зобов'язані приймати EUDI Wallet з моменту введення в експлуатацію на національному рівні.

Технічне функціонування EUDI Wallet для компаній

Послідовність аутентифікації та підпису крок за кроком

Розуміння технічного процесу необхідне для передбачення інтеграції в інформаційні системи. Типовий сценарій підпису контракту через EUDI Wallet розвивається так:

1. Ініціалізація: Relying Party (наприклад, ваша платформа SaaS) генерує запит представлення, сумісний з протоколом OpenID4VP (OpenID for Verifiable Presentations).
2. Сповіщення: користувач отримує сповіщення на мобільний EUDI Wallet.
3. Згода та вибір: користувач вибирає атрибути для поділу (ім'я, прізвище, дата народження) через інтерфейс selective disclosure.
4. Перевіримо представлення: гаманець генерує криптографічний доказ, підписаний Trusted Issuer (державою-членом або акредитованим постачальником).
5. Верифікація: Relying Party перевіряє доказ через європейський реєстр довіри (Trust Framework), без зберігання зайвих даних.
6. Кваліфікований підпис: якщо потрібен акт підпису, QSCD, вбудований у гаманець або розташований у хмарі (QSign), видає кваліфікований підпис, сумісний з ETSI EN 319 132.

Цей процес гарантує рівень впевненості LoA High, найвищий передбачений Регламентом, еквівалентний верифікації віч-на-віч.

Інтеграція з існуючими платформами електронного підпису

Видавці рішень для електронного підпису повинні інтегрувати протоколи OpenID4VCI (видача) та OpenID4VP (представлення) для підключення до екосистеми EUDI. Для компаній, які вже використовують платформу, сумісну з eIDAS 1.0, перехід на eIDAS 2 передбачає технічне оновлення, але зберігає юридичну значимість вже здійснених підписів. Тому стратегічно важливо оцінити дорожну карту вашого поточного постачальника, особливо якщо ви розглядаєте міграцію з DocuSign або YouSign на рішення з більшою сумісністю.

Цифрова ідентичність юридичних осіб: корпоративна проблема

EIDAS 2 обмежується не лише фізичними особами. Стаття 5a §3 явно передбачає портфелі для юридичних осіб, що дозволяють компаніям:

• Підтвердити їх юридичне існування (еквівалент цифрового перевіреного витягу Kbis).
• Делегувати повноваження на підпис своїм співробітникам контрольованим і відповідальним чином.
• Автоматизувати верифікацію KYB (Know Your Business) у процесах B2B-контрактації.

Цей аспект особливо трансформаційний для процесів електронного підпису в компаніях, особливо в HR, юридичному та фінансовому секторах.

Графік розгортання та нормативні зобов'язання 2024-2026

Етапи впровадження згідно з Регламентом

Регламент (ЄС) 2024/1183 встановлює зобов'язуючий графік:

• Квітень 2024: публікація в Офіційному журналі, набрання чинності через 20 днів.
• Кінець 2024: публікація виконавчих актів (Implementing Acts), які визначають обов'язкові технічні специфікації.
• 2025: розгортання національних пілотних гаманців (проекти великомасштабних пілотних програм: EU Digital Identity Wallet Large Scale Pilots, фінансовані на 46 мільйонів євро Комісією).
• Кінець 2026: обов'язкова пропозиція кожною державою-членом щонайменше одного функціонального EUDI Wallet. Великі платформи та регульовані сектори повинні його приймати.

Для французьких компаній розгортання спирається на цифрову ідентичність La Poste та роботу ANSSI щодо сертифікації національних Trusted Issuers.

Зобов'язання для Relying Parties

Компанії, які бажають або повинні приймати EUDI Wallet, підпадають під кілька зобов'язань:

1. Реєстрація у компетентній національній органу влади (у Франції ANSSI і CNIL залежно від випадку).
2. Технічна сумісність зі специфікаціями ARF v2.x, опубліковані на GitHub Європейською Комісією.
3. Прозорість: опублікувати в публічному реєстрі атрибути, які запитуються, та мету обробки.
4. Мінімізація даних: запитувати лише атрибути, яких суворо необхідно — зобов'язання посилене GDPR.
5. Журналювання: вести журнали представлень для аудиту, без зберігання сирих даних ідентичності.

Компанії, які інтегрують EUDI Wallet у свої потоки електронного підпису для адвокатських контор або для управління HR, матимуть значну конкурентну перевагу з 2026 року.

Стратегічні питання та можливості для компаній

Зменшення тертя у процесах KYC/KYB

Однією з найнегайніших переваг EUDI Wallet є усунення ручної верифікації ідентичності. Сьогодні адаптація нового клієнта або партнера передбачає відправку документів, ручну перевірку та затримку обробки. За допомогою EUDI Wallet верифікація стає миттєвою, криптографічно сертифікованою та простеженою. Банківський, імобільний та страховий сектори — з'язані з обов'язками AML/CFT — бачать у цьому велику можливість автоматизації комплаєнсу. Сектор електронного підпису в нерухомості особливо постраждав, з верифікацією ідентичності, яка становить сьогодні до 40% адміністративного часу.

Цифрова суверенність та зменшення залежності від GAFAM

EUDI Wallet відповідає сильній політичній амбіції: зменшити залежність європейців від систем ідентичності, керованих не європейськими учасниками (Google, Apple, Meta). Для компаній це перекладається в взаємосумісну, відкриту та невпольовану інфраструктуру аутентифікації, засновану на стандартах ISO та W3C, а не на власницьких SDK. Ця суверенність також є аргументом комерційної диференціації у державних закупівлях, все більш чутливих до положень про локалізацію даних.

Вплив на кваліфікований електронний підпис та QTSP

Кваліфіковані постачальники послуг довіри (QTSP — Qualified Trust Service Providers) бачять еволюцію своєї ролі. За допомогою EUDI Wallet QSCD можуть бути розташовані безпосередньо у гаманці або делеговані постачальнику хмари (Remote Qualified Signature). Для компаній це означає, що кваліфікований підпис — досі зарезервований для найбільш критичних випадків через його складність — стає доступним і масштабованим. Наш порівняльний аналіз рішень для електронного підпису тепер включає цей критерій сумісності EUDI Wallet у свій аналіз.

Нормативна база, застосовна до EUDI Wallet та компаній

Регламент eIDAS 2: (ЄС) 2024/1183

Основна тиск становить Регламент (ЄС) 2024/1183 Європейського Парламенту та Ради від 11 квітня 2024 року, яким змінюється Регламент eIDAS №910/2014. Він прямо застосовується у всіх державах-членах без національного законодавчого переносу, що гарантує європейську юридичну однорідність. Статті 5a—5c визначають зобов'язання щодо EUDI Wallet, рівні впевненості та права користувачів. Стаття 46f вводить конкретні зобов'язання для Relying Parties з регульованих секторів.

Французький цивільний кодекс: статті 1366 та 1367

За французьким правом кваліфікований електронний підпис, виданий через EUDI Wallet, користується презумпцією надійності, передбаченою статтею 1367 Цивільного кодексу: «Електронний підпис складається з використання надійного процесу ідентифікації, що гарантує його зв'язок з актом, до якого він додається.» Надійність презюмується, коли підпис є кваліфікованим у розумінні eIDAS. Стаття 1366 прирівнює електронний документ до паперового документа, якщо його автор ідентифікується та цілісність гарантується — дві умови, які EUDI Wallet задовольняє природно.

GDPR №2016/679: сумісність з мінімізацією даних

Регламент (ЄС) 2016/679 (GDPR) повністю застосовується до Relying Parties, які обробляють атрибути ідентичності від EUDI Wallet. Принципи мінімізації даних (ст. 5 §1c), обмеження мети (ст. 5 §1b) та privacy by design (ст. 25) повинні бути інтегровані з самого початку технічної інтеграції. Природна selective disclosure EUDI Wallet полегшує технічно комплаєнс, але компанія залишається відповідальною (ст. 24) за документування своїх правових основ обробки.

Стандарти ETSI та технічні вимоги

Кваліфікований підпис, виданий через EUDI Wallet, повинен дотримуватися стандартів ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) та ETSI EN 319 162 (PAdES) для форматів розширеного та кваліфікованого електронного підпису. Політики сертифікації визначаються в ETSI EN 319 401 (General Policy Requirements for Trust Service Providers). Виконавчі акти Комісії уточнюють вимоги до сертифікації Trusted Issuers (стандарт ISO/IEC 27001 та критерії спільного визнання EAL 4+).

Директива NIS2: (ЄС) 2022/2555

Оператори інфраструктури EUDI Wallet (держави-члени, Trusted Issuers, QTSP) підпадають під зобов'язання директиви NIS2 (ЄС) 2022/2555, перенесеної у Франції законом №2023-703. Для користувацьких компаній NIS2 встановлює зобов'язання управління ризиками від третіх постачальників (ст. 21 §2d), що включає постачальників рішень, що інтегрують EUDI Wallet. Аналіз впливу ризиків цифрового ланцюга поставок тому рекомендується перед будь-яким розгортанням.

Сценарії використання EUDI Wallet в компаніях

Сценарій 1: Адвокатське бюро — верифікація ідентичності та підпис довіреностей

Адвокатське бюро комерційного права з двадцятьма співробітниками кожного місяця обробляє кілька сотень договорів про представництво, листів про доручення та довіреностей. Сьогодні верифікація ідентичності клієнта передбачає відправку документів електронною поштою, ручну перевірку помічником юристки та затримку у 48 годин. Завдяки інтеграції EUDI Wallet як механізму аутентифікації клієнт представляє свою цифрову посвідчення особи зі своєї гаманця менш ніж за 90 секунд. Кваліфікований підпис видається одразу, без додаткових перепон. Згідно з отриманими результатами пілотних проектів великого масштабу, проведених у 2023-2025 роках, цей тип процесу зменшує час обробки адаптації клієнта на 60-75% та усуває ризики помилок введення або прострочених документів. Бюро також отримує комплаєнс AML/CFT, оскільки атрибути ідентичності криптографічно сертифіковані державою-членом.

Сценарій 2: Промислова SME — управління контрактами постачальників та делегування влади для підпису

Промислова SME з сотнею співробітників обробляє приблизно 300 контрактів постачальників на рік, що включають менеджерів закупівлі, розподілених на три сайти. Управління делегуванням влади на підпис сьогодні документується на папері та важко піддається аудиту. За допомогою EUDI Wallet для підприємства (юридична особа) керівництво може привласнити перевіримо делегаційні атрибути кожному менеджеру закупівлі: ліміт зобов'язань, географічний обхват, період дії. Ці атрибути зберігаються у гаманці співробітника та автоматично подаються під час кожного акта підпису. У разі звільнення або зміни посади скасування миттєве та простежене. Цей механізм зменшує ризики судових суперечок щодо контрактів, пов'язаних з неавторизованими підписами, і покращує простежуваність для внутрішніх аудитів. Фінансові директори зазвичай констатують скорочення на 30-40% часу, витраченого на управління та перевірку повноважень для підпису.

Сценарій 3: Лікувально-профілактичне об'єднання — згода пацієнта та доступ до даних про здоров'я

Лікувально-профілактичне об'єднання, що складається з кількох закладів та приблизно 1500 медичних працівників, стикається зі все більш складними проблемами згоди пацієнта, особливо щодо доступу до спільних медичних записів через Mon Espace Santé. Інтеграція EUDI Wallet як механізму обґрунтованої згоди дозволяє пацієнту затвердити, зі свого смартфона, доступ лікаря-спеціаліста до своїх даних, указавши тривалість та обсяг доступу. Selective disclosure гарантує, що лише релевантні медичні атрибути поділяються. Для медичних працівників гаманець надає їх номер RPPS (Спільний реєстр медичних спеціалістів) як перевіримий атрибут, усуваючи поточні процеси ручної верифікації. Цей тип розгортання, узгоджений з базою Європейського простору даних про здоров'я (EHDS), може зменшити затримки доступу до авторизованих даних про здоров'я з кількох годин до кількох секунд. Щоб дізнатися більше про специфічні проблеми цього сектора, наш посібник із електронного підпису в охороні здоров'я деталізує застосовні нормативні обмеження.

Висновок

EUDI Wallet та Регламент eIDAS 2 становлять найбільш значущу трансформацію європейської цифрової ідентичності за останню декаду. Для компаній завдання — це не просто дотримання нового нормативного акту, а використання можливості для глибокої модернізації своїх процесів підпису, адаптації та управління делегуванням. Юридичний, HR, охорона здоров'я та промислові сектори перебувають на передовій лінії. Ключ до успіху полягає в передбаченні: оцінити зараз сумісність ваших поточних інструментів, навчити ваші команди та вибрати партнерів, дорожна карта яких узгоджена з eIDAS 2.

Certyneo супроводжує компанії в цьому переході з платформою електронного підпису, спроектованою для сумісності з EUDI Wallet з моменту її розгортання. Дізнайтеся наші пропозиції та почніть безплатно, щоб передбачити 2026 рік з повною впевненістю.