eIDAS 2 vs eIDAS 1 : ключові зміни для малих та середніх підприємств

Вступ : чому eIDAS 2 змінює правила гри для МСП

Починаючи з 20 травня 2024 року, регламент (ЄС) 2024/1183 — який зазвичай називають eIDAS 2 — набув чинності, скасовуючи та поступово замінюючи регламент (ЄС) № 910/2014 (eIDAS 1). Для французьких малих та середніх підприємств це переключення — не просто адміністративне оновлення: він переосмислює рівні цифрової довіри, вводить європейський цифровий гаманець ідентичності (EUDIW), посилює вимоги до постачальників послуг довіри та розширює спектр визнаних послуг. Ця стаття порівнює eIDAS 1 та eIDAS 2 пункт за пунктом, визначає конкретні операційні наслідки для малих та середніх підприємств та дає вам план дій, щоб залишатися в узгодженості з нормами в 2026 році.

---

1. Нагадування : що встановлював eIDAS 1 (2014-2024)

1.1 Основи первинного регламенту

Прийнятий у липні 2014 року та застосовуваний з вересня 2016 року, eIDAS 1 поклав перші основи європейського простору цифрової довіри. Він запровадив три великі категорії електронного підпису — простий (SES), розширений (AdES) та кваліфікований (QES) — та створив реєстр довіри для кваліфікованих постачальників (Trusted List), доступний на порталі Європейської комісії.

Для МСП головним внеском eIDAS 1 було трансграничне визнання кваліфікованих підписів: контракт, підписаний кваліфікованим електронним підписом французьким способом, був юридично визнаний в Німеччині, Іспанії чи Італії без апостиля або додаткових формальностей. Цей принцип — називаний принципом «недискримінації» — залишався основою, на якій компанії, такі як Certyneo, будували свої послуги.

1.2 Визначені обмеження

Незважаючи на його досягнення, eIDAS 1 страждав від кількох прогалин, задокументованих Європейською комісією в її оцінці 2021 року:

• Фрагментація схем ідентичності : тільки ті держави-члени, які повідомили свою національну схему (як FranceConnect+ на матеріальному рівні), отримували взаємне визнання. На 2023 рік тільки 14 держав з 27 повідомили про відповідну схему.
• Відсутність вбудованої підтримки мобільних пристроїв : кваліфікований пристрій для створення підпису (QSCD) часто вимагав смарт-карти або апаратного токена, що гальмувало мобільне прийняття.
• Обмежені послуги довіри : eIDAS 1 перелічував дев'ять типів кваліфікованих послуг; нові варіанти використання (кваліфіковане електронне архівування, управління атрибутами) не були передбачені нормативно-правовою базою.
• Відсутність єдиного гаманця ідентичності : кожен громадянин або підприємство керував своїми ідентифікаторами окремо, без гарантованої взаємосумісності.

Ці обмеження спонукали Комісію розпочати перегляд у 2020 році, що привело до регламенту eIDAS 2 після трьох років переговорів.

---

2. П'ять великих інновацій eIDAS 2 для МСП

2.1 Європейський цифровий гаманець ідентичності (EU Digital Identity Wallet — EUDIW)

Це найбільш помітна новинка регламенту. До листопада 2026 року (крайній термін транспозиції, встановлений у статті 5a), кожна держава-член повинна буде запропонувати своїм громадянам та мешканцям щонайменше один сертифікований цифровий гаманець ідентичності. Для МСП ця еволюція має два прямих наслідки:

1. Спрощена аутентифікація клієнтів та партнерів : гаманець дозволятиме поділяти перевірені атрибути (вік, номер ПДВ у межах ЄС, витяг з реєстру компаній, сертифіковані банківські дані) без ускладнень. Рамкова угода з німецьким партнером може бути підписана після миттєвої перевірки його професійних атрибутів з його EUDIW.
2. Обов'язок прийняття для певних секторів : онлайн-служби великих платформ (стаття 45bis) та певні державні служби повинні будуть прийняти EUDIW як засіб аутентифікації. МСП, які надають портали B2B, повинні будуть адаптувати свої API аутентифікації.

2.2 Розширення переліку кваліфікованих послуг довіри

eIDAS 2 розширює каталог кваліфікованих послуг довіри з 9 на 14 категорій. Нові записи, які безпосередньо стосуються МСП, включають:

• Кваліфіковане електронне архівування (ст. 45septies) : довгострокове збереження з посиленою доказовою силою. До цього часу архівування з доказовою силою спирався на національні стандарти (у Франції — еталон SIAF/ANSSI) ; eIDAS 2 гармонізує європейську базу.
• Дистанційне керування кваліфікованим пристроєм для створення підпису (RQSCD) : тепер явно передбачена нормативно-правовою базою, вона розв'язує неоднозначності, які довісили хмарні рішення кваліфікованого підпису. Для МСП з 50 працівників це означає доступ до кваліфікованого підпису без фізичного токена з будь-якого пристрою.
• Служба кваліфікованого електронного реєстру : реєстри, засновані на блокчейні або технологіях розподіленого реєстру, тепер можуть отримати статус кваліфікованих, відкриваючи шлях до нових моделей управління контрактами.

Щоб дізнатися більше про рівні підпису та їх юридичну вартість, див. нашу повний посібник з електронного підпису.

2.3 Посилення вимог безпеки для кваліфікованих постачальників (QTSP)

eIDAS 2 ускладнює зобов'язання кваліфікованих постачальників послуг довіри (QTSP). Перевірена стаття 24 передбачає зокрема:

• Сертифікацію кібербезпеки, відповідну до європейської бази (EU Cybersecurity Act, регламент 2019/881) з секторальними схемами, які розробляються ENISA.
• Посилені вимоги щодо операційної стійкості : QTSP тепер повинні задокументувати свій план безперервності діяльності та подати його своєму органу нагляду на національному рівні (у Франції — ANSSI для кваліфікованих постачальників).
• Обов'язок повідомлення про інциденти безпеки протягом 24 годин (узгодження з NIS 2).

Для МСП користувачів це перекладається на посилену обов'язок ретельної перевірки при виборі постачальника: перевірка того, що ваше рішення з підпису дійсно вказане в оновленому реєстрі довіри ЄС, тепер є критичним етапом вашого процесу закупівель. Наш порівняльний огляд рішень з електронного підпису може допомогти вам у цьому аналізі.

2.4 Обов'язкова взаємосумісність схем ідентичності

Там, де eIDAS 1 залишав державам-членам свободу повідомлення (чи ні) своєї схеми, eIDAS 2 робить повідомлення та взаємосумісність обов'язковими для схем ідентичності, що використовуються в онлайн-службах державного сектора (ст. 5). France Identité — національна схема, створена Міністерством внутрішніх справ — розробляється на предмет узгодження з технічними специфікаціями EUDIW, опублікованими Комісією в регламенту (ЄС) 2024/2977 про імплементацію.

Для МСП, яка регулярно взаємодіє з державними адміністраціями (державні закупівлі, електронна подання деклорацій, митні процедури), ця еволюція означає, що онлайн-процедури будуть поступово об'єднані навколо єдиного та визнаного цифрового ідентифікатора в усій ЄС.

2.5 Нові правила відповідальності та нагляду

eIDAS 2 уточнює та розширює режими відповідальності постачальників (переглянута ст. 13). QTSP тепер несе презумпцію відповідальності за будь-яку шкоду, завдану фізичній або юридичній особі через порушення своїх обов'язків, крім як доведення відсутності вини. Ця посилена презумпція відповідальності щодо eIDAS 1 повинна спонукати МСП до:

• Формалізування контрактом зобов'язань свого постачальника (SLA, гарантії доступності, компенсація).
• Перевірки наявності страхування цивільної професійної відповідальності QTSP.
• Збереження доказів аудиту підписаних операцій (журнали часових меток, звіти про перевірку підпису).

Наші команди написали детальний посібник про електронний підпис у підприємстві, який охоплює ці договірні аспекти.

---

3. Порівняльна таблиця eIDAS 1 та eIDAS 2 : що конкретно змінюється

3.1 Резюме основних змін

| Критерій | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Гаманець ідентичності | Відсутній | EUDIW обов'язковий (держави-члени) | | Кваліфіковані послуги | 9 категорій | 14 категорій (архівування, RQSCD, реєстри…) | | Повідомлення схем | Добровільне | Обов'язкове для державних служб | | Безпека QTSP | Критерії Common Criteria | Cybersecurity Act + ENISA схеми | | Відповідальність QTSP | Часткова | Посилена презумпція відповідальності | | Крайній термін повідомлення про інцидент | Не визначено | 24 години (узгодження з NIS 2) | | QSCD мобільні | Юридична неоднозначність | RQSCD явно передбачено |

3.2 Ключові терміни до 2026 року, які слід пам'ятати

• Травень 2024 : набуття чинності регламенту (ЄС) 2024/1183.
• Листопад 2026 : крайній термін для того, щоб кожна держава-член запропонувала щонайменше одне сертифіковане рішення EUDIW.
• 2027 : обов'язок для великих платформ (ст. 45bis) прийняти EUDIW як засіб аутентифікації.
• 2028 : плановий перегляд технічних нормативних актів (делеговані регламенти про технічні специфікації EUDIW).

Якщо ваше МСП розглядає міграцію до більш відповідного рішення, наша пропозиція міграції на Certyneo включає безплатний аудит відповідності eIDAS 2.

---

4. Практичний план дій для приведення вашого МСП у відповідність з eIDAS 2

4.1 Аудит ваших існуючих документообігів

Почніть з картографування всіх процесів, у яких ви зараз використовуєте електронний підпис або цифрову ідентичність: контракти з постачальниками, оцифровані трудові розписи, мандати SEPA, угоди про конфіденційність, кадрові акти. Для кожного потоку визначте:

• Рівень використовуваного підпису (SES, AdES, QES).
• Поточного постачальника та його статус у реєстрі довіри.
• Рівень юридичного ризику у разі оскарження.

Цей аудит є рекомендованою ANSSI стартовою точкою у її посібнику приведення у відповідність, опублікованому в березні 2025 року.

4.2 Оновлення рішення вашого підпису

Якщо ваш поточний постачальник не вказаний у реєстрі довіри eIDAS 2 або ще не пропонує RQSCD, настав час порівняти пропозиції на ринку. Certyneo — це кваліфікований QTSP, який підтримує всі три рівні підпису (SES, AdES, QES) та нативно інтегрує нові вимоги eIDAS 2, зокрема кваліфіковане архівування та дистанційне керування пристроями.

4.3 Навчання ваших команд та оновлення контрактів

eIDAS 2 посилює доказову силу кваліфікованих підписів, але також вводить найкращі практики документування. Переконайтеся, що ваші юридичні та адміністративні команди:

• Можуть розрізняти три рівні підпису та їх відповідну юридичну вартість.
• Включають у контракти з постачальниками пункт про аудит відповідності eIDAS.
• Зберігають докази перевірки підпису (звіт про валідацію, кваліфіковану часову мітку) протягом периоду законного зберігання, який застосовується (3-10 років залежно від характеру акта).

Для структурування цього підходу, наш калькулятор ROI електронного підпису дозволить вам кількісно оцінити операційні переваги, пов'язані з оновленням.

Застосовна правова база

Довідкові нормативні акти

Приведення МСП у відповідність з eIDAS 2 для французького МСП вписується в нормативну ієрархію, яку важливо розуміти.

Регламент (ЄС) 2024/1183 Європейського парламенту та Ради (так звані «eIDAS 2») : це основоположний текст, опублікований у JOUE 30 квітня 2024 року. Він скасовує та замінює регламент (ЄС) № 910/2014 відповідно до графіка прогресивного розгортання, який триватиме до 2027 року. Він є прямо застосовуваним у всіх державах-членах без необхідності національної законодавчої транспозиції для його основних положень.

Регламент (ЄС) № 910/2014 (eIDAS 1) : деякі його положення залишаються застосовуваними протягом перехідних періодів, передбачених eIDAS 2, зокрема для кваліфікованих постачальників, які отримали свою кваліфікацію до травня 2024 року та мають термін для пересертифікації.

Французький Цивільний кодекс, статті 1366 та 1367 : стаття 1366 встановлює принцип еквівалентності між електронним писанням та писанням на папері, за умови, що «особа, від якої воно виходить, може бути належним чином ідентифікована та воно встановлено та зберігається в умовах, які гарантують його цілісність». Стаття 1367 визнає електронний підпис як засіб доказу, посилаючись на умови, встановлені декретом Державної ради (декрет № 2017-1416 від 28 вересня 2017 року, кодифікований у статтях R. 1369-1 до R. 1369-10 Цивільного кодексу).

Регламент (ЄС) 2016/679 (GDPR) : розгортання EUDIW та обробка атрибутів ідентичності в потоках електронного підпису являють собою обробку персональних даних у розумінні GDPR. МСП повинні переконатися, що їх QTSP діє як обробник у розумінні статті 28 GDPR з DPA (Data Processing Agreement), відповідним GDPR. CNIL опублікувала у січні 2026 року спеціальну рекомендацію щодо інтеграції EUDIW-GDPR.

Директива (ЄС) 2022/2555 (NIS 2) : eIDAS 2 явно узгоджується з NIS 2 щодо обов'язків повідомлення про інциденти (ст. 24, §2 eIDAS 2 посилаючись на положення NIS 2). QTSP вважаються «суттєвими» або «важливими» суб'єктами у розумінні NIS 2 залежно від їх розміру та як такі підлягають регулярним аудитам безпеки.

Стандарти ETSI : кваліфіковані електронні підписи повинні відповідати стандартам ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) та ETSI EN 319 102-1 (процедура валідації). Стандарт ETSI TS 119 461 регулює дистанційну перевірку ідентичності (IDV), що є особливо актуальним для RQSCD.

Юридичні ризики у разі невідповідності

Використання рішення з електронного підпису, які не відповідають eIDAS 2, може підвергти МСП кільком ризикам:

• Неприйнятність у судових розбираннях : судова влада може відхилити електронний підпис, рівень якого не відповідає підписаному акту (наприклад: простий підпис для акту, що вимагає розширеного або кваліфікованого рівня).
• Договірна відповідальність : якщо контракт оскаржується партнером на підставі недійсності підпису, МСП може бути виставлена вимога про виплату компенсації.
• Санкції GDPR : у разі порушення даних через недостаток безпеки постачальника, МСП як співвідповідальна сторона або відповідальна за обробку може бути санкціонована CNIL аж до 4% річного глобального обороту (ст. 83 §4 GDPR).

Конкретні сценарії використання

Сценарій 1 : МСП металургійної промисловості з 80 працівниками, управління 400 контрактами з постачальниками на рік

МСП металургійного сектора, яка обробляє приблизно 400 контрактів з постачальниками щороку, до 2024 року використовувала рішення з простого електронного підпису (SES) для всіх своїх зобов'язань, включаючи основні контракти на суму понад 50 000 €. Після аудиту відповідності eIDAS 2 вона виявила, що 35% її контрактів вимагали розширеного або кваліфікованого підпису, щоб витримати судовий спір, зокрема з постачальниками, розташованими в інших державах-членах ЄС.

Перейшовши до рішення, що поєднує розширений підпис (AdES) для звичайних контрактів та кваліфікований (QES) для основних контрактів, та активувавши кваліфіковане електронне архівування (нова послуга eIDAS 2), це МСП скоротило на 70% час, присвячений управлінню документами після підпису (класифікація, пошук, відправка засвідчених копій), та скоротило до нуля суперечки, пов'язані з оспарюванням підпису протягом наступних 18 місяців, проти двох інцидентів у попередні 18 місяців.

Сценарій 2 : юридичний консультаційний кабінет з 15 співробітників

Спеціалізований на ділових прав кабінет, який видає в середньому 1200 підписаних актів на рік (листи про припинення служби, дорученнями, угоди про конфіденційність), стояв перед зростаючим попитом своїх корпоративних клієнтів на кваліфіковані підписи, визнані в усій ЄС. За eIDAS 1 отримання кваліфікованого сертифіката вимагало процедури очного спілкування або довгої перевірки видео (45-90 хвилин на користувача).

Завдяки RQSCD (Remote Qualified Signature Creation Device), передбаченому eIDAS 2, кабінет зміг розгорнути кваліфікований підпис для всіх своїх співробітників менш ніж за два тижні через 100% дистанційну процедуру реєстрації, відповідну стандарту ETSI TS 119 461. Показник внутрішнього прийняття виріс з 40% на 95% протягом трьох місяців, а середній час повернення підписаних актів скоротився з 4,2 днів до менше ніж 6 годин відповідно до внутрішніх вимірювань кабінету.

Сценарій 3 : МСП електронної комерції, яка операйте у трьох країнах ЄС

Компанія з продажу онлайн, яка найняла 35 осіб та оперує у Франції, Бельгії та Нідерландах, мусила керувати трьома типами електронних угод: трудові контракти для своїх місцевих працівників, угоди про партнерство з перевізниками та мандати SEPA для своїх професійних клієнтів. Фрагментація національних вимог за eIDAS 1 змушувала її підтримувати три окремих робочих процеси підписання, з розрахованими витратами на управління близько 12000 € на рік.

Прийняття єдиного рішення, відповідного eIDAS 2 — що інтегрує взаємне визнання кваліфікованих підписів у трьох країнах — дозволило об'єднати робочі процеси, скоротити вартість управління приблизно до 4500 € на рік (економія 62%) та усунути затримки, пов'язані з ручною валідацією іноземних підписів юридичною службою.

Висновок

eIDAS 2 не є просто косметичним переглядом нормативної бази: він радикально переробляє правила гри цифрової довіри в Європі. Для французьких МСП п'ять основних змін — портал EUDIW, розширення кваліфікованих послуг, RQSCD, обов'язкова взаємосумісність та посилена відповідальність — являють собою як як обов'язок приведення у відповідність, так і можливість прискорити їх документообіг трансформацію.

МСП, які наслідково передбачають ці зміни, отримуватимуть реальну конкурентну перевагу: контракти, визнаються в усій ЄС без ускладнень, архівування з доказовою силою, інтегроване, та процеси підпису, повністю оцифровані та безпечні.

Certyneo розроблено для підтримки цього переходу. Розпочніть безплатний пробний період на certyneo.com та скористайтеся безплатним аудитом відповідності eIDAS 2 для ваших існуючих документообігів.