Перехід eIDAS 1 на eIDAS 2: вплив на електронний підпис у 2025 році

20 травня 2024 року Регламент (ЄС) 2024/1183 — часто називають eIDAS 2 — був опублікований у Офіційному журналі Європейського Союзу, поступово скасовуючи Регламент № 910/2014 (eIDAS 1). Цей текст являє собою найбільш грунтовну реформу цифрової ідентичності та електронного підпису в Європі з 2016 року. Для французьких компаній, які використовують рішення електронного підпису у своїх контрактних робочих потоках, перехід — це не формальність: він передбачає технічні, юридичні та організаційні коригування, горизонт яких простягається до 2026 року та далі. Розуміння переходу з eIDAS 1 на eIDAS 2 та його впливу на електронний підпис у 2025 році став пріоритетом для юридичних відділів, CIO та HR. Ця стаття розшифровує фундаментальні еволюції рамок, точний календар переходу та конкретні заходи для забезпечення відповідності вимогам.

Що Регламент eIDAS 2 змінює принципово

Від регламенту 2014 до переробки 2024: чому була необхідна ревізія

EIDAS 1 створив основи для взаємного визнання електронних підписів у межах Союзу. Три ієрархічні рівні — простий (SES), просунутий (AdES) та кваліфікований (QES) — структурували доказову силу підписів, засновані на списку постачальників довіри (TSL). Але за десять років виявилися два серйозні прогалини.

По-перше, первинний регламент застосовувався переважно до відносин з державними адміністраціями (G2B, G2C). Він не створював прямих зобов'язань у приватних операціях (B2B, B2C), залишаючи нормативний вакуум, який кожна держава-член заповнювала неоднорідно. По-друге, посилення цифрових послуг — мобільні додатки, відкритий банкінг, телемедицина — виявило відсутність портативної та функціонально спільної системи цифрової ідентичності на континентальному рівні.

EIDAS 2 вирішує обидві проблеми, впровадивши європейський гаманець цифрової ідентичності (EU Digital Identity Wallet, EUDIW) та розширивши сферу послуг довіри на нові варіанти використання: кваліфікований електронний архів, атестати кваліфікованих атрибутів, кваліфіковані електронні реєстри (включаючи сертифіковані додатки blockchain).

Нові категорії кваліфікованих послуг довіри

Регламент eIDAS 2 розширює список кваліфікованих послуг довіри (стаття 3 та переглянута додаток IV). На додаток до підписів, печаток та часових міток, уже визнаних eIDAS 1, тепер кваліфіковані:

• Послуги кваліфікованого електронного архіву (ст. 34 bis): зобов'язання зберігати цілісність та читаність підписаних документів на тривалий період з посиленими вимогами до постачальників (QTSP).
• Послуги управління пристроями для створення дистанційного підпису кваліфіковані (QRCD): посилений контроль рішень дистанційного підпису через HSM (апаратний модуль безпеки) у хмарі.
• Атестати кваліфікованих атрибутів: механізм, що дозволяє третій стороні, якої довіряють, сертифікувати атрибути суб'єкта (наприклад, якість адвоката, статус лікаря) без розкриття всієї ідентичності.
• Кваліфіковані електронні реєстри: визнання розподілених реєстрів за суворих умов аудиту та стійкості.

Для користувачів рішень електронного підпису це розширення означає, що кваліфіковані послуги довіри, доступні на ринку, будуть різноманітніші, і критерії вибору постачальника (QTSP) повинні включати ці нові можливості.

EUDIW: гаманець цифрової ідентичності як основа для підпису

Найбільш помітна інновація eIDAS 2 — це EUDIW. Кожна держава-член повинна надати своїм громадянам та резидентам безкоштовний гаманець цифрової ідентичності, функціонально сумісний з усіма іншими державами-членами, до 26 листопада 2026 року (строк національної відповідності за статтею 5 bis). Цей гаманець дозволить:

• аутентифікувати користувача з високим рівнем впевненості (LoA High) без звернення до третьої сторони ідентифікації;
• підписати електронно документи з кваліфікованою цінністю (QES) безпосередньо з гаманця;
• ділитися вибірково атрибутами ідентичності (selective disclosure), таким чином дотримуючись принципу мінімізації даних GDPR.

Для компаній EUDIW теоретично спрощує процедури перевірки ідентичності перед кваліфікованим підписом, виключаючи тертя від відеоідентифікації чи особистої ідентифікації. На практиці вплив залежатиме від темпу національного розгортання — Франція у 2025 році запустила пілотне випробування в рамках програми «France Identité».

Точний календар переходу з eIDAS 1 на eIDAS 2

Нормативні етапи, які необхідно знати

Регламент 2024/1183 набув чинності 20 травня 2024 року, але його застосування є поступовим. Ось ключові строки:

| Дата | Подія | |------|----------| | 20 травня 2024 | Публікація у OJEU, набрання нормативної чинності | | 20 листопада 2024 | Строк 6 місяців на прийняття Комісією виконавчих актів (технічні специфікації EUDIW) | | Кінець 2025 | Публікація переглянутих норм ETSI (EN 319 411-1/2, EN 319 401), що включають вимоги eIDAS 2 | | 26 травня 2026 | Дата граничного виконання для держав-членів щодо нових категорій кваліфікованих послуг | | 26 листопада 2026 | Обов'язкове надання EUDIW кожною державою-членом | | 2027-2028 | Повний перегляд національних списків довіри (TSL) та акредитація нових QTSP |

EIDAS 1 залишається чинним, і підписи, видані за його режимом, зберігають повну юридичну силу. Немає зобов'язання повторно підписувати наявні документи. Однак кваліфіковані постачальники послуг довіри повинні будуть оновити свою акредитацію відповідно до нових технічних норм до 2027 року.

Що не змінюється та на що треба звернути увагу

Безперервність — це кардинальний принцип переходу. Три рівні підпису (SES, AdES, QES) зберігаються з їх невиміненими визначеннями. Презумція еквівалентності рукописному підпису, приєднаному до QES (стаття 25 eIDAS 1, повтореної в статті 27 eIDAS 2), залишається в силі. Доказова сила ваших поточних електронних підписів не підлягає перегляду.

На що треба звернути увагу: виконавчі акти (implementing acts), опубліковані Комісією протягом 2025-2026 років, встановлять точні технічні специфікації EUDIW та нових категорій послуг. Ці тексти другого рівня мають практичне значення для інтеграторів та розробників програмного забезпечення. Для компаній, які використовують електронний підпис у своїх процесах HR чи юридичних, рекомендується попросити у своєї компанії-постачальника дорожну карту відповідності eIDAS 2.

Конкретний вплив на компанії та їхні рішення для підпису

Які робочі потоки в першу чергу торкаються?

Перехід з eIDAS 1 на eIDAS 2 не має однакового впливу залежно від рівня використовуваного підпису. Для компаній виділяються три ситуації:

Простий електронний підпис (SES): використовується для додатків низької вартості, розписок, внутрішніх форм. Немає обов'язків щодо негайного оновлення. Норми доказовості регулюються Цивільним кодексом (ст. 1366-1367) і не безпосередньо eIDAS.

Просунутий електронний підпис (AdES/AdESQC): компанії, які використовують рішення B2B для комерційних контрактів, дематеріалізованих трудових контрактів або нерухомого майна повинні переконатися, що їхній постачальник підтримує відповідність стандартам ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) та EN 319 142 (PAdES) в їх переглянутих версіях для eIDAS 2. Ці норми будуть опубліковані ETSI до кінця 2025 року.

Кваліфікований електронний підпис (QES): кваліфіковані постачальники послуг (QTSP) повинні будуть пройти нову акредитацію eIDAS 2. Перехідний період дає розумний строк (до 2027 року), але тендери, запущені з 2025 року, повинні включити положення про відповідність eIDAS 2 у критеріях вибору. Для організацій, які порівнюють доступні варіанти, порівняння рішень електронного підпису дозволяє оцінити зрілість редакторів з цього питання.

Нові вимоги для кваліфікованих постачальників послуг довіри (QTSP)

EIDAS 2 посилює вимоги, застосовні до QTSP з трьох основних моментів:

1. Безпека систем: обов'язкове вирівнювання на NIS2 (директива (ЄС) 2022/2555) для QTSP, тепер класифіковані як стратегічні сутності. Це перекладається на зобов'язання повідомляти про інциденти протягом 24 годин, щорічні аудити безпеки та розробку планів безперервності діяльності.

1. Посилена відповідальність: стаття 13 eIDAS 2 розширює режим відповідальності QTSP. У разі доведеного порушення бремя доказу інвертується: постачальник повинен довести, що не скоїв невинної халатності, а не навпаки.

1. Обов'язкова функціональна сумісність: QTSP повинні надати стандартизовані API, сумісні з EUDIW, щоб дозволити цілісну інтеграцію гаманців ідентичності. Ця вимога буде прискорювати модернізацію інтерфейсів інтеграції, доступних розробникам.

Для компаній, які розглядають змену постачальника в цьому контексті, переміщення від DocuSign чи YouSign на рішення, що відповідає eIDAS 2, — це крок, який варто передбачити вже зараз, а не в спішці в 2027 році.

Персональні дані та eIDAS 2: узгодження з GDPR

EUDIW збирає та обробляє дані ідентичності, які вважаються персональними. Регламент eIDAS 2 явно передбачає (преамбула 11 та стаття 5 bis §14), що весь dispositif повинен відповідати GDPR (Регламент (ЄС) 2016/679). Кілька моментів уваги:

• Selective disclosure: гаманець повинен дозволити користувачеві ділитися тільки атрибутами, строго необхідними для операції (принцип мінімізації, ст. 5(1)(c) GDPR). Для підпису контракту можна було б поділитися тільки перевіркою повноліття без розкриття повної дати народження.
• Передачі поза ЄС: дані ідентичності, оброблені в контексті EUDIW, не можуть передаватися поза EEA без відповідних гарантій (ст. 46 GDPR). Постачальники, що використовують американські хмарні інфраструктури, повинні задокументувати свою відповідність.
• Збереження журналів підпису: архівування доказів підпису повинно відповідати тривалості зберігання, пропорційній характеру документа. Нова служба кваліфікованого архіву eIDAS 2 пропонує технічну базу для задоволення цієї вимоги.

Компанії, які керують міжнародними трудовими контрактами, особливо торкаються цим узгодженням GDPR/eIDAS 2, особливо коли підписувачі проживають поза ЄС.

Законодавча база, застосовна до переходу з eIDAS 1 на eIDAS 2

Документи, на які слід посилатися

Перехід ґрунтується на штабелюванні текстів, які важливо розуміти:

На європейському рівні:

• Регламент (ЄС) № 910/2014 (eIDAS 1): залишається в силі до його поступового скасування eIDAS 2. Визначає три рівні підпису (SES, AdES, QES) та режим QTSP.
• Регламент (ЄС) 2024/1183 (eIDAS 2): набув чинності 20 травня 2024 року. Істотно змінює eIDAS 1, не скасовуючи його одразу. Положення про EUDIW застосовуються з публікацією виконавчих актів.
• Регламент (ЄС) 2016/679 (GDPR): застосовується в повному обсязі до обробки даних ідентичності в контексті EUDIW та процесів підпису. Стаття 5 bis §14 eIDAS 2 явно нагадує про цю підпорядкованість.
• Директива (ЄС) 2022/2555 (NIS2): накладає посилені зобов'язання щодо кібербезпеки на QTSP, тепер класифіковані як стратегічні сутності. Впроваджена у французьке право декретом № 2024-821 від 20 червня 2024 року (очікуються декрети про прикладання).

На французькому рівні:

• Цивільний кодекс, статті 1366 та 1367: основа доказової сили писемних документів в електронній формі. Стаття 1366 встановлює еквівалентність між електронним та паперовим писанням за умов. Стаття 1367 надає кваліфікованому підпису (QES) таку ж доказову силу, як рукописному підпису.
• Декрет № 2017-1416 від 28 вересня 2017 року: уточнює умови використання електронного підпису в актах під приватним печатком. Залишається застосовним протягом перехідного періоду.
• Загальний стандарт безпеки (RGS) v2: для французьких адміністрацій RGS вимагає використання рішень, на які посилається ANSSI. Його оновлення для включення eIDAS 2 очікується в 2026 році.

Застосовні технічні норми ETSI

Норми ETSI складають третій рівень нормативної ієрархії. Поточні застосовні версії:

• EN 319 132-1/2: формат XAdES (просунуті підписи XML)
• EN 319 122-1/2: формат CAdES (просунуті підписи CMS)
• EN 319 142-1/2: формат PAdES (просунуті підписи PDF)
• EN 319 401: загальні вимоги для постачальників послуг довіри
• EN 319 411-1/2: вимоги для УЦ, які видають кваліфіковані сертифікати

Ці норми будуть переглянуті до кінця 2025 року для включення нових вимог eIDAS 2. Контракти з QTSP повинні включати положення про оновлення на переглянуті версії без додаткових витрат.

Юридичні ризики невідповідності

Підпис, виданий постачальником, який більше не буде акредитований після 2027 року, не втратить автоматично свою юридичну силу для вже підписаних документів, але він більше не матиме презумпції еквівалентності рукописному підпису (ст. 25 eIDAS). Бремя доказу цілісності та ідентичності підписувача тоді цілком падатиме на компанію у разі судового спору. Цей доказовий ризик особливо чутливий для актів з довгим строком позовної давності (5 років у комерційній справі, 30 років для дійсних прав на нерухомість).

Сценарії використання: як організації передбачають перехід eIDAS 2

Сценарій 1: адвокатська контора з 25 співробітниками раціоналізує свою документальну відповідність

Адвокатська контора, спеціалізована на корпоративному праві, з близько 25 співробітниками та інтенсивною діяльністю з підпису мандатів, актів передачі та протоколів угоди використовувала до 2024 року рішення просунутого підпису (AdES) для всіх своїх потоків. Після оголошення eIDAS 2 контора провела аудит своїх 1200 щорічно підписаних документів, щоб визначити ті, які вимагають QES відповідно до нових рекомендацій свого ордену адвокатів.

Результат: 15% актів (приблизно 180 на рік) були переквалifiковані на кваліфіковану підпис, що дозволило забезпечити режим доказовості цих документів. Контора домовилася зі своїм редактором підпису про положення, що гарантує відповідність eIDAS 2 з публікацією виконавчих актів без додаткових витрат. Час, присвячений адміністративній перевірці ідентичності підписувачів, зменшився на 40% завдяки передбаченню інтеграції EUDIW, запланованої на 2026 рік.

Сценарій 2: промислова МСП з 150 працівниками захищає свою ланцюг контрактів постачальників

Промислова МСП, що керує близько 350 контрактами постачальників на рік — замовленнями, NDA, договорами-рамками — працювала з двома окремими рішеннями для підпису для своїх внутрішніх та зовнішніх потоків, створюючи фрагментацію доказів аудиту. У контексті переходу eIDAS 2 та нових вимог щодо кваліфікованого архіву відділ IT вирішив уніфікувати свою платформу.

Мігруючи на єдине рішення, яке інтегрує кваліфікований електронний архів (майбутня категорія eIDAS 2), МСП скоротила витрати на безпечне зберігання на 30% та консолідувала свої докази підпису у цифровому сейфі, відповідному вимогам. Весь документальний ланцюг тепер піддається аудиту менш ніж за 2 хвилини під час контрольних перевірок постачальників — все більш висока вимога їхніх замовників в автомобільній промисловості.

Сценарій 3: лікувально-профілактичне об'єднання близько 600 ліжок готується до інтеграції EUDIW

Державне лікувально-профілактичне об'єднання використовувало кваліфікований електронний підпис для своїх медичних контрактів та державних закупівель, відповідно до зобов'язань кодексу державних закупівель. Із eIDAS 2 IT-служба визначила два пріоритетні завдання: майбутню інтеграцію гаманця «France Identité» для лікарів-фрілансерів, які практикують в закладі, та відповідність NIS2 свого QTSP.

Об'єднання включило до своєї схеми розвитку цифрових технологій 2025-2028 окремий лот «відповідність eIDAS 2» з передбачуваним бюджетом 45 000 € для технічної міграції та навчання агентів. Мета — мати можливість приймати підписи через EUDIW з національного розгортання, запланованого на листопад 2026 року, скорочуючи таким чином строки контрактації з приватними медичними професіоналами з 3 днів на менш ніж 4 години в середньому відповідно до доступних секторальних еталонних показників.

Висновок

Перехід з eIDAS 1 на eIDAS 2 — це не розрив, а структурована еволюція з точним календарем, що простягається до 2027 року. Впливи на електронний підпис реальні — розширення кваліфікованих послуг, приходження EUDIW, посилення вимог NIS2 для QTSP — але керовані, якщо їх передбачити. Компанії, які діють зараз, отримують простір для аудиту своїх робочих потоків, захисту своїх контрактів з постачальниками та навчання своїх команд без тиску нормативної невідкладності.

Certyneo супроводжує компанії в цьому переході з чітким дорожною картою відповідності eIDAS 2, форматами підпису, які постійно оновлюються, та архітектурою, готовою до інтеграції EUDIW. Готові захистити свої потоки підпису в цій новій нормативній базі? Дізнайтеся про наші пропозиції та починайте безкоштовно на Certyneo.