Регламент eIDAS: все про електронний підпис в Європі
Оновлено
Регламент eIDAS — це базовий документ про електронний підпис в Європі. Він визначає три рівні підпису (простий, розширений, кваліфікований), встановлює юридичну силу електронних документів та регулює діяльність постачальників послуг довіри. Цей посібник пояснює все, що вам потрібно знати для відповідності вимогам у 2026 році.
Що таке eIDAS і чому він був створений?
До eIDAS кожна держава-член Європейського Союзу мала свою власну нормативно-правову базу щодо електронних підписів, що створювало правову фрагментацію й гальмувало трансприкордонні операції. Електронний підпис, дійсний у Франції, не обов'язково визнавався в Німеччині чи Іспанії.
Регламент (ЄС) № 910/2014, відомий як eIDAS (Electronic IDentification, Authentication and trust Services), був прийнятий 23 липня 2014 року і набув чинності 1 липня 2016 року. Як регламент (а не директива), він застосовується безпосередньо та рівномірно в 27 державах-членах без необхідності національного впровадження.
eIDAS переслідує три основні цілі: створити єдиний цифровий ринок в Європі через взаємне визнання електронних ідентичностей, забезпечити юридичну безпеку трансприкордонних електронних операцій та встановити рамки довіри для цифрових послуг через кваліфікованих постачальників послуг довіри (QTSP — Qualified Trust Service Provider).
3 рівні підпису, визначені eIDAS
eIDAS встановлює піраміду з трьох рівнів електронного підпису, кожен із своїми технічними вимогами та доказовою силою.
Простий електронний підпис
Вимоги eIDAS
- Дані в електронній формі, пов'язані з іншими даними
- Використовується для підпису (немає конкретних технічних вимог)
- Може бути простим кліком, позначкою або введеною назвою
Приклади використання
- Прийняття умов користування
- Онлайн-форма
- Email підтвердження
Юридична сила
Базова договірна цінність, без юридичної презумпції
Розширена електронна підпис
Вимоги eIDAS
- Однозначно пов'язана з підписувачем
- Дозволяє ідентифікувати підписувача
- Створена з використанням даних під виключним контролем підписувача
- Будь-яка подальша зміна документу легко виявляється
Приклади використання
- Трудові контракти
- NDA
- Комерційні контракти
- Дозволи
Юридична сила
Висока доказова сила — рекомендується для важливих контрактів
Кваліфікована електронна підпис
Вимоги eIDAS
- Відповідає всім вимогам AES
- Створена за допомогою кваліфікованого пристрою для створення підпису (QSCD)
- На основі кваліфікованого сертифіката, виданого QTSP (список довіри EU)
Приклади використання
- Цифрові нотаріальні акти
- Вимоги державних закупівель
- Регульовані акти
Юридична сила
Юридична презумпція, еквівалентна рукописній підпису (ст. 25 eIDAS)
eIDAS 2.0: новинки 2024
Регламент eIDAS переглянуто регламентом (UE) 2024/1183, опубліковано в Офіційному журналі EU 30 квітня 2024 р. і набув чинності 20 травня 2024 р. Цей перегляд модернізує початкову базу для вирішення завдань сучасного цифрового світу: цифрова ідентичність громадян, суверенна хмара, стійкість постачальників довіри.
Європейський гаманець цифрової ідентичності (EUDIW) є флагманської ініціативою eIDAS 2.0. До кінця 2026 року кожна держава-член повинна запропонувати своїм громадянам і мешканцям мобільний додаток для зберігання та презентації сертифікованих посвідчень ідентичності — цифрового еквівалента паспорта, водійського посвідчення та дипломів. Це буде мати прямий вплив на процеси кваліфікованої підпису.
Гаманець цифрової ідентичності (EUDIW)
eIDAS 2.0 впроваджує European Digital Identity Wallet: кожен європейський громадянин зможе зберігати свої сертифіковані посвідчення ідентичності (паспорт, водійське посвідчення, дипломи) в інтероперабельному мобільному додатку по всій ЄС.
Посилення QTSP
Вимоги до постачальників кваліфікованих послуг довіри (QTSP) посилюються, зокрема щодо кібербезпеки, аудитів та безперервності послуг.
Нові послуги довіри
eIDAS 2.0 додає нові кваліфіковані послуги: кваліфіковану електронну архівацію, управління кваліфікованими даними атрибутів, кваліфікований електронний реєстр (сертифіковану блокчейн).
Посилена інтероперабельність
Краще взаємне визнання цифрової ідентичності між державами-членами. Кваліфіковані підписи, видані в будь-якій країні ЄС, визнаються скрізь.
Як забезпечити відповідність eIDAS на практиці?
Відповідність eIDAS не зводиться до вибору рівня підпису. Вона передбачає роздуми про весь процес: виявлення ризиків, вибір інструментів, збереження доказів та управління документами.
Ось практичний контрольний список для компаній, які хочуть захистити свої процеси електронної підпису у відповідності з eIDAS:
Підхід Certyneo до відповідності eIDAS
Certyneo впроваджує рівні SES (Проста електронна підпис) та AES (Розширена електронна підпис) регламенту eIDAS. Розширена підпис базується на двофакторній аутентифікації: одноразовому посиланні, відправленому на електронну пошту, та коді OTP, відправленому по SMS через OTP SMS. Цей механізм відповідає чотирьом критеріям статті 26 eIDAS для розширеної підпису.
Кожна коверта генерує повний журнал аудиту: позначка часу для кожної дії (відправлення, відкриття посилання, перевірка OTP, апозиція підпису, можливе відхилення), IP-адреса підписувача, браузер user-agent. Цей журнал аудиту вбудовується в нижній колонтитул кожної сторінки підсумкового PDF (footer аудиту) та зберігається 10 років.
Les données sont hébergées en France (infrastructure IONOS), dans l’Union européenne, conformément aux exigences de souveraineté numérique et au RGPD. Consultez notre page sécurité et conformité pour tous les détails techniques.
Часті запитання про eIDAS
Що таке регламент eIDAS?
eIDAS (Electronic Identification, Authentication and Trust Services) — це європейське положення (ЄС) №910/2014, яке встановлює спільну правову базу для електронних підписів, електронних печаток, часових меток, служб електронної рекомендованої доставки та служб автентифікації веб-сайтів в Європейському Союзі. Воно набрало чинності 1 липня 2016 року та застосовується безпосередньо у 27 державах-членах.
У чому різниця між eIDAS та eIDAS 2.0?
eIDAS 2.0 (положення (ЄС) 2024/1183, набрало чинності 20 травня 2024 року) модернізує eIDAS 1.0, зокрема, уводячи Європейський гаманець цифрової ідентичності (EUDIW — European Digital Identity Wallet), який дозволить європейським громадянам зберігати сертифіковані цифрові посвідчення ідентичності. Для компаній eIDAS 2.0 посилює вимоги до провайдерів кваліфікованих служб довіри (QTSP) та поліпшує трансмежну сумісність.
Чи має простий електронний підпис юридичну силу відповідно до eIDAS?
Так. Стаття 25 eIDAS явно забороняє відмовляти в юридичній силі електронному підпису лише на тій підставі, що він має електронну форму. Простий підпис (SES) має юридичну силу, але не користується законодавчою презумпцією, зарезервованою для кваліфікованих підписів (QES). У разі спору той, хто посилається на підпис, повинен довести його автентичність.
Як вибрати рівень eIDAS для своїх контрактів?
Загальне правило — адаптувати рівень до юридичного та комерційного ризику документа. Для звичайних документів з низьким ризиком (кошториси, внутрішні замовлення) достатньо простого підпису. Для важливих комерційних контрактів, трудових договорів, NDA чи дорученнях рекомендується розширений підпис (AES). Кваліфікований підпис (QES) застосовується в ситуаціях, коли закон його прямо вимагає (певні адміністративні акти, великі державні закупівлі) або коли ризик оскарження максимальний.
Як Certyneo відповідає вимогам eIDAS?
Certyneo implémente la signature simple (SES) et la signature avancée (AES) conformément à eIDAS. La signature avancée repose sur un double OTP email + SMS (OTP SMS) qui lie le signataire à son acte. Chaque enveloppe génère un audit trail horodaté intégré au PDF final. Les données sont hébergées en France (UE), conformément aux exigences de souveraineté numérique.
Чи застосовується eIDAS до компаній поза Європейським Союзом?
eIDAS застосовується до служб довіри, які надаються в ЄС. Компанія, заснована поза ЄС, яка бажає, щоб її підписи були визнані в ЄС, повинна використовувати рішення, сумісне з eIDAS, або визнаного провайдера кваліфікованих служб довіри (QTSP) зі списку довіри державної членом. Для міжнародних B2B обмінів існують угоди про взаємне визнання з деякими третіми країнами.