Lịch trình eIDAS 2: Triển khai EU 2026-2027

Giới thiệu: Tại sao lịch trình eIDAS 2 lại quan trọng với tổ chức của bạn

Kể từ khi Quy định (EU) 2024/1183 - thường được gọi là eIDAS 2 - có hiệu lực, khung pháp lý châu Âu về danh tính số và chữ ký điện tử đã trải qua sự chuyển đổi sâu sắc nhất kể từ năm 2014. Nếu văn bản sửa đổi đã được chính thức thông qua, thì việc triển khai hoạt động của nó, kéo dài từ 2024 đến 2027, hiện nay đã thu hút sự chú ý của các giám đốc CNTT, luật sư và trưởng phòng tuân thủ. Việc hiểu rõ lịch trình chính thức triển khai Quy định eIDAS 2 trong Liên minh châu Âu cho phép dự đoán các nghĩa vụ, bảo đảm các quy trình hợp đồng và tránh bất kỳ sai phạm tuân thủ nào. Bài viết này giải mã các bước quan trọng, các hành động thực hiện mong đợi và những tác động thực tế đối với các doanh nghiệp Pháp và châu Âu.

---

1. Nhắc lại: eIDAS 2 là gì và tại sao cần sửa đổi?

1.1 Những hạn chế của eIDAS 1 (2014)

Quy định eIDAS ban đầu (n° 910/2014) đã đặt nền tảng cho sự tin cậy số ở châu Âu: công nhận lẫn nhau các chữ ký điện tử, tạo ra các mức độ đủ điều kiện (QES), đơn giản (SES) và nâng cao (AdES), cũng như công nhân các nhà cung cấp dịch vụ tin cậy (TSP). Tuy nhiên, mười năm áp dụng đã lộ ra một số thiếu hụt lớn:

• Phân mảnh quốc gia: Theo Ủy ban châu Âu, ít hơn 19% công dân châu Âu sử dụng lược đồ nhận dạng điện tử xuyên biên giới vào năm 2022.
• Không có ví danh tính số: eIDAS 1 không quy định một công cụ phổ quát cho phép mỗi công dân hoặc doanh nghiệp chứng minh danh tính của họ trực tuyến ở tất cả các quốc gia thành viên.
• Phạm vi bảo hiểm một phần: các dịch vụ lưu trữ điện tử đủ điều kiện hoặc chứng chỉ thuộc tính chưa được hài hòa.

1.2 Những đóng góp cấu trúc của eIDAS 2

Được thông qua ngày 11 tháng 4 năm 2024 và công bố trên Tờ Rơi Chính thức của EU vào ngày 30 tháng 4 năm 2024, Quy định (EU) 2024/1183 giới thiệu đặc biệt:

• European Digital Identity Wallet (EUDI Wallet): ví danh tính số mà mỗi quốc gia thành viên phải cung cấp cho công dân của họ.
• Các dịch vụ tin cậy đủ điều kiện mới: chứng chỉ thuộc tính điện tử đủ điều kiện, lưu trữ điện tử đủ điều kiện, quản lý các thiết bị tạo chữ ký từ xa.
• Mở rộng phạm vi áp dụng: các nền tảng trực tuyến lớn (theo Quy định DSA) sẽ phải chấp nhận EUDI Wallet để xác thực người dùng.
• Tăng cường quản lý: tạo ra khung công việc sertifikation tuân thủ nghiêm ngặt hơn cho các TSP.

Để tìm hiểu sâu hơn các nền tảng của quy định, hướng dẫn toàn diện về eIDAS 2.0 của chúng tôi chi tiết tất cả các tiến hóa quy định.

---

2. Lịch trình chính thức triển khai eIDAS 2: các bước và ngày quan trọng 2024-2027

Quy định eIDAS 2 sắp xếp việc áp dụng của nó xung quanh một cơ chế nhiều giai đoạn: có hiệu lực, các hành động thực hiện của Ủy ban, chuyển vị quốc gia và triển khai thực tế các công cụ. Đây là lộ trình chính thức.

2.1 Giai đoạn 1 — Có hiệu lực và các hành động được ủy quyền (tháng 5 năm 2024 – cuối năm 2025)

| Ngày tháng | Bước | |---|---| | 30 tháng 4 năm 2024 | Công bố Quy định (EU) 2024/1183 trên JOUE | | 20 tháng 5 năm 2024 | Có hiệu lực chính thức (J+20 sau khi công bố) | | T3-T4 2024 | Khởi động các nhóm làm việc về hành động thực hiện (Hộp công cụ eIDAS 2) | | Cuối 2024 | Công bố các thông số kỹ thuật tham chiếu đầu tiên cho EUDI Wallet (ARF — Architecture Reference Framework v1.4) | | T1-T2 2025 | Hành động thực hiện của Ủy ban về các thông số kỹ thuật chung của ví (thời hạn 12 tháng được quy định trong điều 5a) | | T3 2025 | Hành động thực hiện liên quan đến các dịch vụ tin cậy đủ điều kiện mới |

Ủy ban châu Âu đã công bố vào tháng 1 năm 2025 nhóm hành động thực hiện đầu tiên liên quan đến các thông số kỹ thuật chung của EUDI Wallet. Các văn bản này tạo thành cơ sở kỹ thuật bắt buộc cho các quốc gia thành viên.

2.2 Giai đoạn 2 — Triển khai các dự án thí điểm và chuyển vị quốc gia (2025-2026)

Trong khuôn khổ chương trình các dự án thí điểm quy mô lớn (Large Scale Pilots — LSP), bốn liên minh đã kiểm tra EUDI Wallet kể từ năm 2023 trên hơn 360 trường hợp sử dụng trên 25 quốc gia thành viên:

• EU Digital Identity Wallet Consortium (EUDIW) — 140+ thực thể
• NOBID — tập trung vào thanh toán số
• POTENTIAL — danh tính và thuộc tính
• DC4EU — bằng cấp và trình độ chuyên môn

Kết quả của các dự án thí điểm này cung cấp trực tiếp cho các hành động thực hiện. Ở cấp quốc gia, các quốc gia thành viên có 24 tháng tính từ khi áp dụng các hành động thực hiện để triển khai ví quốc gia của họ. Trong thực tế, điều này có nghĩa là phần lớn các triển khai quốc gia được mong đợi giữa giữa năm 2026 và cuối năm 2026.

| Giai đoạn | Các hành động mong đợi | |---|---| | T1-T2 2026 | Thông qua cuối cùng các hành động thực hiện còn lại (lưu trữ đủ điều kiện, chứng chỉ thuộc tính) | | T2 2026 | Các phiên bản sản xuất đầu tiên của EUDI Wallets ở các quốc gia dẫn đầu (Đức, Hà Lan, Tây Ban Nha) | | T3-T4 2026 | Triển khai dần dần trên 27 quốc gia thành viên — mở cho người dùng chuyên nghiệp | | Cuối 2026 | Nghĩa vụ chấp nhận EUDI Wallet cho các dịch vụ công cộng trực tuyến (art. 5b) |

Pháp, thông qua Cơ quan An ninh Quốc gia về Hệ thống Thông tin (ANSSI) và Bộ Số Hóa Liên bộ (DINUM), đã bắt đầu công việc thích ứng của mình vào năm 2025. Dự án ví Pháp dựa trên France Identité làm cơ sở kỹ thuật.

2.3 Giai đoạn 3 — Nghĩa vụ chấp nhận cho khu vực tư nhân (2027)

Đây là bước tác động nhất đối với các doanh nghiệp. Điều 5b của Quy định eIDAS 2 yêu cầu rằng một số nhà cung cấp dịch vụ tư nhân chấp nhận EUDI Wallet để nhận dạng trực tuyến trong các lĩnh vực sau:

• Dịch vụ ngân hàng và tài chính (mở tài khoản, KYC)
• Giao thông vận tải (vận chuyển, cho thuê phương tiện)
• Năng lượng (hợp đồng tiêu dùng)
• Các nền tảng trực tuyến rất lớn (theo DSA, > 45 triệu người dùng hàng tháng trong EU)
• Viễn thông

Thời hạn chấp nhận bắt buộc được đặt ở 12 tháng sau khi ví được cung cấp trong mỗi quốc gia thành viên, đặt ngày hạn thực tế cho hầu hết các lĩnh vực ở kỳ đầu tiên năm 2027.

Đối với các doanh nghiệp đã sử dụng các giải pháp chữ ký điện tử tuân thủ eIDAS, vấn đề là đảm bảo khả năng tương thích của các dòng tài liệu của họ với các thuộc tính danh tính mới từ ví số.

---

3. Tác động đối với các nhà cung cấp dịch vụ tin cậy (TSP) và các nhà phát triển SaaS

3.1 Các nghĩa vụ mới cho TSP đủ điều kiện

Các nhà cung cấp dịch vụ tin cậy đủ điều kiện (QTSP) phải cập nhật các hoạt động sertifikation của họ để tích hợp các danh mục dịch vụ mới được giới thiệu bởi eIDAS 2:

• Chứng chỉ thuộc tính điện tử đủ điều kiện: bằng lái xe số, bằng cấp, trình độ chuyên môn
• Lưu trữ điện tử đủ điều kiện: dịch vụ bảo đảm tính toàn vẹn dài hạn của các tài liệu được ký
• Quản lý các thiết bị tạo chữ ký từ xa (RQSCD): làm rõ khung pháp lý cho các giải pháp đám mây

Các QTSP có tối đa 18 tháng sau khi công bố các tiêu chuẩn ETSI sửa đổi (dự kiến T2-T3 2026) để tuân thủ các yêu cầu kỹ thuật mới, đặt các re-sertifikation đầu tiên có hiệu lực vào năm 2027.

3.2 Điều này có nghĩa gì đối với các doanh nghiệp sử dụng

Nếu tổ chức của bạn sử dụng nhà cung cấp chữ ký điện tử SaaS - dù là giải pháp được sertifikation QES hay công cụ chữ ký nâng cao - một số câu hỏi về tuân thủ sẽ được đặt ra ngay bây giờ:

1. Nhà cung cấp của bạn có đang trong quá trình cập nhật sertifikation để tích hợp các yêu cầu eIDAS 2 không?
2. Các quy trình công việc ký của bạn có sẵn sàng để nhận các danh tính từ EUDI Wallets không?
3. Chính sách lưu trữ của bạn có đáp ứng các yêu cầu lưu trữ điện tử đủ điều kiện trong tương lai không?

Phân tích của chúng tôi về so sánh các giải pháp chữ ký điện tử hiện tích hợp tiêu chí lộ trình eIDAS 2 là yếu tố phân biệt chính.

3.3 Các tiêu chuẩn kỹ thuật tham chiếu

ETSI (Viện Tiêu chuẩn Kỹ thuật Viễn thông châu Âu) được giao nhiệm vụ sản xuất các tiêu chuẩn hài hòa mà eIDAS 2 dựa vào. Chương trình làm việc 2025-2027 bao gồm:

• ETSI EN 319 411-1 và -2 (sửa đổi): chính sách và yêu cầu cho TSP phát hành chứng chỉ
• ETSI EN 319 132-1 (XAdES) và EN 319 122-1 (CAdES): định dạng chữ ký nâng cao và đủ điều kiện
• ETSI TS 119 500: khung tin cậy cho các dịch vụ lưu trữ điện tử đủ điều kiện
• ISO/IEC 18013-5: giao thức trình bày các thuộc tính mDL (bằng lái xe di động), được thông qua làm cơ sở kỹ thuật của EUDI Wallet

---

4. Lịch trình eIDAS 2 ở Pháp: tiến độ thực hiện và các nghĩa vụ cụ thể

4.1 Vai trò của ANSSI trong quản lý quốc gia

Ở Pháp, ANSSI là cơ quan giám sát các nhà cung cấp dịch vụ tin cậy theo eIDAS. Trong tương lai của eIDAS 2, nó điều phối:

• Thích ứng khung tham chiếu an ninh chung (RGS) để tích hợp các dịch vụ đủ điều kiện mới
• Tham gia công việc của nhóm hợp tác eIDAS (điều 46e của quy định)
• Giám sát các kiểm toán tuân thủ của các QTSP Pháp

ANSSI đã công bố vào tháng 3 năm 2025 một lộ trình quốc gia làm rõ các bước thích ứng khung Pháp với eIDAS 2, với một điểm kiểm tra được lên kế hoạch vào tháng 9 năm 2026.

4.2 Nghĩa vụ cho các doanh nghiệp lớn Pháp

Các doanh nghiệp Pháp vượt quá các ngưỡng của DSA hoặc hoạt động trong các lĩnh vực được nhắm mục tiêu bởi điều 5b phải thực hiện phân tích tác động ngay bây giờ. Các bước khuyến nghị là:

1. Sơ đồ các dòng nhận dạng: xác định các quy trình nơi danh tính số được yêu cầu (KYC, ký hợp đồng, truy cập không gian khách hàng)
2. Đánh giá các nhà cung cấp hiện tại: xác minh lộ trình tuân thủ eIDAS 2 của họ
3. Kế hoạch cập nhật các Điều kiện và Điều khoản Tổng quát và chính sách ký: dự đoán tích hợp các thuộc tính danh tính từ EUDI Wallets
4. Đào tạo các đội pháp lý và CNTT: khung kỹ thuật và pháp lý thay đổi đáng kể

Đối với các doanh nghiệp quản lý khối lượng hợp đồng lớn, các công cụ chữ ký điện tử trong doanh nghiệp phải được đánh giá thông qua khả năng của họ để phát triển hướng tới eIDAS 2 mà không làm gián đoạn dịch vụ.

4.3 Articulation với các quy định châu Âu khác

Việc triển khai eIDAS 2 không diễn ra riêng biệt. Nó được liên kết chặt chẽ với:

• GDPR (2016/679): các thuộc tính danh tính được chứa trong EUDI Wallets tạo thành dữ liệu cá nhân tuân theo các nguyên tắc tối thiểu hóa và mục đích
• Chỉ thị NIS 2 (2022/2555): các TSP là các thực thể thiết yếu theo NIS 2 và phải đáp ứng các yêu cầu an niên mạng được tăng cường
• Quy định DORA (2022/2554): các tổ chức tài chính sử dụng các dịch vụ tin cậy cho các hoạt động số của họ phải tích hợp các phụ thuộc này vào bản đồ rủi ro ICT của họ
• Quy định về dữ liệu (Data Act, 2023/2854): khả năng tương tác của dữ liệu danh tính giữa các lĩnh vực

Các doanh nghiệp đã bắt đầu tuân thủ NIS 2 của họ sẽ tìm thấy các synergies đáng kể với việc tuân thủ eIDAS 2, đặc biệt là trên các khía cạnh quản lý rủi ro và liên tục kinh doanh.

---

5. Chuẩn bị tổ chức của bạn ngay bây giờ: danh sách kiểm tra 2026

5.1 Cho các ban phòng pháp lý và tuân thủ

• [ ] Đọc Quy định (EU) 2024/1183 ở phiên bản hợp nhất và xác định các điều khoản áp dụng cho lĩnh vực của bạn
• [ ] Sơ đồ các hợp đồng và quy trình yêu cầu cập nhật (mệnh đề ký, chính sách lưu giữ)
• [ ] Xác minh tính hợp lệ pháp lý xuyên biên giới của các chữ ký điện tử hiện tại của bạn trong bối cảnh eIDAS 2
• [ ] Dự đoán tích hợp các chứng chỉ thuộc tính đủ điều kiện (ví dụ: xác minh trình độ chuyên môn cho các hành động công chứng hoặc y tế)

5.2 Cho các ban hệ thống thông tin

• [ ] Đánh giá khả năng tương thích của ngăn xếp kỹ thuật của bạn với các giao thức EUDI Wallet (OpenID4VP, ISO 18013-5)
• [ ] Xác định các API cần cập nhật với các nhà phát triển chữ ký điện tử của bạn
• [ ] Dự kiến các bài kiểm tra tích hợp với các ví thí điểm có sẵn vào năm 2026
• [ ] Thiết lập giám sát về các hành động thực hiện của Ủy ban (thông báo trên Tờ Rơi Chính thức của EU)

5.3 Cho các ban lĩnh vực kinh doanh

Các lợi ích mong đợi từ sự tuân thủ được dự đoán tốt là cụ thể: giảm ma sát trong các lộ trình ký nhờ danh tính được xác minh trước của EUDI Wallet, tăng tốc độ các quy trình KYC và giảm chi phí xác minh danh tính. Để đánh giá lợi nhuận trên đầu tư của sự chuyển đổi của bạn, máy tính ROI chữ ký điện tử của chúng tôi tích hợp các tham số cụ thể cho tuân thủ eIDAS 2.

Cuối cùng, các tổ chức dự định di chuyển từ các giải pháp khác sang một nền tảng được chuẩn bị sẵn cho eIDAS 2 có thể tham khảo hướng dẫn di chuyển từ DocuSign hoặc YouSign sang Certyneo của chúng tôi, chi tiết các bước kỹ thuật và hợp đồng của sự chuyển đổi mà không bị gián đoạn.

Khung pháp lý áp dụng cho triển khai eIDAS 2

Các văn bản sáng lập và hệ thống phân cấp các quy chuẩn

Việc triển khai Quy định eIDAS 2 được thực hiện theo một tập hợp pháp luật phân tầng mà việc làm chủ là cần thiết đối với bất kỳ tổ chức nào phải tuân thủ các nghĩa vụ.

Quy định (EU) 2024/1183 của Nghị viện châu Âu và Hội đồng — được gọi là "eIDAS 2" — tạo thành tiêu chuẩn tham chiếu. Nó bãi bỏ và thay thế Quy định (EU) n° 910/2014 (eIDAS 1) trên những điểm mà nó sửa đổi, đồng thời duy trì tính hợp lệ của các sertifikation hiện có trong các giai đoạn chuyển quá được quy định trong các điều 51 trở lên. Được công bố trên Tờ Rơi Chính thức của EU loạt L vào ngày 30 tháng 4 năm 2024, nó đã có hiệu lực vào ngày 20 tháng 5 năm 2024.

Bộ Luật Dân sự Pháp, Các điều 1366 và 1367, công nhận chữ ký điện tử là tương đương với chữ ký viết tay khi nó thỏa mãn các điều kiện nhận dạng người ký và tính toàn vẹn của tài liệu. Các quy định này được diễn giải theo pháp luật châu Âu eIDAS, chiếm ưu thế theo nguyên tắc ưu tiên pháp luật của Liên minh.

Quy định (EU) 2016/679 (GDPR) áp dụng đầy đủ cho các xử lý dữ liệu cá nhân được thực hiện trong khung EUDI Wallet và các dịch vụ tin cậy. Các thuộc tính danh tính (dữ liệu sinh học học, trình độ chuyên môn, giấy phép) tạo thành dữ liệu cá nhân theo nghĩa của Điều 4 §1 của GDPR. Nguyên tắc tối thiểu hóa (Art. 5 §1 c) đặc biệt liên quan: các nhà cung cấp chỉ phải thu thập những thuộc tính được yêu cầu cho mục đích của giao dịch.

Chỉ thị (EU) 2022/2555 (NIS 2), được chuyển vị thành pháp luật Pháp bằng Luật n° 2024-449 ngày 21 tháng 5 năm 2024, phân loại các nhà cung cấp dịch vụ tin cậy đủ điều kiện trong số các thực thể thiết yếu phải tuân theo các nghĩa vụ được tăng cường về quản lý rủi ro mạng, thông báo sự cố và an niên chuỗi cung ứng.

Các tiêu chuẩn ETSI tạo thành khung tham chiếu kỹ thuật hài hòa của eIDAS 2:

• ETSI EN 319 401: các yêu cầu chung cho TSP
• ETSI EN 319 411-1/-2: chính sách cho TSP phát hành chứng chỉ đủ điều kiện
• ETSI EN 319 132-1: định dạng XAdES (chữ ký XML nâng cao)
• ETSI EN 319 122-1: định dạng CAdES (chữ ký CMS nâng cao)
• ETSI EN 319 162-1: định dạng ASiC (vùng chứa chữ ký)

Rủi ro pháp lý nếu không tuân thủ

Việc không tuân thủ các nghĩa vụ eIDAS 2 khiến các tổ chức phải chịu một số rủi ro:

1. Tính không thể đưa ra được của chữ ký: một chữ ký điện tử được thực hiện thông qua một TSP không tuân thủ các yêu cầu mới có thể mất giả định pháp lý của tính hợp lệ, đặt lại giá trị bằng chứng của các hợp đồng được ký.
2. Trừng phạt hành chính: các cơ quan giám sát quốc gia (ANSSI ở Pháp) có thể tuyên bố các biện pháp khắ