eIDAS 2: quy định mới của châu Âu được giải thích vào năm 2026

Giới thiệu: tại sao eIDAS 2 thay đổi mọi thứ đối với các doanh nghiệp châu Âu

Có hiệu lực vào ngày 20 tháng 5 năm 2024 sau một quá trình lập pháp kéo dài, Quy định eIDAS 2 — được gọi chính thức là Quy định (EU) 2024/1183 — đại diện cho cải cách tham vọng nhất từng thực hiện trong lĩnh vực nhận dạng điện tử và dịch vụ tin cậy ở châu Âu. Nó bãi bỏ và thay thế một phần Quy định eIDAS ban đầu năm 2014 (số 910/2014), đồng thời duy trì khả năng tương thích ngược với cơ sở hạ tầng hiện có. Đối với các doanh nghiệp sử dụng ký tên điện tử tuân thủ eIDAS, sự cải tổ này giới thiệu các nghĩa vụ mới, cơ hội chưa từng có và lịch trình tuân thủ chặt chẽ cho đến năm 2026 và sau đó. Bài viết này phân tích sâu các điều khoản chính của văn bản, ý nghĩa vận hành của chúng và cách tổ chức của bạn có thể chuẩn bị.

---

Điều mà quy định eIDAS 2 thay đổi một cách cơ bản

Từ quy định năm 2014 đến phiên bản 2024: một sự cải tổ có cấu trúc

Quy định eIDAS gốc năm 2014 đã đặt nền tảng cho sự công nhận lẫn nhau của các sơ đồ nhận dạng điện tử giữa các quốc gia thành viên và thiết lập một khuôn khổ pháp lý thống nhất cho các dịch vụ tin cậy (ký tên, con dấu, dấu thời gian, v.v.). Nhưng mười năm sau, những hạn chế là rõ ràng: tỷ lệ áp dụng thấp của các eID được thông báo, mảnh vỡ của các giải pháp quốc gia, không có ví điện tử phổ quát nào cho công dân, và đặc biệt là không phù hợp với cách sử dụng web (GAFAM bị loại khỏi khuôn khổ tin cậy).

eIDAS 2 sửa chữa những sự thiếu sót này trên ba trục chính:

1. Ví nhận dạng số hóa châu Âu (EUDI Wallet) — mỗi quốc gia thành viên phải cung cấp, muộn nhất vào tháng 11 năm 2026, một ứng dụng ví điện tử cho phép bất kỳ công dân hoặc cư dân châu Âu nào lưu trữ và trình bày các thuộc tính nhận dạng của họ (thẻ căn cước, bằng lái xe, bằng cấp, v.v.) một cách an toàn.
2. Mở rộng các dịch vụ tin cậy được xác định — văn bản thêm các dịch vụ được xác định mới: quản lý lưu trữ điện tử được xác định (QESAP), báo cáo các thuộc tính nhận dạng được xác định (QEAA), sổ cái điện tử được xác định (QLED) và quản lý các thiết bị tạo chữ ký từ xa được xác định (QRCD).
3. Nghĩa vụ đối với các nền tảng lớn — các nhà cung cấp dịch vụ trực tuyến quy mô lớn (mạng xã hội, sàn thương mại điện tử) phải chấp nhận ví EUDI để xác thực người dùng.

Ví EUDI Wallet: kiến trúc và hoạt động

EUDI Wallet là trung tâm của eIDAS 2. Cụ thể, đó là một ứng dụng phần mềm — được cung cấp hoặc chứng thực bởi mỗi quốc gia thành viên — dựa trên một mô hình phi tập trung của việc trình bày các thuộc tính được lựa chọn. Người dùng chỉ truyền các dữ liệu hoàn toàn cần thiết cho giao dịch (nguyên tắc tối thiểu hóa, tuân thủ RGPD).

Từ góc độ kỹ thuật, kiến trúc dựa trên các đặc tả của Architecture Reference Framework (ARF), được công bố bởi Ủy ban châu Âu và được cập nhật thường xuyên bởi Dự án quy mô lớn (LSP) gồm bốn liên minh thí điểm (DC4EU, EWC, POTENTIAL, NOBID). Các định dạng dữ liệu được chọn chủ yếu là ISO/IEC 18013-5 (mDL/mDocs) và W3C Verifiable Credentials, đảm bảo khả năng tương tác xuyên biên giới.

Đối với các doanh nghiệp, điều này có nghĩa là họ có thể, cuối cùng, xác minh danh tính của khách hàng hoặc đối tác thông qua ví mà không cần tự quản lý việc thu thập các giấy tờ chứng minh — do đó giảm đáng kể các ma sát KYC (Biết khách hàng của bạn) và rủi ro gian lận tài liệu.

---

Mức độ đảm bảo và hệ thống phân cấp chữ ký: những thay đổi

Duy trì hệ thống phân cấp QES / AdES / SES

Chế độ chữ ký điện tử vẫn được cấu trúc xung quanh ba mức được xác định tại Điều 3 của eIDAS 2 (lặp lại thuật ngữ năm 2014 nhưng làm rõ các yêu cầu kỹ thuật):

• Chữ ký điện tử đơn giản (SES): giá trị bằng chứng tối thiểu, phù hợp với các hành động thông thường.
• Chữ ký điện tử nâng cao (AdES): liên kết độc quyền với người ký, khả năng phát hiện bất kỳ sửa đổi nào sau đó.
• Chữ ký điện tử được xác định (QES): tương đương pháp lý của chữ ký viết tay trên toàn bộ EU (Điều 25§2), được phát hành thông qua một thiết bị tạo chữ ký được xác định (QSCD) trên cơ sở một chứng chỉ được xác định.

Cái mới nằm ở cách thức mà QES có thể được cấp thông qua các dịch vụ ký từ xa được xác định (QRCD), với các điều kiện phê duyệt được nêu rõ tại các Điều 29a và 29b của văn bản được sửa đổi. Điều này mở con đường cho các luồng 100% số cho các hành động đòi hỏi nhất — các hợp đồng thừa nhận, các hành động xác thực điện tử — mà không cần có thẻ thông minh vật lý.

Tác động đối với các nhà cung cấp dịch vụ tin cậy được xác định (QTSP)

Các nhà cung cấp như Certyneo, hoạt động dựa trên các QTSP được chứng thực, phải dự đoán trước các yêu cầu kiểm toán mới được giới thiệu bởi eIDAS 2. Điều 24 bây giờ yêu cầu các biện soát kiểm tra được tăng cường trên chuỗi ký hợp đồng, và các yêu cầu về thông báo các sự cố bảo mật được căn chỉnh rõ ràng với các yêu cầu của chỉ thị NIS2 (thời gian thông báo ban đầu là 24 giờ). Để tìm hiểu sâu hơn về cách hoạt động của các mức chữ ký khác nhau trong bối cảnh B2B, hãy tham khảo hướng dẫn đầy đủ về chữ ký điện tử trong doanh nghiệp.

---

Lịch trình triển khai và nghĩa vụ dành cho doanh nghiệp vào năm 2025-2026

Các etapa chính của triển khai

Quy định (EU) 2024/1183 được công bố trên Tờ rơi chính thức của EU vào ngày 30 tháng 4 năm 2024 và có hiệu lực vào ngày 20 tháng 5 năm 2024. Các hành động thực thi và ủy quyền — rất cần thiết để làm rõ các yêu cầu kỹ thuật — được công bố theo từng bước:

| Thời hạn | Nghĩa vụ | |---|---| | Tháng 5 năm 2024 | Quy định có hiệu lực | | Cuối năm 2024 | Công bố các hành động thực thi trên ARF v2.0 | | Giữa năm 2025 | Chứng thực của các ví EUDI thí điểm đầu tiên | | Tháng 11 năm 2026 | Tính sẵn có bắt buộc của EUDI Wallet trong mỗi quốc gia thành viên | | 2027 | Chấp nhận bắt buộc bởi các nền tảng trực tuyến lớn |

Điều mà các doanh nghiệp B2B phải làm ngay từ bây giờ

Đối với các doanh nghiệp sử dụng giải pháp ký điện tử, ba ưu tiên được áp dụng vào năm 2025-2026:

1. Kiểm toán chuỗi tin cậy của họ: xác minh rằng nhà cung cấp ký của họ thực sự nằm trong danh sách QTSP (Danh sách tin cậy) của quốc gia của họ, và rằng các chứng chỉ được sử dụng tuân thủ các đặc tả ETSI EN 319 401 và EN 319 411-1 được sửa đổi.

2. Dự tính việc tích hợp EUDI Wallet: các doanh nghiệp hoạt động trong các lĩnh vực được quy định (ngân hàng, bảo hiểm, chăm sóc sức khỏe, bất động sản) sẽ là những người đầu tiên bị ảnh hưởng bởi các luồng xác minh danh tính thông qua ví. Chuẩn bị API tích hợp từ năm 2025 được khuyến cáo.

3. Sửa đổi các chính sách lưu trữ của họ: dịch vụ lưu trữ điện tử được xác định mới (QESAP) giới thiệu các tiêu chuẩn bảo quản lâu dài có thể được áp dụng trong một số lĩnh vực (đấu thầu công, lĩnh vực dược phẩm). Máy tính ROI của chúng tôi cho ký điện tử cho phép bạn đánh giá tác động tài chính của việc nâng cấp cơ sở hạ tầng tài liệu của mình.

---

Khả năng tương tác, RGPD và các vấn đề về chủ quyền số

eIDAS 2 và RGPD: tương bổ sung được tăng cường

Một trong những tiến bộ chính của eIDAS 2 là tích hợp rõ ràng các nguyên tắc bảo vệ dữ liệu ngay từ thiết kế (privacy by design) vào kiến trúc ví EUDI. Điều 5a§14 quy định rằng ví không cho phép các nhà cung cấp dịch vụ theo dõi hành vi của người dùng trong các giao dịch. Các nhà phát hành thuộc tính nhận dạng được xác định (QEAA) không được thông báo về cách sử dụng các chứng chỉ được cấp — điều này tạo thành một sự thay đổi lớn so với các mô hình tập trung hiện tại.

Kiến trúc này được gọi là unlinkability (không thể liên kết): hai giao dịch riêng biệt được thực hiện bởi cùng một người dùng không thể được liên kết mà không có sự đồng ý của họ. Bảo đảm này vượt quá các yêu cầu tối thiểu của RGPD trong khi vẫn hợp thức với nó một cách hoàn hảo.

Chiều geopolitical: lấy lại kiểm soát về nhận dạng trực tuyến

eIDAS 2 cũng đáp ứng một vấn đề về chủ quyền. Ngày nay, xác thực trực tuyến phụ thuộc rất nhiều vào các nút "Đăng nhập bằng Google/Facebook/Apple", điều này trao cho các gã khổng lồ công nghệ Mỹ một vị trí thống trị trong việc quản lý các nhận dạng số hóa châu Âu. Bằng cách bắt buộc các nền tảng rất lớn (theo nghĩa của Đạo luật Dịch vụ Kỹ thuật số) chấp nhận EUDI Wallet như một phương tiện xác thực, eIDAS 2 tạo ra một lựa chọn thay thế có thể tương tác và chủ quyền.

Đối với các doanh nghiệp B2B, điều này cũng có nghĩa là tuân thủ eIDAS 2 có thể trở thành một tiêu chí lựa chọn nhà cung cấp trong các cuộc gọi nước ngoài công khai và riêng tư — giống như cách chứng chỉ ISO 27001 hiện đại diễn ra trong các quy trình mua hàng. Nếu tổ chức của bạn đang xem xét phát triển giải pháp hiện tại của mình, hướng dẫn di chuyển từ DocuSign hoặc YouSign sang Certyneo của chúng tôi chi tiết các bước của một quá trình chuyển đổi được kiểm soát.

Khuôn khổ pháp lý áp dụng cho eIDAS 2 và ký điện tử

Các văn bản tham khảo

Quy định (EU) 2024/1183 của Nghị viện Châu Âu và Hội đồng ngày 11 tháng 4 năm 2024, sửa đổi Quy định (EU) số 910/2014 liên quan đến thiết lập khuôn khổ châu Âu cho nhận dạng số (eIDAS 2). Công bố tại JOUE vào ngày 30 tháng 4 năm 2024, có hiệu lực vào ngày 20 tháng 5 năm 2024.

Quy định (EU) số 910/2014 (eIDAS 1): được duy trì có hiệu lực cho các điều khoản không được sửa đổi, đặc biệt là các Điều liên quan đến các mức đảm bảo "yếu", "thực chất" và "cao" cho các sơ đồ nhận dạng được thông báo.

Bộ luật dân sự Pháp, các Điều 1366 và 1367: tài liệu điện tử có cùng lực chứng minh như tài liệu giấy tờ với điều kiện là người mà từ đó nó phát sinh được xác định đúng cách và tài liệu được thành lập trong các điều kiện đảm bảo tính toàn vẹn của nó. Chữ ký điện tử được xác định (QES) theo eIDAS 2 thỏa mãn những yêu cầu này một cách đầy đủ.

Quy định (EU) 2016/679 (RGPD): quá trình xử lý dữ liệu nhận dạng trong bối cảnh ví EUDI phải tuân theo các nguyên tắc tối thiểu hóa (Điều 5§1c), hạn chế mục đích (Điều 5§1b) và bảo vệ dữ liệu ngay từ thiết kế (Điều 25). Các nhà cung cấp được xác định hoạt động với tư cách là những bên chịu trách nhiệm xử lý riêng biệt cho các hoạt động xác minh.

Chỉ thị (EU) 2022/2555 (NIS2): được chuyển tiếp vào pháp luật Pháp bởi Sắc lệnh số 2024-528 ngày 12 tháng 6 năm 2024, nó áp đặt các nghĩa vụ quản lý rủi ro mạng và thông báo các sự cố trong vòng 24 giờ cho các nhà cung cấp dịch vụ tin cậy được xác định.

Tiêu chuẩn ETSI:

• EN 319 132 (XAdES) và EN 319 122 (CAdES): các định dạng chữ ký điện tử nâng cao.
• EN 319 401: yêu cầu chung cho các nhà cung cấp dịch vụ tin cậy.
• EN 319 411-1 và 411-2: chính sách và yêu cầu bảo mật cho các CA phát hành chứng chỉ được xác định.
• EN 319 521: yêu cầu cho các dịch vụ bảo quản chữ ký được xác định (QESAP).

Nghĩa vụ và rủi ro pháp lý đối với doanh nghiệp

Bất kỳ doanh nghiệp nào sử dụng chữ ký điện tử trong bối cảnh hợp đồng phải đảm bảo rằng mức độ chữ ký được chọn phù hợp với giá trị và tính chất của hành động. Đối với các hành động tuân theo yêu cầu pháp lý về ký (lời hứa bán, hợp đồng lao động, đơn hàng vượt quá các ngưỡng nhất định), chỉ QES hoặc AdES dựa trên chứng chỉ được xác định mới mang lại giả định về độ tin cậy được đề cập tại Điều 26 của eIDAS 2.

Trong trường hợp tranh chấp, gánh nặng chứng minh bị lật: nếu chữ ký được xác định, thì phía bác bỏ tài liệu phải chứng minh rằng nó bị sửa đổi; nếu nó đơn giản hoặc nâng cao mà không có chứng chỉ được xác định, gánh nặng chứng minh được áp dụng cho người ký người gọi nó. Không tuân thủ các yêu cầu về tính theo dõi dấu vết và tính toàn vẹn có thể dẫn đến tính bất khả kháng của hành động hoặc tính không thể áp dụng của chữ ký đối với bên thứ ba.

Kịch bản sử dụng: eIDAS 2 áp dụng cho các doanh nghiệp B2B

Kịch bản 1 — Một công ty tư vấn chuyển đổi số (khoảng 80 chuyên gia tư vấn)

Một cấu trúc tư vấn triển khai các cộng tác viên của nó ở các khách hàng ở nhiều quốc gia thành viên (Pháp, Đức, Hà Lan) phải ký mỗi tháng các lệnh sứ mệnh, các sửa đổi hợp đồng và các bản ghi chép của kỳ lạc hội. Trước eIDAS 2, quản lý các nhận dạng xuyên biên giới gây ra các ma sát: sự từ chối của một số khách hàng Đức công nhận các chứng chỉ được phát hành bởi một QTSP Pháp, xác thực kép qua email không đủ cho các hành động nhạy cảm.

Với sự triển khai của EUDI Wallet vào năm 2026, các chuyên gia tư vấn sẽ có thể ký từ ví quốc gia của họ — được công nhận một cách đầy đủ ở tất cả các quốc gia thành viên — mà không có bất kỳ ma sát nào. Công ty ước tính giảm 60 đến 70% thời gian dành cho các cuộc trao đổi xác minh tài liệu trước khi ký, tức là khoảng 3 đến 4 giờ tiết kiệm được cho mỗi chuyên gia tư vấn mỗi tháng theo các tiêu chuẩn ngành được xuất bản bởi McKinsey Digital (2024).

Kịch bản 2 — Một công ty SME công nghiệp quản lý 350 hợp đồng nhà cung cấp mỗi năm

Một công ty SME của lĩnh vực thiết bị công nghiệp, làm việc với khoảng một trăm nhà cung cấp châu Âu và châu Á, phải ký các đơn hàng, các thỏa thuận bảo mật (NDA) và các hợp đồng-khung. Cho đến nay, 30% những tài liệu này trở lại mà không có chữ ký hợp lệ hoặc với các thời hạn dài hơn 10 ngày làm việc.

Bằng cách áp dụng giải pháp ký điện tử tuân thủ eIDAS 2 với xác minh danh tính thông qua các thuộc tính được xác định (QEAA), công ty SME có thể áp đặt một luồng ký nơi danh tính của đại diện hợp pháp của nhà cung cấp được xác minh tự động thông qua EUDI Wallet, mà không cần nhập thủ công. Kết quả dự kiến: giảm thời gian ký trung bình từ 10 ngày xuống dưới 48 giờ, và giảm 40% các tranh chấp liên quan đến chữ ký không tuân thủ, dựa trên các khoảng quan sát được trong các báo cáo ELENIUS 2025 về số hóa B2B.

Kịch bản 3 — Một nhóm bất động sản quản lý các hợp đồng bán hàng ở nhiều quốc gia

Một mạng lưới các công ty môi giới bất động sản hoạt động ở Pháp, Tây Ban Nha và Bồ Đào Nha phải thường xuyên ký các hợp đồng trước giữa những người bán và những người mua có quốc tịch khác nhau. QES được yêu cầu trong một số bối cảnh nhất định để đảm bảo sự tương đương với chữ ký viết tay trước công chứng.

Nhờ eIDAS 2 và khả năng tương tác của các ví EUDI, một người mua người Bồ Đào Nha có thể ký một hợp đồng trước áp dụng pháp luật Pháp bằng cách sử dụng ví quốc gia của họ, với mức độ đảm bảo "cao" được công nhận tự động bởi nền tảng ký. Nhóm giảm phí đi lại và hợp pháp hóa khoảng 800 đến 1.200 euro cho mỗi tập tin xuyên biên giới, đồng thời giảm thời gian kết luận các hợp đồng trước từ 3 tuần xuống 5 ngày trung bình. Để biết về cách sử dụng cụ thể của lĩnh vực, trang chuyên dụng của chúng tôi về ký điện tử trong bất động sản chi tiết các luồng công việc được thích ứng.

Kết luận

eIDAS 2 không phải là một cuộc cập nhật quy định đơn giản: đó là một sự cải tổ sâu sắc về cách hoạt động của nhận dạng số hóa và tin cậy điện tử ở châu Âu. Ví EUDI Wallet, các dịch vụ được xác định mới, yêu cầu khả năng tương tác và sự căn chỉnh với NIS2 và RGPD tạo thành một hệ sinh thái hợp lý sẽ chuyển đổi các quy trình hợp đồng và xác thực của các doanh nghiệp vào cuối năm 2026.

Để duy trì tuân thủ và cạnh tranh, các tổ chức B2B phải hành động ngay bây giờ: kiểm toán chuỗi tin cậy của họ, chọn một nhà cung cấp dịch vụ phù hợp với các yêu cầu mới và chuẩn bị các luồng tài liệu của họ để tích hợp ví số hóa châu Âu.

Certyneo đi kèm với bạn trong sự chuyển đổi này với các giải pháp ký điện tử được xác định tuân thủ eIDAS 2, sẵn sàng cho năm 2026. Demandez une démonstration ou créez votre compte sur CertyneoYêu c