eIDAS 2 vs eIDAS 1: những thay đổi chính cho các SME

Giới thiệu: tại sao eIDAS 2 thay đổi cuộc chơi cho các SME

Kể từ ngày 20 tháng 5 năm 2024, Quy định (EU) 2024/1183 — thường được gọi là eIDAS 2 — đã có hiệu lực, huỷ bỏ và thay thế dần dần Quy định (EU) n° 910/2014 (eIDAS 1). Đối với các SME Pháp, sự chuyển đổi này không phải là một cập nhật hành chính đơn giản: nó định hình lại các mức độ tin cậy kỹ thuật số, giới thiệu ví danh tính châu Âu (EUDIW), tăng cường các yêu cầu áp dụng cho các nhà cung cấp dịch vụ tin cậy và mở rộng phạm vi các dịch vụ được công nhận. Bài viết này so sánh từng điểm eIDAS 1 và eIDAS 2, xác định các tác động hoạt động cụ thể cho các doanh nghiệp nhỏ và vừa, và cung cấp cho bạn một kế hoạch hành động để tuân thủ vào năm 2026.

---

1. Ôn lại: những gì mà eIDAS 1 đã đặt ra (2014-2024)

1.1 Nền tảng của quy định ban đầu

Được thông qua vào tháng 7 năm 2014 và có hiệu lực kể từ tháng 9 năm 2016, eIDAS 1 đã đặt những bước đầu tiên cho một không gian tin cậy kỹ thuật số châu Âu. Nó đã giới thiệu ba loại chữ ký điện tử — đơn giản (SES), nâng cao (AdES) và đủ tiêu chuẩn (QES) — và tạo ra danh sách các nhà cung cấp dịch vụ đủ tiêu chuẩn (Trusted List), có thể tham khảo trên cổng thông tin của Ủy ban châu Âu.

Đối với các SME, đóng góp chính của eIDAS 1 là công nhận xuyên biên giới các chữ ký đủ tiêu chuẩn: một hợp đồng được ký bằng QES Pháp đã được công nhận hợp pháp tại Đức, Tây Ban Nha hoặc Ý mà không cần apostille hoặc thủ tục bổ sung nào. Nguyên tắc này — được gọi là « không phân biệt đối xử » — đã trở thành nền tảng mà các dịch vụ SaaS như Certyneo đã xây dựng các dịch vụ của họ.

1.2 Những hạn chế đã xác định

Mặc dù có những tiến bộ của nó, eIDAS 1 vẫn gặp phải một số thiếu hụt được Ủy ban châu Âu ghi chép trong báo cáo đánh giá năm 2021:

• Phân mảnh các sơ đồ danh tính: chỉ những Quốc gia thành viên đã thông báo sơ đồ quốc gia của họ (như FranceConnect+ ở mức độ thực chất) mới được hưởng lợi từ sự công nhận lẫn nhau. Vào năm 2023, chỉ có 14 quốc gia trên 27 đã thông báo một sơ đồ phù hợp.
• Không có hỗ trợ di động gốc: thiết bị đủ tiêu chuẩn để tạo chữ ký (QSCD) thường yêu cầu một thẻ thông minh hoặc token cứng, cản trở việc áp dụng di động.
• Dịch vụ tin cậy hạn chế: eIDAS 1 liệt kê chín loại dịch vụ đủ tiêu chuẩn; những cách sử dụng mới (lưu trữ điện tử đủ tiêu chuẩn, quản lý thuộc tính) không được quy định.
• Không có ví danh tính thống nhất: mỗi công dân hoặc doanh nghiệp quản lý các định danh của mình một cách tách biệt, mà không có khả năng tương tác được đảm bảo.

Những hạn chế này đã dẫn Ủy ban bắt đầu sửa đổi từ năm 2020, dẫn đến Quy định eIDAS 2 sau ba năm đàm phán ba bên.

---

2. Năm đổi mới lớn của eIDAS 2 cho các SME

2.1 Ví danh tính kỹ thuật số châu Âu (EU Digital Identity Wallet — EUDIW)

Đây là điều mới nhất nổi bật nhất của quy định. Trước tháng 11 năm 2026 (thời hạn chuyển đổi được xác định bởi Điều 5a), mỗi Quốc gia thành viên phải cung cấp cho các công dân và cư trú của mình ít nhất một ví danh tính kỹ thuật số được chứng thực. Đối với các SME, sự phát triển này có hai hệ quả trực tiếp:

1. Xác thực khách hàng và đối tác đơn giản hóa: ví điện tử sẽ cho phép chia sẻ các thuộc tính được xác minh (tuổi, số VAT liên communautaire, trích dẫn Kbis, dữ liệu ngân hàng được chứng thực) mà không có ma sát. Một thỏa thuận khung với một đối tác Đức sẽ có thể được ký sau khi xác minh ngay các thuộc tính chuyên nghiệp của nó từ EUDIW của nó.
2. Nghĩa vụ chấp nhận đối với một số lĩnh vực nhất định: các dịch vụ trực tuyến của các nền tảng lớn (Điều 45bis) và một số dịch vụ công phải chấp nhận EUDIW làm phương tiện xác thực. Các SME cung cấp cổng thông tin B2B sẽ phải điều chỉnh các API xác thực của họ.

2.2 Mở rộng danh sách các dịch vụ tin cậy đủ tiêu chuẩn

eIDAS 2 mở rộng danh mục các dịch vụ tin cậy đủ tiêu chuẩn từ 9 đến 14 danh mục. Các mục mới liên quan trực tiếp đến các SME là:

• Lưu trữ điện tử đủ tiêu chuẩn (Điều 45septies): bảo tồn dài hạn với giá trị chứng minh được tăng cường. Cho đến nay, lưu trữ có giá trị chứng minh dựa trên các tài liệu tham khảo quốc gia (ở Pháp, tài liệu tham khảo SIAF/ANSSI); eIDAS 2 điều hòa khung châu Âu.
• Quản lý từ xa các thiết bị đủ tiêu chuẩn để tạo chữ ký (RQSCD): bây giờ được quy định rõ ràng, nó xóa bỏ những sự mơ hồ pháp lý nặng nề trên các giải pháp chữ ký điện tử của đám mây. Đối với một SME có 50 nhân viên, điều này có nghĩa là truy cập chữ ký đủ tiêu chuẩn mà không có token vật lý, từ bất kỳ thiết bị nào.
• Dịch vụ sổ đăng ký điện tử đủ tiêu chuẩn: các sổ đăng ký được xây dựng trên blockchain hoặc công nghệ sổ cái phân tán có thể hiện có trạng thái đủ tiêu chuẩn, mở đường cho các mô hình quản lý hợp đồng mới.

Để tìm hiểu thêm về các mức độ chữ ký và giá trị pháp lý của chúng, hãy tham khảo hướng dẫn đầy đủ về chữ ký điện tử.

2.3 Tăng cường các yêu cầu bảo mật cho các nhà cung cấp đủ tiêu chuẩn (QTSP)

eIDAS 2 siết chặt các nghĩa vụ của các nhà cung cấp dịch vụ tin cậy đủ tiêu chuẩn (QTSP). Điều 24 được sửa đổi áp đặt đặc biệt:

• Một chứng chỉ an ninh mạng phù hợp với khung châu Âu (EU Cybersecurity Act, Quy định 2019/881), với các sơ đồ lĩnh vực đang được phát triển bởi ENISA.
• Các yêu cầu được tăng cường về khả năng phục hồi hoạt động: các QTSP giờ phải ghi chép rõ ràng kế hoạch tiếp tục hoạt động của họ và gửi cho cơ quan giám sát quốc gia của họ (ở Pháp, ANSSI cho các nhà cung cấp đủ tiêu chuẩn).
• Một nghĩa vụ thông báo sự cố bảo mật trong vòng 24 giờ (liên kết với NIS 2).

Đối với các SME sử dụng, điều này dịch thành một nghĩa vụ siêng năng tăng cường trong việc lựa chọn nhà cung cấp: xác minh rằng giải pháp ký của bạn có xuất hiện trên Danh sách Tin cậy châu Âu được cập nhật là bước quan trọng của quy trình mua của bạn. Dự án so sánh các giải pháp chữ ký điện tử của chúng tôi có thể giúp bạn trong phân tích này.

2.4 Khả năng tương tác bắt buộc của các sơ đồ danh tính

Nếu eIDAS 1 để lại cho các Quốc gia thành viên tự do thông báo (hoặc không) sơ đồ của họ, eIDAS 2 làm cho thông báo và khả năng tương tác bắt buộc đối với các sơ đồ danh tính được sử dụng trong các dịch vụ công cộng trực tuyến (Điều 5). France Identité — sơ đồ quốc gia do Bộ Nội vụ xây dựng — đang được đưa vào sự tuân thủ các thông số kỹ thuật của EUDIW, được xuất bản bởi Ủy ban trong Quy định thực thi (EU) 2024/2977.

Đối với một SME tương tác thường xuyên với các cơ quan quản lý công cộng (thị trường công khai, khai báo điện tử thuế, thủ tục hải quan), sự phát triển này có nghĩa là các quy trình trực tuyến sẽ được dần dần thống nhất xung quanh một định danh kỹ thuật số duy nhất được công nhận trong toàn bộ EU.

2.5 Các quy tắc trách nhiệm và giám sát mới

eIDAS 2 làm rõ và mở rộng các chế độ trách nhiệm của các nhà cung cấp (Điều 13 được sửa đổi). Một QTSP bây giờ được coi là chịu trách nhiệm về bất kỳ thiệt hại nào gây ra cho một cá nhân hoặc pháp nhân bởi sự vi phạm các nghĩa vụ của nó, trừ khi chứng minh sự vắng mặt lỗi. Giả định trách nhiệm này, được tăng cường so với eIDAS 1, phải thúc đẩy các SME để:

• Chính thức hóa bằng hợp đồng các cam kết của nhà cung cấp (SLA, bảo đảm khả dụng, bồi thường).
• Xác minh phạm vi bảo hiểm trách nhiệm dân sự chuyên nghiệp của QTSP.
• Giữ lại bằng chứng kiểm toán của các giao dịch được ký (nhật ký dấu thời gian, báo cáo xác minh chữ ký).

Các nhóm của chúng tôi đã soạn thảo một hướng dẫn chi tiết về chữ ký điện tử trong doanh nghiệp mà xử lý các khía cạnh hợp đồng này.

---

3. Bảng so sánh eIDAS 1 vs eIDAS 2: những gì thay đổi một cách cụ thể

3.1 Tổng hợp những tiến bộ chính

| Tiêu chí | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Ví danh tính | Vắng mặt | EUDIW bắt buộc (các Quốc gia thành viên) | | Dịch vụ đủ tiêu chuẩn | 9 danh mục | 14 danh mục (lưu trữ, RQSCD, sổ đăng ký…) | | Thông báo sơ đồ | Tùy chọn | Bắt buộc cho các dịch vụ công cộng | | Bảo mật QTSP | Tiêu chí Common Criteria | Cybersecurity Act + ENISA schemes | | Trách nhiệm QTSP | Một phần | Giả định trách nhiệm được tăng cường | | Thời hạn thông báo sự cố | Không được xác định | 24 giờ (liên kết NIS 2) | | QSCD di động | Mơ hồ pháp lý | RQSCD được quy định rõ ràng |

3.2 Các thời hạn chính cần nhớ cho năm 2026

• Tháng 5 năm 2024: Quy định (EU) 2024/1183 có hiệu lực.
• Tháng 11 năm 2026: thời hạn cuối cùng để mỗi Quốc gia thành viên cung cấp ít nhất một giải pháp EUDIW được chứng thực.
• 2027: nghĩa vụ cho các nền tảng lớn (Điều 45bis) phải chấp nhận EUDIW làm phương tiện xác thực.
• 2028: sửa đổi dự kiến của các hành động thực hiện kỹ thuật (các quy định ủy quyền về thông số kỹ thuật EUDIW).

Nếu SME của bạn đang cân nhắc di chuyển đến một giải pháp phù hợp hơn, đề nghị di chuyển đến Certyneo của chúng tôi bao gồm một kiểm toán tuân thủ eIDAS 2 miễn phí.

---

4. Kế hoạch hành động thực tế để đưa SME của bạn vào tuân thủ eIDAS 2

4.1 Kiểm toán các luồng tài liệu hiện tại của bạn

Bắt đầu bằng cách vẽ sơ đồ tất cả các quy trình trong đó bạn hiện đang sử dụng chữ ký điện tử hoặc danh tính kỹ thuật số: hợp đồng nhà cung cấp, phiếu lương được số hóa, lệnh SEPA, thỏa thuận bảo mật, hành động nhân sự. Đối với mỗi luồng, xác định:

• Mức độ chữ ký được sử dụng (SES, AdES, QES).
• Nhà cung cấp hiện tại và trạng thái của họ trên Danh sách Tin cậy.
• Mức độ rủi ro pháp lý trong trường hợp tranh chấp.

Kiểm toán này là điểm khởi đầu được đề xuất bởi ANSSI trong hướng dẫn tuân thủ của nó được xuất bản vào tháng 3 năm 2025.

4.2 Nâng cấp giải pháp chữ ký của bạn

Nếu nhà cung cấp hiện tại của bạn không xuất hiện trên Danh sách Tin cậy eIDAS 2 hoặc chưa cung cấp RQSCD, đã đến lúc để so sánh các đề nghị trên thị trường. Certyneo là một QTSP được chứng thực hỗ trợ ba mức độ chữ ký (SES, AdES, QES) và tích hợp sản phẩm các yêu cầu eIDAS 2 mới, đặc biệt là lưu trữ đủ tiêu chuẩn và quản lý từ xa các thiết bị.

4.3 Đào tạo các nhóm của bạn và cập nhật hợp đồng của bạn

eIDAS 2 tăng cường giá trị chứng minh của các chữ ký đủ tiêu chuẩn nhưng cũng áp đặt các thực hành tài liệu tốt. Hãy đảm bảo rằng các nhóm pháp lý và hành chính của bạn:

• Biết cách phân biệt ba mức độ chữ ký và giá trị pháp lý của chúng.
• Tích hợp vào các hợp đồng nhà cung cấp một điều khoản kiểm toán tuân thủ eIDAS.
• Giữ lại bằng chứng xác minh chữ ký (báo cáo xác nhận, dấu thời gian đủ tiêu chuẩn) trong thời hạn lưu giữ pháp lý áp dụng (3 đến 10 năm tùy theo tính chất của hành động).

Để cấu trúc cách tiếp cận này, máy tính ROI chữ ký điện tử của chúng tôi sẽ cho phép bạn định lượng các lợi ích hoạt động liên quan đến nâng cấp.

Khung pháp lý áp dụng

Các văn bản tham khảo

Sự tuân thủ eIDAS 2 cho một SME Pháp nằm trong một chồng chất chuẩn mà rất cần thiết phải đạt được.

Quy định (EU) 2024/1183 của Nghị viện Châu Âu và Hội đồng (được gọi là « eIDAS 2 »): đây là văn bản sáng lập, được công bố tại JOUE vào ngày 30 tháng 4 năm 2024. Nó huỷ bỏ và thay thế Quy định (EU) n° 910/2014 theo lịch triển khai dần dần cho đến năm 2027. Nó được áp dụng trực tiếp ở tất cả các Quốc gia thành viên, không yêu cầu chuyển đổi lập pháp quốc gia cho các quy định chính của nó.

Quy định (EU) n° 910/2014 (eIDAS 1): một số quy định của nó vẫn áp dụng trong các khoảng thời gian chuyển tiếp được quy định bởi eIDAS 2, đặc biệt là đối với các nhà cung cấp đủ tiêu chuẩn đã có được tư cách đủ tiêu chuẩn trước tháng 5 năm 2024 và có thời hạn để tái chứng thực.

Bộ luật dân sự Pháp, các Điều 1366 và 1367: Điều 1366 đặt nguyên tắc tương đương giữa bản ghi điện tử và bản ghi giấy, với điều kiện rằng « người mà nó phát ra có thể được xác định đầy đủ và nó được thiết lập và lưu giữ trong các điều kiện để đảm bảo tính toàn vẹn của nó ». Điều 1367 công nhận chữ ký điện tử như một phương thức chứng minh, chuyển hướng đến các điều kiện được xác định bởi sắc lệnh của Hội đồng Nhà nước (sắc lệnh n° 2017-1416 ngày 28 tháng 9 năm 2017, được mã hóa trong các Điều R. 1369-1 đến R. 1369-10 của Bộ luật dân sự).

Quy định (EU) 2016/679 (RGPD): việc triển khai EUDIW và xử lý các thuộc tính danh tính trong các luồng chữ ký điện tử tạo thành các xử lý dữ liệu cá nhân theo nghĩa của RGPD. Các SME phải đảm bảo rằng QTSP của họ hoạt động như một bên xử lý dữ liệu theo nghĩa của Điều 28 RGPD, với một Thỏa thuận xử lý dữ liệu (DPA) phù hợp. CNIL đã xuất bản vào tháng 1 năm 2026 một khuyến nghị cụ thể về tích hợp EUDIW-RGPD.

Chỉ thị (EU) 2022/2555 (NIS 2): eIDAS 2 liên kết rõ ràng với NIS 2 cho các nghĩa vụ thông báo sự cố (Điều 24, §2 eIDAS 2 chuyển hướng đến các quy định NIS 2). Các QTSP được coi là các thực thể « cần thiết » hoặc « quan trọng » theo nghĩa của NIS 2 tùy theo quy mô của chúng, và chịu các kiểm toán bảo mật thường xuyên.

Chuẩn ETSI: các chữ ký điện tử đủ tiêu chuẩn phải tuân thủ các chuẩn ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) và ETSI EN 319 102-1 (quy trình xác thực). Chuẩn ETSI TS 119 461 quy định xác minh danh tính từ xa (IDV), đặc biệt liên quan đến RQSCD.

Rủi ro pháp lý trong trường hợp không tuân thủ

Sử dụng giải pháp chữ ký điện tử không tuân thủ eIDAS 2 làm SME của bạn phải đối mặt với một số rủi ro:

• Bất khả thụ tại tòa án: một thẩm phán có thể loại trừ một chữ ký điện tử mà mức độ không tương ứng với hành động được ký (ví dụ: chữ ký đơn giản cho một hành động cần mức độ nâng cao hoặc đủ tiêu chuẩn).
• Trách nhiệm hợp đồng: nếu một hợp đồng bị tranh chấp bởi một đối tác do lý do hủy nó của chữ ký, SME có thể bị tiếp xúc với yêu cầu bồi thường.
• Trừng phạt RGPD: trong trường hợp vi phạm dữ liệu liên quan đến sự thiếu hụt bảo mật của nhà cung cấp, SME, cùng chịu trách nhiệm hoặc chịu trách nhiệm xử lý, có thể bị CNIL xử phạt tới 4% doanh thu toàn cầu hàng năm (Điều 83 §4 RGPD).

Các tình huống sử dụng cụ thể

Tình huống 1: một SME công nghiệp có 80 nhân viên quản lý 400 hợp đồng nhà cung cấp mỗi năm

Một SME trong lĩnh vực luyện kim xử lý khoảng 400 hợp đồng nhà cung cấp hàng năm đã sử dụng cho đến năm 2024 một giải pháp chữ ký điện tử đơn giản (SES) cho tất cả các cam kết của nó, bao gồm các hợp đồng khung trên 50.000 €. Sau khi kiểm toán tuân thủ eIDAS 2, nó đã phát hiện rằng 35% hợp đồng của nó cần chữ ký nâng cao hoặc đủ tiêu chuẩn để chống lại tranh chấp tư pháp, đặc biệt là với các nhà cung cấp được thiết lập tại các Quốc gia thành viên khác của EU.

Bằng cách di chuyển đến một giải pháp kết hợp chữ ký nâng cao (AdES) cho các hợp đồng thông thường và đủ tiêu chuẩn (QES) cho các hợp đồng khung, và kích hoạt lưu trữ điện tử đủ tiêu chuẩn (dịch vụ eIDAS 2 mới), SME này đã giảm 70% thời gian dành cho quản lý tài liệu sau chữ ký (phân loại, tìm kiếm, gửi bản s