Chuyển đổi eIDAS 1 sang 2: tác động đến chữ ký điện tử vào năm 2025

Vào ngày 20 tháng 5 năm 2024, quy định (EU) 2024/1183 — thường được gọi là eIDAS 2 — đã được công bố trên Tạp chí Chính thức của Liên minh châu Âu, dần dần thay thế quy định n°910/2014 (eIDAS 1). Văn bản này đại diện cho cải cách có ảnh hưởng lớn nhất đối với danh tính kỹ thuật số và chữ ký điện tử ở châu Âu kể từ năm 2016. Đối với các doanh nghiệp Pháp sử dụng các giải pháp ký điện tử trong quy trình hợp đồng của họ, quá trình chuyển đổi không phải là một hình thức thông thường: nó yêu cầu các điều chỉnh kỹ thuật, pháp lý và tổ chức với thời hạn kéo dài đến năm 2026 và sau đó. Hiểu rõ về quá trình chuyển từ eIDAS 1 sang eIDAS 2 và tác động của nó đến chữ ký điện tử vào năm 2025 đã trở thành ưu tiên hàng đầu cho các phòng pháp lý, DSI và DRH. Bài viết này giải thích các tiến hóa cơ bản của khung quy định, lịch trình chính xác của quá trình chuyển đổi và các biện pháp cụ thể để duy trì sự tuân thủ.

Quy định eIDAS 2 thay đổi điều gì một cách cơ bản

Từ quy định 2014 đến cải cách năm 2024: tại sao cần phải sửa đổi

EIDAS 1 đã đặt nền tảng cho việc công nhận lẫn nhau các chữ ký điện tử trong Liên minh châu Âu. Ba cấp độ phân cấp — đơn giản (SES), nâng cao (AdES) và đủ điều kiện (QES) — đã cấu trúc giá trị bằng chứng của các chữ ký, được hỗ trợ bởi danh sách các nhà cung cấp dịch vụ tin cậy (TSL). Nhưng trong mười năm, hai lỗ hổng lớn đã xuất hiện.

Thứ nhất, quy định ban đầu chủ yếu áp dụng cho các mối quan hệ với các cơ quan công cộng (G2B, G2C). Nó không tạo ra các nghĩa vụ trực tiếp trong các giao dịch tư nhân (B2B, B2C), để lại một khoảng trống quy định mà mỗi quốc gia thành viên lấp đầy theo cách khác nhau. Thứ hai, sự phát triển mạnh mẽ của các dịch vụ kỹ thuật số — ứng dụng di động, ngân hàng mở, y tế từ xa — đã tiết lộ sự thiếu vắng một hệ thống danh tính kỹ thuật số dễ mang theo và có khả năng tương tác ở cấp độ lục địa.

EIDAS 2 giải quyết hai thách thức này bằng cách giới thiệu ví danh tính kỹ thuật số châu Âu (EU Digital Identity Wallet, EUDIW) và mở rộng phạm vi các dịch vụ tin cậy cho các trường hợp sử dụng mới: lưu trữ điện tử đủ điều kiện, chứng thực các thuộc tính đủ điều kiện, sổ đăng ký điện tử đủ điều kiện (bao gồm các ứng dụng blockchain được chứng nhận).

Các danh mục dịch vụ tin cậy đủ điều kiện mới

Quy định eIDAS 2 mở rộng danh sách các dịch vụ tin cậy đủ điều kiện (Điều 3 và Phụ lục IV được sửa đổi). Ngoài các chữ ký, con dấu và dấu thời gian đủ điều kiện đã được eIDAS 1 công nhận, hiện tại được coi là đủ điều kiện:

• Các dịch vụ lưu trữ điện tử đủ điều kiện (art. 34 bis): nghĩa vụ bảo tồn tính toàn vẹn và khả năng đọc được các tài liệu đã ký trong dài hạn, với các yêu cầu được tăng cường cho các nhà cung cấp (QTSP).
• Các dịch vụ quản lý thiết bị tạo chữ ký từ xa đủ điều kiện (QRCD): giám sát tăng cường các giải pháp ký từ xa thông qua HSM (Hardware Security Module) cloud.
• Chứng thực các thuộc tính đủ điều kiện: cơ chế cho phép bên thứ ba tin cậy xác nhận các thuộc tính của một thực thể (ví dụ: chất lượng của luật sư, tình trạng bác sĩ) mà không tiết lộ toàn bộ danh tính.
• Sổ đăng ký điện tử đủ điều kiện: công nhận các sổ đăng ký phân tán dưới những điều kiện khắt khe về khả năng kiểm toán và khả năng phục hồi.

Đối với người dùng các giải pháp ký điện tử, sự mở rộng này có nghĩa là các dịch vụ tin cậy đủ điều kiện có sẵn trên thị trường sẽ đa dạng hóa, và tiêu chí lựa chọn nhà cung cấp (QTSP) phải tích hợp các khả năng mới này.

EUDIW: ví danh tính kỹ thuật số làm cơ sở hạ tầng cho chữ ký

Đổi mới rõ ràng nhất của eIDAS 2 vẫn là EUDIW. Mỗi quốc gia thành viên phải cung cấp cho công dân và cư dân của mình một ví danh tính kỹ thuật số miễn phí, có khả năng tương tác với tất cả các quốc gia thành viên khác, trước 26 tháng 11 năm 2026 (thời gian tuân thủ quốc gia theo Điều 5 bis). Ví này sẽ cho phép:

• xác thực người dùng với mức độ đảm bảo cao (LoA High) mà không cần phải sử dụng nhà cung cấp xác thực bên thứ ba;
• ký điện tử các tài liệu với giá trị đủ điều kiện (QES) trực tiếp từ ví;
• chia sẻ các thuộc tính danh tính chọn lọc (selective disclosure), từ đó tôn trọng nguyên tắc giảm thiểu dữ liệu của RGPD.

Đối với các doanh nghiệp, EUDIW lý thuyết đơn giản hóa các quy trình xác minh danh tính trước khi ký đủ điều kiện, loại bỏ ma sát của việc xác định danh tính qua video hoặc trực tiếp. Trong thực tế, tác động sẽ phụ thuộc vào tốc độ triển khai quốc gia — Pháp đã khởi động vào năm 2025 một thử nghiệm thí điểm trong khuôn khổ chương trình "France Identité".

Lịch trình chính xác của quá trình chuyển đổi từ eIDAS 1 sang eIDAS 2

Các mốc thời gian quy định cần biết

Quy định 2024/1183 đã có hiệu lực vào ngày 20 tháng 5 năm 2024, nhưng ứng dụng của nó diễn ra từng bước. Dưới đây là những thời hạn chính:

| Ngày | Sự kiện | |------|---------| | 20 tháng 5 năm 2024 | Công bố trên JOUE, có hiệu lực chính thức | | 20 tháng 11 năm 2024 | Thời hạn 6 tháng để thông qua các hành động thực hiện của Ủy ban (thông số kỹ thuật EUDIW) | | Cuối năm 2025 | Công bố các tiêu chuẩn ETSI được sửa đổi (EN 319 411-1/2, EN 319 401) tích hợp các yêu cầu eIDAS 2 | | 26 tháng 5 năm 2026 | Hạn chót để các quốc gia thành viên tuân thủ các danh mục dịch vụ đủ điều kiện mới | | 26 tháng 11 năm 2026 | EUDIW phải được cung cấp bắt buộc bởi mỗi quốc gia thành viên | | 2027-2028 | Sửa đổi hoàn toàn các danh sách tin cậy quốc gia (TSL) và công nhận các QTSP mới |

EIDAS 1 vẫn có hiệu lực và các chữ ký được cấp theo quy định của nó giữ được toàn bộ giá trị pháp lý. Không có bất kỳ nghĩa vụ nào phải ký lại các tài liệu hiện có. Tuy nhiên, các nhà cung cấp dịch vụ tin cậy đủ điều kiện phải gia hạn công nhận của họ theo các tiêu chuẩn kỹ thuật mới trước năm 2027.

Những gì không thay đổi và những gì cần theo dõi

Tính liên tục là một nguyên tắc cơ bản của quá trình chuyển đổi. Ba cấp độ chữ ký (SES, AdES, QES) được duy trì với các định nghĩa không thay đổi. Sự giả định tương đương với chữ ký tay được gắn vào QES (Điều 25 eIDAS 1, được lặp lại tại Điều 27 eIDAS 2) vẫn có hiệu lực. Giá trị bằng chứng của các chữ ký điện tử hiện tại của bạn không bị thắc mắc.

Những gì cần theo dõi: các hành động thực hiện (implementing acts) được công bố bởi Ủy ban châu Âu trong suốt 2025-2026 sẽ quy định các thông số kỹ thuật chính xác của EUDIW và các danh mục dịch vụ mới. Những văn bản cấp 2 này có tầm quan trọng thực tiễn đáng kể đối với các nhà tích hợp và nhà cung cấp phần mềm. Đối với các doanh nghiệp sử dụng chữ ký điện tử trong quy trình nhân sự hoặc pháp lý của họ, được khuyến cáo yêu cầu nhà cung cấp của mình một lộ trình tuân thủ eIDAS 2.

Tác động thực tế đối với các doanh nghiệp và giải pháp ký của họ

Những quy trình nào được ưu tiên?

Quá trình chuyển đổi từ eIDAS 1 sang eIDAS 2 không có tác động giống nhau tùy thuộc vào cấp độ chữ ký được sử dụng. Đối với các doanh nghiệp, ba tình huống phân biệt:

Chữ ký điện tử đơn giản (SES): được sử dụng cho các sửa đổi giá trị thấp, biên lai, các biểu mẫu nội bộ. Không có bất kỳ nghĩa vụ cập nhật ngay lập tức nào. Các quy tắc bằng chứng vẫn được điều chỉnh bởi Bộ luật Dân sự (art. 1366-1367) và không trực tiếp bởi eIDAS.

Chữ ký điện tử nâng cao (AdES/AdESQC): các doanh nghiệp sử dụng các giải pháp B2B cho các hợp đồng thương mại, hợp đồng lao động được mã hóa hoặc các hành động bất động sản phải xác minh rằng nhà cung cấp của họ duy trì tuân thủ các tiêu chuẩn ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) và EN 319 142 (PAdES) trong các phiên bản được sửa đổi cho eIDAS 2. Các tiêu chuẩn này sẽ được ETSI công bố trước cuối năm 2025.

Chữ ký điện tử đủ điều kiện (QES): các nhà cung cấp đủ điều kiện (QTSP) sẽ phải chuyển sang công nhận mới eIDAS 2. Thời gian chuyển tiếp cấp một khoảng thời gian hợp lý (cho đến năm 2027), nhưng các cuộc gọi thầu được khởi động từ năm 2025 sẽ tích hợp một mệnh đề tuân thủ eIDAS 2 trong các tiêu chí lựa chọn. Đối với các tổ chức so sánh các tùy chọn có sẵn, so sánh các giải pháp ký điện tử cho phép đánh giá mức độ trưởng thành của các nhà cung cấp trên vấn đề này.

Yêu cầu mới cho các nhà cung cấp dịch vụ tin cậy đủ điều kiện (QTSP)

EIDAS 2 tăng cường yêu cầu áp dụng cho QTSP trên ba điểm chính:

1. Bảo mật hệ thống: căn chỉnh bắt buộc trên NIS2 (Chỉ thị (EU) 2022/2555) cho QTSP, giờ được phân loại là các thực thể thiết yếu. Điều này được dịch thành các nghĩa vụ thông báo sự cố trong vòng 24 giờ, kiểm toán bảo mật hàng năm và thực hiện các kế hoạch tiếp tục hoạt động.

1. Trách nhiệm được tăng cường: Điều 13 eIDAS 2 mở rộng chế độ trách nhiệm của QTSP. Trong trường hợp có sai phạm được chứng minh, gánh nặng chứng minh được đảo ngược: nhà cung cấp dịch vụ phải chứng minh rằng anh ta không lơ là, chứ không phải điều ngược lại.

1. Khả năng tương tác bắt buộc: QTSP phải tiết lộ các API được tiêu chuẩn hóa tương thích với EUDIW để cho phép tích hợp gốc của các ví danh tính. Yêu cầu này sẽ tăng tốc độ hiện đại hóa các giao diện tích hợp có sẵn cho các nhà phát triển.

Đối với các doanh nghiệp dự định thay đổi nhà cung cấp trong bối cảnh này, di chuyển từ DocuSign hoặc YouSign sang một giải pháp tuân thủ eIDAS 2 là một nỗ lực nên được dự tính ngay bây giờ hơn là gấp gáp vào năm 2027.

Dữ liệu cá nhân và eIDAS 2: mối quan hệ với RGPD

EUDIW thu thập và xử lý dữ liệu danh tính có tính cách nhân. Quy định eIDAS 2 quy định rõ ràng (Xem xét 11 và Điều 5 bis §14) rằng toàn bộ thiết bị phải tuân thủ RGPD (Quy định (EU) 2016/679). Một số điểm cần chú ý:

• Selective disclosure: ví phải cho phép người dùng chỉ chia sẻ các thuộc tính thực sự cần thiết cho giao dịch (nguyên tắc giảm thiểu, art. 5(1)(c) RGPD). Để ký hợp đồng, chỉ xác minh tuổi thành niên có thể được chia sẻ mà không tiết lộ ngày sinh đầy đủ.
• Chuyển giao ngoài EU: dữ liệu danh tính được xử lý trong khuôn khổ EUDIW không thể được chuyển giao bên ngoài EEA ngoại trừ có bảo đảm thích hợp (art. 46 RGPD). Các nhà cung cấp sử dụng cơ sở hạ tầng đám mây Mỹ phải lập tài liệu tuân thủ của họ.
• Bảo tồn nhật ký ký: lưu trữ các bằng chứng ký phải tuân thủ thời gian bảo tồn proportionate với bản chất của tài liệu. Dịch vụ lưu trữ đủ điều kiện eIDAS 2 mới cung cấp một khung kỹ thuật để đáp ứng yêu cầu này.

Các doanh nghiệp quản lý các hợp đồng lao động quốc tế đặc biệt bị ảnh hưởng bởi mối quan hệ RGPD/eIDAS 2 này, đặc biệt là khi các bên ký cư trú bên ngoài EU.

Khung pháp lý áp dụng cho quá trình chuyển đổi từ eIDAS 1 sang eIDAS 2

Các văn bản tham chiếu

Quá trình chuyển đổi dựa trên một tập hợp các văn bản mà điều cần thiết là phải nắm vững:

Ở cấp độ châu Âu:

• Quy định (EU) n°910/2014 (eIDAS 1): vẫn có hiệu lực cho đến khi bị eIDAS 2 thay thế từng bước. Xác định ba cấp độ chữ ký (SES, AdES, QES) và chế độ QTSP.
• Quy định (EU) 2024/1183 (eIDAS 2): có hiệu lực vào ngày 20 tháng 5 năm 2024. Sửa đổi đáng kể eIDAS 1 mà không hủy bỏ nó ngay lập tức. Các quy định liên quan đến EUDIW áp dụng từ khi công bố các hành động thực hiện.
• Quy định (EU) 2016/679 (RGPD): áp dụng hoàn toàn cho xử lý dữ liệu danh tính trong khuôn khổ EUDIW và các quy trình ký. Điều 5 bis §14 của eIDAS 2 nhắc lại sự tùy thuộc này một cách rõ ràng.
• Chỉ thị (EU) 2022/2555 (NIS2): áp đặt các nghĩa vụ an ninh mạng được tăng cường cho QTSP, giờ được phân loại là các thực thể thiết yếu. Được chuyển thành luật Pháp bởi Sắc lệnh n°2024-821 ngày 20 tháng 6 năm 2024 (đang chờ sắc lệnh áp dụng).

Ở cấp độ Pháp:

• Bộ luật Dân sự, Điều 1366 và 1367: nền tảng của giá trị bằng chứng của các bản viết dưới hình thức điện tử. Điều 1366 thiết lập tính tương đương giữa bản viết điện tử và giấy dưới các điều kiện nhất định. Điều 1367 gắn vào chữ ký đủ điều kiện (QES) sức lực bằng chứng tương tự như chữ ký tay.
• Sắc lệnh n°2017-1416 ngày 28 tháng 9 năm 2017: làm rõ các điều kiện sử dụng chữ ký điện tử trong các hành động riêng. Vẫn áp dụng trong thời kỳ chuyển tiếp.
• Thư mục tiêu chuẩn bảo mật chung (RGS) v2: đối với các cơ quan quản lý Pháp, RGS áp đặt việc sử dụng các giải pháp được ANSSI tham chiếu. Cập nhật của nó để tích hợp eIDAS 2 được mong chờ vào năm 2026.

Các tiêu chuẩn kỹ thuật ETSI áp dụng

Các tiêu chuẩn ETSI tạo thành cấp độ 3 của hệ thống phân cấp tiêu chuẩn. Các phiên bản hiện tại áp dụng:

• EN 319 132-1/2: định dạng XAdES (chữ ký XML nâng cao)
• EN 319 122-1/2: định dạng CAdES (chữ ký CMS nâng cao)
• EN 319 142-1/2: định dạng PAdES (chữ ký PDF nâng cao)
• EN 319 401: yêu cầu chung cho các nhà cung cấp dịch vụ tin cậy
• EN 319 411-1/2: yêu cầu cho các AC cấp chứng chỉ đủ điều kiện

Các tiêu chuẩn này sẽ được sửa đổi trước cuối năm 2025 để tích hợp các yêu cầu eIDAS 2 mới. Các hợp đồng với QTSP phải bao gồm một mệnh đề cập nhật sang các phiên bản được sửa đổi mà không tính thêm.

Rủi ro pháp lý của không tuân thủ

Một chữ ký được phát hành bởi nhà cung cấp không còn được công nhận sau năm 2027 sẽ không tự động mất giá trị pháp lý cho các tài liệu đã được ký, nhưng nó sẽ không còn hưởng sự giả định pháp lý về tương đương với chữ ký tay (art. 25 eIDAS). Gánh nặng chứng minh tính toàn vẹn và danh tính của người ký sẽ hoàn toàn tùy thuộc vào doanh nghiệp trong trường hợp tranh chấp. Rủi ro bằng chứng này đặc biệt nhạy cảm đối với các hành động có thời hạn quy định dài (5 năm trong vấn đề thương mại, 30 năm cho các quyền bất động sản).

Các tình huống sử dụng: cách các tổ chức dự tính quá trình chuyển đổi eIDAS 2

Tình huống 1: một công ty luật 25 nhân viên hợp lý hóa tuân thủ tài liệu

Một công ty luật chuyên về luật kinh doanh, với khoảng 25 nhân viên cộng tác viên và hoạt động ký mạnh mẽ của các lệnh ủy quyền, hành động nhượng quyền và thỏa thuận ghi nhớ, đã sử dụng cho đến năm 2024 một giải pháp ký nâng cao (AdES) cho toàn bộ quy trình của nó. Khi thông báo eIDAS 2, công ty luật đã nhận ra cần phải kiểm toán 1 200 tài liệu được ký hàng năm của mình để xác định những tài liệu nào cần QES theo các khuyến nghị mới của toà án của mình.

Kết quả: 15% các hành động (khoảng 180 mỗi năm) được phân loại lại thành chữ ký đủ điều kiện, điều này cho phép bảo đảm chế độ bằng chứng của các tài liệu này. Công ty luật đã đàm phán với nhà soạn thảo ký của mình một mệnh đề đảm bảo tuân thủ eIDAS 2 từ khi công bố các hành động thực hiện, mà không tính thêm. Thời gian quản trị liên quan đến xác minh danh tính của những người ký đã giảm 40% nhờ dự tính tích hợp EUDIW được lên kế hoạch cho năm 2026.

Tình huống 2: một SME công nghiệp 150 nhân viên bảo đảm chuỗi hợp đồng nhà cung cấp của nó

Một SME công nghiệp quản lý khoảng 350 hợp đồng nhà cung cấp mỗi năm — đơn hàng mua, NDA, hợp đồng khung — hoạt động với hai giải pháp ký riêng biệt cho các quy trình nội bộ và bên ngoài của nó, tạo ra sự phân chia các bằng chứng kiểm toán. Trong bối cảnh chuyển đổi eIDAS 2 và các yêu cầu mới về lưu trữ đủ điều kiện, DSI quyết định thống nhất nền tảng của mình.

Bằng cách di chuyển sang một giải pháp duy nhất tích hợp lưu trữ điện tử đủ điều kiện (danh mục eIDAS 2