eIDAS 2:2026年歐洲新法規詳解
eIDAS 2法規重新定義了歐洲2026年數字身份的規則。了解企業面臨的變化以及如何提前做好合規準備。
Équipe éditoriale Certyneo
撰稿人 — Certyneo · 關於 Certyneo
簡介:eIDAS 2為何改變歐洲企業的一切
eIDAS 2法規於2024年5月20日正式生效,經歷了漫長的立法過程。該法規正式名稱為《歐盟法規2024/1183》,代表了歐洲在電子識別和信任服務領域有史以來最雄心勃勃的改革。它廢除並部分替代了2014年的原始eIDAS法規(第910/2014號),同時保持了與現有基礎設施的向後相容性。對於使用符合eIDAS標準的電子簽名的企業來說,這次改革引入了新的義務、前所未有的機會以及直至2026年及以後的緊張合規時間表。本文深入詳細解讀了文本的關鍵條款、其操作含義以及貴組織如何做好準備。
---
eIDAS 2法規從根本上改變了什麼
從2014年法規到2024年版本:結構性改革
2014年的原始eIDAS法規為各成員國間電子身份識別方案的相互認可奠定了基礎,並為信任服務(簽名、印章、時間戳等)建立了統一的法律框架。但十年後,局限性很明顯:通知的eID採用率低、國家解決方案碎片化、缺乏公民通用的數字錢包,最重要的是不適應網絡使用習慣(GAFAM被排除在信任框架之外)。
eIDAS 2在三個主要軸線上糾正了這些缺陷:
- 歐洲數字身份錢包(EUDI Wallet) — 每個成員國必須在2026年11月前提供一個錢包應用程序,允許每個歐洲公民或居民以安全方式存儲和呈現其身份屬性(身份證、駕駛執照、文憑等)。
- 擴大合格信任服務 — 該文本添加了新的合格服務:合格電子檔案管理(QESAP)、合格身份屬性報告(QEAA)、合格電子帳簿(QLED)和遠程簽名創建設備管理(QRCD)。
- 對大型平台的義務 — 大規模在線服務提供商(社交媒體、市場)必須接受EUDI錢包用於用戶身份驗證。
EUDI Wallet:架構和功能
EUDI Wallet是eIDAS 2的核心。實際上,它是一個軟件應用程序——由每個成員國提供或認證——基於屬性選擇性呈現的分散模型。用戶只傳輸交易嚴格必要的數據(最小化原則,符合GDPR)。
從技術角度來看,該架構基於歐盟委員會發布並由包含四個試點聯盟(DC4EU、EWC、POTENTIAL、NOBID)的大規模試點(LSP)定期更新的架構參考框架(ARF)規範。選定的數據格式主要是ISO/IEC 18013-5(mDL/mDocs)和W3C可驗證憑證,確保跨境互操作性。
對於企業來說,這意味著他們最終可以通過錢包驗證客戶或合作夥伴的身份,而無需自己管理文件收集——從而大大減少KYC(了解你的客戶)摩擦和文件欺詐風險。
---
保證級別和簽名層級:有什麼變化
QES / AdES / SES層級的保持
電子簽名制度仍然圍繞在eIDAS 2第3條定義的三個級別構成(採用2014年的術語,但明確了技術要求):
- 簡單電子簽名(SES):最小證明價值,適合日常行為。
- 高級電子簽名(AdES):與簽署人的獨家聯繫,能夠檢測任何後續修改。
- 合格電子簽名(QES):在整個歐盟具有手簽等效法律地位(第25條§2),通過基於合格簽名創建設備(QSCD)在合格證書基礎上發出。
新穎之處在於QES現在可以通過合格遠程簽名服務(QRCD)交付,其授權條件在修訂文本的第29a和29b條中明確。這為最苛刻的行為(公證合同、電子公開行為)開辟了100%數字流程的道路——無需物理智能卡。
對合格信任服務提供商(QTSP)的影響
諸如Certyneo之類的提供商在依靠認證QTSP運營時必須預期eIDAS 2引入的新審計要求。第24條現在對分包鏈進行強化控制,安全事件通知要求明確與NIS2指令保持一致(初始通知24小時期限)。有關在B2B背景下不同簽名級別運作的更多信息,請查閱我們的企業簽名電子指南。
---
部署時間表和企業在2025-2026年的義務
部署的關鍵步驟
《歐盟法規2024/1183》於2024年4月30日發布在歐盟官方公報中,於2024年5月20日生效。執行和委託法規——對於明確技術要求至關重要——正在逐步發布:
| 截止日期 | 義務 | |---|---| | 2024年5月 | 法規生效 | | 2024年底 | ARF v2.0執行法規發布 | | 2025年中期 | 首個EUDI Wallet試點認證 | | 2026年11月 | 每個成員國強制提供EUDI Wallet | | 2027年 | 大型在線平台強制接受 |
B2B企業現在應該做什麼
對於使用電子簽名解決方案的企業,2025-2026年有三個優先事項:
1. 審計其信任鏈:驗證其簽名提供商確實列在其成員國的QTSP(可信列表)中,並且使用的證書符合修訂的ETSI EN 319 401和EN 319 411-1規範。
2.預期EUDI Wallet整合:在受監管部門(銀行、保險、醫療、房地產)運營的企業將最先受到通過錢包驗證身份流程的影響。建議從2025年開始準備API整合。
3. 修訂其保留政策:新的合格電子檔案服務(QESAP)引入了長期保存標準,可能在某些部門(公共採購、製藥部門)強制實施。我們的電子簽名ROI計算器允許您評估文檔基礎設施升級的財務影響。
---
互操作性、GDPR和數字主權問題
eIDAS 2和GDPR:加強的互補性
eIDAS 2的主要進步之一是明確將數據保護原則整合到EUDI錢包架構的設計中(隱私設計)。第5a條§14規定錢包不允許提供商在交易期間追蹤用戶行為。合格身份屬性發行人(QEAA)不會被告知所交付證明的使用方式——這構成了與當前集中式模型的重大突破。
這種架構被稱為不可關聯性(non-linkability):同一用戶進行的兩次不同交易如果沒有其同意,不能相互關聯。這一保證超過了GDPR的最低要求,同時完美地與其相互配合。
地緣政治維度:重新掌控在線身份
eIDAS 2還應對主權問題。如今,在線身份驗證大量依賴於「使用Google/Facebook/Apple登錄」按鈕,這賦予美國科技巨頭在歐洲數字身份管理中的主導地位。通過要求超大型平台(按數字服務法的定義)接受EUDI Wallet作為身份驗證手段,eIDAS 2創建了一個可互操作的主權替代方案。
對於B2B企業,這也意味著eIDAS 2合規性可能成為公開和私人招標程序中的供應商選擇標準——類似於ISO 27001認證在當今採購流程中的地位。如果您的組織考慮升級其當前解決方案,我們的從DocuSign或YouSign遷移到Certyneo指南詳細說明了受控過渡的步驟。
適用於eIDAS 2和電子簽名的法律框架
參考文本
《歐洲議會和理事會法規(歐盟)2024/1183》,2024年4月11日,修訂法規(歐盟)第910/2014號,關於建立歐洲數字身份框架(eIDAS 2)。發布在《歐盟官方公報》2024年4月30日,2024年5月20日生效。
《法規(歐盟)第910/2014號》(eIDAS 1):對其未修改條款保持有效,特別是關於通知身份識別方案的「低」、「實質」和「高」保證級別的條款。
法國民法第1366和1367條:電子書面與紙質書面具有相同的證明力,前提是其來自人必須被恰當識別,且文件是在保證其完整性的條件下編制的。eIDAS 2意義上的合格電子簽名(QES)當然滿足這些要求。
《法規(歐盟)2016/679》(GDPR):在EUDI錢包框架內的身份數據處理受到最小化原則(第5條§1c)、目的限制(第5條§1b)和設計數據保護(第25條)的約束。合格提供商在驗證操作中擔任不同的責任方角色。
《指令(歐盟)2022/2555》(NIS2):通過2024年6月12日的法令第2024-528號轉化為法國法律,它對合格信任服務提供商施加網絡風險管理和24小時內事件通知的義務。
ETSI標準:
- EN 319 132(XAdES)和EN 319 122(CAdES):高級電子簽名格式。
- EN 319 401:信任服務提供商的一般要求。
- EN 319 411-1和411-2:頒發合格證書的CA的政策和安全要求。
- EN 319 521:合格簽名保留服務(QESAP)的要求。
企業的義務和法律風險
任何在合同背景下使用電子簽名的企業必須確保所選簽名級別適合行為的價值和性質。對於受法律簽名要求約束的行為(銷售承諾、勞動合同、超過特定閾值的採購訂單),只有QES或基於合格證書的AdES提供了eIDAS 2第26條所述的可靠性推定。
在爭議情況下,舉證責任轉向:如果簽名是合格的,由質疑文件的一方證明其改變;如果簽名是簡單的或沒有合格證書的高級簽名,舉證責任由援引它的簽署人承擔。違反可追蹤性和完整性要求可能導致行為無效或簽名對第三方不可對抗。
場景:eIDAS 2應用於B2B企業
場景1——數字轉型諮詢公司(約80名顧問)
在多個成員國(法國、德國、荷蘭)部署顧問的諮詢公司必須每月為任務訂單、合同修訂和驗收會議簽署文件。在eIDAS 2之前,跨境身份管理產生了摩擦:某些德國客戶拒絕承認由法國QTSP簽發的證書,電子郵件的雙重身份驗證對於敏感行為而言不足。
隨著2026年EUDI Wallet的部署,顧問可以從其國家錢包簽署——在所有成員國得到完全認可——沒有任何摩擦。該公司估計用於簽署前文件驗證交換的時間減少了60-70%,根據McKinsey Digital(2024)發布的部門基準,每位顧問每月大約節省3-4小時。
場景2——管理年度350份供應商合同的中小型工業企業
一家工業設備部門的中小企業與約100家歐洲和亞洲供應商合作,必須簽約訂單、保密協議(NDA)和框架合同。迄今為止,30%的這些文件要么沒有有效簽名就回來,要么延遲超過10個工作日。
通過採用符合eIDAS 2的電子簽名解決方案並通過合格屬性(QEAA)進行身份驗證,中小企業可以執行簽名流程,其中供應商法律代表的身份通過EUDI錢包自動驗證,無需手動輸入。預期結果:將平均簽名延遲從10天減少到少於48小時,並根據ELENIUS 2025關於B2B數字化的報告中觀察到的範圍,因簽名不合規而導致的糾紛減少40%。
場景3——在多個國家管理銷售妥協的房地產集團
在法國、西班牙和葡萄牙運營的房地產代理網絡必須經常在來自不同國籍的賣方和買方之間簽署前置合同。在某些背景下,QES是為了保證與在公證人面前親筆簽名的等效性所必需的。
得益於eIDAS 2和EUDI錢包的互操作性,葡萄牙買方可以使用其國家錢包簽署受法國法律約束的妥協,具有「高」級別的保證,該平台自動識別。該集團減少了每份跨境文件約800至1200歐元的旅行和公證費用,同時將前置合同結論期限從3週平均減少到5天。有關部門特定用途,我們的房地產電子簽名頁面詳細說明了適應的工作流程。
結論
eIDAS 2不僅僅是監管更新:這是歐洲數字身份和電子信任運作方式的深刻改革。EUDI Wallet、新的合格服務、互操作性義務以及與NIS2和GDPR的一致性形成了一個連貫的生態系統,將在2026年底前改變企業的合同和身份驗證流程。
為了保持合規和競爭力,B2B組織必須立即採取行動:審計其信任鏈、選擇符合新要求的提供商並準備其文檔流程以整合歐洲數字錢包。
Certyneo通過符合eIDAS 2的合格電子簽名解決方案為您提供這一過渡支持,為2026年做好準備。申請演示或在Certyneo上創建帳戶以從今天開始保護您的合同。