eIDAS 2 vs eIDAS 1:中小企業的關鍵變化
eIDAS 2 法規深刻重新定義了歐洲電子簽名和數字身份的規則。以下是每家法國中小企業在 2026 年前必須了解的內容。
Certyneo 團隊
撰稿人 — Certyneo · 關於 Certyneo
介紹:為什麼 eIDAS 2 對中小企業至關重要
自 2024 年 5 月 20 日起,通常稱為 eIDAS 2 的法規(歐盟)2024/1183 生效,並逐步廢止並替代法規(歐盟)910/2014(eIDAS 1)。對於法國的中小企業而言,這一轉變並非簡單的行政更新:它重新定義了數字信任級別,引入了歐洲身份錢包(EUDIW),強化了對信任服務提供者的要求,並擴展了公認服務的範圍。本文逐點比較 eIDAS 1 和 eIDAS 2,確定對小型和中型企業的具體運營影響,並為您提供行動計畫以在 2026 年前保持合規。
---
1. 回顧:eIDAS 1 的基礎(2014-2024)
1.1 初始法規的基礎
eIDAS 1 於 2014 年 7 月通過,自 2016 年 9 月起適用,為歐洲數字信任空間奠定了首批基石。它引入了三大類別的電子簽名 — 簡單簽名 (SES)、進階簽名 (AdES) 和合格簽名 (QES) — 並建立了合格提供者信任名單,可在歐盟委員會門戶網站上查詢。
對中小企業而言,eIDAS 1 的主要貢獻是跨境認可合格簽名:用法國合格簽名簽署的合同在德國、西班牙或意大利在法律上被認可,無需使用海牙認證或額外手續。這一原則——稱為「非歧視」——成為 Certyneo 等 SaaS 平台構建其服務的基礎。
1.2 確定的限制
儘管有進展,eIDAS 1 仍存在多項缺陷,已由歐盟委員會在 2021 年評估報告中記錄:
- 身份方案的碎片化:只有通知其國家方案的成員國(如 FranceConnect+ 實質級別)才能獲得相互認可。至 2023 年,27 個成員國中僅 14 個通知了符合要求的方案。
- 缺乏本地移動支持:合格簽名創建設備 (QSCD) 通常需要智能卡或硬件令牌,阻礙了移動採用。
- 信任服務有限:eIDAS 1 列出了九類合格服務;新用途(合格電子檔案保管、屬性管理)未被規範。
- 沒有統一身份錢包:每個公民或企業孤立地管理其標識符,沒有保證的互操作性。
這些限制促使歐盟委員會於 2020 年啟動修訂,經過三年的三方談判最終形成 eIDAS 2 法規。
---
2. eIDAS 2 為中小企業帶來的五大創新
2.1 歐洲數字身份錢包(EU Digital Identity Wallet — EUDIW)
這是該法規最引人注目的創新。在 2026 年 11 月(第 5a 條規定的轉換期限)之前,各成員國必須向其公民和居民提供至少一個經認證的數字身份錢包。對中小企業而言,這一演變有兩個直接後果:
- 簡化客戶和合作夥伴身份驗證:錢包將允許共享已驗證的屬性(年齡、增值稅號、企業登記摘錄、經認證的銀行數據),無需任何摩擦。與德國合作夥伴簽署框架協議後,可從其 EUDIW 立即驗證其專業屬性。
- 某些部門的接受義務:大型平台的在線服務(第 45bis 條)和某些公共服務必須接受 EUDIW 作為身份驗證手段。提供 B2B 門戶的中小企業必須調整其身份驗證 API。
2.2 合格信任服務清單的擴展
eIDAS 2 將合格信任服務的目錄從 9 類擴展到 14 類。直接影響中小企業的新增項目是:
- 合格電子檔案保管(第 45septies 條):具有增強證明價值的長期保存。迄今為止,具有證明價值的檔案保管依賴於國家參考框架(在法國為 SIAF/ANSSI 參考框架);eIDAS 2 統一了歐洲框架。
- 遠程管理合格簽名創建設備 (RQSCD):現已明確規範,解除了雲端合格簽名解決方案上的歧義。對於 50 名員工的中小企業而言,這意味著可以從任何設備無令牌地訪問合格簽名。
- 合格電子登記服務:基於區塊鏈或分佈式分類賬技術的登記現可獲得合格狀態,為新合同管理模式奠定基礎。
有關簽名級別及其法律價值的更多信息,請參閱我們的 電子簽名完整指南。
2.3 加強對合格提供者 (QTSP) 的安全要求
eIDAS 2 強化了合格信任服務提供者 (QTSP) 的義務。修訂後的第 24 條特別規定:
- 符合歐洲框架的網絡安全認證(歐盟網絡安全法、法規 2019/881),使用 ENISA 正在開發的行業計畫。
- 運營復原力方面的強化要求:QTSP 現必須記錄其業務連續性計畫並提交給其國家監督機構(在法國,ANSSI 負責合格提供者)。
- 安全事件通知義務(24 小時內,與 NIS 2 一致)。
對於使用該服務的中小企業,這轉化為選擇提供者時的盡職調查加強:驗證您的簽名解決方案是否確實在更新的歐洲信任名單上現已成為採購流程的關鍵步驟。我們的 電子簽名解決方案比較可幫助您進行此分析。
2.4 身份方案的強制互操作性
eIDAS 1 給成員國留下通知(或不通知)其方案的自由空間,eIDAS 2 使通知和互操作性對於在線公共服務中使用的身份方案強制(第 5 條)。France Identité — 由內政部推動的國家方案 — 正在被調整為符合委員會在執行法規(歐盟)2024/2977 中發布的 EUDIW 技術規範。
對於與公共管理機構定期互動的中小企業(公開招標、稅務申報、海關程序),這一演變意味著在線程序將逐步統一為在整個歐盟認可的唯一數字標識符。
2.5 提供者責任和監督的新規則
eIDAS 2 澄清並擴展了提供者責任制度(修訂後的第 13 條)。QTSP 現推定對任何自然人或法人因其未履行義務而蒙受的損害負責,除非其證明無過失。這一推定責任相對於 eIDAS 1 得到強化,應促使中小企業:
- 通過合同正式確定其提供者的承諾(SLA、可用性保證、賠償)。
- 驗證 QTSP 的職業責任保險覆蓋範圍。
- 保留簽名交易審計證據(時間戳日誌、簽名驗證報告)。
我們的團隊編寫了關於 企業中的電子簽名的詳細指南,涵蓋這些合同方面。
---
3. eIDAS 1 vs eIDAS 2 對比表:實際變化
3.1 主要演變總結
| 標準 | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | 身份錢包 | 缺失 | EUDIW 強制(成員國) | | 合格服務 | 9 類 | 14 類(檔案保管、RQSCD、登記等) | | 方案通知 | 可選 | 公共服務強制 | | QTSP 安全 | Common Criteria 標準 | 網絡安全法 + ENISA 計畫 | | QTSP 責任 | 部分 | 強化責任推定 | | 事件通知期限 | 未指定 | 24 小時(與 NIS 2 一致) | | 移動 QSCD | 法律歧義 | RQSCD 明確規範 |
3.2 2026 年必須記住的關鍵日期
- 2024 年 5 月:法規(歐盟)2024/1183 生效。
- 2026 年 11 月:各成員國提供至少一個經認證 EUDIW 解決方案的最後期限。
- 2027 年:大型平台(第 45bis 條)必須接受 EUDIW 作為身份驗證手段。
- 2028 年:計劃修訂技術執行法案(EUDIW 規範的委託法規)。
如果您的中小企業考慮遷移至更符合要求的解決方案,我們的 遷移至 Certyneo 的提議包括免費的 eIDAS 2 合規審計。
---
4. 使貴企業符合 eIDAS 2 的實踐行動計畫
4.1 審計現有文檔流程
首先繪製所有使用電子簽名或數字身份的流程:供應商合同、無紙化工資單、SEPA 授權、保密協議、人力資源文件。對每個流程,識別:
- 使用的簽名級別(SES、AdES、QES)。
- 當前提供者及其在信任名單上的狀態。
- 爭議情況下的法律風險級別。
ANSSI 在 2025 年 3 月發布的合規指南中推薦本審計作為起點。
4.2 升級您的簽名解決方案
如果您的當前提供者未列在 eIDAS 2 信任名單上或尚未提供 RQSCD,現在是比較市場上各個選項的時候。Certyneo 是一個經認證的 QTSP,支持三個簽名級別(SES、AdES、QES),並原生集成新的 eIDAS 2 要求,包括合格檔案保管和遠程設備管理。
4.3 培訓您的團隊並更新合同
eIDAS 2 強化了合格簽名的證明價值,但也強加了良好的文檔實踐。確保您的法律和行政團隊:
- 知道如何區分三個簽名級別及其各自的法律價值。
- 在供應商合同中納入 eIDAS 合規審計條款。
- 在適用的法律保存期內(根據文件性質 3 至 10 年)保留簽名驗證證據(驗證報告、合格時間戳)。
為了組織此方法,我們的 電子簽名 ROI 計算器將允許您量化升級帶來的運營收益。
適用法律框架
參考文本
中小企業 eIDAS 2 合規工作納入了必須掌握的規範重疊。
歐盟議會和委員會法規(歐盟)2024/1183(稱為「eIDAS 2」):這是基礎文本,於 2024 年 4 月 30 日在《歐盟官方公報》上發布。它根據 2027 年前的部署計畫廢止並替代法規(歐盟)910/2014。它在所有成員國中直接適用,無需國家立法轉換主要條款。
法規(歐盟)910/2014(eIDAS 1):根據 eIDAS 2 規定的過渡期,其某些條款仍然適用,特別是對於在 2024 年 5 月前獲得認證並有期限重新認證的合格提供者。
法國民法典,第 1366 和 1367 條:第 1366 條規定了電子書面形式與紙質書面形式的等效性原則,前提是「發出方的身份可被適當識別,且其建立和保存的方式保證其完整性」。第 1367 條將電子簽名認可為證明方式,參考國務委員會法令規定的條件(2017 年 9 月 28 日第 2017-1416 號法令,編入民法典第 R. 1369-1 至 R. 1369-10 條)。
法規(歐盟)2016/679(GDPR):EUDIW 的部署和身份屬性在電子簽名流程中的處理構成根據 GDPR 第 28 條的數據處理。中小企業必須確保其 QTSP 作為數據處理者履行職責,具有符合要求的 DPA(數據處理協議)。CNIL 於 2026 年 1 月發布了關於 EUDIW-GDPR 集成的特定建議。
指令(歐盟)2022/2555(NIS 2):eIDAS 2 明確與 NIS 2 在事件通知義務上保持一致(eIDAS 2 第 24(2) 條參考 NIS 2 條款)。QTSP 根據其規模被視為 NIS 2 意義下的「關鍵」或「重要」實體,並因此受限於定期安全審計。
ETSI 標準:合格電子簽名必須符合 ETSI EN 319 132-1 (XAdES)、ETSI EN 319 122-1 (CAdES)、ETSI EN 319 162-1 (ASiC) 和 ETSI EN 319 102-1(驗證程序)。ETSI TS 119 461 標準規範遠程身份驗證(IDV),特別是對 RQSCD 而言具有相關性。
不合規的法律風險
使用不符合 eIDAS 2 的電子簽名解決方案會使中小企業面臨多項風險:
- 司法上不被接受:法官可能駁斥簽名級別與簽署文件性質不符的電子簽名(例如:需要進階或合格級別的文件使用簡單簽名)。
- 合同責任:如果合同因簽名無效而被合作夥伴質疑,中小企業可能面臨賠償請求。
- GDPR 處罰:如果因提供者安全缺陷而發生數據洩露,中小企業作為共同責任人或控制者可被 CNIL 處罰,最高達全球年營業額的 4%(GDPR 第 83(4) 條)。
具體使用場景
場景 1:一家年簽 400 份供應商合同的 80 人工業中小企業
一家金屬加工行業的中小企業每年簽署約 400 份供應商合同,至 2024 年仍為所有承諾(包括超過 50,000 歐元的框架合同)使用簡單電子簽名 (SES)。eIDAS 2 合規審計後,發現 35% 的合同需要進階或合格簽名才能抵禦司法質疑,特別是與其他歐盟成員國建立的供應商。
通過遷移至結合常規合同進階簽名 (AdES) 和框架合同合格簽名 (QES) 的解決方案,並啟用合格電子檔案保管(新 eIDAS 2 服務),該中小企業將簽名後文檔管理所耗時間減少了 70%(分類、搜索、發送認證副本),在隨後 18 個月內簽名爭議歸零,而此前 18 個月內發生過兩起事件。
場景 2:一個 15 人的法律顧問事務所
一家專門從事商業法的事務所每年發出平均 1200 份簽署文件(委託書、授權、保密協議),面臨其公司客戶對在整個歐盟可認可的合格簽名的日益增長的需求。根據 eIDAS 1,獲得合格證書需要面對面程序或長時間視頻驗證(每用戶 45 至 90 分鐘)。
由於 eIDAS 2 規範的 RQSCD(遠程合格簽名創建設備),該事務所能在不到兩週內為所有員工部署合格簽名,通過符合 ETSI TS 119 461 標準的 100% 遠程註冊程序。內部採用率在三個月內從 40% 上升至 95%,根據事務所內部測量,簽署文件的平均回報時間從 4.2 天減少到不到 6 小時。
場景 3:一家在歐盟三個國家運營的 35 人電子商務中小企業
一家在線銷售公司在法國、比利時和荷蘭運營,必須管理三類電子協議:當地員工的就業合同、與運輸商的合作協議,及客戶的 SEPA 授權。eIDAS 1 下的國家要求碎片化使其必須維護三個不同的簽名工作流程,管理成本估計為每年約 12,000 歐元。
採用符合 eIDAS 2 的統一解決方案——在三個國家統一認可合格簽名——統一了工作流程,將管理成本降低至約 4,500 歐元/年(節省 62%),並消除了法律部門驗證外國簽名的手動延遲。
結論
eIDAS 2 並非歐洲監管框架的簡單化妝修改:它深刻地重新定義了歐洲數字信任遊戲規則。對於法國中小企業,五大主要演變——EUDIW 錢包、合格服務擴展、RQSCD、強制互操作性和強化責任——既代表合規約束,也代表加快文檔轉型的機會。
那些現在就預期這些變化的中小企業將獲得真正的競爭優勢:在整個歐盟無摩擦認可的合同、集成的證明價值檔案保管,以及完全無紙化和安全的簽名流程。
Certyneo 旨在支持此轉換。在 certyneo.com 開始免費試用,並獲得針對現有文檔流程的免費 eIDAS 2 合規審計。