eIDAS 1 至 2 的過渡：2025 年對簽名的影響

2024 年 5 月 20 日，法規 (EU) 2024/1183——通常稱為 eIDAS 2——發佈在歐盟官方公報上，逐步廢除法規 910/2014 (eIDAS 1)。該文本代表自 2016 年以來歐洲數字身份和電子簽名最具結構性的改革。對於在合同工作流程中使用電子簽名解決方案的法國企業，這一過渡並非形式問題：它涉及技術、法律和組織調整，其時間範圍延伸至 2026 年及以後。了解 eIDAS 1 至 eIDAS 2 的過渡及其對 2025 年電子簽名的影響已成為法律部門、資訊長和人力資源總監的優先事項。本文解讀了框架的根本演變、過渡的精確日程以及保持合規的具體措施。

eIDAS 2 法規根本上改變的內容

從 2014 年法規到 2024 年改版：為什麼需要修訂

eIDAS 1 為歐盟內電子簽名的相互承認奠定了基礎。三個等級制度——簡易 (SES)、高級 (AdES) 和認證 (QES)——根據受信任服務商清單 (TSL) 構建了簽名的證明價值。但在十年間，出現了兩個重大缺陷。

首先，原始法規主要適用於與公共行政當局的關係 (G2B、G2C)。它不在私人交易 (B2B、B2C) 中創建直接義務，留下規範空白，各成員國以不同方式填補。其次，數字服務的強勁增長——移動應用、開放銀行、遠程醫療——揭示了在大陸級別沒有可移植和可互操作的數字身份系統。

eIDAS 2 通過引入 歐洲數字身份錢包 (EU Digital Identity Wallet, EUDIW) 並將受信任服務範圍擴大到新的使用情況來應對這兩個挑戰：認證電子歸檔、認證屬性證明、認證電子登記簿（包括經認證的區塊鏈應用）。

認證受信任服務的新類別

eIDAS 2 法規擴展了認證受信任服務 (QTS) 的清單（第 3 條和修訂附錄 IV）。除了已由 eIDAS 1 承認的簽名、印章和時間戳記，現在還認證：

• 認證電子歸檔服務 (第 34 條之二)：保護長期內已簽署文件的完整性和可讀性的義務，對服務商 (QTSP) 的要求強化。
• 認證遠程簽名創建設備管理服務 (QRCD)：通過 HSM (硬件安全模塊) 雲端進行遠程簽名解決方案的強化監管。
• 認證屬性證明：允許第三方受信任方認證實體屬性（例如律師身份、醫生身份）而不洩露整個身份的機制。
• 認證電子登記簿：在嚴格可審計性和恢復力條件下對分佈式登記的承認。

對於使用電子簽名解決方案的用戶，這種擴展意味著可在市場上獲得的認證受信任服務將多樣化，選擇服務商 (QTSP) 的標準必須整合這些新功能。

EUDIW：作為簽名基礎設施的數字身份錢包

eIDAS 2 最明顯的創新仍然是 EUDIW。每個成員國必須為其公民和居民提供免費、可與所有其他成員國互操作的數字身份錢包，截止日期為 2026 年 11 月 26 日（根據第 5 條之二的國家合規期限）。該錢包將允許：

• 以高保證級別 (LoA High) 驗證用戶身份，無需依賴第三方身份識別服務商；
• 直接從錢包以認證價值 (QES) 對文件進行電子簽名；
• 共享選擇性身份屬性（選擇性披露），從而尊重 GDPR 的數據最小化原則。

對於企業，EUDIW 理論上簡化了簽署合格簽名前的身份驗證程序，消除了視頻識別或面對面識別的摩擦。實際上，影響取決於國家部署速度——法國已在 2025 年在「法國身份」計劃框架內啟動試點實驗。

eIDAS 1 至 eIDAS 2 過渡的精確日程

應了解的監管里程碑

法規 2024/1183 於 2024 年 5 月 20 日生效，但其適用是漸進式的。以下是關鍵期限：

| 日期 | 事件 | |------|----------| | 2024 年 5 月 20 日 | 發佈在官方期刊，正式生效 | | 2024 年 11 月 20 日 | 歐盟委員會採納實施條例的 6 個月期限（EUDIW 技術規範） | | 2025 年底 | 發佈修訂 ETSI 標準 (EN 319 411-1/2, EN 319 401)，整合 eIDAS 2 要求 | | 2026 年 5 月 26 日 | 成員國在新認證服務類別上達到合規的截止日期 | | 2026 年 11 月 26 日 | 每個成員國強制提供 EUDIW | | 2027-2028 | 國家信任清單 (TSL) 的完整審查和新 QTSP 的認證 |

eIDAS 1 仍然有效，在其制度下發行的簽名保留其全部法律價值。沒有重新簽署現有文件的義務。但是，認證受信任服務商必須根據新技術標準在 2027 年前續期認證。

保持不變的內容及應注意的事項

連續性是過渡的根本原則。三個簽名級別 (SES、AdES、QES) 已保持其定義不變。QES 與手寫簽名的等同推定（eIDAS 1 第 25 條，在 eIDAS 2 第 27 條中重述）保持有效。您當前電子簽名的證明價值沒有受到質疑。

另一方面需要注意的是：歐盟委員會在 2025-2026 年全年發佈的實施條例將確定 EUDIW 和新服務類別的精確技術規範。這些 2 級文本對集成商和軟件編輯者具有相當大的實際重要性。對於在人力資源或法律流程中使用電子簽名的企業，建議向其服務商要求 eIDAS 2 合規路線圖。

對企業及其簽名解決方案的具體影響

哪些工作流程優先受到影響？

eIDAS 1 至 eIDAS 2 的過渡根據所用簽名級別的不同而影響不同。對於企業，有三種情況區分：

簡易電子簽名 (SES)：用於低價值補充協議、收據確認、內部表格。無需立即更新義務。証明規則仍由民法 (第 1366-1367 條) 管理，不直接受 eIDAS 管轄。

高級電子簽名 (AdES/AdESQC)：使用 B2B 解決方案進行商業合同、數字化勞動合同或不動產行為的企業必須驗證其服務商是否維持對修訂版 ETSI EN 319 132 (XAdES)、EN 319 122 (CAdES) 和 EN 319 142 (PAdES) 標準的合規性，以適應 eIDAS 2。這些標準將由 ETSI 在 2025 年底前發佈。

認證電子簽名 (QES)：認證服務商 (QTSP) 將必須進行新的 eIDAS 2 認證。過渡期提供合理的期限（至 2027 年），但從 2025 年啟動的招標應在選擇標準中整合 eIDAS 2 合規條款。對於比較可用選項的組織，電子簽名解決方案比較可評估編輯者在此主題上的成熟度。

認證受信任服務商 (QTSP) 的新要求

eIDAS 2 在三個主要方面加強了適用於 QTSP 的要求：

1. 系統安全：強制對齐 NIS2（歐盟指令 2022/2555）作為 QTSP，現分類為關鍵實體。這轉化為 24 小時內通報事件的義務、年度安全審計和業務連續性計劃的實施。

1. 強化責任：eIDAS 2 第 13 條擴大了 QTSP 的責任制。在違反情況下，舉證責任倒轉：服務商必須證明其無過失，而非相反。

1. 強制互操作性：QTSP 必須公開與 EUDIW 兼容的標準化 API，以允許身份錢包的本機整合。此要求將加快開發人員可用集成界面的現代化。

對於在此背景下考慮更換服務商的企業，從 DocuSign 或 YouSign 遷移至符合 eIDAS 2 的解決方案是應現在而非 2027 年才緊急考慮的步驟。

個人數據和 eIDAS 2：與 GDPR 的協調

EUDIW 收集和處理身份特徵數據。eIDAS 2 法規明確規定（序言 11 和第 5 條之二第 14 款），整個設備必須符合 GDPR（歐盟法規 2016/679）。幾個注意點：

• 選擇性披露：錢包必須允許用戶僅共享交易所需的屬性（最小化原則，GDPR 第 5(1)(c) 條）。對於合同簽署，只能驗證成年身份而不洩露完整出生日期。
• 歐盟外轉移：在 EUDIW 框架內處理的身份數據只能在適當保障下轉移到 EEA 外（GDPR 第 46 條）。使用美國雲基礎設施的服務商必須記錄其合規性。
• 簽名日誌保留：簽名證據歸檔必須尊重與文件性質相稱的保留期限。新的 eIDAS 2 認證歸檔服務為滿足此要求提供技術框架。

管理國際工作合同的企業特別受到此 GDPR/eIDAS 2 協調影響，特別是當簽署者居住在歐盟外時。

適用於 eIDAS 1 至 eIDAS 2 過渡的法律框架

參考文本

過渡基於必須掌握的文本堆積：

歐洲級別：

• 法規 (EU) 910/2014 (eIDAS 1)：仍然有效，直到被 eIDAS 2 逐步廢除。定義三個簽名級別 (SES、AdES、QES) 和 QTSP 制度。
• 法規 (EU) 2024/1183 (eIDAS 2)：於 2024 年 5 月 20 日生效。實質上修改 eIDAS 1 而不立即廢除它。與 EUDIW 相關的規定在發佈實施條例後適用。
• 法規 (EU) 2016/679 (GDPR)：完全適用於 EUDIW 框架內和簽名流程中的身份數據處理。eIDAS 2 第 5 條之二第 14 款明確提醒此從屬性。
• 指令 (EU) 2022/2555 (NIS2)：對 QTSP 實施強化的網絡安全義務，現分類為關鍵實體。通過 2024 年 6 月 20 日的法令 2024-821 在法國法中進行轉置（正在進行法令應用）。

法國級別：

• 民法第 1366 和 1367 條：電子形式書面文件證明價值的基礎。第 1366 條在條件下建立電子書面與紙質的等同。第 1367 條給予認證簽名 (QES) 與手寫簽名相同的證明力。
• 2017 年 9 月 28 日法令 n°2017-1416：澄清在私人書面文件中使用電子簽名的條件。在過渡期間保持適用。
• 一般安全指引 (RGS) v2：對於法國當局，RGS 強制使用 ANSSI 引用的解決方案。其更新以整合 eIDAS 2 預期在 2026 年進行。

適用的 ETSI 技術標準

ETSI 標準構成規範層級的第 3 級。當前適用的版本：

• EN 319 132-1/2：XAdES 格式（高級 XML 簽名）
• EN 319 122-1/2：CAdES 格式（高級 CMS 簽名）
• EN 319 142-1/2：PAdES 格式（高級 PDF 簽名）
• EN 319 401：受信任服務商的一般要求
• EN 319 411-1/2：簽發認證證書的 AC 要求

這些標準將在 2025 年底前修訂，以整合 eIDAS 2 的新要求。與 QTSP 的合同必須包括向修訂版本更新的條款，無需追加費用。

不合規的法律風險

由不再在 2027 年後認證的服務商發行的簽名不會自動失去其對已簽署文件的法律價值，但將不再受到與手寫簽名等同的法律推定（eIDAS 第 25 條）的保護。簽署人完整性和身份的証明負擔將完全落在企業身上，以防訴訟。此證明風險對於訴訟時效期限較長的行為特別敏感（商業事項 5 年、不動產權利 30 年）。

使用場景：組織如何預期 eIDAS 2 過渡

場景 1：25 人律師事務所合理化文件合規性

一家 25 人的律師事務所專門從事商法，從事大量授權書、轉讓契約和協議協議簽署，至 2024 年一直對其所有流程使用高級簽名 (AdES) 解決方案。在 eIDAS 2 宣佈後，該事務所對其年簽署的 1200 份文件進行了審計，以確定根據其律師協會新建議哪些需要 QES。

結果：15% 的文件（每年約 180 份）被重新分類為認證簽名，這確保了這些文件的證明制度。該事務所與其簽名編輯協商了一項條款，在發佈實施條例後立即保證 eIDAS 2 合規，無需追加費用。與簽署者身份驗證相關的行政時間減少了 40%，這得益於針對 2026 年計劃的 EUDIW 整合的預期。

場景 2：150 名員工的工業中小企業保護供應商合同鏈

一家工業中小企業年管理約 350 份供應商合同——採購單、NDA、框架合同——使用兩個不同的簽名解決方案進行內部和外部流程，導致審計證據碎片化。在 eIDAS 2 過渡背景和新認證歸檔要求的背景下，DSI 決定統一其平台。

通過遷移到整合認證電子歸檔 (eIDAS 2 未來類別) 的單一解決方案，中小企業將安全存儲成本降低了 30%，並在符合要求的數字保險箱中整合了簽名證據。整個文件鏈現在在供應商控制期間的 2 分鐘內可審計——這是他們在汽車工業中數據提供方日益增長的要求。

場景 3：600 張床位的醫院集團為 EUDIW 整合做準備

一家公立醫院集團對其醫療合同和公共采購使用認證電子簽名，符合公共采購法典的義務。隨著 eIDAS 2，資訊技術服務確定了兩個優先問題：未來整合「法國身份」錢包供干預機構的自由執業醫生，以及其 QTSP 的 NIS2 合規性。

該集團在其 2025-2028 年數字戰略計劃中記錄了特定的「eIDAS 2 合規」包，預計預算為 45,000 歐元進行技術遷移和員工培訓。目標是能夠在 2026 年 11 月計劃的國家部署時通過 EUDIW 接受簽名，根據可用的部門基準，將與自由執業健康專業人士的合同時間從 3 天縮短至平均不到 4 小時。

結論

eIDAS 1 至 eIDAS 2 的過渡不是中斷而是結構化演變，具有延伸至 2027 年的精確日程。對電子簽名的影響是真實的——認證服務擴展、EUDIW 到來、QTSP 的 NIS2 要求強化——但在預期的情況下是可管理的。現在行動的企業受益於審計其工作流程、保護其與服務商合同以及在沒有監管緊迫性壓力下培訓其團隊的迴旋空間。

Certyneo 通過清晰的 eIDAS 2 合規路線圖、保持最新的簽名格式和為 EUDIW 整合做好準備的架構，幫助企業完成此過渡。準備好在此新監管框架中保護您的簽名流程了嗎？在 Certyneo 上免費發現我們的優惠並開始。