Z dnem 17. novembra 2025 je začela veljati Izvedbena uredba Komisije (EU) 2025/2160 z dne 27. oktobra 2025 (v nadaljevanju IUK), ki je del širšega zakonodajnega paketa izvedbenih aktov, ki spremljajo prenovljeni eIDAS in predstavljajo enega največjih regulativnih premikov na področju storitev zaupanja v zadnjem desetletju. Določajo referenčne standarde, tehnične specifikacije in postopke za obvladovanje tveganj pri zagotavljanju nekvalificiranih storitev zaupanja, kar bo neposredno vplivalo na številne ponudnike digitalnih storitev in uporabnike po vsej EU, saj se neposredno uporablja v vseh državah članicah. Ponudniki storitev zaupanja, javni organi in gospodarski subjekti bodo morali v naslednjih dveh letih izvesti obsežne prilagoditve, ki bodo dolgoročno:
- povečale varnost digitalnega poslovanja,
- zagotovile večjo interoperabilnost v EU,
- omogočile zanesljivejše delovanje digitalnih storitev.
19a člen eIDAS 2.0: zahteve za ponudnike nekvalificiranih storitev zaupanja
Nova IUK predstavlja operacionalizacijo 19a člena eIDAS 2.0, ki prvič celovito ureja obveznosti ponudnikov nekvalificiranih storitev zaupanja. Takšni ponudniki so po slovenski zakonodaji prepoznani kot pomembni subjekti v skladu z ZInfV-1, zato so zavezani zahtevnim organizacijskim, tehničnim in varnostnim standardom, kar pomeni bistveno višjo raven pričakovane skladnosti in varovanja informacij. S tem se odpira možnost za bolj poglobljeno preverjanje zanesljivosti ponudnikov ter jasnejši vpogled v zagotovljeno razpoložljivost, integriteto in zaupnost informacij. IUK učinkujejo takoj, kar zahteva hitro prilagoditev vseh zadevnih ponudnikov. ZInfV-1 določa, da morajo zavezanci – bistveni in pomembni subjekti ter njihovi dobavitelji do 19. decembra 2026 vzpostaviti:
- dokumentiran sistem upravljanja varovanja informacij (SUVI),
- dokumentiran sistem upravljanja neprekinjenega poslovanja (SUNP),
- ter sprejeti ukrepe za obvladovanje tveganj.
Novi standardi za formate naprednih e-podpisov in e-žigov
Z vidika elektronskega poslovanja podjetij, javnih organov in čezmejne e-komunikacije je pomemben tudi predlog IUK o formatih naprednih in kvalificiranih e-podpisov ter e-žigov, ki jih bodo morale priznavati javne uprave držav članic. Predlog določa, da:
- se v javnem sektorju prednostno uporabljajo kvalificirani e-podpisi oziroma napredni e-podpisi, ustvarjeni s kvalificiranim potrdilom,
- morajo biti uporabljeni formati skladni z ETSI tehničnimi specifikacijami,
- mora biti zagotovljena možnost preverjanja veljavnosti podpisov.
Tako smer je v Sloveniji že nakazala tudi novela ZUP, ki za vložitev elektronskih vlog predpisuje uporabo tovrstnih podpisov.
Alternativne metode validacije naprednih e-podpisov in e-žigov
Za primere, ko organi javne uprave ne zahtevajo e-podpisov, ustvarjenih s kvalificiranimi potrdili za e-podpis (smiselno enako velja za napredne e-žige), predlog IUK določa tehnične specifikacije formatov tovrstnih e-podpisov in zahteve po vzpostavitvi alternativnih mehanizmov za preverjanje njihove veljavnosti. Cilj je izboljšati pravno varnost za vse strani, ki se zanašajo na tovrstne podpise, zlasti v spletnih in čezmejnih postopkih.
Predvideno je prehodno obdobje 24 mesecev od začetka veljavnosti IUK, kar pomeni implementacijo v začetku leta 2028.
Čeprav se obravnavani osnutek IUK nanaša na uporabo e-podpisov v okviru spletnega poslovanja organov javne uprave, je pričakovati, da bo predlagana rešitev vplivala tudi na e-poslovanje zasebnega sektorja. Z določitvijo referenčnih formatov tudi za napredne elektronske podpise, ki niso podprti s kvalificiranim potrdilom, ter z uvedbo zahteve po alternativnih metodah potrjevanja njihove veljavnosti, bo njihova uporaba – z vidika stroškovne učinkovitosti in uporabniške izkušnje – bistveno manj privlačna.
