شهادة eIDAS 2 لمقدم خدمات التوقيع الإلكتروني 2026

لماذا تغير شهادة eIDAS 2 القواعس بالنسبة لمقدمي الخدمات

منذ دخول لائحة (EU) 2024/1183 بتاريخ 11 أبريل 2024 — المعروفة باسم eIDAS 2 — حيز التنفيذ، يواجه مقدمو خدمات الثقة (PSC) العاملون في الاتحاد الأوروبي إطارًا تنظيميًا تم إعادة هيكلته بشكل عميق. إن تعديل لائحة eIDAS الأصلية لعام 2014 لا يقتصر على توسيع نطاق الخدمات المعترف بها: فهو يشدد بشكل ملحوظ على شروط الاعتماد، ويقدم مستويات ضمان جديدة، ويعزز متطلبات مراقبة الهيئات الرقابية الوطنية. بالنسبة لأي جهة فاعلة تسعى لتقديم خدمات التوقيع الإلكتروني المؤهل (QES) أو المتقدم (AdES) في السوق الأوروبية، فإن فهم كيفية الحصول على شهادة eIDAS 2 لمقدم خدمات التوقيع لم تعد خيارًا — بل أصبحت التزامًا استراتيجيًا.

يقدم هذا المقال نظرة عامة شاملة على مسار التصديق: النصوص القابلة للتطبيق، والمعايير التقنية الواجب احترامها، ودور هيئات تقييم التوافق (CAB)، والمواعيد الواقعية، ونقاط الانتباه التشغيلية.

---

المشهد التنظيمي الجديد eIDAS 2: ما الذي تغير

من لائحة 910/2014 إلى لائحة 2024/1183: التطورات الرئيسية

وضعت لائحة eIDAS الأصلية (رقم 910/2014) الأساس لسوق موحدة رقمية للثقة في أوروبا. حددت ثلاثة مستويات من التوقيع — بسيط ومتقدم ومؤهل — وألزمت مقدمي الخدمات المؤهلين بالتسجيل في القوائم الوطنية للثقة (TSL، Trust Service Lists). تحافظ eIDAS 2 على هذا الهيكل لكنها تثريه في عدة نقاط هيكلية:

• توسيع الخدمات المؤهلة: الأرشفة الإلكترونية المؤهلة، والشهادات الإلكترونية للخصائص (AEA)، وإدارة أجهزة إنشاء التوقيع المؤهل (QSCD) من بعد. تخضع هذه الخدمات الجديدة الآن لنفس إجراء الاعتماد كما التوقيع المؤهل.
• المحفظة الأوروبية للهوية الرقمية (EUDIW): يجب على مقدمي الخدمات الذين يرغبون في التفاعل مع محفظة الهوية المستقبلية إثبات امتثالهم للمواصفات التقنية التي نشرتها المفوضية (ARF — Architecture and Reference Framework، v1.4، 2024).
• تعزيز الإشراف: للسلطات الإشرافية الوطنية (في فرنسا، ANSSI) سلطات تحقيق وإلزام معززة. يمكن أن يخضع مقدمو خدمات الثقة المؤهلون لتدقيقات مفاجئة.
• تقليل آجال الإخطار: يجب إخطار أي حادث أمني كبير للسلطة المختصة في غضون 24 ساعة (مقابل 72 ساعة في الإصدار السابق لبعض الحوادث).

للحصول على نظرة عامة شاملة على اللائحة، فإن دليل eIDAS 2.0 من Certyneo يوفر ملخصًا تعليميًا لجميع هذه التطورات.

مستويات الضمان وآثارها على التصديق

يبقى الفرق بين التوقيع الإلكتروني المتقدم و المؤهل محور النظام. فقط QES تحظى بافتراض قانوني لسلامة ونسب التوقيع الإلكتروني بما يعادل التوقيع اليدوي (المادة 25 من لائحة eIDAS 2). هذا الافتراض مشروط مباشرة بتصديق مقدم الخدمة.

| المستوى | القيمة القانونية | متطلبات مقدم الخدمة | |---|---|---| | بسيط (SES) | محدودة | لا توجد | | متقدم (AdES) | كبيرة | الممارسات الجيدة + معايير ETSI | | مؤهل (QES) | قصوى (افتراض قانوني) | شهادة eIDAS 2 إلزامية |

---

عملية التصديق eIDAS 2 خطوة بخطوة

الخطوة 1 — المتطلبات التنظيمية والتقنية الأساسية

قبل الشروع رسميًا في عملية التصديق، يجب على مقدم الخدمة أن يقيّم مستوى نضجه على ثلاثة محاور:

1. التوافق مع معايير ETSI تشكل معايير سلسلة EN 319 الأساس التقني الذي لا يمكن تجاوزه. الرئيسية منها هي:

• ETSI EN 319 401: المتطلبات العامة لمقدمي خدمات الثقة
• ETSI EN 319 411-1 و 411-2: السياسات والمتطلبات لسلطات إصدار الشهادات (ملفات PTC-QC للشهادات المؤهلة)
• ETSI EN 319 421: السياسة والمتطلبات لمقدمي خدمات التوقيت الموثوق
• ETSI EN 319 132: تنسيقات التوقيع XAdES (XML)، والسلسلة المرتبطة بها CAdES (CMS) و PAdES (PDF)

إن التوافق مع هذه المعايير ليس اختياريًا بالنسبة لمقدمي الخدمات المؤهلين: فهو مطلوب بشكل صريح من خلال أعمال تنفيذية من المفوضية الأوروبية.

2. أمان أنظمة المعلومات يجب أن تكون أجهزة إنشاء التوقيع المؤهل (QSCD) معتمدة وفقًا لـ Common Criteria (CC) EAL4+ أو ما يعادلها. بالنسبة لحلول التوقيع من بعد — النموذج السائد في SaaS — تمتد المتطلبات أيضًا إلى وحدات HSM (Hardware Security Module) وإجراءات إدارة المفاتيح التشفيرية (الامتثال لـ FIPS 140-2 المستوى 3 على الأقل).

3. سياسة الأمان (PSSI) وإدارة المخاطر يتطلب ملف التصديق وجود سياسة أمان رسمية، متوافقة مع ISO/IEC 27001 (التي يوصى بشدة بالحصول على شهادتها وقد تكون مطلوبة من قبل هيئات CAB) وتتضمن متطلبات NIS2 للكيانات المؤهلة كـ "مهمة" أو "أساسية".

الخطوة 2 — اختيار والتزام هيئة تقييم التوافق (CAB)

في فرنسا، هيئات CAB المعتمدة من قبل COFRAC (اللجنة الفرنسية للاعتماد) لتقييم مقدمي خدمات الثقة قليلة جدًا. على سبيل المثال، LSTI (Laboratoire de Sécurité des Technologies de l'Information) وBureau Veritas Certification من بين الجهات الفاعلة المشار إليها. على الصعيد الأوروبي، تنشر كل دولة عضو قائمة بهيئاتها المخطرة.

يتمثل دور هيئة CAB في إجراء تدقيق التوافق على مرحلتين:

1. مراجعة المستندات (المرحلة 1): فحص السياسات والإجراءات وإعلان ممارسات الشهادات (DPC / CPS) والأدلة التقنية.
2. تدقيق على الموقع (المرحلة 2): التحقق من الضوابط التشغيلية واختبارات الاختراق والمقابلات مع الفريق.

تتراوح المدة الإجمالية لتدقيق CAB عادة بين 4 إلى 8 أسابيع اعتمادًا على النضج المسبق للمرشح.

الخطوة 3 — الفحص من قبل السلطة الإشرافية الوطنية

في فرنسا، هي ANSSI (الوكالة الوطنية لأمن أنظمة المعلومات) التي تفحص طلبات التسجيل في قائمة الثقة الوطنية (TSL FR). بناءً على تقرير تدقيق CAB، تجري ANSSI تحليلها الخاص وقد تطلب معلومات إضافية أو تدابير تصحيحية.

الموعد النهائي المقرر قانونًا للفحص هو 3 أشهر اعتبارًا من استقبال ملف كامل (المادة 17 من لائحة eIDAS 2). في الممارسة العملية، المواعيد الفعلية غالبًا ما تكون أطول إذا كان الملف الأولي غير مكتمل.

بمجرد التسجيل في قائمة TSL الوطنية، يتم إدراج مقدم الخدمة تلقائيًا في EUTL (EU Trusted List)، التي تنشرها المفوضية الأوروبية، مما يمنحه الاعتراف عبر الحدود الفوري في جميع الدول الأعضاء الـ 27.

الخطوة 4 — الحفاظ على التأهيل والتجديد

شهادة eIDAS 2 ليست نهائية. يخضع مقدمو الخدمات المؤهلون إلى:

• تدقيق مراقبة سنوي يجريه CAB
• تدقيق تجديد كامل كل 24 شهرًا (دورة مقصرة مقارنة بالممارسة السابقة)
• ضوابط مفاجئة محتملة بمبادرة من ANSSI

أي تعديل جوهري على البنية التحتية (تغيير HSM، تطور PKI، خدمة مؤهلة جديدة) يؤدي إلى إجراء إخطار مسبق وقد يفرض تدقيقًا جزئيًا.

---

التكاليف والمواعيد والعوامل الخطرة: ما يجب على المسؤولين توقعه

الميزانية والموارد البشرية

تكلفة التصديق الأول لـ eIDAS 2 كبيرة. تشمل بنود النفقات:

• تدقيق CAB: بين 40000 € و 120000 € حسب تعقيد نطاق المشروع
• التوافق التقني (HSM و PKI و QSCD معتمدة CC): من 80000 € إلى عدة مئات من الآلاف من اليورو لبنية تحتية خاصة
• شهادة ISO 27001 (موصى بها قبل ذلك): 15000 إلى 50000 € حسب الحجم
• رسوم الاستشارة القانونية وكتابة DPC: 10000 إلى 30000 €
• التكاليف الداخلية: حشد فريق مخصص (RSSI و DPO ومسؤول الامتثال) لمدة 12 إلى 18 شهرًا

بجمع جميع هذه البنود، يمثل التصديق الكامل استثمارًا إجماليًا يتراوح حوالي 200000 إلى 500000 € لمقدم خدمة بحجم متوسط، بدون تكاليف الصيانة المتكررة.

عوامل الخطر التشغيلية

الأسباب الأكثر تكرارًا للفشل أو التأخير في إجراءات التصديق هي:

1. DPC غير كافية بالتفصيل: يجب أن توثق إعلان ممارسات الشهادات كل تحكم بدقة تحت تقديرية قد يتم التقليل من شأنها.
2. الثغرات في إدارة دورة حياة المفاتيح: الإلغاء والأرشفة وتدمير المفاتيح الخاصة.
3. حوكمة الحوادث غير كافية: عدم وجود SIEM أو إجراءات إدارة الأزمات المختبرة أو runbooks.
4. التقليل من شأن NIS2: منذ أكتوبر 2024، يتم تصنيف مقدمي خدمات الثقة المؤهلين تلقائيًا ضمن الكيانات "المهمة" بموجب توجيه NIS2، مع التزامات إضافية بالإخطار وإدارة المخاطر.

بالنسبة للشركات التي تفضل تفويض هذه القيود إلى مقدم خدمة معتمد بالفعل بدلاً من بناء بنيتها التحتية الخاصة، فإن مقارنة حلول التوقيع الإلكتروني المتاحة على Certyneo تساعد على تقييم هذا الخيار build-vs-buy بشكل موضوعي.

---

eIDAS 2 والتوقيع الإلكتروني في المؤسسات: تحديات الانتقال

بالنسبة للمؤسسات المستخدمة — بعكس مقدمي الخدمات — فإن شهادة eIDAS 2 من مورّد SaaS التوقيع الخاص بهم أصبحت معيار اختيار لا يمكن تجاهله. أصبح إدراج جملة في طلبات العروض تتطلب الوجود على قائمة TSL الوطنية ممارسة قياسية في القطاعات المنظمة (المالية والصحية والعقارية).

إن التوقيع الإلكتروني في المؤسسات يفرض بالفعل التمييز الواضح بين حالات الاستخدام التي تتطلب QES — الأعمال القانونية الخاصة ذات الرهان الكبير والوكالات والأعمال الموثقة بشكل إلكتروني — وتلك التي تكفي فيها AdES. تحدد خريطة الاستخدام هذه بشكل مباشر مستوى الخدمة المطلوب تعاقديًا من مقدم الخدمة.

يجب على المنظمات التي تنتقل من حل موجود إلى مقدم خدمة معتمد eIDAS 2 أن تتوقع أيضًا إمكانية نقل أرشيفات الأدلة. يوضح الدليل الخاص بـ الهجرة من DocuSign أو YouSign إلى Certyneo أفضل الممارسات للحفاظ على القيمة الإثباتية للمستندات الموقعة بالفعل خلال الانتقال.

الإطار القانوني المنطبق على تصديق eIDAS 2

النصوص الأساسية

يستند تصديق مقدمي خدمات الثقة على تراكم معايير كثيفة يجب إتقانها بشكل شامل:

اللائحة (EU) 2024/1183 بتاريخ 11 أبريل 2024 (eIDAS 2): النص المرجعي الذي يلغي ويحل محل الأحكام المقابلة من لائحة 910/2014. يحدد شروط الحصول على والحفاظ على وضع مقدم خدمات الثقة المؤهل، والتزامات الإشراف الوطني، والمتطلبات المتعلقة بالخدمات الجديدة (EUDIW و AEA).

اللائحة (EU) رقم 910/2014 (eIDAS 1): لا تزال قابلة للتطبيق جزئيًا للأحكام غير المعدلة؛ تبقى الأعمال التنفيذية والمفوضة المعتمدة بموجب هذه اللائحة سارية المفعول حتى تتم مراجعتها رسميًا.

القانون المدني الفرنسي، المادتان 1366 و 1367: تضع المادة 1366 مبدأ معادلة التوقيع الإلكتروني للتوقيع اليدوي بشرط الموثوقية؛ توضح المادة 1367 أن الموثوقية مفترضة حتى إثبات خلافها عندما يتم استخدام التوقيع المؤهل. تتعارض هذه الأحكام الوطنية مباشرة مع افتراض المادة 25 من eIDAS 2.

التوجيه (EU) 2022/2555 (NIS2): عند نقلها إلى القانون الفرنسي بموجب قانون 15 أكتوبر 2024، تصنف تلقائيًا مقدمي خدمات الثقة المؤهلين ضمن الكيانات المهمة. الالتزامات: الإبلاغ إلى ANSSI في غضون 72 ساعة لأي حادث كبير، تنفيذ إدارة مخاطر سيبرانية رسمية، تدقيق أمني دوري.

اللائحة (EU) 2016/679 (GDPR): يتعامل مقدمو خدمات التوقيع مع بيانات شخصية حساسة (هوية الموقعين وسجلات التدقيق). يفرض احترام مبادئ التقليل والحد من الاحتفاظ والتكامل تحليل تأثير محدد (AIPD). يجب توثيق الأساس القانوني للمعالجة لكل خدمة.

المعايير التقنية ذات القيمة التنظيمية

تحدد الأعمال التنفيذية للمفوضية الأوروبية (على وجه الخصوص قرار التنفيذ (EU) 2015/1506 وتعديلاته) معايير ETSI كافتراضات للامتثال:

• ETSI EN 319 401: متطلبات TSP العامة
• ETSI EN 319 411-1 و 411-2: سياسات الشهادات
• ETSI EN 319 421: التوقيت الموثوق المؤهل
• ETSI EN 319 132 / 122 / 102: خدمات AdES (XAdES و CAdES و PAdES و ASiC)
• ETSI TS 119 431: خدمات التوقيع من بعد

المخاطر القانونية في حالة عدم الامتثال

الاستخدام الاحتيالي أو المتهور لوضع مقدم خدمات الثقة المؤهل يعرض للعقوبات الإدارية التي تصدرها ANSSI (الإيقاف والحذف من قائمة الثقة) والمتابعات الجنائية (المادة 226-17 من قانون العقوبات الفرنسي لعدم أمان البيانات الشخصية). على الصعيد المدني، قد يؤدي التشكيك في القيمة الإثباتية للتوقيعات الصادرة خلال فترة عدم الامتثال إلى تعويض عن المسؤولية التعاقدية لمقدم الخدمة تجاه عملائه.

حالات الاستخدام: تصديق eIDAS 2 في الممارسة العملية

السيناريو 1 — محرر SaaS بحجم متوسط يستهدف تأهيل QES

تقررت شركة متخصصة في نزع الطابع الورقي عن المستندات وتوظيف حوالي مائة موظف وتدير عدة ملايين من معاملات التوقيع سنويًا لحساب عملاء في القطاعات المصرفية والتأمين أن تطلب تأهيل eIDAS 2 لخدمة التوقيع الإلكتروني الخاصة بها. حتى الآن، كانت الشركة تقدم توقيعًا متقدمًا بناءً على الشهادات (AdES)، كافيًا لمعظم عقود عملائها، لكنه غير كافٍ للأعمال التي تتطلب قيمة إثباتية قصوى (تفويضات SEPA والاتفاقيات الموثقة بشكل إلكتروني).

بعد تدقيق داخلي لمدة 3 أشهر كشف عن خمسة عشر فجوة كبيرة فيما يتعلق بمتطلبات ETSI EN 319 411-2، تقوم الشركة ببرنامج التوافق على مدى 14 شهرًا. المشاريع الرئيسية تتعلق باستبدال وحدات HSM الموجودة بوحدات معتمدة FIPS 140-2 المستوى 3، وكتابة DPC يبلغ 180 صفحة، والحصول على شهادة ISO 27001 قبل تدقيق CAB. بلغ الاستثمار الإجمالي 340000 €. عند الانتهاء من العملية، يسمح التسجيل على قائمة TSL الفرنسية للشركة بالوصول إلى طلبات العروض التي كانت مستبعدة منها بشكل منتظم، مما يمثل إمكانية تجارية يقدر بها زيادة بنسبة 20% من الإيرادات.

السيناريو 2 — مجموعة طبية تدمج التوقيع المؤهل للأعمال الطبية القانونية

تريد مجموعة طبية تضم حوالي 1200 سرير تحديث نزع الطابع الورقي عن عمليات الموافقة المستنيرة والتفويضات الطبية وعقود البحث السريري. تندرج هذه المستندات ضمن فئة الأعمال التي يكون فيها QES مطلوبًا أو موصى به بشدة من قبل إطار المؤسسات الصحية (HAS) والإطار القانوني لبيانات الصحة (المادة L. 1110-4 CSP).

بدلاً من اعتماد بنية تحتية داخلية — يُعتبر الخيار مكلفًا جدًا وخارج نطاق الأعمال الأساسية — تختار المجموعة الطبية دمج مقدم خدمات تابع لجهة أخرى مسجل بالفعل على قائمة TSL. تجري DSI تدقيقًا على الامتثال لمقدم الخدمة على أساس قائمة التحقق من ETSI EN 319 401 وتتحقق من الوجود الفعلي على EUTL قبل أي عقد. يتم النشر، الذي تم إجراؤه في 4 أشهر، يقلل من وقت جمع التوقيعات على ملفات البحث السريري بنسبة 65% ويلغي خطر الطعن القانوني المرتبط باستخدام التوقيعات البسيطة السابقة للأعمال الحساسة.

السيناريو 3 — مكتب محاماة متخصصة في الأعمال التجارية تؤمن أعمالها تحت التوقيعات الخاصة

يسعى مكتب محاماة متخصصة في الأعمال التجارية يضم حوالي ثلاثين شريكًا وإدارة ما يقر