مزودو خدمات eIDAS المؤهلون: القائمة الرسمية 2026

لماذا يعتبر الوضع "المؤهل" eIDAS حاسماً لمؤسستك؟

منذ دخول نظام eIDAS (رقم 910/2014) حيز التنفيذ، أعاد السوق الأوروبي للتوقيع الإلكتروني هيكلة نفسه حول تسلسل هرمي ثلاثي المستويات: التوقيع الإلكتروني البسيط (SES)، والتوقيع الإلكتروني المتقدم (AES)، والتوقيع الإلكتروني المؤهل (QES). يتمتع الأخير وحده بـ افتراض قانوني لتكافؤ التوقيع بخط اليد في جميع الدول الأعضاء في الاتحاد الأوروبي.

لكي تتمكن المؤسسة من تقديم توقيعات مؤهلة، يجب أن تكون قد تعرضت للتدقيق والتسجيل في قائمة الثقة (Trust List) لدولتها الأعضاء. في فرنسا، وكالة الأمن القومي لأنظمة المعلومات (ANSSI) هي التي تحتفظ بهذا السجل الرسمي، وإعادة نشره بدوره في القائمة الأوروبية المركزية التي تديرها المفوضية الأوروبية.

يعد فهم هذا الهيكل أساسياً قبل التوقيع على أي عقد تجاري حساس. لمزيد من المعلومات حول الأساس التنظيمي، يقدم دليلنا الشامل حول نظام eIDAS 2.0 تفاصيل شاملة للالتزامات والتطورات التي قدمها نظام eIDAS 2.0 المعدل (اللائحة الأوروبية 2024/1183).

---

كيف يتم اعتماد مزودي خدمات الثقة المؤهلين؟

الطريق نحو وضع مزود خدمة الثقة المؤهل (PSCQ) يتطلب جهداً كبيراً. يتضمن تدقيقاً يجريه هيكل تقييم الامتثال (CAB)، وفقاً للمعايير ETSI EN 319 401 (المتطلبات العامة) و ETSI EN 319 411-2 للشهادات المؤهلة.

مراحل الاعتماد بواسطة ANSSI

1. تقديم ملف الاعتماد: يقدم مزود الخدمة وثائقه التقنية والأمنية والتنظيمية إلى ANSSI.
2. التدقيق من قبل هيكل CAB معتمد: تحقق منظمة طرف ثالث — مثل Bureau Veritas أو LSTI أو Apave Certification — من الامتثال في الموقع وعلى الأوراق.
3. قرار الاعتماد: تصدر ANSSI قرار الاعتماد وتسجل مزود الخدمة في قائمة الثقة الفرنسية (TL-FR).
4. التجديد الدوري: يتم إعادة تقييم الاعتماد، عادة كل سنتين، لضمان الحفاظ على المتطلبات.

ما الذي يتحقق منه التدقيق بالفعل؟

يفحص المدقق بشكل خاص:

• الأمان الفيزيائي لمراكز البيانات التي تستضيف المفاتيح المشفرة (وحدات HSM المعتمدة CC EAL 4+ أو FIPS 140-2 Level 3 كحد أدنى) ؛
• سياسات الشهادات (CP) و بيانات ممارسات الشهادات (CPS) التي ينشرها مزود الخدمة ؛
• إجراءات التحقق من الهوية للموقعين (وجهاً لوجه أو التحقق من الهوية عن بُعد وفقاً للمعيار EN 419 241-1) ؛
• إدارة الإلغاءات وتوفر خدمات OCSP/CRL.

تشرح هذه المعايير سبب وصول عدد قليل فقط من الجهات الفاعلة إلى هذا المستوى من الاعتماد والحفاظ عليه في فرنسا.

---

مزودو خدمات eIDAS المؤهلون المسجلون في فرنسا في 2026

يمكن الاطلاع على القائمة الرسمية لمزودي الخدمات المؤهلين في أي وقت على البوابة الرسمية للمفوضية الأوروبية (eidas.ec.europa.eu/efts)، بالتصفية حسب "فرنسا" والخدمة "QCertESig" (شهادة مؤهلة للتوقيع الإلكتروني). فيما يلي الجهات الفاعلة التي ظهرت في السجل عند كتابة هذه المقالة (يونيو 2026):

الجهات الفاعلة الفرنسية المسجلة في قائمة الثقة

| مزود الخدمة | نوع الخدمة المؤهلة | الخصوصية | |---|---|---| | Certigna (Dhimyotis) | شهادات مؤهلة، طابع زمني مؤهل | مجموعة La Poste، معتمد eIDAS منذ 2016 | | Certinomis | شهادات مؤهلة | فرع La Poste، موجه للقطاع العام | | ChamberSign France | شهادات مؤهلة | شبكة غرف التجارة، ارتباط قوي بالمشاريع الصغيرة | | Keynectis / DocuSign France | شهادات مؤهلة | استحوذت عليها DocuSign، محافظة على علامة ANSSI | | Universign (Tessi) | شهادات مؤهلة، طابع زمني | رائد السوق، مدمج في مجموعة Tessi | | Entrust (ex-Datacard) | شهادات مؤهلة | جهة فاعلة دولية، Trust List متعددة الدول الأعضاء | | Oodrive Sign | شهادات مؤهلة | محرر فرنسي ذو سيادة، معتمد SecNumCloud |

> تحذير: توفر هذه القائمة لأغراض إرشادية وإعلامية فقط. فقط قائمة الثقة الرسمية للمفوضية الأوروبية هي الملزمة. تحقق دائماً من الحالة الحالية على بوابة ETSI قبل أي التزام عقدي.

مزودو خدمات أجانب معترف بهم في فرنسا عبر قائمة الثقة الأوروبية

بموجب مبدأ الاعتراف المتبادل المنصوص عليه في المادة 25 من نظام eIDAS، يُنتج التوقيع المؤهل الصادر عن PSCQ المسجل في قائمة الثقة لدولة عضو أخرى نفس الآثار القانونية في فرنسا. من بين الجهات الفاعلة غير الفرنسية المستخدمة بشكل متكرر:

• Namirial (إيطاليا): قوية في التوقيع المؤهل عن بُعد (QES remote signing) ؛
• SwissSign (سويسرا): انتبه، سويسرا ليست عضواً في الاتحاد الأوروبي؛ الاعتراف جزئي ؛
• Qualified.one / Asseco Data Systems (بولندا): جهة فاعلة عامة أوروبية، متكررة في الأسواق العابرة للحدود.

لمقارنة هذه الحلول وفقاً لاحتياجات عملك، راجع مقارنتنا لحلول التوقيع الإلكتروني التي تحلل معايير السعر والامتثال والتكامل API.

---

كيفية اختيار مزود خدمة eIDAS المؤهل المناسب لمؤسستك

التسجيل في قائمة الثقة شرط ضروري، لكن ليس كافياً. يجب أن يعتمد اختيار PSCQ على عدة معايير إضافية.

المعايير التقنية والتكاملية

• REST API أو SDK متاحة: ضرورية لأتمتة التوقيع في سير عملك (ERP, SIRH, CRM) ؛
• صيغ التوقيع المدعومة: PAdES للملفات PDF، XAdES للملفات XML، CAdES للملفات الثنائية — كلها معايير ETSI EN 319 100 ؛
• توفر الخدمة: SLA أعلى من 99.9% مضمون بموجب العقد، مع فترات صيانة محددة خارج ساعات العمل ؛
• استضافة البيانات: فضّل استضافة في فرنسا أو الاتحاد الأوروبي، يفضل أن تكون معتمدة SecNumCloud للبيانات الحساسة.

المعايير القانونية والامتثال

• تحقق من أن مزود الخدمة يوفر تقرير اعتماد محدث (أقل من 24 شهراً) ؛
• اطلب سياسة شهادات منشورة (CP) يمكن الوصول إليها علناً والتحقق منها ؛
• تأكد من أن الشروط العامة توفر صراحةً تسليم شهادات مؤهلة بمعنى المرفق الأول لنظام eIDAS.

معايير التشغيل والدعم

• إجراء تسجيل الموقعين: وجهاً لوجه في الوكالة، تحديد الهوية عبر الفيديو المطابق لـ eIDAS أو NFC من مستند هوية إلكترونية ؛
• دعم باللغة الفرنسية مع أوقات استجابة معاقدة ؛
• التدريب والتوثيق المتاحة لفريقك القانوني وفريق تكنولوجيا المعلومات.

إذا كانت مؤسستك تدير تدفقات وثائق الموارد البشرية الكبيرة، فإن صفحتنا المخصصة للـ التوقيع الإلكتروني لفريق الموارد البشرية توضح حالات الاستخدام المحددة (عقود العمل، التعديلات، الإدماج) ومستويات التوقيع الموصى بها حسب نوع الوثيقة.

---

eIDAS 2.0: ما التغييرات لمزودي الخدمات المؤهلين في 2026؟

يقدم نظام eIDAS 2.0 (اللائحة الأوروبية 2024/1183، الذي دخل حيز التطبيق تدريجياً منذ مايو 2024) عدة تطورات هيكلية تؤثر بشكل مباشر على PSCQs وعملائهم.

محفظة الهوية الرقمية الأوروبية (EUDI Wallet)

تفرض المادة 6a من النظام المعدل على الدول الأعضاء تقديم محفظة هوية رقمية (EUDI Wallet) معترف بها في جميع أنحاء الاتحاد الأوروبي بحلول سبتمبر 2026. بالنسبة لمزودي الخدمات المؤهلين، يعني هذا:

• الالتزام بـ قبول سمات الهوية الصادرة من المحفظة كإثبات للهوية لتسجيل الموقعين ؛
• ظهور خدمة مؤهلة جديدة: إصدار شهادات السمات المؤهلة (Qualified Electronic Attestation of Attributes, QEAA).

خدمات مؤهلة جديدة وتوسيع الاختصاص

يوسع نظام eIDAS 2.0 قائمة خدمات الثقة المؤهلة لتشمل:

• خدمات الحفظ الإلكترونية المؤهلة (QPDS، المادة 45f) ؛
• خدمات إدارة الأجهزة للتوقيع عن بُعد (QRCD).

تمثل هذه التطورات في آن واحد قيداً للامتثال (آجال ضيقة لمزودي الخدمات الحاليين) وفرصة للتمييز للوافدين الجدد القادرين على دمج المواصفات التقنية التي نشرتها ENISA و ETSI بسرعة.

بالنسبة للمؤسسات التي تفكر في الهجرة من منصة موجودة إلى حل أكثر امتثالاً، يقدم دليل الهجرة من DocuSign أو YouSign إلى Certyneo خطوات عملية ونقاط تحذيرية تنظيمية.

الإطار القانوني المطبق على مزودي خدمات eIDAS المؤهلين

نظام eIDAS والقانون الأوروبي

الأساس القانوني هو لائحة (الاتحاد الأوروبي) رقم 910/2014 من البرلمان الأوروبي والمجلس بتاريخ 23 يوليو 2014 بشأن الهوية الإلكترونية وخدمات الثقة للمعاملات الإلكترونية في السوق الداخلية (تُسمى "لائحة eIDAS")، كما عُدلت بـ اللائحة (الاتحاد الأوروبي) 2024/1183 (eIDAS 2.0). تنطبق هذه اللائحة مباشرة في جميع الدول الأعضاء دون الحاجة إلى تحويل وطني.

أحكامها الرئيسية لمزودي الخدمات المؤهلين:

• المادة 17: التزام كل دولة عضو بتعيين هيئة مراقبة (في فرنسا، ANSSI) ؛
• المادة 20: إجراء الإشراف والتدقيق والتسجيل في قائمة الثقة ؛
• المادة 25: افتراض التكافؤ بين QES والتوقيع بخط اليد، مع ضمان الأثر القانوني في جميع أنحاء الاتحاد الأوروبي ؛
• المرفق الأول: متطلبات شهادات مؤهلة للتوقيع الإلكتروني ؛
• المرفق الثاني: متطلبات أجهزة إنشاء التوقيع المؤهلة (QSCD).

القانون الفرنسي

في القانون الداخلي، ينظم التوقيع الإلكتروني:

• القانون المدني، المواد 1366 و 1367: تعترف المادة 1366 بالقيمة الإثباتية للكتابة الإلكترونية بشرط ضمان هوية المؤلف وسلامة الوثيقة. توضح المادة 1367 أن التوقيع الإلكتروني المكون من إجراء موثوق للتحقق من الهوية يستفيد من افتراض الموثوقية عندما يتم إنشاؤه وفقاً للمرسوم التطبيقي ؛
• مرسوم رقم 2017-1416 بتاريخ 28 سبتمبر 2017: يحدد الشروط التي يتم بموجبها افتراض التوقيع الإلكتروني المؤهل موثوقاً في فرنسا، بالإحالة الصريحة إلى نظام eIDAS ؛
• أمر رقم 2005-674 بتاريخ 16 يونيو 2005 المتعلق بتنفيذ بعض الشكليات العقدية بطريقة إلكترونية.

حماية البيانات الشخصية

تتضمن عمليات التسجيل والتوقيع معالجة البيانات الشخصية (بيانات الهوية، البيومترية للتحديد عن بُعد عبر الفيديو). يخضع مزود الخدمة المؤهل لـ لائحة (الاتحاد الأوروبي) 2016/679 (GDPR) وعليه بخاصة:

• تعيين مسؤول حماية البيانات إذا كانت المعالجة على نطاق واسع ؛
• توثيق المعالجات في سجل CNIL ؛
• تنظيم التحويلات خارج الاتحاد الأوروبي بضمانات مناسبة (بنود العقود النموذجية، قرار الكفاية).

الأمن السيبراني والمرونة

منذ أكتوبر 2024، تنطبق توجيهية NIS2 (2022/2555/UE) على مزودي خدمات الثقة المؤهلين، المصنفة كجهات حيوية. يجب عليهم تنفيذ إجراءات إدارة مخاطر الأمن السيبراني، وإخطار ANSSI بالحوادث المهمة في غضون 24 ساعة، والخضوع لعمليات تدقيق منتظمة. عدم الامتثال يعرّض لغرامات قد تصل إلى 10 ملايين يورو أو 2% من رقم المبيعات العالمي السنوي.

المعايير التقنية المرجعية

• ETSI EN 319 401: متطلبات عامة لمزودي خدمات الثقة ؛
• ETSI EN 319 411-2: ملف تعريف السياسة للشهادات المؤهلة ؛
• ETSI EN 319 132: صيغ التوقيع XAdES ؛
• ETSI EN 319 122: صيغ التوقيع CAdES ؛
• ETSI EN 319 162: صيغ التوقيع PAdES (PDF).

سيناريوهات الاستخدام: متى يكون التوقيع الإلكتروني المؤهل eIDAS ضرورياً؟

السيناريو 1 — مكتب محاماة يدير وثائق بقيمة إثباتية عالية

يتعامل مكتب محاماة متخصص في القانون التجاري يضم حوالي عشرين محامياً شهرياً مع عدة عشرات من تحويلات حصص الشركات وبروتوكولات الاتفاق واتفاقيات ضمان الأصول والخصوم (GAP). تتضمن هذه الوثائق مبالغ يمكن أن تتجاوز في كثير من الأحيان مئات الآلاف من اليورو وقد تكون محل طعن في الإجراءات القضائية.

قبل الهجرة إلى مزود خدمة eIDAS مؤهل، كان المكتب يستخدم حل توقيع متقدم (AES)، مما كان كافياً لمعظم الوثائق الشائعة. بعد حادثة طعنت فيها الجهة المقابلة في صحة التوقيع في نزاع، اختار المكتب QES لجميع الوثائق عالية المخاطر. النتيجة: تقليل 90% من الوقت المنقضي لتقديم أدلة التوقيع عند الإجراءات المتنازع عليها، بفضل الافتراض القانوني الذي لا يمكن الطعن فيه المرتبط بـ QES. تم استيعاب التكلفة الإضافية لكل وحدة توقيع (حوالي 2 إلى 5 يورو اعتماداً على الأحجام) بالكامل بسبب انخفاض رسوم النزاعات.

السيناريو 2 — شركة ETI الصناعية التي تدير عقود الموردين عبر الحدود

كانت شركة بحجم متوسط (ETI) في قطاع معدات الصناعة، مع موردين في فرنسا وألمانيا وإيطاليا وبولندا، يجب أن تُرسل عقودها الإطارية بالبريد البريدي أو تنظم اجتماعات توقيع شخصية، مما أنتج تأخيرات من 10 إلى 21 يوم عمل لكل عقد.

من خلال نشر حل متصل بـ PSCQ أوروبي مسجل في قائمة الثقة، قلصت الشركة دورة التوقيع إلى أقل من 48 ساعة في المتوسط. يضمن الاعتراف المتبادل بين الدول الأعضاء القيمة القانونية دون الحاجة إلى تصديق إضافي. على محفظة من 350 عقد موردين سنوياً، يتجاوز المكسب المقدر في التكاليف الإدارية واللوجستية 40,000 يورو سنوياً، وفقاً لنطاقات متسقة مع الدراسات القطاعية التي نشرتها ACFE و APQC.

السيناريو 3 — تجمع مستشفيات يخضع لمتطلبات قطاع الصحة

يجب على تجمع مستشفيات يضم حوالي 1,200 سرير التوقيع إلكترونياً على العطاءات العامة واتفاقيات البحث السريري وعقود الممارسين في المستشفى. تخضع هذه الوثائق لقانون المشتريات العامة، الذي يتطلب توقيعاً إلكترونياً يمتثل لـ RGS (المرجع العام للأمن) من المستوى ** أو، منذ الرقمنة الكاملة للمشتريات العامة، على مستوى معادل eIDAS.

من خلال الاعتماد على PSCQ مسجل في قائمة الثقة الفرنسية، يضمن التجمع الامتثال مع المادة R. 2132-7 من قانون المشتريات العامة مع تقليل الجداول الزمنية للتوقيع على العطاءات من 15 يوماً إلى أقل من 72 ساعة. سمح التكامل API مع نظام المعلومات الصحي (SIH) بأتمتة الإرسال والتتبع للوثائق، مما حرر حوالي 0.4 ETP على المهام الإدارية المتعلقة بالعقود.

الخلاصة

اختيار مزود خدمة eIDAS مؤهل ليس مجرد عملية شراء برنامج: فهي قرار استراتيجي يؤثر على القيمة الإثباتية لأفعالك، والامتثال التنظيمي لمؤسستك، وثقة شركائك التجاريين والمؤسسيين. في عام 2026، مع دخول eIDAS 2.0 والتزامات NIS2 الجديدة حيز التنفيذ التدريجي، مستوى المتطلبات لا يزال يرتفع فقط.

النقاط الأساسية التي يجب تذكرها: تحقق بشكل منهجي من التسجيل في قائمة الثقة الرسمية، وطلب سياسة شهادات منشورة، وضبط مستوى التوقيع (QES، AES، SES) على حسب المخاطر القانونية لكل وثيقة.

Certyneo يرافقك في هذه العملية بمنحك الوصول إلى شهادات مؤهلة عبر PSCQs مرجعية، وAPI تكامل قوية، ودعم قانوني مخصص. جاهز للانتقال إلى التوقيع المؤهل؟ اطلب عرضاً توضيحياً أو أنشئ حسابك على Certyneo واجعل مؤسستك متوافقة اليوم.