شهادة eIDAS 2 لمقدمي خدمات التوقيع الإلكتروني 2026

لماذا تغير شهادة eIDAS 2 قواعد اللعبة لمقدمي الخدمات

منذ دخول اللائحة (الاتحاد الأوروبي) 2024/1183 الصادرة في 11 أبريل 2024 — المعروفة باسم eIDAS 2 — حيز التنفيذ، يواجه مقدمو خدمات الثقة (PSC) العاملون في الاتحاد الأوروبي إطاراً تنظيمياً أعيد تشكيله بشكل جذري. لا يقتصر تعديل لائحة eIDAS الأصلية لعام 2014 على توسيع نطاق الخدمات المعترف بها: بل يشدد بشكل كبير على شروط الاعتماد، ويقدم مستويات ضمان جديدة، ويعزز متطلبات الإشراف من قبل هيئات المراقبة الوطنية. بالنسبة لأي جهة تريد تقديم خدمات التوقيع الإلكتروني المؤهل (QES) أو المتقدم (AdES) في السوق الأوروبية، فهم كيفية الحصول على شهادة eIDAS 2 لمقدم خدمات التوقيع لم يعد خياراً — بل أصبح التزاماً استراتيجياً.

يقدم هذا المقال نظرة شاملة على مسار الشهادة: النصوص المنطبقة والمعايير التقنية الواجب احترامها وأدوار هيئات تقييم المطابقة (CAB) والمواعيد النهائية الواقعية ونقاط الحذر التشغيلية.

---

المشهد التنظيمي الجديد eIDAS 2: ما تغير

من اللائحة 910/2014 إلى لائحة 2024/1183: التطورات الرئيسية

وضعت لائحة eIDAS الأصلية (رقم 910/2014) أسس سوق موحد رقمي للثقة في أوروبا. حددت ثلاث مستويات للتوقيع — بسيط وموقع ومؤهل — والزمت مقدمي الخدمات المؤهلين بالظهور على قوائم الثقة الوطنية (TSL، Trust Service Lists). يحتفظ eIDAS 2 بهذه البنية الأساسية لكنه يثريها على عدة نقاط هيكلية:

• توسيع الخدمات المؤهلة: الحفظ الإلكتروني المؤهل، والشهادات الإلكترونية للخصائص (AEA)، وإدارة أجهزة إنشاء التوقيع المؤهل (QSCD) عن بعد. تخضع هذه الخدمات الجديدة الآن لنفس إجراء الاعتماد مثل التوقيع المؤهل.
• المحفظة الأوروبية للهوية الرقمية (EUDIW): يجب على مقدمي الخدمات الذين يرغبون في التفاعل مع المحفظة الرقمية المستقبلية إثبات امتثالهم للمواصفات التقنية التي نشرتها المفوضية (ARF — Architecture and Reference Framework، v1.4، 2024).
• تعزيز الإشراف: تتمتع السلطات الوطنية للإشراف (في فرنسا، ANSSI) بسلطات تحقيق وإنفاذ معززة. قد يخضع مقدمو الخدمات المؤهلون لعمليات تدقيق مفاجئة.
• تقليل مواعيد الإخطار: يجب إخطار أي حادث أمني كبير للسلطة المختصة في 24 ساعة (مقابل 72 ساعة في الإصدار السابق لبعض الحوادث).

للاطلاع على نظرة عامة على اللائحة، يقدم دليل eIDAS 2.0 من Certyneo ملخصاً تعليمياً لكل هذه التطورات.

مستويات الضمان وآثارها على الشهادة

يبقى التمييز بين التوقيع الإلكتروني المتقدم والمؤهل محور النظام. فقط QES تستفيد من افتراض قانوني للتكامل والنسب يعادل التوقيع اليدوي (المادة 25 من لائحة eIDAS 2). هذا الافتراض مرتبط بشكل مباشر بشهادة مقدم الخدمة.

| المستوى | القيمة الإثباتية | متطلب مقدم الخدمة | |---|---|---| | بسيط (SES) | محدودة | لا يوجد | | متقدم (AdES) | كبيرة | الممارسات الجيدة + معايير ETSI | | مؤهل (QES) | أقصى (افتراض قانوني) | شهادة eIDAS 2 إلزامية |

---

عملية شهادة eIDAS 2 خطوة بخطوة

الخطوة 1 — المتطلبات التنظيمية والتقنية

قبل الشروع رسمياً في عملية الشهادة، يجب على مقدم الخدمة أن يراجع مستوى نضجه على ثلاثة محاور:

1. الامتثال لمعايير ETSI تشكل معايير سلسلة EN 319 الأساس التقني الذي لا يمكن تجنبه. الأساسية منها:

• ETSI EN 319 401: المتطلبات العامة لمقدمي خدمات الثقة
• ETSI EN 319 411-1 و 411-2: السياسات والمتطلبات لهيئات التوثيق التي تصدر الشهادات (ملفات PTC-QC للشهادات المؤهلة)
• ETSI EN 319 421: السياسة والمتطلبات لمقدمي خدمات الطوابع الزمنية
• ETSI EN 319 132: صيغ التوقيع XAdES (XML)، والسلسلة المرتبطة CAdES (CMS) و PAdES (PDF)

الامتثال لهذه المعايير ليس اختياراً لمقدمي الخدمات المؤهلين: بل يُطلب بوضوح من قبل أعمال التنفيذ للمفوضية الأوروبية.

2. أمان أنظمة المعلومات يجب توثيق QSCD (أجهزة إنشاء التوقيع المؤهل) وفقاً لـ Common Criteria (CC) EAL4+ أو ما يعادله. بالنسبة لحلول التوقيع عن بعد — النموذج السائد في SaaS — تتعلق المتطلبات أيضاً بوحدات HSM (Hardware Security Module) وإجراءات إدارة مفاتيح التشفير (FIPS 140-2 المستوى 3 كحد أدنى).

3. سياسة الأمان (PSSI) وإدارة المخاطر يتطلب ملف الشهادة PSSI رسمية، محاذاة مع ISO/IEC 27001 (التي تُعتبر الشهادة فيها موصى بها بشدة وأحياناً مطلوبة من قبل CAB) وتدمج متطلبات NIS2 للكيانات المؤهلة بـ "مهم" أو "أساسي".

الخطوة 2 — اختيار والتزام هيئة تقييم المطابقة (CAB)

في فرنسا، عدد قليل من هيئات CAB المعتمدة من قبل COFRAC (اللجنة الفرنسية للاعتماد) لتقييم مقدمي خدمات الثقة. على سبيل المثال، LSTI (Laboratoire de Sécurité des Technologies de l'Information) وBureau Veritas Certification يعتبران من الجهات المرجعية. على المستوى الأوروبي، تنشر كل دولة عضو قائمة هيئات CAB المخطرة لديها.

يتمثل دور CAB في إجراء تدقيق المطابقة على مرحلتين:

1. المراجعة الوثائقية (المرحلة 1): فحص السياسات والإجراءات وإعلان ممارسات الشهادة (DPC / CPS) والأدلة التقنية.
2. التدقيق في الموقع (المرحلة 2): التحقق من الضوابط التشغيلية واختبارات الاختراق والمقابلات مع الفرق.

يتراوح الوقت الإجمالي لتدقيق CAB عموماً من 4 إلى 8 أسابيع حسب نضج المرشح السابق.

الخطوة 3 — التقييم من قبل السلطة الوطنية للإشراف

في فرنسا، ANSSI (الوكالة الوطنية الفرنسية لأمان أنظمة المعلومات) هي التي تتولى تقييم طلبات الإدراج على قائمة الثقة الوطنية (TSL FR). بناءً على تقرير تدقيق CAB، تجري ANSSI تحليلها الخاص وقد تطلب معلومات إضافية أو تدابير تصحيحية.

المهلة الزمنية التنظيمية للتقييم هي 3 أشهر من استقبال ملف كامل (المادة 17 من لائحة eIDAS 2). في الممارسة العملية، غالباً ما تكون المواعيد الفعلية أطول إذا كان الملف الأولي ناقصاً.

بمجرد إدراجه على TSL الوطنية، يتم إدراج مقدم الخدمة تلقائياً في EUTL (EU Trusted List)، المنشورة من قبل المفوضية الأوروبية، مما يمنحه اعترافاً عابراً للحدود فوراً في جميع الدول الأعضاء الـ 27.

الخطوة 4 — الحفاظ على التأهيل والتجديد

شهادة eIDAS 2 ليست نهائية. يخضع مقدمو الخدمات المؤهلون لـ:

• تدقيق مراقبة سنوي تجريه CAB
• تدقيق تجديد كامل كل 24 شهراً (دورة أقصر من الممارسة السابقة)
• ضوابط مفاجئة ممكنة بمبادرة من ANSSI

أي تغيير جوهري في البنية الأساسية (تغيير HSM، تطور PKI، خدمة مؤهلة جديدة) يؤدي إلى إجراء إخطار سابق وقد يفرض تدقيقاً جزئياً.

---

التكاليف والمواعيس النهائية وعوامل الخطر: ما يجب على مسؤولي تكنولوجيا المعلومات توقعه

الميزانية والموارد البشرية

تكلفة الشهادة الأولى eIDAS 2 كبيرة بشكل كبير. تشمل بنود النفقات:

• تدقيق CAB: بين 40,000 € و 120,000 € حسب تعقيد نطاق العمل
• تحقيق التوافقية التقنية (HSM، PKI، QSCD معتمدة CC): من 80,000 € إلى مئات الآلاف من اليوروهات للبنية الأساسية الملكية
• شهادة ISO 27001 (موصى بها كشرط أساسي): 15,000 إلى 50,000 € حسب الحجم
• رسوم الاستشارة القانونية وصياغة DPC: 10,000 إلى 30,000 €
• التكاليف الداخلية: تخصيص فريق (RSSI، DPO، مسؤول الامتثال) لمدة 12 إلى 18 شهراً

بجمع كل هذه البنود، تمثل شهادة كاملة استثماراً إجمالياً بحوالي 200,000 إلى 500,000 € لمقدم خدمة متوسط الحجم، بدون احتساب التكاليف المتكررة للحفاظ على الشهادة.

عوامل الخطر التشغيلية

أكثر الأسباب شيوعاً للفشل أو التأخير في إجراءات الشهادة:

1. DPC غير كافية تفصيلاً: يجب أن توثق إعلان ممارسات الشهادة كل تحكم بتفاصيل دقيقة أحياناً يتم الاستقلال الكامل عنها.
2. فجوات في إدارة دورة حياة المفاتيح: الإلغاء والحفظ والحذف النهائي للمفاتيح الخاصة.
3. حوكمة الحوادث غير كافية: عدم وجود SIEM، عدم وجود إجراءات إدارة أزمات مختبرة، عدم وجود runbooks.
4. استقلال NIS2: منذ أكتوبر 2024، يُصنف مقدمو الخدمات المؤهلون تلقائياً ضمن كيانات "مهمة" بموجب توجيه NIS2، مع التزامات إضافية بالإعلان وإدارة المخاطر.

بالنسبة للشركات التي تفضل تفويض هذه القيود إلى مقدم خدمة معتمد بالفعل بدلاً من بناء البنية الأساسية الخاصة بها، يساعد المقارنة بين حلول التوقيع الإلكتروني المتاحة على Certyneo في تحديد هذا الخيار build-vs-buy.

---

eIDAS 2 والتوقيع الإلكتروني في المؤسسة: تحديات الانتقال

بالنسبة للمؤسسات المستخدمة — بخلاف مقدمي الخدمات — أصبحت شهادة eIDAS 2 من مورد SaaS الخاص بهم للتوقيع معياراً لا يمكن تجنبه في اختيار الخدمات. أصبح إدراج شرط في العطاءات يتطلب الوجود على قائمة TSL الوطنية ممارسة قياسية في القطاعات المنظمة (المالية والصحية والعقارية).

يفرض التوقيع الإلكتروني في المؤسسة بالفعل التمييز الواضح بين حالات الاستخدام التي تتطلب QES — الأعمال موثوقة الصيغة ذات مخاطر عالية، والتفويضات، والأعمال الموثقة إلكترونياً — وتلك التي تكفي فيها AdES. يشرط هذا رسم خريطة الاستخدام بشكل مباشر مستوى الخدمة الذي يمكن طلبه تعاقدياً من مقدم الخدمة.

يجب على المؤسسات التي تهاجر من حل موجود إلى مقدم خدمة معتمد eIDAS 2 أن تتوقع أيضاً نقل أرشيفات الأدلة. يقدم الدليل حول الهجرة من DocuSign أو YouSign إلى Certyneo التفاصيل حول أفضل الممارسات للحفاظ على القيمة الإثباتية للمستندات الموقعة بالفعل خلال فترة الانتقال.

الإطار القانوني المنطبق على شهادة eIDAS 2

النصوص الأساسية

يستند اعتماد مقدمي خدمات الثقة إلى تراكم معياري كثيف يجب السيطرة عليه بالكامل:

لائحة (الاتحاد الأوروبي) 2024/1183 الصادرة في 11 أبريل 2024 (eIDAS 2): النص المرجعي الذي ينسخ ويحل محل الأحكام المقابلة للائحة 910/2014. يحدد شروط الحصول والحفاظ على صفة مقدم الخدمة المؤهل والتزامات الإشراف الوطني والمتطلبات المتعلقة بالخدمات الجديدة (EUDIW، AEA).

لائحة (الاتحاد الأوروبي) رقم 910/2014 (eIDAS 1): لا تزال منطبقة جزئياً على الأحكام غير المعدلة؛ الأعمال المنفذة والموفضة بموجب هذه اللائحة تبقى سارية المفعول حتى مراجعتها الرسمية.

القانون المدني الفرنسي، المادتان 1366 و 1367: تضع المادة 1366 مبدأ التكافؤ بين التوقيع الإلكتروني والتوقيع اليدوي تحت شرط الموثوقية؛ تحدد المادة 1367 أنه يُفترض أن الموثوقية قائمة حتى يثبت العكس عند استخدام التوقيع المؤهل. تُنسق هذه الأحكام الوطنية مباشرة مع افتراض المادة 25 eIDAS 2.

توجيه (الاتحاد الأوروبي) 2022/2555 (NIS2): الذي تم نقله إلى القانون الفرنسي بموجب قانون 15 أكتوبر 2024، يصنف تلقائياً مقدمي خدمات الثقة المؤهلين بين الكيانات المهمة. الالتزامات: الإبلاغ عن ANSSI في غضون 72 ساعة لأي حادث كبير، وإنشاء إدارة مخاطر سيبر رسمية، وتدقيق أمني دوري.

لائحة (الاتحاد الأوروبي) 2016/679 (GDPR): يعالج مقدمو خدمات التوقيع بيانات شخصية حساسة (هوية الموقعين، سجلات التدقيق). يفرض احترام مبادئ التقليل والحد من الاحتفاظ والسلامة تحليل تأثير محدد (AIPD). يجب توثيق أساس الحق القانوني للمعالجة لكل خدمة.

المعايير التقنية ذات القيمة التنظيمية

تحدد أعمال تنفيذ المفوضية الأوروبية (لا سيما القرار 2015/1506 وتعديلاته) معايير ETSI على أنها افتراضية للامتثال:

• ETSI EN 319 401: متطلبات TSP العامة
• ETSI EN 319 411-1 و 411-2: سياسات الشهادة
• ETSI EN 319 421: الطابع الزمني المؤهل
• ETSI EN 319 132 / 122 / 102: صيغ AdES (XAdES، CAdES، PAdES، ASiC)
• ETSI TS 119 431: خدمات التوقيع عن بعد

المخاطر القانونية في حالة عدم الامتثال

يعرض الاستخدام الاحتيالي أو المهمل لصفة مقدم خدمة مؤهل لعقوبات إدارية تفرضها ANSSI (الإيقاف والحذف من قائمة الثقة) والمتابعة الجنائية (المادة 226-17 من القانون الجنائي لعدم أمان البيانات الشخصية). من ناحية مدنية، قد يؤدي الطعن في القيمة الإثباتية للتوقيعات الصادرة خلال فترة عدم الامتثال إلى مسؤولية تعاقدية لمقدم الخدمة تجاه عملائه.

سيناريوهات الاستخدام: شهادة eIDAS 2 في الممارسة العملية

السيناريو 1 — محرر SaaS متوسط الحجم يهدف للتأهيل QES

تقرر شركة متخصصة في إلغاء طابع المستندات، توظف حوالي مائة موظف وتدير عدة ملايين من معاملات التوقيع سنوياً لحساب عملاء في قطاعات البنوك والتأمين، طلب تأهيل eIDAS 2 لخدمة التوقيع الإلكتروني. حتى الآن، كانت الشركة تقدم توقيعاً متقدماً بناءً على شهادات (AdES)، كافياً لمعظم عقود عملائها، لكنه غير كافٍ للأعمال التي تتطلب قيمة إثباتية قصوى (تفويضات SEPA، واتفاقيات الأدلة الموثقة).

بعد تدقيق داخلي يستغرق 3 أشهر كشف عن حوالي خمس عشرة فجوات رئيسية مقابل متطلبات ETSI EN 319 411-2، تنخرط الشركة في برنامج امتثال يستمر 14 شهراً. تتعلق أساسيات المشاريع بـ استبدال وحدات HSM الموجودة بوحدات معتمدة FIPS 140-2 المستوى 3، وصياغة DPC من 180 صفحة، والحصول على شهادة ISO 27001 قبل تدقيق CAB. يصل إجمالي الاستثمار إلى 340,000 €. بعد انتهاء العملية، يسمح الإدراج على قائمة TSL الفرنسية للشركة بالوصول إلى طلبات عروض كانت مستبعدة منها بشكل منهجي، مما يمثل إمكانية تجارية تُقدر بزيادة 20% من الإيرادات.

السيناريو 2 — مجموعة مستشفيات تدمج التوقيع المؤهل للأعمال الطبية القانونية

تسعى مجموعة مستشفيات بحوالي 1,200 سرير إلى إلغاء طابع عملياتها للموافقة المستنيرة وتفويضات السلطة الطبية وعقود البحث السريري. تندرج هذه المستندات في فئة الأعمال التي يُطلب فيها QES أو يُنصح بشدة وفقاً لمعايير HAS والإطار القانوني لبيانات الصحة (المادة L. 1110-4 CSP).

بدلاً من توثيق البنية الأساسية الداخلية — الخيار الذي يُعتبر مكلفاً جداً وخارج نطاق الأعمال الأساسية — تختار المجموعة دمج طرف ثالث مُعتمد بالفعل على قائمة TSL. تجري DSI تدقيق امتثال مورد بناءً على قائمة فحص ETSI EN 319 401 وتتحقق من الوجود الفعلي على EUTL قبل أي تعاقد. يتم النشر، الذي أُنجز في 4 أشهر، تقليل مدة جمع التوقيعات على ملفات البحث السريري بنسبة 65% وإلغاء خطر النزاع القانوني المرتبط باستخدام التوقيعات البسيطة السابقة للأعمال الحساسة.

السيناريو 3 — مكتب محاماة متخصص بالعمليات الكبرى يضمن أعماله الموثوقة الصيغة

يسعى مكتب محاماة متخصص بالعمليات الكبرى يضم حوالي ثلاثين شريكاً، ويتولى سنوياً حوالي 400 عملية دمج واستحواذ وعمليات بيع أموال تجارية، إلى تعزيز موثوقية توقيع أعماله موثوقة الصيغة المعقدة. يتجاوز القيمة الفردية للعمليات المعالجة غالباً مليون يورو، وأي عيب بالصيغة قد يعرض المسؤولية المهنية للم