مزودو خدمات eIDAS المؤهلون: القائمة الرسمية 2026

لماذا يعتبر وضع "المؤهل" بموجب eIDAS حاسماً لمؤسستك؟

منذ دخول لائحة eIDAS (رقم 910/2014) حيز التنفيذ، أعاد السوق الأوروبية للتوقيع الإلكتروني هيكلة نفسها حول ثلاث مستويات هرمية: التوقيع الإلكتروني البسيط (SES)، والتوقيع الإلكتروني المتقدم (AES)، والتوقيع الإلكتروني المؤهل (QES). هذا الأخير هو الوحيد الذي يستفيد من افتراض قانوني بالمعادلة مع التوقيع اليدوي في جميع الدول الأعضاء في الاتحاد الأوروبي.

لكي تتمكن مؤسسة من تقديم توقيعات مؤهلة، يجب أن تكون قد خضعت للتدقيق وتم تسجيلها على قائمة الثقة (Trust List) لدولتها الأعضاء. في فرنسا، الوكالة الوطنية لأمن أنظمة المعلومات (ANSSI) هي التي تدير هذا السجل الرسمي، والذي يتم إعادة نشره بدوره في القائمة الأوروبية المركزية التي تديرها المفوضية الأوروبية.

يعتبر فهم هذا التصميم الأساسي أمراً حتمياً قبل توقيع أي عقد تجاري حساس. للمزيد من التفاصيل حول الأساس التنظيمي، يوضح دليلنا الشامل حول لائحة eIDAS 2.0 كل الالتزامات والتطورات التي أدخلتها لائحة eIDAS المعدلة 2.0 (لائحة الاتحاد الأوروبي 2024/1183).

---

كيف يتم اعتماد مزودي خدمات الثقة المؤهلين؟

الطريق نحو وضع مزود خدمات الثقة المؤهل (PSCQ) صعب. وينطوي على تدقيق يجريه جسم تقييم التطابق (CAB، Conformity Assessment Body) معتمد، وفقاً للمعايير ETSI EN 319 401 (المتطلبات العامة) و ETSI EN 319 411-2 للشهادات المؤهلة.

مراحل التأهيل بموجب ANSSI

1. تقديم ملف التأهيل: يقدم مزود الخدمة وثائقه التقنية والأمنية والتنظيمية إلى ANSSI.
2. تدقيق من قبل CAB معتمد: تتحقق جهة خارجية - مثل Bureau Veritas أو LSTI أو Apave Certification - من التطابق في الموقع وفي الملفات.
3. قرار التأهيل: تصدر ANSSI قرار التأهيل وتسجل مزود الخدمة على قائمة الثقة الفرنسية (TL-FR).
4. التجديد الدوري: يتم إعادة تقييم التأهيل، عموماً كل سنتين، لضمان الحفاظ على المتطلبات.

ما الذي يتحقق منه التدقيق بشكل ملموس؟

يفحص المدقق على وجه الخصوص:

• الأمان المادي لمراكز البيانات التي تستضيف المفاتيح التشفيرية (وحدات HSM المصرح بها CC EAL 4+ أو FIPS 140-2 المستوى 3 كحد أدنى) ؛
• سياسات الشهادات (CP) و بيانات ممارسات الشهادات (CPS) المنشورة من قبل مزود الخدمة ؛
• إجراءات التحقق من الهوية للموقعين (وجهاً لوجه أو التحقق من الهوية عن بعد طبقاً للمعيار EN 419 241-1) ؛
• إدارة الإلغاء وتوفر خدمات OCSP/CRL.

تشرح هذه المعايير السبب في أن عدداً قليلاً فقط من الجهات الفاعلة تصل وتحافظ على مستوى الاعتماد هذا في فرنسا.

---

مزودو خدمات eIDAS المؤهلون المسجلون في فرنسا عام 2026

القائمة الرسمية لمزودي الخدمات المؤهلين متاحة في أي وقت على البوابة الرسمية للمفوضية الأوروبية (eidas.ec.europa.eu/efts)، من خلال التصفية حسب "فرنسا" والخدمة "QCertESig" (شهادة مؤهلة للتوقيع الإلكتروني). فيما يلي الجهات الفاعلة التي كانت مسجلة في السجل عند كتابة هذه المقالة (يونيو 2026):

الجهات الفاعلة الفرنسية المسجلة على قائمة الثقة

| مزود الخدمة | نوع الخدمة المؤهلة | الخصوصية | |---|---|---| | Certigna (Dhimyotis) | الشهادات المؤهلة، الطابع الزمني المؤهل | مجموعة La Poste، معتمد بموجب eIDAS منذ 2016 | | Certinomis | الشهادات المؤهلة | فرع La Poste، موجه نحو القطاع العام | | ChamberSign France | الشهادات المؤهلة | شبكة غرف التجارة والصناعة، ارتباط قوي بالمؤسسات الصغيرة والمتوسطة | | Keynectis / DocuSign France | الشهادات المؤهلة | استحوذت عليها DocuSign، الحفاظ على تسمية ANSSI | | Universign (Tessi) | الشهادات المؤهلة، الطابع الزمني | رائد السوق، متكامل في مجموعة Tessi | | Entrust (ex-Datacard) | الشهادات المؤهلة | جهة فاعلة دولية، قائمة الثقة متعددة الدول الأعضاء | | Oodrive Sign | الشهادات المؤهلة | محرر سيادي فرنسي، معتمد SecNumCloud |

> تحذير: تُقدم هذه القائمة لأغراض توضيحية وإعلامية فقط. فقط قائمة الثقة الرسمية للمفوضية الأوروبية لها قيمة قانونية. تحقق دائماً من الحالة الحالية على بوابة ETSI قبل أي التزام تعاقدي.

مزودو خدمات أجانب معترف بهم في فرنسا عبر قائمة الثقة الأوروبية

بموجب مبدأ الاعتراف المتبادل المنصوص عليه في المادة 25 من لائحة eIDAS، ينتج عن التوقيع المؤهل الصادر عن PSCQ مسجل على قائمة الثقة لدولة عضو أخرى نفس الآثار القانونية في فرنسا. من بين الجهات الفاعلة غير الفرنسية المستخدمة بكثرة:

• Namirial (إيطاليا): قوية في التوقيع المؤهل عن بعد (QES remote signing) ؛
• SwissSign (سويسرا): انتبه، سويسرا ليست عضواً في الاتحاد الأوروبي؛ الاعتراف جزئي ؛
• Qualified.one / Asseco Data Systems (بولندا): جهة فاعلة عامة أوروبية، متكررة في الأسواق عبر الحدود.

لمقارنة هذه الحلول وفقاً لاحتياجات عملك، استشر مقارنة حلول التوقيع الإلكتروني التي تحلل معايير السعر والامتثال والتكامل API.

---

كيفية اختيار مزود خدمات eIDAS المؤهل المناسب لمؤسستك؟

الظهور على قائمة الثقة شرط ضروري لكن غير كافٍ. يجب أن يستند اختيار PSCQ على عدة معايير تكميلية.

المعايير التقنية والتكاملية

• واجهة برمجية REST أو SDK متاحة: أساسية لأتمتة التوقيع في سير عملك (ERP، SIRH، CRM) ؛
• تنسيقات التوقيع المدعومة: PAdES لملفات PDF، XAdES لملفات XML، CAdES للملفات الثنائية — جميعها موحدة من قبل ETSI EN 319 100 ؛
• توفر الخدمة: SLA أعلى من 99.9 % مضموناً تعاقدياً، مع فترات صيانة محددة خارج ساعات العمل ؛
• استضافة البيانات: فضل الاستضافة في فرنسا أو الاتحاد الأوروبي، والمعتمدة بشكل مثالي من SecNumCloud للبيانات الحساسة.

المعايير القانونية والامتثالية

• تحقق من أن مزود الخدمة يوفر تقرير تأهيل محدثاً (أقل من 24 شهراً) ؛
• اطلب سياسة شهادات منشورة (CP) يمكن الوصول إليها علنياً وخاضعة للتدقيق ؛
• تأكد من أن الشروط العامة تنص بوضوح على تقديم شهادات مؤهلة بمعنى الملحق الأول من لائحة eIDAS.

المعايير التشغيلية والدعم

• إجراء تسجيل الموقعين: وجهاً لوجه في الوكالة، أو التعريف بالفيديو المطابق لـ eIDAS أو NFC من وثيقة هوية إلكترونية ؛
• الدعم باللغة الفرنسية مع أوقات استجابة تعاقدية ؛
• التدريب والتوثيق المتاحة لفريقك القانوني والتقني.

إذا كانت مؤسستك تدير تدفقات موارد بشرية كبيرة، فإن صفحتنا المخصصة للـ التوقيع الإلكتروني لفريق الموارد البشرية توضح حالات الاستخدام المحددة (عقود العمل، التعديلات، الإدراج) ومستويات التوقيع الموصى بها حسب نوع المستند.

---

eIDAS 2.0: ما هي التغييرات لمزودي الخدمات المؤهلين في 2026؟

تدخل لائحة eIDAS 2.0 (لائحة الاتحاد الأوروبي 2024/1183، دخلت حيز التطبيق التدريجي منذ مايو 2024) عدة تطورات هيكلية تؤثر بشكل مباشر على PSCQ وعملائهم.

محفظة الهوية الرقمية الأوروبية (EUDI Wallet)

تفرض المادة 6a من اللائحة المعدلة على الدول الأعضاء أن تقدم، بحلول سبتمبر 2026، محفظة هوية رقمية (EUDI Wallet) معترفاً بها في جميع أنحاء الاتحاد الأوروبي. بالنسبة لمزودي الخدمات المؤهلين، هذا يعني:

• الالتزام بقبول خصائص الهوية الصادرة عن المحفظة كإثبات الهوية لتسجيل الموقعين ؛
• ظهور خدمة مؤهلة جديدة: تقديم شهادات خصائص مؤهلة (Qualified Electronic Attestation of Attributes، QEAA).

الخدمات المؤهلة الجديدة وتوسيع نطاق الاختصاص

توسع eIDAS 2.0 قائمة الخدمات الموثوقة المؤهلة لتشمل:

• خدمات الأرشفة الإلكترونية المؤهلة (QPDS، المادة 45f) ؛
• خدمات إدارة أجهزة إنشاء التوقيع عن بعد (QRCD).

تمثل هذه التطورات في الوقت نفسه قيد الامتثال (جداول زمنية ضيقة لمزودي الخدمات الحاليين) وفرصة للتمايز لأولئك الجدد القادرين على التكامل السريع مع المواصفات التقنية المنشورة من قبل ENISA و ETSI.

بالنسبة للمؤسسات التي تفكر في الهجرة من منصة موجودة إلى حل أكثر توافقاً، يقدم دليلنا للهجرة من DocuSign أو YouSign إلى Certyneo الخطوات العملية ونقاط الحذر التنظيمية.

الإطار القانوني المعمول به لمزودي الخدمات المؤهلين بموجب eIDAS

لائحة eIDAS والقانون الأوروبي

الأساس القانوني هو لائحة (الاتحاد الأوروبي) رقم 910/2014 من البرلمان الأوروبي والمجلس بتاريخ 23 يوليو 2014 بشأن الهوية الإلكترونية والخدمات الموثوقة للمعاملات الإلكترونية في السوق الداخلية (تُسمى "لائحة eIDAS")، كما عُدلت بـ لائحة (الاتحاد الأوروبي) 2024/1183 (eIDAS 2.0). تطبق هذه اللائحة مباشرة في جميع الدول الأعضاء بدون تنفيذ وطني.

أحكامها الأساسية لمزودي الخدمات المؤهلين:

• المادة 17: التزام كل دولة عضو بتعيين هيئة إشراف (في فرنسا، ANSSI) ؛
• المادة 20: إجراء الإشراف والتدقيق والتسجيل على قائمة الثقة ؛
• المادة 25: افتراض المعادلة بين QES والتوقيع اليدوي، مع ضمان الأثر القانوني في جميع أنحاء الاتحاد الأوروبي ؛
• الملحق الأول: متطلبات الشهادات المؤهلة للتوقيع الإلكتروني ؛
• الملحق الثاني: متطلبات أجهزة إنشاء التوقيع المؤهل (QSCD).

القانون الفرنسي

يتم تنظيم التوقيع الإلكتروني على المستوى الداخلي من خلال:

• القانون المدني، المواد 1366 و 1367: تعترف المادة 1366 بالقيمة الإثباتية للكتابة الإلكترونية بشرط ضمان هوية المؤلف وسلامة المستند. توضح المادة 1367 أن التوقيع الإلكتروني المتمثل في طريقة موثوقة للتعريف يستفيد من افتراض الموثوقية عندما يتم إنشاؤه وفقاً لمرسوم التطبيق ؛
• المرسوم رقم 2017-1416 الصادر في 28 سبتمبر 2017: يحدد الشروط التي بموجبها يُفترض أن يكون التوقيع الإلكتروني المؤهل موثوقاً به في فرنسا، مع الإحالة صراحة إلى لائحة eIDAS ؛
• الأمر رقم 2005-674 الصادر في 16 يونيو 2005 المتعلق بتنفيذ بعض الاجراءات التعاقدية بالطريقة الإلكترونية.

حماية البيانات الشخصية

تنطوي عمليات التسجيل والتوقيع على معالجة البيانات الشخصية (بيانات الهوية، البيومترية للتعريف بالفيديو). يخضع مزود الخدمة المؤهل لـ لائحة (الاتحاد الأوروبي) 2016/679 (GDPR) ويجب عليه على وجه الخصوص:

• تعيين مسؤول الحماية إذا كانت المعالجة على نطاق واسع ؛
• توثيق المعالجات في سجل CNIL ؛
• تنظيم التحويلات خارج الاتحاد الأوروبي بضمانات مناسبة (الشروط التعاقدية النموذجية، قرار الكفاية).

الأمن السيبراني والمرونة

منذ أكتوبر 2024، تنطبق توجيهية NIS2 (2022/2555/UE) على مزودي خدمات الثقة المؤهلين، المصنفين كيانات حيوية. يجب عليهم تطبيق تدابير إدارة مخاطر الأمن السيبراني، وإخطار ANSSI بالحوادث الهامة في غضون 24 ساعة، والخضوع لعمليات تدقيق منتظمة. قد يؤدي عدم الامتثال إلى غرامات تصل إلى 10 ملايين يورو أو 2٪ من رقم الأعمال العالمي السنوي.

المعايير التقنية المرجعية

• ETSI EN 319 401: متطلبات عامة لمزودي خدمات الثقة ؛
• ETSI EN 319 411-2: ملف السياسة للشهادات المؤهلة ؛
• ETSI EN 319 132: تنسيقات التوقيع XAdES ؛
• ETSI EN 319 122: تنسيقات التوقيع CAdES ؛
• ETSI EN 319 162: تنسيقات التوقيع PAdES (PDF).

سيناريوهات الاستخدام: متى يكون التوقيع الإلكتروني المؤهل بموجب eIDAS ضرورياً؟

السيناريو 1 — مكتب محاماة يدير الأفعال بموجب العقد الخاص ذات قيمة إثبات عالية

يتعامل مكتب محاماة متخصص في القانون التجاري يضم حوالي عشرين متعاوناً شهرياً مع عشرات عمليات نقل حصص الشركات والاتفاقيات والاتفاقات وضمانات الأصول والخصوم (GAP). هذه الأفعال تنطوي على مبالغ غالباً ما تتجاوز مئات آلاف اليورو وقد تكون محل طعن في المحكمة.

قبل الهجرة إلى مزود خدمات eIDAS مؤهل، كان المكتب يستخدم حل توقيع متقدم (AES)، والذي كان كافياً لمعظم الأفعال العادية. بعد حادثة اعترضت فيها الطرف الآخر على صحة التوقيع أثناء نزاع قضائي، اختار المكتب QES لجميع الأفعال ذات المخاطر العالية. النتيجة: تقليل 90٪ من الوقت المستغرق في تقديم أدلة التوقيع أثناء الإجراءات القضائية، بفضل الافتراض القانوني غير القابل للدحض المرتبط بـ QES. تم امتصاص التكلفة الإضافية لكل توقيع (حوالي 2 إلى 5 يورو حسب الحجم) بالكامل من خلال انخفاض رسوم المحاكم.

السيناريو 2 — شركة صناعية متوسطة الحجم تدير عقود الموردين عبر الحدود

كانت شركة صناعية متوسطة الحجم من قطاع الهياكل الصناعية، مع موردين في فرنسا وألمانيا وإيطاليا وبولندا، حتى الآن ترسل عقودها الإطارية بالبريد البطيء أو تنظم لقاءات توقيع شخصياً، مما يولد فترات بطول 10 إلى 21 يوم عمل لكل عقد.

من خلال نشر حل متصل بـ PSCQ أوروبي مسجل على قائمة الثقة، قلصت الشركة دورة التوقيع إلى أقل من 48 ساعة في المتوسط. يضمن الاعتراف المتبادل بين الدول الأعضاء القيمة القانونية بدون الحاجة إلى أي إضفاء الشرعية إضافية. على محفظة من 350 عقد موردين سنوي، يتجاوز المكسب المقدر في التكاليف الإدارية واللوجستية 40 ألف يورو سنوياً، وفقاً لنطاقات متسقة مع الدراسات القطاعية المنشورة من قبل ACFE و APQC.

السيناريو 3 — مجمع مستشفى يخضع لمتطلبات قطاع الصحة

يجب على مجمع مستشفى يبلغ حوالي 1200 سرير أن يوقع إلكترونياً على الأسواق العامة واتفاقيات البحث السريري وعقود الممارسين المستشفى. تخضع هذه المستندات لقانون المشتريات العامة، الذي يتطلب توقيعاً إلكترونياً يتوافق مع RGS (المرجع العام للأمان) من مستوى ** أو، منذ إلكترنة الأسواق العامة، على مستوى معادل eIDAS.

من خلال الاعتماد على PSCQ مسجل على قائمة الثقة الفرنسية، يضمن المجمع الامتثال للمادة R. 2132-7 من قانون المشتريات العامة مع تقليل أوقات توقيع الأسواق من 15 يوماً إلى أقل من 72 ساعة. سمح التكامل API مع نظام المعلومات المستشفى (SIH) بأتمتة إرسال ومتابعة المستندات، مما حرر حوالي 0.4 ETP على المهام الإدارية المتعلقة بالعقود.

الخلاصة

اختيار مزود خدمات eIDAS مؤهل ليس مجرد عملية شراء برمجية: إنها قرار استراتيجي يعترف بالقيمة الإثباتية لأفعالك، والامتثال التنظيمي لمؤسستك وثقة شركائك التجاريين والمؤسسيين. في 2026، مع دخول eIDAS 2.0 في مرحلة التطبيق التدريجي والالتزامات الجديدة NIS2، لا يزال مستوى المتطلبات يتزايد.

النقاط الأساسية التي يجب تذكرها: تحقق بشكل منتظم من التسجيل على قائمة الثقة الرسمية، واطلب سياسة شهادات منشورة، وقم بتكييف مستوى التوقيع (QES، AES، SES) مع المخاطر القانونية لكل مستند.

يرافقك Certyneo في هذه العملية بمنحك الوصول إلى شهادات مؤهلة عبر PSCQ مرجعية، واجهة برمجية تطبيقات قوية ودعم قانوني مخصص. هل أن