شهادة eIDAS 2 لمقدمي خدمات التوقيع الإلكتروني 2026

لماذا تغير شهادة eIDAS 2 قواعد اللعبة لمقدمي الخدمات

منذ دخول لائحة (EU) 2024/1183 بتاريخ 11 أبريل 2024 — المعروفة باسم eIDAS 2 — حيز التطبيق، يواجه مقدمو خدمات الثقة (PSC) العاملون في الاتحاد الأوروبي إطاراً تنظيمياً قد تم إعادة هيكلته بشكل جذري. إن مراجعة لائحة eIDAS الأصلية من عام 2014 لا تقتصر على توسيع نطاق الخدمات المعترف بها: بل تعسر كذلك شروط الاعتماد بشكل ملموس، وتقدم مستويات ضمان جديدة، وتعزز متطلبات إشراف هيئات الرقابة الوطنية. بالنسبة لأي جهة تسعى إلى تقديم خدمات توقيع إلكترونية مؤهلة (QES) أو متقدمة (AdES) في السوق الأوروبية، فإن فهم كيفية الحصول على شهادة eIDAS 2 لمقدم خدمات التوقيع لم يعد خياراً — بل أصبح التزاماً استراتيجياً.

تقدم هذه المقالة نظرة عامة شاملة على مسار الشهادة: النصوص المعمول بها والمعايير التقنية الواجب الالتزام بها، ودور هيئات تقييم المطابقة (CAB)، والمواعيد النهائية الواقعية ونقاط الحذر التشغيلية.

---

المشهد التنظيمي الجديد لـ eIDAS 2: ما الذي تغير

من لائحة 910/2014 إلى لائحة 2024/1183: التطورات الرئيسية

وضعت لائحة eIDAS الأصلية (رقم 910/2014) الأساس لسوق موحدة رقمية للثقة في أوروبا. لقد حددت ثلاثة مستويات للتوقيع — بسيط ومتقدم ومؤهل — وفرضت على مقدمي الخدمات المؤهلين التسجيل في قوائم الثقة الوطنية (TSL، قوائم خدمات الثقة). تحافظ eIDAS 2 على هذا الهيكل لكنها تثريها في عدة نقاط هيكلية:

• توسيع الخدمات المؤهلة: الحفظ الإلكتروني المؤهل، شهادات السمات الإلكترونية المؤهلة (AEA)، الإدارة عن بُعد لأجهزة إنشاء التوقيع المؤهل (QSCD). تخضع هذه الخدمات الجديدة الآن لنفس إجراء الاعتماد مثل التوقيع المؤهل.
• المحفظة الأوروبية للهوية الرقمية (EUDIW): يجب على مقدمي الخدمات الراغبين في التفاعل مع المحفظة المستقبلية إثبات توافقهم مع المواصفات التقنية التي نشرتها المفوضية (ARF — إطار العمارة والمرجع، v1.4، 2024).
• تعزيز الإشراف: تتمتع السلطات الوطنية للإشراف (في فرنسا، ANSSI) بسلطات تحقيق وإنفاذ معززة. يمكن إجراء تدقيقات مفاجئة على مقدمي الخدمات المؤهلين.
• تقليل المواعيد النهائية للإخطار: يجب إبلاغ أي حادث أمان ذي دلالة إحصائية للسلطة المختصة في غضون 24 ساعة (مقابل 72 ساعة في النسخة السابقة لبعض الحوادث).

للحصول على نظرة عامة على اللائحة، يقدم دليل eIDAS 2.0 من Certyneo ملخصاً تعليمياً لجميع هذه التطورات.

مستويات الضمان وتأثيراتها على الشهادة

التمييز بين التوقيع الإلكتروني المتقدم والمؤهل يبقى محور النظام. فقط التوقيع المؤهل (QES) يتمتع بافتراض قانوني لسلامة وإسناد التوقيع يعادل التوقيع بخط اليد (المادة 25 من لائحة eIDAS 2). هذا الافتراض يكون مشروطاً مباشرة بشهادة مقدم الخدمة.

| المستوى | القيمة الإثباتية | متطلبات مقدم الخدمة | |---|---|---| | بسيط (SES) | محدودة | لا توجد | | متقدم (AdES) | كبيرة | الممارسات الجيدة + معايير ETSI | | مؤهل (QES) | قصوى (افتراض قانوني) | شهادة eIDAS 2 إلزامية |

---

عملية الشهادة eIDAS 2 خطوة بخطوة

الخطوة 1 — المتطلبات التنظيمية والتقنية

قبل الشروع رسمياً في عملية الشهادة، يجب على مقدم الخدمة تدقيق مستوى نضجه على ثلاثة محاور:

1. التوافق مع معايير ETSI تشكل معايير سلسلة EN 319 الأساس التقني الذي لا يمكن تجاهله. والمعايير الرئيسية هي:

• ETSI EN 319 401: المتطلبات العامة لمقدمي خدمات الثقة
• ETSI EN 319 411-1 و 411-2: السياسات والمتطلبات لسلطات الشهادات التي تصدر شهادات (ملامح PTC-QC للشهادات المؤهلة)
• ETSI EN 319 421: السياسة والمتطلبات لمقدمي خدمات الطابع الزمني
• ETSI EN 319 132: تنسيقات التوقيع XAdES (XML) والسلسلة المرتبطة CAdES (CMS) و PAdES (PDF)

التوافق مع هذه المعايير ليس اختيارياً لمقدمي الخدمات المؤهلين: فهو مطلوب صراحة من قبل أعمال تنفيذ المفوضية الأوروبية.

2. أمان أنظمة المعلومات يجب أن تكون أجهزة إنشاء التوقيع المؤهل (QSCD) معتمدة وفقاً لمعايير Common Criteria (CC) EAL4+ أو ما يعادلها. بالنسبة لحلول التوقيع من بُعد — النموذج السائد في SaaS — تشمل المتطلبات أيضاً وحدات HSM (وحدات الأمان الصلبة) وإجراءات إدارة مفاتيح التشفير (توافق FIPS 140-2 المستوى 3 على الأقل).

3. سياسة الأمان (PSSI) وإدارة المخاطر يتطلب ملف الشهادة سياسة أمان رسمية، متوافقة مع ISO/IEC 27001 (التي توصي بقوة بالحصول على شهادتها وأحياناً تكون مطلوبة من قبل CAB) وتدمج متطلبات NIS2 للكيانات المصنفة كـ "مهمة" أو "حيوية".

الخطوة 2 — اختيار والتزام هيئة تقييم المطابقة (CAB)

في فرنسا، هيئات تقييم المطابقة المعتمدة من قبل COFRAC (اللجنة الفرنسية للاعتماد) لتقييم مقدمي خدمات الثقة قليلة في العدد. على سبيل المثال، LSTI (مختبر أمان تكنولوجيا المعلومات) و Bureau Veritas Certification يشملان جهات عاملة مرجعية. على الصعيد الأوروبي، ينشر كل دولة عضو قائمة بهيئات تقييم المطابقة المخطر بها.

دور هيئة تقييم المطابقة هو إجراء تدقيق المطابقة في مرحلتين:

1. فحص الوثائق (المرحلة 1): فحص السياسات والإجراءات وإعلان ممارسات الشهادة (DPC / CPS) والأدلة التقنية.
2. التدقيق في الموقع (المرحلة 2): التحقق من الضوابط التشغيلية واختبارات الاختراق والمقابلات مع الفرق.

يختلف المدة الإجمالية لتدقيق هيئة تقييم المطابقة عموماً من 4 إلى 8 أسابيع حسب النضج السابق للمرشح.

الخطوة 3 — المراجعة من قبل السلطة الوطنية للإشراف

في فرنسا، هي ANSSI (الوكالة الوطنية الفرنسية لأمان أنظمة المعلومات) التي تقوم بمراجعة طلبات التسجيل على قائمة الثقة الوطنية (TSL FR). بناءً على تقرير تدقيق هيئة تقييم المطابقة، تجري ANSSI تحليلها الخاص وقد تطلب معلومات إضافية أو تدابير تصحيحية.

المدة التنظيمية للمراجعة هي 3 أشهر من استقبال ملف كامل (المادة 17 من لائحة eIDAS 2). في الممارسة العملية، غالباً ما تكون المواعيد الفعلية أطول إذا كان الملف الأولي غير كامل.

بمجرد التسجيل على قائمة الثقة الوطنية، يتم تسجيل مقدم الخدمة تلقائياً في EUTL (قائمة الثقة الأوروبية)، المنشورة من قبل المفوضية الأوروبية، مما يمنحه اعترافاً عابراً للحدود فوراً في الدول الأعضاء الـ 27.

الخطوة 4 — الحفاظ على التأهيل والتجديد

شهادة eIDAS 2 ليست نهائية. يخضع مقدمو الخدمات المؤهلون إلى:

• تدقيق الرقابة السنوي يجريه CAB
• تدقيق التجديد الكامل كل 24 شهر (دورة مختصرة مقارنة بالممارسة السابقة)
• فحوصات مفاجئة محتملة بمبادرة من ANSSI

أي تعديل جوهري على البنية التحتية (تغيير HSM وتطور PKI وخدمة مؤهلة جديدة) يثير إجراء إخطار مسبق وقد يفرض تدقيقاً جزئياً.

---

التكاليف والمواعيد والعوامل المخاطرة: ما يجب على مديري الأنظمة توقعه

الميزانية والموارد البشرية

تكلفة الشهادة الأولى لـ eIDAS 2 كبيرة. تتضمن بنود النفقات:

• تدقيق CAB: بين 40,000 € و 120,000 € حسب تعقيد النطاق
• الامتثال التقني (HSM وPKI وQSCD معتمدة CC): من 80,000 € إلى مئات الآلاف من اليورو لبنية تحتية خاصة
• شهادة ISO 27001 (موصى بها كمقدمة): 15,000 إلى 50,000 € حسب الحجم
• رسوم الاستشارات القانونية وتحرير DPC: 10,000 إلى 30,000 €
• التكاليف الداخلية: تعبئة فريق مخصص (RSSI وDPO ومسؤول الامتثال) لمدة 12 إلى 18 شهراً

بدمج جميع هذه البنود، تمثل الشهادة الكاملة استثماراً إجمالياً بحوالي 200,000 إلى 500,000 € لمقدم خدمات بحجم متوسط، بدون احتساب التكاليف المتكررة للصيانة.

عوامل المخاطر التشغيلية

الأسباب الأكثر شيوعاً للفشل أو التأخير في إجراءات الشهادة هي:

1. DPC غير كافية التفصيل: يجب أن توثق إعلان ممارسات الشهادة كل تحكم بدقة أحياناً ما تكون أقل من المتوقع.
2. الثغرات في إدارة دورة حياة المفاتيح: الإلغاء والحفظ والتدمير الآمن للمفاتيح الخاصة.
3. حوكمة الحوادث غير الكافية: عدم وجود SIEM وعدم وجود إجراءات إدارة الأزمات المختبرة وRunbooks.
4. التقليل من أهمية NIS2: منذ أكتوبر 2024، يتم تصنيف مقدمي خدمات الثقة المؤهلين تلقائياً كيانات "مهمة" بموجب توجيه NIS2، مع التزامات إضافية للإبلاغ وإدارة المخاطر.

بالنسبة للشركات التي تفضل تفويض هذه القيود إلى مقدم خدمة معتمد بالفعل بدلاً من بناء بنيتها التحتية الخاصة، يساعد مقارنة حلول التوقيع الإلكتروني المتاحة على Certyneo في موضوعية هذا الاختيار بين الإنشاء والشراء.

---

eIDAS 2 والتوقيع الإلكتروني في المؤسسة: قضايا الانتقال

بالنسبة للمؤسسات المستخدمة — على عكس مقدمي الخدمات — فإن شهادة eIDAS 2 لموفر خدمات التوقيع الإلكتروني عبر الإنترنت (SaaS) أصبحت معياراً لا غنى عنه لاختيار المورد. أصبح دمج بند في طلبات العروض يتطلب التسجيل على قائمة الثقة الوطنية ممارسة قياسية في القطاعات الخاضعة للتنظيم (المالية والصحة والعقارات).

فرض التوقيع الإلكتروني في المؤسسة بالفعل التمييز الواضح بين حالات الاستخدام التي تتطلب QES — الأفعال الخاصة ذات المخاطر العالية والوكالات والأفعال الموثقة إلكترونياً — والتي تكفي فيها AdES. تحدد هذه الخريطة لحالات الاستخدام مباشرة مستوى الخدمة المطلوب عقدياً من مقدم الخدمة.

يجب على المنظمات التي تنتقل من حل موجود إلى مقدم خدمة معتمد eIDAS 2 أن تتوقع أيضاً إمكانية نقل أرشيفات الأدلة. دليل الهجرة من DocuSign أو YouSign إلى Certyneo يوضح الممارسات الجيدة للحفاظ على القيمة الإثباتية للمستندات الموقعة بالفعل أثناء الانتقال.

الإطار القانوني للشهادة eIDAS 2

النصوص الأساسية

تعتمد شهادة مقدمي خدمات الثقة على تراكم معايير كثيفة يجب إتقانها بشكل كامل:

لائحة (الاتحاد الأوروبي) 2024/1183 بتاريخ 11 أبريل 2024 (eIDAS 2): نص مرجعي يلغي ويحل محل الأحكام المقابلة للائحة 910/2014. يحدد شروط الحصول على الحفاظ على مركز مقدم خدمات مؤهل وواجبات الإشراف الوطني والمتطلبات المتعلقة بالخدمات الجديدة (EUDIW وAEA).

لائحة (EU) رقم 910/2014 (eIDAS 1): لا تزال قابلة للتطبيق جزئياً للأحكام غير المعدلة؛ تبقى الأعمال التنفيذية والمفوضة المعتمدة بموجب هذه اللائحة نافذة حتى إعادة مراجعتها الرسمية.

القانون المدني الفرنسي، المواد 1366 و 1367: تضع المادة 1366 مبدأ مكافئ التوقيع الإلكتروني للتوقيع بخط اليد بشرط الموثوقية؛ تحدد المادة 1367 أن الموثوقية يفترض إثباتها حتى يثبت العكس عند استخدام التوقيع المؤهل. تتشابك هذه الأحكام الوطنية مباشرة مع افتراض المادة 25 من eIDAS 2.

توجيه (EU) 2022/2555 (NIS2): تم نقله إلى القانون الفرنسي بموجب قانون 15 أكتوبر 2024، حيث يصنف تلقائياً مقدمي خدمات الثقة المؤهلين من بين الكيانات المهمة. الالتزامات: الإبلاغ إلى ANSSI في غضون 72 ساعة لأي حادث كبير وإنشاء إدارة مخاطر سايبر منهجية والتدقيق الأمني الدوري.

لائحة (EU) 2016/679 (GDPR): يتعامل مقدمو خدمات التوقيع مع بيانات شخصية حساسة (هوية الموقعين وسجلات التدقيق). يفرض احترام مبادئ التقليل والتحديد الزمني والتكامل تحليل التأثير المحدد (AIPD). يجب توثيق الأساس القانوني للمعالجة لكل خدمة.

المعايير التقنية ذات القيمة التنظيمية

تعيّن أعمال تنفيذ المفوضية الأوروبية (بخاصة قرار التنفيذ (EU) 2015/1506 وتعديلاته) معايير ETSI كمفترضة للامتثال:

• ETSI EN 319 401: متطلبات عامة TSP
• ETSI EN 319 411-1 و 411-2: سياسات الشهادة
• ETSI EN 319 421: الطابع الزمني المؤهل
• ETSI EN 319 132 / 122 / 102: تنسيقات AdES (XAdES وCAdES وPAdES وASiC)
• ETSI TS 119 431: خدمات التوقيع عن بُعد

المخاطر القانونية في حالة عدم الامتثال

يعرض الاستخدام الاحتيالي أو الإهمالي لمركز مقدم خدمات مؤهل للعقوبات الإدارية التي تقررها ANSSI (الإيقاف المؤقت والحذف من قائمة الثقة) والمقاضاة الجنائية (المادة 226-17 من القانون الجنائي لعدم الأمان في البيانات الشخصية). من الناحية المدنية، قد يعرض الطعن في القيمة الإثباتية للتوقيعات الصادرة خلال فترة عدم الامتثال المسؤولية العقدية لمقدم الخدمة تجاه عملائه.

سيناريوهات الاستخدام: شهادة eIDAS 2 عملياً

السيناريو 1 — محرر SaaS بحجم متوسط يستهدف التأهيل QES

تقرر شركة متخصصة في إلغاء الورق والتوثيق، توظف حوالي مائة موظف وتدير ملايين معاملات التوقيع سنوياً لعملاء في قطاعات البنوك والتأمين، طلب التأهيل eIDAS 2 لخدمة التوقيع الإلكتروني. حتى الآن، كانت الشركة تقترح توقيعاً متقدماً على أساس الشهادات (AdES)، كافٍ لمعظم العقود مع العملاء، لكن غير كافٍ للأفعال التي تتطلب قيمة إثباتية قصوى (تفويضات SEPA والاتفاقيات الموثقة).

بعد تدقيق داخلي لمدة 3 أشهر كشف حوالي 15 اختلافات كبيرة عن متطلبات ETSI EN 319 411-2، تبدأ الشركة برنامج توافق على مدى 14 شهراً. تتعلق المشاريع الرئيسية بدعم أجهزة HSM الموجودة بوحدات معتمدة FIPS 140-2 المستوى 3، وصياغة DPC بـ 180 صفحة، والحصول على شهادة ISO 27001 قبل تدقيق CAB. يصل الاستثمار الإجمالي إلى 340,000 €. عند الانتهاء من العملية، يسمح التسجيل على قائمة الثقة الفرنسية للشركة بالوصول إلى طلبات عروض كانت مستبعدة منها بشكل منهجي، مما يمثل إمكانية تجارية تقدر بـ 20٪ إيرادات إضافية.

السيناريو 2 — مجموعة مستشفيات متكاملة تدمج التوقيع المؤهل للأفعال الطبية والقانونية

تسعى مجموعة مستشفيات تضم حوالي 1,200 سرير إلى إلغاء الورق من عمليات الموافقة المستنيرة والتفويضات الطبية وعقود البحث السريري. تقع هذه الوثائق في فئة الأفعال التي يتم تطلب أو التوصية بقوة فيها QES من قبل المعايير المرجعية HAS والإطار القانوني لبيانات الصحة (المادة L. 1110-4 من قانون الصحة العامة).

بدلاً من تشهيد بنية تحتية داخلية — الخيار الذي يعتبره العديد من المنظمات مكلفاً جداً وخارج نطاق التخصص — تختار المجموعة التكامل مع مزود خدمات تابع لجهة أخرى مسجل بالفعل على قائمة الثقة. تقوم DSI بتدقيق امتثال الموفر على أساس قائمة فحص ETSI EN 319 401 والتحقق من الوجود الفعلي على EUTL قبل أي عقد. يتم النشر، الذي يتم خلال 4 أشهر، يقلل بنسبة 65٪ من المدة المستغرقة لجمع التوقيعات على ملفات البحث السريري ويلغي مخاطر الطعن القانوني المتعلقة بالاستخدام السابق للتوقيعات البسيطة للأفعال الحساسة.

السيناريو 3 — مكتب محاماة متخصص في قانون الأعمال يؤمن أفعاله الخاصة

يسعى مكتب محاماة متخصص في قانون الأعمال يضم حوالي ثلاثين شريك، يتعامل سنوياً مع حوالي 400 عملية دمج وا