مزودو خدمات eIDAS المؤهلون: القائمة الرسمية 2026

لماذا تكون حالة "المؤهل" eIDAS حاسمة لمؤسستك؟

منذ دخول اللائحة eIDAS (رقم 910/2014) حيز التنفيذ، أعادت السوق الأوروبية للتوقيع الإلكتروني هيكلة نفسها بعمق حول تسلسل هرمي ثلاثي المستويات: التوقيع الإلكتروني البسيط (SES)، والتوقيع الإلكتروني المتقدم (AES)، والتوقيع الإلكتروني المؤهل (QES). الأخير فقط يتمتع بـ افتراض قانوني بالمعادلة مع التوقيع اليدوي في جميع الدول الأعضاء في الاتحاد الأوروبي.

لكي تتمكن المؤسسة من تقديم التوقيعات المؤهلة، يجب أن تكون قد خضعت للتدقيق وتم تسجيلها في قائمة الثقة (Trust List) في دولتها الأعضاء. في فرنسا، الوكالة الوطنية لأمن أنظمة المعلومات (ANSSI) هي التي تدير هذا السجل الرسمي، والذي يُعاد نشره بدوره في القائمة الأوروبية المركزية التي تديرها المفوضية الأوروبية.

فهم هذه البنية أساسي قبل التوقيع على أي عقد تجاري حساس. للمزيد حول الأسس التنظيمية، يوضح دليلنا الشامل حول اللائحة eIDAS 2.0 جميع الالتزامات والتطورات التي قدمتها اللائحة المعدلة eIDAS 2.0 (اللائحة الأوروبية 2024/1183).

---

كيف يتم اعتماد مزودي خدمات الثقة المؤهلين؟

الطريق نحو حالة مزود خدمة ثقة مؤهل (PSCQ) صعب. يتطلب تدقيقاً يقوم به هيئة تقييم المطابقة معتمدة (CAB)، وفقاً للمعايير ETSI EN 319 401 (المتطلبات العامة) و ETSI EN 319 411-2 للشهادات المؤهلة.

مراحل التأهيل من ANSSI

1. إيداع ملف التأهيل: يقدم مزود الخدمة وثائقه التقنية والأمنية والتنظيمية إلى ANSSI.
2. التدقيق من قبل هيئة CAB معتمدة: تتحقق جهة خارضة — مثل Bureau Veritas أو LSTI أو Apave Certification — من المطابقة في الموقع وعلى الوثائق.
3. قرار التأهيل: تصدر ANSSI قرار التأهيل وتسجل مزود الخدمة على قائمة الثقة الفرنسية (TL-FR).
4. التجديد الدوري: يتم إعادة تقييم التأهيل، عموماً كل سنتين، لضمان الحفاظ على المتطلبات.

ماذا يتحقق التدقيق بالضبط؟

يفحص المدقق بشكل خاص:

• الأمان المادي لمراكز البيانات التي تستضيف المفاتيح التشفيرية (وحدات HSM معتمدة CC EAL 4+ أو FIPS 140-2 Level 3 كحد أدنى) ؛
• سياسات الشهادات (CP) و إقرارات ممارسات الشهادات (CPS) التي ينشرها مزود الخدمة ؛
• إجراءات التحقق من الهوية للموقعين (وجهاً لوجه أو التحقق من الهوية عن بُعد المطابق للمعيار EN 419 241-1) ؛
• إدارة الإلغاء وتوفر خدمات OCSP/CRL.

تشرح هذه المعايير لماذا يصل عدد قليل فقط من الجهات الفاعلة إلى هذا المستوى من الاعتماد والحفاظ عليه في فرنسا.

---

مزودو خدمات eIDAS المؤهلون المسجلون في فرنسا في 2026

يمكن الاطلاع على قائمة مزودي الخدمات المؤهلين الرسمية في أي وقت على بوابة المفوضية الأوروبية الرسمية (eidas.ec.europa.eu/efts)، بالتصفية حسب "فرنسا" والخدمة "QCertESig" (شهادة مؤهلة للتوقيع الإلكتروني). فيما يلي الجهات الفاعلة التي ظهرت في السجل في وقت كتابة هذا المقال (يونيو 2026):

الجهات الفاعلة الفرنسية المسجلة على قائمة الثقة

| مزود الخدمة | نوع الخدمة المؤهلة | الخصوصية | |---|---|---| | Certigna (Dhimyotis) | شهادات مؤهلة، طابع زمني مؤهل | مجموعة La Poste، معتمد من eIDAS منذ 2016 | | Certinomis | شهادات مؤهلة | شركة تابعة لـ La Poste، موجهة نحو القطاع العام | | ChamberSign France | شهادات مؤهلة | شبكة غرف التجارة والصناعة، ارتباط قوي بالمؤسسات الصغيرة والمتوسطة | | Keynectis / DocuSign France | شهادات مؤهلة | استحوذت عليها DocuSign، الحفاظ على علامة ANSSI | | Universign (Tessi) | شهادات مؤهلة، طابع زمني | رائد السوق، متكامل مع مجموعة Tessi | | Entrust (ex-Datacard) | شهادات مؤهلة | جهة فاعلة دولية، قائمة ثقة متعددة الدول الأعضاء | | Oodrive Sign | شهادات مؤهلة | محرر فرنسي ذو سيادة، معتمد من SecNumCloud |

> تحذير: تُقدم هذه القائمة لأغراض إرشادية وإعلامية فقط. فقط قائمة الثقة الرسمية للمفوضية الأوروبية ملزمة. تحقق دائماً من الحالة الحالية على بوابة ETSI قبل أي التزام تعاقدي.

مزودو الخدمات الأجانب المعترف بهم في فرنسا عبر قائمة الثقة الأوروبية

بموجب مبدأ الاعتراف المتبادل الذي وضعته المادة 25 من اللائحة eIDAS، فإن التوقيع المؤهل الذي يصدره مزود خدمة ثقة مؤهل مسجل على قائمة الثقة في دولة عضو أخرى ينتج نفس الآثار القانونية في فرنسا. من بين الجهات الفاعلة غير الفرنسية المستخدمة بشكل متكرر:

• Namirial (إيطاليا): قوية في التوقيع المؤهل عن بُعد (QES remote signing) ؛
• SwissSign (سويسرا): انتبه، سويسرا ليست عضواً في الاتحاد الأوروبي؛ الاعتراف جزئي ؛
• Qualified.one / Asseco Data Systems (بولندا): جهة فاعلة عامة أوروبية، متكررة في الأسواق عبر الحدود.

لمقارنة هذه الحلول حسب احتياجاتك التجارية، راجع المقارنة الشاملة لحلول التوقيع الإلكتروني التي تحلل معايير السعر والامتثال والتكامل API.

---

كيف تختار مزود خدمة eIDAS المؤهل الصحيح لمؤسستك؟

الظهور على قائمة الثقة شرط ضروري، لكنه غير كافٍ. يجب أن يعتمد اختيار مزود خدمة ثقة مؤهل على عدة معايير إضافية.

المعايير التقنية والتكاملية

• API REST أو SDK متاح: ضروري لأتمتة التوقيع في سير العمل التجاري الخاص بك (ERP، SIRH، CRM) ؛
• تنسيقات التوقيع المدعومة: PAdES لملفات PDF، XAdES لـ XML، CAdES للملفات الثنائية — جميعها معايير موحدة من ETSI EN 319 100 ؛
• توفر الخدمة: SLA أعلى من 99.9٪ مضمون تعاقدياً، مع فترات صيانة محددة خارج ساعات العمل ؛
• استضافة البيانات: فضّل استضافة في فرنسا أو داخل الاتحاد الأوروبي، مثالياً معتمد من SecNumCloud للبيانات الحساسة.

المعايير القانونية والامتثال

• تحقق من أن مزود الخدمة يوفر تقرير تأهيل محدث (أقل من 24 شهراً) ؛
• اطلب سياسة شهادات منشورة (CP) يمكن الوصول إليها علناً وتم تدقيقها ؛
• تأكد من أن الشروط العامة تنص بوضوح على إصدار شهادات مؤهلة بمعنى الملحق الأول من لائحة eIDAS.

المعايير التشغيلية والدعم

• إجراء تسجيل الموقعين: وجهاً لوجه في الوكالة، أو تحديد الهوية بالفيديو المطابق لـ eIDAS أو NFC من وثيقة الهوية الإلكترونية ؛
• الدعم باللغة الفرنسية مع مهل زمنية للاستجابة محددة تعاقدياً ؛
• التدريب والتوثيق المتاحة لفريقك القانوني وفريق تكنولوجيا المعلومات.

إذا كانت مؤسستك تدير تدفقات مستندات الموارد البشرية الكبيرة، فإن صفحتنا المخصصة لـ التوقيع الإلكتروني لفريق الموارد البشرية توضح حالات الاستخدام المحددة (العقود والتعديلات والإدماج) ومستويات التوقيع الموصى بها حسب نوع الوثيقة.

---

eIDAS 2.0: ما هي التغييرات لمزودي الخدمات المؤهلين في 2026؟

تقدم لائحة eIDAS 2.0 (اللائحة الأوروبية 2024/1183، التي دخلت التطبيق التدريجي منذ مايو 2024) عدة تطورات هيكلية تؤثر بشكل مباشر على مزودي خدمات الثقة المؤهلين وعملائهم.

محفظة الهوية الرقمية الأوروبية (EUDI Wallet)

تفرض المادة 6a من اللائحة المعدلة على الدول الأعضاء أن توفر، بحلول سبتمبر 2026، محفظة هوية رقمية (EUDI Wallet) معترف بها في جميع أنحاء الاتحاد الأوروبي. بالنسبة لمزودي الخدمات المؤهلين، هذا يعني:

• الالتزام بـ قبول سمات الهوية من المحفظة كإثبات للهوية لتسجيل الموقعين ؛
• ظهور خدمة مؤهلة جديدة: إصدار شهادات السمات المؤهلة (Qualified Electronic Attestation of Attributes، QEAA).

خدمات مؤهلة جديدة وتوسيع النطاق

تعيد لائحة eIDAS 2.0 صياغة قائمة خدمات الثقة المؤهلة لتشمل:

• خدمات الأرشفة الإلكترونية المؤهلة (QPDS، المادة 45f) ؛
• خدمات إدارة أجهزة إنشاء التوقيع عن بُعد (QRCD).

تمثل هذه التطورات قيداً على المطابقة (آجال ضيقة لمزودي الخدمات الحاليين) وفرصة للتمايز بالنسبة للوافدين الجدد القادرين على دمج المواصفات التقنية المنشورة بسرعة من قبل ENISA و ETSI.

بالنسبة للمؤسسات التي تفكر في الهجرة من منصة موجودة إلى حل أكثر امتثالاً، يقدم دليل الهجرة من DocuSign أو YouSign إلى Certyneo الخطوات الملموسة ونقاط الحذر التنظيمية.

الإطار القانوني المعمول به على مزودي خدمات eIDAS المؤهلين

لائحة eIDAS والقانون الأوروبي

الأساس القانوني هو اللائحة (EU) رقم 910/2014 من البرلمان الأوروبي والمجلس المؤرخة 23 يوليو 2014 بشأن الهوية الإلكترونية والخدمات الموثوقة للمعاملات الإلكترونية في السوق الداخلية (ما يسمى "لائحة eIDAS")، كما عدلت بموجب اللائحة (EU) 2024/1183 (eIDAS 2.0). هذه اللائحة قابلة للتطبيق المباشر في جميع الدول الأعضاء دون نقل وطني.

أحكامها الرئيسية لمزودي الخدمات المؤهلين:

• المادة 17: التزام كل دولة عضو بتعيين هيئة إشرافية (في فرنسا، ANSSI) ؛
• المادة 20: إجراء الإشراف والتدقيق والتسجيل على قائمة الثقة ؛
• المادة 25: افتراض المعادلة بين QES والتوقيع اليدوي، مع تأثير قانوني مضمون في جميع أنحاء الاتحاد الأوروبي ؛
• الملحق الأول: المتطلبات المتعلقة بالشهادات المؤهلة للتوقيع الإلكتروني ؛
• الملحق الثاني: المتطلبات المتعلقة بأجهزة إنشاء التوقيع المؤهل (QSCD).

القانون الفرنسي

على المستوى الداخلي، يتم تنظيم التوقيع الإلكتروني بموجب:

• القانون المدني، المواد 1366 و 1367: تعترف المادة 1366 بالقيمة الإثباتية للكتابة الإلكترونية بشرط ضمان هوية المؤلف وسلامة الوثيقة. توضح المادة 1367 أن التوقيع الإلكتروني الذي يتكون من طريقة موثوقة للتحديد يستفيد من افتراض الموثوقية عندما يتم إنشاؤه وفقاً للمرسوم التطبيقي ؛
• المرسوم رقم 2017-1416 الصادر في 28 سبتمبر 2017: يحدد الشروط التي بموجبها يُفترض أن التوقيع الإلكتروني المؤهل موثوق به في فرنسا، مع الإحالة صراحة إلى اللائحة eIDAS ؛
• الأمر رقم 2005-674 الصادر في 16 يونيو 2005 المتعلق بتنفيذ بعض الإجراءات التعاقدية بطريقة إلكترونية.

حماية البيانات الشخصية

تتطلب عمليات التسجيل والتوقيع معالجة البيانات الشخصية (بيانات الهوية والبيانات البيومترية لتحديد الهوية بالفيديو). يخضع مزود الخدمة المؤهل للائحة (EU) 2016/679 (GDPR) ويجب عليه بشكل خاص:

• تعيين مسؤول حماية البيانات إذا كانت المعالجة على نطاق واسع ؛
• توثيق المعالجات في السجل بدائرة حماية البيانات ؛
• تنظيم التحويلات خارج الاتحاد الأوروبي بضمانات مناسبة (البنود التعاقدية النموذجية، قرار الكفاية).

الأمن السيبراني والقدرة على الصمود

منذ أكتوبر 2024، تنطبق توجيهية NIS2 (2022/2555/UE) على مزودي خدمات الثقة المؤهلين، المصنفين كجهات حيوية. يجب عليهم تنفيذ تدابير إدارة مخاطر الأمن السيبراني، وإخطار ANSSI بالحوادث المهمة في غضون 24 ساعة، والخضوع لتدقيقات منتظمة. يعرّض عدم الامتثال لغرامات قد تصل إلى 10 ملايين يورو أو 2٪ من الإيرادات العالمية السنوية.

معايير تقنية مرجعية

• ETSI EN 319 401: المتطلبات العامة لمزودي خدمات الثقة ؛
• ETSI EN 319 411-2: ملف السياسة للشهادات المؤهلة ؛
• ETSI EN 319 132: تنسيقات التوقيع XAdES ؛
• ETSI EN 319 122: تنسيقات التوقيع CAdES ؛
• ETSI EN 319 162: تنسيقات التوقيع PAdES (PDF).

سيناريوهات الاستخدام: متى يكون التوقيع الإلكتروني المؤهل eIDAS ضرورياً؟

السيناريو 1 — مكتب محاماة يدير أوراق بقيمة إثباتية عالية

يتعامل مكتب محاماة متخصص في الأعمال، يضم حوالي عشرين متعاونين، كل شهر مع عشرات التنازلات عن الأسهم والبروتوكولات الاتفاقية واتفاقيات ضمان الأصول والالتزامات (GAP). تشمل هذه الوثائق مبالغ غالباً ما تتجاوز عدة مئات من آلاف اليورو وقد تكون موضوع طعن قضائي.

قبل الهجرة إلى مزود خدمة eIDAS مؤهل، كان المكتب يستخدم حل توقيع متقدم (AES)، وهو ما يكفي لمعظم الوثائق العادية. بعد حادثة اعترضت فيها الطرف الآخر على صحة التوقيع خلال نزاع، قرر المكتب استخدام QES لجميع الوثائق ذات الأهمية العالية. النتيجة: تقليل بنسبة 90٪ من الوقت المستغرق لتقديم أدلة التوقيع أثناء الإجراءات القضائية، بفضل الافتراض القانوني الذي لا يقبل الطعن المرتبط بـ QES. تم دمج التكلفة الإضافية لكل توقيع (حوالي 2 إلى 5 يورو حسب الأحجام) بالكامل في انخفاض رسوم الاعتراضات.

السيناريو 2 — شركة متوسطة الحجم تدير العقود الموردة عبر الحدود

كانت شركة متوسطة الحجم (ETI) في قطاع المعدات الصناعية، مع موردين في فرنسا وألمانيا وإيطاليا وبولندا، حتى الآن تُرسل عقودها الإطارية بالبريد البريدي أو تنظم اجتماعات توقيع شخصياً، مما يولد تأخيرات من 10 إلى 21 يوم عمل لكل عقد.

بنشر حل متصل بمزود خدمة ثقة مؤهل أوروبي مسجل على قائمة الثقة، قلّصت الشركة دورة التوقيع إلى أقل من 48 ساعة في المتوسط. يضمن الاعتراف المتبادل بين الدول الأعضاء القيمة القانونية دون الحاجة إلى شرعنة إضافية. على محفظة تتضمن 350 عقداً موردياً سنوياً، يتجاوز المكسب المقدر في تكاليف إدارية واللوجستيات 40000 يورو سنوياً، وفقاً لنطاقات متسقة مع الدراسات القطاعية التي نشرتها ACFE و APQC.

السيناريو 3 — مجمع مستشفي يخضع لمتطلبات قطاع الصحة

يجب على مجمع مستشفي يضم حوالي 1200 سرير أن يوقع إلكترونياً على المشتريات العامة واتفاقيات البحث السريري وعقود الممارسين الاستشاريين. تخضع هذه الوثائق لقانون المشتريات العامة، الذي يتطلب توقيعاً إلكترونياً يتوافق مع RGS (الإطار المرجعي العام للأمان) بالمستوى ** أو، منذ إلغاء ورقية المشتريات العامة، بمستوى معادل eIDAS.

من خلال الاعتماد على مزود خدمة ثقة مؤهل مسجل على قائمة الثقة الفرنسية، يضمن المجمع الامتثال لمادة R. 2132-7 من قانون المشتريات العامة مع تقليل أوقات التوقيع على المشتريات من 15 يوماً إلى أقل من 72 ساعة. سمح التكامل API مع نظام المعلومات المستشفوي (SIH) بأتمتة إرسال ومتابعة الوثائق، مما حرر حوالي 0.4 وحدة عمل كاملة على المهام الإدارية المتعلقة بالعقود.

الخلاصة

اختيار مزود خدمة eIDAS مؤهل ليس مجرد عملية شراء برمجية: إنه قرار استراتيجي يعني القيمة الإثباتية لوثائقك والامتثال التنظيمي لمؤسستك وثقة شركائك التجاريين والمؤسسيين. في 2026، مع التطبيق التدريجي لـ eIDAS 2.0 والالتزامات الجديدة لـ NIS2، لا يزال مستوى المتطلب يزداد.

النقاط الأساسية التي يجب تذكرها: تحقق دائماً من التسجيل على قائمة الثقة الرسمية، اطلب سياسة شهادات منشورة، وكيّف مستوى التوقيع (QES أو AES أو SES) حسب الأهمية القانونية لكل وثيقة.

يرافقك Certyneo في هذه العملية بإعطائك الوصول إلى شهادات مؤهلة عبر مزودي خدمات ثقة مرجعيين، وواجهة برمجية ق