Съответствие с eIDAS за МСП: пълният контролен списък за 2026 г

Европейският регламент за eIDAS (EU № 910/2014, който скоро ще бъде изменен с eIDAS 2.0) регулира електронните подписи в целия Европейски съюз. За МСП съответствието не е просто кутия за проверка: това е гаранция, че договорите му са изпълними, че данните за подписа му са защитени и че се защитава срещу правни рискове, които могат да бъдат скъпи. Ето контролния списък за 2026 г. в 12 конкретни точки, за да проверите дали вашето МСП е напълно съвместимо с eIDAS.

Точка 1: изберете правилното ниво на подпис

Първи рефлекс: картографирайте типовете си договори и асоциирайте целево ниво. Стандартни търговски договори (оферти, поръчки за покупка, прости NDA): SES е достатъчно. Трудови договори, лизинг, чувствителни NDA, стратегически споразумения: минимум AES, за предпочитане с OTP SMS. Нормативни актове (адвокат, нотариус, обществени поръчки над праг): Задължителен КЕП. Без това съпоставяне рискувате да станете по-ниски (отказан договор) или надвишени (прекомерни разходи).

Точка 2: проверете квалификацията на доставчика на услуги

Вашият доставчик на услуги трябва да е доверен доставчик на услуги (QTSP) или да разчита на QTSP за AES/QES нива. Консултирайте се със Списъка на доверителните услуги, публикуван от ANSSI (eidas.ssi.gouv.fr) и Европейския списък с доверителни услуги (webgate.ec.europa.eu/tl-browser). Френските референтни QTSP: Certigna, Docaposte, Certinomis, Universign. За SES/AES чрез платформа (Certyneo, Yousign и др.) проверете тяхното изрично документирано съответствие с eIDAS.

Точка 3: Тествайте одитната пътека

Подпишете тестов плик и вземете одитната пътека (обикновено отделен PDF). Той трябва да съдържа: самоличност и имейл на подписващия, клеймо на всяка стъпка (изпращане, отваряне, валидиране, подпис), IP адрес, потребителски агент, хеш на документа, OTP валидиране, ако е AES. Ако един от тези елементи липсва, доказателствената стойност е отслабена. Certyneo предоставя пълната одитна пътека дори при безплатен план.

Точка 4: контролирайте времевия печат

Времевият печат трябва да бъде издаден от орган за времеви печат (TSA), съвместим с RFC 3161. Времеви печат само от фирмен NTP сървър не е достатъчен. Отворете подписания PDF в Adobe Reader: раздел Подписи → Подробности → Времево клеймо. Трябва да видите валиден TSA сертификат и сертифициран часовник там. Ако PDF файлът няма сертифицирано времево клеймо, отстъпете от избора на доставчик на услуги.

Точка 5: архивирайте най-малко 10 години

Търговският закон (чл. L. 123-22) изисква 10 години съхранение на търговски документи. Кодексът на труда предвижда 5 години за трудови договори след прекратяване. Архивирането трябва да запази целостта (хеш, запечатване) и достъпа. Идеален: PDF/A формат (ISO 19005), двойно съхранение (основно + резервно копие извън сайта), квалифициран електронен сейф (CFE) за максимално доказателство. Certyneo архивира 10 години по подразбиране и предлага експорт към партньори на CFE.

Точка 6: проверете локализацията на данните

Къде се хостват вашите данни за подпис? За френско МСП, което се занимава с чувствителни договори, изберете френски или европейски хостинг. Попитайте вашия доставчик на услуги за списък с подизпълнители и тяхното местоположение (член 28 от GDPR). Избягвайте решения, предмет на Закона за облака на САЩ за стратегически договори. Certyneo се хоства във Франция, без зависимост от Cloud Act. Вижте нашата статия за /blog/cloud-act-signature-electronique.

Точка 7: съгласуване с GDPR

Подписът и GDPR са тясно свързани: всеки плик съдържа лични данни (име, имейл, IP, телефон). Уверете се, че вашият регистър за обработка (чл. 30 от GDPR) включва електронния подпис, че периодите на съхранение са последователни (10 години) и че правата на лицата могат да бъдат приложени (достъп, коригиране, преносимост). Ако изисквате много подписи, се препоръчва DPO. Вижте нашата статия /blog/signature-electronique-rgpd.

Точка 8: идентифицирайте подписващите нагоре по веригата

За солиден AES идентификацията не започва с подписване: тя започва със събиране на данни. Проверявайте имейли (без псевдоними, без пощенски списък), телефонни номера (без споделена линия) и следете източника на идентификация (ID за тежки договори, KYC на съществуващ клиент за текущи договори). Тази надлежна проверка прави доказателствата солидни в случай на спор.

Точка 9: обучете екипите

Вашите търговски, човешки и правни екипи трябва да разбират правилата: никога не принуждавайте подписващия да използва устройство на трета страна, никога не връщайте модифициран подписан PDF, никога не поставяйте сканирано изображение на подпис на мястото на истински подпис. Един час тренировка на отбор е достатъчен, за да възпита добри рефлекси. Certyneo предоставя пълно ръководство за вътрешно споделяне (/ресурси).

Точка 10: проверете договорите на доставчиците на услуги

CGU/CGV на доставчика на услуги за подпис трябва: да инициира съответствие с eIDAS, да посочи периоди на архивиране, да включи споразумение за подизпълнение от GDPR (чл. 28), да документира подизпълнителите, да предостави план за обратимост в случай на прекратяване. Също така поискайте SOC 2 тип II или еквивалент, ако обработвате големи обеми. За Certyneo тези документи са налични на /legal и /security.

Точка 11: подгответе eIDAS 2.0 и портфейла EUDI

Регламентът eIDAS 2.0 (EU 2024/1183) влиза в сила постепенно и изисква от държавите-членки да разположат портфейл EUDI преди края на 2026 г. Този портфейл за цифрова идентичност по-специално ще позволи отдалечен достъп до QES без физически офис за регистрация. Подгответе своето МСП: проверете дали вашият доставчик на услуги има пътна карта за EUDI Wallet, следвайте съобщенията от ANSSI и Европейската комисия. Вижте /blog/eidas-2-nouveau-reglement-2026.

Точка 12: одитирайте ежегодно

Съответствието не е придобит статус: това е непрекъснат процес. Насрочете годишен одит (вътрешен или външен), за да проверите: регулаторни промени, развитие на доставчиците на услуги, актуално картографиране на видовете договори, ефективно задържане, обучение на нови служители. Лекият одит отнема половин ден за МСП и избягва много изненади. Започнете, като създадете безплатен акаунт в Certyneo на адрес certyneo.com/signup, за да тествате съответствието в реалния свят, след което разгледайте нашето ръководство за eIDAS, за да копаете по-дълбоко (/guide/eidas).