eIDAS 2 сертификация доставчик подпис 2026

Защо сертификацията eIDAS 2 променя правилата за доставчиците

От влизането в сила на Регламент (ЕС) 2024/1183 на 11 април 2024 г. — обикновено наричан eIDAS 2 — доставчиците на услуги на доверие (PSC), работещи в Европейския съюз, са изправени пред дълбоко преформатирана нормативна рамка. Преразглеждането на първоначалния регламент eIDAS от 2014 г. не се ограничава до разширяване на обхвата на признатите услуги: той значително затяга условията за аккредитация, въвежда нови нива на гаранция и укрепва изискванията за надзор на национални контролни органи. За всеки участник, който желае да предоставя услуги на квалифицирания електронен подпис (QES) или разширеният (AdES) на европейския пазар, разбирането как да получите сертификация eIDAS 2 за доставчик на подпис вече не е възможност — това е стратегическо задължение.

Тази статия предоставя всеобхватен преглед на пътя на сертификация: приложими текстове, технически стандарти, които трябва да бъдат спазени, ролята на органите за оценка на съответствието (CAB), реалистични сроове и оперативни точки на внимание.

---

Новият нормативен пейзаж на eIDAS 2: какво се промени

От регламент 910/2014 към регламент 2024/1183: основните еволюции

Първоначалният регламент eIDAS (№ 910/2014) постави основите на единния цифров пазар на доверие в Европа. Той определяше три нива на подпис — прост, разширен и квалифициран — и налагаше на квалифицирани доставчици да фигурират в национални списъци на доверие (TSL, Trust Service Lists). eIDAS 2 запазва тази архитектура, но я обогатява в няколко структурни точки:

• Разширяване на квалифицирани услуги: квалифицирано електронно архивиране, електронни удостоверения на атрибути (AEA), дистанционно управление на устройства за създаване на квалифициран подпис (QSCD). Тези нови услуги подлежат на същата процедура за аккредитация като квалифицирания подпис.
• Европейския портфейл за цифрова самоличност (EUDIW): доставчиците, които желаят да взаимодействат с бъдещия портфейл за самоличност, трябва да демонстрират своята съответствие с технически спецификации, публикувани от Комисията (ARF — Architecture and Reference Framework, v1.4, 2024).
• Укрепване на надзора: национални органи за надзор (във Франция ANSSI) разполагат с подсилени правомощия за разследване и принуждение. Квалифицирани PSC могат да подлежат на неочаквани одити.
• Съкратени сроове за известяване: всеки значителен инцидент от сигурност трябва да бъде докладван на компетентния орган в рамките на 24 часа (вместо 72 часа в предишната версия за някои инциденти).

За цялостен преглед на регламента, eIDAS 2.0 ръководството на Certyneo предлага педагогично резюме на всички тези еволюции.

Нивата на гаранция и техните последствия за сертификацията

Разграничението между разширен и квалифициран електронен подпис остава оста на системата. Само QES се ползва от презумпция на законност относно интегритета и приписуемостта, еквивалентна на ръчния подпис (чл. 25 на регламент eIDAS 2). Тази презумпция е преки условия за сертификацията на доставчика.

| Ниво | Доказателствена стойност | Изискване към доставчика | |---|---|---| | Прост (SES) | Ограничена | Никое | | Разширен (AdES) | Значителна | Добра практика + стандарти ETSI | | Квалифициран (QES) | Максимална (презумпция на законност) | Задължителна сертификация eIDAS 2 |

---

Процесът на сертификация eIDAS 2 стъпка по стъпка

Стъпка 1 — Организационни и технически предусловия

Преди да официално начне процесът на сертификация, доставчик трябва да одити своята зрелост на три оси:

1. Съответствие със стандартите ETSI Стандартите от серия EN 319 представляват безспорната технологична основа. Основните са:

• ETSI EN 319 401: общи изисквания за доставчици на услуги на доверие
• ETSI EN 319 411-1 и 411-2: политики и изисквания за органи на удостоверяващ органи, издаващи сертификати (профили PTC-QC за квалифицирани сертификации)
• ETSI EN 319 421: политика и изисквания за доставчици на услуги за времеви печат
• ETSI EN 319 132: формати на подпис XAdES (XML), и свързаната серия CAdES (CMS) и PAdES (PDF)

Съответствието със тези стандарти не е факултативно за квалифицирани доставчици: то е явно съответствие в актовете за изпълнение на Европейската комисия.

2. Безопасност на информационните системи QSCD (устройства за създаване на квалифициран подпис) трябва да бъдат сертифицирани в съответствие с Common Criteria (CC) EAL4+ или еквивалент. За решения на дистанционни подписи — доминиращ модел в SaaS — изискванията също се фокусирам върху модули HSM (Hardware Security Module) и процедури за управление на криптографски ключове (съответствие FIPS 140-2 ниво 3 минимум).

3. Политика на безопасност (PSSI) и управление на рисковете Досиетата за сертификация налагат формализирана PSSI, насочена към ISO/IEC 27001 (чиято сертификация е силно препоръчана и понякога се изисква от CAB) и включването на изисквания на NIS2 за обекти, класифицирани като „важни" или „критични".

Стъпка 2 — Избор и ангажиране на органа за оценка на съответствието (CAB)

Във Франция органите за оценка на съответствието, аккредитирани от COFRAC (Френски комитет за аккредитация) за оценка на доставчици на услуги на доверие, са малко. За пример, LSTI (Laboratoire de Sécurité des Technologies de l'Information) и Bureau Veritas Certification фигурират сред преглежданите участници. В европейския мащаб всяко държавно членство публикува списък на неговите уведомени CAB.

Ролята на CAB е да проведе одит на съответствието в две фази:

1. Преглед на документацията (фаза 1): преглед на политики, процедури, Декларация на практиката на сертификация (DPC / CPS) и технически доказателства.
2. Одит на място (фаза 2): проверка на оперативните контроли, тестове на проникване, беседи с екипи.

Общото време на одита от CAB варира обикновено от 4 до 8 седмици в зависимост от предишната зрелост на кандидата.

Стъпка 3 — Разглеждане от национален надзорен орган

Във Франция това е ANSSI (Национална агенция за информационна сигурност), която разглежда молбите за вписване на национален списък на доверие (TSL FR). На базата на доклада от одит CAB ANSSI проведе собствения анализ и може да поиска допълнителна информация или коригиращи мерки.

Установеният нормативен срок за разглеждане е 3 месеца от получаването на пълно досие (чл. 17 на регламент eIDAS 2). На практика действителните сроове често са по-дълги, ако първоначалното досие е непълно.

След вписване на национален TSL, доставчик се автоматично реферира в EUTL (EU Trusted List), публикуван от Европейската комисия, което му дава незабавно признание в целите 27 държавни членства.

Стъпка 4 — Поддържане на квалификацията и обновяване

Сертификацията eIDAS 2 е постоянна. Квалифицирани доставчици подлежат на:

• Годишен надзорен одит, проведен от CAB
• Пълен одит на обновяване всеки 24 месеца (цикъл съкратен в сравнение с предишната практика)
• Неочаквани контроли, възможни по инициатива на ANSSI

Всякаква съществена промяна в инфраструктурата (смяна на HSM, развитие на PKI, нова квалифицирана услуга) задейства процедура на предварително известяване и може да наложи частичен одит.

---

Разходи, сроове и рискови фактори: какво трябва да предусмотрят DSI

Бюджет и човешки ресурси

Разходът на първа сертификация eIDAS 2 е значителен. Разходните позиции включват:

• Одит CAB: между 40 000 € и 120 000 € в зависимост от сложност на обхвата
• Техническа съответствие (HSM, PKI, сертифицирани QSCD CC): от 80 000 € до няколко стотин хиляди евро за вътрешна инфраструктура
• Сертификация ISO 27001 (препоръчана предварително): 15 000 до 50 000 € в зависимост от размер
• Разходи за правен съвет и редакция DPC: 10 000 до 30 000 €
• Вътрешни разходи: мобилизирана екип (RSSI, DPO, отговорност за съответствието) в течение на 12 до 18 месеца

Събирайки всички тези позиции, пълна сертификация представлява глобален инвестиция на около 200 000 до 500 000 € за среднофирма доставчик, без възвратни разходи на поддържане.

Оперативни рискови фактори

Най-честите причини за неудача или закъснение в процедурите на сертификация са:

1. Недостатъчно детална DPC: Декларацията на практиката на сертификация трябва да документира всеки контрол с понякога недоценена гранулярност.
2. Пропуски в управлението на жизнения цикъл на ключовете: отзов, архивиране, унищожаване на частни ключове.
3. Недостатъчна управление на инцидентите: липса на SIEM, липса на преверени процедури за управление на кризи, липса на runbooks.
4. Недооценяване на NIS2: от октомври 2024 г. квалифицирани PSC автоматично се класифицирани като „важни" субекти според NIS2 директива, с допълнителни задължения на докладване и управление на рисковете.

За компании, които предпочитат да делегират тези ограничения на вече сертифициран доставчик вместо да конструират своя собствена инфраструктура, сравнението на решения за електронен подпис налично в Certyneo помага да се обективира това избор между build-vs-buy.

---

eIDAS 2 и електронен подпис в предприятие: преходни проблеми

За компаниите, които са потребители — в противопоставяне на доставчици — сертификацията eIDAS 2 на техния SaaS доставчик за подпис е критерий за подбор, който е сега неоспорим. Интегрирането на клаузула в поканите за предложение, изискваща присъствие на национален TSL, е станало стандартна практика в регулиран сектор (финанси, здравеопазване, недвижимости).

Електронния подпис в предприятие налагат наистина да се различават ясно случаите на употреба, изискващи QES — частни акти с висок залог, пълномощия, електронни нотариални акти — от тези, където AdES е достатъчна. Тази картография на употребите условно определя директно нивото на услуга, договорно изискувано към доставчика.

Организациите, които мигрирани от съществуващо решение към сертифициран dostavchik eIDAS 2, трябва също да предусмотрят преносимостта на архивите на доказателства. Ръководството относно миграция от DocuSign или YouSign към Certyneo детайлизира добрата практика за запазване на доказателствена стойност на вече подписани документи по време на преход.

Юридична рамка приложима към сертификация eIDAS 2

Учредителни текстове

Сертификацията на доставчици на услуги на доверие се основава на плътен нормативен слой, който трябва да се овладее в своя цялост:

Регламент (ЕС) 2024/1183 на 11 април 2024 г. (eIDAS 2): референтния текст, който отменя и заменя съответните разпоредби на регламент 910/2014. Той определя условията за придобиване и поддържане на статус квалифициран доставчик, задължения на национален надзор, и изискванията във връзка с новите услуги (EUDIW, AEA).

Регламент (ЕС) № 910/2014 (eIDAS 1): все още частично приложим за разпоредби, които не са modificirani; актовете за изпълнение и делегирани, приети под този регламент, остават в сила до своята официална преразглеждане.

Френския гражданския кодекс, членове 1366 и 1367: член 1366 поставя принципа на еквивалентност на електронния подпис към ръчния подпис при условие надеждност; член 1367 уточнява, че надеждност се презюмира до противно доказателство когато се използва квалифициран подпис. Тези национални разпоредби се артикулират директно с презумпцията на законност на чл. 25 eIDAS 2.

Директива (ЕС) 2022/2555 (NIS2): транспонирана в френския закон с закона на 15 октомври 2024 г., она автоматично класифицира квалифицирани доставчици на услуги на доверие сред важни обекти. Задължения: докладване на ANSSI в рамките на 72 часа за всеки значителен инцидент, установяване на формализирано управление на киберрисковете, периодичен одит на безопасност.

Регламент (ЕС) 2016/679 (GDPR): доставчици на услуги за подпис обработват чувствителни лични данни (самоличност на подписващите, журнали на одит). Спазването на принципите на минимизиране, ограничение на съхранение и целост налагат специфичен анализ на въздействието (AIPD). Правната основа на обработката трябва да бъде документирана за всяка услуга.

Технически стандарти със нормативна стойност

Актовете за изпълнение на Европейската комисия (особено Решение за изпълнение (ЕС) 2015/1506 и нейните ревизии) посочват стандартите ETSI като презумптивни на съответствието:

• ETSI EN 319 401: общи изисквания TSP
• ETSI EN 319 411-1 и 411-2: политики на сертификация
• ETSI EN 319 421: квалифициран времеви печат
• ETSI EN 319 132 / 122 / 102: формати AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: услуги на дистанционен подпис

Юридически рискове при несъответствие

Измама или небрежно ползване на статус квалифициран доставчик излага на административни санкции от ANSSI (суспензия, отстраняване от списък на доверие) и наказателни преследвания (чл. 226-17 на Наказателния кодекс за липса на безопасност на лични данни). На цивилен план преоценката на доказателствена стойност на подписи, издадени през период на несъответствие, може да ангажира договорна отговорност на доставчика към клиентите.

Сценарии на употреба: сертификация eIDAS 2 на практика

Сценарий 1 — SaaS редактор от средноземен размер, насочен към QES квалификация

Компания, специализирана в дематериализация на документи, работещи над сто служители и управляваща няколко млн трансакции подписи годишно за сметка на клиентите в банков и застрахователен сектор, решава да поиска квалификация eIDAS 2 за своя услуга на електронен подпис. До сега компанията предлагаше разширен подпис на основата на сертификати (AdES), достатъчен за мнозинството на своите договори с клиенти, но недостатъчен за акти, изискващи максимална доказателствена стойност (SEPA пълномощия, нотариални конвенции на доказателство).

След одит на вътрешни 3 месеца, разкривш около 15 основни отклонения от изискванията на ETSI EN 319 411-2, компанията ангажира програма на съответствие в 14 месеца. Основните работни точки се отнасят до замяна на съществуващи HSM с модули, сертифицирани FIPS 140-2 ниво 3, редакция на DPC от 180 страници, и получаване на сертификация ISO 27001 преди одит CAB. Общия инвестиция достига 340 000 €. След завършване на процеса вписанието на французко TSL дава възможност на компанията да получи достъп до поканите за предложение, от които систематично беше изключена, представляваща потенциална търговска стойност, оценена в 20% допълнителни приходи.

Сценарий 2 — Болнична групировка, интегрираща квалифициран подпис за медико-правни акти

Болнична групировка, състояща се от около 1 200 легла, желае да дематериализира процеси на информирано съгласие, делегация на медицински правомощия и договори на клинични изследвания. Тези документи попадат в категория на актите, за които QES е задължителна или силно препоръчана в рамките на HAS и правния кодекс на здравни данни (чл. L. 1110-4 CSP).

Вместо да сертифицира собствена вътрешна инфраструктура — опция преценена като твърде скъпа и извън основен бизнес — групировката оптира за интеграция на трети доставчик, вече вписан на TSL. DSI проведе проверка на съответствието на доставчик на базата на контролния списък ETSI EN 319 401 и проверява действително присъствие на EUTL преди договорност. Развертването, реализирано в 4 месеца, намалява с 65% времето за събиране на подписи на дневници на клинични изследвания и елиминира риска на правна оспорване, свързан с предишна употреба на прости подписи за чувствителни акти.

Сценарий 3 — Кабинет адвокати по афери, защищаващ своите частни акти

Кабинет адвокати по афери около 30 асоциирани, управляващи годишно близо 400 операции на фузия-придобиване и продажби на търговски фондове, стремят се да укрепят подписа на своите сложни частни акти. Единична стойност на разгледана трансакция често надвишава един млн евро, и всяка форма на вич може да ангажира професионална отговорност на кабинета.

След анализ екипът IT и управляващ партньор се договорят на минимално договорно изискване на QES издадена от доставчик сертифициран eIDAS 2 за всеки акт, чиято стойност надвишава 100 000 €. Критерия за подбор на доставчик задължително включва проверка на вписанието на националния TSL и наличност на сертификат на съответствието ETSI (по-малко от 12 месеца). Този кадър позволява на кабинета да намали над 80% молбите за контра-експертиза относно валидност на подписи при последващи спорове според връщанията наблюдавани в структури, подобни в сектора.

Заключение

Получаването на сертификация eIDAS 2 като доставчик на услуги на електронен подпис е изискващ, скъп и дълъг процес — но неоспорим за всеки участник, който желае да предложи максимални юридически гаранции на своя клиенти на европейския пазар. Между съответствието със стандартите ETSI, преминаването на одит CAB, разглеждането от ANSSI и поддържането на квалификацията с течение на време, инициативата мобилизира съществени ресурси за 12 до 24 месеца.

За компаниите, които са потребители, добрата новина е, че не е необходимо да конструиране това инфраструктура вътрешно: избирането на SaaS доставчик уже сертифициран eIDAS 2 и вписан на национален списък на доверие позволява незабавно да бенефицирате от презумпцията на законност, свързана с QES, без да несете разходите на сертификация.

Certyneo е доставчик на доверие сертифициран, проектиран за B2B компании, които изискват правна строгост и простота на употреба. Открийте нашите цени и започнете безплатен опит днес.