Квалифициран електронен сертификат за предприятия: ръководство 2026

Защо квалифицираният електронен сертификат е станал незаменим за предприятията

В момент, когато дематериализацията на договорните процеси се ускорява във всички сектори, въпросът на квалифицираният електронен сертификат се наложи като стратегическо предизвикателство за юридическите отдели, ръководствата на информационните системи и главните управи. Според годишния доклад на ANSSI 2024 г., повече от 78% от французите МСП, които са приели квалифицирания електронен подпис, са намалили своите срокове на договаряне с повече от 60%. Въпреки това, много хора все още бъркат простия, разширения и квалифицирания подпис — рискувайки да експозират своите правни акти на оспорване. Тази статия ви ръководи стъпка по стъпка, за да разберете какво е квалифициран електронен сертификат, как да го получите в съответствие с рамката RGS и eIDAS, и как да го внедрите ефективно в организацията.

Какво е квалифициран електронен сертификат?

Електронният сертификат е цифров файл, издаден от Орган за сертифициране (AC), който свързва идентичността на физическо или юридическо лице с публичен криптографски ключ. Той представлява основния елемент, позволяващ на трета страна да провери автентичността и интегритета на цифровия подпис.

Прилагателното „квалифициран" се отнася до точна дефиниция, произхождаща от европейския регламент eIDAS (№910/2014, член 28): сертификатът трябва да бъде издаден от Квалифициран доставчик на услуги за доверие (PSCQ), вписан в националния регистър на доверие (във Франция, публикуван от ANSSI). Освен това той трябва да спазва техническите изисквания на стандарта ETSI EN 319 411-2, който регулира политиките и практиките на сертифициране.

На практика квалифицирана сертификат гарантира:

• Проверена идентичност на подписалия (документална проверка лице в лице или чрез еквивалентен одобрен метод);
• Интегритет на подписания документ (всяка последваща модификация е открита);
• Необоримост (подписалия не може да отрече, че е поставил подписа).

Разлика между прост, разширен и квалифициран подпис

Регламент eIDAS разграничава три нива на електронния подпис, всяко свързано с ниво на сертификат:

| Ниво | Необходим сертификат | Доказателствена стойност | Типично използване | |---|---|---|---| | Прост | Не е необходим | Слаба | Обичайни поръчки | | Разширен | Разширен сертификат (PSCQ) | Средна | Търговски договори B2B | | Квалифициран | Квалифициран сертификат (квалифициран PSCQ) | Максимална, еквивалент на ръкопис | Нотариални актове, обществени поръчки, чувствителни HR |

За квалифицирания подпис — единственото ниво, облагодетелствано от правното предположение на еквивалентност на ръкописния подпис (член 1367 Гражданския кодекс) — квалифицираният сертификат е абсолютно необходим. За повече информация относно разликите между нивата вижте нашето пълно ръководство за електронния подпис.

---

Рамката RGS: френски специфики, които трябва да знаете

Във Франция Общия референтен документ за безопасност (RGS), установен от декрет №2010-112 и редовно актуализиран от ANSSI, определя изискванията за безопасност, приложими към информационните системи на администрациите. За предприятия, които се договарят с публични субекти (обществени поръчки, телепроцедури), спазването на RGS често е договорно или нормативно задължение.

Нива на RGS, приложима за сертификатите

RGS определя три звезди на квалификация за сертификатите:

• RGS* (една звезда): базово ниво, подходящо за обичайни случаи на малка чувствителност;
• RGS (две звезди)**: междинно ниво, необходимо за повечето административни телепроцедури;
• RGS (три звезди)*: високо ниво, за акти с висока правна или финансова ставка.

За дематериализирани обществени поръчки чрез профила на купувача декрет №2016-360 (членове 39 и 40) обикновено налага подпис на ниво RGS минимум, което подразумева сертификат от еквивалентна квалификация.

Съчетаване на RGS и eIDAS

От прилагането на регламент eIDAS двата референтни документа съществуват паралелно. Квалифициран сертификат по смисъла на eIDAS се счита за отговарящ на изискванията на RGS** в по-голямата част на случаите. ANSSI е публикувала съответствени таблици, позволяващи проверката на съвместимостта. Препоръчително е затова за предприятия, работещи както с частни, така и с публични партньори, да предпочетат квалифициран сертификат eIDAS, издаден от PSCQ, вписан във френския регистър на доверие — което едновременно обхваща двата референтни документа.

За задълбоченото изучаване на европейския регламент нашето ръководство за eIDAS 2.0 детайлизира основните предстоящи промени и тяхното въздействие върху французите предприятия.

---

Как да получите квалифициран електронен сертификат: процес стъпка по стъпка

Получаването на квалифициран електронен сертификат не е банална деятелност: включва строга проверка на идентичността на заявителя и, за юридическо лице, неговата правна представителност. Ето основните етапи.

Етап 1: Определете правилния квалифициран доставчик на услуги за доверие

Във Франция квалифицираните PSCQ, които могат да издават квалифицирани сертификати, са включени в Trust Service Status List (TSL), публикувана от ANSSI (достъпна на портала esignature.gouv.fr). Сред действащите в този списък намираме особено AC като CertEurope, Certinomis (дъщерно дружество на La Poste), Keynectis или други европейски признати доставчици съгласно принципа на взаимното признаване на eIDAS.

Критерии за избор, които трябва да преглед:

• Реално присъствие в TSL франция и/или европейския;
• Формат на предложения сертификат (софтуер, на смарт карта, HSM облак);
• Съвместимост с съществуващата IT инфраструктура;
• Ценообразуване и период на валидност (обикновено 1 до 3 години);
• Ниво поддържка и период на регистрация.

Етап 2: Подготовка на регистрационния файл

За предприятие заявката за квалифициран сертификат налага предоставянето на документи, обосновавшахи както идентичността на съдържателя (физическо лице), така и неговата способност да представлява юридическото лице. Обикновено необходимите документи са:

• Официален документ за самоличност на съдържателя (паспорт, национална карта);
• Кбис не по-старо от 3 месеца (или еквивалент за асоциации, публични установи);
• Делегиране на правомощия, ако съдържателят не е законният представител съгласно устава;
• Специфичен регистрационен формуляр на избрания PSCQ.

Проверката на идентичност трябва да се извърши лице в лице пред Регистрационен оператор (OE), упълномощен от PSCQ, или чрез одобрен дистанционен процес на проверка (видео-идентификация в съответствие със стандарт ETSI TS 119 461).

Етап 3: Издаване и активиране на сертификата

В зависимост от избрания формат сертификатът се издава:

• На устройство за квалифициран електронен подпис (QSCD): криптографски USB ключ или смарт карта, сертифицирани согласно Common Criteria EAL 4+;
• Чрез услуга за дистанционен подпис (Remote Qualified Electronic Signature — RQES), управлявана от PSCQ, където частният ключ се хоства на сертифициран HSM (Hardware Security Module) според стандарт ETSI EN 419 241.

Внедряването на услуга RQES е днес най-приетото решение от предприятията, тъй като избягва физическото управление на криптографски носители, запазвайки квалифицирана съответствие. Сравнете решенията за електронни подписи за идентифициране на модела, най-подходящ за вашия контекст.

Етап 4: Интегриране в бизнес процесите

След като сертификатът е получен, интегрирането му в документооборота на предприятието обикновено преминава през SaaS платформа за електронни подписи. Тя трябва непременно да е съвместима със стандартите ETSI (XAdES, PAdES, CAdES), за да гарантира интероперативността и устойчивостта на цифровите доказателства. Нашата статия, посветена на електронния подпис в предприятието, ще ви помогне да структурирате внедряването.

---

Цена, валидност и возобновяване: какво трябва да подготвят предприятията

Ценови диапазони през 2026 г.

Цените на квалифицираните сертификати варират значително в зависимост от формата и доставчика:

• Сертификат на физически носител (USB ключ/карта): между 80 € и 250 € без ДДС на носител и на година;
• Квалифициран облачен сертификат (RQES): между 40 € и 150 € без ДДС на носител и на година, в зависимост от обемите;
• Корпоративни пакети: значителни отстъпки се прилагат от 10 носителя, което може да достигне 30 до 40% от единичната цена.

Тези разходи трябва да бъдат съпоставени със спестяванията, генерирани: отмяна на отпечатване, марки, сроковете на пощенския обработка и спорове, свързани с оспорени подписи.

Период на валидност и възобновяване

Валидността на квалифицирана сертификат обикновено е фиксирана на 1, 2 или 3 години в зависимост от избраното предложение. При изтичането документите, подписани предварително, остават валидни (при условие, че интегритетът им е запазен чрез квалифицирана услуга с отметка за време), но нови акти не могат да се подпишат с изтекъл сертификат. Поради това е абсолютно необходимо да се установи процес на наблюдение и своевременно возобновяване — идеално 60 дни преди изтичане.

Отозване и управление на инцидентите

При компрометиране на частния ключ (загуба, кража на носител, подозрение за разкриване), сертификатът трябва да бъде незабавно отозван към PSCQ. Това публикува отозванието в своя Seznam за отозване на сертификати (CRL) или чрез протокол OCSP, което прави всеки по-нататък подпис с този сертификат невалиден. Политиката за вътрешна безопасност трябва затова да предвиди определен контактен пункт и време за уведомление по-малко от 24 часа.

---

Добри практики за успешно внедряване в предприятието

Управление и вътрешни роли

Успешното внедряване почива на ясна управленска структура. Препоръчително е да се определят:

• Ръководител на PKI (Public Key Infrastructure) от IT, отговорен за отношенията с PSCQ и наблюдение на возобновяванията;
• Юридически референт, който одобрява случаите, включващи квалифициран подпис (срещу разширен);
• Делегирани администратори по отдели за оперативното управление на носителите.

Обучение и управление на промените

Приемането на квалифициран сертификат не е достатъчно: служителите трябва да разберат как да използват своя сертификат, кога да го активират и как да отреагират при инцидент. Кратък план на обучението (1 до 2 часа) и документирани процедури значително намаляват грешките при употреба и заявленията за техническа поддръжка.

Одит и проследяване

За отговор на задълженията за доказателства, поддържайте одитен журнал с отметка за време на всеки выполнен подпис: идентичност на подписалия, отпечатък на документа, сертифицирана дата/час, идентификатор на сертификата. Тези данни съставляват основата на верига на доказателства при разпра. Стандартът ETSI EN 319 132 (XAdES) предвижда формати на подпис, които родно включват тази информация.

Приложима правна рамка на квалифицираните електронни сертификати

Гражданския кодекс и доказателствена стойност

По френското право членът 1366 на Гражданския кодекс определя принципа на еквивалентност между електронния и хартиения документ, при условие че „идентичността на лицето, от което произхожда, е надлежно гарантирана и той е установен и съхранен при условия, които гарантират интегритета". Членът 1367, алинея 2 уточнява, че квалифицирания електронен подпис облагодетелствува презумпцията на надеждност: на страната, която оспорва подписа, му се налага да докаже обратното, обръщайки бремята на доказателството в полза на подписалия.

Регламент eIDAS №910/2014

Европейския регламент eIDAS (№910/2014), преки приложим във всички държави членки от 1 юли 2016 г., представлява наднационалния фундамент. Членът 25(2) предвижда, че „квалифицирания електронен подпис има правен ефект, еквивалентен на такъв на ръкописния подпис". Членове 28 и 29 определят изискванията, приложими за квалифицираните сертификати и устройствата за квалифициран подпис (QSCD). Приложение I изброява задължителните сведения на квалифициран сертификат (OID политика, идентичност на PSCQ, публичен ключ, дати на валидност и т.н.).

Еволюции на eIDAS 2.0

Регламент eIDAS 2.0 (регламент на ЕС 2024/1183, във сила от 20 май 2024 г.) въвежда европейския портал за цифрова идентичност (EUDIW) и повишава изискванията за достъпност до квалифицирани услуги за доверие. Предприятията ще трябва да предвидят интегрирането на тези нови механизми на идентификация до 2026-2027 г.

Приложими стандарти ETSI

• ETSI EN 319 411-2: политика и практики за PSCQ, издаващи квалифицирани сертификати;
• ETSI EN 319 132 (XAdES) и ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES): формати на разширени и квалифицирани електронни подписи;
• ETSI EN 419 241: изисквания за сървъри на подписи (RQES).

GDPR и защита на личните данни

Обработката на лични данни в контекста на регистрацията (проверка на идентичност, събиране на документи) подлежи на GDPR №2016/679. PSCQ и клиентското предприятие са съотговорни за обработката или в отношение отговорник/обработчик според конфигурацията. DPA (Data Processing Agreement), отговарящ на членът 28 GDPR, трябва да бъде подписан. Данните за регистрацията трябва да бъдат съхранени за живота на сертификата плюс периода на предписанието, приложим (5 години по договорни въпроси).

Директива NIS2 и безопасност на инфраструктури

Директива NIS2 (2022/2555/ЕС), преведена във френското право от закон №2024-449, налага на съществени и важни субекти да въведат мерки за управление на рисковете, включително безопасността на цифровите вериги на доставка. Прибягването до квалифициран PSCQ, вписан в националния TSL, представлява признана добра практика за частично задоволяване на тези изисквания.

Сценарии на използване: квалифицирания сертификат в практика

Сценарий 1: Адвокатски кабинет, управляващ акти с висока доказателствена стойност

Кабинет от адвокати по търговско право, броящ около двадесет партньори и сътрудници, трябва редовно да подписва акти за отчуждаване на дялове в капиталов фонд, протоколи за споразумение и мандати ad litem. До дотогаз всеки акт изискваше отпечатване, ръкопис подпис, сканиране и пощенско изпращане — което означава средно забавяне от 4 до 7 работни дни за цикъл на подпис. След внедряване на квалифицирани облачни сертификати (RQES) за всеки партньор, този срок е редуциран до по-малко от 4 часа за актове, които не изискват нотариално вмешателство. Кабинетът преценява 65%-ното намаляне на административното време, свързано с управлението на документите, и не е записал оспорване на подпис в първите 18 месеца на употреба. Решенията за електронни подписи за адвокатски кабинети, предложени от Certyneo, се интегрират родно в този тип работен процес.

Сценарий 2: МСП от индустриалния сектор, договаряща се с публични дестинатори

МСП от металургическия сектор, с около 120 служители, редовно отговаря на дематериализирани публични поръчки на акаутни профили. Тя е длъжна да подпише електронно своите оферта и ангажименти с сертификат с ниво RGS** минимум. След получаване на два квалифицирани сертификата (за главния директор и един упълномощен търговски директор), МСП успя да депозира своите оферта в зададените срокове без преместване или пощенско изпращане. През една година това представлява около 35 папки на публични поръчки, което означава прогнозирано спестяване на около 15 работни дни на година само за управлението на документите. Съответствието на eIDAS на сертификата гарантира също признаването на неговите подписи пред немски и белгийски дестинатори, разширявайки неговия търговски обхват. Използвайте нашия калкулатор на ROI за оценка на потенциалните печалби в собствения контекст.

Сценарий 3: Здравствено групиране, защитаващо HR и доставчишки акти

Болничен복합 от около 1200 легла, събиращ няколко установи, се сблъсква с годишен обем от близо 3000 трудови договора, аванси и ангажименти на доставчици. Отделът за человешки ресурси и отделът за покупки съвместно внедриха решение за квалифициран подпис, със сертификати, издадени за упълномощени директори. Паралелно документите, които трябва да подпишат агентите, се управляват чрез разширен работен процес на подписи, резервирайки квалифицирания подпис за дирекционни акти с висока правна стойност. Резултат: средният срок на финализиране на трудов договор е спаднал от 12 дни на 2,5 дни, а процентът на непълни папки (липсващ подпис, неправилна подписана версия) е намалял с 78%. Решенията за електронни подписи в здравеопазването на Certyneo интегрират специфичностите на нормативното регулиране на болничния сектор.

Заключение

Получаването на квалифициран електронен сертификат е днес задължителен преход за всяко предприятие, което желае да защити юридически своите цифрови акти, да отговори на изискванията на обществени поръчки и да се впише в нормативната рамка на eIDAS. Далеч от ограничение, това е лост на конкурентност: намалени срокове на подписи, необорима верига на доказателства и признание в цялата Европейска намяса.

Ключови етапи, които трябва да се запомнят: изберете PSCQ, вписан в списъка на доверие на ANSSI, подгответе строг регистрационен файл, преориентирайте се към облачен формат (RQES) за улесняване на внедряването и интегрирайте сертификата в платформа, съответстваща на стандартите ETSI.

Certyneo ви придружава на всяка стъпка: от избор на подходящо ниво на подпис до интегрирането в бизнес процесите. Заявете безплатна демонстрация и открийте как да внедрите квалифициран подпис за по-малко от 48 часа в организацията.