Soulad s eIDAS pro malé a střední podniky: kompletní kontrolní seznam pro rok 2026

Evropské nařízení eIDAS (EU č. 910/2014, brzy bude novelizováno eIDAS 2.0) upravuje elektronické podpisy v celé Evropské unii. Pro malé a střední podniky není dodržování předpisů jen políčko, které je třeba zkontrolovat: je to záruka, že jeho smlouvy jsou vymahatelné, že jeho podpisové údaje jsou chráněny a že se chrání před právními riziky, která mohou být nákladná. Zde je kontrolní seznam pro rok 2026 ve 12 konkrétních bodech, abyste si ověřili, že váš MSP plně vyhovuje eIDAS.

Bod 1: vyberte si správnou úroveň podpisu

První reflex: zmapujte své typy smluv a přiřaďte cílovou úroveň. Standardní obchodní smlouvy (nabídky, objednávky, jednoduché smlouvy NDA): SES stačí. Pracovní smlouvy, leasingy, citlivé NDA, strategické dohody: minimálně AES, nejlépe s OTP SMS. Regulované úkony (advokát, notář, nadlimitní veřejné zakázky): Povinný QES. Bez tohoto mapování riskujete poddimenzování (odmítnutí smlouvy) nebo předimenzování (nadměrné náklady).

Bod 2: zkontrolujte kvalifikaci poskytovatele služeb

Váš poskytovatel služeb musí být důvěryhodným poskytovatelem služeb (QTSP) nebo se musí spoléhat na QTSP pro úrovně AES/QES. Prohlédněte si seznam důvěryhodných služeb zveřejněný ANSSI (eidas.ssi.gouv.fr) a Evropský důvěryhodný seznam (webgate.ec.europa.eu/tl-browser). Francouzské referenční QTSP: Certigna, Docaposte, Certinomis, Universign. U SES/AES prostřednictvím platformy (Certyneo, Yousign atd.) zkontrolujte jejich výslovně zdokumentovanou shodu s eIDAS.

Bod 3: Otestujte auditní záznam

Podepište testovací obálku a shromážděte auditní záznam (obvykle samostatné PDF). Musí obsahovat: identitu a email signatáře, časové razítko každého kroku (odeslání, otevření, validace, podpis), IP adresu, uživatelského agenta, hash dokumentu, OTP validaci v případě AES. Pokud některý z těchto prvků chybí, je důkazní hodnota oslabena. Certyneo poskytuje kompletní audit trail i na bezplatném plánu.

Bod 4: kontrola časového razítka

Časové razítko musí vydat úřad pro časové razítko (TSA) v souladu s RFC 3161. Časové razítko pouze z firemního NTP serveru nestačí. Otevřete podepsaný PDF v Adobe Readeru: karta Podpisy → Podrobnosti → Časové razítko. Měli byste tam vidět platný certifikát TSA a certifikované hodiny. Pokud PDF nemá certifikované časové razítko, ustupte od výběru poskytovatele služeb.

Bod 5: archivace po dobu minimálně 10 let

Obchodní zákoník (článek L. 123-22) požaduje uchování obchodních dokumentů 10 let. Zákoník práce ukládá pro pracovní smlouvy po skončení pracovního poměru 5 let. Archivace musí zachovat integritu (hash, pečetění) a přístup. Ideální: formát PDF/A (ISO 19005), duální úložiště (primární + záloha mimo pracoviště), kvalifikovaný elektronický trezor (CFE) pro maximální důkaz. Certyneo standardně archivuje 10 let a nabízí export partnerům CFE.

Bod 6: zkontrolujte lokalizaci dat

Kde jsou umístěna vaše podpisová data? Pro francouzské malé a střední podniky, které se zabývají citlivými smlouvami, zvolte francouzský nebo EU hosting. Požádejte svého poskytovatele služeb o seznam subdodavatelů a jejich umístění (článek 28 GDPR). Vyhněte se řešením podléhajícím americkému cloudovému zákonu pro strategické smlouvy. Certyneo je hostováno ve Francii, bez závislosti na Cloud Act. Viz náš článek na /blog/cloud-act-signature-electronic.

Bod 7: formulovat s GDPR

Podpis a GDPR spolu úzce souvisí: každá obálka obsahuje osobní údaje (jméno, email, IP, telefon). Ujistěte se, že váš registr zpracování (článek 30 GDPR) obsahuje elektronický podpis, že doby uchovávání jsou konzistentní (10 let) a že lze implementovat práva jednotlivců (přístup, oprava, přenositelnost). Pokud požadujete hodně podpisů, doporučuje se DPO. Viz náš článek /blog/signature-electronique-rgpd.

Bod 8: identifikace signatářů proti proudu

U solidního AES identifikace nezačíná podpisem: začíná sběrem dat. Zkontrolujte e-maily (žádné aliasy, žádný seznam adresátů), telefonní čísla (žádná sdílená linka) a sledujte zdroj identifikace (ID u těžkých smluv, KYC stávajícího zákazníka u probíhajících smluv). Díky této náležité péči jsou důkazy solidní v případě sporu.

Bod 9: trénujte týmy

Vaše prodejní, personální a právní týmy musí rozumět pravidlům: nikdy nenuťte podepisujícího, aby používal zařízení třetí strany, nikdy nevracejte upravené podepsané PDF, nikdy nevkládejte naskenovaný obrázek podpisu místo skutečného podpisu. Jedna hodina tréninku na tým stačí k navození dobrých reflexů. Certyneo poskytuje kompletního průvodce pro interní sdílení (/zdroje).

Bod 10: kontrola smluv poskytovatelů služeb

CGU/CGV poskytovatele podpisových služeb musí: iniciovat soulad s eIDAS, specifikovat období archivace, zahrnout smlouvu o subdodávkách GDPR (čl. 28), zdokumentovat subdodavatele, poskytnout plán vratnosti v případě ukončení. Pokud zpracováváte velké objemy, vyžádejte si také SOC 2 Type II nebo ekvivalent. Pro Certyneo jsou tyto dokumenty k dispozici na /legal a /security.

Bod 11: připravte eIDAS 2.0 a peněženku EUDI

Nařízení eIDAS 2.0 (EU 2024/1183) vstupuje v platnost postupně a vyžaduje, aby členské státy nasadily peněženku EUDI do konce roku 2026. Tato digitální identita přístup k peněžence fyzické identity výrazně neumožní. Připravte své malé a střední podniky: zkontrolujte, zda má váš poskytovatel služeb plán EUDI Wallet, postupujte podle sdělení ANSSI a Evropské komise. Viz /blog/eidas-2-nouveau-reglement-2026.

Bod 12: každoroční audit

Shoda není získaný stav: je to pokračující proces. Naplánujte si roční audit (interní nebo externí), abyste ověřili: změny předpisů, vývoj poskytovatelů služeb, aktuální mapování typů smluv, efektivní udržení, školení nových zaměstnanců. Lehký audit zabere MSP půl dne a předejde mnoha překvapením. Začněte vytvořením bezplatného účtu Certyneo na adrese certyneo.com/signup, abyste mohli otestovat shodu v reálném světě, a poté se podívejte do našeho průvodce eIDAS, abyste se dostali hlouběji (/guide/eidas).