eIDAS 2 certifikace poskytovatele podpisu 2026

Proč certifikace eIDAS 2 mění pravidla hry pro poskytovatele

Od počátku účinnosti nařízení (EU) 2024/1183 ze 11. dubna 2024 — běžně nazývaného eIDAS 2 — čelí poskytovatelé služeb důvěry (PSC) operující v Evropské unii hluboko přepracovanému regulačnímu rámci. Revize původního nařízení eIDAS z roku 2014 se neomezuje pouze na rozšíření rozsahu uznávaných služeb: výrazně ztěžuje podmínky akreditace, zavádí nové úrovně záruk a posiluje požadavky na dohled národních kontrolních orgánů. Pro každého subjekta, který chce nabízet kvalifikované služby elektronického podpisu (QES) nebo pokročilé (AdES) na evropském trhu, pochopení jak získat certifikaci eIDAS 2 pro poskytovatele podpisu již není volbou — je to strategická povinnost.

Tento článek poskytuje vyčerpávající přehled cesty certifikace: použitelné texty, technické normy, které je třeba dodržovat, úlohu orgánů pro hodnocení shody (CAB), realistické harmonogramy a provozní body pozornosti.

---

Nová regulační krajina eIDAS 2: co se změnilo

Od nařízení 910/2014 k nařízení 2024/1183: hlavní změny

Původní nařízení eIDAS (č. 910/2014) položilo základy jednotného digitálního trhu důvěry v Evropě. Definovalo tři úrovně podpisu — jednoduchý, pokročilý a kvalifikovaný — a vyžadovalo od kvalifikovaných poskytovatelů, aby figurovali na národních seznamech důvěry (TSL, Trust Service Lists). eIDAS 2 si tuto architekturu zachovává, ale obohacuje ji na několika strukturujících bodech:

• Rozšíření kvalifikovaných služeb: kvalifikované elektronické archivování, elektronické osvědčení o atributech (AEA), vzdálená správa zařízení pro vytváření kvalifikovaného podpisu (QSCD). Tyto nové služby jsou nyní podléhají stejnému postupu akreditace jako kvalifikovaný podpis.
• Evropská peněženka digitální identity (EUDIW): poskytovatelé, kteří si přejí komunikovat s budoucí peněženkou digitální identity, musí prokázat své soulad se specifikacemi publikovanými Komisí (ARF — Architecture and Reference Framework, v1.4, 2024).
• Posílení dohledu: národní orgány pro dohled (ve Francii ANSSI) mají posílené kompetence vyšetřování a vydávání pokynů. Kvalifikovaní PSC mohou podléhat neoznámené kontrole.
• Zkrácené lhůty hlášení: jakýkoli značný bezpečnostní incident musí být hlášen příslušnému orgánu do 24 hodin (oproti 72 hodinám v předchozí verzi pro určité incidenty).

Kompletní přehled nařízení poskytuje průvodce eIDAS 2.0 od Certyneo s pedagogickým shrnutím všech těchto změn.

Úrovně záruk a jejich důsledky pro certifikaci

Rozdíl mezi pokročilým a kvalifikovaným elektronickým podpisem zůstává osou systému. Pouze QES má prospěch z právní domněnky o integritě a přiřaditelnosti ekvivalentní podpisu psanému rukou (čl. 25 nařízení eIDAS 2). Tato domněnka je přímo vázána na certifikaci poskytovatele.

| Úroveň | Právní váha | Požadavek na poskytovatele | |---|---|---| | Jednoduchý (SES) | Omezená | Žádný | | Pokročilý (AdES) | Významný | Dobré postupy + normy ETSI | | Kvalifikovaný (QES) | Maximální (právní domněnka) | Certifikace eIDAS 2 povinná |

---

Postup certifikace eIDAS 2 krok za krokem

Krok 1 — Organizační a technické předpoklady

Před formálním zahájením procesu certifikace musí poskytovatel prověřit svou úroveň zralosti ve třech oblastech:

1. Soulad s normami ETSI Normy řady EN 319 představují nezbytný technický základ. Hlavní jsou:

• ETSI EN 319 401: obecné požadavky na poskytovatele služeb důvěry
• ETSI EN 319 411-1 a 411-2: politiky a požadavky na orgány pro certifikaci vydávající certifikáty (profily PTC-QC pro kvalifikované certifikace)
• ETSI EN 319 421: politika a požadavky na poskytovatele služeb časového razítka
• ETSI EN 319 132: formáty podpisu XAdES (XML) a související řada CAdES (CMS) a PAdES (PDF)

Soulad s těmito normami není pro kvalifikované poskytovatele volitelný: je výslovně vyžadován prováděcími akty Komise.

2. Bezpečnost informačních systémů QSCD (zařízení pro vytváření kvalifikovaného podpisu) musí být certifikovány podle Common Criteria (CC) EAL4+ nebo ekvivalentu. Pro řešení vzdálené podpisu — dominantní model SaaS — se požadavky také týkají modulů HSM (Hardware Security Module) a postupů správy kryptografických klíčů (soulad FIPS 140-2 úroveň 3 minimálně).

3. Zásady bezpečnosti (PSSI) a řízení rizik Soubor certifikace vyžaduje formalizované PSSI, zarovnané na ISO/IEC 27001 (jejichž certifikace je silně doporučena a někdy vyžadována CAB) a zahrnující požadavky NIS2 pro subjekty kvalifikované jako „důležité" nebo „podstatné".

Krok 2 — Výběr a zapojení orgánu pro hodnocení shody (CAB)

Ve Francii je jen málo CAB akreditovaných COFRAC (Výborem Francouzské akreditace) k posouzení poskytovatelů služeb důvěry. Například LSTI (Laboratoire de Sécurité des Technologies de l'Information) a Bureau Veritas Certification patří mezi uvedené subjekty. Na úrovni Evropy publikuje každý členský stát seznam svých oznámených CAB.

Úlohou CAB je provést audit shody ve dvou fázích:

1. Přezkum dokumentů (Fáze 1): zkoumání politik, postupů, Prohlášení o praktikách certifikace (DPC / CPS) a technických důkazů.
2. Audit na místě (Fáze 2): ověření provozních kontrol, penetrační testy, rozhovory s týmy.

Celková doba auditu CAB se běžně pohybuje v rozmezí 4 až 8 týdnů v závislosti na předchozí zralosti kandidáta.

Krok 3 — Řízení národním orgánem pro dohled

Ve Francii je to ANSSI (Agentura Národní Bezpečnosti Informačních Systémů), která řídí žádosti o zápis na národní seznam důvěry (TSL FR). Na základě zprávy auditu CAB provádí ANSSI svou vlastní analýzu a může požadovat doplňující informace nebo nápravná opatření.

Regulační lhůta pro řízení je 3 měsíce od obdržení kompletního souboru (čl. 17 nařízení eIDAS 2). V praxi jsou skutečné lhůty často delší, pokud je počáteční soubor neúplný.

Po zapsání na národní TSL je poskytovatel automaticky uveden v EUTL (EU Trusted List), publikovaném Komisí, což mu uděluje okamžité přeshraniční uznání v 27 členských státech.

Krok 4 — Udržování kvalifikace a obnovení

Certifikace eIDAS 2 není trvalá. Kvalifikovaní poskytovatelé podléhají:

• Ročnímu auditu dohledu provedenému CAB
• Úplnému auditu obnovení každých 24 měsíců (zkrácený cyklus ve srovnání s předchozí praxí)
• Neoznámeným kontrolám možným na popud ANSSI

Jakákoli podstatná změna infrastruktury (výměna HSM, vývoj PKI, nová kvalifikovaná služba) spustí postup předchozího oznámení a může vyžadovat částečný audit.

---

Náklady, harmonogramy a rizikové faktory: co musí DSI anticipovat

Rozpočet a lidské zdroje

Náklady na první certifikaci eIDAS 2 jsou značné. Výdajové položky zahrnují:

• Audit CAB: mezi 40 000 € a 120 000 € v závislosti na složitosti rozsahu
• Dosažení technické shody (HSM, PKI, certifikované QSCD CC): od 80 000 € do několika set tisíc eur pro vlastní infrastrukturu
• Certifikace ISO 27001 (doporučeno jako předpoklad): 15 000 až 50 000 € v závislosti na velikosti
• Poplatky za právní poradenství a redakci DPC: 10 000 až 30 000 €
• Vnitřní náklady: mobilizace věnovaného týmu (RSSI, DPO, vedoucí souladu) po dobu 12 až 18 měsíců

Při sčítání všech těchto položek predstavuje úplná certifikace celkovou investici řádově 200 000 až 500 000 € pro poskytovatele střední velikosti, bez přepočtu opakujících se nákladů na údržbu.

Provozní rizikové faktory

Nejčastější příčiny selhání nebo zpoždění v postupech certifikace jsou:

1. Nedostatečně podrobné DPC: Prohlášení o praktikách certifikace musí zdokumentovat každou kontrolu s někdy podceňovanou granularitou.
2. Mezery v řízení životního cyklu klíčů: zrušení, archivace, zničení soukromých klíčů.
3. Nedostatečná řídící správa incidentů: absence SIEM, otestovaných postupů řízení krize, runbooků.
4. Podceňování NIS2: od října 2024 jsou kvalifikovaní PSC automaticky klasifikováni jako subjekty „důležité" podle směrnice NIS2, s dodatečnými povinnostmi v oblasti hlášení a řízení rizik.

Pro podniky, které si přejí delegovat tato omezení už certifikovanému poskytovateli, spíše než budovat vlastní infrastrukturu, srovnání řešení elektronického podpisu dostupné na Certyneo pomáhá objektivizovat tuto volbu build-vs-buy.

---

eIDAS 2 a elektronický podpis v podniku: otázky přechodu

Pro podniky jako uživatele — na rozdíl od poskytovatelů — je certifikace eIDAS 2 jejich prodejce SaaS podpisu nyní nezbytným kritériem výběru. Začlenění do výzev k nabídnutí doložky vyžadující přítomnost na národním TSL se stalo standardní praxí v regulovaných sektorech (finance, zdravotnictví, nemovitosti).

Elektronický podpis v podniku skutečně vyžaduje jasné rozlišení případů použití vyžadujících QES — akty s vytíčeným soukromým právem s vysokým vlivem, mandáty, elektronické notářské akty — od těch, kde postačuje AdES. Toto mapování využití přímo podmíní úroveň služby, kterou lze smluvně vyžadovat od poskytovatele.

Organizace, které migrují z existujícího řešení k již certifikovanému poskytovateli eIDAS 2, musí také anticipovat přenositelnost archivů důkazů. Průvodce o migraci z DocuSign nebo YouSign na Certyneo podrobně popisuje osvědčené postupy pro zachování právní hodnoty dokumentů již podepsaných během přechodu.

Právní rámec aplikovaný na certifikaci eIDAS 2

Zakladatelské texty

Certifikace poskytovatelů služeb důvěry spočívá na husté normativní vrstvě, kterou je třeba plně zvládnout:

Nařízení (EU) 2024/1183 ze 11. dubna 2024 (eIDAS 2): referenční text, který ruší a nahrazuje odpovídající ustanovení nařízení 910/2014. Definuje podmínky získání a udržování statusu kvalifikovaného poskytovatele, povinnosti národního dohledu a požadavky týkající se nových služeb (EUDIW, AEA).

Nařízení (EU) č. 910/2014 (eIDAS 1): stále částečně použitelné pro ustanovení, která nebyla změněna; prováděcí a delegované akty přijaté podle tohoto nařízení zůstávají v platnosti, dokud nebudou formálně revidovány.

Francouzský občanský zákoník, články 1366 a 1367: článek 1366 stanovuje princip ekvivalence elektronického podpisu podpisu psanému rukou za podmínky spolehlivosti; článek 1367 upřesňuje, že je spolehlivost domněnky pokud není prokázáno opaku, pokud je použit kvalifikovaný podpis. Tato národní ustanovení se přímo vazují na právní domněnku čl. 25 eIDAS 2.

Směrnice (EU) 2022/2555 (NIS2): převedena do francouzského práva zákonem ze 15. října 2024, automaticky klasifikuje poskytovatele služeb důvěry mezi důležité subjekty. Povinnosti: hlášení ANSSI do 72 hodin pro jakýkoli významný incident, zavedení formalizované správy kybernetických rizik, periodická bezpečnostní kontrola.

Nařízení (EU) 2016/679 (GDPR): poskytovatelé služeb podpisu zpracovávají citlivé osobní údaje (identitu podpisu, protokoly auditu). Dodržování principů minimalizace, omezení uchovávání a integrity vyžaduje specifickou analýzu dopadu (AIPD). Právní základ zpracování musí být pro každou službu dokumentován.

Technické normy s regulační hodnotou

Prováděcí akty Komise (zejména rozhodnutí o provedení (EU) 2015/1506 a jeho revize) určují normy ETSI jako domněnky shody:

• ETSI EN 319 401: obecné požadavky TSP
• ETSI EN 319 411-1 a 411-2: politiky certifikace
• ETSI EN 319 421: kvalifikované časové razítko
• ETSI EN 319 132 / 122 / 102: služby AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: služby vzdáleného podpisu

Právní rizika při nedodržení souladu

Podvodné nebo nedbalé používání statusu kvalifikovaného poskytovatele vystavuje administrativním sankcím pronášeným ANSSI (pozastavení, vyřazení ze seznamu důvěry) a trestnímu stíhání (čl. 226-17 Trestního zákoníku za selhání v bezpečnosti osobních údajů). Na občanské úrovni zesílení sporu právní hodnoty podpisů vydaných během období nesouladu může angažovat smluvní odpovědnost poskytovatele vůči jeho klientům.

Scénáře použití: certifikace eIDAS 2 v praxi

Scénář 1 — Editor SaaS střední velikosti zaměřující se na kvalifikaci QES

Společnost specializovaná na digitalizaci dokumentů, zaměstnávající asi sto zaměstnanců a spravující několik milionů transakcí podpisu ročně jménem klientů v bank a pojišťovacích sektorech, se rozhoduje žádat kvalifikaci eIDAS 2 pro svou službu elektronického podpisu. Dosud společnost nabízela pokročilý podpis založený na certifikátech (AdES), dostatečný pro většinu svých klientských smluv, ale nedostatečný pro akty vyžadující maximální právní váhu (mandáty SEPA, notářské doloženky).

Po třítýdenní interní kontrole odhalující přibližně patnáct hlavních odchylek od požadavků ETSI EN 319 411-2 zahajuje společnost program dosažení souladu po dobu 14 měsíců. Hlavní projekty zahrnují výměnu stávajících HSM za moduly certifikované FIPS 140-2 úroveň 3, redakci 180stránkového DPC a získání certifikace ISO 27001 před auditem CAB. Celková investice dosahuje 340 000 €. Po ukončení procesu umožňuje zápis na francouzský TSL společnosti přístup k výzvám, ze kterých byla systematicky vyřazena, představujícím odhadovaný potenciál 20 % dodatečných příjmů.

Scénář 2 — Zdravotnické seskupení integrující kvalifikovaný podpis pro právně-lékařské akty

Zdravotnické seskupení o přibližně 1 200 lůžkách si přeje digitalizovat své procesy informovaného souhlasu, delegace lékařských pravomocí a smlouvy o klinických výzkumech. Tyto dokumenty spadají do kategorie aktů, pro které je QES vyžadován nebo silně doporučován podle referenčních oborů HAS a právního rámce zdravotních dat (čl. L. 1110-4 CSP).

Spíše než certifikovat interní infrastrukturu — možnost považovaná za příliš nákladnou a mimo hlavní činnosti — se seskupení rozhoduje pro integraci již registrovaného poskytovatele třetí strany na TSL. DSI provádí kontrolu souladu poskytovatele na základě kontrolního seznamu ETSI EN 319 401 a ověřuje skutečnou přítomnost na EUTL před jakýmkoli smluvním uzavřením. Nasazení, realizované za 4 měsíce, snižuje o 65 % dobu sběru podpisů v klinických výzkumných souborech a eliminuje riziko právního sporu související s předchozím používáním jednoduchých podpisů pro citlivé akty.

Scénář 3 — Právnická kancelář na firemní dohodě zabezpečující své akty se soukromým právem

Právnická kancelář zabývající se obchody, s přibližně třiceti partnery a spravující ročně téměř 400 transakcí fúzí a prodejů obchodního majetku, usiluje o zvýšení spolehlivosti podpisu svých složitých aktů se soukromým právem. Jednotkový obsah obchodů často překračuje milion eur a jakákoli vada by mohla angažovat profesní odpovědnost kanceláře.

Po analýze se IT tým a vedoucí partner shodují na smluvní minimální požadavek QES vydané poskytovatelem certifikovaným eIDAS 2 pro jakýkoli akt, jehož hodnota překračuje 100 000 €. Kritérium výběru poskytovatele zákonitě zahrnuje ověření registrace na národním TSL a dostupnost nedávného certifikátu souladu ETSI (méně než 12 měsíců). Tento rámec umožňuje kanceláři snížit více než o 80 % žádosti o protichůdné znalectví ohledně platnosti podpisů během následného sporu, podle názorů pozorovaných v srovnitelných právnických kancelářích v oboru.

Závěr

Získání certifikace eIDAS 2 jako poskytovatele služeb elektronického podpisu je náročný, nákladný a dlouhý proces — ale nezbytný pro každého subjekta, který si přeje nabízet maximální právní záruky svým klientům na evropském trhu. Mezi dosažením souladu s normami ETSI, projitím auditu CAB, řízením ANSSI a udržováním kvalifikace v průběhu času je mobilizace značných zdrojů na 12 až 24 měsíců.

Pro podniky jako uživatele je dobrou zprávou, že není nutné budovat tuto infrastrukturu interně: výběr poskytovatele SaaS již certifikovaného eIDAS 2 a registrovaného na seznamu národní důvěry umožňuje okamžitě využít právní domněnku připojenou k QES bez podpory nákladů na certifikaci.

Certyneo je poskytovatelem důvěry certifikovaným, koncipovaným pro podniky B2B, které vyžadují právní důslednost a jednoduchost použití. Odkryjte naše ceny a zahajte svůj bezplatný pokus již dnes.