Kvalifikovaný elektronický certifikát pro podniky: průvodce rokem 2026

Proč se kvalifikovaný elektronický certifikát stal nezbytným pro podniky

V době, kdy se dematerializace smluvních procesů zrychluje ve všech odvětvích, otázka kvalifikovaného elektronického certifikátu se ukazuje jako strategická priorita pro právní oddělení, vedoucí IT oddělení a generální ředitele. Podle výroční zprávy ANSSI z roku 2024 více než 78 % francouzských malých a středních podniků, které přijaly kvalifikovaný elektronický podpis, snížilo své lhůty pro uzavírání smluv o více než 60 %. Přesto si mnoho společností plete jednoduchý, pokročilý a kvalifikovaný podpis – s rizikem, že budou jejich právní akty vystaveny zpochybňování. Tento článek vás provede krok za krokem, aby jste pochopili, co je kvalifikovaný elektronický certifikát, jak jej získat v souladu s rámcem RGS a eIDAS a jak jej efektivně zavést ve své organizaci.

Co je kvalifikovaný elektronický certifikát?

Elektronický certifikát je digitální soubor vydaný Certifikační autoritou (CA), který spojuje identitu fyzické nebo právnické osoby s veřejným kryptografickým klíčem. Jedná se o klíčový prvek umožňující třetím stranám ověřit autentičnost a integritu digitálního podpisu.

Kvalifikátor „kvalifikovaný" odkazuje na přesnou definici pocházející z evropské vyhlášky eIDAS (č. 910/2014, článek 28): certifikát musí být vydán kvalifikovaným poskytovatelem služeb důvěry (QCSP), který je zapsán v národním seznamu důvěry (ve Francii zveřejněný ANSSI). Dále musí splňovat technické požadavky normy ETSI EN 319 411-2, která upravuje politiky a postupy certifikace.

V praxi kvalifikovaný certifikát zajišťuje:

• Ověřenou identitu podepisujícího (ověření dokumentů tváří v tvář nebo prostřednictvím ekvivalentního schváleného postupu);
• Integritu podepsaného dokumentu (jakákoliv následná úprava je zjistitelná);
• Nepopíratelnost (podepisující nemůže popřít, že podpis připojil).

Rozdíl mezi jednoduchým, pokročilým a kvalifikovaným podpisem

Vyhlaska eIDAS rozlišuje tři úrovně elektronického podpisu, z nichž každá je spojena s úrovní certifikátu:

| Úroveň | Požadovaný certifikát | Probativní hodnota | Typické použití | |---|---|---|---| | Jednoduchý | Není vyžadován | Nízká | Běžné objednávkové formuláře | | Pokročilý | Pokročilý certifikát (QCSP) | Střední | Obchodní smlouvy B2B | | Kvalifikovaný | Kvalifikovaný certifikát (kvalifikovaný QCSP) | Maximální, ekvivalent podpisu rukou | Notářské listy, veřejné výběrová řízení, citlivé HR |

Pouze pro kvalifikovaný podpis – jediný, který má zákonnou prezumpci ekvivalence s ručním podpisem (čl. 1367 Občanského zákoníku) – je kvalifikovaný certifikát naprosto nezbytný. Chcete-li se dozvědět více o rozdílech mezi úrovněmi, přečtěte si náš komplexní průvodce elektronickým podpisem.

---

Rámec RGS: Specifika francouzské verze, která je třeba znát

Ve Francii Obecný bezpečnostní referenční rámec (RGS), stanoveného dekretem č. 2010-112 a pravidelně aktualizovaného ANSSI, definuje požadavky na bezpečnost infračních systémů informací veřejné správy. Pro podniky, které smluvně spolupracují s veřejnými subjekty (veřejné zákázky, teleproceduры), je dodržování RGS často smluvní nebo právní povinností.

Úrovně RGS platné pro certifikáty

RGS definuje tři hvězdičky kvalifikace pro certifikáty:

• RGS* (jedna hvězdička): základní úroveň, vhodná pro běžné použití s nízkou citlivostí;
• RGS (dvě hvězdičky)**: střední úroveň, vyžadovaná pro většinu administrativních teleproceduур;
• RGS (tři hvězdičky)*: vysoká úroveň pro právní nebo finanční akty s vysokým rizikem.

Pro dematerializovaná veřejná výběrová řízení prostřednictvím profilu kupujícího dekret č. 2016-360 (články 39 a 40) obecně vyžaduje podpis na úrovni RGS minimálně, což podrazuje certifikát ekvivalentní kvalifikace.

Propojení RGS a eIDAS

Od zavedení nařízení eIDAS oba referenční rámce koexistují. Certifikát kvalifikovaný podle eIDAS je považován za splňující požadavky RGS** ve velké většině případů. ANSSI zveřejnila tabulky korespondence umožňující ověřit kompatibilitu. Pro podniky pracující s privátními i veřejnými partnery se proto doporučuje upřednostnit kvalifikovaný certifikát eIDAS vydaný QCSP zapsaným na seznamu důvěry francouzského – který současně pokrývá oba referenční rámce.

Chcete-li se více dozvědět o evropské vyhlášce, náš průvodce eIDAS 2.0 podrobně popisuje plánované hlavní změny a jejich dopad na francouzské podniky.

---

Jak získat kvalifikovaný elektronický certifikát: průvodce krok za krokem

Získání kvalifikovaného elektronického certifikátu není běžný proces: zahrnuje důsledné ověření totožnosti žadatele a, pro právnickou osobu, jeho právní reprezentace. Zde jsou hlavní kroky.

Krok 1: Identifikace správného kvalifikovaného poskytovatele služeb důvěry

Ve Francii jsou QCSP oprávnění vydávat kvalifikované certifikáty obsaženi v Seznam stavu služeb důvěry (TSL) publikovaný ANSSI (dostupný na portálu esignature.gouv.fr). Mezi aktéry přítomné na tomto seznamu jsou zejména CA jako CertEurope, Certinomis (dceřiná společnost La Poste), Keynectis nebo další evropští poskytovatelé uznávaní v souladu se zásadou vzájemného uznávání eIDAS.

Kritéria výběru, která je třeba prověřit:

• Skutečná přítomnost v seznamu TSL francouzském a/nebo evropském;
• Formát nabízeného certifikátu (software, čipová karta, cloud HSM);
• Kompatibilita s vaší stávající IT infrastrukturou;
• Ceny a doba platnosti (obvykle 1 až 3 roky);
• Úroveň podpory a lhůta registrace.

Krok 2: Příprava souboru registrace

Pro podnik žádost o kvalifikovaný certifikát vyžaduje dokumenty prokazující jak identitu nositele (fyzická osoba) tak jeho schopnost reprezentovat právnickou osobu. Obvykle požadované dokumenty jsou:

• Oficiální doklad totožnosti nositele (pas, občanský průkaz);
• Výtah z registru společnosti starší než 3 měsíce (nebo ekvivalent pro sdružení, veřejné subjekty);
• Pověření pokud nositel není zákonným zástupcem;
• Formulář žádosti specifický pro vybraného QCSP.

Ověření totožnosti musí být provedeno tváří v tvář před Registračním operátorem (RO) pověřeným QCSP nebo prostřednictvím schváleného postupu vzdálené verifikace (videoidentifikace v souladu s normou ETSI TS 119 461).

Krok 3: Předání a aktivace certifikátu

V závislosti na zvolené formě je certifikát předán:

• Na kvalifikovaném zařízení pro vytváření podpisů (QSCD): kryptografická USB klíč nebo certifikovaná čipová karta Common Criteria EAL 4+;
• Prostřednictvím služby vzdáleného podpisu (Vzdálený kvalifikovaný elektronický podpis – RQES) spravované QCSP, kde je soukromý klíč uložen v HSM (Hardware Security Module) certifikovaném v souladu s normou ETSI EN 419 241.

Nasazení služby RQES je dnes nejčastěji přijatým řešením podniků, protože se vyhýbá fyzické správě kryptografických podpor a zároveň udržuje kvalifikovanou shodu. Porovnání řešení elektronického podpisu vám pomůže určit model nejlépe odpovídající vašemu kontextu.

Krok 4: Integrace do vašich obchodních procesů

Jakmile získáte certifikát, jeho integrace do dokumentárních toků podniku obvykle probíhá prostřednictvím platformy SaaS pro elektronický podpis. Ta musí být nezbytně kompatibilní se standardy ETSI (XAdES, PAdES, CAdES), aby se zajistila interoperabilita a trvanlivost digitálních důkazů. Náš vyhrazený článek o elektronickém podpisu v podniku vám pomůže strukturovat toto nasazení.

---

Náklady, platnost a obnovení: Co by si měly podniky uvědomit

Rozsahy cen v roce 2026

Ceny kvalifikovaných certifikátů se výrazně liší podle formátu a poskytovatele:

• Certifikát na fyzické nosiči (USB klíč/čipová karta): mezi 80 € a 250 € bez DPH na nositele a ročně;
• Kvalifikovaný cloud certifikát (RQES): mezi 40 € a 150 € bez DPH na nositele a ročně, podle objemů;
• Firemní balíčky: od 10 nositelů se uplatňují významné slevy, které mohou dosáhnout 30 až 40 % jednotkové sazby.

Tyto náklady je třeba uvažovat ve vztahu k vygenerovaným úsporám: eliminace tisku, poštovného, lhůt poštovního zpracování a sporů týkajících se zpochybňovaných podpisů.

Doba platnosti a obnovení

Platnost kvalifikovaného certifikátu je obecně stanovena na 1, 2 nebo 3 roky podle zvoleného tarifu. V případě vypršení platnosti zůstávají dříve podepsané dokumenty platné (pokud je jejich integrita zachována prostřednictvím služby kvalifikovaného časového razítka), ale nové akty nemohou být podepsány vypršelým certifikátem. Je tedy nezbytné zavést proces dohledu a předstihu obnovení – ideálně 60 dnů před vypršením.

Odvolání a správa incidentů

V případě kompromitace soukromého klíče (ztráta, krádež nosiče, podezření na prozrazení) musí být certifikát okamžitě odvolán u QCSP. Ten pak zveřejní odvolání v seznamu odvolaných certifikátů (CRL) nebo prostřednictvím protokolu OCSP, čímž je jakýkoliv následný podpis tímto certifikátem neplatný. Vnitřní bezpečnostní politika by tedy měla obsahovat vyhrazený kontaktní bod a dobu výstrahy kratší než 24 hodin.

---

Osvědčené postupy pro úspěšné nasazení v podniku

Správa a interní role

Úspěšné nasazení je založeno na jasné správě. Je doporučeno určit:

• Správce PKI (Veřejné klíčové infrastruktury) na straně IT, odpovědný za vztah s QCSP a sledování obnovení;
• Právního zástupce, který schvaluje případy použití vyžadující kvalifikovaný podpis (vs. pokročilý);
• Delegované administrátory jednotlivými oddělení pro operativní správu nositelů.

Školení a řízení změny

Přijetí kvalifikovaného certifikátu není samo o sobě dostatečné: spolupracovníci musí pochopit, jak používat jejich certifikát, kdy jej aktivovat a jak reagovat v případě incidentu. Krátký plán školení (1 až 2 hodiny) a zdokumentované postupy výrazně snižují chyby v používání a lístky podpory.

Audit a traceability

Pro splnění povinností důkazu zachovejte denník auditu s časovým razítkem každého provedeného podpisu: identita podepisujícího, otisk dokumentu, certifikované datum/čas, identifikátor certifikátu. Tato data tvoří základ řetězu důkazu v případě sporu. Norma ETSI EN 319 132 (XAdES) nabízí formáty podpisu, které nativně obsahují tyto informace.

Právní rámec platný pro kvalifikované elektronické certifikáty

Občanský zákoník a probativní hodnota

V francouzském právu článek 1366 Občanského zákoníku stanoví zásadu ekvivalence elektronického textu a papírového textu, za podmínky, že „identita osoby, od níž pochází, je řádně zajištěna a je vytvořen a veden za podmínek zaměřených na zajištění jeho integrity". Článek 1367 odstavec 2 objasňuje, že kvalifikovaný elektronický podpis má prospěch z právní domněnky spolehlivosti: je na straně, která podpis napadá, aby dokázala opak, čímž se obrací břemeno důkazu ve prospěch podepisujícího.

Nařízení eIDAS č. 910/2014

Evropské nařízení eIDAS (č. 910/2014), přímo použitelné ve všech členských státech od 1. července 2016, tvoří nadnárodní základ. Jeho článek 25(2) stanoví, že „kvalifikovaný elektronický podpis má právní účinky ekvivalentní ruční podpisu". Články 28 a 29 definují požadavky platné pro kvalifikované certifikáty a zařízení pro vytváření kvalifikovaných podpisů (QSCD). Příloha I uvádí povinné údaje kvalifikovaného certifikátu (OID politiky, identita QCSP, veřejný klíč, data platnosti atd.).

Vývoj eIDAS 2.0

Nařízení eIDAS 2.0 (nařízení EU 2024/1183, vstoupilo v platnost 20. května 2024) zavádí evropskou peněženku digitální identity (EUDIW) a posiluje požadavky na přístupnost ke kvalifikovaným službám důvěry. Podniky budou muset anticipovat integraci těchto nových mechanismů identifikace do roku 2026-2027.

Platné normy ETSI

• ETSI EN 319 411-2: politika a postupy pro QCSP vydávající kvalifikované certifikáty;
• ETSI EN 319 132 (XAdES) a ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES): formáty pokročilého a kvalifikovaného elektronického podpisu;
• ETSI EN 419 241: požadavky na servery podpisů (RQES).

GDPR a ochrana osobních údajů

Zpracování osobních údajů v rámci registrace (ověření totožnosti, sběr dokumentů) podléhá GDPR č. 2016/679. QCSP a podnik klient jsou spoluodpovědné za zpracování nebo v vztahu odpovědné/zpracovatele podle konfigurace. Musí být podepsána DPA (Dohoda o zpracování dat) v souladu s článkem 28 GDPR. Data registrace musí být zachována po dobu životnosti certifikátu zvýšenou o dobu právní lhůty (5 let v smluvních záležitostech).

Směrnice NIS2 a bezpečnost infrastruktury

Směrnice NIS2 (2022/2555/EU), transponovaná do francouzského práva zákonem č. 2024-449, ukládá podstatným a důležitým subjektům zavést opatření pro řízení rizik zahrnující bezpečnost digitálních dodavatelských řetězců. Použití kvalifikovaného QCSP zapsaného v národním seznamu TSL představuje uznávanou dobrou praxi pro částečné splnění těchto požadavků.

Scénáře použití: kvalifikovaný certifikát v praxi

Scénář 1: Právnická kancelář spravující akty s vysokou probativní hodnotou

Advokátní kancelář se zacílením na firemní právo s přibližně dvaceti partnery a spolupracovníky musí pravidelně podepisovat převody podílů, transakční protokoly a plné moci. Do té doby každý akt vyžadoval tisk, ruční podpis, skenování a poštovní odeslání – tedy průměrnou lhůtu 4 až 7 pracovních dnů na cyklus podpisů. Po nasazení kvalifikovaných cloud certifikátů (RQES) pro každého partnera byla tato lhůta snížena na méně než 4 hodiny pro akty nevyžadující notářský zásah. Kancelář odhaduje 65% snížení času věnovaného správě dokumentů a zaznamenala nula sporů o podpisy během prvních 18 měsíců používání. Řešení elektronického podpisu pro právnické kanceláře nabízená Certyneo se nativně integrují do tohoto typu pracovního toku.

Scénář 2: Malý podnik v průmyslu uzavírající smlouvy s veřejnými zadavateli

Malý podnik v metalurgii s přibližně 120 zaměstnanci pravidelně reaguje na dematerializované veřejné výběrové řízení na profilem kupujících. Je povinen elektronicky podepisovat nabídky a závazné akty s certifikátem na úrovni RGS** minimálně. Po získání dvou kvalifikovaných certifikátů (pro generálního ředitele a oprávněného obchodního ředitele) byl podnik schopen včas podávat nabídky bez cest a bez poštovního odeslání. Ročně to představuje přibližně 35 souborů veřejného výběrového řízení, což znamená odhadovanou úsporu přibližně 15 dnů-osob ročně pouze na správě dokumentů. Soulad eIDAS certifikátu zajišťuje také uznání jeho podpisů u německých a belgických zadavatelů, čímž se rozšiřuje jeho obchodní potenciál. Použijte náš kalkulátor ROI k odhadu potenciálních zisků ve vašem vlastním kontextu.

Scénář 3: Zdravotnické seskupení zajišťující citlivé HR a dodavatelské akty

Zdravotnické seskupení s přibližně 1 200 lůžky, které sloučuje několik zařízení, čelí ročnímu objemu přibližně 3 000 pracovních smluv, dodatků a závazků vůči dodavatelům. Oddělení lidských zdrojů a oddělení nákupu společně nasadily řešení kvalifikovaného podpisu s certifikáty vydanými pro oprávněné ředitele. Paralelně jsou dokumenty, které mají podepsat pracovníci, zpracovávány prostřednictvím pracovního postupu pokročilého podpisu, přičemž kvalifikovaný podpis je vyhrazen pro řídicí akty s vysokou právní hodnotou. Výsledek: průměrná lhůta pro finalizaci pracovní smlouvy klesla z 12 dnů na 2,5 dne a podíl neúplných souborů (chybějící podpis, nesprávná verze podepisující) se snížil o 78 %. Řešení elektronického podpisu ve zdravotnictví Certyneo integrují specifika regulační oblasti zdravotnického sektoru.

Závěr

Získání kvalifikovaného elektronického certifikátu je dnes nezbytným krokem pro každý podnik, který chce právně zabezpečit své digitální akty, splnit požadavky veřejných zákázek a vsadit se do rámce nařízení eIDAS. Daleko od toho, aby byl překážkou, je pákou konkurenceschopnosti: zkrácené lhůty na podpisy, neprůstřelný řetěz důkazů a nadnárodní uznání v celé Evropské unii.

Klíčové kroky, které je třeba si zapamatovat: vybrat QCSP zapsaný v seznamu důvěry ANSSI, připravit důkladný soubor registrace, vybrat cloud formát (RQES) pro usnadnění nasazení a integrovat certifikát do platformy v souladu s normami ETSI.

Certyneo vás provází v každém kroku: od výběru správné úrovně podpisu až po integraci do vašich obchodních procesů. Požádejte o bezplatnou demonstraci a zjistěte, jak nasadit kvalifikovaný podpis v méně než 48 hodinách ve vaší organizaci.