eIDAS-overholdelse for SMV'er: den komplette tjekliste for 2026

Den europæiske eIDAS-forordning (EU nr. 910/2014, som snart skal ændres af eIDAS 2.0) regulerer elektroniske signaturer i hele Den Europæiske Union. For en SMV er overholdelse ikke kun en boks at kontrollere: det er garantien for, at dens kontrakter kan håndhæves, at dens signaturdata er beskyttet, og at den beskytter sig selv mod juridiske risici, der kan være dyre. Her er tjeklisten for 2026 med 12 konkrete punkter for at kontrollere, at din SMV er fuldt ud eIDAS-kompatibel.

Punkt 1: vælg det rigtige signaturniveau

Første refleks: kortlæg dine kontrakttyper og tilknyt et målniveau. Standard kommercielle kontrakter (tilbud, indkøbsordrer, simple NDA'er): SES er nok. Ansættelseskontrakter, lejekontrakter, følsomme NDA'er, strategiske aftaler: AES minimum, gerne med OTP SMS. Regulerede handlinger (advokat, notar, offentlige kontrakter over en tærskelværdi): Obligatorisk QES. Uden denne kortlægning risikerer du underdimensionering (afvist kontrakt) eller overdimensionering (for høje omkostninger).

Punkt 2: Tjek tjenesteudbyderens kvalifikation

Din tjenesteudbyder skal være en betroet tjenesteudbyder (QTSP) eller stole på en QTSP for AES/QES-niveauer. Se listen over tillidstjenester udgivet af ANSSI (eidas.ssi.gouv.fr) og den europæiske troværdighedsliste (webgate.ec.europa.eu/tl-browser). De franske reference QTSP'er: Certigna, Docaposte, Certinomis, Universign. For SES/AES via platform (Certyneo, Yousign osv.), tjek deres eksplicit dokumenterede eIDAS-overholdelse.

Punkt 3: Test revisionssporet

Underskriv en testkonvolut og saml revisionssporet (normalt en separat PDF). Den skal indeholde: underskriverens identitet og e-mail, tidsstempel for hvert trin (afsendelse, åbning, validering, signatur), IP-adresse, brugeragent, dokumentets hash, OTP-validering, hvis AES. Hvis et af disse elementer mangler, svækkes bevisværdien. Certyneo giver det komplette revisionsspor selv på en gratis plan.

Punkt 4: kontroller tidsstemplet

Tidsstemplet skal være udstedt af en Time Stamp Authority (TSA) i overensstemmelse med RFC 3161. Et tidsstempel blot fra en virksomheds NTP-server er ikke nok. Åbn den signerede PDF i Adobe Reader: Fanen Signaturer → Detaljer → Tidsstempel. Du bør se et gyldigt TSA-certifikat og et certificeret ur der. Hvis PDF-filen ikke har et certificeret tidsstempel, skal du gå tilbage til valget af tjenesteudbyder.

Punkt 5: arkiv i mindst 10 år

Handelsloven (artikel L. 123-22) kræver 10 års opbevaring af kommercielle dokumenter. Arbejdsloven pålægger 5 år for ansættelseskontrakter efter ophør. Arkivering skal bevare integritet (hash, plombering) og adgang. Ideelt: PDF/A-format (ISO 19005), dobbelt lagring (primær + off-site backup), kvalificeret elektronisk pengeskab (CFE) for maksimal bevisførelse. Certyneo arkiverer som standard 10 år og tilbyder eksport til CFE-partnere.

Punkt 6: Tjek datalokalisering

Hvor er dine signaturdata hostet? For en fransk SMV, der beskæftiger sig med følsomme kontrakter, skal du vælge fransk eller EU-hosting. Spørg din tjenesteudbyder om listen over underleverandører og deres placering (artikel 28 GDPR). Undgå løsninger, der er underlagt den amerikanske Cloud Act for strategiske kontrakter. Certyneo er hostet i Frankrig uden Cloud Act-afhængighed. Se vores artikel om /blog/cloud-act-signature-electronique.

Punkt 7: artikulere med GDPR

Signatur og GDPR er tæt forbundet: hver konvolut indeholder personlige data (navn, e-mail, IP, telefon). Sørg for, at dit behandlingsregister (art. 30 GDPR) indeholder den elektroniske signatur, at opbevaringsperioderne er konsistente (10 år), og at enkeltpersoners rettigheder kan implementeres (adgang, berigtigelse, portabilitet). Hvis du anmoder om mange underskrifter, anbefales en DPO. Se vores artikel /blog/signature-electronique-rgpd.

Punkt 8: Identificer underskrivere opstrøms

For et solidt AES starter identifikation ikke med signering: det starter med dataindsamling. Tjek e-mails (ingen aliaser, ingen postliste), telefonnumre (ingen delt linje), og hold styr på kilden til identifikation (ID for tunge kontrakter, eksisterende kunde KYC for løbende kontrakter). Denne due diligence gør beviserne solide i tilfælde af en tvist.

Punkt 9: træne holdene

Dit salgs-, HR- og juridiske team skal forstå reglerne: Tving aldrig en underskriver til at bruge en tredjepartsenhed, returner aldrig en ændret, signeret PDF, indsæt aldrig et scannet signaturbillede i stedet for en ægte signatur. En times træning pr. hold er nok til at indgyde gode reflekser. Certyneo giver en komplet guide til at dele internt (/ressourcer). 10 Anmod også om SOC 2 Type II eller tilsvarende, hvis du behandler store mængder. For Certyneo er disse dokumenter tilgængelige på /legal og /security.

Dit salgs-, HR- og juridiske team skal forstå reglerne: Tving aldrig en underskriver til at bruge en tredjepartsenhed, returner aldrig en ændret, signeret PDF, indsæt aldrig et scannet signaturbillede i stedet for en ægte signatur. En times træning pr. hold er nok til at indgyde gode reflekser. Certyneo giver en komplet guide til at dele internt (/ressourcer). 10 Anmod også om SOC 2 Type II eller tilsvarende, hvis du behandler store mængder. For Certyneo er disse dokumenter tilgængelige på /legal og /security.

Punkt 11: klargør eIDAS 2.0 og EUDI-pungen

eIDAS 2.0-forordningen (EU 2024/1183) træder i kraft gradvist og kræver, at medlemslandene implementerer en EUDI-pung inden udgangen af ​​2026. Denne QES vil ikke nødvendigvis give adgang til en fjernregistrering af en fysisk pung. Forbered din SMV: Tjek, at din tjenesteudbyder har en EUDI Wallet-køreplan, følg kommunikationen fra ANSSI og Europa-Kommissionen. Se /blog/eidas-2-nouveau-reglement-2026.

eIDAS 2.0-forordningen (EU 2024/1183) træder i kraft gradvist og kræver, at medlemslandene implementerer en EUDI-pung inden udgangen af ​​2026. Denne QES vil ikke nødvendigvis give adgang til en fjernregistrering af en fysisk pung. Forbered din SMV: Tjek, at din tjenesteudbyder har en EUDI Wallet-køreplan, følg kommunikationen fra ANSSI og Europa-Kommissionen. Se /blog/eidas-2-nouveau-reglement-2026.

Punkt 12: revision årligt

Overholdelse er ikke en erhvervet status: det er en løbende proces. Planlæg en årlig revision (intern eller ekstern) for at kontrollere: lovgivningsmæssige ændringer, udvikling af tjenesteudbydere, opdateret kortlægning af kontrakttyper, effektiv fastholdelse, uddannelse af nye rekrutter. En let revision tager en halv dag for en SMV og undgår mange overraskelser. Start med at oprette en gratis Certyneo-konto på certyneo.com/signup for at teste overholdelse af den virkelige verden, og tjek derefter vores eIDAS-guide for at grave dybere (/guide/eidas).