eIDAS 2 certificering udbyder signatur 2026

Hvorfor eIDAS 2-certificering ændrer vilkårene for udbydere

Siden ikrafttrædelsen af forordning (EU) 2024/1183 af 11. april 2024 – almindeligt kaldet eIDAS 2 – står udbydere af pålidelighedstjenester (PSC) inden for Den Europæiske Union over for en dybtgribende reformeret reguleringsramme. Revisionen af den oprindelige eIDAS-forordning fra 2014 går langt ud over at udvide omfanget af anerkendte tjenester: den skærper væsentligt vilkårene for akkreditering, introducerer nye garantiniveauer og styrker tilsynskravene fra nationale tilsynsmyndigheder. For enhver aktør, der ønsker at tilbyde kvalificerede elektroniske signaturer (QES) eller avancerede signaturer (AdES) på det europæiske marked, er det ikke længere valgfrit at forstå hvordan man opnår eIDAS 2-certificering for signaturudbyder – det er en strategisk forpligtelse.

Denne artikel giver et omfattende overblik over certificeringsprocessen: gældende retsregler, tekniske standarder, der skal overholdes, rolle for organernes vurdering af overensstemmelse (CAB), realistiske tidsplaner og operationelle risikofaktorer.

---

Det nye reguleringsmiljø for eIDAS 2: hvad der har ændret sig

Fra forordning 910/2014 til forordning 2024/1183: de vigtigste udvikling

Den oprindelige eIDAS-forordning (nr. 910/2014) lagde grunden til et enkelt digitalt tillidsmarked i Europa. Den definerede tre niveauer af signatur – simpel, avanceret og kvalificeret – og pålagde kvalificerede udbydere at figurere på nationale tillid-servicelister (TSL, Trust Service Lists). eIDAS 2 bevarer denne arkitektur, men udbyder den på flere strukturelle områder:

• Udvidelse af kvalificerede tjenester: kvalificeret elektronisk arkivering, elektroniske attestationer af egenskaber (AEA), fjernstyring af kvalificerede signaturopretnelsesudstyr (QSCD). Disse nye tjenester er nu underlagt samme akkrediteringsprocedure som kvalificeret signatur.
• Den europæiske digital identitetspung (EUDIW): udbydere, der ønsker at interagere med den kommende digitale identitetspung, skal påvise deres overensstemmelse med tekniske specifikationer udgivet af Kommissionen (ARF – Architecture and Reference Framework, v1.4, 2024).
• Styrket tilsyn: nationale tilsynsmyndigheder (i Frankrig ANSSI) har udvidet efterforskningsmyndighed og injunktionsbeføjelser. Kvalificerede PSC'er kan være genstand for uanmeldt revision.
• Forkortet varslingstidsfrister: enhver betydningsfuld sikkerhedshændelse skal meddeles den kompetente myndighed inden for 24 timer (i modsætning til 72 timer i den forrige version for visse hændelser).

For et samlet overblik over forordningen tilbyder Certyneo's eIDAS 2.0-vejledning en pædagogisk sammenfatning af alle disse ændringer.

Garantiniveauer og deres konsekvenser for certificering

Sondringen mellem avanceret og kvalificeret elektronisk signatur forbliver systemets omdrejningspunkt. Kun QES nyder en juridisk formodning om integritet og tilskrivning, der svarer til håndskrevet signatur (art. 25 i eIDAS 2-forordningen). Denne formodning er direkte afhængig af udbyderes certificering.

| Niveau | Bevisværdi | Udbyders krav | |---|---|---| | Simpel (SES) | Begrænset | Intet | | Avanceret (AdES) | Betydelig | God praksis + ETSI-standarder | | Kvalificeret (QES) | Maksimal (juridisk formodning) | Obligatorisk eIDAS 2-certificering |

---

Certificeringsprocessen for eIDAS 2 trin for trin

Trin 1 – Organisatoriske og tekniske forudsætninger

Før en udbyder formelt påbegynder certificeringsprocessen, skal vedkommende foretage en revision af modenhedsniveauet på tre områder:

1. Overensstemmelse med ETSI-standarder Normer i serien EN 319 udgør det uundværlige tekniske grundlag. De vigtigste er:

• ETSI EN 319 401: generelle krav for udbydere af pålidelighedstjenester
• ETSI EN 319 411-1 og 411-2: politikker og krav for certificeringsmyndigheder, der udsteder certifikater (PTC-QC-profiler for kvalificerede certificeringer)
• ETSI EN 319 421: politik og krav for tidsstempel-tjenesteudbydere
• ETSI EN 319 132: signaturformater XAdES (XML) og tilknyttede serier CAdES (CMS) og PAdES (PDF)

Overensstemmelse med disse standarder er ikke valgfri for kvalificerede udbydere: den er eksplicit påkrævet af Den Europæiske Kommissions gennemførelsesretsakter.

2. Sikkerhed for informationssystemer QSCD'er (signaturopretnelsesudstyr) skal være certificeret i henhold til Common Criteria (CC) EAL4+ eller tilsvarende. For fjernsignaturløsninger – den dominerende SaaS-model – omfatter kravene også HSM-moduler (Hardware Security Module) og procedurer for styring af kryptografiske nøgler (FIPS 140-2 niveau 3-minimum).

3. Sikkerhedspolitik (PSSI) og risikostyring Certificeringsdokumentet kræver en formaliseret PSSI, justeret til ISO/IEC 27001 (hvis certificering stærkt anbefales og nogle gange kræves af CAB'er) og integrering af NIS2-krav for enheder klassificeret som "vigtige" eller "væsentlige".

Trin 2 – Valg og engagement af overensstemmelsesvurderingsorgan (CAB)

I Frankrig er CAB'erne, der er akkrediteret af COFRAC (Comité Français d'Accréditation) til at vurdere pålidelighedstjenesteudbydere, få i antal. Som eksempler kan nævnes LSTI (Laboratoire de Sécurité des Technologies de l'Information) og Bureau Veritas Certification blandt de refererede aktører. På europæisk niveau udgiver hver medlemsstat en liste over dets notificerede CAB'er.

CAB'ens rolle er at gennemføre en overensstemmelsesrevision i to faser:

1. Dokumentgennemgang (Fase 1): undersøgelse af politikker, procedurer, Certifikationspraktiserklæring (DPC / CPS) og tekniske beviser.
2. Auditering på stedet (Fase 2): verifikation af operationelle kontroler, penetrationstests, interview med hold.

Den samlede varighed af en CAB-revision varierer normalt fra 4 til 8 uger afhængigt af kandidatens tidligere modenhed.

Trin 3 – Behandling af den nationale tilsynsmyndighed

I Frankrig er det ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), der behandler ansøgninger om registrering på den nationale tillidslist (TSL FR). På grundlag af CAB-revisionrapporten foretager ANSSI sin egen analyse og kan anmode om yderligere oplysninger eller korrigerende foranstaltninger.

Den regulatoriske behandlingsfrist er 3 måneder fra modtagelsen af et fuldt dokument (art. 17 i eIDAS 2-forordningen). I praksis er de faktiske tidsfrister ofte længere, hvis det oprindelige dokument er ufuldstændigt.

Efter registrering på den nationale TSL er udbyder automatisk refereret i EUTL (EU Trusted List), udgivet af Den Europæiske Kommission, hvilket giver ham øjeblikkelig transnational anerkendelse i alle 27 medlemsstater.

Trin 4 – Vedligeholdelse af kvalifikation og fornyelse

eIDAS 2-certificering er ikke definitiv. Kvalificerede udbydere er underlagt:

• Årlig overvågelsesrevision udført af CAB
• Fuld fornyelsesrevision hver 24 måneder (kortere cyklus sammenlignet med tidligere praksis)
• Uanmeldte kontroller muligt på initiativ fra ANSSI

Enhver væsentlig ændring af infrastrukturen (skift af HSM, udvikling af PKI, ny kvalificeret tjeneste) udløser en forudgående meddelelsesformal og kan påkalde en delvis revision.

---

Omkostninger, tidsfrister og risikofaktorer: hvad IT-direktøren skal forberede

Budget og personaleressourcer

Omkostningerne ved en første eIDAS 2-certificering er betydelige. Udgiftsposterne omfatter:

• CAB-revision: mellem 40.000 € og 120.000 € afhængigt af kompleksiteten af omfanget
• Teknisk overensstemmelsesforbedring (HSM, PKI, CC-certificeret QSCD): 80.000 € til flere hundredetusinde euro for en proprietær infrastruktur
• ISO 27001-certificering (anbefalet på forhånd): 15.000 til 50.000 € afhængigt af størrelse
• Juridisk rådgivning og DPC-udarbejdelse: 10.000 til 30.000 €
• Interne omkostninger: mobilisering af et dedikeret hold (RSSI, DPO, compliance-ansvarlig) i 12 til 18 måneder

Ved at summere alle disse poster repræsenterer en fuldstændig certificering en samlet investering på omkring 200.000 til 500.000 € for en udbyder af mellemstørrelse, ekskl. løbende vedligeholdelsesomkostninger.

Operationelle risikofaktorer

De mest almindelige årsager til fiasko eller forsinkelse i certificeringsprocedurer er:

1. En utilstrækkeligt detaljeret DPC: Certifikationspraktiserklæringen skal dokumentere hver kontrol med en granularitet, der nogle gange undervurderes.
2. Huller i nøglecyklusstyring: tilbagekald, arkivering, destruktion af private nøgler.
3. Utilstrækkelig hændelsesstyring: fravær af SIEM, testede krisenledelsesprocedurer, runbooks.
4. Undervurdering af NIS2: siden oktober 2024 klassificeres PSC-kvalificerede automatisk som "vigtige" enheder i henhold til NIS2-direktivet, med supplerende rapporterings- og risikostyringsobligationer.

For virksomheder, der ønsker at delegere disse begrænsninger til en allerede certificeret udbyder i stedet for at opbygge deres egen infrastruktur, hjælper sammenligningen af tilgængelige elektroniske signeringsløsninger på Certyneo med at objektivere denne build-vs-buy-beslutning.

---

eIDAS 2 og elektronisk signatur i virksomhed: transitionsudfordringer

For brugervirksomheder – i modsætning til udbydere – er certificering af eIDAS 2 for deres SaaS-signaturleverandør nu en uomgørlig valgkriterium. Integration af en klausul i udbudsmaterialet, der kræver registrering på den nationale TSL, er blevet standard praksis i regulerede sektorer (finans, sundhed, fast ejendom).

Elektronisk signatur i virksomhed kræver nemlig en klar skelnen mellem use cases, der kræver QES – privatrettslige dokumenter med høj indsats, fulmagter, elektroniske notaroplysninger – og dem, hvor AdES er tilstrækkelig. Denne kortlægning af brugen bestemmer direkte det serviceniveau, der kontraktligt kan kræves af udbyder.

Organisationer, der migrerer fra en eksisterende løsning til en allerede certificeret eIDAS 2-udbyder, skal også forvente portabilitet af bevisfiler. Vejledningen om migration fra DocuSign eller YouSign til Certyneo præciserer god praksis for at bevare bevisværdien af allerede signerede dokumenter under overgangen.

Retligt bindende ramme for eIDAS 2-certificering

Grundlagstekster

Certificering af pålidelighedstjenesteudbydere hviler på en tæt samling af regulatoriske normer, som det er vigtigt at beherske fuldt ud:

Forordning (EU) 2024/1183 af 11. april 2024 (eIDAS 2): referencetekst, der ophæver og erstatter de tilsvarende bestemmelser i forordning 910/2014. Den definerer betingelserne for opnåelse og vedligeholdelse af status som kvalificeret udbyder, nationale tilsynsobligationer og krav til nye tjenester (EUDIW, AEA).

Forordning (EU) nr. 910/2014 (eIDAS 1): stadig delvis gældende for bestemmelser, der ikke er ændret; gennemførelsesakter og delegerede retsakter vedtaget under denne forordning forbliver gældende, indtil de formelt revideres.

Fransk civillov, artikler 1366 og 1367: artikel 1366 fastslår princippet om ækvivalens af elektronisk signatur med håndskreven signatur under betingelse af pålidelighed; artikel 1367 præciserer, at pålidelighed formodes, indtil det modsatte er bevist, når kvalificeret signatur bruges. Disse nationale bestemmelser artikuleres direkte med den juridiske formodning i art. 25 eIDAS 2.

Direktiv (EU) 2022/2555 (NIS2): transponeret til fransk ret ved lov af 15. oktober 2024, den klassificerer automatisk udbydere af pålidelighedstjenester blandt vigtige enheder. Obligationer: indberetning til ANSSI inden for 72 timer for enhver væsentlig hændelse, etablering af formaliseret cybersikkerhedsrisikostyring, periodisk sikkerhedsrevision.

Forordning (EU) 2016/679 (GDPR): Signaturtjenesteudbydere behandler følsomme personlige oplysninger (signatarers identitet, revisionsloggene). Overholdelse af principperne om minimering, opbevaringsfrister og integritet kræver en specifik konsekvensanalytisk vurdering (AIPD). Det juridiske grundlag for behandlingen skal dokumenteres for hver tjeneste.

Tekniske standarder med regelmæssig værdi

Kommissionens gennemførelsesretsakter (især gennemførelsesafgørelse (EU) 2015/1506 og dens revisioner) udpeger ETSI-normer som praesumtivt i overensstemmelse:

• ETSI EN 319 401: generelle TSP-krav
• ETSI EN 319 411-1 og 411-2: certificeringspolitikker
• ETSI EN 319 421: kvalificeret tidsstempel
• ETSI EN 319 132 / 122 / 102: AdES-formater (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: fjernunderskrift-tjenester

Juridiske risici i tilfælde af non-overensstemmelse

Bedragerig eller uagtsom brug af statussen som kvalificeret udbyder udsætter for administrative sanktioner vedtaget af ANSSI (suspension, fjernelse fra tillidslist) og strafferetlige forfølgelse (art. 226-17 i Straffeloven for manglende datakryptering). Civilt kan omstridt værdi af signaturer udstedt i en period med non-overensstemmelse påberåbe udbyderes kontraktlige ansvar over for sine kunder.

Brugsscenarier: eIDAS 2-certificering i praksis

Scenarie 1 – En SaaS-udgiver af mellemstørrelse, der sigter mod QES-kvalificering

En virksomhed, der specialiserer sig i dokumentdematisering, beskæftiger omkring hundrede medarbedere og administrerer flere millioner signaturtransaktioner årligt for kunder i bank- og forsikringssektoren, beslutter at ansøge om eIDAS 2-kvalificering for sin elektroniske signaturservice. Hidtil har virksomheden tilbudt avanceret signatur baseret på certifikater (AdES), der er tilstrækkelig for størstedelen af dets klientkontrakter, men utilstrækkelig for akter, der kræver maksimal bevisværdi (SEPA-fuldmagter, notariale beviskonventioner).

Efter en intern revision på 3 måneder, der viser omkring femten større uoverensstemmelser med ETSI EN 319 411-2-kravene, engagerer virksomheden et overensstemmelsesprogram på 14 måneder. De vigtigste projekter vedrører udskiftning af eksisterende HSM'er med FIPS 140-2 niveau 3-certificerede moduler, redaktion af en 180-sides DPC og indhentelse af ISO 27001-certificering forud for CAB-revisionen. Den samlede investering når 340.000 €. Efter processen tillader registrering på den franske TSL virksomheden at få adgang til udbudskonkurrencer, hvorfra den tidligere var systematisk udelukket, hvilket repræsenterer et kommercielt potentiale på omkring 20 % yderligere omsætning.

Scenarie 2 – En hospitalsklinik, der integrerer kvalificeret signatur for medicin-juridiske akter

En hospitalsklinik med omkring 1.200 senge ønsker at dematisere sine procedurer for informeret samtykke, delegering af medicinske bemyndigelser og kliniske forsøgskontrakter. Disse dokumenter falder inden for den kategori af akter, for hvilke QES kræves eller stærkt anbefales af HAS-rammer og det juridiske miljø for sundhedsdata (art. L. 1110-4 CSP).

I stedet for at certificere en intern infrastruktur – mulighed vurderet som for dyr og uden for kerneforretningen – vælger kliniken integration af en tredjepartsudbyder, der allerede er registreret på TSL. IT-afdelingen gennemfører en compliance-revision af leverandøren baseret på ETSI EN 319 401 checkl og verifikation af faktisk tilstedeværelse på EUTL før kontraktualisering. Implementering, gennemført på 4 måneder, reducerer signaturopsamlingstiden på forskning med 65 % og eliminerer risikoen for juridisk indsigelse relateret til tidligere brug af simple signaturer for følsomme akter.

Scenarie 3 – Et erhvervsadvokatbureau, der sikrer sine privatrettslige dokumenter

Et erhvervsadvokatbureau med omkring tredive associerede, der årligt administrerer tæt på 400 fusioner og opkøbstransaktioner, søger at styrke signaturen af dets komplekse privatrettslige dokumenter. Den enkelte transaktionsværdi overstiger hyppigt en million euro, og enhver formel mangel kan påberåbe bureauets erhvervsmæssige ansvar.

Efter analysen endes IT-hold og managing partner på det minimale kontraktlige krav om en QES udstedt af en certificeret eIDAS 2-udbyder for enhver akt med værdi over 100.000 €. Kriteriet for udvælgelse af udbyder inkluderer obligatorisk verifikation af TSL-registrering og tilgængelighed af ETSI-overensstemmelsesgodkendelse (mindre end 12 måneder). Denne ramme tillader bureauet at reducere over 80 % af anmodningerne om mod-ekspertise om signaturvaliditet ved senere tvister, ifølge de feedback, der observeres fra sammenlignelige strukturer i sektoren.

Konklusion

At opnå eIDAS 2-certificering som udbyder af elektronisk signaturservice er en krævende, dyr og langvarig proces – men uomgørlig for enhver aktør, der ønsker at tilbyde maksimale juridiske garantier til sine kunder på det europæiske marked. Mellem overensstemmelsesforbedring med ETSI-standarder, passage af CAB-revision, behandling af ANSSI og vedligeholdelse af kvalificering over tid, mobiliserer indsatsen væsentlige ressourcer over 12 til 24 måneder.

For brugervirksomheder er det gode nyhed, at det ikke er nødvendigt at bygge denne infrastruktur internt: valg af en allerede certificeret eIDAS 2 SaaS-udbyder registreret på den nationale tillidslist gør det muligt straks at drage fordel af den juridiske formodning knyttet til QES uden at påtage sig certificeringsomkostninger.

Certyneo er en pålidelighedsudbyder, der er certificeret, designet til B2B-virksomheder, der kræver juridisk stringens og brugervenlighed. Udforsk vores priser og start din gratis prøveperiode i dag.