Kvalificeret elektronisk certifikat til virksomheder: Guide 2026

Hvorfor det kvalificerede elektroniske certifikat er blevet uundværligt for virksomheder

I en tid, hvor dematerialisering af kontraktprocesser accelererer på tværs af alle sektorer, bliver spørgsmålet om det kvalificerede elektroniske certifikat et strategisk fokusområde for juridiske direktioner, IT-direktioner og direktioner generelt. Ifølge ANSSI's årsrapport 2024 reducerede mere end 78 % af de franske små og mellemstore virksomheder, der har indført kvalificeret elektronisk signatur, deres kontraktindgåelsestider med mere end 60 %. Alligevel blander mange stadig simpel, avanceret og kvalificeret signatur sammen - med risiko for at udsætte deres juridiske handlinger for indvendinger. Denne artikel guider dig trin for trin gennem, hvad et kvalificeret elektronisk certifikat er, hvordan du får det i overensstemmelse med RGS- og eIDAS-rammen, og hvordan du implementerer det effektivt inden for din organisation.

Hvad er et kvalificeret elektronisk certifikat?

Et elektronisk certifikat er en digital fil udstedt af en certificeringsmyndighed (AC), som knytter identiteten af en fysisk eller juridisk person til en offentlig kryptografisk nøgle. Det udgør den vigtigste del, der tillader en tredjepart at verificere ægtheden og integriteten af en digital signatur.

Betegnelsen "kvalificeret" refererer til en præcis definition fra den europæiske forordning eIDAS (nr. 910/2014, artikel 28): certifikatet skal udstedes af en Kvalificeret Leverandør af Tillidsydelser (PSCQ), der er registreret på den nationale tillideliste (i Frankrig offentliggjort af ANSSI). Det skal desuden opfylde de tekniske krav i normen ETSI EN 319 411-2, som regulerer certificerings- og praksis-politikker.

I praksis garanterer et kvalificeret certifikat:

• Verificeret identitet for underskriveren (dokumentarisk verifikation ansigt-til-ansigt eller med tilsvarende godkendt middel);
• Integritet af det signerede dokument (enhver senere ændring er påviselig);
• Non-afvisning (underskriveren kan ikke benægte at have anbragt sin signatur).

Forskel mellem simpel, avanceret og kvalificeret signatur

eIDAS-forordningen skelner mellem tre niveauer af elektronisk signatur, som hver er forbundet med et certifikatniveau:

| Niveau | Påkrævet certifikat | Bevisværdi | Typisk brug | |---|---|---|---| | Simpel | Ikke påkrævet | Lav | Almindelige ordrer | | Avanceret | Avanceret certifikat (PSCQ) | Middel | Kommercielle B2B-kontrakter | | Kvalificeret | Kvalificeret certifikat (kvalificeret PSCQ) | Maksimal, ækvivalent med håndskrift | Notarielle dokumenter, offentlige udbud, følsomme HR |

For kvalificeret signatur - den eneste, der nyder godt af den juridiske præsumption for ækvivalens med håndskrift (artikel 1367 Borgerlig Lovbog) - er et kvalificeret certifikat absolut påkrævet. For mere om niveauforskelle, se vores fuldstændige guide til elektronisk signatur.

---

RGS-rammen: Særlige franske forhold at kende

I Frankrig definerer Referential General Security (RGS), etableret ved dekret nr. 2010-112 og regelmæssigt opdateret af ANSSI, sikkerhedskravene for statsadministrationernes informationssystemer. For virksomheder, der kontraktér med offentlige enheder (offentlige udbud, elektroniske procedurer), er overholdelse af RGS ofte en kontraktuel eller lovmæssig forpligtelse.

RGS-niveauer gældende for certifikater

RGS definerer tre stjerner kvalificering for certifikater:

• RGS* (en stjerne): basalniveau, egnet til almindelig brug med lav følsomhed;
• RGS (to stjerner)**: mellemliggende niveau, påkrævet for de fleste elektroniske offentlige procedurer;
• RGS (tre stjerner)*: højt niveau, for handlinger med høj juridisk eller økonomisk indsats.

For dematerialiserede offentlige udbud via køber-profilen pålagde dekret nr. 2016-360 (artikler 39 og 40) generelt en signatur på niveau RGS minimum, hvilket indebærer et tilsvarende kvalificeret certifikat.

Artikulation mellem RGS og eIDAS

Siden eIDAS-forordningens ikrafttrædelse eksisterer de to referencerammer side om side. Et certifikat kvalificeret i henhold til eIDAS anses for at opfylde RGS**-kravene i langt de fleste tilfælde. ANSSI har publiceret korrespondensetabeller, der muliggør kontrol af kompatibilitet. Det anbefales derfor at virksomheder, som arbejder med både private og offentlige partnere, prioriterer et eIDAS-kvalificeret certifikat udstedt af en PSCQ registreret på den franske tillideliste - dette dækker samtidigt begge referencerammer.

For mere dybde i den europæiske forordning, detaljerer vores eIDAS 2.0-guide de vigtigste ændringer planlagt og deres indvirkning på franske virksomheder.

---

Sådan får du et kvalificeret elektronisk certifikat: Trin-for-trin proces

At få et kvalificeret elektronisk certifikat er ikke en triviel operation: det medfører en grundig verifikation af ansøgerens identitet og, for en juridisk person, hans juridiske repræsentation. Her er hovedtrinene.

Trin 1: Identificer den rigtige kvalificerede tillidsydelse

I Frankrig er de PSCQ'er, der er bemyndiget til at udstede kvalificerede certifikater, opført på Trust Service Status List (TSL) offentliggjort af ANSSI (tilgængelig på esignature.gouv.fr-portalen). Blandt de aktører, der findes på denne liste, finder man blandt andet AC'er som CertEurope, Certinomis (datterselskab af La Poste), Keynectis eller andre europæiske udbydere anerkendt ifølge eIDAS gensidig anerkendelse-princippet.

Udvælgelses-kriterier at undersøge:

• Faktisk tilstedeværelse på den franske og/eller europæiske TSL;
• Certifikatformat tilbudt (software, på chipkort, HSM-cloud);
• Kompatibilitet med din eksisterende IT-infrastruktur;
• Prisfastsættelse og gyldigheds periode (generelt 1 til 3 år);
• Supportniveau og enroll-tid.

Trin 2: Sammensætning af indmeldingsdokumentationen

For en virksomhed kræver ansøgningen om et kvalificeret certifikat fremsendelse af dokumenter, der påviser både bærerens identitet (fysisk person) og hans evne til at repræsentere den juridiske person. Typisk krævede dokumenter er:

• Officiel identitetspapirer på bærer (pas, ID-kort);
• Ekstraktum Kbis mindre end 3 måneder gammel (eller ækvivalent for sammenslutninger, offentlige institutioner);
• Fuldmagtsafgivelse, hvis bærer ikke er en lovpligtig juridisk repræsentant;
• Ansøgningsformular specifik for den valgte PSCQ.

Identitetsverifikation skal foretages ansigt-til-ansigt for en registreringscenter (OE) bemyndiget af PSCQ'en, eller ved en godkendt fjernverifikationsproces (videoidentifikation i overensstemmelse med ETSI TS 119 461-normen).

Trin 3: Modtagelse og aktivering af certifikat

Afhængigt af det valgte format leveres certifikatet:

• På en kvalificeret signaturkreationsenhed (QSCD): kryptografisk USB-nøgle eller certificeret chipkort Common Criteria EAL 4+;
• Via en fjernede signeringstjeneste (Remote Qualified Electronic Signature — RQES) administreret af PSCQ'en, hvor den private nøgle hostes i en certificeret HSM (Hardware Security Module) ifølge ETSI EN 419 241-normen.

Implementering af en RQES-tjeneste er i dag den mest valgte løsning blandt virksomheder, da den undgår fysisk håndtering af kryptografiske bærere, mens den opretholder kvalificeret overholdelse. Sammenlign elektroniske signaturløsninger for at identificere modellen, der passer bedst til din sammenhæng.

Trin 4: Integration i dine forretningsprocesser

Når certifikatet er fremskaffet, integreres det i virksomhedens dokumentstrømme generelt gennem en SaaS-elektronisk signeringsplatform. Denne skal nødvendigvis være kompatibel med ETSI-standarder (XAdES, PAdES, CAdES) for at garantere interoperabilitet og varighed af digitale beviser. Vores artikel om elektronisk signatur i virksomheder vil hjælpe dig med at strukturere denne implementering.

---

Omkostning, gyldighed og fornyelse: Hvad virksomheder skal forudse

Prisintervaller i 2026

Priserne for kvalificerede certifikater varierer betydeligt efter format og udbyder:

• Certifikat på fysisk bærer (USB-nøgle/chipkort): mellem 80 € og 250 € ekskl. moms pr. bærer og pr. år;
• Cloud-kvalificeret certifikat (RQES): mellem 40 € og 150 € ekskl. moms pr. bærer og pr. år, efter volumen;
• Virksomhedspakker: betydelige rabatter gælder fra 10 bærere og kan nå 30 til 40 % af enhedsprisen.

Disse omkostninger skal ses i sammenhæng med de opnåede besparelser: eliminering af printouts, porto, postalbehandlingstider og tvister relateret til omstridte signaturer.

Gyldigheds periode og fornyelse

Gyldigheden af et kvalificeret certifikat fastsættes generelt til 1, 2 eller 3 år afhængigt af det valgte tilbud. Ved udløb forbliver dokumenter, der tidligere blev signeret, gyldige (forudsat deres integritet bevares via en kvalificeret tidsstenings-tjeneste), men nye dokumenter kan ikke signeres med det udløbne certifikat. Det er derfor bydende nødvendigt at etablere en proces for overvågning og fornyet forudsigelse - ideelt set 60 dage før udløb.

Tilbagekaldelse og håndtering af hændelser

Hvis den private nøgle kompromitteres (tab, tyveri af bærer, mistanke om udlækkelse), skal certifikatet være straks tilbagekaldt hos PSCQ'en. Sidstnævnte offentliggør tilbagekaldelsen i sit Certificate Revocation List (CRL) eller via OCSP-protokollen, hvilket gør enhver senere signatur med dette certifikat ugyldig. Den interne sikkerhedspolitik skal derfor forudsæ et dedikeret kontaktpunkt og en varslingsfrist på mindre end 24 timer.

---

Bedste praksis for succesrig implementering i virksomheden

Styring og interne roller

Succesfuld implementering beror på klar styring. Det anbefales at udpege:

• En PKI-ansvarlig (Public Key Infrastructure) på IT-siden, ansvarlig for forholdet til PSCQ'en og overvågning af fornyelser;
• En juridisk referent, der validerer brugstilfælde, der kræver kvalificeret signatur (vs. avanceret);
• Delegerede administratorer pr. afdeling til operativ styring af bærere.

Uddannelse og ændringsledelse

Indhentelse af et kvalificeret certifikat er ikke nok: medarbejdere skal forstå, hvordan man bruger deres certifikat, hvornår det skal aktiveres, og hvordan man reagerer ved hændelser. En kort træningsplan (1 til 2 timer) og dokumenterede procedurer reducerer væsentligt brugsfejl og supportanmodninger.

Revision og sporbarhed

For at opfylde bevisforpligtelser skal du vedligeholde en tidsstemplet revisjonslog for hver signatur: identiteten på underskriveren, dokumentfingeraftrykket, certificeret dato/tidspunkt, certifikat-identifikator. Disse data udgør grundlaget for beviskæden ved tvist. ETSI EN 319 132 (XAdES)-normen har formater til signatur inkluderet disse oplysninger.

Gældende juridisk ramme for kvalificerede elektroniske certifikater

Borgerlig Lovbog og bevisværdi

I dansk ret fastslår artikel 1366 i Borgerlig Lovbog princippet om ækvivalens mellem elektronisk og papirfølge, forudsat at "identiteten af den person, hvorfra den stammer, er dueligt sikret og den er udformet og bevaret under betingelser, som garanterer dens integritet". Artikel 1367 stk. 2 præciserer, at kvalificeret elektronisk signatur nyder godt af en juridisk præsumption om pålidelighed: det er det påstand, der bestrides, signaturens bevisbyrde faller på, hvilket vender bevisbyrden til underskriverens favør.

eIDAS-forordning nr. 910/2014

Den europæiske forordning eIDAS (nr. 910/2014), direkte gældende i alle medlemsstater siden 1. juli 2016, udgør det overnormnormative fundament. Dens artikel 25(2) stipulerer, at "en kvalificeret elektronisk signatur har en juridisk virkning svarende til en håndskrift". Artikler 28 og 29 definerer krav til kvalificerede certifikater og kvalificerede signaturkreationsenheder (QSCD). Bilag I viser de obligatoriske oplysninger i et kvalificeret certifikat (OID-politikoversigt, PSCQ-identitet, offentlig nøgle, gyldightstatuser osv.).

Udvikling af eIDAS 2.0

eIDAS 2.0-forordningen (EU-forordning 2024/1183, i kraft siden 20. maj 2024) introducerer den europæiske digitale identitets-pung (EUDIW) og styrker tilgængelighed til kvalificerede tillidsydelser. Virksomheder skal planlægge integrationen af disse nye identifikationsmekanismer inden 2026-2027.

Gældende ETSI-normer

• ETSI EN 319 411-2: politik og praksis for PSCQ'er, der udsender kvalificerede certifikater;
• ETSI EN 319 132 (XAdES) og ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES): formater til avanceret og kvalificeret elektronisk signatur;
• ETSI EN 419 241: krav til signaturservere (RQES).

GDPR og databeskyttelse

Behandlingen af personoplysninger under indmeldingen (identitetsverifikation, dokumentindsamling) er underlagt GDPR nr. 2016/679. PSCQ'en og virksomhedskunden er samansvarlige for eller i et relation mellem ansvarlig/databehandler afhængigt af konfigurationen. En DPA (Data Processing Agreement) i overensstemmelse med GDPR-artikel 28 skal underskrives. Indmeldingsoplysninger skal opbevares i hele certifikatets levetid plus de gældende forældelsesfrist (5 år i kontraktmål).

NIS2-direktiv og sikkerhed for infrastrukturer

NIS2-direktivet (2022/2555/EU), transponeret til fransk ret ved lov nr. 2024-449, pålægger væsentlige og vigtige enheder implementering af risikostyringsforanstaltninger, herunder sikkerhed for digitale forsyningskæder. Brug af en kvalificeret PSCQ registreret på den nationale TSL udgør en anerkendt bedste praksis for delvis opfyldelse af disse krav.

Brugsscenarier: Det kvalificerede certifikat i praksis

Scenario 1: Et juridisk kontor, der håndterer handlinger med høj bevisværdi

Et privatretligt advokatkontor med omkring tyve advokater og medarbejdere skal regelmæssigt signere andelekøbdokumenter, transaktionsprotokoller og retsmandater. Indtil videre krævede hver handling udprint, håndskriftssignatur, scanning og postal forsendelse - det betyder omkring 4 til 7 arbejdsdage mellem hver signaturfase. Efter implementering af cloud-kvalificerede certifikater (RQES) for hver partner reduceres denne tidsperiode til mindre end 4 timer for dokumenter, der ikke kræver notarielt indblanding. Kontoret estimerer en 65 procents reduktion i administrativ tid relateret til dokumenthåndtering og har ikke registreret underskriftstvister over de første 18 måneder med brug. Elektroniske signaturløsninger til juridiske kontorer tilbudt af Certyneo integreres naturligt i denne arbejdsgang.

Scenario 2: En små og mellemstore industri-virksomhed, der kontraktér med offentlige afsendere

En små og mellemstore virksomhed i metallurgi-sektoren med omkring 120 medarbejdere reagerer regelmæssigt på elektronisk dematerialiserede offentlige udbud på køber-profiler. Det er forpligtet til elektronisk at signere sit tilbud og forpligtelser med et certifikat på RGS**-niveau minimum. Efter at have skaffet to kvalificerede certifikater (til direktøren og en autoriseret kommerciel direktør) kunne små og mellemstore virksomheden indsende sit tilbud inden for de fastsatte frister uden at skulle afsted eller sende post. I løbet af et år repræsenterer dette omkring 35 ansøgninger til offentlige udbud, svarende til en estimeret besparelse på omkring 15 arbejdsdage pr. år på eneste dokumenthåndtering. eIDAS-overholdelsen af certifikatet sikrer også anerkendelse af sine signaturer hos tyske og belgiske offentlige afsendere, hvilket udvider sit kommercielle område. Brug vores ROI-beregner til at estimere potentielle gevinster i din egen sammenhæng.

Scenario 3: En sundhedsgruppe sikrer HR- og leverandør-handlinger

En hospitalgruppe med omkring 1.200 senge, samlet af flere institutioner, står over for et årligt volumen på cirka 3.000 arbejdskontrakter, ændringer og leverandørforpligtelser. HR-direktionen og indkøbsdirektionen har i fællesskab implementeret en kvalificeret signaturløsning med certifikater udstedt til autoriserede direktioner. Parallelt behandles dokumenter, der skal signeres af agenter via en avanceret signaturarbejdsgang, og kvalificeret signatur er forbeholdt ledelseshandlinger med høj juridisk værdi. Resultat: den gennemsnitlige tid for at færdigstille en arbejdskontrakt er faldet fra 12 dage til 2,5 dage, og procentdelen af ufuldstændige dossier (manglende signatur, forkert version signeret) er faldet med 78 procent. Elektroniske signaturløsninger inden for sundhed fra Certyneo integrerer sundhedssektorens særlige reguleringsmæssige aspekter.

Konklusion

At få et kvalificeret elektronisk certifikat er i dag et obligatorisk trin for enhver virksomhed, der ønsker at sikre sine digitale handlinger juridisk, opfylde krav fra offentlige udbud og tilslutte sig eIDAS-reguleringsrammen. Langt fra at være en begrænsning er det et kompetitivitetsværktøj: reducerede signaturtider, en uanfægtelig beviskæde og genkendelse på tværs af hele Den Europæiske Union.

Vigtigste trin at huske: vælg en PSCQ registreret på ANSSI's tillideliste, sammensæt grundige indmeldingsdokumenter, vælg cloud-format (RQES) for at lette implementering, og integrer certifikatet i en platform i overensstemmelse med ETSI-normer.

Certyneo ledsager dig ved hvert trin: fra valg af det rigtige signaturni til integration i dine forretningsprocesser. Anmod om en gratis demonstration og se, hvordan du implementerer kvalificeret signatur på mindre end 48 timer i din organisation.