Kvalificerede eIDAS-udbydere: den officielle liste 2026

Hvorfor er statusen "kvalificeret" eIDAS afgørende for din virksomhed?

Siden eIDAS-forordningen (nr. 910/2014) trådte i kraft, har det europæiske marked for elektronisk underskrift reorganiseret sig omkring et tre-niveauhierarki: simpel elektronisk underskrift (SES), avanceret elektronisk underskrift (AES) og kvalificeret elektronisk underskrift (QES). Sidstnævnte er den eneste, der nyder godt af en juridisk formodning om ækvivalens med håndskrevet underskrift i alle medlemsstater i Den Europæiske Union.

For at en virksomhed kan tilbyde kvalificerede underskrifter, skal den være blevet revideret og indskrevet på tillidsfortegnelsen (Trust List) for sin medlemsstat. I Frankrig er det Agence nationale de la sécurité des systèmes d'information (ANSSI), der fører dette officielle register, som igen offentliggøres på den centraliserede europæiske liste, der administreres af Kommissionen.

At forstå denne arkitektur er grundlæggende, før du undertegner nogen som helst følsom kommerciel kontrakt. For at gå dybere ind i de regulatoriske grundlag beskriver vores komplet guide til eIDAS 2.0-forordningen alle forpligtelser og udvikling introduceret af den reviderede eIDAS 2.0-forordning (EU-forordning 2024/1183).

---

Hvordan certificeres udbydere af kvalificerede tillidsservices?

Vejen til status som Qualified Trust Service Provider (QTSP) er krævende. Det indebærer en revision foretaget af et akkrediteret organisme til vurdering af overensstemmelse (CAB, Conformity Assessment Body) i henhold til ETSI EN 319 401-standarder (generelle krav) og ETSI EN 319 411-2 for kvalificerede certifikater.

ANSSI-kvalifikationstrinnene

1. Indgivelse af kvalifikationsdokumentation: udbydaren indsender sin tekniske, sikkerhedsmæssige og organisatoriske dokumentation til ANSSI.
2. Revision af akkrediteret CAB: en tredjepartsorganisation — såsom Bureau Veritas, LSTI eller Apave Certification — verificerer overholdelsen på stedet og på grundlag af dokumenter.
3. Kvalifikationsbeslutning: ANSSI udsteder kvalifikationen og registrerer udbyderen på den franske tillidsfortegnelse (TL-FR).
4. Periodisk fornyelse: kvalifikationen reevalueres, normalt hvert andet år, for at sikre opretholdelse af kravene.

Hvad verificerer revisoren konkret?

Revisoren undersøger blandt andet:

• Den fysiske sikkerhed af datacentre, der hoster kryptografiske nøgler (HSM-moduler certificeret CC EAL 4+ eller FIPS 140-2 niveau 3 minimum);
• De certificeringspolitikker (CP) og certificeringspraksis-erklæringer (CPS) offentliggørende af udbyderen;
• Procedurerne for identitetsverifikation af underskrivere (ansigt-til-ansigt eller fjernidentitetsverifikation i overensstemmelse med EN 419 241-1);
• Revokationsstyring og tilgængelighed af OCSP/CRL-tjenester.

Disse kriterier forklarer, hvorfor kun en håndfuld aktører når og opretholder dette certificeringsniveau i Frankrig.

---

De kvalificerede eIDAS-udbydere registreret i Frankrig i 2026

Den officielle liste over kvalificerede udbydere kan til enhver tid konsulteres på den officielle portal for Kommissionen (eidas.ec.europa.eu/efts) ved at filtrere efter "Frankrig" og tjenesten "QCertESig" (Qualified Certificate for Electronic Signature). Her er de aktører, der var registreret på registeret på tidspunktet for udarbejdelsen af denne artikel (juni 2026):

Franske aktører indskrevet på Trust List

| Udbyder | Type kvalificeret service | Særlig egenskab | |---|---|---| | Certigna (Dhimyotis) | Kvalificerede certifikater, kvalificeret tidsstempel | La Poste-gruppe, certificeret eIDAS siden 2016 | | Certinomis | Kvalificerede certifikater | La Poste-datterselskab, orienteret mod offentlig sektor | | ChamberSign France | Kvalificerede certifikater | CCI-netværk, stærk tilstedeværelse blandt SMV/mikrovirksomheder | | Keynectis / DocuSign France | Kvalificerede certifikater | Erhvervet af DocuSign, bevaring af ANSSI-mærke | | Universign (Tessi) | Kvalificerede certifikater, tidsstempel | Markedspioner, integreret i Tessi-koncernen | | Entrust (tidligere Datacard) | Kvalificerede certifikater | International aktør, Trust List multi-medlemsstater | | Oodrive Sign | Kvalificerede certifikater | Souveræn fransk udgiver, certificeret SecNumCloud |

> Advarsel: denne liste er givet som vejledende og informativ. Kun den officielle Trust List fra Kommissionen er bindende. Verificer altid den aktuelle status på ETSI-portalen før ethvert kontraktligt engagement.

Udenlandske udbydere anerkendt i Frankrig via den europæiske Trust List

I kraft af princippet om gensidig anerkendelse fastsat i artikel 25 i eIDAS-forordningen producerer en kvalificeret underskrift udstedt af en QTSP indskrevet på tillidsfortegnelsen for en anden medlemsstat de samme juridiske virkninger i Frankrig. Blandt de hyppigt anvendte ikke-franske aktører:

• Namirial (Italien): stærk inden for fjernunderskrift af høj kvalitet (QES remote signing);
• SwissSign (Schweiz): bemærk, Schweiz er ikke medlem af EU'en; anerkendelsen er delvis;
• Qualified.one / Asseco Data Systems (Polen): offentlig europæisk aktør, hyppig i grænseoverskridende markeder.

For at sammenligne disse løsninger efter dine forretningsmæssige behov, se vores sammenligning af elektroniske underskriftsløsninger, som analyserer pris-, compliance- og API-integrationskriterier.

---

Hvordan vælger du den rigtige kvalificerede eIDAS-udbyder til din organisation?

At være på Trust List er en nødvendig, men ikke tilstrækkelig betingelse. Valget af en QTSP skal baseres på flere supplerende kriterier.

Tekniske og integrationssamtaler

• REST API eller SDK tilgængelig: essentielt for at automatisere underskrifter i dine forretningsworkflows (ERP, HRSM, CRM);
• Understøttede underskriftsformater: PAdES til PDF'er, XAdES til XML'er, CAdES til binære filer — alle standardiseret af ETSI EN 319 100;
• Servicetilgængelighed: SLA større end 99,9% garanteret kontraktligt, med planlagte vedligeholdelesesperioder uden for arbejdstimer;
• Datahostingsted: foretrække hosting i Frankrig eller EU'en, ideelt certificeret SecNumCloud til sensitive data.

Juridiske og compliancekriterer

• Verificer, at udbyderen leverer en opdateret kvalifikationsrapport (mindre end 24 måneder);
• Kræv en offentliggjort certificeringspolitik (CP), der er offentligt tilgængelig og revideret;
• Sikr, at generelle vilkår eksplicit fastsætter levering af kvalificerede certifikater i henhold til Bilag I i eIDAS-forordningen.

Operationelle og supportkriterer

• Enroleringsprocedure for underskrivere: ansigt-til-ansigt på kontor, eIDAS-kompatibel videoidentifikation eller NFC fra et elektronisk identitetsdokument;
• Support på fransk med kontraktligt fastsatte reaktionstider;
• Uddannelse og dokumentation tilgængelig for dine juridiske og IT-teams.

Hvis din organisation håndterer betydelige HR-dokumentflow, beskriver vores dedikerede side om elektronisk underskrift for HR-teams specifikke use cases (arbejdskontrakter, tillæg, onboarding) og anbefalede underskriftsniveauer efter dokumenttype.

---

eIDAS 2.0: hvilke ændringer for kvalificerede udbydere i 2026?

Den reviderede eIDAS 2.0-forordning (EU-forordning 2024/1183, der er trådt i kraft progressivt siden maj 2024) introducerer flere strukturelle udviklingspunkter, der direkte påvirker QTSP'er og deres kunder.

Den europæiske digital identitetspung (EUDI Wallet)

Artikel 6a i den reviderede forordning pålægger medlemsstater at stille, senest september 2026, en digital identitetspung (EUDI Wallet) til rådighed for hele EU. For kvalificerede udbydere betyder dette:

• Forpligtelse til at acceptere identitetsattributter fra pungen som bevis på identitet for underskriverenrullering;
• Fremkomsten af en ny kvalificeret service: levering af attestationer af kvalificerede attributter (Qualified Electronic Attestation of Attributes, QEAA).

Nye kvalificerede tjenester og udvidelse af omfanget

eIDAS 2.0 udvider listen over kvalificerede tillidsservices til at omfatte:

• Kvalificerede elektroniske arkiveringst tjenester (QPDS, artikel 45f);
• Tjenester til styring af fjernenheder til oprettelse af underskrifter (QRCD).

Disse udviklingspunkter repræsenterer både en compliance-pligt (stramme deadlines for eksisterende udbydere) og en differentieringsmulighed for nye deltagere, der kan integrere specifikationer fra ENISA og ETSI hurtigt.

For virksomheder, der overvejer en overflytning fra en eksisterende platform til en mere kompatibel løsning, viser vores migrationguide fra DocuSign eller YouSign til Certyneo konkrete trin og regulatoriske forsigtighedspunkter.

Juridisk ramme gældende for kvalificerede eIDAS-udbydere

eIDAS-forordningen og europæisk ret

Det juridiske grundlag er Forordning (EU) nr. 910/2014 fra Europa-Parlamentet og Rådet af 23. juli 2014 om elektronisk identifikation og tillidsservices til elektroniske transaktioner på det indre marked (kaldet "eIDAS-forordningen"), sådan som ændret ved Forordning (EU) 2024/1183 (eIDAS 2.0). Denne forordning er direkte anvendelig i alle medlemsstater uden nazionale transponeringslov.

Dens vigtigste bestemmelser for kvalificerede udbydere:

• Artikel 17: forpligtelse for hver medlemsstat til at udpege et kontrolorgan (i Frankrig ANSSI);
• Artikel 20: procedurer for tilsyn, revision og registrering på tillidsfortegnelsen;
• Artikel 25: formodning om ækvivalens mellem QES og håndskreven underskrift med juridisk virkning garanteret i hele EU'en;
• Bilag I: krav til certifikater kvalificeret til elektronisk underskrift;
• Bilag II: krav til enheder til oprettelse af kvalificeret underskrift (QSCD).

Fransk ret

Inden for national ret reguleres elektronisk underskrift af:

• Borgerlig lovbog, artikel 1366 og 1367: artikel 1366 anerkender bevisvægtigen elektronisk skrift under forudsætning af at garantere forfatters identitet og dokumentets integritet. Artikel 1367 præciserer, at elektronisk underskrift bestående i en pålidelig identificeringsmetode nyder en formodning om pålidelighed, når den oprettes i overensstemmelse med implementeringsdekretet;
• Dekret nr. 2017-1416 af 28. september 2017: definerer betingelserne, under hvilke kvalificeret elektronisk underskrift formodes pålidelig i Frankrig, ved eksplicit at henvise til eIDAS-forordningen;
• Ordinance nr. 2005-674 af 16. juni 2005 vedrørende opfyldelse af visse kontraktuelle formaliteter elektronisk.

Beskyttelse af personlige data

Indskrivnings- og underskriftsprocesserne involverer behandling af personoplysninger (identitetsdata, biometri til videoidentifikation). Udbyderen af kvalificeret service er underlagt Forordning (EU) 2016/679 (GDPR) og skal blandt andet:

• Udpege en DPO, hvis behandlingen er i stor skala;
• Dokumentere behandlingerne i CNIL-registret;
• Regulere overførsler uden for EU via passende garantier (standardkontraktklausuler, tilstrækkelighed svarre).

Cybersikkerhed og modstandsdygtighed

Siden oktober 2024 gælder NIS2-direktiv (2022/2555/EU) for udbydere af kvalificerede tillidsservices, klassificeret som vigtige enheder. De skal implementere cybersikkerheds-risikostyringsmål, melde betydelige hændelser til ANSSI inden for 24 timer og undergå regelmæssige revisioner. Manglende overholdelse udsætter for bøder på op til 10 millioner euro eller 2% af den årlige globale omsætning.

Tekniske referencestandarder

• ETSI EN 319 401: generelle krav til udbydere af tillidsservices;
• ETSI EN 319 411-2: politikprofil for kvalificerede certifikater;
• ETSI EN 319 132: XAdES-underskriftsformater;
• ETSI EN 319 122: CAdES-underskriftsformater;
• ETSI EN 319 162: PAdES-underskriftsformater (PDF).

Brugsscenarier: hvornår er kvalificeret eIDAS-underskrift uundværlig?

Scenario 1 — Et advokatfirma, der håndterer private skøder med høj bevisværdi

Et større forretningsadvokatfirma med omkring tyve kollegaer håndterer hver måned flere dusin overdragelser af andelskapitaler, forligsprotokols- og garantiaftaler for aktiver og passiver (GAP). Disse skøder bindet ofte summer på flere hundredtusinde euro og kan blive anfægtet ved domstole.

Før migrationen til en kvalificeret eIDAS-udbyder brugte firmaet en avanceret underskriftsløsning (AES), hvilket var tilstrækkeligt for flertallet af almindelige skøer. Efter en hændelse, hvor modparten anfægtede autenticiteten af en underskrift under en retssag, valgte firmaet QES for alle skøer med høj indsats. Resultat: 90% reduktion i tid brugt på at fremlægge underskriftsbevis under retssager takket være den uimodsigelig juridisk antagelse, der knytter sig til QES. Enhedsomkostningen (omkring 2 til 5 € efter volumen) blev fuldt opslugt af nedgangen i procesudgifter.

Scenario 2 — En mellemstor industriel virksomhed, der styrer grænseoverskridende leverandørkontrakter

En mellemstor virksomhed (ETI) inden for industriudstyr, med leverandører etableret i Frankrig, Tyskland, Italien og Polen, skulle tidligere sende sine rammekontrakter med post eller organisere møder til underskrift personligt, hvilket genererede forsinkelser på 10 til 21 arbejdsdage pr. kontrakt.

Ved implementering af en løsning forbundet til en europæisk QTSP indskrevet på Trust List har virksomheden reduceret underskriftscyklus til mindre end 48 timer i gennemsnit. Gensidig anerkendelse mellem medlemsstater garanterer juridisk værdi uden behov for yderligere legalisering. Over en portefølje på 350 leverandørkontrakter årligt vurderes besparelsen i administrative og logistiske omkostninger til over 40.000 € pr. år, ifølge intervaller, der er konsistente med sektorstudier publiceret af ACFE og APQC.

Scenario 3 — En hospitalsgruppesamle underlagt sundhedssektorkrav

En hospitalsgruppesamle omkring 1.200 senge skal elektronisk underskrive offentlige udbud, aftaler om klinisk forskning og kontrakter for hospitalslæger. Disse dokumenter er underlagt den offentlige købs-kodeks, som kræver elektronisk underskrift i overensstemmelse med RGS (Référentiel Général de Sécurité) niveau ** eller siden offentlige udbuds-dematérialisering på tilsvarende eIDAS-niveau.

Ved at stole på en QTSP indskrevet på den franske Trust List garanterer hospitalsgruppesamlingen overholdelse af artikel R. 2132-7 i den offentlige købs-kodeks, samtidig med at underskriftsforsinkelserne for offentlige udbud reduceres fra 15 dage til mindre end 72 timer. API-integrationen med hospitalsIT-systemet (SIH) muliggjorde automatisering af dokumentafsendelse og -opfølgning, frigørende omkring 0,4 VT på administrative opgaver relateret til kontrakter.

Konklusion

At vælge en kvalificeret eIDAS-udbyder er ikke blot et softwaredelskeab: det er en strategisk beslutning, der påvirker bevisværdien af dine skøer, din organisations regulatoriske compliance og tillid fra dine kommercielle og institutionelle partnere. I 2026, med den progressive ikraftsætelse af eIDAS 2.0 og nye NIS2-forpligtelser, stiger kravsniveauet kun.

De væsentlige punkter, som skal huskes: verificer altid registrering på den officielle Trust List, kræv en offentliggjort certificeringspolitik, og tilpas underskriftsniveauet (QES, AES, SES) til det juridiske ønske for hvert dokument.

Certyneo ledsager dig i denne proces ved at give dig adgang til kvalificerede certifikater via registrerede QTSP'er, en robust API-integration og dedikeret juridisk support. Er du klar til at gå over til kvalificeret underskrift? Anmod en demonstration eller opret din Certyneo-konto og sæt din organisation i compliance i dag.