Qualifizierte eIDAS-Diensteanbieter: Die offizielle Liste 2026

Warum ist der Status „qualifiziert" nach eIDAS für Ihr Unternehmen entscheidend?

Seit dem Inkrafttreten der eIDAS-Verordnung (Nr. 910/2014) hat sich der europäische Markt für elektronische Signaturen tiefgreifend um eine dreistufige Hierarchie umstrukturiert: einfache elektronische Signatur (SES), fortgeschrittene elektronische Signatur (AES) und qualifizierte elektronische Signatur (QES). Letztere ist die einzige, die vom Gesetz eine vermutete Gleichwertigkeit mit der handschriftlichen Signatur in allen Mitgliedstaaten der Europäischen Union genießt.

Damit ein Unternehmen qualifizierte Signaturen anbieten kann, muss es zwingend auditiert werden und in der Vertrauensliste (Trust List) seines Mitgliedstaates eingetragen sein. In Frankreich ist es die Agence nationale de la sécurité des systèmes d'information (ANSSI), die dieses offizielle Register führt, das seinerseits in die zentralisierte europäische Liste aufgenommen wird, die von der Europäischen Kommission verwaltet wird.

Das Verständnis dieser Architektur ist grundlegend, bevor Sie einen sensiblen kommerziellen Vertrag unterzeichnen. Für weitere Informationen zu den Rechtsgrundlagen empfehlen wir unseren umfassenden Leitfaden zur eIDAS-Verordnung 2.0, der alle Verpflichtungen und Änderungen durch die überarbeitete eIDAS-2.0-Verordnung (EU-Verordnung 2024/1183) im Detail erklärt.

---

Wie werden qualifizierte Vertrauensdienstanbieter zertifiziert?

Der Weg zum Status eines Qualifizierten Vertrauensdienstanbieters (QVDA) ist anspruchsvoll. Er erfordert ein Audit durch eine akkreditierte Konformitätsbewertungsstelle (CAB, Conformity Assessment Body) gemäß den Normen ETSI EN 319 401 (allgemeine Anforderungen) und ETSI EN 319 411-2 für qualifizierte Zertifikate.

Die Qualifizierungsschritte der ANSSI

1. Einreichung des Qualifizierungsantrags: Der Dienstanbieter reicht seine technische, sicherheitstechnische und organisatorische Dokumentation bei der ANSSI ein.
2. Audit durch eine akkreditierte CAB: Eine unabhängige Stelle – wie Bureau Veritas, LSTI oder Apave Certification – überprüft die Konformität vor Ort und anhand von Unterlagen.
3. Qualifizierungsentscheidung: Die ANSSI erteilt die Qualifizierung und trägt den Dienstanbieter in die französische Vertrauensliste ein (TL-FR).
4. Regelmäßige Erneuerung: Die Qualifizierung wird überprüft, in der Regel alle zwei Jahre, um die Einhaltung der Anforderungen zu gewährleisten.

Was überprüft das Audit konkret?

Der Prüfer untersucht insbesondere:

• Die physische Sicherheit der Rechenzentren, die die kryptografischen Schlüssel (Zertifizierte HSM-Module CC EAL 4+ oder FIPS 140-2 Level 3 mindestens) speichern;
• Die Zertifizierungspolitik (CP) und die Zertifizierungspraxis-Erklärungen (CPS), die von dem Dienstanbieter veröffentlicht werden;
• Die Verfahren zur Identitätsprüfung der Unterzeichner (persönlich oder ferngestützte Identitätsprüfung gemäß EN 419 241-1);
• Die Verwaltung von Widerrufen und die Verfügbarkeit von OCSP-/CRL-Diensten.

Diese Kriterien erklären, warum nur eine Handvoll von Akteuren dieses Zertifizierungsniveau in Frankreich erreicht und behält.

---

Die in Frankreich 2026 registrierten qualifizierten eIDAS-Diensteanbieter

Die offizielle Liste der qualifizierten Diensteanbieter ist jederzeit auf dem offiziellen Portal der Europäischen Kommission verfügbar (eidas.ec.europa.eu/efts), gefiltert nach „Frankreich" und dem Dienst „QCertESig" (Qualified Certificate for Electronic Signature). Hier sind die Akteure, die zum Zeitpunkt der Erstellung dieses Artikels (Juni 2026) im Register eingetragen waren:

Französische Diensteanbieter in der Trust List

| Diensteanbieter | Art des qualifizierten Dienstes | Besonderheit | |---|---|---| | Certigna (Dhimyotis) | Qualifizierte Zertifikate, qualifizierter Zeitstempel | La Poste-Gruppe, seit 2016 eIDAS-zertifiziert | | Certinomis | Qualifizierte Zertifikate | La Poste-Tochter, für öffentlichen Sektor ausgerichtet | | ChamberSign France | Qualifizierte Zertifikate | Netzwerk der IHK, starke Verankerung KMU/KMU | | Keynectis / DocuSign France | Qualifizierte Zertifikate | Von DocuSign übernommen, Erhalt des ANSSI-Labels | | Universign (Tessi) | Qualifizierte Zertifikate, Zeitstempel | Marktpionier, in Tessi-Gruppe integriert | | Entrust (ex-Datacard) | Qualifizierte Zertifikate | Internationaler Akteur, Trust List mehrerer Mitgliedstaaten | | Oodrive Sign | Qualifizierte Zertifikate | Französischer Softwarehersteller, SecNumCloud-zertifiziert |

> Warnung: Diese Liste wird zu Informationszwecken bereitgestellt. Nur die offizielle Trust List der Europäischen Kommission ist maßgeblich. Überprüfen Sie vor jeder vertraglichen Verpflichtung den aktuellen Status auf dem ETSI-Portal.

Ausländische Diensteanbieter, die in Frankreich über die europäische Trust List anerkannt sind

Gemäß dem Prinzip der gegenseitigen Anerkennung aus Artikel 25 der eIDAS-Verordnung hat eine qualifizierte Signatur, die von einem QVDA, der in der Vertrauensliste eines anderen Mitgliedstaates eingetragen ist, ausgestellt wurde, dieselben rechtlichen Wirkungen in Frankreich. Zu den häufig verwendeten nicht-französischen Akteuren gehören:

• Namirial (Italien): Spezialisiert auf qualifizierte Fernfern-Signatur (QES remote signing);
• SwissSign (Schweiz): Achtung, die Schweiz ist nicht EU-Mitglied; die Anerkennung ist teilweise;
• Qualified.one / Asseco Data Systems (Polen): Europäischer öffentlicher Akteur, häufig bei grenzüberschreitenden Geschäften.

Um diese Lösungen anhand Ihrer geschäftlichen Anforderungen zu vergleichen, konsultieren Sie unseren Vergleich von Lösungen zur elektronischen Signatur, der die Kriterien Preis, Compliance und API-Integration analysiert.

---

Wie wählen Sie den richtigen qualifizierten eIDAS-Diensteanbieter für Ihre Organisation aus?

Die Einträge in der Trust List ist eine notwendige, aber nicht ausreichende Bedingung. Die Wahl eines QVDA sollte auf mehreren ergänzenden Kriterien basieren.

Technische Kriterien und Integration

• REST-API oder SDK verfügbar: Notwendig, um die Unterzeichnung in Ihren Business-Workflows zu automatisieren (ERP, HRMS, CRM);
• Unterstützte Signaturformate: PAdES für PDFs, XAdES für XML, CAdES für Binärdateien – alle nach ETSI EN 319 100 normalisiert;
• Service-Verfügbarkeit: SLA von über 99,9 %, vertraglich garantiert, mit geplanten Wartungsfenstern außerhalb der Geschäftszeiten;
• Datenspeicherung: Bevorzugen Sie Hosting in Frankreich oder der EU, idealerweise SecNumCloud-zertifiziert für sensible Daten.

Rechtliche und Compliance-Kriterien

• Überprüfen Sie, dass der Diensteanbieter einen aktuellen Qualifizierungsbericht (weniger als 24 Monate alt) bereitstellt;
• Verlangen Sie eine öffentlich zugängliche veröffentlichte Zertifizierungspolitik (CP), die auditiert ist;
• Stellen Sie sicher, dass die Allgemeinen Geschäftsbedingungen die Ausstellung von qualifizierten Zertifikaten gemäß Anlage I der eIDAS-Verordnung ausdrücklich vorsehen.

Operationelle Kriterien und Support

• Verfahren zur Registrierung von Unterzeichnern: persönlich in einer Niederlassung, Video-Identifizierung gemäß eIDAS oder NFC von einem elektronischen Identitätsdokument;
• Support in französischer Sprache mit vertraglich vereinbarten Reaktionszeiten;
• Schulung und Dokumentation für Ihre Rechts- und IT-Teams.

Wenn Ihre Organisation wichtige HR-Dokumentenflüsse verwaltet, erläutert unsere Seite zur elektronischen Signatur für HR-Teams spezifische Anwendungsfälle (Arbeitsverträge, Änderungen, Onboarding) und empfehle Signaturebenen je nach Dokumenttyp.

---

eIDAS 2.0: Welche Änderungen für qualifizierte Diensteanbieter 2026?

Die eIDAS-2.0-Verordnung (EU-Verordnung 2024/1183, mit progressivem Inkrafttreten seit Mai 2024) führt mehrere strukturelle Änderungen ein, die sich direkt auf QVDAs und deren Kunden auswirken.

Die Europäische Digitale Identitätsbrieftasche (EUDI Wallet)

Artikel 6a der überarbeiteten Verordnung verpflichtet die Mitgliedstaaten, bis September 2026 ein digitales Identitätsportemonnaie (EUDI Wallet) anzubieten, das in der gesamten EU anerkannt ist. Für qualifizierte Diensteanbieter bedeutet dies:

• Die Verpflichtung, Identitätsattribute aus dem Wallet als Identitätsnachweis für die Unterzeichner-Registrierung anzunehmen;
• Das Aufkommen eines neuen qualifizierten Dienstes: die Ausstellung qualifizierter Attributsbescheinigungen (Qualified Electronic Attestation of Attributes, QEAA).

Neue qualifizierte Dienste und Erweiterung des Umfangs

eIDAS 2.0 erweitert die Liste der qualifizierten Vertrauensdienste um:

• Qualifizierte Dienste für elektronische Archivierung (QPDS, Artikel 45f);
• Dienste für die Verwaltung von Fernunterzeichnungsgeräten (QRCD).

Diese Entwicklungen stellen sowohl eine Compliance-Anforderung (enge Fristen für bestehende Diensteanbieter) als auch eine Differenzierungsmöglichkeit für neue Marktteilnehmer dar, die die von ENISA und ETSI veröffentlichten technischen Spezifikationen schnell integrieren können.

Für Unternehmen, die vom einer bestehenden Plattform zu einer konformeren Lösung migrieren möchten, zeigt unser Migrationsleitfaden von DocuSign oder YouSign zu Certyneo die konkreten Schritte und Compliance-Punkte.

Auf qualifizierte eIDAS-Diensteanbieter anwendbarer rechtlicher Rahmen

eIDAS-Verordnung und europäisches Recht

Das rechtliche Fundament ist die Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (als „eIDAS-Verordnung" bekannt), geändert durch die Verordnung (EU) 2024/1183 (eIDAS 2.0). Diese Verordnung ist unmittelbar in allen Mitgliedstaaten ohne nationale Umsetzung anwendbar.

Seine Schlüsselbestimmungen für qualifizierte Diensteanbieter:

• Artikel 17: Verpflichtung für jeden Mitgliedstaat, eine Kontrollbehörde zu bestellen (in Frankreich die ANSSI);
• Artikel 20: Verfahren für Überwachung, Audit und Eintrag in die Vertrauensliste;
• Artikel 25: Vermutung der Gleichwertigkeit zwischen QES und handschriftlicher Signatur mit garantierter rechtlicher Wirkung in der gesamten EU;
• Anlage I: Anforderungen an qualifizierte Zertifikate für elektronische Signaturen;
• Anlage II: Anforderungen an Geräte zur Erstellung qualifizierter Signaturen (QSCD).

Französisches Recht

Intern ist die elektronische Signatur wie folgt geregelt:

• Zivilgesetzbuch, Artikel 1366 und 1367: Artikel 1366 erkennt den Beweiswert einer elektronischen Schrift an, sofern die Identität des Autors und die Unversehrtheit des Dokuments gewährleistet sind. Artikel 1367 präzisiert, dass die elektronische Signatur, die in einem zuverlässigen Identifizierungsverfahren besteht, eine Vermutung der Zuverlässigkeit genießt, wenn sie gemäß des Ausführungsdekretes erstellt wird;
• Dekret Nr. 2017-1416 vom 28. September 2017: definiert die Bedingungen, unter denen qualifizierte elektronische Signaturen in Frankreich als zuverlässig vermutet werden, indem explizit auf die eIDAS-Verordnung verwiesen wird;
• Verordnung Nr. 2005-674 vom 16. Juni 2005 zur elektronischen Erfüllung bestimmter Vertragsförmlichkeiten.

Schutz personenbezogener Daten

Registrierungs- und Signaturprozesse beinhalten die Verarbeitung personenbezogener Daten (Identitätsdaten, Biometrie für Video-Identifizierung). Der qualifizierte Diensteanbieter ist gebunden durch die Verordnung (EU) 2016/679 (GDPR) und muss insbesondere:

• Einen Datenschutzbeauftragten benennen, wenn die Verarbeitung umfangreich ist;
• Verarbeitungen im CNIL-Register dokumentieren;
• Transfers außerhalb der EU durch angemessene Garantien sichern (Standardvertrag, Angemessenheitsbeschluss).

Cybersicherheit und Widerstandsfähigkeit

Seit Oktober 2024 gilt die NIS2-Richtlinie (2022/2555/EU) für qualifizierte Vertrauensdienstanbieter, die als wesentliche Einrichtungen eingestuft sind. Sie müssen Maßnahmen zur Cyber-Risikobewältigung implementieren, erhebliche Vorfälle der ANSSI innerhalb von 24 Stunden melden und sich regelmäßigen Audits unterziehen. Die Nichteinhaltung führt zu Geldstrafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Technische Referenznormen

• ETSI EN 319 401: Allgemeine Anforderungen für Vertrauensdienstanbieter;
• ETSI EN 319 411-2: Profil der Zertifizierungspolitik für qualifizierte Zertifikate;
• ETSI EN 319 132: XAdES-Signaturformate;
• ETSI EN 319 122: CAdES-Signaturformate;
• ETSI EN 319 162: PAdES-Signaturformate (PDF).

Anwendungsszenarien: Wann ist die qualifizierte eIDAS-Signatur unerlässlich?

Szenario 1 – Eine Anwaltskanzlei, die Privatschriftdokumente mit hohem Beweiskraftwert verwaltet

Eine Wirtschaftsanwaltskanzlei mit etwa zwanzig Mitarbeitern bearbeitet monatlich mehrere Dutzende von Kapitalanteilsverkäufen, Verständigungsabkommen und Garantieverträge für Aktiva und Passiva (GAP). Diese Dokumente verpflichten oft zu Summen von mehreren Hunderttausend Euro und können vor Gericht angefochten werden.

Bevor die Kanzlei zu einem qualifizierten eIDAS-Diensteanbieter migrierte, nutzte sie eine Lösung mit fortgeschrittener Signatur (AES), was für die meisten gängigen Dokumente ausreichend war. Nach einem Vorfall, bei dem die Gegenpartei die Authentizität einer Signatur während eines Rechtsstreits anfechtete, entschied sich die Kanzlei für die QES bei allen hochstufigen Dokumenten. Ergebnis: 90 % Reduktion der Zeit, die für die Erbringung von Signaturbeweisen bei Rechtsstreitigkeiten aufgewendet wird, dank der unwidersprechlichen gesetzlichen Vermutung der QES. Die Mehrkosten pro Signatur (etwa 2 bis 5 Euro je nach Volumen) wurden vollständig durch die Reduktion der Gerichtskosten absorbiert.

Szenario 2 – Ein mittelständisches Unternehmen, das grenzüberschreitende Lieferantenverträge verwaltet

Ein Unternehmen mittlerer Größe (ETI) aus dem Industrieausrüstungssektor mit Lieferanten in Frankreich, Deutschland, Italien und Polen musste seine Rahmenverträge bisher per Post verschicken oder persönliche Signaturtermine organisieren, was Verzögerungen von 10 bis 21 Arbeitstagen pro Vertrag verursachte.

Durch die Implementierung einer Lösung, die mit einem europäischen QVDA verbunden ist, der in der Trust List eingetragen ist, hat das Unternehmen den Signaturzyklus auf durchschnittlich weniger als 48 Stunden reduziert. Die gegenseitige Anerkennung zwischen Mitgliedstaaten garantiert den Rechtswert ohne zusätzliche Legalisierung. Bei einem Portfolio von 350 Lieferantenverträgen pro Jahr übersteigt der geschätzte Gewinn bei administrativen und Logistikkosten 40.000 Euro pro Jahr, gemäß Spannweiten, die mit von ACFE und APQC veröffentlichten Branchenstudien übereinstimmen.

Szenario 3 – Ein Krankenhausverbund unterliegt Anforderungen des Gesundheitssektors

Ein Krankenhausverbund mit etwa 1.200 Betten muss elektronisch öffentliche Aufträge, Vereinbarungen für klinische Forschung und Verträge mit Krankenhausärzten unterzeichnen. Diese Dokumente unterliegen dem Vergabegesetzbuch, das eine elektronische Signatur gemäß dem RGS (Referenzierter Allgemeiner Sicherheitsstandard) der Stufe ** oder seit der Dematerialisierung öffentlicher Aufträge einen äquivalenten eIDAS-Standard verlangt.

Durch die Nutzung eines QVDA, der in der französischen Vertrauensliste eingetragen ist, garantiert der Verbund die Einhaltung von Artikel R. 2132-7 des Vergabegesetzbuches und reduziert gleichzeitig die Signaturfristen für öffentliche Aufträge von 15 Tagen auf weniger als 72 Stunden. Die API-Integration mit dem Informationssystem des Krankenhauses (KIS) ermöglichte die Automatisierung des Versands und der Verfolgung von Dokumenten und gab etwa 0,4 Vollzeitäquivalente auf vertragsbezogenen Verwaltungsaufgaben frei.

Fazit

Die Wahl eines qualifizierten eIDAS-Diensteanbieter ist kein einfacher Softwarekauf: Es ist eine strategische Entscheidung, die den Beweiswert Ihrer Dokumente, die Compliance-Anforderungen Ihrer Organisation und das Vertrauen Ihrer Geschäfts- und institutionellen Partner beeinflusst. Im Jahr 2026, mit der progressiven Einführung von eIDAS 2.0 und den neuen NIS2-Verpflichtungen, steigen die Anforderungen nur noch an.

Die wichtigsten Punkte zum Mitnehmen: Überprüfen Sie systematisch die Eintragung in der offiziellen Trust List, verlangen Sie eine veröffentlichte Zertifizierungspolitik, und passen Sie die Signaturebene (QES, AES, SES) an den Rechtsstatus jedes Dokumentes an.

Certyneo begleitet Sie bei diesem Prozess, indem es Ihnen Zugang zu qualifizierten Zertifikaten über registrierte QVDAs, eine robuste API-Integration und dedizierter juristischer Support gewährt. Sind Sie bereit, zur qualifizierten Signatur überzugehen? Fordern Sie eine Demo an oder erstellen Sie Ihr Konto auf Certyneo und bringen Sie Ihre Organisation noch heute in Compliance.