Qualifizierte eIDAS-Anbieter: Die offizielle Liste 2026

Warum ist der Status „qualifiziert" eIDAS für Ihr Unternehmen entscheidend?

Seit dem Inkrafttreten der eIDAS-Verordnung (Nr. 910/2014) hat sich der europäische Markt für elektronische Signaturen um eine dreistufige Hierarchie neu strukturiert: die einfache elektronische Signatur (SES), die fortgeschrittene elektronische Signatur (AES) und die qualifizierte elektronische Signatur (QES). Letztere ist die einzige, die von einer gesetzlichen Vermutung der Gleichwertigkeit mit der handschriftlichen Signatur in allen EU-Mitgliedstaaten profitiert.

Damit ein Unternehmen qualifizierte Signaturen anbieten kann, muss es zwangsläufig von einer Audit-Stelle geprüft und in die Vertrauensliste (Trust List) seines Mitgliedstaates eingetragen werden. In Frankreich verwaltet die Agence nationale de la sécurité des systèmes d'information (ANSSI) dieses offizielle Register, das wiederum in die von der Europäischen Kommission verwaltete zentralisierte europäische Liste aufgenommen wird.

Das Verständnis dieser Architektur ist grundlegend, bevor Sie einen sensiblen kommerziellen Vertrag unterzeichnen. Für weitere Informationen zu den regulatorischen Grundlagen finden Sie in unserem umfassenden Leitfaden zur eIDAS 2.0-Verordnung alle Anforderungen und Änderungen, die durch die überarbeitete eIDAS 2.0-Verordnung (Verordnung (EU) 2024/1183) eingeführt wurden.

---

Wie werden Anbieter qualifizierter Vertrauensdienste zertifiziert?

Der Weg zum Status eines Qualifizierten Anbieters von Vertrauensdiensten (PSCQ) ist anspruchsvoll. Er erfordert eine Audit durch ein akkreditiertes Konformitätsbewertungsorgan (CAB, Conformity Assessment Body) nach den Normen ETSI EN 319 401 (allgemeine Anforderungen) und ETSI EN 319 411-2 für qualifizierte Zertifikate.

Qualifizierungsschritte der ANSSI

1. Einreichung des Qualifizierungsantrags: Der Anbieter reicht seine technische, sicherheitstechnische und organisatorische Dokumentation bei der ANSSI ein.
2. Audit durch ein akkreditiertes CAB: Ein unabhängiges Organ — wie Bureau Veritas, LSTI oder Apave Certification — überprüft die Konformität vor Ort und anhand von Unterlagen.
3. Qualifizierungsbeschluss: Die ANSSI qualifiziert den Anbieter und trägt ihn in die französische Vertrauensliste (TL-FR) ein.
4. Regelmäßige Erneuerung: Die Qualifizierung wird in der Regel alle zwei Jahre erneut bewertet, um die Einhaltung der Anforderungen zu gewährleisten.

Was prüft das Audit konkret?

Der Auditor überprüft insbesondere:

• Die physische Sicherheit der Rechenzentren, die die kryptografischen Schlüssel hosten (mit CC EAL 4+ oder FIPS 140-2 Level 3 zertifizierte HSM-Module mindestens) ;
• Die Zertifizierungsrichtlinien (CP) und die Zertifizierungspraxiserklärungen (CPS), die vom Anbieter veröffentlicht werden ;
• Die Verfahren zur Identitätsüberprüfung der Unterzeichner (persönlich vor Ort oder Remote-Identitätsprüfung gemäß EN 419 241-1) ;
• Die Verwaltung von Widerrufen und die Verfügbarkeit der OCSP-/CRL-Dienste.

Diese Kriterien erklären, warum in Frankreich nur eine Handvoll von Akteuren dieses Zertifizierungsniveau erreichen und halten.

---

Die in Frankreich 2026 eingetragenen qualifizierten eIDAS-Anbieter

Die offizielle Liste der qualifizierten Anbieter ist jederzeit auf dem offiziellen Portal der Europäischen Kommission (eidas.ec.europa.eu/efts) verfügbar, gefiltert nach „Frankreich" und dem Dienst „QCertESig" (Qualified Certificate for Electronic Signature). Hier sind die Akteure, die zum Zeitpunkt der Erstellung dieses Artikels (Juni 2026) im Register eingetragen waren:

In die Trust List eingetragene französische Anbieter

| Anbieter | Art des qualifizierten Dienstes | Besonderheit | |---|---|---| | Certigna (Dhimyotis) | Qualifizierte Zertifikate, qualifizierter Zeitstempel | La Poste-Gruppe, seit 2016 eIDAS-zertifiziert | | Certinomis | Qualifizierte Zertifikate | La Poste-Tochter, ausgerichtet auf öffentlichen Sektor | | ChamberSign France | Qualifizierte Zertifikate | Netz der IHKs, starke Verankerung bei KMU/Kleinstunternehmen | | Keynectis / DocuSign France | Qualifizierte Zertifikate | Von DocuSign übernommen, Erhaltung des ANSSI-Labels | | Universign (Tessi) | Qualifizierte Zertifikate, Zeitstempel | Marktpionier, integriert in Tessi-Gruppe | | Entrust (ehemals Datacard) | Qualifizierte Zertifikate | Internationaler Akteur, Trust List in mehreren Mitgliedstaaten | | Oodrive Sign | Qualifizierte Zertifikate | Französischer Anbieter mit Souveränität, SecNumCloud-qualifiziert |

> Warnung: Diese Liste wird zu Informationszwecken bereitgestellt. Nur die offizielle Trust List der Europäischen Kommission ist verbindlich. Überprüfen Sie den aktuellen Status immer auf dem ETSI-Portal vor einer vertraglichen Bindung.

Im Ausland ansässige Anbieter, die in Frankreich über die europäische Trust List anerkannt sind

Gemäß des Prinzips der gegenseitigen Anerkennung in Artikel 25 der eIDAS-Verordnung hat eine von einem PSCQ ausgestellte qualifizierte Signatur, der in die Vertrauensliste eines anderen Mitgliedstaates eingetragen ist, die gleiche rechtliche Wirkung in Frankreich. Unter den häufig genutzten Nicht-französischen Akteuren:

• Namirial (Italien): Spezialist für Remote-Signatur mit Qualifizierung (QES remote signing) ;
• SwissSign (Schweiz): Vorsicht, die Schweiz ist nicht EU-Mitglied; die Anerkennung ist begrenzt ;
• Qualified.one / Asseco Data Systems (Polen): europäischer öffentlicher Akteur, häufig in grenzüberschreitenden Ausschreibungen.

Für einen Vergleich dieser Lösungen nach Ihren geschäftlichen Anforderungen konsultieren Sie unseren Vergleich von Lösungen für elektronische Signaturen, der die Kriterien Preis, Compliance und API-Integration analysiert.

---

Wie wählen Sie den richtigen qualifizierten eIDAS-Anbieter für Ihre Organisation?

Die Eintragung in die Trust List ist eine notwendige, aber nicht ausreichende Bedingung. Die Auswahl eines PSCQ sollte auf mehreren ergänzenden Kriterien basieren.

Technische Kriterien und Integration

• REST API oder SDK verfügbar: unerlässlich zur Automatisierung der Unterzeichnung in Ihren geschäftlichen Workflows (ERP, HRMS, CRM) ;
• Unterstützte Signaturformate: PAdES für PDFs, XAdES für XML, CAdES für Binärdateien — alle standardisiert von ETSI EN 319 100 ;
• Dienstverfügbarkeit: SLA über 99,9 % vertraglich garantiert, mit geplanten Wartungsfenstern außerhalb von Geschäftszeiten ;
• Datenhosting: bevorzugen Sie ein Hosting in Frankreich oder in der EU, idealerweise SecNumCloud-qualifiziert für sensible Daten.

Rechtliche und Compliance-Kriterien

• Überprüfen Sie, ob der Anbieter einen aktuellen Qualifizierungsbericht (weniger als 24 Monate alt) bereitstellt ;
• Fordern Sie eine veröffentlichte Zertifizierungsrichtlinie (CP) an, die öffentlich zugänglich und geprüft ist ;
• Stellen Sie sicher, dass die Allgemeinen Geschäftsbedingungen explizit die Ausstellung qualifizierter Zertifikate im Sinne von Anlage I der eIDAS-Verordnung vorsehen.

Operationelle Kriterien und Support

• Verfahren zur Registrierung der Unterzeichner: persönlich in einer Agentur, Videoidentifizierung gemäß eIDAS oder NFC von einem elektronischen Ausweisdokument ;
• Support auf Französisch mit vertraglich festgelegten Reaktionszeiten ;
• Schulung und Dokumentation für Ihre Rechts- und IT-Teams.

Wenn Ihre Organisation wichtige HR-Dokumentenflüsse verwaltet, erläutert unsere spezielle Seite zur elektronischen Signatur für HR-Teams spezifische Anwendungsfälle (Arbeitsverträge, Zusätze, Onboarding) und die empfohlenen Signaturstufen nach Dokumenttyp.

---

eIDAS 2.0: Welche Änderungen gibt es für qualifizierte Anbieter 2026?

Die eIDAS 2.0-Verordnung (Verordnung (EU) 2024/1183, schrittweise seit Mai 2024 in Kraft), führt mehrere strukturelle Änderungen ein, die PSCQs und ihre Kunden direkt betreffen.

Das Europäische Digitale Identitäts-Wallet (EUDI Wallet)

Artikel 6a der überarbeiteten Verordnung verpflichtet die Mitgliedstaaten, bis September 2026 ein digitales Identitäts-Wallet (EUDI Wallet) anzubieten, das in der gesamten EU anerkannt ist. Für qualifizierte Anbieter bedeutet dies:

• Die Akzeptanzpflicht von Identitätsmerkmalen aus dem Wallet als Identitätsnachweis für die Registrierung der Unterzeichner ;
• Das Entstehen eines neuen qualifizierten Dienstes: die Ausstellung qualifizierter Attributbestätigungen (Qualified Electronic Attestation of Attributes, QEAA).

Neue qualifizierte Dienste und Bereichserweiterung

eIDAS 2.0 erweitert die Liste der qualifizierten Vertrauensdienste um:

• Dienste zur Archivierung elektronischer Dokumente mit Qualifizierung (QPDS, Artikel 45f) ;
• Dienste zur Verwaltung von Remote-Signature-Erstellungsgeräten (QRCD).

Diese Entwicklungen stellen sowohl eine Compliance-Verpflichtung (knappe Fristen für bestehende Anbieter) als auch eine Gelegenheit zur Differenzierung dar, für Neulinge, die in der Lage sind, technische Spezifikationen, die von der ENISA und ETSI veröffentlicht werden, schnell zu integrieren.

Für Unternehmen, die eine Migration von einer bestehenden Plattform zu einer konformereren Lösung erwägen, zeigt unser Migrationsleitfaden von DocuSign oder YouSign zu Certyneo konkrete Schritte und regulatorische Vorsichtsmaßnahmen.

Rechtlicher Rahmen für qualifizierte eIDAS-Anbieter

eIDAS-Verordnung und europäisches Recht

Die rechtliche Grundlage ist die Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (sogenannte „eIDAS-Verordnung"), in der Fassung der Verordnung (EU) 2024/1183 (eIDAS 2.0). Diese Verordnung ist in allen Mitgliedstaaten unmittelbar anwendbar, ohne Umsetzung erforderlich zu machen.

Ihre Schlüsselbestimmungen für qualifizierte Anbieter:

• Artikel 17: Verpflichtung für jeden Mitgliedstaat, eine Kontrollstelle zu benennen (in Frankreich die ANSSI) ;
• Artikel 20: Verfahren für Aufsicht, Audit und Eintragung in die Vertrauensliste ;
• Artikel 25: Vermutung der Gleichwertigkeit zwischen QES und handschriftlicher Signatur, mit garantierter rechtlicher Wirkung in der gesamten EU ;
• Anlage I: Anforderungen an qualifizierte Zertifikate für elektronische Signaturen ;
• Anlage II: Anforderungen an Geräte zur Erstellung qualifizierter Signaturen (QSCD).

Französisches Recht

Im nationalen Recht wird die elektronische Signatur durch folgende Normen reguliert:

• Zivilgesetzbuch, Artikel 1366 und 1367: Artikel 1366 erkennt die Beweiskraft der elektronischen Schrift an, sofern die Identität des Urhebers und die Integrität des Dokuments gewährleistet sind. Artikel 1367 präzisiert, dass die elektronische Signatur, die aus einem zuverlässigen Identifizierungsverfahren besteht, eine Vermutung der Zuverlässigkeit genießt, wenn sie gemäß der Durchführungsverordnung erstellt wurde ;
• Dekret Nr. 2017-1416 vom 28. September 2017: legt die Bedingungen fest, unter denen die qualifizierte elektronische Signatur in Frankreich als zuverlässig vermutet wird, mit ausdrücklichem Verweis auf die eIDAS-Verordnung ;
• Verordnung Nr. 2005-674 vom 16. Juni 2005 zur elektronischen Erfüllung bestimmter Vertragsformalitäten.

Schutz personenbezogener Daten

Die Registrierungs- und Unterzeichnungsvorgänge beinhalten die Verarbeitung personenbezogener Daten (Identitätsdaten, Biometrie für Videoidentifizierung). Der qualifizierte Anbieter unterliegt der Verordnung (EU) 2016/679 (DSGVO) und muss insbesondere:

• einen Datenschutzbeauftragten benennen, wenn die Verarbeitung in großem Umfang erfolgt ;
• Verarbeitungen im Register der CNIL dokumentieren ;
• Übermittlungen außerhalb der EU durch angemessene Garantien absichern (Standardvertragsklauseln, Angemessenheitsbeschluss).

Cybersicherheit und Resilienz

Seit Oktober 2024 gilt die NIS2-Richtlinie (2022/2555/EU) für qualifizierte Anbieter von Vertrauensdiensten, die als wesentliche Einrichtungen klassifiziert sind. Sie müssen Maßnahmen zur Cyber-Risikominderung umsetzen, erhebliche Zwischenfälle innerhalb von 24 Stunden der ANSSI melden und sich regelmäßigen Audits unterziehen. Die Nichteinhaltung kann zu Geldstrafen bis zu 10 Millionen Euro oder 2 % des weltweiten jährlichen Umsatzes führen.

Technische Referenznormen

• ETSI EN 319 401: Allgemeine Anforderungen an Anbieter von Vertrauensdiensten ;
• ETSI EN 319 411-2: Profil der Richtlinie für qualifizierte Zertifikate ;
• ETSI EN 319 132: XAdES-Signaturformate ;
• ETSI EN 319 122: CAdES-Signaturformate ;
• ETSI EN 319 162: PAdES-Signaturformate (PDF).

Anwendungsszenarien: Wann ist die qualifizierte eIDAS-Signatur unverzichtbar?

Szenario 1 — Eine Anwaltskanzlei mit hohem Beweiswert verwalteter Privatschriften

Eine Wirtschaftsanwaltskanzlei mit etwa 20 Mitarbeitern behandelt jeden Monat mehrere Dutzend Gesellschaftsanteils-Abtretungen, Verständigungsabkommen und Vereinbarungen über Gewähr für Vermögen und Schulden (GAP). Diese Schriftstücke verpflichten oft zu Summen, die mehrere Hundertausend Euro übersteigen, und können vor Gericht angefochten werden.

Bevor die Kanzlei zu einem qualifizierten eIDAS-Anbieter wechselte, nutzte sie eine fortgeschrittene Signaturbewertung (AES), was für die meisten alltäglichen Schriftstücke ausreichte. Nach einem Zwischenfall, bei dem die Gegenseite in einem Rechtsstreit die Echtheit einer Signatur bestritt, wählte die Kanzlei die QES für alle Schriftstücke mit hohen Einsätzen. Ergebnis: 90 % Reduktion der Zeit für die Vorlage von Signaturbeweisen bei Rechtsverfahren, dank der unwiderlegbaren gesetzlichen Vermutung, die an die QES gebunden ist. Die zusätzlichen Kosten pro Signatur (etwa 2 bis 5 € je nach Mengen) wurden vollständig durch die Senkung der Prozesskosten ausgeglichen.

Szenario 2 — Ein mittleres Industrieunternehmen mit grenzüberschreitenden Lieferantenverträgen

Ein Unternehmen der mittleren Größe (ETI) des Sektors Industrieausrüstung mit Lieferanten in Frankreich, Deutschland, Italien und Polen musste seine Rahmenverträge bis dahin per Postbrief versenden oder persönliche Unterzeichnungstermine vereinbaren, was Verzögerungen von 10 bis 21 Arbeitstagen pro Vertrag verursachte.

Durch die Bereitstellung einer Lösung, die mit einem PSCQ der europäischen Trust List verbunden ist, reduzierte das Unternehmen den Unterzeichnungszyklus auf durchschnittlich weniger als 48 Stunden. Die gegenseitige Anerkennung zwischen den Mitgliedstaaten garantiert die rechtliche Gültigkeit ohne erforderliche zusätzliche Legalisierung. Bei einem Portfolio von 350 jährlichen Lieferantenverträgen übersteigt die geschätzte Ersparnis bei Verwaltungskosten und Logistik 40.000 € pro Jahr, nach Spannweiten, die mit Studien des Sektors konsistent sind, die von der ACFE und der APQC veröffentlicht wurden.

Szenario 3 — Ein Krankenhaus-Verbund, das den Anforderungen des Gesundheitssektors unterliegt

Ein Krankenhaus-Verbund mit etwa 1.200 Betten muss elektronisch Ausschreibungen, Vereinbarungen für klinische Forschung und Verträge mit Krankenhausärzten unterzeichnen. Diese Dokumente unterliegen dem Code des öffentlichen Auftragswesens, der eine elektronische Signatur verlangt, die dem RGS (Allgemeines Sicherheitsreferenzwerk) der Stufe ** oder seit der Dematerialisierung öffentlicher Aufträge einem gleichwertigen eIDAS-Niveau entspricht.

Durch die Nutzung eines PSCQ, der in die französische Trust List eingetragen ist, gewährleistet der Verbund die Einhaltung von Artikel R. 2132-7 des Gesetzbuchs für öffentliche Aufträge und verkürzt gleichzeitig die Unterzeichnungsfristen von 15 Tagen auf weniger als 72 Stunden. Die API-Integration mit dem Krankenhausinformationssystem (KIS) ermöglichte die Automatisierung des Versands und der Verfolgung von Dokumenten, was etwa 0,4 Vollzeitäquivalente bei verwaltungstechnischen Aufgaben im Zusammenhang mit Verträgen freigab.

Fazit

Die Wahl eines qualifizierten eIDAS-Anbieters ist nicht einfach ein Software-Kauf: Es ist eine strategische Entscheidung, die den Beweiswert Ihrer Schriftstücke, die regulatorische Compliance Ihrer Organisation und das Vertrauen Ihrer geschäftlichen und institutionellen Partner betrifft. 2026, mit dem schrittweisen Inkrafttreten von eIDAS 2.0 und neuen NIS2-Verpflichtungen, steigen die Anforderungen nur noch.

Die wesentlichen Punkte zum Mitnehmen: Überprüfen Sie systematisch die Eintragung in der offiziellen Trust List, fordern Sie eine veröffentlichte Zertifizierungsrichtlinie, und passen Sie die Signaturstufe (QES, AES, SES) an den rechtlichen Einsatz jedes Dokuments an.

Certyneo begleitet Sie bei dieser Aufgabe, indem es Ihnen Zugang zu qualifizierten Zertifikaten über referenzierte PSCQs, eine robuste API-Integration und dedizierte rechtliche Unterstützung gibt. Bereit, zur qualifizierten Signatur zu wechseln? Fordern Sie eine Demo an oder erstellen Sie Ihr Konto auf Certyneo und bringen Sie Ihre Organisation noch heute in Compliance.