Συμμόρφωση με το eIDAS για ΜΜΕ: η πλήρης λίστα ελέγχου του 2026

Ο ευρωπαϊκός κανονισμός eIDAS (EU n°910/2014, που θα τροποποιηθεί σύντομα από το eIDAS 2.0) ρυθμίζει τις ηλεκτρονικές υπογραφές σε ολόκληρη την Ευρωπαϊκή Ένωση. Για μια ΜΜΕ, η συμμόρφωση δεν είναι απλώς ένα πλαίσιο προς έλεγχο: είναι η εγγύηση ότι οι συμβάσεις της είναι εκτελεστές, ότι τα δεδομένα υπογραφής της προστατεύονται και ότι προστατεύεται από νομικούς κινδύνους που μπορεί να είναι δαπανηροί. Ακολουθεί η λίστα ελέγχου του 2026 σε 12 συγκεκριμένα σημεία για να ελέγξετε ότι η ΜΜΕ σας είναι πλήρως συμβατή με το eIDAS.

Σημείο 1: επιλέξτε το σωστό επίπεδο υπογραφής

Πρώτο αντανακλαστικό: χαρτογραφήστε τους τύπους των συμβολαίων σας και συσχετίστε ένα επίπεδο-στόχο. Τυπικές εμπορικές συμβάσεις (προσφορές, εντολές αγοράς, απλές NDA): Το SES είναι αρκετό. Συμβάσεις εργασίας, μισθώσεις, ευαίσθητες NDA, στρατηγικές συμφωνίες: ελάχιστο AES, κατά προτίμηση με OTP SMS. Ρυθμιζόμενες πράξεις (δικηγόρος, συμβολαιογράφος, δημόσιες συμβάσεις άνω του ορίου): Υποχρεωτικό QES. Χωρίς αυτήν την αντιστοίχιση, κινδυνεύετε να υποβαθμίσετε το μέγεθος (απορριμμένο συμβόλαιο) ή υπερμεγέθη (υπερβολικό κόστος).

Σημείο 2: ελέγξτε τα προσόντα του παρόχου υπηρεσιών

Ο πάροχος υπηρεσιών σας πρέπει να είναι αξιόπιστος πάροχος υπηρεσιών (QTSP) ή να βασίζεται σε ένα QTSP για επίπεδα AES/QES. Συμβουλευτείτε τη Λίστα Υπηρεσιών Εμπιστοσύνης που δημοσιεύεται από την ANSSI (eidas.ssi.gouv.fr) και την Ευρωπαϊκή Λίστα αξιόπιστων (webgate.ec.europa.eu/tl-browser). Τα γαλλικά QTSPs αναφοράς: Certigna, Docaposte, Certinomis, Universign. Για SES/AES μέσω πλατφόρμας (Certyneo, Yousign, κ.λπ.), ελέγξτε τη ρητά τεκμηριωμένη συμμόρφωσή τους με το eIDAS.

Σημείο 3: Δοκιμή της διαδρομής ελέγχου

Υπογράψτε έναν φάκελο δοκιμής και συλλέξτε τη διαδρομή ελέγχου (συνήθως ένα ξεχωριστό PDF). Πρέπει να περιέχει: ταυτότητα και email του υπογράφοντος, χρονική σήμανση κάθε βήματος (αποστολή, άνοιγμα, επικύρωση, υπογραφή), διεύθυνση IP, παράγοντα χρήστη, κατακερματισμός του εγγράφου, επικύρωση OTP εάν AES. Εάν λείπει ένα από αυτά τα στοιχεία, η αποδεικτική αξία αποδυναμώνεται. Το Certyneo παρέχει την πλήρη διαδρομή ελέγχου ακόμη και σε δωρεάν πρόγραμμα.

Σημείο 4: έλεγχος της χρονικής σήμανσης

Η χρονική σήμανση πρέπει να εκδοθεί από μια Αρχή Χρονικής Σφραγίδας (TSA) συμβατή με το RFC 3161. Μια χρονική σήμανση απλώς από έναν διακομιστή NTP της εταιρείας δεν αρκεί. Ανοίξτε το υπογεγραμμένο PDF στο Adobe Reader: καρτέλα Υπογραφές → Λεπτομέρειες → Χρονική σήμανση. Θα πρέπει να δείτε ένα έγκυρο πιστοποιητικό TSA και ένα πιστοποιημένο ρολόι εκεί. Εάν το PDF δεν έχει πιστοποιημένη χρονική σήμανση, υποχωρήστε στην επιλογή του παρόχου υπηρεσιών.

Σημείο 5: αρχειοθέτηση για τουλάχιστον 10 χρόνια

Ο Εμπορικός Κώδικας (άρθρο L. 123-22) απαιτεί 10 χρόνια αποθήκευσης για εμπορικά έγγραφα. Ο Κώδικας Εργασίας επιβάλλει 5 χρόνια για τις συμβάσεις εργασίας μετά την καταγγελία. Η αρχειοθέτηση πρέπει να διατηρεί την ακεραιότητα (hash, σφράγιση) και την πρόσβαση. Ιδανικό: Μορφή PDF/A (ISO 19005), διπλός χώρος αποθήκευσης (κύριος + αντίγραφο ασφαλείας εκτός τοποθεσίας), πιστοποιημένο ηλεκτρονικό χρηματοκιβώτιο (CFE) για μέγιστη απόδειξη. Το Certyneo αρχειοθετεί 10 χρόνια από προεπιλογή και προσφέρει εξαγωγές σε συνεργάτες CFE.

Σημείο 6: έλεγχος εντοπισμού δεδομένων

Πού φιλοξενούνται τα δεδομένα υπογραφής σας; Για μια γαλλική ΜΜΕ που ασχολείται με ευαίσθητες συμβάσεις, επιλέξτε φιλοξενία γαλλικών ή ΕΕ. Ρωτήστε τον πάροχο υπηρεσιών σας για τη λίστα των υπεργολάβων και την τοποθεσία τους (άρθρο 28 GDPR). Αποφύγετε λύσεις που υπόκεινται στον Νόμο Cloud των ΗΠΑ για στρατηγικές συμβάσεις. Το Certyneo φιλοξενείται στη Γαλλία, χωρίς εξάρτηση από το Cloud Act. Δείτε το άρθρο μας στο /blog/cloud-act-signature-electronique.

Σημείο 7: αρθρώστε με τον GDPR

Η υπογραφή και ο GDPR συνδέονται στενά: κάθε φάκελος περιέχει προσωπικά δεδομένα (όνομα, email, IP, τηλέφωνο). Βεβαιωθείτε ότι το μητρώο επεξεργασίας σας (άρθρο 30 GDPR) περιλαμβάνει την ηλεκτρονική υπογραφή, ότι οι περίοδοι διατήρησης είναι συνεπείς (10 έτη) και ότι τα δικαιώματα των ατόμων μπορούν να εφαρμοστούν (πρόσβαση, διόρθωση, φορητότητα). Εάν ζητάτε πολλές υπογραφές, συνιστάται DPO. Δείτε το άρθρο μας /blog/signature-electronique-rgpd.

Σημείο 8: προσδιορίστε τους υπογράφοντες ανάντη

Για ένα σταθερό AES, η αναγνώριση δεν ξεκινά με την υπογραφή: ξεκινά με τη συλλογή δεδομένων. Ελέγξτε τα μηνύματα ηλεκτρονικού ταχυδρομείου (χωρίς ψευδώνυμα, χωρίς λίστα αλληλογραφίας), αριθμούς τηλεφώνου (χωρίς κοινόχρηστη γραμμή) και παρακολουθήστε την πηγή ταυτοποίησης (αναγνωριστικό για βαριές συμβάσεις, υπάρχον KYC πελάτη για συμβάσεις που βρίσκονται σε εξέλιξη). Αυτή η δέουσα επιμέλεια καθιστά τα αποδεικτικά στοιχεία σταθερά σε περίπτωση διαφωνίας.

Σημείο 9: εκπαιδεύστε τις ομάδες

Οι ομάδες πωλήσεων, ανθρώπινου δυναμικού και νομικών σας πρέπει να κατανοήσουν τους κανόνες: μην αναγκάζετε ποτέ έναν υπογράφοντα να χρησιμοποιήσει μια συσκευή τρίτου κατασκευαστή, μην επιστρέψετε ποτέ ένα τροποποιημένο υπογεγραμμένο PDF, μην επικολλήσετε ποτέ μια σαρωμένη εικόνα υπογραφής στη θέση μιας πραγματικής υπογραφής. Μία ώρα προπόνησης ανά ομάδα είναι αρκετή για να ενσταλάξει καλά αντανακλαστικά. Το Certyneo παρέχει έναν πλήρη οδηγό για εσωτερική κοινή χρήση (/πόρων).

Σημείο 10: ελέγξτε τις συμβάσεις των παρόχων υπηρεσιών

Η CGU/CGV του παρόχου υπηρεσιών υπογραφής πρέπει: να ξεκινήσει τη συμμόρφωση με το eIDAS, να προσδιορίσει περιόδους αρχειοθέτησης, να συμπεριλάβει μια συμφωνία υπεργολαβίας GDPR (άρθρο 28), να τεκμηριώσει το γεγονός της δυνατότητας υπεργολαβίας σε έναν προγραμματισμό εκ νέου ανάθεσης. Ζητήστε επίσης SOC 2 Type II ή ισοδύναμο εάν επεξεργάζεστε μεγάλους όγκους. Για το Certyneo, αυτά τα έγγραφα είναι διαθέσιμα στο /legal και /security.

Σημείο 11: προετοιμάστε το eIDAS 2.0 και το πορτοφόλι EUDI

Ο κανονισμός eIDAS 2.0 (ΕΕ 2024/1183) τίθεται σταδιακά σε ισχύ και απαιτεί από τα κράτη μέλη να αναπτύξουν ένα πορτοφόλι EUDI πριν από το τέλος του 2026. Αυτό το πορτοφόλι ψηφιακής ταυτότητας δεν θα επιτρέψει εκ νέου φυσική πρόσβαση στο γραφείο ψηφιακής ταυτότητας χωρίς εγγραφή στο πορτοφόλι QES. Προετοιμάστε τη ΜΜΕ σας: ελέγξτε ότι ο πάροχος υπηρεσιών σας διαθέτει οδικό χάρτη πορτοφολιού EUDI, ακολουθήστε τις ανακοινώσεις από την ANSSI και την Ευρωπαϊκή Επιτροπή. Δείτε /blog/eidas-2-nouveau-reglement-2026.

Σημείο 12: έλεγχος ετησίως

Η συμμόρφωση δεν είναι επίκτητη κατάσταση: είναι μια συνεχής διαδικασία. Προγραμματίστε έναν ετήσιο έλεγχο (εσωτερικό ή εξωτερικό) για να ελέγξετε: ρυθμιστικές αλλαγές, εξελίξεις παρόχων υπηρεσιών, ενημερωμένη χαρτογράφηση τύπων συμβάσεων, αποτελεσματική διατήρηση, εκπαίδευση νέων προσλήψεων. Ένας ελαφρύς έλεγχος διαρκεί μισή μέρα για μια ΜΜΕ και αποφεύγει πολλές εκπλήξεις. Ξεκινήστε δημιουργώντας έναν δωρεάν λογαριασμό Certyneo στη διεύθυνση certyneo.com/signup για να ελέγξετε τη συμμόρφωση στον πραγματικό κόσμο και, στη συνέχεια, ανατρέξτε στον οδηγό μας eIDAS για να εμβαθύνετε (/guide/eidas).