eIDAS 2 πιστοποίηση προμηθευτή υπογραφής 2026

Γιατί η πιστοποίηση eIDAS 2 αλλάζει τα δεδομένα για τους προμηθευτές

Από την έναρξη ισχύος του κανονισμού (ΕΕ) 2024/1183 της 11ης Απριλίου 2024 — που είναι γνωστός ως eIDAS 2 — οι πάροχοι υπηρεσιών εμπιστοσύνης (PSC) που δραστηριοποιούνται στην Ευρωπαϊκή Ένωση αντιμετωπίζουν ένα κανονιστικό πλαίσιο που έχει αναδιαρθρωθεί βαθιά. Η αναθεώρηση του αρχικού κανονισμού eIDAS του 2014 δεν περιορίζεται απλώς στη διεύρυνση του περιεχομένου των αναγνωρισμένων υπηρεσιών: συσφίγγει σημαντικά τις συνθήκες διαπίστευσης, εισάγει νέα επίπεδα διασφάλισης και ενισχύει τις απαιτήσεις εποπτείας των εθνικών φορέων ελέγχου. Για κάθε φορέα που επιθυμεί να προσφέρει υπηρεσίες ηλεκτρονικής υπογραφής με προσόντα (QES) ή προχωρημένη (AdES) στην ευρωπαϊκή αγορά, η κατανόηση του πώς να λάβετε πιστοποίηση eIDAS 2 για πρόχειρη υπογραφή δεν είναι πλέον επιλογή — είναι στρατηγική υποχρέωση.

Αυτό το άρθρο παρουσιάζει ένα ολοκληρωμένο πανόραμα της διαδρομής πιστοποίησης: εφαρμοστέα κείμενα, τεχνικά πρότυπα που πρέπει να τηρούνται, ρόλος των φορέων αξιολόγησης της συμμόρφωσης (CAB), ρεαλιστικά χρονοδιαγράμματα και λειτουργικά σημεία προσοχής.

---

Το νέο κανονιστικό τοπίο eIDAS 2: τι άλλαξε

Από τον κανονισμό 910/2014 στον κανονισμό 2024/1183: οι κύριες εξελίξεις

Ο αρχικός κανονισμός eIDAS (αριθ. 910/2014) είχε θέσει τα θεμέλια μιας ενιαίας ψηφιακής αγοράς εμπιστοσύνης στην Ευρώπη. Όρισε τρία επίπεδα υπογραφής — απλή, προχωρημένη και με προσόντα — και επέβαλε στους προμηθευτές με προσόντα να εμφανίζονται στις εθνικές λίστες εμπιστοσύνης (TSL, Trust Service Lists). Το eIDAS 2 διατηρεί αυτήν την αρχιτεκτονική αλλά την εμπλουτίζει σε διάφορα δομικά σημεία:

• Επέκταση των υπηρεσιών με προσόντα: ηλεκτρονικό αρχειοθετικό με προσόντα, ηλεκτρονικές βεβαιώσεις χαρακτηριστικών (AEA), τηλεχειρισμένη διαχείριση συσκευών δημιουργίας υπογραφής με προσόντα (QSCD). Αυτές οι νέες υπηρεσίες υπόκεινται πλέον στην ίδια διαδικασία διαπίστευσης με την υπογραφή με προσόντα.
• Το ευρωπαϊκό πορτοφόλιο ψηφιακής ταυτότητας (EUDIW): οι πάροχοι που επιθυμούν να αλληλεπιδράσουν με το μελλοντικό πορτοφόλιο ταυτότητας πρέπει να αποδείξουν τη συμμόρφωσή τους με τις τεχνικές προδιαγραφές που δημοσίευσε η Επιτροπή (ARF — Architecture and Reference Framework, v1.4, 2024).
• Ενίσχυση της εποπτείας: οι εθνικές αρχές εποπτείας (στη Γαλλία, η ANSSI) διαθέτουν ενισχυμένες εξουσίες έρευνας και διακοπής. Οι PSC με προσόντα μπορούν να υποβληθούν σε ελέγχους χωρίς προειδοποίηση.
• Συντομευμένοι χρόνοι ειδοποίησης: οποιοδήποτε σημαντικό περιστατικό ασφάλειας πρέπει να δηλωθεί στην αρμόδια αρχή εντός 24 ωρών (αντί 72 ωρών στην προηγούμενη έκδοση για ορισμένα περιστατικά).

Για μια ολοκληρωμένη εικόνα του κανονισμού, ο οδηγός eIDAS 2.0 του Certyneo προσφέρει μια παιδαγωγική σύνοψη όλων αυτών των εξελίξεων.

Τα επίπεδα διασφάλισης και οι επιπτώσεις τους για την πιστοποίηση

Η διάκριση μεταξύ ηλεκτρονικής υπογραφής προχωρημένης και με προσόντα παραμένει ο άξονας του συστήματος. Μόνο η QES ωφελείται από νομική υπόθεση ακεραιότητας και αποδοχής ισοδύναμης με την χειρόγραφη υπογραφή (άρθρο 25 του κανονισμού eIDAS 2). Αυτή η υπόθεση σχετίζεται άμεσα με την πιστοποίηση του προμηθευτή.

| Επίπεδο | Αποδεικτική αξία | Απαίτηση προμηθευτή | |---|---|---| | Απλή (SES) | Περιορισμένη | Καμία | | Προχωρημένη (AdES) | Σημαντική | Καλές πρακτικές + πρότυπα ETSI | | Με προσόντα (QES) | Μέγιστη (νομική υπόθεση) | Υποχρεωτική πιστοποίηση eIDAS 2 |

---

Η διαδικασία πιστοποίησης eIDAS 2 βήμα προς βήμα

Βήμα 1 — Προαπαιτούμενα οργανωσιακά και τεχνικά

Πριν κινήσει επισήμως τη διαδικασία πιστοποίησης, ένας πάροχος πρέπει να ελέγξει το επίπεδο ωριμότητάς του σε τρεις άξονες:

1. Συμμόρφωση με τα πρότυπα ETSI Τα πρότυπα της σειράς EN 319 αποτελούν το απαραίτητο τεχνικό θεμέλιο. Τα κύρια είναι:

• ETSI EN 319 401: γενικές απαιτήσεις για παρόχους υπηρεσιών εμπιστοσύνης
• ETSI EN 319 411-1 και 411-2: πολιτικές και απαιτήσεις για αρχές πιστοποίησης που εκδίδουν πιστοποιητικά (προφίλ PTC-QC για πιστοποιήσεις με προσόντα)
• ETSI EN 319 421: πολιτική και απαιτήσεις για παρόχους υπηρεσιών χρονοσφράγισης
• ETSI EN 319 132: μορφές υπογραφής XAdES (XML), και η σχετική σειρά CAdES (CMS) και PAdES (PDF)

Η συμμόρφωση με αυτά τα πρότυπα δεν είναι προαιρετική για τους παρόχους με προσόντα: απαιτείται ρητά από τις εκτελεστικές πράξεις της Ευρωπαϊκής Επιτροπής.

2. Ασφάλεια συστημάτων πληροφοριών Οι QSCD (συσκευές δημιουργίας υπογραφής με προσόντα) πρέπει να πιστοποιούνται σύμφωνα με τα Common Criteria (CC) EAL4+ ή ισοδύναμο. Για τηλεχειριστές λύσεις υπογραφής — το κυρίαρχο μοντέλο SaaS — οι απαιτήσεις σχετίζονται επίσης με τις ενότητες HSM (Hardware Security Module) και τις διαδικασίες διαχείρισης των κρυπτογραφικών κλειδιών (συμμόρφωση FIPS 140-2 επίπεδο 3 ελάχιστο).

3. Πολιτική ασφάλειας (PSSI) και διαχείριση κινδύνων Το δοσιμετρικό πιστοποίησης απαιτεί μια τυποποιημένη PSSI, ευθυγραμμισμένη με ISO/IEC 27001 (η πιστοποίησή της ενθαρρύνεται ισχυρά και μερικές φορές απαιτείται από τα CAB) και ενσωματώνουσα τις απαιτήσεις NIS2 για τα όργανα που ταξινομούνται ως "σημαντικά" ή "ουσιώδη".

Βήμα 2 — Επιλογή και ένταξη ενός φορέα αξιολόγησης της συμμόρφωσης (CAB)

Στη Γαλλία, τα CAB που διαπιστεύονται από το COFRAC (Comité Français d'Accréditation) για την αξιολόγηση των παρόχων υπηρεσιών εμπιστοσύνης είναι λίγα. Για παράδειγμα, το LSTI (Laboratoire de Sécurité des Technologies de l'Information) και η Bureau Veritas Certification περιλαμβάνονται μεταξύ των αναφερόμενων δρώντων. Σε ευρωπαϊκό επίπεδο, κάθε κράτος μέλος δημοσιεύει τη λίστα των CAB που έχουν δηλωθεί.

Ο ρόλος του CAB είναι να διεξάγει έναν έλεγχο συμμόρφωσης σε δύο φάσεις:

1. Ανασκόπηση εγγράφων (Φάση 1): εξέταση πολιτικών, διαδικασιών, Δήλωσης Πρακτικής Πιστοποίησης (DPC / CPS) και τεχνικών αποδείξεων.
2. Έλεγχος στην τοποθεσία (Φάση 2): επαλήθευση των λειτουργικών ελέγχων, δοκιμές διείσδυσης, συνεντεύξεις με τις ομάδες.

Η συνολική διάρκεια ενός ελέγχου CAB κυμαίνεται συνήθως από 4 έως 8 εβδομάδες ανάλογα με την προηγούμενη ωριμότητα του υποψηφίου.

Βήμα 3 — Οδηγός από την εθνική αρχή εποπτείας

Στη Γαλλία, είναι η ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) που δέχεται τις αιτήσεις εγγραφής στην εθνική λίστα εμπιστοσύνης (TSL FR). Με βάση την έκθεση ελέγχου CAB, η ANSSI διεξάγει τη δική της ανάλυση και μπορεί να ζητήσει πρόσθετες πληροφορίες ή διορθωτικά μέτρα.

Η κανονιστική προθεσμία εξέτασης είναι 3 μήνες από τη λήψη ενός πλήρους δοσιμετρικού (άρθρο 17 του κανονισμού eIDAS 2). Στην πράξη, οι πραγματικές προθεσμίες είναι συχνά μεγαλύτερες εάν το αρχικό δοσιμετρικό είναι ημιτελές.

Μόλις εγγραφεί στο TSL εθνικής, ο πάροχος αναγνωρίζεται αυτόματα στο EUTL (EU Trusted List), που δημοσιεύεται από την Ευρωπαϊκή Επιτροπή, το οποίο του δίνει άμεση διασυνοριακή αναγνώριση στα 27 κράτη μέλη.

Βήμα 4 — Διατήρηση της προσόντων και ανανέωση

Η πιστοποίηση eIDAS 2 δεν είναι οριστική. Οι πάροχοι με προσόντα υπόκεινται σε:

• Ετήσιο έλεγχο επιτήρησης που διεξάγεται από το CAB
• Πλήρης έλεγχος ανανέωσης κάθε 24 μήνες (κύκλος που συντομεύθηκε σε σχέση με την προηγούμενη πρακτική)
• Ελέγχους χωρίς προειδοποίηση που είναι δυνατοί κατά την πρωτοβουλία της ANSSI

Οποιαδήποτε ουσιαστική αλλαγή στην υποδομή (αλλαγή HSM, εξέλιξη του PKI, νέα υπηρεσία με προσόντα) ενεργοποιεί μια διαδικασία προηγούμενης ειδοποίησης και μπορεί να επιβάλει έναν μερικό έλεγχο.

---

Κόστη, χρονοδιαγράμματα και παράγοντες κινδύνου: αυτά που οι DSI πρέπει να αναμένουν

Προϋπολογισμός και ανθρώπινοι πόροι

Το κόστος μιας πρώτης πιστοποίησης eIDAS 2 είναι σημαντικό. Οι θέσεις δαπανών περιλαμβάνουν:

• Έλεγχος CAB: μεταξύ 40.000 € και 120.000 € ανάλογα με την πολυπλοκότητα του δεδομένου πεδίου
• Τεχνική συμμόρφωση (HSM, PKI, πιστοποιημένες QSCD CC): από 80.000 € έως αρκετές εκατοντάδες χιλιάδες ευρώ για μια ιδιόκτητη υποδομή
• Πιστοποίηση ISO 27001 (συνιστάται σε προηγούμενη φάση): 15.000 έως 50.000 € ανάλογα με το μέγεθος
• Έξοδα νομικής συμβουλευτικής και σύνταξης DPC: 10.000 έως 30.000 €
• Εσωτερικά κόστη: κινητοποίηση μιας αποκλειστικής ομάδας (RSSI, DPO, υπεύθυνος συμμόρφωσης) για 12 έως 18 μήνες

Συσσωρεύοντας όλα αυτά τα στοιχεία, μια πλήρης πιστοποίηση αντιπροσωπεύει μια συνολική επένδυση της τάξης των 200.000 έως 500.000 € για έναν πάροχο μεσαίου μεγέθους, χωρίς τα επαναλαμβανόμενα κόστη συντήρησης.

Λειτουργικοί παράγοντες κινδύνου

Οι πιο συχνές αιτίες αποτυχίας ή καθυστέρησης στις διαδικασίες πιστοποίησης είναι:

1. Δήλωση πρακτικής πιστοποίησης (DPC) ανεπαρκώς λεπτομερής: η Δήλωση Πρακτικής Πιστοποίησης πρέπει να τεκμηριώσει κάθε έλεγχο με λεπτομέρεια που πολλές φορές υποεκτιμάται.
2. Ελλείψεις στη διαχείριση του κύκλου ζωής των κλειδιών: ανάκληση, αρχειοθέτηση, καταστροφή ιδιωτικών κλειδιών.
3. Ανεπαρκής διακυβέρνηση περιστατικών: απουσία SIEM, διαδικασίες διαχείρισης κρίσης που δοκιμάστηκαν, runbooks.
4. Υποεκτίμηση του NIS2: από τον Οκτώβριο 2024, οι PSC με προσόντα ταξινομούνται αυτόματα ως "σημαντικές" οντότητες κατά την έννοια της οδηγίας NIS2, με πρόσθετες υποχρεώσεις δήλωσης και διαχείρισης κινδύνων.

Για τις επιχειρήσεις που επιθυμούν να ανατίθεσαν αυτούς τους περιορισμούς σε έναν ήδη πιστοποιημένο πάροχο αντί να κατασκευάσουν τη δική τους υποδομή, η σύγκριση των λύσεων ηλεκτρονικής υπογραφής που διατίθενται στο Certyneo βοηθά να αντικειμενοποιηθεί αυτή η επιλογή κατασκευής έναντι αγοράς.

---

eIDAS 2 και ηλεκτρονική υπογραφή στην επιχείρηση: προκλήσεις μετάβασης

Για τις επιχειρήσεις χρήστες — σε αντίθεση με τους παρόχους — η πιστοποίηση eIDAS 2 του προμηθευτή τους SaaS υπογραφής είναι ένα κριτήριο επιλογής που είναι πλέον αναγκαίο. Ενσωμάτωση στις αιτήσεις για προσφορές μιας ρήτρας που απαιτεί παρουσία στη TSL εθνική έχει γίνει μια τυποποιημένη πρακτική στους ρυθμιζόμενους τομείς (χρηματοδότηση, υγεία, ακίνητα).

Η ηλεκτρονική υπογραφή στην επιχείρηση επιβάλλει πράγματι να γίνει σαφής διάκριση μεταξύ περιπτώσεων χρήσης που απαιτούν QES — πράξεις υπό ιδιωτικό δίκαιο υψηλής σημασίας, ανοχύρωση, ηλεκτρονικές συμβολαιογραφικές πράξεις — και αυτών στις οποίες AdES είναι επαρκής. Αυτή η χαρτογραφία χρήσης καθορίζει άμεσα το επίπεδο υπηρεσίας που μπορεί συμβατικά να απαιτηθεί από τον πάροχο.

Οι οργανισμοί που μεταnavigate από μια υπάρχουσα λύση σε έναν πάροχο τρίτου που είναι πιστοποιημένος eIDAS 2 πρέπει επίσης να αναμένουν τη φορητότητα των αρχείων αποδείξεων. Ο οδηγός σχετικά με τη μετάβαση από το DocuSign ή YouSign στο Certyneo λεπτομερειάζει τις καλές πρακτικές για τη διατήρηση της αποδεικτικής αξίας των ήδη υπογεγραμμένων εγγράφων κατά τη διάρκεια της μετάβασης.

Νομικό πλαίσιο που ισχύει για την πιστοποίηση eIDAS 2

Κείμενα ιδρύσης

Η πιστοποίηση των παρόχων υπηρεσιών εμπιστοσύνης βασίζεται σε ένα πυκνό κανονιστικό σύστημα που πρέπει να κατακτηθεί στο σύνολό του:

Κανονισμός (ΕΕ) 2024/1183 της 11ης Απριλίου 2024 (eIDAS 2): κείμενο αναφοράς που καταργεί και αντικαθιστά τις αντίστοιχες διατάξεις του κανονισμού 910/2014. Ορίζει τις προϋποθέσεις απόκτησης και διατήρησης του καθεστώτος παρόχου με προσόντα, τις υποχρεώσεις εποπτείας στο εθνικό επίπεδο και τις απαιτήσεις σχετικά με τις νέες υπηρεσίες (EUDIW, AEA).

Κανονισμός (ΕΕ) αριθ. 910/2014 (eIDAS 1): εξακολουθεί να ισχύει εν μέρει για τις διατάξεις που δεν τροποποιήθηκαν. οι εκτελεστικές και εξουσιοδοτικές πράξεις που υιοθετήθηκαν δυνάμει αυτού του κανονισμού παραμένουν σε ισχύ έως την επίσημη αναθεώρησή τους.

Γαλλικό Αστικό Δίκαιο, άρθρα 1366 και 1367: το άρθρο 1366 θέτει την αρχή της ισοδυναμίας της ηλεκτρονικής υπογραφής με την χειρόγραφη υπογραφή υπό όρο αξιοπιστίας. το άρθρο 1367 διευκρινίζει ότι η αξιοπιστία προϋποτίθεται έως αποδείξει του αντιθέτου όταν χρησιμοποιείται υπογραφή με προσόντα. Αυτές οι εθνικές διατάξεις συνδέονται άμεσα με τη νομική υπόθεση του άρθρου 25 eIDAS 2.

Οδηγία (ΕΕ) 2022/2555 (NIS2): μεταφερόμενη στο γαλλικό δίκαιο με τον νόμο της 15ης Οκτωβρίου 2024, ταξινομεί αυτόματα τους παρόχους υπηρεσιών εμπιστοσύνης με προσόντα ανάμεσα στις σημαντικές οντότητες. Υποχρεώσεις: δήλωση στην ANSSI εντός 72 ωρών για οποιοδήποτε σημαντικό περιστατικό, θέσπιση τυποποιημένης διαχείρισης κινδύνων ασφάλειας, περιοδικός έλεγχος ασφάλειας.

Κανονισμός (ΕΕ) 2016/679 (RGPD): οι πάροχοι υπηρεσιών υπογραφής επεξεργάζονται ευαίσθητα προσωπικά δεδομέν