Πάροχοι eIDAS με πλήρη αναγνώριση: ο επίσημος κατάλογος 2026

Γιατί το καθεστώς « πλήρως αναγνωρισμένο » eIDAS είναι αποφασιστικό για την επιχείρησή σας;

Από την έναρξη ισχύος του Κανονισμού eIDAS (αρ. 910/2014), η ευρωπαϊκή αγορά ηλεκτρονικής υπογραφής έχει αναδομηθεί σημαντικά γύρω από μια ιεραρχία τριών επιπέδων: την απλή ηλεκτρονική υπογραφή (SES), την προηγμένη ηλεκτρονική υπογραφή (AES) και την ηλεκτρονική υπογραφή με πλήρη αναγνώριση (QES). Η τελευταία είναι η μόνη που συνταύτιζει με νομική πρεσούμψα ισοδυναμίας με την χειρόγραφη υπογραφή σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης.

Για να μπορέσει μια επιχείρηση να προσφέρει υπογραφές με πλήρη αναγνώριση, πρέπει να έχει ελεγχθεί και να είναι εγγεγραμμένη στη λίστα εμπιστοσύνης (Trust List) του κράτους μέλους της. Στη Γαλλία, το Εθνικό Γραφείο Ασφάλειας Συστημάτων Πληροφοριών (ANSSI) διατηρεί αυτό το επίσημο μητρώο, το οποίο δημοσιεύεται στη κεντρική ευρωπαϊκή λίστα που διαχειρίζεται η Επιτροπή της Ευρώπης.

Η κατανόηση αυτής της αρχιτεκτονικής είναι θεμελιώδης πριν υπογράψετε οποιοδήποτε ευαίσθητο εμπορικό συμβόλαιο. Για περισσότερες πληροφορίες σχετικά με τις ρυθμιστικές βάσεις, ο ολοκληρωμένος οδηγός για τον Κανονισμό eIDAS 2.0 παρουσιάζει λεπτομέρειες όλων των υποχρεώσεων και των αλλαγών που εισάγει ο αναθεωρημένος Κανονισμός eIDAS 2.0 (Κανονισμός ΕΕ 2024/1183).

---

Πώς πιστοποιούνται οι πάροχοι υπηρεσιών εμπιστοσύνης με πλήρη αναγνώριση;

Η διαδρομή προς το καθεστώς Παρόχου Υπηρεσιών Εμπιστοσύνης με πλήρη αναγνώριση (PSCQ) είναι απαιτητική. Περιλαμβάνει έλεγχο που διενεργείται από ένα φορέα αξιολόγησης της συμμόρφωσης (CAB, Conformity Assessment Body) αναγνωρισμένο σύμφωνα με τα πρότυπα ETSI EN 319 401 (γενικές απαιτήσεις) και ETSI EN 319 411-2 για τα πιστοποιητικά με πλήρη αναγνώριση.

Τα στάδια πιστοποίησης ANSSI

1. Υποβολή αρχείου πιστοποίησης: ο πάροχος υποβάλλει την τεχνική, ασφάλειας και οργανωτική του τεκμηρίωση στο ANSSI.
2. Έλεγχος από αναγνωρισμένο CAB: ένας ανεξάρτητος φορέας — όπως Bureau Veritas, LSTI ή Apave Certification — επαληθεύει τη συμμόρφωση εντόπου και εξ ονόματος.
3. Απόφαση πιστοποίησης: το ANSSI προκηρύσσει την πιστοποίηση και εγγράφει τον πάροχο στη γαλλική λίστα εμπιστοσύνης (TL-FR).
4. Περιοδική ανανέωση: η πιστοποίηση αξιολογείται εκ νέου, συνήθως κάθε δύο χρόνια, για να εξασφαλίσει τη διατήρηση των απαιτήσεων.

Τι ελέγχει συγκεκριμένα ο έλεγχος;

Ο ελεγκτής εξετάζει ιδίως:

• Την φυσική ασφάλεια των κέντρων δεδομένων που φιλοξενούν τα κρυπτογραφικά κλειδιά (αναγνωρισμένα μοντέλα HSM CC EAL 4+ ή FIPS 140-2 Level 3 ως ελάχιστο) ;
• Τις πολιτικές πιστοποίησης (CP) και τις δηλώσεις των πρακτικών πιστοποίησης (CPS) που δημοσιεύονται από τον πάροχο ;
• Τις διαδικασίες επαλήθευσης ταυτότητας των υπογραφόντων (πρόσωπο με πρόσωπο ή απομακρυσμένη επαλήθευση ταυτότητας σύμφωνα με το πρότυπο EN 419 241-1) ;
• Τη διαχείριση ανακλήσεων και τη διαθεσιμότητα των υπηρεσιών OCSP/CRL.

Αυτά τα κριτήρια εξηγούν γιατί μόνο ένας μικρός αριθμός ακτόρων επιτυγχάνει και διατηρεί αυτό το επίπεδο πιστοποίησης στη Γαλλία.

---

Οι πάροχοι eIDAS με πλήρη αναγνώριση που αναφέρονται στη Γαλλία το 2026

Ο επίσημος κατάλογος των παρόχων με πλήρη αναγνώριση είναι διαθέσιμος ανά πάσα στιγμή στο επίσημο πύλη της Επιτροπής της Ευρώπης (eidas.ec.europa.eu/efts), φιλτράροντας κατά «Γαλλία» και την υπηρεσία «QCertESig» (Qualified Certificate for Electronic Signature). Ακολουθούν οι ακτόρες που ήταν εγγεγραμμένοι στο μητρώο την εποχή της σύνταξης αυτού του άρθρου (Ιούνιος 2026) :

Γαλλικοί ακτόρες εγγεγραμμένοι στη Trust List

| Πάροχος | Τύπος πιστοποιημένης υπηρεσίας | Ιδιαιτερότητα | |---|---|---| | Certigna (Dhimyotis) | Πιστοποιητικά με πλήρη αναγνώριση, χρονοσήμανση με πλήρη αναγνώριση | Ομάδα La Poste, πιστοποιημένη eIDAS από το 2016 | | Certinomis | Πιστοποιητικά με πλήρη αναγνώριση | Θυγατρική La Poste, προσανατολισμένη στον δημόσιο τομέα | | ChamberSign France | Πιστοποιητικά με πλήρη αναγνώριση | Δίκτυο των CCI, ισχυρή εδραίωση ΜΜΕ/ΜΑΕ | | Keynectis / DocuSign France | Πιστοποιητικά με πλήρη αναγνώριση | Αποκτήθηκε από τη DocuSign, διατήρηση του ANSSI label | | Universign (Tessi) | Πιστοποιητικά με πλήρη αναγνώριση, χρονοσήμανση | Πρωτοπόρος της αγοράς, ενσωματωμένος στον Tessi group | | Entrust (ex-Datacard) | Πιστοποιητικά με πλήρη αναγνώριση | Διεθνής ακτόρας, Trust List πολλών κρατών μελών | | Oodrive Sign | Πιστοποιητικά με πλήρη αναγνώριση | Γαλλικός ανεξάρτητος εκδότης, πιστοποιημένος SecNumCloud |

> Προειδοποίηση : αυτός ο κατάλογος παρέχεται για ενημερωτικούς σκοπούς. Μόνο η επίσημη Trust List της Επιτροπής της Ευρώπης ισχύει. Επαληθεύστε πάντα την τρέχουσα κατάσταση στο πύλη ETSI πριν από οποιαδήποτε συμβατική δέσμευση.

Πάροχοι εξωτερικού που αναγνωρίζονται στη Γαλλία μέσω της ευρωπαϊκής Trust List

Σύμφωνα με την αρχή της αμοιβαίας αναγνώρισης που τίθεται στο άρθρο 25 του Κανονισμού eIDAS, μια υπογραφή με πλήρη αναγνώριση που εκδόθηκε από ένα PSCQ εγγεγραμμένο στη λίστα εμπιστοσύνης ενός άλλου κράτους μέλους παράγει τα ίδια νομικά αποτελέσματα στη Γαλλία. Μεταξύ των συχνά χρησιμοποιουμένων μη-γαλλικών ακτόρων:

• Namirial (Ιταλία) : ισχυρή σε υπογραφή με πλήρη αναγνώριση από απόσταση (QES remote signing) ;
• SwissSign (Ελβετία) : προσοχή, η Ελβετία δεν είναι μέλος της ΕΕ· η αναγνώριση είναι μερική ;
• Qualified.one / Asseco Data Systems (Πολωνία) : δημόσιος ευρωπαϊκός ακτόρας, συχνός σε διασυνοριακές αγορές.

Για να συγκρίνετε αυτές τις λύσεις σύμφωνα με τις επιχειρηματικές σας ανάγκες, συμβουλευτείτε τη σύγκριση των λύσεων ηλεκτρονικής υπογραφής που αναλύει τα κριτήρια τιμής, συμμόρφωσης και ενσωμάτωσης API.

---

Πώς να επιλέξετε τον σωστό πάροχο eIDAS με πλήρη αναγνώριση για την οργάνωσή σας;

Η εγγραφή στη Trust List είναι αναγκαία, αλλά όχι ικανή συνθήκη. Η επιλογή ενός PSCQ πρέπει να βασίζεται σε πολλαπλά συμπληρωματικά κριτήρια.

Τεχνικά κριτήρια και ενσωμάτωσης

• API REST ή SDK διαθέσιμο : απαραίτητο για την αυτοματοποίηση της υπογραφής στις ροές εργασίας σας (ERP, SIRH, CRM) ;
• Υποστηριζόμενες μορφές υπογραφής : PAdES για PDF, XAdES για XML, CAdES για δυαδικά αρχεία — όλα τυποποιημένα από ETSI EN 319 100 ;
• Διαθεσιμότητα της υπηρεσίας : SLA μεγαλύτερο από 99,9 % που εγγυάται συμβατικά, με προγραμματισμένες περιόδους συντήρησης εκτός ωρών εργασίας ;
• Φιλοξενία δεδομένων : προτιμήστε φιλοξενία στη Γαλλία ή στην ΕΕ, ιδανικά πιστοποιημένη SecNumCloud για ευαίσθητα δεδομένα.

Νομικά κριτήρια και συμμόρφωσης

• Επαληθεύστε ότι ο πάροχος παρέχει ένα ενημερωμένο αναφορά πιστοποίησης (λιγότερο από 24 μήνες) ;
• Απαιτήστε μια δημοσιευμένη πολιτική πιστοποίησης (CP) που είναι δημόσια προσβάσιμη και ελεγμένη ;
• Βεβαιωθείτε ότι οι γενικοί όροι προβλέπουν ρητά την έκδοση πιστοποιητικών με πλήρη αναγνώριση σύμφωνα με το Παράρτημα I του Κανονισμού eIDAS.

Λειτουργικά κριτήρια και υποστήριξη

• Διαδικασία εγγραφής υπογραφόντων : πρόσωπο με πρόσωπο στο γραφείο, ταυτοποίηση μέσω βίντεο σύμφωνα με τον κανονισμό eIDAS ή NFC από ηλεκτρονικό έγγραφο ταυτότητας ;
• Υποστήριξη στα γαλλικά με συμβατικές προθεσμίες απάντησης ;
• Εκπαίδευση και τεκμηρίωση διαθέσιμες για τις νομικές και IT ομάδες σας.

Εάν η οργάνωσή σας διαχειρίζεται σημαντικές ροές εγγράφων ΔΓ, η αποκλειστική σελίδα στη ηλεκτρονική υπογραφή για τις ομάδες ΔΓ παρουσιάζει λεπτομέρειες συγκεκριμένων περιπτώσεων χρήσης (συμβόλαια εργασίας, τροποποιήσεις, onboarding) και τα συνιστώμενα επίπεδα υπογραφής ανά τύπο εγγράφου.

---

eIDAS 2.0 : ποιες αλλαγές για τους παρόχους με πλήρη αναγνώριση το 2026;

Ο Κανονισμός eIDAS 2.0 (Κανονισμός ΕΕ 2024/1183, που ήρθε σε εφαρμογή σταδιακά από το Μάιο 2024) εισάγει πολλές δομικές εξελίξεις που έχουν άμεσο αντίκτυπο στα PSCQ και τους πελάτες τους.

Το Ευρωπαϊκό Πορτοφόλι Ψηφιακής Ταυτότητας (EUDI Wallet)

Το άρθρο 6α του αναθεωρημένου Κανονισμού υποχρεώνει τα κράτη μέλη να προσφέρουν, έως το Σεπτέμβριο 2026, ένα πορτοφόλι ψηφιακής ταυτότητας (EUDI Wallet) που θα αναγνωρίζεται σε όλη την ΕΕ. Για τους παρόχους με πλήρη αναγνώριση, αυτό σημαίνει:

• Την υποχρέωση να δεχθούν τα χαρακτηριστικά ταυτότητας που εξάγονται από το wallet ως απόδειξη ταυτότητας για την εγγραφή υπογραφόντων ;
• Την εμφάνιση μιας νέας πιστοποιημένης υπηρεσίας: η έκδοση πιστοποιήσεων χαρακτηριστικών με πλήρη αναγνώριση (Qualified Electronic Attestation of Attributes, QEAA).

Νέες πιστοποιημένες υπηρεσίες και επέκταση της δικαιοδοσίας

Το eIDAS 2.0 επεκτείνει τη λίστα των υπηρεσιών εμπιστοσύνης με πλήρη αναγνώριση για να περιλάβει:

• Τις υπηρεσίες αρχειοθέτησης ηλεκτρονικών αρχείων με πλήρη αναγνώριση (QPDS, άρθρο 45f) ;
• Τις υπηρεσίες διαχείρισης συσκευών δημιουργίας υπογραφής εξ αποστάσεως (QRCD).

Αυτές οι εξελίξεις αντιπροσωπεύουν τόσο ένα περιορισμό συμμόρφωσης (αυστηρές προθεσμίες για τους υπάρχοντες παρόχους) όσο και μια ευκαιρία διαφοροποίησης για τους νέους εισερχόμενους που είναι σε θέση να ενσωματώσουν γρήγορα τις τεχνικές προδιαγραφές που δημοσιεύθηκαν από το ENISA και το ETSI.

Για τις επιχειρήσεις που εξετάζουν μια μετάβαση από μια υπάρχουσα πλατφόρμα σε μια πιο συμβατή λύση, ο οδηγός μετάβασης από DocuSign ή YouSign σε Certyneo παρουσιάζει τα συγκεκριμένα βήματα και τα σημεία προσοχής σχετικά με τη ρύθμιση.

Νομικό πλαίσιο που ισχύει για παρόχους eIDAS με πλήρη αναγνώριση

Κανονισμός eIDAS και ευρωπαϊκό δίκαιο

Το νομικό θεμέλιο είναι ο Κανονισμός (ΕΕ) αρ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 23ης Ιουλίου 2014 σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά (ο λεγόμενος «Κανονισμός eIDAS»), όπως τροποποιήθηκε με τον Κανονισμό (ΕΕ) 2024/1183 (eIDAS 2.0). Αυτός ο Κανονισμός ισχύει άμεσα σε όλα τα κράτη μέλη χωρίς εσωτερική μεταφορά.

Οι βασικές του διατάξεις για τους παρόχους με πλήρη αναγνώριση:

• Άρθρο 17 : υποχρέωση κάθε κράτους μέλους να ορίσει ένα ρυθμιστικό φορέα (στη Γαλλία, το ANSSI) ;
• Άρθρο 20 : διαδικασία επίβλεψης, ελέγχου και εγγραφής στη λίστα εμπιστοσύνης ;
• Άρθρο 25 : υπόθεση ισοδυναμίας μεταξύ QES και χειρόγραφης υπογραφής, με νομική ισχύ που εγγυάται σε όλη την ΕΕ ;
• Παράρτημα I : απαιτήσεις σχετικά με πιστοποιητικά με πλήρη αναγνώριση για ηλεκτρονική υπογραφή ;
• Παράρτημα II : απαιτήσεις σχετικά με συσκευές δημιουργίας υπογραφής με πλήρη αναγνώριση (QSCD).

Γαλλικό δίκαιο

Στο εσωτερικό δίκαιο, η ηλεκτρονική υπογραφή ρυθμίζεται από:

• Αστικός Κώδικας, άρθρα 1366 και 1367 : το άρθρο 1366 αναγνωρίζει την αποδεικτική αξία της ηλεκτρονικής συγγραφής υπό τον όρο ότι εγγυάται την ταυτότητα του συντάκτη και την ακεραιότητα του εγγράφου. Το άρθρο 1367 διευκρινίζει ότι η ηλεκτρονική υπογραφή που αποτελείται από μια αξιόπιστη διαδικασία ταυτοποίησης ωφελείται από μια πρεσούμψα αξιοπιστίας όταν δημιουργείται σύμφωνα με το διάταγμα εφαρμογής ;
• Διάταγμα αρ. 2017-1416 του 28 Σεπτεμβρίου 2017 : ορίζει τις συνθήκες στις οποίες η υπογραφή ηλεκτρονικής με πλήρη αναγνώριση υποθέτει την αξιοπιστία στη Γαλλία, παραπέμποντας ρητά στον Κανονισμό eIDAS ;
• Διάταγμα αρ. 2005-674 της 16ης Ιουνίου 2005 σχετικά με την ολοκλήρωση ορισμένων τυπικών απαιτήσεων συμβολαίων ηλεκτρονικά.

Προστασία προσωπικών δεδομένων

Οι διαδικασίες εγγραφής και υπογραφής περιλαμβάνουν τη διαχείριση προσωπικών δεδομένων (δεδομένα ταυτότητας, βιομετρία για ταυτοποίηση μέσω βίντεο). Ο πάροχος με πλήρη αναγνώριση υπόκειται στον Κανονισμό (ΕΕ) 2016/679 (GDPR) και πρέπει ειδικότερα να:

• Ορίσει ένα DPO εάν η διαχείριση είναι μεγάλης κλίμακας ;
• Τεκμηριώσει τη διαχείριση στο μητρώο της CNIL ;
• Ρυθμίσει τις μεταφορές εκτός ΕΕ με κατάλληλες εγγυήσεις (τυπικές συμβατικές διατάξεις, απόφαση επάρκειας).

Κυβερνοασφάλεια και ανθεκτικότητα

Από τον Οκτώβριο 2024, η Οδηγία NIS2 (2022/2555/ΕΕ) ισχύει για τους παρόχους υπηρεσιών εμπιστοσύνης με πλήρη αναγνώριση, ταξινομούμενοι ως ουσιώδεις οργανισμοί. Πρέπει να εφαρμόσουν μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας, να δηλώσουν τα σημαντικά περιστατικά στο ANSSI εντός 24 ωρών, και να υποβληθούν σε τακτικούς ελέγχους. Η μη συμμόρφωση εκθέτει σε παράβολ