eIDASe vastavus VKEdele: täielik 2026. aasta kontrollnimekiri

Euroopa eIDAS määrus (EL nr 910/2014, mida peagi muudetakse eIDAS 2.0-ga) reguleerib elektroonilisi allkirju kogu Euroopa Liidus. VKE jaoks ei ole nõuete järgimine lihtsalt kontrollitav kast: see on garantii, et tema lepingud on täitmisele pööratavad, et tema allkirjaandmed on kaitstud ja et ta kaitseb end kulukate juriidiliste riskide eest. Siin on 2026. aasta kontrollnimekiri 12 konkreetse punktiga, et kontrollida, kas teie VKE on täielikult eIDAS-iga ühilduv.

Punkt 1: vali õige allkirja tase

Esimene refleks: kaardista oma lepingutüübid ja seosta sihttase. Tavalised kommertslepingud (pakkumised, ostutellimused, lihtsad NDA-d): SES-ist piisab. Töölepingud, liisingud, tundlikud NDA-d, strateegilised kokkulepped: AES miinimum, soovitavalt OTP SMS-iga. Reguleeritud toimingud (advokaat, notar, riigihankelepingud üle piirmäära): Kohustuslik QES. Ilma selle kaardistuseta on oht alamõõdule (lepingust keeldumine) või ülemõõdule (ülemäärane kulu).

Punkt 2: kontrollige teenusepakkuja kvalifikatsiooni

Teie teenusepakkuja peab olema usaldusväärne teenusepakkuja (QTSP) või toetuma QTSP-le AES/QES tasemete osas. Tutvuge ANSSI avaldatud usaldusteenuste loendiga (eidas.ssi.gouv.fr) ja Euroopa usaldusnimekirjaga (webgate.ec.europa.eu/tl-browser). Prantsuse viited QTSP-d: Certigna, Docaposte, Certinomis, Universign. Platvormi kaudu (Certyneo, Yousign jne) SES/AES puhul kontrollige nende selgesõnaliselt dokumenteeritud eIDAS-e vastavust.

Punkt 3: kontrolljälje testimine

Allkirjastage testümbrik ja koguge kontrolljälg (tavaliselt eraldi PDF). See peab sisaldama: allkirjastaja identiteeti ja e-posti aadressi, iga etapi ajatemplit (saatmine, avamine, kinnitamine, allkiri), IP-aadressi, kasutajaagenti, dokumendi räsi, OTP-valideerimist AES-i korral. Kui üks neist elementidest puudub, on tõenduslik väärtus nõrgenenud. Certyneo pakub täielikku kontrolljälge isegi tasuta plaani korral.

Punkt 4: ajatempli kontrollimine

Ajatempli peab väljastama RFC 3161-ga ühilduv ajatempli volinik (TSA). Ajatemplist ettevõtte NTP-serverist ei piisa. Avage allkirjastatud PDF Adobe Readeris: vahekaart Allkirjad → Üksikasjad → Ajatempel. Seal peaksite nägema kehtivat TSA sertifikaati ja sertifitseeritud kella. Kui PDF-failil pole sertifitseeritud ajatemplit, loobuge teenusepakkuja valikust.

Punkt 5: arhiivi säilitamine vähemalt 10 aastat

Äriseadustik (artikkel L. 123-22) nõuab äridokumentide 10-aastast säilitamist. Tööseadustik näeb ülesütlemisjärgsetele töölepingutele ette 5 aastat. Arhiveerimine peab säilitama terviklikkuse (räsi, pitseerimine) ja juurdepääsu. Ideaalne: PDF/A-vorming (ISO 19005), topeltmälu (esmane + väljaspool saiti varukoopia), kvalifitseeritud elektrooniline seif (CFE) maksimaalseks tõestuseks. Certyneo arhiveerib vaikimisi 10 aastat ja pakub eksporti CFE partneritele.

Punkt 6: kontrollige andmete lokaliseerimist

Kus teie allkirjaandmeid majutatakse? Tundlike lepingutega tegeleva Prantsuse VKE jaoks valige Prantsusmaa või EL-i hostimine. Küsige oma teenusepakkujalt alltöövõtjate nimekirja ja nende asukohti (GDPR artikkel 28). Vältige strateegiliste lepingute puhul USA pilveseadusele alluvaid lahendusi. Certyneo on majutatud Prantsusmaal, ilma pilveseadusest sõltumata. Vaadake meie artiklit /blog/cloud-act-signature-electronique.

Punkt 7: sõnasta GDPR-iga

Allkiri ja GDPR on tihedalt seotud: iga ümbrik sisaldab isikuandmeid (nimi, e-posti aadress, IP, telefon). Veenduge, et teie töötlemisregister (GDPR artikkel 30) sisaldaks elektroonilist allkirja, et säilitustähtajad oleksid järjepidevad (10 aastat) ja et üksikisikute õigusi saaks rakendada (juurdepääs, parandamine, teisaldatavus). Kui taotlete palju allkirju, on soovitatav andmekaitseametnik. Vaadake meie artiklit /blog/signature-electronique-rgpd.

Punkt 8: allakirjutanute tuvastamine ülesvoolu

Tugeva AES-i puhul ei alga tuvastamine allkirjastamisest: see algab andmete kogumisega. Kontrollige e-kirju (ilma varjunimedeta, meililistita), telefoninumbreid (jagatud rida pole) ja jälgige identifitseerimisallikat (suurte lepingute puhul ID, kehtivate lepingute puhul olemasoleva kliendi KYC). See hoolsuskohustus muudab tõendid vaidluse korral usaldusväärseks.

Punkt 9: treenige meeskondi

Teie müügi-, personali- ja juriidilised meeskonnad peavad reeglitest aru saama: ärge kunagi sundige allkirjastajat kasutama kolmanda osapoole seadet, ärge kunagi tagastage muudetud allkirjastatud PDF-i, ärge kunagi kleepige skannitud allkirja pilti tõelise allkirja asemele. Heade reflekside sisendamiseks piisab ühest tunnist treeningust meeskonna kohta. Certyneo pakub täielikku juhendit sisemiseks jagamiseks (/resources).

Punkt 10: kontrollige teenusepakkujate lepinguid

Allkirjateenuse osutaja CGU/CGV peab: algatama eIDAS-e vastavuse, määrama arhiveerimisperioodid, sisaldama GDPR-i alltöövõtulepingut (art. 28), dokumenteerima alltöövõtjad, esitama pöördumisplaani, kui see juhtub. Kui töötlete suuri mahtusid, küsige ka SOC 2 Type II või samaväärset. Certyneo jaoks on need dokumendid saadaval /legal ja /security.

Punkt 11: valmistage ette eIDAS 2.0 ja EUDI rahakott

eIDAS 2.0 määrus (EL 2024/1183) jõustub järk-järgult ja nõuab, et liikmesriigid võtaksid kasutusele EUDI rahakoti enne 2026. aasta lõppu. See digitaalse identiteedi rahakott võimaldab kaugjuurdepääsu ilma füüsilise kontorita. Valmistage oma VKE ette: kontrollige, kas teie teenusepakkujal on EUDI Walleti tegevuskava, järgige ANSSI ja Euroopa Komisjoni teateid. Vaata /blog/eidas-2-nouveau-reglement-2026.

Punkt 12: auditeerimine kord aastas

Vastavus ei ole omandatud staatus: see on pidev protsess. Planeerige iga-aastane audit (sisemine või väline), et kontrollida: regulatiivsed muudatused, teenusepakkuja arengud, lepingutüüpide ajakohane kaardistamine, tõhus hoidmine, uute töötajate koolitamine. Kerge audit võtab VKE-l pool päeva aega ja väldib paljusid üllatusi. Alustuseks looge tasuta Certyneo konto aadressil certyneo.com/signup, et testida vastavust tegelikule maailmale, seejärel vaadake meie eIDAS-i juhendit, et süveneda (/guide/eidas).