eIDAS 2 sertifitseerimine allkirja pakkuja 2026

Miks eIDAS 2 sertifitseerimine muudab pakkujate jaoks mängu

Alates määruse (EL) 2024/1183 (11. april 2024) jõustumisest — mida tavaliselt nimetatakse eIDAS 2 — seisavad usalduseteenuste pakkujad (PSC) Euroopa Liidus silmitsi sügavalt ümber korraldatud regulatiivse raamistikuga. Algse eIDAS määruse (2014) revideerimistöö ei piirdu tunnustatud teenuste ulatuse laiendamisega: see karmistab märkimisväärselt akrediteerimise tingimusi, tutvustab uusi garantiitasemeid ja tugevdab rahvuslike kontrolliorganite järelevalvealuste nõudeid. Kõigile osapooltele, kes soovivad pakkuda kvalifitseeritud elektroonilist allkirja (QES) või täiendatud allkirja (AdES) teenuseid Euroopa turul, mõistmine kuidas saada eIDAS 2 sertifitseeringut allkirja pakkujale pole enam valik — see on strateegiline kohustus.

See artikkel joonistab täieliku sertifitseerimisprotsessi ülevaate: rakendatavad tekstid, järgitavad tehnilised standardid, vastavuse hindamise organite (CAB) roll, realistlikud tähtajad ja operatiivsed valvepunktid.

---

Uus eIDAS 2 regulatiivne maastik: mis muutus

Määrusest 910/2014 määruseni 2024/1183: peamised arengud

Algne eIDAS määrus (nr 910/2014) oli pannud aluse ühtse Euroopa usalduse digitaalturule. See määratles kolm allkirja taset — lihtne, täiendatud ja kvalifitseeritud — ning kohustas kvalifitseeritud pakkujaid figureerima riiklike usalduseteenuste nimekirjades (TSL, Trust Service Lists). eIDAS 2 säilitab selle arhitektuuri, kuid rikastab seda mitmel struktuursel tasandil:

• Kvalifitseeritud teenuste ulatus: elektrooniline kvalifitseeritud arhiveerimine, elektronilised atribuutide tunnistused (AEA), kvalifitseeritud allkirja loomise seadmete (QSCD) kaugkorraldus. Need uued teenused on nüüd samade akrediteerimismenetluste alla, mis kvalifitseeritud allkiri.
• Euroopa digitaalse identiteedi rahakott (EUDIW): pakkujad, kes soovivad suhelda tulevase identiteedi rahakotiga, peavad tõendama nende vastavust Euroopa Komisjoni avaldatud tehnilistele spetsifikatsioonidele (ARF — Architecture and Reference Framework, v1.4, 2024).
• Järelevalve tugevdamine: rahvuslikud järelevalve asutused (Prantsusmaal ANSSI) omavad tugevdatud uurimis- ja käskuõigusi. Kvalifitseeritud PSC-d võivad olla ootamatu auditi objektiks.
• Teatamise tähtaegade lühendamine: kõik olulised turbeseigused tuleb teatada pädevatele asutustele 24 tunni jooksul (võrreldes 72 tunniga eelmises versioonis teatud seiguste puhul).

Määruse üldiseks ülevaatuks on Certyneo eIDAS 2.0 juhend oluline pedagoogiline ülevaade kõigist nendest arengutest.

Garantiitasemed ja nende mõju sertifitseeringule

Elektrooniline allkiri täiendatud ja kvalifitseeritud vaheline eristus jääb süsteemi pöördeks. Ainult QES omab seadusliku presumptsiooni terviklikkuse ja vastutuse kohta, mis vastab käsitsi allkirjale (eIDAS 2 artikkel 25). See presomptsioon on otseselt seotud pakkuja sertifitseerimisega.

| Tase | Tõenduslik väärtus | Pakkuja nõue | |---|---|---| | Lihtne (SES) | Piiratud | Pole nõutav | | Täiendatud (AdES) | Märkimisväärne | Head praktikad + ETSI standardid | | Kvalifitseeritud (QES) | Maksimum (seaduslik presomptsioon) | Kohustuslik eIDAS 2 sertifitseerimine |

---

eIDAS 2 sertifitseerimisprotsess etapi kaupa

Etapp 1 — Organisatsioonilised ja tehnilised eeltingimused

Enne ametliku sertifitseerimisprotsessi käivitamist peab pakkuja auditi teostama oma küpsustaseme üle kolmel teljel:

1. ETSI standarditele vastavus EN 319 seeria standardid moodustavad tehniliste nõuete alusena. Peamised on:

• ETSI EN 319 401: üldised nõuded usalduseteenuste pakkujatele
• ETSI EN 319 411-1 ja 411-2: poliitika ja nõuded sertifikaadi väljaandjatele (PTC-QC profiilid kvalifitseeritud sertifikaatide puhul)
• ETSI EN 319 421: ajatemplite teenuse poliitika ja nõuded
• ETSI EN 319 132: allkirja formaadid XAdES (XML), CAdES (CMS) ja PAdES (PDF)

Nende standarditele vastavus pole kvalifitseeritud pakkujate puhul valikuline: see on otseselt nõutav Euroopa Komisjoni täitusmäärustes.

2. Infosüsteemide turvalisus QSCD (kvalifitseeritud allkirja loomise seadmed) peavad olema sertifitseeritud Common Criteria (CC) EAL4+ või samaväärsete kriteeriumide järgi. Kaugallkirja lahenduste puhul — valitsev SaaS-mudel — hõlmavad nõuded ka HSM-mooduleid (Hardware Security Module) ja krüptograafiliste võtmete haldusmenetlusi (vastavus FIPS 140-2 taseme 3 või paremale).

3. Turbepoliitika (PSSI) ja riskide juhtimine Sertifitseerimisdokumentatsioon nõuab formaliseeritud PSSI-t, mis on joondatud ISO/IEC 27001-iga (mille sertifitseerimine on soovitav ja mõnikord CAB-de poolt nõutav) ja mis sisaldab NIS2 nõudeid üksustele, kes on liigitatud "oluliste" või "kriitiliste" üksustena.

Etapp 2 — CAB-i (vastavuse hindamise organ) valimine ja kaasamine

Prantsusmaal on COFRAC-i (Comité Français d'Accréditation) akrediteeritud CAB-id, kes hindavad usalduseteenuste pakkujate vastavust, vähesed arvult. Näiteks LSTI (Laboratoire de Sécurité des Technologies de l'Information) ja Bureau Veritas Certification on viidatud osalejad. Euroopa tasandil avaldab iga liikmesriik oma teatasitavate CAB-ide nimekirja.

CAB-i roll on viia läbi vastavuse audit kahes etapis:

1. Dokumentide ülevaade (etapp 1): poliitikate, menetluste, sertifikaadi praktika deklareerimine (DPC / CPS) ja tehniliste tõendite uurimine.
2. Audit kohapeal (etapp 2): operatiivsete kontrollide kontrollimine, tungimistestad, tiimide intervjuud.

Täieliku CAB-i auditi kestvus varieerub tavaliselt 4 kuni 8 nadalast sõltuvalt kandidaadi eelnev küpsusest.

Etapp 3 — Rahvusliku järelevalve asutuse poolt teostamine

Prantsusmaal on ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), mis töödeleb teatiseid riikliku usalduse nimekirja (TSL FR) kannesse. CAB-i auditi aruande alusel teostab ANSSI oma analüüsi ja võib nõuda täiendavat teavet või korrigeerimismeetmeid.

Regulatiivne teostamise tähtaeg on 3 kuud täielikult saabunud dokumenditarbest alates (eIDAS 2 artikkel 17). Praktikas on tegelikud tähtajad sageli pikemad, kui algne dokumentidoos on täiuslik.

Kui see on riiklikus TSL-is kantud, kajastatakse pakkuja automaatselt EUTL-is (EU Trusted List), mida avaldab Euroopa Komisjon, mis annab talle kohese rahvusvahelise tunnustuse kõikides 27 liikmesriigis.

Etapp 4 — Kvalifikatsiooni säilitamine ja uuendamine

eIDAS 2 sertifitseerimine pole jäädav. Kvalifitseeritud pakkujad on allutatud:

• Aastasele järelevalve auditile, mida teostab CAB
• Täielikule uuenduse auditile iga 24 kuu järel (lühendatud tsükkel võrreldes varasema praktikaga)
• Ootamatutele kontrollimenetlustele, mida võib algatada ANSSI

Kõik olulised infrastruktuuri muudatused (HSM vahetamine, PKI arendamine, uus kvalifitseeritud teenus) käivitavad eelteate menetluse ja võivad nõuda osalauditi.

---

Kulud, tähtajad ja riskitegurid: mida IT-juhid peaksid ette valmistama

Eelarve ja personalirressursid

Esimese eIDAS 2 sertifitseerimise kulu on märkimisväärne. Kulutuste loend sisaldab:

• CAB audit: 40 000 kuni 120 000 € sõltuvalt ala keerukusest
• Tehniline vastavuse tagamine (HSM, PKI, QSCD sertifitseeritud CC-ga): 80 000 € kuni sajad tuhanded eurod omapoolse infrastruktuuri jaoks
• ISO 27001 sertifitseerimine (soovitav eeltingimusena): 15 000 kuni 50 000 € sõltuvalt suurusest
• Õigusabi ja DPC kirjutamise kulud: 10 000 kuni 30 000 €
• Sisekulud: eraldatud tiimi mobiliseerimine (RSSI, DPO, nõuetekohasus vastutaja) 12 kuni 18 kuu jooksul

Kõik need kulud arvesse võttes osutub täielik sertifitseerimine igakülgseks investeeringut ligikaudu 200 000 kuni 500 000 € keskmise suurusega pakkujale, ilma säilitamise kulud arvesse võttes.

Operatiivsed riskitegurid

Kõige tavalisemad ebaõnnestumise või viivituse põhjused sertifitseerimismenetlustes on:

1. Ebapiisavalt detailne DPC: sertifikatsioonipoliitika peab dokumenteerima iga kontrolli mõnikord alahinnatud täpsusega.
2. Puudulikkus võtmete elutsükli halduses: tühistamine, arhiveerimine, privaatvõtmete hävitamine.
3. Ebapiisav intsidentide juhtimise valitsus: puudulik SIEM, testamata kriisijuhtimise menetlused, puuduvad runbook-id.
4. NIS2 alahindamine: alates oktoobrist 2024 klassifitseeritakse kvalifitseeritud PSC-d automaatselt NIS2 direktiivi järgi "olulisteks" üksusteks, lisanõuete teatamise ja riskijuhtimisega.

Ettevõtetele, kes soovivad delegeerida need piirangud juba sertifitseeritud pakkujale, ent ei ehita oma infrastruktuuri, aitab elektrooniline allkirja lahenduste võrdlus Certyneos objektiivistada seda build-vs-buy valikut.

---

eIDAS 2 ja elektrooniline allkiri ettevõttes: üleminekuverstaatide

Kasutaja ettevõtetele — erinevalt pakkujatest — nende SaaS-allkirja teenuse pakkuja eIDAS 2 sertifitseerimine on nüüd ülimalt oluline valiku kriteerium. Avalike pakkumiste sisestamine klausuliga, mis nõuab riikliku TSL-i olemasolu, on reguleeritud sektorites (rahandus, tervishoiu, kinnisvara) standardseks praktikaks muutunud.

Elektrooniline allkiri ettevõttes nõuab tegelikult selget eristamist kaasuste vahel, mis nõuavad QES-i — suurte riskidega aktsiaäri, volitused, notariaalsed elektronilised aktsiad — ning neist, kus AdES piisab. See kasutuskohtade kaardistamine määrab otseselt teenuse taseme kontraktuaalse nõude taseme pakkuja poolt.

Organisatsioonid, kes migreeruvad olemasolevast lahendusest sertifitseeritud eIDAS 2 pakkujale, peavad ette valmistama ka tõendisäilituse portaalsuse. Juhend migratsioon DocuSign-ist või YouSign-ist Certyneole näitab parimaid praktikaid tõendite väärtuse säilitamiseks juba allkirjastatud dokumentide jaoks üleminekuperioodi jooksul.

eIDAS 2 sertifitseeringuga seotud õigusraamistik

Asutavad tekstid

Usalduseteenuste pakkujate sertifitseerimine põhineb tihedal normatiivsete kihtide komplekssusel, mida tuleb kogu ulatuses meisterida:

Määrus (EL) 2024/1183 (11. april 2024) (eIDAS 2): viitetatekst, mis kehtestavad ja asendavad vastava määruse 910/2014 sätted. See määratleb tingimused kvalifitseeritud pakkuja staatuse saamiseks ja säilitamiseks, rahvusliku järelevalve kohustused ja nõuded uutele teenustele (EUDIW, AEA).

Määrus (EL) nr 910/2014 (eIDAS 1): osaliselt rakendatav mittemuudetud sätete jaoks; selle määruse alusel võetud täitevmääruseid ja delegeeritud määrusi kohaldatakse kuni nende formaalne läbivaatamine.

Prantsuse tsiviilkoodeks, artiklid 1366 ja 1367: artikkel 1366 kehtestab elektrooniline allkirja samaväärsuse käsitsi allkirjale usaldatavuse tingimusel; artikkel 1367 täpsustab, et usaldatavus on oletatav väljendavauni tõendini vastupidisele, kui kasutatakse kvalifitseeritud allkirja. Need riigisisesed sätted on otseselt seotud eIDAS 2 artikli 25 seadusliku presumptsiooniga.

Direktiiv (EL) 2022/2555 (NIS2): transponeeritud Prantsuse õigusesse seadusega 15. oktoobril 2024, klassifitseerib automaatselt usalduseteenuste pakkujad kvalifitseeritud oluliste üksustena. Kohustused: teatamine ANSSI-le 72 tunni jooksul mis tahes olulise juhtumi korral, formaliseeritud küberriskide juhtimine, perioodiline turbeaudit.

Määrus (EL) 2016/679 (GDPR): allkirja teenuse pakkujad töötlevad tundlikke isikuandmeid (allkirjastajate isikud, auditilogid). Minimeerimise, säilitamise piiramise ja terviklikkuse põhimõtete järgimine nõuab konkreetset mõjuanalüüsi (AIPD). Töötlemise õigusliku aluse dokumenteerimine peab olema iga teenuse jaoks.

Tehnilised standardid, millel on õigusregulatiivne väärtus

Euroopa Komisjoni täitusmäärustes (eriti täitusmääruses (EL) 2015/1506 ja selle revisjonid) on ETSI standardid määratud vastavuse presumptsioonidena:

• ETSI EN 319 401: üldised nõuded TSP-le
• ETSI EN 319 411-1 ja 411-2: sertifikaadi poliitikad
• ETSI EN 319 421: kvalifitseeritud ajatempel
• ETSI EN 319 132 / 122 / 102: AdES formaadid (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: kaugallkirja teenused

Õiguslikud riskid mittevastamisel

Pettuslikul või hooletul kvalifitseeritud pakkuja staatuse kasutamisel kaasnevad ANSSI-st määratud halduskaristused (peatamine, tsentraliseerimise loendi eemaldamine) ja kriminaalvastutus (karistusseadustiku artikkel 226-17 isikuandmete turvalisuse nõuete täitmata jätmise eest). Tsiviilil võib allkirjade kehtivuse vaidlustamine nõuetekohase mittevastavuse perioodi ajal tekkida pakkuja lepingulise vastutuse kohustuse seest klientide vastu.

Kasutuse stsenaariumid: eIDAS 2 sertifitseerimine praktikas

Stsenaarium 1 — Keskmise suurusega SaaS toimetaja, kes taotleb QES kvalifikatsiooni

Dematerialiseeritud dokumentatsiooni erialaspetsialiseerunud ettevõte, kus töötab ligikaudu sada töötajat ja mille käest käsitletakse mitme miljoni allkirjamenetlusega aastas panganduse ja kindlustuse sektori klientidele, otsustab taotleda oma elektrooniline allkirja teenusele eIDAS 2 kvalifikatsiooni. Seni oli ettevõte pakkunud täiendatud allkirja sertifikaatide alusel (AdES), mis piisas enamikule klientide lepingutest, kuid ebapiisav aktidele, mis nõuavad maksimaalset tõendusväärtust (SEPA volitused, notariaalsed tõendite lepingud).

Pärast 3-kuulise sisemise auditi, mis näitas ligikaudu 15 peamist erinevust ETSI EN 319 411-2 nõuetest, alustab ettevõte 14-kuulise vastavuse programmiga. Peamised projektid käsitavad olemasolevate HSM-ide asendamist sertifikaatidega FIPS 140-2 taseme 3-ks, 180-lehelise DPC kirjutamist ja ISO 27001 sertifitseerimise saamisest enne CAB auditi. Kokku investeering ulatub 340 000 €-ni. Pärast protsessi lõpuetappi võimaldab riiklikus TSL-is registreerimine ettevõttele pääseda avalike pakkumiste juurde, millest ta oli süsteemselt välistatud, mis esindab ligikaudu 20% täiendavate tulude potentsiaal.

Stsenaarium 2 — Haiglate grupp integreeriv elektrooniline allkiri meditsiinilisteks-juriidilisteks aktideks

Umbes 1 200-voodilise haigla grupp soovib dematerialiseerida oma nõusoleku protsessid, arstlike volituste delegeerimise ja kliinilise uuringu lepingud. Need dokumendid kuuluvad kategooriasse, mille puhul HAS-i juhised ja tervishoiu andmete õigusliku raamistiku kohaste kriteeriumite kohaselt (art. L. 1110-4 CSP) on QES nõutud või soovitav.

Selle asemel et sertifitseerida sisemist infrastruktuuri — võimalus, mida peetakse liiga kuluks ja müügil väljaspool — otsustab grupp juba TSL-is registreeritud kolmanda osapoole pakkuja integreerimise. IT osakonnas teostab konformistliku auditi vastavalt ETSI EN 319 401 kontrollloendile ja kontrollib efektiivset olemasolu EUTL-is enne igasugust lepingu sõlmimist. Juurutus, mida teostati 4 kuu jooksul, vähendab kliinilistest uuringutest allkirjade kogumise aega 65% ja kõrvaldab riskid seoses varasema kasutusega lihtsate allkirjade tundlike sektoritega.

Stsenaarium 3 — Juriidilise büroo surmajuttumine arvestades heakskiitmist allkirjastamiseks

Umbes 30 partneri juriidilise büroo, kes töödeleb igal aastal umbes 400 ühendamise operatsiooni ja ärivõtete müügit, otsustas koos tegutsea kindlustamiseks oma allkirjastamiste aktide alusel. Üksiktehingute väärtus ületab sageli miljon eurot, ja igasugune protseduuri viga võib kahjustada büroo kutsealast vastutust.

Analüüsi järel jõuavad IT meeskond ja juhataja ühtsele seisukohale, et nõutakse lepinguliselt minimaalselt QES, mille väljastab sertifitseeritud eIDAS 2 pakkuja kõigile aktidele, mille väärtus ületab 100 000 €. Pakkuja valiku kriteeriumid hõlmavad kohustuslikult riiklikus TSL-is registreerumise kontrolli ja ETSI vastavussertifikaadi olemasolu (vähem kui 12 kuud vana). See raamistik võimaldab bürool vähendada üle 80% allkirjade kehtivuse kohta vastuolulistel litiisiltel, vastavalt sektori sarnastele strukturele saadud tagasisidele.

Kokkuvõte

eIDAS 2 sertifitseeringute saamine usalduseteenuste allkirja pakkujale on nõudlik, kallis ja pikaajaline protsess — kuid vältimatu kõigile osapooltele, kes soovivad pakkuda maksimaalset õiguslikku garantiid oma klientidele Euroopa turul. ETSI normidele vastavus, CAB-i auditi läbikäik, ANSSI poolt teostamine ja kvalifikatsiooni säilitamine pikaks perioodiks nõuavad märkimisväärseid ressursse 12 kuni 24 kuu jooksul.

Kasutaja ettevõtetele on hea uudis, et pole vaja seda infrastruktuuri sisemiselt ehitada: juba sertifitseeritud eIDAS 2 SaaS-pakkuja valimine ja riiklikus usaldusnimel registreerimine võimaldab kohe kasutada QES-iga seotud seaduslikke presumptsiooni, ilma sertifitseerimiskulusid kandmata.

Certyneo on usaldusväärne pakkuja, sertifitseeritud ja kujundatud B2B ettevõtetele, kes nõuavad õiguslikku rangust ja kasutamise lihtsust. Avastage meie hinnad ja alustage tasuta prooviga juba täna.