eIDAS-i kvalifitseeritud teenusepakkujad: ametlik loend 2026

Miks on eIDAS-i "kvalifitseeritud" staatus teie ettevõttele määrav?

eIDAS-määruse (nr 910/2014) jõustumisel on Euroopa elektroonilise allkirja turg ümberkorraldatud kolmeastmelise hierarhia ümber: lihtne elektrooniline allkiri (SES), täiendatud elektrooniline allkiri (AES) ja kvalifitseeritud elektrooniline allkiri (QES). Viimane on ainus, mis saab seaduslik eeldus käsitsi allkirjaga võrdväärsusele kogu Euroopa Liidu liikmesriikides.

Et ettevõte saaks pakkuda kvalifitseeritud allkirju, peab ta tingimata olema auditeeritud ja kantud oma liikmesriigi usaldusloetellu (Trust List). Prantsusmaal hoiab seda ametlikku registrit Riiklik infosüsteemide turvalisuse agentuur (ANSSI), mida omakorda avaldatakse Euroopa Komisjoni haldatavas keskses Euroopa loetelus.

Seda arhitektuuri mõistmine on oluline, enne kui allkirjastada olulist ärilepingut. Rohkem teabe saamiseks regulatiivsete aluste kohta vaadake meie täielikku juhist eIDAS 2.0 määruse kohta, mis detailiseerib kõik eIDAS 2.0 revideeritud määrusega (EL määrus 2024/1183) kehtestatud kohustused ja muudatused.

---

Kuidas sertifitseeritakse kvalifitseeritud usaldusseaduse teenuste pakkujaid?

Tee Kvalifitseeritud Usaldusseaduse Teenuste Pakkuja (PSCQ) staatusesse on nõudlik. See eeldab auditeerimist vastavalt akrediteeritud konformiteedi hindamisorganisatsiooni (CAB) poolt ETSI EN 319 401 (üldnõuded) ja ETSI EN 319 411-2 standardi järgi kvalifitseeritud sertifikaatide jaoks.

ANSSI-de kvalifikatsiooni etapid

1. Kvalifikatsiooni dokumentatsiooni esitamine: teenusepakkuja esitab ANSSI-le oma tehnilist, turvalisust ja organisatsioonilist dokumentatsiooni.
2. Audit akrediteeritud CAB-i poolt: kolmanda osapoole organisatsioon — nagu Bureau Veritas, LSTI või Apave Certification — kontrollib konformiteeti kohapeal ja dokumentide alusel.
3. Kvalifikatsiooni otsus: ANSSI väljastab kvalifikatsiooni ja kannab teenusepakkuja Prantsusmaa usaldusloetellu (TL-FR).
4. Perioodiline uuendamine: kvalifikatsioon hinnatakse uuesti, tavaliselt kaks aastat, et tagada nõuete täitmine.

Mida audit konkreetselt kontrollib?

Auditor uurib eelkõige:

• Krüptograafilisi võtmeid hoidvate andmekeskuste füüsilist turvalisust (sertifitseeritud HSM-moodulid CC EAL 4+ või FIPS 140-2 Level 3 minimaalselt) ;
• Teenusepakkuja poolt avaldatud sertifitseerimispoliitika (CP) ja sertifitseerimispraktika deklaratsioonid (CPS) ;
• Allkirjastajate identiteedikontrolli protseduure (näost näkku või eIDAS-i vastavuses olevat kaugjärelevalvet EN 419 241-1 standardi alusel) ;
• Tühistamise haldamist ja OCSP/CRL-teenuste kättesaadavust.

Need kriteeriumid selgitavad, miks ainult hulk tegijaid saavad seda sertifitseerimistaseme tasapinda Prantsusmaal saavutada ja säilitada.

---

eIDAS-i kvalifitseeritud teenusepakkujad Prantsusmaal 2026. aastal

Ametlikku kvalifitseeritud teenusepakkujate loendit saab igal ajal vaadata Euroopa Komisjoni ametlikul portaalil (eidas.ec.europa.eu/efts), filtreerida saab „Prantsusmaa" ja teenus „QCertESig" (Qualified Certificate for Electronic Signature) järgi. Siin on tegijad, kes olid registris selle artikli kirjutamise ajal (juuni 2026) :

Prantsusmaa registrisse kantud tegijad

| Teenusepakkuja | Kvalifitseeritud teenuse tüüp | Eripära | |---|---|---| | Certigna (Dhimyotis) | Kvalifitseeritud sertifikaadid, kvalifitseeritud ajatempel | La Poste'i grupp, eIDAS-i sertifitseeritud alates 2016 | | Certinomis | Kvalifitseeritud sertifikaadid | La Poste'i filiaal, avaliku sektori orientatsioon | | ChamberSign France | Kvalifitseeritud sertifikaadid | CCI võrgustik, tugev KKV/TPE ankurdamine | | Keynectis / DocuSign France | Kvalifitseeritud sertifikaadid | DocUsigni omandatud, ANSSI sildistamise säilimine | | Universign (Tessi) | Kvalifitseeritud sertifikaadid, ajatempel | Turustuse pioneer, integreeritud Tessi gruppi | | Entrust (endine Datacard) | Kvalifitseeritud sertifikaadid | Rahvusvaheline tegija, Trust List mitmes liikmesriigis | | Oodrive Sign | Kvalifitseeritud sertifikaadid | Prantsuse üldis-tüüpi väljaandja, SecNumCloud-i sertifitseeritud |

> Hoiatus : see loend on informatiivseks ja viiteavalikuseks. Ainult Euroopa Komisjoni ametlik Trust List on määrav. Kontrollitage alati praegust staatust ETSI-portaalis enne igat lepingulist kohustust.

Välismaiste teenusepakkujate tunnustamine Prantsusmaal euroopa Trust Listi kaudu

eIDAS-määruse artikli 25 poolt sätestatud vastastikuse tunnustamise põhimõtte kohaselt on kvalifitseeritud allkiri, mille on väljastanud PSCQ, mis on kantud teise liikmesriigi usaldusloetellu, Prantsusmaal sama õiguslikult kehtiv. Mitte-Prantsusmaa tegijate hulgas, kes on sageli kasutusel :

• Namirial (Itaalia) : tugev kaugjärelevalveliste kvalifitseeritud allkirjade osas ;
• SwissSign (Šveits) : tähelepanu, Šveits ei ole ELi liige; tunnustamine on osalisel ;
• Qualified.one / Asseco Data Systems (Poola) : avalik Euroopa tegija, tihe kasutus piiriüleste turudel.

Nende lahenduste võrdlemiseks oma ärivajaduste alusel vaadake meie elektroonilise allkirja lahenduste võrdlust, mis analüüsib hinna, konformiteedi ja API-integratsiooni kriteeriume.

---

Kuidas valida õige eIDAS-i kvalifitseeritud teenusepakkuja oma organisatsioonile?

Trust Listis olemine on vajalik, kuid mitte piisav tingimus. PSCQ valimine peaks tuginemine mitmetele täiendavatele kriteeriumidele.

Tehniline ja integratsioonikriteeriumid

• Saadaval olev REST API või SDK : vajalik allkirjastamise automatiseerimiseks teie äritegevuse töövoogudes (ERP, SIRH, CRM) ;
• Toetatud allkirjaformaadid : PAdES PDF-failide jaoks, XAdES XML-failide jaoks, CAdES binaarfailide jaoks — kõik on normaliseeritud ETSI EN 319 100 poolt ;
• Teenuse kättesaadavus : SLA suurem kui 99,9 %, mis on lepinguliselt garanteeritud, koos plaanitud hooldusperioodidega väljaspool tööaegu ;
• Andmete majutamine : eelistage Prantsusmaal või ELis majutamist, ideaalis SecNumCloud sertifitseeritud tundlike andmete jaoks.

Õiguslikud ja vastavuse kriteeriumid

• Veenduge, et teenusepakkuja esitab praegust kvalifikatsiooni aruannet (vähem kui 24 kuud vana) ;
• Nõudke avalikult kättesaadavat ja auditeeritud avaldatud sertifitseerimispoliitikat (CP) ;
• Veenduge, et üldised tingimused näevad ette selgesõnaliselt kvalifitseeritud sertifikaatide väljastamist eIDAS-määruse I lisa tähenduses.

Operatiivsed ja tugivahendid kriteeriumid

• Allkirjastajate registreerimise protseduur : näost näkku agentuuris, eIDAS-i vastavuses olev videotuvastus või NFC elektroonilistest isikutahvlitest ;
• Prantsusekeelne tugi lepinguliselt määratletud reageerimisaegadega ;
• Koolitused ja dokumentatsioon teie juriidiliste ja IT-spetsialistide jaoks.

Kui teie organisatsioon haldab olulisi dokumentaarse töövoo käivitusi, vaadake meie lehekülge elektroonilisest allkirjast HR-tiimide jaoks, mis detailiseerib konkreetseid juhtumeid (töölehtingud, muudatused, kaasamine) ja soovituslikud allkirjaastmed dokumentide tüübi järgi.

---

eIDAS 2.0 : mis on muudatused kvalifitseeritud teenusepakkujatele 2026. aastal?

eIDAS 2.0-määrus (EL määrus 2024/1183, rakendatakse astelifn alates 2024. maist) kehtestab mitmed strukturaalsed muudatused, mis otseselt mõjutavad PSCQsid ja nende kliente.

Euroopa Digitaalse Identiteedi Rahakott (EUDI Wallet)

Revideeritud määruse artikkel 6a kohustab liikmesriike pakkuma ⟦ september 2026 aasta lõpuks digitaalse identiteedi rahakotti (EUDI Wallet), mis on tunnustatud kogu ELis. Kvalifitseeritud teenusepakkujate jaoks tähendab see :

• Kohustus vastu võtta rahakotist pärit identiteedi atribuute allkirjastajate sisseregistreerimiseks tõendina ;
• Uue kvalifitseeritud teenuse ilmnemist: kvalifitseeritud atribuutide tunnistuse väljastamine (Qualified Electronic Attestation of Attributes, QEAA).

Uued kvalifitseeritud teenused ja ulatuse laiendamine

eIDAS 2.0 laiendab kvalifitseeritud usaldusseaduse teenuste loetelu, et kaasata :

• Kvalifitseeritud elektroonilise arhiivimise teenused (QPDS, artikkel 45f) ;
• Kaugjärelevalve allkirjakirjutamise seadmete haldamise teenused (QRCD).

Need muudatused esindavad nii kohustust muuta konformiteediga (kitsa ajaga tähtajad olemasolevatele teenusepakkujatele) kui ka diferentseerimise võimalust pakkujatele, kes suudavad kiiresti integreerida ENISA ja ETSI poolt avaldatud tehnilisi spetsifikatsioone.

Ettevõtetele, kes kaaluvad migreerida olemasolevasest platvormist konformsemale lahendusele, juhend migreerimiseks DocSignist või YouSignist Certyneosse esitleb konkreetseid samme ja regulatiivse järelevalve kriteeriumeid.

eIDAS-i kvalifitseeritud teenusepakkujatele rakendatav õiguslik raamistik

eIDAS-määrus ja Euroopa õigus

Juriidiline alus on Euroopa Parlamendi ja Nõukogu määrus (EL) nr 910/2014 23. juulist 2014 elektroonilise isikutuvastamise ja usaldusväärsete teenuste kohta elektroonilistes tehingutes siseturu sees (nn „eIDAS-määrus"), muudetud määrusega (EL) 2024/1183 (eIDAS 2.0). See määrus on otseselt kohaldatav kõigis liikmesriikides ilma siseriiklike seadistamisteta.

Selle peamised sätted kvalifitseeritud teenusepakkujatele :

• Artikkel 17 : liikmesriigil on kohustus määrata järelevalveorgan (Prantsusmaal ANSSI) ;
• Artikkel 20 : järelevalve-, auditi- ja usaldusloetellu kandmise protseduur ;
• Artikkel 25 : QES ja käsitsi allkirja vahelise võrdväärsuse eeldus, õiguslike mõjudega garanteeritud kogu ELis ;
• I lisa : nõuded elektroonilise allkirja kvalifitseeritud sertifikaatidele ;
• II lisa : nõuded kvalifitseeritud elektroonilise allkirja loomiseadmete (QSCD) jaoks.

Prantsuse õigus

Siseriiklike õigusaktides reguleeritakse elektrooniline allkiri järgmiselt :

• Tsiviilkoodeks, artiklid 1366 ja 1367 : artikkel 1366 tunnustab elektroonilise kirjaliku dokumenti tõendiväärtust autori isiksuslikkuse ja dokumendi terviklikkuse tagamise tingimusel. Artikkel 1367 täpsustab, et allkiri, mis koosneb usaldusväärsest isikutuvastamise protsessist, nautsib usaldusväärsuse eeldust, kui see luuakse seaduslikus määrusele vastavalt ;
• Määrus nr 2017-1416, 28. september 2017 : määratakse tingimused, mille alusel peetakse kvalifitseeritud elektroonilist allkirja usaldusväärseks Prantsusmaal, viidates otseselt eIDAS-määrusele ;
• Määrus nr 2005-674, 16. juuni 2005 elektroonilise tee kaudu teatavate lepinguliste vormikasutusvõimaluste kohta.

Isikuandmete kaitse

Registreerimis- ja allkirjaprotsessid hõlmavad isikuandmete töötlemist (isikutuvastamise andmed, biomeetria videotuvastuseks). Kvalifitseeritud teenusepakkuja on allutatud määrusele (EL) 2016/679 (GDPR) ja peab eelkõige :

• Määrama andmekaitseametnik kui töötlemine on suurel skaalal ;
• Dokumenteerima töötlemised CNIL-i registris ;
• Reguleerima EList väljaspoole andmete edastamise asjakohaseid garantiide kaudu (tüüplepingulised klauslid, adekvaatsuse otsus).

Küberjulgeolek ja paindlikkus

Oktoobrist 2024 alates kehtib NIS2 direktiiv (2022/2555/EL) kvalifitseeritud usaldusseaduse teenuste pakkujatele, kes on klassifitseeritud oluliste üksustena. Nad peavad rakendama küber riskide haldamise meetmeid, teatama olulisest intsidendist ANSSI-le 24 tunni jooksul ja alluma regulaarsetele auditurile. Mittevastavus avab tee kuni 10 miljoni euro või 2% aastaparandise maailmavahetuse käibe suurusega trahvile.

Viitestandardi tehnilised normed

• ETSI EN 319 401 : üldnõuded usaldusseaduse teenuste pakkujatele ;
• ETSI EN 319 411-2 : poliitika profiil kvalifitseeritud sertifikaatidele ;
• ETSI EN 319 132 : XAdES allkirjaformaadid ;
• ETSI EN 319 122 : CAdES allkirjaformaadid ;
• ETSI EN 319 162 : PAdES allkirjaformaadid (PDF).

Kasutamise stsenaariumid : millal on kvalifitseeritud elektrooniline allkiri eIDAS-i osas hädavajalik ?

Stsenaarium 1 — Juriidiliste teenuste kontoor, mis hallitselt kõrge tõendiväärtusega era-õiguslikke akte

Juriidiliste teenuste kontoor, millel on umbes kahekümne kaastöötajat, käitleb igakuiselt kümneid osalusõiguste võõrandamise, kokkuleppeprotokolle ja varade ja kohustuste garantiileppe (GAP) lepinguid. Need dokumendid hõlmavad summasid, mis sageli ülitavad mitme saja tuhande euroni ja on altid kohtuses vaidlustamisele.

Enne kvalifitseeritud eIDAS-i teenusepakkujale migreerumist kasutas kontoor täiendat allkirjat (AES), mis oli enamikele tavalistest aktidest piisav. Pärast intsidenti, kus vastaspoolelt vaidlustas allkirja autentsuse kohtus, tegi kontoor otsuse kasutada QES-i kõigi suure riskiga aktide puhul. Tulemus : 90% vähenemine ajast, mis kulub allkirjapoolt tõendeid esitama kohtus, tänu QES-ile seotud irrrefuteerimisele. Ühikumaksumus (umbes 2 kuni 5 eurot mahtude järgi) võeti täielikult lepingulistesse kuludesse.

Stsenaarium 2 — ETI tööstusettevõte, mis hallitseb piiritüleste tarnijate lepinguid

ETI ettevõte (keskmise suurusega ettevõte) tööstussektor, millel on tarnijad Prantsusmaal, Saksamaal, Itaalias ja Poolas, oli seni saadetud oma lepingud postiga või korraldanud näost-näkku allkirja istungeid, tekitades keskmiselt 10 kuni 21 tööpäeva viivitused lepingu kohta.

Juurutades lahendust, mis on ühendatud PSCQ europese usaldusloeteluga, tõi ettevõte allkirjaperioodi alla keskmiselt vähem kui 48 tunni jooksul. Liikmesriikide vaheline vastastikune tunnustamine garanteerib juriidilist väärtust ilma täiendava legaliseerimiseta. Portfellil, mis sisaldab 350 tarnijaleping aasta kohta, ületab hinnangulised kulu kokkuhoid administratiivstes ja logistilistes kuludest 40 000 eurot aastas, vastavalt ACFE ja APQC poolt avaldatud asjakohasele uuringule.

Stsenaarium 3 — Haiglaassotsiatsiooni, millele kehtivad tervishoiusektori nõuded

Haiglaassotsiatsiooni umbes 1200 voodiga peab elektroonilistelt allkirjastama avaliku sektori lepingud, kliinilise uuringuga lepingud ja praktikute lepingud. Need dokumendid on allutatud avaliku sektori koodekile, mis nõuab elektroonilist allkirja RGS (Référentiel Général de Sécurité) tasemelt ** või alates avaliku sektori ostude demateralisatsioonist eIDAS-i samaväärse tasemega.

Kasutades usaldusloetellu kantud PSCQ-d, garanteerib kogum avaliku sektori koodeksi artikliga R. 2132-7 vastavust ja vähendab lepingute allkirja aega 15 päevalt vähem kui 72 tunnini. API integratsioon haiglainfotsüsteemiga (SIH) võimaldas automatiseerida dokumentide saatmist ja jälgimist, vabastades ligikaudu 0,4 FTE lepingutega seotud administratiivtöödest.

Järeldus

Kvalifitseeritud eIDAS-i teenusepakkuja valimine ei ole pelgalt tarkvaratehing : see on strateegiline otsus, mis seab paigale teie aktide tõendiväärtuse, teie organisatsiooni regulatiivselt vastavuse ja teie äripartnerite ning institutsiooniliste partnerite usalduse. 2026. aastal, kus eIDAS 2.0 astelikult jõustub ja ilmuvad uued NIS2 kohustused, suureneb nõude tase pidevalt.

Peamised punktid, mida meeles pidada : kontrollida alati usaldusloetellu kantud paigutust, nõuda avaldatud sertifitseerimispoliitikat ja kohandada allkirjataseme (QES, AES, SES) iga dokumendi õiguslike riskidega.

Certyneo abistab teid selles protsessis, pakkudes juurdepääsu kvalifitseeritud sertifikaatidele registreeritud PSCQ-de kaudu, kindlale API integratsiooni- ja spetsiaalse õigusliku toe abil. Kas olete valmis liikuma kvalifitseeritud allkirja poole? Taotlege demoversiooni või looge oma konto Certyneos ja viige oma organisatsioon täna vastavusse.