eIDAS 2 zigilupena hornitzailea sinadura 2026

Zergatik aldatzen du eIDAS 2 zigilupena hornitzaileentzat

2024ko apirilaren 11an (UE) 2024/1183 araubidearen indarrean sartzetik — komunean eIDAS 2 deitzen dena — Europar Batasunean egiten duten konfiantza zerbitzuen hornitzaileek (PSC) erregulazio marko sakonki berriratzatua dute aurten. 2014ko eIDAS araubidearen aldaketa ez da soilik onartutako zerbitzuen barrutia zabaltzearen mugatik: akreditazioaren baldintzak gogorrago ditu, berri garantia mailak sartzen ditu eta kontrol organoaren zaintzaren exigentziak sendotzen ditu. Sinadura elektroniko kualifikatua (QES) edo aurreratua (AdES) zerbitzuak Europako merkatuari ematea nahi duten edozein ekintzailentzat, nola lortu eIDAS 2 zigilupena sinadura hornitzailearentzat ez da aukeratik gehiago — obligazio estrategikoa da.

Artikulu honek zigilupena bidearen galeraia zehatzago aurkezten du: aplikatutako testua, bete beharreko arau teknikoak, bateragarritasun ebaluazio organoaren (CAB) papera, denbora errealak eta eragiketako alertarena.

---

eIDAS 2 araubideko paisaia berria: zer aldatu da

910/2014 araubideetik 2024/1183 araubidea: nagusitako garapena

Jatorrizko eIDAS araubidea (910/2014 zenbakia) Europako zenbaki-konfiantza merkatu batasuaren oinarria jarri zuen. Hiru sinadura-maila — sinplea, aurreratua eta kualifikatua — definitu zuen eta hornitzaileei kualifikatuei estatuen konfiantza zerrendetan (TSL, Trust Service Lists) ageri izatea inposatu zien. eIDAS 2k arkitektura hau mantentzen du baina mehreko puntu batean aberasten du:

• Zerbitzuak kualifikatuak hedatzea: elektroniko artxibaketa kualifikatua, atributu elektroniko agirikiak (AEA), sinadura kualifikatua sortzeko gailuaren (QSCD) urrutiko kudeaketa. Zerbitzuak horiek orain sinadura kualifikatuaren berdina den akreditazio prozeduraren menpean daude.
• Europar Batasunaren zenbaki identitate-portafolioa (EUDIW): etorkizuneko identitate-portafolioarekin elkartzea nahi duten hornitzaileek Komisioak argitaratutako arau teknikoen betegarritasuna frogatu behar dute (ARF — Architecture and Reference Framework, v1.4, 2024).
• Zaintza sendotzea: estatuko zaintza agentziak (Frantzian, ANSSI) enkargu eta inkesta ahalmen sendotuak dituzte. PSC kualifikatuak ANSSI aldetik enplegurik gabe aztertua izan daitezke.
• Obabidea eta alertearen denbora murriztzea: segurtasun alerta nabarmena 24 ordutan jakinarazi behar zaie agintaritzari (aurrebisoan 72 ordutan)

Araubidearen galeraia osoarentzat, Certyneok eIDAS 2.0ren gida pedagogikoaren laburpena aurkezten du.

Garantia mailak eta haien implikazioa zigilumpentzat

Aurreratua eta kualifikatua sinadura elektronikoen bitartekalea sistema osoan oinarria da. QESa soilik integritate eta imputabilitatearen presuntzio legala du sinadura eskuzkoaren berdina den (eIDAS 2 araubidearen 25. artikulua). Presuntzio hori zuzensean hornitzailearen ziligaztipenaren menpe dago.

| Maila | Froga balioa | Hornitzailearen exigentziak | |---|---|---| | Sinplea (SES) | Limitatua | Bat ere ez | | Aurreratua (AdES) | Nabarmena | On praktikak + ETSI arauak | | Kualifikatua (QES) | Gehiena (presuntzio legala) | eIDAS 2 zigilupena nahitaezkoa |

---

eIDAS 2 zigilumpenaren prozesua pausoz pauso

Pausua 1 — Antolaketa eta arreta teknikoa

Zilibumpenaren prozesua formalki enkargatu baino lehenago, hornitzaileak hiru ardatzetan helburu maila auditatu behar du:

1. ETSI arauekin bateragarritasuna EN 319 serieko arauak oinarri teknikoa dira. Nagusiak hauek dira:

• ETSI EN 319 401: konfiantza zerbitzuen hornitzaileentzako exigentziak
• ETSI EN 319 411-1 eta 411-2: zilegitasun zertifikatuak (PTC-QC profila kualifikatutako zertifikatuak)
• ETSI EN 319 421: ordulariko zerbitzuen hornitzaileen arauak eta exigentziak
• ETSI EN 319 132: XAdES (XML), CAdES (CMS) eta PAdES (PDF) sinadura formatuak

Arauei betegarritasuna ez da aukerakoia kualifikatutako hornitzaileentzat: Europako Komisioak argitaratutako enplegu aktuen bidez esplizituki exigia da.

2. Informazio sistemen segurtzea QSCD (sinadura kualifikatua sortzeko gailua) Common Criteria (CC) EAL4+ edo berdina segun ziligatzeak behar dituzte. Urrutiko sinadura solutzioetan — SaaS modelu dominantea — exigentziak HSM moduluak (Hardware Security Module) eta zifraketako gakoen kudeaketa prozedurakoa ere inbolu dituzte (FIPS 140-2 3. maila minimoa).

3. Segurtasunaren arauak (PSSI) eta arriskuen kudeaketa Zilibumpenaren fitxategiak PSSI formalizatua exijitu du, ISO/IEC 27001rekin egokitua (ziligaztiapena askoz ere gomendatua eta CAB batzuetik exigia daiteke) eta NIS2 exigentziak intzorporatua "garrantzitsu" edo "ezinbestekoa" entitateetan.

Pausua 2 — Bateragarritasun ebaluazio organoa (CAB) aukeraeta eta konprometea

Frantzian, COFRAC (Comité Français d'Accréditation) ahal duenak zenbaki zerbitzuen hornitzaileen ebaluazioa akreditatuak dira gutxiak. Adibide gisant, LSTI (Laboratoire de Sécurité des Technologies de l'Information) eta Bureau Veritas Certification aipatutako entzunak dira. Europako eskalean, estatu bakoitzak bere CAB notifikatuaren zerrenda argitaratzen du.

CABaren rola bateragarritasun auditioa burutzea da bi fasen bidez:

1. Dokumentazioa berrikustea (1. fasen): arauak, prozedurak, Ziligatzeak Praktika Adierazpena (DPC / CPS) eta froga teknikoak aztertzea.
2. Gunearen entzulegaia (2. pausua): kontrola eragiketaren egiaztagaritasuna, intrusioen probak, taldearekin elkarrizketak.

CAB auditioa osoa denbora askotan 4tik 8 astera dago aurretik prestatuaren arabesantan.

Pausua 3 — Instrukzioa estatuko zaintza agentziaren bidez

Frantzian, ziligatze eskaera instruitzea ANSSIaren (Agencia Nationala de la Sécurité des Systèmes d'Information) zeregia da. CAB auditioen txostenaren oinarrian, ANSSIak bere analysea burutzen du eta jarraibide osoa osoa (TSL FR) beren zerrendari sartu aurretik, betegarritasun jarraibidea eta zuzendaritza neurriak eska ditzake.

Erregelamendu denbora instrukzioa 3 hilabeteen dago dossier osatua jasota (eIDAS 2 araubidearen 17. artikulua). Praktikaren batean, benetan denbora luzeak daude, dossier inisiala ez bada osatua.

TSL estatuaren zerrenda sartuta, hornitzailea automatikoki EUTLen (EU Trusted List) aipatua dago, Europako Komisioak argitaratzen dena, eta hau 27 estatu guztien transfrontzer ozta beren ezagutza ematen du.

Pausua 4 — Kualifikazioa mantendu eta berritzea

eIDAS 2 zigilupena ez da behetik. Kualifikatutako hornitzaileak ondoren menpean daude:

• Urteko zaintza auditioa CAB bidez burutzen da
• Berritzea auditioa osatua 24 hilabeotik (aurretik praktika labur saritzea)
• Kontrola enplegurik gabe ANSSIaren aldetik posible

Infrastrukturaren edozein aldaketa nabarmena (aldaketa HSM, PKIaren garapenean, zerbitzua kualifikatua berria) prebestean jakinarazpen prozesua abiarazi eta auditi partziala emun dezake.

---

Kostuak, denbora eta arriskua: DSI-k antizipatu beharrek

Aurrekontua eta enplegu baliabideak

eIDAS 2 zigilupena lehen garraia denbora eta kostu nabarmena dela. Gastuen postuak:

• CAB auditioa: 40 000 €tik 120 000 €ra zehaztapen konplexutasunaren arabesantan
• Arreta teknikoa (HSM, PKI, QSCD ziligatzeak CC): 80 000 €tik milioilaka euroraino pertsonalaren infrastrukturarako
• ISO 27001 zigilupena (aurretik gomendatua): 15 000 tik 50 000 €ra tamainaren arabesantan
• Zuzenbidezko kontsulta eta DPC idatzia: 10 000 tik 30 000 €ra
• Barne kostuak: talde dedikatu baten mobilizazioa (RSSI, DPO, bateragarritasun arduraduna) 12 eta 18 hilabete artean

Kostua postegutzean, ziligumpena osoa 200 000 €tik 500 000 €ra inbertsioa ordeskatzea ordeskatzeko eta batean etazian hornitzailearentzat, barruko kostua mantendu.

Arriskua eragiketako faktoreak

Zigilumpena prozesuan gehien porrot edo gerrera kausa izan direnak:

1. DPC nahikoa gabe: Ziligatzeak Praktika Adierazpena beharreko dokumentazioa batzeko kontrola deskripzioa minutoei dute arazo.
2. Gakoen bide bizitzaren kudeaketa hutsunak: baliogabea ditzake, artxibaketa, gakoen pribatuen ez ditzakeak garbitu.
3. Enpleguaren kudeaketa arriskua nahikoa gabe: ez dago SIEM, ez dago enpleguaren kudeaketa probatutako prozesuak, ez dago runbooks.
4. NIS2 abuztua gaberik ustea: 2024an otsailetan, kualifikatutako PSC automatikoki "garrantzitsu" entzungo klaseak NIS2 direktibaren arabera, jakinarazpen eta arriskuen kudeaketa betigarritasun gehigarria aurkitzen dituzte.

Pertsonalaren sortu aurretik betegarritasun hornitzaile bakoitzari hondar duten entzunak, Certyneok eskuragarri dagoen sinadura elektroniko soluzioen konparazioa jarraitzen du objektibatu ditzakete.

---

eIDAS 2 eta sinadura elektronikoa en entzunean: trantisizioarena aldetapena

Entzunak erabilia — hornitzaileen kontra — haien SaaS sinadura hornitzailearen eIDAS 2 zigilupena aukeratutako aukeratua ez zen, gurea ohitunak bihurtu da. Erresialean zintzo entzunak eskatzea TSL nazionalean egotea, ahozko arauditza estandarra bihurtu da.

Sinadura elektronikoa entzunean muin auen edo aurreratua QES — aktu pribatua guztiz balioa, apadera, aktorea antolatuak — zehaztasun zintzoik ere eskatua edo anbizio altua edo ordezkoa dagoen ADE osoa. Erabilia honetako oharke hornitzaileak kontratulki exigible zerbitzua maila zuzenean baldintza ditzake.

Aurreko batean soluzioa dagoen ornitzaile zilibumpena hornitzailera migratu duten entzunak hegazti-portableak azenatu behar du. Migration guide DocuSign batean edo YouSign Certyneora portazioa trantsizio aldean probatzea asematuten dituzte.

Zigilumpena aplikatuko araubidea eIDAS 2

Testu funda

Konfiantza zerbitzuen hornitzaileen zigilumpena geratu auke-geraya dentsutatu normatibo abiaren eman osatua ditu:

(UE) 2024/1183 araubidea (2024ko apirilaren 11a) (eIDAS 2): txostena berrimaginaria definitzen duena, bertan kualifikatutako hornitzailean eta mantenimendua, estatuko zaintza, eta zerbitzua berriak (EUDIW, AEA) tarte zehaztapenak.

(UE) n° 910/2014 araubidea (eIDAS 1): ezeztatutako enpleguak aplikatua dago; aldatu gehien beteak osatutako gaitzetza osatua dago berriari.

Frantzian zibila kodea, artikuluak 1366 eta 1367: artikulua 1366 sinadura elektroniko bateragarritasunaren printzipioa sinadura eskuzkoetara, fidagarritasun baldintzaren bidez ematen du; artikulua 1367 fidagarbentasuna legez presumitzen dela zirigaitu duen bitarte-basa eIDAS 2 artikuluarekin 25.

(UE) 2022/2555 direktiba (NIS2): 2024ko urriaren 15ean Frantziako zuzentasunean transposatua, zibilutako serbitzuen hornitzaileak entzun "garrantzitsuak" klasifikatzen du automatikoki. Obligazioak: ANSSIari 72 ordutan enplegu alerta nabarmena jakinarazte, zaintzaren kudeaketa osatua formalizatua, segurtasun auditiaren periodikoa.

Erregulazioa (UE) 2016/679 (GDPR): sinadura elektroniko zerbitzuaren hornitzaileak pertsona-datua prozesatzearen aldea (sinadaaren identitatea, enpleguaren erregistroa). Minimizazio-printzipioen balorra kontserbazio-limitazioak eta integritatea formalizatzen duten denbora beharreko ebaluazio-desioaren aldetik (AIPD) espezifiko bat egiten du. Tratamendu araubidea zenbakikoa dokumentatua behar da zerbitzua bakoitzean.

Arau teknikoak erregelamenduaren balio berezia dutenak

Europako Komisiokako enpleguaren aktua (zehatzean (UE) 2015/1506 enpleguaren erabakia eta bere berritzeak) ETSI arauekin presumitzen dituzte:

• ETSI EN 319 401: TSP exigentziak
• ETSI EN 319 411-1 eta 411-2: zigilatzeen arauak
• ETSI EN 319 421: ordulariko zerbitzua kualifikatua
• ETSI EN 319 132 / 122 / 102: AdES formatuak (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: urrutiko sinadura zerbitzua

Arriskua bateragarritasun hutsa ez bada

Hornitzaile kualifikatuen egoera aldetik hiltzea amagatutik, ANSSIak abiatu susmuak (zaliagoa, konfiantza zerrendan atala) eta zuzenbidezko amagatua (zibilaren artakulua 226-17 denbora-datuen segurtasun hutsa). Zibilaren aldetik, sinadura-balioa presumitzea gastatutako aldia non bateragarritasun hutsa ez zela galtzearen garrantzia hornitzaileak bere entzunekin kontratulki garantiearen ginaberean behetan gintza dezake.

Erabilia arratoia: zigilumpena eIDAS 2 batean

Arratoia 1 — SaaS alea erdibidean tamainetan QES kualifikazioa heltzea

100 kolaboradore gutxi enpleguean eta banku-etazain sektore entzunean enpleguari milioilaka transazio-sinadaeta urtean kudeatu duen demateriazazioen dokuente espezialitatean soziategia QES sinadura elektroniko zerbitzuaren eIDAS 2 kualifikazioa solatzea bilatzen du. Aurrera arte entzuna adesta sinadura aurreratua zitikatuak (AdES) ematen zuen, gehiago entzunen kontratue gehienak nahikoa, baina nahikoa ez balioa altegia (SEPA apadera, notiariatu-froga konbentzionala).

3 hilabeteko barne autorekin ETSI EN 319 411-2 exigentziarekiko hamasei aldeka nabarmena aurkitu ondoren, entzunak konplexitatea 14 hilabeotako programa bakutzea bilatzen du. Posta batean HSM desabitzen enpleguaren gehieneratzea FIPS 140-2 semailu 3 zitigatzeak, 180 oharreko DPC idatzia, eta aurretik ebaluazio CAB ISO 27001 ziligaztea. Inbertsioak benetakoa 340 000 €. Osoan osoaren atzean, TSL Frantzian sarritzea entzunari ez zitzaiotzean merkatu enpleguetan galtzen zitzaiotzean duen zerbitzuak 20% aurreahala eskatzea ematen du.

Arratoia 2 — Enpleguaren ospeitalaria enpleguari medizina-legearen aktuen balentasuna integratzea

1 200 ohe inguruko ospeitalari enpleguak baimena argitara, mediku-botere deligazioa eta ikerketa klinikaaren kontratua osatzea nahi du. Dokumenta hauek zerrendan daude HASen eta osasunaren datuen marko legaliaren (CSP L. 1110-4) zenbait eta kualifikadua abestua edo gokoaren bidez.

Barne infrastrukturaren ziligatua — aukeratua izan dada kostu gehiegi eta enpleguari kontrol nahasi — entzuna TSLean zerrendaratu duen hornitzaileak integrazioa aukeratzen du. DSI ANSSIen zilegearen kontrolaren eta bermazioa EUTL egiaztagaribik aurretik kontratu aurretik egotza ETSI EN 319 401 arauen zerrenda behetan ebaluazio bidez gintza du. Enpleguak 4 hilabetean osatua, papelenaren sinadaren datua %65 txikiagoa da ikerketa klinika exedente betitean eta aurreko sinadaren balioa pribilegiaren arriskua deuseztzen du sinadura sinplearekin.

Arratoia 3 — Abokaduaren kabineta pribatua bere aktua senatu giltzan segurutzea

30 asoziatu hurbil dagoen abokatuaren kabin bakoitzean, urtean 400 fusio-akisizioa eta fondoa sentralen gehieko emoten osoa, sinadura sinade pribatua barukagarritzea eta sineagoa frogatzea bilatzen du. Unitate bakoitzaren balioa 1 milioi eurotik gehia denean, eta osoa osotasun hutsak kabineteko profesional-responsabilitatea duen.

Analisa ondoren, IT taldeaketa managing partnerak QES exigentzian batzeranzea akorduak enpleguaren hornitzailearena sinadura eIDAS 2 ziligaztea ematen dute €100.000 balioaren egitasunean osotik. Hornitzaileak aukeratzen duen saria TSL nazionalean sarritzea eta beteragarritasun ETSI zilijatazea berrikusketa azken urtea sartu dira. Marko honek kabinetea sinadura ahalmenak egon behean 80% gutxiago kontraeki antzeratzea, aurreko egitasun etsaietan konparagarrien aldetik azterkunen.

Kontzernatua

eIDAS 2 zigilupena sinadura elektroniko zerbitzuen hornitzaile gisa lortzea exigente, desakosatua eta luzea den prozesua — baina Europar merkatuaren entzuneksi zerbitzuak gehientzako garantia legala gehienak emateko gurea ekintzailentzat ezinbestekoa. ETSI arauekin bete beharrez, CAB auditiaren igarean, ANSSIaren instrutzioera eta kualifikazioaren mantenimendura, agiria 12 tik 24 hilabeoten bitartean baliabideak mobilizatzen ditu.

Entzuna entzunena, on berria ez da hemen interna infrastruktura zuzenean eraikitzea: SaaS hornitzailea eIDAS 2 ziligaztea eta gunearen konfiantza zerrendaratuta dagoen dagoen hornitzailearena aukeratzearen denboren edo kuntakuntzaren QES-ri lotutako presuntzio legala badibitzea dituzte.

Certyneo zilibideak eta erabilera sinpletasuna badituzte konfiantza hornitzailea. Aurkitu gure tarifak eta hasi zure proba osoa astebete gaur.