رفتن به محتوای اصلی
Certyneo

تصدیق eIDAS 2 برای تامین‌کننده امضای الکترونیکی 2026

مقررات eIDAS 2 الزامات جدیدی را برای تامین‌کنندگان خدمات اعتماد تحمیل می‌کند. مسیر تصدیق کامل را برای حفظ انطباق در 2026 کشف کنید.

تیم Certyneo11 دقیقه مطالعه

تیم Certyneo

نویسنده — Certyneo · درباره Certyneo

چرا تصدیق eIDAS 2 برای تامین‌کنندگان تغییر بازی را ایجاد می‌کند

از زمان اجرای مقررات (اتحادیه اروپا) 2024/1183 در 11 آپریل 2024 — که معمولاً eIDAS 2 نامیده می‌شود — تامین‌کنندگان خدمات اعتماد (PSC) فعال در اتحادیه اروپا با چارچوب نظارتی عمیقاً تغییر‌یافته روبروهستند. تجدید نظر در مقررات eIDAS اصلی 2014 صرفاً به گسترش دامنه خدمات شناخته‌شده محدود نمی‌شود: به‌طور معناداری شرایط اعتبار را سخت‌تر می‌کند، سطوح تضمین جدیدی را معرفی می‌کند و الزامات نظارت سازمان‌های کنترل ملی را تقویت می‌کند. برای هر بازیگری که می‌خواهد خدمات امضای الکترونیکی واجد شرایط (QES) یا پیشرفته (AdES) را در بازار اروپایی پیشنهاد کند، درک نحوه دریافت تصدیق eIDAS 2 برای تامین‌کننده امضا دیگر گزینه نیست — این یک الزام استراتژیک است.

این مقاله یک نمای کلی جامع از مسیر تصدیق را ارائه می‌دهد: متون قابل اجرا، استانداردهای فنی واجب رعایت، نقش سازمان‌های ارزیابی انطباق (CAB)، مهلت‌های واقع‌بینانه و نکات آگاهی عملیاتی.

---

منظر نظارتی جدید eIDAS 2: تغییرات اتفاق‌افتاده

از مقررات 910/2014 به مقررات 2024/1183: تحول‌های بزرگ

مقررات eIDAS اصلی (شماره 910/2014) بنیادهای بازار منحصر به فرد دیجیتالی اعتماد در اروپا را رسم کرده بود. سه سطح امضا را تعریف می‌کرد — ساده، پیشرفته و واجد شرایط — و الزام می‌کرد که تامین‌کنندگان واجد شرایط در لیست‌های اعتماد ملی (TSL، Trust Service Lists) نقل‌قول شوند. eIDAS 2 این معماری را حفظ می‌کند اما آن را در چندین نقطه ساختاری غنی می‌کند:

  • توسعه خدمات واجد شرایط: بایگانی الکترونیکی واجد شرایط، گواهی‌نامه‌های الکترونیکی ویژگی‌ها (AEA)، مدیریت از راه دور دستگاه‌های ایجاد امضای الکترونیکی واجد شرایط (QSCD). این خدمات جدید اکنون تحت همان رویه اعتبار بخشی منطبق بر امضای واجد شرایط قرار دارند.
  • کیف پول اروپایی هویت دیجیتالی (EUDIW): تامین‌کنندگانی که می‌خواهند با کیف پول هویت دیجیتالی آینده تعامل داشته باشند باید انطباق خود را با مشخصات فنی منتشرشده توسط کمیسیون (ARF — Architecture and Reference Framework، ویرایش 1.4، 2024) نشان دهند.
  • تقویت نظارت: مقامات نظارت ملی (در فرانسه، ANSSI) اختیارات تحقیق و فرمان تقویت‌شده دارند. PSC‌های واجد شرایط ممکن است تحت بررسی‌های بدون اطلاع قبلی قرار گیرند.
  • مهلت‌های اطلاع کاهش‌یافته: هر حادثه امنیتی قابل‌توجه باید در عرض 24 ساعت به مقام مختص اطلاع داده شود (در مقابل 72 ساعت در نسخه قبلی برای برخی حوادث).

برای نمای کلی از مقررات، راهنمای eIDAS 2.0 Certyneo خلاصه آموزشی تمام این تحول‌ها را ارائه می‌دهد.

سطوح تضمین و انعکاس آن بر تصدیق

تمایز بین امضای الکترونیکی پیشرفته و واجد شرایط محور سیستم باقی می‌ماند. تنها QES از فرض قانونی درستی و نسبت دهی معادل امضای دستی بهره می‌برد (ماده 25 مقررات eIDAS 2). این فرض مستقیماً به تصدیق تامین‌کننده بستگی دارد.

| سطح | ارزش اثباتی | الزام تامین‌کننده | |---|---|---| | ساده (SES) | محدود | هیچ | | پیشرفته (AdES) | قابل‌توجه | شیوه‌های خوب + استانداردهای ETSI | | واجد شرایط (QES) | حداکثری (فرض قانونی) | تصدیق eIDAS 2 الزامی |

---

فرآیند تصدیق eIDAS 2 مرحله به مرحله

مرحله 1 — پیش‌شرط‌های سازمانی و فنی

قبل از شروع رسمی فرآیند تصدیق، تامین‌کننده باید سطح بلوغ خود را در سه محور بررسی کند:

1. انطباق با استانداردهای ETSI استانداردهای سری EN 319 پایه فنی اجتناب‌ناپذیر را تشکیل می‌دهند. اصلی‌ترین آن‌ها عبارتند از:

  • ETSI EN 319 401: الزامات عمومی برای تامین‌کنندگان خدمات اعتماد
  • ETSI EN 319 411-1 و 411-2: خط‌مشی‌ها و الزامات برای مراکز صدور گواهی‌نامه (نیمرخ‌های PTC-QC برای گواهی‌نامه‌های واجد شرایط)
  • ETSI EN 319 421: خط‌مشی و الزامات برای تامین‌کنندگان خدمات مهر زمانی واجد شرایط
  • ETSI EN 319 132: قالب‌های امضای XAdES (XML) و سری مرتبط CAdES (CMS) و PAdES (PDF)

انطباق با این استانداردها برای تامین‌کنندگان واجد شرایط اختیاری نیست: به صراحت توسط اقدامات اجرایی کمیسیون اروپا الزامی است.

2. امنیت سیستم‌های اطلاعات QSCD‌ها (دستگاه‌های ایجاد امضای الکترونیکی واجد شرایط) باید طبق Common Criteria (CC) EAL4+ یا معادل آن تصدیق‌شده باشند. برای راه‌حل‌های امضای از راه دور — مدل پیشرفته در SaaS — الزامات همچنین بر روی ماژول‌های HSM (Hardware Security Module) و رویه‌های مدیریت کلیدهای رمزنگاری (انطباق FIPS 140-2 سطح 3 حداقل) گسترش می‌یابد.

3. خط‌مشی امنیت (PSSI) و مدیریت ریسک پرونده تصدیق نیاز به PSSI رسمی‌شده دارد، با هم‌راستایی ISO/IEC 27001 (تصدیق آن به شدت توصیه‌شده و گاهی توسط CAB‌ها الزامی است) و ادغام الزامات NIS2 برای موجودیت‌های واجد شرایط «اهم» یا «ضروری».

مرحله 2 — انتخاب و تعهد سازمان ارزیابی انطباق (CAB)

در فرانسه، CAB‌های معتمد توسط COFRAC (کمیته فرانسوی تایید‌شده) برای ارزیابی تامین‌کنندگان خدمات اعتماد تعداد کمی هستند. به عنوان نمونه، LSTI (Laboratoire de Sécurité des Technologies de l'Information) و Bureau Veritas Certification در میان بازیگران مرجع قرار دارند. در مقیاس اروپایی، هر دولت عضو لیست CAB‌های اطلاع‌رسانی‌شده خود را منتشر می‌کند.

نقش CAB انجام بررسی انطباق در دو فاز است:

  1. بررسی اسناد (فاز 1): بررسی خط‌مشی‌ها، رویه‌ها، اظهار‌نامه شیوه تصدیق (DPC / CPS) و مدارک فنی.
  2. بررسی در محل (فاز 2): تأیید کنترل‌های عملیاتی، آزمایش‌های نفوذ، مصاحبه‌های تیم.

مدت کل بررسی CAB معمولاً 4 تا 8 هفته است که بستگی به بلوغ قبلی کاندیدا دارد.

مرحله 3 — رسیدگی توسط مقام نظارتی ملی

در فرانسه، ANSSI (آژانس ملی برای امنیت سیستم‌های اطلاعات) درخواست‌های ثبت‌نام را در لیست اعتماد ملی (TSL FR) بررسی می‌کند. بر اساس گزارش بررسی CAB، ANSSI تحلیل خود را انجام می‌دهد و می‌تواند درخواست اطلاعات تکمیلی یا اقدامات اصلاحی کند.

مهلت نظارتی رسیدگی 3 ماه از تاریخ دریافت پرونده کامل است (ماده 17 مقررات eIDAS 2). در عمل، مهلت‌های واقعی اغلب طولانی‌تر است اگر پرونده اولیه ناقص باشد.

پس از ثبت در TSL ملی، تامین‌کننده به طور خودکار در EUTL (EU Trusted List)، منتشرشده توسط کمیسیون اروپا، مرجع شده و این باعث شناخت فوری بین‌المللی در 27 دولت عضو می‌شود.

مرحله 4 — حفاظت از صلاحیت و تجدید

تصدیق eIDAS 2 نهایی نیست. تامین‌کنندگان واجد شرایط تحت تأثیر:

  • بررسی نظارتی سالانه توسط CAB
  • بررسی تجدید کامل هر 24 ماه (چرخه کوتاه‌شده نسبت به عمل قبلی)
  • کنترل‌های بدون اطلاع قبلی ممکن است به ابتکار ANSSI

هر تغییر جوهری در زیرساخت (تغییر HSM، تحول PKI، خدمت واجد شرایط جدید) رویه اطلاع قبلی را آغاز می‌کند و می‌تواند بررسی جزئی را الزامی کند.

---

هزینه، مهلت و عوامل ریسک: آنچه DSI‌ها باید پیش‌بینی کنند

بودجه و منابع انسانی

هزینه تصدیق اول eIDAS 2 قابل‌توجه است. موارد هزینه شامل:

  • بررسی CAB: بین 40 000 € تا 120 000 € بسته به پیچیدگی محدوده
  • تطابق فنی (HSM، PKI، QSCD‌های تصدیق‌شده CC): از 80 000 € تا صدها هزار یورو برای زیرساخت اختصاصی
  • تصدیق ISO 27001 (توصیه‌شده به عنوان پیش‌نیاز): 15 000 تا 50 000 € بسته به اندازه
  • هزینه مشاوره حقوقی و تهیه DPC: 10 000 تا 30 000 €
  • هزینه‌های داخلی: تعبیه تیم اختصاصی (RSSI، DPO، مسئول انطباق) برای 12 تا 18 ماه

با جمع‌بندی تمام این موارد، تصدیق کامل سرمایه‌گذاری کلی حدود 200 000 تا 500 000 € برای تامین‌کننده متوسط‌اندازه نشان می‌دهد، بدون هزینه‌های تکرارشونده حفاظت.

عوامل ریسک عملیاتی

معمول‌ترین دلایل شکست یا تأخیر در رویه‌های تصدیق:

  1. DPC ناکافی: اظهار‌نامه شیوه تصدیق باید هر کنترل را با دقتی گاهی کم‌برآورد‌شده مستند کند.
  2. شکاف در مدیریت چرخه عمر کلید: لغو، بایگانی، تخریب کلیدهای خصوصی.
  3. حاکمیت حادثه ناکافی: نبود SIEM، نبود رویه‌های مدیریت بحران آزمایش‌شده، نبود runbook‌ها.
  4. دست‌کم‌گیری در NIS2: از اکتبر 2024، PSC‌های واجد شرایط به طور خودکار در میان موجودیت‌های «اهم» طبق دستورالعمل NIS2 طبقه‌بندی می‌شوند، با الزامات اطلاع‌رسانی و مدیریت ریسک اضافی.

برای شرکت‌هایی که می‌خواهند این محدودیت‌ها را به تامین‌کننده‌ای که قبلاً تصدیق‌شده است واگذار کنند تا خود زیرساخت بسازند، مقایسه راه‌حل‌های امضای الکترونیکی دردسترس در Certyneo کمک می‌کند این انتخاب ساخت یا خرید را عینی کند.

---

eIDAS 2 و امضای الکترونیکی در سازمان: مسائل انتقال

برای شرکت‌های کاربر — برخلاف تامین‌کنندگان — تصدیق eIDAS 2 تامین‌کننده SaaS امضا اکنون معیار انتخاب اجتناب‌ناپذیری است. درج در درخواست‌های پیشنهاد بندی الزام به حضور در TSL ملی اکنون شیوه معمول شده است در بخش‌های نظارت‌شده (مالی، بهداشت، ملک).

امضای الکترونیکی در سازمان در واقع الزام می‌کند موارد استفاده نیاز‌مند QES را به وضوح تشخیص دهید — اسناد خصوصی با ریسک بالا، وکالت‌نامه‌ها، اسناد دولتی الکترونیکی — از موارد که AdES کافی است. این نقشه برداری از استفاده مستقیماً سطح خدمات قراردادی واجب از تامین‌کننده را تحت‌الشعاع می‌کند.

سازمان‌هایی که از راه‌حل موجود به تامین‌کننده تصدیق‌شده eIDAS 2 مهاجرت می‌کنند نیز باید حمل و نقل بایگانی اثبات را پیش‌بینی کنند. راهنمای مهاجرت از DocuSign یا YouSign به Certyneo شیوه‌های خوب برای حفاظت از ارزش اثباتی اسناد از قبل امضاشده در طی انتقال را تفصیل می‌دهد.

چارچوب حقوقی قابل اجرا برای تصدیق eIDAS 2

متون موسس

تصدیق تامین‌کنندگان خدمات اعتماد بر پایه ترتیبی از استانداردهای متراکم است که باید به‌طور کامل درک شود:

مقررات (اتحادیه اروپا) 2024/1183 از 11 آپریل 2024 (eIDAS 2): متن مرجع که مقررات مربوطه مقررات 910/2014 را ملغی و جایگزین می‌کند. شرایط دریافت و حفاظت از وضعیت تامین‌کننده واجد شرایط، الزامات نظارت ملی و الزامات مربوط به خدمات جدید (EUDIW، AEA) را تعریف می‌کند.

مقررات (اتحادیه اروپا) 910/2014 (eIDAS 1): برای مقررات تغییرنیافته هنوز تا حدی قابل اجرا؛ اقدامات اجرایی و تفویض‌شده به تصویب رسیده‌شده در این مقررات تا تجدید رسمی آن‌ها معتبر باقی می‌ماند.

قانون مدنی فرانسه، مواد 1366 و 1367: ماده 1366 اصل هم‌ارزی امضای الکترونیکی را با امضای دستی با شرط قابل‌اعتماد بودن مطرح می‌کند؛ ماده 1367 مشخص می‌کند که قابل‌اعتماد بودن زمانی فرض می‌شود تا اثبات مخالف زمانی‌که امضای واجد شرایط استفاده می‌شود. این مقررات ملی مستقیماً با فرض قانونی ماده 25 eIDAS 2 ارتباط‌دار هستند.

دستورالعمل (اتحادیه اروپا) 2022/2555 (NIS2): منتقل به حقوق فرانسوی توسط قانون 15 اکتبر 2024، به‌طور خودکار تامین‌کنندگان خدمات اعتماد واجد شرایط را در میان موجودیت‌های اهم طبقه‌بندی می‌کند. الزامات: اطلاع‌رسانی به ANSSI در عرض 72 ساعت برای هر حادثه قابل‌توجه، راه‌اندازی مدیریت ریسک سایبری رسمی‌شده، بررسی امنیتی دوره‌ای.

مقررات (اتحادیه اروپا) 2016/679 (RGPD): تامین‌کنندگان خدمات امضا داده‌های شخصی حساسی (هویت امضاکنندگان، گزارش بررسی) را پردازش می‌کنند. رعایت اصول حداقل‌سازی، محدود‌کردن حفاظت و یکپارچگی نیاز به تحلیل تأثیر (AIPD) خاص دارد. مبنای حقوقی پردازش برای هر خدمت باید مستند باشد.

استانداردهای فنی با ارزش نظارتی

اقدامات اجرایی کمیسیون اروپا (به‌ویژه تصمیم اجرایی (اتحادیه اروپا) 2015/1506 و تجدید‌نظر آن) استانداردهای ETSI را به عنوان فرض انطباق تعیین می‌کند:

  • ETSI EN 319 401: الزامات عمومی TSP
  • ETSI EN 319 411-1 و 411-2: خط‌مشی تصدیق
  • ETSI EN 319 421: مهر زمانی واجد شرایط
  • ETSI EN 319 132 / 122 / 102: خدمات AdES (XAdES، CAdES، PAdES، ASiC)
  • ETSI TS 119 431: خدمات امضای از راه دور

خطرات حقوقی در صورت عدم انطباق

استفاده غیرقانونی یا بی‌احتیاطی از وضعیت تامین‌کننده واجد شرایط در معرض تحریم‌های اداری (تعلیق، حذف از لیست اعتماد) و تحقیقات جنایی (ماده 226-17 قانون مجازات برای نقص امنیت داده‌های شخصی) قرار می‌دهد. از نظر مدنی، زیر سؤال بردن ارزش اثباتی امضاهای صادرشده در دوره عدم انطباق می‌تواند مسئولیت قراردادی تامین‌کننده را نسبت به مشتریان درگیر کند.

سناریوهای استفاده: تصدیق eIDAS 2 در عمل

سناریو 1 — یک سردار SaaS متوسط‌اندازه هدفش کسب صلاحیت QES

یک شرکت تخصصی‌شده در دماتریالیزاسیون سند، 100 همکار و سالانه چندین میلیون معاملة امضا برای حساب مشتریان در بخش‌های بانکی و بیمه، تصمیم می‌گیرد صلاحیت eIDAS 2 را برای خدمة امضای الکترونیکی خود درخواست کند. تا این جا، شرکت امضای پیشرفته بر اساس گواهی‌نامه (AdES) را پیشنهاد می‌داد، برای اکثر قرارداد مشتریان کافی، اما برای اسنادی که نیاز به ارزش اثباتی بیشینه دارند ناکافی (وکالت‌نامه‌های SEPA، توافق‌نامه‌های اثبات دولتی).

پس از بررسی داخلی مدت 3 ماه که 15 انحراف بزرگ نسبت به الزامات ETSI EN 319 411-2 را نشان می‌دهد، شرکت برنامه تطابق را برای 14 ماه آغاز می‌کند. کار‌های اصلی جایگزینی HSM‌های موجود با ماژول‌هایی تصدیق‌شده FIPS 140-2 سطح 3، تهیة DPC 180 صفحه‌ای و دریافت تصدیق ISO 27001 قبل از بررسی CAB را شامل می‌شود. سرمایه‌گذاری کل 340 000 € است. پس از تکمیل فرآیند، ثبت‌نام در TSL فرانسوی به شرکت اجازه می‌دهد درخواست‌های پیشنهادی را دنبال کند که به طور سیستماتیک از آن استثنا می‌شدند، نشان‌دهندة پتانسیل تجاری برآورد شده 20 درصد درآمد اضافی.

سناریو 2 — یک گروه بیمارستانی ادغام امضای واجد شرایط برای اسناد پزشکی-قانونی

یک گروه بیمارستانی حدود 1200 تخت می‌خواهد فرآیند‌های رضایت‌نامة آگاهانه، تفویض قدرت‌های پزشکی و قرارداد‌های تحقیق بالینی خود را دماتریالیزه کند. این اسناد دسته‌ای هستند که QES الزامی یا توصیه‌شده شدت است توسط مرجع‌های HAS و چارچوب حقوقی داده‌های سلامت (ماده L. 1110-

Certyneo را به صورت رایگان امتحان کنید

اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.

عمیق‌تر شدن در موضوع

مقالات مرجع در مورد این موضوع.

تعهدات فراهم‌کننده امضای الکترونیکی در فرانسهصلاحیت eIDAS، انطباق RGPD، الزامات ANSSI: فراهم‌کنندگان امضای الکترونیکی با چارچوب قانونی سختی روبرو هستند. تمامی تعهدات قابل رعایت را کشف کنید.eIDAS 2 در مقابل eIDAS 1: تغییرات کلیدی برای شرکت‌های کوچک و متوسطمقررات eIDAS 2 قوانین امضای الکترونیکی و هویت دیجیتال در اروپا را به طور عمیقی تعریف مجدد می‌کند. در اینجا آنچه هر شرکت کوچک و متوسط فرانسوی باید قبل از پایان ۲۰۲۶ بداند.انطباق eIDAS برای SME ها: چک لیست کامل 2026چگونه می توان اطمینان حاصل کرد که یک SME با مقررات eIDAS در سال 2026 مطابقت دارد؟ چک لیست 12 نقطه ای: سطوح امضا، ارائه دهنده خدمات، بایگانی، GDPR.مقررات eIDAS: توضیح ساده و کاملمقررات eIDAS چیست، چه چیزی را تغییر می‌دهد، ۳ سطح امضای آن چیست و چرا به هر شرکت اروپایی مربوط می‌شود.تقویم eIDAS 2: استقرار اتحادیه اروپا 2026-2027مقررهٔ eIDAS 2 وارد مرحلهٔ استقرار عملیاتی خود در سال‌های 2026-2027 می‌شود. تاریخ‌های کلیدی، تعهدات شرکت‌ها و نقشهٔ راه کامل را کشف کنید.

عمیق‌تر شدن در موضوع

راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.

团体 Certyneo

سوالی در مورد امضای الکترونیکی دارید؟

انضم به جامعه Certyneo: سوالات خود را پرسیدید، پاسخ‌ها خود را به اشتراک بگذارید و با هزاران کاربران و تیم ما در ارتباط باشید.