تصدیق eIDAS 2 برای تامینکننده امضای الکترونیکی 2026
مقررات eIDAS 2 الزامات جدیدی را برای تامینکنندگان خدمات اعتماد تحمیل میکند. مسیر تصدیق کامل را برای حفظ انطباق در 2026 کشف کنید.
تیم Certyneo
نویسنده — Certyneo · درباره Certyneo
چرا تصدیق eIDAS 2 برای تامینکنندگان تغییر بازی را ایجاد میکند
از زمان اجرای مقررات (اتحادیه اروپا) 2024/1183 در 11 آپریل 2024 — که معمولاً eIDAS 2 نامیده میشود — تامینکنندگان خدمات اعتماد (PSC) فعال در اتحادیه اروپا با چارچوب نظارتی عمیقاً تغییریافته روبروهستند. تجدید نظر در مقررات eIDAS اصلی 2014 صرفاً به گسترش دامنه خدمات شناختهشده محدود نمیشود: بهطور معناداری شرایط اعتبار را سختتر میکند، سطوح تضمین جدیدی را معرفی میکند و الزامات نظارت سازمانهای کنترل ملی را تقویت میکند. برای هر بازیگری که میخواهد خدمات امضای الکترونیکی واجد شرایط (QES) یا پیشرفته (AdES) را در بازار اروپایی پیشنهاد کند، درک نحوه دریافت تصدیق eIDAS 2 برای تامینکننده امضا دیگر گزینه نیست — این یک الزام استراتژیک است.
این مقاله یک نمای کلی جامع از مسیر تصدیق را ارائه میدهد: متون قابل اجرا، استانداردهای فنی واجب رعایت، نقش سازمانهای ارزیابی انطباق (CAB)، مهلتهای واقعبینانه و نکات آگاهی عملیاتی.
---
منظر نظارتی جدید eIDAS 2: تغییرات اتفاقافتاده
از مقررات 910/2014 به مقررات 2024/1183: تحولهای بزرگ
مقررات eIDAS اصلی (شماره 910/2014) بنیادهای بازار منحصر به فرد دیجیتالی اعتماد در اروپا را رسم کرده بود. سه سطح امضا را تعریف میکرد — ساده، پیشرفته و واجد شرایط — و الزام میکرد که تامینکنندگان واجد شرایط در لیستهای اعتماد ملی (TSL، Trust Service Lists) نقلقول شوند. eIDAS 2 این معماری را حفظ میکند اما آن را در چندین نقطه ساختاری غنی میکند:
- توسعه خدمات واجد شرایط: بایگانی الکترونیکی واجد شرایط، گواهینامههای الکترونیکی ویژگیها (AEA)، مدیریت از راه دور دستگاههای ایجاد امضای الکترونیکی واجد شرایط (QSCD). این خدمات جدید اکنون تحت همان رویه اعتبار بخشی منطبق بر امضای واجد شرایط قرار دارند.
- کیف پول اروپایی هویت دیجیتالی (EUDIW): تامینکنندگانی که میخواهند با کیف پول هویت دیجیتالی آینده تعامل داشته باشند باید انطباق خود را با مشخصات فنی منتشرشده توسط کمیسیون (ARF — Architecture and Reference Framework، ویرایش 1.4، 2024) نشان دهند.
- تقویت نظارت: مقامات نظارت ملی (در فرانسه، ANSSI) اختیارات تحقیق و فرمان تقویتشده دارند. PSCهای واجد شرایط ممکن است تحت بررسیهای بدون اطلاع قبلی قرار گیرند.
- مهلتهای اطلاع کاهشیافته: هر حادثه امنیتی قابلتوجه باید در عرض 24 ساعت به مقام مختص اطلاع داده شود (در مقابل 72 ساعت در نسخه قبلی برای برخی حوادث).
برای نمای کلی از مقررات، راهنمای eIDAS 2.0 Certyneo خلاصه آموزشی تمام این تحولها را ارائه میدهد.
سطوح تضمین و انعکاس آن بر تصدیق
تمایز بین امضای الکترونیکی پیشرفته و واجد شرایط محور سیستم باقی میماند. تنها QES از فرض قانونی درستی و نسبت دهی معادل امضای دستی بهره میبرد (ماده 25 مقررات eIDAS 2). این فرض مستقیماً به تصدیق تامینکننده بستگی دارد.
| سطح | ارزش اثباتی | الزام تامینکننده | |---|---|---| | ساده (SES) | محدود | هیچ | | پیشرفته (AdES) | قابلتوجه | شیوههای خوب + استانداردهای ETSI | | واجد شرایط (QES) | حداکثری (فرض قانونی) | تصدیق eIDAS 2 الزامی |
---
فرآیند تصدیق eIDAS 2 مرحله به مرحله
مرحله 1 — پیششرطهای سازمانی و فنی
قبل از شروع رسمی فرآیند تصدیق، تامینکننده باید سطح بلوغ خود را در سه محور بررسی کند:
1. انطباق با استانداردهای ETSI استانداردهای سری EN 319 پایه فنی اجتنابناپذیر را تشکیل میدهند. اصلیترین آنها عبارتند از:
- ETSI EN 319 401: الزامات عمومی برای تامینکنندگان خدمات اعتماد
- ETSI EN 319 411-1 و 411-2: خطمشیها و الزامات برای مراکز صدور گواهینامه (نیمرخهای PTC-QC برای گواهینامههای واجد شرایط)
- ETSI EN 319 421: خطمشی و الزامات برای تامینکنندگان خدمات مهر زمانی واجد شرایط
- ETSI EN 319 132: قالبهای امضای XAdES (XML) و سری مرتبط CAdES (CMS) و PAdES (PDF)
انطباق با این استانداردها برای تامینکنندگان واجد شرایط اختیاری نیست: به صراحت توسط اقدامات اجرایی کمیسیون اروپا الزامی است.
2. امنیت سیستمهای اطلاعات QSCDها (دستگاههای ایجاد امضای الکترونیکی واجد شرایط) باید طبق Common Criteria (CC) EAL4+ یا معادل آن تصدیقشده باشند. برای راهحلهای امضای از راه دور — مدل پیشرفته در SaaS — الزامات همچنین بر روی ماژولهای HSM (Hardware Security Module) و رویههای مدیریت کلیدهای رمزنگاری (انطباق FIPS 140-2 سطح 3 حداقل) گسترش مییابد.
3. خطمشی امنیت (PSSI) و مدیریت ریسک پرونده تصدیق نیاز به PSSI رسمیشده دارد، با همراستایی ISO/IEC 27001 (تصدیق آن به شدت توصیهشده و گاهی توسط CABها الزامی است) و ادغام الزامات NIS2 برای موجودیتهای واجد شرایط «اهم» یا «ضروری».
مرحله 2 — انتخاب و تعهد سازمان ارزیابی انطباق (CAB)
در فرانسه، CABهای معتمد توسط COFRAC (کمیته فرانسوی تاییدشده) برای ارزیابی تامینکنندگان خدمات اعتماد تعداد کمی هستند. به عنوان نمونه، LSTI (Laboratoire de Sécurité des Technologies de l'Information) و Bureau Veritas Certification در میان بازیگران مرجع قرار دارند. در مقیاس اروپایی، هر دولت عضو لیست CABهای اطلاعرسانیشده خود را منتشر میکند.
نقش CAB انجام بررسی انطباق در دو فاز است:
- بررسی اسناد (فاز 1): بررسی خطمشیها، رویهها، اظهارنامه شیوه تصدیق (DPC / CPS) و مدارک فنی.
- بررسی در محل (فاز 2): تأیید کنترلهای عملیاتی، آزمایشهای نفوذ، مصاحبههای تیم.
مدت کل بررسی CAB معمولاً 4 تا 8 هفته است که بستگی به بلوغ قبلی کاندیدا دارد.
مرحله 3 — رسیدگی توسط مقام نظارتی ملی
در فرانسه، ANSSI (آژانس ملی برای امنیت سیستمهای اطلاعات) درخواستهای ثبتنام را در لیست اعتماد ملی (TSL FR) بررسی میکند. بر اساس گزارش بررسی CAB، ANSSI تحلیل خود را انجام میدهد و میتواند درخواست اطلاعات تکمیلی یا اقدامات اصلاحی کند.
مهلت نظارتی رسیدگی 3 ماه از تاریخ دریافت پرونده کامل است (ماده 17 مقررات eIDAS 2). در عمل، مهلتهای واقعی اغلب طولانیتر است اگر پرونده اولیه ناقص باشد.
پس از ثبت در TSL ملی، تامینکننده به طور خودکار در EUTL (EU Trusted List)، منتشرشده توسط کمیسیون اروپا، مرجع شده و این باعث شناخت فوری بینالمللی در 27 دولت عضو میشود.
مرحله 4 — حفاظت از صلاحیت و تجدید
تصدیق eIDAS 2 نهایی نیست. تامینکنندگان واجد شرایط تحت تأثیر:
- بررسی نظارتی سالانه توسط CAB
- بررسی تجدید کامل هر 24 ماه (چرخه کوتاهشده نسبت به عمل قبلی)
- کنترلهای بدون اطلاع قبلی ممکن است به ابتکار ANSSI
هر تغییر جوهری در زیرساخت (تغییر HSM، تحول PKI، خدمت واجد شرایط جدید) رویه اطلاع قبلی را آغاز میکند و میتواند بررسی جزئی را الزامی کند.
---
هزینه، مهلت و عوامل ریسک: آنچه DSIها باید پیشبینی کنند
بودجه و منابع انسانی
هزینه تصدیق اول eIDAS 2 قابلتوجه است. موارد هزینه شامل:
- بررسی CAB: بین 40 000 € تا 120 000 € بسته به پیچیدگی محدوده
- تطابق فنی (HSM، PKI، QSCDهای تصدیقشده CC): از 80 000 € تا صدها هزار یورو برای زیرساخت اختصاصی
- تصدیق ISO 27001 (توصیهشده به عنوان پیشنیاز): 15 000 تا 50 000 € بسته به اندازه
- هزینه مشاوره حقوقی و تهیه DPC: 10 000 تا 30 000 €
- هزینههای داخلی: تعبیه تیم اختصاصی (RSSI، DPO، مسئول انطباق) برای 12 تا 18 ماه
با جمعبندی تمام این موارد، تصدیق کامل سرمایهگذاری کلی حدود 200 000 تا 500 000 € برای تامینکننده متوسطاندازه نشان میدهد، بدون هزینههای تکرارشونده حفاظت.
عوامل ریسک عملیاتی
معمولترین دلایل شکست یا تأخیر در رویههای تصدیق:
- DPC ناکافی: اظهارنامه شیوه تصدیق باید هر کنترل را با دقتی گاهی کمبرآوردشده مستند کند.
- شکاف در مدیریت چرخه عمر کلید: لغو، بایگانی، تخریب کلیدهای خصوصی.
- حاکمیت حادثه ناکافی: نبود SIEM، نبود رویههای مدیریت بحران آزمایششده، نبود runbookها.
- دستکمگیری در NIS2: از اکتبر 2024، PSCهای واجد شرایط به طور خودکار در میان موجودیتهای «اهم» طبق دستورالعمل NIS2 طبقهبندی میشوند، با الزامات اطلاعرسانی و مدیریت ریسک اضافی.
برای شرکتهایی که میخواهند این محدودیتها را به تامینکنندهای که قبلاً تصدیقشده است واگذار کنند تا خود زیرساخت بسازند، مقایسه راهحلهای امضای الکترونیکی دردسترس در Certyneo کمک میکند این انتخاب ساخت یا خرید را عینی کند.
---
eIDAS 2 و امضای الکترونیکی در سازمان: مسائل انتقال
برای شرکتهای کاربر — برخلاف تامینکنندگان — تصدیق eIDAS 2 تامینکننده SaaS امضا اکنون معیار انتخاب اجتنابناپذیری است. درج در درخواستهای پیشنهاد بندی الزام به حضور در TSL ملی اکنون شیوه معمول شده است در بخشهای نظارتشده (مالی، بهداشت، ملک).
امضای الکترونیکی در سازمان در واقع الزام میکند موارد استفاده نیازمند QES را به وضوح تشخیص دهید — اسناد خصوصی با ریسک بالا، وکالتنامهها، اسناد دولتی الکترونیکی — از موارد که AdES کافی است. این نقشه برداری از استفاده مستقیماً سطح خدمات قراردادی واجب از تامینکننده را تحتالشعاع میکند.
سازمانهایی که از راهحل موجود به تامینکننده تصدیقشده eIDAS 2 مهاجرت میکنند نیز باید حمل و نقل بایگانی اثبات را پیشبینی کنند. راهنمای مهاجرت از DocuSign یا YouSign به Certyneo شیوههای خوب برای حفاظت از ارزش اثباتی اسناد از قبل امضاشده در طی انتقال را تفصیل میدهد.
چارچوب حقوقی قابل اجرا برای تصدیق eIDAS 2
متون موسس
تصدیق تامینکنندگان خدمات اعتماد بر پایه ترتیبی از استانداردهای متراکم است که باید بهطور کامل درک شود:
مقررات (اتحادیه اروپا) 2024/1183 از 11 آپریل 2024 (eIDAS 2): متن مرجع که مقررات مربوطه مقررات 910/2014 را ملغی و جایگزین میکند. شرایط دریافت و حفاظت از وضعیت تامینکننده واجد شرایط، الزامات نظارت ملی و الزامات مربوط به خدمات جدید (EUDIW، AEA) را تعریف میکند.
مقررات (اتحادیه اروپا) 910/2014 (eIDAS 1): برای مقررات تغییرنیافته هنوز تا حدی قابل اجرا؛ اقدامات اجرایی و تفویضشده به تصویب رسیدهشده در این مقررات تا تجدید رسمی آنها معتبر باقی میماند.
قانون مدنی فرانسه، مواد 1366 و 1367: ماده 1366 اصل همارزی امضای الکترونیکی را با امضای دستی با شرط قابلاعتماد بودن مطرح میکند؛ ماده 1367 مشخص میکند که قابلاعتماد بودن زمانی فرض میشود تا اثبات مخالف زمانیکه امضای واجد شرایط استفاده میشود. این مقررات ملی مستقیماً با فرض قانونی ماده 25 eIDAS 2 ارتباطدار هستند.
دستورالعمل (اتحادیه اروپا) 2022/2555 (NIS2): منتقل به حقوق فرانسوی توسط قانون 15 اکتبر 2024، بهطور خودکار تامینکنندگان خدمات اعتماد واجد شرایط را در میان موجودیتهای اهم طبقهبندی میکند. الزامات: اطلاعرسانی به ANSSI در عرض 72 ساعت برای هر حادثه قابلتوجه، راهاندازی مدیریت ریسک سایبری رسمیشده، بررسی امنیتی دورهای.
مقررات (اتحادیه اروپا) 2016/679 (RGPD): تامینکنندگان خدمات امضا دادههای شخصی حساسی (هویت امضاکنندگان، گزارش بررسی) را پردازش میکنند. رعایت اصول حداقلسازی، محدودکردن حفاظت و یکپارچگی نیاز به تحلیل تأثیر (AIPD) خاص دارد. مبنای حقوقی پردازش برای هر خدمت باید مستند باشد.
استانداردهای فنی با ارزش نظارتی
اقدامات اجرایی کمیسیون اروپا (بهویژه تصمیم اجرایی (اتحادیه اروپا) 2015/1506 و تجدیدنظر آن) استانداردهای ETSI را به عنوان فرض انطباق تعیین میکند:
- ETSI EN 319 401: الزامات عمومی TSP
- ETSI EN 319 411-1 و 411-2: خطمشی تصدیق
- ETSI EN 319 421: مهر زمانی واجد شرایط
- ETSI EN 319 132 / 122 / 102: خدمات AdES (XAdES، CAdES، PAdES، ASiC)
- ETSI TS 119 431: خدمات امضای از راه دور
خطرات حقوقی در صورت عدم انطباق
استفاده غیرقانونی یا بیاحتیاطی از وضعیت تامینکننده واجد شرایط در معرض تحریمهای اداری (تعلیق، حذف از لیست اعتماد) و تحقیقات جنایی (ماده 226-17 قانون مجازات برای نقص امنیت دادههای شخصی) قرار میدهد. از نظر مدنی، زیر سؤال بردن ارزش اثباتی امضاهای صادرشده در دوره عدم انطباق میتواند مسئولیت قراردادی تامینکننده را نسبت به مشتریان درگیر کند.
سناریوهای استفاده: تصدیق eIDAS 2 در عمل
سناریو 1 — یک سردار SaaS متوسطاندازه هدفش کسب صلاحیت QES
یک شرکت تخصصیشده در دماتریالیزاسیون سند، 100 همکار و سالانه چندین میلیون معاملة امضا برای حساب مشتریان در بخشهای بانکی و بیمه، تصمیم میگیرد صلاحیت eIDAS 2 را برای خدمة امضای الکترونیکی خود درخواست کند. تا این جا، شرکت امضای پیشرفته بر اساس گواهینامه (AdES) را پیشنهاد میداد، برای اکثر قرارداد مشتریان کافی، اما برای اسنادی که نیاز به ارزش اثباتی بیشینه دارند ناکافی (وکالتنامههای SEPA، توافقنامههای اثبات دولتی).
پس از بررسی داخلی مدت 3 ماه که 15 انحراف بزرگ نسبت به الزامات ETSI EN 319 411-2 را نشان میدهد، شرکت برنامه تطابق را برای 14 ماه آغاز میکند. کارهای اصلی جایگزینی HSMهای موجود با ماژولهایی تصدیقشده FIPS 140-2 سطح 3، تهیة DPC 180 صفحهای و دریافت تصدیق ISO 27001 قبل از بررسی CAB را شامل میشود. سرمایهگذاری کل 340 000 € است. پس از تکمیل فرآیند، ثبتنام در TSL فرانسوی به شرکت اجازه میدهد درخواستهای پیشنهادی را دنبال کند که به طور سیستماتیک از آن استثنا میشدند، نشاندهندة پتانسیل تجاری برآورد شده 20 درصد درآمد اضافی.
سناریو 2 — یک گروه بیمارستانی ادغام امضای واجد شرایط برای اسناد پزشکی-قانونی
یک گروه بیمارستانی حدود 1200 تخت میخواهد فرآیندهای رضایتنامة آگاهانه، تفویض قدرتهای پزشکی و قراردادهای تحقیق بالینی خود را دماتریالیزه کند. این اسناد دستهای هستند که QES الزامی یا توصیهشده شدت است توسط مرجعهای HAS و چارچوب حقوقی دادههای سلامت (ماده L. 1110-
Certyneo را به صورت رایگان امتحان کنید
اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.
عمیقتر شدن در موضوع
مقالات مرجع در مورد این موضوع.
عمیقتر شدن در موضوع
راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.
مقالات پیشنهادی
دانش خود را با این مقالات مرتبط با موضوع تعمیق دهید.
مقایسه HelloSign در مقابل Certyneo: کدام یک را در سال 2026 انتخاب کنیم؟
HelloSign و Certyneo هر دو برای شرکتهای B2B طراحی شدهاند، اما رویکردهای آنها به طور کلی متفاوت است. بیاید بررسی کنیم کدام یک واقعاً نیازهای انطباق eIDAS و بهرهوری شما را برآورده میکند.
برنامهریزی سایت دیجیتال: امضای الکترونیکی در سال ۲۰۲۶
برنامهریزی سایت دیجیتال مدیریت پروژههای ساختمانی را در سال ۲۰۲۶ به طور بنیادی تغییر میدهد. امضای الکترونیکی، ردپایی و انطباق با مقررات: راهنمای جامع برای متخصصان این حوزه.
بازار عمومی ساخت و ساز: امضای الکترونیکی مطابق با قوانین در سال 2026
غیرمستندیسازی بازارهای عمومی ساخت و ساز اکنون یک الزام تنظیمی است. دریافت کنید که چگونه امضای الکترونیکی مطابق با eIDAS مدیریت درخواستهای پیشنهادی شما را تبدیل میکند.