eIDAS-vaatimustenmukaisuus pk-yrityksille: täydellinen vuoden 2026 tarkistuslista

Eurooppalainen eIDAS-asetus (EU nro 910/2014, jota pian muuttaa eIDAS 2.0) säätelee sähköisiä allekirjoituksia kaikkialla Euroopan unionissa. Pk-yritykselle vaatimustenmukaisuus ei ole pelkkä tarkistuslaatikko: se on takuu siitä, että sen sopimukset ovat täytäntöönpanokelpoisia, että sen allekirjoitustiedot on suojattu ja että se suojaa itseään oikeudellisilta riskeiltä, ​​jotka voivat olla kalliita. Tässä on vuoden 2026 tarkistuslista 12 konkreettisella pisteellä varmistaaksesi, että pk-yrityksesi on täysin eIDAS-yhteensopiva.

Kohta 1: valitse oikea allekirjoitustaso

Ensimmäinen refleksi: kartoita sopimustyypit ja liitä tavoitetaso. Tavalliset kaupalliset sopimukset (tarjoukset, ostotilaukset, yksinkertaiset NDA:t): SES riittää. Työsopimukset, vuokrasopimukset, arkaluontoiset NDA:t, strategiset sopimukset: AES vähintään, mieluiten OTP SMS:llä. Säännellyt toimet (lakimies, notaari, kynnyksen ylittävät julkiset hankinnat): Pakollinen QES. Ilman tätä kartoitusta vaarana on alimitoitus (hylätty sopimus) tai ylimitoitus (liialliset kustannukset).

Kohta 2: tarkista palveluntarjoajan pätevyys

Palveluntarjoajasi on oltava luotettava palveluntarjoaja (QTSP) tai luotettava QTSP:hen AES/QES-tasoilla. Tutustu ANSSI:n (eidas.ssi.gouv.fr) julkaisemaan Trust Services List -luetteloon ja European Trusted List -luetteloon (webgate.ec.europa.eu/tl-browser). Ranskan viite QTSP:t: Certigna, Docaposte, Certinomis, Universign. Jos kyseessä on SES/AES alustan kautta (Certyneo, Yousign jne.), tarkista niiden nimenomaisesti dokumentoitu eIDAS-yhteensopivuus.

Kohta 3: Testaa kirjausketju

Allekirjoita testikuori ja kerää kirjausketju (yleensä erillinen PDF). Sen tulee sisältää: allekirjoittajan henkilöllisyys ja sähköpostiosoite, kunkin vaiheen aikaleima (lähetys, avaaminen, vahvistus, allekirjoitus), IP-osoite, käyttäjäagentti, asiakirjan tiiviste, OTP-vahvistus, jos AES. Jos jokin näistä elementeistä puuttuu, todistusarvo heikkenee. Certyneo tarjoaa täydellisen kirjausketjun jopa ilmaisella suunnitelmalla.

Kohta 4: hallitse aikaleimaa

Aikaleiman on oltava RFC 3161:n mukaisen Time Stamp Authorityn (TSA) myöntämä. Pelkkä yrityksen NTP-palvelimen aikaleima ei riitä. Avaa allekirjoitettu PDF Adobe Readerissa: Allekirjoitukset-välilehti → Tiedot → Aikaleima. Sinun pitäisi nähdä voimassa oleva TSA-sertifikaatti ja sertifioitu kello. Jos PDF-tiedostossa ei ole varmennettua aikaleimaa, peruuta palveluntarjoajan valinta.

Kohta 5: arkistointi vähintään 10 vuotta

Kauppalaki (L. 123-22 artikla) ​​edellyttää 10 vuoden kaupallisten asiakirjojen säilytystä. Työlaissa määrätään irtisanomisen jälkeisistä työsuhteista viisi vuotta. Arkistoinnin tulee säilyttää eheys (hash, sinetöinti) ja pääsy. Ihanteellinen: PDF/A-muoto (ISO 19005), kaksoistallennus (ensisijainen + ulkopuolinen varmuuskopiointi), pätevä elektroninen tallelokero (CFE) maksimaalisen todisteen saamiseksi. Certyneo arkistoi oletusarvoisesti 10 vuotta ja tarjoaa vientiä CFE-kumppaneille.

Kohta 6: tarkista tietojen lokalisointi

Missä allekirjoitustietosi sijaitsevat? Jos ranskalainen pk-yritys käsittelee arkaluonteisia sopimuksia, valitse ranskalainen tai EU-hosting. Pyydä palveluntarjoajaltasi luettelo alihankkijoista ja niiden sijainnista (GDPR artikla 28). Vältä US Cloud Actin alaisia ​​ratkaisuja strategisten sopimusten osalta. Certyneo isännöi Ranskassa ilman Cloud Act -riippuvuutta. Katso artikkelimme /blog/cloud-act-signature-electronique.

Kohta 7: sanamuoto GDPR:n kanssa

Allekirjoitus ja GDPR liittyvät läheisesti: jokainen kirjekuori sisältää henkilötietoja (nimi, sähköpostiosoite, IP, puhelin). Varmista, että käsittelyrekisterisi (GDPR art. 30) sisältää sähköisen allekirjoituksen, että säilytysajat ovat yhdenmukaiset (10 vuotta) ja että yksilöiden oikeudet voidaan toteuttaa (käyttö, oikaisu, siirrettävyys). Jos pyydät paljon allekirjoituksia, suositellaan DPO:ta. Katso artikkelimme /blog/signature-electronique-rgpd.

Kohta 8: tunnista allekirjoittajat ylävirtaan

Kiinteän AES:n kohdalla tunnistaminen ei ala allekirjoittamalla, vaan se alkaa tietojen keräämisellä. Tarkista sähköpostit (ei aliaksia, ei postituslistaa), puhelinnumerot (ei jaettua linjaa) ja pidä kirjaa tunnistuslähteestä (ID raskaille sopimuksille, olemassa olevan asiakkaan KYC käynnissä oleville sopimuksille). Tämä due diligence tekee todisteista vankkoja riitatapauksissa.

Kohta 9: valmenna joukkueet

Myynti-, henkilöstö- ja lakitiimien on ymmärrettävä säännöt: älä koskaan pakota allekirjoittajaa käyttämään kolmannen osapuolen laitetta, älä koskaan palauta muokattua allekirjoitettua PDF-tiedostoa, älä koskaan liitä skannattua allekirjoituskuvaa oikean allekirjoituksen tilalle. Yksi tunti harjoittelua joukkuetta kohden riittää juurruttamaan hyvät refleksit. Certyneo tarjoaa täydellisen oppaan sisäiseen jakamiseen (/resurssit).

Kohta 10: tarkista palveluntarjoajien sopimukset

Allekirjoituspalvelun tarjoajan CGU:n/CGV:n on: aloitettava eIDAS-yhteensopivuus, määriteltävä arkistointijaksot, sisällytettävä GDPR-alihankintasopimus (art. 28), dokumentoitava alihankkijat, toimitettava palautussuunnitelma. Pyydä myös SOC 2 Type II tai vastaava, jos käsittelet suuria määriä. Certyneon osalta nämä asiakirjat ovat saatavilla /legal ja /security.

Kohta 11: valmistele eIDAS 2.0 ja EUDI Wallet

eIDAS 2.0 -asetus (EU 2024/1183) tulee voimaan asteittain ja edellyttää, että jäsenvaltiot ottavat käyttöön EUDI-lompakon ennen vuoden 2026 loppua. Tämä digitaalisen identiteetin lompakko ei välttämättä pysty käyttämään etärekisteröintiä. Valmistele pk-yritys: tarkista, että palveluntarjoajallasi on EUDI Wallet -tiekartta, noudata ANSSI:n ja Euroopan komission viestejä. Katso /blog/eidas-2-nouveau-reglement-2026.

Kohta 12: tarkastus vuosittain

Vaatimustenmukaisuus ei ole saavutettu asema: se on jatkuva prosessi. Suunnittele vuotuinen tarkastus (sisäinen tai ulkoinen) tarkistaaksesi: sääntelyn muutokset, palveluntarjoajien kehitys, sopimustyyppien ajantasainen kartoitus, tehokas säilyttäminen, uusien työntekijöiden koulutus. Kevyt auditointi vie pk-yritykseltä puoli päivää ja välttää monet yllätykset. Aloita luomalla ilmainen Certyneo-tili osoitteessa certyneo.com/signup testataksesi vaatimustenmukaisuutta todellisessa maailmassa, ja tutustu sitten eIDAS-oppaaseemme syvemmälle (/guide/eidas).