eIDAS 2 -sertifiointi allekirjoituspalveluntarjoajalle 2026

Miksi eIDAS 2 -sertifiointi muuttaa peliä palveluntarjoajille

Kun asetus (EU) 2024/1183 (11. huhtikuuta 2024) — jota kutsutaan yleisesti eIDAS 2:ksi — tuli voimaan, luottamuspalvelujen tarjoajat (PSC), jotka toimivat Euroopan unionissa, kohtasivat syvällisesti muutetun säädöskehyksen. Alkuperäisen eIDAS-säännöksen (2014) uudistaminen ei rajoitu vain tunnistettujen palvelujen laajentamiseen: se kiristää merkittävästi akkreditointivaatimuksia, tuo uusia takuutasoja ja vahvistaa kansallisten valvontaviranomaisten seurantavaatimuksia. Kaikille toimijoille, jotka haluavat tarjota päätason sähköisen allekirjoituksen (QES) tai kehittyneitä (AdES) palveluita Euroopan markkinoilla, ymmärtäminen siitä, kuinka saada eIDAS 2 -sertifikaatti allekirjoituspalveluntarjoajalle, ei ole enää vaihtoehto — se on strateginen velvoittavuus.

Tämä artikkeli käsittelee kattavasti sertifiointiprosessia: sovellettavat säännökset, noudatettavat tekniset standardit, noudattamisen arviointiorganisaatioiden (CAB) rooli, realistiset aikataulut ja operatiiviset varoituspisteet.

---

Uusi eIDAS 2 -säädöskehys: mitä on muuttunut

Asetuksesta 910/2014 asetukseen 2024/1183: päämuutokset

Alkuperäinen eIDAS-asetus (n° 910/2014) oli luonut pohjaa Euroopan yhtenäiselle luotettavan digitaalisen palvelun markkinalle. Se määritteli kolme allekirjoitustasoa — yksinkertainen, kehittynyt ja päätaso — ja vaati hyväksyttyjä palveluntarjoajia ilmoittautumaan kansallisille luottamuspalveluluetteloille (TSL, Trust Service Lists). eIDAS 2 säilyttää tämän rakenteen mutta rikastaa sitä useilla rakenteellisilla punkteilla:

• Hyväksyttyjen palvelujen laajentaminen: sähköinen hyväksytty arkistointi, sähköiset attribuuttitodistukset (AEA), hyväksyttyjen allekirjoituksenluontilaitteiden (QSCD) etäkäyttö. Nämä uudet palvelut ovat nyt samaan akkreditointimenettelyyn kuin hyväksytty allekirjoitus.
• Euroopan digitaalinen henkilöllisyystalkkari (EUDIW): palveluntarjoajat, jotka haluavat vuorovaikutusta tulevan henkilöllisystalkarin kanssa, on osoitettava vaatimustenmukaisuus teknisinä spesifikaatioihin, jotka on julkaissut komissio (ARF — Architecture and Reference Framework, v1.4, 2024).
• Valvonnan vahvistaminen: kansallisilla valvontaviranomaisilla (Ranska, ANSSI) on vahvistettuja tutkinta- ja määräysvaltaa. Hyväksyttyihin PSC:ihin voi kohdistua ilmoittamattomia tarkastuksia.
• Ilmoitusaikojen lyhentäminen: kaikki merkittävät turvallisuuspoikkeamat on ilmoitettava toimivaltaiselle viranomaiselle 24 tunnin kuluessa (verrattuna 72 tuntiin edellisessä versiossa joihin tapauksiin).

Säännöksen kattavaan yleiskatsaukseen Certneon eIDAS 2.0 -opas tarjoaa pedagogisen yhteenvedon kaikista näistä muutoksista.

Takuutasot ja niiden vaikutus sertifiointiin

Ero kehittyneen ja päätason sähköisen allekirjoituksen välillä pysyy järjestelmän keskipisteenä. Vain QES hyödyntää oikeudellista oletusta eheyden ja vastattavuuden koskien käsin kirjoitettuun allekirjoitukseen (art. 25 eIDAS 2 -säännös). Tämä oletus on suoraan riippuvainen palveluntarjoajan sertifioinnista.

| Taso | Oikeudellinen arvo | Palveluntarjoajan vaatimus | |---|---|---| | Yksinkertainen (SES) | Rajoitettu | Ei mitään | | Kehittynyt (AdES) | Merkittävä | Hyvät käytännöt + ETSI-standardit | | Päätaso (QES) | Suurin (oikeudellinen oletus) | eIDAS 2 -sertifiointi pakollinen |

---

eIDAS 2 -sertifiointiprosessi vaihe vaiheelta

Vaihe 1 — Organisatoriset ja tekniset edeltävät vaatimukset

Ennen kuin aloittaa muodollisesti sertifiointiprosessin, palveluntarjoajan on arvioitava kypsyystasonsa kolmella akselilla:

1. ETSI-standardien noudattaminen EN 319 -sarjan standardit muodostavat välttämättömän teknisen perustan. Pääasialliset ovat:

• ETSI EN 319 401: yleiset vaatimukset luottamuspalvelujen tarjoajille
• ETSI EN 319 411-1 ja 411-2: käytännöt ja vaatimukset sertifiointiviranomaisten sertifikaattien myöntämiselle (PTC-QC-profiilit hyväksytyille sertifioinneille)
• ETSI EN 319 421: aikaleiman palvelun toimintakäytäntö ja vaatimukset
• ETSI EN 319 132: allekirjoitusmuodot XAdES (XML) ja niihin liittyvät CAdES (CMS) ja PAdES (PDF)

Näiden standardien noudattaminen ei ole valinnainen hyväksytyille palveluntarjoajille: se on nimenomaisesti vaadittu Euroopan komission täytäntöönpanoaseteissa.

2. Tietoturvajärjestelmien turvallisuus QSCD (hyväksytyt allekirjoituksenluontilaittet) on oltava sertifioitu Common Criteria (CC) EAL4+ tai vastaavasti. Etäyhteyden allekirjoitusratkaisuille — hallitseva SaaS-malli — vaatimukset koskevat myös HSM-moduuleja (Hardware Security Module) ja kryptografisten avainten hallintamenettelyjä (FIPS 140-2 taso 3 vähintään).

3. Turvallisuusperiaate (PSSI) ja riskinhallinnan hallinta Sertifiointitiedosto vaatii formalisoitua PSSI:tä, joka on sovitettu ISO/IEC 27001 -standardiin (jonka sertifioiminen on erittäin suositeltu ja joskus CAB:ien vaatima) ja joka sisältää NIS2-vaatimukset kokonaisuuksille, jotka on luokiteltu "tärkeiksi" tai "olennaisiksi".

Vaihe 2 — Noudattamisen arviointiorganisaation (CAB) valinta ja sitoutuminen

Ranska ei ole monille CAB:ille, joita COFRAC (Comité Français d'Accréditation) on akkreditoinut arvioimaan luottamuspalvelujen tarjoajia. Esimerkiksi LSTI (Laboratoire de Sécurité des Technologies de l'Information) ja Bureau Veritas Certification ovat tunnustettujen toimijoiden joukossa. EU:n laajuisesti jokainen jäsenvaltio julkaisee luettelonsa ilmoitetuista CAB:eista.

CAB:n tehtävä on suorittaa noudattavuustarkastus kahdessa vaiheessa:

1. Asiakirjojen tarkastelu (Vaihe 1): käytäntöjen, menettelyjen, Sertifiointiperiaatteiden ilmoituksen (DPC / CPS) ja teknisten todisteiden tutkiminen.
2. Paikan päällä oleva tarkastus (Vaihe 2): operatiivisten valvontatoimien tarkastaminen, tunkeutumistestit, haastattelut ryhmien kanssa.

CAB-tarkastuksen kokonaiskesto vaihtelee yleensä 4–8 viikkoon riippuen ehdokkaan aikaisemmasta kypsyydestä.

Vaihe 3 — Kansallisen valvontaviranomaisen käsittely

Ranska ANSSI:n (Agence Nationale de la Sécurité des Systèmes d'Information) käsittelee hakemukset, jotka koskevat ilmoittautumista kansalliselle luottamuspalveluluettelolle (TSL FR). CAB-tarkastusraportin perusteella ANSSI tekee omansa analysoi ja voi vaatia lisätietoja tai korjaavia toimenpiteitä.

Säädösten mukainen käsittelyaika on 3 kuukautta täydellisen hakemuksen vastaanottamisesta (art. 17 eIDAS 2 -säännös). Käytännössä todelliset ajat ovat usein pidemmät, jos alkuperäinen hakemus on epätäydellinen.

Kun se on merkitty kansalliselle TSL:lle, palveluntarjoaja on automaattisesti rekisteröity EUTL:ssa (EU Trusted List), jonka on julkaissut Euroopan komissio, mikä antaa sille välittömän kansainvälisen tunnustuksen kaikissa 27 jäsenvaltiossa.

Vaihe 4 — Kelpoisuuden säilyttäminen ja uusiminen

eIDAS 2 -sertifiointi ei ole määräaikainen. Hyväksytyt palveluntarjoajat ovat vastuussa:

• Vuosittainen valvontatarkastus CAB:n suorittama
• Täydellinen uusimistarkastus 24 kuukauden välein (lyhentynyt sykli verrattuna aiempaan käytäntöön)
• Ilmoittamattomat tarkastukset mahdolliset ANSSI:n alotteesta

Mikä tahansa merkittävä infrastruktuurin muutos (HSM:n vaihto, PKI-kehitys, uusi hyväksytty palvelu) käynnistää ennakkoilmoitusmenettelyn ja voi vaatia osittaisen tarkastuksen.

---

Kustannukset, aikataulut ja riskitekijät: mitä DSI:iden on varauduttava

Budjetti ja henkilöresurssit

Ensimmäisen eIDAS 2 -sertifioinnin kustannukset ovat merkittävät. Menoerittelyt sisältävät:

• CAB-tarkastus: 40 000–120 000 € prosessin monimutkaisuudesta riippuen
• Tekninen vaatimustenmukaisuus (HSM, PKI, QSCD-sertifikaatit CC): 80 000 € useiden satojen tuhansien eurojen omistusinfrastruktuuria
• ISO 27001 -sertifiointi (suositeltu ennakkona): 15 000–50 000 € koon perusteella
• Oikeudellisen neuvontapalvelun ja DPC:n kirjoittamisen kustannukset: 10 000–30 000 €
• Sisäiset kustannukset: omistautuneen tiimin mobilisaatio (RSSI, DPO, vaatimustenmukaisuuspäällikkö) 12–18 kuukauden ajan

Laskemalla yhteen kaikki erät, täydellinen sertifiointi edustaa noin 200 000–500 000 € koko sijoitusta keskikokoiselle palveluntarjoajalle, ilman toistuvia ylläpitokustannuksia.

Operatiiviset riskitekijät

Sertifiointimenettelyjen epäonnistumisen tai viivästymisen yleisimmät syyt ovat:

1. Liian vähän yksityiskohtainen DPC: Sertifiointiperiaatteiden ilmoitus on dokumentoitava jokainen valvonta joskus aliarvioitavalla tarkkuudella.
2. Avainten elinkaarenhallinnan puutteet: peruminen, arkistointi, yksityisten avainten tuhoaminen.
3. Riittämätön poikkeamahallinnon hallinta: SIEM:n puuttuminen, testattuja kriisinhallintamenettelyjä, runbook-kirjoja.
4. NIS2:n aliarvioiminen: lokakuusta 2024 alkaen hyväksytyt PSC:t luokitellaan automaattisesti "tärkeiksi" kokonaisuuksiksi NIS2-direktiivin merkityksessä, joilla on lisäilmoitus- ja riskienhallintavelvoitteita.

Yrityksille, jotka mieluummin delegoivat nämä rajoitukset jo sertifioidulle palveluntarjoajalle kuin rakentavat oman infrastruktuurin, Certyneon sähköisen allekirjoituksen ratkaisuiden vertailu Certneon sivustolla auttaa näkemään tämän build-vs-buy-valinnan objektiivisesti.

---

eIDAS 2 ja sähköinen allekirjoitus yrityksessä: siirtymisen ongelmat

Käyttäjäyrityksiä varten — toisin kuin palveluntarjoajille — niiden SaaS-allekirjoituspalveluntarjoajan eIDAS 2 -sertifiointi on nyt välttämätön valintaperuste. Tarjouspyynnöissä kansallisen TSL:n läsnäoloa vaativanklausuulin sisällyttäminen on tullut vakiokäytännöksi säännellyillä aloilla (rahoitus, terveydenhuolto, kiinteistöalat).

Sähköinen allekirjoitus yrityksessä edellyttää todellakin selkeää erottamista niistä käyttötapauksista, jotka vaativat QES:ää — korkean panoksen yksityisoikeudelliset asiakirjat, valtuutukset, sähköiset notaariosiakirjat — niistä tapauksista, joissa AdES riittää. Tämä käyttötarkoitusten kartoitus määrää suoraan palveluntarjoajalta sopimusperusteisesti vaadittavan palvelutason.

Organisaatiot, jotka migravoivat olemassa olevalta ratkaisulta sertifioiduille eIDAS 2:n palveluntarjoajalle, on myös varauduttava todistusarkistojen siirrettävyyteen. Migration DocuSign:sta tai YouSign:sta Certneolle käsittelee yksityiskohtaisesti hyviä käytäntöjä dokumenttien todistusarvon säilyttämiseksi siirtymän aikana, jotka on jo allekirjoitettu.

eIDAS 2 -sertifiointiin sovellettava laillinen kehys

Perusasiakirjat

Luottamuspalvelujen tarjoajien sertifiointi perustuu tiheään säädöskaskadin, jota on hallittava kokonaisuudessaan:

Asetus (EU) 2024/1183 (11. huhtikuuta 2024) (eIDAS 2): viiteasiakirja, joka kumoaa ja korvaa vastaavat eIDAS 1:n säännökset (asetus 910/2014). Se määrittelee hyväksytyn palveluntarjoajan statuksen saamisen ja säilyttämisen ehdot, kansallisen valvontavelvoitteita ja uusiin palveluihin (EUDIW, AEA) liittyviä vaatimuksia.

Asetus (EU) n:o 910/2014 (eIDAS 1): osittain edelleen sovellettava muista muuttumattomiksi jääneille säännöksille; tämän asetuksen nojalla hyväksytyt täytäntöönpano- ja delegoidut asiakirjat jäävät voimaan, kunnes ne muutetaan muodollisesti.

Ranskan siviilikaari, artiklarit 1366 ja 1367: artikla 1366 vahvistaa sähköisen allekirjoituksen samanarvoisen käsin kirjoitettuun allekirjoitukseen edellyttäen luotettavuutta; artikla 1367 täsmentää, että luotettavuus oletetaan enemmän todisteen vastaisesti, kun päätason allekirjoitusta käytetään. Nämä kansalliset säännökset liittyvät suoraan eIDAS 2:n artiklan 25 oikeudelliseen oletukseen.

Direktiivi (EU) 2022/2555 (NIS2): siirrytty Ranskan oikeudeksi lailla 15. lokakuuta 2024, se luokittelee automaattisesti hyväksytyt luottamuspalvelutarjoajat "tärkeiden" entiteettien jouksi. Velvoitteet: ilmoitus ANSSI:lle 72 tunnin kuluessa kaikista merkittävistä poikkeamista, muodollisen kyberriskinhallinnan käyttöönotto, säännöllinen turvallisuustarkastus.

Asetus (EU) 2016/679 (GDPR): allekirjoituspalvelujen tarjoajat käsittelevät herkkiä henkilötietoja (allekirjoittajien identiteetti, tarkastuspäiväkirjat). Minimointi-, säilytyksen rajoitus- ja eheyysperiaatteiden noudattaminen edellyttää erityistä vaikutusanalyysia (AIPD). Käsittelyn oikeudellinen perusta on dokumentoitava jokaiselle palvelulle.

Tekniset standardit, joilla on säädösten arvo

Euroopan komission täytäntöönpanopäätökset (erityisesti täytäntöönpanopäätös (EU) 2015/1506 ja sen muutokset) nimeävät ETSI-standardit vaatimuksenmukaisuuden oletuksena:

• ETSI EN 319 401: yleiset TSP-vaatimukset
• ETSI EN 319 411-1 ja 411-2: sertifiointikäytännöt
• ETSI EN 319 421: hyväksytty aikaleima
• ETSI EN 319 132 / 122 / 102: AdES-muodot (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: etäyhteyden allekirjoituspalvelut

Oikeudellisia riskejä vaatimuksenmukaisuuden puuttuessa

Hyväksytyn palveluntarjoajan statuksen petollinen tai huolimaton käyttö altistaa ANSSI:n hallinnollisille seuraamuksille (keskeytys, luottamuspalveluluettelon poistaminen) ja rikossyytteelle (Code pénal artikla 226-17 henkilösuojauksessa). Siviilioikeudellisesti sellaisten allekirjoitusten oikeudellisen arvon kyseenalaistaminen, jotka on jaettu vaatimuksenvastaisuusaikana, voi palauttaa palveluntarjoajan sopimusvastuun asiakkaiden edessä.

Käyttötapausscenaariot: eIDAS 2 -sertifiointi käytännössä

Skenaario 1 — Keskikokoiselle SaaS-editorille, joka tavoittelee QES-kelpoutta

Yritys, joka on erikoistunut asiakirjasähköistämiseen, työllistää noin sata työntekijää ja hallitsee useita miljoonia allekirjoitustransaktioita vuosittain pankkien ja vakuutusyhtiöiden asiakkaiden puolesta, päättää hakea eIDAS 2 -kelpoutta sähköisen allekirjoituksen palveluunsa. Toistaiseksi yritys tarjosi kehittyneittä allekirjoitusta sertifikaattien perusteella (AdES), mikä riitti suurimmalle osalle sen asiakkaiden sopimuksista, mutta ei ollut riittävä asiakirjoille, joilla vaaditaan maksimaalinen todistusarvo (SEPA-mandaatit, notaarin todistelukäytännöt).

Kolmen kuukauden sisäisen tarkastuksen jälkeen paljastaen noin viidentoista merkittävää eroa ETSI EN 319 411-2 -vaatimuksiin nähden yritys käynnistää 14 kuukauden vaatimustenmukaisuusprogrammin. Tärkeimmät hankkeet koskevat nykyisten HSM:ien korvaamista FIPS 140-2 taso 3 -sertifioiduilla moduuleilla, 180-sivuisen DPC:n kirjoittamista ja ISO 27001 -sertifioinnin saamista ennen CAB-tarkastusta. Kokonaisinvestointi saavuttaa 340 000 €. Prosessin lopuksi kirjoitus ranska TSL:lle antaa yritykselle mahdollisuuden päästä tarjouksiin, joista se oli systemaattisesti suljettu pois, edustaen kaupallista potentiaalia, joka arvioidaan 20 prosentiksi lisätuloja.

Skenaario 2 — Sairaalaklusteriin, joka integroi päätason allekirjoituksen lääketieteellis-oikeudellisiin asiakirjoihin

Sairaalaklusterilla, jossa on noin 1 200 sänkyä, on tarkoitus demateriaalinsa tietoistettuun suostumukseen, lääketieteellisen vallan delegointiin ja kliinisen tutkimuksen sopimuksiin. Nämä asiakirjat kuuluvat luokkaan asiakirjoja, joiden osalta QES vaaditaan tai sitä erittäin suositellaan HAS-viiteasiakirjoissa ja terveystietojen oikeudellisissa puitteissa (art. L. 1110-4 CSP).

Sen sijaan, että sertifioisi sisäisen infrastruktuurin — vaihtoehto, jonka katsotaan olevan liian kallis ja liiketoiminnon ulkopuolella — klusteroi valitsee jo TSL:lle merkityn kolmannen osapuolen palveluntarjoajan integroinnin. IT osasto suorittaa noudattamisen tarkastuksen toimittajalle ETSI EN 319 401 -tarkastusluettelon perusteella ja varmistaa tosiasiallisen läsnäolon EUTL:ssa ennen mitä tahansa sopimusta. Neljän kuukauden toteuttaminen vähentää 65 % kliinisen tutkimuksen tiedostojen allekirjoittamisaikataulua ja eliminoi niihin liittyvät oikeudelliset riit riskit, jotka liittyvät edellisen yksinkertaisen allekirjoituksen käyttöön arkaluonteisissa asiakirjoissa.

Skenaario 3 — Liikeasioiden lakitoimisto suojaavat yksityistestamenttikäytäntöä

Liikeasioihin erikoistunut lakitoimisto, jossa on noin 30 kumppania ja joka hallitsee vuosittain lähes 400 fuusio-hankintaa ja liiketoimintojen myyntiä, pyrkii luotettavammin allekirjoittamaan monimutkaisia yksityisesti testamentattuja asiakirjoja. Yksittäisten liiketoimien arvo ylittää usein miljoonan euron, ja mistä tahansa muodon puutteesta voi aiheutua lakitoimiston ammatillinen vastuu.

Analyysin jälkeen IT-tiimi ja managing partner sopivat sopimuksellisesta minimivalatimuksesta QES:sta, jonka eIDAS 2 -sertifioidulle palveluntarjoajalle lähettää jokaista asiakirjaa varten, jonka arvo ylittää 100 000 €. Palveluntarjoajan valintakriteeri sisältää välttämättä TSL-merkinnän tarkastamisen ja viimeaikaisen ETSI-vaatimustenmukaisuussertifikaatin saatavuuden (alle 12 kuukauden vanha). Tämä puitteet antaa lakitoimistolle mahdollisuuden vähentää yli 80 % allekirjoituksien paikkansapitävyydestä johtuvissa myöhemmissä riitoissa vastaan expertise-pyynnöt, joiden mukaan samankaltaisiin organisaatioihin viitataan samalla sektorilla.

Johtopäätös

Sähköisen allekirjoituspalvelun tarjoajana eIDAS 2 -sertifioinnin saaminen on vaativa, kallis ja pitkä prosessi — mutta välttämätön kaikille toimijoille, jotka haluavat tarjota maksimaalisia oikeudellisia takeita asiakkailleen Euroopan markkinoilla. ETSI-standardien vaatimuksenmukaisuudesta, CAB-tarkastuksesta, ANSSI:n käsittelystä ja kelpoisuuden säilyttämisestä pitkällä aikavälillä prosessi mobiliaa merkittäviä resursseja 12–24 kuukauden aikana.

Käyttäjäyrityksille hyviä uutisia on, ettei ole tarpeen rakentaa tätä infrastruktuuria sisäisesti: valitsemalla jo eIDAS 2 -sertifioidun SaaS-palveluntarjoajan ja merkityn kansalliselle luottamuspalveluluettelolle antaa välittömästi hyödyntää QES:iin liittyvää oikeudellista oletusta ilman, että kantaa sertifioinniksi liittyviä kustannuksia.

Certyneo on sertifioidutti luotettava palveluntarjoaja, joka on suunniteltu B2B-yrityksille, jotka vaativat oikeudellista tarkkuutta ja käyttöhelppouden. Tutustui hinnoitteluumme ja aloita ilmaisen kokeiluversion tänään.