Pätevät eIDAS-palveluntarjoajat: virallinen luettelo 2026

Miksi eIDAS:n "pätevä" asema on ratkaisevan tärkeä yrityksellesi?

Sähköisen allekirjoituksen asetuksen eIDAS (N:o 910/2014) voimaantulosta lähtien Euroopan sähköisen allekirjoituksen markkina on rakentunut uudelleen kolmitasoisen hierarkian ympärille: yksinkertainen sähköinen allekirjoitus (SES), edistynyt sähköinen allekirjoitus (AES) ja pätevä sähköinen allekirjoitus (QES). Viimeksi mainittu on ainoa, joka nauttii laillisesta oletuksesta vastaavuudesta käsinkirjoitetun allekirjoituksen kanssa koko Euroopan unionin alueella.

Jotta yritys voisi tarjota pätevää allekirjoitusta, se on välttämättä auditoitava ja merkittävä sen jäsenvaltion luottamusluetteloon (Trust List). Ranskassa tämän virallisen rekisterin ylläpitäjä on Agence nationale de la sécurité des systèmes d'information (ANSSI), joka julkaisee sen sitten Euroopan komission hallinnoimassa keskitetyssä eurooppalaisessa luettelossa.

Tämän arkkitehtuurin ymmärtäminen on olennaista, ennen kuin allekirjoitat mitään arkaluontoista liikesopimusta. Lisätietoja sääntelyperusteiden osalta saat tutustumalla täydelliseen oppaaseemme eIDAS 2.0 -asetuksesta, joka käsittelee uudistetun eIDAS 2.0 -asetuksen (EU-asetus 2024/1183) kaikki velvoitteet ja muutokset.

---

Kuinka pätevät luottamuspalvelun tarjoajat sertifioidaan?

Polku pätevän luottamuspalvelun tarjoajan (PSCQ) statukseen on tiukka. Se edellyttää auditointia akkreditoidun vaatimustenmukaisuuden arviointiorgaanin (CAB, Conformity Assessment Body) suorittamaa ETSI EN 319 401 (yleiset vaatimukset) ja ETSI EN 319 411-2 (pätevät sertifikaatit) standardien mukaisesti.

ANSSI:n pätevyysvaiheet

1. Pätevyysanomusten jättäminen: palveluntarjoaja toimittaa tekniset, turvallisuus- ja organisaatioasiakirjat ANSSI:lle.
2. Auditointi akkreditoidulla CAB:lla: kolmas osapuoli — kuten Bureau Veritas, LSTI tai Apave Certification — varmistaa vaatimustenmukaisuuden paikan päällä ja asiakirjojen perusteella.
3. Pätevyyspäätös: ANSSI pätevöi palveluntarjoajan ja merkitsee sen Ranskan luottamusluetteloon (TL-FR).
4. Määräaikainen uusiminen: pätevyyden uudelleenarviointi tapahtuu yleensä kahden vuoden välein vaatimusten täyttämisen varmistamiseksi.

Mitä auditointi käytännössä tarkistaa?

Auditoija tutkii muun muassa:

• Fyysisen turvallisuuden kryptografisia avaimia säilyttävien palvelinkeskuksissa (sertifioidut HSM-moduulit CC EAL 4+ tai FIPS 140-2 Level 3 vähintään) ;
• Sertifiointikäytäntöjen (CP) ja sertifiointikäytäntöjen ilmoitukset (CPS) palveluntarjoajan julkaisemia ;
• Allekirjoittajien henkilöllisyyden varmistamisen menettelyt (kasvotusten tai etätekniikoiden mukaisesti EN 419 241-1 -standardiin) ;
• Peruuttamisen hallintaa ja OCSP/CRL-palveluiden saatavuutta.

Nämä kriteerit selittävät, miksi Ranskassa vain muutama toimija saavuttaa ja ylläpitää tätä sertifiointitasoa.

---

Ranskassa rekisteröidyt pätevät eIDAS-palveluntarjoajat vuonna 2026

Virallinen pätevien palveluntarjoajien luettelo on saatavilla milloin tahansa Euroopan komission virallisella portaalilla (eidas.ec.europa.eu/efts) suodattamalla "Ranska" ja palvelun "QCertESig" (Qualified Certificate for Electronic Signature). Seuraavat toimijat olivat rekisterissä tämän artikkelin kirjoitushetkellä (kesäkuu 2026):

Ranskalaiset toimijat luottamusluettelossa

| Palveluntarjoaja | Pätevän palvelun tyyppi | Erityispiirre | |---|---|---| | Certigna (Dhimyotis) | Pätevät sertifikaatit, pätevä aikaleima | La Poste -ryhmä, eIDAS-sertifioitu vuodesta 2016 | | Certinomis | Pätevät sertifikaatit | La Poste -tytäryhtiö, julkista sektoria varten | | ChamberSign France | Pätevät sertifikaatit | CCI-verkosto, vahva PK-yritysankkuri | | Keynectis / DocuSign France | Pätevät sertifikaatit | Ostettu DocuSignin kautta, ANSSI-tunnuksen säilytys | | Universign (Tessi) | Pätevät sertifikaatit, aikaleima | Markkinoiden edelläkävijä, integroitu Tessi-ryhmään | | Entrust (ex-Datacard) | Pätevät sertifikaatit | Kansainvälinen toimija, luottamusluettelo useissa jäsenvaltioissa | | Oodrive Sign | Pätevät sertifikaatit | Ranskan itsenäinen toimittaja, SecNumCloud-sertifioitu |

> Varoitus: tämä luettelo on annettu informatiivisesti ja ohjeellisesti. Vain Euroopan komission virallinen luottamusluettelo on oikeellinen. Tarkista aina nykyinen asema ETSI-portaalilla ennen kaupallistasiaan.

Ulkomaiset palveluntarjoajat, jotka ovat tunnustettuja Ranskassa eurooppalaisen luottamusluettelon kautta

eIDAS:n 25 artiklan mukaisen keskinäisen tunnustamisen periaatteen nojalla eIDAS-määräyksen mukaisen pätevän luottamuspalvelun tarjoajan (PSCQ) toisessa jäsenvaltiossa myöntämä pätevä allekirjoitus tuottaa samat oikeudelliset vaikutukset Ranskassa. Useasti käytetyt ulkomaiset toimijat:

• Namirial (Italia): vahva etäpätevässä allekirjoituksessa (QES remote signing) ;
• SwissSign (Sveitsi): huomioi, että Sveitsi ei ole EU:n jäsen; tunnustaminen on osittaista ;
• Qualified.one / Asseco Data Systems (Puola): eurooppalainen julkinen toimija, yleinen rajat ylittävissä markkinoissa.

Näiden ratkaisujen vertailuun liiketoiminta-analyysin perusteella kannattaa tutustua sähköisen allekirjoitusratkaisujen vertailuumme, joka analysoi hinta-, vaatimustenmukaisuus- ja API-integrointikriteereita.

---

Kuinka valita oikea pätevä eIDAS-palveluntarjoaja organisaatiolle?

Merkintä luottamusluettelossa on välttämätön, mutta riittämätön ehto. PSCQ:n valinta tulee perustua useisiin täydentäviin kriteereihin.

Tekniset ja integrointikriteerit

• REST API tai SDK saatavilla: välttämätöntä liiketoimintaprosessien (ERP, SIRH, CRM) allekirjoituksen automatisoinnille ;
• Tuetut allekirjoitusmuodot: PAdES PDF:ille, XAdES XML:lle, CAdES binaaritiedostoille — kaikki normalisoitu ETSI EN 319 100:lla ;
• Palvelun saatavuus: SLA suurempi kuin 99,9 %, sopimuksessa takaa, huoltokatkot työaikojen ulkopuolella ;
• Tietojen sijainti: ensisijaisesti Ranska tai EU, mieluiten SecNumCloud-sertifioitu arkaluontoisille tiedoille.

Oikeudelliset ja vaatimustenmukaisuuskriteerit

• Varmista, että palveluntarjoaja toimittaa ajantasaisen pätevyysraportin (alle 24 kuukautta vanha) ;
• Vaadi julkaisematon sertifiointikäytäntö (CP), joka on julkisesti saatavilla ja auditoitu ;
• Varmista, että yleiset ehdot nimenomaisesti määrittelevät eIDAS-asetuksen I liitteessä tarkoitettujen pätevien sertifikaattien toimittamisen.

Käytännön ja tuen kriteerit

• Allekirjoittajien rekisteröintimenettelyt: kasvotusten osoitteessa, eIDAS-yhteensopiva videoidentifiointi tai etätunnistus elektronisella henkilöllisyystodistuksella ;
• Tuki ranskaksi sopimukseen kirjatuilla vastausajoilla ;
• Koulutus ja dokumentaatio IT- ja oikeusasioiden tiimeille.

Jos organisaatiosi hallinnoi merkittäviä henkilöstöasiakirja-virtoja, tutustumalla sähköisen allekirjoituksen HR-tiimeille -osioon saat tietoa erityisistä käyttötapauksista (työsopimukset, liitteet, perehdytys) ja suositelluista allekirjoitustasosta asiakirjatyypeittäin.

---

eIDAS 2.0: Mitkä muutokset päteville palveluntarjoajille vuonna 2026?

Asetus eIDAS 2.0 (EU-asetus 2024/1183, voimassa asteittain toukokuusta 2024) ottaa käyttöön useita rakenteellisia muutoksia, jotka vaikuttavat suoraan PSCQ:ihin ja niiden asiakkaisiin.

Eurooppalainen digitaalinen identiteettiarkku (EUDI Wallet)

Muutetun asetuksen 6a artikla velvoittaa jäsenvaltiota tarjoamaan digitaalisen identiteettiarkun (EUDI Wallet) koko EU:ssa, viimeistään syyskuussa 2026. Päteville palveluntarjoajille tämä tarkoittaa:

• Hyväksi allekirjoittajien rekisteröinnin henkilöllisyystodistukseksi lompakan identiteettiominaisuuksien vastaanottamisen velvollisuutta ;
• Uuden pätevän palvelun syntymistä: pätevien identiteettiominaisuuksien todistuspalveluiden (Qualified Electronic Attestation of Attributes, QEAA) toimittaminen.

Uudet pätevät palvelut ja laajempi soveltamisala

eIDAS 2.0 laajentaa pätevien luottamuspalveluiden luetteloa sisältämään:

• Pätevät sähköisen arkistoinnin palvelut (QPDS, 45f artikla) ;
• Etäisän allekirjoituksen luontilaitteiden hallintopalvelut (QRCD).

Nämä kehityskulut edustavat sekä vaatimustenmukaisuuden saavuttamisen haasteita (tiukat määräajat nykyisille palveluntarjoajille) että eriyttämismahdollisuutta uusille tulokkaille, jotka pystyvät nopeasti integroimaan ENISA:n ja ETSI:n julkaisemat tekniset määritykset.

Yrityksille, jotka harkitsevat siirtymistä nykyisestä alustasta vaatimustenmukaisempaan ratkaisuun, oppaassa siirtymisestä DocuSignista tai YouSignista Certyneohon esitetään käytännölliset vaiheet ja sääntelyllisen varovaisuuden huomioimispisteet.

Päteville eIDAS-palveluntarjoajille sovellettava oikeuskehikko

eIDAS-asetus ja Euroopan oikeus

Oikeudellinen perusta on Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014 23. heinäkuuta 2014 sähköisestä tunnistamisesta ja palveluista luottamuksesta sähköisissä liiketoimissa sisämarkkinoilla (ns. "eIDAS-asetus"), sellaisena kuin sitä on muutettu asetuksella (EU) 2024/1183 (eIDAS 2.0). Tämä asetus on suoraan sovellettavissa kaikissa jäsenvaltioissa ilman kansallista täytäntöönpanoa.

Sen tärkeimmät säännökset päteville palveluntarjoajille:

• Artikla 17: kunkin jäsenvaltion on määrättävä valvontaelin (Ranskassa ANSSI) ;
• Artikla 20: valvonta-, auditointi- ja luottamusluetteloon merkitsemismenettely ;
• Artikla 25: QES:n ja käsinkirjoitetun allekirjoituksen välinen vastaavuuden oletus, jolla on oikeudellinen vaikutus koko EU:ssa ;
• I liite: vaatimukset päteville sähköisen allekirjoituksen sertifikaateille ;
• II liite: vaatimukset päteville sähköisen allekirjoituksen luontilaitteille (QSCD).

Ranskan kansallinen oikeus

Kotimaisen oikeuden osalta sähköinen allekirjoitus on säädetty seuraavasti:

• Kansalaiset lait, artikla 1366 ja 1367: artikla 1366 tunnustaa sähköisen asiakirjan todistusarvon edellyttäen, että kirjoittajan henkilöllisyys ja asiakirjan eheys varmistetaan. Artikla 1367 täsmentää, että luotettavaan henkilöllisyysvarmistukseen perustuva sähköinen allekirjoitus nauttii luotettavaksi olettamuksesta, kun se luodaan soveltamislain mukaisesti ;
• Asetus N:o 2017-1416 28. syyskuuta 2017: määritellään ehdot, joissa pätevä sähköinen allekirjoitus oletetaan luotettavaksi Ranskassa, ja viitataan nimenomaisesti eIDAS-asetukseen ;
• Laki N:o 2005-674 16. kesäkuuta 2005 jotakin sopimusmenettelyjä koskien elektronisesti suoritettavaksi.

Henkilötietojen suoja

Rekisteröinti- ja allekirjoitusprosessit sisältävät henkilötietojen käsittelyä (henkilöllisyystiedot, biometria videoidentifiointia varten). Pätevä palveluntarjoaja on Asetuksen (EU) 2016/679 (GDPR) alainen ja sen on erityisesti:

• Määrättävä tietosuojavaltuutettu, jos käsittely on laajamittaista ;
• Dokumentoitava käsittelyt CNIL-rekisteriin ;
• Säännellä EU:n ulkopuolelle siirtämisiä asianmukaisilla takeilla (mallisopimusehto, riittävyyspäätös).

Kyberturvallisuus ja joustavuus

Lokakuusta 2024 alkaen NIS2-direktiivi (2022/2555/EU) koskee pätevien luottamuspalvelun tarjoajia, jotka on luokiteltu oleellisiksi yhteisöiksi. Niiden on toteutettava riskienhallintotoimenpiteet, ilmoitettava merkittävistä tapahtumista ANSSI:lle 24 tunnin kuluessa ja joutua säännöllisiin tarkastuksiin. Noudattamatta jättäminen saattaa aiheuttaa sakkoja jopa 10 miljoonan euron tai 2 % maailmanlaajuisesta vuosittaisesta liikevaihdosta.

Viitemerkinnät

• ETSI EN 319 401: yleiset vaatimukset luottamuspalveluiden tarjoajille ;
• ETSI EN 319 411-2: pätevien sertifikaattien käytäntöprofiilit ;
• ETSI EN 319 132: XAdES-allekirjoitusmuodot ;
• ETSI EN 319 122: CAdES-allekirjoitusmuodot ;
• ETSI EN 319 162: PAdES-allekirjoitusmuodot (PDF).

Käyttötapaukset: Milloin pätevä eIDAS-allekirjoitus on välttämätöntä?

Skenaario 1 — Asianajotoimisto, joka hoitaa yksityisiä asiakirjoja suurella todistusarvolla

Noin kahdenkymmenen avustajan asianajotoimisto käsittelee kuukausittain kymmeniä osakkeiden luovutuksia, sopimuksia ja omaisuus- ja velka takuita. Nämä asiakirjat sisältävät usein satoja tuhansia euroja ja ovat alttiita oikeuskiisteille.

Ennen siirtymistä pätevään eIDAS-palveluntarjoajaan toimisto käytti edistynyttä allekirjoitusratkaisua (AES), mikä riitti useimpiin tavanomaisiin asiakirjoihin. Tapauksen jälkeen, jossa vastapuoli kiisti allekirjoitusta oikeudenkäynnissä, toimisto päätti ottaa QES:n käyttöön kaikissa merkittävissä asiakirjoissa. Tuloksena: 90 %:n väheneminen asiakirjan allekirjoituksen todisteiden esittämiseen kulutussa ajassa oikeudellisissa menettelyissä QES:n lakisääteisen olettaman takia. Yksittäinen allekirjoitus maksoi noin 2–5 € (volyymeista riippuen), mikä kattui täysin riitojen oikeuskulujen vähennyksellä.

Skenaario 2 — Keskisuuri teollisuusyritys, joka hallinnoi rajat ylittäviä toimittajasopimuksia

Teollisuuskalustoa toimittava keskisuuri yritys (ETI), jolla on toimittajia Ranskassa, Saksassa, Italiassa ja Puolassa, joutui aiemmin lähettämään sopimuksensa postitse tai järjestämään henkilökohtaisia allekirjoitus­tapaamisia, mikä aiheutti 10–21 arkipäivän viiveet sopimusta kohti.

Ottamalla käyttöön ratkaisun, joka on liitetty eurooppalaisella luottamusluettelolla olevan pätevän palveluntarjoajan kanssa, yritys lyhensi allekirjoituskaaren alle 48 tuntiin keskimäärin. Keskinäinen tunnustaminen jäsenvaltioiden välillä takaa oikeudellisen arvon ilman lisätodennuksia. 350 vuosittaisen toimittajasopimuksen kohtaisesti hallintokustannuksissa ja logistiikassa saavutettava säästö ylittää 40 000 € vuodessa, vastaavasti ACFE:n ja APQC:n julkaisemiin sektorianalyyseihin.

Skenaario 3 — Sairaalaklusterit, joka noudattaa terveydenhuoltoalan vaatimuksia

Noin 1 200 potilaspaikan sairaalaklusteriin on allekirjoitettava sähköisesti julkisia kilpailuja, kliinisiä tutkimussopimuksia ja sairaalahoitajien sopimuksia. Nämä asiakirjat ovat kansallisen hankintalain (Code de la commande publique) alaisia, joka vaatii sähköisen allekirjoituksen, joka vastaa RGS:ää (Référentiel Général de Sécurité) tasolla ** tai, hankintahallinnon sähköistymisen myötä, vastaavaa eIDAS-tasoa.

Käyttämällä Ranskan luottamusluettelolla olevaa pätevää palveluntarjoajaa klusterri takaa vaatimustenmukaisuuden kansallisen hankintalain R. 2132-7 artiklan kanssa samalla lyhentäen hankintojen allekirjoitusaikoja 15 päivästä alle 72 tuntiin. API-integraatio sairaalainfrastruktuurin hallintajärjestelmään (SIH) mahdollisti sopimusten lähetyksen ja seurannan automatisoinnin, vapauttaen noin 0,4 kokopäivätyöntekijää sopimushallintoihin liittyvistä hallinnollisista tehtävistä.

Johtopäätös

Pätevän eIDAS-palveluntarjoajan valinta ei ole pelkkä ohjelmistohankkinta: se on strateginen päätös, joka vaikuttaa asiakirjoidesi todistusarvoon, organisaatiosi sääntelynoudattamukseen ja kauppakumppaneidesi ja julkisten tahojen luottamukseen. Vuonna 2026, eIDAS 2.0:n asteittaisen voimaantulon ja uusien NIS2-velvollisuuksien myötä, vaatimustaso vain kasvaa.

Tärkeimmät asiat muistettavaksi: tarkista aina merkintä virallisella luottamusluettelolla, vaadi julkaisemattua sertifiointikäytäntöä ja sovita allekirjoitustaso (QES, AES, SES) kunkin asiakirjan oikeudelliseen merkitykseen.

Certyneo auttaa sinua tässä prosessissa antamalla sinulle pääsyn päteviin sertifikaatteihin pätevien palveluntarjoajien kautta, kestävään API-integrointihin ja erityiseen oikeudelliseen tukeen. Valmiina siirtymään pätevään allekirjoitukseen? Pyydä demo tai luo tilisi Certyneohon ja tuo organisaatiosi vaatimustenmukaisuuteen jo tänään.