Certification eIDAS 2 Prestataire Signature 2026 - Guide Complet

Cén fáth a bhíonn athrú sa cheadúchán eIDAS 2 ar bhealach atá ina bhac don bhreisluachadh

Ó thús an rialacháin (AE) 2024/1183 ar 11 Aibreán 2024 — ar a dtugtar eIDAS 2 go coitianta — tá na soláthraithe seirbhísí muiníne (PSC) ag feidhmiú san Aontas Eorpach i ngnéasóga le creatlach rialála a bhfuil athrú domhain air. Níl an athlabhairt ar an rialacháin eIDAS bunaidh ó 2014 teoranta do na seirbhísí faofa a shealbhú: déanann sé na coinníollacha faofa tosaigh a dhúchasach, tugann isteach leibhéil nua barántan agus neartaíonn sé na riachtanais cheannaigh ar bhord coimisiún an bhreithnithe náisiúnta. I gcás aon ghníomhaire ag iarraidh seirbhísí sínithe leictreonacha ceadaithe (QES) nó ardthréimh (AdES) a bhreith ar an margadh Eorpach, ní hé an tuiscint ar conas a bhaint ceadúchán eIDAS 2 ar bhreisluachadh sínithe a bheith ag rogha — is oibleagáid straitéiseach a bhíonn ann.

Soláthraíonn an alt seo léargas iomlán ar an tslí ceadúcháin: téacsanna a bhainíonn do, caighdeáin theicniúla le bheith i gcomhréir, ról na n-eagrais bhreithnithe comhréire (CAB), spriocdhátaí réadúla agus pointí faire oibríochtúil.

---

An nua-landscape rialachais eIDAS 2: na hathruithe a tharla

Ó rialachán 910/2014 go rialachán 2024/1183: na forbairtí móra

Bhí rialachán bunaidh eIDAS (n° 910/2014) ag socrú na bhuneilimintí ar mhargadh aonair dhigiteach muiníne san Eoraip. Bhí sé ag sainmhíniú ar thrí leibhéal sínithe — simplí, ardthréimh agus ceadaithe — agus bhí sé ag socrú ar na soláthraithe ceadaithe go raibh siad ar liostai muiníne náisiúnta (TSL, Trust Service Lists). Caomhnaíonn eIDAS 2 an ailtireacht seo ach breisíonn sé air ar roinnt pointí bunúsacha:

• Leathnu na seirbhísí ceadaithe: stóráil leictreonach ceadaithe, fianaise leictreonacha tréithe (AEA), bainistiú i bhfad ar ghléasanna cruthaithe sínithe ceadaithe (QSCD). Tá na seirbhísí nua seo faoi réir an chéanna nós imeachta faofa agus a bhíonn i sínithe ceadaithe.
• An sparán náisiúnta d'aitheantas digiteach Eorpach (EUDIW): caithfidh na soláthraithe atá ag iarraidh idirghníomhú leis an sparán aitheantas todhchaí a thaispeáint i gcomhréir a bheith acu ar shonraigí teicniúla foilsithe ag an gCoimisiún (ARF — Architecture and Reference Framework, v1.4, 2024).
• Neartú an bhreithnithe: tá cumhachtaí imscrúdaithe agus orduithe agus cumhachtaí fás ar údaráis bhreithnithe náisiúnta (san Fhrainc, ANSSI). Is féidir le PSC ceadaithe a bheith i measc iniúchadh neamhshéanta.
• Laghdú ar spriocdhátaí fógra: caithfear aon imeall slándála suntasach a fhógairt don údarás inúsáideach i ndán 24 uair (i gcomparáid le 72 uair an chloig sa leagan roimhe seo d'imeall áirithe).

Le haghaidh forbhreathnú ar an rialachán, tugann an treoir eIDAS 2.0 ag Certyneo achoimre theagaisc ar na hathruithe seo ar fad.

Na leibhéal barántas agus a n-impleachtaí do shaincheadúchán

Fanann an scaradh idir sínithe leictreonach ardthréimh agus ceadaithe ar bhunáit an chóras. Níl ach an QES ábalta seasamh bunaithe i ndlí ar na cinntí go bhfuil gné dhomhain agus gur féidir gealadh a thabhairt don tsuim ionann ar shínithe seachtaine (art. 25 an rialacháin eIDAS 2). Tá an seasamh bunaithe seo go díreach coibhneasa ar fharachas an tsoláthraithe.

| Leibhéal | Brí dlíocha | Riachtanas soláthraithe | |---|---|---| | Simplí (SES) | Teoranta | Nó ar bith | | Ardthréimh (AdES) | Suntasach | Cleachtais mhaith + caighdeáin ETSI | | Ceadaithe (QES) | Uachtar (seasamh bunaithe i ndlí) | Ceadúchán eIDAS 2 riachtanach |

---

An próiseas ceadúcháin eIDAS 2 céim ar chéim

Céim 1 — Riachtanais eagraíochtúla agus theicniúla

Roimh an próiseas ceadúcháin a bhealach go fóill, ní mór d'fhsoláthraithe a leibhéal inbhuanaitheachta a dhéanamh ar thrí aiseanna:

1. Comhréire ar chaighdeáin ETSI Tá caighdeáin an tsraith EN 319 ina bhun teicniúil neamhbhreachta. Is iad na ceannúcháin iad:

• ETSI EN 319 401: riachtanais bhreise do sheirbhísí muiníne soláthraithe
• ETSI EN 319 411-1 agus 411-2: polasaí agus riachtanais do údaráis thabhairt thort (profílí PTC-QC do thortúgadh ceadaithe)
• ETSI EN 319 421: polasaí agus riachtanais do sheirbhísí stampa ama ceadaithe
• ETSI EN 319 132: formáidí sínithe XAdES (XML), agus sraith dhá chur chuige CAdES (CMS) agus PAdES (PDF)

Níl comhréire ar na caighdeáin seo roghnach do na soláthraithe ceadaithe: tá sé riachtanach go soiléir ag achta feidhmeanna an Choimisiún Eorpach.

2. Slándáil na gcóras faisnéise Ní mór do QSCD (gléasanna cruthaithe sínithe ceadaithe) a bheith deimhnithe de réir Common Criteria (CC) EAL4+ nó rud atá coibhéiseach. I gcás réitigh sínithe i bhfad — dreach ríomhphost i SaaS — baineann na riachtanais go léir le módúil HSM (Hardware Security Module) agus nósanna oibre bhainistiú eochrach criptgeachta (comhréire FIPS 140-2 leibhéal 3 ar a laghad).

3. Polasaí slándáil (PSSI) agus bainistiú contúirt Éilíonn an dossier ceadúcháin PSSI fhormálach, ailínithe ar ISO/IEC 27001 (ar bhionn a dheimhniú daingean arna n-iarraidh agus go minic ar bhionn sé arna n-iarraidh ag CAB) agus ag ionchorpú na riachtanais NIS2 d'ghníomhaithe ceadaithe atá "tábhachtach" nó "riachtanach".

Céim 2 — Roghnú agus gealadh eagrais bhreithnithe comhréire (CAB)

San Fhrainc, tá CAB atá deimhnithe ag COFRAC (Comité Francach d'Accréditation) chun soláthraithe seirbhísí muiníne a bhreithniú go fánach. Mar shampla, tá LSTI (Laboratoire de Sécurité des Technologies de l'Information) agus Bureau Veritas Certification i measc na gníomhaithe fhuar. Ar scála Eorpach, foilsíonn gach Stát Bhallach liosta a CAB deimhnithe.

Is é an ról an CAB iniúchadh comhréire a reachtáil i dhá chéim:

1. Athbhreachta fhaisnéise (Céim 1): scrúdú ar pholasaí, nósanna oibre, Déanmhairt Cleachtaisí Tabharthála (DPC / CPS) agus cruthúnais theicniúla.
2. Iniúchadh ar an suíomh (Céim 2): fíorú ar rialúchain oibríochtúla, tástálacha ionsaithe, agallamh le foireann.

Athraíonn an fad iomlán d'iniúchadh CAB go ginearálta ó 4 go 8 seachtaine de réir an bhreisluachais roimhe seo de an iarrthóir.

Céim 3 — Treorú ag údarás bhreithnithe náisiúnta

San Fhrainc, is é an ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) a threorann na hiarratais ar chláruchtán ar an liosta muiníne náisiúnta (TSL FR). Ar bhunúis thuarascáil iniúchadh CAB, dhéanann ANSSI a scrúdú féin agus d'fhéadfadh sí a bheith ag iarraidh faisnéis nó bearta ceartúcháin bhreise.

Is é an spriocdhátaí reachtúil treoraithe 3 mhí ó fhógairt dossier iomlán (art. 17 an rialacháin eIDAS 2). I ndáiríre, is gnách go bhíonn spriocdhátaí níos faide má tá an dossier tosaigh neamhiomlán.

Nuair a bhítear cláraithe ar TSL náisiúnta, cuirtear an soláthraithe go huachtar ar an EUTL (EU Trusted List), foilsithe ag an gCoimisiún Eorpach, rud a thugann dó aithint thrasnáisiúnta láithreach sna 27 Stát Bhallach.

Céim 4 — Coinneáil an cheadúcháin agus athnuachan

Níl an ceadúchán eIDAS 2 go brách. Tá na soláthraithe ceadaithe faoi réir:

• Iniúchadh faire bliantúil reachtáilte ag an CAB
• Iniúchadh athnuachana iomlán gach 24 mhí (timthriall giotach i gcomparáid le cleachtas roimhe seo)
• Rialúchain neamhshéanta a d'fhéadfadh a bheith ann ar thogra ANSSI

Athraíonn aon athrú bunúsach ar an bhonneagar (athrú HSM, forbairt PKI, seirbhís nua ceadaithe) nós imeachta fógra réamhbhainteach agus d'fhéadfadh sé a bheith ag gealadh iniúchadh páirt.

---

Costais, spriocdhátaí agus tosca contúirt: cad atá ag CIO a bheith ag súil

Buiséad agus acmhainní an chine daonna

Tá costas an cheadúcháin eIDAS 2 ar dtús suntasach. Tá na post caiteachais:

• Iniúchadh CAB: idir 40 000 € agus 120 000 € de réir chastacht an imlíne
• Cur i gcomhréir theicniúil (HSM, PKI, QSCD deimhnithe CC): ó 80 000 € go go leor na mílte euro do bhonneagar príobháideach
• Deimhniúchán ISO 27001 (moltha i réamhbhealach): 15 000 go 50 000 € de réir méid
• Costais chomhairle dlíochta agus scríobh DPC: 10 000 go 30 000 €
• Costais inmheánacha: gluaiseachta foireann dhíolta (RSSI, DPO, freagrach comhréire) ar feadh 12 go 18 mí

Ag cur ar fad na bpost seo le chéile, is ionann ceadúchán iomlán agus infheistíochta dhomhain ar an ord 200 000 go 500 000 € do fhsoláthraithe méid meánach, gan a bhheith ina n-chostais bharrthairimh.

Tosca contúirt oibríochtúla

Is iad na cúiseanna is minice ar theip nó ar bhraistint phróiseas ceadúcháin:

1. DPC nach raibh sé sách mionsonraithe: caithfidh an Fógra Cleachtais Tabharthála gach rialúchán a dhíolaim le granúlachta nó go minic bhí sé faoi bhraistint.
2. Líonraí ag bainistiú timthriall saol eochrach: rinnean, stóráil, scrios na n-eochrach príobháideach.
3. Rialúchta na bhfoghlaim dhóicheallacha nach raibh sé go leor: easpa SIEM, nosanna oibre bainistiú tubaiste thástála, runbooks.
4. Braistint ar NIS2: ó dheireadh Fómhair 2024, is iad na PSC ceadaithe atá i measc na n-eagrais "tábhachtacha" de réir threoracha NIS2, le hoibleagáidí fógra agus bainistiú rioscaí bhreise.

I gcás na gcuideachtaí ag iarraidh na constráinte seo a bhuachailleoir i soláthraithe cheadaithe cheana féin seachas a gcuid fhéin a thógáil, cuideoidh an comparáid na réitigh sínithe leictreonacha ar Certyneo leis an rogha build-vs-buy seo a bhreithniú ar an spréacharnach.

---

eIDAS 2 agus sínithe leictreonach san fhiontraigheacht: gealadh aistriúchán

I gcás na ngníomhaithe úsáideora — i nós imeachta ó na soláthraithe — is iad an ceadúchán eIDAS 2 ar a soláthraithe SaaS sínithe a bhí ina ghrótáilte roghnúchán ar iarraidh anois. A dhéanamh san ionchorprú ar na glaocanna soláthair riachtanas ar an uachtar ar TSL náisiúnta i bhfeidhm thairbheach i ndáiríre.

Tugann an sínithe leictreonach san fhiontraigheacht ar aer go soiléir na casanna d'úsáide a bhfuil gá ag QES — gníomhartha faoi nós príobháideach ar bhraistint ard, tiomanaithe, gníomhartha deimhnithe leictreonacha — ó dhá chur i ngréim. Bhaineann an léarscáil seo ar úsáidí an déantóir ag socrú an leibhéal seirbhís go socrúchúil riachtanach do an soláthraithe.

Ní mór do na comhlachtaí a bhíonn ag aistriú ó réitigh atá ann cheana go soláthraithe deimhnithe eIDAS 2 a bheith ábalta ar an chumas na bailiúcháin cruthúnais a bheith ar tosach agus ar an tréimsir chaidreamh. Míníonn an treoir ar an aistriú ó DocuSign nó YouSign go Certyneo na cleachtais dhea-bhreachta ar choinneáil ar dhíolmhoine na gcruthúnais sínithe le linn an aistriúcháin.

Creatlach dlíocha ar iarraidh ar an gceadúchán eIDAS 2

Téacsanna a bhunaigh

Tá an ceadúchán na soláthraithe seirbhísí muiníne ar bhreis nóiméadúil gheal ar chóir go mbeadh tuiscint acu ar na comhlánaigí:

Rialachán (AE) 2024/1183 ó 11 Aibreán 2024 (eIDAS 2): an téacs tagartha ag a bhfuil socrú agus athrú na bhforálacha a shamhlaithí an rialacháin 910/2014. Leagann sé amach na coinníollacha ar fhéad agus ar airlíge an stádas soláthraithe ceadaithe, oibleagáidí bhreithnithe náisiúnta, agus riachtanais a bhaineann leis na seirbhísí nua (EUDIW, AEA).

Rialachán (AE) n° 910/2014 (eIDAS 1): ábalta go páirt d'fhorálacha nach athraithe; fanann na gníomhartha feidhme agus dearbhaithe a ghlacadh faoin rialachán seo i bhfeidhm go dtí a n-athlabhairt fhormálach.

Cód sibhialta na Fraince, alt 1366 agus 1367: leagann alt 1366 amach prionsabal coibhéiseantas sínithe leictreonacha ar shínithe seachtaine faoi dhualgas iontaobhachta; soiléiríonn alt 1367 go meastar go bhfuil an iontaobhacht go brách go dtí cruthúnas contrártha nuair a úsáidtear sínithe ceadaithe. Baineann na socrú náisiúnta seo go díreach le seasamh bunaithe art. 25 eIDAS 2.

Treoir (AE) 2022/2555 (NIS2): arna aistríú i ndlí na Fraince ag an dlí ar 15 Dheireadh Fómhair 2024, déanann sé na soláthraithe seirbhísí muiníne ceadaithe a cháilíochtúil i measc na n-eagrais thábhachtacha. Oibleagáidí: fógairt ar ANSSI i ndán 72 uair an chloig do aon imeall suntasach, bainistiú rioscaí cyber fhormálach, iniúchadh slándáil thréimhsiúil.

Rialachán (AE) 2016/679 (RGPD): déanann na soláthraithe seirbhísí sínithe faisnéis dheilbhíocha a phróiseáil (aitheantas na sínitheoir, loganna iniúchadh). Gealadh na bprionsabal laghdaithe, teorannaithe ar choinneáil agus ar dhóchúlacht breisiúint ar anailís thionchar (AIPD) ar leith. Caithfear bunús an dlí ar an phróiseas a dhíolaim do gach seirbhís.

Caighdeáin theicniúla le brí reachtúil

Ainmníonn achta feidhme an Choimisiún Eorpach (go háirithe an cinneadh feidhme (AE) 2015/1506 agus a athbhreachta) caighdeáin ETSI mar bheartas do chomhréire:

• ETSI EN 319 401: riachtanais bhreise TSP
• ETSI EN 319 411-1 agus 411-2: polasaí deimhnithe
• ETSI EN 319 421: stampa ama ceadaithe
• ETSI EN 319 132 / 122 / 102: formáidí AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: seirbhísí sínithe i bhfad

Gealadh dlíochta i gcás neamhchomhréire

Úsáid fhealltach nó neamhghealadh de stádas soláthraithe ceadaithe a chur faoi bhagairt do bheart gealadh-rialúcháin ag an ANSSI (fiontraigheacht, bainte den liosta muiníne) agus do dhíoghlaim phoilíochta (alt 226-17 Code pénal ar easpa slándáil faisnéise dheilbhíocha). Ar an taobh sibhialta, is féidir leis an scríobh ar ais ar dhíolmhoine na sínithe a thaifeadadh i tréimhse neamhchomhréire a bheith ina sheilbh ar dhualgas soláthaire do a chlárainte.

Casanna úsáide: an ceadúchán eIDAS 2 i ndáiríre

Cás 1 — Eagrasuasáilte SaaS ar mhéid meánach ag súil ar QES

Cuideachta speisiailte i ndéanamh fhaisnéis dhilbhíocha, fostaí thart ar chéad oibre agus bainistiú ar ilmhilliún idirbheartaighe sínithe in aghaidh an bhliain ar son chláir i ngréim ar bhancanna agus gealadh, á rá go soláthraítear sé an ceadúchán eIDAS 2 ar dhéanamh sínithe leictreonacha. Go dtí anois, bhí sínithe ardthréimh ag an chuideachta ar bhunús thortúgadh (AdES), sach do an chuid is mó a chláir dhúinn, ach nach raibh go leor d'achta ag iarraidh brí dhomhain (tiomanaithe SEPA, samhradh deimhnithe dearbhaithe).

I ndiaidh iniúchadh inmheánach 3 mhí ag soiléiriú thart ar 15 easnamh móra i gcomparáid le riachtanais ETSI EN 319 411-2, cuirir an chuideachta clár a chur i gcomhréir ar feadh 14 mhí. Baineann na príomhphríomhéachtaí ar athbhreachta na modúil HSM ann le módúil deimhnithe FIPS 140-2 leibhéal 3, scríobh DPC 180 leathanach, agus fáil ar dheimhniúchán ISO 27001 roimh iniúchadh CAB. Sroichann an infheistíochta iomlán 340 000 €. I ndiaidh an phróisis, tugann an cláruchtán ar TSL na Fraince i leabhail ar chláir as a raibh sí ligthe ar an chéad uair, a bhí ionnannas ar fhéad i gcomhpháirt go 20% d'ioncam bhreise.

Cás 2 — Grúpa ospidéal ag ionchorpú sínithe ceadaithe do ghníomhartha míochaine-dlíochta

Grúpa ospidéal thart ar 1 200 leaba ag iarraidh déanamh fhaisnéis ar a próiseas gealadh soiléir, tiomanaithe cumhachta míochaine agus agallamh taighde dhlíochta. Baineann na gcruthúnais seo le catagóir an gníomhartha d'iarradh QES nó moltar go láidir ag refereals HAS agus creatlach dlíocha na faisnéise sláinte (art. L. 1110-4 CSP).

In ionad an bhonneagair inmheánach a deimhniú — rogha meastar ró-bhocht agus as sáinn fhiontraighe — roghnaíonn an grúpa ionchorpú soláthraithe tríú páirtí cheana ar TSL. Déanann an DSI iniúchadh comhréire soláthraí ar bhunúis na liosta sealladh ETSI EN 319 401 agus a fhíorú ar an láthair ar EUTL roimh aon chonartha. Dhéanann an fhorghníomhú, reachtáilte ar feadh 4 mhí, laghdú 65% ar thréimhse bhailíochtú sínithe ar dhossier taighde linéarach agus a bhaint de ar an thasc contúirt dlíochta ag baint úsáide roimhe seo de sínithe simplí d'achta mothúchánach.

Cás 3 — Chaibinéal a bhí i bhfad ar oibríochta a chosaint a gníomhartha faoi sháinn príobháideach

Chaibinéal i bhfad ar oibríochta ar 30 comhpháirtithe, ag bainistiú thart ar 400 idirbheartaighe fúisiúin-fáilí agus díolachaithe crann gníomhartha in aghaidh an bhliain, ag iarraidh a dhéanamh ar an tsláinte ar shínithe a gníomhartha faoi sháinn príobháideach casta. Sroichann an brí aonair na gconnartha níos faide ná milliún euro go minic, agus is féidir aon locht foirne a bheith ina dhualgas ar bhreiseluachadh a chaibinéail.

I ndiaidh anailís, aontaíonn an foireann IT agus a mbannaire riaracháin ar an riachtanas socrúchúil ar a laghad QES a chur amach ag soláthraithe deimhnithe eIDAS 2 do gach gníomhartha ar a bhfuil brí níos faide ná 100 000 €. Tá an gréine roghnúchán an soláthraithe ionchorpaithe go hoibrionn a dhéanamh an cláruchtán ar TSL náisiúnta agus ar geal ar thortúgadh comhréire ETSI reatha (níos lú ná 12 mhí). Tugann an creatlach seo do chaibinéal a laghdú ar 80% ar dhéachais ar bhreithniú soiléir ar bhailíochta na sínithe ag litighean ina dhiadh, de réir fhilleadh ar struchtúir dhomhain sa ghréine.

Deireadh

Is gá ceadúchán eIDAS 2 a bhaint amach mar fholúntas seirbhísí muiníne sínithe leictreonacha mar phróiseas ag iarraidh, costasach agus fada — ach riachtanach don aon ghníomhaire ag iarraidh a sholáthar ar ghealadh dlíochta uachtar ar a chláir ar mhargadh Eorpach. Idir an cur i gcomhréir ar chaighdeáin ETSI, an gealadh iniúchadh CAB, treoir ag an ANSSI agus an coinneáil ar an gceadúchán i ndá