הסמכת eIDAS 2 לספקי חתימה אלקטרונית 2026

מדוע הסמכת eIDAS 2 משנה את הכללים לספקים

מאז כניסת התקנון (EU) 2024/1183 מיום 11 באפריל 2024 לתוקף — המכונה בדרך כלל eIDAS 2 — ספקי שירותי אמון (PSC) הפועלים בתוך האיחוד האירופי עומדים מול מסגרת רגולטורית שעברה שיפוץ עמוק. התיקון של התקנון eIDAS המקורי משנת 2014 אינו מוגבל להרחבת היקף השירותים המוכרים: הוא מחמיר משמעותית את תנאי ההסמכה, מציג רמות גרנטיה חדשות ומחזק את דרישות הפיקוח של גופי הביקורת הלאומיים. לכל גורם המעוניין להציע שירותי חתימה אלקטרונית מקובלים (QES) או מתקדמים (AdES) בשוק האירופי, הבנת כיצד להשיג הסמכת eIDAS 2 לספק חתימה כבר לא אפשרות — זה חובה אסטרטגית.

מאמר זה מציג סקר ממצה של מסלול ההסמכה: טקסטים ישימים, נורמות טכניות שיש לשמור, תפקיד גופי הערכת התאימות (CAB), דוחות זמן מציאותיים וציוני בריאות תפעוליים.

---

הנוף הרגולטורי החדש של eIDAS 2: מה השתנה

מהתקנון 910/2014 לתקנון 2024/1183: ההתפתחויות העיקריות

התקנון eIDAS המקורי (מס' 910/2014) הניח את היסודות לשוק אחד ודיגיטלי של אמון באירופה. הוא הגדיר שלוש רמות חתימה — פשוטה, מתקדמת וממוקדת — והטיל על ספקים מוסמכים להיות רשומים ברשימות האמון הלאומיות (TSL, Trust Service Lists). eIDAS 2 שומר על ארכיטקטורה זו אך משפרה אותה בכמה נקודות מבניות:

• הרחבת שירותים מקובלים: ארכיון אלקטרוני מקובל, עדויות אלקטרוניות של תכונות (AEA), ניהול מרחוק של התקנים של יצירת חתימה מקובלת (QSCD). שירותים חדשים אלה כפופים כעת לאותו נוהל הסמכה כמו חתימה מקובלת.
• הארנק האירופי של זהות דיגיטלית (EUDIW): ספקים המעוניינים ליצור אינטראקציה עם הארנק הדיגיטלי העתידי חייבים להוכיח את התאימות שלהם למפרטים טכניים שפורסמו על ידי הנציבות (ARF — Architecture and Reference Framework, v1.4, 2024).
• חיזוק הפיקוח: רשויות הפיקוח הלאומיות (בצרפת, ה-ANSSI) יש סמכויות בדיקה והנהוג משופרות. PSC מוסמכים יכולים להיות נתונים לביקורת ללא הודעה מוקדמת.
• דוחות הודעה מופחתים: כל תקרית אבטחה משמעותית חייבת להיות מודעת לרשות הסמוכה תוך 24 שעות (לעומת 72 שעות בגרסה הקודמת לתקריות מסוימות).

לסקירה כללית של התקנון, מדריך eIDAS 2.0 של Certyneo מציע סיכום פדגוגי של כל ההתפתחויות הללו.

רמות הגרנטיה וההשלכות שלהן על ההסמכה

ההבחנה בין חתימה אלקטרונית מתקדמת ומקובלת נשארת הציר של המערכת. רק QES נהנה מהנחה משפטית של שלמות וייחוס שווה לחתימה בעט (סעיף 25 של תקנון eIDAS 2). הנחה זו תלויה ישירות בהסמכה של הספק.

| רמה | ערך הוכחה | דרישת ספק | |---|---|---| | פשוט (SES) | מוגבל | כלא אחד | | מתקדם (AdES) | משמעותי | שיטות טובות + נורמות ETSI | | מקובל (QES) | מרבי (הנחה משפטית) | חובה להסמכת eIDAS 2 |

---

תהליך הסמכת eIDAS 2 שלב אחרי שלב

שלב 1 — תנאים תחדוניים ארגוניים וטכניים

לפני שליחת בקשה רשמית לתהליך ההסמכה, ספק חייב לבדוק את רמת הבגרות שלו על שלושה צירים:

1. תאימות לנורמות ETSI הנורמות של סדרת EN 319 מהוות את היסוד הטכני בלתי מעופרוג. העיקריים הם:

• ETSI EN 319 401: דרישות כלליות לספקי שירותי אמון
• ETSI EN 319 411-1 ו-411-2: מדיניות ודרישות לרשויות הנפקת תעודות המנפקות תעודות (פרופילי PTC-QC להסמכות מקובלות)
• ETSI EN 319 421: מדיניות ודרישות לספקי שירותי הערות זמן
• ETSI EN 319 132: פורמטי חתימה XAdES (XML), וסדרות קשורות CAdES (CMS) ו-PAdES (PDF)

התאימות לנורמות אלה אינה אופציונלית לספקים מוסמכים: היא נדרשת במפורש על ידי מעשי ביצוע של הנציבות האירופית.

2. אבטחת מערכות מידע QSCD (התקנים לצור חתימה מקובלת) חייבים להיות מוסמכים בהתאם ל-Common Criteria (CC) EAL4+ או שווה. לפתרונות חתימה מרחוקים — דגם דומיננטי ב-SaaS — הדרישות מתייחסות גם ליחידות HSM (Hardware Security Module) ולהליכי ניהול מפתחות קריפטוגרפיים (תאימות FIPS 140-2 רמה 3 לפחות).

3. מדיניות ביטחון (PSSI) וניהול סיכונים קובץ ההסמכה דורש PSSI פורמלי, המיושר ל-ISO/IEC 27001 (שהסמכה שלו מומלצת בחום ולעתים דרושה על ידי CABs) והשלכת דרישות NIS2 לישויות מכונות «חשובות» או «חיוניות».

שלב 2 — בחירה והתחייבות של גוף הערכת התאימות (CAB)

בצרפת, ה-CABs המוסמכים על ידי COFRAC (Comité Français d'Accréditation) להערכת ספקי שירותי אמון הם מעט מעט. כדוגמה, LSTI (Laboratoire de Sécurité des Technologies de l'Information) ו-Bureau Veritas Certification נמנים בין השחקנים המלומדים. בקנה מידה אירופי, כל מדינה חברה מפרסמת את רשימת CABs שלה המודיעה.

תפקידו של ה-CAB הוא לנהל ביקורת תאימות בשני שלבים:

1. סקירה תיעודית (שלב 1): בדיקה של מדיניויות, הליכים, הצהרת שיטות הסמכה (DPC / CPS) וראיות טכניות.
2. ביקורת בקרקע (שלב 2): אימות של בקרות תפעוליים, בדיקות חדירה, ראיונות עם צוותים.

משך הזמן הכולל של ביקורת CAB בדרך כלל נע בין 4 ל-8 שבועות בהתאם לבגרות קודמת של המועמד.

שלב 3 — הוראה על ידי רשות הפיקוח הלאומית

בצרפת, זה ה-ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) המורה בקשות להרשמה על רשימת האמון הלאומית (TSL FR). על בסיס דוח ביקורת CAB, ה-ANSSI מנהל ניתוח משלו ויכול לבקש מידע משלים או אמצעים תיקוניים.

המשך הרגולטורי של הנחיה הוא 3 חודשים מעת קבלת קובץ שלם (סעיף 17 של תקנון eIDAS 2). בפועל, דוחות הזמן בפועל בדרך כלל ארוכים יותר אם הקובץ ההתחלתי אינו שלם.

ברגע שנרשם ב-TSL הלאומי, הספק מוערך בצורה אוטומטית בתוך ה-EUTL (EU Trusted List), שפורסם על ידי הנציבות האירופית, מה שמעניק לו הכרה חוצה גבולות מיידית בכל 27 מדינות החברות.

שלב 4 — שמירה על כישור וחידוש

הסמכת eIDAS 2 אינה סופית. ספקים מוסמכים כפופים ל:

• ביקורת פיקוח שנתית שנערכה על ידי ה-CAB
• ביקורת חידוש מלאה כל 24 חודשים (מחזור מקוצר בהשוואה לפרקטיקה הקודמת)
• בקרות ללא הודעה מוקדמת אפשר בהיוזמת ANSSI

כל שינוי מהותי של התשתית (שינוי HSM, התפתחות PKI, שירות מקובל חדש) מפעיל הליך הודעה קדומה ויכול להטיל ביקורת חלקית.

---

עלויות, דוחות זמן וגורמי סיכון: מה ה-DSIs חייבים לצפות

תקציב ומשאבי אנוש

עלות הסמכה ראשונה של eIDAS 2 משמעותית. ספי המוציאות כוללים:

• ביקורת CAB: בין 40,000 € ל-120,000 € בהתאם לסיבוכי ההיקף
• עמידה בתנאים טכניים (HSM, PKI, QSCD מוסמכים CC): מ-80,000 € לעד מאות אלפי אירו לתשתית קנייניית
• הסמכת ISO 27001 (מומלצת קודם): 15,000 ל-50,000 € לפי הגודל
• עלויות עיוניות משפטיות והכנת DPC: 10,000 ל-30,000 €
• עלויות פנימיות: גיוס צוות ייעודי (RSSI, DPO, קצין תאימות) ל-12 עד 18 חודשים

בצבירה של כל ספי אלה, הסמכה מלאה מייצגת השקעה כוללית בסדר גודל של 200,000 ל-500,000 € לספק בגודל בינוני, לא כולל עלויות חוזרות של שמירה.

גורמי סיכון תפעוליים

הסיבות התכופות ביותר לכישלון או עיכוב בהליכי הסמכה הם:

1. DPC בהיקף לא מספיק: הצהרת שיטות הסמכה חייבת לתעד כל בקרה עם גרנולריות שלעתים קרובות מעריכה חסרה.
2. פערים בניהול מחזור חיי מפתחות: ביטול, ארכיון, השמדה של מפתחות פרטיים.
3. ממשל אירועים בלתי מספיק: היעדר SIEM, היעדר הליכי ניהול משברים שנבדקו, היעדר runbooks.
4. הערכה חסרת ממדים של NIS2: מאוקטובר 2024, PSCs מוסמכים מסווגים אוטומטית כישויות «חשובות» על פי הוראות NIS2, עם התחייבויות הודעה וניהול סיכונים נוספות.

עבור חברות המעוניינות להשתמש בשירותי ספק שכבר מוסמך במקום לבנות תשתית משלהן, השוואה של פתרונות חתימה אלקטרונית זמינה בממצא ב-Certyneo עוזרת להסביר בחינוך אובייקטיבי את ההחלטה build-vs-buy.

---

eIDAS 2 וחתימה אלקטרונית בחברה: אתגרים של מעבר

עבור חברות משתמשות — בניגוד לספקים — הסמכת eIDAS 2 של ספק SaaS הוא קריטריון בחירה שהוא כעת בלתי מעופער. שילוב בקריאות לאישור סעיף המחייב נוכחות ב-TSL הלאומי הפך לפרקטיקה סטנדרטית בסקטורים מוסדרים (פיננסים, בריאות, נדל"ן).

חתימה אלקטרונית בחברה מטיל למעשה הבחנה ברורה בין מקרים שימוש הדורשים QES — מעשים תחת חתימה פרטית בעלות סיכון גבוה, אישורים, מעשים לתויקים אלקטרוניים — מאלו בהם AdES מספיק. מיפוי שימושים זה קובע ישירות את רמת השירות שניתן להתבע חוקית מהספק.

ארגונים שמעבירים פתרון קיים לספק מוסמך eIDAS 2 חייבים גם לחזות את יכולת ההתאמה של ארכיונים של הוכחות. המדריך על העברה מ-DocuSign או YouSign ל-Certyneo מפרט את שיטות טובות לשמירה על ערך הוכחה של מסמכים שחתומו כבר במהלך המעבר.

מסגרת חוקית ישימה להסמכת eIDAS 2

טקסטים יוסדים

הסמכת ספקי שירותי אמון מנוחה על ערימת נורמטיבית צפופה שיש להכיר בשלמותה:

תקנון (EU) 2024/1183 מיום 11 באפריל 2024 (eIDAS 2): טקסט הייחוס המבטל ומחליף הוראות מתאימות של תקנון 910/2014. הוא מגדיר את התנאים לקבלה ושמירה על מעמד ספק שירותים מקובל, התחייבויות פיקוח לאומיות, ודרישות קשורות לשירותים חדשים (EUDIW, AEA).

תקנון (EU) מס' 910/2014 (eIDAS 1): עדיין ישים חלקית להוראות שלא שופרו; מעשי הביצוע וההימנון המאומצים תחת תקנון זה נשארים בתוקף עד לתיקון פורמלי שלהם.

קוד אזרח צרפתי, סעיפים 1366 ו-1367: סעיף 1366 קובע את עקרון שוויון החתימה האלקטרונית לחתימה בעט תחת תנאי אמינות; סעיף 1367 מבהיר כי האמינות היא בעלת הנחה עד לשגגה אחרת כאשר חתימה מקובלת משמשת. הוראות לאומיות אלה מתבטאות ישירות עם ההנחה המשפטית של סעיף 25 eIDAS 2.

הנחיה (EU) 2022/2555 (NIS2): שודרגה לחוק צרפתי על ידי חוק מ-15 באוקטובר 2024, היא מסווגת באופן אוטומטי את ספקי שירותי אמון מוסמכים בקרב הישויות החשובות. התחייבויות: הודעה ל-ANSSI תוך 72 שעות לכל תקרית משמעותית, הגדרת ניהול סיכונים סייבר רשמי, ביקורת ביטחון תקופתית.

תקנון (EU) 2016/679 (RGPD): ספקי שירותי חתימה מטפלים בנתונים אישיים רגישים (זהות החתומים, יומני ביקורת). הכבוד לעקרונות של מזעור, הגבלת ההצלה ויושרה מטיל ניתוח השפעה ספציפי (AIPD). הבסיס המשפטי של הטיפול חייב להיות מתועד לכל שירות.

נורמות טכניות לערך רגולטורי

מעשי הביצוע של הנציבות האירופית (בעיקר החלטת ביצוע (EU) 2015/1506 וההשתלות שלהם) מכנים נורמות ETSI כהנחה של תאימות:

• ETSI EN 319 401: דרישות כלליות TSP
• ETSI EN 319 411-1 ו-411-2: מדיניות הסמכה
• ETSI EN 319 421: הערות זמן מקובלות
• ETSI EN 319 132 / 122 / 102: פורמטים AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: שירותי חתימה מרחוקים

סיכונים משפטיים בעת אי-קיום

השימוש בעושק או בחוסר זהירות במעמד ספק מוסמך חושף לעונשים ניהוליים שהוגדרו על ידי ANSSI (השעיה, הסרה מרשימת האמון) ולתביעות פליליות (סעיף 226-17 של קוד הפלילי בגין כישלון בביטחון נתונים אישיים). בעל-פה, ערעור של ערך הוכחה של חתימות שונות במהלך תקופת אי-קיום עשוי להנציח אחריות חוקית של ספק כלפי לקוחותיו.

תרחישי שימוש: הסמכת eIDAS 2 בפרקטיקה

תרחיש 1 — עורך SaaS בגודל ביניים המכוון לכישור QES

חברה המתמחה בדמטריאליזציה דוקומנטרית, המעסיקה מאה שותפים וניהול מילionus עסקאות חתימה מדי שנה בשם לקוחות בסקטורים בנקאיים וביטוחיים, מחליטה לחפש כישור eIDAS 2 לשירות החתימה האלקטרונית שלה. עד כאן, החברה הציעה חתימה מתקדמת המבוססת על תעודות (AdES), מספיקה עבור רוב החוזים של הלקוחות, אך לא מספיקה לפעולות הדורשות ערך הוכחה מרבי (אישורים SEPA, אמנות הוכחה מתויקות).

לאחר ביקורת פנימית של 3 חודשים החושפת כחמש עשרה סטיות משמעותיות מדרישות ETSI EN 319 411-2, החברה משיקה תוכנית עמידה בתנאים למשך 14 חודשים. בניצוחים העיקריים יש החלפה של HSM קיימים על ידי מודולים מוסמכים FIPS 140-2 רמה 3, עריכת DPC של 180 עמודים, וקבלת הסמכה ISO 27001 קדום לביקורת CAB. ההשקעה הכוללת מגיעה ל-340,000 €. לאחר סיום התהליך, הרישום ב-TSL הצרפתי מאפשר לחברה לגשת לקריאות לאישור שממנה היא הוחרגה בדרך כלל, המייצגת פוטנציאל מסחרי המוערך ל-20% הכנסה נוספת.

תרחיש 2 — קבוצת בתי חולים המשלבת חתימה מקובלת לפעולות רפואיות-משפטיות

קבוצת בתי חולים של כ-1,200 מיטות מעוניינת לדמטריאליזציה של תהליכים של הסכמה מדעת, הימנון של סמכויות רפואיות וחוזי מחקר קליני. מסמכים אלה נדירים בקטגוריה של פעולות שעבורן QES נדרש או מומלץ בעוצמה על ידי ההפניות של HAS והמסגרת החוקית של נתוני בריאות (סעיף L. 1110-4 CSP).

במקום להסמיך תשתית פנימית — אפשרות שנשפטה כיקרה מדי וחוץ ממקורות עיסוק — הקבוצה בחרה בשילוב של ספק צד שלישי שכבר נרשום ב-TSL. ה-DSI מבצע ביקורת תאימות ספק על בסיס רשימת התיוג ETSI EN 319 401 ומאמת את הנוכחות בפועל ב-EUTL לפני כל חוזיות. הפריסה, שבוצעה ב-4 חודשים, מופחתת בשיעור של 65% את הרוהל של אסיפת חתימות בקבצי מחקר קליני ומבטלת את הסיכון של ערעור משפטי הקשור לשימוש קודם בחתימות פשוטות לפעולות רגישות.

תרחיש 3 — משרד עורכי דין של עסקים המאבטח את המעשים שלו תחת חתימה פרטית

משרד עורכי דין של עסקים של כלל שלושים שותפים, המנהל מדי שנה כ-400 פעולות של מיזוגים-רכישות וקנייה של קרנות מסחר, מחפש להימנע מאי-מהימנות החתימה של מעשיו תחת חתימה פרטית מורכבת. הערך היחידתי של עסקאות מטופלות חורג תדיר מיליון אירו, וכל פגם צורה עלול להטיל אחריות מקצועית של משרדים על השחקן.

לאחר ניתוח, צוות ה-IT והנהל מנהל מסכימים על דרישה חוקית מינימלית של QES שפצה על ידי ספק מוסמך eIDAS 2 לכל מעשה שערכו עולה על 100,000 €. קריטריון הבחירה של הספק משלב חובה בדיקה של הרישום ב-TSL הלאומי וקיום של תעודת תאימות ETSI עדכנית (פחות מ-12 חודשים). מסגרת זו מאפשרת למשרדים לצמצם בכ-80% דרישות של בדיקה נוגדת להיתר של בדיקת חתימות בסכסוכים מאוחרים יותר, לפי תשובות שנצפו על מבנים דומים בסקטור.

סיכום

השגת הסמכת eIDAS 2 כספק שירותים של חתימה אלקטרונית היא תהליך תובעני, יקר וארוך — אך בלתי מעופער לכל גורם המעוניין להציע גרנטיות משפטיות