ספקי eIDAS מוסמכים: רשימה רשמית 2026

מדוע הסטטוס "מוסמך" eIDAS הוא קריטי לעסקך?

מאז הכניסה לתוקף של תקנון eIDAS (910/2014), השוק האירופי של החתימה האלקטרונית התארגן מחדש סביב היררכיה בשלוש רמות: חתימה אלקטרונית פשוטה (SES), חתימה אלקטרונית מתקדמת (AES) וחתימה אלקטרונית מוסמכת (QES). זו האחרונה היא היחידה שמנציחה הנחת חוק של שקילות עם חתימה בכתב יד בכל מדינות חברות באיחוד האירופי.

כדי שחברה תוכל להציע חתימות מוסמכות, עליה בהכרח להיות נבדקה והרשומה ברשימת הביטחון (Trust List) של מדינתה. בצרפת, וכלת הביטחון הלאומית למערכות מידע (ANSSI) היא המנהלת את הרישום הרשמי זה, והוא מוקדש שוב לרשימה האירופית המרכזית המנוהלת על ידי הנציבות האירופית.

הבנת ארכיטקטורה זו חיוני לפני חתימה על חוזה מסחרי כלשהו רגיש. כדי ללמוד עוד על הבסיס התקנוני, המדריך המלא שלנו לתקנון eIDAS 2.0 מפרט את כל החובות וההתפתחויות שהוצגו על ידי תקנון eIDAS המתוקן 2.0 (תקנון EU 2024/1183).

---

כיצד מוסמכים ספקי שירותי ביטחון מוסמכים?

הדרך לסטטוס של ספק שירותי ביטחון מוסמך (PSCQ) דורשת תנאים קשים. היא כוללת בדיקה המבוצעת על ידי גוף הערכת תאימות (CAB, Conformity Assessment Body) מוסמך, בהתאם לנורמות ETSI EN 319 401 (דרישות כלליות) ו-ETSI EN 319 411-2 לתעודות מוסמכות.

שלבי הסמכה ANSSI

1. הגשת קובץ ההסמכה: הספק משדר את התיעוד הטכני, הביטחוני והארגוני שלו לANSSI.
2. בדיקה על ידי CAB מוסמך: גוף צד שלישי — כגון Bureau Veritas, LSTI או Apave Certification — אימת את ההתאמה בעל-פנים ובמסמכים.
3. החלטת הסמכה: ANSSI מעניקה הסמכה ורושמת את הספק ברשימת הביטחון הצרפתית (TL-FR).
4. חידוש תקופתי: ההסמכה נבדקת מחדש, בדרך כלל כל שנתיים, כדי להבטיח שימור הדרישות.

מה בודק במפורש הביקורת?

הבודק בוחן במיוחד:

• הביטחון הפיזי של מרכזי הנתונים המאכסנים מפתחות קריפטוגרפיים (מודולי HSM מוסמכים CC EAL 4+ או FIPS 140-2 Level 3 לפחות);
• מדיניות הסמכה (CP) והצהרות השיטות של הסמכה (CPS) שפורסמו על ידי הספק;
• הנהלים של אימות זהות החותמים (פנים אל פנים או אימות זהות מרחוק בהתאם לנורמה EN 419 241-1);
• ניהול ביטולי וזמינות של שירותים OCSP/CRL.

קריטריונים אלו מסבירים מדוע רק קומץ של שחקנים משיגים ושומרים על רמת הסמכה זו בצרפת.

---

ספקי eIDAS מוסמכים המופנים בצרפת ב-2026

הרשימה הרשמית של ספקים מוסמכים זמינה בכל עת בפורטל הרשמי של הנציבות האירופית (eidas.ec.europa.eu/efts), בסינון על "צרפת" והשירות "QCertESig" (תעודה מוסמכת לחתימה אלקטרונית). להלן השחקנים שהיו ברישום ברגע כתיבת המאמר (יוני 2026):

שחקנים צרפתיים הרשומים ב-Trust List

| ספק | סוג שירות מוסמך | מאפיין | |---|---|---| | Certigna (Dhimyotis) | תעודות מוסמכות, בול זמן מוסמך | Groupe La Poste, מוסמך eIDAS מאז 2016 | | Certinomis | תעודות מוסמכות | חברה בת La Poste, מכוונת לסקטור ציבורי | | ChamberSign France | תעודות מוסמכות | רשת CCI, קשר חזק עם SME/TPE | | Keynectis / DocuSign France | תעודות מוסמכות | נרכשה על ידי DocuSign, שמירה על תווית ANSSI | | Universign (Tessi) | תעודות מוסמכות, בול זמן | פיוני השוק, משולב בקבוצת Tessi | | Entrust (לשעבר Datacard) | תעודות מוסמכות | שחקן בינלאומי, Trust List מרובת מדינות חברות | | Oodrive Sign | תעודות מוסמכות | עורך צרפתי ריבוני, מוסמך SecNumCloud |

> התראה: רשימה זו מסופקת למטרות אינדיקטיביות ומידע בלבד. רק ה-Trust List הרשמית של הנציבות האירופית קובעת את העובדה. בדוק תמיד את הסטטוס הנוכחי בפורטל ETSI לפני כל התחייבות חוזית.

ספקים זרים שמוכרים בצרפת דרך ה-Trust List האירופית

בעוד עקרון ההכרה ההדדית שנקבע בסעיף 25 של תקנון eIDAS, חתימה מוסמכת שהונפקה על ידי PSCQ הרשום ברשימת הביטחון של מדינת חברה אחרת יוצרת את אותן השפעות משפטיות בצרפת. בין השחקנים שאינם צרפתיים המשמשים בתדירות גבוהה:

• Namirial (איטליה): חזק בחתימה מוסמכת מרחוק (QES remote signing);
• SwissSign (שוויץ): שימו לב, שוויץ אינה חברה באיחוד האירופי; ההכרה היא חלקית;
• Qualified.one / Asseco Data Systems (פולין): שחקן ציבורי אירופי, תכוף בשווקים חוצי תחומים.

כדי להשוות פתרונות אלו לפי צרכי העסק שלך, עיין בהשוואת פתרונות חתימה אלקטרונית שלנו המנתחת קריטריונים של מחיר, תאימות ואינטגרציה API.

---

כיצד לבחור את ספק eIDAS המוסמך הנכון לארגונך?

הופעה ב-Trust List היא תנאי הכרחי, אך לא מספיק. בחירת PSCQ חייבת להתבסס על מספר קריטריונים משלימים.

קריטריונים טכניים ושל אינטגרציה

• REST API או SDK זמינים: חיוני להפוך את החתימה באופן אוטומטי בזרימות העבודה של העסק שלך (ERP, SIRH, CRM);
• פורמטי חתימה נתמכים: PAdES ל-PDF, XAdES ל-XML, CAdES לקבצים בינאריים — כל אלה מנורמלים על ידי ETSI EN 319 100;
• זמינות השירות: SLA גבוה מ-99.9% מובטח חוזית, עם חלונות תחזוקה מתוכננים מחוץ לשעות עבודה;
• אירוח נתונים: העדף אירוח בצרפת או בתוך האיחוד האירופי, באופן אידיאלי מוסמך SecNumCloud לנתונים רגישים.

קריטריונים משפטיים ותאימות

• בדוק שהספק מספק דוח הסמכה עדכני (פחות מ-24 חודשים);
• דרוש מדיניות סמכה שפורסמה (CP) הנגישה לציבור ובדוקה;
• הוודא שתנאים כלליים מכתיבים באופן מפורש את הסמכת תעודות מוסמכות לפי הנספח I של תקנון eIDAS.

קריטריונים תפעוליים ותמיכה

• נוהל רישום של חתמים: פנים אל פנים בסניף, זיהוי וידאו בהתאם eIDAS או NFC מתעודה זיהוי אלקטרונית;
• תמיכה בצרפתית עם זמני תגובה חוזיים;
• הדרכה ותיעוד הזמינים לצוותים משפטיים ו-IT שלך.

אם הארגון שלך מנהל זרימות מסמכים משמעותיות בתחום משאבי אנוש, הדף חתימה אלקטרונית לצוותי HR שלנו מפרט מקרי שימוש ספציפיים (חוזי עבודה, תיקונים, אונבורדינג) ורמות חתימה מומלצות לפי סוג מסמך.

---

eIDAS 2.0: איזו שינויים לספקים מוסמכים ב-2026?

תקנון eIDAS 2.0 (תקנון EU 2024/1183, שהיה בתוקף בהדרגה מאז מאי 2024) מציג מספר התפתחויות מבניות המשפיעות ישירות על ה-PSCQ וללקוחותיהם.

הארנק הדיגיטלי של הזהות האירופית (EUDI Wallet)

סעיף 6a של התקנון המתוקן מטיל על מדינות חברות את החובה להציע, עד ספטמבר 2026, ארנק זהות דיגיטלית (EUDI Wallet) המוכר בכל האיחוד האירופי. לספקים מוסמכים, זה אומר:

• החובה לקבל תכונות זהות שמקורן בארנק כהוכחת זהות לרישום חתמים;
• הופעת שירות מוסמך חדש: הסמכת תעודות תכונות מוסמכות (Qualified Electronic Attestation of Attributes, QEAA).

שירותים מוסמכים חדשים והרחבה של ההיקף

eIDAS 2.0 מרחיב את רשימת שירותי הביטחון המוסמכים לכללול:

• שירותי ארכיון אלקטרוני מוסמכים (QPDS, סעיף 45f);
• שירותי ניהול מכשירים של יצירת חתימה מרחוק (QRCD).

התפתחויות אלו מייצגות גם אתגר של עדכון תאימות (לוחות זמנים צמודים לספקים קיימים) וגם הזדמנות של הבחנה לחדשים שיכולים להשתלב במהירות בספציפיקציות טכניות שפורסמו על ידי ENISA ו-ETSI.

לעסקים השוקלים העברה מפלטפורמה קיימת לפתרון מעודכן יותר, המדריך ההעברה שלנו מ-DocuSign או YouSign ל-Certyneo מציג את הצעדים המוקדמיים ונקודות השמירה הרגולטוריות.

מסגרת משפטית הכלים לספקי eIDAS מוסמכים

תקנון eIDAS וחוק אירופי

הבסיס המשפטי הוא תקנון (EU) 910/2014 של הפרלמנט האירופי והמועצה מיום 23 ביולי 2014 בנושא זיהוי אלקטרוני ושירותי ביטחון לעסקאות אלקטרוניות בשוק הפנימי (תקנון "eIDAS"), כפי שהותאם על ידי תקנון (EU) 2024/1183 (eIDAS 2.0). תקנון זה חל ישירות בכל מדינות חברות ללא הסדרה למדיניות לאומית.

ההוראות המרכזיות שלו לספקים מוסמכים:

• סעיף 17: החובה של כל מדינת חברה למנות גוף פיקוח (בצרפת, ה-ANSSI);
• סעיף 20: נוהל פיקוח, בדיקה ורישום ברשימת הביטחון;
• סעיף 25: הנחת חוק של שקילות בין QES וחתימה בכתב יד, עם השפעה משפטית מובטחת בכל האיחוד האירופי;
• נספח I: דרישות לתעודות מוסמכות לחתימה אלקטרונית;
• נספח II: דרישות למכשירים של יצירת חתימה מוסמכת (QSCD).

חוק צרפתי

בדין פנימי, החתימה האלקטרונית מנוהלת על ידי:

• Code civil, סעיפים 1366 ו-1367: סעיף 1366 מכיר בערך הוכחה של כתב אלקטרוני בתנאי שמבטיחים את זהות המחבר ואת שלמות המסמך. סעיף 1367 מבהיר שחתימה אלקטרונית המורכבת מנוהל אמין של זיהוי נהנה מהנחה של אמינות כאשר היא נוצרת בהתאם לחוק היישום;
• צו 2017-1416 מיום 28 בספטמבר 2017: מגדיר את התנאים שבהם חתימה אלקטרונית מוסמכת מניחה היא אמינה בצרפת, בהפנייה מפורשת לתקנון eIDAS;
• צו 2005-674 מ-16 ביוני 2005 הנוגע לביצוע רשמיויות חוזיות מסוימות בדרך אלקטרונית.

הגנה על נתונים אישיים

תהליכי רישום וחתימה כרוכים בעיבוד נתונים אישיים (נתוני זהות, ביומטריה לזיהוי וידאו). הספק המוסמך כפוף לתקנון (EU) 2016/679 (GDPR) וחייב בעיקר:

• למנות DPO אם העיבוד בקנה מידה גדול;
• לתיעד את העיבודים ברישום CNIL;
• לסדר העברות מחוץ לאיחוד האירופי בערוביות מתאימות (סעיפים חוזיים מסוג, החלטת כשירות).

סייבר וציוד לחוסן

מאוקטובר 2024, הנחיה NIS2 (2022/2555/UE) חלה על ספקי שירותי ביטחון מוסמכים, הסווגים ככלים חיוניים. הם חייבים לנקוט בצעדי ניהול סיכונים סייבר, להודיע על אירועים משמעותיים ל-ANSSI תוך 24 שעות, ולהיות כפופים לביקורות קבועות. אי-עמידה מעריכה קנסות עד 10 מיליון יורו או 2% מהכנסה עולמית שנתית.

נורמות טכניות של התייחסות

• ETSI EN 319 401: דרישות כלליות לספקי שירותי ביטחון;
• ETSI EN 319 411-2: פרופיל מדיניות לתעודות מוסמכות;
• ETSI EN 319 132: פורמטי חתימה XAdES;
• ETSI EN 319 122: פורמטי חתימה CAdES;
• ETSI EN 319 162: פורמטי חתימה PAdES (PDF).

תרחישי שימוש: מתי חתימה מוסמכת eIDAS היא בלתי תחליפית?

תרחיש 1 — משרד עורכים המנהל מעשים תחת חתימה פרטית עם ערך הוכחה גבוה

משרד עורכים בתחום ה-deal של כ-20 משתתפים מטפל כל חודש בעשרות מכירות של נתחי חברה, פרוטוקולים הסכמים וקונוציה על וערנטיות נכסים והתחייבויות (GAP). מעשים אלו מחייבים סכומים בעתירות למיליוני יורו, וסביר שיעמדו להתנגדות בהליך משפטי.

לפני הגירה לספק eIDAS מוסמך, המשרד השתמש בפתרון חתימה מתקדם (AES), מה שהיה מספיק לרוב המעשים השגרתיים. לאחר אירוע שבו הצד הנגדי ערער על כנות חתימה בהליך משפטי, בחר המשרד QES לכל המעשים בעלי סיכון גבוה. תוצאה: הפחתה של 90% בזמן המבוקד בהוכחת חתימה בתהליכים משפטיים, הודות להנחה חוקית בלתי מופריה המצורפת לQES. ההוצאה הנוספת לכל חתימה (כ-2 עד 5 יורו לפי כרכים) ספגה במלואה על ידי ירידה בהוצאות חיקוק.

תרחיש 2 — ETI תעשייתי המנהל חוזים ספקים חוצי תחומים

חברת גודל בינוני (ETI) בתחום כלים תעשייתיים, עם ספקים במקומות מוסדו בצרפת, גרמניה, איטליה ופולין, היתה חייבת עד כה לשלוח חוזיה הקובעים בדואר או לארגן פגישות חתימה בהנוכחות בחו"ל, מה שיצר עיכובים של 10 עד 21 ימים עסקיים לכל חוזה.

בהטמעת פתרון מחובר לPSCQ אירופי הרשום ב-Trust List, החברה צמצמה את מחזור החתימה לפחות מ-48 שעות בממוצע. ההכרה ההדדית בין מדינות חברות מבטיחה ערך משפטי ללא צורך בהלגלה נוספת. על תיק של 350 חוזים ספקים שנתיים, הרווח המשוער בהוצאות הנהלתיות ולוגיסטיות עולה על 40,000 יורו בשנה, לפי טווחים עקביים עם מחקרים סקטוריאליים שפורסמו על ידי ACFE וAPQC.

תרחיש 3 — קבוצת בתים חולים כפופה לדרישות סקטור הבריאות

קבוצת בתים חולים של כ-1,200 מיטות חייבת לחתום באופן אלקטרוני על קניות ציבוריות, קונוציה למחקר קליני וחוזים של רופאי בתי חולים. מסמכים אלו כפופים לקוד רכישה ציבורית, שדורש חתימה אלקטרונית בהתאם לRGS (ספר संदReferenc כללי של ביטחון) ברמה ** או, מאז דמטריאליזציה של קניות ציבוריות, ברמה שוות eIDAS.

בהסתמכות על PSCQ הרשום ברשימת הביטחון הצרפתית, הקבוצה מבטיחה תאימות עם סעיף R. 2132-7 של קוד הרכישה הציבוריות תוך צמצום זמני החתימה של קניות מ-15 ימים לפחות מ-72 שעות. אינטגרציה API עם מערכת המידע בבתי חולים (SIH) אפשרה להפוך את השידור והמעקב של מסמכים, ומשחררת בערך 0.4 ETP על משימות הנהלתיות הקשורות לחוזים.

סיום

בחירת ספק eIDAS מוסמך אינה רכישת תוכנה פשוטה: זו החלטה אסטרטגית המחייבת את ערך הוכחה של מעשיך, את התאימות הרגולטוריות של הארגון שלך ואת אמון ההשותפים המסחריים והמוסדיים שלך. ב-2026, עם הכניסה לתוקף הדרגתית של eIDAS 2.0 והחובות החדשות NIS2, רמת הדרישה רק גדלה.

הנקודות החיוניות שחובה לזכור: בדוק תמיד הרשמה ברשימת הביטחון הרשמית, דרוש מדיניות סמכה שפורסמה, והתאם את רמת החתימה (QES, AES, SES) לסיכון המשפטי של כל מסמך.

Certyneo מלווה אתך בתהליך זה על ידי מתן גישה לתעודות מוסמכות דרך PSCQ שהופנו, API אינטגרציה חזקה ותמיכה משפטית ייעודית. מוכן לעבור לחתימה מוסמכת? בקש הדגמה או צור את החשבון שלך ב-Certyneo והעלה את הארגון שלך לתאימות היום עצמו.