Usklađenost s eIDAS-om za mala i srednja poduzeća: potpuni kontrolni popis za 2026

Europska eIDAS uredba (EU br. 910/2014, koja će uskoro biti dopunjena eIDAS 2.0) regulira elektroničke potpise u cijeloj Europskoj uniji. Za mala i srednja poduzeća usklađenost nije samo okvir za provjeru: to je jamstvo da su njegovi ugovori provedivi, da su njegovi podaci o potpisu zaštićeni i da se štiti od pravnih rizika koji mogu biti skupi. Ovdje je kontrolni popis za 2026. u 12 konkretnih točaka za provjeru je li vaš mali i srednji poduzetnik u potpunosti usklađen s eIDAS-om.

Točka 1: odaberite pravu razinu potpisa

Prvi refleks: mapirajte svoje vrste ugovora i pridružite ciljnu razinu. Standardni komercijalni ugovori (ponude, narudžbenice, jednostavni NDA): SES je dovoljan. Ugovori o radu, leasing, osjetljivi NDA-ovi, strateški ugovori: minimalno AES, po mogućnosti s OTP SMS-om. Regulirani akti (odvjetnik, javni bilježnik, javni ugovori iznad praga): Obvezni QES. Bez ovog preslikavanja riskirate manju (odbijen ugovor) ili preveliku (pretjerani trošak).

Točka 2: provjerite kvalifikaciju pružatelja usluga

Vaš pružatelj usluga mora biti pouzdani pružatelj usluga (QTSP) ili se oslanjati na QTSP za AES/QES razine. Posavjetujte se s Popisom usluga povjerenja koje je objavio ANSSI (eidas.ssi.gouv.fr) i Europskim popisom pouzdanih usluga (webgate.ec.europa.eu/tl-browser). Francuski referentni QTSP-ovi: Certigna, Docaposte, Certinomis, Universign. Za SES/AES putem platforme (Certyneo, Yousign itd.), provjerite njihovu izričito dokumentiranu usklađenost s eIDAS.

Točka 3: Testirajte revizijski trag

Potpišite testnu omotnicu i sakupite revizijski trag (obično zasebni PDF). Mora sadržavati: identitet i email potpisnika, vremensku oznaku svakog koraka (slanje, otvaranje, provjera valjanosti, potpis), IP adresu, korisnički agent, hash dokumenta, OTP provjeru valjanosti ako je AES. Nedostaje li jedan od tih elemenata, slabi se dokazna vrijednost. Certyneo pruža potpuni revizijski trag čak i na besplatnom planu.

Točka 4: kontrolirajte vremenski žig

Vremenski žig mora izdati Tijelo za vremenski žig (TSA) u skladu s RFC 3161. Vremenski žig samo s NTP poslužitelja tvrtke nije dovoljan. Otvorite potpisani PDF u Adobe Readeru: kartica Potpisi → Detalji → Vremenska oznaka. Tamo biste trebali vidjeti valjani TSA certifikat i certificirani sat. Ako PDF nema ovjerenu vremensku oznaku, odustanite od izbora pružatelja usluga.

Točka 5: arhivirajte najmanje 10 godina

Trgovački zakonik (članak L. 123-22) zahtijeva 10 godina skladištenja komercijalnih dokumenata. Zakon o radu propisuje 5 godina za ugovore o radu nakon raskida. Arhiviranje mora sačuvati cjelovitost (hash, pečaćenje) i pristup. Idealno: PDF/A format (ISO 19005), dvostruka pohrana (primarna + sigurnosna kopija izvan lokacije), kvalificirani elektronički sef (CFE) za maksimalan dokaz. Certyneo prema zadanim postavkama arhivira 10 godina i nudi izvoz CFE partnerima.

Točka 6: provjerite lokalizaciju podataka

Gdje se nalaze vaši podaci o potpisu? Za francuska mala i srednja poduzeća koja se bave osjetljivim ugovorima, odaberite francuski ili EU hosting. Zatražite od svog pružatelja usluga popis podizvođača i njihovu lokaciju (članak 28. GDPR-a). Izbjegavajte rješenja koja podliježu američkom Zakonu o oblaku za strateške ugovore. Certyneo je hostiran u Francuskoj, bez ovisnosti o Cloud Actu. Pogledajte naš članak o /blog/cloud-act-signature-electronique.

Točka 7: artikulirati s GDPR-om

Potpis i GDPR su usko povezani: svaka kuverta sadrži osobne podatke (ime, e-mail, IP, telefon). Provjerite uključuje li vaš registar obrade (čl. 30. GDPR-a) elektronički potpis, jesu li razdoblja čuvanja dosljedna (10 godina) i mogu li se ostvariti prava pojedinaca (pristup, ispravak, prenosivost). Ako tražite puno potpisa, preporučuje se DPO. Pogledajte naš članak /blog/signature-electronique-rgpd.

Točka 8: identificirajte potpisnike uzvodno

Za solidan AES, identifikacija ne počinje potpisivanjem: ona počinje prikupljanjem podataka. Provjerite e-poštu (bez aliasa, bez popisa za slanje e-pošte), telefonske brojeve (bez zajedničke linije) i pratite izvor identifikacije (ID za teške ugovore, KYC postojećeg klijenta za ugovore koji su u tijeku). Ova dužna pažnja čini dokaze čvrstim u slučaju spora.

Točka 9: trenirajte timove

Vaši prodajni, HR i pravni timovi moraju razumjeti pravila: nikada ne prisiljavajte potpisnika da koristi uređaj treće strane, nikada ne vraćajte izmijenjeni potpisani PDF, nikada ne lijepite skeniranu sliku potpisa umjesto pravog potpisa. Jedan sat treninga po timu dovoljan je za usađivanje dobrih refleksa. Certyneo pruža potpuni vodič za interno dijeljenje (/resursi).

Točka 10: provjerite ugovore pružatelja usluga

CGU/CGV pružatelja usluge potpisa mora: pokrenuti usklađenost s eIDAS-om, odrediti razdoblja arhiviranja, uključiti ugovor o podizvođaču GDPR-a (čl. 28), dokumentirati podizvođače, osigurati plan reverzibilnosti u slučaju prestanka. Također zatražite SOC 2 tip II ili ekvivalent ako obrađujete velike količine. Za Certyneo, ovi su dokumenti dostupni na /legal i /security.

Točka 11: pripremite eIDAS 2.0 i EUDI novčanik

Uredba eIDAS 2.0 (EU 2024/1183) stupa na snagu postupno i zahtijeva od država članica da uvedu EUDI novčanik prije kraja 2026. Ovaj novčanik za digitalni identitet omogućit će daljinski pristup QES-u bez fizičkog ureda za registraciju. Pripremite svoje malo i srednje poduzeće: provjerite ima li vaš pružatelj usluga EUDI Wallet mapu puta, pratite komunikacije ANSSI-ja i Europske komisije. Pogledajte /blog/eidas-2-nouveau-reglement-2026.

Točka 12: revizija godišnje

Sukladnost nije stečeni status: to je proces koji je u tijeku. Zakažite godišnju reviziju (unutarnju ili vanjsku) za provjeru: regulatornih promjena, razvoja pružatelja usluga, ažurnog mapiranja vrsta ugovora, učinkovitog zadržavanja, obuke novih zaposlenika. Lagana revizija traje pola dana za MSP i izbjegava mnoga iznenađenja. Započnite stvaranjem besplatnog Certyneo računa na certyneo.com/signup kako biste testirali usklađenost u stvarnom svijetu, a zatim pogledajte naš vodič za eIDAS da biste dublje istražili (/guide/eidas).