eIDAS 2 certifikacija pružatelja usluga signature 2026

Zašto certifikacija eIDAS 2 mijenja pravila igre za pružatelje usluga

Od stupanja na snagu Uredbe (EU) 2024/1183 od 11. travnja 2024. — obično zvane eIDAS 2 — pružatelji usluga povjerenja (PSC) koji posluju u Europskoj uniji suočavaju se s duboko izmijenjenim regulatornim okvirom. Pregled izvorne Uredbe eIDAS iz 2014. godine ne ograničava se samo na proširenje opsega priznatih usluga: značajno otežava uvjete akreditacije, uvodi nove razine osiguranja i pojačava zahtjeve nadzora nacionalnih regulatornih tijela. Za svakog subjekta koji želi nuditi usluge kvalificirane elektroničke signature (QES) ili napredne (AdES) na europskom tržištu, razumijevanje kako dobiti certifikaciju eIDAS 2 za pružatelja signature više nije opcija — to je strateška obaveza.

Ovaj članak daje sveobuhvatni pregled puta certifikacije: primjenjivi tekstovi, tehnički standardi koji se moraju poštovati, uloga tijela za procjenu sukladnosti (CAB), realistični rokovi i operacijske točke opreznosti.

---

Novi regulatorni pejzaž eIDAS 2: što se promijenilo

Od Uredbe 910/2014 do Uredbe 2024/1183: glavne izmjene

Izvorna Uredba eIDAS (br. 910/2014) postavila je temelje jedinstvenog europskog tržišta povjerenja na internetu. Definirala je tri razine signature — jednostavnu, naprednu i kvalificiranu — i nametala je kvalificiranim pružateljima da budu navedeni na nacionalnim listama povjerenja (TSL, Trust Service Lists). eIDAS 2 čuva ovu arhitekturu, ali je obogaćuje na nekoliko strukturnih točaka:

• Proširenje kvalificiranih usluga: kvalificirano elektroničko arhiviranje, elektroničke ateste atributa (AEA), daljinska upravljanja uređajima za stvaranje kvalificirane signature (QSCD). Te nove usluge sada su podvrgnute istoj proceduri akreditacije kao i kvalificirana signatura.
• Europski novčanik digitalne identitete (EUDIW): pružatelji koji žele stupiti u interakciju s budućim novčanikom identitete moraju dokazati svoju sukladnost s tehničkim specifikacijama koje je objavila Komisija (ARF — Architecture and Reference Framework, v1.4, 2024).
• Pojačani nadzor: nacionalne vlasti za nadzor (u Francuskoj, ANSSI) imaju pojačane istražne i naredbodavne ovlasti. Kvalificirani PSC mogu biti predmetom neočekivanih revizija.
• Skraćeni rokovi obavijesti: svaki značajni incident sigurnosti mora biti prijavljen nadležnoj vlasti u roku od 24 sata (u odnosu na 72 sata u prethodnoj verziji za određene incidente).

Za sveobuhvatni pregled Uredbe, vodič eIDAS 2.0 Certyneoa nudi pedagoški pregled svih tih izmjena.

Razine osiguranja i njihove implikacije za certifikaciju

Razlikovanje između napredne i kvalificirane elektroničke signature ostaje okretnica sustava. Samo QES uživа pravnu pretpostavku integriteta i imputabilnosti ekvivalentnu ručnoj signature (čl. 25 eIDAS 2). Ta pretpostavka izravno je uvjetovana certifikacijom pružatelja.

| Razina | Dokazna vrijednost | Zahtjev pružatelja | |---|---|---| | Jednostavna (SES) | Ograničena | Nema | | Napredna (AdES) | Značajna | Dobre prakse + standardi ETSI | | Kvalificirana (QES) | Maksimalna (pravna pretpostavka) | Obavezna certifikacija eIDAS 2 |

---

Proces certifikacije eIDAS 2 korak po korak

Korak 1 — Organizacijski i tehnički preduvjeti

Prije formalnog pokretanja procesa certifikacije, pružatelj mora provjeriti razinu zrelosti na tri osi:

1. Sukladnost sa standardima ETSI Standardi serije EN 319 čine nezaobilaznu tehničku osnovu. Glavni su:

• ETSI EN 319 401: opći zahtjevi za pružatelje usluga povjerenja
• ETSI EN 319 411-1 i 411-2: politike i zahtjevi za vlasti za certifikaciju koje izdaju certifikate (profili PTC-QC za kvalificirane certifikate)
• ETSI EN 319 421: politika i zahtjevi za pružatelje usluga vremenskog žiga
• ETSI EN 319 132: formati signature XAdES (XML), te povezane serije CAdES (CMS) i PAdES (PDF)

Sukladnost s tim standardima nije opciona za kvalificirane pružatelje: eksplicitno je potrebna u aktima izvršenja Europske komisije.

2. Sigurnost sustava informacija QSCD (uređaji za stvaranje kvalificirane signature) moraju biti certificirani prema Common Criteria (CC) EAL4+ ili ekvivalentu. Za rješenja daljinskog potpisivanja — dominantan SaaS model — zahtjevi se također odnose na HSM module (Hardware Security Module) i procedure upravljanja kriptografskim ključevima (najmanje FIPS 140-2 razina 3).

3. Politika sigurnosti (PSSI) i upravljanje rizicima Dosjeda certifikacije zahtijeva formaliziranu PSSI, usklađenu s ISO/IEC 27001 (čija se certifikacija snažno preporučuje i ponekad zahtijeva od CAB-a) i uključujući zahtjeve NIS2 za entitete označene kao „važne" ili „esencijalne".

Korak 2 — Izbor i angažiranje tijela za procjenu sukladnosti (CAB)

U Francuskoj su CAB-ovi akreditirani od strane COFRAC-a (Odbor za akreditaciju Francuske) za procjenu pružatelja usluga povjerenja rijetki. Kao primjer, LSTI (Laboratoire de Sécurité des Technologies de l'Information) i Bureau Veritas Certification spadaju među referencirane aktere. Na razini Europe, svaka država članica objavljuje popis svojih notificiranih CAB-ova.

Uloga CAB-a je provesti reviziju sukladnosti u dvije faze:

1. Pregled dokumentacije (Faza 1): pregled politika, procedura, Izjave o praksi certifikacije (DPC / CPS) i tehničkih dokaza.
2. Revizija na mjestu (Faza 2): provjera operativnih kontrola, testovi prodiranja, razgovori s timovima.

Ukupno trajanje CAB revizije általában 4 do 8 tjedana ovisno o prethodnoj zrelosti kandidata.

Korak 3 — Obrada od strane nacionalnog nadzornog tijela

U Francuskoj, ANSSI (Agencija za nacionalnu sigurnost sustava informacija) obrađuje zahtjeve za upis na nacionalnu listu povjerenja (TSL FR). Na temelju izvještaja CAB revizije, ANSSI provodi vlastitu analizu i može tražiti dodatne informacije ili korekcijske mjere.

Regulatorni rok obrade je 3 mjeseca od primitka potpunog dosjea (čl. 17 eIDAS 2). U praksi, stvarni rokovi su često duži ako je početni dosjea nepotpun.

Jednakutim što je upisan na nacionalnu TSL, pružatelj je automatski evidentiran u EUTL (EU Trusted List), što ga čini objavljenom od Europske komisije, što mu daje trenutnu transnacionalnu prepoznatljivost u svih 27 država članica.

Korak 4 — Održavanje kvalifikacije i obnova

Certifikacija eIDAS 2 nije trajna. Kvalificirani pružatelji su podvrgnuti:

• Godišnjoj reviziji nadzora koju provodi CAB
• Reviziji potpunog obnavljanja svakih 24 mjeseca (skraćeni ciklus u odnosu na prethodnu praksu)
• Neočekivanim pregledima moguće na inicijativu ANSSI-ja

Svaka bitna izmjena infrastrukture (promjena HSM-a, razvoj PKI-ja, nova kvalificirana usluga) pokriva proceduru prethodne obavijesti i može nametati parcijalnu reviziju.

---

Troškovi, rokovi i čimbenici rizika: što DSI-jevi trebaju predvidjeti

Proračun i ljudski resursi

Trošak prve certifikacije eIDAS 2 je značajan. Postavke rashoda obuhvaćaju:

• Revizija CAB-a: između 40 000 € i 120 000 € ovisno o složenosti opsega
• Tehničko usklađivanje (HSM, PKI, QSCD certifikat CC): od 80 000 € do nekoliko stotina tisuća eura za vlasniteljsku infrastrukturu
• Certifikacija ISO 27001 (preporučeno prethodno): 15 000 do 50 000 € ovisno o veličini
• Troškovi pravnog savjeta i izrada DPC-a: 10 000 do 30 000 €
• Interni troškovi: mobilizacija dedicirane ekipe (RSSI, DPO, odgovorni za sukladnost) tijekom 12 do 18 mjeseci

Zbrajajući sve te stavke, potpuna certifikacija predstavlja ukupan ulaganje reda veličine 200 000 do 500 000 € za pružatelja srednje veličine, bez ponavljajućih troškova održavanja.

Operativni čimbenici rizika

Najčešće uzroke neuspjeha ili kašnjenja u postupcima certifikacije su:

1. DPC koji je nedovoljno detaljana: Izjava o praksi certifikacije mora dokumentirati svaku kontrolu s granularnošću koja je ponekad nedovoljno procjenjena.
2. Nedostaci u upravljanju životnom dobi ključeva: opoziv, arhiviranje, brisanje privatnih ključeva.
3. Nedovoljna vladavina incidentima: nedostatak SIEM-a, testiranih procedura upravljanja krizom, runbook-a.
4. Podcjenjivanje NIS2: od listopada 2024., kvalificirani PSC-ovi su automatski klasificirani kao „važne" entitete u smislu Direktive NIS2, s dodatnim obvezama prijave i upravljanja rizicima.

Za poduzeća koja žele delegirati ta ograničenja na već certificiranoga pružatelja umjesto da grade vlastitu infrastrukturu, usporedni prikaz rješenja elektroničke signature dostupan na Certyneou pomaže objektivizirati ovaj izbor izgradnje-nasuprot-kupovini.

---

eIDAS 2 i elektronička signatura u poduzeću: pitanja prijelaza

Za korisničke organizacije — za razliku od pružatelja — certifikacija eIDAS 2 njihova SaaS pružatelja usluga signature sada je nezaobilazni kriterij odabira. Integriranje u javne pozive klauzule koja zahtijeva prisutnost na nacionalnoj TSL postala je standardna praksa u reguliranim sektorima (financije, zdravstvo, nekretnine).

Elektronička signatura u poduzeću doista zahtijeva jasnu razliku između slučajeva primjene koji zahtijevaju QES — privatni akti s visokim udjelom, punomoći, elektronički notarski akti — od onih gdje AdES dovoljan. Ova kartografija primjene izravno uvjetuje razinu usluge koju se ugovoreno može zahtijevati od pružatelja.

Organizacije koje migriraju iz postojućeg rješenja prema već certificiranome pružatelju eIDAS 2 trebaju također predvidjeti prenosivost arhiva dokaza. Vodič o migraciji iz DocuSign-a ili YouSign-a prema Certyneou detaljira dobre prakse za očuvanje dokazne vrijednosti dokumenata koji su već potpisani tijekom prijelaza.

Zakonski okvir primjenjiv na certifikaciju eIDAS 2

Temeljni tekstovi

Certifikacija pružatelja usluga povjerenja temelji se na gustoj normativi koju je potrebno potpuno razumjeti:

Uredba (EU) 2024/1183 od 11. travnja 2024. (eIDAS 2): referentni tekst koji gasi i zamjenjuje odgovarajuće odredbe Uredbe 910/2014. Definira uvjete za stjecanje i održavanje statusa kvalificiranog pružatelja, obveze nacionalnog nadzora, te zahtjeve za nove usluge (EUDIW, AEA).

Uredba (EU) br. 910/2014 (eIDAS 1): još uvijek je djelomično primjenjiva za odredbe koje nisu izmijenjene; akti izvršenja i delegirani akti usvojeni prema toj Uredbi ostaju na snazi do njihove formalne revizije.

Francuski Građanski zakon, članci 1366. i 1367.: članak 1366. postavlja princip ekvivalencije elektroničke signature ručnoj signature pod uvjetom pouzdanosti; članak 1367. pojašnjava da je pouzdanost pretpostavljena dok se ne dokaže suprotno kada se koristi kvalificirana signatura. Te domaće odredbe direktno se artikuliraju s pravnom pretpostavkom članka 25. eIDAS 2.

Direktiva (EU) 2022/2555 (NIS2): transponirana u francuski zakon Zakonom od 15. listopada 2024., automatski svrstava pružatelje usluga povjerenja u važne entitete. Obaveze: prijava ANSSI-ju unutar 72 sata za bilo koji značajni incident, formalizirano upravljanje cyber rizicima, periodička sigurnosna revizija.

Uredba (EU) 2016/679 (GDPR): pružatelji usluga signature obrađuju osjetljive osobne podatke (identitet potpisnika, žurnali revizije). Poštovanje načela minimizacije, ograničenja čuvanja i integriteta nameće specifičnu analizu utjecaja (AIPD). Pravna osnova obrade mora biti dokumentirana za svaku uslugu.

Tehnički standardi s regulatornom vrijednosti

Akti izvršenja Europske komisije (pogotovo Odluka komisije (EU) 2015/1506 i njezine revizije) označavaju standarde ETSI kao prezumptivno sukladne:

• ETSI EN 319 401: opći zahtjevi TSP
• ETSI EN 319 411-1 i 411-2: politike certifikacije
• ETSI EN 319 421: kvalificirani vremenski žig
• ETSI EN 319 132 / 122 / 102: formati AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: usluge daljinskog potpisivanja

Pravni rizici u slučaju nesukladnosti

Nesvjesna ili namjerna kršnja statusa kvalificiranog pružatelja izlaže administrativnim kaznama koje izriče ANSSI (suspenzija, uklanjanje s liste povjerenja) i kaznenim procesuima (čl. 226-17 Kaznenog zakonika za nedostatak sigurnosti osobnih podataka). Na građanskom planu, osporavanja vrijednosti dokaza potpisima emitiranima tijekom razdoblja nesukladnosti može angažirati ugovornu odgovornost pružatelja prema svojim klijentima.

Scenariji korištenja: eIDAS 2 certifikacija u praksi

Scenarij 1 — SaaS editor srednje veličine ciljajući kvalifikaciju QES

Društvo specijalizirano za dematerijalizam dokumenata, zapošljavajući stotinu suradnika i upravljajući nekoliko milijuna transakcija signature godišnje za račun klijenata u bankarskom i osiguravajućem sektoru, odlučuje tražiti eIDAS 2 kvalifikaciju za svoju elektroničku signature uslugu. Do sada je tvrtka nudi naprednu signature baziranu na certifikatima (AdES), dovoljnu za većinu svojih klijentskih ugovora, ali nedovoljnu za akte koji zahtijevaju maksimalnu dokaznu vrijednost (SEPA punomoći, notarske dogovore dokaza).

Nakon tromjesečne internog revizije koja je otkrila oko petnaest glavnih neslaganja s ETSI EN 319 411-2 zahtjevima, tvrtka pokreće program usklađivanja tijekom 14 mjeseci. Glavni projekti tiču se zamjene postojećih HSM-ova modulima certificiranima FIPS 140-2 razina 3, izrade DPC-a od 180 stranica, i stjecanja ISO 27001 certifikacije prethodno CAB reviziji. Ukupno ulaganje dostiže 340 000 €. Nakon završetka procesa, upis na francusku TSL omogućuje tvrtki pristup javnim pozivima iz kojih je sistematski isključivana, što predstavlja komercijalni potencijal od oko 20% dodatnih prihoda.

Scenarij 2 — Bolnički zbor integrira kvalificiranu signature za medicinsko-pravne akte

Bolnički zbor od oko 1200 posteljica želi dematerijaliti svoje procese informirane suglasnosti, delegacije medicinskih ovlasti i ugovora kliničkog istraživanja. Ti se dokumenti ubrajaju u kategoriju dokumenata za koje je QES potrebna ili snažno preporučena referencijalnim normama HAS-a i zakonskom okvirom zdravstvenih podataka (čl. L. 1110-4 CSP).

Umjesto certifikacije internog infrastrukture — opcija smatrana prejakom skupnom i izvan glavne struke — zbor odabire integraciju trećeg pružatelja već upisanog na TSL. DSI provodi reviziju sukladnosti pružatelja na temelju ETSI EN 319 401 kontrolne liste i provjerava stvarnu prisutnost na EUTL prije bilo kakve ugovornosti. Uvođenje, provedeno tijekom 4 mjeseca, smanjuje za 65% vrijeme prikupljanja potpisa na istraživačkim dosjeima i eliminira rizik od pravnog osporavanja vezanog uz prethodnu upotrebu jednostavnih potpisa za osjetljive akte.

Scenarij 3 — Odvjetničko društvo za poslovnu praksu osiguravajući svoje privatne akte

Odvjetničko društvo za poslovnu praksu od tridesetak partnera, godišnje upravljajući bliskom 400 transakcija fuzije i akvizicije i prodaje poslovnog fonda, želi osigurati sigurnost signature svojih složenih privatnih akata. Jedinična vrijednost obrađenih transakcija često premašuje milijun eura, a svaki vitak forme može angažirati stručnu odgovornost društva.

Nakon analize, IT timom i upravni partner dostižu dogovor oko minimalnog ugovornog zahtjeva QES-a izabranog od strane pružatelja certificiranoga eIDAS 2 za bilo koji akt čija vrijednost premašuje 100 000 €. Kriterij odabira pružatelja obavezno uključuje provjeru upisa na nacionalnu TSL i dostupnost nedavnog certifikata sukladnosti ETSI (manje od 12 mjeseci). Ovaj okvir omogućuje društvu smanjiti za više od 80% zahtjeve za kontra-stručnjakom opinijom o valjanosti potpisa tijekom kasnije parnice, prema povratnim informacijama promatranim na sličnim strukturama u sektoru.

Zaključak

Dobiti certifikaciju eIDAS 2 kao pružatelj usluge elektroničke signature je zahtjevan, skupan i dug proces — ali nezaobilazan za bilo koji subjekt koji želi nuditi maksimalne pravne garancije svojim klijentima na europskom tržištu. Između usklađivanja sa standardima ETSI, prolaska kroz CAB reviziju, obrade od ANSSI-ja i održavanja kvalifikacije tijekom vremena, poduhvat mobilizira značajne resurse tijekom 12 do 24 mjeseca.

Za korišne organizacije, dobra vijest je da nije potrebno graditi ovu infrastrukturu interno: odabir SaaS pružatelja već certificiranoga eIDAS 2 i upisanoga na nacionalnu listu povjerenja omogućuje odmah uživati pravnu pretpostavku vezanu uz QES, bez nošenja troškova certifikacije.

Certyneo je pružatelj povjerenja certificiran, dizajniran za B2B tvrtke koje zahtijevaju pravnu strogoću i jednostavnost korištenja. Otkrij naše cijene i započni svoj besplatni test danas.