Kvalificirani elektronički certifikat za poduzeća: Vodič 2026

Zašto je kvalificirani elektronički certifikat postao neizbježan za poduzeća

U vrijeme ubrzane digitalizacije ugovornih procesa u svim sektorima, pitanje kvalificiranog elektroničkog certifikata postaje strateški izazov za pravne odjele, IT direktore i uprave. Prema godišnjem izvješću ANSSI-ja iz 2024., više od 78% francuskih malih i srednjih poduzeća koja su usvojila kvalificiranu elektronsku signaturu smanjila su rokove zaključivanja ugovora za više od 60%. Međutim, mnogi još uvijek brkaju jednostavne, naprednene i kvalificirane signature — s rizikom od osporavanja svojih pravnih akata. Ovaj članak vas korak po korak vodi kako razumjeti što je kvalificirani elektronički certifikat, kako ga dobiti u skladu s RGS i eIDAS okvirom, i kako ga učinkovito primjeniti u svojoj organizaciji.

Što je kvalificirani elektronički certifikat?

Elektronički certifikat je digitalna datoteka koju izdaje Certifikaciono tijelo (CT) koja povezuje identitet fizičke ili pravne osobe s javnom kriptografskom ključem. To je ključni element koji omogućava trećoj strani da provjeri autentičnost i integritet digitalne signature.

Obilježje "kvalificirani" odnosi se na preciznu definiciju iz europske uredbe eIDAS (br. 910/2014, članak 28): certifikat mora biti izdан od strane Kvalificiranog pružatelja usluga povjerenja (KPUP), upisanog na nacionalnu listu povjerenja (u Francuskoj, objavljenu od strane ANSSI-ja). Mora također zadovoljiti tehničke zahtjeve norme ETSI EN 319 411-2, koja oblikuje politike i prakse certificiranja.

U praksi, kvalificirani certifikat jamči:

• Provjerenu identitetu potpisnika (provjera dokumenata licem u lice ili ekvivalentnim odobljenim sredstvima);
• Integritet potpisanog dokumenta (sve izmjene nakon potpisivanja su vidljive);
• Neporecivost (potpisnik ne može poreći da je postavio svoju signaturu).

Razlika između jednostavne, naprednene i kvalificirane signature

Uredba eIDAS razlikuje tri razine elektronske signature, svaka s povezanom razinom certifikata:

| Razina | Potreban certifikat | Dokazna vrijednost | Tipična upotreba | |---|---|---|---| | Jednostavna | Nije obavezna | Mala | Obični narudžbeni obrici | | Naprednena | Napredni certifikat (KPUP) | Srednja | B2B poslovni ugovori | | Kvalificirana | Kvalificirani certifikat (kvalificirani KPUP) | Maksimalna, ekvivalentna ručnoj signaturi | Notarski akti, javni natječaji, osjetljivi HR poslovi |

Za kvalificiranu signaturu — jedina koja uživa zakonsku pretpostavku ekvivalencije ručnoj signaturi (čl. 1367 Građanskoga zakona) — kvalificirani certifikat je neophodan. Za više informacija o razlikama između razina, pogledajte naš potpuni vodič elektronske signature.

---

RGS okvir: francuske specifičnosti koje trebate znati

U Francuskoj, Opći referentni dokument za sigurnost (RGS), uspostavljen Dekretom br. 2010-112 i redovito ažuran od strane ANSSI-ja, određuje zahtjeve sigurnosti primjenjive na informacijske sustave tijela javne vlasti. Za poduzeća koja sklapaju ugovore s javnim entitetima (javni natječaji, elektronske procedure), poštivanje RGS-a često je ugovorna ili zakonska obaveza.

Razine RGS primjenjive na certifikate

RGS određuje tri zvjezdica kvalifikacije za certifikate:

• RGS* (jedna zvjezdica) : osnovna razina, prikladna za uobičajene aktivnosti male osjetljivosti;
• RGS (dvije zvjezdice)**: промежутачна razina, obavezna za većinu elektronskih administrativnih procedura;
• RGS (tri zvjezdice)*: visoka razina, za akta s velikim pravnim ili financijskim rizikom.

Za dematerijalizirane javne natječaje preko profila kupca, Dekret br. 2016-360 (članci 39 i 40) općenito nameće minimalno signaturu razine RGS, što znači certifikat ekvivalentne kvalifikacije.

Odnos između RGS-a i eIDAS-a

Od primjene uredbe eIDAS dva su referentna dokumenta simultano aktivna. Certifikat kvalificiran prema eIDAS-u smatran je da zadovoljava RGS** zahtjeve u najvećem broju slučajeva. ANSSI je objavio tablice usklađenosti koje omogućavaju provjeru kompatibilnosti. Stoga se preporučuje, za poduzeća koja rade s privatnim i javnim partnerima, da daju prioritet kvalificiranom certifikatu eIDAS-a izdanom od strane KPUP-a upisanog na francusku listu povjerenja — što simultano pokriva oba referentna dokumenta.

Za detaljniju analizu europske uredbe, naš vodič eIDAS 2.0 pojašnjava glavne promjene i njihov utjecaj na francuska poduzeća.

---

Kako dobiti kvalificirani elektronički certifikat: korak po korak proces

Dobivanje kvalificiranog elektroničkog certifikata nije trivijalna procedura: ona uključuje rigoroznu provjeru identiteta podnositelja i, za pravnu osobu, njegove zakonske predstavničke vlasti. Evo glavnih koraka.

Korak 1: Identificirajte odgovarajućeg kvalificiranog pružatelja usluga povjerenja

U Francuskoj, KPUP-ovi ovlašteni da izdaju kvalificirane certifikate navedeni su na Trust Service Status List (TSL) objavljenoj od strane ANSSI-ja (dostupnoj na portalu esignature.gouv.fr). Među igračima na listi nalaze se CT poput CertEurope, Certinomis (podružnica La Posta), Keynectis i ostali europski priznanici prema principu međusobnog priznanja eIDAS-a.

Kriteriji izbora koje trebate razmotriti:

• Efektivna prisutnost na francuskoj i/ili europskoj TSL listi;
• Format certifikata koji se nudi (softver, na pametnoj kartici, cloud HSM);
• Kompatibilnost s vašom postojećom IT infrastrukturom;
• Određivanje cijena i period valjanosti (obično 1 do 3 godine);
• Razina podrške i rokovi upisivanja.

Korak 2: Priprema registracijskih dokumenata

Za poduzeće, zahtjev za kvalificirani certifikat zahtijeva predočenje dokumenata koji dokazuju identitet nositelja (fizička osoba) i njegovu sposobnost da predstavlja pravnu osobu. Dokumenti koji se obično trebaju su:

• Službeni dokument o identiteti nositelja (putovnica, nacionalna iskaznica);
• Izvod iz Biltena formalnosti stariji od 3 mjeseca (ili ekvivalent za udruge, javne institucije);
• Procura ako nositelj nije zakonski predstavnik prema Statutu;
• Obrazac zahtjeva specifičan za odabrani KPUP.

Provjera identiteta mora biti obavljena licem u lice pred Operaterom registracije (OR) ovlaštenim od KPUP-a, ili postupkom provjere na daljinu odobljenim (video-identifikacija u skladu s normom ETSI TS 119 461).

Korak 3: Primanje i aktivacija certifikata

Ovisno o odabranom formatu, certifikat se primjenjuje:

• Na uređaj za stvaranje kvalificirane signature (QSCD): kriptirajući USB ključ ili certifikatska pametna kartica Common Criteria EAL 4+;
• Preko usluge signature na daljinu (Remote Qualified Electronic Signature — RQES) koju upravlja KPUP, gdje je privatni ključ smješten u certificiran HSM (Hardware Security Module) prema normi ETSI EN 419 241.

Implementacija RQES usluge je danas najčešće primjena od strane poduzeća jer izbjegava fizičko upravljanje kriptografskim nosačima dok se održava kvalificirana usklađenost. Usporedite rješenja elektronske signature kako biste identificirali model koji se najbolje uklapa u vaš kontekst.

Korak 4: Integracija u poslovne procese

Nakon što dobijete certifikat, integracija u tvrtkinih procesne tokove obično ide kroz SaaS platformu za elektronsku signaturu. Ona mora biti kompatibilna s ETSI standardima (XAdES, PAdES, CAdES) kako bi se jamčila interoperabilnost i trajnost digitalnih dokaza. Naš članak posvećen elektronskoj signaturi u poduzeću pomoći će vam strukturirati ovu primjenu.

---

Cijena, valjanost i obnova: što poduzeća trebaju antecipirati

Tarifni raspon 2026.

Cijene kvalificiranih certifikata značajno variraju ovisno o formatu i pružatelju:

• Certifikat na fizičkom nosaču (USB/kartica): između 80 € i 250 € bez PDV-a po nosaču i godini;
• Kvalificirani certifikat u oblaku (RQES): između 40 € i 150 € bez PDV-a po nosaču i godini, ovisno o količini;
• Poslovni paketi: značajne popuste primjenjive od 10 nosilaca, što dostiže 30 do 40% od cijene jedinice.

Ove troškove trebate stavljati u perspektivu sa štednjom koju generirate: uklanjanje ispisa, poštarina, rokove obrade pošte i sporove vezane uz osporene signature.

Trajanje valjanosti i obnova

Valjanost kvalificiranog certifikata obično se postavlja na 1, 2 ili 3 godine ovisno o ponudi. Po isteku, prethodno potpisani dokumenti ostaju valjani (ako je njihova integritet čuvan kroz kvalificirani vremenski servis), ali nove dokumente se ne mogu potpisati s isteknutim certifikatom. Stoga je bitno postaviti proces nadzora i anticipirane obnove — idealno 60 dana prije isteka.

Otkazivanje i upravljanje incidentima

U slučaju kompromisa privatnog ključa (gubitak, krađa nosača, sumnja na otkrivanje), certifikat se mora odmah opozvati kod KPUP-a. Taj objavljuje opoziv u svojoj Listi opozvanog certifikata (CRL) ili preko OCSP protokola, čineći bilo koju signaturu s tim certifikatom nevaljalom. Interna politika sigurnosti mora stoga predvidjeti namjenske kontakt točke i vrijeme upozorenja manje od 24 sata.

---

Najbolje prakse za uspješnu primjenu u poduzeću

Upravljanje i interni uloge

Uspješna primjena oslanja se na jasnu upravljačku strukturu. Preporučuje se da postavite:

• PKI odgovora (Public Key Infrastructure) na IT strani, zadužen za odnos s KPUP-om i nadzor obnove;
• Pravnog referenta koji potvrdi slučajeve korištenja koji zahtijevaju kvalificiranu signaturu (nasuprot naprednoj);
• Administratore delegirane po odjelu za operativno upravljanje nositeljima.

Obuka i upravljanje promjenom

Uspostava kvalificiranog certifikata nije dovoljna: suradnici moraju razumjeti kako koristiti svoj certifikat, kada ga aktivirati i kako reagirati u slučaju incidenta. Kraća obuka (1 do 2 sata) i dokumentirane procedure značajno smanjuju greške u upotrebi i tikete podrške.

Revizija i praćenja

Za zadovoljenje obveza dokazivanja, čuvajte vremenski označeni revizijski dnevnik svake obavljene signature: identitet potpisnika, otisak dokumenta, datum/vrijeme potvrđen, identifikator certifikata. Ti podaci čine osnovu dokaznog lanca u slučaju spora. Norma ETSI EN 319 132 (XAdES) predviđa formate signatury koji uključuju te podatke u tekućem obliku.

Primjenjivi pravni okvir za kvalificirane elektroničke certifikate

Građanski zakon i dokazna vrijednost

U hrvatskom pravu, članak 1366 Građanskog zakona postavljaj princip ekvivalencije između elektronskog pisma i papirnatog pisma, pod uvjetom da je "identitet osobe od koje potječe pravilno utvrđen i da je uspostavljena i čuvana na način koji jamči integritet". Članak 1367 stavak 2 pojašnjava da kvalificirana elektronska signatura prima pretpostavku pouzdanosti: stranka koja osporava signaturu mora dokazati suprotno, čime se tereta dokazivanja prebacuje u korist potpisnika.

Uredba eIDAS br. 910/2014

Europska uredba eIDAS (br. 910/2014), izravno primjenjiva u svim državama članicama od 1. srpnja 2016., čini nadnacionalni temelj. Njen članak 25(2) propisuje da "kvalificirana elektronska signatura ima pravni učinak ekvivalentan ručnoj signaturi". Članci 28 i 29 određuju zahtjeve primjenjive na kvalificirane certifikate i uređaje za stvaranje kvalificiranih signatura (QSCD). Prilog I navodi obavezne pokaze kvalificiranog certifikata (OID politike, identitet KPUP-a, javni ključ, datume valjanosti, itd.).

Promjene eIDAS 2.0

Uredba eIDAS 2.0 (Uredba EU 2024/1183, stupila na snagu 20. svibnja 2024.) uvodi europski digitalni identitetski novčanik (EUDIW) i pojačava zahtjeve dostupnosti kvalificiranih usluga povjerenja. Poduzeća će trebati antecipirati integraciju ovih novih mehanizama identifikacije do 2026.-2027.

Primjenjive ETSI norme

• ETSI EN 319 411-2 : politika i prakse za KPUP-ove koji izdaju kvalificirane certifikate;
• ETSI EN 319 132 (XAdES) i ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES) : formati naprednene i kvalificirane elektronske signature;
• ETSI EN 419 241 : zahtjevi za servere signatura (RQES).

GDPR i zaštita podataka

Obrada osobnih podataka u kontekstu registracije (provjera identiteta, prikupljanje dokumenata) podložna je GDPR-u br. 2016/679. KPUP i tvrtka klijent su suodgovorni za obradu ili u odnosu odgovorna osoba/podizvoditelj prema konfiguraciji. DPA (Ugovor o obradi podataka) suglasan s člankom 28 GDPR-a mora biti potpisan. Registracijski podaci trebaju biti čuvani tijekom životnog vijeka certifikata plus rokovi zastarijevanja koji se primjenjuju (5 godina u ugovornim stvarima).

NIS2 Direktiva i sigurnost infrastrukture

NIS2 Direktiva (2022/2555/EU), usklađena u hrvatsko pravo Zakonom br. 2024-449, nameće neophodnim i važnim entitetima primjenu mjera upravljanja rizicima koja uključuje sigurnost digitalnih lanaca opskrbe. Korištenje kvalificiranog KPUP-a upisanog na TSL nacionalnu listu predstavlja priznatarnu dobru praksu za djelomično zadovoljavanje ovih zahtjeva.

Scenariji korištenja: kvalificirani certifikat u praksi

Scenarij 1: Pravni ured koji upravlja aktima visokog dokaznog vrijednosti

Pravni ured koji se bavi korporativnim poslom s dvadesetak partnera i suradnika redovito mora potpisati akta o prestanku dionica, transakcijske protokole i mandata ad litem. Do sada je svaki akt trebao ispis, ručnu signaturu, sken i poštansku pošiljku — što znači prosječan rok od 4 do 7 radnih dana po ciklusu signature. Nakon primjene kvalificiranih certifikata u oblaku (RQES) za svakog partnera, taj je rok smanjen na manje od 4 sata za akta koja ne zahtijevaju notarsku intervenciju. Ured procjenjuje smanjenje od 65% vremena administrativnog rada vezanog za upravljanje dokumentima i nije zabilježio nijednu osporavanje signature u prvих 18 mjeseci korištenja. Rješenja elektronske signature za pravne urede koju nudi Certyneo nativno se integrira u takve tokove rada.

Scenarij 2: Mala proizvodna tvrtka koja sklapa ugovore s javnim donatorima

Malo proizvodnog poduzeća iz metalurgijskog sektora s oko 120 zaposlenih redovito se javlja na dematerijaliziranim javnim natječajima na profilima kupaca. Dužna je elektronski potpisati svoje ponude i akta angažovanja s certifikatom razine RGS** minimum. Nakon što je dobila dva kvalificirana certifikata (za direktora i ovlaštenog komercijalnog direktora), tvrtka je mogla deponirati svoje ponude u utvrđenim rokovima bez putovanja ili poštanske pošiljke. U godini dane to predstavlja otprilike 35 datoteka javnih natječaja, što znači uštedu od oko 15 radnih dana godišnje samo na upravljanju dokumentima. Usklađenost eIDAS-a certifikata također jamči priznavanje signatura kod donadora iz Njemačke i Belgije, proširujući komercialni opseg. Koristite naš kalkulator ROI-ja kako biste procijenili potencijalne dobitke u vašem vlastito kontekstu.

Scenarij 3: Zdravstveni ured koji osigurava HR i dobavljačke akta

Zdravstveni ured od oko 1200 kreveta, grupiran oko nekoliko ustanova, suočava se s godišnjim volumenom od gotovo 3000 ugovora o radu, amandmana i dobavljačkih obveza. Odsjek za ljudske resurse i odsjek za nabavu zajednički su primjenili rješenja za kvalificiranu signaturu s certifikatima izdanima za ovlaštene direktore. Paralelno, dokumenti koji se trebaju potpisati od strane agenata obrađuju se kroz napredneni tok rada signature, rezervirajući kvalificiranu signaturu za akta direkcije s visokim pravnim vrijednostima. Rezultat: prosječan rok konačnosti ugovora o radu promijenjen je s 12 dana na 2,5 dana, a stopa nekompletnih datoteka (nedostaje signatura, pogrešna verzija potpisana) smanjena je za 78%. Rješenja elektronske signature u zdravstvu koju nudi Certyneo integrira specifičnosti regulatornog okvira zdravstvenog sektora.

Zaključak

Dobivanje kvalificiranog elektroničkog certifikata danas je obavezan korak za svako poduzeće koje želi osigurati svoje digitalne akta, zadovoljiti zahtjeve javnih natječaja i biti dio eIDAS regulatornog okvira. Daleko od biti ograničenje, to je poluga konkurentnosti: smanjeni rokovi signature, neprikosnovni dokazni lanac i transnacionalno priznanje diljem Europske unije.

Ključni koraci koje trebate zapamtiti: odaberi KPUP upisanog na ANSSI listu povjerenja, pripremi rigorozan registracijski dokument, opredjeli se za oblik u oblaku (RQES) kako bi se olakšala primjena i integriraj certifikat u platformu usklađenu s ETSI normama.

Certyneo vas prati na svakom koraku: od izbora odgovarajućeg nivoa signature do integracije u poslovne procese. Zatražite besplatnu demonstraciju i saznajte kako primjeniti kvalificiranu signaturu manje od 48 sati u svojoj organizaciji.