Kvalificirani eIDAS pružatelji: Službena lista za 2026

Zašto je status „kvalificiran" eIDAS presudan za vašu tvrtku?

Otkad je stupila na snagu Uredba eIDAS (br. 910/2014), europsko tržište elektroničkog potpisa strukturiralo se oko trostupne hijerarhije: jednostavni elektronički potpis (SES), napredniji elektronički potpis (AES) i kvalificirani elektronički potpis (QES). Potonji je jedini koji ima korist od zakonske pretpostavke ekvivalencije s rukom pisanim potpisom u svim državama članicama Europske unije.

Kako bi tvrtka mogla nuditi kvalificirane potpise, mora biti obavezno provjerena i upisana u listi povjerenja (Trust List) svoje države članice. U Francuskoj je to Agencija za nacionalnu sigurnost informacijskih sustava (ANSSI) koja vodi ovaj službeni registar, koji je pak ponovno objavljen na centraliziranoj europskoj listi koju upravlja Evropska komisija.

Razumijevanje ove arhitekture temeljno je prije potpisivanja bilo kojeg osjetljivog poslovnog ugovora. Za detaljnije informacije o regulatornim osnovama, naš detaljni vodič kroz Uredbu eIDAS 2.0 detaljno objašnjava sve obveze i izmjene koje je uvela Uredba eIDAS 2.0 (Uredba UE 2024/1183).

---

Kako se certifikuju kvalificirani pružatelji usluga povjerenja?

Put do statusa Kvalificirani Pružatelj Usluga Povjerenja (PSCQ) zahtjevan je. Uključuje reviziju koju provodi organiizam za ocjenu sukladnosti (CAB, Conformity Assessment Body) akreditiran prema normama ETSI EN 319 401 (opće zahtjeve) i ETSI EN 319 411-2 za kvalificirane certifikate.

Faze kvalifikacije ANSSI

1. Podnošenje zahtjeva za kvalifikaciju: pružatelj podnosi svojudokumentaciju (tehničku, sigurnosnu i organizacijsku) ANSSI-u.
2. Revizija od strane akreditiranog CAB-a: treća strana — kao što su Bureau Veritas, LSTI ili Apave Certification — provjerava sukladnost na licu mjesta i na temelju dokumenata.
3. Odluka o kvalifikaciji: ANSSI donosi odluku o kvalifikaciji i upisuje pružatelja na francusku listu povjerenja (TL-FR).
4. Periodičko obnavljanje: kvalifikacija se ponovno evaluira, obično svakih dva godine, kako bi se osiguralo održavanje zahtjeva.

Što konkretno provjerava revizor?

Revizor ispituje između ostaloga:

• Fizičku sigurnost centara podataka koji hostuju kriptografske ključeve (HSM moduli certificirani CC EAL 4+ ili FIPS 140-2 Level 3 minimalno) ;
• Politike certifikacije (CP) i izjave o praksi certifikacije (CPS) koje je objavio pružatelj ;
• Procedure provjere identiteta potpisnika (licem-u-lice ili provjera identiteta na daljinu u skladu s normom EN 419 241-1) ;
• Upravljanje opozivima i dostupnost OCSP/CRL servisa.

Ovi kriteriji objašnjavaju zašto samo nekoliko sudionika postigne i održava razinu certifikacije u Francuskoj.

---

Kvalificirani eIDAS pružatelji evidentirani u Francuskoj za 2026

Službena lista kvalificiranih pružatelja dostupna je bilo kada na službenom portalu Europske komisije (eidas.ec.europa.eu/efts), s filtriranjenjem po „Francuskoj" i servisu „QCertESig" (Qualified Certificate for Electronic Signature). Evo sudionika koji su bili na registru u vrijeme pisanja ovog članka (lipanj 2026):

Francuski sudionici upisani na Trust List

| Pružatelj | Vrsta kvalificiranog servisa | Posebnost | |---|---|---| | Certigna (Dhimyotis) | Kvalificirani certifikati, kvalificirani vremenski žig | Grupa La Poste, certifikovan eIDAS od 2016 | | Certinomis | Kvalificirani certifikati | Filijala La Poste, usmjerena na javni sektor | | ChamberSign France | Kvalificirani certifikati | Mreža CCI, jaka veza s malim i srednjim poduzeća/mikro poduzeća | | Keynectis / DocuSign France | Kvalificirani certifikati | Preuzeto od DocuSign, održavanje ANSSI labele | | Universign (Tessi) | Kvalificirani certifikati, vremenski žigovi | Pionir tržišta, integrirano u Tessi grupu | | Entrust (ex-Datacard) | Kvalificirani certifikati | Međunarodni sudionik, Trust List u više država članica | | Oodrive Sign | Kvalificirani certifikati | Francuski suveren editor, kvalificiran SecNumCloud |

> Upozorenje: ova lista je priložena za referentne i informativne svrhe. Samo službena Trust List Europske komisije ima vrijednost. Uvijek provjerite trenutni status na ETSI portalu prije bilo kojeg ugovornog angažmana.

Strani pružatelji priznati u Francuskoj preko Europske Trust List

Prema principu uzajamnog priznavanja postavljen člankom 25 Uredbe eIDAS, kvalificirani potpis izdao PSCQ upisana na listi povjerenja druge države članice proizvodi istu pravnu snagu u Francuskoj. Među često korištenim stranim sudionicima:

• Namirial (Italija): jakoć u kvalificiranom daljinskom potpisivanju (QES remote signing) ;
• SwissSign (Švicarska): pazite, Švicarska nije članica EU; priznaovanje je djelomično ;
• Qualified.one / Asseco Data Systems (Poljska): javni europski sudionik, čest u prekogranični transakcijama.

Za usporedbu ovih rješenja prema vašim poslovnim potrebama, pogledajte naš usporediti rješenja za elektronički potpis koja analizira kriterije cijena, sukladnosti i integracije API-ja.

---

Kako odabrati pravi kvalificirani eIDAS pružatelja za vašu organizaciju?

Biti na Trust List nužan je, ali nije dovoljan uvjet. Izbor PSCQ-a trebao bi se temeljiti na nekoliko dodatnih kriterija.

Tehnički kriteriji i kriteriji integracije

• REST API ili SDK dostupan: neophodan za automatizaciju potpisa u vašim poslovnim radnim tokovima (ERP, SIRH, CRM) ;
• Podržani formati potpisa: PAdES za PDF, XAdES za XML, CAdES za binarne datoteke — svi standardizirani od ETSI EN 319 100 ;
• Dostupnost servisa: SLA viši od 99,9 % garantiran ugovorom, s planiranim razdobljima održavanja izvan radnog vremena ;
• Hostiranje podataka: preferirajte hostiranje u Francuskoj ili EU, idealno kvalificirano SecNumCloud za osjetljive podatke.

Pravni kriteriji i kriteriji sukladnosti

• Provjerite da li pružatelj pruža ažuran izvještaj o kvalifikaciji (manje od 24 mjeseca) ;
• Zahtijevajte objavljenu politiku certifikacije (CP) dostupnu javnosti i revidirane ;
• Osigurajte da opći uvjeti eksplicitno predviđaju isporuku kvalificiranih certifikata u smislu Prilogaь I Uredbe eIDAS.

Operativni kriteriji i podrška

• Postupak enrolacije potpisnika: licem-u-lice na mjestu, video-identifikacija u skladu s eIDAS ili NFC iz elektroničkog dokumenta identiteta ;
• Podrška na francuskom jeziku s ugovorenim vremenima odgovora ;
• Obuka i dokumentacija dostupne vašim pravnim i IT timovima.

Ako vaša organizacija upravlja važnim HR dokumentarnim tokovima, naša posebna stranica o elektroničkom potpisu za HR timove detaljno objašnjava specifične slučajeve korištenja (radni ugovori, amandmani, uključivanje) i preporučene razine potpisa prema vrsti dokumenta.

---

eIDAS 2.0: koje su izmjene za kvalificirane pružatelje u 2026?

Uredba eIDAS 2.0 (Uredba UE 2024/1183, postepeno u primjeni od svibnja 2024) uvodi nekoliko strukturnih izmjena koje direktno utječu na PSCQ-e i njihove klijente.

Europski Digitalni Novčanik Identiteta (EUDI Wallet)

Članak 6a revidiranog propisa obvezuje države članice da, do rujna 2026, ponude digitalni novčanik identiteta (EUDI Wallet) priznat u cijeloj EU. Za kvalificirane pružatelje, to znači:

• Obvezu prihvaćanja atributa identiteta iz novčanika kao dokaza identiteta za enrolaciju potpisnika ;
• Pojavu novog kvalificiranog servisa: isporuka kvalificiranih elektroničkih potvrda atributa (Qualified Electronic Attestation of Attributes, QEAA).

Novi kvalificirani servisi i proširenje domene

eIDAS 2.0 proširi popis kvalificiranih usluga povjerenja da bude uključen:

• Kvalificirani servisi elektroničkog arhiviranja (QPDS, članak 45f) ;
• Servisi upravljanja uređajima za stvaranje potpisa na daljinu (QRCD).

Ove izmjene predstavljaju i izvršnu prisilu (tijesni rokovi za postojeće pružatelje) i mogućnost za diferencijaciju za nove igrače sposobne brzo integrirati specifikacije koje su objavile ENISA i ETSI.

Za poduzeća koja razmatraju migraciju sa postojeće platforme prema rješenju koje je više usklađeno, naš vodič za migraciju iz DocuSign-a ili YouSign-a prema Certyneo prikazuje konkretne korake i točke redovnog nadzora regulatorne prirode.

Primjenjivi pravni okvir za kvalificirane pružatelje eIDAS

Uredba eIDAS i pravo Unije

Pravna osnova je Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na internom tržištu (koja se naziva „Uredba eIDAS"), kako je izmijenjena Uredbom (EU) 2024/1183 (eIDAS 2.0). Ova uredba izravno se primjenjuje u svim državama članicama bez nacionalne transpozicije.

Njezine ključne odredbe za kvalificirane pružatelje:

• Članak 17: obveza za svaku državu članicu da odredi organ nadzora (u Francuskoj, ANSSI) ;
• Članak 20: postupak nadzora, revizije i upisa na listu povjerenja ;
• Članak 25: pretpostavka ekvivalencije između QES i rukom pisane potpise, s garantiranim pravnim učinkom u cijeloj EU ;
• Prilog I: zahtjevi vezani uz kvalificirane certifikate za elektronički potpis ;
• Prilog II: zahtjevi vezani uz uređaje za stvaranje kvalificiranih potpisa (QSCD).

Francuski zakoni

U domaćim zakonima, elektronički potpis reguliran je sa:

• Građanski zakonik, članci 1366 i 1367: članak 1366 priznaje dokaznu vrijednost elektroničkog pisanog dokumenta pod uvjetom garantiranja identiteta autora i integrnosti dokumenta. Članak 1367 pojašnjava da je elektronički potpis koji se sastoji od pouzdanog postupka identifikacije prihvaćen kao pouzdan kada je kreiran u skladu s dekretom ;
• Dekret br. 2017-1416 od 28. rujna 2017: definira uvjete pod kojima se kvalificirani elektronički potpis pretpostavlja pouzdanim u Francuskoj, izričito se osvrćući na Uredbu eIDAS ;
• Naredba br. 2005-674 od 16. lipnja 2005 vezana uz dopunjavanje određenih ugovornih formalizama elektroničkim putama.

Zaštita podataka o osobama

Procesi enrolacije i potpisivanja uključuju obradu osobnih podataka (podaci o identitetu, biometrija za video-identifikaciju). Kvalificirani pružatelj je podložan Uredbi (EU) 2016/679 (GDPR) i mora posebno:

• Nominirati DPO ako je obrada u большом mjerilu ;
• Dokumentirati obrade u registru CNIL ;
• Ograničiti transfere izvan EU odgovarajućim jamstvima (standardne ugovorne klauzule, odluka o adekvatnosti).

Kibernetička sigurnost i otpornost

Od listopada 2024, Direktiva NIS2 (2022/2555/EU) primjenjuje se na kvalificirane pružatelje usluga povjerenja, klasificirane kao bitni subjekti. Moraju uspostaviti mjere upravljanja kibernetičkim rizicima, prijaviti značajne incidente ANSSI-u unutar 24 sata, i podvrgnuti se redovitim revizijama. Nepoštivanje izlaže kaznama od do 10 milijuna eura ili 2% godišnjih primanja na svjetskoj razini.

Reference tehničkih normi

• ETSI EN 319 401: opći zahtjevi za pružatelje usluga povjerenja ;
• ETSI EN 319 411-2: profil politike za kvalificirane certifikate ;
• ETSI EN 319 132: formati potpisa XAdES ;
• ETSI EN 319 122: formati potpisa CAdES ;
• ETSI EN 319 162: formati potpisa PAdES (PDF).

Scenariji korištenja: Kada je kvalificirani elektronički potpis eIDAS neophodan?

Scenarij 1 — Odvjetničkog tvrtka upravljajući aktima privatnoga prava s visokom dokaznom vrijednosti

Odvjetničkog tvrtka za poslovne transakcije sa dvadeset suradnika trebala svaki mjesec nekoliko desetaka transakcija prodaje udjela, dogovora i garantnih akata. Ovi akti angažiraju sume često veće od nekoliko stotina tisuća eura i mogu biti osporavani u sudskom postupku.

Prije migracije prema kvalificiranom eIDAS pružatelju, tvrtka je koristila napredniju rješenja za potpise (AES), što je bilo dovoljno za većinu običnih akata. Nakon incidenta gdje je suprotna strana osporila autentičnost potpisa tijekom spora, tvrtka je odlučila koristiti QES za sve akte s visokim rizikom. Rezultat: 90% smanjenje vremena potrebnog za prikupljanje dokaza o potpisu tijekom pravnih postupaka, zahvaljujući neprekidnoj zakonskoj pretpostavci vezanoj uz QES. Dodatni jedinični trošak po potpisu (otprilike 2 do 5 € ovisno o količini) potpuno je apsorbirala smanjenje troškova litigacije.

Scenarij 2 — Srednje velika industrijska tvrtka upravljajući transnacionalnim dobavljačkim ugovorima

Srednje velika industrijska tvrtka (ETI) u sektoru industrijske opreme s dobavljačima u Francuskoj, Njemačkoj, Italiji i Poljskoj trebala je do sada slati svoje okvirne ugovore poštom ili organizirati osobne sastanke za potpisivanje, generirajući kašnjenja od 10 do 21 radnog dana po ugovoru.

Primjenom rješenja povezanog s europskim PSCQ upisanim na Trust List, tvrtka je skratila ciklus potpisa na manje od 48 sati u prosjeku. Uzajamno priznavanje između država članica garantira pravnu vrijednost bez potrebe za dodatnom legalizacijom. Na portfelju od 350 dobavljačkih ugovora godišnje, procijenjeni dobit u administrativnim i logističkim troškovima prelazi 40 000 € godišnje, prema rasponima skladna s industrijskim studijama objavljenim od ACFE i APQC.

Scenarij 3 — Bolnička grupa podvrgnuta zahtjevima zdravstvenog sektora

Bolnička grupa s oko 1 200 kreveta trebala elektronički potpisati javne nabavke, sporazume o kliničkom istraživanju i ugovore s bolničarima. Ovi dokumenti su podložni Kodeksu javnih nabavki, koji zahtijeva elektronički potpis u skladu s RGS (Referentiel Général de Sécurité) razine ** ili, od dematijalizacije javnih nabavki, razine ekvivalentne eIDAS.

Oslanjajući se na kvalificirani PSCQ upisana na francuskoj Trust List, bolnička grupa osigurava sukladnost s člankom R. 2132-7 Kodeksa javnih nabavki dok smanjuje rokove za potpisivanje nabavki s 15 dana na manje od 72 sata. API integracija s bolničkim informatičkim sustavom (SIH) omogućio je automatizaciju slanja i praćenja dokumenata, oslobađajući otprilike 0,4 FTE na administrativnim zadacima vezanim uz ugovore.

Zaključak

Odabir kvalificiranog eIDAS pružatelja nije jednostavna nabava softvera: to je strateška odluka koja angažira dokaznu vrijednost vaših akata, regulatornu sukladnost vaše organizacije i povjerenje vaših poslovnih i institucionalnih partnera. U 2026, sa postepenim stupanjem na snagu eIDAS 2.0 i novim NIS2 obvezama, razina zahtjeva samo raste.

Osnovne točke koje treba zapamtiti: redovito provjerite upis na službenu Trust List, zahtijevajte objavljenu politiku certifikacije, i prilagodite razinu potpisa (QES, AES, SES) pravnom riziku svakog dokumenta.

Certyneo vas prati u ovom procesu dajući vam pristup kvalificiranim certifikatima kroz referencijalne PSCQ-e, robustan API za integraciju i posebnu pravnu podršku. Spremi li za prelazak na kvalificirani potpis? Zahtijevajte demonstraciju ili kreirajte vaš račun na Certyneo i stavite vašu organizaciju u sukladnost već danas.