eIDAS megfelelőség kkv-k számára: a teljes 2026-os ellenőrző lista

Az európai eIDAS rendelet (EU n°910/2014, hamarosan az eIDAS 2.0-val módosul) szabályozza az elektronikus aláírást az egész Európai Unióban. Egy kkv számára a megfelelőség nem csupán egy ellenőrzési doboz: ez a garancia arra, hogy szerződései végrehajthatók, aláírási adatai védettek, és megvédje magát a költséges jogi kockázatoktól. Itt található a 2026-os ellenőrző lista 12 konkrét pontból, amellyel ellenőrizheti, hogy kkv-ja teljes mértékben megfelel-e az eIDAS-nak.

1. pont: válassza ki a megfelelő aláírási szintet

Első reflex: térképezze fel szerződéstípusait, és rendeljen hozzá egy célszintet. Szabványos kereskedelmi szerződések (árajánlatok, beszerzési megrendelések, egyszerű NDA-k): SES elég. Munkaszerződések, bérleti szerződések, érzékeny NDA-k, stratégiai megállapodások: AES minimum, lehetőleg OTP SMS-sel. Szabályozott cselekmények (ügyvéd, közjegyző, értékhatár feletti közbeszerzési szerződések): Kötelező QES. E leképezés nélkül alulméretezés (elutasított szerződés) vagy túlméretezés (túlzott költség) kockázata áll fenn.

2. pont: ellenőrizze a szolgáltató képesítését

A szolgáltatónak megbízható szolgáltatónak (QTSP) kell lennie, vagy a QTSP-re kell támaszkodnia az AES/QES szintekhez. Tekintse meg az ANSSI által közzétett megbízható szolgáltatások listáját (eidas.ssi.gouv.fr) és az európai megbízhatósági listát (webgate.ec.europa.eu/tl-browser). A francia referencia QTSP-k: Certigna, Docaposte, Certinomis, Universign. A platformon keresztüli SES/AES (Certyneo, Yousign stb.) esetén ellenőrizze azok kifejezetten dokumentált eIDAS megfelelőségét.

3. pont: Az ellenőrzési nyomvonal tesztelése

Írjon alá egy tesztborítékot, és gyűjtse össze az ellenőrzési nyomvonalat (általában egy külön PDF-fájlt). Tartalmaznia kell: az aláíró személyazonosságát és e-mail címét, az egyes lépések időbélyegét (küldés, megnyitás, érvényesítés, aláírás), IP-címet, felhasználói ügynököt, a dokumentum hash-jét, OTP-érvényesítést AES esetén. Ha ezen elemek valamelyike ​​hiányzik, a bizonyító érték gyengül. A Certyneo ingyenes csomag esetén is biztosítja a teljes ellenőrzési nyomvonalat.

4. pont: az időbélyeg ellenőrzése

Az időbélyegzőt az RFC 3161 szabványnak megfelelő TSA-nak kell kiadnia. Nem elég egy vállalati NTP-szerverről származó időbélyeg. Nyissa meg az aláírt PDF-fájlt az Adobe Readerben: Aláírások lap → Részletek → Időbélyeg. Látnia kell egy érvényes TSA-tanúsítványt és egy hitelesített órát. Ha a PDF-dokumentum nem rendelkezik hitelesített időbélyegzővel, válasszon vissza szolgáltatót.

5. pont: archiválás legalább 10 évig

A Kereskedelmi Törvénykönyv (L. 123-22. cikk) 10 éves tárolást ír elő a kereskedelmi dokumentumok számára. A Munka Törvénykönyve 5 évet ír elő a felmondás utáni munkaszerződésekre. Az archiválásnak meg kell őriznie az integritást (hash, pecsételés) és a hozzáférést. Ideális: PDF/A formátum (ISO 19005), kettős tároló (elsődleges + külső biztonsági mentés), minősített elektronikus széf (CFE) a maximális bizonyításhoz. A Certyneo alapértelmezés szerint 10 évig archivál, és exportálást kínál a CFE-partnereknek.

6. pont: ellenőrizze az adatok lokalizációját

Hol vannak az aláírási adatai? Az érzékeny szerződésekkel foglalkozó francia kkv-k számára válassza a francia vagy az EU-s hosting lehetőséget. Kérje szolgáltatójától az alvállalkozók listáját és azok helyét (GDPR 28. cikk). Kerülje a stratégiai szerződésekre vonatkozó amerikai felhőtörvény hatálya alá tartozó megoldásokat. A Certyneo Franciaországban található, a Cloud Act függősége nélkül. Tekintse meg cikkünket a /blog/cloud-act-signature-electronique oldalon.

7. pont: fogalmazza meg a GDPR-t

Az aláírás és a GDPR szorosan összefügg: minden boríték személyes adatokat tartalmaz (név, e-mail, IP, telefonszám). Győződjön meg arról, hogy feldolgozási nyilvántartása (GDPR 30. cikk) tartalmazza az elektronikus aláírást, a megőrzési időszakok következetesek (10 év), és hogy az egyének jogai érvényesíthetők (hozzáférés, helyesbítés, hordozhatóság). Ha sok aláírást kér, adatvédelmi tisztviselőt javasolunk. Tekintse meg cikkünket /blog/signature-electronique-rgpd.

8. pont: az aláírók azonosítása az áramlás előtt

Szilárd AES esetén az azonosítás nem az aláírással kezdődik, hanem az adatgyűjtéssel kezdődik. Ellenőrizze az e-maileket (nincs álnev, nincs levelezőlista), telefonszámokat (nincs megosztott vonal), és kövesse nyomon az azonosítás forrását (az azonosító súlyos szerződéseknél, a meglévő ügyfél KYC a folyamatban lévő szerződéseknél). Ez a kellő gondosság vita esetén szilárdtá teszi a bizonyítékokat.

9. pont: képezze ki a csapatokat

Értékesítési, HR-es és jogi csapatának meg kell értenie a szabályokat: soha ne kényszerítse az aláírót harmadik féltől származó eszköz használatára, soha ne küldjön vissza módosított aláírt PDF-fájlt, soha ne illesszen be szkennelt aláírási képet valódi aláírás helyére. Csapatonként egy óra edzés elegendő a jó reflexek kialakításához. A Certyneo teljes útmutatót biztosít a belső megosztáshoz (/erőforrások).

10. pont: ellenőrizze a szolgáltatók szerződéseit

Az aláíró szolgáltató CGU/CGV-jének: kezdeményeznie kell az eIDAS megfelelőséget, meg kell határoznia az archiválási időszakokat, tartalmaznia kell egy GDPR alvállalkozói szerződést (28. cikk), dokumentálnia kell az alvállalkozókat, visszafordítási tervet kell adnia az esetre. Ha nagy mennyiséget dolgoz fel, kérjen SOC 2 Type II vagy azzal egyenértékű terméket is. A Certyneo esetében ezek a dokumentumok a /legal és a /security oldalon érhetők el.

11. pont: az eIDAS 2.0 és az EUDI Wallet előkészítése

Az eIDAS 2.0 rendelet (EU 2024/1183) fokozatosan lép hatályba, és előírja a tagállamok számára, hogy 2026 vége előtt telepítsenek EUDI Walletot. Ez a digitális identitású irodai pénztárca távoli hozzáférést biztosít a fizikai iroda számára. Készítse elő KKV-ját: ellenőrizze, hogy szolgáltatója rendelkezik-e EUDI Wallet ütemtervvel, kövesse az ANSSI és az Európai Bizottság közleményeit. Lásd: /blog/eidas-2-nouveau-reglement-2026.

12. pont: évente kell auditálni

A megfelelőség nem megszerzett státusz: ez egy folyamatos folyamat. Éves (belső vagy külső) audit ütemezése a következők ellenőrzésére: szabályozási változások, szolgáltatói fejlesztések, szerződéstípusok naprakész feltérképezése, hatékony megtartása, újoncok betanítása. Egy könnyed audit fél napot vesz igénybe egy kkv-nál, és sok meglepetést elkerül. Kezdje egy ingyenes Certyneo-fiók létrehozásával a certyneo.com/signup oldalon, hogy tesztelje a valós megfelelőséget, majd tekintse meg az eIDAS útmutatónkat a mélyebbre ásáshoz (/guide/eidas).