eIDAS 2 tanúsítás aláírás-szolgáltató 2026

Miért változtatja meg az eIDAS 2 tanúsítás a szolgáltatók helyzetét

Az 2024. április 11-én hatályba lépett (EU) 2024/1183 rendelet — közönségesen eIDAS 2 rendeletnek nevezik — új helyzetbe helyezi az Európai Unióban működő megbízható szolgáltatások nyújtóit (PSC). Az eredeti 2014-es eIDAS rendelet felülvizsgálata nem csupán a szabályozott szolgáltatások körének kibővítésére szorítkozik: jelentősen szigorúbbá teszi az akkreditációs feltételeket, új garancia szinteket vezet be, és erősíti a nemzeti felügyeleti szervek kontrollfeladatait. Bármely olyan szereplő számára, aki minősített elektronikus aláírás (QES) vagy haladó szintű (AdES) szolgáltatást kíván nyújtani az európai piacon, megérteni, hogyan lehet eIDAS 2 tanúsítást szerezni aláírás-szolgáltatóként már nem választható — ez egy stratégiai kötelezettség.

Ez a cikk átfogó képet nyújt a tanúsítási folyamatról: alkalmazandó jogszabályok, betartandó műszaki szabványok, a megfelelőség-értékelő szervek (CAB) szerepe, valósabb időbeli keretek és operatív figyelmeztető pontok.

---

Az új eIDAS 2 szabályozási környezete: mi változott

A 910/2014 rendelettől a 2024/1183 rendeletig: a fő fejlesztések

Az eredeti eIDAS rendelet (910/2014) megalapozta az Európában az egyetlen digitális bizalmi piacot. Három aláírási szintet határoztak meg — egyszerű, haladó és minősített — és kötelezővé tette a minősített szolgáltatók számára, hogy megjelenhessenek az országos megbízhatósági listákon (TSL, Trust Service Lists). Az eIDAS 2 megőrzi ezt az architektúrát, de több strukturális ponton gazdagítja:

• Minősített szolgáltatások kibővítése: minősített elektronikus archiválás, elektronikus attribútum-tanúsítványok (AEA), minősített aláírás-létrehozási eszközök (QSCD) távolról történő kezelése. Ezek az új szolgáltatások most ugyanezen akkreditációs eljárás alá esnek, mint a minősített aláírás.
• Az európai digitális azonosság-táska (EUDIW): azok a szolgáltatók, akik a jövőbeli digitális azonosság-táskával szeretnének interakcióba lépni, bizonyítaniuk kell a megfelelőséget az Európai Bizottság által kiadott műszaki specifikációknak (ARF — Architecture and Reference Framework, v1.4, 2024).
• Felügyelet erősítése: a nemzeti felügyeleti hatóságok (Franciaországban az ANSSI) erősített nyomozási és intézkedési jogokkal rendelkeznek. A minősített PSC tárgyai lehetnek meglepetés-felülvizsgálatoknak.
• Csökkentett értesítési határidők: minden jelentős biztonsági incidenst az illetékes hatóságnak 24 órán belül be kell jelenteni (a korábbi verzióban bizonyos incidensekre 72 óra volt).

Az rendelet teljes áttekintéséhez a Certyneo eIDAS 2.0 útmutatója pedagógiai szintézist nyújt az összes fejlesztésről.

A garancia szintjei és hatásaik a tanúsításra

A haladó és minősített elektronikus aláírás közötti megkülönböztetés a rendszer tengelye marad. Csak a QES élvez az integritásra és a tulajdoníthatóságra vonatkozó jogsejtés, amely egyenértékű az aláírást alatt írott aláírással (eIDAS 2 rendelet 25. cikk). Ez a jogsejtés közvetlenül a szolgáltató tanúsítása által feltételezett.

| Szint | Bizonyító erő | Szolgáltató követelmény | |---|---|---| | Egyszerű (SES) | Korlátozott | Egyik sem | | Haladó (AdES) | Lényeges | Jó gyakorlat + ETSI szabványok | | Minősített (QES) | Maximális (jogsejtés) | eIDAS 2 tanúsítás kötelező |

---

Az eIDAS 2 tanúsítási folyamat lépésről lépésre

1. lépés — Szervezeti és műszaki előfeltételek

Mielőtt a tanúsítási folyamatot formálisan megindítaná, a szolgáltatónak három tengelyen kell auditálnia érettségi szintjét:

1. Az ETSI szabványok betartása Az EN 319 sorozatbeli szabványok képezik az nélkülözhetetlen műszaki alapot. A fő szabványok:

• ETSI EN 319 401: általános követelmények a megbízható szolgáltatások nyújtóinak
• ETSI EN 319 411-1 és 411-2: politikák és követelmények a tanúsítványokat kibocsátó hitelesítő szervek számára (PTC-QC profilok a minősített tanúsítványokhoz)
• ETSI EN 319 421: időbélyeg-szolgáltató politikája és követelményei
• ETSI EN 319 132: aláírás-formátumok XAdES (XML) és a kapcsolódó CAdES (CMS) és PAdES (PDF) sorozatok

A szabványok betartása nem választható a minősített szolgáltatók számára: az Európai Bizottság végrehajtási aktusaiban kifejezetten megkövetelt.

2. Az információs rendszerek biztonsága A QSCD-ket (minősített aláírás-létrehozási eszközöket) a Common Criteria (CC) EAL4+ vagy azzal egyenértékű szerint kell tanúsítani. A távolról történő aláírásra vonatkozó megoldások — domináns SaaS modell — követelményei az HSM (Hardware Security Module) modulokra és a kriptográfiai kulcs-kezelési eljárásokra is vonatkoznak (FIPS 140-2 3. szint minimum).

3. Biztonsági politika (PSSI) és kockázatkezelés A tanúsítási dossziéhoz formalizált PSSI szükséges, amely az ISO/IEC 27001 (amelynek tanúsítása erősen ajánlott és néha a CAB által megkövetelt) igazodik és integrál NIS2 követelményeket az olyan szervezetek számára, amelyeket „fontosnak" vagy „alapvetőnek" osztályoznak.

2. lépés — Megfelelőség-értékelő szerv (CAB) kiválasztása és bevonása

Franciaországban azok a CAB-ok, amelyeket a COFRAC (Comité Français d'Accréditation — Francia Akkreditációs Bizottság) akkreditált a megbízható szolgáltatások nyújtóinak értékelésére, kevés számban vannak. Például az LSTI (Laboratoire de Sécurité des Technologies de l'Information) és a Bureau Veritas Certification az ismert szereplők között szerepelnek. Európai szinten minden tagállam közzéteszi bejelentett CAB-jainak listáját.

A CAB-nak a megfelelőség auditálását kell lefolytatnia két fázisban:

1. Dokumentumok áttekintése (1. fázis): a politikák, eljárások, Tanúsítványvizsgálati Gyakorlatról szóló Nyilatkozat (DPC / CPS) és műszaki bizonyítékok vizsgálata.
2. Helyszíni audit (2. fázis): az operatív kontrollok, behatolási tesztek, csapat-interjúk ellenőrzése.

Egy CAB-audit teljes időtartama általában 4-8 hét között van, az előzetes érettségtől függően.

3. lépés — A nemzeti felügyeleti hatóság által történő feldolgozás

Franciaországban az ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information — Nemzeti Információs Rendszer Biztonsági Ügynökség) dolgozza fel az országos megbízhatósági listára (TSL FR) való felvételi kérelmeket. A CAB audit-jelentésének alapján az ANSSI saját vizsgálatot végez és kérhet további információkat vagy javító intézkedéseket.

Az eljárás törvényi határideje 3 hónap az teljes dosszi e-mailben történő beérkezésétől számítva (eIDAS 2 rendelet 17. cikk). A gyakorlatban az tényleges határidők hosszabbak, ha az kezdeti dosszi hiányos.

Az országos TSL-be történő bejelentkezést követően a szolgáltató automatikusan szerepelni fog az EUTL (EU Trusted List) listában, amelyet az Európai Bizottság ad ki, ami azonnali nemzetközi elismerést biztosít az összes 27 tagállamban.

4. lépés — A minősítés megtartása és megújítása

Az eIDAS 2 tanúsítás nem véglegessé. A minősített szolgáltatók alá vannak vetve:

• Éves felügyeleti auditnak, amelyet a CAB végez
• Teljes felülvizsgálatnak minden 24 hónapon belül (az előzetes gyakorlathoz képest gyorsított ciklus)
• Meglepetés-ellenőrzéseknek, az ANSSI kezdeményezésére

Az infrastruktúra bármely jelentős módosítása (HSM-csere, PKI fejlődés, új minősített szolgáltatás) előzetes értesítési eljárást vált ki és részleges auditot követelhet meg.

---

Költségek, határidők és kockázati tényezők: amit a DSI-knek fel kell készülniük

Költségvetés és emberi erőforrások

Az eIDAS 2 első tanúsítása jelentős. A kiadási tételek között szerepelnek:

• CAB audit: 40 000 EUR és 120 000 EUR között, az ismétléskör bonyolultságától függően
• Műszaki megfelelőség-megállapítás (HSM, PKI, QSCD CC-tanúsított): 80 000 EUR-tól több százezer euróig egy saját infrastruktúrához
• ISO 27001 tanúsítás (ajánlott előfeltétel): 15 000-50 000 EUR a mérettől függően
• Jogi tanácsadás és DPC-szövegezés költségei: 10 000-30 000 EUR
• Belső költségek: dedikált csapat (CISO, DPO, megfelelőségi vezető) mobilizálása 12-18 hónapra

Mindezeket összegezve, egy teljes tanúsítás teljes beruházása egy közepes méretű szolgáltatónak 200 000-500 000 EUR körüli, nem számítva a karbantartás ismétlődő költségeit.

Operatív kockázati tényezők

A tanúsítási eljárások során a leggyakoribb kudarcok vagy késések okai:

1. Elégtelen DPC-dokumentáció: a Tanúsítványvizsgálati Gyakorlatról szóló Nyilatkozatnak gyakran alábecsült részletességgel kell dokumentálnia minden kontrollt.
2. A kulcs-életciklus-kezelésben mutatkozó hiányosságok: visszavonás, archiválás, privát kulcsok pusztítása.
3. Elégtelen incidenskezelési kormányzás: hiányzó SIEM, tesztelt kríziskezelési eljárások, runbook-ok.
4. A NIS2 alulbecslése: 2024 októbertől a minősített PSC-k automatikusan az „fontos" kategóriába kerülnek a NIS2 irányelv értelmében, további értesítési és kockázatkezelési kötelezettségekkel.

Azok a vállalatok, amelyek ezeket a korlátozásokat egy már tanúsított szolgáltatóra szeretnék delegálni, ahelyett, hogy saját infrastruktúrát építenének fel, a elektronikus aláírás-megoldások összehasonlítása elérhető a Certyneo-n segít objektíven ezt a build-versus-buy döntést meghozni.

---

Az eIDAS 2 és az elektronikus aláírás a vállalataknál: átmeneti kérdések

Az üzleti felhasználók számára — a szolgáltatóktól eltérően — a SaaS aláírás-szolgáltatójuk eIDAS 2 tanúsítása már elkerülhetetlen kiválasztási kritérium. Az ajánlatkeresésekbe egy olyan záradékot beépíteni, amely az országos TSL-en való jelenlétét megköveteli, az értékelt szektorok (pénzügy, egészségügy, ingatlan) körében standard gyakorlattá vált.

Az elektronikus aláírás a vállalatoknál valóban megkívánja a QES szükségességét tisztázni — nagy tétű magánjogi okiratok, meghatalmaz, elektronikus közjegyzői okiratok — azokkal az esetek, ahol az AdES elegendő. Ez az esetek térképe közvetlenül a szolgáltatónak szerződésben követelt szolgáltatási szintjét határozza meg.

Azok a szervezetek, amelyek már meglévő megoldásból egy már tanúsított eIDAS 2 szolgáltatóra migrálnak, elő kell készen állniuk a bizonyítéki archívumok hordozhatóságára is. Az migrálási útmutató a DocuSign vagy YouSign helyett a Certyneo-ra részletezi az archívumok bizonyító erejének megőrzésére vonatkozó legjobb gyakorlatokat az átmeneti időszakban.

Az eIDAS 2 tanúsítás alkalmazandó jogi kerete

Alapító szövegek

A megbízható szolgáltatások nyújtóinak tanúsítása sűrű normatív rétegzödésre támaszkodik, amelyet teljes egészében meg kell érteni:

(EU) 2024/1183 rendelet (2024. április 11.) (eIDAS 2): a referencia szöveg, amely felváltja a megfelelő 910/2014 rendelet rendelkezéseit. Meghatározza a minősített szolgáltató státusz megszerzésének és megtartásának feltételeit, a nemzeti felügyeleti kötelezettségeket és az új szolgáltatások követelményeit (EUDIW, AEA).

(EU) n° 910/2014 rendelet (eIDAS 1): továbbra is részben alkalmazandó az olyan rendelkezésekhez, amelyeket nem módosítottak; az ezen rendelet alatt elfogadott végrehajtási és delegált aktusok érvényes marad, amíg formálisan felülvizsgálatra nem kerülnek.

Francia Polgári Törvénykönyv, 1366. és 1367. cikkek: az 1366. cikk az elektronikus aláírás ekvivalenciájának elvét mondja ki az aláírás alatt írt aláíráshoz, a megbízhatóság feltétele alatt; az 1367. cikk tisztázza, hogy a megbízhatóság feltételezettnek tekintendő, amíg az ellenkezőjét nem bizonyítják, ha minősített aláírást használnak. Ezek a nemzeti rendelkezések közvetlenül az eIDAS 2 25. cikkének jogsejtésével kapcsolódnak.

(EU) 2022/2555 irányelv (NIS2): a francia jogba 2024. október 15-i törvénnyel átültetve, amely automatikusan a minősített megbízható szolgáltatások nyújtóit „fontos" szervezetek közé sorolja. Kötelezettségek: minden jelentős incidenst 72 órán belül az ANSSI-nek bejelenteni, formalizált kibervédelmi kockázatkezelés, időszakos biztonsági audit.

(EU) 2016/679 rendelet (GDPR): az aláírás-szolgáltatások nyújtói érzékeny személyes adatokat kezelnek (aláírók személyazonossága, naplók). Az olyan elvek betartása, mint a minimalizálás, az adatmegőrzés korlátozása és az integritás, speciális hatásvizsgálatot (DPIA) követel. A feldolgozás jogi alapja az egyes szolgáltatások számára dokumentálni kell.

Műszaki szabványok törvényi értékkel

Az Európai Bizottság végrehajtási aktusai (különösen a (EU) 2015/1506 végrehajtási határozat és annak felülvizsgálatai) az ETSI szabványokat jelölik meg a megfelelőség feltételezéseiként:

• ETSI EN 319 401: általános TSP követelmények
• ETSI EN 319 411-1 és 411-2: tanúsítványpolitikák
• ETSI EN 319 421: minősített időbélyeg
• ETSI EN 319 132 / 122 / 102: AdES formátumok (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: távolról történő aláírási szolgáltatások

Jogi kockázatok a nem megfelelőség esetén

A minősített szolgáltatott státusz csalárd vagy gondatlan felhasználása az ANSSI által kiszabott közigazgatási szankciók kitevést eredményez (felfüggesztés, listáról való törlés) és büntetőjogi eljárásokat (Büntetőtörvénykönyv 226-17. cikk személyes adatok biztonságának hiánya miatt). Civiljogi szinten, az olyan aláírások bizonyító ereje megkérdőjelezhető, amelyeket egy nem megfelelőségi időszakban adtak ki, felelősséggel járhat a szolgáltatónak a szerződésben meghatározottak vonatkozásában az ügyfelek felé.

Használati forgatókönyvek: az eIDAS 2 tanúsítás a gyakorlatban

1. forgatókönyv — Egy közepes méretű SaaS szerkesztő a minősített QES-hez való ambícióval

Egy olyan vállalat, amely a dokumentum-dematériálásban szakosodott, mintegy száz alkalmazottat foglalkoztat, és évente több millió aláírási tranzakciót kezel banki és biztosítási ügyfelek nevében, úgy dönt, hogy eIDAS 2 minősítésre pályázik az elektronikus aláírási szolgáltatásához. Eddig a vállalat haladó szintű aláírást ajánlott (AdES) tanúsítványokon alapulva, ami a legtöbb ügyfél-szerződéshez elegendő volt, de olyan okiratokhoz nem, amelyek a maximális bizonyító erőt igénylik (SEPA meghatalmaz, közjegyzői bizonyító-szerzödések).

A 3 hónapos belső audit után, amely mintegy tizenöt fő eltérést tárt fel az ETSI EN 319 411-2 követelményekhez képest, a vállalat egy 14 hónapos megfelelőségi program indít. A fő munkaadatok a meglévő HSM-ek helyettesítéseit foglalják a FIPS 140-2 3. szint-tanúsított modulokra, egy 180 oldalas DPC szövegezésére, valamint az ISO 27001 tanúsítás beszerzésére a CAB-audit előtt. A teljes beruházás 340 000 EUR-t ér el. A folyamat végén az országos TSL-be való bejelentkezés lehetővé teszi a vállalatnak olyan ajánlatkeresésekhez való hozzáférést, amelyekből korábban szisztematikusan kizárták őket, amely az extra bevételek körülbelül 20%-ának kereskedelmi potenciálját képvisel.

2. forgatókönyv — Egy kórházi csoport minősített aláírást integrál az orvos-jogi okiratokhoz

Egy mintegy 1200 ágyas kórházi csoport arra törekszik dematériálni az informált beleegyezésének folyamatait, az orvosi delegációit és a klinikai kutatási szerződéseit. Ezek az okiratok az olyan kategóriához tartoznak, amelyekhez a QES szükséges vagy erősen ajánlott a HAS referenciarendszerei és az egészségügyi adatoknak a jogi kerete (CSP L. 1110-4 cikk) alapján.

Ahelyett, hogy az saját infrastruktúrát tanúsítaná — az opció túl drágának és a vállalati profil széléhez való megítélésnek ítélik — a csoport egy már TSL-be bejelentett szolgáltatóhoz dönt az integrációval. Az IT-részleg egy olyan harmadik fél megfelelőségi auditot végez, amely az ETSI EN 319 401 ellenőrzőlistáján alapul, és az EUTL-n történő tényleges jelenlét ellenőrzésén alapul bármilyen szerződéskötés előtt. A telepítés, amelyet 4 hónap alatt végeznek, 65%-kal csökkenti az aláírás-gyűjtés időtartamát a klinikai kutatási fájlokon és eltünteti az olyan egyszerű aláírások korábbi használatához kapcsolódó jogi vitathatóság kockázatát az érzékeny okiratokhoz.

3. forgatókönyv — Egy ügyvédi iroda megbízottja biztonságossá teszi magánjogi okiratait

Egy körülbelül harmincasított ügyvédi iroda, amely éves szinten közel 400 fúzió-akvizícióját és kereskedelmi fonds eladásait kezel, egyaránt igyekszik fokozottan megbizonyosodnia saját magánjogi okiratainak aláírásairól. Az kezelt tranzakciók egységes értéke gyakran felülmúlja az egymillió eurót, és bármilyen formai hiba az ügyvédi szakmai felelősséget vonhat maga után.

Az elemzés után az IT-csapat és az ügyvédi vezető megállapodnak, hogy minimális szerződéses követelmény az QES minősített, eIDAS 2 tanúsítás által kiadott aláírás minden olyan okirathoz, amelynek értéke meghaladja a 100 000 EUR-t. A szolgáltató kiválasztási kritériuma kötelezően magában foglal az országos TSL-be való bejelentkezés ellenőrzéseit és az egy korai ETSI megfelelőségi tanúsítvány rendelkezésre bocsátásának ellenőrzését (kevesebb mint 12 hónap). Ez a keret lehetővé teszi az irodának az olyan ellen-szak-értelmezési kérelmeket több mint 80%-kal csökkenteni az aláírások érvényességére vonatkozóan a későbbi vitákban, az iparban tanúsított, összehasonlítható szerkezetekről származó visszajelzések szerint.

Befejezés

Az eIDAS 2 tanúsítás elérése mint elektronikus aláírás-szolgáltatók igényes, költséges és hosszú folyamat — azonban szükségszerű bármely olyan szereplő számára, aki az Európai piacon maximális jogi garancia szeretne nyújtani ügyfelei számára. Az ETSI szabványoknak megfelelőségül, a CAB-audit átmenetén, az ANSSI általi feldolgozáson és a tanúsítás fenntartásán keresztül, a kezdeményezés jelentős erőforrásokat igényelhet 12-24 hónapon belül.

Az üzleti felhasználók számára a jó hír az, hogy nem szükséges ezt az infrastruktúrát belsőleg felépíteni: egy már eIDAS 2 tanúsított és az országos megbízhatósági listára bejelentett SaaS-szolgáltatót választani lehetővé teszi, hogy azonnal előnyeit vehesse a QES-hez kapcsolódó jogsejtésnek, anélkül hogy a tanúsítás költségeit lenne szükséges viselnie.

A Certyneo egy bizalomra méltó, tanúsított szolgáltató, amelyet olyan B2B vállalatok számára terveztek, amelyek szigorú jogi szabványosságot és felhasználási egyszerűséget igényelnek. Fedezze fel árainkat és kezdjen el ingyen próbálkozni még ma.