Minősített elektronikus tanúsítvány vállalkozások számára: 2026-os útmutató

Miért vált a minősített elektronikus tanúsítvány nélkülözhetetlenné a vállalkozások számára

Abban az időben, amikor a szerződések digitalizációja felgyorsul minden szektorban, a minősített elektronikus tanúsítvány kérdése stratégiai kérdéssé vált a jogi vezetésnek, az informatikai vezetésnek és a felsővezetésnek. Az ANSSI 2024-es éves jelentése szerint a minősített elektronikus aláírást alkalmazó francia KKV-k több mint 78%-a több mint 60%-kal csökkentette szerződéskötési időtartamait. Azonban sokan még mindig összekeverik az egyszerű, fejlett és minősített aláírásokat — annak kockázatával, hogy jogi aktusaikat vitatottá teszik. Ez a cikk lépésről lépésre végigvezeti Önt: megérteni, hogy mi a minősített elektronikus tanúsítvány, hogyan szerezhető meg az RGS és eIDAS keretrendszer betartásával, és hogyan telepíthető hatékonyan a szervezetben.

Mi a minősített elektronikus tanúsítvány?

Az elektronikus tanúsítvány egy digitális fájl, amelyet egy Hitelesítésszolgáltató (AC) ad ki, amely egy fizikai vagy jogi személy azonosságát egy nyilvános titkosítási kulcshoz köti. Ez az a kulcsfontosságú elem, amely lehetővé teszi egy harmadik fél számára, hogy ellenőrizze a digitális aláírás authenticitását és integritását.

A „minősített" minősítés az eIDAS európai rendelet (910/2014, 28. cikk) által definiált pontos meghatározásra utal: a tanúsítványt egy Minősített Bizalmi Szolgáltató (PSCQ) adja ki, amely a nemzeti bizalmi listán (Franciaország esetében az ANSSI által közzétett lista) van regisztrálva. Ezen felül meg kell felelnie az ETSI EN 319 411-2 szabvány technikai követelményeinek, amely a tanúsítási politikákat és gyakorlatokat szabályozza.

A gyakorlatban a minősített tanúsítvány garantálja:

• Az aláíró azonosított identitása (dokumentum-ellenőrzés személyes megjelenéssel vagy ezzel egyenértékű jóváhagyott módszerrel);
• Az aláírt dokumentum integritása (bármilyen későbbi módosítás detektálható);
• A visszautasítás kizárása (az aláíró nem tagadhatja meg, hogy aláírta az aláírást).

Az egyszerű, fejlett és minősített aláírás közötti különbség

Az eIDAS rendelet három szintű elektronikus aláírást különböztet meg, mindegyik egy-egy tanúsítvány szinthez társul:

| Szint | Szükséges tanúsítvány | Bizonyító érték | Szokásos felhasználás | |---|---|---|---| | Egyszerű | Nem szükséges | Gyenge | Szokásos megrendelések | | Fejlett | Fejlett tanúsítvány (PSCQ) | Közepes | B2B kereskedelmi szerződések | | Minősített | Minősített tanúsítvány (minősített PSCQ) | Maximális, egyenértékű kézírásos aláírással | Közjegyző okiratok, közös beszerzések, érzékeny HR |

A minősített aláírás — az egyetlen, amely a kézírásos aláíráshoz történő jogi egyenértékűséget élvezi (Polgári törvénykönyv 1367. cikk) — szükségszerűen minősített tanúsítványt igényel. Az aláírás szintjei közötti különbségekről további információért lásd a teljes elektronikus aláírás útmutatónkat.

---

Az RGS keretrendszer: francia specifikus tudnivalók

Franciaországban a Biztonsági Általános Referencia Keretet (RGS) a 2010-112. számú dekrétum állapítja meg, és az ANSSI rendszeresen frissíti. Ez meghatározza az információ-biztonsági rendszerekre vonatkozó biztonsági követelményeket. Azoknak a vállalkozásoknak, amelyek közintézményekkel kötnek szerződéseket (közös beszerzések, elektronikus eljárások), az RGS betartása gyakran szerződési vagy szabályozási kötelezettség.

Az RGS tanúsítványokra alkalmazandó szintjei

Az RGS három csillagos minősítési szintet határoz meg a tanúsítványokhoz:

• RGS* (egy csillag): alapszint, alkalmas alacsony érzékenységű szokásos felhasználásra;
• RGS (két csillag)**: közbenső szint, az elektronikus közigazgatási eljárások többségéhez szükséges;
• RGS (három csillag)*: magas szint, magas jogi vagy pénzügyi kockázatú cselekmények szükségletig.

A deszerializált közös beszerzésekhez a beszerzési profil révén a 2016-360. számú dekrétum (39. és 40. cikk) általában legalább RGS szintű aláírást ír elő, amely egyenértékű minősítésű tanúsítványt jelent.

RGS és eIDAS összekapcsolása

Az eIDAS rendelet alkalmazásba lépése óta a két referencia-rendszer egymás mellett létezik. Az eIDAS értelmében minősített tanúsítvány az esetek nagy többségében teljesíti az RGS** követelményeit. Az ANSSI megfelelőségi táblázatokat adott ki, amelyek lehetővé teszik a kompatibilitás ellenőrzését. Ezért ajánlatos az egyaránt magán- és köztulajdonú partnerekkel dolgozó vállalkozásoknak, hogy egy olyan minősített tanúsítványt válasszanak, amelyet egy olyan PSCQ adott ki, amely a francia bizalmi listán van regisztrálva — ez egyszerre fedi le mindkét referencia-rendszert.

Az európai rendelet mélyebb megismeréséhez az eIDAS 2.0 útmutatónk részletezi a tervezett főbb változásokat és azok hatásait a francia vállalkozásokra.

---

Hogyan szerezhető meg egy minősített elektronikus tanúsítvány: lépésről lépésről

A minősített elektronikus tanúsítvány szerzése nem triviális feladat: az igénylő azonosságának szigorú ellenőrzését és a jogi személy képviseletének megerősítését igényli. Íme a főbb lépések.

1. lépés: Válassza ki a megfelelő minősített bizalmi szolgáltatót

Franciaországban a minősített tanúsítványok kibocsátására jogosult PSCQ-k az ANSSI által közzétett Trust Service Status List (TSL) listán találhatók (az esignature.gouv.fr portálon elérhető). Az ezen a listán szereplő szereplők között olyan AC-kat találunk, mint a CertEurope, Certinomis (La Poste leányvállalata), Keynectis vagy más, az eIDAS kölcsönös elismerési elve által elismert európai szolgáltatók.

A kiválasztási kritériumok:

• A francesa és/vagy európai TSL-en való tényleges jelenlét;
• A javasolt tanúsítvány formátuma (szoftver, intelligens kártya, HSM felhő);
• Kompatibilitás a meglévő IT-infrastruktúrával;
• Árképzés és érvényességi időtartam (általában 1-3 év);
• Támogatás szintje és regisztrálási időtartam.

2. lépés: A regisztrációs fájl összeállítása

Egy vállalkozás számára a minősített tanúsítványra irányuló kérelem az aláíró (fizikai személy) és a jogi személy képviseletére való jogosultságát igazoló dokumentumok benyújtását igényli. Az általánosan szükséges dokumentumok:

• Az aláíró hivatalos személyi igazolványa (útlevél, személyi azonosító kártya);
• Kbis kivonat legfeljebb 3 hónapos (vagy egyenértékű egyesületek, közintézmények számára);
• Meghatalmazás ha az aláíró nem a jogutód képviselője;
• A kiválasztott PSCQ-hoz tartozó kérelem űrlap.

Az azonosság ellenőrzése személyesen kell történnie a PSCQ által meghatalmazott Regisztrációs Ügyintéző (OE) előtt, vagy egy jóváhagyott távoli ellenőrzési eljárás révén (az ETSI TS 119 461 szabvány által megfelelő videoazonosítás).

3. lépés: A tanúsítvány kézbesítése és aktiválása

A kiválasztott formáttól függően a tanúsítvány átadásra kerül:

• A minősített aláírás-létrehozási eszköz (QSCD) révén: titkosított USB-kulcs vagy Common Criteria EAL 4+ tanúsítvánnyal rendelkező intelligens kártya;
• Via távolsági minősített aláírás-szolgáltatás (Remote Qualified Electronic Signature — RQES), amelyet a PSCQ kezel, ahol a titkos kulcsot egy ETSI EN 419 241 szabvány szerinti tanúsított HSM (Hardware Security Module) tartalmazza.

A RQES-szolgáltatás manapság a legtöbb vállalkozás által elfogadott megoldás, mivel elkerüli az akriptográfiai támogatások fizikai kezelésének szükségességét, miközben megtartja a minősített megfelelőséget. Hasonlítsa össze az elektronikus aláírási megoldásokat az Ön kontextusához leginkább megfelelő modell azonosítása érdekében.

4. lépés: Integrálás az üzleti folyamatokba

Miután megkapta a tanúsítványt, annak integrálása a vállalkozat dokumentumkezelési folyamataiba általában egy SaaS-alapú elektronikus aláírás-platformon keresztül történik. Ennek feltétlenül kompatibilisnek kell lennie az ETSI szabványokkal (XAdES, PAdES, CAdES) az interoperabilitás és a digitális bizonyítékok tartóssága érdekében. Az elektronikus aláírás a vállalkozatban szóló cikkünk segíteni fog ennek a telepítésnek a strukturálásában.

---

Költség, érvényesség és megújítás: amit a vállalkozásoknak elő kell készítenie

Díjtartományok 2026-ban

A minősített tanúsítványok díjai jelentősen változnak az formátum és a szolgáltató szerint:

• Fizikai támogatáson lévő tanúsítvány (USB-kulcs/kártya): 80 € és 250 € közötti ÁFA nélkül egy aláíróra és évre;
• Cloud minősített tanúsítvány (RQES): 40 € és 150 € közötti ÁFA nélkül egy aláíróra és évre, a volumentől függően;
• Vállalati csomagok: 10 aláírótól kezdve jelentős kedvezmények vonatkoznak, elérve akár az egységár 30-40%-os csökkentését.

Ezek a költségek a keletkezett megtakarításokkal szemben vizsgálandók: nyomtatások szüntetése, postaköltségek, postaügyletek feldolgozási időtartama és az ellentmondott aláírásokkal kapcsolatos viták.

Érvényességi időtartam és megújítás

A minősített tanúsítvány érvényességi időtartama általában 1, 2 vagy 3 év, az előfizetett ajánlattól függően. A lejárat után az előzőleg aláírt dokumentumok érvényesek maradnak (feltéve, hogy integritásukat egy minősített időbélyegző szolgáltatás révén megőrzik), de új aktusok nem írhatók alá a lejárt tanúsítvánnyal. Ezért elengedhetetlen egy felügyeleti és megújítási folyamat megvalósítása — ideális esetben 60 nappal az expirálás előtt.

Visszavonás és incidenskezelés

A titkos kulcs kompromittálódása esetén (veszteség, támogatás ellopása, a divulgálásra gyanú) a tanúsítványt azonnal vissza kell vonni a PSCQ-tól. Ez közzéteszi a visszavonást a Tanúsítvány Visszavonási Listájában (CRL) vagy az OCSP protokollon keresztül, így az ezzel a tanúsítvánnyal készült későbbi aláírás érvénytelen lesz. A belső biztonsági politikának ezért egy dedikált kapcsolattartási pontot és egy 24 órán belüli figyelmeztetési időtartamot kell tartalmaznia.

---

Legjobb gyakorlatok sikeres vállalati telepítéshez

Irányítás és belső szerepek

A sikeres telepítés egyértelmű irányításon alapul. Javasolt kijelölni:

• A PKI-felelőst (nyilvános kulcsú infrastruktúra) az IT oldalon, aki felelős a PSCQ-val való kapcsolatért és a megújítások nyomon követéséért;
• Egy jogi referenst, aki ellenőrzi azokat az alkalmazási eseteket, amelyek minősített aláírást igényelnek (vs fejlett);
• A delegált adminisztrátorok szervezeti egységenként az aláírók operatív kezeléséhez.

Képzés és változásvezetés

A minősített tanúsítván alkalmazása nem elegendő: a munkatársak megérthetik, hogyan kell használni a tanúsítványukat, mikor kell aktiválni, és hogyan kell reagálni az incidensekre. Egy rövid képzési terv (1-2 óra) és dokumentált eljárások jelentősen csökkentik a használati hibákat és a támogatási jegyeket.

Audit és nyomkövetés

A bizonyítási kötelezettségek teljesítéséhez őrizze meg az egyes aláírások időbélyegzett auditnaplóját: az aláíró identitása, a dokumentum lenyomata, a hitelesített dátum/idő, a tanúsítvány azonosítója. Ezek az adatok a viták esetén a bizonyítási lánc alapjául szolgálnak. Az ETSI EN 319 132 (XAdES) szabvány az aláírások formátumára natív módon tartalmazza ezeket az információkat.

Az elektronikus minősített tanúsítványokra alkalmazandó jogi keret

Polgári törvénykönyv és bizonyító érték

A francia jogban az Polgári törvénykönyv 1366. cikke az elektronikus és papíralapú írások egyenértékűségének elvét rögzíti, feltéve, hogy „annak származása személye kellően biztosított, és az integritásának garantálásához szükséges körülmények között létrehozták és megőrizték". Az 1367. cikk 2. bekezdése pontosítja, hogy az elektronikus minősített aláírás megbízhatósági feltételezésben részesül: az az aláírást megtámadó félnek a bizonyítási terhe, amely tehát az aláíró javára fordul.

Az eIDAS 910/2014 európai rendelet

Az eIDAS (910/2014) európai rendelet, amely közvetlenül alkalmazandó az összes tagállamban 2016. július 1. óta, a felülről kormányzott alap. A 25(2) cikke kimondja, hogy a „minősített elektronikus aláírás jogi hatása megegyezik a kézírásos aláírás hatásával". A 28. és 29. cikkek meghatározzák a minősített tanúsítványokra és a minősített aláírás-létrehozási eszközökre (QSCD) vonatkozó követelményeket. Az I. melléklet felsorolja a minősített tanúsítványban kötelező megadandó adatokat (politika OID, PSCQ identitása, nyilvános kulcs, érvényességi dátumok stb.).

Az eIDAS 2.0 fejlemények

A 2.0 eIDAS rendelet (2024/1183 EU rendelet, 2024. május 20-án lépett hatályba) bevezeti az európai digitális azonosság tárcáját (EUDIW) és fokozza a minősített bizalmi szolgáltatásokhoz való hozzáférésre vonatkozó követelményeket. A vállalkozásoknak az ezen új azonosítási mechanizmusok integrálásához szükséges felkészülnie 2026-2027-ig.

Alkalmazandó ETSI normák

• ETSI EN 319 411-2: politika és gyakorlat a PSCQ számára minősített tanúsítványok kibocsátásához;
• ETSI EN 319 132 (XAdES) és ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES): fejlett és minősített elektronikus aláírás formátumai;
• ETSI EN 419 241: követelmények az aláírási szerverekhez (RQES).

GDPR és adatvédelem

Az enrólási keretében történő személyes adatok feldolgozása (azonosság ellenőrzése, dokumentumgyűjtés) a GDPR 2016/679-nek van alávetve. A PSCQ és az ügyfélvállalkozás az adatfeldolgozás közös felelőse vagy az alárendelt/felettes viszonyban van a konfigurációtól függően. Az GDPR 28. cikknek megfelelő DPA (Data Processing Agreement) aláírásra kerül. Az enrólési adatokat a tanúsítvány élettartama alatt és a vonatkozó elévülési időszak után kell megőrizni (szerződési ügyekben 5 év).

NIS2 irányelv és az infrastruktúrák biztonsága

A NIS2 irányelv (2022/2555/EU), amelyet a 2024-449. számú törvénnyel transzponáltak a francia jogba, az alapvető és fontos entitások számára megköveteli a kockázatkezelési intézkedések megvalósítását, beleértve a digitális ellátási láncok biztonságát. A nemzeti bizalmi listán regisztrált minősített PSCQ alkalmazása az elismert jó gyakorlat, amely részben teljesíti ezeket a követelményeket.

Felhasználási forgatókönyvek: a minősített tanúsítvány gyakorlatban

Forgatókönyv 1: Egy jogi iroda nagy bizonyító értékű okiratok kezelésével

Egy üzleti ügyvédi iroda, amely körülbelül húsz társult és munkavállaló bíróságot kezel, rendszeresen kell aláírnia részesedés-átruházási okiratokat, egyezségterveket és mándátumot ad litem. Eddig minden aktust ki kellett nyomtatni, kézzel aláírni, beszkennelni és postai úton el kellett küldeni — így átlagosan 4-7 munkanap egy aláírási ciklus alatt. Miután minden társult számára minősített felhő-tanúsítványok (RQES) telepítésre kerültek, ez az időtartam 4 óra alá csökkent az olyan aktusok esetén, amelyek nem igényelnek közjegyzői beavatkozást. Az iroda az első 18 hónapban az adminisztratív dokumentumkezeléssel kapcsolatos idő 65%-os csökkentését és az aláírások egyetlen megtámadását sem regisztrálta. A Certyneo által kínált elektronikus aláírási megoldások ügyvédek számára natívan integrálhatók az ilyen típusú munkafolyamatokba.

Forgatókönyv 2: Egy KKV, amely közszférai megrendelőkkel szerződik

Egy körülbelül 120 főt foglalkoztató fémmegmunkálási szektorban működő KKV rendszeresen válaszol a deszerializált közös beszerzésekre az beszerzési profilokon. Szükségszerűen elektronikusan alá kell írnia ajánlatait és kötelezettségvállalásait legalább RGS** szintű tanúsítvánnyal. Miután két minősített tanúsítványt szerzett (az ügyvezető igazgató és egy illetékes kereskedelmi igazgató számára), a KKV időben, az előírt határidőn belül tudta benyújtani ajánlatait, szállítás és személyes meglátogatás nélkül. Egy év alatt ez körülbelül 35 közös beszerzési fájlt jelent, amely körülbelül 15 munkanap éves megtakarítást jelent csupán a dokumentumkezelésen. Az eIDAS megfelelőség a tanúsítványban biztosítja az aláírások elismerését német és belga megrendelők felé, kiterjesztve kereskedelmi körét. Használja az ROI-kalkulátorunkat a lehetséges nyereségek becsléséhez a saját kontextusában.

Forgatókönyv 3: Egy egészségügyi csoportosulás az HR és beszerzők műveleteinek biztosításával

Egy körülbelül 1200 ágyat tartalmazó kórházi csoportosulás, több intézmény csoportosulása, mintegy 3000 munkaszerződés, módosítások és beszerzőkötelezettségek éves volumene. Az emberi erőforrások igazgatósága és a beszerzési igazgatóság közösen egy minősített aláírási megoldást telepített, az illetékes igazgatók számára kibocsátott tanúsítványokkal. Párhuzamosan az ügynökök által aláírandó dokumentumokat egy fejlett aláírási munkafolyamaton keresztül kezelik, a minősített aláírást a nagy jogi értékű irányítási cselekményekre fenntartva. Eredmény: a munkaszerződés véglegesítésének átlagos időtartama 12 napról 2,5 napra csökkent, és az hiányos fájlok aránya (hiányzó aláírás, rossz aláírt verzió) 78%-kal csökkent. A Certyneo által az egészségügyi szektorban kínált elektronikus aláírási megoldások az egészségügyi szektor szabályozási sajátosságait tartalmazzák.

Összegzés

A minősített elektronikus tanúsítvány szerzése manapság kötelező lépés minden olyan vállalkozásnak, amely biztonsággal szeretné digitális aktusait, teljesíteni az állami beszerzésekre vonatkozó követelményeket és az eIDAS szabályozási keretrendszeren belül maradni. Ez nem terhelés, hanem versenyképességi lehetőség: csökkentett aláírási időtartamok, sérthetetlennek tekinthető bizonyítási lánc és az egész Európai Unión belüli transzfrontalikus elismerés.

A megjegyzendő kulcslépések: válassza ki az ANSSI-bizalmi listán szereplő PSCQ-t, készítsen szigorú enrólési fájlt, válasszon felhő-formátumot (RQES) a telepítés megkönnyítéséhez, és integrálja a tanúsítványt egy ETSI-szabványoknak megfelelő platformon.

A Certyneo minden egyes lépésben támogat Önt: a jó aláírási szint kiválasztásától a vállalati folyamatokba való integrációig. Kérjen ingyenes demót és fedezze fel, hogyan telepítheti a minősített aláírást kevesebb mint 48 óra alatt a szervezetében.