Minősített eIDAS-szolgáltatók: a 2026-os hivatalos lista

Miért döntő a „minősített" eIDAS státusz vállalkozása számára?

Az eIDAS-rendelet (910/2014) hatálybalépése óta az európai elektronikus aláírás piacát mélyen átstrukturálta egy háromszintű hierarchia köré: az egyszerű elektronikus aláírás (SES), a fejlett elektronikus aláírás (AES) és a minősített elektronikus aláírás (QES). Ez utóbbi az egyetlen, amely feltételezett joghatályú egyenértékűséget élvez a kézírásos aláírással az Európai Unió összes tagállamában.

Ahhoz, hogy egy vállalkozás minősített aláírásokat kínáljon, szükséges, hogy auditálva és bejegyzésre kerüljön az adott tagállam megbízhatósági listájára (Trust List). Franciaországban az Agence nationale de la sécurité des systèmes d'information (ANSSI) tartja ezt a hivatalos nyilvántartást, amelyet viszont az Európai Bizottság által kezelt központosított európai listára is felvezetnek.

Ennek az architektúrának a megértése alapvető fontosságú, mielőtt bármilyen érzékeny kereskedelmi szerződést aláírnál. Ahhoz, hogy mélyebben megismerhesd a szabályozási alapokat, a mi komplett útmutatónk az eIDAS 2.0 rendeletről részletezi az eIDAS 2.0 módosított rendelet (2024/1183 EU-rendelet) által bevezetett összes kötelezettséget és fejlesztést.

---

Hogyan tanúsítják a minősített bizalmi szolgáltatások szolgáltatóit?

A Minősített Bizalmi Szolgáltatások Szolgáltatójának (PSCQ) státuszhoz vezető út igényes. Magában foglal egy akkreditált megfelelőségi értékelő szervezet (CAB, Conformity Assessment Body) által végrehajtott auditot az ETSI EN 319 401 (általános követelmények) és az ETSI EN 319 411-2 (minősített tanúsítványok) szabványok szerint.

Az ANSSI minősítési lépései

1. Minősítési dokumentáció benyújtása: a szolgáltató technikai, biztonsági és szervezeti dokumentációját benyújtja az ANSSI-nak.
2. Audit akkreditált CAB által: egy harmadik fél szervezet — mint a Bureau Veritas, LSTI vagy Apave Certification — helyszíni és írásos auditot végez.
3. Minősítési döntés: az ANSSI minősítést nyilvánít és bejegyzi a szolgáltatót a francia megbízhatósági listára (TL-FR).
4. Rendszeres megújítás: a minősítést általában kétévente újraértékelik az követelmények fenntartásának biztosítására.

Mit ellenőriz konkrétan az audit?

Az auditor különösen vizsgálja:

• A kriptográfiai kulcsokat tartalmazó adatközpontok fizikai biztonsága (CC EAL 4+ vagy FIPS 140-2 Level 3 minimum szintű HSM modulok);
• A szolgáltató által közzétett tanúsítási szabályzatot (CP) és tanúsítási gyakorlat nyilatkozatot (CPS);
• A személyazonosság-ellenőrzési eljárásokat (személyesen vagy EIDÁV-nek megfelelő távoli azonosítás EN 419 241-1 szerint);
• A visszavonási kezelést és az OCSP/CRL szolgáltatások elérhetőségét.

Ezek a kritériumok magyarázzák, miért éri el és tart csak egy kisszámú szereplő ezt a tanúsítási szintet Franciaországban.

---

A Franciaországban regisztrált minősített eIDAS-szolgáltatók 2026-ban

A minősített szolgáltatók hivatalos listája bármikor elérhető az Európai Bizottság hivatalos portálján (eidas.ec.europa.eu/efts), szűrve „Franciaország" és a „QCertESig" (Qualified Certificate for Electronic Signature) szolgáltatás szerint. Az alábbiakban azok a szereplők találhatók, akik a jelen cikk írásának időpontjában (2026. június) szerepeltek a nyilvántartásban:

A Trust List-en bejegyzett francia szereplők

| Szolgáltató | Minősített szolgáltatás típusa | Sajátosság | |---|---|---| | Certigna (Dhimyotis) | Minősített tanúsítványok, minősített időbélyegzés | La Poste csoport, eIDAS minősített 2016 óta | | Certinomis | Minősített tanúsítványok | La Poste leányvállalata, közszféra-orientált | | ChamberSign France | Minősített tanúsítványok | CCI hálózat, erős KKV-orientáció | | Keynectis / DocuSign France | Minősített tanúsítványok | A DocuSign által szerzett, ANSSI bélyeg megtartva | | Universign (Tessi) | Minősített tanúsítványok, időbélyegzés | Piacfejlesztő, a Tessi csoport részévé vált | | Entrust (ex-Datacard) | Minősített tanúsítványok | Nemzetközi szereplő, több tagállamban figyelembe vett | | Oodrive Sign | Minősített tanúsítványok | Szuverenitási francia szerkesztő, SecNumCloud minősített |

> Figyelmeztetés: ez a lista tájékoztató és informatív jelleggel kerül közlésre. Kizárólag az Európai Bizottság hivatalos Trust List-je a mérvadó. Az Európai Bizottság portálján mindig ellenőrizze az aktuális státuszt bármilyen szerződéskötés előtt.

Az EU-s megbízhatósági lista által Franciaországban elismert külföldi szolgáltatók

Az eIDAS-rendelet 25. cikke által szabályozott kölcsönös elismerés elve értelmében egy más tagállam megbízhatósági listájára bejegyzett PSCQ által kibocsátott minősített aláírás ugyanolyan jogi hatályú Franciaországban. A gyakran használt nem-francia szereplők közül:

• Namirial (Olaszország): erősen képviselt a távolról aláírt minősített aláírásban (QES remote signing);
• SwissSign (Svájc): figyelem, Svájc nem EU-tag; az elismerés részleges;
• Qualified.one / Asseco Data Systems (Lengyelország): európai közszférai szereplő, gyakori a határon átnyúló piacokon.

Ezek a megoldások összehasonlításához az Ön üzleti igényei szerint tekintse meg az elektronikus aláírás-megoldások összevetésünket, amely elemzi az ár, megfelelőség és API-integráció kritériumait.

---

Hogyan válassza ki a megfelelő minősített eIDAS-szolgáltatót szervezete számára?

A Trust List-en szereplés szükséges, de nem elégséges feltétel. Egy PSCQ kiválasztása több kiegészítő kritérium alapján kell történjen.

Technikai és integrációs kritériumok

• REST API vagy SDK elérhetősége: elengedhetetlen az aláírás automatizálásához az üzleti munkafolyamatokba (ERP, SIRH, CRM);
• Támogatott aláírási formátumok: PAdES PDF-hez, XAdES XML-hez, CAdES bináris fájlokhoz — az ETSI EN 319 100 által szabványosítva;
• Szolgáltatás rendelkezésre állása: szerződésben garantált 99,9%-nál magasabb SLA, karbantartási időszakokkal az üzleti órák kívül;
• Adatok tárolása: magyar vagy EU-beli tárolás előnye, ideálisan SecNumCloud minősítéssel érzékeny adatok esetén.

Jogi és megfelelőségi kritériumok

• Ellenőrizze, hogy a szolgáltató naprakész minősítési jelentést nyújt (kevesebb mint 24 hónapos);
• Követeljen meg közzétett tanúsítási szabályzatot (CP), amely nyilvánosan és auditálva elérhető;
• Biztosítsa, hogy az általános feltételek kifejezetten előírják a minősített tanúsítványok kibocsátását az eIDAS-rendelet I. függeléke értelmében.

Működési és támogatási kritériumok

• Aláírók regisztrációs eljárása: személyesen ügynökségben, eIDÁS-nak megfelelő videoazonosítás vagy NFC elektronikus személyazonossági igazolványból;
• Francia nyelvű támogatás szerződésbeli válaszidőkkel;
• Képzés és dokumentáció az Ön jogi és informatikai csapatai számára.

Ha szervezete jelentős HR dokumentumfolyamatokat kezel, a mi HR-csapatok számára szóló elektronikus aláírás oldalunk konkrét felhasználási eseteket (munkaszerződések, módosítások, onboarding) és ajánlott aláírási szinteket részletez dokumentumtípusonként.

---

eIDAS 2.0: milyen változások érinti a minősített szolgáltatókat 2026-ban?

Az eIDAS 2.0 rendelet (2024/1183 EU-rendelet, 2024. május óta fokozatos alkalmazása) több strukturális fejlesztést vezet be, amely közvetlenül érinti a PSCQ-kat és kliensjeiket.

Az Európai Digitális Identitási Tárcsa (EUDI Wallet)

A módosított rendelet 6a. cikke előírja a tagállamoknak, hogy 2026. szeptemberéig digitális identitási tárcsa (EUDI Wallet) bocsássák rendelkezésre, amely az EU-szerte elismert. A minősített szolgáltatókat ez azt jelenti:

• Az identitási tárca által kibocsátott identitási attribútumok elfogadása az aláírók regisztrációjához;
• Az új minősített szolgáltatás megjelenése: minősített attribútumok tanúsítása (Qualified Electronic Attestation of Attributes, QEAA).

Új minősített szolgáltatások és a hatály bővítése

Az eIDAS 2.0 kiterjeszti a minősített bizalmi szolgáltatások listáját a következőkre:

• Minősített elektronikus archiválási szolgáltatások (QPDS, 45f. cikk);
• Távolról aláíró eszközkezelési szolgáltatások (QRCD).

Ezek a fejlemények egyaránt a meglévő szolgáltatók számára szükséges megfelelősségi nyomást (szoros határidők) és a gyors integrációra képes új belépőknek lehetőséget jelentenek a technikai specifikációkban, amelyeket az ENISA és az ETSI közzétesznek.

Azon vállalkozások számára, akik egy meglévő platformról a jobban megfelelő megoldásra szeretnének migrálni, az útmutatónk a DocuSign vagy YouSign-ból a Certyneo-ba való migrációról konkrét lépéseket és szabályozási figyelmeztetési pontokat mutat be.

A minősített eIDAS-szolgáltatókra alkalmazandó jogi keret

eIDAS-rendelet és európai jog

A jogi alapot az Európai Parlament és Tanács (EU) 910/2014 rendelete képezi, 2014. július 23-áról az elektronikus azonosításról és a bizalmi szolgáltatásokról az elektronikus tranzakciókhoz a belső piacon (az úgynevezett „eIDAS-rendelet"), az 2024/1183 EU-rendelet (eIDAS 2.0) módosítása szerint. Ez a rendelet közvetlenül alkalmazandó az összes tagállamban, nemzeti átültetésre nincs szükség.

Fő rendelkezéseit a minősített szolgáltatók számára:

• 17. cikk: kötelezettség a tagállamok számára az ellenőrző szervezet kijelölésére (Franciaországban az ANSSI);
• 20. cikk: felügyelet, audit és a megbízhatósági listára való bejegyzés eljárása;
• 25. cikk: QES és kézírásos aláírás közötti egyenértékűségi feltételezés, jogi hatállyal az egész EU-ban garantált;
• I. függelék: minősített tanúsítványok elektronikus aláírásra vonatkozó követelményei;
• II. függelék: minősített aláírás-létrehozó eszközökre (QSCD) vonatkozó követelmények.

Francia jog

Belső jogban az elektronikus aláírást az alábbiak szabályozzák:

• Polgári törvénykönyv, 1366. és 1367. cikk: az 1366. cikk az elektronikus írásnak akkor ismeri el a bizonyító értékét, ha garantálja a szerző személyazonosságát és a dokumentum épségét. Az 1367. cikk azt tisztázza, hogy az megbízható azonosítási eljáráson alapuló elektronikus aláírás jogszabályban foglalt feltételek szerinti kedvezményes feltételezést élvez;
• 2017. szeptember 28-i 2017-1416. számú rendelet: meghatározza azokat a feltételeket, amelyek mellett az elektronikus minősített aláírás Franciaországban feltételezetten megbízhatónak tekinthető, az eIDAS-rendeletre hivatkozva;
• 2005. június 16-i 2005-674. számú rendelet bizonyos szerződéses formalitások elektronikus úton történő teljesítéséről.

Személyes adatok védelme

Az aláíróhelyzetek és az aláírási folyamatok személyes adatok feldolgozásával járnak (személyazonos adatok, biometria a videoazonosításhoz). A minősített szolgáltató az (EU) 2016/679 rendeletnek (GDPR) van alávetve, és különösen:

• DPO kijelölésére kötelezett, ha a feldolgozás nagyléptékű;
• A feldolgozásokat a CNIL nyilvántartásában dokumentálnia kell;
• Az EU-n kívülre történő adattovábbítást megfelelő garanciákkal szabályoznia kell (standard szerződési feltételek, megfelelőségi döntés).

Kiberbiztonsági rugalmasság

1. októbertől a NIS2 irányelv (2022/2555/UE) a minősített bizalmi szolgáltatások szolgáltatóira vonatkozik, akiket alapvetőnek minősülnek. Intézkedéseket kell bevezetniük a kiberbiztonsági kockázatkezelésben, jelenteniük kell az ANSSI-nak a jelentős incidenseket 24 órán belül, és időszakos auditokat kell hogy képviseljék. Az be nem tartás maximum 10 millió eurós vagy az éves globális forgalom 2%-a nagyságrendű bírságot vonhat maga után.

Technikai referencianormák

• ETSI EN 319 401: általános követelmények a bizalmi szolgáltatások szolgáltatóinak;
• ETSI EN 319 411-2: minősített tanúsítványok politikai profilja;
• ETSI EN 319 132: XAdES aláírási formátumok;
• ETSI EN 319 122: CAdES aláírási formátumok;
• ETSI EN 319 162: PAdES aláírási formátumok (PDF).

Felhasználási esetek: mikor nélkülözhetetlen a minősített eIDAS-aláírás?

1. eset — Jogásziroda magánnyugtáról szóló okiratok magas bizonyító értékkel kezelésével

Egy nagyobb ügyvédi iroda havi több tucatnyi üzletrészvény-átruházási szerződést, megállapodási jegyzőkönyvet és garantált vagyon nyilatkozatot (GAP) kezel. Ezek az okiratok gyakran több százezer eurós összeget érintenek és per során vitatottak lehetnek.

Mielőtt egy minősített eIDAS-szolgáltatóra migrált, az iroda fejlett aláírási megoldást (AES) használt, amely elegendőnek bizonyult a szokásos okiratokhoz. Egy olyan eset után, amikor az ellenfél vitatott egy aláírás hitelességét egy perben, az iroda úgy döntött, hogy minden nagyobb ügyet QES-sel láttatja el. Eredmény: 90%-os csökkenés az aláírási bizonyítékok becsatolásához szükséges időben a pertartások során, a QES-hez kapcsolódó feltételezett jogi feltételezésnek köszönhetően. Az egységes többlet költség (aláírásonként körülbelül 2-5 euró az adatmennyiségtől függően) teljes egészében felszámítható a pert költségeinek csökkenésévé.

2. eset — Középvállalat szállítói szerződések határon átnyúló kezelésével

Egy közepes méretű vállalat (ETI) az ipari berendezésekbe tartozó szektorban, Franciaország, Németország, Olaszország és Lengyelország szállítóival, eddig szokása volt küldeményekben vagy személyesen aláírt keretszerződéseket cserélni, ami 10-21 munkanapot igénybe vevő késedelmet okozott szerződésenként.

Egy minősített PSCQ-hoz csatlakoztatott megoldás telepítésével a vállalat az aláírási ciklust átlagosan 48 óránál kevesebberre csökkentette. A tagállamok közötti kölcsönös elismerés garantálja a jogi értéket további egyszerűsítésre való szükség nélkül. Körülbelül 350 évenkénti szállítói szerződésből az adminisztratív és logisztikai költségekben megtakarított becsült összeg legalább 40 000 eurót meghaladja évenként, az ACFE és az APQC által közzétett szektorális tanulmányok konzisztens értékeinek megfelelően.

3. eset — Egészségügyi csoportosulás egészségügyi ágazatra vonatkozó előírásoknak való megfelelésével

Egy körülbelül 1 200 fekvőhelyes egészségügyi csoportosulás elektronikus aláírásra van szüksége közszféra-szerződésekhez, klinikai kutatási megállapodásokhoz és szerzői szerződésekhez. Ezek az okiratok a közszféra szerződésekre vonatkozó kódex alá esnek, amely elektronikus aláírási megfelelőséget igényel az RGS (Általános Biztonsági Referencia) ** szintjén vagy, mivel demateriálisított a közszféra-szerződések, az eIDÁS-nak megfelelő szintjén.

Egy minősített PSCQ-ra támaszkodva, amely bejegyzésre kerül a francia megbízhatósági listán, az egészségügyi csoportosulás garantálja az összhangot a közszféra szerződésekre vonatkozó kódex R. 2132-7. cikkével, miközben 15 napról kevesebb mint 72 órára csökkenti a szerződések aláírásának időtartamát. Az API-integráció az egészségügyi informatikai rendszerrel (SIH) lehetővé tette az okiratok küldésének és nyomon követésének automatizálását, amely körülbelül 0,4 FTE-t felszabadít a szerződésekhez kapcsolódó adminisztratív feladatokból.

Következtetés

Egy minősített eIDAS-szolgáltatót kiválasztani nem egyszerű szoftver beszerzés: ez egy stratégiai döntés, amely az okiratok bizonyító értékét, a szervezet szabályozási megfelelőségét és a kereskedelmi és intézményi partnerek bizalmát érinti. 2026-ban az eIDAS 2.0 fokozatos alkalmazásával és az új NIS2 kötelezettségekkel az igény szintje csak emelkedik.

A legfontosabb megjegyzendő pontok: mindig ellenőrizze a bejegyzést a hivatalos Trust List-en, követelje meg a közzétett tanúsítási szabályzatot, és igazítsa az aláírási szintet (QES, AES, SES) az egyes dokumentumok jogi ügyfontos szintjéhez.

A Certyneo támogatja Önt ebben az erőfeszítésben, hozzáférést adva minősített tanúsítványokhoz a hivatkozott PSCQ-k által, egy robusztus API-integrációval és dedikált jogi támogatással. Készen áll a minősített aláírásra váltani? Kérjen bemutatót vagy hozzon létre fiókot a Certyneo-n és helyezze szervezetét a megfelelőségbe már ma.