Sertifikasi eIDAS 2 penyedia layanan tanda tangan 2026

Mengapa sertifikasi eIDAS 2 mengubah segalanya bagi penyedia layanan

Sejak diberlakukannya Peraturan (UE) 2024/1183 tanggal 11 April 2024 — yang umumnya disebut eIDAS 2 — penyedia layanan kepercayaan (PSC) yang beroperasi di Uni Eropa menghadapi kerangka regulasi yang telah diubah secara fundamental. Revisi Peraturan eIDAS asli tahun 2014 tidak hanya memperluas cakupan layanan yang diakui: juga memperketat kondisi akreditasi, memperkenalkan tingkat jaminan baru, dan memperkuat persyaratan pengawasan oleh badan pengawas nasional. Bagi setiap pemain yang ingin menawarkan layanan tanda tangan elektronik berkualitas (QES) atau canggih (AdES) di pasar Eropa, memahami cara mendapatkan sertifikasi eIDAS 2 untuk penyedia tanda tangan bukan lagi pilihan — ini adalah kewajiban strategis.

Artikel ini menyajikan gambaran lengkap tentang jalur sertifikasi: teks yang berlaku, standar teknis yang harus dipatuhi, peran badan penilaian kesesuaian (CAB), tenggat waktu yang realistis, dan poin perhatian operasional.

---

Lanskap regulasi eIDAS 2 yang baru: apa yang telah berubah

Dari Peraturan 910/2014 ke Peraturan 2024/1183: evolusi utama

Peraturan eIDAS asli (no. 910/2014) telah menetapkan fondasi pasar kepercayaan digital yang tunggal di Eropa. Ini mendefinisikan tiga tingkat tanda tangan — sederhana, canggih, dan berkualitas — dan menugaskan penyedia berkualitas untuk terdaftar di daftar kepercayaan nasional (TSL, Trust Service Lists). eIDAS 2 mempertahankan arsitektur ini tetapi memperkayanya pada beberapa poin struktural:

• Perluasan layanan berkualitas: pengarsipan elektronik berkualitas, atestasi elektronik atribut (AEA), pengelolaan jarak jauh perangkat pembuatan tanda tangan berkualitas (QSCD). Layanan baru ini sekarang tunduk pada prosedur akreditasi yang sama dengan tanda tangan berkualitas.
• Dompet identitas digital Eropa (EUDIW): penyedia yang ingin berinteraksi dengan dompet identitas masa depan harus menunjukkan kepatuhan mereka terhadap spesifikasi teknis yang diterbitkan oleh Komisi (ARF — Architecture and Reference Framework, v1.4, 2024).
• Penguatan pengawasan: otoritas pengawas nasional (di Prancis, ANSSI) memiliki kekuatan penyelidikan dan perintah yang diperkuat. PSC berkualitas dapat menjalani audit mendadak.
• Tenggat waktu notifikasi yang dikurangi: setiap insiden keamanan yang signifikan harus dilaporkan kepada otoritas yang kompeten dalam 24 jam (berbeda dengan 72 jam dalam versi sebelumnya untuk insiden tertentu).

Untuk gambaran umum peraturan, panduan eIDAS 2.0 dari Certyneo menawarkan ikhtisar yang jelas tentang semua evolusi ini.

Tingkat jaminan dan implikasinya untuk sertifikasi

Perbedaan antara tanda tangan elektronik canggih dan berkualitas tetap menjadi pusat sistem. Hanya QES yang menerima praduga hukum tentang integritas dan imputabilitas yang setara dengan tanda tangan tangan (pasal 25 Peraturan eIDAS 2). Praduga ini secara langsung bergantung pada sertifikasi penyedia.

| Tingkat | Nilai pembuktian | Persyaratan penyedia | |---|---|---| | Sederhana (SES) | Terbatas | Tidak ada | | Canggih (AdES) | Signifikan | Praktik terbaik + standar ETSI | | Berkualitas (QES) | Maksimal (praduga hukum) | Sertifikasi eIDAS 2 wajib |

---

Proses sertifikasi eIDAS 2 langkah demi langkah

Langkah 1 — Prasyarat organisasi dan teknis

Sebelum secara resmi memulai proses sertifikasi, penyedia harus melakukan audit tingkat kematangan pada tiga sumbu:

1. Kepatuhan terhadap standar ETSI Standar dari seri EN 319 membentuk dasar teknis yang wajib diikuti. Yang utama adalah:

• ETSI EN 319 401: persyaratan umum untuk penyedia layanan kepercayaan
• ETSI EN 319 411-1 dan 411-2: kebijakan dan persyaratan untuk otoritas sertifikasi yang mengeluarkan sertifikat (profil PTC-QC untuk sertifikasi berkualitas)
• ETSI EN 319 421: kebijakan dan persyaratan untuk penyedia layanan stempel waktu
• ETSI EN 319 132: format tanda tangan XAdES (XML), dan seri terkait CAdES (CMS) dan PAdES (PDF)

Kepatuhan terhadap standar ini bukan opsional bagi penyedia berkualitas: secara eksplisit diperlukan oleh tindakan pelaksanaan Komisi Eropa.

2. Keamanan sistem informasi QSCD (perangkat pembuatan tanda tangan berkualitas) harus bersertifikat menurut Common Criteria (CC) EAL4+ atau setara. Untuk solusi tanda tangan jarak jauh — model dominan di SaaS — persyaratan juga mencakup modul HSM (Hardware Security Module) dan prosedur manajemen kunci kriptografi (kepatuhan FIPS 140-2 level 3 minimum).

3. Kebijakan keamanan (PSSI) dan manajemen risiko Berkas sertifikasi memerlukan PSSI yang terdokumentasi, selaras dengan ISO/IEC 27001 (sertifikasinya sangat direkomendasikan dan kadang diperlukan oleh CAB) dan mengintegrasikan persyaratan NIS2 untuk entitas yang diklasifikasikan sebagai "penting" atau "sangat penting".

Langkah 2 — Pemilihan dan keterlibatan badan penilaian kesesuaian (CAB)

Di Prancis, CAB yang diakreditasi oleh COFRAC (Komite Prancis untuk Akreditasi) untuk mengevaluasi penyedia layanan kepercayaan sangat sedikit. Sebagai contoh, LSTI (Laboratoire de Sécurité des Technologies de l'Information) dan Bureau Veritas Certification termasuk di antara pemain yang direferensikan. Pada skala Eropa, setiap negara anggota menerbitkan daftar CAB notifikasinya.

Peran CAB adalah melakukan audit kesesuaian dalam dua fase:

1. Tinjauan dokumentasi (Fase 1): pemeriksaan kebijakan, prosedur, Pernyataan Praktik Sertifikasi (DPC / CPS) dan bukti teknis.
2. Audit di lokasi (Fase 2): verifikasi kontrol operasional, uji penetrasi, wawancara dengan tim.

Durasi total audit CAB biasanya berkisar antara 4 hingga 8 minggu tergantung pada kematangan sebelumnya dari kandidat.

Langkah 3 — Instruksi oleh otoritas pengawas nasional

Di Prancis, ini adalah ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) yang menginstruksikan permintaan pendaftaran di daftar kepercayaan nasional (TSL FR). Berdasarkan laporan audit CAB, ANSSI melakukan analisisnya sendiri dan dapat meminta informasi tambahan atau tindakan perbaikan.

Tenggat waktu regulasi untuk instruksi adalah 3 bulan sejak penerimaan berkas lengkap (pasal 17 Peraturan eIDAS 2). Dalam praktik, tenggat waktu aktual sering lebih lama jika berkas awal tidak lengkap.

Setelah terdaftar di TSL nasional, penyedia secara otomatis direferensikan dalam EUTL (EU Trusted List), yang diterbitkan oleh Komisi Eropa, yang memberikan kepadanya pengakuan lintas batas langsung di 27 negara anggota.

Langkah 4 — Pemeliharaan kualifikasi dan pembaruan

Sertifikasi eIDAS 2 bukan selamanya. Penyedia berkualitas tunduk pada:

• Audit pengawasan tahunan yang dilakukan oleh CAB
• Audit pembaruan lengkap setiap 24 bulan (siklus yang diperpendek dibandingkan dengan praktik sebelumnya)
• Kontrol mendadak yang mungkin atas inisiatif ANSSI

Setiap perubahan substansial infrastruktur (perubahan HSM, evolusi PKI, layanan berkualitas baru) memicu prosedur notifikasi sebelumnya dan dapat memaksakan audit parsial.

---

Biaya, tenggat waktu, dan faktor risiko: apa yang harus diantisipasi DSI

Anggaran dan sumber daya manusia

Biaya sertifikasi eIDAS 2 pertama kali sangat signifikan. Item pengeluaran mencakup:

• Audit CAB: antara €40.000 dan €120.000 tergantung kompleksitas lingkup
• Penyesuaian teknis (HSM, PKI, QSCD bersertifikat CC): dari €80.000 hingga beberapa ratus ribu euro untuk infrastruktur proprietary
• Sertifikasi ISO 27001 (direkomendasikan sebelumnya): €15.000 hingga €50.000 tergantung ukuran
• Biaya konsultasi hukum dan penulisan DPC: €10.000 hingga €30.000
• Biaya internal: mobilisasi tim khusus (RSSI, DPO, pejabat kepatuhan) selama 12 hingga 18 bulan

Dengan menggabungkan semua pos ini, sertifikasi lengkap mewakili investasi global sekitar €200.000 hingga €500.000 untuk penyedia ukuran menengah, tidak termasuk biaya pemeliharaan berkelanjutan.

Faktor risiko operasional

Penyebab paling umum kegagalan atau penundaan dalam prosedur sertifikasi adalah:

1. DPC yang tidak cukup terperinci: Pernyataan Praktik Sertifikasi harus mendokumentasikan setiap kontrol dengan tingkat butiran yang kadang kurang diperkirakan.
2. Celah dalam manajemen siklus hidup kunci: revokasi, pengarsipan, penghancuran kunci pribadi.
3. Tata kelola insiden yang tidak memadai: tidak adanya SIEM, prosedur manajemen krisis yang diuji, runbook.
4. Meremehkan NIS2: sejak Oktober 2024, PSC berkualitas secara otomatis diklasifikasikan sebagai entitas "penting" menurut arahan NIS2, dengan kewajiban pelaporan dan manajemen risiko tambahan.

Bagi perusahaan yang lebih suka mendelegasikan kendala ini kepada penyedia yang sudah bersertifikat daripada membangun infrastruktur mereka sendiri, perbandingan solusi tanda tangan elektronik yang tersedia di Certyneo membantu mengobjektifkan pilihan build-vs-buy ini.

---

eIDAS 2 dan tanda tangan elektronik di perusahaan: isu transisi

Bagi perusahaan pengguna — berlawanan dengan penyedia — sertifikasi eIDAS 2 dari penyedia SaaS tanda tangan mereka adalah kriteria pemilihan yang sekarang tidak terbantahkan. Mengintegrasikan dalam panggilan penawaran klausa yang menuntut kehadiran di TSL nasional telah menjadi praktik standar di sektor yang diatur (keuangan, kesehatan, real estat).

Tanda tangan elektronik di perusahaan memang memerlukan pembedaan yang jelas antara kasus penggunaan yang memerlukan QES — akta di bawah tangan pribadi dengan penting tinggi, mandat, akta notaris elektronik — dari kasus-kasus di mana AdES cukup. Pemetaan penggunaan ini secara langsung mempengaruhi tingkat layanan yang dapat diwajibkan secara kontraktual kepada penyedia.

Organisasi yang bermigrasi dari solusi yang ada ke penyedia bersertifikat eIDAS 2 juga harus mengantisipasi portabilitas arsip bukti. Panduan tentang migrasi dari DocuSign atau YouSign ke Certyneo merincikan praktik terbaik untuk mempertahankan nilai pembuktian dokumen yang sudah ditandatangani selama transisi.

Kerangka hukum yang berlaku untuk sertifikasi eIDAS 2

Teks dasar

Sertifikasi penyedia layanan kepercayaan didasarkan pada tumpukan normatif yang padat yang harus dikuasai secara menyeluruh:

Peraturan (UE) 2024/1183 tanggal 11 April 2024 (eIDAS 2): teks referensi yang mencabut dan menggantikan ketentuan terkait dari Peraturan 910/2014. Ini mendefinisikan kondisi untuk memperoleh dan mempertahankan status penyedia berkualitas, kewajiban pengawasan nasional, dan persyaratan untuk layanan baru (EUDIW, AEA).

Peraturan (UE) no. 910/2014 (eIDAS 1): masih sebagian berlaku untuk ketentuan yang tidak diubah; tindakan pelaksanaan dan delegasi yang diadopsi menurut peraturan ini tetap berlaku sampai revisi formalnya.

Kode Sipil Prancis, pasal 1366 dan 1367: pasal 1366 menetapkan prinsip kesetaraan tanda tangan elektronik dengan tanda tangan tangan di bawah kondisi keandalan; pasal 1367 memperjelas bahwa keandalan dipresumsi sampai terbukti sebaliknya ketika tanda tangan berkualitas digunakan. Ketentuan nasional ini bersesuaian langsung dengan praduga hukum pasal 25 eIDAS 2.

Arahan (UE) 2022/2555 (NIS2): ditransposisikan ke hukum Prancis oleh undang-undang 15 Oktober 2024, secara otomatis mengklasifikasikan penyedia layanan kepercayaan berkualitas di antara entitas penting. Kewajiban: deklarasi ke ANSSI dalam 72 jam untuk setiap insiden signifikan, implementasi manajemen risiko cyber formal, audit keamanan periodik.

Peraturan (UE) 2016/679 (GDPR): penyedia layanan tanda tangan memproses data pribadi sensitif (identitas penandatangan, log audit). Kepatuhan terhadap prinsip minimalisasi, pembatasan penyimpanan, dan integritas memerlukan analisis dampak spesifik (AIPD). Dasar hukum pemrosesan harus didokumentasikan untuk setiap layanan.

Standar teknis dengan nilai regulasi

Tindakan pelaksanaan Komisi Eropa (khususnya Keputusan Pelaksanaan (UE) 2015/1506 dan revinya) menunjuk standar ETSI sebagai presumi kepatuhan:

• ETSI EN 319 401: persyaratan umum TSP
• ETSI EN 319 411-1 dan 411-2: kebijakan sertifikasi
• ETSI EN 319 421: stempel waktu berkualitas
• ETSI EN 319 132 / 122 / 102: format AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: layanan tanda tangan jarak jauh

Risiko hukum dalam kasus ketidakpatuhan

Penggunaan status penyedia berkualitas secara curang atau lalai mengekspos pada sanksi administratif yang diucapkan oleh ANSSI (penangguhan, pencabutan dari daftar kepercayaan) dan penuntutan pidana (pasal 226-17 Kode Pidana untuk kegagalan keamanan data pribadi). Pada tingkat perdata, penolakan terhadap nilai pembuktian tanda tangan yang diterbitkan selama periode ketidakpatuhan dapat melibatkan tanggung jawab kontraktual penyedia kepada kliennya.

Skenario penggunaan: sertifikasi eIDAS 2 dalam praktik

Skenario 1 — Editor SaaS ukuran menengah menargetkan kualifikasi QES

Sebuah perusahaan yang mengkhususkan diri dalam dematerialisasi dokumen, mempekerjakan sekitar seratus karyawan dan mengelola beberapa juta transaksi tanda tangan per tahun atas nama klien di sektor perbankan dan asuransi, memutuskan untuk meminta kualifikasi eIDAS 2 untuk layanan tanda tangan elektroniknya. Hingga saat ini, perusahaan menawarkan tanda tangan canggih berbasis sertifikat (AdES), cukup untuk sebagian besar kontrak klien, tetapi tidak cukup untuk akta yang memerlukan nilai pembuktian maksimal (mandat SEPA, konvensi bukti yang dinotaris).

Setelah audit internal 3 bulan yang mengungkapkan sekitar lima belas celah utama dibandingkan dengan persyaratan ETSI EN 319 411-2, perusahaan memulai program penyesuaian dalam 14 bulan. Proyek utama mencakup penggantian HSM yang ada dengan modul yang bersertifikat FIPS 140-2 level 3, penulisan DPC dengan 180 halaman, dan memperoleh sertifikasi ISO 27001 sebelum audit CAB. Investasi total mencapai €340.000. Setelah proses, pendaftaran di TSL Prancis memungkinkan perusahaan untuk mengakses panggilan penawaran dari mana perusahaan sebelumnya secara sistematis dikecualikan, mewakili potensi komersial yang diperkirakan €20% dari pendapatan tambahan.

Skenario 2 — Pengelompokan rumah sakit mengintegrasikan tanda tangan berkualitas untuk akta medis-hukum

Sebuah pengelompokan rumah sakit sekitar 1.200 tempat tidur ingin mendematerialisasi proses persetujuan terinformasi, delegasi kekuasaan medis, dan kontrak penelitian klinis. Dokumen ini termasuk dalam kategori akta di mana QES diperlukan atau sangat direkomendasikan oleh kerangka referensi HAS dan standar hukum untuk data kesehatan (pasal L. 1110-4 CSP).

Daripada mensertifikasi infrastruktur internal — pilihan yang dianggap terlalu mahal dan di luar kompetensi inti — pengelompokan memilih integrasi penyedia pihak ketiga yang sudah terdaftar di TSL. DSI melakukan audit kepatuhan penyedia berdasarkan daftar periksa ETSI EN 319 401 dan memverifikasi kehadiran aktual di EUTL sebelum kontraktualisasi apa pun. Penyebaran, yang dilakukan dalam 4 bulan, mengurangi waktu pengumpulan tanda tangan pada berkas penelitian klinis sebesar 65% dan menghilangkan risiko penghinaan hukum terkait penggunaan sebelumnya dari tanda tangan sederhana untuk akta sensitif.

Skenario 3 — Firma pengacara bisnis mengamankan akta di bawah tangan pribadi

Firma pengacara bisnis dengan sekitar tiga puluh mitra, mengelola tahunan hampir 400 operasi penggabungan dan akuisisi dan penjualan dana perdagangan, berusaha mengamankan tanda tangan akta di bawah tangan pribadi yang kompleks. Nilai unit transaksi yang ditangani sering kali melebihi satu juta euro, dan setiap cacat bentuk dapat melibatkan tanggung jawab profesional firma.

Setelah analisis, tim IT dan mitra pengelola setuju pada persyaratan kontraktual minimum QES yang diterbitkan oleh penyedia bersertifikat eIDAS 2 untuk setiap akta yang nilainya melebihi €100.000. Kriteria pemilihan penyedia secara wajib mengintegrasikan verifikasi pendaftaran di TSL nasional dan ketersediaan sertifikat kepatuhan ETSI baru-baru ini (kurang dari 12 bulan). Kerangka ini memungkinkan firma untuk mengurangi lebih dari 80% permintaan keahlian balik atas validitas tanda tangan dalam litigasi selanjutnya, menurut umpan balik yang diamati dari struktur sebanding di sektor.

Kesimpulan

Memperoleh sertifikasi eIDAS 2 sebagai penyedia layanan tanda tangan elektronik adalah proses yang menuntut, mahal, dan panjang — tetapi tak tergoyahkan bagi setiap pemain yang ingin menawarkan jaminan hukum maksimal kepada kliennya di pasar Eropa. Antara penyesuaian terhadap standar ETSI, kelulusan audit CAB, instruksi oleh ANSSI, dan pemeliharaan kualifikasi seiring waktu, pendekatan ini memobilisasi sumber daya substansial selama 12 hingga 24 bulan.

Bagi perusahaan pengguna, berita baiknya adalah bahwa tidak perlu membangun infrastruktur ini secara internal: memilih penyedia SaaS yang sudah bersertifikat eIDAS 2 dan terdaftar di daftar kepercayaan nasional memungkinkan untuk segera mendapat manfaat dari praduga hukum yang terkait dengan QES, tanpa menanggung biaya sertifikasi.

Certyneo adalah penyedia kepercayaan yang bersertifikat, dirancang untuk perusahaan B2B yang menuntut ketelitian hukum dan kesederhanaan penggunaan. Temukan tarif kami dan mulai uji coba gratis Anda hari ini.