eIDAS samræmi fyrir lítil og meðalstór fyrirtæki: heill 2026 gátlisti

Evrópska eIDAS reglugerðin (ESB n°910/2014, sem brátt verður breytt með eIDAS 2.0) stjórnar rafrænum undirskriftum um allt Evrópusambandið. Fyrir lítið og meðalstórt fyrirtæki er það ekki bara kassi til að athuga að uppfylla reglur: það er tryggingin fyrir því að samningar þess séu framfylgjanlegir, að undirskriftargögn þess séu vernduð og að það verndar sig gegn lagalegri áhættu sem getur verið dýr. Hér er gátlistinn fyrir árið 2026 með 12 áþreifanlegum atriðum til að athuga hvort SME þitt sé að fullu samhæft við eIDAS.

Punktur 1: veldu rétta undirskriftarstigið

Fyrsta viðbragð: kortleggðu samningsgerðirnar þínar og tengdu markmiðsstig. Staðlaðir viðskiptasamningar (tilboð, innkaupapantanir, einföld NDA): SES er nóg. Ráðningarsamningar, leigusamningar, viðkvæm NDA, stefnumótandi samningar: AES lágmark, helst með OTP SMS. Reglubundnar gerðir (lögfræðingur, lögbókandi, opinberir samningar yfir viðmiðunarmörkum): Skylda QES. Án þessarar kortlagningar er hætta á undirmáli (hafna samningi) eða of stórum stærðum (óhóflegur kostnaður).

2. liður: athugaðu hæfi þjónustuveitunnar

Þjónustuveitan þín verður að vera traustur þjónustuaðili (QTSP) eða treysta á QTSP fyrir AES/QES stig. Skoðaðu trúnaðarþjónustulistann sem gefinn er út af ANSSI (eidas.ssi.gouv.fr) og evrópska traustalistann (webgate.ec.europa.eu/tl-browser). Franska tilvísun QTSPs: Certigna, Docaposte, Certinomis, Universign. Fyrir SES/AES í gegnum vettvang (Certyneo, Yousign, osfrv.), athugaðu sérstaklega skjalfest eIDAS samræmi þeirra.

3. liður: Prófaðu endurskoðunarslóðina

Skrifaðu undir prófunarumslag og safnaðu endurskoðunarslóðinni (venjulega sér PDF). Það verður að innihalda: auðkenni og netfang undirritaðs, tímastimpil hvers skrefs (sending, opnun, staðfesting, undirskrift), IP-tölu, umboðsmaður notenda, kjötkássa skjalsins, OTP-staðfesting ef AES. Ef eitthvert þessara þátta vantar er sönnunargildið veikt. Certyneo veitir alla endurskoðunarslóðina jafnvel á ókeypis áætlun.

4. liður: stjórna tímastimplinum

Tímastimpillinn verður að vera gefinn út af Time Stamp Authority (TSA) í samræmi við RFC 3161. Tímastimpill einfaldlega frá NTP netþjóni fyrirtækisins er ekki nóg. Opnaðu undirritaða PDF í Adobe Reader: Undirskriftir flipann → Upplýsingar → Tímastimpill. Þú ættir að sjá gilt TSA vottorð og vottaða klukku þar. Ef PDF-skjölin eru ekki með staðfestan tímastimpil skaltu hætta við val á þjónustuveitanda.

5. liður: skjalasafn í minnst 10 ár

Viðskiptalögin (grein L. 123-22) krefjast 10 ára geymslu fyrir viðskiptaskjöl. Vinnulöggjöfin kveður á um 5 ár fyrir ráðningarsamninga eftir uppsögn. Skjalavistun verður að varðveita heilleika (káss, lokun) og aðgang. Tilvalið: PDF/A snið (ISO 19005), tvöföld geymsla (aðal + öryggisafrit utan staðar), rafræn öryggishólf (CFE) fyrir hámarkssönnun. Certyneo geymir 10 ár sjálfgefið og býður útflutning til CFE samstarfsaðila.

6. liður: athugaðu gagnastaðsetningu

Hvar eru undirskriftargögnin þín hýst? Fyrir franskt lítið og meðalstórt meðalstórt fyrirtæki sem fæst við viðkvæma samninga skaltu velja franska eða ESB hýsingu. Spyrðu þjónustuveituna þína um lista yfir undirverktaka og staðsetningu þeirra (28. gr. GDPR). Forðastu lausnir sem falla undir bandarísku skýjalögin fyrir stefnumótandi samninga. Certyneo er hýst í Frakklandi, án Cloud Act háð. Sjá grein okkar um /blogg/cloud-act-signature-electronique.

7. liður: tjáðu sig með GDPR

Undirskrift og GDPR eru nátengd: hvert umslag inniheldur persónulegar upplýsingar (nafn, netfang, IP, sími). Gakktu úr skugga um að vinnsluskráin þín (gr. 30 GDPR) innihaldi rafræna undirskrift, að varðveislutímar séu í samræmi (10 ár) og að hægt sé að innleiða réttindi einstaklinga (aðgangur, leiðrétting, flytjanleiki). Ef þú ert að biðja um margar undirskriftir er mælt með DPO. Sjá grein okkar /blogg/signature-electronique-rgpd.

8. liður: auðkenna undirritaða uppstreymis

Fyrir traustan AES byrjar auðkenning ekki með undirritun: hún byrjar með gagnasöfnun. Athugaðu tölvupóst (engin samheiti, enginn póstlisti), símanúmer (engin sameiginleg lína) og fylgstu með uppruna auðkenningar (auðkenni fyrir þunga samninga, núverandi viðskiptavinur KYC fyrir áframhaldandi samninga). Þessi áreiðanleikakönnun gerir sönnunargögnin traust ef ágreiningur kemur upp.

9. lið: þjálfa liðin

Sölu-, starfsmanna- og lögfræðiteymi þín verða að skilja reglurnar: Aldrei þvinga undirritaðan til að nota tæki frá þriðja aðila, aldrei skila breyttu árituðu PDF-skjali, aldrei líma skannaða undirskriftarmynd í stað raunverulegrar undirskriftar. Ein klukkustund af þjálfun á hvert lið er nóg til að innræta góð viðbrögð. Certyneo veitir fullkomna leiðbeiningar til að deila innbyrðis (/tilföng).

Liður 10: athugaðu samninga þjónustuveitenda

CGU/CGV undirskriftarþjónustuveitanda verður að: hefja eIDAS samræmi, tilgreina geymslutímabil, fela í sér GDPR undirverktakasamning (gr. 28), skjalfesta undirverktakaáætlunina, koma til baka. Biddu einnig um SOC 2 Type II eða sambærilegt ef þú vinnur mikið magn. Fyrir Certyneo eru þessi skjöl fáanleg á /legal og /security.

11. liður: undirbúið eIDAS 2.0 og EUDI veskið

eIDAS 2.0 reglugerðin (ESB 2024/1183) tekur gildi smám saman og krefst þess að aðildarríkin setji upp EUDI veski fyrir árslok 2026. Þessi stafræna auðkenni QES mun ekki veita fjarskráningu aðgang að veskinu án þess að hafa fjarskráningu. Undirbúðu SME þitt: athugaðu hvort þjónustuveitan þín hafi EUDI Wallet vegakort, fylgdu samskiptum frá ANSSI og framkvæmdastjórn Evrópusambandsins. Sjá /blogg/eidas-2-nouveau-reglement-2026.

12. liður: endurskoðun árlega

Fylgni er ekki áunnin staða: það er viðvarandi ferli. Tímasettu árlega úttekt (innri eða ytri) til að athuga: reglubreytingar, þróun þjónustuveitenda, uppfærð kortlagning á gerðum samninga, skilvirk varðveisla, þjálfun nýliða. Létt úttekt tekur hálfan dag fyrir SME og kemur í veg fyrir að margt komi á óvart. Byrjaðu á því að búa til ókeypis Certyneo reikning á certyneo.com/signup til að prófa raunverulegt samræmi, skoðaðu síðan eIDAS handbókina okkar til að grafa dýpra (/guide/eidas).