eIDAS 2 vottun þjónustuveitenda undirskriftar 2026

Af hverju eIDAS 2 vottun breytir leikinu fyrir þjónustuveitendur

Frá gildistöku reglugerðar (ESB) 2024/1183 frá 11. apríl 2024 — almennt kölluð eIDAS 2 — standa þjónustuveitendur trausts (PSC) sem starfa í Evrópusambandinu frammi fyrir í grundvallaratriðum endurbætum reglugerðaramma. Endurskoðun upphaflegrar eIDAS reglugerðar frá 2014 takmarkast ekki við að stækka umfang viðurkenndra þjónusta: hún herðir verulega skilyrði fyrir viðurkenningu, kynnir ný tryggingastig og styrkar eftirlitskröfur þjóðlegra yfirvalda. Fyrir alla aðila sem vilja bjóða þjónustu með hæfum rafrænni undirskrift (QES) eða framkomnum (AdES) á evrópskum markaði, að skilja hvernig fá eIDAS 2 vottun fyrir þjónustuveitanda undirskriftar er ekki lengur valið — það er stefnumótandi skylda.

Þessi grein gefur yfirlit yfir vottunarferlið: gildandi textar, tæknilegir staðlar sem ber að fylgja, hlutverk matsstofnanna fyrir samræmi (CAB), raunhæfir tímalínur og aðvörunarpunktar starfsendurlegar.

---

Nýtt eftirlitslandslag eIDAS 2: það sem breyttist

Frá reglugerð 910/2014 til reglugerðar 2024/1183: stórar breytingar

Upphafleg eIDAS reglugerð (nr. 910/2014) hafði sett grunninn fyrir stakan stafrænt traustsmarkað í Evrópu. Hún skilgreindi þrjú stig undirskriftar — einfalda, framkomna og hæfa — og krafðist þess að hæfir veitendur væru skráðir á þjóðlegar traunslistir (TSL, Trust Service Lists). eIDAS 2 viðheldur þessari arkitektúr en auðgar hana á nokkrum skipulegum punktum:

• Stækkun hæfra þjónustu: hæf geymsla rafrænna gagna, rafrænir vottunarskírteini eiginleika (AEA), fjarstjórnun á búnaði til að stofna hæfa undirskriftaraðstöðu (QSCD). Þessar nýju þjónustur eru nú háðar sama viðurkenningu og hæf undirskrift.
• Evrópsk völl fyrir stafræna persónuauðkenningu (EUDIW): þjónustuveitendur sem vilja hafa samskipti við framtíðarvöllinn fyrir stafræna auðkenningu verða að sýna fram á samræmi síðan við tækniforskriftir sem gefnar eru út af framkvæmdastjórninni (ARF — Architecture and Reference Framework, v1.4, 2024).
• Styrkta eftirlit: þjóðlegir eftirlitsaðilar (í Frakklandi, ANSSI) hafa styrkta rannsóknar- og tilskipunarvald. Hæfir PSC geta verið hlutir óbeinna endurskoðunar.
• Styttri tilkynningartímar: hvers kyns veruleg öryggisatburður verður að tilkynna fagþórðum innan 24 klukkustunda (samanborið við 72 klukkustundir í fyrri útgáfu fyrir suma atburði).

Fyrir yfirlit yfir reglugerðina, eIDAS 2.0 leiðarvísir Certyneo gefur kennslubóka samantekt á öllum þessum breytingum.

Tryggingastigin og afleiðingar þeirra fyrir vottun

Greinarmunur á rafrænni undirskrift sem er framkomin og hæf helst snúningsstöð kerfisins. Aðeins QES nýtur lagalegrar forseturhæfni fyrir heilleika og ábyrgð sem jafngildir handritaðri undirskrift (gr. 25 reglugerðar eIDAS 2). Þessi forseta er beint háð vottun veitandans.

| Stig | Réttargild | Kröfu um veitanda | |---|---|---| | Einfalda (SES) | Takmörkuð | Engin | | Framkomin (AdES) | Veruleg | Bestu venjur + ETSI staðlar | | Hæf (QES) | Hámark (lögleg forseta) | eIDAS 2 vottun skylda |

---

eIDAS 2 vottunarferli skref fyrir skref

Skref 1 — Forvaraðir kröfur á skipulags- og tæknistigi

Áður en um er að ræða að hefja formlega vottunarferlið, verður þjónustuveitandi að endurskoða þroškastig sitt á þremur sviðum:

1. Samræmi ETSI stöðlum Staðlar í EN 319 röðinni mynda ósniðnalega tæknilega undirstöðu. Helstu eru:

• ETSI EN 319 401: almennar kröfur fyrir þjónustuveitendur trausts
• ETSI EN 319 411-1 og 411-2: stefnur og kröfur fyrir vottunarvald sem gefin út skírteini (PTC-QC prófílar fyrir hæfu vottun)
• ETSI EN 319 421: stefna og kröfur fyrir tímastimpla-þjónustuveitendur
• ETSI EN 319 132: undirskrift snið XAdES (XML), og tengd röð CAdES (CMS) og PAdES (PDF)

Samræmi við þessa staðla er ekki valfrjálst fyrir hæfa veitendur: það er skýrt krafist af framkvæmdargerðum framkvæmdastjórnarinnar.

2. Öryggi upplýsingakerfa QSCD (tæki til að stofna hæfa undirskrift) verður að vera vottuð samkvæmt Common Criteria (CC) EAL4+ eða sambærilegt. Fyrir lausnir til fjarlægrar undirskriftar — ráðandi SaaS módel — ná kröfurnar einnig til HSM eininga (Hardware Security Module) og aðferðir við stjórnun dulmálslykla (FIPS 140-2 stig 3 lágmark).

3. Öryggisstefna (PSSI) og áhættustjórnun Vottunarskjöl krefjast formlegrar PSSI, samstæmd við ISO/IEC 27001 (þar sem vottun er mjög mælt með því og stundum krafist af CAB) og samþætting NIS2 krafna fyrir aðila sem flokkuð eru sem "mikilvæg" eða "nauðsynleg".

Skref 2 — Val og umbun matsstofnunar fyrir samræmi (CAB)

Í Frakklandi, CAB viðurkenndur af COFRAC (Frönsku nefnd fyrir samhæfingu) til að meta þjónustuveitendur trausts eru fáir. Til dæmis, LSTI (Laboratoire de Sécurité des Technologies de l'Information) og Bureau Veritas Certification eru meðal viðurkennda aðila. Á evrópsku stigi gefur hver aðildarríki út lista yfir tilkynnta CAB.

Hlutverk CAB er að framkvæma samhæfingarendurskoðun í tveimur stigum:

1. Yfirlestur gagna (Stig 1): athugun á stefnum, verklagsreglum, yfirlýsingu um aðferðir vottunarvaldi (DPC / CPS) og tæknilegum sönnunum.
2. Endurskoðun á staðnum (Stig 2): sannprófun á starfrænni yfirráðum, innrásarprófum, viðtöl með liðum.

Heildartími endurskoðunar CAB er venjulega 4 til 8 vikur eftir fyrri þroska umsækjanda.

Skref 3 — Eftirlit með þjóðlegu eftirlitsyfirvaldi

Í Frakklandi er það ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) sem fer með umsóknir um skráningu á þjóðlegri traunslisti (TSL FR). Á grundvelli CAB endurskoðunarskýrslu, ANSSI fer fram á eigin greiningu og getur farið fram á viðbótar upplýsingum eða leiðréttandi aðgerðum.

Reglubundin skyntími fyrir yfirlestur er 3 mánuðir frá móttöku fullkominnar umsagnar (gr. 17 reglugerðar eIDAS 2). Í reynd eru þær tímalínur lengri ef upphafleg umsögn er ófullnæg.

Þegar hann er skráður á TSL þjóðarinnar, er þjónustuveitandinn sjálfkrafa núllinn á EUTL (EU Trusted List), sem gefin er út af framkvæmdastjórninni, sem veita honum alþjóðlega viðurkenningu strax í öllum 27 aðildarríkjum.

Skref 4 — Viðhald á viðurkenningu og endurnýjun

eIDAS 2 vottun er ekki endanleg. Hæfir veitendur eru háðir:

• Árleg eftirlitsendurskoðun af CAB
• Endurnýjunarendurskoðun á 24 mánaða fresti (styttur hringrás samanborið við fyrri æfingu)
• Óvarnir eftirlitsvísitölur möguleg á frumkvæði ANSSI

Hvers kyns veruleg breyting á innviðum (skipti HSM, breyting á PKI, ný hæf þjónusta) kemur af stað tilkynningum og getur þurft að endurskoðun að hluta.

---

Kostnaðir, tímalínur og áhættuþættir: hvað DSI ættu að áætla

Kostnaðaráætlun og mannauðsöfl

Kostnaður við fyrstu eIDAS 2 vottun er umtalsverð. Kostnaðarlínur fela í sér:

• CAB endurskoðun: á milli 40 000 € og 120 000 € eftir flókni umfangs
• Tæknileg samhæfing (HSM, PKI, QSCD vottuð CC): frá 80 000 € til margar hundruð þúsund evra fyrir sérhæfða innviði
• ISO 27001 vottun (mælt með fyrirfram): 15 000 til 50 000 € eftir stærð
• Lögleg ráðgjöf og DPC ritun: 10 000 til 30 000 €
• Innri kostnaðir: tilfærslu sérstakrar liðs (RSSI, DPO, framkvæmdastjóri samhæfingar) í 12 til 18 mánuði

Með því að leggja saman alla þessa staðina, fullt vottunarferli táknar heildar fjárfestingu um 200 000 til 500 000 € fyrir miðlungs stærð veitanda, án endurtekins viðhaldskostnaðar.

Starfrænir áhættuþættir

Algengustu ástæður bilana eða tafa í vottunarverkum eru:

1. Ófullnæg DPC: yfirlýsing um aðferðir vottunarvaldi verður að skrá hverja yfirráð með stundum vanmeta nákvæmni.
2. Eyður í stjórnun lyklagetu: afturköllun, geymslu, eyðingu einkakeypa.
3. Ófullnæg stjórnun atburðarins: engin SIEM, óprófuð átakaferli, engir runbooks.
4. Vanmöt NIS2: frá október 2024, hæfir PSC eru sjálfkrafa flokkaðir "mikilvægir" aðilar skv. NIS2 tilskipun, með viðbótarupplýsinga- og áhættustjórnun skyldum.

Fyrir fyrirtæki sem kjósa að úthluta þessum þvingun til þegar vottuð veitanda frekar en að byggja sína eigin innviðir, bera samanburðar á rafrænum undirskriftarlausnum aðgengilegur á Certyneo hjálpar til við að hlutlægt þetta val um byggja-vs-kaupa.

---

eIDAS 2 og rafrænir undirskrift í fyrirtækinu: flutningsvandamál

Fyrir notkun fyrirtækja — andstæða við veitendur — vottun eIDAS 2 af SaaS undirskriftarfornálegi þeirra er nú óumflýjanlegur val skilyrði. Samþætting í tilboðsbeiðnum klausa sem krefjast birtingar á TSL þjóðarinnar er orðin staðlað iðkun í stærra reglulegum geirum (fjármál, heilbrigðisþjónusta, fasteignir).

Rafrænir undirskrift í fyrirtækinu krefst í raun og veru að greina greinilega tilfellur sem krefjast QES — einkahlutasamningar með miklum veðmálum, umboð, rafræn atkvæðagreiðsla — frá þeim þar sem AdES dugar. Þessi kortlagning á notkun skilgreinir beint þá þjónustu sem samningsbundið er krafist af veitanda.

Fyrirtækin sem flytjast frá núverandi lausn til vottuð veitanda eIDAS 2 verða einnig að gera sér grein fyrir flutningi arkíva sannanir. Leiðarvísirinn um flutning frá DocuSign eða YouSign til Certyneo lýsir bestu framkvæmdum til að varðveita réttargild skjala sem þegar eru undirrituð meðan á flutningi stendur.

Lagalegur rammi eða eIDAS 2 vottun

Stofnandi textar

Vottun þjónustuveitenda trausts hvílir á þéttum normakjörnum staflingu sem verður að læra heildarlega:

Reglugerð (ESB) 2024/1183 frá 11. apríl 2024 (eIDAS 2): viðmiðunartexti sem afturkallar og kemur í stað samsvarandi ákvæða reglugerðar 910/2014. Hún skilgreinir skilyrði til að fá og viðhalda stöðu hæfs veitanda, þjóðlegar eftirlitsaðgerðir og kröfur um nýja þjónustu (EUDIW, AEA).

Reglugerð (ESB) nr. 910/2014 (eIDAS 1): alltaf að hluta til gildandi fyrir óbreytt ákvæði; framkvæmdar- og framkvæmdaverknaðir sem samþykktir voru samkvæmt þessari reglugerð sitja fram að opinberri endurskoðun.

Frönsk borgaralegur kóði, 1366. og 1367. gr.: 1366. grein setur fram jafngildi rafrænnar undirskriftar með handritaðri undirskrift á skilyrði trúverðugleika; 1367. gr. tilgreinir að trúverðugleiki er óendanlegur til sönnunar á móti ef hæf undirskrift er notuð. Þessi innlend ákvæði tengjast beint við lögfræðilega forseturhæfni 25. gr. eIDAS 2.

Tilskipun (ESB) 2022/2555 (NIS2): lögin samþykkt á þýsku lagastjórn sem flokka sjálfkrafa þjónustuveitendur trausts meðal mikilvægra aðila. Skyldur: tilkynning til ANSSI innan 72 klukkustunda fyrir veruleg skipaboð, stofnun á formalegri stjórnun á tölvuöryggisáhættu, reglulegri öryggisendurskoðun.

Reglugerð (ESB) 2016/679 (ALETH): þjónustuveitendur undirskriftar flytja viðkvæm persónuupplýsingar (auðkenni aðila sem skrá undir, endurskoðunarkladda). Framfylgd meginreglna um lágmörkun, takmarkaðan varðveislu og heilleika krefst sérstakrar áhrif greining (AIPD). Lagaleg grundvöllur meðferðar verður að skrá fyrir hverja þjónustu.

Tæknistöðlar með reglulegri virðingu

Framkvæmdarverknaðir framkvæmdastjórnarinnar (sérstaklega framkvæmdarákvörðun (ESB) 2015/1506 og endurskoðanir hennar) tilnefna ETSI staðla sem fornæmt af samræmi:

• ETSI EN 319 401: almennar kröfur TSP
• ETSI EN 319 411-1 og 411-2: vottunarstefnur
• ETSI EN 319 421: hæf tímastimplar
• ETSI EN 319 132 / 122 / 102: AdES snið (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: fjarlægir undirskriptarþjónusta

Lagaleg áhætta vegna vansamhæfingar

Svik eða vanrækið notkun á stöðu hæfs veitanda kemur af stað stjórnlegum sektum sem ANSSI hefur heimild til að dæma (stöðvun, fjarlæging af traunslista) og refsiverðar sakamál (gr. 226-17 borgaralegs löggerðarbókarinnar vegna vanbirgis gagna persónu-ö-öryggis). Að legtök á borið, að gera ósannfærandi gildi sannanir fyrir undirskrift sem gefin eru út á tímabili vansamhæfingar geta bindandi samningsbundna ábyrgð veitanda til hans viðskiptavina.

Atvinnunot: eIDAS 2 vottun í æfinni

Atburðarás 1 — SaaS ritstjóri miðlungs stærðar sem miðar að QES viðurkenningu

Fyrirtæki sem sérhæfir sig í skjölarlosun, með um hund starfsmanna og stjórnandi margar milljón viðskipti undirskriftar á ári fyrir reikning viðskiptavina í banka- og tryggingageiranum, ákveður að leita eftir eIDAS 2 viðurkenningu fyrir undirskriptarþjónustu sína. Hingað til bauð fyrirtækið framkomna undirskrift á grundvelli skírteina (AdES), nægjandi fyrir fleiri af viðskiptavinum þess, en ófullnægjandi fyrir athugasemdir sem krefjast hámarks réttar (SEPA umboð, atkvæðugreiðslur samningar).

Eftir innri endurskoðun 3 mánaða sem leiddi í ljós um 15 svæðum helstu frávika frá ETSI EN 319 411-2 kröfum, tekur fyrirtækið upp samhæfingarferli á 14 mánaða tímabili. Helstu verkefni snúast um skipti á núverandi HSM með einingum vottuðum FIPS 140-2 stig 3, ritun á DPC með 180 síðum, og öflun ISO 27001 vottun fyrir CAB endurskoðun. Heildar fjárfesting nær 340 000 €. Á lok ferlisins, skrá á TSL frönsku heimsútivar fyrirtækinu á tilboðsboðum sem það var kerfisbundið útilokað frá, sem gefur um 20% aukalegra tekjur möguleika.

Atburðarás 2 — Sjúkrahús flokk samþætting hæf undirskrift fyrir læknisfræðileg-löglæg gerð

Sjúkrahús flokk um 1 200 rúm vill stafræn gerðir á samþykkis skilyrði, framsal á læknisfræðilegum völdum og samningar um klínískar rannsóknir. Þessi gögn falla undir flokk athugasemda fyrir sem QES er krafist eða sterkt mælt með af HAS viðmiðum og lagalegri framvirkni heilsufarsgagna (art. L. 1110-4 CSP).

Frekar en að votta innri innviði — valið sem dæmt of dýrt og utan aðalstarfsemi — tekur flokki þátttöku í þriðja aðila veitanda sem nú er skráður á TSL. DSI framkvæmir matið samhæfingu veitanda á grundvelli ETSI EN 319 401 athugunarlista og sannprófar beina birtingu á EUTL áður en samningagerð. Sviðsetning, framkvæmd á 4 mánaða tímabili, minnkar 65% af skrá undirskriftir á klínískri rannsóknum og eyðir áhættu réttarlegrar deilu sem tengist fyrri notkun einfalda undirskriftir fyrir viðkvæm athugasemdir.

Atburðarás 3 — Lögmannsstofu viðskiptamanna öruggu eigin gögn

Lögmannsstofu viðskiptamanna um 30 félagi, stjórn ár um 400 sameining-kaup og sölusamningar, leitandi að trausti eigin gögn. Eining-gildi samninga sem aflað eru fer oft yfir milljón evra, og hvers kyns vísunarform getur bindandi fagleg ábyrgð stofu.

Eftir greiningu, IT liðið og félagi stjórnandi samið samningsbundna kröfu um lágmark QES gefin út af veitanda vottuð eIDAS 2 fyrir athugasemdir með verðmæti yfir 100 000 €. Valskil fyrir veitanda felur endilega athugaðu birting á TSL þjóðarinnar og framboðs nýlega samræmis skírteinis (innan 12 mánaða). Þessi rammi leyfir stofu að fækka 80% af gagnvart sérfróða um réttar undirskriftir við deilur seinna meir, skv endurkom sem fylgt hefur með sambærilegum framsetningum innan geira.

Lokamál

Að fá eIDAS 2 vottun sem veitandi undirskrifta þjónustu er krefjandi, dýr og löng ferli — en óumflýjanleg fyrir alla aðila sem vilja bjóða hámarki löglegri tryggingar til viðskiptavina á evrópskum markaði. Á milli samhæfing til ETSI stöðla, CAB endurskoðun hlið, ANSSI skrá og viðhald á viðurkenningu með tímanum, ferli fær verulegar heimildir á 12 til 24 mánaða tímabili.

Fyrir fyrirtæki sem nota, góðu frétt eru að það er ekki nauðsynlegt að byggja þessa innviðir innri: velja SaaS veitanda nú þegar vottuð eIDAS 2 og skráð á þjóðlegri traunslista gerir þér kleift að njóta strax af lagalegri forseturhæfni sem tengist QES, án stuðnings kostnaðar vottun.

Certyneo er veitandi trausts vottuð, sem fengur fyrir B2B fyrirtæki sem krefjast stærðfræðilegrar lögmennsku og einfaldleika miðlun. Uppdeckaðu okkar verðlagningu og hefðu frjálsa tilraun þína í dag.