Viðurkenndir eIDAS þjónustuaðilar: opinbera listinn 2026

Hvers vegna er staðan „viðurkenndur" eIDAS ákvarðandi fyrir fyrirtækið þitt?

Frá því að reglugerð eIDAS (nr. 910/2014) tók gildi hefur rafrænt undirritanarmarkaður Evrópu endurskipulagst á grundvelli þriggja stiga stigveldi: einföld rafræn undirritun (SES), endurtekin rafræn undirritun (AES) og hæf rafræn undirritun (QES). Þessi síðastnefnda er sú eina sem myndar lagalega forsendu jafnræðis við handskrifaða undirritun um allt Evrópusambandið.

Til þess að fyrirtæki geti boðið hæfar undirritanir verður það að hafa verið endurskoðað og skráð á trúnaðarlista (Trust List) fullveldis síns. Í Frakklandi er það Agence nationale de la sécurité des systèmes d'information (ANSSI) sem halda skráranum, sem er endurbirt á miðlægum lista Evrópusambandsins sem stofnunin er með umsjón.

Skilningur á þessari uppbyggingu er grundvallaratriði áður en á að skrifa undir neinn viðkvæman viðskiptasamning. Til að kafa dýpra ofan í regluverksgrundvöll gefur okkar yfirlit yfir reglugerð eIDAS 2.0 gaum um allar skyldur og breytingar sem innleiddar voru með endurskoðaðri reglugerð eIDAS 2.0 (Reglugerð ESB 2024/1183).

---

Hvernig eru viðurkenndir trúnaðarþjónustuaðilar vottaðir?

Leiðin að stöðu viðurkennds trúnaðarþjónustuaðila (PSCQ) er krefjandi. Hún felur í sér endurskoðun framkvæmd af viðurkenndu samhæfingarmati (CAB, Conformity Assessment Body), samkvæmt stöðlum ETSI EN 319 401 (almennar kröfur) og ETSI EN 319 411-2 fyrir hæfa skírteini.

Stök vottunarferlis ANSSI

1. Skil vottunarskjals : þjónustuaðilinn sendir tæknilega, tryggingarfar og skipulögð gögn til ANSSI.
2. Endurskoðun frá CAB : þriðji aðili — svo sem Bureau Veritas, LSTI eða Apave Certification — staðfestir samhæfingu á staðnum og meðal gagna.
3. Ákvörðun um viðurkenningu : ANSSI kemur sér saman um viðurkenningu og skráir þjónustuaðilann á franska trúnaðarlista (TL-FR).
4. Reglubundin endurnýjun : viðurkenningin er endurmát, oftast á tveggja ára fresti, til að tryggja að kröfum sé fullnægt.

Hvað athugar endurskoðarinn í raun?

Endurskoðarinn skoðar sérstaklega:

• Líkamlega tryggingu gagnagrunna sem geyma dulmálslykla (SEC HSM vottuð CC EAL 4+ eða FIPS 140-2 Level 3 að lágmarki) ;
• Vottunarreglur (CP) og yfirlýsingar um vottunaraðferðir (CPS) sem þjónustuaðili gefur út ;
• Aðferðir til auðkenningar undirritara (andlit-til-andlits eða endanleg auðkenning samhæf EN 419 241-1) ;
• Stjórnun afturköllunar og aðgengi að OCSP/CRL-þjónustu.

Þessir viðmiðunaðilar skýra hvers vegna aðeins fáir aðilar ná og viðhalda þessari vottunarstigi í Frakklandi.

---

Viðurkenndir eIDAS þjónustuaðilar skráðir í Frakklandi 2026

Opinbera listinn yfir viðurkennda þjónustuaðila er hægt að skoða hvenær sem er á opinberu gáttinni Evrópusambandsins (eidas.ec.europa.eu/efts), með síun á „Frakklandi" og þjónustunni „QCertESig" (viðurkennt skírteini fyrir rafræna undirritun). Hér eru aðilar sem voru í skrá við ritningu þessarar greinar (júní 2026) :

Franskir aðilar á Trust List

| Þjónustuaðili | Tegund viðurkenndrar þjónustu | Sérkennileiki | |---|---|---| | Certigna (Dhimyotis) | Viðurkennd skírteini, viðurkennd tímasetning | La Poste hópur, viðurkenndur eIDAS frá 2016 | | Certinomis | Viðurkennd skírteini | Dóttarfyrirtæki La Poste, beint að almennum geira | | ChamberSign France | Viðurkennd skírteini | Netverk CCI, sterk staða meðal SME/SMI | | Keynectis / DocuSign France | Viðurkennd skírteini | Keypt af DocuSign, viðhald ANSSI merkis | | Universign (Tessi) | Viðurkennd skírteini, tímasetning | Brautryðjandi markaðarins, fluttur til Tessi group | | Entrust (fyrri Datacard) | Viðurkennd skírteini | Alþjóðlegur aðili, Trust List margra fullvelda | | Oodrive Sign | Viðurkennd skírteini | Franskur aðili yfirstjórnar, viðurkenndur SecNumCloud |

> Viðvörun : þessi listi er gefinn til fróðunar. Aðeins opinbera Trust List Evrópusambandsins hefur gildi. Staðfestu alltaf stöðu á ETSI gáttinni fyrir hverja samningabindandi skuldbindingu.

Erlendir þjónustuaðilar viðurkenndir í Frakklandi gegnum evrópska Trust List

Samkvæmt meginreglunni um gagnkvæma viðurkenningu sem sett er fram í 25. grein reglugerðar eIDAS, hefur hæf undirritun gefin út af PSCQ sem skráð er á trúnaðarlista annars fullvelds eða svæðis sömu réttaráhrif í Frakklandi. Meðal ekki-franskra aðila sem oft eru notaðir :

• Namirial (Ítalía) : sterkur í fjarbundinni hæfri undirritun (QES remote signing) ;
• SwissSign (Sviss) : athugið, Sviss er ekki aðili að ESB; viðurkenning er stöðluð ;
• Qualified.one / Asseco Data Systems (Pólland) : opinber evrópskaí aðili, algengur í þvergrænum viðskiptasamningum.

Til að bera þessar lausnir saman samkvæmt þörfum þínum skoðaðu okkar samanburð á rafrænu undirritunarlausnum sem greinir viðmið um verð, samhæfingu og API samþættingu.

---

Hvernig velurðu rétta viðurkennda eIDAS þjónustuaðila fyrir fyrirtækið þitt?

Að vera á Trust List er nauðsynlegt atriði, en ekki nægilegt. Val á PSCQ ber að byggjast á mörgum viðbótarviðmiðum.

Tæknileg viðmið og samþætting

• API REST eða SDK tiltækt : nauðsynlegt fyrir sjálfvirka undirritun í þínum viðskiptaverkferlum (ERP, SIRH, CRM) ;
• Studd undirritunarsnog : PAdES fyrir PDF, XAdES fyrir XML, CAdES fyrir tvítölur gögn — öll staðlað af ETSI EN 319 100 ;
• Þjónustuþol : SLA hærra en 99,9% tryggt með samningi, með viðhaldsbiðum utan vinnutíma ;
• Gagnageymsla : kjóstu geymslurými í Frakklandi eða ESB, helst viðurkennt SecNumCloud fyrir viðkvæm gögn.

Réttarleg og samhæfnisviðmið

• Staðfestu að þjónustuaðilinn veiti uppfærðan vottunarskýrslu (undir 24 mánuðum) ;
• Krefðu birtrar vottunarreglur (CP) sem aðgengilega eru almenningi og skoðuð ;
• Fullvissaðu þig um að almennum skilmálum sé gert ítarleg krafa um útgáfu hæfra skírteina samkvæmt I. viðauka reglugerðar eIDAS.

Rekstur- og stuðningsviðmið

• Skráningarferli undirritara : andlit-til-andlits í útibúi, myndbirtingu samhæf eIDAS eða NFC frá rafrænu auðkennishluthafi ;
• Stuðningur á frönsku með samningsbundnum svartímum ;
• Þjálfun og gögn tiltæk fyrir þín lögfræðilega og tæknilega teymi.

Ef fyrirtækið þitt hefur stórt mannauðsgognaguðliti, okkar síðu um rafræna undirritun fyrir mannauðsteymi segir frá sérstökum notkunartilvikum (vinnusamningar, breytingar, komuburt) og ábendingum um undirritun eftir tegund skjals.

---

eIDAS 2.0 : hvaða breytingar varða viðurkennda þjónustuaðila 2026?

Reglugerð eIDAS 2.0 (Reglugerð ESB 2024/1183, sem tók gildi í stigum frá maí 2024) innleiðir margar byggingarbreytingar sem hafa beint áhrif á PSCQ og viðskiptavini þeirra.

Evrópski stafræni auðkennissekkurinn (EUDI Wallet)

Grein 6a endurskoðaðrar reglugerðar krefst þess að fullveldi geti boðið, fyrir september 2026, stafrænlegan auðkennis wallet (EUDI Wallet) sem viðurkenndur um allt ESB. Fyrir viðurkennda þjónustuaðila þýðir þetta :

• Skylduna til að samþykkja auðkennis eiginleika frá wallet sem sönnun auðkennis fyrir skráningu undirritara ;
• Tilurð nýrrar viðurkenndrar þjónustu: afhendingu hæfra eigindleika yfirlýsinga (Qualified Electronic Attestation of Attributes, QEAA).

Nýjar viðurkenndar þjónustur og framlenging sviðs

eIDAS 2.0 útvíkkar lista yfir viðurkenndar trúnaðarþjónustur til að taka með :

• Hæfar rafrænir geymsluþjónustur (QPDS, grein 45f) ;
• Stjórnun fjarbundinna undirritunarbúnaðar (QRCD).

Þessar breytingar eru bæði krafa um samhæfingu (þröng tímamörk fyrir gildandi þjónustuaðila) og tækifæri til aðgreiningar fyrir nýja aðila sem geta fljótt innleitt tækniforskriftir sem ENISA og ETSI birta.

Fyrir fyrirtæki sem íhuga flutning frá núverandi verkfæri yfir í samhæfðari lausn, okkar flutningshandbók frá DocuSign eða YouSign yfir í Certyneo sýnir stökin skref og eftirlitspunkta regluverksins.

Lagalegur rammer sem gildir fyrir viðurkennda eIDAS þjónustuaðila

Reglugerð eIDAS og evrópsk réttur

Lagaleginn grundvöllur er Reglugerð (ESB) nr. 910/2014 Evrópuþingsins og ráðsins frá 23. júlí 2014 um rafræna auðkenningu og trúnaðarþjónustur fyrir rafræn viðskipti á innri markaði (kallað „reglugerð eIDAS"), eins og henni var breytt með Reglugerð (ESB) 2024/1183 (eIDAS 2.0). Þessi reglugerð gildir beint um öll fullveldi án innleiðingar á landsvísu.

Lykilákvæði hennar fyrir viðurkennda þjónustuaðila :

• Grein 17 : skylda fyrir hvert fullveldi til að tilnefna eftirlitsstofnun (í Frakklandi, ANSSI) ;
• Grein 20 : eftirlitsferli, endurskoðun og skráning á trúnaðarlista ;
• Grein 25 : forsendan um jafnræði milli QES og handskrifaðrar undirritundar, með lagalegum áhrifum tryggðum um allt ESB ;
• I. viðauki : kröfur um hæf skírteini fyrir rafræna undirritun ;
• II. viðauki : kröfur um búnað til hæfrar undirritunargerar (QSCD).

Franskur réttur

Í innlendum rétti er rafræn undirritun með eftirfarandi :

• Borgaralögum, greinum 1366 og 1367 : grein 1366 viðurkennir sönnunargildi rafræna skrifræðis með skilyrði um að tryggjað sé auðkenni höfundar og heilleiki skjalsins. Grein 1367 tilgreinir að rafræn undirritun sem notar áreiðanlega auðkenningaraðferð nýtur forsendu áreiðanleika þegar henni er búið til samkvæmt framkvæmdarreglugerð ;
• Tilskipun nr. 2017-1416 frá 28. september 2017 : skilgreinir skilyrði sem hæf rafræn undirritun er talin áreiðanleg í Frakklandi, með beinni tilvísun í reglugerð eIDAS ;
• Tilskipun nr. 2005-674 frá 16. júní 2005 um framkvæmd tiltekinna samningsbundinna formfara með rafrænum hætti.

Vernd persónuupplýsinga

Skráning og undirritunarferli fela í sér meðhöndlun persónulegra gagna (auðkenni, lífæðisfræði fyrir myndbirtingu). Viðurkenndur þjónustuaðili er háðir Reglugerð (ESB) 2016/679 (ALÞ) og verða sérstaklega :

• Tilnefna DPO ef meðhöndlun er stórfengleg ;
• Skjalfesta meðhöndlun í CNIL-skrá ;
• Stjórna flutningi utan ESB með viðeigandi frekari tryggi (samningsbundin skilmál, fullnægjandi ákvörðun).

Netöryggi og hagkvæmni

Frá október 2024 gildir Tilskipun NIS2 (2022/2555/ESB) fyrir viðurkennda trúnaðarþjónustuaðila, sem flokkað eru sem nauðsynlegir aðilar. Þeir verða að fara með útgáfu netöryggisáhættu, tilkynna mikilvæga atvik til ANSSI innan 24 klst og sitja undir reglulegum endurskoðunum. Brot geta leitt til sekta upp á 10 milljónir evra eða 2% af árlegri vergri tekjum heimsins.

Tæknilegar viðmiðsnaðir

• ETSI EN 319 401 : almennar kröfur fyrir trúnaðarþjónustuaðila ;
• ETSI EN 319 411-2 : stefnusnið fyrir hæf skírteini ;
• ETSI EN 319 132 : XAdES undirritunarsnog ;
• ETSI EN 319 122 : CAdES undirritunarsnog ;
• ETSI EN 319 162 : PAdES undirritunarsnog (PDF).

Notkunartilfelli : hvenær er hæf eIDAS undirritun ómissandi?

Tilfelli 1 — Lögfræðistofnun sem fer með einkasaminga með mikla sönnunargildi

Lögfræðistofnun fyrir viðskiptaflókin málefni með um 20 samstarfsaðila fer með tugir af framsetningum mánaðarlega: stofnhlutar, samninga og GAP-samninga. Þessir samningar fjalla um summar meiri en margar hundraðir þúsunda evra og geta verið andmæld fyrir dómstólum.

Áður en flutt var til viðurkennds eIDAS þjónustuaðila notaði stofnunin háða undirritun (AES), sem dugar fyrir algengustu samninga. Eftir atvik þar sem andstæðingur efuðist um alls raunlega undirritun við málarekstur var stofnunin sér til að nota QES fyrir alla samninga með mikla áhættu. Afleiðingin: 90% minnkun á tíma til að framleiða sönnunargögn um undirritun í málaferlum. Aukakostnaði á undirritun (um 2 til 5 evra eftir magni) var fullan og ógloymt af minni málakostnaði.

Tilfelli 2 — Stærra iðnaðarfyrirtæki sem fer með saminga við birgja yfir landamæri

Stærra iðnaðarfyrirtæki (ETI) með birgja í Frakklandi, Þýskalandi, Ítalíu og Póllandi þurfti fram til þessa að senda samninga með pósti eða halda fyrir-til-andlits undirritunafundum, sem framkallaði 10 til 21 virka daga bið fyrir samning.

Með því að bjóða lausn sem tengd er PSCQ sem skráð er á Trust List, flutti fyrirtækið undirritunarvið niður í innan um 48 klukkustundir á meðaltali. Gagnkvæm viðurkenning milli fullvelda tryggir lögalega gildi án þess að þurfa viðbótarsamheiti. Með eignasafni um 350 birgjasaminga á ári var áætlaður gæðahagnaður og stjórnunarkostnaði 40.000 evra á ári samkvæmt því sem fram kemur í rannsóknum sem ACFE og APQC birta.

Tilfelli 3 — Sjúkrahúsflokk undir kröfum heilbrigðisgeirans

Sjúkrahúsflokk með um 1200 beddra verður að skrifa undir rafrænt opinbera samninga, rannsóknarsaminga og samninga við lækna. Þessir samningar eru háðir kóða fyrir almennu úttektinni, sem krefst rafræn undirritundar sem samhæf RGS (Referential General of Security) á stigi ** eða, frá því geira var gert stafrænn, eins og eIDAS jafnt.

Með því að reiða sig á PSCQ sem skráð er á frenska trúnaðarlista tryggir flókkinn samhæfni við grein R. 2132-7 í kóða fyrir almennu úttektinni en flýtir undirritunarvið frá 15 dögum yfir í innan um 72 klukkustundir. API samþætting með sjúkrahúsupsetningu (SIH) gerði sjálfvirkan sendingu og eftirlit með skjölum, sem losar um um 0,4 FTE á samningsstjórnunarverkum.

Niðurstaða

Velja viðurkenndan eIDAS þjónustuaðila er ekki einungis hugbúnaðarkaupaákvarðan: það er stefnumarksákvarðan sem siðar á sönnunargildi athafna þinna, samhæfni fyrirtækisins og trausti viðskiptafélaga og stofnana. 2026, með því að eIDAS 2.0 kemur smám saman til greina og nýjar NIS2 skyldur, eykst stig krafna endalaust.

Nauðsynlegir atriðin til að muna: athugaðu stöðugt á opinbera Trust List, krefðu birtrar vottunarreglna og stilltu undirritun (QES, AES, SES) að löglegri mikilvægi hvers skjals.

Certyneo fylgist með þér í þessari leið með því að veita þér aðgang að hæfum skírteinum gegnum skráðum PSCQ, þrautlausum API og sérhæfðum lagalegum stuðningi. Tilbúinn að flytja yfir í hæfa undirritun? Krefðu sýnishorns eða búðu til reikning á Certyneo og kvaðstu fyrirtækið þitt í samhæfni í dag.