중소기업을 위한 eIDAS 규정 준수: 2026년 전체 체크리스트

유럽 ​​eIDAS 규정(EU n°910/2014, 곧 eIDAS 2.0으로 개정 예정)은 유럽 연합 전체의 전자 서명을 규제합니다. SME의 경우 규정 준수는 단지 확인해야 하는 항목이 아닙니다. 이는 계약이 집행 가능하고 서명 데이터가 보호되며 비용이 많이 들 수 있는 법적 위험으로부터 자신을 보호한다는 보장입니다. 다음은 귀하의 SME가 eIDAS를 완벽하게 준수하는지 확인하기 위한 12가지 구체적인 항목으로 구성된 2026년 체크리스트입니다.

포인트 1: 올바른 서명 수준 선택

첫 번째 검토: 계약 유형을 매핑하고 목표 수준을 연결합니다. 표준 상업 계약(견적, 구매 주문, 단순 NDA): SES이면 충분합니다. 고용 계약, 임대, 민감한 NDA, 전략적 계약: AES 최소, 가급적 OTP SMS 사용. 규제 대상 행위(변호사, 공증인, 임계값을 초과하는 공공 계약): 필수 QES. 이 매핑이 없으면 규모 축소(계약 거부) 또는 규모 초과(과도한 비용)의 위험이 있습니다.

포인트 2: 서비스 제공업체의 자격을 확인하세요.

귀하의 서비스 제공업체는 신뢰할 수 있는 서비스 제공업체(QTSP)이거나 AES/QES 수준을 위해 QTSP에 의존해야 합니다. ANSSI에서 게시한 신뢰 서비스 목록(eidas.ssi.gouv.fr) 및 유럽 신뢰 목록(webgate.ec.europa.eu/tl-browser)을 참조하세요. 프랑스 참조 QTSP: Certigna, Docaposte, Certinomis, Universign. 플랫폼(Certyneo, Yousign 등)을 통한 SES/AES의 경우 명시적으로 문서화된 eIDAS 규정 준수를 확인하세요.

포인트 3: 감사 추적 테스트

테스트 봉투에 서명하고 감사 추적(일반적으로 별도의 PDF)을 수집합니다. 여기에는 서명자의 신원 및 이메일, 각 단계의 타임스탬프(전송, 열기, 유효성 검사, 서명), IP 주소, 사용자 에이전트, 문서 해시, AES의 경우 OTP 유효성 검사가 포함되어야 합니다. 이러한 요소 중 하나가 누락되면 증거 가치가 약화됩니다. Certyneo는 무료 플랜에서도 완전한 감사 추적을 제공합니다.

포인트 4: 타임스탬프 제어

타임스탬프는 RFC 3161을 준수하는 TSA(Time Stamp Authority)에서 발행되어야 합니다. 단순히 회사 NTP 서버의 타임스탬프만으로는 충분하지 않습니다. Adobe Reader에서 서명된 PDF를 엽니다: 서명 탭 → 세부 정보 → 타임스탬프. 거기에서 유효한 TSA 인증서와 인증된 시계를 볼 수 있습니다. PDF에 인증된 타임스탬프가 없으면 서비스 제공업체 선택을 철회하세요.

포인트 5: 최소 10년 동안 보관

상법(L. 123-22조)은 상업 문서를 10년 동안 보관하도록 요구합니다. 노동법은 해고 후 고용 계약에 대해 5년을 부과합니다. 보관은 무결성(해시, 봉인)과 액세스를 보존해야 합니다. 이상적: PDF/A 형식(ISO 19005), 이중 저장소(기본 + 오프사이트 백업), 최대 증거를 위한 인증된 전자 금고(CFE). Certyneo는 기본적으로 10년을 보관하고 CFE 파트너에게 내보내기를 제공합니다.

포인트 6: 데이터 현지화 확인

서명 데이터는 어디에 호스팅되나요? 민감한 계약을 다루는 프랑스 SME의 경우 프랑스 또는 EU 호스팅을 선택하세요. 하청업체 목록과 위치는 서비스 제공업체에 문의하세요(GDPR 제28조). 전략적 계약에 대해서는 미국 클라우드법이 적용되는 솔루션을 피하세요. Certyneo는 Cloud Act에 종속되지 않고 프랑스에서 호스팅됩니다. /blog/cloud-act-signature-electronique에 대한 기사를 참조하세요.

포인트 7: GDPR과 명확하게 연결

서명과 GDPR은 밀접하게 연결되어 있습니다. 각 봉투에는 개인 데이터(이름, 이메일, IP, 전화번호)가 포함되어 있습니다. 귀하의 처리 등록부(GDPR 제30조)에 전자 서명이 포함되어 있고, 보존 기간이 일관적이며(10년), 개인의 권리가 구현될 수 있는지(액세스, 수정, 이동성) 확인하세요. 서명을 많이 요청하는 경우 DPO를 권장합니다. 기사 /blog/signature-electronique-rgpd를 참조하세요.

포인트 8: 업스트림 서명자 식별

견고한 AES의 경우 식별은 서명으로 시작되지 않고 데이터 수집으로 시작됩니다. 이메일(별칭 없음, 메일링 리스트 없음), 전화번호(공유 회선 없음)를 확인하고 식별 소스(과중 계약의 경우 ID, 진행 중인 계약의 경우 기존 고객 KYC)를 추적합니다. 이러한 실사는 분쟁 발생 시 확실한 증거를 제공합니다.

포인트 9: 팀 훈련

영업, HR 및 법무팀은 규칙을 이해해야 합니다. 서명자에게 타사 장치를 사용하도록 강요하지 말고, 수정된 서명된 PDF를 반환하지 말고, 실제 서명 대신 스캔한 서명 이미지를 붙여넣지 마십시오. 팀당 1시간의 훈련이면 좋은 반사 신경을 심어주기에 충분합니다. Certyneo는 내부 공유(/resources)에 대한 완전한 가이드를 제공합니다.

포인트 10: 서비스 제공업체의 계약 확인

서명 서비스 제공업체의 CGU/CGV는 다음을 수행해야 합니다. eIDAS 준수 시작, 보관 기간 지정, GDPR 하도급 계약(28조) 포함, 하청업체 문서화, 중단 시 취소 계획 제공. 또한 대량을 처리하는 경우 SOC 2 Type II 또는 이와 동등한 것을 요청하십시오. Certyneo의 경우 이러한 문서는 /legal 및 /security에서 사용할 수 있습니다.

포인트 11: eIDAS 2.0 및 EUDI 지갑 준비

eIDAS 2.0 규정(EU 2024/1183)은 점진적으로 발효되며 회원국은 2026년 말 이전에 EUDI 지갑을 배포해야 합니다. 이 디지털 ID 지갑은 특히 물리적 등록 사무소 없이 원격으로 QES에 대한 액세스를 허용합니다. SME 준비: 서비스 제공업체에 EUDI 지갑 로드맵이 있는지 확인하고 ANSSI 및 유럽 위원회의 커뮤니케이션을 따르세요. /blog/eidas-2-nouveau-reglement-2026을 참조하세요.

포인트 12: 매년 감사

규정 준수는 획득된 상태가 아니라 지속적인 프로세스입니다. 규정 변경, 서비스 제공업체 개발, 계약 유형의 최신 매핑, 효과적인 유지, 신규 채용 교육 등을 확인하기 위한 연간 감사(내부 또는 외부)를 예약하세요. 가벼운 감사는 SME의 경우 반나절이 걸리며 많은 놀라움을 피할 수 있습니다. certyneo.com/signup에서 무료 Certyneo 계정을 만들어 실제 규정 준수를 테스트한 후 eIDAS 가이드를 확인하여 더 자세히 알아보세요(/guide/eidas).