eIDAS 2 sertifikavimas paslaugų teikėjams 2026 m.

Kodėl eIDAS 2 sertifikavimas keičia žaidimą paslaugų teikėjams

Nuo 2024 m. balandžio 11 d. įsigaliojus Reglamentui (ES) 2024/1183 — paprastai vadinamas eIDAS 2 — pasitikėjimo paslaugų teikėjai (PSC), veikiantys Europos Sąjungoje, susiduria su giliai pertvarkyta reguliavimo sistema. Pradinio eIDAS regulamento iš 2014 m. peržiūra ne tik išplečia pripažintų paslaugų apimtį: ji žymiai sustiprina akreditavimo sąlygas, įveda naujus garantijų lygius ir sustiprina nacionalinių kontrolės organų priežiūros reikalavimus. Norint siūlyti kvalifikuotus elektroninio parašo (QES) arba išplėstus (AdES) paslaugus Europos rinkoje, suprasti kaip gauti eIDAS 2 sertifikatą elektroninio parašo paslaugų teikėjui – tai nebėra pasirinkimas, tai strateginė pareiga.

Šis straipsnis pateikia išsamų sertifikavimo proceso apžvalgą: taikomus tekstus, laikytinas technines normas, atitikties vertinimo organų (CAB) vaidmenį, realistiškus terminus ir operacinius šalutinio dėmesio taškus.

---

Naujas eIDAS 2 reguliavimo kraštovaizdis: kas pasikeitė

Nuo regulamento 910/2014 iki regulamento 2024/1183: pagrindinės kaitos

Pradinis eIDAS reguliavimas (nr. 910/2014) buvo nustalinęs vieningo skaitmeninio pasitikėjimo rinkos pagrindus Europoje. Jis apibrėžė tris parašo lygius — paprastą, išplėstą ir kvalifikuotą — ir reikalavo kvalifikuotiems teikėjams būti nacionalinių pasitikėjimo sąrašuose (TSL, Trust Service Lists). eIDAS 2 išlaiko šią architektūrą, tačiau ją praturtina keliais struktūriniais klausimais:

• Kvalifikuotų paslaugų išplėtimas: elektroninis archyvavimas, elektroniniai atributų pažymai (AEA), nuotolinė kvalifikuoto parašo kūrimo įrenginio (QSCD) vadyba. Šios naujos paslaugos dabar yra taisyklos tokia pati akreditavimo procedūra kaip kvalifikuotas parašas.
• Europos skaitmeninio tapatumo portfelis (EUDIW): paslaugų teikėjai, norintys sąveikauti su būsimais tapatumo portfeliu, turi parodyti atitiktį techniniams reikalavimams, paskelbtiems Komisijos (ARF — Architecture and Reference Framework, v1.4, 2024).
• Priežiūros sustiprinimas: nacionalinės priežiūros institucijos (Prancūzijoje – ANSSI) turi sustiprintus tyrimo ir įsakymų galias. Kvalifikuoti PSC gali būti nuostabiųjų auditų objektai.
• Sutrumpinti pranešimo terminai: bet kuris reikšmingas saugumo incident turi būti praneštas kompetentingai institucijai per 24 valandas (palyginti su 72 valandomis ankstesnėje versijoje tam tikriems incidentams).

Bendrą regulamento apžvalgą žr. Certyneo eIDAS 2.0 vadovas kuris pateikia pedagoginę visų šių pokyčių santrauką.

Garantijų lygiai ir jų poveikis sertifikavimui

Skirtumas tarp išplėsto ir kvalifikuoto elektroninio parašo išlieka sistemos ašimi. Tik QES naudojasi teisine įtarimo, kad yra integralus ir priskirtinas, lygiaverta rankiniam parašui (straipsnis 25 eIDAS 2). Šis įtarimas tiesiogiai priklauso nuo paslaugų teikėjo sertifikavimo.

| Lygis | Įrodyminis vertingumas | Paslaugų teikėjo reikalavimas | |---|---|---| | Paprastas (SES) | Ribojamas | Nėra | | Išplėstas (AdES) | Reikšmingas | Geros praktikos + ETSI standartai | | Kvalifikuotas (QES) | Maksimalus (teisinis įtarimas) | Privalomas eIDAS 2 sertifikavimas |

---

eIDAS 2 sertifikavimo procesas žingsnis po žingsnio

1 žingsnis — Organizaciniai ir techniniai reikalavėjimai

Prieš formaliai pradedant sertifikavimo procesą, paslaugų teikėjas turi įvertinti savo brandos lygį trimis aspektais:

1. Atitiktis ETSI standartams EN 319 serijos standartai sudaro nepakeitžiamą techninį pagrindą. Pagrindiniai yra:

• ETSI EN 319 401: bendri reikalavimas pasitikėjimo paslaugų teikėjams
• ETSI EN 319 411-1 ir 411-2: politika ir reikalavimų sertifikatų (PTC-QC profiliai kvalifikuotiems sertifikatams) išdavimo įstaigoms
• ETSI EN 319 421: politika ir reikalavimų laiko žymėjimo paslaugų teikėjams
• ETSI EN 319 132: parašo formatai XAdES (XML) ir susijęs CAdES (CMS) bei PAdES (PDF) serija

Atitiktis šiems standartams nėra neprivaloma kvalifikuotiems teikėjams: ji aiškiai reikalavama Europos Komisijos įgyvendinimo aktais.

2. Informacinės sistemos saugumas QSCD (kvalifikuoto parašo kūrimo įrenginiai) turi būti sertifikuoti pagal Common Criteria (CC) EAL4+ arba ekvivalentą. Nuotolinio parašo sprendimams — dominuojantis SaaS modelis — reikalavimams taip pat taikoma HSM (Hardware Security Module) moduliams ir kriptografinių raktų valdymo procedūroms (FIPS 140-2 3 lygis minimumas).

3. Saugumo politika (PSSI) ir rizikos vadyba Sertifikavimo dokumentacija reikalauja formalizuotos PSSI, suderintos su ISO/IEC 27001 (kurios sertifikavimas yra labai rekomenduojamas ir kartais reikalingas CAB) ir integruojančios NIS2 reikalavimus esoms, kurios yra „svarbios" arba „esminės".

2 žingsnis — Atitikties vertinimo organų (CAB) pasirinkimas ir sukaupiimas

Prancūzijoje COFRAC (Coméité Français d'Accréditation) akredituoti CAB, skirti vertinti pasitikėjimo paslaugų teikėjams, yra nedaug. Pavyzdžiui, LSTI (Laboratoire de Sécurité des Technologies de l'Information) ir Bureau Veritas Certification yra tarp referensuotų dalyvių. Europinėje skalėje kiekviena valstybė narė publikuoja savo notifikuotų CAB sąrašą.

CAB vaidmuo yra atlikti atitikties auditą dviejose fazėse:

1. Dokumentų peržiūra (1 fazė): politikų, procedūrų, Sertifikavimo praktikos deklaracijos (DPC / CPS) ir techninių įrodymų peržiūra.
2. Vietos auditas (2 fazė): kontrolės priemonių operacinio patikrinimo, penetracinių testų, pokalbių su komandomis.

Bendras CAB audito laikas paprastai 4-8 savaitės priklausomai nuo kandidato ankstyvesnės brandos.

3 žingsnis — Nacionalinės priežiūros institucijos nagrinėjimas

Prancūzijoje ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) nagrinėja įrašymo prašymus į nacionalinį pasitikėjimo sąrašą (TSL FR). Remiantis CAB audito ataskaita, ANSSI atlieka savo analizę ir gali prašyti papildomos informacijos arba korektyvių priemonių.

Reguliavimo instrukcijų terminas yra 3 mėnesiai nuo pilno dokumentacijos gavimo (straipsnis 17 eIDAS 2). Praktikoje faktiniai terminai dažnai yra ilgesni, jei pradinis dokumentas yra nekompletiškas.

Kada bus įrašytas į nacionalinį TSL, paslaugų teikėjas automatiškai yra refersuojamas į EUTL (EU Trusted List), publikuota Europos Komisijos, kuri suteikia jam tarpšalinį pasitikėjimą visose 27 valstybėse narėse.

4 žingsnis — Kvalifikacijos palaikymas ir atnaujinimas

eIDAS 2 sertifikavimas nėra vėlei išduotas. Kvalifikuoti teikėjai yra jungti į:

• Metinis priežiūros auditas, kurį atlieka CAB
• Pilnas atnaujinimo auditas kas 24 mėnesiai (trumpesnis ciklas nei ankstesnė praktika)
• Galimi nuostabiųjų kontrolės ANSSI iniciatyva

Bet kuri esminė infrastruktūros modifikacija (HSM kaita, PKI evoliucija, naujas kvalifikuotas paslaugų) sukeičia išankstinio pranešimo procedūrą ir gali reikalauti dalinės audito.

---

Kaštai, terminai ir rizikos veiksniai: ką IT vadovai turi numatyti

Biudžetas ir žmogiškieji ištekliai

Pirmojo eIDAS 2 sertifikavimo kaina yra reikšminga. Išlaidos apima:

• CAB auditas: 40 000 € iki 120 000 € priklausomai nuo apimties sudėtingumo
• Techninio suderynamumo sertifikavimas (HSM, PKI, QSCD, sertifkaiti CC): 80 000 € iki kelis šimtus tūkstančių eurų savai infrastruktūrai
• ISO 27001 sertifikavimas (rekomenduojama iš anksto): 15 000 iki 50 000 € priklausomai nuo dydžio
• Teisinės konsultacijos ir DPC rašymo mokesčiai: 10 000 iki 30 000 €
• Vidiniai kaštai: skirtos komandos mobilizacija (RSSI, DPO, suderinančio oficero) 12-18 mėnesių
• Susumuojant visus šiuos punktus, visas sertifikavimas sumano investiciją apie 200 000 iki 500 000 € vidutinio dydžio paslaugų teikėjui, neatskaičius nuolatinių palaikymo išlaidu.

Operaciniai rizikos veiksniai

Dažniausios sertifikavimo procedūrų nepavykimo ar vėlavimo priežastys yra:

1. Nepakankama DPC dokumentacija: Sertifikavimo praktikos deklaracija turi dokumentuoti kiekvieną kontrolę su kartais neįvertinta deminutė.
2. Spragos raktų ciklo valdyme: žyma, archyvavimas, šaltinių raktų naikinimas.
3. Nepakankama incident valdymo vadyba: SIEM nebuvimas, nepatikrintų krizės valdymo procedūrų, runbook.
4. NIS2 skurdimas: nuo 2024 m. spalio, kvalifikuoti PSC yra automatiškai klasifikuojami kaip „svarbios" esybės NIS2 direktyvo prasme, su papildomomis pranešimo ir rizikos valdymo pareigomis.

Įmonėms, kurios nori perduoti šiuos apribojimus jau sertifikuotam paslaugų teikėjui, o ne kurti savo infrastruktūrą, elektroninio parašo sprendimų palyginimas Certyneo svarbu padeda objektyvizuoti šią build-vs-buy pasirinkimą.

---

eIDAS 2 ir elektroninis parašas versle: pereinamojo laikotarpio iššūkiai

Įmonėms – naudotojams — priešingai nei paslaugų teikėjams — jų SaaS parašo teikėjo eIDAS 2 sertifikavimas yra dabar neabejotinas pasirinkimo kriterijus. Įtraukti į prikviestų pasiūlymų nacionalinio pasitikėjimo sąraše reikalavimus yra tampama standartine praktika reguliuojamose industrijose (finansai, sveikatos sritis, nekilnojamasis turtas).

Elektroninis parašas versle iš tikrųjų reikalauja aiškiai atskirti naudojimo atvejus, kuriems reikalinga QES — apsisprendėjimai su didelės vertės riziką, įgaliojimai, elektroniniai notariniai aktai — nuo tų, kur užtenka AdES. Šis naudojimo atskiritų žemėlapis tiesiogiai apibrėžia teikėjui susidaromą paslaugų lygį.

Organizacijoms, kurios migruoja iš esamą sprendimą į jau sertifikuotą eIDAS 2 teikėjus, taip pat reikia numatyti įrodymų archyvų perduodamumą. Vadovas dėl migracija nuo DocuSign arba YouSign prie Certyneo detalizuoja geriausias praktikas saugoti dokumentų įrodymų vertę per perėjimą.

eIDAS 2 sertifikavimui taikomas teisinės sistemos pagrindas

Pagrindiniai tekstai

Pasitikėjimo paslaugų teikėjų sertifikavimas remiasi turtingu norminiu krūviu, kurį visą reikia pradžioje suprasti:

Reglamentas (ES) 2024/1183 iš 2024 m. balandžio 11 d. (eIDAS 2): atskaitos tekstas, kuris keičia ir panaikina atitinkamas regulamento 910/2014 nuostatas. Jis apibrėžia sąlygas gauti ir palaikyti kvalifikuoto teikėjo statusą, nacionalinės priežiūros pareigybės, ir reikalavimus naujiems paslaugų (EUDIW, AEA).

Reglamentas (ES) nr. 910/2014 (eIDAS 1): vis dar iš dalies taikomas nepataisytoms nuostatoms; aktai, priimti pagal šį reglamentą, lieka galiomis iki jų formalaus peržiūrimo.

Prancūzijos Civilinis kodeksas, straipsniai 1366 ir 1367: 1366 straipsnis nustato elektroninio parašo lygiavertumą rankiniam parašui pagal patikimumo sąlygą; 1367 straipsnis patikslintas, kad patikimumas yra manoma, kol ne priešingai įrodyta naudojant kvalifikuotą parašą. Šios nacionalinės nuostatos yra tiesiogiai susijusios su teisine eIDAS 2 straipsnio 25 prielaida.

Direktyva (ES) 2022/2555 (NIS2): į prancūzų teisyną perimta 2024 m. spalio 15 d. įstatymu, ji automatiškai klasifikuoja pasitikėjimo paslaugų teikėjus kaip svarbias esybes. Pareigos: ANSSI duomenų pranešimas per 72 valandas bet kokiam reikšmingam incidentui, formalizuoto kibernetinio saugumo rizikos valdymo nustatymas, periodinis saugumo auditas.

Reglamentas (ES) 2016/679 (GDPR): parašo paslaugų teikėjai apdoroja jautrias asmenines duomenis (signatarų tapatybė, audito žurnalai). Minimalumo, saugojimo ribojimo ir vientisumo principų laikymas reikalauja specifinės poveikio analizės (AIPD). Duomenų apdorojimo teisinis pagrindas turi būti dokumentuotas kiekvienai paslaugai.

Techniniai standartai su reguliavimo verte

Europos Komisijos įgyvendinimo aktai (ypač įgyvendinimo sprendimas (ES) 2015/1506 ir jo peradresavimai) skiria ETSI standartus kaip atitikties prielaidas:

• ETSI EN 319 401: bendri reikalavimas TSP
• ETSI EN 319 411-1 ir 411-2: sertifikavimo politika
• ETSI EN 319 421: kvalifikuotas laiko žymėjimas
• ETSI EN 319 132 / 122 / 102: AdES formatai (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: nuotolinių parašo paslaugų

Teisinės rizikos neatitikimo atveju

Kvalifikuoto paslaugų teikėjo statuso naudojimas suktumui arba neatsargumui yra jungtas su administracinėm ANSSI bausmėm (sustabdymas, šalinimas iš pasitikėjimo sąrašo) ir baudžiamuosiomis bylomis (Baudžiamojo kodekso straipsnis 226-17 asmeninių duomenų saugumo trūkumui). Civiliniu požiūriu, parašų, išduotų neatitikties laikotarpiu, įprastos vertės iššūkis gali įpareigoti paslaugų teikėjo atsakomybę savo klientams.

Naudojimo scenarijai: eIDAS 2 sertifikavimas praktikoje

1 scenarijus — vidutinio dydžio SaaS redakcinė sistema, siekianti QES kvalifikacijos

Įmonė, specializuojama dokumentų demateriazavimoje, turinti apie šimto darbuotojų ir tvarkanti kelis milijonus parašų operacijų per metus savo klientams bankų ir draudimo sektoriuose, nusprendžia ieškoti eIDAS 2 kvalifikacijos savo elektroninio parašo paslaugai. Iki šiol įmonė pasiūlė išplėstą parašą, remiantis sertifikatais (AdES), pakankamą daugumai jos kliento sutarčių, tačiau nepakankamą aktams, reikalaujantiems maksimalios įrodinės vertės (SEPA įgaliojimai, notarinės parodymo sutartys).

Po savaitę atidavus vidinę auditą, atkleidusius 15 pagrindinių nesutarčių nuo ETSI EN 319 411-2 reikalavimų, įmonė pradeda 14 mėnesių suderinamumo programą. Pagrindiniai sektoriuj yra esamų HSM modulių pakeitimas sertifikuotais FIPS 140-2 3 lygio moduliais, 180 puslapių DPC parengimas ir ISO 27001 sertifikavimo priešais CAB auditą. Bendras investavimas yra 340 000 €. Proceso pabaigoje įrašymas į prancūzų TSL leidžia įmonei gauti prieigą prie tendencijų, iš kurios buvo sistemiškai išbraukta, atstovaudama įvertintam 20% papildomų pajamų potencialui.

2 scenarijus — ligoninės kompleksas, integruojantis kvalifikuotą parašą saugumo medicininiam aktui

Ligoninės kompleksas, turintis apie 1 200 lovų, nori demateriazuoti savo saugumo procedūrų sąmoningai sutikimui, medicininės galios persiduodavimui ir klinikiniu tyrimams. Šie dokumentai priklauso kategorijai, kurioje QES yra reikalingas arba stipriai rekomenduojamas HAS nurodymais ir sveikatos duomenų teisinio rėmo (CSP str. L. 1110-4).

Užuot sertifikavę vidinę infrastruktūrą — pasirinkimas, laikytas per brangus ir ne pagrindines veiklas — kompleksas ima trečiojo šalies paslaugų teikėjų, jau įrašytus TSL. IT skyrius atlieka teikėjo atitikties auditą, remiantis ETSI EN 319 401 patikrinimo sąrašu, ir patikrina faktinį EUTL buvimą prieš bet kokią sutartavę. Diegimas, atliektas per 4 mėnesiai, sumažina 65% parašų rinkimo laiką klinikiniu tyrimų dokumentams ir pašalina teisinės iš esmės naudotame ankstesnį paprastą parašą jautriem aktams.

3 scenarijus — teisėsamadis biroje stabdantis jo savo teisės aktų atsiskaitą

Teisėsamadis biroje, apimančioje apie 30 partnerių, atliekanti kasmet beveik 400 mergerių ir verslo fondo perdavimo veiklą, tikisi stabilizuoti sudėtingų savų teisės aktų parašus. Atskirų sandorių vertė dažnai viršija milijoną eurų, ir bet kuris forma vadas gali kelti profesionalinę biruos atsakomybę.

Po analizės, IT komanda ir vadovaujantis partneris vieneriškai sutaria su minimaliu privalomu paslaugų teikėjaus reikalavimu iš QES, išduoto sertifikuoto eIDAS 2 teikėjo, bet jeigu santykio vertė viršija 100 000 €. Paslaugų teikėjo pasirinkimo kriterijus turi pagrindinis patikra nacionalinio TSL ir šiuolaikinio atitikties sertifikato prieinamumą (mažiau nei 12 mėnesių). Šis rėmas leidžia biroje sumažinti daugiau nei 80% prieš-ekspertizės prašymų parašo validumo vėlesniuose ginčuose, pagal stebėtas grąžas panašiose sektoriaus struktūrose.

Išvada

Gauti eIDAS 2 sertifikatą kaip pasitikėjimo paslaugų teikėjams yra reiklus, brangus ir ilgas procesas — tačiau nepriklystaun kiekviename veikėjui, norinčiam pasiūlyti maksimalias teisines garantijas savo klientams Europos rinkoje. Nuo ETSI standartų atitikties, per CAB audito pravedimą, ANSSI instrukcijas ir sertifikavimo palaikymą, procedūra mobilizuoja reikšmingus ištekliu per 12-24 mėnesius.

Naudotojoms įmonėms gera naujiena ta, kad nereikalinga kurti šios infrastruktūros viduje: pasirinkimas SaaS paslaugų teikėjo, jau sertifikuoto eIDAS 2 ir įrašyto į nacionalinį pasitikėjimo sąrašą, leidžia iš karto pasinaudoti QES teisine prielaida, nedalinant sertifikavimo išlaidu.

Certyneo yra pasitikėjimo paslaugų teikėjas sertifikuotas, skirtas B2B įmonėms, kurioms reikalingi teisinės griežtumo ir naudojimo paprastumas. Atraskite mūsų kainas ir pradėkite nemokami bandomąjį šiandien.