Kvalifikuoti eIDAS teikėjai: oficialus 2026 m. sąrašas

Kodėl « kvalifikuoto » eIDAS statuso svarbu jūsų verslui?

Nuo eIDAS reglamento (Nr. 910/2014) įsigaliojimo, Europos elektroninio parašo rinka giliai pertvarkyta aplink trijų lygių hierarchiją: paprastas elektroninis parašas (SES), išplėstinis elektroninis parašas (AES) ir kvalifikuotas elektroninis parašas (QES). Pastarasis yra vienintelis, kuris naudojasi teisine prezumpcija apie ekvivalentiškumą su rankiniu parašu visose Europos Sąjungos valstybėse narėse.

Kad įmonė galėtų siūlyti kvalifikuotus parašus, ji būtinai turi būti audituota ir įrašyta į savo valstybės nario pasitikėjimo sąrašą (Trust List). Prancūzijoje šį oficialų registrą tvarko Nacionalinė informacinių sistemų saugumo agentūra (ANSSI) ir vėl jis publikuojamas centrinėje Europos sąraše, kurį valdo Europos Komisija.

Šios architektūros supratimas yra itin svarbus prieš pasirašant jokį jautrų komercinį sutartį. Norėdami plačiau sužinoti apie reguliavimo pagrindus, mūsų išsamus eIDAS 2.0 reglamento vadovas detalizuoja visas reikalavimus ir pakeitimus, kuriuos pristatė iš naujo peržiūrėtas eIDAS 2.0 reglamentas (Europos Sąjungos Reglamentas 2024/1183).

---

Kaip sertifikuojami kvalifikuoti pasitikėjimo paslaugų teikėjai?

Kelias į Kvalifikuoto pasitikėjimo paslaugų teikėjo (PSCQ) statusą yra reiklingas. Jis reikalauja audito, kurį atlikus atitikties vertinimo įstaiga (CAB, Conformity Assessment Body), akredituota pagal ETSI EN 319 401 (bendrieji reikalavimai) ir ETSI EN 319 411-2 standartus kvalifikuotiems sertifikatams.

ANSSI kvalifikavimo etapai

1. Kvalifikavimo bylos pateikimas: teikėjas pateikia savo techninę, saugumo ir organizacinę dokumentaciją ANSSI.
2. Auditas, kurį atlikus akredituota CAB: trečioji šalis — tokia kaip Bureau Veritas, LSTI arba Apave Certification — patikrina atitiktį vietoje ir pagal dokumentus.
3. Kvalifikavimo sprendimas: ANSSI paskelbia teikėjo kvalifikavimą ir jį įrašo į Prancūzijos pasitikėjimo sąrašą (TL-FR).
4. Periodinis atnaujinimas: kvalifikavimas yra iš naujo įvertinamas, dažniausiai kas du metus, norint garantuoti reikalavimų išlaikymą.

Ką konkretiškai tikrina auditorius?

Auditorius tiria ypač:

• Fizinį saugumą duomenų centrų, kuriuose saugomi kriptografiniai raktai (HSM moduliai, sertifikuoti CC EAL 4+ arba mažiausiai FIPS 140-2 Level 3) ;
• Sertifikavimo politiką (CP) ir sertifikavimo praktikos deklaracijas (CPS), kurias paskelbia teikėjas ;
• Procedūras pasirašančiųjų tapatybės patikrinimui (asmeniškai arba nuotolinę tapatybės patikrinimą pagal EN 419 241-1 standartą) ;
• Atšaukimų valdymą ir OCSP/CRL paslaugų prieinamumą.

Šie kriterijai paaiškina, kodėl tik keletas dalyvių pasiekia ir išlaiko šį sertifikavimo lygį Prancūzijoje.

---

Kvalifikuoti eIDAS teikėjai, registruoti Prancūzijoje 2026 m.

Oficialus kvalifikuotų teikėjų sąrašas yra peržiūrimas bet kuriuo metu Europos Komisijos oficialaus portalo (eidas.ec.europa.eu/efts), filtruojant pagal « Prancūzija » ir paslaugą « QCertESig » (Qualified Certificate for Electronic Signature). Štai veikėjai, kurie buvo nurodyti registre šio straipsnio rašymo metu (birželis 2026):

Prancūzijos veikėjai, registruoti pasitikėjimo sąraše

| Teikėjas | Kvalifikuotos paslaugos tipas | Ypatumas | |---|---|---| | Certigna (Dhimyotis) | Kvalifikuoti sertifikatai, kvalifikuotas laiko žymėjimas | La Poste grupė, sertifikuota eIDAS nuo 2016 m. | | Certinomis | Kvalifikuoti sertifikatai | La Poste dukterė, skirta viešajam sektoriui | | ChamberSign France | Kvalifikuoti sertifikatai | CCI tinklas, stipri SME/TPE orientacija | | Keynectis / DocuSign France | Kvalifikuoti sertifikatai | Įsigytas DocuSign, ANSSI žymos išlaikymas | | Universign (Tessi) | Kvalifikuoti sertifikatai, laiko žymėjimas | Rinkos pionierius, integruotas į Tessi grupę | | Entrust (buvęs Datacard) | Kvalifikuoti sertifikatai | Tarptautinis veikėjas, Trust List keliose valstybėse | | Oodrive Sign | Kvalifikuoti sertifikatai | Suvereni prancūzų redaktorius, sertifikuotas SecNumCloud |

> Perspėjimas: šis sąrašas pateikiamas informaciniais tikslais. Tik oficialus Europos Komisijos Trust List yra įtikinas. Prieš bet kokį sutartinį susitarimą visada patikrinkite dabartinį statusą ETSI portale.

Užsienio teikėjai, pripažinti Prancūzijoje per Europos pasitikėjimo sąrašą

Remiantis eIDAS reglamento 25 straipsnyje nustatytu abipusio pripažinimo principu, kvalifikuotas parašas, išduotas kitos valstybės nario pasitikėjimo sąraše įrašyto PSCQ, turi tuos pačius juridinius efektus Prancūzijoje. Tarp dažnai naudojamų negrancūziškų veikėjų:

• Namirial (Italija): stipri nuotolinės kvalifikuotos parašų (QES remote signing) ;
• SwissSign (Šveicarija): dėmesio, Šveicarija nėra ES narė; pripažinimas yra dalinis ;
• Qualified.one / Asseco Data Systems (Lenkija): viešasis Europos veikėjas, dažnas tarpvalstybinėse sandoriuose.

Norėdami palyginti šias sprendimus pagal jūsų verslo poreikius, žr. mūsų elektroninio parašo sprendimų palyginimą, kuriame analizuojami kaina, atitiktis ir API integracijos kriterijai.

---

Kaip pasirinkti tinkamą kvalifikuotą eIDAS teikėją savo organizacijai?

Būti užregistruotam Trust List yra būtina, bet ne pakankama sąlyga. PSCQ pasirinkimas turi remtis keliomis papildomomis kriterijais.

Techniniai integracijos kriterijai

• REST API arba SDK prieinamas: būtinas parašo automatizavimui jūsų verslo srautuose (ERP, SIRH, CRM) ;
• Palaikomi parašų formatai: PAdES PDF failams, XAdES XML failams, CAdES dvejetainiams failams — visi standartizuoti ETSI EN 319 100 ;
• Paslaugos prieinamumas: SLA didesnis nei 99,9 %, garantuotas sutartyje, su techninės priežiūros periodais ne darbo metu ;
• Duomenų talpinimas: pageidaujamas talpinimas Prancūzijoje arba ES, idealiai SecNumCloud sertifikuotas jautriais duomenimis.

Teisiniai ir atitikties kriterijai

• Patikrinkite, kad teikėjas teikia atnaujintą kvalifikavimo ataskaitą (mažiau nei 24 mėn. senumo) ;
• Reikalaukite publikuotos sertifikavimo politikos (CP), prieinamos viešai ir audituotos ;
• Įsitikinkite, kad bendrujų sąlygos aiškiai nurodo kvalifikuotų sertifikatų eIDAS reglamento I priede išduodavimą.

Veiklos ir palaikymo kriterijai

• Pasirašančiųjų įrašymo procedūra: asmeniškai biure, vaizdo identifikacija atitinkanti eIDAS arba NFC iš elektroninio tapatybės dokumento ;
• Palaikymas prancūzų kalba su sutartiniais atsakymo laiko ribojimais ;
• Mokymas ir dokumentacija, prieinami jūsų teisinėms ir IT komandoms.

Jei jūsų organizacija valdo didelius žmogiškųjų išteklių dokumentų srautus, mūsų puslapyje, skirtas žmogiškųjų išteklių komandoms skirtam elektroniniam parašui, detalizuojami konkretūs naudojimo atvejai (darbo sutartys, papildymai, onboarding) ir rekomenduojami parašų lygiai pagal dokumento tipą.

---

eIDAS 2.0: kokie pakeitimai kvalifikuotiems teikėjams 2026 m.?

Reglamentas eIDAS 2.0 (Europos Sąjungos Reglamentas 2024/1183, pradėtas taikyti nuo 2024 m. gegužės) pristatė kelis struktūrinius pakeitimus, tiesiogiai veikiančius PSCQ ir jų klientus.

Europos skaitmeninės tapatybės portfelis (EUDI Wallet)

Iš naujo peržiūrėto reglamento 6a straipsnis įpareigoja valstybių nares pasiūlyti iki 2026 m. rugsėjo skaitmeninės tapatybės portfelį (EUDI Wallet), pripažintą visoje ES. Kvalifikuotiems teikėjams tai reiškia:

• Priimti tapatybės atributus iš portfelio kaip identifikavimo įrodymą pasirašančiųjų įrašymui ;
• Naujos kvalifikuotos paslaugos atsiradimą: kvalifikuotos atributų garantijos išduodavimą (Qualified Electronic Attestation of Attributes, QEAA).

Naujos kvalifikuotos paslaugos ir veiklos sritės plėtimas

eIDAS 2.0 išplečia kvalifikuotų pasitikėjimo paslaugų sąrašą šiais atvejais:

• Kvalifikuoto elektroninio archyvavimo paslaugos (QPDS, 45f straipsnis) ;
• Nuotolinės parašo kūrimo įrenginio valdymo paslaugos (QRCD).

Šie pakeitimai sudaro ir išbandymą (griežti ENISA bei ETSI paskelbtų techninių specifikacijų įgyvendinimo terminai), ir galimybę greitai integruoti šios paslaugos teikėjams.

Įmonės, kurios planuoja migraciją iš esamos platformos į labiau atitinkančią sprendimą, gali sužinoti iš mūsų migracijų vadovo nuo DocuSign arba YouSign į Certyneo, kuriame pateikiami konkretūs žingsniai ir reguliavimo saugos punktai.

Taikytinas teisinės bazės, skirtas kvalifikuotiems eIDAS teikėjams

eIDAS reglamentas ir Europos teisė

Teisinė bazė yra Europos Parlamento ir Tarybos Reglamentas (ES) Nr. 910/2014 dėl elektroninio identifikavimo ir pasitikėjimo paslaugų elektroninėms operacijoms vidaus rinkoje (vadinamas « eIDAS reglamentu »), išleistas 2014 m. liepos 23 d., iš naujo peržiūrėtas Reglamentu (ES) 2024/1183 (eIDAS 2.0). Šis reglamentas yra tiesiogiai taikomas visose valstybėse narėse be nacionalinio perkelimo.

Pagrindinės jo nuostatos kvalifikuotiems teikėjams:

• 17 straipsnis: pareiga kiekvienai valstybei narei paskirti kontrollės organą (Prancūzijoje ANSSI) ;
• 20 straipsnis: priežiūra, auditas ir įrašas pasitikėjimo sąraše ;
• 25 straipsnis: QES ir rankinių parašų ekvivalentiškumo prezumpcija, su teisine garantija visoje ES ;
• I priedas: reikalavimai kvalifikuotiems parašų sertifikatams ;
• II priedas: reikalavimai kvalifikuotiems parašų kūrimo įrenginiams (QSCD).

Prancūzijos teisė

Vidaus teisėje elektroninis parašas reglamentuojamas:

• Civilinio kodekso 1366 ir 1367 straipsniai: 1366 straipsnis pripažįsta elektroninio rašto įrodinę vertę sąlyga, garantuojama autoriaus tapatybė ir dokumento vientisumas. 1367 straipsnis nurodo, kad elektroninis parašas, susidedantis iš patikimo identifikavimo būdo, naudojasi patikimumo prezumpcija, kai jis sukuriamas atitinkamų įgyvendinimo nuostatų ;
• 2017 m. rugsėjo 28 d. Dekrėtas Nr. 2017-1416: nustato sąlygas, kuriomis kvalifikuotas elektroninis parašas yra Prancūzijoje prezumpcija patikimas, tiesiogiai nurodydamas į eIDAS reglamentą ;
• 2005 m. birželio 16 d. Ordinansa Nr. 2005-674 dėl tam tikrų sutartinių formalumų pildymo elektroninėmis priemonėmis.

Asmeninių duomenų apsauga

Įrašymo ir parašo procesai apima asmeninių duomenų apdorojimą (tapatybės duomenys, biometrija vaizdo identifikacijos metu). Kvalifikuotas teikėjas yra veikiamas Reglamento (ES) 2016/679 (GDPR) ir ypač turi:

• Paskirti DPO, jei apdoroja dideliu mastu ;
• Dokumentuoti apdorojimą CNIL registre ;
• Apriboti perkėlimus už ES ribų tinkamomis garantijomis (standartinės sutartinio klausulos, adekvatumo sprendimas).

Kibernetinis saugumas ir atsparumas

Nuo 2024 m. spalio NIS2 direktyva (2022/2555/ES) taikoma kvalifikuotiems pasitikėjimo paslaugų teikėjams, klasifikuotiems kaip esminės subjekts. Jie turi diegti kibernetinės rizikos valdymo priemones, pranešti ANSSI apie reikšmingus incidentus per 24 valandas ir pasikliauti reguliariais auditais. Nesupratimas gali sukelti baustis iki 10 milijonų eurų arba 2 % metinio pasaulio apyvartos.

Techniniai orientaciniai standartai

• ETSI EN 319 401: bendrieji reikalavimai pasitikėjimo paslaugų teikėjams ;
• ETSI EN 319 411-2: politikos profilis kvalifikuotiems sertifikatams ;
• ETSI EN 319 132: XAdES parašų formatai ;
• ETSI EN 319 122: CAdES parašų formatai ;
• ETSI EN 319 162: PAdES parašų formatai (PDF).

Naudojimo atvejai: kada kvalifikuotas elektroninis parašas eIDAS yra būtinas?

1-asis scenarijus — Teisininko biuras, tvarkantis ypatingą reikšmę sudarytus dokumentus

Tūrio teisininko biuras, kurį sudaro apie dvidešimt bendradarbių, per mėnesį tvarkydami šimtus privačių susitarimų, dalies pardavimų protokolus, tarpinės sutartys ir turto bei pasivo garantijos sutartis (GAP). Šie dokumentai veikia šimtus tūkstančių eurų ir gali būti negrąžiami.

Prieš persikeliant į eIDAS kvalifikuotą teikėją, biuras naudojosi išplėstinio parašo (AES) sprendimu, kurio daugumoje kasdieniuose dokumentuose pakaktą. Po incidento, kai priešingoji pusė abejojusi parašo autentiškumu litigacijos metu, biuras nusprende naudoti QES visoms aukštos vertės operacijoms. Rezultatas: per 90 % sumažėjo laikas, praleistas parašo įrodų pagaminimui ginčo procedūrose, dėka nepanaikinamos teisės prezumpcijos QES. Vieneto perteklinės kainos (apie 2-5 € pagal apimtis) buvo visiškai kompensuota sumažėjusių litigacijos sąmatų.

2-asis scenarijus — Vidutinės dydžio (ETI) pramonės įmonė, tvarkanti tarpvalstybinius tiekėjų sutartis

Vidutinės dydžio (ETI) priešininkų gamybos sektoriaus įmonė, su tiekėjais Prancūzijoje, Vokietijoje, Italijoje ir Lenkijoje, iki tol turėdavo siųsti savo kadrinius sutartis paštu arba organizuoti asmeniškas parašo ceremonijas, sukeliant 10-21 darbo dienų vėlavimus per sutartį.

Nuodemone sprendimą, sujungtą su eIDAS teikėju, kuris įrašytas Trust List, įmonė sutrumpino parašo ciklą iki mažiau nei 48 valandų vidutiniškai. Abipusis pripažinimas tarp valstybių užtikrina teisinę vertę be papildomų legalizacijos reikalavimų. Iš 350 metinių tiekėjų sutarčių portfelio, numatomos administracinės ir logistikos išlaidos sumažėjimas viršija 40 000 eurų per metus, pagal nuorodas, atitinkančias sektorines studijas, kurias paskelbė ACFE ir APQC.

3-asis scenarijus — Ligoninės grupė, paklaustas sveikatos sektoriaus reikalavimų

Ligonių namo grupė su maždaug 1 200 lovų turi elektroniškai pasirašyti viešus pirkimus, klinikinius tyrimų susitarimus ir hospitalinių gydytojų sutartis. Šie dokumentai paklaustas Viešojo pirkimo kodekso, kuris reikalauja elektroninio parašo, atitinkančio RGS (Bendrąjį saugumo nuorodą) nuo ** lygio arba nuo viešo pirkimo demateryalizacijos tolygumo eIDAS.

Pasikliaudama kvalifikuotu eIDAS teikėju, įrašytu į Prancūzijos Trust List, ligonių namo grupė garantuoja atitiktį Viešojo pirkimo kodekso R. 2132-7 straipsniui, tuo pačiu sumažindama pirkimų pasirašymo laiką nuo 15 dienų mažiau nei 72 valandoms. API integracija su ligoninės IT sistema (SIH) leido automatizuoti dokumentų siuntimą ir stebėjimą, išlaisvindama apie 0,4 darbuotojų sutartiems susitarims.

Išvada

Pasirinkti kvalifikuotą eIDAS teikėją nėra paprastas programos pirkimas: tai yra strateginis sprendimas, kuris veikia jūsų veiksmų teisinę vertę, jūsų organizacijos normatyvinį atitikimą ir jūsų verslo ir institucijų partnerių pasitikėjimą. 2026 m., dėl eIDAS 2.0 ir naujų NIS2 reikalavimų, reikalavimo lygis tik didėja.

Pagrindiniai punktai, kuriuos reikia žinoti: visada patikrinkite įrašymą į oficialų Trust List, reikalaukite paskelbtą sertifikavimo politika ir pritaikykite parašo lygį (QES, AES, SES) pagal kiekvieno dokumento teisinį pavojumą.

Certyneo padeda šiame procese, duodama jums prieigą prie kvalifikuotų sertifikatų per suregistruotus PSCQ, tvirtą API integraciją ir nuodinį teisinį palaikymą. Ar pasiruošę pereiti prie kvalifikuoto parašo? Paprašykite demonstracijos arba sukurkite savo paskyrą Certyneo ir todėl užtikrinkite savo organizaciją šiandien.