eIDAS 2 sertifikācija paraksta pakalpojumu sniedzējiem 2026

Kāpēc eIDAS 2 sertifikācija mainīs situāciju pakalpojumu sniedzējiem

Kopš regulējuma (ES) 2024/1183 stāšanās spēkā 2024. gada 11. aprīlī — parasti sauktā eIDAS 2 — paraksta pakalpojumu sniedzējiem Eiropas Savienībā jāsaskaras ar būtiski pārkārtotu normatīvo regulējumu. Sākotnējā eIDAS regulējuma no 2014. gada pārskatīšana ne tikai paplašina atzīto pakalpojumu darbības jomu: tā ievērojami paostrina akreditācijas nosacījumus, ievieto jaunus garantiju līmeņus un pastiprina valsts pārraudzības iestāžu kontroles prasības. Jebkuram dalībniekam, kas vēlas piedāvāt kvalificētus elektroniskos parakstus (QES) vai uzlabotas (AdES) paraksta pakalpojumus Eiropas tirgū, izprašana par to, kā iegūt eIDAS 2 sertifikāciju paraksta sniedzējam, vairs nav iespēja — tas ir stratēģisks pienākums.

Šajā rakstā sniegts detalizēts sertifikācijas procesu pārskats: spēkā esošie normatīvie akti, ievērojamās tehniskās normas, konformitātes novērtēšanas iestāžu (CAB) loma, reālistiskie termiņi un operacionālie riski.

---

Jaunais eIDAS 2 regulatīvais ainava: kas ir mainījies

No regulējuma 910/2014 uz regulējumu 2024/1183: galvenās izmaiņas

Sākotnējais eIDAS regulējums (Nr. 910/2014) bija izveidojis pamatu vienotajam ciparu uzticības tirgum Eiropā. Tas definēja trīs paraksta līmeņus — vienkāršu, uzlabotu un kvalificētu — un prasīja sertificētiem sniedzējiem būt uzskaitītiem valstu uzticības pakalpojumu sarakstos (TSL, Trust Service Lists). eIDAS 2 saglabā šo arhitektūru, bet to bagātina vairākos strukturālos aspektos:

• Kvalificēto pakalpojumu paplašinājums: kvalificēts elektroniskais arhivējums, elektroniskas atribūtu apliecinājumus (AEA), tālvadības paraksta izveides ierīču (QSCD) pārvaldība. Šie jaunie pakalpojumi tagad tiek pakļauti tai pašai akreditācijas procedūrai kā kvalificēts paraksts.
• Eiropas digitālās identitātes portfelis (EUDIW): pakalpojumu sniedzējiem, kas vēlas sazināties ar nākotnes digitālā portfeļa sistēmu, jāpierāda atbilstība Commission publicētajām tehniskajām specifikācijām (ARF — Architecture and Reference Framework, v1.4, 2024).
• Uzraudzības stiprināšana: valstu uzraudzības iestādēm (Francijā ANSSI) ir pastiprinātas izmeklēšanas un pamudinājuma pilnvaras. Kvalificētie pakalpojumu sniedzēji var tikt pakļauti neplānotiem revīzijām.
• Samazināti notifikācijas termiņi: jebkurš nozīmīgs drošības incidents jāpaziņo kompetentajai iestādei 24 stundu laikā (iepriekšējā versijā bija 72 stundas).

Vispārējai informācijai par regulējumu, Certyneo eIDAS 2.0 ceļvedis sniedz paedagoģisku apkopojumu par visām šīm izmaiņām.

Garantiju līmeņi un to nozīme sertifikācijai

Atšķirība starp uzlabotu un kvalificētu elektronisko parakstu paliek sistēmas centru. Tikai QES būtībā gūst tiesības uz likumīgu pieņēmumu par integritāti un atbildību, kas līdzvērtīgs parakstam ar roku (2024. gada eIDAS 2 regulējuma 25. pants). Šis pieņēmums tieši ir atkarīgs no pakalpojumu sniedzēja sertifikācijas.

| Līmenis | Pierādījuma vērtība | Sniedzēja prasības | |---|---|---| | Vienkāršs (SES) | Ierobežota | Nav | | Uzlabots (AdES) | Nozīmīga | Labā prakse + ETSI normas | | Kvalificēts (QES) | Maksimāla (likumīgs pieņēmums) | Obligāta eIDAS 2 sertifikācija |

---

eIDAS 2 sertifikācijas process posms pa posmam

1. posms — Organizacionālie un tehniskā priekšnoteikumi

Pirms formāla sertifikācijas procesa uzsākšanas, pakalpojumu sniedzējam jāpārskata tā gatavības līmenis trijos aspektos:

1. Atbilstība ETSI normām EN 319 sērijas normas veido neatņemamu tehniskā pamatu. Galvenās ir:

• ETSI EN 319 401: vispārējās prasības paraksta pakalpojumu sniedzējiem
• ETSI EN 319 411-1 un 411-2: politika un prasības sertifikāta iestādēm, kas izdod sertifikātus (PTC-QC profili kvalificētajiem sertifikātiem)
• ETSI EN 319 421: politika un prasības laika zīmes pakalpojumu sniedzējiem
• ETSI EN 319 132: paraksta formāti XAdES (XML), CAdES (CMS) un PAdES (PDF)

Atbilstība šīm normām nav fakultatīva kvalificētajiem sniedzējiem: tā ir skaidri prasīta Commission Europejinas izpildes aktos.

2. Informācijas sistēmu drošība QSCD (paraksta izveides ierīces) jābūt sertificētām pēc Common Criteria (CC) EAL4+ vai ekvivalentam. Tālvadības paraksta risinājumiem — dominējošais SaaS modelis — prasības attiecas arī uz HSM moduliem (Hardware Security Module) un kriptografisko atslēgu pārvaldības procedūrām (FIPS 140-2 3. līmeņa atbilstības minimums).

3. Drošības politika (PSSI) un risku pārvaldība Sertifikācijas dossiers prasīs formalizētu PSSI, kas saskaņota ar ISO/IEC 27001 (kuras sertifikācija ir stingri ieteicama un dažkārt CAB prasīta) un iekļauj NIS2 prasības subjektiem, kas klasificēti kā „svarīgi" vai „būtiski".

2. posms — Konformitātes novērtēšanas iestādes (CAB) izvēle

Francijā CAB, kurus akreditējis COFRAC (Francijas konformitātes novērtēšanas komiteja) paraksta pakalpojumu sniedzēju novērtēšanai, ir maz. Piemēram, LSTI (Laboratoire de Sécurité des Technologies de l'Information) un Bureau Veritas Certification ir atzīti dalībnieki. Eiropas mērogā katra dalībvalsts publicē savu notificēto CAB sarakstu.

CAB loma ir vadīt atbilstības revīziju divos posmos:

1. Dokumentu pārskatīšana (1. fāze): politiku, procedūru, Sertifikācijas prakses deklarācijas (DPC / CPS) un tehnisko pierādījumu pārbaudīšana.
2. Audits uz vietas (2. fāze): kontroles tālvērojuma pārbaude, iefiltrācijas pārbaudīšana, apspriešanās ar komandu.

Kopējais CAB audita ilgums parasti ir 4-8 nedēļas atkarībā no kandidāta iepriekšējās brieduma.

3. posms — Uzraudzības iestādes instrukcija

Francijā tas ir ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), kas instruē pieteikumus uzskaitei valsts uzticības sarakstā (TSL FR). Balstoties uz CAB audita pārskatu, ANSSI veic savu analīzi un var pieprasīt papildinformāciju vai koriģējošus pasākumus.

Normatīvais instrukcijas termiņš ir 3 mēneši no pabeigta dossiera saņemšanas (2024. gada eIDAS 2 regulējuma 17. pants). Praktiski, faktiskos termiņus bieži pagarina, ja sākotnējais dossiers nav pilnīgs.

Pēc atzīmes valsts TSL, pakalpojumu sniedzējs automātiski tiek reģistrēts EUTL (EU Trusted List) komisijas publicētajā sarakstā, kas viņam dod skaidru atzīšanu visos 27 dalībvalstīs.

4. posms — Kvalifikācijas saglabāšana un atjaunošana

eIDAS 2 sertifikācija nav galīga. Kvalificēti pakalpojumu sniedzēji ir pakļauti:

• Ikgadējam uzraudzības auditam, ko veic CAB
• Pilnam atjaunošanas auditam ik 24 mēnešiem (īsāks cikls nekā iepriekšējā prakse)
• Neplānotiem pārbaudēm, ko var uzsākt ANSSI

Jebkura būtiska infrastruktūras izmaiņa (HSM nomaiņa, PKI evolūcija, jauns kvalificēts pakalpojums) izraisa iepriekšēju paziņošanu procedūru un var prasīt daļēju auditu.

---

Izmaksas, termiņi un risku faktori: kas jāparedz IT vadītājiem

Budžets un cilvēka resursi

Pirmās eIDAS 2 sertifikācijas izmaksas ir nozīmīgas. Izdevumu pozīcijas ietver:

• CAB audits: no 40 000 € līdz 120 000 € atkarībā no darbības jomas sarežģītības
• Tehniskas atbilstības nodrošināšana (HSM, PKI, QSCD sertifikāti CC): no 80 000 € līdz vairākiem simtiem tūkstošu eiro pašmāju infrastruktūrai
• ISO 27001 sertifikācija (ieteicama kā priekšposms): 15 000 līdz 50 000 € atkarībā no lieluma
• Juridiskā konsultācija un DPC redakcija: 10 000 līdz 30 000 €
• Iekšējās izmaksas: darbaspēka un speciālistu (RSSI, DPO, atbilstības vadītājs) mobilizēšana 12-18 mēnešus

Sumējot visas šīs izmaksas, pilna sertifikācija uzņēmumam vidējā lielumā nozīmē kopēju ieguldījumu kārtībā 200 000 līdz 500 000 €, bez turpmākās uzturēšanas izmaksām.

Operacionālie risku faktori

Visbiežākās neveiksmīguma vai aizkaves cēloņi sertifikācijas procedūrās ir:

1. Nepietiekami detalizēta DPC: Sertifikācijas prakses deklarācija jādokumentē katru kontroli ar tik smalku granularitāti, kas bieži netiek novērtēta.
2. Nepilnības atslēgu dzīves cikla pārvaldībā: atsaukšana, arhivējums, privāto atslēgu iznīcināšana.
3. Nepietiekama incidentu pārvaldības pārvaldība: nekāda SIEM, netestētas krizoceļi procedūras, runbooks.
4. NIS2 nenovērtēšana: kopš 2024. gada oktobra, kvalificēti pakalpojumu sniedzēji automātiski tiek klasificēti kā „svarīgi" subjekti NIS2 direktīvas nozīmē ar papildu deklarācijas un risku pārvaldības pienākumiem.

Uzņēmumiem, kas vēlas deleģēt šos pienākumus jau sertificētam pakalpojumu sniedzējam, nevis veidot savu infrastruktūru, elektroniskā paraksta risinājumu salīdzinājums, pieejams Certyneo, palīdz objektīvi novērtēt šo build-vs-buy lēmumu.

---

eIDAS 2 un elektroniskais paraksts uzņēmumā: pārejas jautājumi

Uzņēmumiem — kas ir lietotāji, nevis pakalpojumu sniedzēji — tāda SaaS paraksta sniedzēja eIDAS 2 sertifikācija ir tagad neatņemams atlases kritērijs. Iekļaut iepirkumu izsaukumos ar prasību par jābūt uzskaitei valsts TSL sarakstā ir kļuvusi standarta prakse regulētos nozarēs (finanses, veselības aprūpe, nekustamais īpašums).

Elektroniskais paraksts uzņēmumā prasa skaidri nošķirt lietošanas gadījumus, kuriem nepieciešama QES — nozīmīgas parakstīšanas līgumos, pilnvarās, elektroniskos notāra aktos — no tiem, kur AdES ir pietiekama. Šī lietojuma karšosana tiešā mērā ietekmē, kāds pakalpojuma līmenis ir jāprasās sniedzējam līgumā.

Organizācijas, kas pāriet no esošā risinājuma uz jau sertificētu eIDAS 2 sniedzēju, jāanticipē arī pierādījumu arhīvu pārnešamība. Ceļvedis par migrāciju no DocuSign vai YouSign uz Certyneo detalizē labas prakses darbības, lai saglabātu dokumentu pierādījumu vērtību.

eIDAS 2 sertifikācijai piemērojamais juridiskais regulējums

Pamatjuridiskie akti

Paraksta pakalpojumu sniedzēju sertifikācija balstās uz blīvu normatīvo augšu, kas pilnībā jāapgūst:

Regulējums (ES) 2024/1183 (2024. gada 11. aprīlis) (eIDAS 2): atsauces teksts, kas atceļ un aizstāj 910/2014 regulējuma atbilstošos noteikumus. Tas nosaka apstākļus, kādos var iegūt un saglabāt pakalpojumu sniedzēja status, valsts uzraudzības pienākumus un prasības jauniem pakalpojumiem (EUDIW, AEA).

Regulējums (ES) Nr. 910/2014 (eIDAS 1): joprojām daļēji spēkā esošs neatjaunoto noteikumu gadījumā; izpildes un deleģētie akti, pieņemti šajā regulējumā, paliek spēkā līdz to formālai revīzijai.

Francijas Civilais kodekss, 1366. un 1367. pants: 1366. pants nosaka elektroniskā paraksta līdzvērtību rokrakstam, ja tas ir uzticams; 1367. pants precizē, ka uzticamība tiek pieņemta kā faktisks (līdz pretējiem pierādījumiem), ja tiek izmantots kvalificēts paraksts. Šie nacionālie noteikumi ir tieši saistīti ar eIDAS 2 25. panta likumīgo pieņēmumu.

Direktīva (ES) 2022/2555 (NIS2): transponēta Francijas tiesībās ar 2024. gada 15. oktobra likumu, tā automātiski klasificē paraksta pakalpojumu sniedzējus kā svarīgus subjektus. Pienākumi: paziņošana ANSSI 72 stundu laikā par jebkuru nozīmīgu incidentu, formalizētas kiberdrošības risku pārvaldības ieviešana, periodiski drošības auditi.

Regulējums (ES) 2016/679 (GDPR): paraksta pakalpojumu sniedzēji apstrādā jutīgas personas datus (parakstītāju identitāte, audita žurnāli). Minimizācijas, glabāšanas ierobežošanas un integritātes principu ievērošana prasītu specifiskus ietekmes novērtējumus (AIPD). Apstrādes tiesisks pamats jādokumentē katram pakalpojumam.

Tehniskās normas ar likumīgu vērtību

Commission europejinas izpildes akti (it īpaši izpildes lēmums (ES) 2015/1506 un tā revisijas) norāda ETSI normas kā atbilstības pieņēmuma pamatam:

• ETSI EN 319 401: vispārējās TSP prasības
• ETSI EN 319 411-1 un 411-2: sertifikāta politikas
• ETSI EN 319 421: kvalificēts laika zīmes pakalpojums
• ETSI EN 319 132 / 122 / 102: AdES formāti (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: tālvadības paraksta pakalpojumi

Likumības riski gadījumā, ja neatbilst prasībām

Nelikumīga vai neuzmanīga kvalificēta statusa izmantošana var sasaukt administratīvus sodus, kurus nozīmē ANSSI (apturēšana, noņemšana no uzticības saraksta) un kriminālpersekūciju (Sodu kodeksa 226-17. pants par datu personīgās drošības pakarībām). Civilā aspektā, parakstu (kas izdoti neatbilstības periodā) pierādījuma vērtības apšaubīšana var par sniedzēju atbildību vērsties pret tiem uz civiltiesību pamata.

Lietošanas scenāriji: eIDAS 2 sertifikācija praktiski

Scenārijs 1 — vidēja lieluma SaaS redaktors, kas vēlas QES kvalifikāciju

Uzņēmums, kas specializējas dokumentu desmaterializācijā, ar apmēram simts darbiniekus un vadot vairākus miljonus paraksta transakciju gadā banku un apdrošinājuma sektora klientiem, nolemj pieprasīt eIDAS 2 kvalifikāciju savai elektroniskā paraksta pakalpojumu sistēmai. Līdz šim uzņēmums piedāvāja uzlabotu parakstu balstoties uz sertifikātiem (AdES), kas bija pietiekams lielākajai daļai tā klientu, bet nepietiekams dokumentiem, kuriem nepieciešama maksimāla pierādījuma vērtība (SEPA pilnvaras, notāra parakstītas konvencijas).

Pēc 3 mēnešu ilga iekšējā audita, kurš atklāj aptuveni 15 galvenās nepilnības ETSI EN 319 411-2 prasībām pret, uzņēmums uzsāk 14 mēnešu atbilstības programmu. Galvenie projekti skar esošo HSM moduļu nomaiņu uz FIPS 140-2 3. līmeņa moduliem, 180 lappušu DPC redakciju un ISO 27001 sertifikācijas iegūšanu pirms CAB audita. Kopējais ieguldījums sasniedz 340 000 €. Pēc procesa pabeigšanas, atzīme TSL fr uzņēmumam atvēr pieeju iepirkumiem, no kuriem tas bija sistēmiski izslēgts, ar aprēķinātiem komercieliem potenciāliem 20% papildu ieņēmumi.

Scenārijs 2 — slimnīcu grupas elektroniskā paraksta integrācija medicīnas aktos

Slimnīcu grupa ar aptuveni 1200 gultņiem vēlas desmaterializēt tiesiskas piekrišanas procesus, ārstu pilnvaru deleģēšanu un klīniskās pētniecības līgumus. Šie dokumenti pieder kategorijai, kuriem QES ir prasīta vai stingri ieteikta HAS normatīvajā pamatā un veselības datu juridiskajā pamatā (CSP 1110-4. pants).

Tā vietā, lai sertificētu iekšējo infrastruktūru — iespēja tiek vērtēta kā pārāk dārga un ne starpniecības darbības jomā — grupus izvēlās jau TSL uzskaitītā trešās puses pakalpojumu sniedzēja integrāciju. IT vadība veic sniedzēja atbilstības auditu balstoties uz ETSI EN 319 401 pārbaudes sarakstu un pārbauda faktisko jābūt sarakstē EUTL pirms jebkāda parakstīšanas. Desmeterializācija, kas realizēta 4 mēnešus, 65% samazina paraksta ievākšanas termiņu klīniskās pētniecības dossieriem un noņem risku patvaļīgu noraidījumu sakarā ar iepriekšēju vienkāršo parakstu izmantošanu jutīgiem dokumentiem.

Scenārijs 3 — advokātu birojs nodrošina komerciālus parakstus

Advokātu biroja 30 advokātu praksē, ko gadā apstrādā apmēram 400 apvienošanas un biznesā pārdošanas operācijas, nepieciešams pastiprināt savu parakstīšanu sarežģītiem šķirtos parakstītos dokumentos. Atsevišķo transakciju vērtība bieži pārsniedz vienu miljonu eiro, un jebkura formas kļūda var radīt professionālās atbildības līguma.

Pēc analīzes, IT komanda un vadošais partneris saskaņo minimālās līgumā prasības — vismaz QES, ko izdevusi sertificēta eIDAS 2 sniedzēja sistēma jebkuram dokumentam, kura vērtība pārsniedz 100 000 €. Sniedzēja izvēles kritērijs obligāti iekļauj atzīmes pārbaudi TSL sarakstē un jaunā ETSI atbilstības sertifikāta (mazāka par 12 mēnešiem) pieejamību. Šis pamatnolikums ļauj biroam par vairāk nekā 80% samazināt pārekspertu pieprasījumus parakstu derīgumam strīdu laikā, saskaņā ar līdzīgu struktūru rezultātiem sektors.

Secinājums

eIDAS 2 sertifikācijas iegūšana kā elektroniskā paraksta pakalpojumu sniedzējam ir prasīgs, dāls un garš process — taču neatņemams jebkuram dalībīniekam, kas vēlas piedāvāt maksimālās juriskās garantijas saviem klientiem Eiropas tirgū. Starp atbilstības nodrošināšanu ETSI normām, CAB audita iziešanu, ANSSI instrukciju un kvalifikācijas saglabāšanu laikā, iniciatīva mobilizē nozīmīgus resursus 12-24 mēnešus.

Uzņēmumiem, kas ir lietotāji, labā ziņa ir, ka nav nepieciešams veidot šo infrastruktūru iekšēji: izvēlēties SaaS pakalpojumu sniedzēju, kas jau ir sertificēts eIDAS 2 un uzskaitīts valsts uzticības sarakstē, ļauj viņam tūlīt gūt likumīgo pieņēmumu, kas pieskaņots QES, bez sertifikācijas izmaksu ciešanas.

Certyneo ir uzticams sertificēts pakalpojumu sniedzējs, domāts B2B uzņēmumiem, kas pieprasa juridiskas stingrības un lietošanas vienkāršības. Atklājiet mūsu izcenas un sāciet bezmaksas pārbaudni jau šodien.