eIDAS 2 certificering dienstenaanbieder handtekening 2026

Waarom eIDAS 2-certificering een gamechanger is voor dienstaanbieders

Sinds de inwerkingtreding van verordening (EU) 2024/1183 van 11 april 2024 — algemeen bekend als eIDAS 2 — worden aanbieders van vertrouwensdiensten (AVD) die in de Europese Unie actief zijn, geconfronteerd met een fundamenteel hervormd regelgevingskader. De herziening van de oorspronkelijke eIDAS-verordening van 2014 beperkt zich niet tot het verbreden van het toepassingsgebied van erkende diensten: deze verscherpt aanzienlijk de accreditatievoorwaarden, introduceert nieuwe garantieniveaus en versterkt de toezichtvereisten van nationale controlerende instanties. Voor elke acteur die erkende handtekeningsdiensten (QES) of geavanceerde handtekeningsdiensten (AdES) op de Europese markt wil aanbieden, is het begrijpen van hoe een eIDAS 2-certificering voor handtekeningsaanbieder te verkrijgen niet langer optioneel — het is een strategische verplichting.

Dit artikel schetst een volledig overzicht van het certificeringstraject: toepasselijke wetteksten, technische normen die moeten worden nageleefd, de rol van conformiteitsbeoordelingsorganen (CAB), realistische termijnen en operationele punten van aandacht.

---

Het nieuwe regelgevingslandschap van eIDAS 2: wat is veranderd

Van verordening 910/2014 naar verordening 2024/1183: de belangrijkste veranderingen

De oorspronkelijke eIDAS-verordening (nr. 910/2014) legde de grondslag voor een unieke digitale vertrouwensmarkt in Europa. Het definieerde drie handtekeningsniveaus — eenvoudig, geavanceerd en erkend — en verplichtte erkende aanbieders om op de nationale vertrouwenslijsten (TSL, Trust Service Lists) te worden opgenomen. eIDAS 2 handhaaft deze architectuur maar verrijkt deze op verschillende structurele punten:

• Uitbreiding van erkende diensten: gekwalificeerde elektronische archivering, elektronische getuigschriften van attributen (EGA), beheer op afstand van gekwalificeerde apparaten voor handtekeningsopwekking (QSCD). Deze nieuwe diensten vallen nu onder dezelfde accreditatieprocedure als erkende handtekeningen.
• De Europese digitale identiteitsportefeuille (EUDIW): aanbieders die willen samenwerken met de toekomstige identiteitsportefeuille moeten aantonen dat zij voldoen aan technische specificaties gepubliceerd door de Commissie (ARF — Architecture and Reference Framework, v1.4, 2024).
• Versterking van toezicht: nationale toezichtautoriteiten (in Frankrijk: ANSSI) beschikken over versterkte onderzoeks- en dwingende bevoedheden. Erkende AVD's kunnen zonder aankondiging worden gecontroleerd.
• Verkorte meldingstermijnen: elk significant beveiligingsincident moet binnen 24 uur aan de bevoegde autoriteit worden gemeld (in plaats van 72 uur in de vorige versie voor bepaalde incidenten).

Voor een compleet overzicht van de verordening biedt de eIDAS 2.0-gids van Certyneo een pedagogisch overzicht van al deze veranderingen.

De garantieniveaus en hun gevolgen voor certificering

Het onderscheid tussen geavanceerde en erkende elektronische handtekeningen blijft het draaipunt van het systeem. Alleen QES geniet van een wettelijk vermoeden van integriteit en toerekenbaarheid gelijk aan handgeschreven handtekeningen (art. 25 van verordening eIDAS 2). Dit vermoeden is rechtstreeks afhankelijk van de certificering van de aanbieder.

| Niveau | Bewijskracht | Eis voor aanbieder | |---|---|---| | Eenvoudig (SES) | Beperkt | Geen | | Geavanceerd (AdES) | Significant | Goede praktijken + ETSI-normen | | Erkend (QES) | Maximaal (wettelijk vermoeden) | eIDAS 2-certificering verplicht |

---

Het eIDAS 2-certificeringsproces stap voor stap

Stap 1 — Organisatorische en technische vereisten

Voordat een aanbieder formeel de certificeringsprocedure start, moet deze het rijpingsniveau beoordelen op drie assen:

1. Naleving van ETSI-normen De normen uit de EN 319-reeks vormen het onontbeerlijke technische fundament. De voornaamsten zijn:

• ETSI EN 319 401: algemene vereisten voor aanbieders van vertrouwensdiensten
• ETSI EN 319 411-1 en 411-2: beleidsregels en vereisten voor certificeringsinstanties die certificaten afgeven (profielen PTC-QC voor erkende certificeringen)
• ETSI EN 319 421: beleidsregels en vereisten voor aanbieders van tijdstempelingsdiensten
• ETSI EN 319 132: handtekeningsformaten XAdES (XML), en gerelateerde CAdES (CMS) en PAdES (PDF) reeksen

Naleving van deze normen is niet optioneel voor erkende aanbieders: dit wordt expliciet vereist door de uitvoeringsbeschikkingen van de Europese Commissie.

2. Beveiliging van informatiesystemen QSCD's (apparaten voor het aanmaken van erkende handtekeningen) moeten worden gecertificeerd conform Common Criteria (CC) EAL4+ of gelijkwaardig. Voor oplossingen voor handtekeningen op afstand — het dominante SaaS-model — gelden vereisten ook voor HSM-modules (Hardware Security Module) en procedures voor beheer van cryptografische sleutels (naleving van FIPS 140-2 niveau 3 minimum).

3. Beveiligingsbeleid (PSSI) en risicobeheer Het certificeringsdossier vereist een geformaliseerd PSSI, afgestemd op ISO/IEC 27001 (waarvan certificering sterk aanbevolen is en soms door CAB's vereist wordt) en waarbij de vereisten van NIS2 voor gekwalificeerde entiteiten als „belangrijk" of „essentieel" zijn opgenomen.

Stap 2 — Selectie en inschakeling van een conformiteitsbeoordelingsorgaan (CAB)

In Frankrijk zijn de CAB's die door COFRAC (Comité Français d'Accréditation) zijn erkend voor de beoordeling van aanbieders van vertrouwensdiensten schaars. Als voorbeeld kunnen LSTI (Laboratoire de Sécurité des Technologies de l'Information) en Bureau Veritas Certification onder de geregistreerde actoren worden genoemd. Op Europees niveau publiceert elke lidstaat een lijst van haar erkende CAB's.

De rol van het CAB is het uitvoeren van een conformiteitsaudit in twee fasen:

1. Documentbeoordelingen (Fase 1): onderzoek van beleid, procedures, Certificatiepraktijaangifte (DPC / CPS) en technische bewijzen.
2. Audit ter plaatse (Fase 2): verificatie van operationele controles, indringtests, interviews met teamleden.

De totale duur van een CAB-audit bedraagt meestal 4 tot 8 weken, afhankelijk van de eerdere rijpheid van de kandidaat.

Stap 3 — Behandeling door de nationale toezichtautoriteit

In Frankrijk is de ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) verantwoordelijk voor het behandelen van aanvragen voor inschrijving op de nationale vertrouwenslijst (TSL FR). Op basis van het CAB-auditrapport voert de ANSSI een eigen analyse uit en kan aanvullende informatie of corrigerende maatregelen vragen.

De regelgevingstermijn voor behandeling is 3 maanden vanaf ontvangst van een volledig dossier (art. 17 van verordening eIDAS 2). In de praktijk zijn de werkelijke termijnen vaak langer als het initiële dossier onvolledig is.

Eenmaal ingeschreven op de nationale TSL, wordt de aanbieder automatisch opgenomen in de EUTL (EU Trusted List), gepubliceerd door de Europese Commissie, wat deze onmiddellijke erkenning in alle 27 lidstaten geeft.

Stap 4 — Handhaving van de kwalificatie en verlenging

eIDAS 2-certificering is niet permanent. Erkende aanbieders zijn onderworpen aan:

• Jaarlijkse toezichtaudit uitgevoerd door het CAB
• Volledige verlenging audit elke 24 maanden (kortere cyclus dan de vorige praktijk)
• Onverwachte controles mogelijk op initiatief van de ANSSI

Elke substantiële wijziging in de infrastructuur (HSM-verandering, PKI-ontwikkeling, nieuwe erkende dienst) triggert een voorafgaande meldingsprocedure en kan een gedeeltelijke audit verplicht stellen.

---

Kosten, termijnen en risicofactoren: wat IT-directeuren moeten anticiperen

Begroting en personeelsresources

De kosten voor een eerste eIDAS 2-certificering zijn aanzienlijk. De uitgavenposten omvatten:

• CAB-audit: tussen 40.000 € en 120.000 € afhankelijk van de complexiteit van het toepassingsgebied
• Technische compliance (HSM, PKI, CC-gecertificeerde QSCD): van 80.000 € tot enkele honderdduizenden euro's voor een eigen infrastructuur
• ISO 27001-certificering (aanbevolen vooraf): 15.000 tot 50.000 € afhankelijk van de grootte
• Juridisch en DPC-redactieredactiekosten: 10.000 tot 30.000 €
• Interne kosten: inzet van een toegewijd team (CISO, DPO, compliance manager) gedurende 12 tot 18 maanden

Wanneer alle posten worden gecombineerd, vertegenwoordigt een volledige certificering een totale investering van ongeveer 200.000 tot 500.000 € voor een middelgrote aanbieder, exclusief terugkerende onderhoudskosten.

Operationele risicofactoren

De meest voorkomende oorzaken van mislukking of vertraging in certificeringsprocedures zijn:

1. Onvoldoende gedetailleerde DPC: de Certificatiepraktijaangifte moet elke controle met soms onderschatte granulariteit documenteren.
2. Hiaten in sleutellevenscyclusbeheer: intrekking, archivering, vernietiging van privésleutels.
3. Ontoereikende incidentbeheer: geen SIEM, geen geteste incidentafhandelingsprocedures, geen runbooks.
4. Onderschatting van NIS2: sinds oktober 2024 worden erkende AVD's automatisch ingedeeld als „belangrijke" entiteiten onder NIS2, met aanvullende melderings- en risicobeheerverplichtingen.

Voor bedrijven die deze beperkingen liever delegeren aan een reeds gecertificeerde aanbieder in plaats van een eigen infrastructuur op te bouwen, helpt de vergelijking van elektronische handtekeningsoplossingen beschikbaar op Certyneo om deze build-versus-buy-keuze objectief te maken.

---

eIDAS 2 en elektronische handtekening in ondernemingen: overgangsuitdagingen

Voor gebruikersbedrijven — in tegenstelling tot aanbieders — is de eIDAS 2-certificering van hun SaaS-handtekeningsaanbieder nu een onontbeerlijk selectiecriterium. Het opnemen in aanbestedingen van een clausule die inschrijving op de nationale TSL vereist is een standaardpraktijk geworden in gereglementeerde sectoren (financieel, gezondheidszorg, onroerend goed).

De elektronische handtekening in ondernemingen vereist inderdaad een duidelijk onderscheid tussen gebruiksscenario's waarvoor QES vereist is — akten onder private onderhandeling met hoog risico, volmachten, elektronische notariële akten — en die waarbij AdES voldoende is. Deze gebruikskaartering bepaalt rechtstreeks het contractueel vereiste serviceniveau bij de aanbieder.

Organisaties die migreren van een bestaande oplossing naar een reeds op TSL ingeschreven aanbieder moeten ook anticiperen op de draagbaarheid van bewijsarchieven. De gids voor migratie van DocuSign of YouSign naar Certyneo detailleert best practices om de bewijswaarde van reeds ondertekende documenten tijdens de overgang te behouden.

Toepasselijk wettelijk kader voor eIDAS 2-certificering

Grondwettelijke teksten

Certificering van aanbieders van vertrouwensdiensten is gebaseerd op een dicht regelgevingspakket dat in zijn geheel moet worden beheerst:

Verordening (EU) 2024/1183 van 11 april 2024 (eIDAS 2): referentietekst die de overeenkomstige bepalingen van verordening 910/2014 intrekt en vervangt. Dit definieert de voorwaarden voor het verkrijgen en behouden van gekwalificeerde aanbiederstatus, nationale toezichtverplichtingen en vereisten voor nieuwe diensten (EUDIW, EGA).

Verordening (EU) nr. 910/2014 (eIDAS 1): nog steeds gedeeltelijk van toepassing op niet-wijzigde bepalingen; uitvoerings- en gedelegeerde besluiten aangenomen onder deze verordening blijven van kracht totdat zij formeel worden herzien.

Franse Burgerlijk Wetboek, artikelen 1366 en 1367: artikel 1366 stelt het principe van gelijkwaardigheid van elektronische handtekening met handgeschreven handtekening neer onder voorwaarde van betrouwbaarheid; artikel 1367 preciseert dat betrouwbaarheid verondersteld wordt tot het tegenbewijs wanneer gekwalificeerde handtekening wordt gebruikt. Deze nationale bepalingen zijn rechtstreeks verbonden met het wettelijke vermoeden van artikel 25 eIDAS 2.

Richtlijn (EU) 2022/2555 (NIS2): omgezet in Frans recht bij wet van 15 oktober 2024, deze classificeert automatisch aanbieders van gekwalificeerde vertrouwensdiensten onder belangrijke entiteiten. Verplichtingen: melding aan ANSSI binnen 72 uur voor elk significant incident, formeel risicobeheer, periodieke beveiligingsaudit.

Verordening (EU) 2016/679 (GDPR): aanbieders van handtekeningsdiensten verwerken gevoelige persoonlijke gegevens (identiteit van ondertekenaars, auditlogs). Naleving van minimaliserings-, opslag- en integriteitsbeginselen vereist een specifieke impactanalyse (DPIA). De rechtmatige grondslag voor verwerking moet voor elke dienst worden gedocumenteerd.

Technische normen met regelgevingswaarde

De uitvoeringsbesluiten van de Europese Commissie (met name Uitvoeringsbesluit (EU) 2015/1506 en bijzonderheden) wijzen ETSI-normen aan als een vermoeden van naleving:

• ETSI EN 319 401: algemene eisen AVD
• ETSI EN 319 411-1 en 411-2: certificeringsbeleidsregels
• ETSI EN 319 421: gekwalificeerde tijdstempel
• ETSI EN 319 132 / 122 / 102: AdES-formaten (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: diensten voor handtekeningen op afstand

Juridische risico's bij niet-naleving

Het frauduleus of nalatig gebruik van gekwalificeerde aanbiederstatus stelt aanbieder bloot aan administratieve sancties uitgesproken door ANSSI (opschorting, verwijdering van vertrouwenslijst) en strafrechtelijke vervolgingen (artikel 226-17 van het Strafwetboek voor gebrekkige beveiliging van persoonlijke gegevens). Op civielrechtelijk vlak kan betwisting van de bewijswaarde van ondertekeningen die tijdens een niet-nalevingsperiode zijn uitgevoerd, contractuele aansprakelijkheid van de aanbieder jegens haar klanten in het geding brengen.

Gebruiksscenario's: eIDAS 2-certificering in de praktijk

Scenario 1 — Een middelgrote SaaS-uitgeversmaatschappij streeft naar QES-kwalificatie

Een bedrijf gespecialiseerd in documentdigitalisering, met ongeveer honderd werknemers en miljoenen handtekeningtransacties per jaar voor klanten in bank- en verzekeringsectoren, besluit eIDAS 2-kwalificatie voor zijn elektronische handtekeningsdienst aan te vragen. Tot nu toe bood het bedrijf geavanceerde op certificaten gebaseerde handtekeningen (AdES) aan, voldoende voor de meerderheid van zijn klantcontraten, maar onvoldoende voor akten waarvoor maximale bewijswaarde vereist is (SEPA-machtigingen, notarisch verklarde bewijsconventies).

Na een driemandsaudit van binnenuit, waarin ruim vijftien belangrijke afwijkingen van de vereisten van ETSI EN 319 411-2 aan het licht komen, zet het bedrijf een nalevingsprogramma op gedurende 14 maanden. De voornaamste werkzaamheden betreffen vervanging van bestaande HSM-modules door modules gecertificeerd conform FIPS 140-2 niveau 3, opstelling van een 180-pagina's DPC en verkrijging van ISO 27001-certificering voorafgaand aan de CAB-audit. De totale investering bereikt 340.000 €. Na het proces stelt inschrijving op de Franse TSL het bedrijf in staat om deel te nemen aan aanbestedingen waarvan het systematisch was uitgesloten, vertegenwoordigende aanvullende inkomstenpotenties van naar schatting 20%.

Scenario 2 — Een ziekenhuisgroep integreert erkende handtekeningen voor medisch-juridische akten

Een ziekenhuisgroep van ongeveer 1.200 bedden wenst haar processen voor geïnformeerde toestemming, delegatie van medische bevoegdheden en onderzoeksovereenkomsten te digitaliseren. Deze documenten behoren tot de categorie van akten waarvoor QES vereist of sterk aanbevolen is volgens HAS-referentiestandaarden en het wettelijk kader voor gezondheidsgegeven (artikel L. 1110-4 CSP).

In plaats van een interne infrastructuur te certificeren — optie beoordeeld als te duur en buiten kernactiviteiten — kiest de groep voor integratie van een reeds op TSL ingeschreven derde aanbieder. De IT-afdeling voert een leverancierscompliance-audit uit op basis van de ETSI EN 319 401-controlelijst en controleert de daadwerkelijke aanwezigheid op EUTL voorafgaand aan contractering. De inzet, geëffectueerd in 4 maanden, vermindert met 65% de tijd voor handtekeningsverzameling op onderzoeksdossiers en elimineert het juridische risico van eerdere aflegging van eenvoudige handtekeningen op gevoelige akten.

Scenario 3 — Een zakenadvokaten kantoor beveiligd zijn akten onder private onderhandeling

Een zakenadvokaten kantoor van ongeveer dertig vennoten, jaarlijks behandelend enkele honderden fusie- en overnamestransacties plus bedrijfsoverdrachten, streeft naar betrouwbaarheidsvergroting van zijn akten onder private onderhandeling. De eenheidswaarde van behandelde transacties overschrijdt regelmatig één miljoen euro, en elke vormverstrekking kan beroepsaansprakelijkheid van het kantoor in het geding brengen.

Na analyse stemmen IT-team en managing partner in met de minimale contractuele eis van een QES uitgegeven door eIDAS 2-gecertificeerde aanbieder voor elke akte waarvan de waarde 100.000 € overschrijdt. Het selectiecriterium voor aanbieder omvat verplicht verificatie van inschrijving op nationale TSL en beschikbaarheid van recent ETSI-nalevingscertificaat (minder dan 12 maanden). Dit raamwerk stelt het kantoor in staat om meer dan 80% van de verzoeken om contra-deskundigheid over handtekeningsgeldigheid bij latere geschillen terug te dringen, volgens waarnemingen op vergelijkbare structuren in de sector.

Conclusie

Het verkrijgen van eIDAS 2-certificering als aanbieder van elektronische handtekeningsdiensten is een veeleisend, kostbaar en langdurig proces — maar onontbeerlijk voor elke acteur die maximale wettelijke waarborgen aan zijn klanten op de Europese markt wil bieden. Tussen naleving van ETSI-normen, CAB-audit, ANSSI-behandeling en duurzaam behoud van kwalificatie, vergt het initiatief substantiële resources over 12 tot 24 maanden.

Voor gebruikersbedrijven is het goede nieuws dat het niet nodig is om deze infrastructuur intern op te bouwen: kiezen voor een reeds eIDAS 2-gecertificeerde en op nationale vertrouwenslijst ingeschreven SaaS-aanbieder stelt u onmiddellijk in staat om te profiteren van het wettelijke vermoeden dat aan QES is verbonden, zonder de certificeringskosten te dragen.

Certyneo is een vertrouwde gecertificeerde aanbieder, ontworpen voor B2B-bedrijven die juridische rigoureuze en gebruiksgemak vereisen. Ontdek onze tarieven en start vandaag nog uw gratis proefversie.