eIDAS 2 certificering dienstverlener handtekening 2026

Waarom eIDAS 2-certificering het spel verandert voor dienstverleners

Sinds de inwerkingtreding van verordening (EU) 2024/1183 van 11 april 2024 — algemeen bekend als eIDAS 2 — worden dienstverleners van vertrouwensdiensten (DVT) die in de Europese Unie actief zijn, geconfronteerd met een diepgaand hervormd regelgevingskader. De herziening van de oorspronkelijke eIDAS-verordening uit 2014 beperkt zich niet tot het uitbreiden van het bereik van erkende diensten: zij verscherpt aanzienlijk de accreditatievoorwaarden, voert nieuwe garantieniveaus in en versterkt de toezichtsvereisten van nationale controlerende instanties. Voor elke partij die gekwalificeerde elektronische handtekeningsdiensten (QES) of geavanceerde (AdES) op de Europese markt wil aanbieden, is hoe een eIDAS 2-certificering voor dienstverleners van handtekeningen te verkrijgen niet langer optioneel — het is een strategische verplichting.

Dit artikel geeft een uitgebreid overzicht van het certificeringstraject: toepasselijke wetteksten, technische normen, de rol van organen voor conformiteitsbeoordeling (CAB), realistische termijnen en operationele aandachtspunten.

---

Het nieuwe regelgevingslandschap van eIDAS 2: wat is veranderd

Van verordening 910/2014 naar verordening 2024/1183: de belangrijkste wijzigingen

De oorspronkelijke eIDAS-verordening (nr. 910/2014) had de fundamenten gelegd voor een unieke digitale vertrouwensmarkt in Europa. Zij definieerde drie niveaus van handtekening — eenvoudig, geavanceerd en gekwalificeerd — en verplichtte gekwalificeerde dienstverleners om op de nationale vertrouwenslijsten (TSL, Trust Service Lists) te worden opgenomen. eIDAS 2 behoudt deze structuur maar verrijkt deze op verschillende structurele punten:

• Uitbreiding van gekwalificeerde diensten: gekwalificeerd elektronisch archivering, elektronische bewijsstukken van attributen (AEA), beheer op afstand van kwalificeerde diensten voor het creëren van handtekeninggegevens (QSCD). Deze nieuwe diensten zijn nu onderworpen aan dezelfde accreditatieprocedure als gekwalificeerde handtekeningen.
• De Europese portefeuille voor digitale identiteit (EUDIW): dienstverleners die willen samenwerken met de toekomstige identiteitsportefeuille moeten aantonen dat zij voldoen aan technische specificaties die door de Commissie zijn gepubliceerd (ARF — Architecture and Reference Framework, v1.4, 2024).
• Versterking van toezicht: nationale toezichtsinstanties (in Frankrijk de ANSSI) hebben uitgebreide onderzoeks- en ontwerpbevoegdheden. Gekwalificeerde DVT's kunnen onderhevig zijn aan onaangekondigd toezicht.
• Verkorte meldingstermijnen: elk significante beveiligingsincident moet binnen 24 uur aan de bevoegde autoriteit worden gemeld (in plaats van 72 uur in de vorige versie voor bepaalde incidenten).

Voor een algemeen overzicht van de verordening biedt de eIDAS 2.0-gids van Certyneo een pedagogische samenvatting van al deze wijzigingen.

De garantieniveaus en hun gevolgen voor de certificering

Het onderscheid tussen geavanceerde en gekwalificeerde elektronische handtekeningen blijft het draaipunt van het systeem. Alleen QES geniet een wettelijk vermoeden van integriteit en toerekenbaarheid gelijk aan handgeschreven handtekeningen (art. 25 van verordening eIDAS 2). Dit vermoeden is rechtstreeks afhankelijk van de certificering van de dienstverlener.

| Niveau | Bewijswaarde | Vereiste voor dienstverlener | |---|---|---| | Eenvoudig (SES) | Beperkt | Geen | | Geavanceerd (AdES) | Significant | Goede praktijken + ETSI-normen | | Gekwalificeerd (QES) | Maximaal (wettelijk vermoeden) | Verplichte eIDAS 2-certificering |

---

Het eIDAS 2-certificeringsproces stap voor stap

Stap 1 — Organisatorische en technische vereisten

Voordat een dienstverlener het certificeringsproces formeel aanvangt, moet het zijn rijpingsniveau op drie terreinen beoordelen:

1. Naleving van ETSI-normen De normen uit de reeks EN 319 vormen de essentiële technische basis. De voornaamste zijn:

• ETSI EN 319 401: algemene vereisten voor dienstverleners van vertrouwensdiensten
• ETSI EN 319 411-1 en 411-2: beleidsvormen en vereisten voor certificeringsinstanties die certificaten afgeven (PTC-QC-profielen voor gekwalificeerde certificering)
• ETSI EN 319 421: beleid en vereisten voor dienstverleners van tijdstempelservices
• ETSI EN 319 132: handtekeningformaten XAdES (XML), en bijbehorende reeks CAdES (CMS) en PAdES (PDF)

Naleving van deze normen is voor gekwalificeerde dienstverleners niet vrijblijvend: dit wordt expliciet vereist door de uitvoeringsbesluiten van de Europese Commissie.

2. Beveiliging van informatiesystemen QSCD's (kwalificeerde diensten voor het creëren van handtekeninggegevens) moeten worden gecertificeerd volgens Common Criteria (CC) EAL4+ of gelijkwaardig. Voor oplossingen voor elektronische handtekeningen op afstand — het dominante SaaS-model — gelden vereisten ook voor HSM-modules (Hardware Security Module) en procedures voor het beheer van cryptografische sleutels (minimaal FIPS 140-2 niveau 3).

3. Beveiligingsbeleid (PSSI) en risicobeheer Het certificeringsdossier vereist een formeel PSSI, afgestemd op ISO/IEC 27001 (waarvan certificering sterk aanbevolen en soms verplicht is door CAB's) en opgenomen vereisten van NIS2 voor entiteiten die als "belangrijk" of "essentieel" zijn aangemerkt.

Stap 2 — Keuze en inschakeling van een orgaan voor conformiteitsbeoordeling (CAB)

In Frankrijk zijn de CAB's die door COFRAC (Comité Français d'Accréditation) zijn geaccrediteerd voor beoordeling van dienstverleners van vertrouwensdiensten beperkt in aantal. Als voorbeeld zijn LSTI (Laboratoire de Sécurité des Technologies de l'Information) en Bureau Veritas Certification onder de vermelde actoren. Op Europees niveau publiceert elke lidstaat een lijst van zijn aangemelde CAB's.

De rol van de CAB is het uitvoeren van een conformiteitsaudit in twee fasen:

1. Documentenonderzoek (Fase 1): onderzoek van beleidsvormen, procedures, Verklaring van Certificeringspraktijken (DPC/CPS) en technische bewijsstukken.
2. Auditbezoek ter plaatse (Fase 2): verificatie van operationele controles, penetratietests, gesprekken met teams.

De totale duur van een CAB-audit varieert meestal van 4 tot 8 weken afhankelijk van de eerdere rijpheid van de kandidaat.

Stap 3 — Behandeling door de nationale toezichtsinstantie

In Frankrijk is dit de ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) die verzoeken om inschrijving op de nationale vertrouwenslijst (TSL FR) behandelt. Op basis van het CAB-auditrapport voert de ANSSI een eigen analyse uit en kan aanvullende informatie of corrigerende maatregelen aanvragen.

De wettelijke behandelingstermijn is 3 maanden vanaf ontvangst van een volledig dossier (art. 17 van verordening eIDAS 2). In de praktijk zijn de werkelijke termijnen vaak langer als het initiële dossier onvolledig is.

Eenmaal ingeschreven op de nationale TSL wordt de dienstverlener automatisch geregistreerd in de EUTL (EU Trusted List), gepubliceerd door de Europese Commissie, wat hem onmiddellijke erkenning in alle 27 lidstaten geeft.

Stap 4 — Behoud van de kwalificatie en verlenging

eIDAS 2-certificering is niet definitief. Gekwalificeerde dienstverleners zijn onderworpen aan:

• Een jaarlijkse auditaudit uitgevoerd door de CAB
• Een volledige verlengingsaudit om de 24 maanden (verkort cyclus in vergelijking met eerdere praktijk)
• Onaangekondigde controles mogelijk op initiatief van de ANSSI

Elke substantiële wijziging van de infrastructuur (HSM-verandering, PKI-evolutie, nieuwe gekwalificeerde dienst) triggert een voorafgaande meldingsprocedure en kan een gedeeltelijke audit opleggen.

---

Kosten, termijnen en risicofactoren: wat DSI-medewerkers moeten anticiperen

Budget en personeelsmiddelen

De kosten van een eerste eIDAS 2-certificering zijn aanzienlijk. De uitgavencategorieën omvatten:

• CAB-audit: tussen 40 000 € en 120 000 € afhankelijk van complexiteit van het bereik
• Technische compliance (HSM, PKI, CC-gecertificeerde QSCD): van 80 000 € tot enkele honderdduizenden euros voor een eigen infrastructuur
• ISO 27001-certificering (aanbevolen als voorbereiding): 15 000 tot 50 000 € afhankelijk van grootte
• Juridisch advies- en DPC-redactiekosten: 10 000 tot 30 000 €
• Interne kosten: inzet van een toegewezen team (RSSI, DPO, compliance-verantwoordelijke) gedurende 12 tot 18 maanden

Bij bundeling van al deze posten vertegenwoordigt een volledige certificering een totale investering van ongeveer 200 000 tot 500 000 € voor een dienstverlener van middelmatige grootte, exclusief terugkerende onderhoudskosten.

Operationele risicofactoren

De meest voorkomende oorzaken van falen of vertraging in certificeringsprocedures zijn:

1. Een onvoldoende gedetailleerde DPC: de Verklaring van Certificeringspraktijken moet elke controle documenteren met een granulariteit die soms wordt onderschat.
2. Hiaten in het beheer van de levenscyclus van sleutels: intrekking, archivering, vernietiging van persoonlijke sleutels.
3. Onvoldoende incidentbeheersing: geen SIEM, geen geteste crisismanagementprocedures, geen runbooks.
4. Onderschatting van NIS2: sinds oktober 2024 worden gekwalificeerde DVT's automatisch geclassificeerd als "belangrijke" entiteiten onder NIS2-richtlijn, met aanvullende rapportage- en risicobeheeroverplichingen.

Voor bedrijven die deze beperkingen liever delegeren aan een reeds gecertificeerde dienstverlener in plaats van hun eigen infrastructuur te bouwen, helpt de vergelijking van elektronische handtekeningsoplossingen beschikbaar op Certyneo om deze build-vs-buy-keuze objectief in te schatten.

---

eIDAS 2 en elektronische handtekening in bedrijven: overgangskwesties

Voor gebruikersbedrijven — in tegenstelling tot dienstverleners — is eIDAS 2-certificering van hun SaaS-handtekeningsleverancier nu een onmiskenbaar selectiecriterium. Clausules opnemen in openbare aanbestedingen die aanwezigheid op de nationale TSL vereisen, is een gangbare praktijk geworden in gereglementeerde sectoren (financiën, gezondheid, onroerend goed).

Elektronische handtekening in bedrijven vereist inderdaad duidelijk onderscheid tussen gebruiksscenario's die QES vereisen — persoonlijke akten met hoog risico, volmachten, elektronische notariële akten — en die waarbij AdES volstaat. Deze toewijzing van gebruiksscenario's bepaalt rechtstreeks het contractueel vereiste serviceniveau van de dienstverlener.

Organisaties die migreren van een bestaande oplossing naar een gecertificeerde eIDAS 2-dienstverlener moeten ook de draagbaarheid van bewijsarchieven anticiperen. De gids over migratie van DocuSign of YouSign naar Certyneo geeft details over aanbevolen praktijken voor behoud van de bewijswaarde van reeds ondertekende documenten tijdens de overstap.

Juridisch kader van toepassing op eIDAS 2-certificering

Grondstelvende wetteksten

De certificering van dienstverleners van vertrouwensdiensten rust op een dicht regelgevingspakket dat in zijn totaliteit moet worden beheerst:

Verordening (EU) 2024/1183 van 11 april 2024 (eIDAS 2): referentiewettekst die de overeenkomstige bepalingen van verordening 910/2014 opheft en vervangt. Het definieert de voorwaarden voor verkrijging en behoud van de status van gekwalificeerde dienstverlener, nationale toezichtsverplichting, en vereisten voor nieuwe diensten (EUDIW, AEA).

Verordening (EU) nr. 910/2014 (eIDAS 1): nog steeds gedeeltelijk van toepassing voor niet-gewijzigde bepalingen; de uitvoerings- en gedelegeerde besluiten aangenomen onder deze verordening blijven van kracht tot hun formele herziening.

Frans Burgerlijk Wetboek, artikelen 1366 en 1367: artikel 1366 stelt het principe van gelijkwaardigheid van elektronische handtekeningen aan handgeschreven handtekeningen onder voorwaarde van betrouwbaarheid; artikel 1367 preciseert dat betrouwbaarheid verondersteld wordt tot het bewijs van het tegendeel wanneer de gekwalificeerde handtekening wordt gebruikt. Deze nationale bepalingen stemmen rechtstreeks af met het wettelijk vermoeden van art. 25 eIDAS 2.

Richtlijn (EU) 2022/2555 (NIS2): omgezet in Frans recht door wet van 15 oktober 2024, rangschikt zij dienstverleners van gekwalificeerde vertrouwensdiensten automatisch onder belangrijke entiteiten. Verplichting: melding aan ANSSI binnen 72 uur voor elk significant incident, implementatie van formeel cyberveiligheidsrisicobeheer, periodieke beveiligingsaudit.

Verordening (EU) 2016/679 (GDPR): dienstverleners van handtekeningsdiensten verwerken gevoelige persoonsgegevens (identiteit ondertekenaar, auditlogboeken). Naleving van principes van minimalisering, beperking van retentie en integriteit vereist specifieke impactanalyse (DPIA). De rechtsbasis voor de verwerking moet voor elke dienst gedocumenteerd worden.

Technische normen met regelgevingswaarde

Uitvoeringsbesluiten van de Europese Commissie (vooral uitvoeringsbesluit (EU) 2015/1506 en revisies) stellen ETSI-normen aan als vermoed in overeenstemming:

• ETSI EN 319 401: algemene DVT-vereisten
• ETSI EN 319 411-1 en 411-2: certificeringsbeleid
• ETSI EN 319 421: gekwalificeerde tijdstempeling
• ETSI EN 319 132 / 122 / 102: AdES-formaten (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: diensten voor elektronische handtekening op afstand

Juridische risico's bij niet-naleving

Frauduleus of nalatig gebruik van de status van gekwalificeerde dienstverlener stelt bloot aan administratieve sancties door de ANSSI (opschorting, verwijdering van vertrouwenslijst) en strafrechtelijke vervolgingen (art. 226-17 Strafwetboek voor onvoldoende gegevensveiligheid). Op civiel vlak kan betwisting van de bewijswaarde van handtekeningen uitgegeven gedurende een periode van niet-naleving de contractuele aansprakelijkheid van de dienstverlener tegenover klanten activeren.

Gebruiksscenario's: eIDAS 2-certificering in de praktijk

Scenario 1 — Een SaaS-editor van middelmatige grootte streeft QES-kwalificatie na

Een bedrijf gespecialiseerd in documentdematerialisering, met ongeveer honderd medewerkers en miljoen transacties van handtekeningsverlening per jaar voor rekening van klanten in de bankwezen- en verzekeringsectoren, besluit eIDAS 2-kwalificering voor zijn elektronische handtekeningsservice aan te vragen. Tot dusver bood het bedrijf geavanceerde handtekeningen op basis van certificaten (AdES), voldoende voor de meeste klantcontracten, maar onvoldoende voor akten waarvoor maximale bewijswaarde vereist is (SEPA-mandaten, notarieel bewezen overeenkomsten).

Na een drieledige interne audit die ongeveer vijftien grote afwijkingen van ETSI EN 319 411-2-vereisten blootlegt, initieert het bedrijf een veertien maanden durend conformiteitsprogramma. De voornaamste werkstromen betreffen vervanging van bestaande HSM's door FIPS 140-2 niveau 3-gecertificeerde modules, redactie van een 180 pagina's tellende DPC, en verkrijging van ISO 27001-certificering voorafgaand aan de CAB-audit. De totale investering bereikt 340 000 €. Na afronding van het proces maakt inschrijving op de Franse TSL het bedrijf systematisch voor aanbestedingen geschikt waarvan het eerder was uitgesloten, wat een commercieel potentieel vertegenwoordigt van ongeveer 20% extra inkomsten.

Scenario 2 — Een ziekenhuisgroep integreert gekwalificeerde handtekeningen voor medisch-juridische akten

Een ziekenhuisgroep van ongeveer 1 200 bedden wil zijn processen voor geïnformeerde toestemming, delegatie van medische bevoegdheden en contracten voor klinisch onderzoek dematerialiseren. Deze documenten vallen onder de categorie van akten waarvoor QES vereist of sterk aanbevolen is volgens HAS-referentiële gegevens en het wettelijk kader van gezondheidsgegevens (art. L. 1110-4 CSP).

In plaats van certificering van een interne infrastructuur — optie geacht te kostbaar en buiten kernactiviteiten te vallen — kiest de groep integratie van een derde dienstverlener die reeds ingeschreven is op de TSL. De DSI voert een leveranciers-conformiteitsaudit uit op basis van de ETSI EN 319 401-controlelijst en verifieert werkelijke aanwezigheid op EUTL voorafgaand aan contractualisering. De implementatie, voltooid in 4 maanden, reduceert met 65% de termijn voor handtekeningenverzameling op dossiers voor klinisch onderzoek en elimineert het risico van juridische betwisting van eerdere gebruik van eenvoudige handtekeningen voor gevoelige akten.

Scenario 3 — Een zakelijk advocatenkantoor beveiligt zijn persoonlijke akten

Een zakelijk advocatenkantoor van ongeveer dertig partners, jaarlijks bijna 400 fusie- en overnamedossiers en verkopen van zaakfondsen behandelend, streeft naar verbetering van de betrouwbaarheid van het ondertekenen van zijn complexe persoonlijke akten. De eenheidswaarde van behandelde transacties overschrijdt regelmatig een miljoen euro, en elke vormgebreken kunnen de beroepsaansprakelijkheid van het kantoor activeren.

Na analyse komen IT-team en beherende partner overeen dat de minimale contractuele vereiste een QES is uitgegeven door een gecertificeerde eIDAS 2-dienstverlener voor elke akte waarvan de waarde 100 000 € overschrijdt. Het selectiecriterium voor de dienstverlener omvat verplicht verificatie van inschrijving op de nationale TSL en beschikbaarheid van een recente conformiteitscertificaat volgens ETSI (minder dan 12 maanden oud). Dit kader stelt het kantoor in staat meer dan 80% van deskundigenverzoeken over ondertekeningsgeldigheid bij latere geschillen te reduceren, volgens feedback uit vergelijkbare structuren in de sector.

Conclusie

Een eIDAS 2-certificering als dienstverlener van elektronische handtekeningsdiensten verkrijgen is een eisend, kostbaar en langdurig proces — maar onvermijdelijk voor elke partij die maximale juridische garanties aan klanten op de Europese markt wil bieden. Van compliance met ETSI-normen, passage van CAB-audit, behandeling door ANSSI, tot behoud van de kwalificatie gedurende de tijd, mobiliseert het initiatief substantiële middelen gedurende 12 tot 24 maanden.

Voor gebruikersbedrijven is het goede nieuws dat het niet nodig is deze infrastructuur intern op te bouwen: keuze van een SaaS-dienstverlener die reeds eIDAS 2-gecertificeerd is en ingeschreven op de nationale vertrouwenslijst stelt onmiddellijke baat van het wettelijk vermoeden gekoppeld aan QES in staat, zonder draaglasten van certificeringkosten.

Certyneo is een gecertificeerde vertrouwensdienstverlener, ontworpen voor B2B-bedrijven die rigoureuze juridische normen en gebruiksgemak vereisen. Ontdek onze prijzen en begin vandaag nog met uw gratis proef.