eIDAS-samsvar for små og mellomstore bedrifter: den komplette sjekklisten for 2026

Den europeiske eIDAS-forordningen (EU nr. 910/2014, snart endret av eIDAS 2.0) regulerer elektroniske signaturer i hele EU. For en SMB er overholdelse ikke bare en boks å sjekke: det er garantien for at kontraktene er håndhevbare, at signaturdataene er beskyttet, og at de beskytter seg mot juridiske risikoer som kan være kostbare. Her er sjekklisten for 2026 med 12 konkrete punkter for å sjekke at SMB-en din er fullstendig eIDAS-kompatibel.

Punkt 1: velg riktig signaturnivå

Første refleks: kartlegg kontrakttypene dine og tilknytt et målnivå. Standard kommersielle kontrakter (tilbud, innkjøpsordrer, enkle NDAer): SES er nok. Arbeidskontrakter, leieavtaler, sensitive NDAer, strategiske avtaler: AES minimum, gjerne med OTP SMS. Regulerte handlinger (advokat, notarius publicus, offentlige kontrakter over en terskel): Obligatorisk QES. Uten denne kartleggingen risikerer du underdimensjonering (avslått kontrakt) eller overdimensjonering (overdreven kostnad).

Punkt 2: sjekk kvalifikasjonen til tjenesteleverandøren

Tjenesteleverandøren din må være en pålitelig tjenesteleverandør (QTSP) eller stole på en QTSP for AES/QES-nivåer. Se Trust Services List utgitt av ANSSI (eidas.ssi.gouv.fr) og European Trusted List (webgate.ec.europa.eu/tl-browser). De franske referanse-QTSP-ene: Certigna, Docaposte, Certinomis, Universign. For SES/AES via plattform (Certyneo, Yousign, etc.), sjekk deres eksplisitt dokumenterte eIDAS-samsvar.

Punkt 3: Test revisjonssporet

Signer en testkonvolutt og saml revisjonssporet (vanligvis en egen PDF). Den må inneholde: identitet og e-post til underskriveren, tidsstempel for hvert trinn (sending, åpning, validering, signatur), IP-adresse, brukeragent, hash for dokumentet, OTP-validering hvis AES. Hvis ett av disse elementene mangler, svekkes bevisverdien. Certyneo gir hele revisjonssporet selv på en gratis plan.

Punkt 4: kontroller tidsstemplet

Tidsstemplet må være utstedt av en Time Stamp Authority (TSA) som er i samsvar med RFC 3161. Et tidsstempel fra en bedrifts NTP-server er ikke nok. Åpne den signerte PDF-filen i Adobe Reader: kategorien Signaturer → Detaljer → Tidsstempel. Du bør se et gyldig TSA-sertifikat og en sertifisert klokke der. Hvis PDF-filen ikke har et sertifisert tidsstempel, gå tilbake til valg av tjenesteleverandør.

Punkt 5: arkiv i minst 10 år

Handelsloven (artikkel L. 123-22) krever 10 års lagring av kommersielle dokumenter. Arbeidsloven pålegger 5 år for arbeidsavtaler etter oppsigelse. Arkivering må bevare integritet (hash, forsegling) og tilgang. Ideell: PDF/A-format (ISO 19005), dobbel lagring (primær + off-site backup), kvalifisert elektronisk safe (CFE) for maksimal bevis. Certyneo arkiverer 10 år som standard og tilbyr eksport til CFE-partnere.

Punkt 6: sjekk datalokalisering

Hvor ligger signaturdataene dine? For en fransk SMB som arbeider med sensitive kontrakter, velg fransk eller EU-vert. Spør tjenesteleverandøren om listen over underleverandører og deres plassering (artikkel 28 GDPR). Unngå løsninger som er underlagt US Cloud Act for strategiske kontrakter. Certyneo er vert i Frankrike, uten Cloud Act-avhengighet. Se vår artikkel om /blog/cloud-act-signature-electronique.

Punkt 7: artikulere med GDPR

Signatur og GDPR er nært knyttet: hver konvolutt inneholder personopplysninger (navn, e-post, IP, telefon). Sørg for at ditt behandlingsregister (art. 30 GDPR) inkluderer den elektroniske signaturen, at oppbevaringsperiodene er konsistente (10 år), og at rettighetene til enkeltpersoner kan implementeres (tilgang, retting, portabilitet). Hvis du ber om mange signaturer, anbefales en DPO. Se vår artikkel /blog/signature-electronique-rgpd.

Punkt 8: identifiser underskrivere oppstrøms

For en solid AES starter ikke identifikasjon med signering: den starter med datainnsamling. Sjekk e-poster (ingen aliaser, ingen e-postliste), telefonnumre (ingen delt linje), og hold styr på kilden til identifisering (ID for tunge kontrakter, eksisterende kunde-KYC for løpende kontrakter). Denne due diligence gjør bevisene solide i tilfelle en tvist.

Punkt 9: tren lagene

Salgs-, HR- og juridiske team må forstå reglene: aldri tvinge en underskriver til å bruke en tredjepartsenhet, aldri returnere en modifisert signert PDF, aldri lim inn et skannet signaturbilde i stedet for en ekte signatur. En times trening per lag er nok til å innpode gode reflekser. Certyneo gir en komplett guide for å dele internt (/ressurser).

Punkt 10: sjekk tjenesteleverandørenes kontrakter

CGU/CGV til signaturtjenesteleverandøren må: initiere eIDAS-samsvar, spesifisere arkiveringsperioder, inkludere en GDPR-underleverandøravtale (art. 28), dokumentere underleverandørersplanen i tilfelle reversibilitet. Be også om SOC 2 Type II eller tilsvarende dersom du behandler store volumer. For Certyneo er disse dokumentene tilgjengelige på /legal og /security.

Punkt 11: klargjør eIDAS 2.0 og EUDI-lommeboken

eIDAS 2.0-forordningen (EU 2024/1183) trer i kraft gradvis og krever at medlemslandene distribuerer en EUDI-lommebok før utgangen av 2026. Denne QES-registreringen vil ikke gi fysisk tilgang til en ekstern registrering uten fysiske kontorer. Forbered SMB-en din: sjekk at tjenesteleverandøren din har et EUDI Wallet-veikart, følg kommunikasjonen fra ANSSI og EU-kommisjonen. Se /blogg/eidas-2-nouveau-reglement-2026.

Punkt 12: revisjon årlig

Samsvar er ikke en ervervet status: det er en pågående prosess. Planlegg en årlig revisjon (intern eller ekstern) for å sjekke: regulatoriske endringer, utvikling av tjenesteleverandører, oppdatert kartlegging av kontraktstyper, effektiv oppbevaring, opplæring av nye rekrutter. En lett revisjon tar en halv dag for en SMB og unngår mange overraskelser. Start med å opprette en gratis Certyneo-konto på certyneo.com/signup for å teste overholdelse av den virkelige verden, og sjekk deretter eIDAS-guiden vår for å grave dypere (/guide/eidas).