eIDAS 2-sertifisering av signaturtilbydere 2026

Hvorfor eIDAS 2-sertifisering endrer forutsætningene for leverandører

Siden forordning (EU) 2024/1183 av 11. april 2024 — vanligvis kalt eIDAS 2 — trådte i kraft, har leverandører av tillitstenestetjenester (PSC) som opererer i EU møtt et dypere revidert regelverk. Revisjonen av det opprinnelige eIDAS-forordningen fra 2014 begrenser seg ikke til å utvide omfanget av anerkjente tjenester: den gjør betingelsene for akkreditering betydelig strengere, introduserer nye sikkerhetsnivåer og styrker tilsynskravene fra nasjonale tilsynsmyndigheter. For enhver aktør som ønsker å tilby kvalifisert elektronisk signatur (QES) eller avansert signatur (AdES) på det europeiske markedet, er det ikke lenger valgfritt å forstå hvordan få eIDAS 2-sertifisering for signaturtilbyder — det er en strategisk forpliktelse.

Denne artikkelen gir en omfattende oversikt over sertifiseringsprosessen: gjeldende tekster, tekniske standarder som må følges, rollen til samsvarsvurderingsorganer (CAB), realistiske tidsfrister og operasjonelle påvirkningspunkter.

---

Det nye eIDAS 2-reguleringsmiljøet: hva som har endret seg

Fra forordning 910/2014 til forordning 2024/1183: store endringer

Det opprinnelige eIDAS-forordningen (nr. 910/2014) la grunnlaget for et enkelt europeisk digitalt tillitsmarked. Den definerte tre signaturnivåer — enkel, avansert og kvalifisert — og påla kvalifiserte leverandører å være på de nasjonale tillitslistene (TSL, Trust Service Lists). eIDAS 2 bevarer denne arkitekturen, men utvider den på flere strukturelle punkter:

• Utvidelse av kvalifiserte tjenester: kvalifisert elektronisk arkivering, elektroniske attributtattestater (AEA), ekstern administrasjon av enheter for opprettelse av kvalifisert signatur (QSCD). Disse nye tjenestene er nå underlagt samme akkrediteringsprosedyre som kvalifisert signatur.
• Den europeiske digitale identitetslommeboken (EUDIW): leverandører som ønsker å samhandle med den fremtidige identitetslommeboken må vise sin samsvar med tekniske spesifikasjoner publisert av Kommisjonen (ARF — Architecture and Reference Framework, v1.4, 2024).
• Styrket tilsyn: nasjonale tilsynsmyndigheter (i Frankrike ANSSI) har utvidede etterforsking- og påleggsmakter. Kvalifiserte PSC-er kan gjennomgå uanmeldte revisjoner.
• Reduserte varslingsfrister: enhver betydelig sikkerhetshendelse må varsles til den kompetente myndigheten innen 24 timer (mot 72 timer i tidligere versjon for enkelte hendelser).

For en fullstendig oversikt over forordningen tilbyr eIDAS 2.0-guiden fra Certyneo en pedagogisk oppsummering av alle disse endringene.

Sikkerhetsnivåer og deres implikasjoner for sertifisering

Skillet mellom avansert og kvalifisert elektronisk signatur forblir systemets sentrale punkt. Kun QES nyter en juridisk presumsjon om integritet og ansvar tilsvarende håndskriftsignatur (art. 25 i eIDAS 2). Denne presumpsjonen er direkte betinget av leverandørens sertifisering.

| Nivå | Bevisvekt | Leverandørkrav | |---|---|---| | Enkel (SES) | Begrenset | Ingen | | Avansert (AdES) | Betydelig | Beste praksis + ETSI-standarder | | Kvalifisert (QES) | Maksimal (juridisk presumsjon) | eIDAS 2-sertifisering obligatorisk |

---

eIDAS 2-sertifiseringsprosessen trinn for trinn

Trinn 1 — Organisatoriske og tekniske forutsetninger

Før en leverandør formelt starter sertifiseringsprosessen, må den vurdere sin modenhetsnivå på tre områder:

1. Samsvar med ETSI-standarder Standardene i EN 319-serien utgjør det uunngåelige tekniske grunnlaget. De viktigste er:

• ETSI EN 319 401: generelle krav til leverandører av tillitstenestetjenester
• ETSI EN 319 411-1 og 411-2: retningslinjer og krav for sertifiseringsmyndigheter som utsteder sertifikater (PTC-QC-profiler for kvalifiserte sertifiseringer)
• ETSI EN 319 421: retningslinjer og krav for leverandører av tidsstempeltjenester
• ETSI EN 319 132: signaturformater XAdES (XML), og tilknyttet serie CAdES (CMS) og PAdES (PDF)

Samsvar med disse standardene er ikke valgfritt for kvalifiserte leverandører: det kreves eksplisitt av Kommisjonens gjennomføringsbeslutninger.

2. Sikkerhet for informasjonssystemer QSCD-enheter (enheter for opprettelse av kvalifisert signatur) må sertifiseres etter Common Criteria (CC) EAL4+ eller tilsvarende. For fjernlossede signatørløsninger — dominerende SaaS-modell — gjelder krav også for HSM-moduler (Hardware Security Module) og prosedyrer for administrasjon av kryptografisk nøkler (samsvar FIPS 140-2 nivå 3 minimum).

3. Sikkerhetspolitikk (PSSI) og risikovurdering Sertifiseringsdokumentasjonen krever en formalisert PSSI, tilpasset ISO/IEC 27001 (hvis sertifisering er sterkt anbefalt og noen ganger påkrevd av CAB-er) og integrering av NIS2-krav for enheter klassifisert som «viktige» eller «essensielle».

Trinn 2 — Valg og innlemmelse av samsvarsvurderingsorgan (CAB)

I Frankrike er CAB-er akkreditert av COFRAC (Comité Français d'Accréditation) for vurdering av leverandører av tillitstenestetjenester få til antall. For eksempel LSTI (Laboratoire de Sécurité des Technologies de l'Information) og Bureau Veritas Certification er blant refererte aktører. På europeisk nivå publiserer hver medlemsstat listen over sine varslet CAB-er.

CAB-ens rolle er å gjennomføre en samsvarskontroll i to faser:

1. Dokumentgjennomgang (fase 1): gjennomgang av retningslinjer, prosedyrer, Sertifiseringspraktiseringserklæring (DPC / CPS) og tekniske bevis.
2. Revisjoner på stedet (fase 2): verifisering av operasjonelle kontroller, penetrasjonstester, samtaler med team.

Den totale varigheten av en CAB-revisjon varierer vanligvis fra 4 til 8 uker avhengig av kandidatens tidligere modenhet.

Trinn 3 — Behandling av nasjonale tilsynsmyndigheter

I Frankrike er det ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) som behandler søknader om opptak på den nasjonale tillitslisten (TSL FR). Basert på CAB-revisjonrapporten gjennomfører ANSSI sin egen analyse og kan be om tilleggsinformasjon eller korrigerende tiltak.

Den reguleringsmessige behandlingsfristen er 3 måneder fra mottak av komplett dokumentasjon (art. 17 i eIDAS 2). I praksis er faktiske frister ofte lengre hvis den første dokumentasjonen er ufullstendig.

Når oppført på den nasjonale TSL-listen, er leverandøren automatisk oppført på EUTL (EU Trusted List), publisert av Kommisjonen, noe som gir den umiddelbar tverrgrenseanerkjennelse i alle 27 medlemsstater.

Trinn 4 — Vedlikehold av kvalifikasjon og fornyelse

eIDAS 2-sertifisering er ikke endelig. Kvalifiserte leverandører er underlagt:

• Årlig overvåkingsrevisjon gjennomført av CAB
• Full fornyingsrevisjon hver 24 måneder (forkortet syklus sammenlignet med tidligere praksis)
• Uanmeldte kontroller mulig på ANSSI-initiativ

Enhver vesentlig endring av infrastrukturen (HSM-bytte, PKI-evolusjon, ny kvalifisert tjeneste) utløser en forhåndsvarslingsprosedyre og kan pålegge partiell revisjon.

---

Kostnader, tidsfrister og risikofaktorer: hva DSI-er må planlegge for

Budsjett og menneskelige ressurser

Kostnaden for en første eIDAS 2-sertifisering er betydelig. Utgiftsposter inkluderer:

• CAB-revisjon: mellom 40 000 € og 120 000 € avhengig av omfangskompleksitet
• Teknisk samsvarkompleksitet (HSM, PKI, CC-sertifisert QSCD): fra 80 000 € til flere hundretusen euro for proprietær infrastruktur
• ISO 27001-sertifisering (anbefalt som forløper): 15 000 til 50 000 € avhengig av størrelse
• Juridisk konsulering og DPC-skriving: 10 000 til 30 000 €
• Interne kostnader: mobilisering av dedikert team (RSSI, DPO, samsvarsansvarlig) i 12 til 18 måneder

Ved å summere alle disse postene representerer en fullstendig sertifisering en samlet investering på omkring 200 000 til 500 000 € for en mellomstør leverandør, ekskludert vedlikehold av gjentakende kostnader.

Operasjonelle risikofaktorer

De hyppigste årsakene til feil eller forsinkelser i sertifiseringsprosedyrer er:

1. En utilstrekkelig detaljert DPC: Sertifiseringspraktiseringserklæringen må dokumentere hver kontroll med en presisjon som noen ganger er undervurdert.
2. Hull i administrasjon av nøkkellivssyklus: tilbakekalling, arkivering, destruksjon av private nøkler.
3. Utilstrekkelig hendelsesstyringsstruktur: ingen SIEM, mangel på testede krisehåndteringsprosedyrer, manglende runbooks.
4. Undervurdering av NIS2: siden oktober 2024 klassifiseres kvalifiserte PSC-er automatisk som «viktige» enheter under NIS2-direktivet, med ytterligere varslingsplikt og risikostyringsobligasjoner.

For virksomheter som ønsker å delegere disse begrensningene til en allerede sertifisert leverandør i stedet for å bygge sin egen infrastruktur, hjelper sammenligning av tilgjengelige elektroniske signaturløsninger på Certyneo til å objektivisere dette build-vs-buy-valget.

---

eIDAS 2 og elektronisk signatur i bedrift: overgangsproblemer

For virksomheter som brukere — i motsetning til leverandører — er eIDAS 2-sertifisering av deres SaaS-signaturleverandør nå et uunngåelig utvalgskriterium. Å inkorporere en klausul i anbudsforespørsler som krever oppføring på nasjonale TSL-lister er blitt standardpraksis i regulerte sektorer (finans, helse, eiendom).

Elektronisk signatur i bedrift krever faktisk at man klart skiller de brukstilfellene som krever QES — privatrettlige akter med høy innsats, fullmakter, elektroniske notarialakter — fra de hvor AdES er tilstrekkelig. Denne kartleggingen av brukstilfeller betinger direkte det servicenivået som kontraktuelt kan kreves av leverandøren.

Organisasjoner som migrerer fra en eksisterende løsning til en eIDAS 2-sertifisert leverandør må også forutse bærbarheteten av arkiver med bevis. Veiledningen om migrering fra DocuSign eller YouSign til Certyneo detaljerer beste praksis for å bevare bevisverdien av allerede signerte dokumenter under overgangen.

Rammeverk for sertifisering av eIDAS 2

Grunnlegende tekster

Sertifisering av leverandører av tillitstenestetjenester hviler på et tett regulatorisk lag som må mestres fullstendig:

Forordning (EU) 2024/1183 av 11. april 2024 (eIDAS 2): referanseteksten som opphever og erstatter tilsvarende bestemmelser i forordning 910/2014. Den definerer betingelsene for oppnåelse og vedlikehold av status som kvalifisert leverandør, nasjonale tilsynsobligasjoner og krav til nye tjenester (EUDIW, AEA).

Forordning (EU) nr. 910/2014 (eIDAS 1): fortsatt delvis gjeldende for bestemmelser som ikke er endret; vedtekter og delegerte akter vedtatt under denne forordningen forblir gyldige inntil deres formelle revisjon.

Fransk sivil kode, artikler 1366 og 1367: artikkel 1366 slår fast prinsippet om tilsvarende behandling av elektronisk signatur og håndskriftssignatur under forhold av pålitelighet; artikkel 1367 presiserer at pålitelighet er presumtiv inntil bevis for det motsatte når kvalifisert signatur brukes. Disse nasjonale bestemmelsene artikulerer seg direkte med presumsjonen i art. 25 eIDAS 2.

Direktiv (EU) 2022/2555 (NIS2): transponert til fransk rett ved lov av 15. oktober 2024, klassifiserer den automatisk leverandører av kvalifisert tillitstenestetjeneste blant viktige enheter. Obligasjoner: varsling til ANSSI innen 72 timer for enhver betydelig hendelse, implementering av formalisert cybersikkerhetsrisikostyring, periodisk sikkerheitsrevisjon.

Forordning (EU) 2016/679 (GDPR): signaturleverandører behandler sensitive personopplysninger (identitet til undertegnere, revisjonslogger). Etterlevelse av prinsippene om minimering, lagringsbegrensning og integritet krever en spesifikk virkningsanalyse (DPIA). Det rettslige grunnlaget for behandling må dokumenteres for hver tjeneste.

Tekniske standarder med regulatorisk verdi

Kommisjonens gjennomføringsbeslutninger (spesielt gjennomføringsbeslutning (EU) 2015/1506 og revisjoner av denne) utpeker ETSI-standarder som konsumpsjonsbeviser for samsvar:

• ETSI EN 319 401: generelle krav til TSP
• ETSI EN 319 411-1 og 411-2: sertifiseringsretningslinjer
• ETSI EN 319 421: kvalifisert tidsstemsing
• ETSI EN 319 132 / 122 / 102: AdES-formater (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: fjernbaserte signaturtjenester

Juridiske risikofaktorer ved manglende samsvar

Uredelig eller uaktsom bruk av status som kvalifisert leverandør utsetter for administrative sanksjoner fra ANSSI (suspensjon, fjerning fra tillitslisten) og straffeforfølgelse (art. 226-17 i straffeloven for mangel på sikkerhet for personopplysninger). På sivilrettslig side kan bevisverdien av signaturer utstedt under en periode av manglende samsvar bli omgjort, noe som pålegger leverandøren kontraktsmessig ansvar overfor sine kunder.

Bruksscenarier: eIDAS 2-sertifisering i praksis

Scenario 1 — En mellomstør SaaS-utgiver som sikter seg inn på QES-kvalifikasjon

Et selskap som spesialiserer seg på dokumentdokumentalisering, sysselsetter omkring 100 ansatte og administrerer flere millioner signaturtransaksjoner årlig for kunder i bank- og forsikringssektorene, bestemmer seg for å søke eIDAS 2-kvalifikasjon for sin elektroniske signaturtjeneste. Inntil da hadde selskapet tilbudt avansert signatur basert på sertifikater (AdES), tilstrekkelig for de fleste kundekontraktene, men ikke tilstrekkelig for dokumenter som krever maksimal bevisvekt (SEPA-fullmakter, notarialark-konvensjoner).

Etter en internintern revisjon på 3 måneder som avslører omkring femten store avvik fra ETSI EN 319 411-2-kravene, starter selskapet et samsvarprogrammet over 14 måneder. Hovedinitiativer angår erstatning av eksisterende HSM-moduler med FIPS 140-2 nivå 3-sertifiserte moduler, skriving av en 180-siders DPC, og oppnåelse av ISO 27001-sertifisering før CAB-revisjonen. Den totale investeringen når 340 000 €. Etter prosessen tillater oppføring på den franske TSL-listen selskapet å få tilgang til anbudsspørsmål som det systematisk ble utelukket fra før, noe som representerer et kommersielt potensial estimert til 20 % økt inntekt.

Scenario 2 — Et sykehusnettverk som integrerer kvalifisert signatur for medikolegale dokumenter

Et sykehusnettverk på omkring 1 200 senger ønsker å digitalisere prosessene sine for informert samtykke, delegering av medisinsk myndighet og kontrakter for klinisk forskning. Disse dokumentene faller inn under kategorien hvor QES er påkrevd eller sterkt anbefalt av HAS-referanser og regelverket for helseopplysninger (art. L. 1110-4 CSP).

I stedet for å sertifisere en intern infrastruktur — mulighet vurdert som for kostbar og utenfor kjernefunksjonen — velger nettverket integrasjon av en tredjeparts leverandør som allerede er oppført på TSL. IT-avdelingen gjennomfører en leverandørsamsvarskontroll basert på ETSI EN 319 401-sjekklisten og bekrefter faktisk oppføring på EUTL før noen kontraktsignering. Distribusjonen, gjennomført på 4 måneder, reduserer med 65 % tidsrommet for signaturinnsamling på klinforskningsmapper og fjerner risikoen for juridisk bestridet av tidligere bruk av enkle signaturer for følsomme dokumenter.

Scenario 3 — En corporate-advokatklinikk som sikrer sin avtale under privat hånd

En corporate-advokatklinikk på omkring trettien partnere, som årlig administrerer omkring 400 fusjons- og akkvisisjoner og salg av forretningsfond, søker å styrke signeringen av sine komplekse privatrettslige avtaledokumenter. Den individuelle transaksjonsverdien overstiger hyppig millionen euro, og enhver formalitetsmanko kan pålegge klinikken faglig ansvar.

Etter analyse, IT-teamet og managing partner er enige om det minimale kontraktuelle kravet om en QES utstedt av en eIDAS 2-sertifisert leverandør for alle dokumenter hvis verdi overstiger 100 000 €. Leverandørvalgskriteriet inkluderer obligatorisk verifisering av oppføring på nasjonalt TSL og tilgjengeligheten av en nylig ETSI-samsvarsbevis (mindre enn 12 måneder). Denne strukturen tillater klinikken å redusere med mer enn 80 % forespørslene om ekspertdomstolkontroll av signaturvalididet under påfølgende tvistemål, ifølge tilbakemeldinger observert på sammenlignbare strukturer i sektoren.

Konklusjon

Å oppnå eIDAS 2-sertifisering som leverandør av elektronisk signaturtjenester er en krevende, kostbar og langvarig prosess — men uunngåelig for enhver aktør som ønsker å tilby maksimal juridisk garantier til sine kunder på det europeiske markedet. Mellom samsvar med ETSI-standarder, gjennomgang av CAB-revisjon, behandling av ANSSI og vedlikehold av kvalifikasjon over tid, mobiliserer prosessen betydelige ressurser over 12 til 24 måneder.

For virksomheter som brukere er nyhetene gode: det er ikke nødvendig å bygge denne infrastrukturen internt; valg av en SaaS-leverandør som allerede er eIDAS 2-sertifisert og oppført på nasjonalts tillitsliste gjør det mulig umiddelbart å dra nytte av den juridiske presumpsjonen knyttet til QES, uten å bære sertifiseringskostnadene.

Certyneo er en pålitelig leverandør som er sertifisert, utformet for B2B-virksomheter som krever juridisk streng og enkel bruk. Oppdag våre priser og start din gratis prøveperiode i dag.