Kvalifiserte eIDAS-leverandører: den offisielle listen 2026

Hvorfor er eIDAS «kvalifisert»-status avgjørende for bedriften din?

Siden ikrafttredelsen av eIDAS-forordningen (nr. 910/2014) har det europeiske markedet for elektroniske signaturer blitt grundig omstrukturert rundt et tre-nivå hierarki: enkel elektronisk signatur (SES), avansert elektronisk signatur (AES) og kvalifisert elektronisk signatur (QES). Sistnevnte er den eneste som nyter godt av en presumpsjon om juridisk likevekt med håndskreven signatur i alle EU-medlemsstater.

For at en bedrift skal kunne tilby kvalifiserte signaturer, må den på det sterkeste ha blitt revidert og registrert på tillitslisten (Trust List) i sitt medlemsland. I Frankrike er det Agence nationale de la sécurité des systèmes d'information (ANSSI) som forvalter dette offisielle registeret, republisert igjen på den sentraliserte europeiske listen administrert av EU-kommisjonen.

Å forstå denne arkitekturen er grunnleggende før du signerer noen følsomme kommersielle kontrakter. For å gå dypere inn i de regulatoriske grunnlagene, vår komplette veiledning om eIDAS 2.0-forordningen detaljerer alle forpliktelsene og endringene som ble introdusert av den reviderte eIDAS 2.0-forordningen (EU-forordning 2024/1183).

---

Hvordan sertifiseres leverandører av kvalifiserte tillitssamfunnstjenester?

Veien til Kvalifisert leverandør av tillitssamfunnstjenester (PSCQ)-status er krevende. Det innebærer en revisjon som utføres av et akkreditert konformitetsvurderingsorgan (CAB, Conformity Assessment Body), i samsvar med normene ETSI EN 319 401 (generelle krav) og ETSI EN 319 411-2 for kvalifiserte sertifikater.

ANSSI-kvalifiseringstrinnene

1. Innsending av kvalifiseringsdokumentar: leverandøren sender inn sine tekniske, sikkerhetsmessige og organisatoriske dokumenter til ANSSI.
2. Revisjon av et akkreditert CAB: et tredjepartskorgan — som Bureau Veritas, LSTI eller Apave Certification — bekrefter samsvar på stedet og på papir.
3. Kvalifiseringsbeslutning: ANSSI uttaler kvalifiseringen og registrerer leverandøren på den franske tillitslisten (TL-FR).
4. Periodisk fornyelse: kvalifiseringen vurderes på nytt, vanligvis hvert annet år, for å garantere vedlikehold av kravene.

Hva undersøker revisor konkret?

Revisor undersøker særlig:

• Den fysiske sikkerheten for datasentre som hoster kryptografiske nøkler (sertifiserte HSM-moduler CC EAL 4+ eller FIPS 140-2 Level 3 minimum);
• Sertifiseringspolicyer (CP) og erklæringer om sertifiseringspraksis (CPS) publisert av leverandøren;
• Prosedyrer for identitetsverifisering av undertegnere (ansikt-til-ansikt eller fjernidentitetsverifisering i samsvar med norm EN 419 241-1);
• Revokasjonsstyring og tilgjengelighet av OCSP/CRL-tjenester.

Disse kriteriene forklarer hvorfor bare en håndfull aktører oppnår og opprettholder dette sertifiseringsnivået i Frankrike.

---

De kvalifiserte eIDAS-leverandørene som er referert i Frankrike i 2026

Den offisielle listen over kvalifiserte leverandører kan konsulteres når som helst på EU-kommisjonens offisielle portal (eidas.ec.europa.eu/efts), med filtrering på « Frankrike » og tjenesten « QCertESig » (Kvalifisert sertifikat for elektronisk signatur). Her er aktørene som var oppført i registeret da denne artikkelen ble skrevet (juni 2026):

Franske aktører registrert på Trust List

| Leverandør | Type kvalifisert tjeneste | Særegenhet | |---|---|---| | Certigna (Dhimyotis) | Kvalifiserte sertifikater, kvalifisert tidsstempel | La Poste-gruppe, sertifisert eIDAS siden 2016 | | Certinomis | Kvalifiserte sertifikater | La Poste-datterselskap, rettet mot offentlig sektor | | ChamberSign France | Kvalifiserte sertifikater | Nettverk av CCI, sterk forankring SMB/VSB | | Keynectis / DocuSign France | Kvalifiserte sertifikater | Ervervet av DocuSign, opprettholdelse av ANSSI-merke | | Universign (Tessi) | Kvalifiserte sertifikater, tidsstempel | Pionér på markedet, integrert i Tessi-gruppe | | Entrust (tidligere Datacard) | Kvalifiserte sertifikater | Internasjonal aktør, Trust List multi-medlemslander | | Oodrive Sign | Kvalifiserte sertifikater | Fransk suverenitetsredaktør, sertifisert SecNumCloud |

> Advarsel: denne listen er gitt kun som veiledning og informasjon. Kun den offisielle Trust List fra EU-kommisjonen er bindende. Verifiser alltid gjeldende status på ETSI-portalen før enhver kontraktlig forpliktelse.

Utenlandske leverandører som er anerkjent i Frankrike via den europeiske Trust List

I samsvar med prinsippet om gjensidig anerkjennelse fastsatt i artikkel 25 i eIDAS-forordningen, produserer en kvalifisert signatur utstedt av en PSCQ registrert på tillitslisten i et annet medlemsland de samme juridiske virkningene i Frankrike. Blant de ikke-franske aktørene som brukes hyppig:

• Namirial (Italia): sterk innen fjern kvalifisert signatur (QES fjernundertegning);
• SwissSign (Sveits): OBS, Sveits er ikke medlem av EU; anerkjennelsen er delvis;
• Qualified.one / Asseco Data Systems (Polen): europeisk offentlig aktør, hyppig på tverrgranselige markeder.

For å sammenligne disse løsningene i henhold til dine forretningsbehov, se vår sammenligning av elektroniske signeringsløsninger som analyserer pris-, samsvarskriterier og API-integrasjon.

---

Hvordan velger du riktig kvalifisert eIDAS-leverandør for organisasjonen din?

Å være oppført på Trust List er en nødvendig, men ikke tilstrekkelig betingelse. Valget av en PSCQ må baseres på flere supplerende kriterier.

Tekniske og integrasjonskriterier

• REST API eller SDK tilgjengelig: uunnværlig for automatisering av signatur i dine forretningsarbeidsflyter (ERP, SIRH, CRM);
• Signaturformater som støttes: PAdES for PDF, XAdES for XML, CAdES for binære filer — alle normalisert av ETSI EN 319 100;
• Tjenestetilgjengelighet: SLA større enn 99,9% garantert kontraktsmessig, med planlagte vedlikeholds-vindu utenfor arbeidstider;
• Datahostingssted: foretrekk hosting i Frankrike eller EU, ideelt sertifisert SecNumCloud for følsomme data.

Juridiske og samsvarskriterier

• Verifiser at leverandøren gir en oppdatert kvalifiseringsrapport (mindre enn 24 måneder);
• Krev en publisert sertifiseringspolicy (CP) som er offentlig tilgjengelig og revidert;
• Sørg for at generelle betingelser eksplisitt sier at utstedelse av kvalifiserte sertifikater i henhold til vedlegg I til eIDAS-forordningen.

Operasjonelle og supportkriterier

• Innrullingsrprosedyre for undertegnere: ansikt-til-ansikt på kontor, videoverifisering i samsvar med eIDAS eller NFC fra et elektronisk identitetsbevis;
• Support på fransk med kontraktsfestede svartider;
• Opplæring og dokumentasjon tilgjengelig for dine juridiske og IT-team.

Hvis organisasjonen din håndterer store HR-dokumentflyt, detaljerer vår dedikerte side for elektronisk signatur for HR-team spesifikke brukstilfeller (arbeidskontrakter, tillegg, onboarding) og anbefalte signeringsnivåer etter dokumenttype.

---

eIDAS 2.0: hvilke endringer for kvalifiserte leverandører i 2026?

Den reviderte eIDAS 2.0-forordningen (EU-forordning 2024/1183, som ble gradvis iverksatt fra mai 2024) introduserer flere strukturelle endringer som direkte påvirker PSCQ-er og deres klienter.

Den europeiske digitale identitetslommeboken (EUDI Wallet)

Artikkel 6a i den reviderte forordningen pålegger medlemsstatene å tilby, innen september 2026, en digital identitetsportefølje (EUDI Wallet) som er anerkjent i hele EU. For kvalifiserte leverandører betyr dette:

• Forpliktelsen til å akseptere identitetsattributter fra lommeboken som bevis på identitet for innrulling av undertegnere;
• Fremveksten av en ny kvalifisert tjeneste: utstedelse av attestasjoner av kvalifiserte attributter (Qualified Electronic Attestation of Attributes, QEAA).

Nye kvalifiserte tjenester og utvidelse av omfanget

eIDAS 2.0 utvider listen over kvalifiserte tillitssamfunnstjenester til å inkludere:

• Kvalifiserte elektroniske arkiveringtjenester (QPDS, artikkel 45f);
• Tjenester for styring av fjernopprettingsenheter for signaturenheter (QRCD).

Disse utviklingene representerer både en overholdelseskomplikasjon (tette frister for eksisterende leverandører) og en mulighet for differensiering for nye aktører som kan integrere raskt de tekniske spesifikasjonene publisert av ENISA og ETSI.

For bedrifter som vurderer migrering fra en eksisterende plattform til en mer samsvarende løsning, presenterer vår migreringsveiledning fra DocuSign eller YouSign til Certyneo de konkrete trinnene og regulatoriske forsiktighetspoeng.

Rettslig rammeverk som gjelder for kvalifiserte eIDAS-leverandører

eIDAS-forordning og europeisk rett

Det juridiske grunnlaget er Forordning (EU) nr. 910/2014 fra Europaparlamentet og Rådet av 23. juli 2014 om elektronisk identifikasjon og tillitssamfunnstjenester for elektroniske transaksjoner på det indre marked (kalt « eIDAS-forordningen »), som endret ved Forordning (EU) 2024/1183 (eIDAS 2.0). Denne forordningen er direkte gjeldende i alle medlemsstater uten nasjonal gjennomføring.

Dens viktigste bestemmelser for kvalifiserte leverandører:

• Artikkel 17: forpliktelsen for hver medlemsstat til å utpeke en kontrollmyndighet (i Frankrike ANSSI);
• Artikkel 20: prosedyre for tilsyn, revisjon og registrering på tillitslisten;
• Artikkel 25: presumpsjon om likevekt mellom QES og håndskreven signatur, med juridisk virkning garantert i hele EU;
• Vedlegg I: krav til kvalifiserte sertifikater for elektronisk signatur;
• Vedlegg II: krav til enheter for opprettelse av kvalifisert signatur (QSCD).

Fransk rett

I innenlands rett reguleres elektronisk signatur av:

• Sivil kode, artikler 1366 og 1367: artikkel 1366 anerkjenner bevistkraften til elektronisk dokument forutsatt at det garanterer forfatterens identitet og dokumentets integritet. Artikkel 1367 presiserer at elektronisk signatur bestående av en pålitelig identifikasjonsprosess nyter presumpsjon for pålitelighet når den er opprettet i samsvar med implementeringsdekretet;
• Dekret nr. 2017-1416 av 28. september 2017: definerer betingelsene under hvilke kvalifisert elektronisk signatur er antatt å være pålitelig i Frankrike, med eksplisitt henvisning til eIDAS-forordningen;
• Forordning nr. 2005-674 av 16. juni 2005 angående gjennomføring av visse kontraktuelle formaliteter elektronisk.

Personvernbeskyttelse

Innrullings- og signeringsprosesser innebærer behandling av personopplysninger (identitetsdata, biometri for videoverifisering). Den kvalifiserte leverandøren er underlagt Forordning (EU) 2016/679 (GDPR) og må særlig:

• Utpeke en DPO hvis behandlingen er i stor skala;
• Dokumentere behandlinger i CNIL-registeret;
• Regulere overføringer utenfor EU med passende garantier (typiske kontraktsbetingelser, tilstrekkelighetsavgjørelse).

Cybersikkerhet og motstandskraft

Fra oktober 2024 gjelder NIS2-direktivet (2022/2555/EU) for leverandører av kvalifiserte tillitssamfunnstjenester, klassifisert som essensielle enheter. De må implementere tiltak for håndtering av cybersikkerhet, varsle ANSSI om betydelige hendelser innen 24 timer, og gjennomgå regelmessige revisjoner. Manglende overholdelse medfører bøter som kan nå 10 millioner euro eller 2% av årlig verdensomspennende omsetning.

Referanseteknikknormer

• ETSI EN 319 401: generelle krav for leverandører av tillitssamfunnstjenester;
• ETSI EN 319 411-2: profil av policy for kvalifiserte sertifikater;
• ETSI EN 319 132: XAdES-signaturformater;
• ETSI EN 319 122: CAdES-signaturformater;
• ETSI EN 319 162: PAdES-signaturformater (PDF).

Bruksscenarioer: når er kvalifisert eIDAS-signatur essensielt?

Scenario 1 — Et advokatkontor som håndterer høyt verdi privatrettsakta

Et kommersielt advokatkontor med omkring tjue medarbeidere behandler hver måned flere tiere av salg av forretningsandeler, avtaleprotokoll og garantier for eiendelskvalitet (GAP). Disse akta binder ofte summer på flere hundre tusen euro og kan bli bestridt i domstolen.

Før migrering til en kvalifisert eIDAS-leverandør brukte kontoret en avansert signeringløsning (AES), som var tilstrekkelig for de fleste vanlige akta. Etter en hendelse hvor motparten bestred autentisiteten til en signatur under en tvist, valgte kontoret QES for alle akta med høy innsats. Resultat: reduksjon på 90% av tiden brukt på å fremlegge signaturbeviser under contentioseprosedyrer, takket være den uigjendrivelige juridiske presumsjonen knyttet til QES. Enhetskostnadene per signatur (cirka 2 til 5 € avhengig av volum) ble fullt absorbert av reduksjonen i contentiosekostnader.

Scenario 2 — Et mellomstort industrielt selskap som håndterer tverrgranselige leverandørkontrakter

Et industriell Medium-Sized Enterprise (SME) i sektoren for industriutstyr, med leverandører etablert i Frankrike, Tyskland, Italia og Polen, måtte tidligere sende sine rammeavtaler per post eller arrangere møter for å signere personlig, noe som medførte forsinkelser på 10 til 21 arbeidsdager per kontrakt.

Ved å implementere en løsning koblet til en europeisk PSCQ registrert på Trust List reduserte bedriften signeringssyklusen til mindre enn 48 timer i gjennomsnitt. Gjensidig anerkjennelse mellom medlemsstater garanterer juridisk verdi uten behov for ekstra legaliseringer. Over en portefølje på 350 årlige leverandørkontrakter overstiger det estimerte gevinsten i administrative og logistiske kostnader 40 000 € per år, i henhold til områder i samsvar med sektorstudiestudier publisert av ACFE og APQC.

Scenario 3 — Et sykehusgruppering underlagt krav i helsesektoren

Et sykehusgruppering med omkring 1 200 senger må signere elektronisk offentlige anskaffelser, avtaler om klinisk forskning og kontrakter for sykehusmedisiner. Disse dokumentene er underlagt Koden for offentlige anskaffelser, som krever en elektronisk signatur i samsvar med RGS (Generell sikkeringsreferanseramme) på nivå ** eller, siden dematrisiseringen av offentlige anskaffelser, til et eIDAS-ekvivalent nivå.

Ved å stole på en PSCQ registrert på den franske Trust List garanterer gruppesykehuset samsvar med artikkel R. 2132-7 i Koden for offentlige anskaffelser samtidig som man reduserer signeringsfristene for anskaffelser fra 15 dager til mindre enn 72 timer. API-integrasjonen med sykehusinformasjonssystemet (SIH) tillot automatisering av sending og oppfølging av dokumenter, som frigjorde omkring 0,4 ETP på administrative oppgaver relatert til kontrakter.

Konklusjon

Valg av en kvalifisert eIDAS-leverandør er ikke bare et enkelt softwarekjøp: det er en strategisk beslutning som engasjerer bevistkraften til dine akta, organisasjonens regulatoriske samsvar og tilliten til dine kommersielle og institusjonelle partnere. I 2026, med den gradvise ikrafttredelsen av eIDAS 2.0 og de nye NIS2-forpliktelsene, øker kravnivået bare.

De essensielle poengene å huske: verifiser alltid registrering på den offisielle Trust List, krev en publisert sertifiseringspolicy, og tilpass signeringsnivået (QES, AES, SES) til det juridiske innsatsen til hvert dokument.

Certyneo ledsager deg i denne prosessen ved å gi deg tilgang til kvalifiserte sertifikater via refererte PSCQ, en robust API-integrasjon og dedikert juridisk støtte. Klar til å gå over til kvalifisert signatur? Be om en demonstrasjon eller opprett kontoen din på Certyneo og sett organisasjonen din i samsvar i dag.