Zgodność z eIDAS dla MŚP: pełna lista kontrolna na rok 2026

Europejskie rozporządzenie eIDAS (UE nr 910/2014, wkrótce zmienione przez eIDAS 2.0) reguluje podpisy elektroniczne w całej Unii Europejskiej. Dla MŚP przestrzeganie przepisów to nie tylko pole do sprawdzenia: to gwarancja wykonalności umów, ochrony danych zawartych w podpisach oraz ochrony przed ryzykiem prawnym, które może być kosztowne. Oto lista kontrolna na rok 2026 zawierająca 12 konkretnych punktów, dzięki którym możesz sprawdzić, czy Twoje MŚP jest w pełni zgodne z eIDAS.

Punkt 1: wybierz odpowiedni poziom podpisu

Pierwszy odruch: zamapuj rodzaje kontraktów i powiąż poziom docelowy. Standardowe umowy handlowe (wyceny, zamówienia, proste NDA): wystarczy SES. Umowy o pracę, dzierżawy, wrażliwe NDA, umowy strategiczne: minimum AES, najlepiej z OTP SMS. Akty regulowane (prawnik, notariusz, zamówienia publiczne powyżej progu): Obowiązkowe QES. Bez tego mapowania ryzykujesz zaniżenie wymiarów (odmowa kontraktu) lub zawyżenie wymiarów (nadmierne koszty).

Punkt 2: sprawdź kwalifikacje usługodawcy

Twój usługodawca musi być zaufanym dostawcą usług (QTSP) lub polegać na QTSP w zakresie poziomów AES/QES. Zapoznaj się z Listą Usług Zaufania opublikowaną przez ANSSI (eidas.ssi.gouv.fr) i Europejską Listą Zaufanych (webgate.ec.europa.eu/tl-browser). Francuskie referencyjne QTSP: Certigna, Docaposte, Certinomis, Universign. W przypadku SES/AES za pośrednictwem platformy (Certyneo, Yousign itp.) sprawdź ich wyraźnie udokumentowaną zgodność z eIDAS.

Punkt 3: Przetestuj ścieżkę audytu

Podpisz kopertę testową i odbierz ścieżkę audytu (zazwyczaj oddzielny plik PDF). Musi zawierać: tożsamość i adres e-mail podpisującego, znacznik czasu każdego kroku (wysyłanie, otwieranie, sprawdzanie poprawności, podpis), adres IP, agent użytkownika, skrót dokumentu, weryfikację OTP w przypadku AES. Brak jednego z tych elementów powoduje osłabienie wartości dowodowej. Certyneo zapewnia pełną ścieżkę audytu nawet w przypadku planu bezpłatnego.

Punkt 4: kontroluj znacznik czasu

Znacznik czasu musi zostać wydany przez urząd znacznika czasu (TSA) zgodny z RFC 3161. Sam znacznik czasu z firmowego serwera NTP nie wystarczy. Otwórz podpisany plik PDF w programie Adobe Reader: zakładka Podpisy → Szczegóły → Znacznik czasu. Powinieneś tam zobaczyć ważny certyfikat TSA i certyfikowany zegar. Jeśli plik PDF nie ma certyfikowanego znacznika czasu, wycofaj się z wyboru usługodawcy.

Punkt 5: archiwum przez co najmniej 10 lat

Kodeks handlowy (art. L. 123-22) wymaga 10 lat przechowywania dokumentów handlowych. Kodeks pracy przewiduje 5 lat dla umów o pracę po rozwiązaniu umowy o pracę. Archiwizacja musi zachować integralność (hasz, pieczęć) i dostęp. Idealny: format PDF/A (ISO 19005), podwójna pamięć masowa (podstawowa + kopia zapasowa poza siedzibą), kwalifikowany sejf elektroniczny (CFE) zapewniający maksymalny dowód. Certyneo domyślnie archiwizuje dane przez 10 lat i oferuje eksport do partnerów CFE.

Punkt 6: sprawdź lokalizację danych

Gdzie przechowywane są dane Twojego podpisu? W przypadku francuskiego MŚP zajmującego się wrażliwymi umowami wybierz hosting francuski lub europejski. Zapytaj swojego usługodawcę o listę podwykonawców i ich lokalizację (art. 28 RODO). Unikaj rozwiązań podlegających amerykańskiej ustawie Cloud Act w przypadku kontraktów strategicznych. Certyneo jest hostowane we Francji i nie jest zależne od Cloud Act. Zobacz nasz artykuł na temat /blog/cloud-act-signature-electronique.

Punkt 7: spójnie z RODO

Podpis i RODO są ze sobą ściśle powiązane: każda koperta zawiera dane osobowe (imię i nazwisko, adres e-mail, adres IP, telefon). Upewnij się, że Twój rejestr przetwarzania (art. 30 RODO) zawiera podpis elektroniczny, że okresy przechowywania są spójne (10 lat) i że prawa osób fizycznych mogą być realizowane (dostęp, sprostowanie, przenoszenie). Jeżeli wnioskujesz o dużą liczbę podpisów, zaleca się skorzystanie z usług DPO. Zobacz nasz artykuł /blog/signature-electronique-rgpd.

Punkt 8: identyfikacja sygnatariuszy na górze łańcucha

W przypadku solidnego AES identyfikacja nie rozpoczyna się od podpisania: zaczyna się od gromadzenia danych. Sprawdzaj e-maile (bez aliasów, bez listy mailingowej), numery telefonów (bez wspólnej linii) i śledź źródło identyfikacji (identyfikator w przypadku dużych kontraktów, KYC istniejącego klienta w przypadku trwających umów). Ta należyta staranność sprawia, że ​​dowody są solidne w przypadku sporu.

Punkt 9: przeszkol zespoły

Twoje zespoły sprzedaży, HR i prawne muszą znać zasady: nigdy nie zmuszaj podpisującego do korzystania z urządzenia innej firmy, nigdy nie zwracaj zmodyfikowanego podpisanego pliku PDF, nigdy nie wklejaj zeskanowanego obrazu podpisu zamiast prawdziwego podpisu. Aby wyrobić w sobie dobry refleks, wystarczy godzina treningu na drużynę. Certyneo zapewnia kompletny przewodnik dotyczący udostępniania wewnętrznego (/resources).

Punkt 10: sprawdź umowy dostawców usług

CGU/CGV dostawcy usługi podpisu musi: zainicjować zgodność z eIDAS, określić okresy archiwizacji, zawrzeć umowę podwykonawstwa RODO (art. 28), udokumentować podwykonawców, zapewnić plan odwracalności na wypadek zaprzestania. Jeśli przetwarzasz duże ilości, poproś także o SOC 2 Typ II lub odpowiednik. W przypadku Certyneo dokumenty te są dostępne na stronach /legal i /security.

Punkt 11: przygotuj eIDAS 2.0 i portfel EUDI

Rozporządzenie eIDAS 2.0 (UE 2024/1183) wchodzi w życie stopniowo i nakłada na państwa członkowskie obowiązek wdrożenia portfela EUDI przed końcem 2026 r. Ten portfel tożsamości cyfrowej umożliwi w szczególności zdalny dostęp do QES bez fizycznego biura rejestracji. Przygotuj swoje MŚP: sprawdź, czy Twój usługodawca ma plan działania dotyczący portfela EUDI, postępuj zgodnie z komunikatami ANSSI i Komisji Europejskiej. Zobacz /blog/eidas-2-nouveau-reglement-2026.

Punkt 12: audyt coroczny

Zgodność nie jest stanem nabytym: jest to proces ciągły. Zaplanuj coroczny audyt (wewnętrzny lub zewnętrzny) w celu sprawdzenia: zmian regulacyjnych, rozwoju usługodawców, aktualnego mapowania rodzajów umów, skutecznej retencji, szkolenia nowych pracowników. Lekki audyt zajmuje MŚP pół dnia i pozwala uniknąć wielu niespodzianek. Zacznij od utworzenia bezpłatnego konta Certyneo na stronie certyneo.com/signup, aby przetestować zgodność w świecie rzeczywistym, a następnie zapoznaj się z naszym przewodnikiem eIDAS, aby sięgnąć głębiej (/guide/eidas).