eIDAS 2 certification prestataire signature 2026

Dlaczego certyfikacja eIDAS 2 zmienia zasady gry dla dostawców

Od wejścia w życie rozporządzenia (UE) 2024/1183 z 11 kwietnia 2024 r. — powszechnie zwanego eIDAS 2 — dostawcy usług zaufania (PSC) działający w Unii Europejskiej stają w obliczu gruntownie przeformułowanego ramy regulacyjnej. Zmiana pierwotnego rozporządzenia eIDAS z 2014 r. nie ogranicza się do poszerzenia zakresu usług uznawanych: znacznie zaostrzył warunki akredytacji, wprowadza nowe poziomy gwarancji i wzmacnia wymogi nadzoru organów kontroli krajowych. Dla każdego podmiotu chcącego oferować usługi kwalifikowanego podpisu elektronicznego (QES) lub zaawansowanego (AdES) na rynku europejskim, zrozumienie jak uzyskać certyfikację eIDAS 2 dla dostawcy podpisu nie jest już opcją — to obowiązek strategiczny.

Artykuł ten przedstawia kompleksowy przegląd ścieżki certyfikacji: obowiązujące przepisy, normy techniczne do przestrzegania, rola organów oceny zgodności (CAB), realistyczne terminy i operacyjne punkty uwagi.

---

Nowy krajobraz regulacyjny eIDAS 2: co się zmieniło

Od rozporządzenia 910/2014 do rozporządzenia 2024/1183: główne zmiany

Pierwotne rozporządzenie eIDAS (nr 910/2014) położyło fundamenty dla jednolitego rynku cyfrowego zaufania w Europie. Definiowało trzy poziomy podpisu — prosty, zaawansowany i kwalifikowany — i nakładało na kwalifikowanych dostawców obowiązek figurowania na krajowych listach zaufania (TSL, Trust Service Lists). eIDAS 2 zachowuje tę architekturę, ale ją wzbogaca w kilku kluczowych punktach:

• Rozszerzenie usług kwalifikowanych: kwalifikowane archiwizowanie elektroniczne, elektroniczne zaświadczenia o atrybutach (AEA), zdalna obsługa urządzeń tworzenia kwalifikowanego podpisu (QSCD). Te nowe usługi podlegają teraz tej samej procedurze akredytacji co podpis kwalifikowany.
• Europejski portfel tożsamości cyfrowej (EUDIW): dostawcy chcący wchodzić w interakcje z przyszłym portfelem tożsamości muszą wykazać zgodność ze specyfikacjami technicznymi opublikowanymi przez Komisję (ARF — Architecture and Reference Framework, v1.4, 2024).
• Wzmocnienie nadzoru: krajowe organy nadzoru (we Francji ANSSI) posiadają wzmocnione uprawnienia do dochodzenia i wydawania nakazów. Kwalifikowani PSC mogą podlegać nieplanowym audytom.
• Skrócone terminy powiadomienia: każdy znaczący incydent bezpieczeństwa musi być zgłoszony właściwemu organowi w ciągu 24 godzin (w stosunku do 72 godzin w poprzedniej wersji dla niektórych incydentów).

Aby zapoznać się z całością rozporządzenia, przewodnik eIDAS 2.0 Certyneo oferuje педагогiczne podsumowanie wszystkich tych zmian.

Poziomy gwarancji i ich implikacje dla certyfikacji

Rozróżnienie między podpisem elektronicznym zaawansowanym a kwalifikowanym pozostaje osią systemu. Tylko QES korzysta z domniemania prawnego integralności i przypisania równoważnego podpisowi odbędającemu się (art. 25 rozporządzenia eIDAS 2). To domniemanie jest bezpośrednio uzależnione od certyfikacji dostawcy.

| Poziom | Moc dowodowa | Wymóg dostawcy | |---|---|---| | Prosty (SES) | Ograniczona | Brak | | Zaawansowany (AdES) | Istotna | Dobre praktyki + normy ETSI | | Kwalifikowany (QES) | Maksymalna (domniemanie prawne) | Obowiązkowa certyfikacja eIDAS 2 |

---

Proces certyfikacji eIDAS 2 krok po kroku

Etap 1 — Wymagania wstępne organizacyjne i techniczne

Zanim dostawca formalnie zaangażuje się w proces certyfikacji, musi przeprowadzić audyt poziomu dojrzałości na trzech osiach:

1. Zgodność z normami ETSI Normy z serii EN 319 stanowią niezbędny fundamentu techniczny. Główne to:

• ETSI EN 319 401: ogólne wymagania dla dostawców usług zaufania
• ETSI EN 319 411-1 i 411-2: polityki i wymagania dla urzędów certyfikujących wydających certyfikaty (profile PTC-QC dla certyfikacji kwalifikowanych)
• ETSI EN 319 421: polityka i wymagania dla dostawców usług znacznika czasu
• ETSI EN 319 132: formaty podpisu XAdES (XML), oraz powiązane serie CAdES (CMS) i PAdES (PDF)

Zgodność z tymi normami nie jest fakultatywna dla dostawców kwalifikowanych: jest wyraźnie wymagana przez akty wykonawcze Komisji Europejskiej.

2. Bezpieczeństwo systemów informatycznych QSCD (urządzenia tworzenia kwalifikowanego podpisu) muszą być certyfikowane zgodnie z Common Criteria (CC) EAL4+ lub równoważnie. W przypadku rozwiązań podpisu zdalnego — model dominujący w SaaS — wymagania dotyczą również modułów HSM (Hardware Security Module) i procedur zarządzania kluczami kryptograficznymi (zgodność FIPS 140-2 poziom 3 minimum).

3. Polityka bezpieczeństwa (PSSI) i zarządzanie ryzykiem Dokumentacja certyfikacyjna wymaga sformalizowanej PSSI, dostosowanej do ISO/IEC 27001 (której certyfikacja jest zdecydowanie zalecana i czasami wymagana przez CAB) i zawierającej wymagania NIS2 dla podmiotów kwalifikowanych jako „ważne" lub „krytyczne".

Etap 2 — Wybór i zaangażowanie organu oceny zgodności (CAB)

We Francji organy oceny zgodności akredytowane przez COFRAC (Komitet Francuski ds. Akredytacji) do oceny dostawców usług zaufania są nieliczne. Przykładowo, LSTI (Laboratoire de Sécurité des Technologies de l'Information) i Bureau Veritas Certification figurują wśród wymienianych aktorów. W skali europejskiej każde państwo członkowskie publikuje listę swoich powiadomonych CAB.

Rolą CAB jest przeprowadzenie audytu zgodności w dwóch fazach:

1. Przegląd dokumentacji (Faza 1): badanie polityk, procedur, Oświadczenia Praktyk Certyfikacji (DPC / CPS) i dowodów technicznych.
2. Audit na miejscu (Faza 2): weryfikacja kontroli operacyjnych, testy penetracyjne, rozmowy z zespołami.

Całkowity czas audytu CAB wynosi zwykle od 4 do 8 tygodni w zależności od wcześniejszej dojrzałości kandydata.

Etap 3 — Rozpatrzenie przez krajowy organ nadzoru

We Francji ANSSI (Agencja Krajowa Bezpieczeństwa Systemów Informatycznych) rozpatruje wnioski o wpisanie na krajową listę zaufania (TSL FR). Na podstawie raportu audytu CAB, ANSSI przeprowadza własną analizę i może zażądać dodatkowych informacji lub działań naprawczych.

Regulacyjny termin rozpatrzenia wynosi 3 miesiące od daty otrzymania kompletnego wniosku (art. 17 rozporządzenia eIDAS 2). W praktyce rzeczywiste terminy są często dłuższe, jeśli wstępny wniosek jest niekompletny.

Po wpisaniu na krajową TSL, dostawca jest automatycznie umieszczany na EUTL (EU Trusted List) publikowanej przez Komisję Europejską, co daje mu natychmiastowe uznanie transgraniczne w 27 państwach członkowskich.

Etap 4 — Utrzymanie kwalifikacji i odnowienie

Certyfikacja eIDAS 2 nie jest ostateczna. Kwalifikowani dostawcy podlegają:

• Rocznemu audytowi nadzoru przeprowadzanemu przez CAB
• Pełnemu audytowi odnowienia co 24 miesiące (skrócony cykl w stosunku do wcześniejszej praktyki)
• Kontrolom nieplanowanym możliwym z inicjatywy ANSSI

Każda istotna zmiana infrastruktury (zmiana HSM, ewolucja PKI, nowa usługa kwalifikowana) uruchamia procedurę powiadomienia wstępnego i może narzucić audit częściowy.

---

Koszty, terminy i czynniki ryzyka: co DSI muszą przewidać

Budżet i zasoby ludzkie

Koszt pierwszej certyfikacji eIDAS 2 jest znaczący. Pozycje wydatków obejmują:

• Audit CAB: od 40 000 € do 120 000 € w zależności od złożoności zakresu
• Implementacja zgodności technicznej (HSM, PKI, certyfikowane QSCD CC): od 80 000 € do kilkuset tysięcy euro za infrastrukturę proprietary
• Certyfikacja ISO 27001 (zalecana w poprzedzeniu): 15 000 do 50 000 € w zależności od wielkości
• Opłaty za doradztwo prawne i redakcję DPC: 10 000 do 30 000 €
• Koszty wewnętrzne: mobilizacja dedykowanego zespołu (CISO, DPO, odpowiedzialny ds. zgodności) przez 12 do 18 miesięcy

Sumując wszystkie pozycje, pełna certyfikacja reprezentuje całkowitą inwestycję rzędu 200 000 do 500 000 € dla dostawcy o średniej wielkości, bez uwzględnienia powtarzających się kosztów utrzymania.

Operacyjne czynniki ryzyka

Najczęstsze przyczyny niepowodzenia lub opóźnień w procedurach certyfikacji to:

1. Niewystarczająco szczegółowa DPC: Oświadczenie Praktyk Certyfikacji musi dokumentować każdą kontrolę z czasami niedoocenianą granularością.
2. Luki w zarządzaniu cyklem życia kluczy: revocation, archiwizacja, zniszczenie kluczy prywatnych.
3. Niewystarczająca governance incydentów: brak SIEM, testowanych procedur zarządzania kryzysem, runbooks.
4. Niedocenienie NIS2: od października 2024 r. kwalifikowani PSC są automatycznie klasyfikowani jako podmioty „ważne" w rozumieniu dyrektywy NIS2, z dodatkowymi obowiązkami raportowania i zarządzania ryzykiem.

Dla przedsiębiorstw chcących delegować te ograniczenia dostawcy już certyfikowanemu zamiast budować własną infrastrukturę, porównanie rozwiązań podpisu elektronicznego dostępne na Certyneo pomaga obiektywie ten wybór build-vs-buy.

---

eIDAS 2 i podpis elektroniczny w przedsiębiorstwie: wyzwania przejścia

Dla przedsiębiorstw użytkowników — w odróżnieniu od dostawców — certyfikacja eIDAS 2 dostawcy SaaS podpisu jest teraz niezbędnym kryterium wyboru. Włączenie do przetargów klauzuli wymagającej obecności na krajowej TSL stało się standardową praktyką w sektorach regulowanych (finanse, opieka zdrowotna, nieruchomości).

Podpis elektroniczny w przedsiębiorstwie wymaga bowiem wyraźnego rozróżnienia przypadków użycia wymagających QES — akty pod własnymi rękami o wysokim znaczeniu, pełnomocnictwa, akty notarialne elektroniczne — od tych, gdzie wystarczy AdES. Ta kartografia zastosowań bezpośrednio warunkuje poziom usług wymagany umownie od dostawcy.

Organizacje migrujące z istniejącego rozwiązania do dostawcy certyfikowanego eIDAS 2 muszą również przewidywać przenośność archiwów dowodów. Przewodnik dotyczący migracji z DocuSign lub YouSign do Certyneo szczegółowo przedstawia dobre praktyki zachowania wartości dowodowej już podpisanych dokumentów podczas przejścia.

Ramy prawne mające zastosowanie do certyfikacji eIDAS 2

Teksty założycielskie

Certyfikacja dostawców usług zaufania opiera się na gęstym stos normatywnym, który należy w pełni opanować:

Rozporządzenie (UE) 2024/1183 z 11 kwietnia 2024 r. (eIDAS 2): tekst odniesienia uchylający i zastępujący odpowiadające postanowienia rozporządzenia 910/2014. Określa warunki uzyskania i utrzymania statusu dostawcy kwalifikowanego, obowiązki nadzoru krajowego i wymagania dotyczące nowych usług (EUDIW, AEA).

Rozporządzenie (UE) nr 910/2014 (eIDAS 1): nadal częściowo mające zastosowanie do postanowień niezmienionych; akty wykonawcze i delegowane przyjęte na podstawie tego rozporządzenia pozostają w mocy do ich formalnej zmiany.

Kodeks cywilny francuski, artykuły 1366 i 1367: artykuł 1366 ustanawia zasadę równoważności podpisu elektronicznego z podpisem odbędującym się pod warunkiem niezawodności; artykuł 1367 precyzuje, że niezawodność jest domniemana do dowodu przeciwnego, gdy używany jest podpis kwalifikowany. Te krajowe postanowienia łączą się bezpośrednio z domniemaniem prawnym art. 25 eIDAS 2.

Dyrektywa (UE) 2022/2555 (NIS2): transponowana do prawa francuszczyzny ustawą z 15 października 2024 r., automatycznie klasyfikuje dostawców usług zaufania kwalifikowanych wśród podmiotów ważnych. Obowiązki: zgłoszenie do ANSSI w ciągu 72 godzin każdego znaczącego incydentu, wdrożenie sformalizowanego zarządzania ryzykiem cybernetycznym, okresowy audit bezpieczeństwa.

Rozporządzenie (UE) 2016/679 (RODO): dostawcy usług podpisu elektronicznego przetwarzają wrażliwe dane osobowe (tożsamość sygnatariuszy, dzienniki audytu). Poszanowanie zasad minimalizacji, ograniczenia przechowywania i integralności narzuca specjalną analizę wpływu (AIPD). Podstawa prawna przetwarzania musi być udokumentowana dla każdej usługi.

Normy techniczne o wartości regulacyjnej

Akty wykonawcze Komisji Europejskiej (szczególnie decyzja wykonawcza (UE) 2015/1506 i jej zmiany) wyznaczają normy ETSI jako domniemane zgodności:

• ETSI EN 319 401: ogólne wymagania TSP
• ETSI EN 319 411-1 i 411-2: polityki certyfikacji
• ETSI EN 319 421: kwalifikowany znacznik czasu
• ETSI EN 319 132 / 122 / 102: formaty AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: usługi podpisu zdalnego

Ryzyka prawne w przypadku niezgodności

Oszukańcze lub zaniedbane wykorzystanie statusu dostawcy kwalifikowanego naraża na sankcje administracyjne wydawane przez ANSSI (zawieszenie, usunięcie z listy zaufania) i postępowanie karne (art. 226-17 Kodeksu karnego za brak bezpieczeństwa danych osobowych). Na płaszczyźnie cywilnej, podważenie wartości dowodowej podpisów wydanych w okresie niezgodności może zaangażować odpowiedzialność umowną dostawcy wobec jego klientów.

Scenariusze użycia: certyfikacja eIDAS 2 w praktyce

Scenariusz 1 — Edytor SaaS średniej wielkości zmierzający do kwalifikacji QES

Firma specjalizująca się w dematerilaizacji dokumentów, zatrudniająca około stu pracowników i zarządzająca kilkoma milionami transakcji podpisu rocznie na rzecz klientów w sektorach bankowości i ubezpieczeń, postanawia ubiegać się o kwalifikację eIDAS 2 dla swojej usługi podpisu elektronicznego. Do tej pory firma oferowała zaawansowany podpis oparty na certyfikatach (AdES), wystarczający dla większości umów klientów, ale niewystarczający dla aktów wymagających maksymalnej wartości dowodowej (pełnomocnictwa SEPA, konwencje dowodowe notarialne).

Po audycie wewnętrznym trwającym 3 miesiące ujawniającym około piętnaście głównych odchyleń od wymagań ETSI EN 319 411-2, firma angażuje program dostosowania przez 14 miesięcy. Główne projekty dotyczą zastąpienia istniejących modułów HSM modułami certyfikowanymi FIPS 140-2 poziom 3, redakcji DPC liczącego 180 stron i uzyskania certyfikacji ISO 27001 przed audytem CAB. Całkowita inwestycja osiąga 340 000 €. Po zakończeniu procesu wpisanie na TSL francuską umożliwia firmie dostęp do przetargów, z których była systematycznie wykluczona, reprezentując potencjał handlowy szacowany na 20% dodatkowych przychodów.

Scenariusz 2 — Szpitalny klaster integrujący kwalifikowany podpis dla aktów medyczno-prawnych

Klaster szpitalny liczący około 1 200 łóżek chce dematerilaizować swoje procesy świadomej zgody, delegacji uprawnień medycznych i umów badań klinicznych. Dokumenty te należą do kategorii aktów, dla których QES jest wymagana lub zdecydowanie zalecana przez wytyczne HAS i ramy prawne dotyczące danych zdrowotnych (art. L. 1110-4 CSP).

Zamiast certyfikować infrastrukturę wewnętrzną — opcja uznana za zbyt kosztowną i poza głównym obszarem działalności — klaster opting dla integracji dostawcy trzeciej strony już wpisanego na TSL. DSI przeprowadza audit zgodności dostawcy na podstawie listy kontrolnej ETSI EN 319 401 i weryfikuje efektywną obecność na EUTL przed podpisaniem umowy. Wdrożenie, przeprowadzone w 4 miesiące, zmniejsza o 65% czas zbierania podpisów na dossiach badań klinicznych i eliminuje ryzyko kwestionowania prawnego związane z wcześniejszym użyciem prostych podpisów dla aktów wrażliwych.

Scenariusz 3 — Kancelaria adwokacka zajmująca się sprawami handlowymi zabezpieczająca swoje akty pod własnymi rękami

Kancelaria adwokacka zajmująca się sprawami handlowymi liczące około trzydziestu wspólników, zarządzająca rocznie blisko 400 operacjami fuzji i przejęć oraz cesji funduszy handlowych, szuka sposobu na usprawnienie podpisu swoich złożonych aktów pod własnymi rękami. Jednostkowa wartość obsługiwanych transakcji często przekracza milion euro, a każdy brak formalny może zaangażować odpowiedzialność zawodową kancelarii.

Po analizie zespół IT i wspólnik zarządzający uzgadniają wymóg umowny minimum QES wydanego przez dostawcę certyfikowanego eIDAS 2 dla każdego aktu, którego wartość przekracza 100 000 €. Kryterium wyboru dostawcy obowiązkowo zawiera weryfikację wpisania na krajową TSL i dostępność ostatniego certyfikatu zgodności ETSI (mniej niż 12 miesięcy). Ta ramy pozwala kancelarii zmniejszyć o ponad 80% wnioski o kontrekspertyzę na temat ważności podpisów w przypadku późniejszych sporów, zgodnie z opinią obserwowaną w strukturach porównywalnych w sektorze.

Podsumowanie

Uzyskanie certyfikacji eIDAS 2 jako dostawcy usług podpisu elektronicznego to wymagający, kosztowny i długi proces — ale niezbędny dla każdego podmiotu chcącego oferować maksymalne gwarancje prawne swoim klientom na rynku europejskim. Od dostosowania do norm ETSI, przejścia audytu CAB, rozpatrzenia przez ANSSI i utrzymania kwalifikacji na całej trasie, inicjatywa wymaga istotnych zasobów na 12 do 24 miesięcy.

Dobrą wiadomością dla przedsiębiorstw użytkowników jest to, że nie trzeba budować tej infrastruktury wewnętrznie: wybór dostawcy SaaS już certyfikowanego eIDAS 2 i wpisanego na krajową listę zaufania pozwala natychmiast korzystać z domniemania prawnego związanego z QES, bez ponoszenia kosztów certyfikacji.

Certyneo to dostawca zaufania certyfikowany, zaprojektowany dla przedsiębiorstw B2B wymagających rygorystyczności prawnej i prostoty użytkowania. Odkryj nasze ceny i rozpocznij bezpłatny trial już dziś.