Dostawcy eIDAS kwalifikowani: oficjalna lista 2026

Dlaczego status "kwalifikowany" eIDAS jest kluczowy dla Twojej firmy?

Od wejścia w życie rozporządzenia eIDAS (nr 910/2014) europejski rynek podpisu elektronicznego został głęboko przeprowadzony wokół hierarchii trzech poziomów: podpisu elektronicznego prostego (SES), podpisu elektronicznego zaawansowanego (AES) i podpisu elektronicznego kwalifikowanego (QES). Ten ostatni jest jedynym, który korzysta z domniemania prawnego równoważności z podpisem odręcznym we wszystkich państwach członkowskich Unii Europejskiej.

Aby firma mogła oferować podpisy kwalifikowane, musi bezwzględnie przejść audyt i być wpisana na listę zaufania (Trust List) swojego państwa członkowskiego. We Francji to Agencja Bezpieczeństwa Systemów Informacyjnych (ANSSI) prowadzi ten oficjalny rejestr, republilowany z kolei na scentralizowanej liście europejskiej zarządzanej przez Komisję Europejską.

Zrozumienie tej architektury jest fundamentalne przed podpisaniem jakiegokolwiek wrażliwego kontraktu handlowego. Aby dowiedzieć się więcej o podstawach regulacyjnych, nasze kompleksowe przewodniki po rozporządzeniu eIDAS 2.0 szczegółowo opisuje wszystkie zobowiązania i zmiany wprowadzone przez zmienione rozporządzenie eIDAS 2.0 (Rozporządzenie UE 2024/1183).

---

Jak są certyfikowani dostawcy kwalifikowanych usług zaufania?

Ścieżka do statusu Kwalifikowanego Dostawcy Usług Zaufania (PSCQ) jest wymagająca. Wymaga audytu przeprowadzonego przez akredytowany organ oceny zgodności (CAB, Conformity Assessment Body), zgodnie z normami ETSI EN 319 401 (wymogi ogólne) i ETSI EN 319 411-2 dla certyfikatów kwalifikowanych.

Etapy kwalifikacji ANSSI

1. Złożenie wniosku o kwalifikację: dostawca przedkłada swoją dokumentację techniczną, bezpieczeństwa i organizacyjną do ANSSI.
2. Audyt przeprowadzony przez CAB: organ trzeciej strony — taki jak Bureau Veritas, LSTI lub Apave Certification — weryfikuje zgodność na miejscu i na dokumentach.
3. Decyzja o kwalifikacji: ANSSI wydaje kwalifikację i wpisuje dostawcę na francuską listę zaufania (TL-FR).
4. Okresowe odnowienie: kwalifikacja jest ponownie oceniana, zwykle co dwa lata, aby zagwarantować utrzymanie wymogów.

Co konkretnie weryfikuje audytor?

Audytor sprawdza w szczególności:

• Bezpieczeństwo fizyczne centrów danych hostujących klucze kryptograficzne (certyfikowane moduły HSM CC EAL 4+ lub FIPS 140-2 Level 3 minimum);
• Polityki certyfikacji (CP) i deklaracje praktyk certyfikacji (CPS) publikowane przez dostawcę;
• Procedury weryfikacji tożsamości podpisujących (osobiście lub weryfikacja tożsamości na odległość zgodna z normą EN 419 241-1);
• Zarządzanie unieważnieniami i dostępność usług OCSP/CRL.

Te kryteria wyjaśniają, dlaczego tylko garstka aktorów osiąga i utrzymuje ten poziom certyfikacji we Francji.

---

Dostawcy eIDAS kwalifikowani rejestrujący się we Francji w 2026 roku

Oficjalna lista dostawców kwalifikowanych jest dostępna w każdej chwili na oficjalnym portalu Komisji Europejskiej (eidas.ec.europa.eu/efts), filtrując "Francję" i usługę "QCertESig" (Qualified Certificate for Electronic Signature). Oto podmioty, które były wpisane do rejestru w momencie napisania tego artykułu (czerwiec 2026):

Francuscy aktorzy wpisani na Trust List

| Dostawca | Typ usługi kwalifikowanej | Szczególność | |---|---|---| | Certigna (Dhimyotis) | Certyfikaty kwalifikowane, sygnatura czasowa kwalifikowana | Grupa La Poste, certyfikowana eIDAS od 2016 roku | | Certinomis | Certyfikaty kwalifikowane | Filia La Poste, skierowana na sektor publiczny | | ChamberSign France | Certyfikaty kwalifikowane | Sieć izb handlowych, mocne zakorzenienie w MŚP | | Keynectis / DocuSign France | Certyfikaty kwalifikowane | Przejęte przez DocuSign, utrzymanie etykiety ANSSI | | Universign (Tessi) | Certyfikaty kwalifikowane, sygnatura czasowa | Pionier rynku, zintegrowany w grupę Tessi | | Entrust (ex-Datacard) | Certyfikaty kwalifikowane | Aktor międzynarodowy, Trust List w wielu państwach członkowskich | | Oodrive Sign | Certyfikaty kwalifikowane | Francuski wydawca suwerenny, certyfikowany SecNumCloud |

> Ostrzeżenie: lista ta jest podana wyłącznie w celach informacyjnych. Wyłącznie oficjalna Trust List Komisji Europejskiej jest wiążąca. Zawsze sprawdź aktualny status na portalu ETSI przed jakimkolwiek zobowiązaniem umownym.

Zagraniczni dostawcy uznawani we Francji poprzez europejską Trust List

Na mocy zasady wzajemnego uznawania ustanowionej w artykule 25 rozporządzenia eIDAS, podpis kwalifikowany wydany przez PSCQ wpisany na listę zaufania innego państwa członkowskiego daje takie same skutki prawne we Francji. Wśród często wykorzystywanych aktorów spoza Francji:

• Namirial (Włochy): silny w kwalifikowanym podpisie zdalnym (QES remote signing);
• SwissSign (Szwajcaria): uwaga, Szwajcaria nie jest członkiem UE; uznanie jest częściowe;
• Qualified.one / Asseco Data Systems (Polska): publiczny aktor europejski, częsty na rynkach transgranicznych.

Aby porównać te rozwiązania zgodnie z Twoimi potrzebami biznesowymi, zapoznaj się z naszym porównaniem rozwiązań podpisu elektronicznego, które analizuje kryteria ceny, zgodności i integracji API.

---

Jak wybrać właściwego dostawcę eIDAS kwalifikowanego dla Twojej organizacji?

Wpisanie na Trust List jest warunkiem koniecznym, ale niewystarczającym. Wybór PSCQ musi opierać się na kilku dodatkowych kryteriach.

Kryteria techniczne i integracyjne

• Dostępne API REST lub SDK: niezbędne do automatyzacji podpisów w Twoich przepływach biznesowych (ERP, HRIS, CRM);
• Obsługiwane formaty podpisów: PAdES dla PDF, XAdES dla XML, CAdES dla plików binarnych — wszystkie znormalizowane przez ETSI EN 319 100;
• Dostępność usługi: umowa SLA wyższa niż 99,9%, z zaplanowanymi oknami konserwacji poza godzinami pracy;
• Hosting danych: preferuj hosting we Francji lub w UE, idealnie certyfikowany SecNumCloud dla danych wrażliwych.

Kryteria prawne i zgodności

• Sprawdź, czy dostawca zapewnia aktualny raport kwalifikacji (nie starszy niż 24 miesiące);
• Wymagaj opublikowanej polityki certyfikacji (CP) dostępnej publicznie i poddanej audytowi;
• Upewnij się, że warunki ogólne wyraźnie przewidują dostarczanie certyfikatów kwalifikowanych w rozumieniu Załącznika I rozporządzenia eIDAS.

Kryteria operacyjne i wsparcia

• Procedura rejestracji podpisujących: osobiście w biurze, identyfikacja wideo zgodna z eIDAS lub NFC z dokumentu tożsamości elektronicznej;
• Wsparcie w języku francuskim z umownymi czasami odpowiedzi;
• Szkolenie i dokumentacja dostępne dla Twoich zespołów prawnych i IT.

Jeśli Twoja organizacja obsługuje znaczące przepływy dokumentów HR, nasza dedykowana strona dotycząca podpisu elektronicznego dla zespołów HR szczegółowo opisuje konkretne przypadki użycia (umowy o pracę, aneksy, onboarding) i zalecane poziomy podpisów według typu dokumentu.

---

eIDAS 2.0: jakie zmiany dla dostawców kwalifikowanych w 2026 roku?

Rozporządzenie eIDAS 2.0 (Rozporządzenie UE 2024/1183, wdrażane stopniowo od maja 2024) wprowadza kilka ewolucji strukturalnych, które bezpośrednio wpływają na PSCQ i ich klientów.

Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet)

Artykuł 6a zmienionego rozporządzenia zobowiązuje państwa członkowskie do oferowania, do września 2026 roku, portfela tożsamości cyfrowej (EUDI Wallet) uznawanego w całej UE. Dla dostawców kwalifikowanych oznacza to:

• Obowiązek akceptacji atrybutów tożsamości z portefela jako dowodu tożsamości dla rejestracji podpisujących;
• Pojawienie się nowej usługi kwalifikowanej: dostarczanie poświadczeń atrybutów kwalifikowanych (Qualified Electronic Attestation of Attributes, QEAA).

Nowe usługi kwalifikowane i rozszerzenie zakresu

eIDAS 2.0 rozszerza listę kwalifikowanych usług zaufania, aby obejmować:

• Usługi archiwizacji elektronicznej kwalifikowanej (QPDS, artykuł 45f);
• Usługi zarządzania urządzeniami do tworzenia podpisu zdalnego (QRCD).

Te ewolucje stanowią zarówno wyzwanie dotyczące zgodności (ścisłe terminy dla obecnych dostawców), jak i szansę na różnicowanie się dla nowych uczestników zdolnych do szybkiej integracji specyfikacji technicznych opublikowanych przez ENISA i ETSI.

W przypadku przedsiębiorstw rozważających migrację ze swojej istniejącej platformy na rozwiązanie bardziej zgodne, nasz przewodnik migracji z DocuSign lub YouSign do Certyneo przedstawia konkretne kroki i punkty ostrożności regulacyjnej.

Ramy prawne mające zastosowanie do dostawców eIDAS kwalifikowanych

Rozporządzenie eIDAS i prawo europejskie

Podstawą prawną jest Rozporządzenie (UE) nr 910/2014 Parlamentu Europejskiego i Rady z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania dla transakcji elektronicznych na rynku wewnętrznym (zwane "rozporządzeniem eIDAS"), zmienione Rozporządzeniem (UE) 2024/1183 (eIDAS 2.0). Rozporządzenie to ma bezpośrednie zastosowanie we wszystkich państwach członkowskich bez transpozycji krajowej.

Jego kluczowe przepisy dla dostawców kwalifikowanych:

• Artykuł 17: obowiązek każdego państwa członkowskiego wyznaczenia organu nadzoru (we Francji ANSSI);
• Artykuł 20: procedura nadzoru, audytu i wpisania na listę zaufania;
• Artykuł 25: domniemanie równoważności między QES a podpisem odręcznym, z gwarantowanym skutkiem prawnym w całej UE;
• Załącznik I: wymogi dotyczące certyfikatów kwalifikowanych do podpisu elektronicznego;
• Załącznik II: wymogi dotyczące urządzeń do tworzenia podpisów kwalifikowanych (QSCD).

Prawo francuskie

W prawie wewnętrznym podpis elektroniczny jest uregulowany przez:

• Kodeks cywilny, artykuły 1366 i 1367: artykuł 1366 uznaje wartość dowodową dokumentu elektronicznego pod warunkiem zagwarantowania tożsamości autora i integralności dokumentu. Artykuł 1367 precyzuje, że podpis elektroniczny polegający na niezawodnej procedurze identyfikacji korzysta z domniemania wiarygodności, gdy został utworzony zgodnie z dekretem wykonawczym;
• Dekret nr 2017-1416 z 28 września 2017: określa warunki, na jakich podpis elektroniczny kwalifikowany jest domniemywany jako wiarygodny we Francji, wyraźnie nawiązując do rozporządzenia eIDAS;
• Ordynacja nr 2005-674 z 16 czerwca 2005 dotycząca wypełniania niektórych formalności umownych drogą elektroniczną.

Ochrona danych osobowych

Procesy rejestracji i podpisywania wiążą się z przetwarzaniem danych osobowych (dane tożsamości, biometria do identyfikacji wideo). Dostawca kwalifikowany podlegający Rozporządzeniu (UE) 2016/679 (RODO) musi w szczególności:

• Wyznaczyć inspektora ochrony danych, jeśli przetwarzanie odbywa się na szeroką skalę;
• Dokumentować przetwarzanie w rejestrze CNIL;
• Regulować transfery poza UE za pomocą odpowiednich gwarancji (standardowe klauzule umowne, decyzja o adekwatności).

Cyberbezpieczeństwo i odporność

Od października 2024 roku Dyrektywa NIS2 (2022/2555/UE) ma zastosowanie do dostawców kwalifikowanych usług zaufania, zaklasyfikowanych jako podmioty istotne. Muszą wdrożyć środki zarządzania ryzykiem cybernetycznym, powiadamiać ANSSI o istotnych incydentach w ciągu 24 godzin i poddawać się regularnym audytom. Niezastosowanie się grozi grzywnami sięgającymi 10 milionów euro lub 2% rocznego światowego obrotu.

Normy techniczne referencyalne

• ETSI EN 319 401: wymogi ogólne dla dostawców usług zaufania;
• ETSI EN 319 411-2: profil polityki dla certyfikatów kwalifikowanych;
• ETSI EN 319 132: formaty podpisów XAdES;
• ETSI EN 319 122: formaty podpisów CAdES;
• ETSI EN 319 162: formaty podpisów PAdES (PDF).

Scenariusze użycia: kiedy podpis kwalifikowany eIDAS jest niezbędny?

Scenariusz 1 — Kancelaria prawna zarządzająca umowami pod pismem z wysoką wartością dowodową

Kancelaria prawna kierowana przez dwudziestu współpracowników obsługuje co miesiąc kilkadziesiąt cesji udziałów, protokołów ugód oraz umów gwarancji aktywów i pasywów (GAP). Te umowy angażują kwoty często przekraczające kilkaset tysięcy euro i mogą być kwestionowane w sądzie.

Przed migracją do dostawcy eIDAS kwalifikowanego kancelaria używała rozwiązania podpisu zaawansowanego (AES), co wystarczało dla większości typowych umów. Po incydencie, gdy druga strona kwestionowała autentyczność podpisu podczas sporu, kancelaria podjęła decyzję o QES dla wszystkich umów o wysokim znaczeniu. Rezultat: zmniejszenie o 90% czasu poświęcanego na dostarczanie dowodów podpisu podczas postępowań sądowych, dzięki irrebutably legalnego domniemania związanego z QES. Dodatkowy koszt jednostkowy na podpis (około 2 do 5 € w zależności od wolumenów) został całkowicie wchłonięty przez spadek kosztów sporów sądowych.

Scenariusz 2 — Średnia firma zarządzająca umowami transborderowymi z dostawcami

Średnia firma (ETI) sektora wyposażenia przemysłowego, z dostawcami w Francji, Niemczech, Włoszech i Polsce, musiała do tej pory wysyłać umowy ramowe pocztą lub organizować spotkania w celu podpisania, co wymagało 10 do 21 dni roboczych na umowę.

Wdrażając rozwiązanie połączone z PSCQ wpisanym na europejską Trust List, firma zmniejszyła cykl podpisywania do poniżej 48 godzin średnio. Wzajemne uznanie między państwami członkowskimi gwarantuje wartość prawną bez potrzeby dodatkowej legalizacji. Na portfelu 350 umów dostawców rocznie szacunkowy zysk z kosztów administracyjnych i logistycznych przekracza 40 000 € rocznie, zgodnie z zakresami spójnymi z badaniami sektorów publikowanymi przez ACFE i APQC.

Scenariusz 3 — Szpitalny zespół zainteresowany wymogami sektora zdrowotnego

Szpitalny zespół około 1 200 łóżek musi elektronicznie podpisywać umowy o zamówieniach publicznych, umowy badań klinicznych i umowy lekarzy szpitalnych. Dokumenty te podlegają Kodeksowi zamówień publicznych, który wymaga podpisu elektronicznego zgodnego z RGS (Ogólnym Wytycznym Bezpieczeństwa) poziomu ** lub, od czasu demateriazlizacji zamówień publicznych, na poziomie równoważnym eIDAS.

Polegając na PSCQ wpisanym na francuską Trust List, zespół gwarantuje zgodność z artykułem R. 2132-7 Kodeksu zamówień publicznych, jednocześnie zmniejszając czasy podpisywania umów z 15 dni do poniżej 72 godzin. Integracja API z szpitalnym systemem informacyjnym (SIH) umożliwiła automatyzację wysyłania i śledzenia dokumentów, zwalniając około 0,4 FTE na zadaniach administracyjnych związanych z umowami.

Podsumowanie

Wybór dostawcy eIDAS kwalifikowanego nie jest prostym zakupem oprogramowania: to decyzja strategiczna, która angażuje wartość dowodową Twoich umów, zgodność regulacyjną Twojej organizacji i zaufanie Twoich partnerów biznesowych i instytucjonalnych. W 2026 roku, z wdrażaniem eIDAS 2.0 i nowymi obowiązkami NIS2, poziom wymagań tylko się zwiększa.

Kluczowe punkty do zapamiętania: zawsze weryfikuj wpisanie na oficjalną Trust List, wymagaj opublikowanej polityki certyfikacji i dostosuj poziom podpisu (QES, AES, SES) do znaczenia prawnego każdego dokumentu.

Certyneo wspiera Cię w tym procesie, dając dostęp do certyfikatów kwalifikowanych za pośrednictwem zarejestrowanych PSCQ, solidnego interfejsu API i dedykowanego wsparcia prawnego. Gotowy przejść na podpis kwalifikowany? Poproś o demo lub stwórz swoje konto na Certyneo i wprowadź swoją organizację w zgodność dzisiaj.