Certificação eIDAS 2 para prestadores de serviços de assinatura eletrônica em 2026

Por que a certificação eIDAS 2 muda o jogo para os prestadores de serviços

Desde a entrada em vigor do regulamento (UE) 2024/1183 de 11 de abril de 2024 — comumente chamado eIDAS 2 — os prestadores de serviços de confiança (PSC) que operam na União Europeia enfrentam um marco regulatório profundamente reformulado. A revisão do regulamento eIDAS original de 2014 não se limita a ampliar o escopo dos serviços reconhecidos: ela endureceu significativamente as condições de acreditação, introduz novos níveis de garantia e reforça os requisitos de supervisão dos organismos de controle nacionais. Para qualquer ator que deseje oferecer serviços de assinatura eletrônica qualificada (QES) ou avançada (AdES) no mercado europeu, compreender como obter uma certificação eIDAS 2 para prestador de assinatura não é mais uma opção — é uma obrigação estratégica.

Este artigo apresenta um panorama exaustivo do percurso de certificação: textos aplicáveis, normas técnicas a respeitar, papel dos organismos de avaliação de conformidade (CAB), prazos realistas e pontos de atenção operacionais.

---

A nova paisagem regulatória eIDAS 2: o que mudou

Do regulamento 910/2014 ao regulamento 2024/1183: as principais evoluções

O regulamento eIDAS original (nº 910/2014) havia estabelecido as fundações de um mercado único digital de confiança na Europa. Definia três níveis de assinatura — simples, avançada e qualificada — e impunha aos prestadores qualificados que figurassem nas listas de confiança nacionais (TSL, Trust Service Lists). O eIDAS 2 preserva essa arquitetura, mas a enriquece em vários pontos estruturantes:

• Extensão dos serviços qualificados: arquivo eletrônico qualificado, atestados eletrônicos de atributos (AEA), gestão remota de dispositivos de criação de assinatura qualificada (QSCD). Esses novos serviços agora estão sujeitos ao mesmo procedimento de acreditação que a assinatura qualificada.
• A carteira europeia de identidade digital (EUDIW): os prestadores que desejam interagir com a futura carteira de identidade devem demonstrar conformidade com as especificações técnicas publicadas pela Comissão (ARF — Architecture and Reference Framework, v1.4, 2024).
• Fortalecimento da supervisão: as autoridades de supervisão nacionais (na França, a ANSSI) dispõem de poderes de investigação e injunção reforçados. Os PSC qualificados podem estar sujeitos a auditorias inopinadas.
• Prazos de notificação reduzidos: qualquer incidente de segurança significativo deve ser notificado à autoridade competente em 24 horas (em comparação com 72 horas na versão anterior para certos incidentes).

Para uma visão geral do regulamento, o guia eIDAS 2.0 da Certyneo oferece um resumo pedagógico de todas essas evoluções.

Os níveis de garantia e suas implicações para a certificação

A distinção entre assinatura eletrônica avançada e qualificada continua sendo o centro do sistema. Apenas a QES se beneficia de uma presunção legal de integridade e imputabilidade equivalente à assinatura manuscrita (art. 25 do regulamento eIDAS 2). Essa presunção está diretamente condicionada à certificação do prestador.

| Nível | Valor probatório | Requisito do prestador | |---|---|---| | Simples (SES) | Limitado | Nenhum | | Avançada (AdES) | Significativo | Boas práticas + normas ETSI | | Qualificada (QES) | Máximo (presunção legal) | Certificação eIDAS 2 obrigatória |

---

O processo de certificação eIDAS 2 passo a passo

Etapa 1 — Pré-requisitos organizacionais e técnicos

Antes de formalmente iniciar o processo de certificação, um prestador deve avaliar seu nível de maturidade em três eixos:

1. Conformidade com as normas ETSI As normas da série EN 319 constituem a base técnica incontornável. As principais são:

• ETSI EN 319 401: requisitos gerais para prestadores de serviços de confiança
• ETSI EN 319 411-1 e 411-2: políticas e requisitos para autoridades de certificação que emitem certificados (perfis PTC-QC para certificações qualificadas)
• ETSI EN 319 421: política e requisitos para prestadores de serviços de carimbo de tempo
• ETSI EN 319 132: formatos de assinatura XAdES (XML), e a série associada CAdES (CMS) e PAdES (PDF)

A conformidade com essas normas não é opcional para prestadores qualificados: é explicitamente exigida pelos atos de execução da Comissão Europeia.

2. Segurança dos sistemas de informação Os QSCD (dispositivos de criação de assinatura qualificada) devem ser certificados de acordo com os Common Criteria (CC) EAL4+ ou equivalente. Para soluções de assinatura remota — modelo dominante em SaaS — os requisitos também abrangem os módulos HSM (Hardware Security Module) e os procedimentos de gestão de chaves criptográficas (conformidade FIPS 140-2 nível 3 mínimo).

3. Política de segurança (PSSI) e gestão de riscos O dossiê de certificação exige uma PSSI formalizada, alinhada com ISO/IEC 27001 (cuja certificação é fortemente recomendada e às vezes exigida pelos CAB) e integrando os requisitos NIS2 para entidades qualificadas como "importantes" ou "essenciais".

Etapa 2 — Escolha e engajamento de um organismo de avaliação de conformidade (CAB)

Na França, os CAB acreditados pelo COFRAC (Comitê Francês de Acreditação) para avaliar prestadores de serviços de confiança são poucos. A título de exemplo, LSTI (Laboratoire de Sécurité des Technologies de l'Information) e Bureau Veritas Certification figuram entre os atores referenciados. Em escala europeia, cada Estado-membro publica a lista de seus CAB notificados.

O papel do CAB é conduzir uma auditoria de conformidade em duas fases:

1. Revisão documental (Fase 1): exame das políticas, procedimentos, Declaração de Práticas de Certificação (DPC / CPS) e provas técnicas.
2. Auditoria no local (Fase 2): verificação dos controles operacionais, testes de penetração, entrevistas com as equipes.

A duração total de uma auditoria CAB varia geralmente de 4 a 8 semanas dependendo da maturidade prévia do candidato.

Etapa 3 — Instrução pela autoridade de supervisão nacional

Na França, é a ANSSI (Agência Nacional de Segurança dos Sistemas de Informação) que instrui os pedidos de inscrição na lista de confiança nacional (TSL FR). Com base no relatório de auditoria CAB, a ANSSI conduz sua própria análise e pode solicitar informações complementares ou medidas corretivas.

O prazo regulatório de instrução é de 3 meses a contar do recebimento de um dossiê completo (art. 17 do regulamento eIDAS 2). Na prática, os prazos reais são frequentemente mais longos se o dossiê inicial estiver incompleto.

Uma vez inscrito na TSL nacional, o prestador é automaticamente referenciado na EUTL (EU Trusted List), publicada pela Comissão Europeia, o que lhe confere reconhecimento transfronteiriço imediato nos 27 Estados-membros.

Etapa 4 — Manutenção da qualificação e renovação

A certificação eIDAS 2 não é definitiva. Os prestadores qualificados estão sujeitos a:

• Uma auditoria de vigilância anual conduzida pelo CAB
• Uma auditoria de renovação completa a cada 24 meses (ciclo encurtado em relação à prática anterior)
• Controles inopinados possíveis por iniciativa da ANSSI

Qualquer modificação substancial da infraestrutura (mudança de HSM, evolução da PKI, novo serviço qualificado) desencadeia um procedimento de notificação prévia e pode impor uma auditoria parcial.

---

Custos, prazos e fatores de risco: o que os DSI devem antecipar

Orçamento e recursos humanos

O custo de uma primeira certificação eIDAS 2 é significativo. Os itens de despesa incluem:

• Auditoria CAB: entre 40.000 € e 120.000 € dependendo da complexidade do escopo
• Conformidade técnica (HSM, PKI, QSCD certificados CC): de 80.000 € a várias centenas de milhares de euros para uma infraestrutura proprietária
• Certificação ISO 27001 (recomendada como pré-requisito): 15.000 a 50.000 € dependendo do tamanho
• Taxas de consultoria jurídica e redação DPC: 10.000 a 30.000 €
• Custos internos: mobilização de uma equipe dedicada (RSSI, DPO, responsável de conformidade) durante 12 a 18 meses

Ao cumulativamente somar todos esses itens, uma certificação completa representa um investimento global na ordem de 200.000 a 500.000 € para um prestador de tamanho intermediário, excluindo custos recorrentes de manutenção.

Fatores de risco operacional

As causas mais frequentes de falha ou atraso nos procedimentos de certificação são:

1. Uma DPC insuficientemente detalhada: a Declaração de Práticas de Certificação deve documentar cada controle com uma granularidade às vezes subestimada.
2. Lacunas na gestão do ciclo de vida das chaves: revogação, arquivo, destruição de chaves privadas.
3. Uma governança de incidentes insuficiente: ausência de SIEM, procedimentos de gestão de crise testadas, runbooks.
4. A subestimação de NIS2: desde outubro de 2024, os PSC qualificados são automaticamente classificados como entidades "importantes" sob a perspectiva da diretiva NIS2, com obrigações adicionais de notificação e gestão de riscos.

Para empresas que desejam delegar essas restrições a um prestador já certificado em vez de construir sua própria infraestrutura, o comparativo das soluções de assinatura eletrônica disponível em Certyneo ajuda a objetivar essa escolha de build-vs-buy.

---

eIDAS 2 e assinatura eletrônica em empresa: desafios de transição

Para empresas usuárias — em contraste com prestadores — a certificação eIDAS 2 do seu fornecedor SaaS de assinatura é um critério de seleção agora incontornável. Integrar nos editais uma cláusula exigindo presença na TSL nacional tornou-se uma prática padrão nos setores regulados (finanças, saúde, imóveis).

A assinatura eletrônica em empresa impõe de fato distinguir claramente os casos de uso que necessitam de QES — atos entre partes com forte enjôo, mandatos, atos notariais eletrônicos — daqueles onde AdES é suficiente. Esse mapeamento de usos condiciona diretamente o nível de serviço exigível contratualmente ao prestador.

As organizações que migram de uma solução existente para um prestador certificado eIDAS 2 também devem antecipar a portabilidade dos arquivos de provas. O guia sobre migração do DocuSign ou YouSign para Certyneo detalha as boas práticas para preservar o valor probatório dos documentos já assinados durante a transição.

Marco legal aplicável à certificação eIDAS 2

Textos fundadores

A certificação de prestadores de serviços de confiança repousa em um empilhamento normativo denso que deve ser dominado em sua totalidade:

Regulamento (UE) 2024/1183 de 11 de abril de 2024 (eIDAS 2): texto de referência que revoga e substitui as disposições correspondentes do regulamento 910/2014. Define as condições para obtenção e manutenção do status de prestador qualificado, as obrigações de supervisão nacional e os requisitos relativos aos novos serviços (EUDIW, AEA).

Regulamento (UE) n° 910/2014 (eIDAS 1): ainda parcialmente aplicável para as disposições não modificadas; os atos de execução e delegados adotados sob este regulamento permanecem em vigor até sua revisão formal.

Código Civil francês, artigos 1366 e 1367: o artigo 1366 estabelece o princípio da equivalência da assinatura eletrônica com a assinatura manuscrita sob condição de confiabilidade; o artigo 1367 especifica que a confiabilidade é presumida até prova em contrário quando a assinatura qualificada é usada. Essas disposições nacionais articulam-se diretamente com a presunção legal do art. 25 eIDAS 2.

Diretiva (UE) 2022/2555 (NIS2): transposta para a lei francesa pela lei de 15 de outubro de 2024, classifica automaticamente os prestadores de serviços de confiança qualificados entre as entidades importantes. Obrigações: notificação à ANSSI em 72 horas para qualquer incidente significativo, implementação de gestão de riscos cibernéticos formalizada, auditoria de segurança periódica.

Regulamento (UE) 2016/679 (RGPD): os prestadores de serviços de assinatura processam dados pessoais sensíveis (identidade dos signatários, registros de auditoria). O respeito aos princípios de minimização, limitação de retenção e integridade impõe uma análise de impacto (AIPD) específica. A base legal do tratamento deve ser documentada para cada serviço.

Normas técnicas com valor regulatório

Os atos de execução da Comissão Europeia (especialmente a decisão de execução (UE) 2015/1506 e suas revisões) designam as normas ETSI como presuntivas de conformidade:

• ETSI EN 319 401: requisitos gerais PST
• ETSI EN 319 411-1 e 411-2: políticas de certificação
• ETSI EN 319 421: carimbo de tempo qualificado
• ETSI EN 319 132 / 122 / 102: formatos AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: serviços de assinatura remota

Riscos jurídicos em caso de não-conformidade

O uso fraudulento ou negligente do status de prestador qualificado expõe a sanções administrativas proferidas pela ANSSI (suspensão, remoção da lista de confiança) e a processos criminais (art. 226-17 do Código Penal por falta de segurança de dados pessoais). No plano civil, o questionamento do valor probatório das assinaturas emitidas durante um período de não-conformidade pode comprometer a responsabilidade contratual do prestador perante seus clientes.

Cenários de uso: a certificação eIDAS 2 na prática

Cenário 1 — Um editor SaaS de tamanho intermediário visando qualificação QES

Uma empresa especializada em desmaterialização de documentos, empregando cerca de cem colaboradores e gerenciando vários milhões de transações de assinatura anualmente em nome de clientes nos setores de banco e seguros, decide solicitar a qualificação eIDAS 2 para seu serviço de assinatura eletrônica. Até agora, a empresa oferecia uma assinatura avançada baseada em certificados (AdES), suficiente para a maioria de seus contratos com clientes, mas insuficiente para atos exigindo valor probatório máximo (mandatos SEPA, convenções de prova notarizadas).

Após uma auditoria interna de 3 meses revelando cerca de quinze lacunas principais em relação aos requisitos ETSI EN 319 411-2, a empresa inicia um programa de conformidade em 14 meses. Os principais projetos abrangem a substituição dos HSM existentes por módulos certificados FIPS 140-2 nível 3, a redação de uma DPC de 180 páginas e obtenção de certificação ISO 27001 anteriormente à auditoria CAB. O investimento total atinge 340.000 €. Ao final do processo, a inscrição na TSL francesa permite à empresa acessar editais dos quais era sistematicamente excluída, representando um potencial comercial estimado em 20% de receita adicional.

Cenário 2 — Um agrupamento hospitalar integrando assinatura qualificada para atos medicolegais

Um agrupamento hospitalar de aproximadamente 1.200 leitos deseja desmaterializar seus processos de consentimento informado, delegação de poderes médicos e contratos de pesquisa clínica. Esses documentos pertencem à categoria de atos para os quais QES é exigida ou fortemente recomendada pelos referenciais da HAS e pelo marco legal de dados de saúde (art. L. 1110-4 CSP).

Em vez de certificar uma infraestrutura interna — opção considerada muito custosa e fora do núcleo de negócios — o agrupamento opta pela integração de um prestador terceirizado já inscrito na TSL. O DSI realiza uma auditoria de conformidade do fornecedor com base na lista de verificação ETSI EN 319 401 e verifica a presença efetiva na EUTL antes de qualquer contratação. O desdobramento, realizado em 4 meses, reduz em 65% o tempo de coleta de assinaturas nos dossiês de pesquisa clínica e elimina o risco de contestação jurídica associada ao uso anterior de assinaturas simples para atos sensíveis.

Cenário 3 — Um escritório de advocacia corporativa protegendo seus atos entre partes

Um escritório de advocacia corporativa de aproximadamente trinta sócios, gerenciando anualmente cerca de 400 operações de fusão-aquisição e vendas de fundos de comércio, busca aumentar a confiabilidade da assinatura de seus atos entre partes complexos. O valor unitário das transações tratadas frequentemente ultrapassa um milhão de euros, e qualquer vício de forma pode comprometer a responsabilidade profissional do escritório.

Após análise, a equipe de TI e o sócio-gerente concordam com o requisito contratual mínimo de uma QES emitida por um prestador certificado eIDAS 2 para qualquer ato cujo valor ultrapasse 100.000 €. O critério de seleção do prestador integra obrigatoriamente a verificação da inscrição na TSL nacional e a disponibilidade de um certificado de conformidade ETSI recente (menos de 12 meses). Esse marco permite ao escritório reduzir em mais de 80% os pedidos de contra-perícia sobre a validade das assinaturas durante litígios posteriores, conforme os retornos observados em estruturas comparáveis no setor.

Conclusão

Obter uma certificação eIDAS 2 como prestador de serviços de assinatura eletrônica é um processo exigente, custoso e longo — mas incontornável para qualquer ator que deseje oferecer garantias legais máximas a seus clientes no mercado europeu. Entre conformidade com as normas ETSI, passagem pela auditoria CAB, instrução pela ANSSI e manutenção da qualificação ao longo do tempo, a abordagem mobiliza recursos substanciais durante 12 a 24 meses.

Para empresas usuárias, a boa notícia é que não é necessário construir essa infraestrutura internamente: escolher um prestador SaaS já certificado eIDAS 2 e inscrito na lista de confiança nacional permite beneficiar-se imediatamente da presunção legal anexa à QES, sem suportar os custos de certificação.

Certyneo é um prestador de confiança certificado, projetado para empresas B2B que exigem rigor jurídico e simplicidade de uso. Descubra nossos preços e inicie seu teste gratuito hoje mesmo.