Certificação eIDAS 2 prestatária de assinatura 2026

Por que a certificação eIDAS 2 muda o jogo para os prestadores

Desde a entrada em vigor do regulamento (UE) 2024/1183 de 11 de abril de 2024 — comumente denominado eIDAS 2 — os prestadores de serviços de confiança (PSC) que operam na União Europeia enfrentam um quadro regulatório profundamente reorganizado. A revisão do regulamento eIDAS original de 2014 não se limita a ampliar o perímetro dos serviços reconhecidos: endurecimento significativamente as condições de acreditação, introduz novos níveis de garantia e reforça as exigências de supervisão dos organismos de controle nacionais. Para qualquer ator que deseje oferecer serviços de assinatura eletrônica qualificada (QES) ou avançada (AdES) no mercado europeu, compreender como obter uma certificação eIDAS 2 para prestadora de assinatura não é mais uma opção — é uma obrigação estratégica.

Este artigo apresenta um panorama exaustivo do percurso de certificação: textos aplicáveis, normas técnicas a respeitar, papel dos organismos de avaliação da conformidade (CAB), prazos realistas e pontos de vigilância operacionais.

---

A nova paisagem regulatória eIDAS 2: o que mudou

Do regulamento 910/2014 ao regulamento 2024/1183: as principais evoluções

O regulamento eIDAS original (n° 910/2014) havia estabelecido os fundamentos de um mercado único digital de confiança na Europa. Definia três níveis de assinatura — simples, avançada e qualificada — e exigia que os prestadores qualificados figurassem nas listas de confiança nacionais (TSL, Trust Service Lists). O eIDAS 2 mantém essa arquitetura, mas a enriquece em vários pontos estruturantes:

• Ampliação dos serviços qualificados: arquivamento eletrônico qualificado, atestados eletrônicos de atributos (AEA), gestão remota de dispositivos de criação de assinatura qualificada (QSCD). Estes novos serviços estão agora sujeitos ao mesmo procedimento de acreditação que a assinatura qualificada.
• A carteira europeia de identidade digital (EUDIW): os prestadores que desejam interagir com a futura carteira de identidade devem demonstrar conformidade com as especificações técnicas publicadas pela Comissão (ARF — Architecture and Reference Framework, v1.4, 2024).
• Reforço da supervisão: as autoridades de supervisão nacionais (em França, a ANSSI) têm poderes de investigação e injunção reforçados. Os PSC qualificados podem estar sujeitos a auditorias surpresa.
• Prazos de notificação reduzidos: qualquer incidente de segurança significativo deve ser notificado à autoridade competente em 24 horas (em comparação com 72 horas na versão anterior para certos incidentes).

Para uma visão geral do regulamento, o guia eIDAS 2.0 da Certyneo oferece uma síntese pedagógica de todas essas evoluções.

Os níveis de garantia e suas implicações para a certificação

A distinção entre assinatura eletrônica avançada e qualificada permanece como o eixo do sistema. Apenas a QES beneficia de uma presunção legal de integridade e imputabilidade equivalente à assinatura manuscrita (art. 25 do regulamento eIDAS 2). Essa presunção está diretamente condicionada à certificação do prestador.

| Nível | Valor probatório | Requisito do prestador | |---|---|---| | Simples (SES) | Limitado | Nenhum | | Avançada (AdES) | Significativo | Boas práticas + normas ETSI | | Qualificada (QES) | Máximo (presunção legal) | Certificação eIDAS 2 obrigatória |

---

O processo de certificação eIDAS 2 passo a passo

Etapa 1 — Pré-requisitos organizacionais e técnicos

Antes de formalizar o processo de certificação, um prestador deve auditar seu nível de maturidade em três eixos:

1. Conformidade com as normas ETSI As normas da série EN 319 constituem o alicerce técnico incontornável. As principais são:

• ETSI EN 319 401: requisitos gerais para prestadores de serviços de confiança
• ETSI EN 319 411-1 e 411-2: políticas e requisitos para autoridades de certificação que emitem certificados (perfis PTC-QC para certificações qualificadas)
• ETSI EN 319 421: política e requisitos para prestadores de serviços de carimbo de tempo
• ETSI EN 319 132: formatos de assinatura XAdES (XML) e a série associada CAdES (CMS) e PAdES (PDF)

A conformidade com essas normas não é facultativa para os prestadores qualificados: é explicitamente exigida pelos actos de execução da Comissão Europeia.

2. Segurança dos sistemas de informação Os QSCD (dispositivos de criação de assinatura qualificada) devem ser certificados de acordo com os Critérios Comuns (CC) EAL4+ ou equivalente. Para soluções de assinatura remota — modelo dominante em SaaS — as exigências também incidem sobre os módulos HSM (Hardware Security Module) e procedimentos de gestão de chaves criptográficas (conformidade FIPS 140-2 nível 3 mínimo).

3. Política de segurança (PSSI) e gestão de riscos O dossiê de certificação exige uma PSSI formalizada, alinhada com ISO/IEC 27001 (cuja certificação é fortemente recomendada e às vezes exigida pelos CAB) e integrando os requisitos da NIS2 para as entidades qualificadas de "importantes" ou "essenciais".

Etapa 2 — Seleção e envolvimento de um organismo de avaliação da conformidade (CAB)

Em França, os CAB acreditados pelo COFRAC (Comitê Francês de Acreditação) para avaliar prestadores de serviços de confiança são poucos. A título de exemplo, LSTI (Laboratoire de Sécurité des Technologies de l'Information) e Bureau Veritas Certification figuram entre os atores referenciados. Em escala europeia, cada Estado-Membro publica a lista de seus CAB notificados.

O papel do CAB é conduzir uma auditoria de conformidade em duas fases:

1. Revisão documental (Fase 1): exame de políticas, procedimentos, Declaração de Práticas de Certificação (DPC / CPS) e provas técnicas.
2. Auditoria no local (Fase 2): verificação de controles operacionais, testes de penetração, entrevistas com as equipes.

A duração total de uma auditoria CAB varia geralmente de 4 a 8 semanas dependendo da maturidade prévia do candidato.

Etapa 3 — Instrução pela autoridade de supervisão nacional

Em França, é a ANSSI (Agência Nacional de Segurança dos Sistemas de Informação) que instrui os pedidos de inscrição na lista de confiança nacional (TSL FR). Com base no relatório de auditoria do CAB, a ANSSI conduz sua própria análise e pode solicitar informações complementares ou medidas corretivas.

O prazo regulatório de instrução é de 3 meses a contar da receção de um dossiê completo (art. 17 do regulamento eIDAS 2). Na prática, os prazos efetivos costumam ser mais longos se o dossiê inicial estiver incompleto.

Uma vez inscrito na TSL nacional, o prestador é automaticamente referenciado na EUTL (EU Trusted List), publicada pela Comissão Europeia, o que lhe confere reconhecimento transfronteiriço imediato nos 27 Estados-Membros.

Etapa 4 — Manutenção da qualificação e renovação

A certificação eIDAS 2 não é definitiva. Os prestadores qualificados estão sujeitos a:

• Uma auditoria de vigilância anual conduzida pelo CAB
• Uma auditoria de renovação completa a cada 24 meses (ciclo encurtado em comparação com a prática anterior)
• Controles inopinados possíveis à iniciativa da ANSSI

Qualquer modificação substantiva da infraestrutura (mudança de HSM, evolução da PKI, novo serviço qualificado) desencadeia um procedimento de notificação prévia e pode impor uma auditoria parcial.

---

Custos, prazos e fatores de risco: o que os DSI devem antecipar

Orçamento e recursos humanos

O custo de uma primeira certificação eIDAS 2 é significativo. Os postos de despesa incluem:

• Auditoria CAB: entre 40 000 € e 120 000 € dependendo da complexidade do perímetro
• Adequação técnica (HSM, PKI, QSCD certificados CC): de 80 000 € a várias centenas de milhares de euros para uma infraestrutura proprietária
• Certificação ISO 27001 (recomendada como pré-requisito): 15 000 a 50 000 € dependendo do tamanho
• Custos de consultoria jurídica e redação DPC: 10 000 a 30 000 €
• Custos internos: mobilização de uma equipe dedicada (RSSI, DPO, responsável de conformidade) durante 12 a 18 meses

Acumulando todos esses postos, uma certificação completa representa um investimento global da ordem de 200 000 a 500 000 € para um prestador de tamanho intermédio, sem incluir custos recorrentes de manutenção.

Fatores de risco operacionais

As causas mais frequentes de falha ou atraso nos procedimentos de certificação são:

1. Uma DPC insuficientemente detalhada: a Declaração de Práticas de Certificação deve documentar cada controle com uma granularidade às vezes subestimada.
2. Lacunas na gestão do ciclo de vida das chaves: revogação, arquivamento, destruição das chaves privadas.
3. Uma governança de incidentes insuficiente: ausência de SIEM, procedimentos de gestão de crise testadas, runbooks.
4. A subestimação da NIS2: desde outubro de 2024, os PSC qualificados são automaticamente classificados como entidades "importantes" conforme a diretiva NIS2, com obrigações adicionais de notificação e gestão de riscos.

Para empresas que desejam delegar essas restrições a um prestador já certificado em vez de construir sua própria infraestrutura, o comparativo das soluções de assinatura eletrônica disponível na Certyneo ajuda a objetivar essa escolha de build-vs-buy.

---

eIDAS 2 e assinatura eletrônica em empresa: desafios de transição

Para empresas usuárias — em oposição aos prestadores — a certificação eIDAS 2 de seu fornecedor SaaS de assinatura é um critério de seleção agora incontornável. Integrar em convites para licitar uma cláusula exigindo presença na TSL nacional tornou-se uma prática padrão nos setores regulados (financeiro, saúde, imobiliário).

A assinatura eletrônica em empresa de fato exige distinguir claramente os casos de uso que necessitam QES — atos sob assinatura privada de alto risco, mandatos, atos notariais eletrônicos — daqueles em que uma AdES é suficiente. Esse mapeamento de usos condiciona diretamente o nível de serviço contratualmente exigível ao prestador.

As organizações que migram de uma solução existente para um prestador certificado eIDAS 2 também devem antecipar a portabilidade dos arquivos de provas. O guia sobre a migração do DocuSign ou YouSign para Certyneo detalha as boas práticas para preservar o valor probatório dos documentos já assinados durante a transição.

Quadro legal aplicável à certificação eIDAS 2

Textos fundadores

A certificação dos prestadores de serviços de confiança repousa numa sobreposição normativa densa que deve ser dominada em sua integridade:

Regulamento (UE) 2024/1183 de 11 de abril de 2024 (eIDAS 2): texto de referência que revoga e substitui as disposições correspondentes do regulamento 910/2014. Define as condições para obtenção e manutenção do estatuto de prestador qualificado, as obrigações de supervisão nacional e os requisitos relativos aos novos serviços (EUDIW, AEA).

Regulamento (UE) n° 910/2014 (eIDAS 1): ainda parcialmente aplicável para as disposições não modificadas; os actos de execução e delegados adotados sob este regulamento permanecem em vigor até sua revisão formal.

Código Civil francês, artigos 1366 e 1367: o artigo 1366 estabelece o princípio de equivalência da assinatura eletrônica à assinatura manuscrita sob condição de confiabilidade; o artigo 1367 esclarece que a confiabilidade é presumida até prova em contrário quando a assinatura qualificada é utilizada. Essas disposições nacionais articulam-se diretamente com a presunção legal do art. 25 eIDAS 2.

Diretiva (UE) 2022/2555 (NIS2): transposta para o direito francês pela lei de 15 de outubro de 2024, classifica automaticamente os prestadores de serviços de confiança qualificados entre as entidades importantes. Obrigações: notificação à ANSSI em 72 horas para qualquer incidente significativo, implementação de gestão de riscos cibernéticos formalizada, auditoria de segurança periódica.

Regulamento (UE) 2016/679 (RGPD): os prestadores de serviços de assinatura processam dados pessoais sensíveis (identidade dos signatários, registos de auditoria). O respeito aos princípios de minimização, limitação de retenção e integridade impõe uma análise de impacto (AIPD) específica. A base legal do processamento deve ser documentada para cada serviço.

Normas técnicas com valor regulatório

Os actos de execução da Comissão Europeia (nomeadamente a decisão de execução (UE) 2015/1506 e suas revisões) designam as normas ETSI como presuntivamente conformes:

• ETSI EN 319 401: requisitos gerais TSP
• ETSI EN 319 411-1 e 411-2: políticas de certificação
• ETSI EN 319 421: carimbo de tempo qualificado
• ETSI EN 319 132 / 122 / 102: formatos AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: serviços de assinatura remota

Riscos legais em caso de não-conformidade

O uso fraudulento ou negligente do estatuto de prestador qualificado expõe a sanções administrativas pronunciadas pela ANSSI (suspensão, retirada da lista de confiança) e a processos penais (art. 226-17 do Código Penal por deficiência de segurança de dados pessoais). No plano civil, o questionamento do valor probatório das assinaturas emitidas durante um período de não-conformidade pode comprometer a responsabilidade contratual do prestador junto aos seus clientes.

Cenários de uso: a certificação eIDAS 2 na prática

Cenário 1 — Um editor SaaS de tamanho intermédio visando qualificação QES

Uma empresa especializada em desmaterialização documental, empregando cerca de cem colaboradores e gerenciando vários milhões de transações de assinatura por ano para clientes nos setores bancário e segurador, decide solicitar a qualificação eIDAS 2 para seu serviço de assinatura eletrônica. Até então, a empresa oferecia uma assinatura avançada baseada em certificados (AdES), suficiente para a maioria de seus contratos com clientes, mas insuficiente para atos que exigem valor probatório máximo (mandatos SEPA, convenções de prova notarizadas).

Após uma auditoria interna de 3 meses revelando cerca de quinze desvios maiores em relação aos requisitos ETSI EN 319 411-2, a empresa inicia um programa de adequação em 14 meses. Os principais projetos envolvem a substituição dos HSM existentes por módulos certificados FIPS 140-2 nível 3, a redação de uma DPC de 180 páginas e a obtenção de certificação ISO 27001 antes da auditoria CAB. O investimento total atinge 340 000 €. Após o processo, a inscrição na TSL francesa permite à empresa acessar licitações das quais estava sistematicamente excluída, representando um potencial comercial estimado em 20% de receitas adicionais.

Cenário 2 — Um agrupamento hospitalar integrando assinatura qualificada para atos médico-legais

Um agrupamento hospitalar de aproximadamente 1 200 camas deseja desmaterializar seus processos de consentimento informado, delegação de poderes médicos e contratos de pesquisa clínica. Esses documentos pertencem à categoria de atos para os quais a QES é exigida ou fortemente recomendada pelos referenciáis da HAS e pelo quadro legal de dados de saúde (art. L. 1110-4 CSP).

Em vez de certificar uma infraestrutura interna — opção considerada muito cara e fora do escopo principal — o agrupamento opta pela integração de um prestador terceirizado já inscrito na TSL. O TI realiza uma auditoria de conformidade do fornecedor com base na lista de verificação ETSI EN 319 401 e verifica a presença efetiva na EUTL antes de qualquer contratualização. O desdobramento, realizado em 4 meses, reduz em 65% o tempo de coleta de assinaturas em dossiês de pesquisa clínica e elimina o risco de contestação legal relacionado ao uso anterior de assinaturas simples para atos sensíveis.

Cenário 3 — Um escritório de advocacia de negócios garantindo seus atos sob assinatura privada

Um escritório de advocacia de negócios com cerca de trinta sócios, gerenciando anualmente perto de 400 operações de fusão-aquisição e cessões de fundo de comércio, busca garantir a assinatura de seus atos sob assinatura privada complexos. O valor unitário das transações tratadas frequentemente excede um milhão de euros, e qualquer vício de forma pode comprometer a responsabilidade profissional do escritório.

Após análise, a equipe de TI e o sócio-gerente concordam que a exigência contratual mínima é uma QES emitida por um prestador certificado eIDAS 2 para qualquer ato cujo valor exceda 100 000 €. O critério de seleção do prestador integra obrigatoriamente a verificação de inscrição na TSL nacional e a disponibilidade de um certificado de conformidade ETSI recente (menos de 12 meses). Esse quadro permite ao escritório reduzir em mais de 80% os pedidos de contra-perícia sobre a validade das assinaturas em litígios posteriores, conforme feedback observado em estruturas comparáveis no setor.

Conclusão

Obter uma certificação eIDAS 2 como prestador de serviços de assinatura eletrônica é um processo exigente, custoso e longo — mas incontornável para qualquer ator que deseje oferecer garantias legais máximas aos seus clientes no mercado europeu. Entre a adequação às normas ETSI, passagem pela auditoria CAB, instrução pela ANSSI e manutenção da qualificação no tempo, o processo mobiliza recursos substanciais durante 12 a 24 meses.

Para empresas usuárias, a boa notícia é que não é necessário construir essa infraestrutura internamente: escolher um prestador SaaS já certificado eIDAS 2 e inscrito na lista de confiança nacional permite beneficiar imediatamente da presunção legal anexa à QES, sem arcar com os custos de certificação.

Certyneo é um prestador de confiança certificado, concebido para empresas B2B que exigem rigor jurídico e simplicidade de uso. Descubra nossos preços e comece seu teste gratuito hoje mesmo.