Certificare eIDAS 2 furnizor semnătură 2026

De ce certificarea eIDAS 2 schimbă regulile pentru furnizori

Odată cu intrarea în vigoare a Regulamentului (UE) 2024/1183 din 11 aprilie 2024 — cunoscut sub numele de eIDAS 2 — furnizorii de servicii de încredere (PSC) care operează în Uniunea Europeană se confruntă cu un cadru reglementar profund restructurat. Revizuirea Regulamentului eIDAS original din 2014 nu se limitează la extinderea perimetrului serviciilor recunoscute: aceasta întărește semnificativ condițiile de acreditare, introduce noi niveluri de garanție și consolidează cerințele de supraveghere ale organismelor de control naționale. Pentru orice actor care dorește să ofere servicii de semnătură electronică calificată (QES) sau avansată (AdES) pe piața europeană, înțelegerea modului de obținere a unei certificări eIDAS 2 pentru furnizor semnătură nu mai este o opțiune — este o obligație strategică.

Acest articol prezintă o privire de ansamblu exhaustivă a parcursului de certificare: texte aplicabile, norme tehnice de respectat, rolul organismelor de evaluare a conformității (CAB), termene realiste și puncte de atenție operaționale.

---

Noul peisaj reglementar eIDAS 2: ce s-a schimbat

De la Regulamentul 910/2014 la Regulamentul 2024/1183: evoluțiile majore

Regulamentul eIDAS original (nr. 910/2014) a pus bazele unei piețe europene unice digitale de încredere. A definit trei niveluri de semnătură — simplă, avansată și calificată — și a impus furnizorilor calificați să figureze pe listele de încredere naționale (TSL, Trust Service Lists). eIDAS 2 păstrează această arhitectură, dar o îmbogățește pe mai multe puncte structurante:

• Extinderea serviciilor calificante: arhivare electronică calificată, atestări electronice de atribute (AEA), gestionare de la distanță a dispozitivelor de creare a semnăturii calificata (QSCD). Aceste noi servicii sunt acum supuse aceleiași proceduri de acreditare ca semnătura calificată.
• Portofelul european de identitate digitală (EUDIW): furnizorii care doresc să interacționeze cu viitorul portofel de identitate trebuie să demonstreze conformitatea cu specificațiile tehnice publicate de Comisie (ARF — Architecture and Reference Framework, v1.4, 2024).
• Consolidarea supravegherii: autoritățile de supraveghere naționale (în Franța, ANSSI) au puteri de investigație și injuncție consolidate. PSC-urile calificante pot fi supuse auditurilor inopinate.
• Termene de notificare reduse: orice incident de securitate semnificativ trebuie notificat autorității competente în termen de 24 de ore (față de 72 de ore în versiunea anterioară pentru anumite incidente).

Pentru o privire de ansamblu a Regulamentului, ghidul eIDAS 2.0 al Certyneo oferă o sinteză pedagogică a tuturor acestor evoluții.

Nivelurile de garanție și implicațiile lor pentru certificare

Distincția între semnătura electronică avansată și calificată rămâne pivotul sistemului. Doar QES beneficiază de o presupunere legală a integrității și imputabilității echivalentă cu semnătura de mână (art. 25 al Regulamentului eIDAS 2). Această presupunere este direct condițională de certificarea furnizorului.

| Nivel | Valoare de probă | Cerință furnizor | |---|---|---| | Simplă (SES) | Limitată | Niciuna | | Avansată (AdES) | Semnificativă | Bune practici + norme ETSI | | Calificată (QES) | Maximă (presupunere legală) | Certificare eIDAS 2 obligatorie |

---

Procesul de certificare eIDAS 2 pas cu pas

Etapa 1 — Condiții preliminare organizaționale și tehnice

Înainte de angajarea formală a procesului de certificare, un furnizor trebuie să-și verifice nivelul de maturitate pe trei axe:

1. Conformitate cu normele ETSI Normele din seria EN 319 constituie baza tehnică incontestabilă. Principalele sunt:

• ETSI EN 319 401: cerințe generale pentru furnizorii de servicii de încredere
• ETSI EN 319 411-1 și 411-2: politici și cerințe pentru autoritățile de certificare care emit certificste (profiluri PTC-QC pentru certificările calificante)
• ETSI EN 319 421: politică și cerințe pentru furnizorii de servicii de marcare a timpului
• ETSI EN 319 132: formate de semnătură XAdES (XML), și seria asociată CAdES (CMS) și PAdES (PDF)

Conformitatea cu aceste norme nu este facultativă pentru furnizorii calificanti: este explicit cerută de actele de execuție ale Comisiei Europene.

2. Securitatea sistemelor de informații QSCD-urile (dispozitive de creare a semnăturii calificata) trebuie să fie certificate conform Common Criteria (CC) EAL4+ sau echivalent. Pentru soluțiile de semnătură de la distanță — model dominant în SaaS — cerințele se referă, de asemenea, la modulele HSM (Hardware Security Module) și procedurile de gestionare a cheilor criptografice (conformitate FIPS 140-2 nivel 3 minimum).

3. Politică de securitate (PSSI) și gestionarea riscurilor Dosarul de certificare necesită o PSSI formalizată, aliniată cu ISO/IEC 27001 (a cărei certificare este puternic recomandată și uneori cerută de CAB) și care incorporate cerințele NIS2 pentru entitățile calificate ca „importante" sau „esențiale".

Etapa 2 — Alegerea și angajarea unui organism de evaluare a conformității (CAB)

În Franța, CAB-urile acreditate de COFRAC (Comité Français d'Accréditation) pentru a evalua furnizorii de servicii de încredere sunt puține la număr. De exemplu, LSTI (Laboratoire de Sécurité des Technologies de l'Information) și Bureau Veritas Certification figurează printre actorii referențiați. La nivel european, fiecare stat membru publică lista CAB-urilor notificate ale sale.

Rolul CAB este de a conduce un audit de conformitate în două faze:

1. Examinare documentară (Faza 1): examinarea politicilor, procedurilor, Declarației de Practici de Certificare (DPC / CPS) și dovezilor tehnice.
2. Audit la sediu (Faza 2): verificarea controalelor operaționale, teste de penetrare, interviuri cu echipele.

Durata totală a unui audit CAB variază în general de la 4 la 8 săptămâni în funcție de maturitatea anterioară a candidatului.

Etapa 3 — Examinare de către autoritatea de supraveghere națională

În Franța, este ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) care examinează cererile de înscriere pe lista de încredere națională (TSL FR). Pe baza raportului de audit CAB, ANSSI conduce propria analiză și poate solicita informații suplimentare sau măsuri corective.

Termenul reglementar de examinare este de 3 luni de la primirea unui dosar complet (art. 17 al Regulamentului eIDAS 2). În practică, termenele efective sunt adesea mai lungi dacă dosarul inițial este incomplet.

Odată înscris pe TSL-ul național, furnizorul este automat referențiat în EUTL (EU Trusted List), publicată de Comisia Europeană, ceea ce îi conferă recunoaștere transfrontalieră imediată în cele 27 de state membre.

Etapa 4 — Menținerea calificării și reînnoire

Certificarea eIDAS 2 nu este definitivă. Furnizorii calificanti sunt supuși la:

• Un audit de supraveghere anual condus de CAB
• Un audit de reînnoire complet la fiecare 24 de luni (ciclu redus comparativ cu practica anterioară)
• Controale inopinate posibile la inițiativa ANSSI

Orice modificare substanțială a infrastructurii (schimbarea HSM, evoluția PKI, nou serviciu calificat) declanșează o procedură de notificare prealabilă și poate impune un audit parțial.

---

Costuri, termene și factori de risc: ce trebuie să anticipeze DSI-urile

Buget și resurse umane

Costul unei prime certificări eIDAS 2 este semnificativ. Posurile de cheltuieli includ:

• Audit CAB: între 40 000 € și 120 000 € în funcție de complexitatea perimetrului
• Conformitate tehnică (HSM, PKI, QSCD certificate CC): de la 80 000 € la sute de mii de euro pentru o infrastructură proprietară
• Certificare ISO 27001 (recomandată ca preambul): 15 000 la 50 000 € în funcție de dimensiune
• Taxe de consiliere juridică și redactare DPC: 10 000 la 30 000 €
• Costuri interne: mobilizare a unei echipe dedicate (RSSI, DPO, responsabil de conformitate) pe durata de 12 la 18 luni

Cumulând toate aceste posturi, o certificare completă reprezintă un investiție globală de ordinul 200 000 la 500 000 € pentru un furnizor de dimensiune medie, fără costurile recurente de menținere.

Factori de risc operațional

Cauzele cele mai frecvente de eșec sau întârziere în procedurile de certificare sunt:

1. O DPC insuficient de detaliată: Declarația de Practici de Certificare trebuie să documenteze fiecare control cu o granularitate uneori subestimată.
2. Lacune în gestionarea ciclului de viață al cheilor: revocare, arhivare, distrugere a cheilor private.
3. O guvernanță a incidentelor insuficientă: absența SIEM, a procedurilor de gestionare a crizei testate, a runbooks.
4. Subestimarea NIS2: din octombrie 2024, PSC-urile calificante sunt automat clasificate ca entități „importante" în sensul Directivei NIS2, cu obligații suplimentare de notificare și gestionare a riscurilor.

Pentru întreprinderile care doresc să delegheze aceste constrângeri unui furnizor deja certificat mai degrabă decât să construiască propria infrastructură, comparativul soluțiilor de semnătură electronică disponibil pe Certyneo ajută la obiectivarea acestei alegeri de build-vs-buy.

---

eIDAS 2 și semnătura electronică în întreprindere: enjuri de tranziție

Pentru întreprinderile utilizatoare — în contrast cu furnizorii — certificarea eIDAS 2 a furnizorului lor SaaS de semnătură este un criteriu de selecție acum incontestabil. Integrarea într-o cerere de ofertă a unei clauze exigând prezența pe TSL-ul național a devenit practică standard în sectoarele reglementate (finanțe, sănătate, imobiliare).

Semnătura electronică în întreprindere impune într-adevăr să distingem clar cazurile de utilizare necesitând QES — acte sub semnătură privată cu miz mare, mandii, acte notariale electronice — de cele în care AdES este suficientă. Această hartă a utilizărilor condiționează direct nivelul de serviciu contractual exigibil furnizorului.

Organizațiile care migrează de la o soluție existentă la un furnizor certificat eIDAS 2 trebuie, de asemenea, să anticipeze portabilitatea arhivelor de dovezi. Ghidul privind migrarea de la DocuSign sau YouSign la Certyneo detaliază bunele practici pentru a păstra valoarea de probă a documentelor deja semnate în timpul tranziției.

Cadrul legal aplicabil certificării eIDAS 2

Texte fundamentale

Certificarea furnizorilor de servicii de încredere se bazează pe o superpoziție norativă densă pe care trebuie să o stăpânești în totalitate:

Regulamentul (UE) 2024/1183 din 11 aprilie 2024 (eIDAS 2): text de referință care abrogă și înlocuiește dispozițiile corespunzătoare ale Regulamentului 910/2014. Definește condițiile de obținere și menținere a statutului de furnizor calificat, obligațiile de supraveghere națională și cerințele privind noile servicii (EUDIW, AEA).

Regulamentul (UE) nr. 910/2014 (eIDAS 1): încă parțial aplicabil pentru dispozițiile nemodificate; actele de execuție și de delegare adoptate sub acest Regulament rămân în vigoare până la revizuirea lor formală.

Codul civil francez, articolele 1366 și 1367: articolul 1366 stabilește principiul echivalenței semnăturii electronice cu semnătura de mână sub condiția fiabilității; articolul 1367 precizează că fiabilitatea este presupusă până la dovada contrarie atunci când se utilizează semnătura calificată. Aceste dispoziții naționale se articulează direct cu presupunerea legală din art. 25 eIDAS 2.

Directiva (UE) 2022/2555 (NIS2): transpusă în dreptul francez prin legea din 15 octombrie 2024, clasifică automat furnizorii de servicii de încredere calificati printre entitățile importante. Obligații: notificare ANSSI în termen de 72 de ore pentru orice incident semnificativ, implementare a unei gestionări formalizate a riscurilor cibernautice, audit de securitate periodic.

Regulamentul (UE) 2016/679 (RGPD): furnizorii de servicii de semnătură prelucrează date personale sensibile (identitatea semnatarilor, jurnale de audit). Respectarea principiilor de minimizare, limitare a conservării și integritate impune o analiză de impact specifică (AIPD). Baza legală a prelucrării trebuie documentată pentru fiecare serviciu.

Norme tehnice cu valoare reglementară

Actele de execuție ale Comisiei Europene (în special decizia de execuție (UE) 2015/1506 și revizuirile sale) desemnează normele ETSI ca o presupunere de conformitate:

• ETSI EN 319 401: cerințe generale TSP
• ETSI EN 319 411-1 și 411-2: politici de certificare
• ETSI EN 319 421: marcă de timp calificată
• ETSI EN 319 132 / 122 / 102: formate AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: servicii de semnătură de la distanță

Riscuri juridice în caz de neconformitate

Utilizarea frauduloasă sau neglijentă a statutului de furnizor calificat expune la sancțiuni administrative pronunțate de ANSSI (suspendare, retragere din lista de încredere) și la urmărire penală (art. 226-17 din Codul penal pentru defecte de securitate a datelor personale). Din perspectiva civilă, punerea sub semnul întrebării a valorii de probă a semnăturilor emise în perioada de neconformitate poate angaja responsabilitatea contractuală a furnizorului față de clienții săi.

Scenarii de utilizare: certificarea eIDAS 2 în practică

Scenariul 1 — Un editor SaaS de dimensiune medie vizând calificarea QES

O societate specializată în digitalizarea documentelor, care angajează aproximativ o sută de colaboratori și gestionează câteva milioane de tranzacții de semnătură anual pentru clienți în sectoarele bancar și asigurări, decide să solicite calificarea eIDAS 2 pentru serviciul de semnătură electronică. Până atunci, compania oferea o semnătură avansată bazată pe certificate (AdES), suficientă pentru majoritatea contractelor clienților, dar insuficientă pentru actele care necesită valoare de probă maximă (mandate SEPA, convențiuni de dovezi notariale).

După un audit intern de 3 luni care evidențiază aproximativ cincisprezece lacune majore comparativ cu cerințele ETSI EN 319 411-2, compania demarează un program de conformitate pe 14 luni. Principalele proiecte se referă la înlocuirea modulelor HSM existente cu module certificate FIPS 140-2 nivel 3, redactarea unei DPC de 180 de pagini și obținerea certificării ISO 27001 anterior auditului CAB. Investiția totală atinge 340 000 €. După finalizarea procesului, înscrierea pe TSL-ul francez permite companiei să acceseze apeluri de ofertă din care era sistematic exclusă, reprezentând o potențial comercial estimat la 20% din venituri suplimentare.

Scenariul 2 — Un grup de spitale integrând semnătura calificată pentru actele medico-legale

Un grup spitalicesc de aproximativ 1 200 de paturi dorește să digitalizeze procesele sale de consimțământ informat, delegare de puteri medicale și contracte de cercetare clinică. Aceste documente se situează în categoria actelor pentru care QES este cerută sau puternic recomandată de referențialele HAS și cadrul legal al datelor de sănătate (art. L. 1110-4 CSP).

Mai degrabă decât să certifice o infrastructură internă — opțiune considerată prea costisitoare și în afara domeniului de bază — grupul optează pentru integrarea unui furnizor tert deja înscris pe TSL. DSI-ul realizează un audit de conformitate furnizor pe baza listei de control ETSI EN 319 401 și verifică prezența efectivă pe EUTL înainte de orice contractualizare. Implementarea, realizată în 4 luni, reduce cu 65% termenul de colectare a semnăturilor pentru dosarele de cercetare clinică și elimină riscul de contestare juridică legată de utilizarea anterioară a semnăturilor simple pentru acte sensibile.

Scenariul 3 — Un cabinet de avocați de afaceri asigurând actele sale sub semnătură privată

Un cabinet de avocați de afaceri cu aproximativ treizeci de asociați, gestionând anual aproape 400 de operații de fuziuni-achiziții și cesiuni de fonduri comerciale, caută să fiabilizeze semnătura actelor sale complexe sub semnătură privată. Valoarea unitară a tranzacțiilor tratate depășește frecvent un milion de euro, și orice defect de formă poate angaja responsabilitatea profesională a cabinetului.

După analiză, echipa IT și managerul general sunt de acord cu cerința contractuală minimă a unei QES emise de un furnizor certificat eIDAS 2 pentru orice act a cărui valoare depășește 100 000 €. Criteriul de selecție al furnizorului include obligatoriu verificarea înscrierii pe TSL-ul național și disponibilitatea unui certificat de conformitate ETSI recent (mai mic de 12 luni). Acest cadru permite cabinetului să reducă cu mai mult de 80% cererile de contraexpertiză asupra validității semnăturilor în cazul litigiilor ulterioare, conform feedback-ului observat pe structuri comparabile din sector.

Concluzie

Obținerea unei certificări eIDAS 2 ca furnizor de servicii de semnătură electronică este un proces exigent, costisitor și lung — dar incontestabil pentru orice actor dorind să ofere garanții legale maxime clienților săi pe piața europeană. Între conformitatea cu normele ETSI, trecerea auditului CAB, examinarea de ANSSI și menținerea calificării în timp, procedura mobilizează resurse substanțiale pe durata de 12 la 24 de luni.

Pentru întreprinderile utilizatoare, veste bună este că nu este necesar să construiți această infrastructură în intern: alegerea unui furnizor SaaS deja certificat eIDAS 2 și înscris pe lista de încredere națională permite să beneficiați imediat de presupunerea legală asociată QES, fără a suporta costurile certificării.

Certyneo este un furnizor de încredere certificat, conceput pentru întreprinderile B2B care exigă rigoare juridică și ușurință de utilizare. Descoperiți prețurile noastre și dematrați versiunea dvs. de prova gratuită astazi.