Соответствие eIDAS для МСП: полный контрольный список на 2026 год

Европейский регламент eIDAS (ЕС № 910/2014, в который вскоре будут внесены поправки eIDAS 2.0) регулирует электронные подписи на всей территории Европейского Союза. Для малого и среднего бизнеса соблюдение требований — это не просто флажок: это гарантия того, что его контракты подлежат исполнению, что его данные подписи защищены и что оно защищает себя от юридических рисков, которые могут быть дорогостоящими. Вот контрольный список на 2026 год из 12 конкретных пунктов, позволяющий проверить, полностью ли ваш МСП соответствует требованиям eIDAS.

Европейский регламент eIDAS (ЕС № 910/2014, в который вскоре будут внесены поправки eIDAS 2.0) регулирует электронные подписи на всей территории Европейского Союза. Для малого и среднего бизнеса соблюдение требований — это не просто флажок: это гарантия того, что его контракты подлежат исполнению, что его данные подписи защищены и что оно защищает себя от юридических рисков, которые могут быть дорогостоящими. Вот контрольный список на 2026 год из 12 конкретных пунктов, позволяющий проверить, полностью ли ваш МСП соответствует требованиям eIDAS.

Пункт 1: выберите правильный уровень подписи

Первый рефлекс: сопоставьте типы контрактов и привяжите целевой уровень. Стандартные коммерческие контракты (котировки, заказы на поставку, простые соглашения о неразглашении): SES достаточно. Трудовые договоры, договоры аренды, конфиденциальные соглашения о неразглашении, стратегические соглашения: минимум AES, желательно с OTP SMS. Регламентированные действия (юрист, нотариус, государственные контракты выше порога): Обязательные СОК. Без этого сопоставления вы рискуете недооценить (отказаться от контракта) или переоценить (чрезмерные затраты).

Пункт 2: проверьте квалификацию поставщика услуг.

Ваш поставщик услуг должен быть доверенным поставщиком услуг (QTSP) или полагаться на QTSP для уровней AES/QES. Ознакомьтесь со списком доверенных служб, опубликованным ANSSI (eidas.ssi.gouv.fr), и европейским списком доверенных служб (webgate.ec.europa.eu/tl-browser). Французские эталонные QTSP: Certigna, Docaposte, Certinomis, Universign. Для SES/AES через платформу (Certyneo, Yousign и т. д.) проверьте их явно документированное соответствие eIDAS.

Пункт 3. Проверьте контрольный журнал

Подпишите тестовый конверт и соберите контрольный журнал (обычно это отдельный PDF-файл). Он должен содержать: личность и адрес электронной почты подписавшего, временную метку каждого шага (отправка, открытие, проверка, подпись), IP-адрес, пользовательский агент, хэш документа, проверку OTP, если AES. Если один из этих элементов отсутствует, доказательная сила ослабляется. Certyneo обеспечивает полный контрольный журнал даже при использовании бесплатного плана.

Пункт 4: контролируйте временную метку

Временная метка должна быть выдана органом временной отметки (TSA), соответствующим RFC 3161. Простой временной метки с NTP-сервера компании недостаточно. Откройте подписанный PDF-файл в Adobe Reader: вкладка «Подписи» → «Сведения» → «Отметка времени». Там вы должны увидеть действующий сертификат TSA и сертифицированные часы. Если PDF-файл не имеет сертифицированной отметки времени, откажитесь от выбора поставщика услуг. ⬥⬥⬥Пункт 5: архив не менее 10 лет

Временная метка должна быть выдана органом временной отметки (TSA), соответствующим RFC 3161. Простой временной метки с NTP-сервера компании недостаточно. Откройте подписанный PDF-файл в Adobe Reader: вкладка «Подписи» → «Сведения» → «Отметка времени». Там вы должны увидеть действующий сертификат TSA и сертифицированные часы. Если PDF-файл не имеет сертифицированной отметки времени, откажитесь от выбора поставщика услуг. ⬥⬥⬥Пункт 5: архив не менее 10 лет

Торговый кодекс (ст. Л. 123-22) требует 10 лет хранения коммерческих документов. Трудовой кодекс предусматривает 5 лет для заключения трудового договора после прекращения трудового договора. Архивирование должно сохранять целостность (хеширование, запечатывание) и доступ. Идеально: формат PDF/A (ISO 19005), двойное хранилище (основное + внешнее резервное), сертифицированный электронный сейф (CFE) для максимальной защиты. По умолчанию Certyneo архивирует данные за 10 лет и предлагает экспорт партнерам по ДОВСЕ.

Пункт 6: проверьте локализацию данных

Где хранятся данные вашей подписи? Для французского МСП, занимающегося конфиденциальными контрактами, выберите хостинг во Франции или ЕС. Уточните у своего поставщика услуг список субподрядчиков и их местонахождение (статья 28 GDPR). Избегайте решений, подпадающих под действие Закона США об облаках для стратегических контрактов. Certyneo размещается во Франции и не зависит от Закона об облаках. См. нашу статью в /blog/cloud-act-signature-electronique.

Пункт 7: соблюдайте GDPR

Подпись и GDPR тесно связаны: каждый конверт содержит персональные данные (имя, адрес электронной почты, IP, телефон). Убедитесь, что ваш реестр обработки (статья 30 GDPR) включает электронную подпись, что сроки хранения последовательны (10 лет) и что права физических лиц могут быть реализованы (доступ, исправление, переносимость). Если вы запрашиваете много подписей, рекомендуется использовать DPO. См. нашу статью /blog/signature-electronique-rgpd.

Пункт 8: идентификация подписавших лиц на восходящем направлении

Для надежного AES идентификация не начинается с подписания: она начинается со сбора данных. Проверяйте электронную почту (без псевдонимов, без списка рассылки), номера телефонов (без общей линии) и отслеживайте источник идентификации (идентификатор для тяжелых контрактов, KYC существующего клиента для текущих контрактов). Такая комплексная проверка делает доказательства убедительными в случае возникновения спора. ⬥⬥⬥Пункт 9: тренируйте команды

Ваши отделы продаж, отдела кадров и юристы должны понимать правила: никогда не заставляйте подписывающую сторону использовать стороннее устройство, никогда не возвращайте измененный подписанный PDF-файл, никогда не вставляйте отсканированное изображение подписи вместо настоящей подписи. Одного часа тренировки на команду достаточно, чтобы привить хорошие рефлексы. Certyneo предоставляет полное руководство для внутреннего обмена (/resources).

Пункт 10: проверьте контракты поставщиков услуг.

CGU/CGV поставщика услуг подписи должен: инициировать соблюдение eIDAS, указать периоды архивирования, включить субподрядное соглашение GDPR (статья 28), документировать субподрядчиков, предоставить план возврата в случае прекращения. Также запросите SOC 2 Type II или эквивалент, если вы обрабатываете большие объемы. Для Certyneo эти документы доступны в каталогах /legal и /security.

Пункт 11: подготовить eIDAS 2.0 и кошелек EUDI

Регламент eIDAS 2.0 (EU 2024/1183) вступает в силу постепенно и требует от государств-членов развернуть кошелек EUDI до конца 2026 года. Этот кошелек цифровой идентификации, в частности, обеспечит удаленный доступ к QES без офиса физической регистрации. Подготовьте свой МСП: убедитесь, что у вашего поставщика услуг есть дорожная карта кошелька EUDI, следите за сообщениями от ANSSI и Европейской комиссии. См. /блог/eidas-2-nouveau-reglement-2026.

Пункт 12: ежегодный аудит

Соответствие – это не приобретенный статус: это непрерывный процесс. Запланируйте ежегодный аудит (внутренний или внешний), чтобы проверить: нормативные изменения, развитие поставщиков услуг, актуальное отображение типов контрактов, эффективное удержание, обучение новых сотрудников. Легкий аудит занимает полдня для МСП и позволяет избежать многих сюрпризов. Начните с создания бесплатной учетной записи Certyneo на сайте certyneo.com/signup, чтобы проверить соответствие требованиям в реальных условиях, а затем ознакомьтесь с нашим руководством по eIDAS, чтобы копнуть глубже (/guide/eidas).