eIDAS 2 сертификация поставщика подписи 2026

Почему сертификация eIDAS 2 меняет правила игры для поставщиков

С момента вступления в силу Регламента (ЕС) 2024/1183 от 11 апреля 2024 года — обычно называемого eIDAS 2 — поставщики услуг доверия (ПУД), действующие в Европейском союзе, столкнулись с глубоко переработанной нормативно-правовой базой. Пересмотр исходного Регламента eIDAS 2014 года выходит за рамки расширения сферы признаваемых услуг: он значительно ужесточает условия аккредитации, вводит новые уровни гарантий и усиливает требования к надзору со стороны национальных органов контроля. Для любого субъекта, желающего предлагать услуги квалифицированной электронной подписи (QES) или продвинутой подписи (AdES) на европейском рынке, понимание того, как получить сертификацию eIDAS 2 для поставщика подписи, больше не является вариантом — это стратегическая обязанность.

Данная статья представляет исчерпывающий обзор процесса сертификации: применимые нормативные акты, технические стандарты, которые должны быть соблюдены, роль органов оценки соответствия (ООС), реалистичные сроки и оперативные точки риска.

---

Новый нормативный ландшафт eIDAS 2: что изменилось

От Регламента 910/2014 к Регламенту 2024/1183: основные изменения

Исходный Регламент eIDAS (№ 910/2014) заложил основу единого цифрового рынка доверия в Европе. Он определял три уровня подписи — простую, продвинутую и квалифицированную — и требовал от квалифицированных поставщиков включения в национальные списки доверия (TSL, Trust Service Lists). eIDAS 2 сохраняет эту архитектуру, но обогащает её по нескольким структурным пунктам:

• Расширение квалифицированных услуг: квалифицированное электронное архивирование, электронные удостоверения атрибутов (ЭУА), удаленное управление устройствами создания квалифицированной подписи (УКПС). Эти новые услуги теперь подлежат той же процедуре аккредитации, что и квалифицированная подпись.
• Европейский кошелек цифровой идентичности (EUDIW): поставщики, желающие взаимодействовать с будущим кошельком идентичности, должны продемонстрировать соответствие техническим спецификациям, опубликованным Комиссией (ARF — Architecture and Reference Framework, v1.4, 2024).
• Усиленный надзор: национальные органы надзора (во Франции — ANSSI) располагают расширенными полномочиями по расследованию и выдаче предписаний. Квалифицированные ПУД могут подвергаться внеплановым проверкам.
• Сокращенные сроки уведомления: любой существенный инцидент безопасности должен быть сообщен компетентному органу в течение 24 часов (в сравнении с 72 часами в предыдущей версии для некоторых инцидентов).

Для полного понимания Регламента руководство eIDAS 2.0 от Certyneo предоставляет педагогический обзор всех этих изменений.

Уровни гарантий и их значение для сертификации

Различие между электронной подписью продвинутой и квалифицированной остается осью системы. Только QES пользуется правовой презумпцией целостности и аутентичности, эквивалентной рукописной подписи (ст. 25 Регламента eIDAS 2). Эта презумпция напрямую обусловлена сертификацией поставщика.

| Уровень | Доказательственное значение | Требование к поставщику | |---|---|---| | Простая (SES) | Ограниченное | Отсутствует | | Продвинутая (AdES) | Значительное | Надлежащая практика + стандарты ETSI | | Квалифицированная (QES) | Максимальное (правовая презумпция) | Обязательная сертификация eIDAS 2 |

---

Процесс сертификации eIDAS 2 этап за этапом

Этап 1 — Организационные и технические предварительные условия

Прежде чем официально начать процесс сертификации, поставщик должен провести аудит своего уровня зрелости по трем направлениям:

1. Соответствие стандартам ETSI Стандарты серии EN 319 являются незаменимой технической основой. Основные из них:

• ETSI EN 319 401: общие требования к поставщикам услуг доверия
• ETSI EN 319 411-1 и 411-2: политики и требования для органов сертификации, выдающих сертификаты (профили PTC-QC для квалифицированных сертификаций)
• ETSI EN 319 421: политика и требования для поставщиков услуг временных меток
• ETSI EN 319 132: форматы подписей XAdES (XML) и связанная серия CAdES (CMS) и PAdES (PDF)

Соответствие этим стандартам не является факультативным для квалифицированных поставщиков: оно явно требуется актами по имплементации Европейской комиссии.

2. Безопасность информационных систем УКПС (устройства создания квалифицированной подписи) должны быть сертифицированы в соответствии с Common Criteria (CC) EAL4+ или эквивалентом. Для решений удаленной подписи — доминирующая модель в облачных вычислениях — требования также распространяются на модули HSM (Hardware Security Module) и процедуры управления криптографическими ключами (соответствие FIPS 140-2 уровня 3 минимум).

3. Политика безопасности информационных систем (ПБИС) и управление рисками В досье сертификации требуется формализованная ПБИС, согласованная с ISO/IEC 27001 (сертификация которой настоятельно рекомендуется и иногда требуется органами ООС), интегрирующая требования NIS2 для квалифицированных субъектов, классифицированных как «важные» или «критически важные».

Этап 2 — Выбор и привлечение органа оценки соответствия (ООС)

Во Франции органы ООС, аккредитованные COFRAC (Французским комитетом по аккредитации) для оценки поставщиков услуг доверия, немногочисленны. Например, LSTI (Лаборатория безопасности информационных технологий) и Bureau Veritas Certification входят в число известных акторов. В европейском масштабе каждое государство-член опубликовывает список своих уведомленных органов ООС.

Роль органа ООС состоит в проведении аудита соответствия в две фазы:

1. Документальная проверка (Фаза 1): изучение политик, процедур, Заявления о практике сертификации (ЗПС / CPS) и технических доказательств.
2. Аудит на месте (Фаза 2): проверка оперативных контролей, тесты на проникновение, интервью с командами.

Общая длительность аудита органом ООС обычно составляет 4-8 недель в зависимости от предварительной зрелости претендента.

Этап 3 — Рассмотрение национальным органом надзора

Во Франции это ANSSI (Национальное агентство по безопасности информационных систем), которое рассматривает заявления на включение в национальный список доверия (TSL FR). На основе отчета об аудите органа ООС ANSSI проводит собственный анализ и может запросить дополнительную информацию или корректирующие меры.

Установленный нормативными актами срок рассмотрения составляет 3 месяца с момента получения полного досье (ст. 17 Регламента eIDAS 2). На практике фактические сроки часто дольше, если исходное досье неполно.

После включения в национальный список TSL поставщик автоматически регистрируется в EUTL (EU Trusted List), опубликованном Европейской комиссией, что обеспечивает ему немедленное признание во всех 27 государствах-членах.

Этап 4 — Поддержание квалификации и возобновление

Сертификация eIDAS 2 не является окончательной. Квалифицированные поставщики подлежат:

• Годовому аудиту надзора, проводимому органом ООС
• Полному аудиту возобновления каждые 24 месяца (цикл сокращен по сравнению с предыдущей практикой)
• Внеплановым проверкам, возможным по инициативе ANSSI

Любое существенное изменение инфраструктуры (замена HSM, развитие PKI, новая квалифицированная услуга) вызывает процедуру предварительного уведомления и может потребовать частичного аудита.

---

Затраты, сроки и факторы риска: что должны предусмотреть руководители IT

Бюджет и человеческие ресурсы

Стоимость первой сертификации eIDAS 2 является значительной. Основные статьи расходов включают:

• Аудит органа ООС: от 40 000 до 120 000 евро в зависимости от сложности сферы применения
• Достижение технического соответствия (HSM, PKI, сертифицированные УКПС CC): от 80 000 евро до нескольких сотен тысяч евро для собственной инфраструктуры
• Сертификация ISO 27001 (рекомендуется как предусловие): 15 000–50 000 евро в зависимости от размера
• Расходы на юридическое консультирование и составление ЗПС: 10 000–30 000 евро
• Внутренние затраты: мобилизация выделенной команды (РБИС, DPO, ответственный за соответствие) на протяжении 12–18 месяцев

Суммируя все эти статьи, полная сертификация представляет совокупные инвестиции порядка 200 000–500 000 евро для поставщика среднего размера, не считая текущих затрат на поддержание.

Оперативные факторы риска

Наиболее частые причины отказа или задержки в процедурах сертификации:

1. Недостаточно детальное ЗПС: Заявление о практике сертификации должно документировать каждый контроль с точностью, которая иногда недооценивается.
2. Пробелы в управлении жизненным циклом ключей: отзыв, архивирование, уничтожение закрытых ключей.
3. Недостаточная управление инцидентами: отсутствие SIEM, неподготовленные процедуры управления кризисом, отсутствие документированных сценариев.
4. Недооценка NIS2: с октября 2024 года квалифицированные ПУД автоматически классифицируются как «важные» субъекты в смысле Директивы NIS2, с дополнительными требованиями по документированию и управлению рисками.

Для компаний, которые предпочитают делегировать эти требования уже сертифицированному поставщику вместо построения собственной инфраструктуры, сравнение решений электронной подписи, доступное на Certyneo, помогает объективно оценить этот выбор между разработкой и закупкой.

---

eIDAS 2 и электронная подпись в организации: задачи перехода

Для организаций-пользователей — в отличие от поставщиков — сертификация eIDAS 2 их облачного поставщика подписей стала неотъемлемым критерием отбора. Включение в запросы коммерческих предложений пункта, требующего присутствия в национальном списке TSL, стало стандартной практикой в регулируемых секторах (финансы, здравоохранение, недвижимость).

Электронная подпись в организации действительно требует четкого различия между случаями использования, требующими QES — акты об отсутствии привлечения третьих лиц с высокими ставками, полномочия, электронные нотариальные акты — и теми, где AdES достаточно. Эта карта использования напрямую обусловливает уровень обслуживания, который контрактно требуется от поставщика.

Организации, которые переходят с существующего решения на поставщика, сертифицированного eIDAS 2, должны также предусмотреть переносимость архивов доказательств. Руководство по миграции с DocuSign или YouSign на Certyneo детализирует лучшие практики для сохранения доказательственного значения уже подписанных документов во время перехода.

Правовая база, применимая к сертификации eIDAS 2

Основополагающие нормативные акты

Сертификация поставщиков услуг доверия опирается на плотное наслоение нормативных требований, которое необходимо полностью понимать:

Регламент (ЕС) 2024/1183 от 11 апреля 2024 года (eIDAS 2): справочный текст, который отменяет и заменяет соответствующие положения Регламента 910/2014. Он определяет условия получения и поддержания статуса квалифицированного поставщика, обязательства национального надзора и требования к новым услугам (EUDIW, ЭУА).

Регламент (ЕС) № 910/2014 (eIDAS 1): всё еще частично применим для положений, не измененных; акты по имплементации и делегированные акты, принятые в соответствии с этим Регламентом, остаются в силе до их формального пересмотра.

Французский гражданский кодекс, статьи 1366 и 1367: статья 1366 устанавливает принцип эквивалентности электронной подписи рукописной подписи при условии надежности; статья 1367 уточняет, что надежность предполагается до противного доказательства, когда используется квалифицированная подпись. Эти национальные положения напрямую связаны с правовой презумпцией ст. 25 eIDAS 2.

Директива (ЕС) 2022/2555 (NIS2): трансформирована в французское право Законом от 15 октября 2024 года, она автоматически классифицирует поставщиков услуг доверия среди важных субъектов. Обязательства: декларирование в ANSSI в течение 72 часов для любого значительного инцидента, внедрение формализованного управления кибер-рисками, периодический аудит безопасности.

Регламент (ЕС) 2016/679 (GDPR): поставщики услуг подписи обрабатывают чувствительные персональные данные (идентичность подписывающих, журналы аудита). Соблюдение принципов минимизации, ограничения хранения и целостности требует специфического анализа воздействия (ОЦЕНКА). Правовое основание обработки должно быть задокументировано для каждой услуги.

Технические стандарты с нормативным значением

Акты по имплементации Европейской комиссии (в частности, Решение об имплементации (ЕС) 2015/1506 и его изменения) определяют стандарты ETSI как предполагаемые соответствующие:

• ETSI EN 319 401: общие требования ПУД
• ETSI EN 319 411-1 и 411-2: политики сертификации
• ETSI EN 319 421: квалифицированная временная метка
• ETSI EN 319 132 / 122 / 102: форматы AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: услуги удаленной подписи

Юридические риски при несоответствии

Мошеннническое или небрежное использование статуса квалифицированного поставщика подвергает административным санкциям, выносимым ANSSI (приостановка, исключение из списка доверия) и уголовному преследованию (ст. 226-17 Уголовного кодекса за дефект безопасности персональных данных). На гражданском уровне оспаривание доказательственного значения подписей, выданных в период несоответствия, может повлечь гражданскую ответственность поставщика перед его клиентами.

Сценарии использования: сертификация eIDAS 2 в действии

Сценарий 1 — Облачный издатель среднего размера, стремящийся к квалификации QES

Компания, специализирующаяся на цифровизации документооборота, в которой работает около сотни сотрудников и которая управляет несколькими миллионами операций подписей в год от имени клиентов в банковском и страховом секторах, решает запросить квалификацию eIDAS 2 для своего сервиса электронной подписи. До сих пор компания предлагала продвинутую подпись на основе сертификатов (AdES), достаточную для большинства контрактов с клиентами, но недостаточную для актов, требующих максимального доказательственного значения (мандаты SEPA, нотариальные соглашения о доказательствах).

После внутреннего аудита за 3 месяца, выявившего около пятнадцати основных отклонений от требований ETSI EN 319 411-2, компания запускает программу достижения соответствия на 14 месяцев. Основные направления касаются замены существующих HSM на модули, сертифицированные согласно FIPS 140-2 уровня 3, составления ЗПС объемом 180 страниц и получения сертификата ISO 27001 перед аудитом органа ООС. Общие инвестиции достигают 340 000 евро. По завершении процесса включение в национальный список TSL позволяет компании получить доступ к запросам коммерческих предложений, из которых она была систематически исключена, что представляет потенциал в виде дополнительных доходов, оцениваемый в 20%.

Сценарий 2 — Больничный комплекс, интегрирующий квалифицированную подпись для медико-правовых актов

Больничный комплекс, насчитывающий около 1 200 коек, желает дематериализовать свои процессы информированного согласия, делегирования медицинских полномочий и контрактов клинических исследований. Эти документы относятся к категории документов, для которых QES требуется или настоятельно рекомендуется ссылками HAS и правовыми рамками данных здравоохранения (ст. L. 1110-4 CSP).

Вместо сертификации собственной внутренней инфраструктуры — вариант, признанный слишком дорогостоящим и выходящим за рамки основной деятельности — комплекс выбирает интеграцию поставщика третьей стороны, уже включенного в список TSL. IT-служба проводит аудит соответствия поставщика на основе контрольного списка ETSI EN 319 401 и проверяет фактическое присутствие в EUTL перед любым контрактацией. Развертывание, осуществленное за 4 месяца, сокращает на 65% время сбора подписей по документам клинических исследований и устраняет риск судебного оспаривания, связанный с предыдущим использованием простых подписей для чувствительных актов.

Сценарий 3 — Адвокатское бюро крупных сделок, защищающее свои акты об отсутствии привлечения третьих лиц

Адвокатское бюро крупных сделок, насчитывающее около тридцати партнеров, годовой оборот которого включает около 400 операций слияния-поглощения и отчуждения фондов коммерческой деятельности, стремится надежно подписать свои сложные акты об отсутствии привлечения третьих лиц. Единичная стоимость обрабатываемых операций часто превышает миллион евро, и любой порок формы может повлечь за собой профессиональную ответственность бюро.

После анализа IT-команда и управляющий партнер согласны на минимальное контрактное требование QES, выданной поставщиком, сертифицированным eIDAS 2, для любого акта стоимостью более 100 000 евро. Критерий отбора поставщика обязательно включает проверку включения в национальный список TSL и наличие свежего сертификата соответствия ETSI (не старше 12 месяцев). Эта основа позволяет бюро снизить более чем на 80% количество запросов на контрэкспертизу обоснованности подписей при последующих судебных разбирательствах, согласно отзывам, наблюдаемым в сопоставимых структурах в секторе.

Заключение

Получение сертификации eIDAS 2 в качестве поставщика услуг электронной подписи — это требовательный, дорогостоящий и длительный процесс, но необходимый для любого субъекта, желающего предложить максимальные правовые гарантии своим клиентам на европейском рынке. От достижения соответствия стандартам ETSI, прохождения аудита органом ООС, рассмотрения ANSSI и поддержания квалификации в течение времени — процесс мобилизует существенные ресурсы на протяжении 12-24 месяцев.

Для организаций-пользователей хорошая новость состоит в том, что не требуется строить эту инфраструктуру внутри: выбор облачного поставщика, уже сертифицированного eIDAS 2 и включенного в национальный список доверия, позволяет немедленно получить преимущество правовой презумпции, прикрепленной к QES, без несения затрат на сертификацию.

Certyneo — поставщик услуг доверия, сертифицированный для B2B-компаний, требующих правовой строгости и простоты использования. Откройте наши цены и начните бесплатное пробное использование уже сегодня.