Súlad s eIDAS pre MSP: kompletný kontrolný zoznam na rok 2026

Európske nariadenie eIDAS (EÚ č. 910/2014, čoskoro zmenené a doplnené eIDAS 2.0) upravuje elektronické podpisy v celej Európskej únii. Pre MSP nie je dodržiavanie súladu len políčko na kontrolu: je to záruka, že jeho zmluvy sú vykonateľné, že jeho podpisové údaje sú chránené a že sa chráni pred právnymi rizikami, ktoré môžu byť nákladné. Tu je kontrolný zoznam na rok 2026 v 12 konkrétnych bodoch, aby ste si overili, že váš MSP je plne v súlade s eIDAS.

Bod 1: vyberte si správnu úroveň podpisu

Prvý reflex: zmapujte si typy zmlúv a priraďte cieľovú úroveň. Štandardné obchodné zmluvy (cenové ponuky, objednávky, jednoduché NDA): SES stačí. Pracovné zmluvy, lízingy, citlivé NDA, strategické dohody: minimálne AES, najlepšie s OTP SMS. Regulované úkony (advokát, notár, nadlimitné verejné zákazky): Povinné ZEP. Bez tohto mapovania riskujete poddimenzovanie (odmietnutie zmluvy) alebo predimenzovanie (nadmerné náklady).

Bod 2: skontrolujte kvalifikáciu poskytovateľa služieb

Váš poskytovateľ služieb musí byť dôveryhodným poskytovateľom služieb (QTSP) alebo sa musí spoliehať na QTSP pre úrovne AES/QES. Pozrite si zoznam dôveryhodných služieb zverejnený ANSSI (eidas.ssi.gouv.fr) a európsky dôveryhodný zoznam (webgate.ec.europa.eu/tl-browser). Francúzske referenčné QTSP: Certigna, Docaposte, Certinomis, Universign. V prípade SES/AES cez platformu (Certyneo, Yousign atď.) skontrolujte ich explicitne zdokumentovaný súlad s eIDAS.

Bod 3: Otestujte audit trail

Podpíšte testovaciu obálku a zozbierajte si audit trail (zvyčajne samostatný PDF). Musí obsahovať: identitu a email signatára, časovú pečiatku každého kroku (odoslanie, otvorenie, validácia, podpis), IP adresu, užívateľského agenta, hash dokumentu, OTP validáciu, ak AES. Ak niektorý z týchto prvkov chýba, dôkazná hodnota je oslabená. Certyneo poskytuje kompletný audit trail aj na bezplatnom pláne.

Bod 4: kontrola časovej pečiatky

Časovú pečiatku musí vydať úrad pre časovú pečiatku (TSA) v súlade s RFC 3161. Časová pečiatka jednoducho z firemného NTP servera nestačí. Otvorte podpísaný PDF v aplikácii Adobe Reader: karta Podpisy → Podrobnosti → Časová pečiatka. Mali by ste tam vidieť platný certifikát TSA a certifikované hodiny. Ak PDF nemá certifikovanú časovú pečiatku, odstúpte od výberu poskytovateľa služieb.

Bod 5: archivácia najmenej 10 rokov

Obchodný zákonník (článok L. 123-22) vyžaduje uchovávanie obchodných dokumentov 10 rokov. Zákonník práce stanovuje pre pracovné zmluvy po skončení pracovného pomeru 5 rokov. Archivácia musí zachovať integritu (hash, pečať) a prístup. Ideálne: formát PDF/A (ISO 19005), duálne úložisko (primárne + externé zálohovanie), kvalifikovaný elektronický trezor (CFE) pre maximálny dôkaz. Certyneo štandardne archivuje 10 rokov a ponúka export partnerom CFE.

Bod 6: skontrolujte lokalizáciu údajov

Kde sú umiestnené vaše podpisové údaje? Pre francúzsky MSP, ktorý sa zaoberá citlivými zmluvami, si vyberte francúzsky alebo EÚ hosting. Požiadajte svojho poskytovateľa služieb o zoznam subdodávateľov a ich umiestnenie (článok 28 GDPR). Vyhnite sa riešeniam, ktoré podliehajú americkému cloudovému zákonu pre strategické zmluvy. Certyneo je hosťované vo Francúzsku bez závislosti na Cloud Act. Pozrite si náš článok na /blog/cloud-act-signature-electronic.

Bod 7: artikulovať s GDPR

Podpis a GDPR sú úzko prepojené: každá obálka obsahuje osobné údaje (meno, email, IP, telefón). Uistite sa, že váš register spracovania (článok 30 GDPR) obsahuje elektronický podpis, že lehoty uchovávania sú konzistentné (10 rokov) a že je možné implementovať práva jednotlivcov (prístup, oprava, prenosnosť). Ak požadujete veľa podpisov, odporúča sa DPO. Pozrite si náš článok /blog/signature-electronique-rgpd.

Bod 8: identifikácia signatárov proti prúdu

V prípade solídneho AES sa identifikácia nezačína podpisom: začína sa zberom údajov. Skontrolujte si e-maily (žiadne aliasy, žiadny zoznam adries), telefónne čísla (žiadna zdieľaná linka) a sledujte zdroj identifikácie (ID pre ťažké zmluvy, KYC existujúceho zákazníka pre prebiehajúce zmluvy). Vďaka tejto náležitej starostlivosti sú dôkazy v prípade sporu pevné.

Bod 9: trénujte tímy

Vaše obchodné, HR a právne tímy musia rozumieť pravidlám: nikdy nenúťte podpisovateľa, aby používal zariadenie tretej strany, nikdy nevracajte upravený podpísaný PDF, nikdy nevkladajte naskenovaný obrázok podpisu namiesto skutočného podpisu. Jedna hodina tréningu na tím je dostatočná na vštepenie dobrých reflexov. Certyneo poskytuje kompletného sprievodcu na interné zdieľanie (/zdroje).

Bod 10: skontrolujte zmluvy poskytovateľov služieb

CGU/CGV poskytovateľa podpisových služieb musí: iniciovať súlad s eIDAS, špecifikovať obdobia archivácie, zahrnúť zmluvu o subdodávke GDPR (čl. 28), zdokumentovať subdodávateľov, poskytnúť plán reverzibility v prípade prerušenia. Ak spracovávate veľké objemy, vyžiadajte si tiež SOC 2 Typ II alebo ekvivalent. Pre Certyneo sú tieto dokumenty dostupné na /legal a /security.

Bod 11: pripravte eIDAS 2.0 a peňaženku EUDI

Nariadenie eIDAS 2.0 (EÚ 2024/1183) vstupuje do platnosti postupne a vyžaduje od členských štátov, aby nasadili peňaženku EUDI do konca roka 2026. Táto digitálna identifikačná kancelária výrazne neumožní prístup k fyzickej peňaženke QES Pripravte si svoje malé a stredné podniky: skontrolujte, či má váš poskytovateľ služieb plán peňaženky EUDI, postupujte podľa oznámení ANSSI a Európskej komisie. Pozrite si /blog/eidas-2-nouveau-reglement-2026.

Bod 12: každoročný audit

Súlad nie je nadobudnutý stav: je to prebiehajúci proces. Naplánujte si ročný audit (interný alebo externý) na kontrolu: regulačných zmien, vývoja poskytovateľov služieb, aktuálneho mapovania typov zmlúv, efektívneho uchovávania, školenia nových zamestnancov. Ľahký audit zaberie MSP pol dňa a vyhne sa mnohým prekvapeniam. Začnite vytvorením bezplatného účtu Certyneo na certyneo.com/signup, aby ste otestovali súlad v reálnom svete, potom si pozrite nášho sprievodcu eIDAS, aby ste sa dostali hlbšie (/guide/eidas).