Certifikácia eIDAS 2 pre poskytovateľov podpisov 2026

Prečo je certifikácia eIDAS 2 zmena hry pre poskytovateľov

Od vstúpenia do platnosti nariadenia (EÚ) 2024/1183 z 11. apríla 2024 – bežne nazývaného eIDAS 2 – čelia poskytovatelia služieb dôvery (PSC) operujúci v Európskej únii hlboko preformovanému regulačnému rámcu. Revízia pôvodného nariadenia eIDAS z roku 2014 sa neobmedzuje len na rozšírenie rozsahu uznaných služieb: výrazne sprísňuje podmienky akreditácie, zavádza nové úrovne záručy a posilňuje požiadavky na dohľad nacionalných dozorných orgánov. Pre každý subjekt, ktorý chce ponúkať služby kvalifikovaného elektronického podpisu (QES) alebo pokročilého elektronického podpisu (AdES) na európskom trhu, pochopenie ako získať certifikáciu eIDAS 2 pre poskytovateľa podpisov už nie je možnosť – je to strategická povinnosť.

Tento článok ponúka komplexný prehľad procesu certifikácie: použiteľné právne predpisy, technické normy, ktoré treba dodržiavať, úloha orgánov na posúdenie zhody (CAB), realistické lehoty a operačné bodové pozornosti.

---

Nový regulačný krajinár eIDAS 2: čo sa zmenilo

Od nariadenia 910/2014 k nariadeniu 2024/1183: hlavné zmeny

Pôvodné nariadenie eIDAS (č. 910/2014) položilo základy jednotného európskeho digitálneho trhu dôvery. Definovalo tri úrovne podpisu – jednoduchý, pokročilý a kvalifikovaný – a ukladalo kvalifikovaným poskytovateľom povinnosť figurovať na národných zoznamoch dôvery (TSL, Trust Service Lists). eIDAS 2 zachováva túto architektúru, ale obohacuje ju v niekoľkých konštrukčných bodoch:

• Rozšírenie kvalifikovaných služieb: kvalifikované elektronické archivovanie, elektronické osvedčenia atribútov (AEA), vzdialená správa zariadení na vytváranie kvalifikovaného elektronického podpisu (QSCD). Tieto nové služby podliehajú rovnakému postupu akreditácie ako kvalifikovaný podpis.
• Európska peňaženka digitálnej identity (EUDIW): poskytovatelia, ktorí chcú komunikovať s budúcou digitálnou peňaženkou, musia demonštrovať svoju zhodu so špecifikáciami zverejnenými Komisiou (ARF – Architecture and Reference Framework, v1.4, 2024).
• Posilnenie dohľadu: národné dozorné orgány (vo Francúzsku ANSSI) majú rozšírené právomoci na vyšetrovanie a vydávanie príkazov. Kvalifikovaní PSC môžu podliehať neohlaseným audítom.
• Skrátené lehoty na oznámenie: akýkoľvek významný bezpečnostný incident musí byť oznámený príslušnému orgánu do 24 hodín (v porovnaní s 72 hodinami v predchádzajúcej verzii pre určité incidenty).

Komplexný prehľad nariadenia poskytuje sprievodca eIDAS 2.0 spoločnosti Certyneo s pedagogickým súhrnopisu všetkých týchto zmien.

Úrovne záručy a ich vplyv na certifikáciu

Rozlíšenie medzi pokročilým a kvalifikovaným elektronickým podpisom zostáva osou systému. Len QES má právnu domnienku integrity a priraditeľnosti ekvivalentnú vlastnoručnému podpisu (čl. 25 nariadenia eIDAS 2). Táto domnienka je priamo podmienená certifikáciou poskytovateľa.

| Úroveň | Dôkazná hodnota | Požiadavka na poskytovateľa | |---|---|---| | Jednoduchý (SES) | Limitovaná | Žiadna | | Pokročilý (AdES) | Významná | Dobré postupy + normy ETSI | | Kvalifikovaný (QES) | Maximálna (právna domnienka) | Povinná certifikácia eIDAS 2 |

---

Proces certifikácie eIDAS 2 krok za krokom

Krok 1 – Organizačné a technické predpoklady

Pred formálnym začatím procesu certifikácie musí poskytovateľ posúdiť úroveň svojej zrelosti v troch oblastiach:

1. Zhoda s normami ETSI Normy z rady EN 319 tvoria nepostrádateľný technický základ. Hlavné z nich sú:

• ETSI EN 319 401: všeobecné požiadavky na poskytovateľov služieb dôvery
• ETSI EN 319 411-1 a 411-2: politiky a požiadavky na orgány na vydávanie certifikátov (profily PTC-QC pre kvalifikované certifikáty)
• ETSI EN 319 421: politika a požiadavky na poskytovateľov služieb časovej pečiatky
• ETSI EN 319 132: formáty podpisov XAdES (XML) a súvisiacich sérií CAdES (CMS) a PAdES (PDF)

Zhoda s týmito normami nie je voliteľná pre kvalifikovaných poskytovateľov: je explicitne vyžadovaná vykonávacími aktami Komisie.

2. Bezpečnosť informačných systémov QSCD (zariadenia na vytváranie kvalifikovaného elektronického podpisu) musia byť certifikované podľa Common Criteria (CC) EAL4+ alebo ekvivalentu. Pre riešenia vzdialeného podpisovania – dominantný model SaaS – požiadavky zahŕňajú aj moduly HSM (Hardware Security Module) a postupy správy kryptografických kľúčov (zhoda FIPS 140-2 úroveň 3 minimálne).

3. Politika bezpečnosti (PSSI) a riadenie rizík Certifikačný spis vyžaduje formalizovanú PSSI, zosúladenú s ISO/IEC 27001 (ktorej certifikácia je dôrazne odporúčaná a niekedy požadovaná CAB) a zahŕňajúcu požiadavky NIS2 pre subjekty klasifikované ako „dôležité" alebo „kritické".

Krok 2 – Výber a zapojenie orgánu na posúdenie zhody (CAB)

Vo Francúzsku sú CAB akreditované COFRAC (Francúzskym výborom pre akreditáciu) na posúdenie poskytovateľov služieb dôvery málo početné. Ako príklad sú LSTI (Laboratoire de Sécurité des Technologies de l'Information) a Bureau Veritas Certification medzi referenčnými subjektmi. Na európskej úrovni publikuje každý členský štát zoznam svojich notifikovaných CAB.

Úlohou CAB je vykonať audit zhody v dvoch fázach:

1. Kontrola dokumentov (fáza 1): posúdenie politík, postupov, Vyhlásenia o praktikách certifikácie (DPC / CPS) a technických dôkazov.
2. Audit na mieste (fáza 2): overenie operačných kontrol, testy penetrácie, rozhovory s tímom.

Celková dĺžka auditu CAB sa zvyčajne pohybuje v rozsahu 4 až 8 týždňov v závislosti od predchádzajúcej zrelosti kandidáta.

Krok 3 – Posúdenie národným dozorným orgánom

Vo Francúzsku je to ANSSI (Národná agentúra pre bezpečnosť informačných systémov), ktorá posúďa žiadosti o vloženie do národného zozname dôvery (TSL FR). Na základe správy auditu CAB vykonáva ANSSI vlastnú analýzu a môže požiadať o doplňujúce informácie alebo nápravné opatrenia.

Regulačná lehota na posúdenie je 3 mesiace od prijatia kompletného spisu (čl. 17 nariadenia eIDAS 2). V praxi sú skutočné lehoty často dlhšie, ak je počiatočný spis neúplný.

Po vložení do národného TSL je poskytovateľ automaticky zaradený do EUTL (EU Trusted List), publikovaného Komisiou, čo mu dáva okamžité cezhraničné uznanie v 27 členských štátoch.

Krok 4 – Udržiavanie kvalifikácie a obnova

Certifikácia eIDAS 2 nie je definitívna. Kvalifikovaní poskytovatelia sú povinní:

• Ročný audit dohľadu vykonaný CAB
• Úplný audit obnovy každých 24 mesiacov (skrátený cyklus v porovnaní s predchádzajúcou praxou)
• Neohlasované kontroly možné na iniciatívu ANSSI

Akákoľvek podstatná zmena infraštruktúry (zmena HSM, vývoj PKI, nová kvalifikovaná služba) spustí postup predchádzajúceho oznámenia a môže vyžadovať čiastočný audit.

---

Náklady, lehoty a riziká: čo by si mali DSI anticipovať

Rozpočet a ľudské zdroje

Náklady na prvú certifikáciu eIDAS 2 sú značné. Položky výdajov zahŕňajú:

• Audit CAB: medzi 40 000 € a 120 000 € v závislosti od zložitosti rozsahu
• Technické opatrenia na dosiahnutie zhody (HSM, PKI, QSCD certifikované CC): od 80 000 € do stoviek tisíc eur pre vlastnícku infraštruktúru
• Certifikácia ISO 27001 (odporúčaná ako predpoklad): 15 000 až 50 000 € v závislosti od veľkosti
• Poplatky za právne poradenstvo a spracovanie DPC: 10 000 až 30 000 €
• Interné náklady: zapojenie vyhradené tímu (RSSI, DPO, zodpovedný za súlad) počas 12 až 18 mesiacov

Kumuláciou všetkých týchto položiek predstavuje celková certifikácia investíciu okolo 200 000 až 500 000 € pre poskytovateľa strednej veľkosti, bez opakujúcich sa nákladov na údržbu.

Operačné rizikové faktory

Najčastejšie príčiny zlyhania alebo oneskorenia v certifikačných postupoch sú:

1. Nedostatočne podrobný DPC: Vyhlásenie o praktikách certifikácie musí dokumentovať každý kontrol s niekedy podceňovanou granularitou.
2. Nedostatky v správe životného cyklu kľúčov: odvolávanie, archivovanie, zničenie súkromných kľúčov.
3. Nedostatočná správa incidentov: chýbajúci SIEM, nepretestované procedúry správy kríz, neexistencia runbookov.
4. Podceňovanie NIS2: od októbra 2024 sú kvalifikovaní PSC automaticky zaradení medzi subjekty „dôležité" v zmysle smernice NIS2 s dodatočnými povinnosťami v oznamovaní a riadení rizík.

Pre podniky, ktoré chcú tieto povinnosti delegovať na už certifikovaného poskytovateľa namiesto budovania vlastnej infraštruktúry, pomáha porovnanie riešení elektronického podpisu dostupné na Certyneo objektívne zvážiť túto voľbu build-vs-buy.

---

eIDAS 2 a elektronický podpis v podniku: otázky prechodu

Pre podniky ako používatelia – na rozdiel od poskytovateľov – je certifikácia eIDAS 2 ich poskytovateľa SaaS podpisovania teraz nevyhnutným kritériom výberu. Zahrnutie do výziev k podaniu ponúk doložky vyžadujúcej prítomnosť v národnom TSL sa stalo štandardnou praxou v regulovaných sektoroch (finančný sektor, zdravotníctvo, nehnuteľnosti).

Elektronický podpis v podniku totiž vyžaduje jasné rozlíšenie medzi prípadmi, kde je potrebný QES – súkromné listiny s vysokým podielom rizika, splnomocnenia, elektronické notárske spisy – a prípadmi, kde AdES postačuje. Táto mapa prípadov použitia priamo určuje úroveň servisného výkonu zmluvne požadovaného od poskytovateľa.

Organizácie, ktoré migrujú z existujúceho riešenia ku certifikovanému poskytovateľu eIDAS 2, musia tiež anticipovať prenosnosť archívov dôkazov. Sprievodca na migráciu z DocuSign alebo YouSign na Certyneo popisuje dobré postupy na zachovanie dôkaznej hodnoty dokumentov, ktoré sú už podpísané počas prechodu.

Právny rámec použiteľný na certifikáciu eIDAS 2

Základné texty

Certifikácia poskytovateľov služieb dôvery spočíva na hustom zoskupení normatívnych predpisov, ktoré treba zvládnuť v ich úplnosti:

Nariadenie (EÚ) 2024/1183 z 11. apríla 2024 (eIDAS 2): referenčný text, ktorý ruší a nahrádza odpovedajúce ustanovenia nariadenia 910/2014. Definuje podmienky získania a udržania štatútu kvalifikovaného poskytovateľa, povinnosti národného dohľadu a požiadavky týkajúce sa nových služieb (EUDIW, AEA).

Nariadenie (EÚ) č. 910/2014 (eIDAS 1): stále čiastočne použiteľné pre nezmenenú ustanovenia; vykonávacie a delegované akty prijaté podľa tohto nariadenia ostávajú v platnosti až do ich formálnej revízie.

Francúzsky občiansky zákonník, články 1366 a 1367: článok 1366 stanovuje princíp ekvivalencie elektronického podpisu vlastnoručnému podpisu za podmienky spoľahlivosti; článok 1367 precizuje, že spoľahlivosť sa predpokladá pokiaľ nie je preukázaný opak, keď sa používa kvalifikovaný podpis. Tieto národné ustanovenia sa priamo naväzujú na právnu domnienku čl. 25 eIDAS 2.

Smernica (EÚ) 2022/2555 (NIS2): prevedená do francúzskeho práva zákonom z 15. októbra 2024, automaticky klasifikuje poskytovateľov služieb dôvery kvalifikovaných medzi dôležité subjekty. Povinnosti: oznámenie ANSSI do 72 hodín pre akýkoľvek významný incident, zavedenie formalizovaného riadenia kybernetických rizík, periodický audit bezpečnosti.

Nariadenie (EÚ) 2016/679 (GDPR): poskytovatelia služieb podpisovania spracúvajú citlivé osobné údaje (identitu signatárov, auditné zápisy). Dodržanie princípov minimalizácie, obmedzenia uchovania a integrity si vyžaduje špecifickú analýzu vplyvu (AIPD). Právny základ spracúvania musí byť dokumentovaný pre každú službu.

Technické normy s regulačnou hodnotou

Vykonávacie akty Komisie (najmä rozhodnutie o vykonaní (EÚ) 2015/1506 a jeho revízie) označujú normy ETSI ako domnelú zhodu:

• ETSI EN 319 401: všeobecné požiadavky TSP
• ETSI EN 319 411-1 a 411-2: politiky certifikácie
• ETSI EN 319 421: kvalifikovaná časová pečiatka
• ETSI EN 319 132 / 122 / 102: formáty AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: služby vzdialených podpisov

Právne riziká v prípade nezodpovednosti

Podvodné alebo nedbanlivé používanie štatútu kvalifikovaného poskytovateľa vystavuje administratívnym sankciám vynášaným ANSSI (suspenzii, odstráneniu zo zoznamu dôvery) a trestným stíhaniu (čl. 226-17 Trestného zákonníka za nedostatočnú bezpečnosť osobných údajov). Na občianskoprávnej úrovni, spochybňovanie dôkaznej hodnoty podpisov vydaných počas obdobia nezodpovednosti môže angažovať zmluvnú zodpovednosť poskytovateľa voči svojim klientom.

Scenáre používania: certifikácia eIDAS 2 v praxi

Scenár 1 – Editor SaaS strednej veľkosti vyvíjajúci sa k kvalifikácii QES

Spoločnosť špecializujúca sa na dematerializáciu dokumentov, zamestnávajúca približne sto zamestnancov a spravujúca niekoľko miliónov transakcií podpisovania ročne v mene klientov v bankách a poisťovniach sa rozhoduje požiadať o kvalifikáciu eIDAS 2 pre svoju službu elektronického podpisu. Doteraz spoločnosť ponúkala pokročilý podpis založený na certifikátoch (AdES), dostatočný pre väčšinu svojich klientskych zmlúv, ale nedostatočný pre spisy vyžadujúce maximálnu dôkaznu hodnotu (mandáty SEPA, notárske doklady o dôkazoch).

Po trojmesačnom internom audite, ktorý odhalil asi pätnásť hlavných odchýlok od požiadaviek ETSI EN 319 411-2, spoločnosť začína program dosahu zhody trvajúci 14 mesiacov. Hlavné pracovné plochy sa týkajú výmeny existujúcich HSM za moduly certifikované FIPS 140-2 úroveň 3, spracovania DPC s rozsahom 180 strán a získania certifikácie ISO 27001 pred audítom CAB. Celková investícia dosahuje 340 000 €. Po ukončení procesu umožňuje vloženie do francúzskeho TSL spoločnosti pristupovať k tendrom, z ktorých bola systematicky vylučovaná, predstavujúcim potenciál približne 20 % dodatočného príjmu.

Scenár 2 – Nemocničný zoskupenie integrujúce kvalifikovaný podpis na medicínsko-právne činy

Nemocničné zoskupenie s približne 1 200 lôžkami sa chce dematerializovať svoje procesy informovaného súhlasu, delegácie lekárskych právomocí a výskumných zmluv. Tieto dokumenty patria do kategórie čináv, pre ktoré je QES vyžadovaný alebo dôrazne odporúčaný referenčnými štandardami HAS a právnym rámcom zdravotných údajov (čl. L. 1110-4 CSP).

Namiesto certifikácie vnútornej infraštruktúry – možnosti považovanej za príliš nákladnú a mimo hlavnej činnosti – zoskupenie sa rozhoduje pre integráciu tretej strany poskytovateľa, ktorý je už zapísaný v TSL. DSI vykonáva audit zhody poskytovateľa na základe kontrolného zoznamu ETSI EN 319 401 a overuje skutočnú prítomnosť v EUTL pred akoukoľvek zmluvou. Nasadenie, realizované za 4 mesiace, znižuje čas zberu podpisov v súboroch výskumného projektu o 65 % a eliminuje právne riziko spochybnenia spôsobené predchádzajúcim používaním jednoduchých podpisov na citlivých činoch.

Scenár 3 – Právnická kancelária zaoberajúca sa obchodnými záležitosťami zabezpečujúca svoje súkromné spisy

Právnická kancelária zaoberajúca sa obchodnými záležitosťami s približne tridsiatimi spoločníkmi, spravujúca ročne takmer 400 operácií fúzií a akvizícií a predajov obchodných jednotiek, chce stabilizovať podpis svojich komplexných súkromných spisov. Jednotková hodnota spravovaných transakcií často presahuje milión eur a akákoľvek chyba vo forme môže angažovať odbornu zodpovednosť kancelárie.

Po analýze sa tím IT a managing partner zhodujú na minimálnej zmluvnej požiadavke QES emitovaného kvalifikovaným poskytovateľom eIDAS 2 pre akýkoľvek spis, ktorého hodnota presahuje 100 000 €. Kritérium výberu poskytovateľa povinne zahŕňa overenie vloženia do národného TSL a dostupnosti certifikátu o zhode ETSI s nedávnym dátumom (menej ako 12 mesiacov). Tento rámec umožňuje kancelárií znížiť požiadavky na protiexpertu na platnosť podpisov pri neskorších sporoch o viac ako 80 % podľa spätných väzieb pozorovaných v porovnateľných štruktúrach v sektore.

Záver

Získať certifikáciu eIDAS 2 ako poskytovateľ služieb elektronického podpisu je náročný, nákladný a dlhý proces – ale nevyhnutný pre akéhokoľvek subjektu, ktorý chce ponúknuť maximálne právne záruky svojim klientom na európskom trhu. Od dosahu zhody s normami ETSI, prechodu audítom CAB, inštrukcie ANSSI až po udržiavanie kvalifikácie trvajúcej, úloha mobilizuje podstatné zdroje počas 12 až 24 mesiacov.

Pre používajúce podniky, dobrá správa je, že nie je potrebné stavať túto infraštruktúru interne: výber poskytovateľa SaaS, ktorý je už certifikovaný eIDAS 2 a zapísaný v zozname národnej dôvery, umožňuje okamžite ťažiť z právnej domnienky pripojenej ku QES bez nákladov na certifikáciu.

Certyneo je spoľahlivý certifikovaný poskytovateľ navrhnutý pre podniky B2B, ktoré vyžadujú právnu prísnosť a jednoduchost použitia. Objavte naše ceny a začnite s bezplatným skúšobným verziou ešte dnes.