Skladnost z eIDAS za MSP: celoten kontrolni seznam za leto 2026

Evropska uredba eIDAS (EU št. 910/2014, ki bo kmalu spremenjena z eIDAS 2.0) ureja elektronsko podpisovanje po vsej Evropski uniji. Za MSP skladnost ni le polje za preverjanje: je jamstvo, da so njegove pogodbe izvršljive, da so njegovi podpisni podatki zaščiteni in da se ščiti pred pravnimi tveganji, ki so lahko draga. Tukaj je kontrolni seznam za leto 2026 v 12 konkretnih točkah za preverjanje, ali je vaše MSP v celoti skladno z eIDAS.

1. točka: izberite pravo raven podpisa

Prvi refleks: preslikajte svoje vrste pogodb in povežite ciljno raven. Standardne komercialne pogodbe (predračuni, naročilnice, preproste NDA): SES je dovolj. Pogodbe o zaposlitvi, najemi, občutljivi NDA-ji, strateški sporazumi: najmanj AES, po možnosti z OTP SMS. Predpisani akti (odvetnik, notar, javna naročila nad cenzusom): Obvezen KES. Brez tega preslikave tvegate prenizko (zavrnjena pogodba) ali preveliko (previsoki stroški).

Točka 2: preverite usposobljenost ponudnika storitev

Vaš ponudnik storitev mora biti zaupanja vreden ponudnik storitev (QTSP) ali pa se zanašati na QTSP za ravni AES/QES. Oglejte si seznam storitev zaupanja, ki ga je objavil ANSSI (eidas.ssi.gouv.fr) in evropski seznam zaupanja vrednih (webgate.ec.europa.eu/tl-browser). Francoski referenčni QTSP: Certigna, Docaposte, Certinomis, Universign. Za SES/AES prek platforme (Certyneo, Yousign itd.) preverite njihovo izrecno dokumentirano skladnost z eIDAS.

Točka 3: Preizkusite revizijsko sled

Podpišite testno ovojnico in zberite revizijsko sled (običajno ločen PDF). Vsebovati mora: identiteto in e-pošto podpisnika, časovni žig vsakega koraka (pošiljanje, odpiranje, potrjevanje, podpis), naslov IP, uporabniškega agenta, zgoščeno vrednost dokumenta, potrditev OTP, če je AES. Če eden od teh elementov manjka, je dokazna vrednost oslabljena. Certyneo zagotavlja popolno revizijsko sled tudi na brezplačnem načrtu.

Točka 4: nadzor časovnega žiga

Časovni žig mora izdati organ za časovne žige (TSA), skladen z RFC 3161. Samo časovni žig s strežnika NTP podjetja ni dovolj. Odprite podpisani PDF v programu Adobe Reader: zavihek Podpisi → Podrobnosti → Časovni žig. Tam bi morali videti veljavno potrdilo TSA in potrjeno uro. Če PDF nima potrjenega časovnega žiga, se odrecite izbiri ponudnika storitev.

Točka 5: arhiv najmanj 10 let

Trgovski zakonik (čl. L. 123-22) zahteva 10-letno hrambo komercialnih dokumentov. Delovni zakonik določa 5 let za pogodbe o zaposlitvi po odpovedi. Arhiviranje mora ohraniti celovitost (zgoščevanje, pečatenje) in dostop. Idealno: format PDF/A (ISO 19005), dvojna shramba (primarna + varnostna kopija zunaj kraja), kvalificiran elektronski sef (CFE) za največji dokaz. Certyneo privzeto arhivira 10 let in ponuja izvoz partnerjem CFE.

Točka 6: preverite lokalizacijo podatkov

Kje gostijo vaše podpisne podatke? Za francosko MSP, ki se ukvarja z občutljivimi pogodbami, izberite gostovanje v Franciji ali EU. Za seznam podizvajalcev in njihovo lokacijo povprašajte svojega ponudnika storitev (28. člen GDPR). Izogibajte se rešitvam, za katere velja ameriški zakon o oblaku za strateške pogodbe. Certyneo gostuje v Franciji, brez odvisnosti od Cloud Act. Oglejte si naš članek o /blog/cloud-act-signature-electronique.

Točka 7: artikulirajte z GDPR

Podpis in GDPR sta tesno povezana: vsaka ovojnica vsebuje osebne podatke (ime, e-pošta, IP, telefon). Prepričajte se, da vaš register obdelave (čl. 30 GDPR) vključuje elektronski podpis, da so obdobja hrambe dosledna (10 let) in da je mogoče izvajati pravice posameznikov (dostop, popravek, prenosljivost). Če zahtevate veliko podpisov, priporočamo DPO. Oglejte si naš članek /blog/signature-electronique-rgpd.

Točka 8: identificirajte podpisnike navzgor

Pri trdnem AES se identifikacija ne začne s podpisom: začne se z zbiranjem podatkov. Preverite e-pošto (brez vzdevkov, brez poštnega seznama), telefonske številke (brez skupne linije) in spremljajte vir identifikacije (ID za težke pogodbe, KYC obstoječe stranke za tekoče pogodbe). Zaradi te dolžne skrbnosti so dokazi trdni v primeru spora.

Točka 9: trenirajte ekipe

Vaše prodajne, kadrovske in pravne ekipe morajo razumeti pravila: nikoli ne silite podpisnika v uporabo naprave tretje osebe, nikoli ne vrnite spremenjenega podpisanega PDF-ja, nikoli ne prilepite skenirane slike podpisa namesto pravega podpisa. Ena ura treninga na ekipo je dovolj, da se razvijejo dobri refleksi. Certyneo ponuja popoln vodnik za interno skupno rabo (/resources).

Točka 10: preverite pogodbe ponudnikov storitev

CGU/CGV ponudnika storitev podpisovanja mora: sprožiti skladnost z eIDAS, določiti obdobja arhiviranja, vključiti podizvajalsko pogodbo GDPR (čl. 28), dokumentirati podizvajalce, zagotoviti reverzibilni načrt v primeru prenehanja. Zahtevajte tudi SOC 2 tipa II ali enakovreden, če obdelujete velike količine. Za Certyneo so ti dokumenti na voljo na /legal in /security.

Točka 11: pripravite eIDAS 2.0 in denarnico EUDI

Uredba eIDAS 2.0 (EU 2024/1183) stopi v veljavo postopoma in od držav članic zahteva, da uvedejo denarnico EUDI Wallet pred koncem leta 2026. Ta denarnica za digitalno identiteto bo zlasti omogočala dostop do QES na daljavo brez fizične registracijske pisarne. Pripravite svoje MSP: preverite, ali ima vaš ponudnik storitev načrt EUDI Wallet, sledite sporočilom ANSSI in Evropske komisije. Glej /blog/eidas-2-nouveau-reglement-2026.

Točka 12: revizija letno

Skladnost ni pridobljeno stanje: je stalen proces. Načrtujte letno revizijo (notranjo ali zunanjo), da preverite: regulativne spremembe, razvoj ponudnikov storitev, posodobljeno kartiranje vrst pogodb, učinkovito zadrževanje, usposabljanje novih sodelavcev. Lahka revizija za MSP traja pol dneva in se izogne ​​številnim presenečenjem. Začnite z ustvarjanjem brezplačnega računa Certyneo na certyneo.com/signup, da preizkusite skladnost v resničnem svetu, nato pa si oglejte naš vodnik eIDAS, da se poglobite (/guide/eidas).