eIDAS 2 sertifikacija ponudnika podpisov 2026

Zakaj sertifikacija eIDAS 2 spreminja razmere za ponudnike

Od vstopa v veljavo Uredbe (EU) 2024/1183 z dne 11. aprila 2024 — splošno znane kot eIDAS 2 — so ponudniki storitev zaupanja (PSC), ki delujejo v Evropski uniji, soočeni s temeljito preurejenim regulativnim okvirom. Prenovitev prvotne Uredbe eIDAS iz leta 2014 ne omejuje le na razširitev obsega priznanih storitev: bistveno se postrošijo pogoji za akreditacijo, uvedejo se nove ravni zagotavljanja in okrepijo zahteve za nadzor nacionalnih nadzornih organov. Za vsakega akterja, ki želi ponujati storitve kvalificiranega elektronskega podpisa (QES) ali naprednega elektronskega podpisa (AdES) na evropskem trgu, razumevanje kako pridobiti sertifikat eIDAS 2 za ponudnika podpisov ni več možnost — to je strateška obveza.

Ta članek predstavlja celovit pregled procesa sertifikacije: veljaven teksti, tehnični standardi, ki se jih je treba upoštevati, vlogo telesa za vrednotenje skladnosti (CAB), realne roke in operativne točke budnosti.

---

Novo regulativno okolje eIDAS 2: kaj se je spremenilo

Od Uredbe 910/2014 do Uredbe 2024/1183: glavne spremembe

Prvotna Uredba eIDAS (št. 910/2014) je postavila temelj enotnega evropskega trga zaupanja v digitalni domeni. Opredelila je tri ravni podpisa — preprost, napredni in kvalificirani — in zahtevala od kvalificiranih ponudnikov, da se prikažejo na nacionalnih seznamih zaupanja (TSL, Trust Service Lists). eIDAS 2 obdrži to arhitekturo, vendar jo obogati na več strukturnih točkah:

• Razširitev kvalificiranih storitev: kvalificirani elektronski arhiv, elektronska pričevala o atributih (AEA), daljinsko upravljanje naprav za ustvarjanje kvalificiranega podpisa (QSCD). Te nove storitve so zdaj predmet enake procedure akreditacije kot kvalificirani podpis.
• Evropski denarnico za digitalno identiteto (EUDIW): ponudniki, ki želijo sodelovati s prihodnjim denarnico za identiteto, morajo dokazati skladnost s tehničnimi specifikacijami, objavljenimi s strani Komisije (ARF — Architecture and Reference Framework, v1.4, 2024).
• Okrepljen nadzor: nacionalni nadzorni organi (v Franciji ANSSI) imajo okrepljene preiskovalne in naredbodajne pristojnosti. Kvalificirani PSC-ji se lahko soočijo s presenečujočimi revizijami.
• Skrajšani roki za obvestilo: vsak bistven varnostni incident je treba obvestiti pristojen organ v 24 urah (v primerjavi s 72 urami v prejšnji različici za določene incidente).

Za celosten pregled Uredbe Certyneov vodnik eIDAS 2.0 ponuja pedagogičan povzetek vseh teh sprememb.

Ravni zagotavljanja in njihove posledice za sertifikacijo

Razlikovanje med elektronskim podpisom naprednim in kvalificiranim ostaja srž sistema. Samo QES ima zakonito domnevo o celovitosti in pripisljivosti, enakovredno ročnemu podpisu (čl. 25 Uredbe eIDAS 2). Ta domneva je neposredno pogojena s sertifikacijo ponudnika.

| Raven | Dokazna vrednost | Zahteva ponudnika | |---|---|---| | Preprosta (SES) | Omejena | Nobena | | Napredna (AdES) | Precejšnja | Dobre prakse + standardi ETSI | | Kvalificirana (QES) | Največja (zakonita domneva) | Obvezna sertifikacija eIDAS 2 |

---

Proces sertifikacije eIDAS 2 po fazah

Faza 1 — Organizacijski in tehnični predpogoji

Preden ponudnik uradno začne s postopkom sertifikacije, mora oceniti svojo raven zrelosti na treh osih:

1. Skladnost s standardi ETSI Standardi serije EN 319 predstavljajo neizbežno tehnično osnovo. Glavni so:

• ETSI EN 319 401: splošne zahteve za ponudnike storitev zaupanja
• ETSI EN 319 411-1 in 411-2: politike in zahteve za certifikacijske organe, ki izdajajo certifikate (profili PTC-QC za kvalificirane certifikate)
• ETSI EN 319 421: politika in zahteve za ponudnike storitev časovnega žiga
• ETSI EN 319 132: formati podpisov XAdES (XML) in povezane serije CAdES (CMS) in PAdES (PDF)

Skladnost s temi standardi ni fakultativna za kvalificirane ponudnike: eksplicitno je zahtevana s strani izvedbenih aktov Evropske komisije.

2. Varnost sistemov informacij QSCD (naprave za ustvarjanje kvalificiranega podpisa) morajo biti certificirani po Common Criteria (CC) EAL4+ ali enakovrednem. Za rešitve za daljinsko podpisovanje — prevladujoči model SaaS — se zahteve nanašajo tudi na module HSM (Hardware Security Module) in postopke upravljanja kriptografskih ključev (skladnost FIPS 140-2 raven 3 kot minimum).

3. Politika varnosti informacij (PSSI) in upravljanje tveganj Sertifikacijska dokumentacija zahteva formalizirano PSSI, usklajeno s standardom ISO/IEC 27001 (katerega sertifikat je toplo priporočljiv in včasih zahtevan s strani CAB) in vključujočo zahteve NIS2 za subjekte, klasificirane kot »pomembni« ali »bistveni«.

Faza 2 — Izbira in angažman telesa za vrednotenje skladnosti (CAB)

V Franciji so CAB-ji, akreditirani s strani COFRAC (Francoski odbor za akreditacijo), za vrednotenje ponudnikov storitev zaupanja malo števila. Na primer, LSTI (Laboratoire de Sécurité des Technologies de l'Information) in Bureau Veritas Certification sta med priznanimi akterji. Na evropski ravni vsaka država članica objavlja seznam svojih obveščenih CAB-jev.

Vloga CAB je voditi revizijo skladnosti v dveh fazah:

1. Pregled dokumentacije (Faza 1): pregled politik, postopkov, Izjave o praksi sertifikacije (DPC / CPS) in tehnični dokazi.
2. Revizija na mestu (Faza 2): preverjanje operativnih kontrol, testi penetracije, pogovori z ekipami.

Skupna trajanja revizije CAB se običajno razteza od 4 do 8 tednov glede na prejšnjo zrelost kandidata.

Faza 3 — Obravnava s strani nacionalnega nadzornega organa

V Franciji je to ANSSI (Agencija za nacionalno varnost informacijskih sistemov), ki obravnava zahteve za vpis na nacionalni seznam zaupanja (TSL FR). Na podlagi poročila o reviziji CAB ANSSI izvede svojo analizo in lahko zahteva dodatne informacije ali korektivne ukrepe.

Regulativni rok obravnave je 3 mesece od prejema popolnega dossieja (čl. 17 Uredbe eIDAS 2). V praksi so dejanski roki pogosto daljši, če je začetni dossier nepopoln.

Po vnosu na nacionalni TSL je ponudnik samodejno vključen v EUTL (EU Trusted List), objavljeni s strani Evropske komisije, kar mu zagotavlja takojšnjo mednarodno priznanje v vseh 27 državah članicah.

Faza 4 — Vzdrževanje kvalifikacije in obnova

Sertifikacija eIDAS 2 ni dokončna. Kvalificirani ponudniki so podvrženi:

• Letni nadzorni reviziji, ki jo izvede CAB
• Celotni reviziji za obnovo vsake 24 mesecev (skrajšan cikel v primerjavi s prejšnjo prakso)
• Presenečujočim nadzorskim pregledoma, ki jih lahko na svojega lastnega premisleka izvede ANSSI

Vsaka bistvena sprememba infrastrukture (sprememba HSM, razvoj PKI, nova kvalificirana storitev) sproži postopek predhodnega obvestila in lahko zahteva delno revizijo.

---

Stroški, roki in dejavniki tveganja: kaj morajo DSI-ji predvideti

Proračun in človeški viri

Stroški prve sertifikacije eIDAS 2 so precejšnji. Postavke stroškov vključujejo:

• Revizija CAB: med 40.000 € in 120.000 € glede na kompleksnost obsega
• Tehnična skladnost (HSM, PKI, certificirani QSCD CC): od 80.000 € do več sto tisoč evrov za lastno infrastrukturo
• Sertifikat ISO 27001 (priporočljiv kot predhodnik): 15.000 do 50.000 € glede na velikost
• Stroški pravnega svetovanja in redakcije DPC: 10.000 do 30.000 €
• Notranji stroški: mobilizacija namenske ekipe (RSSI, DPO, odgovorna oseba za skladnost) v obdobju 12 do 18 mesecev

Če seštejemo vse te postavke, celotna sertifikacija predstavlja skupni naložbeni znesek v razponu 200.000 do 500.000 € za ponudnika srednje velikosti, brez ponavljajočih se stroškov vzdrževanja.

Operativni dejavniki tveganja

Najpogostejši razlogi za neuspeh ali zamudo v sertifikacijskih postopkih so:

1. Neprimerno podrobna DPC: Izjava o praksi sertifikacije mora dokumentirati vsak nadzor z granularnostjo, ki jo je včasih mogoče podceniti.
2. Pomanjkanja pri upravljanju ciklusa življenja ključev: umik, arhiviranje, uničenje zasebnih ključev.
3. Nezadostna vladavina incidentov: odsotnost SIEM, testiranih postopkov za upravljanje kriz, runbooks-ov.
4. Podcenjevanje NIS2: od oktobra 2024 so kvalificirani PSC-ji avtomatično razvrščeni med subjekte »pomembne« v smislu Direktive NIS2, z dodatnimi obvezami poročanja in upravljanja tveganj.

Za podjetja, ki želijo te omejitve prepustiti že certificiranem ponudniku namesto da bi zgradila lastno infrastrukturo, primerjava rešitev za elektronski podpis dostopna na Certyneju pomaga objektivizirati to izbiro build-vs-buy.

---

eIDAS 2 in elektronski podpis v podjetju: prehodni izzivi

Za podjetja kot uporabnike — v nasprotju s ponudniki — je sertifikacija eIDAS 2 njihovega ponudnika SaaS za podpisovanje neizbežen kriterij izbire. Vključevanje v javne razpise klavzule, ki zahteva prisotnost na nacionalnem TSL, je postala običajna praksa v urejenih sektorjih (finance, zdravstvo, nepremičnine).

Elektronski podpis v podjetju dejansko narekuje jasno razlikovanje med primeri uporabe, ki zahtevajo QES — zasebni akti z visokim vložkom, pooblastila, elektronski notarski akti — in tistimi, pri katerih je zadostna AdES. Ta kartografija uporabe neposredno pogojuje raven storitve, ki jo je mogoče pogodbeno zahtevati od ponudnika.

Organizacije, ki migrirajo z obstoječe rešitve k že certificiranem ponudniku eIDAS 2, morajo tudi pričakovati prenosljivost arhivov dokazov. Vodnik za migracije iz DocuSign ali YouSign na Certyneo podrobno opisuje dobre prakse za ohranitev dokazne vrednosti dokumentov, že podpisanih med prehodom.

Pravni okvir, ki se uporablja za sertifikacijo eIDAS 2

Temeljni teksti

Sertifikacija ponudnikov storitev zaupanja se opira na gost niz norm, ki ga je treba v celoti obvladati:

Uredba (EU) 2024/1183 z dne 11. aprila 2024 (eIDAS 2): besedilo, ki se nanašajo, kot referenca, ki razveljavi in nadomešča ustrezne določbe Uredbe 910/2014. Opredeljuje pogoje za pridobitev in ohranitev statusa kvalificiranega ponudnika, obveznosti nacionalnega nadzora in zahteve glede novih storitev (EUDIW, AEA).

Uredba (EU) št. 910/2014 (eIDAS 1): še vedno delno veljavna za določbe, ki niso spremenjene; izvršilni in delegirani akti, sprejeti pod to Uredbo, ostajajo v veljavi do svoje formalne revizije.

Francoski civilni zakonik, členi 1366 in 1367: članek 1366 postavi načelo enakovrednosti elektronskega podpisa ročnemu podpisu pod pogojem zanesljivosti; člen 1367 pojasnjuje, da se zanesljivost domneva, dokler ni dokazano nasprotno, kadar se uporablja kvalificirani podpis. Te nacionalne določbe se neposredno povezujejo z zakonito domnevo člena 25 eIDAS 2.

Direktiva (EU) 2022/2555 (NIS2): prevedena v francoski zakon z Zakonom z dne 15. oktobra 2024, samodejno razvršča ponudnike storitev zaupanja kot kvalificirane med subjekte »pomembne«. Obveznosti: obvestilo ANSSI v 72 urah za vsak bistven incident, vzpostavitev formalizirane upravljanja tveganj cyber, periodična revizija varnosti.

Uredba (EU) 2016/679 (GDPR): ponudniki storitev podpisovanja obdelujejo občutljive osebne podatke (identiteta podpisovalcev, dnevniki revizije). Spoštovanje načel minimiziranja, omejevanja shranjevanja in celovitosti zahteva posebno analizo vpliva (AIPD). Pravna osnova obdelave mora biti dokumentirana za vsako storitev.

Tehnični standardi z regulativno vrednostjo

Izvedbeni akti Evropske komisije (zlasti Odločitev Komisije (EU) 2015/1506 in njene revizije) določajo standarde ETSI kot domnevo skladnosti:

• ETSI EN 319 401: splošne zahteve TSP
• ETSI EN 319 411-1 in 411-2: politike sertifikacije
• ETSI EN 319 421: kvalificirani časovni žig
• ETSI EN 319 132 / 122 / 102: formati AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: storitve daljinskega podpisovanja

Pravna tveganja v primeru neskladnosti

Goljufljiva ali nemarna uporaba statusa kvalificiranega ponudnika izpostavlja upravne kazni, izrečene s strani ANSSI (suspenzija, umik s seznama zaupanja) in kazenske pregone (člen 226-17 Kazenskega zakonika za pomanjkljivo varnost osebnih podatkov). Na civilnem področju je vprašanje dokazne vrednosti podpisov, izdanih med obdobjem neskladnosti, lahko angažira pogodbeno odgovornost ponudnika do njegovih strank.

Scenariji uporabe: sertifikacija eIDAS 2 v praksi

Scenarij 1 — SaaS založnik srednje velikosti, ki si prizadeva za kvalifikacijo QES

Podjetje, specializirano za dematerializacijo dokumentov, ki zaposluje približno sto sodelavcev in upravlja več milijonov transakcij podpisovanja letno za račun strank v sektorjih banka in zavarovanje, se odloči za zahtevo kvalifikacije eIDAS 2 za svojo storitev elektronskega podpisa. Doslej je podjetje ponujalo napredni podpis na osnovi certifikatov (AdES), zadosten za večino njegovih pogodb s strankami, vendar zadosten za akte, ki zahtevajo največjo dokazno vrednost (pooblastila SEPA, konvencije dokazov, notarsko overjene).

Po notranjih revizijah v trajanju 3 mesecev, ki so razkrile približno petnajst glavnih odstopanj od zahtev ETSI EN 319 411-2, se podjetje odloči za 14-mesečni program skladnosti. Glavne teme se nanašajo na zamenjavo obstoječih HSM z moduli, certificiranimi s FIPS 140-2 raven 3, redakcijo 180-stranskega DPC in pridobitev sertifikata ISO 27001 pred revizijo CAB. Skupni naložbeni znesek doseže 340.000 €. Po zaključku procesa vpis na francoski TSL omogoča podjetju dostop do javnih razpisov, iz katerih je bilo sistematično izključeno, kar predstavlja komercialnega potenciala, ocenjenega na 20 % dodatnih dohodkov.

Scenarij 2 — Zdravstveni zavod, ki integrira kvalificirani podpis za medico-pravne akte

Zdravstveni zavod, ki ima približno 1.200 postelj, želi dematerializirati svoje procese informiranega soglasja, pooblastil medicinskega osebja in pogodb za klinične raziskave. Ti dokumenti spadajo v kategorijo aktov, za katere je QES zahtevan ali toplo priporočljiv s strani referenčnih smernic HAS in pravnega okvira podatkov o zdravju (čl. L. 1110-4 CSP).

Namesto da bi certificirale notranjo infrastrukturo — možnost, ki je presodjena za preskupo in izven pristojnosti — se zdravstveni zavod odloči za integracijo tretjega ponudnika, že vpisanega na TSL. DSI izvrši revizijo skladnosti ponudnika na podlagi Kontrolnega seznama ETSI EN 319 401 in preverja dejansko prisotnost na EUTL, preden se sploh sklene pogodba. Uvajanje, izvedeno v 4 mesecih, zmanjša čas zbiranje podpisov na datotekah klinične raziskave za 65 % in odpravi tveganje pravnega spora, povezanega s prejšnjo uporabo enostavnih podpisov za občutljive akte.

Scenarij 3 — Odvetniški pisarni za poslovno pravo, ki zagotavlja svoje zasebno pravo akte

Odvetniška pisarni za poslovno pravo, ki zaposluje približno trideset partnerjev in letno upravlja približno 400 transakcij združitev in prevzemov ter prodaje poslovnih skladov, išče zanesljivost za podpisovanje svojih kompleksnih zasebnih aktov. Posamična vrednost obravnavanih transakcij pogosto presega milijon evrov, in vsaka oblika napake lahko angažira poklicno odgovornost pisarne.

Po analizi se IT ekipa in vodilni partner dogovorita za minimalno pogodljivo zahtevo kvalificiranega elektronskega podpisa, izda s ponudnika certificiranega eIDAS 2, za vsak akt, katerega vrednost presega 100.000 €. Kriterij izbire ponudnika vključuje obvezno preverjanje vpisa na nacionalnem TSL in razpoložljivosti nedavnega Certifikata skladnosti ETSI (manj kot 12 mesecev). Ta okvir omogoča pisarni zmanjšanje zahtev za posebne preiskave o veljavnosti podpisov pri poznejših sporih za več kot 80 % glede na povratne informacije, opažene pri struktuah, primerljivih v sektorju.

Zaključek

Pridobitev sertifikat eIDAS 2 kot ponudnika storitev elektronskega podpisa je zahtevno, drago in dolgotrajno opravilo — vendar neizbežno za vsakega akterja, ki si želi ponuditi največje pravne garancije svojim strankam na evropskem trgu. Glede na skladnost s standardi ETSI, revizijo CAB, obravnavo s strani ANSSI in vzdrževanje kvalifikacije v času, nastane potreba po substancialnih resursih v obdobju 12 do 24 mesecev.

Za podjetja kot uporabnike je dobra novica, da ni potrebno graditi to infrastrukturo interno: izbira SaaS ponudnika, že certificiranega eIDAS 2 in vpisanega na nacionalni seznam zaupanja, omogoča takojšnje prejemanje zakonite domneve, povezane s QES, brez prenosa stroškov sertifikacije.

Certyneo je zaupan ponudnik certificiran, oblikovan za podjetja B2B, ki zahtevajo pravno strogost in preprostost v uporabi. Odkrij naše cene in začni s svojim brezplačnim poskusom že danes.