eIDAS 2 sertifikacija pružaoca usluge digitalnog potpisivanja 2026

Zašto sertifikacija eIDAS 2 menja igru za pružaoce usluga

Od stupanja na snagu Uredbe (EU) 2024/1183 od 11. aprila 2024. — obično nazvane eIDAS 2 — pružaoci usluga od poverenja (PSC) koji deluju u Evropskoj uniji suočavaju se sa duboko reformisanim regulatornim okvirom. Revizija originalne eIDAS uredbe iz 2014. godine ne ograničava se samo na proširenje opsega priznatih usluga: značajno pogoršava uslove akreditacije, uvodi nove nivoe garancije i pojačava zahteve za nadzorom od strane nacionalnih organa kontrole. Za svaki učesnik koji želi da ponudi usluge kvalifikovane elektronske signature (QES) ili napredne (AdES) na evropskom tržištu, razumevanje kako dobiti sertifikaciju eIDAS 2 za pružaoca usluge digitalnog potpisivanja više nije opcija — to je strateška obaveza.

Ovaj članak daje sveobuhvatan pregled puta sertifikacije: primenjivi tekstovi, tehnički standardi koje treba poštovati, uloga tela za procenu usklađenosti (CAB), realistični rokovi i operativne tačke opreznosti.

---

Novi regulatorni krajobraz eIDAS 2: šta se promenilo

Od Uredbe 910/2014 do Uredbe 2024/1183: glavne izmene

Originalna eIDAS uredba (br. 910/2014) postavila je temelje jedinstvenog digitalnog tržišta poverenja u Evropi. Definisala je tri nivoa signature — jednostavnu, naprednu i kvalifikovanu — i nametala je kvalifikovani pružaocima da se pojave na nacionalnim listama poverenja (TSL, Trust Service Lists). eIDAS 2 čuva ovu arhitekturu, ali je obogaćuje na nekoliko strukturnih tačaka:

• Proširenje kvalifikovanih usluga: kvalifikovana arhivacija elektronskih dokumenata, elektronska potvrda atributa (AEA), upravljanje na daljinu uređajima za kreiranje kvalifikovane signature (QSCD). Ove nove usluge sada su podložne istoj proceduri akreditacije kao kvalifikovana signatura.
• Evropski digitalni identitetski novčanik (EUDIW): pružaoci koji žele da komuniciraju sa budućim digitalnim novčanikom moraju dokazati svoju usklađenost sa tehničkim specifikacijama koje je objavila Komisija (ARF — Architecture and Reference Framework, v1.4, 2024).
• Pojačanje nadzora: nacionalne vlasti za nadzor (u Francuskoj, ANSSI) imaju pojačane ovlasti istraživanja i naredbe. PSC kvalifikovani mogu biti predmet neplanirane kontrole.
• Skraćeni rokovi notifikacije: svi značajni sigurnosni incidenti moraju biti prijavljeni nadležnom organu u roku od 24 sata (nasuprot 72 sata u prethodnoj verziji za određene incidente).

Za sveobuhvatan pregled uredbe, Certyneo-ov vodič eIDAS 2.0 nudi didaktičan pregled svih ovih promena.

Nivoi garancije i njihove implikacije za sertifikaciju

Razlika između napredne i kvalifikovane elektronske signature ostaje pivot sistema. Samo QES ima korist od pretpostavke o legalnosti integracija i atribucije ekvivalentne ručnom potpisu (član 25 Uredbe eIDAS 2). Ova pretpostavka je direktno uslovna sa sertifikacijom pružaoca.

| Nivo | Vrednost dokaza | Zahtev pružaoca | |---|---|---| | Jednostavna (SES) | Ograničena | Nema | | Napredna (AdES) | Značajna | Dobre prakse + ETSI standardi | | Kvalifikovana (QES) | Maksimalna (zakonska pretpostavka) | Obavezna sertifikacija eIDAS 2 |

---

Proces sertifikacije eIDAS 2 korak po korak

Korak 1 — Organizacioni i tehnički preduslov

Pre nego što formalno započne proces sertifikacije, pružalac mora da proceni nivo zrelosti na tri ose:

1. Usklađenost sa ETSI standardima Standardi serije EN 319 čine neprekidnu tehnički temelj. Glavni su:

• ETSI EN 319 401: opšti zahtevi za pružaoce usluga od poverenja
• ETSI EN 319 411-1 i 411-2: politike i zahtevi za vlasti za certificiranje koje izdaju sertifikate (profili PTC-QC za kvalifikovane sertifikate)
• ETSI EN 319 421: politika i zahtevi za pružaoce usluga vremenskog označavanja
• ETSI EN 319 132: formati XAdES (XML), i povezana serija CAdES (CMS) i PAdES (PDF)

Usklađenost sa ovim standardima nije opciono za kvalifikovane pružaoce: to je eksplicitno zahtevano aktima izvršenja Evropske komisije.

2. Sigurnost informacionih sistema QSCD (uređaji za kreiranje kvalifikovane signature) moraju biti sertifikovani prema Common Criteria (CC) EAL4+ ili ekvivalentnom. Za rešenja za potpisivanje na daljinu — dominantan SaaS model — zahtevi se takođe odnose na HSM module (Hardware Security Module) i procedure upravljanja kriptografskim ključevima (najmanje FIPS 140-2 nivo 3).

3. Politika sigurnosti (PSSI) i upravljanje rizicima Datoteka sertifikacije zahteva formalizovanu PSSI, usklađenu sa ISO/IEC 27001 (čija je sertifikacija preporučljiva i ponekad neophodna od strane CAB) i integrujući zahteve NIS2 za entitete klasifikovane kao "važne" ili "suštinske".

Korak 2 — Izbor i angažovanje tela za procenu usklađenosti (CAB)

U Francuskoj, CAB akreditovana od strane COFRAC (Comité Français d'Accréditation) za evaluaciju pružaoca usluga od poverenja su retka. Kao primer, LSTI (Laboratoire de Sécurité des Technologies de l'Information) i Bureau Veritas Certification figuriraju među priznatim učesnicima. Na evropskom nivou, svaka zemljlja članica objavljuje listu svojih obaviještenih CAB.

Uloga CAB je da sprovede audit usklađenosti u dve faze:

1. Pregled dokumentacije (Faza 1): preispitivanje politika, procedura, Izjave o praksi sertifikovanja (DPC / CPS) i tehničkih dokaza.
2. Audit na mjestu (Faza 2): verifikacija operativnih kontrola, testovi penetracije, intervjui sa timovima.

Ukupno trajanje CAB auditovanja se obično kreće od 4 do 8 nedelja u zavisnosti od prethodne zrelosti kandidata.

Korak 3 — Razmatranje od strane nacionalnog organa za nadzor

U Francuskoj, ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) razmatra zahteve za upisivanje na nacionalnu listu poverenja (TSL FR). Na osnovu CAB auditnog izveštaja, ANSSI sprovodi svoju analizu i može zatražiti dodatne informacije ili korektivne mere.

Regulatorni rok za razmatranje je 3 meseca od prijema kompletne datoteke (član 17 Uredbe eIDAS 2). U praksi, stvarni rokovi su često duži ako je datoteka u početku nepotpuna.

Kada se upiše na nacionalnu TSL, pružalac se automatski pojavljuje na EUTL (EU Trusted List), objavljenoj od strane Evropske komisije, što mu daje neposrednu transnacionalnu prepoznatljivost u svim 27 država članica.

Korak 4 — Održavanje kvalifikacije i obnavljanje

Sertifikacija eIDAS 2 nije definitivna. Kvalifikovani pružaoci su podložni:

• Godišnjem auditu nadzora koji sprovodi CAB
• Kompletnom auditu obnavljanja svakih 24 meseca (skraćeni ciklus u odnosu na prethodnu praksu)
• Neplaninim kontrolama mogućim po inicijativi ANSSI

Bilo koja supstancijalna promena infrastrukture (zamena HSM, evolucija PKI, nova kvalifikovana usluga) pokretati proceduru prethodne obaveštenja i može nametnuti parcijalni audit.

---

Troškovi, rokovi i faktori rizika: šta DSI mora da predvidi

Budžet i ljudski resursi

Trošak prve sertifikacije eIDAS 2 je značajan. Stavke rashoda obuhvataju:

• CAB audit: između 40.000 € i 120.000 € zavisno od kompleksnosti obima
• Tehnička usklađenost (HSM, PKI, QSCD sertifikovani CC): od 80.000 € do nekoliko stotina hiljada evra za vlastitu infrastrukturu
• ISO 27001 sertifikacija (preporučljiva kao prethodni uslov): 15.000 do 50.000 € u zavisnosti od veličine
• Troškovi pravnog saveta i redakcije DPC: 10.000 do 30.000 €
• Interni troškovi: mobilizacija dedicirane ekipe (RSSI, DPO, odgovorna osoba za usklađenost) tokom 12 do 18 meseci

Zbrajajući sve stavke, kompletna sertifikacija predstavlja ukupnu investiciju od oko 200.000 do 500.000 € za pružaoca srednje veličine, bez ponavljajućih troškova održavanja.

Operativni faktori rizika

Najčešće uzroke neuspeha ili kašnjenja u procedurama sertifikacije su:

1. Nedovoljna detaljna DPC: Izjava o praksi sertifikovanja mora dokumentovati svaku kontrolu sa granularnosti koja se ponekad podcenjuje.
2. Nedostaci u upravljanju životnim ciklus ključeva: opoziv, arhiviranje, brisanje privatnih ključeva.
3. Nepotpuna uprava incidenata: odsustvo SIEM, testiranog kriznog menadžmenta, runbook-ova.
4. Podcenjivanje NIS2: od oktobra 2024., kvalifikovani PSC automatski se klasifikuju kao entiteti "važne" prema direktivi NIS2, sa dodatnim obavezama izveštavanja i upravljanja rizicima.

Za preduzeća koja žele da delegiraju ova ograničenja već sertifikovnom pružaoci umesto da grade svoju sopstvenu infrastrukturu, poređenje rešenja za elektronsku signaturu dostupno na Certyneo pomaže da objektivno proceni izbor build-vs-buy.

---

eIDAS 2 i elektronska signatura u preduzeću: problemi prelaska

Za korisnička preduzeća — za razliku od pružaoca — sertifikacija eIDAS 2 njihovog SaaS dobavljača potpisa je sada neophodan kriterijum izbora. Uključivanje u pozive za ponude klauzule koja zahteva prisustvo na nacionalnoj TSL postala je standardna praksa u regulisanim sektorima (finansije, zdravstvo, nekretnine).

Elektronska signatura u preduzeću zaista nameće jasnu razliku između slučajeva upotrebe koji zahtevaju QES — privatni akti sa velikom vrednosti, mandata, elektronski notarski akti — od onih gde AdES dovoljan. Ova klasifikacija upotreba direktno uslavljuje nivo usluge ugovornom zahtevnom pružaotcu.

Organizacije koje migriraju iz postojećeg rešenja ka sertifikovnom pružaču eIDAS 2 moraju takođe da predvide prenosivost arhiva dokaza. Vodič o migraciji sa DocuSign ili YouSign na Certyneo detaljno objašnjava dobre prakse za očuvanje vrednosti dokaza postojećih potpisanih dokumenata tokom prelaska.

Primenjivi legalni okvir za sertifikaciju eIDAS 2

Osnovni tekstovi

Sertifikacija pružaoca usluga od poverenja počiva na gust niz normi koji mora biti u potpunosti usavršen:

Uredba (EU) 2024/1183 od 11. aprila 2024 (eIDAS 2): referentni tekst koji ukida i zamenjuje odgovarajuće odredbe Uredbe 910/2014. Definiše uslove za dobijanje i zadržavanje statusa kvalifikovana pružaoca, obaveze nacionalnog nadzora, i zahteve vezane za nove usluge (EUDIW, AEA).

Uredba (EU) br. 910/2014 (eIDAS 1): i dalje delimično primenjiva za odredbe koje nisu izmenjene; akti izvršenja i delegirani akti usvojeni pod ovom uredbom ostaju na snazi do formalne revizije.

Francuski građanski zakonik, člancima 1366 i 1367: član 1366 postavlja princip ekvivalencije elektronske signature sa ručnom signaturom pod uslovom pouzdanosti; član 1367 precizira da je pouzdanost pretpostavljena dok se ne dokaže suprotno kada se koristi kvalifikovana signatura. Ove nacionalne odredbe direktno se uklanjaju sa zakonskom pretpostavkom članka 25 eIDAS 2.

Direktiva (EU) 2022/2555 (NIS2): transponovana u francusko pravo zakonom od 15. oktobra 2024., automatski kvalifikovane pružaoce usluga poverenja svrstava među važne entitete. Obaveze: prijava ANSSI u roku od 72 sata za bilo koji značajan incident, uspostavljanje formalizovane upravljanja sigurnosnim rizicima, periodični sigurnosni audit.

Uredba (EU) 2016/679 (GDPR): pružaoci usluga potpisa obrađuju osetljive lične podatke (identitet potpisnika, auditorski zapisnici). Poštovanje principa minimizacije, ograničenja čuvanja i integritet nameće specifičnu analizu uticaja (AIPD). Zakonski osnov obrade mora biti dokumentovan za svaku uslugu.

Tehnički standardi sa normativnom vrednošću

Akti izvršenja Evropske komisije (posebno Odluka o izvršenju (EU) 2015/1506 i njene revizije) označavaju ETSI standarde kao pretpostavljenu usklađenost:

• ETSI EN 319 401: opšti zahtevi TSP
• ETSI EN 319 411-1 i 411-2: politike sertifikovanja
• ETSI EN 319 421: kvalifikovano vremensko označavanje
• ETSI EN 319 132 / 122 / 102: AdES formati (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: usluge potpisivanja na daljinu

Pravni rizici u slučaju neusklađenosti

Nepoštena ili nepažljiva upotreba statusa kvalifikovane pružaoca izlaže na administrativne sankcije koje izriče ANSSI (suspenzija, brisanje sa liste poverenja) i na krivične progone (član 226-17 Kodeksa kazni za nedostatak bezbednosti ličnih podataka). Na civilnom planu, osporavanje vrednosti dokaza potpisа izdatih tijekom perioda neusklađenosti može angažovati ugovornu odgovornost pružaoca prema svojim klijentima.

Scenariji upotrebe: sertifikacija eIDAS 2 u praksi

Scenario 1 — SaaS izdavač srednje veličine cilje kvalifikaciju QES

Kompanija specijalizovana za dematerijalizaciju dokumenata, zaposljavajući stotinu saradnika i upravljajući nekoliko miliona transakcija potpisa godišnje za račun klijenata iz bankarskog i osiguranja, odlučuje da potraži kvalifikaciju eIDAS 2 za svoju uslugu elektronskog potpisa. Do sada je kompanija nudio naprednu signaturu na osnovu sertifikata (AdES), što je bilo dovoljno za većinu njenih klijentskih ugovora, ali ne i za akte koji zahtevaju maksimalnu vrednost dokaza (SEPA mandata, notariski sporazumi).

Nakon internog auditovani od 3 meseca koji je otkrio petnaestinu glavne nedoslednosti u odnosu na ETSI EN 319 411-2, kompanija započinje program usklađenosti u trajanju od 14 meseci. Glavni radovi se tiču zamene postojećih HSM sa modulima sertifikovanim FIPS 140-2 nivo 3, redakcije 180-stranice DPC, i dobijanja ISO 27001 sertifikacije pre CAB auditovanja. Ukupna investicija dostiže 340.000 €. Na kraju procesa, upisivanje na francusku TSL omogućava kompaniji pristup pozivima za ponude iz kojih je sistematski isključena, što predstavlja komercialni potencijal od 20% dodatnih prihoda.

Scenario 2 — Bolnička grupa koja integriše kvalifikovanu signaturu za medicinskolegalne akte

Bolnička grupa od oko 1.200 kreveta želi dematerijalizovati svoje procese informisane saglasnosti, delegiranja lekarske vlasti i ugovora kliničkog istraživanja. Ovi dokumenti spadaju u kategoriju akata za koje se QES zahteva ili snažno preporučuje od strane HAS referentnih okvira i zakonskog okvira zdravstvenih podataka (član L. 1110-4 CSP).

Umesto sertifikovanja internog infrastrukture — opcija procenjena kao preskupa i van jezgre delovanja — grupa se odlučuje za integraciju trećeg pružaoca već upisanog na TSL. DSI sprovodi audit usklađenosti pružaoca na osnovu ETSI EN 319 401 kontrolne liste i proverava stvarno prisustvo na EUTL pre bilo koje ugovorne obaveze. Uvođenje, obavljeno u 4 meseca, smanjuje za 65% vremenski rok prikupljanja potpisa na datotekama kliničkog istraživanja i eliminiše rizik pravnog osporavanja povezan sa ranijom upotrebom jednostavnih potpisa za osetljive akte.

Scenario 3 — Kancelarija za korporativno pravo osiguravajući svoje privatne akte

Kancelarija za korporativno pravo sa oko trideset partnera, upravljajući godišnje blizu 400 operacija fuzije-akvizicije i prodaje poslovnog fonda, želi da osigura sigurnost potpisa na svojim složenim privatnim aktima. Jednotna vrednost radi često prelazi milion evra, i svaki vid neispravnosti može angažovati stručnu odgovornost kancelarije.

Nakon analize, IT tim i up partner se slažu sa ugovornom zahtevom najmanja QES izdana od sertifikovane pružaoca eIDAS 2 za svaki akt čija vrednost prelazi 100.000 €. Kriterijum izbora pružaoca obavezno uključuje verifikaciju upisivanja na nacionalnu TSL i dostupnost nedavnog sertifikata usklađenosti ETSI (manje od 12 meseci). Ovaj okvir omogućava kancelariji da smanji sa više od 80% zahteve za suprotnom stručnom procenom o valjanosti potpisa tokom kasnijih sporova, prema povratnim informacijama posmatranim na sličnim strukturama u sektoru.

Zaključak

Dobijanje sertifikacije eIDAS 2 kao pružaoca usluge elektronskog potpisivanja je zahtevnog, skupog i dug proces — ali neizbežnog za bilo koji učesnik koji želi pružiti maksimalnu pravnu osiguranja svojim klijentima na evropskom tržištu. Između usklađenosti sa ETSI standardima, prolaska CAB auditovanja, razmatranja od strane ANSSI i održavanja kvalifikacije tokom vremena, pristup mobilizuje supstancijalne resurse tokom 12 do 24 meseca.

Za korisnička preduzeća, dobra vest je da nije potrebno graditi ovu infrastrukturu interno: izbor SaaS pružaoca već sertifikovane eIDAS 2 i upisanu na listu nacionalnog poverenja omogućava odmah uživanje zakonsku pretpostavku priloženu QES, bez nošenja troškova sertifikacije.

Certyneo je pružalac poverenja sertifikovan, dizajniran za B2B preduzeća koja zahtevaju pravnu strogoću i jednostavnost upotrebe. Saznajte naše cene i započnite svoju besplatnu probu već danas.