Kvalifikovani elektronski sertifikat za preduzeće: vodič za 2026

Zašto je kvalifikovani elektronski sertifikat postao neizostavan za preduzeća

U vreme kada se dematerijalizacija ugovornih procesa ubrzava u svim sektorima, pitanje kvalifikovanog elektronskog sertifikata se nameće kao strateško pitanje za pravne odele, IT direktore i generalnog direktore. Prema godišnjem izveštaju ANSSI iz 2024, više od 78% francuskih malih i srednjih preduzeća koja su usvojila kvalifikovanu elektronsku signaturu smanjila su svoje rokove zaključivanja ugovora za više od 60%. Međutim, mnogi još uvek zbunjuju jednostavnu, naprednu i kvalifikovanu signaturu — sa rizikom da izlože svoje pravne akte osporavanju. Ovaj članak vas vodi korak po korak da razumete šta je kvalifikovani elektronski sertifikat, kako ga dobiti u skladu sa RGS i eIDAS okvirom, i kako ga efikasno primeniti u vašoj organizaciji.

Šta je kvalifikovani elektronski sertifikat?

Elektronski sertifikat je digitalna datoteka izdana od strane Certifikacionog autoriteta (CA) koja povezuje identitet fizičkog ili pravnog lica sa javnim kriptografskim ključem. To je ključni element koji omogućava trećoj strani da proveri autentičnost i integritet digitalne signature.

Kvalifikator „kvalifikovani" se odnosi na preciznu definiciju iz evropske uredbe eIDAS (br. 910/2014, član 28): sertifikat mora biti izdan od strane Kvalifikovanog pružaoca usluga povere (QSCP), upisanog na listi nacionalnog povera (u Francuskoj, koju objavljuje ANSSI). Pored toga, mora biti u skladu sa tehničkim zahtevima standarda ETSI EN 319 411-2, koji uređuje politike i praksu sertifikovanja.

U praksi, kvalifikovani sertifikat garantuje:

• Provereni identitet potpisnika (verifikacija dokumenata lice-u-lice ili ekvivalentnim odobrenim sredstvom);
• Integritet potpisanog dokumenta (bilo koja kasnija izmena je otklonjiva);
• Neporekivost (potpisnik ne može da negira da je apozizo svoju signaturu).

Razlika između jednostavne, napredne i kvalifikovane signature

Uredba eIDAS razlikuje tri nivoa elektronske signature, svaki povezan sa nivoom sertifikata:

| Nivo | Potreban sertifikat | Dokazna vrednost | Uobičajena upotreba | |---|---|---|---| | Jednostavna | Nije obavezno | Slaba | Obični narudžbeni formulari | | Napredna | Napredni sertifikat (QSCP) | Srednja | B2B trgovinski ugovori | | Kvalifikovana | Kvalifikovani sertifikat (kvalifikovani QSCP) | Maksimalna, ekvivalentna ručnoj | Notarski akti, javne nabavke, osetljive kadrovske odluke |

Za kvalifikovanu signaturu — jedinu koja uživava zakonsku pretpostavku ekvivalentnosti ručnoj signaturi (član 1367 Građanskog zakonika) — kvalifikovani sertifikat je neophodno obavezan. Za više informacija o razlikama između nivoa, pogledajte naš kompletan vodič elektronske signature.

---

RGS okvir: francuske specifičnosti koje morate znati

U Francuskoj, Opšti referentni okvir bezbednosti (RGS), establecen uredbom br. 2010-112 i redovno ažuriran od strane ANSSI, definiše zahteve za bezbednost primenjive na informatičke sisteme uprava. Za preduzeća koja zaključuju ugovore sa javnim subjektima (javne nabavke, digitalne procedure), poštovanje RGS je često ugovornih ili zakonska obaveza.

Nivoi RGS primenjivi na sertifikate

RGS definiše tri zvezdice kvalifikacije za sertifikate:

• RGS* (jedna zvezdica): osnovni nivo, odgovarajući za uobičajenu upotrebu niske osetljivosti;
• RGS (dve zvezdice)**: srednji nivo, obavezan za većinu digitalnih administativnih procedura;
• RGS (tri zvezdice)*: visok nivo, za akte sa visokim pravnim ili finansijskim rizikom.

Za dematijalizovane javne nabavke preko profila kupca, uredba br. 2016-360 (članovi 39 i 40) u opštem slučaju nameće signaturu nivoa RGS kao minimum, što pretpostavlja sertifikat ekvivalentne kvalifikacije.

Artikulacija između RGS i eIDAS

Od primene uredbe eIDAS, dva referentna okvira koegzistiraju. Kvalifikovani sertifikat prema eIDAS se smatra da zadovoljava zahteve RGS** u velikom većinom slučajeva. ANSSI je objavila tablice korespondencije koje omogućavaju da se osigura kompatibilnost. Zato je savetno, za preduzeća koja rade i sa privatnim i sa javnim partnerima, da privileguju kvalifikovani sertifikat eIDAS izdан od strane QSCP upisanog na francuskoj listi povera — što istovremeno pokriva oba referentna okvira.

Za dublje razumevanje evropske uredbe, naš vodič eIDAS 2.0 detaljno objašnjava glavne izmene predviđene i njihov uticaj na francuska preduzeća.

---

Kako dobiti kvalifikovani elektronski sertifikat: korak-po-korak proces

Dobijanje kvalifikovanog elektronskog sertifikata nije trivijalna procedura: ona obuhvata rigoroznu verifikaciju identiteta zahtevnika i, za pravno lice, njegove zakonske zastupljenosti. Evo glavnih koraka.

Korak 1: Identifikovanje pravog kvalifikovanog pružaoca usluga povere

U Francuskoj, QSCP-i ovlašćeni za izdavanje kvalifikovanih sertifikata su navedeni na Trust Service Status List (TSL) koju objavljuje ANSSI (dostupna na portalu esignature.gouv.fr). Među akterima na toj listi nalaze se CA kao što su CertEurope, Certinomis (filijala La Poste), Keynectis ili čak evropski provajderi priznati na osnovu principa uzajamnog priznanja eIDAS.

Kriterijumi izbora koje treba da ispitati:

• Stvarno prisustvo na francuskoj i/ili evropskoj TSL;
• Format sertifikata koji se nudi (softver, na čip kartici, HSM u oblaku);
• Kompatibilnost sa vašom postojećom IT infrastrukturom;
• Cenovanju i vreme validnosti (obično 1 do 3 godine);
• Nivo podrške i vreme za upis.

Korak 2: Priprema dokumentacije za upis

Za preduzeće, zahtev za kvalifikovani sertifikat zahteva prikupljanje dokumenata koji dokazuju identitet nosioca (fizičkog lica) i njegovu sposobnost da predstavlja pravno lice. Dokumenti koji se obično zahtevaju su:

• Zvanična ličnog dokument nosioca (pasoš, nacionalna lična karta);
• Ekstrakti iz registra ne stariji od 3 meseca (ili ekvivalent za udruge, javne ustanove);
• Procena ovlašćenja ako nosiolac nije zakonski predstavnik;
• Obrazac zahteva specifičan za izabranu QSCP.

Verifikacija identiteta mora biti izvršena lice-u-lice pred Operaterom upisa (OE) mandatiranog od QSCP, ili pomo ću odobrenog procesa digitalne verifikacije (video-identifikacija u skladu sa normom ETSI TS 119 461).

Korak 3: Izdavanje i aktivacija sertifikata

U zavisnosti od izabranog formata, sertifikat se izdaje:

• Na kvalifikovanu jedinicu za pravljenje signature (QSCD): kripto ključ USB ili čip kartica sertificirana Common Criteria EAL 4+;
• Preko udaljene usluge kvalifikovane signature (Remote Qualified Electronic Signature — RQES) upravlja QSCP, gde se privatni ključ nalazi u HSM-u (Hardware Security Module) sertificiranom prema normi ETSI EN 419 241.

Uvođenje RQES usluge je danas najčešće prihvaćeno rešenje od strane preduzeća, jer izbjegava fizičko upravljanje kriptografskim nosiocima a istovremeno održava kvalifikovanu usklađenost. Poredite rešenja za elektronsku signaturu kako biste identifikovali model koji najbolje odgovara vašem kontekstu.

Korak 4: Integracija u vaše poslovne procese

Kada je sertifikat dobijen, njegova integracija u dokumentarne tokove preduzeća je obično preko SaaS platforme za elektronsku signaturu. Ova platforma mora biti kompatibilna sa ETSI standardima (XAdES, PAdES, CAdES) kako bi se osigurala interoperabilnost i trajnost digitalnih dokaza. Naš dedicirani članak o elektronskoj signaturi u preduzeću pomoći će vam da strukturirate ovo uvođenje.

---

Trošak, validnost i obnavljanje: šta preduzeća moraju da plate

Cenovna opseg u 2026

Cene kvalifikovanih sertifikata značajno se razlikuju u zavisnosti od formata i provajdera:

• Sertifikat na fizičkom nosaču (USB ključ/kartica): između 80 € i 250 € bez PDV-a po nosaču godišnje;
• Kvalifikovani sertifikat u oblaku (RQES): između 40 € i 150 € bez PDV-a po nosaču godišnje, u zavisnosti od količina;
• Paketi za preduzeća: značajne olakšice primenjuju se od 10 nosilaca, dosežući 30 do 40% jedinične tarife.

Ovi troškovi treba da se sagledaju iz perspektive uštede koja se generiše: eliminacija štampanja, poštanskog poslovanja, kašnjenja obrade i sporova vezanih za osporavane signature.

Vreme validnosti i obnavljanje

Validnost kvalifikovanog sertifikata je obično postavljena na 1, 2 ili 3 godine u zavisnosti od ponuđene usluge. Po isteku, prethodno potpisani dokumenti ostaju važeći (pod uslovom da je njihova integritet osiguran preko kvalifikovane usluge vremenskog žiga), ali novi akti se ne mogu potpisati isteklim sertifikatom. Zato je imperativno etablirati proces nadzora i anticipiranog obnavljanja — idealno 60 dana pre isteka.

Opoziv i upravljanje incidentima

U slučaju kompromitovanja privatnog ključa (gubitak, krađa nosioca, sumnja na divulgaciju), sertifikat mora biti odmah opozvan kod QSCP. Ovaj objavlja opoziv na njegovoj Listi opozvanog sertifikata (CRL) ili preko OCSP protokola, čineći bilo koju kasniju signaturu sa ovim sertifikatom nevalidnom. Interna politika bezbednosti mora zato predvideti dedicirani kontakt i alarm rok manji od 24 sata.

---

Dobre prakse za uspešno uvođenje u preduzeću

Upravljanje i unutarnje uloge

Uspešno uvođenje počiva na jasnoj upravljanju. Preporučuje se da se odredi:

• Odgovoran za PKI (infrastrukturu javnog ključa) sa IT strane, odgovaran za odnos sa QSCP i nadzor obnavljanja;
• Pravni referent koji validira slučajeve upotrebe koji zahtevaju kvalifikovanu signaturu (vs naprednu);
• Delegirani administratori po odeljenju za operativno upravljanje nosiocima.

Obuka i promene upravljanja

Uvođenje kvalifikovanog sertifikata nije dovoljno: zaposleni moraju razumeti kako koristiti svoj sertifikat, kada ga aktivirati i kako reagovati u slučaju incidenta. Kratak plan obuke (1 do 2 sata) i dokumentovane procedure značajno smanjuju greške u upotrebi i zahteve za podrškom.

Audit i praćenje

Kako bi se ispunile obveze dokazanog, čuvajte vremenski označeni audit log svake izvedene signature: identitet potpisnika, otisak dokumenta, datumu/vremenu certifikovano, identifikator sertifikata. Ovi podaci čine osnovu lanca dokaza u slučaju spora. Norma ETSI EN 319 132 (XAdES) predviđa formate signature koji nativno uključuju ove informacije.

Primenjivo zakonodavstvo za kvalifikovane elektronske sertifikate

Građanski zakonik i dokazna vrednost

U francuskom pravu, član 1366 Građanskog zakonika postavlja princip ekvivalentnosti između elektronskog i papirnog zapisa, pod uslovom da je „identitet osobe od koje potiče odgovarajuće osiguran i da je ustanova i čuvana na način koji garantuje njegovu integritet". Član 1367 tačka 2 pojašnjava da kvalifikovana elektronska signatura uživа pretpostavku pouzdanosti: stranka koja osporava signaturu mora dokazati suprotno, čime se tereta dokazivanja preokreće u korist potpisnika.

Uredba eIDAS br. 910/2014

Evropska uredba eIDAS (br. 910/2014), direktno primenjiva u svim državama članicama od 1. jula 2016, čini nadnacionalni temelj. Član 25(2) propisuje da se „kvalifikovana elektronska signatura ima pravni uticaj ekvivalentan ručnoj signaturi". Članovi 28 i 29 definišu zahteve primenjive na kvalifikovane sertifikate i kvalifikovane jedinice za pravljenje signature (QSCD). Prilog I navodi obavezne stavke kvalifikovanog sertifikata (OID politike, identitet QSCP, javni ključ, datumi validnosti, itd.).

Izmene eIDAS 2.0

Uredba eIDAS 2.0 (Uredba EU 2024/1183, stupila na snagu 20. maja 2024) uvodi evropski novčanik digitalne identifikacije (EUDIW) i pojačava zahteve za pristupačnost kvalifikovanih usluga povere. Preduzeća će trebati da anticipiraju integraciju ovih novih mehanizama identifikacije do 2026-2027.

Primenjivi ETSI standardi

• ETSI EN 319 411-2: politika i praksa za QSCP koji izdaju kvalifikovane sertifikate;
• ETSI EN 319 132 (XAdES) i ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES): formati napredne i kvalifikovane elektronske signature;
• ETSI EN 419 241: zahtevi za servere signature (RQES).

GDPR i zaštita podataka

Obrada ličnih podataka u kontekstu upisa (verifikacija identiteta, prikupljanje dokumenata) podleže GDPR br. 2016/679. QSCP i klijentsko preduzeće su zajednički odgovorni za obradu ili u odnosu odgovoran/podogovara zavisno od konfiguracije. DPA (Ugovor o obradi podataka) u skladu sa članom 28 GDPR mora biti potisan. Podaci o upisu moraju biti čuvani za vreme životnog veka sertifikata plus vreme primenjive zastare (5 godina u ugovornim materijama).

Direktiva NIS2 i bezbednost infrastrukture

Direktiva NIS2 (2022/2555/EU), transponovana u francusko pravo zakonom br. 2024-449, nameće esencijalnim i važnim entitetima da prime mere upravljanja rizicima uključujući bezbednost digitalnih lanaca snabdevanja. Korišćenje kvalifikovanog QSCP upisanog na nacionalnoj TSL predstavlja priznatu dobru praksu za delimično zadovoljavanje ovih zahteva.

Scenariji upotrebe: kvalifikovani sertifikat u praksi

Scenario 1: Pravna kancelarija koja upravlja aktima visoke dokazne vrednosti

Kancelarija za korporativno pravo sa oko dvadeset sociusa i saradnika mora redovno potpisati akte o cesiji delova društva, transakcijske protokole i mandate sa punomoći. Do sada je svaki akt zahtevao štampanje, ručnu signaturu, skeniranje i poštansku pošiljku — što je značilo prosečan rok od 4 do 7 radnih dana po ciklusu potpisanosti. Posle uvođenja kvalifikovanih sertifikata u oblaku (RQES) za svakog sociusa, ovaj rok je smanjen na manje od 4 sata za akte koji ne zahtevaju notarsku intervenciju. Kancelarija procenjuje smanjenje od 65% vremena administratnog rada vezanog za upravljanje dokumentima i nije evidentirala nijedan spor o signaturi u prvih 18 meseci korišćenja. Rešenja elektronske signature za pravne kancelarije koju nudi Certyneo se prirodno integruju u ovaj tip radnog toka.

Scenario 2: Malo-srednje preduzeće koje zaključuje ugovore sa javnim javkom dajući

Malo-srednje preduzeće iz sektora metalurgije, sa oko 120 zaposlenih, redovno se javlja na dematijalizovanim javnim pozivima za ponude na kupačkim profilima. Obavezano je da elektronski potpiše svoju ponudu i akte obaveze sa sertifikatom nivoa RGS** minimum. Posle nabavljanja dva kvalifikovana sertifikata (za generalnog direktora i komercijalnog direktora sa ovlašćenjima), malo-srednje preduzeće je moglo da deponuje svoje ponude u zakazanom roku bez putovanja ili poštanske pošiljke. Tokom godine, to predstavlja oko 35 dosijea javnih poziva, što znači procenjenu uštedu od 15 radnih dana godišnje samo na upravljanju dokumentima. Usklađenost eIDAS sertifikata takođe osigurava priznavanje njegovih potpisа kod javnih kupaca u Nemačkoj i Belgiji, proširavajući njegov komercialni opseg. Koristite naš kalkulator ROI da procenite potencijalne dobitke u vašem kontekstu.

Scenario 3: Zdravstveni sistem koji osigurava kadrovske i dobavljačke akte

Zdravstveni sistem sa oko 1.200 kreveta, okupljajući nekoliko ustanova, suočava se sa godišnjom količinom od oko 3.000 radnih ugovora, dopunama i angažmanima dobavljača. Odeljenje za ljudske resurse i odeljenje za nabavke su zajedničko uvela rešenje kvalifikovane signature sa sertifikatima izdanim za ovlašćene direktore. Paralelno, dokumenti koji se trebaju potpisati od strane zaposlenih obrađuju se preko radnog toka napredne signature, rezervišući kvalifikovanu signaturu za akte upravljanja sa visokom pravnom vrednošću. Rezultat: prosečan rok za finalizovanje radnog ugovora prešao je sa 12 dana na 2,5 dana, a procenat nepotpunih dosijea (nedostaje signatura, pogrešna verzija potpisana) smanjio se za 78%. Rešenja elektronske signature u zdravstvu koju nudi Certyneo integruje specifičnosti regulatora bolničkog sektora.

Zaključak

Dobijanje kvalifikovanog elektronskog sertifikata je danas obavezan korak za svako preduzeće koje želi bezbedno osigurati svoje digitalne akte, zadovoljiti zahteve javnih nabavki i kasniti se u regulatornom okviru eIDAS. Daleko od toga da bude ograničenje, to je poluga kompetitivnosti: skraćeni rokovi potpisanosti, neprikosnoveni dokažni lanac i međunarodno priznanje u čitavoj Evropskoj uniji.

Ključni koraci koje treba da se zapamte: odaberite QSCP upisan na ANSSI listi povere, pripremite rigoroznu dokumentaciju za upis, izaberite format u oblaku (RQES) da olakšate uvođenje i integrirajte sertifikat u platformu usklađenu sa ETSI standardima.

Certyneo vas prati na svakom koraku: od izbora pravog nivoa signature do integracije u vaše poslovne procese. Zatražite besplatnu demonstraciju i saznajte kako uvesti kvalifikovanu signaturu u manje od 48 sati u vašoj organizaciji.