eIDAS-efterlevnad för små och medelstora företag: den fullständiga checklistan för 2026

Den europeiska eIDAS-förordningen (EU nr 910/2014, som snart kommer att ändras av eIDAS 2.0) reglerar elektroniska signaturer i hela Europeiska unionen. För ett små och medelstora företag är efterlevnaden inte bara en ruta att kontrollera: det är garantin för att dess avtal är verkställbara, att dess signaturdata är skyddade och att de skyddar sig mot juridiska risker som kan bli kostsamma. Här är checklistan för 2026 med 12 konkreta punkter för att kontrollera att ditt små och medelstora företag är helt eIDAS-kompatibelt.

Punkt 1: välj rätt signaturnivå

Första reflexen: kartlägg dina kontraktstyper och associera en målnivå. Standard kommersiella kontrakt (offerter, inköpsorder, enkla NDAs): SES är tillräckligt. Anställningskontrakt, leasingavtal, känsliga NDA:er, strategiska avtal: AES minimum, gärna med OTP SMS. Reglerade handlingar (advokat, notarie, offentliga kontrakt över en tröskel): Obligatorisk QES. Utan denna kartläggning riskerar du underdimensionering (vägrade kontrakt) eller överdimensionering (överdriven kostnad).

Punkt 2: kontrollera tjänsteleverantörens kvalifikationer

Din tjänsteleverantör måste vara en betrodd tjänsteleverantör (QTSP) eller lita på en QTSP för AES/QES-nivåer. Se listan över betrodda tjänster som publicerats av ANSSI (eidas.ssi.gouv.fr) och den europeiska listan över betrodda tjänster (webgate.ec.europa.eu/tl-browser). De franska referens-QTSP:erna: Certigna, Docaposte, Certinomis, Universign. För SES/AES via plattform (Certyneo, Yousign, etc.), kontrollera deras explicit dokumenterade eIDAS-efterlevnad.

Punkt 3: Testa revisionsspåret

Signera ett testkuvert och samla in revisionsspåret (vanligtvis en separat PDF). Den måste innehålla: undertecknarens identitet och e-postadress, tidsstämpel för varje steg (sändning, öppning, validering, signatur), IP-adress, användaragent, hash för dokumentet, OTP-validering om AES. Saknas något av dessa moment försvagas bevisvärdet. Certyneo tillhandahåller hela revisionsspåret även på en gratis plan.

Punkt 4: kontrollera tidsstämpeln

Tidsstämpeln måste utfärdas av en tidsstämpelmyndighet (TSA) som är kompatibel med RFC 3161. En tidsstämpel helt enkelt från ett företags NTP-server räcker inte. Öppna den signerade PDF-filen i Adobe Reader: Fliken Signaturer → Detaljer → Tidsstämpel. Du bör se ett giltigt TSA-certifikat och en certifierad klocka där. Om PDF-filen inte har en certifierad tidsstämpel, gå tillbaka till valet av tjänsteleverantör.

Punkt 5: arkiv i minst 10 år

Handelslagen (artikel L. 123-22) kräver 10 års lagring av kommersiella dokument. Arbetslagstiftningen föreskriver 5 år för anställningsavtal efter uppsägning. Arkivering måste bevara integritet (hash, försegling) och åtkomst. Idealiskt: PDF/A-format (ISO 19005), dubbel lagring (primär + säkerhetskopiering utanför platsen), kvalificerat elektroniskt kassaskåp (CFE) för maximalt bevis. Certyneo arkiverar 10 år som standard och erbjuder export till CFE-partners.

Punkt 6: kontrollera datalokalisering

Var lagras din signaturdata? För ett franskt små och medelstora företag som hanterar känsliga kontrakt, välj fransk eller EU-värd. Fråga din tjänsteleverantör om listan över underleverantörer och deras plats (artikel 28 GDPR). Undvik lösningar som omfattas av US Cloud Act för strategiska kontrakt. Certyneo är värd i Frankrike, utan Cloud Act-beroende. Se vår artikel om /blogg/cloud-act-signature-electronique.

Punkt 7: artikulera med GDPR

Signatur och GDPR är nära sammanlänkade: varje kuvert innehåller personuppgifter (namn, e-post, IP, telefon). Se till att ditt behandlingsregister (art. 30 GDPR) innehåller den elektroniska signaturen, att lagringstiderna är konsekventa (10 år) och att enskildas rättigheter kan implementeras (åtkomst, rättelse, portabilitet). Om du efterfrågar många underskrifter rekommenderas en DPO. Se vår artikel /blogg/signature-electronique-rgpd.

Punkt 8: identifiera undertecknare uppströms

För en solid AES börjar inte identifiering med signering: den börjar med datainsamling. Kontrollera e-postmeddelanden (inga alias, ingen e-postlista), telefonnummer (ingen delad linje) och håll koll på identifieringskällan (ID för tunga kontrakt, befintlig kund-KYC för pågående kontrakt). Denna due diligence gör bevisen solida i händelse av en tvist.

Punkt 9: träna lagen

Dina sälj-, HR- och juridiska team måste förstå reglerna: tvinga aldrig en undertecknare att använda en tredjepartsenhet, returnera aldrig en modifierad signerad PDF, klistra aldrig in en skannad signaturbild istället för en riktig signatur. En timmes träning per lag räcker för att ingjuta bra reflexer. Certyneo tillhandahåller en komplett guide för att dela internt (/resurser).

Punkt 10: kontrollera tjänsteleverantörernas kontrakt

CGU/CGV för signaturtjänsteleverantören måste: initiera eIDAS-efterlevnad, ange arkiveringsperioder, inkludera ett GDPR-underleverantörsavtal (art. 28), dokumentera underleverantörsplanen, tillhandahålla en reversibilitetsplan. Begär även SOC 2 Typ II eller motsvarande om du bearbetar stora volymer. För Certyneo är dessa dokument tillgängliga på /legal och /security.

Punkt 11: förbered eIDAS 2.0 och EUDI-plånboken

eIDAS 2.0-förordningen (EU 2024/1183) träder i kraft gradvis och kräver att medlemsstaterna distribuerar en EUDI-plånbok före utgången av 2026. Denna fjärrregistrering kommer inte att ge den fysiska kontoret åtkomst till en QES. Förbered ditt SME: kontrollera att din tjänsteleverantör har en EUDI Wallet-färdplan, följ kommunikationen från ANSSI och Europeiska kommissionen. Se /blogg/eidas-2-nouveau-reglement-2026.

Punkt 12: revision årligen

Efterlevnad är inte en förvärvad status: det är en pågående process. Schemalägg en årlig revision (intern eller extern) för att kontrollera: regulatoriska förändringar, utveckling av tjänsteleverantörer, uppdaterad kartläggning av kontraktstyper, effektiv retention, utbildning av nya rekryter. En lätt revision tar en halv dag för ett SME och undviker många överraskningar. Börja med att skapa ett gratis Certyneo-konto på certyneo.com/signup för att testa verklighetens efterlevnad, kolla sedan in vår eIDAS-guide för att gräva djupare (/guide/eidas).