eIDAS 2 certifiering leverantör signatur 2026

Varför eIDAS 2-certifiering förändrar allt för leverantörer

Sedan förordningen (EU) 2024/1183 från den 11 april 2024 — vanligen kallad eIDAS 2 — trädde i kraft, står leverantörer av betrodda tjänster (PSC) inom Europeiska unionen inför ett grundligt omformat regelverk. Revideringen av den ursprungliga eIDAS-förordningen från 2014 är inte bara en utökning av omfånget för erkända tjänster: den gör ackrediteringsvillkoren betydligt hårdare, introducerar nya garantinivåer och skärper kraven på övervakning från nationella kontrollorganen. För varje aktör som önskar erbjuda kvalificerade (QES) eller avancerade (AdES) elektroniska signaturtjänster på den europeiska marknaden är det inte längre valfritt att förstå hur man får eIDAS 2-certifiering för leverantör av signatur — det är en strategisk skyldighet.

Den här artikeln ger en helt överblick över certifieringsprocessen: tillämpliga texter, tekniska normer att följa, rollen för överensstämmelsebedömningsorganen (CAB), realistiska tidsfrister och operativa varningstecken.

---

Det nya regelverket för eIDAS 2: vad som har ändrats

Från förordning 910/2014 till förordning 2024/1183: stora utvecklingar

Den ursprungliga eIDAS-förordningen (nr 910/2014) hade lagt grunden för en enda digital förtroendemarknaden i Europa. Den definierade tre nivåer av signatur — enkel, avancerad och kvalificerad — och krävde att kvalificerade leverantörer fanns på nationella förtroendelijster (TSL, Trust Service Lists). eIDAS 2 behåller denna arkitektur men utökar den på flera strukturerande punkter:

• Utvidgning av kvalificerade tjänster: elektronisk arkivering av kvalificerad karaktär, elektroniska identitetsattestationer (AEA), fjärrhantering av enheter för skapande av kvalificerad signatur (QSCD). Dessa nya tjänster omfattas nu av samma ackrediteringsprocedur som kvalificerad signatur.
• Den europeiska digitala identitetsplånboken (EUDIW): leverantörer som önskar interagera med framtida digital identitetsplånbok måste visa överensstämmelse med tekniska specifikationer utgivna av Kommissionen (ARF — Architecture and Reference Framework, v1.4, 2024).
• Förstärkt övervakning: nationella tillsynsmyndigheter (i Frankrike, ANSSI) har utökade utrednings- och påbudsbefogenheter. Kvalificerade PSC kan bli föremål för oanmälda revisioner.
• Förkortat aviseringssystem: varje betydande säkerhetshändelse måste anmälas till tillsynsmyndigheten inom 24 timmar (i motsats till 72 timmar i tidigare version för vissa händelser).

För en fullständig överblick av förordningen erbjuder eIDAS 2.0-guiden från Certyneo en pedagogisk sammanfattning av alla dessa utvecklingar.

Garantinivåer och deras konsekvenser för certifiering

Distinktionen mellan avancerad och kvalificerad elektronisk signatur förblir systemets vridpunkt. Endast QES åtnjuter en juridisk presumtion om integritet och imputabilitet motsvarande handskriven signatur (art. 25 i eIDAS 2-förordningen). Denna presumtion är direkt beroende av leverantörens certifiering.

| Nivå | Bevisvärde | Leverantörkrav | |---|---|---| | Enkel (SES) | Begränsat | Ingen | | Avancerad (AdES) | Betydande | God praxis + ETSI-normer | | Kvalificerad (QES) | Maximal (juridisk presumtion) | Obligatorisk eIDAS 2-certifiering |

---

eIDAS 2-certifieringsprocessen steg för steg

Steg 1 — Organisatoriska och tekniska förutsättningar

Innan en leverantör formellt påbörjar certifieringsprocessen måste den granska sin mognadsnivå enligt tre axlar:

1. Överensstämmelse med ETSI-normer Normerna från serien EN 319 utgör det oumbärliga tekniska fundamentet. De viktigaste är:

• ETSI EN 319 401: allmänna krav för leverantörer av betrodda tjänster
• ETSI EN 319 411-1 och 411-2: policyer och krav för certifikatmyndigheter som utfärdar certifikat (PTC-QC-profiler för kvalificerade certifieringar)
• ETSI EN 319 421: policy och krav för tidsstämplingsjänstleverantörer
• ETSI EN 319 132: signaturformat XAdES (XML) och associerad serie CAdES (CMS) och PAdES (PDF)

Överensstämmelse med dessa normer är inte valfri för kvalificerade leverantörer: den är explicit krävd av Europeiska kommissionens genomförandeakter.

2. Säkerhet för informationssystem QSCD (enheter för skapande av kvalificerad signatur) måste certifieras enligt Common Criteria (CC) EAL4+ eller motsvarande. För fjärrsignaturtjänster — den dominerande SaaS-modellen — gäller kraven även HSM-moduler (Hardware Security Module) och rutiner för hantering av kryptografiska nycklar (överensstämmelse med FIPS 140-2 nivå 3 som minimum).

3. Säkerhetspolicy (PSSI) och riskhantering Certifieringsdokumentet kräver en formaliserad PSSI, anpassad till ISO/IEC 27001 (vars certifiering är starkt rekommenderad och ibland krävd av CAB) och som integrerar NIS2-kraven för enheter som klassificeras som "viktiga" eller "väsentliga".

Steg 2 — Val och engagemang av överensstämmelsebedömningsorgan (CAB)

I Frankrike är de CAB som är ackrediterade av COFRAC (Comité Français d'Accréditation) för bedömning av leverantörer av betrodda tjänster få till antalet. Som exempel är LSTI (Laboratoire de Sécurité des Technologies de l'Information) och Bureau Veritas Certification bland aktörer som är listade. På europeisk nivå publicerar varje medlemsstat listan över sina anmälda CAB.

CAB:s roll är att genomföra en överensstämmelserevisioning i två faser:

1. Dokumentbedömning (Fas 1): granskning av policyer, procedurer, Certifieringspraxis-förklaring (DPC / CPS) och tekniska bevis.
2. Revisioning på plats (Fas 2): verifiering av operativa kontroller, penetrationstester, samtal med personalen.

Den totala varaktigheten för en CAB-revision varierar normalt från 4 till 8 veckor beroende på kandidatens tidigare mognad.

Steg 3 — Handläggning av nationell tillsynsmyndighet

I Frankrike är det ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) som hanterar ansökningar om registrering på den nationala förtroendeljsten (TSL FR). Baserat på CAB-revisionsrapporten genomför ANSSI sin egen analys och kan begära ytterligare information eller korrigerande åtgärder.

Den regelbestämmande handläggningstiden är 3 månader från mottagandet av en fullständig dokumentation (art. 17 i eIDAS 2-förordningen). I praktiken är faktiska tidsfrister ofta längre om den ursprungliga dokumentationen är ofullständig.

När leverantören väl är registrerad på den nationala TSL refereras den automatiskt i EUTL (EU Trusted List), publicerad av Europeiska kommissionen, vilket ger den omedelbar transnationell erkännande i alla 27 medlemsländer.

Steg 4 — Bibehållande av kvalifiering och förnyelse

eIDAS 2-certifiering är inte permanent. Kvalificerade leverantörer är föremål för:

• En årlig övervakningsrevisioning genomförd av CAB
• En fullständig förnyelserevisioning vart 24:e månad (förkortad cykel jämfört med tidigare praxis)
• Möjlighet till oanmälda kontroller på initiativ av ANSSI

Alla väsentliga förändringar av infrastrukturen (byte av HSM, utveckling av PKI, ny kvalificerad tjänst) utlöser en förhandsanmälningsprocedur och kan kräva en partiell revision.

---

Kostnader, tidsfrister och riskfaktorer: vad IT-chefer måste förutse

Budget och personalsresurser

Kostnaden för en första eIDAS 2-certifiering är betydande. Utgiftsposterna omfattar:

• CAB-revisioning: mellan 40 000 € och 120 000 € beroende på omfångets komplexitet
• Teknisk efterlevnadsjustering (HSM, PKI, CC-certifierade QSCD): från 80 000 € till flera hundratusentals euro för en proprietär infrastruktur
• ISO 27001-certifiering (rekommenderad som förberedelse): 15 000 till 50 000 € beroende på storlek
• Juridisk rådgivning och DPC-skrivning: 10 000 till 30 000 €
• Interna kostnader: mobilisering av dedikerat team (CISO, dataskyddsombud, efterlevnadsledare) under 12 till 18 månader

Genom att kombinera alla dessa poster representerar en fullständig certifiering en total investering på ungefär 200 000 till 500 000 € för en leverantör av mellanstorlek, exklusive återkommande kostnader för bibehållande.

Operativa riskfaktorer

De vanligaste orsakerna till misslyckande eller fördröjning i certifieringsprocedurer är:

1. En otillräckligt detaljerad DPC: Certifieringspraxis-förklaringen måste dokumentera varje kontroll med ibland underskattad granularitet.
2. Luckor i hanteringen av nyckelcykelns livstid: återkallning, arkivering, destruktion av privata nycklar.
3. Otillräcklig styrning av incidenter: avsaknad av SIEM, testade krisledningsprocedurer, runbooks.
4. Underskattning av NIS2: sedan oktober 2024 klassificeras kvalificerade PSC automatiskt som "viktiga" enheter enligt NIS2-direktivet, med ytterligare anmälan- och riskhanteringskrav.

För företag som önskar delegera dessa begränsningar till en redan certifierad leverantör snarare än att bygga sin egen infrastruktur, hjälper jämförellen av elektroniska signaturtjänster tillgänglig på Certyneo att objektivera detta build-vs-buy-val.

---

eIDAS 2 och elektronisk signatur i företaget: övergångsutmaningar

För användarföretag — i motsats till leverantörer — är eIDAS 2-certifiering av deras SaaS-leverantör för signatur nu ett olikt val av urvalskriterium. Att integrera i anbudsinlämningar en klausul som kräver närvaro på den nationala TSL har blivit en standardpraxis inom reglerade sektorer (finans, hälsa, fastigheter).

Elektronisk signatur i företaget kräver faktiskt att tydligt skilja mellan fall där QES krävs — privata handlingar med höga satsningar, fullmakter, elektroniska notariehandlingar — från fall där AdES är tillräckligt. Denna kartläggning av användningsfall betingar direkt vilken servicenivå som är avtalsmässigt krävbar från leverantören.

Organisationer som migrerar från en befintlig lösning till en certifierad eIDAS 2-leverantör måste också förutse portabilitet för arkiv av bevis. Guiden för migrering från DocuSign eller YouSign till Certyneo beskriver bästa praktik för att bevara bevisvärdet för dokument som redan signerats under övergången.

Rättslig ram för eIDAS 2-certifiering

Grundläggande texter

Certifiering av leverantörer av betrodda tjänster bygger på en tät regelstapel som måste behärskas helt och hållet:

Förordning (EU) 2024/1183 från 11 april 2024 (eIDAS 2): referenstexten som upphäver och ersätter motsvarande bestämmelser i förordning 910/2014. Den definierar villkoren för att erhålla och behålla status som kvalificerad leverantör, de nationella tillsynskraven och kraven på nya tjänster (EUDIW, AEA).

Förordning (EU) nr 910/2014 (eIDAS 1): fortfarande delvis tillämplig för bestämmelser som inte har ändrats; genomförandeakterna och delegerade akter som antagits under denna förordning förblir gällande tills de formellt revideras.

Fransk civillag, artiklar 1366 och 1367: artikel 1366 fastställer principen om likvärdighet mellan elektronisk signatur och handskriven signatur under tillförlitlighetsvillkoret; artikel 1367 förtydligar att tillförlitligheten presumeras fram till motsatsen bevisas när kvalificerad signatur används. Dessa nationella bestämmelser är direkt relaterade till eIDAS 2:s presumtion enligt art. 25.

Direktiv (EU) 2022/2555 (NIS2): överförda till fransk rätt genom lag från 15 oktober 2024, klassificerar det automatiskt leverantörer av betrodda tjänster bland viktiga enheter. Krav: anmälan till ANSSI inom 72 timmar för varje betydande incident, etablering av formaliserad cyberriskshantering, periodisk säkerhetsrevision.

Förordning (EU) 2016/679 (GDPR): leverantörer av signaturtjänster hanterar känsliga personuppgifter (signantidentitet, revisionsloggar). Respekt för principerna om minimering, lagringsperiodsbegränsning och integritet kräver en specifik konsekvensbedömning (DPIA). Rättgrund för behandlingen måste dokumenteras för varje tjänst.

Tekniska normer med regelstyrka

Europeiska kommissionens genomförandeakter (särskilt genomförandebeslut (EU) 2015/1506 och dess revideringar) utser ETSI-normer som försumtivel överensstämmelse:

• ETSI EN 319 401: allmänna krav för TSP
• ETSI EN 319 411-1 och 411-2: certifieringspolicyer
• ETSI EN 319 421: kvalificerad tidsstämpel
• ETSI EN 319 132 / 122 / 102: AdES-format (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: fjärrsignaturtjänster

Juridiska risker vid bristande efterlevnad

Bedräglig eller oaktsam användning av status som kvalificerad leverantör exponerar för administrativa sanktioner förklarade av ANSSI (upphängning, borttagning från förtroendeljsten) och straffbara gärningar (art. 226-17 i strafflagen för bristande datasäkerhet). Civil liggande ifrågasättandet av bevisvärdet för signaturer utfärdade under en period av icke-efterlevnad kan engagera leverantörens avtalsansvar gentemot dess kunder.

Användningsscenarier: eIDAS 2-certifiering i praktiken

Scenario 1 — En SaaS-redaktör av mellanstorlek som siktar på QES-kvalificering

Ett företag som är specialiserat på dokumentdematerialisering, sysselsätter cirka hundra medarbetare och hanterar flera miljoner signaturtransaktioner årligen för kunder inom bank- och försäkringssektorn, besluter att ansöka om eIDAS 2-kvalificering för sin elektroniska signaturtjänst. Hittills erbjöd företaget en avancerad signatur baserad på certifikat (AdES), tillräcklig för huvuddelen av dess kundkontrakt, men otillräcklig för handlingar som kräver maximal bevisvärde (SEPA-fullmakter, notariell avtalsöverenskommelser).

Efter en tre månaders intern revision som avslöjade ungefär femton större avvikelser från ETSI EN 319 411-2-kraven, påbörjar företaget ett 14 månaders efterlevnadsprogram. De viktigaste projekten gäller ersättning av befintliga HSM med moduler certifierade enligt FIPS 140-2 nivå 3, utarbetandet av en 180-siding DPC och erhållandet av ISO 27001-certifiering före CAB-revisionen. Den totala investeringen når 340 000 €. Efter processens slut möjliggör registrering på den franska TSL åtkomst till anbudsinlämningar från vilka företaget tidigare systematiskt exkluderats, vilket representerar en kommersiell potential uppskattad till 20 % extra intäkter.

Scenario 2 — En sjukhusgrupp som integrerar kvalificerad signatur för medicinska-juridiska handlingar

En sjukhusgrupp med cirka 1 200 sängar önskar dematerialisera sina processer för informerat samtycke, ombudsöverföringar och kliniska försökskontrakt. Dessa dokument faller under kategorin handlingar för vilka QES är påkallad eller starkt rekommenderad av HAS-riktlinjer och det juridiska ramverket för hälsodata (art. L. 1110-4 CSP).

Snarare än att certifiera en intern infrastruktur — ett alternativ bedömt för kostsamt och utanför kärnverksamhet — väljer gruppen integration av en tredjepartsaktör redan registrerad på TSL. IT-avdelningen genomför en leverantörsöverensstämmelserevisioning baserad på ETSI EN 319 401-checklistan och verifierar verklig närvaro på EUTL före varje avtalsslutande. Utrullningen, genomförd på 4 månader, minskar tidsåtgången för signaturinsamling på kliniska försöksdokument med 65 % och eliminerar risken för juridisk anfechtning relaterad till tidigare användning av enkla signaturer för känsliga handlingar.

Scenario 3 — En affärsadvokatbyrå som säkerställer sina privata handlingar

En affärsadvokatbyrå med cirka trettio delägare, som årligen hanterar nästan 400 fusioner och företagsförsäljningar, söker förstärka signaturen på sina komplexa privata handlingar. Det enhetliga värdet av behandlade transaktioner överskrider ofta en miljon euro, och alla formfel kan engagera byråns yrkesansvar.

Efter analys enades IT-teamet och managing partner om ett avtalmässigt minimikrav på en QES utgiven av en eIDAS 2-certifierad leverantör för varje handling vars värde överskrider 100 000 €. Leverantörsvalskriteriet integerar obligatorisk kontroll av registrering på den nationala TSL och tillgängligheten av ett nyligen utgränsat ETSI-överensstämmelsecertifikat (mindre än 12 månader). Denna ram möjliggör för byrån att reducera ansökningarna om motexpertis om signaturernas giltighet vid senare tvister med mer än 80 %, enligt återkopplingar från jämförbara strukturer i sektorn.

Sammanfattning

Att erhålla eIDAS 2-certifiering som leverantör av elektroniska signaturtjänster är en krävande, dyr och långvarig process — men oöverkomlig för varje aktör som önskar erbjuda maximala juridiska garantier till sina kunder på den europeiska marknaden. Mellan efterlevnad mot ETSI-normer, passage av CAB-revisioning, behandling av ANSSI och bibehållandet av kvalificering på längre sikt mobiliserar tillvägagångssättet väsentliga resurser under 12 till 24 månader.

För användarföretag är den goda nyheten att det inte är nödvändigt att bygga denna infrastruktur internt: att välja en SaaS-leverantör redan certifierad för eIDAS 2 och registrerad på den nationala förtroendeljsten möjliggör att omedelbar dra nytta av QES:s juridiska presumtion, utan att bära certifieringskostnaderna.

Certyneo är en betrodd leverantör som är certifierad, utformad för B2B-företag som kräver juridisk rigor och användarvänlighet. Upptäck våra priser och starta din kostnadsfria test idag.