Kvalificerat elektroniskt certifikat för företag: Guide 2026

Varför det kvalificerade elektroniska certifikatet har blivit nödvändigt för företag

I en tid då digitaliseringen av avtalsprocesser accelererar inom alla branscher blir frågan om det kvalificerade elektroniska certifikatet en strategisk utmaning för juridiska chefer, IT-direktörer och ledande direktörer. Enligt ANSSI:s årsrapport 2024 har mer än 78 % av de franska små och medelstora företag som har antagit kvalificerad elektronisk signering minskat sin avtalsslutningsperiod med mer än 60 %. Ändå förväxlar många fortfarande enkel, avancerad och kvalificerad signering – med risk att utsätta sina juridiska handlingar för ifrågasättande. Den här artikeln vägleder dig steg för steg för att förstå vad ett kvalificerat elektroniskt certifikat är, hur du skaffar det enligt RGS- och eIDAS-ramverket, och hur du distribuerar det effektivt inom din organisation.

Vad är ett kvalificerat elektroniskt certifikat?

Ett elektroniskt certifikat är en digital fil som utfärdas av en certifieringsmyndighet (AC) som binder identiteten på en fysisk eller juridisk person till en offentlig kryptografisk nyckel. Det utgör huvuddelen som gör det möjligt för en tredje part att verifiera äktheten och integriteten hos en digital signatur.

Klassificeringen "kvalificerad" syftar på en exakt definition från EU-förordningen eIDAS (nr 910/2014, artikel 28): certifikatet måste utfärdas av en kvalificerad betrodd tjänsteleverantör (PSCQ) som är registrerad på den nationella förtroendelistan (i Frankrike publicerad av ANSSI). Det måste också uppfylla de tekniska kraven i standarden ETSI EN 319 411-2, som reglerar certifieringsprinciper och -metoder.

I praktiken garanterar ett kvalificerat certifikat:

• Verifierad identitet för undertecknaren (verifiering av dokument ansikte mot ansikte eller via godkänd motsvarande metod);
• Integritet för det undertecknade dokumentet (alla ändringar efteråt är detekterbara);
• Vithetsbevisning (undertecknaren kan inte förneka att ha undertecknat).

Skillnad mellan enkel, avancerad och kvalificerad signering

Förordningen eIDAS skiljer mellan tre nivåer av elektronisk signering, var och en kopplad till en certifikatnivå:

| Nivå | Nödvändigt certifikat | Bevisvärde | Typisk användning | |---|---|---|---| | Enkel | Inte nödvändigt | Lågt | Vanliga beställningsbekräftelser | | Avancerad | Avancerat certifikat (PSCQ) | Medel | B2B-handelsavtal | | Kvalificerad | Kvalificerat certifikat (Kvalificerad PSCQ) | Maximalt, motsvarar handskriven signatur | Notariella handlingar, offentliga upphandlingar, känslig HR |

För kvalificerad signering – den enda som åtnjuter laglig motsvarighet till handskriven signatur (artikel 1367 Civillagstiftning) – krävs ett kvalificerat certifikat obligatoriskt. För mer information om nivåskillnader, se vår kompletta guide till elektronisk signering.

---

RGS-ramverket: Franska särdrag att känna till

I Frankrike definierar General Security Reference Framework (RGS), etablerat genom dekret nr 2010-112 och regelbundet uppdaterat av ANSSI, säkerhetskraven som tillämpas på myndigheternas informationssystem. För företag som gör affärer med offentliga enheter (offentliga upphandlingar, elektroniska procedurer) är RGS-compliance ofta en avtals- eller rättslig förpliktelse.

RGS-nivåer som gäller för certifikat

RGS definierar tre kvalificeringstjärnor för certifikat:

• RGS* (en stjärna): basnivå, lämplig för vanligt bruk med låg känslighet;
• RGS (två stjärnor)**: mellannivå, krävs för de flesta elektroniska administrativa procedurer;
• RGS (tre stjärnor)*: högnivå, för handlingar med höga juridiska eller finansiella risker.

För elektronisk offentlig upphandling via köparprofil föreskriver dekret nr 2016-360 (artiklarna 39 och 40) i allmänhet en signatursnivå på minst RGS, vilket innebär ett certifikat med motsvarande kvalificering.

Samverkan mellan RGS och eIDAS

Sedan tillämpningen av förordningen eIDAS samexisterar de två ramverken. Ett kvalificerat certifikat enligt eIDAS antas uppfylla RGS**-kraven i de flesta fall. ANSSI har publicerat motsvarighetstabeller för att säkerställa kompatibilitet. Det rekommenderas därför för företag som arbetar både med privata och offentliga partners att välja ett kvalificerat eIDAS-certifikat som utfärdats av en PSCQ som är registrerad på den franska förtroendelistan – vilket samtidigt täcker båda ramverken.

För att fördjupa dig i EU-förordningen, vår eIDAS 2.0-guide beskriver de stora förändringarna som är planerade och deras inverkan på franska företag.

---

Hur du får ett kvalificerat elektroniskt certifikat: Stegvis process

Att skaffa ett kvalificerat elektroniskt certifikat är ingen trivial procedur: det kräver rigorös verifiering av sökandes identitet och, för en juridisk person, dennes lagliga representativitet. Här är de stora stegen.

Steg 1: Identifiera rätt kvalificerad betrodd tjänsteleverantör

I Frankrike är PSCQ:er som är behöriga att utfärda kvalificerade certifikat listade på Trust Service Status List (TSL) publicerad av ANSSI (tillgänglig på portalen esignature.gouv.fr). Bland aktörer på denna lista finns bland annat AC:er som CertEurope, Certinomis (dotterbolag till La Poste), Keynectis eller andra EU-erkända leverantörer enligt principen om ömsesidig erkännande i eIDAS.

Urvalskriterier att granska:

• Faktisk närvaro på den franska TSL:n och/eller den europeiska;
• Format på det erbjudna certifikatet (mjukvara, smartkort, HSM-moln);
• Kompatibilitet med din befintliga IT-infrastruktur;
• Prissättning och giltighetsperiod (vanligtvis 1 till 3 år);
• Supportnivå och registreringsperiod.

Steg 2: Sammanställning av registreringsdokumentation

För ett företag kräver en ansökan om ett kvalificerat certifikat att dokument presenteras som verifierar både identiteten på innehavaren (fysisk person) och hans/hennes kapacitet att representera den juridiska personen. De allmänt erforderliga handlingarna är:

• Officiell identitetshandling för innehavaren (pass, nationellt ID-kort);
• Kbis-extrakt från mindre än 3 månader tidigare (eller motsvarande för föreningar, offentliga enheter);
• Fullmakt om innehavaren inte är den lagliga representanten enligt stadgarna;
• Ansökningsformulär specifikt för den valda PSCQ:n.

Identitetsverifiering måste genomföras ansikte mot ansikte inför en registreringsoperatör (OE) mandaterad av PSCQ:n, eller via en godkänd fjärrverifieringsmetod (videoidentifiering i enlighet med ETSI TS 119 461-standarden).

Steg 3: Mottagande och aktivering av certifikat

Beroende på valt format levereras certifikatet:

• På en kvalificerad signaturgenererande enhet (QSCD): krypterad USB-nyckel eller godkänd smartkort enligt Common Criteria EAL 4+;
• Via en fjärrsignaturstjänst (Remote Qualified Electronic Signature — RQES) som hanteras av PSCQ:n, där den privata nyckeln lagras i en certifierad HSM (Hardware Security Module) enligt standarden ETSI EN 419 241.

Distribution av en RQES-tjänst är idag den mest utbredda lösningen för företag, eftersom den undviker fysisk hantering av kryptografiska enheter samtidigt som den upprätthåller kvalificerad compliance. Jämför lösningar för elektronisk signering för att identifiera modellen som bäst passar ditt behov.

Steg 4: Integration i dina affärsprocesser

När certifikatet är skaffat sker integreringen i företagets dokumentarbetsflöden vanligtvis genom en SaaS-plattform för elektronisk signering. Denna måste absolut vara kompatibel med ETSI-standarden (XAdES, PAdES, CAdES) för att garantera interoperabilitet och hållbarhet för digitala bevis. Vår dedikerade artikel om elektronisk signering i företag hjälper dig att strukturera denna distribution.

---

Kostnad, giltighet och förnyelse: Vad företag måste förutse

Prisintervall 2026

Priserna för kvalificerade certifikat varierar väsentligt beroende på format och leverantör:

• Certifikat på fysisk enhet (USB-nyckel/smartkort): mellan 80 € och 250 € exkl. moms per innehavare och år;
• Moln-kvalificerat certifikat (RQES): mellan 40 € och 150 € exkl. moms per innehavare och år, beroende på volymer;
• Företagspaket: betydande rabatter tillämpas från 10 innehavare, vilket kan uppgå till 30 till 40 % av enhetspriset.

Dessa kostnader måste ställas i perspektiv mot de generererade besparingarna: eliminering av utskrifter, porto, postalbehandlingstider och tvister kopplade till ifrågasatta signaturer.

Giltighetsperiod och förnyelse

Giltigheten för ett kvalificerat certifikat är generellt satt till 1, 2 eller 3 år beroende på valt erbjudande. Vid utgången förblir tidigare undertecknade dokument giltiga (förutsatt att deras integritet bevaras genom en kvalificerad tidsstämpeltjänst), men nya handlingar kan inte signeras med det utgångna certifikatet. Det är därför mycket viktigt att fastställa en process för övervakning och förutseende förnyelse – helst 60 dagar före utgångsdatum.

Återkallelse och incidenthantering

Om den privata nyckeln komprometteras (förlust, stöld av enheten, misstanke om läckage) måste certifikatet omedelbar återkallas hos PSCQ:n. Den senare publicerar återkallelsen i sin Certificate Revocation List (CRL) eller via OCSP-protokollet, vilket gör all senare signering med detta certifikat ogiltig. Den interna säkerhetspolicyn måste därför förutse en särskild kontaktpunkt och en varningsperiod på mindre än 24 timmar.

---

Bästa praxis för en framgångsrik distribution i företag

Styrning och interna roller

En framgångsrik distribution bygger på tydlig styrning. Det rekommenderas att utse:

• En PKI-ansvarig (Public Key Infrastructure) på IT-sidan, ansvarig för relationen med PSCQ:n och övervakning av förnyelser;
• En juridisk referent som validerar användningsfall som kräver kvalificerad signering (mot avancerad);
• Delegerade administratörer per avdelning för operativ hantering av innehavare.

Utbildning och förändringshantering

Adoption av ett kvalificerat certifikat räcker inte: samarbetare måste förstå hur man använder sitt certifikat, när man aktiverar det och hur man reagerar vid incidenter. En kort utbildningsplan (1 till 2 timmar) och dokumenterade procedurer minskar väsentligt användningsfel och supportärenden.

Granskning och spårning

För att uppfylla beviskrav, upprätthåll en tidsstämpelad revisionlogg över varje genomförd signatur: identitet på undertecknare, dokumentets fingeravtryck, certifierad datum/tid, certifikatidentifierare. Dessa data utgör grunden för bevisbördan vid tvister. Standarden ETSI EN 319 132 (XAdES) förutser signaturformat som inbyggt inkluderar denna information.

Tillämplig juridisk ram för kvalificerade elektroniska certifikat

Civil Code och bevisvärde

I fransk rätt fastslår artikel 1366 i Code civil principen om motsvarighet mellan elektronisk och pappersskrift, förutsatt att « personens identitet vars ursprung det är säkerställd på lämpligt sätt och det är upprättat och bevarad under förhållanden som lämpar sig för att garantera dess integritet ». Artikel 1367 andra stycket förtydligar att kvalificerad elektronisk signatur åtnjuter en presumtion om tillförlitlighet: det är den part som bestrider signaturen som måste ge motsatsen, vilket förskjuter bevisbördan till undertecnarens fördel.

Förordning eIDAS nr 910/2014

EU-förordningen eIDAS (nr 910/2014), som är direkt tillämplig i alla medlemsstater sedan den 1 juli 2016, utgör den internationella basen. Dess artikel 25(2) stadgar att « en kvalificerad elektronisk signatur har samma juridiska verkan som en handskriven signatur ». Artiklarna 28 och 29 definierar kraven för kvalificerade certifikat och enheter för kvalificerad signaturskapelse (QSCD). Bilaga I listar obligatoriska uppgifter i ett kvalificerat certifikat (politisk OID, PSCQ:s identitet, offentlig nyckel, giltiga datum osv.).

Utveckling av eIDAS 2.0

Förordning eIDAS 2.0 (EU-förordning 2024/1183, i kraft från den 20 maj 2024) presenterar den europeiska digitala identitetsportföljen (EUDIW) och skärper kraven för tillgänglighet till kvalificerade förtroendetjänster. Företag kommer att behöva förutse integration av dessa nya identifieringsmekanismer senast 2026-2027.

Tillämpliga ETSI-standarder

• ETSI EN 319 411-2: policy och praxis för PSCQ:er som utfärdar kvalificerade certifikat;
• ETSI EN 319 132 (XAdES) och ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES): avancerade och kvalificerade elektroniska signaturformat;
• ETSI EN 419 241: krav för signaturservrar (RQES).

GDPR och dataskydd

Hanteringen av personuppgifter i samband med registrering (identitetsverifiering, dokumentsamling) omfattas av GDPR nr 2016/679. PSCQ:n och klientföretaget är samansvariga för behandlingen eller i en ansvarig/underleverantörsrelation beroende på konfigurationen. Ett dataskyddsavtal (DPA) i enlighet med artikel 28 GDPR måste undertecknas. Registreringsdata måste bevaras under certifikatets livslängd plus den tillämpliga preskriptionstiden (5 år för avtalsärenden).

NIS2-direktiv och infrastruktursäkerhet

NIS2-direktivet (2022/2555/EU), implementerat i fransk rätt genom lag nr 2024-449, förpliktar väsentliga och viktiga enheter att genomföra riskhanterings- och säkerhetsåtgärder för digitala försörjningskedjor. Recourse till en kvalificerad PSCQ registrerad på den nationella TSL:n utgör en erkänd bästa praxis för att delvis uppfylla dessa krav.

Användningsscenarier: det kvalificerade certifikatet i praktiken

Scenario 1: Ett juridiskt kansli som hanterar handlingar med högt bevisvärde

Ett affärsjuridiskt kansli med cirka tjugo delägare och medarbetare måste regelbundet underteckna andelsöverlåtelsehandlingar, förlikninsprotokoll och fullmakter ad litem. Tills nu krävde varje handling utskrift, handskriven signatur, skanning och postöversändning – vilket innebar en genomsnittlig fördröjning på 4 till 7 arbetsdagar per signeringscykel. Efter distribution av moln-kvalificerade certifikat (RQES) för varje delägare reduceras denna fördröjning till mindre än 4 timmar för handlingar som inte kräver notariell inverkan. Kansliet uppskattar en minskning på 65 % av den administrativa tiden för dokumenthantering och har inte registrerat någon signaturdispyt under de första 18 månaderna av användning. Lösningar för elektronisk signering för juridiska kansli som erbjuds av Certyneo integreras inbyggt i denna typ av arbetsflöde.

Scenario 2: Ett småföretag inom industri som gör affärer med offentliga beställare

Ett småföretag inom metallbranschen med cirka 120 anställda lämnar regelbundet anbud på elektronisk form via upphandlarsidor. Det är skyldigt att elektroniskt underteckna sina anbud och åtagandehandlingar med ett certifikat på minst RGS**-nivå. Efter att ha erhållit två kvalificerade certifikat (för verkställande direktör och en behörig handelsdirektör) kunde småföretaget lämna in sitt anbud inom utsatt tid utan resor eller postöversändning. Under ett år motsvarar detta ungefär 35 anbudsdokument, vilket motsvarar en beräknad besparing på 15 arbetsdagar per år enbart för dokumenthantering. Certifikatets eIDAS-compliance garanterar också erkännandet av dess signaturer från tyska och belgiska beställare, vilket utökar dess kommersiella räckvidd. Använd vår ROI-kalkylator för att uppskatta potentiella vinster i ditt eget sammanhang.

Scenario 3: En sjukvårdsgrupp som säkrar HR- och leverantörshandlingar

En sjukvårdsgrupp med cirka 1 200 bäddar och flera inrättningar står inför en årlig volym på ungefär 3 000 arbetsavtal, ändringar och leverantörsåtaganden. Personaldirektionen och inköpsdirektionen har tillsammans distribuerat en kvalificerad signeringslösning, med certifikat utfärdade för behöriga direktörer. Parallellt behandlas dokument som ska undertecknas av personal via ett arbetsflöde för avancerad signering, med kvalificerad signering reserverad för ledningshandlingar med högt juridiskt värde. Resultat: genomsnittlig slutförandetid för ett arbetsavtal minskade från 12 dagar till 2,5 dagar, och andelen ofullständiga dossier (saknad signatur, fel signerad version) minskade med 78 %. Lösningar för elektronisk signering inom sjukvård från Certyneo integrerar sjukhussektorns regulatoriska särdrag.

Sammanfattning

Att skaffa ett kvalificerat elektroniskt certifikat är idag ett obligatoriskt steg för alla företag som önskar juridiskt säkra sina digitala handlingar, uppfylla offentliga upphandlingskrav och passa in i eIDAS-regelverket. Långt ifrån att vara en börda är det en konkurrensöversikt: reducerade signeringsperioder, en oöverträfflig beviskedja och erkännande över hela Europeiska unionen.

De viktigaste stegen att komma ihåg: välj en PSCQ registrerad på ANSSI:s förtroendelista, sammanställ en rigorös registreringsdokumentation, välj ett molnformat (RQES) för att underlätta distributionen, och integrera certifikatet i en plattform som uppfyller ETSI-standarden.

Certyneo hjälper dig vid varje steg: från valet av rätt signeringsnivå till integreringen i dina affärsprocesser. Begär en kostnadsfri demonstration och découvrez hur du distribuerar kvalificerad signering på mindre än 48 timmar i din organisation.