Kvalificerade eIDAS-leverantörer: den officiella listan 2026

Varför är statusen "kvalificerad" enligt eIDAS avgörande för ditt företag?

Sedan förordningen eIDAS (nr 910/2014) trädde i kraft har den europeiska marknaden för elektroniska signaturer omstrukturerats grundligt runt en trehierarkisk struktur: enkel elektronisk signatur (SES), avancerad elektronisk signatur (AES) och kvalificerad elektronisk signatur (QES). Den senare är den enda som åtnjuter en presumtion om juridisk motsvarighet med handskriven signatur i alla medlemsstater i Europeiska unionen.

För att ett företag ska kunna erbjuda kvalificerade signaturer måste det ha genomgått revision och registrerats på förtroendeblandningens lista (Trust List) för sin medlemsstat. I Frankrike är det Agence nationale de la sécurité des systèmes d'information (ANSSI) som upprätthåller detta officiella register, som i sin tur återpubliceras på den centraliserade europeiska listan som hanteras av Europeiska kommissionen.

Det är grundläggande att förstå denna arkitektur innan du undertecknar något känsligt kommersiellt avtal. För mer information om regelverkets grunder tillhandahåller vår omfattande guide till förordning eIDAS 2.0 alla obligationer och utvecklingar som infördes av den reviderade förordningen eIDAS 2.0 (EU-förordning 2024/1183).

---

Hur certifieras leverantörer av kvalificerade förtroendestjänster?

Vägen till statusen Leverantör av kvalificerad förtroendestjänst (PSCQ) är krävande. Det innebär en revision utförd av ett ackrediterat överensstämmelseprövningsorgan (CAB, Conformity Assessment Body), enligt normerna ETSI EN 319 401 (allmänna krav) och ETSI EN 319 411-2 för kvalificerade certifikat.

Stegen för ANSSI-kvalificering

1. Inlämnande av kvalificeringsdokumentationen: leverantören skickar in sin tekniska, säkerhetsmässiga och organisatoriska dokumentation till ANSSI.
2. Revision av ett ackrediterat CAB: en tredjepartsorganisation — såsom Bureau Veritas, LSTI eller Apave Certification — verifierar efterlevnaden på plats och på handlingar.
3. Kvalificeringsbeslut: ANSSI fastställer kvalificeringen och registrerar leverantören på den franska förtroendeblandningens lista (TL-FR).
4. Periodisk förnyelse: kvalificeringen omvärderas, vanligtvis vart två år, för att garantera att kraven upprätthålls.

Vad granskar revisorn konkret?

Revisorn granskar bland annat:

• Den fysiska säkerheten för datacenter som lagrar kryptografiska nycklar (HSM-moduler certifierade CC EAL 4+ eller FIPS 140-2 nivå 3 minst) ;
• Certifieringspolitikerna (CP) och certifieringspraxis-deklarationerna (CPS) publicerade av leverantören ;
• Procedurerna för identitetsverifikation av undertecknare (ansikte-mot-ansikte eller fjärridentitetsverifikation enligt normen EN 419 241-1) ;
• Hanteringen av återkallelser och tillgängligheten för OCSP/CRL-tjänster.

Dessa kriterier förklarar varför endast ett litet antal aktörer når och upprätthåller denna certifieringsnivå i Frankrike.

---

De kvalificerade eIDAS-leverantörerna registrerade i Frankrike 2026

Den officiella listan över kvalificerade leverantörer kan konsulteras när som helst på Europeiska kommissionens officiella portal (eidas.ec.europa.eu/efts), genom att filtrera på "Frankrike" och tjänsten "QCertESig" (Qualified Certificate for Electronic Signature). Här är de aktörer som fanns registrerade på registret vid tidpunkten för artikelns skrivande (juni 2026):

Franska aktörer registrerade på Trust List

| Leverantör | Typ av kvalificerad tjänst | Särskildhet | |---|---|---| | Certigna (Dhimyotis) | Kvalificerade certifikat, kvalificerad tidsstämpel | Gruppen La Poste, certifierad enligt eIDAS sedan 2016 | | Certinomis | Kvalificerade certifikat | Filial till La Poste, inriktad på offentlig sektor | | ChamberSign France | Kvalificerade certifikat | Nätverket av chambres de commerce et d'industrie, starkt förankrad i små och medelstora företag | | Keynectis / DocuSign France | Kvalificerade certifikat | Förvärvad av DocuSign, upprätthållande av ANSSI-etiketten | | Universign (Tessi) | Kvalificerade certifikat, tidsstämpel | Pionjär på marknaden, integrerad i Tessi-gruppen | | Entrust (ex-Datacard) | Kvalificerade certifikat | Internationell aktör, Trust List multi-medlemsstater | | Oodrive Sign | Kvalificerade certifikat | Fransk suverän redaktör, kvalificerad SecNumCloud |

> Varning: denna lista tillhandahålls för information. Endast den officiella Trust List från Europeiska kommissionen är bindande. Kontrollera alltid den aktuella statusen på ETSI-portalen innan något avtal.

Utländska leverantörer erkända i Frankrike via den europeiska Trust List

Enligt principen om ömsesidig erkänd erkänd i artikel 25 i förordning eIDAS, en kvalificerad signatur utfärdad av en PSCQ registrerad på en annan medlemsstats förtroendeblandning-lista producerar samma juridiska effekter i Frankrike. Bland de icke-franska aktörer som ofta används:

• Namirial (Italien): stark inom fjärrsignering med kvalificerad signatur (QES remote signing) ;
• SwissSign (Schweiz): observera att Schweiz inte är EU-medlem; erkännandet är partiellt ;
• Qualified.one / Asseco Data Systems (Polen): europeisk offentlig aktör, vanlig i gränsöverskridande transaktioner.

För att jämföra dessa lösningar enligt dina affärsbehov, konsultera vår jämförelse av elektroniska signaturtjänster som analyserar kriterierna pris, efterlevnad och API-integration.

---

Hur väljer du rätt kvalificerad eIDAS-leverantör för din organisation?

Att vara registrerad på Trust List är en nödvändig men inte tillräcklig förutsättning. Valet av en PSCQ bör bygga på flera kompletterande kriterier.

Tekniska kriterier och integration

• REST API eller SDK tillgängligt: nödvändigt för att automatisera signering i dina affärsarbetsflöden (ERP, SIRH, CRM) ;
• Format för signatur som stöds: PAdES för PDF, XAdES för XML, CAdES för binära filer — alla standardiserade av ETSI EN 319 100 ;
• Tjänsttillgänglighet: SLA större än 99,9 % garanterat avtalsmässigt, med underhållsfönster planerade utanför arbetstimmar ;
• Datahemland: föredra hemland i Frankrike eller inom EU, helst kvalificerat SecNumCloud för känslig data.

Juridiska och efterlevnadskriterier

• Verifiera att leverantören tillhandahåller en uppdaterad kvalificeringsrapport (mindre än 24 månader gammal) ;
• Kräv en publicerad certifieringspolicy (CP) som är tillgänglig för allmänheten och reviderad ;
• Säkerställ att de allmänna villkoren uttryckligen föreskriver leverans av kvalificerade certifikat enligt bilaga I till förordning eIDAS.

Operativa kriterier och support

• Registreringsprocedur för undertecknare: ansikte-mot-ansikte på kontor, videoidentifiering enligt eIDAS eller NFC från ett elektroniskt ID-dokument ;
• Support på svenska med avtalsenliga svarstider ;
• Utbildning och dokumentation tillgängliga för dina juridiska och IT-team.

Om din organisation hanterar omfattande personaladministrativa dokumentflöden, beskriver vår sida om elektronisk signering för HR-team specifika användningsfall (anställningsavtal, ändringar, onboarding) och rekommenderade signeringsnivåer efter dokumenttyp.

---

eIDAS 2.0: vilka ändringar för kvalificerade leverantörer 2026?

Förordning eIDAS 2.0 (EU-förordning 2024/1183, som trädde i kraft progressivt från maj 2024) introducerar flera strukturella utvecklingar som direkt påverkar PSCQ och deras klienter.

Den europeiska portföljen för digital identitet (EUDI Wallet)

Artikel 6a i den reviderade förordningen förpliktar medlemsstaterna att innan september 2026 tillhandahålla en digital identitetsportfölj (EUDI Wallet) erkänd i hela EU. För kvalificerade leverantörer innebär detta:

• Skyldigheten att acceptera identitetsattribut från portföljen som bevis för identitet för registrering av undertecknare ;
• Framväxten av en ny kvalificerad tjänst: leverans av kvalificerade elektroniska attributattestningar (Qualified Electronic Attestation of Attributes, QEAA).

Nya kvalificerade tjänster och utvidgning av omfattningen

eIDAS 2.0 utvidgar listan över kvalificerade förtroendestjänster för att omfatta:

• Tjänster för kvalificerad elektronisk arkivering (QPDS, artikel 45f) ;
• Tjänster för hantering av fjärrsignaturgenereringsenheter (QRCD).

Dessa utvecklingar representerar både en efterlevnadspåtvinget (täta tidsfristerna för befintliga leverantörer) och en möjlighet till differentiering för nya aktörer som snabbt kan integrera de tekniska specifikationerna publicerade av ENISA och ETSI.

För företag som planerar en migration från en befintlig plattform till en mer efterlevnadskonfirm lösning presenterar vår migrationsguide från DocuSign eller YouSign till Certyneo de konkreta stegen och regulatoriska försiktighetsåtgärder.

Tillämpligt rättsligt ramverk för kvalificerade eIDAS-leverantörer

Förordning eIDAS och europeisk rätt

Den juridiska grunden är Europaparlamentets och rådets förordning (EU) nr 910/2014 från 23 juli 2014 om elektronisk identifiering och förtroendestjänster för elektroniska transaktioner på den inre marknaden (kallad "förordning eIDAS"), sådan den ändrats genom Förordning (EU) 2024/1183 (eIDAS 2.0). Denna förordning är direkt tillämplig i alla medlemsstater utan nationell genomförande.

Dess viktiga bestämmelser för kvalificerade leverantörer:

• Artikel 17: skyldighet för varje medlemsstat att utse en tillsynsmyndighet (i Frankrike, ANSSI) ;
• Artikel 20: procedur för tillsyn, revision och registrering på förtroendeblandning-listan ;
• Artikel 25: presumtion om motsvarighet mellan QES och handskriven signatur, med juridisk effekt garanterad i hela EU ;
• Bilaga I: krav på kvalificerade certifikat för elektronisk signering ;
• Bilaga II: krav på anordningar för generering av kvalificerad signatur (QSCD).

Fransk rätt

Under inhemsk rätt är elektronisk signering reglerad av:

• Civillag, artiklarna 1366 och 1367: artikel 1366 erkänner bevisvärdet för elektronisk skrift förutsatt att det garanterar författarens identitet och dokumentets integritet. Artikel 1367 klargör att elektronisk signering som består av ett tillförlitligt identifikationsförfarande åtnjuter en presumtion om tillförlitlighet när den skapas i enlighet med dekret om tillämpning ;
• Dekret nr 2017-1416 från 28 september 2017: definierar villkoren under vilka kvalificerad elektronisk signering presumeras tillförlitlig i Frankrike, genom att uttryckligen hänvisa till förordning eIDAS ;
• Ordinans nr 2005-674 från 16 juni 2005 angående elektronisk fullgörande av vissa avtalsformalia.

Skydd av personuppgifter

Registrerings- och signaturprocesser innebär behandling av personuppgifter (identitetsuppgifter, biometri för videoidentifiering). Leverantören av kvalificerad tjänst omfattas av Förordning (EU) 2016/679 (GDPR) och måste särskilt:

• Utse en dataskyddsombud om behandlingen sker i stor skala ;
• Dokumentera behandlingarna i registret hos CNIL ;
• Reglera överföringar utanför EU genom lämpliga garantier (standardavtalsklausuler, adequacybeslut).

Cybersäkerhet och motståndskraft

Sedan oktober 2024 gäller Direktiv NIS2 (2022/2555/EU) för leverantörer av kvalificerad förtroendestjänst, klassificerade som väsentliga enheter. De måste implementera åtgärder för cyberriskhantring, anmäla betydande incidenter till ANSSI inom 24 timmar och genomgå regelbundna revisioner. Icke-efterlevnad kan leda till böter på upp till 10 miljoner euro eller 2 % av den årliga världsvida omsättningen.

Tekniska referensnormer

• ETSI EN 319 401: allmänna krav för leverantörer av förtroendestjänster ;
• ETSI EN 319 411-2: profil för policy för kvalificerade certifikat ;
• ETSI EN 319 132: signaturformat XAdES ;
• ETSI EN 319 122: signaturformat CAdES ;
• ETSI EN 319 162: signaturformat PAdES (PDF).

Användningsscenarier: när är kvalificerad elektronisk signatur enligt eIDAS nödvändig?

Scenario 1 — Ett advokatkontor som hanterar handlingar med högt bevisvärde

Ett advokatkontor med cirka tjugo medarbetare hanterar varje månad dussintals överlåtelser av andelsandelar, förlikningsprotokolls och köpargarantier (GAP). Dessa handlingar engagerar ofta sumor som överstiger flera hundra tusen euro och kan bestridas inför domstol.

Innan advokatkontoret migrerade till en kvalificerad eIDAS-leverantör användes en avancerad signeringslösning (AES), vilket räckte för de flesta vanliga handlingar. Efter en incident där motparten bestrider en signatures äkthet under en rättegång, valde kontoret QES för alla höga handlingar. Resultat: 90 % minskning av tid för att presentera signaturbevis under rättsliga förfaranden, tack vare den oproblematiska rättslig presumtion som är kopplad till QES. Merkostnaden per signatur (cirka 2 till 5 € enligt volymer) absorberades helt av minskningen av tvistekostnader.

Scenario 2 — Ett industrimellanstort företag som hanterar gränsöverskridande leverantörskontrakt

Ett mellanstort industriföretag (ETI) inom sektorn för industriell utrustning, med leverantörer etablerade i Frankrike, Tyskland, Italien och Polen, var tidigare tvingad att skicka sina ramkontrakt per post eller arrangera möten för signering personligen, vilket genererade fördröjningar på 10 till 21 arbetsdagar per kontrakt.

Genom att implementera en lösning ansluten till en europeisk PSCQ registrerad på Trust List reducerade företaget signeringscykeln till mindre än 48 timmar i genomsnitt. Ömsesidigt erkännande mellan medlemsstater garanterar juridisk värde utan behov av ytterligare legalisering. På en portfölj av 350 leverantörskontrakt per år överstiger den uppskattade besparingen i administrativa och logistiska kostnader 40 000 € per år, enligt intervall som är konsekventa med sektorsundersökningar publicerade av ACFE och APQC.

Scenario 3 — En sjukhusgrupp som omfattas av krav för sjukvårdssektorn

En sjukhusgrupp på cirka 1 200 bäddar måste elektroniskt underteckna offentliga upphandlingar, kliniska forskningskonventioner och kontrakt för sjukhuspraktiker. Dessa dokument omfattas av Code de la commande publique, som kräver elektronisk signering i enlighet med RGS (Referentiel Général de Sécurité) på nivå ** eller, sedan offentlig upphandling blir digital, en eIDAS-motsvarande nivå.

Genom att förlita sig på en PSCQ registrerad på den franska Trust List garanterar sjukhusgruppen överensstämmelse med artikel R. 2132-7 Code de la commande publique samtidigt som man reducerar tidsfristen för signering av kontrakt från 15 dagar till mindre än 72 timmar. API-integreringen med sjukhusens informationssystem (SIH) möjliggjorde automatisering av dokumentöverföring och spårning, vilket frigjorde cirka 0,4 årsverke för administrativa uppgifter relaterade till kontrakt.

Slutsats

Att välja en kvalificerad eIDAS-leverantör är inte bara ett programvaruköp: det är ett strategiskt beslut som påverkar dina akters bevisvärde, din organisations regelöverensstämmelse och förtroendet från dina affärs- och institutionella partners. År 2026, med det progressiva ikraftträdandet av eIDAS 2.0 och de nya NIS2-skyldigheterna, ökar bara kraven.

De väsentliga punkter att komma ihåg: verifiera alltid registreringen på den officiella Trust List, kräv en publicerad certifieringspolicy och anpassa signatursnivån (QES, AES, SES) till det juridiska målet för varje dokument.

Certyneo hjälper dig med denna process genom att ge dig åtkomst till kvalificerade certifikat via refererade PSCQ, ett robust API för integrering och dedikerad juridisk support. Är du redo att gå över till kvalificerad signering? Begär en demonstration eller skapa ditt konto på Certyneo och sätt din organisation i överensstämmelse redan idag.