KOBİ'ler için eIDAS uyumluluğu: 2026 kontrol listesinin tamamı

Avrupa eIDAS yönetmeliği (AB n°910/2014, yakında eIDAS 2.0 ile değiştirilecektir) Avrupa Birliği genelinde elektronik imzaları düzenler. Bir KOBİ için uyumluluk sadece kontrol edilmesi gereken bir kutu değildir: sözleşmelerinin uygulanabilirliğinin, imza verilerinin korunduğunun ve kendisini maliyetli olabilecek yasal risklere karşı koruduğunun garantisidir. KOBİ'nizin tamamen eIDAS uyumlu olup olmadığını kontrol etmek için 12 somut noktadan oluşan 2026 kontrol listesini burada bulabilirsiniz.

1. Nokta: doğru imza seviyesini seçin

İlk refleks: sözleşme türlerinizi haritalandırın ve bir hedef seviyeyi ilişkilendirin. Standart ticari sözleşmeler (fiyat teklifleri, satın alma siparişleri, basit Gizlilik Sözleşmeleri): SES yeterlidir. İş sözleşmeleri, kiralamalar, hassas gizlilik anlaşmaları, stratejik anlaşmalar: Minimum AES, tercihen OTP SMS ile. Düzenlenmiş işlemler (avukat, noter, eşiğin üzerindeki kamu sözleşmeleri): Zorunlu QES. Bu eşleme olmadan, gereğinden az boyutlandırma (sözleşmenin reddedilmesi) veya aşırı boyutlandırma (aşırı maliyet) riskiyle karşı karşıya kalırsınız.

2. Nokta: servis sağlayıcının niteliğini kontrol edin

Servis sağlayıcınız güvenilir bir servis sağlayıcı (QTSP) olmalı veya AES/QES seviyeleri için bir QTSP'ye güvenmelidir. ANSSI (eidas.ssi.gouv.fr) tarafından yayınlanan Güven Hizmetleri Listesine ve Avrupa Güvenilir Listesine (webgate.ec.europa.eu/tl-browser) başvurun. Fransız referans QTSP'leri: Certigna, Docaposte, Certinomis, Universign. Platform aracılığıyla SES/AES (Certyneo, Yousign vb.) için açıkça belgelenen eIDAS uyumluluğunu kontrol edin.

3. Nokta: Denetim takibini test edin

Bir test zarfı imzalayın ve denetim kaydını toplayın (genellikle ayrı bir PDF). Şunları içermelidir: imza sahibinin kimliği ve e-postası, her adımın zaman damgası (gönderme, açma, doğrulama, imza), IP adresi, kullanıcı aracısı, belgenin karması, AES ise OTP doğrulaması. Bu unsurlardan birinin eksik olması halinde delil değeri zayıflar. Certyneo, ücretsiz bir planda bile eksiksiz denetim takibi sağlar.

4. Nokta: zaman damgasını kontrol edin

Zaman damgası, RFC 3161 ile uyumlu bir Zaman Damgası Otoritesi (TSA) tarafından yayınlanmalıdır. Yalnızca bir şirketin NTP sunucusundan gelen zaman damgası yeterli değildir. İmzalı PDF'yi Adobe Reader'da açın: İmzalar sekmesi → Ayrıntılar → Zaman Damgası. Burada geçerli bir TSA sertifikası ve sertifikalı bir saat görmelisiniz. PDF'nin onaylı bir zaman damgası yoksa servis sağlayıcı seçiminden vazgeçin.

Madde 5: En az 10 yıl arşivleme

Ticaret Kanunu (madde L. 123-22), ticari belgelerin 10 yıl süreyle saklanmasını şart koşmaktadır. İş Kanunu, fesih sonrası iş sözleşmelerine 5 yıl süre tanımaktadır. Arşivleme bütünlüğü (karma, mühürleme) ve erişimi korumalıdır. İdeal: PDF/A formatı (ISO 19005), çift depolama (birincil + tesis dışı yedekleme), maksimum kanıt için nitelikli elektronik kasa (CFE). Certyneo varsayılan olarak 10 yıllık arşivler ve CFE ortaklarına ihracat olanağı sunar.

6. Nokta: veri yerelleştirmesini kontrol edin

İmza verileriniz nerede barındırılıyor? Hassas sözleşmelerle uğraşan bir Fransız KOBİ'si için, Fransız veya AB barındırma seçeneğini seçin. Alt yüklenicilerin listesini ve konumlarını servis sağlayıcınızdan isteyin (madde 28 GDPR). Stratejik sözleşmeler için ABD Bulut Yasasına tabi çözümlerden kaçının. Certyneo, Bulut Yasasına bağımlılık olmaksızın Fransa'da barındırılmaktadır. /blog/cloud-act-signature-electronique hakkındaki makalemize bakın.

7. Nokta: GDPR ile açıkça ifade edin

İmza ve GDPR yakından bağlantılıdır: her zarf kişisel verileri içerir (isim, e-posta, IP, telefon). İşleme kaydınızın (mad. 30 GDPR) elektronik imzayı içerdiğinden, saklama sürelerinin tutarlı olduğundan (10 yıl) ve bireylerin haklarının (erişim, düzeltme, taşınabilirlik) uygulanabildiğinden emin olun. Çok fazla imza talep ediyorsanız DPO önerilir. /blog/signature-electronique-rgpd makalemize bakın.

8. Nokta: üst taraftaki imzacıları belirleyin

Sağlam bir AES için tanımlama imzalamayla başlamaz: veri toplamayla başlar. E-postaları (takma ad yok, posta listesi yok), telefon numaralarını (paylaşılan hat yok) kontrol edin ve kimlik kaynağını takip edin (ağır sözleşmeler için kimlik, devam eden sözleşmeler için mevcut müşteri KYC'si). Bu durum tespiti, bir anlaşmazlık durumunda delillerin sağlam olmasını sağlar.

Nokta 9: ekipleri eğitin

Satış, İK ve hukuk ekiplerinizin kuralları anlaması gerekir: asla bir imzalayanı üçüncü taraf bir cihazı kullanmaya zorlamayın, asla değiştirilmiş imzalı PDF'yi iade etmeyin, asla taranmış bir imza resmini gerçek bir imzanın yerine yapıştırmayın. İyi refleksleri aşılamak için takım başına bir saatlik antrenman yeterlidir. Certyneo dahili olarak paylaşmak için eksiksiz bir kılavuz sağlar (/resources).

10. Nokta: hizmet sağlayıcıların sözleşmelerini kontrol edin

İmza hizmet sağlayıcısının CGU/CGV'si şunları yapmalıdır: eIDAS uyumluluğunu başlatmalı, arşivleme dönemlerini belirtmeli, bir GDPR alt yüklenici sözleşmesi eklemeli (mad. 28), alt yüklenicileri belgelemeli, sona erme durumunda bir geri döndürülebilirlik planı sağlamalıdır. Ayrıca büyük hacimli işler yapıyorsanız SOC 2 Tip II veya eşdeğerini talep edin. Certyneo için bu belgeler /legal ve /security adreslerinde mevcuttur.

11. Nokta: eIDAS 2.0 ve EUDI Cüzdanını hazırlayın

eIDAS 2.0 düzenlemesi (AB 2024/1183) kademeli olarak yürürlüğe giriyor ve Üye Devletlerin 2026 sonundan önce bir EUDI Cüzdanı dağıtmalarını gerektiriyor. Bu dijital kimlik cüzdanı, özellikle fiziksel bir kayıt ofisi olmadan QES'e uzaktan erişime izin verecek. KOBİ'nizi hazırlayın: Hizmet sağlayıcınızın EUDI Cüzdan yol haritasına sahip olup olmadığını kontrol edin, ANSSI ve Avrupa Komisyonundan gelen iletişimleri takip edin. Bkz. /blog/eidas-2-nouveau-reglement-2026.

Nokta 12: yıllık denetim

Uyumluluk kazanılmış bir durum değildir: devam eden bir süreçtir. Aşağıdakileri kontrol etmek için yıllık bir denetim (dahili veya harici) planlayın: düzenleyici değişiklikler, hizmet sağlayıcı gelişmeleri, sözleşme türlerinin güncel haritalaması, etkin elde tutma, yeni işe alınanların eğitimi. Hafif bir denetim bir KOBİ için yarım gün sürer ve birçok sürprizin önüne geçer. Gerçek dünya uyumluluğunu test etmek için certyneo.com/signup adresinde ücretsiz bir Certyneo hesabı oluşturarak başlayın, ardından daha derine inmek için eIDAS kılavuzumuza göz atın (/guide/eidas).