eIDAS 2 sertifikası prestatör imzası 2026

Neden eIDAS 2 sertifikası prestatörler için oyun değiştirici

11 Nisan 2024'te yürürlüğe giren yönetmelik (AB) 2024/1183 — yaygın olarak eIDAS 2 olarak adlandırılan — Avrupa Birliği'nde faaliyet gösteren güven hizmetleri sağlayıcıları (PSC) derinlemesine değiştirilmiş bir düzenleyici çerçeveyle karşı karşıya kalmıştır. 2014'teki orijinal eIDAS yönetmeliğinin revize edilmesi, tanınan hizmetlerin kapsamını genişletmenin ötesine geçerek, akreditasyon koşullarını önemli ölçüde sertleştiriyor, yeni garanti seviyeleri getiriyor ve ulusal denetim organlarının gözetim gerekliliklerini güçlendiriyor. Avrupa pazarında nitelikli elektronik imza (QES) veya gelişmiş (AdES) hizmetleri sunmak isteyen herhangi bir işletme için, elektronik imza prestatörü için eIDAS 2 sertifikasını nasıl elde edeceğini anlamak artık bir seçenek değil — bu bir stratejik zorunluluktur.

Bu makale sertifikasyon sürecine kapsamlı bir genel bakış sunar: uygulanabilir metinler, uyulması gereken teknik standartlar, uyum değerlendirme organlarının (CAB) rolü, gerçekçi zaman çizelgeleri ve operasyonel dikkat noktaları.

---

Yeni eIDAS 2 düzenleyici ortamı: ne değişti

910/2014 yönetmeliğinden 2024/1183 yönetmeliğine: ana gelişmeler

Orijinal eIDAS yönetmeliği (n° 910/2014), Avrupa'da güvenilir dijital bir pazar için temel atılmıştı. Üç imza seviyesi — basit, gelişmiş ve nitelikli — tanımlıyor ve nitelikli prestatörlerin ulusal güven listeleri (TSL, Trust Service Lists) üzerinde yer almasını zorunlu kılıyordu. eIDAS 2 bu mimarıyi korur fakat birkaç yapısal nokta üzerinde zenginleştirir:

• Nitelikli hizmetlerin genişletilmesi: nitelikli elektronik arşivleme, elektronik nitelik tanıklıkları (AEA), nitelikli imza oluşturma cihazlarının (QSCD) uzaktan yönetimi. Bu yeni hizmetler artık nitelikli imzayla aynı akreditasyon prosedürüne tabi tutulmaktadır.
• Avrupa dijital kimlik cüzdanı (EUDIW): gelecekteki kimlik cüzdanıyla etkileşim kurmak isteyen prestatörlerin, Komisyon tarafından yayınlanan teknik özelliklere (ARF — Architecture and Reference Framework, v1.4, 2024) uygunluğunu göstermeleri gerekir.
• Denetimin güçlendirilmesi: ulusal denetim yetkileri (Fransa'da ANSSI) soruşturma ve emir verme yetkilerine sahiptir. Nitelikli PSC'ler düzensiz denetim konusuna tabi olabilir.
• Bildirim sürelerinin kısaltılması: herhangi bir önemli güvenlik olayı, yetkin yetkiliye 24 saat içinde bildirilmeli (önceki sürümde belirli olaylar için 72 saat).

Yönetmeliğin kapsamlı bir görünümü için, Certyneo'nun eIDAS 2.0 rehberi tüm bu gelişmelerin pedagojik bir özeti sunar.

Garanti seviyeleri ve sertifikasyon için etkileri

Gelişmiş ve nitelikli elektronik imza arasındaki ayrım sistemin ekseninde kalır. Yalnızca QES, imzanın bütünlüğü ve sorumluluk konusunda başlı başına imzaya eşdeğer yasal bir karineden yararlanır (eIDAS 2 madde 25). Bu karineler doğrudan prestatörün sertifikasyonuna koşuludur.

| Seviye | Kanıt değeri | Prestatör Gereksinimi | |---|---|---| | Basit (SES) | Sınırlı | Hiçbiri | | Gelişmiş (AdES) | Belirgin | İyi uygulamalar + ETSI standartları | | Nitelikli (QES) | Maksimum (yasal kanine) | eIDAS 2 sertifikası zorunlu |

---

eIDAS 2 sertifikasyon süreci adım adım

Adım 1 — Örgütsel ve teknik ön koşullar

Sertifikasyon sürecini resmi olarak başlatmadan önce, bir prestatör üç eksende olgunluk düzeyini denetlemeli:

1. ETSI Standartlarına Uygunluk EN 319 serisinin standartları temel teknik altyapıyı oluşturur. Başlıcaları şunlardır:

• ETSI EN 319 401: güven hizmetleri sağlayıcıları için genel gereklilikler
• ETSI EN 319 411-1 ve 411-2: nitelikli sertifika veren sertifika yetkililerinin politikaları ve gereklilikleri (QC-TSP profilleri)
• ETSI EN 319 421: zaman damgası hizmetleri sağlayıcıları için politika ve gereklilikler
• ETSI EN 319 132: XAdES (XML) imza biçimleri ve ilişkili CAdES (CMS) ve PAdES (PDF) serileri

Bu standartlara uygunluk nitelikli prestatörler için isteğe bağlı değildir: Avrupa Komisyonu'nun yürütme eylemlerinde açıkça gereklidir.

2. Bilgi Sistemi Güvenliği QSCD'ler (nitelikli imza oluşturma cihazları) Ortak Kriterler (CC) EAL4+ veya eşdeğer sertifikasyona tabi olmalıdır. Uzaktan imza çözümleri için — SaaS modelinde baskın model — gereklilikler ayrıca HSM modüllerini (Donanım Güvenlik Modülü) ve kriptografik anahtar yönetimi prosedürlerini (minimum FIPS 140-2 seviye 3 uygunluğu) kapsar.

3. Güvenlik Politikası (PSSI) ve Risk Yönetimi Sertifikasyon dosyası, ISO/IEC 27001'e uygun (sertifikası sıklıkla CAB tarafından önerilen veya gerekli) ve nitelikli kuruluşlar için NIS2 gerekliliklerini içeren resmi bir PSSI gerektirir.

Adım 2 — Bir Uyum Değerlendirme Organının (CAB) Seçilmesi ve Bağlanması

Fransa'da, COFRAC (Fransız Akreditasyon Komitesi) tarafından güven hizmetleri sağlayıcılarını değerlendirmek için akredite edilen CAB'ler az sayıdadır. Örneğin, LSTI (Laboratoire de Sécurité des Technologies de l'Information) ve Bureau Veritas Certification referans gösterilen aktörler arasındadır. Avrupa çapında, her üye devlet kendi bildirilen CAB'lerinin listesini yayınlar.

CAB'nin rolü, iki aşamada bir uygunluk denetimi yürütmektir:

1. Belge gözden geçirmesi (Aşama 1): politikalar, prosedürler, Sertifikasyon Uygulamaları Açıklaması (DPC / CPS) ve teknik kanıt incelemesi.
2. Sahadaki denetim (Aşama 2): operasyonel kontrollerin, penetrasyon testlerinin ve ekip görüşmelerinin doğrulanması.

CAB denetiminin toplam süresi, adayın ön olgunluğuna bağlı olarak genellikle 4 ila 8 hafta arasında değişir.

Adım 3 — Ulusal Denetim Yetkilisi Tarafından İnceleme

Fransa'da, ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) ulusal güven listesi (TSL FR) üzerine kayıt talebini inceler. CAB denetim raporunun temelinde ANSSI kendi analizi yapabilir ve ek bilgi veya düzeltici önlemler talep edebilir.

Düzenleyici inceleme süresi, tam bir dosyanın alınmasından itibaren 3 aytır (eIDAS 2 madde 17). Pratikte, ilk dosya eksikse fiili süreler daha uzundur.

Ulusal TSL'ye kaydedildikten sonra, prestatör EUTL (EU Trusted List) içinde otomatik olarak referans alınır; Komisyon tarafından yayınlanan bu liste 27 üye devlette anında sınırötesi tanıma sağlar.

Adım 4 — Kalitesinin Korunması ve Yenileme

eIDAS 2 sertifikası kalıcı değildir. Nitelikli prestatörler şu konulara tabi tutulur:

• CAB tarafından yürütülen yıllık denetim gözetimi
• Her 24 ayda bir tam yenileme denetimi (önceki uygulamaya kıyasla kısaltılmış döngü)
• ANSSI'nin insiyatifiyle mümkün olan düzensiz kontroller

Altyapıda önemli değişiklik (HSM değişimi, PKI gelişimi, yeni nitelikli hizmet) ön bildirim prosedürü tetikler ve kısmi denetim talep edebilir.

---

Maliyetler, Zaman Çizelgeleri ve Risk Faktörleri: DSI'ların Öngörmesi Gerekenler

Bütçe ve İnsan Kaynakları

Birinci kez eIDAS 2 sertifikasının maliyeti önemlidir. Harcama kalemleri şunları içerir:

• CAB denetimi: alan karmaşıklığına bağlı olarak 40.000 € ile 120.000 € arasında
• Teknik uygunluk (HSM, PKI, CC sertifikası QSCD): tescilli altyapı için 80.000 € ile birkaç yüz bin euroya kadar
• ISO 27001 sertifikasyonu (ön koşul olarak önerilen): boyuta bağlı olarak 15.000 ile 50.000 €
• Yasal danışmanlık ve DPC taslağı oluşturma: 10.000 ile 30.000 €
• İç maliyetler: 12 ila 18 ay boyunca adanmış bir ekibin (CISO, DPO, uyum sorumlusu) mobilizasyonu

Tüm bu kalemler birleştirildiğinde, orta büyüklükteki bir prestatör için tam sertifikasyon, bakım yinelenen maliyetleri hariç olmak üzere, 200.000 ile 500.000 € arasında genel bir yatırım temsil eder.

Operasyonel Risk Faktörleri

Sertifikasyon prosedürlerinde başarısızlık veya gecikmelerin en sık nedenleri:

1. Yetersiz DPC: Sertifikasyon Uygulamaları Açıklaması, bazen hafife alınan bir parçalılık düzeyinde her kontrol belgesini yapmalıdır.
2. Anahtar yaşam döngüsü yönetiminde boşluklar: revokasyon, arşivleme, özel anahtarların imhası.
3. Olay yönetiminde yetersiz idari yönetim: SIEM'in olmaması, sınanan kriz yönetimi prosedürleri, runbook'lar.
4. NIS2'nin hafife alınması: Ekim 2024'ten beri nitelikli PSC'ler NIS2 yönergesi kapsamında otomatik olarak "önemli" kuruluş olarak sınıflandırılır, ek raporlama ve risk yönetimi yükümlülükleri vardır.

Zaten sertifikalı bir prestatöre bu kısıtlamaları devretmek yerine kendi altyapılarını inşa etmek isteyen işletmeler için, Certyneo'da elektronik imza çözümlerinin karşılaştırması bu inşa karşı satın alma seçeneğini nesnel hale getirmeye yardımcı olur.

---

eIDAS 2 ve Kurumsal Elektronik İmza: Geçiş Sorunları

Prestatörlerin aksine, kullanıcı işletmeler için sağlayıcı SaaS imza hizmetinin eIDAS 2 sertifikasyonu artık tartışılmaz bir seçim kriteridir. İhraç talebilerine ulusal TSL'deki varlığı gerektiren bir madde eklemek, düzenlemelere tabi sektörlerde (finans, sağlık, gayrimenkul) standart bir uygulamaya dönüşmüştür.

Kurumsal elektronik imza QES'i gerekli kılan durumları — güçlü risk taşıyan özel kanunlar, yetki devri, elektronik noter işlemleri — AdES'in yeterli olduğu durumlardan açık bir şekilde ayırt etmeyi gerektirir. Kullanım senaryolarının bu sınıflandırması, prestatöre sözleşmeli olarak gerekli hizmet seviyesini doğrudan koşullandırır.

Mevcut bir çözümden eIDAS 2 sertifikeli prestatöre geçiş yapan kuruluşlar ayrıca kanıt arşivlerinin taşınabilirliğini öngörmek zorundadır. DocuSign veya YouSign'dan Certyneo'ya geçiş rehberi geçiş sırasında zaten imzalanmış belgelerin ispat değerini korumak için en iyi uygulamaları açıklar.

eIDAS 2 Sertifikasyonuna Uygulanabilir Yasal Çerçeve

Kurucu Metinler

Güven hizmetleri sağlayıcılarının sertifikasyonu, bütünlüğü içinde uygulanması gereken yoğun normatif bir yığına dayanır:

Yönetmelik (AB) 2024/1183 (11 Nisan 2024) (eIDAS 2): nitelikli prestatör statüsü elde etme ve koruma koşullarını, ulusal denetim yükümlülüklerini ve yeni hizmetlere ilişkin gereklilikleri (EUDIW, AEA) tanımlayan referans metni. 910/2014 yönetmeliğinin karşılık gelen hükümleri yürürlükten kaldırır ve yer alır.

Yönetmelik (AB) n° 910/2014 (eIDAS 1): değiştirilmeyen hükümler için hala kısmen uygulanabilir; bu yönetmelik kapsamında kabul edilen yürütme ve delegasyonlu işlemler resmi revizyon yapılıncaya kadar yürürlükte kalır.

Fransız Medeni Kanunu, maddeler 1366 ve 1367: madde 1366 güvenilirlik koşuluyla elektronik imzanın el imzasına eşdeğer olması ilkesini ortaya koyar; madde 1367 nitelikli imza kullanıldığında güvenilirliğin aksine ispat yapılıncaya kadar kabul edildiğini açıklar. Bu ulusal hükümler doğrudan eIDAS 2 madde 25'in yasal karinesiyle bağlantılı.

Yönerge (AB) 2022/2555 (NIS2): 15 Ekim 2024 tarihli kanunla Fransız hukukuna aktarılan, nitelikli güven hizmetleri sağlayıcılarını otomatik olarak önemli kuruluşlar arasına koyan. Yükümlülükler: herhangi bir önemli olayda 72 saat içinde ANSSI'ye raporlama, resmiyet gözetilen siber risk yönetimi, periyodik güvenlik denetimi.

Yönetmelik (AB) 2016/679 (GDPR): imza hizmetleri sağlayıcıları hassas kişisel veriler (imzalayanların kimliği, denetim günlükleri) işler. Minimizasyon, saklama sınırlaması ve bütünlük ilkelerine uygunluk, spesifik bir etki analizi (AIPD) talep eder. İşlem için yasal dayanak her hizmet için belgelenmelidir.

Normatif Değere Sahip Teknik Standartlar

Avrupa Komisyonu'nun yürütme eylemleri (özellikle Yürütme Kararı (AB) 2015/1506 ve revizyonları) ETSI standartlarını uygunluk varsayımı olarak belirler:

• ETSI EN 319 401: Genel TSP Gereklilikleri
• ETSI EN 319 411-1 ve 411-2: Sertifikasyon Politikaları
• ETSI EN 319 421: Nitelikli Zaman Damgası
• ETSI EN 319 132 / 122 / 102: AdES Biçimleri (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: Uzaktan İmza Hizmetleri

Uygunsuzluk Durumunda Yasal Riskler

Nitelikli prestatör statüsünün hileli veya ihmalkar bir şekilde kullanılması, ANSSI tarafından alınan idari yaptırımlara (askıya alma, güven listesinden çıkartma) ve ceza müdavalasına (Ceza Kanunu madde 226-17, kişisel veri güvenliğinde kusur) maruz kalmaya neden olur. İç hukuk açısından, uygunsuzluk döneminde verilen imzaların kanıt değerinin sorgulanması, prestatörün müşterilerine karşı sözleşmeli sorumluluğunu harekete geçirebilir.

Kullanım Senaryoları: eIDAS 2 Sertifikasyonu Pratikte

Senaryo 1 — QES Nitelemesine Amaç Koyan Orta Büyüklükteki SaaS Editörü

Belge demateryalizasyon alanında uzmanlaşmış, yaklaşık 100 çalışanı istihdam eden ve banka ve sigorta sektöründe müşteriler için yılda birkaç milyon imza işlemi yöneten bir şirket, elektronik imza hizmetinde eIDAS 2 nitelemesi talep etmeyi kararlaştırır. Bu aşamaya kadar şirket sertifika tabanlı gelişmiş imza (AdES) sunuyordu, çoğu müşteri kontratı için yeterli, ancak maksimum kanıt değeri gerektiren işlemler (SEPA yetkileri, noter tarafından imzalanan kanıt anlaşmaları) için yetersiz.

ETSI EN 319 411-2 gerekliliklerine karşı bir düzine ana sapma ortaya koyan 3 aylık bir iç denetimden sonra, şirket 14 aylık bir uygunluk sağlama programı başlatır. Ana çalışmalar mevcut HSM'lerin FIPS 140-2 seviye 3 sertifikası olan modüllerle değiştirilmesini, 180 sayfalık bir DPC yazılmasını ve CAB denetiminden önce ISO 27001 sertifikasyonu elde edilmesini içerir. Toplam yatırım 340.000 €'ye ulaşır. Sürecin sonunda Fransız TSL'ye kaydolunması, şirketin sistematik olarak dışlandığı tekliflere erişim sağlar ve tahmini 20 tarafından ek gelir potansiyeli temsil eder.

Senaryo 2 — Tıbbi-Yasal İşlemler için Nitelikli İmzayı Entegre Eden Hastane Grubu

Yaklaşık 1.200 yatak kapasiteli bir hastane grubu, aydınlatılmış onam, tıbbi yetki delegasyonu ve klinik araştırma sözleşmeleri işlemlerini demateryalizasyon hedefleri. Bu belgeler QES'in HAS referans çerçeveleri tarafından gerekli veya şiddetle tavsiye edilen kategori ve sağlık verileri yasal çerçevesi (CSP Madde L. 1110-4) kapsamına girer.

Iç altyapı sertifikasını seçmek yerine — seçenek çok pahalı ve esas işten uzak kabul edilmiştir — grup, zaten TSL'da kayıtlı olan üçüncü taraf prestatörü entegre etmeyi seçer. BT, ETSI EN 319 401 kontrol listesi temelinde bir prestatör uygunluk denetimi yürütür ve herhangi bir sözleşmeden önce EUTL'de fiili varlığı doğrular. Dörт ay içinde gerçekleştirilen dağıtım, klinik araştırma dosyalarında imza toplama süresini % 65 oranında azaltır ve önceki imza kullanımı nedeniyle yasal itiraz riskini ortadan kaldırır.

Senaryo 3 — Özel İş Avukat Bürosu Özel Hukuk İşlerini Güvence Altına Almak

Yaklaşık 30 ortağı olan ve yılda yaklaşık 400 birleşme-satın alma işlemi ve işletme değişimi yöneten bir avukat bürosu, karmaşık özel hukuk işinin imzalanmasını güvenceye almayı hedefler. İşlem değerleri genellikle bir milyonu aşar ve herhangi bir form hatasının profesyonel sorumluluk talebini tetikleyebilir.

Analiz sonrasında IT ekibi ve yönetici ortağı, 100.000 € değerini aşan herhangi bir işlem için eIDAS 2 sertifikası prestatör tarafından verilen QES'in sözleşmeli asgari gereksinimi konusunda anlaşırlar. Prestatör seçim kriteri, TSL'ye kaydolunmanın doğrulanmasını ve son 12 ay içinde mevcut ETSI uygunluk sertifikasını zorunlu olarak içerir. Bu çerçeve, büro tarafından gözlemlenen benzer sektör yapılarında belirtilen başarılarına göre, sonraki uyuşmazlıklarda imza geçerliliği üzerine karşi uzmanlık taleblerini %80'den fazla azaltır.

Sonuç

Elektronik imza hizmetleri prestatörü olarak eIDAS 2 sertifikası elde etmek, Avrupa pazarında müşterilerine maksimum yasal güvenceler sunmak isteyen herhangi bir işletme için zor, pahalı ve uzun bir süreç — ama kaçınılmazdır. ETSI standartlarına uygunluk sağlama, CAB denetiminden geçme, ANSSI'nin muhasebesi ve süre içinde niteliğin korunması arasında, girişim 12 ila 24 ay boyunca önemli kaynaklar gerektirir.

Kullanıcı işletmeler için iyi haber, bu altyapıyı iç olarak inşa etmenin gerekli olmadığıdır: eIDAS 2 sertifikaları ve ulusal güven listesinde kayıtlı olan SaaS prestatörü seçmek, QES'e bağlı yasal karineden yararlanmaya anında başlamayı sağlar, sertifikasyon maliyetlerini üstlenmeden.

Certyneo, ön ilan olumluluk ve kullanım kolaylığı gerektiren B2B işletmeleri için tasarlanmış, güvenilen sertifikası bir prestatördür. Fiyatlarımızı keşfedin ve bugün ücretsiz denemeye başlayın.