Nitelikli Elektronik Sertifika İşletme: 2026 Rehberi

Nitelikli Elektronik Sertifikanın İşletmeler İçin Neden Vazgeçilmez Hale Geldiği

Sözleşme imzalama süreçlerinin dijitalleştirilmesi tüm sektörlerde hızlandığı bir dönemde, nitelikli elektronik sertifika konusu hukuk müdürlükleri, BİT müdürlükleri ve genel müdürlükler için stratejik bir sorun haline gelmiştir. ANSSI'nin 2024 yıllık raporu verilerine göre, nitelikli elektronik imzayı benimseyen Fransız KOBİ'lerinin %78'den fazlası sözleşme imzalama sürelerini %60'tan fazla azaltmıştır. Yine de, pek çok kişi basit, gelişmiş ve nitelikli imza arasında hala karışıklık yaşamaktadır — bu da yasal belgelerin itiraz edilmesine maruz kalmasına neden olabilir. Bu makale sizi adım adım rehber ederek nitelikli elektronik sertifikanın ne olduğunu, RGS ve eIDAS çerçevesine uygun şekilde nasıl elde edileceğini ve kuruluşunuzda etkili bir şekilde nasıl uygulanacağını anlamanıza yardımcı olacaktır.

Nitelikli Elektronik Sertifika Nedir?

Elektronik sertifika, bir Sertifika Otoritesi (SO) tarafından verilen ve bir kişi veya kurumun kimliğini genel şifreleme anahtarına bağlayan dijital bir dosyadır. Üçüncü bir tarafın dijital imzanın gerçekliğini ve bütünlüğünü doğrulamasını sağlayan ana öğedir.

"Nitelikli" niteleyicisi, Avrupa Birliği elektronik kimlik ve güven hizmetleri tüzüğünün eIDAS (n°910/2014, madde 28) kararından ortaya çıkan kesin bir tanımı ifade eder: sertifika, ulusal güven listesine kayıtlı Nitelikli Güven Hizmetleri Sağlayıcısı (NGHS) tarafından verilmelidir (Fransa'da ANSSI tarafından yayınlanır). Ayrıca ETSI EN 319 411-2 standardının teknik gerekliliklerine uymalı, bu standart sertifika politikaları ve uygulamalarını düzenler.

Pratik olarak, nitelikli bir sertifika şunları garanti eder:

• İmzacının doğrulanmış kimliği (yüz yüze belge doğrulaması veya onaylanmış eşdeğer yöntem) ;
• İmzalanan belgenin bütünlüğü (sonraki herhangi bir değişiklik tespit edilebilir) ;
• İnkar edememe (imzacı imza atmadığını reddedememektedir).

Basit, Gelişmiş ve Nitelikli İmza Arasındaki Fark

eIDAS tüzüğü, her biri bir sertifika seviyesine bağlı olmak üzere üç elektronik imza seviyesi belirler:

| Seviye | Gerekli Sertifika | Kanıt Değeri | Tipik Kullanım | |---|---|---|---| | Basit | Gerekli değil | Düşük | Olağan siparişler | | Gelişmiş | Gelişmiş sertifika (NGHS) | Orta | B2B ticari sözleşmeler | | Nitelikli | Nitelikli sertifika (nitelikli NGHS) | Maksimal, el yazısı imzaya eşdeğer | Noter akitleri, kamu alımları, hassas İnsan Kaynakları |

Nitelikli imza için — el yazısı imzaya yasal eşdeğerlik varsayımından yararlanan tek seviye (Medeni Kanun m. 1367) — nitelikli bir sertifika zorunludur. Seviyeler arasındaki farklar hakkında daha fazla bilgi için elektronik imza rehberimize başvurun.

---

RGS Çerçevesi: Bilinmesi Gereken Fransız Özellikleri

Fransa'da, Genel Güvenlik Referansı (RGS), n°2010-112 kararı tarafından belirlenen ve ANSSI tarafından düzenli olarak güncellenen, yönetim bilişim sistemlerine uygulanacak güvenlik gerekliliklerini tanımlar. Kamu kuruluşlarıyla (kamu alımları, dijital prosedürler) sözleşme yapan işletmeler için RGS'ye uyum genellikle sözleşmeye dayalı veya yasal bir yükümlülüktür.

Sertifikalara Uygulanabilir RGS Seviyeleri

RGS, sertifikalar için üç yıldızlı nitelik tanımlar:

• RGS* (bir yıldız): temel seviye, düşük hassasiyetli olağan kullanımlar için uygun ;
• RGS (iki yıldız)**: ara seviye, çoğu idari dijital prosedür için gerekli ;
• RGS (üç yıldız)*: yüksek seviye, yüksek yasal veya mali değere sahip işlemler için.

Elektronik kamu alım platformları aracılığıyla gerçekleştirilen kamu alımları için, n°2016-360 kararı (maddeler 39 ve 40) genellikle minimum RGS seviyesinde bir imza zorunlu kılar, bu da eşdeğer nitelikli bir sertifika gereksinimini ima eder.

RGS ve eIDAS Koordinasyonu

eIDAS tüzüğünün uygulanmasından bu yana, her iki referans birlikte var olmaktadır. eIDAS anlamında nitelikli bir sertifika, çoğu durumda RGS** gerekliliklerini karşıladığı kabul edilir. ANSSI, uyumluluğun kontrol edilebileceği karşılık tablolarını yayınlamıştır. Hem özel hem de kamu ortakları ile çalışan işletmeler için Fransız güven listesine kayıtlı nitelikli bir NGHS sertifikası tercih edilmesi tavsiye edilir — bu da her iki referansı aynı anda kapsar.

Avrupa tüzüğünü derinlemesine öğrenmek için eIDAS 2.0 rehberimiz, planlanan ana gelişmeleri ve Fransız işletmeleri için etkilerini ayrıntıyla açıklar.

---

Nitelikli Elektronik Sertifika Nasıl Alınır: Adım Adım Süreç

Nitelikli elektronik sertifika elde etmek önemsiz bir işlem değildir: başvurucu kişinin kimliğinin kesin doğrulanmasını ve bir tüzel kişi için yasal temsiliyetinin doğrulanmasını içerir. Önemli adımlar aşağıdadır.

Adım 1: Doğru Nitelikli Güven Hizmetleri Sağlayıcısını Belirleme

Fransa'da, nitelikli sertifika vermeye yetkili NGHS'ler ANSSI tarafından yayınlanan Güven Hizmetleri Durum Listesinde (TSL) listelenir (esignature.gouv.fr portalında mevcuttur). Bu listedeki aktörler arasında CertEurope, Certinomis (La Poste'nin yan kuruluşu), Keynectis ve eIDAS karşılıklı tanıma ilkesi çerçevesinde tanınan Avrupa sağlayıcıları bulunur.

Değerlendirilecek seçim kriterleri:

• Fransız ve/veya Avrupa TSL'sinde gerçek varlık ;
• Sunulan sertifika formatı (yazılım, akıllı kart, bulut HSM) ;
• Mevcut BİT altyapınızla uyumluluk ;
• Tarifeleme ve geçerlilik süresi (genellikle 1 ila 3 yıl) ;
• Destek seviyesi ve kayıt süresi.

Adım 2: Kayıt Dosyasının Oluşturulması

Bir işletme için nitelikli sertifika talebinde, hem taşıyıcının kimliğini (kişi) hem de tüzel kişiyi temsil etme kapasitesini doğrulayan belgeler sunulmalıdır. Genellikle gerekli belgeler:

• Taşıyıcının resmi kimlik belgesi (pasaport, kimlik kartı) ;
• 3 aydan eski olmayan Ticaret Sicili Bilgi Belgesi (dernekler, kamu kuruluşları için eşdeğeri) ;
• Yetki devir yazısı (taşıyıcı yasal temsilci değilse) ;
• İlgili NGHS'ye özgü talep formu.

Kimlik doğrulaması, NGHS tarafından atanan bir Kayıt Operatörü önünde yüz yüze gerçekleştirilmeli veya ETSI TS 119 461 standardına uygun bir onaylanmış uzaktan doğrulama yöntemi (video tanımlama) ile yapılmalıdır.

Adım 3: Sertifikanın Teslimi ve Aktivasyonu

Seçilen formata göre sertifika şu şekilde teslim edilir:

• Nitelikli imza oluşturma aygıtı (QSCD): Common Criteria EAL 4+ sertifikalı kripto anahtar veya akıllı kart ;
• Uzaktan nitelikli imza hizmeti (Remote Qualified Electronic Signature — RQES) NGHS tarafından yönetilir; burada özel anahtar ETSI EN 419 241 standardına göre sertifikalı bir HSM'de (Hardware Security Module) barındırılır.

RQES hizmeti uygulaması bugün işletmeler tarafından en fazla tercih edilen çözümdür; çünkü kripto destek yönetimini sağlarken nitelikli uyumu korumuştur. Elektronik imza çözümlerini karşılaştırın bağlamınız için en uygun modeli belirlemek için.

Adım 4: İşletme Süreçlerinize Entegrasyon

Sertifika elde edildikten sonra, işletmenin belge akışlarına entegrasyon genellikle bir SaaS elektronik imza platformu aracılığıyla gerçekleştirilir. Platform kesinlikle ETSI standartlarıyla (XAdES, PAdES, CAdES) uyumlu olmalı; böylece dijital kanıtların birlikte çalışabilirliği ve dayanıklılığı garantilenir. İşletmede elektronik imza hakkındaki özel makalemiz bu uygulama işlemini yapılandırmanıza yardımcı olacaktır.

---

Maliyet, Geçerlilik ve Yenileme: İşletmelerin Göz Önünde Bulundurması Gereken Hususlar

2026 Fiyat Aralıkları

Nitelikli sertifika fiyatları, format ve sağlayıcıya göre önemli ölçüde değişir:

• Fiziksel desteğe yüklü sertifika (USB/kart): taşıyıcı başına yıllık 80 € ila 250 € KDV hariç ;
• Bulut nitelikli sertifikası (RQES): taşıyıcı başına yıllık 40 € ila 150 € KDV hariç, hacimlere göre ;
• İşletme paketleri: 10 taşıyıcıdan başlayarak %30 ile %40 arasında önemli indirimler uygulanır.

Bu maliyetler elde edilen tasarruflarla karşılaştırılmalıdır: baskı, posta ücretleri, posta işlem süreleri ve itiraz edilen imzalardan kaynaklanan anlaşmazlıklar ortadan kalkar.

Geçerlilik Süresi ve Yenileme

Nitelikli bir sertifikanın geçerliliği genellikle seçilen pakete göre 1, 2 veya 3 yıl olarak ayarlanır. Sona ermesinde, önceki imzalanan belgeler geçerli kalır (nitelikli bir zaman damgası hizmeti aracılığıyla bütünlükleri korunması şartıyla), ancak yeni belgeler süresi dolan sertifika ile imzalanamaz. Bu nedenle, gözetim ve önceden yenileme sürecini uygulamak — ideal olarak son tarihten 60 gün öncesinde — zorunludur.

İptal ve Olay Yönetimi

Özel anahtarın tehlikeye girdiği durumda (kaybedilme, destek hırsızlığı, divulgasyon şüphesi), sertifika NGHS'ye derhal iptal ettirilmelidir. NGHS iptalini Sertifika İptal Listesi (CRL) veya OCSP protokolü aracılığıyla yayınlar; böylece bu sertifika ile yapılan herhangi bir sonraki imza geçersiz hale gelir. İç güvenlik politikası, bu nedenle 24 saat altında bir uyarı süresi ile özel bir iletişim noktası sağlamalıdır.

---

İşletmede Başarılı Uygulama İçin En İyi Uygulamalar

Yönetişim ve İç Roller

Başarılı bir uygulama açık bir yönetişime dayanır. Şunları atamak önerilir:

• BİT tarafındaki PKI (Açık Anahtar Altyapısı) sorumlusu, NGHS ile ilişki ve yenileme takibinden sorumlu ;
• Nitelikli imza gereken kullanım durumlarını doğrulayan yasal referans (vs gelişmiş) ;
• Taşıyıcıların operasyonel yönetimi için bölüm tarafından devredilmiş yöneticiler.

Eğitim ve Değişim Yönetimi

Nitelikli bir sertifika elde etmek yeterli değildir: çalışanlar sertifikalarını nasıl kullanacağını, ne zaman etkinleştireceğini ve olaylara nasıl tepki vereceğini anlamalıdırlar. Kısa bir eğitim planı (1 ila 2 saat) ve belgelenmiş prosedürler, kullanım hatalarını ve destek talebelerini önemli ölçüde azaltır.

Denetim ve İzlenebilirlik

Kanıt yükümlülüklerini karşılamak için, her imzalanan işlemin zaman damgalı denetim günlüğü tutun: imzacının kimliği, belgenin parmak izi, sertifikalı tarih/saat, sertifika tanımlayıcısı. Bu veriler anlaşmazlık durumunda kanıt zincirinin temelini oluşturur. ETSI EN 319 132 (XAdES) standardı, bu bilgileri yerel olarak içeren imza formatlarını öngörür.

Nitelikli Elektronik Sertifikalara Uygulanabilir Yasal Çerçeve

Medeni Kanun ve Kanıt Değeri

Fransız hukuku olarak, Medeni Kanun 1366. maddesi, elektronik yazının kağıt yazıyla eşdeğerliği ilkesini belirler; ancak "bunun kaynağı olan kişinin kimliği düzgün bir şekilde sağlanmalı ve bütünlüğünün korunması için uygun koşullar içinde kurulmalı ve saklanmalıdır". 1367. madde 2. fıkra, nitelikli elektronik imzanın güvenilirlik varsayımından yararlandığını belirtir: imzayı itiraz eden tarafın kanıtını getirir; böylece imzacı lehine kanıt sorumluluğu tersine çevrilir.

eIDAS n°910/2014 Tüzüğü

Avrupa Birliği eIDAS (n°910/2014) tüzüğü, 1 Temmuz 2016'dan bu yana tüm üye devletlerde doğrudan uygulanabilen üst düzey temelidir. 25(2). maddesi "nitelikli elektronik imza el yazısı imzayla yasal olarak eşdeğer etkiye sahiptir" belirtir. 28 ve 29. maddeler, nitelikli sertifikalara ve nitelikli imza oluşturma aygıtlarına (QSCD) uygulanacak gereksinimleri tanımlar. Ek I, nitelikli bir sertifikanın zorunlu belirtilerini listeler (politika OID'i, NGHS kimliği, genel anahtar, geçerlilik tarihleri vb.).

eIDAS 2.0 Gelişmeleri

eIDAS 2.0 tüzüğü (AB 2024/1183 tüzüğü, 20 Mayıs 2024'te yürürlüğe girdi), Avrupa dijital kimlik cüzdanı (EUDIW) tanıtır ve nitelikli güven hizmetlerine erişim gereksinimleri arttırır. İşletmelerin bu yeni kimlik mekanizmalarının entegrasyonunu 2026-2027'ye kadar öngörmesi gerekecek.

Uygulanabilir ETSI Standartları

• ETSI EN 319 411-2: nitelikli sertifika veren NGHS'ler için politika ve uygulamalar ;
• ETSI EN 319 132 (XAdES) ve ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES): gelişmiş ve nitelikli elektronik imza formatları ;
• ETSI EN 419 241: imza sunucuları (RQES) için gereksinimler.

GDPR ve Veri Koruma

Kayıt işlemi çerçevesindeki (kimlik doğrulama, belge toplama) kişisel verilerin işlenmesi GDPR n°2016/679 kapsamındadır. NGHS ve müşteri işletme, GDPR'nin 28. maddesi uyarınca ortak sorumlular veya sorumlı/işlemci ilişkisindedir. GDPR 28. maddeye uygun bir Veri İşleme Anlaşması (DPA) imzalanmalıdır. Kayıt verileri sertifika ömrü artı uygulanabilir zaman aşımı süresi (sözleşme konularında 5 yıl) kadar saklanmalıdır.

NIS2 Yönergesi ve Altyapı Güvenliği

NIS2 Yönergesi (2022/2555/UE), AB hukuku 2024-449 sayılı kanunla transpoze edilen, temel ve önemli kuruluşlara dijital tedarik zinciri güvenliğini içeren risk yönetimi önlemleri uygulamayı zorunlu kılar. Ulusal güven listesine kayıtlı nitelikli bir NGHS'ye başvurmak, bu gereksinimleri kısmen karşılamak için tanınan iyi bir uygulamadır.

Kullanım Senaryoları: Nitelikli Sertifika Pratikte

Senaryo 1: Yüksek Kanıt Değerine Sahip Belgelerle Uğraşan Bir Avukatlık Bürosu

20'den fazla hukuk müşaviri ve çalışanı bulunan bir ticari avukatlık bürosu, ortaklık pay devri belgeleri, uzlaştırma protokolleri ve vekaletleri düzenli olarak imzalamalıdır. Bugüne kadar, her belge yazılı hale getirilmiş, el yazısı imzalanmış, taranmış ve postayla gönderilmiş — her imza döngüsü için ortalama 4 ila 7 iş günü beklemek gerekmiştir. Her müşavir için nitelikli bulut sertifikaları (RQES) uygulandıktan sonra, noter müdahalesi gerektirmeyen belgeler için bu süre 4 saatten kısa sürede azaltılmıştır. Büro, belge yönetimi ile ilgili idari zamanın %65 oranında azaldığını ve ilk 18 ayda imza konusunda hiç itiraz kaydedilmediğini tahmin etmektedir. Certyneo tarafından sunulan avukatlık ofisleri için elektronik imza çözümleri bu tür iş akışlarına yerel olarak entegre olur.

Senaryo 2: Kamu Kuruluşlarıyla Sözleşme Yapan Bir KOBİ

Metalurji sektöründe çalışan ve yaklaşık 120 kişi çalıştıran bir KOBİ, düzenli olarak kamu alım platformlarında dijital olarak açılan anlaşmalara teklif sunmaktadır. Minimum RGS** seviyesi ile elektronik imza ve bağlılık belgelerini imzalaması zorunludur. İki nitelikli sertifika (genel müdür ve yetkili ticari müdür için) elde etildikten sonra, KOBİ belirtilen süreler içinde hiç seyahat veya posta göndermeden teklifleri sunabilmiştir. Bir yıl boyunca bu, yaklaşık 35 alım anlaşma dosyası anlamına gelir; yani sadece belge yönetimi için tahmini 15 insan-günlük ekonomi. Sertifikanın eIDAS uyumluluğu, Alman ve Belçika satın alma kuruluşlarına imzaların tanınmasını sağlar; böylece ticari alanı genişletir. Kendi bağlamınızda olası kazançları tahmin etmek için ROI hesaplayıcımızı kullanın.

Senaryo 3: İnsan Kaynakları ve Tedarikçi Belgelerini Güvenleştiren Bir Sağlık Grubunun

Yaklaşık 1 200 yataklı ve birkaç kurumu birleştiren bir hastane grubu, yıllık yaklaşık 3 000 iş sözleşmesi, değişiklik ve tedarikçi taahhütleri hacmiyle karşı karşıyadır. İnsan Kaynakları ve Satın Alma müdürlükleri, nitelikli bir imza çözümünü ortaklaşa uygulamıştır; yetkili yöneticiler için sertifikalar verilmiştir. Paralel olarak, personel tarafından imzalanmak üzere belgeler gelişmiş bir imza iş akışı aracılığıyla işlenir; nitelikli imza yüksek yasal değere sahip yönetim belgelerine ayrılır. Sonuç: bir iş sözleşmesinin ortalama son haline geliş süresi 12 günden 2,5 güne düşmüştür ve eksik dosya oranı (imza eksikliği, yanlış imzalı versiyon) %78 azalmıştır. Certyneo'nun sağlık kuruluşlarındaki elektronik imza çözümleri, hastane sektörünün düzenleyici özellikleri içerir.

Sonuç

Nitelikli elektronik sertifika elde etmek, günümüzde dijital belgelerini yasal olarak güvenleştirmek, kamu alımlarının gerekliliklerini karşılamak ve eIDAS mevzuat çerçevesine girmek isteyen tüm işletmeler için zorunlu bir adımdır. Bir kısıtlama olmaktan çok, bu rekabet avantajı sağlayan bir kaldıraçtır: azalan imza süreleri, itiraz edilemez bir kanıt zinciri ve tüm Avrupa Birliğinde sınır ötesi tanıma.

Hatırlanması gereken ana adımlar: ANSSI güven listesine kayıtlı bir NGHS seçmek, kesin bir kayıt dosyası oluşturmak, dağıtımı kolaylaştırmak için bir bulut biçimi (RQES) seçmek ve sertifikayı ETSI standartlarıyla uyumlu bir platforma entegre etmek.

Certyneo sizi her adımda yardımcı olur: doğru imza seviyesinin seçiminden işletme süreçlerinize entegrasyona kadar. Ücretsiz demo talep edin ve kuruluşunuzda nitelikli imzayı 48 saatten az sürede nasıl uygulanacağını keşfedin.