Nitelikli eIDAS Hizmet Sağlayıcıları: 2026 Resmi Listesi

eIDAS "nitelikli" statüsü işletmeniz için neden belirleyici?

eIDAS Yönetmeliği (n° 910/2014) yürürlüğe girdikten beri, Avrupa elektronik imza pazarı üç seviyeli bir hiyerarşi etrafında köklü değişime uğramıştır: basit elektronik imza (SES), gelişmiş elektronik imza (AES) ve nitelikli elektronik imza (QES). İkincisi, Avrupa Birliği'nin tüm üye devletlerinde el ile atılan imzaya hukuki eşdeğerlik varsayımından yararlanır.

Bir işletmenin nitelikli imzalar sunabilmesi için, zorunlu olarak denetlenmiş ve kendi üye devletinin Güven Listesi (Trust List) kayıtlı olması gerekir. Fransa'da bu resmi kaydı Ulusal Bilgi Sistemleri Güvenliği Ajansı (ANSSI) tutar ve bu liste sırasıyla Avrupa Komisyonu tarafından yönetilen merkezi Avrupa listesine dahil edilir.

Bu mimarisini anlamak, herhangi bir hassas ticari sözleşmeyi imzalamadan önce temeldir. Düzenleyici tabanlar hakkında daha ayrıntılı bilgi için, eIDAS 2.0 Yönetmeliği hakkında kapsamlı rehberimiz revize eIDAS 2.0 Yönetmeliği (AB Yönetmeliği 2024/1183) tarafından tanıtılan tüm yükümlülükleri ve değişiklikleri detaylandırır.

---

Nitelikli Güven Hizmetleri Sağlayıcıları nasıl sertifikası yapılır?

Nitelikli Güven Hizmetleri Sağlayıcısı (PSCQ) statüsüne giden yol zorludur. Buna, akredite bir uygunluk değerlendirme kuruluşu (CAB, Conformity Assessment Body) tarafından, ETSI EN 319 401 (genel gereksinimler) ve ETSI EN 319 411-2 (nitelikli sertifikalar) normlarına uygun olarak yapılan bir denetim gerekir.

ANSSI Nitelikli Hale Getirme Adımları

1. Niteliklilik Dosyası Sunma: hizmet sağlayıcı teknik, güvenlik ve örgütsel belgelerini ANSSI'ye sunar.
2. Akredite CAB Tarafından Denetim: Bureau Veritas, LSTI veya Apave Certification gibi bağımsız bir kuruluş, uyumluluğu yerinde ve dokümanlar üzerinde doğrular.
3. Niteliklilik Kararı: ANSSI niteliklilik ilanını yapar ve hizmet sağlayıcıyı Fransız Güven Listesi (TL-FR) kayıtlarına alır.
4. Periyodik Yenileme: niteliklilik, genel olarak her iki yılda bir yeniden değerlendirilir ve gerekliliklerin korunmasını güvence altına alır.

Denetim Gerçekte Neyi Doğrular?

Denetçi özellikle şunları incelemektedir:

• Kriptografik anahtarları barındıran veri merkezlerinin fiziksel güvenliği (en az CC EAL 4+ veya FIPS 140-2 Level 3 sertifikası almış HSM modülleri);
• Hizmet sağlayıcı tarafından yayınlanan sertifikasyon politikaları (CP) ve sertifikasyon uygulamaları beyanları (CPS);
• İmzalayanların kimlik doğrulama prosedürleri (yüz yüze veya EN 419 241-1 normuna uygun uzaktan kimlik doğrulama);
• İptal yönetimi ve OCSP/CRL hizmetlerinin kullanılabilirliği.

Bu kriterler, neden Fransa'da yalnızca bir avuç aktörün bu sertifikasyon seviyesine ulaştığını ve bunu koruduğunu açıklamaktadır.

---

2026'da Fransa'da Kaydı Yapılmış Nitelikli eIDAS Hizmet Sağlayıcıları

Nitelikli hizmet sağlayıcılarının resmi listesi, Avrupa Komisyonu'nun resmi portalında (eidas.ec.europa.eu/efts) her zaman danışılabilir; "Fransa" ve "QCertESig" hizmetine (Nitelikli Elektronik İmza Sertifikası) filtre uygulanarak. Bu makalenin yazılış sırasında (Haziran 2026) kayıtta yer alan aktörler şunlardır:

Güven Listesinde Kayıtlı Fransız Aktörleri

| Hizmet Sağlayıcı | Nitelikli Hizmet Türü | Özellik | |---|---|---| | Certigna (Dhimyotis) | Nitelikli sertifikalar, nitelikli zaman damgası | La Poste Grubu, 2016'dan beri eIDAS sertifikali | | Certinomis | Nitelikli sertifikalar | La Poste yan kuruluşu, kamu sektörüne odaklı | | ChamberSign France | Nitelikli sertifikalar | TİM ağı, KOBİ/MTMT'ye güçlü yaklaşım | | Keynectis / DocuSign France | Nitelikli sertifikalar | DocuSign tarafından satın alındı, ANSSI etiketi korundu | | Universign (Tessi) | Nitelikli sertifikalar, zaman damgası | Pazar öncüsü, Tessi grubuna entegre | | Entrust (eski Datacard) | Nitelikli sertifikalar | Uluslararası aktör, çok devletli Güven Listesi | | Oodrive Sign | Nitelikli sertifikalar | Egemen Fransız yayımcı, SecNumCloud nitelikli |

> Uyarı: bu liste bilgilendirme amaçlı sunulmuştur. Yalnızca Avrupa Komisyonu'nun resmi Güven Listesi hüküm ifade eder. Herhangi bir sözleşmesel taahhütten önce ETSI portalında geçerli durumu doğrulayın.

Güven Listesi Aracılığıyla Fransa'da Tanınan Yabancı Hizmet Sağlayıcıları

eIDAS Yönetmeliği'nin 25. maddesi tarafından belirlenen karşılıklı tanıma ilkesine göre, başka bir üye devletin Güven Listesi'ne kayıtlı bir PSCQ tarafından verilen nitelikli imza, Fransa'da aynı hukuki etkiyi doğurur. Sıkça kullanılan Fransız olmayan aktörler arasında:

• Namirial (İtalya): uzaktan nitelikli imzada (QES remote signing) güçlü;
• SwissSign (İsviçre): dikkat, İsviçre AB üyesi değil; tanıma kısmidir;
• Qualified.one / Asseco Data Systems (Polonya): Avrupa kamu aktörü, sınır ötesi pazarlarda sık.

Bu çözümleri işletme ihtiyaçlarınıza göre karşılaştırmak için, elektronik imza çözümlerinin karşılaştırması sayfamız fiyat, uyum ve API entegrasyonu kriterlerini analiz eder.

---

Kuruluşunuz için Doğru Nitelikli eIDAS Hizmet Sağlayıcısını Nasıl Seçersiniz?

Güven Listesinde yer almak gerekli, fakat yeterli değildir. Bir PSCQ'nun seçimi birkaç tamamlayıcı kriteri içermek zorundadır.

Teknik ve Entegrasyon Kriterleri

• REST API veya SDK mevcuttur: iş akışlarında imzayı otomatikleştirmek için vazgeçilmez (ERP, İK, CRM);
• Desteklenen imza biçimleri: PDF için PAdES, XML için XAdES, ikili dosyalar için CAdES — tümü ETSI EN 319 100 tarafından normalleştirilmiş;
• Hizmet Kullanılabilirliği: %99,9'dan fazla SLA sözleşmede garantilenir, bakım çalışmaları işletme saatleri dışında planlanır;
• Veri Barındırması: Fransa'da veya AB'de barındırmayı tercih edin, ideali olarak hassas veriler için SecNumCloud nitelikli.

Yasal ve Uyum Kriterleri

• Hizmet sağlayıcının güncel niteliklilik raporu (24 aydan az) sağladığını doğrulayın;
• Yayınlanmış ve denetlenmiş bir sertifikasyon politikası (CP) talep edin;
• Genel koşulların açıkça eIDAS Yönetmeliği'nin Ek I anlamında nitelikli sertifikaların verilmesini öngördüğünü garantileyin.

Operasyonel ve Destek Kriterleri

• İmzalayanların Kaydı Prosedürü: ajansda yüz yüze, eIDAS uyumlu video tanımlama veya elektronik kimlik belgesiyle NFC;
• Französe destek sözleşmeli yanıt süreleriyle;
• Eğitim ve belgelendirme yasal ve BT ekipleriniz için kullanılabilir.

Kuruluşunuz önemli İK belge akışlarını yönetiyorsa, İK ekipleri için elektronik imza sayfamız belirli kullanım durumlarını (iş sözleşmeleri, eklentiler, onboarding) ve belge türüne göre önerilen imza seviyelerini detaylandırır.

---

eIDAS 2.0: 2026'da Nitelikli Hizmet Sağlayıcıları için Hangi Değişiklikler?

eIDAS 2.0 Yönetmeliği (AB Yönetmeliği 2024/1183, Mayıs 2024'ten bu yana kademeli olarak uygulanıyor) PSCQ'lar ve müşterileri doğrudan etkileyen birkaç yapısal değişiklik getirmektedir.

Avrupa Dijital Kimlik Cüzdanı (EUDI Wallet)

Revize yönetmeliğinin 6a. maddesi, üye devletleri Eylül 2026'ya kadar tüm AB'de tanınan dijital kimlik cüzdanı (EUDI Wallet) sunmaya zorunlu kılar. Nitelikli hizmet sağlayıcılar için bu şu anlama gelir:

• İmzalayanların kaydı için kimlik kanıtı olarak cüzdandan gelen kimlik nitelikleri kabul etme yükümlülüğü;
• Yeni bir nitelikli hizmet ortaya çıkması: nitelikli nitelik attestasyonlarının verilmesi (Nitelikli Elektronik Nitelik Attestasyonu, QEAA).

Yeni Nitelikli Hizmetler ve Kapsamın Genişletilmesi

eIDAS 2.0 nitelikli güven hizmetlerinin listesini şunları içerecek şekilde genişletir:

• Nitelikli elektronik arşivleme hizmetleri (QPDS, madde 45f);
• Uzaktan imza oluşturma cihazlarını yönetme hizmetleri (QRCD).

Bu değişiklikler, hem mevcut hizmet sağlayıcılar için bir uyum kısıtlaması (sıkı teslim tarihleri) hem de ENISA ve ETSI tarafından yayınlanan teknik özellikleri hızlı bir şekilde entegre edebilen yeni girişçiler için bir farklılaşma fırsatıdır.

Mevcut bir platformdan daha uyumlu bir çözüme geçişi düşünen işletmeler için, DocuSign veya YouSign'dan Certyneo'ya geçiş rehberi somut adımları ve düzenleyici dikkat noktalarını sunmaktadır.

Nitelikli eIDAS Hizmet Sağlayıcılarına Uygulanabilir Yasal Çerçeve

eIDAS Yönetmeliği ve Avrupa Hukuku

Yasal temeli Avrupa Parlamentosu ve Konseyi Yönetmeliği (AB) n° 910/2014 oluşturur (23 Temmuz 2014 tarihli, iç pazarda elektronik işlemler için elektronik kimlik ve güven hizmetleri hakkında, "eIDAS Yönetmeliği" olarak adlandırılır), Yönetmelik (AB) 2024/1183 (eIDAS 2.0) tarafından değiştirilmiş. Bu yönetmelik, tüm üye devletlerde herhangi bir ulusal aktarım olmaksızın doğrudan uygulanabilir.

Nitelikli hizmet sağlayıcıları için temel hükümleri:

• Madde 17: her üye devletin bir denetim organı (Fransa'da ANSSI) belirlemesi yükümlülüğü;
• Madde 20: denetim, denetim ve Güven Listesi'ne kayıt prosedürü;
• Madde 25: QES ile el yazılı imza arasında eşdeğerlik varsayımı, tüm AB'de garantili hukuki etki;
• Ek I: elektronik imza için nitelikli sertifikalar gereklilikleri;
• Ek II: nitelikli imza oluşturma cihazları (QSCD) gereklilikleri.

Fransız Hukuku

İç hukuk çerçevesinde, elektronik imza şununla düzenlenir:

• Medeni Kanun, Maddeler 1366 ve 1367: Madde 1366 elektronik yazılı değerin hukuki tanıklığını tanır; yazar kimliğini garanti etmek ve belgenin bütünlüğünü sağlamak koşuluyla. Madde 1367, uygulama kararnamesi uyarınca oluşturulan elektronik imzanın güvenilir kimlik belirleme işleminden oluşması halinde güvenilirliğin varsayılacağını belirtir;
• 28 Eylül 2017 tarihli Kararname n° 2017-1416: nitelikli elektronik imzanın Fransa'da güvenilir olduğu varsayıldığı koşulları tanımlar, eIDAS Yönetmeliği'ne açıkça atıf yaparak;
• 16 Haziran 2005 tarihli Kararname n° 2005-674 elektronik imza yoluyla belirli sözleşmesel formalitelerin yerine getirilmesine ilişkin.

Kişisel Verilerin Korunması

Kayıt ve imza süreçleri kişisel verinin işlenmesini içerir (kimlik verileri, video tanımlamada biyometri). Nitelikli hizmet sağlayıcısı Yönetmelik (AB) 2016/679 (KVKK) tabi olmakta ve özellikle şunlar gereklidir:

• Ölçek büyüklüğünde işlem söz konusu ise bir DPO (Veri Koruma Görevlisi) atama;
• İşlemeleri CNIL kayıt defterine belgeleme;
• AB dışı transferleri uygun garantilerle (standart sözleşme maddeleri, yeterlililik kararı) düzenleme.

Siber Güvenlik ve Esneklik

Ekim 2024'ten itibaren, NIS2 Yönergeleri (2022/2555/AB) nitelikli güven hizmetleri sağlayıcılarına uygulanır ve temel varlıklar olarak sınıflandırılır. Siber risk yönetimini uygulamak, önemli olayları 24 saat içinde ANSSI'ye bildirmek ve düzenli denetimler geçirmek zorundadırlar. Uyumsuzluk 10 milyon EUR veya yıllık küresel ciro %2'sine kadar para cezası doğurabilir.

Teknik Referans Normları

• ETSI EN 319 401: güven hizmetleri sağlayıcıları için genel gereksinimler;
• ETSI EN 319 411-2: nitelikli sertifikalar politika profili;
• ETSI EN 319 132: XAdES imza biçimleri;
• ETSI EN 319 122: CAdES imza biçimleri;
• ETSI EN 319 162: PAdES (PDF) imza biçimleri.

Kullanım Senaryoları: Nitelikli eIDAS İmzası Ne Zaman Olmazsa Olmaz?

Senaryo 1 — Yüksek Kanıtsal Değerli Özel Mühürlerini Geçecek Sözleşmeler Yönetimi Yapan Hukuk Ofisi

Yirmi kadar avukattan oluşan bir kurumsal hukuk ofisi, her ay sosyal pay satışları, anlaşma protokolleri ve varlık ve borç garantileri (GAP) sözleşmesi gibi onlarca özel mühür altında sözleşmeyi yönetir. Bu belgeler sıkça yüz binlerce hatta milyonları aşan tutarlar taşır ve mahkemede itiraz edilebilir.

Nitelikli eIDAS hizmet sağlayıcısına geçmeden önce, ofis gelişmiş imza (AES) çözümü kullandığından çoğu günlük belge için yeterli idi. Eski davada, karşı taraf mahkemede imzanın güncelliğini itiraz ettiğinde bir olay yaşandıktan sonra, ofis tüm yüksek riskli belgeler için QES'i seçme kararı aldı. Sonuç: dava sırasında imza kanıtı üretme zamanı %90 azaldı, QES'e bağlı geri alınamaz hukuki varsayım sayesinde. Birim maliyeti başına ek harcama (hacimlere göre yaklaşık 2-5 EUR) tamamen dava giderlerindeki düşüş tarafından karşılandı.

Senaryo 2 — Sınır Ötesi Tedarikçi Sözleşmelerini Yöneten Orta Ölçekli Sanayi İşletmesi

Fransa, Almanya, İtalya ve Polonya'da kurulan tedarikçileri olan endüstriyel ekipman alanındaki orta ölçekli işletme (OÖİ), sözleşmelerini şimdiye kadar posta yoluyla göndermek veya kişisel imza görüşmeleri düzenlemek zorunda idi; her sözleşme için 10 ila 21 iş günü gecikme yaratır.

Güven Listesi'ne kayıtlı bir Avrupa PSCQ'ya bağlı bir çözüm dağıtarak, işletme imza döngüsünü ortalama 48 saatten az süreye indirdi. Üye devletler arasındaki karşılıklı tanıma ek yasal doğrulama olmaksızın hukuki değeri garantiler. Yıllık 350 tedarikçi sözleşmesi portföyü üzerinde, ACFE ve APQC tarafından yayınlanan sektörel çalışmaların tutarlı değerleri aşan yönetimsel ve lojistik maliyetlerindeki tahmini kazanç 40.000 EUR'u aşmaktadır.

Senaryo 3 — Sağlık Sektörü Gerekliliklerine Tabi Hastane Grubu

Yaklaşık 1200 yataklı bir hastane grubu, elektronik olarak kamu ihaleleri, klinik araştırma konvansiyonları ve hastane hekimleri sözleşmelerini imzalaması gerekir. Bu belgeler Kamu Satın Alma Koduna tabi olmakta ve elektronik imzayı RGS (Referans Genel Güvenlik) seviyesi ** veya dijitalleştirilmiş kamu ihalelerinden itibaren eIDAS eşdeğer seviyeleriyle talep eder.

Fransız Güven Listesi'ne kayıtlı PSCQ'ya güvenerek, grup kamusal pazarların imzasını 15 günden 72 saatten az süreye indirerek uyumu garantiler. API entegrasyonu hastane bilişim sistemiyle (SIH) belgelerin gönderimini ve takibini otomatize ederek sözleşmelerle ilgili yönetim görevlerinde yaklaşık 0,4 FTE boşaltmıştır.

Sonuç

Nitelikli eIDAS hizmet sağlayıcısı seçimi, basit yazılım satın alma değildir: kuruluşunuzun belgelerinin kanıtsal değerini, yasal uyumunu ve ticari ve kurumsal ortaklarının güvenini belirleyen stratejik bir karardır. 2026'da, eIDAS 2.0'nin kademeli uygulanması ve yeni NIS2 yükümlülükleriyle, gereklililik düzeyi yalnızca artmaktadır.

Hatırlanacak temel noktalar: Güven Listesi'ne kaydı sistematik olarak doğrulayın, yayınlanmış bir sertifikasyon politikası talep edin ve her belge için imza düzeyini (QES, AES, SES) hukuki çıkara göre uyarlayın.

Certyneo, bu süreçte sizi kaydedilmiş PSCQ'lar aracılığıyla nitelikli sertifikalara erişim sağlayarak, güçlü bir API entegrasyonu ve özel yasal destek sunarak eşlik eder. Nitelikli imzaya geçmeye hazır? Certyneo'da demo talebinde bulunun veya hesabınızı oluşturun ve kuruluşunuzu bugün uyuma alın.