Відповідність eIDAS для МСП: повний контрольний список на 2026 рік

Європейський регламент eIDAS (EU № 910/2014, незабаром буде змінено eIDAS 2.0) регулює електронні підписи в усьому Європейському Союзі. Для малого та середнього бізнесу відповідність — це не просто поле для перевірки: це гарантія того, що його контракти підлягають виконанню, що його дані підпису захищені та що воно захищає себе від правових ризиків, які можуть бути дорогими. Ось контрольний список на 2026 рік у 12 конкретних пунктах, щоб перевірити, чи ваш SME повністю сумісний із eIDAS.

Пункт 1: виберіть правильний рівень підпису

Перший рефлекс: зіставте типи ваших контрактів і пов’яжіть цільовий рівень. Стандартні комерційні контракти (котирування, замовлення на закупівлю, прості угоди про нерозголошення): достатньо SES. Трудові контракти, оренда, конфіденційні NDA, стратегічні угоди: мінімум AES, бажано з OTP SMS. Нормативні акти (адвокат, нотаріус, публічні договори понад порог): обов’язковий КЕП. Без цього відображення ви ризикуєте занизити (відмова у контракті) або завищити (надмірна вартість).

Пункт 2: перевірте кваліфікацію постачальника послуг

Ваш постачальник послуг має бути надійним постачальником послуг (QTSP) або покладатися на QTSP для рівнів AES/QES. Перегляньте список довірених послуг, опублікований ANSSI (eidas.ssi.gouv.fr) і Європейський список довірених послуг (webgate.ec.europa.eu/tl-browser). Французькі довідкові QTSP: Certigna, Docaposte, Certinomis, Universign. Для SES/AES через платформу (Certyneo, Yousign тощо) перевірте їх чітко задокументовану відповідність eIDAS.

Пункт 3: Перевірте контрольний слід

Підпишіть тестовий конверт і зберіть контрольний слід (зазвичай окремий PDF-файл). Він повинен містити: ідентифікатор та електронну пошту підписанта, мітку часу кожного кроку (надсилання, відкриття, підтвердження, підпис), IP-адресу, агента користувача, хеш документа, підтвердження OTP, якщо AES. Якщо один із цих елементів відсутній, доказова сила послаблюється. Certyneo забезпечує повний контрольний слід навіть у безкоштовному плані.

Пункт 4: контролюйте мітку часу

Мітку часу має видати орган Time Stamp Authority (TSA) відповідно до RFC 3161. Мітки часу просто з NTP-сервера компанії недостатньо. Відкрийте підписаний PDF-файл в Adobe Reader: вкладка «Підписи» → «Деталі» → «Мітка часу». Там ви повинні побачити дійсний сертифікат TSA та сертифікований годинник. Якщо PDF-файл не має сертифікованої позначки часу, відмовтеся від вибору постачальника послуг.

Пункт 5: архівувати щонайменше 10 років

Господарський кодекс (стаття L. 123-22) вимагає 10 років зберігання комерційних документів. КЗпП встановлює 5 років для трудових договорів після розірвання. Архівація повинна зберігати цілісність (хеш, запечатування) і доступ. Ідеально: формат PDF/A (ISO 19005), подвійне сховище (основне + зовнішнє резервне копіювання), кваліфікований електронний сейф (CFE) для максимального захисту. Certyneo за замовчуванням архівує 10 років і пропонує експорт партнерам CFE.

Пункт 6: перевірте локалізацію даних

Де зберігаються ваші дані підпису? Для французького малого та середнього бізнесу, який має справу з конфіденційними контрактами, виберіть хостинг у Франції чи ЄС. Запитайте у свого постачальника послуг список субпідрядників та їх місцезнаходження (стаття 28 GDPR). Уникайте рішень, які підпадають під дію Закону США про хмари для стратегічних контрактів. Certyneo розміщено у Франції без залежності від Cloud Act. Перегляньте нашу статтю про /blog/cloud-act-signature-electronique.

Пункт 7: узгоджувати з GDPR

Підпис і GDPR тісно пов’язані: кожен конверт містить персональні дані (ім’я, електронна пошта, IP, телефон). Переконайтеся, що ваш реєстр обробки (ст. 30 GDPR) містить електронний підпис, що періоди зберігання є послідовними (10 років), і що права осіб можуть бути реалізовані (доступ, виправлення, перенесення). Якщо ви вимагаєте багато підписів, рекомендуємо DPO. Перегляньте нашу статтю /blog/signature-electronique-rgpd.

Пункт 8: визначте підписантів на початку

Для надійного AES ідентифікація не починається з підписання: вона починається зі збору даних. Перевіряйте електронні листи (без псевдонімів, без списку розсилки), номери телефонів (без спільної лінії) і відстежуйте джерело ідентифікації (ідентифікатор для серйозних контрактів, існуючий клієнт KYC для діючих контрактів). Ця належна обачність робить докази достовірними у випадку суперечки.

Пункт 9: тренуємо команди

Ваші відділи продажів, відділ кадрів і юристи повинні розуміти правила: ніколи не змушуйте підписувача використовувати пристрій стороннього виробника, ніколи не повертайте змінений підписаний PDF-файл, ніколи не вставляйте відскановане зображення підпису замість справжнього підпису. Для формування хороших рефлексів достатньо однієї години тренувань на команду. Certyneo надає повний посібник для внутрішнього обміну (/resources).

Пункт 10: перевірте контракти постачальників послуг

CGU/CGV постачальника послуг підпису має: ініціювати відповідність eIDAS, вказати періоди архівування, включити субпідрядну угоду GDPR (ст. 28), задокументувати субпідрядників, надати план оборотності в разі припинення. Також запитуйте SOC 2 Type II або еквівалент, якщо ви обробляєте великі обсяги. Для Certyneo ці документи доступні на /legal і /security.

Пункт 11: підготуйте eIDAS 2.0 і гаманець EUDI

Регламент eIDAS 2.0 (EU 2024/1183) набуває чинності поступово та вимагає від держав-членів розгорнути гаманець EUDI Wallet до кінця 2026 року. Цей гаманець цифрової ідентифікації, зокрема, дозволить отримати віддалений доступ до QES без фізичної реєстрації. Підготуйте свій SME: переконайтеся, що ваш постачальник послуг має дорожню карту EUDI Wallet, слідкуйте за повідомленнями ANSSI та Європейської комісії. Перегляньте /blog/eidas-2-nouveau-reglement-2026.

Пункт 12: щорічний аудит

Відповідність не є набутим статусом: це постійний процес. Заплануйте щорічний аудит (внутрішній або зовнішній), щоб перевірити: нормативні зміни, розробки постачальників послуг, актуальне відображення типів контрактів, ефективне утримання, навчання нових співробітників. Легкий аудит займає півдня для МСП і дозволяє уникнути багатьох сюрпризів. Почніть зі створення безкоштовного облікового запису Certyneo на certyneo.com/signup, щоб перевірити реальну відповідність, а потім перегляньте наш посібник eIDAS, щоб копати глибше (/guide/eidas).