Сертифікація eIDAS 2 для поставлювачів служб підпису у 2026 році

Чому сертифікація eIDAS 2 змінює правила гри для поставлювачів

З моменту набрання чинності Регламентом (ЄС) 2024/1183 від 11 квітня 2024 року — зазвичай називаним eIDAS 2 — поставлювачі служб довіри (PSC), які працюють в Європейському союзі, стикаються з глибоко переробленою нормативною базою. Переглід первинного Регламенту eIDAS 2014 року не обмежується розширенням сфери визнаних служб: він суттєво посилює умови акредитації, вводить нові рівні гарантій та посилює вимоги до нагляду органів контролю держав-членів. Для будь-якого суб'єкта, який бажає пропонувати послуги кваліфікованої (QES) або розширеної (AdES) електронної підпису на європейському ринку, розуміння як отримати сертифікацію eIDAS 2 для поставлювача підпису більше не варіант — це стратегічна необхідність.

Цей виклад дає вичерпний огляд шляху сертифікації: застосовуваний законодавчий акт, технічні стандарти, які необхідно дотримуватися, роль органів з оцінки відповідності (CAB), реалістичні терміни та операційні моменти обережності.

---

Новий нормативний ландшафт eIDAS 2: що змінилось

Від Регламенту 910/2014 до Регламенту 2024/1183: основні зміни

Первинний Регламент eIDAS (№ 910/2014) поклав основу для єдиного цифрового ринку довіри в Європі. Він визначав три рівні підпису — простий, розширений та кваліфікований — і вимагав від кваліфікованих поставлювачів бути включеними до національних списків довіри (TSL, Trust Service Lists). eIDAS 2 зберігає цю архітектуру, але збагачує її на кількох структурних моментах:

• Розширення кваліфікованих служб: кваліфіковане електронне архівування, електронні сертифікати атрибутів (AEA), дистанційне управління пристроями для створення кваліфікованого підпису (QSCD). Ці нові служби тепер підлягають тій же процедурі акредитації, що й кваліфікований підпис.
• Європейський гаманець цифрової ідентичності (EUDIW): поставлювачі, які хочуть взаємодіяти з майбутнім цифровим гаманцем, повинні продемонструвати свою відповідність технічним специфікаціям, опублікованим Комісією (ARF — Architecture and Reference Framework, v1.4, 2024).
• Посилення нагляду: національні органи нагляду (у Франції — ANSSI) мають посилені повноваження розслідування та видання розпоряджень. Кваліфіковані PSC можуть бути предметом несподіваних аудитів.
• Скорочені терміни повідомлення: будь-який значний інцидент безпеки повинен бути повідомлений компетентному органу в течение 24 годин (порівняно з 72 годинами в попередній версії для певних інцидентів).

Для загального огляду Регламенту, посібник eIDAS 2.0 від Certyneo пропонує педагогічне резюме всіх цих змін.

Рівні гарантій та їх наслідки для сертифікації

Розрізнення між розширеним та кваліфікованим електронним підписом залишається поворотною точкою системи. Тільки QES користується презумпцією цілісності та імпутабельності, еквівалентною рукописному підпису (ст. 25 Регламенту eIDAS 2). Ця презумпція безпосередньо залежить від сертифікації поставлювача.

| Рівень | Доказова сила | Вимога поставлювача | |---|---|---| | Простий (SES) | Обмежена | Немає | | Розширений (AdES) | Значна | Найкращі практики + стандарти ETSI | | Кваліфікований (QES) | Максимальна (презумпція права) | Обов'язкова сертифікація eIDAS 2 |

---

Процес сертифікації eIDAS 2 крок за кроком

Етап 1 — Організаційні та технічні передумови

Перш ніж формально розпочати процес сертифікації, поставлювач повинен провести аудит своєї зрілості за трьома напрямками:

1. Відповідність стандартам ETSI Стандарти серії EN 319 складають незамінну технічну основу. Основні з них:

• ETSI EN 319 401: загальні вимоги для поставлювачів служб довіри
• ETSI EN 319 411-1 та 411-2: політики та вимоги для органів сертифікації, які видають сертифікати (профілі PTC-QC для кваліфікованих сертифікатів)
• ETSI EN 319 421: політика та вимоги для поставлювачів служб позначення часу
• ETSI EN 319 132: формати підпису XAdES (XML) та пов'язані серії CAdES (CMS) та PAdES (PDF)

Відповідність цим стандартам не є факультативною для кваліфікованих поставлювачів: вона явно вимагається виконавчими актами Європейської комісії.

2. Безпека інформаційних систем QSCD (пристрої для створення кваліфікованого підпису) повинні бути сертифіковані відповідно до Common Criteria (CC) EAL4+ або еквіваленту. Для рішень дистанційного підпису — переважна модель SaaS — вимоги також охоплюють модулі HSM (Hardware Security Module) та процедури управління криптографічними ключами (відповідність FIPS 140-2 рівня 3 мінімум).

3. Політика безпеки (PSSI) та управління ризиками Досьє сертифікації вимагає формалізованої PSSI, узгодженої з ISO/IEC 27001 (сертифікація якої настійно рекомендується і іноді вимагається CAB) та інтегрує вимоги NIS2 для суб'єктів, класифікованих як «важливі» або «суттєві».

Етап 2 — Вибір та залучення органу з оцінки відповідності (CAB)

У Франції органи з оцінки відповідності, акредитовані COFRAC (Французький комітет акредитації) для оцінки поставлювачів служб довіри, численні обмежено. Наприклад, LSTI (Laboratoire de Sécurité des Technologies de l'Information) та Bureau Veritas Certification входять до числа визнаних операторів. На європейському рівні кожна держава-член публікує список своїх сповіщених CAB.

Роль CAB полягає у проведенні аудиту відповідності у два етапи:

1. Перевірка документів (Етап 1): розгляд політик, процедур, Декларації практик сертифікації (DPC / CPS) та технічних доказів.
2. Аудит на місці (Етап 2): перевірка операційних контролів, тести на проникнення, інтерв'ю з командами.

Загальна тривалість аудиту CAB зазвичай становить 4-8 тижнів залежно від попередньої зрілості кандидата.

Етап 3 — Розгляд національним органом нагляду

У Франції це ANSSI (Національне агентство безпеки інформаційних систем), яке розглядає заявки на включення до національного списку довіри (TSL FR). На основі звіту аудиту CAB ANSSI проводить свій власний аналіз і може запитати додаткову інформацію або коригуючі дії.

Нормативний строк розгляду становить 3 місяці від дати отримання повної досьє (ст. 17 Регламенту eIDAS 2). На практиці фактичні строки часто довші, якщо початкова досьє неповна.

Після включення до національного TSL поставлювач автоматично реєструється в EUTL (EU Trusted List), опублікованій Європейською комісією, що надає йому негайне трансордонне визнання в усіх 27 державах-членах.

Етап 4 — Збереження кваліфікації та поновлення

Сертифікація eIDAS 2 не є остаточною. Кваліфіковані поставлювачі підлягають:

• Річному аудиту нагляду, проведеному CAB
• Повному аудиту поновлення кожні 24 місяці (скорочений цикл у порівнянні з попередньою практикою)
• Несподіваним перевіркам, можливо, на ініціативу ANSSI

Будь-яка суттєва зміна інфраструктури (зміна HSM, розвиток PKI, нова кваліфікована служба) спричиняє процедуру попередньої нотифікації і може вимагати часткового аудиту.

---

Витрати, терміни та фактори ризику: що повинні передбачити IT-директори

Бюджет та людські ресурси

Вартість першої сертифікації eIDAS 2 є значною. Статті видатків включають:

• Аудит CAB: від 40 000 € до 120 000 € залежно від складності сфери охоплення
• Технічна відповідність (HSM, PKI, QSCD, сертифіковані CC): від 80 000 € до декількох сотень тисяч євро для власної інфраструктури
• Сертифікація ISO 27001 (рекомендується як передумова): від 15 000 до 50 000 € залежно від розміру
• Витрати на юридичні консультації та розроблення DPC: 10 000 до 30 000 €
• Внутрішні витрати: мобілізація спеціалізованої команди (CISO, DPO, відповідальний за відповідність) протягом 12-18 місяців

Підсумовуючи всі ці статті, повна сертифікація являє собою загальні інвестиції близько 200 000 до 500 000 € для поставлювача середнього розміру, крім поточних витрат на утримання.

Операційні фактори ризику

Найчастіші причини невдачі або затримки в процедурах сертифікації:

1. Недостатньо детальна DPC: Декларація практик сертифікації повинна документувати кожен контроль з деталізацією, яку іноді недооцінюють.
2. Пробіли в управлінні життєвим циклом ключів: скасування, архівування, знищення приватних ключів.
3. Недостатня управління інцидентами: відсутність SIEM, протестованих процедур керування кризою, навчальних матеріалів.
4. Недооцінка NIS2: з жовтня 2024 року кваліфіковані PSC автоматично класифікуються як «важливі» суб'єкти відповідно до Директиви NIS2 з додатковими зобов'язаннями щодо повідомлення та управління ризиками.

Для компаній, які бажають делегувати ці обов'язки вже сертифікованому поставлювачу замість побудови власної інфраструктури, порівняння рішень електронного підпису, доступне на Certyneo, допомагає об'єктивізувати цей вибір "будувати vs купувати".

---

eIDAS 2 та електронний підпис на підприємстві: питання переходу

Для використовуючих підприємств — на відміну від поставлювачів — сертифікація eIDAS 2 їх постачальника SaaS електронного підпису тепер є неминучим критерієм вибору. Включення в конкурсні пропозиції пункту, що вимагає присутності на національному TSL, стало стандартною практикою в регульованих секторах (фінанси, охорона здоров'я, нерухомість).

Електронний підпис на підприємстві вимагає чітко розрізняти випадки використання, які вимагають QES — акти частного права з високою ставкою, дорученості, електронні нотаріальні акти — від тих, де адекватна AdES. Це картування варіантів використання безпосередньо впливає на рівень послуг, який контрактно вимагається від поставлювача.

Організації, які мігрують зі існуючого рішення на вже сертифікований поставлювача eIDAS 2, повинні також передбачити портативність архівів доказів. Посібник щодо переходу з DocuSign або YouSign на Certyneo деталізує найкращі практики для збереження доказової сили документів, які вже були підписані під час переходу.

Законодавча база, застосовна до сертифікації eIDAS 2

Засадничі тексти

Сертифікація поставлювачів служб довіри спирається на щільний нормативний стос, який необхідно повністю збагнути:

Регламент (ЄС) 2024/1183 від 11 квітня 2024 року (eIDAS 2): текст-еталон, який скасовує та замінює відповідні положення Регламенту 910/2014. Він визначає умови отримання та збереження статусу кваліфікованого поставлювача служб, зобов'язання національного нагляду та вимоги щодо нових служб (EUDIW, AEA).

Регламент (ЄС) № 910/2014 (eIDAS 1): все ще частково застосовується для положень, які не змінено; виконавчі та делеговані акти, прийняті відповідно до цього Регламенту, залишаються чинними до їх формального перегляду.

Цивільний кодекс Франції, статті 1366 та 1367: стаття 1366 встановлює принцип еквівалентності електронного підпису рукописному за умови надійності; стаття 1367 уточнює, що надійність презумується до виявлення зворотного при використанні кваліфікованого підпису. Ці національні положення безпосередньо узгоджуються з презумпцією закону ст. 25 eIDAS 2.

Директива (ЄС) 2022/2555 (NIS2): трансписана у французьке право Законом від 15 жовтня 2024 року, вона автоматично класифікує постачальників служб довіри серед важливих суб'єктів. Обов'язки: повідомлення ANSSI в течение 72 годин про будь-який значний інцидент, запровадження формалізованого управління кіберризиками, періодичний аудит безпеки.

Регламент (ЄС) 2016/679 (GDPR): постачальники служб електронного підпису обробляють чутливі персональні дані (особистість підписантів, журнали аудиту). Дотримання принципів мінімізації, обмеження збереження та цілісності вимагає конкретного аналізу впливу (AIPD). Правова основа обробки повинна бути задокументована для кожної служби.

Технічні стандарти з нормативною цінністю

Виконавчі акти Європейської комісії (зокрема Рішення про виконання (ЄС) 2015/1506 та його переглади) позначають стандарти ETSI як презумпцію відповідності:

• ETSI EN 319 401: загальні вимоги TSP
• ETSI EN 319 411-1 та 411-2: політики сертифікації
• ETSI EN 319 421: кваліфіковане позначення часу
• ETSI EN 319 132 / 122 / 102: формати AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: служби дистанційного підпису

Юридичні ризики у разі невідповідності

Шахрайське або недбале використання статусу кваліфікованого поставлювача служб виставляє на ризик адміністративні штрафи, винесені ANSSI (призупинення, видалення зі списку довіри) та кримінальне переслідування (ст. 226-17 Кримінального кодексу за недостатність безпеки персональних даних). На цивільному рівні оспорювання доказової сили підписів, видані під час періоду невідповідності, може виставити на ризик договірну відповідальність поставлювача перед його клієнтами.

Сценарії використання: сертифікація eIDAS 2 на практиці

Сценарій 1 — Редактор SaaS середнього розміру, спрямований на кваліфікацію QES

Компанія, спеціалізована на дематеріалізації документів, найманням близько сотні працівників та управлінням кількома мільйонами операцій підпису на рік для клієнтів у банківському та страховому секторах, вирішує звернутися за кваліфікацією eIDAS 2 для своєї служби електронного підпису. До цього момеду компанія пропонувала розширений підпис на основі сертифікатів (AdES), достатній для більшості контрактів клієнтів, але недостатній для актів, що вимагають максимальної доказової сили (мандати SEPA, нотаріальні угоди про доказ).

Після трьохмісячного внутрішнього аудиту, який виявив близько п'ятнадцяти основних розбіжностей порівняно з вимогами ETSI EN 319 411-2, компанія розпочинає 14-місячну програму відповідності. Основні проекти стосуються заміни існуючих HSM на модулі, сертифіковані FIPS 140-2 рівня 3, написання 180-сторінкової DPC та отримання сертифікації ISO 27001 перед аудитом CAB. Загальні інвестиції сягають 340 000 €. По завершенню процесу включення до національного TSL дозволяє компанії отримати доступ до конкурсних пропозицій, від яких вона була систематично виключена, що являє комерційний потенціал, оцінений у 20% додаткових доходів.

Сценарій 2 — Лікарняна група, інтегруюча кваліфікований підпис для медико-юридичних актів

Лікарняна група приблизно з 1 200 ліжок бажає дематеріалізувати свої процеси інформованої згоди, делегування медичних повноважень та контрактів клінічних досліджень. Ці документи належать до категорії актів, для яких QES вимагається або настійно рекомендується референціалами HAS та правовим рамкам даних здоров'я (ст. L. 1110-4 CSP).

Замість сертифікації внутрішної інфраструктури — варіант, розцінений як занадто дорогий та поза основною діяльністю — лікарняна група обирає інтеграцію третьої сторони, вже включеної до TSL. IT-відділ проводить аудит відповідності постачальника на основі списку перевірки ETSI EN 319 401 та перевіряє фактичну присутність на EUTL перед будь-якою контрактацією. Розгортання, здійснене за 4 місяці, зменшує на 65% час збору підписів на досьє клінічних досліджень та усуває ризик юридичного оспорювання через попередній нецільовий допуск простих підписів для чутливих актів.

Сценарій 3 — Юридична фірма з правами в комерції, забезпечуючи безпеку своїх приватних актів

Юридична фірма з прав бізнесу, близько тридцяти партнерів, розглядаючи щорічно близько 400 операцій злиття-поглинання та передачу комерційних фондів, намагається надійніше підписати складні свої приватні акти. Одиниця вартості операцій, які розглядаються, часто перевищує мільйон євро, і будь-яка форма невдачі може в обличчя змінити професійну відповідальність фірми.

Після аналізу команда IT та керівник бізнесу дійшли висновку про контрактну мінімальну вимогу QES, видану сертифікованим поставлювачем eIDAS 2, для будь-якого акту, вартість якого перевищує 100 000 €. Критерій вибору постачальника вибірково включає перевірку включення до національного TSL та доступності недавнього сертифікату відповідності ETSI (менше 12 місяців). Цей кадр дозволяє фірмі зменшити на понад 80% запити на сторонній аудит дійсності підписів при подальших спорах, згідно з відзивів, спостережуваних у порівнюваних структурах у цьому секторі.

Висновок

Отримання сертифікації eIDAS 2 як поставлювачу служб електронного підпису — це вимогливий, дорогий та тривалий процес — але неминучий для будь-якого суб'єкта, який бажає запропонувати своїм клієнтам максимальні юридичні гарантії на європейському ринку. Між відповідністю стандартам ETSI, проходженням аудиту CAB, розглядом ANSSI та збереженням кваліфікації в часі, цей процес мобілізує значні ресурси протягом 12-24 місяців.

Для компаній-користувачів хороша новина в тому, що не потрібно будувати цю інфраструктуру внутрішньо: вибір вже сертифікованого постачальника SaaS eIDAS 2 і включеного до національного списку довіри дозволяє негайно скористатися презумпцією цілісності, прив'язаною до QES, без несення витрат на сертифікацію.

Certyneo — надійний сертифікований постачальник, розроблений для B2B компаній, які вимагають юридичної суворості та простоти використання. Дізнайтеся про наші ціни та почніть безплатне випробування вже сьогодні.