Кваліфікований електронний сертифікат для підприємств: путівник на 2026 рік

Чому кваліфікований електронний сертифікат став обов'язковим для підприємств

У час, коли дематеріалізація договірних процесів прискорюється у всіх галузях, питання кваліфікованого електронного сертифіката постає як стратегічне завдання для юридичних відділів, ITD та генеральних директорів. За даними щорічного звіту ANSSI 2024, понад 78% французьких малих та середніх підприємств, які запровадили кваліфіковану електронну підпис, скоротили строки укладення договорів на понад 60%. Проте багато хто досі плутає простий, розширений і кваліфікований підпис — ризикуючи піддати свої правові акти оскарженню. Ця стаття проводить вас крок за кроком, щоб розуміти, що таке кваліфікований електронний сертифікат, як його отримати відповідно до нормативної бази RGS та eIDAS, та як ефективно його впровадити в вашій організації.

Що таке кваліфікований електронний сертифікат?

Електронний сертифікат — це цифровий файл, виданий Органом сертифікації (ОС), який пов'язує ідентичність фізичної або юридичної особи з публічним криптографічним ключем. Він становить основну частину, яка дозволяє третій стороні перевірити автентичність та цілісність цифрового підпису.

Термін «кваліфікований» посилається на точне визначення з європейського регламенту eIDAS (№910/2014, стаття 28): сертифікат повинен бути виданий Кваліфікованим Поставником Послуг Довіри (КППД), зареєстрованим у національному списку довіри (у Франції, опублікованому ANSSI). Крім того, він повинен відповідати технічним вимогам стандарту ETSI EN 319 411-2, який регулює політики та практики сертифікації.

На практиці кваліфікований сертифікат гарантує:

• Перевірену ідентичність підписувача (документальна перевірка очно або еквівалентним схвальним способом);
• Цілісність підписаного документа (будь-яка подальша модифікація виявляється);
• Невідречення (підписувач не може заперечувати, що поставив свій підпис).

Різниця між простим, розширеним і кваліфікованим підписом

Регламент eIDAS розрізняє три рівні електронного підпису, кожен з яких пов'язаний з рівнем сертифіката:

| Рівень | Необхідний сертифікат | Доказова сила | Типове використання | |---|---|---|---| | Простий | Не потрібен | Слаба | Звичайні замовлення | | Розширений | Розширений сертифікат (КППД) | Середня | Комерційні контракти B2B | | Кваліфікований | Кваліфікований сертифікат (кваліфікований КППД) | Максимальна, еквівалент рукописного | Нотаріальні акти, державні закупівлі, чутливі кадрові питання |

Для кваліфікованого підпису — єдиного, який користується презумпцією правової еквівалентності рукописному підпису (ст. 1367 Цивільного кодексу) — кваліфікований сертифікат є обов'язковим. Для дослідження різниці рівнів дивіться нашу повну інформацію про електронний підпис.

---

Нормативна база RGS: французькі особливості, які потрібно знати

У Франції Загальний довідник безпеки (RGS), встановлений decreto n°2010-112 і регулярно оновлюваний ANSSI, визначає вимоги безпеки, що застосовуються до інформаційних систем урядових органів. Для компаній, які укладають контракти з державними органами (державні закупівлі, електронні процедури), дотримання RGS часто є договірною або нормативною вимогою.

Рівні RGS, застосовані до сертифікатів

RGS визначає три зірки кваліфікації для сертифікатів:

• RGS* (одна зірка): базовий рівень, придатний для типових використань низької чутливості;
• RGS (дві зірки)**: проміжний рівень, необхідний для більшості адміністративних електронних процедур;
• RGS (три зірки)*: високий рівень для актів з суттєвим юридичним або фінансовим ризиком.

Для дематеріалізованих державних закупівель через профіль покупця decreto n°2016-360 (статті 39 та 40) в цілому вимагає підпис мінімум RGS рівня, що передбачає сертифікат еквівалентної кваліфікації.

Взаємозв'язок RGS та eIDAS

З моменту застосування регламенту eIDAS обидві нормативні бази співіснують. Кваліфікований сертифікат у сенсі eIDAS вважається таким, що задовольняє вимоги RGS** у переважній більшості випадків. ANSSI опублікувала таблиці кореспонденцій, які дозволяють переконатися у сумісності. Тому для компаній, які працюють одночасно з приватними та державними партнерами, рекомендується отримати кваліфікований сертифікат eIDAS від КППД, зареєстрованого в списку довіри Франції — це одночасно охоплює обидві нормативні бази.

Для глибшого вивчення європейського регламенту ознайомтеся з нашим путівником eIDAS 2.0, який деталізує основні зміни та їх вплив на французькі підприємства.

---

Як отримати кваліфікований електронний сертифікат: покроковий процес

Отримання кваліфікованого електронного сертифіката — не простий процес: він передбачає строгу перевірку ідентичності претендента і, для юридичної особи, його законної уповноваженості. Ось основні етапи.

Етап 1: Визначити правильного поставника послуг довіри

У Франції уповноважені КППД на видачу кваліфікованих сертифікатів зареєстровані в Списку статусу послуг довіри (TSL), опублікованому ANSSI (доступно на порталі esignature.gouv.fr). Серед гравців у цьому списку — органи сертифікації такі як CertEurope, Certinomis (філія La Poste), Keynectis та інші європейські поставники, визнані відповідно до принципу взаємного визнання eIDAS.

Критерії вибору для вивчення:

• Фактична присутність у французькому та/або європейському TSL;
• Формат запропонованого сертифіката (програмне забезпечення, на карті-ключі, хмарний HSM);
• Сумісність з вашою існуючою IT-інфраструктурою;
• Ціноутворення та період дійсності (зазвичай 1-3 роки);
• Рівень підтримки та час реєстрації.

Етап 2: Складання документів для реєстрації

Для компанії запит на кваліфікований сертифікат потребує поданої документації, яка підтверджує ідентичність носія (фізична особа) та його здатність представляти юридичну особу. Зазвичай потрібні такі документи:

• Офіційний документ, що посвідчує особистість носія (паспорт, посвідчення особи);
• Витяг з реєстру менше 3 місяців давності (або еквівалент для асоціацій, державних установ);
• Доручення якщо носій не є законним представником;
• Форма запиту, специфічна для вибраного КППД.

Перевірку ідентичності повинен проводити очно Оператор реєстрації (ОР), уповноважений КППД, або затвердженим способом віддаленої перевірки (відеоідентифікація відповідно до стандарту ETSI TS 119 461).

Етап 3: Видача та активація сертифіката

Залежно від обраного формату, сертифікат виділяється:

• На пристрій створення кваліфікованого підпису (ПКВП): криптографічний USB-ключ або сертифікована карта-ключ Common Criteria EAL 4+;
• Через послугу віддаленого кваліфікованого електронного підпису (Remote Qualified Electronic Signature — RQES), керовану КППД, де приватний ключ розміщується в сертифікованому HSM (Hardware Security Module) відповідно до стандарту ETSI EN 419 241.

Розгортання послуги RQES сьогодні найбільше використовується підприємствами, оскільки уникає фізичного управління криптографічними носіями при збереженні кваліфікованої відповідності. Порівняйте рішення електронного підпису, щоб визначити модель, найбільш відповідну вашій ситуації.

Етап 4: Інтеграція у ваші бізнес-процеси

Після отримання сертифіката його інтеграція у документообіг компанії зазвичай проводиться через SaaS-платформу електронного підпису. Вона обов'язково повинна бути сумісною зі стандартами ETSI (XAdES, PAdES, CAdES), щоб гарантувати взаємозв'язок і довговічність цифрових доказів. Наша стаття про електронний підпис у компаніях допоможе вам структурувати це розгортання.

---

Вартість, період дійсності та поновлення: що мають передбачити компанії

Цінові діапазони на 2026 рік

Вартість кваліфікованих сертифікатів значно варіюється залежно від формату та поставника:

• Сертифікат на фізичному носії (USB/карта): від 80 € до 250 € без ПДВ на носій на рік;
• Кваліфікований сертифікат у хмарі (RQES): від 40 € до 150 € без ПДВ на носій на рік, залежно від обсягів;
• Корпоративні пакети: значні знижки застосовуються при 10 і більше носіїв, що можуть досягати 30-40% від одиничної ціни.

Ці витрати варто розглядати у контексті економії, отриманої: виключення друку, портова збір, опрацювання поштових затримок та судові розбіжності через оскаржені підписи.

Період дійсності та поновлення

Період дійсності кваліфікованого сертифіката зазвичай встановлюється на 1, 2 або 3 роки залежно від обраного пропозиції. По закінченню документи, підписані раніше, залишаються дійсними (за умови збереження їх цілісності через кваліфіковану послугу часової позначки), проте нові акти не можуть бути підписані сплившим сертифікатом. Тому необхідно встановити процес моніторингу та передчасного поновлення — в ідеалі 60 днів до строку закінчення.

Скасування та управління інцидентами

У разі компрометації приватного ключа (втрати, крадіжки носія, підозри розголошення), сертифікат повинен бути негайно скасований перед КППД. Той публікує скасування у своєму Списку скасованих сертифікатів (CRL) або через протокол OCSP, робячи будь-який подальший підпис з цим сертифікатом недійсним. Внутрішня політика безпеки повинна тому передбачити спеціальний пункт контакту та час сповіщення менше 24 годин.

---

Найкращі практики для успішного розгортання у компанії

Керування та внутрішні ролі

Успішне розгортання спирається на чітке керування. Рекомендується призначити:

• Відповідального за PKI (Public Key Infrastructure) з IT-сторони, відповідального за зв'язок з КППД та моніторинг поновлень;
• Юридичного консультанта, який валідує випадки використання, що потребують кваліфікованого підпису (проти розширеного);
• Делегованих адміністраторів по відділам для операційного управління носіями.

Навчання та управління змінами

Прийняття кваліфікованого сертифіката недостатньо: colaboradores повинні розуміти, як використовувати свій сертифікат, коли його активізувати та як реагувати в інцидентах. Короткий навчальний план (1-2 години) та документовані процедури значно зменшують помилки використання та запити підтримки.

Аудит та відстеження

Для виконання вимог доказу зберігайте журнал аудиту з часовими позначками кожного реалізованого підпису: ідентичність підписувача, відбиток документа, дата/час, підтверджені ідентифікатором сертифіката. Ці дані становлять основу доказового ланцюга у разі спірки. Стандарт ETSI EN 319 132 (XAdES) передбачає формати підпису, які нативно включають цю інформацію.

Правова база, застосована до кваліфікованих електронних сертифікатів

Цивільний кодекс та доказова сила

В французькому праві стаття 1366 Цивільного кодексу встановлює принцип еквівалентності між електронним та паперовим писемно, за умови, що «ідентичність особи, від якої воно походить, належним чином забезпечена і воно встановлене та збережене в умовах, що гарантують його цілісність». Стаття 1367 абзац 2 уточнює, що кваліфікований електронний підпис користується презумпцією надійності: саме на сторону, яка оскаржує підпис, лежить тягар доказування протилежного, змінюючи навантаження доказу на користь підписувача.

Регламент eIDAS n°910/2014

Європейський регламент eIDAS (n°910/2014), безпосередньо застосовний у всіх державах-членах з 1 липня 2016 року, становить наднаціональну основу. Його стаття 25(2) зазначає, що «кваліфікований електронний підпис має правовий ефект, еквівалентний рукописному підпису». Статті 28 та 29 визначають вимоги до кваліфікованих сертифікатів та пристроїв створення кваліфікованого підпису (ПКВП). Додаток I містить обов'язкові реквізити кваліфікованого сертифіката (OID політики, ідентичність КППД, публічний ключ, дати дійсності тощо).

Еволюція eIDAS 2.0

Регламент eIDAS 2.0 (регламент ЄС 2024/1183, набув чинності 20 травня 2024) запроваджує європейський гаманець цифрової ідентичності (EUDIW) та посилює вимоги доступності до кваліфікованих послуг довіри. Компанії повинні передбачити інтеграцію цих нових механізмів ідентифікації до 2026-2027 років.

Застосовні стандарти ETSI

• ETSI EN 319 411-2: політика та практика для КППД, які видають кваліфіковані сертифікати;
• ETSI EN 319 132 (XAdES) та ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES): формати розширеного та кваліфікованого електронного підпису;
• ETSI EN 419 241: вимоги до серверів підпису (RQES).

GDPR та захист даних

Обробка персональних даних під час реєстрації (перевірка ідентичності, збір документів) підлягає GDPR n°2016/679. КППД та клієнтська компанія є спільно відповідальними за обробку або в стосунках відповідальної сторони/підрядника залежно від конфігурації. Угода про обробку даних (DPA), сумісна зі статтею 28 GDPR, повинна бути підписана. Дані реєстрації повинні зберігатися протягом терміну дійсності сертифіката плюс строк позовної давності, що застосовується (5 років у договірних справах).

Директива NIS2 та безпека інфраструктури

Директива NIS2 (2022/2555/ЄС), трансльована до французького права законом n°2024-449, зобов'язує критично важливі та важливі організації впроваджувати заходи управління ризиками, включаючи безпеку ланцюгів поставок цифрових систем. Прибігнення до кваліфікованого КППД, зареєстрованого в національному TSL, становить визнану найкращу практику для часткового виконання цих вимог.

Сценарії використання: кваліфікований сертифікат на практиці

Сценарій 1: Адвокатське бюро, яке керує актами з високою доказовою силою

Адвокатське агентство, що займається корпоративними питаннями, з понад 20 партнерами та співробітниками повинно регулярно підписувати акти передачі часток, протоколи врегулювання та мандати ad litem. До цього кожен акт потребував друку, рукописного підпису, сканування та поштової відправки — в середньому затримка 4-7 робочих днів за цикл підпису. Після розгортання хмарних кваліфікованих сертифікатів (RQES) для кожного партнера, цей період зведено менше ніж на 4 години для актів без участі нотаріуса. Агентство оцінює зменшення адміністративного часу на управління документами на 65%, і за перші 18 місяців не записало жодного оскарження підпису. Рішення електронного підпису для адвокатських бюро, запропоновані Certyneo, нативно інтегруються у цей тип робочого процесу.

Сценарій 2: Невелика промислова компанія, яка контрактує з державними замовниками

Невелика компанія в металургійному секторі, де працює близько 120 осіб, регулярно подає заявки на дематеріалізовані державні тендери на профілях покупців. Вона зобов'язана електронно підписувати свої пропозиції та документи про зобов'язання сертифікатом мінімум рівня RGS**. Після отримання двох кваліфікованих сертифікатів (для генерального директора та одного із директорів з необхідними правами), компанія змогла подати пропозиції в установлені строки без поїздок та поштових відправок. За рік це означає близько 35 дійс державних тендерів, тобто економія оцінюється приблизно у 15 днів роботи на рік тільки на управління документацією. Відповідність eIDAS сертифіката також забезпечує визнання підписів перед замовниками з Німеччини та Бельгії, розширюючи її комерційний периметр. Використовуйте наш калькулятор ROI, щоб оцінити потенційні прибутки у вашому контексті.

Сценарій 3: Медична клініка, що забезпечує безпеку кадрових акти та контрактів з постачальниками

Медичне об'єднання приблизно на 1200 ліжок, що групує кілька установ, стикається з річним обсягом близько 3000 контрактів про працю, змін та зобов'язань перед постачальниками. Управління людських ресурсів та управління закупівель разом розгорнули рішення кваліфікованого підпису з сертифікатами, виданими уповноважених директорам. Паралельно, документи для підпису агентами обробляються через робочий процес розширеного підпису, залишаючи кваліфіковану підпис для директивних актів з високою юридичною цінністю. Результат: середній термін завершення контракту про працю змінився з 12 днів на 2,5 дні, а коефіцієнт неповних дійс (відсутній підпис, неправильна версія, підписана) зменшився на 78%. Рішення електронного підпису в охоронці здоров'я Certyneo інтегрують специфічні реглементарні вимоги лікувально-профілактичного закладу.

Заключення

Отримання кваліфікованого електронного сертифіката — це сьогодні обов'язковий крок для будь-якої компанії, яка прагне безпечно захистити свої цифрові акти з юридичної точки зору, відповідати вимогам державних закупівель та вписуватися в нормативну базу eIDAS. Далеко не обмеження, це є важелем конкурентоспроможності: скорочені терміни підпису, недоторканна доказова база та визнання в усьому Європейському союзі.

Ключові етапи для запам'ятовування: виберіть КППД, зареєстровану в списку довіри ANSSI, складіть ретельний документ для реєстрації, виберіть хмарний формат (RQES) для полегшення розгортання та інтегруйте сертифікат у платформу, сумісну зі стандартами ETSI.

Certyneo супроводжує вас на кожному етапі: від вибору правильного рівня підпису до інтеграції у ваші бізнес-процеси. Запросіть безкоштовну демонстрацію та дізнайтеся, як розгорнути кваліфіковану підпис менше ніж за 48 годин у вашій організації.