Квалібіковані постачальники eIDAS: офіційний список 2026

Чому статус «кваліфікований» eIDAS є вирішальним для вашої компанії?

З моменту вступлення в силу Регламенту eIDAS (№ 910/2014) європейський ринок електронного підпису глибоко реструктуризував себе навколо трирівневої ієрархії: простого електронного підпису (SES), просунутого електронного підпису (AES) та кваліфікованого електронного підпису (QES). Останній — єдиний, який користується законною презумпцією еквівалентності рукописному підпису у всіх державах-членах Європейського Союзу.

Щоб компанія могла пропонувати кваліфіковані підписи, вона мусить обов'язково пройти аудит та бути зареєстрована у списку довіри (Trust List) своєї держави-члена. У Франції це Національне агентство безпеки інформаційних систем (ANSSI), яке веде цей офіційний реєстр і переділяється у централізованому європейському списку, керованому Європейською комісією.

Розуміння цієї архітектури є основоположним перед підписанням будь-якого чутливого комерційного контракту. Для глибшого вивчення нормативної бази наш повний посібник щодо Регламенту eIDAS 2.0 докладно описує всі зобов'язання та зміни, введені переглянутим Регламентом eIDAS 2.0 (Регламент ЄС 2024/1183).

---

Як сертифікуються постачальники кваліфікованих послуг довіри?

Шлях до статусу Кваліфікованого постачальника послуг довіри (PSCQ) вимогливий. Він передбачає аудит, проведений акредитованим органом оцінки відповідності (CAB, Conformity Assessment Body) відповідно до стандартів ETSI EN 319 401 (загальні вимоги) та ETSI EN 319 411-2 для кваліфікованих сертифікатів.

Етапи кваліфікації ANSSI

1. Подання документів для кваліфікації: постачальник подає технічну, безпекову та організаційну документацію до ANSSI.
2. Аудит незалежного CAB: незалежна організація — така як Bureau Veritas, LSTI або Apave Certification — перевіряє відповідність на місці та за документами.
3. Рішення про кваліфікацію: ANSSI ухвалює кваліфікацію та реєструє постачальника у французькому списку довіри (TL-FR).
4. Періодичне поновлення: кваліфікація переоцінюється, як правило, кожні два роки, щоб гарантувати виконання вимог.

Що конкретно перевіряє аудит?

Аудитор особливо перевіряє:

• Фізичну безпеку центрів даних, які містять криптографічні ключі (сертифіковані модулі HSM CC EAL 4+ або FIPS 140-2 Level 3 мінімум);
• Політики сертифікації (CP) та заяви про практику сертифікації (CPS), опубліковані постачальником;
• Процедури верифікації ідентичності підписантів (очно або дистанційна верифікація ідентичності, що відповідає стандарту EN 419 241-1);
• Управління відкликанням та доступність сервісів OCSP/CRL.

Ці критерії пояснюють, чому лише кілька учасників досягають та утримують цей рівень сертифікації у Франції.

---

Квалібіковані постачальники eIDAS, зареєстровані у Франції у 2026 році

Офіційний список кваліфікованих постачальників можна переглянути будь-коли на офіційному порталі Європейської комісії (eidas.ec.europa.eu/efts), фільтруючи за «Франція» та послугою «QCertESig» (Кваліфікований сертифікат електронного підпису). Ось учасники, які були зареєстровані в реєстрі на момент написання цієї статті (червень 2026):

Французькі учасники, зареєстровані у списку довіри

| Постачальник | Тип кваліфікованої послуги | Особливість | |---|---|---| | Certigna (Dhimyotis) | Кваліфіковані сертифікати, кваліфікована позначка часу | Група La Poste, сертифікована eIDAS з 2016 року | | Certinomis | Кваліфіковані сертифікати | Дочірня компанія La Poste, зорієнтована на державний сектор | | ChamberSign France | Кваліфіковані сертифікати | Мережа ТПП, сильна позиція у малого та мікробізнесу | | Keynectis / DocuSign France | Кваліфіковані сертифікати | Придбана DocuSign, утримання ярлика ANSSI | | Universign (Tessi) | Кваліфіковані сертифікати, позначка часу | Піонер ринку, інтегрована в групу Tessi | | Entrust (ex-Datacard) | Кваліфіковані сертифікати | Міжнародний учасник, Trust List кількох держав-членів | | Oodrive Sign | Кваліфіковані сертифікати | Французький видавець, кваліфікований SecNumCloud |

> Попередження: цей список наданий в інформаційних цілях. Чинним є лише офіційний список довіри Європейської комісії. Завжди перевіряйте поточний статус на порталі ETSI перед будь-яким контрактним зобов'язанням.

Іноземні постачальники, визнані у Франції через європейський список довіри

Відповідно до принципу взаємного визнання, встановленого статтею 25 Регламенту eIDAS, кваліфікований підпис, виданий PSCQ, зареєстрованим у списку довіри іншої держави-члена, має такі ж юридичні наслідки у Франції. Серед часто використовуваних іноземних учасників:

• Namirial (Італія): сильна у дистанційному кваліфікованому підписі (QES remote signing);
• SwissSign (Швейцарія): увага, Швейцарія не є членом ЄС; визнання часткове;
• Qualified.one / Asseco Data Systems (Польща): європейський державний учасник, частий на трансмежних ринках.

Щоб порівняти ці рішення відповідно до ваших потреб, перегляньте наш порівняльний огляд рішень електронного підпису, у якому аналізуються критерії ціни, відповідності та інтеграції API.

---

Як вибрати правильного кваліфікованого постачальника eIDAS для вашої організації?

Реєстрація у списку довіри — необхідна, але недостатня умова. Вибір PSCQ повинен ґрунтуватися на кількох додаткових критеріях.

Технічні критерії та інтеграція

• REST API або SDK доступні: необхідне для автоматизації підпису у ваших бізнес-процесах (ERP, SIRH, CRM);
• Підтримувані формати підпису: PAdES для PDF, XAdES для XML, CAdES для бінарних файлів — усі стандартизовані ETSI EN 319 100;
• Доступність сервісу: SLA понад 99,9%, гарантовано контрактом, з планованим обслуговуванням поза робочим часом;
• Розміщення даних: віддавайте перевагу розміщенню у Франції або ЄС, переважно з сертифікацією SecNumCloud для чутливих даних.

Юридичні та нормативні критерії

• Переконайтеся, що постачальник надає актуальний звіт про кваліфікацію (менше 24 місяців);
• Вимагайте опубліковану політику сертифікації (CP), доступну публічно та перевірену;
• Переконайтеся, що загальні умови явно передбачають видачу кваліфікованих сертифікатів у розумінні Додатку I Регламенту eIDAS.

Операційні критерії та підтримка

• Процедура реєстрації підписантів: очна в агенції, відео-ідентифікація, що відповідає eIDAS, або NFC з електронного документа;
• Підтримка французькою мовою з контрактуальними часами відповіді;
• Навчання та документація, доступні для ваших юридичних та ІТ команд.

Якщо ваша організація управляє значними потоками HR-документів, наша сторінка, присвячена електронному підпису для HR-команд, описує конкретні сценарії використання (трудові договори, додатки, адаптація) та рекомендовані рівні підпису за типом документа.

---

eIDAS 2.0: які зміни для кваліфікованих постачальників у 2026 році?

Регламент eIDAS 2.0 (Регламент ЄС 2024/1183, поступово введений у дію з травня 2024) вносить кілька структурних змін, які безпосередньо впливають на PSCQ та їх клієнтів.

Європейський гаманець цифрової ідентичності (EUDI Wallet)

Стаття 6a переглянутого Регламенту зобов'язує держави-члени запропонувати до вересня 2026 року гаманець цифрової ідентичності (EUDI Wallet), визнаний у всьому ЄС. Для кваліфікованих постачальників це означає:

• Обов'язок приймати атрибути ідентичності з гаманця як доказ ідентичності при реєстрації підписантів;
• Появу нової кваліфікованої послуги: видача кваліфікованих засвідчень атрибутів (Qualified Electronic Attestation of Attributes, QEAA).

Нові кваліфіковані послуги та розширення обсягу

eIDAS 2.0 розширює список кваліфікованих послуг довіри, включаючи:

• Послуги кваліфікованого електронного архівування (QPDS, стаття 45f);
• Послуги управління пристроями для створення дистанційного підпису (QRCD).

Ці зміни представляють як виклик для адаптації (жорсткі терміни для існуючих постачальників), так і можливість диференціації для нових учасників, здатних швидко інтегрувати технічні специфікації, опубліковані ENISA та ETSI.

Для компаній, які планують міграцію з існуючої платформи на більш конформну рішення, наш посібник з міграції з DocuSign або YouSign на Certyneo представляє конкретні кроки та точки обережності щодо нормативно-правових актів.

Нормативно-правова база, що застосовується до кваліфікованих постачальників eIDAS

Регламент eIDAS та європейське право

Юридичною основою є Регламент (ЄС) № 910/2014 Європейського парламенту та Ради від 23 липня 2014 року про електронну ідентифікацію та послуги довіри для електронних транзакцій на внутрішньому ринку (так звана «Регламент eIDAS»), за винятком змін у Регламент (ЄС) 2024/1183 (eIDAS 2.0). Цей Регламент безпосередньо застосовується у всіх державах-членах без національної трансформації.

Його ключові положення для кваліфікованих постачальників:

• Стаття 17: зобов'язання кожної держави-члена призначити орган контролю (у Франції — ANSSI);
• Стаття 20: процедура нагляду, аудиту та реєстрації у списку довіри;
• Стаття 25: презумпція еквівалентності QES та рукописного підпису з гарантованою юридичною дією у всьому ЄС;
• Додаток I: вимоги до кваліфікованих сертифікатів електронного підпису;
• Додаток II: вимоги до пристроїв для створення кваліфікованого підпису (QSCD).

Французьке право

На внутрішньому рівні електронний підпис регулюється:

• Цивільний кодекс, статті 1366 та 1367: стаття 1366 визнає доказову силу електронного документа за умови гарантування ідентичності автора та цілісності документа. Стаття 1367 уточнює, що електронний підпис, що складається з надійного способу ідентифікації, користується презумпцією надійності, коли створюється відповідно до декрету про впровадження;
• Декрет № 2017-1416 від 28 вересня 2017: визначає умови, при яких кваліфікований електронний підпис презумується надійним у Франції, явно посилаючись на Регламент eIDAS;
• Ордонанс № 2005-674 від 16 червня 2005 про виконання деяких контрактних формальностей електронними засобами.

Захист персональних даних

Процеси реєстрації та підпису передбачають обробку персональних даних (дані ідентичності, біометрія для відео-ідентифікації). Кваліфікований постачальник підлягає Регламенту (ЄС) 2016/679 (GDPR) і повинен зокрема:

• Призначити DPO, якщо обробка в великих масштабах;
• Задокументувати обробку в реєстрі CNIL;
• Упорядкувати передачу за межі ЄС через відповідні гарантії (типові契約, рішення про адекватність).

Кібербезпека та стійкість

З жовтня 2024 року Директива NIS2 (2022/2555/ЄС) застосовується до кваліфікованих постачальників послуг довіри, класифікованих як основні об'єкти. Вони повинні впровадити заходи управління кіберризиками, повідомити ANSSI про значні інциденти протягом 24 годин та підлягати регулярним аудитам. Невідповідність може призвести до штрафів до 10 мільйонів євро або 2% від річного світового обороту.

Технічні еталонні стандарти

• ETSI EN 319 401: загальні вимоги до постачальників послуг довіри;
• ETSI EN 319 411-2: профіль політики для кваліфікованих сертифікатів;
• ETSI EN 319 132: формати підпису XAdES;
• ETSI EN 319 122: формати підпису CAdES;
• ETSI EN 319 162: формати підпису PAdES (PDF).

Сценарії використання: коли кваліфікований електронний підпис eIDAS необхідний?

Сценарій 1 — Адвокатська фірма, що управляє приватними актами з високою доказовою цінністю

Адвокатська фірма з кількома десятками колег щомісяця опрацьовує кілька десятків передач часток, протоколів угод та договорів про гарантії активів та пасивів (GAP). Ці акти передбачають суми часто понад кілька сотень тисяч євро і можуть бути оскаржені у суді.

До переходу на кваліфікованого постачальника eIDAS фірма використовувала рішення просунутого підпису (AES), що було достатньо для більшості звичайних актів. Після інциденту, коли противна сторона оскаржила автентичність підпису під час судового розбирательства, фірма вибрала QES для всіх актів з високими ставками. Результат: скорочення на 90% часу, витраченого на надання доказів підпису під час судових розпоряджень, завдяки безперечній законній презумпції, пов'язаній з QES. Додаткові витрати на один підпис (приблизно 2-5 € залежно від обсягів) були повністю поглинені зменшенням судових витрат.

Сценарій 2 — Середня промислова компанія, що управляє трансмежними договорами з постачальниками

Компанія промислового обладнання розташована у Франції, з постачальниками у Франції, Німеччині, Італії та Польщі, раніше мала розсилати свої договори поштою або організовувати очні зустрічі для підпису, що займало 10-21 робочий день на контракт.

Розгорнувши рішення, підключене до європейського PSCQ, зареєстрованого у списку довіри, компанія скоротила цикл підпису до менше ніж 48 годин у середньому. Взаємне визнання між державами-членами гарантує юридичну цінність без необхідності додаткової легалізації. На портфелі з 350 договорів з постачальниками щорічно оціночна економія адміністративних та логістичних витрат перевищує 40 000 € на рік згідно з дипазонами, які узгоджуються з дослідженнями, опублікованими ACFE та APQC.

Сценарій 3 — Лікувально-профілактичне закладення, що підлягає вимогам сектору охорони здоров'я

Медичне об'єднання з близько 1200 ліжок повинно електронно підписувати публічні закупівлі, угоди про клінічні дослідження та контракти практикуючих лікарів. Ці документи підлягають Кодексу публічних закупівель, який вимагає електронного підпису, відповідного RGS (Загальний посібник безпеки) рівня ** або, з дематеріалізації публічних закупівель, еквівалентного рівня eIDAS.

Спираючись на PSCQ, зареєстрований у французькому списку довіри, закладення гарантує відповідність статті R. 2132-7 Кодексу публічних закупівель, при цьому скорочуючи час підпису договорів з 15 днів до менше 72 годин. Інтеграція API з лікувально-інформаційною системою (SIH) дозволила автоматизувати надсилання та контроль документів, звільнивши близько 0,4 FTE на адміністративні завдання, пов'язані з контрактами.

Висновок

Вибір кваліфікованого постачальника eIDAS — це не просто закупівля програмного забезпечення: це стратегічне рішення, яке впливає на доказову цінність ваших актів, нормативну відповідність вашої організації та довіру ваших комерційних та інституціональних партнерів. У 2026 році, з поступовим введенням eIDAS 2.0 та новими зобов'язаннями NIS2, рівень вимог продовжує зростати.

Основні моменти, які слід запам'ятати: завжди перевіряйте реєстрацію в офіційному списку довіри, вимагайте опубліковану політику сертифікації та адаптуйте рівень підпису (QES, AES, SES) до юридичного ризику кожного документа.

Certyneo допомагає вам у цьому процесі, надаючи доступ до кваліфікованих сертифікатів через зареєстрованих PSCQ, надійний API для інтеграції та спеціалізовану юридичну підтримку. Готові перейти на кваліфікований підпис? Попросіть демонстрацію або створіть свій обліковий запис на Certyneo та приведіть вашу організацію у відповідність вже сьогодні.