Chứng chỉ eIDAS 2 cho nhà cung cấp dịch vụ ký điện tử 2026

Tại sao chứng chỉ eIDAS 2 thay đổi cuộc chơi cho các nhà cung cấp dịch vụ

Kể từ khi Quy định (EU) 2024/1183 của ngày 11 tháng 4 năm 2024 — thường được gọi là eIDAS 2 — có hiệu lực, các nhà cung cấp dịch vụ tin tưởng (PSC) hoạt động trong Liên minh Châu Âu phải đối mặt với một khung quy định được cải tổ sâu sắc. Việc sửa đổi Quy định eIDAS ban đầu năm 2014 không chỉ mở rộng phạm vi các dịch vụ được công nhận: nó cũng tăng cường đáng kể các điều kiện công nhân, giới thiệu các mức đảm bảo mới và tăng cường yêu cầu giám sát của các cơ quan kiểm soát quốc gia. Đối với bất kỳ tác nhân nào muốn cung cấp các dịch vụ ký điện tử được xác nhận (QES) hoặc nâng cao (AdES) trên thị trường châu Âu, việc hiểu rõ cách lấy chứng chỉ eIDAS 2 cho nhà cung cấp ký điện tử không còn là lựa chọn — đó là yêu cầu chiến lược bắt buộc.

Bài viết này cung cấp một cái nhìn tổng quát đầy đủ về quy trình chứng chỉ: các văn bản áp dụng, các tiêu chuẩn kỹ thuật cần tuân thủ, vai trò của các cơ quan đánh giá sự tuân thủ (CAB), thời hạn thực tế và các điểm cảnh báo hoạt động.

---

Bình cảnh quy định eIDAS 2 mới: những gì đã thay đổi

Từ Quy định 910/2014 đến Quy định 2024/1183: các phát triển chính

Quy định eIDAS ban đầu (số 910/2014) đã đặt nền tảng cho một thị trường duy nhất của tin tưởng số ở Châu Âu. Nó xác định ba mức ký — đơn giản, nâng cao và được xác nhận — và áp đặt các nhà cung cấp được xác nhận phải được liệt kê trên các danh sách tin tưởng quốc gia (TSL, Trust Service Lists). eIDAS 2 giữ kiến trúc này nhưng làm phong phú hơn trên một số điểm cấu trúc:

• Mở rộng các dịch vụ được xác nhận: lưu trữ điện tử được xác nhận, chứng chỉ điện tử về thuộc tính (AEA), quản lý từ xa các thiết bị tạo ký điện tử được xác nhận (QSCD). Các dịch vụ mới này hiện phải tuân theo cùng quy trình công nhân như ký được xác nhận.
• Ví danh tính số Châu Âu (EUDIW): các nhà cung cấp muốn tương tác với ví danh tính số tương lai phải chứng minh sự tuân thủ các thông số kỹ thuật được Ủy ban xuất bản (ARF — Architecture and Reference Framework, v1.4, 2024).
• Tăng cường giám sát: các cơ quan giám sát quốc gia (ở Pháp, ANSSI) có quyền hạn điều tra và ra lệnh tăng cường. Các PSC được xác nhận có thể được kiểm toán không thông báo trước.
• Giảm thời hạn thông báo: bất kỳ sự cố bảo mật đáng kể nào phải được thông báo cho cơ quan có thẩm quyền trong vòng 24 giờ (so với 72 giờ trong phiên bản trước đó đối với một số sự cố).

Để có cái nhìn tổng quát về quy định, hướng dẫn eIDAS 2.0 của Certyneo cung cấp một tổng hợp sư phạm về tất cả những thay đổi này.

Các mức đảm bảo và tác động đối với chứng chỉ

Sự phân biệt giữa ký điện tử nâng cao và được xác nhận vẫn là trục của hệ thống. Chỉ QES được hưởng lợi từ giả định pháp lý về tính toàn vẹn và trách nhiệm tương đương với chữ ký viết tay (khoản 25 Quy định eIDAS 2). Giả định này trực tiếp bị ràng buộc bởi chứng chỉ của nhà cung cấp.

| Mức độ | Giá trị bằng chứng | Yêu cầu nhà cung cấp | |---|---|---| | Đơn giản (SES) | Hạn chế | Không có | | Nâng cao (AdES) | Đáng kể | Thực tiễn tốt + tiêu chuẩn ETSI | | Được xác nhận (QES) | Tối đa (giả định pháp lý) | Chứng chỉ eIDAS 2 bắt buộc |

---

Quy trình chứng chỉ eIDAS 2 từng bước

Bước 1 — Điều kiện tiên quyết về tổ chức và kỹ thuật

Trước khi chính thức bắt đầu quy trình chứng chỉ, nhà cung cấp phải kiểm toán mức độ trưởng thành của mình trên ba trục:

1. Tuân thủ tiêu chuẩn ETSI Các tiêu chuẩn của loạt EN 319 tạo nền tảng kỹ thuật không thể thiếu. Những tiêu chuẩn chính là:

• ETSI EN 319 401: yêu cầu chung cho các nhà cung cấp dịch vụ tin tưởng
• ETSI EN 319 411-1 và 411-2: chính sách và yêu cầu cho các cơ quan cấp chứng chỉ cấp chứng chỉ (hồ sơ PTC-QC cho các chứng chỉ được xác nhận)
• ETSI EN 319 421: chính sách và yêu cầu cho các nhà cung cấp dịch vụ dấu thời gian
• ETSI EN 319 132: định dạng ký XAdES (XML), và loạt liên quan CAdES (CMS) và PAdES (PDF)

Tuân thủ các tiêu chuẩn này không phải là tùy chọn cho các nhà cung cấp được xác nhận: nó được yêu cầu rõ ràng bởi các hành động thực thi của Ủy ban Châu Âu.

2. Bảo mật hệ thống thông tin QSCD (thiết bị tạo ký được xác nhận) phải được chứng chỉ theo Common Criteria (CC) EAL4+ hoặc tương đương. Đối với các giải pháp ký từ xa — mô hình chiếm ưu thế trong SaaS — các yêu cầu cũng bao gồm các mô-đun HSM (Hardware Security Module) và các thủ tục quản lý khóa mật mã (tuân thủ FIPS 140-2 cấp độ 3 tối thiểu).

3. Chính sách bảo mật (PSSI) và quản lý rủi ro Hồ sơ chứng chỉ yêu cầu PSSI được chính thức hóa, phù hợp với ISO/IEC 27001 (mà chứng chỉ được khuyến khích mạnh mẽ và đôi khi được CAB yêu cầu) và kết hợp các yêu cầu NIS2 cho các thực thể được xác định là "quan trọng" hoặc "thiết yếu".

Bước 2 — Lựa chọn và cam kết với Cơ quan đánh giá sự tuân thủ (CAB)

Ở Pháp, các CAB được COFRAC công nhân (Ủy ban Pháp về Công nhân) để đánh giá các nhà cung cấp dịch vụ tin tưởng là rất ít. Ví dụ, LSTI (Laboratoire de Sécurité des Technologies de l'Information) và Bureau Veritas Certification nằm trong các tác nhân được tham khảo. Ở cấp độ Châu Âu, mỗi Quốc gia thành viên công bố danh sách các CAB được thông báo của mình.

Vai trò của CAB là tiến hành kiểm toán sự tuân thủ trong hai giai đoạn:

1. Rà soát tài liệu (Giai đoạn 1): kiểm tra các chính sách, thủ tục, Tuyên bố Thực tiễn Chứng chỉ (DPC / CPS) và bằng chứng kỹ thuật.
2. Kiểm toán tại hiện trường (Giai đoạn 2): xác minh các biện pháp kiểm soát hoạt động, thử nghiệm xâm nhập, phỏng vấn với các đội.

Thời gian tổng cộng của kiểm toán CAB thường dao động từ 4 đến 8 tuần tùy thuộc vào mức độ trưởng thành trước đó của ứng viên.

Bước 3 — Xử lý bởi Cơ quan giám sát quốc gia

Ở Pháp, ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) là cơ quan xử lý các yêu cầu đăng ký trên danh sách tin tưởng quốc gia (TSL FR). Dựa trên báo cáo kiểm toán CAB, ANSSI tiến hành phân tích riêng của mình và có thể yêu cầu các thông tin bổ sung hoặc các biện pháp khắc phục.

Thời hạn quy định để xử lý là 3 tháng kể từ khi nhận được hồ sơ hoàn chỉnh (khoản 17 Quy định eIDAS 2). Trong thực tế, thời hạn thực tế thường dài hơn nếu hồ sơ ban đầu không hoàn chỉnh.

Sau khi được đăng ký trên TSL quốc gia, nhà cung cấp tự động được tham khảo trong EUTL (EU Trusted List), được Ủy ban Châu Âu công bố, điều này mang lại cho nhà cung cấp sự công nhận xuyên biên giới tức thì ở 27 Quốc gia thành viên.

Bước 4 — Duy trì trình độ và gia hạn

Chứng chỉ eIDAS 2 không phải là vĩnh viễn. Các nhà cung cấp được xác nhận phải tuân thủ:

• Kiểm toán giám sát hàng năm do CAB tiến hành
• Kiểm toán gia hạn hoàn chỉnh mỗi 24 tháng (chu kỳ rút ngắn so với thực tiễn trước đó)
• Kiểm soát không thông báo trước có thể được ANSSI sáng kiến

Bất kỳ sửa đổi đáng kể nào về cơ sở hạ tầng (thay đổi HSM, phát triển PKI, dịch vụ được xác nhận mới) sẽ kích hoạt quy trình thông báo trước và có thể áp đặt kiểm toán một phần.

---

Chi phí, thời hạn và các yếu tố rủi ro: những gì DSI phải dự tính trước

Ngân sách và nguồn lực con người

Chi phí chứng chỉ eIDAS 2 lần đầu tiên là đáng kể. Các mục chi phí bao gồm:

• Kiểm toán CAB: từ 40 000 € đến 120 000 € tùy thuộc vào độ phức tạp của phạm vi
• Tuân thủ kỹ thuật (HSM, PKI, QSCD được chứng chỉ CC): từ 80 000 € đến hàng trăm nghìn euro cho cơ sở hạ tầng riêng
• Chứng chỉ ISO 27001 (được khuyến khích trước đó): 15 000 đến 50 000 € tùy thuộc vào kích thước
• Chi phí tư vấn pháp lý và soạn DPC: 10 000 đến 30 000 €
• Chi phí nội bộ: huy động một đội chuyên dụng (RSSI, DPO, người chịu trách nhiệm tuân thủ) trong 12 đến 18 tháng

Khi cộng tất cả các mục này, chứng chỉ hoàn chỉnh đại diện cho một khoản đầu tư toàn cầu khoảng 200 000 đến 500 000 € cho nhà cung cấp kích thước trung bình, không kể chi phí định kỳ duy trì.

Các yếu tố rủi ro hoạt động

Những nguyên nhân phổ biến nhất dẫn đến thất bại hoặc trì hoãn trong các quy trình chứng chỉ là:

1. DPC không đủ chi tiết: Tuyên bố Thực tiễn Chứng chỉ phải ghi lại từng biện pháp kiểm soát với mức độ chi tiết đôi khi bị low estimate.
2. Những thiếu sót trong quản lý vòng đời chính: thu hồi, lưu trữ, hủy các khóa cá nhân.
3. Quản lý sự cố không đủ: không có SIEM, không có quy trình quản lý khủng hoảng được kiểm tra, không có runbooks.
4. Đánh giá thấp NIS2: kể từ tháng 10 năm 2024, các PSC được xác nhận tự động được phân loại là các thực thể "quan trọng" theo hướng dẫn NIS2, với các yêu cầu báo cáo và quản lý rủi ro bổ sung.

Đối với các công ty muốn ủy thác những ràng buộc này cho nhà cung cấp đã được chứng chỉ hơn là xây dựng cơ sở hạ tầng của riêng họ, so sánh các giải pháp ký điện tử có sẵn trên Certyneo giúp khách quan hóa lựa chọn build-vs-buy này.

---

eIDAS 2 và ký điện tử trong doanh nghiệp: các vấn đề chuyển đổi

Đối với các doanh nghiệp sử dụng — đối lập với các nhà cung cấp — chứng chỉ eIDAS 2 của nhà cung cấp SaaS ký của họ hiện là tiêu chí lựa chọn không thể thiếu. Tích hợp trong các yêu cầu đề nghị một điều khoản đòi hỏi sự hiện diện trên TSL quốc gia đã trở thành thực tiễn tiêu chuẩn trong các lĩnh vực được quy định (tài chính, y tế, bất động sản).

Ký điện tử trong doanh nghiệp thực sự yêu cầu phân biệt rõ ràng các trường hợp sử dụng yêu cầu QES — các tài liệu dân sự có giá trị cao, ủy quyền, các tài liệu công chứng điện tử — từ những trường hợp mà AdES là đủ. Bản đồ các trường hợp sử dụng này trực tiếp điều kiện mức dịch vụ phải được yêu cầu theo hợp đồng từ nhà cung cấp.

Các tổ chức di chuyển từ giải pháp hiện tại sang nhà cung cấp được chứng chỉ eIDAS 2 cũng phải dự tính khả năng chuyển giao các lưu trữ bằng chứng. Hướng dẫn về di chuyển từ DocuSign hoặc YouSign sang Certyneo chi tiết các thực tiễn tốt để bảo toàn giá trị bằng chứng của các tài liệu đã được ký trong quá trình chuyển đổi.

Khung pháp luật áp dụng cho chứng chỉ eIDAS 2

Các văn bản sáng lập

Chứng chỉ của các nhà cung cấp dịch vụ tin tưởng dựa trên một tích lũy tiêu chuẩn dày đặc mà người ta phải làm chủ hoàn toàn:

Quy định (EU) 2024/1183 của ngày 11 tháng 4 năm 2024 (eIDAS 2): văn bản tham khảo xác định các điều kiện để đạt được và duy trì tình trạng của nhà cung cấp được xác nhận, các yêu cầu giám sát quốc gia và các yêu cầu liên quan đến các dịch vụ mới (EUDIW, AEA).

Quy định (EU) số 910/2014 (eIDAS 1): vẫn có một phần áp dụng cho các quy định không được sửa đổi; các hành động thực thi và ủy quyền được thông qua theo quy định này vẫn có hiệu lực cho đến khi được sửa đổi chính thức.

Bộ luật Dân sự Pháp, các điều 1366 và 1367: điều 1366 đặt nguyên tắc tương đương ký điện tử với chữ ký viết tay dưới điều kiện độ tin cậy; điều 1367 làm rõ rằng độ tin cậy được giả định cho đến khi có bằng chứng ngược lại khi ký được xác nhận được sử dụng. Các quy định quốc gia này được nối trực tiếp với giả định pháp lý của điều 25 eIDAS 2.

Chỉ thị (EU) 2022/2555 (NIS2): được chuyển sang pháp luật Pháp bằng luật ngày 15 tháng 10 năm 2024, nó tự động phân loại các nhà cung cấp dịch vụ tin tưởng được xác nhận trong các thực thể quan trọng. Yêu cầu: công bố cho ANSSI trong vòng 72 giờ đối với bất kỳ sự cố đáng kể nào, thực hiện quản lý rủi ro cyber chính thức, kiểm toán bảo mật định kỳ.

Quy định (EU) 2016/679 (RGPD): các nhà cung cấp dịch vụ ký xử lý dữ liệu cá nhân nhạy cảm (danh tính của những người ký, nhật ký kiểm tra). Tuân thủ các nguyên tắc thu nhỏ, giới hạn lưu giữ và tính toàn vẹn áp đặt một phân tích tác động cụ thể (AIPD). Cơ sở pháp lý của việc xử lý phải được ghi lại cho từng dịch vụ.

Các tiêu chuẩn kỹ thuật có giá trị quy định

Các hành động thực thi của Ủy ban Châu Âu (đặc biệt là Quyết định thực thi (EU) 2015/1506 và các sửa đổi của nó) chỉ định các tiêu chuẩn ETSI như một cách giả định của sự tuân thủ:

• ETSI EN 319 401: yêu cầu chung TSP
• ETSI EN 319 411-1 và 411-2: chính sách chứng chỉ
• ETSI EN 319 421: dấu thời gian được xác nhận
• ETSI EN 319 132 / 122 / 102: định dạng AdES (XAdES, CAdES, PAdES, ASiC)
• ETSI TS 119 431: các dịch vụ ký từ xa

Rủi ro pháp luật nếu không tuân thủ

Việc sử dụng gian lận hoặc cẩu thả tình trạng của nhà cung cấp được xác nhận phơi bày các biện pháp trừng phạt hành chính do ANSSI áp dụng (tạm dừng, loại bỏ khỏi danh sách tin tưởng) và các vụ truy tố hình sự (điều 226-17 Bộ luật Hình sự vì thiếu bảo mật dữ liệu cá nhân). Trên mặt dân sự, việc đặt lại câu hỏi về giá trị bằng chứng của các chữ ký được phát hành trong một thời kỳ không tuân thủ có thể gây ra trách nhiệm hợp đồng của nhà cung cấp đối với các khách hàng của họ.

Các tình huống sử dụng: chứng chỉ eIDAS 2 trong thực tiễn

Tình huống 1 — Một trình soạn thảo SaaS kích thước trung bình nhằm đạt trình độ QES

Một công ty chuyên về hợp lý hóa tài liệu, có khoảng một trăm nhân viên và quản lý hàng triệu giao dịch ký mỗi năm cho các khách hàng trong các lĩnh vực ngân hàng và bảo hiểm, quyết định yêu cầu trình độ eIDAS 2 cho dịch vụ ký điện tử của mình. Cho đến nay, công ty đã cung cấp ký nâng cao dựa trên chứng chỉ (AdES), đủ cho đa số các hợp đồng của khách hàng, nhưng không đủ cho các tài liệu yêu cầu giá trị bằng chứng tối đa (ủy quyền SEPA, công chứng cộng tác).

Sau khoảng 3 tháng kiểm toán nội bộ tiết lộ khoảng mười lăm sai sót lớn so với các yêu cầu ETSI EN 319 411-2, công ty bắt đầu chương trình tuân thủ trong 14 tháng. Các chantier chính liên quan đến việc thay thế các HSM hiện tại bằng các mô-đun được chứng chỉ FIPS 140-2 cấp độ 3, soạn DPC có 180 trang, và việc lấy chứng chỉ ISO 27001 trước kiểm toán CAB. Tổng đầu tư đạt 340 000 €. Sau khi hoàn tất quá trình, việc đăng ký trên TSL Pháp cho phép công ty truy cập các yêu cầu đề nghị mà nó đã bị loại trừ một cách có hệ thống, đại diện cho một tiềm năng thương mại được ước tính là 20% doanh thu bổ sung.

Tình huống 2 — Một tập đoàn bệnh viện tích hợp ký được xác nhận cho các tài liệu y tế pháp y

Một tập đoàn bệnh viện có khoảng 1 200 giường muốn hợp lý hóa các quy trình của nó để đồng ý sáng suốt, ủy quyền quyền lực y tế và hợp đồng nghiên cứu lâm sàng. Các tài liệu này được phân loại là các tài liệu mà QES được yêu cầu hoặc được khuyến khích mạnh mẽ bởi các tiêu chuẩn HAS và khung pháp luật về dữ liệu y tế (art. L. 1110-4 CSP).

Thay vì chứng chỉ một cơ sở hạ tầng nội bộ — tùy chọn được coi là quá tốn kém và ngoài ngành — tập đoàn chọn tích hợp một nhà cung cấp của bên thứ ba đã được đăng ký trên TSL. DSI tiến hành kiểm toán sự tuân thủ của nhà cung cấp dựa trên danh sách kiểm tra ETSI EN 319 401 và xác minh sự hiện diện thực tế trên EUTL trước bất kỳ hợp đồng nào. Việc triển khai, được thực hiện trong 4 tháng, giảm 65% thời gian thu thập chữ ký trên các tập tin nghiên cứu lâm sàng và loại bỏ rủi ro tranh cãi pháp lý liên quan đến việc sử dụng trước đó của chữ ký đơn giản cho các tài liệu nhạy cảm.

Tình huống 3 — Một công ty luật chuyên về quản lý bảo mật các tài liệu dân sự của mình

Một công ty luật chuyên về quản lý của khoảng ba mươi cộng sự, quản lý hàng năm gần 400 giao dịch sáp nhập và bán vốn kinh doanh, tìm cách chắc chắn hóa ký của các tài liệu dân sự phức tạp. Giá trị đơn vị của các giao dịch được x