eIDAS PME 符合性檢查清單 2026 完整版本
如何確保中小企業在 2026 年符合 eIDAS 法規?12 點檢查清單:簽名級別、服務提供者、存檔、RGPD。
Certyneo 團隊
撰稿人 — Certyneo · 關於 Certyneo
歐洲法規 eIDAS(EU No.910/2014,即將由 eIDAS 2.0 修訂)規範了整個歐盟的電子簽名。對於中小企業而言,符合 eIDAS 不僅僅是勾選一個方框:它是確保其合約具有對抗力、簽名數據受到保護,並防止可能導致高成本法律風險的保證。以下是 2026 年的 12 點具體檢查清單,以驗證您的中小企業是否完全符合 eIDAS。
第 1 點:選擇正確的簽名級別
首要反應:繪製您的合約類型並關聯目標級別。標準商業合約(報價單、採購訂單、簡單保密協議):SES 即可。勞動合約、租賃協議、敏感保密協議、戰略協議:至少 AES,最好使用 OTP 短信。受監管合約(律師、公證人、超過閾值的公共採購):QES 強制。沒有這份清單,您冒著低估(合約被拒)或過度設計(成本過高)的風險。
第 2 點:驗證服務提供者的資格
您的服務提供者必須是受信任服務提供者 (QTSP) 或為 AES/QES 級別依靠 QTSP。查閱由 ANSSI 發佈的信任服務清單 (eidas.ssi.gouv.fr) 和歐洲信任清單 (webgate.ec.europa.eu/tl-browser)。參考法國 QTSP:Certigna、Docaposte、Certinomis、Universign。對於通過平台的 SES/AES(Certyneo、Yousign 等),驗證其明確記錄的 eIDAS 符合性。
第 3 點:測試審計跟蹤
簽署測試信封並檢索審計跟蹤(通常是單獨的 PDF)。它應包含:簽名人的身份和電子郵件、每個步驟的時間戳(發送、打開、驗證、簽名)、IP 地址、用戶代理、文檔哈希、AES 時的 OTP 驗證。如果缺少任何元素,證明的價值將被削弱。Certyneo 即使在免費計劃中也提供完整的審計跟蹤。
第 4 點:控制時間戳
時間戳必須由符合 RFC 3161 的時間戳機構 (TSA) 簽發。僅來自企業 NTP 服務器的時間戳還不夠。在 Adobe Reader 中打開簽署的 PDF:簽名選項卡 → 詳細信息 → 時間戳。您應該看到有效的 TSA 證書和認證的時鐘。如果 PDF 沒有認證的時間戳,重新考慮服務提供者的選擇。
第 5 點:至少存檔 10 年
商業法(第 L. 123-22 條)對商業文檔強制執行 10 年的保留期。勞動法對終止後的勞動合約強制執行 5 年。存檔必須保護完整性(哈希、密封)和訪問。理想:PDF/A 格式 (ISO 19005)、雙重存儲(主要 + 場外備份)、合格電子保險箱 (CFE) 以獲得最大證明。Certyneo 默認存檔 10 年,並提供向合作夥伴 CFE 的導出。
第 6 點:驗證數據位置
您的簽名數據託管在何處?對於處理敏感合約的法國中小企業,優先選擇法國或歐盟託管。要求您的服務提供者提供分包商及其位置清單(RGPD 第 28 條)。對於戰略合約,避免受美國《雲法案》約束的解決方案。Certyneo 在法國託管,無雲法案依賴性。見我們的文章 /blog/cloud-act-signature-electronique。
第 7 點:與 RGPD 協調
簽名和 RGPD 密切相關:每個信封包含個人數據(姓名、電子郵件、IP、電話)。確保您的處理登記簿(RGPD 第 30 條)包括電子簽名,保留期間一致(10 年),並且可以實現個人權利(訪問、更正、可移植性)。如果您要求許多簽名,建議聘用數據保護官。見我們的文章 /blog/signature-electronique-rgpd。
第 8 點:提前識別簽名人
對於穩健的 AES,身份驗證不是從簽名開始的:它從數據收集開始。驗證電子郵件(無別名、無郵件列表)、電話號碼(無共享電話線)、並保留身份識別的來源記錄(沉重合約的身份證件、現有客戶的持續合約的 KYC)。這項盡職調查確保訴訟中的證明牢固性。
第 9 點:培訓團隊
您的商業、人力資源、法律團隊必須了解規則:永遠不要強制簽名人通過第三方設備、永遠不要發送已修改的簽署 PDF、永遠不要用掃描簽名圖像替換真正的簽名。每個團隊一小時的培訓足以鞏固良好習慣。Certyneo 提供完整指南供內部分享 (/ressources)。
第 10 點:驗證服務提供者合約
服務提供者的服務條款必須:承諾 eIDAS 符合性、明確存檔期限、包括 RGPD 分包協議(第 28 條)、記錄分包商、預見終止時的可逆性計劃。如果您處理大量業務,請也要求 SOC 2 Type II 或等效物。對於 Certyneo,這些文檔可在 /legal 和 /security 上獲得。
第 11 點:為 eIDAS 2.0 和 EUDI Wallet 做準備
法規 eIDAS 2.0 (EU 2024/1183) 逐步生效,要求成員國在 2026 年底前部署 EUDI Wallet。該數字身份錢包將特別允許在沒有實體註冊辦公室的情況下遠程訪問 QES。為您的中小企業做準備:驗證您的服務提供者是否有 EUDI Wallet 路線圖,跟蹤 ANSSI 和歐盟委員會的通信。見 /blog/eidas-2-nouveau-reglement-2026。
第 12 點:每年審計
符合性不是一個已獲得的狀態:它是一個持續的方法。計劃每年審計(內部或外部)以驗證:監管變化、服務提供者的演變、合約類型清單的更新、有效保留、新員工的培訓。輕型審計對中小企業花費半天時間,避免許多驚喜。從在 certyneo.com/signup 上創建免費 Certyneo 帳戶開始以測試實際符合性,然後查閱我們的 eIDAS 指南以深入了解 (/guide/eidas)。
深入探討主題
關於此主題的參考文章。
Outils Certyneo associés
Passez de la lecture à l'action avec les outils intégrés à la plateforme.