eIDAS 2 認證簽署服務提供者 2026
eIDAS 2 法規對信任服務提供者提出新要求。了解完整的認證程序,確保 2026 年前合規。
Certyneo 團隊
撰稿人 — Certyneo · 關於 Certyneo
為什麼 eIDAS 2 認證對服務提供者改變了局面
自 2024 年 4 月 11 日《歐盟法規 2024/1183》—— 通常稱為 eIDAS 2 —— 生效以來,在歐盟運營的信任服務提供者(PSC)面臨著深層次改組的監管框架。對 2014 年原始 eIDAS 法規的修訂不僅擴大了已認可服務的範圍:它大幅強化了認證條件,引入了新的保證級別,並加強了國家監管機構的監督要求。對於任何希望在歐洲市場上提供合格電子簽署(QES)或高級簽署(AdES)服務的參與者,了解如何獲得簽署服務提供者的 eIDAS 2 認證不再是一個選擇 —— 而是一項戰略義務。
本文詳盡呈現了認證流程全貌:適用文本、須遵守的技術標準、合規評估機構(CAB)的角色、現實時間表和操作風險點。
---
新的 eIDAS 2 監管格局:發生了什麼變化
從法規 910/2014 到法規 2024/1183:主要演進
原始 eIDAS 法規(第 910/2014 號)為歐洲單一信任數字市場奠定了基礎。它定義了三個簽署級別 —— 簡單、高級和合格 —— 並要求合格提供者列入國家信任列表(TSL,Trust Service Lists)。eIDAS 2 保留了這一架構,但在多個結構性方面對其進行了補充:
- 合格服務的擴展:合格電子檔案、電子屬性證明(AEA)、合格簽署生成設備(QSCD)的遠程管理。這些新服務現在受與合格簽署相同的認證程序。
- 歐盟數字身份錢包(EUDIW):希望與未來身份錢包互聯的提供者必須證明其符合歐盟委員會發佈的技術規範(ARF —— Architecture and Reference Framework,v1.4,2024)。
- 監督強化:國家監督機構(在法國是 ANSSI)擁有加強的調查和強制令權力。合格 PSC 可能受到突擊審計。
- 通知時限縮短:任何重大安全事件必須在 24 小時內通知主管部門(與先前版本中某些事件的 72 小時相比縮短)。
如需對法規的全面了解,Certyneo 的eIDAS 2.0 指南提供了所有這些演進的教學性總結。
保證級別及其對認證的影響
高級和合格電子簽署之間的區分仍然是系統的軞紐。只有 QES 享受法律上的完整性和歸責推定,相當於手寫簽署(eIDAS 2 法規第 25 條)。此推定直接取決於提供者的認證。
| 級別 | 法律效力 | 提供者要求 | |---|---|---| | 簡單 (SES) | 有限 | 無 | | 高級 (AdES) | 重大 | 最佳實踐 + ETSI 標準 | | 合格 (QES) | 最大(法律推定) | eIDAS 2 認證必需 |
---
eIDAS 2 認證流程分步指南
步驟 1 —— 組織和技術先決條件
在正式開始認證流程之前,提供者必須在三個軸上審計其成熟度水平:
1. ETSI 標準合規性 EN 319 系列標準構成了不可或缺的技術基礎。主要標準包括:
- ETSI EN 319 401:信任服務提供者的通用要求
- ETSI EN 319 411-1 和 411-2:頒發證書的認證機構的政策和要求(合格認證的 PTC-QC 配置文件)
- ETSI EN 319 421:時間戳服務提供者的政策和要求
- ETSI EN 319 132:XAdES(XML)簽署格式,以及關聯的 CAdES(CMS)和 PAdES(PDF)系列
對這些標準的合規性對合格提供者而言並非可選項:歐盟委員會的實施行為明確要求。
2. 信息系統安全 QSCD(合格簽署生成設備)必須按照 Common Criteria (CC) EAL4+ 或等同標準認證。對於遠程簽署解決方案 —— SaaS 模型中的主導方式 —— 要求還涉及 HSM 模塊(硬件安全模塊)和加密密鑰管理程序(最低 FIPS 140-2 級別 3 合規性)。
3. 安全政策(PSSI)和風險管理 認證檔案要求正式化的 PSSI,與 ISO/IEC 27001 對齊(其認證被強烈推薦,有時由 CAB 要求),並納入 NIS2 要求,適用於被歸類為「重要」或「關鍵」實體。
步驟 2 —— 選擇和聯繫合規評估機構(CAB)
在法國,由 COFRAC(法國認證委員會)認可用於評估信任服務提供者的 CAB 數量很少。例如,LSTI(信息技術安全實驗室)和 Bureau Veritas Certification 是被引用的參與者。在歐洲範圍內,各成員國發佈其通知 CAB 的列表。
CAB 的角色是進行合規性審計,分為兩個階段:
- 文件審查(第 1 階段):檢查政策、程序、認證實踐聲明(DPC / CPS)和技術證據。
- 現場審計(第 2 階段):驗證操作控制、滲透測試、與團隊的面談。
CAB 審計的總持續時間通常為 4 至 8 週,具體取決於候選人的事先成熟度。
步驟 3 —— 國家監督機構的指導
在法國,是 ANSSI(國家信息系統安全局)指導國家信任列表(TSL FR)的註冊申請。基於 CAB 審計報告,ANSSI 進行自己的分析,並可要求補充信息或糾正措施。
法規指導時限為收到完整檔案後 3 個月(eIDAS 2 法規第 17 條)。實際上,如果初始檔案不完整,實際時限往往更長。
一旦列入國家 TSL,提供者會自動在歐盟委員會發佈的 EUTL(EU 信任列表)中被引用,這賦予其在 27 個成員國內即時跨境認可。
步驟 4 —— 資格維持和更新
eIDAS 2 認證不是永久的。合格提供者受以下約束:
- 由 CAB 進行的年度監督審計
- 每 24 個月進行一次完整更新審計(與先前實踐相比周期縮短)
- ANSSI 主動進行的突擊檢查
對基礎設施的任何實質性修改(HSM 變更、PKI 演進、新合格服務)都會觸發提前通知程序,並可能需要部分審計。
---
成本、時限和風險因素:IT 主管應該預期什麼
預算和人力資源
首次 eIDAS 2 認證的成本很大。支出項目包括:
- CAB 審計:取決於範圍複雜性,40,000 € 至 120,000 €
- 技術合規性(認證 HSM、PKI、QSCD CC):80,000 € 至數十萬歐元(用於專有基礎設施)
- ISO 27001 認證(事先推薦):15,000 至 50,000 €,取決於規模
- 法律諮詢和 DPC 編寫費用:10,000 至 30,000 €
- 內部成本:12 至 18 個月內專門團隊(RSSI、DPO、合規負責人)的動員
在累計所有項目後,對於中等規模提供者而言,完整認證代表約 200,000 至 500,000 € 的全球投資,不含維持成本。
操作風險因素
認證程序中最常見的失敗或延遲原因包括:
- DPC 細節不足:認證實踐聲明必須文件化每個控制項,有時粒度被低估。
- 密鑰生命週期管理中的差距:撤銷、歸檔、銷毀私鑰。
- 事件管理治理不足:缺少 SIEM、已測試的危機管理程序、運行手冊。
- NIS2 重要性的低估:自 2024 年 10 月起,合格 PSC 根據 NIS2 指令自動被歸類為「重要」實體,具有額外的報告和風險管理義務。
對於希望委託這些限制給已認證提供者,而不是構建自己基礎設施的企業,Certyneo 上提供的電子簽署解決方案比較有助於客觀評估構建對比外包選擇。
---
eIDAS 2 和企業中的電子簽署:過渡問題
對於企業使用者 —— 相對於提供者 —— 其 SaaS 簽署供應商的 eIDAS 2 認證現已成為選擇標準中不可或缺的標準。在招標書中納入要求在國家 TSL 上存在的條款已成為受監管部門(金融、醫療、房地產)的標準做法。
企業中的電子簽署確實要求明確區分需要 QES 的使用情況 —— 具有高利害關係的私法行為、授權、電子公證行為 —— 與高級簽署足夠的情況。此使用情況映射直接決定了對提供者的合同可要求的服務級別。
從現有解決方案遷移到認證 eIDAS 2 提供者的組織還必須預期證據檔案的可移植性。關於從 DocuSign 或 YouSign 遷移到 Certyneo的指南詳細說明了在過渡期間保留已簽署文件法律效力的最佳實踐。
適用於 eIDAS 2 認證的法律框架
基本文本
信任服務提供者的認證基於必須完全掌握的密集規範堆積:
《歐盟法規 2024/1183》(2024 年 4 月 11 日)(eIDAS 2):廢止並替代法規 910/2014 相應條款的參考文本。它定義了獲得並維持合格提供者資格的條件、國家監督義務,以及與新服務(EUDIW、AEA)相關的要求。
《歐盟法規第 910/2014 號》(eIDAS 1):對於未修改條款仍然部分適用;在此法規下採納的實施和委託行為將保持有效,直到正式修訂。
法國民法第 1366 和 1367 條:第 1366 條規定了電子簽署在可靠性條件下與手寫簽署等效的原則;第 1367 條澄清當使用合格簽署時,可靠性被推定直至反證。這些國家條款與 eIDAS 2 第 25 條的法律推定直接相符。
《指令(歐盟)2022/2555》(NIS2):由 2024 年 10 月 15 日法律在法國轉置,自動將信任服務提供者列為重要實體。義務:任何重大事件在 72 小時內向 ANSSI 報告,建立正式的網絡風險管理,定期安全審計。
《法規(歐盟)2016/679》(GDPR):簽署服務提供者處理敏感個人數據(簽署人身份、審計日誌)。遵守最小化、保留限制和完整性原則要求特定的影響評估(DPIA)。每項服務的處理法律基礎必須文件化。
具有監管價值的技術標準
歐盟委員會的實施行為(特別是《實施決定(歐盟)2015/1506》及其修訂)將 ETSI 標準指定為符合性的推定:
- ETSI EN 319 401:TSP 通用要求
- ETSI EN 319 411-1 和 411-2:認證政策
- ETSI EN 319 421:合格時間戳
- ETSI EN 319 132 / 122 / 102:AdES 格式(XAdES、CAdES、PAdES、ASiC)
- ETSI TS 119 431:遠程簽署服務
不合規時的法律風險
欺詐性或疏忽性使用合格提供者資格暴露於 ANSSI 宣佈的行政處罰(暫停、從信任列表撤出)和刑事訴訟(《刑法》第 226-17 條,個人數據安全缺陷)。在民事方面,在不合規期間發出的簽署的法律效力重新審議可能引發提供者對其客戶的合同責任。
使用場景:eIDAS 2 認證的實踐
場景 1 —— 一家中型 SaaS 編輯商瞄準 QES 資格
一家專門從事文檔數字化轉換的公司,擁有約一百名員工,每年為銀行和保險部門的客戶管理數百萬筆簽署交易,決定尋求其電子簽署服務的 eIDAS 2 資格。迄今為止,該公司提供基於證書的高級簽署(AdES),足以滿足其大多數客戶合同,但不足以滿足需要最大法律效力的行為(SEPA 授權、公證法律約定)。
經過 3 個月的內部審計,揭示與 ETSI EN 319 411-2 要求有 15 項主要偏差,該公司啟動了為期 14 個月的合規計劃。主要工作涉及將現有 HSM 替換為經認證的 FIPS 140-2 級別 3 模塊、編寫 180 頁的 DPC,以及在 CAB 審計前獲得 ISO 27001 認證。總投資達 340,000 €。該流程結束後,列入法國 TSL 使該公司能夠進入其之前因資格不符而被系統排除的招標,代表約 20% 的額外收入潛力。
場景 2 —— 一個衛生保健集團整合合格簽署以用於醫療法律行為
一個約 1,200 張病床的醫院集團希望將其知情同意流程、醫療授權委託和臨床研究合同數字化。這些文件屬於要求或強烈建議使用 QES 的行為類別,由法國衛生局(HAS)參考框架和衛生數據法律框架規定(《公共衛生法》第 L. 1110-4 條)。
該集團選擇不是認證內部基礎設施 —— 這被認為成本過高且超出核心業務 —— 而是集成一個已在 TSL 上登記的第三方提供者。IT 部門基於 ETSI EN 319 401 檢查清單進行供應商合規審計,並在任何合同前驗證 EUTL 上的實際存在。該部署在 4 個月內完成,研究檔案簽署採集延遲減少了 65%,並消除了因在敏感行為中之前使用簡單簽署而引起的法律爭議風險。
場景 3 —— 一家律師事務所保障其私法行為
一家擁有約 30 名合夥人的律師事務所,每年處理近 400 項購併和企業出售交易,旨在加強其複雜私法行為簽署的可靠性。交易單位價值經常超過一百萬歐元,任何程序缺陷都可能引發律師事務所的專業責任。
經過分析,IT 團隊和管理合夥人達成一致,對於價值超過 100,000 € 的任何行為,最少合同要求為由認證 eIDAS 2 提供者發出的 QES。提供者選擇標準必須包括國家 TSL 上的登記驗證和最近的 ETSI 合規證書可用性(少於 12 個月)。此框架使該事務所能夠在後來訴訟中關於簽署有效性的反專家意見要求減少超過 80%,根據該部門可比結構的觀察反饋。
結論
作為信任服務簽署提供者,獲得 eIDAS 2 認證是一個要求高、成本高、耗時長的流程 —— 但對於任何希望在歐洲市場上向其客戶提供最大法律保證的參與者而言是不可或缺的。從符合 ETSI 標準、通過 CAB 審計、ANSSI 指導到在持續期間維持資格,該過程在 12 至 24 個月內動員大量資源。
對於企業使用者,好消息是不必在內部構建此基礎設施:選擇已認證 eIDAS 2 且列入國家信任列表的 SaaS 提供者,可以立即受益於與 QES 相關的法律推定,而無需承擔認證成本。
Certyneo 是一家認證的信任提供者,為要求法律嚴謹性和使用簡便性的 B2B 企業而設計。立即發現我們的定價並開始免費試用。