Multicert
Trust Service Providers (TSP)

Audyt zgodności eIDAS

Realizowane z międzynarodową jednostką akredytowaną
W skrócie

eIDAS (Rozp. UE 910/2014, eIDAS 2.0 = UE 2024/1183) reguluje usługi zaufania w UE — kwalifikowane podpisy elektroniczne, pieczęcie, znaczniki czasu. Wykonujemy audity zgodności (Conformity Assessment) Trust Service Providers wg norm ETSI EN 319 401/411/421. Wymaga wcześniejszego wdrożenia ISO 27001.

Definicja

Czym jest eIDAS?

eIDAS (electronic IDentification, Authentication and trust Services) to Rozporządzenie (UE) 910/2014 regulujące identyfikację elektroniczną i usługi zaufania w UE. eIDAS 2.0 (Rozp. UE 2024/1183) wprowadza europejski portfel tożsamości cyfrowej (EUDI Wallet) i rozszerza zakres usług zaufania. Kluczowe usługi: kwalifikowane podpisy elektroniczne, pieczęcie, znaczniki czasu, walidacja, e-doręczenia, certyfikaty SSL/TLS dla witryn internetowych.

Wykonujemy audity zgodności (Conformity Assessment) Trust Service Providers wg eIDAS i norm ETSI: EN 319 401 (general policy), EN 319 411-1/-2 (TSPs wystawiający certyfikaty), EN 319 421 (timestamping). Audyt obejmuje weryfikację polityk (CP/CPS), bezpieczeństwa informacji (ISO 27001), kryptografii (HSM, algorytmy ETSI TS 119 312), walidacji tożsamości subskrybentów (LoA) i procedur operacyjnych. Wynik — Conformity Assessment Report — jest podstawą wniosku TSP do NCCert o status kwalifikowany (QTSP) i wpis na EU Trusted List.

Pełna nazwa
eIDAS — Rozporządzenie (UE) 910/2014 ws. identyfikacji elektronicznej i usług zaufania (eIDAS 2.0 — Rozp. UE 2024/1183)
Sektor
Trust Service Providers (TSP) — dostawcy podpisów elektronicznych, pieczęci, znaczników czasu, e-doręczeń
Powiązane normy
ETSI EN 319 401 (general policy), ETSI EN 319 411-1/-2 (TSPs for certificates), ETSI EN 319 421 (timestamping), ISO 27001
Kluczowy fokus
Audyt usług zaufania pod kątem zgodności z eIDAS i normami ETSI
Wymagania

Wymagania audytowe eIDAS / ETSI.

  • 1

    Polityki i praktyki TSP

    Certificate Policy (CP), Certificate Practice Statement (CPS), polityki zarządzania kluczami, procedury operacyjne — zgodność z ETSI EN 319 401.

  • 2

    Bezpieczeństwo informacji (ISO 27001)

    Wdrożony system zarządzania bezpieczeństwem informacji — ISO 27001 jako baza dla TSP wg ETSI EN 319 401 sekcja 7.

  • 3

    Wymagania kryptograficzne

    Algorytmy zgodne z ETSI TS 119 312 (np. RSA 3072+, ECDSA P-256+), HSM (Hardware Security Module) certyfikowane CC EAL4+ lub FIPS 140-2/3 Level 3+.

  • 4

    Walidacja tożsamości subskrybenta

    Procedury weryfikacji tożsamości (LoA — Level of Assurance — substantial/high), zgodne z eIDAS art. 24.

  • 5

    Audity i nadzór

    Coroczne audity zgodności wykonywane przez Conformity Assessment Body (CAB), nadzór NCCert (PL), publikacja na EU Trusted List.

Proces

Proces certyfikacji w pięciu krokach.

  1. 01 1 dzień

    Zapytanie + wycena

    Krótka rozmowa o zakresie (typ usługi zaufania — qualified/non-qualified, podpisy/pieczęcie/timestamping, ISO 27001 jako wymóg). Bezpłatna wycena w 2h.

  2. 02 3–5 dni

    Umowa + plan auditu

    Podpisanie umowy, dobór audytorów z kompetencjami w zakresie eIDAS, ETSI i kryptografii.

  3. 03 2–3 dni

    Audyt etapu 1

    Przegląd dokumentacji: CP, CPS, polityki, ISO 27001, dokumentacja kryptograficzna, audity HSM — zwykle zdalnie.

  4. 04 3–5 dni

    Audyt etapu 2

    Audyt certyfikacyjny w siedzibie organizacji. Wizja centrum danych, weryfikacja procedur kluczowych, testy operacyjne, weryfikacja LoA.

  5. 05 4–6 tyg.

    Raport + wniosek do nadzoru

    Wystawienie raportu zgodności (Conformity Assessment Report). Klient składa wniosek do NCCert; po akceptacji — wpis na EU Trusted List.

FAQ

Najczęstsze pytania.

Co to jest eIDAS?

eIDAS (electronic IDentification, Authentication and trust Services) to rozporządzenie unijne 910/2014 regulujące identyfikację elektroniczną i usługi zaufania w UE: kwalifikowane podpisy elektroniczne, pieczęcie, znaczniki czasu, walidację, e-doręczenia. eIDAS 2.0 (rozp. UE 2024/1183) wprowadza europejski portfel tożsamości cyfrowej (EUDI Wallet) i rozszerza zakres usług zaufania.

Kim jest Trust Service Provider (TSP)?

TSP (Trust Service Provider) to organizacja dostarczająca usługi zaufania zgodnie z eIDAS — wystawiająca certyfikaty kwalifikowane, świadcząca usługi pieczęci elektronicznej, znaczników czasu, walidacji podpisów. W Polsce ich nadzór sprawuje NCCert (Narodowe Centrum Certyfikacji w NASK). Status QTSP (Qualified) wymaga audytu zgodności i wpisu na EU Trusted List.

Jaką rolę pełni Multicert w ekosystemie eIDAS?

Wykonujemy audity zgodności (Conformity Assessment) usług zaufania wg eIDAS i norm ETSI (EN 319 401, EN 319 411, EN 319 421). Audyt obejmuje weryfikację polityk (CP/CPS), bezpieczeństwa informacji (ISO 27001), kryptografii (HSM, algorytmy), walidacji tożsamości i procedur operacyjnych. Wynik — Conformity Assessment Report — jest podstawą wniosku TSP do NCCert o status kwalifikowany.

Czy ISO 27001 jest wymagana dla TSP?

ETSI EN 319 401 (General Policy Requirements for Trust Service Providers) wymaga w sekcji 7, by TSP miał wdrożony system zarządzania bezpieczeństwem informacji zgodny z ISO/IEC 27001. W praktyce ISO 27001 jest absolutnym fundamentem audytu eIDAS — bez wdrożonego SZBI nie ma sensu rozpoczynać procesu certyfikacji TSP.

Pogłębienie tematu

Pogłębienie wiedzy

Blog

Blog Multicert

39+ artykułów eksperckich o certyfikacji ISO, wyrobach CE, CPR i regulacjach UE.

 Interpretacja

Interpretacje normatywne

Praktyczne interpretacje norm wyrobów — luki, klasyfikacje, ścieżki certyfikacji.

 Program

Programy autorskie Multicert

10 dedykowanych programów branżowych — hotele, AI, FM, sport, e-commerce.
Bezpłatna wycena w 2h

Wyceń certyfikację — Audyt zgodności eIDAS.

Doradczyni Klienta oddzwoni z konkretną wyceną w ciągu 2 godzin w godzinach pracy. Audyt prowadzi Multicert; certyfikat wystawia międzynarodowa jednostka akredytowana.

Pełnomocnik Klienta

Małgorzata Nowakowska

Bezpieczeństwo informacji + eIDAS

+48 508 354 190 malgorzata.nowakowska@multicert.pl
Wyceń certyfikację
Zadzwoń Bezpłatna wycena