Задължения на доставчик на електронен подпис во Франција

Вовед

Воведување на решение за електронен подпис во Франција не може да се подготви импровизирано. Зад секој квалификуван или напреден подпис се кријат десетици правни задължења кои се наложуваат на доставчикот на услуги од доверба (PSCo). Регулативата eIDAS, RGPD, општиот референтен систем за безбедност, норми ETSI… правната рамка е густа и еволутивна. За компаниите кои го користат сервисот, разбирањето на овие правни задължења на доставчикот на електронен подпис во Франција eIDAS RGPD е неопходно за да изберат согласна партнер и да избегнат кој било правен ризик. Овој напис детално го разработува, дел по дел, целиот сет на барања кои се применуваат на PSCo кои делуваат на францускиот територијум.

---

Статусот на доставчик на квалификувана услуга од доверба

Што е PSCo во смисла на eIDAS?

Регулативата eIDAS бр. 910/2014 разликува две категории на доставчици: доставчици на услуги од доверба некавалификувани и доставчици квалификувани (PSCQ). Првите можат да нудат услуги за обичен или напреден електронен подпис без задолжителен преглед на трета страна. Вторите — единствено овластени да издаваат квалификувани подписи во смисла на член 3(15) на eIDAS — мораат да исполнат значително поригорозни барања.

Во Франција, Националната агенција за безбедност на информатичките системи (ANSSI) ја исполнува улогата на надзорно тело („Supervisory Body") предвидено во членот 17 на eIDAS. Таа го публикува и одржува францускиот список од доверба (TSL — Trust Service List), достапен на нејзиниот официјален веб-сајт, кој ја наброја квалификуваните доставчици и нивните услуги.

Постапката за квалификација: преглед и усогласеност

За да го добие квалификуваниот статус, PSCo мора неизбежно:

• Да ги преглед своите услуги од организација за оценување на усогласеност (CAB — Conformity Assessment Body) акредитирана од COFRAC според стандардот EN ISO/IEC 17065.

• Да го поднесе извештајот од преглед на ANSSI, која одлучува за доделување на квалификуваниот статус. Овој статус се ревалидира најмалку секои 24 месеци (членот 20 §1 eIDAS).

• Да го извести ANSSI за која било суштинска промена во неговите услуги во рок од 3 месеци пред предвидената промена (членот 21 eIDAS).

Неусогласувањето со овие чекори го изложува доставчикот на бришење од TSL и на загуба на правни презумпции поврзани со квалификуваниот подпис. За клиентските компании, прибегување на PSCo кој не е наведен на TSL значи да не получат никоја правна презумпција за веродостојност.

> За подетални информации за различните нивоа на подпис и нивните правни ефекти, консултирајте го нашиот целосен водич за регулативата eIDAS 2.0.

---

Технички и безбедносни задължења наложени на PSCo

Усогласеност со норми ETSI

Квалификуваните доставчици мораат да се придржуваат до сет на европски стандарди објавени од Европскиот институт за телекомуникациски стандарди (ETSI). Главните се:

• ETSI EN 319 401: општи безбедносни барања кои се применуваат на сите PSCo.

• ETSI EN 319 411-1 и 411-2: политики и практики на органи за издавање на сертификати кои издаваат сертификати за квалификуван подпис.

• ETSI EN 319 132: формати на напреден електронен подпис (XAdES за XML, PAdES за PDF, CAdES за CMS).

• ETSI EN 319 122: формат CAdES за квалификувани подписи.

• ETSI TS 119 431: барања за услуги за создавање на подпис на растојание (QSCD на растојание).

Овие норми не се опционални: Регулативата eIDAS (Прилог II, III и IV) експлицитно се повикува на нив за да ги дефинира минималните барања за квалификувани сертификати и уреди за создавање на подпис.

Управување со безбедни уреди за создавање на подпис (QSCD)

Еден од столбовите на квалификуваниот подпис е користењето на безбеден уред за создавање на подпис (QSCD — Qualified Signature Creation Device) усогласен со Прилогот II на eIDAS. Доставчикот мора да гарантира дека:

• Приватниот клучен на потписувачот не може да се генерира, складира или копира надвор од QSCD.

• Генерирањето на клучот се врши исклучително во сертифицирана средина (сертификација Common Criteria EAL 4+ или еквивалентна).

• Автентификацијата на потписувачот која претходи на секој акт на подпис се заснова на најмалку два фактори за автентификација.

Во контекст на подпис на растојание — што е се повече раширено во SaaS средини — овие барања се применуваат на серверот HSM (Hardware Security Module) кој ги хостира клучевите. ANSSI има објавено специфични профили на заштита (PP-0075, PP-0076) кои ги дефинираат критериумите за безбедност кои треба да бидат достигнати.

Политика на континуитет и известување на инциденти

Членот 19 на eIDAS ја наложува на било кој доставчик на услуги од доверба (квалификуван или не) да:

• Го извести надзорниот орган (ANSSI) и, доколку е применливо, органот за заштита на податоци (CNIL), во рок од 24 часа откако ќе ја детекта безбедносна повреда која може да има влијание на веродостојноста на сервисот.

• Да одржува документирана и редовно тестирана политика на континуитет на деловните активности.

• Да располага со политика за безбедност на информациите која е формализирана, покривајќи особено управување со ризици, управување со инциденти и политика за резервни копии.

Овие барања се делумно наклопуваат со оние од директивата NIS2 (2022/2555/UE), трансспозирана во францускиот закон преку закон бр. 2023-703 од 1 август 2023, која ги класифицира PSCo од значајна големина меѓу важни единици или суштински единици потчинети на зајакнати обврски за кибер-безбедност.

> Откријте како електронскиот подпис за правни канцеларии мора да ги интегрира овие ограничувања во нивните работни текови за документи.

---

RGPD специфични задължења за PSCo

PSCo, одговорен за обработка или обработувач?

Квалификувањето на RGPD на доставчикот зависи од природата на дадената услуга:

• Кога PSCo директно издава квалификувани сертификати во име на потписувачот и ги одредува целите на обработка на личните податоци (идентитет, биометриски податоци за автентификација), делува како одговорен за обработка според членот 4(7) на RGPD.

• Кога ја интегрира неговата API во платформата на клиент B2B и ги обработува личните податоци само според упатствата на овој клиент, го добива карактерот обработувач (членот 4(8) на RGPD) и мора да заклучи DPA (Data Processing Agreement) усогласен со членот 28 на RGPD.

Во пракса, повеќето SaaS PSCo ги кумулираат обе улоги: одговорни за управување со нивната сопствена инфраструктура за издавање на сертификати, обработувачи за обработка на документи и метаподаци на потписувачите.

Специфични обврски поврзани со биометриски податоци и податоци за идентификација

Идентификацијата и автентификацијата на потписувачот — фаза која е задолжителна за издавање на квалификуван сертификат — често вклучува обработка на чувствителни податоци: скенирање на документ за идентификација, видео селфи, биометриски податоци од препознавање на лице. Овие податоци претставуваат лични податоци потчинети на RGPD, па дури и биометриски податоци спаѓаат под членот 9 на RGPD (посебни категории).

Задолженостите на PSCo ги вклучуваат:

• Правна основа: експлицитна согласност (членот 9§2a) или, во одредени случаи, правна обврска (членот 9§2b) за обработка на биометриски податоци.

• Ограничена периода на чување: според упатствата на CNIL, податоците за идентификација мораат да се чуваат колку што е строго потребно, обично усогласено со периодата на валидност на сертификатот + правна периода на докази (честопати 10 години за приватни акти, членот 2224 од францускиот граѓански закон).

• Анализа на влијание (AIPD) која е задолжителна (членот 35 на RGPD) кога обработката е подложна на ризик од висок ризик — што систематски е случај за биометрија.

• Регистар на обработки (членот 30 на RGPD) кој е ажуриран и документира секоја категорија на обработка.

Меѓународни трансфери на податоци

Многумина од PSCo ја хостираат целата или дел од нивната инфраструктура надвор од Европскиот економски простор (EEP). Во овој случај, соодветните гарантии барани од глава V на RGPD се наложуваат: одлука за адекватност, типски договорни клаузули (SCCs) на Комисијата на Европа или обврзувачки правила на компанијата (BCR). Пресудата Schrems II (CJUE, C-311/18, 16 јули 2020) го потсети дека трансферите кон САД бараат претходна анализа на ризик по держава.

> За разбирање на влијанието на овие правила на вашата организација, консултирајте го нашиот водич за електронски подпис во компанијата.

---

Обврски за транспарентност и информирање на корисниците

Политика на издавање на сертификати (PC) и изјава за практики на издавање на сертификати (DPC)

Секој PSCo кој издава сертификати е обврзан да публикува Политика на издавање на сертификати (PC) и Изјава за практики на издавање на сертификати (DPC), во согласност со стандардот ETSI EN 319 411. Овие документи, слободно достапни, детално ги опишуваат:

• Постапките за идентификација и регистрирање на потписувачите.

• Мерките за физичка и логичка безбедност кои се преземаат.

• Условите за одозив на сертификатите и поврзаните рокови.

• Одговорностите и ограничувањата на гаранција на PSCo.

Отсуството или непополнетоста на овие документи претставува неусогласеност која може да се забележи при преглед на реквалификација од акредитирана организација.

Предуговорни и договорни информации за клиентите

Над и покрај строго техничките обврски, членот 13 на RGPD ја наложува на PSCo да даде на секоја личност чии податоци се собираат јасна и достапна информација за:

• Идентитетот на одговорниот за обработка и контактни информации на DPO (задолжително за PSCo кои обработуваат во голема мера чувствителни податоци, членот 37 на RGPD).

• Целите и правните основи на секоја обработка.

• Правата на личностите (пристап, коригирање, бришење, преносивост, противење).

• Евентуалните примачи на податоци (обработувачи, органи).

Овие информации мораат да бидат опфатени во политиката за приватност на сервисот, во CGU и, доколку е применливо, во DPA склучен со професионални клиенти.

Квалификуван времески печат и траг од ревизија

За да се гарантира дугорочна вредност на доказите на подписите, серьозни PSCo систематски го асоцијаат квалификуваниот електронски временски печат (членот 42 на eIDAS) со секој потпишан акт. Овој временски печат претставува правна презумпција на доказ за постоење на податокот на наведената датума. Чувањето на трагот од ревизија (логи за идентификација, отпечаток на документот, податоци од подписот) е фактичка обврска за да се овозможи која било судска верификација подоцна.

> Спореди ги решенијата на пазарот според овие критериуми во нашиот споредбен приказ на решенијата за електронен подпис.

---

eIDAS 2.0: новите задължения на хоризонтот 2026-2027

Регулативата eIDAS 2.0 (UE) 2024/1183

Објавена во Официјалниот весник на УЕ на 30 април 2024, регулативата (UE) 2024/1183 позната како „eIDAS 2.0" значајно ги зајакнува задолженостите на PSCo околу три оски:

• Европскиот портфолио за дигитален идентитет (EUDI Wallet): земјите-членки мораат да даделе портфолио за дигитален идентитет сертифициран до 2 ноември 2026. PSCo мораат да го интегрираат нивниот сервис со овој портфолио за да нудат квалификувани подписи преку идентитетот eIDAS 2.0.

• Управување со атрибутски потврди: eIDAS 2.0 воведува квалификувани атрибутски потврди (QEAAs), издадени од квалификувани доставчици за потврди. Нови постапки за преглед и квалификација ќе се применат.

• Зајакнување на надзорот: националните органи за надзор (ANSSI за Франција) добиваат проширени полномошти, особено способност за спроведување на неопозвани прегледи и наметнување на обврзувачки коригирајќи мерки во скратени временски периоди.

Практично влијание за трутните доставчици

PSCo кои веќе се квалификувани под eIDAS 1.0 мораат да подлегнат на прогресивна усогласеност пред рокови утврдени од имплементирачки акти на Комисијата (објавени или во тек на објавување). Главните адаптации се однесуваат на:

• Реконструкција на инфраструктурата за идентификација за да се поддржи EUDI Wallet како средство за автентификација.

• Ажурирање на PC/DPC за интегрирање на новите типологии на сертификати и потврди.

• Зајакнување на безбедносните барања на QSCD на растојание, со нови профили на заштита што ќе дојдат.

За клиентските компании, ова значи верификација веќе денес дека нивниот доставчик располага со документирана и верифицирана дорогма за усогласеност eIDAS 2.0.

Правна рамка применлива на обврските на доставчиците на услуги за електронен подпис

Нормативната верига применлива на доставчици на услуги за електронен подпис кои делуваат во Франција се артикулира на неколку комплементарни хиерархиски нивоа.

Францускиот граѓански закон — Членови 1366 и 1367

Членот 1366 од францускиот граѓански закон го препознава електронскиот напис како еквивалентен начин на доказ на писмениот напис, под услов да „може да биде правилно идентификувана личноста од која потекнува и да е воспоставена и сочувана во услови способни да гарантираат интегритет". Членот 1367 прецизира дека електронскиот подпис „се состои во користење на веродостој постапка за идентификација која гарантира нејзина врска со актот на кој е прилепена". Презумпцијата на веродостојност ги погодува квалификуваните подписи во смисла на eIDAS, обрнувајќи ја товарот на доказот во корист на потписувачот.

Регулативата eIDAS бр. 910/2014/UE

Оваа регулатива, која е директно применлива во сите земји-членки, го воспоставува правната рамка за услуги од доверба. Нејзиниот членот 26 дефинира услови на напреден електронен подпис; членот 28 ја определува обврските на квалификувани сертификати; нејзиниот Прилог I детално го определува задолжителното содржание на овие сертификати. Квалификуваните PSCo бенефицираат од презумпција на усогласеност со техничките и правните барања од регулативата (членот 19§2), што претставува главна предност во случај на спор.

Регулативата eIDAS 2.0 — (UE) 2024/1183

Објавена на 30 април 2024, оваа измена регулатива воведува нови категории на услуги од доверба (квалификувани атрибутски потврди, квалификувани услуги за архивирање) и ги зајакнува обврските за надзор. Таа ги отфрла и делумно замени регулативата 910/2014, со прогресивна применливост според имплементирачките акти на Комисијата.

RGPD — Регулатива (UE) 2016/679

RGPD се применува на секоја обработка на лични податоци реализирана во контекст на услуга за електронен подпис. Членовите 5 (принципи на законитост), 6 (правна основа), 9 (чувствителни податоци), 13-14 (информирање), 28 (обработка на трети страни), 32 (безбедност), 33-34 (известување за прекршување), 35 (AIPD) и 37 (DPO) ја сочинуваат најчесто применуваната одредба. CNIL е компетентниот органи за надзор во Франција и може да наложи казни до 20 милиони евра или 4% од глобалниот годишен приход (членот 83§5 RGPD).

Директива NIS2 — (UE) 2022/2555

Трансспозирана во францускиот закон преку закон бр. 2023-703 од 1 август 2023, NIS2 ги класифицира значајни PSCo меѓу важни единици или суштински единици потчинети на обврски за управување со кибер ризици и известување на инциденти на ANSSI во рок од 24 часа (рано предупредување) потоа 72 часа (целосно известување).

Норми ETSI

Целокупниот сет на норми EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 и TS 119 431 претставува задолжитена техничка референца за преглед на квалификација. Нивното неусогласување резултира со неможност да се добие или одржи квалификуваниот статус.

Правни ризици при неусогласеност

Неусогласен доставчик се изложува на: бришење од францускиот TSL, ангажирање на неговата договорна и вонконтрактна одговорност, административни санкции CNIL, казни NIS2 кои може да достигнат до 10 милиони евра или 2% од глобалниот приход за важни единици и 20 милиони или 4% од глобалниот приход за суштински единици, како и судски правозаступи од клиентите кои претрпеја штета поради неважечи подписи.

Сценарија за употреба: како компаниите ја верификуваат усогласеноста на нивниот PSCo

Сценариј 1 — Индустриска група која управува со 3 000 договори со добавувачи годишно

Индустриска група средна големина (ETI), активна во производство на механички опреми, ја дематеријализира целокупната группа договори со добавувачи преку SaaS платформа за електронен подпис. По ревизија на внатрешно спровведена поради развој на регулатива, правната дирекција констатира дека избраниот доставчик — првично избран по критеријум на цена — ни на францускиот TSL, ни на било кој европски TSL не е референциран. Подписите издадени се од тип „едноставни" без механизам на робусна идентификација на потписувачот.

Пред правниот ризик — целосната група договори можеше да има нивната вредност на доказ оспорена во случај на спор — компанијата преземи миграција кон квалификуван PSCo ANSSI. Новото решение вклучува напреден подпис со квалификуван сертификат, квалификуван временски печат и експортабилен траг од ревизија. Преместувачкиот проект, реализиран во помалку од 8 неделите, дозволува ретроспективно да се безбедат новите акти и да се воспостави политика на документирање согласна со регулативата. Правните екипи процениле дека ризикот од спорови поврзани со старите договори е маргинален заради нивното извршување без оспорување, но секој нов подпис е исправно обезбеден.

Забележани добитки: намалување од 60% на потенцијални спорови поврзани со автентичност на подписите, и добивка од 3,5 денови просечна задержка на подпис кај сложени договори благодарение на автоматизација на работниот тек за валидирање.

Сценариј 2 — Правна канцеларија со 25 соработници специјализирана за бизнис право

Правна канцеларија која сака да го дигитализира подписот на налози, консултации и судски акти евалуира неколку доставчици. Нејзината мрежа за анализа ги вклучува следниве критериуми: присуство на TSL, публикување на достапна PC/DPC, постоење на RGPD усогласен DPA, достапност на обезбеден и контактен DPO и сертификација на QSCD на растојание.

Од пет евалуирани доставчици, двајца само ги исполнувале сите критериуми. Канцеларијата на крајот го избра PSCo кој натроран ја нуди квалификувана подпис преку QSCD на растојание, гарантирајќи ја презумпцијата на веродостојност од членот 1367 на францускиот граѓански закон. Воспоставката трае 3 недели, вклучувајќи обука. Резултат: 75% од налозите се сега потпишани во помалку од 24 часа наспроти 5 до 7 денови претходно (пошта), и канцеларијата може да оправда на своите клиенти нивото на правна безбедност нудено од решението — аргумент кој го разликува во нејзините продажни понуди.

Сценариј 3 — Болничка група со околу 1 200 кревети

Болничка група јавна желба да ги дематеријализира работните договори, договорите за практикантство и партнерските договори со партнерски установи за здравствена заштита. Чувствителноста на обработуваните податоци (здравствени податоци на здравственото персоналот, податоци за човечки ресурси) наложува посебна внимателност во врска со RGPD обврските на PSCo.

DSI и DPO на установата бараат: хостирање на податоци во Франција кај хостер на здравствени податоци сертификуван HDS (Hébergeur de Données de Santé, сертификација предвидена од членот L.1111-8 на францускиот закон за јавно здравје), без трансфер надвор од EEP, документирана AIPD за обработка на идентификација на потписувачите, и DPA потпишан пред било каква производна примена.

По избор на PSCo кој ги исполнува овие критериуми, воспоставката приоритетно ги покрива работните договори (приблизно 800 акти годишно). Просечната задержка на подписот на договори со определена периода е намалена од 9 денови на помалку од 48 часа, ослободувајќи значајна капацитет за екипата за човечки ресурси. Установата располага исто така со целосна