Suomalaisten sähköisen allekirjoituksen palveluntarjoajien velvoitteet

Johdanto

Sähköisen allekirjoituksen ratkaisun käyttöönotto Suomessa ei ole asia, jota voidaan improvisoidaan. Jokaisen pätevän tai edistyneen allekirjoituksen takana piiloutuu kymmeniä lakisääteisiä velvoitteita, jotka kuuluvat luottamuspalveluntarjoajille (PSCo). eIDAS-asetus, RGPD, yleinen tietoturva-asetus, ETSI-standardit… sääntelyympäristö on sekä tiheä että kehittyvä. Käyttäjäyrityksille näiden PSCo-velvoitteiden ymmärtäminen Suomessa, eIDAS:ssa ja RGPD:ssä on välttämätöntä, jotta he voivat valita vaatimustenvakaaisen kumppanin ja välttää oikeudellisia riskejä. Tämä artikkeli detaljoi kappale kerrallaan kaikki vaatimukset, jotka koskevat Suomella toimivia PSCo-palveluntarjoajia.

---

Pätevän luottamuspalvelun tarjoajan asema

Mikä on PSCo eIDAS-asetuksen mukaan?

Asetus eIDAS n:o 910/2014 erottaa toisistaan kaksi palveluntarjoajien kategoriaa: ei-pätevät luottamuspalveluntarjoajat ja pätevät (PSCQ) palveluntarjoajat. Ensimmäiset voivat tarjota yksinkertaisia tai edistyneitä sähköisen allekirjoituksen palveluja ilman pakollista kolmannen osapuolen auditointia. Toinen ryhmä — jotka ovat ainoastaan valtuutettuja toimittamaan eIDAS:n artiklassa 3(15) tarkoitettuja pätevöityjä allekirjoituksia — on täytettävä huomattavasti tiukemmat vaatimukset.

Suomessa Kansallinen kyberturvallisuuskeskus (NCSC-FI) täyttää valvontaviranomaisen roolin, joka on mainittu eIDAS:n 17. artiklassa. Se julkaisee ja ylläpitää Suomen luottamuspalveluluetteloa (TSL — Trust Service List), joka on saatavilla sen virallisella verkkosivustolla ja joka sisältää pätevät palveluntarjoajat ja heidän palvelunsa.

Pätevöintimenetelmä: auditointi ja vaatimustenmukaisuus

Saadakseen pätevän aseman PSCo:n on pakollisesti:

• Auditoitava palvelunsa COFRAC:n mukaisesti EN ISO/IEC 17065 -standardin mukaisesti akkreditoidulla vaatimustenmukaisuusarvioinnin elimellä (CAB).

• Toimitettava auditointi raportti NCSC-FI:lle, joka ratkaisee pätevän aseman myöntämisestä. Tämä asema arvioidaan uudelleen vähintään 24 kuukauden välein (eIDAS 20. artikla §1).

• Ilmoitettava NCSC-FI:lle kaikista merkittävistä muutoksista palveluissaan 3 kuukauden kuluessa ennen suunniteltua muutosta (eIDAS 21. artikla).

Näiden vaiheiden noudattamatta jättäminen altistaa palveluntarjoajan TSL-poistamiselle ja pätevöidyn allekirjoitukseen liittyvien oikeudellisten oletusten menetykselle. Asiakasyrityksiä, jotka käyttävät palveluntarjoajaa, jota ei ole merkitty TSL:ään, ei hyödytä minkään oikeudellisen luotettavuus-oletuksen.

> Saadaksesi lisätietoja eri allekirjoituksen tasoista ja niiden oikeudellisista vaikutuksista, lue meidän eIDAS 2.0 -asetuksen kattava opas.

---

PSCo:ille asetetut tekniset ja turvallisuusvelvoitteet

ETSI-standardien noudattaminen

Pätevöityjen palveluntarjoajien on noudatettava European Telecommunications Standards Institute (ETSI) -järjestön julkaisemien eurooppalaisten standardien kokonaisuutta. Tärkeimmät ovat:

• ETSI EN 319 401 : yleiset turvallisuusvaatimukset, jotka koskevat kaikkia PSCo:ta.

• ETSI EN 319 411-1 ja 411-2 : varmenteiden myöntävien viranomaisten käytännöt ja politiikat.

• ETSI EN 319 132 : edistyneet sähköisen allekirjoituksen formaatit (XAdES XML-muodossa, PAdES PDF-muodossa, CAdES CMS-muodossa).

• ETSI EN 319 122 : CAdES-muoto pätevöidyille allekirjoituksille.

• ETSI TS 119 431 : vaatimukset etäksi sijaitsevien allekirjoitusten luomispalveluille (QSCD).

Nämä standardit eivät ole valinnaisia: eIDAS-asetus (liitteet II, III ja IV) viittaa niihin nimenomaisesti määritellessään pätevöityjen varmenteiden ja allekirjoitusten luomislaitteiden vähimmäisvaatimukset.

Turvallisten allekirjoitusten luomislaitteiden (QSCD) hallinta

Yksi pätevöidyn allekirjoituksen perusteista on turvallisen allekirjoituksen luomislaitteen (QSCD — Qualified Signature Creation Device) käyttö eIDAS:n liitteen II mukaisesti. Palveluntarjoajan on varmistettava, että:

• Allekirjoittajan yksityisen avaimen luominen, säilyttäminen tai kopiointi tapahtuu yksinomaan QSCD:n ulkopuolella.

• Avaimen luominen tapahtuu yksinomaan sertifioidussa ympäristössä (Common Criteria EAL 4+ -sertifiointi tai vastaava).

• Allekirjoittajan todennus allekirjoitusta edeltävässä vaiheessa perustuu vähintään kahteen todennustekijään.

Etäksi tapahtuvan allekirjoituksen yhteydessä — joka on yhä yleisempi SaaS-ympäristöissä — näitä vaatimuksia sovelletaan avaimia sisältävään HSM-palvelimeen (Hardware Security Module). NCSC-FI on julkaissut erityiset suojaprofiileja (PP-0075, PP-0076), jotka määrittelevät saavutettavat turvallisuuskriteerit.

Jatkuvuus- ja tapahtumanilmoituspolitiikka

Ehdotettavan eIDAS:n 19. artiklan mukaan jokaisen luottamuspalvelun tarjoajan (pätevä tai ei) on:

• Ilmoitettava valvontaviranomaiselle (NCSC-FI) ja tietosuojaviranomaiselle (TIPA), 24 tunnin kuluessa tietoturvarikkomuksen havaitsemisesta, mikä saattaa vaikuttaa palvelun luotettavuuteen.

• Pidettävä dokumentoitua ja säännöllisesti testattua liiketoiminnan jatkuvuussuunnitelmaa.

• Oltava muodollinen tietotekniikan turvallisuuspolitiikka, joka kattaa erityisesti riskienhallintaa, tapahtumahallinnan ja varmuuskopioiden politiikan.

Nämä vaatimukset menevät osittain päällekkäin NIS2-direktiivin (2022/2555/EU) kanssa, joka on otettu käyttöön Suomessa, ja joka luokittelee merkittävät PSCo:t tärkeiden tai kriittisten entiteettien joukkoon, jotka ovat sidonnaisia kytkettyihin kyberturvallisuusvelvoitteisiin.

> Tutustu siihen, miten sähköinen allekirjoitus oikeusasiamiehen toimistoille on integroitava nämä rajoitukset niiden dokumenttityönkulkuihin.

---

RGPD-vaatimukset, jotka koskevat PSCo:ta

Onko PSCo vastuullinen vai alihankkija?

PSCo:n RGPD-määritys riippuu tarjottavan palvelun luonteesta:

• Kun PSCo toimittaa suoraan pätevöityjä varmenteita allekirjoittajan nimiin ja määrittää henkilötietojen käsittelyn tarkoitukset (henkilöllisyys, biometriset todennustiedot), se toimii vastuullisuuden haltijana eIDAS:n 4. artiklassa (7) mainitulla tavalla.

• Kun se integroi API-rajapintansa B2B-asiakkaan alustoihin ja käsittelee henkilötietoja vain asiakkaan ohjeiden mukaan, se saa aseman alihankkija (4. artikla (8)) ja sen on pakollisesti tehtävä DPA (Data Processing Agreement) RGPD:n 28. artiklan mukaisesti.

Käytännössä useimmat SaaS PSCo:t ottavat molemmat roolit: vastuullisena omansa sertifikaatin hallintainfrastruktuureille, alihankintana asiakkaiden asiakirjojen ja allekirjoittajien metatietojen käsittelylle.

Biometristen ja identiteettipoliitikoiden hallintaa koskevat erityisvelvoitteet

Allekirjoittajan tunnistaminen ja todennus — pakollinen vaihe pätevöidyn varmenteen myöntämiseksi — sisältää usein arkaluontoisten tietojen käsittelyn: henkilöllisyystodistuksen skannausta, videoselfiet, kasvojen tunnistamisen biometrisia tietoja. Nämä tiedot muodostavat henkilötietoja RGPD:n alaisten, jopa biometrisia tietoja, jotka kuuluvat RGPD:n 9. artiklaan (erityiset kategoriat).

PSCo:n velvoitteisiin kuuluvat:

• Oikeudellinen perusta : nimenomaisesti annettu suostumus (9. artikla § 2a) tai joissain tapauksissa oikeudellinen velvoite (9. artikla § 2b) biometristen tietojen käsittelylle.

• Säilyttämisen kesto rajoitettu: TIPA:n ohjeiden mukaan identiteetin tiedot on säilytettävä ainoastaan tarpeen verran, usein sopeutettuna varmenteen voimassaoloaika + oikeudellinen todistusaika (usein 10 vuotta yksityisen oikeustoimen osalta, Code Civil 2224).

• Vaikutusanalyysi (AIPD) pakollinen (35. artikla) silloin, kun käsittely saattaa aiheuttaa korkean riskin — joka on systemaattisesti tilanne biometrialle.

• Käsittelyjen rekisteri (30. artikla) päivitettynä ja jokaista käsittelykategoriaa dokumentoidessa.

Kansainväliset tietojen siirrot

Monet PSCo:t sijoittavat koko tai osan infrastruktuuristaan Euroopan talousalueen (ETA) ulkopuolelle. Tässä tapauksessa RGPD:n V luvussa vaaditut asianmukaiset suojaukset pätevät: adekvaattisuuspäätös, Euroopan komission vakiosopimuslausekkeet (SCC) tai sitovat yritysperiaatteet (BCR). Schrems II -tuomio (CJEU, C-311/18, 16. heinäkuuta 2020) on muistuttanut, että siirrot Yhdysvaltoihin edellyttävät aiemman riskianalyysin.

> Ymmärtääksesi paremmin näiden sääntöjen vaikutusta organisaatioosi, lue meidän oppaasta sähköisen allekirjoituksen yrityksille.

---

Läpinäkyvyys- ja tietoisuusvelvoitteet käyttäjille

Sertifikaattipolitiikka (PC) ja sertifikaatinkäytäntöjen ilmoitus (DPC)

Jokaisen varmenteita myöntävän PSCo:n on julkaistava Sertifikaattipolitiikka (PC) ja Sertifikaatinkäytäntöjen ilmoitus (DPC) ETSI EN 319 411 -standardin mukaisesti. Nämä vapaasti saatavissa olevat asiakirjat seuraavat yksityiskohtaisesti:

• Allekirjoittajien tunnistus- ja rekisteröintimenettelyt.

• Fyysisen ja loogisen turvallisuuden toimenpiteet.

• Varmenteiden peruuttamisolosuhteet ja siihen liittyvät määräajat.

• PSCo:n vastuu- ja vastuun rajoitukset.

Näiden asiakirjojen puuttuminen tai puutteellisuus on epäyhteensopivaisuus, jonka akkreditoitu elin voi havaita pätevyyden uudelleenarvioinnissa.

Sopimuksentekoa edeltävä ja sopimukseen liittyvä tiedottaminen asiakkaille

Puhtaasti teknisten velvoitteiden lisäksi RGPD:n 13. artikla velvoittaa PSCo:ta toimittamaan kaikille ihmisille, joiden tietoja kerätään, selkeää ja saavutettavaa tietoa seuraavista:

• Vastuullisuuden haltijan henkilöllisyys ja tietosuojavastaavan yhteystiedot (pakollinen PSCo:ille, jotka käsittelevät laajamittaisesti arkaluontoisia tietoja, 37. artikla).

• Kunkin käsittelyn tarkoitukset ja oikeusperusta.

• Henkilöiden oikeudet (pääsy, oikaisu, poistaminen, siirrettävyys, vastustaminen).

• Mahdolliset tietojen saajat (alihankkijat, viranomaiset).

Nämä tiedot on sisällytettävä palvelun tietosuojakäytäntöön, käyttöehtoihin ja mahdollisesti ammattiasiakkaiden kanssa tehtävään DPA-sopimukseen.

Pätevöity aikaleimainta ja tarkistuspolku

Varmistaakseen allekirjoitusten pitkäaikaista todistusarvoa tunnolliset PSCo:t liittävät systemaattisesti pätevöidyn sähköisen aikaleiman (42. artikla eIDAS) jokaiseen allekirjoitettuun asiakirjaan. Tämä aikaleima muodostaa lain mukaisen todisteen asiakirjan olemassaolosta ilmoitetulla päivämäärällä. Tarkistuspolun säilyttäminen (tunnistamisen lokit, asiakirjan tiiviste, allekirjoitusten tiedot) on käytännön velvoite, joka mahdollistaa myöhemmän oikeudellisen vahvistuksen.

> Vertaa markkinoiden ratkaisuja näiden kriteerien perusteella meidän sähköisen allekirjoituksen ratkaisujen vertailussa.

---

eIDAS 2.0: uudet velvoitteet näkyvissä 2026-2027

eIDAS 2.0 -asetus (EU) 2024/1183

Julkaistu EU:n virallisessa lehdessä 30. huhtikuuta 2024, asetus (EU) 2024/1183 kutsutaan « eIDAS 2.0 » ja vahvistaa merkittävästi PSCo:n velvoitteita kolmen akselin ympärillä:

• Eurooppalainen digitaalinen henkilöllisyyssalkku (EUDI Wallet) : jäsenvaltioiden on tarjottava sertifioitu digitaalinen identiteettisalkku 2. marraskuuta 2026 mennessä. PSCo:n on integroitava palvelunsa tähän salkkuun tarjotakseen pätevöityjä allekirjoituksia eIDAS 2.0 -identiteetin kautta.

• Attribuuttitodistusten hallinta : eIDAS 2.0 esittelee pätevöidyt attribuuttitodistukset (QEAAs), jotka myöntävät pätevöidyt attribuuttien todistuspalvelun tarjoajat. Uusia tarkastus- ja pätevöintimenettelyjä sovelletaan.

• Valvonnan vahvistaminen : kansalliset valvontaviranomaiset (NCSC-FI Suomelle) näkevät voimansa laajeneviksi, erityisesti kyvyn suorittaa ilmoittamattomia auditointeja ja määrätä pakottavia korjaavista toimenpiteistä lyhyemmissä aikarajoissa.

Käytännön vaikutukset nykyisille palveluntarjoajille

PSCo:t, joilla on jo pätevyys eIDAS 1.0:n alla, joutuvat asteittaiseen vaatimustenmukaisuuden muutokseen ennen komission soveltamispäätösten asettamia määräaikoja. Tärkeimmät muutokset koskevat:

• Tunnistus-infrastruktuurin uudistus EUDI Walletin tukemiseksi todennusmenetelmänä.

• PC/DPC:n päivitys uusien varmentetyyppien ja todistusten sisällyttämiseksi.

• QSCD-etäpalvelun turvallisuusvaatimusten vahvistaminen, joille tulevat uudet suojausprofiilit.

Asiakasyrityksille tämä tarkoittaa sen varmistamista jo tänään, että heidän palveluntarjoajallaan on dokumentoitu ja todennettavissa oleva eIDAS 2.0 -vaatimustenmukaisuuden roadmap.

Sähköisen allekirjoituksen palveluntarjoajien velvoitteisiin sovellettava oikeudellinen kehikko

Suomalla toimiviin sähköisen allekirjoituksen palveluntarjoajiin sovellettava normatiivinen ketju rakentuu useille komplementaarisille hierarkkisille tasoille.

Suomen siviililaki — 1. ja 2. luku

Siviililain 1. luvun 1 §:ssa tunnustetaan sähköinen asiakirja todisteena olevan yhtä pätevä kuin paperinen asiakirja, kunhan « voidaan riittävästi tunnistaa henkilö, jolle se on peräisin ja se on laadittu ja säilytetty siten, että sen eheys on varmistettu ». Siviililain 2. luvussa sähköinen allekirjoitus « koostuu menetelmästä, joka turvaa sen luotettavuuden ja sen yhteyden siihen asiakirjaan, johon se liittyy ». Pätevöityjen allekirjoitusten osalta eIDAS:n mukaisen luotettavuus-oletuksen hyödyllisyys kääntää todistustaakan allekirjoittajan hyväksi.

Asetus eIDAS n:o 910/2014/EU

Tämä asetus, jota sovelletaan suoraan kaikissa jäsenvaltion osissa, muodostaa luottamuspalvelujen oikeudellisen kehikon. Sen 26. artikla määrittelee edistyneen sähköisen allekirjoituksen ehdot; sen 28. artikla pätevöityjen varmenteiden vaatimukset; sen liite I antaa pätevöityjen varmenteiden pakollisen sisällön. Pätevöidyistä PSCo:ista hyötyvät asetuksen teknisissä ja oikeudellisissa vaatimuksissa vaatimustenmukaisuuden oletuksesta (19. artikla § 2), joka on merkittävä etu riidassa.

eIDAS 2.0 -asetus — (EU) 2024/1183

Julkaistu 30. huhtikuuta 2024, tämä muuttava asetus ottaa käyttöön uusia luottamuspalvelun kategorioita (pätevöidyt attribuuttitodistukset, pätevöidyt arkistointipalvelut) ja vahvistaa valvontavelvoitteita. Se kumoaa ja korvaa osittain asetusta 910/2014 asteittaisella soveltamisella komission soveltamispäätösten mukaisesti.

RGPD — Asetus (EU) 2016/679

RGPD sovelletaan kaikissa henkilötietojen käsittelyissä sähköisen allekirjoituksen palvelun yhteydessä. Artikkelit 5 (laillisuus), 6 (oikeusperusta), 9 (arkaluontoiset tiedot), 13-14 (tiedottaminen), 28 (alihankkija), 32 (turvallisuus), 33-34 (rikkomusilmoitus), 35 (AIPD) ja 37 (tietosuojavastaava) muodostavat yleisimmin sovellettavat määräykset. TIPA on Suomen oikeuksien valvontaviranomainen ja voi määrätä sakkoja jopa 20 miljoonaan euroon tai 4 % vuosittaisesta maailmanlaajuisesta liikevaihdosta (83. artikla § 5 RGPD).

NIS2-direktiivi — (EU) 2022/2555

Otettu käyttöön Suomessa, NIS2 luokittelee merkittävät PSCo:t « tärkeiden » tai « kriittisten » entiteettien joukkoon, joita koskevat kyberturvallisuuden riskienhallinnan velvoitteet ja tapahtumasilmoitus NCSC-FI:lle 24 tunnin kuluessa (varhaisen hälytyksen kautta) ja sitten 72 tunnin kuluessa (täydellinen ilmoitus).

ETSI-standardit

EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 ja TS 119 431 -standardien kokonaisuus muodostaa pätevöinnin tarkastuksen pakollisen tekniikan referenssin. Näiden noudattamatta jättäminen johtaa pätevöidyn aseman saamiseen tai ylläpitoon kyvyttömyyteen.

Oikeudellisen epäyhdenmukaisuuden riskit

Epäyhteensopiva palveluntarjoaja on alttiina: TSL-poistamiselle, sopimukseen ja sopimukseen liittymättömään vastuuseen, TIPA:n hallinnollisille seuraamuksille, NIS2-sakkoja, jotka voivat olla jopa 10 miljoonaa euroa tai 2 % maailmanlaajuisesta liikevaihdosta tärkeille entiteeteille ja 20 miljoonaa tai 4 % liikevaihdosta kriittisille entiteeteille, sekä asiakkaiden oikeudellisille kanteille, jotka ovat kärsineet vahinkoa epäpätevistä allekirjoituksista.

Käyttötilanteet: kuinka yritykset tarkistavat PSCo:n vaatimustenmukaisuuden

Skenario 1 — Teollinen konserini hallinnoi 3 000 toimittajasopimusta vuodessa

Teollisen varusteiston valmistukseen erikoistunut keskisuuri teollisuusyritys (ETI) demateriaalautuu koko toimittajasopimuksensa digitaalisella SaaS-allekirjoitusalustalla. Sisäisen tarkastuksen jälkeen oikeusosasto huomaa, että valittu palveluntarjoaja — alun perin hinta-kriteerin perusteella valittu — ei ole luettelossa ei Suomen TSL:ssä, eikä missään Euroopan TSL:ssä. Allekirjoitukset ovat « yksinkertaisen » tyyppisiä ilman allekirjoittajan vahvaa tunnistusmekanismia.

Oikeudellisen riskin edessä — kaikki allekirjoitetut sopimukset saattavat nähdä niiden todistusvoimaa kiistetään riidassa — yritys aloittaa siirtymisen NCSC-FI:n pätevöidylle PSCo:lle. Uusi ratkaisu sisältää edistyneen allekirjoituksen pätevöidyllä varmenteella, pätevöidyn aikaleiman ja viennin kelpaavan tarkistuspolun. Siirtohanke, joka toteutettiin alle 8 viikossa, mahdollistaa vanhojen sopimusten jälkikäteen turvaamisen ja yhteensopivan dokumentointipolitiikan vahvistamisen. Oikeusosastot arvioivat, että vanha sopimuksiin liittyvä oikeudellinen riski on marginaalinen johtuen niiden täytäntöönpanosta ilman vastalauseita, mutta jokainen uusi allekirjoitus on nyt suojattu.

Havaitut voitot: 60 % väheneminen mahdollisissa allekirjoitusten aitoutta koskevissa riidoissa ja 3,5 päivän keskimääräinen voitto allekirjoitusajassa monimutkaisissa sopimuksissa automaation ansiosta.

Skenario 2 — 25 yhteistyöelimen oikeustoimisto, joka on erikoistunut liikelainsäädäntöön

Oikeustoimisto, joka haluaa digitalisoida mandaattien, neuvojen ja oikeudellis-menettelyn asiakirjojen allekirjoittamisen, arvioi useita palveluntarjoajia. Sen arviointisarja sisältää seuraavat kriteerit: läsnäolo TSL:ssä, saatavilla olevan PC/DPC:n julkaisu, RGPD-yhteensopivan DPA:n olemassaolo, saatavilla olevan tietosuojavastaavan ja QSCD-etä-varmenteiden sertifikaatit.

Viidestä arvioidusta palveluntarjoajasta ainoastaan kaksi täyttää kaikki kriteerit. Toimisto valitsee lopulta PSCo:n, joka tarjoaa alkuperäisesti pätevöityjä allekirjoituksia QSCD-etäpalvelun kautta, garantoiden siviililain 1. luvun 2. §:n luotettavuus-oletuksen. Asennuksessa kuluu 3 viikkoa, koulutus mukaan luettuna. Tuloksena: 75 % mandaateista allekirjoitetaan nyt alle 24 tunnissa, kun aiemmin kesti 5-7 päivää (postiksi lähetys), ja toimisto voi osoittaa asiakkailleen ratkaisun oikeudellisen turvallisuuden tason — kilpailuetua hänen kaupallisissa ehdotuksissa.

Skenario 3 — Sairaalaklusterissa noin 1 200 sänkyä

Julkinen sairaalaklusterissa haluaa demateriaalautua työsopimusten, koulutussopimusten ja kumppanuussopimusten kanssa muiden hoitolaitosten kanssa. Käsiteltyjen tietojen arkaluontois