Pätevä sähköinen yritystodistus: opas 2026

Miksi pätevä sähköinen todistus on tullut yrityksille välttämättömäksi

Kun sopimusten sähköistäminen kiihtyy kaikilla aloilla, pätevä sähköinen todistus nousee strategiseksi kysymykseksi oikeusosastoille, IT-johtajille ja toimitusjohtajille. ANSSI:n vuoden 2024 vuosiraportin mukaan yli 78 % ranskalaisista pienistä ja keskisuurista yrityksistä, jotka ovat ottaneet käyttöön pätevän sähköisen allekirjoituksen, ovat vähentäneet sopimuksentekoon kuluvaa aikaa yli 60 %. Silti monet sekoittavat yksinkertaisen, edistyneen ja pätevän allekirjoituksen – millä on riski altistaa oikeustoimit kiistoille. Tämä artikkeli opastaa sinua vaihe vaiheelta ymmärtämään, mitä pätevä sähköinen todistus on, kuinka hankkia se RGS- ja eIDAS-kehikon mukaisesti ja kuinka ottaa se käyttöön organisaatiossasi tehokkaasti.

Mikä on pätevä sähköinen todistus?

Sähköinen todistus on digitaalinen tiedosto, jonka myöntää sertifiointiviranomainen (AC), ja joka yhdistää fyysisen tai oikeushenkilön henkilöllisyyden julkiseen salausavaimeen. Se on perusedellytys sille, että kolmas osapuoli voi varmistaa digitaalisen allekirjoituksen aitouden ja eheyden.

Termi "pätevä" viittaa eIDAS-säädöksen (n:o 910/2014, 28 artikla) määritelmään: todistuksen on myönnettävä pätevä luottamuspalvelun tarjoaja (PSCQ), joka on merkitty kansalliseen luottamuslistaan (Ranskassa ANSSI:n julkaisema lista). Lisäksi sen on noudatettava ETSI EN 319 411-2 -standardin teknisiä vaatimuksia, jotka sääntelevät sertifiointikäytäntöjä.

Käytännössä pätevä todistus takaa:

• Allekirjoittajan vahvistettava henkilöllisyys (kasvokkain suoritettava henkilöllisyyden tarkistus tai hyväksytty vastaava keino) ;
• Allekirjoitetun asiakirjan eheys (kaikki jälkikäteen tehdyt muutokset ovat havaittavissa) ;
• Kiistämättömyys (allekirjoittaja ei voi kieltää allekirjoituksensa antamista).

Ero yksinkertaisen, edistyneen ja pätevän allekirjoituksen välillä

eIDAS-sääntö erottaa kolme sähköisen allekirjoituksen tasoa, joista jokainen liittyy todistustasoon:

| Taso | Vaadittu todistus | Todistusvoimakkuus | Tyypillinen käyttö | |---|---|---|---| | Yksinkertainen | Ei vaadittu | Heikko | Tavalliset tilaukset | | Edistynyt | Edistynyt todistus (PSCQ) | Keskimääräinen | B2B-kaupallisesti sopimukset | | Pätevä | Pätevä todistus (hyväksytty PSCQ) | Maksimaalinen, vastaa kädellä allekirjoitettua | Notaarin todistukset, julkiset hankinnat, herkkä henkilöstö |

Pätevä allekirjoitus – ainoa, joka nauttii laillisesta olettamasta, että se vastaa kädellä allekirjoitettua allekirjoitusta (Ranskan siviililain 1367 artikla) – vaatii pakosti pätevän todistuksen. Lisätietoja tasoista saat allekirjoituksen kokonaisuusoppaasta.

---

RGS-kehys: Ranskalaiset erityispiirteet, jotka sinun on tiedettävä

Ranskassa yleinen turvallisuusviitekehys (RGS) asetuksella n:o 2010-112 ja ANSSI:n säännöllisesti päivittämä määritellään hallinnon tietojärjestelmiin sovellettavat turvallisuusvaatimukset. Yrityksille, jotka solmivat sopimuksia julkisen sektorin kanssa (julkiset hankinnat, sähköiset menettelyt), RGS:n noudattaminen on usein sopimuksellinen tai säännöllinen velvoite.

RGS-tasot, jotka koskevat todistuksia

RGS määrittelee kolme todistuksen laadun tasoa:

• RGS* (yksi tähti) : perus taso, sopii matalan herkkyyden tavanomaiseen käyttöön ;
• RGS (kaksi tähteä)** : keskitaso, vaaditaan useimmille hallinnollisille sähköisille menettelyille ;
• RGS (kolme tähteä)* : korkea taso, korkean oikeudellisen tai taloudellisen merkityksen asioille.

Demateriaalisen julkisen hankinnan profiilin kautta julkaistuja julkisia hankintoja varten asetus n:o 2016-360 (artiklarit 39 ja 40) asettaa yleensä vähintään RGS -tason allekirjoituksen vaatimukseksi, mikä edellyttää vastaavan tason todistusta.

RGS:n ja eIDAS:n keskinäinen suhde

Siitä lähtien kun eIDAS-asetus otettiin käyttöön, molemmat viitekehykset rinnakkaistuvat. eIDAS-standardi mukainen pätevä todistus katsotaan täyttävän RGS** vaatimukset useimmissa tapauksissa. ANSSI on julkaissut vastaavuustaulukot, joiden avulla voit varmistaa yhteensopivuuden. Sekä yksityisen että julkisen sektorin kumppaneiden kanssa työskenteleville yrityksille on suositeltavaa valita eIDAS-mukainen pätevä todistus, jonka myöntää ranskalaisella luottamuslistalla merkitty PSCQ – tämä kattaa samanaikaisesti molemmat viitekehykset.

Lisätietoja eurooppalaisesta säädöksestä saat eIDAS 2.0 -oppaasta, joka kuvaa suuria muutoksia ja niiden vaikutuksia ranskalaisille yrityksille.

---

Kuinka hankkia pätevä sähköinen todistus: vaiheittainen prosessi

Pätevän sähköisen todistuksen hankkiminen ei ole pieni asia: se edellyttää hakijan henkilöllisyyden tiukkaa tarkastusta ja oikeushenkilön tapauksessa hänen edustamisoikeuttaan. Tässä ovat pääaskeleet.

Vaihe 1: Oikean pätevän luottamuspalvelun tarjoajan tunnistaminen

Ranskassa PSCQ:t, joilla on oikeus myöntää pätevät todistukset, on luetteloitu ANSSI:n julkaisemalla Trust Service Status List (TSL) -listalla (saatavana esignature.gouv.fr-portaalissa). Tämän listan toimijoiden joukossa ovat esimerkiksi sertifiointiviranomaiset kuten CertEurope, Certinomis (La Posten tytäryhtiö), Keynectis ja muut eIDAS:n keskinäisen tunnustamisen perusteella tunnustetut eurooppalaiset palveluntarjoajat.

Tarkastavat valintakriteerit:

• Todellinen läsnäolo ranskalaisella ja/tai eurooppalaisella TSL-listalla ;
• Tarjottu todistusmuoto (ohjelmisto, älykortti, pilvi-HSM) ;
• Yhteensopivuus nykyisen IT-infrastruktuurin kanssa ;
• Hinnoittelu ja voimassaolokausi (yleensä 1–3 vuotta) ;
• Tukitaso ja rekisteröintiaika.

Vaihe 2: Rekisteröintitiedoston kokoaminen

Yrityksen hakemus pätevästä todistuksesta edellyttää sekä haltijan henkilöllisyyttä että hänen valtuuttaan edustaa oikeushenkilöä osoittavien asiakirjojen toimittamista. Yleensä vaaditaan:

• Haltijan virallinen henkilöllisyystodistus (passi, kansalaistodistus) ;
• Alle 3 kuukautta vanha Kbis-ote (tai vastaava yhdistyksille, julkisille laitoksille) ;
• Valtuutuskirje mikäli haltija ei ole lakisääteinen edustaja ;
• Rekisteröintilomake, joka on PSCQ-kohtainen.

Henkilöllisyyden tarkastaminen on suoritettava kasvokkain PSCQ:n valtuuttamalla rekisteröintioperaattorilla (RO) tai hyväksytyllä etäverifiointimenetelmällä (videotunnus ETSI TS 119 461 -standardin mukaisesti).

Vaihe 3: Todistuksen toimittaminen ja aktivointi

Valitusta muodosta riippuen todistus toimitetaan:

• Hyväksytyllä allekirjoitusavaimeen perustuvalla laitteella (QSCD): salatuilla USB-avaimilla tai sertifioidulla älykorteilla (Common Criteria EAL 4+ -standardi) ;
• Etäisignointipalvelun (Remote Qualified Electronic Signature — RQES) kautta, jota hallinnoi PSCQ ja jossa yksityinen avain sijaitsee sertifioidulla HSM-laitteella (ETSI EN 419 241 -standardi).

RQES-palvelun käyttöönotto on tänään yleisimmin yrityksissä käytetty ratkaisu, koska se välttää fyysisten salaustuki-itkemien hallinnon samalla kun säilyttää pätevyyden. Vertaile sähköisen allekirjoituksen ratkaisuja tunnistaksesi parhaiten sopiva malli tilanteeseen.

Vaihe 4: Integrointi liiketoimintaprosesseihin

Kun olet saanut todistuksen, sen integroiminen yrityksen asiakirjavirtoihin tapahtuu yleensä SaaS-pohjaisen sähköisen allekirjoitusalustan kautta. Se on ehdottomasti oltava yhteensopiva ETSI-standardien kanssa (XAdES, PAdES, CAdES) varmistaakseen yhteensopivuuden ja digitaalisten todisteiden pysyvyyden. Sähköisen allekirjoituksen artikkelit yrityksille auttavat sinua jäsentämään tämän käyttönoton.

---

Kustannukset, voimassaolo ja uusiminen: mitä yritysten tulee huomioida

Hintatiedot 2026

Pätevien todistuksien hinnat vaihtelevat merkittävästi muodon ja palveluntarjoajan mukaan:

• Todistus fyysisellä tuelle (USB/kortti) : 80–250 €/v/henkilö (ilman arvonlisäveroa) ;
• Pätevä pilvi-todistus (RQES) : 40–150 €/v/henkilö (ilman arvonlisäveroa), määristä riippuen ;
• Yrityksen sopimukset : merkittäviä alennuksia alkaen 10 käyttäjästä, jotka voivat saavuttaa 30–40 % yksikköhinnasta.

Nämä kustannukset on asetettava suhteeseen saatuihin säästöihin: tulostuksien, postimaksujen, postitse lähettämiseen kuluvan ajan ja kiistanalaisten allekirjoitusten aiheuttamien riitojen poistuminen.

Voimassaolon kesto ja uusiminen

Pätevän todistuksen voimassaolo on yleensä 1, 2 tai 3 vuotta valitusta tarjouksesta riippuen. Voimassaolon päätyttyä, aiemmin allekirjoitetut asiakirjat pysyvät voimassa (mikäli niiden eheys säilyy pätevän aikaleiman palvelun kautta), mutta uusia asiakirjoja ei voi allekirjoittaa vanhentuneen todistuksen avulla. On siis välttämätöntä luoda prosessi seurantaa ja uusimista varten – mieluiten 60 päivää ennen voimassaolon päättymistä.

Peruutus ja poikkeamien hallinta

Mikäli yksityinen avain on vaarantunut (kadonneet, varastetut tuet, epäily levinneet salaisuuksista), todistus on peruutettava välittömästi PSCQ:lle. Se julkaisee peruutuksen todistuksen peruutuslistassa (CRL) tai OCSP-protokollan kautta, mikä tekee kaikki myöhemmät allekirjoitukset kyseisellä todistuksella virheellisiksi. Sisäisen turvallisuuskäytännön on siis sisällettävä nimetty yhteyshenkilö ja hälytysväliaika alle 24 tunnin.

---

Hyviä käytäntöjä onnistuneelle käyttöönotolle yrityksessä

Hallinto ja sisäiset roolit

Onnistunut käyttöönotto perustuu selkeään hallintoon. On suositeltavaa nimetä:

• PKI-vastaava (Public Key Infrastructure) IT-puolelta, joka vastaa PSCQ-suhteesta ja uusimisten seuraamisesta ;
• Oikeudellinen vastuuhenkilö, joka hyväksyy käyttötapaukset, jotka vaativat pätevän allekirjoituksen (vs. edistyneet) ;
• Delegoidut järjestelmänvalvojat osastoittain käyttäjien operatiivisesta hallinnasta.

Koulutus ja muutoksen johtaminen

Pätevän todistuksen ottaminen käyttöön ei riitä: työntekijöiden on ymmärrettävä, kuinka käyttää todistusta, milloin se aktivoidaan ja miten toimia poikkeaman sattuessa. Lyhyt koulutussuunnitelma (1–2 tuntia) ja dokumentoitu menettely vähentävät huomattavasti käyttövirheitä ja tukipyyntöjä.

Tarkastus ja jäljitettävyys

Todistaaksesi järjestelmällisesti, säilytä tarkastusloki jokaisesta allekirjoituksesta: allekirjoittajan henkilöllisyys, asiakirjan hash, sertifioidulla merkinnällä varustettu päivämäärä/aika, todistuksen tunnus. Nämä tiedot muodostavat todistustaakan perustan mahdollisen riidan sattuessa. ETSI EN 319 132 (XAdES) -standardi sisältää näitä tietoja natiivisti sisältävät allekirjoitusmuodot.

Päteviin sähköisiin todistuksiin sovellettava oikeuskehys

Siviililaki ja todistusvoimakkuus

Ranskan oikeudessa siviililain 1366. artikla asettaa sähköisen asiakirjan ja paperiin kirjoitetun asiakirjan vastaavuuden perusperiaatteen, "edellyttäen, että henkilön, jonka sähköisen asiakirjan on peräisin, henkilöllisyys on asianmukaisesti varmistettu ja että se on laadittu ja säilytetty tavalla, joka takaa sen eheyden". 1367. artiklan 2. kappale täsmentää, että pätevä sähköinen allekirjoitus nauttii luotettavuuden olettamuksesta: se on osapuoli, joka kiistää allekirjoituksen, jolle jää velvollisuus näyttää toisin, mikä kääntää todistustaakan allekirjoittajalle edulliseksi.

eIDAS-sääntö n:o 910/2014

Euroopan unionin sääntö eIDAS (n:o 910/2014), jota sovelletaan suoraan kaikissa jäsenmaissa 1. heinäkuusta 2016 alkaen, muodostaa ylistaattisen perustan. Sen 25(2) artikla määrää, että "pätevällä sähköisella allekirjoituksella on oikeudellinen vaikutus, joka vastaa kädellä kirjoitettua allekirjoitusta". Artiklarit 28 ja 29 määrittelevät päteviin todistuksiin ja pätevän allekirjoitusavimen luomislaitteisiin (QSCD) sovellettavat vaatimukset. Liite I luettelee pätevän todistuksen pakolliset tiedot (OID-käytäntö, PSCQ:n henkilöllisyys, julkinen avain, voimassaolon päivämäärät jne.).

eIDAS 2.0 -muutokset

eIDAS 2.0 -sääntö (EU-sääntö 2024/1183, voimaantulo 20. toukokuuta 2024) ottaa käyttöön eurooppalaisen digitaalisen henkilöllisyyskepin (EUDIW) ja vahvistaa pätevien luottamuspalveluiden saavutettavuusvaatimuksia. Yritysten on ennakoitava näiden uusien tunnistusmekanismien integrointi vuosina 2026–2027.

Sovellettavat ETSI-standardit

• ETSI EN 319 411-2 : päteviin todistuksiin myöntäville PSCQ:ille sovellettavat käytäntöjen ja menettelyjen politiikat ;
• ETSI EN 319 132 (XAdES) ja ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES) : edistyneen ja pätevän sähköisen allekirjoituksen muodot ;
• ETSI EN 419 241 : allekirjoituspalvelimien (RQES) vaatimukset.

GDPR ja tietosuoja

Henkilötietojen käsittely rekisteröinnin yhteydessä (henkilöllisyyden tarkastus, asiakirjojen keräys) on GDPR:n n:o 2016/679 alaista. PSCQ ja asiakasyritys ovat vastaavasti tiedon käsittelijöistä vastuussa tai vastuullisia riippuen kokoonpanosta. GDPR:n 28 artiklan mukainen DPA (Data Processing Agreement) on allekirjoitettava. Rekisteröintitiedot on säilytettävä todistuksen elinkaaren ajan sekä sovellettavan vanhentumisajan lisäksi (5 vuotta sopimusasioissa).

NIS2-direktiivi ja infrastruktuurin turvallisuus

NIS2-direktiivi (2022/2555/EU), joka on siirretty Ranskan lainsäädäntöön lailla n:o 2024-449, velvoittaa kriittiset ja merkittävät tahot toteuttamaan riskienhallintakeinoja, jotka sisältävät digitaalisen toimitusketjun turvallisuuden. Hyväksytyn PSCQ:n käyttö, joka on merkitty kansalliselle TSL-listalle, on tunnustettu hyvä käytäntö, joka osittain täyttää nämä vaatimukset.

Käyttötapaukset: pätevä todistus käytännössä

Tapaus 1: Oikeuspalveluyritys, joka hallinnoi korkean arvon asiakirjoja

Noin kahden kymmenen assosiaaatin ja työskentelevän asiamies-asiakirjaliikeyrityksellä on säännöllisesti allekirjoitettava osakkeistoon ja sovittelutietoihin liittyviä asiakirjoja sekä mandaatteja. Toistaiseksi jokainen asiakirja vaati tulostamisen, kädellä allekirjoittamisen, skannaamisen ja postitse lähettämisen – noin 4–7 arkipäivää aikaan syklillä. Kun kunkin assosiaatin osalta otettiin käyttöön pätevät pilvi-todistukset (RQES), tämä aika väheni alle 4 tuntiin asiakirjoille, jotka eivät vaadi notaarintodistusta. Yritys arvioi hallinnolliseen asiakirjahallintoon kuluvasta ajasta säästyneen 65 %, eikä ole rekisteröinyt yhtään allekirjoituskiistaa 18 kuukauden käyttöaikana. Juridisten toimistojen sähköisen allekirjoituksen ratkaisut Certyneolta integroituvat natiivisti tämän tyyppisiin työnkulkuihin.

Tapaus 2: Pieneen teollisuusyritykseen sopimusten tekijät julkisten ostajien kanssa

Metallurgian sektoriin kuuluvan, noin 120 henkilöä työllistävän pk-yrityksen on säännöllisesti vastattava sähköisesti demateriaaliseille julkisille tarjouspyynnöille ostajille. Hänen on allekirjoitettava sähköisesti tarjoukset ja sitoumukset vähintään RGS** -tason todistuksella. Kahden pätevän todistuksen hankkimisen jälkeen (toimitusjohtajalle ja oikeuksiin valtuutetulle kaupalliselle johtajalle) pk-yritys pystyi jättämään tarjouksensa määrätyssä ajassa ilman fyysistä matkaa tai postia. Vuoden kuluessa tämä tarkoittaa noin 35 tarjouspyyntötiedostoa, mikä tarkoittaa noin 15 henkilöpäivän säästöjä pelkästään asiakirjahallinnosta. eIDAS-todistuksen vaatimustenmukaisuus takaa myös hänen allekirjoituksensa tunnustamisen saksalaiselta ja belgialaiselta ostajilta, mikä laajentaa hänen kaupallista aluettaan. Käytä ROI-laskintamme arvioidaksesi mahdollisia hyötyjä omassa tilanteessasi.

Tapaus 3: Terveyspalvelujen ryhmittymä, joka turvaa HR- ja toimittajatoimenpiteet

Noin 1 200 sängyn suuruisesta sairaalakokonaisuudesta, joka kattaa useita laitoksia, käsittelee vuosittain lähes 3 000 työsopimuskirjaa, lisäyksiä ja toimittajasopimuksia. Henkilöresurssien johtaminen ja hankintajohtaminen ovat yhteisesti ottaneet käyttöön pätevän allekirjoitusratkaisun, ja hyväksytyt johtajat ovat saaneet todistuksia. Samalla asiakirjat, jotka koskevat agentista, käsitellään edistyneen allekirjoitustyönkulun kautta, varaten pätevän allekirjoituksen korkean oikeudellisen merkityksen johtamistoimenpiteille. Tuloksena työsopimuskirjan viimeistelymittaukset ovat laskeneet 12 päivästä 2,5 päivään, ja puutteellisten dossieiden osuus (puuttuva allekirjoitus, väärä allekirjoitettu versio) on laskenut 78 %. Sähköisen allekirjoituksen ratkaisut terveydenhoidon alalla Certyneosta sisältävät sairaalaalan erityisvaatimukset.

Johtopäätös

Pätevän sähköisen todistuksen hankkiminen on nykyään välttämätöntä jokaisen yrityksen, joka haluaa turvata oikeudelliset toimensa digitaalisesti, täyttää julkisten hankintojen vaatimukset ja noudattaa eIDAS-säännöksiä. Kaukainen kaikilta pakottavalta, se on kilpailukykyyn liittyvä ydin: lyhennetyt allekirjoitusajat, kiistaton todisteiden ketju ja koko Euroopan unionin myönnytys.

Muistettavat paiveet: valita ANSSI:n luottamuslistalla merkitty PSCQ, koota tiukka rekisteröintitiedosto, valita pilvimuoto (RQES) käyttönoton helpottamiseksi ja integroida todistus ETSI-standardien mukaiseen alustaan.

Certyneo opastaa sinua jokaisessa vaiheessa: oikeasta allekirjoitustasosta sen integroimiseen liiketoimintaprosesseihin. Pyydä ilmaista demonstraatiota ja tutustu sähköisen pätevän allekirjoituksen käyttöönottoon alle 48 tunnissa organisaatiossasi.