Oibleagáidí Soláthroirí Sínithe Leictreonaigh sa Fhrainc

Réamhrá

Ní féidir réiteach sínithe leictreonaigh a chur i bhfeidhm sa Fhrainc gan phleanáil. Taobh thiar de gach sínithe cumhachtach nó fhorbartha tá na dosaen oibleagáidí dlíthriailí ann a thagann ar sholáthroirí seirbhísí muiníne (PSCo). Rialachán eIDAS, RGPD, tagartha ginearálta slándála, caighdeáin ETSI… tá an creatlach rialála ina leithéid go dlúth agus soghluaiste. I gcomhair na gcuideachtaí atá ag úsáid na feidhmchlár sin, tuiscint a bheith agat ar na hoibleagáidí dlíthriailí seo a bhaineann le soláthroirí sínithe leictreonaigh sa Fhrainc eIDAS RGPD is gá chun a bheith ábalta socrú cumplach a roghnú agus riosca dlíthriailí a sheachaint. Sonraíonn an t-alt seo, alt ar alt, an tsraith iomlán riachtanas atá i bhfeidhm ar na PSCo atá ag feidhmiú ar thír na Fraince.

---

Stádas soláthroirí seirbhísí muiníne cumhachtacha

Cad is PSCo ann faoi bhraistint eIDAS?

Soiléiríonn rialachán eIDAS Uimh 910/2014 dhá chineál soláthroirí: soláthroirí seirbhísí muiníne neamhchualaithe agus soláthroirí cumhachtacha (PSCQ). Is féidir leo an chéad ghrúpa seirbhísí sínithe leictreonaigh shimplí nó fhorbartha a thairbhiú gan iniúchadh tríú páirtí riachtanach. Is iad an dara grúpa — nach bhfuil i dteannta ortha oibiachtúil sínithe cumhachtacha a thabhairt saor in aisce i gcomhréir le halt 3(15) eIDAS — atá le bheith ag gealadh do na riachtanais suntasach níos teirce.

Sa Fhrainc, is í an Gníomhaireacht Náisiúnta um Dhíonscothú Córas Faisnéise (ANSSI) a líonann ról an údaráis dhúshlán (« Supervisory Body ») a bheartaítear i alt 17 eIDAS. Foilsíonn sí agus cothabháil a dhéanann sí ar an liosta iontaobhais na Fraince (TSL — Trust Service List), atá inrochtana ar a suíomh oifigiúil, ag tagartha do na soláthroirí cumhachtacha agus a seirbhísí.

An nós imeachta chuimsiú: iniúchadh agus comhréir

Ar mhaithe le stádas cumhachtach a bhaint amach, ní mór do PSCo go deo:

• Déan a seirbhísí a scrúdú ag gníomhaireacht maidir le measúnú comhréire (CAB — Conformity Assessment Body) a bheith ceadaithe ag COFRAC de réir an caighdeáin EN ISO/IEC 17065.

• Cuir tuarascáil an iniúchóra ar aghaidh don ANSSI, a bheidh ag socrú ar bhreithiúnas ar fhachtóirí an stádas cumhachtach. Bítear ag athbhreithniú an stádais seo ar a laghad gach 24 mhí (alt 20 §1 eIDAS).

• Cuir an ANSSI ar an eolas faoi aon athrú substaintiúil ina seirbhísí laistigh de 3 mhí roimh an athrú a bheith beartaithe (alt 21 eIDAS).

Tugann neamhuachtwain ar na céimeanna seo an soláthroir a bhraistint ar dhul siar as an TSL agus ar an cailliúint de na toimhdí dlíthriailí atá ceangailte don sínithe cumhachtach. I gcomhair na gcuideachtaí chliant, a bheith ag gealadh do PSCo atá nach bhfuil ar an liosta ar an TSL is ionann agus gan bheith ag fáil aon toimhde dlíthriailí de dhóchas.

> Ar mhaithe le tuilleadh a fháil ar na leibhéil dhifriúla sínithe agus a n-éifeachtaí dlíthriailí, féach ar ár .

---

Oibleagáidí theicniúla agus shlándála a bhíonn ag soláthroirí

Gealadh do na caighdeáin ETSI

Ní mór do na soláthroirí cumhachtacha a chloí le tacar caighdeáin Eorpacha a foilsíonn an Institiúid Caighdeáin Teileachumarsáide na hEorpa (ETSI). Is iad na príomhchinn:

• ETSI EN 319 401: riachtanais gheinearálta slándála i bhfeidhm ar gach PSCo.

• ETSI EN 319 411-1 agus 411-2: polasaí agus gníomhartha na n-údarás deimhnithe ag soláthróid teastais sínithe cumhachtach.

• ETSI EN 319 132: formáidí sínithe leictreonaigh fhorbartha (XAdES do XML, PAdES do PDF, CAdES do CMS).

• ETSI EN 319 122: formáid CAdES do shínithe cumhachtach.

• ETSI TS 119 431: riachtanais do sheirbhísí a bhíonn ag cruthú sínithe i bhfad i gcéin (QSCD i bhfad i gcéin).

Ní optúil iad na caighdeáin seo: tugann rialachán eIDAS (Eanáir II, III agus IV) ionad orthu go fúill ar mhaithe le soiléiriú na n-íocaíochtaí íosbhreise teastais cumhachtach agus gléas cruthaithe sínithe.

Bainistiú dhá ghléas chosanta a bhíonn ag cruthú sínithe (QSCD)

Ceann de na pilléir den sínithe cumhachtach is ea úsáid gléas cosanta cruthaithe sínithe (QSCD — Qualified Signature Creation Device) i gcomhréir le hEanáir II eIDAS. Ní mór don soláthroir a bhheith ag socrú go bhfuil:

• Ní féidir an eochair dhíobhálach an tsinítheora a bhreithiúnú, a stóráil nó a dhéanamh cóip lasmuigh den QSCD.

• Déantar giniúint an eochracha go heisiach i dtimpealladh deimhnithe (deimhniú Common Criteria EAL 4+ nó coibhéiseach).

• Tá an fhíoraithint an tsinítheora a tháinig roimh gach gníomh sínithe ag baint do bhreithiúnú ar a laghad dhá fhachtóir.

I gcomhair sínithe i bhfad i gcéin — níos foluain i dtimpealladh SaaS — fabhraítear na riachtanais seo don fhreastalaí HSM (Hardware Security Module) a bheith ina stóras do na heochracha. Foilsigh an ANSSI próifílí cosanta sonrach (PP-0075, PP-0076) a bhíonn ag soiléiriú na gcrataí slándála atá le bhaint amach.

Polasaí leanúnachais agus fógra tubaiste

Ní mór d'alt 19 eIDAS a sholáthair do gach soláthroir seirbhísí muiníne (cumhachtach nó nach ea):

• Tabhair fógra don údarás dhúshlán (ANSSI) agus, más cuí, don údarás dhíonscothú sonraí (CNIL), laistigh de 24 uair an chloig tar éis a bhraistint go raibh bhréachta sábháilteachta ann agus a bheadh d'éifeachtaí ar dhóchas an tsoláthroira.

• Coimeádann plean leanúnachais gníomhaíochta doiciméadaithe agus tástáilte go rialta.

• Bheith acu polasaí sábháilteachta na faisnéise go soiléir, a bhaineann ach go háirithe le bainistiú na riosca, bainistiú na dtubaiste agus polasaí chúltaca.

Foluain na riachtanais seo go páirt ar a leithéid atá an treoracha NIS2 (2022/2555/UE), a aistrithe i ndlí na Fraince ag an dlí Uimh 2023-703 den 1 Lúnasa 2023, a bhí ag socrú na PSCo de mhéid suntasach i measc na n-entití tábhachtacha nó bhunriachtanacha atá faoi na hoibleagáidí fhorbartha de dhíonscothú cibeir.

> Faigh amach conas a bhí ag integr acht na an saincheangail seo i a bhfíor-chuntas.

---

Oibleagáidí RGPD a bhíonn sonrach do PSCo

An PSCo, freagróir do thógáil nó fo-atharróir?

Braitheann an cháilíochtúlacht RGPD an tsoláthroira ar nádúr an tsoláthroira:

• Nuair a thugann an PSCo teastais cumhachtach go díreach ar ainm an tsinítheora agus a bhíonn ag cinneadh ar na críocha an bhainisteoireachta sonraí pearsantúla (aithint, sonraí bithmheite fíoraithint), gníomhaíonn sé ar bhealach an fhreagróra do thógáil i gcomhréir le halt 4(7) RGPD.

• Nuair a bhíonn sé ag integr acht a API i bhfad-ardán cliant B2B agus ag bainistiú an tsonraí pearsantúla de réir na bhorduithe amháin an chéile seo, a bheith ag gealadh dó carachtar an fho-atharróra (alt 4(8) RGPD) agus ní mór dó go deo DPA (Data Processing Agreement) a dhéanamh i gcomhréir le halt 28 RGPD.

Ar fhírinne, an chuid is mó de na PSCo SaaS a bhíonn ag cruth dó araonú: freagróir ar chothrom an bhainisteoireachta a n-infreastructúir deimhnithe, fo-atharróir ar bhainisteoireacht na ndoiciméad agus metatáta an tsinítheora.

Oibleagáidí sonrach a bhíonn ag gealadh do sonraí bithmheite agus aithinte

A bheith ag aithint agus fíoraithint an tsinítheora — céim riachtanach chun teastais cumhachtach a thabhairt saor in aisce — go minic a bhaineann sé le bainisteoireacht sonraí mothúchánach: scannáil píosa aithinte, selfie físe, sonraí bithmheite de thréithe aghaidhe. Is sonraí pearsantúil iad na sonraí seo a bhíonn faoi bhraistint RGPD, nó go fiú sonraí bithmheite atá ag gealadh do alt 9 RGPD (catagóir ar leith).

Leagann na hoibleagáidí an PSCo:

• Bunús dlíthriailí: an toiliméad sainbhreith (alt 9§2a) nó, i roinnt chás, an oibleagáid dhíobháilí (alt 9§2b) ar bhainisteoireacht na sonraí bithmheite.

• Tréimhse chimeadóireachta teoranta: de réir na treoracha CNIL, ní mór na sonraí aithinte a bheith ar coimead don fhad atá go hollmhór riachtanach, go minic ar líne le fad bailíochta an teastais + fad dlíthriailí fianaise (go minic 10 mbliana do ghníomhartha faoi shíneadh príobháideach, alt 2224 an Code civil).

• Anailís thionchar (AIPD) riachtanach (alt 35 RGPD) ó thúsluaite go bhfuil an bainisteoireacht ábalta a fhágáil go riosca ard — atá go sistéamach fíor don bhithmheite.

• Clárú an bhainisteoireachta (alt 30 RGPD) a bheith i scéal an fhada agus a bhíonn á ndoiciméadú gach catagóir bhainisteoireachta.

Aistrithe idirnáisiúnta sonraí

Líon mór atá na PSCo a bhí ag stóráil cuid nó gach infreastructúr i bhfad ó Spás Ghníomhaíochta Eorpach (EEE). Sa chás seo, fabhraítear na gealadh iomchuí ag gealadh i gcomhréir le caibidil V RGPD: cinneadh dea-riachtanas, clasuil chonraitheoil caighdeánach (SCCs) an Choimisiún Eorpach nó rialacha oibre riachtanacha (BCR). Chuimhin an briseadh Schrems II (CJEU, C-311/18, 16 Iúil 2020) ar a laghad go gcumhasc a dhíonn i leith na Stát Aontaithe tuiscint a bhfána-riosca tír a riar roimh ré.

> Ar mhaithe le thuiscint a fháil ar a n-éifeachtaí ar do stofóráit, féach ar ár .

---

Oibleagáidí athrú agus faisnéis chun úsáideoirí

Polasaí deimhnithe (PC) agus ráiteas cleachtas deimhnithe (DPC)

Ní mór do gach PSCo a bheith ag soláthair teastais polasaí deimhnithe (PC) agus ráiteas cleachtas deimhnithe (DPC) a fhoilsiú, i gcomhréir le caighdeán ETSI EN 319 411. Sonraítear na doiciméadanna seo, líofa inrochtana, a bhaineann:

• Na nósanna imeachta aithinte agus cláraithe a bhíonn ag sinítheora.

• Na bearta sábháilteachta líofa agus logiciúla a bhíonn á chur i bhfeidhm.

• Na coinníollacha ais-ghairm na dteastais agus na gealadh a bhíonn ceangailte.

• Na freagrachtaí agus na teorainneacha dóchas an PSCo.

An easpa nó an neamhiomlánacht na ndoiciméadanna seo is ionann agus neamhchomhréir ar fhéadfaidh a bheith á fhógairt nuair an iniúchóir ceadaithe agus requalification.

Faisnéis réamhchonraitheoil agus chonraitheoil na gcliant

Lasmuigh de na hoibleagáidí athrú teicniúil, ní mór d'alt 13 RGPD a soláthair don PSCo do gach duine agus gur bhí sonraí á bhailíonn gach faisnéis soiléir agus inrochtana:

• Aithint an fhreagróra do thógáil agus sonraí teagmhála an DPO (riachtanach do na PSCo ag a bhainistiú a bhí chun fáil amach ar scála mór na sonraí mothúchánach, alt 37 RGPD).

• Na críocha agus bunanna dlíthriailí gach bainisteoireachta.

• Na cearta na ndaoine (rochtain, ceartú, scrios, iomparúlacht, agóid).

• Na ionchuir dhíreach a bheadh ag gealadh na sonraí (fo-atharróirí, údaráis).

Ní mór na faisnéisí seo a bheith i ndoiciméadanna a pholasaí príobháideachta an tsoláthroira, i na CGU agus, más cuí, sa DPA a bhíonn á dhéanamh leis na cumann gníomhaíochta.

Horodatage cumhachtach agus rian iniúchta

Ar mhaithe le a bheith ag gealadh an bhraistint fhianaise ar feadh tréimhse ar fhada na sínithe, cuir na soláthroirí dea-mhéin d'iontu i gcinnte horodatage leictreonaigh cumhachtach (alt 42 eIDAS) le gach gníomh sínithe. Is ionann an horodatage seo agus fianaise ar a mbíonn tuairim dlíthriailí den nó an bhfuil an sonra ann ar an dáta a bhíonn léirithe. An chimeadóireacht na rian iniúchta (logs aithinte, imfhaolaí an doiciméad, sonraí an tsiníthe) is oibleagáid a bhí go praiticiúil ar mhaithe le a bheith ag baint de bhreithiúnú bhreithiúnach ar fhad i ndiaidh sin.

> Cuir i gcomparáid na réitigh an mhargaidh de réir na critéir seo ar ár .

---

eIDAS 2.0: na hoibleagáidí nua ag an fhócas 2026-2027

An rialachán eIDAS 2.0 (AE) 2024/1183

Foilsíodh i nJournal Oifigiúil an AE ar 30 Aibreán 2024, an rialachán (AE) 2024/1183 a raibh ar a dtugtar « eIDAS 2.0 » neartaítear go suntasach na hoibleagáidí na PSCo thart ar thrí aisbhír:

• An Fólúain Aithinte Dhigiteach na hEorpa (EUDI Wallet): ní mór do na Stáit Bhallstáit fólúain aithinte dhigitigh a bhreithiúnú i ndiaidh a bhíonn deimhnithe faoi 2 Samhain 2026. Ní mór do na PSCo a seirbhís a integr acht leis an fhólúain ar mhaithe le sínithe cumhachtach a thairbhiú trí aithint eIDAS 2.0.

• An bhainisteoireacht na fianaise tréithe: tugann eIDAS 2.0 isteach na fianaise tréithe cumhachtach (QEAAs), a bhíonn á soláthair ag soláthroirí cumhachtach fianaise. Beidh nósanna imeachta nua iniúchóir agus iomlánú ag feidhmiú.

• An neartú an dhúshlán: a bhíonn ag an n-údaráis náisiúnta dhúshlán (ANSSI don Fhrainc) na cumhachtaí a leathnú, ach go háirithe an toillíniú a dhíonn iniúchóir neamhghnáth a bhí á chur i bhfeidhm agus bearta ceartaithe riachtanacha a chur chun feidhme in am gearr.

Impleachtaí cleachtuighte do na soláthroirí atá ann cheana féin

Ní mór do na PSCo ceadaithe faoin eIDAS 1.0 a bhí ag gealadh ar comhréir geal a dhéanamh ar bhealach geal roimh an fhormhéadú a bhí socraithe ag gníomhartha feidhmiúcháin an Choimisiún (foilsíthe nó ag imeall fhoilsithe). Is iad na gealadh príomhacha ar bharúil:

• An fhondúchán de infreastructúr aithinte ar mhaithe le EUDI Wallet a bhreithiúnú mar bhealach fíoraithinte.

• An nuachóiriú PC/DPC ar mhaithe le nua-theipeanna de theastais agus fianaise a integr acht.

• An neartú ar na riachtanais shlándála na QSCD i bhfad i gcéin, le próifílí cosanta nua a raibh a theacht.

I gcomhair na gcuideachtaí chliant, tugann sé sin a raibh á bhreithiúnú ó inniu gur agus a raibh soláthroir acu fad-chála eIDAS 2.0 doiciméadaithe agus inionad-fhíoraithe.

Creatlach dlíthriailí a bhaineann le hoibleagáidí na soláthroirí sínithe leictreonaigh

A bhíonn ar an slabhra normanna i bhfeidhm ar na soláthroirí sínithe leictreonaigh ag feidhmiú sa Fhrainc ar líon comhpháirt comhpháirt uachtar-éagsúlach a dhéanfaidh.

Code civil na Fraince — Altanna 1366 agus 1367

Ní mór d'alt 1366 an Code civil an léargas leictreonaigh aithint mar bhealach fianaise atá ar cóimheas le léargas páipéir, ar a laghad « puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité ». Sonraítear in alt 1367 go bhfuil an sínithe leictreonaigh « consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache ». An toimhde dhóchas agus bhíonn ag na sínithe cumhachtach i gcomhréir le eIDAS, agus an imirt a bhíonn ar dheis chun an fhianaise don tsinítheora.

Rialachán eIDAS n° 910/2014/AE

A bhíonn ar fheidhm dhíreach sa gach Stát Ballstáit, a bhunú an rialachán seo ar an creatlach dlíthriailí na seirbhísí muiníne. Alt 26 a bhíonn a soiléiriú ar thréithe cumhachtach; alt 28 na riachtanais na dteastais cumhachtach; an Eanáir I sonraítear ar bhraistint riachtanach na dteastais seo. Tugtar ag na PSCo ceadaithe toimhde de chomhréir ar na riachtanais theicniúla agus dhíobháilí an rialacháin (alt 19§2), agus is é sin bacainn mór i gcás go bhfuil gné dhocht.

Rialachán eIDAS 2.0 — (AE) 2024/1183

Foilsíodh ar 30 Aibreán 2024, tugann an rialachán seo athrú isteach catagóirí nua de sheirbhísí muiníne (fianaise tréithe cumhachtach, seirbhísí stóráil cumhachtach) agus neartaítear na hoibleagáidí dhúshlán. Beidh sé á dhúnadh agus á bhreithiúnú ar dheis an rialacháin 910/2014, le feidhmeach geal de réir gníomhartha feidhmiúcháin an Choimisiún Eorpach.

RGPD — Rialachán (AE) 2016/679

Leagtar i bhfeidhm an RGPD ar gach bainisteoireacht a bhíonn á déanamh i gcomhair seirbhíse sínithe leictreonaigh. Is iad alt 5 (prionsabail dlíthriailí), 6 (bunús dlíthriailí), 9 (sonraí mothúchánach), 13-14 (faisnéis), 28 (fo-atharú), 32 (sábháilteacht), 33-34 (fógra bhréachaí), 35 (AIPD) agus 37 (DPO) is mó a bhíonn i bhfeidhm go minic. Is í an CNIL an t-údarás dhúshlán inghabhála sa Fhrainc agus is féidir léi a bhíonn á chur i bhfeidhm go dtí 20 milliún euro nó 4% de an chá ghéireach oibiachtúil domhanda (alt 83§5 RGPD).

Treoracha NIS2 — (AE) 2022/2555

A bhí á aistrithe i ndlí na Fraince ag an dlí Uimh 2023-703 den 1 Lúnasa 2023, socrú NIS2 na PSCo suntasach i measc na n-entití thábhachtacha nó bhunriachtanacha atá faoi na hoibleagáidí bhainisteoireachta riosca cibeir agus fógra tubaiste don ANSSI faoi 24 uair an chloig (fógra luath) ansin 72 uair an chloig (fógra iomlán).

Caighdeáin ETSI

A bhíonn ag an tsraith ar fad na gcaighdeáin EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 agus TS 119 431 an tagartha teicniúil riachtanach don iniúchadh iomlánú. Tugann a n-neamhgealadh le toradh ar an neamhábaltacht iomlánú a bhaint amach nó a choiméad.

Riosca dlíthriailí i gcás neamhchomhréire

A bhíonn ag soláthroir neamhchomhréi a bhionn oscailte do: scrios ó TSL na Fraince, gealadh a fhreagracht chonraitheoil agus seachconraitheoil, ceartú riaracháin CNIL, fachtóirí NIS2 agus a bhéarfaidh go dtí 10 milliún euro nó 2% an CA domhanda do na entití thábhachtacha agus 20 milliún nó 4% an CA de na entití bhunriachtanacha, chomh maith le gearradh bhreithiúnacha na gcliant atá ag tabhairt do dhonmheas mar thoradh ar na sínithe neamhdhilse dlíthriailí.

Gnéithe úsáide: conas a bhíonn na cuideachtaí ag fíoraithint comhréir a PSCo

Gnéim 1 — Grúpa gréine ag bainistiú 3 000 chonradh soláthroirí in aghaidh an bhliain

Grúpa gréine de mhéid meán (ETI), gníomhach sa déanamh de bhogearraí gréine, a bhíonn ag déanamh ar an gach conradh soláthroira tríd ar dheilbhíonn SaaS de shínithe leictreonaigh. Nuair a bhí iniúchadh inmheánach curtha ó bharr ar dhroch-éabhlóid rialála, a raibh baistint dlíthriailí sin a bhraistint go raibh an soláthroir roghain — ar dtús roghain ar chrann praghsanna — nach bhfuil ar an TSL Fraince, ná ar aon TSL Eorpach. Tugann na sínithe a bhíonn á soláthair de chineál « simplí » gan meicníc aith