Szignálszolgáltatók kötelezettségei Franciaországban elektronikus aláírás terén

Bevezetés

Egy elektronikus aláírás megoldás bevezetése Franciaországban nem improvisálható. Minden minősített vagy fejlett aláírás mögött tucatnyi jogi kötelezettség áll, amelyek a bizalmi szolgáltatást nyújtó szolgáltatóra (PSCo) vonatkoznak. Az eIDAS rendelet, RGPD, általános biztonsági referencia, ETSI normák… a szabályozási keret egyszerre sűrű és fejlődik. Az használó vállalatok számára a szignálszolgáltatók kötelezettségeinek ismerete Franciaországban, az eIDAS és RGPD terén kritikus ahhoz, hogy megfelelő partnert válasszanak és elkerüljék a jogi kockázatokat. Ez a cikk részletesen, szakaszonként ismerteti a franciaországi területen működő PSCo-kra vonatkozó összes követelményt.

---

A minősített bizalmi szolgáltatás nyújtó státusza

Mi az a PSCo az eIDAS értelmében?

Az eIDAS 910/2014 rendelet két kategóriát különböztet meg: a nem minősített és a minősített (PSCQ) bizalmi szolgáltatás nyújtókat. Az előbbiek harmadik fél által obiggatórikus auditálása nélkül nyújthatnak egyszerű vagy fejlett elektronikus aláírásokat. Az utóbbiak — akik kizárólag az eIDAS 3(15) cikkének értelmében minősített aláírásokat szállíthatnak — lényegesen szigorúbb követelményeket kell teljesítsenek.

Franciaországban az Agence nationale de la sécurité des systèmes d'information (ANSSI) tölt be felügyeleti hatóságként működő szerepet (az eIDAS 17. cikkében előírt „Supervisory Body"), és közzéteszi, valamint karbantartja a francia megbízhatósági listát (TSL — Trust Service List), amely a minősített szolgáltatókat és azok szolgáltatásait tartalmazza az ANSSI hivatalos honlapján.

A minősítési eljárás: auditálás és megfelelőség

Ahhoz, hogy egy PSCo minősített státuszt szerezzen, feltétlenül szükséges:

• A szolgáltatásainak auditálása egy, az eIDAS által az EN ISO/IEC 17065 szabvány szerint akkreditált megfelelőség-értékelő szervezet (CAB — Conformity Assessment Body) által.

• Az auditjelentés ANSSI-nak való benyújtása, amely dönt a minősített státusz odaítéléséről. Ezt a státuszt legalább 24 havonta felül kell vizsgálni (eIDAS 20. cikk 1. bekezdés).

• Az ANSSI-nek való értesítés minden lényeges szolgáltatás-módosításról a módosítás előzetes, tervezett 3 hónapon belül (eIDAS 21. cikk).

E lépések meg nem tartása a TSL-ről való törléshez és a minősített aláíráshoz kötött jogi feltételezések elvesztéséhez vezet. Az ügyfelek számára a TSL-en nem szereplő PSCo alkalmazása azt jelenti, hogy semmilyen jogi megbízhatósági feltételezésben nem részesülnek.

> Ha mélyebben szeretne megismerni az aláírás-szinteket és azok jogi hatásait, olvassa el eIDAS 2.0 rendeletről szóló teljes útmutatónk.

---

Technikai és biztonsági kötelezettségek a PSCo-kra vonatkozóan

Az ETSI normák betartása

A minősített szolgáltatók az European Telecommunications Standards Institute (ETSI) által közzétett európai normák sorozatához kell igazodjanak. A fő normák:

• ETSI EN 319 401 : minden PSCo-ra vonatkozó általános biztonsági követelmények.

• ETSI EN 319 411-1 és 411-2 : a minősített aláírásokat szállító hitelesítési hatóságok politikái és gyakorlatai.

• ETSI EN 319 132 : fejlett elektronikus aláírások formátumai (XAdES XML-hez, PAdES PDF-hez, CAdES CMS-hez).

• ETSI EN 319 122 : CAdES formátum minősített aláírásokhoz.

• ETSI TS 119 431 : követelmények a távolaláírás-szolgáltatásokhoz (QSCD távolról).

Ezek a normák nem választhatóak: az eIDAS rendelet (II., III. és IV. melléklet) kifejezetten hivatkozik rájuk a minősített tanúsítványok és aláírás-készítési eszközök minimális követelményeinek definiálásához.

A minősített aláírás-készítési eszközök (QSCD) kezelése

A minősített aláírás egyik pillére az eIDAS II. mellékletének megfelelő minősített aláírás-készítési eszköz (QSCD) használata. A szolgáltatónak garantálnia kell, hogy:

• Az aláíró titkos kulcsa nem keletkeztethető, tárolható vagy másolható a QSCD-n kívül.

• A kulcs generálása kizárólag certifikált környezetben történik (Common Criteria EAL 4+ vagy azzal egyenértékű tanúsítás).

• Az aláíró hitelesítése az aláírás előtt legalább két hitelesítési tényezőre támaszkodik.

Távolaláírási kontextusban — amely egyre gyakoribb a SaaS-környezetekben — ezek a követelmények a kulcsokat tartalmazó HSM (Hardware Security Module) szerverre vonatkoznak. Az ANSSI konkrét biztonsági profilokat tett közzé (PP-0075, PP-0076), amelyek meghatározzák az elérendő biztonsági szinteket.

A folytonosságra és az incidensekre vonatkozó értesítési politika

Az eIDAS 19. cikke minden bizalmi szolgáltatóra (minősített vagy nem minősített) kötelezettséget ró, hogy:

• Az ANSSI-nek értesítse a felügyeleti hatóságot és szükség esetén az adatvédelmi hatóságot (CNIL), 24 órán belül a biztonsági sérelem felfedezésétől számítva, amely az aláírási szolgáltatás megbízhatóságát negatívan érinti.

• Fenntartson dokumentált és rendszeresen tesztelt üzletmenet-folytonossági tervet.

• Rendelkezzen formalizált információbiztonsági politikával, amely különösen a kockázatkezelésre, az incidenskezelésre és a biztonsági mentésre vonatkozik.

Ezek a követelmények részben átfedik egymást a NIS2 irányelvvel (2022/2555/UE), amelyet a Francia Köztársaság a 2023. augusztus 1-i n° 2023-703 törvénnyel vezetett át, és amely a jelentős méretű PSCo-kat fontos vagy lényeges entitásokként osztályozza, megerősített kibervédelmi követelményeknek kitéve.

> Fedezze fel, hogyan kell a elektronikus aláírást a jogi irodákat integrálni ezekbe a dokumentum-munkafolyamatokba.

---

Az RGPD-nak a PSCo-kra vonatkozó konkrét kötelezettségei

A PSCo, az adatkezelő vagy az adatfeldolgozó?

A PSCo RGPD szerinti minősítése az alábbi által függ:

• Amikor a PSCo közvetlenül minősített tanúsítványokat szállít az aláíró nevében, és meghatározza az adatkezelés célját (személyazonosság, hitelesítési biometrikus adatok), adatkezelőként működik az RGPD 4(7) cikkének értelmében.

• Amikor API-ját B2B ügyfél platformjába integrál, és csak az ügyfél utasításai alapján feldolgozza a személyes adatokat, adatfeldolgozó (RGPD 4(8) cikk) szerepet tölt be, és kötelezően DPA-t (Data Processing Agreement) kell kötnie, amely az RGPD 28. cikknek megfelelő.

A gyakorlatban a legtöbb PSCo SaaS szolgáltatás mindkét szerepet betölti: adatkezelő a saját tanúsítási infrastruktúra kezeléséhez, adatfeldolgozó az aláírók dokumentumainak és metaadatainak feldolgozásához.

Az aláíró azonosításához és hitelesítéséhez kapcsolódó konkrét kötelezettségek

Az aláíró azonosítása és hitelesítése — a minősített tanúsítvány szállításához szükséges lépés — gyakran érzékeny adatok feldolgozásával jár: személyi igazolvány szkennelése, videós önarcképe, arcfelismerési biometrikus adatok. Ezek az adatok az RGPD alá tartozó személyes adatoknak vagy az RGPD 9. cikke alá tartozó biometrikus adatoknak minősülnek (különös kategóriák).

A PSCo-kra vonatkozó kötelezettségek:

• Jogi alap: az explicit beleegyezés (RGPD 9§2a) vagy, bizonyos esetekben, a jogi kötelezettség (RGPD 9§2b) a biometrikus adatok feldolgozásához.

• Adatmegőrzési időtartam korlátozottan: a CNIL irányelvei szerint az azonosítási adatokat csak a szükséges ideig kell megőrizni, általában a tanúsítvány érvényességi idejéhez + jogi bizonyítási időtartamhoz igazítva (gyakran 10 év a magánjogi okiratok esetén, a Polgári Törvénykönynek 2224. cikke).

• Hatásvizsgálat (AIPD) kötelezően (RGPD 35. cikk), amint a feldolgozás nagy kockázatot okozhat — amely szisztematikus a biometria esetén.

• A feldolgozások nyilvántartása (RGPD 30. cikk) napra készen tartva, mindegyik feldolgozási kategóriáját dokumentálva.

Az adatok nemzetközi továbbítása

Sok PSCo-nak az infrastruktúrájának egésze vagy egy része az Európai Gazdasági Térség (EGT) kívül helyezkedik el. Ebben az esetben az RGPD V. fejezete által előírt megfelelő garantálások érvényesek: az Európai Bizottságnak egy megfelelőségi határozata, a szerződéses klauzulák (SCCs) vagy a kötelezően érvényes vállalati szabályok (BCR). A Schrems II határozat (CJEU, C-311/18, 2020. július 16.) emlékeztetett arra, hogy az Egyesült Államokba való átvitelhez előzetes országkockázat-elemzés szükséges.

> Az ezen szabályok szervezetedre gyakorolt hatásának megismeréséhez olvassa el az elektronikus aláírásról szóló útmutatót az üzleti életben.

---

A felhasználóknak nyújtandó átláthatóságra és tájékoztatásra vonatkozó kötelezettségek

Tanúsítási politika (PC) és tanúsítási gyakorlat nyilatkozata (DPC)

Minden tanúsítványokat szállító PSCo-nak közzé kell tennie egy Tanúsítási Politikát (PC) és egy Tanúsítási Gyakorlat Nyilatkozatát (DPC), az ETSI EN 319 411 norma szerint. Ezek a szabadon hozzáférhető dokumentumok az alábbiak részleteit tartalmazzák:

• Az aláírók azonosítási és regisztrációs eljárásai.

• Az alkalmazott fizikai és logikai biztonsági intézkedések.

• A tanúsítványok visszavonásának feltételei és hozzárendelt időtartamok.

• A PSCo felelőssége és garanciális korlátozásai.

Ezek a dokumentumok hiánya vagy hiányossága az ETSI norma szerinti auditálás során felismert meg nem felelőségnek minősül.

Az ügyfeleknek nyújtott előszerződéses és szerződéses tájékoztatás

A puszta technikai kötelezettségeken kívül az RGPD 13. cikke a PSCo-kra kötelezettséget ró, hogy minden adat-feldolgozott személynek nyújtsanak világos és hozzáférhető tájékoztatást az alábbiakról:

• Az adatkezelő személyazonossága és a DPO elérhetőségei (kötelezően az olyan PSCo-knál, amelyek nagy méretben feldolgoznak érzékeny adatokat, RGPD 37. cikk).

• Minden feldolgozás céljai és jogi alapjai.

• Az emberek jogai (hozzáférés, helyesbítés, törlés, hordozhatóság, tiltakozás).

• Az adatok lehetséges címzettjei (adatfeldolgozók, hatóságok).

Ezt az információt az adatkezelési szabályzatban, az általános szerződési feltételekben és szükség esetén a professionális ügyfelekkel kötött DPA-ban kell szerepeltetni.

Minősített időbélyegzés és naplózás

A hosszú távú aláírások bizonyítási értékének garantálásához a komoly PSCo-k rendszeresen egy minősített elektronikus időbélyegzést (eIDAS 42. cikk) társítanak minden aláírt aktushoz. Az időbélyegzés jogi szintű feltételezés az adat létezésére a megadott napon. A naplózási nyomvonal (azonosítási naplók, dokumentum-ujjlenyomat, aláírás adatai) megőrzése gyakorlati kötelezettség, amely lehetővé teszi a későbbi jogi ellenőrzést.

> Hasonlítsa össze az elektronikus aláírás-megoldásokat ezen kritériumok szerint a elektronikus aláírási megoldások összehasonlítójában.

---

eIDAS 2.0 : az új kötelezettségek 2026-2027 előtt

Az eIDAS 2.0 rendelet (EU) 2024/1183

Az EU Jogügyleti Közlönyében 2024. április 30-án megjelent (EU) 2024/1183 rendelet, az ún. „eIDAS 2.0" jelentős mértékben szigorítja a PSCo-kra vonatkozó kötelezettségeket három tengely mentén:

• Az Európai Digitális Identitás Tárca (EUDI Wallet) : a tagállamok egy tanúsított digitális identitáskarját kell hogy biztosítsanak 2026. november 2-ig. A PSCo-knak integrálniuk kell szolgáltatásukat ezzel a tárcával, hogy minősített aláírásokat nyújthassanak az eIDAS 2.0 identitáson keresztül.

• Az attribútum-igazolások kezelése : az eIDAS 2.0 bevezetésével a minősített attribútum-igazolások (QEAAs), amelyeket minősített attribútum-igazolási szolgáltatók szállítanak. Új auditálási és minősítési eljárások kerülnek alkalmazásra.

• A felügyelet erősítése : a nemzeti felügyeleti hatóságok (ANSSI Franciaországban) kiterjesztett hatáskörrel rendelkeznek, különösen az vizsgálatok végzésének és a kényszermérték alkalmazásának képességével rövidített időkeretben.

A gyakorlatban alkalmazandó következmények az aktuális szolgáltatók számára

Az eIDAS 1.0 alatt már minősített PSCo-knak fokozatos megfelelőségi frissítéseket kell végezniük az Európai Bizottság által meghatározott határidők előtt (már közzétett vagy folyamatban lévő végzések). A fő módosítások:

• Az azonosítási infrastruktúra átdolgozása az EUDI Wallet hitelesítési módszerként történő támogatásához.

• A PC/DPC módosítása az új tanúsítvány- és igazolás-típusok integrálásához.

• Az eIDAS 2.0-kompatibilis QSCD-k biztonsági követelményeinek erősítése távolról, új biztonsági profilokkal.

Az ügyfelek számára ez azt jelenti, hogy már most ellenőrizniük kell, hogy szállítójuk rendelkezik-e dokumentált és igazolható eIDAS 2.0-kompatibilitási útitervével.

A szignálszolgáltatók kötelezettségeire vonatkozó jogi keret

Az Franciaországban elektronikus aláírás-szolgáltatásokat nyújtó PSCo-kra vonatkozó kötelezettségek normatív láncolata több szinten artikulálódik.

Francia Polgári Törvénykönyv — 1366. és 1367. cikkek

Az Polgári Törvénykönynek 1366. cikke az elektronikus iratot az írásos dokumentummal egyenértékű bizonyíték módjaként ismeri el, feltéve, hogy „a személyazonosság, akitől az irat ered, megfelelően megállapítható és az irat olyan körülmények között készült és tárolódik, amelyek annak integritásának garantálásához szükségesek". Az 1367. cikk tisztázza, hogy az elektronikus aláírás „az aláírónak az irathoz való kötődésének garantálását nyújtó megbízható azonosítási eljárás használatéból áll". Az eIDAS szerinti minősített aláírások előnye a megbízhatósági feltételezésben való részesülés, amely megfordítja a bizonyítási terhet az aláíró javára.

Az eIDAS 910/2014/EU rendelet

Ez a rendelet közvetlenül alkalmazható minden tagállamban, és megállapítja a bizalmi szolgáltatások jogi keretét. A 26. cikke az fejlett elektronikus aláírás feltételeit; a 28. cikke a minősített tanúsítványok követelményeit; az I. melléklete ezen tanúsítványok kötelező tartalmát részletezi. A minősített PSCo-k egy megfelelőségi feltételezésből részesülnek a rendelet technikai és jogi követelményeivel szemben (19. cikk 2. bekezdés), ami jelentős előny esetleges vitában.

Az eIDAS 2.0 rendelet — (EU) 2024/1183

1. április 30-án közzétéve, ez a módosító rendelet új bizalmi szolgáltatási kategóriákat vezet be (minősített attribútum-igazolások, minősített archiválási szolgáltatások) és erősíti a felügyeleti kötelezettségeket. Részben hatályon kívül helyezi és helyettesíti a 910/2014 rendeletet, az Európai Bizottság végzeteinek értelmében szerinti progresszív alkalmazhatóság mellett.

RGPD — (EU) 2016/679 rendelet

Az RGPD az elektronikus aláírási szolgáltatás keretein belül végzett személyadat-feldolgozásra vonatkozik. Az 5. cikk (a törvényességi elvek), a 6. cikk (jogi alap), a 9. cikk (érzékeny adatok), a 13-14. cikkek (tájékoztatás), a 28. cikk (adatfeldolgozás), a 32. cikk (biztonság), a 33-34. cikkek (megsértés-értesítés) és a 35. cikk (AIPD) valamint a 37. cikk (DPO) a leggyakrabban alkalmazott rendelkezések. A CNIL Franciaország felelős felügyeleti hatósága és 20 millió euróig vagy a globális éves forgalom 4%-áig terjedő bírságot szabhat ki (RGPD 83§5 cikk).

NIS2 direktíva — (EU) 2022/2555

A 2023. augusztus 1-i n° 2023-703 Francia törvénnyel átültetett NIS2 a jelentős méretű PSCo-kat fontos vagy lényeges entitásokként osztályozza, megerősített kibervédelmi kockázatkezelési és incidensértesítési kötelezettségeknek kitéve az ANSSI felé 24 órán belül (korai értesítés) majd 72 órán belül (teljes értesítés).

ETSI normák

Az EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 és TS 119 431 normák egésze a minősítő auditálás technikai referencianormájaként szolgál. E normák nem teljesítése a minősített státusz szerzésének vagy fenntartásának lehetetlenségéhez vezet.

Jogi kockázatok meg nem felelőség esetén

A nem megfelelő PSCo ki van téve: a francia TSL-ről való törlésnek, szerződéses és szerződésen kívüli felelősségvállalásnak, CNIL által küldendő igazgatási szankciónak, NIS2-büntetéseknek amely akár 10 millió euró vagy a globális forgalom 2%-a lehet fontos entitásoknál és 20 millió euró vagy a globális forgalom 4%-a lényeges entitásoknál, valamint az ügyfeleknek okozott veszteség miatti peres eljárásnak, abban az esetben, ha az aláírások jogi szempontból érvénytelenek lesznek.

Felhasználási esetek: hogyan ellenőrzik az üzleti szervezetek PSCo-juk megfelelőségét

Esettanulmány 1 — Egy ipari csoport, amely évente 3 000 szállítói szerződést kezel

Egy közép-méretű ipari csoport (ETI), amely mechanikai berendezések gyártásával foglalkozik, az összes szállítói szerződéseit egy SaaS-alapú elektronikus aláírási platformon keresztül szervezi. Egy belső auditálás során, amely egy szabályozási fejlődés után indult, a jogi igazgatás azt tapasztalja, hogy az eredeti, ár alapján kiválasztott PSCo sem a francia TSL-en, sem más európai TSL-en sem szerepel. Az aláírások „egyszerű" típusúak, az aláírók robusztus azonosítási mechanizmusa nélkül.

Az aláírások bizonyítási értékének kockázatával szembesülve — az összes szerződésezett aláírás vitatottá válhat egy ügyfél vitában — az üzleti szervezet egy ANSSI-minősített PSCo-hoz való migrációt indítja el. Az új megoldás minősített tanúsítvánnyal aláírást, minősített időbélyegzést és exportálható naplózást tartalmaz. A migrációs projekt 8 héten belül megvalósul, lehetővé téve az új aktusok retroaktív biztosítást és egy megfelelő dokumentációs politika kialakítását. A jogi csapatok úgy becsülik, hogy a régi szerződésekhez kötött litiges kockázat marginális vitásnak a jogügyletek zökkenőmentes teljesítése miatt, de az összes újabb aláírás már védett.

Megfigyelt előnyök: a szerződésekben szereplő litiges kockázat 60%-os csökkentése az aláírás hitelességéhez, valamint az összetett szerződésekre vonatkozó munkafolyamat-automatizálásnak köszönhető átlagos aláírási idő 3,5 napi megtakarítása.

Esettanulmány 2 — Egy 25 fős jogirodai csapat, amely gazdasági jogi tanácsadásban szakosodott

Egy jogirodai csapat, amely megkötéseket, konzultációkat és perlési aktusokat akarja digitalizálni, több szolgáltatót értékel. Az értékelési keretrendszerbe az alábbi kritériumok tartoznak: TSL-en való jelenlét, nyilvánosan elérhető PC/DPC, RGPD-kompatibilis DPA, elérhető DPO és certificied QSCD-k távolról.

Az öt értékelt közül csak kettő felel meg az összes kritériumnak. Az irodai csapat végül egy olyan PSCo-t választ, amely natívan biztosít minősített aláírást távolaláírási QSCD-vel, garantálva az 1367 Polgári Törvénykö cikkének megbízhatósági feltételezéseit. Az alkalmazás 3 hét alatt valósul meg, képzési beépítéssel. Eredmény: a megkötések 75%-a már 24 órán belül aláírható, szemben az előző 5-7 nappal (postai küldés), és az irodai csapat igazolni tudja az ügyfeleknek a megoldás által kínált jogi biztonsági szintjét — egy megkülönböztetési érv az üzleti javaslatoknak.

Esettanulmány 3 — Egy körülbelül 1 200 ágyas kórházi csoport

Egy közkórházi csoportot egy trabalho szerződések, gyakorlati útalkalmazások és partneri szervezetekkel kötendő megállapodások digitalizálása érdekli. A feldolgozotts adatok érzékenysége (az orvosi dolgozók egészségügyi és HR adatai) fokozott felügyeletet igényel a PSCo RGPD-kötelezettségeiben.

A DSI és az intézmény DPO-ja követelményei: adatok Franciaországban történő hosztolása egy tanúsított egészségügyi adathosztolónál (HDS — Hébergeur de Données de Santé, tanúsítás az Egészségügyi Törvénykönynek L.1111-8. cikkében előírva), nincs EGT-n kívüli átvitel, dokumentált AIPD az aláírók azonosítási feldolgozásához és aláírható DPA az operatív előtt.

Egy, a követelményeknek megfelelő PSCo kiválasztása után az üzembe helyezés elsősorban az HR szerződésekre (körülbelül 800 aktus évente) irányul. A végleges munkaszerződések aláírásához szükséges átlagos idő 9 napról kevesebb, mint 48 órára csökken, felszabadítva az HR-csapatok számára jelentős kapacitást. Az intézmény teljes nyomonkövethetőséggel rendelkezik az összegyűjtött hozzájárulásokról, amelyet éves DPO auditálás ellenőriz.

Következtetés

Az Franciaországban az elektronikus aláírási szolgáltatókat terhelő jogi kötelezettségek egy igényes normatív korpuszot képeznek: eIDAS minősítés, RGPD megfelelőség, ETSI normák betartása, NIS2 kötelezettségek és eIDAS 2.0-hoz való közeli alkalmazkodás. Az adatokat használó üzleti szervezetek számára a PSCo megfelelőségének biztosítása nem választható — ez az aláírások bizonyítási ért