Mismunur stafræn undirskrift og rafræn undirskrift árið 2026

Inngangur

Í daglegum faglegum samskiptum eru hugtökin „rafræn undirskrift" og „stafræn undirskrift" oft notuð sem jöfn hugtök. Engu að síður tákna þau tæknilega og lagalega ólík raunveruleika. Að rugla saman þessum tveimur getur haft alvarlegar afleiðingar fyrir sönnunargildi skjala þinna, réglulega samræmi stofnunarinnar og öryggi samningamála þinna. Þessi grein skýrir, með sérfræðilegri og staðreyndum nálgun, muninn á stafræn undirskrift og rafræn undirskrift, byggt á eIDAS 2.0 rammaverkinu, ETSI stöðlum og evrópsku B2B iðkun. Þú munt vita nákvæmlega hvaða lausn á að velja eftir aðstæðum þínum árið 2026.

---

Grundvallaraðgreiningar: tvö hugtök sem ekki má rugla saman

Rafræn undirskrift: vítt lögfræðilegt hugtök

Rafræn undirskrift er fyrst og fremst lögfræðilegt hugtök, skilgreint af Evrópureglunni um eIDAS (nr. 910/2014) í 3. grein, lið 10, sem „gögn í rafrænu formi, sem eru tengd eða rökfræðilega tengd við önnur gögn í rafrænu formi og sem undirritandi notar til að undirrita". Þessi víðlega skilgreining nær yfir fjölmarga aðferðir: einföld smell á „Ég samþykki", skönnuð mynd af handritaðri undirskrift, OTP-kóði móttekinn í SMS eða háþróuð dulkóðuð undirskrift.

Reglugerðin um eIDAS greinir á milli þriggja stiga rafrænnar undirskriftar:

• Einföld rafræn undirskrift (SES): lágmarks stig, engar sterkar tæknilegar kröfur.
• Háþróuð rafræn undirskrift (SEA): ótvírætt tengd undirritanda, getur auðkennt höfund, búin til með gögnum undir einkaeftirliti hans, og getur greint breytingar á skjali eftir undirritun.
• Hæf rafræn undirskrift (SEQ): hæsta stig, byggt á hæfu skírteini sem gefið er út af traustri þjónustuveitu (PSCo) á evrópskri traustalisti (Trusted List).

Í Frakklandi staðfestir borgaraleg lög, greinum 1366 og 1367, löggildi rafrænnar undirskriftar, með því skilyrði að hún „samanstandi af notkun áreiðanlegrar auðkenningaraðferðar sem tryggir tengingu hennar við athöfnina sem hún fylgir".

Stafræn undirskrift: nákvæmt tæknilegt hugtök

Stafræn undirskrift (digital signature á ensku) er aftur á móti sérstakt dulmálsfræðilegt fyrirtæki. Það er byggt á meginreglunni um ósamhverfa dulmál, einnig nefnt opinber dulkóðun (PKI – Public Key Infrastructure). Í raun séð hefur undirritandi par af lyklum:

• Einkalykilinn, leynilegur, geymður í öruggum tæki (snjallkort, HSM tákn eða skýja HSM).
• Opinberi lykillinn, deilanlegt, tengt stafrænu skírteini gefið út af viðurkenndri vottunarstofnun (AC).

Við undirritun myndar kjötkássuvirkni (dæmigert SHA-256 eða SHA-3) einstaka fótspor skjalsins. Þetta fótspor er síðan dulkóðað með einkalykilinn undirritanda: þetta er stafrænna undirskriftin sjálf. Hverjir sem er getur sannreynt þessa undirskrift með því að afkóða fótspor með opinbera lyklinum og bera það saman við endurreiknað fótspor móttekna skjalsins. Ef tvö fótspor samsvara, eru heilleiki og óskinnanleiki skjalsins sönnuð stærðfræðilega.

Tæknilegar staðlaði sem gilda um stafræna undirskrift, þar á meðal:

• PKCS#7 / CMS (Cryptographic Message Syntax)
• XAdES, CAdEs, PAdES (undirskriftarsnið sem ETSI skilgreindi, einkum ETSI EN 319 132 fyrir XAdES)
• RSA-2048, ECDSA P-256 sem algeng reiknirit

---

Sambandið milli tveggja hugtaka: innfelling, ekki andstaða

Stafræn undirskrift er undirkafli rafrænnar undirskriftar

Algengt mistök er að andstæða þessi tvö hugtök eins og þau væru í samkeppni. Í raun og veru er stafræn undirskrift sérstök form rafrænnar undirskriftar — tæknilega trausust form. Sérhver stafræn undirskrift er rafræn undirskrift, en andstæðan gildir ekki.

Eftirfarandi skýringarmynd sýnir þessa innfellingu:

> Rafræn undirskrift (vítt lögfræðilegt hugtok) > └── Einföld rafræn undirskrift (td. gátreit, skönnuð mynd) > └── Háþróuð rafræn undirskrift (td. OTP + tímastimpill) > └── Hæf rafræn undirskrift ↔ byggir alltaf á stafræn undirskrift PKI

Þessi staður er mikilvægur: hæf rafræn undirskrift samkvæmt eIDAS verður að byggjast á hæfu búnaði til búa til undirskrift (QSCD) og hæfu skírteini — með öðrum orðum, hún byggist endilega á ósamhverfri dulmálun, það er stafræn undirskrift.

Af hverju er þessi ruglingur svo algengur?

Nokkrir þættir rækta ruglinginn:

1. Óner þýðing: á ensku eru digital signature og electronic signature tvö aðskilin hugtök, en á íslensku eru „stafræn" og „rafræn" oft notuð sem samheiti á almennu máli.
2. Markaðsforysta úrskurðanna: margir þjónustuveitur tala um „stafræna undirskrift" til að lýsa lausnum sem byggjast aðeins á einföldu eða háþróuðu stigi, sem skapar óvissu um viðskipti.
3. Tæknileg þróun: nútímalegir notendaviðkomandi gömul dulkóða tæknilega flókið undir, sem gerir aðgreiningunni minna sýnilega fyrir ekki tæknimenn.

Til að komast dýpra inn á samræmisstigi, sjáðu okkar ítarlegir leiðbeiningar um rafræna undirskrift og samanburð á lausnum rafrænnar undirskriftar sem eru til á evrópskum markaði.

---

Samanburð tæknilegi og lögfræðilegu: yfirlitsstofa

Mismótunarviðmið

| Viðmið | Rafræn undirskrift (einföld) | Stafræn undirskrift / SEQ | |---|---|---| | Grunnur | Lögfræðilegur (eIDAS, borgaraleg lög) | Dulkóðað (PKI, X.509) | | Tækni | Breytileg (OTP, mynd, smell) | Ósamhverf dulmálun | | Nauðsynlegt skírteini | Nei | Já (hæft eða háþróað) | | Sönnunargildi | Takmarkað til sterkt eftir stigi | Hámark (lögleg forsendu SEQ) | | Tæknilegur staðall | — | ETSI EN 319 132 (XAdES), PAdES | | Afturköllin möguleg | Nei | Já (CRL, OCSP) | | Hæft tímastimpill | Valfrjálst | Mælt með / skylda SEQ |

Það sem stafræn undirskrift gefur til viðbótar

Stafrænna undirskriftin biður fjóra tryggingu sem einföld rafræn undirskrift getur ekki veitt:

• Óskinnanleiki: stærðfræðilegur sönnun fyrir auðkenni undirritanda í gegnum skírteini hans.
• Heilleiki: allar breytingar á skjali eftir undirritun eru strax greinanlegar.
• Engin afneitun: undirritandi getur ekki neitað að hafa undirritað, svo framarlega sem einkalykilinn hans er undir hans einkastjórn.
• Tímastimpill: sameinað við hæf tímastimpilþjónusta (TSA), það lokar dagsetningu undirskriftar óumdeilanlega.

Þessir eiginleikar gera stafræna undirskrift grundvallarviðleitandi hæfrar rafrænnar undirskriftar, það eina stigið sem hefur lögleg forsendu áreiðanleika í öllum aðildarríkjum Evrópusambandsins samkvæmt 25. grein reglugerðar um eIDAS.

Til að skilja eIDAS 2.0 regluverkið sem kom í gildi árið 2024 í smáatriðum, sjáðu okkar sérstakir leiðbeiningar um eIDAS regluverkið.

---

Hvaða stig á að velja fyrir stofnun þína árið 2026?

Greining eftir tegundum athafna

Val á milli einfaldrar, háþróaðrar eða hæfrar rafrænnar undirskriftar (byggt á stafræn undirskrift) fer beint eftir löglegri eðli athöfnarinnar, áhættu sem tengist henni og kröfum atvinnugreinarinnar:

• Einföld undirskrift: tilboð, innri innkaupapantanir, kvittir móttöku, ósensitívir HR formúlir. Lítil áhætta, fullnægjandi sönnunargildi í venjulegum deilumálum.
• Háþróuð undirskrift: viðskiptasamningar, NDA, þjónustusamninga, atvinnuleigusamningar. Ráðlægt stig fyrir flesta B2B notkun samkvæmt leiðbeiningum frá ANSSI og ENISA.
• Hæf undirskrift (stafræn PKI): sáttmálaathafnir, opinber kaup yfir evrópskum viðmiðum (tilskipun 2014/24/ESB), mannkostir dómnir, ákveðnir bankalegir athafnir sem eru stjórnaðir. Skylda í nokkrum stýrðum atvinnugreinum.

Áhrif eIDAS 2.0 umbóta á starfsvenjur

Reglugerð eIDAS 2.0 (ESB reglugerð 2024/1183, birt í JOUE 30. apríl 2024) innleiðir Evrópska stafræna auðkennisveski (EUDI Wallet), sem er ætlað að vera komið á stream árið 2026. Þetta veski mun gera borgurum og fagfólki í Evrópu kleift að nota hæf auðkenningarleið til að undirrita rafrænt, og styrkir verulega aðgengi að hæfri undirskrift sem byggir á dulmálun. Fyrirtæki sem taka upp PKI-samhæfðar lausnir nú og þegar munu undirbúa innviði sinn fyrir þessa þróun.

Okkar síða rafræn undirskrift í fyrirtækjum útskýrir stefnur sem hentu mismunandi stærðum stofnana.

---

Val á undirskriftarlausn árið 2026

Tæknilegar spurningar sem skal stilla við þjónustuveitunna

Við mat á undirskriftarplatformi skulu IT- og lögfræðisvið prófa eftirfarandi atriði:

1. Er þjónustuveitinn hæfur samkvæmt eIDAS? Athugðu hvort hann sé á traustalisti Evrópu (aðgengilegt í gegnum framkvæmd Evrópusambandsins).
2. Hvaða undirskriftarsnið eru studd? PAdES (PDF), XAdES (XML), CAdES (CMS) — þrjú staðlað snið af ETSI.
3. Er geymsla einkalykla í samræmi við QSCD? (td. Common Criteria EAL 4+ vottuð HSM eða FIPS 140-2 Level 3)
4. Er hæft tímastimpill samheillandi? Ómissandi fyrir langtímavarðveislu (LTV – Long Term Validation).
5. Styður lausnin fleiri undirritendur flæði með fullnustu, undirskriftarröð og sönnunarfullvissun?

Samhæfi og langtímavistunarvarðveisla

Oft yfirlit atriði er varanleiki sönnunargildis. Stafrænna undirskriftin byggir á dulkóðunarritum sem þróast: SHA-1 er úrelt frá 2017, RSA-1024 frá 2015. Alvarleg lausn verður að innleiða langtímavaldun (LTV) samkvæmt ETSI EN 319 102-1, sem samanstendur af því að fella sannprófanargögn (afturköllun stöðu, skírteinis keðju, tímastimpill) beint inn í undirritað skjal á undirskriftastund, sem tryggir sannprófun þess eftir 10, 20 eða 30 ár.

Certyneo felur innbyggja LTV-PAdES snið og sönnunarvíðkun sem er í samræmi við eIDAS. Bera saman eiginleika sem eru til boðs á okkar verðsíðu eða meta endurávöxtun fjárfestingar með útreikni á ROI rafrænnar undirskriftar.

Lagalegur rammaverk um rafræna og stafræna undirskrift

Grundvallarevrópskar textar

Lagagrunnur rafrænnar undirskriftar í Evrópu byggist fyrst og fremst á reglugerð um eIDAS nr. 910/2014 (Electronic Identification, Authentication and Trust Services), beint gildandi í 27 aðildarríkjunum síðan 1. júlí 2016. 25. grein hennar setur aðalmeginregluna fram: „Hæf rafræn undirskrift hefur lagaleg áhrif jöfn handritaðri undirskrift." Greinum 26 til 32 skilgreina tæknilegar kröfur háþróaðra og hæfs stigs.

Reglugerð eIDAS 2.0 (ESB 2024/1183) nútímavæðir þennan ramma með því að innleiða evrópsku stafrænu auðkennisveskið (EUDI Wallet), stækkað gildissvið hæfra traustrar þjónustuveitu og styrkt kröfum um netöryggis fyrir PSCo veitendur.

Frönsk lög

Samkvæmt innlendum lögum staðfesta greinum 1366 og 1367 borgaralegra laga (frá lögum nr. 2016-131 frá 10. febrúar 2016) lagagildi rafrænnar undirskriftar. Grein 1367 skýrir að hún „samanstandi af notkun áreiðanlegrar auðkenningaraðferðar sem tryggir tengingu hennar við athöfnina sem hún fylgir". Forsenda áreiðanleika nýtur hæfra rafrænna undirskrifta samkvæmt eIDAS með tilskipun nr. 2017-1416 frá 28. september 2017.

ETSI tæknilegar staðlar

Tæknileg innleiðing er stýrð af stöðlum evrópsku gerðarinnar um fjarskiptastaðla (ETSI):

• ETSI EN 319 132-1: XAdES snið fyrir XML skjöl
• ETSI EN 319 122-1: CAdES snið fyrir tvíundaupplýsingar
• ETSI EN 319 162-1: PAdES snið fyrir PDF skjöl
• ETSI EN 319 102-1: aðferðir til að búa til og sannreyna
• ETSI EN 319 401: almennar kröfur fyrir PSCo

Netöryggis og gagnvernd

Stjórnun dulmálslykla og stafrænna skírteina felur í sér úrvinnslu auðkenningargagna, sem er háð GDPR nr. 2016/679. Ábyrgðarmenn úrvinnslu verða þó að tryggja að gögn sem safnað er við auðkenningarferli séu lágmörkuð (grein 5), innleiðing viðeigandi öryggisaðgerða (grein 32) og, ef við á, framkvæma áhættumat (DPIA) samkvæmt grein 35 fyrir úrvinnslur með mikilli áhættu.

NIS2 tilskipunin (ESB 2022/2555), flutt inn í frönsk lög með lögum nr. 2024-449 frá 21. maí 2024, leggur á stig aukinnar netöryggiskröfu fyrir mikilvæg og mikilvæg aðila, þar á meðal hæfa trausta þjónustuveitendur. Þessar skuldbindingar ná yfir áhættustjórnun, tilkynningu tilvika og netöryggis birgðakeðjunnar.

Lagaleg áhætta ef engin samræmi

Notkun einfaldrar rafrænnar undirskriftar fyrir athöfn sem krefst hæfrar undirskriftar útsetur stofnun fyrir nokkrum áhættum: ógildingu athöfnarinnar, óviðtakamátum sönnunargagna í deilumáli, samkæmdum ábyrgðum af þjónustuveitanda og, í ákveðnum stýrðum greinum (heilbrigðisstofnanir, fjármál, opinber kaup), stjórnsýslurefsingu sem getur átt margar milljónir evra.

Notkunartilvik: stafræn og rafræn undirskrift í fram

Tilvik 1 — Lögfræðistofun með 15 samstarfsmenn

Stofun sem sérhæfðist í samningalögum og sameiningu fyrirtækja meðhöndlaði að meðaltali 300 athafnir á mánuði, þar á meðal hlutum sölunámunda, gildir af eignum og skuldum (GAP) og samningamerkja. Sögulega þurfti hver athöfn að senda með pósti eða líkamlega fundina undirritun, sem olli meðaltali seinkun á 5 til 8 vinnadögum á skrá.

Með því að nota háþróaða rafræna undirskriftarlausn (SEA) fyrir venjulega viðskiptasamninga og hæfa rafræna undirskrift (SEQ, byggt á stafræn undirskrift PKI) fyrir athafnir með mikla veðmál, minnkaði stofunin meðaltal sinn á undirskriftum í innan við 4 tíma. Samkvæmt greiningum sem birtar eru af Domsáðum (2024), nota stofnanir sem hafa gert undirskriftarferli sín dómaðri sjá 60 til 75 prósent styttingu á samningaleiðarlengd og sparnaði 8 til 12 € per athöfn (póstgjöld, prentun, pappírsgeymsla). Umfjöllun um grafið sem yfirmaður vettvanginn hafði einnig sperrt öryggi á deiluástæðum, sundurliðun undirskriftarmeta (IP, hæfur tímastimpill, vottuð auðkenni) hafði verið framleitt sem móttækileg sönnun.

Tilvik 2 — Meðalstærð iðnaðarfyrirtæki sem stýrir 400 samningum við birgja á ári

Meðalstærð fyrirtæki í framleiðslugeiranum, með stöðvar dreifðar í fjórum evrópskum löndum, þurfti að fá undirritað ramma og breytingasamninga frá birgjum með aðsetur í Þýskalandi, Póllandi og Spáni. Fjölbreytni þjóðlaga og mikill samningamagn gerðu handvirka stjórnun sérstaklega kostnaðarsamlega og áhættusama.

Með því að taka upp rafræna undirskriftarplatformu í samræmi við eIDAS — viðurkennd í öllum aðildarríkjum þakka meginreglunni um gagnkvæma viðurkenningu í 25. grein eIDAS — gat fyrirtækið einsleitt samningagerðarferill sinn. Endurtekin notkun á ósamhverfri dulmálun (stafræn undirskrift) fyrir stefnumótunarsamlinga tryggði heilleika skjala á öllu líftímakjöri. Rannsóknir í greinum (IDC European Trust Services skýrsla, 2025) sýna að meðalstærð fyrirtæki sem nota háþróaða eða hæfa rafræna undirskrift draga úr kostnaði við samningastjórnun um 40 til 55 prósent og deila með þremur áhættu deilumála sem tengist óhefðum um undirskrift.

Tilvik 3 — Spítali með um það bil 600 rúm

Í heilbrigðisgeiranum felur undirritun klíniskra rannsóknarhefta, samninga við lyfjafyrirtæki og starfssamninga við spítalalækna strangar stýrðar kröfur (HDS, GDPR, Heilbrigðisrefornir). Miðlungs spítali þurfti að tryggja undirritun á nokkrum tugum næmra athafna á viku og tryggja heildstæðni sem heilbrigðistilvarnir krefjast.

Með því að nota hæfa rafræna undirskrift sem byggir á skírteinum sem gefin voru út af hæfum PSCo og með því að samþætta sönnunarvíðkun LTV-PAdES, uppfyllti stofnunin kröfur um endurskoðun frá HAS (Hæsta Heilbrigðiskirkjan) og ANSM. Samkvæmt reynsluupplýsingum sem birtar eru af DSIH (Ákvörðun á SI Hospitaliéers, 2024), sjá heilbrigðisstofnanir sem hafa tekið upp hæfa rafræna undirskrift 80 prósent styttingu á samningaleið við iðnaðarsamstarfsaðila og styrkt samræmi við skjöl við eftirlitsútilegulega.

Fyrir heilbrigðissérfræðinga, Certyneo leggur til sérstaka lausn: uppgröttu okkar tilboð um rafræna undirskrift í heilbrigðisstofnum.

Niðurstaða

Munurinn á stafræn undirskrift og rafræn undirskrift er ekki bara spurning um hugtakamótun: hún setur lagagildi athafna þinna, styrkleika tæknilegar ferla þinna og samræmi stofnunarinnar við kröfur eIDAS 2.0, GDPR og NIS2. Stafrænna undirskriftin, byggt á ósamhverfri dulmálun og ETSI stöðlum, myndar grundvallarstöð hæfrar rafrænnar undirskriftar — eina stigið sem nýtur lögulegra forsendu áreiðanleika um allt Evrópusambandið.

Til að velja stigið sem hentar athöfnum þínum, tryggja flæði samningamála þinna og undirbúa stofnun þína fyrir komu EUDI Wallet árið 2026, Certyneo setur þér til boða B2B platformu sem er í samræmi við eIDAS, sem felur í sér háþróaða og hæfa undirskrift, vottuð tímastimpill og sönnunarvíðkun. Byrjaðu frjálst á Certyneo eða sjáðu okkar verðlagningu til að finna formúlu sem hentar magni athafna þinna.