Skyldur veitenda rafrænnar undirskriftar á Frakklandi

Inngangur

Að setja upp lausn fyrir rafræna undirskrift á Frakklandi er ekki einfalt mál. Á bak við hverja hæfða eða háða undirskrift felast tugir lagalegra skyldna sem bera á veitanda traustrar þjónustu (PSCo). eIDAS-reglugerð, RGPD, almennur öryggisramma, ETSI staðlar... regluverksraminn er bæði þéttur og breytilegt. Fyrir fyrirtæki sem nota lausnir þessa er mikilvægt að skilja lagalegar skyldur veitanda rafrænnar undirskriftar Frakklands eIDAS RGPD til að velja samryggan samstarfsaðila og forðast lagalega áhættu. Þessi grein útlistar, kafla fyrir kafla, allar kröfur sem gilda fyrir PSCo sem starfa á frönsku landsvæðinu.

---

Staða veitanda traustrar þjónustu sem er hæfur

Hvað er PSCo samkvæmt eIDAS?

Reglugerð eIDAS nr. 910/2014 greinir tvo flokka veitenda: veitendur traustrar þjónustu sem ekki eru hæfir og hæfir veitendur (PSCQ). Fyrri flokki er heimilt að bjóða einfalda eða háa rafræna undirskrift án skyldulegrar endurskoðunar þriðja aðila. Síðari flokki — þeim einum sem er heimilt að gefa út hæfðar undirskriftir samkvæmt 3(15) grein eIDAS — ber að fullnægja verulega meiri kröfum.

Á Frakklandi þarf Landsyfirvöld tryggingarkerfa upplýsinga (ANSSI) hlutverk eftirlitsaðila („Supervisory Body") samkvæmt 17. grein eIDAS. Það gefur út og heldur úti frönsku traustalista (TSL — Trust Service List), aðgengilegum á vefsíðu þess, sem nefnir hæfða veitendur og þjónustu þeirra.

Hæfunarverferni: endurskoðun og samræmi

Til að fá hæfða stöðu verður PSCo að:

• Láta endurskoða þjónustu sína hjá viðurkenndum samræmismatsaðila (CAB — Conformity Assessment Body) sem hefur verið samþykktur af COFRAC samkvæmt EN ISO/IEC 17065 staðli.

• Leggja endurskoðunarskýrsluna fyrir ANSSI, sem tekur ákvörðun um veiting hæfrar stöðu. Þessi staða er endurmötuð að minnsta kosti á 24 mánaða fresti (19. grein eIDAS).

• Tilkynna ANSSI um allar verulegar breytingar á þjónustu sinni innan 3 mánaða fyrir fyrirhugaða breytingu (21. grein eIDAS).

Ef þessum skrefum er ekki fylgt getur það leitt til þess að veitandi sé fjarlægður úr TSL og miski sönnunargilda sem tengist hæfðri undirskrift. Fyrir fyrirtæki sem nota aðila sem ekki eru skráðir á TSL merkir það að engin lagaleg sérgæð um áreiðanleika er til.

> Til að fá frekari upplýsingar um mismunandi undirskriftastærðir og réttaráhrif þeirra, skoðaðu okkar.

---

Tæknileg og öryggislegur skyldu sem PSCo bera

Samræmi við ETSI staðla

Hæfir veitendur verða að framfylgja setti af evrópskum stöðlum sem Evrópsk stofnun fyrir fjarskiptagreina (ETSI) gaf út. Helstu eru:

• ETSI EN 319 401: almenneg öryggiskröfur sem gilda um alla PSCo.

• ETSI EN 319 411-1 og 411-2: stefnur og aðferðir löggiltrar vottunarrits sem gefa út vottorð um hæfa undirskrift.

• ETSI EN 319 132: snið fyrir háa rafræna undirskrift (XAdES fyrir XML, PAdES fyrir PDF, CAdES fyrir CMS).

• ETSI EN 319 122: CAdES snið fyrir hæfðar undirskriftir.

• ETSI TS 119 431: kröfur fyrir þjónustu við gerð undirskrifta í fjarsíðu (QSCD fjarsíðu).

Þessir staðlar eru ekki valfrjálsir: eIDAS-reglugerð (viðauki II, III og IV) vísar beinlínis til þeirra til að skilgreina lágmarks kröfur fyrir hæf vottorð og undirskriftarbúnað.

Stýring á öruggum búnaði fyrir gerð undirskriftar (QSCD)

Ein af undirstöðum hæfðrar undirskriftar er notkun á öruggum búnaði fyrir gerð undirskriftar (QSCD — Qualified Signature Creation Device) sem uppfyllir viðauka II í eIDAS. Veitandinn verður að tryggja að:

• Einkakeypiðlykill undirritara getur ekki verið framkalkað, geymdur eða afritaður utan QSCD.

• Myndunarframferð lykilsins fer eingöngu fram í vottaðu umhverfi (Common Criteria EAL 4+ vottun eða jafngild).

• Auðkenning undirritara á undan hverri undirskriftarathöfn byggir á að minnsta kosti tveimur þáttum auðkenningar.

Í samhengi fjarsíðu undirskriftar — sem er æ meira algengur í SaaS-umhverfi — gilda þessar kröfur fyrir HSM-þjón (Hardware Security Module) sem geymir lykla. ANSSI hefur birt sértæka verndarprófíla (PP-0075, PP-0076) sem skilgreina öryggisviðmið sem þarf að ná.

Stefna um samfellu og tilkynning um atvika

1. grein eIDAS krefst þess að sérhver veitandi traustrar þjónustu (hvort sem hæfur eða ekki) geri eftirfarandi:

• Tilkynnti eftirlitsaðila (ANSSI) og eftir því sem við á friðhelgunaraðila (CNIL) innan 24 klst. eftir að heimildir hafi verið uppgötvaðar um öryggisbrot sem gæti haft áhrif á áreiðanleika þjónustunnar.

• Halda skjalfestri og reglulega prófaðri samfelluáætlun.

• Hafa formlega öryggisstefnu fyrir upplýsingar sem nær yfir stýringu áhættu, meðhöndlun atvika og varabúð.

Þessar kröfur skarast að hluta með kröfum NIS2 tilskipunarinnar (2022/2555/ESB), sem var flutt inn í frönska lög með lögum nr. 2023-703 frá 1. ágúst 2023, sem flokkar PSCo umtalsverðrar stærðar meðal mikilvægra eða nauðsynlegra aðila sem bera raunverulega aukin CyberSecurity-skyldur.

> Uppgötvaðu hvernig [lýsingin] ætti að samþætta þessar takmarkanir í verkflæðum skjalaumfangs þeirra.

---

RGPD-skyldur sérstaklega fyrir PSCo

Er PSCo ábyrgðaraðili og undirritari gagna eða?

RGPD-flokkun þjónustuveitanda fer eftir eðli þjónustu:

• Þegar PSCo gefur beint út hæf vottorð fyrir hönd undirritara og ákvarðar tilgang gagnavinnslu (auðkenni, líkamslegir gögn auðkenningar), starfar sem ábyrgðaraðili samkvæmt 4(7) RGPD.

• Þegar það samþættir API sína á pallinum viðskiptavina B2B og vinnur gögn samkvæmt fyrirmælum þessa viðskiptavinar, tekur hlutverk undirritara (4(8) RGPD) og verður að undirrita DPA (Data Processing Agreement) sem er í samræmi við 28. grein RGPD.

Í praksi safna flestir SaaS PSCo saman um tveimur hlutverkum: ábyrgðaraðili fyrir stjórnun eigin löggiltar vottunargagna, undirritara fyrir vinnslu skjala og gagna undirritara.

Sérstakar skyldur sem tengist líkamslegum og auðkennisupplýsingum

Auðkenning og auðkenning undirritara — skyldugildu skref til að gefa út hæft vottorð — felur oft í sér vinnslu á viðkvæmum gögnum: skönnun af auðkenniskenni, sjálfspotura-myndbandi, líkamslegum gögnum ansiktskenningu. Þessi gögn mynda persónuleg gögn sem falla undir RGPD, og jafnvel líkamsleg gögn sem falla undir 9. grein RGPD (sérstakar flokkar).

Skyldur PSCo eru:

• Lagaleg grundvallarrök: skýr samþykki (9. grein 2a) eða í sumum tilfellum skyldugildi lög (9. grein 2b) fyrir vinnslu líkamlegra gagna.

• Takmörkuð varðveisla: samkvæmt leiðbeiningum CNIL verða auðkennigögn geymd aðeins nauðsynlega tíma, venjulega í samræmi við gildistíma vottorðs + lögleg sönnunargild (oft 10 ár fyrir einkasaminga, 2224. grein Borgaralegra dómstóla).

• Áhrif-mat (AIPD) skylda (35. grein RGPD) þegar gagnvinnslan getur valdið hári áhættu — sem er bending fyrir líkamslegum gögnum.

• Gagnvinnsluskrá (30. grein RGPD) haldin með nýjum og sem skjalfestir hverja gagnvinnsluflokk.

Alþjóðleg gagnaflutninga

Margir PSCo geyma alla eða hluta innviða sinna utan Efnahags- og evrópska svæðisins (EEE). Í því tilfelli gilda viðeigandi tryggingar samkvæmt V. kafla RGPD: áskilnaðarúrskurð, staðlaðir samningsgreinir (SCCs) frá Framkvæmdastjórn Evrópu eða bindandi korporatíf reglur (BCR). Schrems II úrskurðurinn (CJEU, C-311/18, 16. júlí 2020) minnti á að flutningur til Bandaríkjanna krefst forsendukanningu á áhættu á landsvæðinu.

> Til að skilja áhrif þessara reglna á stofnunina þína, skoðaðu okkar.

---

Skyldur um gagnsæi og upplýsingamiðlun til notenda

Vottunarstefna (PC) og Yfirlýsing um aðferðir vottunar (DPC)

Sérhver PSCo sem gefur út vottorð er skyldugur til að birta Vottunarstefnu (PC) og Yfirlýsingu um aðferðir vottunar (DPC) í samræmi við ETSI EN 319 411 staðlana. Þessi skjöl, aðgengileg almenningi, lýsa:

• Verandi fyrir auðkenningu og skráningu undirritara.

• Öryggisaðgerðir sem eru líkamlegar og rökréttar beituðu.

• Skilyrði fyrir afturköllun vottorða og tilheyrandi tímalengdir.

• Ábyrg PSCo og takmarkanir á ábyrgðum.

Vantar eða ófullnægjandi skjöl mynda vansamræmi sem hægt er að greina við endurskoðun endurhæfinga hjá akkreditluðu aðilum.

Fyrir-samningsgildi og samningsupplýsingasamtöl við viðskiptavini

Umfram eingöngu tæknileg skyldu leggur 13. grein RGPD á PSCo skyldu að veita hverjum einstaklingi þar sem gögn eru söfnuð skýrar og aðgengilegar upplýsingar um:

• Auðkenni ábyrgðaraðila og samskiptaupplýsingum DPO (skylda fyrir PSCo sem vinna í miklum magni viðkvæmra gagna, 37. grein RGPD).

• Markmið og lagaleg grundvallarrök fyrir hverja gagnvinnslu.

• Réttindi fólks (aðgangur, leiðrétting, eyðing, flytjanleiki, andmæli).

• Hugsanlegir viðtakendur gagna (undirritarar, yfirvöld).

Þessar upplýsingar verða að koma fram í friðhelgunarreglum þjónustunnar, í almennri skilmálum og eftir þörfum í DPA sem gerð er með faglegum viðskiptavinum.

Hæf tímastimpil og endurskoðunarslóð

Til að tryggja langa gildistíma sönnunargildi undirskrifta bera sérfræðilegir PSCo jafnan hæft rafrænir tímastig (42. grein eIDAS) við hverja undirritaða athöfn. Þessi tímastimpil myndar lagalega sérgæð fyrir tilvist gagna á tiltekinni dagsetningu. Varðveisla endurskoðunarslóðarinnar (auðkenni-skrár, gögn skjalsins, undirskriftargögn) er raunveruleg skylda til að leyfa hvers kyns sannprófun fyrir dómi seinna.

> Berðu saman lausnir markaðarins samkvæmt þessum viðmiðum í okkar.

---

eIDAS 2.0: Nýjar skyldur við 2026-2027

Reglugerðin eIDAS 2.0 (EU) 2024/1183

Sem birt var á Opinberum blöðum ESB 30. apríl 2024 styrkir reglugerðin (EU) 2024/1183 kallað „eIDAS 2.0" verulega skyldur PSCo um þrjá flokka:

• Evrópska stafræna auðkennisveislinn (EUDI Wallet): Aðildarríkin verða að setja stafræna auðkenni-veislur með vottunum fyrir 2. nóvember 2026. PSCo verá að sameina þjónustu sína við þessa veislun til að bjóða hæfðar undirskriftir um eIDAS 2.0 auðkenni.

• Stýring eigindlegra vottana: eIDAS 2.0 innleiðir hæfð eigindleg vottan (QEAAs), gefin út af hæfðum veitendum eigindlegra votta. Ný endurskoðun og hæfunarferli munu gilda.

• Styrkingu eftirlykt: Innlend eftirlitsyfirvöld (ANSSI fyrir Frakkland) sjá útvíkkað vald sitt, meðal annars getu til að fara með undirstöðulaus endurskoðun og beita bindandi leiðréttingaraðgerðum á styttri tímabilum.

Hagnýt áhrif fyrir núverandi veitendur

PSCo sem þegar eru hæfir samkvæmt eIDAS 1.0 verá að framkvæma stigvaxandi samræmisbreytingu fyrir skilgreind frestir sem sett eru fram í framkvæmdanlegum verkum framkvæmdastjórnarinnar (birt eða í bið). Helstu aðlögunarinflutningur:

• Endurbæta auðkenningarinnviðina til að styðja EUDI Wallet sem auðkennisleið.

• Uppfæra PC/DPC til að fela nýjar vottaflokka og vottan.

• Styrkja öryggiskröfur fjarsíðu QSCD með nýjum verndarprófílum sem koma.

Fyrir fyrirtæki sem nota aðila merkir þetta að staðfesta nú að veitandinn hafi skjalfesta eIDAS 2.0 samræmi roadmap og yfirfara.

Lagaleg grundvallarammi fyrir skyldur veitenda rafrænnar undirskriftar

Kverkun lagaasetja gildandi fyrir veitendur rafrænnar undirskriftar sem starfa á Frakklandi skiptist í marga stigveldi sem bæta hvern annan upp.

Franski borgaralegi lög — 1366. og 1367. grein

1. grein frönsku borgaralaga fagnar rafrænni ritun sem sama sönnunarmáta og pappírsskrifaðar ritanir, að því tilskildu að „geti verið rétt auðkent sá sem gefur hana út og þess hafi verið háð og varðveitt við aðstæður sem tryggja heilleika hennar". 1367. grein skýrir að undirskrift er „notkun á áreiðanlegri auðkenningu sem tryggir tengingu hennar við athöfn sem henni er fest". Sérgæðin fyrir áreiðanleika hlýtur til hæfðra undirskrifta samkvæmt eIDAS, sem snýr sönnunarbyrðinni í þágu undirritara.

Reglugerð eIDAS nr. 910/2014/ESB

Þessi reglugerð, sem beitist beint í öllum aðildarríkjum, setur lagalegan ramma fyrir þjónustu. 26. grein hennar skilgreinir skilyrði hárar rafrænnar undirskriftar; 28. grein kröfur um hæf vottorð; viðauki I greinir skyldubundið innihald þessara vottorða. Hæfir PSCo njóta giskunarléts um samræmi við tæknilegar og lagalegar kröfur reglugerðarinnar (19. grein 2), sem myndar stóra gæfu við deilur.

Reglugerð eIDAS 2.0 — (EU) 2024/1183

Sem gefin var út 30. apríl 2024 kynnir þessi breyting ný flokka traustrar þjónustu (hæf eiginleikaparstat, hæf geymsluþjónusta) og styrkir eftirlyktarskyldur. Henni er breytt og hennar er að hluta falið reglugerð 910/2014, með stigvaxandi gildun eftir framkvæmdanlegum verkum framkvæmdastjórnarinnar Evrópu.

RGPD — Reglugerð (EU) 2016/679

RGPD á við um hvers kyns vinnslu persónulegra gagna sem framfarin er í tengslum við rafræna undirskrift þjónusta. 5. greinar (meginreglur lögleika), 6 (lagaleg grundvallarrök), 9 (viðkvæm gögn), 13-14 (upplýsingamiðlun), 28 (undirritun), 32 (öryggur), 33-34 (tilkynning um brot), 35 (AIPD) og 37 (DPO) mynda algengustu skilyrðin. CNIL er eftirlit-yfirvöld á Frakklandi og getur beitt sektum allt að 20 milljónum evra eða 4% af árlegum heildartekjum á heimsvísu (83. grein 5 RGPD).

Tilskipun NIS2 — (EU) 2022/2555

Flutning inn á frönsku lög með lögum nr. 2023-703 frá 1. ágúst 2023, flokkar NIS2 umtalsverða PSCo meðal mikilvægra eða nauðsynlegra aðila sem bera skyldu til að stjórna netöryggisáhættu og tilkynna atvika til ANSSI innan 24 klst. (snemma viðvörun) og síðan 72 klst. (full tilkynning).

ETSI staðlar

Allir staðlar EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 og TS 119 431 mynda skyldubundna tæknilega viðmiðun til endurskoðunar hæfunar. Vanfullnægi þeirra leiðir til ómöguleika á að fá eða viðhalda hæfri stöðu.

Lagaleg áhætta ef ekki er farið eftir

Ósamrygga veitandi verr fyrir: fjarlægingu úr TSL Frakklands, framkvæmd samningsbundinnar og ósamningsbundinnar ábyrgðar, stjórnunarlegra sekta CNIL, NIS2 sekta sem kunna að nema 10 milljónum evra eða 2% heildartekna á heimsvísu fyrir mikilvæg aðila og 20 milljónum eða 4% heildartekna á heimsvísu fyrir nauðsynlega aðila, svo og dómalegum endurgreiðslum viðskiptavina sem hafa orðið fyrir skaða vegna ógildra undirskrifta á lagalegum grundvelli.

Notkunarþættir: Hvernig fyrirtæki staðfesta samræmi veitenda þeirra

Atburðarás 1 — Iðnaðarhópur sem sér um 3 000 birgjasamninga á ári

Iðnaðarhópur meðalstærðar (ETI), virkur í framleiðslu vélbúnaðar, dregur dálítið saman alla samninga birgja sína gegnum SaaS platform fyrir rafræna undirskrift. Við innri endurskoðun sem hófust eftir breytingu á reglum kemur framlega-stjórn í ljós að valin veitandi — upphaflega valin á verðviðmiðun — er engin vísbending á frönsku TSL eða neinum TSL Evrópu. Undirskriftir sem gefnar eru út eru af gerðinni „einföld" án öflugrar auðkenningu undirritara-kerfi.

Frammi fyrir lagalegri áhættu — öll samningar sem undirritaðir eru gætu séð gildi sönnunarins mótmælað við deilur — hefst fyrirtækið á flutningi til hæfs PSCo ANSSI. Nýja lausnin innleiðir háa undirskrift með hæfu vottorði, hæfðum tímastimpli og gagnhlutan endurskoðunarslóð. Flutningsverk, framkvæmd á innan við 8 vikum, gerir kleift að tryggja nýjar athafnir og að setja upp samrygga stefnu um skjöl. Lögfræðiþekkingar áætla að áhætta á deilum sem tengist eldri samningum sé takmörkuð vegna þess að þeir hafa verið framkvæmdir án mótmæla, en allar nýjar undirskriftir eru nú tryggðar.

Virði sem skoðað var: minnkun um 60% á mögulegum deilum tengdum yfirlýsingum um samrygni undirskrifta og hagnaður 3,5 daga meðaltal á undirskriftartöðu í flóknum samningum vegna sjálfvirknina verkflæðis samþykkis.

Atburðarás 2 — Lögfræðistofa með 25 starfsmönnum sem sérhæfir sig í lögum um viðskipti

Lögfræðistofa sem ætlar að dósa undirskriftir stjórnunarsamnings, ráðgjöfa og málsmeðferðaráðstafanna gefur mat á nokkrum veitendum. Greiningarrammi sinni felur í sér eftirfarandi viðmið: stöðu á TSL, birtingu PC/DPC sem aðgengilegum, tilvist DPA í samræmi við RGPD, framboð á DPO sem hægt er að ná til og vottunar QSCD fjarsíðu.

Af fimm metningu veitendum, tveir ein og sér fullnægja öllum viðmiðum. Stofu velur að lokum PSCo sem bjóðar innflutt hæfa undirskrift með QSCD fjarsíðu, tryggjandi sérgæðu áreiðanleika 1367. greinar frönsku borgaralaga. Stilling tekur 3 vikur, þjálfun með. Niðurstaða: 75% stjórnunarsamninganna eru nú undirritaðir á innan við 24 klst gegn 5-7 dögum áður (sendingu með pósti), og stofu getur réttlæt á viðskiptavinum sínum öryggisstig sem lausnin veitir — aðgreiningarrök í viðskiptaframboðum sínum.

Atburðarás 3 — Sjúkrahúsahóp með um það bil 1 200 rúmum

Sjúkrahúsahóp opinbera skrafns óskar sér demaralizáðra samninga um starf, sáttmála aðila og samkomulag með samstarfsstofnunum sjúkragæslu. Viðkvæmni gagna sem undir eru (heilsu gögn heilsufarfólks, starfsmenn og manna-auðlindir) krefst sérstakrar aðgætni á RGPD skyldum PSCo.

DSI og DPO stofnunarinnar krefjast: geymslu gagna í Frakklandi hjá heilsufarsgagn-geymslustofnun með HDS vottunar (Gérant de Données de Santé, þá vottunarákveðna með 1111-8. grein heilsufarslaga), engin flutningur utan EEE, AIPD sem skjalfest fyrir vinnslu auðkenningarkerfis og DPA sem undirritaðir áður en gang eru kominn.

Eftir val á PSCo sem uppfyllir þessi viðmið, nær útfærsla í fyrsta lagi á manna- og mannauðlindasamningum (um 800 athafnir á ári). Meðaltal tíma fyrir undirskrift á samningum um ákveðna tíðni fór úr 9 dögum í minni en 48 klst., sem losar umtalsvert magn fyrir starfsfólk mannauðlinda. Stofnunin hefur ennfremur fulla rekjanleika á samþykki sem söfnuðu, endurskoðað árlega af DPO sínum.

Niðurstöðu

Lagalegar skyldur veitanda rafrænnar undirskriftar á Frakklandi mynda krefjandi staðla-fylgislög: hæfun eIDAS, RGPD samræmi, samvara við ETSI staðla, NIS2 skyldur og yfirvofandi aðlögun að eIDAS 2.0. Fyrir fyrirtæki sem nota lausnir eru þess ekki valkvætt að tryggja samræmi PSCo — það er nauðsynlegt samband fyrir sönnunargildi athafna og vernd persónulegra gagna undirritara.

Certyneo er rafræn undirskrift veitandi hannaðir til að fullnægja öllum þessum kröfum: eIDAS samræmi, RGPD eftir hönnun, landsforsvör geymslu og eIDAS 2.0 roadmap skjalfest. Tilbúinn að tryggja undirskriftir þínar með fullum samræmi? Hafðu samband og fáðu sérsniðna stuðning frá fyrsta degi.