Obligations prestataire signature électronique France

Inngangur

Það er ekki auðvelt að setja upp rafræna undirskriftarlausn á Íslandi án þess að hugsa vel um það. Fyrir bak við hverja hæfa eða framskockna undirskrift felast tugi réttarlegra skylda sem hvílir á þjónustuveitu trausts þjónustunum (PSCo). Reglugerð eIDAS, GDPR, almennur öryggisviðmiðun, ETSI staðlar... lagalegur rammi er bæði þéttur og þróaðist. Fyrir fyrirtæki sem nota slíka þjónustu er mikilvægt að skilja þessar lagalegu skyldur þjónustuveitenda rafrænnar undirskriftar Íslandi eIDAS GDPR til að velja samhæfðan samstarfsaðila og forðast hvers kyns lagaráðskip áhættu. Þessi grein útskýrir ítarlega, kafla fyrir kafla, allar kröfur sem gilda fyrir PSCo sem starfar á Íslandi.

---

Staðan sem hæfni þjónustuveitu trausts

Hvað er PSCo samkvæmt eIDAS?

Reglugerð eIDAS nr. 910/2014 greinir á milli tveggja flokka þjónustuveitenda: þjónustuveitenda trausts ekki hæfir og þjónustuveitendur hæfir (PSCQ). Fyrstir geta boðið einfalda eða framskockna rafræna undirskriftarþjónustu án skyldulegrar endurskorunar aðila. Seinni - einir heimilaðir til að afhenda hæfar undirskriftir samkvæmt 3. mgr. 15. tölulið eIDAS - verða að fullnægja töluvert strangari kröfum.

Á Íslandi er Þjóðkirkjan um öryggi tölvukerfa (ANSSI) sem gegnir hlutverki eftirlitsaðila samkvæmt 17. grein eIDAS. Hún gefur út og heldur uppi lista yfir traust Íslandi (TSL — Trust Service List), aðgengilegt á hennar opinberu vefsíðu, og skráir hæfa þjónustuveitendur og þeirra þjónustu.

Hæfingarferlið: endurskorun og reglufylgni

Til að fá hæfa stöðu verður PSCo endilega að:

• Láta skoða þjónustu sína af viðurkenndri samræmingarprófunarstofnun (CAB — Conformity Assessment Body) samkvæmt EN ISO/IEC 17065 stöðlinum.

• Leggja endurskorunarskýrslu fyrir ANSSI, sem úrskurðar um veiting hæfrar stöðu. Þessi staða er endurskoruð að lágmarki á 24 mánaða fresti (17. grein §1 eIDAS).

• Tilkynna ANSSI um verulegar breytingar á þjónustu sinni innan 3 mánaða fyrir fyrirhugaðar breytingar (21. grein eIDAS).

Endalaust vanefndir á þessum skrefum útilokar þjónustuveitandann frá TSL og felur í sér að missa lagalega forsendu um áreiðanleika undirskriftar. Fyrir fyrirtæki sem nota slíka þjónustu á það að nota PSCo sem er ekki skráðir á TSL breytist engu máli fyrir lagalega forsendu áreiðanleika.

> Til að læra meira um mismunandi stig undirskrifta og lagaáhrif þeirra, skoðið okkar ítarleg leiðbeiningar um eIDAS 2.0 reglugerð.

---

Tæknilegar skyldur og öryggiskröfur sem beint eru til PSCo

Hlíðrun ETSI stöðla

Hæfir þjónustuveitendur verða að hlíta setti af evrópskum stöðlum sem gefnir eru út af Evrópska fjarskiptastöðlunefndinni (ETSI). Helstu eru:

• ETSI EN 319 401: almennar öryggiskröfur sem gilda um alla PSCo.

• ETSI EN 319 411-1 og 411-2: stefnur og starfsaðferðir útgefandi vottorða sem afhenda vottorð fyrir hæfa undirskrift.

• ETSI EN 319 132: sniðmát hæfrar rafrænnar undirskriftar (XAdES fyrir XML, PAdES fyrir PDF, CAdES fyrir CMS).

• ETSI EN 319 122: CAdES snið fyrir hæf undirskrift.

• ETSI TS 119 431: kröfur fyrir fjartengda undirskriftarþjónustu (QSCD fjartengd).

Þessir staðlar eru ekki valfrjálsir: eIDAS reglugerð (Viðauki II, III og IV) vísar skipulega á þá til að skilgreina lágmarkskröfur á hæfum vottorðum og skjölum til að búa til undirskrift.

Umsjón með öryggu tækjum til að búa til undirskrift (QSCD)

Einn helsti stoðir hæfrar undirskriftar er notkun öryggu tækis til að búa til undirskrift (QSCD — Qualified Signature Creation Device) samkvæmt Viðauka II eIDAS. Þjónustuveitandinn verður að tryggja að:

• Einkaslykill undirritara geti ekki verið myndaður, geymdur eða afritaður utan QSCD.

• Myndun slykils fer fram eingöngu í vottaðu umhverfi (Common Criteria EAL 4+ eða sambærilegt).

• Auðkenning undirritara fyrir öll undirskriftarverkefni byggist á að lágmarki tveimur auðkenningaþáttum.

Í samhengi fjartengdrar undirskriftar - sem verður æ útbreiddari í SaaS umhverfi - gilda þessar kröfur á netþjóna HSM (Hardware Security Module) sem geyma lykla. ANSSI hefur gefið út sérstaka verndarsnið (PP-0075, PP-0076) sem skilgreina öryggisviðmið sem þarf að ná.

Stefna um samfellu og tilkynning um atvik

1. grein eIDAS kveður á um að hvers kyns þjónustuveita trausts (hæfir eða ekki) verði að:

• Tilkynna eftirlitsaðila (ANSSI) og, eftir atvikum, gagnaverndarvaldið (CNIL), innan 24 klukkustunda frá því að uppgötva brot á öryggismálum sem geta haft áhrif á áreiðanleika þjónustunnar.

• Halda áætlun um samfellu starfseminnar sem er skjalfest og prófuð reglulega.

• Hafa trygga stefnu um upplýsingaöryggi sem er formlega sett fram, sem nær til þess að hýsa áhættumeðferð, meðferð atburða og öryggissafn.

Þessar kröfur tvinnast að hluta til við þær sem settar eru fram NIS2 tilskipuninni (2022/2555/ESB), sem var löguð inn í íslenskan rétt með lögum nr. 2023-703 frá 1. ágúst 2023, sem flokkar PSCo af miklu umfangi meðal mikilvægra eða mikilvægra aðila sem bera auknar skyldur um netöryggni.

> Kynntu þér hvernig rafrænni undirskrift fyrir lögfræðistofur verður að samþæta þessar takmarkanir í skjalastjórnun verkflæði.

---

GDPR skuldbindingar sem eiga sérstaklega við um PSCo

Er PSCo ábyrgðarmaður eða unnandi?

GDPR flokkun þjónustuveitanda fer eftir eðli þjónustunnar sem veitt er:

• Þegar PSCo afhendir beint hæf vottorð fyrir hönd undirritara og ákveður tilgang gagnastöðunarnar (auðkenni, lífmerkjaupplýsingar um auðkenningu), starfar hann sem ábyrg aðili samkvæmt 4. gr. 7. tölulið GDPR.

• Þegar hann samþætir API sína á vettvangi viðskiptavinar B2B og meðhöndlar persónuupplýsingar aðeins samkvæmt fyrirmælum þess viðskiptavinar, fær hann stöðu unnanda (4. gr. 8. tölulið GDPR) og verður að undirrita DPA (Data Processing Agreement) í samræmi við 28. grein GDPR.

Í reynd safna flestir PSCo SaaS báðum hlutverkum: ábyrgir fyrir stjórnun eigin vottorðakerfa, unnandi fyrir meðhöndlun skjala og sérfræðiupplýsinga undirritara.

Sérstök skylda varðandi lífmerkjaupplýsingar og auðkenni

Auðkenning og auðkening undirritara - lögboðið skref til að afhenda hæft vottorð - felur oft í sér meðhöndlun viðkvæmra gagna: skönnun auðkennis, selfie myndbandi, lífmerkjaupplýsingar um andlitsþekkingu. Þessi gögn eru persónuupplýsingar sem falla undir GDPR, eða jafnvel lífmerkjaupplýsingar sem falla undir 9. grein GDPR (sérstakar flokkanir).

Skyldur PSCo fela í sér:

• Lagalegt grundvöllur: skýr samþykki (9. gr. 2. mgr. a-liður) eða, í sumum tilfellum, lagalega skyldu (9. gr. 2. mgr. b-liður) fyrir meðhöndlun lífmerkjaupplýsinga.

• Takmörkuð geymslutími: samkvæmt CNIL leiðbeiningum ætti að geyma auðkenningargögn það lengi sem nauðsynlegt er, venjulega í samræmi við gildi vottorðs + lagalega sönnunartíma (oft 10 ár fyrir einkasamtök, 2224. grein frönsku borgaralaga).

• Áhrifagreining (AIPD) lögboðin (35. grein GDPR) þegar meðhöndlun gæti falið í sér háa áhættu - sem er kerfisbundið fyrir lífmerkja.

• Skrá yfir vinnslu (30. grein GDPR) sem haldin er uppfærð og skjöl hverja flokka af vinnslu.

Millilandaflutnir gagna

Margir PSCo geyma að öllu leyti eða að hluta infrastrúktúr sinn utan Evrópska efnahagssvæðisins (EBE). Í þessu tilfelli gilda viðeigandi tryggingar sem kveðið er á um í V. kafla GDPR: aðlögunarákvörðun, staðlaðir samningaákvæði (SCCs) frá framkvæmdastjórn Evrópusambandsins eða bindandi fyrirtækjareglur (BCR). Schrems II úrskurðurinn (EFTA, C-311/18, 16. júlí 2020) minnt á að flutninga til Bandaríkjanna þurfi fyrirfram áhættugreiningu.

> Til að skilja áhrif þessara reglna á stofnun þína skaltu skoða okkar leiðbeiningar um rafræna undirskrift í fyrirtækjum.

---

Skyldur um gagnsæi og upplýsingamiðlun til notenda

Vottorðastefna (PC) og yfirlýsing um vottorðastarfsemi (DPC)

Allir PSCo sem afhenda vottorð þurfa að birta Vottorðastefnu (PC) og Yfirlýsingu um vottorðastarfsemi (DPC) samkvæmt ETSI EN 319 411 stöðlinum. Þessi skjöl, sem eru aðgengileg frjálslega, útskýra:

• Verklagsreglur um auðkenningu og skráningu undirritara.

• Öryggisaðgerðir sem teknar eru fyrir efnislega og rökfræðilega.

• Skilyrði fyrir endalokun vottorða og tengdri tímasetningum.

• Ábyrgðir og takmarkanir á ábyrgð PSCo.

Skortur á eða ófullnægjandi framsetning á þessum skjölum felur í sér öreigri reglufylgni sem kann að koma fram við endurskorun fyrir hæfnimat af viðurkenndri stofnun.

Upplýsingagjöf fyrir og við samning við viðskiptavini

Fyrir utan einungis tæknilegar skyldur, kveður 13. grein GDPR á um að PSCo veiti sérhverjum aðila sem gögn eru safnað frá skýra og aðgengilega upplýsingagjöf um:

• Auðkenni ábyrgs aðila og tengigögn DPO (skylda fyrir PSCo sem meðhöndla gögn í stærri stíl viðkvæmra gagna, 37. grein GDPR).

• Tilgang og lagalegur grundvöllur hverrar meðhörðlunar.

• Réttindi einstaklinga (aðgangur, leiðrétting, eyðing, flytjanleiki, andstaða).

• Hugsanlegir þiðkendur gagna (unnendur, yfirvöld).

Þessar upplýsingar verða að koma fram í gagnaverndarskáldum þjónustunnar, í skilmálum og skilyrðum notkunar og, eftir atvikum, í DPA samningnum sem gerður er við fagaðila viðskiptavini.

Hæf tímastimpun og endurskorunarslóð

Til að tryggja langvarandi sönnunargildi undirskrifta nota þeir PSCo sem eru traust kerfisbundið hæfa rafræna tímastimpun (42. grein eIDAS) við hvert undirritað atriði. Þessi tímastimpun myndar löglega forsendu um tilvist gagnanna á tilgreindum degi. Varðveisla endurskorunarslóðarinnar (auðkenningalóg, gögn skjals, undirskriftargögn) er raunveruleg skylda til að leyfa síðar dómsúrskurð.

> Berðu saman lausnir markaðarins samkvæmt þessum viðmiðum í okkar samanburði á rafrænum undirskriftarlausnum.

---

eIDAS 2.0: nýjar skyldur við sjóndeildarhringinn 2026-2027

Reglugerð eIDAS 2.0 (ESB) 2024/1183

Birt í Stjórnartíðindum ESB 30. apríl 2024, reglugerð (ESB) 2024/1183 sem kallast « eIDAS 2.0 » eykur verulega skyldur PSCo á þremur sviðum:

• Evrópskir stafrænar auðkennis peningaskattar (EUDI Wallet): aðildarríkin verða að bjóða stafrænan auðkennis peningaflutning sem vottaðir eru fyrir 2. nóvember 2026. PSCo verða að samþæta þjónustu sína með þessum peningaflutningi til að bjóða hæfar undirskriftir með eIDAS 2.0 auðkenni.

• Umsjón með yfirlýsingum um eigindir: eIDAS 2.0 kynnir hæfar eigindayfirlýsingar (QEAAs), gefnar út af hæfum þjónustuveitendum yfirlýsinganna. Ný endurskorunarferli og hæfniferli munu gilda.

• Styrkja eftirlitið: landsbundin eftirlitsyfirvöld (ANSSI fyrir Frakkland) sjá stækkun valds sín, þ.m.t. getu til að framkvæma óvænt endurskoru og beita bindandi lagfæringu á skemmri tímarammum.

Hagnýt áhrif fyrir núverandi þjónustuveitendur

PSCo sem eru þegar hæfir samkvæmt eIDAS 1.0 verða að gangast undir stigvaxandi samræmingu fyrir sett tímamörk af framkvæmdaaðgerðum framkvæmdastjórnar (birt eða í birtingu). Helstu breytingar snerta:

• Endurbætur á auðkenningsinfrastrúktúr til að styðja EUDI Wallet sem auðkenningarleið.

• Uppfærslu á PC/DPC til að fella inn nýjar tegundir vottorða og yfirlýsinga.

• Styrkingu á öryggiskröfum fjartengdra QSCD með nýjum verndarsnið sem blikra.

Fyrir fyrirtæki sem nota slíka þjónustu þýðir þetta að athuga nú þegar hvort þjónustuveitandi þeirra hefur skjalfestu samræmingaáætlun eIDAS 2.0 sem eru skjalfest og sannanlegir.

Lagalegur rammi sem gildir um skyldur þjónustuveitenda rafrænnar undirskriftar

Réttarleg keðja sem gildir um þjónustuveitendur rafrænnar undirskriftar sem starfa á Íslandi byggist á nokkrum stigum skipulegrar samhæfðu.

Íslenskt borgaralög — Greinar 1366 og 1367

1. grein íslensks borgaralaga viðurkennir rafrænt skrifleg sem jafngildi afrit pappírs, að því tilskildu að « geti auðkennst sannarlega sá sem það kemur frá og það sé búið til og geymt við slík skilyrði sem tryggi óheilindi hans ». 1367. grein skýrir að rafrænni undirskrift « samanstendur af notkun áreiðanlegrar auðkenningaaðferðar sem tryggir tengsl hennar við skjal sem hún er fest við ». Forsendan um áreiðanleika nýtur hæfra undirskrifta samkvæmt eIDAS, sem snýr við sönnunarbyrðinni í þágu undirritara.

Reglugerð eIDAS nr. 910/2014/ESB

Þessi reglugerð, sem gildir beint í öllum aðildarríkjum, setur lagalegan ramma fyrir trauststjónustur. Í 26. grein hennar eru skilyrði fyrir hæfri rafrænni undirskrift; 28. grein hennar kröfur um hæf vottorð; Viðauki I hennar skillur ítarlega skilgreiningu skyldu innihald þessara vottorða. Hæfir PSCo njóta forsendu um samræmi við tæknilegar og lagalegar kröfur reglugerðarinnar (19. grein §2), sem er mikilvægur kostur í deilum.

Reglugerð eIDAS 2.0 — (ESB) 2024/1183

Birt 30. apríl 2024, þessi breyting reglugerðar kynnir nýjar tegundir trauststjónusta (hæfar eigindayfirlýsingar, hæfar gagnasafnsþjónustur) og styrkir eftirlitsskyldur. Hún fella niður og kemur að hluta í stað reglugerðar 910/2014, með stigvaxandi gildandi samkvæmt framkvæmdaaðgerðum framkvæmdastjórnarinnar.

GDPR — Reglugerð (ESB) 2016/679

GDPR gildir um hvers kyns gagnastöðun sem framkvæmd er í tengslum við rafræna undirskriftarþjónustu. Greinum 5 (meginreglur um lögmæti), 6 (lagalegur grundvöllur), 9 (viðkvæm gögn), 13-14 (upplýsingagjöf), 28 (undirverk), 32 (öryggni), 33-34 (tilkynning um brot), 35 (AIPD) og 37 (DPO) mynda þau ákvæði sem eiga oftast við. CNIL er viðeigandi eftirlitsaðili á Íslandi og getur beitt sektum allt að 20 milljónum evra eða 4% af árlegum heildarvöru heimsmála (83. grein §5 GDPR).

Tilskipun NIS2 — (ESB) 2022/2555

Löguð inn í íslenskan rétt með lögum nr. 2023-703 frá 1. ágúst 2023, NIS2 flokkun PSCo af miklu umfangi meðal mikilvægra eða mikilvægra aðila sem bera skyldur um netöryggniáhættu og tilkynningu atburða til ANSSI innan 24 klukkustunda (snemm viðvörun) og síðan 72 klukkustundir (full tilkynning).

ETSI staðlar

Allir staðlar EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 og TS 119 431 mynda skyldu tæknilega tilvísun fyrir endurskoru hæfni. Endalaus endalaust vanefndir á þeim felur í sér ómöguleika á að fá eða viðhalda hæfri stöðu.

Lagalegir áhættur ef ekki er farið eftir lögum

Þjónustuveitandi sem er ekki reglufylginn á hættu að: eyðilögð frá TSL íslenskri, bindingu um samningsbundnar og extracontractual ábyrga, stjórnsýslurefsingar CNIL, NIS2 sekta sem geta náð 10 milljónum evra eða 2% af heildarvöru heimsmála fyrir mikilvæga aðila og 20 milljónum eða 4% af CA heimsmála fyrir nauðsynlega aðila, sem og dómsúrskurðir viðskiptavina sem fengu skaða vegna ógildrar undirskriftar.

Notkunarsamhengi: Hvernig fyrirtæki sannreyna samræmi PSCo sín

Aðstæðu 1 — Iðnaðarfélöð sem stjórnar 3 000 samningum með birgjum á ári

Iðnaðarsamtök með þungum framleiðslum (ETI), sem starfar við framleiðslu vélbúnaðar, alfaræðir alla sína samninga við birgja í gegnum SaaS vettvang fyrir rafræna undirskrift. Við innri endurskorun sem fram fór eftir lagalega breytingu, fór úthlutun réttarlegra tjóna til því að þeir sem teknir voru - upphaflega valdir samkvæmt verðviðmerkingum - eru hvorki á TSL íslenskri né neinum TSL evrópsku. Undirskriftir sem gefnar eru eru af gerðinni « einföld » án þess að hafa sterka auðkenningarhemlu fyrir undirritara.

Fyrir endilega áhættu - allir samningar sem undirritaðir eru myndu geta séð gildi sönnunar sinnar beitt í endilegu máli - fyrirtækið tekur þátt í flutninga til hæfs PSCo ANSSI. Ný lausn felur í sér hæfa undirskrift með hæfu vottorði, hæfri tímastimpun og niðurstöðu flóarins sem flytjandi má gera. Flutningsverk, sem gerð var á innan við 8 vikum, gerir það mögulegt að tryggja endilega nýjar athafnir. Réttarfræðilegar deildir telja að áhættan á deilum sem tengjast eldri samningum séu minni vegna þess að þau voru framkvæmd án andmælur, en allar nýjar undirskriftir eru nú og þá tryggilegar.

Aukin gagn: 60% minnkun hugsanlegra deilumála tengdum sannleika undirskrifta, og 3,5 daga meðalbætingu á undirskriftartíma á flókin samningum vegna verkflæðis sjálfvirkni.

Aðstæðu 2 — Lögfræðistofan með 25 starfsmönnum með sérfræðiþekkingu í viðskiptarétti

Lögfræðistofan sem vill stafræna undirskrift umboða, skoðana og málaflokka kannar nokkra þjónustuveitendur. Matsrúsa hans inniheldur eftirfarandi viðmið: tilvist á TSL, útgáfu af PC/DPC sem aðgengileg, tilvist DPA samkvæmt GDPR, tiltæka DPO og vottun fjartengdra QSCD.

Af fimm þjónustuveitendum sem metnir voru, tveir að lokum fullnægir öll viðmið. Stofnun velur að lokum PSCo sem byggt er á innlendum hæfri undirskrift í gegnum QSCD fjartengdri, sem tryggir forsendu um áreiðanleika 1367. greinar íslensks borgaralaga. Uppsetning tekur 3 vikur, þar sem þjálfun er innifalin. Niðurstaðan: 75% umboða eru nú undirritaðir innan 24 klukkustunda á móti 5 til 7 dögum áður (póstsending), og getur stofnun réttlætt viðskiptavinum sínum öryggislöng á fræðilegum aftur.

Aðstæðu 3 — Sjúkrahúsafyrirtæki með um það bil 1 200 rúm

Sjúkrahúsafyrirtæki sem vill stafræna samninga um störf, stig samninga og samningar um samvinnu með öðrum heilbrigðisstofnunum. Viðkæmni gagna sem meðhöndlað (heilbrigðisgögn starfsfólks heilbrigðisstarfsmanna, mannauðsgögn) kveður á um sérstaka varúð á GDPR skyldum PSCo.

Vefdeildin og DPO stofnunarinnar krefjast: geymslu gagna á Íslandi hjá vottaðri heilbrigðisgagnaflutningsstofnun (HDS), engan flutning utan EBE, AIPD skjölfest fyrir auðkenningargagnstöðun undirritara, og DPA undirritaðri fyrir alla framleiðslukeyrslu.

Eftir val á PSCo sem svarar þessum viðmiðum nær útsetning fyrst og fremst á mannauðssamninga (um það bil 800 athugasemdir á ári). Meðaltími undirskriftar á ákveðnum samningum breytist frá 9 dögum í innan við 48 klukkustundir, sem leysir upp verulega getu fyrir mannauðsdeildir. Stofnunin hefur að jöfnu fullviðtæka rakruna á samþykki sem aflað, sko