Traust rafræn skírteini fyrir fyrirtæki: Leiðbeiningar 2026

Hvers vegna traust rafrænt skírteini er orðið ómissandi fyrir fyrirtæki

Á tímum þegar afmörkun samninga á stafrænu formi flýtur hratt í öllum geirum kemur traust rafrænt skírteini fram sem stefnumótandi spursmál fyrir lögfræðileiðtoga, IT-stjórnendur og framkvæmdastjóra. Samkvæmt árskýrslu ANSSI 2024 hafa yfir 78% frönsku lítilla og meðalstórra fyrirtækja sem tóku upp trausta rafræna undirskrift minnkað samningstíð þeirra um meira en 60%. Engu að síður rugla margir enn einfaldri, háþróaðri og traustri undirskrift saman — með hættu á að setja löglega atriði þeirra fyrir dómstólaprófun. Þessi grein leiðbeinir þér skref fyrir skref til að skilja hvað traust rafrænt skírteini er, hvernig á að fá það í samræmi við RGS og eIDAS ramma, og hvernig á að nota það á áhrifaríkan hátt innan stofnunarinnar þinnar.

Hvað er traust rafrænt skírteini?

Rafrænt skírteini er stafrænir skrá gefin út af Vottunaryfirvoldi (AC) sem tengir auðkenni einstaklings eða lögaðila við opinbera dulkóðunarlykil. Það er aðalefni sem leyfir þriðja aðila að sannreyna áreiðanleika og heilleika stafrænnar undirskriftar.

Skilgreiningin „traust" vísar til nákvæmrar skilgreiningar frá evrópskum reglugerð eIDAS (nr. 910/2014, 28. gr.): skírteini verður að vera gefið út af Viðurkenndum Traustvörðum (PSCQ), skráðum á lista yfir þjóðkjósa (í Frakklandi gefinn út af ANSSI). Það verður einnig að farið eftir tæknikröfum ETSI EN 319 411-2 staðalsins sem stýrir stefnum og framkvæmdum vottun.

Í reynd tryggir traust skírteini:

• Sannreyndu auðkenni undirritara (skjalapróf augliti til andlits eða jafngilt leyfilegt ferli) ;
• Heilleika skjalsins sem undirritað er (engar breytingar eftir geta farið óopið) ;
• Afsökunarleysi (undirritari getur ekki neitað því að hafa sett undirskriftina).

Munur á einfaldri, háþróaðri og traustri undirskrift

Reglugerð eIDAS aðgreinir þrjú stig stafrænnar undirskriftar, hvert tengt skírteinisstigi:

| Stig | Skírteini nauðsynlegt | Sönnunargildi | Dæmigert notkun | |---|---|---|---| | Einföld | Ekki nauðsynlegt | Veikt | Venjulegar pantanir | | Háþróuð | Háþróað skírteini (PSCQ) | Miðlungs | Viðskiptasamningar B2B | | Traust | Traust skírteini (hæft PSCQ) | Hámarks, jafngilt handskrifuðu | Skjöl sem þarfnast þings, opinbera kaup, viðkvæm starfsmannamál |

Fyrir trausta undirskrift — því eina sem nýtur lagalegra forsendna fyrir jafngildi handskrifaðri undirskrift (kafli 1367 borgaralög) — er traust skírteini nauðsynlegt. Til að læra meira um muninn á stigum, lestu okkar heildargrundu um stafræna undirskrift.

---

RGS rammi: frönsk sérkenni sem þarf að þekkja

Í Frakklandi skilgreinir Almenni öryggisviðmið (RGS), sett fram með dekrét nr. 2010-112 og reglulega uppfærð af ANSSI, öryggiskröfur á skipulagningarkerfi opinberra stjórnvalda. Fyrir fyrirtæki sem gera samninga við opinberir aðilar (opinberar innkaup, rafræn ferli) er fylgni við RGS oft samningsbundin eða lagaleg skylda.

RGS stig sem eiga við um skírteini

RGS skilgreinir þrjú stjörnustig fyrir skírteini:

• RGS* (ein stjarna) : grunnþrep, hentugt fyrir venjulega notkun með lítilli næmni ;
• RGS (tvær stjörnur)** : millistig, nauðsynlegt fyrir flesta rafræna stjórnvalsferla ;
• RGS (þrjár stjörnur)* : hátt stig, fyrir athæfi með miklum lagalega eða fjárhagslegum áhættu.

Fyrir stafræn opinber kaup í gegnum kaupandi snið krefst dekrét nr. 2016-360 (greinum 39 og 40) almennt undirskrift af a.m.k. RGS stigi, sem felur í sér jafngert skírteinisstig.

Samspil RGS og eIDAS

Frá innleiðingu eIDAS reglugerðar samanstanda báðir rammar. Traust skírteini samkvæmt eIDAS er talið fullnægja RGS** kröfum í flestum tilvikum. ANSSI hefur gefið út samsvörunarflokka sem tryggja samhæfingu. Því er ráðlagt, fyrir fyrirtæki sem vinna bæði með einkaðilum og opinberum aðilum, að velja traust eIDAS skírteini gefið út af PSCQ sem er á frönsku yfirlitstafli — sem nær yfir báða ramma samtímis.

Til að dýpka evrópsku reglugerðina lestu okkar eIDAS 2.0 leiðbeiningar sem útskýra helstu breytingar og áhrif þeirra á frönsk fyrirtæki.

---

Hvernig á að fá traust rafrænt skírteini: Skrefabyrt ferli

Að fá traust rafrænt skírteini er ekki léttvæg aðgerð: hún felur í sér stranga staðfestingu á auðkenni beiðanda og fyrir lögaðila hans/hennar löglegri getu. Hér eru helstu þrep.

Skref 1: Auðkenna rétta viðurkennd traustvörð

Í Frakklandi eru PSCQ leyfilega til að gefa út traust skírteini skráð á Trust Service Status List (TSL) gefin út af ANSSI (aðgengileg á esignature.gouv.fr gátt). Meðal þátttakenda á þessari lista eru AC eins og CertEurope, Certinomis (dótturfyrirtæki La Poste), Keynectis og aðrir evrópskir viðurkenndir þjónustuaðilar samkvæmt eIDAS gagnkvæmri viðurkenningu.

Valviðmið sem ber að skoða:

• Virk viðvera á frönsku TSL og/eða evrópsku TSL ;
• Snið skírteinis sem er til staðar (hugbúnaður, greiðkort, HSM ský) ;
• Samhæfni við núverandi IT innviði þinn ;
• Verðlagning og gildistími (venjulega 1 til 3 ár) ;
• Stuðningsstig og innlistun dagi.

Skref 2: Skipan innritunarskjölanna

Fyrir fyrirtæki krefst beiðni um traust skírteini fyrir framlögu skjöl sem sannreyna bæði auðkenni eigandans (einstaklingur) og getu hans til að taka þátt fyrir lögaðila. Algengt tilskilin skjöl eru:

• Opinber auðkenningsyfirlýsing eigandans (vegabréf, auðkenni) ;
• Kbis útdráttur yngri en 3 mánuðir (eða jafngilt fyrir félög, opinberir aðilar) ;
• Umboðstúr ef eigandi er ekki löglega fulltrúi samkvæmt lögum ;
• Sértæk beiðnieyðublöð PSCQ sem valið er.

Auðkennsstaðfesting verður að framkvæma augliti til andlits fyrir útskriftaraðila (OE) ákveðnum af PSCQ, eða með fjarviðurkenningu sem samþykkt er (myndbandstaðfesting í samræmi við ETSI TS 119 461 staðal).

Skref 3: Framboð og virkjun skírteinis

Eftir sniðinu sem valið er, er skírteini afhent:

• Á gæðum undirskriftunar (QSCD) tæki: dulkóðaðir USB-stafir eða vottuð greiðkort Common Criteria EAL 4+ ;
• Í gegnum fjarundirskriftar þjónustu (Remote Qualified Electronic Signature — RQES) stjórnað af PSCQ, þar sem einkalykill er hýstur í vottuðu HSM (Hardware Security Module) samkvæmt ETSI EN 419 241 staðli.

Drögum RQES þjónusta er nú mest völdu lausn fyrirtækja, þar sem hún forðast líkamlega stjórn dulkóðunarstyrks og heldur traustri fylgni. Berum lausnir á stafrænni undirskrift saman til að finna líkan best ægt fyrir samhengið þitt.

Skref 4: Samþætting í atvinnuferla þína

Þegar skírteini hefur verið fengið er samþætting þess í gagnflæði fyrirtækisins venjulega framkvæmd í gegnum SaaS stafræna undirskriftar vettvang. Það verður að vera samhæft ETSI stöðlum (XAdES, PAdES, CAdES) til að tryggja gagnvirka samvirkni og endingu stafrænna sannana. Okkar afmarkaða grein um stafræna undirskrift í fyrirtæki mun aðstoða þig við að skipuleggja þessa útfærslu.

---

Kostnaður, gildistími og endurnýjun: sem fyrirtæki verða að gera ráð fyrir

Verðflokkar árið 2026

Verð trausta skírteina er mjög breytilegt eftir sniði og þjónustuaðila:

• Skírteini á líkamlegu stuðpunkti (USB/greiðkort) : á milli 80 € og 250 € án virðisaukaskatts fyrir eiganda á ári ;
• Traust ský skírteini (RQES) : á milli 40 € og 150 € án virðisaukaskatts fyrir eiganda á ári, eftir magni ;
• Fyrirtækispakkar : veruleg afslátt gilda frá 10 eigendum, gætu náð 30 til 40% af einingaverði.

Þessi kostnaðir verða að setja í samhengið við sparnað sem skapast: endalok prenti, afgreiðslukostnaðar, póstfarsflutnings og deilumála sem tengist umdeildri undirskrift.

Gildistími og endurnýjun

Gildistími trausta skírteinis er venjulega stilltur á 1, 2 eða 3 ár eftir tilboðinu sem tekið er. Við gildistíma eru fyrri skjöl eftir gildir (að því tilskildu að heilleiki þeirra sé varðveitt í gegnum trausta tímastimpla þjónustu), en ný skjöl geta ekki verið undirritað með útrunninu skírteini. Því er mikilvægt að setja upp eftirlits- og endurnýjunarferli fyrir tíðina — helst 60 dögum fyrir gildistíma.

Afturköllun og stjórnun atburða

Ef einkalykill er þolað (tap, þjófnaður á stuðpunkti, grunur um birtingu) verður skírteini að vera strax afturkallað til PSCQ. Hún birtir afturköllunina á CRL (Certificate Revocation List) eða í gegnum OCSP samskipti, sem gerir allar undirskriftir sem og þessu skírteini ógildar. Innri öryggisreglusetning þarf því að gera ráð fyrir sérstökum tengipunkti og viðvörunarfresti innan 24 klukkustunda.

---

Bestu verkferla fyrir árangursrika útfærslu í fyrirtæki

Stjórn og innri hlutverk

Árangursrík útfærsla byggir á skýrri stjórn. Ráðlegt er að tilnefna:

• PKI ábyrgðaraðila (Public Key Infrastructure) IT hliðinni, ábyrgan fyrir PSCQ samskiptum og endurnýjunareftirlit ;
• Lögfræðilega ábyrg aðila sem staðfestir notkunartilvik sem krefjast traustrar undirskriftar (vs háþróaðrar) ;
• Deildarstjóra fyrir hverja deild fyrir stjórnun eigenda.

Þjálfun og breytingastjórnun

Að fá traust skírteini duga ekki: samstarfsmenn verða að skilja hvernig á að nota skírteini sitt, hvenær á að virkja það og hvernig á að bregðast við atburðum. Stutt þjálfunaráætlun (1 til 2 klukkustundir) og skjalfest verkferli draga verulega úr villum og stuðningstikketum.

Úttekt og rakningarleyfi

Til að fullnægja sönnunarskuldbindingum, geymdu tímaraðaðan endurskoðunarkladda fyrir hverja undirskrift sem framkvæmd er: auðkenni undirritara, fingraför skjals, dagsetning/tími vottuð, skírteinikenni. Þessi gögn mynda grunninn fyrir sönnunarkeðjuna við deilumál. ETSI EN 319 132 (XAdES) staðallinn kveður á um undirskriftarsnið sem innihalda þessar upplýsingar með innbyggðum hætti.

Lagalegur rammi sem á við um traust rafræn skírteini

Borgaralög og sönnunargildi

Samkvæmt frönsku borgaralögum setur 1366. grein borgaralaga meginregluna um jafngildi rafræns skjals og pappírsskrif, með því skilyrði að „auðkenni þess sem það kemur frá sé fullvissa og að það sé stofnað og varðveitt við skilyrði sem tryggja heilleika þess". 1367. grein 2. mgr. skýrir að traust rafræn undirskrift nýtur forsendna áreiðanleika : það er fyrir aðila sem deilur undirskriftinni að sanna hið gagnstæða, sem snýr sönnunarálagi fyrir þann sem undirritaði.

Reglugerð eIDAS nr. 910/2014

Evrópska reglugerðin eIDAS (nr. 910/2014) sem beinlínis á við í öllum aðildarríkjum síðan 1. júlí 2016 myndar þjóðkjósa grunninn. 25. grein (2) segir að „traust rafræn undirskrift hefur lagaleg áhrif jafngild handskrifaðri undirskrift". Greinum 28 og 29 skilgreina kröfur um traust skírteini og QSCD (gæði undirskriftunar). Viðauki I lýsir skyldum tilgreiningu trausta skírteinis (OID stefnu, auðkenni PSCQ, opinber lykill, gildisdagir o.s.frv.).

Breytingar eIDAS 2.0

Reglugerð eIDAS 2.0 (reglugerð ESB 2024/1183, tók gildi 20. maí 2024) beitir evrópska stafræna auðkennisveskinu (EUDIW) og eykur aðgengilegarkröfur fyrir hæf traustvörðu þjónustu. Fyrirtæki verða að búa sig undir samþættingu þessara nýju auðkennismála fram til 2026-2027.

Viðeigandi ETSI staðlar

• ETSI EN 319 411-2 : stefnu og framkvæmd fyrir PSCQ sem gefur út traust skírteini ;
• ETSI EN 319 132 (XAdES) og ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES) : snið fyrir háþróaða og trausta stafræna undirskrift ;
• ETSI EN 419 241 : kröfur fyrir undirskriftarþjóna (RQES).

GDPR og persónuvernd

Vinnslun persónuupplýsinga í innritunarferlinu (auðkennsstaðfesting, skjalapróf) er háð GDPR nr. 2016/679. PSCQ og fyrirtæki viðskiptavina eru sammeðal stjórnendur eða í sambandi stjórnanda/undirverktaka eftir skipulagi. DPA (gagnavinnslusamningur) samkvæmt 28. grein GDPR verður að vera undirritaður. Innritunargögn verða að varðveist á ævi skírteinis auk gildistímabils sem gildir (5 ár í samningamálum).

NIS2 tilskipun og öryggi innviða

NIS2 tilskipun (2022/2555/ESB), þýdd á frönsku lagasetningu með lögum nr. 2024-449, krefst nauðsynlegra og mikilvægra aðila að innleiða áhættustjórnunarráðstafanir þar með talið öryggi stafrænna birgðakeðja. Notkun á PSCQ sem er á frönsku yfirlitstafli og traustum þjónustuaðilum er viðurkennd góð vinnubrögð sem að hluta til fullnægja þessum kröfum.

Notkunarsvið: traust skírteini í reynd

Atburð 1: Lögfræðistofa sem stjórnar hágildum skjölum

Aðalskóli lögfræðinga með um tuttugu félaga og samstarfsmenn verða reglulega að undirrita hlutaskipti, samningsskjöl og umboð. Til þessa hefur hver athæfi krafist prentunar, handskrifaðar undirskriftar, skönnunar og póstflutnings — sem skapar meðaltöf 4 til 7 vinnudagar fyrir undirskriftarlotu. Eftir útfærslu trausta ský skírteina (RQES) fyrir hvern féloga minnkur þessi tími í innan við 4 klst fyrir skjöl sem þurfa ekki þings aðild. Skrifstofan áætlar 65% minnkun á stjórnun gagna og hefur ekki skrá á nokkurri undirskriftadeilumáli fyrstu 18 mánuðina. Stafrænar undirskriftarlausnir fyrir lögfræðistofur sem Certyneo leggur til samþætast þessum verkflæðum.

Atburð 2: Lítið og meðalstórt iðnfyrirtæki sem gerir samninga við opinbera aðila

Lítið og meðalstórt fyrirtæki innan málmvinnslu með um 120 starfsmenn svarar reglulega opnum kaupum dematóðuðum á kaupandi snið. Henni er krafist að undirrita rafrænt tilboð og skuldbindingaskjöl með skírteini á a.m.k. RGS** stigi. Eftir að hafa fengið tvö traust skírteini (fyrir forstjóra og viðurkennt verslunarstjóra) gat fyrirtækið lagt inn tilboð á tilskyldum tíma án flutninga eða póstflutnings. Á einu ári eru þetta um 35 tilboðsmöppum, sem gefur um 15 vinnudaga sparnaðinn á ári bara fyrir gagna stjórnun. eIDAS samhæfing skírteinis tryggir einnig viðurkenningu á undirskriftum meðal kaupandaninna í Þýskalandi og Belgiu, sem framlengir viðskiptasvið. Notaðu okkar ROI reiknivél til að meta hugsanleg hagnaðinn í þínu samhengi.

Atburð 3: Heilbrigðisflokk sem tryggir starfsmannasamskipti og birgðir

Heilbrigðisflokk með um 1.200 rúm sem samanstanda af mörgum stofnunum standa frammi fyrir árlegri magn um 3.000 starfsmannasamninga, breytinga og birgðaskuldbindinga. Mannauðsdeild og innkaupadeild hafa sameiginlega útfært trausta undirskriftarlausn, með skírteinum gefin út fyrir viðurkennda stjórnendur. Samhliða eru skjöl sem undirskrifuð eru af starfsmönnum unnin á háþróaðum undirskriftarverkflæðum, með traustri undirskrift fráteknum fyrir stjórnun athæfa með háu lagalegu gildi. Niðurstaðan: meðalöflun fyrir starfsmannasamning hefur minnkað úr 12 dögum til 2,5 daga, og hlutfall ófullkominni möppu (vantar undirskrift, röng útgáfa undirritað) hefur minnkað um 78%. Stafrænar undirskriftarlausnir innan heilbrigðis frá Certyneo fela í sér sérkenni stjórnkerfis heilbrigðiskerfis.

Ályktun

Að fá traust rafrænt skírteini er nú og dags sinnis nauðsynlegur endalögu fyrir öll fyrirtæki sem vilja tryggja löglegt öryggi stafrænna athæfa, fullnægja kröfum opinberra innkaupa og sitja í eIDAS réttarrammi. Langt frá því að vera takmarking er þetta samkeppnisleysir: styttri undirskriftardagir, óumdeild sönnunarkeðja og þjóðkjósvit um allt Evrópusambandið.

Lykilskref sem ættu að muna: velja PSCQ á frönsku ANSSI yfirlitstafli, skipuleggja ítarlegan innritunargagna, opt fyrir ský snið (RQES) til auðvelda útfærslu og samþætta skírteini í ETSI staðla samhæfðri vettvang.

Certyneo leiðbeinir þér á hverju skrefi: frá vali á réttum undirskriftarstigi til samþættingar í atvinnuferla þinna. Farðu fram á ókeypis sýningu og uppgötvaðu hvernig á að útfæra trausta undirskrift innan 48 klukkustunda í stofnuninni þinni.