Rafræn undirritun í opinbera geiranum: handbók 2026

Stafræn umbreiting frönsku ríkisins hefur hraðað verulega undanfarin ár, og rafræn undirritun er ein af helstu reglulegum stoðum. Fyrir opinbera innkaupaaðila, sveitarfélög og veitendur opinberra þjónustu er spurningin ekki lengur hvort þú ætlir að taka upp rafræna undirritun, heldur hvernig þú getur haldið þér í samræmi við lagalegkan ramma sem breytist hratt. Milli skuldbindinga frá reglugerðinni eIDAS, krafna frá lögum um opinber innkaup og nýrra takmarkana tilskipunar NIS2, standa stjórnvöld frammi fyrir flóknu reglulegri landshlíf. Þessi grein leiðir þig skref fyrir skref: nauðsynleg undirritunarstig, umfang skyldna, áhætta ef ekki er farið eftir reglum og bestu vinnubrögð fyrir árið 2026.

Rafræn undirritun í opinberum innkaupum: lagaleg skylda frá árinu 2020

Frá 1. október 2018, og síðan styrkt með tilskipun frá 12. apríl 2018 um rafræna undirritun í opinberum innkaupum, hefur tæknileg umbreiting verkkaupsferla orðið norm í Frakklandi. Fyrir alla markaði þar sem áætluð verðmæti eru jöfn eða stærri en evrópski þröskuldur formlegrar málsmeðferðar — ákveðin á 221 000 € án VSK fyrir vörur og þjónustu sveitarfélaga og 5 538 000 € án VSK fyrir verkefni árið 2026 — er notkun rafrænar undirritunnar skylduð fyrir skuldbindingagerninga, þjónustupantanir og undirverktakaaðgerðir.

Þrjú undirritunarstig eIDAS sem gild eru

Reglugerð eIDAS nr. 910/2014 setur saman þrjú stig rafrænna undirritana, þar af tvö eru viðeigandi í opinberum innkaupum:

• Einföld rafræn undirritun (SES): nægjanleg fyrir venjuleg skipti, kvittunaraðila eða ákveðnar innri tilkynningar. Hún veitir ekki sterka tryggingu um auðkenni.
• Framboðin rafræn undirritun (SEA): nauðsynleg fyrir flesta samningsgerninga í opinberum innkaupum. Hún auðkennir undirritara á einstakan hátt, er bundin við undirritaðar gögn og greinir allar breytingar sem gerðar eru eftir.
• Hæf rafræn undirritun (SEQ): hæsta stig, lagalega jafngilt handskrifaðri undirritun samkvæmt grein 1367 Borgarlaga. Skyldubundin fyrir flókin byggingarverkefni, ákveðin opinber gerninga og gögn sem bera mikla sannanlegheit.

Tilskipun frá 12. apríl 2018 tilgreinir að skuldbindingagerninga verða að undirrita með að minnsta kosti framboðinni rafrænni undirritun byggðri á hæfu skírteini (hér eftir „SEA-CQ"), sem er í reynd svipað og hæf undirritun.

Tæknileg undirbúningskerfi (kaupandaprófílar)

Frá 1. apríl 2017 verða allir opinberir innkaupaaðilar að hafa tæknilega undirbúningskerfi — paltu til að stýra tilboðsbeiðnum eins og ATEXO, e-Marchés, AWS Market osfrv. — til að birta ábendingar yfir þröskuldi 40 000 € án VSK. Þessi kerfi verða að innihalda þætti fyrir rafræna undirritun sem samrýmast hæfum skírteinum sem gefin eru út af þjónustuveitendum sem eru taldir traust (TSP) og eru á frönsku trausteinalista (LCR) sem ANSSI gefur út.

Fyrir frekari upplýsingar um almenna starfsemi þessara kerfa, sjá okkar heildstæðan leiðbeiningar um rafræna undirritun.

Samræmi eIDAS 2.0: hvað breytist fyrir stjórnvöld árið 2026

Endurskoðun reglugerðar eIDAS, kölluð eIDAS 2.0 (Reglugerð ESB 2024/1183, sem tók gildi í maí 2024), kynnir nokkrar helstu breytingar sem hafa bein áhrif á frönsku opinberu stjórnvöld.

Evrópska stafræna auðkennis veski (EUDI Wallet)

Grein 5a endurskoðaðrar reglugerðar eIDAS ákveður að aðildarríki verði að bjóða upp á Evrópska stafræna auðkennis vesku (EUDI Wallet) fyrir alla borgara og lögaðila fyrir október 2026. Fyrir stjórnvöld þýðir þetta að netþjónustur verða að samþykkja þessa vesku sem leið til auðkenningar og undirritunnar. ANSSI samhæfir frönsku innleiðingu í samstarfi við DINUM (Millideildastjórn um stafræna gæði), sem stýrir forritinu í gegnum Þjóðlegu samhæfingastofnun yfirráðanna.

Nýir traustseiginleikar og samvirkni

EIDAS 2.0 styrkir framboðsvirkni milli landamæra: hæf undirritun sem gefin er út af rekstraraðila í Belgíu eða Þýskalandi verður að viðurkennd án takmarkana af frönsku pöltum. Fyrir opinbera innkaupaaðila sem fara í markaði með evrópska rekstraraðila, einfaldlega þessi þróun málsmeðferðina en krefst þess að staðfesta að notuð tæki studdu nýjar evrópsku trausteinalista (EU Trusted Lists). Okkar greining á reglugerð eIDAS 2.0 útfærðu allar þessar breytingar.

Skyldur um netöryggistengd NIS2

Tilskipun NIS2 (sem var felld inn í frönsku lög með tilskipun í mars 2025) flokkar sveitarfélög með fleiri en 30 000 íbúa og nauðsynleg opinber aðila meðal mikilvægra aðila sem kunna að standa frammi fyrir auknum öryggiskröfum. Í raun verur lausnin á rafrænni undirritun að:

• Vera með sér hjá veitanda sem er löggiltir HDS (Gagnageymir heilbrigðisgagna) fyrir heilbrigðisaðila, eða SecNumCloud fyrir viðkvæm gögn ríkisins;
• Hafa yfirumsjón sem er umfangsmikil og óbreytanleg;
• Vera fyrir áhrifum af skjölum um samfellu starfsemi (PCA) sem eru skrifleg.

Opinberir gerninga sem hljóta skyldu til rafrænnar undirritunnar

Utan við opinber innkaup í beinu máli, nær rafræn undirritun út til mjög víðs sviðs stjórnsýslugerninga.

Samningsleg gögn og ályktanir

• Opinber innkaupaakir: innkaupapantanir, breytingar, þjónustupantanir, skrár um móttöku;
• Ályktanir stjórnlausna: frá lögum nr. 2019-1461 frá 27. desember 2019 (kallað „lög um skuldbindingu og nálægð"), geta bæjarborgir sent sína gerninga til löglegrar endurskoðunar í rafrænni mynduðri undirritun í gegnum @ctes gátt DGCL;
• Samningar opinberra starfsmanna: samningar útnefndra starfsmanna opinberra sveitarfélaganna njóta löglegrar traustverðugleika rafrænnar hæfrar undirritunnar.

Skattskrár og fjárkostnaðargögn

Framkvæmdastjórn Opinberra Fjármála (DGFiP) krefst frá árinu 2022 rafrænnar flutnings fjárlagagögna til sveitarfélag með fleiri en 3 500 íbúa. Aðalfestar geta undirritað rafrænt móttökutitla og greiðslupantanir sem eru samlegiðar í bókhaldi (Hélios, Chorus Pro).

Cerfa eyðublöð og dásir borgaralegra endalaust

Forritið Opinber þjónustur + (fyrrverandi Aðgerð Opinbert Aðgerðarval 2022) miðar að fullkominni tölvunotkun 250 eyðublaða sem oftast eru notuð. Nokkur Cerfa — sérstaklega fyrir byggingarleyfi (byggingarleyfi, fyrri yfirlýsingar) — samþykkja nú rafræna framboðsundirritun skjölhafna.

Ef þú stýrir samningarflúmum í opinberu skipulagi, okkar samanburður á lausnum rafrænnar undirritunnar mun hjálpa þér að finna verkfærið sem hentar best takmarkanir þínum um regluverga.

Velja samræmda lausn fyrir opinbera geirann: nauðsynleg viðmið

Í ljósi fjölgunar tilboða á markaði, verða opinberir innkaupaaðilar að reiða sig á hlutlæg viðmið til að velja sína þjónustuveitanda rafrænnar undirritunnar.

Vottunar- og réttindafærsla

Lausnin verur ótvírætt að:

1. Vera skráð á ANSSI trausteinalista (frönsku TSL) eða reiða sig á skírteini sem gefið er út af TSP (Trust Service Provider) sem er sjálf hæft eIDAS;
2. Vera samræmt ETSI stöðlum EN 319 132 (XAdES), EN 319 122 (CAdES) eða EN 319 162 (PAdES) eftir því hvaða skjalasniðið er krafist;
3. Vera samrýmant refergendu kaupandapróf sem eru skráð af DAJ (Deild um lagaleg málefni fjármálaráðuneytisins).

Geymsla og þjóðarframfærsla gagna

Fyrir gögn opinberra innkaupa, flokkuð sem „Takmörkuð dreifing" í sumum tilfellum, verur geymslan að vera staðsett á Frakklandi eða innan Evrópusambandsins með samningsbundnum ábyrgðum gegn aðgangi neinna yfirráða utan Evrópu (endurbætur á Cloud Act). Merkingunin SecNumCloud frá ANSSI telst vera tilvísun um stafræna fullveldi.

Samtenging við stjórnunarverkfæri

Sveitarfélög nota yfirleitt sérfræðilega ERP kerfi (CIVITAS, Berger-Levrault, JVS-Mairistem, osfrv.). Lausnin á rafrænni undirritun verur að bjóða upp á skjalfest REST API sem gerir heildstæðu innan þessara verkflæða án truflana. ROI reiknivél getur hjálpað þér að dæma væntanleg framleiðnigögn þegar þú innleituðir þinn verkefni.

Rakningarfitja og geymsla

Siðareglur um erfðahluta (grein L.213-1) ákveða ákveðnar geymslur fyrir opinber skjöl. Lausnin verur að trygga geymslu með sannanlegheitsgildi (staðall NF Z42-026) með hæfu tímamerkingu (RFC 3161) og fullri nefndarfestu sem hægt er að flytja út ef deilur á undan stjórnaréttu.

Fyrir skipulagshluta sem hugsuðu um að flytja frá fyrirliggjandi verkfæri, okkar handbók um flutning frá DocuSign eða YouSign til Certyneo kynnir helstu skref óslitrar skipti.

Lagalegur rammi sem gildir fyrir rafræna undirritun í opinbera geiranum

Rafræn undirritun í opinbera geiranum er hluti af mörgum stigum regluverks sem þarf að dýrka til að tryggja réttlæti gerninga sem tæknilegir eru gerðir.

Borgaralög — greinar 1366 og 1367

Grein 1366 Borgarlaga segir að „rafræn skrif hafi sömu sönnunargildi og skrif á pappírsstöð, að því gefnu að nauðsynlegt sé hægt að bera kennsl á þann sem því barst og að það sé stofnað og geymt við aðstæður sem geta tryggt að það sé heilint". Grein 1367 tilgreina að hæf rafræn undirritun samkvæmt eIDAS telur sem traustverðugheit — og snýr þannig sönnunarkránni til hagsbóta fyrir undirritara.

Reglugerð eIDAS nr. 910/2014 og endurskoðun 2024/1183

Evrópska reglugerðin eIDAS setur einn ramma fyrir trausteþjónustur innan ESB. Grein 25 hennar segir að hæf rafræn undirritun hafi sömu lagalega gildi og handskrifuð undirritun í öllum aðildarríkjum. Aðfanga I setur tæknileg skilyrði fyrir hæfum skírteinum. Endurskoðun frá 2024 (eIDAS 2.0) bætir reglulegum ramma Evrópsku stafrænu auðkennis veskisins.

Tilskipun frá 12. apríl 2018 um rafræna undirritun í opinberum innkaupum

Þessi tilskipun er viðmiðunartexti fyrir frönsk opinber innkaup. Hún krefst framboðinna rafrænnar undirritunnar með hæfu skírteini (samræmi við viðauka I eIDAS) fyrir skuldbindingagerning, og tilgreinir ásættanleg snið (PAdES, XAdES, CAdES).

Lög um opinber innkaup — greinar R.2132-7 og eftirfarandi

Greinar R.2132-7 til R.2132-14 um opinber innkaup setja skilyrðum á borð rafræns flutnings umsókna og tilboða, með því sem rafræn undirritun er ótvíræð þá sem hún virðist virðingu við stigin sem skilgreind eru með tilskipun 2018.

GDPR nr. 2016/679

Persónuupplýsingar sem safnað er á meðan rafræni undirritunarvinnuðu (auðkenni undirritara, IP-tala, tímamerkingu) telur persónuupplýsingarnar samkvæmt GDPR. Opinberi innkaupaaðili starfar sem ábyrg fyrir úrvinnslu og verur að ganga úr skugga um að þjónustuveitandi rafrænnar undirritunnar virðir greinar 28 (samningur um undirgeirðir) og 32 (gagnaöryggi). Tilkynning um upplýsingar (grein 13) verur að veita undirritendum.

Tilskipun NIS2 sem felld var inn í frönsku lög (tilskipun mars 2025)

Nauðsynlegir opinberir aðilar og mikilvægir aðilar samkvæmt NIS2 vertu að greina mikilvæga öryggistilvik fyrir ANSSI innan 24 klst. Bilun í kerfi rafrænnar undirritunnar sem hefur áhrif á samfellu opinberra innkaupa getur telst slíkt tilvik.

Lagalegir áhættur ef ekki er farið eftir reglum

Akt sem undirritaður með ófullnægjandi stigi getur verið deilt um fyrir stjórnsétti um réf fyrir dóm um forsamþykktar málsmeðferðir (grein L.551-1 stjórnmálalaga), sem leiðir til stöðvunar eða ógildunar eignarraunartilskipunarinnar. Samningsbundnar sektir fyrir seinkun sem rekja má til bilunar í tækni rafrænnar undirritunnar geta náð 1/1000 af brúttovirði á hverjum almanaksdag seinkuðu samkvæmt gildandi CCAG.

Notkunartilfelli: rafræn undirritun daglega í opinbera geiranum

Tilfelli 1 — Samfélagssamtök sem stýra um hundrað markaðum ár

Millibæjaríkissamtökin miðlungs stærðar, sem skipuleggja um tuttugu bæjaríki og stýra um 120 opinberum innkaupum á ári (verkefni, vörur, þjónustu), stóðu frammi fyrir undirritunartímum á pappíri sem náðu 12 virkum dögum að meðaltali fyrir skuldbindingagerning. Efnislegu farið milli tækninnu, innkaupasviðs og forseta EPCI stofnaðu framboðum stöðugum seinkun á málsmeðferðum um framboð, og settu bæjarríkið fyrir hættu á efasemdum.

Með því að beita rafrænni undirritun sem hæf lausn sem samleg var við kaupandapróf hennar, dró bæjarríkið þennan tíma niður í minni en 48 klst. Sjálfvirk rakning undirskrifta og tíðamerkinga leyfðu jafnframt að draga úr tíma sem varið var til að mynda reglulegir geymsluappar um 70% (geymslutími: 10 ár fyrir markaði stærri en evrópskir þröskuldir).

Tilfelli 2 — Opinbert sjúkrahúsasamtöki og samningar þess við birgi

Sjúkrahúsahópur um það bil 1 200 sóla, sem háð reglum opinberra innkaupa sem opinber heilbrigðisstofnun (EPS), verur að undirrita á ári yfir 400 breytingar og innkaupapantanir innan þess sem er til staðar fyrir samþykka samningar. Margbreytileiki leyfðra undirritara (kaupastjóri, staðgengill kaupastjóra, stjórnarfulltrúar) og skyldu um HDS geymslu gerðu val á lausn flókna.

Með því að velja vettvang sem geymst var á Frakklandi og var löggiltir HDS, sem samrýmdur var hæfum skírteinum sem gefin voru út af TSP sem talið var ANSSI, gat stofnunin falið raf rafrænt rétti undirskriftar með milliatriðum notandaaðila ítarlegra. Rúmmál prenta gagna lækkaði um 85%, og beinn kostnaður pappírsgeymslu minnkaði um um 15 000 € á ári samkvæmt mat stofnunarinnar sem gerð var 18 mánuðir eftir innleiðingu.

Tilfelli 3 — Tækniaðstoðarsvið stærrar borgar og þjónustupantanir fyrir verkefni

Tækniaðstoðarsvið borgar með fleiri en 80 000 íbúa sem stjórnaði margra ára forritum fyrir enduruppréttu gatna verur að gefa út að meðaltali 60 þjónustupantanir á mánuði til verkefnafyrirtækja. Áður en tæknileg umbreiting, hver þjónustupöntun var falið prentun, handskrift, stafræning og póstsending með tilskipun — það er að segja meðal kostnaði um 8 € fyrir hvert gögn og óskipulegur tími 3 til 5 dagar.

Samtenging verkflæðis rafrænnar framboðsundirritunnar beint inn í gæðablað okkar leyfði hálftæknilegri útgáfu þjónustupantana, með rafrænum viðtöku undirrituðum af fulltrúa fyrirtækisins. Hagnaðurinn í tíma til að hefja raunverulegar verkefnir var metinn frá 3 til 4 dögum fyrir hvert verkefni, sem á 15 verkefni samtímis að meðaltali táknar merkingu hagkvæmleika á því að virða samningsbundnum áætlunum.

Ályktun

Rafræn undirritun í opinbera geiranum er ekki lengur framtíðarviðfangsefni: það er lagaleg skylda, stjórnað með ákveðnum textum, og felur í sér raunverulega lagalega hættu ef ekki er farið eftir reglum. Hvort sem um ræðir skuldbindingagerning í opinberum innkaupum, ályktanir sem sendar eru til löglegrar endurskoðunar eða þjónustupantanir verkefna, dregur hver tæknilegur akt ábyrgð bæjarríkis eða opinberra aðila sem framleiðir hann.

Frammi fyrir eIDAS 2.0, NIS2 og flýtingu á breytinga- og umbreitingaforritum frönsku ríkisins, vertu stjórnvöld sem hafa ekki ennþá skipulögð samræmisverk sína að breyta. Certyneo leggur til lausn á rafrænni undirritun sem hæf, geymist á Frakklandi, samræmi við ANSSI kröfur og samleg fyrir núverandi tækniblöð þín.

Finndu hvernig Certyneo getur fylgt starfsstjórnun þinni hingað til fullkominnar samræmis: biðjaðu um sýningu eða farðu yfir okkar verðlagningu og gangnau fram á reglulegir tímamörkum 2026.