Reglugerð eIDAS: allt sem þarf að vita um rafrænar undirskriftir í Evrópu
Uppfært
Reglugerð eIDAS er stofntexti rafrænna undirskrifta í Evrópu. Hún skilgreinir þrjú undirskriftastig (einföld, ítarleg, hæf), setur lagalegt gildi rafrænna gerninganna og stjórnar traustþjónustuveitendum. Þessi leiðarvísir fjallar um allt sem þú þarft að vita til að vera í samræmi árið 2026.
Hvað er eIDAS og hvers vegna var það stofnað?
Áður en eIDAS var til hafði hvert aðildarríki Evrópusambandsins sína eigin reglugerð um rafrænar undirskriftir, sem skapaði lagalega sundrung sem hindraði þvert-landamæra viðskipti. Rafræn undirskrift gild í Frakklandi var ekki endilega viðurkennd í Þýskalandi eða Spáni.
Reglugerð (ESB) nr. 910/2014, þekkt sem eIDAS (Electronic IDentification, Authentication and trust Services), var samþykkt 23. júlí 2014 og tók gildi 1. júlí 2016. Þar sem hún er reglugerð (en ekki tilskipun) gildir hún beint og samræmt í öllum 27 aðildarríkjunum, án þörfar á innleiðingu í þjóðarlöggjöf.
eIDAS hefur þrjú meginmarkmið: að skapa einn stafrænan markað í Evrópu með gagnkvæmri viðurkenningu rafræns auðkennis, að tryggja lagalegt öryggi þvert-landamæra rafræna viðskipta, og að koma á treysta ramma fyrir stafrænar þjónustur í gegnum hæfa traustþjónustuveitendur (QTSP — Qualified Trust Service Provider).
3 undirskriftastig skilgreind af eIDAS
eIDAS setur upp þríhyrning þriggja stiga rafrænnar undirskriftar, hvert með sínar eigin tæknilegar kröfur og sönnunargildi.
Einföld rafræn undirskrift
Kröfur eIDAS
- Gögn á rafrænu formi tengd öðrum gögnum
- Notuð til að undirrita (engar tilteknar tæknilegar kröfur)
- Getur verið einfaldur smellur, hakað við reit eða slegið inn nafn
Notkunardæmi
- Samþykkt notkunarskilmála
- Neteyðublað
- Staðfestingartölvupóstur
Lagalegt gildi
Grundvallandi samningsgildi, engin lagaleg forsenda
Ítarleg rafræn undirskrift
Kröfur eIDAS
- Tengt undirritandanum á einkvæman hátt
- Gerir kleift að auðkenna undirritandann
- Búið til með gögnum undir einkaræðu yfirráðum undirritandans
- Sérhverjar síðari breytingar á skjalinu eru greinanlegar
Notkunardæmi
- Ráðningarsamningar
- Þagnarsamningar
- Viðskiptasamningar
- Umboð
Lagalegt gildi
Sterkt sönnunargildi — ráðlægt fyrir mikilvæga samninga
Hæf rafræn undirskrift
Kröfur eIDAS
- Uppfyllir allar kröfur AES
- Búið til af hæfum búnaði til undirskriftargerðar (QSCD)
- Byggt á hæfu skírteini gefið út af QTSP (ESB-traustalisti)
Notkunardæmi
- Stafrænar staðfestar gerningar
- Stórar opinberar innkaup
- Reglubundnar gerningar
Lagalegt gildi
Lagaleg forsenda jafngild handskrifaðri undirskrift (gr. 25 eIDAS)
eIDAS 2.0: nýjungar frá 2024
Reglugerð eIDAS var endurskoðuð með reglugerð (ESB) 2024/1183, sem var birt í Stjórnartíðindi ESB 30. apríl 2024 og tók gildi 20. maí 2024. Þessi endurskoðun nútímavæðir upprunalegt rammaverk til að takast á við nútímalegar stafrænar áskoranir: stafrænt auðkenni borgara, fullvalda ský og þol traustþjónustuveitenda.
Flaggskip ráðstöfun eIDAS 2.0 er Evrópskt stafrænt auðkennisveski (EUDIW). Fyrir lok 2026 verður hvert aðildarríki að bjóða borgurum og íbúum sínum forrit til að geyma og kynna staðfest auðkennisvottorð — stafrænt jafngildi persónuskilríkis, ökuskírteinis, prófgráða. Þessi þróun mun hafa bein áhrif á ferli hæfra undirskrifta.
Evrópskt stafrænt auðkennisveski (EUDIW)
eIDAS 2.0 kynnir European Digital Identity Wallet: sérhver evrópskur borgari mun geta geymt staðfest auðkennisvottorð sín (persónuskilríki, ökuskírteini, prófgráður) í farsímaforrit sem er rekstrarhæft í öllu ESB.
Styrktar QTSP kröfur
Kröfur sem gilda um hæfa traustþjónustuveitendur (QTSP) eru hertar, sérstaklega varðandi netöryggi, úttektir og þjónustusamfellu.
Nýjar traustþjónustur
eIDAS 2.0 bætir við nýjum hæfum þjónustum: hæf rafræn skjalasöfnun, hæf eigindastjórnun og hæfar rafrænar skrár (vottaðar blockchain).
Aukin rekstrarhæfni
Betri gagnkvæm viðurkenning stafræns auðkennis milli aðildarríkja. Hæfar undirskriftir gefnar út í hvaða ESB-landi sem er eru viðurkenndar alls staðar.
Hvernig á að vera í samræmi við eIDAS í reynd?
eIDAS-samræmi snýst ekki eingöngu um val á undirskriftastigi. Það felur í sér hugsun um alla ferlið: auðkenningu áhættu, val á verkfærum, varðveislu gagna og skjalastefnu.
Hér er hagnýt gátlisti fyrir fyrirtæki sem vilja tryggja rafræna undirskriftarferla í samræmi við eIDAS:
eIDAS-samræmisnálgun Certyneo
Certyneo innleiðir stig SES (einföld rafræn undirskrift) og AES (ítarleg rafræn undirskrift) í reglugerð eIDAS. Ítarlega undirskriftin byggir á tvíþætta auðkenningu: einnota hlekkur sendur með tölvupósti og OTP kóði sendur með SMS í gegnum OTP SMS. Þetta kerfi uppfyllir öll fjögur skilyrði greinar 26 eIDAS fyrir ítarlega undirskrift.
Hvert umslag myndar fullkominn endurskoðunarslóð: tímasetning hverrar aðgerðar (sending, opnun hlekkjar, OTP staðfesting, undirskrift, möguleg höfnun), IP-tala undirritandans, vafranotandastrengur. Þessi endurskoðunarslóð er felldur inn neðst á hverri síðu lokaskjalsins (endurskoðunarfótur) og geymdur í 10 ár.
Gögnin eru hýst á Frakklandi (IONOS innviðir), innan Evrópusambandsins, í samræmi við kröfur stafræns fullveldis og GDPR. Sjáðu öryggi og samræmi síðuna okkar fyrir allar tæknilegar upplýsingar.
Algengar spurningar um eIDAS
Hvað er reglugerð eIDAS?
eIDAS (Electronic Identification, Authentication and Trust Services) er evrópska reglugerðin (ESB) nr. 910/2014 sem setur upp sameiginlegt lagalegt ramma fyrir rafrænar undirskriftir, rafrænar innsigli, tímastimplar, þjónustur rafræns skráðs afhendingarbréfs og vefþjóna auðkenningarþjónustur í Evrópusambandinu. Hún tók gildi 1. júlí 2016 og gildir beint í öllum 27 aðildarríkjunum.
Hvað er munurinn á eIDAS og eIDAS 2.0?
eIDAS 2.0 (reglugerð (ESB) 2024/1183, í gildi frá 20. maí 2024) nútímavæðir eIDAS 1.0 með því að kynna meðal annars Evrópskt stafrænt auðkennisveski (EUDIW — European Digital Identity Wallet), sem mun gera evrópskum borgurum kleift að geyma staðfest stafrænt auðkenni. Fyrir fyrirtæki herðir eIDAS 2.0 kröfur á hæfa traustþjónustuveitendur (QTSP) og bætir þvert-landamæra rekstrarhæfni.
Hefur einföld rafræn undirskrift lagalegt gildi samkvæmt eIDAS?
Já. Grein 25 eIDAS bannar sérstaklega að neita rafrænni undirskrift um lögleg áhrif eingöngu á þeirri forsendu að hún sé á rafrænu formi. Einföld undirskrift (SES) hefur því lagalegt gildi, en nýtur ekki lagalegrar forsendu sem er áskilin hæfum undirskriftum (QES). Í deilumáli ber þeim sem vísar til undirskriftarinnar að sanna áreiðanleika hennar.
Hvernig veit ég hvaða eIDAS stig á að velja fyrir samninga mína?
Almenna reglan er að stilla stigið í samræmi við lagalega og viðskiptalega áhættu skjalsins. Fyrir venjuleg skjöl með litla áhættu (tilboð, innri pantanir) er einföld undirskrift nóg. Fyrir mikilvæga viðskiptasamninga, ráðningarsamninga, þagnarsamninga eða umboð er ítarleg undirskrift (AES) ráðlægð. Hæf undirskrift (QES) er áskilin fyrir aðstæður þar sem löggjöf krefst hennar sérstaklega (sum stjórnsýslugerningar, stórar opinberar innkaup) eða þegar áhætta á gagnkvæmum ágreining er á hámarki.
Hvernig er Certyneo í samræmi við eIDAS?
Certyneo innleiðir einfaldar (SES) og ítarlegar (AES) undirskriftir í samræmi við eIDAS. Ítarlega undirskriftin byggir á tvöföldu netfangs + SMS OTP (OTP SMS) sem tengir undirritandann við gerning sinn. Hvert umslag myndar tímasettan endurskoðunarslóð felldur inn í lokaPDF skjalið. Gögn eru hýst á Frakklandi (ESB), sem uppfyllir kröfur stafræns fullveldis.
Gildir eIDAS um fyrirtæki utan Evrópusambandsins?
eIDAS gildir um traustþjónustur veittar innan ESB. Fyrirtæki utan ESB sem vill að undirskriftir þess séu viðurkenndar innan ESB verður að nota eIDAS-samræmda lausn eða hæfan traustþjónustuveitanda (QTSP) viðurkenndur á traustalista aðildarríkis. Fyrir alþjóðleg B2B viðskipti er til gagnkvæm viðurkenningarsamkomulag við ákveðin þriðju lönd.