Obveznosti ponuditelja elektronskega podpisa Francija

Uvod

Vzpostavitev rešitve za elektronski podpis v Franciji ni preprostih stvari. Za vsakim kvalificiranim ali naprednim podpisom se skrivajo ducat pravnih obveznosti, ki bremenijo ponuditelja storitev zaupanja (PSCo). Uredba eIDAS, RGPD, splošni varnostni referenčni okvir, standardi ETSI… regulativni okvir je hkrati obsežen in razvijajočih se. Za uporabniške podjetja razumevanje teh pravnih obveznosti ponuditelja elektronskega podpisa Francija eIDAS RGPD je nepogrešljivo za izbiro skladnega partnerja in izogibanje vsem pravnim tveganjem. Ta članek podrobno pojasnjuje, poglavje za poglavjem, vse zahteve, ki se nanašajo na PSCo, ki delujejo na francoskem ozemlju.

---

Položaj kvalificiranega ponuditelja storitev zaupanja

Kaj je PSCo v smislu eIDAS?

Uredba eIDAS 910/2014 razlikuje dve kategoriji ponuditeljev: ponuditelje storitev zaupanja nekvalificirane in kvalificirane ponuditelje (PSCQ). Prva skupina lahko ponuja storitve preprostega ali naprednega elektronskega podpisa brez obveznega revizije tretje stranke. Druga skupina — samo avtorizirane za izdajanje kvalificiranih podpisov v smislu članka 3(15) eIDAS — mora izpolnjevati znatno strožje zahteve.

V Franciji je Nacionalna agencija za varnost informacijskih sistemov (ANSSI) tista, ki nastopa kot nadzorni organ (»Supervisory Body«), kot ga predvideva članek 17 eIDAS. Objavlja in vzdržuje francosko listo zaupanja (TSL — Trust Service List), dostopno na njenem uradnem spletnem mestu, ki vsebuje seznam kvalificiranih ponuditeljev in njihovih storitev.

Postopek kvalifikacije: revizija in skladnost

Za pridobitev kvalificiranega statusa mora PSCo obvezno:

• Revizijo svojih storitev opraviti pri organu za ocenjevanje skladnosti (CAB — Conformity Assessment Body), akreditiranem pri COFRAC v skladu s standardom EN ISO/IEC 17065.

• Revizijsko poročilo predložiti ANSSI, ki odloči o dodelitvi kvalificiranega statusa. Ta status se ponovno evalvira vsaj vsakih 24 mesecev (članek 20 §1 eIDAS).

• Obvestiti ANSSI o kakršnemkoli bistvenem spremembi svojih storitev v roku 3 mesecev pred načrtovano spremembo (članek 21 eIDAS).

Nespoštovanje teh korakov izpostavlja ponuditelja radiaciji s TSL in izgubi pravnih domnev, povezanih s kvalificiranim podpisom. Za podjetja-naročnike je uporaba PSCo, ki ni naveden na TSL, enaka temu, da se ne koristi nobeno pravno domnevanje zanesljivosti.

> Za nadaljnje informacije o različnih ravneh podpisov in njihovih pravnih učinkih si oglejte naš obsežni vodnik skozi uredbo eIDAS 2.0.

---

Tehnične in varnostne obveznosti za PSCo

Skladnost s standardi ETSI

Kvalificirani ponuditelji se morajo skladati s skupkom evropskih standardov, ki jih je objavil Evropski inštitut za telekomunikacijske standarde (ETSI). Glavne so:

• ETSI EN 319 401: splošne zahteve varnosti, ki se nanašajo na vse PSCo.

• ETSI EN 319 411-1 in 411-2: politike in praksa avtoritet za potrditev, ki izdajajo potrdila za kvalificirane podpise.

• ETSI EN 319 132: obliki kvalificiranega elektronskega podpisa (XAdES za XML, PAdES za PDF, CAdES za CMS).

• ETSI EN 319 122: oblika CAdES za kvalificirane podpise.

• ETSI TS 119 431: zahteve za storitve ustvarjanja podpisa na daljavo (oddaljeni QSCD).

Ti standardi niso izbirni: uredba eIDAS (Priloga II, III in IV) se na njih neposredno sklicuje za opredelitev minimalnih zahtev za kvalificirana potrdila in naprave za ustvarjanje podpisov.

Upravljanje kvalificiranih naprav za ustvarjanje podpisov (QSCD)

Eden od stebrov kvalificiranega podpisa je uporaba kvalificirane naprave za ustvarjanje podpisa (QSCD — Qualified Signature Creation Device), skladne s Prilogo II eIDAS. Ponuditelj mora zagotoviti, da:

• Zasebni ključ podpisnika ne more biti generiran, shranjen ali kopiran zunaj QSCD.

• Generiranje ključa se izvaja izključno v certificiranem okolju (certifikacija Common Criteria EAL 4+ ali enakovredno).

• Avtentifikacija podpisnika pred vsakim aktom podpisovanja je odvisna od najmanj dveh dejavnikov avtentifikacije.

V kontekstu podpisovanja na daljavo — čedalje bolj razširjeno v SaaS okoljih — se te zahteve nanašajo na strežnik HSM (Hardware Security Module), ki gosti ključe. ANSSI je objavila specifične profila zaščite (PP-0075, PP-0076), ki opredeljujejo varnostne kriterije, ki jih je treba doseči.

Politika kontinuitete in obveščanja o incidentih

Članek 19 eIDAS vsem ponuditeljem storitev zaupanja (kvalificirani ali ne) nalaga, da:

• Obvestijo nadzorni organ (ANSSI) in, če je primerno, organ za zaščito podatkov (CNIL), v roku 24 ur od odkritja kršitve varnosti, ki bi lahko vplivala na zanesljivost storitve.

• Imajo dokumentiran in redno testiran načrt kontinuitete poslovanja.

• Imajo politiko varnosti informacij, ki je formalizirana in zajema upravljanje tveganj, upravljanje incidentov ter politiko varnostnega kopiranja.

Te zahteve se deloma prekrivajo s tistimi iz direktive NIS2 (2022/2555/UE), prenesene v francoski zakon z zakonom 2023-703 z dne 1. avgusta 2023, ki PSCo pomembne velikosti uvršča med pomembne ali bistvene subjekte, ki so podvrženi okrepljenim obveznostim kibernetske varnosti.

> Odkrijte, kako elektronski podpis za pravne pisarne mora vključiti ta omejena v svoje dokumentarne procese.

---

Specifične obveznosti RGPD za PSCo

Je PSCo odgovoren ali procesor podatkov?

Kvalifikacija RGPD ponuditelja je odvisna od vrste nudene storitve:

• Ko PSCo neposredno izdaja kvalificirana potrdila v imenu podpisnika in določa namene obdelave osebnih podatkov (identiteta, biometrični podatki avtentifikacije), nastopa kot odgovoren v smislu članka 4(7) RGPD.

• Ko integrira svoj API v platformo poslovnega naročnika in obdeluje osebne podatke samo v skladu z navodili tega naročnika, ima status procesorca (članek 4(8) RGPD) in mora obvezno zaključiti DPA (pogodbo o obdelavi podatkov), skladno s členom 28 RGPD.

V praksi večina SaaS PSCo preslika obe vlogi: odgovoren za upravljanje lastne infrastrukture certificiranja, procesor za obdelavo dokumentov in metapodatkov podpisnikov.

Specifične obveznosti glede biometričnih podatkov in podatkov o istovetnosti

Identificiranje in avtentificiranje podpisnika — obvezen korak za izdajo kvalificiranega potrdila — pogosto pomeni obdelavo občutljivih podatkov: skeniranje osebnega dokumenta, video selfie, biometrični podatki prepoznavanja obraza. Ti podatki predstavljajo osebne podatke v skladu z RGPD, včasih pa tudi biometrične podatke v smislu članka 9 RGPD (posebne kategorije).

Obveznosti PSCo vključujejo:

• Pravna podlaga: izričito soglasje (člen 9§2a) ali v nekaterih primerih pravna obveza (člen 9§2b) za obdelavo biometričnih podatkov.

• Omejena doba hrambe: v skladu s smernicami CNIL morajo biti podatki o istovetnosti hranjeni samo toliko časa, kot je nujno potrebno, običajno usklajeni z dobo veljavnosti potrdila + zakonsko dobo za dokazovanje (pogosto 10 let za osebne listine, članek 2224 Civilnega zakonika).

• Analiza vpliva (AIPD) je obvezna (člen 35 RGPD), če je obdelava verjetno povzročila visoko tveganje — to je sistematično primer biometrije.

• Register obdelav (člen 30 RGPD) je redno posodobljen in dokumentira vsako kategorijo obdelave.

Mednarodni prenosi podatkov

Mnogi PSCo gostijo celoto ali del svoje infrastrukture zunaj Evropskega gospodarskega prostora (EGP). V tem primeru se ustrezne zaščite, zahtevane v poglavju V RGPD, nanašajo nanje: odločitev o ustreznosti, standardne pogodbene klauzule (SCCs) Evropske komisije ali zavezujoča pravila podjetja (BCR). Odločba Schrems II (CJEU, C-311/18, 16. julij 2020) je napominjala, da prenosi v Združene države zahtevajo predhodno analizo tveganja na ravni države.

> Za razumevanje vpliva teh pravil na vašo organizacijo si oglejte naš vodnik elektronskega podpisa v podjetju.

---

Obveznosti preglednosti in obveščanja uporabnikov

Politika certificiranja (PC) in izjava o praksi certificiranja (DPC)

Vsak PSCo, ki izdaja potrdila, mora objaviti Politiko certificiranja (PC) in Izjavo o praksi certificiranja (DPC) v skladu s standardom ETSI EN 319 411. Ti dokumenti, javno dostopni, podrobno navedejo:

• Postopki identificiranja in registracije podpisnikov.

• Fizične in logične varnostne ukrepe.

• Pogoji za preklicane potrdil in povezani roki.

• Odgovornosti in omejitve jamstva PSCo.

Odsotnost ali nepopolnost teh dokumentov predstavlja neskladnost, ki jo je mogoče ugotoviti pri reviziji ponovne kvalifikacije s strani akreditiranega organa.

Predpogodbeno in pogodbeno obveščanje naročnikov

Poleg čisto tehnične obveznosti članek 13 RGPD nalaga PSCo, da vsaki osebi, katere podatki so zbrani, zagotovi jasne in dostopne informacije o:

• Identiteti odgovornega in kontaktnih podatkih DPO (obvezen za PSCo, ki v veliki meri obdelujejo občutljive podatke, člen 37 RGPD).

• Namenih in pravnih podlagah vsake obdelave.

• Pravicah oseb (dostop, popravek, izbris, prenosljivost, ugovor).

• Morebitnih prejemnikih podatkov (procesorji, oblasti).

Te informacije morajo biti navedene v politiki zasebnosti storitve, v splošnih pogoji in, če je primerno, v DPA, zaključeni s poslovnimi naročniki.

Kvalificirani časovni žigi in revizijski sled

Za zagotavljanje vrednosti dokazovanja v dolgem obdobju resni PSCo sistematično povezujejo kvalificirani elektronski časovni žig (člen 42 eIDAS) z vsakim podpisanim aktom. Ta časovni žig predstavlja pravno domnjevo obstoja podatka na navedeni datum. Ohranitev revizijskega sleda (dnevniki avtentifikacije, odtis dokumenta, podatki podpisa) je dejansko obveza za omogočanje kakršnekoli poznejše sodno preverjave.

> Primerjajte rešitve na trgu po teh kriterijih v našem primerjalniku rešitev elektronskega podpisa.

---

eIDAS 2.0: nove obveznosti na obzorju 2026-2027

Uredba eIDAS 2.0 (EU) 2024/1183

Objavljena v Uradnem listu EU dne 30. aprila 2024, uredba (EU) 2024/1183 »eIDAS 2.0« bistveno okrepi obveznosti PSCo v treh osrednjih točkah:

• Evropski denarnica za digitalno identiteto (EUDI Wallet): države članice morajo do 2. novembra 2026 zagotoviti denarnico za digitalno identiteto s certifikatom. PSCo bo moral integrirati svojo storitev s to denarnico za ponudbo kvalificiranih podpisov prek identitete eIDAS 2.0.

• Upravljanje izkaza atributov: eIDAS 2.0 uvaja kvalificirane izkaze atributov (QEAAs), izdane s strani kvalificiranih ponuditeljev izkaza. Veljajo novi postopki revizije in kvalifikacije.

• Krepitev nadzora: nacionalni nadzorni organi (ANSSI za Francijo) vidijo svojo moč razširjeno, zlasti zmožnost izvajanja napovedanih revizij in nalaganja prisilnih korektivnih ukrepov v okrajšanih rokih.

Praktične posledice za trenutne ponuditelje

PSCo že kvalificirani po eIDAS 1.0 morajo izvršiti postopno prilagoditev pred roki, določeni s sklepi Komisije (objavljeni ali v teku). Glavne prilagoditve zadevajo:

• Prenovo infrastrukture identificiranja za podporo EUDI Wallet kot sredstva avtentifikacije.

• Posodobitev PC/DPC za vključitev novih tipologij potrdil in izkaza.

• Krepitev varnostnih zahtev oddaljenih QSCD z novimi profili zaščite, ki še prihajajo.

Za podjetja-naročnike to pomeni preverjanje že danes, da ima njihov ponuditelj dokumentirano roadmap za skladnost eIDAS 2.0 in preverjivo.

Pravni okvir, ki se nanša na obveznosti ponuditeljev elektronskega podpisa

Normativna veriga, ki se nanša na ponuditelje elektronskega podpisa, delujočih v Franciji, se razprostira v več stopnjem hierarhičnega komplementarnega reda.

Француский гражданский кодекс — Статьи 1366 и 1367

Članek 1366 Civilnega zakonika priznava elektronski pisni dokument kot način dokazovanja enakovreden papirnemu dokumentu, pod pogojem, da »lahko jasno identificiramo osebo, od katere izhaja, in da je bil dejansko vzpostavljen in ohranjen v pogojih, ki zagotavljajo njegovega celovitosti«. Članek 1367 pojasnjuje, da »elektronski podpis« pomeni »uporabo zanesljivega postopka za identificiranje, ki zagotavlja njegovo povezavo z aktom, ki ga podpira«. Domneva zanesljivosti koristi kvalificiranim podpisom v smislu eIDAS, obračunajoč dokazni breme v korist podpisnika.

Uredba eIDAS 910/2014/EU

Ta uredba, neposredno veljavna v vseh državah članicah, uspostavlja pravni okvir storitev zaupanja. Njen članek 26 opredeljuje pogoje za napredni elektronski podpis; njegov članek 28 zahteve za kvalificirana potrdila; njegova Priloga I podrobno navedene obvezne vsebine teh potrdil. Kvalificirani PSCo uživajo domnevno skladnost z tehnično in pravno zahtevami uredbe (člen 19§2), kar je v primeru spora velik plus.

Uredba eIDAS 2.0 — (EU) 2024/1183

Objavljena 30. aprila 2024 ta uredba za spremembo uvaja nove kategorije storitev zaupanja (kvalificirane izkaze atributov, kvalificirane storitve arhiviranja) in okrepi obveznosti nadzora. Delno nadomešča uredbo 910/2014, s postopno veljavnostjo v skladu s sklepi Komisije.

RGPD — Uredba (EU) 2016/679

RGPD se uporablja za vso obdelavo osebnih podatkov, izvršeno v okviru storitve elektronskega podpisa. Členi 5 (načela zakonitosti), 6 (pravna podlaga), 9 (občutljivi podatki), 13-14 (obveščanje), 28 (obdelava), 32 (varnost), 33-34 (obveščanje o kršitvi), 35 (AIPD) in 37 (DPO) predstavljajo najbolj pogosto uporabljive razdelke. CNIL je pristojni nadzorni organ v Franciji in lahko izreče globe do 20 milijonov evrov ali 4 % svetovnega letnega prometa (člen 83§5 RGPD).

Direktiva NIS2 — (EU) 2022/2555

Prenesena v francoski zakon s posebnim zakonom 2023-703 dne 1. avgusta 2023 NIS2 uvršča bistvene PSCo med pomembne ali bistvene subjekte, podvržene okrepljenim obveznostim upravljanja tveganj kibernetske varnosti in obveščanja incidentov ANSSI v roku 24 ur (zgodnje opozorilo), nato pa 72 ur (popolna obvestila).

Standardi ETSI

Skupek standardov EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 in TS 119 431 predstavlja obvezno tehnično referenco za revizijo kvalifikacije. Nespoštovanje teh standardov preprečuje pridobitev ali ohranitev kvalificiranega statusa.

Pravna tveganja pri neskladnosti

Neskladen ponuditelj je izpostavljen: radiaciji s TSL, angažiranju odgovornosti po pogodbi in izven pogodbe, upravnim kaznim CNIL, globam NIS2, ki lahko dosežejo 10 milijonov evrov ali 2 % svetovnega prometa za pomembne subjekte in 20 milijonov ali 4 % svetovnega prometa za bistvene subjekte, pa tudi sodnim tožbam naročnikov, ki so utrpeli škodo zaradi nepravilnih podpisov.

Scenariji uporabe: kako podjetja preverjajo skladnost svojega PSCo

Scenarij 1 — Industrijska skupina, ki upravljana 3 000 pogodb s dobavitelji na leto

Srednje velika industrijska skupina (ETI), aktivna v proizvodnji mehanske opreme, demateriazira vse svoje pogodbe s dobavitelji preko SaaS platforme za elektronski podpis. Pri interni reviziji, sproženi po regulativni spremembi, direkcija zazna, da izbrani ponuditelj — sprva izbran po ceni — ni naveden niti na TSL Francije niti na nobeni TSL Evrope. Izdani podpisi so tipa »preprost« brez robustnega mehanizma za identificiranje podpisnika.

Glede na pravno tveganje — vrednost dokazovanja vseh podpisanih pogodb bi bila lahko preverjena v primeru spora — podjetje začne migracijo k kvalificiranem PSCo ANSSI. Nova rešitev vključuje napredni podpis s kvalificiranim potrdilom, kvalificirani časovni žig in revizijski sled, ki ga je mogoče izvoziti. Migracija, izvedena v manj kot 8 tednih, omogoča retroaktivno zavarovanje novih aktov in vzpostavitev skladne politike dokumentiranja. Pravne ekipe ocenjujejo, da tveganje spora, povezano s starejšimi pogodbami, ostaja marginalnih zaradi njihove izvedbe brez ugovorov, vendar je vsak nov podpis sedaj pokrit.

Opaženi dobički: zmanjšanje za 60 % morebitnih sporov glede autentičnosti podpisov in prihranek 3,5 dni povprečnega časa podpisovanja za kompleksne pogodbe prek avtomatizacije delovnega toka validacije.

Scenarij 2 — Pravna pisarna s 25 sodelavci, specializirana za pravo poslovanja

Pravna pisarna, ki želi digitalizirati podpisovanje mandatov, posvetovanj in sodnih aktov, ocenjuje več ponuditeljev. Njegova analitska mreža vključuje naslednje kriterije: prisotnost na TSL, objavljena in dostopna PC/DPC, obstoj skladnega DPA s RGPD, razpoložljivost dosegljivega DPO in certificiranje oddaljenih QSCD.

Od petih ocenjenih ponuditeljev sta le dva izpolnjala vse kriterije. Pisarna si je na koncu izbrala PSCo, ki nudi naravno kvalificirani podpis prek oddaljenih QSCD, kar zagotavlja domnevko zanesljivosti članka 1367 Civilnega zakonika. Vzpostavitev traja 3 tedne, vključno z usposabljanjem. Rezultat: 75 % mandatov je sedaj podpisanih v manj kot 24 ur, prej 5-7 dni (poštnina), in pisarna svojim naročnikom dokazati pravno varnostno raven storitve — argument razlikovanja v svojih komercialni predlogih.

Scenarij 3 — Zdravniško združenje z približno 1 200 posteljami

Zdravniško združenje javnega zdravstva želi demateriaziti pogodbe o zaposlitvi, konvencije za pripravniški kot in sporazume o partnerstvu z drugimi zdravstvenimi ustanovami. Občutljivost obdelanih podatkov (podatki o zdravju zdravstvenih delavcev, podatki HR) zahteva posebno pozornost pri obveznostih RGPD PSCo.

DSI in DPO ustanove zahtevajo: nastanitev podatkov v Franciji pri ponuditelju, certificiranem za HDS (»Hébergeur de Données de Santé«, certificiranje predvidevano v članku L.1111-8 Zakonika o zdravju), brez prenosa izven EGP, dokumentirano AIPD za obdelavo identificiranja podpisnikov in podpisana DPA pred uvedbo v delovanje.

Po izboru PSCo, ki izpolnjuje te kriterije, se uvedba osredotoči na pogodbe o zaposlitvi (približno 800 aktov na leto). Povprečni čas podpisovanja pogodb za določen čas pada z 9 dni na manj kot 48 ur, kar sprošča bistveno zmogljivost za tima človeških virov. Ustanove ima poleg tega popolno sledljivost zbiranih soglasij, ki jih letno revidihra njen DPO.

Zaključek

Pravne obveznosti, ki bremenijo ponuditelje elektronskega podpisa v Franciji, tvorijo zahteven normativni korpus: kvalifikacija eIDAS, skladnost RGPD, skladnost s standardi ETSI, obveznosti NIS2 in prihajajoča prilagoditev eIDAS 2.0. Za podjetja-uporabnike zagotavljanje skladnosti svojega PSCo ni izbirna aktivnost — je pogoj »sine qua non« vrednosti dokazovanja podpisanih aktov in zaščite osebnih podatkov podpisnikov.

Certyneo je ponuditelj elektronskega podpisa, zasnovan za uresničitev vseh teh zahtev: skladnost eIDAS, RGPD »by design«, suveren nastanitvenih in dokumentirana roadmap eIDAS 2.0. Ste pripravljeni varnostno podpisati v popolni skladnosti? Zahtevajte demonstracijo ali ustvarite svoj račun v Certyneo in uživajte personalizirani spremljanju od prvega dne.