На что равняться: европейский регламент электронной идентификации eIDAS



    С 1 июля 2016 года в странах Евросоюза начал работать регламент eIDAS (electronic IDentification, Authentication and trust Services) об электронной идентификации и доверенных услугах. Он выступил в силу после принятия Положения (EU) N°910/2014 и отмены Директивы об электронных подписях (eSignature Directive) от 1999 года. Регламент устанавливает общий стандарт для электронных подписей, электронных печатей, меток времени, услуг eDelivery и сертификатов аутентификации веб-сайтов.

    Обязательное взаимное признание электронных идентификаторов странами Евросоюза действует с 29 сентября 2018 года.

    Казалось бы, регламент является внутренним делом ЕС, но в реальности с ним сталкиваются и иностранные контрагенты, кто имеет дело с европейскими организациями. Не только юрлица, даже студенты, поступающие в европейские университеты, регистрируют и подписывают документы по нормативам eIDAS. Стандарт относится и к деятельности удостоверяющих центров.

    Соответствие eIDAS важно для любого физического или юридического лица, которое работает в Евросоюзе, используя электронные подписи для удостоверения личности и электронных транзакций.


    Интерактивная карта поставщиков доверенных услуг в странах Евросоюза (Trust Service Providers). GlobalSign прошёл аттестацию в Бельгии и стал одним из первых глобальных центров, который выдаёт квалифицированные сертификаты по нормам eIDAS

    Хотя в каждой стране свои стандарты идентификации и ЭЦП, но eIDAS — это набор «лучших практик», который гарантирует совместимость ЭЦП на европейском уровне, потому что все публичные организации Евросоюза обязаны признавать квалифицированные ЭЦП из других стран. В перспективе есть вероятность, что eIDAS расширит своё действие и за пределы ЕС.

    Что такое eIDAS


    Если вкратце, то eIDAS устанавливает единый стандарт, которому должно соответствовать аппаратное и программное обеспечение для генерации цифровых подписей. Все токены проходят обязательную сертификацию. Для физических лиц таким токеном может служить, например, электронный паспорт или смартфон, а для организацией — смарт-карты, USB-токены и иные устройства.

    Общеевропейские ЭЦП должны иметь единую логическую структуру данных. Токен должен уметь работать с Едиными площадками взаимодействия между организациями ЕС (EU Single Points of Contact), которые проводят онлайновые деловые операции между странами союза. То есть документы, которые предоставили в одну из точек взаимодействия, будут приняты и обработаны надлежащим образом. Например, таким образом гражданин одной страны ЕС может сдать налоговую декларацию или оформить прочие документы в любой другой стране ЕС, подписав их своим токеном eID.

    Статья 22 регламента eIDAS обязывает государства-члены публиковать информацию, относящуюся к квалифицированным поставщикам доверенных услуг (QTSP), за которую они несут ответственность, вместе с информацией, относящейся к квалифицированным доверенным услугам, предоставляемым ими. Эта информация публикуется в так называемых «доверенных списках», и комиссия, осуществляющая решение (ЕС) 2015/1505, определяет технические характеристики этих доверенных списков.



    Основные изменения в законодательстве об электронных подписях после принятия eIDAS:

    • Правовой статус закона (вместо директивы) делает его непосредственно применимым во всей Европе без необходимости включения в национальное законодательство. Таким образом, все европейские цифровые подписи теперь согласованы и осуществляются по единому стандарту.
    • Возможность внедрения новых технических решений удалённой подписи. Электронные документы не могут быть лишены юридической силы только потому, что они в электронном виде.
    • Внедрение электронных печатей, доступных юридическим лицам, технически схожих с электронной подписью. Они обеспечивающих идентичность и целостность документов.
    • Введение меток времени.
    • Включение национальных Доверенных списков.
    • Квалифицированный сервис проверки электронных подписей.

    Хотя регламент eIDAS уже фактически вступил в действие, его отдельные положения будут корректироваться по мере накопления опыта практического применения.

    Усиленные и квалифицированные подписи


    elDAS определяет 3 типа электронных подписей:

    • Простая: служит для того, чтобы пользователь мог выразить согласие с содержанием документа или контракта, здесь не осуществляется идентификация пользователя.
    • Усиленная или продвинутая (Advanced Electronic Signature, AdES): позволяет идентифицировать подписывающее лицо и связана с подписанными данными, чтобы можно было обнаружить любые последующие изменения.
    • Квалифицированная (Qualified Electronic Signature, QES): создаётся квалифицированным устройством для создания электронных подписей и опирается на квалифицированный сертификат для электронной подписи.

    Отличие усиленной от квалифицированной подписи в том, что усиленные подписи могут принять в других странах, а квалифицированные подписи обязаны принять во всех странах Евросоюза (с 29 сентября 2018 года).

    В сооветствии с eIDAS решение Еврокомиссии 2015/1506 определяет минимальные форматы усиленных электронных подписей и усиленных печатей, которые могут признаваться государственными органами для обеспечения трансграничной совместимости онлайн-услуг.


    Цифровые печати работают как ЭЦП, но ими могут владеть только юридические лица. Кроме того, печать можно присвоить конкретному подразделению организации: это подходящее решение для удостоверения документов в системах электронного документооборота.

    Однако закон eIDAS не позволяет признать квалифицированными подписи, которые считаются квалифицированными по российскому законодательству. Он «содержит ряд дополнительных требований, соответствие которым позволяет признать электронную подпись квалифицированной (и которые не предусмотрены российским законодательством, написанным на основе ранней версии Евродирективы). Например, обязательно использование высокозащищённого устройства для создания подписи. С точки зрения европейского права, российские квалифицированные подписи расцениваются именно как усиленные электронные подписи на основе квалифицированного сертификата».

    Внедрив требования eIDAS и пройдя проверку на соответствие, поставщики услуг доверия могут получить статус квалифицированных поставщиков (QTSP) и войти в Доверенный список ЕС. В октябре 2018 года компания GlobalSign стала одним из первых глобальных центров сертификации, который получил статус квалифицированного поставщика. Аккредитация выдана бельгийским надзорным органом (FPS Economy) 11 октября.

    Согласно определению из статьи 3 закона eIDAS, «доверенная услуга» обозначает электронную услугу, обычно предоставляемую за оплату и включающую:

    • a) создание, верификации и валидацию электронных подписей, электронных печати либо электронных меток времени, услуг регистрирования доставки и сертификатов, связанных с этими услугами; либо
    • б) создание, верификацию и валидацию сертификатов идентификации веб-сайтов; либо
    • c) консервирование электронных подписей, печатей или сертификатов, связанных с этими услугами.

    Новые квалифицированные сертификаты на электронные подписи и печати от GlobalSign будут доступны в декабре 2018 года, тогда же появится более подробная информация на эту тему.

    Квалифицированные сертификаты для электронных подписей и печатей будут доступны для частных лиц и организаций через развёртывание системы на основе токенов GlobalSign. В соответствии с требованиями eIDAS, квалифицированный сертификат хранится на квалифицированном устройстве создания подписи (токен).

    Статус QTSP — самый высокий уровень гарантии подписей. Квалифицированный поставщик (QTSP) может предоставить квалифицированные сертификаты для электронных подписей и печатей. Они имеют такую же юридическую силу, как и собственноручные подписи, и предполагают целостность и происхождение документа. Как отмечалось выше, эти квалифицированные сертификаты обязаны признавать и принимать во всех государствах-членах ЕС.

    Благодаря принятию eIDAS электронный документооборот постепенно становится стандартом в Евросоюзе. Ожидается, что уже к 2020 году ЭЦП обгонят обычные подписи в качестве основного средства подписи документов в ЕС.



    • +10
    • 2,6k
    • 2
    GlobalSign
    201,08
    Компания
    Поделиться публикацией

    Комментарии 2

      0
      У меня такой вопрос по документообороту в РЙ: как соотносятся подписанные ЭЦП документы и требования к хранению определенных документов? Для текущих целей заверяем ЭЦП, а потом для отчётности гоняем почтой бумажную рыбу, которую кладём на полку на заданное время и забываем, если проверки нет?
        0
        Если имеется в виду РФ, то никак. Юридическую силу имеет электронный документ, подписанный электронной подписью, а не его бумажная копия. Поэтому хранить нужно электронные документ, подпись (если она идёт отдельно от файла документа) и, желательно, сертификат ключа, которым эта почта подписывалась, плюс сертификат выдавшего подпись УЦ (ну или CA, если по-буржуйски) — на случай утраты этих сертификатов, что вызовет невозможность полноценной проверки ЭП. Сроки те же, что и для бумажных документов, если нормативка не оговаривает иное.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое