Poziomy podpisów elektronicznych w UE (eIDAS) i pieczęć eIDAS – przewodnik dla małego przedsiębiorstwa
Podpisy elektroniczne to codzienność, ale czy wiesz, że w UE istnieją trzy różne poziomy podpisu? W tym artykule wyjaśnimy w prosty sposób, co oznacza rozporządzenie eIDAS (rozporządzenie UE w sprawie identyfikacji elektronicznej i usług zaufania), czym różnią się poziomy podpisu i czym jest pieczęć eIDAS. Na koniec opowiemy, jak EpicSign pomaga małemu przedsiębiorcy w praktyce.
Co to jest eIDAS i dlaczego jest ważne?
eIDAS (electronic IDentification, Authentication and trust Services) to rozporządzenie UE, które ustanawia jednolite zasady dla identyfikacji elektronicznej i podpisów elektronicznych we wszystkich krajach UE. Weszło w życie w 2016 roku i zostało zaktualizowane w 2024 roku (eIDAS 2.0). W praktyce eIDAS oznacza, że podpis elektroniczny wykonany w Finlandii jest ważny również w Niemczech, Hiszpanii lub w dowolnym innym kraju UE. Buduje zaufanie i usuwa bariery w transakcjach cyfrowych. Dla małego przedsiębiorcy eIDAS jest ważne, ponieważ określa, jaki poziom podpisu jest wymagany w różnych sytuacjach i jaką ochronę prawną zapewnia.
Trzy poziomy podpisu UE
eIDAS definiuje trzy poziomy dla podpisów elektronicznych. Każdy poziom zapewnia inną siłę dowodu tożsamości podpisującego.
SES
SES to najprostszy poziom. Może to być np. imię i nazwisko wpisane w e-mailu, elektroniczne zaznaczenie lub obraz podpisu. Uwierzytelnianie jest słabe: tożsamość podpisującego nie jest oddzielnie weryfikowana.
- Przypadki użycia: dokumenty wewnętrzne, umowy o niskim ryzyku, potwierdzenia zamówień
- Ryzyko: łatwo podważyć, kto faktycznie podpisał
- Przykład: kliknięcie przycisku „Potwierdzam moje zamówienie” w sklepie internetowym
AES
AES wymaga, aby podpisujący był jednoznacznie zidentyfikowany, a podpis był z nim powiązany w taki sposób, aby nie można go było później zmienić. Uwierzytelnianie może odbywać się na przykład za pomocą bankowości elektronicznej lub mobilnego identyfikatora.
- Przypadki użycia: umowy, oferty, umowy o pracę, umowy z klientami
- Ryzyko: niskie – silne powiązanie z podpisującym
- Przykład: klient uwierzytelnia się za pomocą bankowych identyfikatorów i składa podpis pod umową w EpicSign
QES
QES to najsilniejszy poziom podpisu. Zgodnie z prawem UE jest równoważny z podpisem odręcznym. QES wymaga certyfikatu wydanego przez zatwierdzonego dostawcę usług zaufania oraz zatwierdzonego urządzenia do tworzenia podpisu.
- Przypadki użycia: transakcje nieruchomości, sprawy urzędowe, umowy wysokiego ryzyka
- Ryzyko: bardzo niskie – prawnie równoważne podpisowi odręcznemu
- Przykład: prawnik podpisuje dokument dostarczany sądowi certyfikatem QES
Tabela porównawcza: kiedy wybrać który poziom?
| Potrzeba | Rekomendacja | Dlaczego | Przykład |
|---|---|---|---|
| Potwierdzenie wewnętrzne lub potwierdzenie zamówienia | SES | Wystarczające, szybkie i tanie | Pracownik potwierdza, że przeczytał instrukcję |
| Umowa z klientem lub oferta | AES | Wiarygodne rozpoznanie podpisującego | Klient podpisuje ofertę danymi bankowymi |
| Umowa o pracę lub umowa o zachowaniu poufności | AES | Rozpoznawanie obu stron jest istotne | Nowy pracownik podpisuje umowę o pracę w EpicSign |
| Transakcja nieruchomości lub dokument urzędowy | QES | Prawo wymaga najwyższego poziomu | Prawnik podpisuje dokument przedkładany sądowi |
| Międzynarodowa umowa w obszarze UE | AES lub QES | Kwalifikacja na poziomie UE na podstawie rozporządzenia eIDAS | Fińska firma i hiszpański partner podpisują umowę o współpracy |
Czym jest pieczęć eIDAS (eSeal)?
Pieczęć eIDAS (elektroniczna pieczęć, eSeal) to „cyfrowa pieczęć” organizacji. Różni się od podpisu elektronicznego tym, że podpis wyraża wolę osoby, podczas gdy pieczęć potwierdza, że dokument pochodzi z określonej organizacji i nie został zmieniony.\n\nW praktyce pieczęć eIDAS jest jak pieczęć firmowa w świecie cyfrowym.
- Przypadki użycia: faktury, raporty, zgłoszenia urzędowe, dokumenty masowe
- Korzyść: automatycznie potwierdza pochodzenie i integralność dokumentu
- Różnica w stosunku do podpisu: pieczęć nie wymaga działania pojedynczej osoby – może być zautomatyzowana
Mała firma może skorzystać z pieczęci na przykład, gdy wysyła duże ilości faktur lub raportów i chce, aby odbiorca mógł zweryfikować, czy dokument rzeczywiście pochodzi od tej firmy.
Silne uwierzytelnianie w języku potocznym
Silne uwierzytelnianie oznacza, że tożsamość podpisującego jest wiarygodnie weryfikowana przed podpisem. W praktyce oznacza to zazwyczaj bankowe dane uwierzytelniające, mobilne potwierdzenie lub podobną metodę. Dlaczego silne uwierzytelnianie jest ważne?
- Znacząco zmniejsza ryzyko nadużyć
- Trudniej jest zakwestionować umowę, gdy tożsamość podpisującego została zweryfikowana
- Jest często wymogiem w przypadku podpisów na poziomie AES i QES
- Zwiększa zaufanie między wszystkimi stronami
Przykładowe historie: eIDAS w praktyce
Trzyosobowa firma konsultingowa w Tampere co miesiąc przygotowuje 10–15 umów z klientami. Wcześniej umowy były drukowane, podpisywane i skanowane z powrotem. Dzięki EpicSign firma przeszła na elektroniczny podpis na poziomie AES: klient uwierzytelnia się za pomocą danych bankowych i podpisuje umowę w ciągu kilku minut. Oszczędność czasu: około 2 godzin tygodniowo.\n\nMały sklep internetowy wykorzystuje podpis na poziomie SES do potwierdzeń zamówień. Klient zaznacza akceptację warunków i elektronicznie potwierdza zamówienie. Jest to wystarczające w sytuacjach o bardzo niskim ryzyku i nie wymaga oddzielnego uwierzytelniania.
EpicSign w praktyce
EpicSign obsługuje silne uwierzytelnianie. Nasza usługa pozwala wysyłać umowy do podpisu, a odbiorca jest wiarygodnie uwierzytelniany przed podpisaniem.\n\nWkrótce: silne uwierzytelnianie krajów bałtyckich i nordyckich oraz pieczęć eIDAS. Obecnie rozwijamy wsparcie dla metod uwierzytelniania w wielu krajach oraz dla pieczęci eIDAS na poziomie organizacji.\n\nEpicSign został zaprojektowany dla małych firm: przejrzysty interfejs użytkownika, brak skomplikowanych wymogów technicznych i ceny, które skalują się wraz z użytkowaniem.
Podsumowanie
Rozporządzenie eIDAS UE ustanawia jasne zasady gry dla podpisów elektronicznych. Trzy poziomy (SES, AES, QES) odpowiadają różnym potrzebom:
- SES wystarcza do prostych potwierdzeń i dokumentów wewnętrznych.
- AES jest najlepszym wyborem dla większości umów i ofert – zawiera silne uwierzytelnianie.
- QES jest najsilniejszym poziomem i jest równoważny podpisowi odręcznemu.
- Pieczęć eIDAS automatycznie potwierdza pochodzenie dokumentu organizacji.
Często zadawane pytania
Jaka jest różnica między podpisami SES, AES i QES?
SES to najprostszy poziom (np. nazwa wpisana w e-mailu). AES wymaga silnego uwierzytelniania, takiego jak dane bankowe. QES to najsilniejszy poziom, równoważny podpisowi odręcznemu i wymagający zatwierdzonego certyfikatu.
Czy mała firma potrzebuje podpisu na poziomie QES?
W większości przypadków nie. Zwykłe umowy, oferty i umowy o pracę małej firmy są obsługiwane na poziomie AES. QES jest wymagany głównie w kontaktach z władzami lub w sytuacjach, gdy prawo wyraźnie tego wymaga.
Co to jest pieczęć eIDAS?
Pieczęć eIDAS (eSeal) to cyfrowa pieczęć organizacji. Potwierdza, że dokument pochodzi z określonej organizacji i nie został zmieniony. Różni się od podpisu tym, że nie wymaga działania pojedynczej osoby.
Czy EpicSign obsługuje silne uwierzytelnianie?
Tak. EpicSign obsługuje silne uwierzytelnianie, a obecnie rozwijamy obsługę dla metod uwierzytelniania w krajach bałtyckich i nordyckich oraz pieczęć eIDAS.
Czy podpis elektroniczny jest prawnie ważny w Finlandii?
Tak. Zgodnie z rozporządzeniem eIDAS, podpis elektroniczny nie może być odrzucony w sądzie wyłącznie na podstawie jego elektronicznej formy. Poziomy AES i QES zapewniają większą wartość dowodową.
Jak wybrać odpowiedni poziom podpisu?
Oceń ryzyko i wartość umowy. Dla dokumentów wewnętrznych wystarczy SES, dla umów z klientami AES, a dla dokumentów urzędowych lub umów wysokiego ryzyka QES.
Źródła
- Rozporządzenie eIDAS (UE) nr 910/2014 (EUR-Lex)
- Komisja Europejska: Czym jest eSignature – poziomy podpisu
- Komisja Europejska: Często zadawane pytania dotyczące e-podpisu – również poziomy eSeal
- Aktualizacja eIDAS: rozporządzenie (UE) 2024/1183 (EUR-Lex)
- ETSI EN 319 401 – Dostawcy Usług Zaufania, wymogi ogólne
- ENISA: Usługi zaufania – bezpieczne przejście do chmury
Wypróbuj EpicSign
Rozpocznij bezpłatne testowanie i wyślij pierwszą prośbę o podpis w mniej niż 20 sekund.
Zobacz ceny