Закон «Об электронной подписи»: жизнь после принятия

Закон «Об электронной подписи»: жизнь после принятия

С принятием закона 476-ФЗ в истории электронной подписи в России началась новая эпоха. Что принёс новый закон и какие вызовы ставит?

Новые требования к аккредитованным удостоверяющим центрам

Теперь удостоверяющим центрам (УЦ) необходимы собственные средства в размере не менее 1 млрд руб., если у УЦ нет разветвлённой филиальной сети, и не менее 500 млн руб., если у УЦ есть филиалы более чем в 75% субъектов РФ. Требования ужесточились в 140 и 70 раз соответственно. Увеличился и размер финансового обеспечения ответственности за убытки: теперь он равен 100 млн руб. (и дополнительно 500 тыс. руб. за каждое место осуществления лицензируемого вида деятельности), но при этом не более 200 млн руб. Ранее эти показатели составляли 30 и 100 млн руб. Кроме того, вводятся требования к деловой репутации руководителей, учредителей и самого УЦ.

Процедура аккредитации становится двухэтапной: сначала материалы рассматривает Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифра), затем специальная правительственная комиссия. Положение о такой комиссии было утверждено Постановлением Правительства РФ от 15.12.2020 № 2109 «О Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров», в частности, в целях более объективного рассмотрения вопросов об аккредитации, Постановлением предусмотрено, что 7 из 22 членов комиссии должны быть представителями АНО Цифровая экономика. Предполагается, что это будут представители бизнес-сообщества. Пока что персональный состав комиссии не утвержден.

Когда начнётся аккредитация по новым требованиям

Новые требования по аккредитации вступили в силу 1 января 2021 года. Для начала работы правительственной комиссии должны быть утверждены требования к деловой репутации руководителя и учредителей (участников) удостоверяющего центра, которыми она должна руководствоваться при принятии решения. Проект требований уже разработан Минцифрой. Если указанный документ будет утвержден в ближайшее время, то во 2 квартале можно будет проходить аккредитацию по новым требованиям. Первые УЦ, аккредитованные по новым правилам, появятся, видимо, в конце 2 – начале 3 квартала 2021 года.

В рамках прежней аккредитации УЦ имеют право выпускать сертификаты квалифицированной электронной подписи (ЭП) только до 1 июля 2021 года (эта норма была введена дополнительно во время пандемии антикризисным законом 166-ФЗ от 08.06.2020 года). Таким образом, для обеспечения непрерывности своего бизнеса и работы обслуживаемых ими систем ЭДО УЦ должны переаккредитоваться до конца первого полугодия 2021 года, и есть риск коллапса при переаккредитации во 2 квартале 2021 и нарушения сервисов по выпуску квалифицированных сертификатов как для ФЛ, так и для ЮЛ и ИП с 1 июля 2021года. Отметим, что с 1 января 2022 года истекают все квалифицированные сертификаты, которые были выданы УЦ в рамках их старых аккредитаций. Это означает, что во втором полугодии УЦ в рамках своих новых аккредитаций будут должны перевыпустить всем своим клиентам сертификаты.

Что говорит закон об облачной подписи

Облачная электронная подпись, наконец, с 1 января 2021 года попадает в правовое поле. Закон наделяет правом быть провайдерами облачной квалифицированной подписи только аккредитованные УЦ. Самого словосочетания «облачная подпись» в законе нет, однако есть право УЦ на хранение и использование по поручению владельцев ключей подписи. Чтобы воспользоваться этим правом, УЦ необходимо пройти отдельную процедуру аккредитации, в том числе, приобрести сертифицированные средства облачной подписи, и гарантировать выполнение более высокого уровня финансовой ответственности от 200 до 300 миллионов рублей.

Регулятор в области безопасности должен разработать и утвердить приказом отдельные требования к средствам облачной подписи. А вендоры средств УЦ в дополнение к уже имеющимся сертификатам ФСБ на средства УЦ и ЭП должны будут получить заключение ФСБ о соответствии средств облачной подписи новым требованиям.

Практика показывает, что на получение подобных заключений у производителей обычно уходит не менее полугода. Таким образом, если регулятор подготовит требования к средствам облачной подписи к концу апреля 2021 года (как это предусмотрено планом-графиком издания подзаконных актов к 476-ФЗ), то с учётом отдельной процедуры аккредитации для облачной подписи, скорее всего, получить статус провайдера облачной подписи УЦ смогут не ранее начала 2022 года. Открытым остается вопрос о том, что делать с 1 января 2021 года и практически до конца 2021 года владельцам систем ЭДО, у которых уже сейчас есть облачные решения, сертифицированные по старым требованиям, и внедренные до 2021 года.

Какие дистанционные методы идентификации вводит закон

Изменения закона в части идентификации вызывают ряд вопросов и выглядят шагом назад. Новые требования для квалифицированных сертификатов уже вступили в силу с 1 июля 2020 года. Идентификация заявителя при выпуске квалифицированных сертификатов ЭП может быть произведена без его личного присутствия в трёх случаях: с использованием действующей квалифицированной подписи, с помощью единой системы идентификации и аутентификации (ЕСИА) и Единой биометрической системы (ЕБС), с помощью загранпаспорта нового поколения. Второй и третий способы не могут сегодня дать массового охвата. Получается, что основным способом идентификации становится очный, что уже отрицательно сказывается на клиентском опыте: при перевыпуске сертификатов многим обладателям квалифицированной ЭП приходится совершать визит в офис УЦ.

Что касается неквалифицированных сертификатов, то новые требования по идентификации первоначально должны были вступить в силу с 1 апреля 2021 года. Законом предлагается использовать те же, что и для идентификации при выпуске квалифицированных сертификатов, дистанционные методы с помощью действующей квалифицированной ЭП, ЕБС и загранпаспорта. Дополнительно законом 183-ФЗ от 23.06.2020 предусмотрена возможность использования дистанционной идентификации с помощью ЕСИА. Другие, применяющиеся сейчас на практике, способы, например, такой классический  PKI-способ, как идентификация с помощью действующей неквалифицированная ЭП, не предусмотрены. На наш взгляд, применение данных норм к неквалифицированной ЭП является нелогичным, так как её использование регулируется соглашением сторон. Так как неквалифицированная подпись применяется в ЭДО массово (например, практически во всех интернет-банкингах), то последствия от перехода к очной идентификации здесь будут более негативными, чем в случае квалифицированной ЭП. В этой связи Комитетом Государственной Думы по финансовому рынку был запущен законопроект № 1098313-7 по расширению способов идентификации. Но в процессе рассмотрения из законопроекта исчезли дополнительные способы идентификации, и он был утвержден в редакции закона №50-ФЗ от 24 марта 2021, которым только переносится срок вступления новых требований для УНЭП с 1 апреля 2021 года на 1 января 2022 года.

Что говорит закон о доверенной третьей стороне

Доверенная третья сторона (ДТС) — новое понятие. Нормы, касающиеся ДТС, вступают в силу с 1 января 2021 года. Согласно закону, ДТС это юридические лица, которые осуществляют деятельность по проверке электронной подписи для обеспечения доверия при обмене данными и электронными документами. Аккредитация ДТС должна проводиться согласно Административному регламенту Минцифры от 30.11.2020 N 642. ДТС должны использовать средства, соответствующие требованиям Приказа ФСБ России от 4 декабря 2020 г. № 556 "Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи". К ДТС предъявляются те же требования по размеру собственных средств, что и к аккредитованным УЦ. Постановлением Правительства РФ от 15 декабря 2020 г. № 2101 для ДТС установлен размер финансовой ответственности — 300 миллионов рублей.

Наиболее актуально участие ДТС в трансграничном электронном документообороте, когда возникает потребность по проверке иностранных электронных подписей. Чтобы ДТС, УЦ или иное лицо получило право проверять иностранные электронные подписи, оно должно быть явно прописано в международном договоре, и это сильно ограничивает возможности применения института ДТС. На наш взгляд, для развития трансграничного ЭДО было бы полезно дать право участникам трансграничного документооборота самостоятельно уполномочивать в рамках своих соглашений тот или иной аккредитованный государством ДТС на проведение проверки иностранных электронных подписей.

С учётом того, что подзаконные акты для ДТС уже выпущены, то от аккредитации кандидатов в ДТС отделяет только сертификация средств ДТС. Возможно, первые сертифицированные средства ДТС и аккредитованные ДТС появятся в 2-3 квартале 2021 года.

Как закон изменяет схему подписи юридических лиц и индивидуальных предпринимателей

Во-первых, теперь выпуск квалифицированных сертификатов для ЮЛ и ИП будет осуществляться не обычными аккредитованными УЦ, а тремя государственными УЦ: ФНС России, Федерального казначейства и Банка России. Обязательным для исполнения это требование станет 1 января 2022 года.

Во-вторых, квалифицированные сертификаты ЮЛ будут выдаваться только их представителям, действующим от имени ЮЛ без доверенности.

В-третьих, обычный сотрудник ЮЛ будет должен подписывать документы своей личной квалифицированной ЭП, подтверждая свои полномочия с помощью машиночитаемой доверенности (МЧД), подписанной квалифицированной ЭП лица, действующего без доверенности. Это правило также вводится с 1 января 2022 года.

Отметим, что в случае УЦ ФНС законом предусмотрена возможность привлечения для осуществления всех действий от имени УЦ ФНС доверенных лиц (партнеров), которые должны быть аккредитованными по требованиям к облачной подписи УЦ и соответствовать дополнительным требованиям Постановления Правительства РФ от 31.12.2020 № 2409 и организационно-техническим требованиям по информационной безопасности, которые разрабатывает ФСБ России. Порядок получения статуса доверенного лица УЦ ФНС определен Постановлением Правительства РФ от 02.12.2020 № 1987. На данном этапе получение указанного статуса по новым нормам закона пока что невозможно, так как еще не утверждены требования ФСБ и нет возможности получить статус УЦ, оказывающего услуги облачной подписи. Привлечение доверенных лиц УЦ ФНС нацелено на повышение доступности услуги по выпуску сертификатов для ЮЛ и ИП, а также на возможность обеспечения прозрачного клиентского опыта для клиентов таких удостоверяющих центров. В настоящее время ФНС России проводит вместе с несколькими УЦ пилот по выполнению функций доверенных лиц (участвует в этом пилоте и ПАО Сбербанк). Что касается, Федерального Казначейства и Банка России, то для них законом не предусмотрен институт специальных доверенных лиц. Тем не менее, УЦ Федерального казначейства (УЦ ФК) создал сеть доверенных лиц, руководствуясь базовыми нормами закона. Отношения с такими доверенными лицами и требования к ним регулируются прямыми соглашениями с УЦ ФК. Сеть доверенных лиц УЦ ФК состоит только из государственных УЦ. Таким образом, ЮЛ и ИП, подведомственные Федеральному казначейству и Банку России смогут получить квалифицированные сертификаты ЭП только в государственных УЦ.

Что должно быть сделано для того, чтобы новая схема заработала

Во-первых, должна быть завершена разработка недостающих подзаконных актов, в том числе, касающихся МЧД. Во-вторых, Минцифры и другие государственные и муниципальные организаторы ЭДО должны будут на основе нормативных требований к МЧД разработать формы МЧД. В-третьих, государственные и негосударственные операторы систем ЭДО должны будут внедрить в своих системах поддержку создания, использования и отзыва МЧД. И, напомним, что все это надо сделать до 1 января 2022 года (рис. 1).

Рисунок 1. Дорожная карта изменения закона 63-ФЗ «Об электронной подписи»

Некоторые советы для участников выпуска квалифицированных сертификатов и использования квалифицированной ЭП

Советы для УЦ

УЦ необходимо до конца 1-ого полугодия 2021 получить новую аккредитацию.

Во 2-ом полугодии 2021 года, уже в рамках новой аккредитации, необходимо провести перевыпуск сертификатов своим клиентам ФЛ и ЮЛ, чтобы новый 2022 год они встретили с сертификатами, которые не прекратят свое действие 1 января 2022 года.

Если УЦ использует облачную подпись, то ему дополнительно будет необходимо получить, как только это будет возможно, аккредитацию провайдера услуг облачной подписи.

Кроме того, УЦ должен уже сейчас перестроить (если еще не перестроил) свои процессы выпуска квалифицированных сертификатов ЭП в части новых требований по идентификации (перейти, там где это требует закон, на очную идентификацию). Аналогичные изменения в процессах в части идентификации необходимо внедрить к 1 января 2022 года и для неквалифицированной ЭП.

Советы организаторам ЭДО

Необходимо убедиться в том, УЦ, который выпускает квалифицированные сертификаты ЭП для ЭДО, планирует провести переаккредитацию до 1 июля 2021 года. Если у УЦ нет таких планов, то следует срочно подключиться к другому УЦ, который планирует остаться на рынке.

Чтобы смягчить последствия запрета на выпуск сертификатов по старым аккредитациям с 1 июля 2021 года (например, на случай, если УЦ не успеет вовремя переаккредитоваться), желательно до указанной даты перевыпустить сертификаты клиентам, у которых они истекают во 2-м полугодии 2021 года.

Необходимо запланировать во 2-ом полугодии 2021 года миграцию всех пользователей системы ЭДО на новые сертификаты. При этом лицам, действующим от имени ЮЛ без доверенности (единоличным исполнительным органам – ЕИО) желательно выпустить сертификаты ЭП уже в УЦ ФНС (через инспекции ФНС, либо через одно из Доверенных лиц ФНС), либо в УЦ ФК или в УЦ Банка России (если ЮЛ подведомственно данным УЦ), а сотрудникам ЮЛ, не уполномоченным действовать от имени ЮЛ без доверенности, можно выпустить по два сертификата – один ещё на ЮЛ, а второй уже на самого сотрудника, как физлицо. Тогда ЕИО уже в 2021 году сможет начать пользоваться новой ЭП и бесшовно пересечет 1 января 2022 года. Что касается сотрудника ЮЛ, то он может до конца 2021 года пользоваться старой подписью, а с 1 января 2022 года сможет начать пользоваться своей новой подписью физлица. Если же по какой-то причине внедрение МЧД 1 января 2022 года не случится (например, будет перенесено из-за задержки с разработкой подзаконных актов), то сотрудник ЮЛ сможет продолжить пользоваться своей ЭП, выпущенной на ЮЛ, так как её сертификат будет выпущен уже по новой аккредитации и не истечет 1 января 2022 года.

Конечно, необходимо внедрить к 1 января 2022 года в системе ЭДО использование МЧД. Необходимо провести, как техническую доработку системы ЭДО, так и внедрение процессов создания, использования и отзыва МЧД пользователями системы ЭДО.

Советы для юридических лиц

ЕИО ЮЛ необходимо запланировать получение до 1 января 2022 года квалифицированного сертификата ЭП в УЦ ФНС (либо через инспекции ФНС, либо через Доверенные лица УЦ ФНС). При этом ЕИО ЮЛ должен быть готов к тому, что квалифицированный сертификат у него будет единственным (возможно  такое требование будет внедрено УЦ ФНС по соображениям безопасности).

Сотрудники ЮЛ, которые используют квалифицированную ЭП, должны получить до 1 января 2022 года квалифицированные сертификаты ЭП как физлица, и должны быть готовы к использованию своих личных квалифицированных ЭП в служебных целях. В юрлице необходимо внедрить процесс безопасного использования и хранения  личных ЭП сотрудников. Если ЮЛ использует квалифицированную ЭП для автоматического создания электронной подписи, то компания должна запланировать во втором полугодии 2021 года получение в УЦ ФНС сертификата ЭП и для таких целей тоже.

Если же юрлицо подведомственно в части выпуска сертификатов Федеральному казначейству (согласно Постановлению Правительства РФ от 10.07.2020 № 1018) или Банку России, то тогда ЕИО юрлица должен получить сертификат в УЦ ФК или в УЦ Банка России соответственно.

В компании также необходимо внедрить процесс подписания МЧД для сотрудников ЮЛ квалифицированной подписью ЕИО ЮЛ. Соответственно, ЕИО ЮЛ должен быть готов к тому, что теперь у него есть новая функция по подписанию МЧД своим сотрудникам.

Открытые вопросы нового закона

Во-первых, закон ухудшает клиентский опыт в части идентификации, так как он по своей сути исходит из того, что основной способ идентификации это очная идентификация. На наш взгляд, необходимо рассматривать в качестве основного способа удалённую (дистанционную), а не очную идентификацию. Чтобы это произошло, необходимо разрешить массовые методы удалённой идентификации. Таким массовым методом может быть многофакторная идентификация, в том числе с использованием банковских систем и других систем, использующихся для идентификации в рамках 115-ФЗ. Целесообразно расширить перечень способов идентификации описанными выше способами и предусмотреть разработку новых многофакторных способов. Что касается неквалифицированной подписи, то необходимо разрешить для неё использование и действующей УНЭП, и ПЭП, полученной после очной идентификации, и других методов идентификации, определенных правилами УЦ.

Во-вторых, пока что очень много неопределенности в вопросах внедрения МЧД. В частности, необходимо предусмотреть возможность автоматизированного создания МЧД, так как в больших организациях с тысячами сотрудников невозможно вручную подписывать МЧД сотрудников ЭП руководителя организации.

В-третьих, необходимо решить вопросы о классах средств защиты, которые должны применяться для обеспечения безопасности применения облачной подписи. Предъявление слишком высоких классов защиты к клиентским компонентам облачной подписи  может стать стоп-фактором для внедрения облачной подписи, так как при завышении требований облачная подпись станет просто неудобна и неинтересна потребителям. Также вызывают определенные вопросы с точки зрения обоснованности и некоторые проектируемые в подзаконном акте требования по информационной безопасности к Доверенным лицам УЦ ФНС.

Выводы

Изменения закона 63-ФЗ «Об электронной подписи» однозначно являются новым словом в области формирования и использования электронной подписи. Ряд положений очень нужен и полезен для бизнеса. К ним относятся, например, положения о технологии облачной подписи и институте доверенной третьей стороны.

Вносимые в закон изменения потребуют существенной перестройки процессов и систем ЭДО у юридических лиц и индивидуальных предпринимателей. Повысится роль и проникновение электронной подписи у граждан, так как их личная ЭП теперь будет применяться не только для их персональных операций, но и для операций, проводимых в интересах компании-работодателя. Закон должен повысить ответственность УЦ и снизить уровень мошенничества с электронной подписью. Вместе с тем, в законе есть и серьёзная проблема, связанная с использованием в качестве основного способа идентификации её очной формы,  неоправданное применение требований по идентификации к неквалифицированной подписи, а также другие открытые вопросы.

Считаем, что для того, чтобы закон принес больше пользы, чем вреда, необходимо в течение 2021 года совместными усилиями бизнеса и государства закрыть озвученные открытые вопросы. Сбербанк уже работает по ним и планирует продолжить такую совместную работу.