21 июля 2023 года Государственная Дума в третьем чтении приняла поправки (законопроект № 216859-8) в Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи». Изменения коснулись целого ряда вопросов, среди них – срок действия квалифицированных сертификатов, владельцами которых являются сотрудники организаций (не руководители юридических лиц). Рассматривается вариант предоставить сотруднику возможность использовать сертификат юрлица до 31 августа 2024 года при условии, что он не заканчивается раньше заявленного срока. Это позволяет обойтись на данный период без машиночитаемых доверенностей. Помимо этого, поправки предусматривают признание иностранной подписи на основании соглашения между участниками сделки и появление двенадцатилетних, «длинных», сертификатов электронной подписи и еще целый ряд важных новелл. Мы поговорили с экспертами Ассоциации «РОСЭУ» о нововведениях и разобрались, как это отразится на отрасли электронных услуг.
Машиночитаемые доверенности
Основное внимание пользователей и представителей экспертных кругов обращено на продление использования квалифицированных сертификатов сотрудников до 31 августа 2024 года. Это не означает очередной перенос обязательного применения машиночитаемых доверенностей (МЧД) с 1 сентября 2023 года, однако изменения позволят компаниям перейти на новую схему работы более плавно. Сообщество разработчиков и операторов электронного документооборота (ЭДО) однозначно поддерживает предложенную норму.
«Вероятно, это станет основным выходом для владельцев квалифицированных сертификатов ключа проверки электронной подписи, поскольку пока можно говорить только о частичной готовности информационных систем к использованию МЧД. Практически это означает, что после вступления в силу поправок такие владельцы получат новые сертификаты сотрудников и будут их использовать следующий год без МЧД», – считает эксперт Ассоциации «РОСЭУ», советник – начальник удостоверяющего центра ООО «Газинформсервис» Сергей Кирюшкин.
«Поправки завершают цикл бесконечных стрессовых точек и переходных периодов по использованию МЧД. Это смягчит переход на МЧД для компаний с относительно небольшим числом сотрудников, участвующих в ЭДО и небольшой текучкой кадров. Те же компании, в которых большое количество сотрудников участвует в ЭДО, переходный период фактически закончится 1 сентября 2023 года, так как на новых сотрудников потребуется формировать сертификат физического лица и МЧД», – отмечает эксперт Ассоциации «РОСЭУ», Product Owner ELMA365 ECM Раис Ахкямов.
Трансграничный ЭДО
Второй по масштабу воздействия на участников электронного документооборота является поправка, касающаяся порядка признания иностранных подписей на основании соглашений между участниками электронного взаимодействия. Таким образом снимается основной барьер для трансграничного юридически значимого ЭДО.
Операторы ЭДО и удостоверяющие центры (УЦ) проявляли инициативу по запуску пилотных проектов в области трансграничного ЭДО. По мнению Раиса Ахкямова, это крайне важная норма, которую участники рынка ждали на законодательном уровне. Ранее некоторые компании уже пользовались таким обменом без законодательной базы. Появление нормы будет способствовать развитию международного товарообмена.
Успешные эксперименты в этом направлении уже есть. Норма о признании иностранной подписи на основании соглашения между участниками сделки поможет в тиражировании наработанной практики. Так, например, СКБ Контур запустил пилот по обмену документами с Китаем, у ряда операторов ЭДО при участии ФНС России и тестовом использовании сервисов доверенной третьей стороны есть широкая практика пилотных проектов с Беларусью, Казахстаном, Арменией, тестировалось взаимодействие со странами Европейского союза, Южной Кореей, Азербайджаном.
«Помимо привычных инструментов, в которых каждая сторона сделки использует свой формат электронных подписей, поправка позволит значительно сократить затраты бизнеса на процедуру согласования о признании электронных документов, снимет юридические риски легитимности документов и положительно скажется на развитии внешнеэкономической активности компаний РФ. Кроме того, технология трансграничного документооборота позволит сократить время обмена юридически значимыми документами с нескольких месяцев до нескольких часов», – подчеркнул эксперт Ассоциации «РОСЭУ», руководитель направления трансграничного ЭДО «СКБ Контур» Алексей Шильников.
Неквалифицированная электронная подпись
Законопроект позволяет получать неквалифицированный сертификат с использованием действующей неквалифицированной электронной подписью (НЭП) того же УЦ или НЭП Госключа. Практика удостоверяющих центров показывает растущий спрос на использование НЭП во внутренних и внешних процессах ЭДО клиентов.
«Неквалифицированная электронная подпись при должном подходе к выпуску и использованию может обеспечить сопоставимый с квалифицированной электронной подписью уровень защиты в некоторых сценариях применения при меньших затратах. Возможность получать неквалифицированный сертификат с использованием действующей НЭП того же УЦ или НЭП Госключа позволит компаниям сократить расходы, упростить процедуру получения сертификатов для текущих и новых сотрудников компании, обеспечить непрерывность процессов ЭДО», – комментирует эксперт Ассоциации «РОСЭУ», заместитель директора по технологическим вопросам удостоверяющего центра АО "ПФ «СКБ Контур» Дмитрий Покрышкин.
Возможность выпуска сертификатов квалифицированной электронной подписи для руководителей представительств иностранных организаций в ФНС России позволит и дальше развивать ЭДО. Эффект от такой возможности скажется и на сокращении расходов иностранных филиалов, и на своевременном представлении отчетности в контролирующие органы.
«Длинные» сертификаты
Заслуживает пристального внимания норма, согласно которой аккредитованные удостоверяющие центры теперь обязаны выдавать квалифицированный сертификат со сроком действия не менее 12 лет при соответствующем обращении заявителя и технической возможности используемого средства электронной подписи.
«Поправка очень неоднозначная. Мы много спорили, обращались от имени Ассоциации «РОСЭУ» в Госдуму, пытались объяснить, что эта поправка не решает целевую задачу – длительное архивное хранение документов с электронной подписью, но создает много проблем и пользователям и удостоверяющим центрам. Полагаю, что широкого применения такая практика не получит. Ожидаем от законодателя закрепления усовершенствованных форматов электронных документов, в которых обязательно применение меток доверенного времени. Именно такой подход позволит решить задачу длительного архивного хранения документов с электронной подписью системно», – прокомментировал Сергей Кирюшкин.
В июне 2023 года Ассоциация «РОСЭУ» направила письменное обращение в адрес ответственного комитета Госдумы по данному законопроекту на имя Анатолия Аксакова, Председателя Комитета по финансовому рынку, в котором содержался ряд предложений. Так, Ассоциация высказала основные замечания к законопроекту, а также предложила осуществлять проверку электронной подписи при архивном хранении документов с использованием уже давно действующих штатных TSP и OCSP служб удостоверяющих центров, что не требует увеличения срока действия сертификата ключа проверки электронной подписи для конечного пользователя. Комитет перенаправил данное обращение в адрес Минцифры России. В ответе ведомства сообщалось, что действующее законодательство в сфере электронной подписи уже позволяет создавать и выдавать квалифицированные сертификаты с указанным сроком действия.
По мнению эксперта Ассоциации «РОСЭУ», советника генерального директора «СКБ Контур» Натальи Никитиной, появление сертификатов со сроком действия 12 лет потребует значительных затрат на адаптацию всех информационных систем, в которых применяется квалифицированная электронная подпись, а также на обучение и информирование конечных пользователей – владельцев сертификатов.
«Требование обязательного уничтожения закрытого ключа после истечения срока действия также приведет к необходимости дорабатывать те информационные системы, в которых документы могут храниться в зашифрованном виде. После уничтожения ключей расшифровать документы будет невозможно, поэтому придется либо хранить данные в открытом виде, либо организовать процесс перешифрования документов», – подчеркнула Наталья Никитина.
Как отмечает Раис Ахкямов, остается ряд незакрытых вопросов:
1) Что делать с уже существующими документами, подписанными КЭП? Большинство этих документов имеют срок действия сертификата до 1 года.
2) Данная норма требует обновления программного обеспечения удостоверяющих центров, так как не любое программное обеспечение УЦ позволяет выпускать КЭП с таким сроком действия.
3) Где гарантия, что через 12 лет криптостойкость алгоритмов, используемых при подписании, будет надежно защищать электронные подписи под документами, подписанными такими сертификатами, от подделки?
Деятельность УЦ
Также новые законодательные нормы касаются изменений требований к деятельности удостоверяющих центров. Неожиданным и необъяснимым является очередное поднятие минимального размера собственных средств (капитала) аккредитованного УЦ в два раза, что должно составить теперь не менее, чем два миллиарда рублей.
Тренд в сторону монополизации рынка услуг удостоверяющих центров не соответствует декларациям законодателей о том, что поправки принимаются в целях повышения качества услуг. «Об этом много спорили при принятии поправок в 2019 году. И вот, через 4 года новое повышение в два раза. Это, потенциально, может привести к сокращению количества аккредитованных УЦ, снижению конкуренции, переходу услуг УЦ к крупным компаниям, для которых этот сервис не является профильным (банки, подведомственные организации, операторы связи...) и, как следствие, снижению качества услуг, снижению темпов развития и появления новых сервисов на основе инфраструктуры открытых ключей», – комментирует изменения Сергей Кирюшкин.
Подводя итоги законодательных нововведений, можно утверждать, что в экспертных кругах восприятие поправок скорее неоднозначное. В плюсе от данных новелл оказывается бизнес, заинтересованный в трансграничном ЭДО и обеспечении юридической значимости для документов со сроком хранения до 10 лет. Поправки дают возможность хотя бы немного обкатать технические решения и процессы прежде, чем масштабировать их на весь рынок. Также несомненным плюсом при внедрении МЧД является снижение издержек на ЭДО, что в свою очередь поддерживает и развивает ФНС России.
Однако серьезным изменением и причиной споров остается ужесточение требований к удостоверяющим центрам, что может привести к достаточно массовому отзыву аккредитаций и сокращению количества аккредитованных УЦ, а значит и к увеличению стоимости их услуг.
