Obowiązek stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 - od 1 lipca 2016 roku

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (eIDAS) zastąpi od dnia 1 lipca 2016 r. dyrektywę 1999/93/WE w sprawie wspólnotowych ram prawnych dla podpisów elektronicznych.

30.06.2016 | e-administracja, prawo w cyfrowym świecie, wykorzystanie informacji i zasobów

Nowa regulacja wprowadza jednolite w całej Unii Europejskiej podejście do świadczenia usług zaufania, których zadaniem jest zapewnienie bezpieczeństwa transakcji elektronicznych realizowanych w Internecie. Rozporządzenie wprowadza także powszechnie rozpoznawalne mechanizmy identyfikacji elektronicznej (eID), umożliwiające jednoznaczną weryfikację tożsamości użytkowników usług online.

Usługi zaufania odgrywają istotną rolę w zapewnianiu możliwości bezpiecznego załatwiania spraw drogą elektroniczną z wykorzystaniem dokumentów wytwarzanych i dostarczanych w postaci elektronicznej. Rozporządzenie znacznie poszerza katalog takich usług. Oprócz podpisów elektronicznych i znakowania czasem wprowadza także pieczęci elektroniczne, doręczenia elektroniczne, zabezpieczenia stron WWW oraz usługi walidacji i konserwacji pieczęci i podpisów elektronicznych.

 

Ustawa o usługach zaufania oraz identyfikacji elektronicznej

Rozporządzenie elDAS nakłada na Polskę konieczność uchylenia lub zmiany wielu aktów prawnych, gdyż terminologia obowiązujących uregulowań będzie wymagać dostosowania do nadrzędnych przepisów unijnego rozporządzenia oraz unijnych aktów delegowanych i implementujących. W celu zapewnienia porządku całego systemu funkcjonowania usług zaufania i identyfikacji elektronicznej Ministerstwo Rozwoju wspólnie z Ministerstwem Cyfryzacji przygotowało projekt ustawy o usługach zaufania oraz identyfikacji elektronicznej, która uchyli obowiązującą ustawę o podpisie elektronicznym, wprowadzi również niezbędne dostosowania terminologiczne oraz ureguluje niektóre kwestie dopuszczone do regulacji prawem krajowym (np. przeniesienie nadzoru nad usługami zaufania z Ministerstwa Rozwoju do Ministerstwa Cyfryzacji, rozszerzy nadzór nad usługami zaufania, zapewni ciągłość usługom znakowania czasem, wprowadzi mechanizm zgłaszania incydentów do nadzoru usług zaufania itp.).

 

Dostosowanie systemów informatycznych 

Oprócz nowelizacji przepisów, konieczne będzie również dostosowanie systemów informatycznych. Szczególną uwagę należy zwrócić na przepisy zobowiązujące do uznawania kwalifikowanego podpisu elektronicznego (art. 25.3), kwalifikowanej pieczęci elektronicznej (art. 35 ust. 3) oraz kwalifikowanych znaczników czasu (art. 41 ust. 3). Te trzy narzędzia wymagają uznawania, o ile pochodzą z UE z dniem 1 lipca 2016 roku.

Przedsiębiorcy i urzędy rozwijający własne aplikacje do składania i weryfikacji podpisu elektronicznego powinni dostosować je do aktów wykonawczych rozporządzenia eIDAS oraz nowych ram standaryzacyjnych (tzw. mandat M460). Konsorcjum działające na zlecenie Komisji Europejskiej  udostępniło do testów darmowe rozwiązanie SD DSS oparte na licencji open source i pozwalające na zbudowanie własnego środowiska weryfikacji podpisów z innych państw członkowskich. Można skorzystać również z komercyjnych narzędzi, tak jak w przypadku oprogramowania, do którego dostęp zapewniony jest  np. za pośrednictwem strony Elektronicznego Punktu Kontaktowego (zakładka na dole strony Sprawdź e-podpis).

Rozporządzenie eIDAS wprowadziło możliwość korzystania z usługi zaufania walidacji podpisu elektronicznego. Podmioty, które nie są w stanie samodzielnie dostosować własnych systemów do weryfikacji podpisów i pieczęci elektronicznych mogą korzystać z usługi zaufania świadczonej przez kwalifikowanego dostawcę usługi zaufania. Kwalifikowany dostawca usługi walidacji zobowiązany jest z zachowaniem bezpieczeństwa zapewnić prawidłową walidację podpisów i pieczęci elektronicznych.

Wejście nowego unijnego systemu będzie mieć wpływ na aplikacje podpisujące i weryfikujące. Jest kwestią indywidualnej oceny urzędów, czy i w jakim charakterze udostępniane przez nie systemy będą funkcjonować pod rządami rozporządzenia eIDAS.

Podpis i identyfikacja elektroniczna w usługach publicznych 

Rozporządzenie eIDAS stanowi też ważny impuls do rozwoju usług sektora publicznego. Regulacje dotyczące stosowanie podpisów elektronicznych w usługach publicznych (art. 27) zobowiązują państwa do wprowadzenia możliwości weryfikacji  podpisów zaawansowanych z innych państw, przynajmniej w formatach, które przewidziane zostały w unijnym akcie wykonawczym do Rozporządzenia eIDAS.

Do uznawania unijnych podpisów kwalifikowanych stosowane będą listy zaufania, które przekazują systemom informatycznym informacje o statusie usługodawców oraz usług. Takie listy powinny być wykorzystywane przy weryfikacji podpisów do ustalenia czy dane centrum certyfikacji świadczy usługi kwalifikowane. Ministerstwa i urzędy, które posiadają w swoich systemach mechanizmy weryfikacji podpisów elektronicznych powinny zapewnić, aby były one w stanie obsłużyć tzw. listy TSL  - Trusted Services Status List (czyli także z innych krajów członkowskich).

Kwalifikowany podpis elektroniczny oparty na kwalifikowanym certyfikacie (wydanym w jednym państwie członkowskim) jest uznawany za kwalifikowany podpis elektroniczny we wszystkich pozostałych państwach (art. 25 ust. 3). Z tego względu w polskich systemach informatycznych i aplikacjach weryfikujących konieczne będzie dodanie obsługi unijnego systemu wspomnianych list.

Wykorzystanie certyfikatów kwalifikowanych pochodzących z innych krajów Unii będzie wzrastało sukcesywnie. W związku z czym dostosowanie systemów urzędów do pełnej i automatycznej akceptacji kwalifikowanych certyfikatów wydanych przez zagraniczne centra certyfikacji powinno być adekwatne do ich wykorzystania.

Krajowy broker identyfikacji elektronicznej

Zapewnienie możliwości identyfikacji w usługach on-line dostępnych przez Internet polskim obywatelom i przedsiębiorcom, a także innym podmiotom wymaga zarówno zbudowania mechanizmów identyfikacji jak i udostępnienia usług, które mechanizmy identyfikacji będą rozpoznawały. Realizując cel jakim jest rozwój usług administracji publicznej i usług cyfrowych w Polsce, z uwzględnieniem także usług prywatnych przyjęto, że mechanizmy identyfikacji elektronicznej będą równolegle oparte o istniejące systemy identyfikacji takie jak Profil Zaufany ePUAP, systemy identyfikacji pochodzące z banków, a także innych podmiotów posiadających zidentyfikowanych użytkowników na poziomie krajowym. Taki model zapewni zrównoważony rozwój i synergię pomiędzy systemami administracji oraz komercyjnymi.

Aby móc zintegrować ze sobą różne systemy identyfikacji elektronicznej Ministerstwo Cyfryzacji przygotowuje rozwiązanie oparte o broker identyfikacji elektronicznej, którego celem będzie zapewnienie jednolitego, ustandaryzowanego punktu dostępu do usługi identyfikacji elektronicznej.  Uruchomienie tego mechanizmu umożliwi podmiotom administracji publicznej łatwą integrację z wieloma systemami identyfikacji elektronicznej i weryfikację funkcjonowania takiego rozwiązania na rynku krajowym, a docelowo realizację wymagań nałożonych prawem UE od września 2018, czyli  wykorzystanie brokera celem akceptacji notyfikowanych środków identyfikacji elektronicznej z innych krajów członkowskich.

Dzięki uruchomieniu krajowego brokera identyfikacji elektronicznej i wykorzystaniu go przez administrację publiczną do dostępu do środków identyfikacji elektronicznej, zmiany technologiczne w zakresie funkcjonowania elektronicznej identyfikacji, wprowadzanie nowych usług identyfikacji elektronicznej, a także nowe narzędzia w zakresie identyfikacji elektronicznej, nie będą wymagały zmian i dostosowania po stronie systemów administracji publicznej. Udostępnienie brokera identyfikacji elektronicznej zapewni bezpieczeństwo systemów korzystających z identyfikacji, udostępniając w jednolity sposób środki identyfikacji na różnych poziomach bezpieczeństwa (wiarygodności).

Działania państwa w obszarze eiD nastawione są na synergię z komercyjnymi systemami elektronicznej identyfikacji i wzajemnego wykorzystania potencjału i innowacyjności, nie zamkną drogi dla tworzenia komercyjnych środków eID oraz komercyjnych brokerów tożsamości.

Rozporządzenie eIDAS wprowadza określone zobowiązania dla podmiotów objętych jego zakresem, ale stanowi jednocześnie szansę dla rozwoju obszaru identyfikacji elektronicznej oraz usług zaufania. Niezbędne jest w związku z tym podjęcie dalszych działań zapewniających pełne wykorzystanie możliwości z tym związanych i wdrażanie rozwiązanych spójnych z przedmiotową regulacją, które w efekcie przyczynią się do zwiększenia poziomu wykorzystania środków komunikacji elektronicznej. Takie działania będą podejmowane przez Ministerstwo Cyfryzacji już w drugiej połowie 2016 roku. 

Polecane aktualności