Unijne rozporządzenie w sprawie identyfikacji elektronicznej i usług zaufania (eIDAS)

W lipcu 2016 r. rozporządzenie w sprawie identyfikacji elektronicznej i usług zaufania, powszechnie znane jako eIDAS, zastąpiło w 28 krajach członkowskich obowiązującą przez ostatnie 17 lat dyrektywę 1999/93/EC o podpisie elektronicznym.
Nowa regulacja ma stymulować wzrost gospodarczy poprzez zwiększenie zaufania do transakcji elektronicznych i jednolitego europejskiego rynku cyfrowego. Przejrzystość i najwyższe standardy bezpieczeństwa są podstawą stworzenia takiego zaufanego środowiska.

Czym jest elektroniczna identyfikacja?

Przyjęte w czerwcu 2014 r. rozporządzeni N°910/2014 w sprawie identyfikacji elektronicznej (eID) i usług (eTS) było kamieniem milowym na drodze tworzenia dostępu do usług publicznych i bezpiecznych transakcji internetowych ponad granicami państw członkowskich UE. Tzw. rozporządzenie eIDAS ma ułatwiać interakcję elektroniczną pomiędzy obywatelami, przedsiębiorstwami (w szczególności małymi i średnimi) oraz organami administracji publicznej – a czynić to będzie na dwa sposoby:

  • krajowe środki identyfikacji elektronicznej mają umożliwiać dostęp do usług publicznych w innych krajach UE, które wprowadziły system eID, a krajowe mechanizmy identyfikacji muszą być kompatybilne, tak aby stworzyć na obszarze wspólnego rynku całkowicie interoperacyjny mechanizm potwierdzania tożsamości,
  • elektroniczne usługi zaufania (eTS), takie jak podpis elektroniczny (również serwerowy), pieczęć elektroniczna, znaczniki czasu, usługi uwierzytelniania dokumentów i witryn internetowych będą działały ponad granicami i otrzymają ten sam status prawny, co dokumenty papierowe.

Elektroniczne usługi zaufania składają się z [eIDAS art. 3 (16)]

  • tworzenie, weryfikację i walidację podpisów elektronicznych, pieczęci elektronicznych lub elektronicznych znaczników czasu, usług rejestrowanego doręczenia elektronicznego oraz certyfikatów powiązanych z tymi usługami; lub
  • tworzenie, weryfikację i walidację certyfikatów uwierzytelniania witryn internetowych; lub
  • konserwację elektronicznych podpisów, pieczęci lub certyfikatów powiązanych z tymi usługami.

Po co?

W praktyce oznacza to ułatwienia i jeszcze większe bezpieczeństwo: składania elektronicznych deklaracji podatkowych, dokonywania płatności mobilnych i internetowych, korzystania z elektronicznych usług opieki zdrowotnej, zamówień publicznych, otwierania online rachunków bankowych lub zakładania firm – ze wszystkimi następstwami prawnymi w każdym kraju członkowskim. A to oczywiście tylko nieliczne przykłady.

Kalendarz …

Te daty dają obraz już zakończonych etapów w procesie unifikacji identyfikacji elektronicznej na wspólnym rynku oraz pokazują kolejne kroki wdrażania eIDAS i ich konsekwencje.

Od czerwca 2012 r. do czerwca 2014 r. członkowie Parlamentu Europejskiego, Komisji Europejskiej i Rady wypracowali porozumienie w sprawie identyfikacji elektronicznej i zdecydowali się przyjąć nowe rozporządzenie eIDAS (3 kwietnia 2014 r. uchwalone przez PE i 23 czerwca 2014 r. przez Radę).

… wdrożenia

Dziś określone w rozporządzeniu mechanizmy muszą zostać wdrożone, by krajowe systemy identyfikacji elektronicznej stały się kompatybilne, tworząc jeden interpretacyjny system.

Od lipca 2015 r. państwa członkowskie mogą zgłaszać swoje krajowe systemy eID do włączenia w system europejski, pod warunkiem, że spełnią stosowne kryteria. Następnie poszczególne kraje będą musiały zaakceptować dostęp do ich własnych usług publicznych za pomocą identyfikacji w międzynarodowym mechanizmie.
Walidacja e-podpisów, e-pieczęci itp. nie będzie przy tym pozostawiała wątpliwości ze względu na jasno określony status dostarczyciela usługi czy samej usługi – kwalifikowany (uwzględniony na zaufanej liście) bądź nie.

Użytkownicy określonej usługi zaufania – obywatele, przedsiębiorstwa czy instytucje publiczne – skorzystają z ułatwień transgranicznej eID, o ile dana usługa i jej dostawca znajdą się na jednej z krajowych list zaufania. Europejski znak zaufania będzie mógł być używany przez dostawców usług jako świadectwo ich rzetelności i wiarygodności.

Ogromne znaczenie ma data 1 lipca 2016 r., wtedy bowiem dawna dyrektywa regulująca kwestię podpisu elektronicznego została zastąpiona przez nowe rozporządzenie eIDAS, obowiązujące bezpośrednio w 28 krajach członkowskich UE.

Zagwarantowano przy tym okres przejściowy [eIDAS art. 51]:

  • certyfikaty wydane osobom fizycznym na mocy dyrektywy w sprawie podpisu elektronicznego nie tracą ważności do czasu ich wygaśnięcia,
  • podmioty świadczące usługi certyfikacyjne mają rok na dostarczenie raportu oceny zgodności i w konsekwencji są uznawane za dostawców usług zaufania na mocy niniejszego rozporządzenia.

Przed nami wyzwania

Największe wyzwanie stanowi duża część usług zaufania poprzednio objętych regulacjami na poziomie krajowym, ponieważ poprzednia unijna dyrektywa skupiała się wyłącznie na certyfikatach do podpisu elektronicznego. To zaowocowało powstaniem systemów bardzo zróżnicowanych pod względem wymagań zgodności, statusu prawnego i walidacji usług zaufania.

Co z tego wynika?

Kluczem do zapewnienia przejrzystości i bezpieczeństwa środowiska transgranicznych transakcji internetowych staje się powszechne wprowadzenie zabezpieczeń technicznych i rozwiązań ochrony danych oraz standardów prywatności.
Chcąc zapewnić bezpieczeństwo swoich operacji i usług, dostawcy usług zaufania mogą skorzystać z modułów kryptograficznych, używanych jako narzędzia do generowania kwalifikowanego podpisu elektronicznego – takich jak kartowe lub sprzętowe moduły bezpieczeństwa (HSM).

Zgodność urządzeń do generowania kwalifikowanego podpisu elektronicznego z wymogami [UE] (…) będzie weryfikowana przez odpowiednie organy publiczne bądź prywatne wyznaczone przez państwa członkowskie [eIDAS art. 30 i 31). W tej chwili wciąż trwa proces definiowania szczegółowych wymagań technicznych.

Jako producent sprzętowych modułów bezpieczeństwa HSM firma Utimaco zaangażowała się w działania w obu obszarach: definiowania wymagań technicznych (poprzez udział w pracach grupy roboczej CEN TC 224 WG17) i osiągnięcia zgodności z wymaganiami roporządzenia eIDAS. Certyfikacja według wspólnych kryteriów PP-5 (obecnie mająca status certyfikacji wymaganej przez eIDAS) serwera Utimaco wyprzedza zmiany wprowadzane przez rozporządzenia, wychodząc naprzeciw związanym z nimi oczekiwaniom partnerów i klientów.