facebook LinkedIN LinkedIN - follow
IT SYSTEMS 9/2015 , ITSM (ITIL) - Řízení IT , IT Security

eIDAS: pád digitální zdi v Evropě

Komplexní svět eIDAS (2. díl)



DeepviewVítejte u pokračování série článků o nařízení eIDAS, v rámci kterého se díváme na nařízení eIDAS z nových úhlů pohledu a hledáme odpovědi na dosud nezodpovězené otázky související s tímto nařízením. V minulém díle jsme se na předmět nařízení eIDAS, tj. elektronickou identifikaci (eID), elektronický podpis (eSignature), elektronické doporučené doručování (eDelivery) a elektronické dokumenty (eDocument), podívali z právního, strategického, praktického a standardizačního pohledu a ukázali jsme si, že nařízení eIDAS samo o sobě je pouze právním uchopením těchto oblastí. Také jsme identifikovali související evropské projekty a standardizační aktivity. Článek najdete pod názvem „Nařízení eIDAS perspektivou slona“ v minulém čísle IT Systems 7-8/2015 v rámci přílohy „IT řešení pro veřejný sektor a zdravotnictví 2015“ nebo na stránkách SystemOnLine.cz. V dnešním druhém článku série si projdeme patnáct let historie postupného formování tohoto nařízení a společně se pokusíme identifikovat, jaké aktivity a myšlenky vedly k jeho vzniku.


Do roku 2010 se zjišťovalo, co je špatně se směrnicí 1999/93/ES

Jako výchozí bod příběhu můžeme využít rok 1999. V tomto roce byla vydána směrnice 1999/93/ES, předchůdce nařízení eIDAS, která právně ukotvila používání elektronických podpisů v EU a která bude k 1. červenci 2016 nahrazena právě nařízením eIDAS. Směrnice samotná však měla řadu nedostatků. Nezajišťovala dostatečnou míru interoperability elektronických podpisů (tj. schopnosti spolupráce při používání a ověřování el. podpisů různých vydavatelů) jak na národní, tak na mezinárodní úrovni. Pro jednotlivé aplikace využívající elektronické podpisy bylo mnohdy nutné použít certifikáty vždy pouze od jmenovitě určené certifikační autority a zároveň elektronické podpisy různých vydavatelů byly v nekompatibilních formátech. Na základě směrnice si členské státy nastavily odlišné principy a úroveň dohledu nad poskytovateli služeb vytvářejících důvěry, což mělo opět negativní dopady na ochotu členských států důvěřovat poskytovatelům z jiného členského státu.

Ve jménu interoperability

Interoperabilita je alfa a omega jednotného digitálního trhu v EU. Zajišťuje, že jednotlivá technická řešení (tj. certifikáty, podpisy, identifikační nástroje), procesní postupy (tj. důvěryhodnost a transparentnost poskytovatelů, akceptace elektronických prostředků) a právní prostředí (tj. závaznost, vymahatelnost, rovnocennost s fyzickými prostředky - vlastnoručním podpisem a dokladem totožnosti) členských států jsou konzistentní a vzájemně kompatibilní.

Jinými slovy interoperabilita v jednotné digitální Evropě znamená, že Španěl může díky svému národnímu elektronickému ID vstoupit do německého informačního systému a stáhnout si potřebný dokument, pomocí italského softwaru pro vytváření elektronických podpisů ho podepsat svým elektronickým podpisem založeným na certifikátu vydaném českou certifikační autoritou a dokument zaslat švédskými datovými schránkami řeckému orgánu veřejné správy.

Směrnice 1999/93/ES zároveň nezajišťovala dostatečnou právní jistotu při elektronické identifikaci subjektů a používání elektronických podpisů a to zejména v případě zapojení subjektů z různých členských států. V neposlední řadě byla také podceněna propagace a komunikace významu interoperability na evropské úrovni. Směrnice tak vlastně nenaplnila svůj účel – nezajistila elektronické propojení členských států.

To jsou závěry studií, které zkoumaly implementaci a dopady směrnice 1999/93/ES. Mezi ty nejvýznamnější patřila studie „The legal and market aspects of electronic signatures“ z roku 2003, kterou si nechala zpracovat Evropská komise za účelem analýzy stavu implementace směrnice 1999/93/ES a stavu právního ukotvení elektronického podpisu v národních právních řádech členských států a analýzy praktické a komerční možnosti využití elektronického podpisu, a to zejména s ohledem na použité technologie, využité standardy a interoperabilitu. V průběhu času následovala řada dalších studií, které dospěly k podobným závěrům – např. studie „Preliminary Study on Mutual Recognition of eSignatures for eGovernment applications“ nebo „Study on the standardisation aspects of e-signatures“.

V reakci na závěry studií vypracovala Evropská komise v roce 2008 „Akční plán pro elektronické podpisy a elektronickou identifikaci zaměřený na usnadnění poskytování přeshraničních veřejných služeb v rámci jednotného trhu“. V akčním plánu se skloňovaly převážně dvě zásadní témata: přeshraniční interoperabilita elektronických podpisů a nově také elektronické identifikace – která dnes tvoří polovinu nařízení eIDAS.

Pro podporu akčního plánu zadala Evropská komise studii „CROBIES“ (Study on Cross-Border Interoperability of eSignatures), která měla připravit obecnou strategii v oblasti přeshraničního využívání kvalifikovaných a zaručených elektronických podpisů v rámci existujícího právního rámce určeného směrnicí 1999/93/ES. Nicméně doporučením studie bylo mimo jiné právě přepracování existujícího právního rámce, standardizačního rámce a rámce „pro vytváření důvěry“ spojených se směrnicí 1999/93/ES.

Doporučení studie CROBIES tak vedla k zadání standardizačního mandátu M460, jehož cílem bylo přepracovat standardy v oblasti elektronického podpisu a souvisejících služeb. Očekává se, že na tyto standardy budou odkazovat prováděcí akty k nařízení eIDAS. Studie také přispěla k definování aktivit, které přímo vedly k vytvoření nařízení eIDAS. Tyto aktivity se staly součástí strategie EU „Evropa 2020“.

Po roce 2010 se vymyslelo, jak to udělat lépe

V roce 2010 spatřila světlo světa evropská strategie Evropa 2020, která představovala v historii nařízení eIDAS významný milník a kterou můžeme považovat za první novodobý oficiální impulz k jeho vzniku. Strategie se skládá ze sedmi inciativ, přičemž pro náš příběh je důležitá iniciativa „Digital agenda for Europe“. Ta je postavena na sedmi pilířích, v rámci kterých je v období 2010 až 2020 realizováno celkem na 132 různých aktivit. Dvě z těchto aktivit lze označit jak původce nařízení eIDAS. V rámci prvního pilíře s názvem „Digital Single Market“ jde o aktivitu č. 8: „Revize směrnice o elektronických podpisech“ (tj. směrnice 1999/93/ES) a v rámci sedmého pilíře nazvaného „ICT-enabled benefits for EU society“ o aktivitu č. 83: „Návrh rozhodnutí Evropského parlamentu a rady o vzájemném uznávání e-ID“.

Mezi stanovením strategie a jejích dílčích akcí a zveřejněním nařízení eIDAS v Úředním věstníku Evropské unie bylo ovšem nutné provést jeden zásadní krok. Navrhnout vlastní obsah nového nařízení. A právě za tímto účelem zadala Evropská komise v roce 2010 zpracování studie IAS 1, plným názvem „Feasibility study on an electronic Identification, Authentication and Signature policy“. Předmětem studie bylo navrhnout a ověřit realizovatelnost komplexního evropského legislativního rámce, který by zajistil hladký průběh elektronických transakcí v EU. Cílem bylo jednak rozhodnout zda vůbec a případně jak by takový rámec mohl být vytvořen, a také jak by mohl případně vypadat po právní a technické stránce.

Studie byla zpracována v letech 2011 a 2012 týmem expertů z DLA PIPER, SEALED, time.lex, PwC a SGA a jejím výstupem (samozřejmě kromě studie samotné, kterou lze zájemcům o prohloubení znalostí a pochopení širšího kontextu nařízení eIDAS vřele doporučit) byl Návrh nařízení Evropského parlamentu a rady o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (tj. draft nařízení eIDAS) předložený v roce 2012 Evropskou komisí.

V roce 2014 přichází na svět nařízení eIDAS

Návrh Evropské komise z roku 2012 byl projednán Evropskou radou a Evropským parlamentem. Následně byl upravený návrh nařízení v dubnu 2014 přijat Evropským parlamentem (pro přijetí návrhu se vyslovilo 534 poslanců, 73 bylo proti a 7 se zdrželo hlasování). V červenci 2014 ho přijala také Evropská rada a dne 28. srpna 2014 bylo nařízení eIDAS zveřejněno v Úředním věstníku Evropské unie. Nařízení eIDAS vstoupilo v platnost 17. září 2014.

Tím došlo k základnímu legislativnímu ukotvení jednotné a centralizované právní úpravy oblastí eID, eSignature, eDelivery a eDocument v EU. eIDAS se tak stal součástí právních řádů členských zemí a čímž bylo zamezeno riziku různých implementací na národní úrovni, jako tomu bylo v případě směrnice 1999/93/ES.

V říjnu 2014 byla k příležitosti vydání nařízení eIDAS Evropskou komisí zorganizována úvodní „ceremonie“, v rámci které nařízení eIDAS symbolicky elektronicky podepsali za Evropský parlament členka Evropského parlamentu a zpravodajka za nařízení eIDAS Marita Ulvskog a za Evropskou komisi první náměstek italského ministerstva hospodářského rozvoje a zástupce předsednictví Evropské komise Antonello Giacomelli. Pro věrné fanoušky nařízení eIDAS a „fajnšmekry“ je tato elektronicky podepsaná verze nařízení eIDAS dostupná na stránkách Evropské komise.

Tímto ukončíme naši krátkou exkurzi do historie nařízení eIDAS a pozadí jeho vzniku. Doufáme, že jste se dozvěděli řadu zajímavých informací a získali spoustu podnětů k prostudování.

Těšíme se na vás v dalším připravovaném dílu seriálu, ve kterém se podíváme na to, co se okolo nařízení eIDAS dělo od jeho vydání a jaké zajímavé myšlenky a koncepty začaly na základě tohoto nařízení vznikat.
Michal Ureš, Deepview Michal Ureš
Autor článku pracuje ve společnosti Deepview, která se odborně zabývá přípravou a implementací nařízení eIDAS a poskytuje v této oblasti poradenské služby.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.