Hlavní strana -> Časopis IT Systems -> Rok 2015 -> IT řešení pro veřejný sektor a zdravotnictví -> Nařízení eIDAS perspektivou slona
IT řešení pro veřejný sektor a zdravotnictví , Veřejný sektor a zdravotnictví

Nařízení eIDAS perspektivou slona

Komplexní svět eIDAS (1. díl)

DeepviewO nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem tento seriál hovořit nebude, je právě samotné nařízení eIDAS. Pokud vám toto nařízení zatím nic neříká, nezoufejte. Základní otázky ohledně „nařízení eIDAS (Co? Proč? A kdy?)“ vám zodpoví veřejně dostupná prezentace odboru eGovernmentu MVČR. V rámci tohoto seriálu se podíváme na nařízení eIDAS z nových úhlů pohledu a pokusíme se najít odpovědi na několik nezodpovězených otázek: Jak eIDAS zapadá do kontextu strategie Evropské komise v oblasti jednotného digitálního trhu? Odkud se nařízení vzalo? A co se bude dít dále?


Začneme tím, že se na nařízení eIDAS podíváme pěkně s odstupem. Tak, abychom viděli více než jen nařízení č. 910/2014. Tak, abychom viděli celého slona.

Na úvod seriálu odbočíme k oboru, který nemá s IT a evropským právním řádem příliš společného – k poezii, k legendě o šesti slepých mužích a slonovi zpracované Johnem Godfreyem Saxem. V této legendě šest slepců zjišuje, jak vypadá slon. Přistoupí ke slonovi a začnou šmátrat kolem sebe. Jeden chytí slona za nohu a řekne: „Slon vypadá jako strom!“. Další zatahá slona za ocas a řekne: „Slon vypadá jako provaz!“. Třetí chytí slona za chobot a řekne: „Slon vypadá jako had!“. A tak každý viděl pouze část slona a žádný z nich neviděl slona celého.

Právní úhel pohledu

Otázka tedy zní: Je nařízení eIDAS slonem nebo pouze částí slona? Zrekapitulujme si co je předmětem nařízení – jsou to oblasti elektronické identifikace (eID), elektronického podpisu (eSignature), elektronického doporučeného doručování (eDelivery) a elektronických dokumentů (eDocument). A co je samotný eIDAS? Je to nařízení, součást sekundárního práva EU a výsledek evropského legislativního procesu – je to právní uchopení výše uvedených oblastí. Předmětem nařízení eIDAS je jednotné právní ukotvení základních konceptů a pravidel využívání uvedených oblastí na jednotném digitálním trhu napříč členskými státy EU.

eIDAS v kostce

Jde o nařízení Evropského parlamentu a rady č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES – zkráceně EIDAS.

Nařízení eIDAS přináší jednotnou evropskou právní úpravu:

  • elektronické identifikace, kde si státy EU budou navzájem důvěřovat elektronické identifikaci občanů (tj. občan jedné země bude moci využívat bez překážek elektronické služby jiné země),
  • služeb vytvářejících důvěru, kde dochází ke zvýšení praktičnosti a sjednocení a pravidel pro elektronické podpisy, pečetě, časová razítka a elektronické doporučené doručování,
  • elektronických dokumentů, které nebude možné odmítnout ve správním nebo soudním řízení pouze pro jejich elektronickou formu.

Přijměme tedy vzhledem k zaměření seriálu předpoklad, že nařízení eIDAS je pouze právním úhlem pohledu, tj. částí slona. Jaké jsou další části slona – jiné úhly pohledu na výše uvedené oblasti? Rozdělme si je na strategický, praktický a standardizační.

Strategický úhel pohledu

Impulzem ke zpracování nařízení eIDAS byl požadavek na přepracování směrnice 1999/93/ES a zpracování návrhu na vzájemné uznávání e-ID Evropskou komisí v rámci její strategie Evropa 2020 jako součást iniciativy „Digital agenda for Europe“.

Přepracování směrnice 1999/93/ES bylo požadováno Evropskou komisí v rámci prvního pilíře „Digital single Market“ iniciativy „Digital agenda for Europe“. Proč právě DIGITAL Single Market? Ubereme-li jedno slovo z názvu tohoto pilíře, dostaneme „Sigle market“ a jeho zásadu volného pohybu zboží, osob, služeb a kapitálu na vnitřním trhu jakožto jeden ze základních stavebních kamenů EU. Aby volný přeshraniční pohyb fungoval také v digitálním světě, je nutné zajistit několik, dnes již notoricky známých, podmínek – určitý stupeň interoperability (tj. možnosti využívat své eID pro všechny on-line služby veřejné správy v EU), harmonizace a důvěry mezi jednotlivými účastníky a jimi využívaných služeb (tj. rovnocenného postavení služeb vytvářejících důvěru).

Otázka „jak“ zařídit, aby to v praxi fungovalo, aby jednotliví účastníci jednoznačně věděli, s kým komunikují, aby si mohli navzájem důvěřovat a provádět právně závazné úkony v digitálním světě, nás přivádí zpět k nařízení eIDAS, které tuto odpověď pokrývá z právního úhlu pohledu.

Praktický úhel pohledu

Samotná právní úprava však nestačí. Je potřeba konkrétních nástrojů. A EU nespí ani v této oblasti.

Za hlavní stream aktivit můžeme označit několik vzájemně navazujících projektů. Od roku 2008 probíhaly tzv. Large scale pilots projekty (LSPs), tj. vytvoření a ověření pilotních řešení v rámci několika zapojených členských států – jednalo se o projekty STORK, e-CODEX, epSOS, SPOCS a PEPPOL.

Projekt STORK se zabýval přeshraničním uznáváním a interoperability eID občanů z jiných členských států a to primárně v oblasti využívání služeb veřejné správy. Jeho následník STORK 2.0 pak rozšířil záběr také o právnické osoby a vytvořené řešení otestoval v tzv. „business doménách“ eLearning, eBanking, Academic qualification a Services for Business and eHealth. Z projektu STORK vychází také nařízení eIDAS v oblasti nastavení „úrovní záruky“, tj. důvěryhodnosti a bezpečnosti elektronické identifikace. Projekt e-CODEX byl zaměřený na přeshraniční spolupráci a přístup ke službám soudů, projekt epSOS zabývající se přeshraničním sdílením zdravotních záznamů pacientů, projekt SPOCS zřizující point-of-single-contact místa v členských státech, které zprostředkují informace a kontakt mezi lokální veřejnou správou a společnostmi z jiných členských států a projekt PEPPOL, umožňující zapojit se zájemcům z jiných členských států do veřejných zakázek.

Výstupy LSPs projektů od roku 2013 konsoliduje projekt e-SENS. V roce 2014 byl spuštěn program Connecting Europe Facility (CEF) jehož část „Digital Service Infrastructure“, která spadá do jedné ze tří hlavních oblastí programu CEF, konkrétně do CEF Telecom, by měla tyto výstupy připravit k nasazení do praxe a pomoci s jejich zavedením v členských státech. Podrobnější informace včetně dostupných výstupů naleznete na webových stránkách jednotlivých projektů.

Od pilotních projektů k praktickým řešením?

Všechny uvedené projekty se zabývají elektronickým přeshraničním stykem v rámci různých business domén a zdánlivě by toho nemuseli mít mnoho společného. Všechny ovšem musely řešit základní problémy přeshraničního elektronického kontaktu – identifikaci zúčastněných stran, realizaci právně závazných úkonů, vzájemnou komunikaci a využívání elektronických dokumentů. Tím se dostáváme zpět na začátek k základním stavebním kamenům elektronického přeshraničního styku – oblastem eID, eSignature, eDelivery a eDocument.

Přestože jednotlivé LSPs projekty v některých případech využívaly tyto základní stavební kameny z jiných LSPs projektů, výsledným stavem byl poměrně roztříštěný landscape různých řešení, kterému pro zajištění ideální interoperability v EU ještě dva krůčky chyběly.

Do tohoto „rozpracovaného“ stavu vstoupil projekt e-SENS, který si vzal za cíl udělat první ze zbývajících kroků a to konsolidaci vytvořených řešení pro zajištění funkcionality zmíněných základních stavebních kamenů (tj. eID, eSignature, apod.) vytvořených v rámci LSPs projektů a jejich případné rozšíření a další rozvoj.

Na druhý krůček, tj. přípravu finálních řešení pro trh (u kterých se očekává, že by měla být dostupná jako opensource), má nyní nakročen program CEF. Program slibuje poskytnout řešení v oblastech eID, eSignature, eInvoicing, eDelivery a Automated Translation. Je však zatím otázkou co přesně bude výstupem tohoto programu – zda se bude jednat „pouze“ o sady doporučení, referenčních architektur, guidelines, testovacích nástrojů anebo o skutečně plnohodnotná out-of-the-box řešení a služby pro zajištění očekávané funkcionality bez skrytých „ale…“ (např. článek „eIDAS Regulation: eID – Opportunities and Risks“ naznačuje, že minimálně pro zprostředkování komunikace mezi systémy elektronické identifikace členských států by měla Evropská komise skutečně připravit plnohodnotnou SW komponentu).

Standardizační úhel pohledu

Vzhledem ke skutečnosti, že řešení připravovaná výše uvedenými projekty pravděpodobně nebudou pro nikoho závazná, hrozilo riziko, že si každý členský stát (resp. každý zapojený subjekt) bude vytvářet svoje vlastní řešení. To už na první pohled nevypadá jako zcela ideální cesta k interoperabilní a harmonizované digitální Evropě. Určitý stupeň centrální standardizace bude nutné zajistit. Za tímto účelem byl zadán standardizační mandát M/460.

Standardizační mandát M/460 má za cíl vytvořit set standardů pro oblasti řešené nařízením eIDAS. Samotný „standardizační mandát“ je nástrojem, kterým Evropská komise pověřuje skupinu organizací European Standards Organizations (ESOs) k vytvoření a zavedení evropského standardu pro podporu evropského práva. Tyto standardy jsou samy o sobě dobrovolné. Mohou však být právně ukotveny např. prostřednictvím dodatečných prováděcích aktů a stát se tak závaznými pro všechny členské státy EU. Tím se zamezí, aby si standardy vytvářely jednotlivé členské státy a prohlubovaly tak vzájemnou nekompatibilitu.

Mandát M/460 aktualizuje existující standardy v oblasti eSignature. Za účelem harmonizace napříč členskými státy vytvoří jednotný rámec pro elektronické podpisy a „další související a navazující služby“, pod kterými se skrývá řada témat souvisejících se službami vytvářejícími důvěru řešených v nařízení eIDAS. Mandát se zabývá standardy v šesti různých oblastech od šifrování, přes tvorbu a ověřování elektronických podpisů až po požadavky na poskytovatele aplikačních služeb vytvářejících důvěru. Samotné standardy jsou v přípravě, aktuální verze draftů si lze prohlédnout na stránkách organizace ETSI.

Současná představa o aplikaci standardů není jednoznačná. Například z článku „eIDAS Regulation: eID – Opportunities and Risks“ vyplývá, že pro oblast eID nebudou referencovány konkrétní standardy, ale že veškeré náležitosti budou uvedeny přímo v prováděcích aktech k nařízení eIDAS.

Komplexní svět eIDAS

Je tedy patrné, že nařízení eIDAS bylo vytvořeno jako součást ambiciózního plánu Evropské unie na jednotnou digitální Evropu. Byla podniknuta řada aktivit v právní, strategické, praktické i standardizační rovině a teprve v kontextu všech těchto aktiv je zřejmé, jak rozsáhlé téma eIDASu vlastně je. Doufejme tedy, že všechny části slona do sebe hladce zapadnou a že se tak přiblížíme ke skutečnému jednotnému digitálnímu trhu.

Těšíme se na vás v dalším připravovaném dílu seriálu, ve kterém se podíváme na to, jaké myšlenky a aktivity vedly ke vzniku nařízení eIDAS.
Michal Ureš, Deepview Michal Ureš
Autor článku pracuje ve společnosti Deepview, která se odborně zabývá přípravou a implementací nařízení eIDAS a poskytuje v této oblasti poradenské služby.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

MPSV zvyšuje kybernetickou odolnost

s VR řešením Company (Un)Hacked

Ministerstvo práce a sociálních věcí (MPSV) je ústředním orgánem státní správy. Kybernetická bezpečnost je pro MPSV zásadní, nebo všechny agendové systémy jsou součástí kritické infrastruktury a musí naplňovat požadavky kybernetického zákona. Odbor kybernetické bezpečnosti vedený Janem Mikuleckým spravuje rozsáhlou ICT infrastrukturu včetně kritických systémů resortu, stejně jako citlivá data milionů občanů – sociální dávky, zaměstnanost – a musí odolávat stále rostoucím hrozbám v digitálním prostoru.