Pro tuzemské poskytovatele služeb vytvářející důvěru hrají klíčovou roli takzvané subjekty posuzování shody. Jak je na tom v tomto ohledu Česká republika?
První oprávnění působit jako subjekt posuzování shody udělil Český institut pro akreditaci (ČIA) 20. ledna tohoto roku Elektrotechnickému zkušebnímu ústavu (EZÚ), druhé pak 6. února společnosti Tayllor & Cox.

Mohou obě společnosti vydávat prohlášení o posouzení shody pro všechny služby vytvářející důvěru?
Na základě pravidel definovaných ministerstvem vnitra a ČIA není možné v České republice dle eIDAS posuzovat služby elektronického doporučeného doručování (e-Delivery). Rozsah oprávnění pro EZÚ a Tayllor & Cox zároveň není stejný. Obě tyto společnosti mohou posuzovat vydávání kvalifikovaných certifikátů pro elektronické podpisy, pečetě, časová razítka, webové certifikáty (TLS/SSL) a služby zaměřené na ověřování zaručených elektronických podpisů. EZÚ navíc získal oprávnění k posuzování kvalifikovaných služeb, uchovávání kvalifikovaných elektronických podpisů a/nebo kvalifikovaných elektronických pečetí.

Máme už v České republice nějaké kvalifikované služby dle eIDAS?
V současné době je v České republice několik vážných zájemců o poskytování kvalifikované služby ověřování elektronických podpisů a osobně očekávám, že nejpozději v dubnu letošního roku se poskytovatelé těchto služeb objeví na příslušném seznamu vedeném Evropskou komisí. Na základě výjimky dané nařízením eIDAS jsou za kvalifikované poskytovatele pro oblast certifikátů pro elektronický podpis dále považováni až do 1. července příštího roku všechny certifikační autority, které působily dle zákona č. 227/2000 Sb., o elektronickém podpisu. Tato výjimka se však vztahuje pouze na oblast elektronických podpisů, nikoliv již pečetí či razítek. Pokud tyto subjekty budou chtít vydávat kvalifikované certifikáty i po uplynutí výjimky, musí již mít prohlášení o shodě.

V čem spočívají hlavní výhody zmíněné služby ověřování platnosti kvalifikovaných podpisů, respektive pečetí?
Hlavní rozdíl mezi kvalifikovanou a nekvalifikovanou (běžnou) službou spočívá v důkazním břemenu. Zatímco u nekvalifikovaných služeb leží důkazní břemeno na bedrech uživatele služby (například města), u kvalifikovaných služeb je odpovědnost za nesprávné posouzení elektronického podpisu přenášena na poskytovatele této služby. S ohledem na všechny úkony, které je třeba při ověření podpisů udělat, tak může být pro státní správu výhodné právě využití těchto kvalifikovaných služeb.

Kolik poskytovatelů služeb vytvářejících důvěru může podle vašeho názoru v České republice v budoucnu působit?
Vedle již zmíněných certifikačních autorit může v České republice v budoucnu fungovat přibližně dalších 10 poskytovatelů. Velmi brzy se podle mě můžeme dočkat především dalších služeb ověřování platnosti kvalifikovaných podpisů/pečetí. Zde si dovedu představit zájem o získání statusu kvalifikovaného poskytovatele především od firem dodávajících svá řešení do veřejné správy. Logické spojení se nabízí u spisových služeb, které v České republice dodává několik velkých firem. Vedle nich má podle mě šanci na trhu uspět i šikovný startup. 

Kolik stojí získání statusu kvalifikovaného poskytovatele?
Finanční náročnost je třeba rozdělit na dvě části.

První část se skládá za vydávání prohlášení o shodě. Oficiální ceníky ani jedna z firem oficiálně nezveřejňuje. Podobně jako například u ISO auditů (zejména 27 001) se cena odvíjí jak od velikosti firmy a počtu zaměstnanců podílejících se na daném řešení, tak od náročnosti kvalifikované služby. Jiná cena bude za posouzení a vydávání kvalifikovaných časových razítek a jiná za službu ověřování elektronických podpisů. V dobách, kdy toto posouzení provádělo ministerstvo, byl poplatek stanovený na 100 tisíc korun. Dnes si však dovedu představit jeho snížení. Záviset to samozřejmě bude i na počtu služeb, které současně procházejí auditem. U bývalých certifikačních autorit bude určitě běžné, že získají prohlášení o shodě jak na vydávání certifikátů pro elektronické podpisy, tak pečetě, případně SSL certifikáty, což se v technické rovině příliš neliší, a při posuzování shody je zde množství společných prvků.

Po získání prohlášení o shodě pak musí budoucí poskytovatelé ještě uhradit ministerstvu vnitra správní poplatek ve výši 25 tisíc korun.

Jak je to se společnostmi, které u svých výrobků uvádějí, že jsou takzvaně „eIDAS ready“, což dokládají i certifikáty?
eIDAS se pro některé firmy stal slovem s téměř magickým významem, díky kterému se snaží prodat svá řešení. Pokud však chceme používat důvěryhodné služby dle eIDAS a našeho zákona, měli bychom po poskytovateli vždy chtít vidět prohlášení o shodě vydané orgánem posuzování shody. Jiné certifikáty dokládající soulad s požadavky eIDAS nemají žádnou právní validitu a jsou jen marketingovým tahem, kterému bychom neměli podlehnout.

Jak si u služeb vytvářejících důvěru vedeme v porovnání s ostatními státy?
Osobně si myslím, že Česká republika zpočátku trochu zaspala a spuštění procesu pro subjekty posuzování shody mohlo být rychlejší.

Zatímco ve Švédsku získala společnost TrustWave status kvalifikovaného poskytovatele pro ověřování elektronických podpisů za 34 dnů od účinnosti eIDAS, Česká republika v té době neměla schválenu příslušnou tuzemskou legislativu ani publikovány podmínky pro subjekty posuzování shody a na prvního kvalifikovaného poskytovatele stále čekáme, byť u nás existuje hned několik vážných zájemců především o službu ověřování podpisů.

Naopak na eIDAS velmi rychle reagovalo Slovensko, které má již nyní hned pět kvalifikovaných poskytovatelů pro oblast elektronických pečetí a časových razítek, což je dokonce nejvíce v celé Evropě. V České republice zatím nebylo vydáno ani jedno podobné prohlášení o shodě.

Na co bychom se měli při implementaci eIDAS ještě připravit?
Vlastní nařízení eIDAS se zaměřuje na dvě hlavní oblasti – eID a Služby vytvářející důvěru. Zatímco úprava služeb vytvářející důvěru je do naší legislativy promítnuta skrze zákon č. 297/2016 Sb., o službách vytvářejících důvěru, a související změnový zákon č. 298/2016 Sb., oblast elektronické identifikace, které přináší na evropské úrovni nejvyšší novinky, na své legislativní ukotvení teprve čeká. Zákon o elektronické identifikaci míří teprve do Poslanecké sněmovny s tím, že účinný by měl být od 1. ledna 2018. Na nové občanské průkazy vydávané dle nařízení eIDAS si budeme muset počkat ještě déle; příslušná novela zatím nebyla schválena parlamentem s tím, že vydávání nových občanek bude podle současného návrhu možné až po 12 měsících od vydání předpisu ve Sbírce zákonů. Reálné je tak vydávání nejdříve od poloviny roku 2018.

Může mít toto zpoždění pro Českou republiku nějaké důsledky?
Z právního hlediska z nařízení eIDAS nevyplývá členským státům povinnost vydávat jakékoliv identifikační a autentizační nástroje. Jedinou povinností České republiky bude zajistit od 29. září příštího roku možnost přihlášení k vybraným službám eGovernmentu rovněž občanům jiných států EU, kteří již budou vlastnit odpovídající elektronické prostředky, například elektronické občanky či mobilní eID. Jako první země v Evropě učinilo krok pro uznávání národních eID nástrojů Německo, které 20. února tohoto roku oznámilo své národní schéma.

Zároveň je však třeba si uvědomit, že posunutí vydávání elektronických občanek staví náš stát do nevýhodné pozice. Znevýhodněni budou totiž jak čeští občané, kteří nebudou moci plně využívat elektronických služeb eGovernmentu v jiné zemi a těžit z jednotného digitálního trhu, tak vlastní elektronické občanky, které vstoupí již na konkurenční trh, kde budou jiné nástroje – ať tuzemské, nebo zahraniční, jako například estonská občanka e-Residency, kterou již nyní vlastní více než 100 Čechů.