google plus
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
Fresh IT
 
Tematické seriály

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 

Podnikové portály

Portály patří k oblíbeným technologiím, na kterých staví společnosti svá řešení. Ta jsou vstupní branou...

1. až 5. díl >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

IT SYSTEMS 11/2016 , IT Security , IT právo

Fenomén jménem eIDAS

Ing. Miroslav Tětek


eIDASTermín eIDAS se v odborném tisku objevuje stále častěji. Ostatně i v minulém čísle IT Systems byl publikován článek, kde „Na otázky kolem nařízení eIDAS“ odpovídal ing. Robert Piffl. Musím říci, že mě tento rozhovor velice zaujal, ale i utvrdil, že se z termínu eIDAS stává fenomén. Všichni o něm mluví, ale ve skutečnosti přesně nevíme, co pro naši práci nebo podnikání znamená.


Pokud se podíváme na termín eIDAS, zjistíme, že je používán pro Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, které bylo publikováno v Úředním věstníku Evropské unie dne 23. července 2014. Strašný úřední název, kterému stejně nikdo nerozumí, ale snažme se eIDAS pochopit a poznat, jaké výhody nám jeho zavedení přinese.

Pokud se podíváme na jeho základní principy, jedná se o přesně definované, účelově rozdělené a vzájemně se doplňující služby. Služby jsou děleny podle jejich účelu, které by měly být státem nebo komerčními organizacemi poskytovány.

Do první skupiny služeb patří služby tzv. eID (elektronické ID osoby nebo organizace) a služby poskytující důvěru pro identifikaci. Obecně tyto služby slouží k identifikaci a autentizaci osob nebo organizací v rámci elektronických on-line služeb. Typickou službou je vzájemné uznávání identifikačních prostředků pro online identifikaci a autentizaci v rámci států EU.

Druhou skupinou jsou služby pro poskytování elektronických podpisů a elektronických pečetí. Tyto služby slouží k „projevu vůle“ podepisující nebo pečetící osoby:

  • Poskytování a validace elektronického podpisu.
  • Poskytování a validace elektronické pečeti.
  • Poskytování a validace elektronické časové značky.
  • Validace a autentizace webu.

Třetí kategorie služeb jsou služby elektronického doporučeného doručování. Typické služby v této kategorii jsou:

  • Elektronické doporučené doručování, u nás známé jako již několik let běžící klasické datové zprávy.
  • Funkce elektronický dokumentů, tím myšleno zajištění právní prokazatelnosti a dlouhodobé čitelnosti uloženého elektronického dokumentu.
eIDAS

Aby byl eIDAS platný, bylo nutné jej implementovat do české legislativy. Proto byl přijat zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce (dále jen „zákon o službách“), a zákon č. 298/2016 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o službách. Přijaté zákony, jak už je u nás v takových případech zvykem, zaujímají ve vztahu k eIDAS minimalistický přístup. V zákoně o službách je upraveno pouze to, co eIDAS výslovně nechává na úpravu českým právem. Jedná se o tzv. adaptační předpis, který neřeší oblasti nařízení eIDAS, ale jen ty jeho části, které byly aplikovány od 1. 7. 2016. Na druhou stranu je dobré vědět, že eIDAS je přímo použitelným předpisem Evropské unie, kdy už v průběhu roku 2015 byly z rozhodnutím komise definovány dílčí standardy podporující jeho zavedení. Jednalo se například o:

  • Procesní opatření pro spolupráci mezi členskými státy v oblasti elektronické identifikace.
  • Specifikace týkající se podoby značky důvěry EU pro kvalifikované služby vytvářející důvěru.
  • Specifikace pro formáty zaručených elektronických podpisů a zaručených pečetí uznávaných subjekty veřejného sektoru.
  • Stanovení technické specifikace a formáty důvěryhodných seznamů.
  • Minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci.
  • Stanovení rámce interoperability.
  • Stanovení okolností, formátů a postupů pro oznamování.

Co se tedy od 1. 7. 2016 s platností eIDAS změnilo? Od tohoto data je na elektronický dokument, který je podepsaný kvalifikovaným elektronickým podpisem, nahlíženo stejně jako na dokument v listinné podobě podepsaný vlastnoručním podpisem. Pokud je elektronický dokument opatřen kvalifikovanou elektronickou pečetí, je tím zaručena integrita dat a správnosti původu elektronického dokumentu. Pokud je elektronický dokument opatřen kvalifikovaným elektronickým časovým razítkem, je zaručena správnosti data a času, kdy byl elektronický dokument vytvořen nebo přijat v rámci informačních systémů. Pro elektronický dokument, který je doručen službou elektronického doporučeného doručování, je zaručena integrita dat, odeslání a přijetí těchto dat identifikovaným odesílatelem a příjemcem, správnost data a času odeslání a přijetí. Pokud to shrneme, tak obecně platí, že:

  • Elektronický dokument podepsaný kvalifikovaným podpisem po 1. 7. 2016 je roven listině s vlastnoručním podpisem a musí být akceptován ve všech řízeních včetně správních, soudních a podobně.
  • Elektronický podpis lze použít od libovolné certifikační autority v rámci EU a nelze vyžadovat pouze lokální české podpisy.
  • Elektronická identita je určena výhradně pro online využití.
  • Elektronický podpis, elektronická pečeť, časové razítko jsou navrženy a určeny pro offline využití a stávají se součástí elektronického dokumentu.
  • Služby elektronického doporučeného doručování.
  • Možnost online ověření platnosti elektronického podpisu nebo elektronické pečetě spoléhající se stranou.
  • eIDAS definuje pojem Odpovědnost za škodu, kdy členské státy nebo komerční poskytovatelé služeb mají odpovědnost za škodu vzniklou při provozování služeb elektronické důvěry.

Jak již zaznělo, od 1. 7. 2016 nemůže veřejná správa požadovat pouze listinnou podobu dokumentů, ale musí akceptovat elektronické dokumenty. Z pohledu využívání elektronických dokumentů je toto velice významná změna a bude mít vliv na mnoho IT systémů. Vždy jsem byl pro rovnost elektronických a papírových dokumentů a občas jsem si při komunikaci se státní správou připadal stejně, jako Don Quijote při boji s větrnými mlýny. Dnes máme eIDAS, který nám snad v blízké budoucnosti konečně umožní s úřady komunikovat jen elektronicky, bez nutného dlouhého vysedávání na úřadech a čekání, až na nás úředníci budou mít čas. Co nám eIDAS kromě již zmíněné rovnosti dokumentů přináší? Nejsou to ale jen výhody, jsou to i postupy, které bude nutné dodržovat:

  • Elektronické dokumenty, které budeme na úřady posílat, bude nutno podepisovat nebo pečetit nebo označovat formátem, který je specifikován v prováděcím rozhodnutí komise EU a který musí splňovat některý z uvedených standardů (XAdES, CAdES, PAdES, ASiC).
  • Přechodně je v zákoně o službách na 2 roky povoleno používat stávající Uznávaný elektronický podpis. Myslím si, že pro vývojové firmy jsou dva roky dostatečně dlouhá doba, abychom měli k dispozici třeba mobilní aplikaci, která odesílané dopisy na státní úřady opatří požadovanými podpisy a pečetěmi.
  • Pro státní správu a její stávající systémy spisové služby to znamená, že od 1. 7. 2016 musí umět přijímat a rozpoznávat pečetě a podpisy ze všech států EU. Je tak úplně jedno, jakou certifikační autoritu si vybereme, zda některou českou nebo nám dá vhodnější podmínky někdo v zahraničí.
  • Z toho vyplývá i povinnost státních úřadů námi zasílané elektronické dokumenty při přijetí ověřit a po dalších 24 hodinách zaslané dokumenty znova ověřit. Teprve potom lze prohlásit, že je elektronický dokument právně platný.
  • eIDAS se ale netýká jen posílání elektronických dokumentů. Týká si účetních dokladů a daňových dokladů. Pokud totiž chceme vést účetní a daňovou evidenci elektronicky, pak ERP systém, ve kterém účetnictví vedeme, musí podporovat elektronický podpis. Toto je často opomínáno a státní správa a komerční společnosti používají ERP systémy, které jsou nasazeny v rozporu s legislativou ČR. Dnes většina ERP systémů neumožňuje připojení elektronického podpisu k účetním záznamům.

Jak je patrno, eIDAS se dotýká mnoha oblastí a netýká se jen státní správy. Dotýká se nás všech. Pokud je platné datum 28. 9. 2018, do kterého mají být systémy státní správy připravené na to, že nás na základě našeho eID správně identifikují, pak nás v necelých dvou letech čeká mnoho nového. Jako osoba, která se mnoho let snaží vysvětlovat, co je to elektronický dokument, se hlavně těším na dobu, kdy se systémy pro správu dokumentů stanou plnohodnotnými systémy ve státní správě, školství, vědeckých institucích a soukromých společnostech. Kam jinam totiž ukládat elektronické dokumenty s příslušnými certifikáty, abychom zaručili jejich dlouhodobou čitelnost a právní prokazatelnost?

Ing. Miroslav Tětek
Autor článku je nezávislým konzultantem v oblasti elektronických dokumentů a IT řešení pro správu dokumentů a obsahu (ECM).
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Časopis IT Systems / Odborná příloha Archiv časopisu IT Systems
IT Systems 1-2/
IT Systems 12/
IT Systems 11/
IT Systems 10/
Oborové a tematické přílohy
příloha #1 1-2/
příloha #1 11/
příloha #1 10/
příloha #1 9/
Kalendář akcí