Prováděcí akty vydány

Po vydání nařízení eIDAS v srpnu 2014 zůstala v jeho paragrafech řada otevřených bodů, které Evropská komise slíbila upřesnit do září 2015. Svůj slib splnila a do 9.9.2015 zveřejnila všechny očekávané doplňující prováděcí akty.

Akty byly připravovány od ledna 2013 do ledna 2015 na základě studie IAS 2 (plným názvem „Study to support the implementation of a pan-European Framework on electronic identifikaction and trust services for electronic transactions in the internal market“). Připomeňme si, že samotné nařízení eIDAS vzniklo na základě studie IAS 1. Výstupy studie IAS 2, krom samotných prováděcích aktů, nebyly bohužel k datu zpracování článku zveřejněny. To lze očekávat v druhé polovině roku 2015, tj. s podobným zpožděním oproti datu ukončení projektu jako v případě studie IAS 1. Výstupy studie se pravděpodobně skládají ze čtyř části. Doporučení konkrétní podoby prováděcích aktů a konkrétních norem a standardů. Ekonomická analýza zaměřená na vývoj a zájem o služby elektronické identifikace a autentifikace a elektronické služby vytvářející důvěru. Analýza zaměřená na aktuální situaci a trendy na evropském trhu služeb vytvářejících důvěru. Poslední část výstupu by měla navazovat a dále rozvíjet výstupy mandátu M460 (tj. standardizačních aktivit Evropské komise v oblasti elektronické identifikace a služeb vytvářejících důvěru). Určitý vhled do uvažování autorů lze získat z pracovních materiálů dostupných na stránkách studie http://blogs.dlapiper.com/iasproject. Autory studie IAS 2 jsou přitom ty samé společnosti jako v případě studie IAS 1 (tj. DLA PIPER, SEALED, time.lex, PwC a SGA) doplněné o společnost VAN DIJK.

Nyní se však již zaměřme na samotné prováděcí akty.

První akt, prováděcí rozhodnutí komise č. 2015/296, byl vydán v únoru. Akt upravuje spolupráci členských států ohledně elektronické identifikace. Zejména zde stojí za povšimnutí, jak jsou nastavené „governance“ mechanismy založené na demokratických a decentralizovaných principech. Governance principy jsou nastaveny ve třech oblastech. Za prvé akt zavádí tzv. „síť pro spolupráci“. To by měla být platforma pro komunikaci a spolupráci členských států v oblasti elektronické identifikace. Síť bude mimo jiné přijímat stanoviska, jak systémy elektronické identifikace členských států splňují požadavky nařízení eIDAS. Za druhé zavádí pravidla pro výměnu informací mezi členskými státy týkajících se elektronické identifikace. A za třetí zavádí mechanismus tzv. „vzájemného hodnocení“ systémů elektronické identifikace. Ten umožní členským státům se vzájemně vyjadřovat k systémům elektronické identifikace. Tento akt je důležitý pro Ministerstvo vnitra ČR, do jehož kompetence zřejmě systém elektronické identifikace v ČR spadne.

Druhý akt, prováděcí nařízení komise č. 2015/806, byl vydán v květnu. Stanoví konkrétní podobu „značky důvěry EU“. Ta bude sloužit pro označení kvalifikovaných služeb vytvářejících důvěru a jejich kvalifikovaných poskytovatelů splňujících požadavky nařízení eIDAS.

Značka byla vybrána na základě návrhů vzešlých ze soutěže „e-Mark U Trust Competition“. Její autor za vítězný návrh inkasoval odměnu 5 000 €. Tento akt je důležitý pro poskytovatele služeb vytvářejících důvěru (např. certifikační autority).

Třetí akt, prováděcí nařízení komise č. 2015/1501, byl vydán v září. Definuje rámec interoperability pro zajištění kompatibility systémů elektronické identifikace. Akt je poměrně skoupý na uvedení konkrétních technických požadavků. Požaduje pouze soulad s normou „ISO 27001 - Information security management “ a stanoví soubor minimálních osobních údajů pro elektronickou identifikaci. Akt nicméně dává prostor, aby mohly být stanoveny konkrétnější informace k technickým požadavkům. Ty mohou vzejít z řešení připravovaných v rámci projektu CEF (Connecting Europe Facility). První upřesnění technických požadavků plánuje „síť pro spolupráci“ vydat ke konci tohoto roku. Tímto a dalšími zde zmiňovanými projekty jsme se zabývali v rámci prvního článku této série „Nařízení eIDAS perspektivou slona“. Akt je důležitý pro budoucí provozovatele systémů elektronické identifikace

Čtvrtý akt, prováděcí nařízení komise č. 2015/1502, byl vydán v září. Na základě výstupů projektu STORK a normy „ISO 29115 – Entity authentication assurance framework“ definuje své vlastní „úrovně záruky“ prostředků elektronické identifikace – nízkou, značnou a vysokou. Prostředkem elektronické identifikace je zde elektronický doklad totožnosti, který může existovat buď v materializované podobě (tj. elektronický občanský průkaz) nebo v dematerializované podobě (tj. ve formě uživatelského účtu). Úroveň záruky je pak míra důvěry, s jakou je tento prostředek přijímán třetí stranou (např. úřadem). Úroveň záruky, kterou daný prostředek získá, závisí na splnění požadavků pro danou úroveň ve čtyřech oblastech. „Přihlášení“ (žádost o vydání prostředku a prokázání totožnosti), „správa prostředků“ (tj. vlastnosti a forma samotného prostředku, způsoby jeho vydání, aktivace nebo obnovení), „autentizace“ a „řízení a organizace“ (tj. požadavky na poskytovatele a provoz). Tento akt je důležitý pro nás všechny. Bude určující pro poskytovatele prostředků elektronické identifikace, pro subjekty (zejména úřady) uznávající tyto prostředky jako doklad pro prokázání totožnosti i pro občany a firmy, které si tyto prostředky budou pořizovat.

Pátý akt, prováděcí rozhodnutí komise č. 2015/1505, byl vydán v září. Definuje podrobné požadavky na „důvěryhodné seznamy“ (tj. národní seznamy kvalifikovaných služeb vytvářejících důvěru a jejich kvalifikovaných poskytovatelů splňujících požadavky nařízení eIDAS). Požadavky vychází ze specifikací ETSI TS 119 612 pro důvěryhodné seznamy. Tento akt je důležitý pro Ministerstvo vnitra, které bude seznam pravděpodobně udržovat, a pro poskytovatele služeb vytvářejících důvěru.

Šestý akt, prováděcí rozhodnutí komise č. 2015/1506, byl vydán v září. Upravuje specifikace a formáty elektronických podpisů a pečetí formou odkazu na příslušné standardy ETSI pro elektronických podpisů a pečetí (TS 103171, TS 103172, TS 103173, TS 103174) a upravuje požadavky na jejich ověřování. Tento akt je důležitý především pro certifikační autority, tvůrce a provozovatele informačních systémů. Ti budou muset své služby a systémy přizpůsobit pro práci s elektronickými podpisy a certifikáty odpovídajícím požadavkům nařízení eIDAS.

Štafetový kolík přebírají členské státy

Vydáním prováděcích aktů splnila Evropská komise svůj díl práce a předává tak pomyslnou štafetu členským státům. Účinnost nařízení eIDAS bude nyní nabíhat v několika fázích od července 2016, kdy nahradí svého předchůdce směrnici 1999/93/ES, až do září 2018, kdy by měly být účinné všechny části nařízení včetně oblastí elektronické identifikace. Pro členské státy to znamená dvě zásadní povinnosti.

Za prvé do července 2017 zajistit shodu poskytovatelů služeb vytvářejících důvěru (např. certifikačních autorit nebo provozovatele datových schránek) označených za kvalifikované podle směrnice 1999/93/ES s požadavky na označení „kvalifikovaný“ podle nařízení eIDAS. Pokud ti shodu prokáží, budou i nadále považováni za kvalifikované poskytovatele a mohou začít používat „Značku důvěry EU“. Za druhé se pak do konce září 2018 budou muset členské státy zajistit přístup do on-line služeb orgánů veřejné moci pomocí prostředků elektronické identifikace jiných členských států. Zároveň je to datum, ke kterému by bylo vhodné připravit systém elektronické identifikace také v České republice.

Pro naplnění těchto povinností budou muset členské státy realizovat řadu dílčích kroků. V oblasti služeb vytvářejících důvěru to bude např. znamenat stanovit orgán dohledu nad poskytovateli těchto služeb. Bude potřeba přizpůsobit a aktualizovat důvěryhodné seznamy. V neposlední řadě se změně budou muset přizpůsobit také systémy využívající služby vytvářející důvěru (např. přijímající certifikáty). V oblasti elektronické identifikace bude nutné poskytnout popis systému elektronické identifikace ostatním členským státům. Systém se bude potřeba také ohlásit Evropské komisi. A teprve po zveřejnění ohlášeného systému Evropskou komisí lze začít přeshraničně využívat prostředky elektronické identifikace vydané tímto systémem. Ovšem za předpokladu, že ostatní členské státy na to budou připraveny tak, jak jim to nařízení eIDAS ukládá. Pokud tedy nedojde k odkladům, stane se září 2018 okamžikem, kdy bude reálně naplněn jeden ze základních předpokladů pro vznik jednotného digitálního trhu v Evropě.

Michal Ureš Autor seriálu pracuje ve společnosti Deepview, která se odborně zabývá přípravou a implementací nařízení eIDAS a poskytuje v této oblasti poradenské služby.