Rozporządzenie eIDAS ujednoliciło stosowanie e-podpisów i innych narzędzi elektronicznej identyfikacji w całej UE, a także zasady ich wydawania. Jako że obowiązuje wprost, stało się aktem nadrzędnym wobec polskich regulacji.
Najważniejszą zmianą wprowadzoną przez rozporządzenie eIDAS jest wprowadzenie jednolitych zasad posługiwania się podpisami elektronicznymi w obrocie gospodarczym w całej UE, a także przy załatwianiu spraw urzędowych.
Ujednolicenie reguł identyfikacji w wirtualnym świecie ma zwiększyć popularność transakcji elektronicznych wśród uczestników unijnego rynku wewnętrznego, ale również prowadzić do poprawy bezpieczeństwa w tym zakresie. To z kolei ma stymulować rozwój publicznych i prywatnych usług online oraz internetowego handlu.
Jedna Unia, jeden system
Kluczową zmianą obowiązującą od 1 lipca 2016 r. jest zniesienie barier w stosowaniu usług zaufania w UE. Oznacza to, że środek służący do identyfikacji elektronicznej wydany w jednym kraju UE musi być respektowany w innych państwach UE. Oczywiście konieczny jest przy tym warunek: środek ten musi spełniać wymogi rozporządzenia eIDAS, a system, w ramach którego został wydany, został notyfikowany w ramach odpowiedniej procedury określonej w rozporządzeniu eIDAS.
Unijne rozporządzenie wprowadza nowe definicje i zmiany w terminologii. Przykładowo kwalifikowany podpis elektroniczny zastąpił dotychczasowy bezpieczny podpis elektroniczny weryfikowany ważnym certyfikatem kwalifikowanym, a kwalifikowany elektroniczny znacznik czasu zastąpił dotychczasowe „znakowanie czasu”.
– Nowe prawo unijne przyjmuje całkowicie inną konstrukcję szeroko rozumianej identyfikacji w obrocie elektronicznym. Dotychczas centralnym narzędziem był podpis elektroniczny. Teraz mowa jest o całym pakiecie usług zaufania, do których zalicza się – obok wspomnianego podpisu – jako osobną kategorię m.in. pieczęć elektroniczną i elektroniczne znaczniki czasu – mówi dr Łukasz Goździaszek, adiunkt na Uniwersytecie Wrocławskim.
Nadzór też ujednolicony
Ponadto rozporządzenie zobowiązuje też do ustanowienia krajowego nadzoru nad kwalifikowanymi i niekwalifikowanymi usługami zaufania. To ważne w sytuacji, gdy rozporządzenie eIDAS wprowadza generalną zasadę wzajemnego uznawania środków identyfikacji. Zatem nie tylko podpisy elektroniczne, ale również wspomniane e-pieczęcie oraz znaczniki czasu oparte na kwalifikowanych certyfikatach wydanych w jednym państwie UE są uznawane za wiarygodne środki służące do identyfikacji elektronicznej we wszystkich pozostałych krajach Wspólnoty.
– Rozporządzenie zapewni pełną transgraniczność w tym zakresie. Dokument podpisany certyfikatem kwalifikowanym wydanym w Polsce będzie honorowany w całej UE – podkreśla Elżbieta Włodarczyk, dyrektor linii biznesowej podpis elektroniczny w Krajowej Izbie Rozliczeniowej SA.
Doktor Goździaszek precyzuje jednak, że wzajemne honorowanie środków identyfikacji elektronicznej nie ma charakteru bezwzględnego. – Konieczne jest, aby dostawca usług zaufania, a więc np. podpisów elektronicznych, jak też sama usługa, spełniały wymagania określone w rozporządzeniu eIDAS – zastrzega. Tylko takie mogą być honorowane.
Chodzi tu przede wszystkim o wymogi związane z bezpieczeństwem.
Wymogi dla e-certyfikatów
Wymogi dla kwalifikowanych certyfikatów unijny prawodawca opisał w załącznikach do rozporządzenia eIDAS.
I tak, w odniesieniu do kwalifikowanych certyfikatów podpisów elektronicznych wymaga się, by zawierały one co najmniej następujące informacje:
● wskazanie – co najmniej w postaci pozwalającej na automatyczne przetwarzanie – że dany certyfikat został wydany jako kwalifikowany certyfikat podpisu elektronicznego,
● zestaw danych jednoznacznie reprezentujących dostawcę usług zaufania wydającego kwalifikowane certyfikaty, obejmujący co najmniej państwo członkowskie, w którym dostawca ma siedzibę oraz nazwę (w przypadku osoby prawnej) lub imię i nazwisko (w odniesieniu do osoby fizycznej),
● co najmniej imię i nazwisko podpisującego lub jego pseudonim; jeżeli używany jest pseudonim, fakt ten musi być jasno wskazany,
● dane służące do walidacji (weryfikacji i potwierdzenia ważności) podpisu elektronicznego, które odpowiadają danym służącym do składania e-podpisu,
● dane dotyczące początku i końca okresu ważności certyfikatu,
● kod identyfikacyjny certyfikatu, który musi być niepowtarzalny dla kwalifikowanego dostawcy usług zaufania,
● zaawansowany podpis elektroniczny lub zaawansowaną pieczęć elektroniczną kwalifikowanego dostawcy usług zaufania;
● miejsce usług, z którego można skorzystać w celu złożenia zapytania o status ważności kwalifikowanego certyfikatu,
● w przypadku gdy dane służące do składania podpisu elektronicznego powiązane z danymi służącymi do walidacji podpisu elektronicznego znajdują się w kwalifikowanym urządzeniu do składania podpisu elektronicznego, odpowiednie wskazanie tego faktu co najmniej w postaci pozwalającej na automatyczne przetwarzanie.
Priorytet: cyberbezpieczeństwo
Powstaje pytanie: a po co to wszystko? Unijny regulator wyjaśniał, wydając eIDAS, że miał na celu poprawę bezpieczeństwa transakcji elektronicznych. Ten wątek przewija się przez całe rozporządzenie – samo słowo „bezpieczeństwo” (w różnych odmianach) pada w dokumencie prawie sto razy. Położenie nacisku na tę kwestię przez unijne instytucje nie dziwi, ponieważ problem uwierzytelniania osób i podmiotów działających w sieci był od wielu lat wskazywany jako istotna bariera w bardziej dynamicznym rozwoju operacji dokonywanych za pośrednictwem internetu na wspólnotowym rynku. Inną przeszkodą jest mentalność i brak przekonania, że czynności prawne wykonane w wirtualnym świecie pomiędzy podmiotami pochodzącymi z różnych państw UE mogą być tak samo pewne, jak te dokonane na papierze.
To brak zaufania sprawia, że konsumenci, przedsiębiorstwa i organy publiczne wahają się, czy przeprowadzać transakcje elektroniczne i wdrażać nowe usługi – uważa unijny regulator.
– Rozporządzenie eIDAS tworzy instytucjonalne i systemowe podstawy prawne dla narzędzi informatycznych, których stosowanie ma wpływać na wiarygodność osób i podmiotów, tak aby nie było wątpliwości, kto faktycznie jest po drugiej stronie łącza internetowego. W tym sensie prowadzi do zwiększania cyberbezpieczeństwa – uważa dr Łukasz Goździaszek.
Prawnik wskazuje, że spodziewany rozrost rynku elektronicznego spowoduje spadek ufności pomiędzy jego uczestnikami. – Wtedy innym podmiotom niż międzynarodowe sieci handlowe może być niezwykle trudno zdobyć zaufanie klientów i kontrahentów. Jeśli zaś podmioty te będą korzystały z rozwiązań przewidzianych w rozporządzeniu eIDAS, to będzie można ustalić ich rzeczywiste dane identyfikacyjne, a tym samym określić osoby lub podmioty ponoszące odpowiedzialność. Nie będą zatem anonimowymi uczestnikami obrotu gospodarczego – wyjaśnia dr Goździaszek. – Warto też dodać, że w dłuższej perspektywie obrót elektroniczny mógłby stać się nawet bardziej bezpieczny niż obrót tradycyjny – uważa ekspert.
Takim ważnym narzędziem dla przedsiębiorców może być w przyszłości usługa uwierzytelniania stron internetowych.
Z kolei Elżbieta Włodarczyk, dyrektor linii biznesowej w Krajowej Izbie Rozliczeniowej SA, mówi, że poziom cyberbezpieczeństwa podniesie się zarówno dzięki wprowadzeniu nowych usług zaufania, jak i ujednoliceniu regulacji dotyczących już istniejących instrumentów poprzez wskazanie dla nich wyśrubowanych standardów. Do tej pory wymogi, chociażby dla podpisów elektronicznych, były bowiem różne w poszczególnych krajach.
– Po zmianach każde państwo członkowskie może notyfikować środek identyfikacji elektronicznej wykorzystywany przez obywateli danego kraju. Taki e-identyfikator musi jednak spełniać określone wymagania, a przede wszystkim zapewniać, że tożsamość osoby, która się nim posługuje w wirtualnym świecie, została faktycznie rzetelnie zweryfikowana. Zastosowanie wiarygodnych narzędzi do identyfikacji niewątpliwie podniesie bezpieczeństwo obrotu w internecie. Wpłynie to na zmniejszenie ryzyka wyłudzeń czy transakcji oszukańczych w internecie – mówi Włodarczyk.
