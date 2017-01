Česká republika dosáhla v rámci implementace nařízení eIDAS dalšího milníku. V pátek 20. ledna 2017 akreditovala ČIA první subjekt posuzování shody, který představuje klíčovou roli pro získání statusu kvalifikovaného poskytovatele služeb vytvářejících důvěru.

Tento moment je důležitý nejen pro poskytovatele elektronických podpisů, pečetí a razítek, ale i pro další služby vytvářející důvěru. Zatímco v České republice si na první nové kvalifikované služby ještě minimálně pár týdnů počkáme, v ostatních státech Evropy se již pomalu objevují a snaží se eIDAS přeměnit v komerční příležitost.

Kvalifikované služby vytvářející důvěru

Na úvod si dovolím malé zrekapitulování informací obsažených v jednom z mých předcházejících článků. Pod pojmem služby vytvářející důvěru se skrývá celkem sedm následujících služeb, jejichž poskytovatelé mohou v souladu s příslušnými články eIDAS zažádat o status tzv. kvalifikovaného poskytovatele.

Zatímco pro poskytovatele kvalifikovaných certifikátů pro elektronické podpisy, kteří působili podle původní Směrnice 99/93/ES, resp. starého zákona č. 227/2000 Sb., o elektronickém podpisu, platí dle eIDAS do 1. 7. 2017 přechodné období, poskytovatelé všech dalších služeb, včetně elektronických pečetí (dříve značek) a časových razítek, musí tento status získat dle pravidel eIDAS.

Postup pro získání statusu kvalifikovaného poskytovatele je stejný pro všechny služby vytvářející důvěru. Vedle technického zprovoznění služby představuje nezbytný předpoklad pro přiznání tohoto statusu získání „Zprávy o posouzení shody“, kterou vystavují tzv. subjekty posuzování shody. Zájemci z řad tuzemských firem si sice mohou nechat toto posouzení vystavit od jakéhokoliv akreditovaného subjektu v Evropě, avšak díky využití českého posuzovatele jim odpadají např. náklady na překlady dokumentace a vnitřních norem.

Na základě předložení Zprávy o posouzení shody Ministerstvu vnitra, jako národnímu orgánu dohledu, a zaplacení správního poplatku ve výši 25 000 Kč je zahájen proces k udělení statusu kvalifikovaného poskytovatele/služby vytvářející důvěru, po jehož udělení dochází k zápisu (vyznačení) na příslušný důvěryhodný seznam (tzv. EUTL). Od tohoto okamžiku je pak možné využívat EU značku důvěry.

Subjekty posuzování shody v ČR

Akreditaci subjektů posuzování shody má v České republice na starosti Český institut pro akreditaci (ČIA), který v souladu s tzv. upřesňujícím dokumentem (tzv. DKP), vydaným Ministerstvem vnitra, může poskytovat akreditaci pro všechny kvalifikované služby vytvářející důvěru vyjma elektronického doporučeného doručování (tzv. e-Delivery).

Zatím prvnímu subjektu, kterému se podařilo získat akreditaci od ČIA, je Elektrotechnický zkušební ústav, jemuž byla příslušná akreditace (PDF) udělena 20. ledna 2017.

Na obzoru je ještě minimálně jeden zájemce, který usiluje o získání subjektu posuzování shody, a to Tayllor Cox. Ten dokonce od letošního ledna propaguje své služby na doméně www.eidas.cz. Obsah tohoto webu je však dle mého názoru značně kontroverzní a je zde velmi tenká dělicí čára mezi šikovným PR a poskytováním informací, které se snaží vzbudit dojem, že se jedná o jediný subjekt posuzování shody v ČR.

Možná manipulace s potenciálními zákazníky je vidět hned z úvodního hesla hlásajícího „Jediný kvalifikovaný certifikační orgán pro služby eIDAS“. S pojmem „kvalifikovaný certifikační orgán“ totiž nařízení eIDAS vůbec nepracuje a správné by tak mělo být jen používání „subjekt posuzování shody“ tak, jak jej definuje čl. 3, odst. 18 eIDAS. S ohledem na výše uvedené informace je pak jasné, že Tayllor Cox nemůže být ani jediným subjektem. Naopak – provozovatel webu eidas.cz zatím není ani subjektem posuzování shody, jak uvádí v záložce „Kdo jsme“.

Podrobnější rozbor webu by vydal na samostatný článek, za zmínku by stál např. „Centrální registr eIDAS“, který by měl spíše odkazovat na EUTL, avšak zatím zůstal nenaplněn, nebo prohlášení o certifikaci produktů a služeb elektronického doporučeného doručování, které nabízí v Evropě pouze Německo.

Vedle subjektů posuzování shody definovaných přímo v nařízení eIDAS je třeba upozornit i na stav, kdy někteří dodavatelé pro své produkty (např. spisová služba GINIS od GORDICu) používají certifikát, který však nebyl vydán subjektem posuzování shody. Takovýto certifikát ale nemá žádnou právní validitu a může jej vydat kdokoliv podle jím nastavených pravidel. Na každém pak je, zda a jak mu bude důvěřovat.

První kvalifikovaní poskytovatelé v Evropě

Mezi jeden z hlavních přínosů eIDAS mělo v duchu „jednotného digitálního trhu“ patřit především usnadnění poskytování celoevropských služeb. V této souvislosti není bez zajímavosti zmínit, že v oblasti elektronického podpisu se nejednalo o povinnost, kterou již členské státy měly dle Nařízení č. 767/2009 a u nás byla začleněna do § 16 zákona č. 227/2000 Sb.

Certifikát, který je vydán poskytovatelem certifikačních služeb usazeným v některém z členských států Evropské unie, jiném smluvním státu Dohody o Evropském hospodářském prostoru nebo Švýcarské konfederaci jako kvalifikovaný, je kvalifikovaným certifikátem ve smyslu tohoto zákona.

eIDAS však tuto povinnost rozšířil i na další služby, jejichž aktuální přehled nabízí EUTL. Podle informací obsažených v seznamu v současné době působí v EU celkem 175 kvalifikovaných poskytovatelů nabízejících dohromady téměř 200 kvalifikovaných služeb. Nejvíce poskytovatelů celkem logicky působí ve velkých státech – Itálii, Španělsku a Německu, zatímco na Kypru nepůsobí ani jeden poskytovatel služeb vytvářejících důvěru a místní veřejná správa tak u kvalifikovaných elektronických podpisů musí využívat služeb zahraničních poskytovatelů.

V přehledu EUTL je zároveň vidět, že mnohé státy si s eIDAS nedělají velkou hlavu a např. Bulharsko ani po více než 6 měsících nepřešlo na nový formát EUTL a další státy jako Chorvatsko či Island mají svůj EUTL již neaktuální. Naopak potěšující je, že díky našemu dozorovému orgánu na Ministerstvu vnitra patří Česká republika mezi pouhých 9 zemí v Evropě, které mají EUTL v pořádku.

Z pohledu poskytovaných služeb vytvářejících důvěru mají celkem logicky bezkonkurenčně nejvyšší podíl poskytovatelé kvalifikovaných certifikátů pro elektronický podpis, na které se vztahuje roční výjimka. Při procházení EUTL jednotlivých zemí stojí za zmínku jak velký počet bank nabízejících certifikační služby, tak poskytovatelé specializující se na jednotlivé sektory, např. zdravotnictví (jako německý medisign) nebo sociální pojištění (např. Deutsche Rentenversicherung Rheinland či Deutsche Rentenversicherung Westfalen).

Chytře pak eIDAS využila společnost Swiss Sign. eIDAS je totiž účinný jen ve státech evropské osmadvacítky a EHP (tj. Norsku, Lichtenštejnsku a na Islandu), avšak již ne ve Švýcarsku. SwissSign se proto nechal certifikovat v geograficky i kulturně blízkém Lichtenštejnsku a díky tomu, že splňuje i švýcarské zákony, tak může působit v celé Evropě.

Díky absenci přechodného období musela většina dosavadních poskytovatelů kvalifikovaných elektronických pečetí a časových razítek v Evropě pozastavit svoji činnost, resp. začít vydávat tyto certifikáty jako nekvalifikované.

Projít novou certifikací dokázalo jen pár subjektů v několika málo zemích. Kvalifikované služby vydávání časových razítek zatím nabízí celkem 24 poskytovatelů hned v 8 zemích, včetně Slovenska, které má dokonce pět poskytovatelů. Ještě smutnější situace je u kvalifikovaných elektronických pečetí, které nabízejí poskytovatelé jen ve třech státech Evropy – Estonsku, Maďarsku a opět Slovensku, které je s počtem opět pěti poskytovatelů dokonce nejvýznamnější v Evropě.

V zemích, v nichž již působí subjekty posuzování shody, se pak pomalu začínají objevovat i nové kvalifikované služby. Z mého pohledu přináší potenciál především ověřování platnosti kvalifikovaných el. podpisů a pečetí, kdy vzhledem k možným komplikacím, které na Lupě popisoval Jiří Peterka, vidím možnost uplatnění těchto služeb především u veřejné správy, která by v souladu s čl. 13 eIDAS mohla přenést odpovědnost za případné chybné ověření podpisu na tyto provozovatele.

V Evropě zatím působí dva – švédský TrustWeaver a polské CERTUM spadající pod místní Asseco Data System. V České republice si umím získání tohoto statusu představit např. u Long Term Docs Signer od software 602 či OBELISK od Sefira. Ta pro uplatnění na trhu považuje získání statusu kvalifikované služby za zásadní a na získání prohlášení o shodě se intenzivně připravuje.

U elektronického doporučeného doručování (e-Delivery) se zatím kormidla chopili Němci, kteří začali prostřednictvím TÜV Informationstechnik certifikovat své poskytovatele DE-Mail. Vzhledem k tomu, že Evropská komise zatím nevyužila svého práva na vydání prováděcích aktů dle čl. 44, odst. 2, postupují v Německu dle svých národních standardů.

Ani za více než půl roku účinnosti eIDAS nezačal v Evropě působit jediný kvalifikovaný poskytovatel certifikátů pro autentizaci webových stránek (TLS/SSL certifikátů), kdy hlavní důvod je třeba hledat především v prakticky nulové poptávce.