Jednotlivým aspektům dopadu nařízení jsme na Lupě věnovali samostatný seriál. Nyní se pojďme podívat na hlavní věci, které se v souvislosti s eIDAS udály, i na ty, které nás teprve čekají.
Implementace do českého práva
Z právního pohledu má eIDAS charakter nařízení, které začíná být v jednotlivých státech účinné bez ohledu na stav národní legislativy. Ta může ještě hodně věcí upravit. Při implementaci do právního řádu se Česká republika podobně jako některé další země EU, rozhodla jít cestou dvou samostatných zákonů.
Partnerem seriálu o eIDAS, elektronických podpisech a službách vytvářejících důvěru je ASKON International.
Jako první byl schválen zákon č. 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce a související změnový zákon č. 298/2016 Sb., který změnil celkem 66 zákonů. Vzhledem k tomu, že i nejvyšší úroveň elektronického podpisu (tj. kvalifikovaný) je roven pouze vlastnoručnímu, nikoliv úředně ověřenému podpisu, zmizela takto díky eIDAS z českého právního řádu např. možnost požádat o vystavení voličského průkazu.
Teprve rok po schválení našeho prvního implementačního předpisu byl schválen zákon č. 250/2017 Sb., o elektronické identifikaci (a opět související změnový zákon, tentokrát č. 251/2017 Sb., který však již změnil „pouhých“ osm zákonů).
Elektronická identifikace
V oblasti elektronické identifikace nařízení eIDAS přineslo tzv. vzájemné uznávání nástrojů elektronické identifikace, kterými mohou být nejen elektronické občanské průkazy (eOP), ale i prostředky vydávané soukromým sektorem, např. mobilními operátory, bankami či mojeID.
Při posuzování dopadů je však nutné si uvědomit, že povinnost vzájemného uznávání se vztahuje pouze na tzv. ohlášené systémy a pro členské státy je toto ohlášení dobrovolné. První, kdo jej učinil, bylo Německo. Již od 29. září 2018 tak budou muset ostatní státy EU umožnit přihlášení německými eOP ke svým službám e-Governmentu. Vedle Německa poskytly popis svých eID systémů ještě Itálie (24. listopadu 2017), Španělsko (20. února 2018), Lucembursko (26. února 2018), Estonsko (27. února 2018) a Chorvatsko (28. února 2018). Povinnost uznávání jejich nástrojů však nastane nejdříve v polovině roku 2019 po uplynutí jednotlivých lhůt (viz schéma).
Subjekty posuzování shody
Jednou z novinek, kterou nařízení eIDAS přineslo, je institut tzv. subjektů posuzování shody (tzv. CAB), jejichž úkolem je především odborné posuzování jednotlivých poskytovatelů vytvářejících důvěru, ať již pro oblast elektronických podpisů, časových razítek, či nových služeb nabízejících kvalifikované ověřování podpisů, pečetí a razítek a jejich uchovávání.
Vyjma elektronických podpisů, u nichž bylo uplatněno roční přechodné období, představuje posouzení ze strany CAB klíčový předpoklad pro poskytování kvalifikované služby vytvářející důvěru. Češi v tomto ohledu vycítili příležitost mezi prvními.
Když v únoru 2017 získaly první dva české subjekty, Elektrotechnický zkušební ústav (EZÚ) a Tayllor&Cox, pověření působit jako CAB, existovalo v Evropě pouze sedm dalších subjektů – tři v Německu, tři v Itálii a jeden v Rakousku. Češi tak začali získávat zakázky v zahraničí. Získání zákazníků přitom nemusí představovat jednorázový obchod, ale díky povinné reakreditaci každé dva roky a ročnímu kontrolnímu auditu i zajímavý zdroj příjmů do budoucna. Aktuálně působí v Evropě již 23 subjektů, z toho tři z České republiky.
Typ služby |
EZÚ |
Taylor&Cox |
LL-C |
Vydávání QC pro elektronické podpisy |
Ano |
Ano |
Ano |
Vydávání QC pro elektronické pečeti |
Ano |
Ano |
|
Vydávání kvalifikovaných TLS certifikátů |
Ano |
Ano |
|
Vydávání časových razítek |
Ano |
Ano |
Ano |
Ověřování platnosti el. podpisů/pečetí |
Ano |
Ano |
Ano |
Uchovávání elektronických podpisů/pečetí |
Ano |
||
Elektronické doporučené doručování |
Kvalifikovaní poskytovatelé služeb vytvářejících důvěru
V rámci eIDAS je definováno celkem sedm (viz níže) služeb vytvářejících důvěru s tím, že jejich poskytovatelé mohou získat status tzv. kvalifikované služby. V současné době působí v Evropě celkem 181 kvalifikovaných poskytovatelů. Bezkonkurenčně nejvíce z nich (162) se zaměřuje na oblast elektronického podpisu, teprve s odstupem následují časová razítka (79) a elektronické pečeti (71) s tím, že jednotliví poskytovatelé (dříve certifikační autority) většinou nabízejí více služeb.
V České republice může největší portfolio kvalifikovaných služeb nabídnout I.CA, která své původní portfolio v oblasti elektronických podpisů, pečetí a razítek postupně rozšířila též o TLS certifikáty pro autentizaci webových stránek a kvalifikovanou službu ověřování elektronických podpisů/pečetí QVerify, která se 28. dubna 2017 stala vůbec první českou kvalifikovanou službou dle eIDAS. Aktuálně službu kvalifikovaného ověřování nabízí jen 7 společností v Evropě, přičemž jediná Česká republika má jako jediný stát dvě služby. Tou druhou je SecuSign od Software602, který nabízí rovněž kvalifikovanou službu pro dlouhodobé uchovávání podpisů. Ani zde přitom není konkurence z ostatních států příliš silná a podobnou službu nabízí jen šest dalších společností. Podobně jako u ověřovacích služeb se většinou jedná o firmy ze střední a východní Evropy.
Konec výjimek
Přestože eIDAS vyšel v Úředním věstníku téměř o dva roky dříve, než nabyl účinnosti, je s tímto nařízením spojeno několik přechodných výjimek. Tou první, vyplývající přímo z vlastního nařízení, byla roční lhůta, po kterou mohly certifikační autority působící dle Směrnice pro elektronické podpisy (1999/93/ES) působit jako kvalifikované.
Druhá výjimka již vychází z české legislativy a umožňuje po dobu dvou let (od účinnosti našeho zákona, tj. nikoliv nabytí účinnosti eIDAS) vytvářet kvalifikované elektronické podpisy bez nutnosti využití kvalifikovaného prostředku. Toto přechodné období skončí 19. září 2019, a zatímco pro oblast elektronických podpisů již tyto prostředky (tzv. QSCD) existují a lze je relativně snadno pořídit, mnohem větší problém nastane u kvalifikovaných pečetí, u nichž je obdobných prostředků (QSealCD) zoufalý nedostatek.
S eIDAS sice žijeme již dva, resp. čtyři roky, přesto témata tohoto seriálu nejsou zdaleka vyčerpána a v září se určitě k některým z nich vrátíme.