Hlavní navigace

Dva roky s eIDAS: co už je za námi a co nás teprve čeká

Autor: EU
Jiří Průša

Prvního července tomu byly přesně dva roky, kdy nabylo účinnost tzv. Nařízení eIDAS upravující elektronickou identifikaci a tzv. služby vytvářející důvěru.

Doba čtení: 5 minut

Jednotlivým aspektům dopadu nařízení jsme na Lupě věnovali samostatný seriál. Nyní se pojďme podívat na hlavní věci, které se v souvislosti s eIDAS udály, i na ty, které nás teprve čekají.

Implementace do českého práva

Z právního pohledu má eIDAS charakter nařízení, které začíná být v jednotlivých státech účinné bez ohledu na stav národní legislativy. Ta může ještě hodně věcí upravit. Při implementaci do právního řádu se Česká republika podobně jako některé další země EU, rozhodla jít cestou dvou samostatných zákonů.

 


Partnerem seriálu o eIDAS, elektronických podpisech a službách vytvářejících důvěru je ASKON International.

Jako první byl schválen zákon č. 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce a související změnový zákon č. 298/2016 Sb., který změnil celkem 66 zákonů. Vzhledem k tomu, že i nejvyšší úroveň elektronického podpisu (tj. kvalifikovaný) je roven pouze vlastnoručnímu, nikoliv úředně ověřenému podpisu, zmizela takto díky eIDAS z českého právního řádu např. možnost požádat o vystavení voličského průkazu.

Teprve rok po schválení našeho prvního implementačního předpisu byl schválen zákon č. 250/2017 Sb., o elektronické identifikaci (a opět související změnový zákon, tentokrát č. 251/2017 Sb., který však již změnil „pouhých“ osm zákonů).

Elektronická identifikace

V oblasti elektronické identifikace nařízení eIDAS přineslo tzv. vzájemné uznávání nástrojů elektronické identifikace, kterými mohou být nejen elektronické občanské průkazy (eOP), ale i prostředky vydávané soukromým sektorem, např. mobilními operátory, bankami či mojeID.

Při posuzování dopadů je však nutné si uvědomit, že povinnost vzájemného uznávání se vztahuje pouze na tzv. ohlášené systémy a pro členské státy je toto ohlášení dobrovolné. První, kdo jej učinil, bylo Německo. Již od 29. září 2018 tak budou muset ostatní státy EU umožnit přihlášení německými eOP ke svým službám e-Governmentu. Vedle Německa poskytly popis svých eID systémů ještě Itálie (24. listopadu 2017), Španělsko (20. února 2018), Lucembursko (26. února 2018), Estonsko (27. února 2018) a Chorvatsko (28. února 2018). Povinnost uznávání jejich nástrojů však nastane nejdříve v polovině roku 2019 po uplynutí jednotlivých lhůt (viz schéma).

Z technického pohledu je pro vzájemné uznávání eID nutné, aby každý členský stát zprovoznil národní eIDAS uzel (eIDAS node). Po oznámení německého systému musí mít tento uzel každý členský stát zprovozněný nejpozději k 29. září 2018. V rámci projektu CZ.PEPS vybudoval CZ.NIC zatím pilotní rozhraní, které se podařilo napojit na 18 dalších zemí a zároveň autentizační službu Evropské komise. V České republice bude eIDAS uzel součástí tzv. Národního bodu pro identifikaci a autentizaci (NIA).

Subjekty posuzování shody

Jednou z novinek, kterou nařízení eIDAS přineslo, je institut tzv. subjektů posuzování shody (tzv. CAB), jejichž úkolem je především odborné posuzování jednotlivých poskytovatelů vytvářejících důvěru, ať již pro oblast elektronických podpisů, časových razítek, či nových služeb nabízejících kvalifikované ověřování podpisů, pečetí a razítek a jejich uchovávání.

Vyjma elektronických podpisů, u nichž bylo uplatněno roční přechodné období, představuje posouzení ze strany CAB klíčový předpoklad pro poskytování kvalifikované služby vytvářející důvěru. Češi v tomto ohledu vycítili příležitost mezi prvními.

Když v únoru 2017 získaly první dva české subjekty, Elektrotechnický zkušební ústav (EZÚ) a Tayllor&Cox, pověření působit jako CAB, existovalo v Evropě pouze sedm dalších subjektů – tři v Německu, tři v Itálii a jeden v Rakousku. Češi tak začali získávat zakázky v zahraničí. Získání zákazníků přitom nemusí představovat jednorázový obchod, ale díky povinné reakreditaci každé dva roky a ročnímu kontrolnímu auditu i zajímavý zdroj příjmů do budoucna. Aktuálně působí v Evropě již 23 subjektů, z toho tři z České republiky.

Rozsah služeb, které mohou jednotlivé tuzemské CAB posuzovat, se liší. 

Typ služby

EZÚ

Taylor&Cox

LL-C

Vydávání QC pro elektronické podpisy

Ano

Ano

Ano

Vydávání QC pro elektronické pečeti

Ano

Ano

Vydávání kvalifikovaných TLS certifikátů

Ano

Ano

Vydávání časových razítek

Ano

Ano

Ano

Ověřování platnosti el. podpisů/pečetí

Ano

Ano

Ano

Uchovávání elektronických podpisů/pečetí

Ano

Elektronické doporučené doručování

Kvalifikovaní poskytovatelé služeb vytvářejících důvěru

V rámci eIDAS je definováno celkem sedm (viz níže) služeb vytvářejících důvěru s tím, že jejich poskytovatelé mohou získat status tzv. kvalifikované služby. V současné době působí v Evropě celkem 181 kvalifikovaných poskytovatelů. Bezkonkurenčně nejvíce z nich (162) se zaměřuje na oblast elektronického podpisu, teprve s odstupem následují časová razítka (79) a elektronické pečeti (71) s tím, že jednotliví poskytovatelé (dříve certifikační autority) většinou nabízejí více služeb.

České republice může největší portfolio kvalifikovaných služeb nabídnout I.CA, která své původní portfolio v oblasti elektronických podpisů, pečetí a razítek postupně rozšířila též o TLS certifikáty pro autentizaci webových stránek a kvalifikovanou službu ověřování elektronických podpisů/pečetí QVerify, která se 28. dubna 2017 stala vůbec první českou kvalifikovanou službou dle eIDAS. Aktuálně službu kvalifikovaného ověřování nabízí jen 7 společností v Evropě, přičemž jediná Česká republika má jako jediný stát dvě služby. Tou druhou je SecuSign od Software602, který nabízí rovněž kvalifikovanou službu pro dlouhodobé uchovávání podpisů. Ani zde přitom není konkurence z ostatních států příliš silná a podobnou službu nabízí jen šest dalších společností. Podobně jako u ověřovacích služeb se většinou jedná o firmy ze střední a východní Evropy.

Konec výjimek

Přestože eIDAS vyšel v Úředním věstníku téměř o dva roky dříve, než nabyl účinnosti, je s tímto nařízením spojeno několik přechodných výjimek. Tou první, vyplývající přímo z vlastního nařízení, byla roční lhůta, po kterou mohly certifikační autority působící dle Směrnice pro elektronické podpisy (1999/93/ES) působit jako kvalifikované.

MIF18_témata2

Druhá výjimka již vychází z české legislativy a umožňuje po dobu dvou let (od účinnosti našeho zákona, tj. nikoliv nabytí účinnosti eIDAS) vytvářet kvalifikované elektronické podpisy bez nutnosti využití kvalifikovaného prostředku. Toto přechodné období skončí 19. září 2019, a zatímco pro oblast elektronických podpisů již tyto prostředky (tzv. QSCD) existují a lze je relativně snadno pořídit, mnohem větší problém nastane u kvalifikovaných pečetí, u nichž je obdobných prostředků (QSealCD) zoufalý nedostatek.

S eIDAS sice žijeme již dva, resp. čtyři roky, přesto témata tohoto seriálu nejsou zdaleka vyčerpána a v září se určitě k některým z nich vrátíme.

Našli jste v článku chybu?