Mezi jednu z novinek eIDAS patří zavedení pojmu „služby vytvářející důvěru“, přičemž toto označení se promítlo i do názvu českého zákona. Určení, zda daná služba je či není službou vytvářející důvěru dle eIDAS a na jejího provozovatele se tak mohou vztahovat nové povinnosti (a bohužel i sankce), osobně považuji za jednu z nejkomplikovanějších částí tohoto nařízení.
Pro lepší orientaci je dobré vycházet z následující konstrukce, podle níž je nejdříve třeba zjistit, zda konkrétní služba je službou vytvářející důvěru nebo se na ni vztahuje – poměrně široká – možnost uplatnění výjimek.
Zvláštní množinu služeb vytvářejících důvěru tvoří kvalifikované služby vytvářející důvěru, tj. takové služby, jejichž poskytovatelé se sami a dobrovolně rozhodli absolvovat certifikační proces a získat tak tento status, který na jedné straně obnáší výhody (především možnost použití značky důvěry), na straně druhé však i rozšířené povinnosti.
Partnerem seriálu o eIDAS, elektronických podpisech a službách vytvářejících důvěru je ASKON International.
Zájem o získání této značky je přitom očekáván především od poskytovatelů služeb jako je vzdálené elektronické podepisování přes mobilní zařízení, dlouhodobé uchovávání el. podpisů a dokumentů či (komerční) elektronické doručování. Podle průzkumu sdružení DCTI (Digital Trust and Compliance in Europe) provedeného mezi 56 poskytovateli v 19 zemích EU přitom tyto služby patří mezi ty, které jsou často opomíjeny.
Služby vytvářející důvěru nabízené v EU
Co je (a co není) služba vytvářející důvěru?
Definice služeb vytvářejících důvěru je obsažena v rámci čl. 3, odst. 16, podle něhož:
Službou vytvářející důvěru se rozumí elektronická služba, která je zpravidla poskytována za úplatu a spočívá:
- ve vytváření, ověřování shody a ověřování platnosti elektronických podpisů, elektronických pečetí nebo elektronických časových razítek, služeb elektronického doporučeného doručování a certifikátů souvisejících s těmito službami nebo
- ve vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek nebo
- v uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami
Oproti dnes již zrušené Směrnici č. 1999/93/ES o zásadách Společenství pro elektronické podpisy nařízení eIDAS jednak rozšiřuje škálu důvěryhodných (nebo chcete-li postaru kvalifikovaných) služeb o služby elektronického doporučeného doručování (tzv. e-Delivery) a SSL/TLS certifikáty pro autentizaci internetových stránek a potom nově zahrnuje do regulace i služby spočívající v uchování elektronických podpisů, pečetí nebo souvisejících certifikátů.
Aby to však nebylo tak jednoduché, eIDAS ve čl. 2, odst. 2 obsahuje výjimku, podle které se nařízení:
Nevztahuje na poskytování služeb vytvářejících důvěru, které jsou používány výhradně v rámci uzavřených systémů vyplývajících z vnitrostátního práva nebo z dohod mezi určeným okruhem účastníků
Lepšímu pochopení tohoto ustanovení a určení, zda daná služba je či není službou vytvářející důvěru, hodně pomůže úvodní ustanovení (tzv. recitál) č. 21, podle něhož by se požadavky eIDAS neměly vztahovat zejména na poskytování služeb, které jsou využívány výhradně uvnitř uzavřených systémů mezi určeným okruhem účastníků a nemají žádný vliv na třetí osoby (tj. především veřejnost) a systémy zavedené v podnicích nebo v orgánech veřejné správy za účelem řízení vnitřních postupů využívajících služby vytvářející důvěru.
Podle recitálu 21 by se nařízení dále nemělo vztahovat ani na aspekty související s uzavíráním a platností smluv nebo jiných právních povinností, pokud existují požadavky na formu stanovené vnitrostátním právem nebo právem Unie, a v neposlední řadě by eIDASem neměly být dotčeny ani vnitrostátní požadavky na formu týkající se veřejných rejstříků, zejména obchodních rejstříků a katastrů nemovitostí.
Pro určení, zda konkrétní služba je či není službou poskytující důvěru, je důležitý hned začátek definice ve čl. 3, odst. 16, který hovoří o službách poskytovaných „zpravidla za úplatu“. Současný výklad se kloní k tomu, že eIDAS se nevztahuje na bezplatné služby.
V rámci „Questions & Answers“ pak Evropská komise upřesňuje, že eIDAS se nevztahuje ani na služby elektronické archivace. Problém se službami elektronické archivace však může nastat v okamžiku, kdy daný provozovatel nabízí více než jen pouhé „ukládání“ dokumentů a svým zákazníkům poskytuje, zpravidla za poplatek, další služby jako např. časová razítka (včetně přerazítkování). V tomto případě se již jedná o službu vytvářející důvěru. Příkladem takovéto služby může být např. LongTermDocs od Software 602.
Zajímavá situace zároveň nastává v případě ověřování kvalifikovaných certifikátů; pokud daná služba poskytuje informaci o tom, zda certifikát byl či nebyl vydán některou kvalifikovanou certifikační autoritou v EU (podle eIDAS poskytovatelem důvěryhodných služeb), nejedná se dle eIDAS o službu vytvářející důvěru. Pokud však takováto služba (např. OBELISK Signature Validation od Sefiry) nabízí již více informací/funkcí, zejména ověření platnosti certifikátu a jeho případné revokace, jedná se již o službu vytvářející důvěru.
Pro úplnost jen perlička – evropské nařízení eIDAS se nevztahuje na Evropskou komisi a další evropské instituce (a jimi provozované systémy), které si žijí svým vlastním životem dle Rozhodnutí č. 563 z roku 2004 a jeho přílohy o elektronických a digitálních dokumentech.
Rozdíl mezi kvalifikovanými a nekvalifikovanými službami
V rámci všech služeb vytvářejících důvěru vychází eIDAS a příslušné národní legislativy z tzv. principu opt-in, podle něj je poskytovatelem „běžné“ (nekvalifikované) služby každý, kdo naplňuje výše uvedenou charakteristiku. Tato praxe již fungovala v oblasti elektronického podpisu, elektronických značek a časových razítek s tím, že eIDAS ji rozšířil již o dvě zmíněné oblasti – webové certifikáty a e-Delivery.
Jedním z klíčových rozdílů mezi kvalifikovaným a nekvalifikovaným poskytovatelem je dle čl. 13 otázka odpovědnosti a důkazního břemene, kdy oba typy poskytovatelů služeb vytvářejících důvěru odpovídají za škodu, kterou úmyslně nebo z nedbalosti způsobí fyzické nebo právnické osobě nesplněním povinností dle eIDAS. Rozdíl je však v důkazním břemenu, které u nekvalifikovaných poskytovatelů nese zákazník, který uplatňuje škodu, zatímco u kvalifikovaných leží důkazní břemeno na straně příslušného poskytovatele, který musí prokázat, že udělal vše, aby vzniku škody zabránil.
Důkazní břemeno, pokud jde o úmysl nebo nedbalost nekvalifikovaného poskytovatele služeb vytvářejících důvěru, nese fyzická nebo právnická osoba uplatňující nárok na náhradu škody podle prvního pododstavce.
V případě kvalifikovaného poskytovatele služeb vytvářejících důvěru se úmysl nebo nedbalost předpokládá, pokud daný kvalifikovaný poskytovatel služeb vytvářejících důvěru neprokáže, že škoda podle prvního pododstavce nastala bez jeho úmyslu nebo nedbalosti.
Kvalifikovaní poskytovatelé služeb vytvářejících důvěru zároveň mají mnohem širší povinnosti (definované především čl. 24), za jejichž porušení hrozí sankce stanovené národní legislativou – u nás dle § 17 zákona o službách vytvářejících důvěru konkrétně až 0,5 – 2 milionu Kč dle typu deliktu.
a) 500 000 Kč, jde-li o správní delikt podle odstavce 3 písm. c) a g),
b) 1 000 000 Kč, jde-li o správní delikt podle odstavce 2 písm. b), odstavce 3 písm. a), e) a m),
c) 2 000 000 Kč, jde-li o správní delikt podle odstavce 1, odstavce 2 písm. a) a c), odstavce 3 písm. b), d), f), h) až l), n) a o) a odstavce 4 až 7.
Na tomto místě je třeba zdůraznit, že své (byť mnohem menší) povinnosti, za jejichž porušení hrozí sankce, mají rovněž nekvalifikovaní poskytovatelé. Tyto povinnosti pak (celkem) logicky musí dodržovat i ti kvalifikovaní poskytovatelé.
Pro všechny (tj. i nekvalifikované) poskytovatele je díky eIDAS nově pod sankcí až 2 mil. Kč zavedena poměrně obecná povinnost spočívající v přijetí vhodných technických a organizačních opatření k řízení rizik ohrožujících bezpečnost jimi poskytovaných služeb vytvářejících důvěru, zejména pak musí přijmout opatření k zabránění bezpečnostních incidentů, k minimalizaci jejich dopadů a k informování zúčastněných stran o nepříznivých dopadech těchto incidentů.
S tímto bodem poměrně úzce souvisí další povinnost, a to bez zbytečného odkladu, max. však do 24 hodin, vyrozumět orgán dohledu/dotčený subjekt o každém narušení bezpečnosti nebo ztrátě integrity, jež má významný dopad na poskytovanou službu vytvářející důvěru nebo na uchovávané osobní údaje s tím, že za porušení této povinnosti hrozí pokuta až ve výši 1 mil. Kč.
V neposlední řadě je třeba upozornit na čl. 15, podle kterého by služby vytvářející důvěru a konečné uživatelské produkty používané při poskytování těchto služeb měly být dostupné osobám se zdravotním postižením. Naše úprava zatím za porušení žádné sankce nestanoví. To však může změnit implementace tzv. European Accessibility Act.
Pro poskytovatele kvalifikovaných služeb pak eIDAS ve čl. 24 stanoví celou řadu dalších povinností. Vedle povinnosti pravidelného (každé 2 roky) auditu ze strany subjektu posuzování shody se jedná především o povinnost oznámení změn v poskytování služeb či záměr ukončení činnosti.
Mnohé povinnosti jako např. udržování dostatečných finančních prostředků nebo uzavření vhodného pojištění odpovědnosti jsou však v nařízení nastaveny jen obecně a náš zákon o službách vytvářejících důvěru je již dále neupřesňuje (např. stanovení výše příslušných finančních limitů podobně, jako tak ministerstvo vnitra učinilo v požadavcích pro využívání přístupového rozhraní datových schránek) a v případě udělení až 2 mil. sankce tak bude zajímavé sledovat její vymahatelnost. U bezpečnostních požadavků by pak podle mě zase stálo za to odkázat na zákon č. 181/2014 Sb., o kybernetické bezpečnosti, resp. jeho prováděcí vyhlášku č. 316/2014 Sb.
V rámci eIDASu mi, především u hlášení incidentů, chybí provázanost s nově schválenou Směrnicí o informační a síťové bezpečnosti (NIS), která se nevztahuje na služby vytvářející důvěru (tj. služby dle eIDAS) a je tak možné, že jeden provozovatel bude muset stejný incident hlásit dvakrát – jednou dle eIDASu, resp. našeho zákona o službách vytvářejících důvěru, a podruhé dle Směrnice NIS, resp. zákona o službách vytvářejících důvěru.
Bezpečnostní požadavky a požadavky na hlášení incidentů stanovené touto směrnicí (pozn. NIS) se nevztahují na podniky podléhající požadavkům stanoveným v článcích 13a a 13b směrnice 2002/21/ES ani na poskytovatele služeb vytvářejících důvěru podléhající požadavkům stanoveným v článku 19 nařízení (EU) Ā. 910/2014.
Jak se stát kvalifikovaným poskytovatelem?
Postup pro získání statusu kvalifikovaného poskytovatele je dle čl. 21 stejný pro všechny služby vytvářející důvěru. Oproti stavu známého z oblasti elektronických podpisů však eIDAS přináší jednu podstatnou změnu, a to v podobě tzv. „Zprávy o posouzení shody“, kterou nově vystavují dle terminologie eIDAS subjekty posuzování shody dle Nařízení č. 765/2008, zatímco dle § 9 zákona č. 227/2000 Sb., o elektronickém podpisu tato činnost spadala do kompetence ministerstva vnitra, kterému jako tzv. orgánu dohledu zůstane spíše administrativní role spočívající především v udělení formálního souhlasu působit jako kvalifikovaný poskytovatel služeb vytvářejících důvěru a zápisu příslušného subjektu (služby) na důvěryhodný seznam (EUTL).
V České republice tuto roli plní Český institut pro akreditaci (ČIA), který uděluje pověření k provádění těchto činností vybraným firmám. Podmínky pro udělování těchto pověření by měly být dostupné koncem srpna. ČIA zatím eviduje přibližně pět zájemců, přičemž hlavní zájem je možné očekávat především od atestačních středisek provádějících atestace dle zákona 365/2000 Sb., o informačních systémech veřejné správy.
Ne u všech společností lze však očekávat, že budou nabízet posuzování shody u všech typů důvěryhodných služeb. Ze začátku se bude jednat především o oblast elektronického podpisu, kde současné certifikační autority budou muset nejpozději do 1. 7. 2017 projít celým tímto procesem. Otázkou však je, zda a případně kdy budou v České republice nabízeny např. certifikace služeb v oblasti elektronického doporučeného doručování nebo se případní zájemci budou moci spokojit s nabídkou zahraničních autorit podobně, jako jsme tomu byli svědky u tzv. důvěryhodných (bezpečných) prostředků pro vytváření elektronických podpisů.
Pro koho je výhodné stát se kvalifikovaným poskytovatelem?
Jak jsme si ukázali, status kvalifikovaného poskytovatele přináší nejen zvýšené náklady, ale i celou řadu povinností. Je tak na místě položit si otázku, komu se vyplatí celý proces absolvovat. S ohledem na povinnost využití kvalifikovaných certifikátů pro komunikaci s veřejnou správou včetně přes-hraničních služeb lze očekávat největší zájem především ze stran současných kvalifikovaných certifikačních autorit.
Ty sice mají díky přechodným ustanovením čl. 51 zaručen svůj status až do 1. 7. 2017, avšak pouze pro oblast elektronických podpisů. Jak upozorňuje ve svém stanovisku i ministerstvo vnitra, pro elektronické pečetě či časová razítka tato výjimka neplatí a příslušné autority musí absolvovat celý certifikační proces.
Výhody v oblasti elektronického podpisu a elektronických pečetí spočívající v povinném uznávání ze strany veřejné správy však zatím nejsou dostupné u dalších služeb, především webových (SSL/TLS) certifikátů nebo služeb e-Delivery. Pro kvalifikované poskytovatele těchto služeb je zatím jediným benefitem možnost použití evropské značky důvěry a je otázkou, zda její marketingový význam vyváží všechny náklady spojené s udělením statusu a rozšířené povinnosti.
