EIDAS A JEHO PRAKTICKÉ DOPADY DO VEŘEJNÉ SPRÁVY | Petr Dolejší | Senior Solution Consultant |
EVROPSKÉ NAŘÍZENÍ
Č. 910/2014 (EIDAS)
A DIGITÁLNÍ DŮVĚRA
EVROPSKÉ NAŘÍZENÍ eIDAS Zavedení důvěry pro vytváření, používání a sdílení důvěryhodných dokumentů
Nařízení EU č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu Stanovuje rámec závazný pro celou EU v oblastech •
Elektronická identifikace
•
Elektronické podpisy, pečetě, časová razítka
•
Elektronické dokumenty
•
Elektronické doporučené doručování
Jednotný digitální trh se stává realitou Nařízení je právně závazné
CESTA K JEDNOTNÉMU DIGITÁLNÍMU TRHU Nařízení eIDAS
Interoperabilita •
vzájemné uznávání prostředků
Harmonizace •
elektronické identifikace napříč EU •
vzájemné uznávání kvalifikovaných elektronických podpisů/pečetí
•
založeno na jednotných standardech a normách (část teprve v přípravě)
uvedení národních legislativ do souladu s eIDAS
•
určení oblastí využívání jednotlivých typů nástrojů
NÁSTROJE PRO VYTVÁŘENÍ DIGITÁLNÍ DŮVĚRY Nejenom pro elektronické dokumenty
Elektronický
Elektronická
Elektronické
podpis
pečeť
časové razítko
HLAVNÍ PRINCIPY NAŘÍZENÍ eIDAS
Elektronickému dokumentu nesmějí být upírány právní účinky jen proto, že je elektronický Kvalifikovaný elektronický podpis má stejnou váhu jako podpis vlastnoruční Elektronická identifikace umožní nejen pohodlné využívání kvalifikovaných služeb poskytujících důvěru v rámci celé EU, ale také využívání služeb e-governmentu jako „euro-občan“
DIGITÁLNÍ DŮVĚRA JAKO SLUŽBA Princip uplatnění služeb vytvářejících důvěru Uživatel
Aplikace Procesy
Přijetí
podání
Ověření podpisu
Vystavení
rozhodnutí
Business služby
Webové
služby
Webové
služby
Důvěryhodná archivace
Podpis/pečeť
Odeslání
Služby digitální důvěry
Webové
služby
Služby
podpisu/pečeti
Služby
ověřování
CA, TSA
VA
Archivační
služby
HSM
LDAP
HARMONOGRAM IMPLEMENTACE eIDAS
září 2014
Vstoupení nařízení eIDAS v platnost
2014
2015
září 2015
Definice technických standardů a volitelné vzájemné uznávání prostředků pro el. identifikaci
červenec 2016 Použitelnost ustanovení o službách vytvářejících důvěru pro el. dokumenty Nový zákon o službách vytvářejících důvěru
a zrušení zákona o el. podpisu
2016
2017
leden 2017
Zahájení vydávání nových eOP s národní eID
2018
2019
září 2018
Povinné vzájemné uznávání zahraničních eID pro veřejné systémy
AKTUÁLNÍ
DOPADY EVROPSKÉHO NAŘÍZENÍ EIDAS
HARMONOGRAM IMPLEMENTACE eIDAS
září 2014
Vstoupení nařízení eIDAS v platnost
2014
2015
září 2015
Definice technických standardů a volitelné vzájemné uznávání prostředků pro el. identifikaci
červenec 2016 Použitelnost ustanovení o službách vytvářejících důvěru pro el. dokumenty Nový zákon o službách vytvářejících důvěru
a zrušení zákona o el. podpisu
2016
2017
leden 2017
Zahájení vydávání nových eOP s národní eID
2018
2019
září 2018
Povinné vzájemné uznávání zahraničních eID pro veřejné systémy
ZÁKON O SLUŽBÁCH VYTVÁŘEJÍCÍCH DŮVĚRU PRO EL. TRANSAKCE Návrh zákona po meziresortním připomínkovém řízení Harmonizační zákon pro implementaci nařízení eIDAS v ČR •
ruší zákon 227/2000 Sb. o el. podpisu (ZoEP) založený na původní směrnici 1999/93/ES
•
přenáší vybranou terminologii původně definovanou v ZoEP
•
doplňuje požadavky v oblasti poskytovatelů služeb (TSP) a dohledu nad nimi
•
harmonizace stávající legislativy v oblasti zrovnoprávnění listinných a el. dokumentů a v oblasti terminologie
Požadavky na volbu nástrojů pro důvěryhodné el. dokumenty •
vyžadované úrovně el. podpisu a el. pečeti při styku s veřejnou správou
Očekávaná účinnost zákona – 1. července 2016 •
včetně dílčích přechodných období – až 2 roky
NOVÉ TYPY CERTIFIKÁTŮ Služby vydávání certifikátů – služba vytvářející důvěru Rozšíření dnes dostupných služeb akreditovaných poskytovatelů certifikačních služeb Vznik nového typu kvalifikovaného certifikátu pro elektronickou pečeť •
analogie současného kvalifikovaného systémového certifikátu
Vznik nového typu kvalifikovaného certifikátu pro autentizaci internetových stránek •
de facto SSL EV certifikát (s rozšířenou validací)
•
praktický problém s prosazením root certifikátů pro snadné využívání (OS, prohlížeče, …)
Současní APCS se stanou 1.7.2016 automaticky kvalifikovanými poskytovateli služeb
ELEKTRONICKÝ PODPIS Nové typy podpisu eIDAS definuje 3 úrovně elektronického podpisu •
zaručený el. podpis
•
zaručený el. podpis založený na kvalifikovaném certifikátu (současný uznávaný el. podpis)
•
kvalifikovaný el. podpis – nemá v naší legislativě obdobu, vyžaduje certifikované bezpečné zařízení pro uchovávání klíčů (dat pro vytváření podpisu)
Pro různé účely mohou být požadovány různé typy podpisů •
vždy musí být akceptovány i všechny vyšší úrovně podpisu, než je vyžadováno
Podoba podpisu a technické požadavky na vytváření jednotlivých podpisů byly upřesněny prováděcími akty z 8. 9. 2015 – formáty AdES a ASiC
UZNÁVANÝ EL. PODPIS A PEČEŤ Návrh zákona o službách vytvářejících důvěru Rozšíření současné definice uznávaného el. podpisu •
zaručený el. podpis založený na kvalifikovaném certifikátu (současná podoba)
•
kvalifikovaný el. podpis (vyžaduje bezpečný HW)
Uznávaný el. podpis je ekvivalentní vlastnoručnímu podpisu •
rozšíření definice nad rámec nařízení eIDAS
Analogicky je definována uznávaná el. pečeť •
nově pouze pro právnické osoby (na rozdíl od současné značky)
POUŽÍVÁNÍ ELEKTRONICKÉHO PODPISU Pouze pro „fyzické“ osoby §5 – K podepsání dokumentu, jímž činí úkon osoba při výkonu veřejnoprávních úkolů, lze použít pouze kvalifikovaný el. podpis §11 (1) – Při podepsání dokumentu osobou při výkonu veřejnoprávních úkolů je nutné opatřit podepsaný el. dokument kvalifikovaným el. časovým razítkem §6 – Obecně lze pro úkon vůči veřejnoprávnímu podepisujícímu použít pouze uznávaný el. podpis Přechodné období •
§18 (1) po dobu 2 let bude možné používat zaručený el. podpis
založený na kvalifikovaném certifikátu (současný stav)
ELEKTRONICKÁ PEČEŤ Novinka v rámci EU, ale ne pro nás Pouze pro právnické osoby – změna oproti značce Účel pečeti je prokázání integrity dokumentu a správnost původu Definuje analogické úrovně jako pro el. podpis •
kvalifikovaná el. pečeť bude pravděpodobně také vyžadovat certifikované bezpečné zařízení pro vytváření pečeti – tedy typicky HSM
•
používání uznávané značky se typicky po změně certifikátu změní na vytváření zaručené el. pečeti založené na kvalifikovaném certifikátu
Pro různé účely mohou být požadovány různé typy pečeti •
vždy musí být akceptovány i všechny vyšší úrovně pečeti než je vyžadováno
•
ideálně el. pečeť na každý výstupní dokument (včetně těch el. podepsaných)
POUŽÍVÁNÍ ELEKTRONICKÉ PEČETI Pouze pro „právnické“ osoby §8 – Pokud se nevyžaduje podepsání dokumentu, jímž činí úkon osoba při výkonu veřejnoprávních úkolů, je nutné zapečetit dokument kvalifikovanou el. pečetí §11 (2) – Při pečetění dokumentu osobou při výkonu veřejnoprávních úkolů je nutné opatřit podepsaný el. dokument kvalifikovaným el. časovým razítkem §9 – Obecně lze pro úkon vůči veřejnoprávnímu podepisujícímu použít pouze uznávanou el. pečeť Přechodné období •
§18 (2) po dobu 2 let bude možné používat uznávanou el. značku
nebo zaručenou el. pečeť založenou na kvalifikovaném certifikátu
ELEKTRONICKÁ ČASOVÁ RAZÍTKA Pouze kosmetická změna terminologie Zachovává stejné principy jako v současnosti Účel časového razítka je především v určení existence dat v čase a v integritě dat Nově nemusí být kvalifikovaná časová razítka vytvořená s pomocí kvalifikovaných certifikátů Pro běžné účely nepředpokládáme žádné významné praktické ani právní změny
DALŠÍ USTANOVENÍ NÁVRHU ZÁKONA
§7 a 10 – Pro ostatní dokumenty lze na základě vzájemné dohody používat jakýkoliv definovaný typ el. podpisu či el. pečeti §12 – Pro ověřování uznávaného podpisu resp. pečeti se použijí ustanovení určená pro kvalifikované formy podpisu a pečeti dle eIDAS Ostatní přechodná období •
§18 (4) po dobu 2 let bude možné používat el. časové razítko vydané
kvalifikovaným poskytovatelem služeb vytvářejících důvěru
•
§18 (6) platnost el. značek a systémových certifikátů není zrušením
ZoEP dotčena
OBELISK Trust Services OBELISK Trusted Archive
PAPERLESS – KOOPERATIVA POJIŠŤOVNA Apl.
(ČPP)
IS
(KOOP)
IS
(ČPP)
EMC Centera
Bezpečnostní služby
Archivační služby Paperless infrastruktura
(SignoSoft)
(KOOP)
Biometrie
Apl.
OVĚŘOVÁNÍ PLATNOSTI KVALIFIKOVANÝCH PODPISŮ A PEČETÍ Nový typ služby vytvářející důvěru Správné ověření platnosti podpisů a pečetí = právní jistota Musíme umět ověřovat kvalifikované podpisy a pečetě v rámci celé EU Ověření může spoléhající strana provést sama … … nebo může využít službu ověřování podpisů/pečetí •
zajistí ověření platnosti k okamžiku podpisu
•
poskytne výsledek (důkaz) ověření
Příklady validačních služeb - WebNotarius, CertReview, CertIQ (částečně) Výsledky ověření je potřeba ukládat jako důkaz ! uchovávání EP
OBELISK Certificate Validation
OVĚŘOVÁNÍ PLATNOSTI KVALIFIKOVANÝCH CERTIFIKÁTŮ On-line služba pro ověření platnosti certifikátů v rámci EU Ověřování platnosti certifikátů •
identifikace a porovnávání s CRL listy a OCSP odpověďmi
•
online respondéry distribuující odpovědi protokolu OCSP
•
vygenerování prohlášení o platnosti certifikátu
•
evidence provedených operací
Aktualizace dat a metadat •
manuální aktualizace dat o CA a kořenových certifikátech
•
automatizované stahovaní CRL listů včetně historie
•
komunikační protokoly – OCSP a SOAP
www.certreview.eu
UCHOVÁVÁNÍ KVALIFIKOVANÝCH PODPISŮ A PEČETÍ Nová služba vytvářející důvěru eIDAS definuje uchovávání podpisů a pečetí (ne uchovávání dokumentů) •
správně uchovaný EP prokazuje důvěryhodnost dokumentu nezávisle na místě jeho uložení
•
je nutné zajistit bezpečné uložení dat a dokumentů
Služba uchování EP zajistí důvěryhodnost i po plynutí doby platnosti podpisu/ pečetě Při dodržení postupů a norem v souladu eIDAS mohu uchovávat EP sám Referenční normy budou upřesněny
OBELISK Trusted Archive
OBELISK Certificate Validation
DŮVĚRYHODNÝ ELEKTRONICKÝ ARCHIV ČÚZK ISKN
KESSL
IS
ECM/DMS
ORACLE WebCenter Content
Garantované
dokumentové úložiště
Garantované
dokumentové úložiště
(primární lokalita)
(záložní lokalita)
User
HARMONOGRAM IMPLEMENTACE eIDAS
září 2014
Vstoupení nařízení eIDAS v platnost
2014
2015
září 2015
Definice technických standardů a volitelné vzájemné uznávání prostředků pro el. identifikaci
červenec 2016 Použitelnost ustanovení o službách vytvářejících důvěru pro el. dokumenty Nový zákon o službách vytvářejících důvěru
a zrušení zákona o el. podpisu
2016
2017
leden 2017
Zahájení vydávání nových eOP s národní eID
2018
2019
září 2018
Povinné vzájemné uznávání zahraničních eID pro veřejné systémy
ELEKTRONICKÁ IDENTITA
Aktuálně se řeší výběr vhodných národních systémů eID •
připravuje se nový „funkční“ eOP, dalšími kandidáty jsou ISDS, MojeID
•
eID systémy budou vždy pouze národní
Důsledky zavedení •
použití národní identity pro autentizaci ke službám vytvářejícím důvěru – v ČR i EU •
•
a vůči službám v oblasti veřejné správy (eIDAS nereguluje lokální využití eID)
vybudování národní brány pro zpřístupnění zbytku EU – zodpovědnost provozovatele eID
od 09-2018 povinná akceptace zahraničních eID systémů pro veřejné systémy
ELEKTRONICKÉ DOPORUČENÉ DORUČOVÁNÍ Nová služba vytvářející důvěru ISDS aspiruje být kvalifikovanou službou doporučeného doručování •
ale eIDAS nám žádnou nenařizuje
ISDS je v souladu s eIDAS po technické stránce •
integrita dat – zaručený elektronický podpis
•
správnost data a času – kvalifikované časové razítko
•
poskytuje důkaz týkající se nakládání s přenášenými daty
Budou změny v souvislosti s identifikací příjemce a odesílatele Datová zpráva nemůže suplovat projev vůle •
to dokáže pouze el. podpis nebo pečeť
JAK ZAČÍT
RIZIKA NICNEDĚLÁNÍ Nulová varianta Při neúplné validaci vstupů hrozí provedení úkonu na základě neplatného podání Nevybavení dokumentu podpisem/pečetí bude v rozporu se zákonem Neschopnost zpracovat standardní formáty definované zákonem/nařízením – AdES Neodborné využívání podpisů/pečetí může způsobit neplatnost vlastních dokumentů Nepoužití bezp. prostředků pro vytváření podpisů/pečetí bude v rozporu se zákonem Bez odborné důvěryhodné el. archivace ztratí el. dokumenty statut platného originálu
DIGITÁLNÍ EVROPA 2020 Poznejte dopady eIDAS
na svoji organizaci
Zaměřte se
na digitální důvěru
Řešte paperless a důvěru
jako centrální služby
STUDIE DOPADŮ NAŘÍZENÍ EIDAS Nejrychlejší cesta jak zjistit rozsah dopadů Konzultační služba s jasně definovaným rozsahem Součástí studie je
Poznejte dopady eIDAS
na svoji organizaci
Zaměřte se
na digitální důvěru Řešte paperless a důvěru jako centrální služby
•
co to je eIDAS, terminologie, připravovaná legislativa
•
identifikace procesů potenciálně dotčených novým nařízením
•
zhodnocení vlivu na jednotlivé procesy dle jednotné metodiky
•
identifikace rizik souvisejících s dosud neexistujícími legislativními změnami a standardy
•
architektonický a funkční návrh vhodných opatření
Časová náročnost – typicky 3 až 6 týdnů v závislosti na velikosti organizace
Současný stav Aplikace / portály
s veřejným přístupem
Externí IS
Portál
Aplikace / portály
s neveřejným přístupem
ISDS
Email EPO CA Enterprise Service Bus ZR,ASPI Czech Point
HR
APP
APP
DMS, ESSS
Stav eIDAS ready Aplikace / portály
s veřejným přístupem
Externí IS
Portál
Aplikace / portály
s neveřejným přístupem
ISDS
Email EPO
HSM
CA Enterprise Service Bus ZR,ASPI Czech Point HR
APP
APP
DMS, ESSS
E-archivace
„On Premise“
Validační autorita
Document Storage Unification Layer Garantované úložiště E-archivace
„On Demand“
DIGITÁLNÍ EVROPA 2020 Poznejte dopady eIDAS
na svoji organizaci
Zaměřte se
na digitální důvěru
Řešte paperless a důvěru
jako centrální služby
www.sefira.cz
