eIDAS elektronická identita, elektronický podpis - příprava, dopad do praxe … Praha 25. 5. 2016 Mgr. Jan Schwaller Hlavní město Praha, Magistrát hlavního města Prahy, Archiv hlavního města Prahy, Oddělení fondů městských podniků, institucí a fyzických osob +420 731142934,
[email protected] www.praha.eu
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
1
Osnova přednášky
• EIDAS – „o čem to je?“
• Odraz v ČR • Metodická doporučení
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
2
Legislativní rámec Dne 28.srpna 2014 vyšlo v Ústředním věstníku EU nové Nařízení parlamentu a Rady o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (dále eIDAS) NAŘÍZENÍ EIDAS EU/910/2014 „Regulation of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market“
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
3
Poslanecká sněmovna – program 47. schůze dne 24.5. 2016 170. Vládní návrh zákona o službách vytvářejících důvěru pro elektronické transakce /sněmovní tisk 763/ - třetí čtení 171. Vládní návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o službách vytvářejících důvěru pro elektronické transakce, zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů, a zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů /sněmovní tisk 764/ - třetí čtení
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
4
Prováděcí akty I. 1. Prováděcí rozhodnutí Komise (EU) 2015/296 ze dne 24. února 2015 , kterým se stanoví procesní opatření pro spolupráci mezi členskými státy v oblasti elektronické identifikace podle čl. 12 odst. 7 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu 2. Prováděcí nařízení Komise (EU) 2015/806 ze dne 22. května 2015, kterým se stanoví specifikace týkající se podoby značky důvěry EU pro kvalifikované služby vytvářející důvěru
3. Prováděcí rozhodnutí Komise (EU) 2015/1506 ze dne 8. září 2015, kterým se stanoví specifikace pro formáty zaručených elektronických podpisů a zaručených pečetí uznávaných subjekty veřejného sektoru podle čl. 27 odst. 5 a čl. 37 odst. 5 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu 4.
Prováděcí rozhodnutí Komise (EU) 2015/1505 ze dne 8. září 2015, kterým se stanoví technické specifikace a formáty důvěryhodných seznamů podle čl. 22 odst. 5 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
5
Prováděcí akty II. 5. Prováděcí nařízení Komise (EU) 2015/1502 ze dne 8. září 2015, kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci podle čl. 8 odst. 3 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu 6.
Prováděcí nařízení Komise (EU) 2015/1501 ze dne 8. září 2015 o rámci interoperability podle čl. 12 odst. 8 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu
7. Prováděcí rozhodnutí Komise (EU) 2015/1984 ze dne 3. listopadu 2015, kterým se stanoví okolnosti, formáty a postupy pro oznamování podle čl. 9 odst. 5 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (oznámeno pod číslem C(2015) 7369) 8. Prováděcí rozhodnutí Komise (EU) 2016/650 ze dne 25. dubna 2016, kterým se stanoví normy pro posuzování bezpečnosti kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí podle čl. 30 odst. 3 a čl. 39 odst. 2 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu bylo zveřejněno v Úředním věstníku EU dne 26. dubna 2016 a vstupuje v platnost dvacátým dnem po zveřejnění v Úředním věstníku.
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
6
Proč eIDAS?
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
7
Oficiální stanovisko I: • Pocit právní nejistoty při provádění transakcí elektronickými prostředky • Snaha zvýšit důvěryhodnost elektronických transakcí poskytnutím společného základu pro bezpečnou elektronickou komunikaci • Směrnice 1999/93/ES neposkytovala ucelený rámec pro bezpečné důvěryhodné a snadno použitelné elektronické transakce v přeshraničního styku • Roztříštěnost digitálního trhu • Snaha o prosazení plně integrovaného jednotného digitálního trhu využíváním on-line služeb se zvláštním zřetelem na bezpečné elektronické identifikace a autentizace • Členské státy musí vytvořit jednotná kontaktní místa s cílem zajistit, aby veškeré postupy a formality byly splněny na dálku prostřednictvím elektronické identifikace, autentizace a podpisu.
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
8
Oficiální stanovisko II: • • • • • • •
Mělo by být možné použít (u služeb vytvářejících důvěru) ve všech členských státech jako důkaz v soudním i správním řízení Toho by se mělo dosáhnout jakýmikoli technickými prostředky, jsou-li splněny požadavky tohoto nařízení. Zavést pojmy „kvalifikované služby vytvářející důvěru“ a „kvalifikovaný poskytovatel služeb vytvářejících důvěru“. Stanovení odpovědnosti poskytovatele služeb vytvářejících důvěru. Zajištění požadavků na akreditaci subjektů. Zásada, podle které by elektronickému podpisu neměly být upírány právní účinky na základě skutečnosti, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikovaný elektronický podpis. Právní účinky elektronických podpisů v členských státech by však měly být vymezeny vnitrostátním právem, s výjimkou požadavků stanovených v tomto nařízení, podle něhož by měl mít kvalifikovaný elektronický podpis rovnocenný právní účinek jako podpis vlastnoruční.
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
9
Mimo oficiality I: • Roztříštěnost v rámci EU, ale i jednotlivých členských zemí – i u nás • Ponecháno na uživatelích, aby správně používali ty nástroje pro práci s elektronickými podpisy, které si sami a svobodně vyberou – ale za cenu toho, že pak také sami odpovídají za jejich správnou činnost, správné nastavení, i za správnou interpretaci jejich výsledků • Dnes už samotné elektronické podpisy rozhodně nestačí pro všechno to, co bychom chtěli dělat elektronickou cestou. Zapotřebí je řada dalších věcí, které umožní dosáhnout v celém online světě dostatečné důvěry ve všechno to, na co se potřebujeme spoléhat • Dnes už nejde zdaleka jen o elektronické dokumenty, které opatřujeme elektronickými podpisy, případně značkami a také časovými razítky, abychom se mohli spoléhat na jejich neměnnost (integritu), ale také na jejich původ a pravost (autenticitu). Jde například také o to, abychom jako zákazníci (resp. občané) věděli, kdo je naší skutečnou protistranou při nějakém online jednání, a mohli se na to spoléhat.
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
10
Mimo oficiality II: •
•
• • •
A stejně tak druhá strana, ať již je to nějaký komerční poskytovatel, nebo orgán veřejné moci: i on potřebuje vědět, kdo s ním chce komunikovat (potřebuje identifikovat svého klienta), a mít jistotu, že je skutečně tím, za koho se vydává (klient se musí tzv. autentizovat). Teprve pak ho může protistrana někam pustit, nechat ho něco udělat, dát mu nějaká oprávnění atd. (tj. autorizovat ho k určitým činnostem či úkonům, obecně provést jeho autorizaci) Privátní sektor se s takovýmito úkoly vyrovnává snáze, protože má větší volnost ve svých smluvních vztazích oproti státu. Ale i tak je nepříjemné, když si každý privátní subjekt vše řeší po svém, a tedy jinak než ostatní. Veřejný sektor to má složitější, ale na druhou stranu mu lze snáze nařídit jednotné řešení cestou zákona. A nemusí to být jen „národní“ zákon To je i případ popisovaného nařízení eIDAS, které je povinné pro veřejný sektor Celý eIDAS je přitom zaměřen hlavně na tzv. přeshraniční styk. Tj. ukládá striktní povinnosti tam, kde dochází k přesahu mezi jednotlivými členskými zeměmi
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
11
Nařízení se dotkne zejména následujících oblastí: • důvěryhodná elektronická identita fyzické osoby; • důvěryhodný podpis zaručující integritu a vazbu na identitu fyzické osoby; • důvěryhodná značka zajišťující integritu a vazbu na právnickou osobu; • důvěryhodné časové razítko zajišťující integritu a vazbu na čas; • důvěryhodná služba registrovaného elektronického doručování zajišťující integritu a vazbu na odesílatele, adresáta a čas odeslání a doručení; • důvěryhodný dokument se zaručenou integritou; • důvěryhodnost webových stránek s vazbou na provozovatele.
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
12
TECHNICKÝ
25.5. 2016
PROBLÉMY E-GOVERNMENTU
PRÁVNÍ
Novinky léta 2016 - Veřejné zakázky a související změny
13
Důvěryhodná elektronická identita fyzické osoby • obecně definována v čl. 6 – 12 nařízení EU/910/2014 • lze jít rozumět jednorázovou autentizaci osoby spojenou s prokázáním totožnosti osoby (uživatele) na počátku počítačového sezení nebo před provedením důležité operace • identifikace je důležitá zejména k tomu, pokud chcete poskytovat služby pouze některým osobám • od příštího roku bude každý OP vybaven elektronickým čipem, který bude obsahovat tzv. identifikační certifikát, který bude sloužit jako klíč k elektronickým službám státu. • dále si bude možné zdarma zažádat o podpisový certifikát • „jednání se státem“ – nová e-OP bude obsahovat kvalifikovaný elektronický podpis založený na kvalifikovaném certifikátu
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
14
Důvěryhodná elektronická identita fyzické osoby
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
15
Úrovně záruky
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
16
Shrnutí
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
17
Služby vytvářející důvěru
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
18
Kvalifikované služby vytvářející důvěru (čl. 20-24 EU/910/2014) • jde o takové služby, které slouží k vytváření důvěry v něco jiného: například v dokumenty, v místa v online světě, v datování nějaké události atd. • služby pro vytváření a ověřování elektronických podpisů, pečetí, časových razítek, obálek (zpráv) a míst (web sites) • bývá od TSP poskytován jako vedlejší služba a slouží pro autentizaci a identifikaci webového serveru jako samočinně běžící technické entity, spravované určitou osobou, jejíž totožnost je certifikátu uvedena – certifikát se vydává pouze na jeden webový server, na jeden website – certifikát autentizuje webový server a nikoli jednotlivé internetové stránky • služby pro udržování podpisů, pečetí a razítek • důvěryhodnost by se neměla odvozovat od toho, zda někdy prošel nějakým archivem, spisovou službou či třeba datovými schránkami, a jak se s ním přitom nakládalo. Měla by se odvozovat pouze od toho, co o sobě dokument říká sám. Především svým podpisem, pečetí a časovými razítky • používání formátů tzv. dlouhodobě ověřitelných elektronických podpisů (LTV, Long Term Validation) a o pravidelné přerazítkovávání, které dokáže kontrovat možnosti vypočítat kolizní dokument v únosně krátkém čase. • otázka, nebo problém? – tzv. digitální kontinuita (viz § 69a, odst. 5, AZ) • požadavky na kvalifikované služby vytvářející důvěru (článek 24) • Důvěryhodné seznamy – článek 22 25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
19
Elektronické podpisy (čl. 25-34 EU/910/2014) • eIDAS definuje 3 úrovně elektronického podpisu: a) zaručený el. podpis b) zaručený el. podpis založený na kvalifikovaném certifikátu (současný uznávaný el. podpis) c) kvalifikovaný el. podpis •Elektronickému podpisu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy. • Kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu • Kvalifikovaný elektronický podpis založený na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaný elektronický podpis ve všech ostatních členských státech. • přechodné období - po dobu 2 let bude možné používat zaručený el. podpis založený na kvalifikovaném certifikátu (současný stav)
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
20
Elektronická pečeť (čl. 35-40 EU/910/2014)
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
21
Elektronická časová razítka (čl. 41-42 EU/910/2014) • kvalifikovaného elektronického časového razítka platí domněnka správnosti data a času, které udává, a integrity dat, s nimiž jsou toto datum a tento čas spojeny •Zachovává stejné principy jako v současnosti •Účel časového razítka je především v určení existence dat v čase a v integritě dat
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
22
Služba elektronického (kvalifikovaného) doporučeného doručování (čl. 43-44 EU/910/2014) • Postavení ISDS - aspiruje být kvalifikovanou službou doporučeného doručování (ale eIDAS nám žádnou nenařizuje) • ISDS je v souladu s eIDAS po technické stránce a) integrita dat – zaručený elektronický podpis b) správnost data a času – kvalifikované časové razítko c) poskytuje důkaz týkající se nakládání s přenášenými daty ALE • Datová zpráva nemůže suplovat projev vůle - to dokáže pouze el. podpis nebo pečeť
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
23
Co s tím?
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
24
Co s tím?
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
25
Výsledek … ?! • Budeme nuceni otevřít datové schránky komunikace mimo legislativní a technický rámec ČR •Otevře se trh kvalifikovaných certifikátů •Dojde ke změně politik certifikačních autorit včetně např. k prodloužení platnosti kvalifikovaného i uznávaného certifikátu
•Veřejná správa se naučí správně pracovat se serverovými certifikáty •Naučíme se pracovat s LTV podpisy a vytvářet dlouhodobě důvěryhodné elektronické dokumenty •Implementuje evropskou letitou dobrou praxi v oblasti využití elektronické identity •Stěžejní technologické prvky národního e-Governmentu nebudou již výhradní doménou státu
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
26
Zdroje eIDAS – legislativa http://www.mvcr.cz/clanek/elektronicky-podpis-dokumenty-narizeni-eidas-bylo-dne28-srpna-2014-zverejneno-v-urednim-vestniku-eu.aspx http://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32014R0910
eIDAS obecně a na všechny způsoby:
http://www.isss.cz/ www.cnz
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
27
Zdroje eIDAS – stránky MV ČR • Informační materiál s předpokládanými dopady nařízení eIDAS a návrhu zákona o službách vytvářejících důvěru pro elektronické transakce na veřejnou správu (http://www.mvcr.cz/clanek/informacni-material-s-predpokladanymi-dopady-narizenieidas-a-navrhu-zakona-o-sluzbach-vytvarejicich-duveru-pro-elektronicke-transakce-naverejnou-spravu.aspx) • Metodický návod pro ověřování platnosti uznávaných elektronických podpisů a elektronických pečetí (http://www.mvcr.cz/clanek/metodicky-navod-pro-overovaniplatnosti-uznavanych-elektronickych-podpisu-a-elektronickych-peceti.aspx) •Informace k formátům zaručených elektronických podpisů a zaručených elektronických pečetí pro subjekty veřejného sektoru (http://www.mvcr.cz/clanek/informace-k-formatum-zarucenych-elektronickychpodpisu-a-zarucenych-elektronickych-peceti-pro-subjekty-verejneho-sektoru.aspx) •Přijaté prováděcí akty k nařízení eIDAS (http://www.mvcr.cz/clanek/prijate-provadeciakty-k-narizeni-eidas.aspx)
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
28
Děkuji za pozornost
25.5.2016
Novinky léta 2016 - Veřejné zakázky a související změny
29