stáhnout pdf
Transkript
stáhnout pdf
E-DOKUMENT Změny v oblasti postavení e-dokumentů v EU 2016+ Ing.Robert Piffl, [email protected] ÚVOD ‣ Information Security & eArchiving Conference 2015 - “eGovernment aneb Stát bez papíru” ‣ tento materiál slouží jako pomůcka pro osobní prezentaci a nemůže být užit bez současného a podrobného výkladu autora Ing.Robert Piffl, [email protected] ÚVOD ‣ současný stav - neujasněnost, mýty, 100 x opakované omyly se stávají pravdou … ‣ problém přeshraničního uznávání ‣ problém i národních legislativ a různosti výkladů ‣ vysoká právní nejistota, rizika skartace originálu při konverzi mimo autorizovanou Ing.Robert Piffl, [email protected] ÚVOD ‣ Evropa 2020 - Digital agenda for Europe ‣ Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES Ing.Robert Piffl, [email protected] Nařízení eIDAS a vychází ze strategie „Europe 2020“ a její iniciativě „Digital agenda for Europe“ Strategy Europe 2020 2010 Digital agenda for Europe IAS 1 2010 (revised in 2012) 2011-2012 eIDAS 2014 Action 83: Propose a Council and Parliament Decision on mutual recognition of e-ID Studie IAS 1 (analýza + návrh obsahu nařízení eIDAS) Nařízení 910/2014 „eIDAS“ Action 8: Revision of the eSignature directive Strategie Evropa 2020 se skládá ze sedmi hlavních iniciativ. Jednou z nich je Digitální agenda pro Evropu. Digitální agenda pro Evropu je postavena na sedmi pilířích v rámci kterých je celkem realizováno 132 aktivit. Dvě z těchto 132 aktivit vedly k zadání studie IAS 1 a k vytvoření nařízení eIDAS. Ing.Robert Piffl, [email protected] Nařízení eIDAS bylo vytvořeno na základě studie IAS 1. Sekundární právní akty k nařízení eIDAS budou připraveny na základě navazující studie IAS 2. Evropský parlament & Evropská rada Evropská komise „Legislativní stream“ Nařízení eIDAS Elektronická identifikace „Přípravný stream“ 07/2014 Studie IAS 1 a IAS 2 (DLA PIPER, SEALED, time.lex, PwC, SGA) 2011-20 12 Studie IAS 1 „Standardizační stream“ 2011+ Mandát M460 (ESOs – CEN, CENELEC, ETSI) Návrh standardů v šesti oblastech frameworku M460 6 Draft nařízení eIDAS Trust Service Status Lists Providers Služby vytvářející důvěru Doporučení pro sekundární akty (včetně standardů) Vytváření, ověřování shody a platnosti el. podpisů, pečetí, razítka certifikátů souvisejících s těmito službami. (+VAN DIJK) Studie IAS 2 Služby el. doporučeného doručování. 2013-20 15 Návrh sekundárních aktů (včetně doporučení standardů) Doporučení pro vytvoření nových standardů 5 4 TSPs supporting eSignature Trust Application Service Providers\ 1 Signature Creation & Validation 3 2 Signature Creation & other related Devices Cryptographic Suites Vytváření, ověřování shody a platnosti certifikátů pro autentizaci www stránek. Uchovávání el. podpisů, pečetí nebo certifikátů souvisejících s těmito službami. 2015-20 18 SekundárníZakázka právní akty k nařízení eIDAS úprav (vydá(dodavatelé) Evropská komise) na návrh legislativních Zakázka na návrh legislativních úprav (dodavatelé) Ing.Robert Piffl, [email protected] 2014 2015 2016 2017 2018 2019+ Vstoupení nařízení eIDAS v platnost 17. září 2014 Volitelné vzájemné uznávání prostředků pro el. identifikaci Odvíjí se od použitelnosti příslušných IA (implementing acts) -> EK by měla předložit příslušné prováděcí akty do 18. září 2015 Použitelnost ustanovení o službách vytvářejících důvěru, el. dokument od 1. července 2016 Časový harmonogram nařízení eIDAS Odvíjí se od použitelnosti IA + 3 roky -> zřejmě ne dříve než v polovině roku 2018 Povinné vzájemné uznávání eID Ing.Robert Piffl, [email protected] PODSKUPINY V ČR ‣ Pracovní podskupiny eIDAS, mají za cíl připravit jednotlivé oblasti upravené nařízením eIDAS k jejich legislativní a technické realizaci 1. El.podpisy, el. pečetě, časová razítka a autentizace webů 2. Elektronické doporučené doručování (v rámci služeb vytvářejících důvěru) 3. Elektronická identita a prostředky pro elektronickou identifikaci 4. Gateway národního ID systému a dalších služeb vytvářejících důvěru do EU a vice-versa 5. Elektronický dokument 6. Dohledové orgány, hodnocení ID systémů Ing.Robert Piffl, [email protected] EIDAS PRINCIPY ‣ nařízení má zvýšit důvěryhodnost elektronických transakcí na vnitřním trhu tím, že poskytne společný základ pro bezpečnou elektronickou komunikaci mezi občany, podniky, orgány veřejné moci, čímž posílí efektivnost veřejných a soukromých on-line služeb, elektronického podnikání a elektronického obchodu v Unii Ing.Robert Piffl, [email protected] EIDAS PRINCIPY ‣ odstranění stávajících překážek přeshraničního využívání prostředků pro elektronickou identifikaci, které se v členských státech používají k autentizaci, alespoň pro účely veřejných služeb ‣ obecný právní rámec pro využívání služeb vytvářejících důvěru Ing.Robert Piffl, [email protected] EIDAS PRINCIPY ‣ nařízení by mělo stanovit odpovědnost pro všechny poskytovatele služeb vytvářejících důvěru. Zejména zavádí režim odpovědnosti, podle kterého by všichni poskytovatelé služeb vytvářejících důvěru měli odpovídat za škodu, kterou fyzické nebo právnické osobě způsobí v důsledku nesplnění povinností podle tohoto nařízení Ing.Robert Piffl, [email protected] EIDAS PRINCIPY ‣ zajistit soudržný rámec, který by v souvislosti se službami vytvářejícími důvěru zabezpečil vysokou úroveň bezpečnosti a právní jistotu ‣ zavést zásadu, že elektronickému podpisu by neměly být upírány právní účinky na základě skutečnosti, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikovaný elektronický podpis Ing.Robert Piffl, [email protected] EIDAS PRINCIPY ‣ nařízení by mělo stanovit požadavky na kvalifikované prostředky pro vytváření elektronických podpisů, které mají zajistit funkčnost zaručených elektronických podpisů ‣ nařízení by mělo zajistit dlouhodobé uchovávání informací, aby zajistilo dlouhodobou platnost elektronických podpisů a elektronických pečetí a zaručilo, že mohou být ověřeny bez ohledu na budoucí technologické změny Ing.Robert Piffl, [email protected] RÁMEC EIDAS ‣ stanoví podmínky, za nichž členské státy uznávají prostředky pro elektronickou identifikaci fyzických a právnických osob, které spadají do oznámeného systému elektronické identifikace jiného členského státu; ‣ stanoví pravidla pro služby vytvářející důvěru, zejména u elektronických transakcí; a ‣ stanoví právní rámec pro elektronické podpisy, elektronické pečetě, elektronická časová razítka, elektronické dokumenty, služby elektronického doporučeného doručování a certifikační služby pro autentizaci internetových stránek. Ing.Robert Piffl, [email protected] PODPISY ‣ Z důvodu právní jistoty a jasnosti bude směrnice 1999/93/ES zrušena ‣ Komplexní změna zákona o elektronickém podpisu ‣ pro zajištění právní jistoty pro tržní subjekty, které již používají kvalifikovaná osvědčení vydaná fyzickým osobám podle směrnice 1999/93/ES, je nutné stanovit dostatečně dlouhou lhůtu pro přechod Ing.Robert Piffl, [email protected] E-PODPISY ‣ Právní účinky elektronických podpisů ‣ 1. Elektronickému podpisu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické podpisy. ‣ 2. Kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu. ‣ 3. Kvalifikovaný elektronický podpis založený na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaný elektronický podpis ve všech ostatních členských státech. Ing.Robert Piffl, [email protected] E-PODPISY ‣ Zaručený elektronický podpis musí splňovat tyto požadavky: A. je jednoznačně spojen s podepisující osobou; B. umožňuje identifikaci podepisující osoby; C. je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolou; a D. je k datům, která jsou tímto podpisem podepsána, připojen takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat. Ing.Robert Piffl, [email protected] E-PEČETĚ ‣ Elektronické pečetě by měly sloužit jako důkaz toho, že elektronický dokument vydala určitá právnická osoba, a poskytovat jistotu o původu a integritě dokumentu Ing.Robert Piffl, [email protected] WEB ‣ Služby autentizace internetových stránek poskytují prostředek, s jehož pomocí se návštěvník určitých internetových stránek může ujistit, že tyto stránky reprezentují skutečný a legitimní subjekt Ing.Robert Piffl, [email protected] E-PEČETĚ ‣ Právní účinky elektronických pečetí 1. Elektronické pečeti nesmějí být upírány právní účinky a nesmí být odmítána jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické pečetě. 2. U kvalifikované elektronické pečeti platí domněnka integrity dat a správnosti původu těch dat, s nimiž je kvalifikovaná elektronická pečeť spojena. 3. Kvalifikovaná elektronická pečeť založená na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaná elektronická pečeť ve všech ostatních členských státech Ing.Robert Piffl, [email protected] E-PEČETĚ ‣ Zaručená elektronická pečeť musí splňovat tyto požadavky: A. je jednoznačně spojena s pečetící osobou; B. umožňuje identifikaci pečetící osoby; C. je vytvořena pomocí dat pro vytváření elektronických pečetí, která může pečetící osoba s vysokou úrovní důvěry použít k vytváření elektronické pečeti pod svou kontrolou; a D. je k datům, ke kterým se vztahuje, připojena takovým způsobem, že je možné zjistit jakoukoliv následnou změnu dat. Ing.Robert Piffl, [email protected] ČASOVÁ RAZÍTKA ‣ Právní účinek elektronických časových razítek 1. Elektronickému časovému razítku nesmějí být upírány právní účinky a nesmí být odmítáno jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu nebo že nesplňuje požadavky na kvalifikované elektronické časové razítko. 2. U kvalifikovaného elektronického časového razítka platí domněnka správnosti data a času, které udává, a integrity dat, s nimiž jsou toto datum a tento čas spojeny. 3. Kvalifikované elektronické časové razítko vydané v jednom členském státě se uznává jako kvalifikované elektronické časové razítko ve všech členských státech. Ing.Robert Piffl, [email protected] DORUČOVÁNÍ ‣ Právní účinek služby elektronického doporučeného doručování 1. Datům odeslaným a přijatým prostřednictvím služby elektronického doporučeného doručování nesmějí být upírány právní účinky a nesmějí být odmítána jako důkaz v soudním a správním řízení pouze z toho důvodu, že mají elektronickou podobu nebo že nesplňují požadavky na kvalifikovanou službu elektronického doporučeného doručování. 2. U dat odeslaných a přijatých prostřednictvím kvalifikované služby elektronického doporučeného doručování platí domněnka integrity dat, odeslání těchto dat identifikovaným odesílatelem, jejich přijetí identifikovaným příjemcem a správnosti data a času odeslání a přijetí, jež jsou u kvalifikované služby elektronického doporučeného doručování uvedeny Ing.Robert Piffl, [email protected] DORUČOVÁNÍ ‣ Kvalifikované služby elektronického doporučeného doručování musí splňovat tyto požadavky: A. jsou poskytovány jedním či více kvalifikovanými poskytovateli služeb vytvářejících důvěru; B. s vysokou úrovní spolehlivosti zajišťují identifikaci odesílatele; C. zajišťují identifikaci příjemce před doručením dat; D. odesílání a přijímání dat je zabezpečeno prostřednictvím zaručeného elektronického podpisu nebo zaručené elektronické pečeti kvalifikovaného poskytovatele služeb vytvářejících důvěru tak, aby byla vyloučena možnost nezjistitelné změny dat; E. odesílatel a příjemce dat jsou jednoznačně vyrozuměni o případných změnách dat potřebných za účelem odeslání nebo přijetí dat; F. datum a čas odeslání, přijetí a případná změna dat jsou označeny prostřednictvím kvalifikovaného elektronického časového razítka. Ing.Robert Piffl, [email protected] DŮVĚRA ‣ Důvěryhodné seznamy 1. Každý členský stát zřizuje, udržuje a zveřejňuje důvěryhodné seznamy obsahující informace týkající se kvalifikovaných poskytovatelů služeb vytvářejících důvěru v jeho působnosti spolu s informacemi o jimi poskytovaných kvalifikovaných službách vytvářejících důvěru. 2. Členské státy zřizují ve formě vhodné pro automatické zpracování, udržují a zabezpečeným způsobem zveřejňují důvěryhodné seznamy uvedené v odstavci 1, které jsou opatřeny elektronickým podpisem nebo elektronickou pečetí. Ing.Robert Piffl, [email protected] ZNAČKA EU Ing.Robert Piffl, [email protected] E-DOKUMENTY ‣ nařízení by mělo stanovit zásadu, že elektronickému dokumentu nesmějí být upírány právní účinky na základě skutečnosti, že má elektronickou podobu ‣ cílem této zásady je zajistit, aby elektronická transakce nebyla odmítnuta jen z toho důvodu, že dokument má elektronickou podobu Ing.Robert Piffl, [email protected] E-DOKUMENT ‣ ‣ Článek 46 Právní účinky elektronických dokumentů Elektronickému dokumentu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu. Ing.Robert Piffl, [email protected] EID ‣ Poskytuje prostředky pro elektronickou identifikaci ‣ Všechny elektronické identity jsou ztotožněny s reálnou identitou osob ‣ Je již využíván národními ISVS ‣ Nabízí on-line autentizační službu ‣ Státem garantovaný systém ‣ Nabízí požadované úrovně záruky ‣ Garantované procesy prokazování a ověřování totožnosti osob ‣ Garantované procesy pro vydávání prostředků pro elektronickou identifikaci ‣ Splnění technických a bezpečnostních požadavků ‣ Soulad s rámcem interoperability Ing.Robert Piffl, [email protected] Ing.Robert Piffl, [email protected] ISDS = Oblasti eIDAS s významným dopadem na ISDS: 1 2 (doručovací subsystém) Identitní prostor datových schránek Datové schránky Služba elektronického doporučeného doručování (cílem je harmonizace) + Elektronická identifikace (cílem je interoperabilita) 31 Ing.Robert Piffl, [email protected] 2 1 4 Příklad přihlášení k ePortálu ČSSZ 32 3 Ing.Robert Piffl, [email protected] ZÁVĚRY ‣ Od 1.7.2016 postupný náběh ‣ Změny prakticky všech právních předpisů v gesci MV ČR související s e-dokumenty, podpisy, zákonem o informačních systémech státní správy, atd… Ing.Robert Piffl, [email protected] ZÁVĚRY ‣ Bude nutné být připraven na plnou elektronizaci státní správy od roku 2020 v rámci EU ‣ Bude nutné dbát maximálně na bezpečnost elektronických dokumentů ‣ Bude nutné maximálně chránit eID, podpisy, pečetě … ‣ Bude nutné zajistit kontinuitu e-dokumentů Ing.Robert Piffl, [email protected] DĚKUJI ZA POZORNOST [email protected] Ing.Robert Piffl, [email protected]