dne PROGRAM VEŘEJNÉ KONZULTACE Zpráva z veřejné konzultace místo konání: Ministerstvo vnitra, budova Centrotex, zasedací místnost č. 1.

Transkript

1 Zpráva z veřejné konzultace na téma kvalifikovaných prostředků pro vytváření elektronických pečetí a služby vytváření kvalifikované elektronické pečeti na dálku dne čas konání: 10:00 12:00 hod. místo konání: Ministerstvo vnitra, budova Centrotex, zasedací místnost č PROGRAM VEŘEJNÉ KONZULTACE 1. Úvod P. Kuchař 2. Informace MV k této problematice F. Bílek 3. Diskuse, stanoviska a plány poskytovatelů účastníci 1/8

2 1. Úvod Petr Kuchař zahájil veřejnou konzultaci přivítáním hostů a poděkoval za širokou účast na veřejné konzultaci. 2. Informace MV k této problematice F. Bílek informoval, že důvodem uspořádání veřejné konzultace je seznámení účastníků s aktuálním stavem v oblasti kvalifikovaných prostředků pro vytváření elektronických pečetí a to zejména s ohledem na platnou legislativu a očekává následnou diskusi společně se získáním poznatků a případných plánů jednotlivých účastníků (mezi hosty byli zástupci kvalifikovaných poskytovatelů služeb vytvářejících důvěru, dále zástupci společností dodávajících čipové karty, HSM moduly (Hardware security module) a další prostředky. Dále byli přítomni zástupci akreditovaných subjektů posuzování shody, zástupci některých ministerstev a dalších úřadů a různých komerčních společností. V rámci prezentace seznámil F. Bílek účastníky se základními informacemi danými platnou legislativou (zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce [dále jen zákon č. 297/2016 Sb. ] a nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES [dále jen nařízení eidas ]). Veřejná správa má na základě povinnosti stanovené v 8 zákona č. 297/2016 Sb. používat kvalifikované elektronické pečeti pro ta právní jednání, pro která jako náležitost právního jednání obsaženého v dokumentu nestanovuje jiný právní předpis podpis nebo tato náležitost nevyplývá z povahy právního jednání: Nestanoví-li jiný právní předpis jako náležitost právního jednání obsaženého v dokumentu podpis nebo tato náležitost nevyplývá z povahy právního jednání, veřejnoprávní podepisující a jiná právnická osoba, jedná-li při výkonu své působnosti, zapečetí dokument v elektronické podobě kvalifikovanou elektronickou pečetí. Povinnost používání kvalifikovaných elektronických pečetí pro vyjmenované subjekty je stanovena zákonem nejpozději od 19. září Pojem kvalifikovaná elektronická pečeť je stanoven v čl. 3 odst. 27 nařízení eidas - zaručená elektronická pečeť, která je vytvořena pomocí kvalifikovaného prostředku pro vytváření elektronických pečetí a která je založena na kvalifikovaném certifikátu pro elektronickou pečeť. Požadavky na kvalifikované prostředky pro vytváření elektronických pečetí (dále jen QSealCD ) jsou stanoveny v příloze II. nařízení eidas prostřednictvím mutatis mutandis odkazu (česky - přiměřeně), neboť 2/8

3 příloha II. nařízení eidas se týká požadavků na kvalifikované prostředky pro vytváření elektronických podpisů. Funkční požadavky kladené na kvalifikované prostředky pro vytváření el. podpisů a pečetí, které jsou v držení podepisující či pečetící osoby, jsou stejné jako požadavky na prostředky pro bezpečné vytváření elektronických podpisů (dále jen SSCD prostředky ) stanovené v příloze III. původní směrnice Evropského parlamentu a Rady 1999/93/ES ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy (dále jen směrnice 1999/93/ES ). Oproti původní směrnici 1999/93/ES jsou stanoveny další požadavky v případě, kdy kvalifikovaný prostředek pro vytváření el. podpisů a pečetí spravuje jménem podepisující či pečetící osoby kvalifikovaný poskytovatel (odst. 3 a 4 přílohy II. nařízení eidas). Z hlediska principu lze rozlišovat dva typy QSealCD: QSealCD v držení pečetící osoby (pokud jsou data pro vytváření elektronických pečetí uchovávána v prostředí spravovaném zcela, nikoli však nutně výhradně uživatelem). QSealCD pro vytváření kvalifikovaných elektronických pečetí na dálku (pokud data pro vytváření elektronických pečetí spravuje kvalifikovaný poskytovatel služeb vytvářejících důvěru jménem pečetící osoby). Tj. musí dojít nejdříve ke vzdálené autentizaci osoby k prostředku a až po té je možné pečetit. Certifikace QSealCD se řídí dle čl. 39 nařízení eidas, přičemž v prováděcím rozhodnutí Komise (EU) 2016/650 ze dne 25. dubna 2016, kterým se stanoví normy pro posuzování bezpečnosti kvalifikovaných prostředků pro vytváření elektronických podpisů a pečetí podle čl. 30 odst. 3 a čl. 39 odst. 2 nařízení eidas, jsou stanoveny v příloze rozhodnutí normy pro posuzování bezpečnosti produktů informačních technologií, které se použijí pro certifikaci kvalifikovaných prostředků pro vytváření elektronických podpisů nebo kvalifikovaných prostředků pro vytváření elektronických pečetí v souladu s čl. 30 odst. 3 písm. a) nebo čl. 39 odst. 2 nařízení eidas, pokud jsou data pro vytváření elektronických podpisů nebo data pro vytváření elektronických pečetí uchovávána v prostředí spravovaném zcela, nikoli však nutně výhradně uživatelem. Do doby, než Komise stanoví seznam norem pro posuzování bezpečnosti produktů informačních technologií, které se použijí pro certifikaci kvalifikovaných prostředků pro vytváření elektronických podpisů nebo kvalifikovaných prostředků pro vytváření elektronických pečetí, pokud data pro vytváření elektronických podpisů nebo data pro vytváření elektronických pečetí spravuje kvalifikovaný poskytovatel služeb vytvářejících důvěru jménem podepisující osoby nebo pečetící osoby (tzn. například pro certifikaci QSealCD na dálku), je certifikace takových produktů v souladu s čl. 30 odst. 3 písm. b) nařízení eidas založena na postupu, který používá úrovně bezpečnosti srovnatelné s úrovněmi požadovanými v čl. 30 odst. 3 písm. a) nařízení eidas a který byl Komisi oznámen veřejným nebo soukromým subjektem uvedeným v čl. 30 odst. 1 nařízení eidas. V současné době dva státy oznámily (Španělsko a Itálie) tento alternativní postup (viz 3/8

4 Dále F. Bílek seznámil účastníky s informacemi o příslušných certifikačních orgánech v EU, které oznámily členské státy (certifikační orgány pro certifikaci kvalifikovaných prostředků pro vytváření el. podpisů a pečetí v souladu s nařízením eidas a dále také certifikační orgány, které certifikovaly SSCD prostředky v souladu s původní směrnicí 1999\93\ES). Minulý rok byl zveřejněn unijní seznam kvalifikovaných prostředků pro vytváření elektronických podpisů a kvalifikovaných prostředků pro vytváření elektronických pečetí. Seznam je dostupný na adrese: Evropská komise, na základě obdržených informací od členských států, zřizuje, zveřejňuje a udržuje tento seznam, jenž obsahuje: seznam SSCD prostředků, jejichž shoda byla stanovena podle čl. 3 odst. 4 směrnice 1999/93/ES, které se na základě přechodného opatření dle čl. 51(1) nařízení eidas považují za kvalifikované prostředky pro vytváření elektronických podpisů, seznam certifikovaných kvalifikovaných prostředků pro vytváření elektronických podpisů a kvalifikovaných prostředků pro vytváření elektronických pečetí v souladu s čl. 31(2) a 39(3) nařízení eidas, informace o subjektech, které byly v minulosti pověřeny členskými státy stanovit shodu SSCD prostředků s požadavky uvedenými v příloze III zrušené směrnice 1999/93/ES, informace dle čl. 30(2) a 39(2) nařízení eidas, o určených subjektech členskými státy, kteří certifikují shodu kvalifikovaných prostředků pro vytváření elektronických podpisů a kvalifikovaných prostředků pro vytváření elektronických pečetí s požadavky stanovenými v příloze II nařízení eidas. Seznam prostředků má pouze informativní, nikoliv konstitutivní charakter a mohou do něj aktivně přispívat pouze ty členské státy, které buď měly určený certifikační orgán v souladu se směrnicí 1999/93/ES nebo ty členské státy, které určily certifikační orgán v souladu s nařízením eidas. K 15. říjnu 2017 bylo ve výše uvedeném seznamu pouze několik prostředků, které by mohly být využity pro vytváření kvalifikovaných elektronických pečetí, viz prezentace. V polovině srpna 2017 jsme oslovili členské státy, které nahlásily certifikační orgán (podle původní směrnice 1999\93\ES nebo podle nařízení eidas), zda se chystají oznámit nové QSealCD nebo původní SSCD prostředky jako QSealCD. Ze tří došlých odpovědí vyplývá, že dané členské státy neplánují notifikovat původní SSCD prostředky jako QSealCD a ani neprobíhá certifikace nových QSealCD. Nařízení eidas obsahuje ve čl. 51. odst. 1 přechodné opatření, kdy se za kvalifikované prostředky pro vytváření elektronických podpisů považují SSCD prostředky, jejichž shoda byla stanovena podle čl. 3 4/8

5 odst. 4 směrnice 1999/93/ES. I přes to, že přechodné opatření se nezmiňuje o aplikaci opatření rovněž na QsealCD (SSCD -> QSealCD), některé státy navrhovaly aplikaci (či již aplikují) přechodného opatření rovněž na QSealCD (tj. za QSealCD považují SSCD prostředky, jejichž shoda byla stanovena podle čl. 3 odst. 4 směrnice 1999/93/ES). Neformální názor EK je takový, že Komise uznává určité argumenty, které jim byly sděleny některými členskými státy, proč by se mělo přechodné opatření aplikovat rovněž na QSealCD. Znění čl. 51 odst. 1 nařízení eidas však dle jejich názoru neumožňuje dospět k závěru, podle kterého mohou být prostředky certifikované podle směrnice 1999/93/ES jednoznačně použitelné k vytvoření kvalifikovaných elektronických pečetí podle nařízení eidas. A tak Komise nemůže vyloučit možnost, že by soud mohl dojít k jinému názoru. Výsledky průzkumu ohledně vydávání QSealCD v zahraničí obsahuje slide č. 18 prezentace (prostřednictvím hledání na internetu). Posledním slidem před diskuzí byl slide věnující se službě vytváření kvalifikovaných elektronických pečetí na dálku. QSealCD na dálku musí být provozovaný kvalifikovaným poskytovatelem služeb vytvářejících důvěru v souladu s nařízením eidas. V rámci průzkumu bylo zjištěno, že poskytovatelé v zahraničí spíše implementují služby podepisování na dálku. V Polsku existuje poskytovatel, který nabízí službu vytváření kvalifikovaných elektronických pečetí na dálku. Je pravděpodobné, že v i jiných zemích je tato služba nabízena. Následovala diskuze s účastníky veřejné konzultace. 3. Diskuze, plány poskytovatelů, novinky v oblasti QSealCD Shrnutí vyjádření zástupců kvalifikovaných poskytovatelů služeb vytvářejících důvěru: Zástupci poskytovatelů shodně uvedli, že se zabývali zejména myšlenkou na službu podepisování na dálku (vytváření kvalifikovaných elektronických podpisů na dálku), nicméně i ve službě pečetění na dálku (služba vytváření kvalifikovaných elektronických pečetí) spatřují velký potenciál. Zástupce jednoho poskytovatele blíže informoval účastníky veřejné konzultace, že testují pro účely možné služby pečetění na dálku prostředek CoSign od společnosti ARX (prostředek je uveden v unijním seznamu QSCD/SSCD prostředků). Nicméně v rámci implementace nejsou zatím vyřešeny veškeré technické náležitosti (kvalifikovaný poskytovatel musí splnit podmínky, za kterých byl daný prostředek certifikován). Dále zaznělo, že zatím nebyly stanoveny, pokud je známo, konkrétní technické normy pro službu pečetění na dálku, kterými by se mohli poskytovatelé řídit (rizikem pro poskytovatele mohou být i jejich časté změny). Zejména pro menší úřady či obce, se jeví jako jediným rozumným řešením, jak zajistit splnění požadavků zákona č. 297/2016 Sb. stran kvalifikovaného el. pečetění, využít službu pečetění na dálku, a to vzhledem k ceně prostředků, které by se mohly teoreticky použít pro vytváření kvalifikovaných elektronických pečetí na místě (pečetící osoba má v držení samotný prostředek) řádově cena okolo Kč. Je možné, 5/8

6 že jeden výrobce čipových karet a HSM modulů, si bude certifikovat svůj nový prostředek jako QSealCD možná dostupnost na konci roku, nicméně bližší informace nejsou nyní k dispozici. Dále zástupce sdělil svůj osobní názor, kdy úplně nesouhlasí s tím, že požadavky na podepisování na dálku jsou totožné s pečetěním na dálku. Na toto téma se řešila otázka, v čem rozdíly spočívají - zda se rozdíly myslí např. to, že při podepisování se znalostní kód zadává vždy při každém podpisu a při pečetění pouze na začátku celé dávky. Ano, při podepisování se každá operace povoluje ad-hoc, o obsahu dat by se měla osoba přesvědčit. Co se týče pečetění, zde by uživatel zadal příkaz k pečetění dat a k následnému zastavení pečetění dat (poloautomatický proces). Pečetící osoby musí být vyrozuměny o tom, které dokumenty se zapečetily, které dokumenty ne a proč. K datům, která se mají pečetit, ale nesmí mít poskytovatel přístup (např. s ohledem na bankovní tajemství). Zástupce dalšího poskytovatele uvedl, že se primárně také zabývali elektronickými podpisy na dálku. Rovněž také zjišťovali, jestli někteří výrobci nechystají prostředek pro vytváření kvalifikovaných elektronických pečetí. Jeden výrobce sliboval certifikaci cca před půl rokem, ale zatím bohužel certifikace podle všeho nebyla provedena. Obecně se dá říci, že službu pečetění na dálku zatím nikdo nepoptával, spíše se zástupci větších společností (úřadů) dotazovali, jak zajistit povinnost kvalifikovaného pečetění příští rok. Někteří z těchto zástupců úřadů se zmiňovali, že jim výrobci jejich současných prostředků garantovali, že prostředky, které už mají tyto úřady nakoupené, dostanou certifikaci, nicméně zatím nikdo neprokázal. V tuto chvíli vnímá zástupce kvalifikovaného poskytovatele situaci jako začarovaný kruh z důvodu neexistence vhodných zařízení. U čipových karet a tokenů, které by se mohly použít pro vytváření kvalifikovaných elektronických pečetí na místě se jeví jako překážka zadávání PINu pro každou operaci se soukromým klíčem. V tuto chvíli poskytovatel služby vydávání kvalifikovaných certifikátů nemá řešení a čeká, zda si výrobci nechají certifikovat svoje prostředky jako QSealCD. Tudíž zatím vydává kvalifikované certifikáty pro elektronické pečetě bez podpory QSealCD. Zástupce poskytovatele dále upřesňuje, že to nejsou jen podatelny, kdo bude potřebovat vytvářet kvalifikované elektronické pečetě, ale i elektronické spisové služby. Zástupce dalšího poskytovatele dodává, že jejich situace je stejná jako u předřečníka, situace je nejasná, Mají zájem spíše nabízet vzdálené podepisování. Zatím nemají žádný konkrétní plán ani konkrétní záměr kromě spousty dotazů a hledání. Další diskuze: 6/8

7 V rámci diskuze se dále probírala možnost, zda je z technického a bezpečnostního pohledu možné zadat PIN natvrdo v souvislosti s vytvářením elektronických pečetí (tj. aby se pro vytvoření elektronické pečeti nemusel vždy ručně zadávat PIN). Elektronická pečeť neslouží jako projev vůle, má poskytovat jistotu o původu a integritě dat, se kterými je spojena. Scénář by byl takový, že by uživatel určil, které dokumenty se mají zapečetit a software by zařídil zapečetění dokumentu bez nutnosti zadávat PIN pro vytvoření každé el. pečetě. Z technického pohledu by šel tento scénář realizovat zřejmě dvěma způsoby buď by byl PIN zadán a zapamatován přímo prostřednictvím middleware (obslužná aplikace k čipové kartě či tokenu) k prostředku nebo by PIN byl uložen a předáván prostřednictvím aplikace, která by žádala o vytváření elektronické pečeti (např. spisová služba). Zástupce distributora významného výrobce prostředků informoval, že middleware k některým prostředkům toto umožnuje uživatel zadá PIN a zároveň určí, jak dlouho si jej tato obslužná aplikace může pamatovat. Po stanovenou dobu pak není nutné zadávat PIN pro každou operaci se soukromým klíčem. V případě, že dojde k vytažení USB tokenu nebo čipové karty z počítače, PIN je nutné zadat znovu. Účastníci nebyli zcela konzistentní v názoru, zda je řešení zapamatování PIN (ať v middleware či v aplikaci, která žádá o vytvoření el. pečeti) bezpečné. Jako mezní variantu MV zvažuje na základě 14 zák. č. 297/2016 Sb. možnost, aby kvalifikované elektronické pečeti zajišťovala pro veřejnoprávní původce Správa základních registrů, jakožto správní orgán podřízený Ministerstvu vnitra. Je to jedna z možností, jak zajistit kvalifikované elektronické pečeti pouze pro veřejnoprávní původce. V případě, že by stát služby kvalifikovaných elektronických pečetí nabízel veřejnoprávním původcům, tak má jiné výchozí a cílové stavy než poskytovatel, který musí např. navrhnout řešení tak, aby mohl poskytovat službu pro jakéhokoliv klienta. Když by veřejná správa poskytovala službu sama pro sebe, tak může službu uchopit globálněji - spočítat celkové investice (provoz, HW, fyzické zabezpečení, ), odhadnout počty vytvořených pečetí. Např. zabezpečení serverovny, dohled, přenášení odpovědnosti za škodu atp. by nemusela v souvislosti se zavedením služby řešit, jelikož má veřejná správa toto již zařízeno pro jiné systémy. Soukromoprávní subjekt (poskytovatel) toto všechno musí vybudovat. Toto (mezní) řešení, kdy by služby kvalifikovaných elektronických pečetí poskytoval stát, je pro stát lépe realizovatelné než pro soukromoprávní subjekty (poskytovatele). Stát by ovšem také musel, stejně jako poskytovatelé, splnit podmínky, za kterých byl daný prostředek certifikován. Zástupci MV dále sdělili, že ŘV eidas (řídící výbor pro nařízení eidas) jednomyslně odsouhlasil, že se termín začátku povinného používání kvalifikovaných elektronických pečetí pro veřejnou správu nebude odkládat. Subjekty veřejného sektoru mohou využít rovněž služeb kvalifikovaných poskytovatelů v zahraničí, kteří nabízejí kvalifikované prostředky pro vytváření elektronických pečetí, nebo jejich služeb vytváření 7/8

8 kvalifikovaných elektronických pečetí na dálku. Z diskuze dále vyplynulo, že tato možnost je sice možná, ale je třeba počítat s určitými praktickými aspekty (např. nutnost navštívit certifikační autoritu v zahraničí kvůli vydání certifikátu, řešit otázku, zda poskytovatel služby pečetění na dálku má přístup k celému dokumentu, který se má pečetit apod.). 8/8