EIDAS A JEHO PRAKTICKÉ DOPADY DO VEŘEJNÉ SPRÁVY Petr Dolejší Senior Solution Consultant
EVROPSKÉ NAŘÍZENÍ Č. 910/2014 (EIDAS) A DIGITÁLNÍ DŮVĚRA
EVROPSKÉ NAŘÍZENÍ eidas Zavedení důvěry pro vytváření, používání a sdílení důvěryhodných dokumentů Nařízení EU č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu Stanovuje rámec závazný pro celou EU v oblastech Elektronická identifikace Elektronické podpisy, pečetě, časová razítka Elektronické dokumenty Elektronické doporučené doručování Jednotný digitální trh se stává realitou Nařízení je právně závazné
CESTA K JEDNOTNÉMU DIGITÁLNÍMU TRHU Nařízení eidas Interoperabilita vzájemné uznávání prostředků elektronické identifikace napříč EU vzájemné uznávání kvalifikovaných elektronických podpisů/pečetí založeno na jednotných standardech a normách (část teprve v přípravě) Harmonizace uvedení národních legislativ do souladu s eidas určení oblastí využívání jednotlivých typů nástrojů
NÁSTROJE PRO VYTVÁŘENÍ DIGITÁLNÍ DŮVĚRY Nejenom pro elektronické dokumenty Elektronický podpis Elektronická pečeť Elektronické časové razítko
HLAVNÍ PRINCIPY NAŘÍZENÍ eidas Elektronickému dokumentu nesmějí být upírány právní účinky jen proto, že je elektronický Kvalifikovaný elektronický podpis má stejnou váhu jako podpis vlastnoruční Elektronická identifikace umožní nejen pohodlné využívání kvalifikovaných služeb poskytujících důvěru v rámci celé EU, ale také využívání služeb e-governmentu jako euro-občan
DIGITÁLNÍ DŮVĚRA JAKO SLUŽBA Princip uplatnění služeb vytvářejících důvěru Uživatel Aplikace Procesy Přijetí podání Vystavení Důvěryhodná Ověření podpisu Podpis/pečeť Odeslání rozhodnutí archivace Business služby Služby digitální důvěry Webové služby Webové služby Webové služby Služby ověřování Služby podpisu/pečeti Archivační služby CA, TSA VA HSM LDAP
HARMONOGRAM IMPLEMENTACE eidas září 2014 Vstoupení nařízení eidas v platnost červenec 2016 Použitelnost ustanovení o službách vytvářejících důvěru pro el. dokumenty Nový zákon o službách vytvářejících důvěru a zrušení zákona o el. podpisu 2014 2015 2016 2017 2018 2019 září 2015 Definice technických standardů a volitelné vzájemné uznávání prostředků pro el. identifikaci leden 2017 Zahájení vydávání nových eop s národní eid září 2018 Povinné vzájemné uznávání zahraničních eid pro veřejné systémy
AKTUÁLNÍ DOPADY EVROPSKÉHO NAŘÍZENÍ EIDAS
HARMONOGRAM IMPLEMENTACE eidas září 2014 Vstoupení nařízení eidas v platnost červenec 2016 Použitelnost ustanovení o službách vytvářejících důvěru pro el. dokumenty Nový zákon o službách vytvářejících důvěru a zrušení zákona o el. podpisu 2014 2015 2016 2017 2018 2019 září 2015 Definice technických standardů a volitelné vzájemné uznávání prostředků pro el. identifikaci leden 2017 Zahájení vydávání nových eop s národní eid září 2018 Povinné vzájemné uznávání zahraničních eid pro veřejné systémy
ZÁKON O SLUŽBÁCH VYTVÁŘEJÍCÍCH DŮVĚRU PRO EL. TRANSAKCE Návrh zákona po meziresortním připomínkovém řízení Harmonizační zákon pro implementaci nařízení eidas v ČR ruší zákon 227/2000 Sb. o el. podpisu (ZoEP) založený na původní směrnici 1999/93/ES přenáší vybranou terminologii původně definovanou v ZoEP doplňuje požadavky v oblasti poskytovatelů služeb (TSP) a dohledu nad nimi harmonizace stávající legislativy v oblasti zrovnoprávnění listinných a el. dokumentů a v oblasti terminologie Požadavky na volbu nástrojů pro důvěryhodné el. dokumenty vyžadované úrovně el. podpisu a el. pečeti při styku s veřejnou správou Očekávaná účinnost zákona 1. července 2016 včetně dílčích přechodných období až 2 roky
NOVÉ TYPY CERTIFIKÁTŮ Služby vydávání certifikátů služba vytvářející důvěru Rozšíření dnes dostupných služeb akreditovaných poskytovatelů certifikačních služeb Vznik nového typu kvalifikovaného certifikátu pro elektronickou pečeť analogie současného kvalifikovaného systémového certifikátu Vznik nového typu kvalifikovaného certifikátu pro autentizaci internetových stránek de facto SSL EV certifikát (s rozšířenou validací) praktický problém s prosazením root certifikátů pro snadné využívání (OS, prohlížeče, ) Současní APCS se stanou 1.7.2016 automaticky kvalifikovanými poskytovateli služeb
ELEKTRONICKÝ PODPIS Nové typy podpisu eidas definuje 3 úrovně elektronického podpisu zaručený el. podpis zaručený el. podpis založený na kvalifikovaném certifikátu (současný uznávaný el. podpis) kvalifikovaný el. podpis nemá v naší legislativě obdobu, vyžaduje certifikované bezpečné zařízení pro uchovávání klíčů (dat pro vytváření podpisu) Pro různé účely mohou být požadovány různé typy podpisů vždy musí být akceptovány i všechny vyšší úrovně podpisu, než je vyžadováno Podoba podpisu a technické požadavky na vytváření jednotlivých podpisů byly upřesněny prováděcími akty z 8. 9. 2015 formáty AdES a ASiC
UZNÁVANÝ EL. PODPIS A PEČEŤ Návrh zákona o službách vytvářejících důvěru Rozšíření současné definice uznávaného el. podpisu zaručený el. podpis založený na kvalifikovaném certifikátu (současná podoba) kvalifikovaný el. podpis (vyžaduje bezpečný HW) Uznávaný el. podpis je ekvivalentní vlastnoručnímu podpisu rozšíření definice nad rámec nařízení eidas Analogicky je definována uznávaná el. pečeť nově pouze pro právnické osoby (na rozdíl od současné značky)
POUŽÍVÁNÍ ELEKTRONICKÉHO PODPISU Pouze pro fyzické osoby 5 K podepsání dokumentu, jímž činí úkon osoba při výkonu veřejnoprávních úkolů, lze použít pouze kvalifikovaný el. podpis 11 (1) Při podepsání dokumentu osobou při výkonu veřejnoprávních úkolů je nutné opatřit podepsaný el. dokument kvalifikovaným el. časovým razítkem 6 Obecně lze pro úkon vůči veřejnoprávnímu podepisujícímu použít pouze uznávaný el. podpis Přechodné období 18 (1) po dobu 2 let bude možné používat zaručený el. podpis založený na kvalifikovaném certifikátu (současný stav)
ELEKTRONICKÁ PEČEŤ Novinka v rámci EU, ale ne pro nás Pouze pro právnické osoby změna oproti značce Účel pečeti je prokázání integrity dokumentu a správnost původu Definuje analogické úrovně jako pro el. podpis kvalifikovaná el. pečeť bude pravděpodobně také vyžadovat certifikované bezpečné zařízení pro vytváření pečeti tedy typicky HSM používání uznávané značky se typicky po změně certifikátu změní na vytváření zaručené el. pečeti založené na kvalifikovaném certifikátu Pro různé účely mohou být požadovány různé typy pečeti vždy musí být akceptovány i všechny vyšší úrovně pečeti než je vyžadováno ideálně el. pečeť na každý výstupní dokument (včetně těch el. podepsaných)
POUŽÍVÁNÍ ELEKTRONICKÉ PEČETI Pouze pro právnické osoby 8 Pokud se nevyžaduje podepsání dokumentu, jímž činí úkon osoba při výkonu veřejnoprávních úkolů, je nutné zapečetit dokument kvalifikovanou el. pečetí 11 (2) Při pečetění dokumentu osobou při výkonu veřejnoprávních úkolů je nutné opatřit podepsaný el. dokument kvalifikovaným el. časovým razítkem 9 Obecně lze pro úkon vůči veřejnoprávnímu podepisujícímu použít pouze uznávanou el. pečeť Přechodné období 18 (2) po dobu 2 let bude možné používat uznávanou el. značku nebo zaručenou el. pečeť založenou na kvalifikovaném certifikátu
ELEKTRONICKÁ ČASOVÁ RAZÍTKA Pouze kosmetická změna terminologie Zachovává stejné principy jako v současnosti Účel časového razítka je především v určení existence dat v čase a v integritě dat Nově nemusí být kvalifikovaná časová razítka vytvořená s pomocí kvalifikovaných certifikátů Pro běžné účely nepředpokládáme žádné významné praktické ani právní změny
DALŠÍ USTANOVENÍ NÁVRHU ZÁKONA 7 a 10 Pro ostatní dokumenty lze na základě vzájemné dohody používat jakýkoliv definovaný typ el. podpisu či el. pečeti 12 Pro ověřování uznávaného podpisu resp. pečeti se použijí ustanovení určená pro kvalifikované formy podpisu a pečeti dle eidas Ostatní přechodná období 18 (4) po dobu 2 let bude možné používat el. časové razítko vydané kvalifikovaným poskytovatelem služeb vytvářejících důvěru 18 (6) platnost el. značek a systémových certifikátů není zrušením ZoEP dotčena
OBELISK Trust Services OBELISK Trusted Archive PAPERLESS KOOPERATIVA POJIŠŤOVNA Apl. (KOOP) Apl. (ČPP) IS (KOOP) IS (ČPP) EMC Centera Biometrie (SignoSoft) Archivační služby Paperless infrastruktura Bezpečnostní služby
OVĚŘOVÁNÍ PLATNOSTI KVALIFIKOVANÝCH PODPISŮ A PEČETÍ Nový typ služby vytvářející důvěru Správné ověření platnosti podpisů a pečetí = právní jistota Musíme umět ověřovat kvalifikované podpisy a pečetě v rámci celé EU Ověření může spoléhající strana provést sama nebo může využít službu ověřování podpisů/pečetí zajistí ověření platnosti k okamžiku podpisu poskytne výsledek (důkaz) ověření Příklady validačních služeb - WebNotarius, CertReview, CertIQ (částečně) Výsledky ověření je potřeba ukládat jako důkaz! uchovávání EP
OBELISK Certificate Validation OVĚŘOVÁNÍ PLATNOSTI KVALIFIKOVANÝCH CERTIFIKÁTŮ On-line služba pro ověření platnosti certifikátů v rámci EU Ověřování platnosti certifikátů identifikace a porovnávání s CRL listy a OCSP odpověďmi online respondéry distribuující odpovědi protokolu OCSP vygenerování prohlášení o platnosti certifikátu evidence provedených operací Aktualizace dat a metadat manuální aktualizace dat o CA a kořenových certifikátech automatizované stahovaní CRL listů včetně historie komunikační protokoly OCSP a SOAP www.certreview.eu
UCHOVÁVÁNÍ KVALIFIKOVANÝCH PODPISŮ A PEČETÍ Nová služba vytvářející důvěru eidas definuje uchovávání podpisů a pečetí (ne uchovávání dokumentů) správně uchovaný EP prokazuje důvěryhodnost dokumentu nezávisle na místě jeho uložení je nutné zajistit bezpečné uložení dat a dokumentů Služba uchování EP zajistí důvěryhodnost i po plynutí doby platnosti podpisu/ pečetě Při dodržení postupů a norem v souladu eidas mohu uchovávat EP sám Referenční normy budou upřesněny
OBELISK Trusted Archive OBELISK Certificate Validation DŮVĚRYHODNÝ ELEKTRONICKÝ ARCHIV ČÚZK ISKN KESSL IS User ECM/DMS ORACLE WebCenter Content Garantované dokumentové úložiště (primární lokalita) Garantované dokumentové úložiště (záložní lokalita)
HARMONOGRAM IMPLEMENTACE eidas září 2014 Vstoupení nařízení eidas v platnost červenec 2016 Použitelnost ustanovení o službách vytvářejících důvěru pro el. dokumenty Nový zákon o službách vytvářejících důvěru a zrušení zákona o el. podpisu 2014 2015 2016 2017 2018 2019 září 2015 Definice technických standardů a volitelné vzájemné uznávání prostředků pro el. identifikaci leden 2017 Zahájení vydávání nových eop s národní eid září 2018 Povinné vzájemné uznávání zahraničních eid pro veřejné systémy
ELEKTRONICKÁ IDENTITA Aktuálně se řeší výběr vhodných národních systémů eid připravuje se nový funkční eop, dalšími kandidáty jsou ISDS, MojeID eid systémy budou vždy pouze národní Důsledky zavedení použití národní identity pro autentizaci ke službám vytvářejícím důvěru v ČR i EU a vůči službám v oblasti veřejné správy (eidas nereguluje lokální využití eid) vybudování národní brány pro zpřístupnění zbytku EU zodpovědnost provozovatele eid od 09-2018 povinná akceptace zahraničních eid systémů pro veřejné systémy
ELEKTRONICKÉ DOPORUČENÉ DORUČOVÁNÍ Nová služba vytvářející důvěru ISDS aspiruje být kvalifikovanou službou doporučeného doručování ale eidas nám žádnou nenařizuje ISDS je v souladu s eidas po technické stránce integrita dat zaručený elektronický podpis správnost data a času kvalifikované časové razítko poskytuje důkaz týkající se nakládání s přenášenými daty Budou změny v souvislosti s identifikací příjemce a odesílatele Datová zpráva nemůže suplovat projev vůle to dokáže pouze el. podpis nebo pečeť
JAK ZAČÍT
RIZIKA NICNEDĚLÁNÍ Nulová varianta Při neúplné validaci vstupů hrozí provedení úkonu na základě neplatného podání Nevybavení dokumentu podpisem/pečetí bude v rozporu se zákonem Neschopnost zpracovat standardní formáty definované zákonem/nařízením AdES Neodborné využívání podpisů/pečetí může způsobit neplatnost vlastních dokumentů Nepoužití bezp. prostředků pro vytváření podpisů/pečetí bude v rozporu se zákonem Bez odborné důvěryhodné el. archivace ztratí el. dokumenty statut platného originálu
DIGITÁLNÍ EVROPA 2020 Poznejte dopady eidas na svoji organizaci Zaměřte se na digitální důvěru Řešte paperless a důvěru jako centrální služby
STUDIE DOPADŮ NAŘÍZENÍ EIDAS Nejrychlejší cesta jak zjistit rozsah dopadů Konzultační služba s jasně definovaným rozsahem Součástí studie je co to je eidas, terminologie, připravovaná legislativa identifikace procesů potenciálně dotčených novým nařízením Poznejte dopady eidas na svoji organizaci Zaměřte se na digitální důvěru Řešte paperless a důvěru jako centrální služby zhodnocení vlivu na jednotlivé procesy dle jednotné metodiky identifikace rizik souvisejících s dosud neexistujícími legislativními změnami a standardy architektonický a funkční návrh vhodných opatření Časová náročnost typicky 3 až 6 týdnů v závislosti na velikosti organizace
Aplikace / portály s veřejným přístupem Současný stav Portál Externí IS ISDS Aplikace / portály s neveřejným přístupem EPO Enterprise Service Bus Email CA ZR,ASPI Czech Point HR APP APP DMS, ESSS
Aplikace / portály s veřejným přístupem Stav eidas ready Portál Externí IS ISDS Aplikace / portály s neveřejným přístupem HSM EPO Email CA Enterprise Service Bus HR APP APP DMS, ESSS E-archivace On Premise ZR,ASPI Czech Point Validační autorita Document Storage Unification Layer Garantované úložiště E-archivace On Demand
DIGITÁLNÍ EVROPA 2020 Poznejte dopady eidas na svoji organizaci Zaměřte se na digitální důvěru Řešte paperless a důvěru jako centrální služby
www.sefira.cz