Na konci července Rada ministrů EU schválila novou legislativu, pro kterou se za téměř tři roky příprav vžil název eIDAS. Nařízení o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, jak zní celý oficiální název eIDAS, bylo před pár dny publikováno v Úředním věstníku a tak se můžeme podívat na to, jaké zásadní změny přináší a jak se dotkne elektronických služeb a Internetu v České republice.

Elektronický podpis a změna našeho zákona

Nové nařízení se zaměřuje hned na několik oblastí. Tou nejrozsáhlejší je elektronický podpis. V jeho případě eIDAS ruší současnou směrnici 1999/93/ES o zásadách Společenství pro elektronické podpisy. Oblast regulovanou směrnicí, která je do českého právního řádu transponována především prostřednictvím zákona č. 227/2000 Sb., o elektronickém podpisu, tak nahradí nařízení, které je (na rozdíl od směrnice) přímo implementovatelné a oblast upravená nařízením by tím pádem neměla být upravena národní legislativou. Pro Českou republiku to tak bude znamenat nejpozději do dvou let (přesně k 1. červenci 2016, kdy nařízení vstoupí v platnost, respektive se stane použitelné) zrušit nebo významně přepracovat náš zákon o elektronickém podpisu tak, aby upravoval jen ty záležitosti, které jsou ponechány v pravomoci členských států (například stanovit pravidla dočasného pozastavení kvalifikovaných certifikátů pro elektronický podpis).

Nové oblasti regulace

Přesto, že sladění české legislativy a praxe bude u elektronického podpisu vyžadovat mnoho mravenčí práce, se stále jedná o oblast, která zde již regulována byla. Nařízení se však zaměřuje i na nové oblasti souhrnně nazývané „služby vytvářející důvěru“, které doposud byly ponechány v pravomocích členských států. Kromě již zmíněných e-podpisů, elektronických značek či časových razítek mezi tyto služby spadají rovněž:

– služby elektronického doporučeného doručování (e-Delivery), kam spadnou naše datové schránky (respektive informační systém datových schránek);
– služby pro uchovávání elektronických podpisů, pečetí nebo certifikátů souvisejících s těmito službami;
– služby pro vytváření, ověřování shody a ověřování platnosti certifikátů pro autentizaci internetových stránek, tedy SSL certifikáty. O přípravách regulace jsem již v minulosti na našem blogu psal a tak se pojďme alespoň v bodech podívat na to, co nová regulace přinesla.

Nařízení se rovněž věnuje oblasti elektronické identifikace a autentizace. Zde se však zaměřuje jen na přes-hraniční služby, u nichž staví na iniciativě členských států. Ty se mohou, ale nemusí, k daným systémům přihlásit.

Základ mezinárodního uznávání eID určitě budou tvořit rozsáhlé pilotní projekty STORK 2.0 a e-SENS, do jejichž realizace je zapojeno rovněž naše sdružení. V rámci projektu STORK 2.0 byla pak služba mojeID uznána za (zatím jediný) autentizační nástroj, který je možné použít právě pro přes-hraniční elektronické služby.

Regulace SSL certifikátů

Přes snahy různých organizací včetně například RIPE NCC se nakonec nepodařilo regulaci SSL certifikátů z nařízení vyjmout, Komise tedy nakonec prosadila svou. Kvalifikovaným certifikátům pro autentizaci internetových stránek se věnuje čl. 45 (dříve 37), podle kterého kvalifikované certifikáty pro autentizaci internetových stránek musí splňovat požadavky stanovené v příloze IV. Zde podle mě nařízení staví na současné praxi a pro poskytovatele by nemělo znamenat výraznější změny, o čemž svědčí i ustanovení, podle kterého Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro kvalifikované certifikáty pro autentizaci internetových stránek. Pokud kvalifikovaný certifikát pro autentizaci internetových stránek vyhovuje těmto normám, předpokládá se shoda s požadavky stanovenými v příloze IV. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.

Větší dopad než text vlastního čl. 45 však může mít zahrnutí poskytovatelů SSL certifikátů do skupiny poskytovatelů služeb vytvářejících důvěru, které nařízení reguluje obdobně (byť i zde bude díky nařízení několik změn), jako dnes Směrnice 1999/93/ES a náš zákon 227/2000 Sb., kvalifikované certifikační autority. V případě certifikátů vydávaných některou z našich autorit by to neměl být problém, u zahraničních autorit jako např. GeoTrust, Symantech či Thawte však jejich používání (zejména pro elektronické služby veřejné správy) podmiňuje nařízení uzavřením příslušných mezinárodních smluv, viz čl. 14, odst. 1:

Služby vytvářející důvěru poskytované poskytovateli služeb vytvářejících důvěru usazenými ve třetí zemi se uznávají jako právně rovnocenné kvalifikovaným službám vytvářejícím důvěru poskytovaným kvalifikovanými poskytovateli služeb vytvářejících důvěru usazenými v Unii, pokud jsou služby vytvářející důvěru pocházející ze třetí země uznány na základě dohody uzavřené mezi Unií a dotyčnou třetí zemí nebo mezinárodní organizací v souladu s článkem 218 Smlouvy o fungování EU.

Zde bude situace určitě ještě zajímavá, neboť podle dostupných informací zatím nebyla žádná mezinárodní dohoda zahrnující rovněž „služby vytvářející důvěru“ uzavřena. Zatím nejdále, ale stále jen na úrovni „dialogu“, by mohla být dohoda s USA. Zde oblasti upravené eIDAS by mohly být zahrnuty do připravované obchodní dohody mezi EU a USA, takzvaného TTIP (The Transatlantic Trade and Investment Partnership). Zatím se tak nestalo a je tak otázkou, zda eIDAS nedonutí některé provozovatele elektronických služeb (především veřejnou správu) změnit poskytovatele svých SSL certifikátů. Ten od GeoTrustu totiž využívá například. rovněž informační systém datových schránek.