V pondělí 21. února došlo k významnému posunu v procesu uznání služby mojeID pro přeshraniční přihlašování podle nařízení eIDAS. Na zasedání pracovní skupiny eIDAS Cooperation Network bylo schváleno rozhodnutí, které umožní uživatelům služby mojeID použít jí pro přihlášení na řadě zahraničních on-line služeb. Toto rozhodnutí je veřejné a každý se může přesvědčit, jaké jsou stanovené podmínky. Prostředek na úroveň záruky „vysoká“ prošel bez problémů. U prostředků na úroveň záruky „značná“ bude nutná drobná úprava.

Pojďme si ale nejprve zrekapitulovat, k čemu vlastně přeshraniční přihlašování slouží a jak obecně celý proces uznání prostředku pro přeshraniční autentizaci probíhá. V září 2018 vstoupila v platnost nová povinnost pro elektronické služby veřejného sektoru, které pro ověření totožnosti využívají nějaké národní elektronické identifikační prostředky. Primárně se to tak tedy týká služeb jako jsou daňové portály nebo zdravotní portály, ale v některých případech je možné sem zahrnout i služby komerčního sektoru. Tato nová povinnost státům nařizuje, aby u těchto služeb vedle svých národních prostředků umožnily také přihlášení pomocí oznámených (notifikovaných) národních prostředků ostatních evropských zemí. Aby se nějaký prostředek stal notifikovaným, musí projít řádným procesem, který definují nařízení eIDAS v článku 9 a příslušné prováděcího rozhodnutí.

Prvním krokem je, že zástupce země, která prostředek oznamuje, zašle oficiální požadavek na notifikaci spolu s popisem, jak tento prostředek splňuje požadavky nařízení. Tento moment se také označuje jako pre-notifikace. V rámci pracovní skupiny eIDAS Cooperation Network, kde zasedají zástupci všech zemí spadajících pod regulaci eIDAS, pak dojde k sestavení tzv. Peer Review Group (PRG). PRG má tři pracovní skupiny definované pro jednotlivé oblasti posuzování, a to oblast založení prostředku, oblast správy prostředku a autentizace a oblast organizační. Každá skupina má svého zpravodaje a celá PRG má jednoho koordinátora. Do každé skupiny pak jednotlivé státy nominují své zástupce. Celé to funguje na dobrovolné bázi, nikdo není nucen. Velikost celé PRG obvykle závisí na tom, jak jsou zástupci zemí momentálně zaneprázdněni, ale je snaha, aby v každé skupině byli zástupci alespoň tří zemí.

PRG pak pracuje několik měsíců, a to tak, že na základě prostudování předložených dokumentů připraví sadu otázek na notifikující zemi, která pak na tyto otázky musí odpovědět. Obvykle bývají tři kola těchto otázek a odpovědí v jedno až dvoutýdenních intervalech. Na jejich základě pak PRG vytvoří závěrečnou zprávu. Tato závěrečná zpráva je ve finále posouzena celou eIDAS Cooperation Network, která vydá rozhodnutí ve formě tzv. Opinion. V něm buď bez problémů odsouhlasí daný prostředek nebo zveřejní podmínky, za jakých je možné daný prostředek používat.

Posledním krokem je oficiální notifikace, kterou zašle notifikující země, a na kterou zareaguje EK vystavením této notifikace ve věstníku Evropské komise. Pokud se jedná o první prostředek dané země, mají ostatní země následně rok na to, aby tento prostředek zahrnuly v nabídce přihlašovacích možností svých služeb. Pokud je to druhý resp. další prostředek, propojení na ostatní země je již nastavené a je možné ho okamžitě začít používat. Zde samozřejmě platí, že může existovat nějaká prodleva mezi oficiální notifikací a vlastním spuštěním, obvykle způsobená nutností něco doimplementovat. Příkladem může být holandský prostředek DigiD oficiálně notifikovaný v srpnu 2020 a dosud reálně nespuštěný. Nebo i nové prostředky Francie a Malty, které byly oficiálně notifikované letos v lednu a již dva měsíce čekají na ostré spuštění. Přehled všech zemí, prostředků a stavů notifikace je možné sledovat na této webové stránce.

Na konci září zahájila Česká republika proces notifikace několika prostředků, a to mobilního klíče eGovernmentu(MEG) a všech akreditovaných prostředků vydaných v rámci mojeID. V průběhu konce roku jsme postupně spolu s Ministerstvem vnitra odpovídali na dotazy týkající se vlastností těchto prostředků a celý tento proces se uzavřel na konci února, kdy eIDAS Cooperation Network vydala rozhodnutí týkající se těchto prostředků, které je dostupné veřejně na webu.  U prostředků na úroveň záruky „značná“ jsme (asi trochu podle očekávání) narazili u procesu, kdy dochází k aktivaci tohoto prostředku pomocí datových schránek. Zde bohužel neexistuje technická možnost jak garantovat, že uživatel při přihlášení do systému datových schránek použil vícefaktorovou autentizaci. Jak je vidět z textu rozhodnutí, Česká republika se zavázala, že přeshraniční autentizaci neumožní pomocí prostředků, které vznikly právě s využitím datových schránek. Uživatelé, kterých se to týká, budou mít samozřejmě možnost dodatečně se identifikovat buď na Czech POINTu nebo prostřednictvím nějakého jiného prostředku.

Aby tedy bylo možné používat prostředky na úroveň záruky „značná“ přeshraničně, musí Česká republika implementovat technické řešení pro toto omezení. To se neobejde beze změn jak na úrovni Národního bodu (NIA), tak u vlastních prostředků MEG a mojeID. Tyto změny se nicméně netýkají prostředku vydaného v rámci mojeID na úroveň záruky „vysoká“. V procesu vystavení tohoto prostředku systém datových schránek nijak nefiguruje a tento prostředek byl tedy schválen bez omezení a je možné jeho přeshraniční používání spustit bez nutnosti cokoliv někde měnit.

V rámci mezinárodního projektu RegeID, ve kterém hrál CZ.NIC klíčovou roli, došlo k integraci možnosti přeshraničního přihlášení do systémů několika dalších evropských doménových registrů, jmenovitě Estonska, Dánska a Nizozemí. Existují minimálně další tři doménové registry, které na této integraci pracují nezávisle na našem projektu. Spuštěním možnosti  přeshraničního přihlašování se pro mojeID uživatele otevře možnost spravovat s jeho využitím nejen české domény, ale i domény u mnoha dalších evropských registrů.

Co tedy chybí? Jak bylo zmíněno v předchozích odstavcích, téměř posledním krokem je již pouze podpis ministra vnitra na oficiálních notifikačních dokumentech a vystavení informace o notifikaci ve věstníku EU. V ten moment je možné prostředky, které splňují požadavky nařízení eIDAS pro přeshraniční autentizaci, využívat. U prostředků, které vyžadují zmíněné technické úpravy, bude nutné ještě čekat na implementaci těchto úprav. Snad k tomu dojde v nejbližší možné době.