V březnovém blogpostu jsem popisoval, jak probíhal proces notifikace (oznámení) systému elektronické identifikace mojeID v rámci nařízení eIDAS. Zmiňoval jsem tam také, že k plnému produkčnímu spuštění chybí dokončit ještě několik kroků. Jsem rád, že všechny zbývající kroky máme za sebou a mojeID se tak stalo prvním českým nestátním autentizačním prostředkem použitelným díky nařízení eIDAS v celé Evropě. S využitím mojeID je tedy nově možné se přihlašovat např. na daňové portály Slovenska, Belgie nebo Švédska, portál pro sociální zabezpečení Nizozemí, množství portálů evropských institucí nebo portálů pro správu domény Estonska nebo Dánska.

Pokud bych měl zrekapitulovat zmiňované chybějící kroky, tak tím prvním bylo podání oficiální žádosti Ministerstvem vnitra, ke kterému došlo na konci dubna. Dalším krokem pak bylo rozšíření oficiálního seznamu notifikovaných systému elektronické identifikace, který vychází ve věstníku Evropské komise. Zde je Komise vázána svou vlastní legislativou, ve které má na tento krok maximálně dva měsíce (článek 9 bod 3). Přestože v předchozích případech to obvykle trvalo kratší dobu, v tom našem Komise využila prakticky celé dva měsíce a nová verze seznamu vyšla ve věstníku až v pátek 24. června. No a tím posledním krokem bylo povolení nových notifikovaných prostředků pro požadavky směřující ze zahraničí v konfiguraci Národního bodu pro identifikaci a autentizaci (NIA). K tomu došlo v pondělí 4. července. Nově tak tedy možnosti přihlášení ze zahraničí vypadají takto:

Jak už jsem také zmiňoval v předchozím blogpostu, v mezidobí bylo nutné provést na systémech mojeID a NIA některé úpravy související s omezením dohodnutým v rámci procesu notifikace. Toto omezení se týkalo zabránění možnosti přeshraničního přihlašování pro prostředky, které byly aktivované přes systém datových schránek (ISDS). V ISDS je totiž zatím stále možné použít pro přihlášení pouhé jméno a heslo a tudíž ověření totožnosti přes ISDS podle členů Peer Review skupiny sestavené v rámci notifikačního procesu nesplňuje požadavky pro úroveň záruky Značná. Mechanismus, který toto omezení zajistí, vychází z doplnění komunikace mezi NIA a mojeID o nový atribut (VerifiedByISDS), přes který mojeID signalizuje do NIA, zda-li se právě nejedná o případ, který není možné pro přeshraniční přihlášení použít. V případě že tento atribut je nastaven, NIA tuto transakci nepustí dál a oznámí uživateli, že je nutné provést dodatečné ověření totožnosti způsobem, který podmínky notifikace splňuje. Tento nový atribut VerifiedByISDS používá mojeID také obráceně. Pokud při aktivaci nějakého prostředku pro přístup ke službám veřejné správy v mojeID probíhá ověření totožnosti přes NIA, dozví se v tomto atributu mojeID, zda-li pro aktivaci prostředku dostupného přes NIA nebyl také použit ISDS. Pokud ano, zdědí prostředek v mojeID i tento atribut a není možné jej po přeshraniční přihlášení použít.

Abychom to uživatelům co nejsnadněji vysvětlili, zjednodušili jsme tabulku prostředků v mojeID. Nově je z ní jasně vidět, který prostředek je možné použít pro veřejné služby u nás a který navíc ještě pro veřejné služby v EU dostupné v rámci sítě eIDAS. Možnost přeshraničního přihlašování jsme automaticky aktivovali těm prostředkům, u kterých je splnění podmínky jasně dané, to znamená těm, co mají buď úroveň záruky Vysoká, pro jejichž aktivaci byl použit CzechPOINT, nebo z našich dat víme, že ověření proběhlo pomocí jiného elektronického prostředku, který nebyl aktivován pomocí ISDS. U ostatních prostředků je samozřejmě možné se dodatečně ověřit buď návštěvou na CzechPOINTu nebo pomocí jiného elektronického prostředku, který sám nebyl aktivován pomocí ISDS.

Co asi každého zajímá nejvíc je, kde tedy je možné mojeID nově používat. Na mezinárodní bránu České republiky (eIDAS uzel), který také provozuje naše sdružení, je aktuálně navázáno 22 zemí z 29 možných (počítá se celé EHS). Chybějí již jen Island, Irsko, Norsko, Bulharko, Maďarsko, Rumunsko a Lichtenštejnsko, které svoje uzly nezprovoznili. U ostatních zemí tedy již existuje infrastruktura, na kterou jsou napojené některé elektronické služby příslušných států. Zatím bohužel neexistuje nějaký oficiální seznam portálů v každé zemi, ze kterého by bylo jednoznačně vidět, jaké služby jsou pro občany jiných zemí dostupné. Nicméně, stejně jako u nás se množství služeb postupně rozšiřuje. Krátce bych se věnoval třem oblastem, které mě přijdou nejzajímavější.

Z provozních logů mezinárodní brány vyplývá, že nejvíce Čechů používá elektronický občanský průkaz (jako dosud jediný notifikovaný prostředek) pro přihlášení do portálů na Slovensku. Již nevidíme, kterých portálů se to konkrétně týká, ale z komunikace se slovenskými kolegy si myslím, že nejpoužívanější bude portál slovenské finanční správy. A to i přes to, že uživatel ze zahraničí se nesmí nechat zmást, a při přihlášení zvolit slovenský občanský průkaz. To jej pak přesměruje na centrální slovenský autentizační systém, který umožňuje i přihlášení přes eIDAS. Na Slovensku existuje obecný portál veřejné správy, na který je možné se také přihlásit přes eIDAS. Při prvním přihlášení má uživatel možnost si zřídit obdobu české datové schránky pro komunikaci s úřady. Na tomto portálu je také možné nalézt odkaz na seznam nejzajímavějších slovenských elektronických služeb. Jestli všechny umožňují použití pro zahraniční uživatele, jsem ale nezkoušel.

Co by to bylo za celoevropský systém, kdyby ho nepoužívaly i úřady EU. Tady naštěstí kovářova kobyla bosa nechodí a již mnoho let existuje v EU centrální autentizační systém. Časem měnil jména, ale aktuálně se mu říká jednoduše EU Login. Na tento systém jsou navázány snad všechny portály úřadů EU, které vyžadují nějakou formu autentizace. Tento centrální autentizační systém integruje funkcionalitu eIDAS uzlu a je tedy možné se do všech těchto portálů přihlašovat národními prostředky. Odhaduji, že takový hodně využívaný portál bude ten pro dotace a výběrová řízení. Možná více uživatelský zaměřený je koncept Evropské občanské iniciativy. Na tomto portálu si můžete vybrat iniciativu, kterou chcete podpořit a pro její „podepsání“ můžete nově použít třeba právě mojeID. K tomu, aby se problémem Evropská komise zabývala, je nicméně nutné 1 milion podpisů. Na portálu můžete samozřejmě také založit iniciativu vlastní.

Třetí oblast, kterou určitě nesmím vynechat, je správa doménových jmen. Tuto oblast aktivně prosazuje právě naše sdružení a zejména v rámci nedávno skončeného projektu RegeID, který byl i částečně financován z fondů EU. Cílem projektu bylo napojit na síť eIDAS portály vybraných evropských doménových registrů. Smyslem tohoto napojení bylo rozšířit možnosti, kterými lze snadným a důvěryhodným způsobem identifikovat držitele domény. Vypadá to, že důraz na větší ověřování totožnosti držitelů domén bude součástí připravované revize směrnice NIS2 a je tedy zřejmé, že připravit se na to dopředu se vyplatilo. Konkrétním výstupem je možnost zahraničních držitelů CZ domén použít jejich národní prostředky v našem Doménovém prohlížeči a obdobně možnost použít naše národní prostředky (a tedy i mojeID) pro správu svých domén v Estonsku a v Dánsku. Holandský registr, který byl také součástí našeho konsorcia, má drobné zpoždění a jejich napojení se na produkci objeví snad již v průběhu července. Mimo rámec našeho projektu navíc oznámili připravované využití sítě eIDAS pro správu domény i kolegové z EURid spravující doménu .EU. Tam by se toto napojení mělo také objevit v řádu týdnů.

Je jasné, že v aktuálním spektru služeb v zemích EU si možná každý nevybere, což se samozřejmě bude vyvíjet v čase. Skeptičtí kolegové se vyjádřili, že to začne být používané až v momentě, kdy to usnadní Čechům dovolenou v Chorvatsku. Nevím jestli to co jsem našel měli zrovna na mysli, ale nemalé množství Čechů jezdí do Chorvatska na loď. Část z nich dokonce v roli lodních kapitánů, přičemž jednoho takového máme dokonce čerstvě u nás mezi kolegy. No a Chorvatsko má například svůj námořní portál dostupný teď již i pro uživatele mojeID. Tak přeju jak mojeID v Evropských „vodách“, tak našim kapitánům do letních měsíců šťastnou plavbu!