Od 1 lipca 2016 roku w całej Unii Europejskiej zaczęło obowiązywać rozporządzenie eIDAS. Co oznacza to dla obecnych posiadaczy podpisu elektronicznego w Polsce?
Póki co po staremu…
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE znane także pod skróconą nazwą eIDAS obowiązuje w Polsce, podobnie jak w pozostałych państwach członkowskich Unii Europejskiej, od początku tego miesiąca. Czy w związku z tym zaszły jakieś zmiany o których powinni wiedzieć posiadacz certyfikatu kwalifikowanego wydanego przez 1 lipca? Wyjaśnienie znajdujemy w komunikacie Narodowego Centrum Certyfikacji – NCCert.
Cytując komunikat Narodowego Centrum Certyfikacji, pełniącego w Polsce funkcję Głównego Urzędu Certyfikacyjnego odpowiedzialnego m.in. za wydawanie zaświadczeń certyfikacyjnych podmiotom wpisanym do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne:
Od 1 lipca 2016 r. w odniesieniu do podpisu elektronicznego w polskim systemie prawnym będą obowiązywały przepisy rozporządzenia eIDAS, które docelowo zastąpią polską ustawę z dnia 18 września 2001 r. o podpisie elektronicznym. Na tę sytuację prawną, odnoszącą się do podpisów elektronicznych, nie będzie miał wpływu termin przyjęcia, ani też brzmienie przepisów tworzonej obecnie polskiej ustawy o usługach zaufania, która reguluje inne kwestie wynikające z delegacji zawartych w rozporządzeniu eIDAS. Do chwili wydania nowej ustawy obowiązują nadal niesprzeczne z rozporządzeniem eIDAS oraz aktami wykonawczymi przepisy dotychczasowej ustawy o podpisie elektronicznym oraz wydane na jej podstawie rozporządzenia.
Co z tego wynika? A no to, że Ustawa z 18 września 2001 r. o podpisie elektronicznym powstała na bazie Dyrektywy Parlamentu Europejskiego i Rady 199/93/WE z dnia 13 grudnia 1999 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych nie kłóci się rozporządzeniem eIDAS z lipca 2014 roku.
Co oznacza to w praktyce?
- Nie ma konieczności wymiany kart kryptograficznych i zestawów do składania bezpiecznego podpisu elektronicznego, ponieważ:
Zgodnie z art. 51 ust. 1 eIDAS: „Bezpieczne urządzenia do składania podpisu, których zgodność ustalono zgodnie z art. 3 ust. 4 dyrektywy 1999/93/WE, uznaje się za kwalifikowane urządzenia do składania podpisu elektronicznego na mocy niniejszego rozporządzenia”.
- Nie ma konieczności wymiany certyfikatu kwalifikowanego, ponieważ:
W związku z art. 51 ust. 2 eIDAS: „Kwalifikowane certyfikaty wydane osobom fizycznym na mocy dyrektywy 1999/93/WE uznaje się za kwalifikowane certyfikaty podpisów elektronicznych na mocy niniejszego rozporządzenia do czasu ich wygaśnięcia”.
Kwalifikowany podpis elektroniczny według eIDAS
W dalszej części komunikatu możemy przeczytać:
Każdy podpis elektroniczny, który po 1 lipca 2016 r.:
- tworzony będzie za pomocą tych samych urządzeń i oprogramowania, które były używane do tworzenia bezpiecznych podpisów elektronicznych zgodnych z polską ustawą z dnia 18 września 2001 r o podpisie elektronicznym oraz
- weryfikowany będzie:
– za pomocą kwalifikowanego certyfikatu podpisu elektronicznego wydanego po 1 lipca 2016 r. na mocy nowych przepisów (eIDAS)
– lub za pomocą kwalifikowanego certyfikatu wydanego przed 1 lipca 2016 r. na mocy obowiązującej wówczas polskiej ustawy o podpisie elektronicznym
będzie mieć status kwalifikowanego podpisu elektronicznego w rozumieniu nowych przepisów (eIDAS) i wywoływać będzie skutek prawny równoważny podpisowi własnoręcznemu, czyli będzie mieć taki sam skutek prawny jak bezpieczny podpis elektroniczny weryfikowany za pomocą kwalifikowanego certyfikatu w rozumieniu polskiej ustawy o podpisie elektronicznym.
Oznacza to brak konieczności zmiany czy aktualizacji oprogramowania wykorzystywanego do składania i weryfikacji podpisu elektronicznego. Podpis składany z wykorzystaniem tych samych urządzeń i oprogramowania co do tej pory będzie nadal traktowany jako równoważny podpisowi odręcznemu.
W oczekiwaniu na zmiany
Mimo zachowania dotychczasowego stanu rzeczy należy w najbliższym czasie spodziewać się rozwoju w sferze podpisu elektronicznego czy szerzej, usług zaufania. Rozporządzenie eIDAS przynosi przecież takie pojęcia jak chociażby pieczęć elektroniczna czy kwalifikowany certyfikat uwierzytelniania witryn internetowych, które mogą (w szczególności pieczęć) zrewolucjonizować rynek i warto, żeby znalazło się dla nich odpowiednie miejsce w zapisach polskiego prawa.
Pozostaje mieć zatem nadzieję, że pracę nad ustawą o usługach zaufania oraz identyfikacji elektronicznej (prawdopodobnie takie brzmienie przyjmie nowa ustawa) będą postępowały w żwawym tempie i że jej ostateczna postać pozwoli na dynamiczny rozwój usług identyfikacji elektronicznej. Postęp prac można śledzić na stronie Rządowego Centrum Legislacji.