O pracach nad nową ustawą o usługach zaufania i identyfikacji elektronicznej wspominałem już w kwietniu. Kilka dni temu, 5 września została ona jednogłośnie uchwalona przez Sejm.
Za przyjęciem ustawy zagłosowało 431 posłów. Obecnie trafiła ona do Senatu i być może, zanim zostanie podpisana przez Prezydenta, zajdą w niej jeszcze jakieś zmiany. Nie wydaje się jednak, żeby były one na tyle poważne, żebyśmy już dziś nie mogli przyjrzeć się jej zapisom nieco bliżej.
Rozporządzenie eIDAS
Ustawa o usługach zaufania i identyfikacji elektronicznej [PDF] powstała w odpowiedzi na rozporządzenie Parlamentu Europejskiego i Rady nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE, które od 1 lipca tego roku zaczęło obowiązywać w państwach członkowskich Unii Europejskiej. Rozporządzanie to, znane pod nazwą eIDAS [PDF], ma pomóc w ujednoliceniu usług zaufania oraz umożliwić wzajemnie rozpoznawanie środków identyfikacji elektronicznej wśród krajów Unii.
Nowa ustawa sprawia, że poprzednia ustawa z 18 września 2001 r. o podpisie elektronicznym przestaje funkcjonować.
Podstawowe pojęcia eIDAS
Nowa ustawa, w porównaniu do starej, przynosi nowe pojęcia, i tak:
bezpieczny podpis elektroniczny staje się zaawansowanym podpisem elektronicznym;
bezpieczny podpis elektroniczny weryfikowanego za pomocą ważnego kwalifikowanego certyfikatu staje się kwalifikowanym podpisem elektronicznym.
Poniżej dla lepszego zrozumienia przytaczam definicje bezpośrednio z rozporządzenia eIDAS:
Zaawansowany podpis elektroniczny oznacza podpis elektroniczny, który spełnia wymogi określone w art. 26
I wspomniany artykuł 26:
Zaawansowany podpis elektroniczny musi spełniać następujące wymogi:
a) jest unikalnie przyporządkowany podpisującemu;
b) umożliwia ustalenie tożsamości podpisującego;
c) jest składany przy użyciu danych służących do składania podpisu elektronicznego, których podpisujący może, z dużą dozą pewności, użyć pod wyłączną swoją kontrolą; oraz
d) jest powiązany z danymi podpisanymi w taki sposób, że każda późniejsza zmiana danych jest rozpoznawalna.
Kwalifikowany podpis elektroniczny oznacza zaawansowany podpis elektroniczny, który jest składany za pomocą kwalifikowanego urządzenia do składania podpisu elektronicznego i który opiera się na kwalifikowanym certyfikacie podpisu elektronicznego
Pozostałe pojęcia znaleźć można w artykule 3 rozporządzenia eIDAS. Zachęcam do zapoznania się z nimi przed lub w trakcie czytania tego wpisu.
Treść nowej ustawy
Ustawa o usługach zaufania i identyfikacji elektronicznej składa się z 10 rozdziałów. Spójrzmy zatem co zawiera każdy z nich.
Rozdział I – Przepisy ogólne
Rozdział wskazuje zakres ustawy w skład którego wchodzi określenie:
- krajowej infrastruktury zaufania;
- zasad działania dostawców usług zaufania;
- trybu notyfikacji dla krajowego systemu identyfikacji elektronicznej;
- sposobu nadzoru nad dostawcami usług zaufania.
Rozdział II – Krajowa infrastruktura zaufania
Rozporządzenie eIDAS zakłada powstanie krajowych infrastruktur zaufania w każdym z Państw członkowskich. W Polsce odpowiedzialność za jej stworzenie została przypisana Ministerstwu właściwemu do spraw informatyzacji, czyli na dzisiaj Ministerstwu Cyfryzacji.
Krajowa infrastruktura zaufania składała będzie się z:
- rejestru dostawców usług zaufania;
- zaufanej listy;
- narodowego centrum certyfikacji.
Rozdział ten szczegółowo opisuje zasady funkcjonowanie rejestru dostawców usług zaufania w tym m.in. dane jakie będzie zawierał; warunki jakie musi spełnić dostawca usług, żeby móc być wpisany do rejestru czy też powody przez które może zostać z niego usunięty. Warto dodać, że rejestr oprócz informacji o dostawcach usług kwalifikowanych będzie zawierał informacje o dostawcach usług niekwalifikowanych.
W artykule 10 rozdziału II określone zostały zadania przypisane narodowemu centrum certyfikacji. Wśród nich znajdziemy:
- wydawanie certyfikatów dla dostawców usług zaufania, które pozwalały im będą świadczyć usługi zaufania;
- zarządzanie tymi certyfikatami, w tym publikację list certyfikatów unieważnionych (CRL).
Dalej możemy przeczytać, że Ministerstwo
może upoważnić Narodowy Bank Polski do realizacji zadań, o których mowa w art. 10
z zastrzeżeniem, że polityka według której działać będzie narodowe centrum certyfikacji będzie z nim (z Ministerstwem) uzgadniania.
W ostatnim artykule tego rozdziału wskazywane jest, że wszystkie kwestie techniczne, w tym tryb wydawania i unieważniania certyfikatów dla dostawców usług zaufania oraz wymagania odnośnie bezpieczeństwa krajowej infrastruktury zaufania zostaną określone w dodatkowym rozporządzeniu.
Rozdział III – Działalność dostawców usług zaufania
Rozdział III skupia się na funkcjonowaniu dostawców usług zaufania. Określa m.in.:
- konieczność ubezpieczenia się dostawcy usług zaufania na wypadek wyrządzenia szkody – wynikającej z nieprawidłowego świadczenia usług – stronie ufającej (użytkownikowi usługi), szczegółowy zakres ubezpieczenia będzie określony w drodze rozporządzenia;
- obowiązek zachowania w tajemnicy danych związanych ze świadczonymi usługami;
- obowiązek przechowywania danych i dokumentów dla świadczonych usług (np. list CRL) przez 20 lat od chwili ich utworzenia.
Artykuł 18 zawiera istotną treść, która brzmi:
Podpis elektroniczny lub pieczęć elektroniczna weryfikowane za pomocą certyfikatu wywołują skutki prawne, jeżeli zostały złożone w okresie ważności tego certyfikatu.
i dalej:
Podpis elektroniczny lub pieczęć elektroniczna złożone w okresie zawieszenia certyfikatu wykorzystywanego do jego weryfikacji nie wywołują skutków prawnych.
Istotną informacją tego artykułu jest także ważność podpisu w momencie odwieszenia zawieszonego certyfikatu (zawieszenie certyfikatu polega na jego unieważnieniu z tym, że może ono przy spełnieniu pewnych warunków zostać cofnięte, certyfikat staje się wtedy ponownie ważny). Ustawa w takim przypadku mówi:
Po uchyleniu zawieszenia certyfikatu, skutek prawny podpisu elektronicznego lub pieczęci elektronicznej weryfikowanych tym certyfikatem złożonych w trakcie zawieszenia następuje z chwilą uchylenia tego zawieszenia.
Kolejny artykuł tego rozdziału nakłada na dostawcę usług zaufania konieczność posiadania polityki świadczenia usług w której znajdzie się zbiór reguł i zasad według których świadczone są usługi. Polityka powinna przewidywać m.in. zapewnienie przez dostawcę całodobowej możliwości zgłaszania żądań unieważnienia certyfikatów.
Ważna informacją zawartą w ostatnim, 21, artykule tego rozdziału jest to, że dostawca nie będzie odpowiadał za szkody będące wynikiem nieprzestrzegania przez użytkownika zasad polityki.
Rozdział IV – Identyfikacja elektroniczna
Rozdział czwarty w całości poświęcony został kwestii identyfikacji elektronicznej. Rozporządzenie eIDAS jasno wskazuje, że środki identyfikacji elektronicznej jednego kraju Unii Europejskiej muszą być uznawanie przez pozostałe kraje członkowskie. Konieczność rozpoznawalności dotyczy usług świadczonych drogą elektroniczną przez instytucje sektora publicznego.
Ciekawą kwestią związaną z identyfikacją elektroniczną są tzw. poziomy bezpieczeństwa. Podmiot publiczny świadczący usługi online będzie zobowiązany do określenia poziomu bezpieczeństwa wymaganego dla środka identyfikacji elektronicznej, który pozwoli użytkownikowi na dostęp do danej usług. eIDAS określa trzy poziomy bezpieczeństwa: niski, średni i wysoki. Szczegółowe wymagania dla każdego z poziomów określa dodatkowe rozporządzenie Komisji Europejskiej dostępne tutaj.
Ważną informacją związaną z identyfikacją elektroniczną jest to, że wymóg jej bezwzględnego stosowania przez Państwa wspólnoty wejdzie w życie dopiero od 29 września 2018 roku. Do tego czasu rozpoznawanie będzie dobrowolne.
Rozdział V – Nadzór nad dostawcami usług zaufania
Jak już było to wspomniane w rozdziale I nadzór nad dostawcami usług zaufania przejmuje Ministerstwo Cyfryzacji. Do zadań tego organu w ramach powierzonego zadania będzie należało m.in.:
- wydawanie i unieważnianie certyfikatów dla dostawców usług zaufania;
- weryfikacji zgodności polityki dostawców z zapisami rozporządzenia eIDAS i ustawy, w tym przeprowadzanie audytu zgodności;
- nakładanie kar na dostawców usług zaufania.
Ministerstwo będzie odpowiedzialne także za zdefiniowanie sposobu zgłaszania przez dostawców usług zaufania incydentów bezpieczeństwa. Punkt ten odnosi się do artykułu 19 rozporządzenia eIDAS.
Rozdział VI – Przepisy karne
Grzywna, kara ograniczenia wolności lub pozbawienie wolności do lat 3 grozi osobie, która:
składa kwalifikowany podpis elektroniczny lub zaawansowany podpis elektroniczny z wykorzystaniem danych do składania podpisu elektronicznego przyporządkowanych do innej osoby.
Te same kary odnoszą się do nieuprawnionego wykorzystywania pieczęci elektronicznej.
Wśród innych kar znajdziemy te przewidziane za niedochowanie tajemnicy związanej ze świadczeniem usług zaufania.
Rozdział VII – Przepisy o karach pieniężnych
Rozdział definiuje zakres kar pieniężnych. Zainteresowanych konkretnymi wartościami odsyłam do treści ustawy.
Dodam tylko, że najwyższa kara (do 100 000 zł) grozi za nieterminowe dostarczenie do Ministerstwa raportu potwierdzającego zniszczenie danych (kluczy prywatnych) wykorzystywanych do realizacji zaawansowanego podpisu elektronicznego lub zaawansowanej pieczęci elektronicznej w przypadku odebrania danemu dostawcy statusu kwalifikowanego dostawcy usług zaufania.
Rozdział VIII – Zmiany w przepisach
Ten długi rozdział zawiera wyszczególnione wszystkie zmiany innych przepisów prawa w których istniały pojęcia ze starej ustawy o podpisie elektronicznym.
Rozdział IX – Przepisy przejściowe
Wśród przepisów przejściowych znajdziemy m.in. te informacje o których wcześniej, przynajmniej w cześci, informowało Ministerstwo tj.
- bezpieczny podpis elektroniczny weryfikowany za pomocą ważnego kwalifikowanego certyfikatu w rozumieniu ustawy z dnia 18 września 2001 r. o podpisie elektronicznym staje się kwalifikowanym podpisem elektronicznym w rozumieniu nowej ustawy;
- zaświadczenia certyfikacyjne, poświadczenia elektroniczne i certyfikaty wydane zgodnie z przepisami ustawy z dnia 18 września 2001 r. o podpisie elektronicznym zachowują ważność przez okres w nich wskazany, o ile nie zostaną unieważnione;
- rejestr kwalifikowanych podmiotów świadczących usługi certyfikacyjne, o którym mowa w ustawie z dnia 18 września 2001 r. o podpisie elektronicznym staje się rejestrem dostawców usług zaufania w rozumieniu nowej ustawy.
Podobnie wygląda sprawa ze znacznikami czasu:
- usługę znakowania czasem, o której mowa w ustawie z dnia 18 września 2001 r. o podpisie elektronicznym, uznaje się za usługę elektronicznego znacznika czasu.
Bez zmian pozostaje też instytucja pełniąca rolę narodowego centrum certyfikacji – nadal będzie do Narodowy Bank Polski.
Z technicznego punktu widzenia ciekawą informacją może być pozostawienie możliwości wykorzystywania starej funkcji skrótu SHA-1 aż do 1 lipca 2018 roku. Rozporządzenie eIDAS poprzez standard ETSI EN 119 312 [PDF] nie rekomenduje wykorzystywania SHA-1 w żadnych operacjach kryptograficznych. Jednak na podstawie zapisów pochodzących z innych standardów (np. ETSI EN 319 412-2 [PDF], opisujący profil certyfikatu kwalifikowanego) możliwe było wydłużenie stosowania SHA-1. Miejmy jednak nadzieję, że proces migracji do bezpieczniejszych funkcji skrótu (np. rodzina SHA-2) nastąpi dużo szybciej niż dopiero za 2 lata.
Rozdział X – Przepisy końcowe
Ostatni rozdział informuje nas o tym, że stara ustawa o podpisie elektronicznym z 2001 roku traci moc, a nowa ustawa wchodzi w życie po 7 dniach od jej ogłoszenia.
Co dalej?
Ustawa uchwalona 5 września nie znajduje w przepisach polskiego prawa miejsca dla wszystkich usług zaufania, które oferuje rozporządzenie eIDAS. Nie obejmuje ona chociażby takich usług jak usługa rejestrowanego doręczenia elektronicznego czy usługi konserwacji kwalifikowanych podpisów elektronicznych. Z informacji przekazanych przez Ministerstwo – w uzasadnieniu ustawy – wywnioskować można jednak, że prace nad ustawą będą trwały i że spodziewać się możemy jej ulepszenia.
Jeżeli chodzi o szczegóły techniczne związane z nową ustawą do wszelkie wątpliwości rozwiąć powinno dodatkowe rozporządzenie, podobnie jak miało to miejsce w przypadku starej ustawy. Data jego powstania nie została jednak określona.