DOKUMENT ROBOCZY SŁUŻB KOMISJI

STRESZCZENIE OCENY SKUTKÓW

Towarzyszący dokumentowi:

Wniosek ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym

1.           Kontekst polityczny, kwestie proceduralne i konsultacje z zainteresowanymi stronami

Budowanie zaufania do Internetu jest kluczowym elementem rozwoju gospodarczego. Brak zaufania sprawia, że konsumenci, przedsiębiorstwa i organy administracji odnoszą się z wahaniem do przeprowadzania transakcji elektronicznych i korzystania z nowych usług. Celem proponowanej inicjatywy dotyczącej ustanowienia ram prawnych jest umożliwienie dokonywania bezpiecznych i płynnych elektronicznych transakcji między przedsiębiorstwami, obywatelami i organami administracji, co zwiększy skuteczność publicznych i prywatnych usług elektronicznych, e-biznesu i handlu elektronicznego.

W dziedzinie transgranicznych usług elektronicznych istnieją przeszkody, które należy usunąć. W związku z tym, aby identyfikacja elektroniczna, uwierzytelnianie elektroniczne i podpis elektroniczny oraz związane z nimi pomocnicze usługi zaufania (eIAS) stanowiły produktywną siłę napędową, a nie przeszkody, muszą być wzajemnie uznawane i akceptowane na całym terytorium UE.

Nie istnieją żadne kompleksowe transgraniczne i ponadsektorowe ramy UE w zakresie usług eIAS. Na szczeblu UE ramy prawne istnieją wyłącznie w odniesieniu do podpisów elektronicznych, natomiast nie istnieją w przypadku identyfikacji elektronicznej i uwierzytelniania ani też w przypadku związanych z nimi pomocniczych usług zaufania. W ramach Europejskiej agendy cyfrowej Komisja zapowiedziała, że przedstawi wniosek dotyczący środków prawnych w celu dalszego zajęcia się kwestią podpisów elektronicznych, a także zapewnienia wzajemnego uznawania identyfikacji elektronicznej oraz uwierzytelniania elektronicznego w taki sposób, aby wyeliminować rozdrobnienie i brak interoperacyjności, wzmocnić obywatelstwo cyfrowe i zapobiegać cyberprzestępczości.

W celu przeprowadzenia niniejszej oceny skutków Komisja w trakcie dyskusji, warsztatów i konferencji zgromadziła szereg uwag od państw członkowskich, Parlamentu Europejskiego i zainteresowanych stron. Zainicjowano szereg badań związanych z usługami eIAS oraz przeprowadzono przegląd specjalistycznej literatury. W 2011 r. rozpoczęto konsultacje społeczne w celu zebrania informacji na temat tego, w jaki sposób identyfikacja elektroniczna, uwierzytelnianie elektroniczne i podpis elektroniczny mogą przyczynić się do rozwoju jednolitego rynku. Konsultacje uzupełniono ukierunkowanym badaniem, którego celem było uwzględnienie szczególnych poglądów i potrzeb małych i średnich przedsiębiorstw.

2.           Określenie problemu

Użytkownicy mogą mieć problemy w przypadku transgranicznego korzystania z usług eIAS. Głównymi przeszkodami dla bezpiecznych i płynnych trangranicznych usług eIAS są:

1 —     rozdrobnienie rynku: różne zasady mają zastosowanie do dostawców usług w zależności od państw członkowskich, w których świadczą swoje usługi.

W przypadku podpisów elektronicznych harmonizacja zapewniona dyrektywą 1999/93/WE w sprawie podpisów elektronicznych jest niedoskonała. Zidentyfikowano cztery problemy: niespójne wdrażanie na szczeblu krajowym wynikające z różnych interpretacji dyrektywy stosowanych przez państwa członkowskie, faktyczne powoływanie się na odstępstwo dla zastosowań w sektorze publicznym, przestarzałe normy i nieprzejrzyste obowiązki w zakresie nadzoru prowadzące do występowania problemów w zakresie interoperacyjności transgranicznej, rozdrobnienie panujące w UE i zakłócenia na rynku wewnętrznym.

W przypadku identyfikacji elektronicznej różne rozwiązania technologiczne w zakresie identyfikacji osób w poszczególnych państwach członkowskich, brak pewności prawa w zakresie transgranicznego korzystania ze środków identyfikacji elektronicznej oraz brak wyraźnie określonej odpowiedzialności za poprawność danych potwierdzających tożsamość prowadzą do problemów w zakresie interoperacyjności.

W przypadku pomocniczych usług zaufania brak ram prawnych UE prowadzi do przyjmowania przepisów krajowych dotyczących niektórych z tych usług w niektórych państwach członkowskich i ponoszenia wysokich kosztów przez dostawców, którzy chcą świadczyć swoje usługi w kilku państwach członkowskich. Obie te sytuacje powodują powstawanie barier na rynku wewnętrznym i prowadzą do jego rozdrobnienia.

2 —     brak zaufania: brak zaufania do systemów elektronicznych, dostępne narzędzia i ramy prawne mogą stwarzać wrażenie, że istnieje mniej zabezpieczeń prawnych niż w przypadku fizycznych interakcji.

W przypadku podpisów elektronicznych krajowe wymagania w zakresie nadzoru znacznie różnią się jakościowo w poszczególnych państwach członkowskich, przez co stronom polegającym na podpisie elektronicznym trudno jest ocenić nadzór nad dostawcą usług.

W przypadku identyfikacji elektronicznej i pomocniczych usług zaufania ze względu na zróżnicowane przepisy krajowe użytkownikom trudno jest mieć poczucie bezpieczeństwa przy nawiązywaniu kontaktów przez Internet w ramach transakcji o charakterze transgranicznym.

Czterema głównymi czynnikami powodującymi te problemy są:

A: Niewystarczający zakres obowiązujących ram prawnych

Usługi eIAS stanowią warunek konieczny dla szerokiego zakresu kontaktów drogą elektroniczną, takich jak usługi bankowości elektronicznej, administracji elektronicznej lub e-zdrowia. Na szczeblu UE obowiązują ograniczone i niedoskonałe ramy prawne, które zasadniczo dotyczą podpisów elektronicznych. Nie istnieją żadne szczególne ramy w zakresie wzajemnego uznawania i zatwierdzania identyfikacji elektronicznej lub pomocniczych usług zaufania, takich jak znaczniki czasu lub pieczęci elektroniczne.

B: Brak koordynacji między zmianami zachodzącymi w zakresie podpisu elektronicznego i identyfikacji elektronicznej

Krajowe infrastruktury eIAS opracowano oddzielnie bez ich koordynacji na szczeblu UE. Wynikający z tego brak transgranicznej interoperacyjności rozwiązań technicznych tworzy bariery dla transakcji elektronicznych. Brak wzajemnego uznawania i zatwierdzania jest jednym z powodów, w związku z którymi zarówno użytkownicy, jak i dostawcy usług elektronicznych sceptycznie podchodzą do wdrożenia eIAS.

C: Brak przejrzystości w zakresie gwarancji bezpieczeństwa

Pełne i zharmonizowane bezpieczeństwo jest niezbędne dla stworzenia wiarygodnych rozwiązań. Ma to szczególne znaczenie w przypadku dostępu do usług wymagających podania szczególnie chronionych danych osobowych, takich jak e-zdrowie. Zgodnie z dyrektywą 99/93/WE uznanie pewności prawa możliwe jest wyłącznie w przypadku podpisów elektronicznych, które gwarantują bezpieczeństwo, a zatem są wystarczająco zabezpieczone przed fałszowaniem lub oszustwami (zaawansowane i kwalifikowane podpisy elektroniczne).

Użytkownicy postrzegają brak bezpiecznych systemów identyfikacji elektronicznej jako istotną barierę. Brak zharmonizowanych ram prawnych w zakresie identyfikacji elektronicznej oznacza, że na poziomie transgranicznym nie jest możliwe obiektywne stwierdzenie bezpieczeństwa i wiarygodności urzędowych środków identyfikacji elektronicznej. Z tego względu powstają bariery transgraniczne, a w konsekwencji brak zaufania i rozdrobienie rynku.

Kolejnym problemem jest kradzież tożsamości. Ryzyko występowania takiej kradzieży można by ograniczyć dzięki bezpiecznym środkom identyfikacji elektronicznej. Z kolei słabo zabezpieczone środki identyfikacji elektronicznej ułatwiają przestępcom uzyskanie fałszywych środków identyfikacji elektronicznej lub informacji zapisanych na środkach identyfikacji elektronicznej.

D: Brak świadomości/brak przyjmowania rozwiązań przez użytkowników

Złożoność technologii wykorzystywanych do transakcji elektronicznych oraz kluczowe znaczenie zaufanych stron trzecich tworzą środowisko, w którym trudno jest ocenić zaufanie. W szczególności użytkownicy końcowi, którzy na ogół nie posiadają wystarczającej wiedzy eksperckiej, muszą polegać na zasadach ustanawiających wyraźne prawa i obowiązki dla wszystkich zainteresowanych stron (dostawców usług zaufania, użytkowników końcowych i organów zarządzających).

3.           Scenariusz odniesienia

Scenariuszem odniesienia inicjatywy jest brak nowej interwencji regulacyjnej. Oczekuje się, że w ramach tego scenariusza obecne problemy kształtowałyby się w następujący sposób:

Nie rozwiązano by problemów w zakresie rozdrobnienia i interoperacyjności: prawdopodobnie państwa członkowskie nadal wdrażałyby i egzekwowały dyrektywę 99/93/WE.

Nie zapewniono by pewności prawa: problemy wynikające z braku wzajemnego uznawania podpisów elektronicznych oraz braku ram prawnych regulujących wzajemne uznawanie i zatwierdzanie identyfikacji elektronicznej i pomocniczych usług zaufania utrudniałyby prawne uznawanie szeregu interakcji transgranicznych.

Nie zaspokojono by w pełni potrzeb użytkowników: w obowiązujących ramach nie jest możliwe pełne wykorzystanie możliwości, jakie powstają dzięki rozwój nowych technologii.

Nie wykorzystano by pełnego potencjału wiodących europejskich inicjatyw: strategie UE, takie jak dyrektywa usługowa, dyrektywy w sprawie zamówień publicznych lub dyrektywa VAT (fakturowanie elektroniczne), lub projekty pilotażowe na dużą skalę ICT-PSP[1], w ramach których podejmuje się próbę wyeliminowania problemów w zakresie interoperacyjności i transgranicznego uznawania związanych z określonymi rodzajami kontaktów drogą elektroniczną, mogłyby funkcjonować wyłącznie na poziomie pilotażowym ze względu na brak transgranicznych ram prawnych.

4.           Cele strategiczne

Określono cztery ogólne cele: zapewnienie rozwoju jednolitego rynku cyfrowego; promowanie rozwoju kluczowych transgranicznych usług publicznych; pobudzanie i wzmacnianie konkurencji na jednolitym rynku; tworzenie środowiska przyjaznego użytkownikowi (obywatelom i przedsiębiorstwom). Cele te są zgodne z kluczowymi strategiami UE, takimi jak strategia „UE 2020”, Europejska agenda cyfrowa, Akt o jednolitym rynku oraz Plan działania na rzecz stabilności i wzrostu.

Cele szczegółowe wyrażają pożądane wyniki wprowadzenia celu operacyjnego („sposób”) związane z rynkiem usług eIAS („przedmiot”) . Dla każdego celu szczegółowego określono szereg celów operacyjnych.

5.           Warianty strategiczne

W celu rozwiązania problemów i osiągnięcia powyższych celów ocenie poddano trzy zestawy wariantów: (1) zakres planowanych ram, (2) instrument prawny oraz (3) poziom nadzoru:

· W ramach pierwszego zestawu, „zakres planowanych ram”, przeanalizowano cztery warianty:

Wariant 0:     uchylenie dyrektywy 99/93/WE oraz brak działań regulacyjnych dotyczących identyfikacji elektronicznej lub pomocniczych usług zaufania.

Wariant ten polega na przerwaniu wszystkich działań UE w obszarze podpisów elektronicznych. Uchylono by dyrektywę 99/93/WE i nie przedstawiono by żadnych wniosków dotyczących środków prawnych w zakresie wzajemnego uznawania identyfikacji elektronicznej.

· Wariant 1: brak zmian polityki (scenariusz odniesienia)

Dyrektywę 99/93/WE zachowano by w obecnym kształcie. Nie zaproponowano by żadnych przepisów dotyczących identyfikacji elektronicznej.

· Wariant 2:     zwiększenie pewności prawa, pobudzenie koordynacji nadzoru krajowego oraz zapewnienie wzajemnego uznawania i zatwierdzania środków identyfikacji elektronicznej

Poszerzono by zakres dyrektywy 99/93/WE o przepisy obejmujące transgraniczne uznawanie i zatwierdzanie „zgłoszonych systemów identyfikacji elektronicznej”[2]. Zmieniono by przepisy dyrektywy dotyczące podpisów elektronicznych w celu usunięcia obecnie znajdujących się w niej słabych punktów, a zatem w celu lepszej harmonizacji modeli nadzoru krajowego.

· Wariant 3:     rozszerzenie w celu włączenia określonych pomocniczych usług zaufania

Wariant ten stanowi rozszerzenie wariantu 2 polegające na objęciu zakresem wniosku pomocniczych usług zaufania i danych uwierzytelniających.

Podstawowymi pomocniczymi elementami włączonymi do prawodawstwa byłyby: znaczniki czasu, pieczęci elektroniczne, długoterminowa ochrona informacji, certyfikowane dostarczanie dokumentów elektronicznych, dopuszczalność dokumentów elektronicznych i uwierzytelnianie witryn internetowych.

· W ramach drugiego zestawu, obejmującego „instrument prawny”, rozpatruje się cztery warianty:

Jeden kompleksowy instrument prawny (wariant A) albo dwa oddzielne (wariant B)

Przepisy można by zawrzeć w jednym pojedynczym kompleksowym środku obejmującym identyfikację elektroniczną, uwierzytelnianie elektroniczne i podpis elektroniczny albo w dwóch instrumentach, a mianowicie w decyzji Komisji w sprawie identyfikacji elektronicznej i zmienionej dyrektywie w sprawie podpisów elektronicznych.

Dyrektywa (wariant C) albo rozporządzenie (wariant D)

Przepisy mogłyby mieć formę dyrektywy albo rozporządzenia.

· W ramach trzeciego zestawu, poziomu „nadzoru”, rozpatruje się dwa warianty:

Wariant (i): utrzymanie systemów nadzoru krajowego

Utrzymano by obowiązujące systemy nadzoru krajowego, wzmocniono by jednak harmonizację podstawowych wspólnych wymagań.

Wariant (ii): Ustanowienie systemu nadzoru UE

Ustanowiono by systemu nadzoru UE w celu ograniczenia lub wyeliminowania różnic występujących między krajowymi rozwiązaniami w zakresie nadzoru. Działanie to mogłoby przyjąć jedną z dwóch form:

Podwariant a: zastąpienie obowiązujących systemów nadzoru krajowego pojedynczym systemem i organem nadzoru UE.

Podwariant b: ustanowienie systemu i organu nadzoru UE przy jednoczesnym utrzymaniu równolegle funkcjonujących systemów nadzoru krajowego (każde państwo członkowskie mogłoby wybrać własny system lub system europejski).

6.           Porównanie wariantów strategicznych i skutków

Warianty strategiczne poddano ocenie i porównano ze scenariuszem odniesienia (wariant 1) pod względem skuteczności, efektywności i spójności.

6.1.        Zakres ram

W ramach wariantu 0 nie przyczyniono by się do osiągnięcia celów określonych w sprawozdaniu z oceny skutków. Nie zwiększono by dostępności i rozpowszechnienia transgranicznych i ponadsektorowych usług eIAS, nie zapewniono by optymalnego poziomu zarządzania, nie pobudzono by zmian na rynku, nie przyczyniono by się do wzmocnienia konkurencyjności europejskiego przemysłu i sektorów usług ani nie zapewniono by możliwości czerpania korzyści płynących ze stosowania usług eIAS przez wszystkich użytkowników końcowych. Wręcz przeciwnie, zastosowanie tego wariantu utrudniłoby rozwój technologiczny na rynku usług eIAS, zakłóciłoby obecny proces prac na rzecz umożliwienia świadczenia transgranicznych usług elektronicznych i spowodowało utrzymanie rozdrobnienia rynku UE i niejednolitego poziomu zaufania.

Stosując wariant 1 nie osiągnięto by celów. Utrzymano by istniejące niejasności, a poziom zaufania w odniesieniu do nadzoru nadal byłby niejednolity. W UE nadal istniałaby niepewność prawa i panowałoby coraz większe rozdrobnienie, co prowadziłoby do zakłócenia warunków konkurencji na rynku wewnętrznym i zwiększałoby prawdopodobieństwo występowania odmiennych podejść na szczeblu krajowym.

W ramach wariantu 2 zwiększono by pewność prawa, wzmocniono by nadzór i zapewniono wzajemne uznawanie i zatwierdzanie środków identyfikacji elektronicznej oraz znacznie przyczyniono by się do osiągnięcia każdego z celów określonych w sprawozdaniu z oceny skutków, uzyskując pozytywne wyniki gospodarcze, społeczne i środowiskowe.

Usługi eIAS stałyby się bardziej atrakcyjne, dzięki czemu uzyskano by większy zwrot z inwestycji dokonanych w infrastrukturę i usługi eIAS. Ponadto usługi eIAS stałyby się dostępne dla wszystkich sektorów i rodzajów przedsiębiorstw przy jednoczesnym wyeliminowaniu barier transgranicznych. Stworzono by nowe rynki i inwestycje, przez co pobudzono by innowacje.

Ograniczono by obecne rozdrobnienie rynku, ponieważ poprawiono by interoperacyjność dzięki umożliwieniu odnoszenia się do norm technicznych.

Dzięki wzajemnemu uznawaniu i zatwierdzaniu identyfikacji elektronicznej w dalszym stopniu przełamano by obecne bariery w funkcjonowaniu jednolitego rynku. Ponadto prawdopodobnie jednorodność nadzoru wynikająca ze stosowania wspólnych podstawowych wymogów spowodowałby wzrost zaufania, ułatwiłaby wykrywanie oszustw oraz przyczyniłaby się do zapobiegania kradzieżom tożsamości.

W ramach wariantu 3 usługi eIAS stałyby się jeszcze bardziej atrakcyjne, przez co zwiększeniu uległby ich pozytywny wpływ poprzez rozszerzenie ram o określone podstawowe pomocnicze usługi zaufania.

Uznaje się, że istnieje większe prawdopodobieństwo osiągnięcia pozytywnego wpływu na bezpieczne i łatwe w użyciu transakcje elektroniczne w przypadku zastosowania wariantu 3 niż w przypadku zastosowania wariantu 0, 1 lub 2.

6.2.        Instrument prawny

Zapewnienie kompleksowych ram w postaci jednego instrumentu zapewniłoby spójność przepisów regulujących różne aspekty usług eIAS. Obowiązywanie dwóch oddzielnych instrumentów mogłoby wprowadzić rozbieżności w przepisach prawnych przyjętych w odniesieniu do podpisów elektronicznych i identyfikacji elektronicznej, a co ważniejsze, w podejściu przyjmowanym w ramach inicjatyw.

Przyjęcie dyrektywy nie przyczyniłoby się do rozwiązania obecnych problemów w zakresie interoperacyjności podpisów elektronicznych wynikających z różnych transpozycji dyrektywy 99/93/WE. Przyjęcie rozporządzenia zapewnia bezpośrednie stosowanie bez interpretacji i wynikającą z niego większą harmonizację, przez co jest właściwszym rozwiązaniem zmierzającym do osiągnięcia celów przepisów, których dotyczy wniosek.

Jedno pojedyncze rozporządzenie wydaje się być najskuteczniejszym sposobem osiągnięcia tych celów.

6.3.        Poziom nadzoru

W ramach wariantu „i” w nowych przepisach zachowano by obowiązujące systemy nadzoru krajowego i nałożono by na dostawców usług wspólne podstawowe wymogi. Dzięki zharmonizowanemu podejściu na szczeblu UE zarówno do podpisu elektronicznego, jak i pomocniczych usług zaufania poprawiono by skuteczność nadzoru, zwiększono by pewność prawa oraz zaufanie do transakcji elektronicznych i ich bezpieczeństwo.

W ramach wariantu „ii” zapewniono by jednolitość, skuteczność i wysoką jakość nadzoru w całej UE. Korzyścią płynącą z zastosowania podwariantu „b” jest osiągnięcie większej elastyczności niż w przypadku jednego organu kontrolnego UE przewidzianego w podwariancie „a”: przekazanie obowiązków w zakresie nadzoru organowi kontrolnemu UE byłoby korzystne dla państw członkowskich, w których nie mają siedziby żadni dostawcy usług zaufania lub swoją siedzibę ma niewielu takich dostawców. Inne państwa członkowskie mogłyby, gdyby zechciały, utrzymać swoje systemy nadzoru. Scentralizowany model nadzoru UE budzi jednak wątpliwości pod względem pomocniczości.

Poszanowanie zasady pomocniczości sugeruje, że najodpowiedniejszym wariantem jest wariant „i”.

7.           Uzasadnienie działania na szczeblu UE, wartość dodana UE i zasada pomocniczości

Tak jak w przypadku dyrektywy 99/93/WE, podstawą prawną wniosku ustawodawczego jest art. 114 TFUE dotyczący rynku wewnętrznego, ponieważ jego celem jest usunięcie przeszkód w funkcjonowaniu rynku wewnętrznego poprzez promowanie transgranicznego wzajemnego uznawania i zatwierdzania środków identyfikacji elektronicznej, uwierzytelniania elektronicznego, podpisów elektronicznych i pomocniczych usług zaufania, gdy są one niezbędne w odniesieniu do transakcji elektronicznych.

Ze względu na właściwy usługom eIAS brak terytorialności, działania na szczeblu UE są odpowiednie i proporcjonalne do wdrożenia jednolitego rynku cyfrowego. Nie można oczekiwać osiągnięcia takiego samego wyniku przy zastosowaniu środków regulacyjnych przyjętych na szczeblu państw członkowskich. Interwencja UE jest zatem niezbędna, odpowiednia i uzasadniona.

8.           Monitorowanie i ocena

Komisja monitorowałaby stosowanie przepisów poprzez prowadzenie stałego dialogu z zainteresowanymi stronami i gromadzenie danych statystycznych oraz przedłożyłaby Parlamentowi Europejskiemu i Radzie sprawozdanie dotyczące skutków nowych przepisów po czterech latach od ich wejścia w życie.

[1]               http://ec.europa.eu/information_society/activities/ict_psp/about.

[2]               „Zgłoszona identyfikacja elektroniczna”: system identyfikacji elektronicznej zgłoszony Komisji przez państwo członkowskie, który ma być uznawany i zatwierdzany w kontekście transgranicznym. Koncepcja zgłoszonej identyfikacji elektronicznej nie ogranicza się do środków identyfikacji elektronicznej wydanych przez sektor publiczny: państwa członkowskie mogłyby również zgłaszać środki identyfikacji elektronicznej wydane przez sektor prywatny, które państwa te uznają do celów stosowania w zakresie ich własnych usług sektora publicznego. Takie podejście jest niezbędne, ponieważ nie wszystkie organy państw członkowskich wydają środki identyfikacji elektronicznej. Dzięki ponadsektorowemu podejściu dotyczącemu przepisów sektor prywatny mógłby włączyć stosowanie zgłoszonych środków identyfikacji elektronicznej do usług elektronicznych, gdy zachodzi konieczność zastosowania bezpiecznej identyfikacji elektronicznej.