DELOVNI DOKUMENT SLUŽB KOMISIJE

POVZETEK OCENE UČINKA

Spremni dokument k

Predlogu UREDBE EVROPSKEGA PARLAMENTA IN SVETA

o elektronski identifikaciji in skrbniških storitvah za elektronske transakcije na notranjem trgu

1.           Okvir politik, postopkovna vprašanja in posvetovanje z zainteresiranimi stranmi

Ustvarjanje zaupanja v spletno okolje je ključ do gospodarskega razvoja. Zaradi pomanjkanja zaupanja potrošniki, podjetja in uprave neradi izvajajo elektronske transakcije in sprejemajo nove storitve. Namen predlagane pobude za regulativni okvir je omogočiti varne in nemotene elektronske transakcije med podjetji, državljani in upravami, s čimer se poveča učinkovitost javnih in zasebnih elektronskih storitev, e-poslovanja in e-trgovanja.

Obstoječe ovire za čezmejne e-storitve je treba odpraviti. Da bi elektronska identifikacija, avtentikacija, podpisi in z njimi povezane pomožne skrbniške storitve (eIAS) podpirale napredek, ne pa ga ovirale, je te storitve treba medsebojno priznati in sprejeti v vsej EU.

Celovit evropski čezmejni in medsektorski okvir za storitve eIAS ne obstaja. Na ravni EU obstaja le pravni okvir za elektronske podpise, ne pa tudi za e-identifikacijo in avtentikacijo ter s tem povezane pomožne skrbniške storitve. Komisija je v Evropski digitalni agendi napovedala, da bo predlagala pravne ukrepe za nadaljnjo obravnavo elektronskih podpisov in zagotovitev medsebojnega priznavanja e-identifikacije (elektronska identifikacijska kartica – eID) in e-avtentikacije, tako da bo možno odpraviti razdrobljenost in pomanjkanje interoperabilnosti, okrepiti digitalno državljanstvo ter preprečiti kibernetski kriminal.

Komisija je za to oceno učinka na razpravah, delavnicah in konferencah zbrala povratne informacije držav članic, Evropskega parlamenta in zainteresiranih strani. Začele so se številne študije v zvezi z eIAS, pregledana pa je bila tudi literatura s tega področja. Leta 2011 se je začelo javno posvetovanje za zbiranje mnenj o tem, kako lahko eID, avtentikacija in podpisi prispevajo k enotnemu trgu. Posvetovanje je bilo dopolnjeno s ciljno usmerjenim raziskovanjem za opredelitev posebnih stališč in potreb MSP.

2.           Opredelitev problema

Uporabniki pri čezmejni uporabi storitev eIAS lahko naletijo na težave. Največje ovire za varne in nemotene čezmejne storitve eIAS so:

1 — razdrobljenost trga: za ponudnike storitev se uporabljajo različna pravila, odvisno od države članice, v kateri delujejo.

Elektronski podpisi: usklajevanje, ki ga določa Direktiva 1999/93/ES o elektronskih podpisih, je nepopolno. Opredeljene so bile štiri težave, in sicer različno izvajanje na nacionalni ravni zaradi različnih razlag Direktive v državah članicah, dejansko sklicevanje na odstopanje za aplikacije v javnem sektorju, zastareli standardi in nejasne obveznosti glede nadzora, ki so privedle do težav pri čezmejni interoperabilnosti, razdrobljenosti v EU in izkrivljanj na notranjem trgu.

Elektronska identifikacijska kartica (eID): do težav pri interoperabilnosti vodijo različne tehnološke rešitve za osebno identifikacijo v posameznih državah članicah, pomanjkanje pravne varnosti pri čezmejni uporabi eID in nejasnosti glede odgovornosti za točnost osebnih podatkov.

Pomožne skrbniške storitve: zaradi neobstoja pravnega okvira EU nekatere države članice za nekatere od teh storitev sprejemajo zakone na nacionalni ravni, ponudniki, ki želijo ponuditi storitve v več državah članicah, pa imajo znatne stroške. Obe situaciji vodita do ovir na notranjem trgu in do njegove razdrobljenosti.

2 — pomanjkanje zaupanja: pomanjkanje zaupanja v elektronske sisteme, razpoložljiva orodja in pravni okvir lahko daje vtis, da obstaja manj pravnih jamstev kot pri fizični interakciji.

Elektronski podpisi: nacionalne zahteve glede nadzora se po kakovosti med državami članicami razlikujejo, zato zainteresirane strani, ki se zanašajo na elektronski podpis, težko ocenijo nadzor ponudnika storitve.

Kartica eID in pomožne skrbniške storitve: zaradi različnih nacionalnih zakonodaj se uporabniki le stežka počutijo varne pri čezmejni interakciji na spletu.

Štirje glavni dejavniki teh problemov so:

A: področje uporabe sedanjega pravnega okvira ni dovolj obsežno

Storitve eIAS so predpogoj za vrsto elektronskih interakcij, kot so e-bančništvo, e-uprava ali e-zdravstvo. Na ravni EU obstaja omejen in nepopoln regulativni okvir, ki se osredotoča predvsem na elektronske podpise. Ni posebnega okvira za medsebojno priznavanje in sprejemanje eID ali za pomožne skrbniške storitve, kot sta časovni žig ali e-pečat.

B: razvoj elektronskih podpisov in eID ni usklajen

Nacionalne infrastrukture za eIAS se razvijajo ločeno, brez usklajevanja na ravni EU. Posledično tehnične rešitve niso interoperabilne čez mejo, kar ovira e-transakcije. Pomanjkanje medsebojnega priznavanja in sprejemanja je eden od razlogov, zaradi katerih uporabniki in ponudniki e-storitev ne zaupajo uporabi eIAS.

C: varnostna zagotovila niso pregledna

Učinkoviti in usklajeni varnostni ukrepi so bistveni za ustvarjanje verodostojnih rešitev. To je zlasti pomembno pri dostopu do storitev, pri katerih se obravnavajo občutljivi osebni podatki, kot je e-zdravstvo. V skladu z Direktivo 99/93/ES je pravna varnost zagotovljena samo pri tistih elektronskih podpisih, ki zagotavljajo varnost in so dovolj dobro zaščiteni pred ponarejanjem ali goljufijami (napredni in kvalificirani elektronski podpisi).

Uporabniki pomanjkanje varnih sistemov eID dojemajo kot veliko oviro. Neusklajenost pravnega okvira za eID pomeni, da ni mogoče objektivno opredeliti varnosti in zanesljivosti uradnih eID čez mejo. To vodi do čezmejnih ovir, posledičnega nezaupanja in razdrobljenega trga.

Poleg tega je zaskrbljujoča tudi kraja identitete. Varne eID lahko pomagajo zmanjšati to tveganje. V primeru slabo zavarovanih eID pa lahko kriminalci lažje dobijo lažne ali ponarejene eID.

D: neozaveščenost/nesprejemanje s strani uporabnikov

Kompleksnost tehnologije, ki se uporablja za e-transakcije, in ključna vloga verodostojnih tretjih strani ustvarjata okolje, v katerem je težko oceniti zaupanje. Zlasti končnim uporabnikom, ki na splošno nimajo dovolj strokovnega znanja, mora biti omogočeno, da se lahko zanesejo na pravila, ki jasno določajo pravice in odgovornosti vseh zainteresiranih strani (ponudnikov skrbniških storitev, končnih uporabnikov in organov upravljanja).

3.           Osnovni scenarij

Osnovni scenarij pobude ne vključuje nobenega novega regulativnega ukrepa. Pričakuje se, da bi se v primeru tega scenarija sedanji problemi razvili na naslednji način:

Težave z razdrobljenostjo in interoperabilnostjo se ne bi rešile. Države članice bi verjetno še naprej izvajale in uveljavljale Direktivo 99/93/ES.

Pravna varnost ne bi bila zagotovljena. Problemi, ki so posledica pomanjkanja medsebojnega priznavanja elektronskih podpisov in neobstoja pravnega okvira, ki bi urejal medsebojno priznavanje in sprejemanje eID ter pomožne skrbniške storitve, bi ovirali pravno priznavanje vrste čezmejnih interakcij.

Potrebe uporabnikov ne bi bile v celoti zadovoljene. V sedanjem okviru ni možno v celoti izkoristiti priložnosti, ki jih ponuja tehnološki razvoj.

Vodilne evropske pobude ne bi bile v celoti izkoriščene. Politike EU, kot so direktive o storitvah, javnih naročilih ali DDV (elektronsko izstavljanje računov), ali veliki pilotni projekti podpornega programa za politiko IKT[1], katerih namen je odpraviti težave pri interoperabilnosti in čezmejnem priznavanju, povezane z nekaterimi vrstami e-interakcij, bi zaradi pomanjkanja čezmejnega zakonodajnega okvira lahko delovali le na pilotni ravni.

4.           Cilji politike

Opredeljeni so bili štirje splošni cilji, in sicer zagotovitev razvoja enotnega digitalnega trga, spodbujanje razvoja ključnih čezmejnih javnih storitev, spodbujanje in krepitev konkurence na enotnem trgu, izboljšanje prijaznosti do uporabnikov (državljanov in podjetij). Ti cilji so v skladu s strateškimi politikami EU, kot so strategija Evropa 2020, Evropska digitalna agenda, Akt za enotni trg ter načrt za stabilnost in rast.

Posebni cilji izražajo zaželene rezultate glede trga eIAS („kaj“), ki naj bi bili doseženi z uresničitvijo operativnega cilja („kako“). Za vsak posebni cilj je bilo opredeljenih več operativnih ciljev.

5.           Možnosti politike

Za rešitev problemov in izpolnitev navedenih ciljev so bili ocenjeni trije sklopi možnosti, in sicer (1) področje uporabe predvidenega okvira, (2) pravni instrument in (3) raven nadzora.

· V prvem sklopu glede „področja uporabe okvira“ so preučene štiri možnosti.

Možnost 0:     razveljavitev Direktive 99/93/ES in neuvedba regulativnih ukrepov glede eID ali pomožnih skrbniških storitev.

Ta možnost vključuje ukinitev vseh dejavnosti EU na področju elektronskih podpisov. Direktiva 99/93/ES bi bila razveljavljena, za medsebojno priznavanje eID pa ne bi bili predlagani nobeni zakonodajni ukrepi.

· Možnost 1: nespremenjena politika (osnovni scenarij).

Direktiva 99/93/ES bi ostala nespremenjena. Za eID ne bi bila predlagana nobena zakonodaja.

· Možnost 2:    krepitev pravne varnosti, spodbujanje usklajevanja nacionalnega nadzora ter zagotavljanje medsebojnega priznavanja in sprejemanja eID.

Področje uporabe Direktive 99/93/ES bi bilo razširjeno z novimi določbami o čezmejnem priznavanju in sprejemanju sistemov „prijavljenih eID“[2]. Določbe Direktive v zvezi z elektronskimi podpisi bi se pregledale, da bi se odpravile sedanje pomanjkljivosti in tako bolje uskladili nacionalni modeli nadzora.

· Možnost 3:    razširitev za vključitev nekaterih pomožnih skrbniških storitev.

Ta možnost razširja možnost 2 z vključitvijo pomožnih skrbniških storitev in prijavnih podatkov v področje uporabe predloga.

V zakonodajo bi bile vključene naslednje bistvene pomožne storitve: časovni žig, e-pečat, dolgoročna hramba informacij, dostava overjenih elektronskih dokumentov, dopustnost elektronskih dokumentov in avtentikacija spletnih strani.

· V okviru drugega sklopa v zvezi s „pravnim instrumentom“ se obravnavajo štiri možnosti.

Bodisi en celovit zakonodajni instrument (možnost A) bodisi dva ločena (možnost B):

zakonodaja bi lahko bila sestavljena iz enega celovitega ukrepa, ki bi zajemal elektronsko identifikacijo, avtentikacijo in podpise, ali iz dveh instrumentov, in sicer sklepa Komisije o eID in spremembe direktive o elektronskih podpisih.

Direktiva (možnost C) ali uredba (možnost D):

zakonodaja bi lahko bila sprejeta v obliki direktive ali uredbe.

· Na tretji stopnji o „nadzoru“ se obravnavata dve možnosti.

Možnost i): ohranitev nacionalnih sistemov nadzora

Sedanji sistemi nadzora na nacionalni ravni bi se ohranili, vendar bi bilo njihovo usklajevanje okrepljeno s skupnimi bistvenimi zahtevami.

Možnost ii): vzpostavitev sistema nadzora na ravni EU

Uveden bi bil sistem nadzora na ravni EU, da bi se zmanjšale ali odpravile razlike med nacionalnimi ureditvami nadzora. Možna sta dva načina:

podmožnost a: nadomestitev obstoječih nacionalnih sistemov nadzora z enotnim sistemom in organom nadzora na ravni EU;

podmožnost b: vzpostavitev sistema in organa nadzora na ravni EU s sočasno ohranitvijo nacionalnih sistemov nadzora (vsaka država članica bi lahko izbrala svoj ali evropski sistem).

6.           Primerjava možnosti politike in učinki

Možnosti politike so bile ocenjene in primerjane z osnovnim scenarijem (možnost 1) glede učinkovitosti, uspešnosti in skladnosti.

6.1.        Področje uporabe okvira

Z možnostjo 0 ne bi bili doseženi cilji iz poročila o oceni učinka. Ne bi se izboljšala razpoložljivost in prevzem čezmejnih in medsektorskih storitev eIAS, zagotovila optimalna raven upravljanja, spodbujal razvoj trga, okrepila konkurenčnost evropske industrije in storitev ali zagotovile koristi storitev eIAS za vse končne uporabnike. Nasprotno, s to možnostjo bi se oviral tehnološki razvoj na trgu eIAS, prekinil sedanji potek dela za zagotovitev čezmejnih e-storitev ter ohranila razdrobljeni trg EU in neenakomerna raven zaupanja.

Z možnostjo 1 cilji ne bi bili doseženi. Ohranile bi se obstoječe nejasnosti, raven zaupanja glede nadzora pa bi ostala neenaka. Še naprej bi obstajala regulativna negotovost, razdrobljenost v EU pa bi se še poslabšala, kar bi vodilo do izkrivljenih konkurenčnih pogojev na notranjem trgu in povečalo verjetnost različnih pristopov na nacionalni ravni.

Z možnostjo 2 bi se okrepila pravna varnost, spodbujal nadzor in zagotovila medsebojno priznavanje in sprejemanje eID, prav tako pa bi bili izpolnjeni vsi cilji iz poročila o oceni učinka, s čimer bi se dosegli pozitivni rezultati v gospodarstvu, družbi in okolju.

Storitve eIAS bi bile bolj privlačne, kar bi močno povečalo donosnost naložb v infrastrukturo in storitve eIAS. Storitve eIAS bi prav tako postale dostopne za vse sektorje in vse vrste družb, hkrati pa bi odpravile čezmejne ovire. Zagotovljeni bi bili novi trgi in nove naložbe, kar bi spodbujalo inovacije.

Sedanja razdrobljenost trga bi se zmanjšala, saj bi se s sklicevanjem na tehnične standarde izboljšala čezmejna interoperabilnost.

Medsebojno priznavanje in sprejemanje eID bi nadalje zmanjšalo obstoječe ovire na enotnem trgu. Nenazadnje je verjetno, da bi enotnost nadzora kot rezultata skupnih bistvenih zahtev okrepila zaupanje, olajšala odkrivanje goljufij in preprečila kraje identitete.

Z možnostjo 3 bi storitve eIAS postale še bolj privlačne, kar bi močno povečalo njihov pozitivni učinek, da bi se okvir razširil z vključitvijo nekaterih bistvenih pomožnih skrbniških storitev.

Možnost 3 se šteje za primernejšo od možnosti 0, 1 ali 2 in bolj verjetno je, da bo imela bistven učinek na varne in enostavno uporabne e-transakcije.

6.2.        Pravni instrument

Zagotavljanje celovitega okvira znotraj enega instrumenta bi zagotovilo skladnost zakonodaje, ki ureja različne vidike eIAS. Dva ločena instrumenta bi morda uvedla razhajanja med pravnimi določbami, sprejetimi za elektronske podpise in elektronsko identifikacijo, ter, kar je še pomembnejše, med pristopi pobud.

Sprejetje direktive ne bi pomagalo rešiti sedanjih težav pri interoperabilnosti sistemov za elektronske podpise, ki izhajajo iz različnih prenosov Direktive 99/93/ES v nacionalno zakonodajo. Uredba določa takojšnjo uporabo brez nadaljnjih razlag in s tem tudi boljšo skladnost, zato je primernejša za doseganje ciljev predlagane zakonodaje.

Ena sama uredba je videti najučinkovitejša za doseganje ciljev.

6.3.        Raven nadzora

Z možnostjo „i“ bi nova zakonodaja ohranila obstoječe nacionalne sisteme nadzora in uvedla skupne bistvene zahteve za ponudnike storitev. Usklajeni pristop na ravni EU za elektronske podpise in pomožne skrbniške storitve bi izboljšal učinkovit nadzor, okrepil pravno varnost ter povečal zaupanje v e-transakcije in njihovo varnost.

Možnost „ii“ bi zagotovila enoten, uspešen in visokokakovosten nadzor po vsej EU. Podmožnost „b“ je bolj prožna kot podmožnosti „a“, ki določa enotni organ nadzora na ravni EU. Za države članice, v katerih ni ponudnikov skrbniških storitev ali pa jih je le malo, bi lahko bilo bolj ugodno, da obveznosti nadzora prenesejo na organ nadzora na ravni EU. Druge države članice bi lahko ohranile lastne sisteme nadzora, če bi tako želele. Kljub temu pa se ob centraliziranem modelu nadzora na ravni EU pojavljajo nekateri pomisleki glede subsidiarnosti.

Ob upoštevanju načela subsidiarnosti se možnost „i“ šteje za najprimernejšo.

7.           Razlogi za ukrepe EU, dodano vrednost EU in subsidiarnost

Tako kot v Direktivi 99/93/ES je pravna podlaga za zakonodajni predlog člen 114 PDEU o notranjem trgu, saj določa odpravo obstoječih ovir za delovanje notranjega trga s spodbujanjem medsebojnega priznavanja in sprejemanja eID, avtentikacije, podpisov in pomožnih skrbniških storitev čez mejo, kadar je to potrebno za e-transakcije.

Zaradi inherentne ne-ozemeljske narave storitev eIAS, so ukrepi na ravni EU primerni in sorazmerni za izvajanje enotnega digitalnega trga. Ne gre pričakovati, da bi se z regulativnimi ukrepi, sprejetimi na ravni držav članic, dosegli enaki rezultati. Ukrep EU je zato potreben, primeren in upravičen.

8.           Spremljanje in ocenjevanje

Komisija bi uporabo zakonodaje spremljala s stalnim dialogom z zainteresiranimi stranmi in zbiranjem statističnih podatkov, Evropskemu parlamentu in Svetu pa bi poročala o učinku nove zakonodaje štiri leta po njenem začetku veljavnosti.

[1]               http://ec.europa.eu/information_society/activities/ict_psp/about.

[2]               „Prijavljena eID“: država članica Komisiji prijavi sistem eID, tako da bi ta bil priznan in sprejet čez mejo. Koncept prijavljenih eID ni omejen na eID, izdane v javnem sektorju. Države članice lahko prijavijo tudi eID, izdane v zasebnem sektorju, ki jih priznavajo za uporabo pri lastnih storitvah javnega sektorja. Ta pristop je nujen, saj organi vseh držav članic ne izdajajo eID. Čezmejni pristop k zakonodaji bi zasebnemu sektorju omogočil integracijo uporabe prijavljenih eID pri e-storitvah, ko je potrebna elektronska identifikacija.