Zwiększenie bezpieczeństwa transakcji w Internecie

STRESZCZENIE DOKUMENTU:

Rozporządzenie (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym

STRESZCZENIE

JAKIE SĄ CELE NINIEJSZEGO ROZPORZĄDZENIA?

• Rozporządzenie w sprawie identyfikacji elektronicznej i usług zaufania (eIDAS) ustanawia nowy system bezpiecznych interakcji elektronicznych w całej UE pomiędzy przedsiębiorstwami, obywatelami i władzami publicznymi.
• Jego celem jest zwiększenie zaufania do transakcji elektronicznych realizowanych w całej UE, w celu podniesienia efektywności publicznych i prywatnych usług online i handlu elektronicznego. Rozporządzenie obejmuje:
  • programy identyfikacji elektronicznej (eID)* zgłoszone Komisji Europejskiej przez kraje UE,
  • dostawców usług zaufania mających siedzibę w UE.
• Znosi ono istniejące bariery w stosowaniu środków identyfikacji elektronicznej w UE. Przykładowo przedsiębiorstwo z Portugalii będzie mogło w prosty sposób złożyć ofertę przetargową w ramach zamówienia na usługi publiczne w Szwecji, a dotacjami UE będzie mogło zarządzać w całości on-line.

KLUCZOWE ZAGADNIENIA

Identyfikacja elektroniczna

• Środek identyfikacji elektronicznej wydany przez dany kraj UE musi być uznawany przez inne kraje UE. Ta zasada ma zastosowanie, pod warunkiem że środek identyfikacji elektronicznej spełnia wymogi niniejszego rozporządzenia i został zgłoszony Komisji oraz zamieszczony w opublikowanym wykazie. Zasada wzajemnego uznawania środków identyfikacji elektronicznej zacznie obowiązywać od 28 września 2018 r. ułatwiając prowadzenie bezpiecznych transakcji w całej UE.
• Program identyfikacji elektronicznej musi określać jeden z trzech poziomów bezpieczeństwa (niski, średni, wysoki) formy identyfikacji elektronicznej wydanej w ramach tego programu. Zasada wzajemnego uznawania obowiązuje wyłącznie w przypadku, gdy poziom bezpieczeństwa środka identyfikacji elektronicznej stosowanego przez odpowiedni podmiot sektora publicznego odpowiada średniemu lub wysokiemu poziomowi bezpieczeństwa.

Notyfikacja

• Podczas zgłaszania Komisji programów identyfikacji elektronicznej kraje UE muszą określić:
  • poziomy bezpieczeństwa oraz stronę wydającą środki identyfikacji elektronicznej w ramach tego programu,
  • mające zastosowanie systemy nadzoru i systemy odpowiedzialności,
  • jednostkę zarządzającą rejestracją unikalnych danych identyfikujących osobę.
• W przypadku naruszenia bezpieczeństwa systemu identyfikacji elektronicznej lub uwierzytelniania, notyfikujący kraj UE musi:
  • bezzwłocznie zawiesić lub unieważnić obowiązujące w całej UE uwierzytelnianie lub naruszone części programu,
  • powiadomić o tym pozostałe państwa członkowskie i Komisję.

Odpowiedzialność

• W przypadku każdej transakcji prowadzonej pomiędzy krajami UE, odpowiedzialność za szkody wyrządzone w sposób zamierzony lub z powodu zaniedbania osobie fizycznej lub prawnej w związku z niewypełnieniem obowiązków określonych w niniejszym rozporządzeniu ponoszą:
  • notyfikujący kraj UE,
  • strona wydająca środek identyfikacji elektronicznej,
  • strona zarządzająca procedurą uwierzytelniania.

Współpraca i interoperacyjność w krajach UE

• Notyfikowane krajowe systemy identyfikacji elektronicznej muszą być interoperacyjne. Ramy interoperacyjności muszą być neutralne pod względem technologicznym i nie mogą dyskryminować żadnych konkretnych krajowych rozwiązań technicznych w zakresie identyfikacji elektronicznej.

Usługi zaufania

• Rozporządzenie definiuje usługi zaufania jako usługi świadczone za wynagrodzeniem, obejmujące:
  • tworzenie, weryfikację, walidację podpisów elektronicznych, pieczęci elektronicznych lub elektronicznych znaczników czasu, usług rejestrowanego doręczenia elektronicznego oraz certyfikatów powiązanych z tymi usługami,
  • tworzenie, weryfikację i walidację certyfikatów uwierzytelniania witryn internetowych,
  • konserwację elektronicznych podpisów, pieczęci lub certyfikatów powiązanych z tymi usługami.
• Dostawcy usług zaufania mający siedzibę w UE są uznawani za „kwalifikowanych”, jeżeli spełniają odpowiednie wymogi rozporządzenia. Są oni zgodnie z prawem uprawnieni do świadczenia kwalifikowanychusług zaufania (np. kwalifikowanych podpisów elektronicznych, pieczęci elektronicznych lub certyfikatów elektronicznych) we wszystkich krajach UE. Usługi zaufania świadczone przez dostawców usług zaufania mających siedzibę w państwie trzecim są uznawane za prawnie równoważne kwalifikowanym usługom zaufania wyłącznie na mocy umowy zawartej między UE a danym państwem trzecim lub organizacją międzynarodową.

Nadzór

• Zgodnie z rozporządzeniem kraje UE muszą ustanowić co najmniej jeden organ do prowadzenia działań nadzorczych. Te organy powinny współpracować z organami ochrony danych w stosownych przypadkach.
• Wszyscy dostawcy usług zaufania podlegają działaniom nadzorczym, ocenie ryzyka oraz obowiązkowi zgłaszania przypadków naruszenia bezpieczeństwa.
• Niekwalifikowani dostawcy usług zaufania podlegają łagodnym działaniom nadzorczym, czyli organ nadzoru podejmuje działania wyłącznie wtedy, gdy dostawca jest podejrzewany o uchybienie.
• Kwalifikowani dostawcy usług zaufania mający siedzibę w UE są objęci ścisłym nadzorem. Mają m.in. obowiązek uzyskania uprzedniego zezwolenia organów nadzoru i poddania się audytowi, co najmniej raz na 2 lata, prowadzonemu przez organizację, która ocenia, czy spełniają oni wymogi określone w rozporządzeniu.
• Nowy dobrowolny znak zaufania UE będzie stosowany do oznaczania kwalifikowanych usług zaufania świadczonych przez odpowiednich dostawców.

Szereg aktów przyjętych przez Komisję Europejską w 2015 r. określa:

• warunki proceduralne umożliwiające współpracę między krajami UE w sprawie identyfikacji elektronicznej;
• specyfikacje dotyczące formy znaku zaufania UE w odniesieniu do kwalifikowanych usług zaufania;
• wymogi techniczne i operacyjne dotyczące ram interoperacyjności;
• minimalne wymogi techniczne i procedury powiązane z poziomami bezpieczeństwa środków eID;
• specyfikacje techniczne i formaty zaufanych list;
• specyfikacje dotyczące formatów zaawansowanych podpisów i pieczęci elektronicznych uznawane przez podmioty sektora publicznego oraz
• okoliczności, formaty i procedury dotyczące notyfikacji systemów identyfikacji elektronicznej.

OD KIEDY NINIEJSZE ROZPORZĄDZENIE MA ZASTOSOWANIE?

Niniejsze rozporządzenie ma zastosowanie od 17 września 2014 r.

KLUCZOWE POJĘCIE

* środki identyfikacji elektronicznej (eID): oznaczają materialną lub niematerialną jednostkę zawierającą dane identyfikujące osobę i używaną do celów uwierzytelniania dla usługi on-line.

AKT

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.U. L 257 z 28.8.2014, s. 73–114)

Kolejne zmiany do rozporządzenia (UE) nr 910/2014 zostały włączone do tekstu pierwotnego. Niniejszy tekst skonsolidowany ma jedynie wartość dokumentalną.

Ostatnia aktualizacja: 17.03.2016