Komunikat Komisji do Rady, Parlamentu Europejskiego, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów - Plan działania na rzecz e-podpisu i e-identyfikacji w celu ułatwienia świadczenia transgranicznych usług publicznych na jednolitym rynku /* COM/2008/0798 końcowy */
[pic] | KOMISJA WSPÓLNOT EUROPEJSKICH | Bruksela, dnia 28.11.2008 KOM(2008) 798 wersja ostateczna KOMUNIKAT KOMISJI DO RADY, PARLAMENTU EUROPEJSKIEGO, EUROPEJSKIEGO KOMITETU EKONOMICZNO-SPOŁECZNEGO I KOMITETU REGIONÓW Plan działania na rzecz e-podpisu i e-identyfikacji w celu ułatwienia świadczenia transgranicznych usług publicznych na jednolitym rynku KOMUNIKAT KOMISJI DO RADY, PARLAMENTU EUROPEJSKIEGO, EUROPEJSKIEGO KOMITETU EKONOMICZNO-SPOŁECZNEGO I KOMITETU REGIONÓW Plan działania na rzecz e-podpisu i e-identyfikacji w celu ułatwienia świadczenia transgranicznych usług publicznych na jednolitym rynku (Tekst mający znaczenie dla EOG) 1. Wprowadzenie 3 1.1. Przedmiot planu działania 3 1.2. Obecne wspólnotowe ramy prawne dotyczące e-podpisów i e-identyfikacji 5 1.2.1. Dyrektywa w sprawie podpisów elektronicznych 5 1.2.2. Plan działania na rzecz administracji elektronicznej w ramach inicjatywy i2010 5 1.3. Zwiększenie transgranicznej interoperacyjności e-podpisów i e-identyfikacji 5 2. Część 1: Działania zwiększające transgraniczną interoperacyjność e-podpisów 6 2.1. Kwalifikowane podpisy elektroniczne i zawansowane podpisy elektroniczne oparte na kwalifikowanym certyfikacie 7 2.2. Zaawansowane podpisy elektroniczne 9 3. Część 2: Działania zwiększające transgraniczną interoperacyjność identyfikacji elektronicznej 12 4. Monitorowanie i wdrażanie 13 1. WPROWADZENIE 1.1. Przedmiot planu działania W ramach strategii lizbońskiej UE zobowiązała się do poprawy środowiska prawnego i administracyjnego w celu uwolnienia potencjału gospodarczego. Dostęp online do organów administracji publicznej i umożliwienie przedsiębiorstwom oraz osobom prywatnym komunikowania się z tymi organami drogą elektroniczną, ponad granicami, przyczynia się do stworzenia warunków sprzyjających rozwojowi przedsiębiorczości i ułatwia kontakt obywateli z organami władzy publicznej. Łączność elektroniczna nabiera coraz większego znaczenia w wielu sferach życia gospodarczego i publicznego. Organy władzy publicznej w całej Europie zaczynają oferować elektroniczny dostęp do usług administracji. Ponieważ organy te skupiają się głównie na krajowych potrzebach i środkach, nowopowstający system jest skomplikowany i stosowane są w nim różne rozwiązania. Może w związku z tym dojść do powstania nowych barier na rynkach transgranicznych i zakłóceń w działaniu jednolitego rynku, z którego korzystają przedsiębiorstwa i obywatele. Najważniejsze przeszkody, które utrudniają transgraniczny dostęp do elektronicznych usług administracji publicznej, są związane ze stosowaniem elektronicznej identyfikacji (e-identyfikacji) i podpisu elektronicznego (e-podpisu). Podobnie jak w przypadku tradycyjnych procedur, niektóre procedury elektroniczne mogą wymagać identyfikacji i podpisu. Dostęp do elektronicznych procedur oferowanych przez administrację publiczną wiąże się często z koniecznością identyfikacji tożsamości osób fizycznych (która pozwala organom administracji upewnić się co do tożsamości danej osoby poprzez sprawdzenie jej danych uwierzytelniających[1]) oraz złożenia podpisu elektronicznego, który pozwala organom administracji zidentyfikować podpisującego oraz upewnić się, że dostarczone przez niego dane nie zostały zmienione w trakcie przesyłania. Główną barierą jest brak interoperacyjności w zakresie aspektów prawnych, technicznych i organizacyjnych. Ramy UE oferują obecnie instrumenty horyzontalne i sektorowe, które mogą ułatwić i ulepszyć stosowanie e-podpisów i e-identyfikacji. W dyrektywie w sprawie podpisów elektronicznych[2] ustanowiono zasadę uznawania prawnego podpisów elektronicznych oraz ramy prawne wspierające ich interoperacyjność. Interoperacyjność wymaga spełnienia szeregu wymogów praktycznych, technicznych i organizacyjnych. Doprowadzenie do faktycznej interoperacyjności jest ponadto konieczne, aby państwa członkowskie mogły wywiązać się ze swoich zobowiązań prawnych wynikających z innych przepisów UE, w szczególności tych dotyczących instrumentów rynku wewnętrznego. Wiele inicjatyw z zakresu rynku wewnętrznego przewiduje możliwość korzystania ze środków elektronicznych do komunikowania się przedsiębiorstw z organami publicznymi, wykonywania praw i prowadzenia działalności ponad granicami. Dyrektywa usługowa zobowiązuje państwa członkowskie do zapewnienia, aby do końca 2009 r.[3] wszelkie procedury i formalności dotyczące prowadzenia działalności usługowej mogły być wypełniane przez usługodawców na odległość oraz drogą elektroniczną. Oznacza to między innymi, że powinna istnieć możliwość transgranicznej identyfikacji usługodawców oraz transgranicznego uwierzytelniania przesyłanych danych. Celem dyrektyw dotyczących zamówień publicznych[4] jest przyczynienie się do rozwoju i upowszechnienia środków elektronicznych w procedurach zamówień publicznych, co może przynieść przedsiębiorstwom znaczne oszczędności kosztów[5]. Państwa członkowskie mogą regulować poziom podpisu elektronicznego, który jest wymagany zgodnie z dyrektywą w sprawie podpisów elektronicznych, i zdecydować, że instytucje zamawiające powinny akceptować wyłącznie kwalifikowane podpisy[6]. Fakturowanie elektroniczne, tzn. przesyłanie informacji fakturowych (na potrzeby wystawienia faktury i płatności) pomiędzy kontrahentami (dostawcą lub usługodawcą a kupującym) drogą elektroniczną, jest niezbędne dla skutecznego działania finansowych aspektów łańcucha dostaw. W związku z procesem tworzenia jednolitego obszaru płatności w euro prowadzone są obecnie prace nad inicjatywą w zakresie fakturowania elektronicznego (Komisja Europejska powołała specjalną grupę ekspertów i powierzyła jej zadanie stworzenia do 2009 r. europejskich ram fakturowania elektronicznego), która przyniesie przedsiębiorstwom dalsze oszczędności[7]. Celem niniejszego planu działania jest przedstawienie kompleksowych i pragmatycznych ram umożliwiających interoperacyjność e-podpisów i e-identyfikacji i uproszczenie w ten sposób transgranicznego dostępu przedsiębiorstw i obywateli do elektronicznych usług administracji publicznej. Aby osiągnąć ten cel, plan działania skupia się na szeregu praktycznych, organizacyjnych i technicznych kwestii, które uzupełniają istniejące ramy prawne. 1.2. Obecne wspólnotowe ramy prawne dotyczące e-podpisów i e-identyfikacji 1.2.1. Dyrektywa w sprawie podpisów elektronicznych Dyrektywa w sprawie podpisów elektronicznych została przyjęta w 1999 r. w celu przyczynienia się do uznawania prawnego podpisów elektronicznych oraz zagwarantowania swobodnego przepływu produktów, sprzętu i usług związanych z e-podpisem w ramach jednolitego rynku. Analiza prawna i techniczna dotycząca stosowania e-podpisów w praktyce wskazuje jednak na istnienie problemów z interoperacyjnością, które ograniczają transgraniczne stosowanie e-podpisów. W analizie tej podkreślono potrzebę skuteczniejszego podejścia opartego na zasadzie wzajemnego uznawania. Jest bardzo prawdopodobne, że fragmentacja rynku wewnętrznego wynikająca z braku transgranicznej interoperacyjności odbije się negatywnie na usługach administracji elektronicznej, które stanowią dzisiaj największy kanał transakcji z użyciem e-podpisów[8]. 1.2.2. Plan działania na rzecz administracji elektronicznej w ramach inicjatywy i2010 Nadal nie istnieje instrument wspólnotowy dotyczący transgranicznej identyfikacji elektronicznej, który mógłby służyć jako podstawa działania na szczeblu Wspólnoty. Pomimo tej przeszkody Komisja wspiera (zarówno politycznie, jak i finansowo) działania, które mają na celu rozwiązanie problemu interoperacyjności na poziomie UE dotyczącego identyfikacji elektronicznej. W planie działania na rzecz administracji elektronicznej w ramach inicjatywy i2010[9], przyjętym przez Komisję Europejską w dniu 25 kwietnia 2006 r., interoperacyjne zarządzanie identyfikacją elektroniczną zostało wskazane jako jeden z najważniejszych czynników, od których zależy dostęp do usług publicznych. Znaczenie interoperacyjnej identyfikacji elektronicznej zostało uznane przez państwa członkowskie, które złożyły wyraźne zobowiązanie w celu zagwarantowania, że „ do roku 2010 obywatele i przedsiębiorstwa w Europie [będą] mieli do dyspozycji bezpieczne i wygodne środki elektronicznej identyfikacji na potrzeby dostępu do usług publicznych we własnym kraju bądź w dowolnym innym państwie członkowskim, wydane na poziomie lokalnym, regionalnym lub krajowym zgodnie z przepisami o ochronie danych osobowych”. 1.3. Zwiększenie transgranicznej interoperacyjności e-podpisów i e-identyfikacji Niezależnie od już istniejących przepisów prawa i zobowiązań politycznych podjętych przez państwa członkowskie i Komisję konieczne jest wprowadzenie bardziej skoordynowanego i kompleksowego podejścia w celu ułatwienia w praktyce transgranicznego stosowania e-identyfikacji i e-podpisów. Działania te są niezbędne, aby można było zapobiec fragmentacji jednolitego rynku. W swoim komunikacie „Jednolity rynek Europy XXI w.” z dnia 20 listopada 2007 r. Komisja zaproponowała w związku z tym przyjęcie planu działania na rzecz podpisu elektronicznego i e-uwierzytelniania [10] . Celem niniejszego planu jest pomoc państwom członkowskim we wprowadzeniu wzajemnie uznawanych i interoperacyjnych rozwiązań w zakresie podpisów elektronicznych i e-identyfikacji, które ułatwią świadczenie transgranicznych usług publicznych drogą elektroniczną. Wskazano w nim konkretne działania w zakresie e-podpisów (część 1) i e-identyfikacji (część 2). Mimo że plan działania koncentruje się głównie na usługach administracji elektronicznej, proponowane tutaj działania będą korzystne również dla przedsiębiorstw, ponieważ wprowadzane środki mogą być wykorzystywane w transakcjach między przedsiębiorstwami oraz między przedsiębiorstwami a konsumentami. Podczas posiedzenia Rady Europejskiej w marcu 2008 r. szefowie państw lub rządów oświadczyli, że wprowadzenie rozwiązań gwarantujących transgraniczną interoperacyjność podpisów elektronicznych i e-uwierzytelnienia ma kluczowe znaczenie dla poprawy funkcjonowania jednolitego rynku online. Wkład Komisji w opracowanie skoordynowanego rozwiązania kwestii interoperacyjności będzie stanowić monitorowanie postępów oraz udzielanie państwom członkowskim i zainteresowanym stronom wskazówek w sprawie realizacji planu działania. 2. CZęść 1: DZIAłANIA ZWIęKSZAJąCE TRANSGRANICZNą INTEROPERACYJNOść E-PODPISÓW Głównym celem dyrektywy w sprawie podpisów elektronicznych jest stworzenie wspólnotowych ram dla stosowania podpisu elektronicznego, umożliwiających swobodny, transgraniczny przepływ związanych z nim produktów i usług oraz zapewniających jego prawne uznawanie w podstawowym zakresie. W dyrektywie jest mowa o trzech rodzajach podpisu elektronicznego. Pierwszy z nich to prosty podpis elektroniczny, który ma szerokie znaczenie. Podpis ten służy do identyfikacji podpisującego i do uwierzytelniania danych. Może on przybierać tak prostą formę jak podpisanie wiadomości elektronicznej nazwiskiem nadawcy lub przy użyciu kodu PIN. Drugi rodzaj to zaawansowany podpis elektroniczny. Podpis ten musi spełniać następujące wymogi: jest przyporządkowany wyłącznie podpisującemu, umożliwia ustalenie tożsamości podpisującego, stworzony jest za pomocą środków, które podpisujący może mieć pod swoją wyłączną kontrolą i jest tak powiązany z danymi, do których się odnosi, że każda późniejsza zmiana danych jest wykrywalna (zob. art. 2 ust. 2 dyrektywy). Trzecim rodzajem podpisu jest kwalifikowany podpis elektroniczny, tj. zaawansowany podpis elektroniczny oparty na kwalifikowanym certyfikacie, który jest składany za pomocą bezpiecznego urządzenia służącego do składania podpisów. Podpis ten wiąże się z najwyższym poziomem bezpieczeństwa i oferuje pewność, że dane rzeczywiście pochodzą od danego nadawcy i nie zostały zmienione podczas przesyłania. Ogólna zasada uznawania prawnego dotyczy wszystkich trzech rodzajów podpisu elektronicznego przewidzianych w dyrektywie. Oznacza to, że żaden z tych podpisów nie może zostać uznany za niedopuszczalny jedynie dlatego, że jest w formie elektronicznej (zob. art. 5 dyrektywy w sprawie podpisów elektronicznych). Artykuł 5 ust. 1 ustanawia ponadto domniemanie prawne, że kwalifikowany podpis elektroniczny i podpis odręczny są równoważne. Transgraniczna akceptacja e-podpisów ma jednak zastosowanie tylko wobec podpisów kwalifikowanych, ponieważ art. 4 ust. 2 ustanawia swobodny obrót w odniesieniu do produktów podpisu elektronicznego spełniających wymogi dyrektywy (co oznacza w praktyce, że produkty te muszą spełniać wymogi dotyczące podpisów kwalifikowanych określone w załącznikach do dyrektywy). Państwa członkowskie, które poddają stosowanie podpisów elektronicznych w sektorze publicznym dodatkowym wymogom na podstawie art. 3 ust. 7 dyrektywy, muszą ponadto upewnić się, że wymogi takie nie stanowią przeszkód dla usług transgranicznych, zgodnie z zasadami rynku wewnętrznego wskazanymi w dyrektywie[11]. Aby polepszyć transgraniczne stosowanie podpisów elektronicznych w praktyce, obok prawidłowego wykonywania powyższych obowiązków przewidzianych w dyrektywie w sprawie podpisów elektronicznych, konieczne jest poświęcenie uwagi pewnym kwestiom technicznym i organizacyjnym. 2.1. Kwalifikowane podpisy elektroniczne i zawansowane podpisy elektroniczne oparte na kwalifikowanym certyfikacie Zakłada się, że osiągnięcie poprawy w zakresie transgranicznego stosowania kwalifikowanych e-podpisów i zaawansowanych e-podpisów opartych na kwalifikowanym certyfikacie jest możliwe w stosunkowo krótkim czasie[12]. Oba typy podpisów mają jasny status prawny, który został określony w dyrektywie w sprawie podpisów elektronicznych, tzn. istnieje domniemanie równoważności kwalifikowanego e-podpisu i podpisu odręcznego, a państwa członkowskie są prawnie zobowiązane do wzajemnego uznawania kwalifikowanych certyfikatów. Co więcej, prace nad normalizacją tych dwóch typów podpisów są już daleko posunięte. Największymi przeszkodami, które utrudniają w praktyce transgraniczne stosowanie e-podpisów, jest brak zaufania do e-podpisów z innych państw członkowskich oraz trudności związane z ich walidacją. W ramach pierwszego kroku, który zwiększy zaufanie do e-podpisów z innych państw członkowskich, odbiorca powinien mieć zapewnioną możliwość sprawdzenia statusu podmiotów świadczących usługi certyfikacyjne, które wystawiają kwalifikowane certyfikaty w innych państwach członkowskich. Zgodnie z dyrektywą w sprawie podpisów elektronicznych (art. 3 ust. 3) wymagane jest, aby państwa członkowskie zapewniały stworzenie właściwego systemu umożliwiającego nadzór nad podmiotami świadczącymi usługi certyfikacyjne, które mają siedzibę na ich terytorium i wydają kwalifikowane certyfikaty. Drugim krokiem, który ma na celu walidację kwalifikowanych e-podpisów lub zaawansowanych e-podpisów opartych na kwalifikowanym certyfikacie pochodzących z innych państw członkowskich, jest umożliwienie odbiorcy sprawdzenia „jakości” podpisu. Oznacza to, że odbiorca musi być w stanie sprawdzić, czy podpis jest zaawansowanym podpisem elektronicznym i czy opiera się na kwalifikowanym certyfikacie wydanym przez nadzorowany podmiot świadczący usługi certyfikacyjne (zob. powyższe objaśnienie dotyczące nadzoru (art. 3 ust. 3)). W przypadku kwalifikowanego e-podpisu odbiorca musi mieć dodatkowo możliwość sprawdzenia, czy podpis został złożony za pomocą bezpiecznego urządzenia służącego do składania podpisu. Wszystkie te informacje mogą być w zasadzie uzyskane na podstawie samego podpisu i treści kwalifikowanego certyfikatu. W obecnej chwili nie jest to jednak łatwe, ponieważ istniejące normy i praktyki nie są stosowane w taki sam sposób. W związku z tym zakres i jakość informacji, które można odczytać na podstawie otrzymanego podpisu i certyfikatu, są w praktyce bardzo różne. Sytuacja ta wiąże się z dodatkowymi nakładami pracy dla odbiorcy, który w skrajnych wypadkach może być zmuszony do indywidualnej oceny każdego podpisu pochodzącego z innego państwa członkowskiego. Proces walidacji e-podpisów można ułatwić dzięki dostarczeniu odbiorcy niezbędnych informacji na temat podmiotów świadczących usługi certyfikacyjne, które są uznawane i nadzorowane na poziomie krajowym, oraz wskazówek w sprawie wdrażania istniejących norm i praktyk z uwzględnieniem wymogów interoperacyjności. Z myślą o przygotowaniu działań koniecznych do zwiększenia zaufania i ułatwienia transgranicznej walidacji e-podpisów Komisja analizuje obecnie wymogi dotyczące transgranicznego stosowania podpisów elektronicznych (kwalifikowanych e-podpisów i zaawansowanych e-podpisów opartych na kwalifikowanym certyfikacie). W analizie tej Komisja skupia się przede wszystkim na następujących zagadnieniach: model nadzoru nad podmiotami świadczącymi usług certyfikacyjne, które wystawiają kwalifikowane certyfikaty stworzenie oficjalnego wykazu nadzorowanych podmiotów świadczących usługi certyfikacyjne, które wystawiają kwalifikowane certyfikaty, profile kwalifikowanych certyfikatów wydawanych w państwach członkowskich przez nadzorowane podmioty świadczące usługi certyfikacyjne, profile bezpiecznych urządzeń służących do składania podpisów oraz format kwalifikowanych lub zaawansowanych podpisów. Podstawą analizy są odpowiednie przepisy dyrektywy w sprawie podpisów elektronicznych, krajowe przepisy wdrażające oraz dotychczasowe działania normalizacyjne bazujące na dyrektywie[13]. Działania: - Do trzeciego kwartału 2009 r.: Komisja zaktualizuje decyzję 2003/511/WE[14] poprzez stworzenie wykazu powszechnie uznanych norm dotyczących produktów podpisu elektronicznego i przeanalizuje ewentualne rozszerzenie zakresu tej decyzji na inne produkty podpisu elektronicznego niż te objęte obecną decyzją Komisji (np. na profile kwalifikowanych certyfikatów i bezpiecznych urządzeń służących do składania podpisów). Działanie to przyczyni się do uproszczenia obecnej skomplikowanej sytuacji w zakresie norm i pomoże zainteresowanym stronom w ich wdrażaniu z uwzględnieniem wymogów interoperacyjności. - Do drugiego kwartału 2009 r.: Komisja opracuje oficjalny wykaz nadzorowanych podmiotów świadczących usługi certyfikacyjne, które wystawiają kwalifikowane certyfikaty, na poziomie europejskim. W wykazie tym znajdą się wszystkie niezbędne informacje na temat podmiotów świadczących usługi certyfikacyjne, które wystawiają kwalifikowane certyfikaty, które istnieją w państwach członkowskich i są tam nadzorowane, co ułatwi proces walidacji e-podpisów opartych na kwalifikowanym certyfikacie. - Do trzeciego kwartału 2009 r.: Komisja stworzy wytyczne i wskazówki w sprawie wspólnych wymogów, aby pomóc zainteresowanym stronom w stosowaniu kwalifikowanych e-podpisów i zaawansowanych e-podpisów opartych na kwalifikowanym certyfikacie z uwzględnieniem aspektów interoperacyjności. - W trakcie realizacji: Wzywa się państwa członkowskie do regularnego dostarczania Komisji koniecznych informacji oraz, w razie potrzeby, do podjęcia kroków wynikających z opisanych powyżej działań na rzecz e-podpisów. 2.2. Zaawansowane podpisy elektroniczne Problemy dotyczące interoperacyjności związane z transgranicznym stosowaniem zaawansowanych e-podpisów są bardzo podobne do tych opisanych powyżej w kontekście kwalifikowanych e-podpisów i zaawansowanych e-podpisów opartych na kwalifikowanym certyfikacie. W praktyce kwestie związane z zaawansowanymi e-podpisami mają jednak bardziej złożony charakter, ponieważ ten typ podpisów podlega większej liczbie ograniczeń prawnych, technicznych i organizacyjnych niż kwalifikowane e-podpisy. Ponieważ definicja zaawansowanego podpisu elektronicznego zawarta w art. 2 ust. 2 dyrektywy w sprawie podpisów elektronicznych ma charakter ogólny, państwa członkowskie stosują bardzo różnorodne rozwiązania techniczne, które mają różne poziomy bezpieczeństwa. W przypadku niektórych zastosowań tych podpisów państwa członkowskie mogą również wymagać obowiązkowego stosowania określonych rozwiązań krajowych, co tworzy dodatkowe bariery dla transgranicznego stosowania zaawansowanych e-podpisów. W przeciwieństwie do kwalifikowanych e-podpisów, zaawansowane e-podpisy nie otrzymały w dyrektywie w sprawie podpisów elektronicznych takiego samego jasnego statusu prawnego zakładającego ich równoważność z podpisem odręcznym. Państwa członkowskie mają jedynie obowiązek zapewnić, żeby zaawansowanemu e-podpisowi nie odmawiano skuteczności prawnej jedynie dlatego, że jest w formie elektronicznej. Oznacza to, że państwa członkowskie mają większą swobodę decyzji w sprawie akceptowania lub nieakceptowania określonych rodzajów zaawansowanego e-podpisu i przy podejmowaniu tej decyzji mogą się kierować własnymi wymogami dotyczącymi danego zastosowania podpisu. Dodatkowa trudność wiąże się z faktem, że wprawdzie zaawansowany e-podpis może być w teorii zaakceptowany w innym państwie członkowskim, o ile spełnia wymogi dotyczące danego zastosowania, ale w praktyce akceptacja taka nastręcza trudności ze względu na różnorodne rozwiązania techniczne, które są stosowane. W związku z tym walidacja zaawansowanego e-podpisu przez odbiorcę oraz ocena skuteczności prawnej czy poziomu bezpieczeństwa tego podpisu w kontekście danego zastosowania stanowią obecnie bardzo trudne zadania, które wymagają często szczegółowego badania każdego otrzymanego podpisu. Aby ułatwić transgraniczne stosowanie zaawansowanego e-podpisu należy stworzyć warunki, w których odbiorca będzie miał zaufanie do zaawansowanych e-podpisów z innych państw członkowskich i będzie je walidować, na podobnej zasadzie jak w przypadku kwalifikowanych e-podpisów i zaawansowanych e-podpisów opartych na kwalifikowanym certyfikacie. Pierwszy krok będzie polegał na zwiększeniu dostępności informacji na temat zaawansowanych e-podpisów stosowanych obecnie w administracji elektronicznej. W tym celu Komisja zaktualizuje i udostępni online profile krajów, które zostały opracowane w 2007 r. w analizie IDABC poświęconej wzajemnemu uznawaniu e-podpisów na potrzeby administracji elektronicznej. Opracowanie w ramach niniejszego planu działania wspólnej polityki i wspólnych kryteriów dotyczących zaawansowanych e-podpisów jest jednak niewykonalne ze względu na różnorodność rozwiązań w zakresie tych podpisów i niejednolite wymogi stosowane w państwach członkowskich (dotyczy to m.in. kryterium nadzoru). Potencjalne rozwiązanie zapobiegające dublowaniu działań walidacyjnych we wszystkich państwach członkowskich (co stanowi główną przeszkodę dla transgranicznej interoperacyjności) polega na przekazaniu zadań weryfikacji i walidacji centralnej lub zdecentralizowanej służbie walidacyjnej. Działanie to będzie stanowić pierwszy krok w stronę stopniowego wyeliminowania głównej przeszkody dla interoperacyjności zaawansowanych podpisów elektronicznych. Komisja przygotuje studium wykonalności, w którym zbada dostępne rozwiązania pozwalające stworzyć taki system walidacji na poziomie UE. W studium zostaną zbadane wymogi prawne, techniczne i operacyjne związane z taką służbą, w tym ewentualna potrzeba wspólnego określenia poziomów wymagań w odniesieniu do poszczególnych typów zaawansowanych e-podpisów (w pierwszej kolejności głównie w odniesieniu do zastosowań tych podpisów w administracji elektronicznej). W miarę możliwości wyniki studium wykonalności powinny zostać wykorzystane również w PEPPOL (paneuropejskim systemie publicznych zamówień online), dużym projekcie pilotażowym z dziedziny transgranicznych elektronicznych zamówień publicznych, który został rozpoczęty w maju 2008 r. przez Komisję i kilka państw członkowskich w ramach programu na rzecz wspierania polityki w zakresie technologii informacyjnych i komunikacyjnych [15] . Oprócz tego Komisja określi bardziej szczegółowo możliwe działania, które są potrzebne, aby ułatwić transgraniczne stosowanie zaawansowanych e-podpisów, opierając się na wynikach prowadzonych prac i postępach we wprowadzaniu i transgranicznym uznawaniu kwalifikowanych e-podpisów oraz zaawansowanych e-podpisów opartych na kwalifikowanym certyfikacie. Działania: - Do drugiego kwartału 2009 r.: Komisja zaktualizuje profile krajów opracowane w ramach programu IDABC (opartego o współdziałanie dostarczania usług elektronicznego zarządzania dla administracji państwowej, biznesu i obywateli)[16] w analizie [17] poświęconej wzajemnemu uznawaniu e-podpisów w administracji elektronicznej. - Do drugiego kwartału 2009 r.: Komisja zbada (pod kątem wymogów prawnych, operacyjnych i technicznych) możliwość stworzenia wspólnej europejskiej służby walidacyjnej. W oparciu o wyniki tego studium wykonalności Komisja zdecyduje, czy i w jaki sposób należy powołać taką służbę walidacyjną. - Do 2010 r.: Komisja zda sprawozdanie z dalszych działań, które są konieczne, aby ułatwić transgraniczne stosowanie zaawansowanych e-podpisów, opierając się na wynikach prowadzonych prac i postępach w upowszechnianiu i transgranicznym uznawaniu kwalifikowanych e-podpisów oraz zaawansowanych e-podpisów opartych na kwalifikowanym certyfikacie. - Gdy znane już będą wyniki studium wykonalności w sprawie wspólnej europejskiej służby walidacyjnej, Komisja zwróci się do państw członkowskich o przedstawienie jej wszystkich istotnych informacji i o podjęcie współpracy w celu zrealizowania działań, które będą konieczne w świetle wyników studium wykonalności, przede wszystkim w celu stworzenia służby walidacyjnej. - Państwa członkowskie zostaną wezwane do przetestowania działania służby walidacyjnej w ramach PEPPOL (paneuropejskiego systemu publicznych zamówień online), dużego pilotażowego projektu z zakresu transgranicznych elektronicznych zamówień publicznych, który stanowi element programu ramowego CIP[18], z zastrzeżeniem wyników studium wykonalności w sprawie wspólnej europejskiej służby walidacyjnej oraz postanowień umowy z konsorcjum projektu. 3. CZęść 2: DZIAłANIA ZWIęKSZAJąCE TRANSGRANICZNą INTEROPERACYJNOść IDENTYFIKACJI ELEKTRONICZNEJ Państwa członkowskie wprowadzają obecnie systemy zarządzania identyfikacją elektroniczną (e-IDM) w ramach unowocześnienia świadczonych usług. Zarządzanie identyfikacją elektroniczną stanowi podstawowy element świadczenia wszystkich e-usług. Dzięki e-identyfikacji osoby fizyczne korzystające z procedur elektronicznych mają pewność, że ich dane dotyczące tożsamości oraz dane osobowe nie są wykorzystywane w sposób nieuprawniony, a organy administracji są w stanie weryfikować tożsamość i uprawnienia osób fizycznych (np. prawo do żądanej usługi). Niektóre państwa członkowskie stosują już systemy e-identyfikacji na potrzeby dostępu do elektronicznych procedur w swoich organach administracji publicznej. Popularnym rozwiązaniem stają się elektroniczne karty identyfikacyjne, ale stosowane są bardzo różne środki techniczne. Państwa członkowskie wprowadzały środki e-identyfikacji w sposób nieskoordynowany. Interoperacyjność rozwiązań w zakresie e-identyfikacji stanowi jednak kolejny warunek wstępny, od którego zależy transgraniczny dostęp do publicznych e-usług. Jeżeli w UE nie będzie stosowany interoperacyjny system e-identyfikacji, powstaną nowe bariery, które będą hamować działanie instrumentów rynku wewnętrznego, których celem jest poprawa funkcjonowania tego rynku. Na poziomie politycznym w latach 2005 i 2007 zostały ogłoszone deklaracje ministrów[19], w których wezwano do wprowadzenia w Europie interoperacyjnego systemu zarządzania identyfikacją, który umożliwi obywatelom i przedsiębiorstwom wykazywanie swojej tożsamości na żądanie organów administracji publicznej. Prowadzone są już pewne wspólne działania w celu opracowania wspólnego rozwiązania w zakresie transgranicznej e-identyfikacji, które bazowałoby na już istniejących środkach. Podobnie jak w przypadku e-podpisów, poszukiwane rozwiązanie powinno mieć charakter horyzontalny, nadawać się jako baza dla rozwiązań w poszczególnych sektorach i opierać się na wzajemnym uznawaniu systemów e-identyfikacji państw członkowskich. Aby transgraniczne stosowanie i akceptacja e-identyfikacji stały się możliwe w praktyce, konieczne jest jednak rozwiązanie szeregu kwestii. Pierwszy krok dotyczy interoperacyjnej e-identyfikacji w usługach publicznych, która jest badana w ramach dużego projektu pilotażowego (znanego pod nazwą STORK) w ramach już wspomnianego programu na rzecz wspierania polityki w zakresie technologii informacyjnych i komunikacyjnych. Przedmiotem projektu STORK jest analiza modelu interoperacyjnej identyfikacji elektronicznej, który byłby wzajemnie uznawany we wszystkich państwach członkowskich, ale który umożliwiałby im jednocześnie utrzymanie własnych, już istniejących systemów i procedur. Powyższy projekt pilotażowy będzie stanowić pierwszy krok w stronę interoperacyjności. Powinien on wskazać rozwiązania dotyczące konkretnych dziedzin, które będzie można następnie przenieść na inne obszary. Po opublikowaniu wyników projektu pilotażowego w 2012 r.[20], Komisja zdecyduje ponadto, czy konieczne są dodatkowe działania, a jeżeli tak, to jakie. Działania: - Do końca 2009 r.: Komisja zaktualizuje profile krajów w analizie IDABC poświęconej interoperacyjności e-identyfikacji na potrzeby paneuropejskich usług administracji elektronicznej. Umożliwi to państwom członkowskim i Komisji śledzenie na bieżąco sytuacji w zakresie e-identyfikacji w państwach członkowskich. - Do końca 2009 r.: Komisja rozpocznie, we współpracy z państwami członkowskimi, szczegółowe badania na temat stosowania elektronicznej identyfikacji w państwach członkowskich, które będą uzupełniały i wzmacniały projekt STORK (np. przyczyniając się do rozwoju wspólnych specyfikacji do celów interoperacyjnej e-identyfikacji). - Po przedstawieniu wyników projektu pilotażowego STORK: Komisja zdecyduje, czy konieczne jest podjęcie dodatkowych działań w celu umożliwienia skutecznego wykorzystania e-identyfikacji na terytorium całej UE, a jeżeli tak – jakie powinny to być działania. - Do 2012 r.: Państwa członkowskie zostaną wezwane do zademonstrowania rozwiązań w zakresie transgranicznego korzystania z e-identyfikacji w ramach projektu pilotażowego STORK. 4. MONITOROWANIE I WDRAżANIE Wprowadzenie w życie działań wskazanych w niniejszym planie działania umożliwi wypracowanie horyzontalnego i skoordynowanego podejścia służącego ułatwieniu i ulepszeniu transgranicznego stosowania rozwiązań z zakresu administracji elektronicznej we wszystkich obszarach rynku wewnętrznego. Plan działania przyczyni się do lepszego funkcjonowania rynku wewnętrznego, ponieważ przewiduje kompleksowe podejście, którego celem jest ułatwienie dostępu przedsiębiorstw i obywateli do transgranicznych usług administracji publicznej. Środki, które mają zostać wprowadzone, przyczynią się do ulepszenia istniejących ram i dalszej konwergencji rozwiązań technicznych. Wartość dodana dla sektora prywatnego polega na upowszechnieniu narzędzi zwiększających bezpieczeństwo procedur elektronicznych, które mogą być również stosowane na potrzeby transakcji między przedsiębiorstwami oraz między przedsiębiorstwami a konsumentami. Komisja będzie monitorować realizację planu działania w bliskiej współpracy z państwami członkowskimi, aby zagwarantować spójność proponowanych środków, wymogów legislacyjnych na poziomie UE oraz projektów operacyjnych takich jak projekt pilotażowy w ramach programu ramowego CIP. Podczas realizacji niniejszego planu działania Komisja będzie dążyć do stałego dialogu z państwami członkowskimi, w tym z organami państw członkowskich odpowiedzialnymi za politykę konkurencji i rynek wewnętrzny. Realizacja niniejszego planu działania przez Komisję i państwa członkowskie oraz monitorowanie osiąganych postępów wchodzą w skład działań uzupełniających związanych z przeglądem jednolitego rynku. Komisja i państwa członkowskie rozpoczną przegląd osiąganych postępów po upływie roku od daty przyjęcia niniejszego planu działania. Odpowiednie sprawozdanie zostanie przedłożone Radzie w 2010 r. Wzywa się państwa członkowskie do przedstawienia Komisji wszystkich istotnych informacji na temat realizacji i wyników zaproponowanych działań mających na celu zagwarantowanie transgranicznej interoperacyjności. Na podstawie sprawozdania z osiągniętych postępów i wyników dyskusji przeprowadzonych z państwami członkowskimi na odpowiednich forach Komisja oceni potrzebę dalszych inicjatyw horyzontalnych i/lub sektorowych. [pic] [1] Identyfikacja oznacza proces polegający na wykorzystaniu podawanych lub zauważalnych cech danego podmiotu celem stwierdzenia jego tożsamości. Obok terminu „identyfikacja” używa się również terminu „uwierzytelnienie podmiotu”. (Dokument ModinisIDM poświęcony terminologii, https://www.cosic.esat.kuleuven.be/modinis-idm/twiki/bin/view.cgi/Main/GlossaryDoc. [2] Dyrektywa 1999/93/WE, Dz.U. L 13 z 19.1.00, s. 12 oraz sprawozdanie z wykonania tej dyrektywy, COM(2006) 120 wersja ostateczna. [3] Artykuł 8 dyrektywy 2006/123/WE Parlamentu Europejskiego i Rady z dnia 12 grudnia 2006 r. dotyczącej usług na rynku wewnętrznym. Termin wdrożenia dyrektywy usługowej upływa dnia 28 grudnia 2009 r. [4] Artykuł 42 ust. 5 lit. b) i załącznik X do dyrektywy 2004/18/WE oraz art. 48 ust. 5 lit. b) i załącznik XXIV do dyrektywy 2004/17/WE w sprawie zamówień publicznych. [5] Więcej informacji zawiera Plan działania w celu wdrożenia ram prawnych dla elektronicznych zamówień publicznych z dnia 13 grudnia 2004 r., COM(2004)841. [6] Jeżeli procedura udzielania zamówień jest prowadzona online, nabywca publiczny musi być w stanie odbierać i przetwarzać oferty elektroniczne wysłane z innego kraju. Pełne oferty elektroniczne stanowią skomplikowane „koperty” zawierające różnorodne, podpisane elektronicznie dokumenty oraz poświadczenia pochodzące z różnych źródeł i krajów, które mają różne atrybuty techniczne; w ich skład wchodzą m.in. uwierzytelnione tłumaczenia (służące np. jako dowód potwierdzający kwalifikacje usługodawcy). Oznacza to, że decydenci muszą organizować złożone procesy łączności elektronicznej na zasadzie obwodu otwartego, gdzie odbiorca informacji (publiczny nabywca) nie zna wcześniej wszystkich potencjalnych nadawców (oferentów). [7] Grupa ekspertów ds. fakturowania elektronicznego stwierdziła m.in., że konfliktujące ze sobą krajowe przepisy prawne dotyczące podpisu elektronicznego nie mogą utrudniać rozwoju fakturowania elektronicznego. Zakres tego horyzontalnego planu działania nie obejmuje oceny skutków, jakie będzie miało stosowanie podpisów elektronicznych z punktu widzenia przestrzegania przepisów dotyczących VAT (w art. 233 dyrektywy Rady 2006/112/WE w sprawie wspólnego systemu podatku od wartości dodanej jest mowa o stosowaniu podpisów elektronicznych na potrzeby faktur) i elektronicznego fakturowania, ani związanych z tym przeszkód czy działań koniecznych do przezwyciężenia tych przeszkód. [8] Komisja Europejska pracuje również nad projektem, który ma ułatwić wprowadzenie podpisów elektronicznych do komunikacji wewnętrznej i zewnętrznej tej instytucji. Projekt ten nosi nazwę „infrastruktura podpisu elektronicznego” i stanowi podstawowy warunek umożliwiający odejście od papierowej formy dokumentów w Komisji Europejskiej, zgodnie z „Rules for the provisions on electronic and digitised documents” (Zasady dotyczące dostarczania dokumentów w formie elektronicznej i cyfrowej” ( SEC(2005)1578 ). [9] Plan działania na rzecz administracji elektronicznej w ramach inicjatywy i2010: przyspieszenie wprowadzania elektronicznych usług administracji publicznej w Europie z korzyścią dla wszystkich, [COM(2006) 173 wersja ostateczna]. [10] Elektroniczne uwierzytelnianie (e-uwierzytelnianie) jest tutaj rozumiane jako uwierzytelnianie podmiotu, tzn. elektroniczna identyfikacja. W niniejszym dokumencie stosuje się termin elektroniczna identyfikacja (e-identyfikacja) w celu wyraźnego rozróżnienia pomiędzy uwierzytelnianiem podmiotu a uwierzytelnianiem danych. [11] Zgodnie z art. 3 ust. 7 dodatkowe wymogi muszą być obiektywne, przejrzyste, proporcjonalne i niedyskryminujące, i mogą odnosić się jedynie do szczególnych cech danych aplikacji. [12] Odpowiednie działania są już nawet omawiane z państwami członkowskimi w kontekście wdrażania dyrektywy usługowej. [13] W ramach europejskiej inicjatywy na rzecz normalizacji podpisu elektronicznego Europejski Komitet Normalizacyjny i Europejski Instytut Norm Telekomunikacyjnych opracowały normy zgodne z dyrektywą w sprawie podpisów elektronicznych. [14] Dz.U. L 175 z 15.7.2003, s. 45. Wykaz ten zawiera powszechnie uznane normy dotyczące produktów podpisu elektronicznego, które pozwolą państwom członkowskim domniemywać, że produkty te spełniają wymogi określone w dyrektywie w sprawie podpisów elektronicznych. [15] Program ten stanowi element programu ramowego na rzecz konkurencyjności i innowacji: http://ec.europa.eu/cip [16] Program IDABC zakończy się w grudniu 2009 r. Kolejny program zaproponowany przez Komisję w miejsce IDABC będzie poświęcony interoperacyjnym rozwiązaniom dla organów administracji publicznej (ISA). [17] Przedmiotem tego badania (dostępne są jego wstępne wyniki; badanie zakończy się w 2009 r.) jest dokonanie analizy wymogów dotyczących interoperacyjności podpisów elektronicznych stosowanych na potrzeby różnych rozwiązań i usług związanych z administracją elektroniczną, uwzględniając odpowiednie przepisy dyrektywy w sprawie podpisów elektronicznych i krajowe przepisy wdrażające tę dyrektywę. Podczas tego badania powinny zostać opracowane informacje na temat prawnie wymaganych typów podpisu elektronicznego oraz ograniczeń technicznych stosujących się do podpisu danego typu, w rozbiciu na poszczególne państwa członkowskie i na rozwiązania związane z administracją elektroniczną. [18] Program ramowy na rzecz konkurencyjności i innowacji 2007-2013. [19] http://ec.europa.eu/information_society/activities/egovernment/conferences/2005/index_en.htm http://ec.europa.eu/information_society/activities/egovernment/docs/lisbon_2007/ministerial_declaration_180907.pdf [20] Dziedziny objęte projektem pilotażowym to: platforma służąca do transgranicznego uwierzytelniania usług elektronicznych; mobilność studentów: zmiana adresu; dostarczanie dokumentów drogą elektroniczną; bezpieczeństwo korzystania z internetu przez dzieci. W obecnej chwili w projekt jest zaangażowanych 13 państw członkowskich oraz Islandia, łączna liczba uczestników projektu to 29 podmiotów (zarówno prywatnych, jak i publicznych).