Evropska komisija je minuli teden predstavila predlog novele uredbe o elektronski identifikaciji in storitvah zaupanja (eIDAS). Čezmejno digitalno poslovanje bo še bolj preprosto in zaupanja vredno, pospešila se bo uporaba kvalificiranih storitev zaupanja v zasebnem sektorju, glavna novost pa bo evropska digitalna denarnica.
Evropska unija je s sprejemom eIDAS 17. septembra 2014 vzpostavila enega glavnih pravnih okvirov za podporo razvoju skupnega digitalnega trga. Na podlagi uredbe je nastalo ogromno storitev zaupanja ter več tehničnih standardov, ki jih uporablja več kot 200 ponudnikov po vsej EU. Kljub temu pa uporaba enotnih identitet ni zaživela po pričakovanjih.
Pripombe in predloge so zbirali do 1. junija
»Trenutno v EU z e-identitetami pokrivamo 60 odstotkov populacije, ki bi bila pripravljena na čezmejno poslovanje. Vendar le 14 odstotkov javnih storitev v EU omogoča čezmejno identifikacijo,« pravi dr. Alenka Žužek Nemec z ministrstva za javno upravo.
Uredba, katere temeljni namen je krepitev zaupanja in varovanja zasebnosti pri digitalnem poslovanju, sicer naslavlja izvajanje storitev zaupanja, na primer digitalno podpisovanje in elektronske ter časovne žige, in tudi elektronsko identifikacijo za čezmejno uporabo javnih in zasebnih storitev. Vendar pa samo ureditev prepušča posameznim državam članice, pri čemer je obvezna za javne ustanove, za zasebni sektor pa ne. Evropska komisija je v skladu z ustaljeno prakso vrednotenja zakonodaje do 1. julija 2020 sprejemala predloge za izboljšave, na podlagi katerih je minuli teden predstavila predlog novele uredbe eIDAS.
Novela upošteva vrsto priporočil, ki so jih v šestih letih dali različni deležniki. Forum evropskih nadzornih organov za ponudnike storitev zaupanja FESA je od svojih članov prejel kar 35 predlogov za izboljšave, ki so se osredotočili na uporabnost, uporabnikovo izbiro, zaščito podatkov in zasebnosti, enakost pogojev ter globalni doseg uredbe eIDAS. Na podlagi teh predlogov so oblikovali sedem najpomembnejših priporočil, ki so naslovila najbolj žgoče težave in so bila v zadnjih letih predmet številnih diskusij.
Pomanjkljivosti prve eIDAS
Na prvo mesto so v FESA uvrstili težavo standardov akreditacije organov za ugotavljanje skladnosti, saj se v praksi uporabljajo različne certifikacijske sheme za presoje, kar ustvarja tveganja za neharmonizirano ugotavljanje skladnosti storitev zaupanja. Stanje vodi v scenarije, po katerih bi se ponudniki tudi kvalificiranih storitev zaupanja, obračali na akreditacijske organe z manj zahtevnimi in cenejšimi certifikacijskimi shemami.
Med še posebej poudarjenimi težavami so bile prakse oddaljene identifikacije pri izvajanju kvalificiranih storitev zaupanja. Identifikacija v procesu pridobivanja kvalificiranih digitalnih potrdil je bila namreč prepuščena posamezni članici, tako da nekatere države uporabljajo različne izvedbe videoidentifikacije, medtem ko druge še vedno zahtevajo fizično identifikacijo – v Sloveniji na primer na upravni enoti, pošti ali banki. Po eni strani gre za problem medsebojnega priznavanja tako pridobljenih elektronskih identitet, po drugi strani pa za neenakovreden položaj samih ponudnikov kvalificiranih storitev zaupanja.
Posamezne države oziroma ponudniki imajo različen pogled na proces certifikacije strežniškega podpisovanja oziroma žigosanja, ki se izvaja za oddaljeno podpisovanje oziroma žigosanje. S povečevanjem uporabe oddaljene identifikacije se problem le še povečuje, kar bi lahko vplivalo na zmanjšanje zaupanja v ogrodje eIDAS. Čeprav so v Evropskem inštitutu za telekomunikacijske standarde ETSI poskrbeli za vse standarde, ki jih je zahtevala uvedba uredbe eIDAS, ti standardi še niso uradno sprejeti, zaradi česar prihaja do razlik med posameznimi kvalificiranimi storitvami zaupanja.
Kar nekaj prahu je v preteklih letih dvigala pomanjkljivost glede uporabe kvalificiranih naprav za tvorjenje digitalnih podpisov. Te so namreč imele trajno veljavnost, četudi so odkrili varnostne pomanjkljivosti ali če so se pojavile nove zahteve, na primer zaradi razvoja novih tehnologij. V FESA so predlagali, da bi se omejil čas veljavnosti podpisnih naprav, na primer USB-ključkov in strojnih varnostnih modulov, ter uveljavilo periodično pregledovanje glede varnostnih pomanjkljivosti. Z varnostnega vidika je pomembno tudi deljenje informacij o ranljivostih in skorajšnjih varnostnih incidentih, saj brez tega ni možno vzpostaviti zaupanja v enoten evropski digitalni trg.
Trenutno eIDAS tudi nima opredeljenih zahtev po razveljavitvi kvalificiranih storitev zaupanja, kar omogoča različne prakse in nerazumevanje procesa. Ne ve se na primer vnaprej, kako naj bi se takšna razveljavitev reševala po finančni plati niti, kako je z delovanjem aktivnih storitev, dnevniških zapisov ali posebnih storitev za podpisnike.
Evropska denarnica za digitalno identiteto
Dejstvo je, da si Evropska unija ne more privoščiti uvedbe enotne evropske e-identite. Po mnenju Petre Ferk s fakultete za državne in evropske študije bi bil tak sistem neobvladljiv in bi se v primeru zlorab ali vdora sesul. »Zato evropska komisija s pristojnimi ustanovami gradi pristop razpršitve tveganj ob povezovanju in interoperabilnosti, da se ta tveganja znižujejo. Trend gre v oblačne tehnologije in uporabo mobilnih telefonov, kar navsezadnje pričakujejo uporabniki.«
Z novelo uredbe eIDAS so na mizo kot odgovor na probleme in priporočila dali evropsko denarnico za digitalno identiteto. Gre za aplikacijo, v kateri bi se hranile različne posameznikove e-identitete oziroma bi bila s temi identitetami samo varno povezana. Podrobneje smo jo predstavili v članku EU uvaja evropsko digitalno identiteto – kaj to pomeni za vas.
»Delovanje enotnega digitalnega trga je bilo vprašljivo, zato se je novo vodstvo evropske komisije zavzelo za korak naprej, da državljani EU potrebujejo zanesljivo in varno e-identiteto, ki je vsakemu dostopna, vsesplošno uporabna za zasebni in javni sektor in veliko pozornosti namenja varnosti ter upravljanju osebnih podatkov,« je poudarila Alenka Žužek Nemec.
Evropska digitalna denarnica bo v prihodnje postala privzeta metoda za čezmejno preverjanje e-identitete, pri čemer bo neodvisna od priglašene sheme držav članic – Slovenija bo na primer priglasila novo e-osebno izkaznico.
Med posebnimi novostmi bo tudi poenostavitev samega overjanja identitet v procesu pridobivanja kvalificiranih storitev zaupanja, pri čemer bo v splošnem možno uporabiti različne oddaljene metode overjanja, kot sta video in pogovor v živo.
Med pomembnejšimi novostmi je še uvedba kvalificiranih storitev hrambe kvalificiranih e-podpisov in kvalificiranih storitev hrambe kvalificiranih e-žigov, s katero se bo še povečalo zaupanje v digitalno poslovanje.
