Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Praktické dopady eIDAS na spisovou službu

282 views

Published on

Presentace z workshopu zaměřeného na konkrétní dopady Nařízení Rady Evropy eIDAS na elektronické systémy spisové služby, který seznamuje účastníky se situací po osmi měsících nabytí účinnosti eIDAS a upozorňuje na nejčastější chyby, kterých se původci v oblasti dokumentů v digitální podobě vzhledem k této směrnici dopouštějí.

Published in: Government & Nonprofit
  • Be the first to comment

  • Be the first to like this

Praktické dopady eIDAS na spisovou službu

  1. 1. Praktické dopady eIDAS na správu dokumentů v digitální podobě, například na elektronickou spisovou službu Praha, 21. 2. 2017
  2. 2. eIDAS - krátká rekapitulace • eIDAS Nařízení Evropského parlamentu a Rady (EU) č._910/2014 ze dne 23. července 2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES Část e-podpis, pečeť, razítko – od 1.7.2016 Část e-identita, e-doručování – od 9.2018
  3. 3. eIDAS - krátká rekapitulace • E-podpis, pečeť, razítko – Elektronický podpis – projev vůle (vyjádřený podepsáním) – Elektronická pečeť – integrita dat a správnost původu – Elektronické časové razítko – existence dat v daném čase • E-identita – sloužící pro identifikaci osoby (v rámci on-line služeb) • E-doporučené doručování – sloužící k doručování na vnitřním trhu
  4. 4. eIDAS - krátká rekapitulace • Výsledky ověření ukládat jako důkaz včetně e-dokumentu a e-podpisu • Odpovědnost za škodu při nepřijetí e-dokumentu s odpovídajícím e-podpisem, z EU • Vytvářet PDF/A-2 podpis PAdES nelze plnohodnotně vložit do starších verzí PDF/A
  5. 5. Národní legislativa, navazující na nařízení eIDAS • Zákon 297/2016 Sb. (účinný od 19.9.2016), o službách vytvářejících důvěru pro elektronické transakce Zrušení zákona 227/2000 Sb., o elektronickém podpisu a zrušení dalších 18 zákonů, vyhlášek nebo jejich částí.
  6. 6. Národní legislativa, navazující na nařízení eIDAS • Zákon 298/2016 Sb. (účinný od 19.9.2016), kterým se mění některé zákony v souvislosti s přijetím zákona o službách vytvářejících důvěru pro elektronické transakce Změna zákona 499/2004 Sb., o archivnictví a spisové službě Změna zákona 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů a změny dalších 64 zákonů.
  7. 7. Národní legislativa, navazující na nařízení eIDAS • Autorizovaná konverze dokumentů § 22 zákona č. 300/2008 Sb. odst. 2) Dokument, který provedením konverze vznikl (dále jen „výstup“), má stejné právní účinky jako dokument, jehož převedením výstup vznikl (dále jen „vstup“). • Převedení, změna datového formátu § 69a zákona č. 499/2004 Sb. odst. 4) Dokument vzniklý převedením nebo změnou datového formátu opatří určený původce doložkou….Takový dokument má stejné právní účinky jako ověřená kopie dokumentu, jehož převedením nebo změnou datového formátu vznikl.
  8. 8. Národní legislativa, navazující na nařízení eIDAS  Zákon č. 297/2016 §11 - Veřejnoprávní podepisující, který podepsal elektronický dokument, kterým právně jedná, způsobem podle § 5, a osoba, která podepsala elektronický dokument, kterým právně jedná při výkonu své působnosti, způsobem podle § 5, opatří podepsaný elektronický dokument kvalifikovaným elektronickým časovým razítkem.  Zákon č. 297/2016 §11 - Veřejnoprávní podepisující, který zapečetil elektronický dokument, kterým právně jedná, způsobem podle § 8, a osoba, která zapečetila elektronický dokument, kterým právně jedná při výkonu své působnosti, způsobem podle § 8, opatří zapečetěný elektronický dokument kvalifikovaným elektronickým časovým razítkem.
  9. 9. Národní legislativa, navazující na nařízení eIDAS  Zákon č. 499/2004 §69 odst. 5) - Neprokáže-li se opak, dokument v digitální podobě se považuje za pravý, byl-li podepsán uznávaným elektronickým podpisem nebo označen uznávanou elektronickou značkou osoby, která k tomu byla v okamžiku podepsání nebo označení oprávněna, a následně za doby platnosti uznávaného elektronického podpisu a kvalifikovaného certifikátu, na kterém je uznávaný elektronický podpis založen, nebo uznávané elektronické značky a kvalifikovaného systémového certifikátu, na kterém je uznávaná elektronická značka založena, opatřen kvalifikovaným časovým razítkem. To platí i pro dokumenty vzniklé z činnosti původců, kteří nejsou určenými
  10. 10. Současný stav a možná rizika, která z něj vyplývají  „národní“ legislativa, navazující na nařízení eIDAS, měla zpoždění – adaptační zákon k části nařízení o důvěryhodných službách nabyl účinnosti 19. 9. 2016. Adaptační zákon k části týkající se elektronické identifikace je zatím stále ve stádiu příprav.
  11. 11. Současný stav a možná rizika, která z něj vyplývají  Tři tuzemské certifikační autority, původně akreditované podle předchozí právní úpravy, mají díky přechodným ustanovením nařízení eIDAS dočasný statut kvalifikovaného poskytovatele služeb vytvářejících důvěru (do 1.7.2017). Mají tak čas na získání tohoto statutu již podle nové právní úpravy a v mezidobí mohou řádně fungovat.
  12. 12. Současný stav a možná rizika, která z něj vyplývají  Kvalifikované (ale i komerční a jiné) certifikáty, vydané ještě podle původní právní úpravy, mohou jejich držitelé nadále používat až do konce řádné doby jejich platnosti.
  13. 13. Současný stav a možná rizika, která z něj vyplývají  Nové certifikáty, potřebné pro vytváření kvalifikovaných elektronických podpisů, vydávají již dvě autority: I.CA a PostSignum. Obě také nabízejí kvalifikované prostředky pro vytváření elektronických podpisů.
  14. 14. Současný stav a možná rizika, která z něj vyplývají  Již se začínají používat elektronické pečeti, zavedené novým nařízením (místo našich el. značek). Přešel na ně už např. Obchodní rejstřík.
  15. 15. Současný stav a možná rizika, která z něj vyplývají  Naplňování povinností z nového nařízení a adaptačního zákona „není ideální“: nejrůznější výpisy z veřejných rejstříků stále nejsou opatřovány časovými razítky a jejich podpisy (značky, pečeti) nemají požadované referenční formáty. Výstupy autorizované konverze do elektronické podoby stále nemají předepsanou náležitost (kvalifikovaný el. podpis osoby, která konverzi provedla).
  16. 16. Současný stav a možná rizika, která z něj vyplývají  Jak příjemce pozná, o jaký druh podpisu jde? Jak pozná zda jde o podpis, nebo jiný autentizační prvek?  To vše totiž potřebuje znát, aby dokázal určit, zda jsou splněny požadavky, které jsou na konkrétní úkon (právní jednání) kladeny samotným nařízením eIDAS či dalšími právními předpisy, jako je zákon o službách vytvářejících důvěru, nebo další zákony a prováděcí předpisy.
  17. 17. Současný stav a možná rizika, která z něj vyplývají Aby příjemce (spoléhající se strana) mohl vyhovět všem požadavkům, které na něj mohou být kladeny, potřebuje znát odpovědi ze tří různých okruhů otázek:  zda jde o elektronický podpis, elektronickou značku či elektronickou pečeť.  o jaký druh elektronického podpisu jde: zda o kvalifikovaný el. podpis, uznávaný el. podpis, zaručený el. podpis či jiný druh podpisu. Obdobně pro značky a pečetě.  jaký je formát elektronického podpisu (značky, pečetě): zda jde o úroveň B, T, LT či LTA, případně o podpis na „kontejneru“, nebo o jiný formát.
  18. 18. Současný stav a možná rizika, která z něj vyplývají  Kvalifikovaný elektronický podpis (QES, Qualified Electronic Signature): po „technické“ stránce musí jít o zaručený elektronický podpis (AdES, Advanced Electronic Signature), musí být založen na kvalifikovaném certifikátu pro elektronický podpis a musí být vytvořen pomocí kvalifikovaného (dříve, podle původní terminologie: bezpečného) prostředku pro vytváření elektronických podpisů. Tak se říká čipovým kartám a USB tokenům, které prošly potřebnou certifikací.
  19. 19. Současný stav a možná rizika, která z něj vyplývají  Zaručený elektronický podpis, založený na kvalifikovaném certifikátu: liší se od kvalifikovaného el. podpisu absencí požadavku na použití kvalifikovaného prostředku (čipové karty/tokenu). Stále tedy musí jít o zaručený elektronický podpis a musí být založený na kvalifikovaném certifikátu. V praxi: k jeho vytvoření není nutný kvalifikovaný prostředek (certifikovaná čipová karta/token).
  20. 20. Současný stav a možná rizika, která z něj vyplývají  Zaručený elektronický podpis (AdES, Advanced Electronic Signature): na certifikát, na kterém je založen, nejsou kladeny žádné požadavky. Může to tedy být jakýkoli certifikát, třeba i testovací (který si může vyrobit kdokoli a napsat si do něj cokoli chce).  „prostý“ elektronický podpis (též: elektronický podpis bez přívlastku, anglicky: ES, Electronic Signature): takovýmto podpisem může být cokoli, co má elektronickou podobu a co někdo použije jako svůj podpis.
  21. 21. Současný stav a možná rizika, která z něj vyplývají  „Zákon o službách vytvářejících důvěru“ zachovává dosud používaný pojem „uznávaný elektronický podpis“, ale dává mu jiný obsah a význam, než jaký měl dosud: nově jde o jakousi legislativní zkratku za dva různé druhy elektronických podpisů: za kvalifikovaný el. podpis a za zaručený podpis, založený na kvalifikovaném certifikátu pro elektronický podpis
  22. 22. Současný stav a možná rizika, která z něj vyplývají Formát elektronického podpisu:  úroveň B (B-level, od: Basic): jde o výchozí úroveň, bez časového razítka,  úroveň T (T-level, od: Time, resp. Timestamp): jde o úroveň B, rozšířenou o časové razítko,  úroveň LT (LT-level, od: Long Term): jde o úroveň T, doplněnou o revokační informace (CRL seznam či odpověď OCSP serveru),  úroveň LTA (LTA-level, od: Long Term Archiving): jde o úroveň LT, doplněnou o dokumentové (tzv. archivní) časové razítko.
  23. 23. EU se domnívá, že eIDAS – vyřešil problém 24 hodin  eIDAS článek 24. odstavec 3 - jestliže se kvalifikovaný poskytovatel služeb vytvářejících důvěru, vydávající kvalifikované certifikáty rozhodne určitý certifikát zneplatnit, zaeviduje toto zneplatnění ve své databázi certifikátů a zneplatnění certifikátu včas a v každém případě do 24 hodin od obdržení žádosti zveřejní. Zneplatnění nabývá účinku okamžitě po zveřejnění.
  24. 24. Ministerstvo vnitra ČR má jiný názor.  Aby spoléhající se strana měla jistotu, že kvalifikovaný certifikát, na kterém je založen uznávaný elektronický podpis nebo uznávaná elektronická pečeť, nebyl zneplatněn v době vytvoření podpisu nebo pečeti, měla by spoléhající se strana počkat s finálním ověřením platnosti uznávaného elektronického podpisu nebo uznávané elektronické pečeti až 24 hodin od okamžiku vzniku podpisu nebo okamžiku vzniku pečeti. V případě, kdy ověření probíhá minimálně 24 hodin po prokazatelném vzniku podpisu/pečeti, není nutné čekat 24 hodin. V certifikačních politikách pro vydávání kvalifikovaných certifikátů se kvalifikovaný poskytovatel může nicméně zavázat tento čas zkrátit.
  25. 25. Současný stav a možná rizika, která z něj vyplývají  Připadá Vám to složité, tak vězte, že se nemýlíte, ale nezoufejte, v brzké době si budete moci u soukromých firem zaplatit kvalifikovanou službu ověřování podpisů, pečetí a časových razítek.  Za peníze daňových poplatníků se pak zbavíte právní odpovědnosti za škodu, která by mohla vzniknout z chybného výsledku ověření, tato právní odpovědnost se totiž přenese na kvalifikovaného poskytovatele ověřovací služby.
  26. 26. DĚKUJI ZA POZORNOST. „Jen profesionálové s odpovídající kvalifikací umožní důvěryhodnou a konkurence schopnou správu dokumentů.“ (Ing. Martina Macek)

×