Zmienią się przepisy o podpisie elektronicznym

Do 6 kwietnia br. trwają konsultacje społeczne dotyczące ustawy o usługach zaufania, identyfikacji elektronicznej oraz zmianie niektórych ustaw. Wprowadzenie nowych przepisów jest niezbędne ze względu na konieczność dostosowania prawa krajowego do nowych uwarunkowań. Chodzi o Rozporządzenie Parlamentu Europejskiego i Rady UE w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (tzw. Rozporządzenie eIDAS). Oznacza ono większą swobodę w przepływie usług oraz zasad wzajemnego uznawania usług zaufania na rynku międzynarodowym, zwłaszcza przez instytucje sektora publicznego. W całej Europie nowe przepisy zaczną obowiązywać od 1 lipca 2016 r.

Ministerstwo Rozwoju podkreśla, że usługi zaufania odgrywają istotną rolę w elektronizacji obrotu prawnego, ponieważ pozwalają, by dokumenty były wytwarzane i dostarczane pierwotnie w wersji elektronicznej. Unijne rozporządzenie znacznie poszerza katalog takich usług - oprócz podpisów elektronicznych i znakowania czasem, obejmie ono także e-pieczęci, e-doręczenia, konserwację pieczęci i podpisu oraz usługi ich walidacji.

W polskim prawie w pełni regulowana była dotychczas jedynie instytucja podpisu elektronicznego (zwłaszcza bezpieczny podpis elektroniczny) oraz znakowanie czasem.

"Obecne rozwiązania w polskim porządku prawnym nie przystają do Rozporządzenia eIDAS, w związku z czym niezbędne jest uchylenie ustawy o podpisie elektronicznym oraz powstrzymanie się, co do zasady, od regulowania tej materii przepisami prawa krajowego. Rozporządzenie eIDAS wraz z systemem aktów wykonawczych będzie obowiązywać bezpośrednio w krajowym porządku prawnym" - można przeczytać w uzasadnieniu zmian do ustawy.

Rozporządzenie zobowiązuje władze państwa także do ustanowienia nadzoru nad usługami kwalifikowanymi i niekwalifikowanymi, tj. takimi, które nie są realizowane według określonych standardów, a ingerencji nadzoru wymagają wyłącznie w następstwie incydentów.

Dlatego też konieczne będzie oprócz uchawalenia ustawy o usługach zaufania, identyfikacji elektronicznej, także dostosowanie przez właściwe organy krajowych rozporządzeń i aktów prawnych niższego rzędu oraz przygotowanie instytucji i rynku do obsługi podpisów elektronicznych i pieczęci z innych państw członkowskich. Wszystkie ministerstwa, które przygotowywały w przeszłości akty prawne, które zawierają uregulowania w zakresie podpisu elektronicznego oraz identyfikacji elektronicznej, muszą niezwłocznie dokonać ich przeglądu i nowelizacji.

"Ważną funkcją ustawy jest usunięcie istniejących w krajowych przepisach odwołań do ustawy o podpisie elektronicznym, która zostanie uchylona, dostosowanie terminologii oraz wprowadzenie niezbędnych odwołań do Rozporządzenia eIDAS, w tym stworzenie warunków dla zapewnienia zgodności usługodawców z wymaganiami określonymi przez Rozporządzenie eIDAS oraz raportowania i zgłaszania incydentów w zakresie usług zaufania" - czytamy w uzasadnieniu do zmian w ustawie.

W przypadku nowych uregulowań prawnych resort rozwoju zaleca od razu ich dostosowanie do zapisów Rozporządzenia eIDAS oraz odpowiednich aktów wykonawczych. Zwraca też uwagę na to, że rozpoczęcia prac nad dostosowaniem regulacji nie należy uzależniać od wejścia w życie krajowych przepisów, takich jak np. Ustawa o usługach zaufania, identyfikacji elektronicznej, ponieważ one będą dotyczyć głównie nadzoru nad usługami zaufania.

Oprócz nowelizacji przepisów, konieczne będzie również dostosowanie systemów informatycznych. Szczególna uwaga poświecona będzie przepisom zobowiązującym do uznawania kwalifikowanego podpisu elektronicznego, kwalifikowanej pieczęci elektronicznej oraz kwalifikowanych znaczników czasu. Te trzy narzędzia wymagają uznawania, o ile pochodzą z UE lub Europejskiego Obszaru Gospodarczego.

Przedsiębiorcy i urzędy tworzące własne aplikacje do składania i weryfikacji podpisu elektronicznego muszą dostosować je do aktów wykonawczych Rozporządzenia eIDAS oraz nowych ram standaryzacyjnych (tzw. mandat M460), Na stronach Komisji Europejskiej udostępniono do testów darmowe rozwiązanie SD DSS oparte na licencji open source. Pozwala ono na zbudowanie własnego środowiska weryfikacji podpisów z innych państw członkowskich.

Ministerstwo Rozwoju podkreśla, że unijne rozporządzenie stanowi też ważny impuls do rozwoju usług sektora publicznego. Regulacje dotyczące stosowania podpisów elektronicznych w usługach publicznych zobowiązują państwa do wprowadzenia możliwości weryfikacji podpisów zaawansowanych z innych państw, przynajmniej w formatach, które przewidziane zostały w unijnym akcie wykonawczym do Rozporządzenia eIDAS.

Do uznawania unijnych podpisów kwalifikowanych stosowane będą listy zaufania, które przekazują systemom informatycznym informacje o statusie usługodawców oraz usług. Takie listy powinny być wykorzystywane przy weryfikacji podpisów do ustalenia, czy dane centrum certyfikacji świadczy usługi kwalifikowane. Ministerstwa i urzędy, które posiadają w swoich systemach mechanizmy weryfikacji podpisów elektronicznych, powinny zapewnić im zdolność obsługi listy TSL (decyzja wykonawcza).

Kwalifikowany podpis elektroniczny oparty na kwalifikowanym certyfikacie (wydanym w jednym państwie członkowskim) będzie uznawany za kwalifikowany podpis elektroniczny we wszystkich pozostałych państwach . Z tego względu w polskich systemach informatycznych i aplikacjach weryfikujących konieczne będzie dodanie obsługi unijnego systemu list TSL.

Działania w zakresie wprowadzenia Rozporządzenia eIDAS do polskiego porządku prawnego prowadzone są wspólnie przez Ministerstwa Cyfryzacji i Rozwoju. Ministerstwo Rozwoju jest obecnie instytucją odpowiedzialną za nadzór nad świadczeniem usług zaufania w Polsce. Docelowo nadzór nad usługami zaufania przejmie  Ministerstwo Cyfryzacji.