Uwagi Polskiej Izby Informatyki i Telekomunikacji [PIIT]

Uwagi Polskiej Izby Informatyki i Telekomunikacji [PIIT]
do projektu z dnia 14 lipca 2014 roku ROZPORZĄDZENIA RADY MINISTRÓW zmieniające rozporządzenie
w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci
elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych
Polska Izba Informatyki i Telekomunikacji przekazuje swoje uwagi w postaci komentarza oraz szczegółowych uwag dotyczących
proponowanych zmian. Chcielibyśmy także przedstawić dodatkową propozycję zmiany rozporządzenia wraz z uzasadnieniem.
1. Komentarz do uwag szczegółowych
Proponowane zmiany nie zostały w dostateczny sposób uwzględnione przy przygotowaniu oceny skutków regulacji. Wskazujemy w naszych
uwagach, że proponowana zmiana może wymagać zmian w ePUAP. Tego typu zmiana będzie wymagała bardzo długiego okresu przejściowego.
Dlatego też proponujemy pozostawienie dotychczasowych standardów (pozycje w tabeli 3.3, 3.4, 3.5, 3.6) z ewentualnymi zmianami w par. 18
rozporządzenia.
Prosimy o zapoznanie się z przedstawionymi poniżej uwagami szczegółowymi (punkt 3).
1
Uwagi PIIT do projektu nowelizacji rozp. RM ws KRI, 2014.08.18
2. Uwagi szczegółowe do przedstawionego projektu zmian w rozporządzeniu
Lp.
1.
Oznaczenie
Tytuł
Rozporządzenia
Uwaga
Wykreślić odnośnik 1) znajdujący się w tytule aktu
prawnego, a tym samym zrezygnować z notyfikacji aktu,
co przyśpieszy jego wejście w życie.
2.
§1. Pozycja
tabeli 3.3
Standard ETSI TS 103 171 nie definiuje formatu podpisu
elektronicznego – w związku z tym umieszczenie go w
niniejszej tabeli jest niezgodne z treścią paragrafu 18,
który wskazuje, iż załącznik 2 opisuje formaty podpisu.
Propozycja:
Pozostawienie formatu ETSI TS, 101 903 jako
obowiązującego dla dokumentów formacie XML
Dodanie odpowiedniego ustępu w paragrafie 18
rozporządzenia i wskazanie Profilu Baseline określonego
standardem ETSI TS, 103 171 jako obowiązującego dla
aplikacji służących do złożenia podpisu i weryfikujących
Uzasadnienie/Uwaga
Przesłanki do notyfikacji aktów prawnych zawarte są
w Rozporządzeniu Rady Ministrów z dnia 23 grudnia 2002 r. w
sprawie sposobu funkcjonowania krajowego systemu notyfikacji
norm i aktów prawnych (Dz. U. Nr 239 poz. 2039 oraz z 2004 r. Nr
69, poz. 597). Z przepisu § 4 ust. 1 pkt 1 wspomnianego
rozporządzenia wynika, że nie podlegają notyfikacji krajowe akty
prawne zgodne obowiązującymi aktami Wspólnoty Europejskiej,
które
skutkują
przyjęciem
specyfikacji technicznych
i przepisów dotyczących usług.
Zgodnie
z uzasadnieniem
nowelizacja rozporządzenia ma na celu dostosowanie przepisów
krajowych do Decyzji Wykonawczej Komisji z dnia 17 marca 2014 r.
zmieniającej decyzję Komisji 2011/130/UE z dnia 25 lutego 2011 r.
w sprawie ustalenia minimalnych wymagań dotyczących
transgranicznego przetwarzania dokumentów podpisanych
elektronicznie.
Standard ETSI TS 103 171 jest standardem bazującym na formacie
określonym w standardzie XAdES ETSI TS 101 903 wskazującym
sposoby określenia zgodności w zakresie profili podpisu
elektronicznego. Określa on poziomy zgodności dla aplikacji
generujących i weryfikujących podpis elektroniczny, określając
obowiązkowe i opcjonalne elementy dość szerokiego formatu,
jakim jest XAdES. Zgadzając się z faktem, iż weryfikacja podpisów
elektronicznych stanowi proces złożony i wymaganie od aplikacji
weryfikujących akceptacji formatu w całości stanowi znaczący
problem dla akceptacji podpisów elektronicznych, odpowiednie
zapisy ograniczające dowolność stosowania formatu XAdES
uważamy za zasadne, ale trzeba je prawidłowo zaimplementować
w przepisach wykonawczych.
2
Uwagi PIIT do projektu nowelizacji rozp. RM ws KRI, 2014.08.18
podpis weryfikowany kwalifikowanym certyfikatem w
podmiotach publicznych.
Format ETSI TS 103 171 nie będąc formatem podpisu nie daje
sposobu umieszczenia odpowiednich informacji o jego stosowaniu
(i poziomie zgodności) w dokumencie elektronicznym. Natomiast
wszystkie podpisane dokumenty zgodnie z formatem XAdES
niezależnie od poziomu zgodności z Profilem Baseline w swojej
treści posiadają oznaczenie, iż stosują format ETSI TS 102 903 –
wobec powyższego może to powodować nieporozumienie
dotyczące zgodności.
Standard ETSI 103 171 wprowadza określenia poziomów zgodności
aplikacji (B-Level, T-Level, LT-Level, LTA-Level), wprowadzenie tego
standardu do minimalnych wymagań powinno określić wymagany
poziom zgodności – brak jego określenia pozostawia zapis
nieefektywnym prawnie.
Warto zauważyć, iż wymagania bazującego na powyższym
standardzie odnoszą się do aplikacji tworzących i weryfikujących,
wskazując, jakie są wymagania dla spełnienia warunków zgodności.
Wobec powyższego należy rozważyć, czy wprowadzenie standardu
ETSI 103 171 nie wymaga odpowiedniej zmiany paragrafu 18
rozporządzenia, tak, aby wymagania standardu nałożyć na
aplikacje tworzące i weryfikujące podpisy.
Format XAdES opisany standardem ETSI TS 101 903 jest stosowany
do podpisu potwierdzonego Profilem Zaufanym ePUAP. Ponieważ
podpis PZePUAP stosuje elementy określone formatem XAdES,
natomiast wymagana jest dokładana analiza zgodności z Profilem
Baseline stosowanych elementów w podpisie potwierdzonym
PZePUAP. Szczegółowa weryfikacja zgodności powinna być
elementem skutków regulacji, ponieważ błąd w tym zakresie może
skutkować niezgodnością z przepisami prawa aktualnie
stosowanego mechanizmu podpisu.
3
Uwagi PIIT do projektu nowelizacji rozp. RM ws KRI, 2014.08.18
3.
§1. Pozycja
tabeli 3.4
Standard ETSI TS 103 172 nie definiuje formatu podpisu
elektronicznego – w związku z tym umieszczenie go w
niniejszej tabeli jest niezgodne z treścią paragrafu 18,
który wskazuje, iż załącznik 2 opisuje formaty podpisu.
Propozycja:
Pozostawienie formatu ETSI TS, 102 778
obowiązującego dla dokumentów formacie PDF.
Uwagi analogiczne do umieszczonych w pozycji 2 tabeli.
jako
Dodanie odpowiedniego ustępu w paragrafie 18
rozporządzenia i wskazanie Profilu Baseline określonego
standardem ETSI TS, 103 172 jako obowiązującego dla
aplikacji służących do złożenia podpisu i weryfikujących
podpis weryfikowany kwalifikowanym certyfikatem w
podmiotach publicznych.
4.
§1. Pozycja
tabeli 3.5
Standard ETSI TS 103 173 nie definiuje formatu podpisu
elektronicznego – w związku z tym umieszczenie go w
niniejszej tabeli jest niezgodne z treścią paragrafu 18,
który wskazuje, iż załącznik 2 opisuje formaty podpisu.
Uwagi analogiczne do umieszczonych w pozycji 2 tabeli.
Propozycja:
Pozostawienie formatu ETSI TS, 101 733 jako
obowiązującego dla dokumentów stosujących binarny
format podpisu.
Dodanie odpowiedniego ustępu w paragrafie 18
rozporządzenia i wskazanie Profilu Baseline określonego
standardem ETSI TS, 103 173 jako obowiązującego dla
aplikacji służących do złożenia podpisu i weryfikujących
podpis weryfikowany kwalifikowanym certyfikatem w
podmiotach publicznych.
4
Uwagi PIIT do projektu nowelizacji rozp. RM ws KRI, 2014.08.18
5.
§1. Pozycja
tabeli 3.6
Standard ETSI TS 103 174 nie definiuje formatu podpisu
elektronicznego – w związku z tym umieszczenie go w
niniejszej tabeli jest niezgodne z treścią paragrafu 18,
który wskazuje, iż załącznik 2 opisuje formaty podpisu.
Uwagi analogiczne do umieszczonych w pozycji 2 tabeli.
Propozycja:
Dodanie formatu ETSI TS, 102 918 jako obowiązującego
dla dokumentów stosujących kontenerowy format
podpisu
Dodanie odpowiedniego ustępu w paragrafie 18
rozporządzenia i wskazanie Profilu Baseline określonego
standardem ETSI TS, 103 174 jako obowiązującego dla
aplikacji służących do złożenia podpisu i weryfikujących
podpis weryfikowany kwalifikowanym certyfikatem w
podmiotach publicznych.
5
Uwagi PIIT do projektu nowelizacji rozp. RM ws KRI, 2014.08.18