DEKLARACJA KOŃCOWA EFPE 2013 DOTYCZĄCA NOWYCH
Transkrypt
DEKLARACJA KOŃCOWA EFPE 2013 DOTYCZĄCA NOWYCH
www.efpe.pl Polska, Międzyzdroje, 07.06.2013 DEKLARACJA KOŃCOWA EFPE 2013 DOTYCZĄCA NOWYCH UNIJNYCH RAM PRAWNYCH DLA USŁUG ZAUFANIA Trzynasta edycja Europejskiego Forum Podpisu Elektronicznego (EFPE 2013) odbyła się 5-7 czerwca 2013 r. w Międzyzdrojach. Jej głównym tematem były „Zaufane usługi elektroniczne na międzynarodowym rynku cyfrowym”. W EFPE 2013 – największej Europejskiej konferencji poświęconej podpisowi elektronicznemu i problematyce infrastruktury klucza publicznego (PKI) – wzięło udział 130 uczestników z 21 krajów. Wśród nich znajdowali się przedstawiciele Komisji Europejskiej, dużych instytucji korzystających z usług zaufania (między innymi organów i agencji rządowych), producentów oprogramowania i sprzętu komputerowego, a także centrów certyfikacyjnych świadczących usługi zaufania w zakresie podpisu elektronicznego. EFPE to międzynarodowe forum umożliwiające wymianę doświadczeń oraz poglądów, w tym pomiędzy uczestnikami z krajów wschodnich oraz zachodnich. Tegoroczne Forum było poprzedzone trzydniowymi obradami Komitetu Technicznego ds. podpisów elektronicznych i infrastruktury Europejskiego Instytutu Norm Telekomunikacyjnych (TC ETSI ESI), czyli organu odpowiedzialnego za opracowywanie norm europejskich w obszarze podpisu elektronicznego. Spotkanie odbyło się w Międzyzdrojach w dniach 3-5 czerwca 2013 r. Rolą Europejskiego Instytutu Norm Telekomunikacyjnych (ETSI) i Europejskiego Komitetu Normalizacyjnego (CEN) jest opracowywanie norm unijnych, które w miarę możliwości 1 www.efpe.pl są oparte o międzynarodowe normy i specyfikacje. Jeśli nie ma takiej możliwości, wówczas normy ETSI i CEN tworzone są tak, aby można je było stosować w wielu krajach. Dobrym przykładem takiego podejścia jest nowa norma dotycząca Listy Zaufanych Podmiotów (Trust Status List), która jednoznacznie wprowadza mechanizm wzajemnego rozpoznawania Zaufanych List. Dzięki temu uznawane będą również centra certyfikacji świadczące usługi zaufania poza Unią Europejską. Komisja Europejska stara się obecnie wzmocnić współpracę między Dużymi Projektami Pilotażowymi (LSP) a organami normalizującymi. Dla przykładu: Europejski Instytut Norm Telekomunikacyjnych jest partnerem projektu e-SENS. Dzięki temu wyniki poszczególnych projektów LSP trafią do organów normalizujących, a w samych projektach będzie się zwracać większą uwagę na kwestię zgodności ze standardami. Warto zauważyć, że w pracach ETSI uczestniczą członkowie i obserwatorzy z całego świata, np. USA (Adobe), Japonii czy Izraela. Większy udział podmiotów spoza UE w pracach tego organu byłby zjawiskiem niezwykle korzystnym. Liczne wykłady i prezentacje podczas EFPE 2013 budziły żywe dyskusje pomiędzy ekspertami z dziedziny PKI. Ogromne zainteresowanie wzbudziło przemówienie Gerarda Gallera, przedstawiciela Dyrekcji Generalnej ds. Sieci Komunikacyjnych, Treści i Technologii, pod tytułem „Wniosek Komisji Europejskiej dotyczący rozporządzenia w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym - zaawansowanie procesu legislacyjnego”. W trakcie swojego przemówienia Gerard Galler przedstawił obecny stan prac oraz omówił szczegółowo projekt, którego celem jest opracowanie nowego rozporządzenia. Późniejsze dyskusje prowadzone przy okrągłych stołach i w kuluarach zdominowane były przez takie tematy jak: jednolity rynek cyfrowy, bezpieczeństwo usług elektronicznych i użyteczność podpisu elektronicznego dla obywateli. Podczas konferencji zwrócono uwagę na potrzebę skutecznej wymiany doświadczeń zdobytych w trakcie realizacji Dużych Projektów Pilotażowych (LSP), takich jak SPOCS, PEPPOL, STORK, epSOS, e-CODEX i e-SENS. Ma to zagwarantować osiągnięcie efektu synergii. Jednocześnie przedmiotem dyskusji był również fakt, że nie wszystkie Państwa Członkowskie uczestniczą w tych projektach, czy choćby korzystają z ich osiągnięć, choć same wdrażają podobne projekty, ale z zupełnie innym podejściem do założeń biznesowych, technologicznych czy prawnych. Takie działania nie służą urzeczywistnieniu idei jednolitego rynku usług elektronicznych. Potrzebne są inicjatywy podejmowane na poziomie Komisji Europejskiej, aby zachęcić wszystkie Państwa Członkowskie do popularyzowania wyników projektów finansowanych z funduszy europejskich, tak aby wszystkie kraje mogły z nich skorzystać. 2 www.efpe.pl Wewnątrz Unii, nowe rozporządzenie zapewni wspólną podstawę prawną, gwarantującą pewność i interoperacyjność prawa. Jednakże brak jest takiej wspólnej podstawy dla UE i innych krajów, nawet jeśli ich systemy prawne są zbliżone. W celu rozwiązania tego problemu rozporządzenie przewiduje porozumienia zawierane na poziomie Unii Europejskiej. Uwadze uczestników konferencji nie umknął fakt, że takie podejście może utrudniać zastosowanie innych, bardziej praktycznych rozwiązań. Na przykład: odniesienie się do prawa umów, a nie praw narodowych, może zaradzić wielu problemom w sektorze prywatnym, a może nawet i publicznym. Treść takich umów może być ustalana z centrami certyfikacji świadczącymi usługi zaufania, które zawierają wzajemne porozumienia z podobnymi firmami w innych krajach. Urząd certyfikacji danego Państwa Członkowskiego może posiadać prawne i techniczne możliwości udzielania rzetelnych odpowiedzi w zakresie usług zaufania (np. ważności i jakości certyfikatów oraz podpisów) świadczonych w innych krajach, ponosząc odpowiedzialność prawną. Aby uniknąć zawierania zbyt wielu umów dwustronnych pomiędzy krajami, proponujemy, żeby międzynarodowe organizacje odpowiedzialne za regulację międzynarodowej współpracy w zakresie handlu i prawa cywilnego (Komisja NZ ds. Międzynarodowego Prawa Handlowego (UNCITRAL), Stałe Biuro Haskiej Konferencji Prawa Prywatnego Międzynarodowego, itp.) podjęły inicjatywę w zakresie opracowania i podpisania wielostronnego porozumienia dotyczącego uznawania zagranicznych elektronicznych dokumentów i podpisów między krajami będącymi stronami takiego porozumienia. Porozumienie takie powinno: zawierać wymogi dotyczące dokumentów elektronicznych i podpisów elektronicznych, które będą rozpoznawalne w innym kraju, określać status prawny zaufanych stron trzecich, uznając je za podmioty pełniące funkcję zaufanego dostawcy w międzynarodowej wymianie dokumentów elektronicznych. Rozpoznając bodźce, które przyczyniają się do rozwoju międzynarodowej współpracy na rynku cyfrowym, proponujemy, aby nowe rozporządzenie obejmowało umowy zawierane z krajami spoza UE. Dostawcy usług zaufania powinni mieć możliwość współdziałania z ich odpowiednikami z krajów niebędących członkami UE, aby móc wspólnie oferować usługi. Uczestnicy konferencji EFPE popierają rozporządzenie eIDAS, które tworzy wspólne podstawy dla usług zaufania a tym samym ułatwia świadczenie usług elektronicznych w całej Europie. 3 www.efpe.pl Konferencja zachęca Komisję do wprowadzenia ułatwień we wzajemnym rozpoznawaniu usług zaufania na szczeblu międzynarodowym poprzez: wzajemne uznawanie usług zaufania stworzonych w oparciu o zbliżone ramy prawne, ustanowienie międzynarodowych porozumień w zakresie wzajemnego uznawania ocen zgodności przeprowadzanych w warunkach zbliżonych do tych, które występują w Europie, wspieranie wdrażania międzynarodowych standardów i specyfikacji stanowiących podstawy działania usług zaufania. Uczestnicy zwrócili również uwagę na fakt, że rozporządzenie to akt prawny, w którym z trudem wprowadza się zmiany. Obecny projekt rozporządzenia posługuje się zamkniętą listą usług zaufania, co może ograniczać jego elastyczność i możliwość wdrażania innowacji. Proponujemy, aby rozporządzenie eIDAS pozostawało otwarte na nowe kwalifikowane usługi i częstsze aktualizacje w tym zakresie. Aby móc konkurować na globalnych rynkach, unijne ramy prawne i standaryzacyjne muszą być gotowe na dynamiczny rozwój technologii w zakresie usług zaufania i identyfikacji elektronicznej. Zwracamy uwagę na pewną specyficzną słabość rozporządzenia eIDAS. Naszym zdaniem powinno się ograniczyć liczbę notyfikowanych systemów identyfikacji elektronicznej stosowanych na poziomie międzynarodowym. Zapis rozdziału 2 rozporządzenia stwarza ryzyko, że liczba notyfikowanych systemów identyfikacji elektronicznej będzie stanowczo zbyt wysoka, co zaowocuje gigantycznymi kosztami wspierania tak różnych systemów. Stąd proponujemy, aby na poziomie międzynarodowym ograniczyć liczbę różnych systemów identyfikacji elektronicznej, a zacząć używać znormalizowane rozwiązania, które już są stosowane w podpisie elektronicznym i opierają się na liście usług zaufania. Ponadto, na szczeblu krajowym, decyzje o korzystaniu z dodatkowych środków identyfikacji powinny być przedmiotem odpowiedniej legislacji krajowej. Kolejnym problemem jest zapewnienie ciągłości usług kwalifikowanych świadczonych przez kwalifikowane podmioty świadczące usługi certyfikacyjne (QCSP) na podstawie Dyrektywy 1999/93/EC. Według rozporządzenia eIDAS takie podmioty QCSP mają zaprzestać świadczenia usług, o ile nie przeszły długotrwałej i prawdopodobnie kosztownej procedury oceny umożliwiającej im zdobycie uprawnień kwalifikowanego podmiotu, określonych w nowym rozporządzeniu. Zalecamy dodanie „przepisów przejściowych” i założenia, że obecnie działające podmioty QCSP będą uznawane za kwalifikowane podmioty świadczące usługi zaufania do czasu zakończenia pierwszego audytu. Ponadto, prosimy o przeprowadzanie bardziej szczegółowej oceny oddziaływania odnośnie nowo wprowadzonego obowiązku przejścia audytu w zakresie dostępności i kosztów z nim związanych. 4 www.efpe.pl Mówi się, że poziom konferencji jest tak wysoki jak wiedza i umiejętności uczestniczących w niej ekspertów i prelegentów. W tym roku odzew ze strony uczestników był niezwykle duży i bardzo pozytywny. Konferencję można uznać za niezwykle udaną, a jej uczestnicy wynieśli z niej wiele interesujących informacji. Niniejszy finalny dokument został opracowany przez międzynarodowych ekspertów i uczestników podczas konferencji EFPE 2013. Dokument ten został przetłumaczony na trzy języki: angielski, polski i rosyjski, a następnie przedłożony uczestnikom konferencji do akceptacji. Prosimy, aby szanowni twórcy prawa i zasad uwzględnili w swej przyszłej działalności nasz wkład w toczącą się w Europie dyskusję. Dokument podpisany przez Jerzy Pejaś Data: 2013.06.15 11:09:04 CEST Powód: EFPE 2013 Programme Committee Chairman 5