DEKLARACJA KOŃCOWA EFPE 2013 DOTYCZĄCA NOWYCH

www.efpe.pl
Polska, Międzyzdroje, 07.06.2013
DEKLARACJA KOŃCOWA EFPE 2013
DOTYCZĄCA NOWYCH UNIJNYCH RAM PRAWNYCH DLA USŁUG ZAUFANIA
Trzynasta edycja Europejskiego Forum Podpisu Elektronicznego (EFPE 2013) odbyła
się 5-7 czerwca 2013 r. w Międzyzdrojach. Jej głównym tematem były „Zaufane usługi
elektroniczne na międzynarodowym rynku cyfrowym”.
W EFPE 2013 – największej Europejskiej konferencji poświęconej podpisowi elektronicznemu
i problematyce infrastruktury klucza publicznego (PKI) – wzięło udział 130 uczestników
z 21 krajów. Wśród nich znajdowali się przedstawiciele Komisji Europejskiej, dużych instytucji
korzystających z usług zaufania (między innymi organów i agencji rządowych), producentów
oprogramowania i sprzętu komputerowego, a także centrów certyfikacyjnych świadczących
usługi zaufania w zakresie podpisu elektronicznego. EFPE to międzynarodowe forum
umożliwiające wymianę doświadczeń oraz poglądów, w tym pomiędzy uczestnikami
z krajów wschodnich oraz zachodnich.
Tegoroczne Forum było poprzedzone trzydniowymi obradami Komitetu Technicznego
ds. podpisów elektronicznych i infrastruktury Europejskiego Instytutu Norm
Telekomunikacyjnych (TC ETSI ESI), czyli organu odpowiedzialnego za opracowywanie norm
europejskich w obszarze podpisu elektronicznego. Spotkanie odbyło się w Międzyzdrojach
w dniach 3-5 czerwca 2013 r.
Rolą Europejskiego Instytutu Norm Telekomunikacyjnych (ETSI) i Europejskiego Komitetu
Normalizacyjnego (CEN) jest opracowywanie norm unijnych, które w miarę możliwości
1
www.efpe.pl
są oparte o międzynarodowe normy i specyfikacje. Jeśli nie ma takiej możliwości, wówczas
normy ETSI i CEN tworzone są tak, aby można je było stosować w wielu krajach.
Dobrym przykładem takiego podejścia jest nowa norma dotycząca Listy Zaufanych
Podmiotów (Trust Status List), która jednoznacznie wprowadza mechanizm wzajemnego
rozpoznawania Zaufanych List. Dzięki temu uznawane będą również centra certyfikacji
świadczące usługi zaufania poza Unią Europejską.
Komisja Europejska stara się obecnie wzmocnić współpracę między Dużymi Projektami
Pilotażowymi (LSP) a organami normalizującymi. Dla przykładu: Europejski Instytut Norm
Telekomunikacyjnych jest partnerem projektu e-SENS. Dzięki temu wyniki poszczególnych
projektów LSP trafią do organów normalizujących, a w samych projektach będzie się zwracać
większą uwagę na kwestię zgodności ze standardami. Warto zauważyć, że w pracach ETSI
uczestniczą członkowie i obserwatorzy z całego świata, np. USA (Adobe), Japonii czy Izraela.
Większy udział podmiotów spoza UE w pracach tego organu byłby zjawiskiem niezwykle
korzystnym.
Liczne wykłady i prezentacje podczas EFPE 2013 budziły żywe dyskusje pomiędzy ekspertami
z dziedziny PKI. Ogromne zainteresowanie wzbudziło przemówienie Gerarda Gallera,
przedstawiciela Dyrekcji Generalnej ds. Sieci Komunikacyjnych, Treści i Technologii, pod
tytułem
„Wniosek
Komisji
Europejskiej
dotyczący
rozporządzenia
w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji
elektronicznych na rynku wewnętrznym - zaawansowanie procesu legislacyjnego”. W trakcie
swojego przemówienia Gerard Galler przedstawił obecny stan prac oraz omówił szczegółowo
projekt, którego celem jest opracowanie nowego rozporządzenia. Późniejsze dyskusje
prowadzone przy okrągłych stołach i w kuluarach zdominowane były przez takie tematy
jak: jednolity rynek cyfrowy, bezpieczeństwo usług elektronicznych i użyteczność podpisu
elektronicznego dla obywateli.
Podczas konferencji zwrócono uwagę na potrzebę skutecznej wymiany doświadczeń
zdobytych w trakcie realizacji Dużych Projektów Pilotażowych (LSP), takich jak SPOCS,
PEPPOL, STORK, epSOS, e-CODEX i e-SENS. Ma to zagwarantować osiągnięcie efektu synergii.
Jednocześnie przedmiotem dyskusji był również fakt, że nie wszystkie Państwa Członkowskie
uczestniczą w tych projektach, czy choćby korzystają z ich osiągnięć, choć same wdrażają
podobne projekty, ale z zupełnie innym podejściem do założeń biznesowych,
technologicznych czy prawnych. Takie działania nie służą urzeczywistnieniu idei jednolitego
rynku usług elektronicznych. Potrzebne są inicjatywy podejmowane na poziomie Komisji
Europejskiej, aby zachęcić wszystkie Państwa Członkowskie do popularyzowania wyników
projektów finansowanych z funduszy europejskich, tak aby wszystkie kraje mogły
z nich skorzystać.
2
www.efpe.pl
Wewnątrz Unii, nowe rozporządzenie zapewni wspólną podstawę prawną, gwarantującą
pewność i interoperacyjność prawa. Jednakże brak jest takiej wspólnej podstawy dla UE
i innych krajów, nawet jeśli ich systemy prawne są zbliżone. W celu rozwiązania
tego problemu rozporządzenie przewiduje porozumienia zawierane na poziomie Unii
Europejskiej. Uwadze uczestników konferencji nie umknął fakt, że takie podejście może
utrudniać zastosowanie innych, bardziej praktycznych rozwiązań. Na przykład: odniesienie
się do prawa umów, a nie praw narodowych, może zaradzić wielu problemom w sektorze
prywatnym, a może nawet i publicznym.
Treść takich umów może być ustalana z centrami certyfikacji świadczącymi usługi zaufania,
które zawierają wzajemne porozumienia z podobnymi firmami w innych krajach. Urząd
certyfikacji danego Państwa Członkowskiego może posiadać prawne i techniczne możliwości
udzielania rzetelnych odpowiedzi w zakresie usług zaufania (np. ważności
i jakości certyfikatów oraz podpisów) świadczonych w innych krajach, ponosząc
odpowiedzialność prawną.
Aby uniknąć zawierania zbyt wielu umów dwustronnych pomiędzy krajami, proponujemy,
żeby międzynarodowe organizacje odpowiedzialne za regulację międzynarodowej
współpracy w zakresie handlu i prawa cywilnego (Komisja NZ ds. Międzynarodowego Prawa
Handlowego (UNCITRAL), Stałe Biuro Haskiej Konferencji Prawa Prywatnego
Międzynarodowego, itp.) podjęły inicjatywę w zakresie opracowania i podpisania
wielostronnego porozumienia dotyczącego uznawania zagranicznych elektronicznych
dokumentów i podpisów między krajami będącymi stronami takiego porozumienia.
Porozumienie takie powinno:


zawierać wymogi dotyczące dokumentów elektronicznych i podpisów
elektronicznych, które będą rozpoznawalne w innym kraju,
określać status prawny zaufanych stron trzecich, uznając je za podmioty pełniące
funkcję zaufanego dostawcy w międzynarodowej wymianie dokumentów
elektronicznych.
Rozpoznając bodźce, które przyczyniają się do rozwoju międzynarodowej współpracy
na rynku cyfrowym, proponujemy, aby nowe rozporządzenie obejmowało umowy zawierane
z krajami spoza UE. Dostawcy usług zaufania powinni mieć możliwość współdziałania
z ich odpowiednikami z krajów niebędących członkami UE, aby móc wspólnie oferować
usługi.
Uczestnicy konferencji EFPE popierają rozporządzenie eIDAS, które tworzy wspólne
podstawy dla usług zaufania a tym samym ułatwia świadczenie usług elektronicznych
w całej Europie.
3
www.efpe.pl
Konferencja zachęca Komisję do wprowadzenia ułatwień we wzajemnym rozpoznawaniu
usług zaufania na szczeblu międzynarodowym poprzez:
 wzajemne uznawanie usług zaufania stworzonych w oparciu o zbliżone ramy prawne,
 ustanowienie międzynarodowych porozumień w zakresie wzajemnego uznawania
ocen zgodności przeprowadzanych w warunkach zbliżonych do tych, które występują
w Europie,
 wspieranie wdrażania międzynarodowych standardów i specyfikacji stanowiących
podstawy działania usług zaufania.
Uczestnicy zwrócili również uwagę na fakt, że rozporządzenie to akt prawny, w którym
z trudem wprowadza się zmiany. Obecny projekt rozporządzenia posługuje się zamkniętą
listą usług zaufania, co może ograniczać jego elastyczność i możliwość wdrażania innowacji.
Proponujemy, aby rozporządzenie eIDAS pozostawało otwarte na nowe kwalifikowane usługi
i częstsze aktualizacje w tym zakresie. Aby móc konkurować na globalnych rynkach, unijne
ramy prawne i standaryzacyjne muszą być gotowe na dynamiczny rozwój technologii
w zakresie usług zaufania i identyfikacji elektronicznej.
Zwracamy uwagę na pewną specyficzną słabość rozporządzenia eIDAS. Naszym zdaniem
powinno się ograniczyć liczbę notyfikowanych systemów identyfikacji elektronicznej
stosowanych na poziomie międzynarodowym. Zapis rozdziału 2 rozporządzenia stwarza
ryzyko, że liczba notyfikowanych systemów identyfikacji elektronicznej będzie stanowczo
zbyt wysoka, co zaowocuje gigantycznymi kosztami wspierania tak różnych systemów.
Stąd proponujemy, aby na poziomie międzynarodowym ograniczyć liczbę różnych systemów
identyfikacji elektronicznej, a zacząć używać znormalizowane rozwiązania, które
już są stosowane w podpisie elektronicznym i opierają się na liście usług zaufania. Ponadto,
na szczeblu krajowym, decyzje o korzystaniu z dodatkowych środków identyfikacji powinny
być przedmiotem odpowiedniej legislacji krajowej.
Kolejnym problemem jest zapewnienie ciągłości usług kwalifikowanych świadczonych
przez kwalifikowane podmioty świadczące usługi certyfikacyjne (QCSP) na podstawie
Dyrektywy 1999/93/EC. Według rozporządzenia eIDAS takie podmioty QCSP mają zaprzestać
świadczenia usług, o ile nie przeszły długotrwałej i prawdopodobnie kosztownej procedury
oceny umożliwiającej im zdobycie uprawnień kwalifikowanego podmiotu, określonych
w nowym rozporządzeniu. Zalecamy dodanie „przepisów przejściowych” i założenia,
że obecnie działające podmioty QCSP będą uznawane za kwalifikowane podmioty
świadczące usługi zaufania do czasu zakończenia pierwszego audytu. Ponadto, prosimy
o przeprowadzanie bardziej szczegółowej oceny oddziaływania odnośnie nowo
wprowadzonego obowiązku przejścia audytu w zakresie dostępności i kosztów
z nim związanych.
4
www.efpe.pl
Mówi się, że poziom konferencji jest tak wysoki jak wiedza i umiejętności uczestniczących
w niej ekspertów i prelegentów. W tym roku odzew ze strony uczestników był niezwykle
duży i bardzo pozytywny. Konferencję można uznać za niezwykle udaną, a jej uczestnicy
wynieśli z niej wiele interesujących informacji.
Niniejszy finalny dokument został opracowany przez międzynarodowych ekspertów
i uczestników podczas konferencji EFPE 2013. Dokument ten został przetłumaczony na trzy
języki: angielski, polski i rosyjski, a następnie przedłożony uczestnikom konferencji
do akceptacji. Prosimy, aby szanowni twórcy prawa i zasad uwzględnili w swej przyszłej
działalności nasz wkład w toczącą się w Europie dyskusję.
Dokument podpisany przez
Jerzy Pejaś
Data: 2013.06.15 11:09:04
CEST
Powód: EFPE 2013 Programme
Committee Chairman
5