Obsah článku
eIDAS 2.0: Aké zmeny a novinky prinesie?
Revízia nariadenia eIDAS č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu, ktorá sa zjednodušene nazýva eIDAS 2.0, prináša so sebou niekoľko úprav v oblasti elektronickej komunikácie. Čo sa nezmení, čo pribudne a kedy sa to stane?
Čo sa v rámci eIDAS 2.0 nezmení?
eIDAS 2.0 zachováva jednotlivé úrovne elektronických podpisov a pečatí i existujúce dôveryhodné služby. Naďalej tak budeme poznať jednotlivé úrovne elektronických podpisov a pečatí a dôveryhodné služby:
Úrovne elektronických podpisov a pečatí podľa eIDAS |
Dôveryhodné služby podľa eIDAS |
- Jednoduchý elektronický podpis
- Zdokonalený elektronický podpis bez kvalifikovaného štatútu
- Zdokonalený elektronický podpis s kvalifikovaným štatútom
- Kvalifikovaný elektronický podpis
|
- Vydávanie certifikátov pre elektronický podpis (QCert for ESig, QCert for ESeal)
- Vydávanie certifikátov pre elektronickú pečať (QWAC)
- Dôveryhodné overovanie certifikátov pre elektronický podpis a elektronickú pečať (QWal for QESig, QWal for QESeal)
- Uchovávanie kvalifikovaných elektronických podpisov a pečatí (QPres for QESig, QPres for QESeal)
- Časová pečiatka (QTimestamp)
- Služba dôveryhodného doručovania (Slovensko.sk)
|
Novinka v eIDAS 2.0: eWallet – doklady v mobile
Hoci znenie eIDAS 2.0 už bolo publikované, jednotlivé štáty ešte smernicu neprevzali. Zatiaľ teda nevieme, ako presne bude vyzerať konkrétna implementácia v našej legislatíve.
Už teraz však vieme, že v rámci eIDAS 2.0 pribudne predovšetkým EU Digital Identity Wallet (EUDIW) alebo tzv. eWallet, ktorý poskytne doklady v mobile. Ide o nový prostriedok pre elektronickú identifikáciu v online priestore, ktorý slúži na využitie dôveryhodných štátnych alebo komerčných služieb. Táto digitálna peňaženka by mala umožňovať nielen prihlásenie na Slovensko.sk, ale poskytovať tiež identitu pre registráciu v iných segmentoch.
Každý členský štát EÚ bude povinný poskytnúť aspoň jeden eWallet. Štát si môže vybrať, či sa vyberie cestou vládneho riešenia alebo poskytne riešenie prostredníctvom vybraného súkromného poskytovateľa, od ktorého ho nakúpi ako službu.
Pre používateľov eWalletu platí, že:
- použitie eWalletu nie je povinné – používateľ si môže vybrať, či bude eWallet využívať alebo nie (bude teda fungovať na podobnom princípe ako v súčasnosti KEP a nemusí ním disponovať každý občan);
- eWallet môžu využiť aj pri prezenčnej identifikácii – nemusia so sebou nosiť všetky doklady, ale odprezentujú sa prostredníctvom mobilu (čo, samozrejme, závisí od toho, aké typy dokladov má štát elektrizované a aké podmienky stanovuje legislatíva);
- sami rozhodujú, aké údaje o sebe poskytnú – môžu si zvoliť, aké údaje o sebe poskytnú (napríklad pri kúpe tovarov a služieb, ktorých predaj je povolený až od 18 rokov, to môže byť len dátum narodenia).
Členské štáty pritom môžu, ale nemusia prijať opatrenia, aby bol prostredníctvom eWallet poskytnutý KEP bezplatne na nekomerčné účely. Ak by totiž všetci občania začali používať vzdialené podpisovanie aj na komerčné účely, pre štát by to znamenalo obrovskú finančnú záťaž. Preto je eWallet prioritne určený na nekomerčné účely. Použitie na komerčné účely bude pravdepodobne vyžadovať integráciu zo strany súkromných poskytovateľov dôveryhodných služieb.
Čo ďalšie pribudne v rámci eIDAS 2.0?
V súvislosti s eWalletom eIDAS 2.0 upravuje aj:
- Vytváranie pseudonymov. Ak používateľ nechce zdieľať svoje osobné údaje, napríklad pri nákupe v e-shope pre dospelých, môžete namiesto svojho mena využiť pseudonym. E-shopu tak potvrdí len vek a komerčný subjekt si bude istý, že dodržal povinnosti, ktoré mu vyplývajú zo zákona.
- Prístup používateľa na tzv. dashboard, kde budú dostupné informácie o realizovaných transakciách. Na dashboarde používateľ uvidí, komu poskytol svoje osobné údaje, a následne môže efektívne komunikovať s úradom pre ochranu osobných údajov za účelom ochrany svojej osoby.
- Možnosť vyžiadať odstránenie osobných údajov na základe GDPR. Používateľ vie, komu poskytol súhlas so spracovaním osobných údajov a dokáže nielen požiadať o ich odstránenie, ale aj sledovať, či subjekt jeho žiadosť vybavil.
- Nahlasovanie incidentov a potenciálnych incidentov v súvislosti so zneužitím osobných údajov úradu na ochranu osobných údajov. Ak používateľ zaregistruje podozrivý dopyt, napríklad vyžiadanie neprimeraných osobných údajov zo strany e-shopu, dokáže túto požiadavku zamietnuť, definovať poskytované dáta a nahlásiť podozrivý dopyt úradu.
- Komunikácia používateľ s používateľom (peer-to-peer), resp. e-Wallet s e-Walletom. Používateľ si napríklad pri kúpe na online bazári dokáže overiť, či kupuje tovar od reálnej osoby a preveriť si totožnosť bez potreby posielania skenu občianskeho preukazu. Pri takýchto transakciách sa zvýši transparentnosť a bezpečnosť.
Nové dôveryhodné služby v eIDAS 2.0
V rámci eIDAS 2.0 pribudne aj niekoľko nových dôveryhodných služieb:
- Vydávanie elektronicky potvrdených atribútov. Okrem informácií, ktoré sú v certifikátoch dostupné aktuálne, sa budú môcť overovať aj ďalšie, napríklad typ vodičského oprávnenia, dosiahnutá úroveň vzdelania a podobne.
- Správa prostriedkov pre vytváranie vzdialených elektronických podpisov a pečatí. V závislosti od implementácie bude pravdepodobne možné vytvárať kvalifikované identity aj na diaľku, bez potreby fyzického stretnutia, čo výrazne zjednoduší procesy v rámci elektronického podpisovania.
- Služba dôveryhodnej elektronickej archivácie. Poskytovateľ certifikovaný pre poskytovanie dôveryhodnej služby elektronickej archivácie dokáže pre používateľov zabezpečiť dlhodobé uchovávanie samotných elektronických dokumentov, teda nie len archiváciu elektronických podpisov a pečatí.
- Electronic ledger – nástroj na zabezpečenie integrity a postupnosti elektronických záznamov, ktorý zaistí, aby sa napríklad určité digitálne aktívum nepredalo viac ako raz. Predpokladá sa, že tento nástroj nebude prevádzkovaný komerčným subjektom, ale štátom.
- QWAC (Qualified Website Authentication Certificate). Hoci certifikáty pre dôveryhodné webové služby už existujú, poskytovatelia webových prehliadačov ich zatiaľ neoznačovali ako dôveryhodné. eIDAS 2.0 zavádza pre poskytovateľov webových prehliadačov povinnosť uznávať EÚ autority a nimi vydané kvalifikované certifikáty pre autentifikáciu internetových webových stránok.
Pre úplnosť pár technických záležitostí
- Poskytovatelia budú musieť spĺňať aj smernicu NIS2 o kybernetickej bezpečnosti, ktorou sa zvyšuje bezpečnosť v EÚ.
- Zvýši sa kompatibilita medzi QTS službami (kvalifikovaných časových pečiatok), ktoré by mali fungovať prenositeľne a používateľ môže každý rok meniť poskytovateľa podľa svojich preferencií.
- Platnosť certifikácie QSCD zariadení sa obmedzí na 5 rokov. Ak zariadenie stratí svoju bezpečnostnú normu a platnosť, certifikáty na ňom nemôžu byť považované za kvalifikované, čo zvyšuje bezpečnosť poskytovania dôveryhodných služieb.
Kedy sa to stane?
Prvý návrh eIDAS 2.0 bol v Európskom vestníku zverejnený ešte v roku 2021. Postupne prebehli potrebné procesy v Európskej rade, Európskom parlamente a Európskej komisii. V apríli 2024 bol text eIDAS 2.0 publikovaný vo vestníku. Aktualizovaná verzia eIDAS 2.0 vstúpi do platnosti v septembri 2024.
V priebehu tohto roka by mali vznikať ešte tzv. tzv. implementačné akty k ekosystému eWallet. Následne bude prebiehať implementácia smernice v jednotlivých štátoch Európskej únie, ktoré majú povinnosť do konca roka 2026 poskytnúť svojim občanom aspoň jeden eWallet.
Na Slovensku sa vzhľadom na množstvo digitalizovanej agendy (ktorá je v porovnaní s inými štátmi EÚ na vyššej úrovni) predpokladá rýchla implementácia. Je možné, že doklady v mobile budú k dispozícii už do konca toho roka, po publikácii implementačných listov sa však budú musieť dostať ešte do súladu s predpismi EÚ.