Propozycja Komisji Europejskiej w sprawie rewizji eIDAS, czy to w ogóle realne?

Zmiany, jeżeli zostaną uchwalone i wdrożone będą miały ogromne znaczenie i potencjał biznesowy dla sektora finansowego, m.in. za sprawą tzw. European Digital Identity Wallets, ale także wprowadzenia eID dla podmiotów o strukturze korporacyjnej.

Przejdźmy więc szybko przez najważniejsze założenia, skupiając się przede wszystkim na nowych sposobach identyfikacji cyfrowej. Dzisiaj oczywiście tylko część z tych zagadnień.

Nowe definicje, European Digital Identity Wallets

Zacznijmy od tego, że całkiem dużo zmian znajdziemy już przy definicjach. Pojawia się tam m.in. rozszerzenie pojęcia elektronicznych środków identyfikacji, do których dojdą tzw. Digital Identity Wallets oraz karty ID wydawane na podstawie Rozporządzenia 2019/1157 (de facto chodzi tutaj o e-dowody osobiste), które będą mogły służyć do uwierzytelniania w ramach usług cyfrowych oraz „fizycznych”.

Każde państwo członkowskie powinno w terminie 12 miesięcy od wejścia w życie rozporządzenia (założono, że będzie to standardowo po upływie 21 dni od ogłoszenia w dzienniku), wydać (?) EDIW dla osób fizycznych oraz prawnych

Same European Digital Identity Wallets ‒ EDIW ‒ również zostały zdefiniowane. Mają one być produktami lub usługami, które umożliwiają użytkownikowi przechowywanie danych identyfikacyjnych, danych uwierzytelniających oraz atrybutów (pewnych cech czy charakterystyk osób prawnych i fizycznych przechowywanych elektronicznie), a które mogą być przekazywane do innych osób i wykorzystywane do uwierzytelniania na potrzeby usług offline oraz online, a także do tworzenia kwalifikowanych pieczęci i podpisów.

Mówiąc bardzo wprost – grubo. Możliwości, które stworzyć mogą EDIW są naprawdę spore i rozwiązują wiele problemów, np. w kontekście klienta korporacyjnego i często „przydługiego” onboardingu, np. w obszarze usług finansowych.

Przy tej „okazji” wprowadzono także dodatkową definicję tzw. EU Digital Identity Wallet Trust Mark, który ma być swoistym potwierdzeniem, że dany portfel został wydany zgodnie z zapisami Rozporządzenia.

Czytaj także: SGH jako pierwsza uczelnia w Polsce wdrożyła mobilny podpis kwalifikowany mSzafir

Kolejny interesujący nas obszar

Projekt zakłada wprowadzenie art. 6a‒6d, które odnoszą się do wymogów „stawianych” EDIW. Zacznijmy od najważniejszej informacji. W Projekcie przewidziano, że każde państwo członkowskie powinno w terminie 12 miesięcy od wejścia w życie rozporządzenia (założono, że będzie to standardowo po upływie 21 dni od ogłoszenia w dzienniku), wydać (?) EDIW dla osób fizycznych oraz prawnych. Jakkolwiek ambitnie, obawiam się, że termin ten zostanie wydłużony.

Takie portfele będą mogły być wydawane na trzy sposoby:

1.    Przez samo państwo członkowskie;

2.    Przez upoważniony przez państwo podmiot lub

3.    Niezależnie, ale w sposób uznawany przez dane państwo.

Takie portfele będą umożliwiać użytkownikom przechowywanie wszelkich danych niezbędnych do identyfikacji i uwierzytelniania się w ramach usług cyfrowych (i fizycznych), i to zarówno na poziomie publicznym, jak i prywatnym. Tutaj rodzi się pytanie w jaki sposób będziemy określać co jest niezbędne w tym kontekście, ale o tym przy innej okazji. Dodatkowo portfele będą pozwalały na złożenie kwalifikowanego podpisu elektronicznego.

Państwa członkowskie będą musiały wprowadzić także odpowiednie mechanizmy walidacji EDIW, co jest ściśle powiązane z obowiązkowymi „elementami” tych portfeli. Lista jest długa i zakłada m.in. posiadanie jednolitego interfejsu, rozwiązania „offline” czy pokazywanie certyfikatu EDIW. W skrócie – więcej znajdziemy w art. 6a ust. 4 – dla cierpliwych.

Z ważnych tematów warto zwrócić także uwagę na to, że EDIW będą musiały być dostępne (i przyjazne) dla osób z różnymi „disabilities”, a także na to, że Komisja (UE) będzie zobowiązana do wydawania specyfikacji operacyjnej i technicznej w zakresie powyższych wymagań w terminie 6 miesięcy od wejścia w życie rozporządzenia. Chyba nie mamy wątpliwości, że „gryzie” się to z 12-miesięcznym wymogiem wydania EDIW.

Państwa członkowskie będą musiały wprowadzić także odpowiednie mechanizmy walidacji EDIW

Co dalej? Strona (podmiot) ufająca i polegająca na EDIW wydanym przez dane państwo członkowskie powinna poinformować o swojej siedzibie czy zamierzonym użyciu EDIW. Jednocześnie państwa będą miały obowiązek stworzenia rozwiązań umożliwiających uwierzytelnianie takich podmiotów. Tutaj również mają pojawić się dodatkowe „wyjaśnienia” sporządzone przez Komisję (UE) w terminie 6 miesięcy od wejścia w życie.

Czytaj także: Raport: Horyzonty Bankowości 2021 | TECHNOLOGIE | MojeID w praktyce

Certyfikacje

Kolejnym ważnym tematem jest kwestia certyfikacji i jej zgodności z wymaganiami Rozporządzenia 2019/881 – certyfikaty cyberbezpieczeństwa. Po pierwsze, taki certyfikat będzie „dowodził” zgodności z częścią wymagań określonych w projekcie rozporządzenia. Podobne rozwiązanie przewiduje projekt rozporządzenia w sprawie AI w odniesieniu do tzw. conformity assessment.

Dodatkowo wymagany będzie certyfikat potwierdzający zgodność przetwarzania danych osobowych z RODO. Takie potwierdzenia zgodności – w ogóle wymogów z art. 6a projektu – będą wydawane przez akredytowane podmioty (prywatne lub publiczne). Ważne – lista standardów certyfikacji będzie również wydana przez Komisję w terminie 6 miesięcy. Lista certyfikowanych EDIW będzie publikowana w stosownym rejestrze.

Dodatkowo wymagany będzie certyfikat potwierdzający zgodność przetwarzania danych osobowych z RODO

Uff, będzie gorąco, a dorzućmy do tego art. 10a, który zobowiązuje stosowne organy do podejmowania natychmiastowych działań w przypadku naruszenia integralności (czy innych sytuacji wpływających na „reliability”) EDIW i procedury „odnawiania” certyfikatów etc.

Dalej mamy jeszcze kilka ciekawych tematów, jak chociażby unikalna identyfikacja czy dodatkowe wymogi dla certyfikatów stron internetowych, a nawet urządzeń służących do składania podpisów.

Dla prawników interesująca będzie także sekcja 9, która dotyczy tzw. Electronic Attestation of Attributes i ich prawnych skutków. O tym powiemy sobie jednak przy innej okazji. Mamy też kilka załączników, które mają głównie charakter techniczny.

Na koniec słowo podsumowania. Sam zamysł jest genialny i będę mocno trzymał kciuki za realizację. Wydaje mi się jednak, że terminy zawarte w projekcie są zbyt ambitne i „pomijają” wiele aspektów operacyjnych.

Zważywszy na fakt, że EDIW ma być projektem pan-europejskim i interoperacyjnym, stworzenie dobrych warunków, w tak krótkim czasie, może być po prostu niemożliwe. A może się mylę?