Nowy standard bezpieczeństwa cyfrowego — rozporządzenie eIDAS 2

Jaki był cel rozporządzenia eIDAS?

Podstawowym założeniem leżącym u podstaw zaprojektowania rozporządzenia eIDAS było wprowadzenie ram dla identyfikatorów elektronicznych, które będą uznawane w każdym państwie członkowskim. Ustanowienie neutralnych pod względem technicznych podpisów pozwalających na jednoznaczne potwierdzenie tożsamości stron czynności prawnej znacząco zwiększyły bezpieczeństwo usług online i pozwoliło na wygodne świadczenie usług na poziomie transgranicznym. Obok zunifikowanych podpisów elektronicznych rozporządzenie eIDAS wprowadził m.in. Electronic Time Stamping, czyli pieczęcie elektroniczne. Służą one m.in. do zapewnienia wiarygodności, integralności danych i mogą być wykorzystywane m.in. przy archiwizacji informacji.

Usługi zaimplementowane w krajach Unii Europejskiej przez eIDAS² a eIDAS 2

Wśród usług zaprezentowanych przez pierwsze rozporządzenie eIDAS trzeba wymienić:

• podpisy elektroniczne – stanowią zgodę osoby składającej podpis na treść oświadczenia woli znajdującą się w dokumencie,

• elektroniczne znaczniki czasu – są potwierdzeniem tego, że określony zestaw danych istniał w określonej dacie i o konkretnej godzinie,

• tożsamość elektroniczną – możliwość potwierdzenia swojej tożsamości z wykorzystaniem elektronicznych narzędzi przez konsumentów oraz przedsiębiorców,

• kwalifikowany certyfikat autentyczności sieciowej – stanowi gwarancję, że strona jest bezpieczna i pochodzi rzeczywiście od dostawcy danego produktu lub usługi.

• pieczęć elektroniczną – gwarantuje integralność dokumentu i jego pochodzenie bezpośrednio od wystawcy,

• usługę dostawy rejestrowanej elektronicznie – usługa e-Delivery to wygodne i bezpieczne doręczenia elektroniczne, które można porównać do listu poleconego za potwierdzeniem odbioru. Stanowi dowód zarówno wysłania, jak i odebrania wiadomości, zabezpieczając dane przed kradzieżą, modyfikacją lub uszkodzeniem.

Nie ulega wątpliwości, że eIDAS 1.0 przyczynił się do usprawnienia obrotu gospodarczego na wielu płaszczyznach. Usługi zaimplementowane przez eIDAS mają być też dostępne w ramach portfeli tożsamości. Stosuje się je szeroko w takich branżach, jak sektor TSL, czy usługi NewTech. Co dokładnie zmienia się w akcie eIDAS 2.0 i czy rzeczywiście zmiany są potrzebne?

eIDAS vs. eIDAS 2. Co dokładnie się zmienia?

Rozporządzenie eIDAS 2.0 wprowadza koncepcję europejskiego portfela tożsamości cyfrowej. Ma on być dostępny dla każdej osoby fizycznej lub prawnej mających miejsce zamieszkania lub siedzibą na terytorium państwa członkowskiego UE. Z założenia portfele tożsamości cyfrowej mają być dostępne na niedyskryminujących warunkach oraz bazować na powszechnie stosowanych technologiach takich, jak komunikacja NFC, elementy eSE (ang. Embedded Secure Elements) – chipy zabezpieczone przed próbami modyfikacji, karty microSD, łączność Bluetooth o niskim zapotrzebowaniu na energię. Dzięki temu nie będzie konieczne wyposażanie się w specjalistyczną i kosztowną infrastrukturę.

Czym właściwie są portfele tożsamości cyfrowej? Zgodnie z definicją zawartą w unijnym rozporządzeniu europejski portfel tożsamości cyfrowej jest zbiorem danych zapisanych w materialnej lub niematerialnej jednostce, które identyfikują osobę i są używane do celów uwierzytelniania usług online lub offline. Portfel umożliwia użytkownikowi:

• bezpieczne przechowywanie danych i elektronicznych poświadczeń atrybutów,

• zarządzanie danymi i ich udostępnianie tzw. stronom ufającym oraz innym użytkownikom portfeli cyfrowych,

• składanie kwalifikowanych podpisów elektronicznych lub kwalifikowanych pieczęci elektronicznych.

Każde z państw członkowskich musi zapewnić przynajmniej jeden portfel cyfrowy, przy czym rozwiązanie nie musi być opracowane bezpośrednio przez struktury centralne. Może też pochodzić od zewnętrznego dostawcy pod warunkiem, że zostało uznane. W ujęciu bardziej praktycznym portfel cyfrowej tożsamości jest aplikacją instalowaną np. na urządzeniu mobilnym i opartą na otwartej licencji oprogramowania. Funkcjonalność takiej aplikacji musi obejmować co najmniej:

• bezpieczne żądanie, otrzymywanie, wybieranie, łączenie, przechowywanie, usuwanie, udostępnianie i prezentację danych identyfikujących konkretną osobę, przy czym opcje te mają być dostępne wyłącznie dla użytkownika,

• generowanie pseudonimów, które następnie są przechowywane wyłącznie lokalnie na urządzeniu (a nie np. w chmurze) oraz w formie zaszyfrowanej,

• bezpieczną wymianę informacji między dwoma portfelami tożsamości cyfrowej,

• dostęp do repozytorium wszystkich transakcji przeprowadzonych z wykorzystaniem portfela, w tym możliwość żądania usunięcia danych oraz sprawdzenia któremu podmiotowi użytkownik udostępnił swoje dane i jakie to są informacje,

• składanie kwalifikowanych podpisów elektronicznych i kwalifikowanych pieczęci elektronicznych,

• pobieranie danych użytkownika, elektronicznych poświadczeń atrybutów i konfiguracji,

• korzystanie z prawa do przenoszenia danych z jednego portfela do innego.

Wymaga się, aby portfele tożsamości bazowały na wspólnych, ujednoliconych interfejsach, a także odpowiednio zabezpieczały dane użytkownika. Jako przykład można wskazać, że dostawcy usług zaufania nie mogą mieć dostępu do informacji o tym, w jaki sposób i gdzie użytkownik wykorzystuje elektroniczne poświadczenia atrybutów, czyli cechy charakterystycznej, właściwości, prawa lub zezwolenia osoby fizycznej, osoby prawnej lub przedmiotu. W praktyce może być to np. potwierdzenie posiadania zezwolenia na prowadzenie określonego rodzaju działalności.

Czy można żądać unieważnienia portfela tożsamości cyfrowej?

Każdy portfel tożsamości cyfrowej może zostać unieważniony przez dostawcę usługi w następujących przypadkach (art. 5a ust. 9 rozporządzenia eIDAS 2):

• na wyraźne żądanie użytkownika,

• w przypadku naruszenia bezpieczeństwa portfela (np. złamania zabezpieczeń kryptograficznych lub przypadkowego ujawnienia danych dostępowych przez użytkownika),

• po śmierci użytkownika lub zaprzestaniu prowadzenia działalności gospodarczej przez osobę prawną.

Usługa ta – podobnie jak wydawanie i utrzymywanie portfeli – jest darmowa.

Czy zapewniając portfel tożsamości, dostawca usługi ma obowiązek stosowania przepisów RODO?

Jak wskazano w motywie 17 rozporządzenia eIDAS 2 stosowanie przepisów rozporządzenia nie powinno uchybiać obowiązkom wynikającym z innych aktów prawnych, w szczególności zaś z RODO (znajduje to odzwierciedlenie również w art. 2 ust. 4 eIDAS 2). Usługodawca powinien zwrócić uwagę na konieczność realizacji obowiązku informacyjnego, a także obowiązków wynikających z art. 35 i 36 RODO, czyli zastosowanie obligatoryjnej analizy ryzyka oraz DPIA.

Może pojawić się konieczność skonsultowania przetwarzania danych z organem nadzorczym w sytuacji, kiedy przetwarzanie spowodowałoby wysokie ryzyko naruszenia danych osobowych.

Jednocześnie zastosowanie znajduje zasada minimalizmu, która zakłada, że korzystanie z portfela tożsamości cyfrowej nie powinno prowadzić do przetwarzania innych danych, niż jest to niezbędne do wykonania usługi, ani przez dłuższy czas.

Świadcząc usługę portfela, dostawca nie może gromadzić ani łączyć żadnych informacji dotyczących konkretnego użytkownika z danymi pochodzącymi z innych usług tego samego dostawcy lub dostawców innych usług. Co więcej, dane osobowe użytkownika należy wydzielić logicznie jako odrębny zbiór od pozostałych informacji będących w posiadaniu dostawcy portfela.

Dostawcy portfeli tożsamości powinni pamiętać, aby gromadzić dowody pozwalające na powiązanie przetwarzania danych użytkowników ze zgodnością z przepisami RODO na potrzeby rozliczalności (art. 5a ust. 17 rozporządzenia eIDAS 2). Firma, która planuje poszerzyć portfolio swoich usług o portfele tożsamości, powinna zadbać o compliance w zakresie RODO w celu upewnienia się, że wykonuje swoje obowiązki w świetle ogólnego rozporządzenia o przetwarzaniu danych.

Co jeszcze warto wiedzieć o eIDAS 2?

Firmy, które chcą projektować usługi portfeli cyfrowych, muszą pamiętać, że taki portfel musi spełniać określone wymagania z zakresu bezpieczeństwa cybernetycznego. W przypadku, kiedy bezpieczeństwo usługi zostanie naruszone, jej dostawca ma obowiązek niezwłocznie zawiesić do niej dostęp, a także usunąć zagrożenie. Wymagane jest przeprowadzenie procesu certyfikacji zgodności, która nie może być udzielona na dłużej, niż 5 lat. Z kolei podmiot, który chce bazować na portfelach tożsamości, musi zarejestrować się w państwie członkowskim jako tzw. strona ufająca.

Za naruszenie przepisów rozporządzenia, np. dostarczenia portfela tożsamości, który nie wypełnia określonych wymogów dotyczących bezpieczeństwa, grożą surowe kary. Wysokość sankcji może sięgnąć nawet 50 milionów euro lub 1% całkowitego rocznego światowego obrotu.

Kiedy eIDAS 2 zacznie obowiązywać w Polsce?

Rozporządzenie eIDAS 2 już obowiązuje, ale do czasu opracowania aktów wykonawczych jego przepisy pozostają w zawieszeniu. Od momentu opracowania kompletnego aktu prawnego państwa członkowskie mają 2 lata na wdrożenie rozporządzenia o portfelach cyfrowych. Obecnie w Polsce tożsamość cyfrowa ma być wspierana w ramach czterech projektów (DC4EU, EWC, NOBID, POTENTIAL), choć z czasem zapewne będzie ich coraz więcej.

Rozporządzenie eIDAS 2 – jak możemy Ci pomóc?

Kancelaria Prawna RPMS aktywnie wspiera podmioty z branży nowych technologii, jak software house’y i startupy z branży NewTech. Co możemy dla Ciebie zrobić?

• Przeprowadzamy audyt zgodności procesów technologicznych z wymaganiami nowego rozporządzenia,

• przygotowujemy umowy z podwykonawcami,

• nadzorujemy proces certyfikacji portfela tożsamości cyfrowej,

• nadzorujemy spełnienie obowiązków dostawcy z zakresu RODO oraz cyberbezpieczeństwa.

Wspieramy także podmioty odgrywające rolę strony ufającej, która świadczy usługi na podstawie weryfikacji tożsamości elektronicznej.

Pytania i odpowiedzi

Zaufali nam: