Szczecin 6 kwietnia 2016 r. Pan Tadeusz Kościński Podsekretarz Stanu Ministerstwo Rozwoju Niniejszym, w odpowiedzi na pismo z dnia 22 marca 2016 r. (nr NK 62661/2016) dotyczące zgłoszenia uwag do projektu ustawy o usługach zaufania przekazujemy nasze uwagi do przekazanego projektu. Uwagi do przepisów projektu Ustawy o Usługach Zaufania (UoUZ) Lp. Refer. Uwaga Propozycja i uzasadnienie Zgłaszający 1. Ogóln a Nie jest określone, kto w imieniu Polski realizuję obowiązek wynikający z eidas Artykuł 31 Publikacja listy certyfikowanych kwalifikowanych urządzeń do składania podpisu elektronicznego bez zbędnej zwłoki i nie później niż jeden miesiąc po zakończeniu certyfikacji państwa członkowskie przekazują Komisji informacje Proponujemy wskazać PCA. Drugim rozwiązaniem będzie przekazywanie informacji do NBP i publikacja takiej Listy w ramach jednego portalu związanego z usługami zaufania www.nccert.pl 2. Ogóln a Należy zawsze używać określeń podpis i pieczęć, tylko zgodnie z definicją, czyli elektroniczny podpis, elektroniczna pieczęć. W rozporządzaniu eidas bardzo konsekwentnie wszystkie przymiotniki są powtarzane. Brak np. w Art. 6; art. 19 p.3; art. 47 p.2 Należy w każdym przypadku, w który występuje samodzielnie określenie podpis i pieczęć należy dodać przymiotnik elektroniczny/elektroniczna W rozporządzaniu eidas bardzo konsekwentnie wszystkie określenia są powtarzane w pełnym brzmieniu, Nie powinno budzić nigdy wątpliwości, że chodzi o podpis elektroniczny i pieczęć elektroniczną, a nie np.
własnoręczny podpis lub tradycyjną pieczęć na papierze. 3. Ogoln e Wydaje się za celowe zawarcia w UoUZ (fakultatywnej) delegacji do rozporządzeń wykonawczych regulujących usługi zaufania, które nie są wskazane w eidas (oraz aktach wykonawczych do eidas, w tym w normach), a które w przyszłości mogą być uznane za kwalifikowane na poziomie krajowym. Propozycja zapisu: Minister właściwy ds. cyfryzacji może wydać rozporządzenie regulujące zasady świadczenia usług nie objętych regulacją eidas, ani normami wskazanymi w decyzjach wykonawczych, które na poziomie krajowym mogą być uznane jako kwalifikowane. 4. Ogóln a Należy dodać przepis umożliwający umieszczenia na TSL certyfikatu roota krajowego. Możliwość to wynika bezpośrednio z przywołanej przez decyzję wykonawczą 2015/1505 z dnia 08-09-2015 normy 30 ETSI TS 119 612 V2.1.1 Norma ta daje możliwość wpisania na krajową listę TSL certyfikatu głównego infrastruktury krajowej i określa sposób jej nazwania: Proponujemy dodać w art. 18 UoUZ ustęp 3: 3. Organ nadzoru umieszcza na liście TSL certyfikat pieczęci Krajowego centrum certyfikowanych usług zaufania. Brak umieszczenia certyfikatu krajowego roota będzie skutkowało problemami z weryfikacją kwalifikowanych certyfikatów. When the listed service is a "root" certificate generation service issuing certificates to one or more subordinates certificate generation services and from which a certification path can be established down to a certificate generation service issuing end-entity qualified certificates, this service type shall be further identified by using the "http://uri.etsi.org/trstsvc/tr
ustedlist/svcinfoext/rootca- QC" identifier 5. Ogóln e Należy przewidzieć możliwość dodania na TSL usług niekwalifikowanych usług zaufania świadczonych przez kwalifikowany podmiot wydający kwalifikowane certyfikaty Proponujemy w art. 21 ust. 1 dodać pkt. 3): 3) niekwalifikowanej usługi świadczonej przez kwalifikowany podmiot wydający kwalifikowane certyfikaty podpisu elektronicznego lub pieczęci elektronicznej Jest to istotne szczególnie w pierwszym okresie obowiązywania eidas, gdyż nie wszystkie usługi, które obecnie są kwalifikowane nie będą mogły być kwalifikowane bez uprzedniego przejścia audytu. W pierwszej kolejności dotyczy to znacznika czasu, który jest podstawą konserwacji mocy dowodowej podpisu elektronicznego. eidas - decyzja wykonawcza 2015/1505 z dnia 08-09-2015 przywołuje normę 30 ETSI TS 119 612 V2.1.1, która daje możliwość świadczenia dodatkowych niekwalifikowanych usług zaufania wpierających wydawanie certyfikatów kwalifikowanych, np. 5.5.1.2 Regulation (EU) No 910/2014 non qualified trust service types
(e) URI: http://uri.etsi.org/trstsvc/svctyp e/tsa/tss-qc Description: A time-stamping service, not qualified, as part of a service from a trust service provider issuing qualified certificates that issues timestamp tokens that can be used in the validation process of qualified signatures/seals or advanced signatures/seals supported by qualified certificates to ascertain and extend the signature/seal validity when the qualified certificate is (will be) revoked or expired (will expire). 6. Należy wprowadzić przepis, który w okresie przejściowym utrzyma status daty pewnej znaczników czasu wydanych po uchyleniu UoPE oraz nada taki status niekwalifikowanym znacznikom czasu wydawanym w ramach niekwalifikowanej usługi świadczonej przez kwalifikowany podmiot wydający kwalifikowane certyfikaty. Propozycja brzmienia przepisu: - Kwalifikowane znaczniki czasu wydane przed 1 lipca 2016 r. zachowują status daty pewnej po tej dacie; - w okresie do 1 lipca 2017 r. niekwalifikowane znaczniki czasu wydane przez kwalifikowany podmiot świadczący kwalifikowaną usługę wydawania kwalifikowanych certyfikatów są zrównane pod względem skutków prawnych z kwalifikowanymi znacznikami czasu. Jest duże ryzyko braku usługi wydawania kwalifikowanego znacznika czasu z powodu braku
zakończenia audytów certyfikujących przez kwalifikowane podmioty. W tej sytuacji powstanie luka w świadczeniu usługi kwalifikowanego znacznika czasu wymaganego w wielu procesach administracyjnych, a także dla utrzymania mocy dowodowej podpisu elektronicznego lub pieczęci elektronicznej. Podobny status przewiduje decyzja wykonawcza 2015/1505 z dnia 08-09-2015 przywołując normę 30 ETSI TS 119 612 V2.1.1 Która daje możliwość świadczenia dodatkowych niekwalifikowanych usług zaufania wpierających wydawanie certyfikatów kwalifikowanych, w tym np. URI: http://uri.etsi.org/trstsvc/svctyp e/tsa/tss-qc 7. W związku ze zmieniającymi się algorytmami kryptograficznymi i standardami dot. profili certyfikatów i pieczęci w przypadku wykorzystania konkretnych atrybutów z certyfikatów w systemach administracji publicznej proponujemy dać możliwość uszczegółowienia tych zagadnień w ramach obowiązujących standardów na przykład w KRI (Krajowych Ramach interoperacyjności) Należy dodać odpowiedni przepis do KRI Możliwość taką daje Art.28 i 38 EIDAS Art.28 EIDAS: 2. Kwalifikowane certyfikaty podpisów elektronicznych nie podlegają żadnym obowiązkowym wymogom wykraczającym poza wymogi określone w załączniku I.
3. Kwalifikowane certyfikaty podpisów elektronicznych mogą zawierać nieobowiązkowe dodatkowe szczególne atrybuty. Atrybuty te nie mogą wpływać na interoperacyjność i uznawanie kwalifikowanych podpisów elektronicznych. 8. Art. 2. Pominięto definicje, do których odnoszą się zapisy projektu ustawy. Najlepiej jednym zapisem powołać się na wszystkie definicje zawarte w art. 3 eidas i dodać tylko nowe, czyli 1) i 21) oraz rozszerzoną w stosunku do eidas 3) W obecnym kształcie projekt ustawy nie zawiera wszystkich definicji, np. jest definicja 20) kwalifikowany elektroniczny znacznik czasu oznacza znacznik, o którym mowa w art. 3 pkt 34 eidas ; z kolei brak jest definicji, z art. 3 p. 33) elektroniczny znacznik czasu. A to określenie występuje w projekcie ustawy w art. 61. Brak więc konsekwencji - dla podpisu elektronicznego przytoczony jest cały obszar pojęciowy: podpis elektroniczny, zaawansowany podpis elektroniczny, kwalifikowany podpis elektroniczny, a dla znaczników czasu nie.
9. Art. 3 Traktuje zawężająco uznawalność usług zaufania świadczonych przez podmioty z innych państw UE w Polsce. Ten punkt należy usunąć. Należy uznać wszystkie kwalifikowane usługi zaufania, ale to wynika bezpośrednio z eidas. Obecnie mamy niezgodność z eidas motyw 54. W obecnym brzmieniu artykuł oznacza, że kwalifikowany certyfikat podpisu elektronicznego, kwalifikowany certyfikat pieczęci elektronicznej, kwalifikowany certyfikat uwierzytelniania witryn internetowych lub np. dowody powstałe wyniku działania kwalifikowanej usługi rejestrowanego doręczenia elektronicznego świadczone przez podmioty z UE nie są uznawane w Polsce. 10. Art. 19 W tym artykule i w kilku innych późniejszych należy zmienić zapis wydaje certyfikaty kwalifikowanego dostawcy usług zaufania. Należy zamienić na: wydaje certyfikaty kwalifikowanym dostawcom usług zaufania eidas nie przewiduje się certyfikatu kwalifikowanego dostawcy usług. Może użyć tu sformułowania bardziej odpowiadającego eidas " certyfikaty do świadczenia kwalifikowanych usług zaufania wydawane kwalifikowanemu dostawcy usług". To co eidas nazywa certyfikaty obecnie zwane w UoPE "zaświadczeniami
certyfikacyjnymi" i powinny być zgodne z załącznikami eidas.. 11. Art. 19 UoUZ ust. 2 Proponujemy usunąć przywołania Załącznika IV oraz poprawienie brzmienia tego przepisu. Propozycja zapisu: Krajowe centrum certyfikacji kwalifikowanych usług zaufania jest infrastrukturą organizacyjnotechniczną, która tworzy i wydaje certyfikaty kwalifikowanym dostawcom usług zaufania służące do weryfikacji zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych, o których mowa w Załączniku I lit. g eidas, Załączniku III lit. g eidas. Dostawca usług zaufania może opatrywać wyniki swoich usług pieczęcią elektroniczną albo podpisem elektronicznym, a więc Krajowe centrum wydawać będzie podmiotom kwalifikowanym tylko certyfikaty do weryfikacji tych podpisów lub pieczęci. Natomiast załącznik IV dotyczy certyfikatów do zabezpieczenia stron www. 12. Art. 35 ust. 1. Ust. 2 Proponujemy zmianę zapisu ust. 1 na: Kwalifikowany dostawca usług zaufania, przechowuje dokumenty i dane związane ze świadczeniem usług zaufania z godnie z polityką świadczenia usług. I wykreślić: z wyłączeniem danych służących do składania
podpisu elektronicznego lub pieczęci elektronicznej. Wykreślony zapis dodać do przepisu w ust. 2 Usługa zaufania może polegać na przechowywaniu danych klienta do składania podpisu elektronicznego lub pieczęci elektronicznej przy zachowaniu odpowiednich wymogów bezpieczeństwa czyniącym zadość art. 26 pkt. c) rozporządzenia eidas. 13. Art.. 36 punkt 1 Obecne brzmienie tego punktu może sugerować naruszenie zasady nadrzędności eidas w stosunku do prawa krajowego w odniesieniu do kwalifikowanego podpisu elektronicznego oraz kwalifikowanej pieczęci elektronicznej. Propozycja zapisu: Podpis elektroniczny lub pieczęć elektroniczna weryfikowane za pomocą certyfikatu wywołują skutki prawne określone w eidas lub odrębnymi przepisami, jeżeli zostaną złożone w okresie ważności tego certyfikatu. Motyw 22 eidas: "W prawie krajowym należy określić skutki prawne usług zaufania, o ile w niniejszym rozporządzeniu nie postanowiono inaczej." Skutek prawny kwalifikowanego podpisu i pieczęci są jednoznacznie określony w eidas (sekcja 4 art. 25 oraz sekcja 5 art. 35)
14. Art. 38. ust. 1 Obecne brzmienie tego przepisu uniemożliwi przejęcie działalności (kontynuowania) działalności w całości lub w części przez inny podmiot kwalifikowany, co uchroniłoby odbiorców usług zaufania przed konsekwencjami braku kontynuacji działalności podmiotu, który utracił status kwalifikowany. Propozycja dodania warunku: W przypadku, gdy kwalifikowany dostawca usług zaufania utracił status kwalifikowanego dostawcy i żaden inny podmiot kwalifikowany nie przejął jego działalności w zakresie usług zaufania, dokumenty i dane. W obecnej wersji nie jest przewidziany np. przypadek utraty statusu kwalifikowanego dostawcy z posiadaniem jednocześnie następcy prawnego. Nie powinno być wówczas wymagane przekazanie danych i dokumentów. Listy TSL wręcz przewidują posiadanie następcy prawnego: ETSI TS 119 612 V2.1.1 (2015-07): 5.5.9.3 TakenOverBy Extension Presence: This field shall be present when a service that was formerly under the legal responsibility of a TSP is taken over by another TSP. 15. Art. 39 ust.3. Brakuje danych związanych z zabezpieczeniem stron www W pkt. 1) należy uzupełnić o "kto w nieprawidłowy sposób przechowuje dane związane z certyfikatem kwalifikowanym zabezpieczenia stron www" 16. Art. 49 p.3 Określenie osoba, która posługuje się certyfikatem jest zbyt szerokie. Certyfikatem posługuje się również strona ufająca, a tu Proponujemy : Tej samej karze podlega osoba, która posługuje się certyfikatem, o którym mowa w ust. 1. składając podpis elektroniczny lub
chodzi o stronę składającą podpis lub pieczęć. pieczęć elektroniczną lub zabezpieczając strony www. 17. art. 4.2 Kompetencje organu nadzoru wyrywkowo zostały przeniesione z eidas-a: Należy dać odwołanie ogólne kompetencje organu nadzoru reguluje art.17 rozporządzenia e- IDAS i uzupełnić o kompetencje na poziome krajowym takie jak: - do kompetencji organu nadzoru należy również udzielanie wiążących interpretacji prawnych w zakresie stosowania przepisów ustawy o usługach zaufania lub udzielania informacji w zakresie wątpliwości w zakresie stosowania eidas - do kompetencji organu nadzoru należy wskazywanie obowiązujących standardów dla TSP (dostawców usług zaufania ) zgodnie z którymi mają dokonywać audytów zgodnościowych. 18. Art.10-14 art. 10 raczej niezgodny z e- IDAS a art. 10 proponowanej ustawy mówi tak: 1. Audyt, o którym mowa w art. 20 ust. 2 eidas, może być wykonywany przy udziale osób upoważnionych przez organu nadzoru, zwanych dalej audytorami. Uporządkować przepisy od 9-14 zgodnie z e-idas. Przepisy w obecnej formie są nieprecyzyjne tworzą nowe byty w zakresie audytów, uprawnień i komptencji w stosunku do tych co określono e-idasem i co funkcjonuje na rynku potwierdzania zgodności. 2. Imienne upoważnienia do Poza tym, jeżeli organ nadzoru chce dodatkowo mieć
przeprowadzenia audytu wydaje organ nadzoru. Powoduje to takiego rodzaju zagrożenie że: z jednej strony upoważniony do przeprowadzenia audytów jest akredytowany audytor, który ma przejść całą ścieżkę akredytacji i spełnić wymagania określone m.in: ETSI EN 319 403 and ISO 17065 oraz wykazać się doświadczeniem w usługach a z drugiej strony organ nadzoru wyznaczy kogoś do przeprowadzenia takiej kontroli jedynie na podstawie upoważnienia? To rodzi możliwość obejścia systemu zgodności. uprawnienia kontrolne to powinno się to wyraźnie zapisać. W obecnym projekcie pomieszana została idea audytów z kontrolą. Pozostaje jednak sobie zadać pytanie czy oprócz audytów potwierdzających zgodność, audytów ad-hoc jest to jeszcze potrzebne? (Większość TSP potwierdza jeszcze zgodność z ISO 9001, 27001 czy WebTrust) Należy pamiętać że, cena uzyskania i utrzymania zgodności to nie tylko cena certyfikacji ale infrastruktury, sprzętu, ludzi, archiwizacji, kosztów ubezpieczenia Przy tej ilości obciążeń oraz planowanych grzywien I kar działalność w tej dziedzinie może przestać być opłacalna. Dodatkowo nie ma zapisu o tym co może stanowić podstawę żądania audytu ad-hoc itp., jak często ( jest odniesienie do uo swobodzie dział. gosp). Pamiętajmy o tym że audyty są przeprowadzane na koszt dostawców usług.