Regulamentul eIDAS privind semnatura electronică pe înțelesul tuturor

În iulie 2014 a fost adoptat Regulamentul nr. 910/2014 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (Regulamentul eIDAS).

Acesta tratează două domenii principale:

  1. Identificarea electronică
  2. Prestarea serviciilor de încredere

Față de legislația anterioară care trata, la nivel european, numai semnătura electronică, iar la nivel național semnătura electronică și marcarea temporală noua reglementare definește o gamă mult mai largă de servicii de încredere.

Astfel, conform Regulamentului eIDAS, sunt 9 servicii de încredere calificate:

  1. Furnizarea de certificate calificate pentru semnături electronice
  2. Furnizarea de certificate calificate pentru sigilii electronice
  3. Furnizarea de certificate calificate pentru autentificarea site-urilor web
  4. Servicii calificate de păstrare a semnăturilor electronice
  5. Servicii calificate de păstrare a sigiliilor electronice
  6. Servicii de validare a semnăturilor electronice calificate
  7. Servicii de validare a sigiliilor electronice calificate
  8. Furnizarea de mărci temporale electronice calificate
  9. Servicii de distribuție electronică înregistrată calificate

Toate serviciile de încredere calificate sunt recunoscute ca având aceeași valoare în oricare stat membru UE. Fiecare stat membru înscrie într-o listă de încredere comună la nivelul UE prestatorii de servicii de încredere calificați și serviciile de încredere calificate prestate de aceștia. Această listă este cunoscută sub denumirea de Trust List și este utilizată, de exemplu, pentru a verifica automat dacă un document este semnat cu un certificat calificat.

În continuare statele membre pot defini alte servicii de încredere, recunoscute național, ca, de exemplu, arhivarea electronică.

Regulamentul a intrat în vigoare la 1 iulie 2016. Până la 1 iulie 2017 toate companiile care prestau servicii acreditate sau calificate, conform legislației anterioare, sunt recunoscute automat ca prestatori de servicii de încredere calificați, pentru serviciile respective, în conformitate cu Regulamentul eIDAS.

Astfel, și certSIGN emite certificate digitale calificate în conformitate cu Regulamentul eIDAS, iar semnăturile electronice calificate create cu aceste certificate sunt recunoscute automat ca având valoarea legală a unei semnături olografe în toate statele membre UE.

Stadiul actual

Spre deosebire de o Directivă, un Regulament emis la nivelul UE se aplică în toate statele membre fără să fie necesară o lege națională prin care să fie adoptat actul legislativ. De exemplu, Directiva 1999/93/CE a Parlamentului European și a Consiliului din 13 decembrie 1999 privind un cadru comunitar pentru semnăturile electronice a fost adoptată în România prin Legea nr. 455/2001 privind semnătura electronică.

Totuși, un Regulament nu conține toate informațiile necesare punerii sale în practică și este necesară legislație secundară de implementare. Această legislație este emisă atât de Comisia Europeană, cât și de statele membre.

Regulamentul eIDAS abrogă Directiva 1999/93/CE care stă la baza Legii nr. 455/2001 privind semnătura electronică. Legea națională nu a fost abrogată, aceasta fiind o prerogativă a Parlamentului României, și se aplică în situația în care nu intră în contradicție cu Regulamentul eIDAS.

Stadiul actual la nivelul Uniunii Europene

La nivelul Uniunii Europene, Comisia a elaborat legislație secundară și există organisme cu responsabilități pentru punerea în practică a Regulamentului eIDAS:

  • Organismele de standardizare ETSI (The European Telecommunications Standards Institute) și CEN (The European Committee for Standardization,) au elaborat și lucrează în continuare la standarde tehnice de implementare: https://portal.etsi.org/tbsitemap/esi/trustserviceproviders.aspx. Nu toate aceste standarde sunt obligatorii, dar aplicarea unui standard demonstrează implicit alinierea serviciilor prestate cu cerințele Regulamentului eIDAS.
  • ENISA (The European Union Agency for Network and Information Security) a creat ghiduri de implementare a Regulamentului eIDAS pentru toți cei implicați în această activitate: prestatorii de servicii de încredere, organismele de evaluare a conformității care auditează prestatorii și organismele de supraveghere, responsabile în fiecare stat membru de implementarea Regulamentului eIDAS: https://www.enisa.europa.eu/topics/trust-services/guidelines

În decembrie 2016, Comisia Europeană a evaluat stadiul implementării Regulamentului eIDAS și a publicat un document care prezintă situația: https://ec.europa.eu/futurium/en/system/files/ged/compilation_ms_information_14122016.pdf>

Pe scurt, conform documentului Comisiei, situația la nivelul UE arată că:

  • 9 state membre au definit schema de acreditare a furnizorilor de certificate digitale calificate conform standardelor în vigoare ISO 17065/ ETSI EN 319403: Austria, Belgia, Cehia, Italia, Letonia, Luxemburg, Polonia, Slovacia, Spania
  • 15 state membre au deja legislație națională de implementare eIDAS: Austria, Belgia, Croația, Cehia, Estonia, Finlanda, Italia, Letonia, Malta, Polonia, Slovacia, Slovenia, Spania, Suedia, Olanda
  • 3 țări sunt în curs de pregătire a legislației: Germania, Lituania, Luxemburg
  • Pentru 6 țări nu există informații detaliate: Bulgaria, Grecia, Ungaria, Irlanda, Portugalia, România

Stadiul actual în România
Regulamentul eIDAS se aplică la nivelul tuturor statelor membre, împreună cu legislația secundară emisă de Comisia Europeană. Însă, regulamentul stipulează și responsabilități pe care fiecare stat membru le are și pe care trebuie să le realizeze prin legislație internă:

  • Desemnarea unui Organism de supraveghere care să definească modul de verificare a prestatorilor și să coopereze cu celelalte state membre. În iulie 2016, prin HG 505/2016, MCSI a fost desemnat ca fiind acest organism de supraveghere în România.
  • Stabilirea mijloacelor de identificare a persoanelor
  • Definirea sancțiunilor, etc.

În iulie 2016, prin HG 505/2016 Ministerul Comunicațiilor și Societății Informaționale (MCSI) a fost desemnat organism de supraveghere pentru prestatorii de servicii de încredere calificați stabiliți pe teritoriul României, în conformitate cu Regulamentul eIDAS. Prin același act normativ MCSI a primit atribuții cu privire la instituirea, menținerea și publicarea de liste care includ informații referitoare la prestatorii de servicii de încredere calificați pentru care este responsabil, împreună cu informații referitoare la serviciile de încredere calificate prestate de aceștia.

Organismul de supraveghere trebuie să definească modalitatea prin va primi notificări de la prestatorii de servicii de încredere și procedurile de lucru privind acordarea statutului de prestatori de servicii de încredere calificați și supravegherea activității acestora.

Ce aduce nou Regulamentul eIDAS

Regulamentul eIDAS asigură recunoaștere implicită a serviciilor de încredere la nivelul UE. Astfel, semnăturile electronice calificate create cu certificate digitale calificate emise de un prestator de servicii de încredere calificat au efectul juridic echivalent al unei semnături olografe și sunt recunoscute la nivelul tuturor statelor membre. De la 1 iulie 2017:

  • Semnăturile electronice calificate create cu certificate calificate emise de un prestator de servicii de încredere calificat din România în conformitate cu regulamentul eIDAS vor fi recunoscute în orice stat membru UE
  • Semnăturile electronice create cu certificatele digitale calificate emise în România în conformitate cu Legea nr. 455/2001 vor fi recunoscute național, dar nu vor fi recunoscute în celelalte state membre UE

Pentru a asigura această recunoaștere au fost definite condiții unitare de verificare a conformității prestatorilor de servicii de încredere. Auditul este realizat de organisme de evaluare a conformității acreditați, conform Regulamentului nr. 765/2008, de un organism național de acreditare. În România acest organism este RENAR. Pornind de la standardul ISO 17065, ETSI a derivat un standard special pentru verificarea conformității prestatorilor de servicii de încredere: ETSI EN 319403.

Pentru a demonstra conformitatea cu cerințele Regulamentului eIDAS un prestator de servicii de încredere poate alege un organism de verificare a conformității care este acreditat în oricare alt stat membru UE.