rozporządzenie eIDAS

Wprowadzenie do rozporządzenia eIDAS i legalności podpisu elektronicznego w Europie

Co to jest rozporządzenie eIDAS?

Rozporządzenie w sprawie identyfikacji elektronicznej, uwierzytelniania i usług zaufania weszło w życie w Unii Europejskiej 1 lipca 2016 r. Został on stworzony w celu ujednolicenia przepisów dotyczących podpisu elektronicznego i transakcji elektronicznych. Z prawnego punktu widzenia jest ono znane jako Rozporządzenie UE nr 910/2014.

eIDAS zastępuje dyrektywę z 1999 r. w sprawie podpisu elektronicznego. EIDAS został zaprojektowany w celu wyeliminowania wszelkich niespójności, zmniejszenia wahań i zbudowania zaufania pomiędzy rynkami wewnętrznymi w odniesieniu do podpisów elektronicznych i transakcji. Celem było zapewnienie, że dokumenty elektroniczne z podpisem elektronicznym będą uznawane i akceptowane we wszystkich państwach członkowskich UE.

Co obejmuje rozporządzenie eIDAS?

W porównaniu z dyrektywą w sprawie podpisów elektronicznych z 1999 r. system eIDAS ma szerszy zakres. Oprócz podpisu elektronicznego rozporządzenie eIDAS obejmuje również identyfikację elektroniczną, doręczanie, usługi archiwizacyjne i uwierzytelnianie stron internetowych.

eIDAS określa ujednolicony zestaw przepisów związanych z identyfikacją elektroniczną i usługami zaufania.

Identyfikacja elektroniczna

W ramach rozdziału dotyczącego identyfikacji elektronicznej, eIDAS oferuje wytyczne w zakresie zapewnienia, że identyfikacja elektroniczna jest uznawana we wszystkich państwach członkowskich UE.

Usługi powiernicze

Dyrektywa w sprawie podpisów elektronicznych z 1999 r. dotyczyła przede wszystkim podpisów elektronicznych i ich certyfikacji.

Rozporządzenie eIDAS zawiera rozdział dotyczący usług zaufania, który zapewnia większą standaryzację w odniesieniu do usług zaufania w zakresie uwierzytelniania i podpisów, w tym:

  • Podpisy elektroniczne
  • Certyfikaty dla podpisów elektronicznych
  • Uszczelnienia elektroniczne
  • Znaczniki czasu
  • Uwierzytelnianie strony internetowej
  • Usługi elektronicznego doręczania przesyłek poleconych

Kwalifikowani dostawcy usług zaufania muszą spełniać wymogi określone przez państwo członkowskie i są rozpoznawalni za pomocą standardowego unijnego znaku zaufania.

Jakie są korzyści wynikające z rozporządzenia eIDAS?

W przypadku dyrektywy w sprawie podpisów elektronicznych brakowało jednolitości w całej UE. Każdy kraj miał własną interpretację tego systemu. Oznaczało to, że wymagane poziomy bezpieczeństwa i uwierzytelniania były bardzo zróżnicowane.

eIDAS prezentuje zestaw wytycznych, które przynoszą korzyści zarówno przedsiębiorcom, jak i obywatelom, m.in. w postaci:

  • Większe zaufanie do transakcji internetowych i elektronicznych
  • Uznawanie identyfikacji elektronicznej we wszystkich państwach członkowskich
  • Szybszy i sprawniejszy proces dla transakcji transgranicznych
  • Spójne przepisy dotyczące podpisu elektronicznego w całej UE

Kogo dotyczy system eIDAS?

Każdy, kto przeprowadza transakcje elektroniczne z wykorzystaniem podpisu elektronicznego w UE, jest objęty rozporządzeniem eIDAS. Dzięki temu przedsiębiorstwa i konsumenci mogą przeprowadzać swoje transakcje bez konieczności fizycznej obecności.

Podczas gdy konsumenci dokonujący transakcji elektronicznych powinni być świadomi tych regulacji, ciężar ich przestrzegania spoczywa zasadniczo na dostawcy usług zaufania.

A series of rectangles floating in the air, connected by a thin line some of which have checkmarks on them. Closest to the viewer is a rectangle with the symbol of a monochrome white hammer and gavel

eSignature Legality Guide

Learn the facts about electronic signature laws and local regulations that govern digital identities and digital certificates for e-signatures among EU member states and around the world.

Read More


Co jest uważane za podpis elektroniczny w rozumieniu rozporządzenia eIDAS?

Podpisy elektroniczne w ramach eIDAS obejmują wszelkie dane w formie elektronicznej, które są dołączone do innych danych w formie elektronicznej lub logicznie z nimi powiązane i które są wykorzystywane przez podpisującego do złożenia podpisu. Nie ma wymogu stosowania określonego rodzaju technologii przy kwalifikowaniu podpisu elektronicznego w ramach eIDAS.

w systemie eIDAS zdefiniowano trzy poziomy pewności w odniesieniu do identyfikacji: niski, znaczny i wysoki. Podobnie w systemie eIDAS ustanowiono trzy kategorie podpisów elektronicznych:

  1. Podpisy elektroniczne
  2. Zaawansowane podpisy elektroniczne
  3. Kwalifikowane podpisy elektroniczne

Podczas gdy wszystkie są ważne jako podpisy elektroniczne, rodzaj podpisu wpływa na to, jak wiele dowodów jest wymaganych, aby udowodnić, że podpis jest autentyczny.

Oto główne różnice pomiędzy trzema typami podpisów.

Rodzaje podpisów elektronicznych

Podpis elektroniczny jest przede wszystkim pojęciem prawnym. Ogólnie rzecz biorąc, chodzi o to, aby mieć trwały zapis intencji podpisującego. Podpis cyfrowy różni się od podpisu elektronicznego. Podpis cyfrowy odnosi się do technologii szyfrowania używanej w e-biznesie i handlu elektronicznym, w tym w aplikacjach do podpisu elektronicznego.  

Podpis elektroniczny jest uważany za podstawowy lub prosty podpis elektroniczny. Może to być nazwisko wpisane na maszynie lub kopia odręcznego podpisu. Ponieważ tego typu podpisy mogą być sfałszowane, sąd może wymagać więcej dodatkowych dowodów potwierdzających autentyczność podpisu.


Podstawowe lub proste podpisy elektroniczne

Podstawowy e-podpis jest neutralny technologicznie. Oznacza to, że każda forma lub proces elektroniczny jest ogólnie akceptowany, o ile podpis elektroniczny spełnia trzy podstawowe wymagania dotyczące podpisu. Wymagania dla podpisu elektronicznego są takie, że podpis musi być:

  • Używany przez osobę związaną z podpisem
  • Używane w sposób, który wskazuje na intencje podpisującego
  • Związane z dokumentem lub danymi, które podpisujący zamierzał podpisać

Zaawansowane podpisy elektroniczne (AES)

Zaawansowany podpis elektroniczny wykracza poza podstawowy podpis elektroniczny, wiążąc uwierzytelnianie z podpisem i dokumentem. Zmniejsza to ryzyko w transakcjach biznesowych poprzez dostarczenie dodatkowych dowodów, które mogą być użyte do weryfikacji autentyczności podpisu.Jest on trudniejszy do podrobienia i sąd może wymagać mniejszej liczby dowodów, aby udowodnić zamiar i autentyczność podpisu.

Oprócz wymagań niezbędnych do złożenia zwykłego podpisu elektronicznego, zaawansowany podpis elektroniczny musi być:

  • Jednoznacznie powiązany z osobą używającą podpisu
  • Potrafi zidentyfikować osobę podpisującą
  • Stworzony w sposób, który daje podpisującemu pewność, że jest pod jego wyłączną kontrolą
  • Powiązanie z dokumentem, dzięki czemu wszelkie późniejsze zmiany są możliwe do zidentyfikowania

Większość firm i banków korzysta z podpisu elektronicznego, wybierając zaawansowany podpis elektroniczny jako standardową formę e-podpisu. Dzięki wbudowanej funkcji uwierzytelniania, zwiększa ona bezpieczeństwo bez wpływu na doświadczenia klientów.

Kwalifikowane podpisy elektroniczne (QES)

Termin "kwalifikowany podpis elektroniczny" jest oparty na rozporządzeniu eIDAS, ale jest podobny do wielu innych przepisów na całym świecie, które wymagają certyfikatu wydanego przez akredytowaną organizację.

Kwalifikowany podpis elektroniczny OneSpan jest zaawansowanym podpisem elektronicznym, który oprócz wszystkich innych standardowych wymagań wymaga również posiadania osobistego certyfikatu cyfrowego. Certyfikat cyfrowy jest bezpiecznym, osobistym i unikalnym poświadczeniem tożsamości elektronicznej, które musi być wydane podpisującemu w formie, którą może on zachować pod swoją kontrolą.

Oprócz wymagań dotyczących zarówno podpisu elektronicznego, jak i zaawansowanego podpisu elektronicznego, kwalifikowany podpis elektroniczny musi być:

  • Utworzone przy użyciu kwalifikowanego urządzenia do składania podpisu elektronicznego lub podpisu elektronicznego
  • Obsługiwane przez certyfikat kwalifikowany (wydany przez kwalifikowanego dostawcę usług zaufania; przykładem może być itsme w Belgii)

Podobnie jak zaawansowany e-podpis, jest on uznawany za równoważny z podpisem odręcznym. Jednak w przypadku zakwestionowania w sporze ten rodzaj podpisu nie wymaga dodatkowych dowodów ze strony sądu, zgodnie z art. 25 eIDAS.

Kwalifikowany podpis elektroniczny odwraca ciężar dowodu, który zwykle występuje podczas transakcji cyfrowej. W przypadku prostego podpisu elektronicznego i zaawansowanego podpisu elektronicznego, to organizacja inicjująca transakcję musi uwierzytelnić podpisującego. Jednak w przypadku kwalifikowanego podpisu elektronicznego podpisujący musi przedstawić certyfikat cyfrowy użyty do uwierzytelnienia się.

W praktyce inne formy podpisu elektronicznego mogą zostać zakwestionowane w postępowaniu sądowym, a organizacja inicjująca transakcję może być zmuszona do udowodnienia przed sądem, że jest ona wiarygodna i oryginalna; krótko mówiąc, że wywołuje skutki prawne. Podczas gdy niektóre kraje mogą preferować dopuszczalność podpisów elektronicznych opartych na certyfikatach cyfrowych, nie mogą one odmówić dopuszczalności podpisanego dokumentu w sądzie tylko dlatego, że podpis ma formę podstawowego lub zaawansowanego e-podpisu.

eIDAS and E-Signatures: A Legal Perspective

eIDAS and E-Signatures: A Legal Perspective

Lorna Brazell of Osbourne Clarke LLP navigates new eIDAS Regulation

Download the whitepaper

Jakiego rodzaju podpisu należy używać w systemie eIDAS?

Rodzaj podpisu zależy od rodzaju transakcji i poziomu ryzyka (np. ryzyko uwierzytelnienia, ryzyko prawne, ryzyko zgodności, ryzyko przyjęcia itp. Zgodnie z białą księgą eIDAS i E-Signatures: A Legal Perspective, jeśli prawo nie określa, że kwalifikowany podpis elektroniczny jest niezbędny, aby dokument był legalny, zaawansowany podpis elektroniczny może wystarczyć.

Usłysz z pierwszej ręki od europejskiej organizacji, P&V Insurance w Belgii, o ich przypadku użycia i o tym, jak ich zespół prawny podjął decyzję o przyjęciu zaawansowanego podpisu elektronicznego zamiast kwalifikowanego podpisu elektronicznego. Dla P&V Insurance, pytanie brzmiało: Jak wybrać odpowiedni rodzaj e-podpisu dla każdego przypadku użycia? Pierwotnym przypadkiem użycia są aplikacje ubezpieczeń na życie - proces o niskim ryzyku, gdzie wymagania dotyczące zgodności są minimalne.
"Wniosek ubezpieczeniowy nie jest obarczony takim samym poziomem ryzyka jak polisa, dlatego wystarczy zaawansowany e-podpis. Jednak w przypadku dokumentów, które wymagają mocnego umocowania prawnego, takich jak sama polisa lub formularz zmiany beneficjenta, potrzebujemy kwalifikowanego podpisu elektronicznego lub nawet podpisu atramentowego, aby zachować zgodność z przepisami" - mówi Marc Lucion, starszy kierownik projektów IT.

Według głównego radcy prawnego ubezpieczyciela, "doradziliśmy firmie, aby korzystała z kwalifikowanego podpisu elektronicznego (z wydanym przez rząd eID i PIN) przynajmniej w przypadku niektórych czynności lub umów, w zależności od ryzyka, wrażliwości lub kwoty. Zgodziliśmy się jednak, że zaawansowany e-podpis (z uwierzytelnianiem i jednorazowym kodem SMS) jest prawnie wystarczający dla większości wniosków ubezpieczeniowych. We wszystkich przypadkach podpisane elektronicznie dokumenty musiały być przechowywane i archiwizowane w naszych systemach." Przeczytaj więcej w tym studium przypadku: P&V Insurance lays the groundwork for enterprise esignature.

Podsumowując

eIDAS rozwiązuje problem niespójności transakcji elektronicznych we wszystkich państwach członkowskich UE. Choć może się to wydawać skomplikowane, eIDAS, poprzez ustanowienie zestawu podstawowych standardów, pomaga stworzyć bezproblemowe środowisko elektroniczne. Większe zaufanie do procesów elektronicznych będzie sprzyjać szybszemu, długoterminowemu wzrostowi gospodarczemu i społecznemu w całej UE. Jako firma, ważne jest, aby zapoznać się z eIDAS i upewnić się, że Twoja organizacja jest zgodna z przepisami.

Rozwiązanie OneSpan do podpisu elektronicznego, OneSpan Sign, obsługuje wszystkie rodzaje podpisów zgodnie z rozporządzeniem eIDAS. Dowiedz się więcej o tym, jak OneSpan Sign jest zaprojektowany, aby spełnić wymagania dotyczące podpisu elektronicznego w krajach, które wprowadziły przepisy dotyczące podpisu elektronicznego.

Aby uzyskać więcej informacji na temat prawa dotyczącego podpisu elektronicznego oraz skuteczności prawnej i wykonalności podpisu elektronicznego w transakcjach biznesowych lub w przypadku konkretnego rodzaju umowy lub kontraktu, odwiedź nasz przewodnik po legalności podpisu elektronicznego i skonsultuj się z radcą prawnym.

Skontaktuj się z nami

Skontaktuj się z jednym z naszych ekspertów ds. bezpieczeństwa, aby dowiedzieć się więcej o tym, jak nasze rozwiązania mogą pomóc w Twoich potrzebach w zakresie bezpieczeństwa cyfrowego