Postanowienia dyrektywy będą musiały znaleźć odzwierciedlenie w polskich regulacjach, więc na razie wstrzymane zostały prace nad nowelizacją naszej krajowej ustawy.

Ministerstwo Gospodarki jeszcze w ubiegłym roku podczas polskiej prezydencji w Unii Europejskiej przeprowadziło konsultacje, które miały odpowiedzieć na pytanie, co powinno się zmienić w nowelizowanej dyrektywie. Uczestnicy zorganizowanej w listopadzie 2011 r. przez ministerstwo konferencji wskazywali, że dyrektywa powinna wprowadzić jasne regulacje dotyczące podpisów osób prawnych, znakowania czasem i usług powiązanych z podpisem elektronicznym.

Potrzebne definicje i zabezpieczenia

16 marca 2012 r. doszło do spotkania ekspertów Komisji Europejskiej, którzy przygotowują nowelizację dyrektywy, z przedstawicielami Polski. Polska domagała się wprowadzenia zaawansowanych zabezpieczeń podpisu elektronicznego z wykorzystaniem kluczy kryptograficznych - publicznego i prywatnego. Dzięki temu można by uniknąć mechanizmu tzw. wyłącznej kontroli, który przyporządkowuje dane potrzebne do złożenia podpisu elektronicznego do konkretnej osoby. Wprowadzenie wyłącznej kontroli tworzyłoby problemy dla podmiotów wprowadzających różnego rodzaju podpisy typu server side, w tym mobilne podpisy elektroniczne, które przechowują potrzebne dane do składania podpisu, w celu późniejszego wykorzystania.

Przedstawiciele Komisji Europejskiej zgodzili się na przeanalizowanie pojęcia wyłącznej kontroli w odniesieniu do bezpiecznego podpisu. Komisja zwróciła jednak uwagę na niewielką liczbę informacji na temat zaufanego profilu i podpisu składanego przy zastosowaniu rozwiązania.

W trakcie rozmów poruszano też kwestie wyraźnego zdefiniowania rodzajów podpisów i określenia ich skutków prawnych. "Wydaje się, że za brakiem zdefiniowania skutków prawnych dla niektórych rodzajów podpisów elektronicznych kryło się założenie, że strony same przewidzą umownie określone skutki prawne. Zdecydowanie łatwiej stronom dostosować się do przepisów powszechnie obowiązujących, niż samemu formułować treść takich umów" - mówią przedstawiciele polskiego rządu.

Strona polska proponuje, aby wraz z e-podpisami uregulować kwestie ich skutków prawnych nie tylko dla osób cywilnych, ale i prawnych oraz wprowadzić pieczęć elektroniczną - narzędzie do automatyzacji procesu składania oświadczeń, zaświadczeń, faktur czy korespondencji. KE nie widzi powodu do odrębnego regulowania skutków podpisu elektronicznego osób prawnych, jeśli zaś chodzi o pieczęć elektroniczną, rozważy możliwość regulacji w tym zakresie na poziomie europejskim.

Podpis zwykły i kwalifikowany

W odniesieniu do propozycji wyraźnego podziału, który rozróżniałby dostawców e-podpisu zwykłego i kwalifikowanego, KE dostrzega potrzebę zapewnienia przejrzystości rynku. Polska zwróciła uwagę na możliwość nałożenia na usługodawców kwalifikowanych dodatkowych wymagań, związanych np. z zapewnieniem usług OCSP (Serwer OCSP odpowiada, czy certyfikat nie znajduje się w danej chwili w rejestrze certyfikatów unieważnionych bądź zawieszonych), korzystaniem z list usług certyfikacyjnych TSL czy zapewnieniem odpowiedniej jakości usług. Kwestia powinna zostać rozwiązana poprzez odróżnienie podmiotów, które świadczą usługi certyfikacyjne poza akredytacją i nadzorem.

Polska wskazała wątpliwości, jakie mogą występować wobec braku definicji usług świadczonych to the public. Pojęcie to wskazuje obecnie na istnienie trzeciej kategorii usługodawców o charakterze zamkniętym. Komisja Europejska stwierdziła, że dostrzega potrzebę zróżnicowania wymagań w odniesieniu do podmiotów zwykłych i kwalifikowanych, a zwrot to the public zostanie usunięty z projektowanej regulacji.

Będą kolejne regulacje

KE przychylnie odniosła się do polskiej propozycji wprowadzenia elektronicznych form nadzoru nad jednostkami certyfikującymi e-podpisy, co jednak będzie miało swój wyraz najprawdopodobniej w odrębnym akcie poświęconym nadzorowi. Polska przedstawiła problem związany z utrudnioną możliwością nadzoru podmiotów świadczących usługi certyfikacyjne, z uwagi m.in. na wprowadzane ograniczenia w zakresie czasu trwania kontroli w podmiotach kwalifikowanych. Wyniki konsultacji społecznych oraz zalecenia Komisji Europejskiej wskazują na konieczność zapewnienia efektywnego nadzoru w związku z ostatnimi atakami na urzędy certyfikacji Comodo oraz DigiNotar. Zapewnienie zdalnego dostępu do dokumentacji związanej ze świadczeniem usług certyfikacyjnych oraz zapisów audytowych w sposób ciągły pozwoli lepiej monitorować działalności podmiotów świadczących usługi certyfikacyjne.

KE sygnalizowała wcześniej zamiar przeniesienia rozwiązań wypracowanych wokół dyrektywy o usługach na rynku wewnętrznym, w szczególności referencyjnych formatów podpisu elektronicznego i list TSL, do kolejnych dyrektyw w sprawie elektronicznych zamówień publicznych oraz uznawania kwalifikacji zawodowych. Dlatego Polska wystąpiła o przeniesienie tego dorobku także do dyrektywy w sprawie e-podpisu.

Polska zgłosiła także potrzebę wydania rozporządzenia do dyrektywy 1999/93/WE, które miałoby nałożyć na państwa obowiązek wprowadzenia uregulowań niezbędnych do zapewnienia interoperacyjności e-podpisów, w tym formatów referencyjnych oraz specyfikacji dla systemu europejskich list TSL. KE przychyliła się do tej propozycji.