W przypadku drugiej kategorii "oprogramowanie podpisujące stosowane przy składaniu bezpiecznych podpisów elektronicznych" - zgodnie z ustawą - "powinno posiadać deklarację zgodności, zgodną z normą, o której mowa w ¤ 49 ust. 1 pkt 6" (tzn. z PN-EN 45014 - Ogólne kryteria deklaracji zgodności składanej przez dostawcę). Zgodnie z tą normą "deklaracja zgodności składana przez dostawcę" jest "własnym oświadczeniem o zgodności z normami technicznymi lub przepisami prawa". W tej deklaracji są identyfikowane zarówno podmiot, który deklarację zgodności składa, jak i podmiot odpowiedzialny za zgodność samego wyrobu, co jednocześnie stanowi także wskazanie odpowiedzialności obu podmiotów za zgodność (zazwyczaj dostawca i producent to jeden i ten sam podmiot).

Zgodnie z normą PN-EN 45014 wydanie deklaracji jest uwarunkowane przetestowaniem wyrobu. Testy mogą być przeprowadzone przez stronę pierwszą (czyli wydawcę deklaracji), stronę drugą (np. odbiorcę) lub stronę trzecią (np. niezależne laboratorium). Samo testowanie powinno obejmować określenie cech wyrobu, które podlegają testowaniu, oraz ocenę, czy i w jakim zakresie testowanie poszczególnych cech potwierdza zgodność z określonymi wymaganiami.

Z tych zapisów można wyciągnąć wniosek, że od strony formalnej wydanie deklaracji zgodności nie jest sprawą nadzwyczaj skomplikowaną.

Wreszcie trzecim elementem, do którego wprost odnoszą się wymagania zapisane w przywoływanym wielokrotnie rozporządzeniu, jest bezpieczne urządzenie do składania podpisów elektronicznych traktowane jako całość. Dotyczy to szczególnie wymagań odnoszących się do zapewnienia integralności danych przekazywanych do komponentu technicznego oraz niszczenia danych służących do składania danych na żądanie podpisującego lub podmiotu świadczącego usługi certyfikacyjne.

Badania muszą obejmować zarówno cechy poszczególnych elementów (komponentu technicznego i oprogramowania podpisującego), jak i całego urządzenia. Niektórzy uważają, że ocena zgodności dla urządzeń do podpisu elektronicznego może być ograniczona do wydania deklaracji zgodności dla tego urządzenia, zgodnej z PN-EN 45014. Opierając się na zasadach wydawania ocen zgodności w krajach UE (przytoczone za wspomnianą Decyzją Komisji z listopada 2000 r.), a także ze względu na fakt, że wymagania rozporządzenia RM dotyczą zarówno całego urządzenia, jak i elementów składowych, oraz że lista wyrobów, które muszą mieć deklarację zgodności, nie obejmuje urządzeń definiowanych w Ustawie o podpisie elektronicznym i stosownym rozporządzeniu, trudno taką tezę merytorycznie uzasadnić. Co więcej, z Decyzji Komisji wynika zakaz samooceny zgodności tych urządzeń przez ich producentów czy dystrybutorów, a także przez podmioty świadczące usługi certyfikacyjne.

Potrzeba nowelizacji

W tym kontekście należałoby się odnieść do listy dostępnych bezpiecznych urządzeń, na którą powołała się Elżbieta Włodarczyk, autorka artykułu opublikowanego w Computerworld z 24 listopada ub.r., na dowód istnienia w Polsce bezpiecznego urządzenia do składania podpisów elektronicznych. Listę tę można znaleźć na stronie Centrum Zaufania i Certyfikacji Centrast SA.

Brakuje na niej jakichkolwiek urządzeń do składania podpisów elektronicznych. Jedyna pozycja, umieszczona tam wiele miesięcy temu, to system sprzętowo-programowy, którego podstawową funkcją jest wydawanie certyfikatów, obejmujące m.in. podpisywanie (poświadczanie elektroniczne) tychże. Kwalifikowanie tego systemu jako urządzenia do składania podpisów elektronicznych jest - łagodnie mówiąc - nieporozumieniem. Oferta cenowa takiego urządzenia z całą pewnością zszokowałaby każdego użytkownika Internetu.

Jeśli jednak optymistycznie założyć, że w Polsce ruszy wreszcie system niezależnej oceny zgodności bezpiecznych urządzeń do składania podpisów elektronicznych, co pozwoliłoby zaoferować je użytkownikom zgodnie z przepisami prawa, to w momencie wejścia Polski do Unii Europejskiej wszystkie urządzenia uznane w jakimkolwiek kraju Wspólnoty za zgodne z dyrektywą uzyskają automatycznie taki status w Polsce, brak zgodności polskich rozwiązań z dyrektywą będzie natomiast barierą nie do pokonania dla naszych urządzeń w Unii. Takie warunki konkurencji zapewnia polskim podmiotom ustawodawca na kilka miesięcy przed datą wejścia do UE.

Mamy jeszcze trochę czasu do maja. Nowelizacja Ustawy o podpisie elektronicznym, niezbędna z wielu powodów, powinna odnieść się także do problemu bezpiecznego urządzenia do składania podpisów elektronicznych.

Dr inż. Elżbieta Andrukiewicz jest dyrektorem Wydziału Bezpieczeństwa w spółce Energo-Tel i ekspertem ISO/IEC JTC1/SC27. Przedstawione w niniejszym artykule opinie nie wyrażają oficjalnego stanowiska któregokolwiek z podmiotów świadczących usługi certyfikacyjne.