E-podpis europejski

Po akcesji do Unii Europejskiej polski rynek usług związanych z funkcjonowaniem podpisu elektronicznego będzie otwarty dla podmiotów z innych krajów członkowskich.

Po akcesji do Unii Europejskiej polski rynek usług związanych z funkcjonowaniem podpisu elektronicznego będzie otwarty dla podmiotów z innych krajów członkowskich.

Kwestię otwarcia reguluje art. 4 Ustawy o podpisie elektronicznym. Wskazano w nim sytuacje, w których kwalifikowany certyfikat cyfrowy wystawiony przez podmiot działający w innym państwie staje się równoważny takiemu certyfikatowi wystawianemu przez polską spółkę, posiadającą wpis do rejestru podmiotów kwalifikowanych prowadzonego przez Ministra Gospodarki.

Obywatel polski czy firma działająca w naszym kraju będzie mogła posługiwać się certyfikatem albo znacznikiem czasu wystawionym przez wystawcę certyfikatów działającego w Niemczech czy Hiszpanii. I to nie tylko do kontaktów z zagranicą, lecz również np. z polskim bankiem.

Rejestracja (nie)konieczna

Tu pojawia się podstawowa kwestia, czy podmiot zagraniczny nie będzie zobligowany do przechodzenia trudnej procedury uzyskiwania wpisu do kwalifikowanych podmiotów prowadzonego przez Ministra Gospodarki? W wielu krajach jego przyznanie jest obwarowane mniejszymi obostrzeniami niż w Polsce. W ustawie pojawiła się definicja takiego podmiotu, który ma "spełniać wymagania ustawy i została mu udzielona akredytacja w państwie członkowskim Unii Europejskiej" (art. 4 pkt. 3) lub też "[taki podmiot] udzielił gwarancji na ten certyfikat". O ile uzyskanie akredytacji nie budzi większych wątpliwości, o tyle pierwszy człon tego zapisu budzi kontrowersje i rozbieżności interpretacyjne. W komentarzu do Ustawy o podpisie elektronicznym, przygotowanym przez Jakuba Rzymowskiego i Mateusza Kamińskiego (http://www.prawokomputerowe.pl), można przeczytać, iż "nasz ustawodawca wprowadził wyższe wymagania dla uznania prawnej równoważności certyfikatów kwalifikowanych niż ustawodawca unijny". Tymczasem Dyrektywa Parlamentu Europejskiego i Rady Europy (99/93/WE) określa dość ściśle, że potrzebna jest jedynie akredytacja i spełnienie wymogów tejże dyrektywy. Dlatego autorzy komentarza konkludują, iż przyjęty w naszej ustawie zapis o konieczności spełnienia wymogów ustawy "jest niezgodny z prawem europejskim i powinien zostać znowelizowany przed uzyskaniem przez Polskę członkostwa w Unii". Ku podobnej interpretacji skłania się Konrad Borowicz, autor konkurencyjnego Komentarza ustawy o podpisie elektronicznym (wyd. Park) i urzędnicy Urzędu Komitetu Integracji Europejskiej. W generalnym założeniu to, co jest uznawane przez Unię, powinno być również przyjęte przez Polskę.

"To istotne założenie, że w Unii do prowadzenia działalności na terenie innego państwa nie jest potrzebna fizyczna obecność danej firmy, czyli nie musi mieć ona swojego lokalnego przedstawicielstwa. W świecie handlu i biznesu elektronicznego jest to tym bardziej istotne i oczywiste" - mówi Tomasz Krawczyk, radca w Departamencie Prawa Europejskiego Urzędu Komitetu Integracji Europejskiej. Wspomniany artykuł Ustawy o podpisie elektronicznym mają też inne konsekwencje. Zrównanie ważności obejmuje także inne państwa, które podpiszą z Unią stosowne umowy. Wówczas taki układ obowiązywałby również Polskę.

Bezpieczniej, czyli drożej

Rynek podpisu elektronicznego w Polsce został przeregulowany. Po naszej akcesji do Unii będzie to oczywiście działać na naszą niekorzyść. A konkretnie na niekorzyść firm świadczących usługi związane z funkcjonowaniem podpisu elektronicznego, w szczególności wystawców kwalifikowanych certyfikatów cyfrowych. Muszą one spełniać bardzo wysokie wymogi bezpieczeństwa, co oczywiście podraża koszt ich funkcjonowania. W efekcie oferowane przez nich usługi (i certyfikaty) będą niekonkurencyjne cenowo wobec podobnych usług i produktów takich firm działających w innych państwach Unii. "Pewne minimum wymogów bezpieczeństwa zostało określone w dyrektywie dotyczącej podpisu elektronicznego. Funkcjonowanie Unii opiera się na wzajemnej konkurencji poszczególnych krajów członkowskich, zaś dyrektywa ma gwarantować, że nie dojdzie do swoistego dumpingu, że zachowane będą pewne podstawowe standardy" - twierdzi Tomasz Krawczyk. W efekcie będziemy mieć bardzo bezpieczny system podpisu elektronicznego, lecz może się okazać, że polscy użytkownicy wybiorą ofertę konkurencji zagranicznej, jako tańszą. I tak bezpieczeństwo obrotu jest gwarantowane przez obowiązkowe ubezpieczenie od odpowiedzialności cywilnej.

"Błędem byłoby oczekiwać, że można zarabiać na wystawianiu certyfikatów cyfrowych. Najpierw nasza wewnętrzna, zaś potem międzynarodowa konkurencja sprawią, że ich ceny bardzo zmaleją. Ich wystawcy przychodów powinni szukać w usługach dodanych" - uważa Kazimierz Ferenc, prezes spółki Centrast, pełniącej rolę roota w systemie podpisu elektronicznego. Bez wątpienia takie usługi łatwiej będzie oferować podmiotom fizycznie obecnym na danym rynku krajowym.

Otwarcie rynku polskiego na podmioty działające w krajach Unii oczywiście nie jest jednostronne. Z chwilą akcesji również nasi wystawcy certyfikatów kwalifikowanych będą mogli oferować swoje usługi w dowolnym państwie Unii. Ze względu na dość ostre polskie wymogi ustawowe trudno będzie im konkurować ceną, możemy szczycić się wysokim poziomem bezpieczeństwa. Na razie pewne początki takiej ekspansji zdarzają się w przeciwnym kierunku - szczecińskie Unizeto stara się zaistnieć na rynku ukraińskim.

Most europejski

Przy tworzeniu rozległych systemów podpisu elektronicznego, w którym mają sprawnie funkcjonować różne infrastruktury klucza publicznego (PKI), np. z kilku państw, potrzebne są rozwiązania, które gwarantowałyby wzajemne rozpoznawanie i uznawanie certyfikatów cyfrowych. Poszczególne PKI mogą uzgadniać je między sobą, jednak przy większej liczbie uczestniczących podmiotów, staje się to kłopotliwe. Tutaj lepsze są rozwiązania z centralnym ośrodkiem, który pośredniczy między poszczególnymi PKI.

Najważniejszą europejską inicjatywą w tym zakresie jest Bridge-CA (http://www.bridge-ca.com), powołany przez Deutsche Telekom i Deutsche Bank (Niemcy jako pierwsi uchwalili rozwiązania prawne regulujące kwestie posługiwania się podpisem elektronicznym). Do Bridge-CA przystąpiło wiele firm niemieckich, niemiecka agencja rządowa ds. bezpieczeństwa informacyjnego (BSI), a także organizacje branżowe, np. TeleTrusT Deutschland e. V. Celem jest stworzenie centralnego punktu rejestracyjnego wszystkich podmiotów wykorzystujących PKI i wyjście poza granice Niemiec, obejmując wszystkie kraje UE. Bridge-CA miałby przede wszystkim połączyć systemy podpisu elektronicznego z poszczególnych państw Unii.

Jest nawet przygotowany do prowadzenia (w outsourcingu) systemów tzw. roota dla poszczególnych krajów (przykładowo oznaczałoby to, że Centrast nie musiałby utrzymywać własnej bardzo kosztowej infrastruktury, lecz korzystałby z usług Bridge-CA).

"Prowadzimy rozmowy z Komisją Europejską w Brukseli, która chciała uruchomić rozwiązanie prawie tożsame z tym, czym ma być Bridge-CA. Przystąpieniem do naszej inicjatywy na razie najbardziej zainteresowane są Holandia i, co ciekawe, niektóre państwa azjatyckie" - mówi Peter Steiert, menedżer projektu Bridge-CA.


TOP 200