Niezbędne jest porozumienie

Obecnie jednym z najważniejszych warunków rozwoju rynku usług związanych ze stosowaniem podpisu elektronicznego jest utrzymanie zgodności cyfrowych certyfikatów wystawianych przez różne instytucje i firmy.

Obecnie jednym z najważniejszych warunków rozwoju rynku usług związanych ze stosowaniem podpisu elektronicznego jest utrzymanie zgodności cyfrowych certyfikatów wystawianych przez różne instytucje i firmy.

Pięć firm, które zadeklarowały chęć świadczenia usług wystawiania kwalifikowanych cyfrowych certyfikatów, potrzebnych do uwierzytelniania podpisów elektronicznych, oczekuje na ostateczną decyzję dotyczącą organizacji tego rynku. Zgłoszenia w Ministerstwie Gospodarki złożyły już TP Internet, Polska Wytwórnia Papierów Wartościowych oraz Unizeto. Przygotowują się do tego Krajowa Izba Rozliczeniowa i e-Telbank.

Urzędnicy Ministerstwa Gospodarki narzekają co prawda na liczne błędy i braki w dotychczasowych zgłoszeniach, lecz są to zarzuty o tyle nie usprawiedliwione, że rozporządzenia ukazały się zaledwie na cztery dni przed wejściem w życie ustawy (16 sierpnia br.). "Prace nad częścią z rozporządzeń prowadzone były w ogromnym pośpiechu, co z całą pewnością nie jest najlepszym sposobem na prowadzenie procesu legislacyjnego. [...] Szanownemu czytelnikowi pozostawiamy ocenę, czy dziewięć miesięcy od opublikowania ustawy do jej wejścia w życie zostało przez wszystkich wykorzystane właściwie i efektywnie" - możemy przeczytać w biuletynie E-podpis: vademecum Polcert, dostępnym na stronach internetowych e-Telbanku.

Ministerstwo zajmuje się podpisem elektronicznym w pewnym sensie w sposób bezinwestycyjny, bowiem w tegorocznym budżecie nie przewidziano dodatkowych środków ani etatów na realizację nowych zadań ministerstwa, jakie wynikają z Ustawy o podpisie elektronicznym. Wystawcy certyfikatów narzekają na wciąż zbyt niski poziom kompetencji urzędników, co objawia się brakiem jednoznacznego i konsekwentnego stanowiska ministerstwa wobec wątpliwości zgłaszanych przez firmy.

Luki w rozporządzeniach

Zapisy zawarte w rozporządzeniach wywołały ostrą krytykę Polskiej Izby Informatyki i Telekomunikacji, której eksperci stwierdzili wprost, że nie da się ich wypełnić. Inne podmioty działające na tym rynku częściowo podzielają tę opinię, wskazując na braki i niekonsekwencje, nie pozwalają sobie jednak na tak daleko idącą krytykę. "Nie można wciąż dyskutować z obowiązującymi rozporządzeniami. Trzeba postarać się spełnić ich wymogi" - uważa Elżbieta Włodarczyk z Krajowej Izby Rozliczeniowej.

Do tej pory ukazały się jedynie te rozporządzenia, które były bezwzględnie konieczne do rozpoczęcia działalności przez wystawców cyfrowych certyfikatów kwalifikowanych, reszta czeka dopiero na opracowanie. Ponadto zespół ekspertów, działający przy ministrze gospodarki, którego zadaniem było opracowanie rozporządzeń, od sierpnia br. zajmuje się kwestią wydawania zezwoleń dla wystawców.

Rozwojowi polskiego rynku usług związanych z podpisem elektronicznym zagraża jednak znacznie poważniejsze niebezpieczeństwo niż ciągłe opóźnienia w przygotowaniu rozporządzeń czy ich niedoskonałość. Na niebezpieczeństwo to zwrócono uwagę w trakcie dyskusji, która miała miejsce podczas II Europejskiego Forum Podpisu Elektronicznego w Międzyzdrojach zorganizowanego przez szczecińskie Unizeto. Chodzi o zachowanie pełnej zgodności między certyfikatami wystawianymi przez poszczególne firmy, tak aby uniknąć powstawania swego rodzaju monopoli sektorów, systemów czy instytucji obsługiwanych przez konkretnego wystawcę, lecz by posiadanie jednego certyfikatu wystarczało do wszelkich kontaktów, w których wymagane jest posługiwanie się podpisem elektronicznym. "Stosowanie bezpiecznego podpisu elektronicznego będzie miało sens wtedy, gdy powstaną aplikacje, które go obsługują i jego potrzebują. Stanie się to jednak dopiero wtedy, gdy ich producenci zyskają pewność, że trzeba je wykonać w taki, a nie inny sposób" - wyjaśnia Andrzej Ruciński, dyrektor ds. technicznych w Unizeto.

Istnieją co prawda rozporządzenia dotyczące kwestii technicznych, odwołujące się do międzynarodowych norm, lecz to może nie wystarczyć. "Potrzebna jest interpretacja tych standardów, czyli wykładnia jak dokładnie należy rozumieć dane sformułowanie, jaką zawartość powinno mieć konkretne pole w rekordzie danych. W standardach czasem pewne elementy pozostają nie doprecyzowane" - wyjaśnia Piotr Popis, zastępca naczelnika w Departamencie Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego, członek zespołu powołanego przez ministra gospodarki. Chodzi o utworzenie tzw. profilu, czyli dokumentu jednoznacznie wyjaśniającego wszystkie wątpliwości i zakres dowolności w interpretacji. Ma być on napisany w "języku informatycznym", bowiem jego głównym adresatem powinni być dostawcy technologii.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200