SLUŽBY DŮVĚRY

Kvalifikovaní a nekvalifikovaní poskytovatelé služeb vytvářejících důvěru

Revize nařízení eIDAS[1], často označovaná jako eIDAS 2.0, je spojena především s Evropskou peněženkou digitální identity (EDIW). Stranou pozornosti by však neměly zůstat další změny, včetně stanovení požadavků na nekvalifikované poskytovatele služeb vytvářejících důvěru (čl. 19a). Pokud jde o typy služeb, může nekvalifikovaný poskytovatel nabízet totožné služby jako kvalifikovaný, pouze výstupy – certifikáty, časová razítka a služby s nimi související – nemohou nést označení „kvalifikovaný“.

Na konkrétním příkladu je možné ukázat rozdíl – nařízení eIDAS v původní i revidované verzi stanoví, že pouze:

kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu;
kvalifikovaný elektronický podpis založený na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaný elektronický podpis ve všech ostatních členských státech.

Při rozhodování, zda použít služby kvalifikovaného, nebo nekvalifikovaného poskytovatele, je nutné vzít v úvahu i požadavky národní legislativy. Ve zkratce – u nás platí, že při komunikaci, kdy nejméně jedním z komunikujících je orgán veřejné moci a kdy se jedná o úkon či právní jednání, je nutné použít kvalifikovaný certifikát.

Pokud se jedná o odpovědnost za škodu a důkazní břemeno, požadavky zůstávají v revidovaném eIDAS stejné. Důkazní břemeno, pokud jde o úmysl nebo nedbalost nekvalifikovaného poskytovatele služeb vytvářejících důvěru, nese fyzická nebo právnická osoba uplatňující nárok na náhradu škody. V případě kvalifikovaného poskytovatele služeb vytvářejících důvěru je to naopak, úmysl nebo nedbalost se předpokládá, pokud daný kvalifikovaný poskytovatel služeb vytvářejících důvěru neprokáže, že újma nastala bez jeho úmyslu nebo nedbalosti. Ve zkratce – v případě nekvalifikovaného poskytovatele musí ten, kdo se od něj domáhá náhrady škody, předložit důkaz o pochybení sám, a to může být poměrně obtížné. Kvalifikovaný poskytovatel naopak musí sám předložit důkaz, že ve smyslu eIDAS nepochybil.

Je možné zmínit další odlišnosti v požadavcích na kvalifikované a nekvalifikované poskytovatele. Kvalifikovaní musí před zahájením poskytování služby oznámit orgánu dohledu svůj úmysl spolu s předložením zprávy o posouzení shody vydanou subjektem posuzování shody, která potvrzuje splnění všech stanovených požadavků. Do celkového posuzování může být zapojen i subjekt s kompetencí posuzování splnění požadavků podle směrnice NIS2. Teprve pak může být udělen kvalifikovaný statut. Následně se kvalifikovaný poskytovatel musí na vlastní náklady alespoň jednou za 24 měsíců podrobit auditu ze strany subjektu posuzování shody a zprávu předložit orgánu dohledu. O plánovaných auditech musí informovat dohledový orgán předem a umožnit mu účast při jejich provedení. Nad tento rámec se musí podrobit auditu kdykoliv si to orgán dohledu vyžádá, a to na vlastní náklady.

Naopak nekvalifikovaný poskytovatel svůj úmysl neohlašuje, povinnost pravidelných auditů se na něj nevztahuje a orgán dohledu vykoná kontrolní akci jen v odůvodněných případech, nikoliv pouze z vlastní iniciativy.

Pokud jde o rozhodování, zda se stát kvalifikovaným či nekvalifikovaným poskytovatelem, může sehrát negativní roli skutečnost, že revidované znění eIDAS stanoví, že „do 21. května 2025(sic!) stanoví Komise prostřednictvím prováděcích aktů seznam referenčních norem a v případě potřeby stanoví specifikace a postupy“ vztahující se k nekvalifikovaným poskytovatelům. Oba typy poskytovatelů tedy nebudou muset plnit stejné normy, resp. stejný rozsah norem.

Ještě méně jasno je ve vztahu ke směrnici NIS2, tj. celoevropské směrnici o kybernetické bezpečnosti. Jisté je, že se vztahuje na oba typy poskytovatelů. Návrh prováděcího předpisu nerozlišuje kvalifikované a nekvalifikované poskytovatele, pro všechny stanoví stejné povinnosti. Naskýtá se otázka, proč nedat přednost tomu působit jako kvalifikovaný poskytovatel. Samozřejmě bezpečnost vždy něco stojí a budou-li mít nekvalifikovaní poskytovatelé stejné povinnosti a budou tedy nuceni vynaložit stejné prostředky pro jejich naplnění, ztratí i jednu z mála výhod – jejich služby bývají pro uživatele o něco levnější. Z hlediska kvalifikovaných poskytovatelů se zesílí dohled, kromě orgánu dohledu nad kvalifikovanými poskytovateli bude uplatněn i dohled stanovený NIS2. V našich podmínkách to budou Digitální a informační agentura (jako dosud) a nově rovněž NUKIB.

Pojem „nekvalifikovaný“ by však neměl evokovat představu, že poskytovatel nedosáhl potřebné kvalifikace či úrovně, je tedy „méně dobrý“, sportovní terminologií nekvalifikoval se. Tak tomu není, poskytovatel se sám rozhoduje, zda má v úmyslu – a odpovídá to jeho obchodním zájmům – stát se kvalifikovaným. Může například poskytovat služby takovému segmentu trhu, kde kvalifikované služby nejsou vyžadovány. A jak se potenciální zájemce dozví, zda se jedná o kvalifikovaného poskytovatele/kvalifikovanou službu? V každém případě z jeho Certifikační politiky, v případě kvalifikovaných pak ze seznamu, který zveřejňuje DIA, a webových stránek EK nazvaných eIDAS Dashboard. Nekvalifikovaní poskytovatelé v těchto seznamech být mohou, ale nemusí. Kvalifikovaní mohou používat tzv. značku důvěry, s platností v celé EU.

Závěrem je možné citovat z webových stránek Evropské komise: „Z právního hlediska mají kvalifikované i nekvalifikované služby vytvářející důvěru výhodu z nediskriminační doložky jako důkazu u soudů. Jinými slovy, služby vytvářející důvěru nelze v soudním řízení odmítnout pouze na základě toho, že jsou v elektronické podobě, nebo proto, že nejsou kvalifikované.

Vzhledem k přísnějším požadavkům na kvalifikované poskytovatele služeb vytvářejících důvěru však mají kvalifikované služby silnější konkrétní právní účinek než nekvalifikované, a také vyšší technické zabezpečení. Kvalifikovaný elektronický podpis má stejný právní účinek jako vlastnoručně psaný podpis. U kvalifikované elektronické pečeti platí presumpce integrity dat a správnosti původu těch dat, ke kterým je kvalifikovaná elektronická pečeť připojena. Kvalifikované elektronické potvrzení atributů a elektronické potvrzení atributů vydané orgánem veřejného sektoru odpovědným za autentický zdroj, nebo jeho jménem, má stejný právní účinek jako zákonně vydané potvrzení v listinné podobě. Kvalifikované služby tak poskytují vyšší právní jistotu a vyšší bezpečnost elektronických transakcí.“

Dagmar Bosáková

První certifikační autorita, a.s.

ICA

[1] Nařízení Evropského parlamentu, kterým se mění nařízení (EU) č. 910/2014, pokud jde o zřízení evropského rámce pro digitální identitu. Dostupné na https://eur-lex.europa.eu/ .

18.1.	STUDIO EG - KYBEZ
30.1.	JIHLAVA - VÝZVY
21.3.	eOSOBNOST
30.4.	STUDIO EG - KYBEZ
6.6.	STUDIO EG - eDOKLADY
12.-14.6.	ROK INFORMATIKY
27.8.	BIM -DATOVÝ SLOVNÍK
2-4. 9.	MIKULOV
5.11.	STUDIO EG-SPISOVKY
25.11.	BEAUJOLAIS NOUVEAU
25.11.	EGOVERNMENT THE BEST

Kvalifikovaní a nekvalifikovaní poskytovatelé služeb vytvářejících důvěru

EG - 2/2024