Co to są usługi zaufania

Usługi zaufania
Spis treści
  1. 1.Definicja usług zaufania według eIDAS
  2. 2. Kwalifikowany dostawca usług zaufania (QTSP)
  3. 3. Co to jest podpis cyfrowy?
  4. 4. Czym różni się „zwykła” usługa zaufania od „kwalifikowanej” usługi zaufania?

1.Definicja usług zaufania według eIDAS

Poniżej znajdziesz oficjalną definicję usług zaufania zawartą w art. 3 pkt 16 rozporządzenia eIDAS (tj. Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w transakcjach elektronicznych na rynku wewnętrznym):

„usługa zaufania” oznacza usługę elektroniczną świadczoną zwykle za wynagrodzeniem, polegającą na:
a) tworzeniu, weryfikacji i walidacji podpisów elektronicznych, pieczęci elektronicznych lub elektronicznych znaczników czasu, usług elektronicznego doręczenia rejestrowanego oraz certyfikatów związanych z tymi usługami, lub
b) tworzeniu, weryfikacji i walidacji certyfikatów uwierzytelniania stron internetowych, lub
c) przechowywaniu podpisów elektronicznych, pieczęci elektronicznych lub certyfikatów związanych z tymi usługami,
przy czym wszystkie te czynności odbywają się w sposób zapewniający odpowiedni poziom bezpieczeństwa i zaufania.

1.1. Kluczowe elementy definicji usługi zaufania

  1. Elektroniczny charakter usługi
    Usługi zaufania dotyczą wyłącznie sfery elektronicznej (np. podpisy, pieczęcie, znaczniki czasu, certyfikaty do uwierzytelniania witryn itp.).
  2. Profesjonalne świadczenie
    Rozporządzenie wskazuje, że usługi zaufania są zazwyczaj świadczone „za wynagrodzeniem” przez wyspecjalizowane podmioty (tzw. dostawców usług zaufania).
  3. Odpowiedni poziom bezpieczeństwa
    Dostawca musi spełniać określone wymogi techniczne i organizacyjne, by chronić integralność, autentyczność i poufność danych.
  4. Znaczenie w obrocie prawnym
    Usługi zaufania umożliwiają weryfikację tożsamości stron, czasu i integralności dokumentów elektronicznych w sposób uznawany w całej Unii Europejskiej.

1.2. Usługi zaufania kwalifikowane i niekwalifikowane

  • Rozporządzenie eIDAS wyróżnia również kwalifikowane usługi zaufania, które spełniają najbardziej rygorystyczne kryteria (techniczne i proceduralne) i są świadczone przez kwalifikowanych dostawców usług zaufania (QTSP).
  • Usługi „niekwalifikowane” (zwykłe) mogą pełnić podobną rolę, ale nie posiadają automatycznie skutków prawnych równoważnych z tymi, jakie przysługują usługom kwalifikowanym (np. kwalifikowanemu podpisowi elektronicznemu).

W praktyce do usług zaufania według eIDAS zaliczamy m.in.:

  • tworzenie, weryfikację i walidację podpisów elektronicznych,
  • tworzenie, weryfikację i walidację pieczęci elektronicznych,
  • tworzenie, weryfikację i walidację elektronicznych znaczników czasu,
  • usługi elektronicznego doręczenia rejestrowanego (rejestrowana przesyłka elektroniczna),
  • certyfikaty uwierzytelniania stron internetowych,
  • usługi przechowywania i długoterminowej walidacji podpisów/pieczęci.

Każda z tych usług — o ile spełnia wymogi kwalifikowane — jest uznawana we wszystkich państwach członkowskich UE i pozwala na bezpieczne oraz prawnie wiążące transakcje w obrocie elektronicznym.

2. Kwalifikowany dostawca usług zaufania (QTSP)

W ramach rozporządzenia eIDAS (UE nr 910/2014) każde państwo członkowskie UE ma obowiązek wyznaczyć krajowy organ nadzorczy (national supervisory body) odpowiedzialny za:

  1. Weryfikację, czy dany dostawca usług zaufania spełnia wymogi techniczne, proceduralne i organizacyjne, aby uzyskać status kwalifikowanego dostawcy usług zaufania (QTSP).
  2. Nadzór i kontrolę nad podmiotami, które już uzyskały status QTSP, w celu utrzymania przez nie ciągłej zgodności z wymogami eIDAS.

2.1. Kto nadaje status kwalifikowanego dostawcy usług zaufania?

  • Krajowy organ nadzorczy (w Polsce jest to minister właściwy ds. informatyzacji, czyli obecnie Minister Cyfryzacji) powołuje lub uznaje tzw. jednostki oceniające zgodność (conformity assessment bodies).
  • Dostawca usług zaufania chcący uzyskać status „kwalifikowany” musi przejść audyt przeprowadzony przez akredytowaną jednostkę oceniającą zgodność.

Na podstawie raportu z takiego audytu:

  1. Jednostka oceniająca zgodność potwierdza, czy spełnione zostały wymogi eIDAS i standardów ETSI (w odniesieniu do odpowiedniego rodzaju usług zaufania).
  2. Krajowy organ nadzorczy, po przeanalizowaniu wyników audytu, wydaje decyzję o wpisie dostawcy na krajową listę QTSP (tzw. „trusted list”). Od tego momentu dostawca jest oficjalnie uznawany za kwalifikowanego w całej UE.

2.2. Jak wygląda kontrola i nadzór w czasie świadczenia usług?

Działalność dostawców usług kwalifikowanych jest kontrolowana przez Ministerstwo Cyfryzacji oraz Narodowe Centrum Certyfikacji, w skrócie NCCert.

2.2.1. Cykliczne audyty (obowiązkowe)

  • eIDAS wymaga, aby kwalifikowani dostawcy usług zaufania co najmniej co 24 miesiące przechodzili ponowny audyt.
  • Audyt ten ponownie weryfikuje, czy dostawca w dalszym ciągu utrzymuje infrastrukturę i procedury zgodnie z wymogami rozporządzenia eIDAS i norm technicznych.
  • Raport z audytu trafia do organu nadzorczego; jeśli dostawca nadal spełnia wszystkie wymogi, zachowuje status QTSP.

2.2.2. Kontrole doraźne (w razie potrzeby)

  • Organ nadzorczy może podjąć nadzwyczajną kontrolę (np. gdy otrzyma powiadomienie o incydencie bezpieczeństwa lub o istotnej zmianie w systemach QTSP).
  • W takiej sytuacji może wezwać dostawcę do przedstawienia dodatkowych wyjaśnień, dokumentacji, a nawet przeprowadzić dodatkową ocenę zgodności z udziałem akredytowanej jednostki oceniającej.

2.2.3. Sankcje i utrata statusu

  • Jeśli w wyniku audytu lub kontroli doraźnej okaże się, że dostawca usług zaufania nie spełnia wymogów (np. stosuje niewystarczające zabezpieczenia, nie eliminuje wskazanych nieprawidłowości), organ nadzorczy może:
    • nakazać usunięcie stwierdzonych niezgodności w określonym terminie,
    • zawiesić lub cofnąć status QTSP, co wiąże się z wykreśleniem z krajowej listy zaufania.

3. Co to jest podpis cyfrowy?

W dużym uproszczeniu:

  • „Podpis cyfrowy” – pojęcie bardziej techniczne (rodzaj rozwiązania kryptograficznego).
  • „Podpis elektroniczny” (w tym kwalifikowany) – pojęcie prawne, regulowane przez eIDAS; wykorzystuje mechanizmy „podpisu cyfrowego” w rozumieniu technicznym, ale dodatkowo musi spełniać określone wymogi formalno-prawne, by nabyć konkretną moc prawną.

Podpis cyfrowy (digital signature) jest często używany jako pojęcie techniczne, opisujące szeroko rozumiany kryptograficzny sposób uwierzytelniania dokumentów lub danych. W praktyce, „podpis cyfrowy” bywa utożsamiany z „podpisem elektronicznym”, jednak w kontekście prawnym (np. pod rozporządzeniem eIDAS) kluczową kategorią jest właśnie podpis elektroniczny – przy czym może on być:

  • zwykłym podpisem elektronicznym,
  • zaawansowanym podpisem elektronicznym (np. wykorzystującym certyfikaty i spełniającym określone wymogi techniczne),
  • kwalifikowanym podpisem elektronicznym (czyli spełniającym najsurowsze kryteria prawne i techniczne, uznawanym za równoważny podpisowi własnoręcznemu).

Z perspektywy eIDAS, „podpis cyfrowy” nie jest osobną kategorią prawną obok np. pieczęci elektronicznej czy znacznika czasu – jest natomiast ogólnym terminem opisującym kryptograficzny mechanizm autoryzacji lub uwierzytelnienia. Aby podpis cyfrowy miał konkretną moc prawną (np. był traktowany jak kwalifikowany podpis elektroniczny), musi on spełniać wymogi określone w przepisach.

4. Czym różni się „zwykła” usługa zaufania od „kwalifikowanej” usługi zaufania?

W najbardziej ogólnym ujęciu:

  • „Zwykła” usługa zaufania (nazywana też niekwalifikowaną) to usługa, która nie spełnia określonych w eIDAS (oraz przepisach krajowych) rygorystycznych norm technicznych i proceduralnych. Może oferować podobne funkcjonalności jak usługa kwalifikowana (np. pieczęć, podpis elektroniczny, znacznik czasu), ale nie ma automatycznie przyznanych w całej Unii Europejskiej skutków prawnych takich, jakie przysługują usługom kwalifikowanym.
  • „Kwalifikowana” usługa zaufania spełnia najwyższe standardy określone w rozporządzeniu eIDAS oraz w prawodawstwie krajowym:
    • Jej dostawca (tzw. Kwalifikowany Dostawca Usług Zaufania) uzyskał oficjalną akredytację i jest pod stałym nadzorem właściwego organu.
    • Posiada ściśle zdefiniowane procedury bezpieczeństwa, w tym odpowiednie zabezpieczenia infrastruktury i oprogramowania.
    • Dokumenty (lub dane) opatrzone kwalifikowanymi usługami zaufania korzystają z domniemania ważności i mocy prawnej w całej Unii Europejskiej, co ułatwia wzajemne uznawanie ich skutków (np. kwalifikowany podpis elektroniczny jest prawnie równoważny z podpisem własnoręcznym).

W praktyce oznacza to, że:

  1. Kwalifikowana usługa zapewnia wyższy poziom bezpieczeństwa i wymaga spełnienia surowszych przepisów (technicznych, organizacyjnych, proceduralnych).
  2. Dokument lub transakcja objęta kwalifikowaną usługą zaufania otrzymuje ustawowe domniemanie zgodności z prawem i silniejszą ochronę prawną w całej Unii Europejskiej, co nie zawsze ma miejsce w przypadku usług „zwykłych”.

Powiązane posty

Scroll to Top