Transcript ettekanne
ettepanek EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul Peeter Pikka Majandus- ja kommunikatsiooniministeerium Riigi infosüsteemide osakond Läänemere konverents 08.11.2012 Teemad • • • • Uue määruse vajadus ja taust Määruse ulatus e-identimine Usaldusteenused (e-allkiri, e-tempel, …) • • • • • Üldsätted Järelevalve Mõju Eesti e-teenustele, ID kaardile ja usaldusteenustele Ülevaade liimesriikide esialgsetest seisukohtadest Küsimused … Uue määruse vajadus ja taust • eesmärk – ettevõtjate, kodanike ja avaliku sektori asutuste vahelise turvalise ja tõrgeteta elektroonilise suhtluse võimaldamine, et suurendada tõhusust • Euroopa digitaalarengu tegevuskava • Ühtse turu akti • Stabiilsus- ja majanduskasvu tegevuskava Uue määruse vajadus ja taust • • Direktiiv 1999/93/EÜ „elektroonilisi allkirju käsitleva ühenduse raamistiku kohta“ ei taga seatud eesmärke Komisjoni poolt läbiviidud analüüsi tulemus: 1. 2. 3. 4. • õiguskindluse suurendamine riikliku järelevalve koordineerimise edendamine e-identimise süsteemide vastastikuse tunnustamise ja aktsepteerimise tagamine oluliste usaldusteenuste kaasamine Määrus (mitte direktiiv) ja alamaktid (et käia ajaga kaasas) Uue määruse vajadus ja taust Määruse ulatus • Sätestatakse tingimused, mille alusel peavad liikmesriigid tunnustama ja aktsepteerima isikute e-identimise vahendeid • Õigusraamistik usaldusteenuste kohta: • • e-allkiri, e-tempel, e-ajatempel, e-dokument, e-andmevahetusteenus ja veebisaitide autentimine Ei kohaldata vabatahtlikul kokkuleppel põhinevate eraõiguslike elektrooniliste usaldusteenuste osutamise suhtes e-identimine • • • Protsess, mille käigus kasutatakse elektroonilisi isikutuvastamisandmeid, mis esindavad üheselt mõistetavalt üht füüsilist või juriidilist isikut Autentimine - e-identimise või elektrooniliste andmete päritolu ja tervikluse valideerimine Peab teenusele juurdepääsuks tunnustama ja aktsepteerima igat teises liikmesriigis väljastatud e-identimise vahendit, mis on teavitatud tingimustel: • • • • • väljastatud liikmesriigi poolt, nimel või vastutusel saab kasutada avalikele teenustele juurdepääsuks üheselt mõistetavalt omistada füüsilisele või juriidilisele isikule liikmesriik tagab tasuta internetipõhise autentimise võimaluse teavitav liikmesriik on vastutav (liability) isikutuvastamisandmete üheselt mõistetava omistamise e-identimine • Teavitamine: • • • • • süsteemi kirjeldus vastutavad asutused kes haldab isikutuvastamisandmete registreerimist autentimisvõimaluse kirjeldus identimissüsteemi, autentimisvõimaluse või asjaomase ohustatud osa peatamise või tühistamise kord e-identimine • Koordineerimine: • et tagada teavitatud süsteemi kuuluvate e-identimise vahendite koostalitlus ja suurendada nende turvalisust • Rakendusaktid koostöö hõlbustamiseks eesmärgiga edendada usalduse ja turvalisuse kõrget taset, mis vastab riski astmele Usaldusteenused - Üldsätted • Vastutus • • • • Kolmandatest riikidest pärit kvalifitseeritud usaldusteenuste osutajad Andmetöötlus ja –kaitse • • • • Usaldusteenuse ja kvalifitseeritud usaldusteenuse osutaja vastutab füüsilisele või juriidilisele isikule põhjustatud mis tahes otsese kahju eest, … UT pakkuja tagab meetmetega riski astmele vastav turvalisuse tase kooskõlas direktiiviga 95/46/EÜ (üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta) minimaalse andmehulga nõue andmete konfidentsiaalsuse ja tervikluse tagamine Puuetega inimeste takistusteta juurdepääs Usaldusteenused - Järelevalve • Liikmesriigid määravad asjakohase asutuse • Järelevalveasutus • • teostada järelevalvet usaldusteenuse osutajate üle ja kvalifitseeritud usaldusteenuse osutajate ja nende osutatavate kvalifitseeritud usaldusteenuste üle Iga-aastana aruanne turvaintsidentidest ja kasutusstatistikast • Kohustuslik järelevalveasutuste vastastikune abi • võib keelduda kui ei ole taotlusega tegelemiseks pädev Usaldusteenused - Järelevalve • Usaldusteenuse osutajate suhtes kohaldatavad turvanõuded • • Võib esitada aruande turvakontrolli kohta Teavitama infoturbe eest vastutavat pädevat riiklikku asutust ja muid asjaomaseid kolmandaid isikuid .. igast turvarikkumisest või tervikluse kaost (ENISA’t kui intsident hõlmab mitut riiki). Usaldusteenused - Järelevalve • Kvalifitseeritud usaldusteenuse osutajate järelevalve • • sõltumatu asutus kontrollib kvalifitseeritud usaldusteenuse osutajaid kord aastas õigus anda kvalifitseeritud usaldusteenuse osutajatele siduvaid suuniseid • Kvalifitseeritud usaldusteenuse osutamise alustamine • • turvakontrolli aruande esitamine usaldusnimekirjadesse kandmine Usaldusteenused - Järelevalve • Nõuded kvalifitseeritud usaldusteenuse osutajatele • usaldusteenuse osutaja kontrollib füüsilise või juriidilise isiku identiteeti • • füüsilise välimuse alusel või kasutades teavitatud e-identimise vahendeid Mõju Eesti e-teenustele, ID kaardile ja usaldusteenustele - Kõik ID kaarti tunnistavad avalikud e-teenused peavad tunnistama ka teiste liikmesriikide teavitatud e-identiteete Muudatused seadustes ja kehtivas praktikas Ka mittekvalifitseeritud usaldusteenused lähevad regulatsiooni alla e-teenuste ülepiiriline pakkumine usaldusteenuste turg Ülevaade liimesriikide esialgsetest seisukohtadest • • • • • • • Direktiiv vs. määrus Palju alamakte st. suur volitus on antud Euroopa Komisjonile (16 artiklit delegeeritud aktidega, 23 rakendusaktidega 42st) Komisjon kas võib või peab kohaldama alamakte Juba kasutusesolevate e-identiteetide mittevastavus määrusega Täpsemad nõuded e-identiteetidele määruses („kvalifitseeritud“ e-ID) Tasuta piiramatu e-IDde autentimine ja sertifikaatide kehtivuse kontroll Usaldusteenuse sertifikaadi ühene (püsiv) omistamine isikule (hetkel üldsõnaline) Tänan kuulamast! [email protected] http://prezi.com/c9qxzkgmklm1/electronic-signature-standards-18-apr-2012/