Peeter Pikka Majandus- ja kommunikatsiooniministeerium Riigi infosüsteemide osakond

1. ettepanekEUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUSe-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul Peeter Pikka Majandus- ja kommunikatsiooniministeerium Riigi infosüsteemide osakond Läänemere konverents 08.11.2012

2. Teemad • Uue määruse vajadus ja taust • Määruse ulatus • e-identimine • Usaldusteenused (e-allkiri, e-tempel, …) • Üldsätted • Järelevalve • Mõju Eesti e-teenustele, ID kaardile ja usaldusteenustele • Ülevaade liimesriikide esialgsetest seisukohtadest • Küsimused …

3. Uue määruse vajadus ja taust • eesmärk – ettevõtjate, kodanike ja avaliku sektori asutuste vahelise turvalise ja tõrgeteta elektroonilise suhtluse võimaldamine, et suurendada tõhusust • Euroopa digitaalarengu tegevuskava • Ühtse turu akti • Stabiilsus- ja majanduskasvu tegevuskava

4. Uue määruse vajadus ja taust • Direktiiv 1999/93/EÜ „elektroonilisi allkirju käsitleva ühenduse raamistiku kohta“ ei taga seatud eesmärke • Komisjoni poolt läbiviidud analüüsi tulemus: • õiguskindluse suurendamine • riikliku järelevalve koordineerimise edendamine • e-identimise süsteemide vastastikuse tunnustamise ja aktsepteerimise tagamine • oluliste usaldusteenuste kaasamine • Määrus (mitte direktiiv) ja alamaktid (et käia ajaga kaasas)

5. Uue määruse vajadus ja taust

6. Määruse ulatus • Sätestatakse tingimused, mille alusel peavad liikmesriigid tunnustama ja aktsepteerima isikute e-identimise vahendeid • Õigusraamistik usaldusteenuste kohta: • e-allkiri, e-tempel, e-ajatempel, e-dokument, e-andmevahetusteenus ja veebisaitide autentimine • Ei kohaldata vabatahtlikul kokkuleppel põhinevate eraõiguslike elektrooniliste usaldusteenuste osutamise suhtes

7. e-identimine • Protsess, mille käigus kasutatakse elektroonilisi isikutuvastamisandmeid, mis esindavad üheselt mõistetavalt üht füüsilist või juriidilist isikut • Autentimine - e-identimise või elektrooniliste andmete päritolu ja tervikluse valideerimine • Peab teenusele juurdepääsuks tunnustama ja aktsepteerima igat teises liikmesriigis väljastatud e-identimise vahendit, mis on teavitatud tingimustel: • väljastatud liikmesriigi poolt, nimel või vastutusel • saab kasutada avalikele teenustele juurdepääsuks • üheselt mõistetavalt omistada füüsilisele või juriidilisele isikule • liikmesriik tagab tasuta internetipõhise autentimise võimaluse • teavitav liikmesriik on vastutav (liability) isikutuvastamisandmete üheselt mõistetava omistamise

8. e-identimine • Teavitamine: • süsteemi kirjeldus • vastutavad asutused • kes haldab isikutuvastamisandmete registreerimist • autentimisvõimaluse kirjeldus • identimissüsteemi, autentimisvõimaluse või asjaomase ohustatud osa peatamise või tühistamise kord

9. e-identimine • Koordineerimine: • et tagada teavitatud süsteemi kuuluvate e-identimise vahendite koostalitlus ja suurendada nende turvalisust • Rakendusaktid koostöö hõlbustamiseks eesmärgiga edendada usalduse ja turvalisuse kõrget taset, mis vastab riski astmele

10. Usaldusteenused - Üldsätted • Vastutus • Usaldusteenuse ja kvalifitseeritud usaldusteenuse osutaja vastutab füüsilisele või juriidilisele isikule põhjustatud mis tahes otsese kahju eest, … • UT pakkuja tagab meetmetega riski astmele vastav turvalisuse tase • Kolmandatest riikidest pärit kvalifitseeritud usaldusteenuste osutajad • Andmetöötlus ja –kaitse • kooskõlas direktiiviga 95/46/EÜ (üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta) • minimaalse andmehulga nõue • andmete konfidentsiaalsuse ja tervikluse tagamine • Puuetega inimeste takistusteta juurdepääs

11. Usaldusteenused - Järelevalve • Liikmesriigid määravad asjakohase asutuse • Järelevalveasutus • teostada järelevalvet usaldusteenuse osutajate üle ja kvalifitseeritud usaldusteenuse osutajate ja nende osutatavate kvalifitseeritud usaldusteenuste üle • Iga-aastana aruanne turvaintsidentidest ja kasutusstatistikast • Kohustuslik järelevalveasutuste vastastikune abi • võib keelduda kui ei ole taotlusega tegelemiseks pädev

12. Usaldusteenused - Järelevalve • Usaldusteenuse osutajate suhtes kohaldatavad turvanõuded • Võib esitada aruande turvakontrolli kohta • Teavitama infoturbe eest vastutavat pädevat riiklikku asutust ja muid asjaomaseid kolmandaid isikuid .. igast turvarikkumisest või tervikluse kaost (ENISA’t kui intsident hõlmab mitut riiki).

13. Usaldusteenused - Järelevalve • Kvalifitseeritud usaldusteenuse osutajate järelevalve • sõltumatu asutus kontrollib kvalifitseeritud usaldusteenuse osutajaid kord aastas • õigus anda kvalifitseeritud usaldusteenuse osutajatele siduvaid suuniseid • Kvalifitseeritud usaldusteenuse osutamise alustamine • turvakontrolli aruande esitamine • usaldusnimekirjadesse kandmine

14. Usaldusteenused - Järelevalve • Nõuded kvalifitseeritud usaldusteenuse osutajatele • usaldusteenuse osutaja kontrollib füüsilise või juriidilise isiku identiteeti • füüsilise välimuse alusel või • kasutades teavitatud e-identimise vahendeid

15. Mõju Eesti e-teenustele, ID kaardile ja usaldusteenustele • Kõik ID kaarti tunnistavad avalikud e-teenused peavad tunnistama ka teiste liikmesriikide teavitatud e-identiteete • Muudatused seadustes ja kehtivas praktikas • Ka mittekvalifitseeritud usaldusteenused lähevad regulatsiooni alla • e-teenuste ülepiiriline pakkumine • usaldusteenuste turg

16. Ülevaade liimesriikide esialgsetest seisukohtadest • Direktiiv vs. määrus • Palju alamakte st. suur volitus on antud Euroopa Komisjonile (16 artiklit delegeeritud aktidega, 23 rakendusaktidega 42st) • Komisjon kas võib või peab kohaldama alamakte • Juba kasutusesolevate e-identiteetide mittevastavus määrusega • Täpsemad nõuded e-identiteetidele määruses („kvalifitseeritud“ e-ID) • Tasuta piiramatu e-IDde autentimine ja sertifikaatide kehtivuse kontroll • Usaldusteenuse sertifikaadi ühene (püsiv) omistamine isikule (hetkel üldsõnaline)

17. Tänan kuulamast! • peeter.pikka@riso.ee

18. http://prezi.com/c9qxzkgmklm1/electronic-signature-standards-18-apr-2012/http://prezi.com/c9qxzkgmklm1/electronic-signature-standards-18-apr-2012/