E-podpis do poprawki

PIIT uważa, że ustawa w obecnym kształcie niesie wiele zagrożeń. Większość wad ustawy wynika, jak uważa Izba, z poprawek senackich wprowadzonych tuż przed końcem poprzedniej kadencji. Błędy te ujawniły się podczas prowadzonych obecnie prac nad aktami wykonawczymi do ustawy. To już drugi raz, kiedy Izba zwraca się o wprowadzenie poprawek do ustawy. W końcu kwietnia br. PIIT podjęła uchwałę, w której domagała się przede wszystkim zwiększenia rygorów bezpieczeństwa korzenia Infrastruktury Klucza Publicznego. Uchwała Izby wykazywała wówczas, że konieczne są ponadto poprawki dotyczące sformułowań i definicji wykorzystanych w ustawie, m.in. w tak podstawowych kwestiach jak urządzenia do składania i autoryzacji podpisu elektronicznego, pojęcia certyfikatu, a także terminów takich jak poświadczenie i zaświadczenie certyfikujące.

Obecnie PIIT postuluje, by z ustawy wyeliminować "oczywiste błędy legislacyjne" i ujawnione sprzeczności a także doprowadzenie do pełnej zgodności z przepisami Unii Europejskiej (dotyczące m.in. kwestii wyboru podmiotów wdrażających infrastrukturę dla e-podpisu). Według prawników PIIT, w sprzeczności z Konstytucją RP i niezgodny z prawem UE jest zapis ograniczający wybór podmiotu działającego w imieniu Ministra Gospodarki do grona spółek zależnych NBP. A co będzie, kiedy w życie wejdzie ustawa o Narodowym Banku Polskim, nakazująca mu wraz z końcem br. rezygnację z udziałów w firmach nie działających w sektorze bankowym? – pytają przedstawiciele Izby.

Jeden z zapisów ustawy, jak wykazuje Izba, uniemożliwia zresztą de facto możliwość prowadzenia działalności certyfikacyjnej: wprowadza bowiem odpowiedzialność karną za "przechowywanie poświadczeń certyfikacyjnych". Tymczasem, jak komentuje PIIT, jest to "nieuniknione w obecnym stanie rozwoju technologii". W komunikacie Izby napisano, że w myśl przepisu "każdy kto chciałby zgodnie z zasadami sztuki i kanonami bezpieczeństwa technologii uczestniczyć w świadczeniu usług certyfikacyjnych będzie w Polsce karany" – dotyczyć to może także samego ministra gospodarki i występującego w jego imieniu podmiotu.

Przedstawiciele izby postulują rezygnację z "tworzenia przez Ministra Gospodarki kosztownej infrastruktury teleinformatycznej dla potrzeb wydawania zaświadczeń elektronicznych". Według PIIT tworzeniem zaświadczeń mogą zajmować się same kwalifikowane podmioty, tak jak się to odbywa we wszystkich państwach UE. Po raz kolejny PIIT podnosi zatem kwestię poprawek Senatu wprowadzających na rynku miejsce dla jednego – występującego w imieniu ministra gospodarki - wystawcy zaświadczeń certyfikacyjnych (dokument przyznawany centrom wydającym certyfikaty). „Wprowadzone w ustawie zasady wydawania przez Państwo zaświadczeń certyfikacyjnych są sztuczne i ograniczają swobodę podejmowania działalności gospodarczej poprzez narzucenie rozwiązań gospodarczych i technologii zmierzającej do spłaszczania struktur gospodarczych i uniemożliwiania budowy drzewa certyfikacji, jako powszechnie stosowanej struktury służącej powszechności usług certyfikacyjnych i podnoszenia poziomu ich bezpieczeństwa.” – napisało PIIT w aneksie do uchwały. W kwietniowej uchwale Rada PIIT wyraziła już sprzeciw wobec objęcia przez Kazimierza Ferenca, funkcji prezesa w spółce Centrast (Centrum Zaufania i Certyfikacji Centrast) powołanej przez NBP. W myśl ustawy, Centrast ma być głównym urzędem certyfikacji kluczy w PKI w sektorze bankowo-finansowym w momencie wejścia w życie ustawy o podpisie elektronicznym. Tymczasem, jak podkreślała PIIT, Kazimierz Ferenc jako szef URT i wiceszef MSWiA, podczas prac Senatu nad poprawkami „znacząco przyczynił się” do poprawek nadających określone prawa Centrastowi.

Zdaniem Izby niezbędne jest też podniesienie poziomu bezpieczeństwa świadczenia usług certyfikacyjnych, które obecnie jest zagrożone w wyniku błędów ustawodawcy. Izba uważa, że postulowane poprawki do ustawy należy i można wprowadzić jeszcze przed jej wejściem w życie, czyli przed 16 sierpnia br.