DIGITÁLNÍ a informační agentura

Potvrzení o shodě, audity, hlášení změn

Doložení kvalifikace a školení pracovníků kvalifikovaného správce:

Kvalifikovaný správce musí splnit požadavky na kvalifikaci pracovníka (případně pracovníků) odpovídajícího za správu kvalifikovaného systému el. identifikace dle §16 odst. 2 zákona č. 250/2017 Sb. Typicky půjde o manažera odpovědného za vývoj / správu systému.

Podstatné je rovněž zajistit, aby pracovníci, kteří ověřují totožnost, byli obeznámeni s problematikou ověřování totožnosti. Porovnání fotografie a podoby člověka, schopnost odhalit pozměněný či falešný doklad. Inspekce dokladu musí zahrnovat rovněž kontrolu platnosti dokladu (tj. doklad se předkládá v době platnosti dokladu).

Pro účely auditu tedy kvalifikovaný správce doloží školící materiály a nástroje, jaké mají pracovníci poboček k dispozici pro podporu identifikace. Specifické produktové školení pro produkt identity není vyžadováno, pokud je výše uvedené součástí ostatních školení. Pracovníci přicházející do styku s klienty by měli disponovat dostatečnými informaci o možnosti použití prostředků pro el. identifikaci, které daný kvalifikovaný správce vydává (např. bankovní identita k identifikaci vůči NIA a třetím stranám) tak, aby mohli klientům poskytnout základní informace.

Pojištění odpovědnosti a dostatek finančních prostředků kvalifikovaných správců:

Akreditované osoby musí mít uzavřeno pojištění odpovědnosti za škodu pro případ odpovědnosti za škodu způsobenou při správě kvalifikovaného systému v souladu s vyhláškou č. 409/2022 Sb., o pravidlech pro výpočet minimálního limitu pojistného plnění pro pojištění odpovědnosti za škodu způsobenou při správě kvalifikovaného systému elektronické identifikace. Rozsah pokrytých rizik je na uvážení kvalifikovaného správce (resp. žadatele o akreditaci). Obecně jde zejména o následující rizika: chybná identifikace, zneužití prostředků pro el. identifikaci, nedostupnost služeb el. identifikace a autentizace (a tím plynoucí nemožnost pro držitele prostředku splnit např. zákonnou povinnost v daném termínu), únik osobních údajů.

Informace týkající se pravidel výpočtu minimálního limitu pojistného plnění pro pojištění odpovědnosti za škodu způsobenou při správě kvalifikovaného systému elektronické identifikace jsou uvedeny ZDE.

Modely posouzení shody požadavků úrovní záruk:

Pověřená osoba posuzuje, zda prostředek pro elektronickou identifikaci a systém elektronické identifikace splňuje technické specifikace, normy a postupy stanovené příslušným předpisem Evropské unie (prováděcí nařízení komise (EU) 2015/1502 ze dne 8. září 2015, kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci podle čl. 8 odst. 3 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu). Splňuje-li prostředek pro elektronickou identifikaci a systém elektronické identifikace technické specifikace, normy a postupy stanovené tímto předpisem Evropské unie, pověřená osoba písemně potvrdí tuto skutečnost žadateli o posouzení do 3 měsíců ode dne podání žádosti o posouzení. Toto potvrzení je následně povinnou součástí žádosti o akreditaci pro správu kvalifikovaného systému el. identifikace. Ministerstvo vnitra pro účely vysvětlení a bližší konkretizace požadavků výše zmíněného prováděcího nařízení komise (EU) 2015/15021 vypracovalo dokument DKP IDP, který je používán pověřenými osobami při posouzení shody požadavků.

Seznam osob, kterým bylo uděleno pověření k posuzování prostředku pro elektronickou identifikaci a systému elektronické identifikace v souladu s § 11 zákona č. 250/2017 Sb., je zveřejněn ZDE.

Zákonem č. 250/2017 Sb., o elektronické identifikaci, v platném znění, není v tuto chvíli dále upravena povinnost potvrzení vydané pověřenou osobou obnovovat a předkládat jej v průběhu doby, po kdy je akreditace pro správu kvalifikovaného systému el. identifikace udělena.

V závislosti na smluvním vztahu mezi klientem (tj. žadatelem o akreditaci / akreditovanou osobou) a pověřenou osobou plyne případná povinnost klienta hlásit významné změny v systému el. identifikace a prostředku pro el. identifikaci (povinnost hlásit změny má žadatel o akreditaci / akreditovaná osoba v každém případě vůči Ministerstvu vnitra jakožto dohledovému orgánu). V zásadě existují dva modely:

  1. Vydání „jednorázového“ potvrzení pro účely žádosti o akreditaci.
  2. Vydání prvotního potvrzení pro účely žádosti o akreditaci a pravidelné audity kvalifikovaného systému el. identifikace.

Kontinuální proces dle bodu 2) může být využit s výhodou v souvislosti s požadavky prováděcího nařízení komise (EU) 2015/1502 a dokumentu DKP IDP, kdy jedním z požadavků na úrovně záruky (kap. 2.4.7. přílohy prováděcího nařízení) je, aby probíhal pravidelný interní nebo externí audit, jehož rozsah zahrnuje všechny úseky týkající se poskytování služeb, aby se zajistilo dodržování příslušné politiky. Tzn. v případě vydání „jednorázového“ potvrzení o souladu s požadavky na úrovně záruky dle bodu 1), si akreditovaná osoba musí tyto audity zajišťovat sama (ať už externí nebo interní). V případě kontinuálního procesu dle bodu 2) pravidelné posuzování, resp. zpráva z posouzení, by mohla sloužit jako důkaz o provedeném auditu dle požadavků kap. 2.4.7. přílohy prováděcího nařízení. Pověřené osoby mohou nabízet v závislosti na svém rozhodnutí oba modely.

Posouzení shody požadavků úrovní záruk & udělení akreditace:

Posouzení shody a udělení akreditace proběhne na základě připravené dokumentace budoucího stavu, případně dle realizace na neprodukčních prostředích, které budou „obrazem“ pro produkční prostředí.

Tím je možné dosáhnout shody i v případech, kdy produkční realizace závisí na účinnosti zákona (např. zákon č. 49/2020 Sb.)  nebo uvedení celého řešení do produkce (např. ztotožňování identit s NIA nebo zveřejnění obchodních podmínek obsahující podmínky použití prostředků pro el. identifikaci). Audit (posouzení shody) systému elektronické identifikace a prostředku(ů) elektronické identifikace lze provést vůči systémům/procesům, které aktuálně nejsou připojeny na produkční prostředí NIA. Bez získání akreditace není možné připojit subjekt v roli kvalifikovaného správce („identity providera“) k produkčnímu prostředí NIA.

Plán ukončení činnosti dle § 15 zákona o el. identifikaci:

Kvalifikovaný správce v plánu ukončení činnosti uvede postupy při ukončení vydávání a používání prostředků pro elektronickou identifikaci a poskytnutí služby autentizace, včetně způsobu, jakým jsou správce národního bodu a držitelé prostředků pro elektronickou identifikaci (dále jen „držitel“) informováni o ukončení činnosti kvalifikovaného správce. Plán musí počítat s předvídatelnými okolnostmi, které mohou vést k ukončení činnosti (např. zánik právnické osoby, nedostatek finančních zdrojů, rozhodnutí o ukončení služeb, …). Částečnou inspiraci lze načerpat v dokumentu od organizace ENISA (Evropská agentura pro bezpečnost sítí a informací) týkající se ukončení poskytování kvalifikovaných služeb vytvářejících důvěru: https://www.enisa.europa.eu/publications/tsp-termination.

Požadavky na audit – úroveň záruky značná:

Požadovaný je interní nebo externí audit alespoň každých 24 měsíců. V případě interního auditu musí být zajištěna nezávislost týmu provádějícího audit – auditoři se nesmí podílet na činnosti systému nebo chodu části organizace, kterou auditují. Více informací v dokumentu DKP IDP.

Požadavky na plnění všech právních požadavků (kap. 2.4.1 prováděcího nařízení komise (EU) 2015/1502), které se vztahují na banky či pobočky zahraničních bank v souvislosti s provozem a poskytováním služby:

Pro banky či pobočky zahraničních bank platí, že jsou pod dohledem řady dohledových orgánů. Pro potřeby auditu banky mohou prohlásit soulad s následujícími relevantními zákony:

  • Zákon č. 21/1992 Sb., o bankách.
  • Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu.
  • Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů – nařízení GDPR).

Hlášení změn po získání akreditace pro správu kvalifikovaného systému el. identifikace:

Akreditovaná osoba má povinnost hlásit Digitální a informační agentuře změny týkající se provozu kvalifikovaného systému el. identifikace předtím, než tyto změny vejdou v účinnost a to na základě obecné dohledové kompetence Digitální a informační agentury v oblasti elektronické identifikace (§ 19 odst. 1 zákona č. 250/2017 Sb.). Touto změnou může být např. nový způsob ověřování totožnosti žadatelů o vydání prostředku pro el. identifikaci. Ve správním rozhodnutí, kterým se žadateli udělí akreditace pro správu kvalifikovaného systému el. identifikace, bude uvedena povinnost pro akreditovanou osobu, hlásit případné změny, které se dotýkají kvalifikovaného systému el. identifikace a prostředků el. identifikaci v rámci něho vydávané a používané.

Přístupnost internetových stránek a mobilních aplikací kvalifikovaných správců

Kvalifikovaný správce je rovněž povinnou osobou ve smyslu zákona o přístupnosti. Za přístupnou lze obecně považovat takovou internetovou stránku či mobilní aplikaci, kterou bude osoba se zdravotním postižením schopna i přes svůj zdravotní hendikep za pomocí asistivních technologií či specializovaných programů, které má k dispozici, efektivně používat. Zákon o přístupnosti nabyl účinnosti dnem jeho vyhlášení – 9. dubna 2019.

Ke dni akreditaci musí kvalifikovaný správce zajistit, aby webové stránky týkající se činností kvalifikovaného správce byly přístupné ve smyslu zákona o přístupnosti. Pokud se v rámci činnosti kvalifikovaného správce odkazuje na stránky, které vznikly před  účinností zákona (tj. před 9. dubnem 2019), pak je povinen tyto stránky uvést do souladu s pravidly přístupnosti do 22. září 2020. Dále je povinen do 22. června 2021 uvést do souladu s požadavky zákona o přístupnosti i své mobilní aplikace užívané k elektronické identifikaci.   Povinnosti plynoucí ze zákona o přístupnosti se týkají kvalifikovaných správců pouze v souvislosti s činností plynoucí z výkonu funkce kvalifikovaného správce (tj. správy kvalifikovaného systému el. identifikace). Pokud subjekt, který získal akreditaci ke správě kvalifikovaného systému el. identifikace, vykonává i jiné činnosti, tak na tyto jiné činnosti se nevztahují pravidla o přístupnosti (za předpokladu, že subjekt nespadá také do jiné kategorie povinných osob).

Bližší informace k problematice přístupnosti internetových stránek a mobilních aplikací včetně metodických dokumentů zveřejňuje Digitální a informační agentura na následujících stránkách ZDE.

Pověřená osoba v rámci posouzení shody pouze kontroluje, zda žadatel o akreditaci má zveřejněno tzv. Prohlášení o přístupnosti týkající se souladu jejich internetových stránek a mobilních aplikací s požadavky na ně kladenými. V případě prohlášení o přístupnosti internetových stránek se povinnému subjektu nabízí dvě možnosti:

  • povinný subjekt může pro každou internetovou stránku vydat samostatné prohlášení o přístupnosti, které na dané internetové stránce zveřejní (například povinný subjekt, který spravuje pět internetových stránek, zveřejní a aktualizuje pět prohlášení o přístupnosti, přičemž každé prohlášení o přístupnosti se týká pouze té internetové stránky, na níž je zveřejněno),
  • povinný subjekt může zveřejnit pouze jedno prohlášení o přístupnosti internetových stránek, které se bude vztahovat na všechny jím spravované internetové stránky. Takové prohlášení o přístupnosti pak bude zveřejněno na jedné z internetových stránek spravovaných povinným subjektem, přičemž další internetové stránky budou na toto prohlášení odkazovat.

Prohlášení o přístupnosti mobilních aplikací povinný subjekt zveřejňuje jedno, a to na některé z jím spravovaných internetových stránek. Vzor prohlášení o přístupnosti spolu s poznámkami Ministerstva vnitra, jak prohlášení vyplnit, je uveden ZDE.

Prokázání splnění požadavků kap. 2.4.4 až 2.4.6 prováděcího nařízení komise (EU) 2015/1502 pomocí auditu ISMS podle normy ČSN ISO / IEC 27001: 2013 v rámci posouzení shody:

Splnění požadavků kapitol 2.4.4 – 2.4.6 prováděcího nařízení komise (EU) 2015/1502 je možné prokázat auditem ISMS dle ČSN ISO / IEC 27001: 2013. Nicméně žadatel musí pověřené osobě doložit prohlášení o aplikovatelnosti a pověřená osoba musí zkontrolovat, že rozsah ISMS pokrývá rovněž správu systému el. identifikace (ISMS nemusí pokrývat celou organizaci, ale např. jen jednu z jejích částí či konkrétní IS). Pověřená osoba dále v potvrzení o splnění požadavků dle § 13 odst. 3 zákona č. 250/2017 Sb. musí uvést odkazy na dokumenty, kde se upravují jednotlivé požadavky a stručný popis implementovaných opatření.

V rámci kap. 2.4.4. je dále nutné, aby pověřená osoba zkontrolovala s klientem (tj. s žadatelem o akreditaci) připravenost splnění povinnosti vést údaje dle § 22 zákona č. 250/2017 Sb. po stanovenou dobu.

V rámci kap. 2.4.5. je dále nutné, aby pověřená osoba zkontrolovala s klientem splnění kvalifikačních požadavků dle §16 odst. 2 a 3 zákona č. 250/2017 Sb. Dále viz bod „Doložení kvalifikace a školení pracovníků kvalifikovaného správce“ v rámci této stránky.

Požadavky kap. 2.4.7 prováděcího nařízení komise (EU) 2015/1502 pro úroveň záruky vysoká:

Požadavky kapitoly 2.4.7. prováděcího nařízení komise (EU) 2015/1502 na vysokou úroveň jsou, aby nezávislý externí audit pokrýval všechny úseky týkající se poskytování služeb, aby se zajistilo dodržování příslušné politiky. Externí audit má tak např. pokrývat i problematiku ověřování totožnosti, aby bylo zkontrolováno, že ověřování totožnosti probíhá podle stanovených pravidel. Jak je uvedeno v dokumentu DKP IDP  požadavek na externí audit lze splnit auditem / certifikací ISMS provedenou podle normy ISO / IEC 27007.

Zpět