Dla integratorów
Do Węzła Krajowego powinny zostać przyłączone:
- systemy teleinformatyczne wskazane w przepisach wymienionych wprost w art. 60 ust. 2 ustawy z dnia 5 lipca 2018 r. o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw (Dz. U. z 2018 r. poz. 1544), zwanej dalej „ustawą zmieniającą” – do 11 grudnia 2018 r.
- systemy teleinformatyczne, w których w dniu 31 grudnia 2017 r. uwierzytelnienie użytkowników odbywało się z wykorzystaniem profilu zaufanego ePUAP – do końca 2019 r. (art. 60 ust. 3 ustawy zmieniającej),
- pozostałe systemy teleinformatyczne podmiotów publicznych, w których udostępniane są usługi online działające teraz i wszystkie nowe uruchomione do końca roku 2020 – do końca 2021 r. (art. 60 ust. 4 ustawy zmieniającej),
- każdy nowy system teleinformatyczny podmiotu publicznego, w którym udostępniane są usługi online, uruchomiony w 2021 roku lub później – od razu (art. 60 ust. 5 ustawy zmieniającej).
Czym jest usługa online, o której mowa w przepisach dotyczących przyłączania do Węzła Krajowego?
Usługa online to usługa pozwalająca na załatwienie sprawy przez Internet, wymagająca uwierzytelnienia użytkownika tej usługi za pomocą środka identyfikacji elektronicznej przyłączonego do Węzła Krajowego, dla którego wskazano wymagany poziom bezpieczeństwa zgodny z wymaganiami określonymi w przepisach wydanych na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE, zwane dalej „rozporządzeniem 910/2014”.
Powyższe oznacza, że do Węzła Krajowego powinny być przyłączone systemy teleinformatyczne, w których świadczone są usługi spełniające następujące warunki:
- są realizowane przez Internet,
- są usługami świadczonymi przez podmiot publiczny,
- wymagają uwierzytelnienia użytkownika za pomocą środka identyfikacji elektronicznej o określonym poziomie bezpieczeństwa (niskim, średnim lub wysokim), które może być realizowane za pośrednictwem tego węzła.
Czym jest poziom bezpieczeństwa środka identyfikacji elektronicznej?
Wymogi dla poziomów bezpieczeństwa środków identyfikacji elektronicznej reguluje Rozporządzenie wykonawcze Komisji (UE) 2015/1502 z dnia 8 września 2015 r. w sprawie ustanowienia minimalnych specyfikacji technicznych i procedur dotyczących poziomów zaufania w zakresie środków identyfikacji elektronicznej na podstawie art. 8 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym.
Przyłączenie systemu teleinformatycznego podmiotu publicznego do Węzła Krajowego wymaga wskazania, jakie usługi online są świadczone w ramach tego systemu. Ponadto dla każdej z tych usług należy określić wymagany poziom bezpieczeństwa środków identyfikacji elektronicznej (patrz art. 21u ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej), jakie będą mogły być użyte do uwierzytelnienia użytkowników tych usług.
Do Węzła Krajowego mogą być przyłączane systemy teleinformatyczne wymagające od użytkowników usług online posiadania i użycia środka identyfikacji elektronicznej na co najmniej niskim poziomie bezpieczeństwa. Nawet bowiem dla niskiego poziomu bezpieczeństwa stawia się wymagania dotyczące: sprawdzenia i weryfikacji tożsamości, konstrukcji mechanizmu uwierzytelniania, udostępniania informacji dla użytkowników oraz zapewnienia skutecznego systemu zarządzania rejestrami tak długo, jak długo jest to wymagane do celów kontroli i dochodzenia w sprawach naruszeń zaufania.
Jak jest realizowane uwierzytelnienie za pomocą środka identyfikacji elektronicznej przyłączonego do Węzła Krajowego?
Zgodnie z art. 21b ust. 1 pkt 2 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. poz. 1579 oraz z 2018 r. poz. 650 i 1544) potwierdzenie tożsamości dokonywane za pośrednictwem Węzła Krajowego musi spełniać wymagania interoperacyjności uwzględniające przepis wydany na podstawie art. 12 ust. 8 rozporządzenia 910/2014. Określony tam minimalny zestaw danych dotyczących osoby fizycznej wskazuje wszystkie poniższe elementy jako obowiązkowe:
- obecnie używane nazwisko lub nazwiska,
- obecnie używane imię lub imiona,
- data urodzenia,
- niepowtarzalny identyfikator zbudowany przez wysyłające państwo członkowskie zgodnie ze specyfikacjami technicznymi do celów transgranicznej identyfikacji, który jest możliwie jak najtrwalszy.
Oznacza to, że co najmniej takie dane zostaną przekazane do systemu, w którym jest świadczona usługa online, z systemu identyfikacji elektronicznej przyłączonego do Węzła Krajowego. Dane te będą zaszyfrowane.
Węzeł Krajowy nie przechowuje żadnych danych osobowych z wyjątkiem danych, które w razie incydentu umożliwią odbudowę sekwencji wymiany komunikatów pomiędzy systemem identyfikacji elektronicznej a systemem, w którym świadczone są usługi online. Dane te mają w szczególności pozwolić na określenie miejsca i charakteru incydentu.
Dokumentacja dotycząca integracji z Węzłem Krajowym
W związku z wejściem w życie Ustawy o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw oraz uruchomieniem produkcyjnym Węzła Krajowego zostały opublikowane dokumenty dla integratorów – wejdź na stronę BIP i dowiedz się więcej.