Prindi

Seadusandlus

SK tegevust reguleerivad:

Õigusaktid

eIDAS määrus

Alates 01.07.2016 kehtib Euroopa Parlamendi ja nõukogu 23. juuni 2014. a määruse (EL) nr 910/2014 „e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93 EÜ“ (ET 28.08.2014 L 257/73) (edaspidi eIDAS määrus). Tegu on otsekohalduva määrusega, mis koosneb kahest osast. 

Esimene osa sellest puudutab Euroopa liikmesriikide koostööd elektrooniliste isikutuvastamise vahendite ehk e-identimise vahendite tunnustamisel ja hindamisel. Eestis e-identimise vahenditeks on näiteks ID-kaart, Mobiil-ID ja Digi-ID. Kuigi määrus ei sekku ELi liikmesriikide e-identiteetide loomisse ega haldamisse, määrab see e-identimise vahendite ja süsteemide usaldusväärsuse tasemed, mille põhjal saavad avalikud e-teenuse osutajad otsustada, millise usaldusväärsuse tasemega e-identimise vahendeid nad oma teenustes tunnustavad. 

eIDAS määruse teine osa sisaldab tingimusi ja nõudeid erinevate usaldusteenuste osutamiseks. Need on vajalikud turvaliseks toimetamiseks digitaalses maailmas, näiteks e-allkirjade andmiseks ja nende kontrollimiseks, e-templite abil dokumentide terviklikkuse ja päritolu tõestamiseks, veebisertifikaadid veebiturvalisuse tõstmiseks jne. Usaldusteenused, mis peavad vastama kindlatele (turva)nõuetele ja teenusestandarditele, suurendavad elektrooniliste toimingute ja teenuste turvalisust ning usaldatavust ja seega võimaldavad EL-i liikmesriikide kodanikel, ettevõtetel ning avalikel asutustel internetikeskkonnas oma teenuseid pakkuda.

Usaldusteenustest on kõige kõrgema staatusega kvalifitseeritud usaldusteenused. eIDAS määrus kehtestab kvalifitseeritud usaldusteenustele kõrgemad nõuded, suurema vastutuse ja kohustuse läbida regulaarne ja sõltumatu vastavushindamine, misjärel kantakse teenuseosutaja usaldusnimekirja. Nimekirja on kantud kõik Euroopa kvalifitseeritud usaldusteenuse osutajad (vabatahtlikkuse alusel ka teised usaldusteenuse osutajad) ja sellest saavad nii kodanikud kui ka e-teenused kontrollida, millisel tasemel on usaldusteenuse osutaja ja tema teenus. Nimekirja on mitmete kvalifitseeritud usaldusteenuste osutajana kantud ka SK.

E-identimise ja e-tehingute usaldusteenuste seadus

Lisaks eIDAS määrusele kehtestati selle rakendamiseks Eestis e-identimise ja e-tehingute usaldusteenuste seadus (EUTS). Kuna eIDAS määruse puhul on tegemist otsekohalduva määrusega, on käesolevas eelnõus valdkonda reguleeritud vaid ulatuses, kus määrus seda võimaldab. Seega tuleb seda seadust lugeda koos eIDAS määrusega. Eelkõige hõlmab see järelevalvekorraldust ning määrusest tulenevate üldiste nõuete täpsustamist. eIDAS määrusega võimaldatud riigisisest kaalutlusruumi on seaduses rakendatud määras, mis võimaldaks maksimaalselt järgida Eesti praktikat elektroonse identiteedi ja usaldusteenuste valdkonnas. Lisaks sellele seotakse varasemalt kehtinud siseriiklik regulatsioon eIDAS määrusega ning tagatakse digitaalallkirja ja digitaalse templi kasutamise järjepidevus. Seadus tunnistab kehtetuks ka seni kehtinud ning digitaalallkirjastamise valdkonda reguleerinud digitaalallkirja seaduse. 

eIDAS määrus ja e-identimise ja e-tehingute usaldusteenuste seadus kohustab kvalifitseeritud usaldusteenuse osutajaid ja neid usaldusteenuse osutajaid, kes on kantud usaldusteenuste nimekirja, läbima 24 kuu jooksul regulaarse vastavushindamise sõltumatu vastavushindamise asutuse poolt. Lisaks määravad need õigusaktid ka usaldusteenuse osutajatele kohustusliku kindlustuse nõude. 

Isikut tõendavate dokumentide seadus

Isikut tõendavate dokumentide seadus kirjeldab ID-kaardi funktsioone esmase siseriikliku isikut tõendava dokumendina ning kehtestab Eesti elanikule dokumendikohustuse. Samuti reguleerib seadus ka muude digitaalsete dokumentide (Digi-ID, Mobiil-ID) väljaandmise ja kehtetuks tunnistamise menetlust. Seadus ei puuduta küll otseselt SK igapäevast põhitegevust ja teenuseid, kuid on siiski seotud ID-kaardi ja digitaalsete dokumentidega, mis on SK jaoks olulisim tegevusvaldkond.

Isikuandmete kaitse ja muud regulatsioonid

SK spetsiifilist tegevusvaldkonda puudutavate seaduste kõrval kehtivad meile loomulikult kõik Eestis toimuvat äritegevust reguleerivad seadused (TsÜS, äriseadustik, asjaõigusseadus jt). Isikuandmete töötlemisel tagame andmete kaitse vastavalt isikuandmete kaitse seadusele. Praegu tegeleme sellega, et tagada vastavus 25.05.2018 kehtima hakkavale ja isikuandmete kaitse seadust asendavale Euroopa isikuandmete kaitse üldmäärusele.

Standardid

Lisaks ülaltoodud õigusaktidele SK teenused vastavad valdkonnaspetsiifilistele standarditele. Neid on palju, kuid olgu nimetatud mõned olulisemad, nagu usaldusteenuste osutajate nõudeid käsitlevat standard ETSI EN 319 401, sertifitseerimisteenuseid käsitlev standard ETSI EN 319 411-1, kvalifitseeritud sertifitseerimisteenuseid käsitlev standard ETSI EN 319 411-2, ajatempliteenust käsitlev standard ETSI EN 319 421. 

SK on end sertifitseerinud vastavalt standardile ISO/IEC 27001: 2013 “Infotehnoloogia. Turbemeetodid. Infoturbe halduse süsteemid.”, mis käsitleb infoturbe raamistikku ja seab infoturbe eesmärgid organisatsioonile. 

SK ja SK teenuste vastavussertifikaadid ja auditi raportid on kättesaadavad: https://www.sk.ee/repositoorium/audit/

Muud dokumendid

SK teenuste nõuded on lisaks ülaltoodud õigusaktidele ning standarditele esitatud teenuste kohastes poliitikates.  

SK usaldusteenuste, sertifitseerimis- või ajatempliteenuse osutaja põhimõtetes sisaldub kirjeldus, kuidas SK organisatsioon või SK teenusele poliitikates esitatavaid nõudeid täidavad.

SK Usaldusteenuste Põhimõtted kehtivad kõigile SK usaldusteenustele ja avaliku võtme infrastruktuurile, kirjeldades ühiseid põhimõtteid SK usaldusteenuste osutamisel ning jagatud infoturbe halduse süsteemi, protsesside, infrastruktuuri ja meetmete kohta.

Sertifitseerimispõhimõtted kirjeldavad SK tegevust erinevate sertifikaatide väljastamisel ja teenindamisel.

Ajatempliteenuse osutaja põhimõtted sisaldavad SK tegevust ajatemplite andmiseks ning kontrollimiseks sooritatavate toimingute ning kasutatavate tehniliste vahendite kirjeldusi.