2024 első negyedévében közzétételre került az eIDAS-t módosító eID rendelet végleges szavazás előtt álló tervezete. (Korábbi munkanevén eIDAS2.) A módosító tervezet végleges változatát az Európai Parlament és az Európai Unió Tanácsa publikálta 2021/0136(COD) fájlként, mely a PE 68 2023 INIT és a PE 68 2023 COR 1 dokumentumokat tartalmazta. Mivel ez a publikált tervezet nem egységes szerkezetű, a végleges szöveg áttekintése nehézkes. A változások áttekinthetőségének növelése érdekében a Microsec elkészítette a tervezet egységes szerkezetbe szerkesztett - angol nyelvű - változatát változáskövetéssel, így jól áttekinthető, hogy mely szakasz hogyan változott.
Letölthető anyag összefoglalja a legjelentősebb újdonságokat, változásokat, a tervezetben található hibákat, határidőket. (pdf)
Az eID rendelet tervezet az eIDAS rendelethez képes a következő módon változott:
- Az eIDAS rendelet 52 cikkből áll.
- Ebből 37 nem, vagy minimálisan módosult, 2 törlésre került, 11 jelentősen módosult.
- Az eIDAS-hoz az új eID rendelet tervezete hozzáad még 33 új cikket, így a végül az eID rendelet tervezete 82 cikkből áll.
Az új szolgáltatások követelményeiről az új részek 2/3-a szól. Az új szolgáltatások a következők:
- EDIW (European Digital Identity Wallet)
Az EDIW egy olyan mobil adattárca megoldás, amely lehetővé teszi személyazonosságunk és egyéb attribútumaink megosztását, ezáltal igazolását, a mobiltelefonunk által elsősorban a közigazgatás ügyintézésben és a csatlakozó szolgáltatásokban. A tervek szerint online és offline ügyintézés során egyaránt használható lesz, ilyen szolgáltatás várhatóan minden uniós tagállamban készül.
A követelmények a következő területeket érintik: magára a Wallet-re vonatkozó követelmények, azon felekre (Relying parties) vonatkozó, ahol az EDIW-et használni tudjuk, a tanúsításra vonatkozó, a Wallet bizalmi listára vonatkozó, és EU szinten kötelező elfogadás követelménye.
- Attribútum szolgáltatás
Egy minősített attribútum szolgáltató az attribútumainkat igazolja. Az általa kiállított elektronikus igazolás (Attribute attestation) jogilag egyenértékű annak papíralapú formájával. Ez által egy minősített szolgáltató által igazolva hiteles elektronikus igazolást kaphatunk például személyes adatainkról, végzettségünkről, életkorunkról, családi állapotunkról, kaphatunk ilyen formában jogosítványt, igazolványokat.
Speciális esete az attribútum szolgáltatásoknak a Public Sector Body attribútum szolgáltatás, ami egy adott, hiteles adatforrás közigazgatási kezelője (például egy hivatal) által végzett attribútum szolgáltatás Ez a szolgáltatás az általa kezelt adatot adja vissza attribútum igazolás formájában. Az így kiadott igazolás jogilag egyenértékű a minősített attribútum igazolással, és az ilyen szolgáltatás műszaki biztonsági előírásai is hasonlóan erősek, mint a minősített esetben.
- Archiválás
Ez a már létező megőrzés szolgáltatástól annyiban tér el, hogy már nem csak digitálisan aláírt adatot lehet archiválásra befogadni, hanem bármit. (Ezzel szemben a megőrzés digitálisan aláírt adat megőrzése.)
- Ledger
A ledger szolgáltatás a beleírt adatok beleírásának időrendi sorrendjét és integritását igazolja.
A módosításokat tekintve a korábbi szöveghez képes az alábbiak a legjelentősebb változások:
- A menedzselt RQSCD önálló szolgáltatásként jelenik meg.
- A fokozott szolgáltatásokra is tartalmaz a rendelet előírásokat.
- A minősített szolgáltatásokat a NIS2 felügyeleti szerv is felügyeli, a NIS2 követelményeknek is meg kell felelniük.
- A minősített tanúsítványkiadásnál szükséges azonosítás és ellenőrzés feltételei megváltoznak:
- Belép az EDIW, mint lehetséges azonosítás.
- A távoli azonosítás esetén magas (high) szintű azonosítás megoldás kell, azonban nem szükséges a megoldást nemzeti szinten elismerni.
- A távoli azonosítással kiadott tanúsítvány alkalmassá válik minősített aláírással történő tanúsítvány igénylésre.
- Értékeléstől függően elképzelhető, hogy lesz bizottsági végrehajtási rendelet a fokozott aláírások szabványáról (24 hónap).
- A QSCD eszközök tanúsításának érvényessége nem lépheti át az 5 évet, és 2 évente sérülékenység vizsgálat szükséges.
- Szabályozottá válik a minősített tanúsítványon alapuló fokozott aláírások ellenőrzése.
- Az SSCD tanúsítással rendelkező eszközök a hatályba lépést követő 36 hónapig használhatók.
- Az eID rendelet hatályba lépéskor már üzemelő RQSCD szolgálttások 24 hónapig megfelelőség értékelés nélkül is megfelelőnek tekinthetők.
- A tagállamoknak 24 hónapja van arra, hogy a minősített szolgáltatóknak hozzáférést biztosítson az Annex VI-ban felsorol adatok hiteles forrásához.
- A hatályba lépést követő 6. hónapban 10, a 12. hónapban 21 cikkhez várható a bizottságtól végrehajtási rendelet.
A módosító javaslat tartalmaz különböző hibákat, ezek közül talán legzavaróbbak:
- A 24. cikkben a tanúsítványba írható attribútumok ellenőrzését nem teszi az előírás lehetővé Public Sector Body attribútum igazolás felhasználásával, mert az a felsorolásból hiányzik, azt pótolni kellene. Ez jelentősen csökkenti a hatékonyságát a PSB attribútum igazolásoknak.
- Néhány paragrafust vissza kellett volna vonni a módosító szabályozás keretében, de érvényben maradtak.