1

NASLOV: Analiza učinka propisa na pravni i institucionalni okvir za elektronski potpis

ORGAN UPRAVE: Ministarstvo komunikacija i prometa B iH u saradnji sa

Meñunarodnom finansijskom korporacijom – Grupacija Svjetske banke koja je pružila tehničku pomoć u izboru i metodolgiji procjene utjecaja regulativa po principu koji se koristi u Evropskoj uniji, zatim pronalaženju mogućih rješenja za implementaciju elektronskog potpisa u Bosni i Hercegovini, prikupljanju najboljih praksi u Evrops koj uniji, prikupljanju podataka te cost benefit analizi

DATUM: 31. 08. 2011.

I. UVOD

Slijedeći globalne trendove, u BiH je već uvedeno nekoliko savremenih velikih informacionih sistema, poput IDDEEA informacionih sistema, informacionog sistema trezorskog poslovanja, informacionog sistema poreske uprave, sudskog registra poslovnih subjekata, informacionog sistema granične policije, carinskog informacionog sistema, sistema Centralne banke BiH i kliringa/obračuna (Clearing House), sistema IKT za podršku procesu privatizacije itd. Međutim, veliki broj implementiranih IT projekata rješavao je "goruće" probleme i zbog toga su implementirani IT projekti ostali izolirani jer su rađeni samo kao rješenje jednog jedinog problema umjesto da su sastavni dio cjelovite reforme primjene IT-a u državnoj upravi. Bosna i Hercegovina je kao članica Inicijative za elektronsku jugoistočnu Evropu potpisala „eSEE Agendu za razvoj informacionog društva“ 2002.godine u Beogradu. U toj Agendi je dogovoreno da države potpisnice izrade i usvoje politiku i strategiju razvoja informacionog društva, a kroz prioritetnu oblast „Jedinstveni SEE informacioni prostor“ definira način uspostavljanja javne infrastrukture za sigurno poslovanje zasnovano na kvalificiranom elektronskom potpisu. Dalje, od 12+8+3 e-usluga iz eSEE Agende plus, u narednom periodu IDDEEA planira pružati neke od njih. Međutim, sporost u implementaciji Zakona o elektronskom potpisu BiH onemogućava da ove usluge budu transakcione. Ipak, poredeći postignuto sa zahtjevima iz eSEE Agenda plus i 23 bazična servisa e-Vlade koja bi trebala biti uspostavljena do kraja 2011. godine, BiH je nažalost daleko i iza zemalja u regiji, a posebno u Evropi i svijetu. Ključni problemi koji utječu na to su: nepostojanje institucionalnog uređenja neophodnog za koordinaciju aktivnosti u oblasti e-Vlade koje se izvršavaju na različitim nivoima vlasti i u različitim ministarstvima, iracionalno korištenje neadekvatno raspoređenih informatičkih ljudskih resursa, te još uvijek neadekvatne IKT politike, pravnih okvira, metodologije i standarda za realiziranje projekata e-Vlade. Stoga, entuzijazam za kretanje naprijed je sada dodatno usporen zbog rastuće spoznaje da uspješna e-Vlada zahtijeva kombinaciju organizacijske promjene, reformu politike, i tehnološku investiciju.

Vijeće ministara BiH je 2004. godine usvojilo Politiku, Strategiju i Akcioni plan razvoja informacionog društva u BiH za period 2004-2010. godine, a 2006. godine je usvojen Zakon

2

o elektronskom potpisu BiH i Zakon o elektronskom pravnom i poslovnom prometu BiH. Takođe su usvojene i odluke koje uređuju oblast upotrebe elektronskog potpisa i pružanja usluga ovjeravanja koje osiguravaju potrebne pravne aspekte za implementaciju digitalnog potpisa.

U infrastrukturnom pogledu, za prijenos podataka sigurnosnih institucija, u BiH je uspostavljena visokosofisticirana komunikacijska mreža u SDH tehnologiji koja omogućava brzu, pouzdanu i efikasnu razmjenu podataka, slike i tona. SDH mreža predstavlja zatvoren sistem, nije vezana za Internet i funkcionira na određenom opsegu frekvencija osiguranom za tu namjenu. Institucija koja tehnički održava SDH mrežu je Agencija za identifikacione dokumente, evidenciju i razmjenu podataka BiH (IDDEEA) koja je zadužena za oblast identifikacionih dokumenata, skladištenje, personalizaciju i transport dokumenata, te centralno vođenje evidencija i razmjenu podataka između nadležnih organa u BiH. IDDEEA prati, koordinira i institucionalno regulira oblast razvoja identifikacionih dokumenata, te je kao takva razvila elektronski potpis u zatvorenom sistemu i njena iskustva po pitanju primjene elektronskog potpisa u zatvorenim sistemima su vrlo značajna za implementiranje Zakona o elektronskom potpisu BiH i u otvorenim sistemima.

II. DEFINIRANJE PROBLEMA 2.1 Ciljevi države Najvažniji razvojni stubovi utvrđeni Politikom razvoja informacionog društva BiH su: IKT Industrija, IKT Infrastruktura, ePoslovanje eObrazovanje, eZdravstvo, eUprava, eZakonodavstvo i Održivi razvoj informacionog društva. Iako se Politika razvoja informacionog društva bazira na osam razvojnih stubova, Strategija razvoja informacionog društva se odnosi na pet razvojnih stubova i to:

• eLegislativa • eObrazovanje • eUprava • IKT infrastruktura • IKT industrija

Ciljevi definirani Politikom razvoja informacionog društva kroz široku primjenu informacionih i komunikacionih tehnologija su:

• Povećanje znanja i sposobnosti građana za rad i život u informacionom društvu; • Stvaranje novog tržišnog okruženja, poslovnih procesa i znanja, te novog načina

organiziranja; • Povećanje rentabilnosti, konkurentnosti, kvantiteta i kvaliteta usluga i proizvoda,

primjene inovacija u ekonomiji, upravi, obrazovanju i drugim oblastima; • Povećanje investicija i zaposlenosti; • Razvoj IKT industrije; • Razvoj malih i srednjih poduzeća kao nosioca ekonomskog razvoja; • Postizanje održivog ekonomskog razvoja uz zaštitu okoliša;

3

• Povećanje standarda građana; • Ravnomjeran razvoj društva, uključujući ruralna područja; • Povećanje BDP-a; • Postizanje uvjeta za EU integracije.

U skladu sa ovim ciljevima uvođenje elektronskog potpisa kao infrastrukture unaprjeđenja poslovnih procesa se nameće kao prioritet. Cilj je stvoriti elektronsko poslovno okruženje za promet elektronskih dokumenata u državnoj upravi, pravosuđu, privredi i drugim oblastima, te tako stvoriti uvjete za razvoj konkurentne ekonomije, te efikasnije i racionalnije državne uprave, te kroz uspostaljanje eServisa, ostvariti bolju međusobnu komunikaciju između poslovnih subjekata, državne uprave i građana, jer ono smanjuje troškove poslovanja, doprinosi uštedama, stvara veću dodatnu vrijednost, smanjuje sivu ekonomiju i minimalizira korupciju. Takođe, cilj je da se omogući građanima, poslovnim i drugim subjektima, da svoje obaveze ili zahtjeve prema upravi obavljaju na što efikasniji način, uz minimalne troškove i broj fizičkih kontakata sa organima uprave, i to putem više različitih elektronski baziranih kanala za isporuku servisa (web, mobilni telefon, itd). Kao važan segment elektronskog poslovanja se može navesti ispostavljanje i dostavljanje elektronskih faktura, obzirom da većina poslovnih subjekata već ima kapacitete za obavljanje elektronskog fakturiranja (putem vlastitih informatičkih sistema ili putem infrastrukture za elektronsko bankarstvo) i elektronske nabavke, koje su važan katalizator promjena jer zahtijevaju sveobuhvatnu integraciju sistema i poslovnih procesa širom javnog i privatnog sektora. Razvoj državnih rješenja za sve eServise treba promatrati u kontekstu širih promjena u cilju modernizacije vlasti i postizanju apsolutne interoperabilnosti. Konkretni ciljevi bi bili slijedeći:

1. Uspostaviti državnu infrastrukturu javnog ključa (PKI) kao sistema za izradu i upotrebu elektronskog potpisa, što je preduvjet za cijeli niz interaktivnih servisa koji se moraju ostvariti u G2C scenarijima (usluge vlade prema građanima);

2. Osigurati interoperabilnost i priznavanje svih akreditiranih CA na teritoriji BiH; 3. Izjednačiti validnost elektronskih i standardnih (papirnih) podnesaka i dokumenata; 4. Omogućiti upotrebu svih akreditiranih sigurnih elektronskih potpisa za poslovanje sa

javnom upravom.

A da bi se u budućnosti ovi ciljevi uspješno implementirali i da bi se uveo elektronski potpis u poslovne procese informacionog društva neophodno je ispuniti slijedeće uvjete i sprovesti slijedeće korake:

1. Uspostaviti pravni okvir za ePoslovanje izradom zakona i podzakonskih akata u skladu sa pravnom stečevinom EU;

2. Uspostaviti institucionalni okvir neophodan za sigurnu i uspješnu primjenu ePotpisa u poslovnim procesima u BiH;

3. Uskladiti sve zakone i podzakonske akte iz oblasti elektronskog poslovanja na svim nivoima vlasti u skladu sa relevantnim zakonodavstvom EU, te osigurati usklađenost ostalih pravnih propisa relevantnih za oblast primjene ePotpisa u BiH.

4

2.2 Pravni aspekt Informaciono društvo je globalno i stoga se pravni okvir države mora zasnivati na globalnim inicijativama za usklađivanje kao i na inicijativama u okviru Evropske unije. Ispod su navedene najbitnije uredbe, direktive i drugi pravni akti EU koji se tiču područja elektronskih potpisa, elektronskog poslovanja i elektronske vlade. Direktiva 1999/93/EC o okviru Zajednice za elektronske potpise Ova direktiva uspostavlja pravni okvir za elektronske potpise i usluge potvrđivanja na nivou Evrope. Cilj je olakšati upotrebu elektronskih potpisa i pomoći da postanu pravno priznati u okviru država članica. Odluka 2003/511/EC Komisije od 14. jula 2003. godine o objavljivanju referentnih brojeva opće priznatih standarda za proizvode elektronskih potpisa u skladu sa Direktivom 1999/93/EC Evropskog parlamenta i Vijeća Ova odluka se poziva na tri opće prihvaćena standarda za proizvode za elektronske potpise koji pretpostavljaju poštovanje kvalificiranog elektronskog potpisa. Odluka 2000/709/EC Komisije od 6. novembra 2000. godine o minimalnim kriterijima koje države članice moraju uzeti u obzir kada odreñuju organe u skladu sa članom 3.(4) Direktive 1999/93/EC Evropskog parlamenta i Vijeća o okviru Zajednice za elektronske potpise Ova odluka određuje kriterije koje države članice moraju uzeti u obzir kada određuju državna tijela za procjenu usklađenosti uređaja za kreiranje sigurnih potpisa. Direktiva 2000/31/EC Evropskog parlamenta i Vijeća od 8. juna 2000. godine o odreñenim pravnim aspektima usluga informacionog društva, naročito elektronskog poslovanja, na unutrašnjem tržištu („Direktiva o elektronskom poslovanju“) Direktiva o elektronskom poslovanju, usvojena 2000. godine, uspostavlja okvir za elektronsko poslovanje na unutrašnjem tržištu, koji pruža pravnu sigurnost i za poduzeća i za klijente. Uspostavlja usklađena pravila za pitanja kao što su uvjeti za transparentnost i informacije pružaoca online usluga, komercijalnu komunikaciju, elektronske ugovore te ograničenja odgovornosti pružaoca posredničkih usluga. Direktiva 2006/112/EC od 28. novembra 2006. godine o zajedničkom sistemu poreza na dodatnu vrijednost Pošto su većina faktura PDV fakture, poštovanje zakona o PDV-u je bitno pitanje za poduzeća. Prva norma EU u području elektronskog fakturiranja PDV-a bila su pravila fakturiranja iz Šeste direktive iz 1977. godine (77/388/EC). Kao reakcija na zabrinutost poduzeća o veoma raznolikim pravilima u nekim državama članicama i kao reakcija na tehnološke razvoje, Evropska komisija je usvojila izmjenu u obliku Direktive EZ o fakturiranju (2001/115/EC). Ova direktiva je dala jedinstveni evropski standard za sadržaj fakture za PDV i omogućila je elektronsko fakturiranje i pohranu u svim državama članicama. Pravila o fakturiranju PDV-a su sada sadržana u Direktivi o PDV-u (2006/112/EC). U skladu

5

sa Direktivom možemo odrediti tri osnovna područja elektronskog fakturiranja: sadržaj fakture (članovi 226. do 231. i član 238. Direktive o PDV-u), elektronsko fakturiranje (članovi 232. do 236. Direktive o PDV-u) i pohranjivanje (arhiviranje) faktura (članovi 244. do 249. Direktive o PDV-u). Direktive EU o javnim nabavkama Glavni princip pravnog okvira EU za elektronske nabavke je da bi svako poduzeće trebalo biti u stanju da učestvuje, sa jednostavnom i uobičajenom opremom i osnovnim tehničkim znanjem, u postupku javne nabavke koji se djelomično ili u potpunosti provodi elektronskim putem. Ovaj zakonski okvir se može naći u uredbama i direktivama o nabavci: - Direktiva 2004/17/EC Evropskog parlamenta i Vijeća od 31. marta 2004. godine

kojom se koordiniraju pravila javnih nabavki za organe koji posluju u sektoru voda, energije, prijevoza i poštanskih usluga;

- Direktiva 2004/18/EC Evropskog parlamenta i Vijeća od 31. marta 2004. godine. koja koordinira postupke za dodjelu ugovora o javnoj nabavci radova, javnoj nabavci roba i javnoj nabavci usluga;

- Uredba br. 1564/2005 Komisije (EC) od 7. septembra 2005. godine kojom se utvrđuju standardni obrasci za objavljivanje obavještenja u okviru postupaka javne nabavke u skladu sa Direktivama 2004/17/EC i 2004/18/EC Evropskog parlamenta i Vijeća;

- Direktiva 2005/51/EC Komisije od 7. septembra 2005. godine koja mijenja Dodatak XX Direktive 2004/17/EC i Dodatak VIII Direktive 2004/18/EC Evropskog parlamenta i Vijeća o javnim nabavkama;

- Direktiva 2009/81/EC Evropskog parlamenta i Vijeća od 13. jula 2009. godine o koordinaciji postupaka za dodjelu ugovora o nabavci određenih radova, nabavci određenih roba i nabavci određenih usluga od strane ugovornih organa ili subjekata u području odbrane i sigurnosti koja mijenja Direktive 2004/17/EC i 2004/18/EC.

Kao reakcija na potrebu razvoja i usklađivanja pravog okvira sa globalnim i evropskim pravnim razvojima u zadnje dvije decenije usvojeno je zakonodavstvo u Bosni i Hercegovini na državnom nivou, a određeni pravni akti su usvojeni i na nivou entiteta. Osnovni elementi su navedeni dalje u tekstu. Državni nivo Država je usvojila savremeno zakonodavstvo, prije svega Zakon o elektronskom potpisu, Zakon o elektronskom pravnom i poslovnom prometu i prateća podzakonska akta za područja elektronskih potpisa, elektronskih sjednica vlade, Internet stranica, itd. Izmjene i dopune Zakona o općem upravnom postupku, koji uređuje najširi mogući spektar vladinih postupaka, su takođe usvojene kako bi se stvorili osnovi za elektronske usluge. U tom smislu trenutno su na snazi slijedeći pravni akti:

- Zakon o elektronskom potpisu („Službeni glasnik BiH“, broj 91/06); - Zakon o elektronskom pravnom i poslovnom prometu („Službeni glasnik BiH“, broj

88/07); - Zakon o upravnom postupku („Službeni glasnik BiH” br. 29/02, 12/04, 88/07, 93/09); - Odluka o osnovama upotrebe elektronskog potpisa i pružanja usluga ovjeravanja

6

(„Službeni glasnik BiH“, broj 21/09); - Odluka o elektronskom poslovanju i e-vladi (“Službeni glasnik BiH“ broj 07/10); - Odluka o uredskom poslovanju ministarstava, službi, institucija i drugih organa

Vijeća ministara BiH – (“Službeni glasnik BiH” br. 21/01, 29/03); - Uputstvo o izradi i održavanju službenih Internet stranica institucija BiH (Službeni

glasnik BiH broj 21/09). Dalje, trenutno su u pripremi i slijedeći pravni akti:

- Pravilnik o unutrašnjoj organizaciji Ministarstva komunikacija i prometa BiH (osnivanje Ureda za nadzor i akreditacije);

- Zakon o Agenciji za razvoj informacionog društva. Republika Srpska U skladu sa Strategijom eVlade 2009. - 2012. godine Vlada Republike Srpske je usvojila slijedeće zakone i podzakonske akte:

- Zakon o elektronskom potpisu RS („Službeni glasnik RS“, broj 59/08)

Ovaj zakon uređuje upotrebu elektronskog potpisa u pravnim poslovima i drugim pravnim radnjama, kao i prava, obaveze i odgovornosti u vezi s elektronskim certifikatima (potvrdama). Uz sam zakon, donesen je cijeli niz podzakonskih akata koji uređuju područja kao što su evidencija davaoca usluga certificiranja elektronskih potpisa, jedinstveni registar davaoca usluga certificiranja elektronskih potpisa koji izdaju kvalificirane certifikate, mjere i postupci upotrebe i zaštite elektronskog potpisa, sredstava za izradu elektronskog potpisa, obaveznog osiguranja davaoca usluga izdavanja kvalifikacionih certifikata itd., tj. slijedeće:

- Uredba o nosiocu poslova elektronske certifikacije u republičkim organima uprave (“Službeni glasnik RS“ br. 114/08, 73/09);

- Pravilnik o evidenciji davaoca usluga certificiranja elektronskog potpisa certificiranih organa (“Službeni glasnik RS“ broj 88/09);

- Pravilnik o sadržaju i načinu vođenja registra certifikacionih organa za izdavanje kvalificiranih elektronskih certifikata (“Službeni glasnik RS“ broj 88/09);

- Pravilnik o mjerama zaštite elektronskog potpisa, i kvalificiranog elektronskog potpisa, najnižem iznosu obaveznog osiguranja i primjeni organizacionih i tehničkih mjera zaštite certifikata – (”Službeni glasnik RS” broj 88/09);

- Pravilnik o tehničkim pravilima za osiguranje povezanosti evidencija („Službeni glasnik RS“ broj 88/09).

Na osnovu odredaba Zakona o Vladi Republike Srpske i Zakona o sistemu javnih službi, Vlada Republike Srpske je 2007. godine donijela Odluku o osnivanju Javne ustanove „Agencija za informaciono društvo Republike Srpske“. Ovim aktom Republika Srpska osnovala je instituciju zaduženu za praćenje razvoja informacionog društva, te promociju upotrebe informaciono-komunikacionih tehnologija. Nadzor nad radom Agencije, u ime Vlade RS, obavlja Ministarstvo nauke i tehnologije RS.

7

- Zakon o elektronskom dokumentu RS („Službeni glasnik RS“, broj 110/08)

Ovaj zakon uređuje pravo fizičkih i pravnih lica na upotrebu elektronskog dokumenta u svim poslovnim radnjama i djelatnostima, te u postupcima koji se vode pred organima republičke uprave u kojima se elektronska oprema i programi mogu primjenjivati u izradi, prijenosu, pohranjivanju i čuvanju informacija u elektronskom obliku. Zakon takođe uređuje pravnu važnost te upotrebu i promet elektronskih dokumenata.

- Zakon o elektronskom poslovanju RS (Službeni glasnik RS 59/09)

Ovaj zakon definira pružanje usluga i pravila u vezi sa sklapanjem ugovora u elektronskom obliku.

Federacija Bosne i Hercegovine Federacija BiH nema legislativu za primjenu elektronskog potpisa, jer se oslanja na Zakon o elektronskom potpisu BiH. Brčko Distrikt BiH

- Zakon o elektronskom potpisu Brčko Distrikta BiH („Službeni glasnik BD br. 39/10, 61/10); planirano da stupi na snagu 01.01.2011. – odgođeno do 31.06.2011.

- Zakon o elektronskoj ispravi Brčko Distrikta BiH („Službeni glasnik BD br. 39/10, 61/10); planirano da stupi na snagu 01.01.2011. – odgođeno do 31.06.2011.

Zakon o elektronskom potpisu Brčko Distrikta BiH se ne razlikuje od zakona donesenih 2006. od strane Parlamentarne skupštine BiH ili zakona u Republici Srpskoj. Obzirom na nemogućnost implementacije Zakona o elektronskom potpisu BiH, tj. nepostojanja Nadzornog organa koji bi vršio nadzor i akreditaciju CA, zakonodavac Brčko Distrikta BiH je procijenio da je optimalnije usvojiti posebni zakon u distriktu i na taj način primijeniti propis o elektronskom potpisu. U skladu sa članom 9. Zakona o elektronskom potpisu Brčko Distrikta BiH, Odjeljenje za javni registar propisuje mjere zaštite elektronskog potpisa i naprednog elektronskog potpisa, kao i mjere provjere identiteta potpisnika. Član 43. takođe propisuje da će šef Odjeljenja za javni registar donijeti sve neophodne podzakonske akte propisane zakonom, u roku od šest mjeseci od stupanja na snagu Zakona o elektronskom potpisu Brčko Distrikta BiH. Usklañenost zakona sa osnovnim zahtjevima EU Zakon o elektronskom potpisu BiH u velikoj mjeri preuzima postignuća i režim elektronskih potpisa, na način sličan onome iz dokumenta Zajednice, kao npr.: Pristup tržištu – Zemlje članice ne smiju dozvoliti da usluge ovjeravanja budu predmetom prijethodne autorizacije bilo koje vrste, niti ograničiti broj akreditiranih pružalaca usluga ovjeravanja ili ograničiti pružanje usluga ovjeravanja koje potječu iz druge zemlje članice u

8

područjima obuhvaćenim Direktivom. Programi dobrovoljnog akreditiranja mogu biti uvedeni sa ciljem unaprjeđenja pružanja usluga ovjeravanja – član 7. i član 24. Zakona o elektronskom potpisu BiH. Pravni učinci elektronskih potpisa – Osnovne odredbe Direktive navode da napredan elektronski potpis, baziran na kvalificiranoj potvrdi koji je kreirala naprava za kreiranje sigurnog potpisa zadovoljava zakonske uvjete za potpis vezane za podatke u elektronskom obliku jednako kao što svojeručni potpis zadovoljava uvjete vezane za podatke u papirnim, te da bi se trebao koristiti kao dokaz u pravnim postupcima – član 4. i član 5. Zakona o elektronskom potpisu BiH. Odgovornost - Zemlje članice moraju osigurati da je pružalac usluga ovjeravanja koji izdaje kvalificiranu potvrdu odgovoran vis-à-vis svake osobe koja se oslanja na potvrdu za: tačnost svih informacija u kvalificiranoj potvrdi, pridržavanje svih uvjeta iz Direktive pri izdavanju kvalificirane potvrde, osiguranje da je vlasnik identificiran u kvalificiranoj potvrdi u trenutku izdavanja potvrde bio u posjedu svih podataka za formiranje potpisa, koji odgovaraju podacima za provjeru potpisa sadržanim u potvrdi datog ili identificiranog u potvrdi, u slučajevima kada pružalac usluga ovjeravanja povlači podatke za formiranje potpisa ili provjeru potpisa, osiguravanje da su podaci za formiranje potpisa i s njima usuglašeni podaci za provjeru potpisa odgovarajući u komplementarnom smislu. Pružalac usluga ovjeravanja se neće smatrati odgovornim za štetu nastalu u vezi sa upotrebom kvalificirane potvrde za transakcije čija je vrijednost van navedenih ograničenja. – član 19. Zakona o elektronskom potpisu BiH. Meñunarodni aspekti - Zemlje članice moraju osigurati primjenu međusobnog zakonskog priznavanja kvalificiranih potvrda i elektronskih potpisa iz trećih država ukoliko se ispunjavaju određeni uvjeti važenja – član 24. Zakona o elektronskom potpisu BiH. Zaštita podataka - Zemlje članice moraju osigurati da su pružaoci usluga ovjeravanja i državna tijela odgovorna za akreditiranje ili nadzor usklađeni sa Direktivom 95/46/EC o zaštiti ličnih podataka iz – članova 14., 15. i 18. Zakona o elektronskom potpisu BiH. Zakon ne bi trebao biti proveden bez odgovarajućih propisa o provođenju. U okviru člana 26. (2), Vijeće ministara BiH bi trebalo primijeniti propise o provođenju zakona, u roku od šest mjeseci od datuma objavljivanja akta u Službenom glasniku (tj. u 2006. godini). S druge strane, Ministarstvo komunikacija i prometa BiH nije uspjelo dobiti odobrenje od Vijeća ministara BiH i uspostaviti Ured za nadzor i akreditovanje CA, u skladu sa članom 20. Zakona o elektronskom potpisu BiH. Generalno promatrano, svi spomenuti zakoni su uglavnom usklađeni sa Direktivom 1999/93/EC Evropskog parlamenta i Vijeća od 13. decembra 1999., o pravnom okviru Zajednice po pitanju elektronskih potpisa, i Direktivom 2000/31/EC Evropskog parlamenta i Vijeća od 8. juna 2000., po pitanju pravnih aspekata usluga informacionog društva, konkretno elektronskog poslovanja, na unutrašnjem tržištu („Direktiva o elektronskom poslovanju“). Stoga možemo zaključiti da postoji savremen i prilično detaljan pravni okvir. Ovaj okvir pruža predvidljive i pouzdane odgovore na pitanja vezana za integritet, autentičnost i nemogućnost poricanja elektronskog oblika i potpisa. Uprkos općoj usklađenosti sa

9

direktivama EU i globalnim modelima za pravne dokumente, postoje određeni problemi: 1. neke od odredbi su komplicirane ili nepraktične i u nekim područjima previše

restriktivne; 2. zakoni i predviđena obaveza da se registrira aktivnost CA postoje na državnom, ali i

na entitetskom nivou; 3. neka pravna pitanja su ostala neriješena; u slučajevima u kojima se nije moguće

osloniti na mjere EU acquisa, lokalna legislativa je neujednačena i nedovršena po pitanju određenih vrlo praktičnih aspekata (npr. pravni efekti prijenosa papirne dokumentacije u elektronski oblik, dugoročnog elektronskog arhiviranja, postupci elektronske vlade, elektronskih nabavki, elektronskih sudskih postupaka, itd.);

4. čak i kada su zakoni neutralni po pitanju tehnologije ili oblika (gdje se tekst ne odnosi isključivo na papirne dokumente) te samim tim dopuštaju korištenje savremenih IKT alata, nadležna državna tijela uglavnom tumače zakone na tradicionalan način dopuštajući samo korištenje rukom pisanih potpisa i papirnih dokumenata.

2.3 Institucionalni i politi čki aspekt Iako je Zakon o elektronskom potpisu BiH na snazi već od 2006.godine, pojavila su se mnoga neriješena institucionalna i politička pitanja koja onemogućavaju ili usporavaju proces implementacije Zakona, a samim tim i razvoj područja primjene ePotpisa u BiH, među kojima su najvažniji:

- Nerazumijevanja nadležnost u oblasti elektronskog potpisa i elektronskog poslovanja; - Institucije u BiH nisu u dovoljnoj mjeri bile posvećene implementaciji Zakona o

elektronskom potpisu BiH; - Spori napredak reforme javne uprave i loše poslovno okruženje u društvu umanjuje

značaj primjene ePotpisa i sve prednosti koji se time postižu; - Nepostojanje Ureda za akreditaciju i nadzor CA u okviru Ministarstva prometa i

komunikacija BiH; Na državnom nivou Ministarstvo komunikacija i prometa BiH neophodno je formirati Ured za nadzor i akreditаciju CA koji je predviđen važećim zakonom (član 20, stav 1). Zbog veličine države i iskustava iz drugih zemalja, smatra se da je za ovakav Ured potreban veoma mali broj zaposlenih. Ovaj ured je neophodan za sve opcije primjene Zakona o ePotpisu koje će biti predložene u daljem tekstu ovog dokumenta. Što se tiče sistematizacije radnih mjesta u Uredu za nadzor i akreditaciju, predlaže se ukupno 5 zaposlenih, s tim da je za početak potrebno zaposliti tri državna službenika na slijedeća radna mjesta, i to:

1. Načelnik ureda čiji je zadatak da rukovodi radom Ureda, predlaže usvajanje odgovarajućih mjera i postupaka u vezi upotrebe elektronskog potpisa u projektima „e-Vlade“, sarađuje sa drugim organima u oblasti razvoja i unaprjeđenja upotrebe elektronskog potpisa, i dr.; 2. Stručni savjetnik za inspekcijski nadzor čiji bi zadatak bio da obavlja poslove inspekcijskog nadzora, te poslove koji su u vezi registracije, akreditacije i vođenja registara CA i usluga opoziva inspekcijskog nadzora.

10

3. Stručni savjetnik za razvoj e-potpisa i e-poslovanja čiji bi zadatak bio da obavlja poslove u vezi općeg razvoja e-potpisa i poslovanja te ostvarivanja povjerenja za poslovanje u elektronskom okruženju.

Pored navedenog, potrebno je uspostaviti Centralni registar povjerenja i usluga (centar povjerenja) kao jedinstvenu evidenciju, na svim nivoima vlasti, koji bi sadržavao registar kontakata i evidenciju za sve informacije koje se odnose na važnost kvalificiranih potvrda i na usluge ovjeravanja u koje imaju povjerenja.

2.4 Tehnički aspekt Osnovnu tehničku komponentu čine jedna ili više infrastruktura javnih ključeva (PKI). To može biti ili centralna infrastruktura sa jednim organom za izdavanje potvrda i podređenim organima koji izdaju potvrde za elektronske potpise ili nezavisnije infrastrukture na nekom stepenu interoperabilnosti. U Bosni i Hercegovini trenutno ne postoji PKI infrastruktura za pravna i fizička lica na nivou države. Međutim, postoji niz nezavisnih PKI infrastruktura, prije svega elektronsko bankarstvo i djelomično u sektoru elektronske vlade koji djeluju u zatvorenim sistemima, čime je trenutno obuhvaćeno, ili će biti obuhvaćeno preko 10.000 firmi i skoro 10.000 državnih službenika. Stoga tehnički problem nije u tolikoj mjeri zasnovan na nepostojanju PKI infrastrukture na nivou države. Prije se može reći da je problem u okupljanju i spajanju različitih postojećih PKI infrastruktura i informatičkih sistema. 2.5 Procjena mogućih posljedica

Moguće negativne posljedice su najuočljivije u poslovnom sektoru i B2B i G2B transakcijama, gdje nedovoljno sigurno i efikasno regulatorno okruženje sprječava poslovanja u povećavanju konkurentnosti putem smanjivanja troškova i vremena potrebnih za poslovne transakcije i poslovanje sa vladom. Takođe će spriječiti poduzeća da učestvuju u stranim tenderima i ugovorima koji će zahtijevati elektronske ugovore ili elektronske fakture. Primjena elektronskog potpisa povećava efikasnost vlada na svim nivoima vlasti.

III. MOGUĆE OPCIJE

Za primjenu Zakona o elektronskom potpisu BiH predlažu se slijedeće opcije: Opcija 1: „Ne poduzimati ništa“ Opcija 2: „Promjene u postojećem institucionalnom, pravnom i tehničkom okviru - Root CA za BiH“

11

Opcija 3: „Model korištenjem Pareto pristupa“ Opcija 4: „Model 'Bridge of Trust'“. 3.1 Opcija 1 – „Ne poduzimati ništa“ Ova opcija znači očuvanje postojećeg institucionalnog i pravnog okvira na snazi. Trenutno u BiH djeluju poslovni subjekti sa certifikatima iz EU-a i trećih zemalja, u okviru zatvorenog sistema. Ako se odabere ova opcija, javit će se posljedice opisane u poglavlju 2.5. Opcija 1: Prednosti Ova opcija ne nudi nikakve prednosti. Opcija 1: Troškovi Očekuje se da će u slučaju ne poduzimanja mjera doći do slijedećih troškova: povećani direktni i indirektni/administrativni troškovi za javni sektor i privatni sektor. Prema podacima prikupljenim od strane Poreskih uprava FBiH, RS i BD, o troškovima slanja faktura, podacima dobijenim od pravnih lica o prosječnom broju poslanih faktura na mjesečnom nivou; te na osnovu statističkih podataka o broju stanovnika, prikazan je ukupan godišnji trošak slanja faktura za privredu i vladine institucije BiH, FBiH, RS i BD. Analiza obuhvata račune za komunalne usluge, fakture između pravnih lica, te fakture između vladinih institucija i privatnog sektora. S tim u vezi, uzimajući u obzir prosječan rast BDP-a1, u narednim tabelama i grafikonima prikazan je ukupan trošak slanja faktura za vladine institucije i privatni sektor.

Tabela 1: Projekcija ukupnih2 troškova slanja faktura za vladin sektor, za period od 5 godina

Godina 2012 2013 2014 2015 2016

Vladin sektor 2,904,930 KM 3,024,322 KM 3,148,622 KM 3,278,030 KM 3,412,757 KM

1 Projektiran je prosječan rast BDP za period 2011-2015 prema podacima Svjetske banke za period 2005-2009. 2 Podaci o ukupnim troškovima slanja faktura dobijeni su od privatnog sektora i poreskih uprava a obuhvataju cijenu papira, štampanja, koverte, poštarine kao i prosječno vrijeme potrebno za slanje jedne fakture.

12

Tabela 2: Projekcija ukupnih troškova slanja faktura za privredni sektor za period od 5 godina

Godina 2012 2013 2014 2015 2016

Privatni

sektor

274,983,336 KM 278,894,052 KM 282,965,498 KM 287,204,282 KM 291,617,279 KM

3.2 Opcija 2 – Promjene u postojećem institucionalnom, pravnom i tehničkom okviru - Root CA za BiH

3.2.1 Opće Ova opcija se bazira na modelu hijerarhijske strukture povjerenja i poznata je kao model “root“ (korijenski, glavni) PKI (slika 1).

1.500.000 KM

2.000.000 KM

2.500.000 KM

3.000.000 KM

3.500.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 1: Troskovi slanja faktura vladinog

sektora

265.000.000 KM

270.000.000 KM

275.000.000 KM

280.000.000 KM

285.000.000 KM

290.000.000 KM

295.000.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 2: Troskovi slanja faktura privatnog

sektora

13

Postoji samo jedan “Root“ CA koji generira digitalni certifikat koji dalje certificira subordinirajuće CA u hijerarhijskoj strukturi sve do krajnjeg korisnika digitalnog certifikata. Svaki subordinirajući CA je nadređen onom ispod sebe a podređen onom iznad sebe. “Root“ CA je svim subordinirajućim CA-ovima nadređeni CA i u ovakvoj arhitekturi domena povjerenja predstavlja početnu tačku povjerenja i apsolutni autoritet.

Slika 1. Šematski prikaz: Model hijerarhijske strukture povjerenja

3.2.2 Arhitektura u BiH

Ova opcija predviđa uspostavu hijerarhijske PKI infrastrukture, gdje bi institucija na državnom nivou (npr. Ministarstvo komunikacija i prometa BiH), u čijoj je ingerenciji primjena Zakona o ePotpisu, bila zadužena za izdavanje i generiranje digitalnog certifikata, kao početne tačke povjerenja i predstavljalo bi Glavni “Root“ CA za BiH. Ministarstvo može sklopiti ugovor za obavljanje operativnih usluga za Glavni CABiH sa fizičkim ili pravnim subjektima koji ispunjavaju uvjete propisanim Zakonom o ePotpisu i uvjete iz podzakonskih akata ovog zakona, koji tada postaje operativno tijelo (Operation Authority) Glavnog “Root“ CABiH ( Operation Authority (OA NPKIBiH). U BiH to može biti neka državna agencija,kao npr.: Centralna banka BiH, telekom operatori u BiH, poštanski operatori u BiH ili neke državne ili privatne firme osposobljene da budu OA. Odluku o imenovanju operativnog tijela (OA) donijeti će Vijeće ministara BiH na prijedlog resornog Ministarstva zaduženog za primjenu Zakona o ePotpisu. Operativno tijelo bi u ime državne institucije izdavalo digitalne certifikate podređenim (subordinirajućim) CA, a koji bi opet distribuirali digitalne certifikate po modelu hijerarhijske PKI do krajnjih korisnika. Operativno tijelo bi tako kao početna tаčka povjerenja u ovakvoj arhitekturi PKI ili u tehničkom smislu “Root“ CA za BiH i njoj pripadajuću PKI. “Root“ CA za BiH bi prema namjeni mogao generirati razne vrste digitalnih certifikata među kojima su najvažniji: - lične (za građane), - poslovni (za poslovne subjekte) i - za institucije državne uprave na svim nivoima vlasti

14

Na slici 2 je prikazano jedno od mogućih rješenja u BiH po modelu “Root“ CA za BiH. PK infrastruktura je hijerarhijska, u kojoj postoji glavni krovni certifikat (državna institucija BiH). Ovo rješenje, u okviru predložene opcije maksimalno uvažava složeno („dayton-sko“) uređenje BiH, obzirom da su subordinirajući CA-ovi ove hijerarhijske strukture su predviđeni u entitetima RS i FBiH, kao i u Brčko DC BiH. Naravno moguća su i druga rješenja po ovome modelu što bi bilo stvar dogovora nadležnih. Glavni „root“ CA BiH izdaje digitalne certifikate entitetskim CA-ovima (RS i FBiH) i Brčko Distrikt BiH CA, koji će dalje pružati usluge izdavanja kvalificiranih certifikata nižim podređenim CA ( ili direktno krajnjim korisnicima), a ovi opet prema nižim u odnosu na sebe, prateći hijerarhijsku strukturu, sve do krajnjih korisnika ka završnoj tački povjerenja PKI BiH. Takođe, Glavni “Root“ CA BiH bi, u isto vrijeme, mogao da izdaje digitalne certifikate i državnim institucijama kao krajnjih korisnika a u svrhu upotrebe digitalnih certifikata za institucije BiH ( G2G,G2B i G2C servise eUprave).

Slika 2. Šematski prikaz jednog od mogućih rješenja “Root CA BiH“

Kao operativno tijelo za “Root“ CA BiH vrlo uspješno se kandidira državna agencija IDDEEA, što bi svakako trebalo uzeti u obzir kod izbora OA (operativno tijelo). Naime, Agencija IDDEEA uspješno baštini sve blagodati strateškog informatičkog projekta CIPS (Citizen Identity Protection System), koji je omogućio servise građanima BiH posebno u domenu izdavanja ličnih dokumenata i zaštite njihovih ličnih podataka. Takođe, ova agencija već ima ulogu CA u jednom zatvorenom domenu povjerenja gdje izdaje digitalne certifikate za službenike javne uprave. Isto tako, IDDEEA je operativno tijelo subordinirajućeg CABIH (Ministarstvo komunikacija i prometa BiH) za izdavanje digitalnog certifikata u zatvorenom “root“ PKI EU za korištenje servisa „TachoNet“ ( usluga izdavanja kartica za digitalne

15

tahografe) u oblasti transporta, gdje je Glavni “Root“ CA EU ovog domena povjerenja ERCA (European Root Certifikate Authority) smješten u EU (Italija).

Stoga je sasvim jasno da IDDEEA ima sve tehničke, stručne i ljudske potencijale da uz neke izmjene postojeće zakonske regulative koja se odnosi na rad ove agencije, vrlo snažno pretendira da bude kandidat za operativno tijelo Glavnog “Root“ CA BiH za sve vrste digitalnih certifikata, ukoliko se ova opcija prihvati.

Eventualno, moguće je formirati drugi operativni organ za izdavanje potvrda samo za poslovni sektor, koje bi se moglo formirati u okviru nekog drugog državnog organa ili u saradnji više organa što je stvar mogućih varijanti ove opcije.

Primjenom ovog modela ostavljena je mogućnost izdavanja digitalnih certifikata od strane CA-ova registriranih u EU, kao i drugi domaći CA-ovi koji su u BiH registrirani za pružanje usluga izdavanja digitalnih certifikata. Ova opcija, naravno, podrazumijeva Ured za nadzor i akreditaciju na državnom nivou koji će obavljati akreditaciju i nadzor nad svim akreditiranim CA organima u državi.

3.2.3. Pravni okvir Neophodno je formirati Ured za nadzor i akreditaciju CA koji je predviđen važećim zakonom (član 20, stav 1). Opcija 2 podrazumijeva rješavanje pitanja koje se odnose na neusklađenost zakonodavstva, te bi se s tim u vezi izvršio pregled zakonodavstva i usvojile neophodne izmjene i dopune. Bez obzira na usvojeno rješenje, jasno je da se svi akteri trebaju dogovoriti da primjene jedinstven nadzor jer će se u suprotnom suočiti sa troškovima dupliciranih nadzornih funkcija i birokratskim ograničenjima za poslovanje širom entiteta i države. Potrebno je uskladiti Zakon o elektronskom potpisu u RS-u i Zakon o elektronskom potpisu BD BiH sa Zakonom o elektronskom potpisu u BiH, kao i donijeti odgovarajuće podzakonske akte definirane članom 26. Zakona o elektronskom potpisu u BiH, te izradu novih zakonskih propisa koji će omogućiti adekvatnu primjenu Zakona. Iako je Zakon o elektronskom potpisu BiH („Službeni glasnik BiH“, broj 91/06) u potpunosti harmoniziran sa Direktivom 1999/93/EC o okviru Zajednice za elektronske potpise, potrebno je izmijeniti i dopuniti Odluku o osnovama upotrebe elektronskog potpisa i pružanja usluga ovjeravanja („Službeni glasnik BiH“, broj 21/09), jer Odluka sadržava odredbe, koje su u suprotnosti sa EU direktivom.

Kao prvo, član 2. koji regulira naknade i član 19. o nadzoru i akreditaciji uzrokuju određenu sumnju da država u stvarnosti nameće određenu vrstu provjere prije registriranja CA. Takav zahtjev je direktno suprotan EU direktivi i zato je potrebna izmjena ove odluke kako bi se na primjereniji način regulirala registracija, naknade i akreditacija.

Kao drugo, Odluka ne regulira detaljno sva pitanja za koja Zakon o elektronskom potpisu (Službeni glasnik BiH, broj 91/06) propisuje donošenje podzakonskih akata za provođenje zakona (član 26.). Ujedno, postoje i međunarodni i Evropski tehnički standardi i preporuke, koje je potrebno uvesti u pravni sistem BiH. Ovi se nedostaci mogu ukloniti na način da se proširi postojeća Odluka ili da se donesu novi podzakonski akti za grupe ili svakog posebno kako slijedi:

16

• IETF/RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

• IETF/RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework

• IETF/IEC 3161, 5816 Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)

• CAdES - CMS Napredni elektronski potpisi

• PAdES - PDF Napredni elektronski potpisi

• XAdES - XML Napredni elektronski potpisi

• TS 101 733 CMS Napredni elektronski potpisi (CadES)

• TS 102 734 Profili CMS Naprednih elektronskih potpisa zasnovani na TS 101 733 (CAdES)

• TS 101 903 XML Napredni elektronski potpisi (XadES)

• TS 102 904 Profili XML Naprednih elektronskih potpisa zasnovani na TS 101 903 (XadES)

• TS 102 778 Profili PDF Naprednih elektronskih potpisa (Dijelovi 1 do 5)

• TR 102 047 Međunarodno usklađivanje formata elektronskih potpisa

• TR 102 438 Primjena standarda za elektronske potpise u Evropi

• TR 102 605 Registrirani e-mail

• TS 102 640 Registrirana elektronska pošta (REM) (Dijelovi 1 do 3)

• TS 102 231 Uredba o usklađenim statusnim informacijama usluge povjerenja

• TS 101 861 Profili vremenskih pečata

• TS 101 862 Profili kvalificiranih potvrda

• TR 102 272 ASN.1 format politike upotrebe politike

• TS 102 280 X.509 V.3 Profil potvrda za potvrde koje se izdaju fizičkim licima

• TS 101 456 Zahtjevi po pitanju politike za organe za izdavanje potvrda koja izdaju kvalificirane potvrde

• TR 102 437 Smjernice za TS 101 456 (Zahtjevi po pitanju politike za organe za izdavanje potvrda koja izdaju kvalificirane potvrde)

• TR 102 458 Matrica za mapiranje razlika između politike za izdavanje potvrda Federalnog organa za izdavanje potvrda SAD-a i Evropske politike izdavanja kvalificiranih potvrda (TS 101 456)

• TS 102 023 Zahtjevi po pitanju politike za organe za izdavanje vremenskih pečata

• TR 102 040 Međunarodno usklađivanje zahtjeva po pitanju politike za organe za izdavanje potvrda koja izdaju potvrde

• TS 102 042 Zahtjevi po pitanju politike za organe za izdavanje potvrda koja izdaju potvrde za javne ključeve

17

• TS 102 158 Zahtjevi po pitanju politike za CA-ove (ovjerioce) koji izdaju potvrde svojstva koje se mogu koristiti sa kvalificiranim potvrdama

• TR 102 572 Najbolje prakse za rukovanje elektronskim potpisima i potpisanim podacima za digitalno računovodstvo

• TS 102 573 Zahtjevi po pitanju politike za pružatelje usluga povjerenja koji potpisuju i/ili pohranjuju podatke za digitalno računovodstvo

• TS 102 176-1 Algoritmi i parametri za sigurne elektronske potpise; Dio 1: Funkcije rešifriranja i asimetrični algoritmi

TS 102 176-2 Algoritmi parametri za sigurne elektronske potpise; Dio 2: Protokoli i algoritmi za sigurne kanale za uređaje za stvaranje potpisa

3.2.4. Prednosti -Jasan i sveobuhvatan pravni okvir, jednak i za državni i entitetski nivo. Jedinstven pravni okvir bi isto tako značio uklanjanje administrativnih prepreka i garantiranje jednakog tretmana za sve subjekte, koji bi se bavili izdavanjem potvrda. -Već postoji PKI, kroz već pružanje određenih servisa samo se treba nadograditi. -Razvoj vlastite javne PKI infrastrukture bi značio pojačanu administrativnu i tehničku infrastrukturu u okviru vladinih institucija i ostvarenje ušteda u vidu smanjenja broja dokumenata u tradicionalnoj papirnoj formi, kao i vrijeme potrebno za dostavljanje tih dokumenata, i u vladinom i u privatnom sektoru. Ova prednost se može iskoristiti za sve predložene opcije. -Izdavanje osnovnih certifikata od strane Državnog CA Root u BiH podrazumijeva BH lanac certificiranja i provjere kojoj se može vjerovati, preciznije, iza svakog izdatog certifikata kao garant stoji država. -Ova opcija predstavlja najjednostavnije tehničko rješenje i nudi najkraći put od početne tačke povjerenja do krajnjeg korisnika.

Tabela 5: Projektirane uštede upotrebe e-potpisa i e-dokumenata za vladin sektor za period od 5 godina

Godina 2012 2013 2014 2015 2016

Vladin sektor 0 KM 0 KM 0 KM 0 KM 341,276 KM

0 KM

100.000 KM

200.000 KM

300.000 KM

400.000 KM

500.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 5: Ustede od upotrebe e-potpisa

i e-dokumenata za vladin sektor

18

Tabela 6: Projektirane uštede upotrebe e-potpisa i e-dokumenata za privatni sektor za period od 5 godina

Godina 2012 2013 2014 2015 2016

Privatni sektor 0 KM 0 KM 0 KM 0 KM 32,305,477 KM

3.2.5. Rizici

Implementacija ove opcije bi zbog značajnih političkih i institucionalnih problema na kraju mogla rezultirati neuspjehom, što bi u stvari bilo jednako opciji 1 “Ne poduzimati ništa“. Opcija 2 bi takođe mogla biti ugrožena ukoliko se na svim nivoima vlasti ne osiguraju dodatna sredstva koja su potrebna za njenu implementaciju, a koja su navedena u troškovima.

Rizik za implementaciju ove opcije takođe može biti i činjenica da već postoje zatvoreni sistemi u državnim i entitetskim institucijama (Agencija RS, VSTV BiH ...) koji koriste razne digitalne certifikate. Primjenom ove opcije sve te institucije bi svoje PKI-a trebale uskladiti sa PKI BiH, preuzimanjem istog digitalnog certifikata od “Root“ CA BiH, što može biti problem.

3.2.6. Troškovi Troškovi mogu nastati zbog formiranja Ureda za nadzor i akreditaciju koji iziskuje nabavku potrebne informatičke opreme, kao i za ljudske resurse koji su predviđeni sistematizacijom radnih mjesta u Uredu za nadzor i akreditaciju. Takođe, mogu nastati i minimalni troškovi za izmjenu postojeće pravne regulative. Sredstva za uspostavljanje PKI3 infrastrukture za vladin sektor su obračunata za infrastrukture u entitetima i Brčko Distriktu (uzimajući u obzir da IDDEA već ima uspostavljenu PKI) i ta sredstva bi iznosila cca 1,606,197 KM, a troškovi održavanja iste bi iznosili cca 47,337 KM godišnje. Pored toga dodati su troškovi Ureda za akreditaciju i nadzor4 i iznosili bi cca 104.592 KM godišnje.

Tabela 3: Projekcija troškova upotrebe e-potpisa i e-dokumenata za vladin sektor, za period od 5 godina Godina 2012 2013 2014 2015 2016

Vladin sektor 1,710,789 KM 151,929 KM 151,929 KM 151,929 KM 151,929 KM

3 Troškovi osnivanja PKI te troškovi za smart kartice, USB i certifikate su pribavljeni od Halcoma i Entrusta 4 Troškovi Ureda za akreditaciju i nadzor odnose se na bruto plate zaposlenih u Uredu

0 KM

10.000.000 KM

20.000.000 KM

30.000.000 KM

40.000.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 6: Ustede od upotrebe e-potpisa i

e-dokumenata za privatni sektor

19

Napomena: Troškovi uspostavljanja PK infrastrukture u vladinom sektoru, pored navedenih troškova podrazumijevaju i troškove za ugovore o održavanju i implementaciji sa trećim licima (outsourcing).

Planirani troškovi za privatni sektor u iznosu od cca 900.000 KM se odnose na kupovinu smart cards, card readera ili usb-a, te odgovarajućih certifikata.

Tabela 4: Projekcija troškova upotrebe e-potpisa i e-dokumenata za privatni sektor, za period od 5 godina

Godina 2012 2013 2014 2015 2016

Privatni sektor 0 KM 0 KM 0 KM 0 KM 894,249 KM

3.3 Opcija 3 – „Model korištenjem Pareto pristupa“

3.3.1. Opće Pareto princip (poznat i pod nazivom „pravilo 80-20“, zakon elite, i princip faktora sporadičnosti) navodi da, u mnogim slučajevima, oko 80% posljedica dolazi od 20% uzroka. Ovo uobičajeno pravilo poslovanja (npr., "80% prodaje potječe od 20% vaših klijenata") je matematički zasnovano. Gdje se nešto dijeli između dovoljno velikog broja učesnika, mora postojati broj x između 50 i 100 tako da " x% uzima (100 − x)% učesnika". Ovaj broj x se kreće od 50 do 100, međutim, u stvarnosti se taj broj kreće oko 80%. Paretov princip ne zavisi od prirode aktivnost. Predstavlja jednostavan, ali moćan pristup promatranju organizacije, i što je još važnije, fokusiranju na pitanja koja su zaista bitna. Za područja koja ovdje analiziramo, Paretov princip se može iskazati u vidu slijedećih izjava i ciljeva:

0 KM

500.000 KM

1.000.000 KM

1.500.000 KM

2.000.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 3: Troskovi upotrebe e-potpisa i

e-dokumenata za vladin sektor

20

1. 80% svih G2B transakcija dolaze od 20% subjekata; 2. 20% državnih usluga doprinose 80% poslovnih aktivnosti; 3. 80% pritužbi građana/firmi se odnose na 20% administrativnih opterećenja; 4. sa 20% uloženih napora i vremena vlade postiže se 80% željenih rezultata; 5. 80% vrijednosti za društvo / poslovanje potječe od 20% procesa. Stoga opcija 3 predviđa rješavanje samo važnih pitanja i pragmatično zanemarivanje onih koja predstavljaju veliku pravnu ili institucionalnu prepreku ili donose male koristi. 3.3.2 Arhitektura za BiH

Umjesto izgradnje pojedinačnih PKI infrastruktura javnog sektora koristila bi se, u te svrhe, postojeća infrastruktura. Tamo gdje je uspostavljena ili gdje će biti uspostavljena PKI infrastruktura javnog sektora (IDDEEA PKI za građane, zatvoreni sistemi u državnim organima, poštanske usluge, itd.) i gdje pravna pitanja budu razriješena, ta bi se infrastruktura i koristila. U isto vrijeme, pod jednakim uvjetima i kao dodatak infrastrukturi javnog sektora bi se koristila i infrastruktura privatnog sektora (banke i drugi poslovni subjekti).

Slika 3. Šematski prikaz jednog od mogućih rješenja koristeći “Pareto princip“ u BiH (sa 20% uloženih napora i vremena vlade postiže se 80% željenih rezultata) Kao primjer takve infrastrukture u BiH je infrastruktura za elektronsko bankarstvo (slika 3), sa preko 10.000 poslovnih subjekata i fizičkih lica (klijenata), koji već koriste PKI infrastrukturu za svoje elektronske transakcije (eBanking) u zatvorenim sistemima. Certifikate u ovakvim bankarskim sistemima generiraju CA-ovi akreditirani u EU i oni su

21

ugovorom angažirani od samih banaka koji tako koriste njihove certifikate za svoje klijente. Uz malo napora, dogovorom institucija u BiH i banaka, infrastruktura za elektronsko bankarstvo se može efikasno iskoristiti i za usluge elektronske uprave, tako da bi se sa manjim “software“-skim i “hardware“-skim nadogradnjama, bankovni certifikati mogli koristiti kao kvalificirani u otvorenom sistemu za građane i poslovne subjekte, a za servise C2G i B2G. Ovim rješenjem bi klijenti banaka, koji već koriste eBanking, sa istim digitalnim certifikatima koristili bankovne komunikacione kanale ( PKI-e) i za pristup servisima javne uprave. U ovom slučaju, banke bi, takođe, pružale i određene usluge elektronskog arhiviranja, čuvanja dokumenata i njima upravljale, a sve u cilju razmjene raznih ePodnesaka i eRješenja svojih klijenata u komunikaciji sa javnom upravom. U sklopu Opcije 3 potrebno je uspostaviti semantičku i software-sku interoperabilnost u smislu standardizacije dokumenata i spajanja različitih PKI domena da bi se ostvarili principi upotrebljivosti, otvorenosti, neutralnosti, ekonomičnosti i generalizacije, nezavisno od bilo kakvih političkih utjecaja, čime se ostvaruje komplementarnost i povezivost različitih PKI arhitektura. Ovakvim pristupom otvara se mogućnost i korištenje PKI infrastrukture putem mobilne telefonije, za koju su neke države u regiji već uspostavile odgovarajuću infrastrukturu. Kada bi se ista uspostavila u Bosni i Hercegovini, predstavljala bi idealan komunikacioni kanal za mala i srednja poduzeća i građane. 3.3.3. Pravni okvir

Neophodno je formirati Ured za nadzor i akreditaciju CA koji je predviđen važećim zakonom (član 20, stav 1). U skladu sa ranije spomenutim, Pareto princip podrazumijeva neznatne regulatorne promjene u cilju poboljšavanja efikasnosti zakonodavstva i uklanjanja nepotrebnih administrativnih opterećenja. Takođe, domaći pružaoci usluga biti će u stanju da odaberu registraciju ili na državnom ili na entitetskom nivou, a uz to postojeći propisi osiguravaju upotrebu potvrda izdatih u EU. Sve promjene se mogu izvršiti izmjenom podzakonskih akata čime se u isto vrijeme smanjuje potreba za dugotrajnim i kompliciranim zakonodavnim postupcima izmjene propisa (odnosi se na izmjene i dopune Odluke o osnovama upotrebe elektronskog potpisa i pružanja usluga ovjeravanja, kao što je navedeno u Opciji 2).

3.3.4. Prednosti

- Minimalne izmjene postojeće pravne regulative; - Minimalna nadogradnja postojeće infrastrukture u smislu omogućavanja upotrebe elektronskog popisa u otvorenim sistemima; - Građani koji su klijenti banaka i koriste eBanking mogu pristupiti eServisima javne uprave sa istog mjesta (portala); - Poslovni subjekti koji elektronski posluju sa bankama mogu sa istog mjesta uspostaviti B2G servise u komunikaciji sa organima javne uprave; - Uštede u oba sektora bi bile vidljive već godinu dana nakon implementacije.

Tabela 8: Projektirane uštede upotrebe e-potpisa i e-dokumenata za vladin sektor za period od 5 godina

Godina 2012 2013 2014 2015 2016

Vladin sektor 0 KM 302,432 KM 566,752 KM 708,055 KM 688,012 KM

22

Tabela 9: Projektirane uštede upotrebe e-potpisa i e-dokumenata za privatni sektor za period od 5 godina

Godina 2012 2013 2014 2015 2016

Privatni sektor 0 KM 28,628,515 KM 53,649,265 KM 67,025,099 KM 65,127,842 KM

3.3.5. Rizici

Jedina stvarna opasnost je da privatni sektor ne priznaje digitalne certifikate izdate od BH akreditiranih CA tijela. 3.3.6. Troškovi

Troškovi, kao i kod svih opcija, mogu nastati zbog formiranja Ureda za nadzor i akreditaciju koji iziskuje nabavku potrebne informatičke opreme, kao i za ljudske resurse koji su predviđeni sistematizacijom radnih mjesta u Uredu za nadzor i akreditaciju. Minimalni troškovi zbog postojanja bazne infrastrukture. Ova opcija donosi troškove samo za institucije u BiH (vlade) pošto je osnovna pretpostavka ove opcije korištenje postojećih PK infrastruktura za elektronsko poslovanje. Troškovi se

0 KM

250.000 KM

500.000 KM

750.000 KM

1.000.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 8: Ustede od upotrebe e-potpisa i

e-dokumenata za vladin sektor

0 KM

20.000.000 KM

40.000.000 KM

60.000.000 KM

80.000.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 9: Ustede od upotrebe e-potpisa i

e-dokumenata za privatni sektor

23

odnose i na portal i njegovo održavanje te na troškove Ureda za akreditaciju i nadzor.

Tabela 7 : Projekcija troškova upotrebe e-potpisa i e-dokumenata za vladin sektor, za period od 5 godina

Godina 2012 2013 2014 2015 2016

Vladin sektor 137,592 KM 107,592 KM 107,592 KM 107,592 KM 107,592 KM

3.4. Opcija 4 – Model “Bridge of Trust“ 3.4.1 Opće “Bridge of Trust“ ili domen sa povezujućom arhitekturom je model gdje se dva ili više nezavisnih domena povjerenja sa različitom arhitekturom preko svojih glavnih (principal) CA međusobno „Cross certificiraju“ preko “Bridge of Trust“ CA (BCA) čineći jedan zajednički domen povjerenja, u kojemu su međusobno priznati svi različito generirani digitalni certifikati. “Bridge of Trust“ CA nije početna tačka povjerenja tj. ne izdaje digitalni certifikat, nego djeluje isključivo kao provodilac povjerenja povezujući različite PKI i njihove glavne CA kao početne tačke povjerenja svojih PKI (kao na slici 4).

0 KM

20.000 KM

40.000 KM

60.000 KM

80.000 KM

100.000 KM

120.000 KM

140.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 7: Troskovi upotrebe e-potpisa i

e-dokumenata za vladin sektor

24

Slika 4. Šematski prikaz modela „Bridge of Trust“ 3.4.2 Arhitektura u BiH

Model “Bridge of Trust“ (sl.4), kao opcija za primjenu Zakona o ePotpisu, uzima u obzir složeno uređenje Bosne i Hercegovine i omogućava uspostavljanje nezavisnih PKI infrastruktura u okviru uspostavljenih domena povjerenja za ePoslovanje, tako da jedan domen povjerenja u BiH može biti i entitet. Osnovna karakteristika ovog modela je da u okviru jedne domene mogu djelovati jedan i više CA (certificate authority), a svaka domena ima jedan glavni (principal) CA. Organizacija u okviru jedne domene povjerenja može biti po želji; ili hijerarhijska (Root) ili povezujuća (Bridge) te bi u tom slučaju glavni CA-i bili ili Root CA ili Bridge CA. Svi ovi pojedinačni domeni mogu se međusobno priznavati uspostavljanjem “trust“ centra na državnom nivou, koji predstavlja “Bridge of trust“ (povezujući most povjerenja) za sve domene povjerenja i njihove CA bez obzira kako su organizirani. Time se uspostavlja jedan zajednički domen povjerenja BiH u okviru koga se nesmetano može poslovati u elektronskom okruženju, uzajamno priznavajući sve digitalne certifikate povezanih domena. Uspostavljanjem “Trust centra“ na nivou BiH, “cross“ certificiranjem ili drugim nivoom povjerenja, među svim uspostavljenim PKI domenima i njihovim glavnim CA bilo koje organizacije, uspostavlja se neometano ePoslovanje na cijelom području zemlje, a “Trust“ centar kao jedan “hub“ (koncentrator) djeluje kao veza i povjerenje između PKI domena u okviru i van BiH. Uzajamno Povjerenje se postiže usklađivanjem politika raznih domena povjerenja CP (Certificate Policy), koji se povezuju u zajednički domen povjerenja BiH, a koji osigurava:

- Povezivanje domena povjerenja u okviru BiH, kao zajednički PKI za BiH - Povezivanje zajedničke domene u BiH (PKI BiH) sa domenima povjerenja van BiH.

25

Na slici 5 je predstavljen jedan mogući primjer arhitekture PKI u BiH i povezivanje s drugim PKI domenama u BiH i u inozemstvu, a koji maksimalno uvažava političko uređenje BiH, tako da su domeni povjerenja i njima pripadajuće PKI, entiteti Republika Srpska sa svojim glavnim (principal) CA, Federacija BiH sa svojim glavnim (principal) CA, Brčko Distrikt BiH sa svojim glavnim (principal) CA, kao i drugi domeni povjerenja koji njima ne pripadaju, a takođe, sa svojim glavnim (principal) CA-ovima.Naravno, moguća su i druga rješenja po ovome modelu što bi u završnici bilo stvar dogovora nadležnih. Glavni (principal) CA-ovi su početne tačke povjerenja za svoje domene.

Slika 5. Šematski prikaz jednog od mogućih rješenja “Bridge of trust (BofT)“ u BiH

U ovom slučaju entiteti, Brčko Distrikt BiH i ostali mogu zasebno i po volji uspostavljati vlastitu PKI ili više njih, a preko “Trust centra“ (BofT) na nivou BiH, te tako ostvariti međusobnu vezu i povjerenje. Naravno, osim ovoga prikazanog na slici 5 moguća su i mnoga druga rješenja koja se mogu realizirati ukoliko se primjeni Opcija 3 sa slike 4. Politiku povjerenja u domeni PKI BiH bi donosilo organ za upravljanje politikom PMA (Policy Managament Authority), koje bi imenovalo Vijeće ministara BiH, a čiji bi članovi bili po jednaki broj predstavnika državnog nivoa vlasti, entiteta i Brčko Distrikta BiH, a i kao predstavnici Glavnih (pricipal) CA-ova svojih domena. Samim tim, PMA bi upravljao radom “Trust“ centra (BofT) i njegovim repozitorijom. Sve nadležnosti i odgovornosti ovog organa naknadno bi se detaljno precizirali ukoliko bi se ova opcija i prihvatila. Primjena ovoga modela takođe zahtjeva uspostavljanje Ureda za akreditaciju i nadzor na

26

nivou države, ali otvara i mogućnost uspostavljanja i “entitetskog“ ureda, s tim da je neophodno uspostaviti adekvatnu koordinaciju sa “državnim“ Uredom koja će osigurati sve potrebne standarde i pravni okvir za sigurno i nesmetano ePoslovanje u domeni PKI BiH. Primjenom ove opcije, svi zainteresirani subjekti u BiH bi zahtjeve za obavljanje poslova davalaca usluga certificiranja podnosili po vlastitom izboru, tako da bi digitalni certifikati koje izdaju vrijedili na cijeloj teritoriji BiH, bez obzira gdje su izdati. 3.4.3 Pravni okvir

Pravni okvir se odnosi na izmjene i dopune Odluke o osnovama upotrebe elektronskog potpisa i pružanja usluga ovjeravanja, kao što je navedeno u Opciji 2. Takođe je neophodno formirati Ured za nadzor i akreditaciju CA koji je predviđen važećim zakonom (član 20, stav 1). 3.4.4 Prednosti

Ova opcija uzima u obzir složeno uređenje Bosne i Hercegovine i omogućava primjenu Zakona o ePotpisu na visoko decentralizirani način. Daje mogućnosti uključivanja i Opcije 3 kao i dijelom Opcije 2 ( hijerarhijska struktura u okviru pojedinih domena povjerenja), uvažava postojeći pravni okvir za ePoslovanje uz minimalne izmjene i dopune kao u Opciji 3. Takođe omogućava: - Validnost međusobno priznavanje svih digitalnih certifikata je na cijelom području BiH, - Poslovanje sa raznim certifikatima, a da se pri tome ne narušava sigurno okruženje za ePoslovanje po svjetskim standardima, - Uspostavljanje slobodnog tržište pružalaca usluga certificiranja na cijelom području BiH, - Građanima, pravnim i privrednim subjektima kao korisnicima digitalnih certifikata, - Slobodan izbor digitalnog certifikata i njegovog pružaoca. 3.4.5 Rizici

Mogući rizici mogu doći kroz određivanja nivoa povjerenja među domenima povjerenja u arhitekturi povezujućih domena (bridge). Duži putevi od početne tačke povjerenja do krajnjeg korisnika te procedure međusobnog priznavanja zahtijevaju složeniji tehnički sigurnosni aspekt. Kada se govori o tehničkim rizicima, oni se prvenstveno odnose na okvir interoperabilnost. Bosna i Hercegovina još uvijek nema urađen okvir interoperabilnosti koji treba da bude usklađen sa Evropskim okvirom interoperabilnosti. Iz tog razloga može doći do poteškoća prilikom komuniciranja sa CA-ovima koji su akreditirani u zemljama EU

3.4.6 Troškovi

-Troškovi vezani za osnivanje Ureda;

-Troškovi vezani za uspostavljanje “Trust“ Centra na državnom nivou;

-Troškovi uspostavljanja entitetskih i Brčko Distrikt BiH PKI;

-Ukupni troškovi bi trebali biti znatno umanjeni zbog korištenja postojećih infrastruktura.

27

IV. POTENCIJALNI UTJECAJI Ubrzanje uvođenja elektronskog potpisa je od velike važnosti za BiH, jer trenutno BiH kasni u implementaciji elektronskog potpisa, što znači, da su usporene i sve primjene e-potpisa (eTrgovina, eBankarstvo, eUprava, ePoslovanje.....). Ako bi se odlučilo da se ne promjeni ništa (opcija 1), BiH bi ostala još dalje iza drugih zemalja EU i zemalja u regionu po pitanju ePoslovanja. U tom slučaju bi došlo do povećanja direktnih i indirektnih/administrativnih troškova za javni sektor i privatni sektor. Opcija 2 je tehnički najjednostavnija, ali zahtijeva harmoniziranje zakonodavstva u BiH iz ove oblasti (Zakone o ePotpisu RS-a i Brčko DC BiH uskladiti sa Zakonom o ePotpisu BiH), čime bi se osigurala jasna nadležnost na nivou države i entiteta, te pojačale upravna i tehnička infrastruktura sa vještinama i znanjem. Glavni problem za primjenu Opcije 2 je političke prirode, gdje pojedini politički krugovi smatraju da bi se primjenom ove opcije ugrozile nadležnosti entiteta, što apsolutno nije tačno. Kao rezultat takvih i sličnih oprečnih političkih stavova primjena Opcije 2 bi mogla rezultirati neuspjehom, što bi u završnici bilo jednako opciji 1 „Ne poduzimati ništa“. Ukoliko bi se primijenila Opcija 3, tj. izvršilo pragmatično uvođenje onih promjena koje po principu Pareto (20% promjena za 80% učinka) donosile najveće prednosti, implicirala bi minimalne izmjene postojeće pravne regulative i minimalne troškove, zbog postojanja bazne infrastrukture, što predstavlja nadogradnju na postojeće stanje i dobru osnovu za primjenu Opcije 4. Opcija 4 je krajnje decentralizirana, uzima u obzir složeno uređenje Bosne i Hercegovine, omogućava poslovanje sa raznim certifikatima, a i uspostavlja tržište pružalaca usluga certificiranja na cijelom području BiH. Implementacijom Opcije 4 zahtjevi za obavljanje poslova davalaca usluga certificiranja bi se podnosili po vlastitom izboru, a samim tim i priznavanje svih vrsta certifikata na cijeloj teritoriji Bosne i Hercegovine. Opcija 4 trenutno predstavlja najsаvremenije rješenje primjene elektronskog potpisa i kao takvo trebalo bi da bude krajnji cilj kojem teži Bosna i Hercegovina u narednom periodu. Troškovi i uštede pojedinačnih opcija za vladin i privatni sektor su dati u tabelama 10-13.

Tabela 10: Troškovi pojedinačnih opcija za vladin sektor

Godina 2012 2013 2014 2015 2016

OPCIJA 1 2,904,930 KM 3,024,322 KM 3,148,622 KM 3,278,030 KM 3,412,757 KM

OPCIJA 2 1,710,789 KM 151,929 KM 151,929 KM 151,929 KM 151,929 KM

OPCIJA 3 137,592 KM 107,592 KM 107,592 KM 107,592 KM 107,592 KM

Tabela 11: Troškovi pojedinačnih opcija za privatni sektor

Godina 2012 2013 2014 2015 2016

OPCIJA 1 274,983,336 KM 278,894,052 KM 282,965,498 KM 287,204,282 KM 291,617,279 KM

28

OPCIJA 2 0 KM 0 KM 0 KM 0 KM 894,249 KM

OPCIJA 3 0 KM 0 KM 0 KM 0 KM 0 KM

Tabela 12: Uštede pojedinačnih opcija za vladin sektor

Godina 2012 2013 2014 2015 2016

OPCIJA 1 0 KM 0 KM 0 KM 0 KM 0 KM

OPCIJA 2 0 KM 0 KM 0 KM 0 KM 341,276 KM

OPCIJA 3 0 KM 302,432 KM 566,752 KM 708,055 KM 688,012 KM

Tabela 13: Uštede pojedinačnih opcija za privatni sektor

Godina 2012 2013 2014 2015 2016

OPCIJA 1 0 KM 0 KM 0 KM 0 KM 0 KM

OPCIJA 2 0 KM 0 KM 0 KM 0 KM 32,305,477 KM

OPCIJA 3 0 KM 28,628,515 KM 53,649,265 KM 67,025,099 KM 65,127,842 KM

V. INDIKATORI IZVEDBE – PRA ĆENJE I REVIZIJA Kao glavni indikatori za praćenje implementacije predlaže se slijedeće: Prvi indikator je uspješno provoñenje harmonizacije podzakonskih propisa u skladu sa pravnim okvirom i tehni čkom regulativom EU. Postojeća Odluka o osnovama upotrebe elektronskog potpisa i pružanja usluga ovjeravanja („Službeni glasnik BiH“, broj 21/09) nije harmonizirana sa direktivom EU i ne regulira sva pitanja za koja zakon propisuje donošenje podzakonskih akata ili pitanja koja su regulirana međunarodnim i Evropskim tehničkim standardima i preporukama koje je potrebno unijeti u pravni sistem BiH. Zbog toga jasan indikator napretka je usvajanje svih potrebnih podzakonskih akata. Drugi indikator je uspostavljanje i efikasnost nadzora od strane nadležnih organa. Danas nadležno ministarstvo nema kapacitete za vršenje nadzora o primjeni zakona u ovlasti e-potpisa. U tom smislu se uspješna implementacija ogleda najprije u osnivanju Ureda za nadzor i akreditaciju u okviru nadležnog ministarstva, a kasnije u broju inspekcijskih i upravnih postupaka, izvedenih od strane tog Ureda. Kako je potvrda svakoj osobi neophodno potrebna za ePotpis, broj izdatih obi čnih i broj izdatih kvalificiranih certifikata od strane doma ćih ili EU CA pokazuje jasno stanje. Danas se procjenjuje da u BiH postoji oko 12.000 izdatih običnih certifikata (10.000 za poduzeća i 2.000 za državne službenike) i oko 100 kvalificiranih certifikata. Komparativni podaci za zemlje EU govore o 30 puta većem broju izdatih potvrda (ako se podaci relativiziraju na broj stanovnika), a za zemlje u regionu oko 2 do 3 puta više izdatih potvrda u odnosu na BiH. Posljednja dva indikatora su procenat upotrebe usluge eBankarstva i eUprave za stanovništvo i za poduzeća. Indikatori za EU pokazuju, da eBankarstvo za stanovništvo koristi oko 60% stanovnika, a usluge eUprave oko 40% stanovnika. U poduzećima eBankarstvo koristi 80 do 95% poduzeća, a usluge e-uprave oko 75% poduzeća. Pored ovih

29

indikatora mogu se koristiti i svih 60 indikatora EU (http://ec.europa.eu/information_society/eeurope/i2010/benchmarking/index_en.htm).

VI. KONSULTACIJE U izradi ovog dokumenta korištene su pasivne i aktivne konsultacije sa svim relevantnim partnerima iz vladinog i privatnog sektora.

Aktivne konsultacije a) U sklopu aktivnih konsultacija, održane su tri radionice na kojima su razmijenjena mišljenja sa pripadnicima iz javnog i privatnog sektora, kao i relevantnim stručnjacima iz ove oblasti: 1. Tokom prve održane radionice, na temu ”Primjena ePotpisa u zatvorenim sistemima u BiH sa fokusom na elektronsko bankarstvo”, održanoj 1. decembra 2010. godine u Sarajevu, dobili smo veliku podršku svih učesnika (32 učesnika iz 15 institucija i kompanija) za potrebom izrade sveobuhvatne analize utjecaja koja bi otklonila sve postojeće dileme, prepreke i omogućila potpunu primjenu ePotpisa u BiH. 2. Kao prvi korak u izradi metodologije procjene utjecaja, održana je Obuka o metodologiji analize procjene utjecaja (RIA) s fokusom na ePotpis u Sarajevu, 21. decembra 2010. godine, sa ciljem upoznavanja metodologije svih relevantnih učesnika u procesu. U radu ove radionice aktivan doprinos pružilo je 19 učesnika iz 13 institucija i organizacija. 3. Prvi radni dokument sa opcijama na primjenu Zakona o e-potpisu BiH, predstavljen je na dvodnevnoj radionici u Tesliću, 19 i 20. aprila 2011. godine, na kojoj je učestvovalo 40 učesnika iz 26 institucija, organizacija i kompanija. b) Kao dio aktivnih konsultacija, održano je i 10 pojedinačnih sastanaka na kojima su razmatrana pitanja od posebnog značaja, koja su zahtijevala specifična znanja, iskustva i vještine. c) Prvi radni nacrt dokumenta Analiza učinka propisa na pravni i institucionalni okvir za elektronski potpis s prijedlogom opcija za primjenu Zakona o e-potpisu BiH je dostavljen e-mailom 31 instituciji, organizaciji i kompaniji; od kojih su dobijena mišljenja na dostavljeni dokument od 27 institucija, organizacija i kompanija, kako slijedi: 1. Generalni sekretarijat Vijeća ministara Bosne i Hercegovine 2. Ministarstvo finansija i trezora Bosne i Hercegovine 3. Parlamentarna skupština Bosne i Hercegovine 4. Centralna banka Bosne i Hercegovine 5. Visoko sudsko i tužilačko vijeće Bosne i Hercegovine 6. Uprava za indirektno oporezivanje Bosne i Hercegovine 7. Agencija za identifikacione dokumente, evidenciju i razmjenu podataka BiH (IDDEEA) 8. Institut za akreditaciju Bosne i Hercegovine 9. Ured koordinatora za reformu javne uprave (PARCO)

30

10. Generalni sekretarijat Vlade Federacije BiH 11. Federalno ministarstvo transporta i komunikacija Federacije BiH 12. Generalni sekretarijat Vlade Republike Srpske 13. Ministarstvo nauke i tehnologije Republike Srpske 14. Porezna uprava Federacije BiH 15. Poreska uprava Republike Srpske 16. Agencija za informaciono društvo Republike Srpske 17. Vlada Brčko Distrikta BiH 18. Agencija za informatiku i statistiku Kantona Sarajevo 19. Asocijacija poslodavaca Bosne i Hercegovine 20. Udruženja banaka Bosne i Hercegovine 21. Asocijacija informatičara u Bosni i Hercegovini 22. Asocijacije za informacione tehnologije u Bosni i Hercegovini B@IT 23. BH Telecom 24. m:tel 25. Asseco, South Eastern Europe Pexim Solutions 26. Electronic Banking Bureau (EBB)/Halcom 27. Lanaco Banja Luka U nastavku je predstavljen sadržaj rezultata održanih konsultacija: - Potrebno je izraditi i usvojiti Akcioni plan kojim se jasno definiraju potrebni koraci i obaveze svih pojedinih učesnika u procesu sa ciljem potpune primjene elektronskog potpisa u BiH. S tim u vezi potrebno je definirati otvorena pitanja donošenjem odgovarajućih podzakonskih akata u skladu sa Zakonom o elektronskim potpisom BiH i formirati odgovarajući nadzorni organ koji će pratiti primjenu i kontrolu propisa. Bitno je napomenuti da će za potpunu primjenu elektronskog potpisa biti potrebne i dodatne izmjene i dopune drugih relevantnih propisa. U isto vrijeme veoma je bitno da se oko određenih pitanja usvoji odgovarajuća praksa npr. email kao način komunikacije se može i treba smatrati važećim i prihvatljivim kao i fax ili bilo koji drugi podnesak – i s tim u vezi, dodatno korigirati propise koji propisuju vrlo stroga pravila (upotrebu kvalificiranog potpisa, vremenskog pečata i sl.). - Potrebno je buduće aktivnosti na primjeni elektronskog potpisa u okviru BiH, koordinirati kako bi se ostvarili što bolji i kvalitetniji rezultati a sami efekti primjene elektronskog potpisa učinili što efikasnijim. - Ukazana je potreba na što kvalitetnijoj izgradnji elektronskih servisa koji bi pomogli ne samo vladinom i privatnom sektoru, nego i građanima. Kao primjer možemo uzeti predviđenu mogućnost izdavanja e-lične karte 2013, u skladu sa usvojenom strategijom Vijeća ministara BiH za period od 2010-2015. Bez adekvatnih elektronskih servisa svi napori na uvođenju e-lične karte neće dati očekivane rezultate. - Privatni sektor, a posebno IT kompanije predstavljaju ogroman razvojni potencijal u BiH i svako dalje odlaganje u primjeni elektronskog potpisa predstavlja direktni gubitak za razvoj privrede u BiH, a u isto vrijeme dovodi ovaj sektor u još nepovoljniji položaj u odnosu na IT kompanije u regiji.

31

- Za dalji razvoj bankarskog sektora primjena elektronskog potpisa je od izuzetnog značaja, posebno za dalji razvoj modernog elektronskog bankarstva, usporava povezivanje poslovne zajednice sa poreskim upravama, obavljanja dnevnih transakcija elektronskim putem. Uspostavljanje sigurnog i modernog elektronskog bankarstva neophodno je za monitoring i kontrolu eventualnih aktivnosti “pranja novca” i borbe protiv finansiranja ilegalnih aktivnosti. Postojeća bankarska PKI može biti realna polazna osnova za uvođenje e-vlade, posebno imajući u vidu troškove izgradnje i održavanja PKI kao i veličinu i stvarne potrebe zemlje. - Potrebno je uzeti u obzir informatičku pismenost prije svega građana, potom poslovne zajednice, kao i javnog sektora u BiH. U ovom smislu potrebno je uzeti u obzir dosadašnja iskustva kao i stručna znanja postojećih asocijacija informatičara u BiH. Uvođenjem elektronskog potpisa potrebno je raditi na razvijanju odgovarajućih elementa zaštite potrošača. - Adekvatna i efikasna primjena elektronskog potpisa treba biti praćena dobro pripremljenom javnom kampanjom koja bi ukazala na sve prednosti pune primjene elektronskog potpisa. - Bitno je naglasiti da treba razmotriti socijalne konsekvence povećane primjene elektronskog potpisa - sveobuhvatna primjena elektronskog potpisa kao i dalja informatizacija bi mogla dovesti do otpuštanja određenog broja zaposlenih.

VII. SADRŽAJ I PREPORUKE

U pripremi završnog dokumenta analize utjecaja propisa, Ministarstvo prometa i komunikacija BiH je kao inicijator i nosilac ove aktivnost preduzelo sveobuhvatne aktivnosti sa svim interesnim stranama, te su u konsultacije bili uključeni predstavnici vladinog, poslovnog i nevladinog sektora, kao što je to naprijed navedeno.

Nakon usvajanja ovog dokumenta, neophodne su slijedeće aktivnosti Ministarstva komunikacija i prometa BiH: a) da izradi podzakonske akte potrebne za provođenje Zakon o elektronskom potpisu BiH i pokrene proceduru za njihovo usvajanje; b) da pokrene proceduru izmjene Pravilnika o unutrašnjoj organizaciji i sistematizaciji radnih mjesta, kako bi se ostvarili uvjeti za osnivanje Ureda za nadzor i akreditaciju i zaposlili službenici; c) da pokrene proces zapošljavanja državnih službenika u Uredu; i d) osigura adekvatnu obuku službenika Ureda. Radni tim je analizirao podatke i mišljenja iz konsultacija, iskustva i dostupne informacije iz drugih zemalja u regiji i Evropskoj uniji. Primjenom tih opcija domaći CA bi imali mogućnosti da odabere registraciju ili na državnom ili na nekim entitetskim nivoima. Uz to postojeći propisi osiguravaju upotrebu certifikata izdatih u EU i svi bi međusobno bili priznati preko trećeg centra za povjerenje (Trust Centar). Umjesto velikih troškova za provođenje kompletnih državnih PKI infrastruktura koristila bi se postojeća infrastruktura i kanali. Tamo gdje je uspostavljena ili gdje će biti uspostavljena PKI infrastruktura javnog sektora (IDDEEA PKI za građane, zatvoreni sistemi u državnim

32

organima, poštanske usluge, itd.) i gdje pravna pitanja budu razriješena ta bi se infrastruktura i koristila. U isto vrijeme, pod jednakim uvjetima i kao dodatak infrastrukturi javnog sektora bi se koristila i infrastruktura privatnog sektora, najviše banaka. Kako poslovni subjekti već imaju digitalne certifikate kao i potreban softver, te bi certifikati bili unaprijeđene sa postojećeg zatvorenog sistema na otvorene sisteme sa kvalificiranim digitalnim certifikatima.

33

ANNEX 1

Potrebni podaci i pretpostavke za CBA analizu Podatak Izvor Iznos Broj stanovnika Agencija za statistiku BiH, podatak

za 2010 godinu 3.842.566

Broj faktura za stanovništvo Prema podacima dobijenim iz ranijih analiza, pretpostavka je da građani plaćaju 1.5 faktura po glavi stanovnika mjesečno

Broj faktura za 1 poduzeće Privatni sektor 40 faktura mjesečno Trošak slanja 1 fakture Pošte, knjižare – pretpostavka je da

stranke u najvećem broju slučajeva koriste običnu poštu

2,6 KM

Ukupan broj poduzeća i preduzetnika u BIH

Poreske uprave, podatak za 2010. godinu

105.862

Trošak Poreskih uprava RS, FBIH i DB za slanje faktura

Poreske uprave FBIH, RS i BD 832.634,50 KM

Trošak Vlade RS,FBIH,BD i BIH za slanje faktura

Pretpostavka je da je ukupan broj poslatih faktura od strane vladinog sektora 2.5 puta veći od faktura poreske uprave

Prosječan rast BNP The World Bank group database-podatak dobijen na osnvu prosječnog rasta BNP u proteklih 5 godina

4.11%

Potrebno vrijeme za slanje 1 fakture

Privatni sektor, vladin sektor 10 minuta

Prosječna satnica Agencija za statistiku BIH, podatak za 2010 godinu

6,88 KM

Osnivanje PKI (CA): Authority Security Manager (CA) 150.000 certifikata Usluge implementacije Server i HSM HW

Entrust – analiza uradjena za 3 CA (3 entitetske CA uz pretpostavku da će IDEEA preuzeti ulogu krovne CA)

25.000 EUR 150.000 EUR uvećano za 20% stranaka koje će koristiti usluge 2 CA 50.000 EUR 100.000 EUR

Trošak portala Entrust i Halcom 60.000 KM Održavanje CA Entrust i Halcom 5.000 EUR Održavanje portala Entrust i Halcom 10% vrijednosti portala Smart card Card reader USB Certifikat (3 godine)

EBB – stranka koristi ili smart card ili USB-uzeti prosječni troskovi za analizu Halcom i Entrust

104.5 KM 58.5 KM 156 KM 68.5 KM

Broj poduzeća koja koriste internet RAK – pretpostavka je da će prve godine 10% od ovih poduzeća koristiti e-potpis i e-dokument

50%

Ured za akreditaciju i nadzor Vladin sektor 1. Načelnik Ureda =39 024 KM 2. Stručni savjetnik za inspekcijski nadzor =32 784 KM 3. Stručni savjetnik za razvoj e-potpisa i e-poslovanja =32 784 KM

Ukupno bruto plaće i naknade na godišnjem nivou – 104 592 KM

34