1
NASLOV: Analiza učinka propisa na pravni i institucionalni
okvir za elektronski potpis
ORGAN UPRAVE: Ministarstvo komunikacija i prometa BiH u saradnji sa
Međunarodnom finansijskom korporacijom – Grupacija
Svjetske banke koja je pružila tehničku pomoć u izboru i
metodolgiji procjene utjecaja regulativa po principu koji se
koristi u Evropskoj uniji, zatim pronalaženju mogućih
rješenja za implementaciju elektronskog potpisa u Bosni i
Hercegovini, prikupljanju najboljih praksi u Evropskoj
uniji, prikupljanju podataka te cost benefit analizi
DATUM: 31. 08. 2011.
I. UVOD
Slijedeći globalne trendove, u BiH je već uvedeno nekoliko savremenih velikih informacionih
sistema, poput IDDEEA informacionih sistema, informacionog sistema trezorskog
poslovanja, informacionog sistema poreske uprave, sudskog registra poslovnih subjekata,
informacionog sistema granične policije, carinskog informacionog sistema, sistema Centralne
banke BiH i kliringa/obračuna (Clearing House), sistema IKT za podršku procesu
privatizacije itd. Međutim, veliki broj implementiranih IT projekata rješavao je "goruće"
probleme i zbog toga su implementirani IT projekti ostali izolirani jer su rađeni samo kao
rješenje jednog jedinog problema umjesto da su sastavni dio cjelovite reforme primjene IT-a u
državnoj upravi.
Bosna i Hercegovina je kao članica Inicijative za elektronsku jugoistočnu Evropu potpisala
„eSEE Agendu za razvoj informacionog društva“ 2002.godine u Beogradu. U toj Agendi je
dogovoreno da države potpisnice izrade i usvoje politiku i strategiju razvoja informacionog
društva, a kroz prioritetnu oblast „Jedinstveni SEE informacioni prostor“ definira način
uspostavljanja javne infrastrukture za sigurno poslovanje zasnovano na kvalificiranom
elektronskom potpisu. Dalje, od 12+8+3 e-usluga iz eSEE Agende plus, u narednom periodu
IDDEEA planira pružati neke od njih. Međutim, sporost u implementaciji Zakona o
elektronskom potpisu BiH onemogućava da ove usluge budu transakcione. Ipak, poredeći
postignuto sa zahtjevima iz eSEE Agenda plus i 23 bazična servisa e-Vlade koja bi trebala biti
uspostavljena do kraja 2011. godine, BiH je nažalost daleko i iza zemalja u regiji, a posebno u
Evropi i svijetu. Ključni problemi koji utječu na to su: nepostojanje institucionalnog uređenja
neophodnog za koordinaciju aktivnosti u oblasti e-Vlade koje se izvršavaju na različitim
nivoima vlasti i u različitim ministarstvima, iracionalno korištenje neadekvatno raspoređenih
informatičkih ljudskih resursa, te još uvijek neadekvatne IKT politike, pravnih okvira,
metodologije i standarda za realiziranje projekata e-Vlade. Stoga, entuzijazam za kretanje
naprijed je sada dodatno usporen zbog rastuće spoznaje da uspješna e-Vlada zahtijeva
kombinaciju organizacijske promjene, reformu politike, i tehnološku investiciju.
Vijeće ministara BiH je 2004. godine usvojilo Politiku, Strategiju i Akcioni plan razvoja
informacionog društva u BiH za period 2004-2010. godine, a 2006. godine je usvojen Zakon
2
o elektronskom potpisu BiH i Zakon o elektronskom pravnom i poslovnom prometu BiH.
Takođe su usvojene i odluke koje uređuju oblast upotrebe elektronskog potpisa i pružanja
usluga ovjeravanja koje osiguravaju potrebne pravne aspekte za implementaciju digitalnog
potpisa.
U infrastrukturnom pogledu, za prijenos podataka sigurnosnih institucija, u BiH je
uspostavljena visokosofisticirana komunikacijska mreža u SDH tehnologiji koja omogućava
brzu, pouzdanu i efikasnu razmjenu podataka, slike i tona. SDH mreža predstavlja zatvoren
sistem, nije vezana za Internet i funkcionira na određenom opsegu frekvencija osiguranom za
tu namjenu. Institucija koja tehnički održava SDH mrežu je Agencija za identifikacione
dokumente, evidenciju i razmjenu podataka BiH (IDDEEA) koja je zadužena za oblast
identifikacionih dokumenata, skladištenje, personalizaciju i transport dokumenata, te
centralno vođenje evidencija i razmjenu podataka između nadležnih organa u BiH. IDDEEA
prati, koordinira i institucionalno regulira oblast razvoja identifikacionih dokumenata, te je
kao takva razvila elektronski potpis u zatvorenom sistemu i njena iskustva po pitanju
primjene elektronskog potpisa u zatvorenim sistemima su vrlo značajna za implementiranje
Zakona o elektronskom potpisu BiH i u otvorenim sistemima.
II. DEFINIRANJE PROBLEMA
2.1 Ciljevi države
Najvažniji razvojni stubovi utvrđeni Politikom razvoja informacionog društva BiH su: IKT
Industrija, IKT Infrastruktura, ePoslovanje eObrazovanje, eZdravstvo, eUprava,
eZakonodavstvo i Održivi razvoj informacionog društva.
Iako se Politika razvoja informacionog društva bazira na osam razvojnih stubova, Strategija
razvoja informacionog društva se odnosi na pet razvojnih stubova i to:
eLegislativa
eObrazovanje
eUprava
IKT infrastruktura
IKT industrija
Ciljevi definirani Politikom razvoja informacionog društva kroz široku primjenu
informacionih i komunikacionih tehnologija su:
Povećanje znanja i sposobnosti građana za rad i život u informacionom društvu;
Stvaranje novog tržišnog okruženja, poslovnih procesa i znanja, te novog načina
organiziranja;
Povećanje rentabilnosti, konkurentnosti, kvantiteta i kvaliteta usluga i proizvoda,
primjene inovacija u ekonomiji, upravi, obrazovanju i drugim oblastima;
Povećanje investicija i zaposlenosti;
Razvoj IKT industrije;
Razvoj malih i srednjih poduzeća kao nosioca ekonomskog razvoja;
Postizanje održivog ekonomskog razvoja uz zaštitu okoliša;
3
Povećanje standarda građana;
Ravnomjeran razvoj društva, uključujući ruralna područja;
Povećanje BDP-a;
Postizanje uvjeta za EU integracije.
U skladu sa ovim ciljevima uvođenje elektronskog potpisa kao infrastrukture unaprjeđenja
poslovnih procesa se nameće kao prioritet. Cilj je stvoriti elektronsko poslovno okruženje za
promet elektronskih dokumenata u državnoj upravi, pravosuđu, privredi i drugim oblastima,
te tako stvoriti uvjete za razvoj konkurentne ekonomije, te efikasnije i racionalnije državne
uprave, te kroz uspostaljanje eServisa, ostvariti bolju međusobnu komunikaciju između
poslovnih subjekata, državne uprave i građana, jer ono smanjuje troškove poslovanja,
doprinosi uštedama, stvara veću dodatnu vrijednost, smanjuje sivu ekonomiju i minimalizira
korupciju. Takođe, cilj je da se omogući građanima, poslovnim i drugim subjektima, da svoje
obaveze ili zahtjeve prema upravi obavljaju na što efikasniji način, uz minimalne troškove i
broj fizičkih kontakata sa organima uprave, i to putem više različitih elektronski baziranih
kanala za isporuku servisa (web, mobilni telefon, itd).
Kao važan segment elektronskog poslovanja se može navesti ispostavljanje i dostavljanje
elektronskih faktura, obzirom da većina poslovnih subjekata već ima kapacitete za obavljanje
elektronskog fakturiranja (putem vlastitih informatičkih sistema ili putem infrastrukture za
elektronsko bankarstvo) i elektronske nabavke, koje su važan katalizator promjena jer
zahtijevaju sveobuhvatnu integraciju sistema i poslovnih procesa širom javnog i privatnog
sektora. Razvoj državnih rješenja za sve eServise treba promatrati u kontekstu širih promjena
u cilju modernizacije vlasti i postizanju apsolutne interoperabilnosti.
Konkretni ciljevi bi bili slijedeći:
1. Uspostaviti državnu infrastrukturu javnog ključa (PKI) kao sistema za izradu i
upotrebu elektronskog potpisa, što je preduvjet za cijeli niz interaktivnih servisa koji
se moraju ostvariti u G2C scenarijima (usluge vlade prema građanima);
2. Osigurati interoperabilnost i priznavanje svih akreditiranih CA na teritoriji BiH;
3. Izjednačiti validnost elektronskih i standardnih (papirnih) podnesaka i dokumenata;
4. Omogućiti upotrebu svih akreditiranih sigurnih elektronskih potpisa za poslovanje sa
javnom upravom.
A da bi se u budućnosti ovi ciljevi uspješno implementirali i da bi se uveo elektronski potpis u
poslovne procese informacionog društva neophodno je ispuniti slijedeće uvjete i sprovesti
slijedeće korake:
1. Uspostaviti pravni okvir za ePoslovanje izradom zakona i podzakonskih akata u
skladu sa pravnom stečevinom EU;
2. Uspostaviti institucionalni okvir neophodan za sigurnu i uspješnu primjenu ePotpisa u
poslovnim procesima u BiH;
3. Uskladiti sve zakone i podzakonske akte iz oblasti elektronskog poslovanja na svim
nivoima vlasti u skladu sa relevantnim zakonodavstvom EU, te osigurati usklađenost
ostalih pravnih propisa relevantnih za oblast primjene ePotpisa u BiH.
4
2.2 Pravni aspekt
Informaciono društvo je globalno i stoga se pravni okvir države mora zasnivati na globalnim
inicijativama za usklađivanje kao i na inicijativama u okviru Evropske unije. Ispod su
navedene najbitnije uredbe, direktive i drugi pravni akti EU koji se tiču područja elektronskih
potpisa, elektronskog poslovanja i elektronske vlade.
Direktiva 1999/93/EC o okviru Zajednice za elektronske potpise
Ova direktiva uspostavlja pravni okvir za elektronske potpise i usluge potvrđivanja na nivou
Evrope. Cilj je olakšati upotrebu elektronskih potpisa i pomoći da postanu pravno priznati u
okviru država članica.
Odluka 2003/511/EC Komisije od 14. jula 2003. godine o objavljivanju referentnih
brojeva opće priznatih standarda za proizvode elektronskih potpisa u skladu sa
Direktivom 1999/93/EC Evropskog parlamenta i Vijeća
Ova odluka se poziva na tri opće prihvaćena standarda za proizvode za elektronske potpise
koji pretpostavljaju poštovanje kvalificiranog elektronskog potpisa.
Odluka 2000/709/EC Komisije od 6. novembra 2000. godine o minimalnim kriterijima
koje države članice moraju uzeti u obzir kada određuju organe u skladu sa članom 3.(4)
Direktive 1999/93/EC Evropskog parlamenta i Vijeća o okviru Zajednice za elektronske
potpise
Ova odluka određuje kriterije koje države članice moraju uzeti u obzir kada određuju državna
tijela za procjenu usklađenosti uređaja za kreiranje sigurnih potpisa.
Direktiva 2000/31/EC Evropskog parlamenta i Vijeća od 8. juna 2000. godine o
određenim pravnim aspektima usluga informacionog društva, naročito elektronskog
poslovanja, na unutrašnjem tržištu („Direktiva o elektronskom poslovanju“)
Direktiva o elektronskom poslovanju, usvojena 2000. godine, uspostavlja okvir za
elektronsko poslovanje na unutrašnjem tržištu, koji pruža pravnu sigurnost i za poduzeća i za
klijente. Uspostavlja usklađena pravila za pitanja kao što su uvjeti za transparentnost i
informacije pružaoca online usluga, komercijalnu komunikaciju, elektronske ugovore te
ograničenja odgovornosti pružaoca posredničkih usluga.
Direktiva 2006/112/EC od 28. novembra 2006. godine o zajedničkom sistemu poreza na
dodatnu vrijednost
Pošto su većina faktura PDV fakture, poštovanje zakona o PDV-u je bitno pitanje za
poduzeća. Prva norma EU u području elektronskog fakturiranja PDV-a bila su pravila
fakturiranja iz Šeste direktive iz 1977. godine (77/388/EC). Kao reakcija na zabrinutost
poduzeća o veoma raznolikim pravilima u nekim državama članicama i kao reakcija na
tehnološke razvoje, Evropska komisija je usvojila izmjenu u obliku Direktive EZ o
fakturiranju (2001/115/EC). Ova direktiva je dala jedinstveni evropski standard za sadržaj
fakture za PDV i omogućila je elektronsko fakturiranje i pohranu u svim državama članicama.
Pravila o fakturiranju PDV-a su sada sadržana u Direktivi o PDV-u (2006/112/EC). U skladu
5
sa Direktivom možemo odrediti tri osnovna područja elektronskog fakturiranja: sadržaj
fakture (članovi 226. do 231. i član 238. Direktive o PDV-u), elektronsko fakturiranje
(članovi 232. do 236. Direktive o PDV-u) i pohranjivanje (arhiviranje) faktura (članovi 244.
do 249. Direktive o PDV-u).
Direktive EU o javnim nabavkama
Glavni princip pravnog okvira EU za elektronske nabavke je da bi svako poduzeće trebalo biti
u stanju da učestvuje, sa jednostavnom i uobičajenom opremom i osnovnim tehničkim
znanjem, u postupku javne nabavke koji se djelomično ili u potpunosti provodi elektronskim
putem. Ovaj zakonski okvir se može naći u uredbama i direktivama o nabavci:
- Direktiva 2004/17/EC Evropskog parlamenta i Vijeća od 31. marta 2004. godine
kojom se koordiniraju pravila javnih nabavki za organe koji posluju u sektoru voda,
energije, prijevoza i poštanskih usluga;
- Direktiva 2004/18/EC Evropskog parlamenta i Vijeća od 31. marta 2004. godine. koja
koordinira postupke za dodjelu ugovora o javnoj nabavci radova, javnoj nabavci roba i
javnoj nabavci usluga;
- Uredba br. 1564/2005 Komisije (EC) od 7. septembra 2005. godine kojom se utvrđuju
standardni obrasci za objavljivanje obavještenja u okviru postupaka javne nabavke u
skladu sa Direktivama 2004/17/EC i 2004/18/EC Evropskog parlamenta i Vijeća;
- Direktiva 2005/51/EC Komisije od 7. septembra 2005. godine koja mijenja Dodatak
XX Direktive 2004/17/EC i Dodatak VIII Direktive 2004/18/EC Evropskog
parlamenta i Vijeća o javnim nabavkama;
- Direktiva 2009/81/EC Evropskog parlamenta i Vijeća od 13. jula 2009. godine o
koordinaciji postupaka za dodjelu ugovora o nabavci određenih radova, nabavci
određenih roba i nabavci određenih usluga od strane ugovornih organa ili subjekata u
području odbrane i sigurnosti koja mijenja Direktive 2004/17/EC i 2004/18/EC.
Kao reakcija na potrebu razvoja i usklađivanja pravog okvira sa globalnim i evropskim
pravnim razvojima u zadnje dvije decenije usvojeno je zakonodavstvo u Bosni i Hercegovini
na državnom nivou, a određeni pravni akti su usvojeni i na nivou entiteta. Osnovni elementi
su navedeni dalje u tekstu.
Državni nivo
Država je usvojila savremeno zakonodavstvo, prije svega Zakon o elektronskom potpisu,
Zakon o elektronskom pravnom i poslovnom prometu i prateća podzakonska akta za područja
elektronskih potpisa, elektronskih sjednica vlade, Internet stranica, itd. Izmjene i dopune
Zakona o općem upravnom postupku, koji uređuje najširi mogući spektar vladinih postupaka,
su takođe usvojene kako bi se stvorili osnovi za elektronske usluge.
U tom smislu trenutno su na snazi slijedeći pravni akti:
- Zakon o elektronskom potpisu („Službeni glasnik BiH“, broj 91/06);
- Zakon o elektronskom pravnom i poslovnom prometu („Službeni glasnik BiH“, broj
88/07);
- Zakon o upravnom postupku („Službeni glasnik BiH” br. 29/02, 12/04, 88/07, 93/09);
- Odluka o osnovama upotrebe elektronskog potpisa i pružanja usluga ovjeravanja
6
(„Službeni glasnik BiH“, broj 21/09);
- Odluka o elektronskom poslovanju i e-vladi (“Službeni glasnik BiH“ broj 07/10);
- Odluka o uredskom poslovanju ministarstava, službi, institucija i drugih organa
Vijeća ministara BiH – (“Službeni glasnik BiH” br. 21/01, 29/03);
- Uputstvo o izradi i održavanju službenih Internet stranica institucija BiH (Službeni
glasnik BiH broj 21/09).
Dalje, trenutno su u pripremi i slijedeći pravni akti:
- Pravilnik o unutrašnjoj organizaciji Ministarstva komunikacija i prometa BiH
(osnivanje Ureda za nadzor i akreditacije);
- Zakon o Agenciji za razvoj informacionog društva.
Republika Srpska
U skladu sa Strategijom eVlade 2009. - 2012. godine Vlada Republike Srpske je usvojila
slijedeće zakone i podzakonske akte:
- Zakon o elektronskom potpisu RS („Službeni glasnik RS“, broj 59/08)
Ovaj zakon uređuje upotrebu elektronskog potpisa u pravnim poslovima i drugim pravnim
radnjama, kao i prava, obaveze i odgovornosti u vezi s elektronskim certifikatima
(potvrdama). Uz sam zakon, donesen je cijeli niz podzakonskih akata koji uređuju područja
kao što su evidencija davaoca usluga certificiranja elektronskih potpisa, jedinstveni registar
davaoca usluga certificiranja elektronskih potpisa koji izdaju kvalificirane certifikate, mjere i
postupci upotrebe i zaštite elektronskog potpisa, sredstava za izradu elektronskog potpisa,
obaveznog osiguranja davaoca usluga izdavanja kvalifikacionih certifikata itd., tj. slijedeće:
- Uredba o nosiocu poslova elektronske certifikacije u republičkim organima uprave
(“Službeni glasnik RS“ br. 114/08, 73/09);
- Pravilnik o evidenciji davaoca usluga certificiranja elektronskog potpisa certificiranih
organa (“Službeni glasnik RS“ broj 88/09);
- Pravilnik o sadržaju i načinu vođenja registra certifikacionih organa za
izdavanje kvalificiranih elektronskih certifikata (“Službeni glasnik RS“ broj
88/09);
- Pravilnik o mjerama zaštite elektronskog potpisa, i kvalificiranog elektronskog
potpisa, najnižem iznosu obaveznog osiguranja i primjeni organizacionih i tehničkih
mjera zaštite certifikata – (”Službeni glasnik RS” broj 88/09);
- Pravilnik o tehničkim pravilima za osiguranje povezanosti evidencija („Službeni
glasnik RS“ broj 88/09).
Na osnovu odredaba Zakona o Vladi Republike Srpske i Zakona o sistemu javnih službi,
Vlada Republike Srpske je 2007. godine donijela Odluku o osnivanju Javne ustanove
„Agencija za informaciono društvo Republike Srpske“. Ovim aktom Republika Srpska
osnovala je instituciju zaduženu za praćenje razvoja informacionog društva, te promociju
upotrebe informaciono-komunikacionih tehnologija. Nadzor nad radom Agencije, u ime
Vlade RS, obavlja Ministarstvo nauke i tehnologije RS.
7
- Zakon o elektronskom dokumentu RS („Službeni glasnik RS“, broj 110/08)
Ovaj zakon uređuje pravo fizičkih i pravnih lica na upotrebu elektronskog dokumenta u svim
poslovnim radnjama i djelatnostima, te u postupcima koji se vode pred organima republičke
uprave u kojima se elektronska oprema i programi mogu primjenjivati u izradi, prijenosu,
pohranjivanju i čuvanju informacija u elektronskom obliku. Zakon takođe uređuje pravnu
važnost te upotrebu i promet elektronskih dokumenata.
- Zakon o elektronskom poslovanju RS (Službeni glasnik RS 59/09)
Ovaj zakon definira pružanje usluga i pravila u vezi sa sklapanjem ugovora u
elektronskom obliku.
Federacija Bosne i Hercegovine
Federacija BiH nema legislativu za primjenu elektronskog potpisa, jer se oslanja na Zakon o
elektronskom potpisu BiH.
Brčko Distrikt BiH
- Zakon o elektronskom potpisu Brčko Distrikta BiH („Službeni glasnik BD br. 39/10,
61/10); planirano da stupi na snagu 01.01.2011. – odgođeno do 31.06.2011.
- Zakon o elektronskoj ispravi Brčko Distrikta BiH („Službeni glasnik BD br. 39/10,
61/10); planirano da stupi na snagu 01.01.2011. – odgođeno do 31.06.2011.
Zakon o elektronskom potpisu Brčko Distrikta BiH se ne razlikuje od zakona donesenih 2006.
od strane Parlamentarne skupštine BiH ili zakona u Republici Srpskoj. Obzirom na
nemogućnost implementacije Zakona o elektronskom potpisu BiH, tj. nepostojanja
Nadzornog organa koji bi vršio nadzor i akreditaciju CA, zakonodavac Brčko Distrikta BiH je
procijenio da je optimalnije usvojiti posebni zakon u distriktu i na taj način primijeniti propis
o elektronskom potpisu.
U skladu sa članom 9. Zakona o elektronskom potpisu Brčko Distrikta BiH, Odjeljenje za
javni registar propisuje mjere zaštite elektronskog potpisa i naprednog elektronskog potpisa,
kao i mjere provjere identiteta potpisnika.
Član 43. takođe propisuje da će šef Odjeljenja za javni registar donijeti sve neophodne
podzakonske akte propisane zakonom, u roku od šest mjeseci od stupanja na snagu Zakona o
elektronskom potpisu Brčko Distrikta BiH.
Usklađenost zakona sa osnovnim zahtjevima EU
Zakon o elektronskom potpisu BiH u velikoj mjeri preuzima postignuća i režim elektronskih
potpisa, na način sličan onome iz dokumenta Zajednice, kao npr.:
Pristup tržištu – Zemlje članice ne smiju dozvoliti da usluge ovjeravanja budu predmetom
prijethodne autorizacije bilo koje vrste, niti ograničiti broj akreditiranih pružalaca usluga
ovjeravanja ili ograničiti pružanje usluga ovjeravanja koje potječu iz druge zemlje članice u
8
područjima obuhvaćenim Direktivom. Programi dobrovoljnog akreditiranja mogu biti uvedeni
sa ciljem unaprjeđenja pružanja usluga ovjeravanja – član 7. i član 24. Zakona o elektronskom
potpisu BiH.
Pravni učinci elektronskih potpisa – Osnovne odredbe Direktive navode da napredan
elektronski potpis, baziran na kvalificiranoj potvrdi koji je kreirala naprava za kreiranje
sigurnog potpisa zadovoljava zakonske uvjete za potpis vezane za podatke u elektronskom
obliku jednako kao što svojeručni potpis zadovoljava uvjete vezane za podatke u papirnim, te
da bi se trebao koristiti kao dokaz u pravnim postupcima – član 4. i član 5. Zakona o
elektronskom potpisu BiH.
Odgovornost - Zemlje članice moraju osigurati da je pružalac usluga ovjeravanja koji izdaje
kvalificiranu potvrdu odgovoran vis-à-vis svake osobe koja se oslanja na potvrdu za: tačnost
svih informacija u kvalificiranoj potvrdi, pridržavanje svih uvjeta iz Direktive pri izdavanju
kvalificirane potvrde, osiguranje da je vlasnik identificiran u kvalificiranoj potvrdi u trenutku
izdavanja potvrde bio u posjedu svih podataka za formiranje potpisa, koji odgovaraju
podacima za provjeru potpisa sadržanim u potvrdi datog ili identificiranog u potvrdi, u
slučajevima kada pružalac usluga ovjeravanja povlači podatke za formiranje potpisa ili
provjeru potpisa, osiguravanje da su podaci za formiranje potpisa i s njima usuglašeni podaci
za provjeru potpisa odgovarajući u komplementarnom smislu.
Pružalac usluga ovjeravanja se neće smatrati odgovornim za štetu nastalu u vezi sa
upotrebom kvalificirane potvrde za transakcije čija je vrijednost van navedenih ograničenja. –
član 19. Zakona o elektronskom potpisu BiH.
Međunarodni aspekti - Zemlje članice moraju osigurati primjenu međusobnog zakonskog
priznavanja kvalificiranih potvrda i elektronskih potpisa iz trećih država ukoliko se
ispunjavaju određeni uvjeti važenja – član 24. Zakona o elektronskom potpisu BiH.
Zaštita podataka - Zemlje članice moraju osigurati da su pružaoci usluga ovjeravanja i
državna tijela odgovorna za akreditiranje ili nadzor usklađeni sa Direktivom 95/46/EC o
zaštiti ličnih podataka iz – članova 14., 15. i 18. Zakona o elektronskom potpisu BiH.
Zakon ne bi trebao biti proveden bez odgovarajućih propisa o provođenju. U okviru člana 26.
(2), Vijeće ministara BiH bi trebalo primijeniti propise o provođenju zakona, u roku od šest
mjeseci od datuma objavljivanja akta u Službenom glasniku (tj. u 2006. godini). S druge
strane, Ministarstvo komunikacija i prometa BiH nije uspjelo dobiti odobrenje od Vijeća
ministara BiH i uspostaviti Ured za nadzor i akreditovanje CA, u skladu sa članom 20.
Zakona o elektronskom potpisu BiH.
Generalno promatrano, svi spomenuti zakoni su uglavnom usklađeni sa Direktivom
1999/93/EC Evropskog parlamenta i Vijeća od 13. decembra 1999., o pravnom okviru
Zajednice po pitanju elektronskih potpisa, i Direktivom 2000/31/EC Evropskog parlamenta i
Vijeća od 8. juna 2000., po pitanju pravnih aspekata usluga informacionog društva, konkretno
elektronskog poslovanja, na unutrašnjem tržištu („Direktiva o elektronskom poslovanju“).
Stoga možemo zaključiti da postoji savremen i prilično detaljan pravni okvir. Ovaj okvir
pruža predvidljive i pouzdane odgovore na pitanja vezana za integritet, autentičnost i
nemogućnost poricanja elektronskog oblika i potpisa. Uprkos općoj usklađenosti sa
9
direktivama EU i globalnim modelima za pravne dokumente, postoje određeni problemi:
1. neke od odredbi su komplicirane ili nepraktične i u nekim područjima previše
restriktivne;
2. zakoni i predviđena obaveza da se registrira aktivnost CA postoje na državnom, ali i
na entitetskom nivou;
3. neka pravna pitanja su ostala neriješena; u slučajevima u kojima se nije moguće
osloniti na mjere EU acquisa, lokalna legislativa je neujednačena i nedovršena po
pitanju određenih vrlo praktičnih aspekata (npr. pravni efekti prijenosa papirne
dokumentacije u elektronski oblik, dugoročnog elektronskog arhiviranja, postupci
elektronske vlade, elektronskih nabavki, elektronskih sudskih postupaka, itd.);
4. čak i kada su zakoni neutralni po pitanju tehnologije ili oblika (gdje se tekst ne odnosi
isključivo na papirne dokumente) te samim tim dopuštaju korištenje savremenih IKT
alata, nadležna državna tijela uglavnom tumače zakone na tradicionalan način
dopuštajući samo korištenje rukom pisanih potpisa i papirnih dokumenata.
2.3 Institucionalni i politički aspekt
Iako je Zakon o elektronskom potpisu BiH na snazi već od 2006.godine, pojavila su se mnoga
neriješena institucionalna i politička pitanja koja onemogućavaju ili usporavaju proces
implementacije Zakona, a samim tim i razvoj područja primjene ePotpisa u BiH, među kojima
su najvažniji:
- Nerazumijevanja nadležnost u oblasti elektronskog potpisa i elektronskog poslovanja;
- Institucije u BiH nisu u dovoljnoj mjeri bile posvećene implementaciji Zakona o
elektronskom potpisu BiH;
- Spori napredak reforme javne uprave i loše poslovno okruženje u društvu umanjuje
značaj primjene ePotpisa i sve prednosti koji se time postižu;
- Nepostojanje Ureda za akreditaciju i nadzor CA u okviru Ministarstva prometa i
komunikacija BiH;
Na državnom nivou Ministarstvo komunikacija i prometa BiH neophodno je formirati Ured za
nadzor i akreditаciju CA koji je predviđen važećim zakonom (član 20, stav 1). Zbog veličine
države i iskustava iz drugih zemalja, smatra se da je za ovakav Ured potreban veoma mali
broj zaposlenih. Ovaj ured je neophodan za sve opcije primjene Zakona o ePotpisu koje će
biti predložene u daljem tekstu ovog dokumenta.
Što se tiče sistematizacije radnih mjesta u Uredu za nadzor i akreditaciju, predlaže se ukupno
5 zaposlenih, s tim da je za početak potrebno zaposliti tri državna službenika na slijedeća
radna mjesta, i to:
1. Načelnik ureda čiji je zadatak da rukovodi radom Ureda, predlaže usvajanje
odgovarajućih mjera i postupaka u vezi upotrebe elektronskog potpisa u projektima
„e-Vlade“, sarađuje sa drugim organima u oblasti razvoja i unaprjeđenja upotrebe
elektronskog potpisa, i dr.;
2. Stručni savjetnik za inspekcijski nadzor čiji bi zadatak bio da obavlja poslove
inspekcijskog nadzora, te poslove koji su u vezi registracije, akreditacije i vođenja
registara CA i usluga opoziva inspekcijskog nadzora.
10
3. Stručni savjetnik za razvoj e-potpisa i e-poslovanja čiji bi zadatak bio da obavlja
poslove u vezi općeg razvoja e-potpisa i poslovanja te ostvarivanja povjerenja za
poslovanje u elektronskom okruženju.
Pored navedenog, potrebno je uspostaviti Centralni registar povjerenja i usluga (centar
povjerenja) kao jedinstvenu evidenciju, na svim nivoima vlasti, koji bi sadržavao registar
kontakata i evidenciju za sve informacije koje se odnose na važnost kvalificiranih potvrda i na
usluge ovjeravanja u koje imaju povjerenja.
2.4 Tehnički aspekt
Osnovnu tehničku komponentu čine jedna ili više infrastruktura javnih ključeva (PKI). To
može biti ili centralna infrastruktura sa jednim organom za izdavanje potvrda i podređenim
organima koji izdaju potvrde za elektronske potpise ili nezavisnije infrastrukture na nekom
stepenu interoperabilnosti.
U Bosni i Hercegovini trenutno ne postoji PKI infrastruktura za pravna i fizička lica na nivou
države. Međutim, postoji niz nezavisnih PKI infrastruktura, prije svega elektronsko
bankarstvo i djelomično u sektoru elektronske vlade koji djeluju u zatvorenim sistemima,
čime je trenutno obuhvaćeno, ili će biti obuhvaćeno preko 10.000 firmi i skoro 10.000
državnih službenika.
Stoga tehnički problem nije u tolikoj mjeri zasnovan na nepostojanju PKI infrastrukture na
nivou države. Prije se može reći da je problem u okupljanju i spajanju različitih postojećih
PKI infrastruktura i informatičkih sistema.
2.5 Procjena mogućih posljedica
Moguće negativne posljedice su najuočljivije u poslovnom sektoru i B2B i G2B
transakcijama, gdje nedovoljno sigurno i efikasno regulatorno okruženje sprječava poslovanja
u povećavanju konkurentnosti putem smanjivanja troškova i vremena potrebnih za poslovne
transakcije i poslovanje sa vladom. Takođe će spriječiti poduzeća da učestvuju u stranim
tenderima i ugovorima koji će zahtijevati elektronske ugovore ili elektronske fakture.
Primjena elektronskog potpisa povećava efikasnost vlada na svim nivoima vlasti.
III. MOGUĆE OPCIJE
Za primjenu Zakona o elektronskom potpisu BiH predlažu se slijedeće opcije:
Opcija 1: „Ne poduzimati ništa“
Opcija 2: „Promjene u postojećem institucionalnom, pravnom i tehničkom okviru - Root CA
za BiH“
11
Opcija 3: „Model korištenjem Pareto pristupa“
Opcija 4: „Model 'Bridge of Trust'“.
3.1 Opcija 1 – „Ne poduzimati ništa“
Ova opcija znači očuvanje postojećeg institucionalnog i pravnog okvira na snazi. Trenutno u
BiH djeluju poslovni subjekti sa certifikatima iz EU-a i trećih zemalja, u okviru zatvorenog
sistema. Ako se odabere ova opcija, javit će se posljedice opisane u poglavlju 2.5.
Opcija 1: Prednosti Ova opcija ne nudi nikakve prednosti.
Opcija 1: Troškovi Očekuje se da će u slučaju ne poduzimanja mjera doći do slijedećih troškova: povećani
direktni i indirektni/administrativni troškovi za javni sektor i privatni sektor.
Prema podacima prikupljenim od strane Poreskih uprava FBiH, RS i BD, o troškovima slanja
faktura, podacima dobijenim od pravnih lica o prosječnom broju poslanih faktura na
mjesečnom nivou; te na osnovu statističkih podataka o broju stanovnika, prikazan je ukupan
godišnji trošak slanja faktura za privredu i vladine institucije BiH, FBiH, RS i BD.
Analiza obuhvata račune za komunalne usluge, fakture između pravnih lica, te fakture između
vladinih institucija i privatnog sektora.
S tim u vezi, uzimajući u obzir prosječan rast BDP-a1, u narednim tabelama i grafikonima
prikazan je ukupan trošak slanja faktura za vladine institucije i privatni sektor.
Tabela 1: Projekcija ukupnih2 troškova slanja faktura za vladin sektor, za period od 5 godina
Godina 2012 2013 2014 2015 2016
Vladin sektor 2,904,930 KM 3,024,322 KM 3,148,622 KM 3,278,030 KM 3,412,757 KM
1 Projektiran je prosječan rast BDP za period 2011-2015 prema podacima Svjetske banke za period 2005-2009.
2 Podaci o ukupnim troškovima slanja faktura dobijeni su od privatnog sektora i poreskih uprava a obuhvataju cijenu papira, štampanja,
koverte, poštarine kao i prosječno vrijeme potrebno za slanje jedne fakture.
12
Tabela 2: Projekcija ukupnih troškova slanja faktura za privredni sektor za period od 5 godina
Godina 2012 2013 2014 2015 2016
Privatni sektor
274,983,336 KM 278,894,052 KM 282,965,498 KM 287,204,282 KM 291,617,279 KM
3.2 Opcija 2 – Promjene u postojećem institucionalnom, pravnom i
tehničkom okviru - Root CA za BiH
3.2.1 Opće
Ova opcija se bazira na modelu hijerarhijske strukture povjerenja i poznata je kao model
“root“ (korijenski, glavni) PKI (slika 1).
1.500.000 KM
2.000.000 KM
2.500.000 KM
3.000.000 KM
3.500.000 KM
2012 2013 2014 2015 2016
Godina
Grafikon 1: Troskovi slanja faktura vladinog sektora
265.000.000 KM
270.000.000 KM
275.000.000 KM
280.000.000 KM
285.000.000 KM
290.000.000 KM
295.000.000 KM
2012 2013 2014 2015 2016
Godina
Grafikon 2: Troskovi slanja faktura privatnog
sektora
13
Postoji samo jedan “Root“ CA koji generira digitalni certifikat koji dalje certificira
subordinirajuće CA u hijerarhijskoj strukturi sve do krajnjeg korisnika digitalnog
certifikata. Svaki subordinirajući CA je nadređen onom ispod sebe a podređen onom iznad
sebe. “Root“ CA je svim subordinirajućim CA-ovima nadređeni CA i u ovakvoj
arhitekturi domena povjerenja predstavlja početnu tačku povjerenja i apsolutni autoritet.
Slika 1. Šematski prikaz: Model hijerarhijske strukture povjerenja
3.2.2 Arhitektura u BiH
Ova opcija predviđa uspostavu hijerarhijske PKI infrastrukture, gdje bi institucija na
državnom nivou (npr. Ministarstvo komunikacija i prometa BiH), u čijoj je ingerenciji
primjena Zakona o ePotpisu, bila zadužena za izdavanje i generiranje digitalnog certifikata,
kao početne tačke povjerenja i predstavljalo bi Glavni “Root“ CA za BiH. Ministarstvo može
sklopiti ugovor za obavljanje operativnih usluga za Glavni CABiH sa fizičkim ili pravnim
subjektima koji ispunjavaju uvjete propisanim Zakonom o ePotpisu i uvjete iz podzakonskih
akata ovog zakona, koji tada postaje operativno tijelo (Operation Authority) Glavnog “Root“
CABiH ( Operation Authority (OA NPKIBiH). U BiH to može biti neka državna agencija,kao
npr.: Centralna banka BiH, telekom operatori u BiH, poštanski operatori u BiH ili neke
državne ili privatne firme osposobljene da budu OA. Odluku o imenovanju operativnog tijela
(OA) donijeti će Vijeće ministara BiH na prijedlog resornog Ministarstva zaduženog za
primjenu Zakona o ePotpisu.
Operativno tijelo bi u ime državne institucije izdavalo digitalne certifikate podređenim
(subordinirajućim) CA, a koji bi opet distribuirali digitalne certifikate po modelu hijerarhijske
PKI do krajnjih korisnika. Operativno tijelo bi tako kao početna tаčka povjerenja u ovakvoj
arhitekturi PKI ili u tehničkom smislu “Root“ CA za BiH i njoj pripadajuću PKI.
“Root“ CA za BiH bi prema namjeni mogao generirati razne vrste digitalnih certifikata među
kojima su najvažniji:
- lične (za građane),
- poslovni (za poslovne subjekte) i
- za institucije državne uprave na svim nivoima vlasti
14
Na slici 2 je prikazano jedno od mogućih rješenja u BiH po modelu “Root“ CA za BiH.
PK infrastruktura je hijerarhijska, u kojoj postoji glavni krovni certifikat (državna institucija
BiH). Ovo rješenje, u okviru predložene opcije maksimalno uvažava složeno („dayton-sko“)
uređenje BiH, obzirom da su subordinirajući CA-ovi ove hijerarhijske strukture su predviđeni
u entitetima RS i FBiH, kao i u Brčko DC BiH. Naravno moguća su i druga rješenja po
ovome modelu što bi bilo stvar dogovora nadležnih.
Glavni „root“ CA BiH izdaje digitalne certifikate entitetskim CA-ovima (RS i FBiH) i Brčko
Distrikt BiH CA, koji će dalje pružati usluge izdavanja kvalificiranih certifikata nižim
podređenim CA ( ili direktno krajnjim korisnicima), a ovi opet prema nižim u odnosu na sebe,
prateći hijerarhijsku strukturu, sve do krajnjih korisnika ka završnoj tački povjerenja PKI
BiH. Takođe, Glavni “Root“ CA BiH bi, u isto vrijeme, mogao da izdaje digitalne certifikate i
državnim institucijama kao krajnjih korisnika a u svrhu upotrebe digitalnih certifikata za
institucije BiH ( G2G,G2B i G2C servise eUprave).
Slika 2. Šematski prikaz jednog od mogućih rješenja “Root CA BiH“
Kao operativno tijelo za “Root“ CA BiH vrlo uspješno se kandidira državna agencija
IDDEEA, što bi svakako trebalo uzeti u obzir kod izbora OA (operativno tijelo). Naime,
Agencija IDDEEA uspješno baštini sve blagodati strateškog informatičkog projekta CIPS
(Citizen Identity Protection System), koji je omogućio servise građanima BiH posebno u
domenu izdavanja ličnih dokumenata i zaštite njihovih ličnih podataka. Takođe, ova agencija
već ima ulogu CA u jednom zatvorenom domenu povjerenja gdje izdaje digitalne certifikate
za službenike javne uprave. Isto tako, IDDEEA je operativno tijelo subordinirajućeg CABIH
(Ministarstvo komunikacija i prometa BiH) za izdavanje digitalnog certifikata u zatvorenom
“root“ PKI EU za korištenje servisa „TachoNet“ ( usluga izdavanja kartica za digitalne
15
tahografe) u oblasti transporta, gdje je Glavni “Root“ CA EU ovog domena povjerenja
ERCA (European Root Certifikate Authority) smješten u EU (Italija).
Stoga je sasvim jasno da IDDEEA ima sve tehničke, stručne i ljudske potencijale da uz neke
izmjene postojeće zakonske regulative koja se odnosi na rad ove agencije, vrlo snažno
pretendira da bude kandidat za operativno tijelo Glavnog “Root“ CA BiH za sve vrste
digitalnih certifikata, ukoliko se ova opcija prihvati.
Eventualno, moguće je formirati drugi operativni organ za izdavanje potvrda samo za
poslovni sektor, koje bi se moglo formirati u okviru nekog drugog državnog organa ili u
saradnji više organa što je stvar mogućih varijanti ove opcije.
Primjenom ovog modela ostavljena je mogućnost izdavanja digitalnih certifikata od strane
CA-ova registriranih u EU, kao i drugi domaći CA-ovi koji su u BiH registrirani za pružanje
usluga izdavanja digitalnih certifikata.
Ova opcija, naravno, podrazumijeva Ured za nadzor i akreditaciju na državnom nivou koji će
obavljati akreditaciju i nadzor nad svim akreditiranim CA organima u državi.
3.2.3. Pravni okvir
Neophodno je formirati Ured za nadzor i akreditaciju CA koji je predviđen važećim zakonom
(član 20, stav 1).
Opcija 2 podrazumijeva rješavanje pitanja koje se odnose na neusklađenost zakonodavstva, te
bi se s tim u vezi izvršio pregled zakonodavstva i usvojile neophodne izmjene i dopune.
Bez obzira na usvojeno rješenje, jasno je da se svi akteri trebaju dogovoriti da primjene
jedinstven nadzor jer će se u suprotnom suočiti sa troškovima dupliciranih nadzornih funkcija
i birokratskim ograničenjima za poslovanje širom entiteta i države.
Potrebno je uskladiti Zakon o elektronskom potpisu u RS-u i Zakon o elektronskom potpisu
BD BiH sa Zakonom o elektronskom potpisu u BiH, kao i donijeti odgovarajuće podzakonske
akte definirane članom 26. Zakona o elektronskom potpisu u BiH, te izradu novih zakonskih
propisa koji će omogućiti adekvatnu primjenu Zakona. Iako je Zakon o elektronskom potpisu
BiH („Službeni glasnik BiH“, broj 91/06) u potpunosti harmoniziran sa Direktivom
1999/93/EC o okviru Zajednice za elektronske potpise, potrebno je izmijeniti i dopuniti
Odluku o osnovama upotrebe elektronskog potpisa i pružanja usluga ovjeravanja („Službeni
glasnik BiH“, broj 21/09), jer Odluka sadržava odredbe, koje su u suprotnosti sa EU
direktivom.
Kao prvo, član 2. koji regulira naknade i član 19. o nadzoru i akreditaciji uzrokuju određenu
sumnju da država u stvarnosti nameće određenu vrstu provjere prije registriranja CA. Takav
zahtjev je direktno suprotan EU direktivi i zato je potrebna izmjena ove odluke kako bi se na
primjereniji način regulirala registracija, naknade i akreditacija.
Kao drugo, Odluka ne regulira detaljno sva pitanja za koja Zakon o elektronskom potpisu
(Službeni glasnik BiH, broj 91/06) propisuje donošenje podzakonskih akata za provođenje
zakona (član 26.). Ujedno, postoje i međunarodni i Evropski tehnički standardi i preporuke,
koje je potrebno uvesti u pravni sistem BiH. Ovi se nedostaci mogu ukloniti na način da se
proširi postojeća Odluka ili da se donesu novi podzakonski akti za grupe ili svakog posebno
kako slijedi:
16
IETF/RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate
Revocation List (CRL) Profile
IETF/RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and
Certification Practices Framework
IETF/IEC 3161, 5816 Internet X.509 Public Key Infrastructure Time-Stamp Protocol
(TSP)
CAdES - CMS Napredni elektronski potpisi
PAdES - PDF Napredni elektronski potpisi
XAdES - XML Napredni elektronski potpisi
TS 101 733 CMS Napredni elektronski potpisi (CadES)
TS 102 734 Profili CMS Naprednih elektronskih potpisa zasnovani na TS 101 733
(CAdES)
TS 101 903 XML Napredni elektronski potpisi (XadES)
TS 102 904 Profili XML Naprednih elektronskih potpisa zasnovani na TS 101 903
(XadES)
TS 102 778 Profili PDF Naprednih elektronskih potpisa (Dijelovi 1 do 5)
TR 102 047 Međunarodno usklađivanje formata elektronskih potpisa
TR 102 438 Primjena standarda za elektronske potpise u Evropi
TR 102 605 Registrirani e-mail
TS 102 640 Registrirana elektronska pošta (REM) (Dijelovi 1 do 3)
TS 102 231 Uredba o usklađenim statusnim informacijama usluge povjerenja
TS 101 861 Profili vremenskih pečata
TS 101 862 Profili kvalificiranih potvrda
TR 102 272 ASN.1 format politike upotrebe politike
TS 102 280 X.509 V.3 Profil potvrda za potvrde koje se izdaju fizičkim licima
TS 101 456 Zahtjevi po pitanju politike za organe za izdavanje potvrda koja izdaju
kvalificirane potvrde
TR 102 437 Smjernice za TS 101 456 (Zahtjevi po pitanju politike za organe za
izdavanje potvrda koja izdaju kvalificirane potvrde)
TR 102 458 Matrica za mapiranje razlika između politike za izdavanje potvrda
Federalnog organa za izdavanje potvrda SAD-a i Evropske politike izdavanja
kvalificiranih potvrda (TS 101 456)
TS 102 023 Zahtjevi po pitanju politike za organe za izdavanje vremenskih pečata
TR 102 040 Međunarodno usklađivanje zahtjeva po pitanju politike za organe za
izdavanje potvrda koja izdaju potvrde
TS 102 042 Zahtjevi po pitanju politike za organe za izdavanje potvrda koja izdaju
potvrde za javne ključeve
17
TS 102 158 Zahtjevi po pitanju politike za CA-ove (ovjerioce) koji izdaju potvrde
svojstva koje se mogu koristiti sa kvalificiranim potvrdama
TR 102 572 Najbolje prakse za rukovanje elektronskim potpisima i potpisanim
podacima za digitalno računovodstvo
TS 102 573 Zahtjevi po pitanju politike za pružatelje usluga povjerenja koji potpisuju
i/ili pohranjuju podatke za digitalno računovodstvo
TS 102 176-1 Algoritmi i parametri za sigurne elektronske potpise; Dio 1: Funkcije
rešifriranja i asimetrični algoritmi
TS 102 176-2 Algoritmi parametri za sigurne elektronske potpise; Dio 2: Protokoli i
algoritmi za sigurne kanale za uređaje za stvaranje potpisa
3.2.4. Prednosti
-Jasan i sveobuhvatan pravni okvir, jednak i za državni i entitetski nivo. Jedinstven pravni
okvir bi isto tako značio uklanjanje administrativnih prepreka i garantiranje jednakog
tretmana za sve subjekte, koji bi se bavili izdavanjem potvrda.
-Već postoji PKI, kroz već pružanje određenih servisa samo se treba nadograditi.
-Razvoj vlastite javne PKI infrastrukture bi značio pojačanu administrativnu i tehničku
infrastrukturu u okviru vladinih institucija i ostvarenje ušteda u vidu smanjenja broja
dokumenata u tradicionalnoj papirnoj formi, kao i vrijeme potrebno za dostavljanje tih
dokumenata, i u vladinom i u privatnom sektoru. Ova prednost se može iskoristiti za sve
predložene opcije.
-Izdavanje osnovnih certifikata od strane Državnog CA Root u BiH podrazumijeva BH lanac
certificiranja i provjere kojoj se može vjerovati, preciznije, iza svakog izdatog certifikata kao
garant stoji država.
-Ova opcija predstavlja najjednostavnije tehničko rješenje i nudi najkraći put od početne tačke
povjerenja do krajnjeg korisnika.
Tabela 5: Projektirane uštede upotrebe e-potpisa i e-dokumenata za vladin sektor za period od 5 godina
Godina 2012 2013 2014 2015 2016
Vladin sektor 0 KM 0 KM 0 KM 0 KM 341,276 KM
0 KM100.000 KM200.000 KM300.000 KM400.000 KM500.000 KM
2012 2013 2014 2015 2016
Godina
Grafikon 5: Ustede od upotrebe e-potpisa i e-dokumenata za vladin sektor
18
Tabela 6: Projektirane uštede upotrebe e-potpisa i e-dokumenata za privatni sektor za period od 5 godina
Godina 2012 2013 2014 2015 2016
Privatni sektor 0 KM 0 KM 0 KM 0 KM 32,305,477 KM
3.2.5. Rizici
Implementacija ove opcije bi zbog značajnih političkih i institucionalnih problema na kraju
mogla rezultirati neuspjehom, što bi u stvari bilo jednako opciji 1 “Ne poduzimati ništa“.
Opcija 2 bi takođe mogla biti ugrožena ukoliko se na svim nivoima vlasti ne osiguraju
dodatna sredstva koja su potrebna za njenu implementaciju, a koja su navedena u troškovima.
Rizik za implementaciju ove opcije takođe može biti i činjenica da već postoje zatvoreni
sistemi u državnim i entitetskim institucijama (Agencija RS, VSTV BiH ...) koji koriste razne
digitalne certifikate. Primjenom ove opcije sve te institucije bi svoje PKI-a trebale uskladiti sa
PKI BiH, preuzimanjem istog digitalnog certifikata od “Root“ CA BiH, što može biti
problem.
3.2.6. Troškovi
Troškovi mogu nastati zbog formiranja Ureda za nadzor i akreditaciju koji iziskuje nabavku
potrebne informatičke opreme, kao i za ljudske resurse koji su predviđeni sistematizacijom
radnih mjesta u Uredu za nadzor i akreditaciju. Takođe, mogu nastati i minimalni troškovi za
izmjenu postojeće pravne regulative.
Sredstva za uspostavljanje PKI3 infrastrukture za vladin sektor su obračunata za infrastrukture
u entitetima i Brčko Distriktu (uzimajući u obzir da IDDEA već ima uspostavljenu PKI) i ta
sredstva bi iznosila cca 1,606,197 KM, a troškovi održavanja iste bi iznosili cca 47,337 KM
godišnje. Pored toga dodati su troškovi Ureda za akreditaciju i nadzor4 i iznosili bi cca
104.592 KM godišnje.
Tabela 3: Projekcija troškova upotrebe e-potpisa i e-dokumenata za vladin sektor, za period od 5 godina
Godina 2012 2013 2014 2015 2016
Vladin sektor 1,710,789 KM 151,929 KM 151,929 KM 151,929 KM 151,929 KM
3 Troškovi osnivanja PKI te troškovi za smart kartice, USB i certifikate su pribavljeni od Halcoma i Entrusta
4 Troškovi Ureda za akreditaciju i nadzor odnose se na bruto plate zaposlenih u Uredu
0 KM
10.000.000 KM
20.000.000 KM
30.000.000 KM
40.000.000 KM
2012 2013 2014 2015 2016
Godina
Grafikon 6: Ustede od upotrebe e-potpisa i e-dokumenata za privatni sektor
19
Napomena: Troškovi uspostavljanja PK infrastrukture u vladinom sektoru, pored navedenih
troškova podrazumijevaju i troškove za ugovore o održavanju i implementaciji sa trećim
licima (outsourcing).
Planirani troškovi za privatni sektor u iznosu od cca 900.000 KM se odnose na kupovinu
smart cards, card readera ili usb-a, te odgovarajućih certifikata.
Tabela 4: Projekcija troškova upotrebe e-potpisa i e-dokumenata za privatni sektor, za period od 5 godina
Godina 2012 2013 2014 2015 2016
Privatni sektor 0 KM 0 KM 0 KM 0 KM 894,249 KM
3.3 Opcija 3 – „Model korištenjem Pareto pristupa“
3.3.1. Opće
Pareto princip (poznat i pod nazivom „pravilo 80-20“, zakon elite, i princip faktora
sporadičnosti) navodi da, u mnogim slučajevima, oko 80% posljedica dolazi od 20% uzroka.
Ovo uobičajeno pravilo poslovanja (npr., "80% prodaje potječe od 20% vaših klijenata") je
matematički zasnovano. Gdje se nešto dijeli između dovoljno velikog broja učesnika, mora
postojati broj x između 50 i 100 tako da " x% uzima (100 − x)% učesnika". Ovaj broj x se
kreće od 50 do 100, međutim, u stvarnosti se taj broj kreće oko 80%. Paretov princip ne zavisi
od prirode aktivnost. Predstavlja jednostavan, ali moćan pristup promatranju organizacije, i
što je još važnije, fokusiranju na pitanja koja su zaista bitna.
Za područja koja ovdje analiziramo, Paretov princip se može iskazati u vidu slijedećih izjava i
ciljeva:
0 KM
500.000 KM
1.000.000 KM
1.500.000 KM
2.000.000 KM
2012 2013 2014 2015 2016
Godina
Grafikon 3: Troskovi upotrebe e-potpisa i e-dokumenata za vladin sektor
20
1. 80% svih G2B transakcija dolaze od 20% subjekata;
2. 20% državnih usluga doprinose 80% poslovnih aktivnosti;
3. 80% pritužbi građana/firmi se odnose na 20% administrativnih opterećenja;
4. sa 20% uloženih napora i vremena vlade postiže se 80% željenih rezultata;
5. 80% vrijednosti za društvo / poslovanje potječe od 20% procesa.
Stoga opcija 3 predviđa rješavanje samo važnih pitanja i pragmatično zanemarivanje onih
koja predstavljaju veliku pravnu ili institucionalnu prepreku ili donose male koristi.
3.3.2 Arhitektura za BiH
Umjesto izgradnje pojedinačnih PKI infrastruktura javnog sektora koristila bi se, u te svrhe,
postojeća infrastruktura. Tamo gdje je uspostavljena ili gdje će biti uspostavljena PKI
infrastruktura javnog sektora (IDDEEA PKI za građane, zatvoreni sistemi u državnim
organima, poštanske usluge, itd.) i gdje pravna pitanja budu razriješena, ta bi se infrastruktura
i koristila. U isto vrijeme, pod jednakim uvjetima i kao dodatak infrastrukturi javnog sektora
bi se koristila i infrastruktura privatnog sektora (banke i drugi poslovni subjekti).
Slika 3. Šematski prikaz jednog od mogućih rješenja koristeći “Pareto princip“ u BiH (sa
20% uloženih napora i vremena vlade postiže se 80% željenih rezultata)
Kao primjer takve infrastrukture u BiH je infrastruktura za elektronsko bankarstvo (slika 3),
sa preko 10.000 poslovnih subjekata i fizičkih lica (klijenata), koji već koriste PKI
infrastrukturu za svoje elektronske transakcije (eBanking) u zatvorenim sistemima.
Certifikate u ovakvim bankarskim sistemima generiraju CA-ovi akreditirani u EU i oni su
21
ugovorom angažirani od samih banaka koji tako koriste njihove certifikate za svoje klijente.
Uz malo napora, dogovorom institucija u BiH i banaka, infrastruktura za elektronsko
bankarstvo se može efikasno iskoristiti i za usluge elektronske uprave, tako da bi se sa
manjim “software“-skim i “hardware“-skim nadogradnjama, bankovni certifikati mogli
koristiti kao kvalificirani u otvorenom sistemu za građane i poslovne subjekte, a za servise
C2G i B2G.
Ovim rješenjem bi klijenti banaka, koji već koriste eBanking, sa istim digitalnim certifikatima
koristili bankovne komunikacione kanale ( PKI-e) i za pristup servisima javne uprave.
U ovom slučaju, banke bi, takođe, pružale i određene usluge elektronskog arhiviranja, čuvanja
dokumenata i njima upravljale, a sve u cilju razmjene raznih ePodnesaka i eRješenja svojih
klijenata u komunikaciji sa javnom upravom.
U sklopu Opcije 3 potrebno je uspostaviti semantičku i software-sku interoperabilnost u
smislu standardizacije dokumenata i spajanja različitih PKI domena da bi se ostvarili principi
upotrebljivosti, otvorenosti, neutralnosti, ekonomičnosti i generalizacije, nezavisno od bilo
kakvih političkih utjecaja, čime se ostvaruje komplementarnost i povezivost različitih PKI
arhitektura.
Ovakvim pristupom otvara se mogućnost i korištenje PKI infrastrukture putem mobilne
telefonije, za koju su neke države u regiji već uspostavile odgovarajuću infrastrukturu. Kada
bi se ista uspostavila u Bosni i Hercegovini, predstavljala bi idealan komunikacioni kanal za
mala i srednja poduzeća i građane.
3.3.3. Pravni okvir
Neophodno je formirati Ured za nadzor i akreditaciju CA koji je predviđen važećim zakonom
(član 20, stav 1).
U skladu sa ranije spomenutim, Pareto princip podrazumijeva neznatne regulatorne promjene
u cilju poboljšavanja efikasnosti zakonodavstva i uklanjanja nepotrebnih administrativnih
opterećenja. Takođe, domaći pružaoci usluga biti će u stanju da odaberu registraciju ili na
državnom ili na entitetskom nivou, a uz to postojeći propisi osiguravaju upotrebu potvrda
izdatih u EU. Sve promjene se mogu izvršiti izmjenom podzakonskih akata čime se u isto
vrijeme smanjuje potreba za dugotrajnim i kompliciranim zakonodavnim postupcima izmjene
propisa (odnosi se na izmjene i dopune Odluke o osnovama upotrebe elektronskog potpisa i
pružanja usluga ovjeravanja, kao što je navedeno u Opciji 2).
3.3.4. Prednosti
- Minimalne izmjene postojeće pravne regulative;
- Minimalna nadogradnja postojeće infrastrukture u smislu omogućavanja upotrebe
elektronskog popisa u otvorenim sistemima;
- Građani koji su klijenti banaka i koriste eBanking mogu pristupiti eServisima javne uprave
sa istog mjesta (portala);
- Poslovni subjekti koji elektronski posluju sa bankama mogu sa istog mjesta uspostaviti
B2G servise u komunikaciji sa organima javne uprave;
- Uštede u oba sektora bi bile vidljive već godinu dana nakon implementacije.
Tabela 8: Projektirane uštede upotrebe e-potpisa i e-dokumenata za vladin sektor za period od 5 godina
Godina 2012 2013 2014 2015 2016
Vladin sektor 0 KM 302,432 KM 566,752 KM 708,055 KM 688,012 KM
22
Tabela 9: Projektirane uštede upotrebe e-potpisa i e-dokumenata za privatni sektor za period od 5 godina
Godina 2012 2013 2014 2015 2016
Privatni sektor 0 KM 28,628,515 KM 53,649,265 KM 67,025,099 KM 65,127,842 KM
3.3.5. Rizici
Jedina stvarna opasnost je da privatni sektor ne priznaje digitalne certifikate izdate od BH
akreditiranih CA tijela.
3.3.6. Troškovi
Troškovi, kao i kod svih opcija, mogu nastati zbog formiranja Ureda za nadzor i akreditaciju
koji iziskuje nabavku potrebne informatičke opreme, kao i za ljudske resurse koji su
predviđeni sistematizacijom radnih mjesta u Uredu za nadzor i akreditaciju.
Minimalni troškovi zbog postojanja bazne infrastrukture.
Ova opcija donosi troškove samo za institucije u BiH (vlade) pošto je osnovna pretpostavka
ove opcije korištenje postojećih PK infrastruktura za elektronsko poslovanje. Troškovi se
0 KM
250.000 KM
500.000 KM
750.000 KM
1.000.000 KM
2012 2013 2014 2015 2016
Godina
Grafikon 8: Ustede od upotrebe e-potpisa i e-dokumenata za vladin sektor
0 KM
20.000.000 KM
40.000.000 KM
60.000.000 KM
80.000.000 KM
2012 2013 2014 2015 2016
Godina
Grafikon 9: Ustede od upotrebe e-potpisa i e-dokumenata za privatni sektor
23
odnose i na portal i njegovo održavanje te na troškove Ureda za akreditaciju i nadzor.
Tabela 7 : Projekcija troškova upotrebe e-potpisa i e-dokumenata za vladin sektor, za period od 5 godina
Godina 2012 2013 2014 2015 2016
Vladin sektor 137,592 KM 107,592 KM 107,592 KM 107,592 KM 107,592 KM
3.4. Opcija 4 – Model “Bridge of Trust“
3.4.1 Opće
“Bridge of Trust“ ili domen sa povezujućom arhitekturom je model gdje se dva ili više
nezavisnih domena povjerenja sa različitom arhitekturom preko svojih glavnih (principal) CA
međusobno „Cross certificiraju“ preko “Bridge of Trust“ CA (BCA) čineći jedan zajednički
domen povjerenja, u kojemu su međusobno priznati svi različito generirani digitalni
certifikati. “Bridge of Trust“ CA nije početna tačka povjerenja tj. ne izdaje digitalni certifikat,
nego djeluje isključivo kao provodilac povjerenja povezujući različite PKI i njihove glavne
CA kao početne tačke povjerenja svojih PKI (kao na slici 4).
0 KM
20.000 KM
40.000 KM
60.000 KM
80.000 KM
100.000 KM
120.000 KM
140.000 KM
2012 2013 2014 2015 2016
Godina
Grafikon 7: Troskovi upotrebe e-potpisa i e-dokumenata za vladin sektor
24
Slika 4. Šematski prikaz modela „Bridge of Trust“
3.4.2 Arhitektura u BiH
Model “Bridge of Trust“ (sl.4), kao opcija za primjenu Zakona o ePotpisu, uzima u obzir
složeno uređenje Bosne i Hercegovine i omogućava uspostavljanje nezavisnih PKI
infrastruktura u okviru uspostavljenih domena povjerenja za ePoslovanje, tako da jedan
domen povjerenja u BiH može biti i entitet. Osnovna karakteristika ovog modela je da u
okviru jedne domene mogu djelovati jedan i više CA (certificate authority), a svaka domena
ima jedan glavni (principal) CA. Organizacija u okviru jedne domene povjerenja može biti po
želji; ili hijerarhijska (Root) ili povezujuća (Bridge) te bi u tom slučaju glavni CA-i bili ili
Root CA ili Bridge CA. Svi ovi pojedinačni domeni mogu se međusobno priznavati
uspostavljanjem “trust“ centra na državnom nivou, koji predstavlja “Bridge of trust“
(povezujući most povjerenja) za sve domene povjerenja i njihove CA bez obzira kako su
organizirani. Time se uspostavlja jedan zajednički domen povjerenja BiH u okviru koga se
nesmetano može poslovati u elektronskom okruženju, uzajamno priznavajući sve digitalne
certifikate povezanih domena.
Uspostavljanjem “Trust centra“ na nivou BiH, “cross“ certificiranjem ili drugim nivoom
povjerenja, među svim uspostavljenim PKI domenima i njihovim glavnim CA bilo koje
organizacije, uspostavlja se neometano ePoslovanje na cijelom području zemlje, a “Trust“
centar kao jedan “hub“ (koncentrator) djeluje kao veza i povjerenje između PKI domena u
okviru i van BiH.
Uzajamno Povjerenje se postiže usklađivanjem politika raznih domena povjerenja CP
(Certificate Policy), koji se povezuju u zajednički domen povjerenja BiH, a koji osigurava:
- Povezivanje domena povjerenja u okviru BiH, kao zajednički PKI za BiH
- Povezivanje zajedničke domene u BiH (PKI BiH) sa domenima povjerenja van BiH.
25
Na slici 5 je predstavljen jedan mogući primjer arhitekture PKI u BiH i povezivanje s drugim
PKI domenama u BiH i u inozemstvu, a koji maksimalno uvažava političko uređenje BiH,
tako da su domeni povjerenja i njima pripadajuće PKI, entiteti Republika Srpska sa svojim
glavnim (principal) CA, Federacija BiH sa svojim glavnim (principal) CA, Brčko Distrikt
BiH sa svojim glavnim (principal) CA, kao i drugi domeni povjerenja koji njima ne pripadaju,
a takođe, sa svojim glavnim (principal) CA-ovima.Naravno, moguća su i druga rješenja po
ovome modelu što bi u završnici bilo stvar dogovora nadležnih.
Glavni (principal) CA-ovi su početne tačke povjerenja za svoje domene.
Slika 5. Šematski prikaz jednog od mogućih rješenja “Bridge of trust (BofT)“ u BiH
U ovom slučaju entiteti, Brčko Distrikt BiH i ostali mogu zasebno i po volji uspostavljati
vlastitu PKI ili više njih, a preko “Trust centra“ (BofT) na nivou BiH, te tako ostvariti
međusobnu vezu i povjerenje.
Naravno, osim ovoga prikazanog na slici 5 moguća su i mnoga druga rješenja koja se mogu
realizirati ukoliko se primjeni Opcija 3 sa slike 4.
Politiku povjerenja u domeni PKI BiH bi donosilo organ za upravljanje politikom PMA
(Policy Managament Authority), koje bi imenovalo Vijeće ministara BiH, a čiji bi članovi bili
po jednaki broj predstavnika državnog nivoa vlasti, entiteta i Brčko Distrikta BiH, a i kao
predstavnici Glavnih (pricipal) CA-ova svojih domena. Samim tim, PMA bi upravljao radom
“Trust“ centra (BofT) i njegovim repozitorijom. Sve nadležnosti i odgovornosti ovog organa
naknadno bi se detaljno precizirali ukoliko bi se ova opcija i prihvatila.
Primjena ovoga modela takođe zahtjeva uspostavljanje Ureda za akreditaciju i nadzor na
26
nivou države, ali otvara i mogućnost uspostavljanja i “entitetskog“ ureda, s tim da je
neophodno uspostaviti adekvatnu koordinaciju sa “državnim“ Uredom koja će osigurati sve
potrebne standarde i pravni okvir za sigurno i nesmetano ePoslovanje u domeni PKI BiH.
Primjenom ove opcije, svi zainteresirani subjekti u BiH bi zahtjeve za obavljanje poslova
davalaca usluga certificiranja podnosili po vlastitom izboru, tako da bi digitalni certifikati
koje izdaju vrijedili na cijeloj teritoriji BiH, bez obzira gdje su izdati.
3.4.3 Pravni okvir
Pravni okvir se odnosi na izmjene i dopune Odluke o osnovama upotrebe elektronskog
potpisa i pružanja usluga ovjeravanja, kao što je navedeno u Opciji 2. Takođe je neophodno
formirati Ured za nadzor i akreditaciju CA koji je predviđen važećim zakonom (član 20, stav
1).
3.4.4 Prednosti
Ova opcija uzima u obzir složeno uređenje Bosne i Hercegovine i omogućava primjenu
Zakona o ePotpisu na visoko decentralizirani način.
Daje mogućnosti uključivanja i Opcije 3 kao i dijelom Opcije 2 ( hijerarhijska struktura u
okviru pojedinih domena povjerenja), uvažava postojeći pravni okvir za ePoslovanje uz
minimalne izmjene i dopune kao u Opciji 3.
Takođe omogućava:
- Validnost međusobno priznavanje svih digitalnih certifikata je na cijelom području BiH,
- Poslovanje sa raznim certifikatima, a da se pri tome ne narušava sigurno okruženje za
ePoslovanje po svjetskim standardima,
- Uspostavljanje slobodnog tržište pružalaca usluga certificiranja na cijelom području BiH,
- Građanima, pravnim i privrednim subjektima kao korisnicima digitalnih certifikata,
- Slobodan izbor digitalnog certifikata i njegovog pružaoca.
3.4.5 Rizici
Mogući rizici mogu doći kroz određivanja nivoa povjerenja među domenima povjerenja u
arhitekturi povezujućih domena (bridge).
Duži putevi od početne tačke povjerenja do krajnjeg korisnika te procedure međusobnog
priznavanja zahtijevaju složeniji tehnički sigurnosni aspekt.
Kada se govori o tehničkim rizicima, oni se prvenstveno odnose na okvir interoperabilnost.
Bosna i Hercegovina još uvijek nema urađen okvir interoperabilnosti koji treba da bude
usklađen sa Evropskim okvirom interoperabilnosti. Iz tog razloga može doći do poteškoća
prilikom komuniciranja sa CA-ovima koji su akreditirani u zemljama EU
3.4.6 Troškovi
-Troškovi vezani za osnivanje Ureda;
-Troškovi vezani za uspostavljanje “Trust“ Centra na državnom nivou;
-Troškovi uspostavljanja entitetskih i Brčko Distrikt BiH PKI;
-Ukupni troškovi bi trebali biti znatno umanjeni zbog korištenja postojećih infrastruktura.
27
IV. POTENCIJALNI UTJECAJI
Ubrzanje uvođenja elektronskog potpisa je od velike važnosti za BiH, jer trenutno BiH kasni
u implementaciji elektronskog potpisa, što znači, da su usporene i sve primjene e-potpisa
(eTrgovina, eBankarstvo, eUprava, ePoslovanje.....).
Ako bi se odlučilo da se ne promjeni ništa (opcija 1), BiH bi ostala još dalje iza drugih
zemalja EU i zemalja u regionu po pitanju ePoslovanja. U tom slučaju bi došlo do povećanja
direktnih i indirektnih/administrativnih troškova za javni sektor i privatni sektor.
Opcija 2 je tehnički najjednostavnija, ali zahtijeva harmoniziranje zakonodavstva u BiH iz
ove oblasti (Zakone o ePotpisu RS-a i Brčko DC BiH uskladiti sa Zakonom o ePotpisu BiH),
čime bi se osigurala jasna nadležnost na nivou države i entiteta, te pojačale upravna i tehnička
infrastruktura sa vještinama i znanjem.
Glavni problem za primjenu Opcije 2 je političke prirode, gdje pojedini politički krugovi
smatraju da bi se primjenom ove opcije ugrozile nadležnosti entiteta, što apsolutno nije tačno.
Kao rezultat takvih i sličnih oprečnih političkih stavova primjena Opcije 2 bi mogla
rezultirati neuspjehom, što bi u završnici bilo jednako opciji 1 „Ne poduzimati ništa“.
Ukoliko bi se primijenila Opcija 3, tj. izvršilo pragmatično uvođenje onih promjena koje po
principu Pareto (20% promjena za 80% učinka) donosile najveće prednosti, implicirala bi
minimalne izmjene postojeće pravne regulative i minimalne troškove, zbog postojanja bazne
infrastrukture, što predstavlja nadogradnju na postojeće stanje i dobru osnovu za primjenu
Opcije 4.
Opcija 4 je krajnje decentralizirana, uzima u obzir složeno uređenje Bosne i Hercegovine,
omogućava poslovanje sa raznim certifikatima, a i uspostavlja tržište pružalaca usluga
certificiranja na cijelom području BiH. Implementacijom Opcije 4 zahtjevi za obavljanje
poslova davalaca usluga certificiranja bi se podnosili po vlastitom izboru, a samim tim i
priznavanje svih vrsta certifikata na cijeloj teritoriji Bosne i Hercegovine. Opcija 4 trenutno
predstavlja najsаvremenije rješenje primjene elektronskog potpisa i kao takvo trebalo bi da
bude krajnji cilj kojem teži Bosna i Hercegovina u narednom periodu.
Troškovi i uštede pojedinačnih opcija za vladin i privatni sektor su dati u tabelama 10-13.
Tabela 10: Troškovi pojedinačnih opcija za vladin sektor
Godina 2012 2013 2014 2015 2016
OPCIJA 1 2,904,930 KM 3,024,322 KM 3,148,622 KM 3,278,030 KM 3,412,757 KM
OPCIJA 2 1,710,789 KM 151,929 KM 151,929 KM 151,929 KM 151,929 KM
OPCIJA 3 137,592 KM 107,592 KM 107,592 KM 107,592 KM 107,592 KM
Tabela 11: Troškovi pojedinačnih opcija za privatni sektor
Godina 2012 2013 2014 2015 2016
OPCIJA 1 274,983,336 KM 278,894,052 KM 282,965,498 KM 287,204,282 KM 291,617,279 KM
28
OPCIJA 2 0 KM 0 KM 0 KM 0 KM 894,249 KM
OPCIJA 3 0 KM 0 KM 0 KM 0 KM 0 KM
Tabela 12: Uštede pojedinačnih opcija za vladin sektor
Godina 2012 2013 2014 2015 2016
OPCIJA 1 0 KM 0 KM 0 KM 0 KM 0 KM
OPCIJA 2 0 KM 0 KM 0 KM 0 KM 341,276 KM
OPCIJA 3 0 KM 302,432 KM 566,752 KM 708,055 KM 688,012 KM
Tabela 13: Uštede pojedinačnih opcija za privatni sektor
Godina 2012 2013 2014 2015 2016
OPCIJA 1 0 KM 0 KM 0 KM 0 KM 0 KM
OPCIJA 2 0 KM 0 KM 0 KM 0 KM 32,305,477 KM
OPCIJA 3 0 KM 28,628,515 KM 53,649,265 KM 67,025,099 KM 65,127,842 KM
V. INDIKATORI IZVEDBE – PRAĆENJE I REVIZIJA
Kao glavni indikatori za praćenje implementacije predlaže se slijedeće:
Prvi indikator je uspješno provođenje harmonizacije podzakonskih propisa u skladu sa
pravnim okvirom i tehničkom regulativom EU. Postojeća Odluka o osnovama upotrebe
elektronskog potpisa i pružanja usluga ovjeravanja („Službeni glasnik BiH“, broj 21/09) nije
harmonizirana sa direktivom EU i ne regulira sva pitanja za koja zakon propisuje donošenje
podzakonskih akata ili pitanja koja su regulirana međunarodnim i Evropskim tehničkim
standardima i preporukama koje je potrebno unijeti u pravni sistem BiH. Zbog toga jasan
indikator napretka je usvajanje svih potrebnih podzakonskih akata.
Drugi indikator je uspostavljanje i efikasnost nadzora od strane nadležnih organa. Danas
nadležno ministarstvo nema kapacitete za vršenje nadzora o primjeni zakona u ovlasti e-
potpisa. U tom smislu se uspješna implementacija ogleda najprije u osnivanju Ureda za
nadzor i akreditaciju u okviru nadležnog ministarstva, a kasnije u broju inspekcijskih i
upravnih postupaka, izvedenih od strane tog Ureda.
Kako je potvrda svakoj osobi neophodno potrebna za ePotpis, broj izdatih običnih i broj
izdatih kvalificiranih certifikata od strane domaćih ili EU CA pokazuje jasno stanje.
Danas se procjenjuje da u BiH postoji oko 12.000 izdatih običnih certifikata (10.000 za
poduzeća i 2.000 za državne službenike) i oko 100 kvalificiranih certifikata. Komparativni
podaci za zemlje EU govore o 30 puta većem broju izdatih potvrda (ako se podaci
relativiziraju na broj stanovnika), a za zemlje u regionu oko 2 do 3 puta više izdatih potvrda u
odnosu na BiH.
Posljednja dva indikatora su procenat upotrebe usluge eBankarstva i eUprave za
stanovništvo i za poduzeća. Indikatori za EU pokazuju, da eBankarstvo za stanovništvo
koristi oko 60% stanovnika, a usluge eUprave oko 40% stanovnika. U poduzećima
eBankarstvo koristi 80 do 95% poduzeća, a usluge e-uprave oko 75% poduzeća. Pored ovih
29
indikatora mogu se koristiti i svih 60 indikatora EU
(http://ec.europa.eu/information_society/eeurope/i2010/benchmarking/index_en.htm).
VI. KONSULTACIJE
U izradi ovog dokumenta korištene su pasivne i aktivne konsultacije sa svim relevantnim
partnerima iz vladinog i privatnog sektora.
Aktivne konsultacije
a) U sklopu aktivnih konsultacija, održane su tri radionice na kojima su razmijenjena
mišljenja sa pripadnicima iz javnog i privatnog sektora, kao i relevantnim stručnjacima iz
ove oblasti:
1. Tokom prve održane radionice, na temu ”Primjena ePotpisa u zatvorenim sistemima u
BiH sa fokusom na elektronsko bankarstvo”, održanoj 1. decembra 2010. godine u
Sarajevu, dobili smo veliku podršku svih učesnika (32 učesnika iz 15 institucija i
kompanija) za potrebom izrade sveobuhvatne analize utjecaja koja bi otklonila sve
postojeće dileme, prepreke i omogućila potpunu primjenu ePotpisa u BiH.
2. Kao prvi korak u izradi metodologije procjene utjecaja, održana je Obuka o
metodologiji analize procjene utjecaja (RIA) s fokusom na ePotpis u Sarajevu, 21.
decembra 2010. godine, sa ciljem upoznavanja metodologije svih relevantnih učesnika u
procesu. U radu ove radionice aktivan doprinos pružilo je 19 učesnika iz 13 institucija i
organizacija.
3. Prvi radni dokument sa opcijama na primjenu Zakona o e-potpisu BiH, predstavljen je
na dvodnevnoj radionici u Tesliću, 19 i 20. aprila 2011. godine, na kojoj je učestvovalo 40
učesnika iz 26 institucija, organizacija i kompanija.
b) Kao dio aktivnih konsultacija, održano je i 10 pojedinačnih sastanaka na kojima su
razmatrana pitanja od posebnog značaja, koja su zahtijevala specifična znanja, iskustva i
vještine.
c) Prvi radni nacrt dokumenta Analiza učinka propisa na pravni i institucionalni okvir za
elektronski potpis s prijedlogom opcija za primjenu Zakona o e-potpisu BiH je dostavljen
e-mailom 31 instituciji, organizaciji i kompaniji; od kojih su dobijena mišljenja na
dostavljeni dokument od 27 institucija, organizacija i kompanija, kako slijedi:
1. Generalni sekretarijat Vijeća ministara Bosne i Hercegovine
2. Ministarstvo finansija i trezora Bosne i Hercegovine
3. Parlamentarna skupština Bosne i Hercegovine
4. Centralna banka Bosne i Hercegovine
5. Visoko sudsko i tužilačko vijeće Bosne i Hercegovine
6. Uprava za indirektno oporezivanje Bosne i Hercegovine
7. Agencija za identifikacione dokumente, evidenciju i razmjenu podataka BiH
(IDDEEA)
8. Institut za akreditaciju Bosne i Hercegovine
9. Ured koordinatora za reformu javne uprave (PARCO)
30
10. Generalni sekretarijat Vlade Federacije BiH
11. Federalno ministarstvo transporta i komunikacija Federacije BiH
12. Generalni sekretarijat Vlade Republike Srpske
13. Ministarstvo nauke i tehnologije Republike Srpske
14. Porezna uprava Federacije BiH
15. Poreska uprava Republike Srpske
16. Agencija za informaciono društvo Republike Srpske
17. Vlada Brčko Distrikta BiH
18. Agencija za informatiku i statistiku Kantona Sarajevo
19. Asocijacija poslodavaca Bosne i Hercegovine
20. Udruženja banaka Bosne i Hercegovine
21. Asocijacija informatičara u Bosni i Hercegovini
22. Asocijacije za informacione tehnologije u Bosni i Hercegovini B@IT
23. BH Telecom
24. m:tel
25. Asseco, South Eastern Europe Pexim Solutions
26. Electronic Banking Bureau (EBB)/Halcom
27. Lanaco Banja Luka
U nastavku je predstavljen sadržaj rezultata održanih konsultacija:
- Potrebno je izraditi i usvojiti Akcioni plan kojim se jasno definiraju potrebni koraci i
obaveze svih pojedinih učesnika u procesu sa ciljem potpune primjene elektronskog
potpisa u BiH. S tim u vezi potrebno je definirati otvorena pitanja donošenjem
odgovarajućih podzakonskih akata u skladu sa Zakonom o elektronskim potpisom BiH i
formirati odgovarajući nadzorni organ koji će pratiti primjenu i kontrolu propisa. Bitno je
napomenuti da će za potpunu primjenu elektronskog potpisa biti potrebne i dodatne
izmjene i dopune drugih relevantnih propisa. U isto vrijeme veoma je bitno da se oko
određenih pitanja usvoji odgovarajuća praksa npr. email kao način komunikacije se može
i treba smatrati važećim i prihvatljivim kao i fax ili bilo koji drugi podnesak – i s tim u
vezi, dodatno korigirati propise koji propisuju vrlo stroga pravila (upotrebu kvalificiranog
potpisa, vremenskog pečata i sl.).
- Potrebno je buduće aktivnosti na primjeni elektronskog potpisa u okviru BiH,
koordinirati kako bi se ostvarili što bolji i kvalitetniji rezultati a sami efekti primjene
elektronskog potpisa učinili što efikasnijim.
- Ukazana je potreba na što kvalitetnijoj izgradnji elektronskih servisa koji bi pomogli
ne samo vladinom i privatnom sektoru, nego i građanima. Kao primjer možemo uzeti
predviđenu mogućnost izdavanja e-lične karte 2013, u skladu sa usvojenom strategijom
Vijeća ministara BiH za period od 2010-2015. Bez adekvatnih elektronskih servisa svi
napori na uvođenju e-lične karte neće dati očekivane rezultate.
- Privatni sektor, a posebno IT kompanije predstavljaju ogroman razvojni potencijal u
BiH i svako dalje odlaganje u primjeni elektronskog potpisa predstavlja direktni gubitak
za razvoj privrede u BiH, a u isto vrijeme dovodi ovaj sektor u još nepovoljniji položaj u
odnosu na IT kompanije u regiji.
31
- Za dalji razvoj bankarskog sektora primjena elektronskog potpisa je od izuzetnog
značaja, posebno za dalji razvoj modernog elektronskog bankarstva, usporava povezivanje
poslovne zajednice sa poreskim upravama, obavljanja dnevnih transakcija elektronskim
putem. Uspostavljanje sigurnog i modernog elektronskog bankarstva neophodno je za
monitoring i kontrolu eventualnih aktivnosti “pranja novca” i borbe protiv finansiranja
ilegalnih aktivnosti. Postojeća bankarska PKI može biti realna polazna osnova za
uvođenje e-vlade, posebno imajući u vidu troškove izgradnje i održavanja PKI kao i
veličinu i stvarne potrebe zemlje.
- Potrebno je uzeti u obzir informatičku pismenost prije svega građana, potom poslovne
zajednice, kao i javnog sektora u BiH. U ovom smislu potrebno je uzeti u obzir
dosadašnja iskustva kao i stručna znanja postojećih asocijacija informatičara u BiH.
Uvođenjem elektronskog potpisa potrebno je raditi na razvijanju odgovarajućih elementa
zaštite potrošača.
- Adekvatna i efikasna primjena elektronskog potpisa treba biti praćena dobro
pripremljenom javnom kampanjom koja bi ukazala na sve prednosti pune primjene
elektronskog potpisa.
- Bitno je naglasiti da treba razmotriti socijalne konsekvence povećane primjene
elektronskog potpisa - sveobuhvatna primjena elektronskog potpisa kao i dalja
informatizacija bi mogla dovesti do otpuštanja određenog broja zaposlenih.
VII. SADRŽAJ I PREPORUKE
U pripremi završnog dokumenta analize utjecaja propisa, Ministarstvo komunikacija i
prometa BiH je kao inicijator i nosilac ove aktivnost poduzelo sveobuhvatne aktivnosti sa
svim interesnim stranama, te su u konsultacije bili uključeni predstavnici vladinog,
poslovnog i nevladinog sektora, kao što je to naprijed navedeno.
Nakon usvajanja ovog dokumenta, neophodne su slijedeće aktivnosti Ministarstva
komunikacija i prometa BiH:
a) da izradi podzakonske akte potrebne za provođenje Zakon o elektronskom potpisu BiH i
pokrene proceduru za njihovo usvajanje;
b) da pokrene proceduru izmjene Pravilnika o unutrašnjem ustrojstvu i sistematizaciji radnih
mjesta, kako bi se ostvarili uslovi za osnivanje Ureda za nadzor i akreditaciju i izvršilo
popunjavanje radnih mjesta u Uredu;
c) da pokrene proces popunjavanja radnih mjesta u Uredu za nadzor i akreditaciju, internim ili
eksternim premještajem državnih službenika u Uredu; i
d) osigura adekvatnu obuku službenika Ureda.
Radni tim je analizirao podatke i mišljenja iz konsultacija, iskustva i dostupne informacije iz
drugih zemalja u regiji i Europskoj uniji.
Radni tim predlaže se da se implementira Opcija 3 - Metoda korišćenja Pareto pristupa i
Opcija 4 - Bridge of Trust, kao daljnja nadogradnja i put ka uspostavi jednog zajedničkog
domena povjerenja za elektronsko poslovanje u Bosni i Hercegovini, uzimajući u obzir
složeno uređenje Bosne i Hercegovine, a kao najrealnija i najracionalnija rješenja za primjenu
Zakona o elektronskom potpisu.
32
Primjenom tih opcija domaći CA bi imali mogućnosti da odaberu registraciju ili na državnom
ili na nekim entitetskim razinama. Uz to postojeći propisi osiguravaju upotrebu certifikata
izdanih u EU i svi bi međusobno bili priznati preko trećeg centra za povjerenje (Trust Centar).
Umjesto velikih troškova za provedbu kompletnih državnih PKI infrastruktura koristila bi se
postojeća infrastruktura i kanali. Tamo gdje je uspostavljena ili gdje će biti uspostavljena PKI
infrastruktura javnog sektora (IDDEEA PKI za građane, zatvoreni sistemi u državnim
organima, poštanske usluge, itd.) i gdje pravna pitanja budu razriješena ta bi se infrastruktura
i koristila. U isto vrijeme, pod jednakim uslovima i kao dodatak infrastrukturi javnog sektora
bi se koristila i infrastruktura privatnog sektora, najviše banaka. Kako poslovni subjekti već
imaju digitalne certifikate kao i potreban softver, te bi certifikati bili unaprijeđene sa
postojećeg zatvorenog sistema na otvorene sisteme sa kvalifikovanim digitalnim
certifikatima.
33
ANNEX 1
Potrebni podaci i pretpostavke za CBA analizu
Podatak Izvor Iznos
Broj stanovnika Agencija za statistiku BiH, podatak
za 2010 godinu
3.842.566
Broj faktura za stanovništvo Prema podacima dobijenim iz ranijih analiza, pretpostavka je da građani
plaćaju 1.5 faktura po glavi stanovnika mjesečno
Broj faktura za 1 poduzeće Privatni sektor 40 faktura mjesečno
Trošak slanja 1 fakture Pošte, knjižare – pretpostavka je da
stranke u najvećem broju slučajeva
koriste običnu poštu
2,6 KM
Ukupan broj poduzeća i
preduzetnika u BIH
Poreske uprave, podatak za 2010.
godinu
105.862
Trošak Poreskih uprava RS, FBIH i
DB za slanje faktura
Poreske uprave FBIH, RS i BD 832.634,50 KM
Trošak Vlade RS,FBIH,BD i BIH
za slanje faktura
Pretpostavka je da je ukupan broj poslatih faktura od strane vladinog
sektora 2.5 puta veći od faktura poreske uprave
Prosječan rast BNP The World Bank group database-
podatak dobijen na osnvu
prosječnog rasta BNP u proteklih 5
godina
4.11%
Potrebno vrijeme za slanje 1
fakture
Privatni sektor, vladin sektor 10 minuta
Prosječna satnica Agencija za statistiku BIH, podatak
za 2010 godinu
6,88 KM
Osnivanje PKI (CA):
Authority Security Manager (CA)
150.000 certifikata
Usluge implementacije
Server i HSM HW
Entrust – analiza uradjena za 3 CA
(3 entitetske CA uz pretpostavku da
će IDEEA preuzeti ulogu krovne
CA)
25.000 EUR
150.000 EUR uvećano za 20%
stranaka koje će koristiti usluge 2
CA
50.000 EUR
100.000 EUR
Trošak portala Entrust i Halcom 60.000 KM
Održavanje CA Entrust i Halcom 5.000 EUR
Održavanje portala Entrust i Halcom 10% vrijednosti portala
Smart card
Card reader
USB
Certifikat (3 godine)
EBB – stranka koristi ili smart card
ili USB-uzeti prosječni troskovi za
analizu
Halcom i Entrust
104.5 KM
58.5 KM
156 KM
68.5 KM
Broj poduzeća koja koriste internet RAK – pretpostavka je da će prve
godine 10% od ovih poduzeća
koristiti e-potpis i e-dokument
50%
Ured za akreditaciju i nadzor Vladin sektor 1. Načelnik Ureda =39 024 KM
2. Stručni savjetnik za
inspekcijski nadzor =32 784 KM
3. Stručni savjetnik za razvoj e-
potpisa i e-poslovanja =32 784 KM
Ukupno bruto plaće i naknade na
godišnjem nivou – 104 592 KM