1

NASLOV: Analiza učinka propisa na pravni i institucionalni

okvir za elektronski potpis

ORGAN UPRAVE: Ministarstvo komunikacija i prometa BiH u saradnji sa

Međunarodnom finansijskom korporacijom – Grupacija

Svjetske banke koja je pružila tehničku pomoć u izboru i

metodolgiji procjene utjecaja regulativa po principu koji se

koristi u Evropskoj uniji, zatim pronalaženju mogućih

rješenja za implementaciju elektronskog potpisa u Bosni i

Hercegovini, prikupljanju najboljih praksi u Evropskoj

uniji, prikupljanju podataka te cost benefit analizi

DATUM: 31. 08. 2011.

I. UVOD

Slijedeći globalne trendove, u BiH je već uvedeno nekoliko savremenih velikih informacionih

sistema, poput IDDEEA informacionih sistema, informacionog sistema trezorskog

poslovanja, informacionog sistema poreske uprave, sudskog registra poslovnih subjekata,

informacionog sistema granične policije, carinskog informacionog sistema, sistema Centralne

banke BiH i kliringa/obračuna (Clearing House), sistema IKT za podršku procesu

privatizacije itd. Međutim, veliki broj implementiranih IT projekata rješavao je "goruće"

probleme i zbog toga su implementirani IT projekti ostali izolirani jer su rađeni samo kao

rješenje jednog jedinog problema umjesto da su sastavni dio cjelovite reforme primjene IT-a u

državnoj upravi.

Bosna i Hercegovina je kao članica Inicijative za elektronsku jugoistočnu Evropu potpisala

„eSEE Agendu za razvoj informacionog društva“ 2002.godine u Beogradu. U toj Agendi je

dogovoreno da države potpisnice izrade i usvoje politiku i strategiju razvoja informacionog

društva, a kroz prioritetnu oblast „Jedinstveni SEE informacioni prostor“ definira način

uspostavljanja javne infrastrukture za sigurno poslovanje zasnovano na kvalificiranom

elektronskom potpisu. Dalje, od 12+8+3 e-usluga iz eSEE Agende plus, u narednom periodu

IDDEEA planira pružati neke od njih. Međutim, sporost u implementaciji Zakona o

elektronskom potpisu BiH onemogućava da ove usluge budu transakcione. Ipak, poredeći

postignuto sa zahtjevima iz eSEE Agenda plus i 23 bazična servisa e-Vlade koja bi trebala biti

uspostavljena do kraja 2011. godine, BiH je nažalost daleko i iza zemalja u regiji, a posebno u

Evropi i svijetu. Ključni problemi koji utječu na to su: nepostojanje institucionalnog uređenja

neophodnog za koordinaciju aktivnosti u oblasti e-Vlade koje se izvršavaju na različitim

nivoima vlasti i u različitim ministarstvima, iracionalno korištenje neadekvatno raspoređenih

informatičkih ljudskih resursa, te još uvijek neadekvatne IKT politike, pravnih okvira,

metodologije i standarda za realiziranje projekata e-Vlade. Stoga, entuzijazam za kretanje

naprijed je sada dodatno usporen zbog rastuće spoznaje da uspješna e-Vlada zahtijeva

kombinaciju organizacijske promjene, reformu politike, i tehnološku investiciju.

Vijeće ministara BiH je 2004. godine usvojilo Politiku, Strategiju i Akcioni plan razvoja

informacionog društva u BiH za period 2004-2010. godine, a 2006. godine je usvojen Zakon

2

o elektronskom potpisu BiH i Zakon o elektronskom pravnom i poslovnom prometu BiH.

Takođe su usvojene i odluke koje uređuju oblast upotrebe elektronskog potpisa i pružanja

usluga ovjeravanja koje osiguravaju potrebne pravne aspekte za implementaciju digitalnog

potpisa.

U infrastrukturnom pogledu, za prijenos podataka sigurnosnih institucija, u BiH je

uspostavljena visokosofisticirana komunikacijska mreža u SDH tehnologiji koja omogućava

brzu, pouzdanu i efikasnu razmjenu podataka, slike i tona. SDH mreža predstavlja zatvoren

sistem, nije vezana za Internet i funkcionira na određenom opsegu frekvencija osiguranom za

tu namjenu. Institucija koja tehnički održava SDH mrežu je Agencija za identifikacione

dokumente, evidenciju i razmjenu podataka BiH (IDDEEA) koja je zadužena za oblast

identifikacionih dokumenata, skladištenje, personalizaciju i transport dokumenata, te

centralno vođenje evidencija i razmjenu podataka između nadležnih organa u BiH. IDDEEA

prati, koordinira i institucionalno regulira oblast razvoja identifikacionih dokumenata, te je

kao takva razvila elektronski potpis u zatvorenom sistemu i njena iskustva po pitanju

primjene elektronskog potpisa u zatvorenim sistemima su vrlo značajna za implementiranje

Zakona o elektronskom potpisu BiH i u otvorenim sistemima.

II. DEFINIRANJE PROBLEMA

2.1 Ciljevi države

Najvažniji razvojni stubovi utvrđeni Politikom razvoja informacionog društva BiH su: IKT

Industrija, IKT Infrastruktura, ePoslovanje eObrazovanje, eZdravstvo, eUprava,

eZakonodavstvo i Održivi razvoj informacionog društva.

Iako se Politika razvoja informacionog društva bazira na osam razvojnih stubova, Strategija

razvoja informacionog društva se odnosi na pet razvojnih stubova i to:

eLegislativa

eObrazovanje

eUprava

IKT infrastruktura

IKT industrija

Ciljevi definirani Politikom razvoja informacionog društva kroz široku primjenu

informacionih i komunikacionih tehnologija su:

Povećanje znanja i sposobnosti građana za rad i život u informacionom društvu;

Stvaranje novog tržišnog okruženja, poslovnih procesa i znanja, te novog načina

organiziranja;

Povećanje rentabilnosti, konkurentnosti, kvantiteta i kvaliteta usluga i proizvoda,

primjene inovacija u ekonomiji, upravi, obrazovanju i drugim oblastima;

Povećanje investicija i zaposlenosti;

Razvoj IKT industrije;

Razvoj malih i srednjih poduzeća kao nosioca ekonomskog razvoja;

Postizanje održivog ekonomskog razvoja uz zaštitu okoliša;

3

Povećanje standarda građana;

Ravnomjeran razvoj društva, uključujući ruralna područja;

Povećanje BDP-a;

Postizanje uvjeta za EU integracije.

U skladu sa ovim ciljevima uvođenje elektronskog potpisa kao infrastrukture unaprjeđenja

poslovnih procesa se nameće kao prioritet. Cilj je stvoriti elektronsko poslovno okruženje za

promet elektronskih dokumenata u državnoj upravi, pravosuđu, privredi i drugim oblastima,

te tako stvoriti uvjete za razvoj konkurentne ekonomije, te efikasnije i racionalnije državne

uprave, te kroz uspostaljanje eServisa, ostvariti bolju međusobnu komunikaciju između

poslovnih subjekata, državne uprave i građana, jer ono smanjuje troškove poslovanja,

doprinosi uštedama, stvara veću dodatnu vrijednost, smanjuje sivu ekonomiju i minimalizira

korupciju. Takođe, cilj je da se omogući građanima, poslovnim i drugim subjektima, da svoje

obaveze ili zahtjeve prema upravi obavljaju na što efikasniji način, uz minimalne troškove i

broj fizičkih kontakata sa organima uprave, i to putem više različitih elektronski baziranih

kanala za isporuku servisa (web, mobilni telefon, itd).

Kao važan segment elektronskog poslovanja se može navesti ispostavljanje i dostavljanje

elektronskih faktura, obzirom da većina poslovnih subjekata već ima kapacitete za obavljanje

elektronskog fakturiranja (putem vlastitih informatičkih sistema ili putem infrastrukture za

elektronsko bankarstvo) i elektronske nabavke, koje su važan katalizator promjena jer

zahtijevaju sveobuhvatnu integraciju sistema i poslovnih procesa širom javnog i privatnog

sektora. Razvoj državnih rješenja za sve eServise treba promatrati u kontekstu širih promjena

u cilju modernizacije vlasti i postizanju apsolutne interoperabilnosti.

Konkretni ciljevi bi bili slijedeći:

1. Uspostaviti državnu infrastrukturu javnog ključa (PKI) kao sistema za izradu i

upotrebu elektronskog potpisa, što je preduvjet za cijeli niz interaktivnih servisa koji

se moraju ostvariti u G2C scenarijima (usluge vlade prema građanima);

2. Osigurati interoperabilnost i priznavanje svih akreditiranih CA na teritoriji BiH;

3. Izjednačiti validnost elektronskih i standardnih (papirnih) podnesaka i dokumenata;

4. Omogućiti upotrebu svih akreditiranih sigurnih elektronskih potpisa za poslovanje sa

javnom upravom.

A da bi se u budućnosti ovi ciljevi uspješno implementirali i da bi se uveo elektronski potpis u

poslovne procese informacionog društva neophodno je ispuniti slijedeće uvjete i sprovesti

slijedeće korake:

1. Uspostaviti pravni okvir za ePoslovanje izradom zakona i podzakonskih akata u

skladu sa pravnom stečevinom EU;

2. Uspostaviti institucionalni okvir neophodan za sigurnu i uspješnu primjenu ePotpisa u

poslovnim procesima u BiH;

3. Uskladiti sve zakone i podzakonske akte iz oblasti elektronskog poslovanja na svim

nivoima vlasti u skladu sa relevantnim zakonodavstvom EU, te osigurati usklađenost

ostalih pravnih propisa relevantnih za oblast primjene ePotpisa u BiH.

4

2.2 Pravni aspekt

Informaciono društvo je globalno i stoga se pravni okvir države mora zasnivati na globalnim

inicijativama za usklađivanje kao i na inicijativama u okviru Evropske unije. Ispod su

navedene najbitnije uredbe, direktive i drugi pravni akti EU koji se tiču područja elektronskih

potpisa, elektronskog poslovanja i elektronske vlade.

Direktiva 1999/93/EC o okviru Zajednice za elektronske potpise

Ova direktiva uspostavlja pravni okvir za elektronske potpise i usluge potvrđivanja na nivou

Evrope. Cilj je olakšati upotrebu elektronskih potpisa i pomoći da postanu pravno priznati u

okviru država članica.

Odluka 2003/511/EC Komisije od 14. jula 2003. godine o objavljivanju referentnih

brojeva opće priznatih standarda za proizvode elektronskih potpisa u skladu sa

Direktivom 1999/93/EC Evropskog parlamenta i Vijeća

Ova odluka se poziva na tri opće prihvaćena standarda za proizvode za elektronske potpise

koji pretpostavljaju poštovanje kvalificiranog elektronskog potpisa.

Odluka 2000/709/EC Komisije od 6. novembra 2000. godine o minimalnim kriterijima

koje države članice moraju uzeti u obzir kada određuju organe u skladu sa članom 3.(4)

Direktive 1999/93/EC Evropskog parlamenta i Vijeća o okviru Zajednice za elektronske

potpise

Ova odluka određuje kriterije koje države članice moraju uzeti u obzir kada određuju državna

tijela za procjenu usklađenosti uređaja za kreiranje sigurnih potpisa.

Direktiva 2000/31/EC Evropskog parlamenta i Vijeća od 8. juna 2000. godine o

određenim pravnim aspektima usluga informacionog društva, naročito elektronskog

poslovanja, na unutrašnjem tržištu („Direktiva o elektronskom poslovanju“)

Direktiva o elektronskom poslovanju, usvojena 2000. godine, uspostavlja okvir za

elektronsko poslovanje na unutrašnjem tržištu, koji pruža pravnu sigurnost i za poduzeća i za

klijente. Uspostavlja usklađena pravila za pitanja kao što su uvjeti za transparentnost i

informacije pružaoca online usluga, komercijalnu komunikaciju, elektronske ugovore te

ograničenja odgovornosti pružaoca posredničkih usluga.

Direktiva 2006/112/EC od 28. novembra 2006. godine o zajedničkom sistemu poreza na

dodatnu vrijednost

Pošto su većina faktura PDV fakture, poštovanje zakona o PDV-u je bitno pitanje za

poduzeća. Prva norma EU u području elektronskog fakturiranja PDV-a bila su pravila

fakturiranja iz Šeste direktive iz 1977. godine (77/388/EC). Kao reakcija na zabrinutost

poduzeća o veoma raznolikim pravilima u nekim državama članicama i kao reakcija na

tehnološke razvoje, Evropska komisija je usvojila izmjenu u obliku Direktive EZ o

fakturiranju (2001/115/EC). Ova direktiva je dala jedinstveni evropski standard za sadržaj

fakture za PDV i omogućila je elektronsko fakturiranje i pohranu u svim državama članicama.

Pravila o fakturiranju PDV-a su sada sadržana u Direktivi o PDV-u (2006/112/EC). U skladu

5

sa Direktivom možemo odrediti tri osnovna područja elektronskog fakturiranja: sadržaj

fakture (članovi 226. do 231. i član 238. Direktive o PDV-u), elektronsko fakturiranje

(članovi 232. do 236. Direktive o PDV-u) i pohranjivanje (arhiviranje) faktura (članovi 244.

do 249. Direktive o PDV-u).

Direktive EU o javnim nabavkama

Glavni princip pravnog okvira EU za elektronske nabavke je da bi svako poduzeće trebalo biti

u stanju da učestvuje, sa jednostavnom i uobičajenom opremom i osnovnim tehničkim

znanjem, u postupku javne nabavke koji se djelomično ili u potpunosti provodi elektronskim

putem. Ovaj zakonski okvir se može naći u uredbama i direktivama o nabavci:

- Direktiva 2004/17/EC Evropskog parlamenta i Vijeća od 31. marta 2004. godine

kojom se koordiniraju pravila javnih nabavki za organe koji posluju u sektoru voda,

energije, prijevoza i poštanskih usluga;

- Direktiva 2004/18/EC Evropskog parlamenta i Vijeća od 31. marta 2004. godine. koja

koordinira postupke za dodjelu ugovora o javnoj nabavci radova, javnoj nabavci roba i

javnoj nabavci usluga;

- Uredba br. 1564/2005 Komisije (EC) od 7. septembra 2005. godine kojom se utvrđuju

standardni obrasci za objavljivanje obavještenja u okviru postupaka javne nabavke u

skladu sa Direktivama 2004/17/EC i 2004/18/EC Evropskog parlamenta i Vijeća;

- Direktiva 2005/51/EC Komisije od 7. septembra 2005. godine koja mijenja Dodatak

XX Direktive 2004/17/EC i Dodatak VIII Direktive 2004/18/EC Evropskog

parlamenta i Vijeća o javnim nabavkama;

- Direktiva 2009/81/EC Evropskog parlamenta i Vijeća od 13. jula 2009. godine o

koordinaciji postupaka za dodjelu ugovora o nabavci određenih radova, nabavci

određenih roba i nabavci određenih usluga od strane ugovornih organa ili subjekata u

području odbrane i sigurnosti koja mijenja Direktive 2004/17/EC i 2004/18/EC.

Kao reakcija na potrebu razvoja i usklađivanja pravog okvira sa globalnim i evropskim

pravnim razvojima u zadnje dvije decenije usvojeno je zakonodavstvo u Bosni i Hercegovini

na državnom nivou, a određeni pravni akti su usvojeni i na nivou entiteta. Osnovni elementi

su navedeni dalje u tekstu.

Državni nivo

Država je usvojila savremeno zakonodavstvo, prije svega Zakon o elektronskom potpisu,

Zakon o elektronskom pravnom i poslovnom prometu i prateća podzakonska akta za područja

elektronskih potpisa, elektronskih sjednica vlade, Internet stranica, itd. Izmjene i dopune

Zakona o općem upravnom postupku, koji uređuje najširi mogući spektar vladinih postupaka,

su takođe usvojene kako bi se stvorili osnovi za elektronske usluge.

U tom smislu trenutno su na snazi slijedeći pravni akti:

- Zakon o elektronskom potpisu („Službeni glasnik BiH“, broj 91/06);

- Zakon o elektronskom pravnom i poslovnom prometu („Službeni glasnik BiH“, broj

88/07);

- Zakon o upravnom postupku („Službeni glasnik BiH” br. 29/02, 12/04, 88/07, 93/09);

- Odluka o osnovama upotrebe elektronskog potpisa i pružanja usluga ovjeravanja

6

(„Službeni glasnik BiH“, broj 21/09);

- Odluka o elektronskom poslovanju i e-vladi (“Službeni glasnik BiH“ broj 07/10);

- Odluka o uredskom poslovanju ministarstava, službi, institucija i drugih organa

Vijeća ministara BiH – (“Službeni glasnik BiH” br. 21/01, 29/03);

- Uputstvo o izradi i održavanju službenih Internet stranica institucija BiH (Službeni

glasnik BiH broj 21/09).

Dalje, trenutno su u pripremi i slijedeći pravni akti:

- Pravilnik o unutrašnjoj organizaciji Ministarstva komunikacija i prometa BiH

(osnivanje Ureda za nadzor i akreditacije);

- Zakon o Agenciji za razvoj informacionog društva.

Republika Srpska

U skladu sa Strategijom eVlade 2009. - 2012. godine Vlada Republike Srpske je usvojila

slijedeće zakone i podzakonske akte:

- Zakon o elektronskom potpisu RS („Službeni glasnik RS“, broj 59/08)

Ovaj zakon uređuje upotrebu elektronskog potpisa u pravnim poslovima i drugim pravnim

radnjama, kao i prava, obaveze i odgovornosti u vezi s elektronskim certifikatima

(potvrdama). Uz sam zakon, donesen je cijeli niz podzakonskih akata koji uređuju područja

kao što su evidencija davaoca usluga certificiranja elektronskih potpisa, jedinstveni registar

davaoca usluga certificiranja elektronskih potpisa koji izdaju kvalificirane certifikate, mjere i

postupci upotrebe i zaštite elektronskog potpisa, sredstava za izradu elektronskog potpisa,

obaveznog osiguranja davaoca usluga izdavanja kvalifikacionih certifikata itd., tj. slijedeće:

- Uredba o nosiocu poslova elektronske certifikacije u republičkim organima uprave

(“Službeni glasnik RS“ br. 114/08, 73/09);

- Pravilnik o evidenciji davaoca usluga certificiranja elektronskog potpisa certificiranih

organa (“Službeni glasnik RS“ broj 88/09);

- Pravilnik o sadržaju i načinu vođenja registra certifikacionih organa za

izdavanje kvalificiranih elektronskih certifikata (“Službeni glasnik RS“ broj

88/09);

- Pravilnik o mjerama zaštite elektronskog potpisa, i kvalificiranog elektronskog

potpisa, najnižem iznosu obaveznog osiguranja i primjeni organizacionih i tehničkih

mjera zaštite certifikata – (”Službeni glasnik RS” broj 88/09);

- Pravilnik o tehničkim pravilima za osiguranje povezanosti evidencija („Službeni

glasnik RS“ broj 88/09).

Na osnovu odredaba Zakona o Vladi Republike Srpske i Zakona o sistemu javnih službi,

Vlada Republike Srpske je 2007. godine donijela Odluku o osnivanju Javne ustanove

„Agencija za informaciono društvo Republike Srpske“. Ovim aktom Republika Srpska

osnovala je instituciju zaduženu za praćenje razvoja informacionog društva, te promociju

upotrebe informaciono-komunikacionih tehnologija. Nadzor nad radom Agencije, u ime

Vlade RS, obavlja Ministarstvo nauke i tehnologije RS.

7

- Zakon o elektronskom dokumentu RS („Službeni glasnik RS“, broj 110/08)

Ovaj zakon uređuje pravo fizičkih i pravnih lica na upotrebu elektronskog dokumenta u svim

poslovnim radnjama i djelatnostima, te u postupcima koji se vode pred organima republičke

uprave u kojima se elektronska oprema i programi mogu primjenjivati u izradi, prijenosu,

pohranjivanju i čuvanju informacija u elektronskom obliku. Zakon takođe uređuje pravnu

važnost te upotrebu i promet elektronskih dokumenata.

- Zakon o elektronskom poslovanju RS (Službeni glasnik RS 59/09)

Ovaj zakon definira pružanje usluga i pravila u vezi sa sklapanjem ugovora u

elektronskom obliku.

Federacija Bosne i Hercegovine

Federacija BiH nema legislativu za primjenu elektronskog potpisa, jer se oslanja na Zakon o

elektronskom potpisu BiH.

Brčko Distrikt BiH

- Zakon o elektronskom potpisu Brčko Distrikta BiH („Službeni glasnik BD br. 39/10,

61/10); planirano da stupi na snagu 01.01.2011. – odgođeno do 31.06.2011.

- Zakon o elektronskoj ispravi Brčko Distrikta BiH („Službeni glasnik BD br. 39/10,

61/10); planirano da stupi na snagu 01.01.2011. – odgođeno do 31.06.2011.

Zakon o elektronskom potpisu Brčko Distrikta BiH se ne razlikuje od zakona donesenih 2006.

od strane Parlamentarne skupštine BiH ili zakona u Republici Srpskoj. Obzirom na

nemogućnost implementacije Zakona o elektronskom potpisu BiH, tj. nepostojanja

Nadzornog organa koji bi vršio nadzor i akreditaciju CA, zakonodavac Brčko Distrikta BiH je

procijenio da je optimalnije usvojiti posebni zakon u distriktu i na taj način primijeniti propis

o elektronskom potpisu.

U skladu sa članom 9. Zakona o elektronskom potpisu Brčko Distrikta BiH, Odjeljenje za

javni registar propisuje mjere zaštite elektronskog potpisa i naprednog elektronskog potpisa,

kao i mjere provjere identiteta potpisnika.

Član 43. takođe propisuje da će šef Odjeljenja za javni registar donijeti sve neophodne

podzakonske akte propisane zakonom, u roku od šest mjeseci od stupanja na snagu Zakona o

elektronskom potpisu Brčko Distrikta BiH.

Usklađenost zakona sa osnovnim zahtjevima EU

Zakon o elektronskom potpisu BiH u velikoj mjeri preuzima postignuća i režim elektronskih

potpisa, na način sličan onome iz dokumenta Zajednice, kao npr.:

Pristup tržištu – Zemlje članice ne smiju dozvoliti da usluge ovjeravanja budu predmetom

prijethodne autorizacije bilo koje vrste, niti ograničiti broj akreditiranih pružalaca usluga

ovjeravanja ili ograničiti pružanje usluga ovjeravanja koje potječu iz druge zemlje članice u

8

područjima obuhvaćenim Direktivom. Programi dobrovoljnog akreditiranja mogu biti uvedeni

sa ciljem unaprjeđenja pružanja usluga ovjeravanja – član 7. i član 24. Zakona o elektronskom

potpisu BiH.

Pravni učinci elektronskih potpisa – Osnovne odredbe Direktive navode da napredan

elektronski potpis, baziran na kvalificiranoj potvrdi koji je kreirala naprava za kreiranje

sigurnog potpisa zadovoljava zakonske uvjete za potpis vezane za podatke u elektronskom

obliku jednako kao što svojeručni potpis zadovoljava uvjete vezane za podatke u papirnim, te

da bi se trebao koristiti kao dokaz u pravnim postupcima – član 4. i član 5. Zakona o

elektronskom potpisu BiH.

Odgovornost - Zemlje članice moraju osigurati da je pružalac usluga ovjeravanja koji izdaje

kvalificiranu potvrdu odgovoran vis-à-vis svake osobe koja se oslanja na potvrdu za: tačnost

svih informacija u kvalificiranoj potvrdi, pridržavanje svih uvjeta iz Direktive pri izdavanju

kvalificirane potvrde, osiguranje da je vlasnik identificiran u kvalificiranoj potvrdi u trenutku

izdavanja potvrde bio u posjedu svih podataka za formiranje potpisa, koji odgovaraju

podacima za provjeru potpisa sadržanim u potvrdi datog ili identificiranog u potvrdi, u

slučajevima kada pružalac usluga ovjeravanja povlači podatke za formiranje potpisa ili

provjeru potpisa, osiguravanje da su podaci za formiranje potpisa i s njima usuglašeni podaci

za provjeru potpisa odgovarajući u komplementarnom smislu.

Pružalac usluga ovjeravanja se neće smatrati odgovornim za štetu nastalu u vezi sa

upotrebom kvalificirane potvrde za transakcije čija je vrijednost van navedenih ograničenja. –

član 19. Zakona o elektronskom potpisu BiH.

Međunarodni aspekti - Zemlje članice moraju osigurati primjenu međusobnog zakonskog

priznavanja kvalificiranih potvrda i elektronskih potpisa iz trećih država ukoliko se

ispunjavaju određeni uvjeti važenja – član 24. Zakona o elektronskom potpisu BiH.

Zaštita podataka - Zemlje članice moraju osigurati da su pružaoci usluga ovjeravanja i

državna tijela odgovorna za akreditiranje ili nadzor usklađeni sa Direktivom 95/46/EC o

zaštiti ličnih podataka iz – članova 14., 15. i 18. Zakona o elektronskom potpisu BiH.

Zakon ne bi trebao biti proveden bez odgovarajućih propisa o provođenju. U okviru člana 26.

(2), Vijeće ministara BiH bi trebalo primijeniti propise o provođenju zakona, u roku od šest

mjeseci od datuma objavljivanja akta u Službenom glasniku (tj. u 2006. godini). S druge

strane, Ministarstvo komunikacija i prometa BiH nije uspjelo dobiti odobrenje od Vijeća

ministara BiH i uspostaviti Ured za nadzor i akreditovanje CA, u skladu sa članom 20.

Zakona o elektronskom potpisu BiH.

Generalno promatrano, svi spomenuti zakoni su uglavnom usklađeni sa Direktivom

1999/93/EC Evropskog parlamenta i Vijeća od 13. decembra 1999., o pravnom okviru

Zajednice po pitanju elektronskih potpisa, i Direktivom 2000/31/EC Evropskog parlamenta i

Vijeća od 8. juna 2000., po pitanju pravnih aspekata usluga informacionog društva, konkretno

elektronskog poslovanja, na unutrašnjem tržištu („Direktiva o elektronskom poslovanju“).

Stoga možemo zaključiti da postoji savremen i prilično detaljan pravni okvir. Ovaj okvir

pruža predvidljive i pouzdane odgovore na pitanja vezana za integritet, autentičnost i

nemogućnost poricanja elektronskog oblika i potpisa. Uprkos općoj usklađenosti sa

9

direktivama EU i globalnim modelima za pravne dokumente, postoje određeni problemi:

1. neke od odredbi su komplicirane ili nepraktične i u nekim područjima previše

restriktivne;

2. zakoni i predviđena obaveza da se registrira aktivnost CA postoje na državnom, ali i

na entitetskom nivou;

3. neka pravna pitanja su ostala neriješena; u slučajevima u kojima se nije moguće

osloniti na mjere EU acquisa, lokalna legislativa je neujednačena i nedovršena po

pitanju određenih vrlo praktičnih aspekata (npr. pravni efekti prijenosa papirne

dokumentacije u elektronski oblik, dugoročnog elektronskog arhiviranja, postupci

elektronske vlade, elektronskih nabavki, elektronskih sudskih postupaka, itd.);

4. čak i kada su zakoni neutralni po pitanju tehnologije ili oblika (gdje se tekst ne odnosi

isključivo na papirne dokumente) te samim tim dopuštaju korištenje savremenih IKT

alata, nadležna državna tijela uglavnom tumače zakone na tradicionalan način

dopuštajući samo korištenje rukom pisanih potpisa i papirnih dokumenata.

2.3 Institucionalni i politički aspekt

Iako je Zakon o elektronskom potpisu BiH na snazi već od 2006.godine, pojavila su se mnoga

neriješena institucionalna i politička pitanja koja onemogućavaju ili usporavaju proces

implementacije Zakona, a samim tim i razvoj područja primjene ePotpisa u BiH, među kojima

su najvažniji:

- Nerazumijevanja nadležnost u oblasti elektronskog potpisa i elektronskog poslovanja;

- Institucije u BiH nisu u dovoljnoj mjeri bile posvećene implementaciji Zakona o

elektronskom potpisu BiH;

- Spori napredak reforme javne uprave i loše poslovno okruženje u društvu umanjuje

značaj primjene ePotpisa i sve prednosti koji se time postižu;

- Nepostojanje Ureda za akreditaciju i nadzor CA u okviru Ministarstva prometa i

komunikacija BiH;

Na državnom nivou Ministarstvo komunikacija i prometa BiH neophodno je formirati Ured za

nadzor i akreditаciju CA koji je predviđen važećim zakonom (član 20, stav 1). Zbog veličine

države i iskustava iz drugih zemalja, smatra se da je za ovakav Ured potreban veoma mali

broj zaposlenih. Ovaj ured je neophodan za sve opcije primjene Zakona o ePotpisu koje će

biti predložene u daljem tekstu ovog dokumenta.

Što se tiče sistematizacije radnih mjesta u Uredu za nadzor i akreditaciju, predlaže se ukupno

5 zaposlenih, s tim da je za početak potrebno zaposliti tri državna službenika na slijedeća

radna mjesta, i to:

1. Načelnik ureda čiji je zadatak da rukovodi radom Ureda, predlaže usvajanje

odgovarajućih mjera i postupaka u vezi upotrebe elektronskog potpisa u projektima

„e-Vlade“, sarađuje sa drugim organima u oblasti razvoja i unaprjeđenja upotrebe

elektronskog potpisa, i dr.;

2. Stručni savjetnik za inspekcijski nadzor čiji bi zadatak bio da obavlja poslove

inspekcijskog nadzora, te poslove koji su u vezi registracije, akreditacije i vođenja

registara CA i usluga opoziva inspekcijskog nadzora.

10

3. Stručni savjetnik za razvoj e-potpisa i e-poslovanja čiji bi zadatak bio da obavlja

poslove u vezi općeg razvoja e-potpisa i poslovanja te ostvarivanja povjerenja za

poslovanje u elektronskom okruženju.

Pored navedenog, potrebno je uspostaviti Centralni registar povjerenja i usluga (centar

povjerenja) kao jedinstvenu evidenciju, na svim nivoima vlasti, koji bi sadržavao registar

kontakata i evidenciju za sve informacije koje se odnose na važnost kvalificiranih potvrda i na

usluge ovjeravanja u koje imaju povjerenja.

2.4 Tehnički aspekt

Osnovnu tehničku komponentu čine jedna ili više infrastruktura javnih ključeva (PKI). To

može biti ili centralna infrastruktura sa jednim organom za izdavanje potvrda i podređenim

organima koji izdaju potvrde za elektronske potpise ili nezavisnije infrastrukture na nekom

stepenu interoperabilnosti.

U Bosni i Hercegovini trenutno ne postoji PKI infrastruktura za pravna i fizička lica na nivou

države. Međutim, postoji niz nezavisnih PKI infrastruktura, prije svega elektronsko

bankarstvo i djelomično u sektoru elektronske vlade koji djeluju u zatvorenim sistemima,

čime je trenutno obuhvaćeno, ili će biti obuhvaćeno preko 10.000 firmi i skoro 10.000

državnih službenika.

Stoga tehnički problem nije u tolikoj mjeri zasnovan na nepostojanju PKI infrastrukture na

nivou države. Prije se može reći da je problem u okupljanju i spajanju različitih postojećih

PKI infrastruktura i informatičkih sistema.

2.5 Procjena mogućih posljedica

Moguće negativne posljedice su najuočljivije u poslovnom sektoru i B2B i G2B

transakcijama, gdje nedovoljno sigurno i efikasno regulatorno okruženje sprječava poslovanja

u povećavanju konkurentnosti putem smanjivanja troškova i vremena potrebnih za poslovne

transakcije i poslovanje sa vladom. Takođe će spriječiti poduzeća da učestvuju u stranim

tenderima i ugovorima koji će zahtijevati elektronske ugovore ili elektronske fakture.

Primjena elektronskog potpisa povećava efikasnost vlada na svim nivoima vlasti.

III. MOGUĆE OPCIJE

Za primjenu Zakona o elektronskom potpisu BiH predlažu se slijedeće opcije:

Opcija 1: „Ne poduzimati ništa“

Opcija 2: „Promjene u postojećem institucionalnom, pravnom i tehničkom okviru - Root CA

za BiH“

11

Opcija 3: „Model korištenjem Pareto pristupa“

Opcija 4: „Model 'Bridge of Trust'“.

3.1 Opcija 1 – „Ne poduzimati ništa“

Ova opcija znači očuvanje postojećeg institucionalnog i pravnog okvira na snazi. Trenutno u

BiH djeluju poslovni subjekti sa certifikatima iz EU-a i trećih zemalja, u okviru zatvorenog

sistema. Ako se odabere ova opcija, javit će se posljedice opisane u poglavlju 2.5.

Opcija 1: Prednosti Ova opcija ne nudi nikakve prednosti.

Opcija 1: Troškovi Očekuje se da će u slučaju ne poduzimanja mjera doći do slijedećih troškova: povećani

direktni i indirektni/administrativni troškovi za javni sektor i privatni sektor.

Prema podacima prikupljenim od strane Poreskih uprava FBiH, RS i BD, o troškovima slanja

faktura, podacima dobijenim od pravnih lica o prosječnom broju poslanih faktura na

mjesečnom nivou; te na osnovu statističkih podataka o broju stanovnika, prikazan je ukupan

godišnji trošak slanja faktura za privredu i vladine institucije BiH, FBiH, RS i BD.

Analiza obuhvata račune za komunalne usluge, fakture između pravnih lica, te fakture između

vladinih institucija i privatnog sektora.

S tim u vezi, uzimajući u obzir prosječan rast BDP-a1, u narednim tabelama i grafikonima

prikazan je ukupan trošak slanja faktura za vladine institucije i privatni sektor.

Tabela 1: Projekcija ukupnih2 troškova slanja faktura za vladin sektor, za period od 5 godina

Godina 2012 2013 2014 2015 2016

Vladin sektor 2,904,930 KM 3,024,322 KM 3,148,622 KM 3,278,030 KM 3,412,757 KM

1 Projektiran je prosječan rast BDP za period 2011-2015 prema podacima Svjetske banke za period 2005-2009.

2 Podaci o ukupnim troškovima slanja faktura dobijeni su od privatnog sektora i poreskih uprava a obuhvataju cijenu papira, štampanja,

koverte, poštarine kao i prosječno vrijeme potrebno za slanje jedne fakture.

12

Tabela 2: Projekcija ukupnih troškova slanja faktura za privredni sektor za period od 5 godina

Godina 2012 2013 2014 2015 2016

Privatni sektor

274,983,336 KM 278,894,052 KM 282,965,498 KM 287,204,282 KM 291,617,279 KM

3.2 Opcija 2 – Promjene u postojećem institucionalnom, pravnom i

tehničkom okviru - Root CA za BiH

3.2.1 Opće

Ova opcija se bazira na modelu hijerarhijske strukture povjerenja i poznata je kao model

“root“ (korijenski, glavni) PKI (slika 1).

1.500.000 KM

2.000.000 KM

2.500.000 KM

3.000.000 KM

3.500.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 1: Troskovi slanja faktura vladinog sektora

265.000.000 KM

270.000.000 KM

275.000.000 KM

280.000.000 KM

285.000.000 KM

290.000.000 KM

295.000.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 2: Troskovi slanja faktura privatnog

sektora

13

Postoji samo jedan “Root“ CA koji generira digitalni certifikat koji dalje certificira

subordinirajuće CA u hijerarhijskoj strukturi sve do krajnjeg korisnika digitalnog

certifikata. Svaki subordinirajući CA je nadređen onom ispod sebe a podređen onom iznad

sebe. “Root“ CA je svim subordinirajućim CA-ovima nadređeni CA i u ovakvoj

arhitekturi domena povjerenja predstavlja početnu tačku povjerenja i apsolutni autoritet.

Slika 1. Šematski prikaz: Model hijerarhijske strukture povjerenja

3.2.2 Arhitektura u BiH

Ova opcija predviđa uspostavu hijerarhijske PKI infrastrukture, gdje bi institucija na

državnom nivou (npr. Ministarstvo komunikacija i prometa BiH), u čijoj je ingerenciji

primjena Zakona o ePotpisu, bila zadužena za izdavanje i generiranje digitalnog certifikata,

kao početne tačke povjerenja i predstavljalo bi Glavni “Root“ CA za BiH. Ministarstvo može

sklopiti ugovor za obavljanje operativnih usluga za Glavni CABiH sa fizičkim ili pravnim

subjektima koji ispunjavaju uvjete propisanim Zakonom o ePotpisu i uvjete iz podzakonskih

akata ovog zakona, koji tada postaje operativno tijelo (Operation Authority) Glavnog “Root“

CABiH ( Operation Authority (OA NPKIBiH). U BiH to može biti neka državna agencija,kao

npr.: Centralna banka BiH, telekom operatori u BiH, poštanski operatori u BiH ili neke

državne ili privatne firme osposobljene da budu OA. Odluku o imenovanju operativnog tijela

(OA) donijeti će Vijeće ministara BiH na prijedlog resornog Ministarstva zaduženog za

primjenu Zakona o ePotpisu.

Operativno tijelo bi u ime državne institucije izdavalo digitalne certifikate podređenim

(subordinirajućim) CA, a koji bi opet distribuirali digitalne certifikate po modelu hijerarhijske

PKI do krajnjih korisnika. Operativno tijelo bi tako kao početna tаčka povjerenja u ovakvoj

arhitekturi PKI ili u tehničkom smislu “Root“ CA za BiH i njoj pripadajuću PKI.

“Root“ CA za BiH bi prema namjeni mogao generirati razne vrste digitalnih certifikata među

kojima su najvažniji:

- lične (za građane),

- poslovni (za poslovne subjekte) i

- za institucije državne uprave na svim nivoima vlasti

14

Na slici 2 je prikazano jedno od mogućih rješenja u BiH po modelu “Root“ CA za BiH.

PK infrastruktura je hijerarhijska, u kojoj postoji glavni krovni certifikat (državna institucija

BiH). Ovo rješenje, u okviru predložene opcije maksimalno uvažava složeno („dayton-sko“)

uređenje BiH, obzirom da su subordinirajući CA-ovi ove hijerarhijske strukture su predviđeni

u entitetima RS i FBiH, kao i u Brčko DC BiH. Naravno moguća su i druga rješenja po

ovome modelu što bi bilo stvar dogovora nadležnih.

Glavni „root“ CA BiH izdaje digitalne certifikate entitetskim CA-ovima (RS i FBiH) i Brčko

Distrikt BiH CA, koji će dalje pružati usluge izdavanja kvalificiranih certifikata nižim

podređenim CA ( ili direktno krajnjim korisnicima), a ovi opet prema nižim u odnosu na sebe,

prateći hijerarhijsku strukturu, sve do krajnjih korisnika ka završnoj tački povjerenja PKI

BiH. Takođe, Glavni “Root“ CA BiH bi, u isto vrijeme, mogao da izdaje digitalne certifikate i

državnim institucijama kao krajnjih korisnika a u svrhu upotrebe digitalnih certifikata za

institucije BiH ( G2G,G2B i G2C servise eUprave).

Slika 2. Šematski prikaz jednog od mogućih rješenja “Root CA BiH“

Kao operativno tijelo za “Root“ CA BiH vrlo uspješno se kandidira državna agencija

IDDEEA, što bi svakako trebalo uzeti u obzir kod izbora OA (operativno tijelo). Naime,

Agencija IDDEEA uspješno baštini sve blagodati strateškog informatičkog projekta CIPS

(Citizen Identity Protection System), koji je omogućio servise građanima BiH posebno u

domenu izdavanja ličnih dokumenata i zaštite njihovih ličnih podataka. Takođe, ova agencija

već ima ulogu CA u jednom zatvorenom domenu povjerenja gdje izdaje digitalne certifikate

za službenike javne uprave. Isto tako, IDDEEA je operativno tijelo subordinirajućeg CABIH

(Ministarstvo komunikacija i prometa BiH) za izdavanje digitalnog certifikata u zatvorenom

“root“ PKI EU za korištenje servisa „TachoNet“ ( usluga izdavanja kartica za digitalne

15

tahografe) u oblasti transporta, gdje je Glavni “Root“ CA EU ovog domena povjerenja

ERCA (European Root Certifikate Authority) smješten u EU (Italija).

Stoga je sasvim jasno da IDDEEA ima sve tehničke, stručne i ljudske potencijale da uz neke

izmjene postojeće zakonske regulative koja se odnosi na rad ove agencije, vrlo snažno

pretendira da bude kandidat za operativno tijelo Glavnog “Root“ CA BiH za sve vrste

digitalnih certifikata, ukoliko se ova opcija prihvati.

Eventualno, moguće je formirati drugi operativni organ za izdavanje potvrda samo za

poslovni sektor, koje bi se moglo formirati u okviru nekog drugog državnog organa ili u

saradnji više organa što je stvar mogućih varijanti ove opcije.

Primjenom ovog modela ostavljena je mogućnost izdavanja digitalnih certifikata od strane

CA-ova registriranih u EU, kao i drugi domaći CA-ovi koji su u BiH registrirani za pružanje

usluga izdavanja digitalnih certifikata.

Ova opcija, naravno, podrazumijeva Ured za nadzor i akreditaciju na državnom nivou koji će

obavljati akreditaciju i nadzor nad svim akreditiranim CA organima u državi.

3.2.3. Pravni okvir

Neophodno je formirati Ured za nadzor i akreditaciju CA koji je predviđen važećim zakonom

(član 20, stav 1).

Opcija 2 podrazumijeva rješavanje pitanja koje se odnose na neusklađenost zakonodavstva, te

bi se s tim u vezi izvršio pregled zakonodavstva i usvojile neophodne izmjene i dopune.

Bez obzira na usvojeno rješenje, jasno je da se svi akteri trebaju dogovoriti da primjene

jedinstven nadzor jer će se u suprotnom suočiti sa troškovima dupliciranih nadzornih funkcija

i birokratskim ograničenjima za poslovanje širom entiteta i države.

Potrebno je uskladiti Zakon o elektronskom potpisu u RS-u i Zakon o elektronskom potpisu

BD BiH sa Zakonom o elektronskom potpisu u BiH, kao i donijeti odgovarajuće podzakonske

akte definirane članom 26. Zakona o elektronskom potpisu u BiH, te izradu novih zakonskih

propisa koji će omogućiti adekvatnu primjenu Zakona. Iako je Zakon o elektronskom potpisu

BiH („Službeni glasnik BiH“, broj 91/06) u potpunosti harmoniziran sa Direktivom

1999/93/EC o okviru Zajednice za elektronske potpise, potrebno je izmijeniti i dopuniti

Odluku o osnovama upotrebe elektronskog potpisa i pružanja usluga ovjeravanja („Službeni

glasnik BiH“, broj 21/09), jer Odluka sadržava odredbe, koje su u suprotnosti sa EU

direktivom.

Kao prvo, član 2. koji regulira naknade i član 19. o nadzoru i akreditaciji uzrokuju određenu

sumnju da država u stvarnosti nameće određenu vrstu provjere prije registriranja CA. Takav

zahtjev je direktno suprotan EU direktivi i zato je potrebna izmjena ove odluke kako bi se na

primjereniji način regulirala registracija, naknade i akreditacija.

Kao drugo, Odluka ne regulira detaljno sva pitanja za koja Zakon o elektronskom potpisu

(Službeni glasnik BiH, broj 91/06) propisuje donošenje podzakonskih akata za provođenje

zakona (član 26.). Ujedno, postoje i međunarodni i Evropski tehnički standardi i preporuke,

koje je potrebno uvesti u pravni sistem BiH. Ovi se nedostaci mogu ukloniti na način da se

proširi postojeća Odluka ili da se donesu novi podzakonski akti za grupe ili svakog posebno

kako slijedi:

16

IETF/RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate

Revocation List (CRL) Profile

IETF/RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and

Certification Practices Framework

IETF/IEC 3161, 5816 Internet X.509 Public Key Infrastructure Time-Stamp Protocol

(TSP)

CAdES - CMS Napredni elektronski potpisi

PAdES - PDF Napredni elektronski potpisi

XAdES - XML Napredni elektronski potpisi

TS 101 733 CMS Napredni elektronski potpisi (CadES)

TS 102 734 Profili CMS Naprednih elektronskih potpisa zasnovani na TS 101 733

(CAdES)

TS 101 903 XML Napredni elektronski potpisi (XadES)

TS 102 904 Profili XML Naprednih elektronskih potpisa zasnovani na TS 101 903

(XadES)

TS 102 778 Profili PDF Naprednih elektronskih potpisa (Dijelovi 1 do 5)

TR 102 047 Međunarodno usklađivanje formata elektronskih potpisa

TR 102 438 Primjena standarda za elektronske potpise u Evropi

TR 102 605 Registrirani e-mail

TS 102 640 Registrirana elektronska pošta (REM) (Dijelovi 1 do 3)

TS 102 231 Uredba o usklađenim statusnim informacijama usluge povjerenja

TS 101 861 Profili vremenskih pečata

TS 101 862 Profili kvalificiranih potvrda

TR 102 272 ASN.1 format politike upotrebe politike

TS 102 280 X.509 V.3 Profil potvrda za potvrde koje se izdaju fizičkim licima

TS 101 456 Zahtjevi po pitanju politike za organe za izdavanje potvrda koja izdaju

kvalificirane potvrde

TR 102 437 Smjernice za TS 101 456 (Zahtjevi po pitanju politike za organe za

izdavanje potvrda koja izdaju kvalificirane potvrde)

TR 102 458 Matrica za mapiranje razlika između politike za izdavanje potvrda

Federalnog organa za izdavanje potvrda SAD-a i Evropske politike izdavanja

kvalificiranih potvrda (TS 101 456)

TS 102 023 Zahtjevi po pitanju politike za organe za izdavanje vremenskih pečata

TR 102 040 Međunarodno usklađivanje zahtjeva po pitanju politike za organe za

izdavanje potvrda koja izdaju potvrde

TS 102 042 Zahtjevi po pitanju politike za organe za izdavanje potvrda koja izdaju

potvrde za javne ključeve

17

TS 102 158 Zahtjevi po pitanju politike za CA-ove (ovjerioce) koji izdaju potvrde

svojstva koje se mogu koristiti sa kvalificiranim potvrdama

TR 102 572 Najbolje prakse za rukovanje elektronskim potpisima i potpisanim

podacima za digitalno računovodstvo

TS 102 573 Zahtjevi po pitanju politike za pružatelje usluga povjerenja koji potpisuju

i/ili pohranjuju podatke za digitalno računovodstvo

TS 102 176-1 Algoritmi i parametri za sigurne elektronske potpise; Dio 1: Funkcije

rešifriranja i asimetrični algoritmi

TS 102 176-2 Algoritmi parametri za sigurne elektronske potpise; Dio 2: Protokoli i

algoritmi za sigurne kanale za uređaje za stvaranje potpisa

3.2.4. Prednosti

-Jasan i sveobuhvatan pravni okvir, jednak i za državni i entitetski nivo. Jedinstven pravni

okvir bi isto tako značio uklanjanje administrativnih prepreka i garantiranje jednakog

tretmana za sve subjekte, koji bi se bavili izdavanjem potvrda.

-Već postoji PKI, kroz već pružanje određenih servisa samo se treba nadograditi.

-Razvoj vlastite javne PKI infrastrukture bi značio pojačanu administrativnu i tehničku

infrastrukturu u okviru vladinih institucija i ostvarenje ušteda u vidu smanjenja broja

dokumenata u tradicionalnoj papirnoj formi, kao i vrijeme potrebno za dostavljanje tih

dokumenata, i u vladinom i u privatnom sektoru. Ova prednost se može iskoristiti za sve

predložene opcije.

-Izdavanje osnovnih certifikata od strane Državnog CA Root u BiH podrazumijeva BH lanac

certificiranja i provjere kojoj se može vjerovati, preciznije, iza svakog izdatog certifikata kao

garant stoji država.

-Ova opcija predstavlja najjednostavnije tehničko rješenje i nudi najkraći put od početne tačke

povjerenja do krajnjeg korisnika.

Tabela 5: Projektirane uštede upotrebe e-potpisa i e-dokumenata za vladin sektor za period od 5 godina

Godina 2012 2013 2014 2015 2016

Vladin sektor 0 KM 0 KM 0 KM 0 KM 341,276 KM

0 KM100.000 KM200.000 KM300.000 KM400.000 KM500.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 5: Ustede od upotrebe e-potpisa i e-dokumenata za vladin sektor

18

Tabela 6: Projektirane uštede upotrebe e-potpisa i e-dokumenata za privatni sektor za period od 5 godina

Godina 2012 2013 2014 2015 2016

Privatni sektor 0 KM 0 KM 0 KM 0 KM 32,305,477 KM

3.2.5. Rizici

Implementacija ove opcije bi zbog značajnih političkih i institucionalnih problema na kraju

mogla rezultirati neuspjehom, što bi u stvari bilo jednako opciji 1 “Ne poduzimati ništa“.

Opcija 2 bi takođe mogla biti ugrožena ukoliko se na svim nivoima vlasti ne osiguraju

dodatna sredstva koja su potrebna za njenu implementaciju, a koja su navedena u troškovima.

Rizik za implementaciju ove opcije takođe može biti i činjenica da već postoje zatvoreni

sistemi u državnim i entitetskim institucijama (Agencija RS, VSTV BiH ...) koji koriste razne

digitalne certifikate. Primjenom ove opcije sve te institucije bi svoje PKI-a trebale uskladiti sa

PKI BiH, preuzimanjem istog digitalnog certifikata od “Root“ CA BiH, što može biti

problem.

3.2.6. Troškovi

Troškovi mogu nastati zbog formiranja Ureda za nadzor i akreditaciju koji iziskuje nabavku

potrebne informatičke opreme, kao i za ljudske resurse koji su predviđeni sistematizacijom

radnih mjesta u Uredu za nadzor i akreditaciju. Takođe, mogu nastati i minimalni troškovi za

izmjenu postojeće pravne regulative.

Sredstva za uspostavljanje PKI3 infrastrukture za vladin sektor su obračunata za infrastrukture

u entitetima i Brčko Distriktu (uzimajući u obzir da IDDEA već ima uspostavljenu PKI) i ta

sredstva bi iznosila cca 1,606,197 KM, a troškovi održavanja iste bi iznosili cca 47,337 KM

godišnje. Pored toga dodati su troškovi Ureda za akreditaciju i nadzor4 i iznosili bi cca

104.592 KM godišnje.

Tabela 3: Projekcija troškova upotrebe e-potpisa i e-dokumenata za vladin sektor, za period od 5 godina

Godina 2012 2013 2014 2015 2016

Vladin sektor 1,710,789 KM 151,929 KM 151,929 KM 151,929 KM 151,929 KM

3 Troškovi osnivanja PKI te troškovi za smart kartice, USB i certifikate su pribavljeni od Halcoma i Entrusta

4 Troškovi Ureda za akreditaciju i nadzor odnose se na bruto plate zaposlenih u Uredu

0 KM

10.000.000 KM

20.000.000 KM

30.000.000 KM

40.000.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 6: Ustede od upotrebe e-potpisa i e-dokumenata za privatni sektor

19

Napomena: Troškovi uspostavljanja PK infrastrukture u vladinom sektoru, pored navedenih

troškova podrazumijevaju i troškove za ugovore o održavanju i implementaciji sa trećim

licima (outsourcing).

Planirani troškovi za privatni sektor u iznosu od cca 900.000 KM se odnose na kupovinu

smart cards, card readera ili usb-a, te odgovarajućih certifikata.

Tabela 4: Projekcija troškova upotrebe e-potpisa i e-dokumenata za privatni sektor, za period od 5 godina

Godina 2012 2013 2014 2015 2016

Privatni sektor 0 KM 0 KM 0 KM 0 KM 894,249 KM

3.3 Opcija 3 – „Model korištenjem Pareto pristupa“

3.3.1. Opće

Pareto princip (poznat i pod nazivom „pravilo 80-20“, zakon elite, i princip faktora

sporadičnosti) navodi da, u mnogim slučajevima, oko 80% posljedica dolazi od 20% uzroka.

Ovo uobičajeno pravilo poslovanja (npr., "80% prodaje potječe od 20% vaših klijenata") je

matematički zasnovano. Gdje se nešto dijeli između dovoljno velikog broja učesnika, mora

postojati broj x između 50 i 100 tako da " x% uzima (100 − x)% učesnika". Ovaj broj x se

kreće od 50 do 100, međutim, u stvarnosti se taj broj kreće oko 80%. Paretov princip ne zavisi

od prirode aktivnost. Predstavlja jednostavan, ali moćan pristup promatranju organizacije, i

što je još važnije, fokusiranju na pitanja koja su zaista bitna.

Za područja koja ovdje analiziramo, Paretov princip se može iskazati u vidu slijedećih izjava i

ciljeva:

0 KM

500.000 KM

1.000.000 KM

1.500.000 KM

2.000.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 3: Troskovi upotrebe e-potpisa i e-dokumenata za vladin sektor

20

1. 80% svih G2B transakcija dolaze od 20% subjekata;

2. 20% državnih usluga doprinose 80% poslovnih aktivnosti;

3. 80% pritužbi građana/firmi se odnose na 20% administrativnih opterećenja;

4. sa 20% uloženih napora i vremena vlade postiže se 80% željenih rezultata;

5. 80% vrijednosti za društvo / poslovanje potječe od 20% procesa.

Stoga opcija 3 predviđa rješavanje samo važnih pitanja i pragmatično zanemarivanje onih

koja predstavljaju veliku pravnu ili institucionalnu prepreku ili donose male koristi.

3.3.2 Arhitektura za BiH

Umjesto izgradnje pojedinačnih PKI infrastruktura javnog sektora koristila bi se, u te svrhe,

postojeća infrastruktura. Tamo gdje je uspostavljena ili gdje će biti uspostavljena PKI

infrastruktura javnog sektora (IDDEEA PKI za građane, zatvoreni sistemi u državnim

organima, poštanske usluge, itd.) i gdje pravna pitanja budu razriješena, ta bi se infrastruktura

i koristila. U isto vrijeme, pod jednakim uvjetima i kao dodatak infrastrukturi javnog sektora

bi se koristila i infrastruktura privatnog sektora (banke i drugi poslovni subjekti).

Slika 3. Šematski prikaz jednog od mogućih rješenja koristeći “Pareto princip“ u BiH (sa

20% uloženih napora i vremena vlade postiže se 80% željenih rezultata)

Kao primjer takve infrastrukture u BiH je infrastruktura za elektronsko bankarstvo (slika 3),

sa preko 10.000 poslovnih subjekata i fizičkih lica (klijenata), koji već koriste PKI

infrastrukturu za svoje elektronske transakcije (eBanking) u zatvorenim sistemima.

Certifikate u ovakvim bankarskim sistemima generiraju CA-ovi akreditirani u EU i oni su

21

ugovorom angažirani od samih banaka koji tako koriste njihove certifikate za svoje klijente.

Uz malo napora, dogovorom institucija u BiH i banaka, infrastruktura za elektronsko

bankarstvo se može efikasno iskoristiti i za usluge elektronske uprave, tako da bi se sa

manjim “software“-skim i “hardware“-skim nadogradnjama, bankovni certifikati mogli

koristiti kao kvalificirani u otvorenom sistemu za građane i poslovne subjekte, a za servise

C2G i B2G.

Ovim rješenjem bi klijenti banaka, koji već koriste eBanking, sa istim digitalnim certifikatima

koristili bankovne komunikacione kanale ( PKI-e) i za pristup servisima javne uprave.

U ovom slučaju, banke bi, takođe, pružale i određene usluge elektronskog arhiviranja, čuvanja

dokumenata i njima upravljale, a sve u cilju razmjene raznih ePodnesaka i eRješenja svojih

klijenata u komunikaciji sa javnom upravom.

U sklopu Opcije 3 potrebno je uspostaviti semantičku i software-sku interoperabilnost u

smislu standardizacije dokumenata i spajanja različitih PKI domena da bi se ostvarili principi

upotrebljivosti, otvorenosti, neutralnosti, ekonomičnosti i generalizacije, nezavisno od bilo

kakvih političkih utjecaja, čime se ostvaruje komplementarnost i povezivost različitih PKI

arhitektura.

Ovakvim pristupom otvara se mogućnost i korištenje PKI infrastrukture putem mobilne

telefonije, za koju su neke države u regiji već uspostavile odgovarajuću infrastrukturu. Kada

bi se ista uspostavila u Bosni i Hercegovini, predstavljala bi idealan komunikacioni kanal za

mala i srednja poduzeća i građane.

3.3.3. Pravni okvir

Neophodno je formirati Ured za nadzor i akreditaciju CA koji je predviđen važećim zakonom

(član 20, stav 1).

U skladu sa ranije spomenutim, Pareto princip podrazumijeva neznatne regulatorne promjene

u cilju poboljšavanja efikasnosti zakonodavstva i uklanjanja nepotrebnih administrativnih

opterećenja. Takođe, domaći pružaoci usluga biti će u stanju da odaberu registraciju ili na

državnom ili na entitetskom nivou, a uz to postojeći propisi osiguravaju upotrebu potvrda

izdatih u EU. Sve promjene se mogu izvršiti izmjenom podzakonskih akata čime se u isto

vrijeme smanjuje potreba za dugotrajnim i kompliciranim zakonodavnim postupcima izmjene

propisa (odnosi se na izmjene i dopune Odluke o osnovama upotrebe elektronskog potpisa i

pružanja usluga ovjeravanja, kao što je navedeno u Opciji 2).

3.3.4. Prednosti

- Minimalne izmjene postojeće pravne regulative;

- Minimalna nadogradnja postojeće infrastrukture u smislu omogućavanja upotrebe

elektronskog popisa u otvorenim sistemima;

- Građani koji su klijenti banaka i koriste eBanking mogu pristupiti eServisima javne uprave

sa istog mjesta (portala);

- Poslovni subjekti koji elektronski posluju sa bankama mogu sa istog mjesta uspostaviti

B2G servise u komunikaciji sa organima javne uprave;

- Uštede u oba sektora bi bile vidljive već godinu dana nakon implementacije.

Tabela 8: Projektirane uštede upotrebe e-potpisa i e-dokumenata za vladin sektor za period od 5 godina

Godina 2012 2013 2014 2015 2016

Vladin sektor 0 KM 302,432 KM 566,752 KM 708,055 KM 688,012 KM

22

Tabela 9: Projektirane uštede upotrebe e-potpisa i e-dokumenata za privatni sektor za period od 5 godina

Godina 2012 2013 2014 2015 2016

Privatni sektor 0 KM 28,628,515 KM 53,649,265 KM 67,025,099 KM 65,127,842 KM

3.3.5. Rizici

Jedina stvarna opasnost je da privatni sektor ne priznaje digitalne certifikate izdate od BH

akreditiranih CA tijela.

3.3.6. Troškovi

Troškovi, kao i kod svih opcija, mogu nastati zbog formiranja Ureda za nadzor i akreditaciju

koji iziskuje nabavku potrebne informatičke opreme, kao i za ljudske resurse koji su

predviđeni sistematizacijom radnih mjesta u Uredu za nadzor i akreditaciju.

Minimalni troškovi zbog postojanja bazne infrastrukture.

Ova opcija donosi troškove samo za institucije u BiH (vlade) pošto je osnovna pretpostavka

ove opcije korištenje postojećih PK infrastruktura za elektronsko poslovanje. Troškovi se

0 KM

250.000 KM

500.000 KM

750.000 KM

1.000.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 8: Ustede od upotrebe e-potpisa i e-dokumenata za vladin sektor

0 KM

20.000.000 KM

40.000.000 KM

60.000.000 KM

80.000.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 9: Ustede od upotrebe e-potpisa i e-dokumenata za privatni sektor

23

odnose i na portal i njegovo održavanje te na troškove Ureda za akreditaciju i nadzor.

Tabela 7 : Projekcija troškova upotrebe e-potpisa i e-dokumenata za vladin sektor, za period od 5 godina

Godina 2012 2013 2014 2015 2016

Vladin sektor 137,592 KM 107,592 KM 107,592 KM 107,592 KM 107,592 KM

3.4. Opcija 4 – Model “Bridge of Trust“

3.4.1 Opće

“Bridge of Trust“ ili domen sa povezujućom arhitekturom je model gdje se dva ili više

nezavisnih domena povjerenja sa različitom arhitekturom preko svojih glavnih (principal) CA

međusobno „Cross certificiraju“ preko “Bridge of Trust“ CA (BCA) čineći jedan zajednički

domen povjerenja, u kojemu su međusobno priznati svi različito generirani digitalni

certifikati. “Bridge of Trust“ CA nije početna tačka povjerenja tj. ne izdaje digitalni certifikat,

nego djeluje isključivo kao provodilac povjerenja povezujući različite PKI i njihove glavne

CA kao početne tačke povjerenja svojih PKI (kao na slici 4).

0 KM

20.000 KM

40.000 KM

60.000 KM

80.000 KM

100.000 KM

120.000 KM

140.000 KM

2012 2013 2014 2015 2016

Godina

Grafikon 7: Troskovi upotrebe e-potpisa i e-dokumenata za vladin sektor

24

Slika 4. Šematski prikaz modela „Bridge of Trust“

3.4.2 Arhitektura u BiH

Model “Bridge of Trust“ (sl.4), kao opcija za primjenu Zakona o ePotpisu, uzima u obzir

složeno uređenje Bosne i Hercegovine i omogućava uspostavljanje nezavisnih PKI

infrastruktura u okviru uspostavljenih domena povjerenja za ePoslovanje, tako da jedan

domen povjerenja u BiH može biti i entitet. Osnovna karakteristika ovog modela je da u

okviru jedne domene mogu djelovati jedan i više CA (certificate authority), a svaka domena

ima jedan glavni (principal) CA. Organizacija u okviru jedne domene povjerenja može biti po

želji; ili hijerarhijska (Root) ili povezujuća (Bridge) te bi u tom slučaju glavni CA-i bili ili

Root CA ili Bridge CA. Svi ovi pojedinačni domeni mogu se međusobno priznavati

uspostavljanjem “trust“ centra na državnom nivou, koji predstavlja “Bridge of trust“

(povezujući most povjerenja) za sve domene povjerenja i njihove CA bez obzira kako su

organizirani. Time se uspostavlja jedan zajednički domen povjerenja BiH u okviru koga se

nesmetano može poslovati u elektronskom okruženju, uzajamno priznavajući sve digitalne

certifikate povezanih domena.

Uspostavljanjem “Trust centra“ na nivou BiH, “cross“ certificiranjem ili drugim nivoom

povjerenja, među svim uspostavljenim PKI domenima i njihovim glavnim CA bilo koje

organizacije, uspostavlja se neometano ePoslovanje na cijelom području zemlje, a “Trust“

centar kao jedan “hub“ (koncentrator) djeluje kao veza i povjerenje između PKI domena u

okviru i van BiH.

Uzajamno Povjerenje se postiže usklađivanjem politika raznih domena povjerenja CP

(Certificate Policy), koji se povezuju u zajednički domen povjerenja BiH, a koji osigurava:

- Povezivanje domena povjerenja u okviru BiH, kao zajednički PKI za BiH

- Povezivanje zajedničke domene u BiH (PKI BiH) sa domenima povjerenja van BiH.

25

Na slici 5 je predstavljen jedan mogući primjer arhitekture PKI u BiH i povezivanje s drugim

PKI domenama u BiH i u inozemstvu, a koji maksimalno uvažava političko uređenje BiH,

tako da su domeni povjerenja i njima pripadajuće PKI, entiteti Republika Srpska sa svojim

glavnim (principal) CA, Federacija BiH sa svojim glavnim (principal) CA, Brčko Distrikt

BiH sa svojim glavnim (principal) CA, kao i drugi domeni povjerenja koji njima ne pripadaju,

a takođe, sa svojim glavnim (principal) CA-ovima.Naravno, moguća su i druga rješenja po

ovome modelu što bi u završnici bilo stvar dogovora nadležnih.

Glavni (principal) CA-ovi su početne tačke povjerenja za svoje domene.

Slika 5. Šematski prikaz jednog od mogućih rješenja “Bridge of trust (BofT)“ u BiH

U ovom slučaju entiteti, Brčko Distrikt BiH i ostali mogu zasebno i po volji uspostavljati

vlastitu PKI ili više njih, a preko “Trust centra“ (BofT) na nivou BiH, te tako ostvariti

međusobnu vezu i povjerenje.

Naravno, osim ovoga prikazanog na slici 5 moguća su i mnoga druga rješenja koja se mogu

realizirati ukoliko se primjeni Opcija 3 sa slike 4.

Politiku povjerenja u domeni PKI BiH bi donosilo organ za upravljanje politikom PMA

(Policy Managament Authority), koje bi imenovalo Vijeće ministara BiH, a čiji bi članovi bili

po jednaki broj predstavnika državnog nivoa vlasti, entiteta i Brčko Distrikta BiH, a i kao

predstavnici Glavnih (pricipal) CA-ova svojih domena. Samim tim, PMA bi upravljao radom

“Trust“ centra (BofT) i njegovim repozitorijom. Sve nadležnosti i odgovornosti ovog organa

naknadno bi se detaljno precizirali ukoliko bi se ova opcija i prihvatila.

Primjena ovoga modela takođe zahtjeva uspostavljanje Ureda za akreditaciju i nadzor na

26

nivou države, ali otvara i mogućnost uspostavljanja i “entitetskog“ ureda, s tim da je

neophodno uspostaviti adekvatnu koordinaciju sa “državnim“ Uredom koja će osigurati sve

potrebne standarde i pravni okvir za sigurno i nesmetano ePoslovanje u domeni PKI BiH.

Primjenom ove opcije, svi zainteresirani subjekti u BiH bi zahtjeve za obavljanje poslova

davalaca usluga certificiranja podnosili po vlastitom izboru, tako da bi digitalni certifikati

koje izdaju vrijedili na cijeloj teritoriji BiH, bez obzira gdje su izdati.

3.4.3 Pravni okvir

Pravni okvir se odnosi na izmjene i dopune Odluke o osnovama upotrebe elektronskog

potpisa i pružanja usluga ovjeravanja, kao što je navedeno u Opciji 2. Takođe je neophodno

formirati Ured za nadzor i akreditaciju CA koji je predviđen važećim zakonom (član 20, stav

1).

3.4.4 Prednosti

Ova opcija uzima u obzir složeno uređenje Bosne i Hercegovine i omogućava primjenu

Zakona o ePotpisu na visoko decentralizirani način.

Daje mogućnosti uključivanja i Opcije 3 kao i dijelom Opcije 2 ( hijerarhijska struktura u

okviru pojedinih domena povjerenja), uvažava postojeći pravni okvir za ePoslovanje uz

minimalne izmjene i dopune kao u Opciji 3.

Takođe omogućava:

- Validnost međusobno priznavanje svih digitalnih certifikata je na cijelom području BiH,

- Poslovanje sa raznim certifikatima, a da se pri tome ne narušava sigurno okruženje za

ePoslovanje po svjetskim standardima,

- Uspostavljanje slobodnog tržište pružalaca usluga certificiranja na cijelom području BiH,

- Građanima, pravnim i privrednim subjektima kao korisnicima digitalnih certifikata,

- Slobodan izbor digitalnog certifikata i njegovog pružaoca.

3.4.5 Rizici

Mogući rizici mogu doći kroz određivanja nivoa povjerenja među domenima povjerenja u

arhitekturi povezujućih domena (bridge).

Duži putevi od početne tačke povjerenja do krajnjeg korisnika te procedure međusobnog

priznavanja zahtijevaju složeniji tehnički sigurnosni aspekt.

Kada se govori o tehničkim rizicima, oni se prvenstveno odnose na okvir interoperabilnost.

Bosna i Hercegovina još uvijek nema urađen okvir interoperabilnosti koji treba da bude

usklađen sa Evropskim okvirom interoperabilnosti. Iz tog razloga može doći do poteškoća

prilikom komuniciranja sa CA-ovima koji su akreditirani u zemljama EU

3.4.6 Troškovi

-Troškovi vezani za osnivanje Ureda;

-Troškovi vezani za uspostavljanje “Trust“ Centra na državnom nivou;

-Troškovi uspostavljanja entitetskih i Brčko Distrikt BiH PKI;

-Ukupni troškovi bi trebali biti znatno umanjeni zbog korištenja postojećih infrastruktura.

27

IV. POTENCIJALNI UTJECAJI

Ubrzanje uvođenja elektronskog potpisa je od velike važnosti za BiH, jer trenutno BiH kasni

u implementaciji elektronskog potpisa, što znači, da su usporene i sve primjene e-potpisa

(eTrgovina, eBankarstvo, eUprava, ePoslovanje.....).

Ako bi se odlučilo da se ne promjeni ništa (opcija 1), BiH bi ostala još dalje iza drugih

zemalja EU i zemalja u regionu po pitanju ePoslovanja. U tom slučaju bi došlo do povećanja

direktnih i indirektnih/administrativnih troškova za javni sektor i privatni sektor.

Opcija 2 je tehnički najjednostavnija, ali zahtijeva harmoniziranje zakonodavstva u BiH iz

ove oblasti (Zakone o ePotpisu RS-a i Brčko DC BiH uskladiti sa Zakonom o ePotpisu BiH),

čime bi se osigurala jasna nadležnost na nivou države i entiteta, te pojačale upravna i tehnička

infrastruktura sa vještinama i znanjem.

Glavni problem za primjenu Opcije 2 je političke prirode, gdje pojedini politički krugovi

smatraju da bi se primjenom ove opcije ugrozile nadležnosti entiteta, što apsolutno nije tačno.

Kao rezultat takvih i sličnih oprečnih političkih stavova primjena Opcije 2 bi mogla

rezultirati neuspjehom, što bi u završnici bilo jednako opciji 1 „Ne poduzimati ništa“.

Ukoliko bi se primijenila Opcija 3, tj. izvršilo pragmatično uvođenje onih promjena koje po

principu Pareto (20% promjena za 80% učinka) donosile najveće prednosti, implicirala bi

minimalne izmjene postojeće pravne regulative i minimalne troškove, zbog postojanja bazne

infrastrukture, što predstavlja nadogradnju na postojeće stanje i dobru osnovu za primjenu

Opcije 4.

Opcija 4 je krajnje decentralizirana, uzima u obzir složeno uređenje Bosne i Hercegovine,

omogućava poslovanje sa raznim certifikatima, a i uspostavlja tržište pružalaca usluga

certificiranja na cijelom području BiH. Implementacijom Opcije 4 zahtjevi za obavljanje

poslova davalaca usluga certificiranja bi se podnosili po vlastitom izboru, a samim tim i

priznavanje svih vrsta certifikata na cijeloj teritoriji Bosne i Hercegovine. Opcija 4 trenutno

predstavlja najsаvremenije rješenje primjene elektronskog potpisa i kao takvo trebalo bi da

bude krajnji cilj kojem teži Bosna i Hercegovina u narednom periodu.

Troškovi i uštede pojedinačnih opcija za vladin i privatni sektor su dati u tabelama 10-13.

Tabela 10: Troškovi pojedinačnih opcija za vladin sektor

Godina 2012 2013 2014 2015 2016

OPCIJA 1 2,904,930 KM 3,024,322 KM 3,148,622 KM 3,278,030 KM 3,412,757 KM

OPCIJA 2 1,710,789 KM 151,929 KM 151,929 KM 151,929 KM 151,929 KM

OPCIJA 3 137,592 KM 107,592 KM 107,592 KM 107,592 KM 107,592 KM

Tabela 11: Troškovi pojedinačnih opcija za privatni sektor

Godina 2012 2013 2014 2015 2016

OPCIJA 1 274,983,336 KM 278,894,052 KM 282,965,498 KM 287,204,282 KM 291,617,279 KM

28

OPCIJA 2 0 KM 0 KM 0 KM 0 KM 894,249 KM

OPCIJA 3 0 KM 0 KM 0 KM 0 KM 0 KM

Tabela 12: Uštede pojedinačnih opcija za vladin sektor

Godina 2012 2013 2014 2015 2016

OPCIJA 1 0 KM 0 KM 0 KM 0 KM 0 KM

OPCIJA 2 0 KM 0 KM 0 KM 0 KM 341,276 KM

OPCIJA 3 0 KM 302,432 KM 566,752 KM 708,055 KM 688,012 KM

Tabela 13: Uštede pojedinačnih opcija za privatni sektor

Godina 2012 2013 2014 2015 2016

OPCIJA 1 0 KM 0 KM 0 KM 0 KM 0 KM

OPCIJA 2 0 KM 0 KM 0 KM 0 KM 32,305,477 KM

OPCIJA 3 0 KM 28,628,515 KM 53,649,265 KM 67,025,099 KM 65,127,842 KM

V. INDIKATORI IZVEDBE – PRAĆENJE I REVIZIJA

Kao glavni indikatori za praćenje implementacije predlaže se slijedeće:

Prvi indikator je uspješno provođenje harmonizacije podzakonskih propisa u skladu sa

pravnim okvirom i tehničkom regulativom EU. Postojeća Odluka o osnovama upotrebe

elektronskog potpisa i pružanja usluga ovjeravanja („Službeni glasnik BiH“, broj 21/09) nije

harmonizirana sa direktivom EU i ne regulira sva pitanja za koja zakon propisuje donošenje

podzakonskih akata ili pitanja koja su regulirana međunarodnim i Evropskim tehničkim

standardima i preporukama koje je potrebno unijeti u pravni sistem BiH. Zbog toga jasan

indikator napretka je usvajanje svih potrebnih podzakonskih akata.

Drugi indikator je uspostavljanje i efikasnost nadzora od strane nadležnih organa. Danas

nadležno ministarstvo nema kapacitete za vršenje nadzora o primjeni zakona u ovlasti e-

potpisa. U tom smislu se uspješna implementacija ogleda najprije u osnivanju Ureda za

nadzor i akreditaciju u okviru nadležnog ministarstva, a kasnije u broju inspekcijskih i

upravnih postupaka, izvedenih od strane tog Ureda.

Kako je potvrda svakoj osobi neophodno potrebna za ePotpis, broj izdatih običnih i broj

izdatih kvalificiranih certifikata od strane domaćih ili EU CA pokazuje jasno stanje.

Danas se procjenjuje da u BiH postoji oko 12.000 izdatih običnih certifikata (10.000 za

poduzeća i 2.000 za državne službenike) i oko 100 kvalificiranih certifikata. Komparativni

podaci za zemlje EU govore o 30 puta većem broju izdatih potvrda (ako se podaci

relativiziraju na broj stanovnika), a za zemlje u regionu oko 2 do 3 puta više izdatih potvrda u

odnosu na BiH.

Posljednja dva indikatora su procenat upotrebe usluge eBankarstva i eUprave za

stanovništvo i za poduzeća. Indikatori za EU pokazuju, da eBankarstvo za stanovništvo

koristi oko 60% stanovnika, a usluge eUprave oko 40% stanovnika. U poduzećima

eBankarstvo koristi 80 do 95% poduzeća, a usluge e-uprave oko 75% poduzeća. Pored ovih

29

indikatora mogu se koristiti i svih 60 indikatora EU

(http://ec.europa.eu/information_society/eeurope/i2010/benchmarking/index_en.htm).

VI. KONSULTACIJE

U izradi ovog dokumenta korištene su pasivne i aktivne konsultacije sa svim relevantnim

partnerima iz vladinog i privatnog sektora.

Aktivne konsultacije

a) U sklopu aktivnih konsultacija, održane su tri radionice na kojima su razmijenjena

mišljenja sa pripadnicima iz javnog i privatnog sektora, kao i relevantnim stručnjacima iz

ove oblasti:

1. Tokom prve održane radionice, na temu ”Primjena ePotpisa u zatvorenim sistemima u

BiH sa fokusom na elektronsko bankarstvo”, održanoj 1. decembra 2010. godine u

Sarajevu, dobili smo veliku podršku svih učesnika (32 učesnika iz 15 institucija i

kompanija) za potrebom izrade sveobuhvatne analize utjecaja koja bi otklonila sve

postojeće dileme, prepreke i omogućila potpunu primjenu ePotpisa u BiH.

2. Kao prvi korak u izradi metodologije procjene utjecaja, održana je Obuka o

metodologiji analize procjene utjecaja (RIA) s fokusom na ePotpis u Sarajevu, 21.

decembra 2010. godine, sa ciljem upoznavanja metodologije svih relevantnih učesnika u

procesu. U radu ove radionice aktivan doprinos pružilo je 19 učesnika iz 13 institucija i

organizacija.

3. Prvi radni dokument sa opcijama na primjenu Zakona o e-potpisu BiH, predstavljen je

na dvodnevnoj radionici u Tesliću, 19 i 20. aprila 2011. godine, na kojoj je učestvovalo 40

učesnika iz 26 institucija, organizacija i kompanija.

b) Kao dio aktivnih konsultacija, održano je i 10 pojedinačnih sastanaka na kojima su

razmatrana pitanja od posebnog značaja, koja su zahtijevala specifična znanja, iskustva i

vještine.

c) Prvi radni nacrt dokumenta Analiza učinka propisa na pravni i institucionalni okvir za

elektronski potpis s prijedlogom opcija za primjenu Zakona o e-potpisu BiH je dostavljen

e-mailom 31 instituciji, organizaciji i kompaniji; od kojih su dobijena mišljenja na

dostavljeni dokument od 27 institucija, organizacija i kompanija, kako slijedi:

1. Generalni sekretarijat Vijeća ministara Bosne i Hercegovine

2. Ministarstvo finansija i trezora Bosne i Hercegovine

3. Parlamentarna skupština Bosne i Hercegovine

4. Centralna banka Bosne i Hercegovine

5. Visoko sudsko i tužilačko vijeće Bosne i Hercegovine

6. Uprava za indirektno oporezivanje Bosne i Hercegovine

7. Agencija za identifikacione dokumente, evidenciju i razmjenu podataka BiH

(IDDEEA)

8. Institut za akreditaciju Bosne i Hercegovine

9. Ured koordinatora za reformu javne uprave (PARCO)

30

10. Generalni sekretarijat Vlade Federacije BiH

11. Federalno ministarstvo transporta i komunikacija Federacije BiH

12. Generalni sekretarijat Vlade Republike Srpske

13. Ministarstvo nauke i tehnologije Republike Srpske

14. Porezna uprava Federacije BiH

15. Poreska uprava Republike Srpske

16. Agencija za informaciono društvo Republike Srpske

17. Vlada Brčko Distrikta BiH

18. Agencija za informatiku i statistiku Kantona Sarajevo

19. Asocijacija poslodavaca Bosne i Hercegovine

20. Udruženja banaka Bosne i Hercegovine

21. Asocijacija informatičara u Bosni i Hercegovini

22. Asocijacije za informacione tehnologije u Bosni i Hercegovini B@IT

23. BH Telecom

24. m:tel

25. Asseco, South Eastern Europe Pexim Solutions

26. Electronic Banking Bureau (EBB)/Halcom

27. Lanaco Banja Luka

U nastavku je predstavljen sadržaj rezultata održanih konsultacija:

- Potrebno je izraditi i usvojiti Akcioni plan kojim se jasno definiraju potrebni koraci i

obaveze svih pojedinih učesnika u procesu sa ciljem potpune primjene elektronskog

potpisa u BiH. S tim u vezi potrebno je definirati otvorena pitanja donošenjem

odgovarajućih podzakonskih akata u skladu sa Zakonom o elektronskim potpisom BiH i

formirati odgovarajući nadzorni organ koji će pratiti primjenu i kontrolu propisa. Bitno je

napomenuti da će za potpunu primjenu elektronskog potpisa biti potrebne i dodatne

izmjene i dopune drugih relevantnih propisa. U isto vrijeme veoma je bitno da se oko

određenih pitanja usvoji odgovarajuća praksa npr. email kao način komunikacije se može

i treba smatrati važećim i prihvatljivim kao i fax ili bilo koji drugi podnesak – i s tim u

vezi, dodatno korigirati propise koji propisuju vrlo stroga pravila (upotrebu kvalificiranog

potpisa, vremenskog pečata i sl.).

- Potrebno je buduće aktivnosti na primjeni elektronskog potpisa u okviru BiH,

koordinirati kako bi se ostvarili što bolji i kvalitetniji rezultati a sami efekti primjene

elektronskog potpisa učinili što efikasnijim.

- Ukazana je potreba na što kvalitetnijoj izgradnji elektronskih servisa koji bi pomogli

ne samo vladinom i privatnom sektoru, nego i građanima. Kao primjer možemo uzeti

predviđenu mogućnost izdavanja e-lične karte 2013, u skladu sa usvojenom strategijom

Vijeća ministara BiH za period od 2010-2015. Bez adekvatnih elektronskih servisa svi

napori na uvođenju e-lične karte neće dati očekivane rezultate.

- Privatni sektor, a posebno IT kompanije predstavljaju ogroman razvojni potencijal u

BiH i svako dalje odlaganje u primjeni elektronskog potpisa predstavlja direktni gubitak

za razvoj privrede u BiH, a u isto vrijeme dovodi ovaj sektor u još nepovoljniji položaj u

odnosu na IT kompanije u regiji.

31

- Za dalji razvoj bankarskog sektora primjena elektronskog potpisa je od izuzetnog

značaja, posebno za dalji razvoj modernog elektronskog bankarstva, usporava povezivanje

poslovne zajednice sa poreskim upravama, obavljanja dnevnih transakcija elektronskim

putem. Uspostavljanje sigurnog i modernog elektronskog bankarstva neophodno je za

monitoring i kontrolu eventualnih aktivnosti “pranja novca” i borbe protiv finansiranja

ilegalnih aktivnosti. Postojeća bankarska PKI može biti realna polazna osnova za

uvođenje e-vlade, posebno imajući u vidu troškove izgradnje i održavanja PKI kao i

veličinu i stvarne potrebe zemlje.

- Potrebno je uzeti u obzir informatičku pismenost prije svega građana, potom poslovne

zajednice, kao i javnog sektora u BiH. U ovom smislu potrebno je uzeti u obzir

dosadašnja iskustva kao i stručna znanja postojećih asocijacija informatičara u BiH.

Uvođenjem elektronskog potpisa potrebno je raditi na razvijanju odgovarajućih elementa

zaštite potrošača.

- Adekvatna i efikasna primjena elektronskog potpisa treba biti praćena dobro

pripremljenom javnom kampanjom koja bi ukazala na sve prednosti pune primjene

elektronskog potpisa.

- Bitno je naglasiti da treba razmotriti socijalne konsekvence povećane primjene

elektronskog potpisa - sveobuhvatna primjena elektronskog potpisa kao i dalja

informatizacija bi mogla dovesti do otpuštanja određenog broja zaposlenih.

VII. SADRŽAJ I PREPORUKE

U pripremi završnog dokumenta analize utjecaja propisa, Ministarstvo komunikacija i

prometa BiH je kao inicijator i nosilac ove aktivnost poduzelo sveobuhvatne aktivnosti sa

svim interesnim stranama, te su u konsultacije bili uključeni predstavnici vladinog,

poslovnog i nevladinog sektora, kao što je to naprijed navedeno.

Nakon usvajanja ovog dokumenta, neophodne su slijedeće aktivnosti Ministarstva

komunikacija i prometa BiH:

a) da izradi podzakonske akte potrebne za provođenje Zakon o elektronskom potpisu BiH i

pokrene proceduru za njihovo usvajanje;

b) da pokrene proceduru izmjene Pravilnika o unutrašnjem ustrojstvu i sistematizaciji radnih

mjesta, kako bi se ostvarili uslovi za osnivanje Ureda za nadzor i akreditaciju i izvršilo

popunjavanje radnih mjesta u Uredu;

c) da pokrene proces popunjavanja radnih mjesta u Uredu za nadzor i akreditaciju, internim ili

eksternim premještajem državnih službenika u Uredu; i

d) osigura adekvatnu obuku službenika Ureda.

Radni tim je analizirao podatke i mišljenja iz konsultacija, iskustva i dostupne informacije iz

drugih zemalja u regiji i Europskoj uniji.

Radni tim predlaže se da se implementira Opcija 3 - Metoda korišćenja Pareto pristupa i

Opcija 4 - Bridge of Trust, kao daljnja nadogradnja i put ka uspostavi jednog zajedničkog

domena povjerenja za elektronsko poslovanje u Bosni i Hercegovini, uzimajući u obzir

složeno uređenje Bosne i Hercegovine, a kao najrealnija i najracionalnija rješenja za primjenu

Zakona o elektronskom potpisu.

32

Primjenom tih opcija domaći CA bi imali mogućnosti da odaberu registraciju ili na državnom

ili na nekim entitetskim razinama. Uz to postojeći propisi osiguravaju upotrebu certifikata

izdanih u EU i svi bi međusobno bili priznati preko trećeg centra za povjerenje (Trust Centar).

Umjesto velikih troškova za provedbu kompletnih državnih PKI infrastruktura koristila bi se

postojeća infrastruktura i kanali. Tamo gdje je uspostavljena ili gdje će biti uspostavljena PKI

infrastruktura javnog sektora (IDDEEA PKI za građane, zatvoreni sistemi u državnim

organima, poštanske usluge, itd.) i gdje pravna pitanja budu razriješena ta bi se infrastruktura

i koristila. U isto vrijeme, pod jednakim uslovima i kao dodatak infrastrukturi javnog sektora

bi se koristila i infrastruktura privatnog sektora, najviše banaka. Kako poslovni subjekti već

imaju digitalne certifikate kao i potreban softver, te bi certifikati bili unaprijeđene sa

postojećeg zatvorenog sistema na otvorene sisteme sa kvalifikovanim digitalnim

certifikatima.

33

ANNEX 1

Potrebni podaci i pretpostavke za CBA analizu

Podatak Izvor Iznos

Broj stanovnika Agencija za statistiku BiH, podatak

za 2010 godinu

3.842.566

Broj faktura za stanovništvo Prema podacima dobijenim iz ranijih analiza, pretpostavka je da građani

plaćaju 1.5 faktura po glavi stanovnika mjesečno

Broj faktura za 1 poduzeće Privatni sektor 40 faktura mjesečno

Trošak slanja 1 fakture Pošte, knjižare – pretpostavka je da

stranke u najvećem broju slučajeva

koriste običnu poštu

2,6 KM

Ukupan broj poduzeća i

preduzetnika u BIH

Poreske uprave, podatak za 2010.

godinu

105.862

Trošak Poreskih uprava RS, FBIH i

DB za slanje faktura

Poreske uprave FBIH, RS i BD 832.634,50 KM

Trošak Vlade RS,FBIH,BD i BIH

za slanje faktura

Pretpostavka je da je ukupan broj poslatih faktura od strane vladinog

sektora 2.5 puta veći od faktura poreske uprave

Prosječan rast BNP The World Bank group database-

podatak dobijen na osnvu

prosječnog rasta BNP u proteklih 5

godina

4.11%

Potrebno vrijeme za slanje 1

fakture

Privatni sektor, vladin sektor 10 minuta

Prosječna satnica Agencija za statistiku BIH, podatak

za 2010 godinu

6,88 KM

Osnivanje PKI (CA):

Authority Security Manager (CA)

150.000 certifikata

Usluge implementacije

Server i HSM HW

Entrust – analiza uradjena za 3 CA

(3 entitetske CA uz pretpostavku da

će IDEEA preuzeti ulogu krovne

CA)

25.000 EUR

150.000 EUR uvećano za 20%

stranaka koje će koristiti usluge 2

CA

50.000 EUR

100.000 EUR

Trošak portala Entrust i Halcom 60.000 KM

Održavanje CA Entrust i Halcom 5.000 EUR

Održavanje portala Entrust i Halcom 10% vrijednosti portala

Smart card

Card reader

USB

Certifikat (3 godine)

EBB – stranka koristi ili smart card

ili USB-uzeti prosječni troskovi za

analizu

Halcom i Entrust

104.5 KM

58.5 KM

156 KM

68.5 KM

Broj poduzeća koja koriste internet RAK – pretpostavka je da će prve

godine 10% od ovih poduzeća

koristiti e-potpis i e-dokument

50%

Ured za akreditaciju i nadzor Vladin sektor 1. Načelnik Ureda =39 024 KM

2. Stručni savjetnik za

inspekcijski nadzor =32 784 KM

3. Stručni savjetnik za razvoj e-

potpisa i e-poslovanja =32 784 KM

Ukupno bruto plaće i naknade na

godišnjem nivou – 104 592 KM

34