Prihaja elektronska osebna izkaznica. Tokrat zares.
V Sloveniji bomo po večkratnih poskusih navsezadnje dobili novo, drugačno osebno izkaznico. Ta mora, podobno kot potni listi, poleg videza ustrezati še zahtevam EU o vključevanju biometričnih podatkov. A to ni vse. Ima namreč tudi možnost, da vključuje dodaten nabor podatkov, ki podpirajo elektronsko upravo in seveda poslovanje.
Elektronska osebna izkaznica bo vključevala biometrične podatke in dodaten nabor podatkov, ki podpirajo elektronsko upravo in poslovanje.
Zakonodajalec se je na osnovi evropske uredbe EU 2019/1157 odločil in to možnost izkoristil tako, da bo vsak imetnik nove elektronske osebne izkaznice ob izdaji pridobil elektronsko identiteto in kot bonus še možnost prevzema digitalnega potrdila. Tokrat kar dveh. Enega kot sredstva elektronske identifikacije, drugega za podpisovanje. In to na varnem nosilcu – mikrovezju, ki osebno izkaznico pretvori v pravo pametno kartico (smar card).
Elektronske osebne izkaznice niso novost. Finska jih je uvedla že leta 1999. Druge države so preizkušale njihovo uporabo, bolj ali manj uspešno. Tokrat naj bi šlo zares. Vzvod je težnja Evropske komisije, ki si prizadeva tukaj narediti red. Nam dobro poznane osebne izkaznice, v nekaterih drugih evropskih članicah (poleg tega, da niso obvezne) sploh niso tako pogosto v uporabi. Komisija si je najprej prizadevala urediti mobilnost evropskih državljanov tako, da se znotraj EU prosto gibljemo in prehajamo meje samo z osebnimi. Ker te niso standardizirane, uvaja komisija svojo uredbo. Ta zahteva od članic, da nove osebne izkaznice implementirajo do 2. 8. 2021. Precej kratek rok. A pojdimo po vrsti.
Kaj je elektronska identiteta?
Nova elektronska osebna izkaznica nas seveda zanima v kontekstu podpore e-poslovanja in digitalizacije upravnih ali poslovnih procesov. Dodatek biometrije namreč nima posebne vrednosti za gospodarstvo, saj je uporaba te omejena na javnoupravne organe (z vidika varovanja osebnih podatkov je uporaba biometrije v Sloveniji strogo omejena).
Dodana vrednost nove osebne izkaznice je elektronska identiteta. Enako kot interpretiramo ime osebe ali podjetja z nizom črk, pri zadnjem lahko tudi številk, elektronsko identiteto predstavlja zapis v podatkovni zbirki (identitet) kot zaporedje alfanumeričnih znakov. Ta zapis je v določenem prostoru in času unikaten, sicer sistem ne funkcionira.
V družbenoekonomskem kontekstu potrebuje torej identiteta subjekta ustrezno okolje, kjer lahko na verodostojen način zagotovimo povezave med imeni, pravicami in (poslovnimi) dogodki. Elektronska identiteta (v odprtem okolju) je dobila praktično vrednost šele s pojavom novega medija – interneta.
Namenskost identitetnih zbirk je lahko seveda zelo različna, zato uporablja posameznik danes tudi do 30 različnih ali celo več identitet hkrati, kar seveda hitro postane poseben izziv. Druga stran realnosti je, da skoraj milijarda ljudi na svetu ne poseduje praktično nobene oblike identifikacije. S tem, ko prihaja internet tudi v najbolj pozabljene dele sveta, se nam odpirajo nove možnosti vključevanja te pozabljene populacije.
Kreiranje identitetnih zbirk je bistveno starejše od samega interneta. Nekatere, ki so še danes v uporabi, svoje začetke postavljajo tudi tja v 19. stoletje, denimo Dun & Bradset (D & B) iz leta 1841. Podjetnik Lewis Tappan je takrat gojil idejo o vzpostavitvi registra podjetij, ki bi trgovcem in poslovnežem omogočil dostop do kakovostnih informacij o drugih poslovnih subjektih. Današnja osnova za identifikacijo subjektov v zbirki D & B je leta 1963 uvedena devetmestna številka DUNS, podobno kot enotna matična številka slovenskega državljana, kratko EMŠO, kar je zapuščina jugoslovanske administracije iz leta 1977. EMŠO vključuje numerično strukturo, sestavljeno med drugim iz rojstnih podatkov državljana.
Če se vrnemo, pri D & B govorimo o bonitetnem sistemu in kar 285 milijonih poslovnih subjektov. Identitetna zbirka je v vsakem primeru pogosto več kot enoznačen zapis, sicer nima dodane vrednosti. A k temu se vrnemo na koncu.
Elektronska identiteta in elektronski podpis
Vsako (poslovno) interakcijo med subjektoma ali več subjekti označimo kot transakcijo ali skupek transakcij. Tudi nakup prek spletne trgovine ali sklenitev zavarovanja. Poslovne transakcije lahko danes digitaliziramo. Kako jim zaupamo, je odvisno od tega, kakšna orodja v ta namen uporabimo.
Tranzicijo na poslovanje prek spleta so že pred časom uspešno izvedle nekatere industrije (e-banka, na primer), vendar pogosto v omejenem oziroma (pol)zaprtem okolju. Ponekod so identitete iz gospodarstva postale celo univerzalno elektronsko sredstvo za državljane (BankID v skandinavskih državah). Osnovni razlog omejevanja (širše) uporabe je zaupanje v (internetno) infrastrukturo, in kar je v resnici še pomembneje, praktično uporabnost.
Elektronska identiteta (eID), če gre za poslovni subjekt ali fizično osebo, pridobiva v trenutnih časih nov zagon. Ne gre za neko revolucijo ali inovacijo, saj so vsa digitalna orodja, vključno z eID, z nami že precej časa, iz različnih razlogov pa se niso prerinila v tako množično uporabo kot danes. Verjetno velja spodbudo za takšen pospešek iskati tudi v novih okoliščinah.
Kako si z elektronsko identiteto pomagamo pri elektronskemu podpisovanju? Ko govorimo o povsem digitalnem poslovanju, gre za združljivi tehniki, ki podpirata druga drugo. Za podpis, ki na nedvoumen način povezuje podpisnika z vsebino transakcije, potrebujemo digitalno interpretacijo podpisnika. To interpretacijo v internetu predstavlja eID.
Identitete se na spletu pojavljajo v različnih oblikah, samostojno ali kot integralni del (vsebinskih) storitev. Za digitalizacijo poslovnih transakcij nas zanima, ali je eID verodostojen oziroma ali mu sploh lahko zaupamo. V primeru nizke stopnje izpostavljenosti poslovne transakcije, kjer spremljajo potrditev transakcije še druga dejstva in okoliščine, na katera se lahko naslanjamo pri kasnejšem dokazovanju, ali se je transakcije sploh zgodila in kdo jo je potrdil, smo lahko zadovoljni že z identiteto družabnega omrežja (Facebook, Twitter ipd.).
Drugače velja za poslovne transakcije visoke stopnje tveganja (višjih vrednosti), kjer je zelo pomembno, da posedujemo verodostojne informacije o tem, s kom imamo opraviti. V tem primeru bomo posegli po bolj preverjeni identiteti (z višjo stopnjo zaupanja). Enako velja za tehniko podpisovanja. Takim visokim zahtevam (med drugim) ustrezajo (kvalificirana) digitalna potrdila in (kvalificirani) digitalni podpisi. Javna uprava, recimo, deluje primarno na tak način, saj je največjega pomena, da so transakcije verodostojne in vedno (nedvoumno) preverljive. To želi podpreti tudi nova elektronska osebna izkaznica.
Ponudniki elektronskih identitet
Sisteme, ki uporabljajo oziroma upravljajo elektronske identitete, označujemo kot ponudnike elektronskih identitet (eID Provider, IDP). Ni nujno, da so taki sistemi izvorno namenjeni temu, lahko so zgolj spremljevalni (sekundarni) del (vsebinske) storitve. Tak primer je že omenjeni Facebook, pri čemer take identitete nimajo močne infrastrukturne podpore, ne moremo jih vedno šteti za zaupanja vreden vir, so pa kljub temu zanesljive in praktične za uporabo. Vsekakor so v lasti enega ponudnika, ki jih upravlja v skladu s svojo politiko. To seveda določa po lastni presoji.
Vloga nove osebne izkaznice pri digitalnem poslovanju.
Višjo stopnjo zaupanja imajo profesionalnih ponudnikih IDP, kot so izdajatelji kvalificiranih digitalnih potrdil. Uredba o elektronskih identitetah eIDAS (več v okvirčku) ravno zato opredeljuje take storitve kot storitve zaupanja. Kaj potemtakem določa stopnjo zaupanja v identiteto? Pri kreiranju elektronske identitete se prepletata dva parametra: postopek, kako je identiteta nastala, in uporabljena sredstva, ki jo varujejo pred zlorabo.
Digitalno vključevanje
Pri kreiranju eID na verodostojnost vpliva najprej proces vključevanja (angl. on-boarding). S tem postopkom določimo, na kakšen način bomo resnično osebo povezali s kreiranim eID. Mogočih načinov je več. Med dvema skrajnostnma, tj. osebna identifikacija ob fizični prisotnosti (identificirane) osebe ali ljubkovalno angleško face-to-face, in samo-registracijo, kjer uporabnik sam predloži podatke o sebi kar prek spleta, je na voljo več možnosti.
Sem štejemo video identifikacijo, kjer postopek poteka prek video povezave na telefonu, tablici ali notesniku, skratka opremi s kamero, samo izvajanje postopka pa vodi agent v živo. Za izvedbo postopka mora oseba, ki se identificira, pripraviti osebne podatke in osebni dokument, s katerim potrjuje pristnost podatkov, agent pa prek kamere preverja, ali dokument pripada osebi, ki jo identificira. Tak postopek vključuje preverjanje prisotnosti osebnega dokumenta in podatkov na njem tudi z vpogledom v namenske zbirke (PRADO), predvsem pa vnaprej predpisane korake procesa, ki jim mora agent dosledno slediti z namenom, da ugotovi morebiten poskus zlorabe.
Malo manj zahteven (in zanesljiv) proces je izmenjava fotografij dokumentov in spremljajočih izkazov, ki potrjujejo, da oseba res obstaja, kot so obračun elektrike, telekomunikacijskih storitev ipd. Gre torej za zbirko dokazov, na osnovi katerih lahko relativno dovolj zanesljivo identificiramo osebo na drugi strani.
Po uspešno zaključenem postopku vključevanja pridobimo eID, ki skupaj z drugimi podatki (ime, priimek idr.) tvori osebno izkaznico na spletu. Primer take osebne izkaznice je digitalno potrdilo, ki se uporablja za namene avtentikacije. Ker gre za podatke, s katerimi bomo tesno povezali poslovno transakcijo, moramo seveda zagotoviti, da so informacije, vezane na eID, pristne in manipulacija z njimi ni mogoča. Vsako izdano (osebno) digitalno potrdilo je tako vedno digitalno podpisano z zasebnim ključem izdajatelja potrdil. Ta deklarira dvoje, in sicer, da stoji za podatki v potrdilu in da potrdila ni nihče spreminjal.
Identiteto imam, kaj zdaj?
eID najpogosteje uporabljamo kot del prijavnega postopka skupaj s prijavnim mehanizmom, tako da se lahko ponudnik (verodostojno) prepriča, kdo želi uporabljati njegove storitve. Prijavnih mehanizmov je več vrst. Od pravil ponudnika storitve je odvisno, kakšne stopnje zaupanja mora biti identiteta, ki jo potrebujemo. Ponudniki pretočnih vsebin, recimo Spotify ali Tidal, so povsem zadovoljni, če se prijavite z identiteto Facebooka ali Googla. Banki tak način seveda ne ustreza, med drugim zato, ker mehanizem vključevanja ni zadovoljiv. Banka bo zahtevala nekaj bolj verodostojnega, (kvalificirano) digitalno potrdilo za avtentikacijo ali eID in dvofaktorsko avtentikacijo.
Digitalna potrdila so povezana z zasebnim ključem, ki ga hranimo varno pri sebi. S tem ključem podpišemo kratko sporočilo, katerega podpis prejemnik (strežnik) preveri, in če je veljaven, zaključi, da gre za pristnega uporabnika na drugi strani.
Digitalna potrdila so za avtentikacijo nerodna in predstavljajo velik izziv z uporabo na mobilnih napravah, zato je tudi penetracija relativno skromna. Alternativno metodo predstavlja dvofaktorska avtentikacija, kjer uporabimo kombinacijo uporabniškega imena/gesla in enkratnega gesla. Tega pridobimo z namensko napravico (kot so ga uporabljale nekatere banke), prek sporočila SMS ali mobilne aplikacije (Google Authenticator, na primer).
Druga ključna uporabna vrednost eID je potrjevanje poslovnih transakcij oziroma podpisovanje, kot smo že omenili. Sama elektronska identiteta ni sredstvo elektronskega podpisovanja, saj gre pri eID zgolj za enoličen zapis. Velja tudi za (kvalificirana) digitalna potrdila, ki sicer vključujejo več podatkov poleg enoličnega identifikatorja. Pri digitalnih potrdilih podpisujemo z zasebnim ključem, ki ni del potrdila. Ta hrani zgolj javni ključ, s katerim preverjamo podpis.
Sredstvo podpisovanja je običajno ločeno od eID, a hkrati z njim tesno povezano. To nam odpira zanimive možnosti kombiniranja, saj lahko eID enega IDP uporabimo s sistemom elektronskega podpisovanja drugega ponudnika. Z eID se predstavimo sistemu, ki tej identiteti zaupa, in mu naročimo, da z našim sredstvom (v oblaku) potrdi (podpiše) določeno poslovno transakcijo.
Ko govorimo o e-podpisovanju, je na voljo cela množica tehnik, ki se jih trudi zakonodajalec, tako kot elektronsko identiteto, ustrezno razporediti po njihovi varnosti in zanesljivosti. Med osnovna sredstva štejemo kodo PIN, ki jo uporabimo za plačilo ali dvig denarja z bančno kartico (s PIN potrdimo/podpišemo nakup ali dvig gotovine). Naprednejša (in bolj zaupanja vredna) sredstva so podpisi na osnovi kriptografskih algoritmov in ustvarjeni z infrastrukturo javnih ključev, katerih sestavni del so digitalna potrdila. Ta imamo lahko pri sebi (na varnem nosilcu, če želimo ustvariti kvalificirani podpis) ali v oblaku (ki lahko tudi zadošča zahtevam kvalificiranega podpisa, če so zasebni ključi varno shranjeni). Razlika je v tem, da kompleksne opreme (pametna kartica, ključek USB) pri sebi tem primeru ne potrebujemo, ampak za to poskrbi (varno) skladišče ključev v oblaku.
Oblačne storitve e-podpisovanja sicer delimo naprej na tiste, ki uporabljajo za vsakega podpisnika svoj ključ ali podpirajo souporabo enega ključa za vse podpisnike. Razlike v varnosti enega ali drugega sistema, dokler so ključi varno shranjeni, dejansko ni, saj je pri vdoru v tak sistem povsem nebistveno, ali se napadalec dokoplje do enega ključa ali do vseh.
Obstajajo še sistemi, ki za vsako transakcijo uporabijo (disposable) ključe za enkratno uporabo, vendar gre zgolj za variacijo na isto tehniko. Res pa je, da sisteme z individualnimi ključi razumemo kot podpisne, tiste z enim ključem pa kot sistem žigosanja. V rezultatu (tehnično) ni bistvene razlike.
Nazaj k elektronski osebni izkaznici
Elektronske osebne izkaznice se od dosedanjih na videz razlikujejo tudi po tem, da so na izkaznici vidni kontakti za dostop do drobovja, kjer je varno shranjen zasebni ključ oziroma v slovenskem primeru kar dva – eden za avtentikacijo, drugi za podpisovanje.
Nove slovenske osebne izkaznice temeljijo torej na infrastrukturi javnih ključev in uporabljajo digitalna potrdila. Kar pomeni, da moramo z njihovo uporabo zagotoviti tudi ustrezno opremo (smart card reader, tiste, ki imajo tudi podporo NFC, naj bi omogočale še komunikacijo s pametnim telefonom). Čeprav se je infrastruktura PKI dodobra zarinila v nekatere pore spleta in si brez nje varne komunikacije pri identifikaciji strežnikov ali šifriranju podatkovnega prometa ne moremo predstavljati (https, recimo), je njena uporaba še vedno zapletena in … draga.
Kot prvo, digitalna potrdila, ki so sestavni del infrastrukture PKI, trpijo za sindromom zastaranja. Vsako potrdilo ima omejen veljavni rok trajanja in enkrat njegova veljavnost preteče. Takrat moramo potrdilo zamenjati, vse tako potrjene transakcije (podpisane dokumente) pa še pred iztekom roka varno obdelati in shraniti.
Dodatno grožnjo infrastrukturi javnih ključev, stari pol stoletja (prvi algoritmi, ki jih uporabljamo še danes, so bili razviti v sedemdesetih letih prejšnjega stoletja), po novem predstavljajo kvantni računalniki, ki uporabljene algoritme razdrejo tako rekoč v sekundi. Vsaj v teoriji. Nadgradnja takšne infrastrukture bo v prihodnosti zato zelo draga.
Še bolj »tečna« omejitev elektronskih osebnih izkaznic je prehodno obdobje. Vsaka izkaznica ima (vsaj v Sloveniji) čas zastaranja omejen na 10 let. To pomeni, da bo do njihove popolne zamenjave preteklo 10 let, kar je za IT v resnici precej dolg časovni razpon. Komisija je sicer določila roke zamenjave in ti se bodo za nekatere uporabnike vlekli vse do 2031.
Kakorkoli že, elektronske osebne izkaznice so zagotovo omembe vreden doprinos k digitalizaciji poslovanja, predvsem za upravne postopke, v gospodarstvu pa morebiti nekoliko manj, saj to posega po bolj priročnih, uporabniško prijaznejših in dostopnejših rešitvah. To se lahko naučimo tudi iz tujih primerov.
Pogled čez planke in med alternative
Tujina je glede eID in e-podpisov nekoliko razdeljena. Anglosaksonski del sveta je vedno ubiral pragmatično pot in tako tudi eID ter e-podpisi niso izjema. Daleč največji ponudnik storitev upravljanja digitalnih transakcij je iz Amerike. DocuSign je podjetje s trimilijardno tržno kapitalizacijo, z okoli milijarde dolarjev letnega prometa in približno 35-odstotno letno rastjo. Kar pomeni, da so eID in e-podpisi zanimiv posel. S storitvijo DocuSign je mogoče podpisovati zgolj v oblaku, primarno brez kvalificiranih digitalnih potrdil (podjetje se je sicer povezalo z nekaterimi evropskimi ponudniki storitev zaupanja). Podobnih (ameriških) konkurenčnih ponudnikov je cel kup, združuje jih bolj ali manj enaka uporabniška izkušnja.
Stara celina je bolj ortodoksna in se oklepa sredstev podpisovanja na osnovi (kvalificiranih) digitalnih potrdil. Predvsem javna uprava je precej trmasta, kar je načelno prav, saj želi EU harmonizirati upravne postopke na način, da bodo prepoznani ekvivalentno pri vseh članicah. Gospodarski sektor večinoma posega po storitvah podpisovanja v oblaku, podobnih DocuSign (vsaj transakcijsko gledano), saj so prijaznejše do uporabnika in dosegajo več populacije, gospodarstvo pa potrebuje hitre in učinkovite rešitve. Določeni sektorji (finance) seveda zahtevajo visoko ali vsaj srednjo stopnjo zaupanja, zato so trenutno v uporabi različni sistemi. Nova osebna elektronska izkaznica bo trg nekoliko prevetrila, saj, kot napoveduje zakonodajalec, bodo storitve zaupanja javne uprave in s tem možnosti podpisovanja z elektronsko osebno izkaznico kmalu na voljo tudi gospodarstvu. Kar je dobro.
Vendar pretekle izkušnje niso ravno blesteče. Zakaj? Nekatere države, ki se hvalijo z visoko stopnjo uporabe, so vpeljale posebne storitve, vezane na elektronske izkaznice, kot je, recimo, nakup tobačnih izdelkov (Italija). Gre za avtomate, ki zahtevajo identifikacijo kupca prek osebne izkaznice, da mu sploh omogočijo dostop do izdelka (zaradi starostne omejitve, kakopak). Resnica pa je taka, da v nobeni državi elektronske osebne izkaznice niso požele uspeha nasploh in tudi njihova prihodnost ni dorečena, saj (vsaj v gospodarskem sektorju) mrgoli alternativnih opcij. Tudi zato je vključevanje sredstev za avtentikacijo in podpisovanje zgolj opcijsko.
Kot alternativa (kompleksni) infrastrukturi PKI se ponuja sama od sebe tehnika veriženja blokov. V praksi takšni sistemi celo že obstajajo, predvsem med ponudniki IDP (GlobalID, Civic), težko pa bi rekli, da so vsesplošno sprejeti. V prihodnosti pričakujemo, da se bodo postavili ob bok infrastrukturi PKI in jo ponekod tudi povsem zasenčili, vendar to težko trdimo za EU, kjer je pravna ureditev ubrala drugo pot in se je za zdaj še (trdno) oklepa.
No, e-identitete imajo tudi neko drugo dodano vrednost. Če nam jih uspe povezati z zgodovino (poslovnih) transakcij, postanejo izjemno močno orodje za graditev zaupanja v subjekte. In vrnili smo se k D & B, le da je nabor uporabnikov (beri: fizičnih oseb) bistveno večji. Pripenjanje bonitetne ocene posameznika na osnovi zgodovine poslovnih interakcij (in potrjenih transakcij) je precej preprosto, dokler imamo dostop do tega, kje oziroma kako smo poslovali digitalno. Zasebnost je tukaj seveda velik izziv, vsekakor gre za temo, ki zahteva povsem svoje lastne strani v tej publikaciji.
Pravni labirint e-identitet in e-podpisa
dr. Davorka Šel
Uredba Evropskega parlamenta in Sveta št. 910/2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu ali krajše eIDAS sicer ureja področje elektronske identifikacije in storitev zaupanja v državah članicah EU. Pomembno je, da določila evropskih uredb veljajo neposredno v državah članicah in se jih posebej ne ureja z nacionalno zakonodajo, torej so za vse enake.
eIDAS vsebinsko pokriva dve področji. S prvim delom si prizadeva zagotoviti čezmejno priznavanje priglašenih sredstev elektronske identifikacije med državami članicami na način, da se lahko uporabniki iz ene članice s svojim domačim sredstvom ustrezne ravni zanesljivosti nemoteno prijavijo v katerokoli javno (elektronsko) storitev druge države. Na tej podlagi bo mogoče z novo slovensko osebno izkaznico oddati vlogo za oddajo davčne napovedi ali izpeljati vpis na univerzo kjerkoli v EU. Pogoj za to je, da Slovenija novo osebno izkaznico predhodno priglasi skladno z zahtevami eIDAS.
Uredba eIDAS poleg tega določa zahteve za ravni zanesljivosti sredstev elektronske identifikacije, med drugim prek določanja pogojev za izdajo in upravljanje sredstva. Ta so lahko poleg nizkih še srednja ali visoka glede na zanesljivost oziroma zaupanje, ki ga zagotavljajo. Ponudniki storitev se nato odločijo, katere ravni zanesljivosti morajo izpolnjevati sredstva elektronske identifikacije uporabnika, s katerimi je dovoljen dostop do njihovih storitev.
eIDAS v drugem delu določa storitve zaupanja tudi za vrste podpisov: elektronski podpis, napredni elektronski podpis in kvalificirani elektronski podpis. Kvalificiranemu elektronskemu podpisu je sicer po eIDAS privzeto priznana enakovrednost z lastnoročnim, vendar je pomembno poudariti, da hkrati eIDAS tudi določa, da elektronsko podpisanim dokumentom ni dovoljeno a priori odreči pravnega učinka ali dokazne vrednosti samo zaradi njihove narave (elektronske oblike) ali ker ne bi bili podpisani s kvalificiranim elektronskim podpisom.
Brez te določbe, denimo, lastnoročnemu podpisu na podpisni tablici ali zaslonu, pri katerem so ob digitalizaciji zajeti še biometrični podatki (tak podpis je sicer dovoljen v drugih državah EU, v Sloveniji zaradi omejitve obdelave biometrije žal ne), ne bi priznali lastnoročnosti. Dejstvo pa je, da se tak podpis po zanesljivosti identifikacije podpisnika kosa s kvalificiranim elektronskim podpisom oziroma ga celo presega, ker je v sam podpis vključena biometrija podpisnika. Obstajajo še drugi primeri, zato kvalificirani podpis ne pomeni tudi najvarnejšega (mogočega) podpisa.
Dodatno k uredbi je v Sloveniji treba upoštevati še Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA). Ta med drugim določa, da vsaka enota varno hranjenega gradiva v digitalni obliki šteje za enako posamezni enoti izvirnega gradiva, če sta bila zajem in varna hramba opravljena zakonsko skladno. Tako glede na ZVDAGA digitalizirani lastnoročni podpis, zajet z namensko napravo, lahko šteje za enakovrednega izvirnemu.
V medresorski obravnavi je trenutno novi Zakon o elektronski identifikaciji in storitvah zaupanja (v nadaljevanju ZEISZ). Ta uvaja elektronsko identiteto, ki jo izda država, in določa zahteve za sredstva elektronske identifikacije, ki temeljijo na tej elektronski identiteti. Pri tem sredstev elektronske identifikacije, ki jih izdaja gospodarski sektor, naj ne bi urejal, prav tako ne njihove uporabe. Dodatno pa naj bi nov zakon urejal tudi storitve zaupanja z določbami, komplementarnimi z eIDAS. Vendar pa v tem delu trenutna različica ZEISZ ni toliko prodorna, kot je zakonodaja sosednjih držav, saj ZEISZ pri načinih identifikacije ob izdaji kvalificiranih potrdil ne ureja načinov, ki jih je eIDAS prepustil v ureditev nacionalni zakonodaji (video identifikacija, na primer).
Tik pred sprejetjem je še novela Zakona o osebni izkaznici, ki uvaja na osebno izkaznico dodaten medij, na katerem je predvidena hramba podobe obraza in prstnih odtisov. Poleg tega bosta na pomnilniškem mediju ločeno lahko vsebovana tudi sredstvo elektronske identifikacije ter kvalificirano digitalno potrdilo za elektronski podpis, ki ju zagotovi država.
