Рег. №: 1749219454-06.06.2025 | Министерство на електронното управление | Одобрено | Дата на подаване: 19.05.2025 |

Физическо лице |

В заявлението е обективирано следното искане за предоставяне на достъп до обществена информация:

„1. Коя година и от коя държавна агенция или министерство е създаден по ОП „Административен капацитет“ и в последствие поддържан портала предоставящ услуга по електронно валидиране на електронни подписи намиращ се на адрес https://evalidation.egov.bg/ ?

2. Отговаряла ли е същата агенцията или министерство към момента на създаването и пускането в експлоатация на портала предоставящ услуга по електронно валидиране на електронни подписи намиращ се на адрес https://evalidation.egov.bg/ на условията на на чл. 33 от Регламент (ЕС) № 910/2014 ?

3. Ако агенцията или министерство отговорни за създаването и пускането в експлоатация на портала предоставящ услуга по електронно валидиране на електронни подписи намиращ се на адрес https://evalidation.egov.bg/ не са отговаряли на условията на на чл. 33 от Регламент (ЕС) № 910/2014, как въпросният портал е създаден по Оперативна програма „Административен капацитет“?

4. Отговаряла ли е Държавната агенция за електронно управление по времето на нейното съществуване и отговаря ли към момента Министерството на електронното управление, на условията на на чл. 33 от Регламент (ЕС) № 910/2014?

5. Ако Министерството на електронното управление не отговаря на условията на на чл. 33 от Регламент (ЕС) № 910/2014, каква е причината към момента на запитването продължава да предоставя услугата по електронно валидиране на електронни подписи на адрес https://evalidation.egov.bg/ ?

6. В отговор на продължаваща кореспонденция с изх. рег. № МЕУ-549/16.01.2025, от страна на МЕУ се изказва твърдение позоваващо се на чл. 33 от Регламент (ЕС) № 910/2014, че МЕУ не е доставчик на удостоверителни услуги и следователно няма задължение за поддържане и актуализиране на портала за електронно валидиране намиращ се на адрес: https://evalidation.egov.bg/. Как това кореспондира с чл.27, ал.3 от Наредбата за удостоверенията за електронен подпис в администрациите?

7. Известно ли е и от кога на администрацията и служителите на Министерството на електронното управление, че портала предоставящ услуга по електронно валидиране на електронни подписи https://evalidation.egov.bg/, дава фалшиво положителни резултати от направена валидация в резултат на неидентифициране като ненадежден на използван при полагане на електронен подпис алгоритъм SHA-1 (алгоритъма SHA-1 e идентифициран като ненадежден през 2005 г.)? Като допълнителна информация към въпроса, ще добавя, че въпросната фалшиво положителна валидация беше демонстрирана пред директор и служители на дирекция Системи и компоненти на електронното управление при нарочно организирана онлайн видеоконферентна връзка.

8. Уведомени ли са институции, администрации и гражданите на република България, че портала предоставящ услуга по електронно валидиране на електронни подписи https://evalidation.egov.bg/ е ненадежден, и по какъв начин?

9. Каква правна стойност имат невалидно подписани документи или волеизявления, но валидирани успешно от система даваща фалшиво положителни резултати от процеса на валидация, продължаваща да се използва поради, ще цитирам написаното в изх. Рег. № МЕУ-549/16.01.2025: „Поради липсата на друго национално решение, системата продължава да се използва като временно средство за валидиране“?“

Заявителят е поискал да му бъдат предоставени и следните документи:

„1. Техническо задание за създаване по ОП „Административен капацитет“ на портала предоставящ услуга по електронно валидиране на електронни подписи намиращ се на адрес https://evalidation.egov.bg/.

2. Документи за кандидатстване по ОП „Административен капацитет“ за изграждане на портал предоставящ услуга по електронно валидиране на електронни подписи.

3. Заповед или друг нормативен акт за въвеждането в експлоатация на портала предоставящ услуга по електронно валидиране на електронни подписи намиращ се на адрес https://evalidation.egov.bg/.“

Решение

---

Дата: 06.06.2025

I. Предоставям пълен достъп до поисканата обществена информация, както следва:

По въпрос № 1. Информацията относно проекта за създаването на Системата за електронно валидиране е публично достъпна и може да бъде намерена на следния интернет адрес: https://www.mtc.government.bg/pk/archive-procedure/235.

По въпрос № 2. Регламент (ЕС) № 910/2014 е приет през юли 2014 г., но задълженията, произтичащи от него, се прилагат от държавите членки, считано от 1 юли 2016 г., поради което не е налице правно основание системата за е-валидация да отговаря на изискванията на регламента към момента на нейното разработване. Наред с посоченото следва да се отбележи, че системата за е-валидация не представлява квалифицирана удостоверителна услуга, а също така няма законово задължение същата да отговаря на изискванията за такъв вид услуга.

По въпрос № 3. Проектът (K13-32-1/29.07.2013 „Надграждане на съществуващите и изграждане на нови централни системи на електронното правителство с оглед на усъвършенстване на информационно-комуникационната среда за по-добро административно обслужване на гражданите и бизнеса”), съгласно отговорите по въпроси № 1 и 2, е стартирал преди приемане на Регламент (ЕС) № 910/2014, съответно преди изискванията към удостоверителните услуги и квалифицираните доставчици да започнат да се прилагат.

По въпрос № 4. Електронното валидиране, което се цитира в запитването по ЗДОИ, не носи характеристиките на услуга по квалифицирано валидиране на квалифицирани електронни подписи. Държавна агенция “Електронно управление“ (ДАЕУ) и Министерството на електронното управление (МЕУ), като правоприемник на ДАЕУ, нямат статут на доставчик на квалифицирани удостоверителни услуги, по смисъла на Регламент (ЕС) № 910/2014 и не са вписани в доверителния списък на доставчиците. Както е посочено в отговора на въпрос № 2 няма нормативно изискване системата за е-валидиране, която се поддържа от министъра на електронното управление, да отговаря на изискванията за квалифицирана удостоверителна услуга.

По въпроси № 5, 6, 7 и 8. Както бе отбелязано по-горе необходимо е да се прави разграничение между системата за е-валидация и квалифицирани удостоверителни услуги. Разпоредбите на чл. 33 от Регламент (ЕС) № 910/2014 уреждат условията, при които доставчиците могат да предоставят квалифицирани удостоверителни услуги, същевременно не забранява на публични органи или частни субекти да предоставят неквалифицирани услуги за валидиране. Такива услуги не притежават доказателствената стойност на квалифицираните и могат да бъдат използвани само при определени условия и на собствен риск от страна на ползвателите.

Съгласно член 22 на Регламент (ЕС) № 910/2014 държавите членки имат задължението да създават, поддържат и публикуват доверителни списъци на доставчиците на квалифицирани удостоверителни услуги и на предоставяните от тях услуги. За да се даде възможност за достъп до доверителните списъци на всички държави членки, Европейската Комисия предоставя на обществеността, чрез защитен и сигурен канал към удостоверен уебсървър, доверителните списъци, нотифицирани от държавите членки, в подписана или подпечатана форма, подходяща за автоматизирана обработка. Във връзка с изпълнение на това задължение, произтичащо от Регламент 910/2014 г., валидирането на удостоверения за електронни подписи и печати издадени от доставчик на удостоверителни услуги, включен в общия доверителен списък на всички държави-членки на ЕС, както и валидиране на електронни подписи и печати може да бъде направено на портала на Европейската комисия на следните линкове:

- https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/certificate-validation и

- https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/validation.

Друга възможност за валидиране на електронни подписи и печати е услугата по квалифицирано валидиране на квалифицирани електронни подписи/печати, предоставяна на интернет страниците на доставчиците на квалифицирани удостоверителни услуги от държавите - членки на Европейския съюз, които предоставят такава услуга.

Съгласно чл. 24 от Регламент (ЕС) № 910/2014, квалифицираните доставчици на услуги за удостоверяване на подписи са задължени да предоставят информация относно валидността на издаваните от тях електронни подписи и да осигуряват възможност за тяхната проверка чрез валидатор. В тази връзка, на контактния център са предоставени инструкции за оказване на съдействие при възникнали въпроси, като насочва потребителите към използването на валидатор, предоставен от доставчика, или официалния онлайн инструмент на Европейската комисия – eIDAS Validator. Разпоредбата на чл. 27, ал. 3 от Наредбата за удостоверенията за електронен подпис в администрациите (НУЕПА), въвежда задължение за осигуряване и поддържане на валидиращ инструмент от министъра на електронното управление, който да бъде достъпен за администрациите – независимо от това дали услугата е квалифицирана или неквалифицирана. Както бе споменато по-горе в момента се извършва ревизия на текущите удостоверителни услуги и добавяне на нови такива. В тази връзка очакванията са и за промени в националното законодателство.

С оглед съществуващата правна регламентация и създадената централизирана възможност от Европейската комисия за валидирането на удостоверения за електронни подписи и печати, издадени от доставчик на удостоверителни услуги, включен в общия доверителен списък на всички държави-членки на ЕС, гражданите и административните органи могат да се възползват от тези услуги.

По отношение на валидирането на електронни подписи и печати и на удостоверения за електронни подписи и печати е предоставена информация и възможност за извършване на е-валидиране на интернет страницата на Комисията за регулиране на съобщенията следния адрес:

https://crc.bg/bg/statii/2618/validirane-na-elektronni-podpisi-i-pechati-i-na-udostovereniq-za-elektronni-podpisi-i-pechati.

Системата за електронно валидиране предоставя информация относно процеса на валидиране на електронни документи, включително проверка на сертификационната верига и интегритета на подписаните документи. В помощната информация се посочва, че резултатът от валидирането може да включва статуси като „успешен“ или „неуспешен“, както и подробности за издателя на сертификата и валидността на подписа. Министерството на електронното управление (МЕУ) приоритизира значението на надеждната криптографска защита при валидацията на електронни подписи и активно следи развитието на международните стандарти в тази област.

В тази връзка, за привеждане на системата към променените настъпили в националното и европейско законодателство и за прилагане на актуални стандарти и методи на защита са предприети конкретни действия, включително нормативни промени.

По въпрос № 9. Съгласно Регламент (ЕС) № 910/2014 (eIDAS) и българския Закон за електронния документ и електронните удостоверителни услуги, за да има правна сила:

- Електронният подпис (особено квалифицираният) трябва да бъде автентичен, цялостен и да гарантира непроменимост на данните.

- Валидирането трябва да бъде извършено чрез надеждни средства, т.е. чрез система, която може достоверно да потвърди подписа.

Правна стойност на невалидно подписани документи:

Ако даден документ не е подписан с валиден електронен подпис: правният ефект ще бъде оспорим, и съдилищата/администрацията може:

- да не приемат документа за доказано подписан от съответното лице;

- да изискат допълнителни доказателства, например журнални записи, IP адреси, мета-данни и др.;

- да приемат, че липсва съгласие или не е изпълнено изискването за форма (например когато законът изисква квалифициран електронен подпис).

Услугата по квалифицирано валидиране на квалифицирани електронни подписи може да се предоставя единствено от доставчик на квалифицирани удостоверителни услуги, който извършва валидиране в съответствие с Регламент 910/2024 и дава възможност на доверяващите се страни да получат резултата от процеса на валидиране по автоматизиран начин, който е надежден и ефикасен.

Документите по проекта са публикувани на интернет адреса, посочен в отговора по въпрос № 1 от решението.

17