Rozp. w sprawie krajowej infrastruktury zaufania

Dz.U. 2016.1632


Rozporządzenie Ministra Cyfryzacji

z dnia 5 października 2016 r.

w sprawie krajowej infrastruktury zaufania

Opracowano na podstawie: Dz.U. z 2016 r. poz. 1632

Na podstawie art. 12 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. poz. 1579) zarządza się, co następuje:

§ 1.

Rozporządzenie określa:

1) szczegółową treść wpisów w rejestrze dostawców usług zaufania, zwanym dalej „rejestrem”, oraz sposób ich dokonywania;

2) tryb wydawania i unieważniania certyfikatów dostawcy usług zaufania oraz certyfikatów narodowego centrum certyfikacji;

3) wymagania dla polityki certyfikacji narodowego centrum certyfikacji;

4) wymagania organizacyjno-techniczne i bezpieczeństwa krajowej infrastruktury zaufania.

§ 2.

1. Wpisu do rejestru dokonuje się w postaci elektronicznej przez wprowadzenie informacji zawartych w decyzji o wpisie, o której mowa w art. 4 ust. 6 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej, zwanej dalej „ustawą”, albo w zgłoszeniu, o którym mowa w art. 6 ust. 1 ustawy.

2. Wpisu do rejestru dokonuje się niezwłocznie:

1) nie później niż w terminie 3 dni roboczych od dnia wydania decyzji o wpisie, w przypadku dostawcy usług zaufania, o którym mowa w art. 4 ust. 1 pkt 1 ustawy, zwanego dalej „kwalifikowanym dostawcą usług zaufania”;

2) nie później niż w terminie 3 dni roboczych od dnia otrzymania zgłoszenia, w przypadku niekwalifikowanego dostawcy usług zaufania, o którym mowa w art. 6 ust. 1 pkt 1 ustawy, zwanego dalej „niekwalifikowanym dostawcą usług zaufania”.

3. W przypadku upoważnienia Narodowego Banku Polskiego, na podstawie art. 11 ust. 1 ustawy, wpisu do rejestru dokonuje się niezwłocznie, nie później niż w terminie 3 dni roboczych od dnia otrzymania od ministra właściwego do spraw informatyzacji kopii dokumentów stanowiących podstawę wpisu do rejestru, zmiany wpisu w rejestrze albo wykreślenia z rejestru.

§ 3.

1. Treść wpisu w rejestrze obejmuje:

1) w odniesieniu do dostawcy usług zaufania:

a) informacje, o których mowa w art. 3 ust. 4 pkt 1–14 ustawy, w zakresie, w jakim dotyczą one tego dostawcy,

b) wskazanie, czy wpis dotyczy kwalifikowanego dostawcy usług zaufania czy niekwalifikowanego dostawcy usług zaufania;

2) w odniesieniu do usługi zaufania:

a) informacje, o których mowa w art. 3 ust. 4 pkt 1–9 ustawy, w zakresie, w jakim dotyczą one tej usługi,

b) wskazanie, czy wpis dotyczy kwalifikowanej usługi zaufania, o której mowa w art. 4 ust. 1 pkt 2 ustawy, czy niekwalifikowanej usługi zaufania, o której mowa w art. 6 ust. 1 pkt 2 ustawy.

2. Przy każdym wpisie w rejestrze zamieszcza się także:

1) numer porządkowy oraz oznaczenie podmiotu dokonującego wpisu;

2) datę i czas dokonania wpisu.

3. W przypadku dokonania kolejnego wpisu do rejestru dotyczącego tej samej informacji, wpisu poprzedniego nie usuwa się. Treść wpisu poprzedniego wykreśla się w sposób umożliwiający jej odczytanie. Wykreśloną i aktualną treść wpisu zaznacza się w wyraźny sposób.

4. Wpis, którego treść zawiera oczywiste błędy pisarskie, poprawia minister właściwy do spraw informatyzacji albo w przypadku, o którym mowa w art. 11 ust. 1 ustawy, Narodowy Bank Polski na wniosek dostawcy usług zaufania albo z urzędu, po uprzednim poinformowaniu dostawcy usług zaufania. Do poprawiania oczywistych błędów pisarskich stosuje się ust. 2 i 3.

§ 4.

1. Wydanie certyfikatu dostawcy usług zaufania następuje z urzędu, niezwłocznie, nie później niż w terminie 3 dni roboczych od dnia wydania decyzji o wpisie, o której mowa w art. 4 ust. 6 ustawy.

2. W przypadku upoważnienia Narodowego Banku Polskiego, na podstawie art. 11 ust. 1 ustawy, certyfikat dostawcy usług zaufania wydaje się niezwłocznie, nie później niż w terminie 3 dni roboczych od dnia otrzymania od ministra właściwego do spraw informatyzacji decyzji, o której mowa w art. 4 ust. 6 ustawy.

§ 5.

Unieważnienie certyfikatu dostawcy usług zaufania przez narodowe centrum certyfikacji następuje na wniosek ministra właściwego do spraw informatyzacji w terminie wskazanym we wniosku.

§ 6.

1. Wydanie i unieważnienie certyfikatu narodowego centrum certyfikacji przez narodowe centrum certyfikacji następuje na wniosek ministra właściwego do spraw informatyzacji w terminie wskazanym we wniosku.

2. Narodowe centrum certyfikacji zapewnia możliwość zgłoszenia wniosku o unieważnienie certyfikatu przez całą dobę.

§ 7.

1. Polityka certyfikacji narodowego centrum certyfikacji określa:

1) wykorzystywany w narodowym centrum certyfikacji zestaw algorytmów kryptograficznych (przekształceń matematycznych), służących do zamiany informacji na zakodowaną (zaszyfrowaną lub utworzenie jej skrótu), w razie uzasadnionej potrzeby z wykorzystywaniem parametrów zależnych od zastosowanego klucza;

2) okres ważności certyfikatu dostawcy usług zaufania;

3) sposób odnowienia certyfikatu dostawcy usług zaufania;

4) sposób zarządzania certyfikatami dostawcy usług zaufania oraz certyfikatami narodowego centrum certyfikacji, z uwzględnieniem dokumentów RFC 5280, RFC 4210 oraz ETSI TS 119 312.

2. Polityka certyfikacji narodowego centrum certyfikacji podlega uzgodnieniu z kwalifikowanymi dostawcami usług zaufania.

§ 8.

1. Narodowe centrum certyfikacji oraz rejestr spełniają wymagania organizacyjno-techniczne oraz wymagania bezpieczeństwa określone w normie ETSI EN 319 401 i w normie ETSI EN 319 411.

2. Zapewnienie przez narodowe centrum certyfikacji usługi Online Certificate Status Protocol (OCSP) uważa się za spełnione, gdy zapewniono usługę weryfikacji statusu certyfikatu opartą o listy unieważnionych certyfikatów.

§ 9.

Prowadzenie zaufanej listy odbywa się zgodnie z wymaganiami określonymi w decyzji wykonawczej Komisji (UE) 2015/1505 z dnia 8 września 2015 r. ustanawiającej specyfikacje techniczne i formaty dotyczące zaufanych list zgodnie z art. 22 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 09.09.2015, str. 26).

§ 10.

Rozporządzenie wchodzi w życie z dniem 7 października 2016 r.