Dz.U. 2016.1632
Rozporządzenie Ministra Cyfryzacji
z dnia 5 października 2016 r.
w sprawie krajowej infrastruktury zaufania
Opracowano na podstawie: Dz.U. z 2016 r. poz. 1632
Na podstawie art. 12 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. poz. 1579) zarządza się, co następuje:
§ 1.
Rozporządzenie określa:
1) szczegółową treść wpisów w rejestrze dostawców usług zaufania, zwanym dalej „rejestrem”, oraz sposób ich dokonywania;
2) tryb wydawania i unieważniania certyfikatów dostawcy usług zaufania oraz certyfikatów narodowego centrum certyfikacji;
3) wymagania dla polityki certyfikacji narodowego centrum certyfikacji;
4) wymagania organizacyjno-techniczne i bezpieczeństwa krajowej infrastruktury zaufania.
§ 2.
1. Wpisu do rejestru dokonuje się w postaci elektronicznej przez wprowadzenie informacji zawartych w decyzji o wpisie, o której mowa w art. 4 ust. 6 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej, zwanej dalej „ustawą”, albo w zgłoszeniu, o którym mowa w art. 6 ust. 1 ustawy.
2. Wpisu do rejestru dokonuje się niezwłocznie:
1) nie później niż w terminie 3 dni roboczych od dnia wydania decyzji o wpisie, w przypadku dostawcy usług zaufania, o którym mowa w art. 4 ust. 1 pkt 1 ustawy, zwanego dalej „kwalifikowanym dostawcą usług zaufania”;
2) nie później niż w terminie 3 dni roboczych od dnia otrzymania zgłoszenia, w przypadku niekwalifikowanego dostawcy usług zaufania, o którym mowa w art. 6 ust. 1 pkt 1 ustawy, zwanego dalej „niekwalifikowanym dostawcą usług zaufania”.
3. W przypadku upoważnienia Narodowego Banku Polskiego, na podstawie art. 11 ust. 1 ustawy, wpisu do rejestru dokonuje się niezwłocznie, nie później niż w terminie 3 dni roboczych od dnia otrzymania od ministra właściwego do spraw informatyzacji kopii dokumentów stanowiących podstawę wpisu do rejestru, zmiany wpisu w rejestrze albo wykreślenia z rejestru.
§ 3.
1. Treść wpisu w rejestrze obejmuje:
1) w odniesieniu do dostawcy usług zaufania:
a) informacje, o których mowa w art. 3 ust. 4 pkt 1–14 ustawy, w zakresie, w jakim dotyczą one tego dostawcy,
b) wskazanie, czy wpis dotyczy kwalifikowanego dostawcy usług zaufania czy niekwalifikowanego dostawcy usług zaufania;
2) w odniesieniu do usługi zaufania:
a) informacje, o których mowa w art. 3 ust. 4 pkt 1–9 ustawy, w zakresie, w jakim dotyczą one tej usługi,
b) wskazanie, czy wpis dotyczy kwalifikowanej usługi zaufania, o której mowa w art. 4 ust. 1 pkt 2 ustawy, czy niekwalifikowanej usługi zaufania, o której mowa w art. 6 ust. 1 pkt 2 ustawy.
2. Przy każdym wpisie w rejestrze zamieszcza się także:
1) numer porządkowy oraz oznaczenie podmiotu dokonującego wpisu;
2) datę i czas dokonania wpisu.
3. W przypadku dokonania kolejnego wpisu do rejestru dotyczącego tej samej informacji, wpisu poprzedniego nie usuwa się. Treść wpisu poprzedniego wykreśla się w sposób umożliwiający jej odczytanie. Wykreśloną i aktualną treść wpisu zaznacza się w wyraźny sposób.
4. Wpis, którego treść zawiera oczywiste błędy pisarskie, poprawia minister właściwy do spraw informatyzacji albo w przypadku, o którym mowa w art. 11 ust. 1 ustawy, Narodowy Bank Polski na wniosek dostawcy usług zaufania albo z urzędu, po uprzednim poinformowaniu dostawcy usług zaufania. Do poprawiania oczywistych błędów pisarskich stosuje się ust. 2 i 3.
§ 4.
1. Wydanie certyfikatu dostawcy usług zaufania następuje z urzędu, niezwłocznie, nie później niż w terminie 3 dni roboczych od dnia wydania decyzji o wpisie, o której mowa w art. 4 ust. 6 ustawy.
2. W przypadku upoważnienia Narodowego Banku Polskiego, na podstawie art. 11 ust. 1 ustawy, certyfikat dostawcy usług zaufania wydaje się niezwłocznie, nie później niż w terminie 3 dni roboczych od dnia otrzymania od ministra właściwego do spraw informatyzacji decyzji, o której mowa w art. 4 ust. 6 ustawy.
§ 5.
Unieważnienie certyfikatu dostawcy usług zaufania przez narodowe centrum certyfikacji następuje na wniosek ministra właściwego do spraw informatyzacji w terminie wskazanym we wniosku.
§ 6.
1. Wydanie i unieważnienie certyfikatu narodowego centrum certyfikacji przez narodowe centrum certyfikacji następuje na wniosek ministra właściwego do spraw informatyzacji w terminie wskazanym we wniosku.
2. Narodowe centrum certyfikacji zapewnia możliwość zgłoszenia wniosku o unieważnienie certyfikatu przez całą dobę.
§ 7.
1. Polityka certyfikacji narodowego centrum certyfikacji określa:
1) wykorzystywany w narodowym centrum certyfikacji zestaw algorytmów kryptograficznych (przekształceń matematycznych), służących do zamiany informacji na zakodowaną (zaszyfrowaną lub utworzenie jej skrótu), w razie uzasadnionej potrzeby z wykorzystywaniem parametrów zależnych od zastosowanego klucza;
2) okres ważności certyfikatu dostawcy usług zaufania;
3) sposób odnowienia certyfikatu dostawcy usług zaufania;
4) sposób zarządzania certyfikatami dostawcy usług zaufania oraz certyfikatami narodowego centrum certyfikacji, z uwzględnieniem dokumentów RFC 5280, RFC 4210 oraz ETSI TS 119 312.
2. Polityka certyfikacji narodowego centrum certyfikacji podlega uzgodnieniu z kwalifikowanymi dostawcami usług zaufania.
§ 8.
1. Narodowe centrum certyfikacji oraz rejestr spełniają wymagania organizacyjno-techniczne oraz wymagania bezpieczeństwa określone w normie ETSI EN 319 401 i w normie ETSI EN 319 411.
2. Zapewnienie przez narodowe centrum certyfikacji usługi Online Certificate Status Protocol (OCSP) uważa się za spełnione, gdy zapewniono usługę weryfikacji statusu certyfikatu opartą o listy unieważnionych certyfikatów.
§ 9.
Prowadzenie zaufanej listy odbywa się zgodnie z wymaganiami określonymi w decyzji wykonawczej Komisji (UE) 2015/1505 z dnia 8 września 2015 r. ustanawiającej specyfikacje techniczne i formaty dotyczące zaufanych list zgodnie z art. 22 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 09.09.2015, str. 26).
§ 10.
Rozporządzenie wchodzi w życie z dniem 7 października 2016 r.
