Akt prawny
obowiązujący
Wersja aktualna od 2016-10-07
Wersja aktualna od 2016-10-07
obowiązujący
ROZPORZĄDZENIE
MINISTRA CYFRYZACJI1)
z dnia 5 października 2016 r.
w sprawie krajowej infrastruktury zaufania
Na podstawie art. 12 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. poz. 1579) zarządza się, co następuje:
§ 1.[Zakres regulacji] Rozporządzenie określa:
1) szczegółową treść wpisów w rejestrze dostawców usług zaufania, zwanym dalej „rejestrem”, oraz sposób ich dokonywania;
2) tryb wydawania i unieważniania certyfikatów dostawcy usług zaufania oraz certyfikatów narodowego centrum certyfikacji;
3) wymagania dla polityki certyfikacji narodowego centrum certyfikacji;
4) wymagania organizacyjno-techniczne i bezpieczeństwa krajowej infrastruktury zaufania.
§ 2.[Wpis do rejestru] 1. Wpisu do rejestru dokonuje się w postaci elektronicznej przez wprowadzenie informacji zawartych w decyzji o wpisie, o której mowa w art. 4 ust. 6 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej, zwanej dalej „ustawą”, albo w zgłoszeniu, o którym mowa w art. 6 ust. 1 ustawy.
2. Wpisu do rejestru dokonuje się niezwłocznie:
1) nie później niż w terminie 3 dni roboczych od dnia wydania decyzji o wpisie, w przypadku dostawcy usług zaufania, o którym mowa w art. 4 ust. 1 pkt 1 ustawy, zwanego dalej „kwalifikowanym dostawcą usług zaufania”;
2) nie później niż w terminie 3 dni roboczych od dnia otrzymania zgłoszenia, w przypadku niekwalifikowanego dostawcy usług zaufania, o którym mowa w art. 6 ust. 1 pkt 1 ustawy, zwanego dalej „niekwalifikowanym dostawcą usług zaufania”.
3. W przypadku upoważnienia Narodowego Banku Polskiego, na podstawie art. 11 ust. 1 ustawy, wpisu do rejestru dokonuje się niezwłocznie, nie później niż w terminie 3 dni roboczych od dnia otrzymania od ministra właściwego do spraw informatyzacji kopii dokumentów stanowiących podstawę wpisu do rejestru, zmiany wpisu w rejestrze albo wykreślenia z rejestru.
§ 3.[Treść wpisu w rejestrze] 1. Treść wpisu w rejestrze obejmuje:
1) w odniesieniu do dostawcy usług zaufania:
a) informacje, o których mowa w art. 3 ust. 4 pkt 1–14 ustawy, w zakresie, w jakim dotyczą one tego dostawcy,
b) wskazanie, czy wpis dotyczy kwalifikowanego dostawcy usług zaufania czy niekwalifikowanego dostawcy usług zaufania;
2) w odniesieniu do usługi zaufania:
a) informacje, o których mowa w art. 3 ust. 4 pkt 1–9 ustawy, w zakresie, w jakim dotyczą one tej usługi,
b) wskazanie, czy wpis dotyczy kwalifikowanej usługi zaufania, o której mowa w art. 4 ust. 1 pkt 2 ustawy, czy niekwalifikowanej usługi zaufania, o której mowa w art. 6 ust. 1 pkt 2 ustawy.
2. Przy każdym wpisie w rejestrze zamieszcza się także:
1) numer porządkowy oraz oznaczenie podmiotu dokonującego wpisu;
2) datę i czas dokonania wpisu.
3. W przypadku dokonania kolejnego wpisu do rejestru dotyczącego tej samej informacji, wpisu poprzedniego nie usuwa się. Treść wpisu poprzedniego wykreśla się w sposób umożliwiający jej odczytanie. Wykreśloną i aktualną treść wpisu zaznacza się w wyraźny sposób.
4. Wpis, którego treść zawiera oczywiste błędy pisarskie, poprawia minister właściwy do spraw informatyzacji albo w przypadku, o którym mowa w art. 11 ust. 1 ustawy, Narodowy Bank Polski na wniosek dostawcy usług zaufania albo z urzędu, po uprzednim poinformowaniu dostawcy usług zaufania. Do poprawiania oczywistych błędów pisarskich stosuje się ust. 2 i 3.
§ 4.[Wydanie certyfikatu dostawcy usług zaufania] 1. Wydanie certyfikatu dostawcy usług zaufania następuje z urzędu, niezwłocznie, nie później niż w terminie 3 dni roboczych od dnia wydania decyzji o wpisie, o której mowa w art. 4 ust. 6 ustawy.
2. W przypadku upoważnienia Narodowego Banku Polskiego, na podstawie art. 11 ust. 1 ustawy, certyfikat dostawcy usług zaufania wydaje się niezwłocznie, nie później niż w terminie 3 dni roboczych od dnia otrzymania od ministra właściwego do spraw informatyzacji decyzji, o której mowa w art. 4 ust. 6 ustawy.
§ 5.[Unieważnienie certyfikatu dostawcy usług zaufania] Unieważnienie certyfikatu dostawcy usług zaufania przez narodowe centrum certyfikacji następuje na wniosek ministra właściwego do spraw informatyzacji w terminie wskazanym we wniosku.
§ 6.[Wydanie i unieważnienie certyfikatu narodowego centrum certyfikacji] 1. Wydanie i unieważnienie certyfikatu narodowego centrum certyfikacji przez narodowe centrum certyfikacji następuje na wniosek ministra właściwego do spraw informatyzacji w terminie wskazanym we wniosku.
2. Narodowe centrum certyfikacji zapewnia możliwość zgłoszenia wniosku o unieważnienie certyfikatu przez całą dobę.
§ 7.[Polityka certyfikacji narodowego centrum certyfikacji] 1. Polityka certyfikacji narodowego centrum certyfikacji określa:
1) wykorzystywany w narodowym centrum certyfikacji zestaw algorytmów kryptograficznych (przekształceń matematycznych), służących do zamiany informacji na zakodowaną (zaszyfrowaną lub utworzenie jej skrótu), w razie uzasadnionej potrzeby z wykorzystywaniem parametrów zależnych od zastosowanego klucza;
2) okres ważności certyfikatu dostawcy usług zaufania;
3) sposób odnowienia certyfikatu dostawcy usług zaufania;
4) sposób zarządzania certyfikatami dostawcy usług zaufania oraz certyfikatami narodowego centrum certyfikacji, z uwzględnieniem dokumentów RFC 5280, RFC 4210 oraz ETSI TS 119 312.
2. Polityka certyfikacji narodowego centrum certyfikacji podlega uzgodnieniu z kwalifikowanymi dostawcami usług zaufania.
§ 8.[Wymagania organizacyjno-techniczne i wymagania bezpieczeństwa, spełniane przez narodowe centrum certyfikacji oraz rejestr] 1. Narodowe centrum certyfikacji oraz rejestr spełniają wymagania organizacyjno-techniczne oraz wymagania bezpieczeństwa określone w normie ETSI EN 319 401 i w normie ETSI EN 319 411.
2. Zapewnienie przez narodowe centrum certyfikacji usługi Online Certificate Status Protocol (OCSP) uważa się za spełnione, gdy zapewniono usługę weryfikacji statusu certyfikatu opartą o listy unieważnionych certyfikatów.
§ 9.[Prowadzenie zaufanej listy] Prowadzenie zaufanej listy odbywa się zgodnie z wymaganiami określonymi w decyzji wykonawczej Komisji (UE) 2015/1505 z dnia 8 września 2015 r. ustanawiającej specyfikacje techniczne i formaty dotyczące zaufanych list zgodnie z art. 22 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Dz. Urz. UE L 235 z 09.09.2015, str. 26).
§ 10.[Wejście w życie] Rozporządzenie wchodzi w życie z dniem 7 października 2016 r.
Minister Cyfryzacji: A. Streżyńska
1) Minister Cyfryzacji kieruje działem administracji rządowej - informatyzacja, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 17 listopada 2015 r. w sprawie szczegółowego zakresu działania Ministra Cyfryzacji (Dz. U. poz. 1910 i 2090).