Rozporządzenie Ministra Cyfryzacjiz dnia 5 października 2016 r.w sprawie krajowej infrastruktury zaufania 1)Minister Cyfryzacji kieruje działem administracji rządowej - informatyzacja, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 17 listopada 2015 r. w sprawie szczegółowego zakresu działania Ministra Cyfryzacji (Dz. U. poz. 1910 i 2090).

Treść rozporządzenia

Na podstawie art. 12 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej   (Dz. U. poz. 1579) zarządza się, co następuje:

§ 1.

Rozporządzenie określa:

1)

szczegółową treść wpisów w rejestrze dostawców usług zaufania, zwanym dalej „rejestrem”, oraz sposób ich dokonywania;

2)

tryb wydawania i unieważniania certyfikatów dostawcy usług zaufania oraz certyfikatów narodowego centrum certyfikacji;

3)

wymagania dla polityki certyfikacji narodowego centrum certyfikacji;

4)

wymagania organizacyjno-techniczne i bezpieczeństwa krajowej infrastruktury zaufania.

§ 2.

1.

Wpisu do rejestru dokonuje się w postaci elektronicznej przez wprowadzenie informacji zawartych w decyzji o wpisie, o której mowa w art. 4 ust. 6 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej, zwanej dalej „ustawą”, albo w zgłoszeniu, o którym mowa w art. 6 ust. 1 ustawy.

2.

Wpisu do rejestru dokonuje się niezwłocznie:

1)

nie później niż w terminie 3 dni roboczych od dnia wydania decyzji o wpisie, w przypadku dostawcy usług zaufania, o którym mowa w art. 4 ust. 1 pkt 1 ustawy, zwanego dalej „kwalifikowanym dostawcą usług zaufania”;

2)

nie później niż w terminie 3 dni roboczych od dnia otrzymania zgłoszenia, w przypadku niekwalifikowanego dostawcy usług zaufania, o którym mowa w art. 6 ust. 1 pkt 1 ustawy, zwanego dalej „niekwalifikowanym dostawcą usług zaufania”.

3.

W przypadku upoważnienia Narodowego Banku Polskiego, na podstawie art. 11 ust. 1 ustawy, wpisu do rejestru dokonuje się niezwłocznie, nie później niż w terminie 3 dni roboczych od dnia otrzymania od ministra właściwego do spraw informatyzacji kopii dokumentów stanowiących podstawę wpisu do rejestru, zmiany wpisu w rejestrze albo wykreślenia z rejestru.

§ 3.

1.

Treść wpisu w rejestrze obejmuje:

1)

w odniesieniu do dostawcy usług zaufania:

a)

informacje, o których mowa w art. 3 ust. 4 pkt 1-14 ustawy, w zakresie, w jakim dotyczą one tego dostawcy,

b)

wskazanie, czy wpis dotyczy kwalifikowanego dostawcy usług zaufania czy niekwalifikowanego dostawcy usług zaufania;

2)

w odniesieniu do usługi zaufania:

a)

informacje, o których mowa w art. 3 ust. 4 pkt 1-9 ustawy, w zakresie, w jakim dotyczą one tej usługi,

b)

wskazanie, czy wpis dotyczy kwalifikowanej usługi zaufania, o której mowa w art. 4 ust. 1 pkt 2 ustawy, czy niekwalifikowanej usługi zaufania, o której mowa w art. 6 ust. 1 pkt 2 ustawy.

2.

Przy każdym wpisie w rejestrze zamieszcza się także:

1)

numer porządkowy oraz oznaczenie podmiotu dokonującego wpisu;

2)

datę i czas dokonania wpisu.

3.

W przypadku dokonania kolejnego wpisu do rejestru dotyczącego tej samej informacji, wpisu poprzedniego nie usuwa się. Treść wpisu poprzedniego wykreśla się w sposób umożliwiający jej odczytanie. Wykreśloną i aktualną treść wpisu zaznacza się w wyraźny sposób.

4.

Wpis, którego treść zawiera oczywiste błędy pisarskie, poprawia minister właściwy do spraw informatyzacji albo w przypadku, o którym mowa w art. 11 ust. 1 ustawy, Narodowy Bank Polski na wniosek dostawcy usług zaufania albo z urzędu, po uprzednim poinformowaniu dostawcy usług zaufania. Do poprawiania oczywistych błędów pisarskich stosuje się ust. 2 i 3.

§ 4.

1.

Wydanie certyfikatu dostawcy usług zaufania następuje z urzędu, niezwłocznie, nie później niż w terminie 3 dni roboczych od dnia wydania decyzji o wpisie, o której mowa w art. 4 ust. 6 ustawy.

2.

W przypadku upoważnienia Narodowego Banku Polskiego, na podstawie art. 11 ust. 1 ustawy, certyfikat dostawcy usług zaufania wydaje się niezwłocznie, nie później niż w terminie 3 dni roboczych od dnia otrzymania od ministra właściwego do spraw informatyzacji decyzji, o której mowa w art. 4 ust. 6 ustawy.

§ 5.

Unieważnienie certyfikatu dostawcy usług zaufania przez narodowe centrum certyfikacji następuje na wniosek ministra właściwego do spraw informatyzacji w terminie wskazanym we wniosku.

§ 6.

1.

Wydanie i unieważnienie certyfikatu narodowego centrum certyfikacji przez narodowe centrum certyfikacji następuje na wniosek ministra właściwego do spraw informatyzacji w terminie wskazanym we wniosku.

2.

Narodowe centrum certyfikacji zapewnia możliwość zgłoszenia wniosku o unieważnienie certyfikatu przez całą dobę.

§ 7.

1.

Polityka certyfikacji narodowego centrum certyfikacji określa:

1)

wykorzystywany w narodowym centrum certyfikacji zestaw algorytmów kryptograficznych (przekształceń matematycznych), służących do zamiany informacji na zakodowaną (zaszyfrowaną lub utworzenie jej skrótu), w razie uzasadnionej potrzeby z wykorzystywaniem parametrów zależnych od zastosowanego klucza;

2)

okres ważności certyfikatu dostawcy usług zaufania;

3)

sposób odnowienia certyfikatu dostawcy usług zaufania;

4)

sposób zarządzania certyfikatami dostawcy usług zaufania oraz certyfikatami narodowego centrum certyfikacji, z uwzględnieniem dokumentów RFC 5280, RFC 4210 oraz ETSI TS 119 312.

2.

Polityka certyfikacji narodowego centrum certyfikacji podlega uzgodnieniu z kwalifikowanymi dostawcami usług zaufania.

§ 8.

1.

Narodowe centrum certyfikacji oraz rejestr spełniają wymagania organizacyjno-techniczne oraz wymagania bezpieczeństwa określone w normie ETSI EN 319 401 i w normie ETSI EN 319 411.

2.

Zapewnienie przez narodowe centrum certyfikacji usługi Online Certificate Status Protocol (OCSP) uważa się za spełnione, gdy zapewniono usługę weryfikacji statusu certyfikatu opartą o listy unieważnionych certyfikatów.

§ 9.

Prowadzenie zaufanej listy odbywa się zgodnie z wymaganiami określonymi w decyzji wykonawczej Komisji (UE) 2015/1505 z dnia 8 września 2015 r. ustanawiającej specyfikacje techniczne i formaty dotyczące zaufanych list zgodnie z art. 22 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym   (Dz. Urz. UE L 235 z 09.09.2015, str. 26).

§ 10.

Rozporządzenie wchodzi w życie z dniem 7 października 2016 r.
1)
Minister Cyfryzacji kieruje działem administracji rządowej - informatyzacja, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 17 listopada 2015 r. w sprawie szczegółowego zakresu działania Ministra Cyfryzacji (Dz. U. poz. 1910 i 2090).