Szczecin 6 kwietnia 2016 r. Pan Tadeusz Kościński Podsekretarz Stanu Ministerstwo Rozwoju

Podobne dokumenty
eidas Standardy de iure i de facto oraz rozwiązania niestandardowe

Opinia Polskiej Izby Informatyki i Telekomunikacji do projektu ustawy o podpisach elektronicznych (wersja z roku) Uwagi generalne

Wyzwania prawne nowoczesnego e-commerce - w UE i poza UE

Komentarze i uwagi do wybranych zapisów w projekcie ustawy o podpisach elektronicznych z dnia roku.

Oświadczenie o infrastrukturze klucza publicznego Data: Status: Obowiązujący PWPW S.A. Wersja 1.1. Page

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

Damian Klimas Szostek Bar i Partnerzy Kancelaria Prawna

Informacja o infrastrukturze klucza publicznego Certum

Informacja o infrastrukturze klucza publicznego Certum

Informacja o infrastrukturze klucza publicznego Certum QCA

Polityka Certyfikacji Narodowego Centrum Certyfikacji. OID: wersja 3.3

Elektroniczny obrót gospodarczy i jego bezpieczeństwo Wykład nr 7. Dr Sylwia Kotecka-Kral CBKE WPAiE UWr

L 299/18 Dziennik Urzędowy Unii Europejskiej

Polityka Certyfikacji Narodowego Centrum Certyfikacji. OID: wersja 3.2

Regulamin Kwalifikowanych Usług Zaufania CERTUM PCC

Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko. Ad. 3. ust. 2 pkt. 1 i 2

Tytuł prezentacji. Naukowa i Akademicka Sieć Komputerowa Transgraniczny Węzeł eidas Commonsign październik 2016 r. WIEDZA I TECHNOLOGIA

PROGRAM CERTYFIKACJI PRODUKTÓW PRZEZNACZONYCH DO UŻYTKU W ATMOSFERZE POTENCJALNIE WYBUCHOWEJ SPIS TREŚCI

(Tekst mający znaczenie dla EOG)

STANOWISKO Polskiej Izby Informatyki i telekomunikacji [PIIT]

POPRAWKI PL Zjednoczona w różnorodności PL 2012/0146(COD) Projekt sprawozdania Marita Ulvskog (PE507.

Komunikat nr 115 z dnia r.

Rekomendacja zespołu ds. metod uwierzytelniania (ZMU) powołanego Decyzją Nr 2/2015 Przewodniczącego KRMC. Warszawa, r.

upoważniony przedstawiciel, dokonał oceny zgodności i wydał na swoją wyłączną odpowiedzialność, krajową deklarację zgodności z Polską Normą wyrobu

Wprowadzono również pojęcie pieczęć elektroniczna, która rozumiana jest jako

Podpis elektroniczny. ale nie od strony X.509 schematu dla certyfikatów kluczy publicznych służącego do budowania hierarchicznej struktury PKI

Polityka Certyfikacji Narodowego Centrum Certyfikacji. OID: wersja 3.1

USTAWA. z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej 1, Rozdział 1 Przepisy ogólne

Informatyka prawnicza Program 2009 Podpis elektroniczny Zagadnienia prawne i techniczne

Kancelaria Prawna Cieśla & Cieśla. Podpis elektroniczny - kiedy oświadczenie woli wyrażone w formie elektronicznej wywołuje skutki prawne?

Warszawa, dnia 29 grudnia 2012 r. Poz USTAWA. z dnia 7 grudnia 2012 r.

UZASADNIENIE. Obecny stan prawny

ZAKRES AKREDYTACJI JEDNOSTKI CERTYFIKUJĄCEJ OSOBY SCOPE OF ACCREDITATION FOR PERSONS CERTIFICATION BODY Nr/No. AC 195

Warszawa, al. Puławska 39 lok. 4 tel: fax:

ARIADNA - Dostosowanie Profilu Zaufanego do unijnych wymogów rozporządzenia eidas

Regulamin Kwalifikowanych Usług Zaufania CERTUM PCC

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

ZAKRES AKREDYTACJI JEDNOSTKI CERTYFIKUJĄCEJ SYSTEMY ZARZĄDZANIA SCOPE OF ACCREDITATION FOR MANAGEMENT SYSTEMS CERTIFICATION BODY Nr/No AC 082

Instytut Kolejnictwa Ośrodek Jakości i Certyfikacji Warszawa ul. Chłopickiego 50 tel/fax.: (+4822) qcert@ikolej.

Regulamin zdalnego odnawiania kwalifikowanych i niekwalifikowanych certyfikatów wydanych przez KIR S.A.

Regulamin Kwalifikowanych Usług Zaufania Certum

- o zmianie ustawy - Prawo energetyczne (druk nr 3237).

Ustawa o usługach zaufania oraz identyfikacji elektronicznej. z dnia 5 września 2016 r. (Dz.U. z 2016 r. poz. 1579)

PROGRAM CERTYFIKACJI

System certyfikacji biomasy na cele energetyczne. Wymagania dla jednostek certyfikujących. Zatwierdzam do stosowania.

USTAWA z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej 1. Rozdział 1 Przepisy ogólne

Tekst ustawy przekazany do Senatu zgodnie z art. 52 regulaminu Sejmu USTAWA. z dnia 5 września 2016 r.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. nr./2018

Wdrożenie rozporządzenia eidas w Polsce

z dnia r. w sprawie profilu zaufanego i podpisu zaufanego

Wg rozdzielnika: do wszystkich zainteresowanych i uczestników postępowania o zamówienie publiczne.

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

POLSKIE CENTRUM AKREDYTACJI

PROCEDURA Zawieszenie, wycofanie certyfikatu oraz unieważnienie umowy

DO UŻYTKU SPIS TREŚCI. 1. Wstęp. 10. Opłaty. strona 1/stron 8

Podpis elektroniczny Teoria i praktyka. Stowarzyszeni PEMI

Warszawa, dnia 29 września 2016 r. Poz z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej

PRZEMYSŁOWY INSTYTUT MOTORYZACJI

Warszawa, 04 marca 2008r.

Polityka Certyfikacji Kwalifikowanych Usług CERTUM Wersja 3.3 Data: 01 marca 2008 r. Status: aktualny

PK Dyrektorzy Izb Skarbowych wszystkich

Program certyfikacji

OPINIA nr 02/2007 EUROPEJSKIEJ AGENCJI BEZPIECZEŃSTWA LOTNICZEGO

Polityka Certyfikacji Niekwalifikowanych Usług CERTUM Wersja 3.2 Data: 7 października 2011 Status: poprzedni

Dz.U poz z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej

ROZPORZĄDZENIE MINISTRA NAUKI I SZKOLNICTWA WYŻSZEGO

Instytut Kolejnictwa Ośrodek Jakości i Certyfikacji Warszawa ul. Chłopickiego 50 tel./fax.: (+4822)

PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA

eidas od Rozporządzenia do technicznej implementacji

Zasady i warunki świadczenia usług (T&C) dla Centrum Usług Zaufania Sigillum Data: Status: Aktualna PWPW S.A. Wer. 1.0

Zaproszenie do składania ofert

Druk nr 713 Warszawa, 14 lipca 2016 r. - o usługach zaufania oraz identyfikacji elektronicznej z projektami aktów wykonawczych.

TRANSPORTOWY DOZÓR TECHNICZNY JEDNOSTKA NOTYFIKOWANA System oceny zgodności w Polsce jak to działa?

F8WEB CC Polityka Lokalnego Centrum Certyfikacji LCC

System certyfikacji. Warszawa, 6 września 2017 r.

Kwalifikowane certyfikaty, podpisy i pieczęcie elektroniczne. po 1 lipca 2018 roku. po 1 lipca 2018 roku. Wersja 1.0

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI [1]) z dnia r.

INSTYTUT PRZEMYSŁU SKÓRZANEGO. Jednostka Notyfikowana Jednostka certyfikująca wyroby

Rozszerzenie zakresu akredytacji Instytutu Kolejnictwa jako jednostki certyfikującej

Oznaczenie CE a certyfikacja dobrowolna konkurencja czy synergia

Polityka Certyfikacji i Kodeks Postępowania Certyfikacyjnego Kwalifikowanych Usług CERTUM Wersja 5.1 Data: r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Program certyfikacji PRZCIS-B INSTYTUT SPORTU PAŃSTWOWY INSTYTUT BADAWCZY ZESPÓŁ CERTYFIKACJI. Strona 1 z 5. Wydanie z dnia: r.

(Tekst mający znaczenie dla EOG)

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

REGULAMIN Kwalifikowanych Usług Zaufania dla umów zawieranych w formie elektronicznej Wersja 1.0 Data: Status: archiwalny

Warszawa, dnia 13 grudnia 2016 r. Poz ROZPORZĄDZENIE MINISTRA NAUKI I SZKOLNICTWA WYŻSZEGO 1) z dnia 16 listopada 2016 r.

U Z A S A D N I E N I E

UNIA EUROPEJSKA PARLAMENT EUROPEJSKI

Kodeks Postępowania Certyfikacyjnego Kwalifikowanych Usług CERTUM Wersja 3.1 Data: 05 stycznia 2007 r. Status: poprzedni

PROGRAM CERTYFIKACJI WYROBÓW TYPU 1a

Instytucja zgłaszająca. Uwaga Uzasadnienie uwagi Stanowisko MNiSW. rozporządzenia / przepis

(Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

Polityka Certyfikacji i Kodeks Postępowania Certyfikacyjnego Kwalifikowanych Usług Certum

PROGRAM CERTYFIKACJI WYROBÓW TYPU 1a

2. Metoda kosztorysowa ustalenia odszkodowania w ubezpieczeniach OC posiadaczy pojazdów mechanicznych a podatek VAT.

ZNAK ZGODNOŚCI Z POLSKĄ NORMĄ

Lp. Przepis Zgłaszający uwagę Treść uwagi Stanowisko 1. Uwaga Rządowe Centrum

INTERPRETACJA INDYWIDUALNA

Transkrypt:

Szczecin 6 kwietnia 2016 r. Pan Tadeusz Kościński Podsekretarz Stanu Ministerstwo Rozwoju Niniejszym, w odpowiedzi na pismo z dnia 22 marca 2016 r. (nr NK 62661/2016) dotyczące zgłoszenia uwag do projektu ustawy o usługach zaufania przekazujemy nasze uwagi do przekazanego projektu. Uwagi do przepisów projektu Ustawy o Usługach Zaufania (UoUZ) Lp. Refer. Uwaga Propozycja i uzasadnienie Zgłaszający 1. Ogóln a Nie jest określone, kto w imieniu Polski realizuję obowiązek wynikający z eidas Artykuł 31 Publikacja listy certyfikowanych kwalifikowanych urządzeń do składania podpisu elektronicznego bez zbędnej zwłoki i nie później niż jeden miesiąc po zakończeniu certyfikacji państwa członkowskie przekazują Komisji informacje Proponujemy wskazać PCA. Drugim rozwiązaniem będzie przekazywanie informacji do NBP i publikacja takiej Listy w ramach jednego portalu związanego z usługami zaufania www.nccert.pl 2. Ogóln a Należy zawsze używać określeń podpis i pieczęć, tylko zgodnie z definicją, czyli elektroniczny podpis, elektroniczna pieczęć. W rozporządzaniu eidas bardzo konsekwentnie wszystkie przymiotniki są powtarzane. Brak np. w Art. 6; art. 19 p.3; art. 47 p.2 Należy w każdym przypadku, w który występuje samodzielnie określenie podpis i pieczęć należy dodać przymiotnik elektroniczny/elektroniczna W rozporządzaniu eidas bardzo konsekwentnie wszystkie określenia są powtarzane w pełnym brzmieniu, Nie powinno budzić nigdy wątpliwości, że chodzi o podpis elektroniczny i pieczęć elektroniczną, a nie np.

własnoręczny podpis lub tradycyjną pieczęć na papierze. 3. Ogoln e Wydaje się za celowe zawarcia w UoUZ (fakultatywnej) delegacji do rozporządzeń wykonawczych regulujących usługi zaufania, które nie są wskazane w eidas (oraz aktach wykonawczych do eidas, w tym w normach), a które w przyszłości mogą być uznane za kwalifikowane na poziomie krajowym. Propozycja zapisu: Minister właściwy ds. cyfryzacji może wydać rozporządzenie regulujące zasady świadczenia usług nie objętych regulacją eidas, ani normami wskazanymi w decyzjach wykonawczych, które na poziomie krajowym mogą być uznane jako kwalifikowane. 4. Ogóln a Należy dodać przepis umożliwający umieszczenia na TSL certyfikatu roota krajowego. Możliwość to wynika bezpośrednio z przywołanej przez decyzję wykonawczą 2015/1505 z dnia 08-09-2015 normy 30 ETSI TS 119 612 V2.1.1 Norma ta daje możliwość wpisania na krajową listę TSL certyfikatu głównego infrastruktury krajowej i określa sposób jej nazwania: Proponujemy dodać w art. 18 UoUZ ustęp 3: 3. Organ nadzoru umieszcza na liście TSL certyfikat pieczęci Krajowego centrum certyfikowanych usług zaufania. Brak umieszczenia certyfikatu krajowego roota będzie skutkowało problemami z weryfikacją kwalifikowanych certyfikatów. When the listed service is a "root" certificate generation service issuing certificates to one or more subordinates certificate generation services and from which a certification path can be established down to a certificate generation service issuing end-entity qualified certificates, this service type shall be further identified by using the "http://uri.etsi.org/trstsvc/tr

ustedlist/svcinfoext/rootca- QC" identifier 5. Ogóln e Należy przewidzieć możliwość dodania na TSL usług niekwalifikowanych usług zaufania świadczonych przez kwalifikowany podmiot wydający kwalifikowane certyfikaty Proponujemy w art. 21 ust. 1 dodać pkt. 3): 3) niekwalifikowanej usługi świadczonej przez kwalifikowany podmiot wydający kwalifikowane certyfikaty podpisu elektronicznego lub pieczęci elektronicznej Jest to istotne szczególnie w pierwszym okresie obowiązywania eidas, gdyż nie wszystkie usługi, które obecnie są kwalifikowane nie będą mogły być kwalifikowane bez uprzedniego przejścia audytu. W pierwszej kolejności dotyczy to znacznika czasu, który jest podstawą konserwacji mocy dowodowej podpisu elektronicznego. eidas - decyzja wykonawcza 2015/1505 z dnia 08-09-2015 przywołuje normę 30 ETSI TS 119 612 V2.1.1, która daje możliwość świadczenia dodatkowych niekwalifikowanych usług zaufania wpierających wydawanie certyfikatów kwalifikowanych, np. 5.5.1.2 Regulation (EU) No 910/2014 non qualified trust service types

(e) URI: http://uri.etsi.org/trstsvc/svctyp e/tsa/tss-qc Description: A time-stamping service, not qualified, as part of a service from a trust service provider issuing qualified certificates that issues timestamp tokens that can be used in the validation process of qualified signatures/seals or advanced signatures/seals supported by qualified certificates to ascertain and extend the signature/seal validity when the qualified certificate is (will be) revoked or expired (will expire). 6. Należy wprowadzić przepis, który w okresie przejściowym utrzyma status daty pewnej znaczników czasu wydanych po uchyleniu UoPE oraz nada taki status niekwalifikowanym znacznikom czasu wydawanym w ramach niekwalifikowanej usługi świadczonej przez kwalifikowany podmiot wydający kwalifikowane certyfikaty. Propozycja brzmienia przepisu: - Kwalifikowane znaczniki czasu wydane przed 1 lipca 2016 r. zachowują status daty pewnej po tej dacie; - w okresie do 1 lipca 2017 r. niekwalifikowane znaczniki czasu wydane przez kwalifikowany podmiot świadczący kwalifikowaną usługę wydawania kwalifikowanych certyfikatów są zrównane pod względem skutków prawnych z kwalifikowanymi znacznikami czasu. Jest duże ryzyko braku usługi wydawania kwalifikowanego znacznika czasu z powodu braku

zakończenia audytów certyfikujących przez kwalifikowane podmioty. W tej sytuacji powstanie luka w świadczeniu usługi kwalifikowanego znacznika czasu wymaganego w wielu procesach administracyjnych, a także dla utrzymania mocy dowodowej podpisu elektronicznego lub pieczęci elektronicznej. Podobny status przewiduje decyzja wykonawcza 2015/1505 z dnia 08-09-2015 przywołując normę 30 ETSI TS 119 612 V2.1.1 Która daje możliwość świadczenia dodatkowych niekwalifikowanych usług zaufania wpierających wydawanie certyfikatów kwalifikowanych, w tym np. URI: http://uri.etsi.org/trstsvc/svctyp e/tsa/tss-qc 7. W związku ze zmieniającymi się algorytmami kryptograficznymi i standardami dot. profili certyfikatów i pieczęci w przypadku wykorzystania konkretnych atrybutów z certyfikatów w systemach administracji publicznej proponujemy dać możliwość uszczegółowienia tych zagadnień w ramach obowiązujących standardów na przykład w KRI (Krajowych Ramach interoperacyjności) Należy dodać odpowiedni przepis do KRI Możliwość taką daje Art.28 i 38 EIDAS Art.28 EIDAS: 2. Kwalifikowane certyfikaty podpisów elektronicznych nie podlegają żadnym obowiązkowym wymogom wykraczającym poza wymogi określone w załączniku I.

3. Kwalifikowane certyfikaty podpisów elektronicznych mogą zawierać nieobowiązkowe dodatkowe szczególne atrybuty. Atrybuty te nie mogą wpływać na interoperacyjność i uznawanie kwalifikowanych podpisów elektronicznych. 8. Art. 2. Pominięto definicje, do których odnoszą się zapisy projektu ustawy. Najlepiej jednym zapisem powołać się na wszystkie definicje zawarte w art. 3 eidas i dodać tylko nowe, czyli 1) i 21) oraz rozszerzoną w stosunku do eidas 3) W obecnym kształcie projekt ustawy nie zawiera wszystkich definicji, np. jest definicja 20) kwalifikowany elektroniczny znacznik czasu oznacza znacznik, o którym mowa w art. 3 pkt 34 eidas ; z kolei brak jest definicji, z art. 3 p. 33) elektroniczny znacznik czasu. A to określenie występuje w projekcie ustawy w art. 61. Brak więc konsekwencji - dla podpisu elektronicznego przytoczony jest cały obszar pojęciowy: podpis elektroniczny, zaawansowany podpis elektroniczny, kwalifikowany podpis elektroniczny, a dla znaczników czasu nie.

9. Art. 3 Traktuje zawężająco uznawalność usług zaufania świadczonych przez podmioty z innych państw UE w Polsce. Ten punkt należy usunąć. Należy uznać wszystkie kwalifikowane usługi zaufania, ale to wynika bezpośrednio z eidas. Obecnie mamy niezgodność z eidas motyw 54. W obecnym brzmieniu artykuł oznacza, że kwalifikowany certyfikat podpisu elektronicznego, kwalifikowany certyfikat pieczęci elektronicznej, kwalifikowany certyfikat uwierzytelniania witryn internetowych lub np. dowody powstałe wyniku działania kwalifikowanej usługi rejestrowanego doręczenia elektronicznego świadczone przez podmioty z UE nie są uznawane w Polsce. 10. Art. 19 W tym artykule i w kilku innych późniejszych należy zmienić zapis wydaje certyfikaty kwalifikowanego dostawcy usług zaufania. Należy zamienić na: wydaje certyfikaty kwalifikowanym dostawcom usług zaufania eidas nie przewiduje się certyfikatu kwalifikowanego dostawcy usług. Może użyć tu sformułowania bardziej odpowiadającego eidas " certyfikaty do świadczenia kwalifikowanych usług zaufania wydawane kwalifikowanemu dostawcy usług". To co eidas nazywa certyfikaty obecnie zwane w UoPE "zaświadczeniami

certyfikacyjnymi" i powinny być zgodne z załącznikami eidas.. 11. Art. 19 UoUZ ust. 2 Proponujemy usunąć przywołania Załącznika IV oraz poprawienie brzmienia tego przepisu. Propozycja zapisu: Krajowe centrum certyfikacji kwalifikowanych usług zaufania jest infrastrukturą organizacyjnotechniczną, która tworzy i wydaje certyfikaty kwalifikowanym dostawcom usług zaufania służące do weryfikacji zaawansowanych podpisów elektronicznych lub zaawansowanych pieczęci elektronicznych, o których mowa w Załączniku I lit. g eidas, Załączniku III lit. g eidas. Dostawca usług zaufania może opatrywać wyniki swoich usług pieczęcią elektroniczną albo podpisem elektronicznym, a więc Krajowe centrum wydawać będzie podmiotom kwalifikowanym tylko certyfikaty do weryfikacji tych podpisów lub pieczęci. Natomiast załącznik IV dotyczy certyfikatów do zabezpieczenia stron www. 12. Art. 35 ust. 1. Ust. 2 Proponujemy zmianę zapisu ust. 1 na: Kwalifikowany dostawca usług zaufania, przechowuje dokumenty i dane związane ze świadczeniem usług zaufania z godnie z polityką świadczenia usług. I wykreślić: z wyłączeniem danych służących do składania

podpisu elektronicznego lub pieczęci elektronicznej. Wykreślony zapis dodać do przepisu w ust. 2 Usługa zaufania może polegać na przechowywaniu danych klienta do składania podpisu elektronicznego lub pieczęci elektronicznej przy zachowaniu odpowiednich wymogów bezpieczeństwa czyniącym zadość art. 26 pkt. c) rozporządzenia eidas. 13. Art.. 36 punkt 1 Obecne brzmienie tego punktu może sugerować naruszenie zasady nadrzędności eidas w stosunku do prawa krajowego w odniesieniu do kwalifikowanego podpisu elektronicznego oraz kwalifikowanej pieczęci elektronicznej. Propozycja zapisu: Podpis elektroniczny lub pieczęć elektroniczna weryfikowane za pomocą certyfikatu wywołują skutki prawne określone w eidas lub odrębnymi przepisami, jeżeli zostaną złożone w okresie ważności tego certyfikatu. Motyw 22 eidas: "W prawie krajowym należy określić skutki prawne usług zaufania, o ile w niniejszym rozporządzeniu nie postanowiono inaczej." Skutek prawny kwalifikowanego podpisu i pieczęci są jednoznacznie określony w eidas (sekcja 4 art. 25 oraz sekcja 5 art. 35)

14. Art. 38. ust. 1 Obecne brzmienie tego przepisu uniemożliwi przejęcie działalności (kontynuowania) działalności w całości lub w części przez inny podmiot kwalifikowany, co uchroniłoby odbiorców usług zaufania przed konsekwencjami braku kontynuacji działalności podmiotu, który utracił status kwalifikowany. Propozycja dodania warunku: W przypadku, gdy kwalifikowany dostawca usług zaufania utracił status kwalifikowanego dostawcy i żaden inny podmiot kwalifikowany nie przejął jego działalności w zakresie usług zaufania, dokumenty i dane. W obecnej wersji nie jest przewidziany np. przypadek utraty statusu kwalifikowanego dostawcy z posiadaniem jednocześnie następcy prawnego. Nie powinno być wówczas wymagane przekazanie danych i dokumentów. Listy TSL wręcz przewidują posiadanie następcy prawnego: ETSI TS 119 612 V2.1.1 (2015-07): 5.5.9.3 TakenOverBy Extension Presence: This field shall be present when a service that was formerly under the legal responsibility of a TSP is taken over by another TSP. 15. Art. 39 ust.3. Brakuje danych związanych z zabezpieczeniem stron www W pkt. 1) należy uzupełnić o "kto w nieprawidłowy sposób przechowuje dane związane z certyfikatem kwalifikowanym zabezpieczenia stron www" 16. Art. 49 p.3 Określenie osoba, która posługuje się certyfikatem jest zbyt szerokie. Certyfikatem posługuje się również strona ufająca, a tu Proponujemy : Tej samej karze podlega osoba, która posługuje się certyfikatem, o którym mowa w ust. 1. składając podpis elektroniczny lub

chodzi o stronę składającą podpis lub pieczęć. pieczęć elektroniczną lub zabezpieczając strony www. 17. art. 4.2 Kompetencje organu nadzoru wyrywkowo zostały przeniesione z eidas-a: Należy dać odwołanie ogólne kompetencje organu nadzoru reguluje art.17 rozporządzenia e- IDAS i uzupełnić o kompetencje na poziome krajowym takie jak: - do kompetencji organu nadzoru należy również udzielanie wiążących interpretacji prawnych w zakresie stosowania przepisów ustawy o usługach zaufania lub udzielania informacji w zakresie wątpliwości w zakresie stosowania eidas - do kompetencji organu nadzoru należy wskazywanie obowiązujących standardów dla TSP (dostawców usług zaufania ) zgodnie z którymi mają dokonywać audytów zgodnościowych. 18. Art.10-14 art. 10 raczej niezgodny z e- IDAS a art. 10 proponowanej ustawy mówi tak: 1. Audyt, o którym mowa w art. 20 ust. 2 eidas, może być wykonywany przy udziale osób upoważnionych przez organu nadzoru, zwanych dalej audytorami. Uporządkować przepisy od 9-14 zgodnie z e-idas. Przepisy w obecnej formie są nieprecyzyjne tworzą nowe byty w zakresie audytów, uprawnień i komptencji w stosunku do tych co określono e-idasem i co funkcjonuje na rynku potwierdzania zgodności. 2. Imienne upoważnienia do Poza tym, jeżeli organ nadzoru chce dodatkowo mieć

przeprowadzenia audytu wydaje organ nadzoru. Powoduje to takiego rodzaju zagrożenie że: z jednej strony upoważniony do przeprowadzenia audytów jest akredytowany audytor, który ma przejść całą ścieżkę akredytacji i spełnić wymagania określone m.in: ETSI EN 319 403 and ISO 17065 oraz wykazać się doświadczeniem w usługach a z drugiej strony organ nadzoru wyznaczy kogoś do przeprowadzenia takiej kontroli jedynie na podstawie upoważnienia? To rodzi możliwość obejścia systemu zgodności. uprawnienia kontrolne to powinno się to wyraźnie zapisać. W obecnym projekcie pomieszana została idea audytów z kontrolą. Pozostaje jednak sobie zadać pytanie czy oprócz audytów potwierdzających zgodność, audytów ad-hoc jest to jeszcze potrzebne? (Większość TSP potwierdza jeszcze zgodność z ISO 9001, 27001 czy WebTrust) Należy pamiętać że, cena uzyskania i utrzymania zgodności to nie tylko cena certyfikacji ale infrastruktury, sprzętu, ludzi, archiwizacji, kosztów ubezpieczenia Przy tej ilości obciążeń oraz planowanych grzywien I kar działalność w tej dziedzinie może przestać być opłacalna. Dodatkowo nie ma zapisu o tym co może stanowić podstawę żądania audytu ad-hoc itp., jak często ( jest odniesienie do uo swobodzie dział. gosp). Pamiętajmy o tym że audyty są przeprowadzane na koszt dostawców usług.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres