• No results found

MPS 7 MOTIVERING TILL OCH TILLÄMPNING AV FÖRESKRIFT 7

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "MPS 7 MOTIVERING TILL OCH TILLÄMPNING AV FÖRESKRIFT 7"

Copied!
12
0
0

Loading.... (view fulltext now)

Download now ( 12 Page )

Full text

(1)

MOTIVERING TILL OCH TILLÄMPNING AV FÖRESKRIFT 7

OM SKYLDIGHET FÖR LEVERANTÖRER AV IDENTIFIERINGSTJÄNSTER OCH

CERTIFIKATUTFÄRDARE SOM

TILLHANDAHÅLLER ALLMÄNHETEN

KVALIFICERADE CERTIFIKAT ATT GÖRA EN ANMÄLAN OM SIN VERKSAMHET TILL KOMMUNIKATIONSVERKET

MPS 7

(2)

INNEHÅLL

INNEHÅLL... 1

1 LAGSTIFTNING ... 2

1.1 RÄTTSGRUND... 2

1.2 GEMENSKAPSLAGSTIFTNINGEN... 2

1.3 ANDRA RELATERADE BESTÄMMELSER... 2

2 SYFTET MED FÖRESKRIFTEN OCH ÄNDRINGSHISTORIA... 2

2.1 SYFTET MED FÖRESKRIFTEN... 2

2.2 CENTRALA ÄNDRINGAR OCH ÄNDRINGSHISTORIA... 3

2.3 DEFINITIONER... 3

3 MOTIVERING TILL ENSKILDA PARAGRAFER OCH ANVISNINGAR FÖR TILLÄMPNING ... 3

3.1 1§TILLÄMPNINGSOMRÅDE... 3

3.2 2§ANMÄLAN OM INLEDANDE AV VERKSAMHET FRÅN LEVERANTÖR AV IDENTIFIERINGSTJÄNSTER... 4

3.2.1 Bedömning av tillförlitlighet i verksamhet som bedrivs av en leverantör av identifieringstjänster ... 4

3.2.2 Bedömning av identifieringsverktygets informationssäkerhet ... 6

3.3 ANMÄLAN OM INLEDANDE AV VERKSAMHET FRÅN CERTIFIKATUTFÄRDARE SOM TILLHANDAHÅLLER ALLMÄNHETEN KVALIFICERADE CERTIFIKAT... 6

3.3.1 Bedömning av tillförlitlighet i certifikatutfärdarens verksamhet... 7

3.3.2 Bedömning av certifikattjänstens informationssäkerhet ... 8

3.4 4§ANMÄLAN OM ÄNDRINGAR I VERKSAMHET... 8

3.5 5§ÅRSRAPPORT... 9

3.6 6§ANMÄLAN OM UPPHÖRANDE ELLER ÖVERFÖRING AV VERKSAMHET... 10

3.7 7§ÖVRIGA ANMÄLNINGAR... 10

4 REFERENSLISTA... 11

(3)

1 LAGSTIFTNING

Syftet med detta kapitel är att ge användaren av föreskriften en helhetsbild av de författningar som utgör grunden för föreskriften. Här uppräknas också andra väsentliga författningar som har samband med ämnet.

1.1 Rättsgrund

Föreskrift 7 B/2009 M baserar sig på 10 § 4 mom., 32 § 1 mom. och 42 § 2 mom. i lagen om stark autentisering och elektroniska signaturer (617/2009) [1]. Lagen trädde i kraft den 1 september 2009 och verkställde för sin del Europaparlamentets och rådets direktiv 1999/93/EG [2].

Enligt lagens 10 § ska en leverantör av identifieringstjänster göra en anmälan till Kommunikationsverket innan verksamheten inleds. Om anmälningsskyldigheten för en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat bestäms i lagens 32 §.

Om skyldighet för leverantörer av identifieringstjänster att anmäla hot och störningar som riktas mot informationssäkerheten bestäms i lagens 16 §. I 42 § bestäms om Kommunikationsverkets behörighet att utfärda tekniska föreskrifter om kraven på tillförlitlighet och informationssäkerhet i tjänsteleverantörernas verksamhet.

Enligt lagens 43 § har Kommunikationsverket rätt att av leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller kvalificerade certifikat få behövlig information.

Kommunikationsverkets uppgift enligt lagens 42 § är att ha tillsyn över att lagen och de bestämmelser som utfärdats på basis av den efterlevs. Bestämmelser som gäller att meddela tekniska föreskrifter finns i lagens 8 § 3 mom., 10 § 4 mom., 32 § 1 mom. och 42 § 2 mom.

Enligt 51 § 1 mom. som gäller lagens övergångsbestämmelser ska leverantörer av identifieringstjänster göra en anmälan som avses i 10 § till Kommunikationsverket inom sex månader från lagens ikraftträdande. Enligt paragrafens 4 mom. behöver en sådan certifikatutfärdare som tillhandahåller kvalificerade certifikat och som har gjort en anmälan enligt 9

§ 1 mom. i lagen om elektroniska signaturer och fortsatt verksamheten utan avbrott till ikraftträdandet av den nya lagen inte göra en ny anmälan enligt 32 § 1 mom.

1.2 Gemenskapslagstiftningen

Europaparlamentets och rådets direktiv 1999/93/EG [2].

Direktivet verkställdes i Finland först genom lagen 14/2003 om elektroniska signaturer. Genom lagen om stark autentisering och elektroniska signaturer ersattes lagen om elektroniska signaturer. I den nya lagen infördes också bestämmelserna om kvalificerade certifikat.

Det finns ingen reglering av identifieringstjänster på EG-nivå vid den tidpunkt då föreskrift 7 B/2009 M träder i kraft.

1.3 Andra relaterade bestämmelser

Kommunikationsverkets föreskrift nr 8 om krav på tillförlitlighet och informationssäkerhet i verksamhet hos leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat.

2 SYFTET MED FÖRESKRIFTEN OCH ÄNDRINGSHISTORIA

Syftet med detta kapitel är att informera användaren om föreskriftens mål och syften. I kapitlet behandlas också de mest avsevärda ändringarna till tidigare skyldigheter och rekommendationer.

2.1 Syftet med föreskriften

Kommunikationsverket har på basis av 10 § 4 mom. och 32 § 1 mom. i lagen om stark autentisering och elektroniska signaturer meddelat föreskrift 7 B/2009 M om skyldighet för

(4)

leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat att göra en anmälan om sin verksamhet till Kommunikationsverket. Krav på innehållet i anmälningarna behandlas närmare i föreskriftens 2–7 §.

2.2 Centrala ändringar och ändringshistoria

Följande ändringar gjordes till den tidigare versionen av föreskriften (föreskrift 7 A):

Till föreskriften fogades nya bestämmelser om skyldigheten för leverantörer av identifieringstjänster att göra en anmälan om sin verksamhet.

En certifikatutfärdares rapporteringsskyldighet lindrades något för delårsrapporter och årsrapporten. Några mindre ändringar gjordes i övriga bestämmelser om skyldigheterna att ge information.

Till föreskriften fogades också en skyldighet för certifikatutfärdare som tillhandahåller kvalificerade certifikat att göra en anmälan till Kommunikationsverket, om den garanterar att ett certifikat som tillhandahålls av en certifikatutfärdare som inte är etablerad i en stat inom Europeiska ekonomiska samarbetsområdet är ett kvalificerat certifikat.

Föreskriftens giltighetstid har ändrats så att den är i kraft tills vidare.

2.3 Definitioner

Termer som används i föreskriften och tillämpningsanvinsningen motsvarar definitionerna i lagen.

Med en tjänsteleverantör avses i föreskriften och i motiveringen till föreskriften både en leverantör av identifieringstjänster och en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat.

3 MOTIVERING TILL ENSKILDA PARAGRAFER OCH ANVISNINGAR FÖR TILLÄMPNING I detta kapitel behandlas motiveringen till enskilda paragrafer samt rekommendationer för tillämpningen av dem.

3.1 1 § Tillämpningsområde

Kommunikationsverkets föreskrift tillämpas på leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat i anslutning till elektroniska signaturer.

Med en leverantör av identifieringstjänster avses en tjänsteleverantör som tillhandahåller tjänster för stark autentisering till tjänsteleverantörer som använder sådana tjänster eller som ger ut identifieringsverktyg till allmänheten eller bådadera. En leverantör av identifieringstjänster kan alltså tillhandahålla utgivning av identifieringsverktyg, annan identifieringstjänst eller bådadera.

Lagen om stark autentisering och föreskriften tillämpas inte på identifiering internt inom en sammanslutning eller om en sammanslutning tillämpar en egen metod för identifiering för att i samband med sina egna tjänster identifiera sina egna kunder. Därför omfattar föreskriftens tillämpningsområde exempelvis identifieringsmetoder endast i den mån en leverantör av identifieringstjänster via identifieringstjänsten tillhandahåller andra tjänsteleverantörer en identifieringsmetod för att dessa andra tjänsteleverantörer kan identifiera sina kunder.

En certifikatutfärdare anses utfärda certifikat till allmänheten om certifikaten utfärdas till en användargrupp som inte har begränsats på förhand. Föreskrifterna gäller inte tillhandahållandet av certifikat som är avsedda för en sluten användargrupp, t.ex. för internt bruk i en företagskoncern.

Föreskriften tillämpas inte heller på frivilliga civilrättsliga avtal med vilka det har överenskommits om att elektronisk signatur används i en viss begränsad deltagargrupp. En öppen användargrupp kan komma i fråga i en situation där den part som förlitar sig på certifikatet inte står i avtalsförhållande till certifikatutfärdaren eller undertecknaren.

(5)

Föreskriften tillämpas inte heller på tillverkning, import eller fösäljning av identifieringsverktyg eller verktyg för elektroniska signaturer. Utgivning av identifieringsverktyg kan urskiljas från deras tillverkning, import och försäljning så att det i regel finns ett avtalsförhållande mellan utgivaren och innehavaren av verktyget. Inom elektroniska signaturer finns en spärrlista som certifikatutfärdaren upprätthåller och som medför att verksamheten betraktas som en tjänst till skillnad från ren tillverkning, import och försäljning av verktyget.

3.2 2 § Anmälan om inledande av verksamhet från leverantör av identifieringstjänster En leverantör av identifieringstjänster som är etablerad i Finland ska, innan verksamheten inleds, göra en göra en anmälan till Kommunikationsverket1 med uppgifter på basis av vilka

Kommunikationsverket kan bedöma huruvida leverantören av identifieringstjänster och den tjänst som tillhandahålls överensstämmer med lagen. Anmälan ska göras skriftligen. En anmälan som sänts i elektroniskt format uppfyller också kravet på skriftlig form så som bestäms särskilt i lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003) [3].

Anmälningsskyldigheten gäller en leverantör av identifieringstjänster som är etablerad i Finland.

Enligt lagen kan anmälan också göras av en sådan sammanslutning av tjänsteleverantörer som administrerar en tjänst som ska betraktas som en enda identifieringstjänst.

Kommunikationsverket undersöker att leverantören av identifieringstjänster och den tjänst som denna tillhandahåller uppfyller lagens förutsättningar innan leverantören införs i ett register som Kommunikationsverket för i enlighet med 12 § i lagen om stark autentisering och elektroniska signaturer. Leverantören av identifieringstjänster kan dock inleda verksamheten strax efter att ha gjort anmälan och innan den införs i registret.

Om anmälan är bristfällig ska Kommunikationsverket uppmana att den som gjort anmälan ska komplettera den. Om tjänsten eller tjänsteleverantören inte uppfyller lagens krav, ska Kommunikationsverket förbjuda tjänsteleverantören att tillhandahålla sina tjänster som stark autentisering. Om bristfälligheten kan anses vara endast ringa, kan Kommunikationsverket uppmana tjänsteleverantören att avhjälpa bristfälligheten inom en utsatt tid.

3.2.1 Bedömning av tillförlitlighet i verksamhet som bedrivs av en leverantör av identifieringstjänster

En leverantör av identifieringstjänster ska till Kommunikationsverket anmäla följande uppgifter för att verksamhetens tillförlitlighet ska kunna bedömas:

Uppgifter om leverantören av identifieringstjänster

Kontaktuppgifter för leverantören av identifieringstjänster ska i tillämpliga delar innehålla följande:

• företagets namn/namnet på leverantören av identifieringstjänster

• FO-nummer

• utdrag ur handelsregistret

• postadress

• besöksadress

• telefonnummer

• faxnummer

• kontaktperson

• e-postadress

• länk till www-sidorna

1 Enligt 50 § 1 mom. som gäller lagens övergångsbestämmelser ska leverantörer av

identifieringstjänster göra en anmälan om att verksamheten inleds till Kommunikationsverket inom sex månader från lagens ikraftträdande.

(6)

Leverantören av identifieringstjänster ska till Kommunikationsverket också ge kontaktuppgifter för en tjänst som avses i 25 § 1 mom. i lagen om stark autentisering och elektroniska signaturer för att innehavaren av ett identifieringsverktyg kan anmäla att identifieringsverktyget ska återkallas eller användning förhindras.

Uppgifter om principer för identifiering

I principer för identifiering anges hur leverantören av identifieringstjänster uppfyller de skyldigheter som avses i lagen. Principerna för identifiering innehåller:

• uppgifter om genomförande av inledande identifiering

• tjänstebeskrivningar av de tjänster som tillhandahålls

• uppgifter om tjänsteleverantörens viktigaste samarbetspartner och

• uppgifter om de kontroller som har utförts av utomstående bedömningsorgan.

Av tjänstebeskrivningen ska framgå om leverantören av identifieringstjänster endast tillhandahåller utgivning av identifieringsverktyg, annan identifieringstjänst eller bådadera.

Tjänstebeskrivningen ska också innehålla uppgift om huruvida elektroniska signaturer kan skapas med leverantörens identifieringsverktyg och hurdana dessa signaturer är.

Av principerna för identifiering ska även framgå hur leverantören av identifieringstjänster har arrangerat möjligheten för innehavare av identifieringsverktyg att enligt 25 § i lagen om stark autentisering och elektroniska signaturer göra en anmälan om att identifieringsverktyget har försvunnit, obehörigt har använts eller obehörigt har kommit i någon annans besittning.

Uppgifter om personalen

Leverantören av identifieringstjänster ska till Kommunikationsverket också lämna väsentliga uppgifter om sin personal, anlitande av personer vid tillhandahållandet av tjänsterna samt övrig information som behövs för att sakkunskap, erfarenhet och kompetens hos tjänsteleverantören kan bedömas. Leverantörer av identifieringstjänster ska till Kommunikationsverket ge en försäkring om att ansvariga personer inom leverantörens organisation är tillförlitliga och uppfyller de krav som ställts på leverantörer av identifieringstjänster i 9 § i lagen om stark autentisering och elektroniska signaturer.

Uppgifter om principer för informationssäkerhet

Uppgifter som en leverantör av identifieringstjänster ska lämna till Kommunikationsverket för bedömning av informationssäkerhet och tillförlitlighet i tjänsteleverantörens verksamhet är till exempel en skriftligen definierad och av ledningen godkänd uppfattning om mål och principer för samt genomförande av informationssäkerhet. Leverantören av identifieringstjänster ska också lämna uppgifter om de standarder som iakttas samt de bedömningar av överensstämmelse med kraven som eventuellt gjorts av ett bedömningsorgan, om dessa uppgifter inte ingår i principerna för identifiering. Med hjälp av dessa uppgifter kan bedömas om leverantören av identifieringstjänster har fäst tillräcklig uppmärksamhet vid informationssäkerheten samt om ansvaret för informationssäkerheten har definierats på tillräcklig nivå.

Uppgifter om registrering av uppgifterna

Till anmälan ska också bifogas en beskrivning av förfaringssätt vid registrering av uppgifter som gäller identifieringshändelser och identifieringsverktyg. Av beskrivningen ska till exempel framgå hur behandling av uppgifter i olika format och säkerställande av tillgång till uppgifterna har beaktats vid alla skeden av uppgifternas livscykel. Om datamaterialsäkerhet bestäms närmare i Kommunikationsverkets föreskrift nr 8.

Övriga väsentliga uppgifter med tanke på tjänsteleverantörens verksamhet och tillförlitlighet

Leverantören av identifieringstjänster ska, i förhållande till verksamheten, ha tillräckliga ekonomiska resurser för att organisera verksamheten och för att täcka ett eventuellt skadeståndsansvar. De tillställda uppgifterna ska bidra till att man kan bilda en rätt och tillräcklig

(7)

bild av de ekonomiska resurserna för leverantören av identifieringstjänster, de ekonomiska riskerna i verksamheten samt principerna för riskhantering.

Tillräckligheten av de ekonomiska resurserna hos leverantören av identifieringstjänster kan till exempel bedömas på basis av föregående års årsberättelse och bokslutsuppgifter samt budget- och verksamhetsplaner. Ett nyetablerat företags ekonomiska resurser kan exempelvis bedömas på basis av resultat- och balansbudget samt verksamhetsplan för den första räkenskapsperioden, och budgetplaner för två följande räkenskapsperioder.

Om allmänna informationssäkerhetskrav bestäms närmare i Kommunikationsverkets föreskrift nr 8.

3.2.2 Bedömning av identifieringsverktygets informationssäkerhet

En leverantör av identifieringstjänster ska till Kommunikationsverket anmäla följande uppgifter för att identifieringsverktygets informationssäkerhet ska kunna bedömas.

Uppgifter om identifieringsverktyget

Leverantören av identifieringstjänster ska till Kommunikationsverket lämna en beskrivning av de nyckellängder och algoritmer som används i identifieringsverktyget samt om andra omständigheter som påverkar identifieringsverktygets tillförlitlighet.

Uppgifter om system

Leverantören av identifieringstjänster ska till Kommunikationsverket lämna uppgifter eller en beskrivning av de för identifieringstjänsten väsentliga system och produkter, inklusive spärrliststjänsten. Denna redogörelse ska innehålla uppgifter om den maskinvara och programvara (inkl. nyckellängder, algoritmer och användningssyften) som använts samt uppgifter om de standarder som iakttagits och de bedömningar om överensstämmelse med kraven som eventuellt gjorts av ett kontrollorgan. På basis av dessa uppgifter är det möjligt att bedöma om leverantören av identifieringstjänster har sett till att informationssäkerheten och tillgängligheten av utrustningen är i överensstämmelse med lagen.

Strukturen i certifikatets datainnehåll

Om identifieringsmetoden baserar sig på ett certifikat, ska leverantören av identifieringstjänsten också underrätta Kommunikationsverket om strukturen i certifikatets datainnehåll. Strukturen i certifikatets datainnehåll ska överensstämma med de i lagen uppställda kraven.

3.3 Anmälan om inledande av verksamhet från certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat

En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska, innan verksamheten inleds2, lämna sådana uppgifter till Kommunikationsverket enligt vilka Kommunikationsverket kan bedöma certifikatutfärdarens förmåga att tillhandahålla kvalificerade certifikat och att certifikattjänsten överensstämmer med lagen. Kommunikationsverket undersöker att certifikatutfärdaren och certifikattjänsten uppfyller lagens förutsättningar innan certifikatutfärdaren införs i ett register som Kommunikationsverket för i enlighet med 32 § 4 mom.

i lagen om stark autentisering och elektroniska signaturer. Certifikatutfärdaren kan dock inleda verksamheten strax efter att ha gjort anmälan och innan den införs i registret.

Kommunikationsverket ska utan dröjsmål förbjuda certifikatutfärdaren att tillhandahålla certifikat som anges vara kvalificerade om certifikatet eller certifikatutfärdaren inte uppfyller de krav som

2 Enligt övergångsbestämmelsen i 51 § 4 mom. i lagen om stark elektronisk autentisering och elektroniska signaturer behöver en sådan certifikatutfärdare som har gjort en anmälan enligt 9 § 1 mom. i lagen om elektroniska signaturer och fortsatt verksamheten utan avbrott till ikraftträdandet av lagen om stark autentisering och elektroniska signaturer inte göra en ny anmälan.

(8)

ställs i lagen. Ett beslut om förbud kan fattas till exempel då Kommunikationsverket på grund av bristfälliga uppgifter inte kan bedöma om certifikatutfärdarens verksamhet eller de utfärdade certifikaten uppfyller kraven på överensstämmelse. Certifikatutfärdaren har dock rätt att före beslutet om förbud komplettera och/eller rätta sina uppgifter enligt Kommunikationsverkets begäran.

3.3.1 Bedömning av tillförlitlighet i certifikatutfärdarens verksamhet

En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska till Kommunikationsverket anmäla följande uppgifter för att verksamhetens tillförlitlighet ska kunna bedömas:

Uppgifter om certifikatutfärdaren

Certifikatutfärdarens kontaktuppgifter ska i tillämpliga delar innehålla följande:

• företagets/certifikatutfärdarens namn

• FO-nummer

• utdrag ur handelsregistret

• postadress

• besöksadress

• telefonnummer

• faxnummer

• kontaktperson

• e-postadress

• länk till www-sidorna

Certifikatutfärdaren ska till Kommunikationsverket också ge kontaktuppgifter för en tjänst som avses i 36 § i lagen om stark autentisering och elektroniska signaturer i syfte att undertecknaren kan begära att det kvalificerade certifikatet ska återkallas.

Uppgifter om tjänster som tillhandahålls

Anmälan ska innehålla uppgifter om tjänster som tillhandahålls i samband med elektroniska signaturer och kvalificerade certifikat. Certifikatutfärdaren ska ge Kommunikationsverket uppgifter om de procedurer enligt vilka certifikatutfärdaren förfar samt uppgifter om genomförandet av procedurerna och uppgifter om tjänster som har samband med de kvalificerade certifikat som tillhandahålls.

Sådana uppgifter är åtminstone certifikatpolicy och certifieringsstandard (CPS) samt information som ges sökanden av ett kvalificerat certifikat vid registreringen och information om användningsvillkor och förutsättningar för kvalificerade certifikat som certifikatutfärdaren har ställt. Med hjälp av certifikatpolicy och certifieringsstandard (CPS) är det möjligt att bedöma om de förfaringssätt som i lagen ställts för en certifikatutfärdare som tillhandahåller kvalificerade certifikat genomförs i certifikatutfärdarens verksamhet.

Uppgifter om personalen

Certifikatutfärdaren ska redogöra för sin personal och personalens kompetens och befattningsbeskrivningar. Befattningsbeskrivningarna kan visas till exempel med en beskrivning av organisation och med allmänna kompetenskrav för olika befattningsklasser (till exempel huvudman för systemet, den som utfärdar certifikatet). Certifikatutfärdaren ska också tillställa uppgifter om hur de aktiviteter som hänför sig till certifikattjänsten t.ex. mellan underleverantörer har uppdelats samt ovan nämnda uppgifter om personalen som underleverantören anlitar vid utförandet av certifikatutfärdarens uppgifter. Certifikatutfärdaren kan externalisera t.ex. följande aktiviteter:

• registrering

• skapande av kvalificerade certifikat

• distribution av kvalificerade certifikat

• administration av begäran om spärr

(9)

• spärrliststjänst.

Uppgifter om principer för informationssäkerhet

Med hjälp av informationssäkerhetspolicy och –principer kan bedömas om certifikatutfärdaren har fäst tillräcklig uppmärksamhet vid informationssäkerheten samt om ansvaret för informationssäkerheten har definierats på tillräcklig nivå.

Övriga väsentliga uppgifter

Certifikatutfärdaren ska, i förhållande till verksamheten, ha tillräckliga ekonomiska resurser för att organisera verksamheten och för att täcka ett eventuellt skadeståndsansvar. De tillställda uppgifterna ska bidra till att man kan bilda en rätt och tillräcklig bild av de ekonomiska resurserna för certifikatutfärdaren, de ekonomiska riskerna i verksamheten samt principerna för riskhantering.

Tillräckligheten av certifikatutfärdarens ekonomiska resurser kan till exempel bedömas på basis av föregående års årsberättelse och bokslutsuppgifter samt budget- och verksamhetsplaner. Ett nyetablerat företags ekonomiska resurser kan exempelvis bedömas på basis av resultat- och balansbudget samt verksamhetsplan för den första räkenskapsperioden, och budgetplaner för två följande räkenskapsperioder.

3.3.2 Bedömning av certifikattjänstens informationssäkerhet

En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska till Kommunikationsverket anmäla följande uppgifter för att certifikattjänstens informationssäkerhet ska kunna bedömas:

Uppgifter om system

Certifikatutfärdaren ska till Kommunikationsverket lämna uppgifter om eller en beskrivning av de system och produkter som är väsentliga när kvalificerade certifikat tillhandahålls. Denna redogörelse ska innehålla uppgifter om den maskinvara och programvara (inkl. nyckellängder och algoritmer) som använts samt uppgifter om de standarder som iakttagits och de bedömningar om överensstämmelse med kraven som eventuellt gjorts av ett bedömningsorgan. Med hjälp av uppgifterna kan bedömas om certifikatutfärdarens system är tillförlitliga så som bestäms i lagen.

Standarder och tekniska specifikationer som hänför sig till elektroniska signaturer och kvalificerade certifikat samt certifikatutfärdarens verksamhet har till exempel utarbetats av CEN/ISSS, ETSI och IETF. Dessa dokument omfattar till exempel datainnehållet i ett kvalificerat certifikat, certifikatpolicy för en certifikatutfärdare som tillhandahåller kvalificerade certifikat, säkra anordningar för signaturframställning och certifikatutfärdarens tillförlitliga system.

3.4 4 § Anmälan om ändringar i verksamhet

En leverantör av identifieringstjänster och en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska på eget initiativ underrätta Kommunikationsverket om väsentliga ändringar i verksamheten och i de uppgifter som lämnats på basis av 2–3 §.

Kommunikationsverkets offentliga register över certifikatutfärdare

Leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska alltid underrätta Kommunikationsverket, om de uppgifter som finns i Kommunikationsverkets offentliga register förändras. Dessa ändringar ska meddelas en månad innan ändringen träder i kraft.

Uppgifter som införs i det offentliga registret som Kommunikationsverket för över leverantörer av identifieringstjänster är åtminstone:

• namnet på leverantören av identifieringstjänster

(10)

• kontaktuppgifter för leverantören av identifieringstjänster (namn, postadress, www-adress, telefonnummer)

• tjänster som tillhandahålls

upphörande av verksamheten hos leverantören av identifieringstjänster

• kontaktuppgifter för en tjänst där innehavaren av ett identifieringsverktyg kan anmäla att identifieringsverktyget ska återkallas eller användning förhindras

Uppgifter som införs i det offentliga registret som Kommunikationsverket för över

certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat är åtminstone:

• namnet på de kvalificerade certifikaten

• certifikatutfärdarens kontaktuppgifter (namn, postadress, www-adress, telefonnummer)

• certifikatpolicy som använts vid utfärdandet av de kvalificerade certifikaten (objektidentifierare, OID)

• upphörande av certifikatutfärdarens verksamhet

• kontaktuppgifter för en tjänst där undertecknaren kan begära att det kvalificerade certifikatet ska återkallas.

Ändringar som hänför sig till tjänstens informationssäkerhet

En leverantör av identifieringstjänster och en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat måste underrätta Kommunikationsverket om ändringar som hänför sig till informationssäkerheten och tillförlitligheten i identifierings- eller certifikatverksamheten.

Sådana ändringar som en tjänsteleverantör måste anmäla är till exempel:

• ändringar i spärrliststjänster och i system som använts för att skapa certifikat:

o viktiga uppdateringar i maskinvara o versionuppdateringar av programvara o utbyte av programvara.

Ändringar i tjänsteleverantörens tillförlitlighet

En leverantör av identifieringstjänster och en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat måste underrätta Kommunikationsverket om väsentliga ändringar som gäller tjänsteleverantörens personal, de personer som den anlitar och allmän tillförlitlighet. Sådana kan vara:

• externalisering av funktioner

• överföring av externaliserade funktioner till annan aktör

• ändringar i personalen, särskilt nyckelpersoner

• flyttning av aktiviteter till nya lokaler.

Leverantören av identifieringstjänster och certifikatutfärdaren som tillhandahåller allmänheten kvalificerade certifikat måste också tillställa Kommunikationsverket alla redogörelser av vilka framgår väsentlig försvagning av tjänsteleverantörens ekonomiska läge eller betydande ökning av de ekonomiska riskerna. Dessa redogörelser ska lämnas till Kommunikationsverket omedelbart efter att de har blivit färdiga. Faktorer som bidrar till att den ekonomiska ställningen väsentligt försvagar eller att de ekonomiska riskerna betydligt ökar är till exempel:

• försättning av tjänsteleverantören i likvidation

• stora kreditförluster

• konkurs av ett moderbolag

tjänsteleverantörens skuldomläggning, skuldsanering, likvidation eller konkurs

betydande ökning i kostnader för täckandet av ansvaret (t.ex. försäkring).

3.5 5 § Årsrapport

(11)

En leverantör av identifieringstjänster och en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska till Kommunikationsverket lämna en årlig rapport om omfattningen av tjänsteleverantörens verksamhet inom lagens tillämpningsområde. Årsrapporten ska sändas inom två månader från kalenderårets slut.

Leverantören av identifieringstjänster ska till Kommunikationsverket lämna uppgift om antalet identifieringsverktyg som har getts ut och identifieringshändelser. Certifikatutfärdaren som

tillhandahåller allmänheten kvalificerade certifikat ska till Kommunikationsverket lämna uppgift om antalet kvalificerade certifikat som har utfärdats och återkallats under året samt som är giltiga vid slutet av året. Om möjligt, ska årsrapporten också innebära årsberättelsen för identifierings- eller certifikatverksamheten och det fastställda bokslutet.

Tjänsteleverantörerna ska också tillställa Kommunikationsverket statistik över upptäckta

problemsituationer och övriga väsentliga uppgifter för verksamheten, t.ex. antalet kundklagomål (klagomål om räkningar och fel eller störningar i tjänsten gärna skilt för sig).

3.6 6 § Anmälan om upphörande eller överföring av verksamhet

För tillsynen är det viktigt att Kommunikationsverket så tidigt som möjligt får besked om att en leverantör av identifieringstjänster eller en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat upphör med sin verksamhet eller att verksamheten eventuellt överförs till en annan tjänsteleverantör. Skyldighet att anmäla om ändringar i verksamheten är det primära sättet att förutse ett möjligt upphörande. Förutom ändringsanmälan ska tjänsteleverantören dock särskilt underrätta Kommunikationsverket om att tillhandahållandet av identifieringstjänsterna eller de kvalificerade certifikaten upphör eller att verksamheten överförs till en annan tjänsteleverantör t.ex. vid överlåtelse av affärsverksamhet.

Anmälan från en leverantör av identifieringstjänster ska innehålla uppgift om hur tjänsteleverantören har informerat eller kommer att informera innehavare av identifieringsverktyg, tjänsteleverantörer som använder identifieringstjänster samt övriga samarbetsparter i anslutning till identifieringstjänsterna om upphörandet eller överföringen av verksamheten.

I certifikatutfärdarens anmälan om upphörande ska finnas uppgift om hur certifikatutfärdaren har informerat eller kommer att informera de personer som den anlitat, undertecknare och övriga samarbetsparter i anslutning till certifikatverksamheten om upphörandet eller överföringen av verksamheten.

3.7 7 § Övriga anmälningar

En leverantör av identifieringstjänster och en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska utan onödigt dröjsmål underrätta Kommunikationsverket om betydande hot eller störningar som riktas mot tjänsternas informationssäkerhet samt om de åtgärder som vidtagits för att avhjälpa dem.

Med informationssäkerhet avses i denna föreskrift administrativa och tekniska åtgärder genom vilka säkerställs att uppgifter är tillgängliga endast för dem som har rätt att använda dem, att uppgifterna inte kan ändras av andra än dem som har rätt till detta och att uppgifterna och datasystemen kan utnyttjas av dem som har rätt att använda dem. Eftersom tillgänglighet är en del av tjänstens informationssäkerhet, måste tjänsteleverantören underrätta

Kommunikationsverket om fel och störningar som riktas mot tjänstens tillgänglighet.

Tjänsteleverantören ska underrätta Kommunikationsverket bl.a. om följande saker:

• störningar i funktion av spärrlistor

• intrång i tjänsteleverantörens system

• avslöjande av certifikatutfärdarens signaturnyckel för de kvalificerade certifikaten

• allvarliga missbruk vid användningen av identifierings- och signaturverktyg

• allvarliga interna missbruk.

(12)

I anmälan bör så noggrant som möjligt beskrivas bl.a. följande faktorer:

• tidpunkt för händelsen

• hur händelsen upptäcktes och vem som upptäckte den

• orsaker som ledde till händelsen

• händelsens omfattning och verkningar

• planerade/utförda åtgärder för avhjälpande samt tidtabell för reparation

• kontaktuppgifter för den ansvariga personen.

Om alla behövliga uppgifter inte genast finns tillgängliga kan de sändas till Kommunikationsverket också i efterhand. Viktigast är att händelsen kommer till Kommunikationsverkets kännedom utan dröjsmål.

En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska göra anmälningar till Kommunikationsverket, om certifikatutfärdaren garanterar att ett certifikat som tillhandahålls av en certifikatutfärdare som inte är etablerad i en stat inom Europeiska ekonomiska

samarbetsområdet är ett kvalificerat certifikat i enlighet med 31 § 1 mom. 3 punkten i lagen. I anmälan måste finnas namn och kontaktuppgifter för denna certifikatutfärdare som inte är etablerad inom EES samt uppgift om vilka certifikat från en sådan certifikatutfärdare som en certifikatutfärdare som är etablerad i Finland garanterar som kvalificerade certifikat.

4 REFERENSLISTA

[1] Lag om stark autentisering och elektroniska signaturer (617/2009), ursprunglig lagtext:

http://www.finlex.fi/fi/laki/alkup/2009/20090617 http://www.finlex.fi/sv/laki/alkup/2009/20090617

[2] Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31999L0093:FI:NOT http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31999L0093:SV:NOT

[3] Lag om elektronisk kommunikation i myndigheternas verksamhet (13/2003), uppdaterad version:

http://www.finlex.fi/fi/laki/ajantasa/2003/20030013 http://www.finlex.fi/sv/laki/ajantasa/2003/20030013 [4] ETSI TS 101.862 Qualified Certificate Profile http://pda.etsi.org/pda/queryform.asp

[5] RFC 3039 Internet X.509 Public Key Infrastructure Qualified Certificates Profile http://www.ietf.org/rfc/rfc3039.txt

[6] Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile http://www.ietf.org/rfc/rfc3280.txt

References

Download now ( PDF - 12 Page - 122.37 KB )

Outline

D EFINITIONER A NMÄLAN OM INLEDANDE AV VERKSAMHET FRÅN CERTIFIKATUTFÄRDARE SOM TILLHANDAHÅLLER ALLMÄNHETEN

Related documents

I mötet med en till en: En studie om lärares inställning till samt användning av datorer under uppstartsåret av ett en-till-en projekt

48 Dock betonade Tallvid att datorn innebar en ökad motivation hos eleverna något som återspeglats i deras akademiska prestationer i skolan, även hos elever som tidigare

Lärares användning och integrering av IT i undervisningen: En studie med sex verksamma lärare i grundskolans tidigare år

Med hjälp av tekniken kunde de individanpassa inlärningen för eleverna, vilket de gjorde när de letade material på Internet som de senare skulle använda i undervisningen och det kan

Remiss av förslag till föreskrift om skyldighet att ge konsumenter miljöinformation om drivmedel

Det är heller inte ovanligt att elen ingår i priset för en hyrd parkeringsplats, där kunden betalar mer per månad än för en parkeringsplats utan laddmöjlighet.. Syftet med att ta

Fortes underlag till regeringens forskningspolitik

Avslutningsvis presenterar vi i avsnitt 6 förslag på satsningar som Forte bedömer vara särskilt angelägna för att svensk forskning effektivt ska kunna bidra till omställningen till

Rymdstyrelsens förslag till regeringens forskningspolitik ... 2

I dag medför Rymdstyrelsens begränsade möjligheter att delta i Copernicus och ESA:s övriga jordobservationsprogram och Rymdsäkerhetsprogrammet att Sverige och svenska aktörer

Forskning för framtiden

största vikt för både innovation och tillväxt, samt nationell och global hållbar utveckling, där riktade forskningsanslag skulle kunna leda till etablerandet av

Systeminnovation för en hållbar framtid

Processer för att formulera sådana mål är av stor betydelse för att engagera och mobilisera olika aktörer mot gemensamma mål, vilket har stor potential att stärka

Forskning & innovation för framtiden

Forskning och innovation är avgörande för att uppmärksamma och förstå stora förändringar, liksom för att hitta lösningar för att kunna ställa om till en hållbar utveckling