MPS 7 MOTIVERING TILL OCH TILLÄMPNING AV FÖRESKRIFT 7

Relevanta dokument
Lag. RIKSDAGENS SVAR 90/2009 rd

Kommunikationsverkets 1 anvisningar om bedömning av överensstämmelsen hos en identifieringstjänst 2019

ANVÄNDARVILLKOR FÖR SKATTEFÖRVALTNINGENS OCH INKOMSTREGISTRETS GRÄNSSNITTSTJÄNSTER

Lag. om ändring av lagen om stark autentisering och elektroniska signaturer

Föreskrift 1/2010 1/(8)

CERTIFIKATBESKRIVNING

Policy Underskriftstjänst Svensk e-legitimation

Svensk författningssamling

Certifikatbeskrivning. för Befolkningsregistercentralens servicecertifikat

Innehållsförteckning

Svensk författningssamling

Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: Mottagare:

EU:s allmänna dataskyddsförordning

MPS 8 MOTIVERING TILL OCH TILLÄMPNING AV FÖRESKRIFT 8

Motivering till och tillämpning av föreskrift 69/2014 M

REGISTRERINGSANVISNING

Sammanfattning av informationssamhällsbalkens (917/2014) paragrafer om domännamn

1 Bakgrund till ställningstagandet/promemorian. 1.2 Frågor om tillämpning av PSD2 och autentiseringslagen. 1.1 Betaltjänstdirektivet (PSD2)

Lag om domännamn. Given i Helsingfors den 13 mars I enlighet med riksdagens beslut föreskrivs: Allmänna bestämmelser.

Lag om ändring av lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster

Svensk författningssamling

Sekretesspolicy för marknadsföringsregister

SAMMANFATTNING AV DOMÄNNAMNSPARAGRAFERNA I LAGEN OM TJÄNSTER INOM ELEKTRONISK KOMMUNIKATION (917/2014)

Svensk författningssamling

EU:s allmänna dataskyddsförordning

Kommunikationsverket 1C/2003 M. Föreskrift OM SÄKERSTÄLLANDET AV RADIOANLÄGGNINGARS ÖVERENSSTÄMMELSE MED VÄSENTLIGA KRAV OCH OM MÄRKNINGEN AV DEM

DATASKYDDSBESKRIVNING

Föreskrift om kreditinstitutens utländska filialer och tillhandahållande av tjänster i utlandet

REDOGÖRELSE FÖR SKYDDET AV UPPGIFTER

Riktlinjer. Om underrättelse av gränsöverskridande verksamhet för kreditförmedlare enligt bolånedirektivet. EBA/GL/2015/

Svensk författningssamling

Motivering till och tillämpning av föreskrift 55. Om teleföretagets kostnadsberäkningssystem och om beskrivningen av systemet

(Text av betydelse för EES)

Lag. om ändring av värdepappersmarknadslagen

Utdrag ur protokoll vid sammanträde

Svensk författningssamling

Import och exportföreskrifter/kemiska produkter m.m. 1. Förordning (2014:425) om bekämpningsmedel Uppdaterad:

Personuppgiftsbiträdesavtal

Lag. om ändring av lagen om hemkommun

Sekretesspolicy för privatkunder

Europeiska unionens officiella tidning. (Icke-lagstiftningsakter) FÖRORDNINGAR

REGISTRERINGS- ANVISNING 1 (10) Befolkningsregistercentralen Digitala tjänster. Registreringsanvisning

PERSONUPPGIFTSBITRÄDESAVTAL

Lag om medling i tvistemål och stadfästelse av förlikning i allmänna domstolar /394

Tillägg om Zervants behandling av personuppgifter

Standard RA1.6. Anmälan om utläggning av verksamhet. Föreskrifter och allmänna råd

Svensk författningssamling

FINLANDS FÖRFATTNINGSSAMLING

EU:s allmänna dataskyddsförordning

Lag. om ändring av lagen om företagssanering

Datasekretessbeskrivning Informationshanteringstjänsten

RIKSDAGENS SVAR 95/2004 rd

Svensk författningssamling

om elektronisk kommunikation i fårvaltningsärenden

Blankett fastställd av social- och hälsovårdsministeriet 1 (7) 13 (beslut om vård av patient som tagits in av egen vilja)

Föreskrift om televerksamhetens informationssäkerhet

Föreskrifter och anvisningar 14/2013

Version

Föreskrift om säkerställandet av radioanläggningars överensstämmelse med väsentliga krav och om märkningen

9.2 Utkast till lag. Ny dammsäkerhetslag. 1 kap. Allmänna bestämmelser

JUHTA Delegationen för informationsförvaltningen inom den offentliga förvaltningen

för klagomålsförfaranden vid påstådda överträdelser av betaltjänstdirektiv 2

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

RP 237/2014 rd. ska ändras. möjligt.

Svensk författningssamling

Svensk författningssamling

Allmänna villkor för medgivande till direktåtkomst eller direktanmälan

Svensk författningssamling

Svensk författningssamling

Certifikat för flygledarelever och flygledare

Riktlinjer för försäkringsföretags hantering av klagomål

Finansinspektionens författningssamling

BILAGA OM BEHANDLINGEN AV PERSONUPPGIFTER

Lag om bedömning av miljökonsekvenserna av myndigheters planer och program

Föreskrift 2/2010 1/(7)

Svensk författningssamling

Styrelsens för ackreditering och teknisk kontroll (Swedac) föreskrifter och allmänna råd (STAFS 2011:5) om anmälda organ

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Avtal om anslutning till och användning av Kanta-tjänsterna

FÖRSLAG TILL YTTRANDE

MOTIVERING TILL OCH TILLÄMPNING AV FÖRESKRIFT 53 A/2011 M FÖRESKRIFT OM SKYLDIGHET ATT LAGRA IDENTIFIERINGSUPPGIFTER MPS 53

Riktlinjer Samarbete mellan myndigheter enligt artiklarna 17 och 23 i förordning (EU) nr 909/2014

PERSONUPPGIFTSBITRÄDESAVTAL

Användningsvillkor Datalagret för egna uppgifter på mina Kanta-sidor

Svensk författningssamling

Regeringskansliets rättsdatabaser

17A. Ändrings- / nedläggningsanmälan Bilaga till blankett Y4 (enligt den nya stiftelselagen (487/2015)) Stiftelse

Svensk författningssamling

PERSONUPPGIFTSBITRÄDESAVTAL. ("Personuppgiftsbiträdesavtalet")

Förordning om offentlighet och god informationshantering i myndigheternas verksamhet /1030

Intressentgruppstestning av inkomstregistret

(Text av betydelse för EES)

Förhållandet mellan direktiv 98/34/EG och förordningen om ömsesidigt erkännande

Konsekvensutredning avseende Energimyndighetens föreskrifter för registret för utsläppsrätter

Föreskrifter och anvisningar 6/2016

Myndigheten för samhällsskydd och beredskaps författningssamling

L A N D S K A P S L A G om ändring av tobakslagen för landskapet Åland

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

PERSONUPPGIFTSBITRÄDESAVTAL

Utdrag ur protokoll vid sammanträde Nya regler för elektroniska pengar

Transkript:

1.9.2009 MOTIVERING TILL OCH TILLÄMPNING AV FÖRESKRIFT 7 OM SKYLDIGHET FÖR LEVERANTÖRER AV IDENTIFIERINGSTJÄNSTER OCH CERTIFIKATUTFÄRDARE SOM TILLHANDAHÅLLER ALLMÄNHETEN KVALIFICERADE CERTIFIKAT ATT GÖRA EN ANMÄLAN OM SIN VERKSAMHET TILL KOMMUNIKATIONSVERKET MPS 7

Kommunikationsverket MPS 7 1 (11) INNEHÅLL INNEHÅLL... 1 1 LAGSTIFTNING... 2 1.1 RÄTTSGRUND... 2 1.2 GEMENSKAPSLAGSTIFTNINGEN... 2 1.3 ANDRA RELATERADE BESTÄMMELSER... 2 2 SYFTET MED FÖRESKRIFTEN OCH ÄNDRINGSHISTORIA... 2 2.1 SYFTET MED FÖRESKRIFTEN... 2 2.2 CENTRALA ÄNDRINGAR OCH ÄNDRINGSHISTORIA... 3 2.3 DEFINITIONER... 3 3 MOTIVERING TILL ENSKILDA PARAGRAFER OCH ANVISNINGAR FÖR TILLÄMPNING... 3 3.1 1 TILLÄMPNINGSOMRÅDE... 3 3.2 2 ANMÄLAN OM INLEDANDE AV VERKSAMHET FRÅN LEVERANTÖR AV IDENTIFIERINGSTJÄNSTER... 4 3.2.1 Bedömning av tillförlitlighet i verksamhet som bedrivs av en leverantör av identifieringstjänster... 4 3.2.2 Bedömning av identifieringsverktygets informationssäkerhet... 6 3.3 ANMÄLAN OM INLEDANDE AV VERKSAMHET FRÅN CERTIFIKATUTFÄRDARE SOM TILLHANDAHÅLLER ALLMÄNHETEN KVALIFICERADE CERTIFIKAT... 6 3.3.1 Bedömning av tillförlitlighet i certifikatutfärdarens verksamhet... 7 3.3.2 Bedömning av certifikattjänstens informationssäkerhet... 8 3.4 4 ANMÄLAN OM ÄNDRINGAR I VERKSAMHET... 8 3.5 5 ÅRSRAPPORT... 9 3.6 6 ANMÄLAN OM UPPHÖRANDE ELLER ÖVERFÖRING AV VERKSAMHET... 10 3.7 7 ÖVRIGA ANMÄLNINGAR... 10 4 REFERENSLISTA... 11

Kommunikationsverket MPS 7 2 (11) 1 LAGSTIFTNING Syftet med detta kapitel är att ge användaren av föreskriften en helhetsbild av de författningar som utgör grunden för föreskriften. Här uppräknas också andra väsentliga författningar som har samband med ämnet. 1.1 Rättsgrund Föreskrift 7 B/2009 M baserar sig på 10 4 mom., 32 1 mom. och 42 2 mom. i lagen om stark autentisering och elektroniska signaturer (617/2009) [1]. Lagen trädde i kraft den 1 september 2009 och verkställde för sin del Europaparlamentets och rådets direktiv 1999/93/EG [2]. Enligt lagens 10 ska en leverantör av identifieringstjänster göra en anmälan till Kommunikationsverket innan verksamheten inleds. Om anmälningsskyldigheten för en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat bestäms i lagens 32. Om skyldighet för leverantörer av identifieringstjänster att anmäla hot och störningar som riktas mot informationssäkerheten bestäms i lagens 16. I 42 bestäms om Kommunikationsverkets behörighet att utfärda tekniska föreskrifter om kraven på tillförlitlighet och informationssäkerhet i tjänsteleverantörernas verksamhet. Enligt lagens 43 har Kommunikationsverket rätt att av leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller kvalificerade certifikat få behövlig information. Kommunikationsverkets uppgift enligt lagens 42 är att ha tillsyn över att lagen och de bestämmelser som utfärdats på basis av den efterlevs. Bestämmelser som gäller att meddela tekniska föreskrifter finns i lagens 8 3 mom., 10 4 mom., 32 1 mom. och 42 2 mom. Enligt 51 1 mom. som gäller lagens övergångsbestämmelser ska leverantörer av identifieringstjänster göra en anmälan som avses i 10 till Kommunikationsverket inom sex månader från lagens ikraftträdande. Enligt paragrafens 4 mom. behöver en sådan certifikatutfärdare som tillhandahåller kvalificerade certifikat och som har gjort en anmälan enligt 9 1 mom. i lagen om elektroniska signaturer och fortsatt verksamheten utan avbrott till ikraftträdandet av den nya lagen inte göra en ny anmälan enligt 32 1 mom. 1.2 Gemenskapslagstiftningen Europaparlamentets och rådets direktiv 1999/93/EG [2]. Direktivet verkställdes i Finland först genom lagen 14/2003 om elektroniska signaturer. Genom lagen om stark autentisering och elektroniska signaturer ersattes lagen om elektroniska signaturer. I den nya lagen infördes också bestämmelserna om kvalificerade certifikat. Det finns ingen reglering av identifieringstjänster på EG-nivå vid den tidpunkt då föreskrift 7 B/2009 M träder i kraft. 1.3 Andra relaterade bestämmelser Kommunikationsverkets föreskrift nr 8 om krav på tillförlitlighet och informationssäkerhet i verksamhet hos leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat. 2 SYFTET MED FÖRESKRIFTEN OCH ÄNDRINGSHISTORIA Syftet med detta kapitel är att informera användaren om föreskriftens mål och syften. I kapitlet behandlas också de mest avsevärda ändringarna till tidigare skyldigheter och rekommendationer. 2.1 Syftet med föreskriften Kommunikationsverket har på basis av 10 4 mom. och 32 1 mom. i lagen om stark autentisering och elektroniska signaturer meddelat föreskrift 7 B/2009 M om skyldighet för

Kommunikationsverket MPS 7 3 (11) leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat att göra en anmälan om sin verksamhet till Kommunikationsverket. Krav på innehållet i anmälningarna behandlas närmare i föreskriftens 2 7. 2.2 Centrala ändringar och ändringshistoria Följande ändringar gjordes till den tidigare versionen av föreskriften (föreskrift 7 A): Till föreskriften fogades nya bestämmelser om skyldigheten för leverantörer av identifieringstjänster att göra en anmälan om sin verksamhet. En certifikatutfärdares rapporteringsskyldighet lindrades något för delårsrapporter och årsrapporten. Några mindre ändringar gjordes i övriga bestämmelser om skyldigheterna att ge information. Till föreskriften fogades också en skyldighet för certifikatutfärdare som tillhandahåller kvalificerade certifikat att göra en anmälan till Kommunikationsverket, om den garanterar att ett certifikat som tillhandahålls av en certifikatutfärdare som inte är etablerad i en stat inom Europeiska ekonomiska samarbetsområdet är ett kvalificerat certifikat. Föreskriftens giltighetstid har ändrats så att den är i kraft tills vidare. 2.3 Definitioner Termer som används i föreskriften och tillämpningsanvinsningen motsvarar definitionerna i lagen. Med en tjänsteleverantör avses i föreskriften och i motiveringen till föreskriften både en leverantör av identifieringstjänster och en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat. 3 MOTIVERING TILL ENSKILDA PARAGRAFER OCH ANVISNINGAR FÖR TILLÄMPNING I detta kapitel behandlas motiveringen till enskilda paragrafer samt rekommendationer för tillämpningen av dem. 3.1 1 Tillämpningsområde Kommunikationsverkets föreskrift tillämpas på leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat i anslutning till elektroniska signaturer. Med en leverantör av identifieringstjänster avses en tjänsteleverantör som tillhandahåller tjänster för stark autentisering till tjänsteleverantörer som använder sådana tjänster eller som ger ut identifieringsverktyg till allmänheten eller bådadera. En leverantör av identifieringstjänster kan alltså tillhandahålla utgivning av identifieringsverktyg, annan identifieringstjänst eller bådadera. Lagen om stark autentisering och föreskriften tillämpas inte på identifiering internt inom en sammanslutning eller om en sammanslutning tillämpar en egen metod för identifiering för att i samband med sina egna tjänster identifiera sina egna kunder. Därför omfattar föreskriftens tillämpningsområde exempelvis identifieringsmetoder endast i den mån en leverantör av identifieringstjänster via identifieringstjänsten tillhandahåller andra tjänsteleverantörer en identifieringsmetod för att dessa andra tjänsteleverantörer kan identifiera sina kunder. En certifikatutfärdare anses utfärda certifikat till allmänheten om certifikaten utfärdas till en användargrupp som inte har begränsats på förhand. Föreskrifterna gäller inte tillhandahållandet av certifikat som är avsedda för en sluten användargrupp, t.ex. för internt bruk i en företagskoncern. Föreskriften tillämpas inte heller på frivilliga civilrättsliga avtal med vilka det har överenskommits om att elektronisk signatur används i en viss begränsad deltagargrupp. En öppen användargrupp kan komma i fråga i en situation där den part som förlitar sig på certifikatet inte står i avtalsförhållande till certifikatutfärdaren eller undertecknaren.

Kommunikationsverket MPS 7 4 (11) Föreskriften tillämpas inte heller på tillverkning, import eller fösäljning av identifieringsverktyg eller verktyg för elektroniska signaturer. Utgivning av identifieringsverktyg kan urskiljas från deras tillverkning, import och försäljning så att det i regel finns ett avtalsförhållande mellan utgivaren och innehavaren av verktyget. Inom elektroniska signaturer finns en spärrlista som certifikatutfärdaren upprätthåller och som medför att verksamheten betraktas som en tjänst till skillnad från ren tillverkning, import och försäljning av verktyget. 3.2 2 Anmälan om inledande av verksamhet från leverantör av identifieringstjänster En leverantör av identifieringstjänster som är etablerad i Finland ska, innan verksamheten inleds, göra en göra en anmälan till Kommunikationsverket 1 med uppgifter på basis av vilka Kommunikationsverket kan bedöma huruvida leverantören av identifieringstjänster och den tjänst som tillhandahålls överensstämmer med lagen. Anmälan ska göras skriftligen. En anmälan som sänts i elektroniskt format uppfyller också kravet på skriftlig form så som bestäms särskilt i lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003) [3]. Anmälningsskyldigheten gäller en leverantör av identifieringstjänster som är etablerad i Finland. Enligt lagen kan anmälan också göras av en sådan sammanslutning av tjänsteleverantörer som administrerar en tjänst som ska betraktas som en enda identifieringstjänst. Kommunikationsverket undersöker att leverantören av identifieringstjänster och den tjänst som denna tillhandahåller uppfyller lagens förutsättningar innan leverantören införs i ett register som Kommunikationsverket för i enlighet med 12 i lagen om stark autentisering och elektroniska signaturer. Leverantören av identifieringstjänster kan dock inleda verksamheten strax efter att ha gjort anmälan och innan den införs i registret. Om anmälan är bristfällig ska Kommunikationsverket uppmana att den som gjort anmälan ska komplettera den. Om tjänsten eller tjänsteleverantören inte uppfyller lagens krav, ska Kommunikationsverket förbjuda tjänsteleverantören att tillhandahålla sina tjänster som stark autentisering. Om bristfälligheten kan anses vara endast ringa, kan Kommunikationsverket uppmana tjänsteleverantören att avhjälpa bristfälligheten inom en utsatt tid. 3.2.1 Bedömning av tillförlitlighet i verksamhet som bedrivs av en leverantör av identifieringstjänster En leverantör av identifieringstjänster ska till Kommunikationsverket anmäla följande uppgifter för att verksamhetens tillförlitlighet ska kunna bedömas: Uppgifter om leverantören av identifieringstjänster Kontaktuppgifter för leverantören av identifieringstjänster ska i tillämpliga delar innehålla följande: företagets namn/namnet på leverantören av identifieringstjänster FO-nummer utdrag ur handelsregistret postadress besöksadress telefonnummer faxnummer kontaktperson e-postadress länk till www-sidorna 1 Enligt 50 1 mom. som gäller lagens övergångsbestämmelser ska leverantörer av identifieringstjänster göra en anmälan om att verksamheten inleds till Kommunikationsverket inom sex månader från lagens ikraftträdande.

Kommunikationsverket MPS 7 5 (11) Leverantören av identifieringstjänster ska till Kommunikationsverket också ge kontaktuppgifter för en tjänst som avses i 25 1 mom. i lagen om stark autentisering och elektroniska signaturer för att innehavaren av ett identifieringsverktyg kan anmäla att identifieringsverktyget ska återkallas eller användning förhindras. Uppgifter om principer för identifiering I principer för identifiering anges hur leverantören av identifieringstjänster uppfyller de skyldigheter som avses i lagen. Principerna för identifiering innehåller: uppgifter om genomförande av inledande identifiering tjänstebeskrivningar av de tjänster som tillhandahålls uppgifter om tjänsteleverantörens viktigaste samarbetspartner och uppgifter om de kontroller som har utförts av utomstående bedömningsorgan. Av tjänstebeskrivningen ska framgå om leverantören av identifieringstjänster endast tillhandahåller utgivning av identifieringsverktyg, annan identifieringstjänst eller bådadera. Tjänstebeskrivningen ska också innehålla uppgift om huruvida elektroniska signaturer kan skapas med leverantörens identifieringsverktyg och hurdana dessa signaturer är. Av principerna för identifiering ska även framgå hur leverantören av identifieringstjänster har arrangerat möjligheten för innehavare av identifieringsverktyg att enligt 25 i lagen om stark autentisering och elektroniska signaturer göra en anmälan om att identifieringsverktyget har försvunnit, obehörigt har använts eller obehörigt har kommit i någon annans besittning. Uppgifter om personalen Leverantören av identifieringstjänster ska till Kommunikationsverket också lämna väsentliga uppgifter om sin personal, anlitande av personer vid tillhandahållandet av tjänsterna samt övrig information som behövs för att sakkunskap, erfarenhet och kompetens hos tjänsteleverantören kan bedömas. Leverantörer av identifieringstjänster ska till Kommunikationsverket ge en försäkring om att ansvariga personer inom leverantörens organisation är tillförlitliga och uppfyller de krav som ställts på leverantörer av identifieringstjänster i 9 i lagen om stark autentisering och elektroniska signaturer. Uppgifter om principer för informationssäkerhet Uppgifter som en leverantör av identifieringstjänster ska lämna till Kommunikationsverket för bedömning av informationssäkerhet och tillförlitlighet i tjänsteleverantörens verksamhet är till exempel en skriftligen definierad och av ledningen godkänd uppfattning om mål och principer för samt genomförande av informationssäkerhet. Leverantören av identifieringstjänster ska också lämna uppgifter om de standarder som iakttas samt de bedömningar av överensstämmelse med kraven som eventuellt gjorts av ett bedömningsorgan, om dessa uppgifter inte ingår i principerna för identifiering. Med hjälp av dessa uppgifter kan bedömas om leverantören av identifieringstjänster har fäst tillräcklig uppmärksamhet vid informationssäkerheten samt om ansvaret för informationssäkerheten har definierats på tillräcklig nivå. Uppgifter om registrering av uppgifterna Till anmälan ska också bifogas en beskrivning av förfaringssätt vid registrering av uppgifter som gäller identifieringshändelser och identifieringsverktyg. Av beskrivningen ska till exempel framgå hur behandling av uppgifter i olika format och säkerställande av tillgång till uppgifterna har beaktats vid alla skeden av uppgifternas livscykel. Om datamaterialsäkerhet bestäms närmare i Kommunikationsverkets föreskrift nr 8. Övriga väsentliga uppgifter med tanke på tjänsteleverantörens verksamhet och tillförlitlighet Leverantören av identifieringstjänster ska, i förhållande till verksamheten, ha tillräckliga ekonomiska resurser för att organisera verksamheten och för att täcka ett eventuellt skadeståndsansvar. De tillställda uppgifterna ska bidra till att man kan bilda en rätt och tillräcklig

Kommunikationsverket MPS 7 6 (11) bild av de ekonomiska resurserna för leverantören av identifieringstjänster, de ekonomiska riskerna i verksamheten samt principerna för riskhantering. Tillräckligheten av de ekonomiska resurserna hos leverantören av identifieringstjänster kan till exempel bedömas på basis av föregående års årsberättelse och bokslutsuppgifter samt budgetoch verksamhetsplaner. Ett nyetablerat företags ekonomiska resurser kan exempelvis bedömas på basis av resultat- och balansbudget samt verksamhetsplan för den första räkenskapsperioden, och budgetplaner för två följande räkenskapsperioder. Om allmänna informationssäkerhetskrav bestäms närmare i Kommunikationsverkets föreskrift nr 8. 3.2.2 Bedömning av identifieringsverktygets informationssäkerhet En leverantör av identifieringstjänster ska till Kommunikationsverket anmäla följande uppgifter för att identifieringsverktygets informationssäkerhet ska kunna bedömas. Uppgifter om identifieringsverktyget Leverantören av identifieringstjänster ska till Kommunikationsverket lämna en beskrivning av de nyckellängder och algoritmer som används i identifieringsverktyget samt om andra omständigheter som påverkar identifieringsverktygets tillförlitlighet. Uppgifter om system Leverantören av identifieringstjänster ska till Kommunikationsverket lämna uppgifter eller en beskrivning av de för identifieringstjänsten väsentliga system och produkter, inklusive spärrliststjänsten. Denna redogörelse ska innehålla uppgifter om den maskinvara och programvara (inkl. nyckellängder, algoritmer och användningssyften) som använts samt uppgifter om de standarder som iakttagits och de bedömningar om överensstämmelse med kraven som eventuellt gjorts av ett kontrollorgan. På basis av dessa uppgifter är det möjligt att bedöma om leverantören av identifieringstjänster har sett till att informationssäkerheten och tillgängligheten av utrustningen är i överensstämmelse med lagen. Strukturen i certifikatets datainnehåll Om identifieringsmetoden baserar sig på ett certifikat, ska leverantören av identifieringstjänsten också underrätta Kommunikationsverket om strukturen i certifikatets datainnehåll. Strukturen i certifikatets datainnehåll ska överensstämma med de i lagen uppställda kraven. 3.3 Anmälan om inledande av verksamhet från certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska, innan verksamheten inleds 2, lämna sådana uppgifter till Kommunikationsverket enligt vilka Kommunikationsverket kan bedöma certifikatutfärdarens förmåga att tillhandahålla kvalificerade certifikat och att certifikattjänsten överensstämmer med lagen. Kommunikationsverket undersöker att certifikatutfärdaren och certifikattjänsten uppfyller lagens förutsättningar innan certifikatutfärdaren införs i ett register som Kommunikationsverket för i enlighet med 32 4 mom. i lagen om stark autentisering och elektroniska signaturer. Certifikatutfärdaren kan dock inleda verksamheten strax efter att ha gjort anmälan och innan den införs i registret. Kommunikationsverket ska utan dröjsmål förbjuda certifikatutfärdaren att tillhandahålla certifikat som anges vara kvalificerade om certifikatet eller certifikatutfärdaren inte uppfyller de krav som 2 Enligt övergångsbestämmelsen i 51 4 mom. i lagen om stark elektronisk autentisering och elektroniska signaturer behöver en sådan certifikatutfärdare som har gjort en anmälan enligt 9 1 mom. i lagen om elektroniska signaturer och fortsatt verksamheten utan avbrott till ikraftträdandet av lagen om stark autentisering och elektroniska signaturer inte göra en ny anmälan.

Kommunikationsverket MPS 7 7 (11) ställs i lagen. Ett beslut om förbud kan fattas till exempel då Kommunikationsverket på grund av bristfälliga uppgifter inte kan bedöma om certifikatutfärdarens verksamhet eller de utfärdade certifikaten uppfyller kraven på överensstämmelse. Certifikatutfärdaren har dock rätt att före beslutet om förbud komplettera och/eller rätta sina uppgifter enligt Kommunikationsverkets begäran. 3.3.1 Bedömning av tillförlitlighet i certifikatutfärdarens verksamhet En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska till Kommunikationsverket anmäla följande uppgifter för att verksamhetens tillförlitlighet ska kunna bedömas: Uppgifter om certifikatutfärdaren Certifikatutfärdarens kontaktuppgifter ska i tillämpliga delar innehålla följande: företagets/certifikatutfärdarens namn FO-nummer utdrag ur handelsregistret postadress besöksadress telefonnummer faxnummer kontaktperson e-postadress länk till www-sidorna Certifikatutfärdaren ska till Kommunikationsverket också ge kontaktuppgifter för en tjänst som avses i 36 i lagen om stark autentisering och elektroniska signaturer i syfte att undertecknaren kan begära att det kvalificerade certifikatet ska återkallas. Uppgifter om tjänster som tillhandahålls Anmälan ska innehålla uppgifter om tjänster som tillhandahålls i samband med elektroniska signaturer och kvalificerade certifikat. Certifikatutfärdaren ska ge Kommunikationsverket uppgifter om de procedurer enligt vilka certifikatutfärdaren förfar samt uppgifter om genomförandet av procedurerna och uppgifter om tjänster som har samband med de kvalificerade certifikat som tillhandahålls. Sådana uppgifter är åtminstone certifikatpolicy och certifieringsstandard (CPS) samt information som ges sökanden av ett kvalificerat certifikat vid registreringen och information om användningsvillkor och förutsättningar för kvalificerade certifikat som certifikatutfärdaren har ställt. Med hjälp av certifikatpolicy och certifieringsstandard (CPS) är det möjligt att bedöma om de förfaringssätt som i lagen ställts för en certifikatutfärdare som tillhandahåller kvalificerade certifikat genomförs i certifikatutfärdarens verksamhet. Uppgifter om personalen Certifikatutfärdaren ska redogöra för sin personal och personalens kompetens och befattningsbeskrivningar. Befattningsbeskrivningarna kan visas till exempel med en beskrivning av organisation och med allmänna kompetenskrav för olika befattningsklasser (till exempel huvudman för systemet, den som utfärdar certifikatet). Certifikatutfärdaren ska också tillställa uppgifter om hur de aktiviteter som hänför sig till certifikattjänsten t.ex. mellan underleverantörer har uppdelats samt ovan nämnda uppgifter om personalen som underleverantören anlitar vid utförandet av certifikatutfärdarens uppgifter. Certifikatutfärdaren kan externalisera t.ex. följande aktiviteter: registrering skapande av kvalificerade certifikat distribution av kvalificerade certifikat administration av begäran om spärr

Kommunikationsverket MPS 7 8 (11) spärrliststjänst. Uppgifter om principer för informationssäkerhet Med hjälp av informationssäkerhetspolicy och principer kan bedömas om certifikatutfärdaren har fäst tillräcklig uppmärksamhet vid informationssäkerheten samt om ansvaret för informationssäkerheten har definierats på tillräcklig nivå. Övriga väsentliga uppgifter Certifikatutfärdaren ska, i förhållande till verksamheten, ha tillräckliga ekonomiska resurser för att organisera verksamheten och för att täcka ett eventuellt skadeståndsansvar. De tillställda uppgifterna ska bidra till att man kan bilda en rätt och tillräcklig bild av de ekonomiska resurserna för certifikatutfärdaren, de ekonomiska riskerna i verksamheten samt principerna för riskhantering. Tillräckligheten av certifikatutfärdarens ekonomiska resurser kan till exempel bedömas på basis av föregående års årsberättelse och bokslutsuppgifter samt budget- och verksamhetsplaner. Ett nyetablerat företags ekonomiska resurser kan exempelvis bedömas på basis av resultat- och balansbudget samt verksamhetsplan för den första räkenskapsperioden, och budgetplaner för två följande räkenskapsperioder. 3.3.2 Bedömning av certifikattjänstens informationssäkerhet En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska till Kommunikationsverket anmäla följande uppgifter för att certifikattjänstens informationssäkerhet ska kunna bedömas: Uppgifter om system Certifikatutfärdaren ska till Kommunikationsverket lämna uppgifter om eller en beskrivning av de system och produkter som är väsentliga när kvalificerade certifikat tillhandahålls. Denna redogörelse ska innehålla uppgifter om den maskinvara och programvara (inkl. nyckellängder och algoritmer) som använts samt uppgifter om de standarder som iakttagits och de bedömningar om överensstämmelse med kraven som eventuellt gjorts av ett bedömningsorgan. Med hjälp av uppgifterna kan bedömas om certifikatutfärdarens system är tillförlitliga så som bestäms i lagen. Standarder och tekniska specifikationer som hänför sig till elektroniska signaturer och kvalificerade certifikat samt certifikatutfärdarens verksamhet har till exempel utarbetats av CEN/ISSS, ETSI och IETF. Dessa dokument omfattar till exempel datainnehållet i ett kvalificerat certifikat, certifikatpolicy för en certifikatutfärdare som tillhandahåller kvalificerade certifikat, säkra anordningar för signaturframställning och certifikatutfärdarens tillförlitliga system. 3.4 4 Anmälan om ändringar i verksamhet En leverantör av identifieringstjänster och en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska på eget initiativ underrätta Kommunikationsverket om väsentliga ändringar i verksamheten och i de uppgifter som lämnats på basis av 2 3. Kommunikationsverkets offentliga register över certifikatutfärdare Leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska alltid underrätta Kommunikationsverket, om de uppgifter som finns i Kommunikationsverkets offentliga register förändras. Dessa ändringar ska meddelas en månad innan ändringen träder i kraft. Uppgifter som införs i det offentliga registret som Kommunikationsverket för över leverantörer av identifieringstjänster är åtminstone: namnet på leverantören av identifieringstjänster

Kommunikationsverket MPS 7 9 (11) kontaktuppgifter för leverantören av identifieringstjänster (namn, postadress, www-adress, telefonnummer) tjänster som tillhandahålls upphörande av verksamheten hos leverantören av identifieringstjänster kontaktuppgifter för en tjänst där innehavaren av ett identifieringsverktyg kan anmäla att identifieringsverktyget ska återkallas eller användning förhindras Uppgifter som införs i det offentliga registret som Kommunikationsverket för över certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat är åtminstone: namnet på de kvalificerade certifikaten certifikatutfärdarens kontaktuppgifter (namn, postadress, www-adress, telefonnummer) certifikatpolicy som använts vid utfärdandet av de kvalificerade certifikaten (objektidentifierare, OID) upphörande av certifikatutfärdarens verksamhet kontaktuppgifter för en tjänst där undertecknaren kan begära att det kvalificerade certifikatet ska återkallas. Ändringar som hänför sig till tjänstens informationssäkerhet En leverantör av identifieringstjänster och en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat måste underrätta Kommunikationsverket om ändringar som hänför sig till informationssäkerheten och tillförlitligheten i identifierings- eller certifikatverksamheten. Sådana ändringar som en tjänsteleverantör måste anmäla är till exempel: ändringar i spärrliststjänster och i system som använts för att skapa certifikat: o viktiga uppdateringar i maskinvara o versionuppdateringar av programvara o utbyte av programvara. Ändringar i tjänsteleverantörens tillförlitlighet En leverantör av identifieringstjänster och en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat måste underrätta Kommunikationsverket om väsentliga ändringar som gäller tjänsteleverantörens personal, de personer som den anlitar och allmän tillförlitlighet. Sådana kan vara: externalisering av funktioner överföring av externaliserade funktioner till annan aktör ändringar i personalen, särskilt nyckelpersoner flyttning av aktiviteter till nya lokaler. Leverantören av identifieringstjänster och certifikatutfärdaren som tillhandahåller allmänheten kvalificerade certifikat måste också tillställa Kommunikationsverket alla redogörelser av vilka framgår väsentlig försvagning av tjänsteleverantörens ekonomiska läge eller betydande ökning av de ekonomiska riskerna. Dessa redogörelser ska lämnas till Kommunikationsverket omedelbart efter att de har blivit färdiga. Faktorer som bidrar till att den ekonomiska ställningen väsentligt försvagar eller att de ekonomiska riskerna betydligt ökar är till exempel: försättning av tjänsteleverantören i likvidation stora kreditförluster konkurs av ett moderbolag tjänsteleverantörens skuldomläggning, skuldsanering, likvidation eller konkurs betydande ökning i kostnader för täckandet av ansvaret (t.ex. försäkring). 3.5 5 Årsrapport

Kommunikationsverket MPS 7 10 (11) En leverantör av identifieringstjänster och en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska till Kommunikationsverket lämna en årlig rapport om omfattningen av tjänsteleverantörens verksamhet inom lagens tillämpningsområde. Årsrapporten ska sändas inom två månader från kalenderårets slut. Leverantören av identifieringstjänster ska till Kommunikationsverket lämna uppgift om antalet identifieringsverktyg som har getts ut och identifieringshändelser. Certifikatutfärdaren som tillhandahåller allmänheten kvalificerade certifikat ska till Kommunikationsverket lämna uppgift om antalet kvalificerade certifikat som har utfärdats och återkallats under året samt som är giltiga vid slutet av året. Om möjligt, ska årsrapporten också innebära årsberättelsen för identifierings- eller certifikatverksamheten och det fastställda bokslutet. Tjänsteleverantörerna ska också tillställa Kommunikationsverket statistik över upptäckta problemsituationer och övriga väsentliga uppgifter för verksamheten, t.ex. antalet kundklagomål (klagomål om räkningar och fel eller störningar i tjänsten gärna skilt för sig). 3.6 6 Anmälan om upphörande eller överföring av verksamhet För tillsynen är det viktigt att Kommunikationsverket så tidigt som möjligt får besked om att en leverantör av identifieringstjänster eller en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat upphör med sin verksamhet eller att verksamheten eventuellt överförs till en annan tjänsteleverantör. Skyldighet att anmäla om ändringar i verksamheten är det primära sättet att förutse ett möjligt upphörande. Förutom ändringsanmälan ska tjänsteleverantören dock särskilt underrätta Kommunikationsverket om att tillhandahållandet av identifieringstjänsterna eller de kvalificerade certifikaten upphör eller att verksamheten överförs till en annan tjänsteleverantör t.ex. vid överlåtelse av affärsverksamhet. Anmälan från en leverantör av identifieringstjänster ska innehålla uppgift om hur tjänsteleverantören har informerat eller kommer att informera innehavare av identifieringsverktyg, tjänsteleverantörer som använder identifieringstjänster samt övriga samarbetsparter i anslutning till identifieringstjänsterna om upphörandet eller överföringen av verksamheten. I certifikatutfärdarens anmälan om upphörande ska finnas uppgift om hur certifikatutfärdaren har informerat eller kommer att informera de personer som den anlitat, undertecknare och övriga samarbetsparter i anslutning till certifikatverksamheten om upphörandet eller överföringen av verksamheten. 3.7 7 Övriga anmälningar En leverantör av identifieringstjänster och en certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska utan onödigt dröjsmål underrätta Kommunikationsverket om betydande hot eller störningar som riktas mot tjänsternas informationssäkerhet samt om de åtgärder som vidtagits för att avhjälpa dem. Med informationssäkerhet avses i denna föreskrift administrativa och tekniska åtgärder genom vilka säkerställs att uppgifter är tillgängliga endast för dem som har rätt att använda dem, att uppgifterna inte kan ändras av andra än dem som har rätt till detta och att uppgifterna och datasystemen kan utnyttjas av dem som har rätt att använda dem. Eftersom tillgänglighet är en del av tjänstens informationssäkerhet, måste tjänsteleverantören underrätta Kommunikationsverket om fel och störningar som riktas mot tjänstens tillgänglighet. Tjänsteleverantören ska underrätta Kommunikationsverket bl.a. om följande saker: störningar i funktion av spärrlistor intrång i tjänsteleverantörens system avslöjande av certifikatutfärdarens signaturnyckel för de kvalificerade certifikaten allvarliga missbruk vid användningen av identifierings- och signaturverktyg allvarliga interna missbruk.

Kommunikationsverket MPS 7 11 (11) I anmälan bör så noggrant som möjligt beskrivas bl.a. följande faktorer: tidpunkt för händelsen hur händelsen upptäcktes och vem som upptäckte den orsaker som ledde till händelsen händelsens omfattning och verkningar planerade/utförda åtgärder för avhjälpande samt tidtabell för reparation kontaktuppgifter för den ansvariga personen. Om alla behövliga uppgifter inte genast finns tillgängliga kan de sändas till Kommunikationsverket också i efterhand. Viktigast är att händelsen kommer till Kommunikationsverkets kännedom utan dröjsmål. En certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat ska göra anmälningar till Kommunikationsverket, om certifikatutfärdaren garanterar att ett certifikat som tillhandahålls av en certifikatutfärdare som inte är etablerad i en stat inom Europeiska ekonomiska samarbetsområdet är ett kvalificerat certifikat i enlighet med 31 1 mom. 3 punkten i lagen. I anmälan måste finnas namn och kontaktuppgifter för denna certifikatutfärdare som inte är etablerad inom EES samt uppgift om vilka certifikat från en sådan certifikatutfärdare som en certifikatutfärdare som är etablerad i Finland garanterar som kvalificerade certifikat. 4 REFERENSLISTA [1] Lag om stark autentisering och elektroniska signaturer (617/2009), ursprunglig lagtext: http://www.finlex.fi/fi/laki/alkup/2009/20090617 http://www.finlex.fi/sv/laki/alkup/2009/20090617 [2] Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=celex:31999l0093:fi:not http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=celex:31999l0093:sv:not [3] Lag om elektronisk kommunikation i myndigheternas verksamhet (13/2003), uppdaterad version: http://www.finlex.fi/fi/laki/ajantasa/2003/20030013 http://www.finlex.fi/sv/laki/ajantasa/2003/20030013 [4] ETSI TS 101.862 Qualified Certificate Profile http://pda.etsi.org/pda/queryform.asp [5] RFC 3039 Internet X.509 Public Key Infrastructure Qualified Certificates Profile http://www.ietf.org/rfc/rfc3039.txt [6] Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile http://www.ietf.org/rfc/rfc3280.txt

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss