PTS informationsmöte om eidas och betrodda tjänster

Relevanta dokument
eidas införande i Sverige Björn Scharin, PTS

Datum Vägledning. För betrodda tjänster i Sverige enligt eidas Utgåva 1


E-legitimering och e-underskrift Johan Bålman esam

Introduktion till eidas. Dnr: /

Viktiga steg för gränsöverskridande e-legitimation

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

eidas i korthet Eva Sartorius

Kompletterande bestämmelser till EU:s förordning om elektronisk identifiering

Utredningen om genomförande av NIS-direktivet

Informationssäkerhet för samhällsviktiga och digitala tjänster

e-sens erfarenheter av utländska e-legitimationer

eidas och Svensk e-legitimation

Termer och begrepp. Identifieringstjänst SITHS

FÖRSLAG TILL YTTRANDE

Styrelsens för ackreditering och teknisk kontroll författningssamling

Termer och begrepp. Identifieringstjänst SITHS

1 Bakgrund till ställningstagandet/promemorian. 1.2 Frågor om tillämpning av PSD2 och autentiseringslagen. 1.1 Betaltjänstdirektivet (PSD2)

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

E-legitimationsdagen dag 2. Elektroniska underskrifter och dokument - hur lever vi upp till eidas lagkrav i vår vardag?

Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: Mottagare:

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

Flexibel ackreditering

Svensk e-legitimation. 7 mars

Riktlinjer för försäkringsföretags hantering av klagomål

Finansinspektionens författningssamling

Konsoliderad version av

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Svensk författningssamling

Välkomna till Integritetsforum!

Stärkta handelsmöjligheter med ackreditering och standarder

Minnesanteckningar Driftsäkerhetsforum Tid: 26 november Plats: PTS lokaler på Valhallavägen 117 i Stockholm

Avdelningen för juridik och inre marknad Per Hällströmer Direktnr: E-post: 1. Bakgrund

NIS-direktivet. Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster.

Promemoria. Kompletterande bestämmelser till EU-förordningen om elektronisk identifiering

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

för klagomålsförfaranden vid påstådda överträdelser av betaltjänstdirektiv 2

BILAGA 3 Tillitsramverk Version: 2.1

Sweden Connect ÖVERENSKOMMELSE. med förlitande myndighet beträffande funktioner för elektronisk identifiering UTKAST kl.

Koncernkontoret Området för informationsförsörjning och regionarkiv

Motivering till och tillämpning av föreskrift 72. Elektroniska identifieringstjänster och betrodda elektroniska tjänster

2

Utblick Europa. Nils Fjelkegård E-legitimationsnämnden. 6 december

Yttrande över remiss av slutbetänkandet reboot omstart för den digitala förvaltningen (SOU 2017:114)

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

Skåne läns författningssamling

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Kopplingsregister eidas. Förstudie

Konsoliderad version av

(5)

Styrelsens för ackreditering och teknisk kontroll författningssamling

Finansinspektionens författningssamling

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

Tekniskt ramverk för Svensk e- legitimation

Finansinspektionens författningssamling

Svensk författningssamling

Välkomna till branschträff!

Revision av EASAgrundförordningen. Transportstyrelsen 20 september 2016

Styrelsens för ackreditering och teknisk kontroll författningssamling

Konsoliderad version av

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Dataskyddsförordningen (GDPR)

Lagen om Energikartläggning i stora företag

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Styrelsens för ackreditering och teknisk kontroll (Swedac) föreskrifter och allmänna råd (STAFS 2011:5) om anmälda organ

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Är era e-tjänster redo? Nu vill nya och utländska e-legitimationer in!

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Konsoliderad version av. Styrelsens för ackreditering och teknisk kontroll (Swedac) föreskrifter och allmänna råd (STAFS 2010:10) om ackreditering

marknadskontroll i samband med saluföring av produkter och upphävande av förordning (EEG) nr 339/93. 1(5)

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Seminariespår 3. Elektronisk signering nuläge, nyläge och ambitionsnivå

Europeiska unionens officiella tidning

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Bevaring/kassation i E-arkiv. Håkan Lövblad / NORDIG /

- Vad du behöver veta om NIS

Miljöledningsnytt - nya ISO & andra nyheter

Remissvar angående slutbetänkandet Reboot omstart för den digitala förvaltningen, SOU 2017:114

Konsoliderad version av

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Policy Underskriftstjänst Svensk e-legitimation

Svenska e-legitimationer och certifikat. Wiggo Öberg, Verva

PM om ändringsföreskrift KIFS 2019:1 samt information om anstånd för vissa biocidprodukter

1 Allmänt. Transportstyrelsens förslag: Konsekvensutredning 1 (6)

Svensk e-legitimation och eidas

Regeringskansliets rättsdatabaser

Riktlinjer om MAR Personer som mottar marknadssonderingar

Leverantörsmöte och PTS Forum för betrodda tjänster

Trycksättning med gas. Ackreditering. Föreskrifter. Riskbedömning

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Svensk författningssamling

Styrelsens för ackreditering och teknisk kontroll författningssamling

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

(Icke-lagstiftningsakter) FÖRORDNINGAR

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Transkript:

PTS informationsmöte om eidas och betrodda tjänster 2016-05-19 Post- och telestyrelsen

Inledning, syfte och avgränsningar för informationsmötet eidas - Kort om EU:s koncept för säkrare elektronisk handel och identifiering Status standarder för betrodda tjänster PTS del av eidas de betrodda tjänsterna Agenda Presentation av PTS vägledning Diskussion och synpunkter på PTS utkast till vägledning PTS vidare arbete, tidplan och samverkan med berörda aktörer och intressenter Avslutning

Inledning, syfte och avgränsningar för informationsmötet

Målgrupp Om informationsmötet Tillhandahållare av betrodda tjänster Andra berörda intressenter Information om eidas och PTS del för betrodda tjänster PTS arbete med olika produkter och tidplan Fördjupad presentation och möjlighet att lämna synpunkter på PTS kommande vägledning Samverkan med branschen

eidas - Kort om EU:s koncept för säkrare elektronisk handel och identifiering

Bakgrund e-signaturdirektivet från 1999 Lag om kvalificerade elektroniska signaturer Digital agenda för Europa Digitala inre marknaden (DSM) egovernment Action Plan 2010 Pilotprojektet STORK, STORK 2/e-SENS Förslag till eidas-förordning 2012, förordningen beslutades 23 juli 2014

Nyheter jämfört med signaturdirektivet Omfattar två delar: elektronisk identifiering och betrodda tjänster Förordning istället för direktiv Omfattar fler betrodda tjänster än elektroniska underskrifter Regler för kvalificerade och icke-kvalificerade betrodda tjänster

Syfte med förordningen Personer och företag ska kunna använda sina egna nationella elektroniska identiteter över medlemslandsgränserna inom EU Skapa en europeisk marknad för betrodda tjänster, elektroniska underskrifter, stämplar, tidsstämpling, leveranstjänster och autentisering av webbplatser Rättsligt erkännande av dessa tjänster och elektroniska dokument

Digitala tjänster E-handelstjänster (ecommerce) E-tjänster (egovernment) System för elektronisk identifiering anmäls till Europeiska kommissionen e-legitimation (eid elektronisk identifiering) eidas nod eid i andra EU-länder Betrodda tjänster Elektroniska underskrifter Anordning Elektroniska stämplar Anordning Autentisering av webbplatser (WEBSITE AUTHENTICATION) Reglering/NRA Utfärdare av kvalificerade certifikat för elektroniska underskrifter, elektroniska stämplar och för autentisering av webbplatser (QTSP) Tillsynsmyndighet Standardisering Valideringstjänst (esignature/eseal) QTSP Bevarandetjänst (esignature/eseal) QTSP Tidsstämplingstjänst (etime-stamp) QTSP Rekommenderade leveranser (edelivery) QTSP Branschorganisationer Ackreditering av organ för bedömning av överensstämmelse Organ för överenstämmelsebedömning (Certifieringsorgan) Certifiering av IT-säkerhet/anordningar (Certifieringsorgan)

PTS roll Tillsynsmyndighet för betrodda tjänster Kontrollera anmälningar inklusive rapporter från överensstämmelsebedömning Bedriva tillsyn över kvalificerade och icke kvalificerade tillhandahållare Ta emot incidentrapporter Tillhandahålla nationell förteckning över tillhandahållare (trusted list) Vid behov ta fram föreskrifter Samverka med övriga myndigheter med särskilt ansvar (E-legitimationsnämnden, SWEDAC, FMV/CSEC och MSB)

Avgifter för kvalificerade tillhandahållare Avgiften kommer troligen att vara 25 000 kr per år från år 2017

Pågående arbete regeringsuppdrag PTS har ett regeringsuppdrag för en sömlös övergång från signaturlagen till eidasförordningen I praktiken pågår arbete med: Skapa arbetssätt och bygga upp kompetens för att kunna tillämpa det nya regelverket Etablera processer och rutiner Identifiera behov av nationella initiativ och produkter PTS vägledning Dialog med aktörer som vill etablera sig

Status standarder för betrodda tjänster

M/460 standardiseringsmandat för den digitala inre marknaden EU Trust Mark (akt: 2015/806) Trusted List Tillsyn Förordning och regler Standarder och best practices Trusted List; ETSI TS 119 612 (akt: 2015/1505) - Möjlig akt enligt art. 20.4 för CAB - Möjlig akt enligt art. 21.4 för QTSP initiation - Möjlig akt enligt art. 17.8 för årlig tillsyn - Möjlig akt enligt art. 24.5 för gemensamma bestämmelser för QTSPs - Möjlig akt enligt art. 19.4 för gemensamma bestämmelser för TSPs - Möjlig akt för specifika bestämmelser rörande varje enskild typ av (kvalificerad) betrodd tjänst och betrodd tillhandahållare

M/460 standardiseringsmandat för den digitala inre marknaden

PTS del av eidas de betrodda tjänsterna

Vad är en reglerad betrodd tjänst? En elektronisk tjänst som vanligen tillhandahålls mot ekonomisk ersättning och som består av någon av följande tjänster: Utfärdande av certifikat för elektroniska underskrifter och stämplar Validering av underskrifter och stämplar Bevarande av underskrifter och stämplar Tidsstämpling Elektronisk rekommenderad leverans Certifikat för autentisering av webbplatser

Vad omfattar EU-regleringen? Tillhandahållare av betrodda tjänster och kvalificerade betrodda tjänster Erkännande av betrodda tjänster från andra medlemsländer Rättsligt erkännande av Elektroniska underskrifter och stämplar Tidsstämpling Elektronisk rekommenderad leverans Elektroniska dokument Förordningen sätter ramar, detaljregler tas fram i samarbete mellan kommissionen och medlemsländerna i genomförandeakter

Krav på kvalificerade tillhandahållare Anmälningsplikt Skadeståndsansvar - bevisbördan på tillhandahållaren Obligatorisk bedömning av överenstämmelse av verksamheten med revision vartannat år Årlig, planlagd och händelsestyrd tillsyn Tillsynsmyndigheterna i medlemsländerna ska samarbeta Säkerhetskrav och finansiell förmåga att bära risken Skyldigheter att rapportera säkerhetsincidenter

Krav på icke-kvalificerade tillhandahållare Inget notifieringsförfarande eller anmälningsplikt Säkerhetskrav: lämpliga åtgärder med hänsyn till tillgänglig teknik och kostnader Skadeståndsansvar bevisbördan på den drabbade Skyldighet att rapportera säkerhetsincidenter till PTS Händelsestyrd tillsyn efter inträffade och rapporterade incidenter

Kvalificerade betrodda tjänster (eidas) PTS ansvarsområde och produkter e-legitimation (eid elektronisk identifiering) eidas nod eid i andra EU-länder Elektroniska underskrifter Anordning Betrodda tjänster Elektroniska stämplar Anordning Autentisering av webbplatser (WEBSITE AUTHENTICATION) Utfärdare av kvalificerade certifikat för elektroniska underskrifter, elektroniska stämplar och för autentisering av webbplatser (QTSP) Incidentrapport Tillsyn Anmälan Tillsyn Tillsynsmyndighet Valideringstjänst (esignature/eseal) QTSP Bevarandetjänst (esignature/eseal) QTSP Tidsstämplingstjänst (etime-stamp) QTSP Rekommenderade leveranser (edelivery) QTSP Avgiftsföreskrifter Incidentrapport Föreskrifter Ackreditering av organ för bedömning av överensstämmelse Organ föröverenstämmelsebedömning (Certifieringsorgan) Certifiering av IT-säkerhet/anordningar (Certifieringsorgan) Föreskrifter

Kvalificerade betrodda tjänster (eidas) Genomförandeakter Valideringstjänst (esignature) QTSP e-legitimation (eid elektronisk identifiering) Bevarandetjänst (eseal) QTSP Betrodda tjänster Elektroniska underskrifter Elektroniska stämplar Autentisering av webbplatser (WEBSITE AUTHENTICATION) Anordning Anordning Genomförandeakt Genomförandeakt art. 27 pkt. 5 Genomförandeakt Genomförandeakt art. 37 pkt. 5 art. 29 pkt. 2 art. 39 pkt. 1 Genomförandeakt Genomförandeakt Genomförandeakt art. 45 pkt. 2 art. 27 pkt. 4 art. 37 pkt. 4 Utfärdare av kvalificerade certifikat för elektroniska underskrifter, elektroniska stämplar och för autentisering av webbplatser (QTSP) Genomförandeakt art. 28 pkt. 6 Genomförandeakt art. 32 pkt. 3 art. 40 Ackreditering av organ för bedömning av överensstämmelse Genomförandeakt art. 8 pkt. 3 Genomförandeakt art. 12 pkt. 7 Genomförandeakt art. 12 pkt. 8 Genomförandeakt art. 31 pkt. 3 Genomförandeakt art. 33 pkt. 2 Genomförandeakt Genomförandeakt art. 38 pkt. 6 Genomförandeakt art. 34 pkt. 2 Genomförandeakt art. 40 Organ föröverenstämmelsebedömning (Certifieringsorgan) Tidsstämplingstjänst (etime-stamp) QTSP Genomförandeakt art. 42 pkt. 2 Genomförandeakt art. 23 pkt. 3 Rekommenderade leveranser (edelivery) QTSP Genomförandeakt art. 44 pkt. 2 Certifiering av IT-säkerhet/anordningar (Certifieringsorgan) Genomförandeakt art. 19 pkt. 4 Genomförandeakt art. 24 pkt. 5 eidas nod eid i andra EU-länder Genomförandeakt art. 22 pkt. 5 Genomförandeakt art. 17 pkt. 8 Genomförandeakt art. 21 pkt. 4 Genomförandeakt art. 20 pkt. 4 Genomförandeakt art. 19 pkt. 4 a) Genomförandeakt art. 20 pkt. 4 Genomförandeakt art. 30 pkt. 3 Delegerad akt art. 30 pkt. 4 Genomförandeakt art. 39 pkt. 2

Betrodda tjänster (eidas) PTS Vägledning e-legitimation (eid elektronisk identifiering) eidas nod eid i andra EU-länder Elektroniska underskrifter Anordning Kvalificerade betrodda tjänster (ets) Trusted List Utfärdare av kvalificerade certifikat för elektroniska underskrifter, elektroniska stämplar och för autentisering av webbplatser (QTSP) Valideringstjänst (esignature/eseal) QTSP Elektroniska stämplar Bevarandetjänst (esignature/eseal) QTSP Anordning Autentisering av webbplatser (WEBSITE AUTHENTICATION) PTS Vägledning Tidsstämplingstjänst (etime-stamp) QTSP Rekommenderade leveranser (edelivery) QTSP Incidentrapport Tillsyn Anmälan Tillsyn Avgiftsföreskrifter Incidentrapport Tillsynsmyndighet Föreskrifter Ackreditering av organ för bedömning av överensstämmelse Organ föröverenstämmelsebedömning (Certifieringsorgan) Certifiering av IT-säkerhet/anordningar (Certifieringsorgan) Föreskrifter

Presentation av PTS vägledning

eidas-förordningen eidas-vilka regler finns? Övergripande krav och möjlighet/skyldighet för kommissionen att anta genomförandeakter Genomförandeakter Referenser till standarder med detaljerade tekniska krav och andra regler Svensk lag och förordning med kompletterande bestämmelser Rätt för PTS och MSB att utfärda föreskrifter på vissa områden Tillsynsbestämmelser ENISA:s rekommendationer Rutin för incidentrapportering

Betrodda tjänster - eidas struktur för regelverket EU:s förordning om elektronisk identifiering (910/2014) Genomförandeakter Lag (2016:XX) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering Förordning (2016:XX) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering PTS vägledning ENISA Rekommendation incidentrapportering Europeiska standarder

Varför en vägledning? Endast ett fåtal av kommissionens genomförandeakter kommer att vara på plats 1 juli 2016 PTS kommer initialt inte att utnyttja sin rätt att utfärda föreskrifter, förutom beträffande avgifter Istället - en vägledning där nödvändigt stöd samlas. Vägledningen är inte bindande utan endast en beskrivning av det regelverk som gäller och det stöd som finns.

Målgrupp Målgruppen för vägledningen är främst: Tillhandahållare av betrodda tjänster som vill etablera sig som kvalificerade tillhandahållare Men även: Icke-kvalificerade tillhandahållare Berörda myndigheter och andra organ

Vägledningen innehåller bl.a. Innehåll En beskrivning av processen att etablera sig som tillhandahållare av betrodda tjänster Krav på kvalificerade och icke-kvalificerade tillhandahållare Krav på kvalificerade betrodda tjänster och lämpliga standarder Rutiner för incidentrapportering

Vägledning för eidas PTS Vägledning För betrodda tjänster i Sverige enligt eidas Del 1 Inledning Del 2 Bakgrund Del 3 Etablering av kvalificerade tillhandahållare och kvalificerade betrodda tjänster Del 4 Krav som omfattar såväl kvalificerade som icke kvalificerade tillhandahållare Del 5 Regler för överensstämmelsebedömning Del 6 Krav på kvalificerade betrodda tjänster Del 7 Krav på tillförlitliga ITsystem och säkra anordningar för underskrifter och stämplar samt för Del 8 Incidentrapportering Bilaga Refererade standarder

Tillämpningsområde Förordningen gäller: Tillhandahållare av betrodda tjänster som är etablerade inom EU Förordningen gäller inte: Slutna system mellan en avgränsad uppsättning deltagare och som inte påverkar tredje man Bestämmelser om ingående eller giltighet av avtal, formkrav för offentliga register Del 2 Bakgrund

Övergångsbestämmelser Signaturdirektivet och lagen om kvalificerade elektroniska signaturer upphör att gälla den 1 juli 2016 Signaturdirektivet Utfärdare av kvalificerade certifikat Fram till 1/7 2017 eidas-förordningen Kvalificerade tillhandahållare av betrodda tjänster Säkra anordningar för signaturer Anordningar för kvalificerade elektroniska underskrifter Kvalificerade certifikat Till dess de löper ut Kvalificerade certifikat för elektroniska underskrifter Del 2 Bakgrund

Etablering av tillhandahållare Del 5 i vägledningen Del 5 i vägledningen Del 5 i vägledningen Del 7 i vägledningen tillförlitliga IT-system Beslutad genomförandeakt (anordningar) Beslutad genomförandeakt Del 3 Etablering av kvalificerade tillhandahållare och kvalificerade betrodda tjänster

Flödesschema Anmälan kvalificerade betrodda tjänster (eidas) Anmälan lämnas till PTS Bekräftelse till aktören PTS genomför kontroll PTS fattar beslut beviljar/inte beviljar status som kvalificerad tillhandahållare PTS för upp på nationell förteckning Kvalificerade tillhandahållare på nationell förteckning (trusted list) Del 3 Etablering av kvalificerade tillhandahållare och kvalificerade betrodda tjänster

Krav på alla tillhandahållare Skadeståndsansvar (art. 13) för skada som åsamkats en fysisk eller juridisk person avsiktligt eller oaktsamhet att följa förordningens krav Icke kvalificerade bevisbördan på den drabbade Kvalificerade bevisbördan på tillhandahållaren Säkerhetskrav och incidentrapportering (art. 19) Tillsyn Icke kvalificerade när myndigheten tar del av information att tillhandahållaren inte uppfyller förordningens krav Kvalificerade förebyggande och kontroller i efterhand se att tillhandahållare uppfyller förordningens bestämmelser Del 4 Krav som omfattar såväl kvalificerade som icke kvalificerade tillhandahållare

Lämpliga standarder för överensstämmelsebedömning Lämplig standard är EN 319 403 Av standarden följer att lämplig kontrollform är certifiering Tillhandahållare bör granskas emot EN 319 401 Rapporten för överensstämmelsebedömning behöver åtminstone följa EN 319 403 Rapporten utgör en viktig del för PTS kontroll av tillhandahållaren i samband med anmälan Del 5 Regler för bedömning av överensstämmelse

EN 319 401 Lämpliga standarder Generella säkerhetskrav för tillhandahållare av betrodda tjänster Övergripande, lämplig att börja med att läsa. Del 5 Regler för bedömning av överensstämmelse

EN 319 403 Lämpliga standarder Granskningsregler för överenstämmelsesbedömning Del 5 Regler för bedömning av överensstämmelse

Utfärdare av kvalificerade certifikat för underskrifter, stämplar och autentisering av webbplatser EN 319 411 1 och 2 Policy requirements for certification authorities issuing public key certificates / Qualified Certificates Enligt art. 25, 35 och 45 Del 6 Krav på kvalificerade betrodda tjänster

Kvalificerade elektroniska tidsstämplingar EN 319 421 Policy Requirements for TSPs providing Time-Stamping Services Enligt art. 42 Del 6 Krav på kvalificerade betrodda tjänster

Kvalificerade elektroniska tjänster för rekommenderade leveranser EN 319 511 Information Security Policy Requirements for REM Management Domains I väntan på publicering så ser vi ETSI TS 102 640-3 som lämplig Enligt art. 44 Del 6 Krav på kvalificerade betrodda tjänster

Kvalificerad tjänst för bevarande av kvalificerade elektroniska underskrifter EN 319 521 Policy and security requirements for data preservation service providers I väntan på publicering så ser vi ETSI TS 102 533-1 som lämplig Enligt art. 34 Del 6 Krav på kvalificerade betrodda tjänster

Tillförlitliga IT-system Krav på tillförlitliga IT-system finns i art. 24 Det finns arv från signaturdirektivet gällande granskade HSM-moduler Lämpliga standarder för tillförlitliga IT-system och baserade på skyddsprofiler Del 7 Krav på tillförlitliga IT-system och säkra anordningar för underskrifter och stämplar

Kvalificerade anordningar Övergångsregler som säger att säkra anordningar enligt signaturlagen kan ses som kvalificerade anordningar Kommissionen har publicerat en genomförandeakt som refererar till standarder som ska användas ISO/IEC 15408, ISO/IEC 18045:2008, EN 419 211(delarna 1-6) För serverbaserade lösningar finns ingen refererad standard utan då kan den alternativa metoden i art. 30 behöva användas FMV/CSEC ansvarar för granskningar och MSB för föreskrifter med skyddsprofiler Del 7 Krav på tillförlitliga IT-system och säkra anordningar för underskrifter och stämplar

Lämpliga skyddsprofiler EN 419 211 Protection Profiles for secure signature creation devices; Part 1 6 EN 419 221 Security requirements for trustworthy systems managing certificates for electronic signatures EN 419 231 Security requirements for trustworthy systems supporting timestamping EN 419 241 Security requirements for trustworthy systems supporting server signing (signature generation services) Del 7 Krav på tillförlitliga IT-system och säkra anordningar för underskrifter och stämplar

Incidentrapportering ENISA har arbetat fram en rekommendation om incidentrapportering Rekommendationen avser de incidenter PTS är skyldiga att årligen rapportera till ENISA PTS behöver därmed få in dessa uppgifter Del 8 Incidentrapportering

Incidentrapportering De uppgifter PTS behöver är: Påverkade betrodda tjänster När incidenten inträffade och avslutades Konsekvenserna av incidenten för tillhandahållaren, användare och förlitande parter Beskrivning av incidenten Grundorsak och underliggande orsaker Tillgångar som påverkats Vilka åtgärder som vidtagits Åtgärder för att undvika upprepning Lärdomar och förbättringar PTS har en funktionsbrevlåda för incidentrapporter Del 8 Incidentrapportering

Diskussion och synpunkter på PTS utkast till vägledning

Diskussion

Ev. skriftliga synpunkter på PTS utkast till vägledning Senast 26 maj 2016 joakim.stralmark@pts.se

PTS vidare arbete, tidplan och samverkan med berörda aktörer och intressenter

PTS vidare arbete Slutföra vägledningen måldatum början av juni Anmälningsförfarande för blivande kvalificerade tillhandahållare Upprätta trusted list den nationella förteckningen 1/7 Arbeta vidare med förfinade rutiner för incidentrapportering och tillsyn hösten 2016 Utveckla e-tjänster 2016/17 Slutrapport till regeringen 31/8 2016

Närmaste tidplanen 25 maj Riksdagen beslutar om kompletterande svensk eidas-lag 26 maj Ev. skriftliga synpunkter på PTS vägledning 3 juni PTS publicerar första utgåvan av vägledningen

Samverkan med berörda aktörer och intressenter Primärt genom detta Informationsmöte Individuella möte som aktörer önskar ha med PTS Remisser och andra förfaranden PTS deltar i andra sammanhang

Tack för visat intresse! joakim.stralmark@pts.se Post- och telestyrelsen

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss