Föreskrift om elektroniska identifieringstjänster och betrodda elektroniska tjänster

Relevanta dokument
Motivering till och tillämpning av föreskrift 72. Elektroniska identifieringstjänster och betrodda elektroniska tjänster

1 Bakgrund till ställningstagandet/promemorian. 1.2 Frågor om tillämpning av PSD2 och autentiseringslagen. 1.1 Betaltjänstdirektivet (PSD2)

Anvisning om bedömning av elektroniska identifieringstjänster. Transport- och kommunikationsverkets anvisning 211/2019 O UTKAST

Kommunikationsverkets 1 anvisningar om bedömning av överensstämmelsen hos en identifieringstjänst 2019

Lag. om ändring av lagen om stark autentisering och elektroniska signaturer

eidas införande i Sverige Björn Scharin, PTS

Styrelsens för ackreditering och teknisk kontroll (Swedac) föreskrifter och allmänna råd (STAFS 2011:5) om anmälda organ

Föreskrift OM INTEROPERABILITET AV KOMMUNIKATIONSNÄT OCH KOMMUNIKATIONSTJÄNSTER. Meddelad i Helsingfors den 24 november 2010

Föreskrift om säkerställandet av radioanläggningars överensstämmelse med väsentliga krav och om märkningen

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

OP Tjänsten för förmedling av identifiering

Föreskrift om televerksamhetens informationssäkerhet

Kommunikationsverket 1C/2003 M. Föreskrift OM SÄKERSTÄLLANDET AV RADIOANLÄGGNINGARS ÖVERENSSTÄMMELSE MED VÄSENTLIGA KRAV OCH OM MÄRKNINGEN AV DEM

Svensk författningssamling

Europeiska unionens officiella tidning. (Icke-lagstiftningsakter) FÖRORDNINGAR

(Text av betydelse för EES)

(Text av betydelse för EES)

MPS 7 MOTIVERING TILL OCH TILLÄMPNING AV FÖRESKRIFT 7

Lag. om ändring av värdepappersmarknadslagen

Föreskrifter och anvisningar 14/2013

Föreskrift OM INTERNETFÖRBINDELSETJÄNSTERNAS INFORMATIONSSÄKERHET. Meddelad i Helsingfors den 9 mars 2011

Föreskrift om interoperabilitet av kommunikationsnät och kommunikationstjänster


FÖRSLAG TILL YTTRANDE

Föreskrifter och anvisningar 6/2016

Föreskrifter och anvisningar 6/2016

(Icke-lagstiftningsakter) FÖRORDNINGAR

Tullkodex m.m./elektroniska system 1

Svensk författningssamling

RP 74/2016 rd. Lagarna avses träda i kraft den 1 juli 2016.

Utfärdad i Helsingfors den 17 december 2014

Utfärdad i Helsingfors den xx xx 2016

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Anvisningen träder i kraft genast och gäller tills vidare

Föreskrift om auktion av nätkoncessioner på frekvensområdet MHz

Svensk författningssamling

Svensk författningssamling

Riktlinjer Samarbete mellan myndigheter enligt artiklarna 17 och 23 i förordning (EU) nr 909/2014

BOVERKETS FÖRFATTNINGSSAMLING Utgivare: Yvonne Svensson

Sweden Connect ÖVERENSKOMMELSE. med förlitande myndighet beträffande funktioner för elektronisk identifiering UTKAST kl.

Svensk författningssamling

Svensk författningssamling

KOMMISSIONENS REKOMMENDATION

Svensk författningssamling

Svensk författningssamling

FINLANDS FÖRFATTNINGSSAMLING

Datum Vägledning. För betrodda tjänster i Sverige enligt eidas Utgåva 1

FINLANDS FÖRFATTNINGSSAMLING

Svensk författningssamling

Lag om ändring av lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster

Europeiska unionens officiella tidning

Föreskrifter och anvisningar 8/2015

Elsäkerhetsverkets författningssamling

***II EUROPAPARLAMENTETS STÅNDPUNKT

Svensk författningssamling

(Text av betydelse för EES) (2014/287/EU)

Föreskrift om tekniskt genomförande och säkerställande av nödtrafik

BOVERKETS FÖRFATTNINGSSAMLING Utgivare: Catarina Olsson

2. Ytterligare kontaktuppgifter, inbegripet telefon- och faxnummer och, i tillgängliga fall, e-postadress (frivilligt).

Europeiska unionens råd Bryssel den 14 september 2017 (OR. en) Jordi AYET PUIGARNAU, direktör, för Europeiska kommissionens generalsekreterare

Översyn av personliga transaktionskonton i SUS inför det EU-gemensamma utsläppshandelsregistret

Intressentgruppstestning av inkomstregistret

(Icke-lagstiftningsakter) FÖRORDNINGAR

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) / av den

eidas och Svensk e-legitimation

Informationssäkerhet för samhällsviktiga och digitala tjänster

Föreskrift om telefonnummerportabilitet

LAGFÖRSLAG. 3 Europeiska unionens lagstiftning

Riktlinjer om MAR Uppskjutet offentliggörande av insiderinformation

för klagomålsförfaranden vid påstådda överträdelser av betaltjänstdirektiv 2

Europeiska unionens officiella tidning

Transportstyrelsens föreskrifter om förarbevis och kompletterande intyg; (konsoliderad elektronisk utgåva)

Trycksättning med gas. Ackreditering. Föreskrifter. Riskbedömning

Finansinspektionens författningssamling

EUROPEISKA CENTRALBANKENS BESLUT

Svensk författningssamling

PERSONUPPGIFTSBITRÄDESAVTAL

E-legitimering och e-underskrift Johan Bålman esam

Finansinspektionens författningssamling

Förordning 2015/1850, handel med sälprodukter [7299]

PM om ändringsföreskrift KIFS 2019:1 samt information om anstånd för vissa biocidprodukter

Boverkets författningssamling

Konsekvensutredning avseende Energimyndighetens föreskrifter för registret för utsläppsrätter

Europeiska unionens officiella tidning. (Icke-lagstiftningsakter) FÖRORDNINGAR

Personuppgiftsbiträdesavtal

Styrelsens för ackreditering och teknisk kontroll författningssamling

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) / av den

Myndigheten för samhällsskydd och beredskaps författningssamling

PTS informationsmöte om eidas och betrodda tjänster

Regeringskansliets rättsdatabaser

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

RIKTLINJER FÖR ENHETLIGA UPPLYSNINGAR OM ÖVERGÅNGSBESTÄMMELSER ENLIGT IFRS 9 EBA/GL/2018/01 16/01/2018. Riktlinjer

Remiss, konsekvensutredning gällande ändringsförslag avseende föreskrifter om ackreditering. Inledning

KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) / av den

Svensk författningssamling

EUROPEISKA GEMENSKAPERNAS KOMMISSION. Förslag till RÅDETS BESLUT

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

1. Namn och adressuppgifter

KOMMISSIONENS YTTRANDE. av den

INTEGRITETSPOLICY Tikkurila Sverige AB

Transkript:

Kommunikationsverket 72/2016 M 1 (12) Föreskrift om elektroniska identifieringstjänster och betrodda elektroniska tjänster Utfärdad i Helsingfors den 2 november 2016 Kommunikationsverket har med stöd av 42 i lagen om stark autentisering och betrodda elektroniska tjänster av den 7 augusti 2009 (617/2009), sådan den lyder ändrad genom lag 533/2016, meddelat följande föreskrift: 1 kap. Allmänna bestämmelser 1 Föreskriftens syfte Syftet med denna föreskrift är att 2 Tillämpningsområde 1) främja informationssäkerheten och den tekniska interoperabiliteten i identifieringsverktyg för stark autentisering och i tjänster för identifieringsförmedling, 2) precisera kriterierna för bedömning av överensstämmelse i fråga om tjänster för stark autentisering och kriterierna för oberoende och kompetens hos bedömningsorgan, 3) komplettera kraven för kvalificerade betrodda elektroniska tjänster och kriterierna för bedömning av överensstämmelse i fråga om deras oberoende och kompetens till den del bestämmelser om dessa inte ingår i Europeiska unionens lagstiftning, samt 4) komplettera kriterierna för certifiering av anordningar för skapande av elektroniska underskrifter eller stämplar till den del bestämmelser om dessa kriterier inte ingår i Europeiska unionens lagstiftning. Denna föreskrift tillämpas på tillhandahållande av sådana identifieringsverktyg för stark autentisering och sådana tjänster för identifieringsförmedling som avses i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009, nedan benämnd autentiseringslagen) och som har anmälts till Kommunikationsverket samt på bedömning av deras överensstämmelse. Denna föreskrift tillämpas på sådana kvalificerade betrodda elektroniska tjänster, en sådan bedömning av deras överensstämmelse och en sådan certifiering av anordningar för skapande av elektroniska underskrifter eller stämplar som avses i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för

Kommunikationsverket 72/2016 M 2 (12) 3 Definitioner elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (nedan benämnd EU:s förordning om elektronisk identifiering och betrodda tjänster, eller eidas-förordningen). Denna föreskrift tillämpas på de system för stark autentisering som ska anmälas till Europeiska kommissionen eller på betrodda tjänster enligt 2 mom. och på bedömning av deras överensstämmelse samt certifiering av anordningar för skapande av elektroniska underskrifter eller stämplar endast om inget annat följer av eidas-förordningen eller kommissionens genomförandeakter som har getts med stöd av eidas. I denna föreskrift avses med 1) gränssnitt specifikationer och implementeringar som gäller dataöverföring mellan två olika system eller delar av systemen, 2) e-idas-gränssnitt ett gränssnitt mellan en nationell nod och en annan stats nationella nod. I övrigt tillämpas samma definitioner i denna föreskrift som i autentiseringslagen och eidas-förordningen. 2 kap. Krav på informationssäkerhet i en identifieringstjänst 4 Krav på ledning avseende informationssäkerheten hos leverantörer av identifieringstjänster Vid ledning avseende informationssäkerheten i identifieringssystem ska leverantörerna av identifieringstjänster använda standard ISO/IEC 27001 eller någon annan allmänt känd motsvarande standard för ledning avseende informationssäkerhet. Ledningen avseende informationssäkerheten kan också bygga på en kombination av flera standarder. Ledningen avseende informationssäkerheten ska omfatta följande delområden som påverkar tillhandahållandet av en identifieringstjänst: 1) identifieringstjänsteleverantörens omvärld som en helhet, 2) styrning, organisering och administration av ledningen avseende informationssäkerheten, 3) hantering av informationssäkerhetsrisker vid tillhandahållande av en identifieringstjänst, 4) resurser för informationssäkerheten, kompetens, personalens medvetenhet om informationssäkerheten, kommunikation och dokumentation samt administration av dokumenterad information, 5) planering och styrning av tillhandahållandet av en identifieringstjänst för att informationssäkerhetskraven ska kunna uppfyllas, och 6) bedömning av effektivitet och funktion i ledningen avseende informationssäkerheten.

Kommunikationsverket 72/2016 M 3 (12) 5 Tekniska informationssäkerhetsåtgärder i identifieringssystem Ett identifieringssystem ska planeras, genomföras och administreras med beaktande av följande faktorer: 1) datakommunikationssäkerhet a) säkerhet i nätstrukturen b) indelning av datakommunikationsnätet i zoner c) filtreringsregler enligt principen om behovsenlig behörighet d) administration av filtrering och kontrollsystem under hela livscykeln e) administrationsförbindelser 2) säkerhet i informationssystem a) administration av åtkomsträttigheter b) identifiering av användare av system c) härdande av system d) skydd mot skadliga program e) spårning av säkerhetshändelser f) förmåga att observera avvikelser samt återhämtning g) internationellt eller nationellt rekommenderade krypteringslösningar till andra delar än vad som föreskrivs i 7 3) säkerhet i användning a) hantering av förändringar b) behandlingsmiljön för sekretessbelagt material c) distansanvändning och -administration d) hantering av programsårbarheter e) säkerhetskopiering. Ett produktionsnät och administrationsförbindelser i 1) e) samt distansanvändning och -administration i 3) c) ovan ska genomföras så att informationssäkerhetshot som orsakas av organisationens övriga tjänster, som e-post eller webbsurfning, samt informationssäkerhetshot som orsakas av organisationens terminalenhet vid hantering av andra funktioner än de som är nödvändiga för hanteringen är a) speciellt bedömda och minimerade på tillitsnivån väsentlig och b) förhindrade som helhet på tillitsnivån hög.

Kommunikationsverket 72/2016 M 4 (12) 6 Krav på informationssäkerhet i identifieringsmetoder Identifieringsverktyg får inte kombineras med den sökande förrän en inledande identifiering av den sökande har gjorts, eller så ska det vid processen för beviljande av identifieringsverktyg annars säkerställas att identifieringsverktyget inte kan användas innan den sökande har gjort en inledande identifiering enligt 17 i autentiseringslagen. Tjänsteleverantören ska säkerställa att hemliga uppgifter om identifieringsverktyget inte i någon situation röjs för dess personal. Tjänsteleverantören får inte kopiera hemliga uppgifter om identifieringsverktyget. 7 Krypteringskrav för identifieringssystem och gränssnitt Trafiken i gränssnitten mellan leverantörer av identifieringstjänster och mellan leverantörer av identifieringstjänster och tjänster för ärendehantering ska krypteras. Följande metoder ska användas vid kryptering, nyckelutbyte och i underskrifter i anslutning till kryptering: 1) Nyckelutbyte: DHE-metoder, eller ECDHE-metoder som använder elliptiska kurvor, ska användas vid nyckelutbyte. Den ändliga kroppen (finite field) som används i räkneoperationer ska utgöra minst 2 048 bitar i DHE-metoden och minst 224 bitar i ECDHEmetoden. 2) Underskrifter: Vid användning av RSA för elektronisk underskrift ska nyckeln utgöra minst 2 048 bitar. Vid användning av ECDSAmetoden för elliptisk kurva ska den ändliga kroppen nedan utgöra minst 224 bitar. 3) Symmetrisk kryptering: Krypteringsalgoritmen ska vara AES eller Serpent. Nyckeln ska utgöra minst 128 bitar. Krypteringsmoden ska vara CBC, GCM, XTS eller CTR. 4) Hashfunktioner: Hashfunktionen ska vara SHA-2, SHA-3 eller Whirlpool. Med SHA-2 avses funktionerna SHA224, SHA256, SHA384 och SHA512. Krypteringsinställningarna ska tekniskt tvingas till miniminivåerna ovan för att handskakningen inte ska resultera i inställningar som är sämre än miniminivåerna. Vid användning av protokollet TLS ska TLS-version 1.2 eller nyare användas. TLS-version 1.1 kan användas endast om användarens terminalutrustning inte stöder nyare versioner. Integriteten och sekretessen för meddelanden med personuppgifter ska skyddas förutom med kryptering som avses i 1 mom. också på meddelandenivå enligt 1 mom. Man ska sörja för integriteten och sekretessen för uppgifter som lagras i identifieringssystem. Om skyddet av uppgifterna endast baserar sig på kryptering, tillämpas kraven på underskrift, symmetrisk kryptering och hashfunktioner i 1 mom. ovan.

Kommunikationsverket 72/2016 M 5 (12) 8 Krav på informationssäkerhet i gränssnitt mellan en leverantör av identifieringsverktyg och en leverantör av tjänster för förmedling av identifiering Krypteringsmetoderna ska uppfylla kraven i 7 1 4 mom. Metadata eller motsvarande metoder som garanterar motsvarande informationssäkerhetsnivå ska användas vid identifiering av parter och förmedling av uppgifter som behövs vid identifiering. Alla personuppgifter ska krypteras och undertecknas på meddelandenivå. 9 Krav på informationssäkerhet i gränssnitt för ärendehanteringstjänster Gränssnitten mellan en leverantör av tjänster för identifieringsförmedling och en tjänst för ärendehantering ska uppfylla kraven i 7 1 4 mom. En leverantör av identifieringsverktyg och tjänster för identifieringsförmedling ska sörja för personuppgifternas sekretess och integritet i gränssnitt för ärendehantering och i användargränssnitt. 10 Krav på informationssäkerhet i gränssnitt för en nationell nod Gränssnitten mellan en leverantör av tjänster för identifieringsförmedling och en nationell nod ska uppfylla kraven i 7 1 4 mom. 11 Störningsanmälningar från leverantörer av identifieringstjänster till Kommunikationsverket Minst följande uppgifter ska lämnas i anmälningar om betydande hot och störningar som ska göras till Kommunikationsverket enligt 16 i autentiseringslagen: 1) det identifieringsverktyg eller den förmedlingstjänst som störningen påverkar, 2) beskrivning av störningen och kända orsaker till störningen, 3) beskrivning av störningens konsekvenser, inklusive konsekvenser för beviljandet av nya identifieringsverktyg samt för användare, förlitande parter, andra aktörer i förtroendenätet och gränsöverskridande användning, 4) beskrivning av korrigeringsåtgärder, och 5) beskrivning av information om störningen till förlitande parter, innehavare av identifieringsverktyg, förtroendenätet och uppgift om anmälan till andra myndigheter. Vid bedömning av hur betydande en störning är är störningen än mer betydande om den gäller fel i eller missbruk av en elektronisk identitet eller ett sådant hot eller en sådan störning i informationssäkerheten som äventyrar integriteten eller tillförlitligheten i identifieringen. En störning är också än mer betydande om störningen påverkar förtroendenätet.

Kommunikationsverket 72/2016 M 6 (12) 3 kap. Förmedling av uppgifter i förtroendenätet 12 Minimiuppsättning uppgifter som ska förmedlas i förtroendenätet Följande uppgifter ska förmedlas via gränssnitten mellan leverantörer av identifieringsverktyg och leverantörer av tjänster för identifieringsförmedling: 1) vid identifiering av en fysisk person, åtminstone den identifieringsuppgift som identifierar personen, personens förnamn, efternamn och födelsedatum, 2) vid identifiering av en juridisk person, åtminstone den identifieringsuppgift som identifierar den fysiska personen som företräder den juridiska personen, personens efternamn och förnamn och den identifieringsuppgift som identifierar organisationen, 3) om identifieringsverktyget ligger på tillitsnivån väsentlig eller hög. Gränssnitten mellan leverantörer av identifieringsverktyg och leverantörer av tjänster för identifieringsförmedling ska ha beredskap att förmedla följande uppgifter: 1) om en identifieringstransaktion gäller en offentlig eller en privat tjänst för ärendehantering, 2) vid identifiering av en fysisk person; förnamn och efternamn vid födseln, födelseort, nuvarande adress och kön, 3) vid identifiering av en juridisk person a) nuvarande adress b) momsregistreringsnummer c) skatteregisteringsnummer d) den identifikator som avses i artikel 3.1 i Europaparlamentets och rådets direktiv 2009/101/EG 1 e) den identifieringskod för juridiska personer (ID) som avses i kommissionens genomförandeförordning (EU) nr 1247/2012 2 1 Europaparlamentets och rådets direktiv 2009/101/EG av den 16 september 2009 om samordning av de skyddsåtgärder som krävs i medlemsstaterna av de i artikel 48 andra stycket i fördraget avsedda bolagen i bolagsmännens och tredje mans intressen, i syfte att göra skyddsåtgärderna likvärdiga inom gemenskapen (EUT L 258, 1.10.2009, s. 11). 2 kommissionens genomförandeförordning (EU) nr 1247/2012 av den 19 december 2012 om fastställande av tekniska genomförandestandarder för form och frekvens för rapportering om handel till transaktionsregister enligt Europaparlamentets och rådets förordning (EU) nr 648/2012 om OTC-derivat, centrala motparter och transaktionsregister (EUT L 352, 21.12.2012, s. 20).

Kommunikationsverket 72/2016 M 7 (12) f) det registrerings- och identitetsnummer för ekonomiska aktörer (EORI-nummer) som avses i kommissionens genomförandeförordning (EU) nr 1352/2013 3, och g) punktskattenummer som avses i artikel 2.12 i rådets förordning nr 389/2012 4. 13 Uppgifter som förutsätts vid gränsöverskridande identifiering Vid identifiering med finländska identifieringsverktyg i utländska tjänster för ärendehantering ska samma uppgifter förmedlas i gränssnittet mellan leverantören av identifieringsverktyget och leverantören av tjänsten för identifieringsförmedling som vid nationell identifiering i förtroendenätet enligt 12. Uppgifterna ska kunna vidarebefordras mellan tjänsten för identifieringsförmedling och den nationella noden. Dessutom ska man förmedla en uppgift om huruvida identifieringstransaktionen gäller en offentlig eller en privat tjänst för ärendehantering. Vid identifiering med utländska identifieringsverktyg i finländska tjänster för ärendehantering ska den minimiuppsättning uppgifter som fastställts för det internationella eidas-gränssnittet förmedlas via gränssnittet mellan den nationella noden och förmedlingstjänsten, och gränssnittet ska ha beredskap att förmedla de icke-obligatoriska uppgifter som fastställts för det internationella eidas-gränssnittet. Den identifieringsuppgift som identifierar en person ska förmedlas i det format i vilket den nationella noden tar emot uppgiften från det internationella eidas-gränssnittet. Uppgifterna ska kunna vidarebefordras mellan tjänsten för identifieringsförmedling och tjänsten för ärendehantering. Dessutom ska man förmedla en uppgift om huruvida identifieringstransaktionen gäller en offentlig eller en privat tjänst för ärendehantering. 14 Protokoll som används vid dataöverföring samt övriga krav Leverantörer av identifieringsverktyg, leverantörer av tjänster för identifieringsförmedling och leverantörer av tjänster för ärendehantering samt genomföraren av den nationella noden kan sinsemellan avtala om sådana övriga egenskaper för gränssnitten mellan dem och sådana tillämpliga protokoll som inte fastställs i denna föreskrift. 4 kap. Kriterier för kvalitetsrevision av en identifieringstjänst 15 Kriterier för kvalitetsrevision Kvalitetsrevisioner av identifieringstjänster ska omfatta krav på 1) funktioner som påverkar tillhandahållandet av identifieringstjänsten (ett identifieringssystem) a) ledning avseende informationssäkerhet b) registerföring 3 kommissionens genomförandeförordning (EU) nr 1352/2013 av den 4 december 2013 om fastställande av de formulär som avses i Europaparlamentets och rådets förordning (EU) nr 608/2013 om tullens säkerställande av skyddet för immateriella rättigheter (EUT L 341, 18.12.2013, s. 10). 4 Rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004 (EUT L 121, 8.5.2012, s. 1).

Kommunikationsverket 72/2016 M 8 (12) c) anläggningar och personal d) tekniska åtgärder 2) identifieringsmetod, dvs. identifieringsverktyg a) ansökan och registrering b) styrkande och kontroll av den sökandes identitet c) identifieringsmetodens egenskaper och utformning d) utfärdande, leverans och aktivering e) upphävande, återkallelse och återaktivering f) förnyelse och ersättning g) autentiseringsmekanismer. Kvalitetsrevisionerna av de delområden som anges i 1 mom. ska bygga på kraven i autentiseringslagen och denna föreskrift, bestämmelser eller guider som utfärdats av EU eller något annat internationellt organ, offentliggjorda och allmänt eller regionalt tillämpade anvisningar om informationssäkerhet eller allmänt använda standarder eller förfaranden för informationssäkerhet. 16 Utredning om att övriga krav är uppfyllda Leverantören av en identifieringstjänst ska, antingen genom en egen skriftlig utredning eller genom en kvalitetsrevision enligt 15, visa att följande krav på tillförlitlighet hos leverantörer av identifieringstjänster och uppgifter om identifieringstjänsten är uppfyllda: 1) offentliggjorda meddelanden och användaruppgifter (t.ex. identifieringsprinciper, avtalsvillkor och prislistor) 2) en etablerad organisation 3) förmåga att ta skaderisker 4) tillräckliga ekonomiska resurser 5) ansvar för underleverantörer 6) en plan för verksamhetens upphörande. 17 Grunder för bedömning av den nationella noden Bedömningen av informationssäkerheten i den nationella noden ska bygga på ISO/IEC 27001 och Europeiska kommissionens genomförandeförordning (EU) 2015/1501 5. 5 Kommissionens genomförandeförordning om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

Kommunikationsverket 72/2016 M 9 (12) 5 kap. Kompetens hos organ för bedömning av identifieringstjänster 18 Krav på utomstående organ för bedömning av identifieringstjänster Att de oberoende- och kompetenskrav som ställs på bedömningsorgan i 33 i autentiseringslagen är uppfyllda kan visas genom 1) ackreditering utifrån standarden ISO/IEC 27001, eller kompetensen för en bedömning enligt standarden ska visas på något annat sätt, 2) kompetens som har visats i enlighet med en internationellt känd självregleringsmetod som bygger på WebTrust-reglerna, 3) ackreditering utifrån betalkortsstandarden PCI DSS, eller kompetensen för en bedömning enligt standarden ska visas på något annat sätt, 4) kompetens som har visats i enlighet med ISACAs tillsynsram för standarder och informationssystem, eller 5) att visa eller följa en sådan kompetens som förutsätts i andra, med de ovannämnda jämställbara bestämmelser, anvisningar eller standarder för allmän ledning avseende informationssäkerhet eller sektorspecifik reglering eller standardisering. Att visa kompetensen för bedömning av identifieringssystem förutsätter att man också visar hur och till vilka delar de bestämmelser, anvisningar eller standarder som avses i 1 mom. gäller identifieringssystem. 19 Krav på interna organ för kontroll av identifieringstjänster Att de oberoendekrav som ställs på interna kontrollorgan i 33 i autentiseringslagen är uppfyllda kan visas genom att iaktta 1) IIA:s professionella standarder (oberoende och objektivitet i intern kontroll, inkl. organisatorisk oberoende), 2) ISACAs tillsynsram för standarder och informationssystem, 3) BIS (Bank for International Settlements) guide som gäller intern kontroll, 4) föreskrifterna och anvisningarna om intern kontroll i Finansinspektionens samling av föreskrifter och anvisningar, 5) anvisningar eller föreskrifter som motsvarar anvisningar och föreskrifter som utfärdats av tillsynsmyndigheterna i övriga medlemsstater inom EES-området, eller 6) andra, med de ovannämnda jämställbara standarder för myndighetsreglering eller allmän hantering av oberoende intern kontroll. Att visa kompetensen för bedömning av identifieringssystem förutsätter att man också visar hur och till vilka delar en intern kontroll som är organiserad enligt de bestämmelser, anvisningar eller standarder som avses i 1 mom. riktas till identifieringssystemet.

Kommunikationsverket 72/2016 M 10 (12) 6 kap. Kvalificerade betrodda tjänster 20 Kriterier för bedömning av kvalificerad tillhandahållare av betrodda tjänster Kvalificerade tillhandahållare av betrodda tjänster ska uppfylla kraven i eidas-förordningen och standarden EN 319 401. Kvalificerade tillhandahållare av betrodda tjänster som tillhandahåller certifikat ska uppfylla kraven i 1 mom. och standarden EN 319 411-1. Kvalificerade tillhandahållare av betrodda tjänster som beviljar kvalificerade certifikat för elektroniska underskrifter eller stämplar eller autentisering av webbplatser ska uppfylla kraven i 1 och 2 mom. och standarden EN 319 411-2. Kvalificerade tillhandahållare av betrodda tjänster som beviljar kvalificerade tidsstämplingar ska uppfylla kraven i 1 och 2 mom. och standarden EN 319 421. Uppfyllande av kraven kan visas genom att iaktta standarderna i 1 4 mom. eller på något annat sätt på vilket motsvarande tillförlitlighet kan uppnås. 21 Kriterier för bedömning av kvalificerade betrodda tjänster Certifikat som beviljas av kvalificerade betrodda tjänster ska uppfylla kraven i eidas-förordningen på certifikat för elektroniska underskrifter och stämplar och autentisering av webbplatser samt i tillämpliga delar kraven i standarderna EN 319 412-1, EN 319 412-2, EN 319 412-3, EN 319 412-4 och EN 319 412-5. Kvalificerade tidsstämplingstjänster ska använda protokoll och profil för tidsstämpel enligt EN 319 422. Uppfyllande av kraven kan visas genom att iaktta standarderna i 1 2 mom. eller på något annat sätt på vilket motsvarande tillförlitlighet kan uppnås. 7 kap. Organ för bedömning av överensstämmelse hos betrodda tjänster 22 Bedömning av bedömningsorgans kompetens För att ett organ för bedömning av överensstämmelse hos betrodda tjänster ska kunna uppfylla kraven i 33 1 mom. 3 4 punkten i autentiseringslagen ska bedömningsorganet uppfylla kraven i EN 319 403 eller motsvarande krav. För att ett organ för bedömning av överensstämmelse hos betrodda tjänster ska kunna uppfylla kraven i 33 1 mom. 2 punkten i autentiseringslagen ska bedömningsorganet ha tillräcklig kompetens för att utföra bedömningar enligt bedömningskriterierna för tillhandahållare som uppräknas ovan i 20 och för betrodda tjänster som uppräknas i 21.

Kommunikationsverket 72/2016 M 11 (12) 8 kap. Certifiering av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar 23 Krav på anordningar för skapande av elektroniska underskrifter eller stämplar Kraven på en fysisk chipförsedd anordning för skapande av en elektronisk underskrift eller stämpel som användaren äger föreskrivs i EUkommissionens genomförandebeslut (EU) 2016/650 6. 24 Krav på certifieringsorgan För att kraven enligt 36 i autentiseringslagen ska kunna uppfyllas, krävs tillräcklig kompetens och resurser i fråga om den anordning som certifieras för verifiering av de krav som ställs i eidas och kommissionens genomförandebeslut som nämns i 23. Att de krav som avses i 1 mom. är uppfyllda kan visas genom ackreditering eller någon annan redogörelse. Kompetensen kan också visas genom att omfattas av SOGIS-MRA-avtalet mellan vissa certifieringsorgan i EUmedlemsstater eller i medlemsstater i EES-området (Senior Officers Group for Information Systems, Mutual Recognition Agreement). 9 kap. Ikraftträdandebestämmelser 25 Ikraftträdande och övergångsbestämmelser Denna föreskrift träder i kraft den 2 november 2016 och gäller tills vidare. Genom denna föreskrift upphävs Kommunikationsverkets föreskrift 7 B/2009 M om skyldighet för leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller allmänheten kvalificerade certifikat att göra en anmälan om sin verksamhet till Kommunikationsverket, meddelad den 27 augusti 2009, och föreskrift 8 C/2010 M om krav på tillförlitlighet och informationssäkerhet i verksamhet hos leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller kvalificerade certifikat, meddelad den 20 oktober 2010. Om TUPAS-protokollet används för identifieringstjänstens gränssnitt, ska kraven i 2 kap. 7 4 mom. och 8 3 mom. gällande kryptering av personuppgifter på meddelandenivå och kravet i 9 2 mom. gällande kryptering av personuppgifter i gränssnitt för ärendehanteringstjänster och terminalenheten uppfyllas senast den 18 september 2018. Föreskriftens 3 kap. tillämpas fr.o.m. den 1 maj 2017, med undantag för kraven i 12 2 mom. som ska vara uppfyllda senast den 18 september 2018. 6 KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2016/650 av den 25 april 2016 om fastställande av standarder för säkerhetsbedömning av kvalificerade anordningar för skapande av elektroniska underskrifter och stämplar enligt artiklarna 30.3 och 39.2 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

Kommunikationsverket 72/2016 M 12 (12) 26 Erhållande av upplysningar och publicering Föreskriften har publicerats i Kommunikationsverkets föreskriftssamling och kan erhållas vid Kommunikationsverkets kundtjänst: Besöksadress Postadress Östersjögatan 3 A, Helsingfors PB 313, 00181 Helsingfors Telefon 0295 390 100 från utlandet +358 295 390 100 Fax 0295 390 270 från utlandet +358 295 390 270 Webbplats http://www.kommunikationsverket.fi/ FO-nummer 0709019-2 Helsingfors den 2 november 2016 Kirsi Karlamaa generaldirektör Jarkko Saarimäki direktör

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss