Forskrift om frivillige selvdeklarasjonsordninger for sertifikatutstedere.

DatoFOR-2005-11-21-1296
DepartementNærings- og fiskeridepartementet
PublisertI 2005 hefte 13
Ikrafttredelse01.12.2005
Sist endret
Endrer
Gjelder forNorge
HjemmelLOV-2001-06-15-81-§16a
Kunngjort22.11.2005
KorttittelForskrift om selvdeklarasjonsordninger

Kapitteloversikt:

Fastsatt av Nærings- og handelsdepartementet 21. november 2005 med hjemmel i lov 15. juni 2001 nr. 81 om elektronisk signatur (esignaturloven) § 16a. Forskriften er meldt til EFTAs overvåkningsorgan i henhold til kravene i lov 17. desember 2004 nr. 101 om europeisk meldeplikt for tekniske regler (EØS-høringsloven) og direktiv 98/34/EF, endret ved direktiv 98/48/EF.

Innledning

§ 1.Formål og virkeområde

Forskriften etablerer selvdeklarasjonsordninger hvor sertifikatutstedere ved en selvdeklarasjon kan melde fra til et oppnevnt tilsynsorgan om at forskriftens krav er oppfylt. Formålet med forskriften er å høyne sikkerhetsnivået for sertifikattjenester og dermed øke tilliten til og bruken av slike tjenester.

§ 2.Definisjoner

Med «Kravspesifikasjon for PKI i offentlig sektor» menes i denne forskriften den til enhver tid gjeldende versjon av «Kravspesifikasjon for PKI i offentlig sektor».

Øvrige begreper i denne forskriften skal forstås slik de er definert i esignaturloven § 3 og eForvaltningsforskriften § 4.

Krav til selvdeklarasjonsordningene

§ 3.Selvdeklarasjon - sertifikatklasse «Person-Høyt»

Sertifikatutsteder skal oppfylle alle krav angitt som absolutte (A-krav) for sertifikatklasse «Person-Høyt» i «Kravspesifikasjon for PKI i offentlig sektor» som er relevante for aktuelle sikkerhetsprodukter eller -tjenester.

§ 4.Selvdeklarasjon - sertifikatklasse «Person-Standard»

Sertifikatutsteder skal oppfylle alle krav angitt som absolutte (A-krav) for sertifikatklasse «Person-Standard» i «Kravspesifikasjon for PKI i offentlig sektor» som er relevante for aktuelle sikkerhetsprodukter eller -tjenester.

§ 5.Selvdeklarasjon - sertifikatklasse «Virksomhet»

Sertifikatutsteder skal oppfylle alle krav angitt som absolutte (A-krav) for sertifikatklasse «Virksomhet» i «Kravspesifikasjon for PKI i offentlig sektor» som er relevante for aktuelle sikkerhetsprodukter eller -tjenester.

Melding om frivillig selvdeklarasjon mv.

§ 6.Tilsyn

Tilsynsorgan etter denne forskriften skal være Post- og teletilsynet.

§ 7.Krav til meldingens innhold

Selvdeklarasjon etter denne forskriften skal sendes til tilsynsorganet og innholde følgende:

a)sertifikatutsteders navn, organisasjonsnummer, adresse, telefon, telefaks, e-postadresse og kontaktperson,
b)beskrivelse av hvordan kravene etter § 3, § 4 eller § 5 er oppfylt, og
c)sertifikatpolicy, sertifikatpraksis og andre relevante dokumenter som viser at kravene etter bokstav b er oppfylt, inklusiv nettadresse hvor sertifikatpolicy og eventuelt andre dokumenter er publisert.

Tilsynsorganet skal utarbeide standardskjema som skal benyttes ved melding etter første ledd.

§ 8.Meldeplikt om endringer i opplysninger gitt etter § 7

Endrede forhold som påvirker opplysninger gitt etter § 7 skal uten ugrunnet opphold meldes til tilsynsorganet.

Tilsynsorganets oppgaver mv.

§ 9.Tilsynets kontrolloppgaver

Tilsynsorganet skal kontrollere at mottatt melding etter § 7 er fullstendig og at kravene etter § 3, § 4 eller § 5 er oppfylt.

Når særlige grunner tilsier det kan tilsynsorganet gjøre unntak fra bestemmelsene i denne forskrift.

§ 10.Krav om tilleggsinformasjon og revisjon

Dersom tilsynsorganet finner at sertifikatutsteder ikke oppfyller kravene etter § 3, § 4 eller § 5, eller at meldingen etter § 7 ikke er fullstendig, kan tilsynsorganet pålegge sertifikatutsteder innen en angitt tidsfrist å dokumentere at kravene er oppfylt. Dette kan skje ved fremleggelse av dokumentasjon eller på annen måte som tilsynsorganet finner hensiktsmessig.

Tilsynsorganet kan kreve at sertifikatutsteder foretar en revisjon for å vise at kravene i § 3, § 4 eller § 5 er oppfylt. Revisjonen skal foretas av en uavhengig tredjepart godtatt av tilsynsorganet og resultatet av revisjonen skal sendes tilsynsorganet.

§ 11.Offentliggjøring av informasjon om sertifikatutsteder mv.

Tilsynsorganet skal publisere en liste med opplysninger om sertifikattyper som sertifikatutstedere har selvdeklarert etter denne forskriften, sammen med mottatt melding etter § 7.

Tilsynsorganet kan nekte publisering etter første ledd dersom mottatt melding ikke oppfyller kravene i § 7, eller at det er åpenbart for tilsynsorganet at kravene etter § 3, § 4 eller § 5 ikke er oppfylt.

Tilsynsorganet skal fjerne aktuell sertifikattype fra publisert liste etter første ledd dersom sertifikatutsteder ikke etterkommer tilsynsorganets pålegg etter § 10 eller § 12, eller kravene i § 8.

§ 12.Endringer i «Kravspesifikasjon for PKI i offentlig sektor»

Tilsynsorganet skal informere sertifikatutstedere med sertifikattype oppført på liste publisert etter § 11 første ledd om endringer i «Kravspesifikasjon for PKI i offentlig sektor» med nærmere angivelse av tidsfrist for oppfyllelse av de nye kravene. Tidsfristen kan ikke være kortere enn seks (6) måneder.

Tilsynsorganet kan pålegge sertifikatutsteder å dokumentere at de nye kravene er oppfylt i forhold til selvdeklarerte sikkerhetsprodukter eller -tjenester. Dette kan skje ved fremleggelse av dokumentasjon eller på annen måte som tilsynsorganet finner hensiktsmessig. Tilsynsorganet kan også kreve at sertifikatutsteder sender inn en komplett ny melding etter § 7 eller gjennomfører revisjon etter § 10 annet ledd.

Øvrige bestemmelser

§ 13.Tvangsmulkt

Tilsynsorganet kan ilegge sertifikatutsteder tvangsmulkt etter esignaturloven § 16a dersom sertifikatutsteder i salgs- og markedsføringsøyemed uriktig angir at sertifikattypen er oppført på liste publisert etter § 11 første ledd, eller på annen måte uriktig angir at sertifikattypen er en del av ordningene etablert etter denne forskriften.

§ 14.Gebyr

Sertifikatutsteder som sender inn melding etter § 7 kan pålegges å betale et årlig gebyr til tilsynsorganet etter esignaturloven § 16a og forskrift 21. februar 2005 nr. 168 om gebyr til Post- og teletilsynet § 5.

Tilsynsorganet kan nekte oppføring på liste publisert etter § 11 første ledd før gebyr er betalt.

§ 15.Klageinstans

Moderniseringsdepartementet er klageinstans for tilsynsorganets enkeltvedtak fastsatt i henhold til § 9 til § 13.

Klage over gebyrer avgjøres av Samferdselsdepartementet etter forskrift 21. februar 2005 nr. 168 om gebyr til Post- og teletilsynet.

§ 16.Ikrafttredelse

Forskriften trer i kraft 1. desember 2005.