Rządowy projekt ustawy o podpisach elektronicznych

pisemnej w łatwo zrozumiałym jĊzyku. Istotne elementy
tej informacji udostĊpnia siĊ na wniosek stronom
trzecim które powołują siĊ na certyfikat.
l) stosowaü godne zaufania systemy do
przechowywania certyfikatów w formie umoĪliwiającej
weryfikacjĊ, tak Īe:
— tylko osoby uprawnione mogą wprowadzaü i
zmieniaü dane;
— moĪna sprawdziü prawdziwoĞü informacji;
— certyfikaty są udostĊpniane publicznie do celów
wyszukiwaĔ tylko w wypadkach gdy właĞciciel
certyfikatu wyraził na to zgodĊ;
— wszelkie zmiany techniczne, które naruszają te
wymogi bezpieczeĔstwa, są widoczne dla operatora.
Załącznik 1. Bezpieczne urządzenia słuĪące do składania
T
Art. 26.
1. Bezpieczne urządzenie do składania podpisu
III
podpisów muszą przez właĞciwe Ğrodki techniczne i
1. ,3. i
elektronicznego powinno w szczególnoĞci:
proceduralne zapewniü co najmniej, Īe:
4.
1) uniemoĪliwiaü pozyskiwanie danych do składania
a) dane uĪyte do złoĪenia podpisu praktycznie stykają
podpisu elektronicznego;
siĊ tylko raz oraz zapewniona jest ich poufnoĞü w
2) uniemoĪliwiaü zmianĊ danych, które mają zostaü
rozsądny sposób;
podpisane elektronicznie oraz umoĪliwiü, by dane te
b) moĪna mieü wystarczającą pewnoĞü, Īe dane
zostały przedstawione podpisującemu przed
słuĪące do składania podpisu uĪyte do złoĪenia
złoĪeniem podpisu;
podpisu nie mogą, byü pozyskane poprzez dedukcjĊ
3. Minister właĞciwy do spraw gospodarki okreĞli, w
oraz podpis jest chroniony przed fałszowaniem za
drodze rozporządzenia, szczegółowe warunki
pomocą aktualnie
techniczne, jakim powinny odpowiadaü bezpieczne
dostĊpnej technologii;
urządzenia do składania podpisów elektronicznych,
c) dane uĪyte do złoĪenia podpisu mogą byü chronione
aplikacje do składania podpisu elektronicznego oraz
przez uprawnionego podpisującego przed uĪyciem
wymagania jakie powinna spełniaü bezpieczna
przez innych w sposób godny zaufania.
weryfikacja podpisu elektronicznego, uwzglĊdniając
2. Bezpieczne urządzenia słuĪące do składania
normy i standardy techniczne okreĞlone w przepisach
podpisu nie mogą zmieniaü danych które mają byü
art. 10 ust. 4.
podpisane ani
4. Badanie zgodnoĞci urządzeĔ i procesów, o których
nie mogą uniemoĪliwiaü, by dane te zostały
mowa w ust. 1 i 2, ze standardami i normami, o
przedstawione podpisującemu przed złoĪeniem
których mowa w art. 10 ust. 4, nastĊpuje na zasadach
podpisu.
okreĞlonych w przepisach odrĊbnych.
Załącznik Podczas procesu weryfikacji podpisu naleĪy zapewniü
T
Art. 26.
Weryfikacja podpisu elektronicznego zapewnia, Īe
IV
z wystarczającym marginesem bezpieczeĔstwa, Īeby:
2.
1) dane uĪywane do weryfikacji podpisu
a) dane uĪyte do weryfikacji podpisu odpowiadały
elektronicznego odpowiadają danym, które są
danym, które widzi weryfikujący;
przedstawiane osobie weryfikującej ten podpis;
b) podpis był weryfikowany w sposób godny zaufania, a
2) podpis elektroniczny jest weryfikowany rzetelnie, a
wynik tej weryfikacji był właĞciwie przedstawiany;
wynik weryfikacji prawidłowo przedstawiany;
c) weryfikujący mógł w razie potrzeby, w sposób godny
3) osoba weryfikująca moĪe, w sposób nie budzący
zaufania okreĞliü treĞü podpisanych danych;
wątpliwoĞci, ustaliü zawartoĞü podpisanych danych;
d) prawdziwoĞü i waĪnoĞü certyfikatu wymaganego w
4) autentycznoĞü i waĪnoĞü certyfikatu i danych
czasie weryfikacji były weryfikowalne w sposób godny
podpisanych elektronicznie jest rzetelnie
zaufania;
weryfikowana;
e) wynik weryfikacji i toĪsamoĞü podpisującego były
5) wynik potwierdzenia toĪsamoĞci podpisującego
pokazywane we właĞciwy sposób;
jest przedstawiany w sposób jednoznaczny;
f) uĪycie pseudonimu było jasno wskazane; oraz
6) uĪycie pseudonimu jest jednoznacznie wskazane;
g) wszelkie zmiany mające wpływ na bezpieczeĔstwo
7) wszelkie zmiany wpływające na bezpieczeĔstwo
mogły zostaü rozpoznane.
weryfikacji są rozpoznawane.
32=267$â( 35=(3,6< 352-(.78
-HGQ
7UHĤþ SU]HSLVX SURMHNWX NUDMRZHJR
8]DVDGQLHQLH ZSURZDG]HQLD SU]HSLVX
UHG
Art.2.3)
3) pieczĊü elektroniczna – dane w postaci
Dyrektywa Unii Europejskiej podkreĞlając dynamiczny charakter usług certyfikacyjnych
elektronicznej, przyporządkowane danemu
oraz innych usług związanych z podpisem elektronicznym dopuszcza otwarty katalog
podmiotowi w taki sposób, Īe moĪliwa jest jego
nowych usług, takich jak m.in. pieczĊü elektroniczna, certyfikaty atrybutów czy
identyfikacja, dołączone do innych danych lub z nimi
potwierdzenie waĪnoĞci certyfikatów. Punkt 9 Preambuły do Dyrektywy 1999/93/WE
logicznie powiązane tak, Īe kaĪda póĨniejsza
stanowi, Īe "Podpisy elektroniczne wykorzystywane bĊdą w wielu róĪnych aplikacjach
zmiana tych danych jest wykrywalna;
komputerowych i okolicznoĞciach, co spowoduje pojawienie siĊ szeregu NOWYCH
USŁUG i produktów, związanych lub stosujących podpisy elektroniczne; DEFINICJA
TAKICH produktów i USŁUG nie powinna ograniczaü siĊ do wystawiania i zarządzania
certyfikatami, lecz powinna zawieraü wszystkie pozostałe usługi i produkty, które
korzystają z podpisów elektronicznych lub są z nimi związane, takie jak usługi
dotyczące rejestrowania, znakowania czasem, prowadzenia spisów, informatyczne lub
konsultacyjne związane z podpisami elektronicznymi."
Art.8.
Przyjmuje siĊ, Īe dokument elektroniczny nie uległ
j.w.
zmianie po opatrzeniu go pieczĊcią elektroniczną i
jest autentyczny
Art.13.
Art. 13. Minister właĞciwy do spraw gospodarki
j.w.
moĪe okreĞliü, w drodze rozporządzenia, wymagania
techniczne i organizacyjne, które muszą spełniaü
podmioty Ğwiadczące usługi certyfikacyjne w
zakresie pieczĊci elektronicznej, certyfikatów
atrybutów i potwierdzania waĪnoĞci certyfikatów,
uwzglĊdniając koniecznoĞü zapewnienia ochrony
interesów odbiorców usług certyfikacyjnych.
ROZDZIAŁ IX Zmiany w przepisach obowiązujących
Przepisy niezbĊdne z punktu widzenia prawidłowego zafunkcjonowania nowej ustawy
ROZDZIAŁ X Przepisy przejĞciowe
oraz dostosowania funkcjonowania instytucji i systemów. Ponadto przepisy uchylające i
ROZDZIAŁ XI Przepisy koĔcowe
zmieniające przepisy innych ustaw wymagane z uwagi na prawidłowoĞü legislacyjną
projektu.
 Z Z\SDGNX SURMHNWX XVXZDMĈFHJR QDUXV]HQLH .RPLVML QDOHİ\ ZSLVDþ QU QDUXV]HQLD ]DĤ Z Z\SDGNX Z\NRQ\ZDQLD RU]HF]Hę 7U\EXQDãX 6SUDZLHGOLZRĤFL F]\ WR
Z WU\ELH SUHMXG\FMDOQ\P F]\ VNDUJRZ\P QDOHİ\ SRGDþ GDWč Z\URNX L V\JQDWXUč VSUDZ\
 WDEHOč ]ELHİQRĤFL GOD SU]HSLVyZ 8QLL (XURSHMVNLHM PRİQD Z\JHQHURZDþ SU]\ SRPRF\ V\VWHPX HVWHS ZZZFVWHSSO XU]čGQLN : Z\SDGNX NRQLHF]QRĤFL
GRGDQLD X]DVDGQLHQLD GOD SU]HNURF]HQLD PLQLPXP HXURSHMVNLHJR QDOHİ\ GRGDþ RGSRZLHGQLĈ NROXPQč
 Z WHM F]čĤFL QDOHİ\ ZVND]Dþ SU]HSLV\ G\UHNW\Z\ GHF\]ML UDPRZHM SU]HSLV\ SUDZD 8( NWyU\FK QDUXV]HQLH ZVND]DãD .RPLVMD OXE NWyU\FK Z\NãDGQL GRNRQDã
7U\EXQDã 6SUDZLHGOLZRĤFL
 Z WHM F]čĤFL QDOHİ\ ZVND]Dþ ZV]\VWNLH SU]HSLV\ SURMHNWX DNWX SUDZQHJR NWyUH QLH ]RVWDã\ Z\PLHQLRQH Z SLHUZV]HM F]čĤFL WDEHOL =H Z]JOčGX QD NRQLHF]QRĤþ
RJUDQLF]HQLD SURMHNWyZ LPSOHPHQWXMĈF\FK SUDZR 8OL GR SU]HSLVyZ Z\ãĈF]QLH L ĤFLĤOH GRVWRVRZDZF]\FK SU]HSLV\ Z\NUDF]DMĈFH SR]D WHQ ]DNUHV SRZLQQ\ PLHþ
FKDUDNWHU Z\MĈWNRZ\ L E\þ RSDWU]RQH X]DVDGQLHQLHP NRQLHF]QRĤFL LFK ZSURZDG]HQLD 
MHİHOL GR ZGURİHQLD GDQHJR SU]HSLVX 8( SRWU]HEQH MHVW RSUyF] SU]HSLVX SU]HQRV]ĈFHJR WUHĤþ WDNİH ZSURZDG]HQLH SU]HSLVyZ ]DSHZQLDMĈF\FK VWRVRZDQLH QS
SU]HSLV\ SURFHGXUDOQH SU]HSLV\ NDUQH LWS Z WDEHOL SRZLQQ\ ]QDOHĮþ VLč ZV]\VWNLH WH SU]HSLV\ ZUD] ] R]QDF]HQLHP LFK MHGQRVWHN UHGDNF\MQ\FK
Z Z\SDGNX ZSURZDG]HQLD SU]HSLVyZ NWyUH SU]HNUDF]DMĈ PLQLPXP XVWDQRZLRQH SU]HSLVDPL 8( R LOH MHVW WR GRSXV]F]DOQH NRQLHF]QH MHVW X]DVDGQLHQLH
]DVWRVRZDQLD WDNLHM QRUP\
Projekt
ROZPORZĄDZENIE
MINISTRA GOSPODARKI1)
z dnia
w sprawie określenia wykazu norm lub standardów technicznych oprogramowania,
sprzętu, które s używane do świadczenia usług podpisu elektronicznego lub do
składania i weryfikacji podpisów elektronicznych 2)

Na podstawie art. 10 ust. 4 ustawy z dnia …….. o podpisach elektronicznych (Dz. U.
Nr , poz. ) zarządza się co następuje:

§1. Rozporządzenie zawiera wykaz norm lub standardów technicznych, określających
wymagania dotyczące oprogramowania, sprzętu lub ich istotne składniki, które są używane
do udostępnienia usług podpisu elektronicznego lub do składania, lub weryfikacji podpisów
elektronicznych, uwzględniając bezpieczeństwo świadczenia usług certyfikacyjnych.

§2. Za normy i standardy techniczne określające wymagania dotyczące oprogramowania
uznaje się następujące dokumenty:
1) Specyfikacja techniczna CWA 14170 Security requirements for signature creation
applications, wydana przez European Commitee for Standarization (CEN);
2) Specyfikacja techniczna CWA 14171 General guidelines for electronic signature
verification, wydana przez European Commitee for Standarization (CEN);
3) Specyfikacja techniczna RFC 2560 X.509 Internet Public Key Infrastructure Online
Certificate Status Protocol – OCSP, wydana przez IETF (Internet Engineering Task
Force);
4) Specyfikacja techniczna CWA 14167-1 Security Requirements for Trustworthy
Systems Managing Certificates for Electronic Signatures - Part 1: System Security
Requirements wydana przez European Commitee for Standarization (CEN).

§3. Za normy i standardy techniczne określające wymagania dotyczące sprzętu uznaje się
następujące dokumenty:
1) Specyfikacja techniczna CWA 14169 Secure signature-creation devices "EAL 4+",
wydana przez European Commitee for Standarization (CEN).

§4. Za normy i standardy techniczne określające wymagania dotyczące istotnych
składników sprzętu i oprogramowania uznaje się dokumenty:
1) Specyfikacja techniczna ETSI TS 101 733 CMS Advanced Electronic Signatures
(CAdES), wydana przez ETSI (European Telecommunications Standards Institute);
2) Specyfikacja techniczna ETSI TS 101 903 XML Advanced Electronic Signatures
(XAdES), wydana przez ETSI (European Telecommunications Standards Institute);
3) Specyfikacja techniczna ETSI TS 101 778 PDF Advanced Electronic Signature
Profiles, wydana przez ETSI (European Telecommunications Standards Institute);
4) Specyfikacja techniczna RFC 5755 An Internet Attribute Certificate Profile for
Authorization, wydana przez IETF (Internet Engineering Task Force);
                                                           
1) Minister Gospodarki kieruje działem administracji rządowej – gospodarka, na podstawie § 1 ust. 2
rozporządzenia Prezesa Rady Ministrów z dnia 16 listopada 2007 r. w sprawie szczegółowego zakresu
działania Ministra Gospodarki (Dz. U. Nr 216, poz. 1593).
2) Niniejsze rozporządzenie zostało notyfikowane Komisji Europejskiej w dniu … 2010 r., pod numerem …,
zgodnie z § 4 rozporządzenia Rady Ministrów z dnia 23 grudnia 2002 r. w sprawie sposobu funkcjonowania
krajowego systemu notyfikacji norm i aktów prawnych (Dz. U. Nr 239 , poz. 2039 oraz z 2004 r. Nr 65 ,
poz. 597), które wdraża postanowienia dyrektywy 98/34/WE z dnia 22 czerwca 1998 r. ustanawiającej
procedurę udzielania informacji w zakresie norm i przepisów technicznych (Dz. Urz. WE L 204 z
21.07.1998, z poźn. zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 20, str. 337).




5) Specyfikacja techniczna TS 102 280 X.509 V.3 Certificate Profile for Certificates
Issued to Natural Persons, wydana przez European Telecommunications Standards
Institute z zastrzeżeniem , iż w przypadku odwołań do dokumentu SR 002 176 należy
stosować odwołania do specyfikacji technicznej ETSI TS 102 176-1;
6) Specyfikacja techniczna RFC 3739 Internet X.509 Public Key Infrastructure:

Qualified Certificates Profile, wydana przez IETF (Internet Engineering Task Force);
7) Specyfikacja techniczna ETSI TS 101 862 Qualified Certificate Profile, wydana przez
ETSI (European Telecommunications Standards Institute);
8) Specyfikacja techniczna ETSI TS 101 861 – time stamping profile, wydana przez
ETSI (European Telecommunications Standards Institute);
9) Specyfikacja techniczna RFC 5280 Internet X.509 Public Key Infrastructure
Certificate and Certificate Revocation List (CRL) Profile, wydana przez Internet
Engineering Task Force (IETF);
10) Specyfikacja techniczna ISCO-88 International Standard Classification of
Occupations;
11) Specyfikacja techniczna FIPS PUB 140 Security Requirements for Cryptographic
Modules, wydana przez National Institute of Standards and Technology;
12) Specyfikacja techniczna CWA 14167-2 Cryptographic module for CSP signing
operations with backup - Protection profile - CMCSOB PP, wydana przez European
Commitee for Standarization (CEN)
13) Specyfikacja techniczna CWA 14167-3 Cryptographic module for CSP key generation
services protection profile CMCKG-PP, wydana przez European Commitee for
Standarization (CEN)
14) Specyfikacja techniczna CWA 14167-3 Cryptographic module for CSP signing
operations – Protection profile - CMCSO PP, wydana przez European Commitee for
Standarization (CEN).
15) Norma ISO/IEC 8824 - Information technology - Open Systems Interconnection -
Specification of Abstract Syntax Notation One (ASN.1), wydana przez International
Organization for Standardization;
16) Norma ISO/IEC 15946-2 - Information technology - Security techniques -
Cryptographic techniques based on elliptic curves - Part 2: Digital signatures, do
wydania przez International Organization for Standardization;
17) Norma ISO/IEC 9594-8 - Information technology - Open Systems Interconnection -
The Directory: Authentication framework;
18) Norma PN-ISO/IEC 9834 - Technika informatyczna - Współdziałanie systemów
otwartych - Procedury organów rejestracji OSI;
19) Norma PN-EN 45014 - Ogólne kryteria deklaracji zgodności składanej przez
dostawcę;
20) Norma ISO 3166 - Codes for the representation of countries and their subdivisions;
21) Norma ISO/IEC 4217 - Codes for representation of currencies and funds.


§5. Za normy i standardy techniczne określające wymagania bezpieczeństwa uznaje sie
następujące dokumenty:
1) Specyfikacja techniczna ETSI TS 102 042 Policy requirements for certification
authorities issuing public key certificates, wydana przez European
Telecommunications Standards Institute;
2) Specyfikacja techniczna ETSI TS 102 158 Policy requirements for Certification
Service Providers issuing attribute certificates usable with Qualified certificates,
wydana przez ETSI (European Telecommunications Standards Institute);
3) Specyfikacja techniczna ETSI TR 102 044 Requirements for role and attribute
certificates, wydana przez ETSI (European Telecommunications Standards Institute);
- 2 -