Bezpečnostní výzkum  

Přejdi na

Státní služba  


Rychlé linky: Mapa serveru Textová verze Rozšířené vyhledávání


 

Hlavní menu

 

 

Ministerstvo vnitra zveřejňuje upřesňující dokument pro účely akreditace subjektů posuzování shody

Nařízení eIDAS stanovuje základní společné požadavky na dohled nad poskytovateli služeb vytvářejících důvěru s cílem zajistit srovnatelnou úroveň bezpečnosti kvalifikovaných služeb vytvářejících důvěru. 

Jedním z těchto požadavků je, aby se kvalifikovaní poskytovatelé služeb vytvářejících důvěru podrobovali alespoň jednou za 24 měsíců auditu ze strany subjektu posuzování shody (subjekt vymezený v čl. 2 bodě 13 nařízení (ES) č. 765/2008, který je v souladu s uvedeným nařízením akreditován jako způsobilý provádět posuzování shody kvalifikovaného poskytovatele služeb vytvářejících důvěru a jím poskytovaných kvalifikovaných služeb vytvářejících důvěru).

Dále, pokud poskytovatel služeb vytvářejících důvěru má v úmyslu začít poskytovat kvalifikovanou službu vytvářející důvěru, musí podle nařízení eIDAS předložit orgánu dohledu oznámení o svém úmyslu společně se zprávou o posouzení shody vydanou subjektem posuzování shody.

Akreditovaný subjekt posuzování shody vystupuje v roli nezávislé třetí strany, která přezkoumá, zda jsou splněny použitelné požadavky nařízení eIDAS kladené na kvalifikovaného poskytovatele služeb vytvářejících důvěru a na kvalifikovanou službu vytvářející důvěru.

V rámci procesu akreditace subjektů posuzování shody musí být prokázáno, že kandidát splňuje požadavky nestrannosti, odborné kompetentnosti apod. Akreditaci subjektů posuzování shody provádí národní akreditační orgány. V České republice je tímto orgánem Český institut pro akreditaci, o.p.s. (http://www.cia.cz/).

Níže uvedený dokument je určen k upřesnění požadavků pro akreditaci subjektů posuzování shody a obsahuje výčet použitelných požadavků nařízení eIDAS kladených na kvalifikované poskytovatele služeb vytvářejících důvěru a na jimi poskytované kvalifikované služby vytvářející důvěru a odkazy na příslušné části technických norem, standardů a specifikací, jejichž splněním je možno demonstrovat soulad s požadavky nařízení eIDAS, případně také výčet technických norem, standardů a specifikací, které se váží ke konkrétní oblasti.     

Primárním zdrojem pro vypracování dokumentu byl dokument „Analysis of standards related to Trust Service Providers Mapping of requirements of eIDAS to existing standards“ vydaný agenturou ENISA (Agentura Evropské unie pro bezpečnost sítí a informací). Dokument je dostupný na adrese: https://www.enisa.europa.eu/publications/tsp_standards_2015.

Pro aplikaci nové verze dokumentu DKP (verze 3) byly stanoveny následující přechodná opatření, která se počítají od data publikace dokumentu DKP v3 (tj. od 29.1.2020):

  1. Přechodné období pro Český institut pro akreditaci, o.p.s.: 3 měsíce od data publikace dokumentu.

  2. Přechodné období pro subjekty posuzovány shody (certifikační orgány): 3 + 15 měsíců = 18 měsíců od data publikace dokumentu.
    Každých 15 měsíců probíhá dozorová návštěva ČIA u certifikačního orgánu. Posouzení podle DKP v3 proběhne na základě žádosti subjektu.

  3. Přechodné období pro kvalifikované poskytovatele služeb vytvářejících důvěru: 18 + 12 měsíců: 30 měsíců od data publikace dokumentu.
    Certifikační orgán provádí audit u kvalifikovaného poskytovatele služeb vytvářejících důvěru každých 24 měsíců. V polovině této lhůty provádí certifikační orgán dozorový audit, během kterého lze kvalifikovaného poskytovatele posoudit za využití DKP v3.

  

Na základě žádosti byla vytvořena nová verze dokumentu DKP v4, která obsahuje oproti DKP v3 nově přidané požadavky pro kvalifikovanou službu elektronického doporučeného doručování. K jiným změnám oproti dokumentu DKP v3 nedošlo.

Pro aplikaci DKP v4 platí následující:

  • Pokud subjekt posuzování shody (certifikační orgán) si přeje certifikovat rovněž služby elektronického doporučeného doručování, pak může požádat o posouzení dle dokumentu DKPv4 ihned poté, kdy Český institut pro akreditaci, o.p.s. implementuje do svých postupů posouzení certifikačních orgánů dle DKP v4.

  • V případě, že subjekt posuzování shody (certifikační orgán)  nemá zájem tyto služby certifikovat, pak se nechá posoudit podle DKP v4 během pravidelné dozorové návštěvy Českého institutu pro akreditaci, o.p.s.  u certifikačního orgánu a to pro ty služby, které si přeje certifikační orgán certifikovat.

  • Pokud by se nový zájemce chtěl stát certifikačním orgánem, pak se nechá posoudit již podle DKP v4 (samozřejmě pro tu část služeb, kterou si přeje certifikovat).
     

Časový rámec:

  1. Implementace dokumentu DKP v4 pro Český institut pro akreditaci, o.p.s.: 3 měsíce od data publikace dokumentu na webových stránkách MVČR (04.03.2021).

  2. Přechodné období pro subjekty posuzovány shody (certifikační orgány): 3 + 15 měsíců = 18 měsíců od data publikace dokumentu. Každých 15 měsíců probíhá dozorová návštěva ČIA u certifikačního orgánu. Posouzení podle DKP v4 proběhne na základě žádosti subjektu. Jak je uvedeno výše, rozdíl mezi DKP v3 a  DKP v4 spočívá pouze v požadavcích na kvalifikovanou službu elektronického doporučeného doručování. Pokud certifikační orgán nemá v plánu certifikovat tyto služby, pak pro něj není rozdíl mezi DKP v3 a DKP v4.
     

Z výše uvedeného plyne, že nejpozději po 18 měsících od data publikace dokumentu DKP v4, budou všechny certifikační orgány posouzeny na dokument DKP v4.

  

Aktuální verze:

Předcházející verze:

  

Po účely upřesnění kap. 2.3 a kap. 3 dokumentu DKP verze 4, pokud jde o kritéria, která subjekt posuzování shody ověří při tvorbě zprávy o posouzení shody v případě, kdy k ověření totožnosti žadatelů o vydání kvalifikovaného certifikátu poskytovatel plánuje použít identifikační metodu v souladu s čl. 24 odst. 1 písm. d) nařízení eIDAS a kdy je použit prostředek pro elektronickou identifikaci, který nesplňuje požadavky čl. 24 odst. 1 písm. b) nařízení eIDAS, byl vypracován následující dokument:

Upřesnění ke kap. 2.3. a kap. 3. dokumentu DKP verze 4 (verze 1.0) (pdf, 558 kB)

  

vytisknout  e-mailem