Staðlar sem gilda um nánari framkvæmd laga nr. 55/2019
Ráðherra hefur falið Fjarskiptastofu að birta og uppfæra á vefsíðu sinni tilvísunarnúmer staðla sem gilda um nánari framkvæmd laga um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti nr. 55/2019, sbr. 3. gr. reglugerðar nr. 100/2020. Áðurgreind lög innleiddu reglugerð Evrópusambandsins nr. 910/2014 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti á innri markaðinum (hér eftir eIDAS).
Framkvæmdarákvarðanir framkvæmdastjórnarinnar (ESB) 2015/1505, 2015/1506 og 2016/650 auk framkvæmdarreglugerðar framkvæmdastjórnarinnar (ESB) 2015/1501 tilgreina m.a. staðla sem gilda um nánari framkvæmd laga nr. 55/2019 og eIDAS-reglugerðarinnar, sbr. 5. gr. reglugerðar nr. 100/2020. Staðlarnir verða raktir hér að neðan.
Staðlar um öryggismat upplýsingatæknivara, sem gilda um vottun fullgilds rafræns undirskriftarbúnaðar eða fullgilds rafræns innsiglisbúnaðar skv. a-lið 3. mgr. 30. gr. eða 2. mgr. 39. gr. eIDAS-reglugerðarinnar, þar sem rafrænu undirskriftargögnin eða rafrænu innsiglisgögnin eru geymd í umhverfi sem er að fullu en ekki endilega stjórnað af notanda, sbr. framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2016/650:
ISO/IEC 15408 – Information technology – Security techniques – Evaluation criteria for IT security, Parts 1 to 3:
- ISO/IEC 15408-1:2009 – Part 1. ISO, 2009
- ISO/IEC 15408-2:2008 – Part 2. ISO, 2008
- ISO/IEC 15408-3:2008 – Part 3. ISO, 2008
______________________________________________________________________________________________________________________
______________________________________________________________________________________________________________________
ÍST EN 419 211 – Protection profiles for secure signature creation device, Parts 1 to 6, eftir því sem við á:
- ÍST EN 419211-1:2014 – Verndarsnið fyrir öruggan undirskriftarbúnað - Hluti 1: Yfirlit (Protection profiles for secure signature creation device - Part 1: Overview)
- ÍST EN 419211-2:2013 – Verndarsnið fyrir öruggan undirskriftarbúnað – Hluti 2: Búnaður sem styðst við lyklamyndun (Protection profiles for secure signature creation device – Part 2: Device with key generation)
ÍST EN 419211-3:2013 – Verndarsnið fyrir öruggan undirskriftarbúnað – Hluti 3: Búnaður sem styðst við lyklaflutning (Protection profiles for secure signature creation device – Part 3: Device with key import)
- ÍST EN 419211-4:2013 – Verndarsnið fyrir öruggan undirskriftarbúnað - Hluti 4: Viðbætur við tæki með lyklamyndun og trausta tengingu við skilríkjamyndunarbúnað (Protection profiles for secure signature creation device – Part 4: Extension for device with key generation and trusted channel to certificate generation application)
- ÍST EN 419211-5:2013 – Verndarsnið fyrir öruggan undirskriftarbúnað – Hluti 5: Viðbætur við tæki með lyklamyndun og trausta tengingu við undirskriftarbúnað (Protection profiles for secure signature creation device – Part 5: Extension for device with key generation and trusted channel for signature creation application)
- ÍST EN 419211-6:2014 – Verndarsnið fyrir öruggan undirskriftarbúnað – Hluti 6: Viðbætur við tæki með lyklainnflutning og trausta tengingu við undirskriftarbúnað (Protection profiles for secure signature creation device – Part 6: Extension for device with key import and trusted channel to signature creation application)
Útfærðar rafrænar undirskriftir, sem getið er í 1. gr. framkvæmdarákvörðunar framkvæmdastjórnarinnar (ESB) 2015/1506, og útfærð rafræn innsigli, sem getið er í 3. gr. ákvörðunarinnar, verða að uppfylla eina af eftirtöldum tækniforskriftum Fjarskiptastaðlastofnunar Evrópu að undanskildum 9. lið hennar:
XAdES Baseline Profile:
CAdES Baseline Profile:
PAdES Baseline Profile:
Tengd undirskriftar- eða innsiglisumlykja, sem um getur í 1. eða 3. gr. framkvæmdarákvörðunar framkvæmdastjórnarinnar (ESB) 2015/1506, verður að uppfylla eftirfarandi tækniforskriftir:
Associated Signature Container Baseline Profile:
Staðall fyrir umgjörð samvirkni skv. 8. mgr. 12. gr. eIDAS reglugerðarinnar, sbr. framkvæmdarreglugerð framkvæmdastjórnarinnar (ESB) 2015/1501:
Stjórnendur nóða sem veita sannvottun skulu sýna fram á, að því er varðar nóður sem eru hluti af umgjörð samvirkni, að nóðan fullnægi kröfum staðalsins ISO/IEC 27001 – Information Security Management með vottun eða með jafngildum matsaðferðum eða með því að uppfylla landslöggjöf.
Tækniforskriftir og snið fyrir traustlista skv. 5. mgr. 22. gr. eIDAS reglugerðarinnar, sbr. framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2015/1505:
- Ítarlegar forskriftir fyrir sameiginlegt sniðmát fyrir traustlistana byggjast á forskriftunum og kröfunum sem koma fram í ETSI TS 119 612 – Electronic Signatures and Infrastructures (ESI) – Trusted Lists. Ef engin sértæk krafa er tilgreind í forskriftum framkvæmdarákvörðunarinnar skulu kröfurnar í 5. og 6. lið ETSI TS 119 612 gilda í heild sinni. Ef sértækar kröfur eru settar fram í forskriftum ákvörðunarinnar skulu þær ganga framar samsvarandi kröfum í ETSI TS 119 612. Komi misræmi í ljós milli forskrifta ákvörðunarinnar og forskriftanna í ETSI TS 119 612 skulu þær fyrrgreindu ganga framar.
- Scheme type/community/rules svæði skal innihalda a.mk. tvö vefföng á breskri ensku, þ.á.m. sértækt veffang fyrir traustlista hvers aðildarríkis, sem vísar til lýsandi texta sem skal gilda um traustlista þess aðildarríkis http://uri.ets.org/TrstSvc/TrustedList/schemerules/CC þar sem CC = ISO 3166-1: Codes for the representation of names of countries and their subdivisions – Part 1: Country Codes alpha-2 landskóðinn sem notaður er í „Scheme territory“-svæðinu (liður 5.3.10).
Samfella traustlista, sbr. framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2015/1505:
Skilríki sem tilkynna á framkvæmdastjórninni um skv. 2. mgr. 4. gr. ákvörðunarinnar skulu uppfylla kröfur liðar 5.7.1 í ETSI TS 119 612 – Electronic Signatures and Infrastructures (ESI) – Trusted Lists.
Forskriftir fyrir útgáfu traustlistans sem er læsileg mönnum, sbr. framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2015/1505:
Ef tekin er saman og birt útgáfa af traustlistanum sem er læsileg mönnum skal hún vera á PDF-skjalsniði skv. ISO 32000-1:2008: Document management – Portable document format – Part 1: PDF 1.7 sem skal vera í samræmi við PDF/A-snið skv. ISO 19005-2:2011: Document management – Electronic document file format for long-term preservation – Part 2: Use of ISO 32000-1 (PDF/A-2). Þá skal skipan útgáfunnar sem er læsileg mönnum endurspegla röklegu fyrirmyndina sem lýst er í ETSI TS 119 612.
Sniðmát fyrir tilkynningar aðildarríkjanna, sbr. II. viðauka við framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2015/1505:
Upplýsingarnar sem aðildarríkjunum ber að tilkynna um skv. 1. mgr. 4. gr. ákvörðunarinnar skulu nota ISO 3166-1: Codes for the representation of names of countries and their subdivisions – Part 1: Country Codes, þó með undantekningum.
Aðrar framkvæmdargerðir sem gilda um nánari framkvæmd laga nr. 55/2019 og eIDAS-reglugerðarinnar án þess að kveða á um gildandi staðla:
- Framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2015/296 um verklag við samstarf milli aðildarríkjanna um rafræna auðkenningu skv. 7. mgr. 12. gr. eIDAS reglugerðarinnar
- Framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2015/1984 þar sem skilgreindar eru kringumstæður, snið og verklag fyrir tilkynningar skv. 5. mgr. 9. gr. eIDAS reglugerðarinnar
- Framkvæmdarreglugerð framkvæmdastjórnarinnar (ESB) 2015/806 um forskriftir fyrir traustmerki ESB fyrir fullgilda traustþjónustu
- Framkvæmdarreglugerð framkvæmdastjórnarinnar (ESB) 2015/1502 um að ákvarða lágmarkstækniforskriftir og -ferla varðandi fullvissustig fyrir rafrænar auðkenningarleiðir skv. 3. mgr. 8. gr. eIDAS reglugerðarinnar
Fleiri staðlar:
RFC 3739: Internet X.509 Public Key Infrastructure: Qualified Certificates Profile.
Uppfært í október 2021