Κανονισµός για την Εθελοντική ιαπίστευση των Παρόχων Υπηρεσιών Πιστοποίησης

Αριθ. 295/65 Κανονισµός για την Εθελοντική ιαπίστευση των Παρόχων Υπηρεσιών Πιστοποίησης (ΦΕΚ B' 1730/24.11.2003) Η ΕΘΝΙΚΗ ΕΠΙΤΡΟΠΗ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΙ ΤΑΧΥ ΡΟΜΕΙΩΝ (ΕΕΤΤ) Έχοντας υπόψη: α. το Ν. 2867/2000 "Οργάνωση και Λειτουργία των Τηλεπικοινωνιών και άλλες ιατάξεις" (ΦΕΚ 273/Α/2000) και ιδίως το άρθρο 3, παραγρ. 14, στοιχεία (κστ') και (κη'), β. το Προεδρικό ιάταγµα 150/2001 "Προσαρµογή στην Οδηγία 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου σχετικά µε το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές" (ΦΕΚ125/Α/2001), και ιδίως το άρθρο 4, παράγραφοι 2, 5 και 8, γ. την Απόφαση της ΕΕΤΤ 248/71/2002 "Κανονισµός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής" (ΦΕΚ 603/Β/2002), δ. την Απόφαση της ΕΕΤΤ 295/63/2003 "Κανονισµός Ορισµού Φορέων για τη ιαπίστωση Συµµόρφωσης Ασφαλών ιατάξεων ηµιουργίας Υπογραφής και Ασφαλών Κρυπτογραφικών Μονάδων και Φορέων για τη ιαπίστωση Συµµόρφωσης των Παρόχων Υπηρεσιών Πιστοποίησης προς τα Κριτήρια Εθελοντικής ιαπίστευσης", ε. την Απόφαση της ΕΕΤΤ 295/64/2003 "Κανονισµός για τον Έλεγχο Συµµόρφωσης Ασφαλών ιατάξεων ηµιουργίας Υπογραφής και Ασφαλών Κρυπτογραφικών Μονάδων", Σελίδα 1

στ. το γεγονός ότι από τις διατάξεις της παρούσας Απόφασης δεν προκαλείται δαπάνη σε βάρος του Κρατικού Προϋπολογισµού, αποφασίζει: Εκδίδει Κανονισµό για την Εθελοντική ιαπίστευση των Παρόχων Υπηρεσιών Πιστοποίησης, ο οποίος έχει ως ακολούθως: Άρθρο 1 Σκοπός- Πεδίο Εφαρµογής Σκοπός της παρούσας Απόφασης είναι ο προσδιορισµός κανόνων σχετικά µε τα κριτήρια και τη διαδικασία της Εθελοντικής ιαπίστευσης των Παρόχων Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής. Άρθρο 2 Ορισµοί 1. Εθελοντική ιαπίστευση: Η ιαπίστευση του άρθρου 2 παράγραφος 13 του Π.. 150/2001 που χορηγείται από την ΕΕΤΤ ύστερα από αίτηση του ενδιαφερόµενου Παρόχου Υπηρεσιών Πιστοποίησης, ο οποίος εκδίδει Αναγνωρισµένα Πιστοποιητικά. 2. Βασικές Υπηρεσίες Πιστοποίησης στο πλαίσιο της Εθελοντικής ιαπίστευσης: α) εγγραφή συνδροµητών, β) δηµιουργία πιστοποιητικών, γ) υπηρεσίες καταλόγου και δ) υπηρεσίες ανάκλησης πιστοποιητικών. 3. Ανάκληση της Εθελοντικής ιαπίστευσης: Η ατοµική διοικητική πράξη µε την οποία η ΕΕΤΤ µε αιτιολογηµένη απόφαση και κατόπιν ακρόασης του Εθελοντικά ιαπιστευµένου Παρόχου Υπηρεσιών Πιστοποίησης ανακαλεί την Εθελοντική ιαπίστευση. 4. Φορέας για Εθελοντική ιαπίστευση: Ο αρµόδιος φορέας για τη διαπίστωση της συµµόρφωσης Παρόχων Υπηρεσιών Πιστοποίησης προς τα κριτήρια Εθελοντικής ιαπίστευσης σύµφωνα µε τις διατάξεις της παρούσας, ο οποίος ορίσθηκε σύµφωνα µε Σελίδα 2

τη διαδικασία που προβλέπεται στην Απόφαση 295/63/2003 της ΕΕΤΤ. 5. Φορέας για Ασφαλείς ιατάξεις ηµιουργίας Υπογραφής και Ασφαλείς Κρυπτογραφικές Μονάδες ή Φορέας για Προϊόντα: Ο αρµόδιος φορέας για τη διαπίστωση της συµµόρφωσης των Ασφαλών ιατάξεων ηµιουργίας Υπογραφής µε το Παράρτηµα III του Π.. 150/2001 και των Ασφαλών Κρυπτογραφικών Μονάδων σύµφωνα µε τις διατάξεις της υπ' αριθ. 295/64/2003 απόφασης της ΕΕΤΤ, ο οποίος ορίστηκε σύµφωνα µε την προβλεπόµενη στην Απόφαση της ΕΕΤΤ ΑΠ 295/63/2003 "Κανονισµός Ορισµού Φορέων για τη ιαπίστωση Συµµόρφωσης Ασφαλών ιατάξεων ηµιουργίας Υπογραφής και Ασφαλών Κρυπτογραφικών Μονάδων και Φορέων για τη ιαπίστωση Συµµόρφωσης των Παρόχων Υπηρεσιών Πιστοποίησης προς τα Κριτήρια Εθελοντικής ιαπίστευσης" διαδικασία. 6. Έλεγχος Συµµόρφωσης για Εθελοντική ιαπίστευση ή Έλεγχος Συµµόρφωσης: Η εξέταση από ένα Φορέα για Εθελοντική ιαπίστευση της υποδοµής, των υπηρεσιών και διαδικασιών των Παρόχων Υπηρεσιών Πιστοποίησης και προσδιορισµός της συµµόρφωσής τους προς τις απαιτήσεις για την Εθελοντική ιαπίστευση. 7. Πιστοποιητικό Συµµόρφωσης: Το πιστοποιητικό που εκδίδεται από τον Φορέα για Εθελοντική ιαπίστευση σύµφωνα µε τη διαδικασία του άρθρου 5 του παρόντος Κανονισµού. 8. Έκθεση: Η έκθεση που υποβάλλει ο αιτών τον Έλεγχο Συµµόρφωσης προς τα κριτήρια Εθελοντικής ιαπίστευσης στον Φορέα για την Εθελοντική ιαπίστευση και στην ΕΕΤΤ, και η οποία περιλαµβάνει τα στοιχεία που αναφέρονται στο άρθρο 5 παράγραφος 1 β) του παρόντος Κανονισµού. 9. Έκθεση Αξιολόγησης Παρόχου Υπηρεσιών Πιστοποίησης ή Έκθεση Αξιολόγησης: Το έγγραφο που περιέχει το σύνολο των αποτελεσµάτων της αξιολόγησης των σχετικών µε την Εθελοντική ιαπίστευση υπηρεσιών ενός Παρόχου Υπηρεσιών Πιστοποίησης, σύµφωνα µε την διαδικασία του άρθρου 5 του παρόντος Κανονισµού. Σελίδα 3

10. Λέξεις ή φράσεις, οι οποίες χρησιµοποιούνται στον παρόντα Κανονισµό, έχουν την έννοια η οποία τους αποδίδεται στο Προεδρικό ιάταγµα 150/2001, στην Απόφαση της ΕΕΤΤ 248/71/2002, στην Απόφαση της ΕΕΤΤ 295/63/2003 "Κανονισµός Ορισµού Φορέων για τη ιαπίστωση Συµµόρφωσης Ασφαλών ιατάξεων ηµιουργίας Υπογραφής και Ασφαλών Κρυπτογραφικών Μονάδων και Φορέων για τη ιαπίστωση Συµµόρφωσης των Παρόχων Υπηρεσιών Πιστοποίησης προς τα Κριτήρια Εθελοντικής ιαπίστευσης", στην Απόφαση της ΕΕΤΤ 295/64/2003 "Κανονισµός για τον Έλεγχο Συµµόρφωσης Ασφαλών ιατάξεων ηµιουργίας Υπογραφής και Ασφαλών Κρυπτογραφικών Μονάδων" ή σε περίπτωση που δεν αναφέρονται σε αυτά, την έννοια η οποία τους αποδίδεται στο Ν. 2867/2000 ή σε περίπτωση που δεν αναφέρονται σε αυτόν, στο σχετικό δευτερογενές δίκαιο της Ευρωπαϊκής Κοινότητας. Άρθρο 3 ικαιούχοι - ικαίωµα Χορήγησης Εθελοντικής ιαπίστευσης Εθελοντική ιαπίστευση χορηγείται στους Παρόχους Υπηρεσιών Πιστοποίησης που εκδίδουν Αναγνωρισµένα Πιστοποιητικά, έχουν προηγουµένως γνωστοποιηθεί σύµφωνα µε τις διατάξεις του άρθρου 10 της Απόφασης της ΕΕΤΤ 248/71/2002 "Κανονισµός Παροχής Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής" (ΦΕΚ 603/Β/2002), παρέχουν τουλάχιστον τις Βασικές Υπηρεσίες Πιστοποίησης και πληρούν τα κριτήρια του άρθρου 4 του παρόντος Κανονισµού. Άρθρο 4 Κριτήρια για την Εθελοντική ιαπίστευση των Παρόχων Υπηρεσιών Πιστοποίησης 1. Οι Πάροχοι Υπηρεσιών Πιστοποίησης που αιτούνται την Εθελοντική ιαπίστευση πρέπει να αποδεικνύουν τη συµµόρφωσή τους µε τις απαιτήσεις του Π 150/2001 και της Απόφασης της ΕΕΤΤ 248/71/2002 και µε κάθε άλλη ρύθµιση που αφορά στην έκδοση Αναγνωρισµένων Πιστοποιητικών. 2. Οι δικαιούχοι, στους οποίους έχει χορηγηθεί πιστοποιητικό συµµόρφωσης Ασφαλών Σελίδα 4

Κρυπτογραφικών Μονάδων ή Ασφαλών ιατάξεων ηµιουργίας Υπογραφής, σύµφωνα µε τις διατάξεις της Απόφασης ΑΠ 295/64/2003 της ΕΕΤΤ "Κανονισµός για τον Έλεγχο Συµµόρφωσης Ασφαλών ιατάξεων ηµιουργίας Υπογραφής και Ασφαλών Κρυπτογραφικών Μονάδων", οφείλουν να µεριµνούν για την εκπλήρωση των απαιτήσεων περιβάλλοντος χώρου ώστε να διασφαλίζονται οι ακόλουθες λειτουργίες: α) παραγωγή των εδοµένων ηµιουργίας Υπογραφής που χρησιµοποιούν για την υπογραφή των Αναγνωρισµένων Π ιστοποιητικών των δικαιούχων και για την υπογραφή της πληροφορίας σχετικά µε την κατάσταση των Πιστοποιητικών, β) παραγωγή των εδοµένων ηµιουργίας Υπογραφής των δικαιούχων Αναγνωρισµένων Πιστοποιητικών, γ) υπογραφή των Αναγνωρισµένων Πιστοποιητικών των δικαιούχων, δ) υπογραφή της πληροφορίας σχετικά µε την κατάσταση των Πιστοποιητικών. 3. Η ασφάλεια των παρεχόµενων υπηρεσιών των δικαιούχων πρέπει να έχει διαπιστωθεί από Φορέα για Εθελοντική ιαπίστευση σύµφωνα µε τη διαδικασία που ορίζεται στο άρθρο 5 του παρόντος Κανονισµού. 4. Ο Πάροχος Υπηρεσιών Πιστοποίησης που αιτείται την Εθελοντική ιαπίστευση και δηλώνει προς τους δικαιούχους Αναγνωρισµένων Πιστοποιητικών, στην ΕΕΤΤ ή σε τρίτους ότι τα εδοµένα ηµιουργίας Υπογραφής των δικαιούχων Αναγνωρισµένων Πιστοποιητικών παράγονται ή αποθηκεύονται σε ή εφαρµόζονται µε Ασφαλή ιάταξη ηµιουργίας Υπογραφής, οφείλει να είναι σε θέση να τεκµηριώνει, όποτε του ζητηθεί από την ΕΕΤΤ ή οποιονδήποτε έχει έννοµο συµφέρον, πώς διασφαλίζει το γεγονός αυτό. Προς το σκοπό αυτό, ο Πάροχος Υπηρεσιών Πιστοποίησης γνωστοποιεί σε κάθε ενδιαφερόµενο την µέθοδο µε την οποία θεωρεί ότι διασφαλίζει τα ανωτέρω. Σελίδα 5

Άρθρο 5 ιαδικασία ιαπίστωσης Συµµόρφωσης για το Σκοπό της Εθελοντικής ιαπίστευσης Παρόχων Υπηρεσιών Πιστοποίησης 1. Κατόπιν αίτησης του ενδιαφερόµενου Παρόχου Υπηρεσιών Πιστοποίησης, ο Φορέας για Εθελοντική ιαπίστευση ελέγχει την ασφάλεια των παρεχόµενων υπηρεσιών του ως άνω ενδιαφεροµένου όσον αφορά στην καταλληλότητα των µέτρων ασφάλειας και της υλοποίησης αυτών στην πράξη. Για το σκοπό αυτό, ο ενδιαφερόµενος υποβάλλει στο Φορέα για Εθελοντική ιαπίστευση τα ακόλουθα έγγραφα: α) Τα Πιστοποιητικά Συµµόρφωσης που χορηγήθηκαν από Φορέα για Προϊόντα, τα οποία πρέπει να αντιστοιχούν στα προϊόντα που χρησιµοποιεί ο ενδιαφερόµενος και να περιγράφονται στην 'Εκθεση που συνυποβάλλει σύµφωνα µε το στοιχείο β' του παρόντος. Ο Φορέας για Εθελοντική ιαπίστευση ελέγχει ιδίως την ισχύ των ως άνω Πιστοποιητικών και εάν οι απαιτήσεις περιβάλλοντος χώρου που αναφέρονται σε αυτά υλοποιούνται αποτελεσµατικά από τον ενδιαφερόµενο. β) Έκθεση που περιλαµβάνει τουλάχιστον τα παρακάτω στοιχεία: ί) περιγραφή των εγκαταστάσεων και όλων των αναγκαίων τεχνικών και οργανωτικών µέτρων ασφάλειας και της καταλληλότητάς τους, ii) iii) ίν) τον κατάλογο των προϊόντων που χρησιµοποιούνται για τη δηµιουργία Προηγµένων Ηλεκτρονικών Υπογραφών, τα προβλεπόµενα µέτρα ασφάλειας προκειµένου να διατηρηθούν σε αδιάλειπτη λειτουργία οι παρεχόµενες υπηρεσίες, ιδίως σε καταστάσεις έκτακτης ανάγκης, τα µέτρα προστασίας αρχείων και δεδοµένων, ν) περιγραφή των διαδικασιών εξασφάλισης της αξιοπιστίας του Σελίδα 6

απασχολούµενου προσωπικού, νί) τα κείµενα τα οποία περιγράφουν την Πολιτική Πιστοποίησης και τη ήλωση Πρακτικής του Παρόχου Υπηρεσιών Πιστοποίησης. Η ήλωση Πρακτικής θα πρέπει να περιλαµβάνει τουλάχιστον τα στοιχεία που αναφέρονται στο Παράρτηµα Ι της Απόφασης της ΕΕΤΤ 248/71/2002, όπως ισχύει. 2. Ο Φορέας για Εθελοντική ιαπίστευση ελέγχει, διεξάγοντας προς τούτο αυτοψία, την υλοποίηση στην πράξη των περιγραφόµενων στην Έκθεση µέτρων ασφάλειας. 3. Ο Φορέας για Εθελοντική ιαπίστευση εκδίδει, µέσα σε εύλογο χρονικό διάστηµα, το οποίο δεν δύναται να υπερβαίνει τις είκοσι (20) εργάσιµες ηµέρες, απόφαση που περιλαµβάνει την Έκθεση Αξιολόγησης και το πόρισµα του ελέγχου που εκπονήθηκε βάσει των στοιχείων της παρ. 1 του παρόντος άρθρου και την κοινοποιεί στον ενδιαφερόµενο. Στην περίπτωση διαπίστωσης συµµόρφωσης του ενδιαφεροµένου, ο Φορέας για Εθελοντική ιαπίστευση χορηγεί Πιστοποιητικό Συµµόρφωσης. 4. Το Πιστοποιητικό Συµµόρφωσης περιλαµβάνει τουλάχιστον τα παρακάτω στοιχεία: α) Τα στοιχεία του Παρόχου Υπηρεσιών Πιστοποίησης (επωνυµία, διακριτικό τίτλο, έδρα, ΑΦΜ, νόµιµους εκπροσώπους), β) Τις υπηρεσίες του Παρόχου Υπηρεσιών Πιστοποίησης που άπτονται της έκδοσης Αναγνωρισµένων Πιστοποιητικών στο πλαίσιο της Εθελοντικής ιαπίστευσης, γ) Βεβαίωση ότι ο Πάροχος Υπηρεσιών Πιστοποίησης πληροί τουλάχιστον τις απαιτήσεις του Π 150/2001, της Απόφασης της ΕΕΤΤ 248/71/2002 και των άρθρων 3 και 4 του παρόντος Κανονισµού, δ) Τις τυχόν απαιτήσεις περιβάλλοντος χώρου για την ασφαλή παροχή των υπηρεσιών του Παρόχου Υπηρεσιών Πιστοποίησης, ε) Στην περίπτωση που ο Πάροχος Υπηρεσιών Πιστοποίησης παρέχει µέρος των Σελίδα 7

υπηρεσιών του σε άλλους Παρόχους Υπηρεσιών Πιστοποίησης ή εάν αναθέτει σε τρίτους µέρος της διαδικασίας πιστοποίησης, την περιγραφή των υπηρεσιών αυτών. 5. Η αξιολόγηση του Εθελοντικά ιαπιστευµένου Παρόχου Υπηρεσιών Πιστοποίησης για τη διαπίστωση της συµµόρφωσής του επαναλαµβάνεται κάθε τρία (3) έτη. Άρθρο 6 ιαδικασία Εθελοντικής ιαπίστευσης των Παρόχων Υπηρεσιών Πιστοποίησης 1. Η ΕΕΤΤ χορηγεί Εθελοντική ιαπίστευση στους ενδιαφεροµένους Παρόχους Υπηρεσιών Πιστοποίησης. 2. Ο ενδιαφερόµενος καταθέτει έγγραφη αίτηση στην οποία αναφέρει την κατηγορία υπηρεσιών για Εθελοντική ιαπίστευση καθώς και τα ακόλουθα δικαιολογητικά: α) Επικυρωµένο αντίγραφο του Πιστοποιητικού Συµµόρφωσης που εξέδωσε ο Φορέας για Εθελοντική ιαπίστευση και της απόφασής του που περιλαµβάνει την Έκθεση Αξιολόγησης και το σχετικό πόρισµα, β) Την Έκθεση όπως ορίζεται στο άρθρο 5 παράγραφος 1 στοιχ. β' του παρόντος Κανονισµού, γ) Αντίγραφο της τυποποιηµένης σύµβασης την οποία ο Πάροχος Υπηρεσιών Πιστοποίησης συνάπτει µε τους δικαιούχους Αναγνωρισµένων Πιστοποιητικών καθώς και κάθε σχετικό έγγραφο που διέπει τη Σύµβαση, δ) Αντίγραφο του εγγράφου µε το οποίο ο Πάροχος Υπηρεσιών Πιστοποίησης εκπληρώνει την υποχρέωση του άρθρου 8 (υποχρέωση ενηµέρωσης) της Απόφασης της ΕΕΤΤ 248/71/2002. ε) Υπεύθυνη ήλωση ότι δεν έχει επέλθει ουδεµία τροποποίηση στην κατάσταση του Πιστοποιητικού Συµµόρφωσης από την ηµεροµηνία χορήγησής του. 3. Η ΕΕΤΤ υποχρεούται εντός πέντε (5) εργάσιµων ηµερών από την κατάθεση της αίτησης, Σελίδα 8

να επιβεβαιώσει ότι η αίτηση περιλαµβάνει το σύνολο των εγγράφων της παραγράφου 2 του παρόντος άρθρου ή ειδικώς να προσδιορίσει ποιο έγγραφο υπολείπεται και να το ζητήσει εγγράφως από τον αιτούντα την Εθελοντική ιαπίστευση. Ο αιτών οφείλει να προσκοµίσει κάθε έγγραφο που τυχόν ζητηθεί εντός δεκαπέντε (15) ηµερών από την κοινοποίηση του σχετικού εγγράφου της ΕΕΤΤ. Σε περίπτωση µη έγκαιρης υποβολής των στοιχείων από τον αιτούντα η αίτηση απορρίπτεται. 4. Εντός δεκαπέντε (15) ηµερών από την προσήκουσα κατάθεση της αίτησης, η ΕΕΤΤ δύναται να ζητεί κάθε αναγκαία διευκρίνιση για τον έλεγχο της συνδροµής των κριτηρίων του άρθρου 4 του παρόντος Κανονισµού που βασίζονται στα προσκοµισθέντα έγγραφα. 5. Η ΕΕΤΤ αποφασίζει µε αιτιολογηµένη απόφασή της για την Εθελοντική ιαπίστευση του αιτούντα εντός προθεσµίας δεκαπέντε (15) εργασίµων ηµερών από την επιβεβαίωση ότι η αίτηση περιλαµβάνει το σύνολο των εγγράφων ή από την παρέλευση των προθεσµιών που αναφέρονται στις παραγράφους 3 και 4 του παρόντος. 6. Η αίτηση, εκτός από την περίπτωση που αναφέρεται στην παράγραφο 3 του παρόντος, απορρίπτεται στις εξής, περιοριστικά αναφερόµενες, περιπτώσεις: α) µη παροχής των απαραίτητων διευκρινίσεων σύµφωνα µε την παράγραφο 4 του παρόντος, β) µη επαρκούς τεκµηρίωσης της πλήρωσης ενός ή περισσοτέρων κριτηρίων του άρθρου 4 του παρόντος βάσει των προσκοµισθέντων εγγράφων, ή γ) µη πλήρωσης των απαιτήσεων που επιβάλλονται µε βάση το Π 150/2001 και την Απόφαση της ΕΕΤΤ 248/71/2002 στους Παρόχους Υπηρεσιών Πιστοποίησης που εκδίδουν Αναγνωρισµένα Πιστοποιητικά. 7. Στον ενδιαφερόµενο του οποίου η αίτηση έγινε δεκτή χορηγείται Εθελοντική ιαπίστευση για τις υπηρεσίες για τις οποίες ζητήθηκε και στην οποία περιλαµβάνονται και τυχόν όροι για την ασφαλή παροχή των εν λόγω υπηρεσιών, ιδίως οι απαιτήσεις Σελίδα 9

περιβάλλοντος χώρου που αναγράφονται στο Πιστοποιητικό Συµµόρφωσης του άρθρου 5 παράγραφος 4 δ' του παρόντος Κανονισµού. 8. Πριν τη χορήγηση Εθελοντικής ιαπίστευσης και την καταχώρηση των σχετικών στοιχείων στο Μητρώο του άρθρου 12 του παρόντος Κανονισµού, απαγορεύεται η παροχή Υπηρεσιών Πιστοποίησης µε αναφορά στην Εθελοντική ιαπίστευση. Άρθρο 7 ικαιώµατα και Υποχρεώσεις των αιτούντων την Εθελοντική ιαπίστευση και των ιαπιστευµένων Παρόχων Υπηρεσιών Πιστοποίησης 1. Ο διαπιστευµένος Πάροχος Υπηρεσιών Πιστοποίησης διατηρεί στη διάθεση των ενδιαφερόµενων Αρχών, τα σχετικά έγγραφα µε τον Έλεγχο Συµµόρφωσης που διενεργήθηκε από Φορέα για Εθελοντική ιαπίστευση για διάστηµα τουλάχιστον 10 ετών από την ηµεροµηνία διενέργειας του Ελέγχου Συµµόρφωσης. 2. Ο αιτών προς το σκοπό της διενέργειας του Ελέγχου Συµµόρφωσης από Φορέα για Εθελοντική ιαπίστευση και ο ιαπιστευµένος Πάροχος Υπηρεσιών Πιστοποίησης προς το σκοπό των ελέγχων που πραγµατοποιούνται σύµφωνα µε την παράγραφο 5 του παρόντος ή κατόπιν παραγγελίας της ΕΕΤΤ σύµφωνα µε το άρθρο 8 του παρόντος, υποχρεούνται να συνεργάζονται µε τον Φορέα για Εθελοντική ιαπίστευση και να του παρέχουν κάθε διευκόλυνση. 3. Ο αιτών προς το σκοπό της διενέργειας του Ελέγχου Συµµόρφωσης από Φορέα για Εθελοντική ιαπίστευση και ο ιαπιστευµένος Πάροχος Υπηρεσιών Πιστοποίησης προς το σκοπό των ελέγχων που πραγµατοποιούνται σύµφωνα και µε τα οριζόµενα στην παράγραφο 2 του παρόντος, υποχρεούνται να καταβάλουν στον Φορέα για Εθελοντική ιαπίστευση αµοιβή για την εκτέλεση των υπηρεσιών του είτε κατά την αίτηση της διαπίστωσης συµµόρφωσης είτε κατά την χορήγηση του Πιστοποιητικού Συµµόρφωσης είτε κατά τη διενέργεια ελέγχου σύµφωνα µε τα οριζόµενα στο άρθρο 8 της παρούσας. Σελίδα 10

4. Ο διαπιστευµένος Πάροχος Υπηρεσιών Πιστοποίησης υποχρεούται να εξασφαλίζει τη συµµόρφωσή του µε τις απαιτήσεις του Π 150/2001, της Απόφασης της ΕΕΤΤ 248/71/2002 και του άρθρου 4 του παρόντος, όπως εκάστοτε ισχύουν, καθ' όλη τη διάρκεια ισχύος της Εθελοντικής ιαπίστευσης. 5. Ο διαπιστευµένος Πάροχος Υπηρεσιών Πιστοποίησης υποχρεούται να υποβάλει σε Φορέα για Εθελοντική ιαπίστευση και στην ΕΕΤΤ, χωρίς καµία καθυστέρηση, κάθε τροποποίηση των στοιχείων που αναφέρονται στην Έκθεση του άρθρου 5 παράγραφος 1 στοιχ. β του παρόντος. Ο Φορέας για Εθελοντική ιαπίστευση ελέγχει τις εν λόγω τροποποιήσεις, διενεργεί εάν κρίνει απαραίτητο έλεγχο στις εγκαταστάσεις του διαπιστευµένου Παρόχου και αποφασίζει αιτιολογηµένα µέσα σε εύλογο χρονικό διάστηµα ως προς την τροποποίηση του χορηγηθέντος Πιστοποιητικού Συµµόρφωσης. Η απόφαση κοινοποιείται στον ενδιαφερόµενο, ο οποίος στη συνέχεια την υποβάλλει µαζί µε το τυχόν τροποποιηθέν Πιστοποιητικό στην ΕΕΤΤ. Η ΕΕΤΤ εγκρίνει ή απορρίπτει εντός δέκα (10) ηµερών από την υποβολή των παραπάνω εγγράφων τις προτεινόµενες τροποποιήσεις. Ο διαπιστευµένος Πάροχος απαγορεύεται να υλοποιήσει τις εν λόγω τροποποιήσεις πριν από την έκδοση της απόφασης του Φορέα για Εθελοντική ιαπίστευση, την τυχόν τροποποίηση του χορηγηθέντος Πιστοποιητικού Συµµόρφωσης, καθώς και την έγκριση της ΕΕΤΤ. 6. Ο διαπιστευµένος Πάροχος Υπηρεσιών Πιστοποίησης υποχρεούται να µεριµνά εγκαίρως για την ανανέωση του Πιστοποιητικού Συµµόρφωσης και να υποβάλει στην ΕΕΤΤ χωρίς καθυστέρηση επικυρωµένο αντίγραφο αυτού. 7. Ο διαπιστευµένος Πάροχος Υπηρεσιών Πιστοποίησης δύναται να επικαλείται την Εθελοντική ιαπίστευση ως προς τις υπηρεσίες για τις οποίες έχει διαπιστευθεί και υποχρεούται να αποφεύγει κάθε παραπλανητική αναφορά σε αυτήν. Με την ανάκληση της Εθελοντικής ιαπίστευσης ο Πάροχος Υπηρεσιών Πιστοποίησης διακόπτει αµέσως κάθε σχετική αναφορά. Σελίδα 11

Άρθρο 8 Άσκηση Εποπτείας 1. Η ΕΕΤΤ εποπτεύει τους διαπιστευµένους Παρόχους Υπηρεσιών Πιστοποίησης. Προς το σκοπό αυτό, η ΕΕΤΤ ή τα οριζόµενα από την ΕΕΤΤ πρόσωπα έχουν το δικαίωµα αυτεπαγγέλτως ή κατόπιν καταγγελίας να ζητούν στοιχεία και να προβαίνουν σε επιθεωρήσεις στους χώρους εγκατάστασης και λειτουργίας των διαπιστευµένων Παρόχων Υπηρεσιών Πιστοποίησης. 2. Ο διαπιστευµένος Πάροχος Υπηρεσιών Πιστοποίησης γνωστοποιεί χωρίς καθυστέρηση στην ΕΕΤΤ κάθε ενδεχόµενο πρόβληµα και κάθε σηµαντικό περιστατικό σχετικά µε την ασφάλεια των παρεχόµενων υπηρεσιών. 3. Η ΕΕΤΤ, στις περιπτώσεις της παραγράφου 2 του παρόντος, ζητεί από τον διαπιστευµένο Πάροχο Υπηρεσιών Πιστοποίησης την τροποποίηση των πρακτικών πιστοποίησής του, την υποβολή επικαιροποιηµένης έκδοσης της Έκθεσης του άρθρου 5 παρ. 1, στοιχείο β' του παρόντος καθώς και την υποβολή τροποποιηµένου Πιστοποιητικού Συµµόρφωσης, χορηγούµενου από Φορέα για Εθελοντική ιαπίστευση. Η ΕΕΤΤ δύναται επίσης να παραγγείλει τη διενέργεια ελέγχου από Φορέα για Εθελοντική ιαπίστευση, ο οποίος θα προτείνει τα ενδεικνυόµενα µέτρα. 4. Σε περίπτωση που η ΕΕΤΤ κρίνει ότι τα µέτρα της παραγράφου 3 του παρόντος δεν είναι ικανά να αποτρέψουν αποτελεσµατικά τον κίνδυνο ως προς την ασφάλεια των παρεχόµενων υπηρεσιών πιστοποίησης, η ΕΕΤΤ µέχρι την τροποποίηση των πρακτικών πιστοποίησης του Παρόχου δύναται να αναστείλει προσωρινά τη λειτουργία του, σύµφωνα µε τα οριζόµενα στο άρθρο 10 του παρόντος Κανονισµού. Η ΕΕΤΤ δύναται να ειδοποιεί µε κάθε πρόσφορο µέσο τους Παρόχους Υπηρεσιών Πιστοποίησης που εκδίδουν Αναγνωρισµένα Πιστοποιητικά καθώς και οποιοδήποτε θιγόµενο πρόσωπο σχετικά µε το ενδεχόµενο πρόβληµα ασφάλειας ή το περιστατικό που ανέκυψε. Σελίδα 12

5. Η ΕΕΤΤ δύναται να προβαίνει σε αποκάλυψη πληροφοριών που είναι αναγκαίες για την εκπλήρωση των καθηκόντων της, σεβόµενη την αρχή της αναλογικότητας και το επαγγελµατικό απόρρητο. Άρθρο 9 Ανάκληση της Εθελοντικής ιαπίστευσης 1. Η ΕΕΤΤ δύναται να ανακαλέσει την Εθελοντική ιαπίστευση µε αιτιολογηµένη απόφασή της, τηρουµένης της αρχής της αναλογικότητας, στην περίπτωση που α) ο Εθελοντικά ιαπιστευµένος Πάροχος Υπηρεσιών Πιστοποίησης δεν πληροί πλέον ή δεν πληρούσε τα κριτήρια για την Εθελοντική ιαπίστευσή του κατά το χρόνο χορήγησης της Εθελοντικής ιαπίστευσης, σε περίπτωση που β) παραβαίνει τις υποχρεώσεις του σύµφωνα µε τον παρόντα Κανονισµό, γ) παραβαίνει τις υποχρεώσεις που επιβάλλονται στους γνωστοποιηµένους Παρόχους Υπηρεσιών Πιστοποίησης που εκδίδουν Αναγνωρισµένα Πιστοποιητικά σύµφωνα µε το Π 150/2001 και την Απόφαση της ΕΕΤΤ 248/71/2002, δ) τα µέτρα του άρθρου 8 παράγραφοι 3 και 4 δεν κρίνονται επαρκή, ε) περιέλθει σε πτώχευση, εκκαθάριση, αναγκαστική διαχείριση, πτωχευτικό συµβιβασµό ή σε οποιαδήποτε ανάλογη κατάσταση ή έχει κινηθεί εναντίον του ανάλογη διαδικασία ή σε περίπτωση παύσης των εργασιών του για οποιονδήποτε λόγο. 2. Η απόφαση µε την οποία ανακαλείται η Εθελοντική ιαπίστευση ενός Παρόχου Υπηρεσιών Πιστοποίησης δηµοσιεύεται άµεσα στο Μητρώο των Παρόχων Υπηρεσιών Πιστοποίησης το οποίο διατηρεί η ΕΕΤΤ, σύµφωνα µε τα οριζόµενα στο άρθρο 12 του παρόντος Κανονισµού. Σελίδα 13

Άρθρο 10 Αναστολή Παροχής Υπηρεσιών Εθελοντικής ιαπίστευσης 1. Η ΕΕΤΤ δύναται, µέχρι την έκδοση οριστικής απόφασης σχετικά µε την ανάκληση της Εθελοντικής ιαπίστευσης ή την επιβολή κυρώσεως στον Πάροχο Υπηρεσιών Πιστοποίησης, να διατάξει την αναστολή της παροχής υπηρεσιών Εθελοντικής ιαπίστευσης, εφόσον πληρούνται σωρευτικά οι εξής προϋποθέσεις: α) Πιθανολογείται ότι ο εθελοντικά διαπιστευµένος Πάροχος Υπηρεσιών Πιστοποίησης δεν τηρεί τις προϋποθέσεις παροχής υπηρεσιών Εθελοντικής ιαπίστευσης, σύµφωνα µε την κείµενη νοµοθεσία, β) Η αναστολή είναι αναγκαία για την αποφυγή άµεσα επικείµενου και άλλως αναπότρεπτου κινδύνου ή ανεπανόρθωτης βλάβης, ιδίως στο δηµόσιο συµφέρον. γ) Εκκινεί σχετική διαδικασία είτε αυτεπαγγέλτως από την ΕΕΤΤ είτε κατόπιν καταγγελίας. Για την εφαρµογή του παρόντος άρθρου, αναφορικά µε τις προθεσµίες, τηρούνται αναλογικά οι διατάξεις του "Κανονισµού σχετικού µε τη ιαδικασία Λήψης Ασφαλιστικών Μέτρων κατ' εφαρµογή της παραγράφου 4 του άρθρου 12 του Ν. 2867/2000, η οποία προστέθηκε µε το άρθρο δωδέκατο, παρ. 2 του Ν. 3082/2002 (ΦΕΚ 316/Α/2002)", (ΦΕΚ 158/Β/2003). 2. Η ΕΕΤΤ δύναται να εκδίδει προσωρινή διαταγή, κατ' αναλογία των διατάξεων του "Κανονισµού σχετικού µε τη ιαδικασία Λήψης Ασφαλιστικών Μέτρων κατ' εφαρµογή της παραγράφου 4 του άρθρου 12 του Ν. 2867/2000, η οποία προστέθηκε µε το άρθρο δωδέκατο, παρ. 2 του Ν. 3082/2002 (ΦΕΚ316/Α/2002)", (ΦΕΚ 158/Β/2003). 3. Με την έκδοση προσωρινής διαταγής ή απόφασης περί αναστολής των παρεχόµενων υπηρεσιών Εθελοντικής ιαπίστευσης, και µέχρι την έκδοση οριστικής απόφασης σχετικά µε την ανάκληση της Εθελοντικής ιαπίστευσης, ο ιαπιστευµένος Πάροχος Υπηρεσιών Πιστοποίησης υποχρεούται να αποφεύγει οποιαδήποτε παραπλανητική Σελίδα 14

αναφορά στην Εθελοντική ιαπίστευση. Άρθρο 11 ιεθνείς πτυχές 1. Τα Αναγνωρισµένα Πιστοποιητικά που εκδίδονται από Πάροχο Υπηρεσιών Πιστοποίησης, ο οποίος είναι εγκατεστηµένος σε κράτος - µέλος της Ευρωπαϊκής Ένωσης και έχει διαπιστευθεί σύµφωνα µε τη νοµοθεσία αυτού είναι νοµικώς ισοδύναµα µε τα εκδιδόµενα πιστοποιητικά Παρόχου Υπηρεσιών Πιστοποίησης, διαπιστευµένου σύµφωνα µε την κείµενη ελληνική νοµοθεσία εάν η ασφάλεια των παρεχόµενων Υπηρεσιών Πιστοποίησης είναι αποδεδειγµένα ισοδύναµη µε τις απαιτήσεις τις κείµενης ελληνικής νοµοθεσίας. Η ΕΕΤΤ προς το σκοπό της διαπίστωσης της ισοδυναµίας, όπως ορίζεται ανωτέρω, δύναται να συµφωνεί µε την αρµόδια Αρχή της χώρας εγκατάστασης ή διαπίστευσης του διαπιστευµένου Παρόχου Υπηρεσιών Πιστοποίησης τη διαδικασία αναγνώρισης της ισοδυναµίας, εκτός και αν ισχύουν διµερείς ή πολυµερείς συµφωνίες. 2. Στην περίπτωση Εθελοντικά ιαπιστευµένου Παρόχου ο οποίος έχει διαπιστευθεί σύµφωνα µε τη νοµοθεσία κράτους εκτός Ευρωπαϊκής Ένωσης, η ΕΕΤΤ ή τα οριζόµενα από την ΕΕΤΤ πρόσωπα εξετάζουν εάν α) οι απαιτήσεις σύµφωνα µε τις οποίες διαπιστεύθηκε εθελοντικά ο ανωτέρω Πάροχος Υπηρεσιών Πιστοποίησης, β) τα Προϊόντα Ηλεκτρονικής Υπογραφής που χρησιµοποιεί, γ) οι διαδικασίες αξιολόγησης και ελέγχου συµµόρφωσης των εν λόγω προϊόντων και Παρόχων Υπηρεσιών Πιστοποίησης, δ) οι κανόνες που ισχύουν για τους Φορείς Ελέγχου Συµµόρφωσης καθώς και ε) το σύστηµα διαπίστευσης και εποπτείας του κράτους αυτού, διασφαλίζουν την ισοδυναµία ως προς την ασφάλεια των παρεχόµενων Υπηρεσιών Σελίδα 15

Πιστοποίησης. Εναλλακτικά, τα Αναγνωρισµένα Πιστοποιητικά που εκδίδονται από τους ανωτέρω Παρόχους Υπηρεσιών Πιστοποίησης αναγνωρίζονται βάσει διµερών ή πολυµερών συµφωνιών µεταξύ της ΕΕΤΤ και Εθνικών Ρυθµιστικών Αρχών ή ιεθνών Οργανισµών. Άρθρο 12 ηµοσιότητα αποφάσεων και πιστοποιητικών 1. Η ΕΕΤΤ τηρεί Μητρώο των διαπιστευµένων Παρόχων Υπηρεσιών Πιστοποίησης. Στο Μητρώο, εκτός των στοιχείων που προβλέπονται στο άρθρο 10 της Απόφασης της ΕΕΤΤ 248/71/2002, αναγράφονται τα στοιχεία της Εθελοντικής ιαπίστευσης, συµπεριλαµβανοµένου του Πιστοποιητικού Συµµόρφωσης που χορηγήθηκε από Φορέα για Εθελοντική ιαπίστευση. Στο ίδιο Μητρώο αναγράφεται η παύση των εργασιών των Εθελοντικά ιαπιστευµένων Παρόχων Υπηρεσιών Πιστοποίησης, κάθε τροποποίηση των προαναφερόµενων στοιχείων καθώς και η αναστολή των παρεχόµενων υπηρεσιών και η ανάκληση της Εθελοντικής ιαπίστευσης. Επίσης αναγράφονται τα στοιχεία των Παρόχων Υπηρεσιών Πιστοποίησης, (επωνυµία, διακριτικός τίτλος, έδρα, ΑΦΜ, νόµιµοι εκπρόσωποι) των οποίων η Εθελοντική ιαπίστευση αναγνωρίσθηκε ως ισοδύναµη από την ΕΕΤΤ. 2. Στο δικτυακό τόπο της ΕΕΤΤ δηµοσιεύονται τα στοιχεία της παραγράφου 1. Άρθρο 13 Κυρώσεις - Καταγγελίες 1. Καταγγελίες κατά των Φορέων για Εθελοντική ιαπίστευση ή των διαπιστευµένων Παρόχων Υπηρεσιών Πιστοποίησης πρέπει να κατατίθενται στην ΕΕΤΤ, η οποία τις εξετάζει και δύναται να επιβάλει τις διοικητικές κυρώσεις του άρθρου 9, παράγραφος 1, της Απόφασης της ΕΕΤΤ ΑΠ 295/63/2003 "Κανονισµός Ορισµού Φορέων για τη ιαπίστωση Συµµόρφωσης Ασφαλών ιατάξεων ηµιουργίας Υπογραφής και Ασφαλών Κρυπτογραφικών Μονάδων και Φορέων για τη ιαπίστωση Συµµόρφωσης Σελίδα 16

των Παρόχων Υπηρεσιών Πιστοποίησης προς τα Κριτήρια Εθελοντικής ιαπίστευσης" καθώς και τις κυρώσεις της παραγράφου 2 του παρόντος άρθρου, εκδίδοντας ειδικά αιτιολογηµένη απόφαση, ύστερα από προηγούµενη ακρόαση των ενδιαφεροµένων. 2. Με την επιφύλαξη των άρθρων 9 και 10 του παρόντος, η παράβαση των υποχρεώσεων του διαπιστευµένου Παρόχου Υπηρεσιών Πιστοποίησης επισύρει τις κυρώσεις του άρθρου 12, παράγραφος 1, του Ν. 2867/2000 σε συνδυασµό µε το άρθρο 9 της Απόφασης ΑΠ 295/63/2003 της ΕΕΤΤ "Κανονισµός Ορισµού Φορέων για τη ιαπίστωση Συµµόρφωσης Ασφαλών ιατάξεων ηµιουργίας Υπογραφής και Ασφαλών Κρυπτογραφικών Μονάδων και Φορέων για τη ιαπίστωση Συµµόρφωσης των Παρόχων Υπηρεσιών Πιστοποίησης προς τα Κριτήρια Εθελοντικής ιαπίστευσης". Άρθρο 14 Τέλη 1. Τα τέλη ανταποκρίνονται στο κόστος που προκύπτει από τη διαδικασία χορήγησης της Εθελοντικής ιαπίστευσης και την εποπτεία των διαπιστευµένων Παρόχων Υπηρεσιών Πιστοποίησης. 2. Με την κατάθεση της αίτησης οι αιτούντες τη χορήγηση Εθελοντικής ιαπίστευσης σύµφωνα µε τις διατάξεις του παρόντος Κανονισµού υποχρεούνται να καταβάλουν ανταποδοτικό τέλος στην ΕΕΤΤ, το ύψος του οποίου είναι ανάλογο του κόστους χορήγησης της Εθελοντικής ιαπίστευσης. Το επιβαλλόµενο τέλος ορίζεται σε 600,00. 3. Για κάθε ηµερολογιακό έτος και µέχρι τις 31 Ιανουαρίου κάθε έτους καταβάλλεται ετήσιο τέλος εποπτείας των Εθελοντικά ιαπιστευµένων Παρόχων Υπηρεσιών Πιστοποίησης, το οποίο καθορίζεται µε απόφαση της ΕΕΤΤ. 4. Για κάθε γνωστοποίηση τροποποίησης στοιχείων των Εθελοντικά ιαπιστευµένων Παρόχων Υπηρεσιών Πιστοποίησης καταβάλλεται τέλος ίσο µε 100,00. Σελίδα 17

5. Σε περίπτωση διενέργειας ελέγχου εκ µέρους της ΕΕΤΤ για την ανάκληση της Εθελοντικής ιαπίστευσης σύµφωνα µε το άρθρο 9, καταβάλλεται τέλος, το οποίο καθορίζεται µε απόφαση της ΕΕΤΤ. 6. Η ΕΕΤΤ δύναται µε Απόφασή της να αναπροσαρµόζει τα εν λόγω τέλη. Άρθρο 15 Ενηµέρωση Ευρωπαϊκής Επιτροπής 1. Η ΕΕΤΤ κοινοποιεί στην Ευρωπαϊκή Επιτροπή τα στοιχεία όλων των Παρόχων Υπηρεσιών Πιστοποίησης, στους οποίους χορηγείται Εθελοντική ιαπίστευση, καθώς και τα κριτήρια και λοιπές προϋποθέσεις που συνοδεύουν τις σχετικές πράξεις Εθελοντικής ιαπίστευσης. 2. Η ως άνω υποχρέωση ενηµέρωσης της Ευρωπαϊκής Επιτροπής ισχύει και σε περίπτωση αναστολής των παρεχόµενων υπηρεσιών ή ανάκλησης της Εθελοντικής ιαπίστευσης. Άρθρο 16 Έναρξη Ισχύος Ο παρών Κανονισµός τίθεται σε ισχύ από τη δηµοσίευσή του στην Εφηµερίδα της Κυβερνήσεως. Η απόφαση αυτή να δηµοσιευθεί στην Εφηµερίδα της Κυβερνήσεως. Μαρούσι, 10 Οκτωβρίου 2003 Ο Πρόεδρος ΕΜΜ.Α. ΓΙΑΚΟΥΜΑΚΗΣ Σελίδα 18