Приєднуйтесь.
Про затвердження Порядку проведення процедури оцінки відповідності у сфері електронних довірчих послуг
{Із змінами, внесеними згідно з Постановою КМ
№ 799 від 01.08.2023}
Відповідно до частини шостої статті 32 Закону України “Про електронні довірчі послуги” Кабінет Міністрів України постановляє:
Затвердити Порядок проведення процедури оцінки відповідності у сфері електронних довірчих послуг, що додається.
ПОРЯДОК
проведення процедури оцінки відповідності у сфері електронних довірчих послуг
{У тексті Порядку слова “інформаційно-телекомунікаційна система” в усіх відмінках і формах числа замінено словами “інформаційно-комунікаційна система” у відповідному відмінку і числі згідно з Постановою КМ № 799 від 01.08.2023}
1. Цей Порядок встановлює механізм проведення процедури оцінки відповідності вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, що ними надаються.
2. Дія цього Порядку не поширюється на іноземні органи з оцінки відповідності у сфері електронних довірчих послуг, акредитовані іноземними органами з акредитації, що є підписантами багатосторонньої угоди про визнання Міжнародного форуму з акредитації та/або Європейської кооперації з акредитації (EA MLA).
{Пункт 2 в редакції Постанови КМ № 799 від 01.08.2023}
3. У цьому Порядку терміни вживаються у такому значенні:
1) документ про відповідність - сертифікат відповідності, виданий органом з оцінки відповідності у сфері електронних довірчих послуг, що підтверджує відповідність юридичних осіб, фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги, кваліфікованих надавачів електронних довірчих послуг та послуг, що ними надаються, вимогам у сфері електронних довірчих послуг, затвердженим постановою Кабінету Міністрів України від 7 листопада 2018 р. № 992 (Офіційний вісник України, 2018 р., № 98, ст. 3227), а для кваліфікованих надавачів електронних довірчих послуг, які внесені до Довірчого списку за рішенням засвідчувального центру, - вимогам, установленим Національним банком України (далі - вимоги у сфері електронних довірчих послуг);
{Абзац другий пункту 3 із змінами, внесеними згідно з Постановою КМ № 799 від 01.08.2023}
2) інформаційно-комунікаційна система - сукупність інформаційних та електронних комунікаційних систем надавача, які у процесі обробки інформації діють як єдине ціле та об’єднують програмно-технічний комплекс, що використовується під час надання кваліфікованих електронних довірчих послуг, фізичне середовище, інформацію, що обробляється в цих системах, а також найманих працівників надавача, які безпосередньо задіяні у наданні кваліфікованих електронних довірчих послуг або обслуговують програмно-технічний комплекс;
{Абзац третій пункту 3 із змінами, внесеними згідно з Постановою КМ № 799 від 01.08.2023}
3) об’єкт оцінки відповідності - юридична особа, фізична особа - підприємець, які мають намір надавати кваліфіковані електронні довірчі послуги, кваліфікований надавач електронних довірчих послуг, інформаційно-комунікаційна система, засоби кваліфікованого електронного підпису та кваліфіковані електронні довірчі послуги;
4) орган з оцінки відповідності у сфері електронних довірчих послуг (далі - орган з оцінки відповідності) - підприємство, установа, організація чи їх структурний підрозділ, що пройшли акредитацію в національному органі з акредитації та провадять діяльність з оцінки відповідності у сфері електронних довірчих послуг;
5) замовник процедури оцінки відповідності - юридична особа, фізична особа - підприємець, які мають намір надавати кваліфіковані електронні довірчі послуги, кваліфікований надавач електронних довірчих послуг.
Інші терміни вживаються у значенні, наведеному в Законах України “Про електронні довірчі послуги”, “Про акредитацію органів з оцінки відповідності”, “Про технічні регламенти та оцінку відповідності”, “Про захист інформації в інформаційно-комунікаційних системах”.
{Абзац сьомий пункту 3 із змінами, внесеними згідно з Постановою КМ № 799 від 01.08.2023}
4. Процедура оцінки відповідності у сфері електронних довірчих послуг проводиться з метою підтвердження відповідності об’єкта оцінки відповідності вимогам у сфері електронних довірчих послуг з урахуванням вимог законодавства у сфері захисту інформації.
5. Процедура оцінки відповідності у сфері електронних довірчих послуг проводиться на добровільних засадах за рахунок замовника процедури оцінки відповідності.
Вартість робіт з проведення процедури оцінки відповідності у сфері електронних довірчих послуг визначається на договірних засадах.
6. Для проходження процедури оцінки відповідності у сфері електронних довірчих послуг замовник процедури оцінки відповідності самостійно обирає орган з оцінки відповідності та укладає з ним відповідний договір.
Замовник процедури оцінки відповідності може пройти зазначену процедуру та отримати аудиторський звіт в іноземному органі з оцінки відповідності, акредитованому іноземними органами з акредитації, що є підписантами багатосторонньої угоди про визнання Міжнародного форуму з акредитації та/або Європейської кооперації з акредитації (EA MLA).
{Пункт 6 доповнено абзацом згідно з Постановою КМ № 799 від 01.08.2023}
Аудиторський звіт іноземного органу з оцінки відповідності, викладений іноземною мовою, повинен бути перекладений державною мовою. Вірність перекладу або справжність підпису перекладача засвідчується нотаріально.
{Пункт 6 доповнено абзацом згідно з Постановою КМ № 799 від 01.08.2023}
7. Органи з оцінки відповідності та замовники процедури оцінки відповідності під час проведення зазначеної процедури у сфері електронних довірчих послуг повинні дотримуватися положень, визначених у стандартах ДСТУ ETSI EN 319 403-1:2021 (ETSI EN 319 403-1 V2.3.1 (2020-06), IDT) “Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 1. Вимоги до органів оцінювання відповідності, які оцінюють постачальників довірчих послуг” та ДСТУ ETSI TS 119 403-2:2021 (ETSI TS 119 403-2 V1.2.4 (2020-11), IDT) “Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 2. Додаткові вимоги до органів оцінювання відповідності, що перевіряють постачальників довірчих послуг, які видають довірчі сертифікати”, затверджених наказом державного підприємства “УкрНДЦ” від 16 грудня 2021 р. № 512 (далі - ДСТУ ETSI EN 319 403-1:2021 та ДСТУ ETSI TS 119 403-2:2021).
{Пункт 7 в редакції Постанови КМ № 799 від 01.08.2023}
8. Рішення за результатами проведення процедури оцінки відповідності у сфері електронних довірчих послуг приймається органом з оцінки відповідності на основі аналізу аудиторського звіту, оформленого зазначеним органом за результатами виконання етапів процесу аудиту, визначених у стандартах ДСТУ ETSI EN 319 403-1:2021 та ДСТУ ETSI TS 119 403-2:2021.
{Пункт 8 в редакції Постанови КМ № 799 від 01.08.2023}
9. Прийняття органом з оцінки відповідності рішення про видачу документа про відповідність здійснюється в строк, визначений у договорі, зазначеному в пункті 6 цього Порядку.
{Пункт 9 в редакції Постанови КМ № 799 від 01.08.2023}
перший етап - проведення оцінки документації, в тому числі планування другого етапу, шляхом визначення структури та об’єму кваліфікованих електронних довірчих послуг, що надаватиме об’єкт оцінки відповідності;
другий етап - виїзний плановий або позаплановий захід, що здійснюється за місцезнаходженням об’єкта оцінки відповідності та передбачає підтвердження результатів попереднього аудиторського звіту і завершення аудиту перевірених послуг.
За результатами реалізації кожного з етапів складається відповідний звіт. Під час установлення інтервалу між першим та другим етапами оцінки відповідності необхідно враховувати потреби замовника процедури оцінки відповідності для виправлення недоліків, виявлених під час реалізації першого етапу.
Орган з оцінки відповідності повинен інформувати замовника процедури оцінки відповідності про всі висновки, описані в аудиторському звіті із зазначенням їх суттєвого впливу на безпеку та/або здатність надавати кваліфіковані електронні довірчі послуги.
{Порядок доповнено пунктом 9-1 згідно з Постановою КМ № 799 від 01.08.2023}
9-2. У разі коли замовник процедури оцінки відповідності виявив намір продовжити зазначені процедури, він повинен надати органу з оцінки відповідності план заходів щодо усунення виявлених недоліків.
Орган з оцінки відповідності повинен оцінити результати заходів щодо усунення виявлених недоліків та строки їх виконання, а також поінформувати замовника процедури оцінки відповідності про додаткові завдання, необхідні для підтвердження того, що невідповідності були виправлені.
{Порядок доповнено пунктом 9-2 згідно з Постановою КМ № 799 від 01.08.2023}
9-3. Корекційні дії у разі виявлення незначної невідповідності (невиконання вимог, які не мають істотного впливу на безпеку та здатність кваліфікованого надавача електронних довірчих послуг надавати кваліфіковані електронні довірчі послуги) повинні бути розглянуті протягом:
трьох місяців після інформування замовника процедури оцінки відповідності про невідповідність аудиторського звіту;
шести місяців після інформування замовника процедури оцінки відповідності про невідповідність аудиторського звіту у разі надання органом з оцінки відповідності документального підтвердження того, що корекційні дії потребують більш тривалого періоду часу у зв’язку з їх складністю.
{Порядок доповнено пунктом 9-3 згідно з Постановою КМ № 799 від 01.08.2023}
10. За результатами проведення процедури оцінки відповідності у сфері електронних довірчих послуг органом з оцінки відповідності приймається одне з таких рішень:
1) про відповідність об’єкта оцінки відповідності у повному обсязі вимогам у сфері електронних довірчих послуг;
{Підпункт 2 пункту 10 виключено на підставі Постанови КМ № 799 від 01.08.2023}
3) про невідповідність об’єкта оцінки відповідності вимогам у сфері електронних довірчих послуг.
11. У разі прийняття рішення про відповідність об’єкта оцінки відповідності вимогам у сфері електронних довірчих послуг орган з оцінки відповідності видає замовнику процедури оцінки відповідності підписаний документ про відповідність, невід’ємною частиною якого є аудиторський звіт.
{Пункт 12 виключено на підставі Постанови КМ № 799 від 01.08.2023}
{Пункт 13 виключено на підставі Постанови КМ № 799 від 01.08.2023}
{Пункт 14 виключено на підставі Постанови КМ № 799 від 01.08.2023}
15. У разі прийняття рішення про невідповідність об’єкта оцінки відповідності вимогам у сфері електронних довірчих послуг орган з оцінки відповідності видає замовнику процедури оцінки відповідності аудиторський звіт з висновками про невідповідність з переліком недоліків.
16. Документ про відповідність повинен містити такі відомості:
1) найменування органу з оцінки відповідності;
2) інформацію про акредитацію органу з оцінки відповідності (дата та номер атестата про акредитацію);
3) прізвище, ім’я, по батькові (у разі наявності) осіб, що проводили процедуру оцінки відповідності у сфері електронних довірчих послуг;
4) період проведення процедури оцінки відповідності у сфері електронних довірчих послуг;
5) реквізити замовника процедури оцінки відповідності у сфері електронних довірчих послуг (найменування або прізвище, ім’я та по батькові, ідентифікаційні дані та контактна інформація);
6) сфера оцінки відповідності;
7) перелік кваліфікованих електронних довірчих послуг, які має намір надавати або надає замовник процедури оцінки відповідності;
9) найменування засобів кваліфікованого електронного підпису, які будуть використовуватися або використовуються під час надання кваліфікованих електронних довірчих послуг;
10) перелік вимог у сфері електронних довірчих послуг, національних стандартів та/або технічних специфікацій, щодо відповідності яким проводилася процедура оцінка відповідності у сфері електронних довірчих послуг;
11) висновок щодо відповідності об’єкта оцінки відповідності вимогам у сфері електронних довірчих послуг;
12) строк дії документа про відповідність.
17. Кваліфіковані надавачі електронних довірчих послуг, які пройшли процедуру оцінки відповідності у сфері електронних довірчих послуг та відомості про яких внесені до Довірчого списку, проходять планову процедуру оцінки відповідності у сфері електронних довірчих послуг кожні 24 місяці.
17-1. Орган з оцінки відповідності визначає програму періодичного здійснення оцінки відповідності і повторної оцінки відповідності у сфері електронних довірчих послуг, яка повинна включати виїзний захід для підтвердження того, що кваліфіковані надавачі електронних довірчих послуг і послуги, що ними надаються, відповідають вимогам у сфері електронних довірчих послуг.
{Порядок доповнено пунктом 17-1 згідно з Постановою КМ № 799 від 01.08.2023}
18. Процедура повторної (позапланової) оцінки відповідності у сфері електронних довірчих послуг проводиться за наявності обставин, визначених у стандартах ДСТУ ETSI EN 319 403-1:2021 та ДСТУ ETSI TS 119 403-2:2021.
{Пункт 18 в редакції Постанови КМ № 799 від 01.08.2023}
19. Про результати проведення процедури планової та повторної (позапланової) оцінки відповідності у сфері електронних довірчих послуг кваліфіковані надавачі електронних довірчих послуг повинні повідомити Держспецзв’язку шляхом надання копій документів про відповідність (за наявності) та аудиторських звітів не пізніше трьох робочих днів з дня їх отримання.
20. Органи з оцінки відповідності надають публічний доступ до актуальної інформації про результати оцінки відповідності у сфері електронних довірчих послуг.
