Staðlar sem gilda um nánari framkvæmd laga nr. 55/2019

Ráðherra hefur falið Fjarskiptastofu að birta og uppfæra á vefsíðu sinni tilvísunarnúmer staðla sem gilda um nánari framkvæmd laga um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti nr. 55/2019, sbr. 3. gr. reglugerðar nr. 100/2020. Áðurgreind lög innleiddu reglugerð Evrópusambandsins nr. 910/2014 um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti á innri markaðinum (hér eftir eIDAS).

Framkvæmdarákvarðanir framkvæmdastjórnarinnar (ESB) 2015/1505, 2015/1506 og 2016/650 auk framkvæmdarreglugerðar framkvæmdastjórnarinnar (ESB) 2015/1501 tilgreina m.a. staðla sem gilda um nánari framkvæmd laga nr. 55/2019 og eIDAS-reglugerðarinnar, sbr. 5. gr. reglugerðar nr. 100/2020. Staðlarnir verða raktir hér að neðan.

Staðlar um öryggismat upplýsingatæknivara, sem gilda um vottun fullgilds rafræns undirskriftarbúnaðar eða fullgilds rafræns innsiglisbúnaðar skv. a-lið 3. mgr. 30. gr. eða 2. mgr. 39. gr. eIDAS-reglugerðarinnar, þar sem rafrænu undirskriftargögnin eða rafrænu innsiglisgögnin eru geymd í umhverfi sem er að fullu en ekki endilega stjórnað af notanda, sbr. framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2016/650:

ISO/IEC 15408 – Information technology – Security techniques – Evaluation criteria for IT security, Parts 1 to 3:

______________________________________________________________________________________________________________________

ISO/IEC 18045-2008: Information technology – Security techniques – Methodology for IT security evaluation

______________________________________________________________________________________________________________________

ÍST EN 419 211 – Protection profiles for secure signature creation device, Parts 1 to 6, eftir því sem við á:

  • ÍST EN 419211-1:2014 – Verndarsnið fyrir öruggan undirskriftarbúnað - Hluti 1: Yfirlit (Protection profiles for secure signature creation device - Part 1: Overview)
  • ÍST EN 419211-2:2013 – Verndarsnið fyrir öruggan undirskriftarbúnað – Hluti 2: Búnaður sem styðst við lyklamyndun (Protection profiles for secure signature creation device – Part 2: Device with key generation)

ÍST EN 419211-3:2013 – Verndarsnið fyrir öruggan undirskriftarbúnað – Hluti 3: Búnaður sem styðst við lyklaflutning (Protection profiles for secure signature creation device – Part 3: Device with key import)

  • ÍST EN 419211-4:2013 – Verndarsnið fyrir öruggan undirskriftarbúnað - Hluti 4: Viðbætur við tæki með lyklamyndun og trausta tengingu við skilríkjamyndunarbúnað (Protection profiles for secure signature creation device – Part 4: Extension for device with key generation and trusted channel to certificate generation application)
  • ÍST EN 419211-5:2013 – Verndarsnið fyrir öruggan undirskriftarbúnað – Hluti 5: Viðbætur við tæki með lyklamyndun og trausta tengingu við undirskriftarbúnað (Protection profiles for secure signature creation device – Part 5: Extension for device with key generation and trusted channel for signature creation application)
  • ÍST EN 419211-6:2014 – Verndarsnið fyrir öruggan undirskriftarbúnað – Hluti 6: Viðbætur við tæki með lyklainnflutning og trausta tengingu við undirskriftarbúnað (Protection profiles for secure signature creation device – Part 6: Extension for device with key import and trusted channel to signature creation application)

Útfærðar rafrænar undirskriftir, sem getið er í 1. gr. framkvæmdarákvörðunar framkvæmdastjórnarinnar (ESB) 2015/1506, og útfærð rafræn innsigli, sem getið er í 3. gr. ákvörðunarinnar, verða að uppfylla eina af eftirtöldum tækniforskriftum Fjarskiptastaðlastofnunar Evrópu að undanskildum 9. lið hennar:

XAdES Baseline Profile:

CAdES Baseline Profile:

PAdES Baseline Profile:

Tengd undirskriftar- eða innsiglisumlykja, sem um getur í 1. eða 3. gr. framkvæmdarákvörðunar framkvæmdastjórnarinnar (ESB) 2015/1506, verður að uppfylla eftirfarandi tækniforskriftir:

Associated Signature Container Baseline Profile:

Staðall fyrir umgjörð samvirkni skv. 8. mgr. 12. gr. eIDAS reglugerðarinnar, sbr. framkvæmdarreglugerð framkvæmdastjórnarinnar (ESB) 2015/1501:

Stjórnendur nóða sem veita sannvottun skulu sýna fram á, að því er varðar nóður sem eru hluti af umgjörð samvirkni, að nóðan fullnægi kröfum staðalsins ISO/IEC 27001 – Information Security Management með vottun eða með jafngildum matsaðferðum eða með því að uppfylla landslöggjöf.

Tækniforskriftir og snið fyrir traustlista skv. 5. mgr. 22. gr. eIDAS reglugerðarinnar, sbr. framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2015/1505:

Samfella traustlista, sbr. framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2015/1505:

Skilríki sem tilkynna á framkvæmdastjórninni um skv. 2. mgr. 4. gr. ákvörðunarinnar skulu uppfylla kröfur liðar 5.7.1 í ETSI TS 119 612 – Electronic Signatures and Infrastructures (ESI) – Trusted Lists.

Forskriftir fyrir útgáfu traustlistans sem er læsileg mönnum, sbr. framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2015/1505:

Ef tekin er saman og birt útgáfa af traustlistanum sem er læsileg mönnum skal hún vera á PDF-skjalsniði skv. ISO 32000-1:2008: Document management – Portable document format – Part 1: PDF 1.7 sem skal vera í samræmi við PDF/A-snið skv. ISO 19005-2:2011: Document management – Electronic document file format for long-term preservation – Part 2: Use of ISO 32000-1 (PDF/A-2). Þá skal skipan útgáfunnar sem er læsileg mönnum endurspegla röklegu fyrirmyndina sem lýst er í ETSI TS 119 612.

Sniðmát fyrir tilkynningar aðildarríkjanna, sbr. II. viðauka við framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2015/1505:

Upplýsingarnar sem aðildarríkjunum ber að tilkynna um skv. 1. mgr. 4. gr. ákvörðunarinnar skulu nota ISO 3166-1: Codes for the representation of names of countries and their subdivisions – Part 1: Country Codes, þó með undantekningum.

Aðrar framkvæmdargerðir sem gilda um nánari framkvæmd laga nr. 55/2019 og eIDAS-reglugerðarinnar án þess að kveða á um gildandi staðla:

Fleiri staðlar:

Recommendation ITU-T X.509 | ISO/IEC 9594-8: Information technology – Open systems interconnection – The Directory: Public-key and attribute certificate framework.

RFC 3739: Internet X.509 Public Key Infrastructure: Qualified Certificates Profile.

RFC 3739: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.

Lista yfir alla EN/TS/TR staðla sem eru og hafa verið í gildi og varða eIDAS-reglugerðina má finna hér.

ISO staðla má finna hér.

CEN staðla má finna hér.

Uppfært í október 2021