КАБІНЕТ МІНІСТРІВ УКРАЇНИ ПОСТАНОВА від 13 вересня 2024 р. № 1062 Київ Про затвердження Порядку проведення процедури оцінки відповідності у сферах електронної ідентифікації та електронних довірчих послуг Відповідно до статті 32 Закону України “Про електронну ідентифікацію та електронні довірчі послуги” Кабінет Міністрів України постановляє: 1. Затвердити Порядок проведення процедури оцінки відповідності у сферах електронної ідентифікації та електронних довірчих послуг, що додається. 2. Визнати такими, що втратили чинність: постанову Кабінету Міністрів України від 18 грудня 2018 р. № 1215 “Про затвердження Порядку проведення процедури оцінки відповідності у сфері електронних довірчих послуг” (Офіційний вісник України, 2019 р., № 20, ст. 677); постанову Кабінету Міністрів України від 1 серпня 2023 р. № 799 “Про внесення змін до Порядку проведення процедури оцінки відповідності у сфері електронних довірчих послуг” (Офіційний вісник України, 2023 р., № 76, ст. 4298). Прем’єр-міністр України Д. ШМИГАЛЬ Інд. 49 ЗАТВЕРДЖЕНО постановою Кабінету Міністрів України від 13 вересня 2024 р. № 1062 ПОРЯДОК проведення процедури оцінки відповідності у сферах електронної ідентифікації та електронних довірчих послуг |
|
1. Цей Порядок визначає механізм оцінки відповідності юридичних осіб, фізичних осіб — підприємців, які мають намір надавати послуги електронної ідентифікації, надавачів послуг електронної ідентифікації, юридичних осіб, фізичних осіб — підприємців, які мають намір надавати кваліфіковані електронні довірчі послуги, кваліфікованих надавачів електронних довірчих послуг, центрального засвідчувального органу, засвідчувального центру та послуг, які вони надають, вимогам до надавачів послуг електронної ідентифікації, кваліфікованих надавачів електронних довірчих послуг, а також вимогам до послуг, які вони надають. 2. Дія цього Порядку не поширюється на іноземні органи з оцінки відповідності, акредитовані відповідно іноземними органами з акредитації, що є підписантами багатосторонньої угоди про визнання Міжнародного форуму з акредитації та/або Європейської кооперації з акредитації (EAMLA). 3. У цьому Порядку терміни вживаються у такому значенні: замовник процедури оцінки відповідності (далі — замовник) — юридична особа, фізична особа — підприємець, яка має намір надавати послуги електронної ідентифікації, надавач послуг електронної ідентифікації, а також юридична особа, фізична особа — підприємець, яка має намір надавати кваліфіковані електронні довірчі послуги, кваліфікований надавач електронних довірчих послуг, центральний засвідчувальний орган, засвідчувальний центр; об’єкт оцінки відповідності — юридична особа, фізична особа — підприємець, яка має намір надавати кваліфіковані електронні довірчі послуги, послуги електронної ідентифікації, надавач послуг електронної ідентифікації, кваліфікований надавач електронних довірчих послуг, центральний засвідчувальний орган або засвідчувальний центр та послуги, які вони надають, засоби кваліфікованого електронного підпису чи печатки, які використовуються або використовуватимуться під час надання кваліфікованих електронних довірчих послуг. Інші терміни в цьому Порядку вживаються у значенні, наведеному в Законах України “Про електронну ідентифікацію та електронні довірчі послуги”, “Про захист інформації в інформаційно-комунікаційних системах” та прийнятих відповідно до них нормативно-правових актах. 4. Оцінка відповідності проводиться з метою підтвердження відповідності об’єкта оцінки відповідності вимогам, передбаченим статтями 112, 13, 18 — 21, 26 — 28, 32 Закону України “Про електронну ідентифікацію та електронні довірчі послуги” (далі — вимоги). 5. Оцінка відповідності проводиться за рахунок замовника згідно з договором між замовником та органом з оцінки відповідності (далі — договір). 6. Замовник може пройти процедуру оцінки відповідності та отримати аудиторський звіт в іноземному органі з оцінки відповідності, акредитованому іноземними органами з акредитації, що є підписантами багатосторонньої угоди про визнання Міжнародного форуму з акредитації та/або Європейської кооперації з акредитації (EA MLA). Аудиторський звіт іноземного органу з оцінки відповідності, викладений іноземною мовою, повинен бути перекладений державною мовою. Вірність перекладу або справжність підпису перекладача засвідчується нотаріально. 7. Оцінка відповідності у сферах електронної ідентифікації та електронних довірчих послуг здійснюється органами з оцінки відповідності, акредитованими згідно з ДСТУ EN ISO/IEC 17065:2019 “Оцінка відповідності. Вимоги до органів з сертифікації продукції, процесів та послуг” (EN ISO/IEC 17065:2012, IDT; ISO/IEC 17065:2012, IDT) або відповідними європейськими чи міжнародними стандартами, на основі яких прийнято зазначений національний стандарт. Органи з оцінки відповідності під час проведення оцінки відповідності у сфері електронних довірчих послуг повинні дотримуватися положень, визначених у стандартах ДСТУ ETSI EN 319 403-1:2021 (ETSI EN 319 403-1 V2.3.1 (2020-06), IDT) “Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 1. Вимоги до органів оцінювання відповідності, які оцінюють постачальників довірчих послуг”, ДСТУ ETSI TS 119 403-2:2021 (ETSI TS 119 403-2 V1.2.4 (2020-11), IDT) “Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 2. Додаткові вимоги до органів оцінювання відповідності, що перевіряють постачальників довірчих послуг, які видають довірчі сертифікати”, ДСТУ ETSI EN 319 401:2022 (ETSI EN 319 401 V2.3.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI) Загальні вимоги щодо політики для надавачів довірчих послуг”. 8. Орган з оцінки відповідності оформлює аудиторський звіт за результатами виконання всіх етапів аудиту, визначених у стандартах ДСТУ ETSI EN 319 403-1:2021 та ДСТУ ETSI TS 119 403-2:2021. 9. Видача органом з оцінки відповідності аудиторського звіту замовнику здійснюється в строк, визначений у договорі. 10. Оцінка відповідності проводиться двома етапами: перший етап передбачає проведення оцінки документації, в тому числі планування другого етапу шляхом визначення структури та об’єму послуг, що надаватиме замовник; другий етап передбачає виїзний захід, що здійснюється органом з оцінки відповідності за місцезнаходженням замовника та передбачає завершення аудиту перевірених послуг та погодження органом з оцінки відповідності плану корекційних дій замовника (у разі подання замовником плану корекційних дій відповідно до пункту 15 цього Порядку). За результатами кожного з етапів складається звіт. Під час встановлення інтервалу між першим та другим етапами оцінки відповідності необхідно враховувати обсяги перевірки та потреби замовника для вирішення проблемних питань, виявлених під час проведення першого етапу, з урахуванням строку, передбаченого абзацом шостим цього пункту. Орган з оцінки відповідності після завершення другого етапу оцінки відповідності повинен у письмовій формі у передбачений у договорі спосіб поінформувати замовника про всі висновки, описані в аудиторському звіті, із зазначенням їх суттєвого впливу на безпеку та/або здатність надавати кваліфіковані електронні довірчі послуги чи послуги електронної ідентифікації. За результатами проведення оцінки відповідності орган з оцінки відповідності у строк, що не може бути більшим ніж шість місяців з дня укладення договору, видає замовнику аудиторський звіт. 11. За результатами проведення оцінки відповідності органом з оцінки відповідності приймається одне з таких рішень: 1) про відповідність об’єкта оцінки відповідності вимогам у повному обсязі; 2) про невідповідність об’єкта оцінки відповідності вимогам. 12. У разі прийняття рішення про відповідність об’єкта оцінки відповідності вимогам орган з оцінки відповідності видає замовнику аудиторський звіт з висновком про відповідність. 13. У разі прийняття рішення про невідповідність об’єкта оцінки відповідності вимогам орган з оцінки відповідності видає замовнику аудиторський звіт з висновком про невідповідність об’єкта оцінки відповідності вимогам (далі — висновок про невідповідність) із зазначенням недоліків. Після усунення недоліків, зазначених в аудиторському звіті, замовник на умовах та в строки, визначені в договорі, може продовжити процедуру оцінки відповідності відповідно до пункту 15 цього Порядку або пройти процедуру оцінки відповідності повторно. 14. Аудиторський звіт повинен містити такі відомості: 1) найменування органу з оцінки відповідності; 2) інформацію про акредитацію органу з оцінки відповідності (дата та номер атестата про акредитацію); 3) прізвище, власне ім’я, по батькові (у разі наявності) осіб, що проводили оцінку відповідності; 4) період проведення оцінки відповідності; 5) реквізити замовника процедури оцінки відповідності: для юридичної особи: найменування та код згідно з ЄДРПОУ; для фізичної особи — підприємця — прізвище, власне ім’я, по батькові (за наявності), унікальний номер запису в Єдиному державному демографічному реєстрі (за наявності), реєстраційний номер облікової картки платника податків або серію (за наявності) та номер паспорта громадянина України (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідний контролюючий орган і мають відмітку в паспорті громадянина України); 6) сфера оцінки відповідності (обсяг перевірки обʼєкта оцінки відповідності щодо відповідності вимогам); 7) перелік послуг електронної ідентифікації чи кваліфікованих електронних довірчих послуг, які має намір надавати або надає замовник; 8) найменування інформаційно-комунікаційної системи замовника; 9) засоби кваліфікованого електронного підпису чи печатки, які використовуються або використовуватимуться під час надання послуг електронної ідентифікації чи кваліфікованих електронних довірчих послуг; 10) інформацію про вимоги, національні стандарти та/або технічні специфікації, щодо відповідності яким проводилася процедура оцінки відповідності; 11) висновок про відповідність чи невідповідність об’єкта оцінки відповідності вимогам; 12) строк дії аудиторського звіту. 15. Якщо замовник, який отримав аудиторський звіт з висновком про невідповідність, виявив намір продовжити процедуру оцінки відповідності, він повинен у строк не більш як пʼять робочих днів з моменту отримання відповідного аудиторського звіту подати органу з оцінки відповідності план корекційних дій відповідно до стандарту ДСТУ ETSI EN 319 403- 1:2021 у письмовій формі у спосіб, передбачений у договорі. Орган з оцінки відповідності оцінює та погоджує план корекційних дій, визначає строк їх проведення і завдання, які необхідно виконати для підтвердження того, що недоліки були виправлені, про що інформує замовника у письмовій формі у спосіб, передбачений у договорі. 16. У разі незначної невідповідності, а саме невиконання вимог, які не мають істотного впливу на безпеку та здатність надавача послуг електронної ідентифікації чи кваліфікованого надавача електронних довірчих послуг надавати послуги електронної ідентифікації чи кваліфіковані електронні довірчі послуги, орган з оцінки відповідності повинен розглянути корекційні дії, здійснені замовником, протягом: трьох місяців після надання замовнику аудиторського звіту з висновком про невідповідність; шести місяців після надання замовнику аудиторського звіту з висновком про невідповідність — у разі подання замовником до органу з оцінки відповідності документального підтвердження, що проведення корекційних дій потребує більш тривалого періоду у зв’язку із складністю їх виконання. _______________________
|
Назад |