Narodowe Centrum Certyfikacji

Komunikaty

Komunikaty 2016

Komunikat z dnia 22 grudnia 2016 r.

Narodowy Bank Polski uprzejmie informuje, iż od dnia 22 grudnia 2016 roku obowiązuje „Polityka certyfikacji Narodowego Centrum Certyfikacji wersja 3.0”. Dokument dostępny pod adresem: http://www.nccert.pl/files/PC_NCCert.pdf


Komunikat z dnia 09 grudnia 2016 r.

Narodowy Bank Polski uprzejmie informuje - iż realizując wniosek Minister Cyfryzacji z dnia 2 grudnia br. - w dniu 9 grudnia br. , w ramach Narodowego Centrum Certyfikacji, uruchomił nowy urząd certyfikacji i wydał dla niego nowy certyfikat.

Klucze kryptograficzne nowego urzędu certyfikacji zostały wygenerowane zgodnie z algorytmem RSA i mają długość 4096 bitów. Do wygenerowania certyfikatu użyta została funkcja skrótu SHA 512. Okres ważności nowego certyfikatu Narodowego Centrum Certyfikacji wynosi 23 lata, a identyfikator wyróżniający ma postać:

KrajPL
OrganizacjaNarodowy Bank Polski
Nazwa powszechnaNarodowe Centrum Certyfikacji
Identyfikator organizacjiVATPL-5250008198

Certyfikaty dostawcy usług zaufania wydawane w ramach nowego urzędu będą oparte na algorytmach RSA 4096 i SHA512, a okres ich ważności wynosić będzie 11 lat.

Certyfikat nowego urzędu certyfikacji dostępny jest pod adresem :

https://www.nccert.pl/files/nccert2016.crt

a lista CRL pod adresem:

http://www.nccert.pl/arl/nccert2016.crl

Obecny urząd certyfikacji, uruchomiony w 2009 r., będzie nadal funkcjonował do dnia 27 października 2020 r. na obecnych zasadach.


Komunikat z dnia 05 grudnia 2016 r.

Narodowy Bank Polski uprzejmie informuje, iż w dniu 9 grudnia 2016 roku, w ramach Narodowego Centrum Certyfikacji, nastąpi uruchomienie nowego urzędu certyfikacji.

Klucze kryptograficzne nowego urzędu certyfikacji zostaną wygenerowane zgodnie z algorytmem RSA i będą miały długość 4096 bitów. Do wygenerowania certyfikatu użyta zostanie dodatkowo funkcja skrótu SHA 512. Okres ważności nowego certyfikatu Narodowego Centrum Certyfikacji będzie wynosić 23 lata, a identyfikator wyróżniający będzie miał postać:

KrajPL
OrganizacjaNarodowy Bank Polski
Nazwa powszechnaNarodowe Centrum Certyfikacji
Identyfikator organizacjiVATPL-5250008198

Certyfikaty dostawcy usług zaufania również będą oparte na algorytmach RSA 4096 i SHA512, a okres ich ważności wynosić będzie 11 lat.

Obecny urząd certyfikacji, uruchomiony w 2009 r., będzie nadal funkcjonował na obecnych zasadach.

W związku z planowanym uruchomieniem nowego urzędu certyfikacji, NBP opracował nową wersję „Polityki Certyfikacji Narodowego Centrum Certyfikacji”, której projekt zamieszczamy poniżej.

Polityka Certyfikacji Narodowego Centrum Certyfikacji 3.0


Komunikat z dnia 7 października 2016 r.

Narodowy Bank Polski uprzejmie informuje, iż w związku z wejściem w życie ustawy z dnia 5 września 2016 r. o usługach zaufania i identyfikacji elektronicznej strona internetowa Narodowego Centrum Certyfikacji została dostosowana do przepisów tej ustawy.

Zmiany obejmują przede wszystkim:

  1. wprowadzenie nowej siatki pojęciowej;
  2. aktualizację listy aktów prawnych publikowanych w dziale „Przepisy”;
  3. przeniesienie danych zawartych w dotychczasowym rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne do rejestru dostawców usług zaufania.

Dane niezbędne do weryfikacji kwalifikowanych podpisów elektronicznych tzn. certyfikat Narodowego Centrum Certyfikacji (poprzednio „zaświadczenie certyfikacyjne ministra”), certyfikaty dostawców usług zaufania (poprzednio „zaświadczenia certyfikacyjne”), lista unieważnionych certyfikatów dostawców usług zaufania (poprzednio „lista unieważnionych zaświadczeń certyfikacyjnych”) oraz zaufana lista (poprzednio „lista TSL”) dostępne są pod dotychczasowymi adresami.


Komunikat z dnia 30 czerwca 2016 r.


Informacja dla użytkowników podpisu elektronicznego w związku z wejściem do stosowania rozporządzenia eIDAS.

Usługi certyfikacyjne i podpis elektroniczny po 1 lipca 2016.

W dn. 28 sierpnia 2014 r. w Dzienniku Urzędowym Unii Europejskiej opublikowane zostało rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym nr 910/2014 z dnia 23 lipca 2014 r. (tzw. rozporządzenie eIDAS). Rozporządzenie UE wraz z systemem aktów delegowanych i implementujących zastąpi dyrektywę 1999/93/WE w sprawie wspólnotowych ram prawnych dla podpisów elektronicznych oraz krajowe przepisy wszystkich państw członkowskich, w zakresie regulowanym rozporządzeniem eIDAS. Nowa regulacja wraz z aktami wykonawczymi oraz nowymi standardami ma podnieść poziom bezpieczeństwa usług zaufania, zwiększyć ich popularność wśród obywateli UE oraz ujednolicić przepisy obowiązujące w Państwach Członkowskich, aby zapewnić interoperacyjność i transgraniczność tych usług, w tym podpisu elektronicznego.

Od 1 lipca 2016 r. w odniesieniu do podpisu elektronicznego w polskim systemie prawnym będą obowiązywały przepisy rozporządzenia eIDAS, które docelowo zastąpią polską ustawę z dnia 18 września 2001 r. o podpisie elektronicznym. Na tę sytuację prawną, odnoszącą się do podpisów elektronicznych, nie będzie miał wpływu termin przyjęcia, ani też brzmienie przepisów tworzonej obecnie polskiej ustawy o usługach zaufania, która reguluje inne kwestie wynikające z delegacji zawartych w rozporządzeniu eIDAS. Do chwili wydania nowej ustawy obowiązują nadal niesprzeczne z rozporządzeniem eIDAS oraz aktami wykonawczymi przepisy dotychczasowej ustawy o podpisie elektronicznym oraz wydane na jej podstawie rozporządzenia. Do chwili wydania nowej ustawy nadzór będzie nadal prowadzony przez ministra właściwego ds. gospodarki i ewentualne incydenty należy zgłaszać do Ministerstwa Rozwoju. Nowa ustawa przewiduje przeniesienie nadzoru do ministra właściwego ds. informatyzacji.

Struktura nowego certyfikatu

Centra certyfikacji wydające kwalifikowane certyfikaty będą praktycznie bez zmian świadczyły swoje usługi certyfikacyjne po 1 lipca 2016 r., chociaż usługi te będą funkcjonować pod nową nazwą usług zaufania. Wszystkie kwalifikowane centra certyfikacji w Polsce po tej dacie będą wydawać certyfikaty, które będą miały taką samą strukturę i algorytmy, jak certyfikaty kwalifikowane wydawane przed 1 lipca 2016 r. Planowana zmiana w tym zakresie nastąpi z zachowaniem okresu przejściowego, który przewiduje projekt polskiej ustawy o usługach zaufania i nowy akt wykonawczy.

Skutek prawny podpisów elektronicznych

Zgodnie z art. 51 ust. 1 eIDAS: „Bezpieczne urządzenia do składania podpisu, których zgodność ustalono zgodnie z art. 3 ust. 4 dyrektywy 1999/93/WE, uznaje się za kwalifikowane urządzenia do składania podpisu elektronicznego na mocy niniejszego rozporządzenia”. Nie zachodzi zatem konieczność zakupu nowych kart lub zestawów do składania podpisu elektronicznego.

W związku z art. 51 ust. 2 eIDAS: „Kwalifikowane certyfikaty wydane osobom fizycznym na mocy dyrektywy 1999/93/WE uznaje się za kwalifikowane certyfikaty podpisów elektronicznych na mocy niniejszego rozporządzenia do czasu ich wygaśnięcia”. W związku z tym nie zachodzi również konieczność zakupu nowego certyfikatu kwalifikowanego.

Każdy podpis elektroniczny, który po 1 lipca 2016 r.:

  • tworzony będzie za pomocą tych samych urządzeń i oprogramowania, które były używane do tworzenia bezpiecznych podpisów elektronicznych zgodnych z polską ustawą z dnia 18 września 2001 r o podpisie elektronicznym oraz
  • weryfikowany będzie:
    • za pomocą kwalifikowanego certyfikatu podpisu elektronicznego wydanego po 1 lipca 2016 r. na mocy nowych przepisów (eIDAS)
    • lub za pomocą kwalifikowanego certyfikatu wydanego przed 1 lipca 2016 r. na mocy obowiązującej wówczas polskiej ustawy o podpisie elektronicznym

będzie mieć status kwalifikowanego podpisu elektronicznego w rozumieniu nowych przepisów (eIDAS) i wywoływać będzie skutek prawny równoważny podpisowi własnoręcznemu, czyli będzie mieć taki sam skutek prawny jak bezpieczny podpis elektroniczny weryfikowany za pomocą kwalifikowanego certyfikatu w rozumieniu polskiej ustawy o podpisie elektronicznym.

Ilekroć w ustawach jest mowa o bezpiecznym podpisie elektronicznym weryfikowanym za pomocą ważnego certyfikatu kwalifikowanego należy przez to rozumieć kwalifikowany podpis elektroniczny w rozumieniu rozporządzenia eIDAS. W aktach prawnych, systemach informatycznych, dokumentacji takich systemów oraz komunikacji przetargowej wskazane jest dostosowanie do terminologii rozporządzenia eIDAS. Przypominamy, że urzędy administracji publicznej obowiązane są honorować kwalifikowane podpisy elektroniczne z innych państw Unii Europejskiej.


Komunikat z dnia 25 marca 2016 r.

Podpis elektroniczny i usługi zaufania – nowe przepisy wejdą w życie 1 lipca 2016 r.

Usługi zaufania i nowe Rozporządzenie Parlamentu Europejskiego i Rady UE

W ostatnich latach w Unii Europejskiej prowadzona jest rozległa reforma ram prawnych i standaryzacyjnych kwestii dotyczących m.in. podpisu elektronicznego. Celem tych prac jest zniesienie istniejących barier w swobodnym przepływie usług oraz wprowadzenie jednolitego traktowania i uznawania usług zaufania na rynku międzynarodowym zwłaszcza przez instytucje sektora publicznego.

Usługi zaufania odgrywają istotną rolę w elektronizacji obrotu prawnego, a także pozwalają na to, żeby dokumenty w obrocie prawnym były wytwarzane i dostarczane odbiorcom pierwotnie w wersji elektronicznej, zgodnie z zasadą „digital by default”. Unia Europejska przeciwdziała również fragmentacji rynku i „silosowości” działań państw członkowskich w tym obszarze tak, aby usługi zaufania realizowane były w sposób umożliwiający ich wzajemne uznawanie w różnych krajach.

Dotychczas przepisy dotyczące tego rodzaju usług zawarte były w Ustawie o podpisie elektronicznym. Jednak od 1 lipca 2016 r. wejdzie w życie system identyfikacji elektronicznej opisany w Rozporządzeniu Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (Rozporządzenie eIDAS) [http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32014R0910&from=EN].

W rozporządzeniu znacznie poszerzono katalog usług, który obejmie oprócz podpisów elektronicznych i znakowania czasem, także e-pieczęci, e-doręczenia, konserwację pieczęci i podpisu oraz usługi ich walidacji [https://ec.europa.eu/digital-agenda/en/news/questions-answers-trust-services-under-eidas]. Rozporządzenie eIDAS nakłada na Polskę obowiązek ustanowienia nadzoru, który obejmie usługi kwalifikowane i niekwalifikowane, tj. takie, które nie są realizowane według określonych standardów, a z ingerencją państwa spotykają się wyłącznie w przypadku incydentów. Działania w zakresie wprowadzenia Rozporządzenia eIDAS do polskiego porządku prawnego prowadzone są wspólnie przez Ministerstwo Rozwoju (MR) i Ministerstwo Cyfryzacji (MC). Przewiduje się, że w przyszłości nadzór nad usługami zaufania zostanie objęty przez MC.

Ustawa o usługach zaufania i zmiany w innych aktach prawnych

Głównym obowiązkiem, który Polska musi wykonać w najbliższym czasie, jest dostosowanie krajowego systemu prawa do nowego unijnego rozporządzenia oraz przygotowanie instytucji i rynku do obsługi podpisów elektronicznych i pieczęci nie tylko krajowych, ale i z innych państw członkowskich. Ustawa przygotowywana przez MR i MC przygotuje nasz system prawny do stosowania Rozporządzenia eIDAS w odniesieniu do uregulowań rangi ustawowej. Ustawa nie zmieni jednak krajowych rozporządzeń i innych aktów prawnych niższego rzędu. Konieczne będzie ich dostosowanie do Rozporządzenia eIDAS przez organy państwa właściwe dla ich wydania.

Zwracamy uwagę, że przygotowanie odpowiednich aktów prawnych i rozpoczęcie procesu legislacyjnego należy podjąć z odpowiednim wyprzedzeniem tak, aby 1 lipca 2016 r. wprowadzić znowelizowane przepisy spójne językowo i merytorycznie z nowym Rozporządzeniem eIDAS i unijnymi aktami wykonawczymi. W chwili obecnej Rozporządzenie eIDAS zostało już ogłoszone i obowiązuje, chociaż nie jest jeszcze bezpośrednio stosowane. W tym okresie ministerstwa i urzędy centralne, zmieniając dotychczasowe przepisy lub przygotowując nowe akty prawne, powinny działać zgodnie z zasadą lojalności i wprowadzać nową terminologię oraz zasady przewidziane regulacjami UE.

Wszystkie ministerstwa, które przygotowywały w przeszłości akty prawne, zawierające uregulowania w zakresie podpisu elektronicznego oraz identyfikacji elektronicznej, powinny niezwłocznie dokonać ich przeglądu i nowelizacji. W przypadku nowych uregulowań prawnych zalecamy od razu ich dostosowanie do zapisów Rozporządzenia eIDAS oraz odpowiednich aktów wykonawczych.

Nie należy uzależniać rozpoczęcia prac nad dostosowaniem regulacji, od wejścia w życie krajowych przepisów, takich, jak np. Ustawa o usługach zaufania, identyfikacji elektronicznej i zmianie niektórych aktów prawnych. Uregulowania te będą dotyczyć głównie nadzoru nad usługami zaufania.

Dostosowanie systemów informatycznych

Oprócz nowelizacji przepisów, konieczne będzie również dostosowanie systemów informatycznych do nowych warunków. Szczególną uwagę należy zwrócić na przepisy nakazujące od 1 lipca 2016 uznawanie kwalifikowanego podpisu elektronicznego (art. 25.3 Rozporządzenia eIDAS), kwalifikowanej pieczęci elektronicznej (art. 35 ust. 3) oraz kwalifikowanych znaczników czasu (art. 41 ust. 3). Kwalifikowane podpisy elektroniczne, kwalifikowane pieczęcie elektroniczne i kwalifikowane elektroniczne znaczniki czasu wymagają uznawania, o ile pochodzą z Unii Europejskiej lub Europejskiego Obszaru Gospodarczego [http://www.efta.int/eea-lex/32015D0296]. Na stronach Komisji Europejskiej udostępniono do testów rozwiązanie SD DSS [link: https://joinup.ec.europa.eu/software/cefeid/document/eidas-technical-specifications-v10 ] oparte na licencji open source, pozwalające na zbudowanie własnego środowiska weryfikacji podpisów z innych państw członkowskich. Jest to darmowe narzędzie rozwijane na zlecenie Komisji Europejskiej.

Podpis i identyfikacja elektroniczna w usługach publicznych

Istotne znacznie posiada również art. 27 Rozporządzenia eIDAS, który reguluje stosowanie podpisów elektronicznych w usługach publicznych. Jeżeli państwo członkowskie wymaga zastosowania określonego rodzaju podpisów zaawansowanych to tym samym musi wprowadzić możliwość weryfikacji takich podpisów z innych państw, przynajmniej w formatach, które przewidziane zostały w unijnym akcie wykonawczym do Rozporządzenia eIDAS [http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32015D1506& from=PL].

Z uwagi na konieczność zapewnienia uznawania unijnych podpisów kwalifikowanych prawidłowa implementacja przepisów eIDAS nakłada wykorzystanie unijnego systemu list zaufania (list TSL), które przekazują systemom informatycznym informacje o statusie usługodawców oraz usług. Takie listy powinny być wykorzystywane przy weryfikacji podpisów do ustalenia czy dane centrum certyfikacji świadczy usługi kwalifikowane. Ministerstwa i urzędy, które posiadają w swoich systemach mechanizmy weryfikacji podpisów elektronicznych powinny zapewnić, aby były one w stanie obsłużyć listy TSL [http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32015D1505&from=PL].

Zgodnie z art. 25 ust. 3 Rozporządzenia eIDAS kwalifikowany podpis elektroniczny oparty na kwalifikowanym certyfikacie (wydanym w jednym państwie członkowskim) jest uznawany za kwalifikowany podpis elektroniczny we wszystkich pozostałych państwach członkowskich. Z tego względu w polskich systemach informatycznych i aplikacjach weryfikujących konieczne będzie dodanie obsługi unijnego systemu wspomnianych list TSL [https://ec.europa.eu/digital-agenda/en/eu-trusted-lists-certification-service-providers].

Od 2018 r. systemy teleinformatyczne w ramach świadczenia usług elektronicznych powinny umożliwiać obsługę notyfikowanych przez inne państwa członkowskie środków identyfikacji elektronicznej.

Obsługa zagranicznych środków identyfikacji nie powinna być problemem, o ile usługa identyfikacji będzie realizowana z wykorzystaniem krajowych węzłów identyfikacji eIDAS. Budowę polskiego węzła, jako niezbędnego elementu wdrożenia eIDAS, planuje Ministerstwo Cyfryzacji. Krajowy węzeł ma zostać uruchomiony na tyle wcześnie, aby zapewnić czas na dostosowanie organizacyjne i techniczne funkcjonujących już systemów teleinformatycznych.

Kontakt w sprawie przygotowania regulacji prawnych oraz dostosowania systemów informatycznych

  • Ministerstwo Rozwoju, Departament Gospodarki Elektronicznej

tel. 22 693 52 82
e-mail: sekretariatDGE@mr.gov.pl

  • Ministerstwo Cyfryzacji, Department e-Państwa

tel. 22 245 59 13
e-mail: sekretariat.di@mc.gov.pl

Informacje dodatkowe

Strona Komisji Europejskiej poświęcona usługom zaufania i elektronicznej identyfikacji [https://ec.europa.eu/digital-single-market/en/trust-services-and-eid].

Kwalifikowani dostawcy usług zaufania

Archiwum | Mapa strony | Kontakt