«Юридические и коммерческие аспекты ввода в действие Директивы 1999/93/ЕС и практическое применение электронных подписей в странах-членах ЕС, ЕЭЗ, странах, вступающих в ЕС и странах-кандидатах Правовые и рыночные аспекты ...»

Далее мы рассмотрим транспонирование всех элементов Статьи 6, которые составляют условия применения данной нормы.

i. ПСУ, выдающие гражданам квалифицированные сертификаты или гарантирующие такие сертификаты В том, что касается категорий ПСУ, охватываемых специальными национальными нормами об ответственности, большая часть стран-членов ЕС48 ограничивает область применения этих положений ПСУ, выдающими/гарантирующими квалифицированные сертификаты для граждан.

Вступающие страны, Литва, Чешская республика, Словения и Мальта различают ответственность ПСУ в целом и специальную ответственность ПСУ, выдающих КС, в терминах Директивы.

Стоит отметить, что страны, которые все еще должны транспонировать Статью 6 саму по себе, предпочли ввести правила общей ответственности (например, Польша:

«любое невыполнение обязательств ПСУ» или «небрежное выполнение ПСУ своих Единственным исключением, по-видимому, является Испания, где законодательство содержит специальные положения об ответственности для всех ПСУ.

обязанностей») или расширить перечень оснований возникновения ответственности, включая, большей частью, положения об ответственности, определенные Статьей Директивы.

В Литве (которая считается реализовавшей Статью 6) ситуация более чем в остальных странах, принявших общие правила привлечения к ответственности, склоняется к духу Директивы: хотя соответствующий раздел закона об электронных подписях касается всех ПСУ, перечень оснований возникновения ответственности, приведенный в этом разделе, применяется только в отношении ПСУ, выдающих КС.

Еще один особый случай — это Латвия, где введены пункт об ответственности ПСУ, только выдающих и не гарантирующих КС.

Из числа стран кандидатов, Румыния приняла область применения Статьи 6 (ПСУ, выдающие/гарантирующие квалифицированные сертификаты), но без явного указания на то, должна ли презумпция «причинности» также применяться в отношении квалифицированных ПСУ, предоставляющих сертификаты для конкретных сообществ пользователей («закрытые группы пользователей») на основе договорных отношений, а не для всех граждан. С другой стороны, положения об ответственности в болгарском законодательстве об электронной подписи применяются в отношении ПСУ, выдающих и квалифицированные, и универсальные сертификаты (квалифицированные сертификаты, выданные ПСУ, зарегистрированными специальным органом по определенной процедуре).

Из числа стран ЕЭЗ, положение об ответственности в Норвегии применяется ко всем ПСУ, выдающим квалифицированные сертификаты как всем гражданам, так и в пределах ограниченной группы пользователей.

ii. Любой объект, юридическое или физическое лицо, обоснованно доверяющее сертификату Правило «обоснованного доверия» (любое лицо, обоснованно доверяющее сертификату, может воспользоваться бременем доказательства обратного, установленным согласно разделу об ответственности) было прямо транспонировано в положения об ответственности большинства стран-членов ЕС.

В некоторых случаях правило «обоснованного доверия» было транспонировано либо посредством аналогичной фразы (так, в австрийском законе об электронных подписях:

добросовестное доверие сертификату), либо сочтено свойственным основным принципам доказательства в некоторых странах (например, Швеции и Финляндии).

В законах Венгрии нет указания на «условие обоснованности».

Законодательство Норвегии использует сходный подход, применяя слово «нормальное» вместо «обоснованное» (доверие), что может привезти к сужению области применения норм, предусматривающих ответственность (ожидания третьей стороны, доверяющей нормальному применению сертификата, возможно, отличаются от того, что пользователь может обоснованно ожидать от сертификата; конечно, следует исследовать, подтверждается такое допущение норвежской правовой доктриной или юриспруденцией).

В некоторых странах либо явно указано, либо может быть косвенно заключено, что подписывающие лица также могут использовать эту норму против небрежных ПСУ.

Так обстоит дело в законодательстве Дании и Венгрии.

Эстония транспонировала данное правило даже в более пространном виде, так как ПСУ могут быть привлечены к ответственности за любой ущерб собственности, нанесенный в результате нарушения провайдером услуг своих обязательств.

2.3.2.2 Вывод Стоит отметить, что большинство обследованных стран в общем и целом транспонировали Статью 6 Директивы со строгим соблюдением её применимости и сферы действия (иными словами — предоставление услуг ПСУ, выдающим или гарантирующим квалифицированные сертификаты для всех граждан). Даже в тех странах, где нормы, прямо предусматривающие ответственность, могут применяться в отношении любой категории ПСУ, транспонирование было сделано в рамках общей обязанности соответствия, в том числе обязательствам, указанным в национальном законодательстве (об электронных подписях или иного рода), а не в рамках транспонирования Статьи Директивы в узком смысле.

За немногими исключениями, национальные нормы, транспонирующие Статью 6, относятся к ответственности ПСУ, выдающих квалифицированные сертификаты гражданам, а не к специфическим пользовательским группам, связанным договорными отношениями. В отдельных случаях (Норвегия, Румыния…), презумпция «причинности»

может быть использована против ПСУ, предлагающих сертификаты для граждан либо в рамках контрактов с конкретными группами пользователей. То, отвечает ли Директиве расширение сферы действия «презумпции причинности» на последнюю категорию лиц, является предметом дополнительного исследования.

2.3.3 Перечень оснований возникновения ответственности 2.3.3.1 Описание Ниже выделены три основных направления транспонирования:

(i) Страны, транспонировавшие перечень оснований возникновения ответственности из Статьи 6.1 идентично или близко к содержанию Директивы (ii) Страны, расширившие список, включив в него область применения Статьи 6. (нерегистрация отзыва КС).

(iii)Страны, расширившие область применения списка (добавив другие основания возникновения ответственности в качестве отдельных случаев невыполнения или «бездействия»).

i. Страны, транспонировавшие перечень оснований возникновения ответственности из Статьи 6.1 идентично или близко к содержанию Директивы Большая часть стран-членов ЕС предусматривает специальные разделы об ответственности, и большая их часть в точности следует формулировкам Директивы (Бельгия, Греция, Ирландия, Италия, Нидерланды, Великобритания). Это относится и к транспонированию оснований возникновения ответственности в Ирландии, с единственным отличием: там, где в Статье 6.1 говорится о данных для создания/проверки подписи, ирландские нормы упоминают устройство для создания/проверки подписи.

Напротив, законодательство большинства входящих стран, стран-кандидатов и стран ЕЭЗ (за исключением Исландии, дословно транспонировавшей перечень оснований для возникновения ответственности) подпадает под одну или обе из двух категорий, описанных ниже.

ii. Страны, расширившие список, включив в него область применения Статьи 6.2 (нерегистрация отзыва КС).

В ряде стран нерегистрация отзыва сертификата включена в перечень оснований возникновения ответственности либо в форме «бездействия», либо как нарушение обязанности действовать.

Из числа стран-членов ЕС так дело обстоит в Австрии, Дани, Люксембурге, Финляндии и Швеции.

По датскому закону об электронных подписях, не отзыв недействительного сертификата или сертификата с истекшим сроком действия оговаривается как отдельный случай, в дополнение к основаниям, перечисленным в Статье 6.1.

Обязанность немедленно отзывать сертификат (по запросу подписывающего лица или по другим причинам), а также указывать точные дату и время выдачи и/или отзыва оговариваются в шведском положении об ответственности, остальная часть которого в общем и целом отражает основания, предусмотренные Директивой.

Из числа вступающих стран упоминание нерегистрации отзыва сертификата можно также обнаружить в законодательстве Словении и Литвы; из числа стран ЕЭЗ — в Норвегии и в законопроекте Лихтенштейна. На практике юридическим последствием такого транспонирования может быть расширение ответственности ПСУ, гарантирующих или выдающих КС. Это предполагает, что ПСУ, гарантирующий сертификат другого ПСУ, может быть даже привлечен к ответственности за нерегистрацию первым ПСУ сертификата в списке отозванных сертификатов.

iii. Страны, расширившие область применения списка (добавив другие основания возникновения ответственности в качестве отдельных случаев невыполнения или «бездействия»).

В некоторых странах-членах ЕС, а также в большинстве вступающих стран и странкандидатов перечень оснований возникновения ответственности шире предусмотренного в Директиве.

Соответственно, ПСУ в Дании отвечают на основании специального раздела об ответственности при передаче неверной информации 1) об отзыве сертификата и о времени отзыва (дата истечения срока действия), либо 2) о наличии у сертификата ограничений на область применения или стоимость транзакций, для которых может использоваться сертификат.

Напротив, закон Германии об электронных подписях не включает какого-либо списка, устанавливая ответственность в случаях «нарушения требований, сформулированных в постановлении об электронных подписях и сбоев в продуктах ПСУ, предназначенных для квалифицированных электронных подписей, либо в других технических средствах безопасности». Из этого можно заключить, что основания возникновения ответственности по Директиве фактически включены в сферу применения немецкой общей нормы. Соответственно, нерегистрация сформулирована в более общих терминах — как не предоставление ПСУ надлежащей услуги каталога или отзыва сертификата.

В случае со вступающими странами, где основания возникновения ответственности также изложены в соответствии со списком (Чешская республика, Эстония, Венгрия, Литва, Словения, Латвия и Мальта), можно отметить следующее:

Законодательство Чехии включает перечень оснований возникновения ответственности в виде, сформулированном в Статье 6 Директивы, а также в Приложении II (требования к ПСУ, выдающим квалифицированные сертификаты).

В числе условий привлечения к ответственности венгерское законодательство об электронных подписях прямо предусматривает обязанность: i) информировать пользователей об условиях предоставления сертификационной услуги, а также о публикации, отзыве и приостановлении действия сертификатов, ii) хранить записи, имеющие отношение к сертификатам; iii) обеспечивать непрерывность обслуживания;

и iv) применять SSCD в рамках предоставления улучшенных услуг. В остальном законодательство Венгрии перенимает основания возникновения ответственности из Директивы.

В Латвии санкции по специальным положениям об ответственности, отличные от оснований, перечисленных в Статье 6.1, предусматривают: i) какое-либо нарушение или несоответствие законам, правилам и условиям доставки сертификатов в соответствии с реестром и ii) ненадлежащее использование данных для создания и проверки подписи.

Перечень оснований возникновения ответственности также был удлинен в двух из странкандидатов:

Законы Болгарии предусматривают, во всех случаях, ответственность ПСУ за соответствие между данными для создания подписи и данными для проверки подписи, независимо от того, генерировали они эти данные или нет (это условие изложено в Статье 6). Более того, специальные основания привлечения к ответственности включают все случаи невыполнения предусмотренных болгарскими законами для ПСУ обязанностей (достаточные финансовые ресурсы, использование надежных систем и т.д.).

Законодательство Румынии еще больше расширяет область применения Статьи 6, так как включает в специальный раздел об ответственности ряд обязанностей и обязательств, которые ПСУ должен выполнять в процессе предоставления услуг, включая требования Приложения II.

В некоторых законах присутствуют дополнительные указания на нерегистрацию отзыва сертификата, например:

Законодательство Швеции: неспособность обеспечить точные дату и время выдачи/отзыва сертификата;

Законодательство Венгрии: неспособность известить пользователей о положениях и условиях, на которых предоставляется услуга Законы Болгарии: невыполнение некоторых обязательств, которые названы в законе и требуют действий со стороны ПСУ, например, обязанность выдать сертификат, если все требования выполнены и проверены, обязанность зарегистрировать сертификат в каталоге.

Законы Австрии: невыполнение ПСУ конкретных обязанностей, относящихся к надежности предоставляемых сертификационных услуг и/или компонентов и процедур для создания подписи. Эти нарушения охватываются статьей об ответственности, транспонирующей Статью 6.1.

К важнейшим последствиям этих дополнений относится то, что презумпция причинности расширяется, захватывая все больше случаев привлечения к ответственности «в связи с неспособностью или небрежностью», отличных от тех, что указаны в Статье 6.2.

2.3.3.2 Вывод Следует отметить, что все страны проявили усердие при включении в свое законодательство оснований возникновения ответственности, определенных в Статье 6.

Они выбирали из трех различных направлений:

i) Привести список оснований возникновения ответственности по Директиве, связанных с бременем доказательства обратного. Так произошло в большинстве обследованных стран Европы.

ii) Добавить новые обязанности и обязательства в список из Статьи 6. Говоря в общем, это имеет место в большинстве вступающих стран и стран-кандидатов, но также и в некоторых странах-членах ЕС (Дания, Швеция). В некоторых странах норма, предусматривающая ответственность, намного шире (Чешская республика, Румыния), так как презумпция причинности может быть фактически использована при любом невыполнении ПСУ своих обязанностей/обязательств в качестве провайдера квалифицированных сертификатов (Приложение II к Директиве).

iii) Использовать положения об общей ответственности (например, Германия), не приводя список оснований возникновения ответственности, но подразумевая его. Таким образом, смысл этих общих положений включает правила Директивы о минимальной ответственности.

Что касается содержания оснований привлечения к ответственности, поразительно, что многие страны внесли в качестве дополнительных оснований обязательства ПСУ в связи с отзывом/приостановлением действия сертификатов (например, передавать связанную с этим информацию и т.д.). Другие страны под этими жесткими положениями об ответственности предусматривают санкции за бездействие или нарушение, допущенное ПСУ в связи с выдачей квалифицированных сертификатов (Приложение II) или предоставлением надежных сертификационных услуг в целом.

Расширение списка оснований привлечения к ответственности разрешено Директивой (см.

Статью 6 и Декларацию факта 22). Тем не менее, строгий режим ответственности может стать препятствием на пути создания ПСУ в тех странах, где такие правила действуют. С другой стороны, связывание общих норм ответственности с презумпцией причинности, установленной в Статье 6, может привести к разрозненности внутреннего рынка, так как i) ПСУ придется учитывать правила представления доказательств, в зависимости от того, в какой стране зарегистрированы они или их субконтракторы, а ii) презумпция «причинности» может стать более правилом, нежели исключением (что, кажется, является целью Директивы) в тех случаях, когда какое-либо нарушение или ущерб могут быть истолкованы как подпадающие под положения об общей ответственности, что имеет место в некоторых странах.

2.3.4 Бремя доказательства 2.3.4.1 Описание В связи с основаниями привлечения к ответственности и бездействием, описанными в Статье 6, Директива вводит бремя доказательства обратного в пользу пострадавшей стороны: любая сторона, доверившаяся сертификату и понесшая ущерб в результате этого, не должна демонстрировать причину получения ущерба, если последний понесен по одному из оснований привлечения к ответственности, указанных в Статье 6. ПСУ будет считаться в отношении таких случаев ответственным де-факто («презумпция причинности»), пока не сможет доказать, что не действовал небрежно («опровержимая презумпция»).

2.3.4.2 Состояние выполнения Большинство обследованных стран включили в свое законодательство бремя доказательства обратного в виде, предусмотренном Директивой. Стоит отметить, что те страны, которые транспонировали это правило, правильно его истолковали. Иными словами, доказательство конкретного объема и характера понесенного ущерба остается за истцом. Как только установлена точная причина понесенного ущерба, ПСУ будет автоматически считаться ответственным за то, что вызвало указанный ущерб. Все страны определили эту презумпцию как опровержимую, имея в виду право ПСУ доказать отсутствие небрежности в своих действиях (понятие и степень добросовестности, которую ПСУ следует показать, определяется национальным законодательством и юриспруденцией).

Эстония — одна из стран, регулирующих ответственность ПСУ посредством общих положений («Провайдеры услуг отвечают за ущерб собственности, понесенный в результате нарушения провайдером услуг своих обязательств»). По сравнению с Директивой, презумпция причинности против ПСУ, допускающих небрежность, не сформулирована явно; применяются национальные правила представления доказательств.

Нормы ответственности на Мальте прямо предусматривают презумпцию ответственностью только в связи с неспособностью зарегистрировать или опубликовать отзыв либо приостановку действия сертификата. «Бремя доказательства обратного» относится к невыполнению ПСУ других обязательств из Статьи, приводящих к ответственности, и коренится не в самих положениях об ответственности, но в общих принципах, управляющих мальтийским правом.

С другой стороны, законодательство Венгрии (см. раздел выше) устанавливает бремя доказательства обратного также и в отношении дополнительных оснований возникновения ответственности, предусмотренных законами Венгрии.

2.3.5 Ограничения ответственности 2.3.5.1 Описание Директива предусматривает два ограничения, за пределами которых ПСУ, выдающий квалифицированные сертификаты, не может привлекаться к ответственности: первое относится к ограничениям применения сертификата, а второе — к цене транзакций, для которых может использоваться сертификат.

Те же ограничения признаны в национальном законодательстве большинства обследованных стран.

С одной стороны, Великобритания, с другой стороны, Швейцария и Эстония (здесь они считаются странами, которые не ввели Статью 6 дословно, но предусмотрели в своих законах ответственность ПСУ) не предусматривают такие исключения явным образом. Законодательство Эстонии указывает, что ПСУ не могут привлекаться к ответственности за ущерб, последовавший в результате правильного или неправильного применения сертификата, поскольку держатели сертификатов, как предполагается, должны нести такой риск.

В некоторых странах были включены дополнительные ограничения.

Например, венгерское законодательство об электронных подписях указывает, что, в дополнение ограничениям Директивы, ПСУ не могут нести ответственность за применение квалифицированных сертификатов вне географической зоны, для которой они были выданы.

Аналогично в Польше: ПСУ не могут нести ответственность за ущерб, последовавший от данных, которые содержатся в сертификате, выданном по запросу подписывающего лица.

2.3.6 Общие выводы За немногими исключениями, все страны Европы предусмотрели специальные положения об ответственности, транспонирующие Статью 6 Директивы в национальное законодательство. Внутри ЕС соответствующие положения об ответственности у странчленов ЕС следуют формулировкам и логике Статьи 6. В случаях, когда транспонирование не было прямым, общей тенденцией было представить более строгие нормы ответственности путем расширения области применения Статьи (в особенности расширения перечня оснований привлечения к ответственности, предусмотренного Директивой).

Возможность предусмотреть более высокую степень ответственности по сравнению с минимальными положениями, изложенными в Директиве, была использована значительным большинством вступающих стран, стран-кандидатов, стран ЕЭЗ и Швейцарией. Стоит отметить, что во многих случаях перечень оснований привлечения к ответственности намного шире предусмотренного Директивой. В некоторых случаях этот список также включает общую формулировку ответственности, предполагающую санкции за любое невыполнение ПСУ правил и норм предоставления сертификационных услуг, либо законов об электронной подписи в целом.

2.4 Международные аспекты (Статья 7) 2.4.1 Обзор транспозиции в национальное законодательство Большинство стран ЕС и ЕЭЗ (Бельгия, Дания, Финляндия, Франция, Германия, Исландия, Италия, Норвегия, Испания и Португалия) транспонировали Статью 7.1 Директивы практически дословно без дальнейших уточнений и с учетом альтернативных условий эквивалентности, изложенных выше.

В следующих случаях был обнаружен ряд отклонений:

По законам Австрии об электронных подписях, все сертификаты, включая выданные за рубежом, должны быть проверяемыми в Австрии. Что касается остальных, то признается, что все сертификаты, выданные в пределах ЕС, автоматически признаются эквивалентными австрийским сертификатам (при условии, что их действительность может быть проверена в Австрии). С другой стороны, КС третьих стран признаются эквивалентными сертификатам из Австрии/ЕС при выполнении тех же условий, что указаны в Статье 7 Директивы (учитывая, что действительность этих сертификатов также может быть проверена из Австрии).

Шведское законодательство об электронных подписях повторяет условия из п. a) и b) Статьи 7, но не признает условие из пункта c), а именно существование международных соглашений, дающих эквивалентность. Другим заметным отличием является то, что закон регулирует «признание сертификатов, выданных за пределами Швеции», а не за пределами Сообщества. Тем не менее, шведская норма, транспонирующая Статью 7, смягчает это ограничение, указывая в качестве условия, что любой КС, выданный ПСУ в пределах ЕЭЗ, имеющим разрешение на выдачу таких сертификатов, считаются эквивалентными КС, выданными ПСУ, которые учреждены в Швеции.

Великобритания и Ирландия не транспонировали Статью 7. По словам нашего корреспондента в Ирландии, можно сделать вывод, что ирландские КС, выданные всеми ПСУ (внутри ЕС, ЕЭЗ или в третьих странах) и отвечающие требованиям Приложений I и II Директивы, действительны в той же степени, что и сертификаты, выданные в Ирландии.

Проект закона об электронных подписях в Лихтенштейне предусматривает, что (как и в законодательстве Австрии) все сертификаты (выданные в пределах ЕЭЗ или в другой третьей стране) должны быть проверяемыми из Лихтенштейна. Что касается остального, то законопроект определяет те же условия, что и Статья 7 Директивы.

Независимо от признания «зарубежных» сертификатов, закон Лихтенштейна включает прямо сформулированное положение о признании «зарубежных» электронных подписей. Последние признаются защищенными электронными подписями (равнозначны «квалифицированным» в Директиве), если они основаны на официально признанном КС и созданы при помощи SSCD, для которого есть отечественное или признанное иностранное подтверждение соответствия (выданное отечественным или зарубежным уполномоченным органом).

В Люксембурге признание иностранных КС связывается с теми же условиями, что установлены в Статье 7. Отличие состоит в том, что система добровольной аккредитации зарубежного государства, по которой был аккредитован иностранный ПСУ, должна быть проанализирована в Люксембурге до того, как будет принято официальное решение о признании эквивалентности.

В Швейцарии действующий закон о сертификационных услугах явным образом не разрешает вопрос признания иностранных КС; он лишь констатирует, что данная проблема должна быть предметом конкретных международных соглашений.

Напротив, новый закон об электронных подписях, который в настоящее время готовится, прямо предусматривает признание иностранных ПСУ, которые (с некоторыми упрощениями) уже получили официальное признание за рубежом. ПСУ, желающие быть признанными в качестве центров сертификации в Швейцарии, должны быть зарегистрированы в реестре коммерческих предприятий. Это означает, что им необходимо иметь как минимум второй юридический адрес в Швейцарии. По международным соглашениям могут быть предусмотрены другие альтернативы (как указано в Статье 7.1 c). Еще одним отличием является то, что условие b) (гарантирование сертификата ПСУ из ЕС) не было принято в законодательстве Швейцарии: либо иностранный ПСУ запрашивает официальное признание (следуя той же процедуре, что и швейцарский ПСУ, который желает быть признанным), либо действует в качестве «ассистента» официально признанного швейцарского ПСУ (и, следовательно, не ставится в равные условия с швейцарскими ПСУ).

Что касается вступающих стран, стоит отметить, что, за исключением трех стран (Мальта, Венгрия и Словения), все прочие государства в чем-то отклонились от альтернатив, предложенных Статьей 7.1 Директивы.

Действующий на Мальте акт об электронной коммерции не делает явного различия между отечественными и зарубежными КС. Тем самым, все КС официально признаются эквивалентными мальтийским, пока они отвечают требованиям законодательства Мальты.

С другой стороны, Венгрия и Словения транспонировали условия Статьи 7.1 почти дословно в том, что касается ПСУ, учрежденных вне пределов ЕС. В отношении КС, выданных ПСУ, учрежденными в ЕС, акты об электронных подписях Венгрии и Словении признают эквивалентность автоматически.

В Чешской республике иностранные сертификаты могут быть официально признаны квалифицированными по решению Министерства информатики, либо если они «приняты» чешским ПСУ, выдающим КС (также применимы условия из пунктов b и c Статьи 7.1).

По эстонскому Акту о цифровых подписях эквивалентность иностранных и эстонских КС также признается решением Главного специалиста реестра (также применимы условия из пунктов b и c Статьи 7.1).

По латвийскому законодательству об электронных подписях, КС из третьей страны признается эквивалентным латвийскому, если он был выдан или гарантирован ПСУ, аккредитованным по системе добровольной аккредитации в Латвии или в стране-члене Положения, идентичные закону Латвии, определены в литовском законодательстве об электронных подписях.

По Акту об электронных подписях в Польше получение/признание эквивалентности посредством добровольной аккредитации не упоминается. Тем не менее, признание эквивалентности делается по решению Министра экономики и стоит 10 000 евро.

Что касается стран-кандидатов, то стоит отметить следующее:

По законам Болгарии, иностранный ПСУ, выдающий КС, должен быть официально признан в стране, в которой он учрежден. В качестве альтернативы, болгарский ПСУ должен взять на себя ответственность за действия или бездействие иностранного ПСУ (что является видом «гарантии», предусмотренной по условию b) Статьи 7.1. Условие c) также учитывается).

Законодательство Румынии явно указывает на то, что квалифицированные сертификаты из Евросоюза должны признаваться автоматически. Тем не менее, примечательно, что сертификаты стран - не членов ЕС признаются только при условии, что иностранный ПСУ прошел аккредитацию по законам Румынии (не члена ЕС), либо ПСУ, учрежденный в Румынии (не члене ЕС) гарантировал сертификат (к этому относится и условие c).

2.4.2 Выводы За исключением Ирландии, Великобритании и Мальты (которые не делают различия между отечественными и иностранными КС), все другие обследованные страны предусмотрели в своих нормах об электронной подписи или в связанных нормах специальные правила, регулирующие официальное признание зарубежных КС на их территории.

Большая часть стран ЕС и ЕЭЗ добросовестно транспонировала условия Статьи 7.1, устанавливающие эквивалентность. Только в трех странах (Австрия, Люксембург и Лихтенштейн) данные нормы предполагают дополнительные требования (возможность проверки подлинности иностранного КС на территории Австрии или Лихтенштейна либо процедура проверки иностранной аккредитационной схемы, которой отвечает зарубежный ПСУ, в Люксембурге).

Во вступающих странах и странах-кандидатах ситуация в чем-то выглядит более запутанной.

Стоит отметить, что в ряде стран, относящихся к этим категориям (Венгрия, Словения и Румыния), КС, выданные в одной из стран-членов ЕС, автоматически признаются равносильными отечественным. В таких случаях иностранные сертификаты расцениваются как не отечественные и классифицируются как сертификаты, выданные за пределами ЕС. В других случаях (Латвия, Литва) добровольная аккредитация (рассматриваемая в качестве условия признания эквивалентности КС), полученная в стране-члене ЕС, автоматически приравнивается к отечественной добровольной аккредитации.

В прочих вступающих странах и странах-кандидатах не делается различий между сертификатами из ЕС и сертификатами из третьих стран. В большинстве таких стран отмечена тенденция устанавливать условия, которые отражают логику Статьи 7.1 и лишь иногда отклоняются от условий в данной норме. Так, следует отметить, что в отдельных случаях (Чешская республика, Эстония), признание иностранного ПСУ может быть также обеспечено путем вмешательства со стороны органа власти. Кроме того, в других странах, таких как Болгария, обращается особенное внимание на то, является ли иностранный ПСУ «признанным» (аккредитованным), в то время как в других условие предоставления эквивалентности по добровольной аккредитации не предусмотрено вообще (Польша).

2.5 Защита данных (Статья 8) Директива стремится повысить уровень доверия пользователей к электронным средствам связи и к электронной коммерции, требуя от провайдеров сертификационных услуг соблюдения законодательства в области конфиденциальности и защиты данных (Декларация факта 24). Статья 8 Директивы повторяет тот принцип, что обработка персональных данных должна осуществляться согласно европейской Директиве о защите данных (Статья 8.1), которая ужесточает правила в области защиты данных для ПСУ, выдающих сертификаты гражданам (Статья 8.2) и позволяет использовать сертификаты, которые содержат псевдоним вместо настоящего имени подписывающего лица (Статья 8.3).

2.5.1 Основные правила в области защиты данных (Статья 8.1) Директива требует, чтобы государства-члены обеспечили соблюдение провайдерами сертификационных услуг и национальными органами, ответственными за аккредитацию или надзор, требований, изложенных в европейской Директиве о защите данных (Директива № 95/46/EC от 24 октября 1995 года о защите личности при обработке персональных данных и о свободном обращении этих данных).

Большинство стран не сделали прямого транспонирования Статьи 8.1 в национальное законодательство об электронной подписи (например, Австрия, Франция, Германия, Швеция, Великобритания, Норвегия, Польша, Словения, Швейцария). Это не удивительно, так как принцип защиты данных уже был введен в национальные акты о защите данных, что предполагает распространение общих правил по защите данных на все ПСУ, органы аккредитации и надзора. Прямо ссылаться на Европейскую Директиву 95/46/EC нет необходимости, так как эта директива была введена в действие в соответствующих странах.

Тем не менее, интересно, что в тех странах, где была сделана отсылка на обязательное соответствие Европейской Директиве 95/46/EC или её национальный эквивалент (например, в Бельгии, Дании, Греции, Люксембурге, Португалии, Испании и Швейцарии), некоторые страны ограничили область применения этого обязательства провайдерами сертификационных услуг и забыли включить в него национальные органы, ответственные за аккредитацию или надзор (Бельгия, Дания, Испания). Несмотря на то, что это не полное транспонирование Статьи 8.1, это не должно привести к серьезным проблемам, так как правила о защите данных, будучи надлежащим образом выполненными, должны соблюдаться всеми игроками рынка.

2.5.2 Специальные правила защиты данных (Статья 8.2) В Статье 8.2 Директива сужает базовые принципы в области защиты данных до ПСУ, выдающих сертификаты для граждан. Конечно, государства-члены обязаны гарантировать, что данный тип провайдера услуг получает персональные данные только непосредственно от субъекта данных или после получения его прямого согласия, и только в тех объемах, которые необходимы для целей выдачи сертификатов и управления ими.

Более того, данные не могут собираться или обрабатываться для каких-либо иных целей без прямого согласия субъекта данных. Так как эти требования к защите данных более строгие, чем общие национальные правила в этой области (основанные на Европейской Директиве), данные требования следует транспонировать напрямую.

Большинство стран транспонировали Статью 8.2 более или менее дословно (например, Австрия, Бельгия, Финляндия, Германия, Италия, Люксембург, Венгрия, Исландия, Норвегия, Португалия, Швеция и Нидерланды).

Тем не менее, некоторые страны лишь ссылаются на свои базовые законы в области защиты данных (Чешская республика, Эстония, Литва), или вообще не ссылаются на общие правила защиты данных (Франция, Ирландия, Польша, Румыния, Словения).

В странах, где до сих пор не существует специального законодательства об электронной подписи, защита данных по-прежнему гарантируется общим законодательством в области защиты данных (Кипр). В таких странах могут не соблюдаться более строгие требования по защите данных в отношении ПСУ, выдающих сертификаты гражданам, что приведет к проблеме неправильного транспонирования Директивы и к помехам на внутреннем рынке.

Как правило, для предоставления ПСУ персональных данных субъекта данных третьим сторонам требуется прямое согласие владельца сертификата (Статья 8.2, последнее предложение). Впрочем, в некоторых странах законодательство об электронных подписях позволяет государственным органам требовать от ПСУ раскрытия подробных сведений о личности в целях обнаружения или предотвращения преступлений (например, в Норвегии), или на основании гражданского или негражданского иска (например, в Польше).

Далее, в Нидерландах принцип ограничения обработки данных по цели не сохраняется, если обработка данных требуется для обнаружения фактов мошенничества или для иных целей, предусмотренных законом или по закону.

Хотя в национальном законодательстве об электронной подписи в других странах обязанность передавать информацию государственным органам не упоминается, национальное уголовно-процессуальное законодательство может наложить такую обязанность в рамках общей обязанности содействовать следствию (например, в Бельгии и Франции). Эти исключения из принципа согласия отвечают Директиве о защите данных и Директиве об электронных подписях, и косвенно подтверждаются Декларацией факта (25) в Директиве об электронных подписях.

2.5.3 Использование псевдонимов (Статья 8.3) Государства-члены не могут запрещать провайдерам сертификационных услуг использование псевдонима вместо имени подписывающего лица при выдаче сертификатов. Это обязательство никак не влияет на юридическую силу, которая может или не может быть дана псевдонимам в рамках национального законодательства.

Государствам-членам также запрещено осуществлять доступ к идентификационным данным, которые относятся к подписывающему лицу, пользующемуся псевдонимом (Декларация факта 25). Что касается квалифицированных сертификатов, Директива в Приложении I указывает, что квалифицированные сертификаты, содержащие псевдонимы, должны быть обозначены как таковые.

В некоторых странах провайдерам сертификационных услуг прямо разрешено использовать псевдоним (Австрия, Германия, Греция); или же пользователи могут запросить псевдоним вместо подлинного имени подписывающего лица (Венгрия);

либо для замененного псевдонима разрешено использовать настоящие данные идентификации (Италия).

Впрочем, в большинстве этих стран явное указание на использование псевдонимов сделано только при транспонировании Приложения I; в нем говорится о том, что в квалифицированном сертификате должно быть указание на использование псевдонима вместо настоящего имени (Бельгия, Чешская республика, Дания, Финляндия, Исландия, Литва, Ирландия, Норвегия, Польша, Португалия, Румыния, Словения, Швеция, Нидерланды, Великобритания).

Только законодательство Эстонии и Болгарии в области электронных подписей запрещает использование псевдонимов в национальных правилах относительно квалифицированных сертификатов (или их национального эквивалента). Этими законами предусмотрено, что данные типы сертификатов могут выдаваться только физическим лицам, и должны содержать подлинное имя держателя сертификата.

Большинство стран требует, чтобы ПСУ указывали в квалифицированном сертификате факт использования псевдонима (что является транспонированием Приложения I с Директивы). Некоторые страны заходят в этом отношении дальше и более строго регулируют применение псевдонима.

Так, в Австрии псевдоним не должен иметь оскорбительного содержания и не должен ассоциироваться с другими именами.

В Венгрии и Германии псевдоним может использоваться только с согласия представляемого лица, если подписывающее лицо использует атрибут сертификата, указывающий, что оно действует от имени представляемого лица. Последний подход интересен, так как явно демонстрирует, что, с точки зрения национального законодателя, псевдонимы предполагается использовать в сертификатах для подписи от имени другого лица или объекта, в особенности для представителей юридических лиц. Первоначально право на использование псевдонима должно было применяться для выполнения анонимных транзакций.

Многие страны в своем законодательстве об электронной подписи прямо требуют раскрытия настоящих имен государственным органам по запросу и на строгих условиях (например, Австрия, Бельгия, Чешская республика, Франция, Германия, Люксембург, Испания, Венгрия, Румыния, Словения). Конечно, Директива в Декларации факта (25) разрешает государствам-членам требовать идентификацию личности по законам Сообщества или по национальным законам.

В Италии ПСУ должны хранить реестры настоящих имен как минимум в течение 10 лет после окончания действия сертификата. В любом случае большинство стран требуют от ПСУ записывать всю существенную информацию относительно квалифицированных сертификатов на какой-то минимальный срок (Приложение II i Директивы), и это, возможно, включает также требование хранить данные о псевдонимах и их «владельцах»

в течение аналогичного срока.

2.5.4 Прочие национальные правила в области защиты данных Некоторые страны предусматривают более конкретные обязательства по защите данных.

Так, в Греции Положение о подписях определяет, что ежегодные отчеты, отправляемые EETT от ПСУ, выдающих квалифицированные сертификаты (в рамках контрольной деятельности EETT) должны включать полную информацию о мерах, предпринятых ПСУ для защиты архивов и данных. Кроме того, в Положении указывается, что ПСУ, выдающие квалифицированные сертификаты, должны описывать процедуры, которые они используют для защиты конфиденциальной информации и для обработки персональных данных.

В законодательстве Италии прямо предусмотрено, что ПСУ должны соблюдать меры безопасности, предписанные итальянским законом о защите персональных данных.

Некоторые законы прямо предполагают участие национальных органов по защите данных в надзоре за ПСУ.

Так, в Финляндии уполномоченный по защите данных ведет надзор за соблюдением положений о защите данных, изложенных в Акте об электронной подписи, и имеет право получать информацию и проводить инспекции в том, что касается Акта о персональных данных.

Некоторые страны (например, Румыния, Польша) явным образом упоминают некоторые обязательства по сохранению конфиденциальности и профессиональной тайны для работников ПСУ, включая последствия в виде уголовной ответственности.

2.6 Государственный сектор (Статья 3.7) В Статье 3.7 Директивы определено: «Страны-члены могут применять электронные подписи в государственном секторе с учетом дополнительных требований. Эти требования должны быть объективными, прозрачными, соразмерными и не дискриминационными, и относиться только к специфическим характеристикам конкретной области применения».

Многие страны начинают учитывать конкретные требования, когда доходит до использования подписей в государственном секторе.

В большинстве случаев дополнительно налагаются технологические и процедурные требования. В некоторых странах в конкретных сферах применения существуют законы или подзаконные акты, касающиеся того, какие должны использоваться подписи. Как правило, они предписывают использование электронных подписей на основе квалифицированных сертификатов, выданных аккредитованными ПСУ.

В Германии использование подписей, проверяемых в течение длительного времени, обязательно для государственных органов в некоторых сферах государственного управления.

Законы Испании и Латвии требуют, чтобы некоторые электронные документы в государственном секторе подписывались при помощи квалифицированного сертификата и включали метку времени.

В некоторых странах-членах (например, в Ирландии, Италии, Португалии, Чешской республике) государственные органы ограничивают обращения усовершенствованными электронными подписями, которые основаны на квалифицированном сертификате, выданном аккредитованным ПСУ или созданы при помощи защищенного устройства для создания подписи.

Также существует риск того, что государственные органы ограничат услуги по работе с обращениями отдельными национальными ПСУ. Такое требование, однако, может привести к нарушению Статьи 3.7 в том, что оно на самом деле «составляет препятствие для предоставления гражданам услуг за рубежом».

2.7 Контрольные механизмы (Статья 3) В конце этой главы можно найти таблицу со сводными данными о состоянии выполнения.

2.7.1 Предварительное утверждение (Статья 3.1) Статья 3.1 Директивы определяет, что странам-членам не следует ставить предоставление сертификационных услуг в зависимость от предварительного разрешения. Около половины из всех обследованных стран Европы применили Статью 3.1 Директивы так, что предварительное разрешение сертификационных услуг в этих странах прямо запрещено законом. В законодательстве всех других стран соответствующих норм включено не было. Тем не менее, общая сертификационная практика в этих странах все еще отвечает Статье 3.1 Директивы.

2.7.2 Уведомление о деятельности ПСУ Хотя это явным образом не регулируется и не предписывается Директивой, большинство стран (за исключением Ирландии, Мальты, Латвии, Швейцарии и Великобритании) в целом требуют, чтобы ПСУ, выдающие квалифицированные сертификаты, извещали о своих услугах какой-либо надзорный орган. Как правило, предполагается, что извещение будет сделано в течение нескольких недель (например, 30 дней) до начала деятельности или создания организации. В большинстве случаев ПСУ должен представить в ответственный орган некоторые документы, например, концепции безопасности, политики, внутреннюю документацию или договоры (см. сводную таблицу ниже).

Очень важно внимательно проанализировать, как в каждой стране реализован процесс уведомления. Вопрос, который следует задать, состоит в том, является ли представление документов достаточным для начала деятельности, или на самом деле требуется еще и решение соответствующего органа. В последнем случае уведомление будет напоминать предварительное или «скрытое» утверждение.

В том, какие ПСУ должны регистрировать свою деятельность, мнения национальных законодателей различаются.

В то время, как во многих странах (Бельгия, Дания, Финляндия, Германия, Италия, Люксембург, Нидерланды, Португалия, Швеция, Чешская республика, Эстония, Литва, Польша, Исландия, Болгария, Норвегия) надзорный орган должны извещать только ПСУ, выдающие гражданам квалифицированные сертификаты, есть несколько стран (Австрия, Греция, Испания, Словения, Венгрия, Румыния, Лихтенштейн), требующих уведомления о деятельности всех ПСУ, независимо от того, выдают они квалифицированные сертификаты или нет. Хотя это не противоречит положениям Директивы, такое выполнение Директивы можно счесть слишком усердным.

В Швейцарии, Великобритании, Латвии, Ирландии и на Мальте ПСУ вообще не должны регистрироваться, хотя ирландские ПСУ стремятся в рамках общей практики обращаться в соответствующие органы.

Интересно отметить, что, в противоположность всем другим странам Европы, Эстония создала систему обязательной регистрации ПСУ, выдающих квалифицированные сертификаты. ПСУ, выдающие другие виды сертификатов, могут работать в Эстонии без каких-либо ограничений или контроля.

За извещение о деятельности практически в каждой стране отвечает независимый государственный орган (например, министерство или распорядительный орган) под покровительством правительства. Лишь некоторые страны (Австрия, Бельгия, Финляндия, Нидерланды, Венгрия, Литва, Польша, Словения) на самом деле требуют от этого органа принятия какого-либо решения после того, как он получит извещение от ПСУ, иногда даже в течение ограниченного срока. По отношению к Директиве, если ПСУ придется ожидать принятия решения, это будет нарушением Статьи 3.1:

Так, в Финляндии предоставление квалифицированных сертификатов не может быть начато, пока ПСУ не передаст извещение в FICORA;

В Венгрии ПСУ должен пройти «квалификационную процедуру», прежде чем ему будет разрешено выдавать квалифицированные сертификаты — это де-факто явное разрешение.

Стоимость процедуры уведомления существенно варьируется: в некоторых странах (Бельгия, Испания, Люксембург, Чешская республика, Румыния) уведомление для ПСУ бесплатно, в то время как в большинстве стран ПСУ должны платить за это суммы от 5 до 15 000 евро. Некоторые страны требуют ежегодной уплаты сбора. Более того, в Германии и Австрии ПСУ должны платить пошлины за каждый выданный сертификат.

За немногими исключениями, все страны требуют, чтобы ПСУ своевременно извещал контролирующий орган обо всех существенных изменениях (например, в процедурах или в компонентах защиты). Это относится и к ПСУ, планирующим сворачивать свою деятельность.

В целом, процедуры уведомления по всей Европе существенно различаются, особенно в том, какие ПСУ обязаны извещать о своих услугах уполномоченные органы.

Установившаяся практика, видимо, показывает, что некоторые страны (например, Австрия, Бельгия, Румыния, Польша и Словения) используют ответ на извещение в качестве некой системы «скрытого лицензирования» или «скрытой регистрации», вводя на самом деле предварительное разрешение на услуги ПСУ без использования этого термина.

Аналогичным образом и документация, которая должна представляться ПСУ для извещения, очень различается по объему и подробности. Вновь появляется риск того, что страны-члены злоупотребят процессом уведомления, требуя от ПСУ предоставлять подробную документацию: что произойдет, если ПСУ не выполнит какое-либо требование (или все требования), связанное с подачей документов?

2.7.3 Надзор (Статья 3.3) Согласно Статье 3.3 Директивы, страны-члены должны создать «соответствующую систему, обеспечивающую надзор» за ПСУ, выдающими гражданам квалифицированные сертификаты. С учетом определения ПСУ в Статье 2 это означает, что надзор касается не только выдачи сертификатов, но и «других услуг, связанных с электронными подписями».

Каждая страна Европы (за исключением Кипра, который пока не принял законодательство об электронной подписи) уже внедрила или планирует внедрение подобной системы надзора. Ответственный орган в отдельных странах идентичен тому, который получает уведомления от ПСУ (см. предыдущую главу).

В некоторых странах (например, в Швейцарии) орган надзора — это компания, которая должна пройти аккредитацию (не путать с «добровольной аккредитацией») у независимого государственного органа, чтобы осуществлять надзор за ПСУ.

С другой стороны, в Великобритании существует общее положение о «регулировании» (приведено в Части 1 Акта об электронных средствах связи за год), которое пока не введено в действие. В связи с отсутствием ПСУ, выдающих квалифицированные сертификаты, систему надзора, соответствующую Статье 3.3, также только предстоит внедрить.

Аналогично процессу уведомления, существует расхождение в том, какие ПСУ следует контролировать (см. сводную таблицу ниже):

Многие страны в точности следуют Статье 3.3 в том, что надзор должен касаться лишь ПСУ, выдающих квалифицированные сертификаты всем гражданам, в то время как в других странах контроль распространяется на все ПСУ.

В Исландии в сферу действия надзора попадают даже ПСУ, выдающие сертификаты замкнутым группам пользователей. Хотя это вполне возможно, контроль за всеми ПСУ явно не входил в намерения создателей Директивы.

Заметны существенные расхождения в том, как на самом деле должен осуществляться надзор. Во многих странах надзор основывается на регулярных аудиторских проверках, которые проводятся органом надзора и/или внешними экспертами от имени этого органа.

Тем не менее, подробные сведения об аудиторских проверках зачастую недоступны до сих пор. Это главным образом объясняется тем, что в большинстве стран фактически начало действовать очень небольшое количество ПСУ. Поэтому и система надзора не была должным образом внедрена.

В тех странах, которые уже смогли создать систему надзора (например, Австрия, Бельгия, Дания, Эстония, Румыния), аудиторские проверки проводятся на регулярной основе, например, ежегодно. Германия, с другой стороны, осуществляет аудиторские проверки (если они есть) только в ходе первоначального обследования.

В некоторых странах (Греция, Литва, Болгария) надзор не реализуется посредством аудиторских проверок; вместо этого применяется внешнее расследование (либо в ответ на жалобу или по инициативе органа надзора).

С началом аудиторских проверок их стоимость тоже начинает варьироваться.

В некоторых случаях ПСУ должен уплатить относительно небольшой сбор в размере нескольких тысяч евро (например, в Австрии и в Лихтенштейне); иногда размер пошлины зависит от времени работы надзорного органа (например, в Германии), а в отдельных странах сбор может достигать 100 000 евро (Дания).

В отдельных странах сборы покрываются надзорным органом или властным органом, к которому он относится; ПСУ тем самым не являются объектом каких-либо сборов, связанных с проведением надзора. Это, опять же, ведет к размышлениям о том, возможно ли злоупотребить выплатой пошлин, введя тем самым некую форму предварительного утверждения? Что произойдет, если ПСУ откажется платить пошлины за надзор? Позволят ли такому ПСУ выдавать сертификаты?

В соответствующих критериях соответствия также выявлены существенные различия.

Некоторые страны (например, Исландия, Мальта, Норвегия) вообще не предусмотрели критериев контроля.

Другие (Австрия, Испания, Польша, Словения, Швейцария) оценивают соответствие ПСУ требованиям по соответствующим законам и/или постановлениям. Так, Словения требует от ПСУ использовать продукты, прошедшие оценку соответствия американскому стандарту FIPS 140-1 или согласно «рекомендуемому EAL5 или хотя бы EAL3». Данное требование законодательства является слишком детальным, особенно в связи с тем, что вопрос о продуктах, подлежащих оценке, остается открытым.

Наконец, отдельные страны (Дания, Люксембург, Эстония и Болгария) опубликовали подробную документацию с рядом критериев, которым предполагается следовать.

Большинство стран используют расследования в качестве средства контроля за соблюдением требований. Эти расследования обычно проводятся в результате жалоб либо инициируются по требованию надзорной организации. Во всех странах в ходе проверок по отношению к надзорным организациям применяются законы о защите данных и общие положения законодательства.

Еще одним камнем преткновения стало применение стандартов в процессе надзора.

Многие страны-члены ЕС не указали, каким стандартам надлежит следовать. Похоже, государства-члены не захотели дожидаться окончания работы над остальными стандартами и использовали вместо них собственные.

С другой стороны, большинство стран, не входящих в ЕС, широко использовали стандарты, опубликованные рядом организаций, таких как EESSI, ETSI, CEN, ISO и IETF.

В большинстве стран система надзора не делает различия между аккредитованными и неаккредитованными ПСУ (см. следующий раздел). Лишь в отдельных случаях (в Германии и Чешской республике) первоначальное обследование будет проведено со слегка повышенными требованиями, перед тем как ПСУ может быть аккредитован. Более того, существенных различий нет и в том, что касается последствий несоответствия:

большинство стран применяют предписания и запреты в отношении ПСУ, нарушающих какие-либо нормы. Помимо этого, ПСУ могут облагаться штрафами и подобными им наказаниями. Впрочем, ПСУ практически всегда имеют возможность опротестовать любое решение в суде. Заслуживающим внимания исключением, пожалуй, является Португалия, законодательство которой не предусматривает каких-либо последствий несоответствия.

В заключение, в большинстве стран либо создано (если вообще создавалось) лишь небольшое количество ПСУ, которые на самом деле начали выдавать сертификаты, либо система надзора все еще находится на начальном этапе развития, либо имеет место и первое, и второе. По этой причине сравнивать практические результаты работы систем надзора нет смысла. Впрочем, уже сейчас очевидно, что ПСУ, учрежденные более чем в одной стране, будут вынуждены следовать самым разным правилам надзора. Любой ПСУ, желающий основать свою компанию более чем в одной стране, будет вынужден приспосабливаться к различным требованиям и процедурам.

2.7.4 Добровольная аккредитация (Статья 3.2) Статья 3.2 Директивы позволяет странам-членам «внедрять или обеспечивать существование систем добровольной аккредитации, нацеленных на повышение уровня предоставляемых сертификационных услуг».

Многие страны действительно определяют в своем законодательстве систему аккредитации, в то время как некоторые страны (Дания, Финляндия, Венгрия, Польша, Исландия, Норвегия) не признают данное понятие вообще (см. сводную таблицу ниже).

За исключением Нидерландов и Великобритании, аккредитацией в европейских странах занимаются государственные органы, например, министерства, либо другие федеральные агентства (например, распорядительные органы в сфере телекоммуникаций, уже учрежденные во многих странах).

С другой стороны, Нидерланды и Великобритания, ввели в действие частные саморегулирующиеся аккредитационные системы, называемые соответственно TTP.NL и tScheme. В то время как TTP.NL действует усилиями государственных и частных организаций, tScheme была создана представителями британского бизнеса. В данных схемах ответственные органы осуществляют «мониторинг» соблюдения соответствующих применимых критериев.

Большинство систем добровольной аккредитации используют аккредитацию как надзор с повышенным уровнем гарантий, т.е. выполняющий требования для выдачи квалифицированных сертификатов. Такое развитие событий явно не предусматривалось при включении добровольной аккредитации в Директиву.

На практике системы добровольной аккредитации испытывают проблемы, близкие к проблемам систем надзора, т.е. малое количество ПСУ в большинстве стран (за исключением Австрии, Германии и Италии) приводит к малому количеству установившихся систем аккредитации. Более того, процесс получения провайдером аккредитации, как правило, занимает много месяцев. Таким странам, как Франция, Греция, Ирландия, Португалия, Испания, Мальта, Латвия, Лихтенштейн и Румыния, еще предстоит реализовать аккредитационные схемы на практике. Еще одной причиной относительно медленного развития подобных систем, видимо, является неточное определение «добровольной аккредитации» в Статье 2 Директивы.

Несколько примечаний:

В Болгарии ПСУ не должны регистрироваться в соответствующем органе, если они хотят выдавать сертификаты для так называемых «универсальных» электронных подписей (главным образом используются в государственном секторе).

В Швейцарии ПСУ может уведомлять о своей деятельности центры сертификации, которые, в свою очередь, аккредитуются в органе аккредитации.

Согласно предварительным законодательным документам в Норвегии, рынку предстоит решить, следует ли вводить систему добровольной аккредитации. В настоящее время, видимо, большой потребности в такой схеме в Норвегии нет.

ПСУ в Швеции могут добровольно пройти проверку/тестирование на соответствие отдельным стандартам у «сертифицирующего органа», аккредитованного SWEDAC (национальный орган аккредитации).

Законы Бельгии не дают определения аккредитации, но ссылаются на аккредитацию в Статьях 17 и 18. Статья 17 констатирует, что «Администрация может попросить, чтобы ПСУ, отвечающий требованиям Приложения II, издающий квалифицированные сертификаты согласно спецификациям в Приложении I и использующий защищенные устройства для создания подписей, прошел аккредитацию».

В Великобритании термин «аккредитация» используется по отношению к оценке независимых органов («оценщиков»), выполняющих сертификацию услуг. С UKAS в роли органа аккредитации, системы, подобные tScheme (которая является добровольной системой «одобрения» трастовых услуг), должны быть аккредитованы, чтобы проводить оценку ПСУ.

В Италии все действующие ПСУ прошли аккредитацию по итальянскому закону о цифровой подписи, введенному в действие еще до Директивы. «Новая» схема аккредитации, основанная на новом законодательстве об электронной подписи, пока еще не внедрена.

В Люксембурге «Office Luxembourgeois d’accrditation et de surveillance’» (OLAS) опубликовал подробную документацию, относящуюся к аккредитации ПСУ, требований к компонентам, квалификации ИТ-аудиторов и надзору за ПСУ, выдающими КС. Эти документы основаны на стандартах, опубликованных в процессе деятельности EESSI.

В Нидерландах создана схема добровольной аккредитации под названием TTP.NL. В рамках данной схемы проводится оценка соответствия со стандартами ETSI TS 101 456. TTP.NL является инициативой в сфере саморегулирования.

Словакия ввела в действие систему обязательной аккредитации ПСУ, выдающих КС.

И вновь наблюдается множество различий в применении как критериев аккредитации, так и стандартов: одни схемы, видимо, следуют более общим требованиям, изложенным в законодательстве, тогда как другие схемы используют международные стандарты, например, ISO 17799 и EN 45012. В свою очередь, в отличие ситуации в Нидерландах, документы EESSI сыграли основную роль только в тех странах, которые не входят в ЕС.

Только в отдельных странах (например, в Нидерландах и на Мальте) функции органа аккредитации и надзорного органа выполняют разные структуры; как правило, обе эти задачи выполняются одними и теми же организациями.

Что касается действия аккредитации, то в большинстве систем аккредитация действительна в течение 3 лет, и лишь некоторые системы требуют регулярных проверок в течение срока действия. Отдельные системы (например, в Австрии, Италии, Чешской республике, Словении, Швейцарии) вообще не устанавливают предельных сроков аккредитации. Это означает, что в некоторых странах ПСУ нуждаются в возобновлении аккредитации каждые несколько лет, в то время как в других странах срок действия аккредитации вообще не ограничен.

Единственное прямо сформулированное право ПСУ, получивших аккредитацию, — это право пользоваться статусом «аккредитованного ПСУ» в большинстве стран.

Аналогичным образом, во многих странах не предусмотрена в явном виде доказательная сила для аккредитованных ПСУ. Напротив, многим ПСУ пришлось выполнять дополнительные требования (например, увеличенные сроки архивации) после того, как они прошли аккредитацию.

Впрочем, многие системы неявным образом поощряют работу схем аккредитации, поскольку (квалифицированные) сертификаты, которые выданы аккредитованными ПСУ, в некоторых областях, например, в государственном секторе, являются предпочтительными и даже обязательными.

В рамках ViTAS49 участники ряда европейских и неевропейских схем в настоящее время обсуждают возможность прийти к Соглашению о взаимном признании, основанному на общих процессуальных кодексах. Тем не менее, пока еще рано говорить о возможных результатах этого соглашения.

Резюмируя сказанное выше, можно сказать, что большое количество систем аккредитации уже функционируют или готовится к вводу в действие. Некоторые страны высказали возражения в отношении самого термина «аккредитация», поскольку он уже используется и имеет устоявшееся значение в другом контексте; поэтому и сама процедура в отдельных странах получила другое название (например, «одобрение», «регистрация», «признание»

или даже «сертификация»). По сравнению с надзором за ПСУ, сложившейся практики аккредитации пока нет (за исключением Австрии, Германии и Италии), особенно в европейском масштабе. Более того, само значение аккредитации оценивается неодинаково: тогда как одни страны явно отдают предпочтение добровольной аккредитации, позиция других стран выглядит гораздо более сдержанной.

Нам еще предстоит узнать, является ли существование различных схем аккредитации преимуществом: в большинстве стран накоплено еще недостаточно опыта. Отдельные страны закладывают в свои процедуры аккредитации очень высокие требования, в то время как в других странах аккредитация основана на гораздо более общих правилах, которым должны следовать ПСУ. Разнообразие требований и характеристик систем добровольной аккредитации на практике означает, что создание и деятельность ПСУ в рамках разных систем аккредитации будут существенно различаться.

2.7.5 Оценка соответствия SSCD (Статья 3.4) В Статье 3.4 Директивы указывается, что соответствие защищенных устройств для создания подписей (SSCD) Приложению III «должно определяться соответствующими Группа общих интересов в сфере систем аттестации трастовых услуг, http://www.vitas-cig.org/ государственными или частными организациями, назначенными странами-членами».

Более того, результаты оценки продукта «должны быть признаны всеми странамичленами».

Статья 3.4 не обязывает производителей проводить оценку продукции; она лишь констатирует, что, если эта оценка проводится, то это должны делать назначенные органы. Декларация факта (15) выражается более ясно, требуя, чтобы «Комиссия и страны-члены действовали без промедлений с целью обеспечить назначение органов, отвечающих за оценку соответствия; чтобы отвечать требованиям рынка, оценка соответствия должна быть своевременной и эффективной».

Большинство стран до известной степени интерпретировали Директиву, требуя обязательной оценки соответствия устройств для создания подписей как условие признания их SSCD. Оценка, как правило, основывается на очень строгой методологии Общих Критериев (CC).

Заметным исключением из данной ситуации является Испания (где прямо признается добровольность оценки соответствия), Нидерланды и Великобритания (там понятие SSCD в законодательстве отсутствует в связи с отсутствием понятия квалифицированной электронной подписи).

С другой стороны, законодательство лишь немногих стран признает доказательную силу SSCD, прошедших оценку соответствия. Тем не менее, доказательная сила зачастую неявно присутствует, например, в соответствующих положениях гражданского законодательства.

Что касается создания органов, отвечающих за оценку соответствия, то лишь немногие страны (Австрия, Франция, Германия, Чешская республика, Венгрия, Литва, Польша) фактически назначили эту задачу соответствующему органу, а еще несколько стран планируют сделать то же самое. Причиной в основном является тот факт, что затраты времени и средств на создание такого органа были бы для большинства организаций слишком велики. Тем не менее, все страны (прямо или косвенно) признают оценку соответствия, проведенную уполномоченным органом в другой стране-члене ЕС, следуя положениям Статьи 3.4.

В большинстве стран есть национальный орган аккредитации, ответственный за назначение других лиц или организаций, которые, в свою очередь, занимаются оценкой продуктов.

Интересно, что существующая в Италии система оценки соответствия предназначена только для военных целей. Коммерческая система находится в стадии подготовки. В связи с этим, оценку продуктов в Италии пока проводят соответствующие органы, учрежденные в других странах.

Процесс оценки соответствия продукта зачастую является как чрезвычайно дорогим (затраты производителя могут достигать нескольких сотен тысяч евро), так и трудоемким.

В реальности оценка соответствия далека от «своевременности и эффективности», надежду на которые выражает Декларация факта (15). Две других причины того, почему производители временами так неохотно идут на оценку соответствия своей продукции, состоят в том, что, во-первых, оценка является действительной в течение ограниченного времени и, во-вторых, она «замораживает» продукт, не позволяя вносить в него изменения (например, с целью закрыть уязвимость) без аннулирования результатов оценки. Более того, из-за затрат времени на процесс оценки экспертиза не может быть проведена по современному положению дел в отношении новых атак и мер защиты.

Следовательно, хотя некоторое количество SSCD уже прошли оценку соответствия, все эти мероприятия были проведены относительно небольшим количеством назначенных органов. Только в Австрии, Германии и Чешской республике число продуктов, прошедших оценку, превысило два. В некоторых странах (Австрия, Германия) была также проведена оценка продуктов для подписи, отличных от SSCD.

В заключение стоит отметить, что, хотя она и не строго предписана Директивой, оценка соответствия SSCD на практике является обязательной в большинстве стран Европы (но не во всех; см. таблицу ниже). С этим тесно связан вопрос, нужна ли на самом деле оценка соответствия SSCD для того, чтобы заявить, что продукт является SSCD. Директива опять же не признает это обязательным, однако сложившаяся практика показывает: без официальной оценки уполномоченными органами SSCD не будет. Более того, в странах наподобие Великобритании SSCD вообще не фигурируют в законодательстве.

2.7.6 Сводная таблица

АВСТРИЯ

БЕЛЬГИЯ

ФРАНЦИЯ

ГЕРМАНИЯ

ГРЕЦИЯ

ИРЛАНДИЯ

ИТАЛИЯ

ЛЮКСЕМБУРГ

ПОРТУГАЛИЯ

ИСПАНИЯ

ШВЕЦИЯ

ЧЕШСКАЯ Р.

ЭСТОНИЯ

ВЕНГРИЯ

ЛАТВИЯ

МАЛЬТА

ПОЛЬША

СЛОВАКИЯ

БОЛГАРИЯ

РУМЫНИЯ

ИСЛАНДИЯ

НОРВЕГИЯ

ШВЕЙЦАРИЯ

В Германии и Швейцарии сертификат должен быть подписан квалифицированной электронной подписью, а не просто усовершенствованной электронной подписью, как определено в Директиве. Это означает, что ПСУ должен быть физическим лицом, владеющим квалифицированным сертификатом и использующим SSCD. Это привело к отчасти странной ситуации, когда имя издателя в сертификате (например, X-Trust) на самом деле является псевдонимом лица внутри организации-ПСУ.

В Италии, вместо этого, правила прямо отсылают к «Приложению I Директивы 1999/93/EC». Это означает, что любой желающий ознакомиться с требованиями должен искать копию текста Директивы.

В Люксембурге срок действия сертификата ограничен 3 годами.

В Испании квалифицированный сертификат обязан содержать национальный идентификационный номер.

В Эстонии термин «квалифицированный сертификат» не применяется, однако понятие «сертификат» определено аналогично.

В Чешской республике другие персональные данные могут присутствовать только с согласия подписывающего.

Только в Болгарии запрещено использовать псевдонимы и нет требования указывать на наличие КС. Болгарские правила содержат гораздо более подробные требования к содержанию сертификата.

Только Нидерланды, Литва и Болгария прямо сослались на стандарт ETSI TS как основу выполнения данных условий.

В целом, существенных отличий в транспонировании Приложения I не обнаружено. Тем не менее, существует риск появления проблем с совместимостью, если начнутся расхождения в технической реализации Приложения I, не будет использоваться ETSI TS 101 862, либо не будет соблюден какой-либо другой единый формат кодирования требований Приложения I.

2.8.2 Приложение II: ПСУ, выдающие квалифицированные сертификаты В Приложении II указаны требования к ПСУ, выдающим квалифицированные сертификаты. Большинство стран скопировали требования Приложения II дословно.

Можно отметить следующие моменты:

В Австрии и Германии в действующие правила включены дополнительные детальные требования, в частности:

o ПСУ обязаны передавать информацию о продуктах, которые соответствуют требованиям к генерации и проверке квалифицированных электронных o ПСУ не могут использовать криптомодуль, позволяющий создавать резервную копию подписывающего ключа сертификата.

В Дании соответствующие правила содержат подробные дополнительные требования.

В Нидерландах Приложение II было расширено за счет дополнительных требований. В Греции присутствует дополнительное требование о 30-летнем сроке хранения записей.

Эстонские правила содержат подробный, хотя и отличный от Директивы перечень требований.

В Испании приняты несколько дополнительных специальных требований к ПСУ, касающихся общей суммы страхования, сроков архивного хранения (15 лет) и информации, которая предоставляется держателю сертификата.

В Латвии и Болгарии ПСУ также должны предлагать услуги по фиксации времени.

В случае со Словенией в дополнение к копии Приложения II действуют подробные правила. В этих правилах присутствуют требования к оценке криптомодуля в соответствии с американским стандартом FIPS 140-1, и к оценке программного обеспечения по Общим Критериям.

Наконец, в Швейцарии приведены те же требования, что и в Приложении II, но с дополнительными подробностями, разнесенными по разным нормам.

Лишь немногие страны (Нидерланды, Литва, Словения, Болгария) ссылаются на EESSI и другие стандарты в связи с выполнением требований Приложения II.

В завершение следует сказать, что разнообразие требований к ПСУ означает различие в действиях, которые необходимо совершить в разных странах Европы для создания и осуществления деятельности ПСУ. Любой организации, желающей вести бизнес в сфере ПСУ в нескольких странах, придется приспосабливаться к требованиям и процедурам каждой конкретной страны. У производителей продуктов также могут возникнуть сложности с адаптацией к этому чрезвычайно разрозненному рынку. В дополнение к этому, некоторые страны предъявляют к ПСУ дополнительные требования, подробные и ненужные, создавая тем самым препятствия для учреждения ПСУ.