Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Ustaw
  3. Dz.U.2020.399

Szczegółowe warunki organizacyjne i techniczne, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników.

ROZPORZĄDZENIE
MINISTRA CYFRYZACJI 1
z dnia 10 marca 2020 r.
w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników

Na podstawie art. 20a ust. 3 pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2020 r. poz. 346) zarządza się, co następuje:
§  1. 
Rozporządzenie określa szczegółowe warunki organizacyjne i techniczne, które powinien spełniać system teleinformatyczny służący do wydania certyfikatu oraz stosowania technologii, o których mowa w art. 20a ust. 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, zwanej dalej "ustawą", w tym zakres i okres przechowywania danych w systemie oraz obowiązki informacyjne, do których zobowiązany jest administrator systemu.
§  2. 
1. 
System teleinformatyczny służący do wydania certyfikatu wykorzystywanego przez podmioty publiczne do uwierzytelniania użytkowników spełnia następujące warunki techniczne i organizacyjne:
1)
umożliwia wystawienie certyfikatu oraz jego wydanie użytkownikowi, dla którego został on wystawiony;
2)
umożliwia niezwłoczne unieważnienie certyfikatu;
3)
określa dokładny czas wystawienia i unieważnienia certyfikatu, zgodnie z czasem uniwersalnym koordynowanym UTC(PL);
4)
potwierdza tożsamość użytkownika, któremu wydano certyfikat;
5)
posiada zabezpieczenia na wypadek zagrożeń w zakresie bezpieczeństwa teleinformatycznego dobierane na podstawie szacowania ryzyka;
6)
nie gromadzi ani nie kopiuje danych służących użytkownikom do potwierdzania tożsamości z wykorzystaniem certyfikatów.
2. 
System, o którym mowa w ust. 1, przechowuje dane dotyczące wystawionych certyfikatów przez okres 20 lat, licząc od dnia 1 stycznia roku następującego po roku, w którym certyfikat został wystawiony.
3. 
Zapewnienie bieżącej poprawności i użyteczności funkcjonalnej systemu, o którym mowa w ust. 1, wymaga spełnienia następujących warunków technicznych i organizacyjnych:
1)
dokonywania systematycznego przeglądu skuteczności zastosowanych środków zabezpieczeń na wypadek zagrożeń bezpieczeństwa teleinformatycznego, w celu wprowadzania ich usprawnień;
2)
utrzymywania w aktualnym stanie dokumentacji operacyjnej i technicznej systemu, w celu zapewnienia jego bezpiecznej eksploatacji;
3)
zapewniania organizacyjnego, technicznego i kryptograficznego bezpieczeństwa działania systemu;
4)
prowadzenia działań zapobiegających fałszowaniu certyfikatów, w tym zapewniania poufności podczas procesu tworzenia danych do potwierdzania tożsamości użytkownika;
5)
informowania osób ubiegających się o certyfikat o warunkach stosowania certyfikatu zawartych w polityce certyfikacji.
4. 
Warunki, o których mowa w ust. 1-3, zostały spełnione, gdy:
1)
została wdrożona polityka certyfikacji spełniająca wymagania wskazane w normie PN-ETSI EN 319 411 lub nowszej;
2)
zapewnione zostały warunki organizacyjne i techniczne zgodne z wymaganiami specyfikacji technicznej CEN/TS 419261 lub nowszej w zakresie świadczenia usług innych niż wydawanie certyfikatów kwalifikowanych;
3)
zastosowane zostały systemy i produkty zgodne z wymaganiami specyfikacji technicznej CEN/TS 419221 lub nowszej.
5. 
Administrator systemu, o którym mowa w ust. 1, udostępnia deklarację o spełnieniu wymagań określonych w ust. 3 oraz politykę certyfikacji:
1)
w Biuletynie Informacji Publicznej albo
2)
na stronie internetowej administratora - w przypadku podmiotów niezobowiązanych do udostępniania informacji publicznej w Biuletynie Informacji Publicznej.
§  3. 
1. 
System teleinformatyczny przetwarzający dane dotyczące tożsamości użytkowników wykorzystywany przez podmioty publiczne do uwierzytelniania użytkowników w oparciu o inne technologie niż certyfikat:
1)
rejestruje użytkowników;
2)
potwierdza tożsamość użytkowników;
3)
przechowuje i udostępnia dane identyfikacyjne użytkowników systemom autoryzującym uprawnionym do ich otrzymania;
4)
umożliwia zablokowanie konta użytkownika na jego żądanie;
5)
zapewnia rozliczalność, rozumianą jako przypisanie określonego działania w systemie do osoby fizycznej lub procesu oraz umiejscowienie ich w czasie;
6)
zapewnia integralność, autentyczność i poufność danych identyfikacyjnych i uwierzytelniających użytkownika;
7)
zapewnia codzienną synchronizację czasu systemowego z czasem uniwersalnym koordynowanym UTC(PL).
2. 
System, o którym mowa w ust. 1, przechowuje dane dotyczące tożsamości użytkownika przez okres 20 lat, licząc od dnia 1 stycznia roku następującego po roku, w którym wykonano w systemie ostatnią operację z użyciem tożsamości tego użytkownika.
3. 
System, o którym mowa w ust. 1, spełnia następujące warunki techniczne i organizacyjne w zakresie administrowania:
1)
zapewnianie wiarygodności procesu rejestracji użytkowników i potwierdzania ich tożsamości;
2)
utrzymywanie w aktualnym stanie dokumentacji operacyjnej i technicznej systemu, w celu zapewnienia jego bezpiecznej eksploatacji;
3)
opracowywanie i ustanawianie, wdrażanie i eksploatowanie, monitorowanie i przeglądanie oraz utrzymywanie i doskonalenie systemu zarządzania bezpieczeństwem informacji spełniającego wymagania Polskiej Normy PN-EN ISO/IEC 27001, o którym mowa w przepisach wydanych na podstawie art. 18 ustawy.
4. 
Warunki określone w ust. 3 uważa się za spełnione, jeżeli:
1)
system zarządzania bezpieczeństwem informacji, o którym mowa w ust. 3 pkt 3, został oceniony pozytywnie przez jednostkę oceniającą zgodność, zgodnie z ustawą z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2019 r. poz. 544), albo
2)
administrator systemu, o którym mowa w ust. 1, udostępnił deklarację o spełnieniu wymagań określonych w ust. 3:
a)
w Biuletynie Informacji Publicznej albo
b)
na stronie internetowej administratora - w przypadku podmiotów niezobowiązanych do udostępniania informacji publicznej w Biuletynie Informacji Publicznej.
§  4. 
1. 
System teleinformatyczny, o którym mowa w art. 20a ust. 2 ustawy, uwierzytelniając użytkowników, dokonuje weryfikacji tożsamości użytkowników, wykorzystując certyfikaty wydane w systemie, o którym mowa w § 2 ust. 1, lub usługi systemu, o którym mowa w § 3 ust. 1, oraz przechowuje dane potwierdzające tę weryfikację.
2. 
Dane potwierdzające weryfikację, o których mowa w ust. 1, umożliwiają w sposób jednoznaczny:
1)
ustalenie tożsamości użytkownika, który dokonał czynności w postaci elektronicznej;
2)
ustalenie czasu dokonania czynności;
3)
stwierdzenie ważności uprawnień w momencie dokonania czynności.
§  5. 
1. 
Zakres danych przetwarzanych w certyfikatach wydawanych w systemie, o którym mowa w § 2 ust. 1, w przypadku wydawania certyfikatów:
1)
osobom fizycznym - jest zgodny z profilem certyfikatu określonym w normie PN-ETSI EN 319 412-2 lub nowszej;
2)
osobom prawnym - jest zgodny z profilem certyfikatu określonym w normie PN-ETSI EN 319 412-3 lub nowszej.
2. 
Zakres danych przetwarzanych w systemie, o którym mowa w § 3 ust. 1, odnoszących się do tożsamości użytkowników jest odpowiedni do zakresu danych profilu zaufanego, określonego w przepisach wydanych na podstawie art. 20d ustawy.
§  6. 
Systemy teleinformatyczne podmiotów realizujących zadania publiczne, służące do wydania certyfikatu oraz stosowania technologii, o których mowa w art. 20a ust. 2 ustawy, funkcjonujące w dniu wejścia w życie niniejszego rozporządzenia, należy dostosować do wymagań określonych w przepisach niniejszego rozporządzenia nie później niż do dnia 12 marca 2022 r.
§  7. 
Rozporządzenie wchodzi w życie z dniem 12 marca 2020 r. 2
1 Minister Cyfryzacji kieruje działem administracji rządowej - informatyzacja, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 18 listopada 2019 r. w sprawie szczegółowego zakresu działania Ministra Cyfryzacji (Dz. U. poz. 2270).
2 Niniejsze rozporządzenie było poprzedzone rozporządzeniem Ministra Cyfryzacji z dnia 5 października 2016 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników (Dz. U. poz. 1627), które traci moc z dniem 11 marca 2020 r. na podstawie art. 61 ustawy z dnia 5 lipca 2018 r. o zmianie ustawy o usługach zaufania oraz identyfikacji elektronicznej oraz niektórych innych ustaw (Dz. U. poz. 1544 oraz z 2019 r. poz. 60 i 934).

Zmiany w prawie

Lepsze prawo. W Sejmie odbyła się konferencja podsumowująca konsultacje społeczne projektów ustaw
Lepsze prawo. W Sejmie odbyła się konferencja podsumowująca konsultacje społeczne projektów ustaw

W ciągu pierwszych 5 miesięcy obowiązywania mechanizmu konsultacji społecznych projektów ustaw udział w nich wzięły 24 323 osoby. Najpopularniejszym projektem w konsultacjach była nowelizacja ustawy o broni i amunicji. W jego konsultacjach głos zabrało 8298 osób. Podczas pierwszych 14 miesięcy X kadencji Sejmu RP (2023–2024) jedynie 17 proc. uchwalonych ustaw zainicjowali posłowie. Aż 4 uchwalone ustawy miały źródła w projektach obywatelskich w ciągu 14 miesięcy Sejmu X kadencji – to najważniejsze skutki reformy Regulaminu Sejmu z 26 lipca 2024 r.

Grażyna J. Leśniak 24.04.2025
Przedsiębiorcy zapłacą niższą składkę zdrowotną – Senat za ustawą
Przedsiębiorcy zapłacą niższą składkę zdrowotną – Senat za ustawą

Senat bez poprawek przyjął w środę ustawę, która obniża składkę zdrowotną dla przedsiębiorców. Zmiana, która wejdzie w życie 1 stycznia 2026 roku, ma kosztować budżet państwa 4,6 mld zł. Według szacunków Ministerstwo Finansów na reformie ma skorzystać około 2,5 mln przedsiębiorców. Teraz ustawa trafi do prezydenta Andrzaja Dudy.

Grażyna J. Leśniak 23.04.2025
Rząd organizuje monitoring metanu
Rząd organizuje monitoring metanu

Rada Ministrów przyjęła we wtorek, 22 kwietnia, projekt ustawy o zmianie ustawy – Prawo geologiczne i górnicze, przedłożony przez minister przemysłu. Chodzi o wyznaczenie podmiotu, który będzie odpowiedzialny za monitorowanie i egzekwowanie przepisów w tej sprawie. Nowe regulacje dotyczą m.in. dokładności pomiarów, monitorowania oraz raportowania emisji metanu.

Krzysztof Koślicki 22.04.2025
Rząd zaktualizował wykaz zakazanej kukurydzy
Rząd zaktualizował wykaz zakazanej kukurydzy

Na wtorkowym posiedzeniu rząd przyjął przepisy zmieniające rozporządzenie w sprawie zakazu stosowania materiału siewnego odmian kukurydzy MON 810, przedłożone przez ministra rolnictwa i rozwoju wsi. Celem nowelizacji jest aktualizacja listy odmian genetycznie zmodyfikowanej kukurydzy, tak aby zakazać stosowania w Polsce upraw, które znajdują się w swobodnym obrocie na terytorium 10 państw Unii Europejskiej.

Krzysztof Koślicki 22.04.2025
Od 18 kwietnia fotografowanie obiektów obronnych i krytycznych tylko za zezwoleniem
Od 18 kwietnia fotografowanie obiektów obronnych i krytycznych tylko za zezwoleniem

Od 18 kwietnia policja oraz żandarmeria wojskowa będą mogły karać tych, którzy bez zezwolenia m.in. fotografują i filmują szczególnie ważne dla bezpieczeństwa lub obronności państwa obiekty resortu obrony narodowej, obiekty infrastruktury krytycznej oraz ruchomości. Obiekty te zostaną specjalnie oznaczone.

Robert Horbaczewski 17.04.2025
Prezydent podpisał ustawę o rynku pracy i służbach zatrudnienia
Prezydent podpisał ustawę o rynku pracy i służbach zatrudnienia

Kompleksową modernizację instytucji polskiego rynku pracy poprzez udoskonalenie funkcjonowania publicznych służb zatrudnienia oraz form aktywizacji zawodowej i podnoszenia umiejętności kadr gospodarki przewiduje podpisana w czwartek przez prezydenta Andrzeja Dudę ustawa z dnia 20 marca 2025 r. o rynku pracy i służbach zatrudnienia. Ustawa, co do zasady, wejdzie w życie pierwszego dnia miesiąca następującego po upływie 14 dni od dnia ogłoszenia.

Grażyna J. Leśniak 11.04.2025
Metryka aktu
Identyfikator:

Dz.U.2020.399
Rodzaj: Rozporządzenie
Tytuł: Szczegółowe warunki organizacyjne i techniczne, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników.
Data aktu: 10/03/2020
Data ogłoszenia: 11/03/2020
Data wejścia w życie: 12/03/2020