Стаття 33-2. Заходи реагування на порушення законодавства у сфері електронної ідентифікації та сфері електронних довірчих послуг

Про електронну ідентифікацію та електронні довірчі послуги (ЗМІСТ) Інші закони

31

Переглядів

Переглядів

Додати в обране

1. За результатами проведення перевірок кваліфікованих надавачів електронних довірчих послуг (їхніх відокремлених пунктів реєстрації), засвідчувального центру, центрального засвідчувального органу контролюючий орган вживає таких заходів реагування:

1) вимагає від кваліфікованих надавачів електронних довірчих послуг, засвідчувального центру, центрального засвідчувального органу усунення порушень вимог законодавства у сфері електронних довірчих послуг у встановлений приписом строк;

2) приймає рішення про блокування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг, якщо під час перевірки виникла підозра компрометації особистого ключа;

3) приймає рішення про скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг, якщо під час перевірки виявлено факт компрометації особистого ключа.

Рішення про блокування або скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг, контролюючий орган надсилає в день його прийняття до центрального засвідчувального органу;

4) надсилає до центрального засвідчувального органу подання про відкликання статусу кваліфікованого надавача електронних довірчих послуг або послуги, яку надає кваліфікований надавач електронних довірчих послуг, засвідчувального центру, центрального засвідчувального органу у Довірчому списку в разі:

надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг без чинних документів, визначених законодавством, що підтверджують відповідність комплексної системи захисту інформації інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг та засобів захисту інформації у її складі вимогам нормативно-правових актів у сфері технічного та криптографічного захисту інформації, або документів про відповідність за результатами процедури оцінки відповідності у сфері електронних довірчих послуг;

непроходження додаткової державної експертизи комплексної системи захисту інформації або процедури оцінки відповідності інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг у разі модернізації апаратного, апаратно-програмного пристрою чи програмного забезпечення, що входять до складу програмно-технічного комплексу, яка не передбачена проектною чи експлуатаційною документацією до комплексної системи захисту інформації інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг;

надання кваліфікованих електронних довірчих послуг за відсутності у кваліфікованого надавача електронних довірчих послуг поточного рахунку із спеціальним режимом використання у банку (рахунку в органі, що здійснює казначейське обслуговування бюджетних коштів) з необхідним обсягом коштів або чинного договору страхування відповідальності з необхідним розміром страхової суми, що встановлені частиною п’ятою статті 16 цього Закону, для забезпечення відшкодування збитків, які можуть бути завдані користувачам електронних довірчих послуг або третім особам внаслідок неналежного виконання кваліфікованим надавачем електронних довірчих послуг своїх зобов’язань;

порушення вимог до умов експлуатації комплексної системи захисту інформації інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг;

надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг без чинних документів, визначених законодавством, що підтверджують його право власності та/або право користування засобами кваліфікованого електронного підпису чи печатки, які використовуються для надання кваліфікованих електронних довірчих послуг;

встановлення факту надання недостовірних відомостей, наведених у документах, поданих кваліфікованим надавачем електронних довірчих послуг для внесення відомостей про нього до Довірчого списку;

неусунення виявлених під час перевірки порушень у встановлений приписом строк;

блокування або скасування кваліфікованого сертифіката відкритого ключа кваліфікованого надавача електронних довірчих послуг.

2. Протягом одного місяця з дня генерації центральним засвідчувальним органом пар ключів та формування відповідних самопідписаних сертифікатів електронних печаток центрального засвідчувального органу контролюючий орган проводить позапланову перевірку центрального засвідчувального органу в частині захисту інформації у програмно-технічному комплексі центрального засвідчувального органу.

У разі виявлення порушень вимог, встановлених законодавством для центрального засвідчувального органу, контролюючий орган інформує Кабінет Міністрів України про виявлені порушення та пропонує центральному засвідчувальному органу шляхи їх усунення.

3. За результатами проведення перевірок надавачів послуг електронної ідентифікації контролюючий орган вживає таких заходів реагування:

1) вимагає від надавачів послуг електронної ідентифікації усунення порушень вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг у встановлений приписом строк;

2) приймає рішення про зупинення надання послуг електронної ідентифікації надавачем послуг електронної ідентифікації, якщо під час перевірки виявлено факт порушення, що впливає на безпеку надання таких послуг, до повного усунення виявлених порушень.

4. Щороку до 1 квітня контролюючий орган готує та подає до Кабінету Міністрів України звіт про оцінку діяльності суб’єктів відносин у сферах електронної ідентифікації та електронних довірчих послуг щодо дотримання вимог законодавства.

{Закон доповнено статтею 33 - 2 згідно із Законом № 2801-IX від 01.12.2022 }