Про внесення змін до Порядку проведення процедури оцінки відповідності у сфері електронних довірчих послуг
Кабінет Міністрів України постановляє:
Внести до Порядку проведення процедури оцінки відповідності у сфері електронних довірчих послуг, затвердженого постановою Кабінету Міністрів України від 18 грудня 2018 р. № 1215 (Офіційний вісник України, 2019 р., № 20, ст. 677), зміни, що додаються.
ЗМІНИ,
що вносяться до Порядку проведення процедури оцінки відповідності у сфері електронних довірчих послуг
1. Пункт 2 викласти в такій редакції:
“2. Дія цього Порядку не поширюється на іноземні органи з оцінки відповідності у сфері електронних довірчих послуг, акредитовані іноземними органами з акредитації, що є підписантами багатосторонньої угоди про визнання Міжнародного форуму з акредитації та/або Європейської кооперації з акредитації (EA MLA).”.
2. У пункті 3:
1) абзац другий після слів і цифр “постановою Кабінету Міністрів України від 7 листопада 2018 р. № 992” доповнити словами і цифрами “(Офіційний вісник України, 2018 р., № 98, ст. 3227), а для кваліфікованих надавачів електронних довірчих послуг, які внесені до Довірчого списку за рішенням засвідчувального центру, - вимогам, установленим Національним банком України”;
2) в абзаці третьому слова “інформаційних та телекомунікаційних систем” замінити словами “інформаційних та електронних комунікаційних систем”;
3) в абзаці сьомому слова “в Законах України “Про електронні довірчі послуги”, “Про акредитацію органів з оцінки відповідності”, “Про технічні регламенти та оцінку відповідності”, “Про захист інформації в інформаційно-телекомунікаційних системах” замінити словами “в Законах України “Про електронні довірчі послуги”, “Про акредитацію органів з оцінки відповідності”, “Про технічні регламенти та оцінку відповідності”, “Про захист інформації в інформаційно-комунікаційних системах”.
3. Пункт 6 доповнити абзацами такого змісту:
“Замовник процедури оцінки відповідності може пройти зазначену процедуру та отримати аудиторський звіт в іноземному органі з оцінки відповідності, акредитованому іноземними органами з акредитації, що є підписантами багатосторонньої угоди про визнання Міжнародного форуму з акредитації та/або Європейської кооперації з акредитації (EA MLA).
Аудиторський звіт іноземного органу з оцінки відповідності, викладений іноземною мовою, повинен бути перекладений державною мовою. Вірність перекладу або справжність підпису перекладача засвідчується нотаріально.”.
4. Пункти 7-9 викласти в такій редакції:
“7. Органи з оцінки відповідності та замовники процедури оцінки відповідності під час проведення зазначеної процедури у сфері електронних довірчих послуг повинні дотримуватися положень, визначених у стандартах ДСТУ ETSI EN 319 403-1:2021 (ETSI EN 319 403-1 V2.3.1 (2020-06), IDT) “Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 1. Вимоги до органів оцінювання відповідності, які оцінюють постачальників довірчих послуг” та ДСТУ ETSI TS 119 403-2:2021 (ETSI TS 119 403-2 V1.2.4 (2020-11), IDT) “Електронні підписи та інфраструктури (ESI). Оцінювання відповідності постачальників довірчих послуг. Частина 2. Додаткові вимоги до органів оцінювання відповідності, що перевіряють постачальників довірчих послуг, які видають довірчі сертифікати”, затверджених наказом державного підприємства “УкрНДЦ” від 16 грудня 2021 р. № 512 (далі - ДСТУ ETSI EN 319 403-1:2021 та ДСТУ ETSI TS 119 403-2:2021).
8. Рішення за результатами проведення процедури оцінки відповідності у сфері електронних довірчих послуг приймається органом з оцінки відповідності на основі аналізу аудиторського звіту, оформленого зазначеним органом за результатами виконання етапів процесу аудиту, визначених у стандартах ДСТУ ETSI EN 319 403-1:2021 та ДСТУ ETSI TS 119 403-2:2021.
9. Прийняття органом з оцінки відповідності рішення про видачу документа про відповідність здійснюється в строк, визначений у договорі, зазначеному в пункті 6 цього Порядку.”.
5. Доповнити Порядок пунктами 91-93 такого змісту:
“91. Оцінка відповідності проводиться двома етапами:
перший етап - проведення оцінки документації, в тому числі планування другого етапу, шляхом визначення структури та об’єму кваліфікованих електронних довірчих послуг, що надаватиме об’єкт оцінки відповідності;
другий етап - виїзний плановий або позаплановий захід, що здійснюється за місцезнаходженням об’єкта оцінки відповідності та передбачає підтвердження результатів попереднього аудиторського звіту і завершення аудиту перевірених послуг.
За результатами реалізації кожного з етапів складається відповідний звіт. Під час установлення інтервалу між першим та другим етапами оцінки відповідності необхідно враховувати потреби замовника процедури оцінки відповідності для виправлення недоліків, виявлених під час реалізації першого етапу.
Орган з оцінки відповідності повинен інформувати замовника процедури оцінки відповідності про всі висновки, описані в аудиторському звіті із зазначенням їх суттєвого впливу на безпеку та/або здатність надавати кваліфіковані електронні довірчі послуги.
92. У разі коли замовник процедури оцінки відповідності виявив намір продовжити зазначені процедури, він повинен надати органу з оцінки відповідності план заходів щодо усунення виявлених недоліків.
Орган з оцінки відповідності повинен оцінити результати заходів щодо усунення виявлених недоліків та строки їх виконання, а також поінформувати замовника процедури оцінки відповідності про додаткові завдання, необхідні для підтвердження того, що невідповідності були виправлені.
93. Корекційні дії у разі виявлення незначної невідповідності (невиконання вимог, які не мають істотного впливу на безпеку та здатність кваліфікованого надавача електронних довірчих послуг надавати кваліфіковані електронні довірчі послуги) повинні бути розглянуті протягом:
трьох місяців після інформування замовника процедури оцінки відповідності про невідповідність аудиторського звіту;
шести місяців після інформування замовника процедури оцінки відповідності про невідповідність аудиторського звіту у разі надання органом з оцінки відповідності документального підтвердження того, що корекційні дії потребують більш тривалого періоду часу у зв’язку з їх складністю.”.
6. Підпункт 2 пункту 10 виключити.
7. Пункти 12-14 виключити.
8. Доповнити Порядок пунктом 171 такого змісту:
“171. Орган з оцінки відповідності визначає програму періодичного здійснення оцінки відповідності і повторної оцінки відповідності у сфері електронних довірчих послуг, яка повинна включати виїзний захід для підтвердження того, що кваліфіковані надавачі електронних довірчих послуг і послуги, що ними надаються, відповідають вимогам у сфері електронних довірчих послуг.”.
9. Пункт 18 викласти в такій редакції:
“18. Процедура повторної (позапланової) оцінки відповідності у сфері електронних довірчих послуг проводиться за наявності обставин, визначених у стандартах ДСТУ ETSI EN 319 403-1:2021 та ДСТУ ETSI TS 119 403-2:2021.”.
10. У тексті Порядку слова “інформаційно-телекомунікаційна система” в усіх відмінках і формах числа замінити словами “інформаційно-комунікаційна система” у відповідному відмінку і числі.