LegalizeVerordnung des Bundeskanzlers über elektronische Signaturen (Signaturverordnung 2008 – SigV 2008)
Präambel/Promulgationsklausel
Auf Grund des § 25 des Signaturgesetzes, BGBl. I Nr. 190/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 8/2008, wird im Einvernehmen mit der Bundesministerin für Justiz verordnet:
Gebühren für Aufsichtstätigkeiten
§ 1. (1) Von den Zertifizierungsdiensteanbietern (ZDA) sind für Leistungen im Rahmen der Aufsichtstätigkeit folgende Gebühren zu entrichten:
| 1. | Prüfung des Sicherheits- und Zertifizierungskonzepts anlässlich der Aufnahme der Tätigkeit (§ 6 Abs. 3 SigG) | 4 500 Euro; | |
|---|---|---|---|
| 2. | Prüfung des Sicherheits- und Zertifizierungskonzepts eines ZDA, der qualifizierte Zeitstempeldienste bereitstellt | 1 500 Euro; | |
| 3. | Prüfung der Änderung des Sicherheits- und Zertifizierungskonzepts (§ 6 Abs. 2 SigG) | ||
| a) ohne sicherheitsrelevante Änderungen | 700 Euro; | ||
| b) mit sicherheitsrelevanten Änderungen | 3 000 Euro; | ||
| 4. | freiwillige Akkreditierung (§ 17 SigG), sofern diese nicht im Zuge der Prüfung nach Z 1 erfolgt | 4 500 Euro; | |
| 5. | regelmäßige Prüfung der Umsetzung der Angaben im Sicherheits- und Zertifizierungskonzept pro Jahr | 3 000 Euro; | |
| 6. | regelmäßige Prüfung eines ZDA, der qualifizierte Zeitstempeldienste bereitstellt pro Jahr | 1 500 Euro; | |
| 7. | anlassbezogene Prüfung, die wegen eines erheblichen Verstoßes gegen das SigG oder der auf seiner Grundlage ergangenen Verordnungen oder wegen der Unterlassung der Anzeige sicherheitsrelevanter Veränderungen zu Aufsichtsmaßnahmen nach Z 8 geführt hat (§ 14 SigG) | 4 500 Euro; | |
| 8. | in Bescheidform ergehende Aufsichtsmaßnahmen (§ 14 SigG) | ||
| a) Erteilung von Auflagen aufgrund sicherheitsrelevanter Mängel zusätzlich zu Z 5 | 700 Euro; | ||
| b) Untersagung der weiteren Ausübung der Tätigkeit als ZDA zusätzlich zu Z 5 | 700 Euro; | ||
| 9. | Weiterführung eines Widerrufsdienstes durch die Aufsichtsstelle (§ 12 und § 14 Abs. 5 SigG) pro Jahr und Zertifikat, das im Widerrufsdienst geführt wird | 1 Euro, | |
| jedoch insgesamt pro Jahr nicht mehr als | 5 000 Euro; | ||
| 10. | Führung der Verzeichnisse bei der Aufsichtsstelle (§ 13 Abs. 3 und § 17 Abs. 1 SigG): | ||
| pro aufgenommenen ZDA und Jahr | 300 Euro; | ||
| 11. | Beurteilung der Gleichwertigkeit von Prüfberichten einer staatlich anerkannten Stelle eines Drittstaates (§ 24 Abs. 3 SigG) | 4 500 Euro. | |
(2) Die Gebühren sind von der Aufsichtsstelle mit Bescheid vorzuschreiben.
(3) Wenn sich die Aufsichtsstelle bei der Aufsicht einer
Bestätigungsstelle oder
nichtamtlicher Personen oder Einrichtungen als Sachverständiger bedient,
(4) Von den Gebühren nach Abs. 1 Z 1 bis 6 sowie 10 sind der Bund, die Länder, Gemeindeverbände und Gemeinden, sonstige Körperschaften des öffentlichen Rechts sowie die Träger der Sozialversicherung befreit.
(5) Zur Finanzierung der notwendigen Kosten der Aufsichtsstelle und der RTR-GmbH, die nicht durch Gebühreneinahmen gemäß Abs. 1 abgedeckt sind, ist der RTR-GmbH aus dem Bundeshaushalt jährlich per 30. Jänner ein Kostenersatz in der Höhe von 90 000 Euro zu leisten. Sofern sich die Anzahl der zu beaufsichtigenden ZDA nach dem Inkrafttreten dieser Verordnung erhöht, sind die Kosten für dadurch notwendige zusätzliche Tätigkeiten der Aufsichtsstelle und der RTR-GmbH, die nicht durch Gebühreneinahmen gemäß Abs. 1 abgedeckt sind, bis zu einem Betrag von zusätzlich jährlich 60 000 Euro zu ersetzen. Die RTR-GmbH hat dem Bundeskanzler jährlich bis zum 30. April des Folgejahres über die Verwendung dieser Mittel zu berichten und einen Rechnungsabschluss vorzulegen.
Finanzielle Ausstattung der ZDA
§ 2. (1) Die für die Ausübung der Tätigkeit als ZDA regelmäßig zur Verfügung stehenden Finanzmittel sind der Aufsichtsstelle mit Anzeige der Aufnahme der Tätigkeit nach § 6 Abs. 2 SigG bekannt zu geben. Gleichzeitig ist ihr nachzuweisen, dass eine Haftpflichtversicherung mit einer Mindestversicherungssumme von 700 000 Euro, die zumindest drei Versicherungsfälle im Jahr deckt, abgeschlossen worden ist. ZDA haben ein Mindestkapital in Höhe von 300 000 Euro in Form von Eigenmitteln im Sinn des § 224 Abs. 3A und B UGB aufzuweisen oder ein eingezahltes Nennkapital im Sinn des § 224 Abs. 3A UGB in der Höhe von 300 000 Euro nachzuweisen. Im zweiten Fall ist der Jahresabschluss von einem Abschlussprüfer zu prüfen. Unter Nennkapital im Sinn des § 224 Abs. 3A UGB ist das eingezahlte Kapital im Sinn des § 23 Abs. 3 BWG zu verstehen.
(2) Von den Verpflichtungen nach Abs. 1 sind der Bund, die Länder, Gemeindeverbände und Gemeinden, sonstige Körperschaften des öffentlichen Rechts sowie die Träger der Sozialversicherung befreit.
Technische Sicherheitserfordernisse für Signaturerstellungsdaten und –einheiten bei qualifizierten Signaturen
§ 3. (1) Die technischen Komponenten und Verfahren zur Verarbeitung der Signaturerstellungsdaten müssen in Hinblick auf das Erfordernis der Prüfung nach § 18 Abs. 5 SigG den Anforderungen des § 6 entsprechen.
(2) Es dürfen nur jene Algorithmen und Parameter eingesetzt werden, die die Anforderungen des Anhangs erfüllen. Die Rahmenbedingungen für die technische Sicherheit sind so zu wählen, dass sie dem jeweiligen Stand der Technik entsprechen.
(3) Die Signaturerstellungsdaten können auf mehrere getrennte Komponenten verteilt sein. Die Sicherheitsanforderungen müssen in diesem Fall durch die Signaturerstellungseinheit als Gesamtheit der Komponenten erfüllt sein.
Technische Sicherheitserfordernisse für die Systemumgebung der Signaturerstellungseinheit bei qualifizierten Signaturen
§ 4. (1) Die Spezifikation eines Formats für zu signierende Daten muss allgemein verfügbar sein und sicherstellen, dass die signierten Daten sowohl bei der Signaturerstellung als auch bei der Signaturprüfung zweifelsfrei und mit gleichem Ergebnis darstellbar sind. Können in einem Format dynamische Änderungen codiert werden, so dürfen jene Elemente, die dynamische Änderungen hervorrufen können, nicht verwendet werden.
(2) Die Signaturfunktion in der Signaturerstellungseinheit des Signators darf nur nach Verwendung von Autorisierungscodes (zB PIN-Eingabe, Fingerabdruck) auslösbar sein. Die eingegebenen Autorisierungscodes dürfen von den verwendeten Systemelementen nicht über den Signaturvorgang hinaus im Speicher verbleiben. Eingabeerleichterungen bei wiederholter Eingabe von Autorisierungscodes müssen ausgeschlossen sein. Das unbefugte Erfahren der Autorisierungscodes muss durch dessen Gestaltung und durch Sperrmechanismen wirksam ausgeschlossen sein.
Signaturen für qualifizierte Zertifikate
§ 5. (1) Bei der Ausstellung qualifizierter Zertifikate müssen die vom ZDA verwendeten Signaturerstellungsdaten in einer nach § 6 geprüften Signaturerstellungseinheit erzeugt sein und dürfen außerhalb dieser nicht zur Verfügung stehen. Die verwendeten Algorithmen und Parameter müssen dem Anhang entsprechen.
(2) Der ZDA muss qualifizierte elektronische Signaturen, die auf der Basis eines von ihm ausgestellten qualifizierten Zertifikats erstellt wurden, prüfen können. Die Verfahren und Algorithmen zur Signaturprüfung und Signaturerstellung sind gemeinsam zu dokumentieren.
(3) Der ZDA hat geeignete Vorkehrungen zu treffen, die die Signaturerstellungsdaten sowie die zum Erstellen der Zertifikate und die zum Abrufbarhalten der Verzeichnis- und Widerrufsdienste eingesetzten technischen Komponenten vor Kompromittierung und unbefugtem Zugriff schützen. Unbefugte Zugriffe müssen erkennbar sein.
Abkürzung
SigV 2008
Prüfung der technischen Komponenten und Verfahren
§ 6. (1) Bei der Prüfung der technischen Komponenten und Verfahren für die Erzeugung qualifizierter Signaturen sind Sicherheitsvorgaben anzuwenden, die von einer Bestätigungsstelle (§ 19 SigG) als geeignet anerkannt sind. Es können insbesondere Schutzprofile (Protection Profiles) herangezogen werden, die nach den „Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik (Common Criteria for Information Security Evaluation – ISO/IEC 15408)“ oder nach den „Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (Information Technology Security Evaluation Criteria – ITSEC)“ erstellt wurden. Das Gleiche gilt für die Prüfung von vertrauenswürdigen Systemen, Produkten und Verfahren, die für die Erstellung von qualifizierten Zertifikaten, für die Speicherung von Signaturerstellungsdaten für qualifizierte Zertifikate oder für qualifizierte Zeitstempeldienste eingesetzt werden.
(2) Bei den Prüfungen nach Abs. 1 sind insbesondere Referenznummern zu beachten, die im Amtsblatt der Europäischen Gemeinschaften nach Art. 3 Abs. 5 der Signaturrichtlinie 1999/93/EG für sichere Signaturerstellungseinheiten (Secure Signature-Creation Devices – SSCD) oder vertrauenswürdige Systeme oder Produkte des ZDA veröffentlicht wurden.
(3) Wenn technische Komponenten und Verfahren in einer kontrollierten Umgebung eingesetzt werden, können Sicherheitsanforderungen, die nach Abs. 1 technisch sichergestellt werden müssen, auch organisatorisch durch Einsatz qualifizierten und vertrauenswürdigen Personals oder technisch-organisatorisch durch Einsatz geeigneter Zugriffs- und Zutrittskontrollmaßnahmen erfüllt werden. Die Erfüllung dieser Sicherheitsanforderungen ist durch eine Bestätigungsstelle zu prüfen.
(4) In der Bescheinigung der Bestätigungsstelle über die Erfüllung der Sicherheitsanforderungen an sichere Signaturerstellungseinheiten (§ 18 Abs. 5 SigG) ist anzugeben, unter welchen Einsatzbedingungen und bis zu welchem Zeitpunkt sie gilt. Ausfertigungen der Bescheinigung und allfällige Prüfberichte sind der Aufsichtsstelle zu übermitteln.
(5) Die in den Abs. 1 bis 4 zitierten Unterlagen mit technischem Inhalt sind über die Internetseite der Aufsichtsstelle jeweils elektronisch abrufbar zu machen.
Erbringung von Signatur- und Zertifizierungsdiensten für qualifizierte Zertifikate und qualifizierte elektronische Signaturen
§ 7. (1) Werden die Einrichtungen eines ZDA organisatorisch oder technisch getrennt geführt, so ist durch Sicherheitsmaßnahmen sicherzustellen, dass die Übertragung der Daten zwischen den Teileinrichtungen nicht zu einer Kompromittierung der Signatur- oder Zertifizierungsdienste führt.
(2) Die technischen Einrichtungen eines ZDA sind so zu gestalten, dass deren Funktionen und Anwendungen, die zu den bereitgestellten Signatur- und Zertifizierungsdiensten gehören, von anderen Funktionen und Anwendungen getrennt sind und eine Beeinflussung ausgeschlossen ist. Dies muss sowohl für den regulären Betrieb, für besondere Betriebssituationen und außerhalb des Betriebs sichergestellt sein. Besondere Betriebssituationen wie beispielweise eine Wartung sind zu dokumentieren.
(3) Ein ZDA hat geeignete Vorkehrungen zu treffen, die seine Einrichtungen zur Erbringung von Signatur- und Zertifizierungsdiensten vor unbefugtem Zutritt schützen.
(4) Ein ZDA darf im Rahmen der bereitgestellten Signatur- und Zertifizierungsdienste nicht Personen beschäftigen, die wegen einer mit Vorsatz begangenen strafbaren Handlung zu einer Freiheitsstrafe von mehr als einem Jahr oder wegen strafbarer Handlungen gegen das Vermögen oder gegen die Zuverlässigkeit von Urkunden und Beweiszeichen zu einer Freiheitsstrafe von mehr als drei Monaten verurteilt wurden. Verurteilungen, die nach den Bestimmungen des Tilgungsgesetzes 1972 getilgt sind oder der beschränkten Auskunft unterliegen, bleiben außer Betracht.
(5) Das technische Personal eines ZDA muss über ausreichendes Fachwissen in folgenden Bereichen verfügen:
allgemeine EDV-Ausbildung,
Sicherheitstechnologie, Kryptographie, elektronische Signatur und Public Key Infrastructure,
technische Normen, insbesondere Evaluierungsnormen, sowie
Hard- und Software.
Absolvierung einer einschlägigen Höheren Technischen Lehranstalt (HTL),
einer solchen Fachhochschule,
eines einschlägigen Studiums, oder durch
eine fachlich einschlägige Tätigkeit in der Dauer von zumindest drei Jahren
(6) Werden die Signaturerstellungsdaten beim ZDA oder bei der Produktion der Signaturerstellungseinheit erzeugt, so muss vom ZDA sichergestellt werden, dass die Signaturerstellungsdaten nur an den Signator ausgehändigt werden. Die Möglichkeit der Verwendung der Signaturerstellungsdaten vor der Aushändigung an den Signator muss ausgeschlossen sein. In jedem Fall hat sich der ZDA darüber zu vergewissern, dass die Signaturerstellungsdaten des Signators und die Signaturprüfdaten des entsprechenden Zertifikats in komplementärer Weise anwendbar sind.
(7) Der ZDA hat den Zertifikatswerber vor Vertragsabschluss gemäß § 20 SigG schriftlich oder
unter Verwendung eines dauerhaften Datenträgers klar und allgemein verständlich zu unterrichten, wobei die Informationen über den Inhalt des Sicherheits- und Zertifizierungskonzepts jedenfalls Erläuterungen zu sämtlichen anwendbaren Angaben nach § 12 Abs. 1 und 2 zu enthalten haben.
Antrag auf Ausstellung eines qualifizierten Zertifikats
§ 8. (1) Zur Feststellung der Identität des Zertifikatswerbers geeignet sind ein
amtlicher Lichtbildausweis oder
ein Nachweis der bescheinigt, dass die Identität zumindest mit jener Verlässlichkeit geprüft wurde, wie sie bei der Zustellung zu eigenen Handen (§ 21 ZustG) einzuhalten ist.
(2) Wenn in ein qualifiziertes Zertifikat Angaben über die Vertretungsmacht für einen Dritten aufgenommen werden sollen, muss die Vertretungsmacht zuverlässig nachgewiesen sein und eine schriftliche oder mit einer qualifizierten elektronischen Signatur versehene Einwilligung des Dritten vorliegen. Dieser ist über den Inhalt des qualifizierten Zertifikats schriftlich oder unter Verwendung eines dauerhaften Datenträgers zu unterrichten und auf die Möglichkeit des Widerrufs nach § 9 Abs. 1 Z 1 SigG hinzuweisen. Eine berufsrechtliche oder sonstige Zulassung muss vor deren Aufnahme in ein qualifiziertes Zertifikat ebenfalls zuverlässig nachgewiesen sein. Untersteht der Signator im Hinblick auf eine eingetragene berufsrechtliche Qualifikation einer öffentlich-rechtlichen Berufsaufsicht, so ist die Einrichtung, die die Berufsaufsicht ausübt, über den Inhalt des qualifizierten Zertifikats schriftlich oder unter Verwendung eines dauerhaften Datenträgers zu unterrichten.
Qualifizierte Zertifikate
§ 9. (1) Stellt ein ZDA neben qualifizierten auch andere Zertifikate aus, so muss er für die Signatur der qualifizierten Zertifikate gesonderte Signaturerstellungsdaten verwenden.
(2) Die Formate für qualifizierte Zertifikate sind eindeutig und vollständig zu spezifizieren, so dass deren automatische Prüfung möglich ist.
(3) Die Gültigkeitsdauer eines qualifizierten Zertifikats darf höchstens fünf Jahre betragen.
(4) Bis zum Ablauf der Gültigkeit eines qualifizierten Zertifikats ist es zulässig, mit Ausnahme der Gültigkeitsdauer und der eindeutigen Kennung, dieselben Inhalte samt denselben Signaturprüfdaten neu zu zertifizieren und auf diese Weise ein neues Zertifikat auszustellen. In allen anderen Fällen bewirkt der Umstand, dass für Signaturzwecke ausgestellte qualifizierte Zertifikate dieselben Signaturprüfdaten, aber unterschiedliche Inhalte aufweisen, eine Kompromittierung der betroffenen Zertifikate.
(5) Ein ZDA ist berechtigt, mit Zustimmung eines anderen ZDA dessen Zertifikat oder die von diesem ausgestellten Zertifikate zu zertifizieren. Die Zertifikate, die er auf diese Weise ausstellt, dürfen keine Modifikationen aufweisen; er hat auch für die Erbringung der Verzeichnis- und Widerrufsdienste Sorge zu tragen und gegebenenfalls die Widerrufe des anderen ZDA unmittelbar nachzuvollziehen.
Verzeichnis- und Widerrufsdienste für qualifizierte Zertifikate
§ 10. (1) Der ZDA hat sicherzustellen, dass die Formate der Widerrufsdienste für deren Weiterführung durch die Aufsichtsstelle geeignet sind. Die Formate der Widerrufsdienste dürfen während der Geltungsdauer des Zertifikats nicht verändert werden. Jedenfalls müssen Widerrufsdienste die Feststellung zulassen, ob das Zertifikat zu einem bestimmten Zeitpunkt widerrufen war. Die Widerrufsdienste müssen allgemein frei zugänglich sein. Die Abfrage der Widerrufsdienste muss unentgeltlich und ohne Identifikation möglich sein.
(2) Der ZDA hat den Signatoren sowie Dritten, für die Angaben über die Vertretungsmacht des Signators in ein Zertifikat aufgenommen wurden, geeignete Kommunikationsmöglichkeiten bekannt zu geben, mit denen diese jederzeit einen unverzüglichen Widerruf des Zertifikats veranlassen können. Dafür muss ein Authentifizierungsverfahren vorgesehen werden. Der Widerruf eines Zertifikats muss jedenfalls auch in Papierform möglich sein.
(3) Die Verzeichnis- und Widerrufsdienste müssen vor Fälschung, Verfälschung und unbefugtem Abruf ausreichend geschützt sein. Es muss sichergestellt sein, dass nur befugte Personen Eintragungen und Veränderungen in den Verzeichnissen vornehmen können. Weiters darf eine Sperre oder ein Widerruf nicht unbemerkt rückgängig gemacht werden können.
(4) Die Aktualisierung der Widerrufsdienste muss an Werktagen, ausgenommen Samstag, von 9 bis 17 Uhr spätestens innerhalb von drei Stunden ab Bekanntwerden des Widerrufsgrundes erfolgen. Außerhalb dieser Zeit hat der ZDA jedenfalls dafür Sorge zu tragen, dass ein Verlangen auf Widerruf eines qualifizierten Zertifikats jederzeit automatisiert entgegengenommen wird und die Sperre spätestens innerhalb von sechs Stunden auslöst.
⋯
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.