Národný bezpečnostný úrad ako ústredný orgánom štátnej správy pre elektronický podpis (ďalej len „úrad“) v zmysle § 24 ods. 8 zákona NR SR č. 215/2002 Z. z. o elektronickom podpise a zmene a doplnení ďalších zákonov v znení neskorších predpisov (ďalej len „zákon“) posudzuje a overuje súlad elektronickej podateľne s požiadavkami stanovenými právnymi predpismi. Požiadavky na bezpečnosť a funkčnosť e-podateľne vychádzajú priamo zo zákona a príslušnej vyhlášky Národného bezpečnostného úradu č. 136/2009 Z. z o spôsobe a postupe používania elektronického podpisu v obchodnom a administratívnom styku (ďalej len „vyhláška“).
Cieľom tohto dokumentu je stanoviť metodický postup pri posúdení e-podateľne ako technického zariadenia (súbor hardvérových a softvérových prvkov) v automatickom režime, ktoré v požadovanej konfigurácii s organizačnými opatreniami, je schopné najmä prijímať, odosielať a potvrdzovať prijatie elektronických dokumentov, elektronických dokumentov podpísaných elektronickým podpisom a elektronických dokumentov podpísaných zaručeným elektronickým podpisom.
Použité definície a skratky
Elektronická podateľňa (ďalej len „e-podateľňa“) - technické zariadenie (súbor hardvérových a softvérových prvkov) v automatickom režime, ktoré v požadovanej konfigurácii s organizačnými opatreniami vykonáva činnosti tak, ako ich definuje vyhláška, najmä prijíma, odosiela a potvrdzuje prijatie elektronických dokumentov, elektronických dokumentov podpísaných elektronickým podpisom a elektronických dokumentov podpísaných zaručeným elektronickým podpisom.
Žiadateľ o posúdenie súladu - výrobca, zriaďovateľ alebo prevádzkovateľ e-podateľne. Pre posúdenie súladu musí žiadateľ vykonať nasledovné úkony:
- podať žiadosť o posúdenie súladu na určenom tlačive, ktoré je uverejnené na internetovej stránke úradu,
- dodať sprievodnú technickú dokumentáciu,
- dodať samotné SW riešenie e-podateľne.
Úrad vykoná posúdenie súladu e-podateľne s požiadavkami stanovenými právnymi predpismi v zmysle zverejnenej metodiky úradu „Metodika posúdenia elektronickej podateľne pre administratívny styk“ (pdf, 75.2 kB).
1. Podanie žiadosti
Proces posúdenia súlade e-podateľne s požadavkami stanovenými právnymi predpismi úrad vykonáva na základe žiadosti o posúdenie elektronickej podateľne (rtf, 142.5 kB).
Žiadosť o posúdenie súladu e-podateľne musí obsahovať:
1. identifikačné údaje žiadateľa,
2. výpis z obchodného registra, nie starší ako 3 mesiace (resp. živnostenský list),
3. názov e-podateľne,
4. verziu e-podateľne,
5. určenie e-podateľne,
6. meno/názov hlavného výrobcu e-podateľne,
7. technickú dokumentáciu e-podateľne
- návod na obsluhu,
- všeobecný popis e-podateľne,
- popis základnej funkcionality e-podateľne,
- podmienky prevádzky e-podateľne,
- prevádzkové platformy e-podateľne,
- podporované štandardy, normy a protokoly,
- zoznam, parametre a vlastnosti kryptografických funkcií,
8. bezpečnostné certifikáty e-podateľne, certifikáty kompatibility e-podateľne, záverečná správa auditu (ak existujú)
- prehlásenie výrobcu o súlade s požiadavkami stanovenými právnymi predpismi.
Doporučené obsahové naplnenie jednotlivých príloh žiadosti o posúdenie e-podateľne obsahuje nasledujúci komentár (pdf, 25.7 kB).
Prílohy žiadosti v časti 1. môžu byť dodané v papierovej alebo elektronickej forme. V prípade dodania príloh v elektronickej forme musia byť súbory v schválených formátoch (napríklad .pdf, .rtf) a musí byť k nim dodaný a podpísaný sprievodný list s hash odtlačkami (SHA1 alebo vyššími hashovacími algoritmami) jednotlivých súborov. Všetka dokumentácia musí byť v slovenskom jazyku alebo musí byť pripojený jej úradne overený preklad do slovenského jazyka (s výnimkou českého jazyka).
Existencia bezpečnostných certifikátov e-podateľne zo skúšobných laboratórií, ktoré sú akreditované úradom uznanou národnou akreditačnou inštitúciou alebo certifikátov kompatibility e-podateľne, prípadne záverečná správa vykonaného auditu môžu prispieť k skráteniu celého procesu.
2. Zapožičanie zariadenia
K žiadosti je nutné pripojiť samotný produkt e-podateľne (SW riešenie) s podporným SW. Produkt musí byť vo forme pripravenej na inštaláciu, s doložením hash odtlačkov jednotlivých modulov. (Ak nie je možné zapožičať produkt pre inštaláciu a testovanie na NBÚ, musí byť súčasťou procesu posudzovania overenie funkčnosti predmetného produktu e-podateľne u žiadateľa.)
3. Správny poplatok
V zmysle § 24 ods. 15 zákona podanie žiadosti o posúdenie súladu e- podateľne podlieha správnemu poplatku. Výška poplatku je stanovená zákonom Národnej rady Slovenskej republiky č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov. Uvedený poplatok v stanovenej výške je potrebné zaplatiť pri podaní žiadosti.
4. Posúdenie žiadosti
NBÚ formálne preverí doručenú žiadosť z hľadiska náležitosti podľa bodu (1). V prípade, že žiadosť uvedené náležitosti spĺňa, potvrdí príjem žiadosti žiadateľovi a postúpi ju na sekciu informačnej bezpečnosti a elektronického podpisu (ďalej len „SIBEP“), ktorá vykonáva proces posúdenia súladu.
SIBEP posúdi obsah a úplnosť žiadosti, jej zhodu s dodaným produktom, rozhodne o začatí procesu posúdenia a stanoví plán. Žiadosť sa považuje za úplnú, ak obsahuje všetky zákonom požadované náležitosti v zmysle § 24 ods. 11. Ak žiadosť nie je úplná, úrad vyzve žiadateľa aby ju najneskôr do 15 pracovných dní doplnil. Ak žiadateľ žiadosť v tomto termíne nedoplní úrad konanie v zmysle zákona zastaví.
5. Doplnenie žiadosti
Ak žiadosť nespĺňa všetky požiadavky podľa bodu 1. alebo má iný nedostatok, prípadne pri procese posúdenia súladu vznikne nutnosť doplniť niektoré údaje, úrad písomne vyzve žiadateľa o doplnenie požadovaných údajov alebo odstránenie nedostatkov do 15 pracovných dní. Ak žiadateľ žiadosť v tomto termíne nedoplní úrad konanie v zmysle zákona zastaví.
6. Zastavenie konania
Konanie o posúdení súladu bude zastavené, ak nastal niektorý z dôvodov zastavenia konania, ktorý je taxatívne vymenovaný v § 30 zákona č. 71/1967 Zb. o správnom konaní (Správny poriadok) v znení neskorších predpisov.
Pri opätovnom podaní žiadosti o posúdenie je žiadateľ povinný splniť všetky náležitosti a postupy súvisiace s procesom posúdenia súladu.
7. Proces posúdenia súladu
Pri posúdení súladu e-podateľne s požiadavkami stanovenými právnymi predpismi sa postupuje v nasledovných krokoch:
- posúdenie sprievodnej technickej dokumentácie,
- posúdenie funkcionality e-podateľne,
- posúdenie certifikátov produktov pre ZEP použitých v moduloch e-podateľne,
- posúdenie podmienok, ktoré je nutné dodržať pri prevádzke e-podateľne,
- posúdenie súladu e-podateľne s požiadavkami stanovenými právnymi predpismi v zmysle publikovanej metodiky NBÚ “Metodika posúdenia elektronickej podateľne pre administratívny styk”.
8. Vydanie rozhodnutia
Do 90 dní odo dňa doručenia úplnej žiadosti o posúdenie súladu elektronickej podateľne s požiadavkami stanovenými právnymi predpismi NBÚ rozhodne o súlade, resp. nesúlade e-podateľne s požiadavkami stanovenými právnymi predpismi.
8.1. V prípade kladného posúdenia všetkých náležitostí uvedených v bode (7) vydá úrad žiadateľovi rozhodnutie a osvedčenie o zhode produktu s požiadavkami stanovenými právnymi predpismi. Platnosť osvedčenia je časovo obmedzená maximálne na päť rokov. Posúdená e-podateľňa bude automaticky doplnená do zoznamu e-podateľní posúdených na zhodu publikovaného na internetovej stránke úradu.
8.2. Ak e-podateľňa nespĺňa požiadavky uvedené v bode (7), vydá úrad žiadateľovi rozhodnutie o tom, že e-podateľňa nespĺňa požiadavky stanovené právnymi predpismi.
8.3. Zariadenie (produkt e-podateľne) zapožičané pre proces posúdenia súladu je vrátené žiadateľovi.
9. Zriadenie a začatie prevádzky e-podateľne
V zmysle § 29 ods. 1 zákona č. 215/2002 Z. z. o elektronickom podpise a o zmene a doplnení niektorých zákonov v znení neskorších predpisov sú orgány verejnej moci povinné oznámiť úradu elektronickú adresu elektronickej podateľne, na ktorej prijímajú podania vo forme elektronických dokumentov podpísané elektronickým podpisom alebo elektronických dokumentov podpísaných zaručeným elektronickým podpisom.
Orgány verejnej moci, ktoré už prevádzkujú e-podateľňu musia splniť túto povinnosť do šiestich mesiacov od nadobudnutia účinnosti zákona (do 30.6.2009).
Zoznam elektronických adries zverejňuje úrad na svojej internetovej stránke.