gepubliceerd op 17 januari 2003
Koninklijk besluit houdende organisatie van de controle en de accreditatie van de certificatiedienstverleners die gekwalificeerde certificaten afleveren
6 DECEMBER 2002. - Koninklijk besluit houdende organisatie van de controle en de accreditatie van de certificatiedienstverleners die gekwalificeerde certificaten afleveren
ALBERT II, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet.
Gelet op artikel 108 van de Grondwet;
Gelet op de wet van 9 juli 2001 houdende vaststelling van bepaalde regels in verband met het juridisch kader voor elektronische handtekeningen en certificatiediensten, inzonderheid op artikel 17, § 2, en artikel 20;
Overwegende dat het Europees Parlement en de Raad op 13 december 1999 de Richtlijn 1999/93/EG hebben aangenomen inzake een gemeenschappelijk kader voor elektronische handtekeningen;
Gelet op het advies van de Inspecteur van Financiën, gegeven op 23 oktober 2001;
Gelet op de akkoordbevinding van de Minister van Begroting van 1 februari 2002;
Gelet op de beraadslaging van de Ministerraad op 19 april 2002, betreffende de adviesaanvraag binnen een termijn van één maand;
Gelet op het advies 33.692/1 van de Raad van State, gegeven op 26 september 2002, met toepassing van artikel 84, eerste lid, 1°, van de gecoördineerde wetten op de Raad van State;
Op de voordracht van Onze Minister van Economie, en op het advies van Onze in Raad vergaderde Ministers, Hebben Wij besloten en besluiten Wij : HOOFDSTUK I. - Voorafgaande bepalingen
Artikel 1.Voor de toepassing van dit besluit, wordt verstaan onder : 1° "de wet" : "de wet van 9 juli 2001 houdende vaststelling van bepaalde regels in verband met het juridisch kader voor elektronische handtekeningen en certificatiediensten";2° "verklaring van certificatiepraktijk" : "een document dat de praktijken beschrijft van een certificatiedienstverlener bij het beheer van de diensten die hij aan het publiek aanbiedt, meer bepaald het afgeven en het beheer van de certificaten, en het in stand houden van de infrastructuur met openbare sleutel";3° "bevoegde instantie" : "instantie die op basis van wettelijke of reglementaire bepalingen door de federale Staat, de Gewesten of Gemeenschappen, belast wordt met het deelnemen aan het ontwerpen of de uitvoering van het « e-government »";4° "audit" : "onderzoek van de praktijken van een certificatiedienstverlener om zijn conformiteit met de vastgelegde accreditatiecriteria te evalueren";5° "auditor" : "persoon die de voor een audit vereiste verrichtingen geheel of gedeeltelijk uitvoert";6° "accreditatiecriteria" : "het geheel van de eisen opgesomd in artikel 17, § 1, van de wet, alsook in voorkomend geval, van de bijkomende eisen die nodig zijn voor de aanvullende diensten die verzekerd worden door of onder de verantwoordelijkheid van de certificatiedienstverlener (bijvoorbeeld tijdsaanduiding)";7° "referentiedocument voor accreditatie" : "referentiedocument dat de technische middelen weergeeft die kunnen aangewend worden om te voldoen aan de accreditatiecriteria";8° "richtlijnen betreffende de accreditatie" : "referentiedocumenten gebruikt tijdens de audits voor de bepaling van de wijze waarop de conformiteit met de accreditatiecriteria kan aangetoond worden". HOOFDSTUK II. - "BE.SIGN"-accreditatiesysteem en procedures
Art. 2.Een accreditatiesysteem van de certificatiedienstverleners wordt uitgewerkt op basis van de hierna vermelde criteria en procedures. Dit accreditatiesysteem wordt "BE.SIGN" genoemd.
Art. 3.§ 1. De aanvraag tot het bekomen of het verlengen van een "BE.SIGN"-accreditatie moet ingediend worden bij het Bestuur Kwaliteit en Veiligheid, Afdeling Accreditatie, Dienst Elektronische Handtekening van het Ministerie van Economische Zaken per gewone post, via de internet-site http://mineco.fgov.be of per elektronische post aan BE.SIGN@mineco.fgov.be. § 2. De aanvragen bedoeld in de §§ 1 en 2 worden opgemaakt op een door het Bestuur opgesteld formulier dat ook in elektronische vorm beschikbaar is. De aanvraag moet gedateerd en ondertekend zijn, ongeacht het om een handgeschreven of een elektronische aanvraag gaat.
In het geval van een elektronische handtekening moet deze handtekening beantwoorden aan de eisen van artikel 4, § 4 van de wet.
Als bijlage bij zijn accreditatieaanvraag deelt de certificatiedienstverlener zijn verklaring van certificatiepraktijk mee. § 3. Binnen tien dagen na ontvangst van de aanvraag stelt het Bestuur een bewijs van ontvangst op en informeert het de certificatiedienstverlener over de te volgen procedures. Meer bepaald, deelt het Bestuur de laatste bijwerkingen mee van de volgende lijsten, naargelang de behoeften : 1° de entiteiten gedefinieerd in artikel 2, 13° van de wet;2° de bevoegde instellingen voor de evaluatie van de veilige middelen voor het aanmaken van een elektronische handtekening ten opzichte van de eisen van bijlage III van de wet, zoals bepaald in artikel 7, § 2 van de wet.
Art. 4.§ 1. Indien de certificatiedienstverlener nog niet beschikt over het conformiteitsattest uitgegeven door een entiteit die beantwoordt aan artikel 2, 13° van de wet, heeft hij de vrije keuze, tussen de entiteiten, van degene die hem zal moeten evalueren en deelt die dan mee aan het Bestuur. De aangewezen entiteit moet financieel en administratief onafhankelijk zijn van de door haar geëvalueerde certificatiedienstverlener en moet waarborgen krijgen met betrekking tot de betaling van haar evaluatieprestaties en dit ongeacht het resultaat ervan; ze mag hem in geen enkel geval andere diensten verlenen. Een kostenraming van deze prestaties bepaalt de noodzakelijke en toereikende garantie; deze garantie kan bijvoorbeeld verleend worden onder de vorm van een voorafgaandelijke betaling, een bankgarantie, een op een rekening geblokkeerde som of elk ander middel aanvaard door de entiteit.
De entiteit voert de evaluatieaudit zo spoedig mogelijk uit en uiterlijk binnen zes maanden te rekenen vanaf haar aanwijzing door de certificatiedienstverlener. § 2. Het Bestuur kan als waarnemer deelnemen aan de evaluatieaudits van de certificatiedienstverleners, in nauwe samenwerking met de entiteiten. § 3. De entiteit evalueert de certificatiedienstverleners en bezorgt een auditverslag en -attest aan het Bestuur. § 4. Indien alle elementen van het initiële auditverslag positief zijn, dan verleent het Bestuur een "BE.SIGN"- accreditatie voor een periode van 3 jaar.
In geval van twijfel kan het Bestuur een bijkomende audit aanvragen.
Deze auditkosten zijn ten laste van de certificatiedienstverleners.
De accreditatie kan verlengd worden op basis van positieve auditverslagen. Deze laatste worden verlengingsaudits genoemd en zijn even volledig als de initiële audits; ze worden uitgevoerd binnen de drie maanden voor de vervaldatum van de accreditatie. § 5. Wanneer, wegens omstandigheden onafhankelijk van de wil van hetzij het Bestuur, hetzij de entiteiten, hetzij de geaccrediteerde certificatiedienstverleners, de verlengingsprocedure niet kan worden afgesloten voor de uiterste geldigheidsdatum van de "BE.SIGN"-accreditatie, stuurt het Bestuur een met redenen omkleed advies tot tijdelijke verlenging van de geldigheidsduur van de accreditatie voor een maximumperiode van zes maanden. De tijdelijke verlenging eindigt zodra de normale procedure ten einde is gekomen en wijzigt de normale kalender van de procedure niet. § 6. Toezicht op de geaccrediteerde certificatiedienstverleners wordt georganiseerd door middel van periodieke audits gepland door de entiteit. De certificatiedienstverlener informeert het Bestuur over de planning van de periodieke audits en het resultaat ervan.
Bovendien kunnen bijkomende audits nodig zijn : 1° voor de controle van correctieve maatregelen vereist door een auditor : - bij een toezichtsaudit of - bij een controle zoals voorzien in artikel 20 van de wet;2° voor de evaluatie van de door de certificatiedienstverlener gebruikte systemen of van de elementen van zijn beheer, indien belangrijke wijzigingen betekend werden zoals voorzien in § 8 van dit artikel. De bijkomende audits zijn ten laste van de certificatiedienstverlener.
De bijkomende audits brengen geen wijziging van de normale toezichtskalender met zich mee. § 7. Alle audits worden uitgevoerd onder de verantwoordelijkheid van de aangewezen entiteiten.
De auditkosten zijn ten laste van de certificatiedienstverleners. § 8. De certificatiedienstverleners zijn verplicht tot mededeling van alle veranderingen in het systeem of het beheer waarvan de aard een positieve of negatieve invloed kan hebben op het veiligheids- en betrouwbaarheidsniveau dat voortvloeit uit het juiste antwoord op de eisen vermeld in de bijlagen van de wet. § 9. Een certificatiedienstverlener kan op elk ogenblik vragen om zijn "BE.SIGN"- accreditatie op te schorten of definitief er van af te zien. § 10. Wanneer blijkt dat, ten gevolge van toezichtsaudits, de accreditatievoorwaarden niet meer vervuld zijn, past het Bestuur de maatregelen toe zoals bepaald in artikel 20, §§ 3, 4 en 5 van de wet, en stelt de certificatiedienstverlener in gebreke tot wanneer deze opnieuw in overeenstemming met de criteria is. De door het Bestuur vastgelegde regularisatietermijn bedraagt ten hoogste 3 maanden, tenzij deze verlengd wordt wegens een beroep van de certificatiedienstverlener, zoals bepaald in artikel 6, § 4 van dit besluit. HOOFDSTUK III. - Het Technisch Comité : samenstelling en bevoegdheden
Art. 5.§ 1. Een Technisch Comité wordt opgericht bij het Ministerie van Economische Zaken en is samengesteld als volgt : 1° een vertegenwoordiger van het Ministerie van Economische Zaken, die het voorzitterschap ervan waarneemt;2° een vertegenwoordiger van elke bevoegde instantie zoals bedoeld in artikel 1, 3°; Kunnen bovendien vertegenwoordigers voorstellen : 1° de certificatiedienstverleners, met een maximum van drie vertegenwoordigers;2° de meest representatieve organisaties van de betrokken ondernemingen, met een maximum van drie vertegenwoordigers;3° het geheel van de meest representatieve verbruikersorganisaties, met een maximum van drie vertegenwoordigers. § 2. De leden van het Technisch Comité worden aangewezen op basis van hun technische bevoegdheid inzake accreditatie van certificatiedienstverleners. Ze worden benoemd door de Minister bevoegd voor Economische Zaken, op de voordracht van de betrokken instanties.
Voor ieder effectief lid kan een plaatsvervanger worden aangewezen. § 3. Het permanent secretariaat van het Technisch Comité wordt verzekerd door het Bestuur. § 4. Het Technisch Comité stelt zijn huishoudelijk reglement vast en rapporteert minstens eenmaal per jaar over zijn activiteiten aan de Minister bevoegd voor Economische Zaken. § 5. Het Technisch Comité is onder meer belast met : 1° de uitwerking en de goedkeuring van het referentiedocument voor accreditatie en de richtlijnen betreffende de accreditatie;2° de goedkeuring van de lijst van de normatieve documenten van toepassing inzake elektronische handtekening, voor de accreditatie van de certificatiedienstverleners;3° de goedkeuring en de controle van de lijst van entiteiten;4° het toezien op het onderzoek van de beroepen en de klachten zoals bedoeld in artikel 6, § 1;de leden van het Technisch Comité moeten zich onthouden wanneer de instantie die zij vertegenwoordigen of zijzelf rechtstreeks betrokken zijn bij een klacht of een beroep; 5° de coördinatie van de geleverde inspanningen met het oog op een internationale erkenning van het "BE.SIGN"-accreditatiesysteem. HOOFDSTUK IV. - Beroepen en klachten
Art. 6.§ 1. Het Technisch Comité, met uitzondering van de vertegenwoordigers van de certificatiedienstverleners, treedt op als een Kamer van Beroep die als opdracht heeft te ontvangen en te onderzoeken : 1° elk beroep van een geaccrediteerde certificatiedienstverlener, wanneer het Bestuur overweegt om een "BE.SIGN"-accreditatie in te trekken; 2° elk beroep van een niet geaccrediteerde certificatiedienstverlener die in gebreke werd gesteld tijdens een controle zoals voorzien in artikel 7 van dit besluit;3° elke klacht vanwege een certificatiedienstverlener, een bevoegde instantie of om het even welke andere betrokken persoon aangaande de uitvoering van de procedures van accreditatie of controle, de verwijzing naar het statuut van geaccrediteerde certificatiedienstverlener of de werking van een certificatiedienstverlener. § 2. De beroepen en klachten bedoeld in artikel 6, § 1, moeten met redenen omkleed zijn en per aangetekende brief of elektronisch equivalent opgestuurd worden naar de Kamer van Beroep.
Ieder beroep aangaande een beslissing van het Bestuur moet ingediend worden binnen tien dagen volgend op de notificatie van de beslissing. § 3. De Kamer van Beroep verhoort de verzoeker of zijn vertegenwoordiger en, in voorkomend geval, de leden van een betrokken auditploeg, binnen zestig dagen te rekenen van de dag van ontvangst van het beroep of van de klacht.
De Kamer van Beroep laat zich alle stukken bezorgen die ze nuttig acht voor het onderzoek van het dossier. Ze mag het advies van experts inwinnen.
De Kamer van Beroep betekent haar advies aan de betrokken partijen, bij brief of elektronisch equivalent, binnen tien dagen nadat zij haar advies gegeven heeft. § 4. In de uitzonderlijke gevallen waarin het advies van de Kamer van Beroep niet binnen de door het Bestuur vastgelegde regularisatietermijn, vermeld in artikel 4, § 10, zou kunnen gegeven worden, wordt deze termijn redelijkerwijze verlengd door het Bestuur om de certificatiedienstverlener de mogelijkheid te bieden om de nodige correctieve maatregelen te nemen welke rekening houden met dit advies. HOOFDSTUK V. - Controle
Art. 7.§ 1. Het Bestuur mag, op elk moment, het initiatief nemen om onverwacht een controle uit te voeren bij een certificatiedienstverlener die gekwalificeerde certificaten aflevert. § 2. Het Bestuur mag een beroep doen op de diensten van een of meerdere experts om zich te laten bijstaan in zijn controleopdracht.
De aangewezen experts moeten financieel en administratief onafhankelijk zijn ten opzichte van de certificatiedienstverleners. § 3. Het Bestuur mag op elk ogenblik aan de certificatiedienstverleners vragen om hun "verklaring van certificatiepraktijk" voor te leggen.
De antwoorden moeten binnen een termijn van twintig dagen op het Bestuur toekomen. § 4. De uitgaven in verband met de controles zijn ten laste van het Ministerie van Economische Zaken.
De hiertoe vereiste budgettaire middelen worden jaarlijks op de algemene begroting van de uitgaven ingeschreven.
Art. 8.Onze Minister van Economische Zaken is belast met de uitvoering van dit besluit.
Gegeven te Brussel, 6 december 2002.
ALBERT Van Koningswege : De Minister van Economie, Ch. PICQUE