I medfør af § 17, stk. 3 og 4, i lov Nr. 417 af 31. maj 2000 om elektroniske signaturer fastsættes:
Kapitel 1.- Indhold
§ 1.– Denne bekendtgørelse omfatter:
1) Indholdet af den rapportering som nøglecentre, der udsteder kvalificerede certifikater, skal indsende til Telestyrelsen m.v.
2) Systemrevisionens gennemførelse i nøglecentre, der udsteder kvalificerede certifikater.
§ 2.– Ved systemrevision forstås revision af:
1) generelle edb-kontroller i virksomheden,
2) edb-baserede brugersystemer m.v. til generering af elektroniske nøgler og nøglekomponenter samt registrering, udstedelse, verificering, opbevaring og spærring af certifikater og
3) edb-systemer til udveksling af data med andre.
Kapitel 2.- Nøglecentres rapportering til Telestyrelsen
§ 3.– Nøglecentrets årlige rapport, jf. § 17, stk. 3, i lov om elektroniske signaturer, skal indsendes til Telestyrelsen senest tre måneder efter afslutningen af nøglecentrets regnskabsår.
Stk. 2.– Rapportens tidsperiode skal følge regnskabsåret for nøglecentret.
Stk. 3.– Fristen for indsendelse af rapporten efter stk. 1 kan ikke ændres medmindre særlige grunde taler herfor.
§ 4.– De i § 17, stk. 2 og 3, i lov om elektroniske signaturer, nævnte rapporter, skal udover hvad der kræves i henhold til lovens § 17, stk. 2, indeholde oplysninger om:
1) nøglecentrets administrative og ledelsesmæssige procedurer,
2) kvalifikationer, erfaring, m.v. hos nøglecentrets personale, jf. § 5, stk. 1, Nr. 2, i lov om elektroniske signaturer,
3) de systemer og produkter, som nøglecentret anvender,
4) nøglecentrets sikkerhedsforanstaltninger og arbejdsproces i forbindelse hermed, herunder oplysninger om hvilke foranstaltninger, der gælder med hensyn til at opretholde og beskytte certifikaterne, så længe de eksisterer,
5) nøglecentrets procedurer vedrørende registrering (identitetskontrol), udstedelse af certifikater, katalog- og tilbagekaldelsestjeneste samt registrering og opbevaring af oplysninger vedrørende certifikater, herunder vedrørende identitetsoplysninger,
6) nøglecentrets økonomiske ressourcer, jf. § 5, stk. 1, Nr. 5, i lov om elektroniske signaturer og
7) nøglecentrets procedurer vedrørende indgåelse af aftaler om udstedelse af certifikater og dets oplysningsforpligtelser, jf. § 8 i lov om elektroniske signaturer.
Stk. 2.– I det omfang nøglecentret har outsourcet opgaver i relation til sin funktion som nøglecenter, jf. lov om elektroniske signaturer, til andre virksomheder eller myndigheder skal rapporterne i stk. 1 ligeledes omfatte udførelsen af disse opgaver.
Kapitel 3.- Systemrevisionens gennemførelse i nøglecentre
§ 5.– Nøglecentret skal senest en måned efter valg af systemrevisor anmelde dette til Telestyrelsen.
Stk. 2.– Nøglecentret afholder omkostningerne ved systemrevisionen.
Stk. 3.– Den valgte systemrevisor er berettiget til at kræve de oplysninger, som er nødvendige for systemrevisionen i nøglecentret. Herunder har den valgte systemrevisor adgang til ledelsesprotokollen.
Stk. 4.– Den valgte systemrevisor har altid ret til at deltage i ledelsesmøder under behandling af sager, der har betydning for systemrevisionen. Den valgte systemrevisor har pligt til at deltage i ledelsens behandling af pågældende sager, såfremt det ønskes af blot ét ledelsesmedlem.
Stk. 5.– I nøglecentre, hvor der afholdes generalforsamling, finder årsregnskabslovens bestemmelser om revisionens pligt til at besvare spørgsmål på et selskabs generalforsamling tilsvarende anvendelse for den valgte systemrevisor på selskabets generalforsamling.
§ 6.– Det påhviler den valgte systemrevisor i overensstemmelse med god revisionsskik at foretage den i § 2 nævnte systemrevision, herunder at påse, at
1) nøglecentrets systemer er i overensstemmelse med lov om elektroniske signaturer samt bestemmelser fastsat i medfør heraf,
2) sikkerheds-, kontrol- og revisionsbehov tilgodeses i tilstrækkeligt omfang ved udvikling, vedligeholdelse og drift af nøglecentrets systemer, og at
3) nøglecentrets forretningsgange såvel de edb-baserede som de manuelle er betryggende i sikkerheds- og kontrolmæssig henseende og i overensstemmelse med nøglecentrets certificeringspraksis (“CPS”).
Stk. 2.– Den valgte systemrevisor kan samarbejde med den interne revision i nøglecentret, såfremt en sådan eksisterer.
§ 7.– Den valgte systemrevisor skal løbende føre en særskilt revisionsprotokol, der skal fremlægges på ethvert ledelsesmøde. Enhver protokoltilførsel skal underskrives af ledelsen og den valgte systemrevisor.
Stk. 2.– I den valgte systemrevisors protokol skal der afgives beretning om den gennemførte systemrevision samt konklusionerne herpå. Der skal desuden redegøres for alle forhold, der har givet anledning til væsentlige bemærkninger.
Stk. 3.– I den valgte systemrevisors protokol skal det endvidere oplyses, hvorvidt denne under sit arbejde har modtaget alle de oplysninger, der er anmodet om.
Stk. 4.– Ved afslutningen af nøglecentrets regnskabsår udarbejder den valgte systemrevisor et protokollat til nøglecentrets ledelse. Protokollatet sendes til Telestyrelsen senest 3 måneder efter nøglecentrets regnskabsår .
Stk. 5.– Protokollatet skal indeholde erklæringer om, hvorvidt
1) systemrevisionen er blevet udført i overensstemmelse med god revisionsskik,
2) den valgte systemrevisor opfylder de i lovgivningen indeholdte habilitetsbetingelser,
3) den valgte systemrevisor har fået alle de oplysninger, som den valgte systemrevisor har anmodet om,
4) de anførte systemrevisionsopgaver er udført ifølge denne bekendtgørelse og
5) den samlede data-, system- og driftssikkerhed må anses for betryggende.
Kapitel 4.- Ikrafttrædelse
§ 8.– Bekendtgørelsen træder i kraft den 16. oktober 2000.
Telestyrelsen, den 5. oktober 2000
Jørgen Abild Andersen
Lars Sten Jørgensen