Про електронні довірчі послуги

1. Для доведення відповідності вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, що ними надаються, юридичні особи, фізичні особи - підприємці, які мають намір надавати електронні довірчі послуги, можуть за власний рахунок пройти процедуру оцінки відповідності у сфері електронних довірчих послуг.

2. Оцінка відповідності у сфері електронних довірчих послуг здійснюється органами з оцінки відповідності, акредитованими відповідно до законодавства у сфері акредитації.

3. Оцінка відповідності вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, які вони надають, здійснюється з урахуванням вимог законодавства щодо порядку надання і використання кваліфікованих електронних довірчих послуг, у тому числі під час надання їх банками, іншими особами, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, операторами платіжних систем та/або учасниками платіжних систем, технологічними операторами платіжних послуг, а також з урахуванням вимог законодавства у сфері захисту інформації.

4. Кваліфіковані надавачі електронних довірчих послуг, які пройшли процедуру оцінки відповідності у сфері електронних довірчих послуг та відомості про яких були внесені до Довірчого списку, повинні кожні 24 місяці за власний рахунок проходити процедуру оцінки відповідності для доведення того, що вони та електронні довірчі послуги, які ними надаються, відповідають вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, що ними надаються.

5. Про результати оцінки відповідності у сфері електронних довірчих послуг кваліфіковані надавачі електронних довірчих послуг повинні повідомити контролюючий орган шляхом надання копії документа про відповідність вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, що ними надаються, не пізніше трьох робочих днів з дня його отримання.

6. Проведення процедури оцінки відповідності у сфері електронних довірчих послуг здійснюється в порядку, затвердженому Кабінетом Міністрів України.

1. Державний нагляд (контроль) за дотриманням вимог законодавства у сфері електронних довірчих послуг здійснює контролюючий орган.

2. Заходи державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг здійснюються відповідно до Закону України "Про основні засади державного нагляду (контролю) у сфері господарської діяльності" з урахуванням особливостей, передбачених цим Законом.

3. Контролюючий орган здійснює такі планові заходи державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг:

1) перевірку кваліфікованого надавача електронних довірчих послуг (його відокремлених пунктів реєстрації) або надання запиту до органу з оцінки відповідності щодо проведення процедури оцінки відповідності кваліфікованого надавача електронних довірчих послуг за його власний рахунок для підтвердження того, що він та електронні довірчі послуги, які ним надаються, відповідають вимогам до кваліфікованих надавачів електронних довірчих послуг та послуг, що ними надаються;

2) перевірку засвідчувального центру;

3) перевірку центрального засвідчувального органу.

4. Контролюючий орган здійснює такі позапланові заходи державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг:

1) перевірку кваліфікованих надавачів електронних довірчих послуг за їхніми заявами;

2) перевірку кваліфікованих надавачів електронних довірчих послуг у разі виявлення та підтвердження недостовірності даних у поданих ними документах;

3) перевірку виконання кваліфікованими надавачами електронних довірчих послуг приписів щодо усунення порушень вимог законодавства, виданих за результатами проведення планових заходів державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг;

4) перевірку кваліфікованих надавачів електронних довірчих послуг після отримання інформації чи повідомлення про порушення вимог законодавства у сфері електронних довірчих послуг від засвідчувального центру, центрального засвідчувального органу, суду, користувачів електронних довірчих послуг або третіх осіб.

5. За результатами проведення перевірок кваліфікованих надавачів електронних довірчих послуг (їхніх відокремлених пунктів реєстрації), засвідчувального центру, центрального засвідчувального органу контролюючий орган вживає таких заходів реагування:

1) вимагає від кваліфікованих надавачів електронних довірчих послуг, засвідчувального центру, центрального засвідчувального органу усунення порушень вимог законодавства у сфері електронних довірчих послуг в установлений приписом строк;

2) приймає рішення про блокування кваліфікованих сертифікатів відкритих ключів кваліфікованого надавача електронних довірчих послуг, самопідписаного сертифіката електронної печатки засвідчувального центру, самопідписаного сертифіката електронної печатки центрального засвідчувального органу в разі, якщо під час перевірки виявлено факти компрометації особистого ключа.

Рішення про блокування кваліфікованих сертифікатів відкритих ключів кваліфікованого надавача електронних довірчих послуг, самопідписаного сертифіката електронної печатки центрального засвідчувального органу контролюючий орган надсилає центральному засвідчувальному органу в день його прийняття.

Рішення про блокування самопідписаного сертифіката електронної печатки засвідчувального центру контролюючий орган надсилає засвідчувальному центру та центральному засвідчувальному органу в день його прийняття;

3) надсилає центральному засвідчувальному органу подання про виключення кваліфікованого надавача електронних довірчих послуг з Довірчого списку в разі:

надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг без чинних документів, визначених законодавством, що підтверджують відповідність комплексної системи захисту інформації інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг та засобів захисту інформації у її складі вимогам нормативно-правових актів у сфері технічного та криптографічного захисту інформації, або документів про відповідність за результатами проходження процедури оцінки відповідності у сфері електронних довірчих послуг;

непроходження додаткової державної експертизи комплексної системи захисту інформації або процедури оцінки відповідності інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг у разі модернізації апаратного, апаратно-програмного пристрою чи програмного забезпечення, що входять до складу програмно-технічного комплексу, яка не передбачена проектною чи експлуатаційною документацією до комплексної системи захисту інформації інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг;

надання кваліфікованих електронних довірчих послуг за відсутності у кваліфікованого надавача електронних довірчих послуг поточного рахунка із спеціальним режимом використання у банку (рахунок в органі, що здійснює казначейське обслуговування бюджетних коштів) з необхідним обсягом коштів або чинного договору страхування цивільно-правової відповідальності з необхідним розміром страхової суми, що встановлені частиною третьою статті 16 цього Закону, для забезпечення відшкодування збитків, які можуть бути завдані користувачам електронних довірчих послуг або третім особам внаслідок неналежного виконання кваліфікованим надавачем електронних довірчих послуг своїх зобов’язань;

порушення вимог до умов експлуатації комплексної системи захисту інформації інформаційно-комунікаційної системи кваліфікованого надавача електронних довірчих послуг;

неусунення виявлених під час перевірки порушень в установлений приписом строк;

надання кваліфікованих електронних довірчих послуг кваліфікованим надавачем електронних довірчих послуг без чинних документів, визначених законодавством, що підтверджують його право власності та/або право користування засобами кваліфікованого електронного підпису чи печатки, які використовуються для надання кваліфікованих електронних довірчих послуг;

встановлення факту надання недостовірних відомостей, наведених у документах, поданих кваліфікованим надавачем електронних довірчих послуг для внесення відомостей про нього до Довірчого списку.

6. Протягом місяця з дня генерації центральним засвідчувальним органом пар ключів та формування відповідних самопідписаних сертифікатів електронних печаток центрального засвідчувального органу контролюючий орган проводить позапланову перевірку центрального засвідчувального органу в частині захисту інформації у програмно-технічному комплексі центрального засвідчувального органу.

У разі виявлення порушень вимог, встановлених законодавством для центрального засвідчувального органу, контролюючий орган інформує Кабінет Міністрів України про виявлені порушення та пропонує центральному засвідчувальному органу шляхи їх усунення.

Щороку до 1 квітня контролюючий орган готує та подає до Кабінету Міністрів України звіт про оцінку діяльності суб’єктів відносин у сфері електронних довірчих послуг щодо дотримання вимог законодавства.

1. Посадові особи контролюючого органу під час здійснення заходів державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг мають право:

здійснювати виїзні та невиїзні заходи державного нагляду (контролю) за дотриманням вимог законодавства у сфері електронних довірчих послуг;

у разі виявлення порушень вимог законодавства у сфері електронних довірчих послуг видавати обов’язкові для виконання кваліфікованими надавачами електронних довірчих послуг приписи про усунення порушень і визначати строк усунення виявлених порушень;

накладати на винних осіб адміністративні стягнення за порушення вимог цього Закону та інших нормативно-правових актів, прийнятих відповідно до цього Закону;

звертатися до суду щодо застосування заходів реагування;

виконувати інші повноваження, визначені законом.

1. Центральний засвідчувальний орган впроваджує, підтримує в актуальному стані та публікує на своєму офіційному веб-сайті Довірчий список, в якому міститься інформація про кваліфікованих надавачів електронних довірчих послуг разом з інформацією про кваліфіковані електронні довірчі послуги, які вони надають.

Довірчий список повинен впроваджуватися, підтримуватися в актуальному стані та публікуватися в безпечному режимі з обов’язковим додаванням електронної печатки центрального засвідчувального органу у вигляді, придатному для автоматичної обробки.

Інформація, що міститься у Довірчому списку, є відкритою.

2. Обов’язкові вимоги до Довірчого списку встановлюються Кабінетом Міністрів України.

3. Порядок ведення Довірчого списку затверджується головним органом у системі центральних органів виконавчої влади, що забезпечує формування та реалізує державну політику у сфері електронних довірчих послуг.

1. Шкода, заподіяна користувачеві електронних довірчих послуг надавачами електронних довірчих послуг, засвідчувальним центром, центральним засвідчувальним органом чи контролюючим органом, підлягає відшкодуванню у повному розмірі в установленому законом порядку.

2. Особи, винні в порушенні вимог цього Закону або нормативно-правових актів, що регулюють діяльність у сфері електронних довірчих послуг, несуть кримінальну, адміністративну та цивільно-правову відповідальність згідно із законом.

3. Спори, що виникають у сфері електронних довірчих послуг, вирішуються в порядку, встановленому законом.

1. Україна бере участь у міжнародному співробітництві у сферах електронних довірчих послуг та електронної ідентифікації, зокрема на основі міжнародних договорів України.

2. Участь України у міжнародному співробітництві у сферах електронних довірчих послуг та електронної ідентифікації здійснюється в порядку, встановленому законом.

3. У разі якщо міжнародними договорами України встановлено інші правила, ніж ті, що містяться в цьому Законі, застосовуються правила міжнародних договорів України.

1. Електронні довірчі послуги, що надаються відповідно до вимог нормативно-правових актів, що регулюють правові відносини у сфері електронних довірчих послуг в іноземних державах, визнаються в Україні електронними довірчими послугами того самого виду, за умови відповідності хоча б одній з таких умов:

кваліфікований надавач електронних довірчих послуг іноземної держави відповідає вимогам цього Закону, що підтверджується центральним засвідчувальним органом (або засвідчувальним центром - у разі надання електронних довірчих послуг банками, іншими особами, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, операторами платіжних систем та/або учасниками платіжних систем, технологічними операторами платіжних послуг);

кваліфікований надавач електронних довірчих послуг внесений до Довірчого списку держави, з якою Україна уклала відповідний двосторонній або багатосторонній міжнародний договір.

2. Електронні довірчі послуги не можуть визнаватися недійсними лише через те, що вони надані відповідно до вимог нормативно-правових актів, що регулюють відносини у сфері електронних довірчих послуг в іноземних державах.

3. Порядок використання інформаційно-комунікаційної системи центрального засвідчувального органу для забезпечення визнання в Україні електронних довірчих послуг, іноземних сертифікатів відкритих ключів, що використовуються під час надання юридично значущих електронних послуг у процесі взаємодії між суб’єктами різних держав, встановлюється Кабінетом Міністрів України.

1. Цей Закон набирає чинності через рік з дня його опублікування, крім статті 10, яка набирає чинності з дня опублікування цього Закону.

2. Визнати таким, що втратив чинність, Закон України "Про електронний цифровий підпис"(Відомості Верховної Ради України, 2003 р., № 36, ст. 276; 2009 р., № 24, ст. 296; 2013 р., № 37, ст. 488; 2015 р., № 23, ст. 158; 2016 р., № 47, ст. 800).

3. Внести зміни до таких законів України:

1) у статті 7 Закону України "Про Національний банк України" (Відомості Верховної Ради України, 1999 р., № 29, ст. 238 із наступними змінами):

пункт 26 викласти в такій редакції:

"26) створює засвідчувальний центр для забезпечення внесення відомостей про юридичних осіб, фізичних осіб - підприємців, які мають намір надавати електронні довірчі послуги у банківській системі України та при здійсненні переказу коштів, до Довірчого списку згідно з вимогами Закону України "Про електронні довірчі послуги";

доповнити пунктом 26-1 такого змісту:

"26-1) здійснює державне регулювання з питань електронної ідентифікації у банківській системі України, для чого встановлює:

вимоги, яким повинні відповідати кваліфіковані надавачі електронних довірчих послуг, що надають кваліфіковані електронні довірчі послуги у банківській системі України та при здійсненні переказу коштів, у тому числі вимоги до їх програмно-технічних комплексів;

порядок надання та використання електронних довірчих послуг у банківській системі України та при здійсненні переказу коштів;

порядок надання послуги постачання передачі сигналів точного часу засвідчувальним центром кваліфікованим надавачам електронних довірчих послуг у банківській системі України та при здійсненні переказу коштів";

2) у Законі України "Про електронні документи та електронний документообіг" (Відомості Верховної Ради України, 2003 р., № 36, ст. 275; 2014 р., № 24, ст. 885; 2015 р., № 45, ст. 410):

а) частину третю статті 6 викласти в такій редакції:

"Відносини, пов’язані з використанням удосконалених та кваліфікованих електронних підписів, регулюються Законом України "Про електронні довірчі послуги";

б) частину першу статті 7 викласти в такій редакції:

"Оригіналом електронного документа вважається електронний примірник документа з обов’язковими реквізитами, у тому числі з електронним підписом автора або підписом, прирівняним до власноручного підпису відповідно до Закону України "Про електронні довірчі послуги";

в) у статті 12 слова "може проводитися" замінити словом "проводиться";

3) у Законі України "Про Державну службу спеціального зв’язку та захисту інформації України"(Відомості Верховної Ради України, 2014 р., № 25, ст. 890, № 29, ст. 946):

а) абзац третій статті 3 викласти в такій редакції:

"участь у формуванні та реалізації державної політики у сферах електронного документообігу (в частині захисту інформації державних органів та органів місцевого самоврядування), електронної ідентифікації (з використанням електронних довірчих послуг), електронних довірчих послуг (у частині встановлення вимог з безпеки та захисту інформації під час надання та використання електронних довірчих послуг, контролю за дотриманням вимог законодавства у сфері електронних довірчих послуг)";

б) у частині першій статті 14:

пункт 2 викласти в такій редакції:

"2) участь у формуванні та реалізації державної політики у сферах електронного документообігу (в частині захисту інформації державних органів та органів місцевого самоврядування), електронної ідентифікації (з використанням електронних довірчих послуг), електронних довірчих послуг (у частині встановлення вимог з безпеки та захисту інформації під час надання та використання електронних довірчих послуг, контролю за дотриманням вимог законодавства у сфері електронних довірчих послуг)";

абзац третій пункту 29 викласти в такій редакції:

"дотриманням вимог законодавства у сфері електронних довірчих послуг";

пункти 37 і 43 викласти в такій редакції:

"37) встановлення вимог з безпеки та захисту інформації до кваліфікованих надавачів електронних довірчих послуг та їхніх відокремлених пунктів реєстрації";

"43) погодження проектів (завдань) створення та розвитку інформаційно-комунікаційних систем, систем спеціального зв’язку, систем електронного документообігу (в частині захисту інформації), у яких оброблятимуться державні інформаційні ресурси та інформація, вимога щодо захисту якої встановлена законом, програмно-технічних комплексів надавачів електронних довірчих послуг, засвідчувального центру та центрального засвідчувального органу (в частині захисту інформації), організація проведення їх експертної оцінки";

в) у частині першій статті 15:

абзац четвертий пункту 5 викласти в такій редакції:

"кваліфікованих надавачів електронних довірчих послуг, їхніх відокремлених пунктів реєстрації, засвідчувального центру, центрального засвідчувального органу щодо дотримання вимог законодавства у сфері електронних довірчих послуг";

пункт 19 викласти в такій редакції:

"19) звертатися до суду в разі виникнення спорів з питань організації спеціального зв’язку та захисту інформації, криптографічного та технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, спорів у сфері електронних довірчих послуг, а також у разі виникнення інших спорів у порядку, встановленому законом".

4. Акредитовані центри сертифікації ключів, утворені відповідно до Закону України "Про електронний цифровий підпис", які мають намір надавати кваліфіковані електронні довірчі послуги, автоматично вносяться центральним засвідчувальним органом до Довірчого списку як кваліфіковані надавачі електронних довірчих послуг протягом року з дня набрання чинності цим Законом.

5. Електронний цифровий підпис та посилений сертифікат відкритого ключа, що його підтверджує, видані відповідно до вимог Закону України "Про електронний цифровий підпис" до набрання чинності цим Законом, використовуються користувачами електронних довірчих послуг, кваліфікованими надавачами електронних довірчих послуг, які продовжують їх обслуговувати, відповідно як кваліфікований електронний підпис та кваліфікований сертифікат електронного підпису до закінчення строку дії посиленого сертифіката відкритого ключа, але не пізніше двох років з дня набрання чинності цим Законом.

6. Електронні дані з накладеним електронним цифровим підписом, який підтверджено з використанням посиленого сертифіката відкритого ключа, визнаються після набрання чинності Законом України "Про електронні довірчі послуги" електронними даними із створеним кваліфікованим електронним підписом, але не пізніше двох років з дня набрання чинності цим Законом.

6-1. Тимчасово, до взаємного визнання між Україною та Європейським Союзом електронних довірчих послуг, як виняток з положень частини першої статті 38 цього Закону, визнати в Україні:

1) результати надання кваліфікованих електронних довірчих послуг, що надаються кваліфікованими надавачами електронних довірчих послуг, відомості про яких та про кваліфіковані електронні довірчі послуги, які вони надають, внесені до Довірчого списку держави - члена Європейського Союзу або держави - члена Європейської асоціації вільної торгівлі (далі - європейські кваліфіковані надавачі);

2) статус європейських кваліфікованих надавачів, що прирівнюється до статусу кваліфікованих надавачів електронних довірчих послуг згідно із цим Законом;

3) статус засобів кваліфікованого електронного підпису чи печатки, що використовуються європейськими кваліфікованими надавачами при наданні електронних довірчих послуг та внесені до списку сертифікованих засобів для створення кваліфікованого електронного підпису, який веде Європейська комісія відповідно до статті 31 Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку та про скасування Директиви 1999/93/ЄС, що прирівнюється до статусу засобів кваліфікованого електронного підпису чи печатки відповідно до цього Закону;

4) перелік довірчих списків держав - членів Європейського Союзу, інформацію про які публікує Європейська Комісія відповідно до частини четвертої статті 22 Регламенту Європейського Парламенту і Ради (ЄС) № 910/2014 від 23 липня 2014 року про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку та про скасування Директиви 1999/93/ЄС.

7. До приведення законодавства у відповідність із цим Законом закони України та інші нормативно-правові акти застосовуються в частині, що не суперечить цьому Закону.

8. Кабінету Міністрів України протягом року з дня набрання чинності цим Законом:

привести свої нормативно-правові акти у відповідність із цим Законом;

прийняти нормативно-правові акти, передбачені цим Законом;

забезпечити приведення нормативно-правових актів міністерств та інших центральних органів виконавчої влади у відповідність із цим Законом.