Za pristup cjelovitom i ažurnom tekstu ovog dokumeta, molimo:

Na temelju članka. 7., članka 18. stavka 6. i članka 32. stavka 2. Zakona o elektroničkom potpisu ("Narodne novine", br. 10/02 i 80/08) ministar gospodarstva, rada i poduzetništva donosi

PRAVILNIK

O IZRADI ELEKTRONIČKOG POTPISA, UPORABI SREDSTVA ZA IZRADU ELEKTRONIČKOG POTPISA, OPĆIM I POSEBNIM UVJETIMA POSLOVANjA ZA DAVATELjE USLUGA IZDAVANjA VREMENSKOG ŽIGA I CERTIFIKATA

(Objavljeno u "Narodnim novinama", br. 107 od 13 rujna 2010)

I. OPĆE ODREDBE

Članak 1.

(1) Ovim Pravilnikom utvrđuju se mjere, postupci i oblici zaštite elektroničkog potpisa, i naprednog elektroničkog potpisa, sredstava za izradu elektroničkog potpisa i naprednog elektroničkog potpisa, ugradnja vremenskog žiga i naprednog vremenskog žiga, obavljanje usluga izdavanja vremenskog žiga i naprednog vremenskog žiga, zaštite sustava za obavljanje usluga certificiranja i podataka o potpisnicima, postupci provjere identiteta potpisnika prilikom izdavanja elektroničkih certifikata kao i najniži iznos svote za koju se osigurava rizik od odgovornosti za štete koji se kod davatelja usluga certificiranja koji izdaju kvalificirane certifikate pojavljuje kao obvezno osiguranje.

Članak 2.

U smislu ovoga Pravilnika pojmovi imaju sljedeća značenja:
- certifikat - potvrda u elektroničkom obliku izdana od davatelja usluge izdavanja certifikata, koja povezuje podatke za verificiranje elektroničkog potpisa s nekom osobom i potvrđuje identitet te osobe;
- kvalificirani certifikat - potvrda u elektroničkom obliku izdana od davatelja usluge izdavanja kvalificiranih certifikata, koja udovoljava zahtjevima iz članka 11. Zakona o elektroničkom potpisu (u daljnjem tekstu: Zakon);
- potpisnik - osoba koja posjeduje sredstvo za izradu elektroničkog potpisa kojim se potpisuje, a koja djeluje u svoje ime ili u ime fizičke ili pravne osobe koju predstavlja;
- pouzdajuća strana - primatelj elektroničkog zapisa koji se pouzdaje u elektronički zapis potpisan elektroničkim potpisom ili naprednim elektroničkim potpisom;
- provjera elektroničkog potpisa i naprednog elektroničkog potpisa - postupak iniciran od pouzdajuće strane za provjeru valjanosti potpisa i certifikata potpisnika kod davatelja usluga certficiranja;
- vremenski žig - je elektronički potpisana potvrda izdavatelja koja potvrđuje sadržaj podataka na koje se odnosi u navedenom vremenu,
- napredan vremenski žig - je elektronički potpisana potvrda ovjerovitelja koja ispunjava uvjete za napredan elektronički potpis
- davatelj usluga izdavanja vremenskog žiga - pravna ili fizička osoba koja daje usluge izdavanja vremenskog žiga i/ili usluga certificiranja

Članak 3.

Davatelj usluga certificiranja koji izdaje certifikate i kvalificirane certifikate primjenjivat će informacijsku tehnologiju i tehnička i programska sredstva čije je djelovanje u skladu s važećim međunarodnim normama, a koje se odnose na:
- opća pravila davanja usluga certificiranja,
- obrazac (profil) certifikata,
- sigurnost kriptografskih modula (sredstava za izradu elektroničkog potpisa),
- sigurnost sustava certificiranja.

Članak 4.

Davatelj usluga izdavanja vremenskog žiga i naprednog vremenskog žiga za ugradnju u elektronički potpis i napredni elektronički potpis primjenjivat će informacijsku tehnologiju i tehnička i programska sredstva čije je djelovanje u skladu s važećim međunarodnim normama, a koje se odnose na:
- opća pravila davanja usluga izdavanja vremenskog žiga,
- obrazac (profil) certifikata za izradu vremenskog žiga,
- sigurnost kriptografskih modula (sredstava za izradu vremenskog žiga),
- sigurnost sustava za izdavanje vremenskog žiga.

II. ELEKTRONIČKI POTPIS

Izrada i korištenje elektroničkog potpisa i naprednog elektroničkog potpisa

Članak 5.

(1) Postupak izrade elektroničkog potpisa ne smije izmijeniti podatke koji se potpisuju niti spriječiti prikaz tih podataka potpisniku prije čina potpisivanja.
(2) Potpisnik u elektronički potpis ugrađuje osnovne podatke o postupku, algoritmu i sadržaju potpisa kako bi pouzdajuća strana mogla provjeriti potpis temeljem iste ili sukladne tehnologije i postupaka.
(3) Pravila uporabe potpisa sadrže opis postupka potpisivanja u čitljivom obliku s najmanje sljedećim skupom podataka:
- upozorenje - sadržaj pravnih i drugih činjenica povezanih s potpisivanjem, koji mora biti iskazan prije čina potpisivanja;
- izjava potpisnika - o prihvaćanju pravila uporabe potpisa i saznanju o sadržaju koji potpisuje;
- potpisni skup podataka - dio je elektroničkog potpisa i dodaje se potpisanom elektroničkom zapisu, a sadrži ime potpisnika, vrijeme i mjesto potpisivanja.
(4) U elektronički potpis se može ugraditi identifikator ili sažetak pravila uporabe potpisa.

Članak 6.

(1) Potpisnik izrađuje i koristi elektronički potpis i napredni elektronički potpis u skladu s uvjetima sadržanim u Zakonu i ovom Pravilniku.
(2) Podaci za izradu elektroničkog potpisa su logički povezani sa elektroničkim potpisom.
(3) Potpisnik je dužan zaštiti podatke za izradu elektroničkog potpisa od neovlaštenog pristupa, otuđivanja i nepravilne uporabe.
(4) Smatrat će se da struktura i sadržaj elektroničkog potpisa udovoljava propisanim zahtjevima ukoliko su primjenjeni odgovarajući hrvatski normizacijski dokumenti čiji je popis objavljen u "Narodnim novinama".

Članak 7.

(1) Potpisniku prije procesa uporabe elektroničkog potpisa moraju biti predstavljena pravila uporabe potpisa ukoliko su određena.
(2) Elektronički potpis koriste potpisnik i pouzdajuća strana u skladu s utvrđenim pravilima uporabe potpisa, ukoliko su određena.
(3) Potpisnik i pouzdajuća strana moraju koristiti ista pravila uporabe potpisa radi postizanja jednakog tumačenja valjanosti potpisa kod njegove izrade i provjere, ukoliko su ona određena.
(4) Korisnici elektroničkog potpisa u međusobnoj regulaciji odnosa u pogledu elektroničkog potpisa dužni su poštivati odredbe Zakona i ovoga Pravilnika.

Članak 8.

(1) Za potrebe strojnog, odnosno automatskog obrađivanja elektroničkog potpisa nužno je izraditi pravila uporabe potpisa i u formatiranom obliku za potrebe izravnog preuzimanja od strane računalnih programa (aplikacija).
(2) Kod računalnih aplikacija koje koriste velik broj istorodnih dokumenata s jednim pravilom uporabe elektroničkog potpisa ili naprednog elektroničkog potpisa dopušteno je unaprijed definirati ugradnju tih pravila u elektronički potpis, napredni elektronički potpis ili u aplikaciju.

Provjera elektroničkog potpisa i naprednog elektroničkog potpisa

Članak 9.

(1) Pouzdajuća strana prilikom provjere elektroničkog potpisa i naprednog elektroničkog potpisa mora biti u mogućnosti kod davatelja usluga certificiranja provjeriti da li je certifikat na listi opozvanih certifikata.
(2) Pouzdajuća strana prilikom provjere naprednog elektroničkog potpisa mora biti u mogućnosti provjeriti:
- podatke o potpisniku
- podatke o davatelju usluga certificiranja koji izdaje certifikate i kvalificirane certifikate
- rok valjanosti certifikata,
- nepostojanje u registru (opozvanih) certifikata.

Ugradnja vremenskog žiga i naprednog vremenskog žiga u elektronički potpis

Članak 10.

(1) Ugradnju vremenskog žiga ili naprednog vremenskog žiga može pokrenuti potpisnik i/ili pouzdajuća strana u skladu s utvrđenim pravilima uporabe potpisa.
(2) Vremenski žig ili napredni vremenski žig ugrađuje se u elektronički potpis u skladu s utvrđenim pravilima uporabe potpisa i smatrat će se da udovoljava propisanim zahtjevima ukoliko su primjenjeni odgovarajući hrvatski normizacijski dokumenti, čiji je popis objavljen u "Narodnim novinama".

III. SREDSTVA ZA IZRADU ELEKTRONIČKOG POTPISA

Članak 11.

(1) Odredbe ovoga poglavlja moraju se primijeniti na sredstva za izradu naprednog elektroničkog potpisa.
(2) Odredbe ovoga poglavlja primjenjuju se na odgovarajući način i na sredstva za izradu elektroničkog potpisa.

Članak 12.

(1) Potpisnik je dužan zaštititi sredstvo za izradu elektroničkog potpisa od neovlaštenog pristupa, krađe i oštećivanja.
(2) U slučajevima kada sredstvo za izradu elektroničkog potpisa sadrži i certifikat te elektronički potpis davatelja usluga certificiranja koji je izdao certifikat, potrebno je sredstvo za izradu elektroničkog potpisa uskladiti sa zahtjevima za zaštitu i sigurnost opreme za izradu naprednog elektroničkog potpisa.
(3) Smatrat će se da je usklađivanje iz stavka 2. ovoga članka provedeno sukladno propisanim zahtjevima ukoliko se provodi primjenom odgovarajućih hrvatskih normizacijskih dokumenta, čiji je popis objavljen u "Narodnim