1. System teleinformatyczny służący do wydania certyfikatu wykorzystywanego przez podmioty publiczne do uwierzytelniania użytkowników spełnia następujące warunki techniczne i organizacyjne:
1) umożliwia wystawienie certyfikatu oraz jego wydanie użytkownikowi, dla którego został on wystawiony;
2) umożliwia niezwłoczne unieważnienie certyfikatu;
3) określa dokładny czas wystawienia i unieważnienia certyfikatu, zgodnie z czasem uniwersalnym koordynowanym UTC(PL);
4) potwierdza tożsamość użytkownika, któremu wydano certyfikat;
5) posiada zabezpieczenia na wypadek zagrożeń w zakresie bezpieczeństwa teleinformatycznego dobierane na podstawie szacowania ryzyka;
6) nie gromadzi ani nie kopiuje danych służących użytkownikom do potwierdzania tożsamości z wykorzystaniem certy- fikatów. 2. System, o którym mowa w ust. 1, przechowuje dane dotyczące wystawionych certyfikatów przez okres 20 lat, licząc od dnia 1 stycznia roku następującego po roku, w którym certyfikat został wystawiony. 3. Zapewnienie bieżącej poprawności i użyteczności funkcjonalnej systemu, o którym mowa w ust. 1, wymaga speł- nienia następujących warunków technicznych i organizacyjnych:
1) dokonywania systematycznego przeglądu skuteczności zastosowanych środków zabezpieczeń na wypadek zagrożeń bezpieczeństwa teleinformatycznego, w celu wprowadzania ich usprawnień;
2) utrzymywania w aktualnym stanie dokumentacji operacyjnej i technicznej systemu, w celu zapewnienia jego bez- piecznej eksploatacji;
3) zapewniania organizacyjnego, technicznego i kryptograficznego bezpieczeństwa działania systemu;
1) Minister Cyfryzacji kieruje działem administracji rządowej – informatyzacja, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 18 listopada 2019 r. w sprawie szczegółowego zakresu działania Ministra Cyfryzacji (Dz. U. poz. 2270). Dziennik Ustaw –2– Poz. 399
4) prowadzenia działań zapobiegających fałszowaniu certyfikatów, w tym zapewniania poufności podczas procesu two- rzenia danych do potwierdzania tożsamości użytkownika;
5) informowania osób ubiegających się o certyfikat o warunkach stosowania certyfikatu zawartych w polityce certyfikacji. 4. Warunki, o których mowa w ust. 1–3, zostały spełnione, gdy:
1) została wdrożona polityka certyfikacji spełniająca wymagania wskazane w normie PN-ETSI EN 319 411 lub nowszej;
2) zapewnione zostały warunki organizacyjne i techniczne zgodne z wymaganiami specyfikacji technicznej CEN/TS 419261 lub nowszej w zakresie świadczenia usług innych niż wydawanie certyfikatów kwalifikowanych;
3) zastosowane zostały systemy i produkty zgodne z wymaganiami specyfikacji technicznej CEN/TS 419221 lub nowszej. 5. Administrator systemu, o którym mowa w ust. 1, udostępnia deklarację o spełnieniu wymagań określonych w ust. 3 oraz politykę certyfikacji:
1) w Biuletynie Informacji Publicznej albo
2) na stronie internetowej administratora – w przypadku podmiotów niezobowiązanych do udostępniania informacji publicznej w Biuletynie Informacji Publicznej.