Besluit van 11 december 2006, houdende wijziging van het Besluit elektronische handtekeningen in verband met het herzien van de wettelijke bepalingen betreffende elektronische handtekeningen door de Veegwet EZ 2005

Wij Beatrix, bij de gratie Gods, Koningin der Nederlanden, Prinses van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Economische Zaken van 3 maart 2006, nr. WJZ 6014217;

Gelet op de artikelen 18.12, 18.16, tweede lid, en 18.17a, tweede lid, van de Telecommunicatiewet;

De Raad van State gehoord (advies van 13 april 2006, nr. W10.06.0067/II);

Gezien het nader rapport van Onze Minister van Economische Zaken van 4 december 2006, nr. WJZ 6100690;

Hebben goedgevonden en verstaan:

ARTIKEL I

Het Besluit elektronische handtekeningen wordt als volgt gewijzigd:

A

Na artikel 3 worden twee nieuwe artikelen ingevoegd, luidende:

Artikel 3a

  • 1. Een organisatie die in aanmerking wenst te komen voor een aanwijzing als bedoeld in artikel 18.16 van de wet dient daartoe een aanvraag in en voldoet aan de volgende eisen:

    a. de organisatie heeft voldoende gekwalificeerd personeel in dienst dat als auditor kan worden ingezet om een conformiteitsbeoordeling uit te voeren van een certificatiedienstverlener;

    b. de reglementen van de organisatie bieden voldoende waarborgen dat een overeenkomstig deze reglementen door de aangewezen organisatie beoordeelde certificatiedienstverlener voldoet aan artikel 18.15, eerste lid, van de wet en dat de door een zodanige certificatiedienstverlener aan het publiek aangeboden of afgegeven gekwalificeerde certificaten voldoen aan artikel 18.15, tweede lid, van de wet;

    c. de organisatie hanteert voorwaarden die objectief, transparant, evenredig en niet-discriminerend zijn;

    d. de organisatie is geaccrediteerd op basis van de norm EN 45011 of EN 45012 of een gelijkwaardige norm, welke accreditatie het vakgebied «gekwalificeerde certificaten’ dient te omvatten, door een instantie die aantoonbaar voldoet aan de norm EN 45010 of een gelijkwaardige norm.

  • 2. Bij ministeriële regeling worden regels gesteld met betrekking tot de wijze waarop en bij wie een aanvraag tot aanwijzing als organisatie als bedoeld in artikel 18.16 van de wet wordt ingediend, de informatie die daarbij wordt overgelegd, en het verlenen van medewerking terzake van een ingediende aanvraag.

  • 3. Aan een aanwijzing kunnen voorschriften worden verbonden die betrekking kunnen hebben op de duur van de aanwijzing, de kwaliteit van de organisatie en het verstrekken van informatie.

  • 4. Bij ministeriële regeling kunnen regels worden gesteld met betrekking tot het verstrekken van informatie in verband met door een aangewezen organisatie afgegeven bewijzen van toetsing bedoeld in artikel 18.16, eerste lid, van de wet alsmede omtrent de medewerking die door een aangewezen organisatie wordt verleend met het oog op het voldoen door die organisatie aan de aan haar gestelde eisen.

Artikel 3b

  • 1. Het personeel dat door de organisatie als auditor wordt ingezet om een conformiteitsbeoordeling uit te voeren van een certificatiedienstverlener:

    a. heeft een opleiding op minimaal HBO-niveau dan wel een daaraan gelijkwaardige aanmerkelijke ervaring en aanvullende beroepsopleiding en -training;

    b. beschikt over een equivalent van ten minste vier jaar voltijds praktijkervaring met betrekking tot informatietechnologie, waarvan tenminste twee jaar in een functie met betrekking tot Public Key Infrastructure en informatiebeveiliging;

    c. heeft voldoende begrip van de technische specificatie ETSI TS 101 456 of een daarmee gelijkwaardige technische specificatie;

    d. heeft voldoende begrip van de concepten van managementsystemen in het algemeen;

    e. heeft voldoende begrip van onderwerpen die zijn gerelateerd aan Public Key Infrastructure, management van informatiebeveiliging en organisatorische betrouwbaarheid;

    f. heeft voldoende kennis van de principes en processen gerelateerd aan risicobeoordeling en risicomanagement;

    g. heeft een training van ten minste 5 dagen afgerond over het beoordelen van managementsystemen en het management van beoordelingsprocessen;

    h. beschikt over de volgende persoonlijke eigenschappen: integer, onbevooroordeeld, volwassen houding, onderscheidingsvermogen, analytisch, vasthoudend en realistisch;

    i. kan complexe operaties in een breed perspectief plaatsen en de rol van individuele eenheden in grote organisaties begrijpen;

    j. heeft kennis en eigenschappen om beoordelingsprocessen te managen;

    k. zorgt ervoor dat de eigen kennis en vaardigheden op het gebied van Public Key Infrastructure, management van informatiebeveiliging en beoordeling van managementsystemen voortdurend op peil worden gehouden;

    l. heeft voorafgaand aan zelfstandig optreden als auditor ervaring opgedaan in het hele proces van beoordeling van certificatiedienstverleners, welke ervaring is verkregen door onder supervisie van een ervaren auditor deel te nemen aan minimaal vier beoordelingen bestaande uit totaal ten minste 20 dagen, hierbij inbegrepen toetsing van documentatie, implementatiebeoordeling en opstelling beoordelingsrapport.

  • 2. In aanvulling op de eisen, genoemd in het eerste lid, voldoet een auditor die als leider van een auditteam optreedt, aan de volgende eisen:

    a. hij heeft opgetreden als een gekwalificeerd auditor in ten minste drie complete beoordelingen van certificatiedienstverleners;

    b. hij beschikt over adequate kennis en eigenschappen om het beoordelingsproces te managen;

    c. hij kan effectief communiceren, zowel mondeling als schriftelijk.

  • 3. Een beoordelingsteam als geheel voldoet aan de volgende eisen:

    a. in elk van de volgende kennisgebieden is tenminste één auditor binnen het beoordelingsteam gekwalificeerd om de verantwoordelijkheid te dragen voor:

    1°. de benodigde kennis van de regelgeving waaraan op het terrein van certificatiedienstverlening en informatiebeveiliging moet zijn voldaan;

    2°. de benodigde kennis van de laatste stand van de techniek betreffende Public Key Infrastructure;

    3°. De benodigde kennis om een aan informatiebeveiliging gerelateerde risicobeoordeling uit te voeren om kwetsbaarheden te ontwaren bij de certificatiedienstverlener, het begrijpen van hun betekenis voor de dienstverlening en het verminderen en onder controle brengen van deze kwetsbaarheden en

    4°. de benodigde kennis van kwesties van organisatorische betrouwbaarheid;

    b. het beoordelingsteam is competent om indicaties van kwetsbaarheden in de certificatiedienstverlening terug te leiden naar de desbetreffende elementen van het managementsysteem van de certificatiedienstverlener opdat deze verbeterd kunnen worden.

  • 4. Om er voor te zorgen dat het beoordelingsteam alle noodzakelijke expertise tot zijn beschikking heeft, mogen technisch deskundigen met specifieke kennis over de onderwerpen, genoemd in het derde lid, onder a, 1° tot en met 4°, worden ingeschakeld om het beoordelingsteam te assisteren, ook al voldoen zij niet aan alle criteria voor een individuele auditor.

  • 5 De technisch deskundigen, bedoeld in het vierde lid, zijn te allen tijde verantwoording schuldig aan de leider van het auditteam en functioneren niet onafhankelijk van de auditors in het team die wel gekwalificeerd zijn als auditor.

B

Artikel 4 wordt gewijzigd als volgt:

a. Onder vernummering van het eerste en tweede lid tot tweede respectievelijk derde lid, wordt een nieuw eerste lid ingevoegd dat luidt als volgt:

  • 1. Een instelling die in aanmerking wenst te komen voor een aanwijzing als bedoeld in artikel 18.17a, eerste lid, van de wet dient daartoe een aanvraag in en voldoet aan de volgende eisen:

    a. zij hanteert een toetsingskader dat waarborgt dat de beoordeelde veilige middelen voor het aanmaken van elektronische handtekeningen voldoen aan de wettelijke eisen;

    b. zij is op basis van norm EN 45011 geaccrediteerd, welke accreditatie het vakgebied veilige middelen voor het aanmaken van elektronische handtekeningen omvat, door een instantie die aantoonbaar voldoet aan de norm EN 45010 of een gelijkwaardige norm;

    c. zij maakt gebruik van testlaboratoria die voldoen aan norm ISO/IEC 17025 voor het testen van veilige middelen voor het aanmaken van elektronische handtekeningen volgens norm ISO/IEC 15408.

b. In de aanhef van het tweede lid wordt «artikel 18.17, tweede lid, van de wet, dient daartoe een aanvraag in en voldoet aan de volgende eisen» vervangen door: artikel 18.17a, eerste lid, van de wet voldoet, onverminderd het eerste lid, aan de volgende eisen.

c. In het derde lid wordt «artikel 18.17» vervangen door: artikel 18.17a, eerste lid,.

d. Na het derde lid worden drie leden toegevoegd, luidende:

  • 4. Bij ministeriële regeling worden regels gesteld met betrekking tot de wijze waarop en bij wie een aanvraag tot aanwijzing als instelling als bedoeld in artikel 18.17a, eerste lid, van de wet geschiedt, de informatie die daarbij wordt overgelegd en het verlenen van medewerking terzake van een ingediende aanvraag.

  • 5. Aan een aanwijzing kunnen voorschriften worden verbonden die betrekking hebben op de duur van de aanwijzing, de kwaliteit van de organisatie en het verstrekken van informatie.

  • 6. Bij ministeriële regeling kunnen regels worden gesteld met betrekking tot het verstrekken van informatie in verband met door een aangewezen instelling afgegeven verklaringen bedoeld in artikel 18.17a, eerste lid, van de wet alsmede omtrent de medewerking die door een aangewezen instelling wordt verleend met het oog op het voldoen door die instelling aan de aan haar gestelde eisen.

C

In artikel 7, eerste lid, onderdeel d, wordt «artikel 18.17, tweede lid,» vervangen door: artikel 18.17a, eerste lid,.

ARTIKEL II

In het Besluit voorwaardelijke toegang vervalt artikel 5 en komt het opschrift van paragraaf 2 te luiden:

Paragraaf 2. Nadere regels ter uitvoering van hoofdstuk 6a van de Telecommunicatiewet

ARTIKEL III

In het Besluit medegebruik omroepzendernetwerken vervalt artikel 5.

ARTIKEL IV

  • 1. Artikel I van dit besluit treedt in werking op het tijdstip waarop Artikel I, onderdelen EE tot en met HH, van de Veegwet EZ 2005 in werking treden.

  • 2. De Artikelen II en III van dit besluit treden in werking op het tijdstip waarop Artikel I, onderdeel N onderscheidenlijk onderdeel I van de Veegwet EZ 2005 in werking treedt.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.

histnoot

’s-Gravenhage, 11 december 2006

Beatrix

De Minister van Economische Zaken,

J. G. Wijn

Uitgegeven de twintigste december 2006

De Minister van Justitie,

E. M. H. Hirsch Ballin

NOTA VAN TOELICHTING

Algemeen

1. Doel en aanleiding

De Wet elektronische handtekeningen bevat de implementatie van Richtlijn nr. 1999/93/EG van het Europees Parlement en de Raad van de Europese Unie van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (PbEG 2000, L 13) (verder: de richtlijn). Bij deze wet zijn – voorzover hier van belang – de artikelen 18.15 tot en met 18.17 in de Telecommunicatiewet opgenomen. Ingevolge de artikelen 18.15, eerste en tweede lid, en 18.17, eerste lid, van de Telecommunicatiewet worden eisen gesteld aan achtereenvolgens:

– certificatiedienstverleners die gekwalificeerde certificaten aan het publiek afgeven;

– gekwalificeerde certificaten en veilige middelen voor het aanmaken van elektronische handtekeningen.

In artikel 18.16 worden regels gegeven betreffende de mogelijkheid van vrijwillige accreditatie van certificatiedienstverleners en de daartoe aan te wijzen organisaties.

In genoemde artikelen wordt de juridische basis gelegd voor de verdere implementatie van de eisen die in de bijlagen bij de richtlijn zijn opgenomen. Het Besluit elektronische handtekeningen, de Regeling elektronische handtekeningen en de Beleidsregel aanwijzing certificatieorganisaties elektronische handtekeningen strekken gezamenlijk tot implementatie van de bijlagen van de richtlijn. Deze implementatie van de bijlagen in genoemde regelingen kon als gevolg van het ontbreken van een voldoende juridische grondslag op wetsniveau niet steeds op het juiste regelgevende niveau plaatsvinden. Zo moest het stellen van nadere regels met betrekking tot de aanwijzing van certificatieorganisaties elektronische handtekeningen noodgedwongen geschieden door middel van beleidsregels. Terzake van de aanwijzing van instellingen die belast zijn met het beoordelen van de overeenstemming van veilige middelen voor het aanmaken van elektronische handtekeningen is er destijds voor gekozen om in het kader van de aanvraag tot aanwijzing als instelling de eisen met betrekking tot die aanwijzing gedeeltelijk op te nemen in de Regeling elektronische handtekeningen, terwijl andere eisen in dit verband hun neerslag hebben gevonden in het Besluit elektronische handtekeningen. Als gevolg van een en ander is er een regelgevend complex ontstaan waarin niet steeds op het juiste wetsniveau het materiële voorschrift in de regelgeving is verankerd en bijgevolg waarvan ook de duidelijkheid van de regelgeving niet in alle opzichten beantwoordt aan wat daarvan zou mogen worden verwacht. Om hier verbetering in te kunnen brengen zijn bij de Veegwet EZ 2005 de artikelen 18.16 en 18.17 vervangen door vier nieuwe artikelen te weten de artikelen 18.16, 18.16a, 18.17 en 18.17a.

In het Besluit elektronische handtekeningen is als gevolg van deze wijziging nu een aantal regels opgenomen, welke eerst waren geregeld in de Beleidsregel aanwijzing certificatieorganisaties elektronische handtekeningen en de Regeling elektronische handtekeningen. De regels in de Beleidsregel die niet zijn opgenomen in het Besluit elektronische handtekeningen zijn overgebracht naar de Regeling elektronische handtekeningen. Bij de keus welke regels naar het besluit en welke naar de ministeriële regeling over te brengen, heeft als leidraad gediend aanwijzing 26 van de Aanwijzingen voor de regelgeving. Zo zijn voorschriften van administratieve aard in de Regeling elektronische handtekeningen opgenomen en zijn regels die eisen bevatten waaraan organisaties en instellingen moeten voldoen om voor een aanwijzing in aanmerking te komen, in het besluit opgenomen. Om reden van overzichtelijkheid is er voor gekozen ook de meer gedetailleerde eisen zoals omschreven in artikel 3b in het besluit zelf op te nemen. Deze eisen worden voorgeschreven door de richtlijn. De Beleidsregel aanwijzing certificatieorganisaties elektronische handtekeningen wordt ingetrokken.

Gebleken was dat er in de praktijk behoefte bestaat aan de mogelijkheid om in het kader van de aanwijzing van organisaties die zijn belast met het toetsen van certficaatdienstverleners van gekwalificeerde certificaten aan de vereisten die bij en krachtens de Telecommunicatiewet aan die certificaatdienstverleners worden gesteld, nadere regels te kunnen geven met betrekking tot de indiening van de aanvraag van een organisatie om voor een aanwijzing in aanmerking te komen, criteria waaraan reglementen en de organisatie van de aanvrager moeten voldoen om voor een aanwijzing in aanmerking te komen en de aan een aanwijzing te verbinden voorschriften. Ditzelfde geldt voor de aanwijzing van instellingen die zijn belast met het beoordelen van de overeenstemming van een veilig middel voor het aanmaken van elektronische handtekeningen met de vereisten van bijlage III van de richtlijn. Voor het stellen van deze nadere regels geven de artikelen 18.12, 18.16, tweede lid, en 18.17a, tweede lid, van de Telecommunicatiewet de noodzakelijke wettelijke grondslag. Gelet op de aard van deze regels zijn deze bij ministeriële regeling vastgesteld (artikelen 3a en 4 van het besluit).

2. Administratieve lasten

De voorgestelde wijzigingen bevatten geen nieuwe materiële bepalingen met betrekking tot certificatieorganisaties en instellingen die zijn belast met het beoordelen van de overeenstemming van veilige middelen met de eisen van bijlage III van de richtlijn. Dit besluit brengt dan ook geen wijziging in bestaande administratieve lasten.

3. Consultatie

Het ontwerp-besluit is voorgelegd aan de Onafhankelijke post- en telecommunicatieautoriteit voor een uitvoerbaarheids- en handhaafbaarheidtoets. Het college heeft op 3 november 2005 (OPTA/IPB/2005/203113) medegedeeld geen reden te hebben tot het maken van opmerkingen omdat het ontwerp geen materiële wijzigingen met zich meebrengt.

Artikelsgewijs

Artikel I, onderdeel A

Op grond van artikel 18.16 van de Telecommunicatiewet kan de Minister van Economische Zaken organisaties aanwijzen die certificatiedienstverleners toetsen op de overeenstemming met de bij of krachtens de Telecommunicatiewet gestelde eisen. In de artikelen 3a en 3b worden de eisen geformuleerd waaraan een organisatie moet voldoen om voor een aanwijzing in aanmerking te kunnen komen. Deze eisen zijn niet nieuw. Ze zijn thans opgenomen in artikel 2, tweede lid, en artikel 3 van de Beleidsregel aanwijzing certificatieorganisaties elektronische handtekeningen. Artikel 3a, eerste lid, onderdeel b, bevat de regel die was opgenomen in artikel 18.16, eerste lid, van de Telecommunicatiewet en artikel 2, tweede lid, onderdeel a, van de Beleidsregel aanwijzing certificatieorganisaties elektronische handtekeningen. In de Telecommunicatiewet en de beleidsregel was met betrekking tot deze eis nagenoeg hetzelfde geregeld. Dit is nu samengevoegd in het eerste lid, onderdeel b, van artikel 3a. Dit betekent dat de reglementen dus ook een behoorlijk toetsingskader dienen te bevatten dat wordt gehanteerd bij het beoordelen of de certificaatdienstverleners en de certificaten voldoen aan de wettelijke eisen.

In artikel 3a, eerste lid, onderdeel d, wordt een accreditatie gevraagd die het vakgebied gekwalificeerde certificaten dient te omvatten. Dit betekent dat uit deze accreditatie moet blijken dat minimaal voldaan is aan de eisen van de artikelen 3a en 3b van dit besluit. Bij de aanwijzing zal de minister de aan te wijzen organisatie verplichten ermee in te stemmen dat de accreditatieorganisatie die de aan te wijzen organisatie heeft geaccrediteerd, de minister met redenen omkleed informeert over eventuele afwijkingen ten opzichte van de oorspronkelijke accreditatie die tijdens de door haar uitgevoerde (jaarlijkse) herbeoordelingen worden geconstateerd. Dit is belangrijke informatie voor de minister om te kunnen beoordelen of de aangewezen organisatie blijft voldoen aan het gestelde in de artikelen 3a en 3b, en indien dat niet het geval is een aanwijzing in te kunnen trekken op grond van artikel 18.16, derde lid, van de Telecommunicatiewet. De normering van de eisen die in artikel 3b zijn gesteld, is gebaseerd op CEN Workshop Agreement CWA 14172-2.

Het tweede en het vierde lid van artikel 3a bevatten twee delegatiebepalingen op grond waarvan bij ministeriële regeling regels worden geven betreffende het aanvragen van een aanwijzing tot certificatieorganisatie en het verstrekken van informatie door een aangewezen organisatie. Deze informatieverplichtingen zijn thans opgenomen in de Beleidsregel aanwijzing certificatieorganisaties elektronische handtekeningen en zullen worden opgenomen in de Regeling elektronische handtekeningen.

Artikel I, onderdeel B

In dit onderdeel wordt artikel 4 van het besluit gewijzigd. Artikel 4 bevat eisen waaraan een instelling moet voldoen om te kunnen worden aangewezen als een instelling die is belast met het beoordelen van overeenstemming van veilige middelen voor het aanmaken van elektronische handtekeningen met bijlage III van de richtlijn als bedoeld in artikel 18.17a van de Telecommunicatiewet. Naast de in het tweede en derde lid opgesomde eisen waaraan een instelling moet voldoen, moet een instelling ook voldoen aan de eisen genoemd in het nieuwe eerste lid. Deze eisen zijn overgenomen uit artikel 5, tweede lid, van de Regeling elektronische handtekeningen omdat die eisen tezamen met de eisen genoemd in het tweede en derde lid het pakket aan eisen vormen waaraan een instelling moet voldoen om voor een aanwijzing als bedoeld in artikel 18.17a in aanmerking te komen. In het vierde en zesde lid zijn delegatiebepalingen opgenomen op grond waarvan bij ministeriële regeling voorschriften worden gegeven betreffende het aanvragen van een aanwijzing tot instelling als bedoeld in artikel 18.17a van de Telecommunicatiewet en regels betreffende het verstrekken van informatie die noodzakelijk is om toezicht te kunnen houden op de aangewezen instelling.

Artikel II

Artikel 5 van het Besluit voorwaardelijke toegang is in dat besluit opgenomen om er zorg voor te dragen dat artikel 4, derde lid, van richtlijn 2002/19/EG van het Europees Parlement en de Raad van de Europese Unie van 7 maart 2002 inzake de toegang tot en de interconnectie van elektronische-communicatienetwerken en bijbehorende faciliteiten (PbEG L 108) (Toegangsrichtlijn) volledig zou zijn geïmplementeerd. Dit artikel was een aanvulling op artikel 6.1, tweede lid, van de Telecommunicatiewet omdat deze bepaling van de richtlijn in dit artikel niet geheel juist en maar gedeeltelijk geïmplementeerd was. Bij de Veegwet EZ 2005 is deze omissie in artikel 6.1 van de Telecommunicatiewet rechtgezet. Zodoende kan nu artikel 5 van het Besluit voorwaardelijke toegang vervallen.

Artikel III

Artikel 5 van het Besluit medegebruik omroepzendernetwerken is in dat besluit opgenomen bij Besluit van 8 maart 2005, Stb. 2005, 142 houdende enkele technische wijzigingen van het Frequentiebesluit en het Besluit beveiliging gegevens aftappen telecommunicatie, alsmede een wijziging van het Besluit medegebruik omroepzendernetwerken teneinde een regime van medegebruik uit te breiden tot aanbieders van antenneopstelpunten die bestemd zijn voor omroep. Met het opnemen van deze bepaling in het Besluit medegebruik omroepzendernetwerken werden de regels betreffende het medegebruik van antenneopstelpunten ook van toepassing op bedrijven die uitsluitend masten voor omroep aanbieden. De aanleiding hiervoor was de splitsing van Nozema N.V. in een mastenbedrijf dat uitsluitend masten aanbiedt (Nederlandse Opstelpunten voor Ethercommunicatie (NOVEC) B.V. en een dienstenbedrijf dat een omroepzendernetwerk aanbiedt en daarnaast ook beschikt over lage opstelpunten (Nozema Services N.V.). In de toelichting op dit artikel is reeds aangekondigd dat dit artikel zal komen te vervallen zodra op wetsniveau in artikel 3.11 van de Telecommunicatiewet voorzieningen zijn getroffen die de regels van medegebruik ook van toepassing verklaren op aanbieders van antenneopstelpunten voor omroepzendernetwerken. Dat is geschiedt bij wijziging van artikel 3.11 in de Veegwet EZ 2005. Om die reden is artikel 5 van het Besluit medegebruik omroepzendernetwerken overbodig geworden en kan komen te vervallen.

De Minister van Economische Zaken,

J. G. Wijn


XHistnoot

Het advies van de Raad van State wordt niet openbaar gemaakt op grond van artikel 25a, vijfde lid j° vierde lid, onder b van de Wet op de Raad van State, omdat het uitsluitend opmerkingen van redactionele aard bevat.

Naar boven