Reglament de supervisió, control i servei públic de confiança electrònica (Text refós sense caràcter oficial)
Índex
[Mostra/Amaga]- Títol preliminar
- Títol I. Acreditació, supervisió i de control de prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats
- Article 2. Organisme d’acreditació, supervisió i control
- Article 3. Funcions de la Comissió Nacional d’Acreditació com a supervisor
- Article 4. Potestat inspectora de la Comissió Nacional d’Acreditació
- Article 5. Obligacions dels prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats
- Article 6. Procediment sancionador
- Article 7. Infraccions i gravetat de les infraccions
- Títol II. Organització i funcionament de la Comissió Nacional d’Acreditació
- Títol III. Certificació dels prestadors de serveis de confiança electrònica qualificats
- Article 18. Entitats de certificació
- Article 19. Independència de les entitats de certificació
- Article 20
- Article 21. Informe d’acreditació de les entitats de certificació
- Article 22. Requisits mínims de les entitats de certificació acreditades
- Article 23. Obligacions de les entitats de certificació acreditades
- Article 24. Vigència de les acreditacions
- Article 25. Extinció de les acreditacions
- Títol IV. Certificació dels prestadors de serveis de confiança electrònica qualificats
- Article 26. Concepte de prestador de serveis de confiança electrònica qualificats
- Article 27. Certificació dels prestadors de serveis de confiança electrònica qualificats
- Article 28. Sol·licitud de certificació
- Article 29. Resolució de la sol·licitud de certificació
- Article 30. Contingut i vigència de la certificació
- Títol V. Oficina de Serveis de Confiança Electrònica del Principat d’Andorra
- Article 31. Creació de l’Oficina de Serveis de Confiança Electrònica del Principat d’Andorra
- Article 32. Responsable de l’Oficina de Serveis de Confiança Electrònica del Principat d’Andorra
- Article 33. Informes al secretari general del Govern
- Article 34. Estructura i funcionament de l’Oficina de Serveis de Confiança Electrònica del Principat d’Andorra
- Títol VI. Identificadors d’objectes (OID)
- Article 35. Objecte
- Article 36. Definicions
- Article 37. OID del Principat d’Andorra
- Article 38. Autoritat Nacional de Registre d’OID
- Article 39. Branques principals
- Article 40. Jerarquia de nivells inferiors
- Article 41. Petició de nombre d’OID
- Article 42. Atorgament d’OID
- Article 43. Prohibició de reassignació
- Disposició addicional primera
- Disposició addicional segona
- Disposició derogatòria única. Derogació normativa
- Disposició final. Entrada en vigor
Títol preliminar
Article 1. Finalitat, objecte i àmbit d’aplicació
1. Aquest Reglament regula al Principat d’Andorra, entre d’altres:
- La supervisió i el control dels prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats, en compliment de l’article 33 de la Llei de serveis de confiança electrònica, així com el règim jurídic de la Comissió Nacional d’Acreditació en la seva condició d’òrgan supervisor.
- El sistema de certificació voluntària dels serveis de confiança electrònica qualificats.
- L’Oficina de Serveis de Confiança Electrònica del Principat d’Andorra, i els OID.
- El sistema de certificació voluntària dels serveis de confiança electrònica qualificats.
- L’Oficina de Serveis de Confiança Electrònica del Principat d’Andorra, i els OID.
2. La finalitat d’aquest Reglament és desenvolupar la Llei de serveis de confiança electrònica per garantir un grau adequat de seguretat, qualitat i confiança en la prestació de serveis de confiança electrònica qualificats, i protegir degudament els drets dels usuaris, en establir els sistemes de supervisió i control i certificació en relació amb els prestadors de serveis de confiança electrònica i els seus serveis i productes.
3. El sistema de supervisió i control definit en aquest Reglament és obligatori, i es configura com un requisit d’eficàcia administrativa per a l’inici i el manteniment de l’activitat dels prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats.
4. La certificació definida en aquest Reglament és voluntària, i afecta les entitats prestadores de serveis de confiança electrònica qualificats que vulguin obtenir una prova de compliment dels requisits legals, a efectes processals.
Títol I. Acreditació, supervisió i de control de prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats
Article 2. Organisme d’acreditació, supervisió i control
En compliment de l’article 33.1 de la Llei de serveis de confiança electrònica, l’entitat pública que fa les funcions d’entitat d’acreditació i supervisió dels prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats és, de manera exclusiva, la Comissió Nacional d’Acreditació, l’organització i funcionament de la qual es regulen al capítol segon d’aquest títol.
Article 3. Funcions de la Comissió Nacional d’Acreditació com a supervisor
1. La Comissió Nacional d’Acreditació vetlla perquè els prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats compleixin les obligacions establertes a la Llei de serveis de confiança electrònica.
Amb aquesta finalitat, la Comissió Nacional d’Acreditació disposa de potestat inspectora en l’àmbit de les seves competències.
2. Són funcions de la Comissió Nacional d’Acreditació:
a) Verificar la conformitat dels prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats, mitjançant el control de les auditories a què es refereix l’article 35.1, i el coneixement de l’auditoria de seguretat de l’article 36.1 de la Llei de serveis de confiança electrònica.
b) Intervenir i verificar el procediment de certificació voluntària del compliment dels requisits aplicables als serveis de confiança electrònica qualificats, en els termes de l’article 38 de la Llei de serveis de confiança electrònica, amb la posterior emissió de la proposta no vinculant al Govern.
c) Acreditar els següents organismes independents reconeguts:
L’acreditació dels organismes a què es refereixen els punts 2 i 3 es produeix per delegació de la competència del Govern a la Comissió Nacional d’Acreditació, la qual inclou la potestat de revocar l’acreditació.
b) Intervenir i verificar el procediment de certificació voluntària del compliment dels requisits aplicables als serveis de confiança electrònica qualificats, en els termes de l’article 38 de la Llei de serveis de confiança electrònica, amb la posterior emissió de la proposta no vinculant al Govern.
c) Acreditar els següents organismes independents reconeguts:
1. Els que puguin emetre els informes d’auditoria a què es refereixen els articles 27.1, 35.1 i 36.1 de la Llei de serveis de confiança electrònica.
2. Els que puguin emetre la proposta de certificació no vinculant a què es refereix l’article 38 de la Llei de serveis de confiança electrònica.
3. Els laboratoris d’avaluació de productes que certifiquin els dispositius de creació de signatura electrònica qualificada i segells electrònics qualificats a què es refereix l’article 11 de la Llei de serveis de confiança electrònica.
2. Els que puguin emetre la proposta de certificació no vinculant a què es refereix l’article 38 de la Llei de serveis de confiança electrònica.
3. Els laboratoris d’avaluació de productes que certifiquin els dispositius de creació de signatura electrònica qualificada i segells electrònics qualificats a què es refereix l’article 11 de la Llei de serveis de confiança electrònica.
L’acreditació dels organismes a què es refereixen els punts 2 i 3 es produeix per delegació de la competència del Govern a la Comissió Nacional d’Acreditació, la qual inclou la potestat de revocar l’acreditació.
3. Són funcions específiques de la Comissió Nacional d’Acreditació, a més de les indicades a la Llei de serveis de confiança electrònica:
a) Informar les autoritats de protecció de dades dels resultats de les seves auditories en cas de resultar infringides les normes sobre protecció de dades personals.
b) Participar en l’elaboració de les llistes de confiança electrònica del Govern amb informació relativa als prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats.
b) Participar en l’elaboració de les llistes de confiança electrònica del Govern amb informació relativa als prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats.
Article 4. Potestat inspectora de la Comissió Nacional d’Acreditació
1. La Comissió Nacional d’Acreditació pot efectuar inspeccions d’ofici o amb motiu de les reclamacions que rebi sobre la qualitat de l’activitat dels prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats.
2. Amb aquest motiu la Comissió Nacional d’Acreditació designa els treballadors del Govern per realitzar les funcions d’inspecció, els quals es consideren agents de l’autoritat en el desenvolupament de les seves funcions.
3. Així mateix, sempre que la Comissió Nacional d’Acreditació ho cregui oportú, durant les seves funcions d’inspecció els treballadors del Govern designats poden anar acompanyats de les persones que considerin necessàries. En tot cas, abans d’iniciar les inspeccions, aquests acompanyants tenen l’obligació d’identificar-se.
4. Els prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats han de permetre als inspectors i, si escau, als seus acompanyants l’accés a les instal·lacions i la consulta de tota la documentació que considerin rellevant per poder dur a terme amb eficàcia la seva tasca de control.
5. La Comissió Nacional d’Acreditació té l’obligació de portar a terme, com a mínim, una actuació inspectora anual per a cada un dels prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats.
Article 5. Obligacions dels prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats
Els prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats tenen les obligacions d’informació i col·laboració a què es refereixen els articles 34 i 36 de la Llei de serveis de confiança electrònica.
La informació a què es refereix l’article 34.2 de la Llei de serveis de confiança electrònica ha de ser actualitzada pels prestadors de serveis de confiança anualment, i és objecte de publicació a la pàgina web de la Comissió Nacional d’Acreditació amb la finalitat d’atorgar-li la màxima difusió i coneixement, respectant la confidencialitat de les dades personals segons la legislació vigent.
Article 6. Procediment sancionador
El procediment sancionador és el regulat al Codi de l’Administració amb les especificitats següents derivades de la Llei de serveis de confiança electrònica:
La Comissió Nacional d’Acreditació és competent per acordar la incoació dels expedients sancionadors i designar l’instructor de l’expedient que correspongui.
L’òrgan competent per resoldre l’expedient sancionador és el Govern, en relació amb les infraccions greus o molt greus, i el ministre d’Administració Pública, Transports i Telecomunicacions pel que fa a les infraccions lleus.
Durant la tramitació de l’expedient, La Comissió Nacional d’Acreditació pot acordar les mesures cautelars que consideri necessàries previstes a la Llei de serveis de confiança electrònica. En aquest cas, ha de publicar a la seva pàgina web que el prestador de serveis de confiança electrònica es troba sota mesures cautelars i en què consisteixen.
Article 7. Infraccions i gravetat de les infraccions
En el supòsit d’infraccions greus i molt greus, la resolució sancionadora s’ha de publicar, a més de l’espai indicat a l’article 40.3 de la Llei de serveis de confiança electrònica, a la pàgina web de la Comissió Nacional d’Acreditació, amb la informació prevista a la Llei de serveis de confiança electrònica.
Títol II. Organització i funcionament de la Comissió Nacional d’Acreditació
Article 8. Definició
1. La Comissió Nacional d’Acreditació, que depèn orgànicament del Ministeri d’Administració Pública, Transports i Telecomunicacions, que pot delegar aquesta dependència orgànica, és l’entitat pública que ha de vetllar per aconseguir un grau adequat de seguretat, qualitat i confiança en la prestació de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats i per protegir degudament els drets dels usuaris.
2. Les funcions de la Comissió Nacional d’Acreditació són les que s’indiquen en els articles 3, 4 i 13 d’aquest Reglament.
Article 9. Composició
La Comissió Nacional d’Acreditació està integrada per cinc membres, tots en representació del Govern. Els membres de la Comissió Nacional d’Acreditació designats pel Govern, per a un període de quatre anys, són:
a) Una persona designada pel cap de Govern.
b) El responsable de la seguretat industrial del ministeri encarregat de la indústria.
c) El responsable del departament encarregat dels sistemes d’informació del Govern.
d) Una persona del departament encarregat de la seguretat industrial.
e) Un secretari designat pel cap de Govern, que pot ser la mateixa persona de l’apartat a).
b) El responsable de la seguretat industrial del ministeri encarregat de la indústria.
c) El responsable del departament encarregat dels sistemes d’informació del Govern.
d) Una persona del departament encarregat de la seguretat industrial.
e) Un secretari designat pel cap de Govern, que pot ser la mateixa persona de l’apartat a).
Article 10. President
1. La presidència de la Comissió Nacional d’Acreditació recau en el responsable del departament encarregat dels sistemes d’informació.
2. Les funcions del president són:
a) Representar la Comissió.
b) Convocar la Comissió, establir l’ordre del dia i presidir les sessions.
c) Dirimir els empats amb el seu vot.
d) Signar les actes, les certificacions d’acords, els informes, les autoritzacions d’inspecció i els dictàmens.
b) Convocar la Comissió, establir l’ordre del dia i presidir les sessions.
c) Dirimir els empats amb el seu vot.
d) Signar les actes, les certificacions d’acords, els informes, les autoritzacions d’inspecció i els dictàmens.
Article 11. Vicepresident
1. La vicepresidència de la Comissió Nacional d’Acreditació recau en el responsable de la seguretat industrial del ministeri encarregat de la indústria.
2. Les funcions del vicepresident són:
a) Substituir el president en cas d’absència, de malaltia o per qualsevol altra causa que impedeixi al president l’exercici de les seves funcions.
b) Encarregar-se del despatx i dels assumptes que li delegui el president.
b) Encarregar-se del despatx i dels assumptes que li delegui el president.
Article 12. Secretari
1. El secretari de la Comissió Nacional d’Acreditació assisteix tècnicament i administrativament la Comissió.
2. Les funcions del secretari són:
a) Estendre les actes de les sessions de la Comissió, signar-les i sotmetre-les al vistiplau del president.
b) Presentar anualment un informe a la Comissió Nacional d’Acreditació sobre el funcionament de la Comissió.
c) Qualsevol altra que li encomani el president.
b) Presentar anualment un informe a la Comissió Nacional d’Acreditació sobre el funcionament de la Comissió.
c) Qualsevol altra que li encomani el president.
Article 13. Competències
A més de les competències i funcions que li corresponen en la seva condició d’organisme de supervisió i control segons el que s’ha dit als articles 3 i 4 d’aquest Reglament, també són competències de la Comissió Nacional d’Acreditació:
a) Proposar al Govern l’aprovació o la modificació del capítol segon, títol I, del Reglament de supervisió, control i servei públic de confiança electrònica.
b) Emetre informes al Govern sobre les qüestions previstes a la Llei de serveis de confiança electrònica.
c) Designar els treballadors del Govern supervisors i autoritzar les persones que els puguin acompanyar en les inspeccions.
d) Designar els treballadors del Govern instructors dels expedients sancionadors.
e) Adoptar les mesures cautelars necessàries.
f) Resoldre els expedients sancionadors que comportin una infracció considerada lleu o greu, per delegació del ministre d’Administració Pública, Transports i Telecomunicacions, i del Govern, respectivament.
g) Proposar al Govern, perquè sigui publicada al Butlletí Oficial del Principat d’Andorra, la llista de normes tècniques per als procediments d’acreditació, supervisió i control, i certificació, així com la relació d’organismes independents reconeguts a què es refereix l’article 3.2.c d’aquest Reglament que vulguin operar al territori del Principat d’Andorra.
h) Publicar a la seva pàgina web la llista de normes tècniques per als procediments d’acreditació, supervisió i control, i certificació, i la relació d’organismes independents reconeguts a què es refereix l’article 3.2.c d’aquest Reglament.
i) Les altres que li assigni la legislació vigent.
b) Emetre informes al Govern sobre les qüestions previstes a la Llei de serveis de confiança electrònica.
c) Designar els treballadors del Govern supervisors i autoritzar les persones que els puguin acompanyar en les inspeccions.
d) Designar els treballadors del Govern instructors dels expedients sancionadors.
e) Adoptar les mesures cautelars necessàries.
f) Resoldre els expedients sancionadors que comportin una infracció considerada lleu o greu, per delegació del ministre d’Administració Pública, Transports i Telecomunicacions, i del Govern, respectivament.
g) Proposar al Govern, perquè sigui publicada al Butlletí Oficial del Principat d’Andorra, la llista de normes tècniques per als procediments d’acreditació, supervisió i control, i certificació, així com la relació d’organismes independents reconeguts a què es refereix l’article 3.2.c d’aquest Reglament que vulguin operar al territori del Principat d’Andorra.
h) Publicar a la seva pàgina web la llista de normes tècniques per als procediments d’acreditació, supervisió i control, i certificació, i la relació d’organismes independents reconeguts a què es refereix l’article 3.2.c d’aquest Reglament.
i) Les altres que li assigni la legislació vigent.
Article 14. Organització interna
1. La Comissió Nacional d’Acreditació pot constituir subcomissions i grups de treball per preparar els assumptes sobre els quals hagi d’informar posteriorment.
2. La Comissió Nacional d’Acreditació, les seves subcomissions i els grups de treball que es constitueixin poden demanar l’assessorament de tècnics i experts.
Article 15. Sessions
1. Les sessions de la Comissió Nacional d’Acreditació les convoca el president amb una antelació mínima de cinc dies hàbils, amb indicació del dia, el lloc i l’hora de la reunió, i de l’ordre del dia. La convocatòria pot incloure la previsió d’una segona convocatòria de la sessió.
2. El president fixa l’ordre del dia de les sessions. Abans que es convoqui la sessió corresponent, tres membres de la Comissió poden demanar al president que inclogui un assumpte determinat en l’ordre del dia.
3. No es pot deliberar, votar ni prendre acords sobre temes no inclosos en l’ordre del dia de la reunió, llevat que hi siguin presents tots els membres de la Comissió Nacional d’Acreditació i ho decideixin així per unanimitat.
4. Per a la constitució vàlida d’una reunió de la Comissió Nacional d’Acreditació cal que hi siguin presents tres dels seus membres, entre els quals hi ha d’haver, com a mínim, el president o el vicepresident.
5. El secretari aixeca acta de les sessions, en què fa constar el dia, l’hora i el lloc de la reunió, l’ordre del dia, els assistents, els acords adoptats i les qüestions principals que s’hagin deliberat. L’acta de la sessió l’ha d’aprovar la Comissió en una sessió posterior, i l’ha de signar el president.
Article 16. Règim de decisió
1. La Comissió Nacional d’Acreditació decideix per majoria simple dels seus membres.
2. En cas d’empat, dirimeix el vot del president.
3. Els membres que discrepin dels acords adoptats poden fer constar a l’acta la seva discrepància i poden adjuntar vots particulars als acords.
Article 17. Procediment d’emissió d’informes i dictàmens
1. Un cop rebuda la petició d’un informe o un dictamen, el president la trasllada a tots els membres de la Comissió Nacional d’Acreditació i, en un termini de tres dies hàbils i una vegada ha escoltat el vicepresident, nomena un ponent.
2. El ponent ha de presentar el projecte d’informe o de dictamen en un termini de deu dies hàbils des del seu nomenament. El president, quan la naturalesa de l’assumpte ho requereixi, pot prorrogar aquest termini fins a deu dies hàbils més. En cas d’urgència, el president pot reduir aquest termini a cinc dies hàbils.
3. El projecte d’informe o de dictamen elaborat pels ponents es distribueix entre els membres de la Comissió Nacional d’Acreditació en un termini de tres dies hàbils des del seu lliurament.
4. El projecte d’informe o de dictamen se sotmet a la deliberació i a l’aprovació de la Comissió Nacional d’Acreditació en un termini no inferior a cinc dies hàbils ni superior a quinze, a comptar del seu lliurament.
5. En tot cas, l’emissió de l’informe o el dictamen té lloc dins del termini de dos mesos a comptar de la sol·licitud.
6. Els membres de la Comissió Nacional d’Acreditació que discrepin poden adjuntar vots particulars als informes i els dictàmens aprovats. A aquest efecte, disposen de dos dies hàbils per lliurar al secretari el seu vot particular, a comptar del moment en què quedi fixada la redacció definitiva de l’informe o del dictamen.
Si se sobrepassen els dos mesos de termini màxim per emetre l’informe o el dictamen, aquest informe o dictamen s’envia al seu sol·licitant tot indicant que s’hi ha formulat un o diversos vots particulars. El secretari de la Comissió Nacional d’Acreditació els tramet al sol·licitant tan bon punt els rebi.
Títol III. Certificació dels prestadors de serveis de confiança electrònica qualificats
Article 18. Entitats de certificació
1. Són competents per intervenir en el procediment de certificació dels serveis de confiança electrònica qualificats segons el contingut de l’article 38 de la Llei de serveis de confiança electrònica:
- la Comissió Nacional d’Acreditació, i
- altres entitats públiques o privades acreditades pel Govern, o per la mateixa Comissió Nacional d’Acreditació.
- altres entitats públiques o privades acreditades pel Govern, o per la mateixa Comissió Nacional d’Acreditació.
2. Per a l’actuació al Principat d’Andorra d’aquestes entitats públiques o privades acreditades pel Govern o per la Comissió Nacional d’Acreditació, cal fer-ne publicitat mitjançant la publicació al Butlletí Oficial del Principat d’Andorra, i si escau, a la pàgina web de la Comissió Nacional d’Acreditació.
Article 19. Independència de les entitats de certificació
Les entitats de certificació de serveis de confiança electrònica qualificats han de garantir la seva plena independència i imparcialitat amb aquests prestadors de serveis de confiança electrònica, i amb els fabricants o els importadors de productes relacionats amb els serveis de confiança electrònica qualificats que sol·licitin la intervenció en el procés de certificació.
Article 20
1. L’entitat que estigui interessada o tingui la intenció d’iniciar la prestació d’un servei de confiança electrònica segons preveu l’article 36 de la Llei 35/2014, del 27 de novembre i ser acreditada com a entitat de certificació, ha de presentar, omplerta correctament, la sol·licitud oficial “Sol·licitud d’inici de l’activitat dels prestadors de serveis de confiança electrònica qualificats” amb número de referència A3-T0036, d’acord amb el model adjunt en l’annex 1 d’aquest Reglament. Aquesta sol·licitud també es troba en la pàgina web que contingui els tràmits del Govern i a la pàgina web de la Comissió Nacional d’Acreditació, i presentar-la per e-tràmits.ad, pàgina habilitada per sol·licitar la demanda.
2. L’entitat que estigui interessada o tingui la intenció d’iniciar la prestació del servei de Digitalització Qualificada segons preveu l’article 36 de la Llei 35/2014, del 27 de novembre, de serveis de confiança electrònica (d’ara en endavant “LCCE”), així com la homologació d’aquest servei segons el Decret 89/2023 de digitalització qualificada i ser acreditada com a entitat de certificació ha d’omplir la sol·licitud oficial “Sol·licitud d’homologació i inici d’activitat del servei de digitalització qualificada” amb número de referència A3-T0034, d’acord amb el model adjunt en l’annex 2 d’aquest Reglament. Aquesta sol·licitud també es troba en la pàgina web que contingui els tràmits del Govern i a la pàgina web de la Comissió Nacional d’Acreditació, i presentar-la per e-tràmits.ad, pàgina habilitada per sol·licitar la demanda.
3. L’entitat que estigui interessada o tingui la intenció d’iniciar la prestació del servei de confiança electrònica d’arxiu qualificat, ha d’omplir la sol·licitud oficial “Sol·licitud d’inici d’activitat del servei d’arxiu qualificat” amb número de referència A3-T0034, d’acord amb el model adjunt en l’annex 3 d’aquest Reglament. Aquesta sol·licitud també es troba en la pàgina web que contingui els tràmits del Govern i a la pàgina web de la Comissió Nacional d’Acreditació, i presentar-la per e-tràmits.ad, pàgina habilitada per sol·licitar la demanda.
Article 21. Informe d’acreditació de les entitats de certificació
En el cas d’acreditació pel Govern, i després d’haver estudiat la sol·licitud i la documentació que l’acompanya, la Comissió Nacional d’Acreditació elabora un informe no vinculant per al Govern, que pren una decisió motivada en forma de resolució i la comunica a l’entitat sol·licitant.
En cas de desacord per part de l’entitat, aquesta entitat pot interposar recurs de reposició davant del Govern segons s’estipula el Codi de l’Administració.
Article 22. Requisits mínims de les entitats de certificació acreditades
1. L’acreditació s’atorga a les entitats sol·licitants en cas que estiguin prou capacitades per dur a terme la certificació dels serveis de confiança electrònics qualificats i compleixin els requisits exigits, en particular els referits a l’article 20.2.f.
2. Les entitats de certificació acreditades han de complir els requisits mínims que s’estableixen a continuació:
a) L’entitat i el seu personal han de ser capaços d’avaluar la conformitat dels serveis de confiança electrònics qualificats, segons es defineixen en la legislació de serveis de confiança electrònica vigent, amb un nivell elevat d’integritat professional, fiabilitat i competència tècnica.
b) L’entitat ha de demostrar que disposa de dos tècnics com a mínim per desenvolupar les tasques de certificació. Les competències mínimes que han de tenir aquestes persones són:
b) L’entitat ha de demostrar que disposa de dos tècnics com a mínim per desenvolupar les tasques de certificació. Les competències mínimes que han de tenir aquestes persones són:
i. CISA (Certified Information Systems Auditor) o certificació professional equivalent, atorgats per la ISACA (Information Systems Audit and Control Association), o titulació equivalent que acrediti coneixements en l’àmbit dels serveis de confiança electrònica.
ii. Cinc anys d’experiència acreditable en l’àmbit dels serveis de confiança electrònica.
ii. Cinc anys d’experiència acreditable en l’àmbit dels serveis de confiança electrònica.
Article 23. Obligacions de les entitats de certificació acreditades
1. Mentre l’habilitació es manté en vigor, les entitats de certificació acreditades estan obligades a complir, en tot moment, els requisits d’acord amb els quals van aconseguir l’habilitació i els del punt 2 de l’article anterior, així com a notificar qualsevol canvi de les dades especificades a l’article 20 d’aquest Reglament.
2. La Comissió Nacional d’Acreditació pot efectuar els controls pertinents per assegurar que les entitats de certificació compleixen els requisits de la seva acreditació.
Article 24. Vigència de les acreditacions
1. Les acreditacions d’entitats de certificació de prestadors de serveis de confiança electrònica qualificats tenen un període de validesa de cinc anys.
2. L’acreditació pot ser revocada d’ofici per la Comissió Nacional d’Acreditació i pel Govern a proposta de la Comissió Nacional d’Acreditació, en cas que durant el termini indicat es produeixin canvis fonamentals o substancials en l’entitat de certificació de què es tracti, a parer de la Comissió Nacional d’Acreditació. A aquests efectes, l’entitat de certificació de prestadors de serveis de confiança electrònica qualificats, cada vegada que es produeixi un canvi d’aquest tipus, resta obligada a comunicar-lo a la Comissió Nacional d’Acreditació en el termini d’un mes des que es produeixi el canvi.
En el cas de revocació de l’acreditació, el representant legal de l’entitat de certificació pot interposar el corresponent recurs administratiu segons el que disposa el Codi de l’Administració vigent.
Article 25. Extinció de les acreditacions
L’acreditació de l’entitat de certificació de serveis de confiança electrònica qualificats es pot extingir per les causes següents:
a) El venciment del termini pel qual es va atorgar.
b) La renúncia expressa de l’entitat de certificació de serveis de confiança electrònica qualificats abans del termini de cinc anys. En aquest cas, l’entitat de certificació de serveis de confiança electrònica qualificats ha d’avisar la Comissió Nacional d’Acreditació per escrit amb una antelació de tres mesos.
c) La cessació de l’activitat de l’entitat de certificació de serveis de confiança electrònica qualificats.
d) La revocació pel Govern o per la Comissió Nacional d’Acreditació.
b) La renúncia expressa de l’entitat de certificació de serveis de confiança electrònica qualificats abans del termini de cinc anys. En aquest cas, l’entitat de certificació de serveis de confiança electrònica qualificats ha d’avisar la Comissió Nacional d’Acreditació per escrit amb una antelació de tres mesos.
c) La cessació de l’activitat de l’entitat de certificació de serveis de confiança electrònica qualificats.
d) La revocació pel Govern o per la Comissió Nacional d’Acreditació.
En aquest cas, el representant de l’entitat de certificació pot interposar el corresponent recurs administratiu segon el que disposa el Codi de l’Administració vigent.
Títol IV. Certificació dels prestadors de serveis de confiança electrònica qualificats
Article 26. Concepte de prestador de serveis de confiança electrònica qualificats
El prestador de serveis de confiança electrònica qualificats és la persona física o jurídica que presta un o més serveis de confiança electrònica dels regulats a la Llei de serveis de confiança electrònica amb compliment dels requisits establerts a la mateixa Llei.
Article 27. Certificació dels prestadors de serveis de confiança electrònica qualificats
1. Els prestadors de serveis de confiança electrònica qualificats que desitgin ser certificats poden sol·licitar la certificació per a un o diversos dels serveis electrònics relatius al cicle de vida de l’autenticació electrònica, les signatures electròniques, els segells electrònics, les marques de temps electròniques, els documents electrònics, el lliurament electrònic, l’autenticació de llocs web, la provisió de certificats electrònics i xifrat, inclosos els certificats de signatura electrònica i de segell electrònic. Aquesta certificació també es pot demanar en relació amb els productes dels serveis de confiança electrònica qualificats.
2. Per a la certificació dels serveis de confiança electrònica qualificats, s’exigeix el compliment de les obligacions establertes a la Llei de serveis de confiança electrònica vigent.
3. Un prestador de serveis de confiança electrònica qualificats que demana ser certificat com a qualificat ha de presentar a una entitat de certificació la documentació definida en l’article 20 d’aquest Reglament, a excepció de la demanada a la lletra e), a fi que n’avaluï la capacitat de prestar serveis de confiança electrònica qualificats i emeti una declaració a favor seu sobre aquesta capacitat.
4. El prestador té l’obligació de lliurar a les entitats de certificació tots els elements necessaris per al bon acompliment del procediment d’avaluació.
5. El procés d’avaluació que presten les entitats de certificació no pressuposa la certificació favorable del prestador de serveis de confiança electrònica qualificats.
Article 28. Sol·licitud de certificació
1. El prestador de serveis de confiança electrònica qualificats que estigui interessat a obtenir una certificació ha d’omplir el formulari de sol·licitud de certificació de prestadors de serveis de confiança electrònica qualificats, i adreçar-lo a l’entitat de certificació.
2. A la sol·licitud esmentada el prestador de serveis de confiança electrònica qualificats ha d’adjuntar:
a) La declaració prèvia de pràctiques de confiança electrònica, que inclou les obligacions i les garanties a les quals es comprometen en relació amb la gestió dels serveis de confiança electrònica i les dades implicades en els mateixos serveis, les condicions aplicables a les sol·licituds, l’ús, la suspensió de la vigència, l’extinció i les mesures de seguretat aplicables, així com la resta de dades i informacions que s’estableixin en relació amb cada servei de confiança electrònica tal com exigeix la Llei de serveis de confiança electrònica.
b) La informació addicional que exigeix la Llei de serveis de confiança electrònica amb referència als prestadors de serveis de confiança electrònica qualificats.
c) Una declaració jurada de les persones que representin el prestador de serveis conforme l’entitat es troba al corrent de les seves obligacions tributàries i no es troba en cap dels supòsits d’incompatibilitat de l’article 7 de la Llei de la contractació pública, del 09-11-2000.
b) La informació addicional que exigeix la Llei de serveis de confiança electrònica amb referència als prestadors de serveis de confiança electrònica qualificats.
c) Una declaració jurada de les persones que representin el prestador de serveis conforme l’entitat es troba al corrent de les seves obligacions tributàries i no es troba en cap dels supòsits d’incompatibilitat de l’article 7 de la Llei de la contractació pública, del 09-11-2000.
Article 29. Resolució de la sol·licitud de certificació
1. L’entitat de certificació, un cop estudiada la sol·licitud i la documentació presentades, emet un informe no vinculant, independent i objectiu, que tramet al Govern. El Govern decideix en sentit favorable o desfavorable.
El Govern informa el prestador de serveis de confiança electrònica qualificats de la seva decisió mitjançant notificació de la resolució emesa pel Govern.
2. La llista dels prestadors de serveis de confiança electrònica qualificats, i dels seus productes, que hagin obtingut una certificació dels seus serveis, es publica al Butlletí Oficial del Principat d’Andorra. Amb aquesta finalitat, el Govern queda obligat a remetre mensualment la llista de certificats emesos al Butlletí Oficial del Principat d’Andorra.
Article 30. Contingut i vigència de la certificació
1. L’emissió d’una certificació de caràcter favorable a un prestador de serveis de confiança electrònica qualificat l’obliga a mantenir, en tot moment, els requisits d’acord amb els quals va aconseguir la certificació.
2. La certificació té una vigència de tres anys. No obstant això, aquest termini és inferior en les circumstàncies següents:
a) Si es produeixen canvis importants en l’àmbit d’aplicació del serveis de confiança electrònica qualificats;
b) Si hi ha canvis importants en els tipus de serveis prestats pel prestador de serveis de confiança electrònica qualificats que hagi obtingut la certificació;
c) Cada vegada que s’inclogui un nou servei pel prestador de serveis de confiança electrònica qualificats;
d) Si es produeix un canvi important dels sistemes de TI i processos de negoci utilitzats pel prestador de serveis.
b) Si hi ha canvis importants en els tipus de serveis prestats pel prestador de serveis de confiança electrònica qualificats que hagi obtingut la certificació;
c) Cada vegada que s’inclogui un nou servei pel prestador de serveis de confiança electrònica qualificats;
d) Si es produeix un canvi important dels sistemes de TI i processos de negoci utilitzats pel prestador de serveis.
3. Una vegada vençuda la certificació, pot ser renovada pel mateix període, sempre que es constati, mitjançant un informe favorable d’una entitat de certificació habilitada, que el prestador continua complint les condicions exigibles per a l’acreditació.
Títol V. Oficina de Serveis de Confiança Electrònica del Principat d’Andorra
Article 31. Creació de l’Oficina de Serveis de Confiança Electrònica del Principat d’Andorra
Es crea l’Oficina de Serveis de Confiança Electrònica del Principat d’Andorra en relació amb els serveis de confiança electrònica que presti l’entitat de certificació del Govern, amb les funcions següents:
a) Assumir el seguiment, l’impuls i la coordinació dels serveis de confiança electrònica.
b) Protegir els drets dels usuaris dels serveis de confiança electrònica.
c) Divulgar l’ús dels serveis de confiança electrònica.
d) Desenvolupar les activitats de l’entitat de certificació del Govern.
e) Gestionar el compliment dels requisits d’equivalència que estableix la Llei de serveis de confiança electrònica amb altres prestadors de serveis de confiança electrònica.
f) Mantenir i actualitzar les instruccions generals o polítiques de signatura, xifratge, autenticació, evidència, certificació digital, de marcatge de temps i de gestió de claus, així com de qualsevol altre tipus que es cregui convenient.
g) Gestionar i mantenir els números d’atorgament d’identificadors d’objecte.
h) Vetllar per la consecució d’un grau de seguretat, qualitat i confiança adequats, de conformitat amb la normativa aplicable en la matèria.
i) Coordinar les entitats de registre.
j) Elaborar i gestionar el seu pressupost.
k) Gestionar les relacions amb els proveïdors.
l) Rebre, valorar i, en el cas escaient, aplicar les iniciatives relacionades amb l’exercici de les seves funcions que formulin els òrgans, entitats, organismes, organitzacions sectorials i qualssevol altres associacions o entitats públiques o privades.
m) Realitzar les tasques corresponents a l’Autoritat Nacional de Registre d’OID.
n) Les altres funcions que li encomani el Govern.
b) Protegir els drets dels usuaris dels serveis de confiança electrònica.
c) Divulgar l’ús dels serveis de confiança electrònica.
d) Desenvolupar les activitats de l’entitat de certificació del Govern.
e) Gestionar el compliment dels requisits d’equivalència que estableix la Llei de serveis de confiança electrònica amb altres prestadors de serveis de confiança electrònica.
f) Mantenir i actualitzar les instruccions generals o polítiques de signatura, xifratge, autenticació, evidència, certificació digital, de marcatge de temps i de gestió de claus, així com de qualsevol altre tipus que es cregui convenient.
g) Gestionar i mantenir els números d’atorgament d’identificadors d’objecte.
h) Vetllar per la consecució d’un grau de seguretat, qualitat i confiança adequats, de conformitat amb la normativa aplicable en la matèria.
i) Coordinar les entitats de registre.
j) Elaborar i gestionar el seu pressupost.
k) Gestionar les relacions amb els proveïdors.
l) Rebre, valorar i, en el cas escaient, aplicar les iniciatives relacionades amb l’exercici de les seves funcions que formulin els òrgans, entitats, organismes, organitzacions sectorials i qualssevol altres associacions o entitats públiques o privades.
m) Realitzar les tasques corresponents a l’Autoritat Nacional de Registre d’OID.
n) Les altres funcions que li encomani el Govern.
Article 32. Responsable de l’Oficina de Serveis de Confiança Electrònica del Principat d’Andorra
L’Oficina de Serveis de Confiança Electrònica del Principat d’Andorra està adscrita orgànicament a la Secretaria d’Estat de Transformació Digital i Telecomunicacions.
Article 33. Informes al secretari general del Govern
En cas que la competència en relació amb l’Oficina de Serveis de Confiança Electrònica del Principat d’Andorra hagi estat delegada per part del ministre de Presidència, Economia i Empresa, el nou titular ha d’elaborar trimestralment un informe que, almenys, contingui un resum del nivell d’execució de les competències a què es refereix l’article 31 i que ha de remetre al ministre de Presidència, Economia i Empresa perquè valori el grau de compliment dels serveis de confiança electrònica.
Article 34. Estructura i funcionament de l’Oficina de Serveis de Confiança Electrònica del Principat d’Andorra
L’Oficina de Serveis de Confiança Electrònica del Principat d’Andorra està dotada, per a l’exercici de les seves funcions, dels mitjans administratius i materials escaients i s’estructura jeràrquicament de la manera següent:
1. Una persona responsable de l’Oficina de Serveis de Confiança Electrònica del Principat d’Andorra (OSCEPA), que és nomenada pel Govern.
2. Una persona cap de projecte tècnic, que s’adscriu funcionalment als serveis tècnics del Departament de Transformació Digital.
3. Una persona d’atenció ciutadana i gestió del canvi.
Títol VI. Identificadors d’objectes (OID)
Article 35. Objecte
L’objecte d’aquest capítol és l’atorgament i la gestió dels OID que depenen de la branca principal corresponent al Principat d’Andorra, i que són gestionats pel Govern d’Andorra.
Article 36. Definicions
L’OID és un mecanisme d’identificació internacional desenvolupat pels organismes ITU-T i ISO/IEC, consistent en l’assignació d’un nombre inequívoc, i de forma global, a qualsevol tipus d’objecte, concepte o cosa, de forma persistent en el temps.
Aquest mecanisme d’identificació està estructurat de forma jeràrquica en un arbre de nombres, per mitjà d’una seqüència, de nivell superior (o node), i de nivells inferiors (o subnodes) posteriors.
Article 37. OID del Principat d’Andorra
El Principat d’Andorra, en la seva condició d’Estat, disposa de la identificació “2.16.20”.
Article 38. Autoritat Nacional de Registre d’OID
L’entitat competent per l’atorgament i registre de les branques principals dels OID, sota la numeració corresponent al Principat d’Andorra ja indicada, és l’Oficina de Serveis de Confiança Electrònica del Principat d’Andorra.
L’Autoritat Nacional de Registre d’OID disposa de competència exclusiva en les seves funcions. En tot cas, la gestió material de les mateixes funcions pot ser delegable de conformitat amb el que preveu el Codi de l’Administració.
Article 39. Branques principals
L’Autoritat Nacional de Registre d’OID pot crear i assignar lliurement:
- Qualsevol branca principal de nombres.
- Qualsevol branca sectorial de nombres posteriors, a fi de concretar una pertinença al sector especificat.
- Qualsevol branca sectorial de nombres posteriors, a fi de concretar una pertinença al sector especificat.
Article 40. Jerarquia de nivells inferiors
La gestió i l’atorgament dels nombres d’identificador d’objecte posteriors als principals assignats per l’Autoritat Nacional de Registre d’OID queden sota la responsabilitat del titular de l’identificador d’objecte assignat, i s’han de regular per les normes genèriques aplicables pels organismes ITU-T i ISO/IEC, amb exclusió de qualsevol tipus de responsabilitat del Govern.
Article 41. Petició de nombre d’OID
Poden fer sol·licituds de nombres d’OID totes les persones, entitats o organismes amb residència legal al Principat d’Andorra.
El procediment per sol·licitar un OID s’ha de publicitar adequadament en cada moment a la seu electrònica de l’Autoritat Nacional de Registre d’OID. Així mateix, s’han de publicar les causes de denegació de les peticions.
Article 42. Atorgament d’OID
L’atorgament d’OID l’ha de notificar l’Autoritat Nacional de Registre d’OID a la seu electrònica de l’organisme, i per mitjà de correu electrònic al destinatari de la petició, en cas que en disposi i l’hagi comunicat com a mitjà oportú.
L’atorgament del nombre d’OID confereix els drets que preveuen els organismes ITU-T i ISO/IEC.
Article 43. Prohibició de reassignació
Els nombres d’OID ja atorgats en cap cas no poden ser reassignats per l’Autoritat Nacional de Registre d’OID, ni tan sols en els casos de renúncia del titular de l’OID assignat.
Disposició addicional primera
L’Autoritat Nacional de Registre d’OID crearà la branca “.1” (’OID 2.16.20.1), que correspondrà a les entitats i els organismes pertanyents al sector públic andorrà.Disposició addicional segona
L’Autoritat Nacional de Registre d’OID crearà la branca “.2” (OID 2.16.20.2), que correspondrà a les persones, les entitats i els organismes pertanyents al sector privat andorrà.Disposició derogatòria única. Derogació normativa
Queden derogades totes les disposicions de rang igual o inferior que s’oposin a aquest Reglament i, en particular, el Decret pel qual s’aprova el Reglament de supervisió i de control de prestadors de serveis de certificació, del 2 de juny del 2010.Disposició final. Entrada en vigor
Aquest Reglament entrarà en vigor l’endemà de ser publicat al Butlletí Oficial del Principat d’Andorra.Cosa que es fa pública per a coneixement general.
Andorra la Vella, 1 de juliol del 2015
Antoni Martí Petit
Cap de Govern
Cap de Govern
{includes page=R20150701B_F}
