ПРАВИЛНИК ЗА ПРИЛАГАНЕ НА ЗАКОНА ЗА ЕЛЕКТРОННАТА ИДЕНТИФИКАЦИЯ
Това е резюме на текстовете от нормативния акт, целящо лесно и бързо запознаване на потребителя с нормите в него.
Виж оригиналния текст на документа
Чл. 1
Правилникът урежда прилагането на Закона за електронната идентификация (ЗЕИ) и включва редица разпоредби, свързани с алгоритмите и методите за създаване на електронни идентификатори, регистрацията на администратори и центрове за електронна идентификация, условията за проверка и управление на удостоверения за електронна идентичност, както и изискванията за сигурност и техническо оборудване. Воденето на регистрите по правилника се извършва в съответствие със Закона за защита на личните данни.
Чл. 2
Чл. 2 определя реда за достъп до националните схеми за електронна идентификация, съгласно Регламент (ЕС) № 910/2014. Този ред се установява от министъра на електронното управление в съгласие с министъра на вътрешните работи. Гражданите на ЕС могат да се идентифицират за електронни административни услуги чрез Центъра за електронна идентификация по същия регламент.
Чл. 3
Чл. 3 от Правилника за прилагане на Закона за електронната идентификация описва процедурата за вписване на електронни идентификатори в регистъра. Всеки създаден електронен идентификатор, съответстващ на уникален граждански идентификатор, се вписва в регистъра при издаване на удостоверение за електронна идентичност. Преди вписването се проверява дали идентификаторът вече съществува, и ако е така, се генерира нов. Данните в регистъра се съхраняват за времето, определено в Закона за гражданската регистрация.
Чл. 4
Чл. 4 от Правилника за прилагане на Закона за електронната идентификация определя, че регистърът по чл. 3, ал. 1 не е публичен и е защитен от прониквания чрез инструменти за сигурност, спазващи изискванията за информационна сигурност. Достъп до него имат само регистрираните центрове за електронна идентификация и определени лица с разрешение от министъра на вътрешните работи, които се идентифицират електронно. Всички операции в регистъра се записват в журнал, който е защитен чрез криптографски методи.
Чл. 5
Регистърът на удостоверенията за електронна идентичност включва всички издадени удостоверения, както и списък на спрените и прекратените удостоверения. Вписването на удостоверенията се извършва по време на тяхното издаване. Заличаването и актуализирането на списъка с прекратените удостоверения се извършва от определено длъжностно лице или автоматизирано по заявление на титуляря. Списъците трябва да се обновяват на всеки 3 часа, а всички операции в регистъра се записват в журнал на събитията. Данните в регистъра се съхраняват за периода, указан в Закона за гражданската регистрация.
Чл. 6
Член 6 от Правилника за прилагане на Закона за електронната идентификация определя условията за достъп до данни и регистри, свързани с електронната идентичност. Достъпът е свободен и безплатен за центровете за електронна идентификация, администраторите на електронна идентичност и определени лица. Публичните ключове и идентификаторите на удостоверенията за електронна идентичност са достъпни за всички. Регистърът се достъпва чрез протоколи LDAP или HTTPS, а проверките за валидност на удостоверенията се извършват чрез OCSP или CRL.
Чл. 7
Електронният идентификатор се създава автоматично от органа за електронна идентификация при издаване на удостоверение за електронна идентичност, съгласно реда, определен в чл. 14 от Закона за електронната идентификация.
Чл. 8
Член 8 от Правилника определя електронния идентификатор като универсално уникален идентификатор (UUID), съгласно стандарта RFC 4122, разработен от Работната група за интернет инженеринг (IETF). В допълнение, правилникът съдържа раздел II, който се отнася до секторни електронни идентификатори, но подробности за обхвата не са предоставени в извадката.
Чл. 9
Член 9 от Правилника за прилагане на Закона за електронната идентификация определя възможностите за идентификация на физически лица пред държавни органи и частноправни субекти чрез секторни електронни идентификатори. Физическите лица могат да се идентифицират пред държавни органи с помощта на секторни електронни идентификатори, установени в определени сектори на държавното управление, както и чрез идентификатори, създадени от частноправни субекти за идентификация помежду им. Всеки частноправен субект представлява отделен сектор, а секторният електронен идентификатор е преобразуван от информационната система за електронна идентификация (ИСЦЕИ) чрез определени алгоритми.
Чл. 10
Член 10 от Правилника за прилагане на закона за електронната идентификация описва процеса на предоставяне на идентификатори от центровете за електронна идентификация. Всеки сектор получава уникален идентификатор, който може да бъде представен и чрез URL на интернет страницата. Идентификаторите за физически лица се генерират при всяка заявка, основавайки се на електронния идентификатор и други данни, чрез криптографски метод. Методът за преобразуване гарантира, че секторният идентификатор не може да бъде обратно преобразуван в електронния идентификатор. Министърът на електронното управление определя реда за генериране на идентификатора.
Чл. 11
Удостоверението за електронна идентичност се издава съгласно стандарт X.509 и съдържа публичен ключ, който съответства на частния ключ, записан в защитената зона на носителя. Форматът на удостоверението следва международни спецификации и използва ASN.1 за описание и двоично кодиране. То се подписва с електронен печат на Министерството на вътрешните работи и се вписва в регистър, определен в закона.
Чл. 12
Член 12 от Правилника определя минималните данни, които трябва да съдържа удостоверението за електронна идентичност. Те включват уникален сериен номер, период на валидност, електронен идентификатор на титуляря, трите имена на титуляря на кирилица и латиница, както и нивото на осигуреност на носителя. Тези изисквания са допълнени с изменения, влезли в сила от 01.03.2017 г.
Чл. 13
Процесът на издаване на удостоверение за електронна идентичност започва с писмено заявление, подадено по реда на чл. 20 от Закона за електронната идентификация. Заявлението трябва да съдържа единния граждански номер или личния номер на чужденец, а може да включва и електронен адрес. То се приема от определени длъжностни лица, администратори на електронна идентичност или от ръководители на дипломатически представителства. Заявлението може да бъде подадено и електронно. Искането за продължаване на срока на удостоверението може да се подаде по електронен път, без да се спазват изискванията за първоначално издаване.
Чл. 14
Член 14 от Правилника за прилагане на Закона за електронната идентификация описва процеса на издаване на удостоверение за електронна идентификация. Процесът включва последователни действия, започващи с приемането на заявлението и генерирането на електронен идентификатор от органа за електронна идентификация. Включва също проверка на автентичността на лицето, генериране на криптографски ключове, подписване на удостоверението и предаване на електронния носител на титуляря. Процесът е автоматизиран и изисква лично явяване на заявителя. При неуспех на някое от действията, данните се изтриват, а лицето се уведомява.
Чл. 15
Чл. 15 от Правилника за прилагане на Закона за електронната идентификация определя изискванията за персонализиране на удостоверенията за електронна идентичност. Персонализирането се извършва на устройства с високо ниво на осигуреност, съгласно Регламент (ЕС) № 910/2014. Устройствата трябва да поддържат стандартни криптографски операции, включително подписване и криптиране, и да изискват потвърждение с ПИН код или друго средство за защита. При възможност за безконтактен достъп, електронните носители трябва да предотвратяват злонамерени опити за достъп до ПИН кода. Освен необходимата функционалност за електронна идентификация, носителят може да поддържа и допълнителни функции.
Чл. 16
Чл. 16 от Правилника за прилагане на Закона за електронната идентификация описва процедурата за спиране на удостоверението за електронна идентичност на физическо лице. Спирането е временно и ограничава възможността за потвърждаване на валидността на удостоверението. То се извършва чрез публикуване в списъка с прекратените удостоверения, като за всяко спиране се създава запис с причина и начална дата. Възобновяването на удостоверението става чрез премахването му от списъка, като също се създава запис за това. Удостоверенията на едно лице се разграничават по сериен номер.
Чл. 17 от Правилника за прилагане на Закона за електронната идентификация
Прекратяването на удостоверение за електронна идентичност става чрез публикуване в списъка с прекратените удостоверения в регистъра. Вписването в списъка се извършва незабавно след възникването на съответните обстоятелства, посочени в закона.
Чл. 18
Член 18 от Правилника за прилагане на закона за електронната идентификация описва функциите на органа за електронна идентификация. Той поддържа интернет страница, чрез която титулярите могат да управляват удостоверенията си. Прекратяването и възобновяването на удостоверенията могат да се извършват автоматично по искане на титуляря с електронен подпис. Подновяването и временното спиране също могат да се извършат автоматично след успешна електронна идентификация или с усъвършенстван електронен подпис. Титулярите могат да дават наименования на удостоверенията си, които са видими само за тях и съответните администратори.
Чл. 19
Чл. 19 от Правилника за прилагане на Закона за електронната идентификация описва процедурата за проверка на електронната идентичност. Проверката се извършва автоматизирано от лица с правен интерес чрез информационна система на център за електронна идентификация, при спазване на технологични стандарти за информационна сигурност. Частноправни субекти могат да използват удостоверението за идентификация за повторно идентифициране на лица, но без участието на центъра. Проверката може да бъде свързана с предоставянето на конкретна услуга. Информационната система също така извършва трансгранични проверки по реда на Регламент (ЕС) № 910/2014.
Чл. 20
Чл. 20 от Правилника за прилагане на Закона за електронната идентификация описва процеса на проверка на електронната идентичност от центровете за електронна идентификация. Тези проверки включват удостоверение за електронна идентичност и криптографски ключове, с използване на взаимна автентикация по протокол TLS. Центровете трябва да позволяват идентификация чрез мобилно устройство, при което потребителят посочва телефонен номер. Проверката на удостоверенията включва проверка на структурата, цялостността и валидността им, а допълнителни технически параметри се определят от министъра на електронното управление.
Чл. 21
Чл. 21 от Правилника за прилагане на Закона за електронната идентификация описва функционирането на информационната система на центъра за електронна идентификация. Системата потвърджава електронната идентичност на лицата, като изпраща формализирано съобщение, съдържащо данни, при условие че лицето има право на достъп до тях по закон или с изричното съгласие. Комуникацията между центровете и лицата се осъществява чрез протоколи OpenID Connect или SAML. Версиите на тези протоколи се определят от министъра на електронното управление. Системата може да отговаря на запитвания относно данни за идентифицираното лице, без да разкрива самите данни. Данните се извличат в реално време от първичните администратори. Системата предлага функционалността си и в тестови режим, достъпен безплатно за доставчици на услуги.
Чл. 22
Чл. 22 от Правилника за прилагане на Закона за електронната идентификация описва процедурата за регистрация на лица, които извършват проверки на електронна идентичност. Регистрацията е безплатна и се осъществява по електронен път, без необходимост от одобрение. След регистрацията, лицата получават идентификатор и ключ за заявяване на електронна идентификация. Държавните органи получават данни чрез интеграция с административен регистър, докато частноправни субекти подлежат на одобрение от длъжностни лица в срок от 7 дни. Лицата вписват и допълнителни данни, определени от министъра на електронното управление.
Чл. 23
Чл. 23 от Правилника определя задължението на лицата, осъществяващи дейност в центрове за електронна идентификация, и на държавните органи да съхраняват информация за извършените проверки на електронна идентичност. Тази информация трябва да бъде съхранявана за период от 10 години.
Чл. 24
Чл. 24 описва данните, които центровете за електронна идентификация съхраняват при проверка на идентичността. Те включват резултата от подписването с частния ключ, времето на идентификацията с електронен времеви печат, данни за титуляря и доставчика на услуги, както и IP адреса. Титулярят има право на безплатен достъп до тези данни и може да откаже записването на IP адреса при идентификация.
Чл. 25
Администратор на електронна идентичност е лице, регистрирано от министъра на вътрешните работи, което отговаря на изискванията на Закона за електронната идентификация (ЗЕИ) и на настоящия правилник. То има право да осигурява дейностите, предвидени в чл. 8, ал. 3 от ЗЕИ.
Чл. 26
Чл. 26 от Правилника за прилагане на Закона за електронната идентификация описва задълженията на администратора на електронна идентичност. Администраторът е отговорен за приемането на заявления за удостоверения за електронна идентичност, идентифициране на заявителите, проверка на валидността на документите за самоличност, изпращане на заявления до органа за електронна идентификация, уведомяване за промени в данните и персонализиране на удостоверенията. Информацията и документацията за тези дейности трябва да се съхраняват за срок от 20 години.
Чл. 27
Администраторът на електронна идентичност е задължен да осигури подходящи мерки за сигурност, съобразени с международните стандарти и изискванията на Закона за електронното управление. Работните станции за персонализиране на удостоверенията трябва да отговарят на определени минимални условия, включително използване на последни версии на софтуера, сигурни пароли, защитна стена и защита от вируси.
Чл. 28
Администраторът на електронна идентичност е задължен да поддържа разполагаеми финансови средства или застраховка, която покрива отговорността за вреди, причинени на титулярите на електронната идентичност и на трети лица. Застраховката трябва да има минимално покритие от 100 000 лв. за всяко увредено лице. В случай на прекратяване на застраховката, администраторът е длъжен незабавно да уведоми органа за електронна идентификация. Ако не е сключил застраховка, администраторът трябва да разполага с бързоликвидни средства в размер не по-малък от 300 000 лв.
Чл. 29
Администраторът на електронна идентичност е задължен да има квалифицирани служители, които да осигуряват изпълнението на задълженията му. Техническият персонал трябва да притежава знания в области като технологии за сигурност, криптография и информационни системи. Лицата от персонала не трябва да имат осъждания за умишлени престъпления и трябва да отговарят на изисквания за надеждност, което включва липса на данни за дейности против обществения ред и зависимост от алкохол или наркотични вещества.
Чл. 30
Чл. 30 от Правилника за прилагане на Закона за електронната идентификация определя задълженията на администратора на електронна идентичност относно техническото оборудване и технологии, които трябва да използва. Администраторът е длъжен да осигури функции като проверки за произхода на информацията, целостта на съобщенията, подписване на съобщения, архивиране на данни, поддържане на целостта на данните и сигурно управление на достъпа до информационните ресурси. Също така, той трябва да извършва архивиране на записи от вътрешни проверки, свързани с информационната сигурност.
Чл. 31
Чл. 31 от Правилника за прилагане на Закона за електронната идентификация определя методите за оценка на сигурността на използваните системи. Те се основават на стандарта ISO Standard 15408 или други еквивалентни методики. Проверките на сигурността се извършват на всеки 3 години или при настъпване на промяна, която влияе на надеждността на системата.
Чл. 32
Чл. 32 от Правилника задължава администраторите на електронна идентичност да създават и поддържат вътрешни процедури за сигурност, които да отговарят на международните стандарти за информационна сигурност. Процедурите трябва да бъдат сертифицирани по стандарт ISO 27001 или еквивалентен стандарт.
Чл. 33
Чл. 33 от Правилника за прилагане на Закона за електронната идентификация установява създаването на център за електронна идентификация в Министерството на електронното управление. Лица, регистрирани от министъра на вътрешните работи, също могат да осъществяват дейност на центрове за електронна идентификация. Тези центрове осигуряват проверка на електронна идентичност и могат да предлагат възмездни услуги. Освен това, те имат възможност да участват в трансгранична електронна идентификация.
Чл. 34
Чл. 34 от Правилника за прилагане на Закона за електронната идентификация определя, че изискванията към администраторите на електронна идентичност, описани в глава пета, важат и за лицата, които работят в центрове за електронна идентификация. Тези изисквания са в сила от 21.12.2016 г.
Чл. 35
Чл. 35 от Правилника за прилагане на закона за електронната идентификация определя, че информационните системи, използвани от центъра за електронна идентификация в Министерството на електронното управление, са с отворен код и свободен лиценз. Те могат да бъдат използвани от лицата по чл. 33, ал. 2 за техните нужди. В допълнение, в правилника се обсъждат изискванията за регистрация на администратори на електронна идентичност и центрове за електронна идентификация.
Чл. 36
Чл. 36 от Правилника за прилагане на Закона за електронната идентификация описва процедурата за кандидатстване за администратор на електронна идентичност. Лицата, желаещи да извършват такава дейност, трябва да подадат заявление до министъра на вътрешните работи, което включва лични данни, информация за техническите средства и персонала, доказателства за финансови средства и процедури за проверка на лични данни. Заявителите трябва да отговарят на определени изисквания и информацията за тях се проверява от съответните органи. Образците на заявлението и списъците са налични на сайта на Министерството на вътрешните работи.
Чл. 37
Член 37 от Правилника за прилагане на Закона за електронната идентификация регламентира воденето на регистър на администраторите на електронна идентичност и центровете за електронна идентификация. Регистърът се води от упълномощени длъжностни лица и вписването в него става след идентификация по реда на ЗЕИ. Всяко вписване, заличаване или промяна се записва в журнал на събитията. За всеки администратор се вписва удостоверение и локации на обектите с геокоординати. Удостоверението е във формат X.509 и съдържа публичен ключ, а частният ключ се съхранява на електронен носител. Регистърът предоставя данни за местоположението на администраторите в отворен, машинночетим формат.
Чл. 38
Чл. 38 от Правилника за прилагане на Закона за електронната идентификация определя задълженията на лицата, вписани в регистъра по чл. 37, ал. 1. Те трябва да изградят свързаност в 30-дневен срок след вписването, като за центровете за електронна идентификация свързаността е с регистъра на удостоверенията за електронна идентичност, а за администраторите - със системите за издаване на удостоверения. Министърът на вътрешните работи предоставя необходимия софтуер и проверява наличието на свързаност с тестове. Резултатите от тестовете се вписват в регистъра.
Чл. 39
Чл. 39 от Правилника за прилагане на Закона за електронната идентификация установява, че за всяко регистрирано лице в регистъра по чл. 37 се създава архив, който съдържа данните и документите от проверките по чл. 36, ал. 1. Архивът не е публичен, а достъп до него имат определени лица със заповед на министъра на вътрешните работи, които трябва да се идентифицират електронно преди достъпа. Също така се съхранява история на достъпа.
Чл. 40
Чл. 40 от Правилника за прилагане на Закона за електронната идентификация изисква всяко регистрирано лице по регистъра да назначи длъжностно лице по защита на данните, в съответствие с разпоредбите на Регламент (ЕС) 2016/679. Този регламент касае защитата на личните данни и свободното им движение, и отменя предишната Директива 95/46/ЕО. Разпоредбата влиза в сила от 25.05.2018 г.
Чл. 41
Регистърът на овластяванията, създаден от министъра на вътрешните работи, е електронна база данни, която събира информация относно овластяванията, свързани с упражняването на права пред държавни органи, организации, предоставящи обществени услуги, и лица, изпълняващи публични функции. Центровете за електронна идентификация също имат право да водят регистър на овластяванията, но за случаи, които не включват посочените в ал. 1 лица.
Чл. 42
Вписването в регистър по чл. 41 става чрез електронно овластително изявление, което включва уникален идентификатор на юридическото лице, уникални граждански идентификатори на упълномощителя и пълномощника, указания за услугите и обема на представителната власт, начална и крайна дата на представителството. Изявлението се подписва с електронен подпис и се вписва в регистъра с електронен времеви печат. Пълномощникът получава известие на електронния си адрес.
Чл. 43
Чл. 43 от Правилника за прилагане на Закона за електронната идентификация уточнява, че овластително изявление от името на юридическо лице може да бъде направено само от законния му представител, който е вписан в съответните регистри. Пълномощникът има право да декларира несъгласие с овластяването, а проверката на законната представителна власт на лицето, извършващо овластителното изявление, се извършва автоматизирано.
Чл. 44
Чл. 44 от Правилника за прилагане на Закона за електронната идентификация регламентира процедурата за оттегляне и разширяване на представителната власт. Оттеглянето и разширяването се извършват чрез ново вписване, при което упълномощителят може да уточни услугите и обема на представителната власт. За оттегляне не е необходим електронен подпис.
Чл. 45
Чл. 45 от Правилника за прилагане на Закона за електронната идентификация определя как се извличат услугите, за които е възможно овластяване, от административния регистър. Услугите включват заявяване на услуги, представяне на информация и документи, получаване на съобщения, получаване на резултати, обжалване на административни актове и оттегляне на заявления. Когато няма налична номенклатура за представителна власт, се предлагат гореспоменатите възможности. Услугите, за които е възможно овластяване чрез регистър, се заявяват пред центъра за електронна идентификация.
Чл. 46
Член 46 от Правилника за прилагане на Закона за електронната идентификация предвижда, че грешките в регистрираните обстоятелства, които са резултат от неправилно овластително изявление, могат да бъдат коригирани чрез подаване на ново изявление за промяна или оттегляне на представителната власт. Тази разпоредба е в сила от 21.11.2017 г.
Чл. 47
Чл. 47 от Правилника за прилагане на закона за електронната идентификация определя, че регистрите по чл. 41 не са публични и достъп до тях имат само лицето, извършило овластителното изявление, овластеното лице и лицето, предоставящо услугата. Достъпът до регистъра се осъществява автоматизирано или чрез интернет страницата на регистъра. Лицата, предоставящи услугата, се идентифицират по реда на ЗЕИ или Закона за електронното управление. При необходимост от електронен подпис, лицето, предоставящо услугата, трябва да провери съвпадението на данните от електронния подпис с предоставените данни за овластеното лице.
Чл. 48
Правилникът определя условията за извършване на проверки и справки в регистъра по чл. 41, които могат да се извършват само от упълномощени лица. Проверките се осъществяват по идентификатор на услугата и уникални идентификатори на лицата, участващи в овластителното изявление. Освен данните за овластяването, се предоставят и имената и уникалните идентификатори на участниците. Правилникът също така дефинира термини, свързани с електронната идентификация и сигурността на комуникацията. Влиза в сила на 21 ноември 2016 г. с различни срокове за влизане в сила на отделни членове.
§1
Този раздел съдържа определения на ключови термини, свързани с електронната идентификация, включително уникален граждански идентификатор, журнал на събитията, протоколи за сигурна комуникация (TLS, HTTPS), протоколи за обмен на информация за идентификация (SAML, OpenID Connect), и стандарти за онлайн справочни услуги (LDAP, X.500, X.509).
§2
Министърът на вътрешните работи е задължен да издаде заповеди по определени членове на закона до 21 ноември 2016 г. Също така, той и ръководителите на дипломатическите и консулските представителства трябва да определят лицата, съответно по чл. 13, ал. 4, т. 1 и т. 3, в същия срок.
§3
Правилникът влиза в сила на 21 ноември 2016 г., с изключение на определени членове, които влизат в сила на по-късни дати: Членове 25-39 от 21 декември 2016 г.; Членове 3-6, 9, 10, 13, 14 (ал. 1, 2, 4-8), 16-19, 20 (ал. 1-3), 21 и 22 от 21 май 2017 г.; Член 40 от 25 май 2018 г.; Членове 41-48 от 21 ноември 2017 г. Заключителните разпоредби се отнасят към Постановление № 3 от 9 януари 2017 г., което влиза в сила от 01.03.2017 г.
Параграф §8
В Правилника за прилагане на Закона за електронната идентификация, приет с Постановление № 235 на Министерския съвет от 2016 г., се заменя терминът "минимална версия 1.2" с "версия, вписана в регистъра на стандартите, но не по-ниска от 1.2".
§ 14 от Правилника и Заключителни разпоредби към Постановление № 134 от 20 юни 2022 г.
Параграф §14 от правилника влиза в сила на 1 март 2017 г., с изключение на § 10, който влиза в сила на 18 ноември 2016 г. Заключителните разпоредби към Постановление № 134 от 20 юни 2022 г. за изменение и допълнение на нормативни актове на Министерския съвет, са обнародвани в Държавен вестник, брой 47 от 2022 г. и влизат в сила от 24 юни 2022 г.
