a) "ostateczność" oznacza stan wpisu danych w rejestrze elektronicznym, który stał się nieodwracalny i nie może zostać zmieniony ani usunięty;

b) "rozproszony rejestr elektroniczny" oznacza rejestr elektroniczny, który jest współdzielony przez zbiór węzłów rozproszonego rejestru elektronicznego i który jest synchronizowany między węzłami rozproszonego rejestru elektronicznego przy użyciu mechanizmu konsensusu;

c) "węzeł rozproszonego rejestru elektronicznego" oznacza urządzenie lub proces będący częścią sieci rozproszonego rejestru elektronicznego przechowujący pełną lub częściową kopię wpisów danych rejestru elektronicznego;

d) "sieć rozproszonego rejestru elektronicznego" oznacza sieć węzłów rozproszonego rejestru elektronicznego, która tworzy system rozproszonego rejestru elektronicznego;

e) "system rozproszonego rejestru elektronicznego" oznacza system, w którym wdrożono rozproszony rejestr elektroniczny;

f) "konsensus" oznacza porozumienie między węzłami rozproszonego rejestru elektronicznego w sprawie ważności transakcji oraz utrzymania spójnego i uporządkowanego zestawu zwalidowanych transakcji w całym systemie rozproszonego rejestru elektronicznego;

g) "mechanizm konsensusu" oznacza zbiór zasad i procedur, za pomocą których osiągany jest konsensus;

h) "zasady zarządzania" oznaczają zbiór protokołów, polityk i mechanizmów, które określają sposób działania systemu rozproszonego rejestru elektronicznego, sposób walidacji i dodawania danych do rejestru elektronicznego oraz sposób interakcji uczestników;

i) "transakcja" oznacza najmniejszą jednostkę procesu roboczego w rejestrze elektronicznym;

j) "proces roboczy" oznacza co najmniej jedną sekwencję działań wymaganych do uzyskania wyniku zgodnego z zasadami zarządzania rejestrem elektronicznym;

k) "zwalidowana transakcja" oznacza transakcję, w przypadku której sprawdzono wymaganą integralność, autentyczność i warunki specyficzne dla protokołu zgodnie z zasadami zarządzania systemem rozproszonego rejestru elektronicznego;

l) "połączenie kryptograficzne" oznacza odniesienie do danych ustanowione przy użyciu odpowiednich technik kryptograficznych w celu zapewnienia integralności, autentyczności lub identyfikowalności danych, do których odnosi się odniesienie, oraz prawidłowej sekwencji wpisów danych;

m) "raport z rejestru" oznacza uporządkowane przedstawienie weryfikowalnych informacji pobranych z wpisów danych rejestru elektronicznego, zapewniające wgląd w konkretne działania, stany lub zgodność z wcześniej określonymi zasadami;

n) "dostawca kwalifikowanego rejestru elektronicznego" oznacza kwalifikowanego dostawcę usług zaufania, który świadczy kwalifikowaną usługę zaufania polegającą na rejestrowaniu danych w kwalifikowanym rejestrze elektronicznym;

o) "kwalifikowany rozproszony rejestr elektroniczny" oznacza rozproszony rejestr elektroniczny, który spełnia wymogi kwalifikowanego rejestru elektronicznego.

2. W przypadku gdy kwalifikowany dostawca usług zaufania musi sporządzić raport z rejestru, sporządza się go w sposób zautomatyzowany.

3. Dostawcy kwalifikowanych rejestrów elektronicznych tworzą, aktualizują i utrzymują kwalifikowany rejestr elektroniczny oraz rejestrują w nim dane elektroniczne zgodnie ze specyfikacjami ustanowionymi w:

a) w odniesieniu do wszystkich dostawców kwalifikowanych rejestrów elektronicznych, normie ETSI EN 319 401 v3.1.1 (2024-06) z następującymi dostosowaniami:

- 2.1 Odniesienia normatywne:

[1] Europejska Grupa ds. Certyfikacji Cyberbezpieczeństwa, podgrupa ds. kryptografii: "Uzgodnione mechanizmy kryptograficzne" opublikowane przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji ("ENISA").

[2] IETF RFC 7515 (maj 2015 r.): "Podpis internetowy JSON (JWS)".

[3] FIPS PUB 140-3 (2019) "Wymogi bezpieczeństwa dotyczące modułów kryptograficznych".

[4] Rozporządzenie wykonawcze Komisji (UE) 2024/482 z dnia 31 stycznia 2024 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 w odniesieniu do przyjęcia europejskiego programu certyfikacji cyberbezpieczeństwa opartego na wspólnych kryteriach (EUCC).

[5] Rozporządzenie wykonawcze Komisji (UE) 2024/3144 z dnia 18 grudnia 2024 r. w sprawie zmiany rozporządzenia wykonawczego (UE) 2024/482 w odniesieniu do mających zastosowanie norm międzynarodowych i w sprawie sprostowania tego rozporządzenia wykonawczego.

[6] ISO/IEC 15408:2022 (części 1-5): "Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności - Kryteria oceny zabezpieczeń informatycznych".

- 6.1 Oświadczenie dotyczące praktyk w zakresie usług zaufania:

– REQ-6.1-12 Oświadczenie na temat praktyk dotyczących rejestrów elektronicznych zawiera co

najmniej informacje na temat:

– możliwości funkcjonalnych i technicznych platformy rejestru elektronicznego i jej wykorzystania przez cały okres świadczenia usługi rejestrowania danych w kwalifikowanym rejestrze elektronicznym jako kwalifikowanej usługi zaufania,

– konkretnych mechanizmów uwierzytelniania pochodzenia danych stosowanych podczas świadczenia usługi,

– konkretnych mechanizmów sekwencyjnego porządkowania chronologicznego stosowanych podczas świadczenia usługi,

– w stosownych przypadkach, połączenia kryptograficznego wykorzystywanego do

zapewnienia sekwencji wpisów danych,

– w stosownych przypadkach mechanizmu konsensusu zapewniającego ostateczność

i integralność wpisów danych oraz transakcji przechowywanych w rejestrze,

z uwzględnieniem ewentualnego czasu ostrożności potrzebnego do osiągnięcia

ostateczności i integralności,

– konkretnych mechanizmów zapewniania integralności danych stosowanych podczas świadczenia usługi.

- 6.2 Warunki:

– REQ-6.2-03 Przed nawiązaniem stosunku umownego abonenci i strony ufające korzystające

z usługi zaufania są informowani, w sposób jasny, wyczerpujący i łatwo dostępny, w publicznie dostępnej przestrzeni i indywidualnie, o dokładnych warunkach korzystania z usługi, w tym o kwestiach wymienionych powyżej.

- 6.3 Polityka bezpieczeństwa informacji:

– REQ-6.3-04X Dostawca usług zaufania ustanawia procedury powiadamiania organu

nadzoru o wszelkich zmianach w świadczeniu usługi zaufania, zgodnie z wymogami biznesowymi oraz odpowiednimi przepisami ustawowymi i wykonawczymi. Dostawca usług zaufania powiadamia organ nadzoru co najmniej:

– na miesiąc przed wprowadzeniem jakiejkolwiek zmiany,

– na trzy miesiące przed planowanym zaprzestaniem świadczenia usług zaufania.

- 7.2 Zasoby ludzkie:

– REQ-7.2-04X Personel dostawcy usług zaufania pełniący zaufane funkcje musi być w stanie

spełnić wymóg "posiadania wiedzy eksperckiej, doświadczenia i kwalifikacji" zdobytych w ramach formalnego szkolenia i dokumentów uwierzytelniających lub doświadczenia, lub obu tych elementów.

– REQ-7.2-05X Obejmuje to regularne (co najmniej raz na 12 miesięcy) aktualizacje dotyczące

nowych zagrożeń i obecnych praktyk w zakresie bezpieczeństwa.

- 7.5 Kontrole kryptograficzne:

– REQ-7.5-01X W celu zarządzania wszelkimi kluczami kryptograficznymi, algorytmami

kryptograficznymi i urządzeniami kryptograficznymi w całym ich cyklu życia wprowadza się odpowiednie środki kontroli bezpieczeństwa, w stosownych przypadkach zgodnie z podejściem opartym na zręczności kryptograficznej.

– REQ-7.5-02 W celu świadczenia usług zaufania dostawca usług zaufania wybiera i stosuje

odpowiednie techniki kryptograficzne zgodne z uzgodnionymi mechanizmami kryptograficznymi zatwierdzonymi przez Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa i opublikowanymi przez ENISA [1].

W szczególności:

– REQ-7.5-03 Dostawcy kwalifikowanych rejestrów elektronicznych ustalają pochodzenie

wpisów danych w rejestrze elektronicznym. W tym zakresie stosują oni zaawansowane podpisy elektroniczne oparte na kwalifikowanych certyfikatach lub zaawansowane pieczęcie elektroniczne oparte na kwalifikowanych certyfikatach utworzonych przez użytkowników usługi zgodnie z następującymi normami i specyfikacjami:

a) ETSI EN 319 122-1 V1.3.1 (2023-06). Podpisy elektroniczne i infrastruktura (ESI); Podpisy cyfrowe CAdES; Część 1: Elementy składowe i podstawowe profile podpisów CAdES.

b) ETSI EN 319 132-1 V1.3.1 (2024-07). Podpisy elektroniczne i infrastruktury zaufania (ESI); Podpisy cyfrowe XAdES; Część 1: Elementy składowe i podstawowe profile podpisów XAdES.

c) ETSI TS 119 182-1 V1.2.1 (2024-07). Podpisy elektroniczne i infrastruktury zaufania (ESI); Podpisy cyfrowe JAdES; Część 1: Elementy podstawowe i podstawowe profile podpisów JAdES, z następującym dostosowaniem:

– 5.1.8 Parametr nagłówka x5c (łańcuch certyfikatów X.509)

– Parametr nagłówka x5c określony w klauzuli 4.1.6 normy IETF RFC 7515 [2] musi być obecny w podpisie JAdES jako podpisany albo niepodpisany parametr nagłówka.

– Parametr nagłówka x5c musi mieć semantykę określoną w klauzuli 4.1.6 normy IETF RFC 7515 [2].

– Parametr nagłówka x5c musi mieć składnię określoną w klauzuli 4.1.6 normy IETF RFC 7515 [2].

– REQ-7.5-04: Dostawcy kwalifikowanych rejestrów elektronicznych zapewniają

niepowtarzalne sekwencyjne uporządkowanie chronologiczne wpisów danych w rejestrze elektronicznym. W tym zakresie wykorzystują połączenia kryptograficzne oparte na listach skrótów lub drzewach skrótów, wykorzystując kryptograficzne funkcje skrótu, zgodnie z następującymi specyfikacjami i normami:

a) rozmiar skrótu wyjściowego SHA-256 lub wyższy, zgodnie z uzgodnionymi mechanizmami kryptograficznymi zatwierdzonymi przez Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa i opublikowanymi przez ENISA [1];

b) rozmiar skrótu wyjściowego SHA3-256 lub wyższy, zgodnie z uzgodnionymi mechanizmami kryptograficznymi zatwierdzonymi przez Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa i opublikowanymi przez ENISA [1].

Alternatywnie, stosując rejestrację czasu w celu zapewnienia niepowtarzalnego sekwencyjnego uporządkowania chronologicznego wpisów danych w rejestrze elektronicznym, dostawcy kwalifikowanych rejestrów elektronicznych wykorzystują kwalifikowane znaczniki czasu.

– REQ-7.5-05 Dostawcy kwalifikowanych rejestrów elektronicznych zapewniają integralność

wpisów danych zapisanych w kwalifikowanym rejestrze elektronicznym. W tym zakresie stosują oni zaawansowane podpisy elektroniczne oparte na kwalifikowanych certyfikatach lub zaawansowane pieczęcie elektroniczne oparte na kwalifikowanych certyfikatach, zgodnie z następującymi normami i specyfikacjami:

a) wszelkie formaty podpisów lub pieczęci zgodne z uzgodnionymi mechanizmami kryptograficznymi zatwierdzonymi przez Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa i opublikowanymi przez ENISA [1];

b) rozmiar skrótu wyjściowego SHA-256 lub wyższy, zgodnie z uzgodnionymi mechanizmami kryptograficznymi zatwierdzonymi przez Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa i opublikowanymi przez ENISA [1];

c) rozmiar skrótu wyjściowego SHA3-256 lub wyższy, zgodnie z uzgodnionymi mechanizmami kryptograficznymi zatwierdzonymi przez Europejską Grupę ds. Certyfikacji Cyberbezpieczeństwa i opublikowanymi przez ENISA [1];

d) dostawcy kwalifikowanych rejestrów elektronicznych zapewniają natychmiastową wykrywalność wszelkich późniejszych zmian w danych zapisanych w kwalifikowanym rejestrze elektronicznym.

– REQ-7.5-06 W przypadku stosowania mechanizmów podpisu cyfrowego prywatne klucze

podpisu dostawcy kwalifikowanego rejestru elektronicznego są przechowywane i używane w bezpiecznym urządzeniu kryptograficznym, które jest wiarygodnym systemem certyfikowanym zgodnie z:

a) wspólnymi kryteriami oceny bezpieczeństwa technologii informacyjnych,

określonymi w normie ISO/IEC 15408 8  [6] lub we wspólnych kryteriach oceny bezpieczeństwa technologii informacyjnych, wersja CC:2022, części 1-5, opublikowanych przez uczestników porozumienia w sprawie uznawania certyfikatów wspólnych kryteriów w dziedzinie bezpieczeństwa informatycznego i certyfikowanych zgodnie z EAL na poziomie 4 lub wyższym; lub

b) europejskim programem certyfikacji cyberbezpieczeństwa opartym na wspólnych kryteriach (EUCC) 9 ⁽10  [4][5] i certyfikowanym zgodnie z EAL na poziomie 4 lub wyższym; lub

c) do dnia 31.12.2030 r. FIPS PUB 140-3 11  [3] poziom 3.

Certyfikacja ta dotyczy celu lub profilu zabezpieczeń lub projektu modułu i dokumentacji bezpieczeństwa, które spełniają wymogi niniejszego dokumentu, w oparciu o analizę ryzyka i z uwzględnieniem fizycznych i innych nietechnicznych środków bezpieczeństwa.

Jeżeli bezpieczne urządzenie kryptograficzne korzysta z certyfikacji EUCC [4][5], urządzenie to musi być skonfigurowane i używane zgodnie z tą certyfikacją.

- 7.8 Bezpieczeństwo sieci:

– REQ-7.8-14X Wymagany w pkt REQ-7.8-13 skan podatności przeprowadza się co najmniej

raz na kwartał.

– REQ-7.8-18X Wymagany w pkt REQ-7.8-17X test penetracyjny przeprowadza się co

najmniej raz w roku.

– REQ-7.8-21X: Zapory sieciowe należy również skonfigurować tak, aby uniemożliwić

wszelkie protokoły i dostępy, które nie są wymagane do funkcjonowania dostawcy usług zaufania.

– 7.9.1 Monitorowanie i rejestrowanie:

– REQ-7.9.1-02X Działania monitorujące uwzględniają wrażliwość wszelkich gromadzonych

lub analizowanych informacji.

- 7.12 Zakończenie działalności dostawcy usług zaufania i plany zakończenia działalności:

– REQ-7.12-02 A Plan zakończenia działalności dostawcy usług zaufania musi spełniać

wymogi określone w aktach wykonawczych przyjętych na podstawie art. 24 ust. 5 rozporządzenia (UE) nr 910/2014 [i.1].

b) Dodatkowo w przypadku wszystkich dostawców kwalifikowanych rejestrów elektronicznych korzystających z technologii rozproszonego rejestru elektronicznego:

1) norma ISO 23257:2022 Technologie blockchain i rozproszonego rejestru - Architektura referencyjna, klauzula 9, zawierająca pełny opis systemu technologii rozproszonego rejestru elektronicznego, odpowiedniej sieci technologii rozproszonego rejestru elektronicznego i węzłów technologii rozproszonego rejestru elektronicznego;

2) norma ISO/TS 23635:2022. Technologie blockchain i rozproszonego rejestru - Wytyczne dotyczące zarządzania w odniesieniu do pisemnych i publicznie dostępnych polityk i praktyk związanych ze strukturą zarządzania usługą rejestru elektronicznego, którą świadczą.