Lexipedia

AS 2004 5101

Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur

Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur (Verordnung über die elektronische Signatur, VZertES)

vom 3. Dezember 2004

Der Schweizerische Bundesrat, gestützt auf die Artikel 4, 6 Absatz 1, 7 Absatz 3, 8 Absatz 2, 9 Absatz 3, 11 Absatz 4, 13 Absatz 2 und 20 des Bundesgesetzes vom 19. Dezember 20031 über Zertifizierungsdienste im Bereich der elektronischen Signatur (ZertES), verordnet:

Art. 1 Anerkennungsstellen

1 Die Schweizerische Akkreditierungsstelle des Bundesamtes für Metrologie und

Akkreditierung (SAS) akkreditiert gemäss den Bestimmungen der Akkreditierungs- und Bezeichnungsverordnung vom 17. Juni 19962 die Stellen, die die Anbieterinnen von Zertifizierungsdiensten anerkennen.

2 Besteht keine akkreditierte Anerkennungsstelle, so anerkennt das Bundesamt für

Kommunikation (das Bundesamt) die Anbieterinnen von Zertifizierungsdiensten.

Art. 2 Versicherung 1 Eine Anbieterin von Zertifizierungsdiensten, die anerkannt werden will, muss zur Deckung ihrer Haftung eine Versicherung von mindestens 2 Millionen Franken pro Versicherungsfall und 8 Millionen Franken pro Versicherungsjahr abschliessen.

2 Sie kann anstelle einer Versicherung eine gleichwertige Garantie vorlegen.

Art. 3 Signatur- und Signaturprüfschlüssel 1 Qualifizierte Zertifikate dürfen nur für Signatur- und Signaturprüfschlüssel ausge- stellt werden, die so lang sind und einen anerkannten Algorithmus so umsetzen, dass sie während der Gültigkeitsdauer des qualifizierten Zertifikats kryptografischen Angriffen standhalten können.

2 Das Bundesamt regelt die Einzelheiten in den technischen und administrativen

Vorschriften und legt die Anforderungen fest, die für die Signaturerstellungseinhei- ten gelten. Es kann zudem die Anforderungen für den Signaturprüfungsvorgang festlegen.

SR 943.032

2004-2027 5101

Verordnung über die elektronische Signatur AS 2004

Art. 4 Qualifizierte Zertifikate

1 Das Bundesamt regelt das Format der qualifizierten Zertifikate.

2 Anbieterinnen von Zertifizierungsdiensten können sich selber als juristische Perso- nen qualifizierte Zertifikate ausstellen.

Art. 5 Ausstellung qualifizierter Zertifikate

1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten müssen von den Per-

sonen, die ein qualifiziertes Zertifikat anfordern, verlangen, dass sie eine Identitäts- karte oder einen Pass persönlich vorweisen.

2 Zudem müssen sie von den Personen mit spezifischen Attributen verlangen, dass

sie den Nachweis dieser Attribute erbringen, beispielsweise mit einer Vollmacht. Bezieht sich das spezifische Attribut auf einen Handelsregistereintrag, so müssen zusätzlich vorgelegt werden: a. ein aktueller beglaubigter Handelsregisterauszug; b. die Zustimmungserklärung:

1. bei Einzelunternehmen: von dessen Inhaberin oder Inhaber;

2. bei Personengesellschaften: der Gesellschafter;

3. bei juristischen Personen: des obersten Leitungs- oder Verwaltungs-

organs.

3 Die anerkannten Anbieterinnen von Zertifizierungsdiensten können von Personen

ohne spezifische Attribute, deren Identität sie innerhalb der letzten sechs Jahre nach Absatz 1 festgestellt haben, einen mit einer qualifizierten elektronischen Signatur versehenen Antrag auf ein neues qualifiziertes Zertifikat entgegennehmen.

4 Die Identität einer Person, die ein Pseudonym verwendet, muss nach den Absät-

zen 1–3 festgestellt werden.

Art. 6 Kopier- und Aufbewahrungsverbot Die anerkannten Anbieterinnen von Zertifizierungsdiensten dürfen von den Signa- turschlüsseln ihrer Kundinnen und Kunden Doppel weder herstellen noch aufbe- wahren.

Art. 7 Ungültigerklärung qualifizierter Zertifikate

1 Die anerkannten Anbieterinnen informieren ihre Kundinnen und Kunden darüber,

wie sie die Ungültigerklärung von qualifizierten Zertifikaten verlangen können. Sie müssen in der Lage sein, die Anträge zur Ungültigerklärung jederzeit entgegenzu- nehmen.

2 Sie müssen Dritten Online-Zugang zu den Informationen zur Ungültigerklärung

eines qualifizierten Zertifikats bis zum Ablauf von dessen Gültigkeit gewähren. Diese Informationen umfassen die Seriennummer des Zertifikats, den Hinweis auf die Ungültigerklärung sowie das Datum und die Uhrzeit der Ungültigerklärung. Sie

Verordnung über die elektronische Signatur AS 2004

müssen durch die qualifizierte elektronische Signatur der anerkannten Anbieterin authentifiziert werden.

3 Die anerkannten Anbieterinnen von Zertifizierungsdiensten müssen die Informa-

tionen zur Überprüfung von nicht mehr gültigen qualifizierten Zertifikaten während elf Jahren ab Ablauf der Zertifikate angeben können.

Art. 8 Verzeichnisdienste für qualifizierte Zertifikate Das Bundesamt legt die Anforderungen fest, welche anerkannte Anbieterinnen erfüllen müssen, die einen Verzeichnisdienst anbieten.

Art. 9 Tätigkeitsjournal

1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten bewahren die Eintra-

gungen betreffend ihre Tätigkeiten sowie die dazugehörenden Belege elf Jahre lang auf.

2 Für die Tätigkeiten im Zusammenhang mit den Zertifikaten beginnt die Frist mit

dem Ablauf der Zertifikate. 3 Für Zertifikate, die auf Grund eines Antrags mit elektronischer Signatur (Art. 5 Abs. 3) ausgestellt wurden, müssen die Eintragungen und die Belege zur Identifizie- rung ihrer Inhaberinnen oder Inhaber gemäss Artikel 5 Absatz 1 so lange aufbewahrt werden, bis die Elfjahresfrist für das letzte der so ausgestellten Zertifikate abgelau- fen ist.

Art. 10 Einstellung der Geschäftstätigkeit

1 Die anerkannten Anbieterinnen von Zertifizierungsdiensten melden der SAS und

der Anerkennungsstelle unverzüglich, mindestens aber 30 Tage im Voraus die Aufgabe ihrer Geschäftstätigkeit. 2 Gibt es keine andere anerkannte Anbieterin von Zertifizierungsdiensten, der die SAS die Aufgaben nach Artikel 13 Absatz 2 ZertES übertragen kann, so übernimmt das Bundesamt folgende Aufgaben: a. Es bearbeitet die Anträge auf Ungültigerklärung der qualifizierten Zertifi- kate weiter. b. Es stellt sicher, dass Dritte die Informationen zur Ungültigerklärung der qua- lifizierten Zertifikate bis zu deren Ablauf elektronisch abrufen können. c. Es führt das Tätigkeitsjournal nach und bewahrt dieses sowie die dazugehö- renden Belege auf.

3 Es kann die noch gültigen Zertifikate von sich aus für ungültig erklären.

Art. 11 Sicherheitsvorkehren 1 Die Inhaberin oder der Inhaber eines qualifizierten Zertifikats darf die Signaturer- stellungseinheit keiner anderen Person anvertrauen. Sie oder er muss diese, soweit zumutbar, auf sich tragen oder wegschliessen.

Verordnung über die elektronische Signatur AS 2004

2 Bei Verlust oder Diebstahl der Signaturerstellungseinheit muss die Inhaberin oder der Inhaber des qualifizierten Zertifikats so rasch wie möglich dessen Ungültigerklä- rung beantragen. Das Gleiche gilt, wenn die Inhaberin oder der Inhaber weiss oder den begründeten Verdacht hat, dass ein Dritter Zugang zum Signaturschlüssel haben konnte.

3 Die Daten zur Aktivierung der Signaturerstellungseinheit (Aktivierungsdaten)

dürfen sich nicht auf persönliche Daten der Inhaberin oder des Inhabers eines quali- fizierten Zertifikats beziehen. 4 Aufzeichnungen der Aktivierungsdaten sind sicher und getrennt von der Signatur- erstellungseinheit aufzubewahren. 5 Die Inhaberin oder der Inhaber eines qualifizierten Zertifikats muss die Aktivie- rungsdaten ändern, wenn sie oder er weiss oder den begründeten Verdacht hat, dass ein Dritter Kenntnis davon erlangt hat. Wenn sie oder er die Aktivierungsdaten nicht selbst ändern kann, muss sie oder er die Ungültigerklärung des Zertifikates so rasch wie möglich beantragen.

Art. 12 Handelsregister 1 Was die Aufbewahrung der Belege betrifft, die zur Ausstellung eines qualifizierten Zertifikats für Personen, die im Handelsregister eingetragen sind und deren Attribut auf diesen Eintrag Bezug nimmt, vorgelegt werden müssen (Art. 5 Abs. 2), so bleibt Artikel 36 der Handelsregisterverordnung vom 7. Juni 19373 vorbehalten. 2 Der Handelsregistereintrag ist für den Beweis der spezifischen Attribute der Inha- berinnen oder Inhaber qualifizierter Zertifikate allein massgebend.

Art. 13 Vollzug Das Bundesamt erlässt die notwendigen technischen und administrativen Vorschrif- ten. Es berücksichtigt dabei das entsprechende internationale Recht und kann inter- nationale technische Normen für anwendbar erklären.

Art. 14 Aufhebung bisherigen Rechts Die Verordnung vom 12. April 20004 über Dienste der elektronischen Zertifizierung (ZertDV) wird aufgehoben.

3 SR 221.411 4 AS 2000 1257

Verordnung über die elektronische Signatur AS 2004

Art. 15 Inkrafttreten Diese Verordnung tritt am 1. Januar 2005 in Kraft.

3. Dezember 2004 Im Namen des Schweizerischen Bundesrates Der Bundespräsident: Joseph Deiss Die Bundeskanzlerin: Annemarie Huber-Hotz

Verordnung über die elektronische Signatur AS 2004