Ta uredba določa:

• merila, ki se uporabljajo za presojanje izpolnjevanja zahtev za delovanje overiteljev, ki izdajajo kvalificirana potrdila,
• podrobnejšo vsebino notranjih pravil overiteljev, ki izdajajo kvalificirana potrdila,
• podrobnejše tehnične pogoje za elektronsko podpisovanje in preverjanje varnih elektronskih podpisov,
• časovno veljavnost kvalificiranih potrdil,
• podrobnejše pogoje glede uporabe varnih časovnih žigov,
• vrsto in uporabo označbe akreditiranih overiteljev,
• pogoje za elektronsko poslovanje v javni upravi.

Ne glede na določbe drugih členov te uredbe, strojna in programska oprema ter postopki izpolnjujejo merila in pogoje po tej uredbi, če so v skladu s standardi, merili ali pogoji, ki so splošno priznani v Evropski uniji in objavljeni v Uradnem listu Evropskih skupnosti.

Overiteljevi prostori in infrastruktura morajo biti v skladu s pravili stroke ustrezno elektronsko in fizično varovani pred nepooblaščenimi vdori.

(1) Overitelj mora opravljati redne varnostne preglede svoje infrastrukture vsak delovni dan. Če zagotavlja svoje storitve 24 ur na dan 365 dni na leto, pa vsak dan. Overitelj mora v dnevnik vpisovati vse svoje ugotovitve in posege.

(2) Pri tem mora preveriti, ali je njegova infrastruktura varna in ali vsi varnostni sistemi nemoteno delujejo in ali je v vmesnem času prišlo do vdora ali poskusa vdora nepooblaščenih oseb do overiteljeve opreme ali podatkov.

S podatki za elektronsko podpisovanje overitelja morata upravljati vsaj dva overiteljeva zaposlena hkrati. V ta namen mora overitelj zagotoviti, da nihče ne more imeti sam vseh potrebnih podatkov in orodij, s katerimi je možen dostop do opreme, kjer so shranjeni podatki za elektronsko podpisovanje overitelja.

Overitelj mora zagotoviti varno shranjevanje najmanj dveh varnostnih kopij in drugih medijev za prenos podatkov na tak način, da se prepreči izguba podatkov ali uporaba podatkov s strani nepooblaščenih oseb. Varnostne kopije morajo biti shranjene ločeno od overiteljevega informacijskega sistema za upravljanje kvalificiranih potrdil na drugi varni lokaciji. Overitelj mora v dnevnik zapisovati podatke o shranjevanju varnostnih kopij.

Overitelj mora svoje podatke za elektronsko podpisovanje kvalificiranih potrdil uporabljati in varovati kot dober strokovnjak ter jih fizično in elektronsko varovati v skladu z uveljavljenimi pravili stroke, da se onemogoči fizični ali elektronski vdor oziroma nepooblaščen dostop do teh podatkov.

Overitelj mora voditi enega ali več ločenih dnevnikov v pisni obliki, kamor morajo biti vpisani vsi podatki predpisani s to uredbo in drugi podatki o postopkih in posegih v infrastrukturo, ki vplivajo na zanesljivost delovanja overitelja. Dnevnik mora biti dostopen in hranjen za dobo vsaj 5 let.

(1) Overitelj mora sestaviti poseben zapisnik o vseh začetnih avtorizacijah in vseh postopkih, uporabljenih pri vzpostavitvi svojega informacijskega sistema za upravljanje kvalificiranih potrdil. Zapisnik mora biti podpisan s strani vseh udeleženih v teh postopkih in trajno shranjen.

(2) Če pride kasneje do sprememb v avtorizacijah ali do pomembnih sprememb nastavitev informacijskega sistema za upravljanje kvalificiranih potrdil, ki so bile opravljene ob vzpostavitvi sistema, morajo biti vse omenjene spremembe dokumentirane v zapisniku.

Overitelj mora zagotavljati ustrezno fizično varovanje svoje strojne opreme in nadzor fizičnega dostopa do svojega informacijskega sistema za upravljanje kvalificiranih potrdil. V dnevnik mora ažurno zapisovati vse fizične dostope do tega informacijskega sistema.

(1) Za fizični dostop do informacijskega sistema overitelja za upravljanje kvalificiranih potrdil se zahteva sočasna prisotnost vsaj dveh oseb, ki imata dovoljenje za dostop do tega sistema.

(2) Vstop v overiteljeve prostore, kjer se nahaja informacijski sistem overitelja za upravljanje kvalificiranih potrdil, mora biti omejen zgolj na osebe, ki v teh prostorih opravljajo svoja dela in naloge za overitelja. Dostop mora biti v skladu s pisnim seznamom oseb, ki imajo dovoljen reden vstop v posamezne prostore. Osebe, ki nimajo dovoljenega rednega vstopa, morajo biti vpisane na poseben seznam s strani oseb, ki imajo dovoljenje za reden vstop in morajo biti ves čas v spremstvu oseb z rednim vstopom.

(1) Overiteljeva informacijsko telekomunikacijska infrastruktura, ki je povezana v drugo informacijsko telekomunikacijsko omrežje, mora biti varovana z zanesljivimi varnostnimi mehanizmi (sistem za preprečevanje in odkrivanje vdorov, požarna pregrada in podobno), ki preprečujejo nedovoljene dostope prek tega omrežja in omejujejo dostop samo po protokolih, ki so nujno potrebni za upravljanje s kvalificiranimi potrdili, vsi drugi protokoli pa morajo biti onemogočeni.

(2) Če je sistem zasnovan tako, da obstaja komunikacija preko drugega omrežja do overiteljevega sistema za upravljanje kvalificiranih potrdil, mora le-ta potekati po šifrirani poti.

Informacijski sistem overitelja za upravljanje kvalificiranih potrdil mora biti sestavljen zgolj iz strojne in programske opreme, ki je potrebna za upravljanje kvalificiranih potrdil.

Po poteku veljavnosti overiteljevih podatkov za elektronsko podpisovanje, ki niso nujno potrebni za preverjanje podatkov za nazaj, mora overitelj vse izvode varno in zanesljivo uničiti.