Έκδοση τεχνικών κανονισμών ελέγχου για ηλεκτρονικές υπογραφές και αξιόπιστες υπηρεσίες: Διασφάλιση της ασφάλειας και ενίσχυση της εμπιστοσύνης στον ψηφιακό χώρο

Η Εγκύκλιος αποτελεί σημαντική νομική βάση για την τυποποίηση των διαδικασιών τεχνικού ελέγχου, διασφαλίζοντας ότι τα συστήματα και οι οργανισμοί που παρέχουν και χρησιμοποιούν ηλεκτρονικές υπογραφές συμμορφώνονται με τα τεχνικά πρότυπα και την ασφάλεια των πληροφοριών, συμβάλλοντας στην ενίσχυση της εμπιστοσύνης των ανθρώπων, των επιχειρήσεων και των φορέων διαχείρισης στο περιβάλλον ψηφιακών συναλλαγών.

Σύμφωνα με τους κανονισμούς, η παρούσα Εγκύκλιος ισχύει για οργανισμούς και άτομα που συμμετέχουν ή σχετίζονται με δραστηριότητες τεχνικού ελέγχου για συστήματα πληροφοριών, διαδικασίες παροχής ασφαλών υπηρεσιών ηλεκτρονικής υπογραφής, πιστοποιητικά ασφαλούς ηλεκτρονικής υπογραφής, ψηφιακές υπογραφές, πιστοποιητικά ψηφιακής υπογραφής και άλλες αξιόπιστες υπηρεσίες.

Συγκεκριμένα, οι φορείς και οι οργανισμοί που δημιουργούν και χρησιμοποιούν ασφαλείς ηλεκτρονικές υπογραφές ενθαρρύνονται να διεξάγουν προληπτικά τεχνικούς ελέγχους για να αυτοαξιολογούν τη συμμόρφωση και την ασφάλεια των συστημάτων τους και των διαδικασιών παροχής υπηρεσιών τους. Αυτό είναι ένα σημαντικό βήμα, που καταδεικνύει το πνεύμα της προληπτικής πρόληψης των κινδύνων στον κυβερνοχώρο αντί του απλού χειρισμού περιστατικών όταν συμβαίνουν παραβιάσεις.

Οι αξιόπιστοι πάροχοι υπηρεσιών υποχρεούνται να διενεργούν τεχνικούς ελέγχους κάθε δύο χρόνια, ώστε να διασφαλίζεται ότι τα συστήματα και οι διαδικασίες παροχής υπηρεσιών διατηρούνται σε ασφαλή και σταθερή κατάσταση και πληρούν τις τεχνικές απαιτήσεις σύμφωνα με τα εθνικά πρότυπα.

Σύμφωνα με την Εγκύκλιο, η βάση για την αξιολόγηση του τεχνικού ελέγχου είναι οι συγκεκριμένες απαιτήσεις για τα συστήματα πληροφοριών και τις διαδικασίες παροχής υπηρεσιών που καθορίζονται στους τεχνικούς κανονισμούς, τα τεχνικά πρότυπα και τις τεχνικές απαιτήσεις που ισχύουν για τις ηλεκτρονικές υπογραφές, τα ηλεκτρονικά πιστοποιητικά και τις αξιόπιστες υπηρεσίες.

Οι δραστηριότητες τεχνικού ελέγχου διεξάγονται σε δύο κύρια στάδια: Αξιολόγηση πληροφοριών και εγγράφων κατά τη διάρκεια της διαδικασίας σχεδιασμού και πραγματική αξιολόγηση στον ελεγχόμενο οργανισμό. Όλα τα περιεχόμενα πρέπει να είναι αντικειμενικά, διαφανή, σύμφωνα με το εκ των προτέρων συμφωνημένο σχέδιο και πεδίο εφαρμογής.

Η μέγιστη διάρκεια ενός ελέγχου είναι 6 μήνες και, εάν είναι απαραίτητο, μπορεί να παραταθεί έως και 45 ημέρες για την ολοκλήρωση διορθωτικών ενεργειών. Μετά την ολοκλήρωση, με βάση τα αποτελέσματα της αξιολόγησης και τις διορθωτικές ενέργειες (εάν υπάρχουν), ο ελεγκτικός οργανισμός θα εξετάσει το ενδεχόμενο έκδοσης πιστοποιητικού με Έκθεση Τεχνικού Ελέγχου στον ελεγχόμενο οργανισμό. Εάν οι απαιτήσεις δεν πληρούνται, ο ελεγκτικός οργανισμός πρέπει να ειδοποιήσει εγγράφως, αναφέροντας τους λόγους και επισυνάπτοντας την Έκθεση Τεχνικού Ελέγχου.

Η Εγκύκλιος περιγράφει επίσης λεπτομερώς το υποχρεωτικό περιεχόμενο της Έκθεσης Τεχνικού Ελέγχου, συμπεριλαμβανομένων: Γενικών πληροφοριών σχετικά με τον έλεγχο, του χρόνου υλοποίησης, της μεθόδου αξιολόγησης, των αποτελεσμάτων ανάλυσης κινδύνου ασφάλειας πληροφοριών, των αποτελεσμάτων δοκιμών συστήματος, των τεχνικών συστάσεων και της βάσης για τις αποφάσεις πιστοποίησης.

Οι αξιόπιστοι πάροχοι υπηρεσιών πρέπει να αποστέλλουν Τεχνικές Εκθέσεις Ελέγχου στο Υπουργείο Επιστήμης και Τεχνολογίας , μέσω του Εθνικού Κέντρου Ηλεκτρονικής Επαλήθευσης Πιστοποίησης (NEAC), του κεντρικού σημείου για τη σύνθεση, την παρακολούθηση και την εξυπηρέτηση του έργου της κρατικής διαχείρισης.

Η τακτική υποβολή εκθέσεων όχι μόνο βοηθά στην αξιολόγηση της λειτουργικής κατάστασης των αξιόπιστων παρόχων υπηρεσιών, αλλά δημιουργεί επίσης μια ενοποιημένη βάση δεδομένων για τη χάραξη πολιτικής, τη διαχείριση κινδύνων και υποστηρίζει τις κρατικές υπηρεσίες στη βελτίωση της ποιότητας και της ασφάλειας της εθνικής υποδομής ψηφιακών συναλλαγών.

Η εγκύκλιος ορίζει ότι οι οργανισμοί τεχνικού ελέγχου είναι υπεύθυνοι για την άσκηση των δικαιωμάτων και των υποχρεώσεών τους σύμφωνα με τις διατάξεις του νόμου περί τεχνικών προτύπων και κανονισμών, διασφαλίζοντας την ανεξαρτησία, την αντικειμενικότητα και την πλήρη συμμόρφωση με τις διαδικασίες τεχνικού ελέγχου σύμφωνα με τους κανονισμούς για την ποιότητα προϊόντων και αγαθών και την ασφάλεια των πληροφοριών δικτύου.

Η Εθνική Επιτροπή Προτύπων, Μετρολογίας και Ποιότητας, η οποία υπάγεται στο Υπουργείο Επιστήμης και Τεχνολογίας, είναι το κεντρικό σημείο για την παραλαβή και την αξιολόγηση των φακέλων καταχώρισης για τον ορισμό οργανισμών τεχνικού ελέγχου και την υποβολή τους στον Υπουργό Επιστήμης και Τεχνολογίας για τη λήψη απόφασης ορισμού ειδικευμένων οργανισμών σύμφωνα με τον νόμο περί προτύπων και ποιότητας.

Εν τω μεταξύ, το Εθνικό Κέντρο Ηλεκτρονικής Επαλήθευσης Πιστοποίησης είναι υπεύθυνο για την παραλαβή και τη σύνθεση τεχνικών εκθέσεων ελέγχου από τους ελεγχόμενους οργανισμούς, υποβάλλοντας περιοδικά εκθέσεις στον Υπουργό Επιστήμης και Τεχνολογίας για την εξυπηρέτηση της κρατικής διαχείρισης της παροχής αξιόπιστων υπηρεσιών.

Η έκδοση της εγκυκλίου σχετικά με τον τεχνικό έλεγχο των ηλεκτρονικών υπογραφών και των αξιόπιστων υπηρεσιών θεωρείται σημαντικό βήμα για την ολοκλήρωση του εθνικού νομικού διαδρόμου για την ασφάλεια των πληροφοριών, την ηλεκτρονική αυθεντικοποίηση και τον ψηφιακό μετασχηματισμό.

Η Εγκύκλιος συμβάλλει στην τυποποίηση του συστήματος ανεξάρτητης αξιολόγησης, στην ενίσχυση του ελέγχου κινδύνου, στη βελτίωση της τεχνολογικής αυτονομίας και στη δημιουργία ψηφιακής εμπιστοσύνης για τους χρήστες στη διαδικασία συναλλαγών, υπογραφής και ανταλλαγής ηλεκτρονικών δεδομένων.

Η εγκύκλιος τίθεται σε ισχύ από την 1η Ιανουαρίου 2026, σηματοδοτώντας ένα νέο βήμα προς τα εμπρός στην τεχνική διαχείριση και στη διασφάλιση της ασφάλειας και της αξιοπιστίας της εθνικής υποδομής ηλεκτρονικών υπογραφών, προς τον στόχο της οικοδόμησης μιας ασφαλούς, διαφανούς και βιώσιμα ανεπτυγμένης ψηφιακής διακυβέρνησης, ψηφιακής οικονομίας και ψηφιακής κοινωνίας.