Utfärdande av tekniska revisionsföreskrifter för elektroniska signaturer och betrodda tjänster: Säkerställande av säkerhet och ökat förtroende i det digitala rummet

Cirkuläret är en viktig rättslig grund för att standardisera tekniska revisionsprocesser, säkerställa att system och organisationer som tillhandahåller och använder elektroniska signaturer uppfyller tekniska standarder och informationssäkerhet, vilket bidrar till att stärka förtroendet hos människor, företag och förvaltningsorgan i den digitala transaktionsmiljön.

Enligt föreskrifter gäller detta cirkulär organisationer och individer som deltar i eller är relaterade till tekniska revisionsaktiviteter för informationssystem, processer för att tillhandahålla säkra elektroniska signaturtjänster, säkra elektroniska signaturcertifikat, digitala signaturer, digitala signaturcertifikat och andra betrodda tjänster.

Särskilt myndigheter och organisationer som skapar och använder säkra elektroniska signaturer uppmuntras att proaktivt genomföra tekniska revisioner för att självbedöma efterlevnaden och säkerheten i sina system och tjänsteleveransprocesser. Detta är ett viktigt steg som visar på andan att proaktivt förebygga cybersäkerhetsrisker istället för att bara hantera incidenter när överträdelser inträffar.

Betrodda tjänsteleverantörer är skyldiga att genomföra tekniska revisioner vartannat år för att säkerställa att tjänsteleveranssystemen och processerna upprätthålls i ett säkert och stabilt tillstånd och uppfyller tekniska krav enligt nationella standarder.

Enligt cirkuläret är grunden för teknisk revisionsbedömning de specifika kraven för informationssystem och tjänsteleveransprocesser som anges i tekniska föreskrifter, tekniska standarder och tekniska krav som gäller för elektroniska signaturer, elektroniska certifikat och betrodda tjänster.

Tekniska revisionsaktiviteter utförs i två huvudsteg: Utvärdering av information och dokument under planeringsprocessen och faktisk utvärdering vid den granskade organisationen. Allt innehåll måste vara objektivt, transparent och i enlighet med den tidigare överenskomna planen och omfattningen.

Den maximala tiden för en revision är 6 månader, och vid behov kan den förlängas med upp till 45 dagar för att slutföra korrigerande åtgärder. Efter slutförandet, baserat på bedömningsresultaten och korrigerande åtgärder (om några), kommer revisionsorganisationen att överväga att utfärda ett intyg med en teknisk revisionsrapport till den granskade organisationen. Om kraven inte uppfylls måste revisionsorganisationen skriftligen meddela detta, ange skälen och bifoga den tekniska revisionsrapporten.

Cirkuläret specificerar även det obligatoriska innehållet i den tekniska revisionsrapporten, inklusive: Allmän information om revisionen, implementeringstid, bedömningsmetod, resultat av riskanalyser av informationssäkerhet, resultat av systemtestning, tekniska rekommendationer och grund för certifieringsbeslut.

Betrodda tjänsteleverantörer måste skicka tekniska revisionsrapporter till ministeriet för vetenskap och teknik , via National Electronic Authentication Center (NEAC), kontaktpunkten för att sammanställa, övervaka och betjäna statligt förvaltningsarbete.

Regelbunden rapportering hjälper inte bara till att bedöma den operativa statusen hos betrodda tjänsteleverantörer, utan skapar också en enhetlig databas för policyutformning, riskhantering och stöder statliga myndigheter i att förbättra kvaliteten och säkerheten hos den nationella infrastrukturen för digitala transaktioner.

Cirkuläret föreskriver att tekniska revisionsorganisationer är ansvariga för att utöva sina rättigheter och skyldigheter i enlighet med lagstadgade bestämmelser om tekniska standarder och föreskrifter; säkerställa oberoende, objektivitet och fullständig efterlevnad av tekniska revisionsförfaranden i enlighet med föreskrifter om produkt- och varukvalitet och nätverksinformationssäkerhet.

Den nationella kommittén för standarder, metrologi och kvalitet under ministeriet för vetenskap och teknik är kontaktpunkten för att ta emot och bedöma registreringsunderlag för utseende av tekniska revisionsorganisationer och lämna in dem till ministern för vetenskap och teknik för beslut om att utse kvalificerade organisationer i enlighet med lagen om standarder och kvalitet.

Samtidigt ansvarar det nationella elektroniska autentiseringscentret för att ta emot och sammanställa tekniska revisionsrapporter från granskade organisationer och rapporterar regelbundet till ministern för vetenskap och teknik för att betjäna statens ledning av tillhandahållandet av tillförlitliga tjänster.

Utfärdandet av cirkuläret om teknisk granskning av elektroniska signaturer och betrodda tjänster anses vara ett viktigt steg i att slutföra den nationella rättsliga korridoren för informationssäkerhet, elektronisk autentisering och digital omvandling.

Cirkuläret bidrar till att standardisera det oberoende bedömningssystemet, stärka riskkontrollen, förbättra den tekniska autonomin och skapa digitalt förtroende för användare i processen att transaktionera, signera och utbyta elektroniska data.

Cirkuläret träder i kraft den 1 januari 2026 och markerar ett nytt steg framåt inom teknisk förvaltning och säkerställer säkerheten och tillförlitligheten hos den nationella infrastrukturen för elektroniska signaturer, mot målet att bygga en säker, transparent och hållbart utvecklad digital förvaltning, digital ekonomi och digitalt samhälle.