Narodowe Centrum Certyfikacji

Narodowe Centrum Certyfikacji (NCCert) – system informatyczny Narodowego Banku Polskiego zbudowany w celu realizacji zadań powierzonych NBP przez ministra właściwego do spraw informatyzacji zgodnie z art. 11 ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej[1]. Główny urząd certyfikacji (tzw. root) dla infrastruktury bezpiecznego podpisu elektronicznego w Polsce, prowadzony przez Departament Bezpieczeństwa Narodowego Banku Polskiego[2].

Centrala NBP przy ul. Świętokrzyskiej w Warszawie

Działalność

edytuj

Podstawą prawną działania NCCert było upoważnienie wydane Narodowemu Bankowi Polskiemu przez ministra gospodarki i pracy, zgodnie z ustawą[3] o podpisie elektronicznym. Nowe upoważnienie, obejmujące zadania wymienione w ustawie o usługach zaufania oraz identyfikacji elektronicznej, zostało wydane przez Ministra Cyfryzacji w dniu 27 października 2016 r.

Zgodnie z art. 10 ustawy o usługach zaufania oraz identyfikacji elektronicznej, Narodowe Centrum Certyfikacji wykonuje następujące zadania:

  1. tworzy i wydaje kwalifikowanym dostawcom usług zaufania certyfikaty służące do weryfikacji zaawansowanych podpisów elektronicznych lub pieczęci elektronicznych, o których mowa w załączniku I lit. g, załączniku III lit. g i załączniku IV lit. h do rozporządzenia 910/2014, oraz certyfikatów służących do weryfikacji innych usług zaufania świadczonych przez kwalifikowanych dostawców (tzw. certyfikaty dostawcy usług zaufania);
  2. publikuje certyfikaty, o których mowa w pkt. 1;
  3. publikuje listy unieważnionych certyfikatów, o których mowa w pkt. 1;
  4. tworzy dane do opatrywania pieczęcią elektroniczną certyfikatów, o których mowa w pkt. 1, oraz certyfikatów do weryfikacji tych pieczęci (tzw. certyfikaty narodowego centrum certyfikacji).

Dodatkowo, w ramach Narodowego Centrum Certyfikacji, NBP prowadzi rejestr dostawców usług zaufania[4] (art. 3 ustawy o usługach zaufania) oraz publikuje zaufaną listę[5] (tzw. listę TSL), która jest narzędziem wspierającym transgraniczną weryfikację certyfikatów kwalifikowanych.

Narodowe Centrum Certyfikacji nie świadczy kwalifikowanych usług zaufania w rozumieniu ustawy o usługach zaufania i identyfikacji elektronicznej (w szczególności nie wydaje kwalifikowanych certyfikatów) – zajmują się tym inne podmioty zwane kwalifikowanymi dostawcami usług zaufania. Według stanu na dzień 17 listopada 2016 r. w Polsce działa pięciu kwalifikowanych dostawców usług zaufania. Są to:

  1. Asseco Data Systems S.A.
  2. Enigma Systemy Ochrony Informacji Sp. z o.o. (CenCert)
  3. Eurocert Sp. z o.o.
  4. Krajowa Izba Rozliczeniowa S.A.
  5. Polska Wytwórnia Papierów Wartościowych SA

W przeszłości kwalifikowane usługi zaufania (zwane wcześniej kwalifikowanymi usługami certyfikacyjnymi) świadczyła także firma TP Internet Sp. z o.o., podmiot zależny od Telekomunikacji Polskiej S.A. oraz firma Mobicert Sp. z o.o.. Oba podmioty utraciły uprawnienia do świadczenia tych usług i zostały wykreślone z rejestru odpowiednio w dniu 30 czerwca 2006 r. (TP Internet) oraz w dniu 13 listopada 2013 r. (Mobicert).

Historia

edytuj

Prace nad ustawą o podpisie elektronicznym rozpoczęły się w roku 1999[6]. Została ona uchwalona 18 września 2001. Pierwszym podmiotem pełniącym funkcję głównego urzędu certyfikacji (w terminologii ustawy: wydającym zaświadczenia certyfikacyjne dla kwalifikowanych podmiotów), była spółka o nazwie Centrum Zaufania i Certyfikacji Centrast SA. Jego głównym akcjonariuszem był Narodowy Bank Polski, posiadający 82% akcji. Mniejszościowymi współwłaścicielami były także: Krajowy Depozyt Papierów Wartościowych, Giełda Papierów Wartościowych w Warszawie i Krajowa Izba Rozliczeniowa[7].

Centrast jednak przynosił straty i 6 stycznia 2005 akcjonariusze spółki podjęli decyzję o jej likwidacji. Funkcje Centrastu miał przejąć NBP, choć jego przedstawiciel uważał, że nie powinno to należeć do obowiązków banku centralnego[7]. 27 lipca 2005 NBP otrzymał od ministra gospodarki i pracy odpowiednie upoważnienie i 22 sierpnia uruchomił Narodowe Centrum Certyfikacji[8].

W związku z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylającego dyrektywę 1999/93/WE[9] wydana została ustawa z dn. 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej, która dostosowała prawo polskie do wymagań ww. Rozporządzenia. Ustawa przewiduje możliwość pełnienia przez NBP zadań związanych z prowadzeniem Narodowego Centrum Certyfikacji.

Przeznaczenie

edytuj

Narodowe Centrum Certyfikacji pełni rolę głównego urzędu certyfikacji w krajowej infrastrukturze klucza publicznego związanej z kwalifikowanymi usługami zaufania. NCCert stanowi źródło zaufania przy weryfikacji podpisów elektronicznych wydawanych przez kwalifikowanych dostawców usług zaufania i jako taki jest ważnym narzędziem nadzorczym z uwagi na łatwość, jaką daje państwu w zakresie wyłączenia usługodawców albo usług.

Analogiczne infrastruktury działają m.in. w Belgii, Niemczech i na Słowacji. Na Węgrzech główny urząd certyfikacji obejmuje wyłącznie podmioty świadczące usługi dla administracji publicznej.

Zobacz też

edytuj

Przypisy

edytuj
  1. Dz.U. z 2024 r. poz. 1725.
  2. Departament Bezpieczeństwa. Narodowy Bank Polski. [dostęp 2016-03-30].
  3. Dz.U. z 2013 r. poz. 262, z późn. zm.
  4. Narodowe Centrum Certyfikacji. www.nccert.pl. [dostęp 2016-11-18]. [zarchiwizowane z tego adresu (2016-11-03)].
  5. Narodowe Centrum Certyfikacji. www.nccert.pl. [dostęp 2016-11-18].
  6. Root CA – Infrastruktura PKI dla CZiC Centrast S.A.. Bazy i Systemy Bankowe sp. z o.o.. [dostęp 2008-09-14].
  7. a b Andrzej Maciejewski: NBP uruchomił Narodowe Centrum Certyfikacji. [w:] Computerworld Polska [on-line]. IDG Poland SA, 2005-08-25. [dostęp 2008-09-14].
  8. Narodowe Centrum Certyfikacji – bezpieczny podpis elektroniczny w Polsce. Narodowy Bank Polski, 2005-08-25. [dostęp 2008-09-14].
  9. Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (CELEX: 32014R0910).

Linki zewnętrzne

edytuj