Geum.ru

Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (icri) в K.

Вид материалаИсследование

Содержание


2.6 Государственный сектор (Статья 3.7)
2.7 Контрольные механизмы (Статья 3)
2.7.2 Уведомление о деятельности ПСУ
2.7.3 Надзор (Статья 3.3)
2.7.4 Добровольная аккредитация (Статья 3.2)
2.7.5 Оценка соответствия SSCD (Статья 3.4)
2.7.6 Сводная таблица
Подобный материал:
1   ...   13   14   15   16   17   18   19   20   ...   59

2.6 Государственный сектор (Статья 3.7)


В Статье 3.7 Директивы определено: «Страны-члены могут применять электронные подписи в государственном секторе с учетом дополнительных требований. Эти требования должны быть объективными, прозрачными, соразмерными и не дискриминационными, и относиться только к специфическим характеристикам конкретной области применения».

Многие страны начинают учитывать конкретные требования, когда доходит до использования подписей в государственном секторе.
  • В большинстве случаев дополнительно налагаются технологические и процедурные требования. В некоторых странах в конкретных сферах применения существуют законы или подзаконные акты, касающиеся того, какие должны использоваться подписи. Как правило, они предписывают использование электронных подписей на основе квалифицированных сертификатов, выданных аккредитованными ПСУ.
  • В Германии использование подписей, проверяемых в течение длительного времени, обязательно для государственных органов в некоторых сферах государственного управления.
  • Законы Испании и Латвии требуют, чтобы некоторые электронные документы в государственном секторе подписывались при помощи квалифицированного сертификата и включали метку времени.
  • В некоторых странах-членах (например, в Ирландии, Италии, Португалии, Чешской республике) государственные органы ограничивают обращения усовершенствованными электронными подписями, которые основаны на квалифицированном сертификате, выданном аккредитованным ПСУ или созданы при помощи защищенного устройства для создания подписи.

Также существует риск того, что государственные органы ограничат услуги по работе с обращениями отдельными национальными ПСУ. Такое требование, однако, может привести к нарушению Статьи 3.7 в том, что оно на самом деле «составляет препятствие для предоставления гражданам услуг за рубежом».

2.7 Контрольные механизмы (Статья 3)


В конце этой главы можно найти таблицу со сводными данными о состоянии выполнения.

2.7.1 Предварительное утверждение (Статья 3.1)


Статья 3.1 Директивы определяет, что странам-членам не следует ставить предоставление сертификационных услуг в зависимость от предварительного разрешения. Около половины из всех обследованных стран Европы применили Статью 3.1 Директивы так, что предварительное разрешение сертификационных услуг в этих странах прямо запрещено законом. В законодательстве всех других стран соответствующих норм включено не было. Тем не менее, общая сертификационная практика в этих странах все еще отвечает Статье 3.1 Директивы.

2.7.2 Уведомление о деятельности ПСУ


Хотя это явным образом не регулируется и не предписывается Директивой, большинство стран (за исключением Ирландии, Мальты, Латвии, Швейцарии и Великобритании) в целом требуют, чтобы ПСУ, выдающие квалифицированные сертификаты, извещали о своих услугах какой-либо надзорный орган. Как правило, предполагается, что извещение будет сделано в течение нескольких недель (например, 30 дней) до начала деятельности или создания организации. В большинстве случаев ПСУ должен представить в ответственный орган некоторые документы, например, концепции безопасности, политики, внутреннюю документацию или договоры (см. сводную таблицу ниже).

Очень важно внимательно проанализировать, как в каждой стране реализован процесс уведомления. Вопрос, который следует задать, состоит в том, является ли представление документов достаточным для начала деятельности, или на самом деле требуется еще и решение соответствующего органа. В последнем случае уведомление будет напоминать предварительное или «скрытое» утверждение.

В том, какие ПСУ должны регистрировать свою деятельность, мнения национальных законодателей различаются.
  • В то время, как во многих странах (Бельгия, Дания, Финляндия, Германия, Италия, Люксембург, Нидерланды, Португалия, Швеция, Чешская республика, Эстония, Литва, Польша, Исландия, Болгария, Норвегия) надзорный орган должны извещать только ПСУ, выдающие гражданам квалифицированные сертификаты, есть несколько стран (Австрия, Греция, Испания, Словения, Венгрия, Румыния, Лихтенштейн), требующих уведомления о деятельности всех ПСУ, независимо от того, выдают они квалифицированные сертификаты или нет. Хотя это не противоречит положениям Директивы, такое выполнение Директивы можно счесть слишком усердным.
  • В Швейцарии, Великобритании, Латвии, Ирландии и на Мальте ПСУ вообще не должны регистрироваться, хотя ирландские ПСУ стремятся в рамках общей практики обращаться в соответствующие органы.
  • Интересно отметить, что, в противоположность всем другим странам Европы, Эстония создала систему обязательной регистрации ПСУ, выдающих квалифицированные сертификаты. ПСУ, выдающие другие виды сертификатов, могут работать в Эстонии без каких-либо ограничений или контроля.

За извещение о деятельности практически в каждой стране отвечает независимый государственный орган (например, министерство или распорядительный орган) под покровительством правительства. Лишь некоторые страны (Австрия, Бельгия, Финляндия, Нидерланды, Венгрия, Литва, Польша, Словения) на самом деле требуют от этого органа принятия какого-либо решения после того, как он получит извещение от ПСУ, иногда даже в течение ограниченного срока. По отношению к Директиве, если ПСУ придется ожидать принятия решения, это будет нарушением Статьи 3.1:
  • Так, в Финляндии предоставление квалифицированных сертификатов не может быть начато, пока ПСУ не передаст извещение в FICORA;
  • В Венгрии ПСУ должен пройти «квалификационную процедуру», прежде чем ему будет разрешено выдавать квалифицированные сертификаты — это де-факто явное разрешение.

Стоимость процедуры уведомления существенно варьируется: в некоторых странах (Бельгия, Испания, Люксембург, Чешская республика, Румыния) уведомление для ПСУ бесплатно, в то время как в большинстве стран ПСУ должны платить за это суммы от 5 до 15 000 евро. Некоторые страны требуют ежегодной уплаты сбора. Более того, в Германии и Австрии ПСУ должны платить пошлины за каждый выданный сертификат.

За немногими исключениями, все страны требуют, чтобы ПСУ своевременно извещал контролирующий орган обо всех существенных изменениях (например, в процедурах или в компонентах защиты). Это относится и к ПСУ, планирующим сворачивать свою деятельность.

В целом, процедуры уведомления по всей Европе существенно различаются, особенно в том, какие ПСУ обязаны извещать о своих услугах уполномоченные органы. Установившаяся практика, видимо, показывает, что некоторые страны (например, Австрия, Бельгия, Румыния, Польша и Словения) используют ответ на извещение в качестве некой системы «скрытого лицензирования» или «скрытой регистрации», вводя на самом деле предварительное разрешение на услуги ПСУ без использования этого термина.

Аналогичным образом и документация, которая должна представляться ПСУ для извещения, очень различается по объему и подробности. Вновь появляется риск того, что страны-члены злоупотребят процессом уведомления, требуя от ПСУ предоставлять подробную документацию: что произойдет, если ПСУ не выполнит какое-либо требование (или все требования), связанное с подачей документов?

2.7.3 Надзор (Статья 3.3)


Согласно Статье 3.3 Директивы, страны-члены должны создать «соответствующую систему, обеспечивающую надзор» за ПСУ, выдающими гражданам квалифицированные сертификаты. С учетом определения ПСУ в Статье 2 это означает, что надзор касается не только выдачи сертификатов, но и «других услуг, связанных с электронными подписями».

Каждая страна Европы (за исключением Кипра, который пока не принял законодательство об электронной подписи) уже внедрила или планирует внедрение подобной системы надзора. Ответственный орган в отдельных странах идентичен тому, который получает уведомления от ПСУ (см. предыдущую главу).
  • В некоторых странах (например, в Швейцарии) орган надзора — это компания, которая должна пройти аккредитацию (не путать с «добровольной аккредитацией») у независимого государственного органа, чтобы осуществлять надзор за ПСУ.
  • С другой стороны, в Великобритании существует общее положение о «регулировании» (приведено в Части 1 Акта об электронных средствах связи за 2000 год), которое пока не введено в действие. В связи с отсутствием ПСУ, выдающих квалифицированные сертификаты, систему надзора, соответствующую Статье 3.3, также только предстоит внедрить.

Аналогично процессу уведомления, существует расхождение в том, какие ПСУ следует контролировать (см. сводную таблицу ниже):
  • Многие страны в точности следуют Статье 3.3 в том, что надзор должен касаться лишь ПСУ, выдающих квалифицированные сертификаты всем гражданам, в то время как в других странах контроль распространяется на все ПСУ.
  • В Исландии в сферу действия надзора попадают даже ПСУ, выдающие сертификаты замкнутым группам пользователей. Хотя это вполне возможно, контроль за всеми ПСУ явно не входил в намерения создателей Директивы.

Заметны существенные расхождения в том, как на самом деле должен осуществляться надзор. Во многих странах надзор основывается на регулярных аудиторских проверках, которые проводятся органом надзора и/или внешними экспертами от имени этого органа. Тем не менее, подробные сведения об аудиторских проверках зачастую недоступны до сих пор. Это главным образом объясняется тем, что в большинстве стран фактически начало действовать очень небольшое количество ПСУ. Поэтому и система надзора не была должным образом внедрена.
  • В тех странах, которые уже смогли создать систему надзора (например, Австрия, Бельгия, Дания, Эстония, Румыния), аудиторские проверки проводятся на регулярной основе, например, ежегодно. Германия, с другой стороны, осуществляет аудиторские проверки (если они есть) только в ходе первоначального обследования.
  • В некоторых странах (Греция, Литва, Болгария) надзор не реализуется посредством аудиторских проверок; вместо этого применяется внешнее расследование (либо в ответ на жалобу или по инициативе органа надзора).

С началом аудиторских проверок их стоимость тоже начинает варьироваться.
  • В некоторых случаях ПСУ должен уплатить относительно небольшой сбор в размере нескольких тысяч евро (например, в Австрии и в Лихтенштейне); иногда размер пошлины зависит от времени работы надзорного органа (например, в Германии), а в отдельных странах сбор может достигать 100 000 евро (Дания).
  • В отдельных странах сборы покрываются надзорным органом или властным органом, к которому он относится; ПСУ тем самым не являются объектом каких-либо сборов, связанных с проведением надзора. Это, опять же, ведет к размышлениям о том, возможно ли злоупотребить выплатой пошлин, введя тем самым некую форму предварительного утверждения? Что произойдет, если ПСУ откажется платить пошлины за надзор? Позволят ли такому ПСУ выдавать сертификаты?

В соответствующих критериях соответствия также выявлены существенные различия.
  • Некоторые страны (например, Исландия, Мальта, Норвегия) вообще не предусмотрели критериев контроля.
  • Другие (Австрия, Испания, Польша, Словения, Швейцария) оценивают соответствие ПСУ требованиям по соответствующим законам и/или постановлениям. Так, Словения требует от ПСУ использовать продукты, прошедшие оценку соответствия американскому стандарту FIPS 140-1 или согласно «рекомендуемому EAL5 или хотя бы EAL3». Данное требование законодательства является слишком детальным, особенно в связи с тем, что вопрос о продуктах, подлежащих оценке, остается открытым.
  • Наконец, отдельные страны (Дания, Люксембург, Эстония и Болгария) опубликовали подробную документацию с рядом критериев, которым предполагается следовать.

Большинство стран используют расследования в качестве средства контроля за соблюдением требований. Эти расследования обычно проводятся в результате жалоб либо инициируются по требованию надзорной организации. Во всех странах в ходе проверок по отношению к надзорным организациям применяются законы о защите данных и общие положения законодательства.

Еще одним камнем преткновения стало применение стандартов в процессе надзора.
  • Многие страны-члены ЕС не указали, каким стандартам надлежит следовать. Похоже, государства-члены не захотели дожидаться окончания работы над остальными стандартами и использовали вместо них собственные.
  • С другой стороны, большинство стран, не входящих в ЕС, широко использовали стандарты, опубликованные рядом организаций, таких как EESSI, ETSI, CEN, ISO и IETF.

В большинстве стран система надзора не делает различия между аккредитованными и неаккредитованными ПСУ (см. следующий раздел). Лишь в отдельных случаях (в Германии и Чешской республике) первоначальное обследование будет проведено со слегка повышенными требованиями, перед тем как ПСУ может быть аккредитован. Более того, существенных различий нет и в том, что касается последствий несоответствия: большинство стран применяют предписания и запреты в отношении ПСУ, нарушающих какие-либо нормы. Помимо этого, ПСУ могут облагаться штрафами и подобными им наказаниями. Впрочем, ПСУ практически всегда имеют возможность опротестовать любое решение в суде. Заслуживающим внимания исключением, пожалуй, является Португалия, законодательство которой не предусматривает каких-либо последствий несоответствия.

В заключение, в большинстве стран либо создано (если вообще создавалось) лишь небольшое количество ПСУ, которые на самом деле начали выдавать сертификаты, либо система надзора все еще находится на начальном этапе развития, либо имеет место и первое, и второе. По этой причине сравнивать практические результаты работы систем надзора нет смысла. Впрочем, уже сейчас очевидно, что ПСУ, учрежденные более чем в одной стране, будут вынуждены следовать самым разным правилам надзора. Любой ПСУ, желающий основать свою компанию более чем в одной стране, будет вынужден приспосабливаться к различным требованиям и процедурам.

2.7.4 Добровольная аккредитация (Статья 3.2)


Статья 3.2 Директивы позволяет странам-членам «внедрять или обеспечивать существование систем добровольной аккредитации, нацеленных на повышение уровня предоставляемых сертификационных услуг».

Многие страны действительно определяют в своем законодательстве систему аккредитации, в то время как некоторые страны (Дания, Финляндия, Венгрия, Польша, Исландия, Норвегия) не признают данное понятие вообще (см. сводную таблицу ниже).
  • За исключением Нидерландов и Великобритании, аккредитацией в европейских странах занимаются государственные органы, например, министерства, либо другие федеральные агентства (например, распорядительные органы в сфере телекоммуникаций, уже учрежденные во многих странах).
  • С другой стороны, Нидерланды и Великобритания, ввели в действие частные саморегулирующиеся аккредитационные системы, называемые соответственно TTP.NL и tScheme. В то время как TTP.NL действует усилиями государственных и частных организаций, tScheme была создана представителями британского бизнеса. В данных схемах ответственные органы осуществляют «мониторинг» соблюдения соответствующих применимых критериев.
  • Большинство систем добровольной аккредитации используют аккредитацию как надзор с повышенным уровнем гарантий, т.е. выполняющий требования для выдачи квалифицированных сертификатов. Такое развитие событий явно не предусматривалось при включении добровольной аккредитации в Директиву.

На практике системы добровольной аккредитации испытывают проблемы, близкие к проблемам систем надзора, т.е. малое количество ПСУ в большинстве стран (за исключением Австрии, Германии и Италии) приводит к малому количеству установившихся систем аккредитации. Более того, процесс получения провайдером аккредитации, как правило, занимает много месяцев. Таким странам, как Франция, Греция, Ирландия, Португалия, Испания, Мальта, Латвия, Лихтенштейн и Румыния, еще предстоит реализовать аккредитационные схемы на практике. Еще одной причиной относительно медленного развития подобных систем, видимо, является неточное определение «добровольной аккредитации» в Статье 2 Директивы.

Несколько примечаний:
  • В Болгарии ПСУ не должны регистрироваться в соответствующем органе, если они хотят выдавать сертификаты для так называемых «универсальных» электронных подписей (главным образом используются в государственном секторе).
  • В Швейцарии ПСУ может уведомлять о своей деятельности центры сертификации, которые, в свою очередь, аккредитуются в органе аккредитации.
  • Согласно предварительным законодательным документам в Норвегии, рынку предстоит решить, следует ли вводить систему добровольной аккредитации. В настоящее время, видимо, большой потребности в такой схеме в Норвегии нет.
  • ПСУ в Швеции могут добровольно пройти проверку/тестирование на соответствие отдельным стандартам у «сертифицирующего органа», аккредитованного SWEDAC (национальный орган аккредитации).
  • Законы Бельгии не дают определения аккредитации, но ссылаются на аккредитацию в Статьях 17 и 18. Статья 17 констатирует, что «Администрация может попросить, чтобы ПСУ, отвечающий требованиям Приложения II, издающий квалифицированные сертификаты согласно спецификациям в Приложении I и использующий защищенные устройства для создания подписей, прошел аккредитацию».
  • В Великобритании термин «аккредитация» используется по отношению к оценке независимых органов («оценщиков»), выполняющих сертификацию услуг. С UKAS в роли органа аккредитации, системы, подобные tScheme (которая является добровольной системой «одобрения» трастовых услуг), должны быть аккредитованы, чтобы проводить оценку ПСУ.
  • В Италии все действующие ПСУ прошли аккредитацию по итальянскому закону о цифровой подписи, введенному в действие еще до Директивы. «Новая» схема аккредитации, основанная на новом законодательстве об электронной подписи, пока еще не внедрена.
  • В Люксембурге «Office Luxembourgeois d’accréditation et de surveillance’» (OLAS) опубликовал подробную документацию, относящуюся к аккредитации ПСУ, требований к компонентам, квалификации ИТ-аудиторов и надзору за ПСУ, выдающими КС. Эти документы основаны на стандартах, опубликованных в процессе деятельности EESSI.
  • В Нидерландах создана схема добровольной аккредитации под названием TTP.NL. В рамках данной схемы проводится оценка соответствия со стандартами ETSI TS 101 456. TTP.NL является инициативой в сфере саморегулирования.
  • Словакия ввела в действие систему обязательной аккредитации ПСУ, выдающих КС.

И вновь наблюдается множество различий в применении как критериев аккредитации, так и стандартов: одни схемы, видимо, следуют более общим требованиям, изложенным в законодательстве, тогда как другие схемы используют международные стандарты, например, ISO 17799 и EN 45012. В свою очередь, в отличие ситуации в Нидерландах, документы EESSI сыграли основную роль только в тех странах, которые не входят в ЕС.

Только в отдельных странах (например, в Нидерландах и на Мальте) функции органа аккредитации и надзорного органа выполняют разные структуры; как правило, обе эти задачи выполняются одними и теми же организациями.

Что касается действия аккредитации, то в большинстве систем аккредитация действительна в течение 3 лет, и лишь некоторые системы требуют регулярных проверок в течение срока действия. Отдельные системы (например, в Австрии, Италии, Чешской республике, Словении, Швейцарии) вообще не устанавливают предельных сроков аккредитации. Это означает, что в некоторых странах ПСУ нуждаются в возобновлении аккредитации каждые несколько лет, в то время как в других странах срок действия аккредитации вообще не ограничен.

Единственное прямо сформулированное право ПСУ, получивших аккредитацию, — это право пользоваться статусом «аккредитованного ПСУ» в большинстве стран. Аналогичным образом, во многих странах не предусмотрена в явном виде доказательная сила для аккредитованных ПСУ. Напротив, многим ПСУ пришлось выполнять дополнительные требования (например, увеличенные сроки архивации) после того, как они прошли аккредитацию.

Впрочем, многие системы неявным образом поощряют работу схем аккредитации, поскольку (квалифицированные) сертификаты, которые выданы аккредитованными ПСУ, в некоторых областях, например, в государственном секторе, являются предпочтительными и даже обязательными.

В рамках ViTAS49 участники ряда европейских и неевропейских схем в настоящее время обсуждают возможность прийти к Соглашению о взаимном признании, основанному на общих процессуальных кодексах. Тем не менее, пока еще рано говорить о возможных результатах этого соглашения.

Резюмируя сказанное выше, можно сказать, что большое количество систем аккредитации уже функционируют или готовится к вводу в действие. Некоторые страны высказали возражения в отношении самого термина «аккредитация», поскольку он уже используется и имеет устоявшееся значение в другом контексте; поэтому и сама процедура в отдельных странах получила другое название (например, «одобрение», «регистрация», «признание» или даже «сертификация»). По сравнению с надзором за ПСУ, сложившейся практики аккредитации пока нет (за исключением Австрии, Германии и Италии), особенно в европейском масштабе. Более того, само значение аккредитации оценивается неодинаково: тогда как одни страны явно отдают предпочтение добровольной аккредитации, позиция других стран выглядит гораздо более сдержанной.

Нам еще предстоит узнать, является ли существование различных схем аккредитации преимуществом: в большинстве стран накоплено еще недостаточно опыта. Отдельные страны закладывают в свои процедуры аккредитации очень высокие требования, в то время как в других странах аккредитация основана на гораздо более общих правилах, которым должны следовать ПСУ. Разнообразие требований и характеристик систем добровольной аккредитации на практике означает, что создание и деятельность ПСУ в рамках разных систем аккредитации будут существенно различаться.

2.7.5 Оценка соответствия SSCD (Статья 3.4)


В Статье 3.4 Директивы указывается, что соответствие защищенных устройств для создания подписей (SSCD) Приложению III «должно определяться соответствующими государственными или частными организациями, назначенными странами-членами». Более того, результаты оценки продукта «должны быть признаны всеми странами-членами».

Статья 3.4 не обязывает производителей проводить оценку продукции; она лишь констатирует, что, если эта оценка проводится, то это должны делать назначенные органы. Декларация факта (15) выражается более ясно, требуя, чтобы «Комиссия и страны-члены действовали без промедлений с целью обеспечить назначение органов, отвечающих за оценку соответствия; чтобы отвечать требованиям рынка, оценка соответствия должна быть своевременной и эффективной».
  • Большинство стран до известной степени интерпретировали Директиву, требуя обязательной оценки соответствия устройств для создания подписей как условие признания их SSCD. Оценка, как правило, основывается на очень строгой методологии Общих Критериев (CC).
  • Заметным исключением из данной ситуации является Испания (где прямо признается добровольность оценки соответствия), Нидерланды и Великобритания (там понятие SSCD в законодательстве отсутствует в связи с отсутствием понятия квалифицированной электронной подписи).
  • С другой стороны, законодательство лишь немногих стран признает доказательную силу SSCD, прошедших оценку соответствия. Тем не менее, доказательная сила зачастую неявно присутствует, например, в соответствующих положениях гражданского законодательства.

Что касается создания органов, отвечающих за оценку соответствия, то лишь немногие страны (Австрия, Франция, Германия, Чешская республика, Венгрия, Литва, Польша) фактически назначили эту задачу соответствующему органу, а еще несколько стран планируют сделать то же самое. Причиной в основном является тот факт, что затраты времени и средств на создание такого органа были бы для большинства организаций слишком велики. Тем не менее, все страны (прямо или косвенно) признают оценку соответствия, проведенную уполномоченным органом в другой стране-члене ЕС, следуя положениям Статьи 3.4.
  • В большинстве стран есть национальный орган аккредитации, ответственный за назначение других лиц или организаций, которые, в свою очередь, занимаются оценкой продуктов.
  • Интересно, что существующая в Италии система оценки соответствия предназначена только для военных целей. Коммерческая система находится в стадии подготовки. В связи с этим, оценку продуктов в Италии пока проводят соответствующие органы, учрежденные в других странах.

Процесс оценки соответствия продукта зачастую является как чрезвычайно дорогим (затраты производителя могут достигать нескольких сотен тысяч евро), так и трудоемким. В реальности оценка соответствия далека от «своевременности и эффективности», надежду на которые выражает Декларация факта (15). Две других причины того, почему производители временами так неохотно идут на оценку соответствия своей продукции, состоят в том, что, во-первых, оценка является действительной в течение ограниченного времени и, во-вторых, она «замораживает» продукт, не позволяя вносить в него изменения (например, с целью закрыть уязвимость) без аннулирования результатов оценки. Более того, из-за затрат времени на процесс оценки экспертиза не может быть проведена по современному положению дел в отношении новых атак и мер защиты.

Следовательно, хотя некоторое количество SSCD уже прошли оценку соответствия, все эти мероприятия были проведены относительно небольшим количеством назначенных органов. Только в Австрии, Германии и Чешской республике число продуктов, прошедших оценку, превысило два. В некоторых странах (Австрия, Германия) была также проведена оценка продуктов для подписи, отличных от SSCD.

В заключение стоит отметить, что, хотя она и не строго предписана Директивой, оценка соответствия SSCD на практике является обязательной в большинстве стран Европы (но не во всех; см. таблицу ниже). С этим тесно связан вопрос, нужна ли на самом деле оценка соответствия SSCD для того, чтобы заявить, что продукт является SSCD. Директива опять же не признает это обязательным, однако сложившаяся практика показывает: без официальной оценки уполномоченными органами SSCD не будет. Более того, в странах наподобие Великобритании SSCD вообще не фигурируют в законодательстве.

2.7.6 Сводная таблица
Уведомление
Надзор
Аккредитация
Оценка SSCD

АВСТРИЯ
все ПСУ
все ПСУ
да
да

БЕЛЬГИЯ
ПСУ, выдающие КС
ПСУ, выдающие КС
да
да

дания
ПСУ, выдающие КС
ПСУ, выдающие КС
нет
да

финляндия
ПСУ, выдающие КС
все ПСУ (на практике: ПСУ, выдающие КС)
нет
необяза-тельно

франция
ПСУ, выдающие КС («криптоуслуги»)
ПСУ, выдающие КС
да
да

германия
ПСУ, выдающие КС
ПСУ, выдающие КС
да
да

греция
все ПСУ
все ПСУ
да
да

ирландия
нет
ПСУ, выдающие КС (пока нет)
да
пока нет

италия
ПСУ, выдающие КС
все ПСУ
да
да

люксембург
ПСУ, выдающие КС
ПСУ, выдающие КС
да

нет

нидерланды
ПСУ, выдающие КС
ПСУ, выдающие КС
да (индуст. система)
необяза-тельно

португалия
ПСУ, выдающие КС
все ПСУ
да
да

испания
все ПСУ
все ПСУ
да
нет

швеция
ПСУ, выдающие КС
ПСУ, выдающие КС
да
да

великобрит.
нет
ПСУ, выдающие КС
да (индуст. система)
нет

кипр
н/д
н/д
н/д
н/д

чешская р.
ПСУ, выдающие КС
ПСУ, выдающие КС
да
да

эстония
ПСУ, выдающие КС (обязательная регистрация)
ПСУ, выдающие КС
нет
нет

венгрия
все ПСУ
все ПСУ, выдающие сертификаты для граждан
нет
да

латвия
нет
ПСУ, выдающие КС
да
нет

литва
ПСУ, выдающие КС
ПСУ, выдающие КС
да
да

мальта
нет
ПСУ, выдающие КС
да
нет

польша
ПСУ, выдающие КС
все ПСУ
нет
да

словакия






обязательно для ПСУ, выдающих КС
да

словения
все ПСУ
все ПСУ
да
«неофи-циально»

болгария
ПСУ, выдающие КС
ПСУ, выдающие КС
да
да

румыния
все ПСУ
все ПСУ
да
да

исландия
ПСУ, выдающие КС
ПСУ, выдающие КС (вкл. замкнутые группы пользов-й)
нет
да

лихтеншт.
все ПСУ
все ПСУ
да

да

норвегия
ПСУ, выдающие КС
ПСУ, выдающие КС
нет

нет

швейцария
нет
ПСУ, выдающие КС (добровольно)
да
нет