VENDIM Nr.525, dat 13.5.

2009 PR MIRATIMIN E RREGULLORES PR NNSHKRIMIN ELEKTRONIK N mbshtetje t nenit 100 t Kushtetuts dhe t neneve 14, 19, 28, 52 e 54 t ligjit nr.9880, dat 25.2.2008 "Pr nnshkrimin elektronik", me propozimin e Ministrit t Brendshm, Kshilli i Ministrave VENDOSI: 1. Miratimin e rregullores pr nnshkrimin elektronik, sipas tekstit, q i bashklidhet ktij vendimi. 2. Ngarkohet Ministria e Brendshme pr zbatimin e ktij vendimi. Ky vendim hyn n fuqi pas botimit n Fletoren Zyrtare. KRYEMINISTRI Sali Berisha RREGULLORE PR NNSHKRIMIN ELEKTRONIK I. Dispozita t prgjithshme 1. Objekti i rregullores N zbatim t ligjit nr.9880, dat 25.2.2008 "Pr nnshkrimin elektronik", kjo rregullore prcakton: a) Mnyrn e regjistrimit pran autoritetit kombtar pr certifikimin elektronik (autoriteti); b) Krkesat e nevojshme funksionale, teknike dhe ligjore q duhet t'i zotrojn dhe zbatojn ofruesit e shrbimit t certifikimit, n zbatim t neneve 19 dhe 28 t ligjit; c) Procedurat pr shfuqizimin dhe regjistrimin e certifikatave t kualifikuara dhe mnyrat e informimit, n zbatim t nenit 14 t ligjit; d) Organizmat e testimit dhe t konfirmimit, n zbatim t nenit 52 t ligjit; e) Njohjen dhe pranimin e nnshkrimeve elektronike dhe produkteve t huaja, n zbatim t nenit 54 t ligjit.

II. Regjistrimi 2. Regjistrimi n autoritet a) Ofruesi i shrbimit t certifikimit regjistrohet pran autoritetit jo m von se dita e fillimit t aktivitetit, dhe njkohsisht paraqet dshmit e nevojshme q tregojn se subjekti plotson t gjitha kushtet e prcaktuara n ligj dhe n kt rregullore. b) Autoriteti ka t drejt t krkoj informacione shtes apo prgatis udhzime teknike t hollsishme n lidhje me krkesat teknike, profesionale e ligjore q prcaktohen n ligj dhe n kt rregullore dhe, q lidhen me ushtrimin e aktivitetit nga ofruesit e shrbimit t certifikimit apo organizmit t testimit e konfirmimit. c) Regjistrimi n autoritet duhet minimalisht t shoqrohet me kto t dhna dhe dokumente: i) Emrin dhe adresn e ofruesit t shrbimit t certifikimit; ii) Dshmit prkatse t fillimit t aktivitetit; iii) Dokumentet q provojn se plotson kushtet ligjore, profesionale, teknike dhe financiare t prcaktuara n ligj dhe n kt rregullore; iv) do dokument tjetr q lidhet me aktivitetin q do t kryhet. d) Formulimi i t gjith dokumentacionit q paraqitet pran autoritetit duhet t jet konform ligjeve t Republiks s Shqipris. III. Kushtet ligjore, profesionale, teknike dhe financiare 3. Besueshmria ligjore Ofruesi i shrbimit t certifikimit q fillon aktivitetin duhet t dshmoj se plotson krkesat e mposhtme: a) T jet person juridik ose fizik i regjistruar sipas legjislacionit n fuqi; b) T mos jet dnuar me vendim gjykate pr ndonj nga veprat e mposhtme: i) Vjedhje; ii) Mashtrim; iii) Korrupsion; iv) Pastrim parash;

v) Pjesmarrje n organizata kriminale; vi) Vepra q lidhen me veprimtarit profesionale; c) T mos jet n proces falimentimi dhe kapitalet e tij t jen n duart e prmbaruesit ose n proces konfiskimi, si dhe kur veprimtaria e tij e biznesit sht e pezulluar apo sht n ndjekje ligjore pr ndonjrn nga shtjet e prmendura n pikn 3(b) t ksaj rregulloreje. 4. Besueshmria profesionale Ofruesi i shrbimit t certifikimit demonstron se zotron aftsit organizativo-profesionale dhe personelin e prshtatshm sipas krkesave q prcaktohen n vijim: a) Pr zotrimin e aftsive organizativo-profesionale, ofruesi i shrbimit t certifikimit duhet: i) t organizohet n at mnyr q krijimi dhe lshimi i certifikatave apo nnshkrimeve elektronike t avancuara t jet i ndar nga do aktivitet tjetr i tij; ii) t parashikoj dhe dokumentoj me shkrim t gjitha masat e detajuara n lidhje me sigurin, n prmbushje t krkesave ligjore dhe standardeve t siguris; iii) t hartoj procedura pr t vlersuar dhe pr t siguruar besueshmrin e personelit; iv) t hartoj procedura pr t vlersuar dhe pr t siguruar vazhdimsin e aktivitetit n rastet e emergjencave q vijn nga fatkeqsit natyrore, gabimi njerzor, ndrhyrjet e qllimshme; v) t parashikoj q krijimi ruajtja, prdorimi dhe restaurimi i kodeve private t kryhet me pjesmarrjen e njkohshme e t paktn dy punonjsve t autorizuar; vi) t prcaktoj qart zonn e mbrojtur fizike, ku ruhen t gjitha kodet kontrolluese dhe ku menaxhohen certifikatat e lshuara, si dhe t autorizoj punonjs t caktuar, q gzojn t drejtn e hyrjes n zonn e mbrojtur. b) Pr zotrimin e personelit t besueshm ofruesi i shrbimit t certifikimit duhet: i) t punsoj personel t specializuar n fusha t tilla si: shkenc kompjuterike, informatik, kriptografi; ii) t punsoj personel, q i prmbush krkesat e piks 3(b) t ksaj rregulloreje; iii) t prgatis prshkrime t qarta pune q nga koha e fillimit t aktiviteti t pr disa funksione minimalisht t nevojshme dhe t ndara, si jan administratori i sistemit, administratori i siguris, operatori i prditshm i sistemit dhe mbikqyrja e administrimit t dosjeve dhe arkivave, q prmbajn t dhna pr operacionet q kryhen nga sistemi. 5. Besueshmria teknike

a) Ofruesi i shrbimit t certifikimit pr administrimin e siguris aplikon metoda, q jan n prputhje me standardet e njohura ndrkombtare; b) Besueshmria e sistemit t prdorur dhe siguria teknike dhe kriptografike e proceseve q kryen, konfirmohen pasi t ken kaluar testimet e nevojshme, nga organizmat e prcaktuar n nenin 52 t ligjit dhe n kt rregullore; c) Metodat e vlersimit t siguris s sistemit t prdorur duhet t bazohen n metodat e parashikuara nga standardet ISO 15408 (Organizata Ndrkombtare pr Standardizimet) ose m t avancuara, apo metoda ekuivalente, q jan n gjendje t bjn vlersimin e siguris; d) do pajisje apo sistem i prdorur pr certifikim nga ofruesit e shrbimit pr krijimin, nnshkrimin, ruajtjen dhe administrimin e certifikatave duhet t disenjohen vetm pr kt qllim; e) do sistem dhe pajisje teknike e prdorur nga ofruesi i shrbimit t certifikimit pr ofrimin e shrbimit pr krijimin, ruajtjen dhe administrimin e certifikatave projektohet pr t'u prdorur vetm pr kt qllim, dhe pr asnj tjetr; f) Testimet pr t verifikuar besueshmrin e sistemeve dhe pajisjeve t prdorura nga ofruesit e shrbimit t certifikimit dhe t krkuara sipas piks 5 (b) t ksaj rregulloreje, bhen normalisht do 2(dy) vjet dhe sa her q ka ndryshime n sistem, t cilat krkojn verifikimin e ruajtjes s besueshmris pas ndryshimeve; g) Krijimi, ruajtja dhe prdorimi i elsave privat t do ofruesi t shrbimit t certifikimit duhet t realizohen brenda sistemit, me nj profil mbrojtjeje n prputhje me krkesat e siguris s nivelit EAL 3 (Vlersimi i nivelit t garancis) t vlersimit t siguris ose m i avancuar, n prputhje me standardin ISO 15408 ose specifikime t tjera me nivele ekuivalente t siguris; h) Ofruesi i shrbimit t certifikimit prdor pajisje dhe teknologji q mundson realizimin e funksioneve baz si m posht: i) testimin pr t provuar origjinn e informacionit t marr dhe t shkmbyer; ii) testimin e integritetit t mesazheve t shkmbyera; iii) nnshkrimin e mesazheve t shkmbyera; iv) arkivimin e informacionit mbi punn e kryer dhe nnshkrimeve elektronike; v) sigurimin e integritetit t t dhnave t ruajtura dhe t shkmbyera, prfshir elsat kriptografik t prdorur; vi) ruajtjen e elsave privat t prdorur nga ofruesi i shrbimit t certifikimit;

vii) administrimin e aksesit t burimit t informacionit q lidhet me t dhnat pr krijimin e nnshkrimit t avancuar, listn e certifikatave q jan mbyllur dhe korrespondenca zyrtare e ruajtur n sistem; viii) krijimin dhe arkivimin e rekordeve t auditit t brendshm. i) do ofrues i shrbimit t certifikimit duhet t kryej nprmjet pajisjes dhe teknologjis s instaluar prej tij kto funksione: i) t testoj nnshkrimet elektronike t avancuara n prputhje me krkesat teknike pr nnshkrimet elektronike t parashikuara nga CEN/ISSS (Komiteti Evropian pr Standardizimet); ii) t jet n gjendje t prdor protokollin OCSP (Protokolli i Statusit t Certifikats On-line); iii) ofruesi i shrbimit t certifikimit pr standardet e pajisjeve dhe teknologjis, q nuk jan prcaktuar n kt rregullore, prdor standardet ndrkombtare t organizmave t specializuara si Instituti Evropian i Standardeve t Telekomunikacionit (ETSI), Komiteti Evropian pr Standardizimet (CEN/ISSS). 6. Besueshmria financiare a) Ofruesi i shrbimit t certifikimit demonstron se disponon garancit e nevojshme financiare, q bjn t mundur mbulimin e prgjegjsive ligjore, q rrjedhin nga neni 41 i ligjit. Garancia minimale financiare duhet t jet 100 milion lek; b) Vlera e garancis e prcaktuar n pikn 6(a) t ksaj rregulloreje mbulohet me nj depozit ose garanci bankare, apo polic sigurimi pa kusht, t lshuar nga nj shoqri e licencuar n fushn e sigurimeve dhe q mbulon edhe kt kategori shrbimi. Garancit financiare duhet t jen t vlefshme prgjat gjith kohs s aktivitetit t ofruesit t shrbimit dhe duhet t mbulojn t gjitha ngjarjet e siguruara; c) Pavarsisht nga garancia financiare e parashikuar n pikn 6(a), ofruesi i shrbimit pr do certifikat t kualifikuar t lshuar, duhet t sigurohet nga dmet q mund t'i vijn zotruesit t nnshkrimit nga shkeljet e ligjit apo mosfunksionimi si duhet i produktit t tij, si m posht: i) Deri n 5 milion lek pr do dm t shkaktuar, kur certifikata e kualifikuar sht e kufizuar n disa veprime financiare apo kufizime t tjera t prcaktuara nga palt; ii) Deri n 10 milion lek, kur certifikata e kualifikuar sht e pakufizuar dhe universale. Krkesat e msiprme nuk e ndalojn ofruesin e shrbimit t ce rtifikimit q n mnyr vullnetare t ofroj polica sigurimi me vlera m t larta se ato t parashikuara n kt pik. 7. Detyrimi pr informim

N zbatim t nenit 32 t ligjit, ofruesi i shrbimit t certifikimit sht i detyruar t'i informoj aplikuesit pr certifikat t kualifikuar n lidhje me: i) Mjetet e prodhimit e t ruajtjes s nnshkrimit dhe masat q merren n rast t humbjes ose dyshimit pr prvetsim t certifikats s kualifikuar; ii) Mjetet e ruajtjes dhe sqarime pr konfidencialitetin e t dhnave personale t prdorura; iii) Masat e siguris q aplikon ofruesi i shrbimit t certifikimit pr ruajtjen e nnshkrimit elektronik; iv) Kufizimet e mundshme q do t ket certifikata e kualifikuar; v) Njoftimin se prdorimi i certifikats s kualifikuar sht vullnetar; vi) Njoftimin mbi procedurn e revokimeve; vii) Njoftimin mbi mnyrat e zgjidhjes s mosmarrveshjeve dhe ankesave. Informacioni i paraqitur sipas ksaj pike, duhet t jet hartuar n mnyr t kuptueshme pr klientt dhe t'i bhet i ditur do pale t interesuar. IV. Organizmat e testimit dhe konfirmimit 8. Njohja si organizm testimi e konfirmimi a) Organizm testimi dhe konfirmimi njihet do organ q plotson kushtet e mposhtme: i) Zotron t gjitha certifikatat apo njohurit e nevojshme q lidhen me certifikimin e ofruesve t shrbimit t certifikimit, me pajisjet dhe proceset, q lidhen me shrbimin e certifikimit t avancuar, t njohura nga praktika m e mir ndrkombtare apo organizma t standardizimit n kt fush; ii) Plotson t gjitha krkesat e parashikuara nga pika 3 e ksaj rregulloreje; iii) Nuk ka konflikt interesi dhe personeli i tij nuk sht prfshir n ndonj aktivitet q mund t ndikoj n vlersimin profesional dhe t pavarur t tyre; iv) Zotron pavarsi financiare n mbulimin e aktivitetit prkats; v) Siguron transparenc t plot pr aktivitetin q kryen dhe disponon raporte t hollsishme pr do aktivitet t kryer; vi) Disponon personel dhe mjete t nevojshme n lidhje me fushn apo aktivitetin specifik teknik q do t certifikoj;

vii) Garanton konfidencialitetin e informacionit t marr gjat ushtrimit t detyrs dhe gatishmrin pr t'ia vn n dispozicion autoritetit kurdoher q ndrpret aktivitetin n fjal. b) Autoriteti duhet t hartoj nj list t plot t krkesave specifike pr do kusht t prcaktuar n pikn 8(a), si dhe t publikoj nj list t prditsuar t organizmave t testimit e konfirmimit; c) Autoriteti mund t njoh organizmat e testimit e konfirmimit pr t gjith ose pr nj pjes t proceseve apo prbrsve q lidhen me nnshkrimin elektronik; d) Organizmi i testimit dhe konfirmimit duhet t paktn para fillimit t shrbimeve t testimit dhe konfirmimit t bj t njohur tarifat q do t aplikohen ndaj ofruesve t shrbimit t certifikimit; e) Organizmi i testimit dhe konfirmimit certifikon me shkrim ose hedh posht plotsisht ose pjesrisht subjektin e kontrolluar. Konkluzionet i bhen t ditura autoritetit n afatet e prcaktuara nga ky i fundit; f) Konfliktet mes organizmave t testimit e konfirmimit dhe ofruesve t shrbimit t certifikimit zgjidhen me ndrhyrjen e autoritetit ose/dhe n rrug gjyqsore; g) N rastet, kur pran autoritetit nuk rezulton asnj organizm testimi dhe konfirmimi i regjistruar, aktiviteti i ofruesit t shrbimit t certifikimit quhet i mirqen dhe nuk ndrpritet, por afatet e raportimit dhe inspektimi nga autoriteti prgjysmohen. 9. Prjashtimet Bjn prjashtim nga vlersimi produktet e huaja t shoqruara me deklaratn e prodhuesit, q vrteton prmbushjen e standardeve teknike ndrkombtare t konfirmuara kto nga organizmat e testimit dhe konfirmimit n vendin e origjins. V. Shfuqizimi, revokimi dhe informimi i t tretve 10. Shfuqizimi dhe revokimi i certifikatave Shfuqizimi dhe revokimi i certifikatave bhet n rastet e parashikuara n ligjin nr.9880, dat 25.2.2008 "Pr nnshkrimin elektronik". 11. Veprimet q shoqrojn revokimin/shfuqizimin a) Nj certifikat e revokuar/shfuqizuar nuk mund t hyj m n prdorim n asnj rrethan. b) Ofruesi i shrbimit t certifikimit mundson pezullimin e menjhershm t certifikats, deri n daljen dhe verifikimin ose jo t shkaqeve pr revokimin apo shfuqizimin e certifikats. c) Ofruesi i shrbimit t certifikimit njofton menjher zotruesin e certifikats elektronike rreth pezullimit/revokimit t certifikats prkatse dhe evidenton kryerjen e njoftimit n koh.

d) Ofruesi i shrbimit t certifikimit siguron shrbim t vazhdueshm pr revokimin e certifikats 24 or n dit, do dit t javs, duke prfshir edhe ditt e pushimeve, n mnyr q mbajtsi i certifikatave t kualifikuara ose/dhe personat e autorizuar ligjrisht prej tyre, mund t dorzojn nj krkes revokimi apo autoriteti lshon nj urdhr shfuqizimi. N do rast, para revokimit, ofruesi i shrbimit t certifikimit verifikon nse krkesa sht paraqitur nga nj person q ka t drejt ligj ore pr kt gj. e) Krkesa pr revokim t certifikats s kualifikuar prpunohet menjher. Ofruesi i shrbimit siguron mjete t prshtatshme komunikimi elektronik dhe informon zotruesit e certifikatave pr kt, prfshir edhe numrat e telefonit, faksit apo do mjet tjetr. f) Ofruesi i shrbimit t certifikimit siguron shrbimin pr dhnien e informacionit rreth statusit t certifikatave (t vlefshme/t revokuara/shfuqizuara), gjat gjith kohs 24 or n dit, 7 dit n jav, duke prfshir edhe ditt e pushimit. Ky informacion duhet t pasqyroj: i) Statusin e do certifikate; ii) T paktn datn, kohn dhe kodin e identifikimit t certifikatave t evokuara/shfuqizuara; iii) T jet i hapur dhe pa pages pr prfituesit e certifikatave ose dhe palt e treta. VI. Nnshkrimet dhe produktet e huaja 12. Njohja e certifikatave t huaja Nnshkrimet elektronike dhe produktet e huaja pr nnshkrimet elektronike njihen dhe zbatohen n prputhje me aktmarrveshjet e lidhura nga Republika e Shqipris me shtetet e huaja pr pranimin e tyre dhe shkmbimin e t dhnave, kur gzojn minimalisht besueshmrin teknike dhe sigurin q parashikon ligji nr.9880, dat 25.2.2008 "Pr nnshkrimin elektronik" dhe kjo rregullore. 13. Procedurat pr njsimin e certifikatave dhe produkteve t huaja a) Produktet dhe certifikatat e kualifikuara, t lshuara nga nj ofrues i shrbimit t certifikimit q vepron n nj shtet t huaj, me t cilin Republika e Shqipris ka nnshkruar marrveshje, njihen vetm pasi ofruesi i shrbimit t certifikimit lokal do t dorzoj n autoritet t gjith dokumentacionin q krkohet pr njohjen e certifikats s kualifikuar sipas ligjit dhe ksaj rregulloreje. b) Dokumentacioni q i prket ofruesit t shrbimit t certifikimit t huaj duhet t jet i konfirmuar nga autoriteti i vendit t origjins se ai plotson t gjitha krkesat e nivelit t siguris dhe vlersimit si e prcakton ligji dhe kjo rregullore. N do rast, ofruesi i shrbimit t certifikimit prgjigjet pr sigurin e certifikimeve t huaja q ai krkon t prdor n vendin ton, si dhe pr pasojat q mund t vijn nga keqkuptimi i tyre.

c) Autoriteti publikon n regjistrin e prditsuar t certifikatave, kodet publike pr verifikimin e certifikatave, t lshuara nga ofruesit e shrbimit t huaj t njohura n Republikn e Shqipris. VII. Dispozita kalimtare 14. T gjitha ato subjekte q kan filluar aktivitetin para hyrjes n fuqi t ksaj rregulloreje, brenda 30 ditve nga miratimi i saj duhet t fillojn procedurat e regjistrimit t parashikuara n ligj dhe n kt rregullore.