Niemiecka ustawa z dnia 16 maja 2001 r. w sprawie warunków ramowych dla podpisów elektronicznych

PRAWO w IT

Niemiecka ustawa z dnia 16 maja 2001 r. w sprawie warunków ramowych dla podpisów elektronicznych, ostatnio zmieniana przez art. 4 ustawy z dnia 26 lutego 2007 r. (BGBI. I S. 1790, udostępniona przez Niemieckie Ministerstwo Sprawiedliwości SigG

Niniejsze tłumaczenie ma charakter nieoficjalny. Zachęcam do współpracy nad jego ulepszeniem Justyna Kurek

Ustawa

z dnia 16 maja 2001

W sprawie ramowych warunkach dla sygnatur elektronicznych

§1 SigG [Cel i zakres zastosowania]

1.Celem ustawy jest stworzenie warunków ramowych dla stosowania sygnatur elektronicznych.

2.Stosowanie sygnatur elektronicznych jest dobrowolne, o ile przepisy nie przewidują obowiązku stosowania ich określonego rodzaju.

3. Przepisy prawne mogą przewidywać, że w przypadku publiczno-prawnej działalności administracyjnej, stosowanie kwalifikowanej elektronicznej sygnatury będzie podlegało dodatkowym wymogom. Wymogi te muszą być obiektywne, proporcjonalne i niedyskryminujące i odnosić się jedynie do specyficznych właściwości w przypadku ich zastosowania.

§2 SigG [Pojęcia]

1. [Sygnatura elektroniczna] Dane w formie elektronicznej, które są dołączone do innych danych elektronicznych lub są z nimi logicznie powiązane i służą do autoryzacji

2. [Zaawansowana sygnatura elektroniczna] Sygnatura elektroniczna spełniający wymogi ust. 1, która:

a. jest przyporządkowana wyłącznie posiadaczowi prywatnego klucza sygnaturowego;

b. umożliwia identyfikację posiadacza prywatnego klucza sygnaturowego;

c. jest sporządzona za pomocą środków podlegających wyłącznej kontroli posiadacza prywatnego klucza sygnaturowego;

d. jest powiązana z danymi, do których została dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.

3. [Kwalifikowana sygnatura elektroniczna] Sygnatura elektroniczna spełniająca wymogi ust. 2, która:

a. w momencie jej złożenia była weryfikowana za pomocą ważnego kwalifikowanego certyfikatu,

b. została złożona za pomocą bezpiecznego urządzenia służącego do składania sygnatury elektronicznej.

4. [Prywatny klucz sygnaturowy] Jednorazowe dane elektroniczne takie jak prywatne klucze kryptograficzne, które są używane przez osobę sygnującą do stworzenia sygnatury.

5. [Publiczny klucz weryfikacyjny] Dane elektroniczne, takie jak publiczne klucze kryptograficzne, które służą do weryfikacji sygnatury elektronicznej.

6. [Certyfikat]Elektroniczne zaświadczenie za pomocą którego, weryfikacyjny klucz sygnaturowy jest przyporządkowany do określonej osoby i które umożliwia identyfikację tej osoby.

7. [Kwalifikowany certyfikat] Elektroniczne zaświadczenie spełniające przesłanki §2 ust. 6 wydawane dla osoby fizycznej, spełniające przesłanki §7, które zostało wystawione przez podmiot świadczący usługi certyfikacyjne, który co najmniej spełnia wymogi przewidziane w §§ 4-14 lub §23 tej ustawy i związanych z nią przepisów rozporządzenia o którym mowa w § 24.

8. [Podmiot świadczący usługi certyfikacyjne] Osoba fizyczna lub prawna która wystawia kwalifikowane certyfikaty lub kwalifikowane stemple czasowe.

9. [Posiadacz klucza sygnaturowego] Osoba fizyczna, która posiada klucz sygnaturowy; w przypadku kwalifikowanych sygnatur elektronicznych, sygnaturowy klucz weryfikacyjny musi zostać przyporządkowany tej osobie za pomocą kwalifikowanego certyfikatu.

10. [Bezpieczne urządzenia służące do wystawiania sygnatur] Oprogramowanie lub urządzenia służące do zapamiętania i wykorzystania każdorazowego klucza sygnaturowego, które spełniają wymogi zgodnie z § 17 lub 23 ustawy i które spełniają warunki określone dla kwalifikowanych sygnatur elektronicznych w rozporządzeniu wydanych na postawie § 24 ustawy.

11. [Komponenty służące do wykorzystywania sygnatur] Oprogramowanie i urządzenia, które służą do:

a) przekazania danych w procesie wytworzenia lub weryfikacji kwalifikowanych sygnatur elektronicznych,

b) zaprezentowania wyników sprawdzenia elektronicznych kwalifikowanych sygnatur oraz weryfikacji kwalifikowanych certyfikatów

12.[Komponenty techniczne dla usług certyfikacyjnych]

Oprogramowanie i urządzenia, które służą do:

a) wytworzenia klucza sygnaturowego i przeniesienia bezpiecznego komponentu służącego do stworzenia sygnatury elektronicznej,

b) publicznej weryfikacji kwalifikowanych certyfikatów i w odmiennym przypadku ich odwołania lub

c) wytworzenia kwalifikowanego stempla czasowego

13.[Urządzenia dla kwalifikowanych elektronicznych sygnatur] Bezpieczne urądzenia służące do wytworzenia sygnatur, komponenty służące o wykorzystywania sygnatur oraz techniczne komponenty dla usług certyfikacyjnych.

14. [Kwalifikowany stempel czasowy] Zaświadczenie, które zostało wystawione przez podmiot świadczący usługi certyfikacyjne, które wypełnia przynajmniej wymogi §§ 4-14 oraz § 17 i § 23 tej ustawy oraz wymienionego w § 24 rozporządzenia, i które zaświadcza o tym, iż zostało ono wystawiony w określonym czasie.

15. [Dobrowolna akredytacja] Postępowanie w sprawie udzielenia pozwolenia dla przedsiębiorstwa świadczącego usługi certyfikacyjne z którym związane są szczególne prawa i obowiązki.

§3 SigG [Organy Właściwe]

Zadania organu właściwego w rozumieniu ustawy oraz rozporządzenia wydanego na podstawie §24 będzie pełnić Federalna Agencja Sieci ds. Elektryczności, Gazu, Telekomunikacji, Poczty i Kolei. (Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen).

§4 SigG [Ogólne wymogi]

1. Prowadzenie działalności w zakresie świadczenia usług certyfikacyjnych, w ramach określonych przepisami tej ustawy, nie wymaga uzyskania zezwolenia

2. Świadczący usługi certyfikacyjne może wykonywać swoją działalność pod warunkiem zapewnienia niezawodności, fachowej obsługi, posiadania odpowiednich środków na pokrycie ryzyka, o których mowa w§12 ustawy, jak również spełnienia dalszych warunków przewidzianych w ustawie i rozporządzeniu wydanym na podstawie §24 Nr. 1, 3 i 4 ustawy. Właściwą niezawodności zapewnia podmiot, który jako podmiot świadczący usługi certyfikacyjne, gwarantuje przestrzeganie odpowiednich przepisów prawnych. Fachowa obsługa jest zapewniona, gdy podmiot świadczący usługi certyfikacyjne zatrudnia pracowników posiadających odpowiednią wiedzę, doświadczenia oraz gotowość. Dalsze wymogi stawiane podmiotom świadczącym usługi certyfikacyjne zostają spełnione, gdy podmioty te wdrażają środki konieczne do wypełnienia warunków bezpieczeństwa, określone w niniejszej ustawie i rozporządzeniu wydanym na podstawie § 24 Nr. 1, 3 i 4 ustawy, zgodnie z koncepcją bezpieczeństwa stworzoną przez odpowiednie organy.

3. Kto rozpoczyna działalność w charakterze podmiotu świadczącego usługi certyfikacyjne powinien poinformować o tym właściwe organy, najpóźniej w chwili rozpoczęcia działalności. Właściwemu organowi należy dostarczyć, w odpowiedniej przewidzianej do tego formie wszelkie informacje, o których mowa w ust. 2.

4. Podmiot świadczący usługi certyfikacyjne musi wypełniać wymogi, o których mowa w ust. 2 przez cały okres prowadzenia działalności. Właściwy organ należy niezwłocznie poinformować o każdej przeszkodzie uniemożliwiającej wypełnienie powyższych wymogów.

5. Podmiot świadczący usługi certyfikacyjne może, uwzględniając koncepcją bezpieczeństwa o której mowa w ust. 2 zd. 4 ustawy, powierzyć podmiotowi trzeciemu zadania o których mowa w ustawie i rozporządzeniu wydanym na podstawie § 24.

§5 SigG [Wydanie kwalifikowanego certyfikatu]

1. Podmiot świadczący usługi certyfikacyjne jest zobowiązany do niezawodnej identyfikacji osób ubiegających sie o wydanie kwalifikowanego certyfikatu. Może w tym celu wykorzystywać, za zgodą składającego wniosek, jego dane osobowe, które zostały wcześniej pobrane przez podmiot świadczący usługi certyfikacyjne, jeżeli dane te gwarantują niezawodną identyfikację osoby składającej wiosek o wydanie kwalifikowanego certyfikatu, o którym mowa w zdaniu 1. Podmiot świadczący usługi certyfikacyjne musi przyporządkować weryfikacyjny klucz sygnaturowy do zidentyfikowanej osoby za pomocą kwalifikowanego certyfikatu oraz być w stanie dokonać tego ponownie oraz wywołać taką czynność w każdym czasie dla każdego zainteresowanego podmiotu, za pośrednictwem publiczne dostępnych połączeń komunikacyjnych. Kwalifikowany certyfikat może zostać wywołany jedynie za zgodą posiadacza klucza sygnaturowego.

2. Na wniosek zainteresowanego, kwalifikowany certyfikat może zawierać dodatkowe dane dotyczące pełnomocnictwa do reprezentowania osoby trzeciej, jak również dane odnoszące się do wykonywanego zawodu lub inne dodatkowe informacje (atrybuty). W przypadku zamieszczania informacje odnoszącej się do pełnomocnictwa do reprezentacji, zgodna osoby trzeciej musi zostać udowodniona; w odniesieniu do danych dotyczących wykonywanego zawodu lub innych cech osoby, dane te muszą zostać potwierdzone przez właściwe organy. Dane dotyczące upoważnienia do reprezentacji mogą zostać zamieszczone w kwalifikowanym certyfikacie jedynie po udowodnieniu zgody, o której mowa w zd. 2; dalsze informacje odnoszące się do wykonywanego zawodu lub innych właściwości osobistych, mogą zostać zawarte w kwalifikowanym certyfikacie jedynie za zgodą osoby, której te dane dotyczą.

3. Podmiot świadczący usługi certyfikacyjne może na wniosek osoby zainteresowanej, w miejscu nazwiska wprowadzić pseudonim. Jeżeli kwalifikowany certyfikat zawiera dane dotyczące upoważnienia do działania w imieniu osoby trzeciej lub dane odnoszące sie do wykonywanego zawodu lub innych cech osobowych, dla zamieszczenia w certyfikacie pseudonimu konieczna jest odpowiednio, zgoda osoby do działania na rzecz której pełnomocnictwo zostało wystawione, albo zgoda odpowiedniego organu w przypadku danych odnoszących się do wykonywanego zawodu lub innych cech osobowych.

4. Podmiot świadczący usługi certyfikacyjne musi podjąć działania w takim celu aby dane służące do kwalifikowanego certyfikatu nie zostały w sposób niezauważony sfałszowane albo podrobione. Podmiot ten musi podjąć dalsze środki w celu zapewnienia poufności kluczy sygnaturowych. Niedopuszczalne jest zapamiętywanie kluczy sygnaturowych poza komponentami służącymi do wytworzenia sygnatur elektronicznych.

5. Podmiot świadczący usługi certyfikacyjne musi wykorzystywać w celu zagwarantowania niezawodności działalności certyfikacyjnej, osoby oraz produkty przewidziane dla kwalifikowanych elektronicznych sygnatur. które spełniają przynajmniej wymogi o których mowa w §§ 4 do 14 oraz § 17 lub § 23 ustawy oraz rozporządzeniu wydanym na podstawie §24.

6. Podmiot świadczący usługi certyfikacyjne powinien upewnić się w odpowiedni sposób, że osoba składająca wniosek posiada odpowiednie komponenty służące do składania sygnatur elektronicznych.

§6 SigG [Obowiązek informacyjny]

1. Podmiot świadczący usługi certyfikacyjne musi poinformować wnioskodawcę, o którym mowa § 5 ust 1 o środkach, które mogą przyczynić się do zapewnienia bezpieczeństwa kwalifikowanych elektronicznych sygnatur oraz ich niezawodnej weryfikacji. Podmiot świadczący usługi certyfikacyjne powinien poinformować wnioskodawcę, że dane połączone z elektroniczną kwalifikowaną sygnaturą, mogą w razie potrzeby zostać ponownie sygnowane przed utratą gwarancji pewności, związanej z upływem terminu sygnatury.

2. Podmiot świadczący usługi certyfikacyjne musi poinformować wnioskodawcę, że kwalifikowana sygnatura elektroniczna wywołuje skutki prawne zrównane z podpisem własnoręczny, jeżeli nic innego nie zostało przewidziane w ustawie.

3. Podmiot świadczący usługi certyfikacyjne powinien udzielić wnioskodawcy pouczenia, o którym mowa w ust. 1 i 2, w formie tekstowej; zapoznanie sie przez wnioskodawcę z pouczeniem, które stanowi przesłankę dla wystawienia kwalifikowanego certyfikatu, powinno również zostać udzielone w formie tekstowej. O ile wnioskodawca został wcześniej pouczony, zgodnie z ust. 1 i 2, pouczenie to może pozostać odnowione.

§7 SigG [Zawartość kwalifikowanego certyfikatu]

1. Kwalifikowany certyfikat musi zawierać następujące dane i być powiązany z kwalifikowaną elektroniczną sygnaturą:

1) oznaczenie posiadacza prywatnego klucza sygnaturowego, w przypadku możliwości wystąpienia pomyłki co do identyfikacji tej osoby kwalifikowany certyfikat musi zawierać albo dodatkowe dane umożliwiające identyfikacje, albo niezmienny pseudonim przyporządkowany posiadaczowi klucza prywatnego; użycie pseudonimu musi być wyraźnie zaznaczone;

2) przyporządkowany kluczowi prywatnemu, publiczny klucz sygnaturowy;

3) określenie algorytmu dzięki któremu mogą być używane publiczny klucz sygnaturowy przyporządkowany posiadaczowi prywatnego klucza sygnaturowego, jak również publiczny klucz sygnaturowy przyporządkowany podmiotowi świadczącemu usługi certyfikacyjne;

4) bieżący numer certyfikatu;

5) oznaczenie końca i początku ważności certyfikatu;

6) określenie podmiotu świadczącego usługi certyfikacyjne wydającego certyfikat i państwa, w którym ma on siedzibę;

7) określenie ograniczeń którym podlega zastosowanie prywatnego klucza sygnaturowego; w szczególności dotyczące zakresu i rodzaju;

8) określenie, iż certyfikat jest wystawiony jako kwalifikowany certyfikat;

9) dodatkowo może zawierać określenie atrybutów posiadacza prywatnego klucza sygnaturowego.

2. Atrybuty mogą również zostać określone w specjalnym kwalifikowanym certyfikacie (kwalifikowany certyfikat zawierający atrybuty). W przypadku kwalifikowanego certyfikatu zawierającego atrybuty, dane określone w ust. 1 mogą zostać zastąpione przez wyraźnie wskazane dane rekomendujące kwalifikowany certyfikat, jeżeli użycie kwalifikowanego certyfikatu zawierającego atrybuty nie jest konieczne.

§8 SigG [Zablokowanie kwalifikowanego certyfikatu]

1. Podmiot świadczący usługi certyfikacyjne musi niezwłocznie zablokować certyfikat, jeżeli: zażąda tego posiadacz klucza sygnaturowego lub jego przedstawiciel, certyfikat został wystawiony na postawie fałszywych danych, o których mowa w §7 ustawy, podmiot świadczący usługi certyfikacyjne zakończył swoją działalność i nie jest ona kontynuowana przez inny podmiot świadczący usługi certyfikacyjne, lub zgodnie z §19 ust 4 zablokowania zażądał właściwy organ. Dalsze przesłanki zablokowania certyfikatu mogą być przewidziane w umowie o świadczenie usług certyfikacyjnych. Zablokowanie musi zawierać wskazanie czasu, w którym ono nastąpiło. Zablokowanie certyfikatu ze skutkiem wstecz jest niedopuszczalne. Jeżeli kwalifikowany certyfikat został wystawiony na podstawie fałszywych danych, podmiot świadczący usługi certyfikacyjne może to w odpowiedniej formie obwieścić.

2. Jeżeli kwalifikowany certyfikat zawiera dane, o których mowa w §5 ust. 2, żądanie zablokowania certyfikatu może zgłosić także - odpowiednio - osoba trzecia lub organ właściwy ze względu na zamieszczenie w certyfikacie danych odnoszących się do wykonywanego zawodu lub danych dotyczących osoby, jeżeli odpadła przesłanka dla umieszczenia tych dodatkowych danych w certyfikacie.

§9 SigG [Kwalifikowany stempel czasu]

Przepis §5 ust. 5 stosuje się odpowiednio w przypadku świadczenia usługi znakowania czasem przez podmiot świadczący usługi certyfikacyjne.

§10 SigG [Dokumentacja]

1. Podmiot świadczący usługi certyfikacyjne musi podjąć środki bezpieczeństwa w celu wypełnienia wymogów stawianych w ustawie oraz rozporządzeniu wydanym na podstawie § 24 ust 1, 3 i 4, jak również udokumentować wystawione kwalifikowane certyfikaty, w sposób zgodny z określonym w zdaniu 2, tak aby dane oraz ich autentyczność (niesfałszowanie) mogły zostać w każdym czasie zweryfikowane. Udokumentowanie musi nastąpić niezwłocznie, tak aby nie mogło dojść do następczej niezauważonej zmiany danych. W szczególności odnosi się to do wystawienia i zablokowania certyfikatu.

2. Na wniosek posiadacza klucza sygnaturowego, należy umożliwić mu wgląd do danych, które jego dotyczą oraz stadiów postępowania.

§11 SigG [Odpowiedzialność cywilna]

1. W przypadku, gdy podmiot świadczący usługi certyfikacyjne naruszy postanowienia ustawy lub powołującego się na nią zgodnie z §24 rozporządzenia lub wyrządzi osobom trzecim szkodę w wyniku nieprawidłowego działania produktów związanych z usługą kwalifikowanej sygnatury elektronicznej lub innych technicznych środków mających zapewnić bezpieczeństwo świadczonych usług, podmiot świadczący usługi certyfikacyjne jest zobowiązany do naprawienia każdej osobie trzeciej, szkody która poniosła w związku z tym iż ufała w prawdziwość danych zawartych w certyfikacie, w poświadczeniu usługi znakowania czasem, lub innej informacji zgodnie z §5 ust. 1. Obowiązek pokrycia szkód nie występuje jeżeli osoba trzecia o nieprawidłowościach wiedziała lub wiedzieć musiała.

2. Dostawca usług certyfikacyjnych jest wolny od odpowiedzialności, jeżeli udowodni, że nie ponosi winy.

3. Jeżeli zgodnie z kwalifikowanym certyfikatem zastosowanie prywatnego klucza sygnaturowego jest ograniczone pod względem zakresu i rodzaju, obowiązek pokrycia szkód występuje jedynie w zakresie ram określonych w certyfikacie.

4. Podmiot świadczący usługi certyfikacyjne odpowiada względem osób trzecich zgodnie z § 4 ust. 5 i zgodnie z § 23 ust. 1 pkt. 1 za poręczenie które udzielił zagranicznemu certyfikatowi, w tym samym zakresie jak za własne działania. § 831 ust. 1 pkt. 2 BGB nie znajduje zastosowania.

§12 SigG [Obowiązek posiadania środków na pokrycie ryzyka związanego z prowadzoną działalnością]

Podmiot świadczący usługi certyfikacyjne jest zobowiązany, zawrzeć umowę ubezpieczenia na podstawie której będzie posiadał środki na pokrycie ryzyka związanego z prowadzoną działalnością zgodnie z wymogami ustawy i rozporządzenia określonego w §24 ustawy, i dzięki której będzie w stanie wypełnić ustawowy obowiązek pokrycia szkód wyrządzonych swoją działalnością lub spowodowanych nieprawidłowym działaniem swoich produktów związanych z usługą kwalifikowanej sygnatury elektronicznej lub innych technicznych środków mających zapewnić bezpieczeństwo świadczonych usług. Minimalna suma gwarancyjna musi wynosić 250.000€ w odniesieniu do jednego zdarzenia opisanego w §1.

§13 SigG [Wstrzymanie działalności]

1. Podmiot świadczący usługi certyfikacyjne musi niezwłoczne po zaprzestaniu swojej działalności poinformować o tym właściwy organ. Podmiot ten musi nadto zapewnić aby certyfikaty, które były ważne w momencie zawieszenia przez niego działalności zostały przejęte przez inne centra certyfikacyjne, lub też je zablokować. Podmiot świadczący usługi certyfikacyjne musi poinformować posiadacza klucza sygnaturowego o zaprzestaniu swojej działalności oraz o przejęciu kwalifikowanego certyfikatu przez inny podmiot świadczący usługi certyfikacyjne.

2. Podmiot świadczący usługi certyfikacyjne musi przekazać udokumentowania, o których mowa w §10, innemu podmiotowi świadczącemu usługi certyfikacyjne, który zgodnie z ust. 1 przejmuje certyfikaty. Jeżeli żaden podmiot świadczący usługi certyfikacyjne nie przejmuje certyfikatów, udokumentowania muszą zostać przejęte przez właściwy organ. Właściwy organ udziela informacji, w przypadku wykazania interesu prawnego, na temat udokumentowania o którym mowa w zdaniu drugim, o ile jest to technicznie możliwe bez nadmiernego i ponadprzeciętnego nakładu.

3. Podmiot świadczący usługi certyfikacyjne musi niezwłocznie przekazać właściwemu organowi wniosek o otwarcie postępowania w sprawie niewypłacalności (upadłościowego).

§14 SigG [Ochrona danych]

1. Podmiot świadczący usługi certyfikacyjne może gromadzić dane osobowe tylko bezpośrednio i po wyraźnej zgodzie osoby zainteresowanej i tylko w takim zakresie, w jakim jest to konieczne ze względu na cel i w zakresie w jakim jest to związane z prowadzonymi usługami certyfikacyjnymi. Gromadzenie danych osobowych osób trzecich jest dopuszczalne jedynie za zgodą osób zainteresowanych. Dla celów innych niż wymienione w zdaniu 1 dane osobowe mogą być przetwarzane jedynie jeżeli jest to dozwolone przez ustawę lub wyrazi na to zgodę osoba zainteresowana.

2. W przypadku posiadacza prywatnego klucza sygnaturowego posługującego się pseudonimem, podmiot świadczący usługi certyfikacyjne przekazuje na prośbę dane umożliwiające identyfikację, w zakresie w jakim jest to konieczne do zapobiegania popełnieniu przestępstwa, ze względu na bezpieczeństwo i porządek publiczny oraz w zakresie wymaganym do wypełnienia obowiązków organów właściwych do ochrony wartości konstytucyjnych (Verfassungs-schutzbehörden des Bundes und der Länder), Federalnej służby wywiadowczej (Bundesnach-richtendienstes), urzędów finansowych, oraz w zakresie w jakim jest to zarządzone przez sądy w związku z toczącymi się postępowaniami. Informacje które zostają udzielone muszą zostać udokumentowane. Wyznaczony urząd musi posiadacza prywatnego klucza certyfikacyjnego poinformować o odkryciu jego pseudonimu, jeżeli nic innego nie wynika z przepisów prawnych.

3. Jeżeli inne niż wymienione w § 2 Nr 8 podmioty świadczące usługi certyfikacyjne wystawiają certyfikaty do weryfikacji elektronicznych sygnatur, zastosowanie znajdują przepisy ust. 1 i 2.

§15 SigG [Dobrowolna akredytacja podmiotu świadczącego usługi certyfikacyjne]]

1. Podmioty świadcząc usługi certyfikacyjne mogą wystąpić z wnioskiem o udzielenie przez właściwe organy akredytacji dla świadczonych przez siebie usług; właściwe organy mogą wystąpić o udzielenie akredytacji przez prywatne podmioty. Akredytacja jest przyznawana, jeżeli podmiot świadczący usługi certyfikacyjne udowodni, że wypełnia przesłanki wynikające z przepisów tej ustawy i rozporządzenia o którym mowa w §24. Akredytowane podmioty świadczące usługi certyfikacyjne otrzymują znak jakości od właściwego organu. Znak jakości jest potwierdzeniem technicznego i administracyjnego bezpieczeństwa sygnatury elektronicznej weryfikowanej za pomocą kwalifikowanego certyfikatu (kwalifikowane elektroniczne sygnatury posiadające akredytację podmiotu świadczącego usługi certyfikacyjne). Podmioty te mogą się określać jako kwalifikowane podmioty świadczące usługi certyfikacyjne i gwarantować bezpieczeństwo prawnego i handlowego obrotu.

2.Dla wypełnienia przesłanek o których mowa w ust. 1, koncepcja bezpieczeństwa o której mowa w § 4 ust. 2 zdanie 4 ustawy, musi zostać z punktu widzenia przydatności i praktycznego wdrożenia sprawdzona i zatwierdzona przez organ, zgodne z §18 ustawy. Sprawdzenie i potwierdzenie musi być powtarzane przy poważnych zmianach wymogów bezpieczeństwa oraz w regularnych odstępach czasu.

3. Akredytacja może przewidywać dodatkowe postanowienia, o ile są one konieczne do przyjęcia oraz w trakcie wykonywania działalności dla wypełnienia warunków określonych w niniejszej ustawie i rozporządzeniu wydanym na podstawie §24.

4. Należy odmówić akredytacji jeżeli nie będą spełnione przesłanki określone w niniejszej ustawie i rozporządzeniu wydanym na podstawie §24; w takim przypadku §19 stosuj się odpowiednio.

5. W przypadku nie spełnienia obowiązków określonych w niniejszej ustawie lub rozporządzeniu wydanym na podstawie §24 albo w przypadku wystąpienia którejkolwiek z przesłanek, o których mowa w ust. 4, właściwy organ odwołuje akredytację lub ją cofa w przypadku gdy powyższe powody istniały w momencie udzielenia akredytacji a środki o których mowa w §19 ust. 2 nie wydają się być wystarczające.

6.W przypadku odwołania lub cofnięcia akredytacji lub w przypadku zakończenia działalności akredytowanego podmiotu świadczącego usługi certyfikacyjne, właściwy organ musi zapewnić przejęcie działalności przez inny akredytowany podmiot świadczący usługi certyfikacyjne lub wypowiedzieć umowy posiadaczom kluczy sygnaturowych. Powyższe stosuje się również w przypadku, gdy zostanie złożony wniosek o otwarcie postępowania w związku z niewypłacalnością (upadłościowe) w stosunku do podmiotu, a jego działalność nie będzie kontynuowana. Jeżeli żaden inny akredytowany podmiot świadczący usługi certyfikacyjne nie przejmie dokumentacji, zgodnie z §13 ust. 2, zostaje ona przejęta przez właściwy organ; przepis §10 ust. 1 zdanie 1 stosuje sie odpowiednio.

7. W przypadku produktów dla kwalifikowanych elektronicznych sygnatur, spełnienie przesłanek o których mowa w §17 ust. 1 do 3 oraz rozporządzeniu wydanym na podstawie § 24 musi zostać sprawdzone i potwierdzone, zgodnie z §18 przez właściwy podmiot zgodnie ze stanem wiedzy i techniki; ust. 1 zdanie 3 stosuje się odpowiednio. Akredytowany podmiot świadczący usługi certyfikacyjne musi:

1) stosować w swojej działalności o której mowa w zdaniu 1 sprawdzone i potwierdzone produkty dla kwalifikowanych sygnatur elektronicznych,

2) wystawiać kwalifikowane certyfikaty jedynie osobom, które, zgodnie ze zdaniem 1, posiadają sprawdzone i potwierdzone bezpieczne urządzenia służce do tworzenia sygnatur,

3) pouczyć posiadacza klucza sygnaturowego o skutkach korzystania ze sprawdzonych i potwierdzonych komponentów służących o tworzenia sygnatur, o których mowa w §6 ust. 1 zdanie 1.

§16 SigG [Certyfikaty właściwych organów]

1. Właściwy organ wystawia akredytowanemu podmiotowi świadczącemu usługi certyfikacyjne konieczny kwalifikowany certyfikat. Przepisy o wystawianiu i blokowaniu kwalifikowanych certyfikatów przez akredytowane podmioty świadczące usługi certyfikacyjne stosuje się odpowiednio do właściwych organów. Właściwe organy blokują wystawione przez siebie kwalifikowane certyfikaty, gdy akredytowany podmiot świadczący usługi certyfikacyjne zaprzestaje swojej działalności lub akredytacja zostaje zawieszona lub cofnięta.

2. Właściwy organ musi w każdym czasie oraz dla każdego zainteresowanego podmiotu, za pomocą publicznie dostępnych środków komunikacyjnych udostępnić w sposób umożliwiający sprawdzenie oraz przywołanie danych informacje o:

1) nazwie, adresie oraz połączeniu komunikacyjnym akredytowanego podmiotu świadczącego usługi certyfikacyjne,

2) zawieszeniu albo cofnięciu akredytacji,

3) wystawionych przez ten podmiot kwalifikowanych certyfikatach oraz ich zablokowaniu,

4) zakończeniu oraz zakazaniu prowadzenia działalności akredytowanemu podmiotowi świadczącemu usługi certyfikacyjne.

3. W razie potrzeby właściwy organ wystawia również elektroniczne zaświadczenia dla automatycznych autentyfikacji produktów, o których mowa w §15 ust. 7 wymagane przez podmioty świadczące usługi certyfikacyjne lub wystawców.

§17 SigG [Produkty dla kwalifikowanych elektronicznych sygnatur]

1. Dla zapamiętania oraz wytworzenia kwalifikowanych elektronicznych sygnatur stosuje się bezpieczne urządzenia do tworzenia sygnatur, które umożliwiają niezawodne rozpoznanie sfałszowania sygnatur sfałszowanych sygnowanych danych, oraz chronią przed nieuprawnionym wykorzystaniem kluczy sygnaturowych. Jeżeli klucze sygnaturowe zostały same sporządzone na bezpiecznych urządzeniach d tworzenia sygnatur, ustęp 3 stosuje się odpowiednio.

2. Dla przedstawienia sygnowanych danych, wymagane są komponenty wykorzystywane dla sygnatur, które pozwalają na stworzenie oraz poinformowanie na jakie dane powołuje sie kwalifikowana elektroniczna sygnatura. Dla sprawdzenia sygnowanych danych wymagane są komponenty wykorzystywane dla sygnatur, które umożliwiają stwierdzenie:

1) na jakie dane powołują się sygnatury,

2) czy sygnowane dane nie zostały zmienione,

3) jakiemu posiadaczowi kluczy sygnaturowych przyporządkowana jest sygnatura,

4) na jakie treści wskazuje kwalifikowany certyfikat, na który powołuje sie sygnatura oraz przyporządkowane do niej atrybuty, oraz

5) do jakiego wyniku doprowadziło sprawdzenie certyfikatów, zgodnie z §5 ust.1 zd.3. Komponenty wykorzystywane dla sygnatur muszą w razie potrzeby odpowiednio umożliwić rozpoznanie danych które mają zostać sygnowane oraz danych sygnowanych. Posiadacze kluczy sygnaturowych muszą stosować dla sygnatur takie komponenty oraz podejmować inne właściwe środki bezpieczeństwa dla kwalifikowanych sygnatur elektronicznych.

3. Techniczne komponenty dla usług certyfikacyjnych muszą umożliwić:

1) zagwarantowanie przy tworzeniu i przekazywaniu kluczy sygnaturowych, jednorazowość i utrzymanie w tajemnicy kluczy sygnaturowych oraz wyłączyć możliwość zapamiętania ich poza bezpiecznymi produktami wykorzystywanymi do sygnatur,

2) ochronę kwalifikowanych certyfikatów, które mogą zostać zweryfikowane i wywołane zgodnie z §5 ust. 1 zd. 3, przed nieuprawnioną zmianą i nieuprawnionym wywołaniem,

3) wyłączyć możliwość sfałszowania lub zafałszowania w trakcie procesu tworzenia kwalifikowanego stempla czasowego.

4. Spełnienie przesłanek, o którym mowa w ust. 1 - 3 nr. 1 oraz rozporządzeniu wydanym na podstawie §24 powinno zostać potwierdzone przez właściwy podmiot, zgodnie z §18. Dla wypełnienia wymogów zgodnie z ust. 2-3 nr. 2 i 3 wystarczy oświadczenie producenta produktów dla kwalifikowanych sygnatur elektronicznych. Wystawca, musi najpóźniej z chwilą wprowadzenia na rynek produktów, przedłożyć swoje oświadczenie w formie pisemnej Federalnej Agencji Sieci ds. Elektryczności, Gazu, Telekomunikacji i Kolei. Oświadczenia wytwórcy, które odpowiadają wymogom stawianym przez ustawę i rozporządzenie wydane na podstawie §24, będą publikowane w dzienniku urzędowym Federalnej Agencji Sieci ds. Elektryczności, Gazu, Telekomunikacji i Kolei.

§18 SigG [Uznanie przez punkty potwierdzające i sprawdzające]

1. Organ właściwy, na wniosek uznaje osobę fizyczną lub prawną jako punkt potwierdzający, o którym mowa w §17 ust. 4 lub §15 ust. 7 zd.1 lub jako punkt weryfikacyjno-potwierdzający, o którym mowa w § 15 ust. 2., jeżeli udowodni on, że w związku z prowadzoną przez siebie działalnością gwarantuje odpowiedni poziom niezawodności, niezależnośći i fachowości. Uznanie może być udzielone w ograniczonym zakresie, tymczasowo, na określony termin oraz wiązać się z określonymi obowiązkami.

2. Punkty, uznane zgodnie z ust. 1 wypełniają swoje zadania w sposób bezstronny, samodzielny i sumienny. Punkty te dokumentują czynności weryfikacyjne i potwierdzające a w przypadku zawieszenia swojej działalności, przekazują dokumentację właściwemu organowi.

§19 SigG [Środki ostrożności]

1. Na właściwym organie spoczywa obowiązek czuwania nad przestrzeganiem niniejszej ustawy i rozporządzenia o którym mowa w §24, organ ten może wypełnić te obowiązki przy pomocy prywatnych punktów. Z chwilą podjęcia działalności, podmiot świadczący usługi certyfikacyjne podlega nadzorowi właściwego organu.

2. organ właściwy może podjąć w stosunku do podmiotu świadczącego usługi certyfikacyjne środki służące zapewnieniu przestrzegania przez niego wymogów niniejszej ustawy i rozporządzenia o którym mowa w §24.

3. Organ właściwy, odmawia podmiotowi świadczącemu usługi certyfikacyjne, częściowo lub w całości zgody na prowadzenie działalności, jeżeli fakty świadczą o tym, że:

1) podmiot ten nie posiada odpowiedniego stopnia niezawodności, który jest wymagany dla przedsiębiorstwa świadczącego usługi certyfikacyjne;

2) nie zostanie udowodnione, że podmiot ten posiada odpowiedniego poziomu kadrę merytoryczną;

3) nie dysponuje odpowiednim zabezpieczeniem majątkowym na pokrycie ewentualnych strat;

4) wykorzystuje nie odpowiednie produkty dla kwalifikowanych sygnatur elektronicznych;

5) nie wypełnia dalszych wymogów dla przedsiębiorstwa świadczącego usługi certyfikacyjne, o których mowa w niniejszej ustawie i wydanym na podstawie §24 rozporządzeniu.

a środki, o których mowa w ust. 2 nie wydają się być wystarczające.

4. Organ właściwy może zarządzić zawieszenie kwalifikowanych certyfikatów, jeżeli fakty przemawiają za tym, że kwalifikowane certyfikaty zostały sfałszowane lub nie są w wystarczającym stopniu zabezpieczone przed fałszowaniem lub jeżeli bezpieczne urządzenia służące do tworzenia sygnatur elektronicznych wykazują braki w zakresie bezpieczeństwa, które umożliwiają niezauważone sfałszowanie kwalifikowanych elektronicznych sygnatur lub sfałszowanie sygnowanych za ich pomocą danych.

5. Na ważność certyfikatu wystawionego przez podmiot świadczący usługi certyfikacyjne nie ma wpływu cofnięcie zgody dla przedsiębiorstwa, zawieszenie przez nie działałości, jak również odebranie lub odmowa udzielenia akredytacji.

6. Organ właściwy jest obowiązany udostępnić każdej zainteresowanej osobie, za pomocą publicznie dostępnych połączeń komunikacyjnych, informacje na temat nazw dopuszczonych przez siebie podmiotów świadczących usługi certyfikacyjne, jak również podmiotów świadczących usługi certyfikacyjne, które zawiesiły swoją działalność, zgodnie z §13 oraz przedsiębiorstw, którym odmówiono zgody, zgodnie z §13.

§20 SigG [Obowiązek współdziałania]

1. Podmiot świadczący usługi certyfikacyjne oraz pomiot trzeci, o którym mowa w § 4 ust. 5 muszą udostępnić właściwym organom oraz wskazanym w ich wnioskach osobom zainteresowanym, pomieszczenia biurowe i przemysłowe w zwyczajowo przyjętych godzinach urzędowania, na wniosek właściwe księgi, zapisy, dowody, pisma oraz inne dokumenty w odpowiedniej do zapoznania się formie, także w przypadku gdy są one prowadzone w formie elektronicznej, jak również zapewnić odpowiednią pomoc.

2. Osoba zobowiązana do udzielenia informacji, może odmówić jeżeli w ten sposób narazi siebie lub inną osobę, o której mowa w §383 ust. 1 nr 1-3 ZPO (Zivilprozeßordnung) na odpowiedzialność z tytułu popełnienia czynu karalnego albo jeżeli toczy sie postępowania na podstawie ustawy postępowanie w sprawach o wykroczenie. Osoba ta musi powołać się na to prawo.

§21 [Przepisy dotyczące grzywny]

1. Dopuszcza się wykroczenia, kto umyślnie lub nieumyślnie:

1) postępuje wbrew dyspozycji §4 ust. 2 zd. w związku z rozporządzeniem, o którym mowa w §24 ustawy;

2) wbrew dyspozycji §4 ust. 3 zd. 1 lub §13 ust. 1 zd. 1 nie udziela informacji, lub udziela jej w sposób nieprawdziwy lub w nieodpowiednim czasie;

3) wbrew dyspozycji §5 ust. 1 zd. 1 w związku z rozporządzeniem o którym mowa w §24 Nr. 1 nie identyfikuje osoby lub identyfikuje w sposób nieprawidłowy lub w nieodpowiednim czasie;

4) wbrew dyspozycji §5 ust.1 zd. 3 w związku z rozporządzeniem o którym mowa w §24 Nr. 1 nie umożliwia weryfikacji kwalifikowanego certyfikatu;

5) wbrew dyspozycji §5 ust. 1 zd. 4 umożliwia zapoznanie się z kwalifikowanym certyfikatem;

6) wbrew dyspozycji § 5 ut. 2 zd. 3 lub 4 zamieszcza informacje w kwalifikowanym certyfikacie;

7) wbrew dyspozycji §5 ust. 4 zd. 2, w związku z rozporządzeniem o którym mowa w §24 nr. 1 nie podejmuje środków przygotowawczych, lub podejmuje je w sposób niewłaściwy;

8) wbrew dyspozycji §5 ust. 4 zd. 3 zapamiętuje klucz sygnaturowy;

9) wbrew dyspozycji §10 ust. 1 zd 1 w związku z rozporządzeniem o którym mowa w §24 nr. 1, nie dokumentuje środków bezpieczeństwa, lub kwalifikowanego certyfikatu, lub też dokumentuje w sposób nieprawidłowy lub w nieodpowiednim czasie;

10) wbrew dyspozycji §13 ust, 1 zd, 2, w związku z rozporządzeniem o którym mowa w §24 nr. 1, nie troszczy się o to, aby kwalifikowany certyfikat został przejęty przez inny podmiot świadczący usługi certyfikacyjne lub aby kwalifikowany certyfikat został zawieszony lub też został zawieszony w odpowiednim czasie;

11) wbrew dyspozycji §13 ust. 1 zd. 3 w związku z rozporządzeniem o którym mowa w §24 nr. 1, nie informuje posiadacza klucza sygnaturowego, lu też informuje go w sposób nieprawidłowy lub w nieodpowiednim czasie.

2. Wykroczenia, o których mowa w ust. 1 pkt. 1, 7 i 8 zagrożone są karą grzywny do 50.000 euro natomiast wykroczenia, w pozostałych przypadkach wykroczenia zagrożone są karą grzywny do 10.000 euro.

3. Organem administracji w rozumieniu §36 ust. 1 nr. 1 ustawy o wykroczeniach jest Federalna Agencja Sieci ds. Elektryczności, Gazu, Telekomunikacji i Kolei.

§22 SigG [Koszty i składki]

1. Organ właściwy pobiera dla następujących rodzajów swojej działalności urzędowej koszty (opłaty i wydatki):

1) środki w ramach dobrowolnej akredytacji od kwalifikowanych podmiotów świadczących usługi certyfikacyjne, o których mowa w §15 i rozporządzeniu, o którym mowa w §24;

2) środki w ramach wystawiania kwalifikowanych certyfikatów, zgodnie z §16 ust. 1 jak również wystawiania zaświadczeń zgodnie z §16 ust. 3;

3) środki w ramach uznania punktów weryfikacyjno – potwierdzających, zgodnie z §18 i rozporządzeniem, o którym mowa w §24;

4) środki w ramach kontroli zgodnie z §19 ust. 1 – 4 i rozporządzeniem, o którym mowa w §24.

Koszty będą również pobierane dla działalności administracyjnej, która powstaje podczas przeprowadzania przez organ kontroli prywatnych podmiotów. Ustawa o kosztach administracyjnych znajduje zastosowanie.

2. Podmiot świadczący usługi certyfikacyjne, który zawiadomił o działalności, zgodnie z §4 ust. 3, dla pokrycia działalności administracyjnej związanych z ciągłym wypełnianiem przesłanek z §19 ust. 6, wnosi do właściwego organu opłatę, która będzie pobierana jako opłata roczna. Podmioty świadczący usługi certyfikacyjne, które zostały akredytowane zgodnie z §15 ust. 1, dla pokrycia nakładów administracyjnych związanych z ciągłym wypełnianiem przesłanek z §16 ust. 2 wnosi do właściwego organu opłatę która będzie pobierana jako opłata roczna.

§23 SigG [Zagraniczne elektroniczne sygnatury i produkty związane z elektronicznymi sygnaturami]

1. Elektroniczne sygnatury weryfikowane za pomocą zagranicznego kwalifikowanego certyfikatu wystawionego w jednym z państw członkowskich Unii Europejskiej albo innym państwie będącym stroną traktatu o Europejskiej Wspólnocie Gospodarczej, które spełniają wymogi Art. 5. ust. 1 Dyrektywy 1999/93/WE (...) są zrównane pod względem skutków prawnych z kwalifikowanymi elektronicznymi sygnaturami. Elektroniczne sygnatury pochodzące z państw trzecich są zrównane z kwalifikowanymi elektronicznymi sygnaturami jeżeli certyfikat wystawiony przez weryfikujący organ świadczący usługi certyfikacyjne został oficjalnie wystawiony jako kwalifikowany certyfikat i jako certyfikat weryfikujący elektroniczną sygnaturę zgodnie z Art. 5 ust. 1 dyrektywy 1999/93/UE i jeżeli:

2. Podmiot świadczący usługi certyfikacyjne wypełnia wymogi tej dyrektywy i uzyskał akredytację w jednym z państw Unii Europejskiej albo jednym z państw-stron konwencji o Europejskiej Wspólnocie Gospodarczej, lub

3. Jeden z podmiotów świadczących usługi certyfikacyjne w państwie wspólnotowym, który wypełnia przesłanki dyrektywy udzielił gwarancji na ten certyfikat, lub

4. Certyfikat lub podmiot świadczący usługi certyfikacyjne są uznane w ramach dwustronnej lub wielostronnej umowy pomiędzy Wspólnotą a państwami trzeciemu lub międzynarodową organizacją.

5. Elektroniczne sygnatury zgodnie z ust. 1 są kwalifikowanymi sygnaturami posiadającymi akredytację podmiotu świadczącego usługi certyfikacyjne jeżeli zapewniają one równe co do wartości bezpieczeństwo obrotu.

6. Produkty związane z elektronicznymi sygnaturami, zostaną uznane jeżeli w jednym z państw członkowskich Unii Europejskiej albo innym państwie będącym stroną traktatu o Europejskiej Wspólnocie Gospodarczej zostanie stwierdzone, że spełniają wymogi Dyrektywy 1999/93/WE. Zgodnie z § 15 ust. 7 sprawdzone produkty związane z elektronicznymi sygnaturami, pochodzące z jednego z państw wymienionych w pkt. 1 albo jednego z państw trzecich zostają zrównane co do skutków prawnych jeżeli zapewniają równe co do wartości bezpieczeństwo obrotu.

§24 SigG [Rozporządzenie] Rząd Federalny zostaje upoważniony, do określenia w drodze rozporządzenia przepisów służących wdrożeniu norm §§3 do 23 ustawy, określających:

1. Obowiązki podmiotów świadczących usługi certyfikacyjne w związku z podjęciem działalności oraz w trakcie prowadzenia tej działalności, jak również podjęcia działalności, o której mowa w §4 ust. 2 i3, §§5, 6 ust. 1, §§8, 10, 13 oraz 15;

2. Czynności podlegające obowiązkowi opłat oraz ich wysokość, jak również wysokość opaty oraz warunki złożenia wniosku do właściwego organu; przy ustalaniu opłat uwzględnia się koszty administracyjne (personel oraz nakład materiałów) jak również nakład inwestycyjny jeżeli nie wynikają one już z opłat;

3. Zawartość treściową oraz ważność kwalifikowanego certyfikatu, zgodnie z §7;

4. Środki bezpieczeństwa służące wypełnieniu zobowiązania do posiadania środków na pokrycie ryzyka związanego z prowadzoną działalnością, jak również zakres, wysokość oraz zawartość treściową, o której mowa w §12;

5. Zbliżone wymagania dla produktów dla kwalifikowanych elektronicznych sygnatur, zgodnie z § 17 ust. 1 do 3; jak również wymagania dla weryfikacji tych produktów oraz potwierdzenia, że spełniają one wymogi o których mowa w §17 ust. 4 oraz §15 ust7;

6. Osobliwości postępowania przy zastosowaniu, jak również działalności podmiotów weryfikujących i potwierdzających, zgodnie z §18.

7. Zakres czasowy jak również postępowanie, w przypadku, gdy dane opatrzone kwalifikowanymi elektronicznymi sygnaturami będą musiały został ponownie sygnowane, zgodnie z §6 ust. 1 zd 2;

8. Postępowanie w celu stwierdzenia, że ten sam poziom bezpieczeństwa jest gwarantowany przez zagraniczne elekroniczne sygnatury oraz produkty dla elektronicznych sygnatur, zgodnie z § 23.

§25 SigG [Przepisy przejściowe]

1. Centra certyfikacyjne, które zostały zatwierdzone na mocy przepisów ustawy o podpisie elektronicznym z dnia 22 lipca 1997 r. (BGBI. s. 1870, 1872) zmienionej przez ustawę z dnia 19 grudnia 1998 r. (BGBI, I S. 3836) stają się z mocy prawa centrami akredytowanymi w rozumieniu § 15 ustawy. Centra o których mowa w zdaniu 1 muszą w ciągu trzech miesięcy od dnia wejścia w życie przepisów niniejszej ustawy przedstawić właściwym organom zaświadczenie o posiadaniu środków na pokrycie ryzyka związanego z prowadzoną działalnością, o których mowa w §12.

2. Certyfikaty, które zostały wystawione, zgodnie z ust. 1, do czasu wejścia w życie ustawy zgodne z §5 ustawy o podpisie elektronicznym z dnia 22 lipca 1997 r. (BGBI. s. 1870, 1872) zmienionej przez ustawę z dnia 19 grudnia 1998 r. (BGBI, I S. 3836), stają się z mocy prawa certyfikatami równoważnymi certyfikatom kwalifikowanym. Posiadacze certyfikatów, o których mowa w zd.1, muszą zostać w terminie sześciu miesięcy od dnia wejścia w życie niniejszej ustawy pouczeni o skutkach prawnych, o których mowa w §6 ust. 2.

3. Dokonane przez właściwe organy akty uznania podmiotów weryfikujących i pomiotów potwierdzająych, dokonane zgodnie z §4 ust. 3 zd. 3 i §14 ust. 4, ustawy o podpisie elektronicznym z dnia 22 lipca 1997 r. (BGBI. s. 1870, 1872) zmienionej przez ustawę z dnia 19 grudnia 1998 r. (BGBI, I S. 3836), utrzymują swoją ważność, jeżeli spełniają wymogi z §18 ustawy.

4. Techniczne komponenty, w stosunku do których stwierdzonym i potwierdzonym jest, że spełniają wymogi §14 ust. 4 ustawy o podpisie elektronicznym z dnia 22 lipca 1997 r. (BGBI. s. 1870, 1872), stają się produktami równoważnymi z kwalifikowanymi produktami dla sygnatur elektronicznych, o których mowa w §15 ust. 7 ustawy.