Art. 1 Anerkennungsstellen

¹ Die Schweizerische Akkreditierungsstelle (SAS) des Staatssekretariats für Wirtschaft¹ akkreditiert gemäss den Bestimmungen der Akkreditierungs- und Bezeichnungsverordnung vom 17. Juni 1996² die Stellen, die die Anbieterinnen von Zertifizierungsdiensten anerkennen.

² Besteht keine akkreditierte Anerkennungsstelle, so anerkennt das Bundesamt für Kommunikation (das Bundesamt) die Anbieterinnen von Zertifizierungsdiensten.

Art. 2 Versicherung

¹ Eine Anbieterin von Zertifizierungsdiensten, die anerkannt werden will, muss zur Deckung ihrer Haftung eine Versicherung von mindestens 2 Millionen Franken pro Versicherungsfall und 8 Millionen Franken pro Versicherungsjahr abschliessen.

² Sie kann anstelle einer Versicherung eine gleichwertige Garantie vorlegen.

Art. 3 Signatur- und Signaturprüfschlüssel

¹ Qualifizierte Zertifikate dürfen nur für Signatur- und Signaturprüfschlüssel ausgestellt werden, die so lang sind und einen anerkannten Algorithmus so umsetzen, dass sie während der Gültigkeitsdauer des qualifizierten Zertifikats kryptografischen Angriffen standhalten können.

² Das Bundesamt regelt die Einzelheiten in den technischen und administrativen Vorschriften und legt die Anforderungen fest, die für die Signaturerstellungseinheiten gelten. Es kann zudem die Anforderungen für den Signaturprüfungsvorgang festlegen.

Art. 4 Qualifizierte Zertifikate

¹ Das Bundesamt regelt das Format der qualifizierten Zertifikate.

² Anbieterinnen von Zertifizierungsdiensten können sich selber als juristische Personen qualifizierte Zertifikate ausstellen.

Art. 5 Ausstellung qualifizierter Zertifikate

¹ Die anerkannten Anbieterinnen von Zertifizierungsdiensten müssen von den Personen, die ein qualifiziertes Zertifikat anfordern, verlangen, dass sie einen Pass, eine Schweizer Identitätskarte oder eine für die Einreise in die Schweiz anerkannte Identitätskarte persönlich vorweisen.¹

² Zudem müssen sie von den Personen mit spezifischen Attributen verlangen, dass sie den Nachweis dieser Attribute erbringen, beispielsweise mit einer Vollmacht. Bezieht sich das spezifische Attribut auf einen Handelsregistereintrag, so müssen zusätzlich vorgelegt werden:

a.

ein aktueller beglaubigter Handelsregisterauszug;

b.

die Zustimmungserklärung:

1.

bei Einzelunternehmen: von dessen Inhaberin oder Inhaber;

2.

bei Personengesellschaften: der Gesellschafter;

3.

bei juristischen Personen: des obersten Leitungs- oder Verwaltungsorgans.

³ Die anerkannten Anbieterinnen von Zertifizierungsdiensten können von Personen ohne spezifische Attribute, deren Identität sie innerhalb der letzten sechs Jahre nach Absatz 1 festgestellt haben, einen mit einer qualifizierten elektronischen Signatur versehenen Antrag auf ein neues qualifiziertes Zertifikat entgegennehmen.

⁴ Die Identität einer Person, die ein Pseudonym verwendet, muss nach den Absätzen 1-3 festgestellt werden.

Art. 6 Kopier- und Aufbewahrungsverbot

Die anerkannten Anbieterinnen von Zertifizierungsdiensten dürfen von den Signaturschlüsseln ihrer Kundinnen und Kunden Doppel weder herstellen noch aufbewahren.

Art. 7 Ungültigerklärung qualifizierter Zertifikate

¹ Die anerkannten Anbieterinnen informieren ihre Kundinnen und Kunden darüber, wie sie die Ungültigerklärung von qualifizierten Zertifikaten verlangen können. Sie müssen in der Lage sein, die Anträge zur Ungültigerklärung jederzeit entgegenzunehmen.

² Sie müssen Dritten Online-Zugang zu den Informationen zur Ungültigerklärung eines qualifizierten Zertifikats bis zum Ablauf von dessen Gültigkeit gewähren. Diese Informationen umfassen die Seriennummer des Zertifikats, den Hinweis auf die Ungültigerklärung sowie das Datum und die Uhrzeit der Ungültigerklärung. Sie müssen durch die qualifizierte elektronische Signatur der anerkannten Anbieterin authentifiziert werden.

³ Die anerkannten Anbieterinnen von Zertifizierungsdiensten müssen die Informationen zur Überprüfung von nicht mehr gültigen qualifizierten Zertifikaten während elf Jahren ab Ablauf der Zertifikate angeben können.

Art. 8 Verzeichnisdienste für qualifizierte Zertifikate

Das Bundesamt legt die Anforderungen fest, welche anerkannte Anbieterinnen erfüllen müssen, die einen Verzeichnisdienst anbieten.

Art. 9 Tätigkeitsjournal

¹ Die anerkannten Anbieterinnen von Zertifizierungsdiensten bewahren die Eintragungen betreffend ihre Tätigkeiten sowie die dazugehörenden Belege elf Jahre lang auf.

² Für die Tätigkeiten im Zusammenhang mit den Zertifikaten beginnt die Frist mit dem Ablauf der Zertifikate.

³ Für Zertifikate, die auf Grund eines Antrags mit elektronischer Signatur (Art. 5 Abs. 3) ausgestellt wurden, müssen die Eintragungen und die Belege zur Identifizierung ihrer Inhaberinnen oder Inhaber gemäss Artikel 5 Absatz 1 so lange aufbewahrt werden, bis die Elfjahresfrist für das letzte der so ausgestellten Zertifikate abgelaufen ist.

Art. 10 Einstellung der Geschäftstätigkeit

¹ Die anerkannten Anbieterinnen von Zertifizierungsdiensten melden der SAS und der Anerkennungsstelle unverzüglich, mindestens aber 30 Tage im Voraus die Aufgabe ihrer Geschäftstätigkeit.

² Gibt es keine andere anerkannte Anbieterin von Zertifizierungsdiensten, der die SAS die Aufgaben nach Artikel 13 Absatz 2 ZertES übertragen kann, so übernimmt das Bundesamt folgende Aufgaben:

a.

Es bearbeitet die Anträge auf Ungültigerklärung der qualifizierten Zertifikate weiter.

b.

Es stellt sicher, dass Dritte die Informationen zur Ungültigerklärung der qualifizierten Zertifikate bis zu deren Ablauf elektronisch abrufen können.

c.

Es führt das Tätigkeitsjournal nach und bewahrt dieses sowie die dazugehörenden Belege auf.

³ Es kann die noch gültigen Zertifikate von sich aus für ungültig erklären.

Art. 11 Sicherheitsvorkehren

¹ Die Inhaberin oder der Inhaber eines qualifizierten Zertifikats muss den ausschliesslichen Zugang zu ihrem oder seinem Signaturschlüssel behalten. Soweit zumutbar, muss sie oder er die Signaturerstellungseinheit auf sich tragen oder wegschliessen.¹

² Bei Verlust oder Diebstahl der Signaturerstellungseinheit muss die Inhaberin oder der Inhaber des qualifizierten Zertifikats so rasch wie möglich dessen Ungültigerklärung beantragen. Das Gleiche gilt, wenn die Inhaberin oder der Inhaber weiss oder den begründeten Verdacht hat, dass ein Dritter Zugang zum Signaturschlüssel haben konnte.

³ Die Daten zur Aktivierung der Signaturerstellungseinheit (Aktivierungsdaten) dürfen sich nicht auf persönliche Daten der Inhaberin oder des Inhabers eines qualifizierten Zertifikats beziehen.

⁴ Aufzeichnungen der Aktivierungsdaten sind sicher und getrennt von der Signaturerstellungseinheit aufzubewahren.

⁵ Die Inhaberin oder der Inhaber eines qualifizierten Zertifikats muss die Aktivierungsdaten ändern, wenn sie oder er weiss oder den begründeten Verdacht hat, dass ein Dritter Kenntnis davon erlangt hat. Wenn sie oder er die Aktivierungsdaten nicht selbst ändern kann, muss sie oder er die Ungültigerklärung des Zertifikates so rasch wie möglich beantragen.

Art. 12 Handelsregister

¹ Was die Aufbewahrung der Belege betrifft, die zur Ausstellung eines qualifizierten Zertifikats für Personen, die im Handelsregister eingetragen sind und deren Attribut auf diesen Eintrag Bezug nimmt, vorgelegt werden müssen (Art. 5 Abs. 2), so bleibt Artikel 36 der Handelsregisterverordnung vom 7. Juni 1937¹ vorbehalten.

² Der Handelsregistereintrag ist für den Beweis der spezifischen Attribute der Inhaberinnen oder Inhaber qualifizierter Zertifikate allein massgebend.

Art. 13 Vollzug

Das Bundesamt erlässt die notwendigen technischen und administrativen Vorschriften. Es berücksichtigt dabei das entsprechende internationale Recht und kann internationale technische Normen für anwendbar erklären.

Art. 14 Aufhebung bisherigen Rechts

Die Verordnung vom 12. April 2000¹ über Dienste der elektronischen Zertifizierung (ZertDV) wird aufgehoben.

Art. 15 Inkrafttreten

Diese Verordnung tritt am 1. Januar 2005 in Kraft.