Verzeichnis- und Widerrufsdienste für qualifizierte Zertifikate

§ 10

(1) Der ZDA hat sicherzustellen, dass die Formate der Widerrufsdienste für deren Weiterführung durch die Aufsichtsstelle geeignet sind. Die Formate der Widerrufsdienste dürfen während der Geltungsdauer des Zertifikats nicht verändert werden. Jedenfalls müssen Widerrufsdienste die Feststellung zulassen, ob das Zertifikat zu einem bestimmten Zeitpunkt widerrufen war. Die Widerrufsdienste müssen allgemein frei zugänglich sein. Die Abfrage der Widerrufsdienste muss unentgeltlich und ohne Identifikation möglich sein.

(2) Der ZDA hat den Signatoren sowie Dritten, für die Angaben über die Vertretungsmacht des Signators in ein Zertifikat aufgenommen wurden, geeignete Kommunikationsmöglichkeiten bekannt zu geben, mit denen diese jederzeit einen unverzüglichen Widerruf des Zertifikats veranlassen können. Dafür muss ein Authentifizierungsverfahren vorgesehen werden. Der Widerruf eines Zertifikats muss jedenfalls auch in Papierform möglich sein.

(3) Die Verzeichnis- und Widerrufsdienste müssen vor Fälschung, Verfälschung und unbefugtem Abruf ausreichend geschützt sein. Es muss sichergestellt sein, dass nur befugte Personen Eintragungen und Veränderungen in den Verzeichnissen vornehmen können. Weiters darf eine Sperre oder ein Widerruf nicht unbemerkt rückgängig gemacht werden können.

(4) Die Aktualisierung der Widerrufsdienste muss an Werktagen, ausgenommen Samstag, von 9 bis 17 Uhr spätestens innerhalb von drei Stunden ab Bekanntwerden des Widerrufsgrundes erfolgen. Außerhalb dieser Zeit hat der ZDA jedenfalls dafür Sorge zu tragen, dass ein Verlangen auf Widerruf eines qualifizierten Zertifikats jederzeit automatisiert entgegengenommen wird und die Sperre spätestens innerhalb von sechs Stunden auslöst.

(5) Die zeitliche Verfügbarkeit der Verzeichnisdienste muss zumindest nach den in Abs. 4 erster Satz bestimmten Zeiten gegeben sein und im Sicherheitskonzept angegeben werden. Die Widerrufsdienste müssen ständig verfügbar sein. Eine durchgehende Unterbrechung der Verzeichnis- oder der Widerrufsdienste von mehr als 30 Minuten während des Verfügbarkeitszeitraums ist als Störfall zu dokumentieren. Für Wartungs- und Ausfallsituationen des Widerrufsdienstes ist ein Ersatzsystem bereitzustellen. Fällt auch das Ersatzsystem aus, so ist dies innerhalb eines Kalendertags der Aufsichtsstelle anzuzeigen. Diese hat innerhalb von drei Kalendertagen den Widerrufsdienst wiederherzustellen.

(6) Ein ZDA hat eine Prüfung der Zertifikate bis zum Ablauf der in § 13 Abs. 2 genannten Frist im Einzelfall zu ermöglichen. Das Gleiche gilt für die Weiterführung der Widerrufsdienste durch die Aufsichtsstelle im Falle der Einstellung oder Untersagung der Tätigkeit eines ZDA.

(7) Der Zeitraum, während dessen eine Sperre wirksam sein kann, muss im Sicherheitskonzept angegeben werden und darf zehn Tage nicht übersteigen. Während dieses Zeitraums kann eine Sperre aufgehoben werden. Eine aufgehobene Sperre hat auf die Gültigkeit des Zertifikats keinen Einfluss. Wird eine Sperre während des genannten Zeitraums nicht aufgehoben, so ist das Zertifikat zu widerrufen. Erfolgt auf Grund einer Sperre der Widerruf eines Zertifikats, so gilt bereits die Sperre als Widerruf.

(8) Werden die Signaturerstellungsdaten des Signators bekannt oder kommen diese außer beim Signator als Signaturerstellungsdaten oder in anderer Form ein weiteres Mal vor, so liegt eine Kompromittierung der Signaturerstellungsdaten vor, die zum Widerruf des Zertifikats des Signators führen muss. Der Widerruf ist vom Signator zu verlangen (§ 9 Abs. 1 Z 1 SigG) oder vom ZDA selbst vorzunehmen (§ 9 Abs. 1 Z 6 SigG), sobald er von der Kompromittierung Kenntnis erlangt hat.