EIDAS 2014/0910 BG

1)	„електронна идентификация“ означава процес на използване на данни в електронна форма за идентификация на лица, които данни представляват по уникален начин дадено физическо или юридическо лице, или физическо лице, представляващо юридическо лице;

2)	„средство за електронна идентификация“ означава материална и/или нематериална единица, която съдържа данни за идентификация на лица, която се използва за удостоверяване на автентичност за онлайн услуга;

3)	„данни за идентификация на лица“ означава набор от данни, които позволяват да се установи самоличността на физическо или юридическо лице, или на физическо лице, представляващо юридическо лице;

4)	„схема за електронна идентификация“ означава система за електронна идентификация, при която средства за електронна идентификация се издават на физически или юридически лица, или физически лица, представляващи юридически лица;

5)	„удостоверяване на автентичност“ означава електронен процес, който позволява електронната идентификация на физическо или юридическо лице или потвърждаването на произхода и целостта на данни в електронна форма;

6)	„доверяваща се страна“ означава физическо или юридическо лице, което разчита на електронна идентификация или удостоверителна услуга;

„орган от публичния сектор“ означава държавен, регионален или местен орган, публичноправна организация или сдружение, съставено от един или повече такива органи или от една или повече такива публичноправни организации, или частен субект, на който поне един от тези органи, организации или асоциации са възложили да предоставя обществени услуги, когато действа при условията на това възлагане;

8)	„публичноправна организация означава организация, както е определено в член 2, параграф 1, точка 4 от Директива 2014/24/ЕС на Европейския парламент и на Съвета (15);

9)	„титуляр на електронен подпис“ означава физическо лице, което създава електронен подпис;

10)	„електронен подпис“ означава данни в електронна форма, които се добавят към други данни в електронна форма или са логически свързани с тях, и които титулярят на електронния подпис използва, за да се подписва;

11)	„усъвършенстван електронен подпис“ означава електронен подпис, който отговаря на изискванията, посочени в член 26;

12)	„квалифициран електронен подпис“ означава усъвършенстван електронен подпис, който е създаден от устройство за създаване на квалифициран електронен подпис и се основава на квалифицирано удостоверение за електронни подписи;

13)	„данни за създаване на електронен подпис“ означава уникални данни, които се използват от титуляря на електронния подпис за създаването на електронен подпис;

14)	„удостоверение за електронен подпис“ означава електронен атестат, който свързва данните за валидиране на електронен подпис с физическо лице и потвърждава най-малко името или псевдонима на това лице;

15)	„квалифицирано удостоверение за електронен подпис“ означава удостоверение за електронни подписи, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение I;

16)

„удостоверителна услуга“ означава електронна услуга, обикновено предоставяна срещу възнаграждение, която се състои във:

а)	създаването, проверката и валидирането на електронни подписи, електронни печати или електронни времеви печати, услуги за електронна препоръчана поща, както и удостоверения, свързани с тези услуги; или

б)	създаването, проверката и валидирането на удостоверения за автентичност на уебсайт; или

в)	съхраняването на електронни подписи, печати или удостоверения, свързани с тези услуги;

17)	„квалифицирана удостоверителна услуга“ означава удостоверителна услуга, която отговаря на приложимите изисквания, определени в настоящия регламент;

18)

„орган за оценяване на съответствието“ означава орган съгласно определението в член 2, точка 13 от Регламент (ЕО) № 765/2008, който е акредитиран в съответствие със същия регламент като компетентен да извършва оценяване на съответствието на доставчик на квалифицирани удостоверителни услуги и на предоставяните от този доставчик квалифицирани удостоверителни услуги;

19)	„доставчик на удостоверителни услуги“ означава физическо или юридическо лице, което предоставя една или повече удостоверителни услуги като доставчик на квалифицирани или на неквалифицирани удостоверителни услуги;

20)	„доставчик на квалифицирани удостоверителни услуги“ означава доставчик на удостоверителни услуги, който предоставя една или повече квалифицирани удостоверителни услуги и е получил квалифицирания си статут от надзорен орган;

21)	„продукт“ означава хардуер, софтуер или съответните компоненти на хардуер или софтуер, предвидени да се използват при предоставянето на удостоверителни услуги;

22)	„устройство за създаване на електронен подпис“ означава конфигуриран софтуер или хардуер, който се използва за създаването на електронен подпис;

23)	„устройство за създаване на квалифициран електронен подпис“ означава устройство за създаване на електронен подпис, което отговаря на изискванията, предвидени в приложение II;

24)	„създател на печат“ означава юридическо лице, което създава електронен печат;

25)	„електронен печат“ означава данни в електронна форма, които се добавят към други данни в електронна форма или са логически свързани с тях, за да се гарантират произходът и целостта на последните;

26)	„усъвършенстван електронен печат“ означава електронен печат, който отговаря на изискванията, посочени в член 36;

27)	„квалифициран електронен печат“ означава усъвършенстван електронен печат, който е създаден от устройство за създаване на квалифициран електронен печат и се основава на квалифицирано удостоверение за електронен печат;

28)	„данни за създаване на електронен печат“ означава уникални данни, които се използват от създателя на електронния печат за създаването на електронен печат;

29)	„удостоверение за електронен печат“ означава електронен атестат, който свързва данните за валидиране на електронен печат с юридическо лице и потвърждава името на това лице;

30)	„квалифицирано удостоверение за електронен печат“ означава удостоверение за електронен печат, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение III;

31)	„устройство за създаване на електронен печат“ означава конфигуриран софтуер или хардуер, който се използва за създаването на електронен печат;

32)	„устройство за създаване на квалифициран електронен печат“ означава устройство за създаване на електронен печат, което отговаря mutatis mutandis на изискванията, предвидени в приложение II;

33)	„електронен времеви печат“ означава данни в електронна форма, които свързват други данни в електронна форма с конкретен момент във времето и представляват доказателство, че последните данни са съществували в съответния момент;

34)	„квалифициран електронен времеви печат“ означава електронен времеви печат, който отговаря на изискванията, предвидени в член 42;

35)	„електронен документ“ означава всяко съдържание, съхранявано в електронна форма, по-специално текстови или звуков, визуален или аудио-визуален запис;

36)

„услуга за електронна препоръчана поща“ означава услуга, която позволява предаването на данни между трети страни по електронен път, предоставя доказателство във връзка с обработката на предаваните данни, включително доказателство за изпращането и получаването на данните, и защитава предаваните данни срещу риск от загуба, кражба, повреда или непозволени изменения;

37)	„квалифицирана услуга за електронна препоръчана поща“ означава услуга за електронна препоръчана поща, която отговаря на изискванията, предвидени в член 44;

38)	„удостоверение за автентичност на уебсайт“ означава удостоверение, което позволява да се удостовери автентичността на уебсайт, като го свързва с физическото или юридическото лице, на което е издадено удостоверението;

39)	„квалифицирано удостоверение за автентичност на уебсайт“ означава удостоверение за автентичност на уебсайт, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение IV;

40)	„данни за валидиране“ означава данни, които се използват за валидиране на електронен подпис или електронен печат;

41)	„валидиране“ означава процеса на проверка и потвърждаване на валидността на електронен подпис или печат.

Член 17

Надзорен орган

1. Държавите членки определят надзорен орган, установен на тяхна територия, или, при наличие на взаимно споразумение с друга държава членка, надзорен орган, установен във въпросната друга държава членка. Този орган е отговорен за изпълнението на задачите по надзора в определящата държава членка.

На надзорните органи се предоставят необходимите правомощия и достатъчни ресурси за изпълнението на техните задачи.

2. Държавите членки съобщават на Комисията наименованията и адресите на определените от тях надзорни органи.

3. Функцията на на надзорния орган е следната:

а)

да осъществява надзор върху доставчици на квалифицирани удостоверителни услуги, установени на територията на определящата държава членка, за да се гарантира, посредством предварителни и последващи действия по надзора, че тези доставчици на квалифицирани удостоверителни услуги и предоставяните от тях квалифицирани удостоверителни услуги отговарят на изискванията, предвидени в настоящия регламент;

б)

при необходимост да предприема действия по отношение на доставчици на неквалифицирани удостоверителни услуги, установени на територията на определящата държава членка, посредством последващи действия по надзора, когато получи информация, съгласно която се твърди, че тези доставчици на неквалифицирани удостоверителни услуги или предоставяните от тях удостоверителни услуги не отговарят на изискванията, предвидени в настоящия регламент.

4. За целите на параграф 3 и при спазване на предвидените в него ограничения задачите на надзорния орган включват по-конкретно:

а)	да си сътрудничи с други надзорни органи и да им оказва съдействие в съответствие с член 18;

б)	да анализира докладите за оценяване на съответствието, посочени в член 20, параграф 1 и член 21, параграф 1;

в)	да информира други надзорни органи и обществеността за пробиви в сигурността или нарушаване на целостта в съответствие с член 19, параграф 2;

г)	да докладва на Комисията за своите основни дейности в съответствие с параграф 6 от настоящия член;

д)	да извършва одити или да изисква от орган за оценяване на съответствието да проведе оценяване на съответствието на доставчиците на квалифицирани удостоверителни услуги в съответствие с член 20, параграф 2;

е)	да си сътрудничи с органите по защита на данните, по-специално като без неоснователно забавяне ги информира за резултатите от одитите на доставчици на квалифицирани удостоверителни услуги, при които има предполагаеми нарушения на правилата за защита на личните данни;

ж)	да предоставя квалифициран статут на доставчици на удостоверителни услуги и на предоставяните от тях услуги и да отнема този статут в съответствие с членове 20 и 21;

з)	да информира органа, отговорен за националния доверителен списък, посочен в член 22, параграф 3, за своите решения за представяне или отнемане на квалифициран статут, освен в случаите, когато въпросният орган е и надзорен орган;

и)

да проверява наличието и правилното прилагане на разпоредбите относно плана за осигуряване на непрекъснатост на обслужването в случаите, когато доставчиците на квалифицирани удостоверителни услуги прекъснат дейността си, включително относно начините за запазване на достъпа до информацията в съответствие с член 24, параграф 2, буква з);

й)	да изисква от доставчиците на удостоверителни услуги да отстранят всяко неизпълнение на изискванията, посочени в настоящия регламент.

5. Държавите членки могат да изискват от надзорния орган да изгражда, поддържа и актуализира инфраструктура за удостоверяване в съответствие с условията по националното право.

6. Всяка година до 31 март всеки надзорен орган изпраща на Комисията доклад относно основните си дейности през предходната календарна година, наред с обобщена информация относно уведомленията за нарушения, получени от доставчици на удостоверителни услуги, в съответствие с член 19, параграф 2.

7. Комисията предоставя на държавите членки годишния доклад, посочен в параграф 6.

8. Комисията може да определи посредством актове за изпълнение форматите и процедурите по отношение на доклада, посочен в параграф 6. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 19

Изисквания за сигурност, които се прилагат към доставчиците на удостоверителни услуги

1. Доставчиците на квалифицирани и неквалифицирани удостоверителни услуги предприемат подходящи технически и организационни мерки за управление на рисковете за сигурността на предоставяните от тях удостоверителни услуги. При тези мерки се вземат предвид най-новите технически достижения, за да се гарантира, че равнището на сигурност е пропорционално на степента на риска. В частност се предприемат мерки за предотвратяване и свеждане до минимум на въздействието на инциденти, свързани със сигурността, и за информиране на заинтересованите страни относно нежеланите последици от такива инциденти.

2. В случай на пробив в сигурността или нарушаване на целостта, които имат съществено въздействие върху предоставяната удостоверителна услуга или върху съхраняваните лични данни, доставчиците на квалифицирани и неквалифицирани удостоверителни услуги уведомяват за това без излишно забавяне, но при всички случаи в срок от 24 часа от момента, в който са узнали за настъпилото събитие, надзорния орган и, когато е приложимо, други компетентни органи, например компетентния национален орган в областта на информационната сигурност или органа по защита на данните.

Когато има вероятност пробивът в сигурността или нарушаването на целостта да окажат негативно въздействие върху физическо или юридическо лице, на което е предоставена удостоверителната услуга, доставчикът на удостоверителни услуги уведомява без излишно забавяне за пробива в сигурността или нарушаването на целостта и въпросното физическо или юридическо лице.

При необходимост, и особено ако пробивът в сигурността или нарушаването на целостта засягат две или повече държави членки, уведоменият надзорен орган информира надзорните органи в останалите засегнати държави членки и ENISA.

Ако прецени, че разгласяването на пробива в сигурността или нарушаването на целостта е в обществен интерес, уведоменият надзорен орган информира обществеността или изисква от доставчика на удостоверителни услуги да направи това.

3. Веднъж годишно надзорният орган представя на ENISA обобщение на уведомленията за пробиви в сигурността и нарушения на целостта, получени от доставчиците на удостоверителни услуги.

4. Комисията може посредством актове за изпълнение:

а)	да уточни допълнително мерките, посочени в параграф 1; и

б)	да определи форматите и процедурите, включително сроковете, приложими за целите на параграф 2.

Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

РАЗДЕЛ 3

Квалифицирани удостоверителни услуги

Член 21

Начало на предоставянето на квалифицирана удостоверителна услуга

1. Когато доставчици на удостоверителни услуги без квалифициран статут възнамеряват да започнат да предоставят квалифицирани удостоверителни услуги, те изпращат на надзорния орган уведомление за намерението си заедно с доклад за оценяване на съответствието, съставен от органа за оценяване на съответствието.

2. Надзорният орган проверява дали доставчикът на удостоверителни услуги и предоставяните от него удостоверителни услуги отговарят на изискванията, посочени в настоящия регламент, и по-специално на изискванията за доставчиците на квалифицирани удостоверителни услуги и за предоставяните от тях квалифицирани удостоверителни услуги.

Ако надзорният орган прецени, че доставчикът на удостоверителни услуги и предоставяните от него удостоверителни услуги отговарят на изискванията, посочени в първа алинея, надзорният орган предоставя квалифициран статут на доставчика на удостоверителни услуги и на предоставяните от него удостоверителни услуги и информира посочения в член 22, параграф 3 орган, за да може той да актуализира доверителните списъци по член 22, параграф 1 в срок от три месеца след уведомяването съгласно параграф 1 от настоящия член.

Ако проверката не приключи в тримесечен срок от уведомяването, надзорният орган информира доставчика на удостоверителни услуги, като посочва причините за забавянето и срока, в който трябва да приключи проверката.

3. Доставчиците на квалифицирани удостоверителни услуги могат да започнат да предоставят квалифицирани удостоверителни услуги, след като квалифицираният статут бъде отбелязан в доверителните списъци, посочени в член 22, параграф 1.

4. Комисията може да определи посредством актове за изпълнение форматите и процедурите за целите на параграфи 1 и 2. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 27

Електронни подписи в публичните услуги

1. Ако за използване на онлайн услуга, предлагана от орган от публичния сектор или от негово име, дадена държава членка изисква усъвършенстван електронен подпис, същата държава членка признава усъвършенствани електронни подписи, усъвършенствани електронни подписи, основани на квалифицирано удостоверение за електронни подписи, и квалифицирани електронни подписи поне във форматите или с използване на методите, определени в актовете за изпълнение, посочени в параграф 5.

2. Ако за използване на онлайн услуга, предлагана от орган от публичния сектор или от негово име, дадена държава членка изисква усъвършенстван електронен подпис, основан на квалифицирано удостоверение, същата държава членка признава усъвършенствани електронни подписи, основани на квалифицирано удостоверение, и квалифицирани електронни подписи поне във форматите или с използване на методите, определени в актовете за изпълнение, посочени в параграф 5.

3. За трансгранично използване при онлайн услуга, предлагана от орган от публичния сектор, държавите членки не изискват електронен подпис с равнище на сигурност, по-високо от това на квалифицирания електронен подпис.

4. Комисията може да определи посредством актове за изпълнение референтните номера на стандартите за усъвършенствани електронни подписи. Съответствието с изискванията относно усъвършенстваните електронни подписи, посочени в параграфи 1 и 2 от настоящия член и в член 26, се презюмира, когато усъвършенстваният електронен подпис отговаря на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

5. До 18 септември 2015 г. и като отчита съществуващите практики, стандарти и правни актове на Съюза, Комисията, посредством актове за изпълнение, определя референтните формати на усъвършенстваните електронни подписи или референтните методи, когато се използват алтернативни формати. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 30

Сертифициране на устройствата за създаване на квалифициран електронен подпис

1. Съответствието на устройствата за създаване на квалифициран електронен подпис с изискванията, предвидени в приложение II, се сертифицира от съответните публичноправни или частни организации, определени от държавите членки.

2. Държавите членки съобщават на Комисията наименованията и адресите на публичноправната или частната организация, посочена в параграф 1. Комисията предоставя тази информация на разположение на държавите членки.

3. Посоченото в параграф 1 сертифициране се основава на едно от следните условия:

а)	процес на оценка на сигурността, осъществен в съответствие с един от стандартите за оценка на сигурността на продукти на информационните технологии, включени в списъка, изготвен в съответствие с втората алинея; или

б)

процес, различен от посочения в буква а), при условие че при него са използвани съпоставими равнища на сигурност и че посочената в параграф 1 публичноправна или частна организация е уведомила Комисията за въпросния процес. Този процес може да се използва само при липса на стандартите, посочени в буква а), или когато посоченият в буква а) процес на оценка на сигурността се извършва в момента.

Комисията изготвя посредством актове за изпълнение списък на стандартите за оценка на сигурността на продукти на информационните технологии, посочени в буква а). Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

4. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 47 за установяване на конкретните критерии, на които трябва да отговарят определените органи, посочени в параграф 1 от настоящия член.

Член 37

Електронни печати в публичните услуги

1. Ако за използване на онлайн услуга, предлагана от орган от публичния сектор или от негово име, дадена държава членка изисква усъвършенстван електронен печат, същата държава членка признава усъвършенствани електронни печати, усъвършенствани електронни печати, основани на квалифицирано удостоверение за електронни печати, и квалифицирани електронни печати поне във форматите или с използване на методите, определени в актовете за изпълнение, посочени в параграф 5.

2. Ако за използване на онлайн услуга, предлагана от орган от публичния сектор или от негово име, дадена държава членка изисква усъвършенстван електронен печат, основан на квалифицирано удостоверение, същата държава членка признава усъвършенствани електронни печати, основани на квалифицирано удостоверение, и квалифицирани електронни печати поне във форматите или с използване на методите, определени в актовете за изпълнение, посочени в параграф 5.

3. За трансгранично използване при онлайн услуга, предлагана от орган от публичния сектор, държавите членки не изискват електронен печат с ниво на сигурност, по-високо от това на квалифицирания електронен печат.

4. Комисията може да установи посредством актове за изпълнение референтните номера на стандартите за усъвършенстваните електронни печати. Съответствието с изискванията относно усъвършенстваните електронни печати, посочени в параграфи 1 и 2 от настоящия член и в член 36, се презюмира, когато усъвършенстваният електронен печат отговаря на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

5. До 18 септември 2015 г. и като отчита съществуващите практики, стандарти и правни актове на Съюза, Комисията посредством актове за изпълнение определя референтните формати на усъвършенстваните електронни печати или референтните методи, когато се използват алтернативни формати. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 52

Влизане в сила

1. Настоящият регламент влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.

2. Настоящият регламент се прилага от 1 юли 2016 г. с изключение на следното:

а)

член 8, параграф 3, член 9, параграф 5, член 12, параграфи 2 — 9, член 17, параграф 8, член 19, параграф 4, член 20, параграф 4, член 21, параграф 4, член 22, параграф 5, член 23, параграф 3, член 24, параграф 5, член 27, параграфи 4 и 5, член 28, параграф 6, член 29, параграф 2, член 30, параграфи 3 и 4, член 31, параграф 3, член 32, параграф 3, член 33, параграф 2, член 34, параграф 2, член 37, параграфи 4 и 5, член 38, параграф 6, член 42, параграф 2, член 44, параграф 2, член 45, параграф 2 и членове 47 и 48 се прилагат, считано от 17 септември 2014 г.;

б)	член 7, член 8, параграфи 1 и 2, членове 9 — 11 и член 12, параграф 1 се прилагат от датата на прилагане на актовете за изпълнение, посочени в член 8, параграф 3 и член 12, параграф 8;

в)	член 6 се прилага, считано от три години от датата на прилагане на актовете за изпълнение, посочени в член 8, параграф 3 и член 12, параграф 8.

3. Когато схемата за електронна идентификация, за която се извършва уведомяване, е включена в списъка, публикуван от Комисията по силата на член 9, преди датата, посочена в параграф 2, буква в) от настоящия член, признаването на средствата за електронна идентификация в рамките на въпросната схема по силата на член 6 се извършва не по-късно от 12 месеца след публикуването на схемата, но не преди датата, посочена в параграф 2, буква в) от настоящия член.

4. Независимо от параграф 2, буква в) от настоящия член дадена държава членка може да реши, че средствата за електронна идентификация в рамките на схемата за електронна идентификация, за която се извършва уведомяване по силата на член 9, параграф 1 от страна на друга държава членка, се признават в първата държава членка, считано от датата на прилагане на актовете за изпълнение, посочени в член 8, параграф 3 и член 12, параграф 8. Съответните държави членки информират Комисията. Комисията оповестява публично тази информация.

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.

Съставено в Брюксел на 23 юли 2014 година.

За Европейския парламент

Председател

M. SCHULZ

За Съвета

Председател

S. GOZI

(1) ОВ C 351, 15.11.2012 г., стр. 73.

(2) Позиция на Европейския парламент от 3 април 2014 г. (все още непубликувана в Официален вестник) и решение на Съвета от 23 юли 2014 г.

(3) Директива 1999/93/ЕО на Европейския парламент и на Съвета от 13 декември 1999 г. относно правната рамка на Общността за електронните подписи (ОВ L 13, 19.1.2000 г., стр. 12).

(4) ОВ C 50 Е, 21.2.2012 г., стр. 1.

(5) Директива 2006/123/ЕО на Европейския парламент и на Съвета от 12 декември 2006 г. за услугите на вътрешния пазар (ОВ L 376, 27.12.2006 г., стр. 36).

(6) Директива 2011/24/ЕС на Европейския парламент и на Съвета от 9 март 2011 г. за упражняване на правата на пациентите при трансгранично здравно обслужване (ОВ L 88, 4.4.2011 г., стр. 45).

(7) Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31).

(8) Решение 2010/48/ЕО на Съвета от 26 ноември 2009 г. относно сключването от Европейската общност на Конвенцията на Организацията на обединените нации за правата на хората с увреждания (ОВ L 23, 27.1.2010 г., стр. 35).

(9) Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и надзор на пазара във връзка с предлагането на пазара на продукти и за отмяна на Регламент (ЕИО) № 339/93 (ОВ L 218, 13.8.2008 г., стр. 30).

(10) Решение 2009/767/ЕО на Комисията от 16 октомври 2009 г. за определяне на мерки, улесняващи прилагането на процедури с помощта на електронни средства чрез единични звена за контакт в съответствие с Директива 2006/123/ЕО на Европейския парламент и на Съвета относно услугите на вътрешния пазар (ОВ L 274, 20.10.2009 г., стр. 36).

(11) Решение 2011/130/ЕС на Комисията от 25 февруари 2011 г. за установяване на минимални изисквания за трансграничната обработка на документи, подписани електронно от компетентните органи съгласно Директива 2006/123/ЕО на Европейския парламент и на Съвета относно услугите на вътрешния пазар (ОВ L 53, 26.2.2011 г., стр. 66).

(12) Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията (ОВ L 55, 28.2.2011 г., стр. 13).

(13) Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001, стр. 1).

(14) ОВ C 28, 30.1.2013 г., стр. 6.

(15) Директива 2014/24/ЕС на Европейския парламент и на Съвета от 26 февруари 2014 г. относно възлагането на обществени поръчки и за отмяна на Директива 2004/18/ЕО (ОВ L 94, 28.3.2014 г., стр. 65).

ПРИЛОЖЕНИЕ I

ИЗИСКВАНИЯ КЪМ КВАЛИФИЦИРАНИТЕ УДОСТОВЕРЕНИЯ ЗА ЕЛЕКТРОННИ ПОДПИСИ

Квалифицираните удостоверения за електронни подписи съдържат:

а)	указание най-малко във форма, подходяща за автоматизирана обработка, че удостоверението е издадено като квалифицирано удостоверение за електронен подпис;

б)

набор от данни, които еднозначно представляват издалия квалифицираното удостоверение доставчик на квалифицирани удостоверителни услуги, който набор включва най-малко държавата членка по установяване на доставчика и:

—	за юридическо лице: наименованието и, където е приложимо, регистрационния номер според официалните регистри,

—	за физическо лице: името на лицето;

в)	най-малко името на титуляря или псевдоним; ако се използва псевдоним, той се посочва ясно;

г)	данни за валидиране на електронния подпис, които съответстват на данните за създаване на електронния подпис;

д)	информация за началото и края на срока на валидност на удостоверението;

е)	идентификационен код на удостоверението, който е уникален за доставчика на квалифицирани удостоверителни услуги;

ж)	усъвършенстван електронен подпис или усъвършенстван електронен печат на издаващия доставчик на квалифицирани удостоверителни услуги;

з)	място, където удостоверението, което поддържа усъвършенствания електронен подпис или усъвършенствания електронен печат, посочени в буква ж), е на разположение безплатно;

и)	място на услугите, до което се отправят искания за проверка на валидността на квалифицираното удостоверение;

й)	когато данните за създаване на електронен подпис, свързани с данните за валидиране на електронен подпис, се намират в устройство за създаване на квалифициран електронен подпис, това съответно се указва най-малко във форма, подходяща за автоматизирана обработка.

ПРИЛОЖЕНИЕ II

ИЗИСКВАНИЯ КЪМ УСТРОЙСТВАТА ЗА СЪЗДАВАНЕ НА КВАЛИФИЦИРАН ЕЛЕКТРОНЕН ПОДПИС

Устройствата за създаване на квалифициран електронен подпис гарантират чрез подходящи технически и процедурни средства най-малко, че:

а)	поверителността на данните за създаване на електронен подпис, използвани за създаването на електронния подпис, е разумно гарантирана;

б)	данните за създаване на електронен подпис, използвани за създаването на електронния подпис, на практика се срещат само веднъж;

в)	данните за създаване на електронен подпис, използвани за създаването на електронния подпис, са обезпечени в достатъчна степен и не могат да бъдат извлечени, а електронният подпис е надеждно защитен срещу подправяне чрез използване на наличната към момента технология;

г)	данните за създаване на електронен подпис, използвани за създаването на електронния подпис, могат да бъдат надеждно защитени от законния титуляр на електронния подпис срещу използване от други лица.

Устройствата за създаване на квалифициран електронен подпис не изменят данните, които ще бъдат подписвани, и не препятстват представянето им на титуляря на електронния подпис преди подписване.

Генерирането или управлението на данни за създаване на електронен подпис от името на титуляря на електронния подпис може да се извърши единствено от доставчик на квалифицирани удостоверителни услуги.

Без да се засяга точка 1, буква г), доставчиците на квалифицирани удостоверителни услуги, които управляват данни за създаване на електронен подпис от името на титуляря на електронния подпис, могат да дублират данните за създаване на електронен подпис единствено с цел съхраняване на резервно копие, ако са спазени следните изисквания:

а)	сигурността на дублираните набори от данни е на равнището на сигурността на оригиналните набори от данни;

б)	броят на дублираните набори от данни не превишава минимума, необходим за осигуряване на непрекъснатост на обслужването.

ПРИЛОЖЕНИЕ III

ИЗИСКВАНИЯ КЪМ КВАЛИФИЦИРАНИТЕ УДОСТОВЕРЕНИЯ ЗА ЕЛЕКТРОННИ ПЕЧАТИ

Квалифицираните удостоверения за електронни печати съдържат:

а)	указание най-малко във форма, подходяща за автоматизирана обработка, че удостоверението е издадено като квалифицирано удостоверение за електронен печат;

б)

—	за юридическо лице: наименованието и ако е приложимо, регистрационния номер според официалните регистри,

—	за физическо лице: името на лицето;

в)	най-малко името на създателя на печата и ако е приложимо, регистрационния номер според официалните регистри;

г)	данни за валидиране на електронния печат, които съответстват на данните за създаване на електронния печат;

д)	информация за началото и края на срока на валидност на удостоверението;

е)	идентификационен код на удостоверението, който е уникален за доставчика на квалифицирани удостоверителни услуги;

ж)	усъвършенстван електронен подпис или усъвършенстван електронен печат на издаващия доставчик на квалифицирани удостоверителни услуги;

з)	място, където удостоверението, което поддържа усъвършенствания електронен подпис или усъвършенствания електронен печат, посочени в буква ж), е на разположение безплатно;

и)	място на услугите, до което се отправят искания за проверка на валидността на квалифицираното удостоверение;

й)	когато данните за създаване на електронен печат, свързани с данните за валидиране на електронен печат, се намират в устройство за създаване на квалифициран електронен печат, това съответно се указва най-малко във форма, подходяща за автоматизирана обработка.

ПРИЛОЖЕНИЕ IV

ИЗИСКВАНИЯ КЪМ КВАЛИФИЦИРАНИТЕ УДОСТОВЕРЕНИЯ ЗА АВТЕНТИЧНОСТ НА УЕБСАЙТОВЕ

Квалифицираните удостоверения за автентичност на уебсайтове съдържат:

а)	указание най-малко във форма, подходяща за автоматизирана обработка, че удостоверението е издадено като квалифицирано удостоверение за автентичност на уебсайтове;

б)

набор от данни, които еднозначно представляват издалия квалифицираното удостоверение доставчик на квалифицирани удостоверителни услуги, като наборът включва най-малко държавата членка по установяване на доставчика, и:

—	за юридическо лице: наименованието и ако е приложимо — регистрационния номер според официалните регистри,

—	за физическо лице: името на лицето;

в)

за физически лица: най-малко името на лицето, но което е издадено удостоверението, или псевдоним. Ако се използва псевдоним, той се посочва ясно;

за юридически лица: най-малко наименованието на юридическото лице, на което е издадено удостоверението, и ако е приложимо — регистрационния номер според официалните регистри;

г)	елементи на адреса, включително най-малко град и държава, на физическото или юридическото лице, на което е издадено удостоверението, и ако е приложимо — регистрационния номер според официалните регистри;

д)	наименованието на домейна или наименованията на домейните, поддържани от физическото или юридическото лице, на което е издадено удостоверението;

е)	информация за началото и края на срока на валидност на удостоверението;

ж)	идентификационен код на удостоверението, който е уникален за доставчика на квалифицирани удостоверителни услуги;

з)	усъвършенстван електронен подпис или усъвършенстван електронен печат на издаващия доставчик на квалифицирани удостоверителни услуги;

и)	място, където удостоверението, което поддържа усъвършенствания електронен подпис или усъвършенствания електронен печат, посочени в буква з), е на разположение безплатно;

й)	място на услугите по проверка на валидността на удостоверенията, до което се отправят искания за проверка на валидността на квалифицираното удостоверение.

whereas

(16) Нивата на осигуреност следва да характеризират степента на надеждност на средството за електронна идентификация при установяване на самоличността на дадено лице, като по този начин се гарантира, че лицето, претендиращо, че има определена самоличност, действително е лицето, на което е приписана тази самоличност. Нивото на осигуреност зависи от степента на надеждност, което средството за електронна идентификация предоставя по отношение на претендираната или заявена самоличност на дадено лице, като се вземат под внимание процесите (например доказване на самоличността и проверка, и удостоверяване на автентичността), управленските дейности (например издаването на средства за електронна идентификация от страна на даден субект и процедурата за издаване на такива средства) и извършваните технически проверки. Съществуват различни технически определения и описания за нива на осигуреност в резултат от финансирани от Съюза широкомащабни пилотни проекти, стандартизационни и международни дейности. По-конкретно широкомащабните пилотни проекти STORK и ISO 29115 се отнасят, наред с другото, за нива 2, 3 и 4, които следва да бъдат отчетени в максимална степен при установяване на минимални технически изисквания, стандарти и процедури за нива на осигуреност „ниско“, „значително“ и „високо“ по смисъла на настоящия регламент, като същевременно се осигури последователно прилагане на настоящия регламент, по-специално по отношение на нивото на осигуреност „високо“ във връзка с доказването на самоличността при издаване на квалифицирани удостоверения. Установените изисквания следва да бъдат неутрални по отношение на технологиите. Постигането на необходимите изисквания за сигурност следва да бъде възможно посредством различни технологии.

- = -

(18) В настоящия регламент следва да се предвиди, че уведомяващата държава членка, страната, издаваща средството за електронна идентификация, и страната, ръководеща процедурата по удостоверяване на автентичност, носят отговорност при неизпълнение на съответните си задължения по настоящия регламент. Независимо от това настоящият регламент следва да се прилага в съответствие с националните правила относно отговорността. Поради това той не засяга тези национални правила, например по отношение на определянето на щетите или приложимите процедурни правила, включително тежестта на доказване.

- = -

(19) Сигурността на схемите за електронна идентификация е основен фактор за надеждно трансгранично взаимно признаване на средствата за електронна идентификация. В този контекст държавите членки следва да си сътрудничат по отношение на сигурността и оперативната съвместимост на схемите за електронна идентификация на равнището на Съюза. В случай че схемите за електронна идентификация правят необходимо използването от доверяващите се страни на национално равнище на специален хардуер или софтуер, трансграничната оперативна съвместимост изисква тези държави членки да не налагат на доверяващите се страни, установени извън тяхната територия, такива изисквания и свързани с тях разходи. В този случай следва да се обсъдят и разработят подходящи решения в границите на обхвата на рамката за оперативна съвместимост. Въпреки това техническите изисквания, които произтичат от свойствени за националните средства за електронна идентификация характеристики и които е вероятно да засегнат притежателите на такива електронни средства (например смарткарти), са неизбежни.

- = -

(21) С настоящия регламент следва да се установи и обща правна рамка за използването на удостоверителни услуги. Той обаче не следва да създава общо задължение за използването им или да създава точка за достъп за всички съществуващи удостоверителни услуги. По-специално той не следва да обхваща предоставянето на услуги, използвани изключително в рамките на затворени системи между определен набор от участници, които не оказват въздействие върху трети страни. Например системи, установени във фирмени или публични администрации за управлението на вътрешни процедури, които използват удостоверителни услуги, не следва да подлежат на изискванията по настоящия регламент. Единствено предоставяни на обществеността удостоверителни услуги, които оказват въздействие върху трети страни, следва да отговарят на изискванията, предвидени в настоящия регламент. Настоящият регламент не следва да обхваща и аспектите, свързани със сключването и действителността на договори или други правни задължения, когато в националното право или в правото на Съюза са предвидени изисквания по отношение на формата. Освен това той следва да не засяга националните изисквания за формата, които се отнасят до публичните регистри, и по-конкретно търговските и поземлените регистри.

- = -

(31) Надзорните органи следва да си сътрудничат с органите по защита на данните, например като ги уведомяват за резултатите от одитите на доставчици на квалифицирани удостоверителни услуги, при които има основания да се смята, че са нарушени правилата за защита на личните данни. Предоставянето на информация следва по-конкретно да обхваща инциденти, свързани със сигурността, и пробиви в защитата на личните данни.

- = -

(36) Установяването на режим на надзор за всички доставчици на удостоверителни услуги следва да гарантира равни условия за сигурността и отчетността на извършваните от тях операции и услуги и така да допринесе за защитата на потребителите и функционирането на вътрешния пазар. Доставчиците на неквалифицирани удостоверителни услуги следва да подлежат на облекчена и ответна последваща надзорна дейност, обоснована от естеството на извършваните от тях услуги и операции. Поради това надзорният орган следва да няма общо задължение да извършва надзор на доставчиците на неквалифицирани услуги. Надзорният орган следва да предприема действия само когато е получил информация (например от самия доставчик на неквалифицирани удостоверителни услуги, от друг надзорен орган, чрез уведомяване от потребител или делови партньор или въз основа на собствено разследване), че доставчик на неквалифицирани удостоверителни услуги не спазва изискванията на настоящия регламент.

- = -

(37) С настоящия регламент следва да се предвиди отговорност за всички доставчици на удостоверителни услуги. По-конкретно с регламента се установява режимът на отговорност, съгласно който всички доставчици на удостоверителни услуги следва да носят отговорност за щети, причинени на физическо или юридическо лице поради неспазване на задълженията по настоящия регламент. С цел да се улесни извършването на оценката на финансовия риск, който доставчиците на удостоверителни услуги може да се наложи да поемат или за който следва да осигурят покритие чрез застрахователни полици, с настоящия регламент се дава възможност на доставчиците на удостоверителни услуги да поставят, при определени условия, ограничения върху използването на предоставяните от тях услуги и да не носят отговорност за щети, произтичащи от използването на услуги, надхвърлящи тези ограничения. Клиентите следва да бъдат предварително и надлежно информирани за тези ограничения. Тези ограничения следва да са разпознаваеми от трета страна, например чрез включване на информация относно ограниченията в условията, при които се предоставя услугата, или по друг разпознаваем начин. С цел тези принципи да получат реално изражение, настоящият регламент следва да се прилага в съответствие с националните разпоредби относно отговорността. Поради това настоящият регламент не засяга тези национални разпоредби, например относно определението за щети, намерение, небрежност или съответните приложими процесуални разпоредби.

- = -

(42) За улесняване на надзора върху доставчиците на квалифицирани удостоверителни услуги, например когато даден доставчик предлага услугите си на територията на друга държава членка, където не подлежи на надзор, или когато компютрите на даден доставчик се намират на територията на държава членка, различна от неговата държава по установяване, следва да се създаде система за взаимопомощ между надзорните органи на държавите членки.

- = -

(44) Целта на настоящия регламент е да се осигури съгласувана рамка, така че да се предложи високо ниво на защита и правна сигурност на удостоверителните услуги. В това отношение, когато разглежда оценяването на съответствието на продукти и услуги, Комисията следва по целесъобразност да се стреми към единодействие със съществуващите европейски и международни схеми в областта, като например Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета (9), с който се определят изискванията за акредитация на органите за оценяване на съответствието и надзор на пазара на продуктите.

- = -

(48) Наред с високата степен на сигурност, необходима за гарантиране на взаимното признаване на електронни подписи, в някои конкретни случаи, например в контекста на Решение № 2009/767/ЕО на Комисията (10), следва да се приемат и електронни подписи с по-ниска степен на сигурност.

- = -

(52) Създаването на електронни подписи от разстояние, при което средата на създаване на електронен подпис се управлява от доставчик на удостоверителни услуги от името на титуляря на електронния подпис, се очаква да се развие поради многобройните икономически предимства, които предоставя. При все това, с цел да се гарантира, че тези електронни подписи получават същото правно признаване като електронните подписи, създавани в среда, изцяло управлявана от потребителя, доставчиците, които предлагат услуги на електронен подпис от разстояние, следва да прилагат специфични процедури за сигурността на управление и административната сигурност и да използват надеждни системи и продукти, включително сигурни електронни канали на комуникация, с цел да се гарантира надеждността на средата на създаване на електронния подпис и да се гарантира, че тази среда е използвана единствено под контрола на титуляря на електронния подпис. В случай на квалифициран електронен подпис, създаден чрез устройство за създаване на електронен подпис от разстояние, следва да се прилагат изискванията, приложими за доставчиците на квалифицирани удостоверителни услуги, които са изброени в настоящия регламент.

- = -

(54) Трансграничната оперативна съвместимост и признаването на квалифицираните удостоверения е предварително условие за трансграничното признаване на квалифицираните електронни подписи. Във връзка с това квалифицираните удостоверения не следва да подлежат на каквито и да било задължителни изисквания, надхвърлящи изискванията, предвидени в настоящия регламент. На национално равнище обаче включването в квалифицирани удостоверения на специфични данни, като например уникални идентификатори, следва да бъде позволено, при условие че тези специфични данни не възпрепятстват трансграничната оперативна съвместимост и признаването на квалифицираните удостоверения и електронните подписи.

- = -

(67) Услугите по удостоверяване на автентичността на уебсайт осигуряват средство, с което посетител на уебсайт може да бъде уверен, че зад уебсайта стои реален и легитимен субект. Тези услуги допринасят за изграждането на доверието в осъществяването на стопанска дейност онлайн, тъй като потребителите ще имат доверие в уебсайт, чиято автентичност е била удостоверена. Предоставянето и използването на услугите по удостоверяване на автентичността на уебсайт са изцяло на доброволна основа. Въпреки това, с цел удостоверяването на автентичността на уебсайт да се превърне в средство за повишаване на доверието, за подобряване на работата на потребителя с уебсайта, както и за увеличаване на растежа в рамките на вътрешния пазар, настоящият регламент следва да установи минимални задължения за сигурност и отговорност за доставчиците и техните услуги. За тази цел бяха взети предвид резултатите от съществуващите инициативи на сектора, като например форума на сертифициращите органи/браузъри — CA/B Forum. В допълнение настоящият регламент не следва да възпрепятства използването на други средства или методи за удостоверяване на автентичността на уебсайт, които не попадат в обхвата на настоящия регламент, нито следва да попречи на доставчиците от трета държава на услуги по удостоверяване на автентичността на уебсайт да предоставят своите услуги на потребители в Съюза. При все това услугите по удостоверяване на автентичността на уебсайт, извършвани от доставчика от трета държава, следва да бъдат признати за квалифицирани в съответствие с настоящия регламент само ако има сключено международно споразумение между Съюза и държавата на установяване на доставчика.

- = -

keyboard_tab EIDAS 2014/0910 BG

EIDAS 2014/0910 BG