EIDAS 2014/0910 BG

1. Схемата за електронна идентификация, за която е извършено уведомяване съгласно член 9, параграф 1, включва определяне на нива на осигуреност „ниско“, „значително“ и/или „високо“, приписвани на средства за електронна идентификация, издавани в рамките на тази схема.

2. Нивата на осигуреност „ниско“, „значително“ и „високо“ отговарят съответно на следните критерии:

а)

ниво на осигуреност „ниско“ се отнася за средство за електронна идентификация в контекста на схема за електронна идентификация, което предоставя ограничена степен на надеждност на претендираната или заявената самоличност на дадено лице, и се характеризира с препратка към съответни технически спецификации, стандарти и процедури, включително технически проверки, чиято цел е да се понижи значително рискът от злоупотреба или промяна на самоличността;

б)

ниво на осигуреност „значително“ се отнася за средство за електронна идентификация в контекста на схема за електронна идентификация, което предоставя значителна степен на надеждност на претендираната или заявената самоличност на дадено лице и се характеризира с препратка към съответни технически спецификации, стандарти и процедури, включително технически проверки, чиято цел е да се понижи значително рискът от злоупотреба или промяна на самоличността;

в)

ниво на осигуреност „високо“ се отнася за средство за електронна идентификация в контекста на схема за електронна идентификация, което предоставя по-висока степен на надеждност на претендираната или заявената самоличност на дадено лице, отколкото средствата за електронна идентификация с ниво на осигуреност „значително“, и се характеризира с препратка към съответни технически спецификации, стандарти и процедури, включително технически проверки, чиято цел е да се предотврати злоупотреба или промяна на самоличността.

3. До 18 септември 2015 г., като отчита съответните международни стандарти и при спазване на параграф 2, Комисията установява посредством актове за изпълнение минимални технически спецификации, стандарти и процедури, по отношение на които за целите на параграф 1 се определят нива на осигуреност „ниско“, „значително“ и „високо“ за средства за електронна идентификация.

Тези минимални технически спецификации, стандарти и процедури се установяват въз основа на надеждността и качеството на следните елементи:

а)	процедурата за доказване и проверка на самоличността на физически или юридически лица, подаващи искане за издаване на средство за електронна идентификация;

б)	процедурата по издаване на поисканото средство за електронна идентификация;

в)	механизма за удостоверяване на автентичност, чрез който физическото или юридическото лице използва средството за електронна идентификация, за да потвърди своята самоличност на доверяваща се страна;

г)	субекта, издаващ средството за електронна идентификация;

д)	всеки друг орган, имащ отношение към заявлението за издаване на средството за електронна идентификация; и

е)	техническите спецификации и спецификациите за сигурността на издаваните средства за електронна идентификация.

Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 10

Пробив в сигурността

1. Ако схемата за електронна идентификация, за която е извършено уведомяване съгласно член 9, параграф 1, или удостоверяването на автентичност, посочено в член 7, буква е), са нарушени или частично застрашени по начин, който засяга надеждността на трансграничното удостоверяване на автентичност на тази схема, уведомяващата държава членка незабавно спира или отменя това трансгранично удостоверяване на автентичност или съответните застрашени части и информира другите държави членки и Комисията.

2. Когато пробивът или застрашаването на сигурността, посочени в параграф 1, бъдат отстранени, уведомяващата държава членка възобновява трансграничното удостоверяване на автентичност и без неоснователно забавяне информира другите държави членки и Комисията.

3. Ако пробивът или нарушаването на сигурността, посочени в параграф 1, не бъдат отстранени в рамките на три месеца от спирането или отмяната, уведомяващата държава членка информира другите държави членки и Комисията за прекратяването на схемата за електронна идентификация.

Комисията публикува без неоснователно забавяне съответните изменения на списъка по член 9, параграф 2 в Официален вестник на Европейския съюз.

Член 17

Надзорен орган

1. Държавите членки определят надзорен орган, установен на тяхна територия, или, при наличие на взаимно споразумение с друга държава членка, надзорен орган, установен във въпросната друга държава членка. Този орган е отговорен за изпълнението на задачите по надзора в определящата държава членка.

На надзорните органи се предоставят необходимите правомощия и достатъчни ресурси за изпълнението на техните задачи.

2. Държавите членки съобщават на Комисията наименованията и адресите на определените от тях надзорни органи.

3. Функцията на на надзорния орган е следната:

а)

да осъществява надзор върху доставчици на квалифицирани удостоверителни услуги, установени на територията на определящата държава членка, за да се гарантира, посредством предварителни и последващи действия по надзора, че тези доставчици на квалифицирани удостоверителни услуги и предоставяните от тях квалифицирани удостоверителни услуги отговарят на изискванията, предвидени в настоящия регламент;

б)

при необходимост да предприема действия по отношение на доставчици на неквалифицирани удостоверителни услуги, установени на територията на определящата държава членка, посредством последващи действия по надзора, когато получи информация, съгласно която се твърди, че тези доставчици на неквалифицирани удостоверителни услуги или предоставяните от тях удостоверителни услуги не отговарят на изискванията, предвидени в настоящия регламент.

4. За целите на параграф 3 и при спазване на предвидените в него ограничения задачите на надзорния орган включват по-конкретно:

а)	да си сътрудничи с други надзорни органи и да им оказва съдействие в съответствие с член 18;

б)	да анализира докладите за оценяване на съответствието, посочени в член 20, параграф 1 и член 21, параграф 1;

в)	да информира други надзорни органи и обществеността за пробиви в сигурността или нарушаване на целостта в съответствие с член 19, параграф 2;

г)	да докладва на Комисията за своите основни дейности в съответствие с параграф 6 от настоящия член;

д)	да извършва одити или да изисква от орган за оценяване на съответствието да проведе оценяване на съответствието на доставчиците на квалифицирани удостоверителни услуги в съответствие с член 20, параграф 2;

е)	да си сътрудничи с органите по защита на данните, по-специално като без неоснователно забавяне ги информира за резултатите от одитите на доставчици на квалифицирани удостоверителни услуги, при които има предполагаеми нарушения на правилата за защита на личните данни;

ж)	да предоставя квалифициран статут на доставчици на удостоверителни услуги и на предоставяните от тях услуги и да отнема този статут в съответствие с членове 20 и 21;

з)	да информира органа, отговорен за националния доверителен списък, посочен в член 22, параграф 3, за своите решения за представяне или отнемане на квалифициран статут, освен в случаите, когато въпросният орган е и надзорен орган;

и)

да проверява наличието и правилното прилагане на разпоредбите относно плана за осигуряване на непрекъснатост на обслужването в случаите, когато доставчиците на квалифицирани удостоверителни услуги прекъснат дейността си, включително относно начините за запазване на достъпа до информацията в съответствие с член 24, параграф 2, буква з);

й)	да изисква от доставчиците на удостоверителни услуги да отстранят всяко неизпълнение на изискванията, посочени в настоящия регламент.

5. Държавите членки могат да изискват от надзорния орган да изгражда, поддържа и актуализира инфраструктура за удостоверяване в съответствие с условията по националното право.

6. Всяка година до 31 март всеки надзорен орган изпраща на Комисията доклад относно основните си дейности през предходната календарна година, наред с обобщена информация относно уведомленията за нарушения, получени от доставчици на удостоверителни услуги, в съответствие с член 19, параграф 2.

7. Комисията предоставя на държавите членки годишния доклад, посочен в параграф 6.

8. Комисията може да определи посредством актове за изпълнение форматите и процедурите по отношение на доклада, посочен в параграф 6. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 19

Изисквания за сигурност, които се прилагат към доставчиците на удостоверителни услуги

1. Доставчиците на квалифицирани и неквалифицирани удостоверителни услуги предприемат подходящи технически и организационни мерки за управление на рисковете за сигурността на предоставяните от тях удостоверителни услуги. При тези мерки се вземат предвид най-новите технически достижения, за да се гарантира, че равнището на сигурност е пропорционално на степента на риска. В частност се предприемат мерки за предотвратяване и свеждане до минимум на въздействието на инциденти, свързани със сигурността, и за информиране на заинтересованите страни относно нежеланите последици от такива инциденти.

2. В случай на пробив в сигурността или нарушаване на целостта, които имат съществено въздействие върху предоставяната удостоверителна услуга или върху съхраняваните лични данни, доставчиците на квалифицирани и неквалифицирани удостоверителни услуги уведомяват за това без излишно забавяне, но при всички случаи в срок от 24 часа от момента, в който са узнали за настъпилото събитие, надзорния орган и, когато е приложимо, други компетентни органи, например компетентния национален орган в областта на информационната сигурност или органа по защита на данните.

Когато има вероятност пробивът в сигурността или нарушаването на целостта да окажат негативно въздействие върху физическо или юридическо лице, на което е предоставена удостоверителната услуга, доставчикът на удостоверителни услуги уведомява без излишно забавяне за пробива в сигурността или нарушаването на целостта и въпросното физическо или юридическо лице.

При необходимост, и особено ако пробивът в сигурността или нарушаването на целостта засягат две или повече държави членки, уведоменият надзорен орган информира надзорните органи в останалите засегнати държави членки и ENISA.

Ако прецени, че разгласяването на пробива в сигурността или нарушаването на целостта е в обществен интерес, уведоменият надзорен орган информира обществеността или изисква от доставчика на удостоверителни услуги да направи това.

3. Веднъж годишно надзорният орган представя на ENISA обобщение на уведомленията за пробиви в сигурността и нарушения на целостта, получени от доставчиците на удостоверителни услуги.

4. Комисията може посредством актове за изпълнение:

а)	да уточни допълнително мерките, посочени в параграф 1; и

б)	да определи форматите и процедурите, включително сроковете, приложими за целите на параграф 2.

РАЗДЕЛ 3

Квалифицирани удостоверителни услуги

Член 30

Сертифициране на устройствата за създаване на квалифициран електронен подпис

1. Съответствието на устройствата за създаване на квалифициран електронен подпис с изискванията, предвидени в приложение II, се сертифицира от съответните публичноправни или частни организации, определени от държавите членки.

2. Държавите членки съобщават на Комисията наименованията и адресите на публичноправната или частната организация, посочена в параграф 1. Комисията предоставя тази информация на разположение на държавите членки.

3. Посоченото в параграф 1 сертифициране се основава на едно от следните условия:

а)	процес на оценка на сигурността, осъществен в съответствие с един от стандартите за оценка на сигурността на продукти на информационните технологии, включени в списъка, изготвен в съответствие с втората алинея; или

б)

процес, различен от посочения в буква а), при условие че при него са използвани съпоставими равнища на сигурност и че посочената в параграф 1 публичноправна или частна организация е уведомила Комисията за въпросния процес. Този процес може да се използва само при липса на стандартите, посочени в буква а), или когато посоченият в буква а) процес на оценка на сигурността се извършва в момента.

Комисията изготвя посредством актове за изпълнение списък на стандартите за оценка на сигурността на продукти на информационните технологии, посочени в буква а). Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

4. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 47 за установяване на конкретните критерии, на които трябва да отговарят определените органи, посочени в параграф 1 от настоящия член.

Член 32

Изисквания към валидирането на квалифицирани електронни подписи

1. В процеса на валидиране на квалифициран електронен подпис се потвърждава валидността на квалифицирания електронен подпис, при условие че:

а)	удостоверението в подкрепа на подписа към момента на подписването е било квалифицирано удостоверение за електронен подпис, отговарящо на приложение I;

б)	квалифицираното удостоверение е издадено от доставчик на квалифицирани удостоверителни услуги и е било валидно към момента на подписването;

в)	данните за валидиране на подписа съответстват на данните, предоставени от доверяващата се страна;

г)	уникалният набор от данни, представляващи титуляря на електронния подпис в удостоверението, е надлежно предаден на доверяващата се страна;

д)	ако към момента на подписването е бил използван псевдоним, то това е ясно указано на доверяващата се страна;

е)	електронният подпис е създаден от устройство за създаване на квалифициран електронен подпис;

ж)	целостта на подписаните данни не е застрашена;

з)	изискванията по член 26 са били изпълнени към момента на подписването.

2. Използваната за валидиране на квалифицирания електронен подпис система предоставя на доверяващата се страна правилния резултат от процеса на валидиране и ѝ позволява да открие евентуални проблеми, свързани със сигурността.

3. Комисията може да определи посредством актове за изпълнение референтните номера на стандартите за валидиране на квалифицирани електронни подписи. Съответствието с изискванията, предвидени в параграф 1, се презюмира, когато валидирането на квалифицирани електронни подписи отговаря на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 52

Влизане в сила

1. Настоящият регламент влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.

2. Настоящият регламент се прилага от 1 юли 2016 г. с изключение на следното:

а)

член 8, параграф 3, член 9, параграф 5, член 12, параграфи 2 — 9, член 17, параграф 8, член 19, параграф 4, член 20, параграф 4, член 21, параграф 4, член 22, параграф 5, член 23, параграф 3, член 24, параграф 5, член 27, параграфи 4 и 5, член 28, параграф 6, член 29, параграф 2, член 30, параграфи 3 и 4, член 31, параграф 3, член 32, параграф 3, член 33, параграф 2, член 34, параграф 2, член 37, параграфи 4 и 5, член 38, параграф 6, член 42, параграф 2, член 44, параграф 2, член 45, параграф 2 и членове 47 и 48 се прилагат, считано от 17 септември 2014 г.;

б)	член 7, член 8, параграфи 1 и 2, членове 9 — 11 и член 12, параграф 1 се прилагат от датата на прилагане на актовете за изпълнение, посочени в член 8, параграф 3 и член 12, параграф 8;

в)	член 6 се прилага, считано от три години от датата на прилагане на актовете за изпълнение, посочени в член 8, параграф 3 и член 12, параграф 8.

3. Когато схемата за електронна идентификация, за която се извършва уведомяване, е включена в списъка, публикуван от Комисията по силата на член 9, преди датата, посочена в параграф 2, буква в) от настоящия член, признаването на средствата за електронна идентификация в рамките на въпросната схема по силата на член 6 се извършва не по-късно от 12 месеца след публикуването на схемата, но не преди датата, посочена в параграф 2, буква в) от настоящия член.

4. Независимо от параграф 2, буква в) от настоящия член дадена държава членка може да реши, че средствата за електронна идентификация в рамките на схемата за електронна идентификация, за която се извършва уведомяване по силата на член 9, параграф 1 от страна на друга държава членка, се признават в първата държава членка, считано от датата на прилагане на актовете за изпълнение, посочени в член 8, параграф 3 и член 12, параграф 8. Съответните държави членки информират Комисията. Комисията оповестява публично тази информация.

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.

Съставено в Брюксел на 23 юли 2014 година.

За Европейския парламент

Председател

M. SCHULZ

За Съвета

Председател

S. GOZI

(1) ОВ C 351, 15.11.2012 г., стр. 73.

(2) Позиция на Европейския парламент от 3 април 2014 г. (все още непубликувана в Официален вестник) и решение на Съвета от 23 юли 2014 г.

(3) Директива 1999/93/ЕО на Европейския парламент и на Съвета от 13 декември 1999 г. относно правната рамка на Общността за електронните подписи (ОВ L 13, 19.1.2000 г., стр. 12).

(4) ОВ C 50 Е, 21.2.2012 г., стр. 1.

(5) Директива 2006/123/ЕО на Европейския парламент и на Съвета от 12 декември 2006 г. за услугите на вътрешния пазар (ОВ L 376, 27.12.2006 г., стр. 36).

(6) Директива 2011/24/ЕС на Европейския парламент и на Съвета от 9 март 2011 г. за упражняване на правата на пациентите при трансгранично здравно обслужване (ОВ L 88, 4.4.2011 г., стр. 45).

(7) Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31).

(8) Решение 2010/48/ЕО на Съвета от 26 ноември 2009 г. относно сключването от Европейската общност на Конвенцията на Организацията на обединените нации за правата на хората с увреждания (ОВ L 23, 27.1.2010 г., стр. 35).

(9) Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и надзор на пазара във връзка с предлагането на пазара на продукти и за отмяна на Регламент (ЕИО) № 339/93 (ОВ L 218, 13.8.2008 г., стр. 30).

(10) Решение 2009/767/ЕО на Комисията от 16 октомври 2009 г. за определяне на мерки, улесняващи прилагането на процедури с помощта на електронни средства чрез единични звена за контакт в съответствие с Директива 2006/123/ЕО на Европейския парламент и на Съвета относно услугите на вътрешния пазар (ОВ L 274, 20.10.2009 г., стр. 36).

(11) Решение 2011/130/ЕС на Комисията от 25 февруари 2011 г. за установяване на минимални изисквания за трансграничната обработка на документи, подписани електронно от компетентните органи съгласно Директива 2006/123/ЕО на Европейския парламент и на Съвета относно услугите на вътрешния пазар (ОВ L 53, 26.2.2011 г., стр. 66).

(12) Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията (ОВ L 55, 28.2.2011 г., стр. 13).

(13) Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001, стр. 1).

(14) ОВ C 28, 30.1.2013 г., стр. 6.

(15) Директива 2014/24/ЕС на Европейския парламент и на Съвета от 26 февруари 2014 г. относно възлагането на обществени поръчки и за отмяна на Директива 2004/18/ЕО (ОВ L 94, 28.3.2014 г., стр. 65).

ПРИЛОЖЕНИЕ I

ИЗИСКВАНИЯ КЪМ КВАЛИФИЦИРАНИТЕ УДОСТОВЕРЕНИЯ ЗА ЕЛЕКТРОННИ ПОДПИСИ

Квалифицираните удостоверения за електронни подписи съдържат:

а)	указание най-малко във форма, подходяща за автоматизирана обработка, че удостоверението е издадено като квалифицирано удостоверение за електронен подпис;

б)

набор от данни, които еднозначно представляват издалия квалифицираното удостоверение доставчик на квалифицирани удостоверителни услуги, който набор включва най-малко държавата членка по установяване на доставчика и:

—	за юридическо лице: наименованието и, където е приложимо, регистрационния номер според официалните регистри,

—	за физическо лице: името на лицето;

в)	най-малко името на титуляря или псевдоним; ако се използва псевдоним, той се посочва ясно;

г)	данни за валидиране на електронния подпис, които съответстват на данните за създаване на електронния подпис;

д)	информация за началото и края на срока на валидност на удостоверението;

е)	идентификационен код на удостоверението, който е уникален за доставчика на квалифицирани удостоверителни услуги;

ж)	усъвършенстван електронен подпис или усъвършенстван електронен печат на издаващия доставчик на квалифицирани удостоверителни услуги;

з)	място, където удостоверението, което поддържа усъвършенствания електронен подпис или усъвършенствания електронен печат, посочени в буква ж), е на разположение безплатно;

и)	място на услугите, до което се отправят искания за проверка на валидността на квалифицираното удостоверение;

й)	когато данните за създаване на електронен подпис, свързани с данните за валидиране на електронен подпис, се намират в устройство за създаване на квалифициран електронен подпис, това съответно се указва най-малко във форма, подходяща за автоматизирана обработка.

ПРИЛОЖЕНИЕ II

ИЗИСКВАНИЯ КЪМ УСТРОЙСТВАТА ЗА СЪЗДАВАНЕ НА КВАЛИФИЦИРАН ЕЛЕКТРОНЕН ПОДПИС

Устройствата за създаване на квалифициран електронен подпис гарантират чрез подходящи технически и процедурни средства най-малко, че:

а)	поверителността на данните за създаване на електронен подпис, използвани за създаването на електронния подпис, е разумно гарантирана;

б)	данните за създаване на електронен подпис, използвани за създаването на електронния подпис, на практика се срещат само веднъж;

в)	данните за създаване на електронен подпис, използвани за създаването на електронния подпис, са обезпечени в достатъчна степен и не могат да бъдат извлечени, а електронният подпис е надеждно защитен срещу подправяне чрез използване на наличната към момента технология;

г)	данните за създаване на електронен подпис, използвани за създаването на електронния подпис, могат да бъдат надеждно защитени от законния титуляр на електронния подпис срещу използване от други лица.

Устройствата за създаване на квалифициран електронен подпис не изменят данните, които ще бъдат подписвани, и не препятстват представянето им на титуляря на електронния подпис преди подписване.

Генерирането или управлението на данни за създаване на електронен подпис от името на титуляря на електронния подпис може да се извърши единствено от доставчик на квалифицирани удостоверителни услуги.

Без да се засяга точка 1, буква г), доставчиците на квалифицирани удостоверителни услуги, които управляват данни за създаване на електронен подпис от името на титуляря на електронния подпис, могат да дублират данните за създаване на електронен подпис единствено с цел съхраняване на резервно копие, ако са спазени следните изисквания:

а)	сигурността на дублираните набори от данни е на равнището на сигурността на оригиналните набори от данни;

б)	броят на дублираните набори от данни не превишава минимума, необходим за осигуряване на непрекъснатост на обслужването.

ПРИЛОЖЕНИЕ III

ИЗИСКВАНИЯ КЪМ КВАЛИФИЦИРАНИТЕ УДОСТОВЕРЕНИЯ ЗА ЕЛЕКТРОННИ ПЕЧАТИ

Квалифицираните удостоверения за електронни печати съдържат:

а)	указание най-малко във форма, подходяща за автоматизирана обработка, че удостоверението е издадено като квалифицирано удостоверение за електронен печат;

б)

—	за юридическо лице: наименованието и ако е приложимо, регистрационния номер според официалните регистри,

—	за физическо лице: името на лицето;

в)	най-малко името на създателя на печата и ако е приложимо, регистрационния номер според официалните регистри;

г)	данни за валидиране на електронния печат, които съответстват на данните за създаване на електронния печат;

д)	информация за началото и края на срока на валидност на удостоверението;

е)	идентификационен код на удостоверението, който е уникален за доставчика на квалифицирани удостоверителни услуги;

ж)	усъвършенстван електронен подпис или усъвършенстван електронен печат на издаващия доставчик на квалифицирани удостоверителни услуги;

з)	място, където удостоверението, което поддържа усъвършенствания електронен подпис или усъвършенствания електронен печат, посочени в буква ж), е на разположение безплатно;

и)	място на услугите, до което се отправят искания за проверка на валидността на квалифицираното удостоверение;

й)	когато данните за създаване на електронен печат, свързани с данните за валидиране на електронен печат, се намират в устройство за създаване на квалифициран електронен печат, това съответно се указва най-малко във форма, подходяща за автоматизирана обработка.

ПРИЛОЖЕНИЕ IV

ИЗИСКВАНИЯ КЪМ КВАЛИФИЦИРАНИТЕ УДОСТОВЕРЕНИЯ ЗА АВТЕНТИЧНОСТ НА УЕБСАЙТОВЕ

Квалифицираните удостоверения за автентичност на уебсайтове съдържат:

а)	указание най-малко във форма, подходяща за автоматизирана обработка, че удостоверението е издадено като квалифицирано удостоверение за автентичност на уебсайтове;

б)

набор от данни, които еднозначно представляват издалия квалифицираното удостоверение доставчик на квалифицирани удостоверителни услуги, като наборът включва най-малко държавата членка по установяване на доставчика, и:

—	за юридическо лице: наименованието и ако е приложимо — регистрационния номер според официалните регистри,

—	за физическо лице: името на лицето;

в)

за физически лица: най-малко името на лицето, но което е издадено удостоверението, или псевдоним. Ако се използва псевдоним, той се посочва ясно;

за юридически лица: най-малко наименованието на юридическото лице, на което е издадено удостоверението, и ако е приложимо — регистрационния номер според официалните регистри;

г)	елементи на адреса, включително най-малко град и държава, на физическото или юридическото лице, на което е издадено удостоверението, и ако е приложимо — регистрационния номер според официалните регистри;

д)	наименованието на домейна или наименованията на домейните, поддържани от физическото или юридическото лице, на което е издадено удостоверението;

е)	информация за началото и края на срока на валидност на удостоверението;

ж)	идентификационен код на удостоверението, който е уникален за доставчика на квалифицирани удостоверителни услуги;

з)	усъвършенстван електронен подпис или усъвършенстван електронен печат на издаващия доставчик на квалифицирани удостоверителни услуги;

и)	място, където удостоверението, което поддържа усъвършенствания електронен подпис или усъвършенствания електронен печат, посочени в буква з), е на разположение безплатно;

й)	място на услугите по проверка на валидността на удостоверенията, до което се отправят искания за проверка на валидността на квалифицираното удостоверение.

whereas

(7) Европейският парламент в резолюцията си от 21 септември 2010 г. относно доизграждането на вътрешния пазар по отношение на електронната търговия (4) подчерта значението на сигурността на електронните услуги, и по-конкретно на електронните подписи, както и на необходимостта от създаване на публична ключова инфраструктура на общоевропейско равнище, и призова Комисията да създаде Портал на европейските заверяващи органи, за да се гарантира трансгранична оперативна съвместимост на електронните подписи и да се повиши сигурността на трансакциите, извършвани по интернет.

- = -

(11) Настоящият регламент следва да се прилага в пълно съответствие с принципите, свързани със защитата на личните данни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета (7). В това отношение, предвид принципа на взаимно признаване, установен с настоящия регламент, удостоверяването на автентичност за онлайн услуга следва да засяга обработването само на тези данни за идентификация, които са подходящи, от значение и не надхвърлят необходимото за получаването на достъп до тази онлайн услуга. Освен това доставчиците на удостоверителни услуги и надзорните органи следва да съблюдават изискванията по Директива 95/46/ЕО във връзка с поверителността и сигурността на обработването.

- = -

(19) Сигурността на схемите за електронна идентификация е основен фактор за надеждно трансгранично взаимно признаване на средствата за електронна идентификация. В този контекст държавите членки следва да си сътрудничат по отношение на сигурността и оперативната съвместимост на схемите за електронна идентификация на равнището на Съюза. В случай че схемите за електронна идентификация правят необходимо използването от доверяващите се страни на национално равнище на специален хардуер или софтуер, трансграничната оперативна съвместимост изисква тези държави членки да не налагат на доверяващите се страни, установени извън тяхната територия, такива изисквания и свързани с тях разходи. В този случай следва да се обсъдят и разработят подходящи решения в границите на обхвата на рамката за оперативна съвместимост. Въпреки това техническите изисквания, които произтичат от свойствени за националните средства за електронна идентификация характеристики и които е вероятно да засегнат притежателите на такива електронни средства (например смарткарти), са неизбежни.

- = -

(31) Надзорните органи следва да си сътрудничат с органите по защита на данните, например като ги уведомяват за резултатите от одитите на доставчици на квалифицирани удостоверителни услуги, при които има основания да се смята, че са нарушени правилата за защита на личните данни. Предоставянето на информация следва по-конкретно да обхваща инциденти, свързани със сигурността, и пробиви в защитата на личните данни.

- = -

(32) Всички доставчици на удостоверителни услуги следва да бъдат задължени да използват добри практики по отношение на сигурността съобразно рисковете, свързани с тяхната дейност, така че да се стимулира доверието на потребителите в единния пазар.

- = -

(35) Спрямо всички доставчици на удостоверителни услуги следва да се прилагат изискванията на настоящия регламент, и по-специално изискванията по отношение на сигурността и отговорността за осигуряването на дължимата грижа, прозрачност и отчетност по отношение на техните операции и услуги. Същевременно обаче, като се взема предвид видът на услугите, предоставяни от доставчиците на удостоверителни услуги, е целесъобразно да се прави разграничение по отношение на тези изисквания между доставчиците на квалифицирани и неквалифицирани услуги.

- = -

(36) Установяването на режим на надзор за всички доставчици на удостоверителни услуги следва да гарантира равни условия за сигурността и отчетността на извършваните от тях операции и услуги и така да допринесе за защитата на потребителите и функционирането на вътрешния пазар. Доставчиците на неквалифицирани удостоверителни услуги следва да подлежат на облекчена и ответна последваща надзорна дейност, обоснована от естеството на извършваните от тях услуги и операции. Поради това надзорният орган следва да няма общо задължение да извършва надзор на доставчиците на неквалифицирани услуги. Надзорният орган следва да предприема действия само когато е получил информация (например от самия доставчик на неквалифицирани удостоверителни услуги, от друг надзорен орган, чрез уведомяване от потребител или делови партньор или въз основа на собствено разследване), че доставчик на неквалифицирани удостоверителни услуги не спазва изискванията на настоящия регламент.

- = -

(38) Уведомяването за пробиви в системите за сигурност и оценките на риска за сигурността са от съществено значение за предоставянето на адекватна информация на засегнатите страни в случай на пробив на сигурността или нарушаване на целостта на системите.

- = -

(52) Създаването на електронни подписи от разстояние, при което средата на създаване на електронен подпис се управлява от доставчик на удостоверителни услуги от името на титуляря на електронния подпис, се очаква да се развие поради многобройните икономически предимства, които предоставя. При все това, с цел да се гарантира, че тези електронни подписи получават същото правно признаване като електронните подписи, създавани в среда, изцяло управлявана от потребителя, доставчиците, които предлагат услуги на електронен подпис от разстояние, следва да прилагат специфични процедури за сигурността на управление и административната сигурност и да използват надеждни системи и продукти, включително сигурни електронни канали на комуникация, с цел да се гарантира надеждността на средата на създаване на електронния подпис и да се гарантира, че тази среда е използвана единствено под контрола на титуляря на електронния подпис. В случай на квалифициран електронен подпис, създаден чрез устройство за създаване на електронен подпис от разстояние, следва да се прилагат изискванията, приложими за доставчиците на квалифицирани удостоверителни услуги, които са изброени в настоящия регламент.

- = -

(55) Сертифицирането на сигурността на информационните технологии на базата на международни стандарти като ISO 15408 и други подобни методи за оценка и механизми за взаимно признаване е важен инструмент за проверка на сигурността на устройствата за създаване на квалифициран електронен подпис и следва да се насърчава. Иновативните решения и услуги, като подписването чрез мобилни устройства и подписването в облак, обаче са основани на такива технически и организационни решения за устройствата за създаване на квалифициран електронен подпис, за които все още може да не са налице стандарти за сигурност или за които първото сертифициране на сигурността на информационните технологии е в процес на извършване. Равнището на сигурност на такива устройства за създаване на квалифициран електронен подпис може да бъде оценено чрез използване на алтернативни процеси само когато не са налице такива стандарти за сигурност или когато първото сертифициране на сигурността на информационните технологии е в процес на извършване. Тези процеси следва да са съпоставими със стандартите за сертифициране на сигурността на информационните технологии, доколкото техните равнища на сигурност са равностойни. Тези процеси могат да бъдат улеснени чрез партньорски проверки.

- = -

(62) С цел да се гарантира сигурността на квалифицираните електронни времеви печати, настоящият регламент следва да изисква използването на усъвършенстван електронен печат или усъвършенстван електронен подпис, или на други равностойни методи. Може да се предвиди, че е възможно иновациите да доведат до нови технологии, които могат да осигурят равностойно ниво на сигурност за времевите печати. Винаги когато се използва метод, различен от усъвършенстван електронен печат или усъвършенстван електронен подпис, доставчикът на квалифицирани удостоверителни услуги следва да докаже в доклада за оценяване на съответствието, че този метод осигурява равностойно ниво на сигурност и е съобразен със задълженията, определени в настоящия регламент.

- = -

keyboard_tab EIDAS 2014/0910 BG

EIDAS 2014/0910 BG