EIDAS 2014/0910 BG

1. Настоящият регламент се прилага за схеми за електронна идентификация, за които е извършено уведомяване от държава членка, както и за установени в Съюза доставчици на удостоверителни услуги.

2. Настоящият регламент не се прилага за предоставянето на удостоверителни услуги, използвани единствено в рамките на затворени системи, произтичащи от националното право или от споразумения между определен кръг от участници.

3. Настоящият регламент не засяга националното право или правото на Съюза, свързано със сключването и действителността на договори или други правни или процедурни задължения по отношение на формата.

Член 3

Определения

За целите на настоящия регламент се прилагат следните определения:

1)	„електронна идентификация“ означава процес на използване на данни в електронна форма за идентификация на лица, които данни представляват по уникален начин дадено физическо или юридическо лице, или физическо лице, представляващо юридическо лице;

2)	„средство за електронна идентификация“ означава материална и/или нематериална единица, която съдържа данни за идентификация на лица, която се използва за удостоверяване на автентичност за онлайн услуга;

3)	„данни за идентификация на лица“ означава набор от данни, които позволяват да се установи самоличността на физическо или юридическо лице, или на физическо лице, представляващо юридическо лице;

4)	„схема за електронна идентификация“ означава система за електронна идентификация, при която средства за електронна идентификация се издават на физически или юридически лица, или физически лица, представляващи юридически лица;

5)	„удостоверяване на автентичност“ означава електронен процес, който позволява електронната идентификация на физическо или юридическо лице или потвърждаването на произхода и целостта на данни в електронна форма;

6)	„доверяваща се страна“ означава физическо или юридическо лице, което разчита на електронна идентификация или удостоверителна услуга;

„орган от публичния сектор“ означава държавен, регионален или местен орган, публичноправна организация или сдружение, съставено от един или повече такива органи или от една или повече такива публичноправни организации, или частен субект, на който поне един от тези органи, организации или асоциации са възложили да предоставя обществени услуги, когато действа при условията на това възлагане;

8)	„публичноправна организация означава организация, както е определено в член 2, параграф 1, точка 4 от Директива 2014/24/ЕС на Европейския парламент и на Съвета (15);

9)	„титуляр на електронен подпис“ означава физическо лице, което създава електронен подпис;

10)	„електронен подпис“ означава данни в електронна форма, които се добавят към други данни в електронна форма или са логически свързани с тях, и които титулярят на електронния подпис използва, за да се подписва;

11)	„усъвършенстван електронен подпис“ означава електронен подпис, който отговаря на изискванията, посочени в член 26;

12)	„квалифициран електронен подпис“ означава усъвършенстван електронен подпис, който е създаден от устройство за създаване на квалифициран електронен подпис и се основава на квалифицирано удостоверение за електронни подписи;

13)	„данни за създаване на електронен подпис“ означава уникални данни, които се използват от титуляря на електронния подпис за създаването на електронен подпис;

14)	„удостоверение за електронен подпис“ означава електронен атестат, който свързва данните за валидиране на електронен подпис с физическо лице и потвърждава най-малко името или псевдонима на това лице;

15)	„квалифицирано удостоверение за електронен подпис“ означава удостоверение за електронни подписи, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение I;

16)

„удостоверителна услуга“ означава електронна услуга, обикновено предоставяна срещу възнаграждение, която се състои във:

а)	създаването, проверката и валидирането на електронни подписи, електронни печати или електронни времеви печати, услуги за електронна препоръчана поща, както и удостоверения, свързани с тези услуги; или

б)	създаването, проверката и валидирането на удостоверения за автентичност на уебсайт; или

в)	съхраняването на електронни подписи, печати или удостоверения, свързани с тези услуги;

17)	„квалифицирана удостоверителна услуга“ означава удостоверителна услуга, която отговаря на приложимите изисквания, определени в настоящия регламент;

18)

„орган за оценяване на съответствието“ означава орган съгласно определението в член 2, точка 13 от Регламент (ЕО) № 765/2008, който е акредитиран в съответствие със същия регламент като компетентен да извършва оценяване на съответствието на доставчик на квалифицирани удостоверителни услуги и на предоставяните от този доставчик квалифицирани удостоверителни услуги;

19)	„доставчик на удостоверителни услуги“ означава физическо или юридическо лице, което предоставя една или повече удостоверителни услуги като доставчик на квалифицирани или на неквалифицирани удостоверителни услуги;

20)	„доставчик на квалифицирани удостоверителни услуги“ означава доставчик на удостоверителни услуги, който предоставя една или повече квалифицирани удостоверителни услуги и е получил квалифицирания си статут от надзорен орган;

21)	„продукт“ означава хардуер, софтуер или съответните компоненти на хардуер или софтуер, предвидени да се използват при предоставянето на удостоверителни услуги;

22)	„устройство за създаване на електронен подпис“ означава конфигуриран софтуер или хардуер, който се използва за създаването на електронен подпис;

23)	„устройство за създаване на квалифициран електронен подпис“ означава устройство за създаване на електронен подпис, което отговаря на изискванията, предвидени в приложение II;

24)	„създател на печат“ означава юридическо лице, което създава електронен печат;

25)	„електронен печат“ означава данни в електронна форма, които се добавят към други данни в електронна форма или са логически свързани с тях, за да се гарантират произходът и целостта на последните;

26)	„усъвършенстван електронен печат“ означава електронен печат, който отговаря на изискванията, посочени в член 36;

27)	„квалифициран електронен печат“ означава усъвършенстван електронен печат, който е създаден от устройство за създаване на квалифициран електронен печат и се основава на квалифицирано удостоверение за електронен печат;

28)	„данни за създаване на електронен печат“ означава уникални данни, които се използват от създателя на електронния печат за създаването на електронен печат;

29)	„удостоверение за електронен печат“ означава електронен атестат, който свързва данните за валидиране на електронен печат с юридическо лице и потвърждава името на това лице;

30)	„квалифицирано удостоверение за електронен печат“ означава удостоверение за електронен печат, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение III;

31)	„устройство за създаване на електронен печат“ означава конфигуриран софтуер или хардуер, който се използва за създаването на електронен печат;

32)	„устройство за създаване на квалифициран електронен печат“ означава устройство за създаване на електронен печат, което отговаря mutatis mutandis на изискванията, предвидени в приложение II;

33)	„електронен времеви печат“ означава данни в електронна форма, които свързват други данни в електронна форма с конкретен момент във времето и представляват доказателство, че последните данни са съществували в съответния момент;

34)	„квалифициран електронен времеви печат“ означава електронен времеви печат, който отговаря на изискванията, предвидени в член 42;

35)	„електронен документ“ означава всяко съдържание, съхранявано в електронна форма, по-специално текстови или звуков, визуален или аудио-визуален запис;

36)

„услуга за електронна препоръчана поща“ означава услуга, която позволява предаването на данни между трети страни по електронен път, предоставя доказателство във връзка с обработката на предаваните данни, включително доказателство за изпращането и получаването на данните, и защитава предаваните данни срещу риск от загуба, кражба, повреда или непозволени изменения;

37)	„квалифицирана услуга за електронна препоръчана поща“ означава услуга за електронна препоръчана поща, която отговаря на изискванията, предвидени в член 44;

38)	„удостоверение за автентичност на уебсайт“ означава удостоверение, което позволява да се удостовери автентичността на уебсайт, като го свързва с физическото или юридическото лице, на което е издадено удостоверението;

39)	„квалифицирано удостоверение за автентичност на уебсайт“ означава удостоверение за автентичност на уебсайт, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение IV;

40)	„данни за валидиране“ означава данни, които се използват за валидиране на електронен подпис или електронен печат;

41)	„валидиране“ означава процеса на проверка и потвърждаване на валидността на електронен подпис или печат.

Член 12

Сътрудничество и оперативна съвместимост

1. Националните схеми за електронна идентификация, за които се извършва уведомяване съгласно член 9, параграф 1, са оперативно съвместими.

2. За целите на параграф 1 се установява рамка за оперативна съвместимост.

3. Рамката за оперативна съвместимост отговаря на следните критерии:

а)	има за цел да е технологично неутрална и не допуска дискриминация между специфичните национални технически решения за електронна идентификация в рамките на дадена държава членка;

б)	спазва европейските и международните стандарти, когато това е възможно;

в)	улеснява спазването на принципа за защита на личния живот още при разработването; и

г)	гарантира, че личните данни се обработват в съответствие с Директива 95/46/ЕО.

4. Рамката за оперативна съвместимост се състои от:

а)	задаване на минимални технически изисквания във връзка с нивата на осигуреност съгласно член 8;

б)	категоризиране на националните нива на осигуреност на схемите на електронна идентификация, за които е извършено уведомяване, по нива на осигуреност съгласно член 8;

в)	задаване на минимални технически изисквания за оперативна съвместимост;

г)	задаване на минимален набор от данни за идентификация на лицето, представляващи по уникален начин физическо или юридическо лице, които са достъпни посредством схеми за електронна идентификация;

д)	процедурни правила;

е)	механизми за уреждане на спорове; и

ж)	общи оперативни стандарти за сигурност.

5. Държавите членки си сътрудничат по следните въпроси:

а)	оперативна съвместимост на схеми за електронна идентификация, за които е извършено уведомяване съгласно член 9, параграф 1, и на схеми за електронна идентификация, за които държавите членки имат намерение да направят уведомяване; и

б)	сигурност на схемите за електронна идентификация.

6. Сътрудничеството между държавите членки се състои от:

а)	обмена на информация, опит и добри практики във връзка със схемите за електронна идентификация, и по-специално във връзка с техническите изисквания, свързани с оперативната съвместимост и нивата на осигуреност;

б)	обмена на информация, опит и добри практики във връзка с използването на нивата на осигуреност на схемите за електронна идентификация съгласно член 8;

в)	партньорска проверка на схемите за електронна идентификация, попадащи в обхвата на настоящия регламент; и

г)	анализ на значимите новости в сектора на електронната идентификация.

7. С оглед постигането на висока степен на доверие и сигурност, отговарящи на степента на риск, до 18 март 2015 г. Комисията установява посредством актове за изпълнение процедурните условия, необходими за улесняване на сътрудничеството между държавите членки, посочено в параграфи 5 и 6.

8. С цел да се установят еднакви условия за изпълнение на изискването по параграф 1, до 18 септември 2015 г. Комисията, като спазва критериите по параграф 3 и като отчита резултатите от сътрудничеството между държавите членки, приема актове за изпълнение относно рамка за оперативна съвместимост съгласно установеното в параграф 4.

9. Актовете за изпълнение, посочени в параграфи 7 и 8 от настоящия член, се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

ГЛАВА III

УДОСТОВЕРИТЕЛНИ УСЛУГИ

РАЗДЕЛ 1

Общи разпоредби

Член 19

Изисквания за сигурност, които се прилагат към доставчиците на удостоверителни услуги

1. Доставчиците на квалифицирани и неквалифицирани удостоверителни услуги предприемат подходящи технически и организационни мерки за управление на рисковете за сигурността на предоставяните от тях удостоверителни услуги. При тези мерки се вземат предвид най-новите технически достижения, за да се гарантира, че равнището на сигурност е пропорционално на степента на риска. В частност се предприемат мерки за предотвратяване и свеждане до минимум на въздействието на инциденти, свързани със сигурността, и за информиране на заинтересованите страни относно нежеланите последици от такива инциденти.

2. В случай на пробив в сигурността или нарушаване на целостта, които имат съществено въздействие върху предоставяната удостоверителна услуга или върху съхраняваните лични данни, доставчиците на квалифицирани и неквалифицирани удостоверителни услуги уведомяват за това без излишно забавяне, но при всички случаи в срок от 24 часа от момента, в който са узнали за настъпилото събитие, надзорния орган и, когато е приложимо, други компетентни органи, например компетентния национален орган в областта на информационната сигурност или органа по защита на данните.

Когато има вероятност пробивът в сигурността или нарушаването на целостта да окажат негативно въздействие върху физическо или юридическо лице, на което е предоставена удостоверителната услуга, доставчикът на удостоверителни услуги уведомява без излишно забавяне за пробива в сигурността или нарушаването на целостта и въпросното физическо или юридическо лице.

При необходимост, и особено ако пробивът в сигурността или нарушаването на целостта засягат две или повече държави членки, уведоменият надзорен орган информира надзорните органи в останалите засегнати държави членки и ENISA.

Ако прецени, че разгласяването на пробива в сигурността или нарушаването на целостта е в обществен интерес, уведоменият надзорен орган информира обществеността или изисква от доставчика на удостоверителни услуги да направи това.

3. Веднъж годишно надзорният орган представя на ENISA обобщение на уведомленията за пробиви в сигурността и нарушения на целостта, получени от доставчиците на удостоверителни услуги.

4. Комисията може посредством актове за изпълнение:

а)	да уточни допълнително мерките, посочени в параграф 1; и

б)	да определи форматите и процедурите, включително сроковете, приложими за целите на параграф 2.

Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

РАЗДЕЛ 3

Квалифицирани удостоверителни услуги

Член 21

Начало на предоставянето на квалифицирана удостоверителна услуга

1. Когато доставчици на удостоверителни услуги без квалифициран статут възнамеряват да започнат да предоставят квалифицирани удостоверителни услуги, те изпращат на надзорния орган уведомление за намерението си заедно с доклад за оценяване на съответствието, съставен от органа за оценяване на съответствието.

2. Надзорният орган проверява дали доставчикът на удостоверителни услуги и предоставяните от него удостоверителни услуги отговарят на изискванията, посочени в настоящия регламент, и по-специално на изискванията за доставчиците на квалифицирани удостоверителни услуги и за предоставяните от тях квалифицирани удостоверителни услуги.

Ако надзорният орган прецени, че доставчикът на удостоверителни услуги и предоставяните от него удостоверителни услуги отговарят на изискванията, посочени в първа алинея, надзорният орган предоставя квалифициран статут на доставчика на удостоверителни услуги и на предоставяните от него удостоверителни услуги и информира посочения в член 22, параграф 3 орган, за да може той да актуализира доверителните списъци по член 22, параграф 1 в срок от три месеца след уведомяването съгласно параграф 1 от настоящия член.

Ако проверката не приключи в тримесечен срок от уведомяването, надзорният орган информира доставчика на удостоверителни услуги, като посочва причините за забавянето и срока, в който трябва да приключи проверката.

3. Доставчиците на квалифицирани удостоверителни услуги могат да започнат да предоставят квалифицирани удостоверителни услуги, след като квалифицираният статут бъде отбелязан в доверителните списъци, посочени в член 22, параграф 1.

4. Комисията може да определи посредством актове за изпълнение форматите и процедурите за целите на параграфи 1 и 2. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 22

Доверителни списъци

1. Всяка държава членка създава, поддържа и публикува доверителни списъци, които съдържат информация за доставчиците на квалифицирани удостоверителни услуги, за които носи отговорност, както и за предоставяните от тези доставчици квалифицирани удостоверителни услуги.

2. Държавите членки създават, поддържат и публикуват по сигурен начин предвидените в параграф 1 доверителни списъци, които са подписани и подпечатани по електронен път във форма, подходяща за автоматизирана обработка.

3. Държавите членки уведомяват без излишно забавяне Комисията за органа, натоварен със създаването, поддържането и публикуването на националните доверителни списъци, за мястото, където се публикуват тези списъци, за удостоверенията, които се използват за подписване или подпечатване на доверителни списъци, както и за всички последващи промени в тях.

4. Комисията предоставя на обществеността чрез сигурен канал информацията, посочена в параграф 3, подписана и подпечатана по електронен път и във форма, подходяща за автоматизирана обработка.

5. До 18 септември 2015 г. Комисията посредством актове за изпълнение уточнява информацията, посочена в параграф 1, и определя техническите спецификации и форматите на доверителните списъци за целите на параграфи 1—4. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 23

Марка за доверие на ЕС за квалифицирани удостоверителни услуги

1. След като посоченият в член 21, параграф 2, втора алинея квалифициран статут бъде отбелязан в доверителния списък по член 22, параграф 1, доставчиците на квалифицирани удостоверителни услуги могат да използват марката за доверие на ЕС, за да обозначат по прост, разпознаваем и ясен начин предоставяните от тях квалифицирани удостоверителни услуги.

2. Когато използват марката за доверие на ЕС за квалифицираните удостоверителни услуги, посочени в параграф 1, доставчиците на квалифицирани удостоверителни услуги правят необходимото на уебсайта им да присъства линк към съответния доверителен списък.

3. До 1 юли 2015 г. Комисията определя посредством актове за изпълнение спецификациите относно формата, и по-конкретно представянето, състава, размера и оформлението на марката на доверие на ЕС за обозначаване на квалифицирани удостоверителни услуги. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 24

Изисквания към доставчиците на квалифицирани удостоверителни услуги

1. При издаването на квалифицирано удостоверение за удостоверителна услуга доставчикът на квалифицирани удостоверителни услуги проверява чрез подходящи средства и в съответствие с националното право самоличността и, ако е приложимо, всички специфични данни за физическото или юридическото лице, на което се издава квалифицираното удостоверение.

Информацията, посочена в първа алинея, се проверява от доставчика на квалифицирани удостоверителни услуги пряко или чрез трета страна в съответствие с националното право:

а)	чрез личното присъствие на физическото лице или на упълномощен представител на юридическото лице; или

б)

дистанционно, чрез средство за електронна идентификация, като за целта преди издаването на квалифицираното удостоверение е било осигурено физическото присъствие на физическото лице или на упълномощен представител на юридическото лице и въпросното средство отговоря на изискванията на член 8 по отношение на нивата на осигуреност „значително“ или „високо“; или

в)	чрез удостоверение за квалифициран електронен подпис или за квалифициран електронен печат, издадено в съответствие с буква а) или б); или

г)	чрез използване на други признати на национално равнище методи за идентификация, които дават ниво на осигуреност, равностойно на физическото присъствие по отношение на надежността. Равностойното ниво на осигуреност се потвърждава от орган за оценяване на съответствието.

2. Доставчик на квалифицирани удостоверителни услуги:

а)	информира надзорния орган относно всяка промяна в предоставянето от него на квалифицирани удостоверителни услуги, включително за намерението да преустанови тези дейностти;

б)

наема персонал и, ако е приложимо, подизпълнители, които притежават необходимите експертни знания, надеждност, опит и квалификация и са преминали подходящо обучение относно правилата за сигурност и защита на личните данни, и прилага съответстващи на европейските или международните стандарти административни и управленски процедури;

в)	във връзка с риска от отговорност за нанесени щети в съответствие с член 13 поддържа достатъчни финансови ресурси и/или сключва подходяща застраховка за отговорност в съответствие с националното право;

г)	преди встъпването в договорни отношения информира по ясен и разбираем начин всяко лице, което иска да използва квалифицирана удостоверителна услуга, за точните условия и ред за използване на тази услуга, включително за всякакви ограничения, свързани с използването ѝ;

д)	използва надеждни системи и продукти, които са защитени срещу промяна, и гарантира техническата сигурност и надеждност на поддържаните от тях процеси;

е)

използва надеждни системи за съхранение на предоставените му данни във вид, позволяващ проверка, така че:

i)	те да са публично достъпни за извличане само в случаите, когато е получено съгласието на лицето, за което се отнасят данните;

ii)	само упълномощени лица да могат да въвеждат информация и да внасят промени в съхраняваните данни;

iii)	да може да бъде проверена автентичността на данните;

ж)	взема подходящи мерки срещу подправяне и кражба на данни;

з)

записва и съхранява на разположение за подходящ срок, включително след като доставчикът на квалифицирани удостоверителни услуги е преустановил дейността си, цялата имаща отношение информация във връзка с данните, издадени и получени от доставчик на квалифицирани удостоверителни услуги, и по-специално с оглед предоставяне на доказателство при съдебни производства и осигуряване на приемственост при предоставянето на услугата. Тези записи могат да бъдат направени по електронен път;

и)	в съответствие с разпоредбите, подложени на проверка от надзорния орган съгласно член 17, параграф 4, буква и), разполага с актуализиран план за осигуряване на непрекъснатост на обслужването в случай на прекратяване на дейността;

й)	осигурява законосъобразна обработка на лични данни в съответствие с Директива 95/46/ЕО;

к)	в случай на доставчици на квалифицирани удостоверителни услуги, които издават квалифицирани удостоверения — създава база данни с удостоверения и редовно я актуализира.

3. Ако доставчик на квалифицирани удостоверителни услуги, който издава квалифицирани удостоверения, реши да отмени удостоверение, той регистрира тази отмяна в неговата база данни с удостоверения и публикува отменения статут на удостоверението своевременно, но във всички случаи в срок до24 часа след като бъде получено искането. Отмяната става валидна веднага след като бъде публикувана.

4. Във връзка с параграф 3 доставчиците на квалифицирани удостоверителни услуги, които издават квалифицирани удостоверения, предоставят на всяка доверяваща се страна информация относно валидността или отмяната на издадените от тях квалифицирани удостоверения. Тази информация се предоставя на разположение по всяко време и дори след срока на валидност на удостоверението най-малко въз основа на удостоверение по автоматизиран начин, който е надежден, безплатен и ефикасен.

5. Комисията може да определи посредством актове за изпълнение референтните номера на стандартите за надеждни системи и продукти, които отговарят на изискванията по параграф 2, букви д) и е) от настоящия член. Съответствието с изискванията по настоящия член се презюмира, когато надеждните системи и продукти отговарят на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

РАЗДЕЛ 4

Електронни подписи

Член 32

Изисквания към валидирането на квалифицирани електронни подписи

1. В процеса на валидиране на квалифициран електронен подпис се потвърждава валидността на квалифицирания електронен подпис, при условие че:

а)	удостоверението в подкрепа на подписа към момента на подписването е било квалифицирано удостоверение за електронен подпис, отговарящо на приложение I;

б)	квалифицираното удостоверение е издадено от доставчик на квалифицирани удостоверителни услуги и е било валидно към момента на подписването;

в)	данните за валидиране на подписа съответстват на данните, предоставени от доверяващата се страна;

г)	уникалният набор от данни, представляващи титуляря на електронния подпис в удостоверението, е надлежно предаден на доверяващата се страна;

д)	ако към момента на подписването е бил използван псевдоним, то това е ясно указано на доверяващата се страна;

е)	електронният подпис е създаден от устройство за създаване на квалифициран електронен подпис;

ж)	целостта на подписаните данни не е застрашена;

з)	изискванията по член 26 са били изпълнени към момента на подписването.

2. Използваната за валидиране на квалифицирания електронен подпис система предоставя на доверяващата се страна правилния резултат от процеса на валидиране и ѝ позволява да открие евентуални проблеми, свързани със сигурността.

3. Комисията може да определи посредством актове за изпълнение референтните номера на стандартите за валидиране на квалифицирани електронни подписи. Съответствието с изискванията, предвидени в параграф 1, се презюмира, когато валидирането на квалифицирани електронни подписи отговаря на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 36

Изисквания към квалифицираните електронни печати

Квалифицираният електронен печат отговаря на следните изисквания:

а)	свързан е по уникален начин със създателя на печата;

б)	може да идентифицира създателя на печата;

в)	създаден е чрез данни за създаване на електронен печат, които създателят на електронния печат може да използва с висока степен на доверие и единствено под свой контрол; и

г)	свързан е с данните, за които се отнася, по начин, позволяващ да бъде открита всяка последваща промяна в тях.

whereas

(8) С Директива 2006/123/ЕО на Европейския парламент и на Съвета (5) от държавите членки се изисква да установят „звена за единичен контакт“ (ЗЕК), чрез които да се гарантира, че всички процедури и формалности, свързани с достъпа до и упражняването на дейност по предоставяне на услуги, могат да бъдат лесно изпълнени от разстояние и по електронен път чрез съответното ЗЕК и със съответните компетентни органи. При редица онлайн услуги, достъпът до които се осъществява чрез ЗЕК, се изискват електронна идентификация, електронно удостоверяване на автентичност и електронен подпис.

- = -

(11) Настоящият регламент следва да се прилага в пълно съответствие с принципите, свързани със защитата на личните данни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета (7). В това отношение, предвид принципа на взаимно признаване, установен с настоящия регламент, удостоверяването на автентичност за онлайн услуга следва да засяга обработването само на тези данни за идентификация, които са подходящи, от значение и не надхвърлят необходимото за получаването на достъп до тази онлайн услуга. Освен това доставчиците на удостоверителни услуги и надзорните органи следва да съблюдават изискванията по Директива 95/46/ЕО във връзка с поверителността и сигурността на обработването.

- = -

(21) С настоящия регламент следва да се установи и обща правна рамка за използването на удостоверителни услуги. Той обаче не следва да създава общо задължение за използването им или да създава точка за достъп за всички съществуващи удостоверителни услуги. По-специално той не следва да обхваща предоставянето на услуги, използвани изключително в рамките на затворени системи между определен набор от участници, които не оказват въздействие върху трети страни. Например системи, установени във фирмени или публични администрации за управлението на вътрешни процедури, които използват удостоверителни услуги, не следва да подлежат на изискванията по настоящия регламент. Единствено предоставяни на обществеността удостоверителни услуги, които оказват въздействие върху трети страни, следва да отговарят на изискванията, предвидени в настоящия регламент. Настоящият регламент не следва да обхваща и аспектите, свързани със сключването и действителността на договори или други правни задължения, когато в националното право или в правото на Съюза са предвидени изисквания по отношение на формата. Освен това той следва да не засяга националните изисквания за формата, които се отнасят до публичните регистри, и по-конкретно търговските и поземлените регистри.

- = -

(29) В съответствие със задълженията по Конвенцията на Организацията на обединените нации за правата на хората с увреждания, одобрена с Решение 2010/48/ЕО на Съвета (8), и по-специално член 9 от Конвенцията, хората с увреждания следва да могат да използват удостоверителни услуги и продукти за крайния потребител, използвани при предоставянето на тези услуги, на равни начала с останалите потребители. Следователно когато това е практически осъществимо, предоставяните удостоверителни услуги и използваните при предоставянето на тези услуги продукти за крайния потребител следва да бъдат достъпни за хората с увреждания. Оценката за практическата осъществимост следва да включва, наред с другото, съображения от техническо и икономическо естество.

- = -

(31) Надзорните органи следва да си сътрудничат с органите по защита на данните, например като ги уведомяват за резултатите от одитите на доставчици на квалифицирани удостоверителни услуги, при които има основания да се смята, че са нарушени правилата за защита на личните данни. Предоставянето на информация следва по-конкретно да обхваща инциденти, свързани със сигурността, и пробиви в защитата на личните данни.

- = -

(44) Целта на настоящия регламент е да се осигури съгласувана рамка, така че да се предложи високо ниво на защита и правна сигурност на удостоверителните услуги. В това отношение, когато разглежда оценяването на съответствието на продукти и услуги, Комисията следва по целесъобразност да се стреми към единодействие със съществуващите европейски и международни схеми в областта, като например Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета (9), с който се определят изискванията за акредитация на органите за оценяване на съответствието и надзор на пазара на продуктите.

- = -

(51) Следва да се предостави възможност титулярят на електронния подпис да възлага обслужването на устройства за създаване на квалифицирани електронни подписи на трета страна, при условие че са въведени подходящи механизми и процедури, гарантиращи, че титулярят разполага с едноличен контрол върху използването на данните, свързани със създаването на електронния му подпис, и че при използването на устройството са изпълнени изискванията по отношение на квалифицирания електронен подпис.

- = -

(55) Сертифицирането на сигурността на информационните технологии на базата на международни стандарти като ISO 15408 и други подобни методи за оценка и механизми за взаимно признаване е важен инструмент за проверка на сигурността на устройствата за създаване на квалифициран електронен подпис и следва да се насърчава. Иновативните решения и услуги, като подписването чрез мобилни устройства и подписването в облак, обаче са основани на такива технически и организационни решения за устройствата за създаване на квалифициран електронен подпис, за които все още може да не са налице стандарти за сигурност или за които първото сертифициране на сигурността на информационните технологии е в процес на извършване. Равнището на сигурност на такива устройства за създаване на квалифициран електронен подпис може да бъде оценено чрез използване на алтернативни процеси само когато не са налице такива стандарти за сигурност или когато първото сертифициране на сигурността на информационните технологии е в процес на извършване. Тези процеси следва да са съпоставими със стандартите за сертифициране на сигурността на информационните технологии, доколкото техните равнища на сигурност са равностойни. Тези процеси могат да бъдат улеснени чрез партньорски проверки.

- = -

(57) С цел да се осигури правна сигурност относно валидността на подписа от съществено значение е да се уточнят подробно компонентите на квалифицирания електронен подпис, които следва да се подложат на оценяване от доверяващата се страна, извършваща валидирането. Освен това, чрез уточняването на изискванията към доставчиците на квалифицирани удостоверителни услуги, които могат да предоставят квалифицирана услуга по валидиране на доверяващи се страни, които не желаят или не са в състояние да извършват сами валидиране на квалифицирани електронни подписи, следва да се стимулират инвестициите в подобни услуги от страна на частния и публичния сектор. Двата елемента следва да направят валидирането на електронни подписи лесно и удобно за всички страни на равнището на Съюза.

- = -

(62) С цел да се гарантира сигурността на квалифицираните електронни времеви печати, настоящият регламент следва да изисква използването на усъвършенстван електронен печат или усъвършенстван електронен подпис, или на други равностойни методи. Може да се предвиди, че е възможно иновациите да доведат до нови технологии, които могат да осигурят равностойно ниво на сигурност за времевите печати. Винаги когато се използва метод, различен от усъвършенстван електронен печат или усъвършенстван електронен подпис, доставчикът на квалифицирани удостоверителни услуги следва да докаже в доклада за оценяване на съответствието, че този метод осигурява равностойно ниво на сигурност и е съобразен със задълженията, определени в настоящия регламент.

- = -

keyboard_tab EIDAS 2014/0910 BG

EIDAS 2014/0910 BG