keyboard_tab EIDAS 2014/0910 BG
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Член 3 Определения
- 2 Член 6 Взаимно признаване
- 1 Член 7 Допускане за уведомяване относно схеми за електронна идентификация
- 1 Член 8 Нива на осигуреност на схеми за електронна идентификация
- 1 Член 12 Сътрудничество и оперативна съвместимост
- 1 Член 17 Надзорен орган
- 1 Член 19 Изисквания за сигурност, които се прилагат към доставчиците на удостоверителни услуги
- 1 Член 21 Начало на предоставянето на квалифицирана удостоверителна услуга
- 1 Член 22 Доверителни списъци
- 1 Член 31 Публикуване на списък на сертифицираните устройства за създаване на квалифициран електронен подпис
- 1 Член 44 Изисквания към квалифицираните услуги за електронна препоръчана поща
ГЛАВА I
ОБЩИ РАЗПОРЕДБИ
ГЛАВА II
ЕЛЕКТРОННА ИДЕНТИФИКАЦИЯ
ГЛАВА III
УДОСТОВЕРИТЕЛНИ УСЛУГИ
РАЗДЕЛ 1
Общи разпоредби
РАЗДЕЛ 2
Надзор
РАЗДЕЛ 3
Квалифицирани удостоверителни услуги
РАЗДЕЛ 4
Електронни подписи
РАЗДЕЛ 5
Електронни печати
РАЗДЕЛ 6
Електронни времеви печати
РАЗДЕЛ 7
Услуги за електронна препоръчана поща
РАЗДЕЛ 8
Удостоверяване автентичността на уебсайтове
ГЛАВА IV
ЕЛЕКТРОННИ ДОКУМЕНТИ
ГЛАВА V
РАЗПОРЕДБИ ОТНОСНО ДЕЛЕГИРАНЕ НА ПРАВОМОЩИЯ И АКТОВЕ ЗА ИЗПЪЛНЕНИЕ
ГЛАВА VI
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
- на 348
- за 223
- или 75
- от 75
- се 74
- електронна 70
- идентификация 61
- да 56
- услуги 56
- електронен 51
- удостоверителни 51
- параграф 49
- член 47
- означава 41
- по 37
- орган 31
- които 27
- квалифицирани 27
- лице 25
- данни 25
- осигуреност 23
- изпълнение 22
- съответствие 21
- държава 21
- членка 21
- изискванията 19
- подпис 17
- който 17
- актове 17
- услуга 16
- печат 16
- членки 16
- което 15
- данните 14
- технически 14
- Комисията 14
- създаване 14
- съгласно 13
- автентичност 13
- предоставя 13
- квалифициран 13
- доставчици 12
- тези 12
- са 12
- че 12
- юридическо 12
- физическо 12
- при 12
- целите 12
- форма 12
Член 3
Определения
За целите на настоящия регламент се прилагат следните определения:
| 1) | „електронна идентификация“ означава процес на използване на данни в електронна форма за идентификация на лица, които данни представляват по уникален начин дадено физическо или юридическо лице, или физическо лице, представляващо юридическо лице; |
| 2) | „средство за електронна идентификация“ означава материална и/или нематериална единица, която съдържа данни за идентификация на лица, която се използва за удостоверяване на автентичност за онлайн услуга; |
| 3) | „данни за идентификация на лица“ означава набор от данни, които позволяват да се установи самоличността на физическо или юридическо лице, или на физическо лице, представляващо юридическо лице; |
| 4) | „схема за електронна идентификация“ означава система за електронна идентификация, при която средства за електронна идентификация се издават на физически или юридически лица, или физически лица, представляващи юридически лица; |
| 5) | „удостоверяване на автентичност“ означава електронен процес, който позволява електронната идентификация на физическо или юридическо лице или потвърждаването на произхода и целостта на данни в електронна форма; |
| 6) | „доверяваща се страна“ означава физическо или юридическо лице, което разчита на електронна идентификация или удостоверителна услуга; |
| 7) | „орган от публичния сектор“ означава държавен, регионален или местен орган, публичноправна организация или сдружение, съставено от един или повече такива органи или от една или повече такива публичноправни организации, или частен субект, на който поне един от тези органи, организации или асоциации са възложили да предоставя обществени услуги, когато действа при условията на това възлагане; |
| 8) | „публичноправна организация означава организация, както е определено в член 2, параграф 1, точка 4 от Директива 2014/24/ЕС на Европейския парламент и на Съвета (15); |
| 9) | „титуляр на електронен подпис“ означава физическо лице, което създава електронен подпис; |
| 10) | „електронен подпис“ означава данни в електронна форма, които се добавят към други данни в електронна форма или са логически свързани с тях, и които титулярят на електронния подпис използва, за да се подписва; |
| 11) | „усъвършенстван електронен подпис“ означава електронен подпис, който отговаря на изискванията, посочени в член 26; |
| 12) | „квалифициран електронен подпис“ означава усъвършенстван електронен подпис, който е създаден от устройство за създаване на квалифициран електронен подпис и се основава на квалифицирано удостоверение за електронни подписи; |
| 13) | „данни за създаване на електронен подпис“ означава уникални данни, които се използват от титуляря на електронния подпис за създаването на електронен подпис; |
| 14) | „удостоверение за електронен подпис“ означава електронен атестат, който свързва данните за валидиране на електронен подпис с физическо лице и потвърждава най-малко името или псевдонима на това лице; |
| 15) | „квалифицирано удостоверение за електронен подпис“ означава удостоверение за електронни подписи, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение I; |
| 16) | „удостоверителна услуга“ означава електронна услуга, обикновено предоставяна срещу възнаграждение, която се състои във:
|
| 17) | „квалифицирана удостоверителна услуга“ означава удостоверителна услуга, която отговаря на приложимите изисквания, определени в настоящия регламент; |
| 18) | „орган за оценяване на съответствието“ означава орган съгласно определението в член 2, точка 13 от Регламент (ЕО) № 765/2008, който е акредитиран в съответствие със същия регламент като компетентен да извършва оценяване на съответствието на доставчик на квалифицирани удостоверителни услуги и на предоставяните от този доставчик квалифицирани удостоверителни услуги; |
| 19) | „доставчик на удостоверителни услуги“ означава физическо или юридическо лице, което предоставя една или повече удостоверителни услуги като доставчик на квалифицирани или на неквалифицирани удостоверителни услуги; |
| 20) | „доставчик на квалифицирани удостоверителни услуги“ означава доставчик на удостоверителни услуги, който предоставя една или повече квалифицирани удостоверителни услуги и е получил квалифицирания си статут от надзорен орган; |
| 21) | „продукт“ означава хардуер, софтуер или съответните компоненти на хардуер или софтуер, предвидени да се използват при предоставянето на удостоверителни услуги; |
| 22) | „устройство за създаване на електронен подпис“ означава конфигуриран софтуер или хардуер, който се използва за създаването на електронен подпис; |
| 23) | „устройство за създаване на квалифициран електронен подпис“ означава устройство за създаване на електронен подпис, което отговаря на изискванията, предвидени в приложение II; |
| 24) | „създател на печат“ означава юридическо лице, което създава електронен печат; |
| 25) | „електронен печат“ означава данни в електронна форма, които се добавят към други данни в електронна форма или са логически свързани с тях, за да се гарантират произходът и целостта на последните; |
| 26) | „усъвършенстван електронен печат“ означава електронен печат, който отговаря на изискванията, посочени в член 36; |
| 27) | „квалифициран електронен печат“ означава усъвършенстван електронен печат, който е създаден от устройство за създаване на квалифициран електронен печат и се основава на квалифицирано удостоверение за електронен печат; |
| 28) | „данни за създаване на електронен печат“ означава уникални данни, които се използват от създателя на електронния печат за създаването на електронен печат; |
| 29) | „удостоверение за електронен печат“ означава електронен атестат, който свързва данните за валидиране на електронен печат с юридическо лице и потвърждава името на това лице; |
| 30) | „квалифицирано удостоверение за електронен печат“ означава удостоверение за електронен печат, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение III; |
| 31) | „устройство за създаване на електронен печат“ означава конфигуриран софтуер или хардуер, който се използва за създаването на електронен печат; |
| 32) | „устройство за създаване на квалифициран електронен печат“ означава устройство за създаване на електронен печат, което отговаря mutatis mutandis на изискванията, предвидени в приложение II; |
| 33) | „електронен времеви печат“ означава данни в електронна форма, които свързват други данни в електронна форма с конкретен момент във времето и представляват доказателство, че последните данни са съществували в съответния момент; |
| 34) | „квалифициран електронен времеви печат“ означава електронен времеви печат, който отговаря на изискванията, предвидени в член 42; |
| 35) | „електронен документ“ означава всяко съдържание, съхранявано в електронна форма, по-специално текстови или звуков, визуален или аудио-визуален запис; |
| 36) | „услуга за електронна препоръчана поща“ означава услуга, която позволява предаването на данни между трети страни по електронен път, предоставя доказателство във връзка с обработката на предаваните данни, включително доказателство за изпращането и получаването на данните, и защитава предаваните данни срещу риск от загуба, кражба, повреда или непозволени изменения; |
| 37) | „квалифицирана услуга за електронна препоръчана поща“ означава услуга за електронна препоръчана поща, която отговаря на изискванията, предвидени в член 44; |
| 38) | „удостоверение за автентичност на уебсайт“ означава удостоверение, което позволява да се удостовери автентичността на уебсайт, като го свързва с физическото или юридическото лице, на което е издадено удостоверението; |
| 39) | „квалифицирано удостоверение за автентичност на уебсайт“ означава удостоверение за автентичност на уебсайт, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение IV; |
| 40) | „данни за валидиране“ означава данни, които се използват за валидиране на електронен подпис или електронен печат; |
| 41) | „валидиране“ означава процеса на проверка и потвърждаване на валидността на електронен подпис или печат. |
Член 6
Взаимно признаване
1. Когато националното право или административната практика изискват електронна идентификация чрез средства за електронна идентификация и удостоверяване на автентичност за достъпа до дадена услуга, предоставяна онлайн от орган от публичния сектор в една държава членка, средствата за електронна идентификация, издадени в друга държава членка, се признават в първата държава членка за целите на трансграничното удостоверяване на автентичност за тази онлайн услуга, при условие че са изпълнени следните условия:
| а) | средствата за електронна идентификация се издават в рамките на схема за електронна идентификация, включена в списъка, публикуван от Комисията съгласно член 9; |
| б) | нивото на осигуреност на средствата за електронна идентификация съответства на ниво на осигуреност, равно или по-високо от нивото на осигуреност, изисквано от съответния орган от публичния сектор, за онлайн достъпа до тази услуга в първата държава членка, при условие че нивото на осигуреност на тези средства за електронна идентификация съответства на ниво на осигуреност „значително“ или „високо“; |
| в) | съответният орган от публичния сектор използва ниво на осигуреност „значително“ или „високо“ по отношение на онлайн достъпа до тази услуга. |
Това признаване се извършва не по-късно от 12 месеца след като Комисията публикува списъка, посочен в първа алинея, буква а).
2. Средствата за електронна идентификация, издадени в рамките на схема за електронна идентификация, включена в списъка, публикуван от Комисията съгласно член 9, които съответстват на ниво на осигуреност „ниско“, могат да бъдат признати от органи от публичния сектор за целите на трансгранично удостоверяване на автентичност за услугите, предоставяни онлайн от тези органи.
Член 7
Допускане за уведомяване относно схеми за електронна идентификация
Дадена схема за електронна идентификация се допуска за уведомяване съгласно член 9, параграф 1, ако всяко едно от следните условия е изпълнено:
| а) | средствата за електронна идентификация в рамките на схемата за електронна идентификация са издадени:
|
| б) | средствата за електронна идентификация в рамките на схемата за електронна идентификация могат да бъдат използвани за достъп до най-малко една услуга, която е предоставяна от орган от публичния сектор и която изисква електронна идентификация в уведомяващата държава членка; |
| в) | схемата за елетронна идентификация и издаваните по нея средства за електронна идентификация отговарят на изискванията на поне едно от нивата на осигуреност, предвидени в акта за изпълнение, установени в член 8, параграф 3; |
| г) | уведомяващата държава членка гарантира, че данните за идентификация на лицето, представляващи по уникален начин въпросното лице, се приписват на физическото или юридическото лице, посочено в член 3, точка 1, в момента на издаване на средството за електронна идентификация в рамките на тази схема в съответствие с техническите спецификации, стандарти и процедури за съответното ниво на осигуреност, установени в акта за изпълнение, посочен в член 8, параграф 3; |
| д) | страната, издаваща електронното средство за идентификация в рамките на тази схема, гарантира, че средството за електронна идентификация се приписва на лицето, посочено в буква г) от настоящия член, в съответствие с техническите спецификации, стандарти и процедури за съответното ниво на осигуреност, установени в акта за изпълнение, посочен в член 8, параграф 3; |
| е) | уведомяващата държава членка осигурява възможност за удостоверяване на автентичност онлайн, така че всяка доверяваща се страна, установена на територията на друга държава членка, да може да потвърди данните за идентификация на лицето, получени в електронна форма. За доверяващи се страни, различни от органи от публичния сектор, уведомяващата държава членка може да определи условия за достъп до това удостоверяване на автентичност. Трансграничното удостоверяване на автентичност се предоставя безплатно, когато се извършва във връзка с онлайн услуга, предоставяна от орган от публичния сектор. Държавите членки не налагат никакви специфични несъразмерни технически изисквания за доверяващи се страни, които възнамеряват да извършват такова удостоверяване на автентичност, когато тези изисквания пречат на оперативната съвместимост на схемите за електронна идентификация, за които е извършено уведомяване, или сериозно я възпрепятстват; |
| ж) | най-малко шест месеца преди уведомяването по член 9, параграф 1 уведомяващата държава членка предоставя на останалите държави членки за целите на задължението по член 12, параграф 5 описание на въпросната схема в съответствие с процедурните условия, установени в посочените в член 12, параграф 7 актове за изпълнение; |
| з) | схемата за електронна идентификация отговаря на изискванията, установени в акта за изпълнение, посочен в член 12, параграф 8. |
Член 8
Нива на осигуреност на схеми за електронна идентификация
1. Схемата за електронна идентификация, за която е извършено уведомяване съгласно член 9, параграф 1, включва определяне на нива на осигуреност „ниско“, „значително“ и/или „високо“, приписвани на средства за електронна идентификация, издавани в рамките на тази схема.
2. Нивата на осигуреност „ниско“, „значително“ и „високо“ отговарят съответно на следните критерии:
| а) | ниво на осигуреност „ниско“ се отнася за средство за електронна идентификация в контекста на схема за електронна идентификация, което предоставя ограничена степен на надеждност на претендираната или заявената самоличност на дадено лице, и се характеризира с препратка към съответни технически спецификации, стандарти и процедури, включително технически проверки, чиято цел е да се понижи значително рискът от злоупотреба или промяна на самоличността; |
| б) | ниво на осигуреност „значително“ се отнася за средство за електронна идентификация в контекста на схема за електронна идентификация, което предоставя значителна степен на надеждност на претендираната или заявената самоличност на дадено лице и се характеризира с препратка към съответни технически спецификации, стандарти и процедури, включително технически проверки, чиято цел е да се понижи значително рискът от злоупотреба или промяна на самоличността; |
| в) | ниво на осигуреност „високо“ се отнася за средство за електронна идентификация в контекста на схема за електронна идентификация, което предоставя по-висока степен на надеждност на претендираната или заявената самоличност на дадено лице, отколкото средствата за електронна идентификация с ниво на осигуреност „значително“, и се характеризира с препратка към съответни технически спецификации, стандарти и процедури, включително технически проверки, чиято цел е да се предотврати злоупотреба или промяна на самоличността. |
3. До 18 септември 2015 г., като отчита съответните международни стандарти и при спазване на параграф 2, Комисията установява посредством актове за изпълнение минимални технически спецификации, стандарти и процедури, по отношение на които за целите на параграф 1 се определят нива на осигуреност „ниско“, „значително“ и „високо“ за средства за електронна идентификация.
Тези минимални технически спецификации, стандарти и процедури се установяват въз основа на надеждността и качеството на следните елементи:
| а) | процедурата за доказване и проверка на самоличността на физически или юридически лица, подаващи искане за издаване на средство за електронна идентификация; |
| б) | процедурата по издаване на поисканото средство за електронна идентификация; |
| в) | механизма за удостоверяване на автентичност, чрез който физическото или юридическото лице използва средството за електронна идентификация, за да потвърди своята самоличност на доверяваща се страна; |
| г) | субекта, издаващ средството за електронна идентификация; |
| д) | всеки друг орган, имащ отношение към заявлението за издаване на средството за електронна идентификация; и |
| е) | техническите спецификации и спецификациите за сигурността на издаваните средства за електронна идентификация. |
Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.
Член 12
Сътрудничество и оперативна съвместимост
1. Националните схеми за електронна идентификация, за които се извършва уведомяване съгласно член 9, параграф 1, са оперативно съвместими.
2. За целите на параграф 1 се установява рамка за оперативна съвместимост.
3. Рамката за оперативна съвместимост отговаря на следните критерии:
| а) | има за цел да е технологично неутрална и не допуска дискриминация между специфичните национални технически решения за електронна идентификация в рамките на дадена държава членка; |
| б) | спазва европейските и международните стандарти, когато това е възможно; |
| в) | улеснява спазването на принципа за защита на личния живот още при разработването; и |
| г) | гарантира, че личните данни се обработват в съответствие с Директива 95/46/ЕО. |
4. Рамката за оперативна съвместимост се състои от:
| а) | задаване на минимални технически изисквания във връзка с нивата на осигуреност съгласно член 8; |
| б) | категоризиране на националните нива на осигуреност на схемите на електронна идентификация, за които е извършено уведомяване, по нива на осигуреност съгласно член 8; |
| в) | задаване на минимални технически изисквания за оперативна съвместимост; |
| г) | задаване на минимален набор от данни за идентификация на лицето, представляващи по уникален начин физическо или юридическо лице, които са достъпни посредством схеми за електронна идентификация; |
| д) | процедурни правила; |
| е) | механизми за уреждане на спорове; и |
| ж) | общи оперативни стандарти за сигурност. |
5. Държавите членки си сътрудничат по следните въпроси:
| а) | оперативна съвместимост на схеми за електронна идентификация, за които е извършено уведомяване съгласно член 9, параграф 1, и на схеми за електронна идентификация, за които държавите членки имат намерение да направят уведомяване; и |
| б) | сигурност на схемите за електронна идентификация. |
6. Сътрудничеството между държавите членки се състои от:
| а) | обмена на информация, опит и добри практики във връзка със схемите за електронна идентификация, и по-специално във връзка с техническите изисквания, свързани с оперативната съвместимост и нивата на осигуреност; |
| б) | обмена на информация, опит и добри практики във връзка с използването на нивата на осигуреност на схемите за електронна идентификация съгласно член 8; |
| в) | партньорска проверка на схемите за електронна идентификация, попадащи в обхвата на настоящия регламент; и |
| г) | анализ на значимите новости в сектора на електронната идентификация. |
7. С оглед постигането на висока степен на доверие и сигурност, отговарящи на степента на риск, до 18 март 2015 г. Комисията установява посредством актове за изпълнение процедурните условия, необходими за улесняване на сътрудничеството между държавите членки, посочено в параграфи 5 и 6.
8. С цел да се установят еднакви условия за изпълнение на изискването по параграф 1, до 18 септември 2015 г. Комисията, като спазва критериите по параграф 3 и като отчита резултатите от сътрудничеството между държавите членки, приема актове за изпълнение относно рамка за оперативна съвместимост съгласно установеното в параграф 4.
9. Актовете за изпълнение, посочени в параграфи 7 и 8 от настоящия член, се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.
ГЛАВА III
УДОСТОВЕРИТЕЛНИ УСЛУГИ
РАЗДЕЛ 1
Общи разпоредби
Член 17
Надзорен орган
1. Държавите членки определят надзорен орган, установен на тяхна територия, или, при наличие на взаимно споразумение с друга държава членка, надзорен орган, установен във въпросната друга държава членка. Този орган е отговорен за изпълнението на задачите по надзора в определящата държава членка.
На надзорните органи се предоставят необходимите правомощия и достатъчни ресурси за изпълнението на техните задачи.
2. Държавите членки съобщават на Комисията наименованията и адресите на определените от тях надзорни органи.
3. Функцията на на надзорния орган е следната:
| а) | да осъществява надзор върху доставчици на квалифицирани удостоверителни услуги, установени на територията на определящата държава членка, за да се гарантира, посредством предварителни и последващи действия по надзора, че тези доставчици на квалифицирани удостоверителни услуги и предоставяните от тях квалифицирани удостоверителни услуги отговарят на изискванията, предвидени в настоящия регламент; |
| б) | при необходимост да предприема действия по отношение на доставчици на неквалифицирани удостоверителни услуги, установени на територията на определящата държава членка, посредством последващи действия по надзора, когато получи информация, съгласно която се твърди, че тези доставчици на неквалифицирани удостоверителни услуги или предоставяните от тях удостоверителни услуги не отговарят на изискванията, предвидени в настоящия регламент. |
4. За целите на параграф 3 и при спазване на предвидените в него ограничения задачите на надзорния орган включват по-конкретно:
| а) | да си сътрудничи с други надзорни органи и да им оказва съдействие в съответствие с член 18; |
| б) | да анализира докладите за оценяване на съответствието, посочени в член 20, параграф 1 и член 21, параграф 1; |
| в) | да информира други надзорни органи и обществеността за пробиви в сигурността или нарушаване на целостта в съответствие с член 19, параграф 2; |
| г) | да докладва на Комисията за своите основни дейности в съответствие с параграф 6 от настоящия член; |
| д) | да извършва одити или да изисква от орган за оценяване на съответствието да проведе оценяване на съответствието на доставчиците на квалифицирани удостоверителни услуги в съответствие с член 20, параграф 2; |
| е) | да си сътрудничи с органите по защита на данните, по-специално като без неоснователно забавяне ги информира за резултатите от одитите на доставчици на квалифицирани удостоверителни услуги, при които има предполагаеми нарушения на правилата за защита на личните данни; |
| ж) | да предоставя квалифициран статут на доставчици на удостоверителни услуги и на предоставяните от тях услуги и да отнема този статут в съответствие с членове 20 и 21; |
| з) | да информира органа, отговорен за националния доверителен списък, посочен в член 22, параграф 3, за своите решения за представяне или отнемане на квалифициран статут, освен в случаите, когато въпросният орган е и надзорен орган; |
| и) | да проверява наличието и правилното прилагане на разпоредбите относно плана за осигуряване на непрекъснатост на обслужването в случаите, когато доставчиците на квалифицирани удостоверителни услуги прекъснат дейността си, включително относно начините за запазване на достъпа до информацията в съответствие с член 24, параграф 2, буква з); |
| й) | да изисква от доставчиците на удостоверителни услуги да отстранят всяко неизпълнение на изискванията, посочени в настоящия регламент. |
5. Държавите членки могат да изискват от надзорния орган да изгражда, поддържа и актуализира инфраструктура за удостоверяване в съответствие с условията по националното право.
6. Всяка година до 31 март всеки надзорен орган изпраща на Комисията доклад относно основните си дейности през предходната календарна година, наред с обобщена информация относно уведомленията за нарушения, получени от доставчици на удостоверителни услуги, в съответствие с член 19, параграф 2.
7. Комисията предоставя на държавите членки годишния доклад, посочен в параграф 6.
8. Комисията може да определи посредством актове за изпълнение форматите и процедурите по отношение на доклада, посочен в параграф 6. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.
Член 19
Изисквания за сигурност, които се прилагат към доставчиците на удостоверителни услуги
1. Доставчиците на квалифицирани и неквалифицирани удостоверителни услуги предприемат подходящи технически и организационни мерки за управление на рисковете за сигурността на предоставяните от тях удостоверителни услуги. При тези мерки се вземат предвид най-новите технически достижения, за да се гарантира, че равнището на сигурност е пропорционално на степента на риска. В частност се предприемат мерки за предотвратяване и свеждане до минимум на въздействието на инциденти, свързани със сигурността, и за информиране на заинтересованите страни относно нежеланите последици от такива инциденти.
2. В случай на пробив в сигурността или нарушаване на целостта, които имат съществено въздействие върху предоставяната удостоверителна услуга или върху съхраняваните лични данни, доставчиците на квалифицирани и неквалифицирани удостоверителни услуги уведомяват за това без излишно забавяне, но при всички случаи в срок от 24 часа от момента, в който са узнали за настъпилото събитие, надзорния орган и, когато е приложимо, други компетентни органи, например компетентния национален орган в областта на информационната сигурност или органа по защита на данните.
Когато има вероятност пробивът в сигурността или нарушаването на целостта да окажат негативно въздействие върху физическо или юридическо лице, на което е предоставена удостоверителната услуга, доставчикът на удостоверителни услуги уведомява без излишно забавяне за пробива в сигурността или нарушаването на целостта и въпросното физическо или юридическо лице.
При необходимост, и особено ако пробивът в сигурността или нарушаването на целостта засягат две или повече държави членки, уведоменият надзорен орган информира надзорните органи в останалите засегнати държави членки и ENISA.
Ако прецени, че разгласяването на пробива в сигурността или нарушаването на целостта е в обществен интерес, уведоменият надзорен орган информира обществеността или изисква от доставчика на удостоверителни услуги да направи това.
3. Веднъж годишно надзорният орган представя на ENISA обобщение на уведомленията за пробиви в сигурността и нарушения на целостта, получени от доставчиците на удостоверителни услуги.
4. Комисията може посредством актове за изпълнение:
| а) | да уточни допълнително мерките, посочени в параграф 1; и |
| б) | да определи форматите и процедурите, включително сроковете, приложими за целите на параграф 2. |
Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.
РАЗДЕЛ 3
Квалифицирани удостоверителни услуги
Член 21
Начало на предоставянето на квалифицирана удостоверителна услуга
1. Когато доставчици на удостоверителни услуги без квалифициран статут възнамеряват да започнат да предоставят квалифицирани удостоверителни услуги, те изпращат на надзорния орган уведомление за намерението си заедно с доклад за оценяване на съответствието, съставен от органа за оценяване на съответствието.
2. Надзорният орган проверява дали доставчикът на удостоверителни услуги и предоставяните от него удостоверителни услуги отговарят на изискванията, посочени в настоящия регламент, и по-специално на изискванията за доставчиците на квалифицирани удостоверителни услуги и за предоставяните от тях квалифицирани удостоверителни услуги.
Ако надзорният орган прецени, че доставчикът на удостоверителни услуги и предоставяните от него удостоверителни услуги отговарят на изискванията, посочени в първа алинея, надзорният орган предоставя квалифициран статут на доставчика на удостоверителни услуги и на предоставяните от него удостоверителни услуги и информира посочения в член 22, параграф 3 орган, за да може той да актуализира доверителните списъци по член 22, параграф 1 в срок от три месеца след уведомяването съгласно параграф 1 от настоящия член.
Ако проверката не приключи в тримесечен срок от уведомяването, надзорният орган информира доставчика на удостоверителни услуги, като посочва причините за забавянето и срока, в който трябва да приключи проверката.
3. Доставчиците на квалифицирани удостоверителни услуги могат да започнат да предоставят квалифицирани удостоверителни услуги, след като квалифицираният статут бъде отбелязан в доверителните списъци, посочени в член 22, параграф 1.
4. Комисията може да определи посредством актове за изпълнение форматите и процедурите за целите на параграфи 1 и 2. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.
Член 22
Доверителни списъци
1. Всяка държава членка създава, поддържа и публикува доверителни списъци, които съдържат информация за доставчиците на квалифицирани удостоверителни услуги, за които носи отговорност, както и за предоставяните от тези доставчици квалифицирани удостоверителни услуги.
2. Държавите членки създават, поддържат и публикуват по сигурен начин предвидените в параграф 1 доверителни списъци, които са подписани и подпечатани по електронен път във форма, подходяща за автоматизирана обработка.
3. Държавите членки уведомяват без излишно забавяне Комисията за органа, натоварен със създаването, поддържането и публикуването на националните доверителни списъци, за мястото, където се публикуват тези списъци, за удостоверенията, които се използват за подписване или подпечатване на доверителни списъци, както и за всички последващи промени в тях.
4. Комисията предоставя на обществеността чрез сигурен канал информацията, посочена в параграф 3, подписана и подпечатана по електронен път и във форма, подходяща за автоматизирана обработка.
5. До 18 септември 2015 г. Комисията посредством актове за изпълнение уточнява информацията, посочена в параграф 1, и определя техническите спецификации и форматите на доверителните списъци за целите на параграфи 1—4. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.
Член 31
Публикуване на списък на сертифицираните устройства за създаване на квалифициран електронен подпис
1. Държавите членки уведомяват Комисията без излишно забавяне и не по-късно от един месец след приключване на сертифицирането за устройствата за създаване на квалифициран електронен подпис, които са сертифицирани от посочените в член 30, параграф 1 организации. Те също така уведомяват Комисията без излишно забавяне и не по-късно от един месец след отмяна на сертифицирането за устройствата за създаване на квалифициран електронен подпис, които вече не отговарят на условията за сертифициране.
2. Въз основа на получената информация Комисията изготвя, публикува и поддържа списък на сертифицираните устройства за създаване на квалифициран електронен подпис.
3. Комисията може да определи посредством актове за изпълнение форматите и процедурите за целите на параграф 1. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.
Член 44
Изисквания към квалифицираните услуги за електронна препоръчана поща
1. Квалифицираните услуги за електронна препоръчана поща отговарят на следните изисквания:
| а) | предоставят се от един или повече доставчици на квалифицирани удостоверителни услуги; |
| б) | гарантират с високо ниво на доверие идентификацията на изпращача; |
| в) | гарантират идентификацията на получателя преди доставянето на данните; |
| г) | изпращането и получаването на данни е обезпечено чрез усъвършенстван електронен подпис или усъвършенстван електронен печат на доставчик на квалифицирани удостоверителни услуги по начин, който изключва всякаква възможност за незабелязана промяна на данните; |
| д) | всяка промяна на данните, необходима за целите на изпращането или получаването на данните, се обозначава ясно за подателя и за получателя на данните; |
| е) | датата и часът на изпращане и получаване, както и всяка промяна на данните се указват чрез квалифициран електронен времеви печат. |
Ако данните се предават между двама или повече доставчици на квалифицирани удостоверителни услуги, изискванията по букви а) — е) се прилагат към всички доставчици на квалифицирани удостоверителни услуги.
2. Комисията може да установи посредством актове за изпълнение референтните номера на стандартите за процесите на изпращане и получаване на данни. Съответствието с изискванията, посочени в параграф 1, се презюмира, когато процесите на изпращане и получаване на данни съответстват на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.
РАЗДЕЛ 8
Удостоверяване автентичността на уебсайтове
whereas