keyboard_tab EIDAS 2014/0910 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Článek 19 Bezpečnostní požadavky vztahující se na poskytovatele služeb vytvářejících důvěru
- 1 Článek 20 Dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru
- 1 Článek 21 Zahájení poskytování kvalifikované služby vytvářející důvěru
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
ELEKTRONICKÁ IDENTIFIKACE
KAPITOLA III
SLUŽBY VYTVÁŘEJÍCÍ DŮVĚRU
ODDÍL 1
Obecná ustanovení
ODDÍL 2
Dohled
ODDÍL 3
Kvalifikované služby vytvářející důvěru
ODDÍL 4
Elektronický podpis
ODDÍL 5
Elektronické pečetě
ODDÍL 6
Elektronická časová razítka
ODDÍL 7
Služba elektronického doporučeného doručování
ODDÍL 8
Autentizace internetových stránek
KAPITOLA IV
ELEKTRONICKÉ DOKUMENTY
KAPITOLA V
PŘENESENÍ PRAVOMOCI A PROVÁDĚCÍ USTANOVENÍ
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- důvěru 44
- vytvářejících 29
- služeb 29
- nebo 27
- dohledu 22
- orgán 18
- vytvářející 14
- narušení 14
- bezpečnosti 14
- služby 13
- integrity 12
- podle 12
- kvalifikované 12
- shody 10
- poskytovatele 10
- odst 9
- poskytovatelé 9
- opatření 8
- poskytovatel 8
- ztrátě 8
- požadavky 7
- zejména 6
- vyrozumí 6
- posuzování 6
- poskytované 6
- kvalifikovaní 6
- kvalifikovaného 6
- může 6
- oznámení 5
- odstavce 5
- jimi 5
- informací 4
- ztráta 4
- údajů 4
- každém 4
- jím 4
- posouzení 4
- nařízení 4
- stanovené 4
- splňují 4
- dopad 4
- postupem 4
- zbytečného 4
- odkladu 4
- fyzickou 4
- prováděcích 4
- právnickou 4
- osobu 4
- přezkumným 4
- členských 4
Článek 19
Bezpečnostní požadavky vztahující se na poskytovatele služeb vytvářejících důvěru
1. Kvalifikovaní a nekvalifikovaní poskytovatelé služeb vytvářejících důvěru přijmou vhodná technická a organizační opatření k řízení rizik ohrožujících bezpečnost jimi poskytovaných služeb vytvářejících důvěru. S ohledem na nejnovější technologický vývoj musí tato opatření zajišťovat úroveň bezpečnosti, která je přiměřená míře rizika. Zejména musí být přijata opatření k zabránění bezpečnostním incidentům, k minimalizaci jejich dopadů a k informování zúčastněných stran o nepříznivých dopadech těchto incidentů.
2. Kvalifikovaní a nekvalifikovaní poskytovatelé služeb vytvářejících důvěru vyrozumí orgán dohledu a případné další příslušné subjekty, jako jsou příslušný vnitrostátní orgán pro bezpečnost informací nebo orgán pro ochranu údajů, o každém narušení bezpečnosti nebo ztrátě integrity, jež mají významný dopad na poskytovanou službu vytvářející důvěru nebo na uchovávané osobní údaje, a to bez zbytečného odkladu a v každém případě do 24 hodin od okamžiku, kdy toto narušení zjistili.
Může-li mít narušení bezpečnosti nebo ztráta integrity nepříznivý dopad na fyzickou nebo právnickou osobu, jíž byla služba vytvářející důvěru poskytnuta, vyrozumí poskytovatel služeb vytvářejících důvěru o daném narušení bezpečnosti nebo dané ztrátě integrity bez zbytečného odkladu také tuto fyzickou nebo právnickou osobu.
Je-li to vhodné, zejména týká-li se narušení bezpečnosti nebo ztráta integrity dvou nebo více členských států, uvědomí vyrozuměný orgán dohledu orgány dohledu v ostatních dotčených členských státech a ENISA.
Vyrozuměný orgán dohledu informuje veřejnost nebo požádá, aby tak učinil poskytovatel služeb vytvářejících důvěru, pokud rozhodne, že zveřejnění informací o narušení bezpečnosti nebo ztrátě integrity je ve veřejném zájmu.
3. Orgán dohledu poskytne ENISA jednou ročně shrnutí oznámení o narušení bezpečnosti a ztrátě integrity, která od poskytovatelů služeb vytvářejících důvěru obdržel.
4. Komise může prostřednictvím prováděcích aktů:
a) | dále upřesnit opatření uvedená v odstavci 1 a |
b) | stanovit formáty a postupy, včetně lhůt, použitelné pro účely odstavce 2. |
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
ODDÍL 3
Kvalifikované služby vytvářející důvěru
Článek 19
Bezpečnostní požadavky vztahující se na poskytovatele služeb vytvářejících důvěru
1. Kvalifikovaní a nekvalifikovaní poskytovatelé služeb vytvářejících důvěru přijmou vhodná technická a organizační opatření k řízení rizik ohrožujících bezpečnost jimi poskytovaných služeb vytvářejících důvěru. S ohledem na nejnovější technologický vývoj musí tato opatření zajišťovat úroveň bezpečnosti, která je přiměřená míře rizika. Zejména musí být přijata opatření k zabránění bezpečnostním incidentům, k minimalizaci jejich dopadů a k informování zúčastněných stran o nepříznivých dopadech těchto incidentů.
2. Kvalifikovaní a nekvalifikovaní poskytovatelé služeb vytvářejících důvěru vyrozumí orgán dohledu a případné další příslušné subjekty, jako jsou příslušný vnitrostátní orgán pro bezpečnost informací nebo orgán pro ochranu údajů, o každém narušení bezpečnosti nebo ztrátě integrity, jež mají významný dopad na poskytovanou službu vytvářející důvěru nebo na uchovávané osobní údaje, a to bez zbytečného odkladu a v každém případě do 24 hodin od okamžiku, kdy toto narušení zjistili.
Může-li mít narušení bezpečnosti nebo ztráta integrity nepříznivý dopad na fyzickou nebo právnickou osobu, jíž byla služba vytvářející důvěru poskytnuta, vyrozumí poskytovatel služeb vytvářejících důvěru o daném narušení bezpečnosti nebo dané ztrátě integrity bez zbytečného odkladu také tuto fyzickou nebo právnickou osobu.
Je-li to vhodné, zejména týká-li se narušení bezpečnosti nebo ztráta integrity dvou nebo více členských států, uvědomí vyrozuměný orgán dohledu orgány dohledu v ostatních dotčených členských státech a ENISA.
Vyrozuměný orgán dohledu informuje veřejnost nebo požádá, aby tak učinil poskytovatel služeb vytvářejících důvěru, pokud rozhodne, že zveřejnění informací o narušení bezpečnosti nebo ztrátě integrity je ve veřejném zájmu.
3. Orgán dohledu poskytne ENISA jednou ročně shrnutí oznámení o narušení bezpečnosti a ztrátě integrity, která od poskytovatelů služeb vytvářejících důvěru obdržel.
4. Komise může prostřednictvím prováděcích aktů:
a) | dále upřesnit opatření uvedená v odstavci 1 a |
b) | stanovit formáty a postupy, včetně lhůt, použitelné pro účely odstavce 2. |
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
ODDÍL 3
Kvalifikované služby vytvářející důvěru
Článek 20
Dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru
1. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru se na vlastní náklady alespoň jednou za 24 měsíců podrobí auditu ze strany subjektu posuzování shody. Účelem auditu je potvrzení toho, že kvalifikovaní poskytovatelé služeb vytvářejících důvěru i jimi poskytované kvalifikované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru předloží výslednou zprávu o posouzení shody do tří pracovních dnů od jejího obdržení orgánu dohledu.
2. Aniž je dotčen odstavec 1, může orgán dohledu u kvalifikovaných poskytovatelů služeb vytvářejících důvěru na jejich náklady kdykoli provést audit nebo požádat subjekt posuzování shody o provedení posouzení shody za účelem potvrzení, že oni sami i jimi poskytované kvalifikované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení. Jestliže podle všeho došlo k porušení pravidel týkajících se ochrany osobních údajů, sdělí orgán dohledu výsledky svých auditů orgánům pro ochranu údajů.
3. Pokud orgán dohledu požaduje, aby kvalifikovaný poskytovatel služeb vytvářejících důvěru napravil neplnění požadavků podle tohoto nařízení, a tento poskytovatel ve lhůtě případně stanovené orgánem dohledu neučiní příslušné kroky, může orgán dohledu zejména s přihlédnutím k rozsahu, délce trvání a důsledkům daného neplnění odejmout danému poskytovateli a jím poskytované dotčené službě status kvalifikovaného poskytovatele nebo kvalifikované služby a informovat o této skutečnosti subjekt uvedený v čl. 22 odst. 3 za účelem aktualizace důvěryhodných seznamů podle čl. 22 odst. 1. Orgán dohledu vyrozumí daného kvalifikovaného poskytovatele služeb vytvářejících důvěru o odnětí statusu kvalifikovaného poskytovatele nebo kvalifikované služby.
4. Komise může prostřednictvím prováděcích aktů určit referenční čísla norem pro:
a) | akreditaci subjektů posuzování shody a pro zprávy o posouzení shody podle odstavce 1; |
b) | pravidla auditu, podle nichž budou subjekty posuzování shody provádět posuzování shody kvalifikovaných poskytovatelů služeb vytvářejících důvěru podle odstavce 1. |
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
Článek 21
Zahájení poskytování kvalifikované služby vytvářející důvěru
1. Pokud mají poskytovatelé služeb vytvářejících důvěru bez statusu kvalifikovaného poskytovatele v úmyslu začít poskytovat kvalifikované služby vytvářející důvěru, předloží orgánu dohledu oznámení o svém úmyslu společně se zprávou o posouzení shody vydanou subjektem posuzování shody.
2. Orgán dohledu ověří, zda poskytovatel služeb vytvářejících důvěru a jím poskytované služby vytvářející důvěru splňují požadavky stanovené v tomto nařízení, zejména požadavky na kvalifikované poskytovatele služeb vytvářejících důvěru a na jimi poskytované kvalifikované služby vytvářející důvěru.
Dojde-li orgán dohledu k závěru, že poskytovatel služeb vytvářejících důvěru a jím poskytované služby vytvářející důvěru splňují požadavky uvedené v prvním pododstavci, udělí orgán dohledu tomuto poskytovateli služeb vytvářejících důvěru a jím poskytovaným službám vytvářejícím důvěru status kvalifikovaného poskytovatele nebo kvalifikované služby a uvědomí o tom subjekt uvedený v čl. 22 odst. 3 za účelem aktualizace důvěryhodných seznamů podle čl. 22 odst. 1, a to do tří měsíců od obdržení oznámení podle odstavce 1 tohoto článku.
Není-li ověření dokončeno do tří měsíců od oznámení, vyrozumí orgán dohledu poskytovatele služeb vytvářejících důvěru a uvede důvody prodlení a dobu, v níž bude ověřování dokončeno.
3. Kvalifikovaní poskytovatelé služeb vytvářejících důvěru mohou začít danou kvalifikovanou službu vytvářející důvěru poskytovat poté, co byl status kvalifikovaného poskytovatele nebo kvalifikované služby vyznačen v důvěryhodných seznamech uvedených v čl. 22 odst. 1.
4. Komise může prostřednictvím prováděcích aktů stanovit formáty a postupy pro účely odstavců 1 a 2. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 48 odst. 2.
whereas