EIDAS 2014/0910 EL

1) « ηλεκτρονική_ταυτοποίηση»: η διαδικασία χρήσης δεδομένων ταυτοποίησης προσώπου σε ηλεκτρονική μορφή που αντιπροσωπεύουν κατά τρόπο μοναδικό ένα φυσικό ή νομικό πρόσωπο ή ένα φυσικό πρόσωπο που εκπροσωπεί ένα νομικό πρόσωπο·

2) « μέσο_ηλεκτρονικής_ταυτοποίησης»: υλική και/ή άυλη μονάδα η οποία περιέχει δεδομένα_ταυτοποίησης_προσώπου και χρησιμοποιείται για την επαλήθευση_ταυτότητας σε επιγραμμικές υπηρεσίες·

3) « δεδομένα_ταυτοποίησης_προσώπου»: δέσμη δεδομένων που επιτρέπει την εξακρίβωση της ταυτότητας φυσικού ή νομικού προσώπου ή φυσικού προσώπου που εκπροσωπεί νομικό πρόσωπο·

4) « σύστημα_ηλεκτρονικής_ταυτοποίησης»: σύστημα_ηλεκτρονικής_ταυτοποίησης στο πλαίσιο του οποίου εκδίδονται μέσα ηλεκτρονικής ταυτοποίησης σε φυσικά ή νομικά πρόσωπα, ή σε φυσικά πρόσωπα που εκπροσωπούν νομικά πρόσωπα·

5) « επαλήθευση_ταυτότητας»: ηλεκτρονική διαδικασία που επιτρέπει να επιβεβαιωθεί η ηλεκτρονική_ταυτοποίηση φυσικού ή νομικού προσώπου ή της προέλευσης και της ακεραιότητας δεδομένων σε ηλεκτρονική μορφή·

6) « βασιζόμενο_μέρος»: φυσικό ή νομικό πρόσωπο το οποίο βασίζεται σε ηλεκτρονική_ταυτοποίηση ή σε υπηρεσία_εμπιστοσύνης·

7) « φορέας_του_δημόσιου_τομέα»: οι κρατικές, περιφερειακές και τοπικές αρχές, οι οργανισμοί δημοσίου δικαίου ή οι ενώσεις ενός ή περισσότερων τέτοιων αρχών ή ενός ή περισσότερων φορέων δημοσίου δικαίου, ή ιδιωτική οντότητα που έχει εξουσιοδοτηθεί από τουλάχιστον μία από τις εν λόγω αρχές, φορείς ή ενώσεις να παρέχει δημόσιες υπηρεσίες, όταν ενεργεί υπό αυτή την ιδιότητα·

8) « οργανισμός_δημοσίου_δικαίου»: όπως ορίζεται στο άρθρο 2 παράγραφος 1 σημείο 4 της οδηγίας 2014/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (15)·

9) « υπογράφων»: φυσικό πρόσωπο που δημιουργεί ηλεκτρονική_υπογραφή·

10) « ηλεκτρονική_υπογραφή»: δεδομένα σε ηλεκτρονική μορφή τα οποία είναι συνημμένα σε άλλα ηλεκτρονικά δεδομένα ή συσχετίζονται λογικά με άλλα δεδομένα σε ηλεκτρονική μορφή και τα οποία χρησιμοποιούνται από τον υπογράφοντα για να υπογράφει·

11) «προηγμένη ηλεκτρονική_υπογραφή»: ηλεκτρονική_υπογραφή που ανταποκρίνεται στις απαιτήσεις του άρθρου 26·

12) «εγκεκριμένη ηλεκτρονική_υπογραφή»: προηγμένη ηλεκτρονική_υπογραφή που δημιουργείται από εγκεκριμένη διάταξη_δημιουργίας_ηλεκτρονικής_υπογραφής και η οποία βασίζεται σε εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_υπογραφής·

13) « δεδομένα_δημιουργίας_ηλεκτρονικής_υπογραφής»: μοναδικά δεδομένα που χρησιμοποιούνται από τον υπογράφοντα για τη δημιουργία ηλεκτρονικής υπογραφής·

14) « πιστοποιητικό_ηλεκτρονικής_υπογραφής»: ηλεκτρονική βεβαίωση που συνδέει τα δεδομένα_ επικύρωσης ηλεκτρονικής υπογραφής με φυσικό πρόσωπο και επιβεβαιώνει τουλάχιστον το όνομα ή το ψευδώνυμο του εν λόγω προσώπου·

15) «εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_υπογραφής»: πιστοποιητικό ηλεκτρονικών υπογραφών που εκδίδεται από εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης και πληροί τις οριζόμενες στο παράρτημα I απαιτήσεις·

16) « υπηρεσία_εμπιστοσύνης»: ηλεκτρονική υπηρεσία, συνήθως παρεχόμενη έναντι αμοιβής, η οποία συνίσταται:

α)	στη δημιουργία, εξακρίβωση και επικύρωση ηλεκτρονικών υπογραφών, ηλεκτρονικών σφραγίδων ή ηλεκτρονικών χρονοσφραγίδων, ηλεκτρονικών υπηρεσιών συστημένης παράδοσης και πιστοποιητικών που σχετίζονται με τις υπηρεσίες αυτές, ή

β)	στη δημιουργία, εξακρίβωση και επικύρωση πιστοποιητικών για επαλήθευση της ταυτότητας ιστοτόπων, ή

γ)	στη διαφύλαξη ηλεκτρονικών υπογραφών, σφραγίδων ή πιστοποιητικών που σχετίζονται με τις υπηρεσίες αυτές·

17) «εγκεκριμένη υπηρεσία_εμπιστοσύνης»: υπηρεσία_εμπιστοσύνης η οποία πληροί τις εφαρμοστέες απαιτήσεις που ορίζονται στον παρόντα κανονισμό·

18) « οργανισμός_αξιολόγησης_της_συμμόρφωσης»: οργανισμός, όπως ορίζεται στο άρθρο 2 σημείο 13 του κανονισμού (ΕΚ) αριθ. 765/2008, ο οποίος έχει διαπιστευθεί σύμφωνα με τον εν λόγω κανονισμό ως ικανός να αξιολογεί τη συμμόρφωση εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης και των εγκεκριμένων υπηρεσιών εμπιστοσύνης που παρέχουν·

19) « πάροχος_υπηρεσιών_εμπιστοσύνης»: φυσικό ή νομικό πρόσωπο που παρέχει μία ή περισσότερες υπηρεσίες εμπιστοσύνης είτε ως εγκεκριμένος είτε ως μη εγκεκριμένος πάροχος_υπηρεσιών_εμπιστοσύνης·

20) «εγκεκριμένος πάροχος_υπηρεσιών_εμπιστοσύνης»: ο πάροχος_υπηρεσιών_εμπιστοσύνης ο οποίος παρέχει μία ή περισσότερες εγκεκριμένες υπηρεσίες εμπιστοσύνης και έχει αναγνωριστεί ως τέτοιος από τον εποπτικό φορέα·

21) « προϊόν»: το υλικό ή το λογισμικό ή τα συναφή συστατικά στοιχεία υλικού ή λογισμικού τα οποία προορίζονται να χρησιμοποιηθούν για την παροχή υπηρεσιών εμπιστοσύνης·

22) « διάταξη_δημιουργίας_ηλεκτρονικής_υπογραφής»: διατεταγμένο υλικό ή λογισμικό που χρησιμοποιείται για τη δημιουργία ηλεκτρονικής υπογραφής·

23) «εγκεκριμένη διάταξη_δημιουργίας_ηλεκτρονικής_υπογραφής»: διάταξη_δημιουργίας_ηλεκτρονικής_υπογραφής που πληροί τις απαιτήσεις του παραρτήματος II·

24) « δημιουργός_σφραγίδας»: νομικό πρόσωπο που δημιουργεί ηλεκτρονική_σφραγίδα·

25) « ηλεκτρονική_σφραγίδα»: δεδομένα σε ηλεκτρονική μορφή τα οποία είναι συνημμένα σε άλλα ηλεκτρονικά δεδομένα ή συσχετίζονται λογικά με άλλα δεδομένα σε ηλεκτρονική μορφή, με σκοπό τη διασφάλιση της προέλευσης και της ακεραιότητάς τους·

26) «προηγμένη ηλεκτρονική_σφραγίδα»: ηλεκτρονική_σφραγίδα που ανταποκρίνεται στις απαιτήσεις του άρθρου 36·

27) «εγκεκριμένη ηλεκτρονική_σφραγίδα»: προηγμένη ηλεκτρονική_σφραγίδα που δημιουργείται από εγκεκριμένη διάταξη_δημιουργίας_ηλεκτρονικής_σφραγίδας και η οποία βασίζεται σε εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_σφραγίδας·

28) « δεδομένα_δημιουργίας_ηλεκτρονικής_σφραγίδας»: μοναδικά δεδομένα που χρησιμοποιούνται από τον δημιουργό της ηλεκτρονικής σφραγίδας για τη δημιουργία ηλεκτρονικής σφραγίδας·

29) « πιστοποιητικό_ηλεκτρονικής_σφραγίδας»: ηλεκτρονική βεβαίωση που συνδέει τα δεδομένα_ επικύρωσης ηλεκτρονικής σφραγίδας με νομικό πρόσωπο και επιβεβαιώνει το όνομα του εν λόγω προσώπου·

30) «εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_σφραγίδας»: πιστοποιητικό_ηλεκτρονικής_σφραγίδας που εκδίδεται από εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης και πληροί τις οριζόμενες στο παράρτημα III απαιτήσεις·

31) « διάταξη_δημιουργίας_ηλεκτρονικής_σφραγίδας»: διατεταγμένο υλικό ή λογισμικό που χρησιμοποιείται για τη δημιουργία ηλεκτρονικής σφραγίδας·

32) «εγκεκριμένη διάταξη_δημιουργίας_ηλεκτρονικής_σφραγίδας»: διάταξη_δημιουργίας_ηλεκτρονικής_σφραγίδας που πληροί κατ’ αναλογία τις οριζόμενες στο παράρτημα II απαιτήσεις·

33) « ηλεκτρονική_χρονοσφραγίδα»: δεδομένα σε ηλεκτρονική μορφή τα οποία συνδέουν άλλα δεδομένα σε ηλεκτρονική μορφή με ένα συγκεκριμένο χρονικό σημείο, τεκμηριώνοντας ότι τα εν λόγω δεδομένα υπήρχαν κατά το χρονικό σημείο εκείνο·

34) «εγκεκριμένη ηλεκτρονική_χρονοσφραγίδα»: ηλεκτρονική_χρονοσφραγίδα που πληροί τις οριζόμενες στο άρθρο 42 απαιτήσεις·

35) « ηλεκτρονικό_έγγραφο»: οποιοδήποτε περιεχόμενο έχει αποθηκευτεί σε ηλεκτρονική μορφή και ειδικότερα ως κείμενο ή με ηχητική, οπτική ή οπτικοακουστική εγγραφή·

36) « ηλεκτρονική_υπηρεσία_συστημένης_παράδοσης»: υπηρεσία η οποία καθιστά δυνατή τη διαβίβαση δεδομένων μεταξύ τρίτων μερών με ηλεκτρονικά μέσα και παρέχει τεκμήρια σχετικά με τον χειρισμό των διαβιβαζόμενων δεδομένων, περιλαμβανομένης απόδειξης της αποστολής και της παραλαβής των δεδομένων, και η οποία προστατεύει τα διαβιβαζόμενα δεδομένα από τον κίνδυνο απώλειας, κλοπής, βλάβης ή τροποποίησης τους χωρίς άδεια·

37) «εγκεκριμένη ηλεκτρονική_υπηρεσία_συστημένης_παράδοσης»: ηλεκτρονική_υπηρεσία_συστημένης_παράδοσης που πληροί τις οριζόμενες στο άρθρο 44 απαιτήσεις·

38) « πιστοποιητικό_γνησιότητας_ιστότοπου»: βεβαίωση η οποία επιτρέπει την επαλήθευση της γνησιότητας ενός ιστότοπου και συνδέει τον ιστότοπο με το φυσικό ή νομικό πρόσωπο στο οποίο έχει εκδοθεί το πιστοποιητικό·

39) « εγκεκριμένο_πιστοποιητικό_για_την_επαλήθευση_της_γνησιότητας_ιστότοπου»: πιστοποιητικό για την επαλήθευση της γνησιότητας ιστότοπου που εκδίδεται από αναγνωρισμένο πάροχο υπηρεσιών εμπιστοσύνης και πληροί τις οριζόμενες στο παράρτημα IV απαιτήσεις·

40) « δεδομένα_ επικύρωσης»: δεδομένα που χρησιμοποιούνται για την επικύρωση ηλεκτρονικής υπογραφής ή ηλεκτρονικής σφραγίδας·

41) « επικύρωση»: η διαδικασία ελέγχου και επιβεβαίωσης ότι μια ηλεκτρονική_υπογραφή ή σφραγίδα είναι έγκυρη.

Άρθρο 8

Επίπεδα διασφάλισης των συστημάτων ηλεκτρονικής ταυτοποίησης

1. Το σύστημα_ηλεκτρονικής_ταυτοποίησης που κοινοποιείται σύμφωνα με το άρθρο 9 παράγραφος 1 προσδιορίζει το επίπεδο διασφάλισης —χαμηλό, βασικό και/ή υψηλό— των μέσων ηλεκτρονικής ταυτοποίησης που εκδίδονται στο πλαίσιό του.

2. Το χαμηλό, το βασικό και το υψηλό επίπεδο διασφάλισης πληρούν αντιστοίχως τα ακόλουθα κριτήρια:

α)

το χαμηλό επίπεδο διασφάλισης αναφέρεται σε μέσο_ηλεκτρονικής_ταυτοποίησης, εκδιδόμενο στο πλαίσιο συστήματος ηλεκτρονικής ταυτοποίησης το οποίο παρέχει ικανό βαθμό εμπιστοσύνης στην ταυτότητα που επικαλείται ή δηλώνει ένα πρόσωπο και στο οποίο αποδίδεται χαρακτηρισμός βάσει των σχετικών τεχνικών προδιαγραφών, προτύπων και διαδικασιών, περιλαμβανομένων των τεχνικών ελέγχων, σκοπός των οποίων είναι η ικανή μείωση του κινδύνου κατάχρησης ή αλλοίωσης της ταυτότητας·

β)

το βασικό επίπεδο διασφάλισης αναφέρεται σε μέσο_ηλεκτρονικής_ταυτοποίησης εκδιδόμενο στο πλαίσιο συστήματος ηλεκτρονικής ταυτοποίησης, το οποίο παρέχει βασικό βαθμό εμπιστοσύνης στην ταυτότητα που επικαλείται ή δηλώνει ένα πρόσωπο και στο οποίο αποδίδεται χαρακτηρισμός βάσει των σχετικών τεχνικών προδιαγραφών, προτύπων και διαδικασιών, περιλαμβανομένων των τεχνικών ελέγχων, σκοπός των οποίων είναι η ικανή μείωση του κινδύνου κατάχρησης ή αλλοίωσης της ταυτότητας·

γ)

το υψηλό επίπεδο διασφάλισης αναφέρεται σε μέσο_ηλεκτρονικής_ταυτοποίησης εκδιδόμενο στο πλαίσιο συστήματος ηλεκτρονικής ταυτοποίησης το οποίο παρέχει υψηλό βαθμό εμπιστοσύνης στην ταυτότητα που επικαλείται ή δηλώνει ένα πρόσωπο και στο οποίο αποδίδεται χαρακτηρισμός βάσει των σχετικών τεχνικών προδιαγραφών, προτύπων και διαδικασιών, περιλαμβανομένων των τεχνικών ελέγχων, σκοπός των οποίων είναι η αποτροπή της κατάχρησης ή της αλλοίωσης της ταυτότητας.

3. Έως τις 18 Σεπτεμβρίου 2015, λαμβανομένων υπόψη των σχετικών διεθνών προτύπων και με την επιφύλαξη της παραγράφου 2, η Επιτροπή εκδίδει, με εκτελεστικές πράξεις, τις ελάχιστες τεχνικές προδιαγραφές, τα πρότυπα και τις διαδικασίες βάσει των οποίων καθορίζονται τα επίπεδα διασφάλισης —χαμηλό, βασικό και υψηλό— των μέσων ηλεκτρονικής ταυτοποίησης για τους σκοπούς της παραγράφου 1.

Οι εν λόγω ελάχιστες τεχνικές προδιαγραφές, πρότυπα και διαδικασίες καθορίζονται με κριτήριο την αξιοπιστία και την ποιότητα των ακόλουθων στοιχείων:

α)	της διαδικασίας απόδειξης και εξακρίβωσης της ταυτότητας φυσικών ή νομικών προσώπων που ζητούν την έκδοση μέσου ηλεκτρονικής ταυτοποίησης·

β)	της διαδικασίας έκδοσης του μέσου ηλεκτρονικής ταυτοποίησης που έχει ζητηθεί·

γ)	του μηχανισμού επαλήθευσης της ταυτότητας, μέσω του οποίου το φυσικό ή νομικό πρόσωπο χρησιμοποιεί το μέσο_ηλεκτρονικής_ταυτοποίησης για να βεβαιώσει την ταυτότητά του έναντι βασιζόμενου μέρους·

δ)	της οντότητας που εκδίδει το μέσο_ηλεκτρονικής_ταυτοποίησης·

ε)	κάθε άλλου φορέα που συμμετέχει στην αίτηση για την έκδοση του μέσου ηλεκτρονικής ταυτοποίησης, και

στ)	των τεχνικών προδιαγραφών και των προδιαγραφών ασφάλειας του εκδιδόμενου μέσου ηλεκτρονικής ταυτοποίησης.

Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 21

Έναρξη εγκεκριμένης υπηρεσίας εμπιστοσύνης

1. Εάν πάροχοι υπηρεσιών εμπιστοσύνης που δεν είναι εγκεκριμένοι σκοπεύουν να αρχίσουν να παρέχουν εγκεκριμένες υπηρεσίες εμπιστοσύνης, υποβάλλουν στον εποπτικό φορέα κοινοποίηση της πρόθεσής τους μαζί με έκθεση αξιολόγησης της συμμόρφωσης εκδοθείσα από οργανισμό αξιολόγησης της συμμόρφωσης.

2. Ο εποπτικός φορέας εξακριβώνει αν ο πάροχος_υπηρεσιών_εμπιστοσύνης και οι υπηρεσίες εμπιστοσύνης που παρέχονται συμμορφώνονται προς τις απαιτήσεις του παρόντος κανονισμού, και ιδίως τις απαιτήσεις που προβλέπονται για τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης και για τις εγκεκριμένες υπηρεσίες εμπιστοσύνης που παρέχουν.

Εάν ο εποπτικός φορέας καταλήξει στο συμπέρασμα ότι ο πάροχος_υπηρεσιών_εμπιστοσύνης και οι υπηρεσίες εμπιστοσύνης που παρέχει συμμορφώνονται προς τις απαιτήσεις που αναφέρονται στο πρώτο εδάφιο, χορηγεί έγκριση στον πάροχο υπηρεσιών εμπιστοσύνης και στις υπηρεσίες εμπιστοσύνης που παρέχει. Ενημερώνει τον φορέα που αναφέρεται στο άρθρο 22 παράγραφος 3 προκειμένου να ενημερώσει τους καταλόγους εμπιστοσύνης που αναφέρονται στο άρθρο 22 παράγραφος 1, το αργότερο τρεις μήνες από την κοινοποίηση σύμφωνα με την παράγραφο 1 του παρόντος άρθρου.

Εάν η εξακρίβωση δεν ολοκληρωθεί εντός τριών μηνών από την κοινοποίηση, ο εποπτικός φορέας ενημερώνει τον πάροχο υπηρεσιών εμπιστοσύνης εξηγώντας τους λόγους της καθυστέρησης και ορίζοντας την προθεσμία εντός της οποίας θα ολοκληρωθεί η εξακρίβωση.

3. Οι εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης μπορούν να αρχίσουν να παρέχουν τις εγκεκριμένες υπηρεσίες εμπιστοσύνης αφού η έγκριση καταχωριστεί στους καταλόγους εμπιστοσύνης που αναφέρονται στο άρθρο 22 παράγραφος 1.

4. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, μορφότυπους και διαδικασίες για τους σκοπούς των παραγράφων 1 και 2. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 24

Απαιτήσεις για τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης

1. Κατά την έκδοση εγκεκριμένου πιστοποιητικού για υπηρεσία_εμπιστοσύνης, ο εγκεκριμένος πάροχος_υπηρεσιών_εμπιστοσύνης προβαίνει, με κατάλληλα μέσα και σύμφωνα με το εθνικό δίκαιο, σε εξακρίβωση της ταυτότητας και, κατά περίπτωση, τυχόν ειδικών χαρακτηριστικών του φυσικού ή νομικού προσώπου για το οποίο εκδίδεται εγκεκριμένο πιστοποιητικό.

Οι πληροφορίες που αναφέρονται στο πρώτο εδάφιο εξακριβώνονται από τον εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης είτε άμεσα είτε μέσω τρίτου σύμφωνα με το εθνικό δίκαιο:

α)	με φυσική παρουσία του φυσικού προσώπου ή εξουσιοδοτημένου εκπροσώπου του νομικού προσώπου, ή

β)

εξ αποστάσεως, με τη χρήση μέσων ηλεκτρονικής ταυτοποίησης για τα οποία, πριν από την έκδοση του εγκεκριμένου πιστοποιητικού, έχει διασφαλιστεί η φυσική παρουσία του φυσικού προσώπου ή εξουσιοδοτημένου εκπροσώπου του νομικού προσώπου και τα οποία πληρούν τις απαιτήσεις του άρθρου 8 όσον αφορά το «βασικό» ή το «υψηλό» επίπεδο διασφάλισης, ή

γ)	μέσω πιστοποιητικού εγκεκριμένης ηλεκτρονικής υπογραφής ή εγκεκριμένης ηλεκτρονικής σφραγίδας που έχει εκδοθεί σύμφωνα με το στοιχείο α) ή β), ή

δ)	με τη χρήση άλλων μεθόδων ταυτοποίησης αναγνωρισμένων σε εθνικό επίπεδο που παρέχουν διασφάλιση ισοδύναμη με τη φυσική παρουσία. Η ισοδύναμη διασφάλιση επιβεβαιώνεται από οργανισμό αξιολόγησης της συμμόρφωσης.

2. Οι εγκεκριμένοι πάροχοι υπηρεσιών που παρέχουν εγκεκριμένες υπηρεσίες εμπιστοσύνης:

α)	ενημερώνουν τον εποπτικό φορέα για κάθε αλλαγή όσον αφορά την παροχή των εγκεκριμένων υπηρεσιών εμπιστοσύνης του, περιλαμβανομένης της πρόθεσης παύσης των εν λόγω δραστηριοτήτων·

β)

απασχολούν προσωπικό και, κατά περίπτωση, υπεργολάβους που διαθέτουν την απαραίτητη τεχνογνωσία, αξιοπιστία, πείρα και προσόντα και έχουν λάβει κατάλληλη εκπαίδευση σχετικά με την ασφάλεια και τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα, εφαρμόζουν δε διοικητικές και διαχειριστικές διαδικασίες που ανταποκρίνονται σε ευρωπαϊκά ή διεθνή πρότυπα·

γ)	όσον αφορά την ευθύνη για τις ζημίες σύμφωνα με το άρθρο 13, διατηρούν επαρκείς οικονομικούς πόρους και/ή αποκτούν κατάλληλη ασφαλιστική κάλυψη, σύμφωνα με το εθνικό δίκαιο·

δ)

προτού συνάψουν συμβατική σχέση, ενημερώνουν, με σαφή και ολοκληρωμένο τρόπο, κάθε πρόσωπο που επιθυμεί να χρησιμοποιήσει εγκεκριμένη υπηρεσία_εμπιστοσύνης σχετικά με τους ακριβείς όρους και τις προϋποθέσεις για τη χρήση της εν λόγω υπηρεσίας, συμπεριλαμβανομένων τυχόν περιορισμών όσον αφορά τη χρήση της·

ε)	χρησιμοποιούν αξιόπιστα συστήματα και προϊόντα τα οποία προστατεύονται από τροποποιήσεις και διασφαλίζουν την τεχνική ασφάλεια και αξιοπιστία των διεργασιών που υποστηρίζονται από αυτά·

στ)

χρησιμοποιούν αξιόπιστα συστήματα για την αποθήκευση των δεδομένων που τους παρέχονται, σε επαληθεύσιμη μορφή, ούτως ώστε:

i)	να είναι δημοσίως διαθέσιμα για άντληση μόνον εφόσον έχει ληφθεί η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα,

ii)	μόνον εξουσιοδοτημένα πρόσωπα να μπορούν να πραγματοποιούν καταχωρίσεις και τροποποιήσεις στα αποθηκευμένα δεδομένα,

iii)	να μπορεί να ελέγχεται η αυθεντικότητα των δεδομένων·

ζ)	λαμβάνουν κατάλληλα μέτρα κατά της πλαστογραφίας και της κλοπής δεδομένων·

η)

καταγράφουν και διατηρούν προσβάσιμο για κατάλληλη χρονική περίοδο, ακόμη και μετά την παύση των δραστηριοτήτων του εγκεκριμένου παρόχου υπηρεσιών εμπιστοσύνης, το σύνολο των συναφών πληροφοριών που αφορούν δεδομένα τα οποία έχουν εκδοθεί και ληφθεί από τον εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης, ιδίως για την παροχή αποδεικτικών στοιχείων σε νομικές διαδικασίες και για τη διασφάλιση της συνέχειας της υπηρεσίας· η καταγραφή αυτή δύναται να πραγματοποιείται με ηλεκτρονικά μέσα·

θ)	διαθέτουν ενημερωμένο σχέδιο τερματισμού με σκοπό την εξασφάλιση της συνέχειας της υπηρεσίας σύμφωνα με διατάξεις ελεγμένες από τον εποπτικό φορέα δυνάμει του άρθρου 17 παράγραφος 4 στοιχείο θ)·

ι)	εξασφαλίζουν τη νόμιμη επεξεργασία των δεδομένων προσωπικού χαρακτήρα σύμφωνα με την οδηγία 95/46/ΕΚ·

ια)	σε περίπτωση εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης που εκδίδουν εγκεκριμένα πιστοποιητικά, συγκροτούν βάση δεδομένων για τα πιστοποιητικά, την οποία τηρούν ενημερωμένη.

3. Όταν εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης που εκδίδουν εγκεκριμένα πιστοποιητικά αποφασίζουν να ανακαλέσουν ένα πιστοποιητικό, καταχωρίζουν την εν λόγω ανάκληση στη βάση δεδομένων για τα πιστοποιητικά και δημοσιοποιούν την ανάκληση του πιστοποιητικού εγκαίρως και σε κάθε περίπτωση εντός 24 ωρών από την παραλαβή της αίτησης. Η ανάκληση αυτή αρχίζει να ισχύει αμέσως μετά τη δημοσιοποίησή της.

4. Αναφορικά με την παράγραφο 3, οι εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης που εκδίδουν εγκεκριμένα πιστοποιητικά παρέχουν σε κάθε βασιζόμενο_μέρος πληροφορίες για την ισχύ ή την ανάκληση των εγκεκριμένων πιστοποιητικών που έχουν εκδοθεί από αυτούς. Οι εν λόγω πληροφορίες είναι διαθέσιμες, τουλάχιστον για κάθε χωριστό πιστοποιητικό, ανά πάσα στιγμή και πέραν της περιόδου ισχύος του πιστοποιητικού, κατά τρόπο αυτοματοποιημένο που είναι αξιόπιστος, δωρεάν και αποτελεσματικός.

5. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, αριθμούς αναφοράς προτύπων για τα αξιόπιστα συστήματα και προϊόντα που είναι σύμφωνα με τις απαιτήσεις της παραγράφου 2 στοιχεία ε) και στ) του παρόντος άρθρου. Η συμμόρφωση με τις απαιτήσεις που ορίζονται στο παρόν άρθρο τεκμαίρεται εφόσον τα αξιόπιστα συστήματα και προϊόντα πληρούν τα πρότυπα αυτά. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

ΤΜΗΜΑ 4

Ηλεκτρονικές υπογραφές

whereas

(16) Τα επίπεδα διασφάλισης θα πρέπει να χαρακτηρίζουν τον βαθμό εμπιστοσύνης ενός μέσου ηλεκτρονικής ταυτοποίησης όσον αφορά την εξακρίβωση της ταυτότητας ενός προσώπου, βεβαιώνοντας με τον τρόπο αυτόν ότι το πρόσωπο που επικαλείται συγκεκριμένη ταυτότητα είναι στην πραγματικότητα το πρόσωπο στο οποίο έχει αποδοθεί η ταυτότητα αυτή. Το επίπεδο διασφάλισης εξαρτάται από τον βαθμό εμπιστοσύνης που παρέχει το μέσο_ηλεκτρονικής_ταυτοποίησης όσον αφορά την ταυτότητα την οποία επικαλείται ή δηλώνει ένα πρόσωπο, λαμβανομένων υπόψη των διαδικασιών (για παράδειγμα, απόδειξη ταυτότητας και εξακρίβωση και επαλήθευση_ταυτότητας), των δραστηριοτήτων διαχείρισης (για παράδειγμα, την οντότητα που εκδίδει τα μέσα ηλεκτρονικής ταυτοποίησης και τη διαδικασία έκδοσης των μέσων αυτών) και των πραγματοποιούμενων τεχνικών ελέγχων. Υπάρχουν διάφοροι τεχνικοί ορισμοί και περιγραφές των επιπέδων διασφάλισης, οι οποίοι έχουν προκύψει από πιλοτικές εφαρμογές μεγάλης κλίμακας διεξαγόμενες υπό ενωσιακή χρηματοδότηση, από διαδικασίες τυποποίησης και από διεθνείς δραστηριότητες. Ειδικότερα, η πιλοτική εφαρμογή μεγάλης κλίμακας STORK και το ISO 29115 αναφέρονται, μεταξύ άλλων, στα επίπεδα 2, 3 και 4, τα οποία θα πρέπει να ληφθούν οπωσδήποτε υπόψη κατά την κατάρτιση των ελάχιστων τεχνικών απαιτήσεων, προτύπων και διαδικασιών για το χαμηλό, το βασικό και το υψηλό επίπεδο διασφάλισης κατά την έννοια του παρόντος κανονισμού, ταυτόχρονα με τη διασφάλιση της συνεκτικής εφαρμογής του παρόντος κανονισμού, ιδίως σε ό,τι αφορά το υψηλό επίπεδο διασφάλισης σε σχέση με την απόδειξη της ταυτότητας για την έκδοση εγκεκριμένων πιστοποιητικών. Οι απαιτήσεις που θεσπίζονται θα πρέπει να είναι τεχνολογικά ουδέτερες. Θα πρέπει να είναι δυνατή η επίτευξη των απαραίτητων απαιτήσεων ασφαλείας μέσω διαφορετικών τεχνολογιών.

- = -

(33) Διατάξεις περί χρήσης ψευδωνύμων στα πιστοποιητικά δεν θα πρέπει να εμποδίζουν τα κράτη μέλη να ζητούν εξακρίβωση της ταυτότητας των προσώπων σύμφωνα με το ενωσιακό ή το εθνικό δίκαιο.

- = -

(55) Η πιστοποίηση της ασφάλειας πληροφοριακών συστημάτων με βάση διεθνή πρότυπα, όπως το ISO 15408 και συναφείς μέθοδοι αξιολόγησης και ρυθμίσεις αμοιβαίας αναγνώρισης, αποτελεί σημαντικό εργαλείο για την εξακρίβωση της ασφάλειας των εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής και θα πρέπει να προωθηθεί. Ωστόσο, διάφορες καινοτόμες λύσεις και υπηρεσίες (όπως η υπογραφή μέσω κινητών συσκευών και η υπογραφή μέσω εφαρμογών νέφους) στηρίζονται σε τεχνικές και οργανωτικές λύσεις για εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικών υπογραφών για τις οποίες ενδέχεται να μην υπάρχουν ακόμη πρότυπα ασφάλειας ή η πρώτη πιστοποίηση της ασφάλειας πληροφοριακών συστημάτων να βρίσκεται υπό εξέλιξη. Το επίπεδο ασφαλείας παρόμοιων εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής μπορεί να αξιολογείται με τη χρήση εναλλακτικών διαδικασιών μόνον όταν δεν είναι διαθέσιμα αυτά τα πρότυπα ασφαλείας ή όταν η πρώτη πιστοποίηση της ασφάλειας πληροφοριακών συστημάτων βρίσκεται υπό εξέλιξη. Οι διαδικασίες αυτές θα πρέπει να είναι συγκρίσιμες με τα πρότυπα πιστοποίησης της ασφάλειας πληροφοριακών συστημάτων στον βαθμό που τα επίπεδα ασφάλειάς τους είναι ισοδύναμα. Οι διαδικασίες αυτές θα μπορούσαν να διευκολύνονται με αξιολόγηση από ομοτίμους.

- = -

(60) Οι πάροχοι υπηρεσιών εμπιστοσύνης που εκδίδουν εγκεκριμένα πιστοποιητικά ηλεκτρονικής σφραγίδας θα πρέπει να εφαρμόζουν τα μέτρα που απαιτούνται προκειμένου να μπορούν να προσδιορίζουν την ταυτότητα του φυσικού προσώπου που εκπροσωπεί νομικό πρόσωπο στο οποίο χορηγείται το εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_σφραγίδας, όταν απαιτείται μια τέτοια εξακρίβωση σε εθνικό επίπεδο στο πλαίσιο δικαστικής ή διοικητικής διαδικασίας.

- = -

keyboard_tab EIDAS 2014/0910 EL

EIDAS 2014/0910 EL