EIDAS 2014/0910 EL

1. Η συμμόρφωση των εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής προς τις απαιτήσεις του παραρτήματος II πιστοποιείται από αρμόδιους δημόσιους ή ιδιωτικούς φορείς που ορίζονται από τα κράτη μέλη.

2. Τα κράτη μέλη κοινοποιούν στην Επιτροπή τις ονομασίες και τις διευθύνσεις των δημόσιων ή ιδιωτικών φορέων που αναφέρονται στην παράγραφο 1. Η Επιτροπή θέτει τις πληροφορίες στη διάθεση των κρατών μελών.

3. Η πιστοποίηση που αναφέρεται στην παράγραφο 1 βασίζεται σε ένα από τα ακόλουθα:

α)	διαδικασία αξιολόγησης της ασφάλειας διενεργούμενη σύμφωνα με κάποιο από τα πρότυπα για την αξιολόγηση της ασφάλειας των προϊόντων πληροφορικής που περιλαμβάνονται στον κατάλογο τον οποίο καταρτίζει η Επιτροπή σύμφωνα με το δεύτερο εδάφιο, ή

β)

διαδικασία διαφορετική από την αναφερόμενη στην περίπτωση α), εφόσον η διαδικασία αυτή χρησιμοποιεί συγκρίσιμα επίπεδα ασφάλειας και ο δημόσιος ή ιδιωτικός φορέας που αναφέρεται στην παράγραφο 1 γνωστοποιεί τη διαδικασία αυτή στην Επιτροπή. Η διαδικασία αυτή μπορεί να χρησιμοποιηθεί μόνο σε περίπτωση που δεν υφίστανται τα πρότυπα που αναφέρονται στο στοιχείο α) ή όταν βρίσκεται εν εξελίξει μια διαδικασία αξιολόγησης της ασφάλειας όπως αναφέρεται στο στοιχείο α).

Η Επιτροπή καταρτίζει με εκτελεστικές πράξεις κατάλογο προτύπων για την αξιολόγηση της ασφάλειας των προϊόντων πληροφορικής που αναφέρεται στο στοιχείο α). Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

4. Ανατίθεται στην Επιτροπή η εξουσία να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 47 σχετικά με τον καθορισμό συγκεκριμένων κριτηρίων που πρέπει να πληρούνται από τους οριζόμενους φορείς που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου.

Άρθρο 31

Δημοσίευση καταλόγου πιστοποιημένων εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής

1. Τα κράτη μέλη κοινοποιούν στην Επιτροπή, χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο έναν μήνα από τη χορήγηση της πιστοποίησης, πληροφορίες για τις εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής οι οποίες έχουν πιστοποιηθεί από τους φορείς που αναφέρονται στο άρθρο 30 παράγραφος 1. Κοινοποιούν επίσης στην Επιτροπή, χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο έναν μήνα από την ακύρωση της πιστοποίησης, πληροφορίες για τις διατάξεις δημιουργίας ηλεκτρονικής υπογραφής που δεν είναι πλέον πιστοποιημένες.

2. Βάσει των πληροφοριών που λαμβάνει, η Επιτροπή καταρτίζει, δημοσιεύει και τηρεί κατάλογο πιστοποιημένων εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής.

3. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, μορφές και διαδικασίες για τους σκοπούς της παραγράφου 1. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 39

Εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής σφραγίδας

1. Το άρθρο 29 εφαρμόζεται κατ’ αναλογία στις απαιτήσεις για τις εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής σφραγίδας.

2. Το άρθρο 30 εφαρμόζεται κατ’ αναλογία στην πιστοποίηση των εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής σφραγίδας.

3. Το άρθρο 31 εφαρμόζεται κατ’ αναλογία στη δημοσίευση καταλόγου πιστοποιημένων εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής σφραγίδας.

Άρθρο 51

Μεταβατικά μέτρα

1. Οι ασφαλείς διατάξεις δημιουργίας υπογραφής των οποίων η συμμόρφωση έχει διαπιστωθεί σύμφωνα με το άρθρο 3 παράγραφος 4 της οδηγίας 1999/93/ΕΚ θεωρούνται εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής δυνάμει του παρόντος κανονισμού.

2. Εγκεκριμένα πιστοποιητικά που εκδίδονται για φυσικά πρόσωπα σύμφωνα με την οδηγία 1999/93/ΕΚ θεωρούνται εγκεκριμένα πιστοποιητικά για τις ηλεκτρονικές υπογραφές βάσει του παρόντος κανονισμού μέχρι την ημερομηνία λήξης τους.

3. Οι πάροχοι υπηρεσιών πιστοποίησης που εκδίδουν εγκεκριμένα πιστοποιητικά δυνάμει της οδηγίας 1999/93/ΕΚ υποβάλλουν έκθεση αξιολόγησης της συμμόρφωσης στον εποπτικό φορέα το συντομότερο δυνατόν και το αργότερο την 1η Ιουλίου 2017. Μέχρι την υποβολή της έκθεσης αξιολόγησης της συμμόρφωσης και την ολοκλήρωση της αξιολόγησης από τον εποπτικό φορέα, οι πάροχοι υπηρεσιών πιστοποίησης θεωρούνται εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης δυνάμει του παρόντος κανονισμού.

4. Εάν πάροχος υπηρεσιών πιστοποίησης που εκδίδει εγκεκριμένα πιστοποιητικά δυνάμει της οδηγίας 1999/93/ΕΚ δεν υποβάλει έκθεση αξιολόγησης της συμμόρφωσης στον εποπτικό φορέα εντός της προθεσμίας της παραγράφου 3, ο εν λόγω πάροχος δεν θεωρείται εγκεκριμένος πάροχος_υπηρεσιών_εμπιστοσύνης δυνάμει του παρόντος κανονισμού από τις 2 Ιουλίου 2017.

whereas

(55) Η πιστοποίηση της ασφάλειας πληροφοριακών συστημάτων με βάση διεθνή πρότυπα, όπως το ISO 15408 και συναφείς μέθοδοι αξιολόγησης και ρυθμίσεις αμοιβαίας αναγνώρισης, αποτελεί σημαντικό εργαλείο για την εξακρίβωση της ασφάλειας των εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής και θα πρέπει να προωθηθεί. Ωστόσο, διάφορες καινοτόμες λύσεις και υπηρεσίες (όπως η υπογραφή μέσω κινητών συσκευών και η υπογραφή μέσω εφαρμογών νέφους) στηρίζονται σε τεχνικές και οργανωτικές λύσεις για εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικών υπογραφών για τις οποίες ενδέχεται να μην υπάρχουν ακόμη πρότυπα ασφάλειας ή η πρώτη πιστοποίηση της ασφάλειας πληροφοριακών συστημάτων να βρίσκεται υπό εξέλιξη. Το επίπεδο ασφαλείας παρόμοιων εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής μπορεί να αξιολογείται με τη χρήση εναλλακτικών διαδικασιών μόνον όταν δεν είναι διαθέσιμα αυτά τα πρότυπα ασφαλείας ή όταν η πρώτη πιστοποίηση της ασφάλειας πληροφοριακών συστημάτων βρίσκεται υπό εξέλιξη. Οι διαδικασίες αυτές θα πρέπει να είναι συγκρίσιμες με τα πρότυπα πιστοποίησης της ασφάλειας πληροφοριακών συστημάτων στον βαθμό που τα επίπεδα ασφάλειάς τους είναι ισοδύναμα. Οι διαδικασίες αυτές θα μπορούσαν να διευκολύνονται με αξιολόγηση από ομοτίμους.

- = -

(56) Ο παρών κανονισμός θα πρέπει να ορίσει απαιτήσεις για τις εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής προκειμένου να εξασφαλίζεται η λειτουργικότητα των προηγμένων ηλεκτρονικών υπογραφών. Ο παρών κανονισμός δεν θα πρέπει να καλύπτει ολόκληρο το περιβάλλον του συστήματος στο οποίο λειτουργούν οι διατάξεις αυτές. Συνεπώς, το πεδίο εφαρμογής για την πιστοποίηση εγκεκριμένων διατάξεων δημιουργίας υπογραφής θα πρέπει να περιορίζεται στο υλικό και στο λογισμικό του συστήματος που χρησιμοποιείται για τη διαχείριση και την προστασία των δεδομένων δημιουργίας υπογραφής που δημιουργούνται, αποθηκεύονται ή αποτελούν αντικείμενο επεξεργασίας στη συσκευή δημιουργίας υπογραφής. Όπως αναφέρεται αναλυτικά σε σχετικά πρότυπα, οι εφαρμογές δημιουργίας υπογραφής θα πρέπει να εξαιρούνται από το πεδίο της υποχρέωσης πιστοποίησης.

- = -

(65) Εκτός από την πιστοποίηση της γνησιότητας του εγγράφου που έχει εκδοθεί από το νομικό πρόσωπο, οι ηλεκτρονικές σφραγίδες μπορούν να χρησιμοποιηθούν για την πιστοποίηση της γνησιότητας οποιουδήποτε ψηφιακού περιουσιακού στοιχείου του νομικού προσώπου, όπως κώδικα λογισμικού ή διακομιστών.

- = -

(67) Οι υπηρεσίες επαλήθευσης της ταυτότητας ιστοτόπων αποτελούν ένα μέσο με το οποίο ένας επισκέπτης του ιστότοπου μπορεί να βεβαιωθεί ότι υπάρχει πραγματική και νόμιμη οντότητα πίσω από τον ιστότοπο. Οι υπηρεσίες αυτές συμβάλλουν στην αποκατάσταση της εμπιστοσύνης και της πίστης στην άσκηση επιχειρηματικών δραστηριοτήτων σε απευθείας σύνδεση, διότι οι χρήστες θα έχουν εμπιστοσύνη σε έναν δικτυακό τόπο του οποίου έχει επαληθευθεί η ταυτότητα. Η παροχή και η χρήση υπηρεσιών επαλήθευσης της ταυτότητας ιστοτόπων είναι απολύτως εθελοντικές. Ωστόσο, προκειμένου η επαλήθευση της ταυτότητας ιστοτόπων να γίνει ένα μέσο για την ενίσχυση της εμπιστοσύνης, παρέχοντας βελτιωμένη εμπειρία στο χρήστη και συμβάλλοντας στην περαιτέρω ανάπτυξη της εσωτερικής αγοράς, ο παρών κανονισμός θα πρέπει να θεσπίσει ελάχιστες υποχρεώσεις ασφάλειας και ευθύνης για τους παρόχους και τις υπηρεσίες τους. Προς τον σκοπό αυτό, έχουν ληφθεί υπόψη τα αποτελέσματα των υφιστάμενων βιομηχανικών πρωτοβουλιών, για παράδειγμα αρχών πιστοποίησης/φόρουμ φυλλομετρητών — φόρουμ CA/Β. Επιπλέον, ο παρών κανονισμός δεν θα πρέπει να εμποδίζει τη χρήση άλλων μέσων ή μεθόδων για την επαλήθευση της ταυτότητας ιστότοπου που δεν εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού ούτε θα πρέπει να εμποδίζει τους παρόχους υπηρεσιών επαλήθευσης της ταυτότητας ιστοτόπων από τρίτες χώρες να παρέχουν τις υπηρεσίες τους σε πελάτες στην Ένωση. Ωστόσο, ένας πάροχος από τρίτη χώρα θα πρέπει να επιδιώκει την αναγνώριση των υπηρεσιών του για την επαλήθευση της ταυτότητας ιστοτόπων ως εγκεκριμένων σύμφωνα με τον παρόντα κανονισμό, μόνο εάν έχει συναφθεί διεθνής συμφωνία μεταξύ της Ένωσης και της χώρας εγκατάστασης του παρόχου.

- = -

(70) Για να συμπληρωθούν ορισμένες λεπτομερείς τεχνικές πτυχές του παρόντος κανονισμού κατά τρόπο ευέλικτο και ταχύ, θα πρέπει να ανατεθεί στην Επιτροπή η εξουσία έκδοσης πράξεων, σύμφωνα με το άρθρο 290 ΣΛΕΕ σχετικά με τα κριτήρια που θα πρέπει να πληρούν τα όργανα που είναι υπεύθυνα για την πιστοποίηση διατάξεων δημιουργίας εγκεκριμένων ηλεκτρονικών υπογραφών. Έχει ιδιαίτερη σημασία να προβαίνει η Επιτροπή σε κατάλληλες διαβουλεύσεις κατά τη διάρκεια του προπαρασκευαστικού έργου της, μεταξύ άλλων και σε επίπεδο εμπειρογνωμόνων. Κατά την προετοιμασία και τη σύνταξη κατ’ εξουσιοδότηση πράξεων, η Επιτροπή θα πρέπει να διασφαλίζει την ταυτόχρονη, έγκαιρη και κατάλληλη διαβίβαση των σχετικών εγγράφων στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο.

- = -

(74) Για να εξασφαλιστεί ασφάλεια δικαίου για τους φορείς της αγοράς που χρησιμοποιούν ήδη εγκεκριμένα πιστοποιητικά εκδοθέντα από φυσικό πρόσωπο σύμφωνα με την οδηγία 1999/93/ΕΚ, είναι απαραίτητη η πρόβλεψη επαρκούς μεταβατικής περιόδου. Ομοίως, θα πρέπει να προβλεφθούν μεταβατικά μέτρα για τις ασφαλείς διατάξεις δημιουργίας υπογραφών, των οποίων η συμμόρφωση έχει καθοριστεί σύμφωνα με την οδηγία 1999/93/ΕΚ, καθώς και για τους παρόχους υπηρεσιών πιστοποίησης που εκδίδουν εγκεκριμένα πιστοποιητικά πριν από την 1η Ιουλίου 2016. Τέλος, είναι επίσης απαραίτητο να παρασχεθούν στην Επιτροπή μέσα για την έκδοση των εκτελεστικών πράξεων και των κατ’ εξουσιοδότηση πράξεων πριν από την ημερομηνία αυτή.

- = -

keyboard_tab EIDAS 2014/0910 EL

EIDAS 2014/0910 EL