EIDAS 2014/0910 EL

Με σκοπό τη διασφάλιση της εύρυθμης λειτουργίας της εσωτερικής αγοράς παράλληλα με την επίτευξη ενός επαρκούς επιπέδου ασφάλειας στα μέσα ηλεκτρονικής ταυτοποίησης και στις υπηρεσίες εμπιστοσύνης, ο παρών κανονισμός:

α)	καθορίζει τους όρους υπό τους οποίους τα κράτη μέλη αναγνωρίζουν τα μέσα ηλεκτρονικής ταυτοποίησης φυσικών και νομικών προσώπων που εμπίπτουν σε κοινοποιημένο σύστημα_ηλεκτρονικής_ταυτοποίησης άλλου κράτους μέλους·

β)	θεσπίζει κανόνες για τις υπηρεσίες εμπιστοσύνης, ιδίως για τις ηλεκτρονικές συναλλαγές και

γ)	θεσπίζει νομικό πλαίσιο για τις ηλεκτρονικές υπογραφές, τις ηλεκτρονικές σφραγίδες, τις ηλεκτρονικές χρονοσφραγίδες, τα ηλεκτρονικά έγγραφα, τις ηλεκτρονικές υπηρεσίες συστημένης παράδοσης και τις υπηρεσίες πιστοποιητικών για την επαλήθευση της ταυτότητας ιστοτόπων.

Άρθρο 3

Ορισμοί

Για τους σκοπούς του παρόντος κανονισμού, ισχύουν οι ακόλουθοι ορισμοί:

1) « ηλεκτρονική_ταυτοποίηση»: η διαδικασία χρήσης δεδομένων ταυτοποίησης προσώπου σε ηλεκτρονική μορφή που αντιπροσωπεύουν κατά τρόπο μοναδικό ένα φυσικό ή νομικό πρόσωπο ή ένα φυσικό πρόσωπο που εκπροσωπεί ένα νομικό πρόσωπο·

2) « μέσο_ηλεκτρονικής_ταυτοποίησης»: υλική και/ή άυλη μονάδα η οποία περιέχει δεδομένα_ταυτοποίησης_προσώπου και χρησιμοποιείται για την επαλήθευση_ταυτότητας σε επιγραμμικές υπηρεσίες·

3) « δεδομένα_ταυτοποίησης_προσώπου»: δέσμη δεδομένων που επιτρέπει την εξακρίβωση της ταυτότητας φυσικού ή νομικού προσώπου ή φυσικού προσώπου που εκπροσωπεί νομικό πρόσωπο·

4) « σύστημα_ηλεκτρονικής_ταυτοποίησης»: σύστημα_ηλεκτρονικής_ταυτοποίησης στο πλαίσιο του οποίου εκδίδονται μέσα ηλεκτρονικής ταυτοποίησης σε φυσικά ή νομικά πρόσωπα, ή σε φυσικά πρόσωπα που εκπροσωπούν νομικά πρόσωπα·

5) « επαλήθευση_ταυτότητας»: ηλεκτρονική διαδικασία που επιτρέπει να επιβεβαιωθεί η ηλεκτρονική_ταυτοποίηση φυσικού ή νομικού προσώπου ή της προέλευσης και της ακεραιότητας δεδομένων σε ηλεκτρονική μορφή·

6) « βασιζόμενο_μέρος»: φυσικό ή νομικό πρόσωπο το οποίο βασίζεται σε ηλεκτρονική_ταυτοποίηση ή σε υπηρεσία_εμπιστοσύνης·

7) « φορέας_του_δημόσιου_τομέα»: οι κρατικές, περιφερειακές και τοπικές αρχές, οι οργανισμοί δημοσίου δικαίου ή οι ενώσεις ενός ή περισσότερων τέτοιων αρχών ή ενός ή περισσότερων φορέων δημοσίου δικαίου, ή ιδιωτική οντότητα που έχει εξουσιοδοτηθεί από τουλάχιστον μία από τις εν λόγω αρχές, φορείς ή ενώσεις να παρέχει δημόσιες υπηρεσίες, όταν ενεργεί υπό αυτή την ιδιότητα·

8) « οργανισμός_δημοσίου_δικαίου»: όπως ορίζεται στο άρθρο 2 παράγραφος 1 σημείο 4 της οδηγίας 2014/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (15)·

9) « υπογράφων»: φυσικό πρόσωπο που δημιουργεί ηλεκτρονική_υπογραφή·

10) « ηλεκτρονική_υπογραφή»: δεδομένα σε ηλεκτρονική μορφή τα οποία είναι συνημμένα σε άλλα ηλεκτρονικά δεδομένα ή συσχετίζονται λογικά με άλλα δεδομένα σε ηλεκτρονική μορφή και τα οποία χρησιμοποιούνται από τον υπογράφοντα για να υπογράφει·

11) «προηγμένη ηλεκτρονική_υπογραφή»: ηλεκτρονική_υπογραφή που ανταποκρίνεται στις απαιτήσεις του άρθρου 26·

12) «εγκεκριμένη ηλεκτρονική_υπογραφή»: προηγμένη ηλεκτρονική_υπογραφή που δημιουργείται από εγκεκριμένη διάταξη_δημιουργίας_ηλεκτρονικής_υπογραφής και η οποία βασίζεται σε εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_υπογραφής·

13) « δεδομένα_δημιουργίας_ηλεκτρονικής_υπογραφής»: μοναδικά δεδομένα που χρησιμοποιούνται από τον υπογράφοντα για τη δημιουργία ηλεκτρονικής υπογραφής·

14) « πιστοποιητικό_ηλεκτρονικής_υπογραφής»: ηλεκτρονική βεβαίωση που συνδέει τα δεδομένα_ επικύρωσης ηλεκτρονικής υπογραφής με φυσικό πρόσωπο και επιβεβαιώνει τουλάχιστον το όνομα ή το ψευδώνυμο του εν λόγω προσώπου·

15) «εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_υπογραφής»: πιστοποιητικό ηλεκτρονικών υπογραφών που εκδίδεται από εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης και πληροί τις οριζόμενες στο παράρτημα I απαιτήσεις·

16) « υπηρεσία_εμπιστοσύνης»: ηλεκτρονική υπηρεσία, συνήθως παρεχόμενη έναντι αμοιβής, η οποία συνίσταται:

α)	στη δημιουργία, εξακρίβωση και επικύρωση ηλεκτρονικών υπογραφών, ηλεκτρονικών σφραγίδων ή ηλεκτρονικών χρονοσφραγίδων, ηλεκτρονικών υπηρεσιών συστημένης παράδοσης και πιστοποιητικών που σχετίζονται με τις υπηρεσίες αυτές, ή

β)	στη δημιουργία, εξακρίβωση και επικύρωση πιστοποιητικών για επαλήθευση της ταυτότητας ιστοτόπων, ή

γ)	στη διαφύλαξη ηλεκτρονικών υπογραφών, σφραγίδων ή πιστοποιητικών που σχετίζονται με τις υπηρεσίες αυτές·

17) «εγκεκριμένη υπηρεσία_εμπιστοσύνης»: υπηρεσία_εμπιστοσύνης η οποία πληροί τις εφαρμοστέες απαιτήσεις που ορίζονται στον παρόντα κανονισμό·

18) « οργανισμός_αξιολόγησης_της_συμμόρφωσης»: οργανισμός, όπως ορίζεται στο άρθρο 2 σημείο 13 του κανονισμού (ΕΚ) αριθ. 765/2008, ο οποίος έχει διαπιστευθεί σύμφωνα με τον εν λόγω κανονισμό ως ικανός να αξιολογεί τη συμμόρφωση εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης και των εγκεκριμένων υπηρεσιών εμπιστοσύνης που παρέχουν·

19) « πάροχος_υπηρεσιών_εμπιστοσύνης»: φυσικό ή νομικό πρόσωπο που παρέχει μία ή περισσότερες υπηρεσίες εμπιστοσύνης είτε ως εγκεκριμένος είτε ως μη εγκεκριμένος πάροχος_υπηρεσιών_εμπιστοσύνης·

20) «εγκεκριμένος πάροχος_υπηρεσιών_εμπιστοσύνης»: ο πάροχος_υπηρεσιών_εμπιστοσύνης ο οποίος παρέχει μία ή περισσότερες εγκεκριμένες υπηρεσίες εμπιστοσύνης και έχει αναγνωριστεί ως τέτοιος από τον εποπτικό φορέα·

21) « προϊόν»: το υλικό ή το λογισμικό ή τα συναφή συστατικά στοιχεία υλικού ή λογισμικού τα οποία προορίζονται να χρησιμοποιηθούν για την παροχή υπηρεσιών εμπιστοσύνης·

22) « διάταξη_δημιουργίας_ηλεκτρονικής_υπογραφής»: διατεταγμένο υλικό ή λογισμικό που χρησιμοποιείται για τη δημιουργία ηλεκτρονικής υπογραφής·

23) «εγκεκριμένη διάταξη_δημιουργίας_ηλεκτρονικής_υπογραφής»: διάταξη_δημιουργίας_ηλεκτρονικής_υπογραφής που πληροί τις απαιτήσεις του παραρτήματος II·

24) « δημιουργός_σφραγίδας»: νομικό πρόσωπο που δημιουργεί ηλεκτρονική_σφραγίδα·

25) « ηλεκτρονική_σφραγίδα»: δεδομένα σε ηλεκτρονική μορφή τα οποία είναι συνημμένα σε άλλα ηλεκτρονικά δεδομένα ή συσχετίζονται λογικά με άλλα δεδομένα σε ηλεκτρονική μορφή, με σκοπό τη διασφάλιση της προέλευσης και της ακεραιότητάς τους·

26) «προηγμένη ηλεκτρονική_σφραγίδα»: ηλεκτρονική_σφραγίδα που ανταποκρίνεται στις απαιτήσεις του άρθρου 36·

27) «εγκεκριμένη ηλεκτρονική_σφραγίδα»: προηγμένη ηλεκτρονική_σφραγίδα που δημιουργείται από εγκεκριμένη διάταξη_δημιουργίας_ηλεκτρονικής_σφραγίδας και η οποία βασίζεται σε εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_σφραγίδας·

28) « δεδομένα_δημιουργίας_ηλεκτρονικής_σφραγίδας»: μοναδικά δεδομένα που χρησιμοποιούνται από τον δημιουργό της ηλεκτρονικής σφραγίδας για τη δημιουργία ηλεκτρονικής σφραγίδας·

29) « πιστοποιητικό_ηλεκτρονικής_σφραγίδας»: ηλεκτρονική βεβαίωση που συνδέει τα δεδομένα_ επικύρωσης ηλεκτρονικής σφραγίδας με νομικό πρόσωπο και επιβεβαιώνει το όνομα του εν λόγω προσώπου·

30) «εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_σφραγίδας»: πιστοποιητικό_ηλεκτρονικής_σφραγίδας που εκδίδεται από εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης και πληροί τις οριζόμενες στο παράρτημα III απαιτήσεις·

31) « διάταξη_δημιουργίας_ηλεκτρονικής_σφραγίδας»: διατεταγμένο υλικό ή λογισμικό που χρησιμοποιείται για τη δημιουργία ηλεκτρονικής σφραγίδας·

32) «εγκεκριμένη διάταξη_δημιουργίας_ηλεκτρονικής_σφραγίδας»: διάταξη_δημιουργίας_ηλεκτρονικής_σφραγίδας που πληροί κατ’ αναλογία τις οριζόμενες στο παράρτημα II απαιτήσεις·

33) « ηλεκτρονική_χρονοσφραγίδα»: δεδομένα σε ηλεκτρονική μορφή τα οποία συνδέουν άλλα δεδομένα σε ηλεκτρονική μορφή με ένα συγκεκριμένο χρονικό σημείο, τεκμηριώνοντας ότι τα εν λόγω δεδομένα υπήρχαν κατά το χρονικό σημείο εκείνο·

34) «εγκεκριμένη ηλεκτρονική_χρονοσφραγίδα»: ηλεκτρονική_χρονοσφραγίδα που πληροί τις οριζόμενες στο άρθρο 42 απαιτήσεις·

35) « ηλεκτρονικό_έγγραφο»: οποιοδήποτε περιεχόμενο έχει αποθηκευτεί σε ηλεκτρονική μορφή και ειδικότερα ως κείμενο ή με ηχητική, οπτική ή οπτικοακουστική εγγραφή·

36) « ηλεκτρονική_υπηρεσία_συστημένης_παράδοσης»: υπηρεσία η οποία καθιστά δυνατή τη διαβίβαση δεδομένων μεταξύ τρίτων μερών με ηλεκτρονικά μέσα και παρέχει τεκμήρια σχετικά με τον χειρισμό των διαβιβαζόμενων δεδομένων, περιλαμβανομένης απόδειξης της αποστολής και της παραλαβής των δεδομένων, και η οποία προστατεύει τα διαβιβαζόμενα δεδομένα από τον κίνδυνο απώλειας, κλοπής, βλάβης ή τροποποίησης τους χωρίς άδεια·

37) «εγκεκριμένη ηλεκτρονική_υπηρεσία_συστημένης_παράδοσης»: ηλεκτρονική_υπηρεσία_συστημένης_παράδοσης που πληροί τις οριζόμενες στο άρθρο 44 απαιτήσεις·

38) « πιστοποιητικό_γνησιότητας_ιστότοπου»: βεβαίωση η οποία επιτρέπει την επαλήθευση της γνησιότητας ενός ιστότοπου και συνδέει τον ιστότοπο με το φυσικό ή νομικό πρόσωπο στο οποίο έχει εκδοθεί το πιστοποιητικό·

39) « εγκεκριμένο_πιστοποιητικό_για_την_επαλήθευση_της_γνησιότητας_ιστότοπου»: πιστοποιητικό για την επαλήθευση της γνησιότητας ιστότοπου που εκδίδεται από αναγνωρισμένο πάροχο υπηρεσιών εμπιστοσύνης και πληροί τις οριζόμενες στο παράρτημα IV απαιτήσεις·

40) « δεδομένα_ επικύρωσης»: δεδομένα που χρησιμοποιούνται για την επικύρωση ηλεκτρονικής υπογραφής ή ηλεκτρονικής σφραγίδας·

41) « επικύρωση»: η διαδικασία ελέγχου και επιβεβαίωσης ότι μια ηλεκτρονική_υπογραφή ή σφραγίδα είναι έγκυρη.

Άρθρο 5

Επεξεργασία και προστασία δεδομένων

1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την οδηγία 95/46/ΕΚ.

2. Με την επιφύλαξη των εννόμων συνεπειών των ψευδωνύμων δυνάμει της εθνικής νομοθεσίας, η χρήση ψευδωνύμων στις ηλεκτρονικές συναλλαγές δεν απαγορεύεται.

ΚΕΦΑΛΑΙΟ II

ΗΛΕΚΤΡΟΝΙΚΗ ΤΑΥΤΟΠΟΙΗΣΗ

Άρθρο 7

Επιλεξιμότητα για την κοινοποίηση των συστημάτων ηλεκτρονικής ταυτοποίησης

Ένα σύστημα_ηλεκτρονικής_ταυτοποίησης είναι επιλέξιμο για κοινοποίηση σύμφωνα με το άρθρο 9 παράγραφος 1 εάν πληρούνται όλες οι ακόλουθες προϋποθέσεις:

α)

τα μέσα ηλεκτρονικής ταυτοποίησης στο πλαίσιο του συστήματος ηλεκτρονικής ταυτοποίησης εκδίδονται:

i)	από το κοινοποιούν κράτος μέλος,

ii)	με εντολή του κοινοποιούντος κράτους μέλους, ή

iii)	ανεξάρτητα από το κοινοποιούν κράτος μέλος και είναι αναγνωρισμένα από το κράτος αυτό·

β)	τα μέσα ηλεκτρονικής ταυτοποίησης που εκδίδονται στο πλαίσιο του συστήματος ηλεκτρονικής ταυτοποίησης μπορούν να χρησιμοποιηθούν για πρόσβαση τουλάχιστον σε μία υπηρεσία που παρέχεται από φορέα του δημόσιου τομέα που απαιτεί ηλεκτρονική_ταυτοποίηση στο κοινοποιούν κράτος μέλος·

γ)	το σύστημα_ηλεκτρονικής_ταυτοποίησης και τα μέσα ηλεκτρονικής ταυτοποίησης που εκδίδονται βάσει αυτού πληρούν τις απαιτήσεις ενός τουλάχιστον από τα επίπεδα διασφάλισης τα οποία παρατίθενται στην εκτελεστική πράξη που αναφέρεται στο άρθρο 8 παράγραφος 3·

δ)

το κοινοποιούν κράτος μέλος διασφαλίζει ότι τα δεδομένα_ταυτοποίησης_προσώπου που αντιπροσωπεύουν κατά τρόπο μοναδικό το εν λόγω πρόσωπο αποδίδονται, σύμφωνα με τις τεχνικές προδιαγραφές, τα πρότυπα και τις διαδικασίες για το οικείο επίπεδο διασφάλισης που ορίζονται στην εκτελεστική πράξη του άρθρου 8 παράγραφος 3, στο φυσικό ή νομικό πρόσωπο που αναφέρεται στο άρθρο 3 σημείο 1 κατά την έκδοση του μέσου ηλεκτρονικής ταυτοποίησης στο πλαίσιο του εν λόγω συστήματος·

ε)

το μέρος που εκδίδει το μέσο_ηλεκτρονικής_ταυτοποίησης στο πλαίσιο του εν λόγω συστήματος διασφαλίζει ότι το μέσο_ηλεκτρονικής_ταυτοποίησης αποδίδεται στο πρόσωπο που αναφέρεται στο στοιχείο δ) του παρόντος άρθρου σύμφωνα με τις τεχνικές προδιαγραφές, τα πρότυπα και τις διαδικασίες για το οικείο επίπεδο διασφάλισης που ορίζονται στην εκτελεστική πράξη του άρθρου 8 παράγραφος 3·

στ)

το κοινοποιούν κράτος μέλος εξασφαλίζει τη διαθεσιμότητα της επαλήθευσης της ταυτότητας επιγραμμικά, ώστε κάθε βασιζόμενο_μέρος που είναι εγκατεστημένο στην επικράτεια άλλου κράτους μέλους να μπορεί να επιβεβαιώνει τα δεδομένα ηλεκτρονικής ταυτοποίησης προσώπου τα οποία έχει λάβει σε ηλεκτρονική μορφή.

Για τα βασιζόμενα μέρη, εκτός από τους φορείς του δημόσιου τομέα, το κοινοποιούν κράτος μέλος μπορεί να ορίσει τους όρους πρόσβασης στην εν λόγω επαλήθευση της ταυτότητας. Η εν λόγω διασυνοριακή επαλήθευση_ταυτότητας παρέχεται δωρεάν όταν διενεργείται σε σχέση με υπηρεσία που παρέχεται επιγραμμικά από φορέα του δημόσιου τομέα.

Τα κράτη μέλη δεν επιβάλλουν ειδικές τεχνικές απαιτήσεις δυσανάλογου χαρακτήρα στα βασιζόμενα μέρη που προτίθενται να προβούν σε τέτοια επαλήθευση_ταυτότητας όταν οι εν λόγω απαιτήσεις αποτρέπουν ή παρεμποδίζουν σημαντικά τη διαλειτουργικότητα των κοινοποιηθέντων συστημάτων ηλεκτρονικής ταυτοποίησης·

ζ)

τουλάχιστον έξι μήνες πριν από την κοινοποίηση σύμφωνα με το άρθρο 9 παράγραφος 1, το κοινοποιούν κράτος μέλος παρέχει στα άλλα κράτη μέλη, για τους σκοπούς που αφορούν την υποχρέωση του άρθρου 12 παράγραφος 5, περιγραφή του εν λόγω συστήματος σύμφωνα με τις διαδικαστικές λεπτομέρειες που καθορίζονται με τις εκτελεστικές πράξεις του άρθρου 12 παράγραφος 7·

η)	το σύστημα_ηλεκτρονικής_ταυτοποίησης πληροί τις απαιτήσεις της εκτελεστικής πράξης του άρθρου 12 παράγραφος 8.

Άρθρο 8

Επίπεδα διασφάλισης των συστημάτων ηλεκτρονικής ταυτοποίησης

1. Το σύστημα_ηλεκτρονικής_ταυτοποίησης που κοινοποιείται σύμφωνα με το άρθρο 9 παράγραφος 1 προσδιορίζει το επίπεδο διασφάλισης —χαμηλό, βασικό και/ή υψηλό— των μέσων ηλεκτρονικής ταυτοποίησης που εκδίδονται στο πλαίσιό του.

2. Το χαμηλό, το βασικό και το υψηλό επίπεδο διασφάλισης πληρούν αντιστοίχως τα ακόλουθα κριτήρια:

α)

το χαμηλό επίπεδο διασφάλισης αναφέρεται σε μέσο_ηλεκτρονικής_ταυτοποίησης, εκδιδόμενο στο πλαίσιο συστήματος ηλεκτρονικής ταυτοποίησης το οποίο παρέχει ικανό βαθμό εμπιστοσύνης στην ταυτότητα που επικαλείται ή δηλώνει ένα πρόσωπο και στο οποίο αποδίδεται χαρακτηρισμός βάσει των σχετικών τεχνικών προδιαγραφών, προτύπων και διαδικασιών, περιλαμβανομένων των τεχνικών ελέγχων, σκοπός των οποίων είναι η ικανή μείωση του κινδύνου κατάχρησης ή αλλοίωσης της ταυτότητας·

β)

το βασικό επίπεδο διασφάλισης αναφέρεται σε μέσο_ηλεκτρονικής_ταυτοποίησης εκδιδόμενο στο πλαίσιο συστήματος ηλεκτρονικής ταυτοποίησης, το οποίο παρέχει βασικό βαθμό εμπιστοσύνης στην ταυτότητα που επικαλείται ή δηλώνει ένα πρόσωπο και στο οποίο αποδίδεται χαρακτηρισμός βάσει των σχετικών τεχνικών προδιαγραφών, προτύπων και διαδικασιών, περιλαμβανομένων των τεχνικών ελέγχων, σκοπός των οποίων είναι η ικανή μείωση του κινδύνου κατάχρησης ή αλλοίωσης της ταυτότητας·

γ)

το υψηλό επίπεδο διασφάλισης αναφέρεται σε μέσο_ηλεκτρονικής_ταυτοποίησης εκδιδόμενο στο πλαίσιο συστήματος ηλεκτρονικής ταυτοποίησης το οποίο παρέχει υψηλό βαθμό εμπιστοσύνης στην ταυτότητα που επικαλείται ή δηλώνει ένα πρόσωπο και στο οποίο αποδίδεται χαρακτηρισμός βάσει των σχετικών τεχνικών προδιαγραφών, προτύπων και διαδικασιών, περιλαμβανομένων των τεχνικών ελέγχων, σκοπός των οποίων είναι η αποτροπή της κατάχρησης ή της αλλοίωσης της ταυτότητας.

3. Έως τις 18 Σεπτεμβρίου 2015, λαμβανομένων υπόψη των σχετικών διεθνών προτύπων και με την επιφύλαξη της παραγράφου 2, η Επιτροπή εκδίδει, με εκτελεστικές πράξεις, τις ελάχιστες τεχνικές προδιαγραφές, τα πρότυπα και τις διαδικασίες βάσει των οποίων καθορίζονται τα επίπεδα διασφάλισης —χαμηλό, βασικό και υψηλό— των μέσων ηλεκτρονικής ταυτοποίησης για τους σκοπούς της παραγράφου 1.

Οι εν λόγω ελάχιστες τεχνικές προδιαγραφές, πρότυπα και διαδικασίες καθορίζονται με κριτήριο την αξιοπιστία και την ποιότητα των ακόλουθων στοιχείων:

α)	της διαδικασίας απόδειξης και εξακρίβωσης της ταυτότητας φυσικών ή νομικών προσώπων που ζητούν την έκδοση μέσου ηλεκτρονικής ταυτοποίησης·

β)	της διαδικασίας έκδοσης του μέσου ηλεκτρονικής ταυτοποίησης που έχει ζητηθεί·

γ)	του μηχανισμού επαλήθευσης της ταυτότητας, μέσω του οποίου το φυσικό ή νομικό πρόσωπο χρησιμοποιεί το μέσο_ηλεκτρονικής_ταυτοποίησης για να βεβαιώσει την ταυτότητά του έναντι βασιζόμενου μέρους·

δ)	της οντότητας που εκδίδει το μέσο_ηλεκτρονικής_ταυτοποίησης·

ε)	κάθε άλλου φορέα που συμμετέχει στην αίτηση για την έκδοση του μέσου ηλεκτρονικής ταυτοποίησης, και

στ)	των τεχνικών προδιαγραφών και των προδιαγραφών ασφάλειας του εκδιδόμενου μέσου ηλεκτρονικής ταυτοποίησης.

Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 9

Κοινοποίηση

1. Το κοινοποιούν κράτος μέλος κοινοποιεί στην Επιτροπή τις ακόλουθες πληροφορίες και τυχόν μεταγενέστερες τροποποιήσεις τους, χωρίς αδικαιολόγητη καθυστέρηση:

α)	περιγραφή του συστήματος ηλεκτρονικής ταυτοποίησης, με αναφορά, μεταξύ άλλων, στα επίπεδα διασφάλισής του, στον εκδότη ή τους εκδότες των μέσων ηλεκτρονικής ταυτοποίησης στο πλαίσιο του συστήματος·

β)

το εφαρμοστέο καθεστώς εποπτείας και πληροφορίες για το καθεστώς ευθύνης όσον αφορά τα εξής:

i)	το μέρος που εκδίδει το μέσο_ηλεκτρονικής_ταυτοποίησης, και

ii)	το μέρος που χειρίζεται τη διαδικασία επαλήθευσης της ταυτότητας·

γ)	την αρχή ή τις αρχές που είναι υπεύθυνες για το σύστημα_ηλεκτρονικής_ταυτοποίησης·

δ)	πληροφορίες σχετικά με την οντότητα ή τις οντότητες που διαχειρίζονται την καταγραφή των μοναδικών δεδομένων ηλεκτρονικής ταυτοποίησης προσώπου·

ε)	περιγραφή του τρόπου με τον οποίο πληρούνται οι απαιτήσεις των εκτελεστικών πράξεων του άρθρου 12 παράγραφος 8·

στ)	περιγραφή της επαλήθευσης ταυτότητας που αναφέρεται στο άρθρο 7 στοιχείο στ)·

ζ)	τις ρυθμίσεις για την αναστολή ή την ανάκληση είτε του κοινοποιούμενου συστήματος ηλεκτρονικής ταυτοποίησης ή της επαλήθευσης ταυτότητας είτε των σχετικών τμημάτων αυτών που έχουν εκτεθεί σε κίνδυνο.

2. Ένα έτος από την ημερομηνία έναρξης ισχύος των εκτελεστικών πράξεων που αναφέρονται στο άρθρο 8 παράγραφος 3 και στο άρθρο 12 παράγραφος 8, η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης τον κατάλογο των συστημάτων ηλεκτρονικής ταυτοποίησης που κοινοποιήθηκαν σύμφωνα με την παράγραφο 1 του παρόντος άρθρου και τις βασικές πληροφορίες για αυτά.

3. Εάν η Επιτροπή λάβει κοινοποίηση μετά την πάροδο της αναφερόμενης στην παράγραφο 2 περιόδου, δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης τις τροποποιήσεις του καταλόγου της παραγράφου 2 εντός δύο μηνών από την ημερομηνία παραλαβής της εν λόγω κοινοποίησης.

4. Ένα κράτος μέλος μπορεί να υποβάλει στην Επιτροπή αίτημα για να διαγραφεί από τον κατάλογο της παραγράφου 2 το σύστημα_ηλεκτρονικής_ταυτοποίησης που έχει κοινοποιήσει. Η Επιτροπή δημοσιεύει στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης τις αντίστοιχες τροποποιήσεις του καταλόγου εντός μηνός από την ημερομηνία παραλαβής του αιτήματος του κράτους μέλους.

5. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, τις περιστάσεις, τους μορφότυπους και τις διαδικασίες για την κοινοποίηση βάσει της παραγράφου 1. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 10

Παραβίαση ασφάλειας

1. Όταν είτε το σύστημα_ηλεκτρονικής_ταυτοποίησης που έχει κοινοποιηθεί σύμφωνα με το άρθρο 9 παράγραφος 1 είτε η επαλήθευση_ταυτότητας που αναφέρεται στο άρθρο 7 στοιχείο στ) έχουν παραβιαστεί ή εκτεθεί μερικώς σε κίνδυνο κατά τρόπο που θίγει την αξιοπιστία της διασυνοριακής επαλήθευσης ταυτότητας του εν λόγω συστήματος, το κοινοποιούν κράτος μέλος αναστέλλει ή ανακαλεί χωρίς καθυστέρηση την εν λόγω διασυνοριακή επαλήθευση_ταυτότητας ή τα σχετικά τμήματα που έχουν εκτεθεί σε κίνδυνο και ενημερώνει τα άλλα κράτη μέλη και την Επιτροπή.

2. Όταν αντιμετωπιστεί η παραβίαση ή η έκθεση σε κίνδυνο που αναφέρεται στην παράγραφο 1, το κοινοποιούν κράτος μέλος αποκαθιστά τη διασυνοριακή επαλήθευση_ταυτότητας και ενημερώνει τα άλλα κράτη μέλη και την Επιτροπή χωρίς αδικαιολόγητη καθυστέρηση.

3. Αν η παραβίαση ή ο κίνδυνος που αναφέρονται στην παράγραφο 1 δεν αντιμετωπιστούν εντός τριών μηνών από την αναστολή ή την ανάκληση, το κοινοποιούν κράτος μέλος κοινοποιεί στα άλλα κράτη μέλη και στην Επιτροπή την απόσυρση του συστήματος ηλεκτρονικής ταυτοποίησης.

Η Επιτροπή δημοσιεύει χωρίς αδικαιολόγητη καθυστέρηση στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης τις αντίστοιχες τροποποιήσεις του καταλόγου του άρθρου 9 παράγραφος 2.

Άρθρο 11

Ευθύνη

1. Το κοινοποιούν κράτος μέλος ευθύνεται για τη ζημία που προκαλείται από πρόθεση ή από αμέλεια σε οποιοδήποτε φυσικό ή νομικό πρόσωπο λόγω μη συμμόρφωσης προς τις υποχρεώσεις του που προβλέπονται στο άρθρο 7 στοιχεία δ) και στ) στο πλαίσιο διασυνοριακής συναλλαγής.

2. Το μέρος που εκδίδει το μέσο_ηλεκτρονικής_ταυτοποίησης ευθύνεται για τη ζημία που προκαλείται από πρόθεση ή από αμέλεια σε οποιοδήποτε φυσικό ή νομικό πρόσωπο λόγω μη συμμόρφωσης προς την υποχρέωσή του που προβλέπεται στο άρθρο 7 στοιχείο ε) στο πλαίσιο διασυνοριακής συναλλαγής.

3. Το μέρος που χειρίζεται τη διαδικασία επαλήθευσης της ταυτότητας ευθύνεται για τη ζημία που προκαλείται από πρόθεση ή από αμέλεια σε οποιοδήποτε φυσικό ή νομικό πρόσωπο λόγω μη διασφάλισης της ορθής λειτουργίας της επαλήθευσης της ταυτότητας που αναφέρεται στο άρθρο 7 στοιχείο στ) στο πλαίσιο διασυνοριακής συναλλαγής.

4. Οι παράγραφοι 1, 2 και 3 εφαρμόζονται σύμφωνα με τους εθνικούς κανόνες περί ευθύνης.

5. Οι παράγραφοι 1, 2 και 3 ισχύουν με την επιφύλαξη της προβλεπόμενης από το εθνικό δίκαιο ευθύνης των μερών συναλλαγής στην οποία χρησιμοποιούνται μέσα ηλεκτρονικής ταυτοποίησης που εμπίπτουν στο πλαίσιο του κοινοποιημένου συστήματος ηλεκτρονικής ταυτοποίησης το οποίο έχει κοινοποιηθεί σύμφωνα με το άρθρο 9 παράγραφος 1.

Άρθρο 12

Συνεργασία και διαλειτουργικότητα

1. Τα εθνικά συστήματα ηλεκτρονικής ταυτοποίησης που κοινοποιούνται σύμφωνα με το άρθρο 9 παράγραφος 1 είναι διαλειτουργικά.

2. Για τους σκοπούς της παραγράφου 1 θεσπίζεται πλαίσιο διαλειτουργικότητας.

3. Το πλαίσιο διαλειτουργικότητας πληροί τα ακόλουθα κριτήρια:

α)	έχει στόχο να είναι τεχνολογικά ουδέτερο και δεν κάνει διακρίσεις μεταξύ συγκεκριμένων εθνικών τεχνικών λύσεων για την ηλεκτρονική_ταυτοποίηση εντός του κράτους μέλους·

β)	ακολουθεί τα ευρωπαϊκά και διεθνή πρότυπα, όταν αυτό είναι εφικτό·

γ)	διευκολύνει την από σχεδίου εφαρμογή της αρχής της προστασίας της ιδιωτικής ζωής, και

δ)	εξασφαλίζει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα σύμφωνα με την οδηγία 95/46/ΕΚ.

4. Το πλαίσιο διαλειτουργικότητας περιλαμβάνει τα εξής:

α)	αναφορά ελάχιστων τεχνικών απαιτήσεων σχετικά με τα επίπεδα διασφάλισης που προβλέπονται στο άρθρο 8·

β)	αντιστοίχιση των εθνικών επιπέδων διασφάλισης των κοινοποιημένων συστημάτων ηλεκτρονικής ταυτοποίησης με τα επίπεδα διασφάλισης που προβλέπονται στο άρθρο 8·

γ)	αναφορά ελάχιστων τεχνικών απαιτήσεων για τη διαλειτουργικότητα·

δ)	αναφορά σε ένα ελάχιστο σύνολο δεδομένων ταυτοποίησης προσώπου που αντιπροσωπεύουν κατά τρόπο μοναδικό ένα φυσικό ή νομικό πρόσωπο και διατίθενται από τα συστήματα ηλεκτρονικής ταυτοποίησης·

ε)	κανονισμό λειτουργίας·

στ)	ρυθμίσεις για την επίλυση διαφορών, και

ζ)	κοινά πρότυπα λειτουργικής ασφάλειας.

5. Τα κράτη μέλη συνεργάζονται ως προς τα ακόλουθα:

α)	τη διαλειτουργικότητα των συστημάτων ηλεκτρονικής ταυτοποίησης που κοινοποιούν σύμφωνα με το άρθρο 9 παράγραφος 1 και των συστημάτων ηλεκτρονικής ταυτοποίησης που προτίθενται να κοινοποιήσουν, και

β)	την ασφάλεια των συστημάτων ηλεκτρονικής ταυτοποίησης.

6. Η συνεργασία μεταξύ των κρατών μελών περιλαμβάνει τα εξής:

α)	ανταλλαγή πληροφοριών, πείρας και καλών πρακτικών σχετικά με τα συστήματα ηλεκτρονικής ταυτοποίησης και ιδίως σε ό,τι αφορά τις τεχνικές απαιτήσεις σχετικά με τη διαλειτουργικότητα και τα επίπεδα διασφάλισης·

β)	ανταλλαγή πληροφοριών, πείρας και καλών πρακτικών όσον αφορά την εφαρμογή των επιπέδων διασφάλισης των συστημάτων ηλεκτρονικής ταυτοποίησης που προβλέπονται στο άρθρο 8·

γ)	αξιολόγηση από ομοτίμους των συστημάτων ηλεκτρονικής ταυτοποίησης που εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού, και

δ)	εξέταση των σχετικών εξελίξεων στον τομέα της ηλεκτρονικής ταυτοποίησης.

7. Έως τις 18 Μαρτίου 2015 η Επιτροπή καθορίζει, με εκτελεστικές πράξεις, τις αναγκαίες διαδικαστικές λεπτομέρειες προκειμένου να διευκολύνει τη συνεργασία μεταξύ των κρατών μελών που αναφέρεται στις παραγράφους 5 και 6, με σκοπό την προώθηση υψηλού επιπέδου εμπιστοσύνης και ασφάλειας αντίστοιχου με το βαθμό κινδύνου.

8. Έως τις 18 Σεπτεμβρίου 2015 και για τον σκοπό της θέσπισης ενιαίων όρων για την εφαρμογή της απαίτησης που προβλέπεται στην παράγραφο 1, η Επιτροπή εκδίδει εκτελεστικές πράξεις σχετικά με το πλαίσιο διαλειτουργικότητας, όπως ορίζεται στην παράγραφο 4, με την επιφύλαξη των κριτηρίων της παραγράφου 3 και λαμβανομένων υπόψη των αποτελεσμάτων της συνεργασίας μεταξύ των κρατών μελών.

9. Οι εκτελεστικές πράξεις που αναφέρονται στις παραγράφους 7 και 8 του παρόντος άρθρου εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

ΚΕΦΑΛΑΙΟ III

ΥΠΗΡΕΣΙΕΣ ΔΙΑΣΦΑΛΙΣΗΣ ΤΗΣ ΕΜΠΙΣΤΟΣΥΝΗΣ

ΤΜΗΜΑ 1

Γενικές διατάξεις

Άρθρο 13

Ευθύνη και βάρος απόδειξης

1. Με την επιφύλαξη της παραγράφου 2, οι πάροχοι υπηρεσιών εμπιστοσύνης ευθύνονται για ζημία που προκαλείται από πρόθεση ή από αμέλεια σε οποιοδήποτε φυσικό ή νομικό πρόσωπο λόγω μιας μη συμμόρφωσης προς τις υποχρεώσεις που προβλέπονται στον παρόντα κανονισμό.

Το φυσικό ή νομικό πρόσωπο που επικαλείται τη ζημία του πρώτου εδαφίου φέρει το βάρος για την απόδειξη της πρόθεσης ή της αμέλειας μη εγκεκριμένου παρόχου υπηρεσιών εμπιστοσύνης.

Τεκμαίρεται ότι συντρέχει πρόθεση ή αμέλεια εγκεκριμένου παρόχου υπηρεσιών εμπιστοσύνης, εκτός εάν ο εν λόγω εγκεκριμένος πάροχος_υπηρεσιών_εμπιστοσύνης αποδείξει ότι η ζημία που αναφέρεται στο πρώτο εδάφιο προκλήθηκε χωρίς να συντρέχει πρόθεση ή αμέλειά του.

2. Στις περιπτώσεις κατά τις οποίες οι πάροχοι υπηρεσιών εμπιστοσύνης ενημερώνουν εκ των προτέρων και με τον αρμόζοντα τρόπο τους πελάτες τους σχετικά με τους περιορισμούς όσον αφορά τη χρήση των υπηρεσιών που παρέχουν και στις περιπτώσεις που οι περιορισμοί αυτοί είναι αναγνωρίσιμοι στους τρίτους, οι πάροχοι υπηρεσιών εμπιστοσύνης δεν ευθύνονται για ζημίες που προκαλούνται από χρήση των υπηρεσιών καθ’ υπέρβαση των δηλωθέντων περιορισμών.

3. Οι παράγραφοι 1 και 2 εφαρμόζονται σύμφωνα με τους εθνικούς κανόνες περί ευθύνης.

Άρθρο 14

Διεθνείς πτυχές

1. Οι υπηρεσίες εμπιστοσύνης που παρέχονται από παρόχους υπηρεσιών εμπιστοσύνης εγκατεστημένους σε τρίτες χώρες αναγνωρίζονται ως νομικά ισοδύναμες προς τις εγκεκριμένες υπηρεσίες εμπιστοσύνης που παρέχονται από εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης εγκατεστημένους εντός της Ένωσης, εφόσον οι υπηρεσίες εμπιστοσύνης που προέρχονται από την τρίτη χώρα αναγνωρίζονται δυνάμει συμφωνίας που έχει συναφθεί μεταξύ της Ένωσης και της εν λόγω τρίτης χώρας ή διεθνούς οργανισμού σύμφωνα με το άρθρο 218 ΣΛΕΕ.

2. Οι συμφωνίες που αναφέρονται στην παράγραφο 1 διασφαλίζουν, ιδίως, τα εξής:

α)

ότι οι απαιτήσεις που εφαρμόζονται στους εγκατεστημένους στην Ένωση παρόχους εγκεκριμένων υπηρεσιών εμπιστοσύνης καθώς και στις εγκεκριμένες υπηρεσίες εμπιστοσύνης που αυτοί παρέχουν τηρούνται από τους παρόχους υπηρεσιών εμπιστοσύνης στην τρίτη χώρα ή τους διεθνείς οργανισμούς που είναι συμβαλλόμενα μέρη των συμφωνιών, όπως επίσης και από τις υπηρεσίες εμπιστοσύνης που αυτοί παρέχουν·

β)

ότι οι εγκεκριμένες υπηρεσίες εμπιστοσύνης που παρέχονται από εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης εγκατεστημένους στην Ένωση αναγνωρίζονται ως νομικά ισοδύναμες με τις υπηρεσίες εμπιστοσύνης που παρέχονται από παρόχους υπηρεσιών εμπιστοσύνης στην τρίτη χώρα ή τον διεθνή οργανισμό που είναι συμβαλλόμενο μέρος των συμφωνιών.

Άρθρο 16

Κυρώσεις

Τα κράτη μέλη θεσπίζουν κανόνες σχετικά με τις κυρώσεις που εφαρμόζονται σε περίπτωση παράβασης του παρόντος κανονισμού. Οι προβλεπόμενες κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.

ΤΜΗΜΑ 2

Εποπτεία

Άρθρο 17

Εποπτικός φορέας

1. Τα κράτη μέλη ορίζουν εποπτικό φορέα εγκατεστημένο στην επικράτειά τους - ή, κατόπιν αμοιβαίας συμφωνίας με άλλο κράτος μέλος, εποπτικό φορέα εγκατεστημένο στο κράτος μέλος αυτό. Ο εν λόγω φορέας είναι υπεύθυνος για την άσκηση καθηκόντων εποπτείας στο κράτος μέλος που τον ορίζει.

Στους εποπτικούς φορείς ανατίθενται οι αναγκαίες εξουσίες και διατίθενται επαρκείς πόροι για την άσκηση των καθηκόντων τους.

2. Τα κράτη μέλη κοινοποιούν στην Επιτροπή τα ονόματα και τις διευθύνσεις των αντίστοιχων εποπτικών φορέων που έχουν ορίσει.

3. Ο εποπτικός φορέας έχει τον ακόλουθο ρόλο:

α)

εποπτεύει τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης που είναι εγκατεστημένοι στην επικράτεια του κράτους μέλους που τους έχει ορίσει, προκειμένου να διασφαλίζει, με εκ των προτέρων και εκ των υστέρων εποπτικές δραστηριότητες, ότι οι εν λόγω εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης και οι εγκεκριμένες υπηρεσίες εμπιστοσύνης που παρέχουν πληρούν τις απαιτήσεις που θεσπίζει ο παρών κανονισμός·

β)

αναλαμβάνει δράση, όταν είναι αναγκαίο, σχετικά με μη εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης που είναι εγκατεστημένοι στην επικράτεια του κράτους μέλους που τον έχει ορίσει, με εκ των υστέρων εποπτικές δραστηριότητες, όταν γίνεται αποδέκτης πληροφοριών σύμφωνα με τις οποίες οι εν λόγω εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης ή οι υπηρεσίες εμπιστοσύνης που παρέχουν εικάζεται ότι δεν πληρούν τις απαιτήσεις που ορίζονται στον παρόντα κανονισμό.

4. Για τους σκοπούς της παραγράφου 3 και με την επιφύλαξη των περιορισμών που προβλέπονται σε αυτήν, ο εποπτικός φορέας έχει καθήκον, ιδίως:

α)	να συνεργάζεται με άλλους εποπτικούς φορείς και να τους παρέχει βοήθεια, σύμφωνα με το άρθρο 18·

β)	να αναλύει τις εκθέσεις αξιολόγησης της συμμόρφωσης που αναφέρονται στο άρθρο 20 παράγραφος 1 και στο άρθρο 21 παράγραφος 1·

γ)	να ενημερώνει τους λοιπούς εποπτικούς φορείς και το κοινό σχετικά με περιπτώσεις παραβίασης της ασφάλειας ή απώλειας της ακεραιότητας σύμφωνα με το άρθρο 19 παράγραφος 2·

δ)	να αναφέρει στην Επιτροπή σχετικά με τις κύριες δραστηριότητές του σύμφωνα με την παράγραφο 6 του παρόντος άρθρου·

ε)	να διενεργεί ελέγχους ή να ζητεί από οργανισμό αξιολόγησης της συμμόρφωσης να πραγματοποιήσει αξιολόγηση της συμμόρφωσης εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης σύμφωνα με το άρθρο 20 παράγραφος 2·

στ)	να συνεργάζεται με τις αρχές προστασίας δεδομένων, ιδίως ενημερώνοντάς τες, χωρίς αδικαιολόγητη καθυστέρηση, σχετικά με τα αποτελέσματα των ελέγχων εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης, όταν υπάρχουν ενδείξεις ότι έχουν παραβιαστεί οι κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα·

ζ)	να χορηγεί έγκριση στους παρόχους υπηρεσιών εμπιστοσύνης και στις υπηρεσίες που αυτοί παρέχουν, καθώς και να αποσύρει την έγκριση αυτή σύμφωνα με τα άρθρα 20 και 21·

η)	να ενημερώνει τον φορέα που είναι αρμόδιος για τον εθνικό κατάλογο εμπιστοσύνης που αναφέρεται στο άρθρο 22 παράγραφος 3 σχετικά με τις αποφάσεις του για τη χορήγηση ή την απόσυρση έγκρισης, εκτός αν ο εν λόγω φορέας είναι επίσης ο εποπτικός φορέας·

θ)

να ελέγχει την ύπαρξη και την ορθή εφαρμογή των διατάξεων σχετικά με τα σχέδια τερματισμού, στις περιπτώσεις κατά τις οποίες ο εγκεκριμένος πάροχος_υπηρεσιών_εμπιστοσύνης παύει τις δραστηριότητές του, περιλαμβανομένου του τρόπου με τον οποίο διασφαλίζεται η πρόσβαση στις πληροφορίες, σύμφωνα με το άρθρο 24 παράγραφος 2 στοιχείο η)·

ι)	να απαιτεί από τους παρόχους υπηρεσιών εμπιστοσύνης να αίρουν οποιαδήποτε παράλειψη συμμόρφωσης προς τις απαιτήσεις του παρόντος κανονισμού.

5. Τα κράτη μέλη μπορούν να απαιτούν ότι ο εν λόγω εποπτικός φορέας δημιουργεί, διατηρεί και ενημερώνει υποδομή εμπιστοσύνης, σύμφωνα με τους όρους του εθνικού δικαίου.

6. Έως τις 31 Μαρτίου εκάστου έτους, κάθε εποπτικός φορέας υποβάλλει στην Επιτροπή έκθεση σχετικά με τις κύριες δραστηριότητες του προηγούμενου ημερολογιακού έτους, όπως επίσης και συνοπτική παρουσίαση των κοινοποιήσεων παραβίασης που έλαβε από παρόχους υπηρεσιών εμπιστοσύνης σύμφωνα με το άρθρο 19 παράγραφος 2.

7. Η Επιτροπή θέτει στη διάθεση των κρατών μελών την ετήσια έκθεση που αναφέρεται στην παράγραφο 6.

8. Η Επιτροπή δύναται να καθορίζει, με εκτελεστικές πράξεις, τους μορφότυπους και τις διαδικασίες για την έκθεση που προβλέπεται στην παράγραφο 6. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 18

Αμοιβαία συνδρομή

1. Οι εποπτικοί φορείς συνεργάζονται για την ανταλλαγή ορθών πρακτικών.

Εποπτικός φορέας που λαμβάνει αιτιολογημένο αίτημα από άλλον εποπτικό φορέα παρέχει στον αιτούντα φορέα συνδρομή με σκοπό τη συνεκτική διεξαγωγή των δραστηριοτήτων των εποπτικών φορέων. Η αμοιβαία συνδρομή μπορεί να καλύπτει, ιδίως, αιτήματα παροχής πληροφοριών και εποπτικά μέτρα, όπως αιτήματα για τη διενέργεια επιθεωρήσεων σε σχέση με τις εκθέσεις αξιολόγησης της συμμόρφωσης που αναφέρονται στα άρθρα 20 και 21.

2. Εποπτικός φορέας στον οποίο απευθύνεται αίτημα συνδρομής μπορεί να αρνηθεί να ανταποκριθεί στο εν λόγω αίτημα όταν συντρέχει οποιοσδήποτε από τις ακόλουθους λόγους:

α)	ο εποπτικός φορέας δεν είναι αρμόδιος να παρέχει τη συνδρομή που ζητείται·

β)	η συνδρομή που ζητείται δεν είναι ανάλογη προς τις εποπτικές δραστηριότητες του εποπτικού φορέα οι οποίες πραγματοποιούνται σύμφωνα με το άρθρο 17·

γ)	η παροχή της συνδρομής που ζητείται θα ήταν ασυμβίβαστη με τον παρόντα κανονισμό.

3. Όπου κρίνεται σκόπιμο, τα κράτη μέλη μπορούν να επιτρέπουν στους οικείους εποπτικούς φορείς τους να διεξάγουν κοινές έρευνες στις οποίες συμμετέχει προσωπικό των εποπτικών φορέων άλλων κρατών μελών. Οι ρυθμίσεις και οι διαδικασίες για κοινές δράσεις αυτού του είδους συμφωνούνται και θεσπίζονται από τα ενδιαφερόμενα κράτη μέλη σύμφωνα με τα εθνικά τους δίκαια.

Άρθρο 19

Απαιτήσεις ασφάλειας για τους παρόχους υπηρεσιών εμπιστοσύνης

1. Οι πάροχοι υπηρεσιών εμπιστοσύνης, εγκεκριμένοι και μη, λαμβάνουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα διαχείρισης των κινδύνων για την ασφάλεια των υπηρεσιών εμπιστοσύνης που παρέχουν. Λαμβανομένων υπόψη των τελευταίων τεχνολογικών εξελίξεων, τα εν λόγω μέτρα διασφαλίζουν ότι το επίπεδο ασφαλείας είναι ανάλογο προς τον βαθμό του κινδύνου. Συγκεκριμένα, λαμβάνονται μέτρα για την πρόληψη και την ελαχιστοποίηση του αντικτύπου των συμβάντων που άπτονται της ασφάλειας, καθώς και για την ενημέρωση των ενδιαφερομένων σχετικά με τις δυσμενείς επιπτώσεις τυχόν παρόμοιων συμβάντων.

2. Οι πάροχοι υπηρεσιών εμπιστοσύνης, εγκεκριμένοι και μη, ενημερώνουν, χωρίς αδικαιολόγητη καθυστέρηση και, σε κάθε περίπτωση, εντός 24 ωρών αφότου έλαβαν γνώση σχετικά, τον εποπτικό φορέα και, κατά περίπτωση, άλλους σχετικούς φορείς, όπως τον αρμόδιο εθνικό φορέα για την ασφάλεια των πληροφοριών ή την αρχή προστασίας δεδομένων, για οποιαδήποτε παραβίαση της ασφάλειας ή απώλεια της ακεραιότητας που έχει σημαντικό αντίκτυπο στην παρεχόμενη υπηρεσία_εμπιστοσύνης ή στα σχετικά δεδομένα προσωπικού χαρακτήρα.

Όταν η παραβίαση της ασφάλειας ή η απώλεια της ακεραιότητας είναι πιθανόν να επηρεάσει δυσμενώς φυσικό ή νομικό πρόσωπο στο οποίο έχει παρασχεθεί η υπηρεσία_εμπιστοσύνης, ο πάροχος_υπηρεσιών_εμπιστοσύνης ενημερώνει επίσης, χωρίς αδικαιολόγητη καθυστέρηση, το φυσικό ή νομικό πρόσωπο για την παραβίαση της ασφάλειας ή την απώλεια της ακεραιότητας.

Κατά περίπτωση, ιδίως εάν η παραβίαση της ασφάλειας ή η απώλεια της ακεραιότητας αφορά δύο ή περισσότερα κράτη μέλη, ο εποπτικός φορέας που έχει ενημερωθεί ενημερώνει τους εποπτικούς φορείς των άλλων ενδιαφερόμενων κρατών μελών και τον ENISA.

Ο εποπτικός φορέας που έχει ενημερωθεί ενημερώνει το κοινό ή ζητεί από τον πάροχο υπηρεσιών εμπιστοσύνης να το πράξει, εφόσον κρίνει ότι η δημοσιοποίηση της παραβίασης της ασφάλειας ή της απώλειας της ακεραιότητας εξυπηρετεί το δημόσιο συμφέρον.

3. Ο εποπτικός φορέας παρέχει μία φορά ετησίως στον ENISA σύνοψη των κοινοποιήσεων παραβίασης της ασφάλειας ή της απώλειας της ακεραιότητας που έχει λάβει από τους παρόχους υπηρεσιών εμπιστοσύνης.

4. Η Επιτροπή μπορεί, με εκτελεστικές πράξεις, να προβαίνει στις ακόλουθες ενέργειες:

α)	να εξειδικεύει περαιτέρω τα μέτρα της παραγράφου 1, και

β)	να καθορίζει τους μορφότυπους και τις διαδικασίες, συμπεριλαμβανομένων των προθεσμιών, που ισχύουν για τον σκοπό της παραγράφου 2.

ΤΜΗΜΑ 3

Εγκεκριμένες υπηρεσίες εμπιστοσύνης

Άρθρο 20

Εποπτεία εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης

1. Οι εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης ελέγχονται, με δικές τους δαπάνες τουλάχιστον κάθε 24 μήνες, από οργανισμό αξιολόγησης της συμμόρφωσης. Σκοπός του ελέγχου είναι να επιβεβαιώνεται ότι οι εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης και οι παρεχόμενες από αυτούς εγκεκριμένες υπηρεσίες εμπιστοσύνης πληρούν τις απαιτήσεις του παρόντος κανονισμού. Οι εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης υποβάλλουν την προκύπτουσα έκθεση αξιολόγησης της συμμόρφωσης στον εποπτικό φορέα εντός τριών εργάσιμων ημερών από την παραλαβή της.

2. Με την επιφύλαξη της παραγράφου 1, ο εποπτικός φορέας μπορεί ανά πάσα στιγμή να διενεργεί ελέγχους ή να ζητεί από οργανισμό αξιολόγησης της συμμόρφωσης τη διενέργεια αξιολόγησης της συμμόρφωσης για εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης, με δαπάνες των εν λόγω εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης, προκειμένου να επιβεβαιώνεται ότι οι ίδιοι και οι παρεχόμενες από αυτούς εγκεκριμένες υπηρεσίες εμπιστοσύνης πληρούν τις προϋποθέσεις του παρόντος κανονισμού. Όταν υπάρχουν ενδείξεις ότι έχουν παραβιαστεί οι κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα, ο εποπτικός φορέας ενημερώνει τις αρχές προστασίας δεδομένων για τα αποτελέσματα των ελέγχων του.

3. Όταν ο εποπτικός φορέας απαιτεί από τον εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης να άρει την παράλειψη συμμόρφωσης προς τις απαιτήσεις του παρόντος κανονισμού και όταν ο εν λόγω πάροχος δεν ενεργεί ανάλογα, κατά περίπτωση εντός προθεσμίας που τάσσει ο εποπτικός φορέας, ο εν λόγω φορέας μπορεί, λαμβάνοντας υπόψη ιδίως την έκταση, τη διάρκεια και τις επιπτώσεις της παράλειψης αυτής, να αποσύρει την έγκριση του εν λόγω παρόχου ή της θιγόμενης υπηρεσίας που παρέχεται από αυτόν και να ενημερώσει τον φορέα που αναφέρεται στο άρθρο 22 παράγραφος 3, προκειμένου να ενημερώσει τους κατάλογους εμπιστοσύνης που αναφέρονται στο άρθρο 22 παράγραφος 1. Ο εποπτικός φορέας ενημερώνει τον εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης σχετικά με την απόσυρση της έγκρισής του ή της έγκρισης της σχετικής υπηρεσίας.

4. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, αριθμούς αναφοράς προτύπων για τα εξής πρότυπα:

α)	πρότυπα για τη διαπίστευση των οργανισμών αξιολόγησης της συμμόρφωσης και για την έκθεση αξιολόγησης της πιστότητας που αναφέρεται στην παράγραφο 1·

β)	πρότυπα για τους κανόνες ελέγχου βάσει των οποίων οι οργανισμοί αξιολόγησης της συμμόρφωσης θα διενεργούν την αξιολόγηση της συμμόρφωσης των εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης σύμφωνα με την παράγραφο 1.

Άρθρο 21

Έναρξη εγκεκριμένης υπηρεσίας εμπιστοσύνης

1. Εάν πάροχοι υπηρεσιών εμπιστοσύνης που δεν είναι εγκεκριμένοι σκοπεύουν να αρχίσουν να παρέχουν εγκεκριμένες υπηρεσίες εμπιστοσύνης, υποβάλλουν στον εποπτικό φορέα κοινοποίηση της πρόθεσής τους μαζί με έκθεση αξιολόγησης της συμμόρφωσης εκδοθείσα από οργανισμό αξιολόγησης της συμμόρφωσης.

2. Ο εποπτικός φορέας εξακριβώνει αν ο πάροχος_υπηρεσιών_εμπιστοσύνης και οι υπηρεσίες εμπιστοσύνης που παρέχονται συμμορφώνονται προς τις απαιτήσεις του παρόντος κανονισμού, και ιδίως τις απαιτήσεις που προβλέπονται για τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης και για τις εγκεκριμένες υπηρεσίες εμπιστοσύνης που παρέχουν.

Εάν ο εποπτικός φορέας καταλήξει στο συμπέρασμα ότι ο πάροχος_υπηρεσιών_εμπιστοσύνης και οι υπηρεσίες εμπιστοσύνης που παρέχει συμμορφώνονται προς τις απαιτήσεις που αναφέρονται στο πρώτο εδάφιο, χορηγεί έγκριση στον πάροχο υπηρεσιών εμπιστοσύνης και στις υπηρεσίες εμπιστοσύνης που παρέχει. Ενημερώνει τον φορέα που αναφέρεται στο άρθρο 22 παράγραφος 3 προκειμένου να ενημερώσει τους καταλόγους εμπιστοσύνης που αναφέρονται στο άρθρο 22 παράγραφος 1, το αργότερο τρεις μήνες από την κοινοποίηση σύμφωνα με την παράγραφο 1 του παρόντος άρθρου.

Εάν η εξακρίβωση δεν ολοκληρωθεί εντός τριών μηνών από την κοινοποίηση, ο εποπτικός φορέας ενημερώνει τον πάροχο υπηρεσιών εμπιστοσύνης εξηγώντας τους λόγους της καθυστέρησης και ορίζοντας την προθεσμία εντός της οποίας θα ολοκληρωθεί η εξακρίβωση.

3. Οι εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης μπορούν να αρχίσουν να παρέχουν τις εγκεκριμένες υπηρεσίες εμπιστοσύνης αφού η έγκριση καταχωριστεί στους καταλόγους εμπιστοσύνης που αναφέρονται στο άρθρο 22 παράγραφος 1.

4. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, μορφότυπους και διαδικασίες για τους σκοπούς των παραγράφων 1 και 2. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 22

Κατάλογοι εμπιστοσύνης

1. Κάθε κράτος μέλος καταρτίζει, τηρεί και δημοσιεύει καταλόγους εμπιστοσύνης συμπεριλαμβανομένων των πληροφοριών σχετικά με τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης για τους οποίους είναι αρμόδιο, καθώς και πληροφορίες σχετικά με τις εγκεκριμένες υπηρεσίες εμπιστοσύνης που παρέχουν.

2. Τα κράτη μέλη καταρτίζουν, τηρούν και δημοσιεύουν, με ασφαλή τρόπο, ηλεκτρονικά υπογεγραμμένους ή σφραγισμένους καταλόγους εμπιστοσύνης, όπως προβλέπονται στην παράγραφο 1, σε μορφή κατάλληλη για αυτοματοποιημένη επεξεργασία.

3. Τα κράτη μέλη κοινοποιούν στην Επιτροπή, χωρίς αδικαιολόγητη καθυστέρηση, πληροφορίες για τον φορέα που είναι υπεύθυνος για την κατάρτιση, την τήρηση και τη δημοσίευση εθνικών καταλόγων εμπιστοσύνης και στοιχεία για την τοποθεσία όπου δημοσιεύονται οι εν λόγω κατάλογοι, τα πιστοποιητικά που χρησιμοποιούνται για την υπογραφή ή τη σφράγισή τους και τυχόν τροποποιήσεις τους.

4. Η Επιτροπή θέτει στη διάθεση του κοινού, μέσω ασφαλούς διαύλου, τις πληροφορίες που αναφέρονται στην παράγραφο 3 σε ηλεκτρονικά υπογεγραμμένη ή σφραγισμένη μορφή, κατάλληλη για αυτοματοποιημένη επεξεργασία.

5. Έως τις 18 Σεπτεμβρίου 2015 η Επιτροπή διευκρινίζει, με την έκδοση εκτελεστικών πράξεων, τις πληροφορίες που περιγράφονται στην παράγραφο 1 και καθορίζει τις τεχνικές προδιαγραφές και τους μορφότυπους των καταλόγων εμπιστοσύνης που ισχύουν για τον σκοπό των παραγράφων 1 έως 4. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 23

Ενωσιακό σήμα εμπιστοσύνης για εγκεκριμένες υπηρεσίες εμπιστοσύνης

1. Αφού καταχωριστεί στον κατάλογο εμπιστοσύνης που αναφέρεται στο άρθρο 22 παράγραφος 1 η έγκριση που αναφέρεται στο άρθρο 21 παράγραφος 2 δεύτερο εδάφιο, οι εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης μπορούν να χρησιμοποιούν το ενωσιακό σήμα εμπιστοσύνης για να επισημαίνουν με απλό, αναγνωρίσιμο και σαφή τρόπο τις εγκεκριμένες υπηρεσίες εμπιστοσύνης που προσφέρουν.

2. Κατά τη χρήση του ενωσιακού σήματος εμπιστοσύνης για τις εγκεκριμένες υπηρεσίες εμπιστοσύνης που αναφέρεται στην παράγραφο 1, οι εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης μεριμνούν ώστε να υπάρχει στον ιστότοπό τους σύνδεσμος προς τον σχετικό κατάλογο εμπιστοσύνης.

3. Έως την 1η Ιουλίου 2015 η Επιτροπή ορίζει, με εκτελεστικές πράξεις, τις προδιαγραφές σχετικά με τη μορφή και ιδίως την παρουσίαση, τη σύνθεση, το μέγεθος και το σχέδιο του ενωσιακού σήματος εμπιστοσύνης για τις εγκεκριμένες υπηρεσίες εμπιστοσύνης. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 24

Απαιτήσεις για τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης

1. Κατά την έκδοση εγκεκριμένου πιστοποιητικού για υπηρεσία_εμπιστοσύνης, ο εγκεκριμένος πάροχος_υπηρεσιών_εμπιστοσύνης προβαίνει, με κατάλληλα μέσα και σύμφωνα με το εθνικό δίκαιο, σε εξακρίβωση της ταυτότητας και, κατά περίπτωση, τυχόν ειδικών χαρακτηριστικών του φυσικού ή νομικού προσώπου για το οποίο εκδίδεται εγκεκριμένο πιστοποιητικό.

Οι πληροφορίες που αναφέρονται στο πρώτο εδάφιο εξακριβώνονται από τον εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης είτε άμεσα είτε μέσω τρίτου σύμφωνα με το εθνικό δίκαιο:

α)	με φυσική παρουσία του φυσικού προσώπου ή εξουσιοδοτημένου εκπροσώπου του νομικού προσώπου, ή

β)

εξ αποστάσεως, με τη χρήση μέσων ηλεκτρονικής ταυτοποίησης για τα οποία, πριν από την έκδοση του εγκεκριμένου πιστοποιητικού, έχει διασφαλιστεί η φυσική παρουσία του φυσικού προσώπου ή εξουσιοδοτημένου εκπροσώπου του νομικού προσώπου και τα οποία πληρούν τις απαιτήσεις του άρθρου 8 όσον αφορά το «βασικό» ή το «υψηλό» επίπεδο διασφάλισης, ή

γ)	μέσω πιστοποιητικού εγκεκριμένης ηλεκτρονικής υπογραφής ή εγκεκριμένης ηλεκτρονικής σφραγίδας που έχει εκδοθεί σύμφωνα με το στοιχείο α) ή β), ή

δ)	με τη χρήση άλλων μεθόδων ταυτοποίησης αναγνωρισμένων σε εθνικό επίπεδο που παρέχουν διασφάλιση ισοδύναμη με τη φυσική παρουσία. Η ισοδύναμη διασφάλιση επιβεβαιώνεται από οργανισμό αξιολόγησης της συμμόρφωσης.

2. Οι εγκεκριμένοι πάροχοι υπηρεσιών που παρέχουν εγκεκριμένες υπηρεσίες εμπιστοσύνης:

α)	ενημερώνουν τον εποπτικό φορέα για κάθε αλλαγή όσον αφορά την παροχή των εγκεκριμένων υπηρεσιών εμπιστοσύνης του, περιλαμβανομένης της πρόθεσης παύσης των εν λόγω δραστηριοτήτων·

β)

απασχολούν προσωπικό και, κατά περίπτωση, υπεργολάβους που διαθέτουν την απαραίτητη τεχνογνωσία, αξιοπιστία, πείρα και προσόντα και έχουν λάβει κατάλληλη εκπαίδευση σχετικά με την ασφάλεια και τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα, εφαρμόζουν δε διοικητικές και διαχειριστικές διαδικασίες που ανταποκρίνονται σε ευρωπαϊκά ή διεθνή πρότυπα·

γ)	όσον αφορά την ευθύνη για τις ζημίες σύμφωνα με το άρθρο 13, διατηρούν επαρκείς οικονομικούς πόρους και/ή αποκτούν κατάλληλη ασφαλιστική κάλυψη, σύμφωνα με το εθνικό δίκαιο·

δ)

προτού συνάψουν συμβατική σχέση, ενημερώνουν, με σαφή και ολοκληρωμένο τρόπο, κάθε πρόσωπο που επιθυμεί να χρησιμοποιήσει εγκεκριμένη υπηρεσία_εμπιστοσύνης σχετικά με τους ακριβείς όρους και τις προϋποθέσεις για τη χρήση της εν λόγω υπηρεσίας, συμπεριλαμβανομένων τυχόν περιορισμών όσον αφορά τη χρήση της·

ε)	χρησιμοποιούν αξιόπιστα συστήματα και προϊόντα τα οποία προστατεύονται από τροποποιήσεις και διασφαλίζουν την τεχνική ασφάλεια και αξιοπιστία των διεργασιών που υποστηρίζονται από αυτά·

στ)

χρησιμοποιούν αξιόπιστα συστήματα για την αποθήκευση των δεδομένων που τους παρέχονται, σε επαληθεύσιμη μορφή, ούτως ώστε:

i)	να είναι δημοσίως διαθέσιμα για άντληση μόνον εφόσον έχει ληφθεί η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα,

ii)	μόνον εξουσιοδοτημένα πρόσωπα να μπορούν να πραγματοποιούν καταχωρίσεις και τροποποιήσεις στα αποθηκευμένα δεδομένα,

iii)	να μπορεί να ελέγχεται η αυθεντικότητα των δεδομένων·

ζ)	λαμβάνουν κατάλληλα μέτρα κατά της πλαστογραφίας και της κλοπής δεδομένων·

η)

καταγράφουν και διατηρούν προσβάσιμο για κατάλληλη χρονική περίοδο, ακόμη και μετά την παύση των δραστηριοτήτων του εγκεκριμένου παρόχου υπηρεσιών εμπιστοσύνης, το σύνολο των συναφών πληροφοριών που αφορούν δεδομένα τα οποία έχουν εκδοθεί και ληφθεί από τον εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης, ιδίως για την παροχή αποδεικτικών στοιχείων σε νομικές διαδικασίες και για τη διασφάλιση της συνέχειας της υπηρεσίας· η καταγραφή αυτή δύναται να πραγματοποιείται με ηλεκτρονικά μέσα·

θ)	διαθέτουν ενημερωμένο σχέδιο τερματισμού με σκοπό την εξασφάλιση της συνέχειας της υπηρεσίας σύμφωνα με διατάξεις ελεγμένες από τον εποπτικό φορέα δυνάμει του άρθρου 17 παράγραφος 4 στοιχείο θ)·

ι)	εξασφαλίζουν τη νόμιμη επεξεργασία των δεδομένων προσωπικού χαρακτήρα σύμφωνα με την οδηγία 95/46/ΕΚ·

ια)	σε περίπτωση εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης που εκδίδουν εγκεκριμένα πιστοποιητικά, συγκροτούν βάση δεδομένων για τα πιστοποιητικά, την οποία τηρούν ενημερωμένη.

3. Όταν εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης που εκδίδουν εγκεκριμένα πιστοποιητικά αποφασίζουν να ανακαλέσουν ένα πιστοποιητικό, καταχωρίζουν την εν λόγω ανάκληση στη βάση δεδομένων για τα πιστοποιητικά και δημοσιοποιούν την ανάκληση του πιστοποιητικού εγκαίρως και σε κάθε περίπτωση εντός 24 ωρών από την παραλαβή της αίτησης. Η ανάκληση αυτή αρχίζει να ισχύει αμέσως μετά τη δημοσιοποίησή της.

4. Αναφορικά με την παράγραφο 3, οι εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης που εκδίδουν εγκεκριμένα πιστοποιητικά παρέχουν σε κάθε βασιζόμενο_μέρος πληροφορίες για την ισχύ ή την ανάκληση των εγκεκριμένων πιστοποιητικών που έχουν εκδοθεί από αυτούς. Οι εν λόγω πληροφορίες είναι διαθέσιμες, τουλάχιστον για κάθε χωριστό πιστοποιητικό, ανά πάσα στιγμή και πέραν της περιόδου ισχύος του πιστοποιητικού, κατά τρόπο αυτοματοποιημένο που είναι αξιόπιστος, δωρεάν και αποτελεσματικός.

5. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, αριθμούς αναφοράς προτύπων για τα αξιόπιστα συστήματα και προϊόντα που είναι σύμφωνα με τις απαιτήσεις της παραγράφου 2 στοιχεία ε) και στ) του παρόντος άρθρου. Η συμμόρφωση με τις απαιτήσεις που ορίζονται στο παρόν άρθρο τεκμαίρεται εφόσον τα αξιόπιστα συστήματα και προϊόντα πληρούν τα πρότυπα αυτά. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

ΤΜΗΜΑ 4

Ηλεκτρονικές υπογραφές

Άρθρο 25

Νομική ισχύς των ηλεκτρονικών υπογραφών

1. Δεν απορρίπτονται η νομική ισχύς και το παραδεκτό της ηλεκτρονικής υπογραφής ως αποδεικτικού στοιχείου σε νομικές διαδικασίες μόνο λόγω του γεγονότος ότι είναι σε ηλεκτρονική μορφή ή ότι δεν πληροί όλες τις απαιτήσεις για τις εγκεκριμένες ηλεκτρονικές υπογραφές.

2. Η εγκεκριμένη ηλεκτρονική_υπογραφή έχει νομική ισχύ ισοδύναμη με την ιδιόχειρη υπογραφή.

3. Εγκεκριμένη ηλεκτρονική_υπογραφή βασιζόμενη σε εγκεκριμένο πιστοποιητικό που έχει εκδοθεί σε ένα κράτος μέλος αναγνωρίζεται ως τέτοια σε όλα τα άλλα κράτη μέλη.

Άρθρο 26

Απαιτήσεις για τις προηγμένες ηλεκτρονικές υπογραφές

Μία προηγμένη ηλεκτρονική_υπογραφή πληροί τις ακόλουθες απαιτήσεις:

α)	συνδέεται κατά τρόπο μοναδικό με τον υπογράφοντα·

β)	είναι ικανή να ταυτοποιεί τον υπογράφοντα·

γ)	δημιουργείται με δεδομένα_δημιουργίας_ηλεκτρονικής_υπογραφής τα οποία ο υπογράφων μπορεί, με υψηλό βαθμό εμπιστοσύνης, να χρησιμοποιεί υπό τον αποκλειστικό του έλεγχο, και

δ)	συνδέεται με τα δεδομένα που έχουν υπογραφεί σε σχέση με αυτήν κατά τρόπο ώστε να μπορεί να ανιχνευθεί οποιαδήποτε επακόλουθη τροποποίηση των εν λόγω δεδομένων.

Άρθρο 27

Ηλεκτρονικές υπογραφές σε δημόσιες υπηρεσίες

1. Εάν ένα κράτος μέλος απαιτεί προηγμένη ηλεκτρονική_υπογραφή για τη χρήση επιγραμμικής υπηρεσίας που προσφέρεται από φορέα του δημόσιου τομέα ή για λογαριασμό του, το εν λόγω κράτος μέλος αναγνωρίζει τις προηγμένες ηλεκτρονικές υπογραφές, τις προηγμένες ηλεκτρονικές υπογραφές που βασίζονται σε εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_υπογραφής και τις εγκεκριμένες ηλεκτρονικές υπογραφές τουλάχιστον με τους μορφότυπους ή με τις μεθόδους που καθορίζονται στις εκτελεστικές πράξεις που αναφέρονται στην παράγραφο 5.

2. Εάν ένα κράτος μέλος απαιτεί προηγμένη ηλεκτρονική_υπογραφή που βασίζεται σε εγκεκριμένο πιστοποιητικό για τη χρήση μιας επιγραμμικής υπηρεσίας που προσφέρεται από φορέα του δημόσιου τομέα ή για λογαριασμό του, το εν λόγω κράτος μέλος αναγνωρίζει τις προηγμένες ηλεκτρονικές υπογραφές που βασίζονται σε εγκεκριμένο πιστοποιητικό και τις εγκεκριμένες ηλεκτρονικές υπογραφές τουλάχιστον με τους μορφότυπους ή με τις μεθόδους που καθορίζονται στις εκτελεστικές πράξεις που αναφέρονται στην παράγραφο 5.

3. Τα κράτη μέλη δεν απαιτούν για τη διασυνοριακή χρήση μιας υπηρεσίας που προσφέρεται επιγραμμικά από φορέα του δημόσιου τομέα ηλεκτρονική_υπογραφή με επίπεδο ασφάλειας υψηλότερο από αυτό της εγκεκριμένης ηλεκτρονικής υπογραφής.

4. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, αριθμούς αναφοράς προτύπων για τις προηγμένες ηλεκτρονικές υπογραφές. Η συμμόρφωση με τις απαιτήσεις για τις προηγμένες ηλεκτρονικές υπογραφές που αναφέρονται στις παραγράφους 1 και 2 του παρόντος άρθρου και στο άρθρο 26 τεκμαίρεται όταν η προηγμένη ηλεκτρονική_υπογραφή πληροί τα πρότυπα αυτά. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

5. Έως τις 18 Σεπτεμβρίου 2015 και λαμβανομένων υπόψη των ισχυουσών πρακτικών, των προτύπων και των νομοθετικών πράξεων της Ένωσης, η Επιτροπή, με εκτελεστικές πράξεις, καθορίζει τους μορφότυπους αναφοράς των προηγμένων ηλεκτρονικών υπογραφών ή τις μεθόδους αναφοράς όταν χρησιμοποιούνται εναλλακτικοί μορφότυποι. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 28

Εγκεκριμένα πιστοποιητικά ηλεκτρονικών υπογραφών

1. Τα εγκεκριμένα πιστοποιητικά ηλεκτρονικών υπογραφών πληρούν τις απαιτήσεις του παραρτήματος I.

2. Τα εγκεκριμένα πιστοποιητικά ηλεκτρονικών υπογραφών δεν υπόκεινται σε καμία υποχρεωτική απαίτηση που υπερβαίνει τις απαιτήσεις του παραρτήματος I.

3. Τα εγκεκριμένα πιστοποιητικά ηλεκτρονικής υπογραφής μπορούν να περιλαμβάνουν μη υποχρεωτικά πρόσθετα ειδικά χαρακτηριστικά. Τα χαρακτηριστικά αυτά δεν επηρεάζουν τη διαλειτουργικότητα και την αναγνώριση των εγκεκριμένων ηλεκτρονικών υπογραφών.

4. Εάν ένα εγκεκριμένο πιστοποιητικό ηλεκτρονικών υπογραφών ανακληθεί μετά την αρχική ενεργοποίησή του, παύει να ισχύει από τη στιγμή της ανάκλησής του και δεν μπορεί σε καμία περίπτωση να επανέλθει στο προηγούμενο καθεστώς ισχύος.

5. Υπό τις ακόλουθες προϋποθέσεις, τα κράτη μέλη μπορούν να ορίζουν εθνικούς κανόνες για την προσωρινή αναστολή εγκεκριμένου πιστοποιητικού ηλεκτρονικής υπογραφής:

α)	εάν ένα εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_υπογραφής έχει ανασταλεί προσωρινά, παύει να ισχύει όσο διαρκεί η αναστολή·

β)	η διάρκεια της αναστολής αναφέρεται σαφώς στη βάση δεδομένων για τα πιστοποιητικά και η αναστολή είναι ορατή, στη διάρκεια της αναστολής, στην υπηρεσία που παρέχει πληροφορίες για το καθεστώς ισχύος του πιστοποιητικού.

6. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, αριθμούς αναφοράς προτύπων για τα εγκεκριμένα πιστοποιητικά ηλεκτρονικής υπογραφής. Η συμμόρφωση με τις απαιτήσεις που ορίζονται στο παράρτημα I τεκμαίρεται εφόσον το εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_υπογραφής πληροί τα πρότυπα αυτά. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 29

Απαιτήσεις για τις εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής

1. Οι εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής πληρούν τις απαιτήσεις του παραρτήματος II.

2. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, αριθμούς αναφοράς προτύπων για τις εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής. Η συμμόρφωση με τις απαιτήσεις του παραρτήματος II τεκμαίρεται εφόσον η εγκεκριμένη διάταξη_δημιουργίας_ηλεκτρονικής_υπογραφής πληροί τα πρότυπα αυτά. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 30

Πιστοποίηση των εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής

1. Η συμμόρφωση των εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής προς τις απαιτήσεις του παραρτήματος II πιστοποιείται από αρμόδιους δημόσιους ή ιδιωτικούς φορείς που ορίζονται από τα κράτη μέλη.

2. Τα κράτη μέλη κοινοποιούν στην Επιτροπή τις ονομασίες και τις διευθύνσεις των δημόσιων ή ιδιωτικών φορέων που αναφέρονται στην παράγραφο 1. Η Επιτροπή θέτει τις πληροφορίες στη διάθεση των κρατών μελών.

3. Η πιστοποίηση που αναφέρεται στην παράγραφο 1 βασίζεται σε ένα από τα ακόλουθα:

α)	διαδικασία αξιολόγησης της ασφάλειας διενεργούμενη σύμφωνα με κάποιο από τα πρότυπα για την αξιολόγηση της ασφάλειας των προϊόντων πληροφορικής που περιλαμβάνονται στον κατάλογο τον οποίο καταρτίζει η Επιτροπή σύμφωνα με το δεύτερο εδάφιο, ή

β)

διαδικασία διαφορετική από την αναφερόμενη στην περίπτωση α), εφόσον η διαδικασία αυτή χρησιμοποιεί συγκρίσιμα επίπεδα ασφάλειας και ο δημόσιος ή ιδιωτικός φορέας που αναφέρεται στην παράγραφο 1 γνωστοποιεί τη διαδικασία αυτή στην Επιτροπή. Η διαδικασία αυτή μπορεί να χρησιμοποιηθεί μόνο σε περίπτωση που δεν υφίστανται τα πρότυπα που αναφέρονται στο στοιχείο α) ή όταν βρίσκεται εν εξελίξει μια διαδικασία αξιολόγησης της ασφάλειας όπως αναφέρεται στο στοιχείο α).

Η Επιτροπή καταρτίζει με εκτελεστικές πράξεις κατάλογο προτύπων για την αξιολόγηση της ασφάλειας των προϊόντων πληροφορικής που αναφέρεται στο στοιχείο α). Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

4. Ανατίθεται στην Επιτροπή η εξουσία να εκδίδει κατ’ εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 47 σχετικά με τον καθορισμό συγκεκριμένων κριτηρίων που πρέπει να πληρούνται από τους οριζόμενους φορείς που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου.

Άρθρο 31

Δημοσίευση καταλόγου πιστοποιημένων εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής

1. Τα κράτη μέλη κοινοποιούν στην Επιτροπή, χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο έναν μήνα από τη χορήγηση της πιστοποίησης, πληροφορίες για τις εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής οι οποίες έχουν πιστοποιηθεί από τους φορείς που αναφέρονται στο άρθρο 30 παράγραφος 1. Κοινοποιούν επίσης στην Επιτροπή, χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο έναν μήνα από την ακύρωση της πιστοποίησης, πληροφορίες για τις διατάξεις δημιουργίας ηλεκτρονικής υπογραφής που δεν είναι πλέον πιστοποιημένες.

2. Βάσει των πληροφοριών που λαμβάνει, η Επιτροπή καταρτίζει, δημοσιεύει και τηρεί κατάλογο πιστοποιημένων εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής.

3. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, μορφές και διαδικασίες για τους σκοπούς της παραγράφου 1. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 32

Απαιτήσεις για την επικύρωση εγκεκριμένων ηλεκτρονικών υπογραφών

1. Η διαδικασία επικύρωσης εγκεκριμένης ηλεκτρονικής υπογραφής επιβεβαιώνει την εγκυρότητα της εγκεκριμένης ηλεκτρονικής υπογραφής εφόσον:

α)	το πιστοποιητικό που τεκμηριώνει την υπογραφή ήταν κατά τη στιγμή της υπογραφής εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_υπογραφής σύμφωνα με το παράρτημα I·

β)	το εγκεκριμένο πιστοποιητικό εκδόθηκε από εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης και ήταν έγκυρο κατά τη στιγμή της υπογραφής·

γ)	τα στοιχεία επικύρωσης της υπογραφής αντιστοιχούν στα δεδομένα που παρέχονται στο βασιζόμενο_μέρος·

δ)	το μοναδικό σύνολο δεδομένων που αντιπροσωπεύουν τον υπογράφοντα στο πιστοποιητικό παρέχεται ορθώς στο βασιζόμενο_μέρος·

ε)	η χρήση οποιουδήποτε ψευδώνυμου δηλώνεται εμφανώς στο βασιζόμενο_μέρος, εάν χρησιμοποιήθηκε ψευδώνυμο κατά τη στιγμή της υπογραφής·

στ)	η ηλεκτρονική_υπογραφή δημιουργήθηκε από εγκεκριμένη διάταξη_δημιουργίας_ηλεκτρονικής_υπογραφής·

ζ)	η ακεραιότητα των υπογεγραμμένων δεδομένων δεν έχει τεθεί σε κίνδυνο·

η)	κατά τη στιγμή της υπογραφής πληρούνταν οι απαιτήσεις που προβλέπονται στο άρθρο 26.

2. Το σύστημα που χρησιμοποιείται για την επικύρωση της ηλεκτρονικής υπογραφής παρέχει στο βασιζόμενο_μέρος το ορθό αποτέλεσμα της διαδικασίας επικύρωσης και του επιτρέπει να εντοπίζει τυχόν ζητήματα ασφαλείας.

3. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, αριθμούς αναφοράς προτύπων για την επικύρωση εγκεκριμένων ηλεκτρονικών υπογραφών. Η συμμόρφωση με τις απαιτήσεις που ορίζονται στην παράγραφο 1 τεκμαίρεται εφόσον η επικύρωση των εγκεκριμένων ηλεκτρονικών υπογραφών πληροί τα πρότυπα αυτά. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 33

Εγκεκριμένη υπηρεσία επικύρωσης εγκεκριμένων ηλεκτρονικών υπογραφών

1. Εγκεκριμένη υπηρεσία επικύρωσης εγκεκριμένων ηλεκτρονικών υπογραφών μπορεί να παρέχεται μόνο από εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης οι οποίοι:

α)	παρέχουν επικύρωση σύμφωνα με το άρθρο 32 παράγραφος 1·

β)	επιτρέπουν στα βασιζόμενα μέρη να λαμβάνουν το αποτέλεσμα της διαδικασίας επικύρωσης με αυτοματοποιημένο τρόπο ο οποίος είναι αξιόπιστος, αποτελεσματικός και φέρει την προηγμένη ηλεκτρονική_υπογραφή ή την προηγμένη ηλεκτρονική_σφραγίδα του παρόχου της εγκεκριμένης υπηρεσίας επικύρωσης.

2. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, αριθμούς αναφοράς προτύπων για τις εγκεκριμένες υπηρεσίες επικύρωσης που αναφέρονται στην παράγραφο 1. Η συμμόρφωση με τις απαιτήσεις που ορίζονται στην παράγραφο 1 τεκμαίρεται εφόσον η υπηρεσία επικύρωσης των εγκεκριμένων ηλεκτρονικών υπογραφών πληροί τα πρότυπα αυτά. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 34

Εγκεκριμένη υπηρεσία διαφύλαξης εγκεκριμένων ηλεκτρονικών υπογραφών

1. Εγκεκριμένη υπηρεσία διαφύλαξης εγκεκριμένων ηλεκτρονικών υπογραφών μπορεί να παρέχεται μόνο από εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης ο οποίος χρησιμοποιεί διαδικασίες και τεχνολογίες ικανές να επεκτείνουν την αξιοπιστία της εγκεκριμένης ηλεκτρονικής υπογραφής πέραν της περιόδου τεχνολογικής ισχύος.

2. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, αριθμούς αναφοράς προτύπων για την εγκεκριμένη υπηρεσία διαφύλαξης εγκεκριμένων ηλεκτρονικών υπογραφών. Η συμμόρφωση με τις απαιτήσεις που ορίζονται στην παράγραφο 1 τεκμαίρεται εφόσον οι ρυθμίσεις για την εγκεκριμένη υπηρεσία διαφύλαξης εγκεκριμένων ηλεκτρονικών υπογραφών πληρούν τα πρότυπα αυτά. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

ΤΜΗΜΑ 5

Ηλεκτρονικές σφραγίδες

Άρθρο 35

Νομική ισχύς των ηλεκτρονικών σφραγίδων

1. Δεν απορρίπτεται η νομική ισχύς και το παραδεκτό ηλεκτρονικής σφραγίδας ως αποδεικτικού στοιχείου σε νομικές διαδικασίες μόνο λόγω του γεγονότος ότι είναι σε ηλεκτρονική μορφή ή ότι δεν πληροί τις απαιτήσεις για τις εγκεκριμένες ηλεκτρονικές σφραγίδες.

2. Η εγκεκριμένη ηλεκτρονική_σφραγίδα χαίρει του τεκμηρίου της ακεραιότητας των δεδομένων και της ορθότητας της προέλευσης των δεδομένων με τα οποία συνδέεται.

3. Εγκεκριμένη ηλεκτρονική_σφραγίδα βασιζόμενη σε εγκεκριμένο πιστοποιητικό που έχει εκδοθεί σε κράτος μέλος αναγνωρίζεται ως τέτοια σε όλα τα άλλα κράτη μέλη.

Άρθρο 36

Απαιτήσεις για τις προηγμένες ηλεκτρονικές σφραγίδες

Μία προηγμένη ηλεκτρονική_σφραγίδα ανταποκρίνεται στις ακόλουθες απαιτήσεις:

α)	συνδέεται κατά τρόπο μοναδικό με τον υπογράφοντα·

β)	είναι ικανή να ταυτοποιεί τον υπογράφοντα·

γ)	δημιουργείται με δεδομένα_δημιουργίας_ηλεκτρονικής_υπογραφής τα οποία ο υπογράφων μπορεί, με υψηλό βαθμό εμπιστοσύνης, να χρησιμοποιεί υπό τον αποκλειστικό του έλεγχο, και

δ)	συνδέεται με τα δεδομένα που έχουν υπογραφεί σε σχέση με αυτήν κατά τρόπο ώστε να μπορεί να ανιχνευθεί οποιαδήποτε επακόλουθη τροποποίηση των εν λόγω δεδομένων.

Άρθρο 37

Ηλεκτρονικές σφραγίδες σε δημόσιες υπηρεσίες

1. Εάν ένα κράτος μέλος απαιτεί προηγμένη ηλεκτρονική_σφραγίδα προκειμένου να χρησιμοποιηθεί επιγραμμική υπηρεσία που προσφέρεται από φορέα του δημόσιου τομέα ή για λογαριασμό του, το εν λόγω κράτος μέλος αναγνωρίζει προηγμένες ηλεκτρονικές σφραγίδες, προηγμένες ηλεκτρονικές σφραγίδες βάσει εγκεκριμένου πιστοποιητικού για τις ηλεκτρονικές σφραγίδες και εγκεκριμένες ηλεκτρονικές σφραγίδες τουλάχιστον με τη μορφή ή τις μεθόδους που καθορίζονται στις εκτελεστικές πράξεις που αναφέρονται στην παράγραφο 5.

2. Εάν ένα κράτος μέλος απαιτεί προηγμένη ηλεκτρονική_σφραγίδα που βασίζεται σε εγκεκριμένο πιστοποιητικό προκειμένου να χρησιμοποιηθεί επιγραμμική υπηρεσία που προσφέρεται από φορέα του δημόσιου τομέα ή για λογαριασμό του, το εν λόγω κράτος μέλος αναγνωρίζει προηγμένες ηλεκτρονικές σφραγίδες βάσει εγκεκριμένου πιστοποιητικού και εγκεκριμένες ηλεκτρονικές σφραγίδες τουλάχιστον με τη μορφή ή τις μεθόδους που καθορίζονται στις εκτελεστικές πράξεις που αναφέρονται στην παράγραφο 5.

3. Τα κράτη μέλη δεν απαιτούν για διασυνοριακή χρήση σε υπηρεσία που προσφέρεται επιγραμμικά από φορέα του δημόσιου τομέα ηλεκτρονική_σφραγίδα με επίπεδο ασφάλειας υψηλότερο από αυτό της εγκεκριμένης ηλεκτρονικής σφραγίδας.

4. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, αριθμούς αναφοράς προτύπων για τις προηγμένες ηλεκτρονικές σφραγίδες. Η συμμόρφωση με τις απαιτήσεις για τις προηγμένες ηλεκτρονικές σφραγίδες που αναφέρονται στις παραγράφους 1 και 2 του παρόντος άρθρου και στο άρθρο 36 τεκμαίρεται εφόσον η προηγμένη ηλεκτρονική_σφραγίδα πληροί τα πρότυπα αυτά. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

5. Έως τις 18 Σεπτεμβρίου 2015, και λαμβάνοντας υπόψη τις πρακτικές, τα πρότυπα και τις ενωσιακές νομικές πράξεις που βρίσκονται σε ισχύ, η Επιτροπή, με εκτελεστικές πράξεις, καθορίζει τις μορφές αναφοράς των προηγμένων ηλεκτρονικών σφραγίδων ή μεθόδους αναφοράς όταν χρησιμοποιούνται εναλλακτικές μορφές. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 38

Εγκεκριμένα πιστοποιητικά ηλεκτρονικών σφραγίδων

1. Τα εγκεκριμένα πιστοποιητικά ηλεκτρονικών σφραγίδων πληρούν τις απαιτήσεις του παραρτήματος III.

2. Τα εγκεκριμένα πιστοποιητικά ηλεκτρονικών σφραγίδων δεν υπόκεινται σε καμία υποχρεωτική απαίτηση που υπερβαίνει τις απαιτήσεις που ορίζονται στο παράρτημα III.

3. Τα εγκεκριμένα πιστοποιητικά για τις ηλεκτρονικές σφραγίδες μπορούν να περιλαμβάνουν μη υποχρεωτικά πρόσθετα ειδικά χαρακτηριστικά. Τα χαρακτηριστικά αυτά δεν επηρεάζουν τη διαλειτουργικότητα και την αναγνώριση των εγκεκριμένων ηλεκτρονικών σφραγίδων.

4. Εάν ένα εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_σφραγίδας ανακληθεί μετά την αρχική ενεργοποίησή του, παύει να ισχύει από τη στιγμή της ανάκλησής του και δεν μπορεί σε καμία περίπτωση να επανέλθει στο προηγούμενο καθεστώς ισχύος.

5. Υπό τις ακόλουθες προϋποθέσεις, τα κράτη μέλη μπορούν να ορίζουν εθνικούς κανόνες για την προσωρινή αναστολή εγκεκριμένου πιστοποιητικού ηλεκτρονικής σφραγίδας:

α)	εάν ένα εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_σφραγίδας έχει ανασταλεί προσωρινά, παύει να ισχύει όσο διαρκεί η αναστολή·

β)	η διάρκεια της αναστολής αναφέρεται σαφώς στη βάση δεδομένων για τα πιστοποιητικά και η αναστολή είναι ορατή, στη διάρκεια της αναστολής, στην υπηρεσία που παρέχει πληροφορίες για το καθεστώς ισχύος του πιστοποιητικού.

6. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, αριθμούς αναφοράς προτύπων για τα εγκεκριμένα πιστοποιητικά ηλεκτρονικών σφραγίδων. Η συμμόρφωση με τις απαιτήσεις που ορίζονται στο παράρτημα III τεκμαίρεται εφόσον το εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_σφραγίδας πληροί τα πρότυπα αυτά. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

Άρθρο 39

Εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής σφραγίδας

1. Το άρθρο 29 εφαρμόζεται κατ’ αναλογία στις απαιτήσεις για τις εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής σφραγίδας.

2. Το άρθρο 30 εφαρμόζεται κατ’ αναλογία στην πιστοποίηση των εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής σφραγίδας.

3. Το άρθρο 31 εφαρμόζεται κατ’ αναλογία στη δημοσίευση καταλόγου πιστοποιημένων εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής σφραγίδας.

Άρθρο 41

Νομική ισχύς των ηλεκτρονικών χρονοσφραγίδων

1. Δεν απορρίπτεται η νομική ισχύς και το παραδεκτό ηλεκτρονικής χρονοσφραγίδας ως αποδεικτικού στοιχείου σε νομικές διαδικασίες μόνο λόγω του γεγονότος ότι είναι σε ηλεκτρονική μορφή ή ότι δεν πληροί όλες τις απαιτήσεις της εγκεκριμένης ηλεκτρονικής χρονοσφραγίδας.

2. Η εγκεκριμένη ηλεκτρονική_χρονοσφραγίδα χαίρει του τεκμηρίου της ακρίβειας της ημερομηνίας και της ώρας που αναφέρει καθώς και της ακεραιότητας των δεδομένων με τα οποία συνδέονται η ημερομηνία και η ώρα.

3. Εγκεκριμένη ηλεκτρονική_χρονοσφραγίδα που έχει εκδοθεί σε ένα κράτος μέλος αναγνωρίζεται ως τέτοια σε όλα τα κράτη μέλη.

Άρθρο 42

Απαιτήσεις για τις εγκεκριμένες ηλεκτρονικές χρονοσφραγίδες

1. Η εγκεκριμένη ηλεκτρονική_χρονοσφραγίδα πληροί τις ακόλουθες απαιτήσεις:

α)	συνδέει την ημερομηνία και την ώρα με τα δεδομένα κατά τέτοιο τρόπο ώστε να αποκλείεται ευλόγως η δυνατότητα μη ανιχνεύσιμης τροποποίησης των δεδομένων·

β)	βασίζεται σε χρονική πηγή ακριβείας συνδεδεμένη με τη Συντονισμένη Παγκόσμια Ώρα· και

γ)	φέρει προηγμένη ηλεκτρονική_υπογραφή ή προηγμένη ηλεκτρονική_σφραγίδα του εγκεκριμένου παρόχου υπηρεσιών εμπιστοσύνης ή έχει υπογραφεί με κάποια άλλη ανάλογη μέθοδο.

2. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, αριθμούς αναφοράς προτύπων για τη σύνδεση της ημερομηνίας και της ώρας με τα δεδομένα καθώς και για τις χρονικές πηγές ακριβείας. Η συμμόρφωση προς τις απαιτήσεις της παραγράφου 1 τεκμαίρεται εφόσον η σύνδεση ημερομηνίας και ώρας με τα δεδομένα και τη χρονική πηγή ακριβείας πληροί τα πρότυπα αυτά. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

ΤΜΗΜΑ 7

Ηλεκτρονικές υπηρεσίες συστημένης παράδοσης

Άρθρο 43

Νομική ισχύς ηλεκτρονικής υπηρεσίας συστημένης παράδοσης

1. Δεν απορρίπτεται η νομική ισχύς και το παραδεκτό δεδομένων που αποστέλλονται και λαμβάνονται με τη χρήση ηλεκτρονικής υπηρεσίας συστημένης παράδοσης ως αποδεικτικών στοιχείων σε νομικές διαδικασίες μόνο λόγω του γεγονότος ότι είναι σε ηλεκτρονική μορφή ή ότι δεν πληρούν τις απαιτήσεις της εγκεκριμένης ηλεκτρονικής υπηρεσίας συστημένης παράδοσης.

2. Τα δεδομένα που αποστέλλονται και λαμβάνονται με τη χρήση εγκεκριμένης ηλεκτρονικής υπηρεσίας συστημένης παράδοσης χαίρουν του τεκμηρίου της ακεραιότητας των δεδομένων, της αποστολής από τον ταυτοποιημένο αποστολέα και της παραλαβής από τον ταυτοποιημένο αποδέκτη των δεδομένων και της ακρίβειας της ημερομηνίας και της ώρας αποστολής και λήψης των δεδομένων που αναφέρονται από την εγκεκριμένη ηλεκτρονική_υπηρεσία_συστημένης_παράδοσης.

Άρθρο 44

Απαιτήσεις για τις εγκεκριμένες ηλεκτρονικές υπηρεσίες συστημένης παράδοσης

1. Οι εγκεκριμένες ηλεκτρονικές υπηρεσίες συστημένης παράδοσης πληρούν τις ακόλουθες απαιτήσεις:

α)	παρέχονται από έναν ή περισσότερους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης·

β)	εξασφαλίζουν με υψηλό επίπεδο εμπιστοσύνης την ταυτοποίηση του αποστολέα·

γ)	εξασφαλίζουν την ταυτοποίηση του αποδέκτη πριν από την παράδοση των δεδομένων·

δ)	η αποστολή και η λήψη των δεδομένων διασφαλίζονται με προηγμένη ηλεκτρονική_υπογραφή ή προηγμένη ηλεκτρονική_σφραγίδα εγκεκριμένου παρόχου υπηρεσιών εμπιστοσύνης κατά τρόπο που να αποκλείει τη δυνατότητα μη ανιχνεύσιμης τροποποίησης των δεδομένων·

ε)	οποιαδήποτε τροποποίηση των δεδομένων που απαιτούνται για τους σκοπούς της αποστολής ή της λήψης των δεδομένων δηλώνεται σαφώς στον αποστολέα και στον αποδέκτη των δεδομένων·

στ)	η ημερομηνία και ο χρόνος αποστολής, παραλαβής και οποιαδήποτε αλλαγή των στοιχείων αναφέρεται με εγκεκριμένη ηλεκτρονική_χρονοσφραγίδα.

Σε περίπτωση μεταφοράς των δεδομένων μεταξύ δύο ή περισσότερων εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης, οι απαιτήσεις που ορίζονται στα στοιχεία α) έως στ) εφαρμόζονται σε όλους τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης.

2. Η Επιτροπή μπορεί να καθορίζει, με εκτελεστικές πράξεις, αριθμούς αναφοράς προτύπων για τις διαδικασίες αποστολής και λήψης δεδομένων. Η συμμόρφωση με τις απαιτήσεις που ορίζονται στην παράγραφο 1 τεκμαίρεται εφόσον η διαδικασία αποστολής και λήψης δεδομένων πληροί τα πρότυπα αυτά. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

ΤΜΗΜΑ 8

Πιστοποίηση γνησιότητας ιστοτόπων

Άρθρο 45

Απαιτήσεις για εγκεκριμένα πιστοποιητικά γνησιότητας ιστότοπου

1. Τα εγκεκριμένα πιστοποιητικά γνησιότητας ιστοτόπων πληρούν τις απαιτήσεις του παραρτήματος IV.

2. Η Επιτροπή δύναται, μέσω εκτελεστικών πράξεων, να καθορίζει αριθμούς αναφοράς προτύπων για εγκεκριμένα πιστοποιητικά γνησιότητας ιστοτόπων. Η συμμόρφωση με τις απαιτήσεις που ορίζονται στο παράρτημα IV τεκμαίρεται εφόσον ένα εγκεκριμένο πιστοποιητικό_γνησιότητας_ιστότοπου πληροί τα πρότυπα αυτά. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης στην οποία παραπέμπει το άρθρο 48 παράγραφος 2.

ΚΕΦΑΛΑΙΟ IV

ΗΛΕΚΤΡΟΝΙΚΑ ΕΓΓΡΑΦΑ

Άρθρο 47

Άσκηση της εξουσιοδότησης

1. Η εξουσία έκδοσης κατ’ εξουσιοδότηση πράξεων ανατίθεται στην Επιτροπή υπό τους όρους του παρόντος άρθρου.

2. Η εξουσία έκδοσης κατ’ εξουσιοδότηση πράξεων που αναφέρεται στο άρθρο 30 παράγραφος 4 ανατίθεται στην Επιτροπή επ’ αόριστον από τις 17 Σεπτεμβρίου 2014.

3. Η προβλεπόμενη στο άρθρο 30 παράγραφος 4 εξουσιοδότηση μπορεί να ανακληθεί ανά πάσα στιγμή από το Ευρωπαϊκό Κοινοβούλιο ή το Συμβούλιο. Η απόφαση ανάκλησης περατώνει την εξουσιοδότηση που προσδιορίζεται στην εν λόγω απόφαση. Τίθεται σε ισχύ την επόμενη ημέρα από τη δημοσίευση της απόφασης στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης ή σε μεταγενέστερη ημερομηνία που ορίζεται σε αυτήν. Δεν επηρεάζει την εγκυρότητα τυχόν κατ’ εξουσιοδότηση πράξεων που βρίσκονται ήδη σε ισχύ.

4. Αμέσως μετά την έκδοση κατ’ εξουσιοδότηση πράξης, η Επιτροπή την κοινοποιεί ταυτόχρονα στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

5. Κατ’ εξουσιοδότηση πράξη που εκδίδεται δυνάμει του άρθρου 30 παράγραφος 4 τίθεται σε ισχύ μόνον εφόσον δεν έχει διατυπωθεί αντίρρηση από το Ευρωπαϊκό Κοινοβούλιο ή το Συμβούλιο εντός δύο μηνών από την ημέρα που η πράξη κοινοποιείται στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο ή αν, πριν λήξει αυτή η περίοδος, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενημερώσουν αμφότερα την Επιτροπή ότι δεν θα προβάλουν αντιρρήσεις. Η περίοδος αυτή παρατείνεται κατά δύο μήνες με πρωτοβουλία του Ευρωπαϊκού Κοινοβουλίου ή του Συμβουλίου.

Άρθρο 51

Μεταβατικά μέτρα

1. Οι ασφαλείς διατάξεις δημιουργίας υπογραφής των οποίων η συμμόρφωση έχει διαπιστωθεί σύμφωνα με το άρθρο 3 παράγραφος 4 της οδηγίας 1999/93/ΕΚ θεωρούνται εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής δυνάμει του παρόντος κανονισμού.

2. Εγκεκριμένα πιστοποιητικά που εκδίδονται για φυσικά πρόσωπα σύμφωνα με την οδηγία 1999/93/ΕΚ θεωρούνται εγκεκριμένα πιστοποιητικά για τις ηλεκτρονικές υπογραφές βάσει του παρόντος κανονισμού μέχρι την ημερομηνία λήξης τους.

3. Οι πάροχοι υπηρεσιών πιστοποίησης που εκδίδουν εγκεκριμένα πιστοποιητικά δυνάμει της οδηγίας 1999/93/ΕΚ υποβάλλουν έκθεση αξιολόγησης της συμμόρφωσης στον εποπτικό φορέα το συντομότερο δυνατόν και το αργότερο την 1η Ιουλίου 2017. Μέχρι την υποβολή της έκθεσης αξιολόγησης της συμμόρφωσης και την ολοκλήρωση της αξιολόγησης από τον εποπτικό φορέα, οι πάροχοι υπηρεσιών πιστοποίησης θεωρούνται εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης δυνάμει του παρόντος κανονισμού.

4. Εάν πάροχος υπηρεσιών πιστοποίησης που εκδίδει εγκεκριμένα πιστοποιητικά δυνάμει της οδηγίας 1999/93/ΕΚ δεν υποβάλει έκθεση αξιολόγησης της συμμόρφωσης στον εποπτικό φορέα εντός της προθεσμίας της παραγράφου 3, ο εν λόγω πάροχος δεν θεωρείται εγκεκριμένος πάροχος_υπηρεσιών_εμπιστοσύνης δυνάμει του παρόντος κανονισμού από τις 2 Ιουλίου 2017.

Άρθρο 52

Έναρξη ισχύος

1. Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

2. Ο παρών κανονισμός εφαρμόζεται από την 1η Ιουλίου 2016, με εξαίρεση τις ακόλουθες διατάξεις:

α)

το άρθρο 8 παράγραφος 3, το άρθρο 9 παράγραφος 5, το άρθρο 12 παράγραφοι 2 ως 9, το άρθρο 17 παράγραφος 8, το άρθρο 19 παράγραφος 4, το άρθρο 20 παράγραφος 4, το άρθρο 21 παράγραφος 4, το άρθρο 22 παράγραφος 5, το άρθρο 23 παράγραφος 3, το άρθρο 24 παράγραφος 5, το άρθρο 27 παράγραφοι 4 και 5, το άρθρο 28 παράγραφος 6, το άρθρο 29 παράγραφος 2, το άρθρο 30 παράγραφοι 3 και 4, το άρθρο 31 παράγραφος 3, το άρθρο 32 παράγραφος 3, το άρθρο 33 παράγραφος 2, το άρθρο 34 παράγραφος 2, το άρθρο 37 παράγραφοι 4 και 5, το άρθρο 38 παράγραφος 6, το άρθρο 42 παράγραφος 2, το άρθρο 44 παράγραφος 2, το άρθρο 45 παράγραφος 2, τα άρθρα 47 και 48 θα τεθούν σε ισχύ από τις 17 Σεπτεμβρίου 2014·

β)	το άρθρο 7, το άρθρο 8 παράγραφοι 1 και 2, τα άρθρα 9, 10, 11 και το άρθρο 12 παράγραφος 1 θα τεθούν σε ισχύ από την ημερομηνία εφαρμογής των εκτελεστικών πράξεων που αναφέρονται στο άρθρο 8 παράγραφος 2 και στο άρθρο 12 παράγραφος 8·

γ)	το άρθρο 6 θα τεθεί σε ισχύ τρία έτη από την ημερομηνία εφαρμογής των εκτελεστικών πράξεων που αναφέρονται στο άρθρο 8 παράγραφος 3 και στο άρθρο 12 παράγραφος 8.

3. Στις περιπτώσεις όπου το κοινοποιούμενο σύστημα_ηλεκτρονικής_ταυτοποίησης περιλαμβάνεται στον κατάλογο που δημοσιεύεται από την Επιτροπή σύμφωνα με το άρθρο 9, πριν από την ημερομηνία που αναφέρεται στην παράγραφο 2 στοιχείο γ) του παρόντος άρθρου, η αναγνώριση των μέσων ηλεκτρονικής ταυτοποίησης στο πλαίσιο του εν λόγω συστήματος σύμφωνα με το άρθρο 6 πραγματοποιείται το αργότερο 12 μήνες μετά τη δημοσίευση του εν λόγω συστήματος, αλλά όχι πριν από την ημερομηνία που αναφέρεται στην παράγραφο 2 στοιχείο γ) του παρόντος άρθρου.

4. Κατά παρέκκλιση από την παράγραφο 2 στοιχείο γ) του παρόντος άρθρου, ένα κράτος μέλος μπορεί να αποφασίσει ότι τα μέσα ηλεκτρονικής ταυτοποίησης στο πλαίσιο συστήματος ηλεκτρονικής ταυτοποίησης που κοινοποιήθηκε σύμφωνα με το άρθρο 9 παράγραφος 1 από άλλο κράτος μέλος αναγνωρίζονται στο πρώτο κράτος μέλος από την ημερομηνία εφαρμογής των εκτελεστικών πράξεων που αναφέρονται στο άρθρο 8 παράγραφος 3 και στο άρθρο 12 παράγραφος 8. Στην περίπτωση αυτή, τα κράτη μέλη ενημερώνουν την Επιτροπή. Η Επιτροπή δημοσιοποιεί αυτές τις πληροφορίες.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες, 23 Ιουλίου 2014.

Για το Ευρωπαϊκό Κοινοβούλιο

Ο Πρόεδρος

M. SCHULZ

Για το Συμβούλιο

Ο Πρόεδρος

S. GOZI

(1) ΕΕ C 351 της 15.11.2012, σ. 73.

(2) Θέση του Ευρωπαϊκού Κοινοβουλίου της 3ης Απριλίου 2014 (δεν έχει ακόμη δημοσιευθεί στην Επίσημη Εφημερίδα) και απόφαση του Συμβουλίου της 23ης Ιουλίου 2014.

(3) Οδηγία 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 1999, σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές (ΕΕ L 13 της 19.1.2000, σ. 12).

(4) ΕΕ C 50 E της 21.2.2012, σ. 1.

(5) Οδηγία 2006/123/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Δεκεμβρίου 2006, σχετικά με τις υπηρεσίες στην εσωτερική αγορά (ΕΕ L 376 της 27.12.2006, σ. 36).

(6) Οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Μαρτίου 2011, περί εφαρμογής των δικαιωμάτων των ασθενών στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης (ΕΕ L 88 της 4.4.2011, σ. 45).

(7) Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281 της 23.11.1995, σ. 31).

(8) Απόφαση 2010/48/ΕΚ του Συμβουλίου, της 26ης Νοεμβρίου 2009, σχετικά με τη σύναψη, από την Ευρωπαϊκή Κοινότητα, της σύμβασης των Ηνωμένων Εθνών για τα δικαιώματα των ατόμων με αναπηρία (ΕΕ L 23 της 27.1.2010, σ. 35).

(9) Κανονισμός (ΕΚ) αριθ. 765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Ιουλίου 2008, για τον καθορισμό των απαιτήσεων διαπίστευσης και εποπτείας της αγοράς όσον αφορά την εμπορία των προϊόντων και για την κατάργηση του κανονισμού (ΕΟΚ) αριθ. 339/93 (ΕΕ L 218 της 13.8.2008, σ. 30).

(10) Απόφαση 2009/767/ΕΚ της Επιτροπής, της 16ης Οκτωβρίου 2009, σχετικά με τη θέσπιση μέτρων που διευκολύνουν τη χρήση διαδικασιών με ηλεκτρονικά μέσα μέσω των ενιαίων κέντρων εξυπηρέτησης βάσει της οδηγίας 2006/123/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τις υπηρεσίες στην εσωτερική αγορά (ΕΕ L 274 της 20.10.2009, σ. 36).

(11) Απόφαση 2011/130/ΕΕ της Επιτροπής, της 25ης Φεβρουαρίου 2011, περί καθιέρωσης ελάχιστων απαιτήσεων για τη διασυνοριακή επεξεργασία εγγράφων τα οποία έχουν υπογραφεί ηλεκτρονικά από αρμόδιες αρχές, σύμφωνα με την οδηγία 2006/123/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με τις υπηρεσίες στην εσωτερική αγορά (ΕΕ L 53 της 26.2.2011, σ. 66).

(12) Κανονισμός (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή (ΕΕ L 55 της 28.2.2011, σ. 13).

(13) Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 8 της 12.1.2001, σ. 1).

(14) ΕΕ C 28 της 30.1.2013, σ. 6.

(15) Οδηγία 2014/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Φεβρουαρίου 2014, σχετικά με τις δημόσιες προμήθειες και την κατάργηση της οδηγίας 2004/18/ΕΚ (ΕΕ L 94 της 28.3.2014, σ. 65).

ΠΑΡΑΡΤΗΜΑ I

ΑΠΑΙΤΗΣΕΙΣ ΓΙΑ ΤΑ ΕΓΚΕΚΡΙΜΕΝΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΗΛΕΚΤΡΟΝΙΚΗΣ ΥΠΟΓΡΑΦΗΣ

Τα εγκεκριμένα πιστοποιητικά ηλεκτρονικής υπογραφής περιέχουν:

α)	ένδειξη, τουλάχιστον σε μορφή κατάλληλη για αυτοματοποιημένη επεξεργασία, ότι το πιστοποιητικό έχει εκδοθεί ως εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_υπογραφής·

β)

ένα σύνολο δεδομένων που αντιπροσωπεύουν αναμφίσημα τον εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης ο οποίος έχει εκδώσει τα εγκεκριμένα πιστοποιητικά και περιλαμβάνουν τουλάχιστον το κράτος μέλος στο οποίο είναι εγκατεστημένος και

—	σε περίπτωση που πρόκειται για νομικό πρόσωπο: το όνομα και, κατά περίπτωση, τον αριθμό μητρώου του, όπως αναφέρεται στα επίσημα αρχεία,

—	σε περίπτωση που πρόκειται για φυσικό πρόσωπο: το όνομα του προσώπου·

γ)	τουλάχιστον το όνομα του υπογράφοντος ή ένα ψευδώνυμο· εάν χρησιμοποιείται ψευδώνυμο, πρέπει να αναφέρεται σαφώς·

δ)	δεδομένα_ επικύρωσης ηλεκτρονικής υπογραφής που αντιστοιχούν στα δεδομένα_δημιουργίας_ηλεκτρονικής_υπογραφής·

ε)	λεπτομέρειες για την έναρξη και τη λήξη της περιόδου ισχύος του πιστοποιητικού·

στ)	τον κωδικό ταυτότητας του πιστοποιητικού, ο οποίος πρέπει να είναι μοναδικός για τον εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης·

ζ)	την προηγμένη ηλεκτρονική_υπογραφή ή την προηγμένη ηλεκτρονική_σφραγίδα του εκδίδοντος εγκεκριμένου παρόχου υπηρεσιών εμπιστοσύνης·

η)	την τοποθεσία όπου διατίθεται δωρεάν το πιστοποιητικό το οποίο τεκμηριώνει την προηγμένη ηλεκτρονική_υπογραφή ή την προηγμένη ηλεκτρονική_σφραγίδα που αναφέρεται στο στοιχείο ζ)·

θ)	την τοποθεσία των υπηρεσιών που μπορούν να χρησιμοποιηθούν για την άντληση πληροφοριών σχετικά με το καθεστώς ισχύος του εγκεκριμένου πιστοποιητικού·

ι)	σε περίπτωση που τα δεδομένα_δημιουργίας_ηλεκτρονικής_υπογραφής τα οποία σχετίζονται με τα δεδομένα_ επικύρωσης ηλεκτρονικής υπογραφής βρίσκονται σε εγκεκριμένη διάταξη_δημιουργίας_ηλεκτρονικής_υπογραφής, κατάλληλη σχετική ένδειξη, τουλάχιστον σε μορφή κατάλληλη για αυτοματοποιημένη επεξεργασία.

ΠΑΡΑΡΤΗΜΑ II

ΑΠΑΙΤΗΣΕΙΣ ΓΙΑ ΤΙΣ ΕΓΚΕΚΡΙΜΕΝΕΣ ΔΙΑΤΑΞΕΙΣ ΔΗΜΙΟΥΡΓΙΑΣ ΗΛΕΚΤΡΟΝΙΚΗΣ ΥΠΟΓΡΑΦΗΣ

Οι εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής διασφαλίζουν, με τα κατάλληλα τεχνικά και διαδικαστικά μέσα, τουλάχιστον ότι:

α)	διασφαλίζεται ευλόγως η εμπιστευτικότητα των δεδομένων δημιουργίας ηλεκτρονικής υπογραφής που χρησιμοποιούνται για τη δημιουργία της ηλεκτρονικής υπογραφής·

β)	τα δεδομένα_δημιουργίας_ηλεκτρονικής_υπογραφής που χρησιμοποιούνται για τη δημιουργία της ηλεκτρονικής υπογραφής μπορούν να προκύψουν στην πράξη μία μόνο φορά·

γ)	τα δεδομένα_δημιουργίας_ηλεκτρονικής_υπογραφής που χρησιμοποιούνται για τη δημιουργία ηλεκτρονικής υπογραφής δεν μπορούν, με εύλογη βεβαιότητα, να είναι παράγωγα και ότι η ηλεκτρονική_υπογραφή προστατεύεται με τρόπο αξιόπιστο από πλαστογραφία με τη χρήση της τρέχουσας τεχνολογίας·

δ)	τα δεδομένα_δημιουργίας_ηλεκτρονικής_υπογραφής που χρησιμοποιούνται για τη δημιουργία ηλεκτρονικής υπογραφής μπορούν να προστατεύονται κατά τρόπο αξιόπιστο από τον νόμιμο υπογράφοντα έναντι της χρησιμοποίησης τους από τρίτους.

Οι εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής δεν μεταβάλλουν τα προς υπογραφή δεδομένα ούτε εμποδίζουν την υποβολή των δεδομένων αυτών στον υπογράφοντα πριν από την υπογραφή.

Η δημιουργία ή η διαχείριση των δεδομένων δημιουργίας ηλεκτρονικής υπογραφής εκ μέρους του υπογράφοντος μπορεί να πραγματοποιείται μόνο από εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης.

Με την επιφύλαξη του σημείου 1 στοιχείο δ), οι εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης που διαχειρίζονται δεδομένα_δημιουργίας_ηλεκτρονικής_υπογραφής εκ μέρους του υπογράφοντος μπορούν να αναπαράγουν τα δεδομένα_δημιουργίας_ηλεκτρονικής_υπογραφής μόνο για λόγους δημιουργίας εφεδρικών αντιγράφων, εφόσον πληρούνται οι ακόλουθες προϋποθέσεις:

α)	η ασφάλεια των αναπαραγόμενων δεδομένων είναι στο ίδιο επίπεδο με αυτό της ασφάλειας των πρωτοτύπων·

β)	ο αριθμός των αναπαραγόμενων συνόλων δεδομένων δεν υπερβαίνει τον ελάχιστο αριθμό που απαιτείται για να εξασφαλιστεί η συνέχιση της υπηρεσίας.

ΠΑΡΑΡΤΗΜΑ III

ΑΠΑΙΤΗΣΕΙΣ ΓΙΑ ΤΑ ΕΓΚΕΚΡΙΜΕΝΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΗΛΕΚΤΡΟΝΙΚΩΝ ΣΦΡΑΓΙΔΩΝ

Τα εγκεκριμένα πιστοποιητικά ηλεκτρονικών σφραγίδων περιέχουν:

α)	ένδειξη, τουλάχιστον σε μορφή κατάλληλη για αυτοματοποιημένη επεξεργασία, ότι το πιστοποιητικό έχει εκδοθεί ως εγκεκριμένο πιστοποιητικό_ηλεκτρονικής_σφραγίδας·

β)

ένα σύνολο δεδομένων που αντιπροσωπεύουν αδιαμφισβήτητα τον εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης ο οποίος έχει εκδώσει τα εγκεκριμένα πιστοποιητικά και συμπεριλαμβάνουν τουλάχιστον το κράτος μέλος στο οποίο είναι εγκατεστημένος και

—	σε περίπτωση που πρόκειται για νομικό πρόσωπο: το όνομα και, κατά περίπτωση, τον αριθμό μητρώου του, όπως αναφέρεται στα επίσημα αρχεία,

—	σε περίπτωση που πρόκειται για φυσικό πρόσωπο: το όνομα του προσώπου·

γ)	τουλάχιστον το όνομα του δημιουργού της σφραγίδας και, κατά περίπτωση, τον αριθμό μητρώου του, όπως αναφέρεται στα επίσημα αρχεία·

δ)	δεδομένα_ επικύρωσης ηλεκτρονικής σφραγίδας που αντιστοιχούν στα δεδομένα_δημιουργίας_ηλεκτρονικής_σφραγίδας·

ε)	λεπτομέρειες για την έναρξη και τη λήξη της περιόδου ισχύος του πιστοποιητικού·

στ)	τον κωδικό ταυτότητας του πιστοποιητικού, ο οποίος πρέπει να είναι μοναδικός για τον εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης·

ζ)	την προηγμένη ηλεκτρονική_υπογραφή ή την προηγμένη ηλεκτρονική_σφραγίδα του εκδίδοντος εγκεκριμένου παρόχου υπηρεσιών εμπιστοσύνης·

η)	την τοποθεσία όπου διατίθεται δωρεάν το πιστοποιητικό το οποίο τεκμηριώνει την προηγμένη ηλεκτρονική_υπογραφή ή την προηγμένη ηλεκτρονική_σφραγίδα που αναφέρεται στο στοιχείο ζ)·

θ)	την τοποθεσία των υπηρεσιών που μπορούν να χρησιμοποιηθούν για την άντληση πληροφοριών σχετικά με το καθεστώς ισχύος του εγκεκριμένου πιστοποιητικού·

ι)	σε περίπτωση που τα δεδομένα_δημιουργίας_ηλεκτρονικής_σφραγίδας τα οποία σχετίζονται με τα δεδομένα_ επικύρωσης ηλεκτρονικής σφραγίδας βρίσκονται σε εγκεκριμένη διάταξη_δημιουργίας_ηλεκτρονικής_σφραγίδας, κατάλληλη σχετική ένδειξη, τουλάχιστον σε μορφή κατάλληλη για αυτοματοποιημένη επεξεργασία.

ΠΑΡΑΡΤΗΜΑ IV

ΑΠΑΙΤΗΣΕΙΣ ΓΙΑ ΕΓΚΕΚΡΙΜΕΝΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΓΝΗΣΙΟΤΗΤΑΣ ΙΣΤΟΤΟΠΟΥ

Τα εγκεκριμένα πιστοποιητικά γνησιότητας ιστότοπου περιέχουν:

α)	ένδειξη, τουλάχιστον σε μορφή κατάλληλη για την αυτοματοποιημένη επεξεργασία, ότι το πιστοποιητικό έχει εκδοθεί ως εγκεκριμένο πιστοποιητικό_γνησιότητας_ιστότοπου·

β)

—	σε περίπτωση που πρόκειται για νομικό πρόσωπο: το όνομα και, κατά περίπτωση, τον αριθμό μητρώου του, όπως αναφέρεται στα επίσημα αρχεία,

—	σε περίπτωση που πρόκειται για φυσικό πρόσωπο: το όνομα του προσώπου·

γ)

για τα φυσικά πρόσωπα: τουλάχιστον το όνομα του προσώπου για το οποίο έχει εκδοθεί το πιστοποιητικό ή ψευδώνυμο. Εάν χρησιμοποιείται ψευδώνυμο, πρέπει να αναφέρεται σαφώς·

για τα νομικά πρόσωπα: τουλάχιστον το όνομα του νομικού προσώπου για το οποίο έχει εκδοθεί το πιστοποιητικό και, κατά περίπτωση, τον αριθμό μητρώου του, όπως αναφέρεται στα επίσημα αρχεία·

δ)	στοιχεία της διεύθυνσης, συμπεριλαμβανομένης τουλάχιστον της πόλης και του κράτους μέλους, του φυσικού ή νομικού προσώπου για το οποίο έχει εκδοθεί το πιστοποιητικό και, κατά περίπτωση, όπως αναφέρεται στα επίσημα αρχεία·

ε)	το ή τα ονόματα χώρου που ανήκουν στο φυσικό ή νομικό πρόσωπο για το οποίο έχει εκδοθεί το πιστοποιητικό·

στ)	λεπτομέρειες για την έναρξη και τη λήξη της περιόδου ισχύος του πιστοποιητικού·

ζ)	τον κωδικό ταυτότητας του πιστοποιητικού, ο οποίος πρέπει να είναι μοναδικός για τον εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης·

η)	την προηγμένη ηλεκτρονική_υπογραφή ή την προηγμένη ηλεκτρονική_σφραγίδα του εκδίδοντος εγκεκριμένου παρόχου υπηρεσιών εμπιστοσύνης·

θ)	την τοποθεσία όπου διατίθεται δωρεάν το πιστοποιητικό το οποίο τεκμηριώνει την προηγμένη ηλεκτρονική_υπογραφή ή την προηγμένη ηλεκτρονική_σφραγίδα που αναφέρεται στο στοιχείο η)·

ι)	την τοποθεσία των υπηρεσιών κατάστασης ισχύος πιστοποιητικών που παρέχουν πληροφορίες σχετικά με την κατάσταση ισχύος του εγκεκριμένου πιστοποιητικού.

whereas

(1) Η οικοδόμηση εμπιστοσύνης στο επιγραμμικό περιβάλλον είναι καθοριστικής σημασίας για την οικονομική και κοινωνική ανάπτυξη. Η έλλειψη εμπιστοσύνης, ιδίως λόγω της φαινόμενης έλλειψης ασφάλειας δικαίου, κάνει τους καταναλωτές, τις επιχειρήσεις και τις δημόσιες αρχές να διστάζουν να πραγματοποιούν συναλλαγές ηλεκτρονικά και να υιοθετήσουν νέες υπηρεσίες.

- = -

(2) Επιδίωξη του κανονισμού είναι να ενισχυθεί η εμπιστοσύνη στις ηλεκτρονικές συναλλαγές εντός της εσωτερικής αγοράς, με την παροχή κοινής βάσης για ασφαλείς ηλεκτρονικές αλληλεπιδράσεις μεταξύ των πολιτών, των επιχειρήσεων και των δημόσιων αρχών, αυξάνοντας έτσι την αποτελεσματικότητα των δημόσιων και ιδιωτικών επιγραμμικών υπηρεσιών, του ηλεκτρονικού επιχειρείν και του ηλεκτρονικού εμπορίου στην Ένωση.

- = -

(3) Η οδηγία 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3), αφορούσε τις ηλεκτρονικές υπογραφές, χωρίς να παρέχει ένα ολοκληρωμένο διασυνοριακό και διατομεακό πλαίσιο για ασφαλείς, αξιόπιστες και εύχρηστες ηλεκτρονικές συναλλαγές. Ο παρών κανονισμός ενισχύει και αναπτύσσει το κεκτημένο της εν λόγω οδηγίας.

- = -

(6) Στα συμπεράσματά του της 27ης Μαΐου 2011, το Συμβούλιο κάλεσε την Επιτροπή να συμβάλει στην ψηφιακή ενιαία αγορά με τη δημιουργία κατάλληλων συνθηκών για την αμοιβαία αναγνώριση των βασικών εργαλείων σε διασυνοριακό επίπεδο, όπως η ηλεκτρονική_ταυτοποίηση, τα ηλεκτρονικά έγγραφα, οι ηλεκτρονικές υπογραφές και οι υπηρεσίες ηλεκτρονικής παράδοσης δεδομένων, καθώς και για τις διαλειτουργικές υπηρεσίες ηλεκτρονικής διακυβέρνησης σε ολόκληρη την η Ευρωπαϊκή Ένωση.

- = -

(8) Η οδηγία 2006/123/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (5) απαιτεί από τα κράτη μέλη να δημιουργήσουν υπηρεσίες μιας στάσης («κέντρα ενιαίας εξυπηρέτησης») για την εύκολη ολοκλήρωση όλων των διαδικασιών και διατυπώσεων όσον αφορά την πρόσβαση σε μια δραστηριότητα παροχής υπηρεσιών και την άσκησή της, από απόσταση και με ηλεκτρονικά μέσα, μέσω της κατάλληλης υπηρεσίας μιας στάσης και με τις αρμόδιες αρχές. Πολλές επιγραμμικές υπηρεσίες που είναι διαθέσιμες μέσω κέντρων ενιαίας εξυπηρέτησης απαιτούν ηλεκτρονική_ταυτοποίηση, επαλήθευση της ταυτότητας και υπογραφή.

- = -

(9) Στις περισσότερες περιπτώσεις, οι πολίτες δεν μπορούν να χρησιμοποιήσουν τα στοιχεία ηλεκτρονικής ταυτοποίησής τους για να ταυτοποιούνται σε άλλο κράτος μέλος, επειδή τα εθνικά συστήματα ηλεκτρονικής ταυτοποίησης στη χώρα τους δεν αναγνωρίζονται σε άλλα κράτη μέλη. Αυτός ο ηλεκτρονικός φραγμός δεν επιτρέπει στους παρόχους υπηρεσιών να απολαμβάνουν πλήρως τα οφέλη της εσωτερικής αγοράς. Τα αμοιβαίως αναγνωρισμένα μέσα ηλεκτρονικής ταυτοποίησης θα διασφαλίσουν τη διασυνοριακή παροχή πολυάριθμων υπηρεσιών στην εσωτερική αγορά και θα δώσουν στις επιχειρήσεις τη δυνατότητα να λειτουργούν σε διασυνοριακή βάση χωρίς να αντιμετωπίζουν εμπόδια στις συναλλαγές τους με δημόσιες αρχές.

- = -

(11) Κατά την εφαρμογή του παρόντος κανονισμού, θα πρέπει να τηρούνται πλήρως οι αρχές της προστασίας δεδομένων προσωπικού χαρακτήρα που προβλέπονται στην οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7). Σχετικά, και όσον αφορά την αρχή της αμοιβαίας αναγνώρισης που θεσπίζει ο παρών κανονισμός, η επαλήθευση_ταυτότητας για επιγραμμική υπηρεσία αφορά την επεξεργασία μόνο εκείνων των στοιχείων ταυτοποίησης που είναι κατάλληλα, συναφή προς το θέμα και όχι υπερβολικά για τη χορήγηση πρόσβασης στην εν λόγω επιγραμμική υπηρεσία. Περαιτέρω, οι πάροχοι υπηρεσιών εμπιστοσύνης και τα εποπτικά όργανα θα πρέπει να συμμορφώνονται προς τις απαιτήσεις της οδηγίας 95/46/ΕΚ όσον αφορά το απόρρητο και την ασφάλεια επεξεργασίας.

- = -

(12) Ένας από τους στόχους του παρόντος κανονισμού είναι η άρση των υφιστάμενων φραγμών στη διασυνοριακή χρήση των μέσων ηλεκτρονικής ταυτοποίησης που χρησιμοποιούνται στα κράτη μέλη για ταυτοποίηση τουλάχιστον στις δημόσιες υπηρεσίες. Ο παρών κανονισμός δεν αποσκοπεί να παρέμβει ως προς τα συστήματα διαχείρισης ηλεκτρονικών ταυτοτήτων και τις συναφείς υποδομές που έχουν θεσπιστεί στα κράτη μέλη. Σκοπός του παρόντος κανονισμού είναι να διασφαλιστεί ότι είναι δυνατή η ασφαλής ηλεκτρονική_ταυτοποίηση και επαλήθευση της ταυτότητας για την πρόσβαση στις διασυνοριακές επιγραμμικές υπηρεσίες που προσφέρονται από τα κράτη μέλη.

- = -

(14) Ο παρών κανονισμός θα πρέπει να προβλέπει ορισμένες προϋποθέσεις σε σχέση με τα μέσα ηλεκτρονικής ταυτοποίησης τα οποία θα πρέπει να αναγνωρίζονται και τον τρόπο κοινοποίησής των συστημάτων ηλεκτρονικής ταυτοποίησης. Οι προϋποθέσεις αυτές θα βοηθούν τα κράτη μέλη να αναπτύσσουν την απαραίτητη εμπιστοσύνη στα συστήματα ηλεκτρονικής ταυτοποίησης που το καθένα εφαρμόζει και να αναγνωρίζουν αμοιβαία τα μέσα ηλεκτρονικής ταυτοποίησης που υπάγονται στα κοινοποιημένα συστήματά τους. Η αρχή της αμοιβαίας αναγνώρισης θα πρέπει να ισχύει εάν το σύστημα_ηλεκτρονικής_ταυτοποίησης του κοινοποιούντος κράτους μέλους πληροί τους όρους της κοινοποίησης και η κοινοποίηση έχει δημοσιευθεί στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης. Μολαταύτα, η αρχή της αμοιβαίας αναγνώρισης θα πρέπει να αφορά μόνο την επαλήθευση_ταυτότητας σε επιγραμμική υπηρεσία. Η πρόσβαση στις εν λόγω επιγραμμικές υπηρεσίες και η τελική παροχή τους στον αιτούντα θα πρέπει να συνδέονται άμεσα με το δικαίωμα λήψης των υπηρεσιών αυτών, υπό τους όρους που προβλέπει η εθνική νομοθεσία.

- = -

(17) Τα κράτη μέλη θα πρέπει να παροτρύνουν τον ιδιωτικό τομέα να χρησιμοποιεί εθελοντικά, για τους σκοπούς της ταυτοποίησης, μέσα ηλεκτρονικής ταυτοποίησης στο πλαίσιο κοινοποιημένου συστήματος, όταν απαιτείται σε επιγραμμικές υπηρεσίες ή ηλεκτρονικές συναλλαγές. Η χρήση των εν λόγω μέσων ηλεκτρονικής ταυτοποίησης θα παρείχε στον ιδιωτικό τομέα τη δυνατότητα να βασίζεται στην ηλεκτρονική_ταυτοποίηση και επαλήθευση της ταυτότητας που χρησιμοποιείται ήδη ευρέως σε πολλά κράτη μέλη τουλάχιστον σε δημόσιες υπηρεσίες και να διευκολύνει την πρόσβαση στις επιγραμμικές υπηρεσίες για τις επιχειρήσεις και τους πολίτες σε διασυνοριακό επίπεδο. Προκειμένου να διευκολύνεται η χρήση των εν λόγω μέσων ηλεκτρονικής ταυτοποίησης από τον ιδιωτικό τομέα σε διασυνοριακό επίπεδο, η δυνατότητα επαλήθευσης της ταυτότητας που παρέχει οιοδήποτε κράτος μέλος θα πρέπει να είναι διαθέσιμη σε βασιζόμενα μέρη του ιδιωτικού τομέα τα οποία είναι εγκατεστημένα εκτός της επικράτειας του συγκεκριμένου κράτους μέλους υπό τους ίδιους όρους που ισχύουν για τα βασιζόμενα μέρη του ιδιωτικού τομέα που είναι εγκατεστημένα στο συγκεκριμένο κράτος μέλος. Συνεπώς, όσον αφορά τα βασιζόμενα μέρη του ιδιωτικού τομέα, το κοινοποιούν κράτος μέλος μπορεί να ορίζει όρους πρόσβασης στα μέσα επαλήθευσης ταυτότητας. Στους εν λόγω όρους πρόσβασης μπορεί να παρέχονται πληροφορίες σχετικά με το εάν τα μέσα επαλήθευσης της ταυτότητας που σχετίζονται με το κοινοποιημένο σύστημα διατίθενται επί του παρόντος σε βασιζόμενα μέρη του ιδιωτικού τομέα.

- = -

(18) Ο παρών κανονισμός θα πρέπει να προβλέπει την ευθύνη του κοινοποιούντος κράτους μέλους, του μέρους που εκδίδει το μέσο_ηλεκτρονικής_ταυτοποίησης και του μέρους που χειρίζεται τη διαδικασία επαλήθευσης ταυτότητας σε περίπτωση μη συμμόρφωσης προς τις οικείες υποχρεώσεις τους που προβλέπονται στον παρόντα κανονισμό. Εντούτοις, ο παρών κανονισμός θα πρέπει να εφαρμόζεται σύμφωνα με τους εθνικούς κανόνες περί ευθύνης. Ως εκ τούτου, δεν θίγει τους εν λόγω εθνικούς κανόνες, όπως, για παράδειγμα, τους κανόνες σχετικά με τον προσδιορισμό της ζημίας ή τους οικείους εφαρμοστέους δικονομικούς κανόνες, περιλαμβανομένου του βάρους απόδειξης.

- = -

(19) Η ασφάλεια των συστημάτων ηλεκτρονικής ταυτοποίησης είναι βασικό στοιχείο για την αξιόπιστη διασυνοριακή αμοιβαία αναγνώριση των ηλεκτρονικών μέσων ταυτοποίησης. Σε αυτό το πλαίσιο, τα κράτη μέλη θα πρέπει να συνεργαστούν σε θέματα ασφάλειας και διαλειτουργικότητας των συστημάτων ηλεκτρονικής ταυτοποίησης σε ενωσιακό επίπεδο. Κάθε φορά που για ένα σύστημα_ηλεκτρονικής_ταυτοποίησης απαιτείται ειδικό υλικό ή λογισμικό προς χρήση από τα βασιζόμενα μέρη σε εθνικό επίπεδο, τα εν λόγω κράτη μέλη δεν επιβάλλουν τις εν λόγω απαιτήσεις και τις σχετικές δαπάνες στα βασιζόμενα μέρη που είναι εγκατεστημένα εκτός της επικράτειάς του, για λόγους διασυνοριακής διαλειτουργικότητας. Σε αυτήν την περίπτωση, θα πρέπει να συζητούνται και να διαμορφώνονται κατάλληλες λύσεις, εντός του πεδίου εφαρμογής του πλαισίου διαλειτουργικότητας. Εντούτοις, απαιτήσεις σε τεχνικό επίπεδο λόγω εγγενών προδιαγραφών των εθνικών μέσων ηλεκτρονικής ταυτοποίησης οι οποίες ενδεχομένως να επηρεάζουν τους κατόχους αυτών των ηλεκτρονικών μέσων (π.χ. κάρτες με μικροκυκλώματα — «έξυπνες κάρτες») είναι αναπόφευκτες.

- = -

(21) Ο παρών κανονισμός θα πρέπει να θεσπίζει επίσης γενικό νομικό πλαίσιο για τη χρήση των υπηρεσιών εμπιστοσύνης. Εντούτοις, δεν θα πρέπει να παράγει γενική υποχρέωση χρήσης τους ή εγκατάστασης σημείου πρόσβασης για όλες τις υφιστάμενες υπηρεσίες εμπιστοσύνης. Ειδικότερα, δεν θα πρέπει να καλύπτει την παροχή υπηρεσιών οι οποίες χρησιμοποιούνται αποκλειστικά εντός κλειστών συστημάτων μεταξύ καθορισμένου συνόλου συμμετεχόντων και δεν έχουν καμία επίπτωση σε τρίτους. Για παράδειγμα, δεν θα πρέπει να υπόκεινται στις απαιτήσεις του παρόντος κανονισμού συστήματα που εγκαθίστανται σε επιχειρήσεις ή δημόσιες υπηρεσίες για τη διαχείριση εσωτερικών διαδικασιών και κάνουν χρήση υπηρεσιών εμπιστοσύνης. Μόνον οι υπηρεσίες εμπιστοσύνης που παρέχονται στο κοινό και έχουν επιπτώσεις σε τρίτους θα πρέπει να πληρούν τις απαιτήσεις του κανονισμού. Ο παρών κανονισμός δεν θα πρέπει επίσης να καλύπτει θέματα που αφορούν τη σύναψη και την ισχύ συμβάσεων ή άλλων νομικών υποχρεώσεων, εφόσον υφίστανται απαιτήσεις ως προς τον τύπο, απορρέουσες από το εθνικό ή το ενωσιακό δίκαιο. Επίσης, δεν θα πρέπει να επηρεάζει τις εθνικές απαιτήσεις περί τύπου που αφορούν τα δημόσια μητρώα, ιδιαίτερα τα εμπορικά μητρώα και τα κτηματολόγια.

- = -

(29) Σύμφωνα με τις υποχρεώσεις στο πλαίσιο της σύμβασης των Ηνωμένων Εθνών για τα δικαιώματα των ατόμων με αναπηρίες, η οποία εγκρίθηκε με την απόφαση 2010/48/ΕΚ του Συμβουλίου (8) και ιδίως με το άρθρο 9 της σύμβασης, τα άτομα με αναπηρίες θα πρέπει να μπορούν να χρησιμοποιούν τις υπηρεσίες εμπιστοσύνης και τα προϊόντα τελικού χρήστη που χρησιμοποιούνται κατά την παροχή των υπηρεσιών αυτών σε ισότιμη βάση με τους λοιπούς καταναλωτές. Κατά συνέπεια, οι υπηρεσίες εμπιστοσύνης που παρέχονται και τα προϊόντα τελικού χρήστη που χρησιμοποιούνται κατά την παροχή των υπηρεσιών αυτών θα πρέπει να είναι προσβάσιμα από άτομα με αναπηρίες, εφόσον είναι εφικτό. Στην εκτίμηση εφικτότητας θα πρέπει να λαμβάνονται υπόψη, μεταξύ άλλων, τεχνικές και οικονομικές παράμετροι.

- = -

(31) Οι εποπτικοί φορείς θα πρέπει να συνεργάζονται με τις αρχές προστασίας δεδομένων, για παράδειγμα ενημερώνοντας τις εν λόγω αρχές σχετικά με τα αποτελέσματα των ελέγχων εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης, όταν υπάρχουν ενδείξεις ότι έχουν παραβιαστεί κανόνες προστασίας δεδομένων προσωπικού χαρακτήρα. Η παροχή πληροφοριών θα πρέπει ιδίως να καλύπτει συμβάντα σχετικά με την ασφάλεια και με παραβιάσεις δεδομένων προσωπικού χαρακτήρα.

- = -

(32) Θα πρέπει να εναπόκειται σε όλους τους παρόχους υπηρεσιών εμπιστοσύνης να εφαρμόζουν ορθές πρακτικές ασφάλειας ανάλογες προς τους κινδύνους που συνδέονται με τις δραστηριότητές τους, έτσι ώστε να ενισχυθεί η εμπιστοσύνη των χρηστών στην ενιαία αγορά.

- = -

(34) Όλα τα κράτη μέλη θα πρέπει να τηρούν κοινές βασικές απαιτήσεις εποπτείας προκειμένου να διασφαλίζεται ένα συγκρίσιμο επίπεδο ασφάλειας για τις εγκεκριμένες υπηρεσίες εμπιστοσύνης. Προκειμένου να διευκολύνουν την ομοιόμορφη εφαρμογή αυτών των απαιτήσεων σε ολόκληρη την Ένωση, τα κράτη μέλη θα πρέπει να εγκρίνουν συγκρίσιμες διαδικασίες και να ανταλλάσσουν πληροφορίες σχετικά με τις εποπτικές δραστηριότητες και τις βέλτιστες πρακτικές τους στον τομέα αυτό.

- = -

(35) Όλοι οι πάροχοι υπηρεσιών εμπιστοσύνης θα πρέπει να υπόκεινται στις απαιτήσεις του παρόντος κανονισμού, ειδικότερα όσον αφορά την ασφάλεια και την ευθύνη για τη διασφάλιση της δέουσας επιμέλειας, της διαφάνειας και της λογοδοσίας των δραστηριοτήτων και των υπηρεσιών τους. Ωστόσο, λαμβάνοντας υπόψη το είδος των υπηρεσιών που παρέχουν οι πάροχοι υπηρεσιών εμπιστοσύνης είναι σκόπιμο να γίνεται διάκριση, όσον αφορά τις εν λόγω απαιτήσεις, μεταξύ εγκεκριμένων και μη εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης.

- = -

(36) Κατά τη θέσπιση εποπτικού καθεστώτος για όλους τους παρόχους υπηρεσιών εμπιστοσύνης θα πρέπει να διασφαλίζεται ισότιμο πλαίσιο ασφάλειας και υπευθυνότητας για πράξεις και υπηρεσίες, συμβάλλοντας, κατ’ αυτόν τον τρόπο στην προστασία των χρηστών και στη λειτουργία της εσωτερικής αγοράς. Οι μη εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης θα πρέπει να υπόκεινται σε ήπιες και αντενεργές εκ των υστέρων εποπτικές δραστηριότητες, δικαιολογούμενες από τη φύση των υπηρεσιών και των πράξεων. Ως εκ τούτου, ο εποπτικός φορέας δεν θα πρέπει να φέρει γενική ευθύνη εποπτείας μη εγκεκριμένων παρόχων υπηρεσιών. Ο εποπτικός φορέας θα πρέπει να αναλαμβάνει δράση μόνο όταν πληροφορείται (για παράδειγμα από τον ίδιο τον μη εγκεκριμένο πάροχο υπηρεσίας εμπιστοσύνης, από άλλον εποπτικό φορέα, μέσω ειδοποίησης από χρήστη ή επιχειρηματικό εταίρο ή κατόπιν έρευνας του ίδιου του φορέα) ότι μη εγκεκριμένος πάροχος υπηρεσίας εμπιστοσύνης δεν συμμορφώνεται προς τις απαιτήσεις του παρόντος κανονισμού.

- = -

(37) Ο παρών κανονισμός θα πρέπει να προβλέπει ευθύνη όλων των παρόχων υπηρεσιών εμπιστοσύνης. Συγκεκριμένα, θεσπίζει το καθεστώς ευθύνης υπό το οποίο όλοι οι πάροχοι υπηρεσιών εμπιστοσύνης θα πρέπει να φέρουν ευθύνη για ζημίες που προκαλούνται σε φυσικό ή νομικό πρόσωπο λόγω αδυναμίας συμμόρφωσης με τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό. Προκειμένου να διευκολυνθεί η αξιολόγηση του οικονομικού κινδύνου που ενδέχεται να πρέπει να αναλάβουν οι πάροχοι υπηρεσιών εμπιστοσύνης ή να καλύψουν με ασφαλιστήρια συμβόλαια, ο παρών κανονισμός επιτρέπει στους παρόχους υπηρεσιών εμπιστοσύνης να θέτουν περιορισμούς, υπό ορισμένες προϋποθέσεις, στη χρήση των υπηρεσιών που παρέχουν και να μη φέρουν ευθύνη για ζημίες που προκύπτουν από χρήση υπηρεσιών υπερβαίνουσα αυτούς τους περιορισμούς. Οι πελάτες θα πρέπει να ενημερώνονται δεόντως και εκ των προτέρων σχετικά με τους περιορισμούς. Οι εν λόγω περιορισμοί θα πρέπει να είναι αναγνωρίσιμοι από τρίτους, για παράδειγμα μέσω της συμπερίληψης των πληροφοριών για τους περιορισμούς στους όρους και τις προϋποθέσεις της παρεχόμενης υπηρεσίας ή μέσω άλλων αναγνωρίσιμων μέσων. Προκειμένου να εκπληρώνονται οι εν λόγω αρχές, ο παρών κανονισμός θα πρέπει να εφαρμόζεται σύμφωνα με τους εθνικούς κανόνες περί ευθύνης. Ως εκ τούτου, ο παρών κανονισμός δεν θίγει αυτούς τους εθνικούς κανόνες, για παράδειγμα, ως προς τον ορισμό της ζημίας, της πρόθεσης, της αμέλειας, ή τους σχετικούς ισχύοντες δικονομικούς κανόνες.

- = -

(40) Για να καταστεί δυνατή η αξιολόγηση από την Επιτροπή και τα κράτη μέλη της αποτελεσματικότητας του μηχανισμού ενισχυμένης εποπτείας που θεσπίζει ο παρών κανονισμός, οι εποπτικοί φορείς θα πρέπει να καλούνται να υποβάλλουν εκθέσεις σχετικά με τις δραστηριότητές τους. Αυτό θα συνέβαλε στη διευκόλυνση της ανταλλαγής ορθών πρακτικών μεταξύ των εποπτικών φορέων και θα επιβεβαίωνε ότι οι βασικές απαιτήσεις εποπτείας εφαρμόζονται με συνέπεια και αποτελεσματικότητα σε όλα τα κράτη μέλη.

- = -

(41) Για να εξασφαλιστεί η βιωσιμότητα και η διάρκεια των εγκεκριμένων υπηρεσιών εμπιστοσύνης και να ενισχυθεί η εμπιστοσύνη των χρηστών στην απρόσκοπτη λειτουργία των εγκεκριμένων υπηρεσιών εμπιστοσύνης, οι εποπτικοί φορείς θα πρέπει να επαληθεύουν την ύπαρξη και την ορθή εφαρμογή των διατάξεων περί σχεδίων παύσης, σε περιπτώσεις κατά τις οποίες οι πάροχοι εγκεκριμένων υπηρεσιών εμπιστοσύνης παύουν τις δραστηριότητές τους.

- = -

(42) Προκειμένου να διευκολυνθεί η εποπτεία των εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης, για παράδειγμα, όταν ένας πάροχος παρέχει τις υπηρεσίες του στην επικράτεια άλλου κράτους μέλους στο οποίο δεν υπόκειται σε εποπτεία ή όταν οι υπολογιστές ενός παρόχου βρίσκονται στην επικράτεια κράτους μέλους διαφορετικού από το κράτος μέλος στο οποίο είναι εγκατεστημένος, θα πρέπει να δημιουργηθεί ένα σύστημα αμοιβαίας συνδρομής μεταξύ των εποπτικών φορέων στα κράτη μέλη.

- = -

(43) Προκειμένου να διασφαλισθεί η συμμόρφωση των εγκεκριμένων παρόχων υπηρεσιών εμπιστοσύνης και των υπηρεσιών που παρέχουν προς τις απαιτήσεις του παρόντος κανονισμού, θα διεξάγονται αξιολογήσεις συμμόρφωσης από οργανισμό αξιολόγησης της συμμόρφωσης, οι δε εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης θα πρέπει να υποβάλλουν εκθέσεις σχετικές με τις επακόλουθες αξιολογήσεις της συμμόρφωσης στον εποπτικό φορέα. Στις περιπτώσεις που ο εποπτικός φορέας απαιτεί από εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης να υποβάλει ad hoc έκθεση αξιολόγησης της συμμόρφωσης, ο εποπτικός φορέας θα πρέπει να τηρεί ιδίως την αρχή της χρηστής διοίκησης, συμπεριλαμβανομένης της υποχρέωσης να αιτιολογεί τις αποφάσεις του, καθώς και την αρχή της αναλογικότητας. Κατά συνέπεια, ο εποπτικός φορέας θα πρέπει να αιτιολογεί δεόντως την απόφαση με την οποία ζητά ad hoc αξιολόγηση της συμμόρφωσης.

- = -

(44) Ο παρών κανονισμός αποσκοπεί στην εξασφάλιση ενός συνεκτικού πλαισίου, που θα παρέχει υψηλό επίπεδο ασφάλειας δικαίου και γενικότερης ασφάλειας σε ό,τι αφορά τις υπηρεσιών εμπιστοσύνης. Υπό αυτό το πρίσμα, κατά την εξέταση της αξιολόγησης της συμμόρφωσης προϊόντων και υπηρεσιών, η Επιτροπή θα πρέπει, εφόσον απαιτείται, να επιδιώκει συνέργειες με υφιστάμενους συναφείς ευρωπαϊκούς και διεθνείς μηχανισμούς, όπως ο κανονισμός (ΕΚ) αριθ. 765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9) ο οποίος καθορίζει τις απαιτήσεις διαπίστευσης των φορέων αξιολόγησης συμμόρφωσης και εποπτείας της αγοράς προϊόντων.

- = -

(47) Για να μπορούν οι χρήστες να αξιοποιούν πλήρως και να στηρίζονται συνειδητά στις ηλεκτρονικές υπηρεσίες είναι απαραίτητο να υπάρχει εμπιστοσύνη στις επιγραμμικές υπηρεσίες και να διασφαλίζεται η ευχρηστία τους. Για τον σκοπό αυτό, θα πρέπει να δημιουργηθεί ένα ενωσιακό σήμα εμπιστοσύνης που θα επισημαίνει τις εγκεκριμένες υπηρεσίες εμπιστοσύνης που παρέχονται από εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης. Το εν λόγω ενωσιακό σήμα εμπιστοσύνης για εγκεκριμένες υπηρεσίες εμπιστοσύνης θα κάνει σαφή διάκριση μεταξύ των εγκεκριμένων και των λοιπών υπηρεσιών εμπιστοσύνης, συνεισφέροντας έτσι στη διαφάνεια στην αγορά. Η χρήση ενωσιακού σήματος εμπιστοσύνης από τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης θα είναι εθελοντική και δεν θα πρέπει να οδηγεί σε άλλες απαιτήσεις επιπλέον των ήδη προβλεπόμενων στον παρόντα κανονισμό.

- = -

(49) Ο παρών κανονισμός θα πρέπει να θεσπίζει την αρχή ότι δεν θα πρέπει να απορρίπτεται η ισχύς της ηλεκτρονικής υπογραφής με την αιτιολογία ότι είναι σε ηλεκτρονική μορφή ή ότι δεν πληροί τις απαιτήσεις της εγκεκριμένης ηλεκτρονικής υπογραφής. Ωστόσο, εναπόκειται στην εθνική νομοθεσία να καθορίζει το νομικό αποτέλεσμα των ηλεκτρονικών υπογραφών, εκτός από την απαίτηση που περιέχεται στον παρόντα κανονισμό και προβλέπει ότι η εγκεκριμένη ηλεκτρονική_υπογραφή θα πρέπει να έχει νομική ισχύ ισοδύναμη με την ιδιόχειρη υπογραφή.

- = -

(51) Θα πρέπει να είναι δυνατό για τον υπογράφοντα να αναθέτει τις εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικών υπογραφών στην επιμέλεια τρίτου μέρους, με την προϋπόθεση ότι εφαρμόζονται οι κατάλληλοι μηχανισμοί και διαδικασίες ώστε να διασφαλιστεί ότι ο υπογράφων έχει τον αποκλειστικό έλεγχο της χρήσης των δεδομένων δημιουργίας της ηλεκτρονικής υπογραφής του, καθώς και ότι η χρήση της διάταξης πληροί τις απαιτήσεις όσον αφορά τις εγκεκριμένες υπογραφές.

- = -

(52) Η δημιουργία εξ αποστάσεως ηλεκτρονικών υπογραφών, όπου το περιβάλλον της δημιουργίας της ηλεκτρονικής υπογραφής θα τελεί υπό τη διαχείριση παρόχου υπηρεσιών εμπιστοσύνης εξ ονόματος του υπογράφοντος, πρόκειται να ενταθεί, λόγω των πολλαπλών οικονομικών πλεονεκτημάτων της. Ωστόσο, για να διασφαλιστεί ότι οι εν λόγω ηλεκτρονικές υπογραφές θα τυγχάνουν της ίδιας νομικής αναγνώρισης με τις ηλεκτρονικές υπογραφές που δημιουργούνται σε περιβάλλον το οποίο τελεί υπό την πλήρη διαχείριση του χρήστη, οι πάροχοι υπηρεσιών εξ αποστάσεως ηλεκτρονικής υπογραφής οφείλουν να εφαρμόζουν συγκεκριμένες διαχειριστικές και διοικητικές διαδικασίες ασφαλείας, να χρησιμοποιούν αξιόπιστα συστήματα και προϊόντα, όπου περιλαμβάνονται ειδικότερα ασφαλείς ηλεκτρονικοί δίαυλοι επικοινωνίας, προκειμένου να εξασφαλίζεται η αξιοπιστία του περιβάλλοντος δημιουργίας ηλεκτρονικής υπογραφής και να υπάρχουν εγγυήσεις ότι το περιβάλλον αυτό χρησιμοποιήθηκε με αποκλειστικό έλεγχο του υπογράφοντος. Όταν μια εγκεκριμένη ηλεκτρονική_υπογραφή έχει δημιουργηθεί με χρήση διάταξης εξ αποστάσεως δημιουργίας ηλεκτρονικών υπογραφών, θα πρέπει να εφαρμόζονται οι απαιτήσεις που ισχύουν για τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης βάσει του παρόντος κανονισμού.

- = -

(54) H διασυνοριακή αναγνώριση και διαλειτουργικότητα των εγκεκριμένων πιστοποιητικών αποτελεί προαπαιτούμενο για τη διασυνοριακή αναγνώριση των εγκεκριμένων ηλεκτρονικών υπογραφών. Ως εκ τούτου, τα εγκεκριμένα πιστοποιητικά δεν θα πρέπει να υπόκεινται σε υποχρεωτικές απαιτήσεις που υπερβαίνουν τις απαιτήσεις που ορίζονται στον παρόντα κανονισμό. Ωστόσο, σε εθνικό επίπεδο, η εισαγωγή ειδικών χαρακτηριστικών, όπως τα μοναδικά αναγνωριστικά, σε εγκεκριμένα πιστοποιητικά θα πρέπει να επιτρέπεται, υπό την προϋπόθεση ότι αυτά τα ειδικά χαρακτηριστικά δεν παρακωλύουν τη διασυνοριακή αναγνώριση και τη διαλειτουργικότητα των εγκεκριμένων πιστοποιητικών και των ηλεκτρονικών υπογραφών.

- = -

(55) Η πιστοποίηση της ασφάλειας πληροφοριακών συστημάτων με βάση διεθνή πρότυπα, όπως το ISO 15408 και συναφείς μέθοδοι αξιολόγησης και ρυθμίσεις αμοιβαίας αναγνώρισης, αποτελεί σημαντικό εργαλείο για την εξακρίβωση της ασφάλειας των εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής και θα πρέπει να προωθηθεί. Ωστόσο, διάφορες καινοτόμες λύσεις και υπηρεσίες (όπως η υπογραφή μέσω κινητών συσκευών και η υπογραφή μέσω εφαρμογών νέφους) στηρίζονται σε τεχνικές και οργανωτικές λύσεις για εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικών υπογραφών για τις οποίες ενδέχεται να μην υπάρχουν ακόμη πρότυπα ασφάλειας ή η πρώτη πιστοποίηση της ασφάλειας πληροφοριακών συστημάτων να βρίσκεται υπό εξέλιξη. Το επίπεδο ασφαλείας παρόμοιων εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής μπορεί να αξιολογείται με τη χρήση εναλλακτικών διαδικασιών μόνον όταν δεν είναι διαθέσιμα αυτά τα πρότυπα ασφαλείας ή όταν η πρώτη πιστοποίηση της ασφάλειας πληροφοριακών συστημάτων βρίσκεται υπό εξέλιξη. Οι διαδικασίες αυτές θα πρέπει να είναι συγκρίσιμες με τα πρότυπα πιστοποίησης της ασφάλειας πληροφοριακών συστημάτων στον βαθμό που τα επίπεδα ασφάλειάς τους είναι ισοδύναμα. Οι διαδικασίες αυτές θα μπορούσαν να διευκολύνονται με αξιολόγηση από ομοτίμους.

- = -

(56) Ο παρών κανονισμός θα πρέπει να ορίσει απαιτήσεις για τις εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής προκειμένου να εξασφαλίζεται η λειτουργικότητα των προηγμένων ηλεκτρονικών υπογραφών. Ο παρών κανονισμός δεν θα πρέπει να καλύπτει ολόκληρο το περιβάλλον του συστήματος στο οποίο λειτουργούν οι διατάξεις αυτές. Συνεπώς, το πεδίο εφαρμογής για την πιστοποίηση εγκεκριμένων διατάξεων δημιουργίας υπογραφής θα πρέπει να περιορίζεται στο υλικό και στο λογισμικό του συστήματος που χρησιμοποιείται για τη διαχείριση και την προστασία των δεδομένων δημιουργίας υπογραφής που δημιουργούνται, αποθηκεύονται ή αποτελούν αντικείμενο επεξεργασίας στη συσκευή δημιουργίας υπογραφής. Όπως αναφέρεται αναλυτικά σε σχετικά πρότυπα, οι εφαρμογές δημιουργίας υπογραφής θα πρέπει να εξαιρούνται από το πεδίο της υποχρέωσης πιστοποίησης.

- = -

(57) Για να εξασφαλιστεί η ασφάλεια δικαίου σχετικά με την εγκυρότητα της υπογραφής, είναι απαραίτητο να προσδιορισθούν τα συστατικά στοιχεία εγκεκριμένης ηλεκτρονικής υπογραφής εκείνα τα οποία θα πρέπει να αξιολογούνται από το βασιζόμενο_μέρος που διενεργεί την επικύρωση. Επιπλέον, ο προσδιορισμός των απαιτήσεων για τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης που μπορούν να παρέχουν εγκεκριμένη υπηρεσία επικύρωσης σε βασιζόμενα μέρη που δεν είναι πρόθυμα ή σε θέση να πραγματοποιήσουν μόνα τους την επικύρωση εγκεκριμένων ηλεκτρονικών υπογραφών, θα παρακινούσε τον ιδιωτικό και το δημόσιο τομέα να επενδύσει στις εν λόγω υπηρεσίες. Αμφότερα τα στοιχεία αυτά θα καθιστούσαν την επικύρωση εγκεκριμένων υπογραφών εύκολη και άνετη διαδικασία για όλα τα μέρη σε επίπεδο Ένωσης.

- = -

(61) Ο παρών κανονισμός θα πρέπει να εξασφαλίζει τη μακροπρόθεσμη διαφύλαξη των πληροφοριών για τη διασφάλιση της νομικής εγκυρότητας της ηλεκτρονικής υπογραφής και των ηλεκτρονικών σφραγίδων για μεγάλα χρονικά διαστήματα και για την εξασφάλιση πως θα μπορούν να επικυρωθούν ανεξάρτητα από τις μελλοντικές τεχνολογικές αλλαγές.

- = -

(62) Προκειμένου να διασφαλίζεται η ασφάλεια των εγκεκριμένων ηλεκτρονικών χρονοσφραγίδων, ο παρών κανονισμός θα πρέπει να απαιτεί τη χρήση προηγμένης ηλεκτρονικής σφραγίδας ή προηγμένης ηλεκτρονικής υπογραφής ή άλλης ισοδύναμης μεθόδου. Θεωρείται εύλογη η πρόβλεψη ότι η καινοτομία θα μπορέσει να οδηγήσει σε νέες τεχνολογίες που θα έχουν τη δυνατότητα να εξασφαλίζουν ισοδύναμο επίπεδο ασφάλειας για τις χρονοσφραγίδες. Όποτε χρησιμοποιείται μέθοδος διαφορετική από την προηγμένη ηλεκτρονική_σφραγίδα ή την προηγμένη ηλεκτρονική_υπογραφή, θα πρέπει να εναπόκειται στον εγκεκριμένο πάροχο υπηρεσιών εμπιστοσύνης να αποδείξει, στην έκθεση αξιολόγησης της συμμόρφωσης, ότι η μέθοδος αυτή εξασφαλίζει ισοδύναμο επίπεδο ασφάλειας και είναι σύμφωνη με τις υποχρεώσεις που ορίζει ο παρών κανονισμός.

- = -

(64) Η Επιτροπή, όταν ασχολείται με τις μορφές προηγμένων ηλεκτρονικών υπογραφών και σφραγίδων, θα πρέπει να βασίζεται στις ισχύουσες πρακτικές, πρότυπα και νομοθεσίες και ιδίως στην απόφαση 2011/130/ΕΕ της Επιτροπής (11).

- = -

(67) Οι υπηρεσίες επαλήθευσης της ταυτότητας ιστοτόπων αποτελούν ένα μέσο με το οποίο ένας επισκέπτης του ιστότοπου μπορεί να βεβαιωθεί ότι υπάρχει πραγματική και νόμιμη οντότητα πίσω από τον ιστότοπο. Οι υπηρεσίες αυτές συμβάλλουν στην αποκατάσταση της εμπιστοσύνης και της πίστης στην άσκηση επιχειρηματικών δραστηριοτήτων σε απευθείας σύνδεση, διότι οι χρήστες θα έχουν εμπιστοσύνη σε έναν δικτυακό τόπο του οποίου έχει επαληθευθεί η ταυτότητα. Η παροχή και η χρήση υπηρεσιών επαλήθευσης της ταυτότητας ιστοτόπων είναι απολύτως εθελοντικές. Ωστόσο, προκειμένου η επαλήθευση της ταυτότητας ιστοτόπων να γίνει ένα μέσο για την ενίσχυση της εμπιστοσύνης, παρέχοντας βελτιωμένη εμπειρία στο χρήστη και συμβάλλοντας στην περαιτέρω ανάπτυξη της εσωτερικής αγοράς, ο παρών κανονισμός θα πρέπει να θεσπίσει ελάχιστες υποχρεώσεις ασφάλειας και ευθύνης για τους παρόχους και τις υπηρεσίες τους. Προς τον σκοπό αυτό, έχουν ληφθεί υπόψη τα αποτελέσματα των υφιστάμενων βιομηχανικών πρωτοβουλιών, για παράδειγμα αρχών πιστοποίησης/φόρουμ φυλλομετρητών — φόρουμ CA/Β. Επιπλέον, ο παρών κανονισμός δεν θα πρέπει να εμποδίζει τη χρήση άλλων μέσων ή μεθόδων για την επαλήθευση της ταυτότητας ιστότοπου που δεν εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού ούτε θα πρέπει να εμποδίζει τους παρόχους υπηρεσιών επαλήθευσης της ταυτότητας ιστοτόπων από τρίτες χώρες να παρέχουν τις υπηρεσίες τους σε πελάτες στην Ένωση. Ωστόσο, ένας πάροχος από τρίτη χώρα θα πρέπει να επιδιώκει την αναγνώριση των υπηρεσιών του για την επαλήθευση της ταυτότητας ιστοτόπων ως εγκεκριμένων σύμφωνα με τον παρόντα κανονισμό, μόνο εάν έχει συναφθεί διεθνής συμφωνία μεταξύ της Ένωσης και της χώρας εγκατάστασης του παρόχου.

- = -

(68) Η έννοια του «νομικού προσώπου» σύμφωνα με τις σχετικές με την εγκατάσταση διατάξεις της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) επιτρέπει στους οικονομικούς φορείς να επιλέγουν τη νομική μορφή που θεωρούν κατάλληλη για την άσκηση της δραστηριότητάς τους. Κατά συνέπεια, ως «νομικά πρόσωπα» κατά την έννοια της ΣΛΕΕ νοούνται όλες οι οντότητες που ιδρύονται σύμφωνα με τη νομοθεσία κράτους μέλους ή διέπονται από αυτήν, ανεξάρτητα από τη νομική μορφή τους.

- = -

(69) Τα θεσμικά και λοιπά όργανα, οι οργανισμοί και οι υπηρεσίες της Ένωσης ενθαρρύνονται να αναγνωρίζουν την ηλεκτρονική_ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης που καλύπτονται από τον παρόντα κανονισμό για τους σκοπούς της διοικητικής συνεργασίας αξιοποιώντας ιδίως τις υφιστάμενες ορθές πρακτικές και τα αποτελέσματα των υπό εξέλιξη σχεδίων στους τομείς που καλύπτει ο παρών κανονισμός.

- = -

(72) Κατά την έκδοση κατ’ εξουσιοδότηση ή εκτελεστικών πράξεων, η Επιτροπή θα πρέπει να λαμβάνει δεόντως υπόψη τα πρότυπα και τις τεχνικές προδιαγραφές που εκπονούνται από ευρωπαϊκούς και διεθνείς οργανισμούς και φορείς τυποποίησης, ιδίως την Ευρωπαϊκή Επιτροπή Τυποποίησης (CEN), το Ευρωπαϊκό Ινστιτούτο Τηλεπικοινωνιακών Προτύπων (ETSI), το Διεθνή Οργανισμό Τυποποίησης (ISO) και τη Διεθνή Ένωση Τηλεπικοινωνιών (ITU), με σκοπό να εξασφαλίσει υψηλό επίπεδο ασφάλειας και διαλειτουργικότητας των υπηρεσιών ηλεκτρονικής ταυτοποίησης και εμπιστοσύνης.

- = -

(74) Για να εξασφαλιστεί ασφάλεια δικαίου για τους φορείς της αγοράς που χρησιμοποιούν ήδη εγκεκριμένα πιστοποιητικά εκδοθέντα από φυσικό πρόσωπο σύμφωνα με την οδηγία 1999/93/ΕΚ, είναι απαραίτητη η πρόβλεψη επαρκούς μεταβατικής περιόδου. Ομοίως, θα πρέπει να προβλεφθούν μεταβατικά μέτρα για τις ασφαλείς διατάξεις δημιουργίας υπογραφών, των οποίων η συμμόρφωση έχει καθοριστεί σύμφωνα με την οδηγία 1999/93/ΕΚ, καθώς και για τους παρόχους υπηρεσιών πιστοποίησης που εκδίδουν εγκεκριμένα πιστοποιητικά πριν από την 1η Ιουλίου 2016. Τέλος, είναι επίσης απαραίτητο να παρασχεθούν στην Επιτροπή μέσα για την έκδοση των εκτελεστικών πράξεων και των κατ’ εξουσιοδότηση πράξεων πριν από την ημερομηνία αυτή.

- = -

(75) Οι ημερομηνίες εφαρμογής που ορίζονται στον παρόντα κανονισμό δεν θίγουν τις υφιστάμενες υποχρεώσεις των κρατών μελών βάσει της νομοθεσίας της Ένωσης, ιδίως σύμφωνα με την οδηγία 2006/123/ΕΚ.

- = -

(77) Έγινε διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (13) και αυτός εξέδωσε γνώμη στις 27 Σεπτεμβρίου 2012 (14),

- = -

keyboard_tab EIDAS 2014/0910 EL

EIDAS 2014/0910 EL