EIDAS 2014/0910 FR

1. Les services de confiance fournis par des prestataires de services de confiance établis dans un pays tiers sont reconnus comme équivalents, sur le plan juridique, à des services de confiance qualifiés fournis par des prestataires de services de confiance qualifiés établis dans l’Union lorsque les services de confiance provenant du pays tiers sont reconnus en vertu d’un accord conclu entre l’Union et le pays tiers concerné ou une organisation internationale conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne.

2. Les accords visés au paragraphe 1 garantissent, en particulier, que:

les exigences applicables aux prestataires de services de confiance qualifiés établis dans l’Union et les services de confiance qualifiés qu’ils fournissent sont respectés par les prestataires de services de confiance dans le pays tiers ou par les organisations internationales avec lesquels l’accord est conclu, et par les services de confiance qu’ils fournissent;

les services de confiance qualifiés fournis par des prestataires de services de confiance qualifiés établis dans l’Union sont reconnus comme équivalents, sur le plan juridique, à des services de confiance fournis par des prestataires de services de confiance dans le pays tiers ou par l’organisation internationale avec lequels l’accord est conclu.

Article 19

Exigences de sécurité applicables aux prestataires de services de confiance

1. Les prestataires de services de confiance qualifiés et non qualifiés prennent les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu’ils fournissent. Compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de sécurité est proportionné au degré de risque. Des mesures sont notamment prises en vue de prévenir et de limiter les conséquences d’incidents liés à la sécurité et d’informer les parties concernées des effets préjudiciables de tels incidents.

2. Les prestataires de services de confiance qualifiés et non qualifiés notifient, dans les meilleurs délais et en tout état de cause dans un délai de vingt-quatre heures après en avoir eu connaissance, à l’organe de contrôle et, le cas échéant, à d’autres organismes concernés, tels que l’organisme national compétent en matière de sécurité de l’information ou l’autorité chargée de la protection des données, toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service_de_confiance fourni ou sur les données à caractère personnel qui y sont conservées.

Lorsque l’atteinte à la sécurité ou la perte d’intégrité est susceptible de porter préjudice à une personne physique ou morale à laquelle le service_de_confiance a été fourni, le prestataire_de_services_de_confiance notifie aussi, dans les meilleurs délais, à la personne physique ou morale l’atteinte à la sécurité ou la perte d’intégrité.

Le cas échéant, notamment lorsqu’une atteinte à la sécurité ou une perte d’intégrité concerne deux États membres ou plus, l’organe de contrôle notifié informe les organes de contrôle des autres États membres concernés ainsi que l'ENISA.

L’organe de contrôle notifié informe le public ou exige du prestataire_de_services_de_confiance qu’il le fasse, dès lors qu’il constate qu’il est dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité.

3. Une fois par an, l’organe de contrôle fournit à l'ENISA un résumé des notifications d’atteinte à la sécurité et de perte d’intégrité reçues de prestataires de services de confiance.

4. La Commission peut, au moyen d’actes d’exécution:

a)	préciser davantage les mesures visées au paragraphe 1; et

b)	définir les formats et procédures, y compris les délais, applicables aux fins du paragraphe 2.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

SECTION 3

Services de confiance qualifiés

whereas

(55) Une certification de sécurité informatique fondée sur des normes internationales, tels que la norme ISO 15408 et les méthodes d’évaluation et accords de reconnaissance mutuelle qui y sont liés, est un outil important pour vérifier la sécurité de dispositifs de création de signature_électronique qualifiés et devrait être encouragée.
Cependant, des solutions et des services innovants, comme la signature mobile et la signature en mode informatique en nuage, nécessitent une solution technique et organisationnelle pour les dispositifs de création de signature_électronique qualifiés pour lesquels des normes de sécurité peuvent ne pas encore exister ou pour lesquels la première certification de sécurité informatique est en cours d’examen.
Le niveau de sécurité de ces dispositifs de création de signature_électronique qualifiés ne pourrait être évalué en utilisant d’autres processus que lorsque ces normes de sécurité n’existent pas ou que la première certification de sécurité informatique est en cours d’examen.
Ces processus devraient être comparables aux normes de certification de sécurité informatique, dans la mesure où leurs niveaux de sécurité sont équivalents.
Ces processus pourraient être facilités grâce à un examen par les pairs.

- = -

(72) Lorsqu’elle adopte des actes délégués ou d’exécution, la Commission devrait tenir dûment compte des normes et des spécifications techniques établies par des instances et organismes européens et internationaux de normalisation, notamment le Comité européen de normalisation (CEN), l’Institut européen de normalisation des télécommunications (IENT), l’organisation internationale de normalisation (ISO) et l’Union internationale des télécommunications (UIT), en vue de garantir un niveau élevé de sécurité et d’interopérabilité pour l’ identification_électronique et les services de confiance.

- = -

keyboard_tab EIDAS 2014/0910 FR

EIDAS 2014/0910 FR