keyboard_tab EIDAS 2014/0910 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Članak 3. Definicije
- 1 Članak 17. Nadzorno tijelo
- 6 Članak 19. Sigurnosni zahtjevi primjenjivi na pružatelje usluga povjerenja
- 1 Članak 32. Zahtjevi za validaciju kvalificiranih elektroničkih potpisa
- 1 Članak 35. Pravni učinci elektroničkih pečata
- 1 Članak 41. Pravni učinak elektroničkih vremenskih žigova
- 1 Članak 43. Pravni učinak usluge elektroničke preporučene dostave
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
ELEKTRONIČKA IDENTIFIKACIJA
POGLAVLJE III.
USLUGE POVJERENJA
ODJELJAK 1.
Opće odredbe
ODJELJAK 2.
Nadzor
ODJELJAK 3.
Kvalificirane usluge povjerenja
ODJELJAK 4.
Elektronički potpisi
ODJELJAK 5.
Elektronički pečati
ODJELJAK 6.
Elektronički vremenski žigovi
ODJELJAK 7.
Usluge elektroničke preporučene dostave
ODJELJAK 8.
Autentikacija mrežnih stranica
POGLAVLJE IV.
ELEKTRONIČKI DOKUMENTI
POGLAVLJE V.
DELEGIRANJA OVLASTI I PROVEDBENE ODREDBE
POGLAVLJE VI.
ZAVRŠNE ODREDBE
- znači 41
- koji 36
- usluga 36
- povjerenja 36
- elektronički 30
- elektroničkog 24
- koja 19
- koje 18
- tijelo 18
- podataka 16
- potpisa 16
- kvalificirani 16
- izradu 15
- zahtjeve 15
- elektroničke 14
- skladu 13
- usluge 12
- tijela 12
- obliku 12
- elektroničkom 12
- ispunjava 12
- stavka 11
- pečat 11
- pečata 10
- certifikat 10
- kvalificiranog 10
- elektroničkih 10
- nadzorno 9
- preporučene 9
- pružatelj 9
- podaci 9
- sigurnosti 8
- članka 8
- cjelovitosti 8
- kvalificiranih 8
- dostave 7
- utvrđene 7
- potpis 7
- „kvalificirani 7
- članice 7
- što 7
- Članak 7
- vremenski 6
- osobu 6
- autentikaciju 6
- validaciju 6
- koristi 6
- osobe 6
- članku 6
- podatke 6
Članak 3.
Definicije
Za potrebe ove Uredbe primjenjuju se sljedeće definicije:
| 1. | „elektronička identifikacija” znači postupak korištenja osobnim identifikacijskim podacima u elektroničkom obliku koji na nedvojben način predstavljaju bilo fizičku ili pravnu osobu ili fizičku osobu koja predstavlja pravnu osobu; |
| 2. | „sredstvo elektroničke identifikacije” znači materijalna i/ili nematerijalna jedinica koja sadrži osobne identifikacijske podatke i koja se koristi za autentikaciju na online uslugu; |
| 3. | „osobni identifikacijski podaci” znači skup podataka koji omogućavaju da se utvrdi identitet fizičke ili pravne osobe ili fizičke osobe koja predstavlja pravnu osobu; |
| 4. | „sustav elektroničke identifikacije” znači sustav za elektroničku identifikaciju u okviru kojega se izdaju sredstva elektroničke identifikacije fizičkim ili pravnim osobama ili fizičkim osobama koje predstavljaju pravne osobe; |
| 5. | „autentikacija” znači elektronički postupak koji omogućava da elektronička identifikacija fizičke ili pravne osobe ili izvornost i cjelovitost podataka u elektroničkom obliku budu potvrđeni; |
| 6. | „pouzdajuća strana” znači fizička ili pravna osoba koja se oslanja na elektroničku identifikaciju ili uslugu povjerenja; |
| 7. | „tijelo javnog sektora” znači državno, regionalno ili lokalno tijelo, javnopravno tijelo ili udruženje koje se sastoji od jednog ili nekoliko takvih tijela ili jednog ili nekoliko takvih javnopravnih tijela ili privatni subjekt koji je ovlastilo barem jedno od tih vlasti, tijela ili udruženja za pružanje javnih usluga kada djeluju u okviru takve ovlasti; |
| 8. | „javnopravno tijelo” znači tijelo definirano u članku 2. stavku 1. točki 4. Direktive 2014/24/EU Europskog parlamenta i Vijeća (15); |
| 9. | „potpisnik” znači fizička osoba koja izrađuje elektronički potpis; |
| 10. | „elektronički potpis” znači podaci u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koje potpisnik koristi za potpisivanje; |
| 11. | „napredan elektronički potpis” znači elektronički potpis koji ispunjava zahtjeve navedene u članku 26.; |
| 12. | „kvalificirani elektronički potpis” znači napredan elektronički potpis koji je izrađen pomoću kvalificiranih sredstava za izradu elektroničkog potpisa i temelji se na kvalificiranom certifikatu za elektroničke potpise; |
| 13. | „podaci za izradu elektroničkog potpisa” znači jedinstveni podaci koje potpisnik koristi za izradu elektroničkog potpisa; |
| 14. | „certifikat za elektronički potpis” znači elektronička potvrda koja povezuje podatke za validaciju elektroničkog potpisa s fizičkom osobom i potvrđuje barem ime ili pseudonim te osobe; |
| 15. | „kvalificirani certifikat za elektronički potpis” znači certifikat za elektroničke potpise koji izdaje kvalificirani pružatelj usluga povjerenja i koji ispunjava zahtjeve utvrđene u Prilogu I.; |
| 16. | „usluga povjerenja” znači elektronička usluga koja se u pravilu pruža uz naknadu i koja se sastoji od:
|
| 17. | „kvalificirana usluga povjerenja” znači usluga povjerenja koja ispunjava odgovarajuće zahtjeve utvrđene u ovoj Uredbi; |
| 18. | „tijelo za ocjenjivanje sukladnosti” znači tijelo u smislu članka 2. točke 13. Uredbe (EZ) br. 765/2008 koje je u skladu s tom Uredbom ovlašteno kao nadležno za provedbu ocjenjivanja sukladnosti kvalificiranog pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje on pruža; |
| 19. | „pružatelj usluga povjerenja” znači fizička ili pravna osoba koja pruža jednu ili više usluga povjerenja bilo kao kvalificirani ili nekvalificirani pružatelj usluga povjerenja; |
| 20. | „kvalificirani pružatelj usluga povjerenja” znači pružatelj usluga povjerenja koji pruža jednu ili više kvalificiranih usluga povjerenja i kojemu je nadzorno tijelo odobrilo kvalificirani status; |
| 21. | „proizvod” znači hardver ili softver ili odgovarajuće komponente hardvera ili softvera koji su namijenjeni za korištenje u svrhu pružanja usluga povjerenja; |
| 22. | „sredstvo za izradu elektroničkog potpisa” znači konfigurirani softver ili hardver koji se koristi za izradu elektroničkog potpisa; |
| 23. | „kvalificirano sredstvo za izradu elektroničkog potpisa” znači sredstvo za izradu elektroničkog potpisa koje ispunjava zahtjeve utvrđene u Prilogu II.; |
| 24. | „autor pečata” znači pravna osoba koja izrađuje elektronički pečat; |
| 25. | „elektronički pečat” znači podaci u elektroničkom obliku koji su pridruženi drugim podacima u elektroničkom obliku ili su logički povezani s njima radi osiguravanja izvornosti i cjelovitosti tih podataka; |
| 26. | „napredan elektronički pečat” znači elektronički pečat koji ispunjava zahtjeve navedene u članku 36.; |
| 27. | „kvalificirani elektronički pečat” znači napredan elektronički pečat koji je izrađen pomoću kvalificiranog sredstva za izradu elektroničkog pečata i koji se temelji na kvalificiranom certifikatu za elektronički pečat; |
| 28. | „podaci za izradu elektroničkog pečata” znači jedinstveni podaci koje autor elektroničkog pečata koristi za izradu elektroničkog pečata; |
| 29. | „certifikat za elektronički pečat” znači elektronička potvrda koja povezuje podatke za validaciju elektroničkog pečata s pravnom osobom i potvrđuje naziv te osobe; |
| 30. | „kvalificirani certifikat za elektronički pečat” znači certifikat za elektronički pečat koji izdaje kvalificirani pružatelj usluge povjerenja i koji ispunjava zahtjeve određene u Prilogu III.; |
| 31. | „sredstvo za izradu elektroničkog pečata” znači konfigurirani softver ili hardver koji se koristi za izradu elektroničkog pečata; |
| 32. | „sredstvo za izradu kvalificiranog elektroničkog pečata” znači sredstvo za izradu elektroničkog pečata koje mutatis mutandis ispunjava zahtjeve određene u Prilogu II.; |
| 33. | „elektronički vremenski žig” znači podaci u elektroničkom obliku koji povezuju druge podatke u elektroničkom obliku s određenim vremenom i na taj način dokazuju da su ti podaci postojali u to vrijeme; |
| 34. | „kvalificirani elektronički vremenski žig” znači elektronički vremenski žig koji ispunjava zahtjeve navedene u članku 42.; |
| 35. | „elektronički dokument” znači svaki sadržaj koji je pohranjen u elektroničkom obliku, a posebno kao tekstualni ili zvučni, vizualni ili audiovizualni zapis; |
| 36. | „usluga elektroničke preporučene dostave” znači usluga koja omogućava prijenos podataka među trećim stranama pomoću elektroničkih sredstava i pruža dokaz o postupanju s prenesenim podacima, uključujući dokaz o slanju i primanju podataka, čime se preneseni podaci štite od rizika gubitka, krađe, oštećenja ili bilo kakvih neovlaštenih preinaka; |
| 37. | „kvalificirana usluga elektroničke preporučene dostave” znači usluga elektroničke preporučene dostave koja ispunjava zahtjeve utvrđene u članku 44.; |
| 38. | „certifikat za autentikaciju mrežnih stranica” znači potvrda pomoću koje je moguće izvršiti autentikaciju mrežnih stranica te kojom se mrežne stranice povezuju s fizičkom ili pravnom osobom kojoj je izdan certifikat; |
| 39. | „kvalificirani certifikat za autentikaciju mrežnih stranica” znači certifikat za autentikaciju mrežnih stranica koji izdaje kvalificirani pružatelj usluga povjerenja i koji ispunjava zahtjeve utvrđene u Prilogu IV.; |
| 40. | „podaci za validaciju” znači podaci koji se koriste za validaciju elektroničkog potpisa ili elektroničkog pečata; |
| 41. | „validacija” znači postupak verifikacije i potvrđivanja da su elektronički potpis ili pečat valjani. |
Članak 17.
Nadzorno tijelo
1. Države članice određuju nadzorno tijelo s poslovnim nastanom na njihovom državnom području ili, prema uzajamnom dogovoru s drugom državom članicom, nadzorno tijelo s poslovnim nastanom u toj drugoj državi članici. To tijelo je odgovorno za zadaće nadzora u državi članici koja ga određuje.
Nadzornim se tijelima dodjeljuju potrebne ovlasti i odgovarajuća sredstva za obavljanje njihovih zadaća.
2. Države članice obavješćuju Komisiju i druge države članice o nazivima i adresama svojih nadzornih tijela koja su odredile.
3. Uloga nadzornog tijela jest sljedeća:
| (a) | da nadzire kvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ga određuje kako bi se osiguralo, putem prethodnih (ex ante) i naknadnih (ex post) aktivnosti nadzora, da ti kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi; |
| (b) | da, prema potrebi, poduzima mjere u odnosu na nekvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ga određuje, putem naknadnih (ex post) aktivnosti nadzora, kada primi obavijest da ti nekvalificirani pružatelji usluga povjerenja ili usluge povjerenja koje oni pružaju navodno ne ispunjavaju zahtjeve utvrđene u ovoj Uredbi. |
4. Za potrebe stavka 3. i podložno u njemu predviđenim ograničenjima, zadaće nadzornog tijela posebno uključuju:
| (a) | suradnju s drugim nadzornim tijelima i pružanje pomoći tim tijelima u skladu s člankom 18.; |
| (b) | analiziranje izvješćâ o ocjenjivanju sukladnosti iz članka 20. stavka 1. i članka 21. stavka 1.; |
| (c) | obavješćivanje drugih nadzornih tijela i javnosti o povredama sigurnosti ili gubitku cjelovitosti u skladu s člankom 19. stavkom 2.; |
| (d) | izvješćivanje Komisije o svojim glavnim aktivnostima u skladu sa stavkom 6. ovog članka; |
| (e) | obavljanje revizija ili zahtijevanje od tijela za ocjenjivanje sukladnosti da provede ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja u skladu s člankom 20. stavkom 2.; |
| (f) | suradnju s tijelima za zaštitu podataka, a posebice obavješćujući ih, bez odgađanja, o rezultatima revizija kvalificiranih pružatelja usluga povjerenja, u slučaju kada se čini da je došlo do povrede pravila o zaštiti osobnih podataka; |
| (g) | dodjeljivanje kvalificiranog statusa pružateljima usluga povjerenja i uslugama koje oni pružaju i ukidanje tog statusa u skladu s člancima 20. i 21.; |
| (h) | obavješćivanje tijela odgovornog za nacionalni pouzdani popis iz članka 22. stavka 3. o odlukama o dodjeljivanju ili ukidanju kvalificiranog statusa, osim ako je to tijelo ujedno i nadzorno tijelo; |
| (i) | provjeravanje postojanja i pravilne primjene odredaba o planovima prekida u slučajevima kada kvalificirani pružatelj usluga povjerenja prekine svoje aktivnosti, uključujući način na koji se održava dostupnost informacija u skladu s člankom 24. stavkom 2. točkom (h); |
| (j) | zahtijevanje od pružatelja usluga povjerenja da otklone svako nepoštovanje zahtjeva utvrđenih u ovoj Uredbi. |
5. Države članice mogu od nadzornog tijela zahtijevati da uspostavi, održava i ažurira infrastrukturu povjerenja u skladu s uvjetima prema nacionalnom pravu.
6. Svako nadzorno tijelo Komisiji do 31. ožujka svake godine dostavlja izvješće o svojim glavnim aktivnostima u prethodnoj kalendarskoj godini, zajedno sa sažetkom obavijesti o povredama koje je primilo od pružatelja usluga povjerenja u skladu s člankom 19. stavkom 2.
7. Komisija stavlja na raspolaganje državama članicama godišnje izvješće iz stavka 6.
8. Komisija može provedbenim aktima utvrditi oblike i postupke izvješća iz stavka 6. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.
Članak 19.
Sigurnosni zahtjevi primjenjivi na pružatelje usluga povjerenja
1. Kvalificirani i nekvalificirani pružatelji usluga povjerenja poduzimaju odgovarajuće tehničke i organizacijske mjere za upravljanje rizicima koji prijete sigurnosti usluga povjerenja koje oni pružaju. Uzimajući u obzir najnovija tehnološka rješenja, tim se mjerama osigurava da razina sigurnosti odgovara stupnju rizika. Posebno se poduzimaju mjere za sprečavanje i smanjivanje utjecaja sigurnosnih incidenata te za obavješćivanje dionika o neželjenim učincima bilo kakvih incidenata te vrste.
2. Kvalificirani i nekvalificirani pružatelji usluga povjerenja obavješćuju, bez odgađanja, ali u svakom slučaju u roku od 24 sata od saznanja za iste, nadzorno tijelo i, prema potrebi, druga odgovarajuća tijela, kao što je nadležno nacionalno tijelo za sigurnost informacija ili tijelo za zaštitu podataka, o svakoj povredi sigurnosti ili gubitku cjelovitosti koji imaju značajan utjecaj na pruženu uslugu povjerenja ili u njoj sadržane osobne podatke.
Ako je izgledno da bi povreda sigurnosti ili gubitak cjelovitosti mogli nepovoljno utjecati na fizičku ili pravnu osobu kojoj su pružene usluge povjerenja, pružatelj usluga povjerenja o povredi ili gubitku cjelovitosti bez odgađanja obavješćuje i tu fizičku ili pravnu osobu.
Prema potrebi, posebno ako se povreda sigurnosti ili gubitak cjelovitosti odnosi na dvije države članice ili više njih, prijavljeno nadzorno tijelo obavješćuje nadzorna tijela u drugim državama članicama na koje se to odnosi i ENISA-u.
Prijavljeno nadzorno tijelo obavješćuje javnost ili zahtijeva od pružatelja usluga povjerenja da to učini ako utvrdi da je otkrivanje povrede sigurnosti ili gubitka cjelovitosti u javnom interesu.
3. Nadzorno tijelo jednom godišnje dostavlja ENISA-i sažetak obavijesti o povredi sigurnosti i gubitku cjelovitosti koje je primilo od pružateljâ usluga povjerenja.
4. Komisija može provedbenim aktima:
| (a) | podrobnije odrediti mjere iz stavka 1.; i |
| (b) | odrediti oblike i postupke, uključujući rokove, primjenjive za potrebe stavka 2. |
Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.
ODJELJAK 3.
Kvalificirane usluge povjerenja
Članak 32.
Zahtjevi za validaciju kvalificiranih elektroničkih potpisa
1. Postupkom validacije kvalificiranog elektroničkog potpisa potvrđuje se valjanost kvalificiranog elektroničkog potpisa pod sljedećim uvjetima:
| (a) | certifikat koji podržava potpis je u trenutku potpisivanja bio kvalificirani certifikat za elektronički potpis koji je u skladu Prilogom I.; |
| (b) | kvalificirani certifikat izdao je kvalificirani pružatelj usluga povjerenja i bio je valjan u trenutku potpisivanja; |
| (c) | podaci za validaciju potpisa odgovaraju podacima koji se pružaju pouzdajućoj strani; |
| (d) | jedinstveni skup podataka koji predstavlja potpisnika u certifikatu ispravno je dostavljen pouzdajućoj strani; |
| (e) | korištenje pseudonimom, ako je pseudonim bio korišten u trenutku potpisivanja, jasno je naznačeno pouzdajućoj strani; |
| (f) | elektronički potpis izrađen je sredstvom za izradu kvalificiranog elektroničkog potpisa; |
| (g) | nije ugrožena cjelovitost potpisanih podataka; |
| (h) | zahtjevi predviđeni u članku 26. bili su ispunjeni u trenutku potpisivanja. |
2. Sustav koji se upotrebljava za potvrđivanje kvalificiranog elektroničkog potpisa osigurava pouzdajućoj strani točan rezultat postupka validacije i omogućuje joj otkrivanje svih poteškoća bitnih za sigurnost.
3. Komisija može provedbenim aktima utvrditi referentne brojeve normi za validaciju kvalificiranih elektroničkih potpisa. Ako validacija kvalificiranih elektroničkih potpisa udovoljava tim normama, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.
Članak 35.
Pravni učinci elektroničkih pečata
1. Elektroničkom pečatu se kao dokazu u sudskim postupcima ne smiju uskratiti pravni učinak i dopuštenost samo zbog toga što je on u elektroničkom obliku ili zbog toga što ne ispunjava sve zahtjeve za kvalificirani elektronički pečat.
2. Za kvalificirani elektronički pečat predmnijeva se cjelovitost podataka i točnost izvora podataka s kojima je kvalificirani elektronički pečat povezan.
3. Kvalificirani elektronički pečat koji se temelji na kvalificiranom certifikatu izdanom u jednoj državi članici priznaje se kao kvalificirani elektronički pečat u svim ostalim državama članicama.
Članak 41.
Pravni učinak elektroničkih vremenskih žigova
1. Elektroničkom vremenskom žigu se kao dokazu u sudskim postupcima ne smiju uskratiti pravni učinak i dopuštenost samo zbog toga što je on u elektroničkom obliku ili zbog toga što ne ispunjava sve zahtjeve kvalificiranog elektroničkog vremenskog žiga.
2. Za kvalificirani elektronički vremenski žig predmnijeva se točnost datuma i vremena koje pokazuje te cjelovitost podataka s kojima su datum i vrijeme povezani.
3. Kvalificirani elektronički vremenski žig izdan u jednoj državi članici priznaje se kao kvalificirani elektronički vremenski žig u svim državama članicama.
Članak 43.
Pravni učinak usluge elektroničke preporučene dostave
1. Podacima poslanima i primljenima uporabom usluge elektroničke preporučene dostave ne smije se kao dokazima u sudskim postupcima uskratiti pravni učinak i dopuštenost samo zbog toga što su oni u elektroničkom obliku ili zbog toga što ne ispunjavaju sve zahtjeve kvalificirane usluge elektroničke preporučene dostave.
2. Za podatke poslane i primljene uporabom kvalificirane usluge elektroničke preporučene dostave predmnijeva se cjelovitost podataka, slanje tih podataka od strane identificiranog pošiljatelja, njihov primitak od strane identificiranog primatelja te točnost datuma i vremena slanja i primitka podataka kako su naznačeni kvalificiranom uslugom elektroničke preporučene dostave.
whereas