EIDAS 2014/0910 HR

(a)	za cilj ima tehnološku neutralnost i ne pravi razliku između bilo kojih posebnih nacionalnih tehničkih rješenja za elektroničku identifikaciju unutar određene države članice;

(b)	pridržava se europskih i međunarodnih normi, kada je to moguće;

(c)	olakšava provedbu načela „ugrađene zaštite privatnosti”; i

(d)	osigurava obradu osobnih podataka u skladu s Direktivom 95/46/EZ.

4. Okvir za interoperabilnost sastoji se od:

(a)	upućivanja na minimalne tehničke zahtjeve koji se odnose na razine sigurnosti prema članku 8.;

(b)	raspoređivanja nacionalnih razina sigurnosti prijavljenih sustava elektroničke identifikacije na razine sigurnosti prema članku 8.;

(c)	upućivanja na minimalne tehničke zahtjeve za interoperabilnost;

(d)	upućivanja na najmanji skup osobnih identifikacijskih podataka koji na nedvojben način predstavljaju fizičku ili pravnu osobu i kojim raspolažu sustavi elektroničke identifikacije;

(e)	poslovnika;

(f)	dogovorâ za rješavanje sporova; i

(g)	zajedničkih operativnih sigurnosnih normi.

5. Države članice surađuju u pogledu sljedećeg:

(a)	interoperabilnosti sustava elektroničke identifikacije koji su prijavljeni na temelju članka 9. stavka 1. i sustava elektroničke identifikacije koje države članice namjeravaju prijaviti; i

(b)	sigurnosti sustavâ elektroničke identifikacije.

6. Suradnja među državama članicama sastoji se od:

(a)	razmjene informacija, iskustva i dobre prakse u vezi sa sustavima elektroničke identifikacije i posebno u vezi s tehničkim zahtjevima koji se odnose na interoperabilnost i razine sigurnosti;

(b)	razmjene informacija, iskustva i dobre prakse u vezi s radom s razinama sigurnosti sustavâ elektroničke identifikacije u skladu s člankom 8.;

(c)	stručnog pregleda sustava elektroničke identifikacije obuhvaćenih ovom Uredbom; i

(d)	pregleda odgovarajućih kretanja u sektoru elektroničke identifikacije.

7. Komisija provedbenim aktima do 18. ožujka 2015. uspostavlja potrebne postupovne aranžmane kako bi olakšala suradnju među državama članicama iz stavaka 5. i 6., s ciljem poticanja visoke razine povjerenja i sigurnosti koja je primjerena stupnju rizika.

8. Komisija u svrhu određivanja jednakih uvjeta za provedbu zahtjeva prema stavku 1. do 18. rujna 2015. donosi provedbene akte o okviru za interoperabilnost kako je određeno u stavku 4., podložno kriterijima određenima u stavku 3. te uzimajući u obzir rezultate suradnje među državama članicama.

9. Provedbeni akti iz stavaka 7. i 8. ovog članka donose se u skladu s postupkom ispitivanja iz članka 48. stavka 2.

POGLAVLJE III.

USLUGE POVJERENJA

ODJELJAK 1.

Opće odredbe

Članak 17.

Nadzorno tijelo

1. Države članice određuju nadzorno tijelo s poslovnim nastanom na njihovom državnom području ili, prema uzajamnom dogovoru s drugom državom članicom, nadzorno tijelo s poslovnim nastanom u toj drugoj državi članici. To tijelo je odgovorno za zadaće nadzora u državi članici koja ga određuje.

Nadzornim se tijelima dodjeljuju potrebne ovlasti i odgovarajuća sredstva za obavljanje njihovih zadaća.

2. Države članice obavješćuju Komisiju i druge države članice o nazivima i adresama svojih nadzornih tijela koja su odredile.

3. Uloga nadzornog tijela jest sljedeća:

(a)

da nadzire kvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ga određuje kako bi se osiguralo, putem prethodnih (ex ante) i naknadnih (ex post) aktivnosti nadzora, da ti kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi;

(b)

da, prema potrebi, poduzima mjere u odnosu na nekvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ga određuje, putem naknadnih (ex post) aktivnosti nadzora, kada primi obavijest da ti nekvalificirani pružatelji usluga povjerenja ili usluge povjerenja koje oni pružaju navodno ne ispunjavaju zahtjeve utvrđene u ovoj Uredbi.

4. Za potrebe stavka 3. i podložno u njemu predviđenim ograničenjima, zadaće nadzornog tijela posebno uključuju:

(a)	suradnju s drugim nadzornim tijelima i pružanje pomoći tim tijelima u skladu s člankom 18.;

(b)	analiziranje izvješćâ o ocjenjivanju sukladnosti iz članka 20. stavka 1. i članka 21. stavka 1.;

(c)	obavješćivanje drugih nadzornih tijela i javnosti o povredama sigurnosti ili gubitku cjelovitosti u skladu s člankom 19. stavkom 2.;

(d)	izvješćivanje Komisije o svojim glavnim aktivnostima u skladu sa stavkom 6. ovog članka;

(e)	obavljanje revizija ili zahtijevanje od tijela za ocjenjivanje sukladnosti da provede ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja u skladu s člankom 20. stavkom 2.;

(f)	suradnju s tijelima za zaštitu podataka, a posebice obavješćujući ih, bez odgađanja, o rezultatima revizija kvalificiranih pružatelja usluga povjerenja, u slučaju kada se čini da je došlo do povrede pravila o zaštiti osobnih podataka;

(g)	dodjeljivanje kvalificiranog statusa pružateljima usluga povjerenja i uslugama koje oni pružaju i ukidanje tog statusa u skladu s člancima 20. i 21.;

(h)	obavješćivanje tijela odgovornog za nacionalni pouzdani popis iz članka 22. stavka 3. o odlukama o dodjeljivanju ili ukidanju kvalificiranog statusa, osim ako je to tijelo ujedno i nadzorno tijelo;

(i)	provjeravanje postojanja i pravilne primjene odredaba o planovima prekida u slučajevima kada kvalificirani pružatelj usluga povjerenja prekine svoje aktivnosti, uključujući način na koji se održava dostupnost informacija u skladu s člankom 24. stavkom 2. točkom (h);

(j)	zahtijevanje od pružatelja usluga povjerenja da otklone svako nepoštovanje zahtjeva utvrđenih u ovoj Uredbi.

5. Države članice mogu od nadzornog tijela zahtijevati da uspostavi, održava i ažurira infrastrukturu povjerenja u skladu s uvjetima prema nacionalnom pravu.

6. Svako nadzorno tijelo Komisiji do 31. ožujka svake godine dostavlja izvješće o svojim glavnim aktivnostima u prethodnoj kalendarskoj godini, zajedno sa sažetkom obavijesti o povredama koje je primilo od pružatelja usluga povjerenja u skladu s člankom 19. stavkom 2.

7. Komisija stavlja na raspolaganje državama članicama godišnje izvješće iz stavka 6.

8. Komisija može provedbenim aktima utvrditi oblike i postupke izvješća iz stavka 6. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 18.

Uzajamna pomoć

1. Nadzorna tijela surađuju s ciljem razmjenjivanja dobre prakse.

Nadzorno tijelo, po primitku obrazloženog zahtjeva drugog nadzornog tijela, tom tijelu pruža pomoć kako bi se aktivnosti nadzornih tijela mogle provoditi na dosljedan način. Uzajamna pomoć može posebno obuhvaćati zahtjeve za informacijama i nadzorne mjere, kao što su zahtjevi za provođenje kontrola koje se odnose na izvješća o ocjenjivanju sukladnosti, kako je navedeno u člancima 20. i 21.

2. Nadzorno tijelo kojemu je upućen zahtjev za pomoć može odbiti taj zahtjev zbog bilo kojeg od sljedećih razloga:

(a)	nadzorno tijelo nije nadležno za pružanje tražene pomoći;

(b)	tražena pomoć nije razmjerna aktivnostima nadzora nadzornog tijela koje se provode u skladu s člankom 17.;

(c)	pružanje tražene pomoći ne bi bilo u skladu s ovom Uredbom.

3. Prema potrebi, države članice mogu ovlastiti svoja nadzorna tijela da provode zajedničke istrage u kojima sudjeluje osoblje nadzornih tijela iz drugih država članica. Dogovore i postupke za takva zajednička djelovanja dogovaraju i uspostavljaju dotične države članice u skladu sa svojim nacionalnim pravima.

Članak 19.

Sigurnosni zahtjevi primjenjivi na pružatelje usluga povjerenja

1. Kvalificirani i nekvalificirani pružatelji usluga povjerenja poduzimaju odgovarajuće tehničke i organizacijske mjere za upravljanje rizicima koji prijete sigurnosti usluga povjerenja koje oni pružaju. Uzimajući u obzir najnovija tehnološka rješenja, tim se mjerama osigurava da razina sigurnosti odgovara stupnju rizika. Posebno se poduzimaju mjere za sprečavanje i smanjivanje utjecaja sigurnosnih incidenata te za obavješćivanje dionika o neželjenim učincima bilo kakvih incidenata te vrste.

2. Kvalificirani i nekvalificirani pružatelji usluga povjerenja obavješćuju, bez odgađanja, ali u svakom slučaju u roku od 24 sata od saznanja za iste, nadzorno tijelo i, prema potrebi, druga odgovarajuća tijela, kao što je nadležno nacionalno tijelo za sigurnost informacija ili tijelo za zaštitu podataka, o svakoj povredi sigurnosti ili gubitku cjelovitosti koji imaju značajan utjecaj na pruženu uslugu povjerenja ili u njoj sadržane osobne podatke.

Ako je izgledno da bi povreda sigurnosti ili gubitak cjelovitosti mogli nepovoljno utjecati na fizičku ili pravnu osobu kojoj su pružene usluge povjerenja, pružatelj usluga povjerenja o povredi ili gubitku cjelovitosti bez odgađanja obavješćuje i tu fizičku ili pravnu osobu.

Prema potrebi, posebno ako se povreda sigurnosti ili gubitak cjelovitosti odnosi na dvije države članice ili više njih, prijavljeno nadzorno tijelo obavješćuje nadzorna tijela u drugim državama članicama na koje se to odnosi i ENISA-u.

Prijavljeno nadzorno tijelo obavješćuje javnost ili zahtijeva od pružatelja usluga povjerenja da to učini ako utvrdi da je otkrivanje povrede sigurnosti ili gubitka cjelovitosti u javnom interesu.

3. Nadzorno tijelo jednom godišnje dostavlja ENISA-i sažetak obavijesti o povredi sigurnosti i gubitku cjelovitosti koje je primilo od pružateljâ usluga povjerenja.

4. Komisija može provedbenim aktima:

(a)	podrobnije odrediti mjere iz stavka 1.; i

(b)	odrediti oblike i postupke, uključujući rokove, primjenjive za potrebe stavka 2.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

ODJELJAK 3.

Kvalificirane usluge povjerenja

Članak 22.

Pouzdani popisi

1. Svaka država članica izrađuje, vodi i objavljuje pouzdane popise, uključujući informacije o kvalificiranim pružateljima usluga povjerenja za koje je ta država članica odgovorna, zajedno s informacijama o kvalificiranim uslugama povjerenja koje oni pružaju.

2. Države članice u obliku prikladnom za automatiziranu obradu i na siguran način izrađuju, vode i objavljuju elektronički potpisane ili pečaćene pouzdane popise iz stavka 1.

3. Države članice bez odgađanja obavješćuju Komisiju o informacijama o tijelu odgovornom za izradu, vođenje i objavljivanje nacionalnih pouzdanih popisa i detaljima o tome gdje se takvi popisi objavljuju, certifikatima korištenima za potpisivanje ili pečaćenje pouzdanih popisa i svim njihovim izmjenama.

4. Komisija stavlja na raspolaganje javnosti informacije iz stavka 3. na siguran način, u elektronički potpisanom ili pečaćenom formatu prikladnom za automatiziranu obradu.

5. Komisija putem provedbenih akata do 18. rujna 2015. navodi informacije iz stavka 1. i utvrđuje tehničke specifikacije i formate za pouzdane popise primjenjive za potrebe stavaka od 1. do 4. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 31.

Objavljivanje popisa certificiranih kvalificiranih sredstava za izradu elektroničkog potpisa

1. Države članice obavješćuju Komisiju, bez odgađanja, a najkasnije u roku od mjeseca dana nakon dovršetka certificiranja, o informacijama o sredstvima za izradu kvalificiranog elektroničkog potpisa koja su certificirala tijela iz članka 30. stavka 1. Također obavješćuju Komisiju, bez odgađanja, a najkasnije u roku od mjeseca dana nakon poništenja certificiranja, o informacijama o sredstvima za izradu elektroničkog potpisa koja više nisu certificirana.

2. Na temelju primljenih informacija Komisija izrađuje, objavljuje i vodi popis certificiranih kvalificiranih sredstava za izradu elektroničkog potpisa.

3. Komisija može provedbenim aktima utvrditi formate i postupke primjenjive za potrebe stavka 1. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

whereas

(20) Suradnja država članica trebala bi olakšati tehničku interoperabilnost prijavljenih sustava elektroničke identifikacije u cilju poticanja visoke razine pouzdanosti i sigurnosti sukladno stupnju rizika.
Razmjena informacija i najbolje prakse među državama članicama u cilju njihova uzajamnog priznavanja trebale bi pomoći takvoj suradnji.

- = -

(31) Nadzorna tijela trebala bi surađivati s tijelima za zaštitu podataka, primjerice na način da ih obavješćuju o rezultatima revizija kvalificiranih pružatelja usluga povjerenja, u slučaju kada se čini da je došlo do povrede pravila o zaštiti osobnih podataka.
Pružanje informacija trebalo bi posebno obuhvaćati sigurnosne incidente te povrede povezane s osobnim podacima.

- = -

(37) Ovom bi se Uredbom trebala predvidjeti odgovornost svih pružatelja usluga povjerenja.
Njome se posebno uspostavlja sustav odgovornosti prema kojemu bi svi pružatelji usluga povjerenja trebali biti odgovorni za štetu nanesenu svakoj fizičkoj ili pravnoj osobi zbog neispunjavanja obveza u skladu s ovom Uredbom.
Kako bi se olakšala procjena financijskog rizika koji bi pružatelji usluga povjerenja mogli snositi ili koji bi trebali pokriti policama osiguranja, ovom se Uredbom dopušta pružateljima usluga povjerenja da odrede ograničenja, pod određenim uvjetima, za korištenje uslugama koje oni pružaju te da ne podliježu odgovornosti za štete povezane s korištenjem uslugama koje prelazi takva ograničenja.
Korisnike usluga trebalo bi na odgovarajući način i unaprijed obavješćivati o tim ograničenjima.
Ta ograničenja trebala bi biti prepoznatljiva trećim osobama, na primjer, uvrštavanjem informacija o ograničenjima u uvjete poslovanja za pruženu uslugu ili putem drugih dopustivih sredstava.
U svrhu provedbe tih načela u praksi, ovu bi Uredbu trebalo primjenjivati u skladu s nacionalnim pravilima o odgovornosti.
Ova Uredba stoga ne utječe na nacionalna pravila, primjerice, o definiranju šteta, namjeri, nepažnji ili odgovarajuća postupovna pravila koja su na snazi.

- = -

(61) Ovom bi Uredbom trebalo osigurati dugoročno čuvanje informacija kako bi se osigurala pravna valjanost elektroničkih potpisa i elektroničkih pečata tijekom duljih razdoblja, čime bi se zajamčila mogućnost njihove validacije neovisno o budućim tehnološkim promjenama.

- = -

keyboard_tab EIDAS 2014/0910 HR

EIDAS 2014/0910 HR