EIDAS 2014/0910 HR

1.	„elektronička identifikacija” znači postupak korištenja osobnim identifikacijskim podacima u elektroničkom obliku koji na nedvojben način predstavljaju bilo fizičku ili pravnu osobu ili fizičku osobu koja predstavlja pravnu osobu;

2.	„sredstvo elektroničke identifikacije” znači materijalna i/ili nematerijalna jedinica koja sadrži osobne identifikacijske podatke i koja se koristi za autentikaciju na online uslugu;

3.	„osobni identifikacijski podaci” znači skup podataka koji omogućavaju da se utvrdi identitet fizičke ili pravne osobe ili fizičke osobe koja predstavlja pravnu osobu;

4.	„sustav elektroničke identifikacije” znači sustav za elektroničku identifikaciju u okviru kojega se izdaju sredstva elektroničke identifikacije fizičkim ili pravnim osobama ili fizičkim osobama koje predstavljaju pravne osobe;

5.	„autentikacija” znači elektronički postupak koji omogućava da elektronička identifikacija fizičke ili pravne osobe ili izvornost i cjelovitost podataka u elektroničkom obliku budu potvrđeni;

6.	„pouzdajuća strana” znači fizička ili pravna osoba koja se oslanja na elektroničku identifikaciju ili uslugu povjerenja;

„tijelo javnog sektora” znači državno, regionalno ili lokalno tijelo, javnopravno tijelo ili udruženje koje se sastoji od jednog ili nekoliko takvih tijela ili jednog ili nekoliko takvih javnopravnih tijela ili privatni subjekt koji je ovlastilo barem jedno od tih vlasti, tijela ili udruženja za pružanje javnih usluga kada djeluju u okviru takve ovlasti;

8.	„javnopravno tijelo” znači tijelo definirano u članku 2. stavku 1. točki 4. Direktive 2014/24/EU Europskog parlamenta i Vijeća (15);

9.	„potpisnik” znači fizička osoba koja izrađuje elektronički potpis;

10.	„elektronički potpis” znači podaci u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koje potpisnik koristi za potpisivanje;

11.	„napredan elektronički potpis” znači elektronički potpis koji ispunjava zahtjeve navedene u članku 26.;

12.	„kvalificirani elektronički potpis” znači napredan elektronički potpis koji je izrađen pomoću kvalificiranih sredstava za izradu elektroničkog potpisa i temelji se na kvalificiranom certifikatu za elektroničke potpise;

13.	„podaci za izradu elektroničkog potpisa” znači jedinstveni podaci koje potpisnik koristi za izradu elektroničkog potpisa;

14.	„certifikat za elektronički potpis” znači elektronička potvrda koja povezuje podatke za validaciju elektroničkog potpisa s fizičkom osobom i potvrđuje barem ime ili pseudonim te osobe;

15.	„kvalificirani certifikat za elektronički potpis” znači certifikat za elektroničke potpise koji izdaje kvalificirani pružatelj usluga povjerenja i koji ispunjava zahtjeve utvrđene u Prilogu I.;

16.

„usluga povjerenja” znači elektronička usluga koja se u pravilu pruža uz naknadu i koja se sastoji od:

(a)	izrade, verifikacije i validacije elektroničkih potpisa, elektroničkih pečata ili elektroničkih vremenskih žigova, usluge elektroničke preporučene dostave i certifikata koji se odnose na te usluge; ili

(b)	izrade, verifikacije i validacije certifikata za autentikaciju mrežnih stranica; ili

(c)	čuvanja elektroničkih potpisa, pečata ili certifikata koji se odnose na te usluge;

17.	„kvalificirana usluga povjerenja” znači usluga povjerenja koja ispunjava odgovarajuće zahtjeve utvrđene u ovoj Uredbi;

18.	„tijelo za ocjenjivanje sukladnosti” znači tijelo u smislu članka 2. točke 13. Uredbe (EZ) br. 765/2008 koje je u skladu s tom Uredbom ovlašteno kao nadležno za provedbu ocjenjivanja sukladnosti kvalificiranog pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje on pruža;

19.	„pružatelj usluga povjerenja” znači fizička ili pravna osoba koja pruža jednu ili više usluga povjerenja bilo kao kvalificirani ili nekvalificirani pružatelj usluga povjerenja;

20.	„kvalificirani pružatelj usluga povjerenja” znači pružatelj usluga povjerenja koji pruža jednu ili više kvalificiranih usluga povjerenja i kojemu je nadzorno tijelo odobrilo kvalificirani status;

21.	„proizvod” znači hardver ili softver ili odgovarajuće komponente hardvera ili softvera koji su namijenjeni za korištenje u svrhu pružanja usluga povjerenja;

22.	„sredstvo za izradu elektroničkog potpisa” znači konfigurirani softver ili hardver koji se koristi za izradu elektroničkog potpisa;

23.	„kvalificirano sredstvo za izradu elektroničkog potpisa” znači sredstvo za izradu elektroničkog potpisa koje ispunjava zahtjeve utvrđene u Prilogu II.;

24.	„autor pečata” znači pravna osoba koja izrađuje elektronički pečat;

25.	„elektronički pečat” znači podaci u elektroničkom obliku koji su pridruženi drugim podacima u elektroničkom obliku ili su logički povezani s njima radi osiguravanja izvornosti i cjelovitosti tih podataka;

26.	„napredan elektronički pečat” znači elektronički pečat koji ispunjava zahtjeve navedene u članku 36.;

27.	„kvalificirani elektronički pečat” znači napredan elektronički pečat koji je izrađen pomoću kvalificiranog sredstva za izradu elektroničkog pečata i koji se temelji na kvalificiranom certifikatu za elektronički pečat;

28.	„podaci za izradu elektroničkog pečata” znači jedinstveni podaci koje autor elektroničkog pečata koristi za izradu elektroničkog pečata;

29.	„certifikat za elektronički pečat” znači elektronička potvrda koja povezuje podatke za validaciju elektroničkog pečata s pravnom osobom i potvrđuje naziv te osobe;

30.	„kvalificirani certifikat za elektronički pečat” znači certifikat za elektronički pečat koji izdaje kvalificirani pružatelj usluge povjerenja i koji ispunjava zahtjeve određene u Prilogu III.;

31.	„sredstvo za izradu elektroničkog pečata” znači konfigurirani softver ili hardver koji se koristi za izradu elektroničkog pečata;

32.	„sredstvo za izradu kvalificiranog elektroničkog pečata” znači sredstvo za izradu elektroničkog pečata koje mutatis mutandis ispunjava zahtjeve određene u Prilogu II.;

33.	„elektronički vremenski žig” znači podaci u elektroničkom obliku koji povezuju druge podatke u elektroničkom obliku s određenim vremenom i na taj način dokazuju da su ti podaci postojali u to vrijeme;

34.	„kvalificirani elektronički vremenski žig” znači elektronički vremenski žig koji ispunjava zahtjeve navedene u članku 42.;

35.	„elektronički dokument” znači svaki sadržaj koji je pohranjen u elektroničkom obliku, a posebno kao tekstualni ili zvučni, vizualni ili audiovizualni zapis;

36.

„usluga elektroničke preporučene dostave” znači usluga koja omogućava prijenos podataka među trećim stranama pomoću elektroničkih sredstava i pruža dokaz o postupanju s prenesenim podacima, uključujući dokaz o slanju i primanju podataka, čime se preneseni podaci štite od rizika gubitka, krađe, oštećenja ili bilo kakvih neovlaštenih preinaka;

37.	„kvalificirana usluga elektroničke preporučene dostave” znači usluga elektroničke preporučene dostave koja ispunjava zahtjeve utvrđene u članku 44.;

38.	„certifikat za autentikaciju mrežnih stranica” znači potvrda pomoću koje je moguće izvršiti autentikaciju mrežnih stranica te kojom se mrežne stranice povezuju s fizičkom ili pravnom osobom kojoj je izdan certifikat;

39.	„kvalificirani certifikat za autentikaciju mrežnih stranica” znači certifikat za autentikaciju mrežnih stranica koji izdaje kvalificirani pružatelj usluga povjerenja i koji ispunjava zahtjeve utvrđene u Prilogu IV.;

40.	„podaci za validaciju” znači podaci koji se koriste za validaciju elektroničkog potpisa ili elektroničkog pečata;

41.	„validacija” znači postupak verifikacije i potvrđivanja da su elektronički potpis ili pečat valjani.

Članak 22.

Pouzdani popisi

1. Svaka država članica izrađuje, vodi i objavljuje pouzdane popise, uključujući informacije o kvalificiranim pružateljima usluga povjerenja za koje je ta država članica odgovorna, zajedno s informacijama o kvalificiranim uslugama povjerenja koje oni pružaju.

2. Države članice u obliku prikladnom za automatiziranu obradu i na siguran način izrađuju, vode i objavljuju elektronički potpisane ili pečaćene pouzdane popise iz stavka 1.

3. Države članice bez odgađanja obavješćuju Komisiju o informacijama o tijelu odgovornom za izradu, vođenje i objavljivanje nacionalnih pouzdanih popisa i detaljima o tome gdje se takvi popisi objavljuju, certifikatima korištenima za potpisivanje ili pečaćenje pouzdanih popisa i svim njihovim izmjenama.

4. Komisija stavlja na raspolaganje javnosti informacije iz stavka 3. na siguran način, u elektronički potpisanom ili pečaćenom formatu prikladnom za automatiziranu obradu.

5. Komisija putem provedbenih akata do 18. rujna 2015. navodi informacije iz stavka 1. i utvrđuje tehničke specifikacije i formate za pouzdane popise primjenjive za potrebe stavaka od 1. do 4. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 26.

Zahtjevi za napredne elektroničke potpise

Napredan elektronički potpis mora ispunjavati sljedeće zahtjeve:

(a)	na nedvojben način je povezan s potpisnikom;

(b)	omogućava identificiranje potpisnika;

(c)	izrađen je korištenjem podacima za izradu elektroničkog potpisa koje potpisnik može, uz visoku razinu pouzdanja, koristiti pod svojom isključivom kontrolom; i

(d)	povezan je s njime potpisanim podacima na način da se može otkriti bilo koja naknadna izmjena podataka.

Članak 29.

Zahtjevi za kvalificirana sredstva za izradu elektroničkih potpisa

1. Kvalificirana sredstva za izradu elektroničkih potpisa moraju ispunjavati zahtjeve utvrđene u Prilogu II.

2. Komisija može provedbenim aktima utvrditi referentne brojeve normi za kvalificirana sredstva za izradu elektroničkih potpisa. Ako kvalificirano sredstvo za izradu elektroničkog potpisa udovoljava tim normama, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u Prilogu II. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 30.

Certificiranje kvalificiranih sredstava za izradu elektroničkih potpisa

1. Sukladnost kvalificiranih sredstava za izradu elektroničkih potpisa sa zahtjevima utvrđenima u Prilogu II. potvrđuju odgovarajuća javna ili privatna tijela koja određuju države članice.

2. Države članice obavješćuju Komisiju o nazivima i adresama javnih ili privatnih tijela iz stavka 1. Komisija stavlja te informacije na raspolaganje državama članicama.

3. Certificiranje iz stavka 1. temelji se na jednom od sljedećeg:

(a)	postupku sigurnosne evaluacije u skladu s jednom od normi za ocjenu sigurnosti proizvoda informacijske tehnologije uvrštenih na popis koji se utvrđuje u skladu s drugim podstavkom; ili

(b)

postupku različitom od postupka iz prethodne točke, pod uvjetom da on koristi usporedive sigurnosne razine te pod uvjetom da javno ili privatno tijelo iz stavka 1. obavijesti Komisiju o tom postupku. Taj se postupak može koristiti samo u slučaju nepostojanja normi navedenih u točki (a) ili kada je postupak sigurnosne evaluacije iz točke (a) u tijeku.

Komisija provedbenim aktima utvrđuje popis normi za ocjenu sigurnosti proizvoda informacijske tehnologije iz točke (a). Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

4. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 47., u vezi s utvrđivanjem posebnih kriterija koje moraju ispuniti tijela iz stavka 1. ovog članka koja su određena.

Članak 31.

Objavljivanje popisa certificiranih kvalificiranih sredstava za izradu elektroničkog potpisa

1. Države članice obavješćuju Komisiju, bez odgađanja, a najkasnije u roku od mjeseca dana nakon dovršetka certificiranja, o informacijama o sredstvima za izradu kvalificiranog elektroničkog potpisa koja su certificirala tijela iz članka 30. stavka 1. Također obavješćuju Komisiju, bez odgađanja, a najkasnije u roku od mjeseca dana nakon poništenja certificiranja, o informacijama o sredstvima za izradu elektroničkog potpisa koja više nisu certificirana.

2. Na temelju primljenih informacija Komisija izrađuje, objavljuje i vodi popis certificiranih kvalificiranih sredstava za izradu elektroničkog potpisa.

3. Komisija može provedbenim aktima utvrditi formate i postupke primjenjive za potrebe stavka 1. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 32.

Zahtjevi za validaciju kvalificiranih elektroničkih potpisa

1. Postupkom validacije kvalificiranog elektroničkog potpisa potvrđuje se valjanost kvalificiranog elektroničkog potpisa pod sljedećim uvjetima:

(a)	certifikat koji podržava potpis je u trenutku potpisivanja bio kvalificirani certifikat za elektronički potpis koji je u skladu Prilogom I.;

(b)	kvalificirani certifikat izdao je kvalificirani pružatelj usluga povjerenja i bio je valjan u trenutku potpisivanja;

(c)	podaci za validaciju potpisa odgovaraju podacima koji se pružaju pouzdajućoj strani;

(d)	jedinstveni skup podataka koji predstavlja potpisnika u certifikatu ispravno je dostavljen pouzdajućoj strani;

(e)	korištenje pseudonimom, ako je pseudonim bio korišten u trenutku potpisivanja, jasno je naznačeno pouzdajućoj strani;

(f)	elektronički potpis izrađen je sredstvom za izradu kvalificiranog elektroničkog potpisa;

(g)	nije ugrožena cjelovitost potpisanih podataka;

(h)	zahtjevi predviđeni u članku 26. bili su ispunjeni u trenutku potpisivanja.

2. Sustav koji se upotrebljava za potvrđivanje kvalificiranog elektroničkog potpisa osigurava pouzdajućoj strani točan rezultat postupka validacije i omogućuje joj otkrivanje svih poteškoća bitnih za sigurnost.

3. Komisija može provedbenim aktima utvrditi referentne brojeve normi za validaciju kvalificiranih elektroničkih potpisa. Ako validacija kvalificiranih elektroničkih potpisa udovoljava tim normama, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 36.

Zahtjevi za napredan elektronički pečat

Napredan elektronički pečat mora ispunjavati sljedeće zahtjeve:

(a)	na nedvojben način je povezan s autorom pečata;

(b)	omogućava identificiranje autora pečata;

(c)	izrađen je korištenjem podacima za izradu elektroničkog pečata koje autor pečata može, uz visoku razinu pouzdanja i pod svojom kontrolom, koristiti za izradu elektroničkog pečata; i

(d)	povezan je s podacima na koje se odnosi na takav način da se može otkriti bilo koja naknadna izmjena podataka.

Članak 39.

Kvalificirana sredstva za izradu elektroničkog pečata

1. Članak 29. primjenjuje se mutatis mutandis na zahtjeve za kvalificirana sredstva za izradu elektroničkog pečata.

2. Članak 30. primjenjuje se mutatis mutandis na certificiranje kvalificiranih sredstva za izradu elektroničkog pečata.

3. Članak 31. primjenjuje se mutatis mutandis na objavu popisa certificiranih kvalificiranih sredstava za izradu elektroničkih pečata.

Članak 51.

Prijelazne mjere

1. Sredstva za sigurnu izradu potpisa čija je sukladnost utvrđena u skladu s člankom 3. stavkom 4. Direktive 1999/93/EZ smatraju se kvalificiranim sredstvima za izradu elektroničkih potpisa prema ovoj Uredbi.

2. Kvalificirani certifikati izdani fizičkim osobama prema Direktivi 1999/93/EZ smatraju se kvalificiranim certifikatima za elektroničke potpise prema ovoj Uredbi do njihova isteka.

3. Pružatelj usluga certificiranja koji izdaje kvalificirane certifikate u skladu s Direktivom 1999/93/EZ podnosi izvješće o ocjenjivanju sukladnosti nadzornom tijelu što je prije moguće, no najkasnije do 1. srpnja 2017. Do podnošenja takvog izvješća o ocjenjivanju sukladnosti i dovršetka ocjenjivanja od strane nadzornog tijela taj se pružatelj usluga certificiranja smatra kvalificiranim pružateljem usluga povjerenja prema ovoj Uredbi.

4. Ako pružatelj usluga certificiranja koji izdaje kvalificirane certifikate prema Direktivi 1999/93/EZ nadzornom tijelu ne podnese izvješće o ocjenjivanju sukladnosti u roku iz stavka 3., taj se pružatelj usluga certificiranja ne smatra kvalificiranim pružateljem usluga povjerenja prema ovoj Uredbi od 2. srpnja 2017.

Članak 52.

Stupanje na snagu

1. Ova Uredba stupa na snagu dvadesetog dana nakon dana objave u Službenom listu Europske unije.

2. Ova se Uredba primjenjuje od 1. srpnja 2016. izuzevši sljedeće:

(a)

članak 8. stavak 3., članak 9. stavak 5., članak 12. stavci od 2. do 9., članak 17. stavak 8., članak 19. stavak 4., članak 20. stavak 4., članak 21. stavak 4., članak 22. stavak 5., članak 23. stavak 3., članak 24. stavak 5., članak 27. stavci 4. i 5., članak 28. stavak 6., članak 29. stavak 2., članak 30. stavci 3. i 4., članak 31. stavak 3., članak 32. stavak 3., članak 33. stavak 2., članak 34. stavak 2., članak 37. stavci 4. i 5., članak 38. stavak 6., članak 42. stavak 2., članak 44. stavak 2., članak 45. stavak 2., članak 47. i članak 48. primjenjuju se od 17. rujna 2014.;

(b)	članak 7., članak 8. stavci 1. i 2., članci 9.,10., 11. i članak 12. stavak 1. primjenjuju se od dana primjene provedbenih akata iz članka 8. stavka 3. i članka 12. stavka 8.;

(c)	članak 6. primjenjuje se nakon tri godine od dana primjene provedbenih akata iz članka 8. stavka 3. i članka 12. stavka 8.

3. Ako je prijavljeni sustav elektroničke identifikacije uvršten na popis koji je objavila Komisija na temelju članka 9. prije datuma iz stavka 2. točke (c) ovog članka, priznavanje sredstava elektroničke identifikacije u okviru tog sustava na temelju članka 6. odvija se najkasnije 12 mjeseci nakon objave tog sustava, ali ne prije datuma iz stavka 2. točke (c) ovog članka.

4. Neovisno o stavku 2. točki (c) ovog članka, država članica može odlučiti da sredstva elektroničke identifikacije u okviru sustava elektroničke identifikacije koji je prijavila druga država članica na temelju člankom 9. stavka 1. budu priznata u prvoj državi članici od dana primjene provedbenih akata iz članka 8. stavka 3. i članka 12. stavka 8. Dotične države članice o tome obavješćuju Komisiju. Komisija objavljuje te informacije.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 23. srpnja 2014.

Za Parlament

Predsjednik

M. SCHULZ

Za Vijeće

Predsjednik

S. GOZI

(1) SL C 351, 15.11.2012., str. 73.

(2) Stajalište Europskog parlamenta od 3. travnja 2014. (još nije objavljeno u Službenom listu) i Odluka Vijeća od 23. srpnja 2014.

(3) Direktiva 1999/93/EZ Europskog parlamenta i Vijeća od 13. prosinca 1999. o okviru Zajednice za elektroničke potpise (SL L 13, 19.1.2000., str. 12.).

(4) SL C 50, 21.2.2012., str. 1.

(5) Direktiva 2006/123/EZ Europskog parlamenta i Vijeća od 12. prosinca 2006..o uslugama na unutarnjem tržištu (SL L 376, 27.12.2006., str. 36.).

(6) Direktiva 2011/24/EU Europskog parlamenta i Vijeća od 9. ožujka 2011. o primjeni prava pacijenata u prekograničnoj zdravstvenoj skrbi (SL L 88, 4.4.2011., str. 45.).

(7) Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, 23.11.1995., str. 31.).

(8) Odluka Vijeća 2010/48/EZ od 26. studenoga 2009. o sklapanju Konvencije Ujedinjenih naroda o pravima osoba s invaliditetom od strane Europske zajednice (SL L 23, 27.1.2010., str. 35.).

(9) Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30.).

(10) Odluka Komisije 2009/767/EZ od 16. listopada 2009. o utvrđivanju mjera kojima se olakšava uporaba postupaka elektroničkim putem preko „jedinstvenih kontaktnih točaka” u skladu s Direktivom 2006/123/EZ Europskog parlamenta i Vijeća o uslugama na unutarnjem tržištu (SL L 274, 20.10.2009., str. 36.).

(11) Odluka Komisije 2011/130/EU od 25. veljače 2011. o uspostavljanju minimalnih zahtjeva za prekograničnu obradu dokumenata koje elektronički potpisuju nadležna tijela prema Direktivi 2006/123/EZ Europskog parlamenta i Vijeća o uslugama na unutarnjem tržištu (SL L 53, 26.2.2011., str. 66.).

(12) Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

(13) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001.,str. 1.).

(14) SL C 28, 30.1.2013., str. 6.

(15) Direktiva 2014/24/EU Europskog parlamenta i Vijeća od 26. veljače 2014. o javnoj nabavi i o stavljanju izvan snage Direktive 2004/18/EZ (SL L 94, 28.3.2014., str. 65.).

PRILOG I.

ZAHTJEVI ZA KVALIFICIRANE CERTIFIKATE ZA ELEKTRONIČKE POTPISE

Kvalificirani certifikati za elektroničke potpise sadržavaju:

(a)	naznaku, barem u obliku prikladnom za automatiziranu obradu, da je certifikat izdan kao kvalificirani certifikat za elektroničke potpise;

(b)

skup podataka koji nedvojbeno predstavlja kvalificiranog pružatelja usluga povjerenja koji izdaje kvalificirane certifikate uključujući barem državu članicu u kojoj pružatelj ima poslovni nastan i

—	za pravnu osobu: naziv i, kada je to primjenjivo, registracijski broj kako je navedeno u službenoj evidenciji,

—	za fizičku osobu: ime osobe;

(c)	barem ime potpisnika, ili pseudonim; ako se koristi pseudonimom, on se mora jasno naznačiti;

(d)	podatke za validaciju elektroničkog potpisa koji odgovaraju podacima za izradu elektroničkog potpisa;

(e)	podatke o početku i završetku roka valjanosti certifikata;

(f)	identifikacijsku oznaku certifikata koja mora biti jedinstvena za kvalificiranog pružatelja usluga povjerenja;

(g)	napredan elektronički potpis ili napredan elektronički pečat kvalificiranog pružatelja usluga povjerenja koji izdaje certifikat;

(h)	lokaciju na kojoj je besplatno dostupan certifikat koji podržava napredan elektronički potpis ili napredan elektronički pečat iz točke (g);

(i)	lokaciju usluga koje se mogu koristiti za ispitivanje statusa valjanosti kvalificiranog certifikata;

(j)	ako su podaci za izradu elektroničkog potpisa koji su povezani s podacima za validaciju elektroničkog potpisa smješteni u kvalificiranom sredstvu za izradu elektroničkog potpisa, odgovarajuću naznaku navedenog, barem u obliku prikladnom za automatiziranu obradu.

PRILOG II.

ZAHTJEVI ZA KVALIFICIRANA SREDSTVA ZA izradu ELEKTRONIČKIH POTPISA

Kvalificirana sredstva za izradu elektroničkih potpisa moraju pomoću odgovarajućih tehničkih i postupovnih sredstava osigurati barem da:

(a)	je u razumnoj mjeri osigurana povjerljivost podataka za izradu elektroničkog potpisa koji se upotrebljavaju za izradu elektroničkog potpisa;

(b)	se podaci za izradu elektroničkog potpisa koji se upotrebljavaju za izradu elektroničkog potpisa praktički mogu pojaviti samo jedanput;

(c)	se podaci za izradu elektroničkog potpisa koji se upotrebljavaju za izradu elektroničkog potpisa ne mogu, uz razuman stupanj pouzdanja, iz njega izvesti, te da je elektronički potpis pouzdano zaštićen od krivotvorenja korištenjem trenutačno dostupnom tehnologijom;

(d)	da zakoniti potpisnik može pouzdano zaštititi podatke za izradu elektroničkog potpisa koji se koriste za izradu elektroničkog potpisa od korištenja od strane drugih osoba.

Kvalificirana sredstva za izradu elektroničkih potpisa ne smiju mijenjati podatke koji se potpisuju niti priječe prikazivanje takvih podataka potpisniku prije potpisivanja.

Generiranje ili upravljanje podacima za izradu elektroničkog potpisa u ime potpisnika može obavljati isključivo kvalificirani pružatelj usluga povjerenja.

Ne dovodeći u pitanje stavak 1. točku (d), kvalificirani pružatelji usluga povjerenja koji upravljaju podacima za izradu elektroničkog potpisa u ime potpisnika smiju duplicirati podatke za izradu elektroničkog potpisa isključivo u svrhu izrade sigurnosnih kopija pod uvjetom da su ispunjeni sljedeći zahtjevi:

(a)	sigurnost dupliciranih skupova podataka mora biti na razini jednakoj razini sigurnosti izvornih skupova podataka;

(b)	broj dupliciranih skupova podataka ne prelazi broj neophodan za osiguravanje kontinuiteta usluge.

PRILOG III.

ZAHTJEVI ZA KVALIFICIRANE CERTIFIKATE ZA ELEKTRONIČKE PEČATE

Kvalificirani certifikati za elektroničke pečate sadržavaju:

(a)	naznaku, barem u obliku prikladnom za automatiziranu obradu, da je certifikat izdan kao kvalificirani certifikat za elektroničke pečate;

(b)

skup podataka koji nedvojbeno predstavljaju kvalificiranog pružatelja usluga povjerenja koji izdaje kvalificirane certifikate, uključujući barem državu članicu u kojoj pružatelj ima poslovni nastan i

—	za pravnu osobu: naziv i, kada je to primjenjivo, registracijski broj kako je navedeno u službenoj evidenciji,

—	za fizičku osobu: ime osobe;

(c)	barem naziv autora pečata i, kada je to primjenjivo, registracijski broj kako je navedeno u službenoj evidenciji;

(d)	podatke za validaciju elektroničkog pečata koji odgovaraju podacima za izradu elektroničkog pečata;

(e)	podatke o početku i kraju roka valjanosti certifikata;

(f)	identifikacijsku oznaku certifikata koja mora biti jedinstvena za tog kvalificiranog pružatelja usluga povjerenja;

(g)	napredan elektronički potpis ili napredan elektronički pečat kvalificiranog pružatelja usluga povjerenja koji izdaje certifikat;

(h)	lokaciju na kojoj je besplatno dostupan certifikat koji podržava napredan elektronički potpis ili napredan elektronički pečat iz točke (g);

(i)	lokaciju usluga koje se mogu koristiti za ispitivanje statusa valjanosti kvalificiranog certifikata;

(j)	kada su podaci za izradu elektroničkog pečata koji su povezani s podacima za validaciju elektroničkog pečata smješteni u kvalificiranom sredstvu za izradu elektroničkog pečata, odgovarajuću naznaku navedenog, barem u obliku prikladnom za automatiziranu obradu.

PRILOG IV.

ZAHTJEVI ZA KVALIFICIRANE CERTIFIKATE ZA AUTENTIKACIJU MREŽNIH STRANICA

Kvalificirani certifikati za autentikaciju mrežnih stranica sadrže:

(a)	naznaku, barem u obliku prikladnom za automatiziranu obradu, da je certifikat izdan kao kvalificirani certifikat za autentikaciju mrežnih stranica;

(b)

—	za pravnu osobu: naziv i, kada je to primjenjivo, registracijski broj kako je navedeno u službenoj evidenciji,

—	za fizičku osobu: ime osobe;

(c)	za fizičke osobe: barem ime osobe kojoj je izdan certifikat ili pseudonim. Ako se koristi pseudonim, on se mora jasno naznačiti; za pravne osobe: barem naziv pravne osobe kojoj je izdan certifikat i, kada je to primjenjivo, registracijski broj kako je navedeno u službenoj evidenciji;

(d)	elementi adrese, uključujući barem grad i državu, fizičke ili pravne osobe kojoj je izdan certifikat i, kada je to primjenjivo, kako je navedeno u službenoj evidenciji;

(e)	naziv(i) domene(-a) kojom(-ima) upravlja fizička ili pravna osoba kojoj je izdan certifikat;

(f)	podatke o početku i kraju roka valjanosti certifikata;

(g)	identifikacijsku oznaku certifikata koja mora biti jedinstvena za kvalificiranog pružatelja usluga povjerenja;

(h)	napredan elektronički potpis ili napredan elektronički pečat kvalificiranog pružatelja usluga povjerenja koji izdaje certifikat;

(i)	lokaciju na kojoj je besplatno dostupan certifikat koji podržava napredan elektronički potpis ili napredan elektronički pečat iz točke (h);

(j)	lokaciju usluga statusa valjanosti certifikata koje se mogu koristiti za ispitivanje statusa valjanosti kvalificiranog certifikata.

whereas

(51) Potpisnik bi trebao moći povjeriti kvalificirana sredstva za izradu elektroničkog potpisa na čuvanje trećoj osobi, pod uvjetom da postoje odgovarajući mehanizmi i postupci kojima se osigurava da potpisnik ima isključivu kontrolu nad korištenjem svojim podacima za izradu elektroničkog potpisa, te da su pri korištenju tim sredstvom ispunjeni zahtjevi za kvalificirani elektronički potpis.

- = -

(52) izradu udaljenih elektroničkih potpisa kada okruženjem za izradu elektroničkog potpisa u ime potpisnika upravlja pružatelj usluga povjerenja trebalo bi povećati s obzirom na s time povezane višestruke gospodarske koristi.
Međutim, kako bi se osiguralo da takvi elektronički potpisi budu u pravnom smislu jednako priznati kao i elektronički potpisi koji su u potpunosti izrađeni u okruženju kojim upravlja korisnik, pružatelji usluge udaljenog elektroničkog potpisa trebali bi primjenjivati posebne postupke upravljanja i postupke sigurnosnog administriranja te koristiti vjerodostojne sustave i proizvode, uključujući sigurne elektroničke komunikacijske kanale, kako bi jamčili da je okruženje za izradu elektroničkog potpisa pouzdano i da se koristi pod isključivom kontrolom potpisnika.
Kada je kvalificirani elektronički potpis izrađen korištenjem sredstva za izradu udaljenog elektroničkog potpisa, trebali bi se primjenjivati zahtjevi primjenjivi na kvalificirane pružatelje usluge povjerenja određeni ovom Uredbom.

- = -

(55) Certificiranje sigurnosti informacijske tehnologije na temelju međunarodnih normi, kao što su ISO 15408 i povezani načini evaluacije i dogovori o uzajamnom priznavanju, važan je alat za verifikaciju sigurnosti kvalificiranih sredstava za izradu elektroničkih potpisa i trebalo bi ga promicati.
Međutim, inovativna rješenja i usluge, kao što su potpisivanje pomoću mobilnih uređaja i potpisivanje pomoću tehnologije oblaka (cloud signing) oslanjaju se na tehnička i organizacijska rješenja za kvalificirana sredstva za izradu elektroničkih potpisa za koje sigurnosne norme možda još nisu dostupne ili za koje je prvo certificiranje sigurnosti informacijske tehnologije još uvijek u tijeku.
Razinu sigurnosti takvih kvalificiranih sredstava za izradu elektroničkih potpisa moglo bi se ocjenjivati primjenom alternativnih postupaka samo ako takve sigurnosne norme nisu dostupne ili ako je prvo certificiranje sigurnosti informacijske tehnologije još uvijek u tijeku.
Ti bi postupci trebali biti usporedivi s normama za certificiranje sigurnosti informacijske tehnologije ako su njihove razine sigurnosti jednakovrijedne.
Stručna revizija mogla bi olakšati te postupke.

- = -

(56) Ovom Uredbom trebalo bi utvrditi zahtjeve za kvalificirana sredstva za izradu elektroničkih potpisa kako bi se osigurala funkcionalnost naprednih elektroničkih potpisa.
Ova Uredba ne bi trebala obuhvaćati cjelokupno okruženje sustava u kojemu se takva sredstva primjenjuju.
Stoga bi se opseg certificiranja kvalificiranih sredstava za izradu elektroničkih potpisa trebao ograničiti na hardver i softver sustava koji se koristi za upravljanje i zaštitu podataka za izradu potpisa koji su izrađeni, pohranjeni ili obrađeni u sredstvu za izradu potpisa.
Kao što je navedeno u relevantnim normama, područje primjene obveze certificiranja ne bi trebalo uključivati aplikacije za izradu potpisa.

- = -

(70) Kako bi se određeni podrobni tehnički aspekti ove Uredbe dopunili na fleksibilan i brz način, Komisiji bi, u pogledu kriterija koje trebaju ispuniti tijela odgovorna za certificiranje kvalificiranih sredstava za izradu elektroničkih potpisa, trebalo delegirati ovlast za donošenje akata u skladu s člankom 290.
UFEU-a.
Posebno je važno da Komisija tijekom svog pripremnog rada provede odgovarajuća savjetovanja, uključujući i ona na razini stručnjaka.
Prilikom pripreme i izrade delegiranih akata, Komisija bi trebala osigurati da se relevantni dokumenti Europskom parlamentu i Vijeću šalju istodobno, na vrijeme i na primjeren način.

- = -

(74) Radi osiguravanja pravne sigurnosti za tržišne operatore koji već koriste kvalificirane certifikate izdane fizičkim osobama u skladu s Direktivom 1999/93/EZ, potrebno je osigurati dovoljno dugo prijelazno razdoblje.
Slično tome, trebalo bi uspostaviti prijelazne mjere za sredstva za sigurnu izradu potpisa, čija je sukladnost utvrđena u skladu s Direktivom 1999/93/EZ, kao i za pružatelje usluga certificiranja koji su izdali kvalificirane certifikate prije 1.
srpnja 2016.
Naposljetku, također je potrebno Komisiji osigurati sredstva za donošenje provedbenih akata i delegiranih akata prije tog datuma.

- = -

keyboard_tab EIDAS 2014/0910 HR

EIDAS 2014/0910 HR