EIDAS 2014/0910 HR

S ciljem osiguravanja ispravnog funkcioniranja unutarnjeg tržišta, istodobno težeći primjerenoj razini sigurnosti sredstava elektroničke identifikacije i usluga povjerenja, ovom se Uredbom:

(a)	utvrđuju uvjeti pod kojima države članice priznaju sredstva elektroničke identifikacije fizičkih i pravnih osoba koja su obuhvaćena prijavljenim sustavom elektroničke identifikacije druge države članice;

(b)	utvrđuju pravila za usluge povjerenja, posebno za elektroničke transakcije; i

(c)	uspostavlja pravni okvir za elektroničke potpise, elektroničke pečate, elektroničke vremenske žigove, elektroničke dokumente, usluge elektroničke preporučene dostave i usluge certificiranja za autentikaciju mrežnih stranica.

Članak 9.

Prijavljivanje

1. Država članica koja provodi prijavljivanje Komisiji prijavljuje sljedeće informacije i, bez odgađanja, sve njihove naknadne izmjene:

(a)	opis sustava elektroničke identifikacije, uključujući njegove razine sigurnosti i izdavatelja ili izdavatelje sredstava elektroničke identifikacije u okviru sustava;

(b)

primjenjivi sustav nadzora i informacije o pravilima o odgovornosti s obzirom na sljedeće:

i.	stranu koja izdaje sredstvo elektroničke identifikacije; i

ii.	stranu koja provodi postupak autentikacije;

(c)	tijelo ili tijela odgovorno (odgovorna) za sustav elektroničke identifikacije;

(d)	informacije o subjektu ili subjektima koji upravljaju registracijom jedinstvenih osobnih identifikacijskih podataka;

(e)	opis načina ispunjavanja zahtjeva određenih u provedbenim aktima iz članka 12. stavka 8.;

(f)	opis autentikacije iz članka 7. točke (f);

(g)	dogovori za suspenziju ili opoziv bilo prijavljenog sustava elektroničke identifikacije ili autentikacije ili ugroženih dijelova o kojima je riječ.

2. Godinu dana od dana primjene provedbenih akata iz članka 8. stavka 3. i članka 12. stavka 8., Komisija u Službenom listu Europske unije objavljuje popis sustavâ elektroničke identifikacije koji su prijavljeni na temelju stavka 1. ovog članka i osnovne informacije o njima.

3. Ako Komisija primi prijavu nakon isteka razdoblja iz stavka 2., ona u Službenom listu Europske unije objavljuje izmjene popisa iz stavka 2., u roku od dva mjeseca od datuma primitka te prijave.

4. Država članica može Komisiji podnijeti zahtjev za uklanjanje sustava elektroničke identifikacije koji je prijavila ta država članica s popisa iz stavka 2. Komisija objavljuje odgovarajuće izmjene popisa u Službenom listu Europske unije u roku od mjeseca dana od datuma primitka zahtjeva države članice.

5. Komisija može provedbenim aktima utvrditi okolnosti, oblike i postupke prijava prema stavku 1. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 10.

Povreda sigurnosti

1. U slučaju povrede ili djelomičnog ugrožavanja bilo sustava elektroničke identifikacije koji je prijavljen na temelju članka 9. stavka 1. ili autentikacije iz članka 7. točke (f) na način koji utječe na pouzdanost prekogranične autentikacije tog sustava, država članica koja provodi prijavljivanje bez odgađanja suspendira ili opoziva tu prekograničnu autentikaciju ili ugrožene dijelove o kojima je riječ i obavješćuje ostale države članice i Komisiju.

2. Kada je povreda ili ugrožavanje iz stavka 1. otklonjeno, država članica koja provodi prijavljivanje ponovno uspostavlja prekograničnu autentikaciju i bez odgađanja obavješćuje ostale države članice i Komisiju.

3. Ako povreda ili ugrožavanje iz stavka 1. nije otklonjeno u roku od 3 mjeseca od suspenzije ili opoziva, država članica koja provodi prijavljivanje obavješćuje druge države članice i Komisiju o povlačenju sustava elektroničke identifikacije.

Komisija u Službenom listu Europske unije bez odgađanja objavljuje odgovarajuće izmjene popisa iz članka 9. stavka 2.

Članak 12.

Suradnja i interoperabilnost

1. Nacionalni sustavi elektroničke identifikacije prijavljeni na temelju članka 9. stavka 1. moraju biti interoperabilni.

2. Za potrebe stavka 1., uspostavlja se okvir za interoperabilnost.

3. Okvir za interoperabilnost mora ispunjavati sljedeće kriterije:

(a)	za cilj ima tehnološku neutralnost i ne pravi razliku između bilo kojih posebnih nacionalnih tehničkih rješenja za elektroničku identifikaciju unutar određene države članice;

(b)	pridržava se europskih i međunarodnih normi, kada je to moguće;

(c)	olakšava provedbu načela „ugrađene zaštite privatnosti”; i

(d)	osigurava obradu osobnih podataka u skladu s Direktivom 95/46/EZ.

4. Okvir za interoperabilnost sastoji se od:

(a)	upućivanja na minimalne tehničke zahtjeve koji se odnose na razine sigurnosti prema članku 8.;

(b)	raspoređivanja nacionalnih razina sigurnosti prijavljenih sustava elektroničke identifikacije na razine sigurnosti prema članku 8.;

(c)	upućivanja na minimalne tehničke zahtjeve za interoperabilnost;

(d)	upućivanja na najmanji skup osobnih identifikacijskih podataka koji na nedvojben način predstavljaju fizičku ili pravnu osobu i kojim raspolažu sustavi elektroničke identifikacije;

(e)	poslovnika;

(f)	dogovorâ za rješavanje sporova; i

(g)	zajedničkih operativnih sigurnosnih normi.

5. Države članice surađuju u pogledu sljedećeg:

(a)	interoperabilnosti sustava elektroničke identifikacije koji su prijavljeni na temelju članka 9. stavka 1. i sustava elektroničke identifikacije koje države članice namjeravaju prijaviti; i

(b)	sigurnosti sustavâ elektroničke identifikacije.

6. Suradnja među državama članicama sastoji se od:

(a)	razmjene informacija, iskustva i dobre prakse u vezi sa sustavima elektroničke identifikacije i posebno u vezi s tehničkim zahtjevima koji se odnose na interoperabilnost i razine sigurnosti;

(b)	razmjene informacija, iskustva i dobre prakse u vezi s radom s razinama sigurnosti sustavâ elektroničke identifikacije u skladu s člankom 8.;

(c)	stručnog pregleda sustava elektroničke identifikacije obuhvaćenih ovom Uredbom; i

(d)	pregleda odgovarajućih kretanja u sektoru elektroničke identifikacije.

7. Komisija provedbenim aktima do 18. ožujka 2015. uspostavlja potrebne postupovne aranžmane kako bi olakšala suradnju među državama članicama iz stavaka 5. i 6., s ciljem poticanja visoke razine povjerenja i sigurnosti koja je primjerena stupnju rizika.

8. Komisija u svrhu određivanja jednakih uvjeta za provedbu zahtjeva prema stavku 1. do 18. rujna 2015. donosi provedbene akte o okviru za interoperabilnost kako je određeno u stavku 4., podložno kriterijima određenima u stavku 3. te uzimajući u obzir rezultate suradnje među državama članicama.

9. Provedbeni akti iz stavaka 7. i 8. ovog članka donose se u skladu s postupkom ispitivanja iz članka 48. stavka 2.

POGLAVLJE III.

USLUGE POVJERENJA

ODJELJAK 1.

Opće odredbe

Članak 13.

Odgovornost i teret dokaza

1. Ne dovodeći u pitanje stavak 2., pružatelji usluga povjerenja odgovorni su za štetu koja je namjerno ili nepažnjom prouzročena svakoj fizičkoj ili pravnoj osobi zbog nepoštovanja obveza prema ovoj Uredbi.

Teret dokazivanja namjere ili nepažnje nekvalificiranog pružatelja usluga povjerenja je na fizičkoj ili pravnoj osobi koja zahtijeva naknadu štete iz prvog podstavka.

Namjera ili nepažnja kvalificiranog pružatelja usluga povjerenja pretpostavlja se, osim ako kvalificirani pružatelj usluga povjerenja dokaže da je šteta iz prvog podstavka nastala bez namjere ili nepažnje tog kvalificiranog pružatelja usluga povjerenja.

2. U slučaju kada pružatelji usluga povjerenja propisno i unaprijed obavijeste svoje korisnike o ograničenjima pri korištenju uslugama koje pružaju i kada su ta ograničenja prepoznatljiva za treće strane, pružatelji usluga povjerenja ne odgovaraju za štete koje nastanu zbog korištenja uslugama kojim se prekoračuju naznačena ograničenja.

3. Stavci 1. i 2. primjenjuju se u skladu s nacionalnim pravilima o odgovornosti.

Članak 14.

Međunarodni aspekti

1. Usluge povjerenja koje pružaju pružatelji usluga povjerenja s poslovnim nastanom u trećoj zemlji priznaju se kao pravno jednake kvalificiranim uslugama povjerenja koje pružaju kvalificirani pružatelji usluga povjerenja s poslovnim nastanom u Uniji kada su usluge povjerenja iz treće zemlje priznate u okviru sporazuma sklopljenog između Unije i treće zemlje o kojoj je riječi ili određene međunarodne organizacije u skladu s člankom 218. UFEU-a.

2. Sporazumima iz stavka 1. posebno se osigurava da:

(a)

pružatelji usluga povjerenja u trećoj zemlji ili međunarodne organizacije s kojima je sklopljen sporazum i usluge povjerenja koje oni pružaju ispunjavaju zahtjeve koji se primjenjuju na kvalificirane pružatelje usluga povjerenja s poslovnim nastanom u Uniji i na kvalificirane usluge povjerenja koje oni pružaju;

(b)

kvalificirane usluge povjerenja koje pružaju kvalificirani pružatelji usluga povjerenja s poslovnim nastanom u Uniji budu priznate kao pravno jednake uslugama povjerenja koje pružaju pružatelji usluga povjerenja u trećoj zemlji ili koje pružaju međunarodne organizacije s kojima je sklopljen sporazum.

Članak 18.

Uzajamna pomoć

1. Nadzorna tijela surađuju s ciljem razmjenjivanja dobre prakse.

Nadzorno tijelo, po primitku obrazloženog zahtjeva drugog nadzornog tijela, tom tijelu pruža pomoć kako bi se aktivnosti nadzornih tijela mogle provoditi na dosljedan način. Uzajamna pomoć može posebno obuhvaćati zahtjeve za informacijama i nadzorne mjere, kao što su zahtjevi za provođenje kontrola koje se odnose na izvješća o ocjenjivanju sukladnosti, kako je navedeno u člancima 20. i 21.

2. Nadzorno tijelo kojemu je upućen zahtjev za pomoć može odbiti taj zahtjev zbog bilo kojeg od sljedećih razloga:

(a)	nadzorno tijelo nije nadležno za pružanje tražene pomoći;

(b)	tražena pomoć nije razmjerna aktivnostima nadzora nadzornog tijela koje se provode u skladu s člankom 17.;

(c)	pružanje tražene pomoći ne bi bilo u skladu s ovom Uredbom.

3. Prema potrebi, države članice mogu ovlastiti svoja nadzorna tijela da provode zajedničke istrage u kojima sudjeluje osoblje nadzornih tijela iz drugih država članica. Dogovore i postupke za takva zajednička djelovanja dogovaraju i uspostavljaju dotične države članice u skladu sa svojim nacionalnim pravima.

Članak 20.

Nadzor kvalificiranih pružatelja usluga povjerenja

1. Tijelo za ocjenjivanje sukladnosti obavlja reviziju pružatelja kvalificiranih usluga povjerenja o njihovu trošku i najmanje svaka 24 mjeseca. Svrha revizija sastoji se u potvrđivanju da kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi. Kvalificirani pružatelji usluga povjerenja nadzornom tijelu podnose izvješće o ocjenjivanju sukladnosti u roku od tri radna dana od njegova primitka.

2. Ne dovodeći u pitanje stavak 1., nadzorno tijelo može u bilo kojem trenutku obaviti reviziju ili zahtijevati od tijela za ocjenjivanje sukladnosti da obavi ocjenjivanje sukladnosti pružatelja kvalificiranih usluga povjerenja, o trošku tih pružatelja usluga povjerenja, kako bi potvrdilo da pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi. U slučaju kada se čini da je došlo do povrede pravila o zaštiti osobnih podataka, nadzorno tijelo obavješćuje tijela za zaštitu podataka o rezultatima svojih revizija.

3. U slučaju kada nadzorno tijelo zahtijeva od pružatelja kvalificiranih usluga povjerenja da otkloni bilo kakvo nepoštovanje zahtjeva prema ovoj Uredbi i kada pružatelj usluge ne postupi u skladu s tim zahtjevom, te ako je to primjenjivo i u roku koji odredi nadzorno tijelo, nadzorno tijelo može, posebno uzimajući u obzir opseg, trajanje i posljedice tog nepoštovanja, ukinuti kvalificirani status tog pružatelja usluge ili obuhvaćene usluge koju on pruža te može za potrebe ažuriranja pouzdanih popisa iz članka 22. stavka 1. obavijestiti tijelo iz članka 22. stavka 3. Nadzorno tijelo obavješćuje kvalificiranog pružatelja usluga povjerenja o ukidanju njegova kvalificiranog statusa ili kvalificiranog statusa dotične usluge.

4. Komisija može provedbenim aktima utvrditi referentne brojeve sljedećih normi:

(a)	akreditacije tijela za ocjenu sukladnosti i za izvješće o ocjenjivanju sukladnosti iz stavka 1.;

(b)	pravila revizije prema kojima će tijela za ocjenjivanje sukladnosti provoditi ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja kako je navedeno u stavku 1.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 35.

Pravni učinci elektroničkih pečata

1. Elektroničkom pečatu se kao dokazu u sudskim postupcima ne smiju uskratiti pravni učinak i dopuštenost samo zbog toga što je on u elektroničkom obliku ili zbog toga što ne ispunjava sve zahtjeve za kvalificirani elektronički pečat.

2. Za kvalificirani elektronički pečat predmnijeva se cjelovitost podataka i točnost izvora podataka s kojima je kvalificirani elektronički pečat povezan.

3. Kvalificirani elektronički pečat koji se temelji na kvalificiranom certifikatu izdanom u jednoj državi članici priznaje se kao kvalificirani elektronički pečat u svim ostalim državama članicama.

Članak 41.

Pravni učinak elektroničkih vremenskih žigova

1. Elektroničkom vremenskom žigu se kao dokazu u sudskim postupcima ne smiju uskratiti pravni učinak i dopuštenost samo zbog toga što je on u elektroničkom obliku ili zbog toga što ne ispunjava sve zahtjeve kvalificiranog elektroničkog vremenskog žiga.

2. Za kvalificirani elektronički vremenski žig predmnijeva se točnost datuma i vremena koje pokazuje te cjelovitost podataka s kojima su datum i vrijeme povezani.

3. Kvalificirani elektronički vremenski žig izdan u jednoj državi članici priznaje se kao kvalificirani elektronički vremenski žig u svim državama članicama.

Članak 42.

Zahtjevi za kvalificirane elektroničke vremenske žigove

1. Kvalificirani elektronički vremenski žig mora ispunjavati sljedeće zahtjeve:

(a)	povezuje datum i vrijeme s podacima na način kojim se u razumnoj mjeri isključuje mogućnost nezapažene promjene podataka;

(b)	temelji se na izvoru točnog vremena povezanom s koordiniranim svjetskim vremenom; i

(c)	potpisan je pomoću naprednog elektroničkog potpisa ili pečaćen pomoću naprednog elektroničkog pečata kvalificiranog pružatelja usluga povjerenja ili jednakovrijednom metodom.

2. Komisija može provedbenim aktima utvrditi referentne brojeve normi za povezivanje datuma i vremena s podacima i za izvore točnog vremena. Ako povezivanje datuma i vremena s podacima i izvor točnog vremena udovoljavaju tim normama, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

ODJELJAK 7.

Usluge elektroničke preporučene dostave

Članak 44.

Zahtjevi za kvalificirane usluge elektroničke preporučene dostave

1. Kvalificirane usluge elektroničke preporučene dostave moraju ispunjavati sljedeće zahtjeve:

(a)	pruža ih jedan kvalificirani pružatelj usluga povjerenja ili više njih;

(b)	uz visoku razinu pouzdanja osiguravaju identifikaciju pošiljatelja;

(c)	osiguravaju identifikaciju primatelja prije dostave podataka;

(d)	slanje i primanje podataka osigurano je naprednim elektroničkim potpisom ili naprednim elektroničkim pečatom kvalificiranog pružatelja usluga povjerenja na način kojim se isključuje mogućnost nezapažene promjene podataka;

(e)	pošiljatelju i primatelju podataka jasno se naznačuje svaka promjena podataka potrebna radi slanja ili primanja podataka;

(f)	datum i vrijeme slanja, primanja i eventualne promjene podataka naznačuju se kvalificiranim elektroničkim vremenskim žigom.

U slučaju prijenosa podataka između dvaju kvalificiranih pružatelja usluga povjerenja ili više njih, zahtjevi iz točaka od (a) do (f) primjenjuju se na sve kvalificirane pružatelje usluga povjerenja.

2. Komisija može provedbenim aktima utvrditi referentne brojeve normi za postupke slanja i primanja podataka. Ako postupak slanja i primanja podataka udovoljava tim normama, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

ODJELJAK 8.

Autentikacija mrežnih stranica

Članak 52.

Stupanje na snagu

1. Ova Uredba stupa na snagu dvadesetog dana nakon dana objave u Službenom listu Europske unije.

2. Ova se Uredba primjenjuje od 1. srpnja 2016. izuzevši sljedeće:

(a)

članak 8. stavak 3., članak 9. stavak 5., članak 12. stavci od 2. do 9., članak 17. stavak 8., članak 19. stavak 4., članak 20. stavak 4., članak 21. stavak 4., članak 22. stavak 5., članak 23. stavak 3., članak 24. stavak 5., članak 27. stavci 4. i 5., članak 28. stavak 6., članak 29. stavak 2., članak 30. stavci 3. i 4., članak 31. stavak 3., članak 32. stavak 3., članak 33. stavak 2., članak 34. stavak 2., članak 37. stavci 4. i 5., članak 38. stavak 6., članak 42. stavak 2., članak 44. stavak 2., članak 45. stavak 2., članak 47. i članak 48. primjenjuju se od 17. rujna 2014.;

(b)	članak 7., članak 8. stavci 1. i 2., članci 9.,10., 11. i članak 12. stavak 1. primjenjuju se od dana primjene provedbenih akata iz članka 8. stavka 3. i članka 12. stavka 8.;

(c)	članak 6. primjenjuje se nakon tri godine od dana primjene provedbenih akata iz članka 8. stavka 3. i članka 12. stavka 8.

3. Ako je prijavljeni sustav elektroničke identifikacije uvršten na popis koji je objavila Komisija na temelju članka 9. prije datuma iz stavka 2. točke (c) ovog članka, priznavanje sredstava elektroničke identifikacije u okviru tog sustava na temelju članka 6. odvija se najkasnije 12 mjeseci nakon objave tog sustava, ali ne prije datuma iz stavka 2. točke (c) ovog članka.

4. Neovisno o stavku 2. točki (c) ovog članka, država članica može odlučiti da sredstva elektroničke identifikacije u okviru sustava elektroničke identifikacije koji je prijavila druga država članica na temelju člankom 9. stavka 1. budu priznata u prvoj državi članici od dana primjene provedbenih akata iz članka 8. stavka 3. i članka 12. stavka 8. Dotične države članice o tome obavješćuju Komisiju. Komisija objavljuje te informacije.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 23. srpnja 2014.

Za Parlament

Predsjednik

M. SCHULZ

Za Vijeće

Predsjednik

S. GOZI

(1) SL C 351, 15.11.2012., str. 73.

(2) Stajalište Europskog parlamenta od 3. travnja 2014. (još nije objavljeno u Službenom listu) i Odluka Vijeća od 23. srpnja 2014.

(3) Direktiva 1999/93/EZ Europskog parlamenta i Vijeća od 13. prosinca 1999. o okviru Zajednice za elektroničke potpise (SL L 13, 19.1.2000., str. 12.).

(4) SL C 50, 21.2.2012., str. 1.

(5) Direktiva 2006/123/EZ Europskog parlamenta i Vijeća od 12. prosinca 2006..o uslugama na unutarnjem tržištu (SL L 376, 27.12.2006., str. 36.).

(6) Direktiva 2011/24/EU Europskog parlamenta i Vijeća od 9. ožujka 2011. o primjeni prava pacijenata u prekograničnoj zdravstvenoj skrbi (SL L 88, 4.4.2011., str. 45.).

(7) Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, 23.11.1995., str. 31.).

(8) Odluka Vijeća 2010/48/EZ od 26. studenoga 2009. o sklapanju Konvencije Ujedinjenih naroda o pravima osoba s invaliditetom od strane Europske zajednice (SL L 23, 27.1.2010., str. 35.).

(9) Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30.).

(10) Odluka Komisije 2009/767/EZ od 16. listopada 2009. o utvrđivanju mjera kojima se olakšava uporaba postupaka elektroničkim putem preko „jedinstvenih kontaktnih točaka” u skladu s Direktivom 2006/123/EZ Europskog parlamenta i Vijeća o uslugama na unutarnjem tržištu (SL L 274, 20.10.2009., str. 36.).

(11) Odluka Komisije 2011/130/EU od 25. veljače 2011. o uspostavljanju minimalnih zahtjeva za prekograničnu obradu dokumenata koje elektronički potpisuju nadležna tijela prema Direktivi 2006/123/EZ Europskog parlamenta i Vijeća o uslugama na unutarnjem tržištu (SL L 53, 26.2.2011., str. 66.).

(12) Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

(13) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001.,str. 1.).

(14) SL C 28, 30.1.2013., str. 6.

(15) Direktiva 2014/24/EU Europskog parlamenta i Vijeća od 26. veljače 2014. o javnoj nabavi i o stavljanju izvan snage Direktive 2004/18/EZ (SL L 94, 28.3.2014., str. 65.).

PRILOG I.

ZAHTJEVI ZA KVALIFICIRANE CERTIFIKATE ZA ELEKTRONIČKE POTPISE

Kvalificirani certifikati za elektroničke potpise sadržavaju:

(a)	naznaku, barem u obliku prikladnom za automatiziranu obradu, da je certifikat izdan kao kvalificirani certifikat za elektroničke potpise;

(b)

skup podataka koji nedvojbeno predstavlja kvalificiranog pružatelja usluga povjerenja koji izdaje kvalificirane certifikate uključujući barem državu članicu u kojoj pružatelj ima poslovni nastan i

—	za pravnu osobu: naziv i, kada je to primjenjivo, registracijski broj kako je navedeno u službenoj evidenciji,

—	za fizičku osobu: ime osobe;

(c)	barem ime potpisnika, ili pseudonim; ako se koristi pseudonimom, on se mora jasno naznačiti;

(d)	podatke za validaciju elektroničkog potpisa koji odgovaraju podacima za izradu elektroničkog potpisa;

(e)	podatke o početku i završetku roka valjanosti certifikata;

(f)	identifikacijsku oznaku certifikata koja mora biti jedinstvena za kvalificiranog pružatelja usluga povjerenja;

(g)	napredan elektronički potpis ili napredan elektronički pečat kvalificiranog pružatelja usluga povjerenja koji izdaje certifikat;

(h)	lokaciju na kojoj je besplatno dostupan certifikat koji podržava napredan elektronički potpis ili napredan elektronički pečat iz točke (g);

(i)	lokaciju usluga koje se mogu koristiti za ispitivanje statusa valjanosti kvalificiranog certifikata;

(j)	ako su podaci za izradu elektroničkog potpisa koji su povezani s podacima za validaciju elektroničkog potpisa smješteni u kvalificiranom sredstvu za izradu elektroničkog potpisa, odgovarajuću naznaku navedenog, barem u obliku prikladnom za automatiziranu obradu.

PRILOG II.

ZAHTJEVI ZA KVALIFICIRANA SREDSTVA ZA IZRADU ELEKTRONIČKIH POTPISA

Kvalificirana sredstva za izradu elektroničkih potpisa moraju pomoću odgovarajućih tehničkih i postupovnih sredstava osigurati barem da:

(a)	je u razumnoj mjeri osigurana povjerljivost podataka za izradu elektroničkog potpisa koji se upotrebljavaju za izradu elektroničkog potpisa;

(b)	se podaci za izradu elektroničkog potpisa koji se upotrebljavaju za izradu elektroničkog potpisa praktički mogu pojaviti samo jedanput;

(c)	se podaci za izradu elektroničkog potpisa koji se upotrebljavaju za izradu elektroničkog potpisa ne mogu, uz razuman stupanj pouzdanja, iz njega izvesti, te da je elektronički potpis pouzdano zaštićen od krivotvorenja korištenjem trenutačno dostupnom tehnologijom;

(d)	da zakoniti potpisnik može pouzdano zaštititi podatke za izradu elektroničkog potpisa koji se koriste za izradu elektroničkog potpisa od korištenja od strane drugih osoba.

Kvalificirana sredstva za izradu elektroničkih potpisa ne smiju mijenjati podatke koji se potpisuju niti priječe prikazivanje takvih podataka potpisniku prije potpisivanja.

Generiranje ili upravljanje podacima za izradu elektroničkog potpisa u ime potpisnika može obavljati isključivo kvalificirani pružatelj usluga povjerenja.

Ne dovodeći u pitanje stavak 1. točku (d), kvalificirani pružatelji usluga povjerenja koji upravljaju podacima za izradu elektroničkog potpisa u ime potpisnika smiju duplicirati podatke za izradu elektroničkog potpisa isključivo u svrhu izrade sigurnosnih kopija pod uvjetom da su ispunjeni sljedeći zahtjevi:

(a)	sigurnost dupliciranih skupova podataka mora biti na razini jednakoj razini sigurnosti izvornih skupova podataka;

(b)	broj dupliciranih skupova podataka ne prelazi broj neophodan za osiguravanje kontinuiteta usluge.

PRILOG III.

ZAHTJEVI ZA KVALIFICIRANE CERTIFIKATE ZA ELEKTRONIČKE PEČATE

Kvalificirani certifikati za elektroničke pečate sadržavaju:

(a)	naznaku, barem u obliku prikladnom za automatiziranu obradu, da je certifikat izdan kao kvalificirani certifikat za elektroničke pečate;

(b)

skup podataka koji nedvojbeno predstavljaju kvalificiranog pružatelja usluga povjerenja koji izdaje kvalificirane certifikate, uključujući barem državu članicu u kojoj pružatelj ima poslovni nastan i

—	za pravnu osobu: naziv i, kada je to primjenjivo, registracijski broj kako je navedeno u službenoj evidenciji,

—	za fizičku osobu: ime osobe;

(c)	barem naziv autora pečata i, kada je to primjenjivo, registracijski broj kako je navedeno u službenoj evidenciji;

(d)	podatke za validaciju elektroničkog pečata koji odgovaraju podacima za izradu elektroničkog pečata;

(e)	podatke o početku i kraju roka valjanosti certifikata;

(f)	identifikacijsku oznaku certifikata koja mora biti jedinstvena za tog kvalificiranog pružatelja usluga povjerenja;

(g)	napredan elektronički potpis ili napredan elektronički pečat kvalificiranog pružatelja usluga povjerenja koji izdaje certifikat;

(h)	lokaciju na kojoj je besplatno dostupan certifikat koji podržava napredan elektronički potpis ili napredan elektronički pečat iz točke (g);

(i)	lokaciju usluga koje se mogu koristiti za ispitivanje statusa valjanosti kvalificiranog certifikata;

(j)	kada su podaci za izradu elektroničkog pečata koji su povezani s podacima za validaciju elektroničkog pečata smješteni u kvalificiranom sredstvu za izradu elektroničkog pečata, odgovarajuću naznaku navedenog, barem u obliku prikladnom za automatiziranu obradu.

PRILOG IV.

ZAHTJEVI ZA KVALIFICIRANE CERTIFIKATE ZA AUTENTIKACIJU MREŽNIH STRANICA

Kvalificirani certifikati za autentikaciju mrežnih stranica sadrže:

(a)	naznaku, barem u obliku prikladnom za automatiziranu obradu, da je certifikat izdan kao kvalificirani certifikat za autentikaciju mrežnih stranica;

(b)

—	za pravnu osobu: naziv i, kada je to primjenjivo, registracijski broj kako je navedeno u službenoj evidenciji,

—	za fizičku osobu: ime osobe;

(c)	za fizičke osobe: barem ime osobe kojoj je izdan certifikat ili pseudonim. Ako se koristi pseudonim, on se mora jasno naznačiti; za pravne osobe: barem naziv pravne osobe kojoj je izdan certifikat i, kada je to primjenjivo, registracijski broj kako je navedeno u službenoj evidenciji;

(d)	elementi adrese, uključujući barem grad i državu, fizičke ili pravne osobe kojoj je izdan certifikat i, kada je to primjenjivo, kako je navedeno u službenoj evidenciji;

(e)	naziv(i) domene(-a) kojom(-ima) upravlja fizička ili pravna osoba kojoj je izdan certifikat;

(f)	podatke o početku i kraju roka valjanosti certifikata;

(g)	identifikacijsku oznaku certifikata koja mora biti jedinstvena za kvalificiranog pružatelja usluga povjerenja;

(h)	napredan elektronički potpis ili napredan elektronički pečat kvalificiranog pružatelja usluga povjerenja koji izdaje certifikat;

(i)	lokaciju na kojoj je besplatno dostupan certifikat koji podržava napredan elektronički potpis ili napredan elektronički pečat iz točke (h);

(j)	lokaciju usluga statusa valjanosti certifikata koje se mogu koristiti za ispitivanje statusa valjanosti kvalificiranog certifikata.

whereas

(27) Ova Uredba trebala bi biti tehnološki neutralna.
Pravni učinci koji se njome osiguravaju trebali bi biti ostvarivi bilo kojim tehničkim sredstvima pod uvjetom da su zahtjevi ove Uredbe ispunjeni.

- = -

(49) Ovom bi Uredbom trebalo uspostaviti načelo prema kojem se elektroničkom potpisu ne bi smio uskratiti pravni učinak zbog toga što je on u elektroničkom obliku ili zbog toga što ne ispunjava zahtjeve kvalificiranog elektroničkog potpisa.
Međutim, pravne učinke elektroničkih potpisa, osim zahtjeva predviđenih u ovoj Uredbi prema kojima bi kvalificirani elektronički potpis trebao imati jednake pravne učinke kao vlastoručni potpis, potrebno je odrediti nacionalnim pravom.

- = -

(51) Potpisnik bi trebao moći povjeriti kvalificirana sredstva za izradu elektroničkog potpisa na čuvanje trećoj osobi, pod uvjetom da postoje odgovarajući mehanizmi i postupci kojima se osigurava da potpisnik ima isključivu kontrolu nad korištenjem svojim podacima za izradu elektroničkog potpisa, te da su pri korištenju tim sredstvom ispunjeni zahtjevi za kvalificirani elektronički potpis.

- = -

(52) Izradu udaljenih elektroničkih potpisa kada okruženjem za izradu elektroničkog potpisa u ime potpisnika upravlja pružatelj usluga povjerenja trebalo bi povećati s obzirom na s time povezane višestruke gospodarske koristi.
Međutim, kako bi se osiguralo da takvi elektronički potpisi budu u pravnom smislu jednako priznati kao i elektronički potpisi koji su u potpunosti izrađeni u okruženju kojim upravlja korisnik, pružatelji usluge udaljenog elektroničkog potpisa trebali bi primjenjivati posebne postupke upravljanja i postupke sigurnosnog administriranja te koristiti vjerodostojne sustave i proizvode, uključujući sigurne elektroničke komunikacijske kanale, kako bi jamčili da je okruženje za izradu elektroničkog potpisa pouzdano i da se koristi pod isključivom kontrolom potpisnika.
Kada je kvalificirani elektronički potpis izrađen korištenjem sredstva za izradu udaljenog elektroničkog potpisa, trebali bi se primjenjivati zahtjevi primjenjivi na kvalificirane pružatelje usluge povjerenja određeni ovom Uredbom.

- = -

(62) Kako bi se osigurala sigurnost kvalificiranih elektroničkih vremenskih žigova, ovom bi se Uredbom trebalo zahtijevati korištenje naprednim elektroničkim pečatom ili naprednim elektroničkim potpisom ili drugim jednakovrijednim metodama.
Pretpostavlja se da inovacije mogu dovesti do novih tehnologija kojima se može osigurati jednaka razina sigurnosti za vremenske žigove.
Kad god se umjesto naprednog elektroničkog pečata ili naprednog elektroničkog potpisa koristi neka druga metoda, kvalificirani pružatelj usluga povjerenja trebao bi dokazati, u skladu s izvješćem o ocjenjivanju sukladnosti, da takva metoda osigurava jednakovrijednu razinu sigurnosti i da ispunjava obveze određene u ovoj Uredbi.

- = -

keyboard_tab EIDAS 2014/0910 HR

EIDAS 2014/0910 HR