EIDAS 2014/0910 HR

(a)	opis sustava elektroničke identifikacije, uključujući njegove razine sigurnosti i izdavatelja ili izdavatelje sredstava elektroničke identifikacije u okviru sustava;

(b)

primjenjivi sustav nadzora i informacije o pravilima o odgovornosti s obzirom na sljedeće:

i.	stranu koja izdaje sredstvo elektroničke identifikacije; i

ii.	stranu koja provodi postupak autentikacije;

(c)	tijelo ili tijela odgovorno (odgovorna) za sustav elektroničke identifikacije;

(d)	informacije o subjektu ili subjektima koji upravljaju registracijom jedinstvenih osobnih identifikacijskih podataka;

(e)	opis načina ispunjavanja zahtjeva određenih u provedbenim aktima iz članka 12. stavka 8.;

(f)	opis autentikacije iz članka 7. točke (f);

(g)	dogovori za suspenziju ili opoziv bilo prijavljenog sustava elektroničke identifikacije ili autentikacije ili ugroženih dijelova o kojima je riječ.

2. Godinu dana od dana primjene provedbenih akata iz članka 8. stavka 3. i članka 12. stavka 8., Komisija u Službenom listu Europske unije objavljuje popis sustavâ elektroničke identifikacije koji su prijavljeni na temelju stavka 1. ovog članka i osnovne informacije o njima.

3. Ako Komisija primi prijavu nakon isteka razdoblja iz stavka 2., ona u Službenom listu Europske unije objavljuje izmjene popisa iz stavka 2., u roku od dva mjeseca od datuma primitka te prijave.

4. Država članica može Komisiji podnijeti zahtjev za uklanjanje sustava elektroničke identifikacije koji je prijavila ta država članica s popisa iz stavka 2. Komisija objavljuje odgovarajuće izmjene popisa u Službenom listu Europske unije u roku od mjeseca dana od datuma primitka zahtjeva države članice.

5. Komisija može provedbenim aktima utvrditi okolnosti, oblike i postupke prijava prema stavku 1. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 17.

Nadzorno tijelo

1. Države članice određuju nadzorno tijelo s poslovnim nastanom na njihovom državnom području ili, prema uzajamnom dogovoru s drugom državom članicom, nadzorno tijelo s poslovnim nastanom u toj drugoj državi članici. To tijelo je odgovorno za zadaće nadzora u državi članici koja ga određuje.

Nadzornim se tijelima dodjeljuju potrebne ovlasti i odgovarajuća sredstva za obavljanje njihovih zadaća.

2. Države članice obavješćuju Komisiju i druge države članice o nazivima i adresama svojih nadzornih tijela koja su odredile.

3. Uloga nadzornog tijela jest sljedeća:

(a)

da nadzire kvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ga određuje kako bi se osiguralo, putem prethodnih (ex ante) i naknadnih (ex post) aktivnosti nadzora, da ti kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi;

(b)

da, prema potrebi, poduzima mjere u odnosu na nekvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ga određuje, putem naknadnih (ex post) aktivnosti nadzora, kada primi obavijest da ti nekvalificirani pružatelji usluga povjerenja ili usluge povjerenja koje oni pružaju navodno ne ispunjavaju zahtjeve utvrđene u ovoj Uredbi.

4. Za potrebe stavka 3. i podložno u njemu predviđenim ograničenjima, zadaće nadzornog tijela posebno uključuju:

(a)	suradnju s drugim nadzornim tijelima i pružanje pomoći tim tijelima u skladu s člankom 18.;

(b)	analiziranje izvješćâ o ocjenjivanju sukladnosti iz članka 20. stavka 1. i članka 21. stavka 1.;

(c)	obavješćivanje drugih nadzornih tijela i javnosti o povredama sigurnosti ili gubitku cjelovitosti u skladu s člankom 19. stavkom 2.;

(d)	izvješćivanje Komisije o svojim glavnim aktivnostima u skladu sa stavkom 6. ovog članka;

(e)	obavljanje revizija ili zahtijevanje od tijela za ocjenjivanje sukladnosti da provede ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja u skladu s člankom 20. stavkom 2.;

(f)	suradnju s tijelima za zaštitu podataka, a posebice obavješćujući ih, bez odgađanja, o rezultatima revizija kvalificiranih pružatelja usluga povjerenja, u slučaju kada se čini da je došlo do povrede pravila o zaštiti osobnih podataka;

(g)	dodjeljivanje kvalificiranog statusa pružateljima usluga povjerenja i uslugama koje oni pružaju i ukidanje tog statusa u skladu s člancima 20. i 21.;

(h)	obavješćivanje tijela odgovornog za nacionalni pouzdani popis iz članka 22. stavka 3. o odlukama o dodjeljivanju ili ukidanju kvalificiranog statusa, osim ako je to tijelo ujedno i nadzorno tijelo;

(i)	provjeravanje postojanja i pravilne primjene odredaba o planovima prekida u slučajevima kada kvalificirani pružatelj usluga povjerenja prekine svoje aktivnosti, uključujući način na koji se održava dostupnost informacija u skladu s člankom 24. stavkom 2. točkom (h);

(j)	zahtijevanje od pružatelja usluga povjerenja da otklone svako nepoštovanje zahtjeva utvrđenih u ovoj Uredbi.

5. Države članice mogu od nadzornog tijela zahtijevati da uspostavi, održava i ažurira infrastrukturu povjerenja u skladu s uvjetima prema nacionalnom pravu.

6. Svako nadzorno tijelo Komisiji do 31. ožujka svake godine dostavlja izvješće o svojim glavnim aktivnostima u prethodnoj kalendarskoj godini, zajedno sa sažetkom obavijesti o povredama koje je primilo od pružatelja usluga povjerenja u skladu s člankom 19. stavkom 2.

7. Komisija stavlja na raspolaganje državama članicama godišnje izvješće iz stavka 6.

8. Komisija može provedbenim aktima utvrditi oblike i postupke izvješća iz stavka 6. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 19.

Sigurnosni zahtjevi primjenjivi na pružatelje usluga povjerenja

1. Kvalificirani i nekvalificirani pružatelji usluga povjerenja poduzimaju odgovarajuće tehničke i organizacijske mjere za upravljanje rizicima koji prijete sigurnosti usluga povjerenja koje oni pružaju. Uzimajući u obzir najnovija tehnološka rješenja, tim se mjerama osigurava da razina sigurnosti odgovara stupnju rizika. Posebno se poduzimaju mjere za sprečavanje i smanjivanje utjecaja sigurnosnih incidenata te za obavješćivanje dionika o neželjenim učincima bilo kakvih incidenata te vrste.

2. Kvalificirani i nekvalificirani pružatelji usluga povjerenja obavješćuju, bez odgađanja, ali u svakom slučaju u roku od 24 sata od saznanja za iste, nadzorno tijelo i, prema potrebi, druga odgovarajuća tijela, kao što je nadležno nacionalno tijelo za sigurnost informacija ili tijelo za zaštitu podataka, o svakoj povredi sigurnosti ili gubitku cjelovitosti koji imaju značajan utjecaj na pruženu uslugu povjerenja ili u njoj sadržane osobne podatke.

Ako je izgledno da bi povreda sigurnosti ili gubitak cjelovitosti mogli nepovoljno utjecati na fizičku ili pravnu osobu kojoj su pružene usluge povjerenja, pružatelj usluga povjerenja o povredi ili gubitku cjelovitosti bez odgađanja obavješćuje i tu fizičku ili pravnu osobu.

Prema potrebi, posebno ako se povreda sigurnosti ili gubitak cjelovitosti odnosi na dvije države članice ili više njih, prijavljeno nadzorno tijelo obavješćuje nadzorna tijela u drugim državama članicama na koje se to odnosi i ENISA-u.

Prijavljeno nadzorno tijelo obavješćuje javnost ili zahtijeva od pružatelja usluga povjerenja da to učini ako utvrdi da je otkrivanje povrede sigurnosti ili gubitka cjelovitosti u javnom interesu.

3. Nadzorno tijelo jednom godišnje dostavlja ENISA-i sažetak obavijesti o povredi sigurnosti i gubitku cjelovitosti koje je primilo od pružateljâ usluga povjerenja.

4. Komisija može provedbenim aktima:

(a)	podrobnije odrediti mjere iz stavka 1.; i

(b)	odrediti oblike i postupke, uključujući rokove, primjenjive za potrebe stavka 2.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

ODJELJAK 3.

Kvalificirane usluge povjerenja

Članak 20.

Nadzor kvalificiranih pružatelja usluga povjerenja

1. Tijelo za ocjenjivanje sukladnosti obavlja reviziju pružatelja kvalificiranih usluga povjerenja o njihovu trošku i najmanje svaka 24 mjeseca. Svrha revizija sastoji se u potvrđivanju da kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi. Kvalificirani pružatelji usluga povjerenja nadzornom tijelu podnose izvješće o ocjenjivanju sukladnosti u roku od tri radna dana od njegova primitka.

2. Ne dovodeći u pitanje stavak 1., nadzorno tijelo može u bilo kojem trenutku obaviti reviziju ili zahtijevati od tijela za ocjenjivanje sukladnosti da obavi ocjenjivanje sukladnosti pružatelja kvalificiranih usluga povjerenja, o trošku tih pružatelja usluga povjerenja, kako bi potvrdilo da pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi. U slučaju kada se čini da je došlo do povrede pravila o zaštiti osobnih podataka, nadzorno tijelo obavješćuje tijela za zaštitu podataka o rezultatima svojih revizija.

3. U slučaju kada nadzorno tijelo zahtijeva od pružatelja kvalificiranih usluga povjerenja da otkloni bilo kakvo nepoštovanje zahtjeva prema ovoj Uredbi i kada pružatelj usluge ne postupi u skladu s tim zahtjevom, te ako je to primjenjivo i u roku koji odredi nadzorno tijelo, nadzorno tijelo može, posebno uzimajući u obzir opseg, trajanje i posljedice tog nepoštovanja, ukinuti kvalificirani status tog pružatelja usluge ili obuhvaćene usluge koju on pruža te može za potrebe ažuriranja pouzdanih popisa iz članka 22. stavka 1. obavijestiti tijelo iz članka 22. stavka 3. Nadzorno tijelo obavješćuje kvalificiranog pružatelja usluga povjerenja o ukidanju njegova kvalificiranog statusa ili kvalificiranog statusa dotične usluge.

4. Komisija može provedbenim aktima utvrditi referentne brojeve sljedećih normi:

(a)	akreditacije tijela za ocjenu sukladnosti i za izvješće o ocjenjivanju sukladnosti iz stavka 1.;

(b)	pravila revizije prema kojima će tijela za ocjenjivanje sukladnosti provoditi ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja kako je navedeno u stavku 1.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 22.

Pouzdani popisi

1. Svaka država članica izrađuje, vodi i objavljuje pouzdane popise, uključujući informacije o kvalificiranim pružateljima usluga povjerenja za koje je ta država članica odgovorna, zajedno s informacijama o kvalificiranim uslugama povjerenja koje oni pružaju.

2. Države članice u obliku prikladnom za automatiziranu obradu i na siguran način izrađuju, vode i objavljuju elektronički potpisane ili pečaćene pouzdane popise iz stavka 1.

3. Države članice bez odgađanja obavješćuju Komisiju o informacijama o tijelu odgovornom za izradu, vođenje i objavljivanje nacionalnih pouzdanih popisa i detaljima o tome gdje se takvi popisi objavljuju, certifikatima korištenima za potpisivanje ili pečaćenje pouzdanih popisa i svim njihovim izmjenama.

4. Komisija stavlja na raspolaganje javnosti informacije iz stavka 3. na siguran način, u elektronički potpisanom ili pečaćenom formatu prikladnom za automatiziranu obradu.

5. Komisija putem provedbenih akata do 18. rujna 2015. navodi informacije iz stavka 1. i utvrđuje tehničke specifikacije i formate za pouzdane popise primjenjive za potrebe stavaka od 1. do 4. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 23.

EU znak pouzdanosti za kvalificirane usluge povjerenja

1. Nakon što kvalificirani status iz članka 21. stavka 2. drugog podstavka bude naznačen na popisu pružatelja usluga povjerenja iz članka 22. stavka 1., pružatelji kvalificiranih usluga povjerenja mogu se koristiti EU znakom pouzdanosti kako bi na jednostavan, prepoznatljiv i jasan način naznačili kvalificirane usluge povjerenja koje pružaju.

2. Pri korištenju EU znakom pouzdanosti za kvalificirane usluge povjerenja iz stavka 1. kvalificirani pružatelji usluga povjerenja osiguravaju da na njihovim mrežnim stranicama bude dostupna poveznica na odgovarajući popis pružatelja usluga povjerenja.

3. Komisija do 1. srpnja 2015. provedbenim aktima propisuje specifikacije u odnosu na oblik te posebno izgled, sastav, veličinu i dizajn EU znaka pouzdanosti za kvalificirane usluge povjerenja. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 43.

Pravni učinak usluge elektroničke preporučene dostave

1. Podacima poslanima i primljenima uporabom usluge elektroničke preporučene dostave ne smije se kao dokazima u sudskim postupcima uskratiti pravni učinak i dopuštenost samo zbog toga što su oni u elektroničkom obliku ili zbog toga što ne ispunjavaju sve zahtjeve kvalificirane usluge elektroničke preporučene dostave.

2. Za podatke poslane i primljene uporabom kvalificirane usluge elektroničke preporučene dostave predmnijeva se cjelovitost podataka, slanje tih podataka od strane identificiranog pošiljatelja, njihov primitak od strane identificiranog primatelja te točnost datuma i vremena slanja i primitka podataka kako su naznačeni kvalificiranom uslugom elektroničke preporučene dostave.

Članak 44.

Zahtjevi za kvalificirane usluge elektroničke preporučene dostave

1. Kvalificirane usluge elektroničke preporučene dostave moraju ispunjavati sljedeće zahtjeve:

(a)	pruža ih jedan kvalificirani pružatelj usluga povjerenja ili više njih;

(b)	uz visoku razinu pouzdanja osiguravaju identifikaciju pošiljatelja;

(c)	osiguravaju identifikaciju primatelja prije dostave podataka;

(d)	slanje i primanje podataka osigurano je naprednim elektroničkim potpisom ili naprednim elektroničkim pečatom kvalificiranog pružatelja usluga povjerenja na način kojim se isključuje mogućnost nezapažene promjene podataka;

(e)	pošiljatelju i primatelju podataka jasno se naznačuje svaka promjena podataka potrebna radi slanja ili primanja podataka;

(f)	datum i vrijeme slanja, primanja i eventualne promjene podataka naznačuju se kvalificiranim elektroničkim vremenskim žigom.

U slučaju prijenosa podataka između dvaju kvalificiranih pružatelja usluga povjerenja ili više njih, zahtjevi iz točaka od (a) do (f) primjenjuju se na sve kvalificirane pružatelje usluga povjerenja.

2. Komisija može provedbenim aktima utvrditi referentne brojeve normi za postupke slanja i primanja podataka. Ako postupak slanja i primanja podataka udovoljava tim normama, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

ODJELJAK 8.

Autentikacija mrežnih stranica

Članak 51.

Prijelazne mjere

1. Sredstva za sigurnu izradu potpisa čija je sukladnost utvrđena u skladu s člankom 3. stavkom 4. Direktive 1999/93/EZ smatraju se kvalificiranim sredstvima za izradu elektroničkih potpisa prema ovoj Uredbi.

2. Kvalificirani certifikati izdani fizičkim osobama prema Direktivi 1999/93/EZ smatraju se kvalificiranim certifikatima za elektroničke potpise prema ovoj Uredbi do njihova isteka.

3. Pružatelj usluga certificiranja koji izdaje kvalificirane certifikate u skladu s Direktivom 1999/93/EZ podnosi izvješće o ocjenjivanju sukladnosti nadzornom tijelu što je prije moguće, no najkasnije do 1. srpnja 2017. Do podnošenja takvog izvješća o ocjenjivanju sukladnosti i dovršetka ocjenjivanja od strane nadzornog tijela taj se pružatelj usluga certificiranja smatra kvalificiranim pružateljem usluga povjerenja prema ovoj Uredbi.

4. Ako pružatelj usluga certificiranja koji izdaje kvalificirane certifikate prema Direktivi 1999/93/EZ nadzornom tijelu ne podnese izvješće o ocjenjivanju sukladnosti u roku iz stavka 3., taj se pružatelj usluga certificiranja ne smatra kvalificiranim pružateljem usluga povjerenja prema ovoj Uredbi od 2. srpnja 2017.

whereas

(9) U većini slučajeva građani ne mogu koristiti elektroničku identifikaciju u svrhu autentikacije u drugoj državi članici jer nacionalni sustavi elektroničke identifikacije u njihovoj zemlji nisu priznati u drugim državama članicama.
Zbog te elektroničke prepreke pružatelji usluga ne mogu koristiti sve pogodnosti unutarnjeg tržišta.
Uzajamno priznata sredstva elektroničke identifikacije olakšat će prekogranično pružanje brojnih usluga na unutarnjem tržištu te poduzećima omogućiti prekogranično poslovanje bez suočavanja s brojnim preprekama u interakcijama s tijelima javne vlasti.

- = -

(10) Direktivom 2011/24/EU Europskog parlamenta i Vijeća (6) uspostavljena je mreža nacionalnih tijela odgovornih za eZdravstvo.
Radi veće sigurnosti i kontinuiteta prekogranične zdravstvene zaštite, mreža bi trebala izrađivati smjernice o prekograničnom pristupu elektroničkim podacima i uslugama u području zdravstva, uključujući pružanjem podrške „zajedničkim mjerama za identifikaciju i autentikaciju radi olakšavanja prenosivosti podataka u prekograničnoj zdravstvenoj zaštiti”.
Uzajamno priznavanje elektroničke identifikacije i autentikacije ključ je ostvarivanja prekogranične zdravstvene zaštite za europske građane.
Kada ljudi putuju radi liječenja, njihovi medicinski podaci moraju biti dostupni u zemlji u kojoj se liječe.
To iziskuje čvrst, siguran i pouzdan okvir elektroničke identifikacije.

- = -

(14) U ovoj Uredbi moraju biti određeni izvjesni uvjeti o tome koja sredstva elektroničke identifikacije moraju biti priznata i o načinu na koji bi sustave elektroničke identifikacije trebalo prijaviti.
Ti bi uvjeti trebali pomoći državama članicama da izgrade nužno međusobno povjerenje u njihove sustave elektroničke identifikacije i uzajamno priznaju sredstva elektroničke identifikacije koja su obuhvaćena njihovim prijavljenim sustavima.
Načelo uzajamnog priznavanja trebalo bi vrijediti ako sustav elektroničke identifikacije države članice koja provodi prijavljivanje ispunjava uvjete prijavljivanja i ako je prijava objavljena u Službenom listu Europske unije.
Međutim, načelo uzajamnog priznavanja trebalo bi se odnositi samo na autentikaciju na online uslugu.
Pristup tim online uslugama i njihovo konačno pružanje podnositelju trebali bi biti usko povezani s pravom primanja takvih usluga pod uvjetima određenima nacionalnim zakonodavstvom.

- = -

(19) Sigurnost sustava elektroničke identifikacije ključna je za vjerodostojno prekogranično uzajamno priznavanje sredstava elektroničke identifikacije.
U vezi s tim, države članice trebale bi surađivati u pogledu sigurnosti i interoperabilnosti sustavâ elektroničke identifikacije na razini Unije.
Uvijek kada sustavi elektroničke identifikacije zahtijevaju da pouzdajuće strane na nacionalnoj razini koriste poseban hardver ili softver, prekogranična interoperabilnost traži od tih država članica da pouzdajućim stranama s poslovnim nastanom izvan njihovog državnog područja ne nameće takve zahtjeve i pripadajuće troškove.
U tom slučaju trebalo bi razmotriti i razviti odgovarajuća rješenja unutar područja primjene okvira za interoperabilnost.
S druge strane, neizbježni su tehnički zahtjevi koji proizlaze iz nužno povezanih specifikacija nacionalnih sredstava elektroničke identifikacije i koji bi mogli utjecati na imatelje takvih elektroničkih sredstava (npr.
pametnih kartica).

- = -

(20) Suradnja država članica trebala bi olakšati tehničku interoperabilnost prijavljenih sustava elektroničke identifikacije u cilju poticanja visoke razine pouzdanosti i sigurnosti sukladno stupnju rizika.
Razmjena informacija i najbolje prakse među državama članicama u cilju njihova uzajamnog priznavanja trebale bi pomoći takvoj suradnji.

- = -

(21) Ovom bi se Uredbom također trebao uspostaviti opći pravni okvir za korištenje uslugama povjerenja.
Međutim, njome se ne bi trebalo uvesti opću obvezu njihovog korištenja ili uvođenja pristupne točke za sve postojeće usluge povjerenja.
Posebice, ona ne bi smjela obuhvaćati pružanje usluga koje se isključivo koriste unutar zatvorenih sustava među utvrđenom skupinom sudionika koji nemaju nikakav utjecaj na treće strane.
Primjerice, sustavi uspostavljeni u poduzećima ili upravama javnih tijela radi upravljanja internim postupcima koji koriste usluge povjerenja ne bi trebali biti podložni zahtjevima ove Uredbe.
Samo usluge povjerenja koje se pružaju javnosti i koje imaju učinke na treće strane trebale bi ispunjavati zahtjeve utvrđene u Uredbi.
Ova Uredba ne bi trebala obuhvaćati ni aspekte koji se odnose na sklapanje i valjanost ugovorâ ili drugih pravnih obveza ako postoje zahtjevi vezani uz oblik utvrđeni nacionalnim pravom ili pravom Unije.
Osim toga, ona ne bi trebala utjecati na nacionalne zahtjeve vezane uz oblik koji vrijede za javne registre, a posebno trgovačke registre i zemljišne knjige.

- = -

(22) Radi doprinosa njihovom općem prekograničnom korištenju, trebalo bi biti moguće usluge povjerenja koristiti kao dokaze u sudskim postupcima u svim državama članicama.
Pravne učinke usluga povjerenja potrebno je odrediti nacionalnim pravom, osim ako je drukčije predviđeno ovom Uredbom.

- = -

(25) Države članice trebale bi i dalje moći slobodno određivati druge vrste usluga povjerenja, uz one koje su dio konačnog popisa usluga povjerenja predviđenog ovom Uredbom, u svrhu njihovog priznavanja na nacionalnoj razini kao kvalificiranih usluga povjerenja.

- = -

(28) Kako bi se povećalo povjerenje posebice malih i srednjih poduzeća (MSP-ova) te potrošača u unutarnje tržište i promicalo korištenje uslugama povjerenja i proizvodima povjerenja, trebalo bi uvesti pojmove „kvalificirana usluga povjerenja” i „kvalificirani pružatelj usluga povjerenja” s ciljem naznačivanja zahtjeva i obveza koji osiguravaju visoku razinu sigurnosti svih kvalificiranih usluga povjerenja i proizvoda povjerenja koji se koriste ili pružaju.

- = -

(32) Svi pružatelji usluga povjerenja trebali bi biti dužni primjenjivati dobru sigurnosnu praksu primjerenu rizicima koji su povezani s njihovim aktivnostima kako bi se ojačalo povjerenje korisnikâ u jedinstveno tržište.

- = -

(35) Svi pružatelji usluga povjerenja trebali bi biti podvrgnuti zahtjevima ove Uredbe, posebno onima koji se tiču sigurnosti i odgovornosti kako bi se osigurala odgovarajuća brzina pružanja i transparentnost njihovih djelatnosti i usluga te odgovornost za njihove djelatnosti i usluge.
Međutim, uzimajući u obzir vrstu usluga koje pružaju pružatelji usluga povjerenja, potrebno je, u pogledu tih zahtjeva, razlikovati između kvalificiranih i nekvalificiranih pružatelja usluga povjerenja.

- = -

(36) Uspostavljanje sustava nadzora za sve pružatelje usluga povjerenja trebalo bi osigurati ravnopravne tržišne uvjete u odnosu na sigurnost i odgovornost njihovih djelatnosti i usluga, doprinoseći na taj način zaštiti korisnikâ i funkcioniranju unutarnjeg tržišta.
Nekvalificirani pružatelji usluga povjerenja trebali bi biti podvrgnuti neobvezujućim i reaktivnim naknadnim (ex post) nadzornim aktivnostima koje su opravdane zbog prirode njihovih usluga i djelatnosti.
Nadzorno tijelo stoga ne bi trebalo imati opću obvezu nadzora nekvalificiranih davatelja usluga.
Nadzorno tijelo trebalo bi djelovati samo kada je obaviješteno (primjerice od strane samog nekvalificiranog pružatelja usluga povjerenja, drugog nadzornog tijela, putem prijave korisnika ili poslovnog partnera ili na temelju vlastite istrage) da nekvalificirani pružatelj usluga povjerenja ne ispunjava zahtjeve ove Uredbe.

- = -

(47) Pouzdanje u uporabu online usluga i jednostavnost njihove uporabe imaju presudno značenje za to da njihovi korisnici mogu u potpunosti iskoristiti prednosti elektroničkih usluga i svjesno se pouzdati u njih.
U tu svrhu trebalo bi stvoriti kvalificirani EU znak pouzdanosti kako bi se utvrdile kvalificirane usluge povjerenja koje pružaju kvalificirani pružatelji usluga povjerenja.
Takvim EU znakom pouzdanosti za kvalificirane usluge povjerenja jasno bi se razlučile kvalificirane usluge povjerenja od drugih usluga povjerenja čime bi se doprinijelo transparentnosti na tržištu.
Korištenje EU znakom pouzdanosti trebalo bi biti dobrovoljno za kvalificirane pružatelje usluga povjerenja te ne bi trebalo stvarati bilo koji drugi zahtjev osim onih koji su već predviđeni ovom Uredbom.

- = -

(55) Certificiranje sigurnosti informacijske tehnologije na temelju međunarodnih normi, kao što su ISO 15408 i povezani načini evaluacije i dogovori o uzajamnom priznavanju, važan je alat za verifikaciju sigurnosti kvalificiranih sredstava za izradu elektroničkih potpisa i trebalo bi ga promicati.
Međutim, inovativna rješenja i usluge, kao što su potpisivanje pomoću mobilnih uređaja i potpisivanje pomoću tehnologije oblaka (cloud signing) oslanjaju se na tehnička i organizacijska rješenja za kvalificirana sredstva za izradu elektroničkih potpisa za koje sigurnosne norme možda još nisu dostupne ili za koje je prvo certificiranje sigurnosti informacijske tehnologije još uvijek u tijeku.
Razinu sigurnosti takvih kvalificiranih sredstava za izradu elektroničkih potpisa moglo bi se ocjenjivati primjenom alternativnih postupaka samo ako takve sigurnosne norme nisu dostupne ili ako je prvo certificiranje sigurnosti informacijske tehnologije još uvijek u tijeku.
Ti bi postupci trebali biti usporedivi s normama za certificiranje sigurnosti informacijske tehnologije ako su njihove razine sigurnosti jednakovrijedne.
Stručna revizija mogla bi olakšati te postupke.

- = -

(61) Ovom bi Uredbom trebalo osigurati dugoročno čuvanje informacija kako bi se osigurala pravna valjanost elektroničkih potpisa i elektroničkih pečata tijekom duljih razdoblja, čime bi se zajamčila mogućnost njihove validacije neovisno o budućim tehnološkim promjenama.

- = -

(68) U skladu s odredbama o poslovnom nastanu iz Ugovora o funkcioniranju Europske unije (UFEU), pojam „pravne osobe” gospodarskim subjektima ostavlja mogućnost da odaberu pravni oblik koji smatraju prikladnim za obavljanje svoje djelatnosti.
Sukladno tomu, „pravne osobe”, u smislu UFEU-a, znači svi subjekti koji su osnovani prema pravu države članice ili uređeni pravom države članice, bez obzira na njihov pravni oblik.

- = -

keyboard_tab EIDAS 2014/0910 HR

EIDAS 2014/0910 HR