keyboard_tab EIDAS 2014/0910 HR

whereas povrede:

• whereas (31) 2
• whereas (38) 1

definitions:

Članak 10.

Povreda sigurnosti

1.   U slučaju povrede ili djelomičnog ugrožavanja bilo sustava elektroničke identifikacije koji je prijavljen na temelju članka 9. stavka 1. ili autentikacije iz članka 7. točke (f) na način koji utječe na pouzdanost prekogranične autentikacije tog sustava, država članica koja provodi prijavljivanje bez odgađanja suspendira ili opoziva tu prekograničnu autentikaciju ili ugrožene dijelove o kojima je riječ i obavješćuje ostale države članice i Komisiju.

2.   Kada je povreda ili ugrožavanje iz stavka 1. otklonjeno, država članica koja provodi prijavljivanje ponovno uspostavlja prekograničnu autentikaciju i bez odgađanja obavješćuje ostale države članice i Komisiju.

3.   Ako povreda ili ugrožavanje iz stavka 1. nije otklonjeno u roku od 3 mjeseca od suspenzije ili opoziva, država članica koja provodi prijavljivanje obavješćuje druge države članice i Komisiju o povlačenju sustava elektroničke identifikacije.

Komisija u Službenom listu Europske unije bez odgađanja objavljuje odgovarajuće izmjene popisa iz članka 9. stavka 2.

Članak 16.

Sankcije

Države članice utvrđuju pravila o sankcijama koje se primjenjuju na povrede ove Uredbe. Te sankcije moraju biti djelotvorne, razmjerne i odvraćajuće.

ODJELJAK 2.

Nadzor

Članak 17.

Nadzorno tijelo

1.   Države članice određuju nadzorno tijelo s poslovnim nastanom na njihovom državnom području ili, prema uzajamnom dogovoru s drugom državom članicom, nadzorno tijelo s poslovnim nastanom u toj drugoj državi članici. To tijelo je odgovorno za zadaće nadzora u državi članici koja ga određuje.

Nadzornim se tijelima dodjeljuju potrebne ovlasti i odgovarajuća sredstva za obavljanje njihovih zadaća.

2.   Države članice obavješćuju Komisiju i druge države članice o nazivima i adresama svojih nadzornih tijela koja su odredile.

3.   Uloga nadzornog tijela jest sljedeća:

(a)

da nadzire kvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ga određuje kako bi se osiguralo, putem prethodnih (ex ante) i naknadnih (ex post) aktivnosti nadzora, da ti kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi;

(b)

da, prema potrebi, poduzima mjere u odnosu na nekvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ga određuje, putem naknadnih (ex post) aktivnosti nadzora, kada primi obavijest da ti nekvalificirani pružatelji usluga povjerenja ili usluge povjerenja koje oni pružaju navodno ne ispunjavaju zahtjeve utvrđene u ovoj Uredbi.

4.   Za potrebe stavka 3. i podložno u njemu predviđenim ograničenjima, zadaće nadzornog tijela posebno uključuju:

(a)	suradnju s drugim nadzornim tijelima i pružanje pomoći tim tijelima u skladu s člankom 18.;

(b)	analiziranje izvješćâ o ocjenjivanju sukladnosti iz članka 20. stavka 1. i članka 21. stavka 1.;

(c)	obavješćivanje drugih nadzornih tijela i javnosti o povredama sigurnosti ili gubitku cjelovitosti u skladu s člankom 19. stavkom 2.;

(d)	izvješćivanje Komisije o svojim glavnim aktivnostima u skladu sa stavkom 6. ovog članka;

(e)	obavljanje revizija ili zahtijevanje od tijela za ocjenjivanje sukladnosti da provede ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja u skladu s člankom 20. stavkom 2.;

(f)	suradnju s tijelima za zaštitu podataka, a posebice obavješćujući ih, bez odgađanja, o rezultatima revizija kvalificiranih pružatelja usluga povjerenja, u slučaju kada se čini da je došlo do povrede pravila o zaštiti osobnih podataka;

(g)	dodjeljivanje kvalificiranog statusa pružateljima usluga povjerenja i uslugama koje oni pružaju i ukidanje tog statusa u skladu s člancima 20. i 21.;

(h)	obavješćivanje tijela odgovornog za nacionalni pouzdani popis iz članka 22. stavka 3. o odlukama o dodjeljivanju ili ukidanju kvalificiranog statusa, osim ako je to tijelo ujedno i nadzorno tijelo;

(i)	provjeravanje postojanja i pravilne primjene odredaba o planovima prekida u slučajevima kada kvalificirani pružatelj usluga povjerenja prekine svoje aktivnosti, uključujući način na koji se održava dostupnost informacija u skladu s člankom 24. stavkom 2. točkom (h);

(j)	zahtijevanje od pružatelja usluga povjerenja da otklone svako nepoštovanje zahtjeva utvrđenih u ovoj Uredbi.

5.   Države članice mogu od nadzornog tijela zahtijevati da uspostavi, održava i ažurira infrastrukturu povjerenja u skladu s uvjetima prema nacionalnom pravu.

6.   Svako nadzorno tijelo Komisiji do 31. ožujka svake godine dostavlja izvješće o svojim glavnim aktivnostima u prethodnoj kalendarskoj godini, zajedno sa sažetkom obavijesti o povredama koje je primilo od pružatelja usluga povjerenja u skladu s člankom 19. stavkom 2.

7.   Komisija stavlja na raspolaganje državama članicama godišnje izvješće iz stavka 6.

8.   Komisija može provedbenim aktima utvrditi oblike i postupke izvješća iz stavka 6. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 19.

Sigurnosni zahtjevi primjenjivi na pružatelje usluga povjerenja

1.   Kvalificirani i nekvalificirani pružatelji usluga povjerenja poduzimaju odgovarajuće tehničke i organizacijske mjere za upravljanje rizicima koji prijete sigurnosti usluga povjerenja koje oni pružaju. Uzimajući u obzir najnovija tehnološka rješenja, tim se mjerama osigurava da razina sigurnosti odgovara stupnju rizika. Posebno se poduzimaju mjere za sprečavanje i smanjivanje utjecaja sigurnosnih incidenata te za obavješćivanje dionika o neželjenim učincima bilo kakvih incidenata te vrste.

2.   Kvalificirani i nekvalificirani pružatelji usluga povjerenja obavješćuju, bez odgađanja, ali u svakom slučaju u roku od 24 sata od saznanja za iste, nadzorno tijelo i, prema potrebi, druga odgovarajuća tijela, kao što je nadležno nacionalno tijelo za sigurnost informacija ili tijelo za zaštitu podataka, o svakoj povredi sigurnosti ili gubitku cjelovitosti koji imaju značajan utjecaj na pruženu uslugu povjerenja ili u njoj sadržane osobne podatke.

Ako je izgledno da bi povreda sigurnosti ili gubitak cjelovitosti mogli nepovoljno utjecati na fizičku ili pravnu osobu kojoj su pružene usluge povjerenja, pružatelj usluga povjerenja o povredi ili gubitku cjelovitosti bez odgađanja obavješćuje i tu fizičku ili pravnu osobu.

Prema potrebi, posebno ako se povreda sigurnosti ili gubitak cjelovitosti odnosi na dvije države članice ili više njih, prijavljeno nadzorno tijelo obavješćuje nadzorna tijela u drugim državama članicama na koje se to odnosi i ENISA-u.

Prijavljeno nadzorno tijelo obavješćuje javnost ili zahtijeva od pružatelja usluga povjerenja da to učini ako utvrdi da je otkrivanje povrede sigurnosti ili gubitka cjelovitosti u javnom interesu.

3.   Nadzorno tijelo jednom godišnje dostavlja ENISA-i sažetak obavijesti o povredi sigurnosti i gubitku cjelovitosti koje je primilo od pružateljâ usluga povjerenja.

4.   Komisija može provedbenim aktima:

(a)	podrobnije odrediti mjere iz stavka 1.; i

(b)	odrediti oblike i postupke, uključujući rokove, primjenjive za potrebe stavka 2.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

ODJELJAK 3.

Kvalificirane usluge povjerenja

Članak 20.

Nadzor kvalificiranih pružatelja usluga povjerenja

1.   Tijelo za ocjenjivanje sukladnosti obavlja reviziju pružatelja kvalificiranih usluga povjerenja o njihovu trošku i najmanje svaka 24 mjeseca. Svrha revizija sastoji se u potvrđivanju da kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi. Kvalificirani pružatelji usluga povjerenja nadzornom tijelu podnose izvješće o ocjenjivanju sukladnosti u roku od tri radna dana od njegova primitka.

2.   Ne dovodeći u pitanje stavak 1., nadzorno tijelo može u bilo kojem trenutku obaviti reviziju ili zahtijevati od tijela za ocjenjivanje sukladnosti da obavi ocjenjivanje sukladnosti pružatelja kvalificiranih usluga povjerenja, o trošku tih pružatelja usluga povjerenja, kako bi potvrdilo da pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi. U slučaju kada se čini da je došlo do povrede pravila o zaštiti osobnih podataka, nadzorno tijelo obavješćuje tijela za zaštitu podataka o rezultatima svojih revizija.

3.   U slučaju kada nadzorno tijelo zahtijeva od pružatelja kvalificiranih usluga povjerenja da otkloni bilo kakvo nepoštovanje zahtjeva prema ovoj Uredbi i kada pružatelj usluge ne postupi u skladu s tim zahtjevom, te ako je to primjenjivo i u roku koji odredi nadzorno tijelo, nadzorno tijelo može, posebno uzimajući u obzir opseg, trajanje i posljedice tog nepoštovanja, ukinuti kvalificirani status tog pružatelja usluge ili obuhvaćene usluge koju on pruža te može za potrebe ažuriranja pouzdanih popisa iz članka 22. stavka 1. obavijestiti tijelo iz članka 22. stavka 3. Nadzorno tijelo obavješćuje kvalificiranog pružatelja usluga povjerenja o ukidanju njegova kvalificiranog statusa ili kvalificiranog statusa dotične usluge.

4.   Komisija može provedbenim aktima utvrditi referentne brojeve sljedećih normi:

(a)	akreditacije tijela za ocjenu sukladnosti i za izvješće o ocjenjivanju sukladnosti iz stavka 1.;

(b)	pravila revizije prema kojima će tijela za ocjenjivanje sukladnosti provoditi ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja kako je navedeno u stavku 1.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.