EIDAS 2014/0910 HR

1. Ova se Uredba primjenjuje na sustave elektroničke identifikacije koje je prijavila država članica, kao i na pružatelje usluga povjerenja koji imaju poslovni nastan u Uniji.

2. Ova se Uredba ne primjenjuje na pružanje usluga povjerenja koje se isključivo koriste unutar zatvorenih sustava koji proizlaze iz nacionalnog prava ili iz sporazumâ među utvrđenom skupinom sudionika.

3. Ova Uredba ne utječe na nacionalno pravo ili pravo Unije koje se odnosi na sklapanje i valjanost ugovorâ ili drugih pravnih ili postupovnih obveza u pogledu forme.

Članak 14.

Međunarodni aspekti

1. Usluge povjerenja koje pružaju pružatelji usluga povjerenja s poslovnim nastanom u trećoj zemlji priznaju se kao pravno jednake kvalificiranim uslugama povjerenja koje pružaju kvalificirani pružatelji usluga povjerenja s poslovnim nastanom u Uniji kada su usluge povjerenja iz treće zemlje priznate u okviru sporazuma sklopljenog između Unije i treće zemlje o kojoj je riječi ili određene međunarodne organizacije u skladu s člankom 218. UFEU-a.

2. Sporazumima iz stavka 1. posebno se osigurava da:

(a)

pružatelji usluga povjerenja u trećoj zemlji ili međunarodne organizacije s kojima je sklopljen sporazum i usluge povjerenja koje oni pružaju ispunjavaju zahtjeve koji se primjenjuju na kvalificirane pružatelje usluga povjerenja s poslovnim nastanom u Uniji i na kvalificirane usluge povjerenja koje oni pružaju;

(b)

kvalificirane usluge povjerenja koje pružaju kvalificirani pružatelji usluga povjerenja s poslovnim nastanom u Uniji budu priznate kao pravno jednake uslugama povjerenja koje pružaju pružatelji usluga povjerenja u trećoj zemlji ili koje pružaju međunarodne organizacije s kojima je sklopljen sporazum.

Članak 17.

Nadzorno tijelo

1. Države članice određuju nadzorno tijelo s poslovnim nastanom na njihovom državnom području ili, prema uzajamnom dogovoru s drugom državom članicom, nadzorno tijelo s poslovnim nastanom u toj drugoj državi članici. To tijelo je odgovorno za zadaće nadzora u državi članici koja ga određuje.

Nadzornim se tijelima dodjeljuju potrebne ovlasti i odgovarajuća sredstva za obavljanje njihovih zadaća.

2. Države članice obavješćuju Komisiju i druge države članice o nazivima i adresama svojih nadzornih tijela koja su odredile.

3. Uloga nadzornog tijela jest sljedeća:

(a)

da nadzire kvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ga određuje kako bi se osiguralo, putem prethodnih (ex ante) i naknadnih (ex post) aktivnosti nadzora, da ti kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi;

(b)

da, prema potrebi, poduzima mjere u odnosu na nekvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ga određuje, putem naknadnih (ex post) aktivnosti nadzora, kada primi obavijest da ti nekvalificirani pružatelji usluga povjerenja ili usluge povjerenja koje oni pružaju navodno ne ispunjavaju zahtjeve utvrđene u ovoj Uredbi.

4. Za potrebe stavka 3. i podložno u njemu predviđenim ograničenjima, zadaće nadzornog tijela posebno uključuju:

(a)	suradnju s drugim nadzornim tijelima i pružanje pomoći tim tijelima u skladu s člankom 18.;

(b)	analiziranje izvješćâ o ocjenjivanju sukladnosti iz članka 20. stavka 1. i članka 21. stavka 1.;

(c)	obavješćivanje drugih nadzornih tijela i javnosti o povredama sigurnosti ili gubitku cjelovitosti u skladu s člankom 19. stavkom 2.;

(d)	izvješćivanje Komisije o svojim glavnim aktivnostima u skladu sa stavkom 6. ovog članka;

(e)	obavljanje revizija ili zahtijevanje od tijela za ocjenjivanje sukladnosti da provede ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja u skladu s člankom 20. stavkom 2.;

(f)	suradnju s tijelima za zaštitu podataka, a posebice obavješćujući ih, bez odgađanja, o rezultatima revizija kvalificiranih pružatelja usluga povjerenja, u slučaju kada se čini da je došlo do povrede pravila o zaštiti osobnih podataka;

(g)	dodjeljivanje kvalificiranog statusa pružateljima usluga povjerenja i uslugama koje oni pružaju i ukidanje tog statusa u skladu s člancima 20. i 21.;

(h)	obavješćivanje tijela odgovornog za nacionalni pouzdani popis iz članka 22. stavka 3. o odlukama o dodjeljivanju ili ukidanju kvalificiranog statusa, osim ako je to tijelo ujedno i nadzorno tijelo;

(i)	provjeravanje postojanja i pravilne primjene odredaba o planovima prekida u slučajevima kada kvalificirani pružatelj usluga povjerenja prekine svoje aktivnosti, uključujući način na koji se održava dostupnost informacija u skladu s člankom 24. stavkom 2. točkom (h);

(j)	zahtijevanje od pružatelja usluga povjerenja da otklone svako nepoštovanje zahtjeva utvrđenih u ovoj Uredbi.

5. Države članice mogu od nadzornog tijela zahtijevati da uspostavi, održava i ažurira infrastrukturu povjerenja u skladu s uvjetima prema nacionalnom pravu.

6. Svako nadzorno tijelo Komisiji do 31. ožujka svake godine dostavlja izvješće o svojim glavnim aktivnostima u prethodnoj kalendarskoj godini, zajedno sa sažetkom obavijesti o povredama koje je primilo od pružatelja usluga povjerenja u skladu s člankom 19. stavkom 2.

7. Komisija stavlja na raspolaganje državama članicama godišnje izvješće iz stavka 6.

8. Komisija može provedbenim aktima utvrditi oblike i postupke izvješća iz stavka 6. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 19.

Sigurnosni zahtjevi primjenjivi na pružatelje usluga povjerenja

1. Kvalificirani i nekvalificirani pružatelji usluga povjerenja poduzimaju odgovarajuće tehničke i organizacijske mjere za upravljanje rizicima koji prijete sigurnosti usluga povjerenja koje oni pružaju. Uzimajući u obzir najnovija tehnološka rješenja, tim se mjerama osigurava da razina sigurnosti odgovara stupnju rizika. Posebno se poduzimaju mjere za sprečavanje i smanjivanje utjecaja sigurnosnih incidenata te za obavješćivanje dionika o neželjenim učincima bilo kakvih incidenata te vrste.

2. Kvalificirani i nekvalificirani pružatelji usluga povjerenja obavješćuju, bez odgađanja, ali u svakom slučaju u roku od 24 sata od saznanja za iste, nadzorno tijelo i, prema potrebi, druga odgovarajuća tijela, kao što je nadležno nacionalno tijelo za sigurnost informacija ili tijelo za zaštitu podataka, o svakoj povredi sigurnosti ili gubitku cjelovitosti koji imaju značajan utjecaj na pruženu uslugu povjerenja ili u njoj sadržane osobne podatke.

Ako je izgledno da bi povreda sigurnosti ili gubitak cjelovitosti mogli nepovoljno utjecati na fizičku ili pravnu osobu kojoj su pružene usluge povjerenja, pružatelj usluga povjerenja o povredi ili gubitku cjelovitosti bez odgađanja obavješćuje i tu fizičku ili pravnu osobu.

Prema potrebi, posebno ako se povreda sigurnosti ili gubitak cjelovitosti odnosi na dvije države članice ili više njih, prijavljeno nadzorno tijelo obavješćuje nadzorna tijela u drugim državama članicama na koje se to odnosi i ENISA-u.

Prijavljeno nadzorno tijelo obavješćuje javnost ili zahtijeva od pružatelja usluga povjerenja da to učini ako utvrdi da je otkrivanje povrede sigurnosti ili gubitka cjelovitosti u javnom interesu.

3. Nadzorno tijelo jednom godišnje dostavlja ENISA-i sažetak obavijesti o povredi sigurnosti i gubitku cjelovitosti koje je primilo od pružateljâ usluga povjerenja.

4. Komisija može provedbenim aktima:

(a)	podrobnije odrediti mjere iz stavka 1.; i

(b)	odrediti oblike i postupke, uključujući rokove, primjenjive za potrebe stavka 2.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

ODJELJAK 3.

Kvalificirane usluge povjerenja

Članak 21.

Početak pružanja kvalificirane usluge povjerenja

1. Ako pružatelji usluga povjerenja bez kvalificiranog statusa namjeravaju započeti s pružanjem kvalificiranih usluga povjerenja, oni nadzornom tijelu podnose prijavu o svojoj namjeri zajedno s izvješćem o ocjenjivanju sukladnosti koje je izdalo tijelo za ocjenjivanje sukladnosti.

2. Nadzorno tijelo provjerava je li pružatelj usluga povjerenja sukladan odnosno jesu li usluge povjerenja koje on pruža sukladne sa zahtjevima utvrđenima u ovoj Uredbi i posebno sa zahtjevima za kvalificirane pružatelje usluga povjerenja i za kvalificirane usluge povjerenja koje oni pružaju.

Ako nadzorno tijelo zaključi da su pružatelj usluga povjerenja i usluge povjerenja koje on pruža sukladni zahtjevima iz prvog podstavka, nadzorno tijelo odobrava kvalificirani status pružatelju usluga povjerenja i uslugama povjerenja koje on pruža te obavješćuje tijelo iz članka 22. stavka 3. u svrhu ažuriranja pouzdanih popisa iz članka 22. stavka 1., najkasnije tri mjeseca nakon prijave u skladu sa stavkom 1. ovog članka.

Ako provjera nije dovršena u roku od tri mjeseca od obavješćivanja, nadzorno tijelo o tome obavješćuje pružatelja usluga povjerenja, navodeći razloge za kašnjenje i rok do kojeg provjera mora biti dovršena.

3. Pružatelji kvalificiranih usluga povjerenja mogu početi pružati kvalificiranu uslugu povjerenja nakon što kvalificirani status bude naznačen na pouzdanim popisima iz članka 22. stavka 1.

4. Komisija može provedbenim aktima utvrditi oblike i postupke za potrebe stavaka 1. i 2. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 44.

Zahtjevi za kvalificirane usluge elektroničke preporučene dostave

1. Kvalificirane usluge elektroničke preporučene dostave moraju ispunjavati sljedeće zahtjeve:

(a)	pruža ih jedan kvalificirani pružatelj usluga povjerenja ili više njih;

(b)	uz visoku razinu pouzdanja osiguravaju identifikaciju pošiljatelja;

(c)	osiguravaju identifikaciju primatelja prije dostave podataka;

(d)	slanje i primanje podataka osigurano je naprednim elektroničkim potpisom ili naprednim elektroničkim pečatom kvalificiranog pružatelja usluga povjerenja na način kojim se isključuje mogućnost nezapažene promjene podataka;

(e)	pošiljatelju i primatelju podataka jasno se naznačuje svaka promjena podataka potrebna radi slanja ili primanja podataka;

(f)	datum i vrijeme slanja, primanja i eventualne promjene podataka naznačuju se kvalificiranim elektroničkim vremenskim žigom.

U slučaju prijenosa podataka između dvaju kvalificiranih pružatelja usluga povjerenja ili više njih, zahtjevi iz točaka od (a) do (f) primjenjuju se na sve kvalificirane pružatelje usluga povjerenja.

2. Komisija može provedbenim aktima utvrditi referentne brojeve normi za postupke slanja i primanja podataka. Ako postupak slanja i primanja podataka udovoljava tim normama, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

ODJELJAK 8.

Autentikacija mrežnih stranica

Članak 51.

Prijelazne mjere

1. Sredstva za sigurnu izradu potpisa čija je sukladnost utvrđena u skladu s člankom 3. stavkom 4. Direktive 1999/93/EZ smatraju se kvalificiranim sredstvima za izradu elektroničkih potpisa prema ovoj Uredbi.

2. Kvalificirani certifikati izdani fizičkim osobama prema Direktivi 1999/93/EZ smatraju se kvalificiranim certifikatima za elektroničke potpise prema ovoj Uredbi do njihova isteka.

3. Pružatelj usluga certificiranja koji izdaje kvalificirane certifikate u skladu s Direktivom 1999/93/EZ podnosi izvješće o ocjenjivanju sukladnosti nadzornom tijelu što je prije moguće, no najkasnije do 1. srpnja 2017. Do podnošenja takvog izvješća o ocjenjivanju sukladnosti i dovršetka ocjenjivanja od strane nadzornog tijela taj se pružatelj usluga certificiranja smatra kvalificiranim pružateljem usluga povjerenja prema ovoj Uredbi.

4. Ako pružatelj usluga certificiranja koji izdaje kvalificirane certifikate prema Direktivi 1999/93/EZ nadzornom tijelu ne podnese izvješće o ocjenjivanju sukladnosti u roku iz stavka 3., taj se pružatelj usluga certificiranja ne smatra kvalificiranim pružateljem usluga povjerenja prema ovoj Uredbi od 2. srpnja 2017.

whereas

(36) Uspostavljanje sustava nadzora za sve pružatelje usluga povjerenja trebalo bi osigurati ravnopravne tržišne uvjete u odnosu na sigurnost i odgovornost njihovih djelatnosti i usluga, doprinoseći na taj način zaštiti korisnikâ i funkcioniranju unutarnjeg tržišta.
Nekvalificirani pružatelji usluga povjerenja trebali bi biti podvrgnuti neobvezujućim i reaktivnim naknadnim (ex post) nadzornim aktivnostima koje su opravdane zbog prirode njihovih usluga i djelatnosti.
Nadzorno tijelo stoga ne bi trebalo imati opću obvezu nadzora nekvalificiranih davatelja usluga.
Nadzorno tijelo trebalo bi djelovati samo kada je obaviješteno (primjerice od strane samog nekvalificiranog pružatelja usluga povjerenja, drugog nadzornog tijela, putem prijave korisnika ili poslovnog partnera ili na temelju vlastite istrage) da nekvalificirani pružatelj usluga povjerenja ne ispunjava zahtjeve ove Uredbe.

- = -

(47) Pouzdanje u uporabu online usluga i jednostavnost njihove uporabe imaju presudno značenje za to da njihovi korisnici mogu u potpunosti iskoristiti prednosti elektroničkih usluga i svjesno se pouzdati u njih.
U tu svrhu trebalo bi stvoriti kvalificirani EU znak pouzdanosti kako bi se utvrdile kvalificirane usluge povjerenja koje pružaju kvalificirani pružatelji usluga povjerenja.
Takvim EU znakom pouzdanosti za kvalificirane usluge povjerenja jasno bi se razlučile kvalificirane usluge povjerenja od drugih usluga povjerenja čime bi se doprinijelo transparentnosti na tržištu.
Korištenje EU znakom pouzdanosti trebalo bi biti dobrovoljno za kvalificirane pružatelje usluga povjerenja te ne bi trebalo stvarati bilo koji drugi zahtjev osim onih koji su već predviđeni ovom Uredbom.

- = -

(52) Izradu udaljenih elektroničkih potpisa kada okruženjem za izradu elektroničkog potpisa u ime potpisnika upravlja pružatelj usluga povjerenja trebalo bi povećati s obzirom na s time povezane višestruke gospodarske koristi.
Međutim, kako bi se osiguralo da takvi elektronički potpisi budu u pravnom smislu jednako priznati kao i elektronički potpisi koji su u potpunosti izrađeni u okruženju kojim upravlja korisnik, pružatelji usluge udaljenog elektroničkog potpisa trebali bi primjenjivati posebne postupke upravljanja i postupke sigurnosnog administriranja te koristiti vjerodostojne sustave i proizvode, uključujući sigurne elektroničke komunikacijske kanale, kako bi jamčili da je okruženje za izradu elektroničkog potpisa pouzdano i da se koristi pod isključivom kontrolom potpisnika.
Kada je kvalificirani elektronički potpis izrađen korištenjem sredstva za izradu udaljenog elektroničkog potpisa, trebali bi se primjenjivati zahtjevi primjenjivi na kvalificirane pružatelje usluge povjerenja određeni ovom Uredbom.

- = -

(57) Radi osiguravanja pravne sigurnosti u pogledu valjanosti potpisa, nužno je utvrditi komponente kvalificiranog elektroničkog potpisa koje bi trebala procijeniti pouzdajuća strana koja obavlja validaciju.
Osim toga, utvrđivanjem zahtjeva za kvalificirane pružatelje usluga povjerenja koji mogu pružiti kvalificiranu uslugu validacije pouzdajućim stranama koje ne žele ili ne mogu same obaviti validaciju kvalificiranih elektroničkih potpisa, trebali bi potaknuti privatni i javni sektor na ulaganja u takve usluge.
Oba elementa trebala bi za sve aktere na razini Unije omogućiti jednostavnu i praktičnu validaciju kvalificiranog elektroničkog potpisa.

- = -

(66) Bitno je osigurati pravni okvir kako bi se olakšalo prekogranično priznavanje među postojećim nacionalnim pravnim sustavima u odnosu na usluge elektroničke preporučene dostave.
Tim bi se okvirom mogle otvoriti i nove tržišne mogućnosti za Unijine pružatelje usluga povjerenja jer će oni na paneuropskoj razini moći ponuditi nove usluge elektroničke preporučene dostave.

- = -

(67) Usluge autentikacije mrežnih stranica osiguravaju sredstva pomoću kojih posjetitelj mrežnih stranica može biti siguran da iza tih mrežnih stranica stoji vjerodostojan i zakoniti subjekt.
Te usluge doprinose izgradnji povjerenja i pouzdanja u vođenje poslovanja online jer će korisnici imati pouzdanja u mrežne stranice koje su autenticirane.
Pružanje i korištenje uslugama autentikacije mrežnih stranica u cijelosti su dobrovoljni.
Međutim, kako bi autentikacija mrežnih stranica postala sredstvo jačanja povjerenja, pružanja boljeg iskustva za korisnika i unapređivanja rasta na unutarnjem tržištu, ovom bi Uredbom trebalo utvrditi minimalne obveze u odnosu na sigurnost i odgovornost pružateljâ usluga i usluga koje oni pružaju.
U tu svrhu, u obzir su uzeti rezultati postojećih industrijskih inicijativa, na primjer, Tijela za certificiranje/Forum preglednikâ – Forum CA/B.
Osim toga, ova Uredba ne bi trebala ograničavati korištenje drugim sredstvima ili metodama autentikacije mrežnih stranica koji nisu obuhvaćeni ovom Uredbom niti bi trebala sprečavati pružatelje usluga autentikacije mrežnih stranica iz trećih zemalja da svoje usluge pružaju korisnicima u Uniji.
Međutim, usluge autentikacije mrežnih stranica pružatelja usluga iz treće zemlje trebale bi se priznavati kao kvalificirane, u skladu s ovom Uredbom, samo ako je sklopljen međunarodni sporazum između Unije i zemlje u kojoj taj pružatelj usluge ima poslovni nastan.

- = -

(74) Radi osiguravanja pravne sigurnosti za tržišne operatore koji već koriste kvalificirane certifikate izdane fizičkim osobama u skladu s Direktivom 1999/93/EZ, potrebno je osigurati dovoljno dugo prijelazno razdoblje.
Slično tome, trebalo bi uspostaviti prijelazne mjere za sredstva za sigurnu izradu potpisa, čija je sukladnost utvrđena u skladu s Direktivom 1999/93/EZ, kao i za pružatelje usluga certificiranja koji su izdali kvalificirane certifikate prije 1.
srpnja 2016.
Naposljetku, također je potrebno Komisiji osigurati sredstva za donošenje provedbenih akata i delegiranih akata prije tog datuma.

- = -

keyboard_tab EIDAS 2014/0910 HR

EIDAS 2014/0910 HR