EIDAS 2014/0910 HR

1.	„elektronička identifikacija” znači postupak korištenja osobnim identifikacijskim podacima u elektroničkom obliku koji na nedvojben način predstavljaju bilo fizičku ili pravnu osobu ili fizičku osobu koja predstavlja pravnu osobu;

2.	„sredstvo elektroničke identifikacije” znači materijalna i/ili nematerijalna jedinica koja sadrži osobne identifikacijske podatke i koja se koristi za autentikaciju na online uslugu;

3.	„osobni identifikacijski podaci” znači skup podataka koji omogućavaju da se utvrdi identitet fizičke ili pravne osobe ili fizičke osobe koja predstavlja pravnu osobu;

4.	„sustav elektroničke identifikacije” znači sustav za elektroničku identifikaciju u okviru kojega se izdaju sredstva elektroničke identifikacije fizičkim ili pravnim osobama ili fizičkim osobama koje predstavljaju pravne osobe;

5.	„autentikacija” znači elektronički postupak koji omogućava da elektronička identifikacija fizičke ili pravne osobe ili izvornost i cjelovitost podataka u elektroničkom obliku budu potvrđeni;

6.	„pouzdajuća strana” znači fizička ili pravna osoba koja se oslanja na elektroničku identifikaciju ili uslugu povjerenja;

„tijelo javnog sektora” znači državno, regionalno ili lokalno tijelo, javnopravno tijelo ili udruženje koje se sastoji od jednog ili nekoliko takvih tijela ili jednog ili nekoliko takvih javnopravnih tijela ili privatni subjekt koji je ovlastilo barem jedno od tih vlasti, tijela ili udruženja za pružanje javnih usluga kada djeluju u okviru takve ovlasti;

8.	„javnopravno tijelo” znači tijelo definirano u članku 2. stavku 1. točki 4. Direktive 2014/24/EU Europskog parlamenta i Vijeća (15);

9.	„potpisnik” znači fizička osoba koja izrađuje elektronički potpis;

10.	„elektronički potpis” znači podaci u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koje potpisnik koristi za potpisivanje;

11.	„napredan elektronički potpis” znači elektronički potpis koji ispunjava zahtjeve navedene u članku 26.;

12.	„kvalificirani elektronički potpis” znači napredan elektronički potpis koji je izrađen pomoću kvalificiranih sredstava za izradu elektroničkog potpisa i temelji se na kvalificiranom certifikatu za elektroničke potpise;

13.	„podaci za izradu elektroničkog potpisa” znači jedinstveni podaci koje potpisnik koristi za izradu elektroničkog potpisa;

14.	„certifikat za elektronički potpis” znači elektronička potvrda koja povezuje podatke za validaciju elektroničkog potpisa s fizičkom osobom i potvrđuje barem ime ili pseudonim te osobe;

15.	„kvalificirani certifikat za elektronički potpis” znači certifikat za elektroničke potpise koji izdaje kvalificirani pružatelj usluga povjerenja i koji ispunjava zahtjeve utvrđene u Prilogu I.;

16.

„usluga povjerenja” znači elektronička usluga koja se u pravilu pruža uz naknadu i koja se sastoji od:

(a)	izrade, verifikacije i validacije elektroničkih potpisa, elektroničkih pečata ili elektroničkih vremenskih žigova, usluge elektroničke preporučene dostave i certifikata koji se odnose na te usluge; ili

(b)	izrade, verifikacije i validacije certifikata za autentikaciju mrežnih stranica; ili

(c)	čuvanja elektroničkih potpisa, pečata ili certifikata koji se odnose na te usluge;

17.	„kvalificirana usluga povjerenja” znači usluga povjerenja koja ispunjava odgovarajuće zahtjeve utvrđene u ovoj Uredbi;

18.	„tijelo za ocjenjivanje sukladnosti” znači tijelo u smislu članka 2. točke 13. Uredbe (EZ) br. 765/2008 koje je u skladu s tom Uredbom ovlašteno kao nadležno za provedbu ocjenjivanja sukladnosti kvalificiranog pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje on pruža;

19.	„pružatelj usluga povjerenja” znači fizička ili pravna osoba koja pruža jednu ili više usluga povjerenja bilo kao kvalificirani ili nekvalificirani pružatelj usluga povjerenja;

20.	„kvalificirani pružatelj usluga povjerenja” znači pružatelj usluga povjerenja koji pruža jednu ili više kvalificiranih usluga povjerenja i kojemu je nadzorno tijelo odobrilo kvalificirani status;

21.	„proizvod” znači hardver ili softver ili odgovarajuće komponente hardvera ili softvera koji su namijenjeni za korištenje u svrhu pružanja usluga povjerenja;

22.	„sredstvo za izradu elektroničkog potpisa” znači konfigurirani softver ili hardver koji se koristi za izradu elektroničkog potpisa;

23.	„kvalificirano sredstvo za izradu elektroničkog potpisa” znači sredstvo za izradu elektroničkog potpisa koje ispunjava zahtjeve utvrđene u Prilogu II.;

24.	„autor pečata” znači pravna osoba koja izrađuje elektronički pečat;

25.	„elektronički pečat” znači podaci u elektroničkom obliku koji su pridruženi drugim podacima u elektroničkom obliku ili su logički povezani s njima radi osiguravanja izvornosti i cjelovitosti tih podataka;

26.	„napredan elektronički pečat” znači elektronički pečat koji ispunjava zahtjeve navedene u članku 36.;

27.	„kvalificirani elektronički pečat” znači napredan elektronički pečat koji je izrađen pomoću kvalificiranog sredstva za izradu elektroničkog pečata i koji se temelji na kvalificiranom certifikatu za elektronički pečat;

28.	„podaci za izradu elektroničkog pečata” znači jedinstveni podaci koje autor elektroničkog pečata koristi za izradu elektroničkog pečata;

29.	„certifikat za elektronički pečat” znači elektronička potvrda koja povezuje podatke za validaciju elektroničkog pečata s pravnom osobom i potvrđuje naziv te osobe;

30.	„kvalificirani certifikat za elektronički pečat” znači certifikat za elektronički pečat koji izdaje kvalificirani pružatelj usluge povjerenja i koji ispunjava zahtjeve određene u Prilogu III.;

31.	„sredstvo za izradu elektroničkog pečata” znači konfigurirani softver ili hardver koji se koristi za izradu elektroničkog pečata;

32.	„sredstvo za izradu kvalificiranog elektroničkog pečata” znači sredstvo za izradu elektroničkog pečata koje mutatis mutandis ispunjava zahtjeve određene u Prilogu II.;

33.	„elektronički vremenski žig” znači podaci u elektroničkom obliku koji povezuju druge podatke u elektroničkom obliku s određenim vremenom i na taj način dokazuju da su ti podaci postojali u to vrijeme;

34.	„kvalificirani elektronički vremenski žig” znači elektronički vremenski žig koji ispunjava zahtjeve navedene u članku 42.;

35.	„elektronički dokument” znači svaki sadržaj koji je pohranjen u elektroničkom obliku, a posebno kao tekstualni ili zvučni, vizualni ili audiovizualni zapis;

36.

„usluga elektroničke preporučene dostave” znači usluga koja omogućava prijenos podataka među trećim stranama pomoću elektroničkih sredstava i pruža dokaz o postupanju s prenesenim podacima, uključujući dokaz o slanju i primanju podataka, čime se preneseni podaci štite od rizika gubitka, krađe, oštećenja ili bilo kakvih neovlaštenih preinaka;

37.	„kvalificirana usluga elektroničke preporučene dostave” znači usluga elektroničke preporučene dostave koja ispunjava zahtjeve utvrđene u članku 44.;

38.	„certifikat za autentikaciju mrežnih stranica” znači potvrda pomoću koje je moguće izvršiti autentikaciju mrežnih stranica te kojom se mrežne stranice povezuju s fizičkom ili pravnom osobom kojoj je izdan certifikat;

39.	„kvalificirani certifikat za autentikaciju mrežnih stranica” znači certifikat za autentikaciju mrežnih stranica koji izdaje kvalificirani pružatelj usluga povjerenja i koji ispunjava zahtjeve utvrđene u Prilogu IV.;

40.	„podaci za validaciju” znači podaci koji se koriste za validaciju elektroničkog potpisa ili elektroničkog pečata;

41.	„validacija” znači postupak verifikacije i potvrđivanja da su elektronički potpis ili pečat valjani.

Članak 6.

Uzajamno priznavanje

1. Kada se prema nacionalnom pravu ili nacionalnom administrativnom praksom zahtijeva elektronička identifikacija pomoću sredstva elektroničke identifikacije i autentikacije radi pristupa usluzi koju tijelo javnog sektora pruža online u jednoj državi članici, sredstvo elektroničke identifikacije izdano u drugoj državi članici priznaje se u prvoj državi članici za potrebe prekogranične autentikacije na tu uslugu online, pod uvjetom da su ispunjeni sljedeći uvjeti:

(a)	sredstvo elektroničke identifikacije izdano je u okviru sustava elektroničke identifikacije koji je uvršten na popis koji je objavila Komisija na temelju članka 9.;

(b)

razina sigurnosti tih sredstava elektroničke identifikacije odgovara razini sigurnosti koja je jednaka ili viša od razine sigurnosti koju zahtijeva nadležno tijelo javnog sektora radi pristupa toj usluzi online u prvoj državi članici ili viša od te razine, pod uvjetom da razina sigurnosti tih sredstava elektroničke identifikacije odgovara značajnoj ili visokoj razini sigurnosti;

(c)	odgovarajuće tijelo javnog sektora primjenjuje značajnu ili visoku razinu sigurnosti u odnosu na pristupanje toj usluzi online.

Takvo priznavanje mora uslijediti najkasnije 12 mjeseci nakon što Komisija objavi popis iz prvog podstavka točke (a).

2. Sredstvo elektroničke identifikacije koje se izdaje u okviru sustava elektroničke identifikacije uvrštenog na popis koji je objavila Komisija na temelju članka 9. i koji odgovara niskoj razini sigurnosti, tijela javnog sektora mogu priznati za potrebe prekogranične autentikacije na uslugu koju ta tijela pružaju online.

Članak 7.

Prihvatljivost sustava elektroničke identifikacije za prijavu

Sustav elektroničke identifikacije prihvatljiv je za prijavu na temelju članka 9. stavka 1. pod uvjetom da budu ispunjeni svi sljedeći uvjeti:

(a)

sredstva elektroničke identifikacije u okviru sustava elektroničke identifikacije izdana su:

i.	od strane države članice koja provodi prijavljivanje;

ii.	u okviru mandata države članice koja provodi prijavljivanje; ili

iii.	neovisno o državi članici koja provodi prijavljivanje, a priznata su od strane te države članice;

(b)	sredstva elektroničke identifikacije u okviru sustava elektroničke identifikacije mogu se koristiti za pristup barem jednoj usluzi koju pruža tijelo javnog sektora i koja zahtijeva elektroničku identifikaciju u državi članici koja provodi prijavljivanje;

(c)	sustav elektroničke identifikacije i sredstva elektroničke identifikacije izdana u okviru tog sustava ispunjavaju zahtjeve barem jedne od razina sigurnosti određenih u provedbenom aktu iz članka 8. stavka 3.;

(d)

država članica koja provodi prijavljivanje osigurava da se osobni identifikacijski podaci koji nedvojbeno predstavljaju osobu o kojoj je riječ, u skladu s tehničkim specifikacijama, normama i postupcima za odgovarajuću razinu sigurnosti određenu u provedbenom aktu iz članka 8. stavka 3., pripisuju fizičkoj ili pravnoj osobi iz članka 3. točke 1. u vrijeme kada su sredstva elektroničke identifikacije izdana u okviru tog sustava;

(e)

strana koja izdaje sredstva elektroničke identifikacije u okviru tog sustava osigurava da se sredstva elektroničke identifikacije pripisuju osobi iz točke (d) ovog članka u skladu s tehničkim specifikacijama, normama i postupcima za odgovarajuću razinu sigurnosti određenu u provedbenom aktu iz članka 8. stavka 3.;

(f)

država članica koja provodi prijavljivanje osigurava dostupnost autentikacije online, tako da svaka pouzdajuća strana s poslovnim nastanom na državnom području druge države članice može potvrditi osobne identifikacijske podatke zaprimljene u elektroničkom obliku.

Za pouzdajuće strane koje nisu tijela javnog sektora, država članica koja provodi prijavljivanje može odrediti uvjete pristupa toj autentikaciji. Prekogranična autentikacija pruža se bez naknade kada se provodi online u vezi s uslugom koju pruža tijelo javnog sektora.

Države članice ne nameću bilo kakve posebne nerazmjerne tehničke zahtjeve pouzdajućim stranama koje namjeravaju provesti takvu autentikaciju ako takvi zahtjevi sprečavaju ili znatno ograničavaju interoperabilnost prijavljenih sustava elektroničke identifikacije;

(g)

najmanje šest mjeseci prije prijave na temelju članka 9. stavka 1., za potrebe obveze prema članku 12. stavku 5., država članica koja provodi prijavljivanje drugoj državi članici dostavlja opis tog sustava u skladu s postupovnim aranžmanima koji su utvrđeni provedbenim aktima iz članka 12. stavka 7.;

(h)	sustav elektroničke identifikacije ispunjava zahtjeve određene u provedbenom aktu iz članka 12. stavka 8.

Članak 9.

Prijavljivanje

1. Država članica koja provodi prijavljivanje Komisiji prijavljuje sljedeće informacije i, bez odgađanja, sve njihove naknadne izmjene:

(a)	opis sustava elektroničke identifikacije, uključujući njegove razine sigurnosti i izdavatelja ili izdavatelje sredstava elektroničke identifikacije u okviru sustava;

(b)

primjenjivi sustav nadzora i informacije o pravilima o odgovornosti s obzirom na sljedeće:

i.	stranu koja izdaje sredstvo elektroničke identifikacije; i

ii.	stranu koja provodi postupak autentikacije;

(c)	tijelo ili tijela odgovorno (odgovorna) za sustav elektroničke identifikacije;

(d)	informacije o subjektu ili subjektima koji upravljaju registracijom jedinstvenih osobnih identifikacijskih podataka;

(e)	opis načina ispunjavanja zahtjeva određenih u provedbenim aktima iz članka 12. stavka 8.;

(f)	opis autentikacije iz članka 7. točke (f);

(g)	dogovori za suspenziju ili opoziv bilo prijavljenog sustava elektroničke identifikacije ili autentikacije ili ugroženih dijelova o kojima je riječ.

2. Godinu dana od dana primjene provedbenih akata iz članka 8. stavka 3. i članka 12. stavka 8., Komisija u Službenom listu Europske unije objavljuje popis sustavâ elektroničke identifikacije koji su prijavljeni na temelju stavka 1. ovog članka i osnovne informacije o njima.

3. Ako Komisija primi prijavu nakon isteka razdoblja iz stavka 2., ona u Službenom listu Europske unije objavljuje izmjene popisa iz stavka 2., u roku od dva mjeseca od datuma primitka te prijave.

4. Država članica može Komisiji podnijeti zahtjev za uklanjanje sustava elektroničke identifikacije koji je prijavila ta država članica s popisa iz stavka 2. Komisija objavljuje odgovarajuće izmjene popisa u Službenom listu Europske unije u roku od mjeseca dana od datuma primitka zahtjeva države članice.

5. Komisija može provedbenim aktima utvrditi okolnosti, oblike i postupke prijava prema stavku 1. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 17.

Nadzorno tijelo

1. Države članice određuju nadzorno tijelo s poslovnim nastanom na njihovom državnom području ili, prema uzajamnom dogovoru s drugom državom članicom, nadzorno tijelo s poslovnim nastanom u toj drugoj državi članici. To tijelo je odgovorno za zadaće nadzora u državi članici koja ga određuje.

Nadzornim se tijelima dodjeljuju potrebne ovlasti i odgovarajuća sredstva za obavljanje njihovih zadaća.

2. Države članice obavješćuju Komisiju i druge države članice o nazivima i adresama svojih nadzornih tijela koja su odredile.

3. Uloga nadzornog tijela jest sljedeća:

(a)

da nadzire kvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ga određuje kako bi se osiguralo, putem prethodnih (ex ante) i naknadnih (ex post) aktivnosti nadzora, da ti kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi;

(b)

da, prema potrebi, poduzima mjere u odnosu na nekvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ga određuje, putem naknadnih (ex post) aktivnosti nadzora, kada primi obavijest da ti nekvalificirani pružatelji usluga povjerenja ili usluge povjerenja koje oni pružaju navodno ne ispunjavaju zahtjeve utvrđene u ovoj Uredbi.

4. Za potrebe stavka 3. i podložno u njemu predviđenim ograničenjima, zadaće nadzornog tijela posebno uključuju:

(a)	suradnju s drugim nadzornim tijelima i pružanje pomoći tim tijelima u skladu s člankom 18.;

(b)	analiziranje izvješćâ o ocjenjivanju sukladnosti iz članka 20. stavka 1. i članka 21. stavka 1.;

(c)	obavješćivanje drugih nadzornih tijela i javnosti o povredama sigurnosti ili gubitku cjelovitosti u skladu s člankom 19. stavkom 2.;

(d)	izvješćivanje Komisije o svojim glavnim aktivnostima u skladu sa stavkom 6. ovog članka;

(e)	obavljanje revizija ili zahtijevanje od tijela za ocjenjivanje sukladnosti da provede ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja u skladu s člankom 20. stavkom 2.;

(f)	suradnju s tijelima za zaštitu podataka, a posebice obavješćujući ih, bez odgađanja, o rezultatima revizija kvalificiranih pružatelja usluga povjerenja, u slučaju kada se čini da je došlo do povrede pravila o zaštiti osobnih podataka;

(g)	dodjeljivanje kvalificiranog statusa pružateljima usluga povjerenja i uslugama koje oni pružaju i ukidanje tog statusa u skladu s člancima 20. i 21.;

(h)	obavješćivanje tijela odgovornog za nacionalni pouzdani popis iz članka 22. stavka 3. o odlukama o dodjeljivanju ili ukidanju kvalificiranog statusa, osim ako je to tijelo ujedno i nadzorno tijelo;

(i)	provjeravanje postojanja i pravilne primjene odredaba o planovima prekida u slučajevima kada kvalificirani pružatelj usluga povjerenja prekine svoje aktivnosti, uključujući način na koji se održava dostupnost informacija u skladu s člankom 24. stavkom 2. točkom (h);

(j)	zahtijevanje od pružatelja usluga povjerenja da otklone svako nepoštovanje zahtjeva utvrđenih u ovoj Uredbi.

5. Države članice mogu od nadzornog tijela zahtijevati da uspostavi, održava i ažurira infrastrukturu povjerenja u skladu s uvjetima prema nacionalnom pravu.

6. Svako nadzorno tijelo Komisiji do 31. ožujka svake godine dostavlja izvješće o svojim glavnim aktivnostima u prethodnoj kalendarskoj godini, zajedno sa sažetkom obavijesti o povredama koje je primilo od pružatelja usluga povjerenja u skladu s člankom 19. stavkom 2.

7. Komisija stavlja na raspolaganje državama članicama godišnje izvješće iz stavka 6.

8. Komisija može provedbenim aktima utvrditi oblike i postupke izvješća iz stavka 6. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 18.

Uzajamna pomoć

1. Nadzorna tijela surađuju s ciljem razmjenjivanja dobre prakse.

Nadzorno tijelo, po primitku obrazloženog zahtjeva drugog nadzornog tijela, tom tijelu pruža pomoć kako bi se aktivnosti nadzornih tijela mogle provoditi na dosljedan način. Uzajamna pomoć može posebno obuhvaćati zahtjeve za informacijama i nadzorne mjere, kao što su zahtjevi za provođenje kontrola koje se odnose na izvješća o ocjenjivanju sukladnosti, kako je navedeno u člancima 20. i 21.

2. Nadzorno tijelo kojemu je upućen zahtjev za pomoć može odbiti taj zahtjev zbog bilo kojeg od sljedećih razloga:

(a)	nadzorno tijelo nije nadležno za pružanje tražene pomoći;

(b)	tražena pomoć nije razmjerna aktivnostima nadzora nadzornog tijela koje se provode u skladu s člankom 17.;

(c)	pružanje tražene pomoći ne bi bilo u skladu s ovom Uredbom.

3. Prema potrebi, države članice mogu ovlastiti svoja nadzorna tijela da provode zajedničke istrage u kojima sudjeluje osoblje nadzornih tijela iz drugih država članica. Dogovore i postupke za takva zajednička djelovanja dogovaraju i uspostavljaju dotične države članice u skladu sa svojim nacionalnim pravima.

Članak 19.

Sigurnosni zahtjevi primjenjivi na pružatelje usluga povjerenja

1. Kvalificirani i nekvalificirani pružatelji usluga povjerenja poduzimaju odgovarajuće tehničke i organizacijske mjere za upravljanje rizicima koji prijete sigurnosti usluga povjerenja koje oni pružaju. Uzimajući u obzir najnovija tehnološka rješenja, tim se mjerama osigurava da razina sigurnosti odgovara stupnju rizika. Posebno se poduzimaju mjere za sprečavanje i smanjivanje utjecaja sigurnosnih incidenata te za obavješćivanje dionika o neželjenim učincima bilo kakvih incidenata te vrste.

2. Kvalificirani i nekvalificirani pružatelji usluga povjerenja obavješćuju, bez odgađanja, ali u svakom slučaju u roku od 24 sata od saznanja za iste, nadzorno tijelo i, prema potrebi, druga odgovarajuća tijela, kao što je nadležno nacionalno tijelo za sigurnost informacija ili tijelo za zaštitu podataka, o svakoj povredi sigurnosti ili gubitku cjelovitosti koji imaju značajan utjecaj na pruženu uslugu povjerenja ili u njoj sadržane osobne podatke.

Ako je izgledno da bi povreda sigurnosti ili gubitak cjelovitosti mogli nepovoljno utjecati na fizičku ili pravnu osobu kojoj su pružene usluge povjerenja, pružatelj usluga povjerenja o povredi ili gubitku cjelovitosti bez odgađanja obavješćuje i tu fizičku ili pravnu osobu.

Prema potrebi, posebno ako se povreda sigurnosti ili gubitak cjelovitosti odnosi na dvije države članice ili više njih, prijavljeno nadzorno tijelo obavješćuje nadzorna tijela u drugim državama članicama na koje se to odnosi i ENISA-u.

Prijavljeno nadzorno tijelo obavješćuje javnost ili zahtijeva od pružatelja usluga povjerenja da to učini ako utvrdi da je otkrivanje povrede sigurnosti ili gubitka cjelovitosti u javnom interesu.

3. Nadzorno tijelo jednom godišnje dostavlja ENISA-i sažetak obavijesti o povredi sigurnosti i gubitku cjelovitosti koje je primilo od pružateljâ usluga povjerenja.

4. Komisija može provedbenim aktima:

(a)	podrobnije odrediti mjere iz stavka 1.; i

(b)	odrediti oblike i postupke, uključujući rokove, primjenjive za potrebe stavka 2.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

ODJELJAK 3.

Kvalificirane usluge povjerenja

Članak 20.

Nadzor kvalificiranih pružatelja usluga povjerenja

1. tijelo za ocjenjivanje sukladnosti obavlja reviziju pružatelja kvalificiranih usluga povjerenja o njihovu trošku i najmanje svaka 24 mjeseca. Svrha revizija sastoji se u potvrđivanju da kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi. Kvalificirani pružatelji usluga povjerenja nadzornom tijelu podnose izvješće o ocjenjivanju sukladnosti u roku od tri radna dana od njegova primitka.

2. Ne dovodeći u pitanje stavak 1., nadzorno tijelo može u bilo kojem trenutku obaviti reviziju ili zahtijevati od tijela za ocjenjivanje sukladnosti da obavi ocjenjivanje sukladnosti pružatelja kvalificiranih usluga povjerenja, o trošku tih pružatelja usluga povjerenja, kako bi potvrdilo da pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi. U slučaju kada se čini da je došlo do povrede pravila o zaštiti osobnih podataka, nadzorno tijelo obavješćuje tijela za zaštitu podataka o rezultatima svojih revizija.

3. U slučaju kada nadzorno tijelo zahtijeva od pružatelja kvalificiranih usluga povjerenja da otkloni bilo kakvo nepoštovanje zahtjeva prema ovoj Uredbi i kada pružatelj usluge ne postupi u skladu s tim zahtjevom, te ako je to primjenjivo i u roku koji odredi nadzorno tijelo, nadzorno tijelo može, posebno uzimajući u obzir opseg, trajanje i posljedice tog nepoštovanja, ukinuti kvalificirani status tog pružatelja usluge ili obuhvaćene usluge koju on pruža te može za potrebe ažuriranja pouzdanih popisa iz članka 22. stavka 1. obavijestiti tijelo iz članka 22. stavka 3. Nadzorno tijelo obavješćuje kvalificiranog pružatelja usluga povjerenja o ukidanju njegova kvalificiranog statusa ili kvalificiranog statusa dotične usluge.

4. Komisija može provedbenim aktima utvrditi referentne brojeve sljedećih normi:

(a)	akreditacije tijela za ocjenu sukladnosti i za izvješće o ocjenjivanju sukladnosti iz stavka 1.;

(b)	pravila revizije prema kojima će tijela za ocjenjivanje sukladnosti provoditi ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja kako je navedeno u stavku 1.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 21.

Početak pružanja kvalificirane usluge povjerenja

1. Ako pružatelji usluga povjerenja bez kvalificiranog statusa namjeravaju započeti s pružanjem kvalificiranih usluga povjerenja, oni nadzornom tijelu podnose prijavu o svojoj namjeri zajedno s izvješćem o ocjenjivanju sukladnosti koje je izdalo tijelo za ocjenjivanje sukladnosti.

2. Nadzorno tijelo provjerava je li pružatelj usluga povjerenja sukladan odnosno jesu li usluge povjerenja koje on pruža sukladne sa zahtjevima utvrđenima u ovoj Uredbi i posebno sa zahtjevima za kvalificirane pružatelje usluga povjerenja i za kvalificirane usluge povjerenja koje oni pružaju.

Ako nadzorno tijelo zaključi da su pružatelj usluga povjerenja i usluge povjerenja koje on pruža sukladni zahtjevima iz prvog podstavka, nadzorno tijelo odobrava kvalificirani status pružatelju usluga povjerenja i uslugama povjerenja koje on pruža te obavješćuje tijelo iz članka 22. stavka 3. u svrhu ažuriranja pouzdanih popisa iz članka 22. stavka 1., najkasnije tri mjeseca nakon prijave u skladu sa stavkom 1. ovog članka.

Ako provjera nije dovršena u roku od tri mjeseca od obavješćivanja, nadzorno tijelo o tome obavješćuje pružatelja usluga povjerenja, navodeći razloge za kašnjenje i rok do kojeg provjera mora biti dovršena.

3. Pružatelji kvalificiranih usluga povjerenja mogu početi pružati kvalificiranu uslugu povjerenja nakon što kvalificirani status bude naznačen na pouzdanim popisima iz članka 22. stavka 1.

4. Komisija može provedbenim aktima utvrditi oblike i postupke za potrebe stavaka 1. i 2. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 24.

Zahtjevi u vezi s kvalificiranim pružateljima usluga povjerenja

1. Pri izdavanju kvalificiranog certifikata za uslugu povjerenja kvalificirani pružatelj usluga povjerenja provjerava, na odgovarajući način i u skladu s nacionalnim pravom, identitet i, ako je to primjenjivo, posebna obilježja fizičke ili pravne osobe kojoj se izdaje kvalificirani certifikat.

Informacije iz prvog podstavka provjerava kvalificirani pružatelj usluga povjerenja bilo izravno ili oslanjajući se na treću osobu u skladu s nacionalnim pravom:

(a)	fizičkom prisutnošću fizičke osobe ili ovlaštenog predstavnika pravne osobe; ili

(b)

na daljinu, pomoću sredstava elektroničke identifikacije, za koja je prije izdavanja kvalificiranog certifikata osigurana fizička prisutnost fizičke osobe ili ovlaštenog predstavnika pravne osobe i koja ispunjavaju zahtjeve određene u članku 8. u pogledu sigurnosnih razina „značajna” ili „visoka”; ili

(c)	pomoću certifikata kvalificiranog elektroničkog potpisa ili kvalificiranog elektroničkog pečata izdanog u skladu s točkom (a) ili (b); ili

(d)	pomoću drugih metoda identifikacije priznatih na nacionalnoj razini koja po pitanju pouzdanosti pružaju sigurnost jednaku fizičkoj prisutnosti. Jednaku sigurnost potvrđuje tijelo za ocjenjivanje sukladnosti.

2. Kvalificirani pružatelj usluga povjerenja:

(a)	obavješćuje nadzorno tijelo o svim promjenama u vezi s pružanjem svojih kvalificiranih usluga povjerenja te o namjeri prestanka obavljanja te djelatnosti;

(b)

zapošljava osoblje i, ako je to primjenjivo, podizvođače koji posjeduju potrebno stručno znanje, pouzdanost, iskustvo i kvalifikacije i koji su prošli odgovarajuće osposobljavanje u vezi sa sigurnošću i propisima o zaštiti osobnih podataka te primjenjuju upravne i upravljačke postupke u skladu s europskim ili međunarodnim normama;

(c)	u pogledu rizika od odgovornosti za štetu u skladu s člankom 13., raspolaže dostatnim financijskim sredstvima i/ili je sklopio odgovarajuće osiguranje od odgovornosti, u skladu s nacionalnim pravom;

(d)	prije stupanja u ugovorni odnos, obavješćuje, na jasan i sveobuhvatan način, svaku osobu koja želi koristiti kvalificiranu uslugu povjerenja o točnim uvjetima korištenja tom uslugom, uključujući bilo kakva ograničenja korištenja;

(e)	koristi vjerodostojne sustave i proizvode koji su zaštićeni od preinaka te osiguravaju tehničku sigurnost i pouzdanost postupaka koje ti sustavi i proizvodi podržavaju;

(f)

koristi vjerodostojne sustave za pohranu podataka koji su mu dostavljeni, u obliku koji se može provjeriti, kako bi:

i.	ti podaci bili javno dostupni za dohvat samo uz pristanak osobe na koju se ti podaci odnose;

ii.	samo ovlaštene osobe mogle obavljati nove unose u pohranjene podatke i mijenjati ih;

iii.	se mogla provjeriti autentičnost podataka;

(g)	poduzima odgovarajuće mjere protiv krivotvorenja i krađe podataka;

(h)

bilježi i čini dostupnima tijekom odgovarajućeg razdoblja, uključujući razdoblje nakon prestanka obavljanja djelatnosti kvalificiranog pružatelja usluga povjerenja, sve bitne informacije u vezi s podacima koje izdaje i prima kvalificirani pružatelj usluga povjerenja, a posebno za potrebe predlaganja dokaza u sudskim postupcima i u svrhu osiguravanja kontinuiteta usluge. Takvo se bilježenje može obavljati elektronički;

(i)	ima ažuriran plan prekida pružanja usluge radi osiguravanja njezina kontinuiteta u skladu s odredbama koje je potvrdilo nadzorno tijelo prema članku 17. stavku 4. točki (i);

(j)	osigurava zakonitu obradu osobnih podataka u skladu s Direktivom 95/46/EZ;

(k)	ako je riječ o kvalificiranim pružateljima usluga povjerenja koji izdaju kvalificirane certifikate, uspostavlja i ažurira bazu podataka certifikata.

3. Ako kvalificirani pružatelj usluga povjerenja koji izdaje kvalificirane certifikate odluči opozvati certifikat, on registrira opoziv certifikata u svojoj bazi podataka certifikata i pravodobno objavljuje status opoziva certifikata, a u svakom slučaju unutar 24 sata nakon primitka zahtjeva. Opoziv stupa na snagu odmah nakon njegove objave.

4. Imajući u vidu stavak 3., kvalificirani pružatelji usluga povjerenja koji izdaju kvalificirane certifikate pružaju bilo kojoj pouzdajućoj strani informacije o statusu valjanosti ili opoziva kvalificiranih certifikata koje su izdali. Te informacije moraju biti dostupne barem za pojedinačne certifikate, u svakom trenutku i nakon isteka razdoblja valjanosti certifikata, na automatiziran način koji je pouzdan, besplatan i učinkovit.

5. Komisija može provedbenim aktima utvrditi referentne brojeve normi za vjerodostojne sustave i proizvode koji ispunjavaju zahtjeve u skladu sa stavkom 2. točkama (e) i (f) ovog članka. Ako vjerodostojni sustavi i proizvodi udovoljavaju tim normama, smatra se da su ispunjeni zahtjevi iz ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

ODJELJAK 4.

Elektronički potpisi

Članak 27.

Elektronički potpisi u javnim uslugama

1. Ako država članica zahtijeva napredan elektronički potpis za korištenje online uslugom koju nudi tijelo javnog sektora ili uslugom koja se nudi u ime tijela javnog sektora, ta država članica priznaje napredne elektroničke potpise, napredne elektroničke potpise koji se temelje na kvalificiranom certifikatu za elektroničke potpise i kvalificirane elektroničke potpise barem u formatima ili korištenjem metodama koji su određeni u provedbenim aktima iz stavka 5.

2. Ako država članica zahtijeva napredan elektronički potpis koji se temelji na kvalificiranom certifikatu za korištenje online uslugom koju nudi tijelo javnog sektora ili uslugom koja se nudi u ime tijela javnog sektora, ta država članica priznaje napredne elektroničke potpise koji se temelje na kvalificiranom certifikatu i kvalificirane elektroničke potpise barem u formatima ili korištenjem metodama koji su određeni u provedbenim aktima iz stavka 5.

3. Za prekogranično korištenje online uslugom koju nudi tijelo javnog sektora države članice ne zahtijevaju elektronički potpis više sigurnosne razine od kvalificiranog elektroničkog potpisa.

4. Komisija može provedbenim aktima utvrditi referentne brojeve normi za napredne elektroničke potpise. Ako napredni elektronički potpis udovoljava tim normama, smatra se da je postignuta sukladnost sa zahtjevima za napredne elektroničke potpise iz stavaka 1. i 2. ovog članka te članka 26. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

5. Komisija, uzimajući u obzir postojeću praksu, norme i pravne akte Unije, putem provedbenih akata do 18. rujna 2015. utvrđuje referentne formate naprednih elektroničkih potpisa ili referentne metode ako se koriste alternativni formati. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 30.

Certificiranje kvalificiranih sredstava za izradu elektroničkih potpisa

1. Sukladnost kvalificiranih sredstava za izradu elektroničkih potpisa sa zahtjevima utvrđenima u Prilogu II. potvrđuju odgovarajuća javna ili privatna tijela koja određuju države članice.

2. Države članice obavješćuju Komisiju o nazivima i adresama javnih ili privatnih tijela iz stavka 1. Komisija stavlja te informacije na raspolaganje državama članicama.

3. Certificiranje iz stavka 1. temelji se na jednom od sljedećeg:

(a)	postupku sigurnosne evaluacije u skladu s jednom od normi za ocjenu sigurnosti proizvoda informacijske tehnologije uvrštenih na popis koji se utvrđuje u skladu s drugim podstavkom; ili

(b)

postupku različitom od postupka iz prethodne točke, pod uvjetom da on koristi usporedive sigurnosne razine te pod uvjetom da javno ili privatno tijelo iz stavka 1. obavijesti Komisiju o tom postupku. Taj se postupak može koristiti samo u slučaju nepostojanja normi navedenih u točki (a) ili kada je postupak sigurnosne evaluacije iz točke (a) u tijeku.

Komisija provedbenim aktima utvrđuje popis normi za ocjenu sigurnosti proizvoda informacijske tehnologije iz točke (a). Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

4. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 47., u vezi s utvrđivanjem posebnih kriterija koje moraju ispuniti tijela iz stavka 1. ovog članka koja su određena.

Članak 37.

Elektronički pečati u javnim uslugama

1. Ako država članica zahtijeva napredan elektronički pečat za korištenje online uslugom koju nudi tijelo javnog sektora ili usluge koja se nudi u ime tijela javnog sektora, ta država članica priznaje napredne elektroničke pečate, napredne elektroničke pečate koji se temelje na kvalificiranom certifikatu za elektroničke pečate i kvalificirane elektroničke pečate barem u formatima ili korištenjem metodama koji su određeni u provedbenim aktima iz stavka 5.

2. Ako država članica zahtijeva napredan elektronički pečat koji se temelji na kvalificiranom certifikatu za korištenje online uslugom koju nudi tijelo javnog sektora ili usluge koja se nudi u ime tijela javnog sektora, ta država članica priznaje napredne elektroničke pečate koji se temelje na kvalificiranom certifikatu i kvalificiranom elektroničkom potpisu barem u formatima ili korištenjem metodama koji su određeni u provedbenim aktima iz stavka 5.

3. Za prekogranično korištenje online uslugom koju nudi tijelo javnog sektora države članice ne zahtijevaju elektronički pečat više sigurnosne razine od kvalificiranog elektroničkog pečata.

4. Komisija može provedbenim aktima utvrditi referentne brojeve normi za napredne elektroničke pečate. Ako napredni elektronički pečat udovoljava tim normama, smatra se da je postignuta sukladnost sa zahtjevima za napredne elektroničke pečate iz stavaka 1. i 2. ovog članka i članka 36. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

5. Komisija, uzimajući u obzir postojeću praksu, norme i pravne akte Unije, do 18. rujna 2015. provedbenim aktima utvrđuje referentne formate naprednih elektroničkih pečata ili referentne metode ako se koriste alternativni formati. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

whereas

(15) Obveza priznavanja sredstava elektroničke identifikacije trebala bi se odnositi samo na ona sredstva čija razina osiguranja identiteta odgovara razini koja je jednaka ili viša od razine koja se zahtijeva za dotičnu online uslugu.
Pored toga, ta obveza trebala bi se primjenjivati samo kada dotično tijelo javnog sektora koristi razinu sigurnosti koja je „značajna” ili „visoka” u odnosu na pristup toj usluzi online.
U skladu s pravom Unije, države članice trebale bi i dalje imati slobodu priznavanja sredstava elektroničke identifikacije koja imaju niže razine osiguranja identiteta.

- = -

(16) Razine osiguranja identiteta trebale bi označivati stupanj pouzdanja u sredstva elektroničke identifikacije pri utvrđivanju identiteta osobe te na taj način osigurati da osoba koja se predstavlja pod određenim identiteom stvarno jest osoba kojoj je taj identitet dodijeljen.
Razina sigurnosti ovisi o stupnju pouzdanja koji sredstvo elektroničke identifikacije pruža u odnosu na traženi ili utvrđeni identitet osobe uzimajući u obzir postupke (na primjer dokazivanje identiteta i verifikaciju te autentikaciju), aktivnosti upravljanja (na primjer tijelo koje izdaje sredstva elektroničke identifikacije i postupak izdavanja takvih sredstava) i provedene tehničke kontrole.
Postoje različite tehničke definicije i opisi razina sigurnosti koje su posljedica opsežnih pilot-istraživanja financiranih sredstvima Unije, kao i normizacije i međunarodnih aktivnosti.
Posebice, opsežni pilot-projekti STORK i ISO 29115 odnose se, između ostalog, na razine 2, 3 i 4, o čemu bi trebalo voditi u najvećoj mogućoj mjeri računa pri određivanju minimalnih tehničkih zahtjeva, normi i postupaka za nisku, značajnu i visoku razinu sigurnosti u smislu ove Uredbe, osiguravajući pritom dosljednu primjenu ove Uredbe, posebno u pogledu visoke razine sigurnosti koja se odnosi na dokazivanje identiteta za izdavanje kvalificiranih certifikata.
Utvrđeni zahtjevi trebali bi biti tehnološki neutralni.
Neophodne sigurnosne zahtjeve trebalo bi biti moguće ispuniti primjenom različitih tehnologija.

- = -

(30) Države članice trebale bi odrediti nadzorno tijelo ili nadzorna tijela za provedbu nadzornih aktivnosti prema ovoj Uredbi.
Države članice također bi trebale moći odlučivati, na temelju uzajamnog dogovora s drugom državom članicom, o određivanju nadzornog tijela na državnom području te druge države članice.

- = -

(36) Uspostavljanje sustava nadzora za sve pružatelje usluga povjerenja trebalo bi osigurati ravnopravne tržišne uvjete u odnosu na sigurnost i odgovornost njihovih djelatnosti i usluga, doprinoseći na taj način zaštiti korisnikâ i funkcioniranju unutarnjeg tržišta.
Nekvalificirani pružatelji usluga povjerenja trebali bi biti podvrgnuti neobvezujućim i reaktivnim naknadnim (ex post) nadzornim aktivnostima koje su opravdane zbog prirode njihovih usluga i djelatnosti.
Nadzorno tijelo stoga ne bi trebalo imati opću obvezu nadzora nekvalificiranih davatelja usluga.
Nadzorno tijelo trebalo bi djelovati samo kada je obaviješteno (primjerice od strane samog nekvalificiranog pružatelja usluga povjerenja, drugog nadzornog tijela, putem prijave korisnika ili poslovnog partnera ili na temelju vlastite istrage) da nekvalificirani pružatelj usluga povjerenja ne ispunjava zahtjeve ove Uredbe.

- = -

(43) Kako bi se osigurala usklađenost kvalificiranih pružatelja usluga povjerenja i usluga koje oni pružaju sa zahtjevima određenima u ovoj Uredbi, tijelo za ocjenu sukladnosti trebalo bi provoditi ocjenjivanja sukladnosti, a tako dobivena izvješća o ocjenjivanju sukladnosti kvalificirani pružatelji usluga povjerenja trebali bi podnositi nadzornom tijelu.
Uvijek kada nadzorno tijelo od kvalificiranog pružatelja usluga povjerenja zahtijeva podnošenje ad hoc izvješća o ocjenjivanju sukladnosti, to nadzorno tijelo trebalo bi posebno poštovati načela dobrog upravljanja, uključujući obvezu obrazlaganja svojih odluka, kao i načelo proporcionalnosti.
Stoga bi nadzorno tijelo trebalo na odgovarajući način obrazložiti svoju odluku kojom zahtijeva ad hoc ocjenjivanje sukladnosti.

- = -

keyboard_tab EIDAS 2014/0910 HR

EIDAS 2014/0910 HR