EIDAS 2014/0910 HU

(1) A tagállamok a területükön, vagy másik tagállammal kötött kölcsönös megállapodás alapján e másik tagállamban letelepedett felügyeleti szervet jelölnek ki. E felügyeleti szerv felelős a felügyeleti feladatok elvégzéséért a kijelölő tagállamban.

A felügyeleti szervek számára biztosítani kell a feladataik ellátásához szükséges hatásköröket és megfelelő forrásokat.

(2) A tagállamok bejelentik a Bizottságnak a kijelölt felügyeleti szerveik nevét és címét.

(3) A felügyeleti szerv szerepe a következő:

a kijelölő tagállam területén letelepedett minősített bizalmi_szolgáltatók felügyelete, amelynek keretében előzetes és utólagos felügyeleti tevékenységek révén biztosítja, hogy e minősített bizalmi_szolgáltatók és az általuk nyújtott minősített bizalmi_szolgáltatások megfeleljenek az e rendeletben megállapított követelményeknek;

szükség esetén a kijelölő tagállam területén letelepedett nem minősített bizalmi_szolgáltatókkal szembeni intézkedés, utólagos felügyeleti tevékenységek formájában, amennyiben arról értesül, hogy e nem minősített bizalmi_szolgáltatók vagy az általuk nyújtott bizalmi_szolgáltatások vélhetően nem felelnek meg az e rendeletben megállapított követelményeknek.

(4) A (3) bekezdés alkalmazásában és az ott megjelölt korlátozások figyelembevételével a felügyeleti szerv különösen az alábbi feladatokat végzi:

a)	együttműködik más felügyeleti szervekkel, és a 18. cikkel összhangban segítséget nyújt e szerveknek;

b)	elemzi a 20. cikk (1) bekezdésében és a 21. cikk (1) bekezdésében említett megfelelőségértékelési jelentéseket;

c)	a 19. cikk (2) bekezdésének megfelelően tájékoztatja a többi felügyeleti szervet és a nyilvánosságot a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről;

d)	e cikk (6) bekezdésével összhangban jelentést küld a Bizottságnak a főbb tevékenységeiről;

e)	a 20. cikk (2) bekezdésével összhangban ellenőrzéseket hajt végre, illetve megfelelőségértékelő_szervezetet kér fel a megfelelőségértékelés elvégzésére a minősített bizalmi_szolgáltatóknál;

f)	együttműködik az adatvédelmi hatóságokkal, és indokolatlan késedelem nélkül tájékoztatja őket a minősített bizalmi_szolgáltatóknál végzett ellenőrzések eredményéről, amennyiben a személyes adatok védelmére vonatkozó szabályok megsértése merül fel;

g)	a 20. és a 21. cikkel összhangban megadja a minősített státust a bizalmi_szolgáltatóknak és az általuk nyújtott szolgáltatásoknak, valamint visszavonja tőlük e státust;

h)	tájékoztatja a 22. cikk (3) bekezdésében említett, tagállami bizalmi listáért felelős szervet a minősített státus megadására és visszavonására vonatkozó határozatairól, amennyiben ez a szerv egyben nem maga a felügyeleti szerv;

ellenőrzi a szolgáltatás megszüntetésére vonatkozó terv meglétét, valamint a tervre vonatkozó rendelkezések helyes alkalmazását olyan esetekben, amikor valamely minősített bizalmi_szolgáltató meg kívánja szüntetni a tevékenységét, beleértve annak ellenőrzését is, hogy az információ milyen módon lesz továbbra is hozzáférhető a 24. cikk (2) bekezdésének h) pontjával összhangban;

j)	előírja, hogy a bizalmi_szolgáltatók orvosolják a helyzetet, amennyiben nem felelnének meg az e rendeletben foglalt követelményeknek.

(5) A tagállamok előírhatják, hogy a felügyeleti szerv a tagállami jogban megállapított feltételek szerint hozzon létre egy bizalmi infrastruktúrát, az tartsa fenn és tegye naprakésszé.

(6) A felügyeleti szervek minden évben március 31-ig benyújtják a Bizottságnak az előző naptári évben végzett főbb tevékenységeikről szóló jelentést és a bizalmi_szolgáltatóktól a 19. cikk (2) bekezdésével összhangban beérkezett, a biztonság megsértésére vonatkozó bejelentések összefoglalóját.

(7) A Bizottság a tagállamok rendelkezésére bocsátja a (6) bekezdésben említett éves jelentést.

(8) A Bizottság végrehajtási jogi aktusok útján meghatározhatja a (6) bekezdésben említett jelentés formátumát és a hozzá kapcsolódó eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

27. cikk

Elektronikus aláírások használata a közigazgatásban

(1) Ha egy tagállam egy közigazgatási_szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához fokozott biztonságú elektronikus_aláírás alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie azokat a fokozott biztonságú elektronikus_aláírásokat, elektronikus_aláírás minősített tanúsítványán alapuló, fokozott biztonságú elektronikus_aláírásokat és minősített elektronikus_aláírásokat, amelyeket legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy módszerek alkalmazásával hoztak létre.

(2) Ha egy tagállam egy közigazgatási_szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához minősített tanúsítványon alapuló, fokozott biztonságú elektronikus_aláírás alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie azokat a minősített tanúsítványon alapuló, fokozott biztonságú elektronikus_aláírásokat és a minősített elektronikus_aláírásokat, amelyeket legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy módszerek alkalmazásával hoztak létre.

(3) A közigazgatási_szervek által nyújtott online szolgáltatások határokon átnyúló igénybevétele tekintetében a tagállamok nem követelhetnek meg a minősített elektronikus_aláírásnál magasabb biztonsági szintű elektronikus_aláírást.

(4) A Bizottság végrehajtási jogi aktusok útján összeállíthatja a fokozott biztonságú elektronikus_aláírásokra vonatkozó szabványok hivatkozási számainak listáját. Ha egy fokozott biztonságú elektronikus_aláírás megfelel ezeknek a szabványoknak, vélelmezni kell, hogy az aláírás az e cikk (1) és (2) bekezdése és a 26. cikk szerinti, a fokozott biztonságú elektronikus_aláírásokra vonatkozó követelményeket is teljesíti. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

(5) 2015. szeptember 18-ig, és figyelembe véve a jelenlegi gyakorlatot, szabványokat és uniós jogi aktusokat, a Bizottság végrehajtási jogi aktusok útján meghatározza a fokozott biztonságú elektronikus_aláírások referenciaformátumait, illetve az alternatív formátumok használata esetén alkalmazandó referencia-módszereket. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

37. cikk

Elektronikus bélyegzők használata a közigazgatásban

(1) Ha egy tagállam egy közigazgatási_szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához fokozott biztonságú elektronikus_bélyegző alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy az ott említett módszerek alkalmazásával létrehozott fokozott biztonságú elektronikus_bélyegzőket, elektronikus_bélyegzők minősített tanúsítványain alapuló, fokozott biztonságú elektronikus_bélyegzőket és minősített elektronikus_bélyegzőket.

(2) Ha egy tagállam egy közigazgatási_szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához elektronikus_bélyegző minősített tanúsítványán alapuló, fokozott biztonságú elektronikus_bélyegző alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie az elektronikus_bélyegző minősített tanúsítványán alapuló, fokozott biztonságú elektronikus_bélyegzőket és a minősített elektronikus_bélyegzőket legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy alkalmazási módszerekben.

(3) A közigazgatási_szervek által nyújtott online szolgáltatások határokon átnyúló igénybevétele tekintetében a tagállamok nem követelhetnek meg a minősített elektronikus_bélyegzőnél magasabb biztonsági szintű elektronikus_bélyegzőt.

(4) A Bizottság végrehajtási jogi aktusok útján összeállíthatja a fokozott biztonságú elektronikus_bélyegzőkre vonatkozó szabványok hivatkozási számainak listáját. Ha egy fokozott biztonságú elektronikus_bélyegző megfelel ezeknek a szabványoknak, vélelmezni kell, hogy a bélyegző az e cikk (1) és (2) bekezdése és a 36. cikk szerinti, a fokozott biztonságú elektronikus_bélyegzőkre vonatkozó követelményeket is teljesíti. Az említett végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

(5) 2015. szeptember 18-ig, és figyelembe véve a jelenlegi gyakorlatot, szabványokat és az Unió jogi aktusait, a Bizottság végrehajtási jogi aktusok útján meghatározza a fokozott biztonságú elektronikus_bélyegzők referenciaformátumait, illetve az alternatív formátumok használata esetén alkalmazandó referencia-módszereket. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

49. cikk

Felülvizsgálat

A Bizottság legkésőbb 2020. július 1-jéig felülvizsgálja e rendelet alkalmazását, és jelentést tesz az Európai Parlamentnek és a Tanácsnak. Ennek keretében a Bizottság különösen azt vizsgálja meg, hogy helyénvaló-e e rendelet hatályának, illetve bizonyos rendelkezéseinek, többek között a 6. cikknek, a 7. cikk f) pontjának, valamint a 34., 43., 44. és 45. cikknek a módosítása, figyelemmel a rendelet alkalmazása során szerzett tapasztalatokra és a technológiai, piaci és jogi fejleményekre.

Az első bekezdésben említett jelentéshez adott esetben jogalkotási javaslatokat kell mellékelni.

Ezenkívül a Bizottság az első bekezdésben említett jelentés benyújtását követően négyévente jelentést nyújt be az Európai Parlamentnek és a Tanácsnak a rendelet céljainak megvalósítása terén elért eredményekről.

whereas

(16) A biztonsági szinteknek azt kell megmutatniuk, hogy egy elektronikus_azonosító_eszköz milyen szintű megbízhatósággal állapítja meg egy személy személyazonosságát, ezáltal biztosítékot nyújtva arra, hogy egy bizonyos személyazonosságot sajátjának mondó személy ténylegesen az, akihez az adott személyazonosságot hozzárendelték.
A biztonsági szint attól függ, hogy az elektronikus_azonosító_eszköz milyen szintű megbízhatósággal ellenőrzi egy személynek az általa megadott vagy állítólagos személyazonosságát, figyelembe véve az alkalmazott folyamatokat (például személyazonosítás és személyazonosság-ellenőrzés, valamint hitelesítés), az igazgatási tevékenységeket (például az elektronikus_azonosító_eszközöket kibocsátó szervezet valamint az ilyen eszközök kibocsátására alkalmazandó eljárás) és a végrehajtott technikai ellenőrzéseket.
Az uniós finanszírozású, nagy volumenű kísérleti projektek, a szabványosítási és a nemzetközi tevékenységek eredményeképpen a biztonsági szinteknek többféle technikai meghatározása és leírása létezik. Így különösen a nagy volumenű STORK kísérleti projekt és az ISO 29115 keretében többek között a 2., 3. és 4.
szint használatos, amelyeket a legmesszebbmenőkig figyelembe kell venni a minimális technikai követelmények és az e rendelet szerinti „ alacsony”, „ jelentős” és „ magas” biztonsági szintre vonatkozó szabványok és eljárások kidolgozásakor, biztosítva ugyanakkor e rendelet következetes alkalmazását, különösen a minősített tanúsítványok kibocsátásához szükséges személyazonosság-ellenőrzéshez kapcsolódó „ magas” biztonsági szint tekintetében.
A megállapított követelményeknek technológiai szempontból semlegesnek kell lenniük.
A szükséges biztonsági követelményeket úgy kell megállapítani, hogy azokat eltérő technológiák alkalmazásával is teljesíteni lehessen.

- = -

(53) Több tagállamban is bevett operatív gyakorlat a bizalmi_szolgáltatók körében a minősített tanúsítványok felfüggesztése, amely különbözik a visszavonástól, és a tanúsítvány érvényességének ideiglenes elvesztésével jár.
A jogbiztonság érdekében a tanúsítvány felfüggesztett státusát minden esetben egyértelműen fel kell tüntetni.
E célból a bizalmi_szolgáltatók számára elő kell írni, hogy egyértelműen tüntessék fel a tanúsítvány státusát, és amennyiben azt felfüggesztették, a tanúsítvány felfüggesztésének pontos időtartamát.
Nem célszerű, hogy ez a rendelet előírja a bizalmi_szolgáltatók vagy a tagállamok számára a felfüggesztés gyakorlatának alkalmazását, hanem átláthatósági szabályokról kell rendelkeznie arra az esetre, amennyiben alkalmazzák ezt a gyakorlatot.

- = -

(55) A nemzetközi szabványokon (mint az ISO 15408 szabványon és a kapcsolódó értékelési módszereken és kölcsönös elismerési megállapodásokon) alapuló informatikai biztonsági tanúsítás fontos eszköze a minősített elektronikus_aláírást létrehozó eszközök biztonsága ellenőrzésének, ezért alkalmazását ösztönözni kell.
Egyes innovatív megoldások és szolgáltatások (mint például a mobil aláírás, a felhőalapú aláírás stb.) ugyanakkor a minősített elektronikus_aláírást létrehozó eszközöket illetően olyan technikai és szervezési megoldásokon alapulnak, amelyekre vonatkozóan még esetleg nem állnak rendelkezésre biztonsági szabványok, illetve amelyek esetében az első informatikai biztonsági tanúsítás folyamatban van.
Alternatív eljárásokkal csak akkor lehetne értékelni a minősített elektronikus_aláírást létrehozó eszközök biztonsági szintjét, ha nem állnak rendelkezésre biztonsági szabványok, illetve ha az első informatikai biztonsági tanúsítás folyamatban van.
Ezeknek az eljárásoknak a biztonsági szintek egyenértékűségét tekintve az informatikai biztonsági tanúsítás szabványaihoz hasonlónak kell lenniük.
Az eljárások lebonyolítását kölcsönös felülvizsgálattal lehetne elősegíteni.

- = -

keyboard_tab EIDAS 2014/0910 HU

EIDAS 2014/0910 HU