keyboard_tab EIDAS 2014/0910 HU

whereas foglalt:

• whereas (47) 1
• whereas (54) 1
• whereas (62) 1
• whereas (71) 2
• whereas (76) 2

definitions:

• jogi személy
• elektronikus azonosítás
• elektronikus azonosító eszköz
• személyazonosító adat
• elektronikus azonosítási rendszer
• hitelesítés
• igénybe vevő fél
• közigazgatási szerv
• közjogi intézmény
• aláíró
• elektronikus aláírás
• fokozott biztonságú elektronikus aláírás
• minősített elektronikus aláírás
• elektronikus aláírás létrehozásához használt adat
• elektronikus aláírás tanúsítványa
• elektronikus aláírás minősített tanúsítványa
• bizalmi szolgáltatás
• minősített bizalmi szolgáltatás
• megfelelőségértékelő szervezet
• bizalmi szolgáltató
• minősített bizalmi szolgáltató
• termék
• elektronikus aláírást létrehozó eszköz
• minősített elektronikus aláírást létrehozó eszköz
• bélyegző létrehozója
• elektronikus bélyegző
• fokozott biztonságú elektronikus bélyegző
• minősített elektronikus bélyegző
• elektronikus bélyegző létrehozásához használt adatok
• elektronikus bélyegző tanúsítványa
• elektronikus bélyegző minősített tanúsítványa
• elektronikus bélyegzőt létrehozó eszköz
• minősített elektronikus bélyegzőt létrehozó eszköz
• elektronikus időbélyegző
• minősített elektronikus időbélyegző
• elektronikus dokumentum
• ajánlott elektronikus kézbesítési szolgáltatás
• minősített ajánlott elektronikus kézbesítési szolgáltatás
• weboldal-hitelesítő tanúsítvány
• minősített weboldal-hitelesítő tanúsítvány
• érvényesítési adatok
• érvényesítés
• alacsony
• jelentős
• magas

3. cikk

Fogalommeghatározások

E rendelet alkalmazásában:

1.   „ elektronikus_azonosítás”: a természetes vagy jogi_személyt, illetve jogi_személyt képviselő természetes személyt egyedileg azonosító, elektronikus személyazonosító_adatok felhasználásának folyamata;

2.   „ elektronikus_azonosító_eszköz”: olyan hardver- és/vagy szoftvereszköz, amely a személyazonosító_adatokat tartalmazza, és amelyet online szolgáltatások céljából történő azonosításra használnak;

3.   „ személyazonosító_adat”: egy természetes vagy jogi_személy vagy egy jogi_személyt képviselő természetes személy személyazonosságának megállapítását lehetővé tevő adat;

4.   „ elektronikus_azonosítási rendszer”: elektronikus_azonosításra alkalmas rendszer, amelynek keretében természetes vagy jogi_személy, illetve egy jogi_személyt képviselő természetes személy számára elektronikus_azonosító_eszközöket bocsátanak ki;

5.   „ hitelesítés”: olyan elektronikus folyamat, amely lehetővé teszi a természetes vagy jogi_személy elektronikus_azonosításának vagy az elektronikus adatok eredetének és sértetlenségének az igazolását;

6.   „ igénybe_vevő_fél”: olyan természetes vagy jogi_személy, aki vagy amely elektronikus_azonosítási vagy bizalmi_szolgáltatást vesz igénybe;

7.   „ közigazgatási_szerv”: az állam, a regionális vagy helyi hatóság, közjogi_intézmény és egy vagy több ilyen hatóságból, illetve közjogi_intézményből álló társulások vagy az említett hatóságok, szervek vagy társulások közül legalább egy által közszolgáltatások nyújtásával megbízott és e megbízásuk keretében eljáró magánjogi szervezetek;

8.   „ közjogi_intézmény”: a 2014/24/EU európai parlamenti és tanácsi irányelv (15) 2. cikke (1) bekezdésének 4. pontjában meghatározott intézmény;

9.   „ aláíró”: elektronikus_aláírást létrehozó természetes személy;

10.   „ elektronikus_aláírás”: olyan elektronikus adat, amelyet más elektronikus adatokhoz csatolnak, illetve logikailag hozzárendelnek, és amelyet az aláíró aláírásra használ;

11.   „fokozott biztonságú elektronikus_aláírás”: olyan elektronikus_aláírás, amely megfelel az a 26. cikkben meghatározott követelményeknek;

12.   „minősített elektronikus_aláírás”: olyan, fokozott biztonságú elektronikus_aláírás, amelyet minősített elektronikus_aláírást létrehozó eszközzel állítottak elő, és amely elektronikus_aláírás minősített tanúsítványán alapul;

13.   „ elektronikus_aláírás létrehozásához használt adat”: olyan egyedi adat, amelyet az aláíró elektronikus_aláírás létrehozásához használ;

14.   „ elektronikus_aláírás tanúsítványa”: olyan elektronikus igazolás, amely az elektronikus_aláírást érvényesítő adatokat egy természetes személyhez kapcsolja, és igazolja legalább az érintett személy nevét vagy álnevét;

15.   „ elektronikus_aláírás minősített tanúsítványa”: olyan, elektronikus_aláírás céljára használt tanúsítvány, amelyet minősített bizalmi_szolgáltató bocsát ki; és amely megfelel az I. mellékletben megállapított követelményeknek;

16.   „ bizalmi_szolgáltatás”: rendszerint díjazás ellenében nyújtott, az alábbiakból álló elektronikus szolgáltatások:

a)	elektronikus_aláírások, elektronikus_bélyegzők vagy elektronikus_időbélyegzők, ajánlott_elektronikus_kézbesítési_szolgáltatások, valamint az ilyen szolgáltatásokhoz kapcsolódó tanúsítványok létrehozása, ellenőrzése és érvényesítése; vagy

b)	weboldal-hitelesítő_tanúsítványok létrehozása, ellenőrzése és érvényesítése; vagy

c)	elektronikus_aláírások, bélyegzők vagy az ilyen szolgáltatásokhoz kapcsolódó tanúsítványok megőrzése;

17.   „minősített bizalmi_szolgáltatás”: olyan bizalmi_szolgáltatás, amely megfelel az e rendeletben foglalt alkalmazandó követelményeknek;

18.   „ megfelelőségértékelő_szervezet”: a 765/2008/EK rendelet 2. cikkének 13. pontjában meghatározott szervezet, amelyet az említett rendelettel összhangban illetékesnek ismernek el a minősített bizalmi_szolgáltató és az általa nyújtott minősített bizalmi_szolgáltatások megfelelőségének értékelésére;

19.   „ bizalmi_szolgáltató”: egy vagy több bizalmi_szolgáltatást nyújtó természetes vagy jogi_személy; a bizalmi_szolgáltató lehet minősített vagy nem minősített bizalmi_szolgáltató;

20.   „minősített bizalmi_szolgáltató”: olyan bizalmi_szolgáltató, amely egy vagy több minősített bizalmi_szolgáltatást nyújt, és amelynek minősített státusát a felügyeleti szerv jóváhagyta;

21.   „ termék”: olyan hardver- vagy szoftvereszköz vagy ezek megfelelő része, amelyet bizalmi_szolgáltatások nyújtásában való felhasználásra szántak;

22.   „ elektronikus_aláírást létrehozó eszköz”: elektronikus_aláírás létrehozására használt, konfigurált hardver- vagy szoftvereszköz;

23.   „minősített elektronikus_aláírást létrehozó eszköz”: olyan, elektronikus_aláírást létrehozó eszköz, amely megfelel a II. mellékletben megállapított követelményeknek;

24.   „ bélyegző_létrehozója”: elektronikus_bélyegzőt létrehozó jogi_személy;

25.   „ elektronikus_bélyegző”: olyan elektronikus adatok, amelyeket más elektronikus adatokhoz csatolnak, illetve logikailag hozzárendelnek, hogy biztosítsák a kapcsolt adatok eredetét és sértetlenségét;

26.   „fokozott biztonságú elektronikus_bélyegző”: olyan elektronikus_bélyegző, amely megfelel a 36. cikkben meghatározott követelményeknek;

27.   „minősített elektronikus_bélyegző”: olyan, fokozott biztonságú elektronikus_bélyegző, amelyet minősített elektronikus_bélyegzőt létrehozó eszközzel állítottak elő, és amely elektronikus_bélyegző minősített tanúsítványán alapul;

28.   „ elektronikus_bélyegző létrehozásához használt adatok”: olyan egyedi adatok, amelyeket az elektronikus bélyegző_létrehozója elektronikus_bélyegző létrehozásához használ;

29.   „ elektronikus_bélyegző tanúsítványa”: olyan elektronikus tanúsítvány, amely az elektronikus_bélyegzőt érvényesítő adatokat egy jogi_személyhez kapcsolja, és igazolja az érintett jogi_személy nevét;

30.   „ elektronikus_bélyegző minősített tanúsítványa”: elektronikus_bélyegző olyan tanúsítványa, amelyet minősített bizalmi_szolgáltató bocsát ki; és amely megfelel a III. mellékletben megállapított követelményeknek;

31.   „ elektronikus_bélyegzőt létrehozó eszköz”: elektronikus_bélyegző létrehozására használt, konfigurált hardver- vagy szoftvereszköz;

32.   „minősített elektronikus_bélyegzőt létrehozó eszköz”: olyan, elektronikus_bélyegzőt létrehozó eszköz, amely értelemszerűen megfelel a II. mellékletben megállapított követelményeknek;

33.   „ elektronikus_időbélyegző”: olyan elektronikus adatok, amelyek más elektronikus adatokat egy adott időponthoz kötnek, amivel igazolják, hogy utóbbi adatok léteztek az adott időpontban;

34.   „minősített elektronikus_időbélyegző”: olyan elektronikus_időbélyegző, amely megfelel a 42. cikkben megállapított követelményeknek;

35.   „ elektronikus_dokumentum”: elektronikus formában, különösen szöveg, hang-, képi vagy audiovizuális felvétel formájában tárolt bármilyen tartalom;

36.   „ ajánlott_elektronikus_kézbesítési_szolgáltatás”: olyan szolgáltatás, amely lehetővé teszi az adatok harmadik felek közötti, elektronikus úton való továbbítását, és bizonyítékot szolgáltat a továbbított adatok kezelésére vonatkozóan, beleértve az adatok küldésének és fogadásának igazolását, valamint amely védi a továbbított adatokat az adatvesztés, az adatlopás, az adatkárosodás vagy a jogosulatlan adatmódosítás kockázata ellen;

37.   „minősített ajánlott_elektronikus_kézbesítési_szolgáltatás”: olyan ajánlott_elektronikus_kézbesítési_szolgáltatás, amely megfelel a 44. cikkben megállapított követelményeknek;

38.   „ weboldal-hitelesítő_tanúsítvány”: olyan igazolás, amely lehetővé teszi a weboldal hitelesítését és a weboldalt ahhoz a természetes vagy jogi_személyhez kapcsolja, akinek vagy amelynek részére a tanúsítványt kiállították;

39.   „minősített weboldal-hitelesítő_tanúsítvány”: olyan weboldal-hitelesítő_tanúsítvány, amelyet minősített bizalmi_szolgáltató bocsát ki, és amely megfelel a IV. mellékletben megállapított követelményeknek;

40.   „ érvényesítési_adatok”: elektronikus_aláírás vagy elektronikus_bélyegző érvényesítéséhez használt adatok;

41.   „ érvényesítés”: olyan folyamat, amelynek keretében ellenőrzik és igazolják, hogy az elektronikus_aláírás vagy bélyegző érvényes.

9. cikk

Bejelentés

(1)   A bejelentő tagállam a következő információkat, valamint azok későbbi változásait indokolatlan késedelem nélkül bejelenti a Bizottságnak:

a)	az elektronikus_azonosítási rendszer leírása, ezen belül a rendszer biztonsági szintjei, az adott rendszerbe tartozó elektronikus_azonosító_eszközök kibocsátója (kibocsátói);

b)	az alkalmazandó felügyeleti rendszer, valamint tájékoztatás a felelősségi szabályokról az alábbiak vonatkozásában: i. az elektronikus_azonosító_eszközt kibocsátó fél; valamint ii. a hitelesítési eljárást végrehajtó fél;

c)	az elektronikus_azonosítási rendszerért felelős hatóság vagy hatóságok;

d)	tájékoztatás az egyedi személyazonosító_adatok nyilvántartásba vételét kezelő szervezetről vagy szervezetekről;

e)	annak ismertetése, hogy a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusokban foglalt előírások milyen módon teljesülnek;

f)	a 7. cikk f) pontjában említett hitelesítés leírása;

g)	a bejelentett elektronikus_azonosítási rendszernek vagy hitelesítésnek vagy azok veszélyeztetett részeinek a felfüggesztésére vagy visszavonására vonatkozó szabályok.

(2)   A 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazásának időpontját követően egy évvel a Bizottság az Európai Unió Hivatalos Lapjában közzéteszi az e cikk (1) bekezdése szerint bejelentett elektronikus_azonosítási rendszerek listáját és az azokkal kapcsolatos alapinformációkat.

(3)   Amennyiben a (2) bekezdésben említett határidő lejárta után érkezik bejelentés, a Bizottság a bejelentés kézhezvételétől számított két hónapon belül közzéteszi az Európai Unió Hivatalos Lapjában a (2) bekezdésben említett lista változásait.

(4)   Bármely tagállam kérelmezheti a Bizottságtól, hogy az általa bejelentett elektronikus_azonosítási rendszert törölje a (2) bekezdésben említett listáról. A Bizottság a tagállam kérelmének kézhezvételétől számított egy hónapon belül közzéteszi az Európai Unió Hivatalos Lapjában a lista módosításait.

(5)   A Bizottság végrehajtási jogi aktusok útján meghatározhatja az (1) bekezdés szerinti bejelentés feltételeit, formátumait és eljárásait. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

12. cikk

Együttműködés és átjárhatóság

(1)   A 9. cikk (1) bekezdése szerint bejelentett nemzeti elektronikus_azonosítási rendszereknek átjárhatónak kell lenniük.

(2)   Az (1) bekezdésben megállapítottak teljesítése érdekében létre kell hozni egy átjárhatósági keretet.

(3)   Az átjárhatósági keretnek az alábbi kritériumoknak kell megfelelnie:

a)	technológiasemlegességre törekszik, és a tagállamon belül az elektronikus_azonosításra szolgáló konkrét nemzeti technikai megoldások egyikével szemben sem alkalmaz hátrányos megkülönböztetést;

b)	lehetőség szerint követi az európai és a nemzetközi normákat;

c)	megkönnyíti a beépített adatvédelem elvének érvényesítését; és

d)	biztosítja a személyes adatoknak a 95/46/EK irányelvnek megfelelő feldolgozását.

(4)   Az átjárhatósági keretnek az alábbiakat kell magában foglalnia:

a)	a 8. cikkben megállapított biztonsági szintekhez kapcsolódó minimális technikai követelményekre való hivatkozás;

b)	a bejelentett elektronikus_azonosítási rendszerek nemzeti biztonsági szintjeinek megfeleltetése a 8. cikkben megállapított biztonsági szinteknek;

c)	a minimális átjárhatósági technikai követelményekre való hivatkozás;

d)	egy természetes vagy jogi_személyt kizárólagosan azonosító, az elektronikus_azonosítási rendszerekből megszerezhető minimális személyazonosító_adatokra való hivatkozás;

e)	eljárási szabályzat;

f)	vitarendezési eljárások;és

g)	közös működési biztonsági normák.

(5)   A tagállamok együttműködnek az alábbiak tekintetében:

a)	átjárhatóság a 9. cikk (1) bekezdése alapján bejelentett elektronikus_azonosítási rendszerek és azon elektronikus_azonosítási rendszerek között, amelyeket a tagállamok bejelenteni szándékoznak; és

b)	az elektronikus_azonosítási rendszerek biztonsága.

(6)   A tagállamok közötti együttműködés a következőkre terjed ki:

a)	az elektronikus_azonosítási rendszerekkel kapcsolatos információk, tapasztalatok és bevált gyakorlat cseréje, különös tekintettel az átjárhatósággal és a biztonsági szintekkel kapcsolatos technikai követelményekre;

b)	az elektronikus_azonosítási rendszerekre vonatkozóan a 8. cikkben megállapított biztonsági szintek alkalmazásával kapcsolatos információk, tapasztalatok és bevált gyakorlat cseréje,

c)	az e rendelet hatálya alá tartozó elektronikus_azonosítási rendszerek partneri felülvizsgálata; és

d)	az elektronikus_azonosítási ágazat lényeges fejleményeinek vizsgálata.

(7)   A Bizottság 2015. március 18-ig végrehajtási jogi aktusokban megállapítja az (5) és a (6) bekezdésben említett, tagállamok közötti együttműködés megkönnyítéséhez szükséges eljárási szabályokat a kockázat mértékének megfelelő magas szintű bizalom és biztonság elősegítése céljából.

(8)   Az (1) bekezdésben megállapított követelmény teljesítésére vonatkozó egységes feltételek előírása céljából a Bizottság 2015. szeptember 18-ig – a (3) bekezdésben foglalt kritériumoknak megfelelően és a tagállamok közötti együttműködés eredményeinek figyelembevételével – végrehajtási jogi aktusokat fogad el a (4) bekezdésben meghatározott átjárhatósági keretre vonatkozóan.

(9)   Az e cikk (7) és (8) bekezdésében említett végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

III.   FEJEZET

BIZALMI SZOLGÁLTATÁSOK

1.   SZAKASZ

Általános rendelkezések

17. cikk

Felügyeleti szerv

(1)   A tagállamok a területükön, vagy másik tagállammal kötött kölcsönös megállapodás alapján e másik tagállamban letelepedett felügyeleti szervet jelölnek ki. E felügyeleti szerv felelős a felügyeleti feladatok elvégzéséért a kijelölő tagállamban.

A felügyeleti szervek számára biztosítani kell a feladataik ellátásához szükséges hatásköröket és megfelelő forrásokat.

(2)   A tagállamok bejelentik a Bizottságnak a kijelölt felügyeleti szerveik nevét és címét.

(3)   A felügyeleti szerv szerepe a következő:

a)

a kijelölő tagállam területén letelepedett minősített bizalmi_szolgáltatók felügyelete, amelynek keretében előzetes és utólagos felügyeleti tevékenységek révén biztosítja, hogy e minősített bizalmi_szolgáltatók és az általuk nyújtott minősített bizalmi_szolgáltatások megfeleljenek az e rendeletben megállapított követelményeknek;

b)

szükség esetén a kijelölő tagállam területén letelepedett nem minősített bizalmi_szolgáltatókkal szembeni intézkedés, utólagos felügyeleti tevékenységek formájában, amennyiben arról értesül, hogy e nem minősített bizalmi_szolgáltatók vagy az általuk nyújtott bizalmi_szolgáltatások vélhetően nem felelnek meg az e rendeletben megállapított követelményeknek.

(4)   A (3) bekezdés alkalmazásában és az ott megjelölt korlátozások figyelembevételével a felügyeleti szerv különösen az alábbi feladatokat végzi:

a)	együttműködik más felügyeleti szervekkel, és a 18. cikkel összhangban segítséget nyújt e szerveknek;

b)	elemzi a 20. cikk (1) bekezdésében és a 21. cikk (1) bekezdésében említett megfelelőségértékelési jelentéseket;

c)	a 19. cikk (2) bekezdésének megfelelően tájékoztatja a többi felügyeleti szervet és a nyilvánosságot a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről;

d)	e cikk (6) bekezdésével összhangban jelentést küld a Bizottságnak a főbb tevékenységeiről;

e)	a 20. cikk (2) bekezdésével összhangban ellenőrzéseket hajt végre, illetve megfelelőségértékelő_szervezetet kér fel a megfelelőségértékelés elvégzésére a minősített bizalmi_szolgáltatóknál;

f)	együttműködik az adatvédelmi hatóságokkal, és indokolatlan késedelem nélkül tájékoztatja őket a minősített bizalmi_szolgáltatóknál végzett ellenőrzések eredményéről, amennyiben a személyes adatok védelmére vonatkozó szabályok megsértése merül fel;

g)	a 20. és a 21. cikkel összhangban megadja a minősített státust a bizalmi_szolgáltatóknak és az általuk nyújtott szolgáltatásoknak, valamint visszavonja tőlük e státust;

h)	tájékoztatja a 22. cikk (3) bekezdésében említett, tagállami bizalmi listáért felelős szervet a minősített státus megadására és visszavonására vonatkozó határozatairól, amennyiben ez a szerv egyben nem maga a felügyeleti szerv;

i)

ellenőrzi a szolgáltatás megszüntetésére vonatkozó terv meglétét, valamint a tervre vonatkozó rendelkezések helyes alkalmazását olyan esetekben, amikor valamely minősített bizalmi_szolgáltató meg kívánja szüntetni a tevékenységét, beleértve annak ellenőrzését is, hogy az információ milyen módon lesz továbbra is hozzáférhető a 24. cikk (2) bekezdésének h) pontjával összhangban;

j)	előírja, hogy a bizalmi_szolgáltatók orvosolják a helyzetet, amennyiben nem felelnének meg az e rendeletben foglalt követelményeknek.

(5)   A tagállamok előírhatják, hogy a felügyeleti szerv a tagállami jogban megállapított feltételek szerint hozzon létre egy bizalmi infrastruktúrát, az tartsa fenn és tegye naprakésszé.

(6)   A felügyeleti szervek minden évben március 31-ig benyújtják a Bizottságnak az előző naptári évben végzett főbb tevékenységeikről szóló jelentést és a bizalmi_szolgáltatóktól a 19. cikk (2) bekezdésével összhangban beérkezett, a biztonság megsértésére vonatkozó bejelentések összefoglalóját.

(7)   A Bizottság a tagállamok rendelkezésére bocsátja a (6) bekezdésben említett éves jelentést.

(8)   A Bizottság végrehajtási jogi aktusok útján meghatározhatja a (6) bekezdésben említett jelentés formátumát és a hozzá kapcsolódó eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

20. cikk

Minősített bizalmi_szolgáltatók felügyelete

(1)   A minősített bizalmi_szolgáltatókat legalább 24 havonta, a szolgáltató saját költségére ellenőriznie kell egy megfelelőségértékelő_szervezetnek. Az ellenőrzés célja, annak igazolása, hogy a minősített bizalmi_szolgáltatók és az általuk nyújtott minősített bizalmi_szolgáltatások megfelelnek az e rendeletben megállapított követelményeknek. A minősített bizalmi_szolgáltatók kötelesek az elkészült megfelelőségértékelési jelentést annak kézhezvételétől számított három munkanapon belül benyújtani a felügyeleti szervnek.

(2)   Az (1) bekezdés sérelme nélkül, a felügyeleti szerv bármikor ellenőrizheti a minősített bizalmi_szolgáltatókat, illetve felkérhet egy megfelelőségértékelő_szervezetet a minősített bizalmi_szolgáltatók megfelelőségértékelésének elvégzésére a bizalmi_szolgáltatók költségére annak igazolása céljából, hogy e szolgáltatók és az általuk nyújtott minősített bizalmi_szolgáltatások megfelelnek az e rendeletben megállapított követelményeknek. A személyes adatok védelmére vonatkozó szabályok vélhető megsértése esetén a felügyeleti szerv tájékoztatja az adatvédelmi hatóságokat az ellenőrzések eredményéről.

(3)   Amennyiben a felügyeleti szerv előírja a minősített bizalmi_szolgáltatónak, hogy orvosolja az e rendeletben foglaltak teljesítésének elmulasztását, de a szolgáltató – adott esetben a felügyeleti szerv által megszabott határidőn belül – nem tesz eleget a felszólításnak, a felügyeleti szerv a mulasztás mértékének, időtartamának és következményeinek figyelembevételével visszavonhatja a szolgáltató vagy az általa nyújtott érintett szolgáltatás minősített státusát, és tájékoztathatja a 22. cikk (3) bekezdésében említett szervet annak érdekében, hogy az aktualizálja a 22. cikk (1) bekezdésében említett bizalmi listákat. A felügyeleti szerv tájékoztatja a minősített bizalmi_szolgáltatót a minősített státusának vagy az érintett szolgáltatás minősített státusának a visszavonásáról.

(4)   A Bizottság végrehajtási jogi aktusok útján összeállíthatja az alábbi szabványok hivatkozási számainak listáját:

a)	az (1) bekezdésben említett megfelelőségértékelő_szervezet akkreditációjára és a megfelelőségértékelési jelentésre vonatkozó szabványok;

b)	azon ellenőrzési szabályokra vonatkozó szabványok, amelyek alapján a megfelelőségértékelő_szervezetek elvégzik a minősített bizalmi_szolgáltatóknak az (1) bekezdésben említett megfelelőségértékelését.

Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

24. cikk

A minősített bizalmi_szolgáltatókra vonatkozó követelmények

(1)   Bizalmi szolgáltatásra vonatkozó minősített tanúsítvány kibocsátásakor a minősített bizalmi_szolgáltató megfelelő eszközökkel és a nemzeti jogszabályokkal összhangban ellenőrzi annak a természetes vagy jogi_személynek az azonosságát, és – adott esetben – egyedi jellemzőit, akinek vagy amelynek a részére a minősített tanúsítványt kibocsátották.

Az első albekezdésben említett adatokat a minősített bizalmi_szolgáltató a nemzeti jogszabályokkal összhangban közvetlenül vagy harmadik fél révén ellenőrzi:

a)	a természetes személynek vagy a jogi_személy képviseletre jogosult képviselőjének személyes jelenléte útján; vagy

b)

távolról, olyan elektronikus_azonosító_eszköz használatával, amely tekintetében a minősített tanúsítvány kibocsátása előtt biztosították a természetes személynek vagy a jogi_személy képviseletre jogosult képviselőjének személyes jelenlétét, és amely megfelel a 8. cikkben a „ jelentős”, illetve a „ magas” biztonsági szintre vonatkozóan meghatározott követelményeknek, vagy

c)	minősített elektronikus_aláírás vagy minősített elektronikus_bélyegző a) vagy b) ponttal összhangban kibocsátott tanúsítványával; vagy

d)	a személyes jelenléttel egyenértékű biztosítékot nyújtó, nemzeti szinten elismert egyéb azonosítási módszerek alkalmazásával. A biztonság egyenértékűségét megfelelőségértékelő_szervezetnek kell igazolnia.

(2)   A minősített bizalmi_szolgáltatást nyújtó minősített bizalmi_szolgáltató köteles:

a)	értesíteni a felügyeleti szervet a minősített bizalmi_szolgáltatásai nyújtásában bekövetkező változásokról, valamint e tevékenységek beszüntetésének szándékáról;

b)

olyan munkatársakat és adott esetben olyan alvállalkozókat alkalmazni, akik megbízhatóak, rendelkeznek a szükséges szakértelemmel, tapasztalattal és képesítésekkel, valamint megfelelő képzésben részesültek a biztonságra és a személyes adatok védelmére vonatkozó szabályokkal kapcsolatban, továbbá köteles olyan igazgatási és ügyvezetési eljárásokat alkalmazni, amelyek megfelelnek az európai és nemzetközi szabványoknak;

c)	a 13. cikk szerinti kártérítési felelősség kockázata tekintetében megfelelő pénzügyi forrásokkal és/vagy megfelelő felelősségbiztosítással rendelkezni a nemzeti joggal összhangban;

d)	a szerződéskötést megelőzően közérthetően és teljes körűen tájékoztatni a minősített bizalmi_szolgáltatást igénybe venni kívánó személyt a szolgáltatás igénybevételére vonatkozó pontos szerződési feltételekről, beleértve az igénybevételre vonatkozó bármely korlátozást is;

e)	olyan megbízható rendszereket és termékeket használni, amelyek védettek a változtatásokkal szemben, és biztosítják az általuk támogatott eljárások technikai biztonságát és megbízhatóságát;

f)

megbízható rendszereket használni a számára szolgáltatott adatok ellenőrizhető formában történő tárolására, olyan módon, hogy: i. az adatok kizárólag annak a személynek a hozzájárulásával legyenek nyilvánosan kereshetők, akire az adatok vonatkoznak; ii. kizárólag arra feljogosított személyek végezhessenek bejegyzéseket és változtatásokat a tárolt adatokon; iii. ellenőrizhető legyen az adatok hitelessége;

g)	megfelelő intézkedéseket hozni az adathamisítás és az adatlopás ellen;

h)

megfelelő – a minősített bizalmi_szolgáltató tevékenységeinek beszüntetését követő időszakra is kiterjedő – időtartamra rögzíteni és hozzáférhetővé tenni az általa vagy számára kibocsátott adatokra vonatkozó összes lényeges információt, elsősorban bizonyítékok bírósági eljárások során történő bemutatása, valamint a szolgáltatás folytonosságának biztosítása céljából. Az ilyen adatrögzítés elektronikus úton is végezhető;

i)	a felügyeleti szerv által a 17. cikk (4) bekezdésének i) pontja szerint ellenőrzött rendelkezéseknek megfelelő naprakész tervvel rendelkezni a szolgáltatás megszüntetésére vonatkozóan, a szolgáltatás folytonosságának biztosítása érdekében;

j)	biztosítani a személyes adatoknak a 95/46/EK irányelvnek megfelelő jogszerű feldolgozását;

k)	minősített tanúsítványokat kibocsátó minősített bizalmi_szolgáltatók esetében tanúsítvány-adatbázist létrehozni és naprakészen tartani.

(3)   Amennyiben a minősített tanúsítványt kibocsátó minősített bizalmi_szolgáltatók egy tanúsítvány visszavonása mellett döntenek, kellő időben, de minden esetben a kérelem kézhezvételét követő 24 órán belül rögzíteniük kell tanúsítvány-adatbázisukban a visszavonást, és közzé kell tenniük a tanúsítvány visszavont státusát. A visszavonás a közzétételét követően azonnal hatályossá válik.

(4)   Tekintettel a (3) bekezdésre, a minősített tanúsítványt kibocsátó minősített bizalmi_szolgáltatónak tájékoztatnia kell a szolgáltatást igénybe vevő felet az általa kibocsátott minősített tanúsítványok érvényességéről vagy visszavont státusáról. Ennek az információnak – legalább tanúsítványonként – megbízható, ingyenes és hatékony automatizált formában bármikor, a tanúsítvány érvényességi idejének lejártát követően is elérhetőnek kell lennie.

(5)   A Bizottság végrehajtási jogi aktusok útján összeállíthatja az e cikk (2) bekezdésének e) és f) pontjában foglalt követelményeknek megfelelő, megbízható rendszerekre és termékekre vonatkozó szabványok hivatkozási számainak listáját. Amennyiben a megbízható rendszerek és termékek megfelelnek ezeknek a szabványoknak, vélelmezni kell az e cikkben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

4.   SZAKASZ

Elektronikus aláírás

28. cikk

Elektronikus aláírások minősített tanúsítványai

(1)   Az elektronikus_aláírások minősített tanúsítványainak meg kell felelniük az I. mellékletben foglalt követelményeknek.

(2)   Az elektronikus_aláírások minősített tanúsítványaira nem vonatkozhatnak olyan kötelező követelmények, amelyek az I. mellékletben foglalt előírásokat meghaladják.

(3)   Az elektronikus_aláírások minősített tanúsítványain további, nem kötelező jellegű egyedi jellemzőket is fel lehet tüntetni. Ezek a jellemzők nem érinthetik a minősített elektronikus_aláírások interoperabilitását és elismerését.

(4)   Ha az elektronikus_aláírás minősített tanúsítványát a kezdeti aktiválást követően visszavonják, a tanúsítvány a visszavonás időpontjában érvényességét veszti, státusa pedig semmilyen körülmények között nem állítható vissza.

(5)   A tagállamok az alábbi feltételek mellett nemzeti szabályokat határozhatnak meg az elektronikus_aláírás minősített tanúsítványának ideiglenes felfüggesztésére vonatkozóan:

a)	ha egy elektronikus_aláírás minősített tanúsítványát ideiglenesen felfüggesztik, a tanúsítvány a felfüggesztés időtartamára érvényét veszti;

b)	a felfüggesztés időtartamát egyértelműen fel kell tüntetni a tanúsítványok adatbázisában oly módon, hogy a felfüggesztett státus a felfüggesztés időtartama alatt látható legyen a tanúsítvány státusáról tájékoztatást nyújtó szolgáltatás igénybevétele során.

(6)   A Bizottság végrehajtási jogi aktusok útján összeállíthatja az elektronikus_aláírások minősített tanúsítványaira vonatkozó szabványok hivatkozási számainak listáját. Amennyiben az elektronikus_aláírás minősített tanúsítványa megfelel ezeknek a szabványoknak, vélelmezni kell az I. mellékletben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

29. cikk

A minősített elektronikus_aláírást létrehozó eszközökre vonatkozó követelmények

(1)   A minősített elektronikus_aláírást létrehozó eszközöknek meg kell felelniük a II. mellékletben foglalt követelményeknek.

(2)   A Bizottság végrehajtási jogi aktusok útján összeállíthatja a minősített elektronikus_aláírást létrehozó eszközökre vonatkozó szabványok hivatkozási számainak listáját. Amennyiben a minősített elektronikus_aláírást létrehozó eszköz megfelel ezeknek a szabványoknak, vélelmezni kell a II. mellékletben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

32. cikk

A minősített elektronikus_aláírás érvényesítésére vonatkozó követelmények

(1)   A minősített elektronikus_aláírás érvényesítésére szolgáló eljárás megállapítja a minősített elektronikus_aláírás érvényességét, amennyiben:

a)	az aláírást igazoló tanúsítvány az aláírás időpontjában elektronikus_aláírás olyan minősített tanúsítványa volt, amely megfelel az I. mellékletnek;

b)	a minősített tanúsítványt minősített bizalmi_szolgáltató bocsátotta ki, és az az aláírás időpontjában érvényes volt;

c)	az aláírás- érvényesítési_adatok megfelelnek a szolgáltatást igénybe_vevő_fél számára megadott adatoknak;

d)	a szolgáltatást igénybe_vevő_fél pontosan megkapja a tanúsítványban az aláírót azonosító egyedi adatokat;

e)	amennyiben az aláírás időpontjában álnév használatára került sor, az álnév használatának tényét egyértelműen feltüntették a szolgáltatást igénybe_vevő_fél számára;

f)	az elektronikus_aláírást minősített elektronikus_aláírást létrehozó eszközzel állították elő;

g)	az aláírt adatok sértetlensége nem került veszélybe;

h)	az aláírás időpontjában teljesültek a 26. cikkben foglalt követelmények;

(2)   A minősített elektronikus_aláírás érvényesítésére használt rendszernek biztosítania kell az érvényesítési eljárás pontos eredményét a szolgáltatást igénybe_vevő_fél számára, és lehetővé kell tennie, hogy a szolgáltatást igénybe_vevő_fél minden, a biztonságot érintő problémát észleljen.

(3)   A Bizottság végrehajtási jogi aktusok útján összeállíthatja a minősített elektronikus_aláírások érvényesítésére vonatkozó szabványok hivatkozási számainak listáját. Amennyiben a minősített elektronikus_aláírás érvényesítése megfelel ezeknek a szabványoknak, vélelmezni kell az (1) bekezdésben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

33. cikk

Minősített elektronikus_aláírást érvényesítő minősített érvényesítési szolgáltatás

(1)   Minősített elektronikus_aláírást érvényesítő minősített érvényesítési szolgáltatást kizárólag olyan minősített bizalmi_szolgáltató nyújthat, amely:

a)	a 32. cikk (1) bekezdésének megfelelő érvényesítést biztosít; és

b)

lehetővé teszi a szolgáltatást igénybe vevő felek részére, hogy olyan automatizált módon kapják meg az érvényesítési eljárás eredményét, amely megbízható és hatékony, és amelyet a minősített érvényesítési szolgáltatás biztosítójának fokozott biztonságú elektronikus_aláírásával vagy fokozott biztonságú elektronikus_bélyegzőjével láttak el.

(2)   A Bizottság végrehajtási jogi aktusok útján összeállíthatja az (1) bekezdésben említett minősített érvényesítési szolgáltatásra vonatkozó szabványok hivatkozási számainak listáját. Amennyiben a minősített elektronikus_aláírást érvényesítő szolgáltatás megfelel ezeknek a szabványoknak, vélelmezni kell az (1) bekezdésben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

34. cikk

Minősített elektronikus_aláírás megőrzésére vonatkozó minősített szolgáltatás

(1)   Minősített elektronikus_aláírás megőrzésére vonatkozó minősített szolgáltatást kizárólag olyan minősített bizalmi_szolgáltató nyújthat, amely olyan eljárásokat és technológiákat alkalmaz, amelyek képesek a minősített elektronikus_aláírás megbízhatóságát a technológiai érvényességi időn túlra is kiterjeszteni.

(2)   A Bizottság végrehajtási jogi aktusok útján összeállíthatja a minősített elektronikus_aláírások megőrzésére vonatkozó minősített szolgáltatásokról szóló szabványok hivatkozási számainak listáját. Amennyiben a minősített elektronikus_aláírás megőrzésére vonatkozó minősített szolgáltatás megfelel ezeknek a szabványoknak, vélelmezni kell az (1) bekezdésben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 486. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

5.   SZAKASZ

Elektronikus bélyegzők

38. cikk

Elektronikus bélyegzők minősített tanúsítványai

(1)   Az elektronikus_bélyegzők minősített tanúsítványainak meg kell felelniük a III. mellékletben foglalt követelményeknek.

(2)   Az elektronikus_bélyegzők minősített tanúsítványaira nem vonatkozhatnak olyan kötelező követelmények, amelyek a III. mellékletben foglalt előírásokat meghaladják.

(3)   Az elektronikus_bélyegzők minősített tanúsítványain további, nem kötelező jellegű egyedi jellemzők is feltüntethetők. Ezek a jellemzők nem érinthetik a minősített elektronikus_bélyegzők interoperabilitását és elismerését.

(4)   Ha az elektronikus_bélyegző minősített tanúsítványát a kezdeti aktiválást követően visszavonják, a tanúsítvány a visszavonás időpontjában érvényét veszti, státusa pedig semmilyen körülmények között nem állítható vissza.

(5)   A tagállamok az alábbi feltételek mellett nemzeti szabályokat határozhatnak meg az elektronikus_bélyegzők minősített tanúsítványai ideiglenes felfüggesztésére vonatkozóan:

a)	ha egy elektronikus_bélyegző minősített tanúsítványát ideiglenesen felfüggesztik, a tanúsítvány a felfüggesztés időtartamára érvényét veszti;

b)	a felfüggesztés időtartamát egyértelműen fel kell tüntetni a tanúsítványok adatbázisában oly módon, hogy a felfüggesztett státus a felfüggesztés időtartama alatt látható legyen a tanúsítvány státusáról tájékoztatást nyújtó szolgáltatás igénybevétele során.

(6)   A Bizottság végrehajtási jogi aktusok útján összeállíthatja az elektronikus_bélyegzők minősített tanúsítványaira vonatkozó szabványok hivatkozási számainak listáját. Amennyiben az elektronikus_bélyegző minősített tanúsítványa megfelel ezeknek a szabványoknak, vélelmezni kell a III. mellékletben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

42. cikk

A minősített elektronikus_időbélyegzőre vonatkozó követelmények

(1)   A minősített elektronikus_időbélyegzőnek az alábbi követelményeknek kell megfelelnie:

a)	az adatokat oly módon kell a dátumhoz és az időponthoz kapcsolnia, hogy az ésszerű mértékben kizárja az adatok észrevétlen megváltoztatásának lehetőségét;

b)	az egyezményes koordinált világidőhöz kötött pontos időforráson kell alapulnia; és

c)	a minősített bizalmi_szolgáltató fokozott biztonságú elektronikus_aláírásával vagy fokozott biztonságú elektronikus_bélyegzőjével, vagy más egyenértékű módszerrel kell ellenjegyezni.

(2)   A Bizottság végrehajtási jogi aktusok útján összeállíthatja a dátumnak és az időpontnak az adatokhoz való hozzárendelésére, valamint a pontos időforrásokra vonatkozó szabványok hivatkozási számainak listáját. Amennyiben a dátumnak és az időpontnak az adatokhoz való hozzárendelése, valamint a pontos időforrás megfelel ezeknek a szabványoknak, vélelmezni kell az (1) bekezdésben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

7.   SZAKASZ

Ajánlott elektronikus kézbesítési szolgáltatás

44. cikk

A minősített ajánlott_elektronikus_kézbesítési_szolgáltatásokra vonatkozó követelmények

(1)   A minősített ajánlott_elektronikus_kézbesítési_szolgáltatásoknak az alábbi követelményeknek kell megfelelniük:

a)	egy vagy több minősített bizalmi_szolgáltató nyújtja a szolgáltatásokat;

b)	lehetővé teszik azt, hogy nagy biztonsággal lehessen azonosítani a küldőt;

c)	az adat kézbesítése előtt biztosítaniuk kell a fogadó azonosítását;

d)	az adatküldést és az adatfogadást egy minősített bizalmi_szolgáltató fokozott biztonságú elektronikus_aláírásával vagy fokozott biztonságú elektronikus_bélyegzőjével kell biztonságossá tenni olyan módon, hogy az kizárja az adatok észrevétlen megváltoztatásának lehetőségét;

e)	az adatküldéshez vagy -fogadáshoz szükséges minden adatmódosítást világosan fel kell tüntetni az adatok küldője és címzettje számára;

f)	az adatok küldésének, fogadásának és módosításának dátumát és időpontját minősített elektronikus_időbélyegzővel fel kell tüntetni;

Két vagy több minősített bizalmi_szolgáltató között történő adattovábbítás esetén az a)–f) pont követelményei valamennyi minősített bizalmi_szolgáltatóra vonatkozóan alkalmazandók.

(2)   A Bizottság végrehajtási jogi aktusok útján összeállíthatja az adatküldés és adatfogadás folyamatára vonatkozó szabványok hivatkozási számainak listáját. Amennyiben az adatküldés és az adatfogadás folyamata megfelel ezeknek a szabványoknak, vélelmezni kell az (1) bekezdésben foglalt követelmények teljesülését. Az említett végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

8.   SZAKASZ

Weboldal- hitelesítés

45. cikk

Weboldal hitelesítésére szolgáló minősített tanúsítványokra vonatkozó követelmények

(1)   A weboldal hitelesítésére szolgáló minősített tanúsítványoknak meg kell felelniük a IV. mellékletben foglalt követelményeknek.

(2)   A Bizottság végrehajtási jogi aktusok útján összeállíthatja a weboldal hitelesítésére szolgáló minősített tanúsítványokra vonatkozó szabványok hivatkozási számainak listáját. Amennyiben a weboldal hitelesítésére szolgáló minősített tanúsítvány megfelel ezeknek a szabványoknak, vélelmezni kell a IV. mellékletben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

IV.   FEJEZET

ELEKTRONIKUS DOKUMENTUMOK