keyboard_tab EIDAS 2014/0910 HU

whereas késedelem:

definitions:

• jogi személy
• elektronikus azonosítás
• elektronikus azonosító eszköz
• személyazonosító adat
• elektronikus azonosítási rendszer
• hitelesítés
• igénybe vevő fél
• közigazgatási szerv
• közjogi intézmény
• aláíró
• elektronikus aláírás
• fokozott biztonságú elektronikus aláírás
• minősített elektronikus aláírás
• elektronikus aláírás létrehozásához használt adat
• elektronikus aláírás tanúsítványa
• elektronikus aláírás minősített tanúsítványa
• bizalmi szolgáltatás
• minősített bizalmi szolgáltatás
• megfelelőségértékelő szervezet
• bizalmi szolgáltató
• minősített bizalmi szolgáltató
• termék
• elektronikus aláírást létrehozó eszköz
• minősített elektronikus aláírást létrehozó eszköz
• bélyegző létrehozója
• elektronikus bélyegző
• fokozott biztonságú elektronikus bélyegző
• minősített elektronikus bélyegző
• elektronikus bélyegző létrehozásához használt adatok
• elektronikus bélyegző tanúsítványa
• elektronikus bélyegző minősített tanúsítványa
• elektronikus bélyegzőt létrehozó eszköz
• minősített elektronikus bélyegzőt létrehozó eszköz
• elektronikus időbélyegző
• minősített elektronikus időbélyegző
• elektronikus dokumentum
• ajánlott elektronikus kézbesítési szolgáltatás
• minősített ajánlott elektronikus kézbesítési szolgáltatás
• weboldal-hitelesítő tanúsítvány
• minősített weboldal-hitelesítő tanúsítvány
• érvényesítési adatok
• érvényesítés
• alacsony
• jelentős
• magas

9. cikk

Bejelentés

(1)   A bejelentő tagállam a következő információkat, valamint azok későbbi változásait indokolatlan késedelem nélkül bejelenti a Bizottságnak:

a)	az elektronikus_azonosítási rendszer leírása, ezen belül a rendszer biztonsági szintjei, az adott rendszerbe tartozó elektronikus_azonosító_eszközök kibocsátója (kibocsátói);

b)	az alkalmazandó felügyeleti rendszer, valamint tájékoztatás a felelősségi szabályokról az alábbiak vonatkozásában: i. az elektronikus_azonosító_eszközt kibocsátó fél; valamint ii. a hitelesítési eljárást végrehajtó fél;

c)	az elektronikus_azonosítási rendszerért felelős hatóság vagy hatóságok;

d)	tájékoztatás az egyedi személyazonosító_adatok nyilvántartásba vételét kezelő szervezetről vagy szervezetekről;

e)	annak ismertetése, hogy a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusokban foglalt előírások milyen módon teljesülnek;

f)	a 7. cikk f) pontjában említett hitelesítés leírása;

g)	a bejelentett elektronikus_azonosítási rendszernek vagy hitelesítésnek vagy azok veszélyeztetett részeinek a felfüggesztésére vagy visszavonására vonatkozó szabályok.

(2)   A 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazásának időpontját követően egy évvel a Bizottság az Európai Unió Hivatalos Lapjában közzéteszi az e cikk (1) bekezdése szerint bejelentett elektronikus_azonosítási rendszerek listáját és az azokkal kapcsolatos alapinformációkat.

(3)   Amennyiben a (2) bekezdésben említett határidő lejárta után érkezik bejelentés, a Bizottság a bejelentés kézhezvételétől számított két hónapon belül közzéteszi az Európai Unió Hivatalos Lapjában a (2) bekezdésben említett lista változásait.

(4)   Bármely tagállam kérelmezheti a Bizottságtól, hogy az általa bejelentett elektronikus_azonosítási rendszert törölje a (2) bekezdésben említett listáról. A Bizottság a tagállam kérelmének kézhezvételétől számított egy hónapon belül közzéteszi az Európai Unió Hivatalos Lapjában a lista módosításait.

(5)   A Bizottság végrehajtási jogi aktusok útján meghatározhatja az (1) bekezdés szerinti bejelentés feltételeit, formátumait és eljárásait. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

10. cikk

A biztonság megsértése

(1)   Amennyiben a 9. cikk (1) bekezdésének megfelelően bejelentett elektronikus_azonosítási rendszert vagy a 7. cikk f) pontjában említett hitelesítést oly módon megsértik vagy részben veszélyeztetik, hogy ez hátrányosan érinti a rendszer határokon átnyúló hitelesítésének megbízhatóságát, a bejelentő tagállam késedelem nélkül felfüggeszti vagy visszavonja a határokon átnyúló hitelesítést vagy az érintett veszélyeztetett részeket, és erről tájékoztatja a többi tagállamot és a Bizottságot.

(2)   Az (1) bekezdésben említett biztonságsértés vagy veszély orvoslását követően a bejelentő tagállam visszaállítja a határokon átnyúló hitelesítést, és indokolatlan késedelem nélkül értesíti a többi tagállamot és a Bizottságot.

(3)   Ha az (1) bekezdésben említett biztonságsértést vagy veszélyt nem orvosolják a felfüggesztést vagy a visszavonást követő három hónapon belül, a bejelentő tagállam értesíti a többi tagállamot és a Bizottságot az elektronikus_azonosítási rendszer visszavonásáról.

A Bizottság indokolatlan késedelem nélkül közzéteszi az Európai Unió Hivatalos Lapjában a 9. cikk (2) bekezdésében említett lista ennek megfelelő módosításait.

17. cikk

Felügyeleti szerv

(1)   A tagállamok a területükön, vagy másik tagállammal kötött kölcsönös megállapodás alapján e másik tagállamban letelepedett felügyeleti szervet jelölnek ki. E felügyeleti szerv felelős a felügyeleti feladatok elvégzéséért a kijelölő tagállamban.

A felügyeleti szervek számára biztosítani kell a feladataik ellátásához szükséges hatásköröket és megfelelő forrásokat.

(2)   A tagállamok bejelentik a Bizottságnak a kijelölt felügyeleti szerveik nevét és címét.

(3)   A felügyeleti szerv szerepe a következő:

a)

a kijelölő tagállam területén letelepedett minősített bizalmi_szolgáltatók felügyelete, amelynek keretében előzetes és utólagos felügyeleti tevékenységek révén biztosítja, hogy e minősített bizalmi_szolgáltatók és az általuk nyújtott minősített bizalmi_szolgáltatások megfeleljenek az e rendeletben megállapított követelményeknek;

b)

szükség esetén a kijelölő tagállam területén letelepedett nem minősített bizalmi_szolgáltatókkal szembeni intézkedés, utólagos felügyeleti tevékenységek formájában, amennyiben arról értesül, hogy e nem minősített bizalmi_szolgáltatók vagy az általuk nyújtott bizalmi_szolgáltatások vélhetően nem felelnek meg az e rendeletben megállapított követelményeknek.

(4)   A (3) bekezdés alkalmazásában és az ott megjelölt korlátozások figyelembevételével a felügyeleti szerv különösen az alábbi feladatokat végzi:

a)	együttműködik más felügyeleti szervekkel, és a 18. cikkel összhangban segítséget nyújt e szerveknek;

b)	elemzi a 20. cikk (1) bekezdésében és a 21. cikk (1) bekezdésében említett megfelelőségértékelési jelentéseket;

c)	a 19. cikk (2) bekezdésének megfelelően tájékoztatja a többi felügyeleti szervet és a nyilvánosságot a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről;

d)	e cikk (6) bekezdésével összhangban jelentést küld a Bizottságnak a főbb tevékenységeiről;

e)	a 20. cikk (2) bekezdésével összhangban ellenőrzéseket hajt végre, illetve megfelelőségértékelő_szervezetet kér fel a megfelelőségértékelés elvégzésére a minősített bizalmi_szolgáltatóknál;

f)	együttműködik az adatvédelmi hatóságokkal, és indokolatlan késedelem nélkül tájékoztatja őket a minősített bizalmi_szolgáltatóknál végzett ellenőrzések eredményéről, amennyiben a személyes adatok védelmére vonatkozó szabályok megsértése merül fel;

g)	a 20. és a 21. cikkel összhangban megadja a minősített státust a bizalmi_szolgáltatóknak és az általuk nyújtott szolgáltatásoknak, valamint visszavonja tőlük e státust;

h)	tájékoztatja a 22. cikk (3) bekezdésében említett, tagállami bizalmi listáért felelős szervet a minősített státus megadására és visszavonására vonatkozó határozatairól, amennyiben ez a szerv egyben nem maga a felügyeleti szerv;

i)

ellenőrzi a szolgáltatás megszüntetésére vonatkozó terv meglétét, valamint a tervre vonatkozó rendelkezések helyes alkalmazását olyan esetekben, amikor valamely minősített bizalmi_szolgáltató meg kívánja szüntetni a tevékenységét, beleértve annak ellenőrzését is, hogy az információ milyen módon lesz továbbra is hozzáférhető a 24. cikk (2) bekezdésének h) pontjával összhangban;

j)	előírja, hogy a bizalmi_szolgáltatók orvosolják a helyzetet, amennyiben nem felelnének meg az e rendeletben foglalt követelményeknek.

(5)   A tagállamok előírhatják, hogy a felügyeleti szerv a tagállami jogban megállapított feltételek szerint hozzon létre egy bizalmi infrastruktúrát, az tartsa fenn és tegye naprakésszé.

(6)   A felügyeleti szervek minden évben március 31-ig benyújtják a Bizottságnak az előző naptári évben végzett főbb tevékenységeikről szóló jelentést és a bizalmi_szolgáltatóktól a 19. cikk (2) bekezdésével összhangban beérkezett, a biztonság megsértésére vonatkozó bejelentések összefoglalóját.

(7)   A Bizottság a tagállamok rendelkezésére bocsátja a (6) bekezdésben említett éves jelentést.

(8)   A Bizottság végrehajtási jogi aktusok útján meghatározhatja a (6) bekezdésben említett jelentés formátumát és a hozzá kapcsolódó eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

19. cikk

Bizalmi szolgáltatókra vonatkozó biztonsági előírások

(1)   A minősített és nem minősített bizalmi_szolgáltatók megfelelő technikai és szervezeti intézkedéseket hajtanak végre az általuk nyújtott bizalmi_szolgáltatások biztonságát fenyegető kockázatok kezelése érdekében. Ezen intézkedésekkel – figyelembe véve a legújabb technológiai fejleményeket – biztosítani kell, hogy a biztonsági szint arányos legyen a kockázat mértékével. Intézkedéseket kell végrehajtani különösen a biztonsági események megelőzése és azok hatásának minimálisra csökkentése, valamint az érdekeltek bármely esemény káros hatásairól való tájékoztatása érdekében.

(2)   A minősített és nem minősített bizalmi_szolgáltatók indokolatlan késedelem nélkül, de minden esetben az esetről való értesüléstől számított 24 órán belül értesítik a felügyeleti szervet és adott esetben más érintett szerveket, például az információbiztonságért felelős nemzeti szervet vagy az adatvédelmi hatóságot a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről, amennyiben az jelentős hatást gyakorol a bizalmi_szolgáltatásra vagy az annak keretében tárolt személyes adatokra.

Amennyiben a biztonság megsértése vagy az adatok sértetlenségének megszűnése vélhetőleg hátrányosan érintheti azt a természetes vagy jogi_személyt, aki bizalmi_szolgáltatást vett igénybe, a bizalmi_szolgáltató a természetes vagy jogi_személyt is indokolatlan késedelem nélkül értesíti a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről.

Adott esetben, különösen, ha a biztonság megsértése vagy az adatok sértetlenségének megszűnése két vagy több tagállamot érint, az értesítést kézhez vevő felügyeleti szerv tájékoztatja a többi érintett tagállam felügyeleti szerveit és az ENISA-t.

Az értesített felügyeleti szerv tájékoztatja a nyilvánosságot, vagy a bizalmi_szolgáltatókat kötelezi erre, amennyiben megállapítja, hogy a biztonság megsértésének vagy az adatok sértetlensége megszűnésének a nyilvánosságra hozatala közérdekből szükséges.

(3)   A felügyeleti szerv évente egyszer összefoglaló tájékoztatást nyújt az ENISA számára a bizalmi_szolgáltatóktól beérkezett, a biztonság megsértésére és az adatok sértetlenségének megszűnésére vonatkozó bejelentésekről.

(4)   A Bizottság végrehajtási jogi aktusok útján:

a)	az (1) bekezdésben említett intézkedéseket tovább pontosíthatja, és

b)	meghatározhatja a (2) bekezdés céljára alkalmazandó formátumokat és eljárásokat, beleértve a határidőket is.

Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

3.   SZAKASZ

Minősített bizalmi_szolgáltatások

21. cikk

Minősített bizalmi_szolgáltatás elindítása

(1)   Amennyiben minősített státusszal nem rendelkező bizalmi_szolgáltatók minősített bizalmi_szolgáltatások elindítását tervezik, értesíteniük kell e szándékukról a felügyeleti szervet, az értesítéshez egy megfelelőségértékelő_szervezet által kibocsátott megfelelőségértékelési jelentést is mellékelve.

(2)   A felügyeleti szerv ellenőrzi, hogy a bizalmi_szolgáltató és az általa nyújtott bizalmi_szolgáltatások megfelelnek-e e rendelet előírásainak, különösen a minősített bizalmi_szolgáltatókra és az általuk nyújtott minősített bizalmi_szolgáltatásokra vonatkozó előírásoknak.

Amennyiben a felügyeleti szerv azt állapítja meg, hogy a bizalmi_szolgáltató és az általa nyújtott bizalmi_szolgáltatások megfelelnek az első albekezdésben említett követelményeknek, megadja a minősített státust a bizalmi_szolgáltató és az általa nyújtott bizalmi_szolgáltatások számára, valamint legkésőbb három hónappal az e cikk (1) bekezdése szerinti értesítést követően a 22. cikk (1) bekezdésében említett bizalmi listák frissítése céljából értesíti a 22. cikk (3) bekezdésében említett szervet.

Amennyiben az ellenőrzés az értesítést követő három hónapon belül nem zárul le, a felügyeleti szerv tájékoztatja erről a bizalmi_szolgáltatót, megjelölve a késedelem okát és az ellenőrzés befejezésére kitűzött időpontot.

(3)   A minősített bizalmi_szolgáltatók azt követően indíthatják el a minősített bizalmi_szolgáltatást, hogy a „minősített” státust feltüntették a 22. cikk (1) bekezdésében említett bizalmi listákon.

(4)   A Bizottság végrehajtási jogi aktusok útján meghatározhatja az (1) és (2) bekezdés céljából alkalmazandó formátumokat és eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

22. cikk

Bizalmi listák

(1)   Valamennyi tagállam bizalmi listákat állít össze, tart fenn és tesz közzé, amelyeken szerepelnek a felelőssége alá tartozó minősített bizalmi_szolgáltatókra vonatkozó információk, valamint az e szolgáltatók által nyújtott minősített bizalmi_szolgáltatásokra vonatkozó információk.

(2)   A tagállamok biztonságos módon, automatizált feldolgozásra alkalmas formában állítják össze, tartják fenn és teszik közzé az (1) bekezdésben említett, elektronikus_aláírással vagy bélyegzővel ellátott bizalmi listákat.

(3)   A tagállamok indokolatlan késedelem nélkül bejelentik a Bizottságnak a tagállami bizalmi listák összeállításáért, fenntartásáért és közzétételéért felelős szervre vonatkozó adatokat, és az ilyen listák közzétételi helyével, a bizalmi listák aláírással és bélyegzővel való ellátásához használt tanúsítvánnyal, valamint a mindezeket érintő változtatásokkal kapcsolatos részleteket.

(4)   A Bizottság biztonságos csatornán keresztül, automatizált feldolgozásra alkalmas, elektronikus_aláírással vagy bélyegzővel ellátott formátumban a nyilvánosság számára elérhetővé teszi a (3) bekezdésben említett adatokat.

(5)   A Bizottság 2015. szeptember 18-ig végrehajtási jogi aktusok útján pontosíthatja az (1) bekezdésben meghatározott információkat, és meghatározhatja a bizalmi listákra vonatkozó, az (1)–(4) bekezdés értelmében alkalmazandó műszaki leírást és formátumokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

31. cikk

A minősített elektronikus_aláírást létrehozó tanúsított eszközök listájának közzététele

(1)   A tagállamok indokolatlan késedelem nélkül, de legkésőbb egy hónappal a tanúsítás lezárultát követően bejelentik a Bizottságnak a 30. cikk (1) bekezdésében említett szervek által tanúsított, minősített elektronikus_aláírást létrehozó eszközökre vonatkozó adatokat. A tagállamok kötelesek továbbá indokolatlan késedelem nélkül, de legkésőbb egy hónappal a tanúsítás visszavonását követően bejelenteni a Bizottságnak a tanúsítvánnyal már nem rendelkező, elektronikus_aláírást létrehozó eszközökre vonatkozó adatokat.

(2)   A beérkezett adatok alapján a Bizottság összeállítja, közzéteszi és fenntartja a, minősített elektronikus_aláírást létrehozó tanúsított eszközök listáját.

(3)   A Bizottság végrehajtási jogi aktusok útján meghatározhatja az (1) bekezdés céljából alkalmazandó formátumokat és eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.