EIDAS 2014/0910 HU

b)	az elektronikus_azonosítási rendszer keretébe tartozó elektronikus_azonosító_eszköz a bejelentő tagállamban legalább egy, közigazgatási_szerv által nyújtott és elektronikus_azonosítást előíró szolgáltatáshoz való hozzáféréshez használható;

c)	a rendszer és a keretében kibocsátott elektronikus_azonosító_eszköz megfelel a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban meghatározott biztonsági szintek közül legalább az egyikre vonatkozóan meghatározott követelményeknek;

a bejelentő tagállam biztosítja, hogy az adott személyt kizárólagosan azonosító személyazonosító_adatokat a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban előírt, vonatkozó biztonsági szinthez tartozó technikai specifikációknak, szabványoknak és eljárásoknak megfelelően hozzárendeljék a 3. cikk 1. pontjában említett természetes vagy jogi_személyhez a szóban forgó rendszer keretébe tartozó – elektronikus_azonosító_eszköz kibocsátásakor;

a szóban forgó rendszer keretébe tartozó elektronikus_azonosító_eszközt kibocsátó fél biztosítja, hogy az elektronikus_azonosító_eszközt a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban előírt, vonatkozó biztonsági szinthez tartozó technikai specifikációknak, szabványoknak és eljárásoknak megfelelően rendeljék hozzá az e cikk d) pontjában említett személyhez;

a bejelentő tagállam hozzáférést biztosít az online hitelesítéshez annak érdekében, hogy egy másik tagállam területén letelepedett bármely igénybe_vevő_fél igazolni tudja az elektronikus formában kapott személyazonosító_adatokat.

A közigazgatási_szervektől eltérő igénybe vevő felek esetében a bejelentő tagállam előírhatja a hitelesítésekhez való hozzáférés feltételeit. Az ilyen határokon átnyúló hitelesítést ingyenesen kell biztosítani, amennyiben arra egy közigazgatási_szerv által nyújtott online szolgáltatással kapcsolatban kerül sor.

A tagállamok semmilyen különleges, aránytalan technikai előírást nem tehetnek kötelezővé az ilyen hitelesítést végrehajtani kívánó igénybe vevő felek számára, amennyiben ezen előírások megakadályozzák vagy jelentősen megnehezítik a bejelentett elektronikus_azonosítási rendszerek közötti átjárhatóságot;

a 12. cikk (5) bekezdése szerinti kötelezettség teljesítése céljából a bejelentő tagállam a 9. cikk (1) bekezdése szerinti bejelentést megelőzően legalább hat hónappal, a 12. cikk (7) bekezdésében említett végrehjazási jogi aktusokban meghatározott eljárási szabályokkal összhangban eljuttatja a többi tagállamnak az említett rendszer leírását;

h)	az elektronikus_azonosítási rendszer megfelel a 12. cikk (8) bekezdésében említett végrehajtási jogi aktus előírásainak.

10. cikk

A biztonság megsértése

(1) Amennyiben a 9. cikk (1) bekezdésének megfelelően bejelentett elektronikus_azonosítási rendszert vagy a 7. cikk f) pontjában említett hitelesítést oly módon megsértik vagy részben veszélyeztetik, hogy ez hátrányosan érinti a rendszer határokon átnyúló hitelesítésének megbízhatóságát, a bejelentő tagállam késedelem nélkül felfüggeszti vagy visszavonja a határokon átnyúló hitelesítést vagy az érintett veszélyeztetett részeket, és erről tájékoztatja a többi tagállamot és a Bizottságot.

(2) Az (1) bekezdésben említett biztonságsértés vagy veszély orvoslását követően a bejelentő tagállam visszaállítja a határokon átnyúló hitelesítést, és indokolatlan késedelem nélkül értesíti a többi tagállamot és a Bizottságot.

(3) Ha az (1) bekezdésben említett biztonságsértést vagy veszélyt nem orvosolják a felfüggesztést vagy a visszavonást követő három hónapon belül, a bejelentő tagállam értesíti a többi tagállamot és a Bizottságot az elektronikus_azonosítási rendszer visszavonásáról.

A Bizottság indokolatlan késedelem nélkül közzéteszi az Európai Unió Hivatalos Lapjában a 9. cikk (2) bekezdésében említett lista ennek megfelelő módosításait.

12. cikk

Együttműködés és átjárhatóság

(1) A 9. cikk (1) bekezdése szerint bejelentett nemzeti elektronikus_azonosítási rendszereknek átjárhatónak kell lenniük.

(2) Az (1) bekezdésben megállapítottak teljesítése érdekében létre kell hozni egy átjárhatósági keretet.

(3) Az átjárhatósági keretnek az alábbi kritériumoknak kell megfelelnie:

a)	technológiasemlegességre törekszik, és a tagállamon belül az elektronikus_azonosításra szolgáló konkrét nemzeti technikai megoldások egyikével szemben sem alkalmaz hátrányos megkülönböztetést;

b)	lehetőség szerint követi az európai és a nemzetközi normákat;

c)	megkönnyíti a beépített adatvédelem elvének érvényesítését; és

d)	biztosítja a személyes adatoknak a 95/46/EK irányelvnek megfelelő feldolgozását.

(4) Az átjárhatósági keretnek az alábbiakat kell magában foglalnia:

a)	a 8. cikkben megállapított biztonsági szintekhez kapcsolódó minimális technikai követelményekre való hivatkozás;

b)	a bejelentett elektronikus_azonosítási rendszerek nemzeti biztonsági szintjeinek megfeleltetése a 8. cikkben megállapított biztonsági szinteknek;

c)	a minimális átjárhatósági technikai követelményekre való hivatkozás;

d)	egy természetes vagy jogi_személyt kizárólagosan azonosító, az elektronikus_azonosítási rendszerekből megszerezhető minimális személyazonosító_adatokra való hivatkozás;

e)	eljárási szabályzat;

f)	vitarendezési eljárások;és

g)	közös működési biztonsági normák.

(5) A tagállamok együttműködnek az alábbiak tekintetében:

a)	átjárhatóság a 9. cikk (1) bekezdése alapján bejelentett elektronikus_azonosítási rendszerek és azon elektronikus_azonosítási rendszerek között, amelyeket a tagállamok bejelenteni szándékoznak; és

b)	az elektronikus_azonosítási rendszerek biztonsága.

(6) A tagállamok közötti együttműködés a következőkre terjed ki:

a)	az elektronikus_azonosítási rendszerekkel kapcsolatos információk, tapasztalatok és bevált gyakorlat cseréje, különös tekintettel az átjárhatósággal és a biztonsági szintekkel kapcsolatos technikai követelményekre;

b)	az elektronikus_azonosítási rendszerekre vonatkozóan a 8. cikkben megállapított biztonsági szintek alkalmazásával kapcsolatos információk, tapasztalatok és bevált gyakorlat cseréje,

c)	az e rendelet hatálya alá tartozó elektronikus_azonosítási rendszerek partneri felülvizsgálata; és

d)	az elektronikus_azonosítási ágazat lényeges fejleményeinek vizsgálata.

(7) A Bizottság 2015. március 18-ig végrehajtási jogi aktusokban megállapítja az (5) és a (6) bekezdésben említett, tagállamok közötti együttműködés megkönnyítéséhez szükséges eljárási szabályokat a kockázat mértékének megfelelő magas szintű bizalom és biztonság elősegítése céljából.

(8) Az (1) bekezdésben megállapított követelmény teljesítésére vonatkozó egységes feltételek előírása céljából a Bizottság 2015. szeptember 18-ig – a (3) bekezdésben foglalt kritériumoknak megfelelően és a tagállamok közötti együttműködés eredményeinek figyelembevételével – végrehajtási jogi aktusokat fogad el a (4) bekezdésben meghatározott átjárhatósági keretre vonatkozóan.

(9) Az e cikk (7) és (8) bekezdésében említett végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

III. FEJEZET

BIZALMI SZOLGÁLTATÁSOK

1. SZAKASZ

Általános rendelkezések

13. cikk

Felelősség és bizonyítási teher

(1) A (2) bekezdés sérelme nélkül, a bizalmi_szolgáltatók felelősek minden olyan kárért, amelyet szándékosan vagy gondatlanul bármely természetes vagy jogi_személynek okoztak e rendelet szerinti kötelezettségeik megszegéséből eredően.

A nem minősített bizalmi_szolgáltató szándékosságát vagy gondatlanságát annak a természetes vagy jogi_személynek kell bizonyítania, aki/amely állítása szerint az első albekezdésben említett kár megtérítését követeli.

A minősített bizalmi_szolgáltató szándékosságát vagy gondatlanságát vélelmezni kell, kivéve, ha a minősített bizalmi_szolgáltató bizonyítja, hogy az első albekezdésben említett kár a szándékos vagy gondatlan közrehatása nélkül következett be.

(2) Amennyiben a bizalmi_szolgáltatók előzetesen megfelelően tájékoztatják az ügyfeleiket az általuk nyújtott szolgáltatások igénybevételére vonatkozó korlátozásokról, és amennyiben ezek a korlátozások harmadik felek számára felismerhetők, a bizalmi_szolgáltatók nem felelősek a szolgáltatások igénybevételéből eredő, a jelzett korlátozásokat meghaladó károkért.

(3) Az (1) és a (2) bekezdést a felelősségre vonatkozó nemzeti szabályokkal összhangban kell alkalmazni.

17. cikk

Felügyeleti szerv

(1) A tagállamok a területükön, vagy másik tagállammal kötött kölcsönös megállapodás alapján e másik tagállamban letelepedett felügyeleti szervet jelölnek ki. E felügyeleti szerv felelős a felügyeleti feladatok elvégzéséért a kijelölő tagállamban.

A felügyeleti szervek számára biztosítani kell a feladataik ellátásához szükséges hatásköröket és megfelelő forrásokat.

(2) A tagállamok bejelentik a Bizottságnak a kijelölt felügyeleti szerveik nevét és címét.

(3) A felügyeleti szerv szerepe a következő:

a kijelölő tagállam területén letelepedett minősített bizalmi_szolgáltatók felügyelete, amelynek keretében előzetes és utólagos felügyeleti tevékenységek révén biztosítja, hogy e minősített bizalmi_szolgáltatók és az általuk nyújtott minősített bizalmi_szolgáltatások megfeleljenek az e rendeletben megállapított követelményeknek;

szükség esetén a kijelölő tagállam területén letelepedett nem minősített bizalmi_szolgáltatókkal szembeni intézkedés, utólagos felügyeleti tevékenységek formájában, amennyiben arról értesül, hogy e nem minősített bizalmi_szolgáltatók vagy az általuk nyújtott bizalmi_szolgáltatások vélhetően nem felelnek meg az e rendeletben megállapított követelményeknek.

(4) A (3) bekezdés alkalmazásában és az ott megjelölt korlátozások figyelembevételével a felügyeleti szerv különösen az alábbi feladatokat végzi:

a)	együttműködik más felügyeleti szervekkel, és a 18. cikkel összhangban segítséget nyújt e szerveknek;

b)	elemzi a 20. cikk (1) bekezdésében és a 21. cikk (1) bekezdésében említett megfelelőségértékelési jelentéseket;

c)	a 19. cikk (2) bekezdésének megfelelően tájékoztatja a többi felügyeleti szervet és a nyilvánosságot a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről;

d)	e cikk (6) bekezdésével összhangban jelentést küld a Bizottságnak a főbb tevékenységeiről;

e)	a 20. cikk (2) bekezdésével összhangban ellenőrzéseket hajt végre, illetve megfelelőségértékelő_szervezetet kér fel a megfelelőségértékelés elvégzésére a minősített bizalmi_szolgáltatóknál;

f)	együttműködik az adatvédelmi hatóságokkal, és indokolatlan késedelem nélkül tájékoztatja őket a minősített bizalmi_szolgáltatóknál végzett ellenőrzések eredményéről, amennyiben a személyes adatok védelmére vonatkozó szabályok megsértése merül fel;

g)	a 20. és a 21. cikkel összhangban megadja a minősített státust a bizalmi_szolgáltatóknak és az általuk nyújtott szolgáltatásoknak, valamint visszavonja tőlük e státust;

h)	tájékoztatja a 22. cikk (3) bekezdésében említett, tagállami bizalmi listáért felelős szervet a minősített státus megadására és visszavonására vonatkozó határozatairól, amennyiben ez a szerv egyben nem maga a felügyeleti szerv;

ellenőrzi a szolgáltatás megszüntetésére vonatkozó terv meglétét, valamint a tervre vonatkozó rendelkezések helyes alkalmazását olyan esetekben, amikor valamely minősített bizalmi_szolgáltató meg kívánja szüntetni a tevékenységét, beleértve annak ellenőrzését is, hogy az információ milyen módon lesz továbbra is hozzáférhető a 24. cikk (2) bekezdésének h) pontjával összhangban;

j)	előírja, hogy a bizalmi_szolgáltatók orvosolják a helyzetet, amennyiben nem felelnének meg az e rendeletben foglalt követelményeknek.

(5) A tagállamok előírhatják, hogy a felügyeleti szerv a tagállami jogban megállapított feltételek szerint hozzon létre egy bizalmi infrastruktúrát, az tartsa fenn és tegye naprakésszé.

(6) A felügyeleti szervek minden évben március 31-ig benyújtják a Bizottságnak az előző naptári évben végzett főbb tevékenységeikről szóló jelentést és a bizalmi_szolgáltatóktól a 19. cikk (2) bekezdésével összhangban beérkezett, a biztonság megsértésére vonatkozó bejelentések összefoglalóját.

(7) A Bizottság a tagállamok rendelkezésére bocsátja a (6) bekezdésben említett éves jelentést.

(8) A Bizottság végrehajtási jogi aktusok útján meghatározhatja a (6) bekezdésben említett jelentés formátumát és a hozzá kapcsolódó eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

18. cikk

Kölcsönös segítségnyújtás

(1) A felügyeleti szervek együttműködnek a bevált gyakorlatok megosztása érdekében.

Ha egy felügyeleti szerv egy másik felügyeleti szervtől jogos megkeresést kap, ennek a szervnek segítséget nyújt annak érdekében, hogy a felügyeleti szervek tevékenységüket következetesen végezzék. A kölcsönös segítségnyújtás különösen a tájékoztatási kérelmekre és a felügyeleti intézkedésekre, például a 20. és 21. cikkben említett megfelelőségértékelési jelentésekkel kapcsolatos vizsgálatok elvégzésére irányuló megkeresésekre terjedhet ki.

(2) A segítségnyújtás iránti megkeresés teljesítését a megkeresett felügyeleti szerv bármely alábbi indokkal megtagadhatja:

a)	a felügyeleti szerv nem illetékes a kért segítség megadására;

b)	a kért segítség nem arányos a felügyeleti szervnek a 17. cikkel összhangban végzett felügyeleti tevékenységeivel;

c)	a kért segítség megadása nem lenne összeegyeztethető e rendelettel.

(3) A tagállamok adott esetben fejogosíthatják saját felügyeleti szerveiket, hogy közös vizsgálatokat végezzenek más tagállamok felügyeleti szervei munkatársainak bevonásával. Az érintett tagállamok saját nemzeti joguknak megfelelően egyeznek meg, illetve állapítják meg az ilyen közös fellépésekre vonatkozó részletes rendelkezéseket, illetve eljárásokat.

30. cikk

A minősített elektronikus_aláírást létrehozó eszközök tanúsítása

(1) A tagállamok által kijelölt megfelelő állami vagy magánszervek tanúsítják, hogy a minősített elektronikus_aláírást létrehozó eszközök megfelelnek a II. mellékletben meghatározott követelményeknek.

(2) A tagállamok tájékoztatják a Bizottságot az (1) bekezdés alapján általuk kijelölt állami vagy magánszerv nevéről és címéről. A Bizottság ezt az információt a tagállamok rendelkezésére bocsátja.

(3) Az (1) bekezdésben említett tanúsításnak az alábbiak egyikén kell alapulnia:

a)	biztonságértékelési eljárás, amelyet a második albekezdéssel összhangban létrehozott listán szereplő, információtechnológiai termékek biztonságának értékelésére vonatkozó szabványok egyikének megfelelően hajtottak végre.; vagy

az a) pontban említettől eltérő eljárás, feltéve, hogy összehasonlítható biztonsági szintet biztosít, és feltéve, hogy az (1) bekezdésben említett állami vagy magánszerv értesítette a Bizottságot erről az eljárásról. Ez az eljárás csak az a) pontban említett szabványok hiányában alkalmazható, vagy akkor, ha az a) pontban említett biztonságértékelési eljárás folyamatban van.

A Bizottság végrehajtási jogi aktusok útján létrehozza az a) pontban említett információtechnológiai termékek biztonságának értékelésére vonatkozó szabványok listáját. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni

(4) A Bizottság felhatalmazást kap arra, hogy a 47. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el az e cikk (1) bekezdésében említett kijelölt szervek által teljesítendő részletes feltételek meghatározása céljából.

whereas

(18) Ennek a rendeletnek elő kell írnia a bejelentő tagállam, az elektronikus_azonosító_eszközöket kibocsátó fél és a hitelesítési eljárást működtető fél felelősségét arra az esetre, ha nem teljesítik az e rendelet értelmében fennálló kötelezettségeiket.
Ezt a rendeletet azonban a felelősségre vonatkozó nemzeti szabályokkal összhangban kell alkalmazni.
Ennek megfelelően ez a rendelet nem érinti az említett nemzeti szabályokat, például a kár meghatározására vagy az alkalmazandó eljárási szabályokra – ideértve a bizonyítási terhet is – vonatkozó szabályokat.

- = -

(41) A minősített bizalmi_szolgáltatások fenntarthatóságának és tartósságának biztosítása céljából, valamint a minősített bizalmi_szolgáltatások kontinuitása iránti felhasználói bizalom növelésének érdekében a felügyeleti szerveknek ellenőrizniük kell, hogy – arra az esetre, ha a minősített bizalmi_szolgáltató megszünteti tevékenységét – rendelkezésre állnak-e a szolgáltatás-megszüntetési tervre vonatkozó rendelkezések, továbbá hogy azokat megfelelően alkalmazzák-e.

- = -

(43) Annak biztosítása érdekében, hogy a minősített bizalmi_szolgáltatók és az általuk nyújtott szolgáltatások megfeleljenek az e rendeletben meghatározott követelményeknek, egy megfelelőségértékelő_szervezetnek megfelelőségértékelést kell végeznie, és az ennek eredményét tartalmazó megfelelőségértékelési jelentést a minősített bizalmi_szolgáltatónak be kell nyújtania a felügyeleti szerv részére.
Ha a felügyeleti szerv a minősített bizalmi_szolgáltató számára eseti megfelelőségértékelési jelentés benyújtását írja elő, a felügyeleti szervnek tiszteletben kell tartania különösen a helyes igazgatás elvét – beleértve a határozatainak megindokolására vonatkozó kötelezettséget –, valamint az arányosság elvét.
Ezért ha a felügyeleti szerv úgy dönt, hogy eseti jelleggel előírja a megfelelőségértékelési jelentés készítését, e döntését megfelelően meg kell indokolnia.

- = -

(68) A „ jogi_személy” fogalma – az Európai Unió működéséről szóló szerződésnek (EUMSZ) a letelepedésről szóló rendelkezései szerint- meghagyja a gazdasági szereplőknek a lehetőséget, hogy szabadon megválaszthassák a tevékenységük végzésére alkalmasnak ítélt jogi formát.
Ennek megfelelően, az EUMSZ szerinti „ jogi_személynek” minősül jogi formájától függetlenül minden olyan szervezet, amelyet valamely tagállam jogszabályai alapján hoztak létre, vagy amelynek tekintetében valamely tagállam joga az irányadó.

- = -

(70) E rendelet egyes részletes technikai vonatkozásainak rugalmas és gyors kiegészítése érdekében a Bizottságnak felhatalmazást kell kapnia arra, hogy az EUMSZ 290.
cikkének megfelelően jogi aktusokat fogadjon el a minősített elektronikus_aláírást létrehozó eszközök tanúsításáért felelős szervek által teljesítendő kritériumokkal kapcsolatban.
Különösen fontos, hogy a Bizottság előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten is.
A felhatalmazáson alapuló jogi aktusok elkészítésekor és szövegezésekor a Bizottságnak gondoskodnia kell a vonatkozó dokumentumoknak az Európai Parlament és a Tanács részére történő egyidejű, időben történő és megfelelő továbbításáról.

- = -

(72) A felhatalmazáson alapuló jogi aktusok, illetve végrehajtási jogi aktusok elfogadása során a Bizottságnak az elektronikus_azonosítási és a bizalmi_szolgáltatások nagyfokú biztonsága és interoperabilitása érdekében megfelelően figyelembe kell vennie az európai és nemzetközi szabványügyi szervezetek és testületek, különösen az Európai Szabványügyi Bizottság (CEN), az Európai Távközlési Szabványügyi Intézet (ETSI), a Nemzetközi Szabványügyi Szervezet (ISO) és a Nemzetközi Távközlési Egyesület (ITU) által meghatározott szabványokat és technikai előírásokat.

- = -

(76) Mivel e rendelet céljait a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés léptéke miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat az Európai Unióról szóló szerződés 5.
cikkében foglalt szubszidiaritás elvének megfelelően.
Az említett cikkben foglalt arányosság elvének megfelelően ez a rendelet nem lépi túl az e célok eléréséhez szükséges mértéket.

- = -

keyboard_tab EIDAS 2014/0910 HU

EIDAS 2014/0910 HU