EIDAS 2014/0910 HU

A belső piac megfelelő működésének biztosítása, ugyanakkor az elektronikus_azonosító_eszközök és a bizalmi_szolgáltatások megfelelő szintű biztonságának garantálása érdekében ez a rendelet:

a)	megállapítja azokat a feltételeket, amelyek mellett a tagállamok elismerik a természetes és jogi_személyek más tagállamok bejelentett elektronikus_azonosítási rendszerének keretébe tartozó elektronikus_azonosító_eszközeit;

b)	megállapítja különösen az elektronikus tranzakciókhoz kapcsolódó bizalmi_szolgáltatásokra vonatkozó szabályokat; valamint

c)	létrehozza az elektronikus_aláírások, az elektronikus_bélyegzők, az elektronikus_időbélyegzők, az elektronikus_dokumentumok, az ajánlott_elektronikus_kézbesítési_szolgáltatások és a weboldal- hitelesítési szolgáltatások jogi keretét.

6. cikk

Kölcsönös elismerés

(1) Ha a nemzeti jogszabályok vagy a közigazgatási gyakorlat értelmében egy közigazgatási_szerv által nyújtott szolgáltatás online elérését elektronikus_azonosító_eszközt és hitelesítést alkalmazó elektronikus_azonosításhoz kötik egy tagállamban, a másik tagállamban kibocsátott elektronikus_azonosító_eszközt el kell ismerni az első tagállamban az említett online szolgáltatáshoz szükséges, határokon átnyúló hitelesítés céljából, feltéve, hogy teljesülnek az alábbi feltételek:

a)	az elektronikus_azonosító_eszközt a Bizottság által a 9. cikkel összhangban közzétett listában szereplő valamelyik elektronikus_azonosítási rendszer keretében bocsátották ki;

az elektronikus_azonosító_eszköz biztonsági szintje azonos vagy magasabb, mint az érintett közigazgatási_szerv által az első tagállamban nyújtott online szolgáltatáshoz való hozzáféréshez előírt biztonsági szint, feltéve, hogy az említett elektronikus_azonosító_eszköz biztonsági szintje „ jelentős” vagy „ magas”;

c)	az érintett közigazgatási_szerv a „ jelentős” vagy „ magas” biztonsági szintet használja az adott online szolgáltatáshoz való hozzáféréssel kapcsolatban.

Az elismerésre sort kell keríteni legkésőbb 12 hónappal azután, hogy a Bizottság közzétette az első albekezdés a) pontjában említett listát.

(2) A közigazgatási_szervek az általuk nyújtott online szolgáltatásokhoz szükséges határokon átnyúló hitelesítés céljából elismerhetik a Bizottság által a 9. cikkel összhangban közzétett listában szereplő valamely rendszer keretében kibocsátott és az „ alacsony” biztonsági szintnek megfelelő elektronikus_azonosító_eszközt.

7. cikk

Az elektronikus_azonosítási rendszerek bejelentésének előfeltételei

A 9. cikk (1) bekezdésének értelmében az elektronikus_azonosítási rendszerek bejelenthetők, feltéve, ha az alábbi feltételek mindegyike teljesül:

az elektronikus_azonosítási rendszer keretébe tartozó elektronikus_azonosító_eszközt:

i.	a bejelentő tagállam bocsátotta ki;

ii.	a bejelentő tagállam megbízásából bocsátották ki; vagy

iii.	a bejelentő tagállamtól függetlenül bocsátották ki, de a bejelentő tagállam elismerte az említett eszközt;

b)	az elektronikus_azonosítási rendszer keretébe tartozó elektronikus_azonosító_eszköz a bejelentő tagállamban legalább egy, közigazgatási_szerv által nyújtott és elektronikus_azonosítást előíró szolgáltatáshoz való hozzáféréshez használható;

c)	a rendszer és a keretében kibocsátott elektronikus_azonosító_eszköz megfelel a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban meghatározott biztonsági szintek közül legalább az egyikre vonatkozóan meghatározott követelményeknek;

a bejelentő tagállam biztosítja, hogy az adott személyt kizárólagosan azonosító személyazonosító_adatokat a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban előírt, vonatkozó biztonsági szinthez tartozó technikai specifikációknak, szabványoknak és eljárásoknak megfelelően hozzárendeljék a 3. cikk 1. pontjában említett természetes vagy jogi_személyhez a szóban forgó rendszer keretébe tartozó – elektronikus_azonosító_eszköz kibocsátásakor;

a szóban forgó rendszer keretébe tartozó elektronikus_azonosító_eszközt kibocsátó fél biztosítja, hogy az elektronikus_azonosító_eszközt a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban előírt, vonatkozó biztonsági szinthez tartozó technikai specifikációknak, szabványoknak és eljárásoknak megfelelően rendeljék hozzá az e cikk d) pontjában említett személyhez;

a bejelentő tagállam hozzáférést biztosít az online hitelesítéshez annak érdekében, hogy egy másik tagállam területén letelepedett bármely igénybe_vevő_fél igazolni tudja az elektronikus formában kapott személyazonosító_adatokat.

A közigazgatási_szervektől eltérő igénybe vevő felek esetében a bejelentő tagállam előírhatja a hitelesítésekhez való hozzáférés feltételeit. Az ilyen határokon átnyúló hitelesítést ingyenesen kell biztosítani, amennyiben arra egy közigazgatási_szerv által nyújtott online szolgáltatással kapcsolatban kerül sor.

A tagállamok semmilyen különleges, aránytalan technikai előírást nem tehetnek kötelezővé az ilyen hitelesítést végrehajtani kívánó igénybe vevő felek számára, amennyiben ezen előírások megakadályozzák vagy jelentősen megnehezítik a bejelentett elektronikus_azonosítási rendszerek közötti átjárhatóságot;

a 12. cikk (5) bekezdése szerinti kötelezettség teljesítése céljából a bejelentő tagállam a 9. cikk (1) bekezdése szerinti bejelentést megelőzően legalább hat hónappal, a 12. cikk (7) bekezdésében említett végrehjazási jogi aktusokban meghatározott eljárási szabályokkal összhangban eljuttatja a többi tagállamnak az említett rendszer leírását;

h)	az elektronikus_azonosítási rendszer megfelel a 12. cikk (8) bekezdésében említett végrehajtási jogi aktus előírásainak.

8. cikk

Az elektronikus_azonosítási rendszerek biztonsági szintjei

(1) A 9. cikk (1) bekezdése szerint bejelentett elektronikus_azonosítási rendszernek meg kell határoznia az adott rendszer keretében kibocsátott elektronikus_azonosító_eszközöknek tulajdonított „ alacsony”, „ jelentős” és/vagy „ magas” biztonsági szintet.

(2) Az „ alacsony”, „ jelentős” vagy „ magas” biztonsági szintnek az alábbi követelményeket kell teljesítenie:

az „ alacsony” biztonsági szint egy elektronikus_azonosítási rendszer keretében kibocsátott olyan elektronikus_azonosító_eszközre utal, amely korlátozott megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélés vagy a személyazonosság megváltoztatása kockázatának csökkentése;

a „ jelentős” biztonsági szint egy elektronikus_azonosítási rendszer keretében kibocsátott olyan elektronikus_azonosító_eszközre utal, amely jelentős megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélés vagy a személyazonosság megváltoztatása kockázatának jelentős csökkentése;

a „ magas” biztonsági szint egy elektronikus_azonosítási rendszer keretében kibocsátott olyan elektronikus_azonosító_eszközre utal, amely nagyobb megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, mint egy „ jelentős” biztonsági szintű elektronikus_azonosító_eszköz, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélésnek vagy a személyazonosság megváltoztatásának a megakadályozása;

(3) A Bizottság 2015. szeptember 18-ig, figyelembe véve a vonatkozó nemzetközi szabványokat és a (2) bekezdés függvényében, végrehajtási jogi aktusok révén minimális technikai specifikációkat, szabványokat és eljárásokat állapít meg, amelyekre hivatkozva az (1) bekezdés alkalmazásának céljából meghatározható az elektronikus_azonosító_eszközök „ alacsony”, „ jelentős” vagy „ magas” biztonsági szintje.

E minimális technikai specifikációkat, szabványokat és eljárásokat az alábbi elemek megbízhatósága és minősége alapján kell megállapítani:

a)	az elektronikus_azonosító_eszköz kibocsátását kérő természetes vagy jogi_személyek személyazonosítására és személyazonosságának ellenőrzésére alkalmazott eljárás;

b)	az elektronikus_azonosító_eszköz kibocsátására alkalmazott eljárás;

c)	azon hitelesítési mechanizmus, amelynek keretében a természetes vagy jogi_személy az elektronikus_azonosító_eszközt arra használja, hogy a személyazonosságát igazolja a szolgáltatást igénybe_vevő_fél számára;

d)	az elektronikus_azonosító_eszközt kibocsátó szervezet;

e)	az elektronikus_azonosító_eszközök kibocsátása iránti kérelmekkel foglalkozó más szervek; valamint

f)	a kibocsátott elektronikus_azonosító_eszközök technikai és biztonsági specifikációi.

Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

9. cikk

Bejelentés

(1) A bejelentő tagállam a következő információkat, valamint azok későbbi változásait indokolatlan késedelem nélkül bejelenti a Bizottságnak:

a)	az elektronikus_azonosítási rendszer leírása, ezen belül a rendszer biztonsági szintjei, az adott rendszerbe tartozó elektronikus_azonosító_eszközök kibocsátója (kibocsátói);

az alkalmazandó felügyeleti rendszer, valamint tájékoztatás a felelősségi szabályokról az alábbiak vonatkozásában:

i.	az elektronikus_azonosító_eszközt kibocsátó fél; valamint

ii.	a hitelesítési eljárást végrehajtó fél;

c)	az elektronikus_azonosítási rendszerért felelős hatóság vagy hatóságok;

d)	tájékoztatás az egyedi személyazonosító_adatok nyilvántartásba vételét kezelő szervezetről vagy szervezetekről;

e)	annak ismertetése, hogy a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusokban foglalt előírások milyen módon teljesülnek;

f)	a 7. cikk f) pontjában említett hitelesítés leírása;

g)	a bejelentett elektronikus_azonosítási rendszernek vagy hitelesítésnek vagy azok veszélyeztetett részeinek a felfüggesztésére vagy visszavonására vonatkozó szabályok.

(2) A 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazásának időpontját követően egy évvel a Bizottság az Európai Unió Hivatalos Lapjában közzéteszi az e cikk (1) bekezdése szerint bejelentett elektronikus_azonosítási rendszerek listáját és az azokkal kapcsolatos alapinformációkat.

(3) Amennyiben a (2) bekezdésben említett határidő lejárta után érkezik bejelentés, a Bizottság a bejelentés kézhezvételétől számított két hónapon belül közzéteszi az Európai Unió Hivatalos Lapjában a (2) bekezdésben említett lista változásait.

(4) Bármely tagállam kérelmezheti a Bizottságtól, hogy az általa bejelentett elektronikus_azonosítási rendszert törölje a (2) bekezdésben említett listáról. A Bizottság a tagállam kérelmének kézhezvételétől számított egy hónapon belül közzéteszi az Európai Unió Hivatalos Lapjában a lista módosításait.

(5) A Bizottság végrehajtási jogi aktusok útján meghatározhatja az (1) bekezdés szerinti bejelentés feltételeit, formátumait és eljárásait. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

12. cikk

Együttműködés és átjárhatóság

(1) A 9. cikk (1) bekezdése szerint bejelentett nemzeti elektronikus_azonosítási rendszereknek átjárhatónak kell lenniük.

(2) Az (1) bekezdésben megállapítottak teljesítése érdekében létre kell hozni egy átjárhatósági keretet.

(3) Az átjárhatósági keretnek az alábbi kritériumoknak kell megfelelnie:

a)	technológiasemlegességre törekszik, és a tagállamon belül az elektronikus_azonosításra szolgáló konkrét nemzeti technikai megoldások egyikével szemben sem alkalmaz hátrányos megkülönböztetést;

b)	lehetőség szerint követi az európai és a nemzetközi normákat;

c)	megkönnyíti a beépített adatvédelem elvének érvényesítését; és

d)	biztosítja a személyes adatoknak a 95/46/EK irányelvnek megfelelő feldolgozását.

(4) Az átjárhatósági keretnek az alábbiakat kell magában foglalnia:

a)	a 8. cikkben megállapított biztonsági szintekhez kapcsolódó minimális technikai követelményekre való hivatkozás;

b)	a bejelentett elektronikus_azonosítási rendszerek nemzeti biztonsági szintjeinek megfeleltetése a 8. cikkben megállapított biztonsági szinteknek;

c)	a minimális átjárhatósági technikai követelményekre való hivatkozás;

d)	egy természetes vagy jogi_személyt kizárólagosan azonosító, az elektronikus_azonosítási rendszerekből megszerezhető minimális személyazonosító_adatokra való hivatkozás;

e)	eljárási szabályzat;

f)	vitarendezési eljárások;és

g)	közös működési biztonsági normák.

(5) A tagállamok együttműködnek az alábbiak tekintetében:

a)	átjárhatóság a 9. cikk (1) bekezdése alapján bejelentett elektronikus_azonosítási rendszerek és azon elektronikus_azonosítási rendszerek között, amelyeket a tagállamok bejelenteni szándékoznak; és

b)	az elektronikus_azonosítási rendszerek biztonsága.

(6) A tagállamok közötti együttműködés a következőkre terjed ki:

a)	az elektronikus_azonosítási rendszerekkel kapcsolatos információk, tapasztalatok és bevált gyakorlat cseréje, különös tekintettel az átjárhatósággal és a biztonsági szintekkel kapcsolatos technikai követelményekre;

b)	az elektronikus_azonosítási rendszerekre vonatkozóan a 8. cikkben megállapított biztonsági szintek alkalmazásával kapcsolatos információk, tapasztalatok és bevált gyakorlat cseréje,

c)	az e rendelet hatálya alá tartozó elektronikus_azonosítási rendszerek partneri felülvizsgálata; és

d)	az elektronikus_azonosítási ágazat lényeges fejleményeinek vizsgálata.

(7) A Bizottság 2015. március 18-ig végrehajtási jogi aktusokban megállapítja az (5) és a (6) bekezdésben említett, tagállamok közötti együttműködés megkönnyítéséhez szükséges eljárási szabályokat a kockázat mértékének megfelelő magas szintű bizalom és biztonság elősegítése céljából.

(8) Az (1) bekezdésben megállapított követelmény teljesítésére vonatkozó egységes feltételek előírása céljából a Bizottság 2015. szeptember 18-ig – a (3) bekezdésben foglalt kritériumoknak megfelelően és a tagállamok közötti együttműködés eredményeinek figyelembevételével – végrehajtási jogi aktusokat fogad el a (4) bekezdésben meghatározott átjárhatósági keretre vonatkozóan.

(9) Az e cikk (7) és (8) bekezdésében említett végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

III. FEJEZET

BIZALMI SZOLGÁLTATÁSOK

1. SZAKASZ

Általános rendelkezések

19. cikk

Bizalmi szolgáltatókra vonatkozó biztonsági előírások

(1) A minősített és nem minősített bizalmi_szolgáltatók megfelelő technikai és szervezeti intézkedéseket hajtanak végre az általuk nyújtott bizalmi_szolgáltatások biztonságát fenyegető kockázatok kezelése érdekében. Ezen intézkedésekkel – figyelembe véve a legújabb technológiai fejleményeket – biztosítani kell, hogy a biztonsági szint arányos legyen a kockázat mértékével. Intézkedéseket kell végrehajtani különösen a biztonsági események megelőzése és azok hatásának minimálisra csökkentése, valamint az érdekeltek bármely esemény káros hatásairól való tájékoztatása érdekében.

(2) A minősített és nem minősített bizalmi_szolgáltatók indokolatlan késedelem nélkül, de minden esetben az esetről való értesüléstől számított 24 órán belül értesítik a felügyeleti szervet és adott esetben más érintett szerveket, például az információbiztonságért felelős nemzeti szervet vagy az adatvédelmi hatóságot a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről, amennyiben az jelentős hatást gyakorol a bizalmi_szolgáltatásra vagy az annak keretében tárolt személyes adatokra.

Amennyiben a biztonság megsértése vagy az adatok sértetlenségének megszűnése vélhetőleg hátrányosan érintheti azt a természetes vagy jogi_személyt, aki bizalmi_szolgáltatást vett igénybe, a bizalmi_szolgáltató a természetes vagy jogi_személyt is indokolatlan késedelem nélkül értesíti a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről.

Adott esetben, különösen, ha a biztonság megsértése vagy az adatok sértetlenségének megszűnése két vagy több tagállamot érint, az értesítést kézhez vevő felügyeleti szerv tájékoztatja a többi érintett tagállam felügyeleti szerveit és az ENISA-t.

Az értesített felügyeleti szerv tájékoztatja a nyilvánosságot, vagy a bizalmi_szolgáltatókat kötelezi erre, amennyiben megállapítja, hogy a biztonság megsértésének vagy az adatok sértetlensége megszűnésének a nyilvánosságra hozatala közérdekből szükséges.

(3) A felügyeleti szerv évente egyszer összefoglaló tájékoztatást nyújt az ENISA számára a bizalmi_szolgáltatóktól beérkezett, a biztonság megsértésére és az adatok sértetlenségének megszűnésére vonatkozó bejelentésekről.

(4) A Bizottság végrehajtási jogi aktusok útján:

a)	az (1) bekezdésben említett intézkedéseket tovább pontosíthatja, és

b)	meghatározhatja a (2) bekezdés céljára alkalmazandó formátumokat és eljárásokat, beleértve a határidőket is.

Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

3. SZAKASZ

Minősített bizalmi_szolgáltatások

24. cikk

A minősített bizalmi_szolgáltatókra vonatkozó követelmények

(1) Bizalmi szolgáltatásra vonatkozó minősített tanúsítvány kibocsátásakor a minősített bizalmi_szolgáltató megfelelő eszközökkel és a nemzeti jogszabályokkal összhangban ellenőrzi annak a természetes vagy jogi_személynek az azonosságát, és – adott esetben – egyedi jellemzőit, akinek vagy amelynek a részére a minősített tanúsítványt kibocsátották.

Az első albekezdésben említett adatokat a minősített bizalmi_szolgáltató a nemzeti jogszabályokkal összhangban közvetlenül vagy harmadik fél révén ellenőrzi:

a)	a természetes személynek vagy a jogi_személy képviseletre jogosult képviselőjének személyes jelenléte útján; vagy

távolról, olyan elektronikus_azonosító_eszköz használatával, amely tekintetében a minősített tanúsítvány kibocsátása előtt biztosították a természetes személynek vagy a jogi_személy képviseletre jogosult képviselőjének személyes jelenlétét, és amely megfelel a 8. cikkben a „ jelentős”, illetve a „ magas” biztonsági szintre vonatkozóan meghatározott követelményeknek, vagy

c)	minősített elektronikus_aláírás vagy minősített elektronikus_bélyegző a) vagy b) ponttal összhangban kibocsátott tanúsítványával; vagy

d)	a személyes jelenléttel egyenértékű biztosítékot nyújtó, nemzeti szinten elismert egyéb azonosítási módszerek alkalmazásával. A biztonság egyenértékűségét megfelelőségértékelő_szervezetnek kell igazolnia.

(2) A minősített bizalmi_szolgáltatást nyújtó minősített bizalmi_szolgáltató köteles:

a)	értesíteni a felügyeleti szervet a minősített bizalmi_szolgáltatásai nyújtásában bekövetkező változásokról, valamint e tevékenységek beszüntetésének szándékáról;

olyan munkatársakat és adott esetben olyan alvállalkozókat alkalmazni, akik megbízhatóak, rendelkeznek a szükséges szakértelemmel, tapasztalattal és képesítésekkel, valamint megfelelő képzésben részesültek a biztonságra és a személyes adatok védelmére vonatkozó szabályokkal kapcsolatban, továbbá köteles olyan igazgatási és ügyvezetési eljárásokat alkalmazni, amelyek megfelelnek az európai és nemzetközi szabványoknak;

c)	a 13. cikk szerinti kártérítési felelősség kockázata tekintetében megfelelő pénzügyi forrásokkal és/vagy megfelelő felelősségbiztosítással rendelkezni a nemzeti joggal összhangban;

d)	a szerződéskötést megelőzően közérthetően és teljes körűen tájékoztatni a minősített bizalmi_szolgáltatást igénybe venni kívánó személyt a szolgáltatás igénybevételére vonatkozó pontos szerződési feltételekről, beleértve az igénybevételre vonatkozó bármely korlátozást is;

e)	olyan megbízható rendszereket és termékeket használni, amelyek védettek a változtatásokkal szemben, és biztosítják az általuk támogatott eljárások technikai biztonságát és megbízhatóságát;

megbízható rendszereket használni a számára szolgáltatott adatok ellenőrizhető formában történő tárolására, olyan módon, hogy:

i.	az adatok kizárólag annak a személynek a hozzájárulásával legyenek nyilvánosan kereshetők, akire az adatok vonatkoznak;

ii.	kizárólag arra feljogosított személyek végezhessenek bejegyzéseket és változtatásokat a tárolt adatokon;

iii.	ellenőrizhető legyen az adatok hitelessége;

g)	megfelelő intézkedéseket hozni az adathamisítás és az adatlopás ellen;

megfelelő – a minősített bizalmi_szolgáltató tevékenységeinek beszüntetését követő időszakra is kiterjedő – időtartamra rögzíteni és hozzáférhetővé tenni az általa vagy számára kibocsátott adatokra vonatkozó összes lényeges információt, elsősorban bizonyítékok bírósági eljárások során történő bemutatása, valamint a szolgáltatás folytonosságának biztosítása céljából. Az ilyen adatrögzítés elektronikus úton is végezhető;

i)	a felügyeleti szerv által a 17. cikk (4) bekezdésének i) pontja szerint ellenőrzött rendelkezéseknek megfelelő naprakész tervvel rendelkezni a szolgáltatás megszüntetésére vonatkozóan, a szolgáltatás folytonosságának biztosítása érdekében;

j)	biztosítani a személyes adatoknak a 95/46/EK irányelvnek megfelelő jogszerű feldolgozását;

k)	minősített tanúsítványokat kibocsátó minősített bizalmi_szolgáltatók esetében tanúsítvány-adatbázist létrehozni és naprakészen tartani.

(3) Amennyiben a minősített tanúsítványt kibocsátó minősített bizalmi_szolgáltatók egy tanúsítvány visszavonása mellett döntenek, kellő időben, de minden esetben a kérelem kézhezvételét követő 24 órán belül rögzíteniük kell tanúsítvány-adatbázisukban a visszavonást, és közzé kell tenniük a tanúsítvány visszavont státusát. A visszavonás a közzétételét követően azonnal hatályossá válik.

(4) Tekintettel a (3) bekezdésre, a minősített tanúsítványt kibocsátó minősített bizalmi_szolgáltatónak tájékoztatnia kell a szolgáltatást igénybe vevő felet az általa kibocsátott minősített tanúsítványok érvényességéről vagy visszavont státusáról. Ennek az információnak – legalább tanúsítványonként – megbízható, ingyenes és hatékony automatizált formában bármikor, a tanúsítvány érvényességi idejének lejártát követően is elérhetőnek kell lennie.

(5) A Bizottság végrehajtási jogi aktusok útján összeállíthatja az e cikk (2) bekezdésének e) és f) pontjában foglalt követelményeknek megfelelő, megbízható rendszerekre és termékekre vonatkozó szabványok hivatkozási számainak listáját. Amennyiben a megbízható rendszerek és termékek megfelelnek ezeknek a szabványoknak, vélelmezni kell az e cikkben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

4. SZAKASZ

Elektronikus aláírás

27. cikk

Elektronikus aláírások használata a közigazgatásban

(1) Ha egy tagállam egy közigazgatási_szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához fokozott biztonságú elektronikus_aláírás alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie azokat a fokozott biztonságú elektronikus_aláírásokat, elektronikus_aláírás minősített tanúsítványán alapuló, fokozott biztonságú elektronikus_aláírásokat és minősített elektronikus_aláírásokat, amelyeket legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy módszerek alkalmazásával hoztak létre.

(2) Ha egy tagállam egy közigazgatási_szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához minősített tanúsítványon alapuló, fokozott biztonságú elektronikus_aláírás alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie azokat a minősített tanúsítványon alapuló, fokozott biztonságú elektronikus_aláírásokat és a minősített elektronikus_aláírásokat, amelyeket legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy módszerek alkalmazásával hoztak létre.

(3) A közigazgatási_szervek által nyújtott online szolgáltatások határokon átnyúló igénybevétele tekintetében a tagállamok nem követelhetnek meg a minősített elektronikus_aláírásnál magasabb biztonsági szintű elektronikus_aláírást.

(4) A Bizottság végrehajtási jogi aktusok útján összeállíthatja a fokozott biztonságú elektronikus_aláírásokra vonatkozó szabványok hivatkozási számainak listáját. Ha egy fokozott biztonságú elektronikus_aláírás megfelel ezeknek a szabványoknak, vélelmezni kell, hogy az aláírás az e cikk (1) és (2) bekezdése és a 26. cikk szerinti, a fokozott biztonságú elektronikus_aláírásokra vonatkozó követelményeket is teljesíti. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

(5) 2015. szeptember 18-ig, és figyelembe véve a jelenlegi gyakorlatot, szabványokat és uniós jogi aktusokat, a Bizottság végrehajtási jogi aktusok útján meghatározza a fokozott biztonságú elektronikus_aláírások referenciaformátumait, illetve az alternatív formátumok használata esetén alkalmazandó referencia-módszereket. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

30. cikk

A minősített elektronikus_aláírást létrehozó eszközök tanúsítása

(1) A tagállamok által kijelölt megfelelő állami vagy magánszervek tanúsítják, hogy a minősített elektronikus_aláírást létrehozó eszközök megfelelnek a II. mellékletben meghatározott követelményeknek.

(2) A tagállamok tájékoztatják a Bizottságot az (1) bekezdés alapján általuk kijelölt állami vagy magánszerv nevéről és címéről. A Bizottság ezt az információt a tagállamok rendelkezésére bocsátja.

(3) Az (1) bekezdésben említett tanúsításnak az alábbiak egyikén kell alapulnia:

a)	biztonságértékelési eljárás, amelyet a második albekezdéssel összhangban létrehozott listán szereplő, információtechnológiai termékek biztonságának értékelésére vonatkozó szabványok egyikének megfelelően hajtottak végre.; vagy

az a) pontban említettől eltérő eljárás, feltéve, hogy összehasonlítható biztonsági szintet biztosít, és feltéve, hogy az (1) bekezdésben említett állami vagy magánszerv értesítette a Bizottságot erről az eljárásról. Ez az eljárás csak az a) pontban említett szabványok hiányában alkalmazható, vagy akkor, ha az a) pontban említett biztonságértékelési eljárás folyamatban van.

A Bizottság végrehajtási jogi aktusok útján létrehozza az a) pontban említett információtechnológiai termékek biztonságának értékelésére vonatkozó szabványok listáját. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni

(4) A Bizottság felhatalmazást kap arra, hogy a 47. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el az e cikk (1) bekezdésében említett kijelölt szervek által teljesítendő részletes feltételek meghatározása céljából.

37. cikk

Elektronikus bélyegzők használata a közigazgatásban

(1) Ha egy tagállam egy közigazgatási_szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához fokozott biztonságú elektronikus_bélyegző alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy az ott említett módszerek alkalmazásával létrehozott fokozott biztonságú elektronikus_bélyegzőket, elektronikus_bélyegzők minősített tanúsítványain alapuló, fokozott biztonságú elektronikus_bélyegzőket és minősített elektronikus_bélyegzőket.

(2) Ha egy tagállam egy közigazgatási_szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához elektronikus_bélyegző minősített tanúsítványán alapuló, fokozott biztonságú elektronikus_bélyegző alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie az elektronikus_bélyegző minősített tanúsítványán alapuló, fokozott biztonságú elektronikus_bélyegzőket és a minősített elektronikus_bélyegzőket legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy alkalmazási módszerekben.

(3) A közigazgatási_szervek által nyújtott online szolgáltatások határokon átnyúló igénybevétele tekintetében a tagállamok nem követelhetnek meg a minősített elektronikus_bélyegzőnél magasabb biztonsági szintű elektronikus_bélyegzőt.

(4) A Bizottság végrehajtási jogi aktusok útján összeállíthatja a fokozott biztonságú elektronikus_bélyegzőkre vonatkozó szabványok hivatkozási számainak listáját. Ha egy fokozott biztonságú elektronikus_bélyegző megfelel ezeknek a szabványoknak, vélelmezni kell, hogy a bélyegző az e cikk (1) és (2) bekezdése és a 36. cikk szerinti, a fokozott biztonságú elektronikus_bélyegzőkre vonatkozó követelményeket is teljesíti. Az említett végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

(5) 2015. szeptember 18-ig, és figyelembe véve a jelenlegi gyakorlatot, szabványokat és az Unió jogi aktusait, a Bizottság végrehajtási jogi aktusok útján meghatározza a fokozott biztonságú elektronikus_bélyegzők referenciaformátumait, illetve az alternatív formátumok használata esetén alkalmazandó referencia-módszereket. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

whereas

(7) Az Európai Parlament 2010.
szeptember 21-i, az elektronikus kereskedelemben a belső piac megvalósításáról szóló állásfoglalásában (4) hangsúlyozta, hogy fontos az elektronikus szolgáltatások biztonsága, különösen az elektronikus_aláírások és a nyilvános kulcsú infrastruktúra összeurópai szintű biztonságának megteremtése, és felkérte a Bizottságot, hogy hozza létre az európai érvényesítésszolgáltatók portálját az elektronikus_aláírások határokon átnyúló kölcsönös alkalmazhatóságának és az interneten keresztül létrejövő tranzakciók biztonságának a fokozása érdekében.

- = -

(13) Lehetővé kell tenni, hogy a tagállamok továbbra is szabadon használhassanak vagy vezethessenek be olyan eszközöket, amelyekkel az online szolgáltatások igénybevételéhez szükséges elektronikus_azonosítás elvégezhető.
Ugyancsak lehetővé kell tenni számukra, hogy dönthessenek arról, hogy ezeknek az eszközöknek az elérhetővé tételébe a magánszektort is bevonják-e.
Nem kell a tagállamokat arra kötelezni, hogy elektronikus_azonosítási rendszereiket a Bizottságnak bejelentsék.
A tagállamok dönthetnek arról, hogy a nemzeti szinten legalább az online közszolgáltatások, esetleg bizonyos konkrét szolgáltatások igénybevételéhez használt elektronikus_azonosítási rendszerek mindegyikét némelyikét, vagy egyikét sem jelentik be a Bizottságnak.

- = -

(15) Az elektronikus_azonosító_eszközök elismerésének kötelezettségének csak azokra az eszközökre kell vonatkoznia, amelyek olyan biztonsági szintű azonosítást tesznek lehetővé, amely eléri vagy meghaladja a szóban forgó online szolgáltatás igénybevételéhez szükséges biztonsági szintet.
Ezenkívül ennek a kötelezettségnek csak abban az esetben indokolt fennállnia, ha az érintett közigazgatási_szerv az adott online szolgáltatás igénybevételéhez „ jelentős” vagy „ magas” biztonsági szintű azonosítást használ.
Az uniós joggal összhangban lehetővé kell tenni a tagállamok számára, hogy olyan elektronikus_azonosító_eszközöket is elismerjenek, amelyek alacsonyabb biztonsági szintű azonosítást tesznek lehetővé.

- = -

(16) A biztonsági szinteknek azt kell megmutatniuk, hogy egy elektronikus_azonosító_eszköz milyen szintű megbízhatósággal állapítja meg egy személy személyazonosságát, ezáltal biztosítékot nyújtva arra, hogy egy bizonyos személyazonosságot sajátjának mondó személy ténylegesen az, akihez az adott személyazonosságot hozzárendelték.
A biztonsági szint attól függ, hogy az elektronikus_azonosító_eszköz milyen szintű megbízhatósággal ellenőrzi egy személynek az általa megadott vagy állítólagos személyazonosságát, figyelembe véve az alkalmazott folyamatokat (például személyazonosítás és személyazonosság-ellenőrzés, valamint hitelesítés), az igazgatási tevékenységeket (például az elektronikus_azonosító_eszközöket kibocsátó szervezet valamint az ilyen eszközök kibocsátására alkalmazandó eljárás) és a végrehajtott technikai ellenőrzéseket.
Az uniós finanszírozású, nagy volumenű kísérleti projektek, a szabványosítási és a nemzetközi tevékenységek eredményeképpen a biztonsági szinteknek többféle technikai meghatározása és leírása létezik. Így különösen a nagy volumenű STORK kísérleti projekt és az ISO 29115 keretében többek között a 2., 3. és 4.
szint használatos, amelyeket a legmesszebbmenőkig figyelembe kell venni a minimális technikai követelmények és az e rendelet szerinti „ alacsony”, „ jelentős” és „ magas” biztonsági szintre vonatkozó szabványok és eljárások kidolgozásakor, biztosítva ugyanakkor e rendelet következetes alkalmazását, különösen a minősített tanúsítványok kibocsátásához szükséges személyazonosság-ellenőrzéshez kapcsolódó „ magas” biztonsági szint tekintetében.
A megállapított követelményeknek technológiai szempontból semlegesnek kell lenniük.
A szükséges biztonsági követelményeket úgy kell megállapítani, hogy azokat eltérő technológiák alkalmazásával is teljesíteni lehessen.

- = -

(19) Az elektronikus_azonosítási rendszerek biztonsága kulcsfontosságú az elektronikus_azonosító_eszközök tagállamok közötti kölcsönös elismeréséhez.
Ezzel összefüggésben a tagállamoknak együtt kell működniük az elektronikus_azonosítási rendszerek biztonságának és uniós szintű interoperabilitásának biztosítása érdekében.
Amennyiben az elektronikus_azonosítási rendszerek igénybevétele speciális hardver vagy szoftver használatát kívánja meg az azokat nemzeti szinten igénybe vevő felektől, határokon átnyúló interoperabilitás biztosítása érdekében a tagállamok nem követelhetik meg az ilyen eszközök használatát és nem róhatnak ehhez kapcsolódó költségeket a területükön kívül letelepedett és a szolgáltatást igénybe venni kívánó felekre.
Ilyen esetben az interoperabilitási keretrendszeren belül kell tárgyalni a megfelelő megoldásokról, és kell kidolgozni azokat.
Ugyanakkor elkerülhetetlen, hogy a nemzeti elektronikus_azonosító_eszközökre vonatkozó sajátos előírások olyan technikai követelményeket eredményezzenek, amelyek valószínűleg érintik az ilyen elektronikus eszközök (pl.
intelligens kártyák) birtokosait.

- = -

(20) A tagállamok együttműködése a bejelentett elektronikus_azonosítási rendszerek műszaki interoperabilitását hivatott elősegíteni a kockázat mértékének megfelelő, magas szintű bizalom és biztonság megerősítése érdekében.
A tagállamok közötti információcserének és a bevált módszerek kölcsönös elismerés céljából történő megosztásának elő kell segítenie az ilyen együttműködést.

- = -

(25) A tagállamok eldönthetik, hogy a bizalmi_szolgáltatások e rendelet szerinti kimerítő listáján szereplő szolgáltatásokon kívül meghatároznak-e olyan, más típusú bizalmi_szolgáltatásokat, amelyeket nemzeti szinten minősített bizalmi_szolgáltatásként ismernek el.

- = -

(28) Különösen a kis- és középvállalkozások (kkv-k) és a fogyasztók belső piacba vetett bizalmának megerősítése, valamint a bizalmi_szolgáltatások és termékek igénybevételének ösztönzése érdekében be kell vezetni a minősített bizalmi_szolgáltatás és a minősített bizalmi_szolgáltató fogalmát, és ennek keretében meg kell határozni azokat a követelményeket és kötelezettségeket, amelyek az igénybe vett vagy nyújtott minősített bizalmi_szolgáltatások és termékek magas szintű biztonságát szavatolják.

- = -

(34) Valamennyi tagállam esetében közös alapvető felügyeleti követelményeket kell alkalmazni a minősített bizalmi_szolgáltatások hasonló biztonsági szintjének szavatolása érdekében.
E követelmények Unió-szerte következetes alkalmazásának megkönnyítése céljából a tagállamoknak összehasonlítható eljárásokat kell elfogadniuk és meg kell osztaniuk egymással a felügyeleti tevékenységükkel és az e téren alkalmazott, bevált módszereikkel kapcsolatos információkat.

- = -

(44) E rendelet koherens keretet törekszik teremteni a bizalmi_szolgáltatások magas szintű biztonsága és jogbiztonsága érdekében.
E tekintetben a Bizottságnak, amikor a termékek és szolgáltatások megfelelőségértékelése tekintetében eljár, adott esetben törekednie kell a szinergiára a már meglévő, releváns európai és nemzetközi keretekkel, például a megfelelőségértékelő_szervezetek akkreditálására és a termékek piacfelügyeletére vonatkozó követelményeket megállapító 765/2008/EK európai parlamenti és tanácsi rendelettel (9).

- = -

(48) Míg az elektronikus_aláírás kölcsönös elismerésének biztosításához magas szintű biztonságra van szükség, bizonyos esetekben, például a 2009/767/EK bizottsági határozattal (10) összefüggésben alacsonyabb biztonsági szintű elektronikus_aláírások is elfogadhatók.

- = -

(54) A minősített tanúsítványok határokon átnyúló interoperabilitása és elismerése előfeltétele a minősített elektronikus_aláírások tagállamközi elismerésének.
Ezért nem célszerű, hogy a minősített tanúsítványokra az e rendeletben foglalt előírásokon túl kötelező követelmények vonatkozzanak.
Nemzeti szinten azonban lehetővé kell tenni, hogy a minősített tanúsítványokhoz specifikus attribútumok – például egyedi azonosító – társuljon, feltéve, hogy e specifikus attribútumok nem gátolják a minősített tanúsítványok és az elektronikus_aláírások határokon átnyúló interoperabilitását és elismerését.

- = -

(55) A nemzetközi szabványokon (mint az ISO 15408 szabványon és a kapcsolódó értékelési módszereken és kölcsönös elismerési megállapodásokon) alapuló informatikai biztonsági tanúsítás fontos eszköze a minősített elektronikus_aláírást létrehozó eszközök biztonsága ellenőrzésének, ezért alkalmazását ösztönözni kell.
Egyes innovatív megoldások és szolgáltatások (mint például a mobil aláírás, a felhőalapú aláírás stb.) ugyanakkor a minősített elektronikus_aláírást létrehozó eszközöket illetően olyan technikai és szervezési megoldásokon alapulnak, amelyekre vonatkozóan még esetleg nem állnak rendelkezésre biztonsági szabványok, illetve amelyek esetében az első informatikai biztonsági tanúsítás folyamatban van.
Alternatív eljárásokkal csak akkor lehetne értékelni a minősített elektronikus_aláírást létrehozó eszközök biztonsági szintjét, ha nem állnak rendelkezésre biztonsági szabványok, illetve ha az első informatikai biztonsági tanúsítás folyamatban van.
Ezeknek az eljárásoknak a biztonsági szintek egyenértékűségét tekintve az informatikai biztonsági tanúsítás szabványaihoz hasonlónak kell lenniük.
Az eljárások lebonyolítását kölcsönös felülvizsgálattal lehetne elősegíteni.

- = -

(57) Az aláírás érvényességével kapcsolatos jogbiztonság biztosítása érdekében elengedhetetlen annak meghatározása, hogy az érvényesítést végző igénybe_vevő_félnek a minősített elektronikus_aláírás mely összetevőit kell megvizsgálnia.
Ezenfelül azáltal, hogy a rendelet követelményeket határoz meg azon minősített bizalmi_szolgáltatókra vonatkozóan, amelyek a minősített elektronikus_aláírás érvényesítését önállóan elvégezni nem hajlandó vagy nem képes igénybe vevő felek számára minősített érvényesítési szolgáltatást tudnak nyújtani, ösztönzi a magánszektort és a közszférát az ilyen szolgáltatásokba történő beruházásra.
Mindkét rendelkezés azt a célt szolgálja, hogy uniós szinten valamennyi fél számára egyszerűvé és kényelmessé tegye a minősített elektronikus_aláírás érvényesítését.

- = -

(60) Az elektronikus_bélyegzők minősített tanúsítványait kibocsátó bizalmi_szolgáltatóknak megfelelő intézkedéseket kell bevezetniük annak érdekében, hogy képesek legyenek megállapítani az azon jogi_személyt képviselő természetes személy kilétét, akinek az elektronikus_bélyegzők minősített tanúsítványait nyújtották, amennyiben nemzeti szinten valamely igazságügyi, illetve közigazgatási eljárás keretében ilyen azonosítás szükséges.

- = -

(62) A minősített elektronikus_időbélyegzők biztonságának szavatolása érdekében e rendeletnek fokozott biztonságú elektronikus_bélyegző, fokozott biztonságú elektronikus_aláírás vagy más, ezekkel egyenértékű módszer használatát kell előírnia.
Előreláthatólag az innováció más olyan új technológiákat is eredményezhet, amelyekkel biztosítható, hogy az időbélyegzők biztonsági szintje egyenértékű legyen az említett két technológia által lehetővé tett biztonsági szinttel.
A fokozott biztonságú elektronikus_bélyegzőtől és a fokozott biztonságú elektronikus_aláírástól eltérő módszer igénybevétele esetén a minősített bizalmi_szolgáltatónak kell a megfelelőségértékelési jelentés keretében igazolnia, hogy a módszer egyenértéjű biztonsági szintet biztosít, és megfelel az e rendeletben foglalt követelményeknek.

- = -

(70) E rendelet egyes részletes technikai vonatkozásainak rugalmas és gyors kiegészítése érdekében a Bizottságnak felhatalmazást kell kapnia arra, hogy az EUMSZ 290.
cikkének megfelelően jogi aktusokat fogadjon el a minősített elektronikus_aláírást létrehozó eszközök tanúsításáért felelős szervek által teljesítendő kritériumokkal kapcsolatban.
Különösen fontos, hogy a Bizottság előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten is.
A felhatalmazáson alapuló jogi aktusok elkészítésekor és szövegezésekor a Bizottságnak gondoskodnia kell a vonatkozó dokumentumoknak az Európai Parlament és a Tanács részére történő egyidejű, időben történő és megfelelő továbbításáról.

- = -

(76) Mivel e rendelet céljait a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés léptéke miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat az Európai Unióról szóló szerződés 5.
cikkében foglalt szubszidiaritás elvének megfelelően.
Az említett cikkben foglalt arányosság elvének megfelelően ez a rendelet nem lépi túl az e célok eléréséhez szükséges mértéket.

- = -

keyboard_tab EIDAS 2014/0910 HU

EIDAS 2014/0910 HU