EIDAS 2014/0910 HU

(1) Ez a rendelet a tagállamok által bejelentett elektronikus_azonosítási rendszerekre és az Unió területén letelepedett bizalmi_szolgáltatókra alkalmazandó.

(2) E rendelet nem alkalmazandó a nemzeti jogszabályokon vagy meghatározott résztvevők közötti megállapodásokon alapuló, kizárólag zárt rendszerekben alkalmazott bizalmi_szolgáltatások nyújtására.

(3) E rendelet nem érinti a szerződések megkötésére és érvényességére, sem más, alaki követelményekkel kapcsolatos jogi vagy eljárási kötelezettségekre vonatkozó nemzeti vagy uniós jogot.

3. cikk

Fogalommeghatározások

E rendelet alkalmazásában:

1. „ elektronikus_azonosítás”: a természetes vagy jogi_személyt, illetve jogi_személyt képviselő természetes személyt egyedileg azonosító, elektronikus személyazonosító_adatok felhasználásának folyamata;

2. „ elektronikus_azonosító_eszköz”: olyan hardver- és/vagy szoftvereszköz, amely a személyazonosító_adatokat tartalmazza, és amelyet online szolgáltatások céljából történő azonosításra használnak;

3. „ személyazonosító_adat”: egy természetes vagy jogi_személy vagy egy jogi_személyt képviselő természetes személy személyazonosságának megállapítását lehetővé tevő adat;

4. „ elektronikus_azonosítási rendszer”: elektronikus_azonosításra alkalmas rendszer, amelynek keretében természetes vagy jogi_személy, illetve egy jogi_személyt képviselő természetes személy számára elektronikus_azonosító_eszközöket bocsátanak ki;

5. „ hitelesítés”: olyan elektronikus folyamat, amely lehetővé teszi a természetes vagy jogi_személy elektronikus_azonosításának vagy az elektronikus adatok eredetének és sértetlenségének az igazolását;

6. „ igénybe_vevő_fél”: olyan természetes vagy jogi_személy, aki vagy amely elektronikus_azonosítási vagy bizalmi_szolgáltatást vesz igénybe;

7. „ közigazgatási_szerv”: az állam, a regionális vagy helyi hatóság, közjogi_intézmény és egy vagy több ilyen hatóságból, illetve közjogi_intézményből álló társulások vagy az említett hatóságok, szervek vagy társulások közül legalább egy által közszolgáltatások nyújtásával megbízott és e megbízásuk keretében eljáró magánjogi szervezetek;

8. „ közjogi_intézmény”: a 2014/24/EU európai parlamenti és tanácsi irányelv (15) 2. cikke (1) bekezdésének 4. pontjában meghatározott intézmény;

9. „ aláíró”: elektronikus_aláírást létrehozó természetes személy;

10. „ elektronikus_aláírás”: olyan elektronikus adat, amelyet más elektronikus adatokhoz csatolnak, illetve logikailag hozzárendelnek, és amelyet az aláíró aláírásra használ;

11. „fokozott biztonságú elektronikus_aláírás”: olyan elektronikus_aláírás, amely megfelel az a 26. cikkben meghatározott követelményeknek;

12. „minősített elektronikus_aláírás”: olyan, fokozott biztonságú elektronikus_aláírás, amelyet minősített elektronikus_aláírást létrehozó eszközzel állítottak elő, és amely elektronikus_aláírás minősített tanúsítványán alapul;

13. „ elektronikus_aláírás létrehozásához használt adat”: olyan egyedi adat, amelyet az aláíró elektronikus_aláírás létrehozásához használ;

14. „ elektronikus_aláírás tanúsítványa”: olyan elektronikus igazolás, amely az elektronikus_aláírást érvényesítő adatokat egy természetes személyhez kapcsolja, és igazolja legalább az érintett személy nevét vagy álnevét;

15. „ elektronikus_aláírás minősített tanúsítványa”: olyan, elektronikus_aláírás céljára használt tanúsítvány, amelyet minősített bizalmi_szolgáltató bocsát ki; és amely megfelel az I. mellékletben megállapított követelményeknek;

16. „ bizalmi_szolgáltatás”: rendszerint díjazás ellenében nyújtott, az alábbiakból álló elektronikus szolgáltatások:

a)	elektronikus_aláírások, elektronikus_bélyegzők vagy elektronikus_időbélyegzők, ajánlott_elektronikus_kézbesítési_szolgáltatások, valamint az ilyen szolgáltatásokhoz kapcsolódó tanúsítványok létrehozása, ellenőrzése és érvényesítése; vagy

b)	weboldal-hitelesítő_tanúsítványok létrehozása, ellenőrzése és érvényesítése; vagy

c)	elektronikus_aláírások, bélyegzők vagy az ilyen szolgáltatásokhoz kapcsolódó tanúsítványok megőrzése;

17. „minősített bizalmi_szolgáltatás”: olyan bizalmi_szolgáltatás, amely megfelel az e rendeletben foglalt alkalmazandó követelményeknek;

18. „ megfelelőségértékelő_szervezet”: a 765/2008/EK rendelet 2. cikkének 13. pontjában meghatározott szervezet, amelyet az említett rendelettel összhangban illetékesnek ismernek el a minősített bizalmi_szolgáltató és az általa nyújtott minősített bizalmi_szolgáltatások megfelelőségének értékelésére;

19. „ bizalmi_szolgáltató”: egy vagy több bizalmi_szolgáltatást nyújtó természetes vagy jogi_személy; a bizalmi_szolgáltató lehet minősített vagy nem minősített bizalmi_szolgáltató;

20. „minősített bizalmi_szolgáltató”: olyan bizalmi_szolgáltató, amely egy vagy több minősített bizalmi_szolgáltatást nyújt, és amelynek minősített státusát a felügyeleti szerv jóváhagyta;

21. „ termék”: olyan hardver- vagy szoftvereszköz vagy ezek megfelelő része, amelyet bizalmi_szolgáltatások nyújtásában való felhasználásra szántak;

22. „ elektronikus_aláírást létrehozó eszköz”: elektronikus_aláírás létrehozására használt, konfigurált hardver- vagy szoftvereszköz;

23. „minősített elektronikus_aláírást létrehozó eszköz”: olyan, elektronikus_aláírást létrehozó eszköz, amely megfelel a II. mellékletben megállapított követelményeknek;

24. „ bélyegző_létrehozója”: elektronikus_bélyegzőt létrehozó jogi_személy;

25. „ elektronikus_bélyegző”: olyan elektronikus adatok, amelyeket más elektronikus adatokhoz csatolnak, illetve logikailag hozzárendelnek, hogy biztosítsák a kapcsolt adatok eredetét és sértetlenségét;

26. „fokozott biztonságú elektronikus_bélyegző”: olyan elektronikus_bélyegző, amely megfelel a 36. cikkben meghatározott követelményeknek;

27. „minősített elektronikus_bélyegző”: olyan, fokozott biztonságú elektronikus_bélyegző, amelyet minősített elektronikus_bélyegzőt létrehozó eszközzel állítottak elő, és amely elektronikus_bélyegző minősített tanúsítványán alapul;

28. „ elektronikus_bélyegző létrehozásához használt adatok”: olyan egyedi adatok, amelyeket az elektronikus bélyegző_létrehozója elektronikus_bélyegző létrehozásához használ;

29. „ elektronikus_bélyegző tanúsítványa”: olyan elektronikus tanúsítvány, amely az elektronikus_bélyegzőt érvényesítő adatokat egy jogi_személyhez kapcsolja, és igazolja az érintett jogi_személy nevét;

30. „ elektronikus_bélyegző minősített tanúsítványa”: elektronikus_bélyegző olyan tanúsítványa, amelyet minősített bizalmi_szolgáltató bocsát ki; és amely megfelel a III. mellékletben megállapított követelményeknek;

31. „ elektronikus_bélyegzőt létrehozó eszköz”: elektronikus_bélyegző létrehozására használt, konfigurált hardver- vagy szoftvereszköz;

32. „minősített elektronikus_bélyegzőt létrehozó eszköz”: olyan, elektronikus_bélyegzőt létrehozó eszköz, amely értelemszerűen megfelel a II. mellékletben megállapított követelményeknek;

33. „ elektronikus_időbélyegző”: olyan elektronikus adatok, amelyek más elektronikus adatokat egy adott időponthoz kötnek, amivel igazolják, hogy utóbbi adatok léteztek az adott időpontban;

34. „minősített elektronikus_időbélyegző”: olyan elektronikus_időbélyegző, amely megfelel a 42. cikkben megállapított követelményeknek;

35. „ elektronikus_dokumentum”: elektronikus formában, különösen szöveg, hang-, képi vagy audiovizuális felvétel formájában tárolt bármilyen tartalom;

36. „ ajánlott_elektronikus_kézbesítési_szolgáltatás”: olyan szolgáltatás, amely lehetővé teszi az adatok harmadik felek közötti, elektronikus úton való továbbítását, és bizonyítékot szolgáltat a továbbított adatok kezelésére vonatkozóan, beleértve az adatok küldésének és fogadásának igazolását, valamint amely védi a továbbított adatokat az adatvesztés, az adatlopás, az adatkárosodás vagy a jogosulatlan adatmódosítás kockázata ellen;

37. „minősített ajánlott_elektronikus_kézbesítési_szolgáltatás”: olyan ajánlott_elektronikus_kézbesítési_szolgáltatás, amely megfelel a 44. cikkben megállapított követelményeknek;

38. „ weboldal-hitelesítő_tanúsítvány”: olyan igazolás, amely lehetővé teszi a weboldal hitelesítését és a weboldalt ahhoz a természetes vagy jogi_személyhez kapcsolja, akinek vagy amelynek részére a tanúsítványt kiállították;

39. „minősített weboldal-hitelesítő_tanúsítvány”: olyan weboldal-hitelesítő_tanúsítvány, amelyet minősített bizalmi_szolgáltató bocsát ki, és amely megfelel a IV. mellékletben megállapított követelményeknek;

40. „ érvényesítési_adatok”: elektronikus_aláírás vagy elektronikus_bélyegző érvényesítéséhez használt adatok;

41. „ érvényesítés”: olyan folyamat, amelynek keretében ellenőrzik és igazolják, hogy az elektronikus_aláírás vagy bélyegző érvényes.

7. cikk

Az elektronikus_azonosítási rendszerek bejelentésének előfeltételei

A 9. cikk (1) bekezdésének értelmében az elektronikus_azonosítási rendszerek bejelenthetők, feltéve, ha az alábbi feltételek mindegyike teljesül:

az elektronikus_azonosítási rendszer keretébe tartozó elektronikus_azonosító_eszközt:

i.	a bejelentő tagállam bocsátotta ki;

ii.	a bejelentő tagállam megbízásából bocsátották ki; vagy

iii.	a bejelentő tagállamtól függetlenül bocsátották ki, de a bejelentő tagállam elismerte az említett eszközt;

b)	az elektronikus_azonosítási rendszer keretébe tartozó elektronikus_azonosító_eszköz a bejelentő tagállamban legalább egy, közigazgatási_szerv által nyújtott és elektronikus_azonosítást előíró szolgáltatáshoz való hozzáféréshez használható;

c)	a rendszer és a keretében kibocsátott elektronikus_azonosító_eszköz megfelel a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban meghatározott biztonsági szintek közül legalább az egyikre vonatkozóan meghatározott követelményeknek;

a bejelentő tagállam biztosítja, hogy az adott személyt kizárólagosan azonosító személyazonosító_adatokat a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban előírt, vonatkozó biztonsági szinthez tartozó technikai specifikációknak, szabványoknak és eljárásoknak megfelelően hozzárendeljék a 3. cikk 1. pontjában említett természetes vagy jogi_személyhez a szóban forgó rendszer keretébe tartozó – elektronikus_azonosító_eszköz kibocsátásakor;

a szóban forgó rendszer keretébe tartozó elektronikus_azonosító_eszközt kibocsátó fél biztosítja, hogy az elektronikus_azonosító_eszközt a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban előírt, vonatkozó biztonsági szinthez tartozó technikai specifikációknak, szabványoknak és eljárásoknak megfelelően rendeljék hozzá az e cikk d) pontjában említett személyhez;

a bejelentő tagállam hozzáférést biztosít az online hitelesítéshez annak érdekében, hogy egy másik tagállam területén letelepedett bármely igénybe_vevő_fél igazolni tudja az elektronikus formában kapott személyazonosító_adatokat.

A közigazgatási_szervektől eltérő igénybe vevő felek esetében a bejelentő tagállam előírhatja a hitelesítésekhez való hozzáférés feltételeit. Az ilyen határokon átnyúló hitelesítést ingyenesen kell biztosítani, amennyiben arra egy közigazgatási_szerv által nyújtott online szolgáltatással kapcsolatban kerül sor.

A tagállamok semmilyen különleges, aránytalan technikai előírást nem tehetnek kötelezővé az ilyen hitelesítést végrehajtani kívánó igénybe vevő felek számára, amennyiben ezen előírások megakadályozzák vagy jelentősen megnehezítik a bejelentett elektronikus_azonosítási rendszerek közötti átjárhatóságot;

a 12. cikk (5) bekezdése szerinti kötelezettség teljesítése céljából a bejelentő tagállam a 9. cikk (1) bekezdése szerinti bejelentést megelőzően legalább hat hónappal, a 12. cikk (7) bekezdésében említett végrehjazási jogi aktusokban meghatározott eljárási szabályokkal összhangban eljuttatja a többi tagállamnak az említett rendszer leírását;

h)	az elektronikus_azonosítási rendszer megfelel a 12. cikk (8) bekezdésében említett végrehajtási jogi aktus előírásainak.

8. cikk

Az elektronikus_azonosítási rendszerek biztonsági szintjei

(1) A 9. cikk (1) bekezdése szerint bejelentett elektronikus_azonosítási rendszernek meg kell határoznia az adott rendszer keretében kibocsátott elektronikus_azonosító_eszközöknek tulajdonított „ alacsony”, „ jelentős” és/vagy „ magas” biztonsági szintet.

(2) Az „ alacsony”, „ jelentős” vagy „ magas” biztonsági szintnek az alábbi követelményeket kell teljesítenie:

az „ alacsony” biztonsági szint egy elektronikus_azonosítási rendszer keretében kibocsátott olyan elektronikus_azonosító_eszközre utal, amely korlátozott megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélés vagy a személyazonosság megváltoztatása kockázatának csökkentése;

a „ jelentős” biztonsági szint egy elektronikus_azonosítási rendszer keretében kibocsátott olyan elektronikus_azonosító_eszközre utal, amely jelentős megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélés vagy a személyazonosság megváltoztatása kockázatának jelentős csökkentése;

a „ magas” biztonsági szint egy elektronikus_azonosítási rendszer keretében kibocsátott olyan elektronikus_azonosító_eszközre utal, amely nagyobb megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, mint egy „ jelentős” biztonsági szintű elektronikus_azonosító_eszköz, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélésnek vagy a személyazonosság megváltoztatásának a megakadályozása;

(3) A Bizottság 2015. szeptember 18-ig, figyelembe véve a vonatkozó nemzetközi szabványokat és a (2) bekezdés függvényében, végrehajtási jogi aktusok révén minimális technikai specifikációkat, szabványokat és eljárásokat állapít meg, amelyekre hivatkozva az (1) bekezdés alkalmazásának céljából meghatározható az elektronikus_azonosító_eszközök „ alacsony”, „ jelentős” vagy „ magas” biztonsági szintje.

E minimális technikai specifikációkat, szabványokat és eljárásokat az alábbi elemek megbízhatósága és minősége alapján kell megállapítani:

a)	az elektronikus_azonosító_eszköz kibocsátását kérő természetes vagy jogi_személyek személyazonosítására és személyazonosságának ellenőrzésére alkalmazott eljárás;

b)	az elektronikus_azonosító_eszköz kibocsátására alkalmazott eljárás;

c)	azon hitelesítési mechanizmus, amelynek keretében a természetes vagy jogi_személy az elektronikus_azonosító_eszközt arra használja, hogy a személyazonosságát igazolja a szolgáltatást igénybe_vevő_fél számára;

d)	az elektronikus_azonosító_eszközt kibocsátó szervezet;

e)	az elektronikus_azonosító_eszközök kibocsátása iránti kérelmekkel foglalkozó más szervek; valamint

f)	a kibocsátott elektronikus_azonosító_eszközök technikai és biztonsági specifikációi.

Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

11. cikk

Felelősség

(1) A bejelentő tagállam felelős a bármely természetes vagy jogi_személynek szándékosan vagy gondatlanul okozott kárért, amennyiben egy határon átnyúló tranzakcióban nem teljesíti a 7. cikk d) és f) pontja értelmében fennálló kötelezettségeit.

(2) Az elektronikus_azonosító_eszközöket kibocsátó fél felelős a bármely természetes vagy jogi_személynek szándékosan vagy gondatlanul okozott kárért, amennyiben egy határon átnyúló tranzakcióban nem teljesíti a 7. cikk e) pontjában említett kötelezettségét.

(3) A hitelesítési eljárást működtető fél felelős a bármely természetes vagy jogi_személynek szándékosan vagy gondatlanul okozott kárért, amennyiben egy határon átnyúló tranzakcióban nem biztosítja a 7. cikk f) pontjában említett hitelesítés hibátlan működését.

(4) Az (1), a (2) és a (3) bekezdést a felelősségre vonatkozó nemzeti szabályokkal összhangban kell alkalmazni.

(5) Az (1), a (2) és a (3) bekezdés nem érinti az olyan tranzakcióban részt vevő feleknek a nemzeti jog alapján fennálló felelősségét, amelyben a 9. cikk (1) bekezdése szerint bejelentett elektronikus_azonosítási rendszer keretébe tartozó elektronikus_azonosító_eszközt alkalmaznak.

19. cikk

Bizalmi szolgáltatókra vonatkozó biztonsági előírások

(1) A minősített és nem minősített bizalmi_szolgáltatók megfelelő technikai és szervezeti intézkedéseket hajtanak végre az általuk nyújtott bizalmi_szolgáltatások biztonságát fenyegető kockázatok kezelése érdekében. Ezen intézkedésekkel – figyelembe véve a legújabb technológiai fejleményeket – biztosítani kell, hogy a biztonsági szint arányos legyen a kockázat mértékével. Intézkedéseket kell végrehajtani különösen a biztonsági események megelőzése és azok hatásának minimálisra csökkentése, valamint az érdekeltek bármely esemény káros hatásairól való tájékoztatása érdekében.

(2) A minősített és nem minősített bizalmi_szolgáltatók indokolatlan késedelem nélkül, de minden esetben az esetről való értesüléstől számított 24 órán belül értesítik a felügyeleti szervet és adott esetben más érintett szerveket, például az információbiztonságért felelős nemzeti szervet vagy az adatvédelmi hatóságot a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről, amennyiben az jelentős hatást gyakorol a bizalmi_szolgáltatásra vagy az annak keretében tárolt személyes adatokra.

Amennyiben a biztonság megsértése vagy az adatok sértetlenségének megszűnése vélhetőleg hátrányosan érintheti azt a természetes vagy jogi_személyt, aki bizalmi_szolgáltatást vett igénybe, a bizalmi_szolgáltató a természetes vagy jogi_személyt is indokolatlan késedelem nélkül értesíti a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről.

Adott esetben, különösen, ha a biztonság megsértése vagy az adatok sértetlenségének megszűnése két vagy több tagállamot érint, az értesítést kézhez vevő felügyeleti szerv tájékoztatja a többi érintett tagállam felügyeleti szerveit és az ENISA-t.

Az értesített felügyeleti szerv tájékoztatja a nyilvánosságot, vagy a bizalmi_szolgáltatókat kötelezi erre, amennyiben megállapítja, hogy a biztonság megsértésének vagy az adatok sértetlensége megszűnésének a nyilvánosságra hozatala közérdekből szükséges.

(3) A felügyeleti szerv évente egyszer összefoglaló tájékoztatást nyújt az ENISA számára a bizalmi_szolgáltatóktól beérkezett, a biztonság megsértésére és az adatok sértetlenségének megszűnésére vonatkozó bejelentésekről.

(4) A Bizottság végrehajtási jogi aktusok útján:

a)	az (1) bekezdésben említett intézkedéseket tovább pontosíthatja, és

b)	meghatározhatja a (2) bekezdés céljára alkalmazandó formátumokat és eljárásokat, beleértve a határidőket is.

Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

3. SZAKASZ

Minősített bizalmi_szolgáltatások

24. cikk

A minősített bizalmi_szolgáltatókra vonatkozó követelmények

(1) Bizalmi szolgáltatásra vonatkozó minősített tanúsítvány kibocsátásakor a minősített bizalmi_szolgáltató megfelelő eszközökkel és a nemzeti jogszabályokkal összhangban ellenőrzi annak a természetes vagy jogi_személynek az azonosságát, és – adott esetben – egyedi jellemzőit, akinek vagy amelynek a részére a minősített tanúsítványt kibocsátották.

Az első albekezdésben említett adatokat a minősített bizalmi_szolgáltató a nemzeti jogszabályokkal összhangban közvetlenül vagy harmadik fél révén ellenőrzi:

a)	a természetes személynek vagy a jogi_személy képviseletre jogosult képviselőjének személyes jelenléte útján; vagy

távolról, olyan elektronikus_azonosító_eszköz használatával, amely tekintetében a minősített tanúsítvány kibocsátása előtt biztosították a természetes személynek vagy a jogi_személy képviseletre jogosult képviselőjének személyes jelenlétét, és amely megfelel a 8. cikkben a „ jelentős”, illetve a „ magas” biztonsági szintre vonatkozóan meghatározott követelményeknek, vagy

c)	minősített elektronikus_aláírás vagy minősített elektronikus_bélyegző a) vagy b) ponttal összhangban kibocsátott tanúsítványával; vagy

d)	a személyes jelenléttel egyenértékű biztosítékot nyújtó, nemzeti szinten elismert egyéb azonosítási módszerek alkalmazásával. A biztonság egyenértékűségét megfelelőségértékelő_szervezetnek kell igazolnia.

(2) A minősített bizalmi_szolgáltatást nyújtó minősített bizalmi_szolgáltató köteles:

a)	értesíteni a felügyeleti szervet a minősített bizalmi_szolgáltatásai nyújtásában bekövetkező változásokról, valamint e tevékenységek beszüntetésének szándékáról;

olyan munkatársakat és adott esetben olyan alvállalkozókat alkalmazni, akik megbízhatóak, rendelkeznek a szükséges szakértelemmel, tapasztalattal és képesítésekkel, valamint megfelelő képzésben részesültek a biztonságra és a személyes adatok védelmére vonatkozó szabályokkal kapcsolatban, továbbá köteles olyan igazgatási és ügyvezetési eljárásokat alkalmazni, amelyek megfelelnek az európai és nemzetközi szabványoknak;

c)	a 13. cikk szerinti kártérítési felelősség kockázata tekintetében megfelelő pénzügyi forrásokkal és/vagy megfelelő felelősségbiztosítással rendelkezni a nemzeti joggal összhangban;

d)	a szerződéskötést megelőzően közérthetően és teljes körűen tájékoztatni a minősített bizalmi_szolgáltatást igénybe venni kívánó személyt a szolgáltatás igénybevételére vonatkozó pontos szerződési feltételekről, beleértve az igénybevételre vonatkozó bármely korlátozást is;

e)	olyan megbízható rendszereket és termékeket használni, amelyek védettek a változtatásokkal szemben, és biztosítják az általuk támogatott eljárások technikai biztonságát és megbízhatóságát;

megbízható rendszereket használni a számára szolgáltatott adatok ellenőrizhető formában történő tárolására, olyan módon, hogy:

i.	az adatok kizárólag annak a személynek a hozzájárulásával legyenek nyilvánosan kereshetők, akire az adatok vonatkoznak;

ii.	kizárólag arra feljogosított személyek végezhessenek bejegyzéseket és változtatásokat a tárolt adatokon;

iii.	ellenőrizhető legyen az adatok hitelessége;

g)	megfelelő intézkedéseket hozni az adathamisítás és az adatlopás ellen;

megfelelő – a minősített bizalmi_szolgáltató tevékenységeinek beszüntetését követő időszakra is kiterjedő – időtartamra rögzíteni és hozzáférhetővé tenni az általa vagy számára kibocsátott adatokra vonatkozó összes lényeges információt, elsősorban bizonyítékok bírósági eljárások során történő bemutatása, valamint a szolgáltatás folytonosságának biztosítása céljából. Az ilyen adatrögzítés elektronikus úton is végezhető;

i)	a felügyeleti szerv által a 17. cikk (4) bekezdésének i) pontja szerint ellenőrzött rendelkezéseknek megfelelő naprakész tervvel rendelkezni a szolgáltatás megszüntetésére vonatkozóan, a szolgáltatás folytonosságának biztosítása érdekében;

j)	biztosítani a személyes adatoknak a 95/46/EK irányelvnek megfelelő jogszerű feldolgozását;

k)	minősített tanúsítványokat kibocsátó minősített bizalmi_szolgáltatók esetében tanúsítvány-adatbázist létrehozni és naprakészen tartani.

(3) Amennyiben a minősített tanúsítványt kibocsátó minősített bizalmi_szolgáltatók egy tanúsítvány visszavonása mellett döntenek, kellő időben, de minden esetben a kérelem kézhezvételét követő 24 órán belül rögzíteniük kell tanúsítvány-adatbázisukban a visszavonást, és közzé kell tenniük a tanúsítvány visszavont státusát. A visszavonás a közzétételét követően azonnal hatályossá válik.

(4) Tekintettel a (3) bekezdésre, a minősített tanúsítványt kibocsátó minősített bizalmi_szolgáltatónak tájékoztatnia kell a szolgáltatást igénybe vevő felet az általa kibocsátott minősített tanúsítványok érvényességéről vagy visszavont státusáról. Ennek az információnak – legalább tanúsítványonként – megbízható, ingyenes és hatékony automatizált formában bármikor, a tanúsítvány érvényességi idejének lejártát követően is elérhetőnek kell lennie.

(5) A Bizottság végrehajtási jogi aktusok útján összeállíthatja az e cikk (2) bekezdésének e) és f) pontjában foglalt követelményeknek megfelelő, megbízható rendszerekre és termékekre vonatkozó szabványok hivatkozási számainak listáját. Amennyiben a megbízható rendszerek és termékek megfelelnek ezeknek a szabványoknak, vélelmezni kell az e cikkben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

4. SZAKASZ

Elektronikus aláírás

32. cikk

A minősített elektronikus_aláírás érvényesítésére vonatkozó követelmények

(1) A minősített elektronikus_aláírás érvényesítésére szolgáló eljárás megállapítja a minősített elektronikus_aláírás érvényességét, amennyiben:

a)	az aláírást igazoló tanúsítvány az aláírás időpontjában elektronikus_aláírás olyan minősített tanúsítványa volt, amely megfelel az I. mellékletnek;

b)	a minősített tanúsítványt minősített bizalmi_szolgáltató bocsátotta ki, és az az aláírás időpontjában érvényes volt;

c)	az aláírás- érvényesítési_adatok megfelelnek a szolgáltatást igénybe_vevő_fél számára megadott adatoknak;

d)	a szolgáltatást igénybe_vevő_fél pontosan megkapja a tanúsítványban az aláírót azonosító egyedi adatokat;

e)	amennyiben az aláírás időpontjában álnév használatára került sor, az álnév használatának tényét egyértelműen feltüntették a szolgáltatást igénybe_vevő_fél számára;

f)	az elektronikus_aláírást minősített elektronikus_aláírást létrehozó eszközzel állították elő;

g)	az aláírt adatok sértetlensége nem került veszélybe;

h)	az aláírás időpontjában teljesültek a 26. cikkben foglalt követelmények;

(2) A minősített elektronikus_aláírás érvényesítésére használt rendszernek biztosítania kell az érvényesítési eljárás pontos eredményét a szolgáltatást igénybe_vevő_fél számára, és lehetővé kell tennie, hogy a szolgáltatást igénybe_vevő_fél minden, a biztonságot érintő problémát észleljen.

(3) A Bizottság végrehajtási jogi aktusok útján összeállíthatja a minősített elektronikus_aláírások érvényesítésére vonatkozó szabványok hivatkozási számainak listáját. Amennyiben a minősített elektronikus_aláírás érvényesítése megfelel ezeknek a szabványoknak, vélelmezni kell az (1) bekezdésben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

33. cikk

Minősített elektronikus_aláírást érvényesítő minősített érvényesítési szolgáltatás

(1) Minősített elektronikus_aláírást érvényesítő minősített érvényesítési szolgáltatást kizárólag olyan minősített bizalmi_szolgáltató nyújthat, amely:

a)	a 32. cikk (1) bekezdésének megfelelő érvényesítést biztosít; és

lehetővé teszi a szolgáltatást igénybe vevő felek részére, hogy olyan automatizált módon kapják meg az érvényesítési eljárás eredményét, amely megbízható és hatékony, és amelyet a minősített érvényesítési szolgáltatás biztosítójának fokozott biztonságú elektronikus_aláírásával vagy fokozott biztonságú elektronikus_bélyegzőjével láttak el.

(2) A Bizottság végrehajtási jogi aktusok útján összeállíthatja az (1) bekezdésben említett minősített érvényesítési szolgáltatásra vonatkozó szabványok hivatkozási számainak listáját. Amennyiben a minősített elektronikus_aláírást érvényesítő szolgáltatás megfelel ezeknek a szabványoknak, vélelmezni kell az (1) bekezdésben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

whereas

(17) A tagállamoknak ösztönözniük kell a magánszektort arra, hogy – önkéntes alapon – használják a bejelentett rendszer keretébe tartozó elektronikus_azonosító_eszközöket olyan esetekben, amelyekben az online szolgáltatásokhoz vagy elektronikus tranzakciókhoz azonosítás szükséges.
Az ilyen elektronikus_azonosító_eszközök alkalmazásának lehetősége hozzásegítheti a magánszektort, hogy a számos tagállamban legalábbis a közszolgáltatásokhoz már széleskörűen használt elektronikus_azonosításra és hitelesítésre támaszkodjon, és megkönnyíti a vállalkozások és a polgárok számára az online szolgáltatásaik más tagállamokban való igénybevételét.
Annak elősegítése érdekében, hogy a magánszektor számára is biztosított legyen az ilyen elektronikus_azonosító_eszközök több tagállamra kiterjedő használata, a szolgáltatást igénybe venni kívánó, az adott tagállam területén kívül letelepedett magánszektorbeli felek számára egyaránt igénybe vehetővé kell tenni a bármely tagállam által biztosított hitelesítési lehetőségeket, mégpedig ugyanazon feltételek mellett, mint amelyek az adott tagállamban letelepedett, a szolgáltatást igénybe vevő magánszektorbeli felekre érvényesek.
Következésképp a szolgáltatást igénybe venni kívánó, magánszektorbeli felek tekintetében a bejelentő tagállam határozhatja meg azokat a feltételeket, amelyek mellett azok igénybe vehetik a hitelesítési eszközöket.
Az igénybevétel feltételei között tájékoztatás nyújtható arról is, hogy a bejelentett rendszerhez kapcsolódó hitelesítési eszközök az adott időpontban elérhetők-e a szolgáltatást igénybe venni kívánó magánszektorbeli felek számára.

- = -

(19) Az elektronikus_azonosítási rendszerek biztonsága kulcsfontosságú az elektronikus_azonosító_eszközök tagállamok közötti kölcsönös elismeréséhez.
Ezzel összefüggésben a tagállamoknak együtt kell működniük az elektronikus_azonosítási rendszerek biztonságának és uniós szintű interoperabilitásának biztosítása érdekében.
Amennyiben az elektronikus_azonosítási rendszerek igénybevétele speciális hardver vagy szoftver használatát kívánja meg az azokat nemzeti szinten igénybe vevő felektől, határokon átnyúló interoperabilitás biztosítása érdekében a tagállamok nem követelhetik meg az ilyen eszközök használatát és nem róhatnak ehhez kapcsolódó költségeket a területükön kívül letelepedett és a szolgáltatást igénybe venni kívánó felekre.
Ilyen esetben az interoperabilitási keretrendszeren belül kell tárgyalni a megfelelő megoldásokról, és kell kidolgozni azokat.
Ugyanakkor elkerülhetetlen, hogy a nemzeti elektronikus_azonosító_eszközökre vonatkozó sajátos előírások olyan technikai követelményeket eredményezzenek, amelyek valószínűleg érintik az ilyen elektronikus eszközök (pl.
intelligens kártyák) birtokosait.

- = -

(21) E rendeletnek létre kell hoznia a bizalmi_szolgáltatások általános jogi keretét is.
Nem írhatja azonban elő általános kötelezettségként azok használatát, illetve azt sem, hogy minden, már meglévő bizalmi_szolgáltatáshoz elérési pontot kell kialakítani.
Különösen nem vonatkozhat olyan szolgáltatások nyújtására, amelyeket kizárólag meghatározott résztvevői körök használnak zárt rendszerekben, és amelyek nem érintenek harmadik feleket.
A vállalkozásoknál vagy a közigazgatásban a belső eljárások lebonyolítására szolgáló és ehhez bizalmi_szolgáltatásokat igénybe vevő rendszerekrepéldául e rendelet előírásainak nem kell vonatkozniuk.
Csak azoknak a nyilvánosság részére nyújtott bizalmi_szolgáltatásoknak kell megfelelniük az e rendeletben megállapított előírásoknak, amelyek harmadik feleket is érintenek.
Ez a rendelet nem foglalkozhat továbbá a szerződések megkötésének és érvényességének szempontjaival, sem más olyan jogi kötelezettségekkel, amelyekre nemzeti vagy uniós jogszabályokban meghatározott alaki követelmények vonatkoznak.
Ezen felül nem érintheti az állami – különösen a kereskedelmi és földhivatali – nyilvántartásokra vonatkozó, nemzeti jogszabályban előírt alaki követelményeket.

- = -

(57) Az aláírás érvényességével kapcsolatos jogbiztonság biztosítása érdekében elengedhetetlen annak meghatározása, hogy az érvényesítést végző igénybe_vevő_félnek a minősített elektronikus_aláírás mely összetevőit kell megvizsgálnia.
Ezenfelül azáltal, hogy a rendelet követelményeket határoz meg azon minősített bizalmi_szolgáltatókra vonatkozóan, amelyek a minősített elektronikus_aláírás érvényesítését önállóan elvégezni nem hajlandó vagy nem képes igénybe vevő felek számára minősített érvényesítési szolgáltatást tudnak nyújtani, ösztönzi a magánszektort és a közszférát az ilyen szolgáltatásokba történő beruházásra.
Mindkét rendelkezés azt a célt szolgálja, hogy uniós szinten valamennyi fél számára egyszerűvé és kényelmessé tegye a minősített elektronikus_aláírás érvényesítését.

- = -

keyboard_tab EIDAS 2014/0910 HU

EIDAS 2014/0910 HU