EIDAS 2014/0910 LT

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2014/0910 LT cercato: 'siekiant' . Output generated live by software developed by IusOnDemand srl

just index siekiant:

1 1 straipsnis Dalykas

1 12 straipsnis Bendradarbiavimas ir sąveikumas

1 17 straipsnis Priežiūros įstaiga

1 20 straipsnis Kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų priežiūra

1 24 straipsnis Kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams keliami reikalavimai

1 49 straipsnis Peržiūra

whereas siekiant:

definitions:

cloud tag:

and the number of total unique words without stopwords is: 716

1 straipsnis

Dalykas

siekiant užtikrinti tinkamą vidaus rinkos veikimą, kartu siekiant tinkamo elektroninės atpažinties priemonių ir patikimumo užtikrinimo paslaugų saugumo lygio, šiuo reglamentu:

a)	nustatomos sąlygos, kuriomis valstybės narės pripažįsta fizinių ir juridinių asmenų elektroninės atpažinties priemones, kurioms taikoma kitos valstybės narės elektroninės atpažinties schema, apie kurią pranešta;

b)	nustatomos patikimumo užtikrinimo paslaugų, visų pirma elektroninių operacijų, taisyklės, ir

c)	nustatoma elektroninių parašų, elektroninių spaudų, elektroninių laiko žymų, elektroninių dokumentų, elektroninio registruoto pristatymo paslaugų ir interneto svetainių tapatumo nustatymo sertifikavimo paslaugų teisinė sistema.

12 straipsnis

Bendradarbiavimas ir sąveikumas

1. Nacionalinės elektroninės atpažinties schemos, apie kurias pranešta pagal 9 straipsnio 1 dalį, turi būti sąveikios.

2. 1 dalies tikslais nustatoma sąveikumo sistema.

3. Sąveikumo sistema turi atitikti šiuos kriterijus:

a)	ja siekiama būti neutralia technologiniu požiūriu ir ja nediskriminuojami jokie konkretūs nacionaliniai elektroninės atpažinties techniniai sprendimai valstybėje narėje;

b)	jei įmanoma, ji atitinka Europos ir tarptautinius standartus;

c)	ja sudaromos palankios sąlygos įgyvendinti projektuojant numatytos privatumo apsaugos principą; ir

d)	ja užtikrinama, kad asmens duomenys būtų tvarkomi pagal Direktyvą 95/46/EB.

4. Sąveikumo sistemą sudaro:

a)	nuoroda į minimalius techninius reikalavimus, susijusius su 8 straipsnyje numatytais saugumo užtikrinimo lygiais;

b)	elektroninės atpažinties schemų, apie kurias pranešta, nacionalinių saugumo užtikrinimo lygių suderinimas su 8 straipsnyje numatytais saugumo užtikrinimo lygiais;

c)	nuoroda į minimalius techninius sąveikumo reikalavimus;

d)	nuoroda į minimalų asmens tapatybės duomenų, kuriais nurodomas konkretus fizinis ar juridinis asmuo, rinkinį, prieinamą pasitelkiant elektroninės atpažinties schemas;

e)	darbo tvarkos taisyklės;

f)	ginčų sprendimo tvarka; ir

g)	bendri veiklos saugumo standartai.

5. Valstybės narės bendradarbiauja šiais klausimais:

a)	dėl elektroninės atpažinties schemų, apie kurias pranešta pagal 9 straipsnio 1 dalį, ir elektroninės atpažinties schemų, apie kurias valstybės narės ketina pranešti, sąveikumo ir

b)	dėl elektroninės atpažinties schemų saugumo.

6. Valstybių narių bendradarbiavimą sudaro:

a)	keitimasis informacija, patirtimi ir gerąja praktika, susijusiomis su elektroninės atpažinties schemomis, ir visų pirma su techniniais reikalavimais, susijusiais su sąveikumu ir saugumo užtikrinimo lygiais;

b)	keitimasis informacija, patirtimi ir gerąja praktika, susijusiomis su darbu taikant 8 straipsnyje numatytus elektroninės atpažinties schemų saugumo užtikrinimo lygius;

c)	elektroninės atpažinties schemų, kurioms taikomas šis reglamentas, tarpusavio vertinimas, ir

d)	atitinkamų pokyčių elektroninės atpažinties sektoriuje nagrinėjimas.

7. Ne vėliau kaip 2015 m. kovo 18 d. Komisija priima įgyvendinimo aktus, kuriais nustato procedūrines sąlygas, būtinas sudaryti palankesnes 5 ir 6 dalyse nurodyto valstybių narių bendradarbiavimo sąlygas, siekiant skatinti aukštą pasitikėjimo lygį ir rizikos laipsnį atitinkantį saugumą.

8. siekiant nustatyti vienodas 1 dalyje nustatyto reikalavimo įgyvendinimo sąlygas, ne vėliau kaip 2015 m. rugsėjo 18 d. Komisija, remdamasi 3 dalyje nustatytais kriterijais ir atsižvelgdama į valstybių narių bendradarbiavimo rezultatus, priima įgyvendinimo aktus dėl 4 dalyje įtvirtintos sąveikumo sistemos.

9. Šio straipsnio 7 ir 8 dalyse nurodyti įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

III SKYRIUS

PATIKIMUMO UŽTIKRINIMO PASLAUGOS

1 SKIRSNIS

Bendrosios nuostatos

17 straipsnis

Priežiūros įstaiga

1. Valstybės narės paskiria jų teritorijoje įsteigtą priežiūros įstaigą arba, abipusiu sutarimu su kita valstybe nare, toje kitoje valstybėje narėje įsteigtą priežiūros įstaigą. Ta įstaiga atsako už priežiūros funkcijų vykdymą paskiriančiojoje valstybėje narėje.

Priežiūros įstaigoms suteikiami būtini įgaliojimai ir pakankamai išteklių jų funkcijoms vykdyti.

2. Valstybės narės praneša Komisijai atitinkamų jų paskirtų priežiūros įstaigų pavadinimus ir adresus.

3. Priežiūros įstaigos vaidmuo:

prižiūrėti paskiriančiosios valstybės narės teritorijoje įsisteigusius kvalifikuotus patikimumo užtikrinimo paslaugų teikėjus siekiant ex ante ir ex post priežiūros veikla užtikrinti, kad tie patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos atitiktų šiame reglamente nustatytus reikalavimus;

vykdant ex post priežiūros veiklą, prireikus imtis veiksmų dėl paskiriančiosios valstybės narės teritorijoje įsisteigusių nekvalifikuotų patikimumo užtikrinimo paslaugų teikėjų, kai pranešama, kad tie nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ar jų teikiamos patikimumo užtikrinimo paslaugos tariamai neatitinka šiame reglamente nustatytų reikalavimų.

4. Taikant 3 dalį ir laikantis joje numatytų apribojimų, priežiūros įstaigos funkcijos yra visų pirma:

a)	bendradarbiauti su kitomis priežiūros įstaigomis ir teikti joms pagalbą pagal 18 straipsnį;

b)	analizuoti 20 straipsnio 1 dalyje ir 21 straipsnio 1 dalyje nurodytas atitikties įvertinimo ataskaitas;

c)	informuoti kitas priežiūros įstaigas ir visuomenę apie saugumo ar vientisumo pažeidimus pagal 19 straipsnio 2 dalį;

d)	vadovaujantis šio straipsnio 6 dalimi, teikti Komisijai ataskaitas apie savo pagrindinę veiklą;

e)	vykdyti auditą arba reikalauti, kad atitikties vertinimo įstaiga atliktų kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų atitikties vertinimą pagal 20 straipsnio 2 dalį;

f)	bendradarbiauti su duomenų apsaugos institucijomis, visų pirma, nepagrįstai nedelsiant jas informuojant apie kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų audito rezultatus kai tikėtina, kad buvo pažeistos asmens duomenų apsaugos taisyklės;

g)	patikimumo užtikrinimo paslaugų teikėjams ir jų teikiamoms paslaugoms suteikti kvalifikacijos statusą ir jį panaikinti pagal 20 ir 21 straipsnius;

h)	pranešti 22 straipsnio 3 dalyje nurodytai už nacionalinį patikimą sąrašą atsakingai įstaigai apie savo sprendimus suteikti arba panaikinti kvalifikacijos statusą, nebent ta įstaiga taip pat būtų priežiūros įstaiga;

i)	patikrinti, ar priimtos ir teisingai taikomos nuostatos dėl nutraukimo planų tais atvejais, kai kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai nutraukia savo veiklą, be kita ko, patikrinti, kaip informacija laikoma prieinama pagal 24 straipsnio 2 dalies h punktą;

j)	reikalauti, kad patikimumo užtikrinimo paslaugų teikėjai ištaisytų šiame reglamente nustatytų reikalavimų vykdymo pažeidimus.

5. Valstybės narės gali reikalauti, kad priežiūros įstaiga, laikydamasi nacionalinėje teisėje nustatytų sąlygų, sukurtų, tvarkytų ir atnaujintų patikimumo užtikrinimo infrastruktūrą.

6. Kiekviena priežiūros įstaiga kasmet ne vėliau kaip kovo 31 d. pateikia Komisijai ataskaitą apie praėjusiais kalendoriniais metais vykdytą pagrindinę veiklą kartu su pranešimų apie pažeidimus, gautų iš patikimumo užtikrinimo paslaugų teikėjų pagal 19 straipsnio 2 dalį, suvestine.

7. Komisija pateikia valstybėms narėms 6 dalyje nurodytą metinę ataskaitą.

8. Komisija gali priimti įgyvendinimo aktus, kuriais apibrėžia 6 dalyje nurodytos ataskaitos teikimo formatus ir procedūras. Tie įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

20 straipsnis

Kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų priežiūra

1. Atitikties vertinimo įstaiga atlieka kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų auditą jų lėšomis bent kas 24 mėnesius. Audito tikslas – patvirtinti, kad kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos atitinka šiame reglamente nustatytus reikalavimus. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai po to parengtą atitikties įvertinimo ataskaitą priežiūros įstaigai pateikia per trijų darbo dienų laikotarpį nuo jos gavimo dienos.

2. Nedarant poveikio 1 daliai, priežiūros įstaiga gali bet kuriuo metu atlikti kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų auditą arba reikalauti, kad atitikties vertinimo įstaiga atliktų jų atitikties įvertinimą tų patikimumo užtikrinimo paslaugų teikėjų lėšomis, siekiant patvirtinti, kad jie ir jų teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos atitinka šiame reglamente nustatytus reikalavimus. Kai nustatoma, kad buvo pažeistos asmens duomenų apsaugos taisyklės, priežiūros įstaiga praneša duomenų apsaugos institucijoms savo atliktų auditų rezultatus.

3. Kai priežiūros įstaiga reikalauja, kad kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ištaisytų bet kuriuos šiame reglamente nustatytų reikalavimų vykdymo pažeidimus ir kai tas teikėjas to nepadaro, jei taikytina, per priežiūros įstaigos nustatytą laikotarpį, priežiūros įstaiga, atsižvelgdama visų pirma į tokių pažeidimų mastą, trukmę ir pasekmes, gali panaikinti to teikėjo arba pažeidimo paveiktų jo teikiamų paslaugų kvalifikacijos statusą ir pranešti apie tai 22 straipsnio 3 dalyje nurodytai įstaigai, kad būtų galima atnaujinti 22 straipsnio 1 dalyje nurodytus patikimus sąrašus. Priežiūros įstaiga informuoja kvalifikuotą patikimumo užtikrinimo paslaugų teikėją apie jo kvalifikacijos statuso arba atitinkamos paslaugos kvalifikacijos statuso panaikinimą.

4. Komisija gali priimti įgyvendinimo aktus, kuriais nustato toliau nurodytų standartų referencinius numerius:

a)	atitikties vertinimo įstaigų akreditavimo ir 1 dalyje nurodytos atitikties vertinimo ataskaitos;

b)	audito taisyklių, pagal kurias atitikties vertinimo įstaigos atliks 1 dalyje nurodytą kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų atitikties vertinimą.

Tie įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

24 straipsnis

Kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams keliami reikalavimai

1. Išduodamas kvalifikuotą patikimumo užtikrinimo paslaugos sertifikatą, kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas tinkamomis priemonėmis pagal nacionalinės teisės aktus patikrina fizinio ar juridinio asmens, kuriam išduodamas kvalifikuotas sertifikatas, tapatybę ir, jeigu taikytina, visus jo specifinius požymius.

Pirmoje pastraipoje nurodytą informaciją kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, tikrina tiesiogiai arba patikėdamas tą atlikti trečiajai šaliai pagal nacionalinę teisę:

a)	fiziškai dalyvaujant fiziniam asmeniui arba juridinio asmens įgaliotajam atstovui; arba

nuotoliniu būdu, naudodamas elektroninės atpažinties priemones, jei prieš išduodant kvalifikuotą sertifikatą jų atžvilgiu buvo užtikrintas fizinio ar juridinio asmens įgaliotojo atstovo fizinis dalyvavimas, ir kurios atitinka 8 straipsnyje nustatytus „pakankamo“ ir „aukšto“ saugumo užtikrinimo lygių reikalavimus; arba

c)	naudodamas pagal a arba b punktą išduotą kvalifikuotą elektroninio parašo arba elektroninio spaudo sertifikatą, arba

d)	naudodamas kitus nacionaliniu lygiu pripažintus tapatybės nustatymo būdus, kuriais užtikrinamas fiziniam dalyvavimui lygiavertis saugumo užtikrinimas. Lygiavertį saugumo užtikrinimą turi patvirtinti atitikties vertinimo įstaiga.

2. Kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, teikiantis kvalifikuotas patikimumo užtikrinimo paslaugas:

a)	informuoja priežiūros įstaigą apie bet kokius savo kvalifikuotų patikimumo užtikrinimo paslaugų teikimo pakeitimus ir ketinimą nutraukti tą veiklą;

samdo darbuotojus ir, jei taikytina, subrangovus, kurie turi būtinos kompetencijos, yra patikimi, turi būtinos patirties ir kvalifikacijos, yra tinkamai apmokyti saugumo ir asmens duomenų apsaugos taisyklių, ir taiko Europos arba tarptautinius standartus atitinkančias administracines bei valdymo procedūras;

c)	atsakomybės už žalą rizikos atžvilgiu pagal 13 straipsnį, disponuoja pakankamais finansiniais ištekliais ir (arba) gauna tinkamą atsakomybės draudimą pagal nacionalinės teisės aktus;

d)	prieš užmegzdamas sutartinius santykius, aiškiai ir išsamiai informuoja visus asmenis, kurie nori naudotis kvalifikuota patikimumo užtikrinimo paslauga, apie tikslias naudojimosi ta paslauga sąlygas, įskaitant bet kokius naudojimosi ja apribojimus;

e)	naudoja patikimas sistemas ir produktus, kurie yra apsaugoti nuo pakeitimų, ir užtikrina jų palaikomo proceso techninį saugumą ir patikimumą;

jam pateiktus duomenis patikrinama forma saugo patikimose sistemose, kad:

i)	juos būtų galima viešai gauti tik gavus asmens, su kuriuo yra susiję šie duomenys, sutikimą;

ii)	saugomų duomenų įrašus ir pakeitimus galėtų daryti tik įgalioti asmenys;

iii)	būtų galima patikrinti duomenų tikrumą;

g)	imasi tinkamų apsaugos nuo duomenų klastojimo ir vagystės priemonių;

tinkamą laikotarpį, įskaitant kvalifikuotam patikimumo užtikrinimo paslaugų teikėjui nutraukus veiklą, registruoja ir laiko prieinama visą susijusią informaciją dėl kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo parengtų ir gautų duomenų, visų pirma tam, kad šią informaciją būtų galima panaudoti teismo procese kaip įrodymą ir siekiant užtikrinti paslaugų tęstinumą. Tokia informacija gali būti registruojama elektroniniu būdu;

i)	turi atnaujinamą nutraukimo planą, kad užtikrintų paslaugų tęstinumą, atsižvelgdami į priežiūros įstaigos pagal 17 straipsnio 4 dalies i punktą patikrintas nuostatas;

j)	užtikrina teisėtą asmens duomenų tvarkymą pagal Direktyvą 95/46/EB;

k)	tais atvejais, kai kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai išduoda kvalifikuotus sertifikatus – sukuria ir atnaujina sertifikatų duomenų bazę.

3. Jei kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, išduodantis kvalifikuotus sertifikatus nusprendžia atšaukti sertifikatą, tokį atšaukimą jis užregistruoja savo sertifikatų duomenų bazėje ir laiku paskelbia apie sertifikato atšaukimo statusą, ir bet kuriuo atveju per 24 valandas po prašymo gavimo dienos. Atšaukimas įsigalioja nedelsiant po jo paskelbimo.

4. Atsižvelgdami į 3 dalį, kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai, išduodantys kvalifikuotus sertifikatus, kiekvienai pasikliaujančiajai šaliai pateikia informaciją apie jų išduotų kvalifikuotų sertifikatų galiojimą arba atšaukimą. Ši informacija bet kuriuo metu, net ir pasibaigus sertifikato galiojimo laikotarpiui, pateikiama bent apie kiekvieną sertifikatą taikant automatizuotą būdą, kuris yra saugus, nemokamas ir veiksmingas.

5. Komisija gali priimti įgyvendinimo aktus, kuriais nustato patikimoms sistemoms ir produktams, kurie atitinka šio straipsnio 2 dalies e ir f punktų reikalavimus, taikomų standartų referencinius numerius. Jeigu patikimos sistemos ir produktai atitinka tuos standartus, laikoma, kad užtikrinta atitiktis šio straipsnio reikalavimams. Tie įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

4 SKIRSNIS

Elektroniniai parašai

49 straipsnis

Peržiūra

Komisija atlieka šio reglamento taikymo peržiūrą ir pateikia Europos Parlamentui ir Tarybai ataskaitą ne vėliau kaip 2020 m. liepos 1 d. Komisija visų pirma įvertina, ar tinkama pakeisti šio reglamento taikymo sritį ar specifines jo nuostatas, įskaitant 6 straipsnį, 7 straipsnio f punktą, 34, 43, 44 ir 45 straipsnius, atsižvelgiant į taikant šį reglamentą įgytą patirtį, taip pat į technologinius, rinkos ir teisinius pokyčius.

Kartu su pirmoje pastraipoje nurodyta ataskaita prireikus pateikiami pasiūlymai dėl teisėkūros procedūra priimamų aktų.

Be to, Komisija kas ketverius metus po pirmoje pastraipoje nurodytos ataskaitos Europos Parlamentui ir Tarybai pateikia pažangos siekiant šio reglamento tikslų ataskaitą.

whereas

(7) 2010 m.
rugsėjo 21 d.
rezoliucijoje dėl elektroninės prekybos vidaus rinkos užbaigimo (4) Europos Parlamentas pabrėžė, kad svarbu užtikrinti elektroninių paslaugų, ypač elektroninių parašų, saugumą, ir kad Europos lygiu būtina sukurti pamatinę viešąją infrastruktūrą, bei paprašė Komisijos sukurti Europos tinkamumo patvirtinimo institucijų portalą, siekiant užtikrinti tarpvalstybinį elektroninių parašų sąveikumą ir padidinti internetu sudarytų sandorių saugumą;

- = -

(8) Europos Parlamento ir Tarybos direktyva 2006/123/EB (5) reikalaujama, kad valstybės narės įsteigtų „kontaktinius centrus“ (toliau – KC) siekiant užtikrinti, jog būtų galima lengvai, nuotoliniu būdu, elektroninėmis priemonėmis per atitinkamą kontaktinį centrą susisiekiant su reikiamomis valdžios institucijomis, atlikti visas procedūras ir formalumus, susijusius su teise teikti paslaugas ir ja naudotis.
Daugeliui internetinių paslaugų, teikiamų per KC, reikalinga elektroninė atpažintis, tapatumo nustatymas ir parašas;

- = -

(10) Europos Parlamento ir Tarybos direktyva 2011/24/ES (6) įsteigtas už e.
sveikatą atsakingų nacionalinės valdžios institucijų tinklas.
siekiant pagerinti tarpvalstybinių sveikatos priežiūros paslaugų saugumą ir tęstinumą, reikalaujama, kad šis tinklas parengtų tarpvalstybinio prisijungimo prie elektroninių sveikatos priežiūros duomenų ir paslaugų gaires, įskaitant padėtų rengti „bendras identifikavimo ir autentifikavimo priemones, kad būtų sudarytos palankesnės sąlygos perduoti duomenis teikiant tarpvalstybines sveikatos priežiūros paslaugas“.
Abipusis elektroninės atpažinties ir tapatumo nustatymo priemonių pripažinimas yra labai svarbus Europos piliečių tarpvalstybinės sveikatos priežiūros faktinio užtikrinimo veiksnys.
Kai žmonės keliauja gydymosi tikslais, jų medicininiai duomenys turi būti prieinami jų gydymosi šalyje.
Tam būtina vientisa, saugi ir patikima elektroninės atpažinties sistema;

- = -

(12) vienas šio reglamento uždavinių – pašalinti esamas valstybėse narėse naudojamų elektroninės atpažinties priemonių, reikalingų norint nustatyti tapatybę bent siekiant pasinaudoti viešosiomis paslaugomis, tarpvalstybinio naudojimo kliūtis. Šiuo reglamentu nesiekiama kištis į valstybėse narėse įdiegtų elektroninės atpažinties valdymo sistemas ir su jomis susijusias infrastruktūras. Šio reglamento tikslas – užtikrinti, kad naudojantis valstybių narių siūlomomis tarpvalstybinėmis internetinėmis paslaugomis būtų galima užtikrinti saugią elektroninę atpažintį ir tapatumo nustatymą;

- = -

(16) saugumo užtikrinimo lygiais turėtų būti apibūdinamas elektroninės atpažinties priemonės patikimumo laipsnis nustatant asmens tapatybę ir taip užtikrinant, kad asmuo, kuris pareiškia turintis tam tikrą tapatybę iš tiesų yra asmuo, kuriam ta tapatybė buvo priskirta.
Saugumo užtikrinimo lygis priklauso nuo pareikštos arba patvirtintos asmens tapatybės patikimumo laipsnio, kuris nurodomas elektroninės atpažinties priemonėmis, atsižvelgiant į procesus (pavyzdžiui, tapatybės įrodymą ir patikrinimą bei tapatumo nustatymą), valdymo veiklą (pavyzdžiui, elektroninės atpažinties priemones išduodantį subjektą ir tokių priemonių išdavimo tvarką) ir įgyvendintas techninės kontrolės priemones.
Vykdant Sąjungos finansuojamus didelio masto bandomuosius projektus, standartizaciją ir tarptautinę veiklą nustatyta įvairių saugumo užtikrinimo lygių techninių reikalavimų ir aprašymų.
Visų pirma didelio masto bandomajame projekte STORK ir ISO 29115 nurodomi, inter alia, 2, 3 ir 4 lygiai, į kuriuos reikėtų kuo labiau atsižvelgti nustatant minimalius techninius reikalavimus, standartus ir procedūras, taikomus žemam, pakankamam ir aukštam saugumo užtikrinimo lygiams, kaip apibrėžta šiame reglamente, siekiant užtikrinti nuoseklų šio reglamento taikymą, visų pirma aukšto saugumo užtikrinimo lygio, susijusio su tapatybės identifikavimu siekiant išduoti kvalifikuotus sertifikatus, atžvilgiu.
Nustatyti reikalavimai turėtų būti technologiniu požiūriu neutralūs.
Turėtų būti įmanoma įvykdyti būtinus saugumo reikalavimus taikant skirtingas technologijas;

- = -

(20) valstybių narių bendradarbiavimas turėtų padėti užtikrinti elektroninės atpažinties schemų, apie kurias pranešta, techninį sąveikumą, siekiant aukšto lygio pasitikėjimo ir rizikos lygį atitinkančio saugumo.
Tokį bendradarbiavimą turėtų palengvinti valstybių narių keitimasis informacija ir geriausia praktika, siekiant užtikrinti abipusį pripažinimą;

- = -

(21) šiuo reglamentu taip pat turėtų būti nustatyta bendroji teisinė patikimumo užtikrinimo paslaugų naudojimo sistema.
Vis dėlto juo neturėtų būti nustatyta bendra pareiga naudotis šiomis paslaugomis arba įdiegti prieigos tašką visoms esamoms patikimumo užtikrinimo paslaugoms.
Visų pirma juo neturėtų būti reglamentuojamas paslaugų, kuriomis naudojamasi tik uždarose sistemose tarp apibrėžtos grupės dalyvių ir kurios neturi poveikio trečiosioms šalims, teikimas.
Pavyzdžiui, šio reglamento reikalavimai neturėtų būti taikomi sistemoms, sukurtoms versle arba viešojo valdymo institucijose siekiant valdyti vidaus procedūras, kuriose naudojamasi patikimumo užtikrinimo paslaugomis.
Tik visuomenei teikiamos patikimumo užtikrinimo paslaugos, kurios turi poveikio trečiosioms šalims, turėtų atitikti šiame reglamente nustatytus reikalavimus. Šiuo reglamentu neturėtų būti reglamentuojami ir aspektai, susiję su sutarčių sudarymu arba kitų teisinių pareigų nustatymu ir šių sutarčių bei pareigų galiojimu, kai yra nacionalinės arba Sąjungos teisės aktais nustatytų reikalavimų dėl formos.
Be to, juo nedaromas poveikis nacionalinės formos reikalavimams, susijusiems su viešaisiais registrais, visų pirma, komerciniais ir žemės registrais;

- = -

(22) siekiant paskatinti jų bendrą tarpvalstybinį naudojimą, patikimumo užtikrinimo paslaugas turėtų būti galima naudoti kaip įrodymus visų valstybių narių teismo procesuose.
Patikimumo užtikrinimo paslaugų teisinė galia turi būti reglamentuojama nacionalinės teisės aktuose, išskyrus atvejus, jei šiame reglamente būtų numatyta kitaip;

- = -

(28) siekiant sustiprinti visų pirma mažųjų ir vidutinių įmonių (toliau – MVĮ) bei vartotojų pasitikėjimą vidaus rinka ir paskatinti patikimumo užtikrinimo paslaugų ir produktų naudojimą, turėtų būti įvestos naujos – kvalifikuotų patikimumo užtikrinimo paslaugų ir kvalifikuotų patikimumo užtikrinimo paslaugų teikėjo – sąvokos, kad būtų galima nurodyti reikalavimus ir pareigas, kuriais būtų užtikrintas aukštas bet kokių naudojamų arba teikiamų kvalifikuotų patikimumo užtikrinimo paslaugų ir produktų saugumo lygis;

- = -

(34) siekiant užtikrinti panašų kvalifikuotų patikimumo užtikrinimo paslaugų saugumo lygį, visos valstybės narės turėtų laikytis bendrų esminių priežiūros reikalavimų.
Kad tuos reikalavimus būtų lengviau nuosekliai taikyti visoje Sąjungoje, valstybės narės turėtų patvirtinti palyginamas procedūras ir keistis informacija apie savo vykdomą priežiūros veiklą bei geriausia praktika šioje srityje;

- = -

(35) šiame reglamente nustatyti reikalavimai, visų pirma reikalavimai dėl saugumo ir atsakomybės, turėtų būti taikomi visiems patikimumo užtikrinimo paslaugų teikėjams, siekiant užtikrinti deramą stropumą, skaidrumą ir atskaitomybę jiems atliekant savo veiklą ir teikiant paslaugas.
Vis dėlto, atsižvelgiant į patikimumo užtikrinimo paslaugų teikėjų teikiamų paslaugų rūšį, tikslinga tų reikalavimų atžvilgiu atskirti kvalifikuotus ir nekvalifikuotus patikimumo užtikrinimo paslaugų teikėjus;

- = -

(37) šiuo reglamentu turėtų būti numatoma visų patikimumo užtikrinimo paslaugų teikėjų atsakomybė.
Visų pirma, juo nustatomas atsakomybės režimas, pagal kurį visi patikimumo užtikrinimo paslaugų teikėjai turėtų būti atsakingi už žalą, kurią patyrė fizinis ar juridinis asmuo, nes nebuvo laikomasi šiame reglamente numatytų pareigų.
siekiant palengvinti finansinės rizikos, kurią gali patirti patikimumo užtikrinimo paslaugų teikėjai arba dėl kurios jie turėtų apsidrausti, įvertinimą, šiuo reglamentu patikimumo užtikrinimo paslaugų teikėjams leidžiama tam tikromis sąlygomis nustatyti naudojimosi savo teikiamomis paslaugomis ribas ir nebūti atsakingiems už žalą, patirtą dėl to, kad buvo naudojamasi tuos apribojimus viršijančiomis paslaugomis.
Klientai turėtų būti tinkamai iš anksto informuoti apie apribojimus.
Trečioji šalis turėtų atpažinti tuos apribojimus, pavyzdžiui, įtraukiant informaciją apie tuos apribojimus į teikiamos paslaugos sąlygas arba kitais atpažįstamais būdais.
Norint, kad tie principai galiotų, šis reglamentas turėtų būti taikomas laikantis nacionalinių atsakomybę reglamentuojančių taisyklių.
Todėl šiuo reglamentu nedaromas poveikis nacionalinėms taisyklėms, pavyzdžiui, reglamentuojančioms žalos apibrėžtį, tyčią, neatsargumą ar atitinkamas taikomas procedūrines taisykles;

- = -

(38) siekiant suinteresuotosioms šalims suteikti tinkamos informacijos saugumo ar vientisumo pažeidimo atveju, labai svarbu, kad būtų pranešama apie saugumo pažeidimus ir kad būtų atliekami saugumo rizikos vertinimai;

- = -

(42) siekiant palengvinti kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų priežiūrą, pavyzdžiui, kai teikėjas teikia paslaugas kitos valstybės narės teritorijoje ir joje jam netaikoma priežiūra arba kai paslaugos teikėjo kompiuteriai yra kitos nei jo įsisteigimo valstybės narės teritorijoje, turėtų būti nustatyta valstybių narių priežiūros įstaigų savitarpio pagalbos sistema;

- = -

(43) siekiant užtikrinti, kad kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos paslaugos atitiktų šiame reglamente nustatytus reikalavimus, atitikties vertinimus turėtų atlikti atitikties vertinimo įstaiga, o po to parengtas atitikties įvertinimo ataskaitas kvalifikuotų patikimumo užtikrinimo paslaugų teikėjai turėtų pateikti priežiūros įstaigai.
Kiekvieną kartą reikalaudama, kad kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas pateiktų ad hoc atitikties vertinimo ataskaitą, priežiūros įstaiga turėtų visų pirma laikytis gero administravimo principų, įskaitant pareigą pagrįsti savo sprendimus, taip pat laikytis proporcingumo principo.
Todėl priežiūros įstaiga turėtų deramai pagrįsti sprendimą reikalauti ad hoc atitikties vertinimo;

- = -

(45) kad būtų galima užtikrinti veiksmingą inicijavimo procesą, kuriuo kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos turėtų būti įtraukiami į patikimus sąrašus, turėtų būti paskatintas numatomų kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų ir kompetentingos priežiūros įstaigos preliminarus bendravimas, siekiant sudaryti palankesnes sąlygas deramam stropumui, kuris būtinas teikiant kvalifikuotas patikimumo užtikrinimo paslaugas;

- = -

(48) nors siekiant užtikrinti abipusį elektroninių parašų pripažinimą būtinas aukštas saugumo lygis, tam tikrais atvejais, kaip antai susijusiais su Komisijos sprendimu 2009/767/EB (10), taip pat turėtų būti priimami elektroniniai parašai, kuriais užtikrinamas žemesnio lygio saugumas;

- = -

(52) nuotolinių elektroninių parašų kūrimas, kai šio elektroninio parašo kūrimo aplinką valdo patikimumo užtikrinimo paslaugos teikėjas pasirašančio asmens vardu, turėtų plėstis dėl įvairiapusės jo ekonominės naudos.
Vis dėlto siekiant užtikrinti, kad tokie elektroniniai parašai būtų teisiškai pripažįstami taip pat kaip ir vien vartotojo valdomoje aplinkoje sukurti elektroniniai parašai, nuotolinio elektroninio parašo paslaugos teikėjai turėtų taikyti konkrečias valdymo bei administracines saugumo procedūras ir naudoti patikimas sistemas bei produktus, įskaitant saugius elektroninius ryšių kanalus, siekiant užtikrinti, kad elektroninio parašo kūrimo aplinka būtų patikima ir kad ji būtų naudojama prižiūrint vien pasirašančiam asmeniui.
Kai kvalifikuotas elektroninis parašas sukurtas naudojant nuotolinio elektroninio parašo kūrimo įtaisą, turėtų būti taikomi šiame reglamente nustatyti kvalifikuotiems patikimumo užtikrinimo paslaugos teikėjams keliami reikalavimai;

- = -

(53) kvalifikuotų sertifikatų galiojimo sustabdymas yra įprasta patikimumo paslaugų teikėjų darbo praktika keliose valstybėse narėse; tai nėra atšaukimas ir dėl to sertifikatas laikinai netenka galios.
siekiant užtikrinti teisinį tikrumą, visada turi būti aiškiai nurodytas sertifikato statusas – galiojimas sustabdytas.
Tuo tikslu patikimumo užtikrinimo paslaugų teikėjai turėtų būti atsakingi už tai, kad būtų aiškiai nurodytas sertifikato statusas, o galiojimo sustabdymo atveju – konkretus laikotarpis, kuriuo sertifikato galiojimas sustabdytas. Šiuo reglamentu neturėtų būti nustatoma, kad patikimumo užtikrinimo paslaugų teikėjai ar valstybės narės privalo taikyti sustabdymą, tačiau turėtų būti nustatytos skaidrumo taisyklės, kada ir kokiais atvejais galima taikyti tokią praktiką;

- = -

(55) IT saugumo sertifikavimas, grindžiamas tarptautiniais standartais tokiais kaip antai ISO 15408 bei atitinkamais vertinimo metodais ir abipusio pripažinimo susitarimais, yra svarbi priemonė siekiant patikrinti kvalifikuotų elektroninio parašo kūrimo įtaisų saugumą ir jis turėtų būti skatinamas.
Vis dėlto novatoriški sprendimai ir paslaugos, kaip antai mobilusis elektroninis parašas ir debesijos elektroninis parašas, yra paremti kvalifikuotų elektroninio parašo kūrimo įtaisų, kurių saugumo standartų dar gali ir nebūti arba dar tik vyksta pirmasis IT saugumo sertifikavimas, techniniu ir organizaciniu sprendimu.
Tokių kvalifikuotų elektroninio parašo kūrimo įtaisų saugumo lygis galėtų būti įvertintas taikant alternatyvius procesus tik tuo atveju, kai tokių saugumo standartų dar nėra ir kai vyksta pirmasis IT saugumo sertifikavimas.
Tie procesai turėtų būti panašūs į IT saugumo sertifikavimo standartus tiek, kad jų saugumo lygiai būtų lygiaverčiai.
Tuos procesus galėtų palengvinti tarpusavio vertinimas;

- = -

(56) šiame reglamente turėtų būti nustatyti kvalifikuotiems elektroninio parašo kūrimo įtaisams keliami reikalavimai, siekiant užtikrinti pažangiųjų elektroninių parašų funkcionalumą. Šis reglamentas neturėtų būti taikomas visai sistemos aplinkai, kurioje veikia tokia įranga.
Todėl kvalifikuotų parašo kūrimo įtaisų sertifikavimas turėtų būti taikomas tik aparatinei ir sistemos programinei įrangai, naudojamai parašo kūrimo įtaisų sukurtiems, saugomiems arba apdorotiems parašo kūrimo duomenims valdyti ir juos apsaugoti.
Kaip išsamiai nurodyta atitinkamuose standartuose, sertifikavimo pareiga neturėtų būti taikoma parašo kūrimo taikomosioms programoms;

- = -

(57) siekiant užtikrinti parašo galiojimo teisinį tikrumą, labai svarbu išsamiai nurodyti, kokias kvalifikuoto elektroninio parašo sudedamąsias dalis turėtų įvertinti galiojimą tvirtinanti pasikliaujančioji šalis.
Be to, reikalavimų nustatymas kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams, kurie gali teikti kvalifikuotą galiojimo patvirtinimo paslaugą pasikliaujančiosioms šalims, kurios pačios nenori arba negali atlikti kvalifikuotų elektroninių parašų galiojimo patvirtinimo, turėtų paskatinti privatųjį ir viešąjį sektorių investuoti į tokias paslaugas. Įgyvendinus abu šiuos elementus, kvalifikuoto elektroninio parašo galiojimo patvirtinimas Sąjungos lygmeniu turėtų tapti lengvas ir patogus visoms šalims;

- = -

(61) šiuo reglamentu turėtų būti užtikrinta ilgalaikis informacijos išsaugojimas, t.
y.
siekiant užtikrinti elektroninio parašo ir elektroninių spaudų teisinį galiojimą ilgą laiką ir garantuoti, kad jų galiojimas būtų patvirtintas nepaisant būsimų technologinių pokyčių;

- = -

(62) siekiant užtikrinti kvalifikuotų elektroninių laiko žymų saugumą, šiuo reglamentu turėtų būti reikalaujama naudoti pažangųjį elektroninį spaudą arba pažangųjį elektroninį parašą arba kitus lygiaverčius metodus.
Numatoma, kad dėl inovacijų gali atsirasti naujos technologijos, kuriomis būtų galima užtikrinti lygiavertį laiko žymų saugumo lygį.
Kai naudojamas kitas, ne pažangiojo elektroninio spaudo ar pažangiojo elektroninio parašo, metodas, kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai atitikties turėtų įvertinimo ataskaitose įrodyti, kad tokiu metodu užtikrinamas lygiavertis saugumo lygis ir laikomasi šiame reglamente nustatytų pareigų;

- = -

(63) elektroniniai dokumentai yra svarbūs tolesnei tarpvalstybinių elektroninių operacijų vidaus rinkoje plėtrai. Šiame reglamente turėtų būti nustatomas principas, kad negalima atsisakyti pripažinti elektroninio dokumento teisinės galios tik dėl to, kad dokumentas yra elektroninis siekiant užtikrinti, kad elektroninė operacija nebūtų atmesta tik dėl to, kad dokumentas yra elektroninis;

- = -

(65) be juridinio asmens išduoto dokumento tapatumo nustatymo, elektroniniai spaudai gali būti naudojami siekiant nustatyti bet kokio juridinio asmens skaitmeninio turto, kaip antai programinės įrangos kodo ar serverių, tapatumą;

- = -

(70) siekiant lanksčiai ir greitai papildyti tam tikrus šio reglamento išsamius techninius aspektus, pagal SESV 290 straipsnį Komisijai turėtų būti deleguoti įgaliojimai priimti aktus dėl kriterijų, kuriuos turi atitikti už kvalifikuotų elektroninio parašo kūrimo įtaisų sertifikavimą atsakingos įstaigos.
Ypač svarbu, kad atlikdama parengiamąjį darbą Komisija tinkamai konsultuotųsi, taip pat ir su ekspertais.
Atlikdama su deleguotaisiais aktais susijusį parengiamąjį darbą ir rengdama jų tekstus Komisija turėtų užtikrinti, kad atitinkami dokumentai būtų vienu metu, laiku ir tinkamai perduodami Europos Parlamentui ir Tarybai;

- = -

(71) siekiant užtikrinti vienodas šio reglamento įgyvendinimo sąlygas, Komisijai turėtų būti suteikti įgyvendinimo įgaliojimai, visų pirma tam, kad ji nurodytų standartų, kurių laikantis būtų suteikiama prezumpcija dėl atitikties tam tikriems šiame reglamente nustatytiems reikalavimams užtikrinimo, referencinius numerius.
Tais įgaliojimais turėtų būti naudojamasi laikantis Europos Parlamento ir Tarybos reglamento (ES) Nr. 182/2011 (12);

- = -

(74) siekiant užtikrinti teisinį tikrumą rinkos dalyviams, kurie jau naudoja pagal Direktyvą 1999/93/EB fiziniams asmenims išduotus kvalifikuotus sertifikatus, reikia numatyti pakankamą pereinamąjį laikotarpį.
Lygiai taip pat reikėtų nustatyti pereinamojo laikotarpio priemones dėl pažangaus parašo kūrimo įtaisų, kurių atitiktis buvo nustatyta pagal Direktyvą 1999/93/EB, ir pereinamojo laikotarpio priemones sertifikavimo paslaugų teikėjams, kurie išduos sertifikatus anksčiau nei 2016 m.
liepos 1 d.
Galiausiai, taip pat reikia suteikti Komisijai galimybę iki tos datos priimti įgyvendinimo ir deleguotuosius aktus;

- = -

keyboard_tab EIDAS 2014/0910 LT

EIDAS 2014/0910 LT