keyboard_tab EIDAS 2014/0910 LT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
-
BENDROSIOS NUOSTATOS
- 6 3 straipsnis Terminų apibrėžtys ELEKTRONINĖ ATPAŽINTIS
- 2 6 straipsnis Abipusis pripažinimas
- 1 8 straipsnis Elektroninės atpažinties schemų saugumo užtikrinimo lygiai PATIKIMUMO UŽTIKRINIMO PASLAUGOS
- 9 17 straipsnis Priežiūros įstaiga
- 4 18 straipsnis Savitarpio pagalba Kvalifikuotos patikimumo užtikrinimo paslaugos
- 6 19 straipsnis Patikimumo užtikrinimo paslaugų teikėjams keliami saugumo reikalavimai
- 9 20 straipsnis Kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų priežiūra
- 6 21 straipsnis Kvalifikuotos patikimumo užtikrinimo paslaugos inicijavimas Elektroniniai parašai
- 1 24 straipsnis Kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams keliami reikalavimai
- 1 30 straipsnis Kvalifikuotų elektroninio parašo kūrimo įtaisų sertifikavimas Elektroniniai spaudai
- 3 51 straipsnis Pereinamojo laikotarpio priemonės
- 52 straipsnis Įsigaliojimas
Bendrosios nuostatos
Priežiūra
Elektroninė laiko žyma
Elektroninio registruoto pristatymo paslaugos
Interneto svetainės tapatumo nustatymas
ELEKTRONINIAI DOKUMENTAI
ĮGALIOJIMŲ DELEGAVIMAS IR ĮGYVENDINIMO NUOSTATOS
BAIGIAMOSIOS NUOSTATOS
- užtikrinimo 95
- patikimumo 80
- arba 66
- paslaugų 64
- priežiūros 44
- pagal 38
- saugumo 36
- įstaiga 34
- elektroninės 32
- atpažinties 30
- straipsnio 29
- dalyje 25
- elektroninio 25
- apie 23
- duomenų 20
- asmens 19
- teikėjas 19
- reikalavimus 18
- atitikties 18
- parašo 16
- nustatytus 15
- gali 15
- paslaugos 14
- kūrimo 14
- būtų 14
- įgyvendinimo 14
- kaip 13
- kvalifikuotas 13
- atitinka 13
- vertinimo 13
- spaudo 13
- įstaigos 12
- elektroninis 12
- kvalifikuotų 12
- teikėjai 12
- straipsnis 11
- paslauga 11
- duomenys 11
- aktus 11
- teikėjų 10
- savo 10
- įstaigai 10
- kvalifikuotas 9
- įstaigų 9
- asmuo 9
- kuriuo 9
- nurodytos 9
- reglamente 9
- nustatymo 9
- kvalifikacijos 8
3 straipsnis
Terminų apibrėžtys
Šiame reglamente vartojamų terminų apibrėžtys:
1. elektroninė atpažintis– elektroninių asmens tapatybės duomenų, kuriais nurodomas konkretus fizinis ar juridinis asmuo arba juridiniam asmeniui atstovaujantis fizinis asmuo, naudojimo procesas;
2. elektroninės atpažinties priemonė– materialus ir (arba) nematerialus objektas su asmens tapatybės duomenimis, naudojamas internetinės paslaugos tapatumui nustatyti;
3. asmens tapatybės duomenys– duomenų rinkinys, pagal kurį galima nustatyti fizinio ar juridinio asmens arba juridiniam asmeniui atstovaujančio fizinio asmens tapatybę;
4. elektroninės atpažinties schema– elektroninės atpažinties sistema, pagal kurią fiziniams ar juridiniams asmenims arba juridiniams asmenims atstovaujantiems fiziniams asmenims išduodamos elektroninės atpažinties priemonės;
5. tapatumo nustatymas– elektroninis procesas, leidžiantis patvirtinti fizinio arba juridinio asmens elektroninę atpažintį arba elektroninės formos duomenų kilmę ir vientisumą;
6. pasikliaujančioji šalis– fizinis arba juridinis asmuo, kuris pasikliauja elektronine atpažintimi ar patikimumo užtikrinimo paslauga;
7. viešojo sektoriaus įstaiga– valstybės, regioninė arba vietos valdžios institucija, viešosios teisės reglamentuojama įstaiga ar vienos arba kelių tokių institucijų arba vienos ar kelių tokių viešosios teisės reglamentuojamų įstaigų sudaryta asociacija arba bent vienos iš šių institucijų, įstaigų ar asociacijų teikti viešąsias paslaugas įgaliotas privatusis subjektas, kai jis veikia pagal tokį įgaliojimą;
8. viešosios teisės reglamentuojamas subjektas– subjektas, kaip apibrėžta Europos Parlamento ir Tarybos direktyvos 2014/24/ES (15) 2 straipsnio 1 dalies 4 punkte;
9. pasirašantis asmuo– fizinis asmuo, kuris sukuria elektroninį parašą;
10. elektroninis parašas– elektroninės formos duomenys, kurie yra prijungti prie kitų elektroninės formos duomenų arba logiškai susieti su jais ir kuriuos pasirašantis asmuo naudoja pasirašydamas;
11. pažangusis elektroninis parašas– elektroninis parašas, atitinkantis 26 straipsnyje nustatytus reikalavimus;
12. kvalifikuotas elektroninis parašas– pažangusis elektroninis parašas, sukurtas naudojant kvalifikuotą elektroninio parašo kūrimo įtaisą ir patvirtintas kvalifikuotu elektroninio parašo sertifikatu;
13. elektroninio parašo kūrimo duomenys– unikalūs duomenys, kuriuos pasirašantis asmuo naudoja kurdamas elektroninį parašą;
14. elektroninio parašo sertifikatas– elektroninis liudijimas, kuriuo elektroninio parašo patvirtinimo duomenys susiejami su fiziniu asmeniu ir kuriuo patvirtinamas bent to asmens vardas ir pavardė arba slapyvardis;
15. kvalifikuotas elektroninio parašo sertifikatas– elektroninio parašo sertifikatas, kurį išduoda kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir kuris atitinka I priede nustatytus reikalavimus;
16. patikimumo užtikrinimo paslauga– elektroninė paslauga, kuri paprastai teikiama už atlygį ir kurią sudaro:
| a) | elektroninių parašų, elektroninių spaudų arba elektroninių laiko žymų kūrimas, patikrinimas ir patvirtinimas, elektroninio registruoto pristatymo paslaugos ir su tomis paslaugomis susiję sertifikatai arba |
| b) | interneto svetainių tapatumo nustatymo sertifikatų kūrimas, patikrinimas ir patvirtinimas, arba |
| c) | elektroninių parašų, spaudų arba su tomis paslaugomis susijusių sertifikatų ilgalaikis išsaugojimas; |
17. kvalifikuota patikimumo užtikrinimo paslauga– šiame reglamente nustatytus taikytinus reikalavimus atitinkanti patikimumo užtikrinimo paslauga;
18. atitikties vertinimo įstaiga– Reglamento (EB) Nr. 765/2008 2 straipsnio 13 punkte apibrėžta įstaiga, pagal tą reglamentą akredituota kaip kompetentinga įstaiga atlikti kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo ir jo teikiamų kvalifikuotų patikimumo užtikrinimo paslaugų atitikties vertinimą;
19. patikimumo užtikrinimo paslaugų teikėjas– fizinis arba juridinis asmuo, teikiantis vieną arba daugiau patikimumo užtikrinimo paslaugų arba kaip kvalifikuotas, arba kaip nekvalifikuotas patikimumo užtikrinimo paslaugų teikėjas;
20. kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas– patikimumo užtikrinimo paslaugų teikėjas, teikiantis vieną ar daugiau kvalifikuotų patikimumo užtikrinimo paslaugų, kuriam priežiūros įstaiga yra suteikusi kvalifikacijos statusą;
21. produktas– aparatinė arba programinė įranga, arba svarbios aparatinės arba programinės įrangos sudedamosios dalys, skirtos naudoti teikiant patikimumo užtikrinimo paslaugas;
22. elektroninio parašo kūrimo įtaisas– sukonfigūruota programinė arba aparatinė įranga, naudojama elektroniniam parašui kurti;
23. kvalifikuotas elektroninio parašo kūrimo įtaisas– elektroninio parašo kūrimo įtaisas, atitinkantis II priede nustatytus reikalavimus;
24. spaudo kūrėjas– juridinis asmuo, kuris sukuria elektroninį spaudą;
25. elektroninis spaudas– elektroninės formos duomenys, prijungti prie kitų elektroninės formos duomenų arba su jais logiškai susieti, kad būtų užtikrinta pastarųjų kilmė ir vientisumas;
26. pažangusis elektroninis spaudas– elektroninis spaudas, atitinkantis 36 straipsnyje nustatytus reikalavimus;
27. kvalifikuotas elektroninis spaudas– pažangusis elektroninis spaudas, sukurtas naudojant kvalifikuotą elektroninio spaudo kūrimo įtaisą ir patvirtintas kvalifikuotu elektroninio spaudo sertifikatu;
28. elektroninio spaudo kūrimo duomenys– unikalūs duomenys, kuriuos elektroninio spaudo kūrėjas naudoja kurdamas elektroninį spaudą;
29. elektroninio spaudo sertifikatas– elektroninis liudijimas, kuriuo elektroninio spaudo patvirtinimo duomenys susiejami su juridiniu asmeniu ir kuriuo patvirtinamas to asmens pavadinimas;
30. kvalifikuotas elektroninio spaudo sertifikatas– elektroninio spaudo sertifikatas, kurį išduoda kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir kuris atitinka III priede nustatytus reikalavimus;
31. elektroninio spaudo kūrimo įtaisas– sukonfigūruota programinė arba aparatinė įranga, naudojama elektroniniam spaudui kurti;
32. kvalifikuotas elektroninio spaudo kūrimo įtaisas– elektroninio spaudo kūrimo įtaisas, atitinkantis mutatis mutandis II priede nustatytus reikalavimus;
33. elektroninė laiko žyma– elektroninės formos duomenys, kuriais kiti elektroninės formos duomenys susiejami su tam tikru laiku ir taip sukuriamas įrodymas, kad pastarieji egzistavo tuo metu;
34. kvalifikuota elektroninė laiko žyma– elektroninė laiko žyma, atitinkanti 42 straipsnyje nustatytus reikalavimus;
35. elektroninis dokumentas– bet koks turinys, saugomas elektronine forma, visų pirma tekstas ar garsas, vaizdo arba garso ir vaizdo įrašas;
36. elektroninio registruoto pristatymo paslauga– paslauga, kuria sudaroma galimybė perduoti duomenis elektroninėmis priemonėmis tarp trečiųjų šalių ir kuria suteikiama su perduodamų duomenų tvarkymu susijusių įrodymų, įskaitant duomenų išsiuntimo ir gavimo įrodymą, ir kuria perduodami duomenys apsaugomi nuo praradimo, vagystės, sugadinimo arba neteisėto pakeitimo rizikos;
37. kvalifikuota elektroninio registruoto pristatymo paslauga– elektroninio registruoto pristatymo paslauga, atitinkanti 44 straipsnyje nustatytus reikalavimus;
38. interneto svetainės tapatumo nustatymo sertifikatas– liudijimas, suteikiantis galimybę nustatyti interneto svetainės tapatumą ir susiejantis interneto svetainę su fiziniu ar juridiniu asmeniu, kuriam buvo išduotas sertifikatas;
39. kvalifikuotas interneto svetainės tapatumo nustatymo sertifikatas– interneto svetainės tapatumo nustatymo sertifikatas, kurį išduoda kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ir kuris atitinka IV priede nustatytus reikalavimus;
40. patvirtinimo duomenys– duomenys, naudojami patvirtinti elektroninio parašo arba elektroninio spaudo galiojimą;
41. patvirtinimas– patikrinimo ir patvirtinimo, kad elektroninis parašas ar spaudas galioja, procedūra.
6 straipsnis
Abipusis pripažinimas
1. Kai pagal nacionalinės teisės aktus arba nacionalinę administracinę praktiką reikalaujama, kad norint vienoje valstybėje narėje pasinaudoti viešojo sektoriaus įstaigos teikiama internetine paslauga būtina užtikrinti elektroninę atpažintį naudojant elektronines atpažinties priemones ir tapatumo nustatymą, tos internetinės paslaugos tarpvalstybinio tapatumo nustatymo tikslais pirmojoje valstybėje narėje pripažįstamos kitoje valstybėje narėje išduotos elektroninės atpažinties priemonės, su sąlyga, kad įvykdomos šios sąlygos:
| a) | elektroninės atpažinties priemonė yra išduota pagal elektroninės atpažinties schemą, kuri yra įtraukta į Komisijos pagal 9 straipsnį skelbiamą sąrašą; |
| b) | elektroninės atpažinties priemonės saugumo užtikrinimo lygis atitinka saugumo užtikrinimo lygį, kuris yra lygiavertis saugumo užtikrinimo lygiui, kurio reikalauja atitinkama viešojo sektoriaus įstaiga, kad būtų galima pasinaudoti ta internetine paslauga pirmojoje valstybėje narėje, arba yra už jį aukštesnis, su sąlyga, kad tos elektroninės atpažinties priemonės saugumo užtikrinimo lygis atitinka pakankamą arba aukštą saugumo užtikrinimo lygį; |
| c) | atitinkama viešojo sektoriaus įstaiga taiko pakankamą arba aukštą saugumo užtikrinimo lygį galimybės naudotis ta internetine paslauga atžvilgiu. |
Toks pripažinimas atliekamas ne vėliau kaip per 12 mėnesių po to, kai Komisija paskelbia sąrašą, nurodytą pirmos pastraipos a punkte.
2. Elektroninės atpažinties priemonė, išduota pagal į Komisijos pagal 9 straipsnį paskelbtą sąrašą įtrauktą elektroninės atpažinties schemą ir atitinkanti žemą saugumo užtikrinimo lygį, gali būti viešojo sektoriaus įstaigų pripažįstama tų įstaigų teikiamos internetinės paslaugos tarpvalstybinio tapatumo nustatymo tikslais.
8 straipsnis
Elektroninės atpažinties schemų saugumo užtikrinimo lygiai
1. Elektroninės atpažinties schemoje, apie kurią pranešta pagal 9 straipsnio 1 dalį, apibrėžiami elektroninės atpažinties priemonių, išduodamų pagal tą schemą, žemas, pakankamas ir (arba) aukštas saugumo užtikrinimo lygiai.
2. Žemas, pakankamas ir aukštas saugumo užtikrinimo lygiai atitinkamai atitinka šiuos kriterijus:
| a) | žemas saugumo užtikrinimo lygis grindžiamas elektroninės atpažinties priemone elektroninės atpažinties schemos kontekste, kuria užtikrinamas ribotas pareikštos arba patvirtintos asmens tapatybės patikimumo laipsnis ir kuri apibūdinama remiantis su ja susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – sumažinti netinkamo pasinaudojimo tapatybe arba jos pakeitimo riziką; |
| b) | pakankamas saugumo užtikrinimo lygis grindžiamas elektroninės atpažinties priemone elektroninės atpažinties schemos kontekste, kuria užtikrinamas pakankamas pareikštos arba patvirtintos asmens tapatybės patikimumo laipsnis ir kuri apibūdinama remiantis su ja susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – labai sumažinti netinkamo pasinaudojimo tapatybe arba jos pakeitimo riziką; |
| c) | aukštas saugumo užtikrinimo lygis grindžiamas elektroninės atpažinties priemone elektroninės atpažinties schemos kontekste, kuria užtikrinamas aukštesnis pareikštos arba patvirtintos asmens tapatybės patikimumo laipsnis nei pakankamo saugumo užtikrinimo lygio elektroninės atpažinties priemone ir kuri apibūdinama remiantis su ja susijusiomis techninėmis specifikacijomis, standartais ir procedūromis, įskaitant technines kontrolės priemones, kurių paskirtis – užkirsti kelią netinkamam pasinaudojimui tapatybe arba jos pakeitimui. |
3. Ne vėliau kaip 2015 m. rugsėjo 18 d., atsižvelgdama į atitinkamus tarptautinius standartus ir laikydamasi 2 dalies, Komisija priima įgyvendinimo aktus, kuriais nustato minimalias technines specifikacijas, standartus ir procedūras, kuriomis remiantis 1 dalies tikslais apibrėžiami elektroninės atpažinties priemonių žemas, pakankamas ir aukštas saugumo užtikrinimo lygiai.
Tos minimalios techninės specifikacijos, standartai ir procedūros nustatomi remiantis tuo, ar toliau nurodyti elementai yra patikimi ir kokybiški:
| a) | fizinių ar juridinių asmenų, pateikusių prašymą išduoti elektroninės atpažinties priemones, tapatybės įrodymo ir patikrinimo procedūra; |
| b) | prašomų elektroninės atpažinties priemonių išdavimo procedūra; |
| c) | tapatumo nustatymo mechanizmas, kurį taikant fizinis arba juridinis asmuo naudojasi elektroninės atpažinties priemone, kad patvirtintų pasikliaujančiajai šaliai savo tapatybę; |
| d) | elektroninės atpažinties priemonę išduodantis subjektas; |
| e) | bet kuri kita įstaiga, dalyvaujanti teikiant prašymą išduoti elektroninės atpažinties priemonę, ir |
| f) | išduotos elektroninės atpažinties priemonės techninės ir saugumo specifikacijos. |
Tie įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.
17 straipsnis
Priežiūros įstaiga
1. Valstybės narės paskiria jų teritorijoje įsteigtą priežiūros įstaigą arba, abipusiu sutarimu su kita valstybe nare, toje kitoje valstybėje narėje įsteigtą priežiūros įstaigą. Ta įstaiga atsako už priežiūros funkcijų vykdymą paskiriančiojoje valstybėje narėje.
Priežiūros įstaigoms suteikiami būtini įgaliojimai ir pakankamai išteklių jų funkcijoms vykdyti.
2. Valstybės narės praneša Komisijai atitinkamų jų paskirtų priežiūros įstaigų pavadinimus ir adresus.
3. Priežiūros įstaigos vaidmuo:
| a) | prižiūrėti paskiriančiosios valstybės narės teritorijoje įsisteigusius kvalifikuotus patikimumo užtikrinimo paslaugų teikėjus siekiant ex ante ir ex post priežiūros veikla užtikrinti, kad tie patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos atitiktų šiame reglamente nustatytus reikalavimus; |
| b) | vykdant ex post priežiūros veiklą, prireikus imtis veiksmų dėl paskiriančiosios valstybės narės teritorijoje įsisteigusių nekvalifikuotų patikimumo užtikrinimo paslaugų teikėjų, kai pranešama, kad tie nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ar jų teikiamos patikimumo užtikrinimo paslaugos tariamai neatitinka šiame reglamente nustatytų reikalavimų. |
4. Taikant 3 dalį ir laikantis joje numatytų apribojimų, priežiūros įstaigos funkcijos yra visų pirma:
| a) | bendradarbiauti su kitomis priežiūros įstaigomis ir teikti joms pagalbą pagal 18 straipsnį; |
| b) | analizuoti 20 straipsnio 1 dalyje ir 21 straipsnio 1 dalyje nurodytas atitikties įvertinimo ataskaitas; |
| c) | informuoti kitas priežiūros įstaigas ir visuomenę apie saugumo ar vientisumo pažeidimus pagal 19 straipsnio 2 dalį; |
| d) | vadovaujantis šio straipsnio 6 dalimi, teikti Komisijai ataskaitas apie savo pagrindinę veiklą; |
| e) | vykdyti auditą arba reikalauti, kad atitikties vertinimo įstaiga atliktų kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų atitikties vertinimą pagal 20 straipsnio 2 dalį; |
| f) | bendradarbiauti su duomenų apsaugos institucijomis, visų pirma, nepagrįstai nedelsiant jas informuojant apie kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų audito rezultatus kai tikėtina, kad buvo pažeistos asmens duomenų apsaugos taisyklės; |
| g) | patikimumo užtikrinimo paslaugų teikėjams ir jų teikiamoms paslaugoms suteikti kvalifikacijos statusą ir jį panaikinti pagal 20 ir 21 straipsnius; |
| h) | pranešti 22 straipsnio 3 dalyje nurodytai už nacionalinį patikimą sąrašą atsakingai įstaigai apie savo sprendimus suteikti arba panaikinti kvalifikacijos statusą, nebent ta įstaiga taip pat būtų priežiūros įstaiga; |
| i) | patikrinti, ar priimtos ir teisingai taikomos nuostatos dėl nutraukimo planų tais atvejais, kai kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai nutraukia savo veiklą, be kita ko, patikrinti, kaip informacija laikoma prieinama pagal 24 straipsnio 2 dalies h punktą; |
| j) | reikalauti, kad patikimumo užtikrinimo paslaugų teikėjai ištaisytų šiame reglamente nustatytų reikalavimų vykdymo pažeidimus. |
5. Valstybės narės gali reikalauti, kad priežiūros įstaiga, laikydamasi nacionalinėje teisėje nustatytų sąlygų, sukurtų, tvarkytų ir atnaujintų patikimumo užtikrinimo infrastruktūrą.
6. Kiekviena priežiūros įstaiga kasmet ne vėliau kaip kovo 31 d. pateikia Komisijai ataskaitą apie praėjusiais kalendoriniais metais vykdytą pagrindinę veiklą kartu su pranešimų apie pažeidimus, gautų iš patikimumo užtikrinimo paslaugų teikėjų pagal 19 straipsnio 2 dalį, suvestine.
7. Komisija pateikia valstybėms narėms 6 dalyje nurodytą metinę ataskaitą.
8. Komisija gali priimti įgyvendinimo aktus, kuriais apibrėžia 6 dalyje nurodytos ataskaitos teikimo formatus ir procedūras. Tie įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.
18 straipsnis
Savitarpio pagalba
1. Priežiūros įstaigos bendradarbiauja, siekdamos keistis gerąja praktika.
Priežiūros įstaiga, gavusi pagrįstą kitos priežiūros įstaigos prašymą, suteikia tai įstaigai pagalbą, kad priežiūros įstaigų veikla būtų vykdoma nuosekliai. Savitarpio pagalba visų pirma gali apimti informacijos prašymus ir priežiūros priemones, kaip antai prašymus atlikti patikras, susijusias su 20 ir 21 straipsniuose nurodytomis atitikties įvertinimo ataskaitomis.
2. Priežiūros įstaiga, kuriai teikiamas pagalbos prašymas, gali atsisakyti patenkinti tą prašymą esant kuriam nors iš šių pagrindų:
| a) | priežiūros įstaiga nėra kompetentinga suteikti prašomą pagalbą; |
| b) | prašoma pagalba nėra proporcinga priežiūros įstaigos priežiūros veiklai, vykdomai pagal 17 straipsnį; |
| c) | prašomos pagalbos suteikimas būtų nesuderinamas su šiuo reglamentu. |
3. Prireikus valstybės narės gali atitinkamoms savo priežiūros įstaigoms leisti atlikti bendrus tyrimus, kuriuose dalyvautų kitų valstybių narių priežiūros įstaigų darbuotojai. Dėl tokių bendrų veiksmų tvarkos ir procedūrų susitaria ir jas nustato atitinkamos valstybės narės, laikydamosi savo nacionalinės teisės aktų.
19 straipsnis
Patikimumo užtikrinimo paslaugų teikėjams keliami saugumo reikalavimai
1. Kvalifikuoti ir nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai imasi reikiamų techninių ir organizacinių priemonių, kad būtų valdoma rizika, kylanti jų teikiamų patikimumo užtikrinimo paslaugų saugumui. Atsižvelgiant į naujausius technologinius pokyčius, tomis priemonėmis užtikrinama, kad saugumo lygis atitiktų rizikos lygį. Visų pirma imamasi priemonių, kad būtų išvengta saugumo incidentų, jog būtų kuo labiau sumažintas jų poveikis ir kad suinteresuotieji subjektai būtų informuoti apie neigiamą tokių incidentų poveikį.
2. Kvalifikuoti ir nekvalifikuoti patikimumo užtikrinimo paslaugų teikėjai, nepagrįstai nedelsdami, ir bet kuriuo atveju per 24 valandas nuo to momento, kai apie tai sužino, praneša priežiūros įstaigai ir, prireikus, kitoms atitinkamomis įstaigomis, kaip antai informacijos saugumo klausimais kompetentingai nacionalinei įstaigai arba duomenų apsaugos institucijai, apie visus saugumo arba vientisumo pažeidimus, turėjusius didelį poveikį teikiamai patikimumo užtikrinimo paslaugai arba ją teikiant naudojamiems asmens duomenims.
Kai saugumo ar vientisumo pažeidimas galėtų turėti neigiamo poveikio fiziniam ar juridiniam asmeniui, kuriam teikiama patikimumo užtikrinimo paslauga, patikimumo užtikrinimo paslaugų teikėjas taip pat nepagrįstai nedelsdamas praneša apie saugumo ar vientisumo pažeidimą tam fiziniam ar juridiniam asmeniui.
Prireikus – visų pirma, kai saugumo arba vientisumo pažeidimas yra susijęs su dviem arba daugiau valstybių narių – pranešimą gavusi priežiūros įstaiga informuoja kitų atitinkamų valstybių narių priežiūros įstaigas ir ENISA.
Jei pranešimą gavusi priežiūros įstaiga nustato, kad saugumo ar vientisumo pažeidimo atskleidimas yra svarbus visuomenei, ji informuoja visuomenę arba pareikalauja, kad tą padarytų patikimumo užtikrinimo paslaugų teikėjas.
3. Priežiūros įstaiga kartą per metus pateikia ENISA iš patikimumo užtikrinimo paslaugų teikėjų gautų pranešimų apie saugumo ar vientisumo pažeidimus suvestinę.
4. Komisija gali priimti įgyvendinimo aktus, kuriais:
| a) | tiksliau apibrėžia 1 dalyje nurodytas priemones ir |
| b) | apibrėžia formatus ir procedūras, įskaitant terminus, taikytinus 2 dalies tikslais. |
Tie įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.
3 SKYRIUS
Kvalifikuotos patikimumo užtikrinimo paslaugos
20 straipsnis
Kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų priežiūra
1. Atitikties vertinimo įstaiga atlieka kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų auditą jų lėšomis bent kas 24 mėnesius. Audito tikslas – patvirtinti, kad kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ir jų teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos atitinka šiame reglamente nustatytus reikalavimus. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai po to parengtą atitikties įvertinimo ataskaitą priežiūros įstaigai pateikia per trijų darbo dienų laikotarpį nuo jos gavimo dienos.
2. Nedarant poveikio 1 daliai, priežiūros įstaiga gali bet kuriuo metu atlikti kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų auditą arba reikalauti, kad atitikties vertinimo įstaiga atliktų jų atitikties įvertinimą tų patikimumo užtikrinimo paslaugų teikėjų lėšomis, siekiant patvirtinti, kad jie ir jų teikiamos kvalifikuotos patikimumo užtikrinimo paslaugos atitinka šiame reglamente nustatytus reikalavimus. Kai nustatoma, kad buvo pažeistos asmens duomenų apsaugos taisyklės, priežiūros įstaiga praneša duomenų apsaugos institucijoms savo atliktų auditų rezultatus.
3. Kai priežiūros įstaiga reikalauja, kad kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas ištaisytų bet kuriuos šiame reglamente nustatytų reikalavimų vykdymo pažeidimus ir kai tas teikėjas to nepadaro, jei taikytina, per priežiūros įstaigos nustatytą laikotarpį, priežiūros įstaiga, atsižvelgdama visų pirma į tokių pažeidimų mastą, trukmę ir pasekmes, gali panaikinti to teikėjo arba pažeidimo paveiktų jo teikiamų paslaugų kvalifikacijos statusą ir pranešti apie tai 22 straipsnio 3 dalyje nurodytai įstaigai, kad būtų galima atnaujinti 22 straipsnio 1 dalyje nurodytus patikimus sąrašus. Priežiūros įstaiga informuoja kvalifikuotą patikimumo užtikrinimo paslaugų teikėją apie jo kvalifikacijos statuso arba atitinkamos paslaugos kvalifikacijos statuso panaikinimą.
4. Komisija gali priimti įgyvendinimo aktus, kuriais nustato toliau nurodytų standartų referencinius numerius:
| a) | atitikties vertinimo įstaigų akreditavimo ir 1 dalyje nurodytos atitikties vertinimo ataskaitos; |
| b) | audito taisyklių, pagal kurias atitikties vertinimo įstaigos atliks 1 dalyje nurodytą kvalifikuotų patikimumo užtikrinimo paslaugų teikėjų atitikties vertinimą. |
Tie įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.
21 straipsnis
Kvalifikuotos patikimumo užtikrinimo paslaugos inicijavimas
1. Kai kvalifikacijos statuso neturintys patikimumo užtikrinimo paslaugų teikėjai ketina pradėti teikti kvalifikuotas patikimumo užtikrinimo paslaugas, jie priežiūros įstaigai pateikia pranešimą apie savo ketinimą kartu su atitikties vertinimo įstaigos parengta atitikties įvertinimo ataskaita.
2. Priežiūros įstaiga patikrina, ar patikimumo užtikrinimo paslaugų teikėjas ir jo teikiamos patikimumo užtikrinimo paslaugos atitinka šiame reglamente nustatytus reikalavimus, ir ypač, kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams ir jų teikiamoms kvalifikuotoms patikimumo užtikrinimo paslaugoms numatytus reikalavimus.
Jei priežiūros įstaiga padaro išvadą, kad patikimumo užtikrinimo paslaugų teikėjas ir jo teikiamos patikimumo užtikrinimo paslaugos atitinka pirmoje pastraipoje nurodytus reikalavimus, priežiūros įstaiga jam suteikia kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo, o jo teikiamoms paslaugoms – kvalifikuotų patikimumo užtikrinimo paslaugų statusą ir ne vėliau kaip per tris mėnesius nuo pranešimo pateikimo pagal šio straipsnio 1 dalį dienos apie tai praneša 22 straipsnio 3 dalyje nurodytai įstaigai, kad būtų galima atnaujinti 22 straipsnio 1 dalyje nurodytus patikimus sąrašus.
Jeigu per tris mėnesius nuo pranešimo dienos patikrinimas nebaigiamas, priežiūros įstaiga apie tai praneša patikimumo užtikrinimo paslaugų teikėjui, nurodydama vėlavimo priežastis ir laikotarpį, per kurį patikrinimas bus baigtas.
3. Kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai gali pradėti teikti kvalifikuotas patikimumo užtikrinimo paslaugas po to, kai kvalifikuotas statusas nurodomas patikimuose sąrašuose, nurodytuose 22 straipsnio 1 dalyje.
4. Komisija gali priimti įgyvendinimo aktus, kuriais apibrėžia formatus ir procedūras 1 ir 2 dalių tikslais. Tie įgyvendinimo aktai priimami pagal 48 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą.
24 straipsnis
Kvalifikuotiems patikimumo užtikrinimo paslaugų teikėjams keliami reikalavimai
1. Išduodamas kvalifikuotą patikimumo užtikrinimo paslaugos sertifikatą, kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas tinkamomis priemonėmis pagal nacionalinės teisės aktus patikrina fizinio ar juridinio asmens, kuriam išduodamas kvalifikuotas sertifikatas, tapatybę ir, jeigu taikytina, visus jo specifinius požymius.
Pirmoje pastraipoje nurodytą informaciją kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, tikrina tiesiogiai arba patikėdamas tą atlikti trečiajai šaliai pagal nacionalinę teisę:
| a) | fiziškai dalyvaujant fiziniam asmeniui arba juridinio asmens įgaliotajam atstovui; arba |
| b) | nuotoliniu būdu, naudodamas elektroninės atpažinties priemones, jei prieš išduodant kvalifikuotą sertifikatą jų atžvilgiu buvo užtikrintas fizinio ar juridinio asmens įgaliotojo atstovo fizinis dalyvavimas, ir kurios atitinka 8 straipsnyje nustatytus „pakankamo“ ir „aukšto“ saugumo užtikrinimo lygių reikalavimus; arba |
| c) | naudodamas pagal a arba b punktą išduotą kvalifikuotą elektroninio parašo arba elektroninio spaudo sertifikatą, arba |
| d) | naudodamas kitus nacionaliniu lygiu pripažintus tapatybės nustatymo būdus, kuriais užtikrinamas fiziniam dalyvavimui lygiavertis saugumo užtikrinimas. Lygiavertį saugumo užtikrinimą turi patvirtinti atitikties vertinimo įstaiga. |
2. Kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, teikiantis kvalifikuotas patikimumo užtikrinimo paslaugas:
| a) | informuoja priežiūros įstaigą apie bet kokius savo kvalifikuotų patikimumo užtikrinimo paslaugų teikimo pakeitimus ir ketinimą nutraukti tą veiklą; |
| b) | samdo darbuotojus ir, jei taikytina, subrangovus, kurie turi būtinos kompetencijos, yra patikimi, turi būtinos patirties ir kvalifikacijos, yra tinkamai apmokyti saugumo ir asmens duomenų apsaugos taisyklių, ir taiko Europos arba tarptautinius standartus atitinkančias administracines bei valdymo procedūras; |
| c) | atsakomybės už žalą rizikos atžvilgiu pagal 13 straipsnį, disponuoja pakankamais finansiniais ištekliais ir (arba) gauna tinkamą atsakomybės draudimą pagal nacionalinės teisės aktus; |
| d) | prieš užmegzdamas sutartinius santykius, aiškiai ir išsamiai informuoja visus asmenis, kurie nori naudotis kvalifikuota patikimumo užtikrinimo paslauga, apie tikslias naudojimosi ta paslauga sąlygas, įskaitant bet kokius naudojimosi ja apribojimus; |
| e) | naudoja patikimas sistemas ir produktus, kurie yra apsaugoti nuo pakeitimų, ir užtikrina jų palaikomo proceso techninį saugumą ir patikimumą; |
| f) | jam pateiktus duomenis patikrinama forma saugo patikimose sistemose, kad:
|
| g) | imasi tinkamų apsaugos nuo duomenų klastojimo ir vagystės priemonių; |
| h) | tinkamą laikotarpį, įskaitant kvalifikuotam patikimumo užtikrinimo paslaugų teikėjui nutraukus veiklą, registruoja ir laiko prieinama visą susijusią informaciją dėl kvalifikuoto patikimumo užtikrinimo paslaugų teikėjo parengtų ir gautų duomenų, visų pirma tam, kad šią informaciją būtų galima panaudoti teismo procese kaip įrodymą ir siekiant užtikrinti paslaugų tęstinumą. Tokia informacija gali būti registruojama elektroniniu būdu; |
| i) | turi atnaujinamą nutraukimo planą, kad užtikrintų paslaugų tęstinumą, atsižvelgdami į priežiūros įstaigos pagal 17 straipsnio 4 dalies i punktą patikrintas nuostatas; |
| j) | užtikrina teisėtą asmens duomenų tvarkymą pagal Direktyvą 95/46/EB; |
| k) | tais atvejais, kai kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai išduoda kvalifikuotus sertifikatus – sukuria ir atnaujina sertifikatų duomenų bazę. |
3. Jei kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas, išduodantis kvalifikuotus sertifikatus nusprendžia atšaukti sertifikatą, tokį atšaukimą jis užregistruoja savo sertifikatų duomenų bazėje ir laiku paskelbia apie sertifikato atšaukimo statusą, ir bet kuriuo atveju per 24 valandas po prašymo gavimo dienos. Atšaukimas įsigalioja nedelsiant po jo paskelbimo.
4. Atsižvelgdami į 3 dalį, kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai, išduodantys kvalifikuotus sertifikatus, kiekvienai pasikliaujančiajai šaliai pateikia informaciją apie jų išduotų kvalifikuotų sertifikatų galiojimą arba atšaukimą. Ši informacija bet kuriuo metu, net ir pasibaigus sertifikato galiojimo laikotarpiui, pateikiama bent apie kiekvieną sertifikatą taikant automatizuotą būdą, kuris yra saugus, nemokamas ir veiksmingas.
5. Komisija gali priimti įgyvendinimo aktus, kuriais nustato patikimoms sistemoms ir produktams, kurie atitinka šio straipsnio 2 dalies e ir f punktų reikalavimus, taikomų standartų referencinius numerius. Jeigu patikimos sistemos ir produktai atitinka tuos standartus, laikoma, kad užtikrinta atitiktis šio straipsnio reikalavimams. Tie įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.
4 SKIRSNIS
Elektroniniai parašai
30 straipsnis
Kvalifikuotų elektroninio parašo kūrimo įtaisų sertifikavimas
1. Kvalifikuotų elektroninio parašo kūrimo įtaisų atitiktį II priede nustatytiems reikalavimams sertifikuoja valstybių narių paskirtos atitinkamos viešosios ar privačiosios įstaigos.
2. Valstybės narės praneša Komisijai 1 dalyje nurodytų viešųjų ar privačiųjų įstaigų pavadinimus ir adresus. Komisija tą informaciją pateikia valstybėms narėms.
3. 1 dalyje nurodytas sertifikavimas grindžiamas viena iš šių procedūrų:
| a) | saugumo vertinimo procedūra, atlikta pagal vieną iš informacinių technologijų produktų saugumo vertinimo standartų, įtrauktų į sąrašą nustatytą pagal antrą pastraipą, arba |
| b) | kita nei a punkte nurodyta procedūra su sąlyga, kad joje taikomi panašūs saugumo lygiai, o 1 dalyje nurodyta viešoji ar privačioji įstaiga apie tą procedūrą praneša Komisijai. Ta procedūra gali būti taikoma tik tuo atveju, kai nėra a punkte nurodytų standartų arba kai tebevyksta a punkte nurodyta saugumo vertinimo procedūra. |
Komisija priimdama įgyvendinimo aktus sudaro iš informacinių technologijų produktų, nurodytų a punkte, saugumo vertinimo standartų sąrašą. Tie įgyvendinimo aktai priimami laikantis 48 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.
4. Komisijai pagal 47 straipsnį suteikiami įgaliojimai priimti deleguotuosius aktus dėl specialiųjų kriterijų, kuriuos turėtų atitikti šio straipsnio 1 dalyje nurodytos paskirtos įstaigos, nustatymo.
51 straipsnis
Pereinamojo laikotarpio priemonės
1. Pažangūs parašo kūrimo įtaisai, kurių atitiktis buvo nustatyta pagal Direktyvos 1999/93/EB 3 straipsnio 4 dalį, pagal šį reglamentą laikomi kvalifikuotais elektroninio parašo kūrimo įtaisais.
2. Pagal Direktyvą 1999/93/EB fiziniams asmenims išduoti kvalifikuoti sertifikatai pagal šį reglamentą laikomi kvalifikuotais elektroninių parašų sertifikatais iki jų galiojimo pabaigos.
3. Kvalifikuotus sertifikatus pagal Direktyvą 1999/93/EB išduodantis sertifikavimo paslaugų teikėjas kuo greičiau, bet ne vėliau kaip 2017 m. liepos 1 d. priežiūros įstaigai pateikia atitikties įvertinimo ataskaitą. Kol nepateikiama tokia atitikties įvertinimo ataskaita ir priežiūros įstaiga baigia jos įvertinimą, tas sertifikavimo paslaugų teikėjas pagal šį reglamentą laikomas kvalifikuotu patikimumo užtikrinimo paslaugų teikėju.
4. Jei kvalifikuotus sertifikatus pagal Direktyvą 1999/93/EB išduodantis sertifikavimo paslaugų teikėjas per 3 dalyje nurodytą laikotarpį priežiūros įstaigai nepateikia atitikties įvertinimo ataskaitos, tas sertifikavimo paslaugų teikėjas pagal šį reglamentą nuo 2017 m. liepos 2 d. nelaikomas kvalifikuotu patikimumo užtikrinimo paslaugų teikėju.
whereas