keyboard_tab EIDAS 2014/0910 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artykuł 8 Poziomy bezpieczeństwa systemów identyfikacji elektronicznej
- 1 Artykuł 12 Współpraca i interoperacyjność
- 1 Artykuł 24 Wymogi dla kwalifikowanych dostawców usług zaufania
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
IDENTYFIKACJA ELEKTRONICZNA
ROZDZIAŁ III
USŁUGI ZAUFANIA
SEKCJA 1
Przepisy ogólne
SEKCJA 2
Nadzór
SEKCJA 3
Kwalifikowane usługi zaufania
SEKCJA 4
Podpisy elektroniczne
SEKCJA 5
Pieczęcie elektroniczne
SEKCJA 6
Elektroniczne znaczniki czasu
SEKCJA 7
Usługi rejestrowanego doręczenia elektronicznego
SEKCJA 8
Uwierzytelnianie witryn internetowych
ROZDZIAŁ IV
DOKUMENTY ELEKTRONICZNE
ROZDZIAŁ V
PRZEKAZANIE UPRAWNIEŃ I PRZEPISY WYKONAWCZE
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
- osób prawnych
- identyfikacja elektroniczna
- środek identyfikacji elektronicznej
- dane identyfikujące osobę
- system identyfikacji elektronicznej
- uwierzytelnianie
- strona ufająca
- podmiot sektora publicznego
- podmiot prawa publicznego
- podpisujący
- podpis elektroniczny
- zaawansowany podpis elektroniczny
- kwalifikowany podpis elektroniczny
- dane służące do składania podpisu elektronicznego
- certyfikat podpisu elektronicznego
- kwalifikowany certyfikat podpisu elektronicznego
- usługa zaufania
- kwalifikowana usługa zaufania
- jednostka oceniająca zgodność
- dostawca usług zaufania
- kwalifikowany dostawca usług zaufania
- produkt
- urządzenie do składania podpisu elektronicznego
- kwalifikowane urządzenie do składania podpisu elektronicznego
- podmiot składający pieczęć
- pieczęć elektroniczna
- zaawansowana pieczęć elektroniczna
- kwalifikowana pieczęć elektroniczna
- dane służące do składania pieczęci elektronicznej
- certyfikat pieczęci elektronicznej
- kwalifikowany certyfikat pieczęci elektronicznej
- urządzenie do składania pieczęci elektronicznej
- kwalifikowane urządzenie do składania pieczęci elektronicznej
- elektroniczny znacznik czasu
- kwalifikowany elektroniczny znacznik czasu
- dokument elektroniczny
- usługa rejestrowanego doręczenia elektronicznego
- kwalifikowana usługa rejestrowanego doręczenia elektronicznego
- certyfikat uwierzytelniania witryn internetowych
- kwalifikowany certyfikat uwierzytelniania witryn internetowych
- dane służące do walidacji
- walidacja
- identyfikacji 28
- elektronicznej 28
- bezpieczeństwa 17
- zaufania 15
- się 14
- systemów 12
- zgodnie 11
- technicznych 11
- środka 11
- osoby 11
- przez 10
- danych 10
- usług 10
- odniesieniu 8
- oraz 7
- tożsamości 7
- mowa 7
- jest 7
- względem 6
- których 6
- której 6
- poziom 6
- specyfikacji 5
- celów 5
- interoperacyjności 5
- przypadku 5
- certyfikatu 5
- kwalifikowanego 5
- procedury 5
- który 5
- średni 5
- kwalifikowanych 5
- które 4
- odniesienie 4
- określonych 4
- do 4
- wykonawcze 4
- wysoki 4
- zapewnia 4
- ryzyka 4
- fizycznej 4
- dane 4
- systemu 4
- powiązanych 4
- informacje 4
- standardów 4
- standardy 4
- usługi 4
- prawem 4
- kwalifikowany 4
Artykuł 8
Poziomy bezpieczeństwa systemów identyfikacji elektronicznej
1. System identyfikacji elektronicznej notyfikowany na podstawie art. 9 ust. 1 określa niski, średni lub wysoki poziom bezpieczeństwa w odniesieniu do środka identyfikacji elektronicznej wydanego w ramach tego systemu.
2. Niski, średni i wysoki poziom bezpieczeństwa oznaczają spełnienie, odpowiednio, następujących kryteriów:
| a) | niski poziom bezpieczeństwa odnosi się w kontekście systemu identyfikacji elektronicznej do środka identyfikacji elektronicznej, który zapewnia ograniczony stopień zaufania względem podawanej lub zgłaszanej tożsamości danej osoby i jest charakteryzowany w odniesieniu do technicznych specyfikacji, standardów i procedur powiązanych z nim, w tym zabezpieczeń technicznych, których celem jest obniżenie ryzyka podszycia się lub modyfikacji tożsamości; |
| b) | średni poziom bezpieczeństwa odnosi się w kontekście systemu identyfikacji elektronicznej do środka identyfikacji elektronicznej, który zapewnia średni stopień zaufania względem podawanej lub zgłaszanej tożsamości danej osoby i jest charakteryzowany w odniesieniu do technicznych specyfikacji, standardów i procedur powiązanych z nim, w tym zabezpieczeń technicznych, których celem jest znaczne obniżenie ryzyka podszycia się lub modyfikacji tożsamości; |
| c) | wysoki poziom bezpieczeństwa odnosi się w kontekście systemu identyfikacji elektronicznej do środka identyfikacji elektronicznej, który zapewnia wyższy stopień zaufania względem podawanej lub zgłaszanej tożsamości danej osoby niż środek_identyfikacji_elektronicznej o średnim poziomie pewności i jest charakteryzowany w odniesieniu do technicznych specyfikacji, standardów i procedur powiązanych z nim, w tym zabezpieczeń technicznych, których celem jest zapobieganie podszyciu się lub modyfikacji tożsamości. |
3. Do dnia 18 września 2015 r., przy uwzględnieniu odpowiednich standardów międzynarodowych i z zastrzeżeniem ust. 2, Komisja określi w drodze aktów wykonawczych minimalne techniczne specyfikacje, standardy i procedury, w odniesieniu do których określone zostaną niski, średni i wysoki poziom bezpieczeństwa dla środka identyfikacji elektronicznej do celów ust. 1.
Te minimalne techniczne specyfikacje, standardy i procedury są określane przez odniesienie do wiarygodności i jakości następujących elementów:
| a) | procedury wykazującej i weryfikującej tożsamość osób fizycznych lub prawnych wnioskujących o wydanie środka identyfikacji elektronicznej; |
| b) | procedury wydawania wnioskowanego środka identyfikacji elektronicznej; |
| c) | mechanizmu uwierzytelniania, w którym osoba fizyczna lub prawna używa środka identyfikacji elektronicznej do potwierdzenia swojej tożsamości wobec strony ufającej; |
| d) | jednostki wydającej środek_identyfikacji_elektronicznej; |
| e) | każdego innego organu zaangażowanego w ramach wniosku o wydanie środka identyfikacji elektronicznej; oraz |
| f) | specyfikacji technicznych i specyfikacji bezpieczeństwa wydanego środka identyfikacji elektronicznej. |
Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.
Artykuł 12
Współpraca i interoperacyjność
1. Krajowe systemy identyfikacji elektronicznej notyfikowane na podstawie art. 9 ust. 1 muszą być interoperacyjne.
2. Do celów ust. 1 ustanowia się ramy interoperacyjności.
3. Ramy interoperacyjności spełniają następujące kryteria:
| a) | są neutralne pod względem technologicznym i nie dyskryminują żadnych konkretnych krajowych rozwiązań technicznych w zakresie identyfikacji elektronicznej w danym państwie członkowskim; |
| b) | są zgodne, w miarę możliwości, z europejskimi i międzynarodowymi standardami; |
| c) | ułatwiają wdrożenie zasady uwzględniania ochrony prywatności już w fazie projektowania; oraz |
| d) | zapewniają, aby dane osobowe były przetwarzane zgodnie z dyrektywą 95/46/WE. |
4. Ramy interoperacyjności zawierają:
| a) | odniesienie do minimalnych wymogów technicznych powiązanych z poziomami bezpieczeństwa określonych w art. 8; |
| b) | przyporządkowanie krajowych poziomów bezpieczeństwa notyfikowanych systemów identyfikacji elektronicznej względem poziomów bezpieczeństwa na mocy art. 8; |
| c) | odniesienie do minimalnych wymogów technicznych dotyczących interoperacyjności; |
| d) | odniesienie do minimalnego zbioru danych identyfikujących osobę unikalnie reprezentujących osobę fizyczną lub prawną, dostępnego w ramach systemów identyfikacji elektronicznej; |
| e) | regulamin wewnętrzny; |
| f) | ustalenia dotyczące rozstrzygania sporów; oraz |
| g) | wspólne operacyjne standardy bezpieczeństwa. |
5. Państwa członkowskie współpracują ze sobą, mając na uwadze następujące kwestie:
| a) | interoperacyjność systemów identyfikacji elektronicznej notyfikowanych na podstawie art. 9 ust. 1 i systemów identyfikacji elektronicznej, które państwa członkowskie zamierzają notyfikować; oraz |
| b) | bezpieczeństwo systemów identyfikacji elektronicznej. |
6. Współpraca między państwami członkowskimi obejmuje:
| a) | wymianę informacji, doświadczeń i dobrych praktyk w zakresie systemów identyfikacji elektronicznej, a w szczególności wymogów technicznych związanych z interoperacyjnością i poziomami bezpieczeństwa; |
| b) | wymianę informacji, doświadczeń i dobrych praktyk w zakresie pracy z poziomami bezpieczeństwa systemów identyfikacji elektronicznej określonych w art. 8; |
| c) | wzajemną ocenę systemów identyfikacji elektronicznej objętych niniejszym rozporządzeniem; oraz |
| d) | analizę istotnych zmian w sytuacji w sektorze identyfikacji elektronicznej. |
7. Do dnia 18 marca 2015 r. Komisja ustanowi w drodze aktów wykonawczych niezbędne proceduralne warunki ułatwiania współpracy między państwami członkowskimi, o której mowa w ust. 5 i 6, w celu zapewnienia wysokiego poziomu zaufania i bezpieczeństwa, stosownie do poziomu ryzyka.
8. Do dnia 18 września 2015 r., do celów określenia jednolitych warunków realizacji wymogu, o którym mowa w ust. 1, z zastrzeżeniem kryteriów określonych w ust. 3 i z uwzględnieniem wyników współpracy między państwami członkowskimi, Komisja przyjmie akty wykonawcze dotyczące ram interoperacyjności określonych w ust. 4.
9. Akty wykonawcze, o których mowa w ust. 7 i 8 niniejszego artykułu, przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.
ROZDZIAŁ III
USŁUGI ZAUFANIA
SEKCJA 1
Przepisy ogólne
Artykuł 24
Wymogi dla kwalifikowanych dostawców usług zaufania
1. Wydając kwalifikowany certyfikat dla usługi zaufania, kwalifikowany dostawca_usług_zaufania weryfikuje, za pomocą odpowiednich środków i zgodnie z prawem krajowym, tożsamość i, w stosownym przypadku, wszelkie specjalne atrybuty osoby fizycznej lub prawnej, której wydaje kwalifikowany certyfikat.
Informacje, o których mowa w akapicie pierwszym, są weryfikowane przez kwalifikowanego dostawcę usług zaufania albo bezpośrednio, albo polegając na stronie trzeciej zgodnie z prawem krajowym:
| a) | przez fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej; lub |
| b) | zdalnie, przy użyciu środka identyfikacji elektronicznej, w przypadku którego przed wydaniem kwalifikowanego certyfikatu zapewniono fizyczną obecność osoby fizycznej lub upoważnionego przedstawiciela osoby prawnej i który spełnia wymogi określone w art. 8 w odniesieniu do średniego lub wysokiego poziomu bezpieczeństwa; lub |
| c) | za pomocą certyfikatu kwalifikowanego podpisu elektronicznego lub kwalifikowanej pieczęci elektronicznej wydanych zgodnie z lit. a) lub b); lub |
| d) | przy użyciu innych metod identyfikacji uznanych na szczeblu krajowym, które zapewniają pewność równoważną, pod względem wiarygodoności, fizycznej obecności. Równoważna pewność musi być potwierdzona przez jednostkę oceniającą zgodność. |
2. Dostawca kwalifikowanych usług zaufania świadczący kwalifikowane usługi zaufania:
| a) | informuje organ nadzoru o wszelkich zmianach w świadczeniu kwalifikowanych usług zaufania oraz o zamiarze zaprzestania swej działalności; |
| b) | zatrudnia pracowników i, w stosownym przypadku, podwykonawców, którzy posiadają niezbędną wiedzę fachową, wiarygodność, doświadczenie i kwalifikacje i którzy przeszli odpowiednie szkolenia na temat przepisów dotyczących bezpieczeństwa i ochrony danych osobowych oraz którzy stosują procedury administracyjne i zarządcze odpowiadające europejskim lub międzynarodowym standardom; |
| c) | w odniesieniu do ryzyka związanego z odpowiedzialnością za szkody zgodnie z art. 13 utrzymuje dostateczne zasoby finansowe lub dysponuje stosownym ubezpieczeniem od odpowiedzialności zgodnie z prawem krajowym; |
| d) | przed wejściem w stosunek umowny informuje, w jasny i szczegółowy sposób, wszystkie osoby pragnące skorzystać z kwalifikowanej usługi zaufania o dokładnych warunkach korzystania z tej usługi, w tym o wszelkich ograniczeniach korzystania z niej; |
| e) | używa wiarygodnych systemów i produktów, które są chronione przed modyfikacją i zapewniają techniczne bezpieczeństwo i wiarygodność procesów przez niego obsługiwanych; |
| f) | używa wiarygodnych systemów do przechowywania przekazanych mu danych w sprawdzalnej postaci, tak aby:
|
| g) | podejmuje odpowiednie środki zapobiegające fałszowaniu i kradzieży danych; |
| h) | rejestruje i udostępnia przez odpowiedni okres, w tym po zaprzestaniu działalności przez kwalifikowanego dostawcę usług zaufania, wszelkie odpowiednie informacje dotyczące danych wydanych i otrzymanych przez kwalifikowanego dostawcę usług zaufania, w szczególności do celów przedstawienia dowodów w postępowaniach sądowych i do celów zapewnienia ciągłości usług. Rejestracja może odbywać się drogą elektroniczną; |
| i) | ma aktualny plan zakończenia działalności, aby zapewnić ciągłość usług zgodnie z przepisami zweryfikowanymi przez organ nadzoru na mocy art. 17 ust. 4 lit. i); |
| j) | zapewnia zgodne z prawem przetwarzanie danych osobowych zgodnie z dyrektywą 95/46/WE; |
| k) | w przypadku kwalifikowanych dostawców usług zaufania wydających kwalifikowane certyfikaty – tworzy i aktualizuje bazę danych dotyczącą certyfikatów. |
3. Jeżeli kwalifikowany dostawca_usług_zaufania wydający kwalifikowane certyfikaty postanowi unieważnić certyfikat, rejestruje on takie unieważnienie w swojej bazie danych dotyczącej certyfikatów i publikuje informację o statusie unieważnienia certyfikatu w odpowiednim czasie, ale w każdym razie w ciągu 24 godzin po otrzymaniu wniosku. Unieważnienie staje się skuteczne natychmiast po jego opublikowaniu.
4. W odniesieniu do ust. 3 kwalifikowani dostawcy usług zaufania wydający kwalifikowane certyfikaty dostarczają każdej stronie ufającej informacje o statusie ważności lub unieważnienia wydanych przez siebie kwalifikowanych certyfikatów. Informacje te są dostępne co najmniej na poziomie certyfikatu w automatyczny sposób, który jest wiarygodny, nieodpłatny i wydajny, w każdym momencie, także po upływie okresu ważności certyfikatu.
5. Komisja może w drodze aktów wykonawczych podać numery referencyjne norm dotyczących wiarygodnych systemów i produktów, które spełniają wymogi określone w ust. 2 lit. e) i f) niniejszego artykułu. W przypadku gdy wiarygodne systemy i produkty spełniają te standardy, domniemywa się zgodność z wymogami określonymi w niniejszym artykule. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 48 ust. 2.
SEKCJA 4
Podpisy elektroniczne
whereas