EIDAS 2014/0910 PT

1. A conformidade dos dispositivos qualificados de criação de assinaturas eletrónicas com os requisitos estabelecidos no anexo II é certificada pelas entidades públicas ou privadas competentes designadas pelos Estados-Membros.

2. Os Estados-Membros comunicam à Comissão a denominação e o endereço da entidade pública ou privada por eles designada, referida no n.o 1. A Comissão põe a informação à disposição dos Estados-Membros.

3. A certificação referida no n.o 1 é baseada:

a)	Num processo de avaliação de segurança executado de acordo com as normas da avaliação de segurança dos produtos informáticos constantes da lista elaborada nos termos do segundo parágrafo; ou

Num processo diferente do referido na alínea a), desde que esse processo utilize níveis de segurança comparáveis e a entidade pública ou privada referida no n.o 1 notifique esse processo à Comissão. Esse processo só pode ser utilizado na falta das normas constantes da alínea a) ou se estiver em curso um processo de avaliação de segurança referido na alínea a).

A Comissão deve, por meio de atos de execução, elaborar a lista de normas da avaliação de segurança dos produtos informáticos a que se refere a alínea a). Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 8.o.

4. A Comissão tem poderes para adotar atos delegados nos termos do artigo 47.o para estabelecer os critérios específicos a cumprir pelas entidades designadas referidas no n.o 1 do presente artigo.

Artigo 31.o

Publicação de uma lista de dispositivos qualificados e certificados de criação de assinaturas eletrónicas

1. Os Estados-Membros comunicam à Comissão, sem atrasos indevidos, no prazo de um mês após a conclusão da certificação, informações sobre os dispositivos qualificados de criação de assinaturas eletrónicas que tenham sido certificados pelas entidades referidas no artigo 30.o, n.o 1. Comunicam também à Comissão, sem atrasos indevidos, no prazo de um mês após a conclusão da certificação, informações sobre os dispositivos de criação de assinaturas eletrónicas que deixem de estar certificados.

2. Com base nas informações recebidas, a Comissão elabora, publica e mantém atualizada uma lista dos dispositivos qualificados e certificados de criação de assinaturas eletrónicas.

3. A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis para efeitos do disposto no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 39.o

Dispositivos qualificados de criação de selos eletrónicos

1. O artigo 29.o aplica-se com as necessárias adaptações aos requisitos exigidos para os dispositivos qualificados de criação de selo eletrónico.

2. O artigo 30.o aplica-se com as necessárias adaptações à certificação dos dispositivos qualificados de criação de selo eletrónico.

3. O artigo 31.o aplica-se com as necessárias adaptações à publicação da lista de dispositivos qualificados e certificados de criação de selo eletrónico.

Artigo 51.o

Medidas transitórias

1. Os dispositivos seguros de criação de assinaturas cuja conformidade tenha sido determinada nos termos do artigo 3.o, n.o 4, da Diretiva 1999/93/CE são considerados dispositivos qualificados de criação de assinaturas eletrónicas na aceção do presente regulamento.

2. Os certificados qualificados emitidos a pessoas singulares em conformidade com a Diretiva 1999/93/CE são considerados certificados qualificados de assinatura eletrónica na aceção do presente regulamento até caducarem.

3. Os prestadores de serviços de certificação que emitam certificados qualificados em conformidade com a Diretiva 1999/93/CE apresentam um relatório de avaliação da conformidade à entidade supervisora no mais breve prazo, o mais tardar até 1 de julho de 2017. Até o referido relatório de avaliação da conformidade ser apresentado e a entidade supervisora concluir a sua avaliação, consideram-se os prestadores de serviços de certificação como prestadores qualificados de serviços de confiança na aceção do presente regulamento.

4. Se os prestadores de serviços de certificação que emitem certificados qualificados em conformidade com a Diretiva 1999/93/CE não apresentarem relatório de avaliação da conformidade à entidade supervisora dentro do prazo referido no n.o 3, deixam de ser considerados como prestadores qualificados de serviços de confiança na aceção do presente regulamento a partir de 2 de julho de 2017.

whereas

(55) A certificação de segurança informática baseada em normas internacionais (como a ISO 15408 e os métodos de avaliação e acordos de reconhecimento mútuo conexos) é um instrumento importante para verificar a segurança dos dispositivos qualificados de criação de assinaturas eletrónicas, e deverá ser promovida.
Contudo, as soluções e serviços inovadores (como a assinatura móvel, a assinatura em nuvem, etc.) dependem de soluções de ordem técnica e organizativa para os dispositivos qualificados de criação de assinaturas eletrónicas, para os quais ainda não existem normas de segurança ou cuja primeira certificação de segurança informática esteja em curso.
O nível de segurança desses dispositivos qualificados de criação de assinaturas eletrónicas só pode ser avaliado com recurso a processos alternativos quando ainda não existam normas de segurança ou a primeira certificação de segurança informática esteja em curso.
Esses processos deverão ser comparáveis às normas de certificação de segurança informática na medida em que os seus níveis de segurança são equivalentes.
Estes processos poderão ser facilitados por uma avaliação pelos pares.

- = -

(56) O presente regulamento deverá estabelecer os requisitos aplicáveis aos dispositivos qualificados de criação de assinaturas eletrónicas para garantir a funcionalidade das assinaturas eletrónicas avançadas.
O presente regulamento não deverá abranger a totalidade da arquitetura do sistema em que esses dispositivos evoluem.
Desta forma, o âmbito da certificação dos dispositivos qualificados de criação de assinaturas deverá ser limitado ao hardware e ao software do sistema utilizado para gerir e proteger os dados de criação da assinatura criados, conservados ou tratados no dispositivo de criação de assinaturas.
O âmbito da obrigação de certificação, conforme referem as normas aplicáveis, deverá excluir as aplicações de criação de assinaturas.

- = -

(67) Os serviços de autenticação de sítios web fornecem meios que dão aos visitantes de um sítio web a garantia de que existe uma entidade genuína e legítima responsável pelo sítio.
Estes serviços contribuem para a criação de segurança e confiança na realização de negócios em linha, pois os utilizadores terão confiança nos sítios web que tenham sido autenticados.
A prestação e utilização dos serviços de autenticação de sítios web são inteiramente voluntárias.
Contudo, para que a autenticação de sítios web venha a constituir um meio de reforçar a confiança, proporcionar uma melhor experiência ao utilizador e estimular o crescimento no mercado interno, o presente regulamento deverá estabelecer obrigações mínimas em matéria de segurança e responsabilidade a cumprir pelos prestadores e pelos serviços por eles prestados.
Para esse efeito, foram tidos em conta os resultados de atuais iniciativas do setor (por exemplo, Fórum de Autoridades de certificação/Browsers — CA/B Fórum).
Além disso, o presente regulamento não deverá impedir a utilização de outros meios ou métodos para autenticar um sítio web não abrangido pelo presente regulamento, nem deverá impedir que os prestadores de países terceiros prestem os seus serviços de autenticação de sítios web a clientes na União.
Todavia, em conformidade com o presente regulamento, os serviços de autenticação de sítios web de prestadores de países terceiros só deverão ser reconhecidos como qualificados se tiver sido celebrado um acordo internacional entre a União e o país de estabelecimento do prestador.

- = -

(70) A fim de complementar com flexibilidade e rapidez certos aspetos técnicos detalhados do presente regulamento, o poder de adotar atos nos termos do artigo 290.o do TFUE deverá ser delegado na Comissão no que diz respeito aos critérios a cumprir pelas entidades responsáveis pela certificação de dispositivos qualificados de criação de assinaturas eletrónicas. É particularmente importante que a Comissão proceda às consultas adequadas durante os trabalhos preparatórios, inclusive ao nível de peritos.
A Comissão, quando preparar e redigir atos delegados, deverá assegurar a transmissão simultânea, atempada e adequada dos documentos relevantes ao Parlamento Europeu e ao Conselho.

- = -

(74) Para garantir segurança jurídica aos operadores do mercado que já utilizam certificados qualificados emitidos a pessoas singulares em conformidade com a Diretiva 1999/93/CE, é necessário prever um prazo suficiente para a transição.
Do mesmo modo, deverão ser previstas medidas transitórias para os dispositivos seguros de criação de assinaturas, cuja conformidade tenha sido determinada nos termos da Diretiva 1999/93/CE, e para os prestadores de serviços de certificação que emitam certificados qualificados até 1 de julho de 2016.
Por último, é também necessário dotar a Comissão dos meios que lhe permitam adotar os atos de execução e os atos delegados antes dessa data.

- = -

keyboard_tab EIDAS 2014/0910 PT

EIDAS 2014/0910 PT