keyboard_tab EIDAS 2014/0910 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Artigo 8.o Níveis de garantia dos sistemas de identificação eletrónica
- 2 Artigo 10.o Violação da segurança
- 1 Artigo 17.o Entidade supervisora
- 2 Artigo 19.o Requisitos de segurança aplicáveis aos prestadores de serviços de confiança
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
IDENTIFICAÇÃO ELETRÓNICA
CAPÍTULO III
SERVIÇOS DE CONFIANÇA
SECÇÃO 1
Disposições gerais
SECÇÃO 2
Supervisão
SECÇÃO 3
Serviços qualificados de confiança
SECÇÃO 4
Assinaturas eletrónicas
SECÇÃO 5
Selos eletrónicos
SECÇÃO 6
Selos temporais
Secção 7
Serviço de envio registado eletrónico
SECÇÃO 8
Autenticação de sítios web
CAPÍTULO IV
DOCUMENTOS ELETRÓNICOS
CAPÍTULO V
DELEGAÇÕES DE PODER E DISPOSIÇÕES DE EXECUÇÃO
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- confiança 26
- no 23
- artigo 19
- identificação 19
- eletrónica 19
- serviços 18
- entidade 16
- segurança 14
- meio 13
- prestadores 13
- supervisora 11
- comissão 11
- para 11
- qualificados 10
- estados-membros 9
- termos 9
- identidade 8
- estado-membro 8
- garantia 8
- indevida 8
- nível 8
- entidades 7
- procedimentos 7
- integridade 7
- os 7
- violação 7
- atos 6
- são 6
- supervisoras 6
- normas 6
- técnicas 6
- especificações 6
- pessoa 6
- demora 6
- sistema 6
- perda 5
- execução 5
- sobre 5
- medidas 5
- estabelecidos 5
- referida 5
- procedimento 5
- nomeadamente 5
- a 5
- referência 5
- autenticação 5
- não 5
- refere 4
- mais 4
- forem 4
Artigo 8.o
Níveis de garantia dos sistemas de identificação eletrónica
1. Os sistemas de identificação eletrónica notificados nos termos do artigo 9.o, n.o 1, especificam os níveis de garantia reduzidos, substanciais e/ou elevados para os meios de identificação eletrónica neles produzidos.
2. Os níveis de garantia reduzidos, substanciais e elevados cumprem, respetivamente, os seguintes critérios:
| a) | O nível de garantia reduzido corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança limitado relativamente à identidade declarada ou reivindicada por determinada pessoa, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir o risco de utilização ou alteração indevida da identidade; |
| b) | O nível de garantia substancial corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança substancial relativamente à identidade declarada ou reivindicada por determinada pessoa, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é reduzir substancialmente o risco de utilização ou alteração indevida da identidade; |
| c) | O nível de garantia elevado corresponde a um meio de identificação eletrónica, no contexto de um sistema de identificação eletrónica, que confere um nível de confiança relativamente à identidade declarada ou reivindicada por determinada pessoa mais elevado do que os meios de identificação eletrónica com o nível de garantia substancial, e que se caracteriza por referência a especificações técnicas, normas e procedimentos conexos, nomeadamente controlos técnicos, cuja finalidade é evitar a utilização ou a alteração indevida da identidade. |
3. Até 18 de setembro de 2015, tendo em conta as normas internacionais aplicáveis e sob reserva do n.o 2, a Comissão define, por meio de atos de execução, as especificações técnicas mínimas, as normas e os procedimentos que devem servir de referência para a especificação dos níveis de garantia reduzido, substancial e elevado para meios de identificação eletrónica para efeitos do n.o 1.
As especificações técnicas mínimas, as normas e os procedimentos são estabelecidos por referência à confiança e qualidade:
| a) | Do procedimento para provar e verificar a identidade das pessoas singulares ou coletivas que requeiram a produção do meio de identificação eletrónica; |
| b) | Do procedimento para a produção do meio de identificação eletrónica solicitado; |
| c) | Do mecanismo de autenticação através do qual a pessoa singular ou coletiva utiliza o meio de identificação eletrónica para confirmar a sua identidade a um utilizador; |
| d) | Da entidade que produz os meios de identificação eletrónica; |
| e) | De qualquer outro organismo implicado no processo de requisição da produção do meio de identificação eletrónica; e |
| f) | Das especificações técnicas e de segurança do meio de identificação eletrónica produzido. |
Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 10.o
Violação da segurança
1. Se o sistema de identificação eletrónica notificado nos termos do artigo 9.o, n.o 1, ou a autenticação referida no artigo 7.o, alínea f), forem violados ou parcialmente comprometidos de forma que prejudique a fiabilidade da autenticação transfronteiriça do sistema, o Estado-Membro notificante suspende ou revoga sem demora a referida autenticação ou os elementos comprometidos, informando desse facto os outros Estados-Membros e a Comissão.
2. Se a violação ou o comprometimento referidos no n.o 1 forem sanados, o Estado-Membro notificante restabelece a autenticação transfronteiriça e informa desse facto sem demora indevida os outros Estados-Membros e a Comissão.
3. Se a violação ou o comprometimento referidos no n.o 1 não forem sanados no prazo de três meses a contar da suspensão ou revogação, o Estado-Membro notificante notifica os outros Estados-Membros e a Comissão da supressão do sistema de identificação eletrónica.
A Comissão publica no Jornal Oficial da União Europeia, sem demora indevida, as alterações correspondentes à lista a que se refere o artigo 9.o, n.o 2.
Artigo 17.o
Entidade supervisora
1. Os Estados-Membros designam uma entidade supervisora estabelecida no seu território ou, por mútuo acordo com outro Estado-Membro, uma entidade supervisora estabelecida nesse outro Estado-Membro. Essa entidade é responsável pelas funções de supervisão no Estado-Membro que procede à designação.
As entidades supervisoras são dotadas dos poderes necessários e recursos adequados para o exercício das suas funções.
2. Os Estados-Membros comunicam à Comissão os nomes e os endereços das entidades supervisoras que designarem.
3. A entidade supervisora tem as seguintes funções:
| a) | Supervisionar os prestadores qualificados de serviços de confiança estabelecidos no território do Estado-Membro que procede à designação por forma a garantir, por meio de atividades de supervisão a priori e a posteriori, que os prestadores e os serviços de confiança qualificados por eles prestados cumprem os requisitos estabelecidos no presente regulamento; |
| b) | Se necessário, tomar medidas face aos prestadores de serviços de confiança não qualificados estabelecidos no território do Estado-Membro que procede à designação, por meio de atividades de supervisão a posteriori, se lhe for alegado que os ditos prestadores ou os serviços de confiança por eles prestados não cumprem os requisitos estabelecidos no presente regulamento. |
4. Para efeitos do n.o 3 e sob reserva dos limites nele impostos, contam-se entre as funções da entidade supervisora, em particular:
| a) | Colaborar com outras entidades supervisoras e prestar-lhes assistência, nos termos do artigo 18.o; |
| b) | Analisar os relatórios de avaliação da conformidade referidos no artigo 20.o, n.o 1, e no artigo 21.o, n.o 1; |
| c) | Informar outras entidades supervisoras e o público das violações de segurança ou perdas de integridade, nos termos do artigo 19.o, n.o 2; |
| d) | Apresentar à Comissão relatório sobre as suas atividades principais, nos termos do n.o 6; |
| e) | Realizar auditorias ou solicitar a organismos de avaliação da conformidade que efetuem avaliações da conformidade de prestadores qualificados de serviços de confiança, nos termos do artigo 20.o, n.o 2; |
| f) | Cooperar com as autoridades de proteção de dados, nomeadamente informando-as sem demora indevida dos resultados das auditorias realizadas a prestadores qualificados de serviços de confiança, se houver suspeita de terem sido violadas as regras de proteção dos dados pessoais; |
| g) | Atribuir e retirar o estatuto de qualificado aos prestadores de serviços de confiança e aos serviços por eles prestados, nos termos dos artigos 20.o e 21.o; |
| h) | Informar a entidade responsável pela lista de confiança nacional referida no artigo 22.o, n.o 3, das suas decisões de atribuir ou retirar o estatuto de qualificado, exceto se a referida entidade for a própria entidade supervisora; |
| i) | Verificar a existência e a aplicação correta das disposições sobre os planos de cessação quando o prestador qualificado de serviços de confiança cesse a sua atividade, nomeadamente a forma como é garantido o acesso à informação, nos termos do artigo 24.o, n.o 2, alínea h); |
| j) | Exigir que os prestadores de serviços de confiança corrijam os eventuais incumprimentos dos requisitos previstos no presente regulamento. |
5. Os Estados-Membros podem exigir que a entidade supervisora crie, conserve e atualize uma infraestrutura de confiança de acordo com as condições estabelecidas pelo direito nacional.
6. Até 31 de março de cada ano, as entidades supervisoras apresentam à Comissão um relatório sobre as principais atividades do ano anterior, juntamente com um resumo das notificações de violações enviadas pelos prestadores de serviços de confiança nos termos do disposto no artigo 19.o, n.o 2.
7. A Comissão põe o relatório anual referido no n.o 6 à disposição dos Estados-Membros.
8. A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis ao relatório referido no n.o 6. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 19.o
Requisitos de segurança aplicáveis aos prestadores de serviços de confiança
1. Os prestadores qualificados e não qualificados de serviços de confiança tomam as medidas de caráter técnico e organizativo que forem adequadas para gerir os riscos que se colocam à segurança dos serviços de confiança que prestam. Tendo em conta a evolução tecnológica mais recente, essas medidas assegurarão um nível de segurança proporcional ao grau de risco existente. Em particular, são tomadas medidas para impedir ou reduzir ao mínimo o impacto dos incidentes de segurança e informar as partes interessadas dos efeitos adversos dos eventuais incidentes.
2. Os prestadores, qualificados e não qualificados, de serviços de confiança notificam, sem demora indevida, mas sempre no prazo de 24 horas após terem tomado conhecimento do ocorrido, a entidade supervisora e, se necessário, outras entidades, como a entidade nacional competente em matéria de segurança da informação ou a autoridade responsável pela proteção de dados, de todas as violações da segurança ou perdas de integridade que tenham um impacto significativo sobre o serviço de confiança prestado ou sobre os dados pessoais por ele conservados.
Se a violação da segurança ou perda de integridade constatada for suscetível de prejudicar a pessoa singular ou coletiva a quem o serviço de confiança tiver sido prestado, o prestador dos serviços de confiança notifica também sem demora indevida a referida pessoa singular ou coletiva da violação da segurança ou da perda de integridade.
Se necessário, em particular se a violação da segurança ou a perda de integridade disserem respeito a dois ou mais Estados-Membros, a entidade supervisora notificada informa do facto as entidades supervisoras dos outros Estados-Membros em causa e a ENISA.
A entidade supervisora notificada informa o público ou exige que o prestador do serviço de confiança o faça, se considerar que a divulgação da violação da segurança ou perda de integridade é do interesse público.
3. A entidade supervisora fornece uma vez por ano à ENISA um resumo das notificações de violações da segurança e de perda de integridade que tenha recebido dos prestadores de serviços de confiança.
4. A Comissão pode, por meio de atos de execução:
| a) | Especificar mais as medidas referidas no n.o 1, e |
| b) | Definir os formatos e os procedimentos, incluindo os prazos, aplicáveis para efeitos de cumprimento do disposto no n.o 2. |
Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
SECÇÃO 3
Serviços qualificados de confiança
whereas