EIDAS 2014/0910 PT

1. Quando, para aceder a um serviço em linha prestado por um organismo público de um Estado-Membro, seja exigida, ao abrigo da legislação ou nos termos da prática administrativa nacional, uma identificação eletrónica baseada num meio de identificação eletrónica e numa autenticação, o meio de identificação eletrónica produzido noutro Estado-Membro é reconhecido no primeiro Estado-Membro para efeitos de autenticação transfronteiriço para o referido serviço em linha, se estiverem reunidas as seguintes condições:

a)	O meio de identificação eletrónica ser produzido por um sistema de identificação eletrónica constante da lista publicada pela Comissão nos termos do artigo 9.o;

O nível de garantia do meio de identificação eletrónica corresponder a um nível de garantia igual ou superior ao exigido pelo organismo público para o acesso ao serviço em linha no primeiro Estado-Membro, desde que o nível de garantia do referido meio de identificação eletrónica corresponda ao nível substancial ou elevado;

c)	O organismo público em causa utilizar o nível de garantia substancial ou elevado para conceder acesso ao referido serviço em linha.

O reconhecimento é efetuado num prazo de 12 meses após a Comissão ter publicado, a lista a que se refere a alínea a) do primeiro parágrafo.

2. O meio de identificação eletrónica produzido por um sistema de identificação eletrónica constante da lista publicada pela Comissão nos termos do artigo 9.o, e correspondente ao nível de garantia baixo, pode ser reconhecido pelos organismos públicos para efeitos de autenticação transfronteiriça para conceder acesso ao serviço prestado em linha por esses mesmos organismos.

Artigo 9.o

Notificação

1. O Estado-Membro notificante notifica à Comissão as seguintes informações e, sem atrasos indevidos, todas as eventuais alterações posteriores às mesmas:

a)	Uma descrição do sistema de identificação eletrónica, nomeadamente dos seus níveis de garantia e do produtor ou produtores dos meios de identificação eletrónica que integram o sistema;

O regime de supervisão e de responsabilidade aplicáveis no que diz respeito:

i)	à parte que produz o meio de identificação eletrónica, e

ii)	à parte que executa o procedimento de autenticação.

c)	Os dados da autoridade ou autoridades responsáveis pelo sistema de identificação eletrónica notificado;

d)	Os dados da entidade ou entidades que gerem o registo dos dados únicos de identificação da pessoa singular ou coletiva;

e)	Uma descrição da forma como são cumpridos os requisitos definidos nos atos de execução a que se refere o artigo 12.o, n.o 8;

f)	Uma descrição da autenticação referida no artigo 7.o, alínea f);

g)	As disposições previstas para a suspensão ou a revogação do sistema de identificação eletrónica notificado, da autenticação ou das partes afetadas em causa.

2. Um ano após a data de aplicação dos atos de execução a que se refere os artigos 8.o, n.o 3, e 12.o, n.o 8, a Comissão publica no Jornal Oficial da União Europeia uma lista dos sistemas de identificação eletrónica que tenham sido notificados nos termos do n.o 1 do presente artigo e as informações básicas a eles respeitantes.

3. Se receber uma notificação após o termo do prazo referido no n.o 2, a Comissão publica no Jornal Oficial da União Europeia as alterações à lista referida no n.o 2 num prazo de dois meses a contar da data da receção da notificação.

4. Os Estados-Membros podem solicitar à Comissão que retire da lista referida no n.o 2 os sistemas de identificação eletrónica que tenham notificado. A Comissão publica no Jornal Oficial da União Europeia as correspondentes alterações à lista no prazo de um mês após a receção do pedido do Estado-Membro.

5. A Comissão pode, por meio de atos de execução, definir as circunstâncias, os formatos e os procedimentos para a notificação ao abrigo do n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 10.o

Violação da segurança

1. Se o sistema de identificação eletrónica notificado nos termos do artigo 9.o, n.o 1, ou a autenticação referida no artigo 7.o, alínea f), forem violados ou parcialmente comprometidos de forma que prejudique a fiabilidade da autenticação transfronteiriça do sistema, o Estado-Membro notificante suspende ou revoga sem demora a referida autenticação ou os elementos comprometidos, informando desse facto os outros Estados-Membros e a Comissão.

2. Se a violação ou o comprometimento referidos no n.o 1 forem sanados, o Estado-Membro notificante restabelece a autenticação transfronteiriça e informa desse facto sem demora indevida os outros Estados-Membros e a Comissão.

3. Se a violação ou o comprometimento referidos no n.o 1 não forem sanados no prazo de três meses a contar da suspensão ou revogação, o Estado-Membro notificante notifica os outros Estados-Membros e a Comissão da supressão do sistema de identificação eletrónica.

A Comissão publica no Jornal Oficial da União Europeia, sem demora indevida, as alterações correspondentes à lista a que se refere o artigo 9.o, n.o 2.

Artigo 17.o

Entidade supervisora

1. Os Estados-Membros designam uma entidade supervisora estabelecida no seu território ou, por mútuo acordo com outro Estado-Membro, uma entidade supervisora estabelecida nesse outro Estado-Membro. Essa entidade é responsável pelas funções de supervisão no Estado-Membro que procede à designação.

As entidades supervisoras são dotadas dos poderes necessários e recursos adequados para o exercício das suas funções.

2. Os Estados-Membros comunicam à Comissão os nomes e os endereços das entidades supervisoras que designarem.

3. A entidade supervisora tem as seguintes funções:

Supervisionar os prestadores qualificados de serviços de confiança estabelecidos no território do Estado-Membro que procede à designação por forma a garantir, por meio de atividades de supervisão a priori e a posteriori, que os prestadores e os serviços de confiança qualificados por eles prestados cumprem os requisitos estabelecidos no presente regulamento;

Se necessário, tomar medidas face aos prestadores de serviços de confiança não qualificados estabelecidos no território do Estado-Membro que procede à designação, por meio de atividades de supervisão a posteriori, se lhe for alegado que os ditos prestadores ou os serviços de confiança por eles prestados não cumprem os requisitos estabelecidos no presente regulamento.

4. Para efeitos do n.o 3 e sob reserva dos limites nele impostos, contam-se entre as funções da entidade supervisora, em particular:

a)	Colaborar com outras entidades supervisoras e prestar-lhes assistência, nos termos do artigo 18.o;

b)	Analisar os relatórios de avaliação da conformidade referidos no artigo 20.o, n.o 1, e no artigo 21.o, n.o 1;

c)	Informar outras entidades supervisoras e o público das violações de segurança ou perdas de integridade, nos termos do artigo 19.o, n.o 2;

d)	Apresentar à Comissão relatório sobre as suas atividades principais, nos termos do n.o 6;

e)	Realizar auditorias ou solicitar a organismos de avaliação da conformidade que efetuem avaliações da conformidade de prestadores qualificados de serviços de confiança, nos termos do artigo 20.o, n.o 2;

f)	Cooperar com as autoridades de proteção de dados, nomeadamente informando-as sem demora indevida dos resultados das auditorias realizadas a prestadores qualificados de serviços de confiança, se houver suspeita de terem sido violadas as regras de proteção dos dados pessoais;

g)	Atribuir e retirar o estatuto de qualificado aos prestadores de serviços de confiança e aos serviços por eles prestados, nos termos dos artigos 20.o e 21.o;

h)	Informar a entidade responsável pela lista de confiança nacional referida no artigo 22.o, n.o 3, das suas decisões de atribuir ou retirar o estatuto de qualificado, exceto se a referida entidade for a própria entidade supervisora;

i)	Verificar a existência e a aplicação correta das disposições sobre os planos de cessação quando o prestador qualificado de serviços de confiança cesse a sua atividade, nomeadamente a forma como é garantido o acesso à informação, nos termos do artigo 24.o, n.o 2, alínea h);

j)	Exigir que os prestadores de serviços de confiança corrijam os eventuais incumprimentos dos requisitos previstos no presente regulamento.

5. Os Estados-Membros podem exigir que a entidade supervisora crie, conserve e atualize uma infraestrutura de confiança de acordo com as condições estabelecidas pelo direito nacional.

6. Até 31 de março de cada ano, as entidades supervisoras apresentam à Comissão um relatório sobre as principais atividades do ano anterior, juntamente com um resumo das notificações de violações enviadas pelos prestadores de serviços de confiança nos termos do disposto no artigo 19.o, n.o 2.

7. A Comissão põe o relatório anual referido no n.o 6 à disposição dos Estados-Membros.

8. A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis ao relatório referido no n.o 6. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 20.o

Fiscalização dos prestadores qualificados de serviços de confiança

1. Os prestadores qualificados de serviços de confiança são auditados, pelo menos de 24 em 24 meses, a expensas suas, por um organismo de avaliação da conformidade. O objetivo de tal auditoria é confirmar que tanto os prestadores qualificados de serviços de confiança como os serviços de confiança que prestam cumprem os requisitos estabelecidos pelo presente regulamento. Os prestadores qualificados de serviços de confiança apresentam o relatório de avaliação da conformidade à entidade supervisora no prazo de três dias úteis depois de o terem recebido.

2. Sem prejuízo do disposto no n.o 1, a entidade supervisora pode, em qualquer altura, auditar ou pedir a um organismo de avaliação da conformidade que efetue uma avaliação da conformidade dos prestadores qualificados de serviços de confiança, a expensas desses prestadores qualificados de serviços de confiança, para confirmar que tanto os próprios prestadores, como os serviços de confiança qualificados por eles prestados cumprem as condições estabelecidas no presente regulamento. Em caso de suspeita de violação das regras de proteção de dados pessoais, a entidade supervisora informa as autoridades responsáveis pela proteção de dados dos resultados das suas auditorias.

3. Se a entidade supervisora exigir que o prestador qualificado de serviços de confiança corrija os incumprimentos dos requisitos do presente regulamento e se o prestador não agir em conformidade, eventualmente dentro de um prazo fixado pela entidade supervisora, esta pode, tendo em conta nomeadamente a dimensão, a duração e as consequências desse incumprimento, retirar o estatuto de qualificado ao prestador ou ao serviço afetado por ele prestado e informar a entidade referida no artigo 22.o, n.o 3, para efeitos de atualização das listas de confiança referidas no artigo 22.o, n.o 1. A entidade supervisora informa o prestador qualificado de serviços de confiança da retirada do seu estatuto de qualificado ou do estatuto de qualificado do serviço em causa.

4. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas aplicáveis:

a)	À acreditação dos organismos de avaliação da conformidade e ao relatório de avaliação da conformidade a que se refere o n.o 1;

b)	Às regras de auditoria segundo as quais os organismos de avaliação da conformidade efetuam a avaliação da conformidade dos prestadores qualificados de serviços de confiança a que se refere o n.o 1.

Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 21.o

Início de um serviço de confiança qualificado

1. Quando os prestadores de serviços de confiança, sem estatuto de qualificado, pretendam começar a prestar serviços de confiança qualificados, apresentam à entidade supervisora uma notificação da sua intenção acompanhada de um relatório de avaliação da conformidade emitido por um organismo de avaliação da conformidade.

2. A entidade supervisora verifica se o prestador de serviços de confiança os serviços de confiança por ele prestados cumprem os requisitos estabelecidos no presente regulamento, designadamente com os requisitos previstos para os prestadores qualificados de serviços de confiança e para os serviços de confiança qualificados por eles prestados.

Se a entidade supervisora concluir que o prestador de serviços de confiança e os serviços de confiança por ele prestados cumprem os requisitos a que se refere o primeiro parágrafo, a entidade supervisora atribui o estatuto de qualificado ao prestador de serviços de confiança e aos serviços de confiança por ele prestados e informa a entidade referida no artigo 22.o, n.o 3.o, para efeitos de atualização das listas de confiança referidas no artigo 22.o, n.o 1, o mais tardar três meses após a notificação feita nos termos do n.o 1 do presente artigo.

Se a verificação não ficar concluída no prazo de três meses a contar da notificação, a entidade supervisora informa o prestador de serviços de confiança, indicando as razões do atraso e o prazo dentro do qual a verificação estará concluída.

3. Os prestadores qualificados de serviços de confiança podem iniciar a prestação do serviço de confiança qualificado depois de o estatuto de qualificado ter sido publicado nas listas de confiança referidas no artigo 22.o, n.o 1.

4. A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis para efeitos do disposto nos n.os 1 e 2. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 22.o

listas de confiança

1. Os Estados-Membros elaboram, conservam e publicam listas de confiança com informações relativas aos prestadores qualificados de serviços de confiança para os quais forem competentes, assim como informações relacionadas com os serviços de confiança qualificados por eles prestados.

2. Os Estados-Membros elaboram e publicam, em condições seguras, as listas de confiança referidas no n.o 1, eletronicamente assinadas ou seladas, num formato adequado ao tratamento automático.

3. Os Estados-Membros transmitem à Comissão, sem atrasos indevidos, informações sobre a entidade responsável pela elaboração, conservação e publicação das listas de confiança nacionais, os dados referentes ao local em que tais listas se encontram publicadas, bem como sobre os certificados utilizados para as assinar ou selar e as eventuais alterações a tais informações.

4. A Comissão disponibiliza ao público, através de um canal seguro, as informações referidas no n.o 3 num formato eletronicamente assinado ou selado, adequado ao tratamento automático.

5. Até 18 de setembro de 2015, a Comissão especifica, por meio de atos de execução, as informações referidas no n.o 1 e define as especificações técnicas e os formatos das listas de confiança aplicáveis para efeitos do disposto nos n.os 1 a 4. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 23.o

Marca de confiança «UE» para serviços de confiança qualificados

1. Depois de o estatuto de qualificado referido no artigo 21.o, n.o 2, segundo parágrafo, ser publicado na lista de confiança a que se refere o artigo 22.o, n.o 1, os prestadores qualificados de serviços de confiança podem utilizar a marca de confiança «UE» para identificar, de forma simples, reconhecível e clara, os serviços de confiança qualificados que prestam.

2. Ao utilizar a marca de confiança «UE» para os serviços de confiança qualificados referida no n.o 1, os prestadores qualificados de serviços de confiança asseguram-se da existência de uma ligação à correspondente lista de confiança no seu sítio web.

3. Até 1 de julho de 2015, a Comissão estabelece, por meio de atos de execução, as especificações relativas à forma e, em particular, à apresentação, composição, dimensão e conceção da marca de confiança «UE» para serviços de confiança qualificados. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 30.o

Certificação dos dispositivos qualificados de criação de assinaturas eletrónicas

1. A conformidade dos dispositivos qualificados de criação de assinaturas eletrónicas com os requisitos estabelecidos no anexo II é certificada pelas entidades públicas ou privadas competentes designadas pelos Estados-Membros.

2. Os Estados-Membros comunicam à Comissão a denominação e o endereço da entidade pública ou privada por eles designada, referida no n.o 1. A Comissão põe a informação à disposição dos Estados-Membros.

3. A certificação referida no n.o 1 é baseada:

a)	Num processo de avaliação de segurança executado de acordo com as normas da avaliação de segurança dos produtos informáticos constantes da lista elaborada nos termos do segundo parágrafo; ou

Num processo diferente do referido na alínea a), desde que esse processo utilize níveis de segurança comparáveis e a entidade pública ou privada referida no n.o 1 notifique esse processo à Comissão. Esse processo só pode ser utilizado na falta das normas constantes da alínea a) ou se estiver em curso um processo de avaliação de segurança referido na alínea a).

A Comissão deve, por meio de atos de execução, elaborar a lista de normas da avaliação de segurança dos produtos informáticos a que se refere a alínea a). Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 8.o.

4. A Comissão tem poderes para adotar atos delegados nos termos do artigo 47.o para estabelecer os critérios específicos a cumprir pelas entidades designadas referidas no n.o 1 do presente artigo.

Artigo 31.o

Publicação de uma lista de dispositivos qualificados e certificados de criação de assinaturas eletrónicas

1. Os Estados-Membros comunicam à Comissão, sem atrasos indevidos, no prazo de um mês após a conclusão da certificação, informações sobre os dispositivos qualificados de criação de assinaturas eletrónicas que tenham sido certificados pelas entidades referidas no artigo 30.o, n.o 1. Comunicam também à Comissão, sem atrasos indevidos, no prazo de um mês após a conclusão da certificação, informações sobre os dispositivos de criação de assinaturas eletrónicas que deixem de estar certificados.

2. Com base nas informações recebidas, a Comissão elabora, publica e mantém atualizada uma lista dos dispositivos qualificados e certificados de criação de assinaturas eletrónicas.

3. A Comissão pode, por meio de atos de execução, definir os formatos e os procedimentos aplicáveis para efeitos do disposto no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.

Artigo 39.o

Dispositivos qualificados de criação de selos eletrónicos

1. O artigo 29.o aplica-se com as necessárias adaptações aos requisitos exigidos para os dispositivos qualificados de criação de selo eletrónico.

2. O artigo 30.o aplica-se com as necessárias adaptações à certificação dos dispositivos qualificados de criação de selo eletrónico.

3. O artigo 31.o aplica-se com as necessárias adaptações à publicação da lista de dispositivos qualificados e certificados de criação de selo eletrónico.

Artigo 52.o

Entrada em vigor

1. O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

2. O presente regulamento é aplicável a partir de 1 de julho de 2016, com as seguintes exceções:

Os artigos 8.o, n.o 3, 9.o, n.o 5, 12.o, n.os 2 a 9, 17.o, n.o 8, 19.o, n.o 4, 20.o, n.o 4, 21.o, n.o 4, 22.o, n.o 5, 23.o, n.o 3, 24.o, n.o 5, 27.o, n.o 4 e n.o 5, 28.o, n.o 6, 29.o, n.o 2, 30.o, n.o 3 e n.o 4, 31.o, n.o 3, 32.o, n.o 3, 33.o, n.o 2, 34.o, n.o 2, 37.o, n.o 4 e n.o 5, 38.o, n.o 6, 42.o, n.o 2, 44.o, n.o 2, 45.o, n.o 2, 47.o e 48.o são aplicáveis a partir de 17 de setembro de 2014;

b)	Os artigos 7.o, 8.o, n.os 1 e 2, 9.o, 10.o, 11.o e 12.o, n.o 1, são aplicáveis a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8;

c)	O artigo 6.o é aplicável três anos após a data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8.

3. Se o sistema de identificação eletrónica notificado for incluído na lista publicada pela Comissão nos termos do artigo 9.o antes da data referida no n.o 2, alínea c), o reconhecimento dos meios de identificação eletrónica que integram esse sistema nos termos do artigo 6.o é efetuado num prazo de 12 meses após a publicação do sistema, mas não antes da data referida no n.o 2, alínea c).

4. Não obstante o n.o 2, alínea c), os Estados-Membros podem decidir que os meios de identificação eletrónica que integram um sistema de identificação eletrónica notificado por outro Estado-Membro nos termos do artigo 9.o, n.o 1, são reconhecidos no primeiro Estado-Membro a partir da data de aplicação dos atos de execução referidos nos artigos 8.o, n.o 3, e 12.o, n.o 8. Os Estados-Membros que decidam fazê-lo informam a Comissão desse facto. A Comissão torna públicas essas informações.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em 23 de julho de 2014.

Pelo Parlamento Europeu

O Presidente

M. SCHULZ

Pelo Conselho

O Presidente

S. GOZI

(1) JO C 351 de 15.11.2012, p. 73.

(2) Posição do Parlamento Europeu de 3 de abril de 2014 (ainda não publicada no Jornal Oficial) e Decisão do Conselho de 23 de julho de 2014.

(3) Diretiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas eletrónicas (JO L 13 de 19.1.2000, p. 12).

(4) JO C 50 E de 21.2.2012, p. 1.

(5) Diretiva 2006/123/CE do Parlamento Europeu e do Conselho, de 12 de dezembro de 2006, relativa aos serviços no mercado interno (JO L 376 de 27.12.2006, p. 36).

(6) Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (JO L 88 de 4.4.2011, p. 45).

(7) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).

(8) Decisão 2010/48/CE do Conselho, de 26 de novembro de 2009, relativa à celebração, pela Comunidade Europeia, da Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência (JO L 23 de 27.1.2010, p. 35).

(9) Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e fiscalização do mercado relativos à comercialização de produtos, e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218 de 13.8.2008, p. 30).

(10) Decisão 2009/767/CE da Comissão, de 16 de outubro de 2009, que determina medidas destinadas a facilitar a utilização de procedimentos informatizados através de «balcões únicos», nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (JO L 274 de 20.10.2009, p. 36).

(11) Decisão 2011/130/UE da Comissão, de 25 de fevereiro de 2011, que estabelece requisitos mínimos para o processamento transfronteiriço de documentos assinados eletronicamente pelas autoridades competentes nos termos da Diretiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno (JO L 53 de 26.2.2011, p. 66).

(12) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).

(13) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

(14) JO C 28 de 30.1.2013, p. 6.

(15) Diretiva 2014/24/UE do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, relativa aos contratos públicos e que revoga a Diretiva 2004/18/CE (JO L 94 de 28.3.2014, p. 65).

ANEXO I

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE ASSINATURA ELETRÓNICA

Os certificados qualificados de assinatura eletrónica contêm:

a)	Uma indicação, pelo menos num formato adequado ao tratamento automático, de que o certificado foi emitido como certificado qualificado de assinatura eletrónica;

Um conjunto de dados que representem inequivocamente o prestador qualificado de serviços de confiança que tiver emitido os certificados qualificados, incluindo, pelo menos, o Estado-Membro em que esse prestador se encontre estabelecido e

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

c)	Pelo menos, o nome do signatário, ou um pseudónimo, caso seja utilizado um pseudónimo, este deve ser claramente indicado;

d)	Os dados necessários para a validação da assinatura eletrónica que correspondam aos dados necessários para a criação da assinatura eletrónica;

e)	A indicação do início e do termo da validade do certificado;

f)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

g)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

h)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);

i)	A localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;

j)	Se os dados para a criação da assinatura eletrónica relacionados com os dados para a validação da assinatura eletrónica se encontrarem num dispositivo qualificado de criação de assinatura eletrónica, uma indicação adequada desse facto, pelo menos num formato adequado para tratamento automático.

ANEXO II

REQUISITOS APLICÁVEIS AOS DISPOSITIVOS QUALIFICADOS DE CRIAÇÃO DE ASSINATURAS ELETRÓNICAS

Os dispositivos qualificados de criação de assinaturas eletrónicas asseguram, pelos meios técnicos e procedimentais adequados, que pelo menos:

a)	A confidencialidade dos dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas esteja razoavelmente assegurada;

b)	Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar assinaturas eletrónicas só possam, na prática, ocorrer uma vez;

Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas não possam, com uma segurança razoável, ser deduzidos de outros dados e que as assinaturas estejam protegidas eficazmente contra falsificações produzidas por meio de tecnologias atualmente disponíveis;

d)	Os dados necessários para a criação de assinaturas eletrónicas utilizados para criar as assinaturas eletrónicas possam ser eficazmente protegidos pelo signatário legítimo contra a utilização por terceiros.

Os dispositivos qualificados de criação de assinaturas eletrónicas não podem alterar os dados a assinar nem impedir que esses dados sejam apresentados ao signatário antes da assinatura.

A geração ou a gestão, em nome do signatário, dos dados necessários para a criação de assinaturas eletrónicas só podem ser efetuadas por um prestador qualificado de serviços de confiança.

Sem prejuízo do ponto 1, alínea d), os prestadores qualificados de serviços de confiança que gerem os dados necessários para a criação de assinaturas eletrónicas em nome do signatário podem duplicar esses dados apenas para fins de cópia de segurança, desde que sejam cumpridos os seguintes requisitos:

a)	A segurança dos conjuntos de dados duplicados estar ao mesmo nível da dos conjuntos de dados originais;

b)	O número de conjuntos de dados duplicados não exceder o mínimo necessário para garantir a continuidade do serviço.

ANEXO III

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE SELOS ELETRÓNICOS

Os certificados qualificados de selos eletrónicos contêm:

a)	Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado de selo eletrónico;

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

c)	Pelo menos o nome do criador do selo e, eventualmente, o número de registo, conforme constam dos registos oficiais;

d)	Os dados necessários para a validação do selo eletrónico que correspondam aos dados necessários para a criação do selo eletrónico;

e)	A indicação do início e do termo da validade do certificado;

f)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

g)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

h)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea g);

i)	A localização dos serviços aos quais se pode recorrer para inquirir da validade do certificado qualificado;

j)	Se os dados para a criação do selo eletrónico relacionados com os dados para a validação do selo eletrónico se encontrarem num dispositivo qualificado de criação de selo eletrónico, uma indicação adequada desse facto, pelo menos num formato adequado ao tratamento automático.

ANEXO IV

REQUISITOS APLICÁVEIS AOS CERTIFICADOS QUALIFICADOS DE AUTENTICAÇÃO DE SÍTIOS

Os certificados qualificados de autenticação de sítios web contêm:

a)	Uma indicação, pelo menos num formato adequado para tratamento automático, de que o certificado foi emitido como certificado qualificado para autenticação de sítios web;

—	para as pessoas coletivas: a designação e, eventualmente, o número de registo conforme constam dos registos oficiais,

—	para as pessoas singulares: o nome;

Para as pessoas singulares: pelo menos o nome, ou um pseudónimo, da pessoa à qual o certificado foi emitido. A utilização de um pseudónimo deve ser claramente indicada;

Para pessoas coletivas: pelo menos o nome da pessoa coletiva à qual o certificado foi emitido e, eventualmente, o número de registo, conforme constam dos registos oficiais;

d)	Elementos do endereço, incluindo, pelo menos, a cidade e o Estado, da pessoa singular ou coletiva à qual o certificado é emitido, eventualmente conforme constam dos registos oficiais;

e)	O nome ou os nomes de domínio explorados pela pessoa singular ou coletiva à qual o certificado é emitido;

f)	A indicação do início e do termo da validade do certificado;

g)	O código de identidade do certificado, que deve estar associado de modo único ao prestador qualificado de serviços de confiança;

h)	A assinatura eletrónica avançada ou o selo eletrónico avançado do prestador qualificado de serviços de confiança emitente;

i)	O local em que está disponível, a título gratuito, o certificado que sustenta a assinatura eletrónica avançada ou o selo eletrónico avançado a que se refere a alínea h);

j)	A localização dos serviços que conferem a validade ao certificado e aos quais se pode recorrer para inquirir do estado de validade do certificado qualificado.

whereas

(25) Os Estados-Membros deverão continuar a ser livres de definir outros tipos de serviços de confiança para além dos que constam da lista exaustiva de serviços de confiança prevista no presente regulamento, tendo em vista o seu reconhecimento a nível nacional como serviços de confiança qualificados.

- = -

(45) Para permitir que haja um processo de iniciação eficaz, pelo qual os prestadores qualificados de serviços de confiança e os serviços de confiança qualificados por eles prestados sejam inscritos em listas de confiança, convém encorajar as interações preliminares entre os futuros prestadores qualificados de serviços de confiança e a entidade supervisora competente, no intuito de facilitar as diligências necessárias para a prestação de serviços de confiança qualificados.

- = -

(46) As listas de confiança são elementos essenciais para a criação de confiança entre os operadores do mercado, uma vez que indicam o estatuto de qualificado do prestador do serviço atribuído por ocasião da fiscalização.

- = -

keyboard_tab EIDAS 2014/0910 PT

EIDAS 2014/0910 PT