EIDAS 2014/0910 RO

1.	„identificare electronică” înseamnă procesul de utilizare a datelor de identificare a persoanelor în format electronic, reprezentând în mod unic fie o persoană fizică sau juridică, fie o persoană fizică care reprezintă o persoană juridică;

2.	„mijloace de identificare electronică” înseamnă o unitate materială și/sau imaterială care conține date de identificare personală și care este folosită în scopul autentificării unui serviciu online;

3.	„date de identificare personală” înseamnă un set de date care permit stabilirea identității unei persoane fizice sau juridice sau a unei persoane fizice care reprezintă o persoană juridică;

4.	„sistem de identificare electronică” înseamnă un sistem pentru identificarea electronică în care sunt emise mijloace de identificare electronică pentru persoane fizice sau juridice sau persoane fizice reprezentând persoane juridice;

5.	„autentificare” înseamnă un proces electronic care permite confirmarea identificării electronice a unei persoane fizice sau juridice sau a originii și integrității unor date în format electronic;

6.	„beneficiar” înseamnă o persoană fizică sau juridică care beneficiază de un serviciu de identificare electronică sau de un serviciu de încredere;

„organism din sectorul public” înseamnă un stat, o autoritate regională sau locală, un organism de drept public sau o asociație formată din una sau mai multe astfel de autorități sau din unul sau mai multe astfel de organisme de drept public; sau o entitate privată mandatată de cel puțin una dintre aceste autorități, organisme sau asociații să presteze servicii publice atunci când acționează în temeiul unui astfel de mandat;

8.	„organism de drept public” înseamnă un organism astfel cum este definit la articolul 2 alineatul (1) punctul 4 din Directiva 2014/24/UE a Parlamentului European și a Consiliului (15);

9.	„semnatar” înseamnă o persoană fizică care creează o semnătură electronică;

10.	„semnătură electronică” înseamnă date în format electronic, atașate la sau asociate logic cu alte date în format electronic și care sunt utilizate de semnatar pentru a semna;

11.	„semnătură electronică avansată” înseamnă o semnătură electronică ce îndeplinește cerințele prevăzute la articolul 26;

12.	„semnătură electronică calificată” înseamnă o semnătură electronică avansată care este creată de un dispozitiv de creare a semnăturilor electronice calificat și care se bazează pe un certificat calificat pentru semnăturile electronice;

13.	„date de creare a semnăturilor electronice” înseamnă date unice care sunt utilizate de semnatar pentru a crea o semnătură electronică;

14.	„certificat pentru semnătura electronică” înseamnă o atestare electronică care face legătura între datele de validare a semnăturii electronice și o persoană fizică și care confirmă cel puțin numele sau pseudonimul persoanei respective;

15.	„certificat calificat pentru semnătură electronică” înseamnă un certificat pentru semnăturile electronice care este emis de un prestator de servicii de încredere calificat și care îndeplinește cerințele prevăzute în anexa I;

16.

„serviciu de încredere” înseamnă un serviciu electronic prestat în mod obișnuit în schimbul unei remunerații, care constă în:

(a)	crearea, verificarea și validarea semnăturilor electronice, a sigiliilor electronice sau a mărcilor temporale electronice, a serviciilor de distribuție electronică înregistrată și a certificatelor aferente serviciilor respective; sau

(b)	crearea, verificarea și validarea certificatelor pentru autentificarea unui site internet; sau

(c)	păstrarea semnăturilor electronice, a sigiliilor sau a certificatelor aferente serviciilor respective;

17.	„serviciu de încredere calificat” înseamnă un serviciu de încredere care îndeplinește cerințele aplicabile prevăzute de prezentul regulament;

18.

„organism de evaluare a conformității” înseamnă un organism definit la articolul 2 punctul 13 din Regulamentul (CE) nr. 765/2008, care este acreditat în conformitate cu regulamentul în cauză ca fiind competent să efectueze evaluarea conformității unui prestator de servicii de încredere calificat și a serviciilor de încredere calificate pe care acesta le prestează;

19.	„prestator de servicii de încredere” înseamnă o persoană fizică sau juridică care prestează unul sau mai multe servicii de încredere ca prestator de servicii de încredere calificat sau necalificat;

20.	„prestator de servicii de încredere calificat” înseamnă un prestator de servicii de încredere care prestează unul sau mai multe servicii de încredere calificate și căruia i se acordă statutul de calificat de către organismul de supraveghere;

21.	„produs” înseamnă hardware sau software sau componente relevante de hardware sau software, destinate să fie utilizate pentru prestarea de servicii de încredere;

22.	„dispozitiv de creare a semnăturilor electronice” înseamnă software sau hardware configurat, utilizat pentru a crea o semnătură electronică;

23.	„dispozitiv de creare a semnăturilor electronice calificat” înseamnă un dispozitiv de creare a semnăturilor electronice care îndeplinește cerințele prevăzute în anexa II;

24.	„creatorul unui sigiliu” înseamnă o persoană juridică care creează un sigiliu electronic;

25.	„sigiliu electronic” înseamnă date în format electronic atașate la sau asociate logic cu alte date în format electronic pentru asigurarea originii și integrității acestora din urmă;

26.	„sigiliu electronic avansat” înseamnă un sigiliu electronic care îndeplinește cerințele prevăzute la articolul 36;

27.	„sigiliu electronic calificat” înseamnă un sigiliu electronic avansat care este creat de un dispozitiv de creare a sigiliilor electronice calificat și care se bazează pe un certificat calificat pentru sigiliile electronice;

28.	„date de creare a sigiliilor electronice” înseamnă date unice care sunt utilizate de creatorul sigiliului electronic pentru a crea un sigiliu electronic;

29.	„certificat pentru sigiliul electronic” înseamnă o atestare electronică care face legătura între datele de validare a sigiliului electronic și o persoană juridică și care confirmă numele persoanei respective;

30.	„certificat calificat pentru sigiliul electronic” înseamnă un certificat pentru un sigiliu electronic care este emis de un prestator de servicii de încredere calificat și care îndeplinește cerințele prevăzute în anexa III;

31.	„dispozitiv de creare a sigiliului electronic” înseamnă software sau hardware configurat, utilizat pentru a crea un sigiliu electronic;

32.	„dispozitiv de creare a sigiliului electronic calificat” înseamnă un dispozitiv de creare a sigiliului electronic care îndeplinește mutatis mutandis cerințele prevăzute în anexa II;

33.	„marcă temporală electronică” înseamnă date în format electronic care leagă alte date în format electronic de un anumit moment, stabilind dovezi că acestea din urmă au existat la acel moment;

34.	„marcă temporală electronică calificată” înseamnă o marcă temporală electronică care îndeplinește cerințele prevăzute la articolul 42;

35.	„document electronic” înseamnă orice conținut stocat în format electronic, în special sub formă de text sau de înregistrare sonoră, vizuală sau audiovizuală;

36.

„serviciu de distribuție electronică înregistrată” înseamnă un serviciu care permite transmiterea de date între părți terțe prin mijloace electronice și furnizează dovezi referitoare la manipularea datelor transmise, inclusiv dovezi privind trimiterea și primirea datelor și care protejează datele transmise împotriva riscului de pierdere, furt, deteriorare sau orice modificare neautorizată;

37.	„serviciu de distribuție electronică înregistrată calificat” înseamnă un serviciu de distribuție electronică înregistrată care îndeplinește cerințele prevăzute la articolul 44;

38.	„certificat pentru autentificarea unui site internet” înseamnă o atestare care face posibilă autentificarea unui site internet și face legătura între site-ul internet și persoana fizică sau juridică căreia i s-a emis certificatul;

39.	„certificat calificat pentru autentificarea unui site internet” înseamnă un certificat pentru autentificarea unui site internet care este emis de un prestator de servicii de încredere calificat și care îndeplinește cerințele prevăzute în anexa IV;

40.	„date de validare” înseamnă date care sunt utilizate pentru a valida o semnătură electronică sau un sigiliu electronic;

41.	„validare” înseamnă procesul prin care se verifică și se confirmă dacă o semnătură electronică sau un sigiliu electronic este validă/valid.

Articolul 26

Cerințe pentru semnături electronice avansate

O semnătura electronică avansată îndeplinește următoarele cerințe:

(a)	face trimitere exclusiv la semnatar;

(b)	permite identificarea semnatarului;

(c)	este creată utilizând date de creare a semnăturilor electronice pe care semnatarul le poate utiliza, cu un nivel ridicat de încredere, exclusiv sub controlul său; și

(d)	este legată de datele utilizate la semnare astfel încât orice modificare ulterioară a datelor poate fi detectată.

Articolul 29

Cerințe pentru dispozitivele de creare a semnăturilor electronice calificate

(1) Dispozitivele de creare a semnăturilor electronice calificate îndeplinesc cerințele prevăzute în anexa II.

(2) Comisia poate, prin intermediul unor acte de punere în aplicare, să stabilească numere de referință ale standardelor pentru dispozitivele de creare a semnăturilor electronice calificate. În cazul în care un dispozitiv de creare a semnăturilor electronice calificat îndeplinește standardele respective, se presupune că acesta respectă cerințele prevăzute în anexa II. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

Articolul 30

Certificarea dispozitivelor de creare a semnăturilor electronice calificate

(1) Conformitatea dispozitivelor de creare a semnăturii electronice calificate cu cerințele prevăzute în anexa II este certificată de organisme publice sau private adecvate desemnate de statele membre.

(2) Statele membre notifică Comisiei denumirile și adresele organismului public sau privat menționat la alineatul (1). Comisia pune informațiile respective la dispoziția statelor membre.

(3) Certificarea menționată la alineatul (1) se bazează pe unul dintre următoarele elemente:

(a)	un proces de evaluare de securitate efectuat în conformitate cu unul dintre standardele pentru evaluarea securității produselor din domeniul tehnologiei informației incluse în lista instituită în conformitate cu al doilea paragraf; sau

(b)

un alt proces decât procesul prevăzut la litera (a), cu condiția ca acest proces să utilizeze niveluri de securitate comparabile și ca organismul public sau privat menționat la alineatul (1) să notifice Comisiei respectivul proces. Procesul respectiv poate fi utilizat numai în absența standardelor menționate la litera (a) sau dacă un proces de evaluare de securitate menționat la litera (a) este în curs de desfășurare.

Comisia stabilește, prin intermediul unor acte de punere în aplicare, lista standardelor pentru evaluarea de securitate a produselor din domeniul tehnologiei informației menționate la litera (a). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

(4) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 47 privind stabilirea de criterii specifice care urmează să fie îndeplinite de către organismele desemnate menționate la alineatul (1) de la prezentul articol.

Articolul 31

Publicarea unei liste a dispozitivelor de creare a semnăturilor electronice certificate și calificate

(1) Statele membre notifică Comisiei, fără întârzieri nejustificate și în termen de maximum o lună de la încheierea certificării, informații cu privire la dispozitivele de creare a semnăturilor electronice calificate care au fost certificate de către organismele menționate la articolul 30 alineatul (1). De asemenea, statele membre notifică Comisiei, fără întârziere și în termen de maximum o lună de la anularea certificării, informații cu privire la dispozitivele de creare a semnăturii electronice care nu mai sunt certificate.

(2) Pe baza informațiilor primite, Comisia stabilește, publică și menține o listă a dispozitivelor de creare a semnăturilor electronice certificate și calificate.

(3) Comisia poate, prin intermediul unor acte de punere în aplicare, să definească formatele și procedurile aplicabile în sensul alineatului (1). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

Articolul 32

Cerințe pentru validarea semnăturilor electronice calificate

(1) Procesul de validare a unei semnături electronice calificate confirmă validitatea unei semnături electronice calificate cu următoarele condiții:

(a)	certificatul care stă la baza semnăturii a fost, la momentul semnării, un certificat calificat pentru semnătura electronică în conformitate cu anexa I;

(b)	certificatul calificat a fost emis de un prestator de servicii de încredere calificat și a fost valabil în momentul semnării;

(c)	datele de validare a semnăturilor corespund datelor furnizate de beneficiar;

(d)	setul unic de date care reprezintă semnatarul în certificat este furnizat corect beneficiarului;

(e)	utilizarea vreunui pseudonim este indicată clar beneficiarului în cazul în care la momentul semnării s-a folosit un pseudonim;

(f)	semnătura electronică a fost creată printr-un dispozitiv de creare a semnăturilor electronice calificat;

(g)	integritatea datelor semnate nu a fost compromisă;

(h)	cerințele prevăzute la articolul 26 au fost îndeplinite la momentul semnării.

(2) Sistemul utilizat pentru validarea semnăturii electronice calificate furnizează beneficiarului rezultatul corect al procesului de validare și permite beneficiarului să detecteze orice aspect relevant pentru securitate.

(3) Comisia poate, prin intermediul unor acte de punere în aplicare, să stabilească numere de referință ale standardelor pentru validarea semnăturilor electronice calificate. În cazul în care validarea semnăturilor electronice calificate îndeplinește standardele respective, se presupune că aceasta respectă cerințele prevăzute la alineatul (1). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

Articolul 36

Cerințele pentru sigiliile electronice avansate

Un sigiliu electronic avansat îndeplinește următoarele cerințele:

(a)	face trimitere exclusiv la creatorul sigiliului;

(b)	permite identificarea creatorului sigiliului;

(c)	este creat cu ajutorul datelor de creare a sigiliilor electronice pe care creatorul sigiliului le poate utiliza sub controlul său, cu un nivel ridicat de încredere, pentru crearea sigiliilor electronice; și

(d)	este legat de datele la care se raportează astfel încât orice modificare ulterioară a datelor poate fi detectată.

Articolul 39

Dispozitive de creare a sigiliilor electronice calificate

(1) Articolul 29 se aplică mutatis mutandis cerințelor pentru dispozitivele de creare a sigiliilor electronice calificate.

(2) Articolul 30 se aplică mutatis mutandis certificării dispozitivelor de creare a sigiliilor electronice calificate.

(3) Articolul 31 se aplică mutatis mutandis publicării unei liste a dispozitivelor de creare a sigiliilor electronice certificate și calificate.

Articolul 51

Măsuri tranzitorii

(1) Dispozitivele sigure de creare a semnăturilor a căror conformitate a fost determinată în conformitate cu articolul 3 alineatul (4) din Directiva 1999/93/CE sunt considerate dispozitive de creare a semnăturilor electronice calificate în temeiul prezentului regulament.

(2) Certificatele calificate emise pentru persoane fizice în conformitate cu Directiva 1999/93/CE sunt considerate drept certificate calificate pentru semnături electronice în temeiul prezentului regulament, până la expirarea lor.

(3) Un prestator de servicii de certificare care eliberează certificate calificate în temeiul Directivei 1999/93/CE prezintă un raport de evaluare a conformității către organismul de supraveghere cât mai curând posibil, dar nu mai târziu de 1 iulie 2017. Până la prezentarea unui astfel de raport de evaluare a conformității și până la finalizarea de către organismul de supraveghere a evaluării sale, prestatorul de servicii de certificare respectiv este considerat ca fiind prestator de servicii de încredere calificat în temeiul prezentului regulament.

(4) În cazul în care un prestator de servicii de certificare care eliberează certificate calificate în temeiul Directivei 1999/93/CE nu prezintă un raport de evaluare a conformității către organismul de supraveghere în termenul prevăzut la alineatul (3), respectivul prestator de servicii de certificare nu este considerat ca fiind prestator de servicii de încredere calificat în temeiul prezentului regulament începând cu data de 2 iulie 2017.

Articolul 52

Intrarea în vigoare

(1) Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

(2) Prezentul regulament se aplică de la 1 iulie 2016, cu excepția următoarelor dispoziții:

(a)

articolul 8 alineatul (3), articolul 9 alineatul (5), articolul 12 alineatele (2)-(9), articolul 17 alineatul (8), articolul 19 alineatul (4), articolul 20 alineatul (4), articolul 21 alineatul (4), articolul 22 alineatul (5), articolul 23 alineatul (3), articolul 24 alineatul (5), articolul 27 alineatele (4) și (5), articolul 28 alineatul (6), articolul 29 alineatul (2), articolul 30 alineatele (3) și (4), articolul 31 alineatul (3), articolul 32 alineatul (3), articolul 33 alineatul (2), articolul 34 alineatul (2), articolul 37 alineatele (4) și (5), articolul 38 alineatul (6), articolul 42 alineatul (2), articolul 44 alineatul (2), articolul 45 alineatul (2) și articolele 47 și 48 se aplică de la 17 septembrie 2014;

(b)	articolul 7, articolul 8 alineatele (1) și (2), articolele 9, 10, 11 și articolul 12 alineatul (1) se aplică de la data aplicării actelor de punere în aplicare menționate la articolul 8 alineatul (3) și la articolul 12 alineatul (8);

(c)	articolul 6 se aplică după trei ani de la data aplicării actelor de punere în aplicare menționate la articolul 8 alineatul (3) și la articolul 12 alineatul (8).

(3) În cazul în care sistemul de identificare electronică notificat este inclus în lista publicată de Comisie în conformitate cu articolul 9 înainte de data menționată la alineatul (2) litera (c) de la prezentul articol, recunoașterea mijloacelor de identificare electronică din cadrul sistemului respectiv în temeiul articolului 6 are loc cel târziu în termen de 12 luni de la publicarea respectivului sistem, dar nu înainte de data menționată la alineatul (2) litera (c) de la prezentul articol.

(4) Fără a aduce atingere alineatului (2) litera (c) de la prezentul articol, un stat membru poate decide ca mijloacele de identificare electronică din cadrul unui sistem de identificare electronică notificat în temeiul articolului 9 alineatul (1) de către un alt stat membru să fie recunoscute de primul stat membru de la data aplicării actelor de punere în aplicare menționate la articolul 8 alineatul (3) și la articolul 12 alineatul (8). Statele membre vizate informează Comisia. Comisia publică aceste informații.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles, 23 iulie 2014.

Pentru Parlament

Președintele

M. SCHULZ

Pentru Consiliu

Președintele

S. GOZI

(1) JO C 351, 15.11.2012, p. 73.

(2) Poziția Parlamentului European din 3 aprilie 2014 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 23 iulie 2014.

(3) Directiva 1999/93/CE a Parlamentului European și a Consiliului din 13 decembrie 1999 privind un cadru comunitar pentru semnăturile electronice (JO L 13, 19.1.2000, p. 12).

(4) JO C 50 E, 21.2.2012, p. 1.

(5) Directiva 2006/123/CE a Parlamentului European și a Consiliului din 12 decembrie 2006 privind serviciile în cadrul pieței interne (JO L 376, 27.12.2006, p. 36).

(6) Directiva 2011/24/UE a Parlamentului European și a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).

(7) Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, 23.11.1995, p. 31).

(8) Decizia 2010/48/CE a Consiliului din 26 noiembrie 2009 privind încheierea de către Comunitatea Europeană a Convenției Națiunilor Unite privind drepturile persoanelor cu handicap (JO L 23, 27.1.2010, p. 35).

(9) Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 de stabilire a cerințelor de acreditare și de supraveghere a pieței în ceea ce privește comercializarea produselor și de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30).

(10) Decizia 2009/767/CE a Comisiei din 16 octombrie 2009 de stabilire a unor măsuri de facilitare a utilizării procedurilor prin mijloace electronice prin intermediul ghișeelor unice în temeiul Directivei 2006/123/CE a Parlamentului European și a Consiliului privind serviciile în cadrul pieței interne (JO L 274, 20.10.2009, p. 36).

(11) Decizia 2011/130/UE a Comisei din 25 februarie 2011 de stabilire a unor cerințe minime pentru tratamentul transfrontalier al documentelor semnate electronic de autoritățile competente în temeiul Directivei 2006/123/CE a Parlamentului European și a Consiliului privind serviciile în cadrul pieței interne (JO L 53, 26.2.2011, p. 66).

(12) Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).

(13) Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO L 8, 12.1.2001, p. 1).

(14) JO C 28, 30.1.2013, p. 6.

(15) Directiva 2014/24/UE a Parlamentului European și a Consiliului din 26 februarie 2014 privind achizițiile publice și de abrogare a Directivei 2004/18/CE (JO L 94, 28.3.2014, p. 65).

ANEXA I

CERINȚE PENTRU CERTIFICATELE CALIFICATE PENTRU SEMNĂTURI ELECTRONICE

Certificatele calificate pentru semnături electronice conțin:

(a)	o indicație, cel puțin într-o formă adecvată pentru prelucrarea automată, că certificatul a fost emis ca certificat calificat pentru semnături electronice;

(b)

un set de date care reprezintă fără ambiguitate prestatorul de servicii de încredere calificat care emite certificatele calificate, care includ cel puțin statul membru în care este stabilit prestatorul respectiv; și

—	în cazul unei persoane juridice: denumirea și, după caz, numărul de înregistrare astfel cum se menționează în registrele oficiale;

—	în cazul unei persoane fizice: numele persoanei;

(c)	cel puțin numele semnatarului sau un pseudonim; în cazul în care se utilizează un pseudonim, acesta este indicat în mod clar;

(d)	datele de validare a semnăturilor electronice care corespund datelor de creare a semnăturilor electronice;

(e)	detalii privind începutul și sfârșitul perioadei de valabilitate a certificatului;

(f)	codul de identitate al certificatului care trebuie să fie unic pentru prestatorul de servicii de încredere calificat;

(g)	semnătura electronică avansată sau sigiliul electronic avansat al prestatorului de servicii de încredere calificat emitent;

(h)	locul în care certificatul care stă la baza semnăturii electronice avansate sau a sigiliului electronic avansat menționate la litera (g) este disponibil gratuit;

(i)	localizarea serviciilor care pot fi utilizate pentru a cunoaște statutul valabilității certificatului calificat;

(j)

în cazul în care datele de creare a semnăturilor electronice legate de datele de validare a semnăturilor electronice sunt situate într-un dispozitiv de creare a semnăturilor electronice calificat, o indicație corespunzătoare referitoare la aceasta, cel puțin într-o formă adecvată pentru prelucrarea automată.

ANEXA II

CERINȚE PENTRU DISPOZITIVELE DE creare A SEMNĂTURILOR ELECTRONICE CALIFICATE

Dispozitivele de creare a semnăturilor electronice calificate garantează, prin mijloace tehnice și procedurale adecvate, cel puțin că:

(a)	caracterul confidențial al datelor de creare a semnăturilor electronice utilizate pentru crearea semnăturii electronice este asigurat în mod rezonabil;

(b)	datele de creare a semnăturilor electronice utilizate pentru crearea semnăturii electronice pot, practic, să apară numai o dată;

(c)	există suficiente asigurări că datele de creare a semnăturilor electronice utilizate pentru crearea semnăturilor electronice nu pot să fie descoperite prin deducție și că semnătura electronică este protejată în mod fiabil împotriva falsificării utilizând tehnologia disponibilă în prezent;

(d)	datele de creare a semnăturilor electronice utilizate pentru crearea semnăturilor electronice pot să fie protejate în mod fiabil de către semnatarul legitim împotriva utilizării de către alte persoane.

Dispozitivele de creare a semnăturilor electronice calificate nu modifică datele care urmează să fie semnate sau nu împiedică prezentarea lor semnatarului înainte de a semna.

Generarea sau gestionarea datelor de creare a semnăturilor electronice în numele semnatarului se pot realiza numai de către un prestator de servicii de încredere calificat.

Fără a aduce atingere punctului 1 litera (d), prestatorii de servicii de încredere calificați care gestionează datele de creare a semnăturilor electronice în numele semnatarului pot duplica datele de creare a semnăturilor electronice numai în scopul de a le avea de rezervă, cu condiția ca următoarele cerințe să fie îndeplinite:

(a)	securitatea seturilor de date duplicate trebuie să fie la același nivel ca pentru seturile de date originale;

(b)	numărul seturilor de date duplicate nu depășește minimul necesar pentru a asigura continuitatea serviciului.

ANEXA III

CERINȚE PENTRU CERTIFICATELE CALIFICATE PENTRU SIGILIILE ELECTRONICE

Certificatele calificate pentru sigiliile electronice conțin:

(a)	o indicație, cel puțin într-o formă adecvată pentru prelucrarea automată, că certificatul a fost emis ca certificat calificat pentru sigilii electronice;

(b)

un set de date care reprezintă fără ambiguitate prestatorul de servicii de încredere calificat care emite certificatele calificate, care include cel puțin statul membru în care este stabilit prestatorul respectiv; și

—	în cazul unei persoane juridice: denumirea și, după caz, numărul de înregistrare astfel cum se menționează în registrele oficiale;

—	în cazul unei persoane fizice: numele persoanei;

(c)	cel puțin numele creatorului sigiliului și, după caz, numărul de înregistrare astfel cum se menționează în registrele oficiale;

(d)	datele de validare a sigiliilor electronice, care corespund datelor de creare a sigiliilor electronice;

(e)	detalii privind începutul și sfârșitul perioadei de valabilitate a certificatului;

(f)	codul de identitate al certificatului, care trebuie să fie unic pentru prestatorul de servicii de încredere calificat;

(g)	semnătura electronică avansată sau sigiliul electronic avansat al prestatorului de servicii de încredere calificat emitent;

(h)	locul în care certificatul care stă la baza semnăturii electronice avansate sau a sigiliului electronic avansat menționate la litera (g) este disponibil gratuit;

(i)	localizarea serviciilor care pot fi utilizate pentru a cunoaște statutul valabilității certificatului calificat;

(j)

în cazul în care datele de creare a sigiliilor electronice legate de datele de validare a sigiliilor electronice sunt situate într-un dispozitiv de creare a sigiliilor electronice calificat, o indicație corespunzătoare referitoare la aceasta, cel puțin într-o formă adecvată pentru prelucrarea automată.

ANEXA IV

CERINȚE PENTRU CERTIFICATELE CALIFICATE PENTRU AUTENTIFICAREA UNUI SITE INTERNET

Certificatele calificate pentru autentificarea unui site internet conțin:

(a)	o indicație, cel puțin într-o formă adecvată pentru prelucrarea automată, că certificatul a fost emis ca certificat calificat pentru autentificarea unui site internet;

(b)

—	în cazul unei persoane juridice: denumirea și, după caz, numărul de înregistrare astfel cum se menționează în registrele oficiale,

—	în cazul unei persoane fizice: numele persoanei;

(c)

în cazul persoanelor fizice: cel puțin numele persoanei căreia i s-a eliberat certificatul sau un pseudonim. În cazul în care se utilizează un pseudonim, acesta este indicat în mod clar;

în cazul persoanelor juridice: cel puțin denumirea persoanei juridice căreia i se eliberează certificatul și, după caz, numărul de înregistrare astfel cum se menționează în registrele oficiale;

(d)	elemente ale adresei persoanei fizice sau juridice căreia i s-a eliberat certificatul, incluzând cel puțin orașul și statul, și, dacă este cazul, în forma în care sunt înscrise în registrele oficiale;

(e)	numele domeniului (domeniilor) gestionat(e) de persoana fizică sau juridică căreia i s-a emis certificatul;

(f)	detalii privind începutul și sfârșitul perioadei de valabilitate a certificatului;

(g)	codul de identitate al certificatului, care trebuie să fie unic pentru prestatorul de servicii de încredere calificat;

(h)	semnătura electronică avansată sau sigiliul electronic avansat al prestatorului de servicii de încredere calificat emitent;

(i)	locul în care certificatul care stă la baza semnăturii electronice avansate sau a sigiliului electronic avansat menționate la litera (h) este disponibil gratuit;

(j)	localizarea serviciilor privind statutul valabilității certificatului care pot fi utilizate pentru a cunoaște statutul valabilității certificatului calificat.

whereas

(6) În concluziile sale din 27 mai 2011, Consiliul a invitat Comisia să contribuie la piața unică digitală prin crearea condițiilor adecvate pentru recunoașterea reciprocă a elementelor-cheie dincolo de frontiere, cum ar fi identificarea electronică, documentele electronice, semnăturile electronice și serviciile de distribuție electronică, precum și pentru serviciile de e-guvernare interoperabile pe întreg teritoriul Uniunii Europene.

- = -

(51) Ar trebui să fie posibil pentru semnatar să încredințeze dispozitivele de creare a semnăturilor electronice calificate unei părți terțe, cu condiția ca mecanismele și procedurile adecvate să fie puse în aplicare pentru a se asigura că semnatarul are control unic asupra utilizării datelor sale de creare a semnăturilor electronice și cu condiția ca utilizarea dispozitivului să îndeplinească cerințele privind semnătura electronică calificată.

- = -

(52) crearea semnăturilor electronice la distanță, al căror mediu este gestionat în numele semnatarului de un prestator de servicii de încredere, nu poate decât să se dezvolte având în vedere multiplele sale avantaje economice.
Cu toate acestea, pentru a garanta că aceste semnături electronice se bucură de același nivel de recunoaștere juridică de care se bucură semnăturile electronice create cu ajutorul unui mediu care este în totalitate gestionat de utilizator, prestatorii care oferă servicii de semnătură electronică la distanță ar trebui să aplice proceduri de securitate a gestionării și administrării specifice și să utilizeze sisteme și produse fiabile, care să includă canale de comunicare electronică sigure, pentru a garanta fiabilitatea mediului de creare a semnăturii electronice și faptul că acest mediu este utilizat sub controlul exclusiv al semnatarului. În cazul unei semnături electronice calificate create cu ajutorul unui dispozitiv de creare a semnăturilor electronice la distanță, ar trebui să se aplice cerințele aplicabile prestatorilor de servicii de încredere calificați menționate în prezentul regulament.

- = -

(55) Certificarea de securitate informatică bazată pe standarde internaționale, de exemplu ISO 15408 și metodele de evaluare conexe și acordurile de recunoaștere reciprocă, este un instrument important pentru a verifica siguranța dispozitivelor de creare a semnăturii electronice calificate și ar trebui promovat.
Cu toate acestea, soluțiile și serviciile inovatoare, cum ar fi semnarea pe telefonul mobil și semnarea în cloud, se bazează pe soluții tehnice și organizaționale pentru dispozitive de creare a semnăturii electronice calificate pentru care este posibil să nu fie încă disponibile standarde de securitate sau a căror primă certificare de securitate informatică este în curs.
Nivelul de securitate al respectivelor dispozitive de creare a semnăturii electronice calificate ar putea fi evaluat prin utilizarea unor procese alternative numai în cazul în care astfel de standarde de securitate nu sunt disponibile sau în cazul în care prima certificare de securitate informatică este în desfășurare.
Aceste procese ar trebui să fie comparabile cu standardele pentru certificarea în materie de securitate informatică, în măsura în care nivelurile lor de securitate sunt echivalente.
Aceste procese ar putea fi facilitate de o evaluare inter pares.

- = -

(56) Prezentul regulament ar trebui să prevadă cerințe pentru dispozitivele de creare a semnăturii electronice calificate în vederea asigurării funcționalității semnăturilor electronice avansate.
Prezentul regulament nu ar trebui să reglementeze întregul mediu al sistemului în care funcționează astfel de dispozitive.
Prin urmare, domeniul de aplicare al certificării dispozitivelor de creare a semnăturii calificate ar trebui să se limiteze la componentele hardware și la elementele de software de sistem utilizate pentru gestionarea și protejarea datelor aferente creării semnăturii care sunt create, stocate sau prelucrate în dispozitivul de creare a semnăturii.
După cum se detaliază în standardele relevante, domeniul de aplicare al obligației de certificare ar trebui să excludă cererile de creare a semnăturii.

- = -

(70) Pentru a completa anumite aspecte tehnice detaliate ale prezentului regulament într-o manieră flexibilă și rapidă, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui să fie delegată Comisiei în ceea ce privește criteriile care trebuie respectate de către organismele responsabile de certificarea dispozitivelor de creare a semnăturilor electronice calificate.
Este deosebit de important ca, pe parcursul activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți.
Comisia, atunci când pregătește și elaborează acte delegate, ar trebui să asigure o transmitere simultană, în timp util și adecvată a documentelor relevante către Parlamentul European și Consiliu.

- = -

(74) Pentru a se asigura securitatea juridică pentru operatorii de piață care utilizează deja certificate calificate emise persoanelor fizice în conformitate cu Directiva 1999/93/CE, este necesar să se prevadă o perioadă de timp suficientă în scopuri de tranziție. În mod similar, ar trebui să se prevadă măsuri de tranziție pentru dispozitivele sigure de creare a semnăturilor a căror conformitate a fost determinată în conformitate cu Directiva 1999/93/CE, precum și pentru prestatorii de servicii de certificare care emit certificate calificate înainte de 1 iulie 2016. În cele din urmă, este necesar, de asemenea, să se furnizeze Comisiei mijloacele de a adopta actele de punere în aplicare și actele delegate înainte de data respectivă.

- = -

keyboard_tab EIDAS 2014/0910 RO

EIDAS 2014/0910 RO