EIDAS 2014/0910 RO

În vederea asigurării bunei funcționări a pieței interne, vizând în același timp un nivel adecvat de securitate a mijloacelor de identificare electronică și a serviciilor de încredere, prezentul regulament:

(a)	stabilește condițiile în care statele membre recunosc mijloacele de identificare electronică a persoanelor fizice și juridice care intră sub incidența unui sistem notificat de identificare electronică al unui alt stat membru;

(b)	stabilește norme pentru serviciile de încredere, în special pentru tranzacțiile electronice; și

(c)	stabilește un cadru juridic pentru semnăturile electronice, sigiliile electronice, mărcile temporale electronice, documentele electronice, serviciile de distribuție electronică înregistrate și serviciile de certificare pentru autentificarea unui site internet.

Articolul 2

Domeniul de aplicare

(1) Prezentul regulament se aplică sistemelor de identificare electronică care au fost notificate de către un stat membru și prestatorilor de servicii de încredere cu sediul în Uniune.

(2) Prezentul regulament nu se aplică prestării de servicii de încredere care sunt utilizate exclusiv în sisteme închise care decurg din dreptul intern sau din acordurile încheiate între un set definit de participanți.

(3) Prezentul regulament nu aduce atingere dreptului intern sau al Uniunii privind încheierea și valabilitatea contractelor sau a altor obligații juridice sau procedurale privind forma.

Articolul 4

Principiul pieței interne

(1) Nu există nicio restricție privind prestarea de servicii de încredere pe teritoriul unui stat membru de către un prestator de servicii de încredere stabilit în alt stat membru, din motive care se încadrează în domeniile reglementate de prezentul regulament.

(2) Produsele și serviciile de încredere care sunt conforme cu prezentul regulament sunt autorizate pentru a circula liber pe piața internă.

Articolul 6

Recunoașterea reciprocă

(1) Atunci când este necesară o identificare electronică care utilizează un mijloc de identificare electronică și o autentificare în temeiul dreptului intern sau al practicii administrative naționale pentru a accesa un serviciu prestat online de un organism din sectorul public într-un stat membru, mijloacele de identificare electronică emise într-un alt stat membru sunt recunoscute în primul stat membru în scopul autentificării transfrontaliere a respectivului serviciu online, cu condiția să fie îndeplinite următoarele condiții:

(a)	mijloacele de identificare electronică să fie emise în cadrul unui sistem de identificare electronică inclus în lista publicată de Comisie în temeiul articolului 9;

(b)

nivelul de asigurare al respectivelor mijloace de identificare electronică să corespundă unui nivel de asigurare egal sau mai ridicat decât nivelul de asigurare impus de organismul din sectorul public relevant pentru a accesa respectivul serviciu online în primul stat membru, cu condiția ca nivelul de asigurare al mijloacelor de identificare electronică respective să corespundă nivelului de asigurare substanțial sau ridicat;

(c)	organismul din sectorul public relevant utilizează nivelul de asigurare „substanțial” sau „ridicat” în legătură cu accesarea online a serviciului respectiv.

Această recunoaștere trebuie să aibă loc în termen de cel mult 12 luni de la publicarea de către Comisie a listei menționate la primul paragraf litera (a).

(2) Mijloacele de identificare electronică eliberate în temeiul unui sistem de identificare electronică inclus în lista publicată de Comisie în conformitate cu articolul 9 și care corespund nivelului de asigurare scăzut pot fi recunoscute de către organismele din sectorul public în scopul autentificării transfrontaliere pentru serviciul furnizat online de către organismele respective.

Articolul 7

Eligibilitatea pentru notificarea sistemelor de identificare electronică

Un sistem de identificare electronică este eligibil pentru notificare în temeiul articolului 9 alineatul (1) în cazul în care sunt îndeplinite toate condițiile de mai jos:

(a)

mijloacele de identificare electronică din cadrul sistemului de identificare electronică sunt emise:

(i)	de statul membru care notifică;

(ii)	pe baza unui mandat din partea statului membru care notifică; sau

(iii)

independent de statul membru care notifică și sunt recunoscute de respectivul stat membru;

(b)	mijloacele de identificare electronică din cadrul sistemului de identificare electronică pot fi utilizate pentru a accesa cel puțin un serviciu care este prestat de un organism din sectorul public și care necesită identificarea electronică în statul membru care notifică;

(c)	sistemul de identificare electronică și mijloacele de identificare electronică emise în temeiul acestuia îndeplinesc cerințele aferente cel puțin unuia dintre nivelurile de asigurare prevăzute în actul de punere în aplicare menționat la articolul 8 alineatul (3);

(d)

statul membru care notifică se asigură că datele de identificare personală, reprezentând în mod unic persoana în cauză, sunt atribuite, în conformitate cu specificațiile, standardele și procedurile tehnice aferente nivelului de asigurare relevant prevăzut în actul de punere în aplicare menționat la articolul 8 alineatul (3), persoanei fizice sau juridice menționate la articolul 3 punctul 1 la momentul emiterii mijloacelor de identificare electronică din cadrul sistemului respectiv;

(e)

partea care emite mijloacele de identificare electronică din cadrul respectivului sistem se asigură că mijloacele de identificare electronică sunt atribuite persoanelor menționate la litera (d) de la prezentul articol, în conformitate cu specificațiile tehnice, standardele și procedurile aferente nivelului de asigurare corespunzător prevăzut în actul de punere în aplicare menționat la articolul 8 alineatul (3);

(f)

statul membru care notifică asigură disponibilitatea autentificării online, astfel încât orice beneficiar stabilit pe teritoriul altui stat membru să poată confirma datele de identificare personală primite în format electronic.

În cazul altor beneficiari decât organismele din sectorul public, statul membru care notifică poate defini condițiile de acces la mijlocul respectiv de autentificare. Autentificarea transfrontalieră este furnizată gratuit atunci când este efectuată în legătură cu un serviciu online prestat de un organism din sectorul public.

Statele membre nu impun nicio cerință tehnică specifică disproporționată beneficiarilor care intenționează să efectueze o astfel de autentificare, atunci când astfel de cerințe împiedică sau afectează semnificativ interoperabilitatea sistemelor de identificare electronică notificate;

(g)

cu cel puțin șase luni înaintea notificării în conformitate cu articolul 9 alineatul (1), statul membru care notifică furnizează celorlalte state membre, în scopul îndeplinirii obligației prevăzute la articolul 12 alineatul (5), o descriere a sistemului respectiv în conformitate cu modalitățile prevăzute în actele de punere în aplicare menționate la articolul 12 alineatul (7);

(h)	sistemul de identificare electronică îndeplinește cerințele prevăzute în actul de punere în aplicare menționat la articolul 12 alineatul (8).

Articolul 9

Notificarea

(1) Statul membru care notifică înaintează Comisiei următoarele informații și, fără întârzieri nejustificate, orice modificări ulterioare ale acestora:

(a)	o descriere a sistemului de identificare electronică notificat, incluzând nivelurile sale de asigurare și emitentul sau emitenții mijloacelor de identificare electronică din cadrul sistemului;

(b)

regimul de supraveghere aplicabil și informații privind regimul de răspundere referitor la următoarele aspecte:

(i)	partea care emite mijloacele de identificare electronică; și

(ii)	partea care desfășoară procedura de autentificare;

(c)	autoritatea sau autoritățile responsabile pentru sistemul de identificare electronică;

(d)	informații privind entitatea sau entitățile care gestionează înregistrarea datelor unice de identificare personală;

(e)	o descriere a modului în care sunt îndeplinite cerințele prevăzute în actele de punere în aplicare menționate la articolul 12 alineatul (8);

(f)	o descriere a autentificării menționate la articolul 7 litera (f);

(g)	dispoziții pentru suspendarea sau revocarea sistemului de identificare electronică notificat, a autentificării sau a părților compromise în cauză.

(2) La un an de la data aplicării actelor de punere în aplicare menționate la articolul 8 alineatul (3) și la articolul 12 alineatul (8), Comisia publică în Jurnalul Oficial al Uniunii Europene o listă a sistemelor de identificare electronică care au fost notificate în temeiul alineatului (1) de la prezentul articol și informațiile de bază cu privire la acestea.

(3) În cazul în care Comisia primește o notificare după expirarea perioadei menționate la alineatul (2), aceasta publică în Jurnalul Oficial al Uniunii Europene modificările la lista menționată la alineatul (2) în termen de două luni de la data primirii respectivei notificări.

(4) Un stat membru poate înainta Comisiei o cerere de eliminare a unui sistem de identificare electronică notificat de respectivul stat membru din lista menționată la alineatul (2). Comisia publică în Jurnalul Oficial al Uniunii Europene modificările corespunzătoare aduse listei, în termen de o lună de la primirea cererii statului membru.

(5) Comisia poate, prin intermediul unor acte de punere în aplicare, să definească circumstanțele, formatele și procedurile pentru notificările în temeiul alineatului (1). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

Articolul 10

Încălcarea securității

(1) În cazul în care fie sistemul de identificare electronică notificat în conformitate cu articolul 9 alineatul (1), fie autentificarea menționată la articolul 7 litera (f) este încălcată sau parțial compromisă într-un mod care afectează fiabilitatea autentificării transfrontaliere a sistemului respectiv, statul membru care notifică suspendă sau revocă, fără întârziere, respectiva autentificare transfrontalieră sau părțile compromise în cauză și informează celelalte state membre și Comisia.

(2) În cazul în care încălcarea sau compromiterea menționată la alineatul (1) este remediată, statul membru care notifică reinstituie autentificarea transfrontalieră și informează celelalte state membre și Comisia fără întârzieri nejustificate.

(3) În cazul în care încălcarea sau compromiterea menționată la alineatul (1) nu este remediată în termen de trei luni de la suspendare sau revocare, statul membru care notifică comunică celorlalte state membre și Comisiei retragerea sistemului de identificare electronică.

Comisia publică în Jurnalul Oficial al Uniunii Europene, fără întârzieri nejustificate, modificările corespunzătoare aduse listei menționate la articolul 9 alineatul (2).

Articolul 11

Răspunderea

(1) Statul membru care notifică este răspunzător pentru prejudiciul cauzat în mod intenționat sau din neglijență oricărei persoane fizice sau juridice în cadrul unei tranzacții transfrontaliere ca urmare a nerespectării obligațiilor care îi revin în temeiul articolului 7 literele (d) și (f).

(2) Partea care emite mijloacele de identificare electronică este răspunzătoare pentru prejudiciul cauzat în mod intenționat sau din neglijență oricărei persoane fizice sau juridice în cadrul unei tranzacții transfrontaliere ca urmare a nerespectării obligației menționate la articolul 7 litera (e).

(3) Partea care execută procedura de autentificare este răspunzătoare pentru prejudiciul cauzat în mod intenționat sau din neglijență oricărei persoane fizice sau juridice în cadrul unei tranzacții transfrontaliere pentru neasigurarea executării corecte a autentificării menționate la articolul 7 litera (f).

(4) Alineatele (1), (2) și (3) se aplică în conformitate cu normele de drept intern privind răspunderea.

(5) Alineatele (1), (2) și (3) nu aduc atingere răspunderii care revine, în conformitate cu dreptul intern, părților la o tranzacție în care sunt utilizate mijloace de identificare electronică care intră sub incidența sistemului de identificare electronică notificat în temeiul articolului 9 alineatul (1).

Articolul 12

Cooperarea și interoperabilitatea

(1) Sistemele naționale de identificare electronică notificate în temeiul articolului 9 alineatul (1) sunt interoperabile.

(2) În sensul alineatului (1), se stabilește un cadru de interoperabilitate.

(3) Cadrul de interoperabilitate îndeplinește următoarele criterii:

(a)	urmărește să fie neutru din punctul de vedere al tehnologiei și nu acordă prioritate niciuneia dintre soluțiile tehnice naționale specifice pentru identificarea electronică pe teritoriul statului membru;

(b)	respectă standardele europene și internaționale, atunci când este posibil;

(c)	facilitează punerea în aplicare a principiului luării în considerare a vieții private începând cu momentul conceperii (privacy by design); și

(d)	garantează că datele cu caracter personal sunt prelucrate în conformitate cu Directiva 95/46/CE.

(4) Cadru de interoperabilitate este alcătuit din următoarele elemente:

(a)	o trimitere la cerințele tehnice minime aferente nivelurilor de asigurare menționate la articolul 8;

(b)	o clasificare a nivelurilor naționale de asigurare aferente sistemelor de identificare electronică notificate în funcție de nivelurile de asigurare menționate la articolul 8;

(c)	o trimitere la cerințele tehnice minime referitoare la interoperabilitate;

(d)	o trimitere la un set minim de date de identificare personală, reprezentând în mod unic o persoană fizică sau juridică, care sunt disponibile din sistemele de identificare electronică;

(e)	regulamentul de procedură;

(f)	dispoziții referitoare la soluționarea litigiilor; și

(g)	standarde de securitate operaționale comune.

(5) Statele membre cooperează cu privire la următoarele aspecte:

(a)	interoperabilitatea sistemelor de identificare electronică notificate în conformitate cu articolul 9 alineatul (1) și a sistemelor de identificare electronică pe care statele membre intenționează să le notifice; și

(b)	securitatea sistemelor de identificare electronică.

(6) Cooperarea dintre statele membre constă în:

(a)	schimbul de informații, de experiență și de bune practici privind sistemele de identificare electronică și, în special, cerințele tehnice referitoare la interoperabilitate și la nivelurile de asigurare;

(b)	schimbul de informații, de experiență și de bune practici cu privire la modul de lucru cu nivelurile de asigurare ale sistemelor de identificare electronică menționate la articolul 8;

(c)	evaluarea inter pares privind sistemele de identificare electronică care fac obiectul prezentului regulament; și

(d)	analiza evoluțiilor relevante din domeniul identificării electronice.

(7) Până la 18 martie 2015, Comisia stabilește, prin intermediul actelor de punere în aplicare, modalitățile procedurale necesare pentru a facilita cooperarea între statele membre menționate la alineatele (5) și (6), în vederea stimulării unui nivel ridicat de încredere și securitate corespunzător gradului de risc.

(8) Până la 18 septembrie 2015, în vederea stabilirii de condiții uniforme pentru punerea în aplicare a cerinței menționate la alineatul (1), sub rezerva criteriilor stabilite la alineatul (3) și luând în considerare rezultatele cooperării dintre statele membre, Comisia adoptă acte de punere în aplicare privind cadrul de interoperabilitate, astfel cum este prevăzut la alineatul (4).

(9) Actele de punere în aplicare menționate la alineatele (7) și (8) de la prezentul articol se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

CAPITOLUL III

SERVICII DE ÎNCREDERE

SECȚIUNEA 1

Dispoziții generale

Articolul 17

Organismul de supraveghere

(1) Statele membre desemnează un organism de supraveghere stabilit pe teritoriul lor sau, de comun acord cu un alt stat membru, un organism de supraveghere stabilit în acel stat membru. Organismul respectiv este responsabil de sarcinile de supraveghere în statul membru care l-a desemnat.

Organismelor de supraveghere li se conferă competențele necesare și resursele adecvate pentru exercitarea sarcinilor lor.

(2) Statele membre notifică Comisiei denumirile și adresele organismelor lor de supraveghere desemnate.

(3) Rolul organismului de supraveghere constă în:

(a)

supravegherea prestatorilor de servicii de încredere calificați stabiliți pe teritoriul statului membru care l-a desemnat pentru a se asigura, prin intermediul activităților de supraveghere ex ante și ex post, că respectivii prestatori de servicii de încredere calificați, precum și serviciile de încredere calificate pe care le prestează, îndeplinesc cerințele stabilite în prezentul regulament;

(b)

luarea de măsuri, după caz, în legătură cu prestatorii de servicii de încredere necalificați stabiliți pe teritoriul statului membru care l-a desemnat, prin intermediul activităților de supraveghere ex post, atunci când este informat că există presupunerea că respectivii prestatori de servicii de încredere calificați sau serviciile de încredere pe care le prestează nu îndeplinesc cerințele stabilite în prezentul regulament.

(4) În sensul alineatului (3) și sub rezerva restricțiilor prevăzute de acesta, sarcinile organismului de supraveghere includ, în special:

(a)	să coopereze cu alte organisme de supraveghere și să acorde asistență acestora, în conformitate cu articolul 18;

(b)	să efectueze analiza rapoartelor de evaluare a conformității menționate la articolul 20 alineatul (1) și la articolul 21 alineatul (1);

(c)	să informeze celelalte organisme de supraveghere și publicul cu privire la încălcarea securității sau la pierderea integrității, în conformitate cu articolul 19 alineatul (2);

(d)	să raporteze Comisiei cu privire la activitățile sale principale, în conformitate cu alineatul (6) de la prezentul articol;

(e)	să realizeze audituri sau să solicite unui organism de evaluare a conformității să efectueze o evaluare a conformității prestatorilor de servicii de încredere calificați, în conformitate cu articolul 20 alineatul (2);

(f)

să coopereze cu autoritățile de protecție a datelor, în special prin informarea acestora, fără întârzieri nejustificate, cu privire la rezultatele auditurilor prestatorilor de servicii de încredere calificați, în cazul în care se presupune că normele de protecție a datelor cu caracter personal au fost încălcate;

(g)	să acorde statutul de calificat prestatorilor de servicii de încredere, precum și serviciilor pe care aceștia le prestează și să retragă statutul respectiv, în conformitate cu articolele 20 și 21;

(h)	să informeze organismul responsabil cu lista sigură națională menționată la articolul 22 alineatul (3) cu privire la deciziile sale de acordare sau de retragere a statutului de calificat, cu excepția cazului în care respectivul organism este și organism de supraveghere;

(i)

să verifice existența și aplicarea corectă a dispozițiilor privind planurile de încetare a serviciului în cazurile în care prestatorul de servicii de încredere calificat își încetează activitățile, inclusiv modul în care informațiile sunt păstrate accesibile, în conformitate cu articolul 24 alineatul (2) litera (h);

(j)	să solicite prestatorilor de servicii de încredere să remedieze orice neîndeplinire a cerințelor prevăzute în prezentul regulament.

(5) Statele membre pot să solicite organismului de supraveghere să stabilească, să mențină și să actualizeze o infrastructură de asigurare a încrederii în conformitate cu condițiile stabilite de dreptul intern.

(6) În fiecare an, până la 31 martie, fiecare organism de supraveghere înaintează Comisiei un raport privind principalele activități desfășurate în anul calendaristic anterior, însoțit de un rezumat al notificărilor încălcărilor primit de la prestatorii de servicii de încredere, în conformitate cu articolul 19 alineatul (2).

(7) Comisia pune la dispoziția statelor membre raportul anual menționat la alineatul (6).

(8) Comisia poate, prin intermediul unor acte de punere în aplicare, să definească formatele și procedurile pentru raportul menționat la alineatul (6). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

Articolul 22

Listele sigure

(1) Fiecare stat membru instituie, menține și publică liste care includ informații referitoare la prestatorii de servicii de încredere calificați pentru care este responsabil, împreună cu informații referitoare la serviciile de încredere calificate prestate de aceștia.

(2) Statele membre instituie, mențin și publică, în mod securizat, listele sigure semnate sau sigilate electronic menționate la alineatul (1), într-o formă adecvată pentru prelucrarea automată.

(3) Statele membre notifică Comisiei, fără întârzieri nejustificate, informații cu privire la organismul responsabil pentru instituirea, menținerea și publicarea listelor sigure naționale și detalii despre locul unde sunt publicate aceste liste, certificatele utilizate pentru semnarea sau sigilarea listelor sigure și orice modificări ale acestora.

(4) Comisia pune la dispoziția publicului, printr-un canal sigur, informațiile menționate la alineatul (3) într-o formă purtând o semnătură electronică sau un sigiliu electronic adecvate pentru prelucrarea automată.

(5) Până la 18 septembrie 2015, Comisia specifică, prin intermediul unor acte de punere în aplicare, informațiile menționate la alineatul (1) și definește specificațiile tehnice și formatele pentru listele sigure aplicabile în sensul alineatelor (1)-(4). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

Articolul 25

Efectele juridice ale semnăturilor electronice

(1) Unei semnături electronice nu i se refuză efectul juridic și posibilitatea de a fi acceptată ca probă în procedurile judiciare doar din motiv că aceasta este în format electronic sau că nu îndeplinește cerințele pentru semnăturile electronice calificate.

(2) O semnătură electronică calificată are efectul juridic echivalent al unei semnături olografe.

(3) O semnătură electronică calificată bazată pe un certificat calificat eliberat de un stat membru este recunoscută drept semnătură electronică calificată în toate celelalte state membre.

Articolul 27

Semnăturile electronice în cadrul serviciilor publice

(1) În cazul în care un stat membru solicită o semnătură electronică avansată pentru utilizarea în cadrul unui serviciu online prestat de către un organism din sectorul public sau în numele acestuia, respectivul stat membru recunoaște semnăturile electronice avansate, semnăturile electronice avansate bazate pe un certificat calificat pentru semnături electronice și semnăturile electronice calificate care întrebuințează cel puțin formatele sau metodele definite în actele de punere în aplicare menționate la alineatul (5).

(2) În cazul în care un stat membru solicită o semnătură electronică avansată bazată pe un certificat calificat pentru utilizarea în cadrul unui serviciu online prestat de către un organism din sectorul public sau în numele acestuia, respectivul stat membru recunoaște semnăturile electronice avansate bazate pe un certificat calificat și semnăturile electronice calificate care întrebuințează cel puțin formatele sau metodele definite în actele de punere în aplicare menționate la alineatul (5).

(3) Statele membre nu solicită o semnătură electronică la un nivel de securitate mai ridicat decât cel al semnăturii electronice calificate pentru utilizarea transfrontalieră a unui serviciu online prestat de un organism din sectorul public.

(4) Comisia poate, prin intermediul unor acte de punere în aplicare, să stabilească numere de referință ale standardelor pentru semnături electronice avansate. În cazul în care o semnătură electronică avansată îndeplinește respectivele standarde, se presupune că aceasta respectă cerințele referitoare la semnăturile electronice avansate menționate în prezentul articol alineatele (1) și (2) și la articolul 26. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

(5) Până la 18 septembrie 2015 și ținând cont de practicile, standardele și actele juridice ale Uniunii existente, Comisia definește, prin intermediul unor acte de punere în aplicare, formate de referință ale semnăturilor electronice avansate sau metode de referință, în cazul în care sunt utilizate formate alternative. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

Articolul 35

Efectele juridice ale sigiliilor electronice

(1) Unui sigiliu electronic nu i se refuză efectul juridic și posibilitatea de a fi acceptat ca probă în procedurile judiciare doar din motiv că acesta este sub formă electronică sau că nu îndeplinește cerințele pentru sigiliile electronice calificate.

(2) Un sigiliu electronic calificat beneficiază de prezumția integrității datelor și a corectitudinii originii respectivelor date la care se referă sigiliul electronic calificat.

(3) Un sigiliu electronic calificat bazat pe un certificat calificat eliberat de un stat membru este recunoscut drept sigiliu electronic calificat în toate celelalte state membre.

Articolul 37

Sigiliile electronice în cadrul serviciilor publice

(1) În cazul în care un stat membru solicită un sigiliu electronic avansat pentru utilizarea în cadrul unui serviciu online prestat de către un organism din sectorul public sau în numele acestuia, respectivul stat membru recunoaște sigiliile electronice avansate, sigiliile electronice avansate bazate pe un certificat calificat pentru sigilii electronice și sigiliile electronice calificate care întrebuințează cel puțin formatele sau metodele definite în actele de punere în aplicare menționate la alineatul (5).

(2) În cazul în care un stat membru solicită un sigiliu electronic bazat pe un certificat calificat pentru utilizarea în cadrul unui serviciu online prestat de către un organism din sectorul public sau în numele acestuia, respectivul stat membru recunoaște sigiliile electronice avansate bazate pe un certificat calificat și sigiliile electronice calificate care întrebuințează cel puțin formatele sau metodele definite în actele de punere în aplicare menționate la alineatul (5).

(3) Statele membre nu solicită un sigiliu electronic la un nivel de securitate mai ridicat decât cel al sigiliului electronic calificat pentru utilizarea transfrontalieră a unui serviciu online prestat de un organism din sectorul public.

(4) Comisia poate, prin intermediul unor acte de punere în aplicare, să stabilească numere de referință ale standardelor pentru sigilii electronice avansate. În cazul în care un sigiliu electronic avansat îndeplinește standardele respective, se presupune că acesta respectă cerințele referitoare la sigiliile electronice avansate menționate la alineatele (1) și (2) de la prezentul articol și la articolul 36. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

(5) Până la 18 septembrie 2015 și ținând cont de practicile, standardele și actele juridice ale Uniunii existente, Comisia definește, prin intermediul unor acte de punere în aplicare, formate de referință ale sigiliilor electronice avansate sau metode de referință, în cazul în care sunt utilizate formate alternative. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

Articolul 41

Efectul juridic al mărcilor temporale electronice

(1) Unei mărci temporale electronice nu i se refuză efectul juridic și posibilitatea de a fi acceptată ca probă în procedurile judiciare doar din motiv că aceasta este sub formă electronică sau că nu îndeplinește cerințele pentru marca temporală electronică calificată.

(2) O marcă temporală electronică calificată beneficiază de prezumția corectitudinii datei și orei pe care le indică și a integrității datelor la care se raportează data și ora indicate.

(3) O marcă temporală electronică calificată emisă într-un stat membru este recunoscută drept marcă temporală electronică calificată în toate statele membre.

Articolul 52

Intrarea în vigoare

(1) Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

(2) Prezentul regulament se aplică de la 1 iulie 2016, cu excepția următoarelor dispoziții:

(a)

articolul 8 alineatul (3), articolul 9 alineatul (5), articolul 12 alineatele (2)-(9), articolul 17 alineatul (8), articolul 19 alineatul (4), articolul 20 alineatul (4), articolul 21 alineatul (4), articolul 22 alineatul (5), articolul 23 alineatul (3), articolul 24 alineatul (5), articolul 27 alineatele (4) și (5), articolul 28 alineatul (6), articolul 29 alineatul (2), articolul 30 alineatele (3) și (4), articolul 31 alineatul (3), articolul 32 alineatul (3), articolul 33 alineatul (2), articolul 34 alineatul (2), articolul 37 alineatele (4) și (5), articolul 38 alineatul (6), articolul 42 alineatul (2), articolul 44 alineatul (2), articolul 45 alineatul (2) și articolele 47 și 48 se aplică de la 17 septembrie 2014;

(b)	articolul 7, articolul 8 alineatele (1) și (2), articolele 9, 10, 11 și articolul 12 alineatul (1) se aplică de la data aplicării actelor de punere în aplicare menționate la articolul 8 alineatul (3) și la articolul 12 alineatul (8);

(c)	articolul 6 se aplică după trei ani de la data aplicării actelor de punere în aplicare menționate la articolul 8 alineatul (3) și la articolul 12 alineatul (8).

(3) În cazul în care sistemul de identificare electronică notificat este inclus în lista publicată de Comisie în conformitate cu articolul 9 înainte de data menționată la alineatul (2) litera (c) de la prezentul articol, recunoașterea mijloacelor de identificare electronică din cadrul sistemului respectiv în temeiul articolului 6 are loc cel târziu în termen de 12 luni de la publicarea respectivului sistem, dar nu înainte de data menționată la alineatul (2) litera (c) de la prezentul articol.

(4) Fără a aduce atingere alineatului (2) litera (c) de la prezentul articol, un stat membru poate decide ca mijloacele de identificare electronică din cadrul unui sistem de identificare electronică notificat în temeiul articolului 9 alineatul (1) de către un alt stat membru să fie recunoscute de primul stat membru de la data aplicării actelor de punere în aplicare menționate la articolul 8 alineatul (3) și la articolul 12 alineatul (8). Statele membre vizate informează Comisia. Comisia publică aceste informații.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles, 23 iulie 2014.

Pentru Parlament

Președintele

M. SCHULZ

Pentru Consiliu

Președintele

S. GOZI

(1) JO C 351, 15.11.2012, p. 73.

(2) Poziția Parlamentului European din 3 aprilie 2014 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 23 iulie 2014.

(3) Directiva 1999/93/CE a Parlamentului European și a Consiliului din 13 decembrie 1999 privind un cadru comunitar pentru semnăturile electronice (JO L 13, 19.1.2000, p. 12).

(4) JO C 50 E, 21.2.2012, p. 1.

(5) Directiva 2006/123/CE a Parlamentului European și a Consiliului din 12 decembrie 2006 privind serviciile în cadrul pieței interne (JO L 376, 27.12.2006, p. 36).

(6) Directiva 2011/24/UE a Parlamentului European și a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).

(7) Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, 23.11.1995, p. 31).

(8) Decizia 2010/48/CE a Consiliului din 26 noiembrie 2009 privind încheierea de către Comunitatea Europeană a Convenției Națiunilor Unite privind drepturile persoanelor cu handicap (JO L 23, 27.1.2010, p. 35).

(9) Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 de stabilire a cerințelor de acreditare și de supraveghere a pieței în ceea ce privește comercializarea produselor și de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30).

(10) Decizia 2009/767/CE a Comisiei din 16 octombrie 2009 de stabilire a unor măsuri de facilitare a utilizării procedurilor prin mijloace electronice prin intermediul ghișeelor unice în temeiul Directivei 2006/123/CE a Parlamentului European și a Consiliului privind serviciile în cadrul pieței interne (JO L 274, 20.10.2009, p. 36).

(11) Decizia 2011/130/UE a Comisei din 25 februarie 2011 de stabilire a unor cerințe minime pentru tratamentul transfrontalier al documentelor semnate electronic de autoritățile competente în temeiul Directivei 2006/123/CE a Parlamentului European și a Consiliului privind serviciile în cadrul pieței interne (JO L 53, 26.2.2011, p. 66).

(12) Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).

(13) Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO L 8, 12.1.2001, p. 1).

(14) JO C 28, 30.1.2013, p. 6.

(15) Directiva 2014/24/UE a Parlamentului European și a Consiliului din 26 februarie 2014 privind achizițiile publice și de abrogare a Directivei 2004/18/CE (JO L 94, 28.3.2014, p. 65).

ANEXA I

CERINȚE PENTRU CERTIFICATELE CALIFICATE PENTRU SEMNĂTURI ELECTRONICE

Certificatele calificate pentru semnături electronice conțin:

(a)	o indicație, cel puțin într-o formă adecvată pentru prelucrarea automată, că certificatul a fost emis ca certificat calificat pentru semnături electronice;

(b)

un set de date care reprezintă fără ambiguitate prestatorul de servicii de încredere calificat care emite certificatele calificate, care includ cel puțin statul membru în care este stabilit prestatorul respectiv; și

—	în cazul unei persoane juridice: denumirea și, după caz, numărul de înregistrare astfel cum se menționează în registrele oficiale;

—	în cazul unei persoane fizice: numele persoanei;

(c)	cel puțin numele semnatarului sau un pseudonim; în cazul în care se utilizează un pseudonim, acesta este indicat în mod clar;

(d)	datele de validare a semnăturilor electronice care corespund datelor de creare a semnăturilor electronice;

(e)	detalii privind începutul și sfârșitul perioadei de valabilitate a certificatului;

(f)	codul de identitate al certificatului care trebuie să fie unic pentru prestatorul de servicii de încredere calificat;

(g)	semnătura electronică avansată sau sigiliul electronic avansat al prestatorului de servicii de încredere calificat emitent;

(h)	locul în care certificatul care stă la baza semnăturii electronice avansate sau a sigiliului electronic avansat menționate la litera (g) este disponibil gratuit;

(i)	localizarea serviciilor care pot fi utilizate pentru a cunoaște statutul valabilității certificatului calificat;

(j)

în cazul în care datele de creare a semnăturilor electronice legate de datele de validare a semnăturilor electronice sunt situate într-un dispozitiv de creare a semnăturilor electronice calificat, o indicație corespunzătoare referitoare la aceasta, cel puțin într-o formă adecvată pentru prelucrarea automată.

ANEXA II

CERINȚE PENTRU DISPOZITIVELE DE CREARE A SEMNĂTURILOR ELECTRONICE CALIFICATE

Dispozitivele de creare a semnăturilor electronice calificate garantează, prin mijloace tehnice și procedurale adecvate, cel puțin că:

(a)	caracterul confidențial al datelor de creare a semnăturilor electronice utilizate pentru crearea semnăturii electronice este asigurat în mod rezonabil;

(b)	datele de creare a semnăturilor electronice utilizate pentru crearea semnăturii electronice pot, practic, să apară numai o dată;

(c)	există suficiente asigurări că datele de creare a semnăturilor electronice utilizate pentru crearea semnăturilor electronice nu pot să fie descoperite prin deducție și că semnătura electronică este protejată în mod fiabil împotriva falsificării utilizând tehnologia disponibilă în prezent;

(d)	datele de creare a semnăturilor electronice utilizate pentru crearea semnăturilor electronice pot să fie protejate în mod fiabil de către semnatarul legitim împotriva utilizării de către alte persoane.

Dispozitivele de creare a semnăturilor electronice calificate nu modifică datele care urmează să fie semnate sau nu împiedică prezentarea lor semnatarului înainte de a semna.

Generarea sau gestionarea datelor de creare a semnăturilor electronice în numele semnatarului se pot realiza numai de către un prestator de servicii de încredere calificat.

Fără a aduce atingere punctului 1 litera (d), prestatorii de servicii de încredere calificați care gestionează datele de creare a semnăturilor electronice în numele semnatarului pot duplica datele de creare a semnăturilor electronice numai în scopul de a le avea de rezervă, cu condiția ca următoarele cerințe să fie îndeplinite:

(a)	securitatea seturilor de date duplicate trebuie să fie la același nivel ca pentru seturile de date originale;

(b)	numărul seturilor de date duplicate nu depășește minimul necesar pentru a asigura continuitatea serviciului.

ANEXA III

CERINȚE PENTRU CERTIFICATELE CALIFICATE PENTRU SIGILIILE ELECTRONICE

Certificatele calificate pentru sigiliile electronice conțin:

(a)	o indicație, cel puțin într-o formă adecvată pentru prelucrarea automată, că certificatul a fost emis ca certificat calificat pentru sigilii electronice;

(b)

un set de date care reprezintă fără ambiguitate prestatorul de servicii de încredere calificat care emite certificatele calificate, care include cel puțin statul membru în care este stabilit prestatorul respectiv; și

—	în cazul unei persoane juridice: denumirea și, după caz, numărul de înregistrare astfel cum se menționează în registrele oficiale;

—	în cazul unei persoane fizice: numele persoanei;

(c)	cel puțin numele creatorului sigiliului și, după caz, numărul de înregistrare astfel cum se menționează în registrele oficiale;

(d)	datele de validare a sigiliilor electronice, care corespund datelor de creare a sigiliilor electronice;

(e)	detalii privind începutul și sfârșitul perioadei de valabilitate a certificatului;

(f)	codul de identitate al certificatului, care trebuie să fie unic pentru prestatorul de servicii de încredere calificat;

(g)	semnătura electronică avansată sau sigiliul electronic avansat al prestatorului de servicii de încredere calificat emitent;

(h)	locul în care certificatul care stă la baza semnăturii electronice avansate sau a sigiliului electronic avansat menționate la litera (g) este disponibil gratuit;

(i)	localizarea serviciilor care pot fi utilizate pentru a cunoaște statutul valabilității certificatului calificat;

(j)

în cazul în care datele de creare a sigiliilor electronice legate de datele de validare a sigiliilor electronice sunt situate într-un dispozitiv de creare a sigiliilor electronice calificat, o indicație corespunzătoare referitoare la aceasta, cel puțin într-o formă adecvată pentru prelucrarea automată.

ANEXA IV

CERINȚE PENTRU CERTIFICATELE CALIFICATE PENTRU AUTENTIFICAREA UNUI SITE INTERNET

Certificatele calificate pentru autentificarea unui site internet conțin:

(a)	o indicație, cel puțin într-o formă adecvată pentru prelucrarea automată, că certificatul a fost emis ca certificat calificat pentru autentificarea unui site internet;

(b)

—	în cazul unei persoane juridice: denumirea și, după caz, numărul de înregistrare astfel cum se menționează în registrele oficiale,

—	în cazul unei persoane fizice: numele persoanei;

(c)

în cazul persoanelor fizice: cel puțin numele persoanei căreia i s-a eliberat certificatul sau un pseudonim. În cazul în care se utilizează un pseudonim, acesta este indicat în mod clar;

în cazul persoanelor juridice: cel puțin denumirea persoanei juridice căreia i se eliberează certificatul și, după caz, numărul de înregistrare astfel cum se menționează în registrele oficiale;

(d)	elemente ale adresei persoanei fizice sau juridice căreia i s-a eliberat certificatul, incluzând cel puțin orașul și statul, și, dacă este cazul, în forma în care sunt înscrise în registrele oficiale;

(e)	numele domeniului (domeniilor) gestionat(e) de persoana fizică sau juridică căreia i s-a emis certificatul;

(f)	detalii privind începutul și sfârșitul perioadei de valabilitate a certificatului;

(g)	codul de identitate al certificatului, care trebuie să fie unic pentru prestatorul de servicii de încredere calificat;

(h)	semnătura electronică avansată sau sigiliul electronic avansat al prestatorului de servicii de încredere calificat emitent;

(i)	locul în care certificatul care stă la baza semnăturii electronice avansate sau a sigiliului electronic avansat menționate la litera (h) este disponibil gratuit;

(j)	localizarea serviciilor privind statutul valabilității certificatului care pot fi utilizate pentru a cunoaște statutul valabilității certificatului calificat.

whereas

(9) În majoritatea cazurilor, cetățenii nu pot utiliza identificarea electronică pentru a-și autentifica identitatea într-un alt stat membru din cauză că sistemele naționale de identificare electronică din țara lor nu sunt recunoscute în alte state membre.
Respectiva barieră electronică împiedică prestatorii de servicii să se bucure pe deplin de avantajele oferite de piața internă.
Mijloacele de identificare electronică recunoscute reciproc vor facilita prestarea transfrontalieră de numeroase servicii pe piața internă și vor permite întreprinderilor să își extindă activitatea peste granițe fără să se confrunte cu multe obstacole în interacțiunile cu autoritățile publice.

- = -

(14) Ar trebui stabilite în prezentul regulament unele condiții cu privire la care mijloace de identificare electronică trebuie să fie recunoscute și la modul în care sistemele de identificare electronică ar trebui să fie notificate.
Aceste condiții ar trebui să ajute statele membre să dobândească încrederea reciprocă necesară în sistemele lor de identificare electronică și să recunoască reciproc mijloacele de identificare electronică care intră sub incidența sistemelor lor notificate.
Ar trebui să se aplice principiul recunoașterii reciproce în cazul în care sistemul de identificare electronică al statului membru care notifică îndeplinește condițiile de notificare, iar notificarea a fost publicată în Jurnalul Oficial al Uniunii Europene.
Cu toate acestea, principiul recunoașterii reciproce ar trebui să vizeze numai autentificarea pentru un serviciu online.
Accesul la aceste servicii online și furnizarea lor finală către solicitant ar trebui să fie strâns legate de dreptul de a primi astfel de servicii în condițiile stabilite de legislația națională.

- = -

(17) Statele membre ar trebui să încurajeze sectorul privat să utilizeze în mod voluntar mijloace de identificare electronică în cadrul unui sistem notificat, în scopuri de identificare, atunci când este nevoie pentru servicii online sau pentru tranzacții electronice.
Posibilitatea de a utiliza aceste mijloace de identificare electronică ar permite sectorului privat să se bazeze pe identificarea și autentificarea electronică deja utilizată pe scară largă în multe state membre cel puțin pentru serviciile publice și să faciliteze accesul întreprinderilor și cetățenilor la serviciile lor online dincolo de frontiere.
Pentru a facilita utilizarea acestor mijloace de identificare electronică dincolo de frontiere de către sectorul privat, posibilitatea de autentificare furnizată de orice stat membru ar trebui să fie disponibilă beneficiarilor din sectorul privat stabiliți în afara teritoriului statului membru respectiv în aceleași condiții ca cele aplicate beneficiarilor din sectorul privat stabiliți în statul membru respectiv.
Prin urmare, în ceea ce privește beneficiarii din sectorul privat, statul membru care notifică poate defini condițiile de acces la mijloacele de autentificare.
Aceste condiții de acces pot stabili dacă mijloacele de autentificare aferente sistemului notificat sunt sau nu disponibile imediat pentru beneficiarii din sectorul privat.

- = -

(18) Prezentul regulament ar trebui să prevadă răspunderea statului membru care notifică, a părții care emite mijloacele de identificare electronică și a părții care aplică procedura de autentificare în cazul neîndeplinirii obligațiilor relevante în temeiul prezentului regulament.
Cu toate acestea, prezentul regulament ar trebui să fie aplicat în conformitate cu normele de drept intern privind răspunderea.
Prin urmare, aceasta nu aduce atingere respectivelor norme naționale privind, de exemplu, definiția prejudiciului sau normele de procedură aplicabile relevante, inclusiv sarcina probei.

- = -

(30) Statele membre ar trebui să desemneze un organism de supraveghere sau organisme de supraveghere pentru realizarea activităților de supraveghere în conformitate cu prezentul regulament.
Statele membre ar trebui să aibă, de asemenea, posibilitatea de a decide, pe baza unui acord reciproc cu alt stat membru, să desemneze un organism de supraveghere pe teritoriul acestui alt stat membru.

- = -

(42) Pentru a facilita supravegherea prestatorilor de servicii de încredere calificați, de exemplu, atunci când un furnizor își prestează serviciile pe teritoriul unui alt stat membru și nu face acolo obiectul supravegherii sau în cazul în care calculatoarele unui prestator sunt situate pe teritoriul unui alt stat membru decât cel în care este stabilit, ar trebui să fie instituit un sistem de asistență reciprocă între organismele de supraveghere din statele membre.

- = -

(68) Conceptul de „persoană juridică”, în conformitate cu dispozițiile din Tratatul privind funcționarea Uniunii Europene (TFUE) referitoare la stabilire, le dă operatorilor libertatea de a alege forma juridică pe care ei o consideră potrivită pentru a-și desfășura activitatea. În consecință, „persoană juridică”, în sensul din TFUE, înseamnă toate entitățile constituite în temeiul dreptului unui stat membru sau reglementate de acesta, indiferent de forma lor juridică.

- = -

keyboard_tab EIDAS 2014/0910 RO

EIDAS 2014/0910 RO