EIDAS 2014/0910 RO

(1) Atunci când este necesară o identificare electronică care utilizează un mijloc de identificare electronică și o autentificare în temeiul dreptului intern sau al practicii administrative naționale pentru a accesa un serviciu prestat online de un organism din sectorul public într-un stat membru, mijloacele de identificare electronică emise într-un alt stat membru sunt recunoscute în primul stat membru în scopul autentificării transfrontaliere a respectivului serviciu online, cu condiția să fie îndeplinite următoarele condiții:

(a)	mijloacele de identificare electronică să fie emise în cadrul unui sistem de identificare electronică inclus în lista publicată de Comisie în temeiul articolului 9;

(b)

nivelul de asigurare al respectivelor mijloace de identificare electronică să corespundă unui nivel de asigurare egal sau mai ridicat decât nivelul de asigurare impus de organismul din sectorul public relevant pentru a accesa respectivul serviciu online în primul stat membru, cu condiția ca nivelul de asigurare al mijloacelor de identificare electronică respective să corespundă nivelului de asigurare substanțial sau ridicat;

(c)	organismul din sectorul public relevant utilizează nivelul de asigurare „substanțial” sau „ridicat” în legătură cu accesarea online a serviciului respectiv.

Această recunoaștere trebuie să aibă loc în termen de cel mult 12 luni de la publicarea de către Comisie a listei menționate la primul paragraf litera (a).

(2) Mijloacele de identificare electronică eliberate în temeiul unui sistem de identificare electronică inclus în lista publicată de Comisie în conformitate cu articolul 9 și care corespund nivelului de asigurare scăzut pot fi recunoscute de către organismele din sectorul public în scopul autentificării transfrontaliere pentru serviciul furnizat online de către organismele respective.

Articolul 7

Eligibilitatea pentru notificarea sistemelor de identificare electronică

Un sistem de identificare electronică este eligibil pentru notificare în temeiul articolului 9 alineatul (1) în cazul în care sunt îndeplinite toate condițiile de mai jos:

(a)

mijloacele de identificare electronică din cadrul sistemului de identificare electronică sunt emise:

(i)	de statul membru care notifică;

(ii)	pe baza unui mandat din partea statului membru care notifică; sau

(iii)

independent de statul membru care notifică și sunt recunoscute de respectivul stat membru;

(b)	mijloacele de identificare electronică din cadrul sistemului de identificare electronică pot fi utilizate pentru a accesa cel puțin un serviciu care este prestat de un organism din sectorul public și care necesită identificarea electronică în statul membru care notifică;

(c)	sistemul de identificare electronică și mijloacele de identificare electronică emise în temeiul acestuia îndeplinesc cerințele aferente cel puțin unuia dintre nivelurile de asigurare prevăzute în actul de punere în aplicare menționat la articolul 8 alineatul (3);

(d)

statul membru care notifică se asigură că datele de identificare personală, reprezentând în mod unic persoana în cauză, sunt atribuite, în conformitate cu specificațiile, standardele și procedurile tehnice aferente nivelului de asigurare relevant prevăzut în actul de punere în aplicare menționat la articolul 8 alineatul (3), persoanei fizice sau juridice menționate la articolul 3 punctul 1 la momentul emiterii mijloacelor de identificare electronică din cadrul sistemului respectiv;

(e)

partea care emite mijloacele de identificare electronică din cadrul respectivului sistem se asigură că mijloacele de identificare electronică sunt atribuite persoanelor menționate la litera (d) de la prezentul articol, în conformitate cu specificațiile tehnice, standardele și procedurile aferente nivelului de asigurare corespunzător prevăzut în actul de punere în aplicare menționat la articolul 8 alineatul (3);

(f)

statul membru care notifică asigură disponibilitatea autentificării online, astfel încât orice beneficiar stabilit pe teritoriul altui stat membru să poată confirma datele de identificare personală primite în format electronic.

În cazul altor beneficiari decât organismele din sectorul public, statul membru care notifică poate defini condițiile de acces la mijlocul respectiv de autentificare. Autentificarea transfrontalieră este furnizată gratuit atunci când este efectuată în legătură cu un serviciu online prestat de un organism din sectorul public.

Statele membre nu impun nicio cerință tehnică specifică disproporționată beneficiarilor care intenționează să efectueze o astfel de autentificare, atunci când astfel de cerințe împiedică sau afectează semnificativ interoperabilitatea sistemelor de identificare electronică notificate;

(g)

cu cel puțin șase luni înaintea notificării în conformitate cu articolul 9 alineatul (1), statul membru care notifică furnizează celorlalte state membre, în scopul îndeplinirii obligației prevăzute la articolul 12 alineatul (5), o descriere a sistemului respectiv în conformitate cu modalitățile prevăzute în actele de punere în aplicare menționate la articolul 12 alineatul (7);

(h)	sistemul de identificare electronică îndeplinește cerințele prevăzute în actul de punere în aplicare menționat la articolul 12 alineatul (8).

Articolul 18

Asistență reciprocă

(1) organismele de supraveghere cooperează cu scopul de a face schimb de bune practici.

Pe baza unei solicitări justificate din partea unui alt organism de supraveghere, un organism de supraveghere acordă respectivului organism asistență astfel încât activitățile organismelor de supraveghere să poată fi desfășurate în mod coerent. Asistența reciprocă poate viza, în special, solicitările de informații și măsurile de supraveghere, cum ar fi solicitările de a desfășura inspecții legate de rapoartele de evaluare a conformității menționate la articolele 20 și 21.

(2) Un organism de supraveghere căruia i se adresează o solicitare de asistență poate respinge respectiva solicitare din oricare dintre următoarele motive:

(a)	organismul de supraveghere nu are competența de a acorda asistența solicitată;

(b)	asistența solicitată nu este proporțională cu activitățile de supraveghere ale organismului de supraveghere desfășurate în conformitate cu articolul 17;

(c)	acordarea asistenței solicitate ar contraveni prezentului regulament.

(3) După caz, statele membre pot autoriza organismele lor de supraveghere să efectueze anchete comune în care este implicat personalul din organismele de supraveghere ale celorlalte state membre. Mecanismele și procedurile pentru astfel de acțiuni în comun sunt convenite și stabilite de către statele membre în cauză, în conformitate cu dreptul lor intern.

Articolul 19

Cerințe de securitate aplicabile prestatorilor de servicii de încredere

(1) Prestatorii de servicii de încredere calificați și necalificați iau măsurile tehnice și organizaționale corespunzătoare pentru gestionarea riscurilor la adresa securității serviciilor de încredere pe care le prestează. Ținând cont de cele mai recente evoluții tehnologice, aceste măsuri garantează că nivelul securității este proporțional cu gradul de risc. În special, se iau măsuri pentru a preveni și minimiza impactul incidentelor legate de securitate și pentru a informa părțile interesate cu privire la efectele negative ale oricăror incidente de acest tip.

(2) Prestatorii de servicii de încredere calificați și necalificați notifică, fără întârzieri nejustificate, însă, în orice caz, în termen de 24 de ore după ce au aflat, organismului de supraveghere competent și, dacă este cazul, altor organisme relevante, cum sunt organismul național competent pentru securitatea informațiilor sau autoritatea pentru protecția datelor, orice încălcare a securității sau pierdere a integrității care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate de acesta.

Atunci când încălcarea securității sau pierderea integrității este de natură să afecteze în mod negativ o persoană fizică sau juridică căreia i-a fost prestat serviciul de încredere, prestatorul de servicii de încredere notifică, de asemenea, persoanei fizice sau juridice încălcarea securității sau pierderea integrității fără întârzieri nejustificate.

După caz, în special dacă o încălcare a securității sau o pierdere a integrității se referă la două sau mai multe state membre, organismul de supraveghere notificat informează organismele de supraveghere vizate din alte state membre și ENISA.

Organismul de supraveghere notificat informează publicul sau solicită prestatorului de servicii de încredere să facă acest lucru, în cazul în care consideră că dezvăluirea încălcării securității sau pierderea integrității servește interesului public.

(3) Organismul de supraveghere furnizează ENISA, o dată pe an, un rezumat al notificărilor privind încălcarea securității sau pierderea integrității primite de la prestatorii de servicii de încredere.

(4) Prin intermediul unor acte de punere în aplicare, Comisia poate:

(a)	elabora specificații suplimentare referitoare la măsurile menționate la alineatul (1); și

(b)	defini formatele și procedurile, inclusiv termenele, aplicabile în sensul alineatului (2).

Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

SECȚIUNEA 3

Servicii de încredere calificate

Articolul 20

Supravegherea prestatorilor de servicii de încredere calificați

(1) Prestatorii de servicii de încredere calificați sunt auditați, pe propria cheltuială, cel puțin o dată la 24 de luni, de către un organism de evaluare a conformității. Scopul auditului este de a confirma că prestatorii de servicii de încredere calificați și serviciile de încredere calificate pe care le prestează îndeplinesc cerințele prevăzute în prezentul regulament. Prestatorii de servicii de încredere calificați transmit raportul de evaluare a conformității care a rezultat organismului de supraveghere în termen de trei zile lucrătoare de la primirea lui.

(2) Fără a aduce atingere alineatului (1), organismul de supraveghere poate, în orice moment, să efectueze un audit sau să solicite unui organism de evaluare a conformității să efectueze o evaluare a conformității privind prestatorii de servicii de încredere calificați, pe cheltuiala prestatorilor de servcii de încredere respectivi, pentru a confirma că aceștia și serviciile de încredere calificate pe care le prestează îndeplinesc cerințele prevăzute în prezentul regulament. În cazul în care normele de protecție a datelor cu caracter personal par să fi fost încălcate, organismul de supraveghere informează autoritățile pentru protecția datelor cu privire la rezultatele auditurilor sale.

(3) În cazul în care organismul de supraveghere solicită prestatorului de servicii de încredere calificat să remedieze neîndeplinirea obligațiilor care îi revin în temeiul prezentului regulament, iar respectivul prestator nu acționează în consecință și, după caz, într-un termen stabilit de organismul de supraveghere, organismul de supraveghere, ținând seama în special de amploarea, de durata și de consecințele respectivei neîndepliniri, poate retrage statutul de calificat al respectivului prestator sau al serviciului prestat de acesta care este afectat și informează organismul menționat la articolul 22 alineatul (3) în scopul actualizării listelor sigure menționate la articolul 22 alineatul (1). Organismul de supraveghere informează prestatorul de servicii de încredere calificat cu privire la retragerea statutului de calificat, al său sau al serviciului în cauză.

(4) Comisia poate, prin intermediul unor acte de punere în aplicare, să stabilească numere de referință ale următoarelor standarde:

(a)	pentru acreditarea organismelor de evaluare a conformității și pentru raportul de evaluare a conformității menționat la alineatul (1);

(b)	privind normele de audit în temeiul cărora organismele de evaluare a conformității își vor desfășura evaluarea conformității prestatorilor de servicii de încredere calificați, astfel cum se menționează la alineatul (1).

Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

Articolul 30

Certificarea dispozitivelor de creare a semnăturilor electronice calificate

(1) Conformitatea dispozitivelor de creare a semnăturii electronice calificate cu cerințele prevăzute în anexa II este certificată de organisme publice sau private adecvate desemnate de statele membre.

(2) Statele membre notifică Comisiei denumirile și adresele organismului public sau privat menționat la alineatul (1). Comisia pune informațiile respective la dispoziția statelor membre.

(3) Certificarea menționată la alineatul (1) se bazează pe unul dintre următoarele elemente:

(a)	un proces de evaluare de securitate efectuat în conformitate cu unul dintre standardele pentru evaluarea securității produselor din domeniul tehnologiei informației incluse în lista instituită în conformitate cu al doilea paragraf; sau

(b)

un alt proces decât procesul prevăzut la litera (a), cu condiția ca acest proces să utilizeze niveluri de securitate comparabile și ca organismul public sau privat menționat la alineatul (1) să notifice Comisiei respectivul proces. Procesul respectiv poate fi utilizat numai în absența standardelor menționate la litera (a) sau dacă un proces de evaluare de securitate menționat la litera (a) este în curs de desfășurare.

Comisia stabilește, prin intermediul unor acte de punere în aplicare, lista standardelor pentru evaluarea de securitate a produselor din domeniul tehnologiei informației menționate la litera (a). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

(4) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 47 privind stabilirea de criterii specifice care urmează să fie îndeplinite de către organismele desemnate menționate la alineatul (1) de la prezentul articol.

Articolul 31

Publicarea unei liste a dispozitivelor de creare a semnăturilor electronice certificate și calificate

(1) Statele membre notifică Comisiei, fără întârzieri nejustificate și în termen de maximum o lună de la încheierea certificării, informații cu privire la dispozitivele de creare a semnăturilor electronice calificate care au fost certificate de către organismele menționate la articolul 30 alineatul (1). De asemenea, statele membre notifică Comisiei, fără întârziere și în termen de maximum o lună de la anularea certificării, informații cu privire la dispozitivele de creare a semnăturii electronice care nu mai sunt certificate.

(2) Pe baza informațiilor primite, Comisia stabilește, publică și menține o listă a dispozitivelor de creare a semnăturilor electronice certificate și calificate.

(3) Comisia poate, prin intermediul unor acte de punere în aplicare, să definească formatele și procedurile aplicabile în sensul alineatului (1). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).

whereas

(11) Prezentul regulament ar trebui aplicat în deplină concordanță cu principiile referitoare la protecția datelor cu caracter personal prevăzute de Directiva 95/46/CE a Parlamentului European și a Consiliului (7). În această privință, având în vedere principiul recunoașterii reciproce instituit de prezentul regulament, autentificarea pentru un serviciu online ar trebui să vizeze numai prelucrarea acelor date de identificare care sunt adecvate și relevante și care nu sunt excesive în vederea acordării accesului la respectivul serviciu online.
Mai mult, cerințele prevăzute în Directiva 95/46/CE privind confidențialitatea și securitatea prelucrării ar trebui să fie respectate de către prestatorii de servicii de încredere și de către organismele de supraveghere.

- = -

(31) organismele de supraveghere ar trebui să coopereze cu autoritățile de protecție a datelor, de exemplu prin informarea acestora cu privire la rezultatele auditurilor prestatorilor de servicii de încredere calificați, în cazul în care se presupune că normele de protecție a datelor cu caracter personal au fost încălcate.
Informațiile furnizate ar trebui să vizeze în special incidentele privind securitatea și încălcarea securității datelor cu caracter personal.

- = -

(40) Pentru a permite Comisiei și statelor membre să evalueze eficiența mecanismului de supraveghere consolidată introdus prin prezentul regulament, ar trebui să li se solicite organismelor de supraveghere să prezinte un raport cu privire la activitățile lor.
Acest lucru ar contribui la facilitarea schimbului de bune practici între organismele de supraveghere și ar asigura verificarea punerii în aplicare în mod consecvent și eficient în toate statele membre a cerințelor esențiale privind supravegherea.

- = -

(41) Pentru a garanta sustenabilitatea și durabilitatea serviciilor de încredere calificate și pentru a spori încrederea utilizatorilor în continuitatea serviciilor de încredere calificate, organismele de supraveghere ar trebui să verifice existența și aplicarea corectă a dispozițiilor privind planurile de încetare a serviciului în cazurile în care prestatorii de servicii de încredere calificați își încetează activitățile.

- = -

(42) Pentru a facilita supravegherea prestatorilor de servicii de încredere calificați, de exemplu, atunci când un furnizor își prestează serviciile pe teritoriul unui alt stat membru și nu face acolo obiectul supravegherii sau în cazul în care calculatoarele unui prestator sunt situate pe teritoriul unui alt stat membru decât cel în care este stabilit, ar trebui să fie instituit un sistem de asistență reciprocă între organismele de supraveghere din statele membre.

- = -

(70) Pentru a completa anumite aspecte tehnice detaliate ale prezentului regulament într-o manieră flexibilă și rapidă, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui să fie delegată Comisiei în ceea ce privește criteriile care trebuie respectate de către organismele responsabile de certificarea dispozitivelor de creare a semnăturilor electronice calificate.
Este deosebit de important ca, pe parcursul activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți.
Comisia, atunci când pregătește și elaborează acte delegate, ar trebui să asigure o transmitere simultană, în timp util și adecvată a documentelor relevante către Parlamentul European și Consiliu.

- = -

(72) Atunci când adoptă acte delegate sau de punere în aplicare, Comisia ar trebui să țină seama în mod corespunzător de standardele și specificațiile tehnice elaborate de organizațiile și organismele de standardizare europene și internaționale, în special de Comitetul European pentru Standardizare (CEN), Institutul European de Standardizare în Telecomunicații (ETSI), Organizația Internațională de Standardizare (ISO) și Uniunea Internațională a Telecomunicațiilor (UIT), cu scopul de a asigura un nivel ridicat de securitate și interoperabilitate a serviciilor electronice de identificare și de încredere.

- = -

keyboard_tab EIDAS 2014/0910 RO

EIDAS 2014/0910 RO