keyboard_tab EIDAS 2014/0910 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 7 Člen 3 Opredelitev pojmov
- 1 Člen 12 Sodelovanje in interoperabilnost
- 2 Člen 19 Varnostne zahteve za ponudnike storitev zaupanja
- 1 Člen 24 Zahteve za ponudnike kvalificiranih storitev zaupanja
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
ELEKTRONSKA IDENTIFIKACIJA
POGLAVJE IIII
STORITVE ZAUPANJA
ODDELEK 1
Splošne določbe
ODDELEK 2
Nadzor
ODDELEK 3
Kvalificirane storitve zaupanja
ODDELEK 4
Elektronski podpisi
ODDELEK 5
Elektronski žigi
ODDELEK 6
Elektronski časovni žig
ODDELEK 7
Storitev elektronske priporočene dostave
ODDELEK 8
Avtentikacija spletišč
POGLAVJE IV
ELEKTRONSKI DOKUMENTI
POGLAVJE V
PRENOS POOBLASTILA IN IZVEDBENE DOLOČBE
POGLAVJE VI
KONČNE DOLOČBE
- storitev 42
- zaupanja 40
- pomeni 40
- elektronski 30
- kvalificiranih 21
- elektronske 21
- elektronskega 21
- osebo 18
- zahteve 18
- člena 17
- skladu 16
- ustvarjanje 16
- osebe 16
- podatkov 15
- identifikacije 14
- potrdilo 13
- podatke 13
- pravno 12
- organ 12
- fizično 11
- izpolnjuje 11
- obliki 10
- ponudnik 10
- žiga 8
- varnosti 8
- kvalificiranega 8
- storitve 7
- uporablja 7
- žig 7
- potrdila 7
- podpisa 7
- celovitosti 7
- veljavnosti 7
- elektronsko 7
- žig“ 7
- odstavka 6
- zanesljivosti 6
- avtentikacijo 6
- shem 6
- nadzorni 6
- zagotavlja 6
- potrjevanje 6
- potrdil 6
- kadar 6
- fizične 6
- zvezi 6
- več 5
- zagotavljajo 5
- priloge 5
- pravne 5
Člen 3
Opredelitev pojmov
V tej uredbi se uporabljajo naslednje opredelitve pojmov:
| 1. | „elektronska identifikacija“ pomeni postopek uporabe identifikacijskih podatkov osebe v elektronski obliki, ki enolično predstavljajo bodisi fizično ali pravno osebo bodisi fizično osebo, ki zastopa pravno osebo; |
| 2. | „sredstvo elektronske identifikacije“ pomeni materialno in/ali nematerialno enoto, ki vsebuje identifikacijske podatke osebe in se uporablja za avtentikacijo pri spletnih storitvah; |
| 3. | „identifikacijski podatki osebe“ pomeni niz podatkov, ki omogočajo, da se določi identiteta fizične ali pravne osebe ali fizične osebe, ki zastopa pravno osebo; |
| 4. | „shema elektronske identifikacije“ pomeni sistem za elektronsko identifikacijo, v okviru katerega se fizični ali pravni osebi ali fizični osebi, ki zastopa pravno osebo, izdajo sredstva elektronske identifikacije; |
| 5. | „avtentikacija“ pomeni elektronski postopek, ki omogoča potrditev elektronske identifikacije fizične ali pravne osebe ali izvora in celovitosti podatkov v elektronski obliki; |
| 6. | „zanašajoča se stranka“ pomeni fizično ali pravno osebo, ki se zanaša na elektronsko identifikacijo ali storitev zaupanja; |
| 7. | „organ javnega sektorja“ pomeni državni, regionalni ali lokalni organ, osebo javnega prava ali združenje, ki jo/ga ustanovi eden ali več takšnih organov ali ena ali več takšnih oseb javnega prava, ali zasebni subjekt, ki ga je vsaj eden od teh organov, oseb ali združenj pooblastil za zagotavljanje javnih storitev, kadar deluje v okviru tega pooblastila; |
| 8. | „oseba javnega prava“, pomeni osebo, opredeljeno v točki 4 člena 2(1) Direktive 2014/24/EU Evropskega parlamenta in Sveta (15); |
| 9. | „podpisnik“ pomeni fizično osebo, ki ustvari elektronski podpis; |
| 10. | „elektronski podpis“ pomeni niz podatkov v elektronski obliki, ki so dodani k drugim podatkom v elektronski obliki ali so z njimi logično povezani in jih podpisnik uporablja za podpisovanje; |
| 11. | „napredni elektronski podpis“ pomeni elektronski podpis, ki izpolnjuje zahteve iz člena 26; |
| 12. | „kvalificirani elektronski podpis“ pomeni napredni elektronski podpis, ki se ustvari z napravo za ustvarjanje kvalificiranega elektronskega podpisa in temelji na kvalificiranem potrdilu za elektronske podpise; |
| 13. | „podatki za ustvarjanje elektronskega podpisa“ pomeni enolične podatke, ki jih podpisnik uporablja za ustvarjanje elektronskega podpisa; |
| 14. | „potrdilo za elektronski podpis“ pomeni elektronsko potrdilo, ki povezuje podatke za potrjevanje veljavnosti elektronskega podpisa s fizično osebo in potrjuje vsaj ime ali psevdonim te osebe; |
| 15. | „kvalificirano potrdilo za elektronski podpis“ pomeni potrdilo za elektronske podpise, ki ga izda ponudnik kvalificiranih storitev zaupanja in izpolnjuje zahteve iz Priloge I; |
| 16. | „storitev zaupanja“ pomeni elektronsko storitev, ki se praviloma opravlja za plačilo in vključuje:
|
| 17. | „kvalificirana storitev zaupanja“ pomeni storitev zaupanja, ki izpolnjuje zadevne zahteve iz te uredbe; |
| 18. | „organ za ugotavljanje skladnosti“ pomeni organ, opredeljen v točki 13 člena 2 Uredbe (ES) št. 765/2008, ki je akreditiran v skladu z navedeno uredbo in je pristojen za ugotavljanje skladnosti ponudnika kvalificiranih storitev zaupanja in kvalificiranih storitev zaupanja, ki jih ta zagotavlja; |
| 19. | „ponudnik storitev zaupanja“ pomeni fizično ali pravno osebo, ki zagotavlja eno ali več storitev zaupanja, kot ponudnik kvalificiranih ali nekvalificiranih storitev zaupanja; |
| 20. | „ponudnik kvalificiranih storitev zaupanja“ pomeni ponudnika storitev zaupanja, ki zagotavlja eno ali več kvalificiranih storitev zaupanja in mu nadzorni organ dodeli kvalificirani status; |
| 21. | „izdelek“ pomeni strojno ali programsko opremo ali ustrezne sestavne dele strojne ali programske opreme, katerih uporaba je namenjena zagotavljanju storitev zaupanja; |
| 22. | „naprava za ustvarjanje elektronskega podpisa“ pomeni konfigurirano programsko ali strojno opremo, ki se uporablja za ustvarjanje elektronskega podpisa; |
| 23. | „naprava za ustvarjanje kvalificiranega elektronskega podpisa“ pomeni napravo za ustvarjanje elektronskega podpisa, ki izpolnjuje zahteve iz Priloge II; |
| 24. | „ustvarjalec žiga“ pomeni pravno osebo, ki ustvari elektronski žig; |
| 25. | „elektronski žig“ pomeni niz podatkov v elektronski obliki, ki so dodani k drugim podatkom v elektronski obliki ali so z njimi logično povezani, da se zagotovita izvor in celovitost povezanih podatkov; |
| 26. | „napredni elektronski žig“ pomeni elektronski žig, ki izpolnjuje zahteve iz člena 36; |
| 27. | „kvalificirani elektronski žig“ pomeni napredni elektronski žig, ki se ustvari z napravo za ustvarjanje kvalificiranega elektronskega žiga in temelji na kvalificiranem potrdilu za elektronski žig; |
| 28. | „podatki za ustvarjanje elektronskega žiga“ pomenijo enolične podatke, ki jih ustvarjalec elektronskega žiga uporabi za ustvarjanje elektronskega žiga; |
| 29. | „potrdilo za elektronski žig“ pomeni elektronsko potrdilo, ki povezuje podatke za potrjevanje veljavnosti elektronskega žiga s pravno osebo in potrjuje ime te osebe; |
| 30. | „kvalificirano potrdilo za elektronski žig“ pomeni potrdilo za elektronski žig, ki ga izda ponudnik kvalificiranih storitev zaupanja in izpolnjuje zahteve iz Priloge III; |
| 31. | „naprava za ustvarjanje elektronskega žiga“ pomeni konfigurirano programsko ali strojno opremo, ki se uporablja za ustvarjanje elektronskega žiga; |
| 32. | „naprava za ustvarjanje kvalificiranega elektronskega žiga“ pomeni napravo za ustvarjanje elektronskega žiga, ki smiselno izpolnjuje zahteve iz Priloge II; |
| 33. | „elektronski časovni žig“ pomeni podatke v elektronski obliki, ki druge podatke v elektronski obliki povezujejo z določenim trenutkom in tako zagotavljajo dokaz, da so slednji podatki v tistem trenutku obstajali; |
| 34. | „kvalificirani elektronski časovni žig“ pomeni elektronski časovni žig, ki izpolnjuje zahteve iz člena 42; |
| 35. | „elektronski dokument“ pomeni kakršno koli vsebino, shranjeno v elektronski obliki, zlasti besedilo ali zvočni, vizualni ali avdiovizualni zapis; |
| 36. | „storitev elektronske priporočene dostave“ pomeni storitev, ki omogoča prenos podatkov med tretjimi stranmi z elektronskimi sredstvi, zagotavlja dokaze o ravnanju s prenesenimi podatki, vključno z dokazilom o oddaji in prejemu podatkov, ter prenesene podatke varuje pred izgubo, krajo, poškodbo ali kakršno koli nepooblaščeno spremembo; |
| 37. | „kvalificirana storitev elektronske priporočene dostave“ pomeni storitev elektronske priporočene dostave, ki izpolnjuje zahteve iz člena 44; |
| 38. | „potrdilo za avtentikacijo spletišč“ pomeni potrdilo, ki omogoča avtentikacijo spletišča in spletišče povezuje s fizično ali pravno osebo, ki se ji izda potrdilo; |
| 39. | „kvalificirano potrdilo za avtentikacijo spletišč“ pomeni potrdilo za avtentikacijo spletišč, ki ga izda ponudnik kvalificiranih storitev zaupanja in izpolnjuje zahteve iz Priloge IV; |
| 40. | „podatki za potrjevanje veljavnosti“ pomeni podatke, ki se uporabljajo za potrjevanje veljavnosti elektronskega podpisa ali elektronskega žiga; |
| 41. | „potrjevanje veljavnosti“ pomeni postopek preverjanja in potrditve, da je elektronski podpis ali žig veljaven. |
Člen 12
Sodelovanje in interoperabilnost
1. Nacionalne sheme elektronske identifikacije, priglašene v skladu s členom 9(1), so interoperabilne.
2. Za namene odstavka 1 se vzpostavi interoperabilnostni okvir.
3. Interoperabilnostni okvir izpolnjuje naslednja merila:
| (a) | prizadeva si biti tehnološko nevtralen in ne diskriminira med posebnimi nacionalnimi tehničnimi rešitvami za elektronsko identifikacijo znotraj države članice; |
| (b) | upošteva evropske in mednarodne standarde, kadar je mogoče; |
| (c) | lajša izvajanje načela vgrajene zasebnosti, in |
| (d) | zagotavlja, da so osebni podatki obdelani v skladu z Direktivo 95/46/ES. |
4. Interoperabilnostni okvir sestavljajo:
| (a) | sklicevanje na minimalne tehnične zahteve, povezane z ravnmi zanesljivosti iz člena 8; |
| (b) | določitev nacionalnih ravni zanesljivosti priglašenih shem elektronske identifikacije glede na ravni zanesljivosti iz člena 8; |
| (c) | sklicevanje na minimalne tehnične zahteve glede interoperabilnosti; |
| (d) | sklicevanje na minimalni niz identifikacijskih podatkov osebe, ki enolično predstavljajo fizično ali pravno osebo in so dostopni v okviru shem elektronske identifikacije; |
| (e) | poslovnik; |
| (f) | ureditev za reševanje sporov, in |
| (g) | skupni varnostni standardi delovanja. |
5. Države članice sodelujejo na naslednjih področjih:
| (a) | interoperabilnost shem elektronske identifikacije, priglašenih v skladu s členom 9(1), in shem elektronske identifikacije, ki jih države članice nameravajo priglasiti, ter |
| (b) | varnost shem elektronske identifikacije. |
6. Sodelovanje med državami članicami vključuje:
| (a) | izmenjavo informacij, izkušenj in dobrih praks v zvezi s shemami elektronske identifikacije in zlasti tehničnimi zahtevami, povezanimi z interoperabilnostjo in ravnmi zanesljivosti; |
| (b) | izmenjavo informacij, izkušenj in dobrih praks v zvezi z delom z ravnmi zanesljivosti za sheme elektronske identifikacije iz člena 8; |
| (c) | medsebojni strokovni pregled shem elektronske identifikacije, zajetih s to uredbo, in |
| (d) | preverjanje zadevnega razvoja v sektorju elektronske identifikacije. |
7. Komisija do 18. marca 2015 z izvedbenimi akti določi potrebno postopkovno ureditev za lažje sodelovanje med državami članicami, določeno v odstavkih 5 in 6, da se spodbudi visoka raven zaupanja in varnosti, ki ustreza stopnji nevarnosti.
8. Komisija do 18. septembra 2015 za določitev enotnih pogojev izvajanja zahteve iz odstavka 1 sprejme izvedbene akte o interoperabilnostnem okviru, opredeljenem v odstavku 4, pri tem pa upošteva merila iz odstavka 3 in rezultate sodelovanja med državami članicami.
9. Izvedbeni akti iz odstavkov 7 in 8 tega člena se sprejmejo v skladu s postopkom pregleda iz člena 48(2).
POGLAVJE IIII
STORITVE ZAUPANJA
ODDELEK 1
Splošne določbe
Člen 19
Varnostne zahteve za ponudnike storitev zaupanja
1. Ponudniki kvalificiranih in nekvalificiranih storitev zaupanja sprejmejo ustrezne tehnične in organizacijske ukrepe za obvladovanje nevarnosti, povezanih z varnostjo storitev zaupanja, ki jih zagotavljajo. Ti ukrepi ob upoštevanju najnovejših tehnoloških dosežkov zagotavljajo, da je raven varnosti sorazmerna s stopnjo nevarnosti. Sprejmejo se zlasti zato, da bi preprečili in čim bolj zmanjšali vpliv varnostnih incidentov ter deležnike obvestili o škodljivih učinkih takih incidentov.
2. Ponudniki kvalificiranih in nekvalificiranih storitev zaupanja o vsaki kršitvi varnosti ali izgubi celovitosti, ki znatno vpliva na zagotovljeno storitev zaupanja ali na osebne podatke, vsebovane v njej, brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po ugotovitvi, uradno obvestijo nadzorni organ, po potrebi pa tudi druge pristojne organe, kot je pristojni nacionalni organ za varnost informacij ali organ za varstvo podatkov.
Kadar je verjetno, da bo kršitev varnosti ali izguba celovitosti negativno vplivala na fizično ali pravno osebo, ki ji je bila zagotovljena storitev zaupanja, ponudnik storitev zaupanja o kršitvi varnosti ali izgubi celovitosti brez nepotrebnega odlašanja uradno obvesti tudi fizično ali pravno osebo.
Uradno obveščeni nadzorni organ po potrebi obvesti nadzorne organe drugih zadevnih držav članic in agencijo ENISA, zlasti če kršitev varnosti ali izguba celovitosti zadeva dve ali več držav članic.
Uradno obveščeni nadzorni organ o tem obvesti javnost ali to zahteva od ponudnika storitev zaupanja, kadar ugotovi, da je razkritje kršitve varnosti ali izgube celovitosti v javnem interesu.
3. Nadzorni organ agenciji ENISA enkrat na leto predloži povzetek uradnih obvestil o kršitvi varnosti in izgubi celovitosti, ki jih je prejel od ponudnikov storitev zaupanja.
4. Komisija lahko z izvedbenimi akti:
| (a) | dodatno opredeli ukrepe iz odstavka 1 ter |
| (b) | določi oblike in postopke, vključno z roki, ki se uporabljajo za namene odstavka 2. |
Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).
ODDELEK 3
Kvalificirane storitve zaupanja
Člen 24
Zahteve za ponudnike kvalificiranih storitev zaupanja
1. Ob izdaji kvalificiranega potrdila za storitev zaupanja ponudnik kvalificiranih storitev zaupanja z ustreznimi sredstvi in v skladu z nacionalnim pravom preveri identiteto in po potrebi druge posebne lastnosti fizične ali pravne osebe, za katero se izdaja kvalificirano potrdilo.
Ponudnik kvalificiranih storitev zaupanja podatke iz prvega pododstavka preveri bodisi neposredno ali prek tretje osebe v skladu z nacionalnim pravom:
| (a) | s fizično prisotnostjo fizične osebe ali pooblaščenega predstavnika pravne osebe ali |
| (b) | na daljavo, s pomočjo sredstev elektronske identifikacije, v zvezi s katerimi je bila pred izdajo kvalificiranega potrdila zagotovljena fizična prisotnost fizične osebe ali pooblaščenega predstavnika pravne osebe in ki izpolnjujejo zahteve iz člena 8 v zvezi s „srednjo“ ali „visoko“ ravnjo zanesljivosti, ali |
| (c) | s potrdilom kvalificiranega elektronskega podpisa ali kvalificiranega elektronskega žiga, izdanega v skladu s točko (a) ali (b), ali |
| (d) | s pomočjo drugih načinov identifikacije, ki so priznani na nacionalni ravni in zagotavljajo enakovredno zanesljivost kakor fizična prisotnost. Enakovredno zanesljivost potrdi organ za ugotavljanje skladnosti. |
2. Ponudnik kvalificiranih storitev zaupanja, ki zagotavlja kvalificirane storitve zaupanja:
| (a) | obvesti nadzorni organ o vsaki spremembi pri zagotavljanju svojih kvalificiranih storitev zaupanja ter o nameri o prenehanju opravljanja teh dejavnosti; |
| (b) | zaposluje osebje in po potrebi podizvajalce, ki imajo potrebno strokovno znanje, izkušnje in kvalifikacije ter so zanesljivi in ki so se udeležili ustreznega usposabljanja v zvezi z varnostjo in pravili o varstvu osebnih podatkov ter uporabljajo upravne in upravljavske postopke, ki so v skladu z evropskimi ali mednarodnimi standardi; |
| (c) | kar zadeva tveganje odškodninske odgovornosti v skladu s členom 13, ohranja zadostna finančna sredstva in/ali pridobi ustrezno zavarovanje odgovornosti v skladu z nacionalnim pravom; |
| (d) | pred vstopom v pogodbeno razmerje vsako osebo, ki želi uporabljati kvalificirano storitev zaupanja, jasno in razumljivo obvesti o natančnih splošnih pogojih uporabe zadevne storitve, tudi o morebitnih omejitvah njene uporabe; |
| (e) | uporablja zaupanja vredne sisteme in izdelke, ki so zaščiteni pred spreminjanjem ter zagotavljajo tehnično varnost in zanesljivost postopkov, pri katerih se uporabljajo; |
| (f) | uporablja zaupanja vredne sisteme za shranjevanje podatkov, ki jih prejme, v preverljivi obliki, tako da:
|
| (g) | sprejme ustrezne ukrepe proti ponarejanju in kraji podatkov; |
| (h) | v ustreznem časovnem obdobju, tudi potem, ko je ponudnik kvalificiranih storitev zaupanja prenehal opravljati dejavnosti, beleži vse pomembne informacije o podatkih, ki jih je izdal in prejel ponudnik kvalificiranih storitev zaupanja, in ohranja dostop do njih, zlasti da se zagotovijo dokazi v pravnih postopkih in neprekinjenost storitve. Beleženje je lahko elektronsko; |
| (i) | ima posodobljen načrt za prenehanje zagotavljanja storitve, da se zagotovi neprekinjenost storitve v skladu z določbami, ki jih preveri nadzorni organ v skladu s točko (i) člena 17(4); |
| (j) | zagotovi zakonito obdelavo osebnih podatkov v skladu z Direktivo 95/46/ES; |
| (k) | v primeru ponudnikov kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila, vzpostavi in posodablja podatkovno zbirko potrdil. |
3. Če ponudnik kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, sklene, da se potrdilo prekliče, tak preklic zabeleži v svoji podatkovni zbirki potrdil in pravočasno, v vsakem primeru pa v 24 urah po prejetju zahtevka, objavi, da je potrdilo preklicano. Preklic začne učinkovati takoj po objavi.
4. V zvezi z odstavkom 3 ponudniki kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila, vsaki zanašajoči se stranki zagotovijo informacije o veljavnosti ali preklicu kvalificiranih potrdil, ki so jih izdali. Te informacije so vsaj za posamezna potrdila na voljo kadar koli in tudi po izteku veljavnosti potrdila, in sicer na zanesljiv, brezplačen in učinkovit avtomatiziran način.
5. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za zaupanja vredne sisteme in izdelke, ki izpolnjujejo zahteve iz točk (e) in (f) odstavka 2 tega člena. Zahteve iz tega člena veljajo za izpolnjene, kadar zaupanja vredni sistemi in izdelki izpolnjujejo te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).
ODDELEK 4
Elektronski podpisi
whereas