EIDAS 2014/0910 SL

1.	„elektronska identifikacija“ pomeni postopek uporabe identifikacijskih podatkov osebe v elektronski obliki, ki enolično predstavljajo bodisi fizično ali pravno osebo bodisi fizično osebo, ki zastopa pravno osebo;

2.	„sredstvo elektronske identifikacije“ pomeni materialno in/ali nematerialno enoto, ki vsebuje identifikacijske podatke osebe in se uporablja za avtentikacijo pri spletnih storitvah;

3.	„identifikacijski podatki osebe“ pomeni niz podatkov, ki omogočajo, da se določi identiteta fizične ali pravne osebe ali fizične osebe, ki zastopa pravno osebo;

4.	„shema elektronske identifikacije“ pomeni sistem za elektronsko identifikacijo, v okviru katerega se fizični ali pravni osebi ali fizični osebi, ki zastopa pravno osebo, izdajo sredstva elektronske identifikacije;

5.	„avtentikacija“ pomeni elektronski postopek, ki omogoča potrditev elektronske identifikacije fizične ali pravne osebe ali izvora in celovitosti podatkov v elektronski obliki;

6.	„zanašajoča se stranka“ pomeni fizično ali pravno osebo, ki se zanaša na elektronsko identifikacijo ali storitev zaupanja;

„organ javnega sektorja“ pomeni državni, regionalni ali lokalni organ, osebo javnega prava ali združenje, ki jo/ga ustanovi eden ali več takšnih organov ali ena ali več takšnih oseb javnega prava, ali zasebni subjekt, ki ga je vsaj eden od teh organov, oseb ali združenj pooblastil za zagotavljanje javnih storitev, kadar deluje v okviru tega pooblastila;

8.	„oseba javnega prava“, pomeni osebo, opredeljeno v točki 4 člena 2(1) Direktive 2014/24/EU Evropskega parlamenta in Sveta (15);

9.	„podpisnik“ pomeni fizično osebo, ki ustvari elektronski podpis;

10.	„elektronski podpis“ pomeni niz podatkov v elektronski obliki, ki so dodani k drugim podatkom v elektronski obliki ali so z njimi logično povezani in jih podpisnik uporablja za podpisovanje;

11.	„napredni elektronski podpis“ pomeni elektronski podpis, ki izpolnjuje zahteve iz člena 26;

12.	„kvalificirani elektronski podpis“ pomeni napredni elektronski podpis, ki se ustvari z napravo za ustvarjanje kvalificiranega elektronskega podpisa in temelji na kvalificiranem potrdilu za elektronske podpise;

13.	„podatki za ustvarjanje elektronskega podpisa“ pomeni enolične podatke, ki jih podpisnik uporablja za ustvarjanje elektronskega podpisa;

14.	„potrdilo za elektronski podpis“ pomeni elektronsko potrdilo, ki povezuje podatke za potrjevanje veljavnosti elektronskega podpisa s fizično osebo in potrjuje vsaj ime ali psevdonim te osebe;

15.	„kvalificirano potrdilo za elektronski podpis“ pomeni potrdilo za elektronske podpise, ki ga izda ponudnik kvalificiranih storitev zaupanja in izpolnjuje zahteve iz Priloge I;

16.

„storitev zaupanja“ pomeni elektronsko storitev, ki se praviloma opravlja za plačilo in vključuje:

(a)	ustvarjanje, preverjanje in potrjevanje veljavnosti elektronskih podpisov, elektronskih žigov ali elektronskih časovnih žigov, storitev elektronske priporočene dostave in potrdil, povezanih s temi storitvami, ali

(b)	ustvarjanje, preverjanje in potrjevanje veljavnosti potrdil za avtentikacijo spletišč ali

(c)	hrambo elektronskih podpisov, žigov ali potrdil, povezanih s temi storitvami;

17.	„kvalificirana storitev zaupanja“ pomeni storitev zaupanja, ki izpolnjuje zadevne zahteve iz te uredbe;

18.	„organ za ugotavljanje skladnosti“ pomeni organ, opredeljen v točki 13 člena 2 Uredbe (ES) št. 765/2008, ki je akreditiran v skladu z navedeno uredbo in je pristojen za ugotavljanje skladnosti ponudnika kvalificiranih storitev zaupanja in kvalificiranih storitev zaupanja, ki jih ta zagotavlja;

19.	„ponudnik storitev zaupanja“ pomeni fizično ali pravno osebo, ki zagotavlja eno ali več storitev zaupanja, kot ponudnik kvalificiranih ali nekvalificiranih storitev zaupanja;

20.	„ponudnik kvalificiranih storitev zaupanja“ pomeni ponudnika storitev zaupanja, ki zagotavlja eno ali več kvalificiranih storitev zaupanja in mu nadzorni organ dodeli kvalificirani status;

21.	„izdelek“ pomeni strojno ali programsko opremo ali ustrezne sestavne dele strojne ali programske opreme, katerih uporaba je namenjena zagotavljanju storitev zaupanja;

22.	„naprava za ustvarjanje elektronskega podpisa“ pomeni konfigurirano programsko ali strojno opremo, ki se uporablja za ustvarjanje elektronskega podpisa;

23.	„naprava za ustvarjanje kvalificiranega elektronskega podpisa“ pomeni napravo za ustvarjanje elektronskega podpisa, ki izpolnjuje zahteve iz Priloge II;

24.	„ustvarjalec žiga“ pomeni pravno osebo, ki ustvari elektronski žig;

25.	„elektronski žig“ pomeni niz podatkov v elektronski obliki, ki so dodani k drugim podatkom v elektronski obliki ali so z njimi logično povezani, da se zagotovita izvor in celovitost povezanih podatkov;

26.	„napredni elektronski žig“ pomeni elektronski žig, ki izpolnjuje zahteve iz člena 36;

27.	„kvalificirani elektronski žig“ pomeni napredni elektronski žig, ki se ustvari z napravo za ustvarjanje kvalificiranega elektronskega žiga in temelji na kvalificiranem potrdilu za elektronski žig;

28.	„podatki za ustvarjanje elektronskega žiga“ pomenijo enolične podatke, ki jih ustvarjalec elektronskega žiga uporabi za ustvarjanje elektronskega žiga;

29.	„potrdilo za elektronski žig“ pomeni elektronsko potrdilo, ki povezuje podatke za potrjevanje veljavnosti elektronskega žiga s pravno osebo in potrjuje ime te osebe;

30.	„kvalificirano potrdilo za elektronski žig“ pomeni potrdilo za elektronski žig, ki ga izda ponudnik kvalificiranih storitev zaupanja in izpolnjuje zahteve iz Priloge III;

31.	„naprava za ustvarjanje elektronskega žiga“ pomeni konfigurirano programsko ali strojno opremo, ki se uporablja za ustvarjanje elektronskega žiga;

32.	„naprava za ustvarjanje kvalificiranega elektronskega žiga“ pomeni napravo za ustvarjanje elektronskega žiga, ki smiselno izpolnjuje zahteve iz Priloge II;

33.	„elektronski časovni žig“ pomeni podatke v elektronski obliki, ki druge podatke v elektronski obliki povezujejo z določenim trenutkom in tako zagotavljajo dokaz, da so slednji podatki v tistem trenutku obstajali;

34.	„kvalificirani elektronski časovni žig“ pomeni elektronski časovni žig, ki izpolnjuje zahteve iz člena 42;

35.	„elektronski dokument“ pomeni kakršno koli vsebino, shranjeno v elektronski obliki, zlasti besedilo ali zvočni, vizualni ali avdiovizualni zapis;

36.

„storitev elektronske priporočene dostave“ pomeni storitev, ki omogoča prenos podatkov med tretjimi stranmi z elektronskimi sredstvi, zagotavlja dokaze o ravnanju s prenesenimi podatki, vključno z dokazilom o oddaji in prejemu podatkov, ter prenesene podatke varuje pred izgubo, krajo, poškodbo ali kakršno koli nepooblaščeno spremembo;

37.	„kvalificirana storitev elektronske priporočene dostave“ pomeni storitev elektronske priporočene dostave, ki izpolnjuje zahteve iz člena 44;

38.	„potrdilo za avtentikacijo spletišč“ pomeni potrdilo, ki omogoča avtentikacijo spletišča in spletišče povezuje s fizično ali pravno osebo, ki se ji izda potrdilo;

39.	„kvalificirano potrdilo za avtentikacijo spletišč“ pomeni potrdilo za avtentikacijo spletišč, ki ga izda ponudnik kvalificiranih storitev zaupanja in izpolnjuje zahteve iz Priloge IV;

40.	„podatki za potrjevanje veljavnosti“ pomeni podatke, ki se uporabljajo za potrjevanje veljavnosti elektronskega podpisa ali elektronskega žiga;

41.	„potrjevanje veljavnosti“ pomeni postopek preverjanja in potrditve, da je elektronski podpis ali žig veljaven.

Člen 8

Ravni zanesljivosti shem elektronske identifikacije

1. Shema elektronske identifikacije, priglašena v skladu s členom 9(1), določa nizko, srednjo in/ali visoko raven zanesljivosti, dodeljeno sredstvom elektronske identifikacije, izdanim v okviru te sheme.

2. Nizka, srednja in visoka raven zanesljivosti izpolnjujejo naslednja merila:

(a)

nizka raven zanesljivosti se nanaša na sredstvo elektronske identifikacije v okviru sheme elektronske identifikacije, ki zagotavlja omejeno stopnjo zaupanja v izkazano ali zagotavljano identiteto osebe in za katero je značilno sklicevanje na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je zmanjšati nevarnost zlorabe ali spreminjanja identitete;

(b)

srednja raven zanesljivosti se nanaša na sredstvo elektronske identifikacije v okviru sheme elektronske identifikacije, ki zagotavlja srednjo stopnjo zaupanja v izkazano ali zagotavljano identiteto osebe in za katero je značilno sklicevanje na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je znatno zmanjšati nevarnost zlorabe ali spreminjanja identitete;

(c)

visoka raven zanesljivosti se nanaša na sredstvo elektronske identifikacije v okviru sheme elektronske identifikacije, ki zagotavlja višjo stopnjo zaupanja v izkazano ali zagotavljano identiteto osebe kot sredstva elektronske identifikacije srednje ravni zanesljivosti in za katero je značilno sklicevanje na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je preprečiti nevarnost zlorabe ali spreminjanja identitete.

3. Do 18. septembra 2015 ter ob upoštevanju ustreznih mednarodnih standardov in odstavka 2 Komisija z izvedbenimi akti določi minimalne tehnične specifikacije, standarde in postopke, na podlagi katerih se določijo nizka, srednja in visoka raven zanesljivosti za sredstva elektronske identifikacije za namene odstavka 1.

Te minimalne tehnične specifikacije, standardi in postopki se določijo ob sklicevanju na zanesljivost in kakovost naslednjih elementov:

(a)	postopka za dokazovanje in preverjanje identitete fizičnih ali pravnih oseb, ki zaprosijo za izdajo sredstva elektronske identifikacije;

(b)	postopka za izdajo zahtevanega sredstva elektronske identifikacije;

(c)	mehanizma avtentikacije, prek katerega fizična ali pravna oseba uporablja sredstvo elektronske identifikacije, da odvisni stranki potrdi svojo identiteto;

(d)	izdajatelja sredstva elektronske identifikacije;

(e)	katerega koli drugega organa, vključenega v postopek izdaje sredstva elektronske identifikacije, ter

(f)	tehničnih in varnostnih specifikacij izdanega sredstva elektronske identifikacije.

Komisija izvedbene akte sprejme v skladu s postopkom pregleda iz člena 48(2).

Člen 18

Medsebojna pomoč

1. Nadzorni organi sodelujejo z namenom izmenjave dobre prakse.

Nadzorni organ na podlagi prejema utemeljenega zahtevka drugega nadzornega organa temu organu zagotovi pomoč, da se lahko dejavnosti nadzornih organov opravijo na skladen način. Medsebojna pomoč lahko vključuje zlasti zahtevke za informacije in nadzorne ukrepe, kot so zahtevki za opravljanje inšpekcijskih pregledov, ki se nanašajo na poročila o ugotavljanju skladnosti iz členov 20 in 21.

2. Nadzorni organ, na katerega se naslovi zahtevek za pomoč, lahko ta zahtevek zavrne zaradi katerega koli od naslednjih razlogov:

(a)	nadzorni organ ni pristojen za zagotavljanje zahtevane pomoči;

(b)	zahtevana pomoč ni sorazmerna z nadzornimi dejavnostmi nadzornega organa, ki jih opravlja v skladu s členom 17;

(c)	zagotovitev zahtevane pomoči ne bi bila skladna s to uredbo.

3. Države članice lahko svojim nadzornim organom po potrebi dovolijo, da opravljajo skupne preiskave, v katerih sodeluje osebje nadzornih organov drugih držav članic. Zadevne države članice se v skladu s svojim nacionalnim pravom dogovorijo o ureditvi in postopkih takšnih skupnih ukrepov in jih tudi vzpostavijo.

Člen 21

Začetek zagotavljanja kvalificirane storitve zaupanja

1. Kadar nameravajo ponudniki storitev zaupanja brez kvalificiranega statusa začeti zagotavljati kvalificirane storitve zaupanja, svojo namero priglasijo nadzornemu organu ter mu predložijo poročilo o ugotavljanju skladnosti, ki ga izda organ za ugotavljanje skladnosti.

2. Nadzorni organ preveri, ali ponudnik storitev zaupanja in storitve zaupanja, ki jih ta zagotavlja, izpolnjujejo zahteve iz te uredbe, zlasti zahteve za ponudnike kvalificiranih storitev zaupanja in za kvalificirane storitve zaupanja, ki jih ti zagotavljajo.

Če nadzorni organ ugotovi, da ponudnik storitev zaupanja in storitve zaupanja, ki jih ti zagotavljajo, izpolnjuje zahteve iz prvega pododstavka, najpozneje tri mesece po priglasitvi v skladu z odstavkom 1 tega člena ponudniku storitev zaupanja in storitvam zaupanja, ki jih ta zagotavlja, podeli kvalificirani status ter obvesti organ iz člena 22(3), da se posodobijo zanesljivi seznami iz člena 22(1).

Če nadzorni organ preverjanja ne konča v treh mesecih od priglasitve, o tem obvesti ponudnika storitev zaupanja ter navede razloge za zamudo in rok, v katerem bo preverjanje končano.

3. Ponudniki kvalificiranih storitev zaupanja lahko začnejo zagotavljati kvalificirane storitve zaupanja, potem ko je kvalificirani status naveden na zanesljivem seznamu iz člena 22(1).

4. Komisija lahko z izvedbenimi akti določi oblike in postopke za namene odstavkov 1 in 2. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 22

Zanesljivi seznami

1. Vsaka država članica sestavi, vodi in objavi zanesljive sezname, vključno z informacijami o ponudnikih kvalificiranih storitev zaupanja, za katere je odgovorna, skupaj z informacijami o kvalificiranih storitvah zaupanja, ki jih ti ponudniki zagotavljajo.

2. Države članice v obliki, primerni za avtomatizirano obdelavo, na varen način sestavijo, vodijo in objavijo elektronsko podpisane ali ožigosane zanesljive sezname ponudnikov storitev zaupanja iz odstavka 1.

3. Države članice Komisijo brez nepotrebnega odlašanja uradno obvestijo o vseh informacijah o organu, ki je pristojen za sestavljanje, vodenje in objavljanje nacionalnih zanesljivih seznamov, ter podrobnosti o tem, kje so taki seznami objavljeni, o potrdilih, uporabljenih za podpisovanje ali ožigosanje zanesljivih seznamov, ter o vseh njihovih spremembah.

4. Komisija na varen način in v elektronsko podpisani ali ožigosani obliki, primerni za avtomatizirano obdelavo, da informacije iz odstavka 3 na voljo javnosti.

5. Komisija do 18. septembra 2015 z izvedbenimi akti določi informacije iz odstavka 1 ter opredeli tehnične specifikacije in oblike za zanesljive sezname, ki se uporabljajo za namene odstavkov 1 do 4. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 32

Zahteve za potrjevanje veljavnosti kvalificiranih elektronskih podpisov

1. S postopkom potrjevanja veljavnosti kvalificiranega elektronskega podpisa se potrdi veljavnost kvalificiranega elektronskega podpisa pod pogojem, da:

(a)	je bilo potrdilo, na katerem temelji podpis, v času podpisa kvalificirano potrdilo za elektronski podpis, ki je skladno s Prilogo I;

(b)	je kvalificirano potrdilo izdal ponudnik kvalificiranih storitev zaupanja in je bil veljaven v času podpisa;

(c)	podatki za potrjevanje veljavnosti podpisa ustrezajo podatkom, predloženim zanašajočim se strankam;

(d)	je enolični nabor podatkov, ki predstavlja podpisnika potrdila, pravilno predložen zanašajočim se strankam;

(e)	je zanašajoči se stranki jasno sporočeno, če je bil v času podpisa uporabljen psevdonim;

(f)	je bil elektronski podpis ustvarjen z napravo za ustvarjanje kvalificiranega elektronskega podpisa;

(g)	celovitost podpisanih podatkov ni ogrožena;

(h)	so bile v času podpisa izpolnjene zahteve iz člena 26.

2. Sistem za potrjevanje veljavnosti kvalificiranega elektronskega podpisa zanašajoči se stranki zagotavlja pravilne rezultate postopka potrjevanja veljavnosti in ji omogoča odkrivanje vseh zadevnih varnostnih vprašanj.

3. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za potrjevanje veljavnosti kvalificiranih elektronskih podpisov. Zahteve iz odstavka 1 veljajo za izpolnjene, če so pri potrjevanju veljavnosti kvalificiranih elektronskih podpisov izpolnjeni ti standardi. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 36

Zahteve za napredne elektronske žige

Napredni elektronski žig izpolnjuje naslednje zahteve:

(a)	enolično je povezan z ustvarjalcem žiga;

(b)	z njim je mogoče identificirati ustvarjalca žiga;

(c)	ustvari se na podlagi podatkov za ustvarjanje elektronskega žiga, ki jih ustvarjalec žiga z visoko stopnjo zaupanja in pod svojim nadzorom lahko uporablja za ustvarjanje elektronskega žiga, in

(d)	povezan je s podatki, na katere se nanaša, in sicer tako, da je mogoče zaslediti vsako naknadno spremembo teh podatkov.

whereas

(10) Direktiva 2011/24/EU Evropskega parlamenta in Sveta (6) vzpostavlja mrežo nacionalnih organov, pristojnih za e-zdravje.
Da bi se izboljšali varnost in neprekinjenost čezmejnega zdravstvenega varstva, mora mreža pripraviti smernice za čezmejni dostop do elektronskih zdravstvenih podatkov in storitev ter podpreti skupne ukrepe „za identifikacijo in avtentikacijo, na podlagi katerih se olajša prenosljivost podatkov v čezmejnem zdravstvenem varstvu“.
Vzajemno priznavanje elektronske identifikacije in avtentikacije je ključno pri uresničevanju čezmejnega zdravstvenega varstva evropskih državljanov.
Kadar ljudje potujejo zaradi zdravljenja, morajo biti njihovi zdravstveni podatki dostopni v državi zdravljenja.
To zahteva trden in varen okvir za elektronsko identifikacijo, v katerega se zaupa.

- = -

(13) Države članice bi morale imeti možnost, da še naprej prosto uporabljajo ali uvajajo sredstva za namene elektronske identifikacije za dostop do spletnih storitev.
Prav tako bi morale imeti možnost, da se same odločijo, ali bodo v zagotavljanje teh sredstev vključile zasebni sektor.
Države članice ne bi smele biti zavezane k priglasitvi shem elektronske identifikacije Komisiji.
Kar zadeva sheme elektronske identifikacije, ki se na nacionalni ravni uporabljajo za dostop vsaj do javnih spletnih storitev ali posebnih storitev, se lahko države članice same odločijo, ali bodo Komisiji priglasile vse sheme, samo nekatere ali nobene.

- = -

(52) Ustvarjanje elektronskih podpisov na daljavo, pri katerem okolje za ustvarjanje elektronskega podpisa upravlja ponudnik storitev zaupanja v imenu podpisnika, se bo okrepilo, saj prinaša številne gospodarske koristi.
Da se zagotovi enako pravno priznavanje takšnih elektronskih podpisov in elektronskih podpisov, ustvarjenih v okolju, ki ga v celoti upravlja uporabnik, pa bi morali ponudniki storitev elektronskih podpisov na daljavo izvajati posebne varnostne postopke pri vodenju in upravljanju ter uporabljati zaupanja vredne sisteme in izdelke, med drugim varne načine elektronske komunikacije, da se zagotovita zanesljivo okolje za ustvarjanje elektronskega podpisa in uporaba tega okolja pod izključnim nadzorom podpisnika.
V primeru kvalificiranega elektronskega podpisa, ustvarjenega z napravo za ustvarjanje elektronskega podpisa na daljavo, bi se morale uporabljati zahteve iz te uredbe, ki se uporabljajo za ponudnike kvalificiranih storitev zaupanja.

- = -

(55) Varnostno certificiranje, kar zadeva informacijsko tehnologijo, na podlagi mednarodnih standardov, kot je ISO 15408 ter s tem povezani načini ocenjevanja in ureditve vzajemnega priznavanja, je pomemben način preverjanja varnosti naprav za ustvarjanje kvalificiranega elektronskega podpisa in bi ga bilo treba spodbujati.
Vendar so inovativne rešitve in storitve, kot so mobilno podpisovanje in podpisovanje v oblaku, odvisne od tehničnih in organizacijskih rešitev za naprave za ustvarjanje kvalificiranega elektronskega podpisa, za katere varnostni standardi morda še niso na voljo ali za katere prvi postopek varnostnega certificiranja, kar zadeva informacijsko tehnologijo, še ni zaključen.
Raven varnosti takšnih naprav za ustvarjanje kvalificiranega elektronskega podpisa bi se lahko ocenila z alternativnimi postopki, samo kadar takšni varnostni standardi še niso na voljo ali kadar prvi postopek varnostnega certificiranja, kar zadeva informacijsko tehnologijo, še ni zaključen.
Ti postopki bi morali biti primerljivi s standardi za varnostno certificiranje, kar zadeva informacijsko tehnologijo, če sta njihovi ravni varnosti enakovredni.
K tem postopkom bi lahko prispeval medsebojni strokovni pregled.

- = -

(56) V tej uredbi bi morale biti določene zahteve za naprave za ustvarjanje kvalificiranega elektronskega podpisa, da se zagotovi funkcionalnost naprednih elektronskih podpisov.
Ta uredba ne bi smela zajemati celotnega sistemskega okolja, v katerem takšne naprave delujejo.
Zato bi moral biti obseg certificiranja naprav za ustvarjanje kvalificiranega elektronskega podpisa omejen na strojno opremo in sistemsko programsko opremo, ki se uporabljata za upravljanje in varovanje podatkov za ustvarjanje podpisa, ki so ustvarjeni, shranjeni ali obdelani v napravi za ustvarjanje podpisa.
Kot je opredeljeno v zadevnih standardih, obveznost certificiranja ne bi smela veljati za aplikacije za ustvarjanje podpisa.

- = -

keyboard_tab EIDAS 2014/0910 SL

EIDAS 2014/0910 SL