keyboard_tab EIDAS 2014/0910 SL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
POGLAVJE I
SPLOŠNE DOLOČBE
POGLAVJE II
ELEKTRONSKA IDENTIFIKACIJA
POGLAVJE IIII
STORITVE ZAUPANJA
oddelek 1
Splošne določbe
oddelek 2
Nadzor
oddelek 3
Kvalificirane storitve zaupanja
oddelek 4
Elektronski podpisi
oddelek 5
Elektronski žigi
oddelek 6
Elektronski časovni žig
oddelek 7
Storitev elektronske priporočene dostave
oddelek 8
Avtentikacija spletišč
POGLAVJE IV
ELEKTRONSKI DOKUMENTI
POGLAVJE V
PRENOS POOBLASTILA IN IZVEDBENE DOLOČBE
POGLAVJE VI
KONČNE DOLOČBE
- zaupanja 35
- storitev 32
- kvalificiranih 25
- skladu 18
- podatkov 18
- elektronske 15
- člena 14
- zahteve 13
- identifikacije 12
- akti 11
- lahko 10
- organ 9
- osebe 9
- odstavka 9
- storitve 9
- sprejmejo 8
- varnosti 8
- Člen 8
- oddelek 8
- komisija 7
- ponudnik 7
- potrdila 7
- postopkom 6
- pregleda 6
- elektronskih 6
- določi 6
- celovitosti 6
- izvedbenimi 6
- zvezi 6
- tudi 6
- shem 6
- zanesljivosti 6
- zagotavljajo 6
- bila 5
- uporabljajo 5
- elektronskim 5
- nadzorni 5
- podatki 5
- izvedbeni 5
- obvesti 5
- izpolnjujejo 5
- kvalificiranega 5
- kadar 5
- standarde 5
- veljavnosti 5
- potrebi 4
- kvalificirane 4
- naprednim 4
- zanesljivost 4
- osebo 4
Člen 12
Sodelovanje in interoperabilnost
1. Nacionalne sheme elektronske identifikacije, priglašene v skladu s členom 9(1), so interoperabilne.
2. Za namene odstavka 1 se vzpostavi interoperabilnostni okvir.
3. Interoperabilnostni okvir izpolnjuje naslednja merila:
| (a) | prizadeva si biti tehnološko nevtralen in ne diskriminira med posebnimi nacionalnimi tehničnimi rešitvami za elektronsko identifikacijo znotraj države članice; |
| (b) | upošteva evropske in mednarodne standarde, kadar je mogoče; |
| (c) | lajša izvajanje načela vgrajene zasebnosti, in |
| (d) | zagotavlja, da so osebni podatki obdelani v skladu z Direktivo 95/46/ES. |
4. Interoperabilnostni okvir sestavljajo:
| (a) | sklicevanje na minimalne tehnične zahteve, povezane z ravnmi zanesljivosti iz člena 8; |
| (b) | določitev nacionalnih ravni zanesljivosti priglašenih shem elektronske identifikacije glede na ravni zanesljivosti iz člena 8; |
| (c) | sklicevanje na minimalne tehnične zahteve glede interoperabilnosti; |
| (d) | sklicevanje na minimalni niz identifikacijskih podatkov osebe, ki enolično predstavljajo fizično ali pravno osebo in so dostopni v okviru shem elektronske identifikacije; |
| (e) | poslovnik; |
| (f) | ureditev za reševanje sporov, in |
| (g) | skupni varnostni standardi delovanja. |
5. Države članice sodelujejo na naslednjih področjih:
| (a) | interoperabilnost shem elektronske identifikacije, priglašenih v skladu s členom 9(1), in shem elektronske identifikacije, ki jih države članice nameravajo priglasiti, ter |
| (b) | varnost shem elektronske identifikacije. |
6. Sodelovanje med državami članicami vključuje:
| (a) | izmenjavo informacij, izkušenj in dobrih praks v zvezi s shemami elektronske identifikacije in zlasti tehničnimi zahtevami, povezanimi z interoperabilnostjo in ravnmi zanesljivosti; |
| (b) | izmenjavo informacij, izkušenj in dobrih praks v zvezi z delom z ravnmi zanesljivosti za sheme elektronske identifikacije iz člena 8; |
| (c) | medsebojni strokovni pregled shem elektronske identifikacije, zajetih s to uredbo, in |
| (d) | preverjanje zadevnega razvoja v sektorju elektronske identifikacije. |
7. Komisija do 18. marca 2015 z izvedbenimi akti določi potrebno postopkovno ureditev za lažje sodelovanje med državami članicami, določeno v odstavkih 5 in 6, da se spodbudi visoka raven zaupanja in varnosti, ki ustreza stopnji nevarnosti.
8. Komisija do 18. septembra 2015 za določitev enotnih pogojev izvajanja zahteve iz odstavka 1 sprejme izvedbene akte o interoperabilnostnem okviru, opredeljenem v odstavku 4, pri tem pa upošteva merila iz odstavka 3 in rezultate sodelovanja med državami članicami.
9. Izvedbeni akti iz odstavkov 7 in 8 tega člena se sprejmejo v skladu s postopkom pregleda iz člena 48(2).
POGLAVJE IIII
STORITVE ZAUPANJA
oddelek 1
Splošne določbe
Člen 16
Kazni
Države članice določijo pravila o kaznih, ki se uporabljajo za kršitve te uredbe. Kazni so učinkovite, sorazmerne in odvračilne.
oddelek 2
Nadzor
Člen 19
Varnostne zahteve za ponudnike storitev zaupanja
1. Ponudniki kvalificiranih in nekvalificiranih storitev zaupanja sprejmejo ustrezne tehnične in organizacijske ukrepe za obvladovanje nevarnosti, povezanih z varnostjo storitev zaupanja, ki jih zagotavljajo. Ti ukrepi ob upoštevanju najnovejših tehnoloških dosežkov zagotavljajo, da je raven varnosti sorazmerna s stopnjo nevarnosti. Sprejmejo se zlasti zato, da bi preprečili in čim bolj zmanjšali vpliv varnostnih incidentov ter deležnike obvestili o škodljivih učinkih takih incidentov.
2. Ponudniki kvalificiranih in nekvalificiranih storitev zaupanja o vsaki kršitvi varnosti ali izgubi celovitosti, ki znatno vpliva na zagotovljeno storitev zaupanja ali na osebne podatke, vsebovane v njej, brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po ugotovitvi, uradno obvestijo nadzorni organ, po potrebi pa tudi druge pristojne organe, kot je pristojni nacionalni organ za varnost informacij ali organ za varstvo podatkov.
Kadar je verjetno, da bo kršitev varnosti ali izguba celovitosti negativno vplivala na fizično ali pravno osebo, ki ji je bila zagotovljena storitev zaupanja, ponudnik storitev zaupanja o kršitvi varnosti ali izgubi celovitosti brez nepotrebnega odlašanja uradno obvesti tudi fizično ali pravno osebo.
Uradno obveščeni nadzorni organ po potrebi obvesti nadzorne organe drugih zadevnih držav članic in agencijo ENISA, zlasti če kršitev varnosti ali izguba celovitosti zadeva dve ali več držav članic.
Uradno obveščeni nadzorni organ o tem obvesti javnost ali to zahteva od ponudnika storitev zaupanja, kadar ugotovi, da je razkritje kršitve varnosti ali izgube celovitosti v javnem interesu.
3. Nadzorni organ agenciji ENISA enkrat na leto predloži povzetek uradnih obvestil o kršitvi varnosti in izgubi celovitosti, ki jih je prejel od ponudnikov storitev zaupanja.
4. Komisija lahko z izvedbenimi akti:
| (a) | dodatno opredeli ukrepe iz odstavka 1 ter |
| (b) | določi oblike in postopke, vključno z roki, ki se uporabljajo za namene odstavka 2. |
Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).
oddelek 3
Kvalificirane storitve zaupanja
Člen 24
Zahteve za ponudnike kvalificiranih storitev zaupanja
1. Ob izdaji kvalificiranega potrdila za storitev zaupanja ponudnik kvalificiranih storitev zaupanja z ustreznimi sredstvi in v skladu z nacionalnim pravom preveri identiteto in po potrebi druge posebne lastnosti fizične ali pravne osebe, za katero se izdaja kvalificirano potrdilo.
Ponudnik kvalificiranih storitev zaupanja podatke iz prvega pododstavka preveri bodisi neposredno ali prek tretje osebe v skladu z nacionalnim pravom:
| (a) | s fizično prisotnostjo fizične osebe ali pooblaščenega predstavnika pravne osebe ali |
| (b) | na daljavo, s pomočjo sredstev elektronske identifikacije, v zvezi s katerimi je bila pred izdajo kvalificiranega potrdila zagotovljena fizična prisotnost fizične osebe ali pooblaščenega predstavnika pravne osebe in ki izpolnjujejo zahteve iz člena 8 v zvezi s „srednjo“ ali „visoko“ ravnjo zanesljivosti, ali |
| (c) | s potrdilom kvalificiranega elektronskega podpisa ali kvalificiranega elektronskega žiga, izdanega v skladu s točko (a) ali (b), ali |
| (d) | s pomočjo drugih načinov identifikacije, ki so priznani na nacionalni ravni in zagotavljajo enakovredno zanesljivost kakor fizična prisotnost. Enakovredno zanesljivost potrdi organ za ugotavljanje skladnosti. |
2. Ponudnik kvalificiranih storitev zaupanja, ki zagotavlja kvalificirane storitve zaupanja:
| (a) | obvesti nadzorni organ o vsaki spremembi pri zagotavljanju svojih kvalificiranih storitev zaupanja ter o nameri o prenehanju opravljanja teh dejavnosti; |
| (b) | zaposluje osebje in po potrebi podizvajalce, ki imajo potrebno strokovno znanje, izkušnje in kvalifikacije ter so zanesljivi in ki so se udeležili ustreznega usposabljanja v zvezi z varnostjo in pravili o varstvu osebnih podatkov ter uporabljajo upravne in upravljavske postopke, ki so v skladu z evropskimi ali mednarodnimi standardi; |
| (c) | kar zadeva tveganje odškodninske odgovornosti v skladu s členom 13, ohranja zadostna finančna sredstva in/ali pridobi ustrezno zavarovanje odgovornosti v skladu z nacionalnim pravom; |
| (d) | pred vstopom v pogodbeno razmerje vsako osebo, ki želi uporabljati kvalificirano storitev zaupanja, jasno in razumljivo obvesti o natančnih splošnih pogojih uporabe zadevne storitve, tudi o morebitnih omejitvah njene uporabe; |
| (e) | uporablja zaupanja vredne sisteme in izdelke, ki so zaščiteni pred spreminjanjem ter zagotavljajo tehnično varnost in zanesljivost postopkov, pri katerih se uporabljajo; |
| (f) | uporablja zaupanja vredne sisteme za shranjevanje podatkov, ki jih prejme, v preverljivi obliki, tako da:
|
| (g) | sprejme ustrezne ukrepe proti ponarejanju in kraji podatkov; |
| (h) | v ustreznem časovnem obdobju, tudi potem, ko je ponudnik kvalificiranih storitev zaupanja prenehal opravljati dejavnosti, beleži vse pomembne informacije o podatkih, ki jih je izdal in prejel ponudnik kvalificiranih storitev zaupanja, in ohranja dostop do njih, zlasti da se zagotovijo dokazi v pravnih postopkih in neprekinjenost storitve. Beleženje je lahko elektronsko; |
| (i) | ima posodobljen načrt za prenehanje zagotavljanja storitve, da se zagotovi neprekinjenost storitve v skladu z določbami, ki jih preveri nadzorni organ v skladu s točko (i) člena 17(4); |
| (j) | zagotovi zakonito obdelavo osebnih podatkov v skladu z Direktivo 95/46/ES; |
| (k) | v primeru ponudnikov kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila, vzpostavi in posodablja podatkovno zbirko potrdil. |
3. Če ponudnik kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, sklene, da se potrdilo prekliče, tak preklic zabeleži v svoji podatkovni zbirki potrdil in pravočasno, v vsakem primeru pa v 24 urah po prejetju zahtevka, objavi, da je potrdilo preklicano. Preklic začne učinkovati takoj po objavi.
4. V zvezi z odstavkom 3 ponudniki kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila, vsaki zanašajoči se stranki zagotovijo informacije o veljavnosti ali preklicu kvalificiranih potrdil, ki so jih izdali. Te informacije so vsaj za posamezna potrdila na voljo kadar koli in tudi po izteku veljavnosti potrdila, in sicer na zanesljiv, brezplačen in učinkovit avtomatiziran način.
5. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za zaupanja vredne sisteme in izdelke, ki izpolnjujejo zahteve iz točk (e) in (f) odstavka 2 tega člena. Zahteve iz tega člena veljajo za izpolnjene, kadar zaupanja vredni sistemi in izdelki izpolnjujejo te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).
oddelek 4
Elektronski podpisi
Člen 34
Kvalificirana storitev hrambe kvalificiranih elektronskih podpisov
1. Kvalificirano storitev hrambe kvalificiranih elektronskih podpisov lahko zagotavlja le ponudnik kvalificiranih storitev zaupanja, ki uporablja postopke in tehnologije, s katerimi se zanesljivost kvalificiranega elektronskega podpisa lahko podaljša tudi po izteku obdobja tehnološke veljavnosti.
2. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za kvalificirano storitev hrambe kvalificiranih elektronskih podpisov. Zahteve iz odstavka 1 veljajo za izpolnjene, če ureditve za kvalificirano storitev hrambe kvalificiranih elektronskih podpisov izpolnjujejo te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).
oddelek 5
Elektronski žigi
Člen 40
Potrjevanje veljavnosti in hramba kvalificiranih elektronskih žigov
Členi 32, 33 in 34 se smiselno uporabljajo za potrjevanje veljavnosti in hrambo kvalificiranih elektronskih žigov.
oddelek 6
Elektronski časovni žig
Člen 42
Zahteve za kvalificirane elektronske časovne žige
1. Kvalificirani elektronski časovni žig izpolnjuje naslednje zahteve:
| (a) | datum in čas povezuje s podatki tako, da je mogoče razumno izključiti možnost spremembe podatkov, ne da bi bila ta sprememba zaznana; |
| (b) | temelji na točnem časovnem viru, povezanem z univerzalnim koordiniranim časom; |
| (c) | podpisan je z naprednim elektronskim podpisom ali ožigosan z naprednim elektronskim žigom ponudnika kvalificiranih storitev zaupanja ali z drugo enakovredno metodo. |
2. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za povezovanje datuma in časa s podatki in za točne časovne vire. Skladnost z zahtevami iz odstavka 1 velja za izpolnjeno, če povezava datuma in časa s podatki in točen časovni vir izpolnjujeta navedene standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).
oddelek 7
Storitev elektronske priporočene dostave
Člen 44
Zahteve za kvalificirane storitve elektronske priporočene dostave
1. Kvalificirane storitve elektronske priporočene dostave izpolnjujejo naslednje zahteve:
| (a) | zagotavlja jih eden ali več ponudnikov kvalificiranih storitev zaupanja; |
| (b) | z visoko stopnjo zaupanja zagotavljajo identifikacijo pošiljatelja; |
| (c) | zagotavljajo identifikacijo naslovnika pred dostavo podatkov; |
| (d) | oddaja in prejem podatkov je zavarovano z naprednim elektronskim podpisom ali naprednim elektronskim žigom ponudnika kvalificiranih storitev zaupanja, tako da je izključena možnost spremembe podatkov, ne da bi bila ta sprememba zaznana; |
| (e) | vsaka sprememba podatkov, potrebna za pošiljanje ali prejem podatkov, se jasno sporoči pošiljatelju in naslovniku podatkov; |
| (f) | s kvalificiranim elektronskim časovnim žigom se navedeta datum in čas oddaje, prejema in vseh sprememb podatkov; |
Pri prenašanju podatkov med dvema ali več ponudniki kvalificiranih storitev zaupanja veljajo zahteve iz točk (a) do (f) za vse ponudnike kvalificiranih storitev zaupanja.
2. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za postopke pošiljanja in prejemanja podatkov. Zahteve iz odstavka 1 veljajo za izpolnjene, če postopek pošiljanja in prejemanja podatkov izpolnjuje navedene standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).
oddelek 8
Avtentikacija spletišč
whereas