EIDAS 2014/0910 SL

1. Da se zagotovi pravilno delovanje notranjega trga in doseže ustrezna raven varnosti sredstev elektronske identifikacije in storitev zaupanja, ta uredba:

(a)	določa pogoje, pod katerimi države članice priznajo sredstva elektronske identifikacije fizičnih in pravnih oseb, ki so vključena v priglašeno shemo elektronske identifikacije druge države članice;

(b)	določa pravila za storitve zaupanja, zlasti za elektronske transakcije, in

(c)	določa pravni okvir za elektronske podpise, elektronske žige, elektronske časovne žige, elektronske dokumente, storitve elektronske priporočene dostave in storitve v zvezi s potrdili za avtentikacijo spletišč.

Člen 6

Vzajemno priznavanje

1. Če nacionalno pravo ali upravna praksa za dostop do storitve, ki jo prek spleta zagotavlja organ javnega sektorja v eni državi članici, predpisuje elektronsko identifikacijo z uporabo sredstva elektronske identifikacije in avtentikacije, se sredstvo elektronske identifikacije, izdano v drugi državi članici, prizna v prvi državi članici za namene čezmejne avtentikacije za to spletno storitev, če so izpolnjeni naslednji pogoji:

(a)	sredstvo elektronske identifikacije je izdano v okviru sheme elektronske identifikacije, navedene na seznamu, ki ga Komisija objavi v skladu s členom 9;

(b)

raven zanesljivosti takšnega sredstva elektronske identifikacije ustreza ravni zanesljivosti, ki je enaka ali višja od ravni zanesljivosti, ki jo zahteva zadevni organ javnega sektorja pri dostopu do spletne storitve v prvi državi članici, pod pogojem, da raven zanesljivosti takšnega sredstva elektronske identifikacije ustreza srednji ali visoki ravni zanesljivosti;

(c)	zadevni organ javnega sektorja uporablja srednjo ali visoko raven zanesljivosti v zvezi z dostopom do te spletne storitve.

Takšno priznanje se opravi najpozneje 12 mesecev po tem, ko Komisija objavi seznam iz točke (a) prvega pododstavka.

2. Organi javnega sektorja lahko za namene čezmejne avtentikacije za storitve, ki jih zagotavljajo prek spleta, priznajo sredstvo elektronske identifikacije, ki se izda v okviru sheme elektronske identifikacije, navedene na seznamu, ki ga Komisija objavi v skladu s členom 9, in ustreza nizki ravni zanesljivosti.

Člen 7

Upravičenost do priglasitve shem elektronske identifikacije

Shema elektronske identifikacije je upravičena do priglasitve v skladu s členom 9(1), če so izpolnjeni vsi naslednji pogoji:

(a)

sredstva elektronske identifikacije v okviru sheme elektronske identifikacije se izdajo:

(i)	s strani države članice priglasiteljice;

(ii)	po pooblastilu države članice priglasiteljice, ali

(iii)

neodvisno od države članice priglasiteljice, vendar jih ta država članica priznava;

(b)	sredstva elektronske identifikacije v okviru sheme elektronske identifikacije se lahko uporabljajo za dostop do vsaj ene storitve, ki jo zagotavlja organ javnega sektorja in za katero se v državi članici priglasiteljici zahteva elektronska identifikacija;

(c)	shema elektronske identifikacije in sredstva elektronske identifikacije, izdana v okviru te sheme, izpolnjujejo zahteve vsaj ene od ravni zanesljivosti, določenih v izvedbenem aktu iz člena 8(3);

(d)

država članica priglasiteljica zagotovi, da se identifikacijski podatki osebe, ki enolično predstavljajo zadevno osebo, dodelijo fizični ali pravni osebi iz točke 1 člena 3 v skladu s tehničnimi specifikacijami, standardi in postopki za ustrezno raven zanesljivosti, določenimi v izvedbenem aktu iz člena 8(3), ob izdaji sredstva elektronske identifikacije v okviru navedene sheme;

(e)	izdajatelj sredstva elektronske identifikacije v okviru navedene sheme, zagotovi, da se sredstvo elektronske identifikacije dodeli osebi iz točke (d) tega člena v skladu s tehničnimi specifikacijami, standardi in postopki za ustrezno raven zanesljivosti, določenimi v izvedbenem aktu iz člena 8(3);

(f)

država članica priglasiteljica zagotovi, da je avtentikacija na voljo prek spleta, tako da lahko vsaka zanašajoča se stranka s sedežem na ozemlju druge države članice potrdi identifikacijske podatke osebe, prejete v elektronski obliki.

Za zanašajoče se stranke, ki niso organi javnega sektorja, lahko država članica priglasiteljica določi pogoje dostopa do navedene avtentikacije. Čezmejna avtentikacija je brezplačna, če se opravi v povezavi s spletno storitvijo, ki jo zagotavlja organ javnega sektorja.

Države članice ne uvedejo nobenih posebnih nesorazmernih tehničnih zahtev za zanašajoče se stranke, ki nameravajo opraviti tako avtentikacijo, če takšne zahteve preprečujejo ali znatno ovirajo interoperabilnost priglašenih shem elektronske identifikacije;

(g)	vsaj šest mesecev pred priglasitvijo v skladu s členom 9(1) država članica priglasiteljica zagotovi drugim državam članicam v skladu z obveznostjo iz člena 12(5) opis te sheme v skladu s postopkovno ureditvijo, določeno z izvedbenim aktom iz člena 12(7);

(h)	shema elektronske identifikacije izpolnjuje zahteve izvedbenega akta iz člena 12(8).

Člen 8

Ravni zanesljivosti shem elektronske identifikacije

1. Shema elektronske identifikacije, priglašena v skladu s členom 9(1), določa nizko, srednjo in/ali visoko raven zanesljivosti, dodeljeno sredstvom elektronske identifikacije, izdanim v okviru te sheme.

2. Nizka, srednja in visoka raven zanesljivosti izpolnjujejo naslednja merila:

(a)

nizka raven zanesljivosti se nanaša na sredstvo elektronske identifikacije v okviru sheme elektronske identifikacije, ki zagotavlja omejeno stopnjo zaupanja v izkazano ali zagotavljano identiteto osebe in za katero je značilno sklicevanje na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je zmanjšati nevarnost zlorabe ali spreminjanja identitete;

(b)

srednja raven zanesljivosti se nanaša na sredstvo elektronske identifikacije v okviru sheme elektronske identifikacije, ki zagotavlja srednjo stopnjo zaupanja v izkazano ali zagotavljano identiteto osebe in za katero je značilno sklicevanje na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je znatno zmanjšati nevarnost zlorabe ali spreminjanja identitete;

(c)

visoka raven zanesljivosti se nanaša na sredstvo elektronske identifikacije v okviru sheme elektronske identifikacije, ki zagotavlja višjo stopnjo zaupanja v izkazano ali zagotavljano identiteto osebe kot sredstva elektronske identifikacije srednje ravni zanesljivosti in za katero je značilno sklicevanje na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je preprečiti nevarnost zlorabe ali spreminjanja identitete.

3. Do 18. septembra 2015 ter ob upoštevanju ustreznih mednarodnih standardov in odstavka 2 Komisija z izvedbenimi akti določi minimalne tehnične specifikacije, standarde in postopke, na podlagi katerih se določijo nizka, srednja in visoka raven zanesljivosti za sredstva elektronske identifikacije za namene odstavka 1.

Te minimalne tehnične specifikacije, standardi in postopki se določijo ob sklicevanju na zanesljivost in kakovost naslednjih elementov:

(a)	postopka za dokazovanje in preverjanje identitete fizičnih ali pravnih oseb, ki zaprosijo za izdajo sredstva elektronske identifikacije;

(b)	postopka za izdajo zahtevanega sredstva elektronske identifikacije;

(c)	mehanizma avtentikacije, prek katerega fizična ali pravna oseba uporablja sredstvo elektronske identifikacije, da odvisni stranki potrdi svojo identiteto;

(d)	izdajatelja sredstva elektronske identifikacije;

(e)	katerega koli drugega organa, vključenega v postopek izdaje sredstva elektronske identifikacije, ter

(f)	tehničnih in varnostnih specifikacij izdanega sredstva elektronske identifikacije.

Komisija izvedbene akte sprejme v skladu s postopkom pregleda iz člena 48(2).

Člen 12

Sodelovanje in interoperabilnost

1. Nacionalne sheme elektronske identifikacije, priglašene v skladu s členom 9(1), so interoperabilne.

2. Za namene odstavka 1 se vzpostavi interoperabilnostni okvir.

3. Interoperabilnostni okvir izpolnjuje naslednja merila:

(a)	prizadeva si biti tehnološko nevtralen in ne diskriminira med posebnimi nacionalnimi tehničnimi rešitvami za elektronsko identifikacijo znotraj države članice;

(b)	upošteva evropske in mednarodne standarde, kadar je mogoče;

(c)	lajša izvajanje načela vgrajene zasebnosti, in

(d)	zagotavlja, da so osebni podatki obdelani v skladu z Direktivo 95/46/ES.

4. Interoperabilnostni okvir sestavljajo:

(a)	sklicevanje na minimalne tehnične zahteve, povezane z ravnmi zanesljivosti iz člena 8;

(b)	določitev nacionalnih ravni zanesljivosti priglašenih shem elektronske identifikacije glede na ravni zanesljivosti iz člena 8;

(c)	sklicevanje na minimalne tehnične zahteve glede interoperabilnosti;

(d)	sklicevanje na minimalni niz identifikacijskih podatkov osebe, ki enolično predstavljajo fizično ali pravno osebo in so dostopni v okviru shem elektronske identifikacije;

(e)	poslovnik;

(f)	ureditev za reševanje sporov, in

(g)	skupni varnostni standardi delovanja.

5. Države članice sodelujejo na naslednjih področjih:

(a)	interoperabilnost shem elektronske identifikacije, priglašenih v skladu s členom 9(1), in shem elektronske identifikacije, ki jih države članice nameravajo priglasiti, ter

(b)	varnost shem elektronske identifikacije.

6. Sodelovanje med državami članicami vključuje:

(a)	izmenjavo informacij, izkušenj in dobrih praks v zvezi s shemami elektronske identifikacije in zlasti tehničnimi zahtevami, povezanimi z interoperabilnostjo in ravnmi zanesljivosti;

(b)	izmenjavo informacij, izkušenj in dobrih praks v zvezi z delom z ravnmi zanesljivosti za sheme elektronske identifikacije iz člena 8;

(c)	medsebojni strokovni pregled shem elektronske identifikacije, zajetih s to uredbo, in

(d)	preverjanje zadevnega razvoja v sektorju elektronske identifikacije.

7. Komisija do 18. marca 2015 z izvedbenimi akti določi potrebno postopkovno ureditev za lažje sodelovanje med državami članicami, določeno v odstavkih 5 in 6, da se spodbudi visoka raven zaupanja in varnosti, ki ustreza stopnji nevarnosti.

8. Komisija do 18. septembra 2015 za določitev enotnih pogojev izvajanja zahteve iz odstavka 1 sprejme izvedbene akte o interoperabilnostnem okviru, opredeljenem v odstavku 4, pri tem pa upošteva merila iz odstavka 3 in rezultate sodelovanja med državami članicami.

9. Izvedbeni akti iz odstavkov 7 in 8 tega člena se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

POGLAVJE IIII

STORITVE ZAUPANJA

ODDELEK 1

Splošne določbe

Člen 19

Varnostne zahteve za ponudnike storitev zaupanja

1. Ponudniki kvalificiranih in nekvalificiranih storitev zaupanja sprejmejo ustrezne tehnične in organizacijske ukrepe za obvladovanje nevarnosti, povezanih z varnostjo storitev zaupanja, ki jih zagotavljajo. Ti ukrepi ob upoštevanju najnovejših tehnoloških dosežkov zagotavljajo, da je raven varnosti sorazmerna s stopnjo nevarnosti. Sprejmejo se zlasti zato, da bi preprečili in čim bolj zmanjšali vpliv varnostnih incidentov ter deležnike obvestili o škodljivih učinkih takih incidentov.

2. Ponudniki kvalificiranih in nekvalificiranih storitev zaupanja o vsaki kršitvi varnosti ali izgubi celovitosti, ki znatno vpliva na zagotovljeno storitev zaupanja ali na osebne podatke, vsebovane v njej, brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po ugotovitvi, uradno obvestijo nadzorni organ, po potrebi pa tudi druge pristojne organe, kot je pristojni nacionalni organ za varnost informacij ali organ za varstvo podatkov.

Kadar je verjetno, da bo kršitev varnosti ali izguba celovitosti negativno vplivala na fizično ali pravno osebo, ki ji je bila zagotovljena storitev zaupanja, ponudnik storitev zaupanja o kršitvi varnosti ali izgubi celovitosti brez nepotrebnega odlašanja uradno obvesti tudi fizično ali pravno osebo.

Uradno obveščeni nadzorni organ po potrebi obvesti nadzorne organe drugih zadevnih držav članic in agencijo ENISA, zlasti če kršitev varnosti ali izguba celovitosti zadeva dve ali več držav članic.

Uradno obveščeni nadzorni organ o tem obvesti javnost ali to zahteva od ponudnika storitev zaupanja, kadar ugotovi, da je razkritje kršitve varnosti ali izgube celovitosti v javnem interesu.

3. Nadzorni organ agenciji ENISA enkrat na leto predloži povzetek uradnih obvestil o kršitvi varnosti in izgubi celovitosti, ki jih je prejel od ponudnikov storitev zaupanja.

4. Komisija lahko z izvedbenimi akti:

(a)	dodatno opredeli ukrepe iz odstavka 1 ter

(b)	določi oblike in postopke, vključno z roki, ki se uporabljajo za namene odstavka 2.

Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

ODDELEK 3

Kvalificirane storitve zaupanja

whereas

(15) Obveznost priznavanja sredstev elektronske identifikacije bi morala zadevati le tista sredstva, katerih raven zanesljivosti identitete ustreza ravni, ki je enaka ali višja od zahtevane ravni za zadevno spletno storitev.
Poleg tega bi bilo treba to obveznost uporabljati le, kadar zadevni organ javnega sektorja uporablja „srednjo“ ali „visoko“ raven zanesljivosti glede dostopa do te spletne storitve.
Države članice bi morale imeti v skladu s pravom Unije možnost, da priznajo sredstva elektronske identifikacije z nižjimi ravnmi zanesljivosti identitete.

- = -

(16) Ravni zanesljivosti bi morale označevati stopnjo zaupanja, ki jo sredstvo elektronske identifikacije zagotavlja pri ugotavljanju identitete osebe, s čimer se zagotovi, da je oseba, ki izkazuje določeno identiteto, dejansko oseba, ki ji je bila ta identiteta dodeljena.
raven zanesljivosti je odvisna od stopnje zaupanja v izkazano ali zagotavljano identiteto osebe, ki jo zagotavlja sredstvo elektronske identifikacije, pri čemer se upoštevajo postopki (na primer dokazovanje in preverjanje identitete ter avtentikacija), upravljanje (na primer subjekt, ki izda sredstvo elektronske identifikacije in postopek za izdajo takšnega sredstva) in opravljen tehnični nadzor.
Obstajajo različne tehnične opredelitve in opisi ravni zanesljivosti, ki so rezultat vse-evropskih pilotnih projektov, financiranih s sredstvi Unije, standardizacije in mednarodnih dejavnosti.
Zlasti vse-evropski pilotni projekt STORK in ISO 29115 se med drugim sklicujeta na ravni 2, 3 in 4, ki bi jih bilo treba v celoti upoštevati pri določanju minimalnih tehničnih zahtev, standardov in postopkov za nizko, srednjo in visoko raven zanesljivosti v smislu te uredbe, pri čemer se zagotavlja skladna uporaba te uredbe, zlasti kar zadeva visoko raven zanesljivosti, povezano z dokazovanjem identitete ob izdaji kvalificiranih potrdil.
Opredeljene zahteve bi morale biti tehnološko nevtralne.
Dopustiti bi bilo treba možnost, da se potrebne varnostne zahteve izpolnijo z uporabo različnih tehnologij.

- = -

(20) Sodelovanje držav članic bi moralo olajšati tehnično interoperabilnost priglašenih shem elektronske identifikacije ter tako vzpostaviti visoko raven zaupanja in varnosti, ustrezno stopnji tveganja.
K takšnemu sodelovanju bi morala prispevati izmenjava informacij in najboljših praks med državami članicami, da se doseže vzajemno priznavanje.

- = -

(28) Da se okrepi zlasti zaupanje malih in srednjih podjetij ter potrošnikov v notranji trg ter spodbudi uporaba storitev zaupanja in izdelkov, bi bilo treba uvesti pojma kvalificiranih storitev zaupanja in ponudnika kvalificiranih storitev zaupanja ter tako določiti zahteve in obveznosti, ki zagotavljajo visoko raven varnosti vseh kvalificiranih storitev zaupanja in izdelkov, ki se uporabljajo ali zagotavljajo.

- = -

(34) Vse države članice bi morale upoštevati skupne bistvene zahteve v zvezi z nadzorom, da se zagotovi primerljiva raven varnosti kvalificiranih storitev zaupanja.
Za lažjo dosledno uporabo teh zahtev po vsej Uniji bi morale države članice sprejeti primerljive postopke ter si izmenjevati informacije o nadzornih dejavnostih in najboljših praksah na tem področju.

- = -

(44) Namen te uredbe je zagotoviti skladen okvir, ki bo zagotavljal visoko raven varnosti in pravne varnosti storitev zaupanja.
Tozadevno bi morala Komisija pri obravnavi ugotavljanja skladnosti izdelkov in storitev po potrebi iskati sinergije z obstoječimi zadevnimi evropskimi in mednarodnimi sistemi, kot je Uredba (ES) št. 765/2008 Evropskega parlamenta in Sveta (9), ki določa zahteve za akreditacijo organov za ugotavljanje skladnosti in nadzor trga izdelkov.

- = -

(48) Čeprav je za zagotavljanje medsebojnega priznavanja elektronskih podpisov potrebna visoka raven varnosti, bi bilo treba v posebnih primerih, denimo v okviru Odločbe Komisije 2009/767/ES (10), sprejeti tudi elektronske podpise z nižjo ravnjo varnosti.

- = -

(55) Varnostno certificiranje, kar zadeva informacijsko tehnologijo, na podlagi mednarodnih standardov, kot je ISO 15408 ter s tem povezani načini ocenjevanja in ureditve vzajemnega priznavanja, je pomemben način preverjanja varnosti naprav za ustvarjanje kvalificiranega elektronskega podpisa in bi ga bilo treba spodbujati.
Vendar so inovativne rešitve in storitve, kot so mobilno podpisovanje in podpisovanje v oblaku, odvisne od tehničnih in organizacijskih rešitev za naprave za ustvarjanje kvalificiranega elektronskega podpisa, za katere varnostni standardi morda še niso na voljo ali za katere prvi postopek varnostnega certificiranja, kar zadeva informacijsko tehnologijo, še ni zaključen.
raven varnosti takšnih naprav za ustvarjanje kvalificiranega elektronskega podpisa bi se lahko ocenila z alternativnimi postopki, samo kadar takšni varnostni standardi še niso na voljo ali kadar prvi postopek varnostnega certificiranja, kar zadeva informacijsko tehnologijo, še ni zaključen.
Ti postopki bi morali biti primerljivi s standardi za varnostno certificiranje, kar zadeva informacijsko tehnologijo, če sta njihovi ravni varnosti enakovredni.
K tem postopkom bi lahko prispeval medsebojni strokovni pregled.

- = -

(62) Da se zagotovi varnost kvalificiranih elektronskih časovnih žigov, bi moralo biti v tej uredbi določena uporaba naprednega elektronskega žiga ali naprednega elektronskega podpisa ali drugih enakovrednih metod.
Predvideti je mogoče, da bi se z inovacijami lahko razvile nove tehnologije, ki bi za časovne žige zagotavljale enakovredno raven varnosti. Če se uporabi druga metoda in ne napredni elektronski žig ali napredni elektronski podpis, bi morala biti naloga ponudnika kvalificiranih storitev zaupanja, da v okviru poročila o ugotavljanju skladnosti dokaže, da takšna metoda zagotavlja enakovredno raven varnosti in izpolnjuje zahteve iz te uredbe.

- = -

(72) Komisija bi morala pri sprejemanju delegiranih ali izvedbenih aktov upoštevati standarde in tehnične specifikacije, ki jih pripravijo evropski in mednarodni organi in organizacije za standardizacijo, zlasti Evropski odbor za standardizacijo (CEN), Evropski inštitut za telekomunikacijske standarde (ETSI), Mednarodna organizacija za standardizacijo (ISO) in Mednarodna telekomunikacijska zveza (ITU), da bi zagotovili visoko raven varnosti in interoperabilnosti elektronske identifikacije in storitev zaupanja.

- = -

keyboard_tab EIDAS 2014/0910 SL

EIDAS 2014/0910 SL