EIDAS 2014/0910 SL

(a)	prizadeva si biti tehnološko nevtralen in ne diskriminira med posebnimi nacionalnimi tehničnimi rešitvami za elektronsko identifikacijo znotraj države članice;

(b)	upošteva evropske in mednarodne standarde, kadar je mogoče;

(c)	lajša izvajanje načela vgrajene zasebnosti, in

(d)	zagotavlja, da so osebni podatki obdelani v skladu z Direktivo 95/46/ES.

4. Interoperabilnostni okvir sestavljajo:

(a)	sklicevanje na minimalne tehnične zahteve, povezane z ravnmi zanesljivosti iz člena 8;

(b)	določitev nacionalnih ravni zanesljivosti priglašenih shem elektronske identifikacije glede na ravni zanesljivosti iz člena 8;

(c)	sklicevanje na minimalne tehnične zahteve glede interoperabilnosti;

(d)	sklicevanje na minimalni niz identifikacijskih podatkov osebe, ki enolično predstavljajo fizično ali pravno osebo in so dostopni v okviru shem elektronske identifikacije;

(e)	poslovnik;

(f)	ureditev za reševanje sporov, in

(g)	skupni varnostni standardi delovanja.

5. Države članice sodelujejo na naslednjih področjih:

(a)	interoperabilnost shem elektronske identifikacije, priglašenih v skladu s členom 9(1), in shem elektronske identifikacije, ki jih države članice nameravajo priglasiti, ter

(b)	varnost shem elektronske identifikacije.

6. Sodelovanje med državami članicami vključuje:

(a)	izmenjavo informacij, izkušenj in dobrih praks v zvezi s shemami elektronske identifikacije in zlasti tehničnimi zahtevami, povezanimi z interoperabilnostjo in ravnmi zanesljivosti;

(b)	izmenjavo informacij, izkušenj in dobrih praks v zvezi z delom z ravnmi zanesljivosti za sheme elektronske identifikacije iz člena 8;

(c)	medsebojni strokovni pregled shem elektronske identifikacije, zajetih s to uredbo, in

(d)	preverjanje zadevnega razvoja v sektorju elektronske identifikacije.

7. Komisija do 18. marca 2015 z izvedbenimi akti določi potrebno postopkovno ureditev za lažje sodelovanje med državami članicami, določeno v odstavkih 5 in 6, da se spodbudi visoka raven zaupanja in varnosti, ki ustreza stopnji nevarnosti.

8. Komisija do 18. septembra 2015 za določitev enotnih pogojev izvajanja zahteve iz odstavka 1 sprejme izvedbene akte o interoperabilnostnem okviru, opredeljenem v odstavku 4, pri tem pa upošteva merila iz odstavka 3 in rezultate sodelovanja med državami članicami.

9. Izvedbeni akti iz odstavkov 7 in 8 tega člena se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

POGLAVJE IIII

STORITVE ZAUPANJA

ODDELEK 1

Splošne določbe

Člen 17

Nadzorni organ

1. Države članice imenujejo nadzorni organ s sedežem na njihovem ozemlju ali – po medsebojnem dogovoru z drugo državo članico – nadzorni organ s sedežem v tej drugi državi članici. Ta organ je odgovoren za nadzorne naloge v državi članici, ki organ imenuje.

Nadzorni organi imajo potrebna pooblastila in ustrezne vire za opravljanje svojih nalog.

2. Države članice Komisijo uradno obvestijo o imenu in naslovu svojih imenovanih nadzornih organov.

3. Vloga nadzornega organa je:

(a)	nadzirati ponudnike kvalificiranih storitev zaupanja s sedežem na ozemlju države članice, ki organ imenuje, da na podlagi predhodnih in naknadnih nadzornih dejavnosti zagotovijo, da ti ponudniki in kvalificirane storitve zaupanja, ki jih zagotavljajo, izpolnjujejo zahteve iz te uredbe;

(b)	po potrebi sprejeti ukrepe v zvezi s ponudniki nekvalificiranih storitev zaupanja s sedežem na ozemlju države članice, ki organ imenuje, na podlagi naknadnega nadzora, kadar je obveščen, da ti ponudniki ali storitve zaupanja, ki jih zagotavljajo, domnevno ne izpolnjujejo zahtev iz te uredbe.

4. Za namene odstavka 3 in ob upoštevanju omejitev iz navedenega odstavka naloge nadzornega organa vključujejo zlasti:

(a)	sodelovanje z drugimi nadzornimi organi in zagotavljanje pomoči tem organom v skladu s členom 18;

(b)	analizo poročil o ugotavljanju skladnosti iz členov 20(1) in 21(1);

(c)	obveščanje drugih nadzornih organov in javnosti o kršitvah varnosti ali izgubi celovitosti v skladu s členom 19(2);

(d)	poročanje Komisiji o svojih glavnih dejavnostih v skladu z odstavkom 6 tega člena;

(e)	izvajanje revizij ali izdajanje zahtevkov organu za ugotavljanje skladnosti, da opravi ugotavljanje skladnosti ponudnikov kvalificiranih storitev zaupanja v skladu s členom 20(2);

(f)	sodelovanje z organi za varstvo podatkov, zlasti obveščanje teh organov o rezultatih revizij ponudnikov kvalificiranih storitev zaupanja brez nepotrebnega odlašanja, če se zdi, da so bila kršena pravila o varstvu osebnih podatkov;

(g)	odobritev kvalificiranega statusa ponudnikom storitev zaupanja in storitvam, ki jih zagotavljajo, ter odvzem takšnega statusa v skladu s členoma 20 in 21;

(h)	obveščanje organa, odgovornega za nacionalni zanesljiv seznam iz člena 22(3), o odločitvah glede odobritve ali odvzema kvalificiranega statusa, razen v primeru, ko je ta organ tudi nadzorni organ;

(i)	preverjanje obstoja in pravilne uporabe določb o načrtih za prenehanje zagotavljanja storitve v primerih, ko ponudnik kvalificiranih storitev zaupanja preneha opravljati svoje dejavnosti, vključno z načinom, kako so te informacije dostopne v skladu s točko (h) člena 24(2);

(j)	izdajanje zahtevkov ponudnikom storitev zaupanja, da odpravijo morebitno neizpolnjevanje zahtev iz te uredbe.

5. Države članice lahko zahtevajo, da nadzorni organ vzpostavi, vzdržuje in posodablja infrastrukturo zaupanja v skladu s pogoji iz nacionalnega prava.

6. Vsako leto do 31. marca vsak nadzorni organ Komisiji predloži poročilo o svojih glavnih dejavnostih v predhodnem koledarskem letu, skupaj s povzetkom uradnih obvestil o kršitvah, ki jih je prejel od ponudnikov storitev zaupanja v skladu s členom 19(2).

7. Komisija zagotovi, da je letno poročilo iz odstavka 6 na voljo državam članicam.

8. Komisija lahko z izvedbenimi akti opredeli oblike in postopke, ki se nanašajo na poročilo iz odstavka 6. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 20

Nadzor ponudnikov kvalificiranih storitev zaupanja

1. Ponudnike kvalificiranih storitev zaupanja na njihove lastne stroške vsaj vsakih 24 mesecev revidira organ za ugotavljanje skladnosti. Namen revizije je potrditi, ali ponudniki kvalificiranih storitev zaupanja in kvalificirane storitve zaupanja, ki jih zagotavljajo, izpolnjujejo zahteve iz te uredbe. Ponudniki kvalificiranih storitev zaupanja zadevno poročilo o ugotavljanju skladnosti predložijo nadzornemu organu v treh delovnih dneh po njegovem prejemu.

2. Brez poseganja v odstavek 1 lahko nadzorni organ – na stroške teh ponudnikov kvalificiranih storitev zaupanja – kadar koli revidira ponudnike kvalificiranih storitev zaupanja ali zahteva, da organ za ugotavljanje skladnosti opravi ugotavljanje skladnosti teh ponudnikov, da se potrdi, da ponudniki in kvalificirane storitve zaupanja, ki jih zagotavljajo, izpolnjujejo zahteve iz te uredbe. V primeru, da so bila pravila o varstvu osebnih podatkov kršena, nadzorni organ obvesti organe za varstvo podatkov o rezultatih svojih revizij.

3. Kadar nadzorni organ zahteva, da ponudnik kvalificiranih storitev zaupanja odpravi vsakršno neizpolnjevanje zahtev iz te uredbe, ta ponudnik pa ne sprejme ustreznih ukrepov – po potrebi v roku, ki ga določi nadzorni organ – lahko nadzorni organ ob upoštevanju zlasti obsega, trajanja in posledic takšnega neizpolnjevanja temu ponudniku ali zadevnim storitvam, ki jih ponudnik zagotavlja, odvzame kvalificirani status ter o tem obvesti organ iz člena 22(3), da se posodobijo zanesljivi seznami iz člena 22(1). Nadzorni organ obvesti ponudnika kvalificiranih storitev zaupanja o odvzemu kvalificiranega statusa temu ponudniku ali zadevnim storitvam.

4. Komisija lahko z izvedbenimi akti določi referenčne številke naslednjih standardov:

(a)	akreditacija organov za ugotavljanje skladnosti in za poročila o ugotavljanju skladnosti iz odstavka 1;

(b)	pravila o reviziji, na podlagi katerih bodo organi za ugotavljanje skladnosti opravili ugotavljanje skladnosti ponudnikov kvalificiranih storitev zaupanja iz odstavka 1.

Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 32

Zahteve za potrjevanje veljavnosti kvalificiranih elektronskih podpisov

1. S postopkom potrjevanja veljavnosti kvalificiranega elektronskega podpisa se potrdi veljavnost kvalificiranega elektronskega podpisa pod pogojem, da:

(a)	je bilo potrdilo, na katerem temelji podpis, v času podpisa kvalificirano potrdilo za elektronski podpis, ki je skladno s Prilogo I;

(b)	je kvalificirano potrdilo izdal ponudnik kvalificiranih storitev zaupanja in je bil veljaven v času podpisa;

(c)	podatki za potrjevanje veljavnosti podpisa ustrezajo podatkom, predloženim zanašajočim se strankam;

(d)	je enolični nabor podatkov, ki predstavlja podpisnika potrdila, pravilno predložen zanašajočim se strankam;

(e)	je zanašajoči se stranki jasno sporočeno, če je bil v času podpisa uporabljen psevdonim;

(f)	je bil elektronski podpis ustvarjen z napravo za ustvarjanje kvalificiranega elektronskega podpisa;

(g)	celovitost podpisanih podatkov ni ogrožena;

(h)	so bile v času podpisa izpolnjene zahteve iz člena 26.

2. Sistem za potrjevanje veljavnosti kvalificiranega elektronskega podpisa zanašajoči se stranki zagotavlja pravilne rezultate postopka potrjevanja veljavnosti in ji omogoča odkrivanje vseh zadevnih varnostnih vprašanj.

3. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za potrjevanje veljavnosti kvalificiranih elektronskih podpisov. Zahteve iz odstavka 1 veljajo za izpolnjene, če so pri potrjevanju veljavnosti kvalificiranih elektronskih podpisov izpolnjeni ti standardi. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 33

Kvalificirana storitev potrjevanja veljavnosti kvalificiranih elektronskih podpisov

1. Kvalificirano storitev potrjevanja veljavnosti kvalificiranih elektronskih podpisov lahko zagotavlja le ponudnik kvalificiranih storitev zaupanja, ki:

(a)	potrjevanje veljavnosti opravi v skladu s členom 32(1) in

(b)	zanašajočim se strankam omogoči, da prejmejo rezultat postopka potrjevanja veljavnosti na zanesljiv in učinkovit avtomatiziran način, ki je označen z naprednim elektronskim podpisom ali naprednim elektronskim žigom ponudnika kvalificiranih storitev potrjevanja veljavnosti.

2. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za kvalificirano storitev potrjevanja veljavnosti iz odstavka 1. Zahteve iz odstavka 1 veljajo za izpolnjene, če storitev potrjevanja veljavnosti kvalificiranih elektronskih podpisov izpolnjuje te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

whereas

(16) Ravni zanesljivosti bi morale označevati stopnjo zaupanja, ki jo sredstvo elektronske identifikacije zagotavlja pri ugotavljanju identitete osebe, s čimer se zagotovi, da je oseba, ki izkazuje določeno identiteto, dejansko oseba, ki ji je bila ta identiteta dodeljena.
Raven zanesljivosti je odvisna od stopnje zaupanja v izkazano ali zagotavljano identiteto osebe, ki jo zagotavlja sredstvo elektronske identifikacije, pri čemer se upoštevajo postopki (na primer dokazovanje in preverjanje identitete ter avtentikacija), upravljanje (na primer subjekt, ki izda sredstvo elektronske identifikacije in postopek za izdajo takšnega sredstva) in opravljen tehnični nadzor.
Obstajajo različne tehnične opredelitve in opisi ravni zanesljivosti, ki so rezultat vse-evropskih pilotnih projektov, financiranih s sredstvi Unije, standardizacije in mednarodnih dejavnosti.
Zlasti vse-evropski pilotni projekt STORK in ISO 29115 se med drugim sklicujeta na ravni 2, 3 in 4, ki bi jih bilo treba v celoti upoštevati pri določanju minimalnih tehničnih zahtev, standardov in postopkov za nizko, srednjo in visoko raven zanesljivosti v smislu te uredbe, pri čemer se zagotavlja skladna uporaba te uredbe, zlasti kar zadeva visoko raven zanesljivosti, povezano z dokazovanjem identitete ob izdaji kvalificiranih potrdil.
Opredeljene zahteve bi morale biti tehnološko nevtralne.
Dopustiti bi bilo treba možnost, da se potrebne varnostne zahteve izpolnijo z uporabo različnih tehnologij.

- = -

(31) Nadzorni organi bi morali sodelovati z organi za varstvo podatkov, na primer z obveščanjem o rezultatih revizij ponudnikov kvalificiranih storitev zaupanja, če se zdi, da so bila kršena pravila o varstvu osebnih podatkov.
Sporočanje podatkov bi moralo zajemati zlasti varnostne incidente in kršitve varstva osebnih podatkov.

- = -

(67) Storitve za avtentikacijo spletišč obiskovalcu spletišča dajejo zagotovilo, da za tem spletiščem stoji pristen in legitimen subjekt.
Te storitve prispevajo h krepitvi zaupanja v poslovanje prek spleta, saj uporabniki zaupajo spletišču, ki je bilo avtenticirano.
Zagotavljanje in uporaba storitev za avtentikacijo spletišč sta povsem prostovoljna.
Da bi avtentikacija spletišč postala sredstvo za krepitev zaupanja in zagotavljanje boljše izkušnje uporabnikov ter spodbujanje rasti na notranjem trgu, pa bi se moralo s to uredbo določiti minimalne obveznosti glede varnosti in odgovornosti za ponudnike in njihove storitve.
V ta namen so bili upoštevani rezultati obstoječih pobud, ki jih je začel zadevni sektor, na primer forum CA/B – Certification Authorities/Browsers Forum.
Poleg tega ta uredba ne bi smela ovirati uporabe drugih sredstev ali metod za avtentikacijo spletišč, ki niso zajeti s to uredbo, ponudnikom storitev za avtentikacijo spletišč iz tretjih držav pa ne bi smela preprečevati, da bi svoje storitve zagotavljali strankam v Uniji.
Vendar bi se storitve za avtentikacijo spletišč, ki jih zagotavlja ponudnik iz tretje države, morale priznati kot kvalificirane v skladu s to uredbo le, če imata Unija in država sedeža ponudnika sklenjen mednarodni sporazum.

- = -

(69) Institucije, organe, urade in agencije Unije se spodbudi, da priznajo elektronsko identifikacijo in storitve zaupanja, ki jih zajema ta uredba, v okviru upravnega sodelovanja, ki izkorišča zlasti obstoječe dobre prakse in rezultate tekočih projektov na področjih, ki jih zajema ta uredba.

- = -

keyboard_tab EIDAS 2014/0910 SL

EIDAS 2014/0910 SL