EIDAS 2014/0910 SL

1. Ponudniki kvalificiranih in nekvalificiranih storitev zaupanja sprejmejo ustrezne tehnične in organizacijske ukrepe za obvladovanje nevarnosti, povezanih z varnostjo storitev zaupanja, ki jih zagotavljajo. Ti ukrepi ob upoštevanju najnovejših tehnoloških dosežkov zagotavljajo, da je raven varnosti sorazmerna s stopnjo nevarnosti. Sprejmejo se zlasti zato, da bi preprečili in čim bolj zmanjšali vpliv varnostnih incidentov ter deležnike obvestili o škodljivih učinkih takih incidentov.

2. Ponudniki kvalificiranih in nekvalificiranih storitev zaupanja o vsaki kršitvi varnosti ali izgubi celovitosti, ki znatno vpliva na zagotovljeno storitev zaupanja ali na osebne podatke, vsebovane v njej, brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah po ugotovitvi, uradno obvestijo nadzorni organ, po potrebi pa tudi druge pristojne organe, kot je pristojni nacionalni organ za varnost informacij ali organ za varstvo podatkov.

Kadar je verjetno, da bo kršitev varnosti ali izguba celovitosti negativno vplivala na fizično ali pravno osebo, ki ji je bila zagotovljena storitev zaupanja, ponudnik storitev zaupanja o kršitvi varnosti ali izgubi celovitosti brez nepotrebnega odlašanja uradno obvesti tudi fizično ali pravno osebo.

Uradno obveščeni nadzorni organ po potrebi obvesti nadzorne organe drugih zadevnih držav članic in agencijo ENISA, zlasti če kršitev varnosti ali izguba celovitosti zadeva dve ali več držav članic.

Uradno obveščeni nadzorni organ o tem obvesti javnost ali to zahteva od ponudnika storitev zaupanja, kadar ugotovi, da je razkritje kršitve varnosti ali izgube celovitosti v javnem interesu.

3. Nadzorni organ agenciji ENISA enkrat na leto predloži povzetek uradnih obvestil o kršitvi varnosti in izgubi celovitosti, ki jih je prejel od ponudnikov storitev zaupanja.

4. Komisija lahko z izvedbenimi akti:

(a)	dodatno opredeli ukrepe iz odstavka 1 ter

(b)	določi oblike in postopke, vključno z roki, ki se uporabljajo za namene odstavka 2.

Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

ODDELEK 3

Kvalificirane storitve zaupanja

Člen 32

Zahteve za potrjevanje veljavnosti kvalificiranih elektronskih podpisov

1. S postopkom potrjevanja veljavnosti kvalificiranega elektronskega podpisa se potrdi veljavnost kvalificiranega elektronskega podpisa pod pogojem, da:

(a)	je bilo potrdilo, na katerem temelji podpis, v času podpisa kvalificirano potrdilo za elektronski podpis, ki je skladno s Prilogo I;

(b)	je kvalificirano potrdilo izdal ponudnik kvalificiranih storitev zaupanja in je bil veljaven v času podpisa;

(c)	podatki za potrjevanje veljavnosti podpisa ustrezajo podatkom, predloženim zanašajočim se strankam;

(d)	je enolični nabor podatkov, ki predstavlja podpisnika potrdila, pravilno predložen zanašajočim se strankam;

(e)	je zanašajoči se stranki jasno sporočeno, če je bil v času podpisa uporabljen psevdonim;

(f)	je bil elektronski podpis ustvarjen z napravo za ustvarjanje kvalificiranega elektronskega podpisa;

(g)	celovitost podpisanih podatkov ni ogrožena;

(h)	so bile v času podpisa izpolnjene zahteve iz člena 26.

2. Sistem za potrjevanje veljavnosti kvalificiranega elektronskega podpisa zanašajoči se stranki zagotavlja pravilne rezultate postopka potrjevanja veljavnosti in ji omogoča odkrivanje vseh zadevnih varnostnih vprašanj.

3. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za potrjevanje veljavnosti kvalificiranih elektronskih podpisov. Zahteve iz odstavka 1 veljajo za izpolnjene, če so pri potrjevanju veljavnosti kvalificiranih elektronskih podpisov izpolnjeni ti standardi. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 33

Kvalificirana storitev potrjevanja veljavnosti kvalificiranih elektronskih podpisov

1. Kvalificirano storitev potrjevanja veljavnosti kvalificiranih elektronskih podpisov lahko zagotavlja le ponudnik kvalificiranih storitev zaupanja, ki:

(a)	potrjevanje veljavnosti opravi v skladu s členom 32(1) in

(b)	zanašajočim se strankam omogoči, da prejmejo rezultat postopka potrjevanja veljavnosti na zanesljiv in učinkovit avtomatiziran način, ki je označen z naprednim elektronskim podpisom ali naprednim elektronskim žigom ponudnika kvalificiranih storitev potrjevanja veljavnosti.

2. Komisija lahko z izvedbenimi akti določi referenčne številke standardov za kvalificirano storitev potrjevanja veljavnosti iz odstavka 1. Zahteve iz odstavka 1 veljajo za izpolnjene, če storitev potrjevanja veljavnosti kvalificiranih elektronskih podpisov izpolnjuje te standarde. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).

Člen 51

Prehodni ukrepi

1. Naprave za varno ustvarjanje podpisa, katerih skladnost je bila ugotovljena v skladu s členom 3(4) Direktive 1999/93/ES, se štejejo za naprave za ustvarjanje kvalificiranega elektronskega podpisa na podlagi te uredbe.

2. Kvalificirana potrdila, izdana fizičnim osebam na podlagi Direktive 1999/93/ES, se štejejo za kvalificirana potrdila za elektronske podpise po tej uredbi do izteka njihove veljavnosti.

3. Overitelj, ki izdaja kvalificirana potrdila na podlagi Direktive 1999/93/ES, nadzornemu organu čim prej oziroma najpozneje do 1. julija 2017 predloži poročilo o ugotavljanju skladnosti. Dokler overitelj ne predloži zadevnega poročila o ugotavljanju skladnosti in nadzorni organ ne zaključi ocene skladnosti, se ta overitelj šteje za ponudnika kvalificiranih storitev zaupanja na podlagi te uredbe.

4. Če overitelj, ki izdaja kvalificirana potrdila na podlagi Direktive 1999/93/ES, nadzornemu organu v roku iz odstavka 3 ne predloži poročila o ugotavljanju skladnosti, se ta overitelj od 2. julija 2017 ne šteje za ponudnika kvalificiranih storitev zaupanja na podlagi te uredbe.

whereas

(2) Namen te uredbe je okrepiti zaupanje v elektronske transakcije na notranjem trgu, tako da se zagotovi skupni temelj za varne elektronske interakcije med državljani, podjetji in javnimi organi, s čimer bi se povečala učinkovitost javnih in zasebnih spletnih storitev, elektronskega poslovanja ter elektronskega trgovanja v Uniji.

- = -

(16) Ravni zanesljivosti bi morale označevati stopnjo zaupanja, ki jo sredstvo elektronske identifikacije zagotavlja pri ugotavljanju identitete osebe, s čimer se zagotovi, da je oseba, ki izkazuje določeno identiteto, dejansko oseba, ki ji je bila ta identiteta dodeljena.
Raven zanesljivosti je odvisna od stopnje zaupanja v izkazano ali zagotavljano identiteto osebe, ki jo zagotavlja sredstvo elektronske identifikacije, pri čemer se upoštevajo postopki (na primer dokazovanje in preverjanje identitete ter avtentikacija), upravljanje (na primer subjekt, ki izda sredstvo elektronske identifikacije in postopek za izdajo takšnega sredstva) in opravljen tehnični nadzor.
Obstajajo različne tehnične opredelitve in opisi ravni zanesljivosti, ki so rezultat vse-evropskih pilotnih projektov, financiranih s sredstvi Unije, standardizacije in mednarodnih dejavnosti.
Zlasti vse-evropski pilotni projekt STORK in ISO 29115 se med drugim sklicujeta na ravni 2, 3 in 4, ki bi jih bilo treba v celoti upoštevati pri določanju minimalnih tehničnih zahtev, standardov in postopkov za nizko, srednjo in visoko raven zanesljivosti v smislu te uredbe, pri čemer se zagotavlja skladna uporaba te uredbe, zlasti kar zadeva visoko raven zanesljivosti, povezano z dokazovanjem identitete ob izdaji kvalificiranih potrdil.
Opredeljene zahteve bi morale biti tehnološko nevtralne.
Dopustiti bi bilo treba možnost, da se potrebne varnostne zahteve izpolnijo z uporabo različnih tehnologij.

- = -

(17) Države članice bi morale spodbujati zasebni sektor, da prostovoljno uporablja sredstva elektronske identifikacije v okviru priglašene sheme za namene identifikacije, kadar je to potrebno za spletne storitve ali elektronske transakcije.
Možnost uporabe takšnih sredstev elektronske identifikacije bi zasebnemu sektorju omogočila uporabo elektronske identifikacije in avtentikacije, ki se v številnih državah članicah že uporabljata vsaj za javne storitve, podjetja in državljani pa bi tako imeli lažji dostop do čezmejnih spletnih storitev.
Da bi zasebnemu sektorju olajšali čezmejno uporabo takšnih sredstev elektronske identifikacije, bi morala biti možnost avtentikacije, ki jo zagotavlja katera koli država članica, na voljo zanašajočim se strankam iz zasebnega sektorja, ki nimajo sedeža na ozemlju te države članice, pod enakimi pogoji, kot veljajo za zanašajoče se stranke iz zasebnega sektorja, ki imajo sedež v tej državi članici.
Zato lahko država članica priglasiteljica za zanašajoče se stranke iz zasebnega sektorja določi pogoje za dostop do sredstva avtentikacije.
V takšnih pogojih za dostop je lahko navedeno, ali je sredstvo avtentikacije, povezano s priglašeno shemo, trenutno na voljo zanašajočim se strankam iz zasebnega sektorja.

- = -

(19) Varnost shem elektronske identifikacije je ključna za zaupanja vredno čezmejno vzajemno priznavanje sredstev elektronske identifikacije.
V zvezi s tem bi morale države članice sodelovati pri zagotavljanju varnosti in interoperabilnosti shem elektronske identifikacije na ravni Unije. Če bi za sheme elektronske identifikacije potrebovali posebno strojno ali programsko opremo, ki bi jo uporabljale zanašajoče se stranke na nacionalni ravni, te države članice zaradi čezmejne interoperabilnosti ne bi smele naložiti takšnih zahtev in z njimi povezanih stroškov zanašajočim se strankam, ki nimajo sedeža na njihovem ozemlju.
V tem primeru bi bilo treba razpravljati o primernih rešitvah in jih razvijati v interoperabilnostnem okviru.
Vendar pa se ni mogoče izogniti tehničnim zahtevam, ki izhajajo iz specifikacij nacionalnih sredstev elektronske identifikacije in bi lahko vplivale na imetnike takšnih elektronskih sredstev (npr.
pametnih kartic).

- = -

(44) Namen te uredbe je zagotoviti skladen okvir, ki bo zagotavljal visoko raven varnosti in pravne varnosti storitev zaupanja.
Tozadevno bi morala Komisija pri obravnavi ugotavljanja skladnosti izdelkov in storitev po potrebi iskati sinergije z obstoječimi zadevnimi evropskimi in mednarodnimi sistemi, kot je Uredba (ES) št. 765/2008 Evropskega parlamenta in Sveta (9), ki določa zahteve za akreditacijo organov za ugotavljanje skladnosti in nadzor trga izdelkov.

- = -

(45) Da se omogoči učinkovit postopek za vključitev ponudnikov kvalificiranih storitev zaupanja in kvalificiranih storitev zaupanja, ki jih ti zagotavljajo, na zanesljive sezname, bi bilo treba spodbujati predhodno sodelovanje med bodočimi ponudniki kvalificiranih storitev zaupanja in pristojnim nadzornim organom, da se spodbudi ustrezna skrbnost, potrebna za začetek zagotavljanja kvalificiranih storitev zaupanja.

- = -

(63) Elektronski dokumenti so pomembni za nadaljnji razvoj čezmejnih elektronskih transakcij na notranjem trgu.
Ta uredba bi morala vzpostaviti načelo, da se elektronskemu dokumentu ne bi smelo odvzeti pravnega učinka, ker je v elektronski obliki, s čimer bi se zagotovilo, da elektronska transakcija ne bo zavrnjena le zato, ker je dokument v elektronski obliki.

- = -

(66) Nujno je določiti pravni okvir, da se olajša čezmejno priznavanje storitev elektronske priporočene dostave med obstoječimi nacionalnimi pravnimi sistemi.
Ta okvir bi lahko ustvaril tudi nove tržne priložnosti za ponudnike storitev zaupanja iz Unije, ki bi lahko ponujali nove vse-evropske storitve elektronske priporočene dostave.

- = -

keyboard_tab EIDAS 2014/0910 SL

EIDAS 2014/0910 SL