CELEX:02014R0910-20241018: Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE
|
Redacția Lex24 |
| Publicat in Repertoriu EUR-Lex, 22/10/2024 |
| |
Informatii
Data documentului: 18/10/2024Data intrării în vigoare: 18/10/2024
Emitent: Not available
Formă: Repertoriu EUR-Lex
02014R0910 — RO — 18.10.2024 — 002.001
Acest document are doar scop informativ și nu produce efecte juridice. Instituțiile Uniunii nu își asumă răspunderea pentru conținutul său. Versiunile autentice ale actelor relevante, inclusiv preambulul acestora, sunt cele publicate în Jurnalul Oficial al Uniunii Europene și disponibile pe site-ul EUR-Lex. Aceste texte oficiale pot fi consultate accesând linkurile integrate în prezentul document.
|
REGULAMENTUL (UE) NR. 910/2014 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 23 iulie 2014 (JO L 257 28.8.2014, p. 73) |
Astfel cum a fost modificat prin:
|
|
|
Jurnalul Oficial |
||
|
NR. |
Pagina |
Data |
||
|
DIRECTIVA (UE) 2022/2555 A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI |
L 333 |
80 |
27.12.2022 |
|
|
REGULAMENTUL (UE) 2024/1183 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI |
L 1183 |
1 |
30.4.2024 |
|
Rectificat prin:
REGULAMENTUL (UE) NR. 910/2014 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI
din 23 iulie 2014
privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE
CAPITOLUL I
DISPOZIȚII GENERALE
Articolul 1
Obiect
Prezentul regulament urmărește să asigure buna funcționare a pieței interne și să asigure un nivel adecvat de securitate a mijloacelor de identificare electronică și a serviciilor de încredere utilizate în întreaga Uniune, pentru a permite și a facilita exercitarea de către persoanele fizice și juridice a dreptului de a participa la societatea digitală în condiții de siguranță și de a accesa servicii publice și private online în întreaga Uniune. În acest scop, prezentul regulament:
stabilește condițiile în care statele membre recunosc mijloacele de identificare electronică a persoanelor fizice și juridice care intră sub incidența unui sistem notificat de identificare electronică al unui alt stat membru și furnizează și recunosc portofelele europene pentru identitatea digitală;
stabilește norme pentru serviciile de încredere, în special pentru tranzacțiile electronice;
stabilește un cadru juridic pentru semnăturile electronice, sigiliile electronice, mărcile temporale electronice, documentele electronice, serviciile de distribuție electronică înregistrate, serviciile de certificare pentru autentificarea unui site internet, arhivarea electronică, atestarea electronică a atributelor, dispozitivele de creare a semnăturilor, dispozitivele de creare a sigiliilor electronice, precum și pentru registrele electronice.
Articolul 2
Domeniul de aplicare
Articolul 3
Definiții
În sensul prezentului regulament, se aplică următoarele definiții:
„identificare electronică” înseamnă procesul de utilizare a datelor de identificare personală în format electronic, reprezentând în mod unic fie o persoană fizică sau juridică, fie o persoană fizică care reprezintă o altă persoană fizică sau o persoană juridică;
„mijloace de identificare electronică” înseamnă o unitate materială și/sau imaterială care conține date de identificare personală și care este folosită în scopul autentificării pentru un serviciu online sau, după caz, pentru un serviciu offline;
„date de identificare personală” înseamnă un set de date care este emis în conformitate cu dreptul Uniunii sau cu dreptul intern și care permite stabilirea identității unei persoane fizice sau juridice ori a unei persoane fizice care reprezintă o altă persoană fizică sau o persoană juridică;
„sistem de identificare electronică” înseamnă un sistem pentru identificarea electronică în care sunt emise mijloace de identificare electronică pentru persoane fizice sau juridice ori pentru persoane fizice care reprezintă alte persoane fizice sau persoane juridice;
„autentificare” înseamnă un proces electronic care permite confirmarea identificării electronice a unei persoane fizice sau juridice sau confirmarea originii și integrității unor date în format electronic;
„utilizator” înseamnă o persoană fizică sau juridică ori o persoană fizică care reprezintă o altă persoană fizică sau o persoană juridică, care utilizează servicii de încredere sau mijloace de identificare electronică, puse la dispoziție în conformitate cu prezentul regulament;
„beneficiar” înseamnă o persoană fizică sau juridică care beneficiază de identificarea electronică, de portofelele europene pentru identitatea digitală sau de alte mijloace de identificare electronică sau de un serviciu de încredere;
„organism din sectorul public” înseamnă un stat, o autoritate regională sau locală, un organism de drept public sau o asociație formată din una sau mai multe astfel de autorități sau din unul sau mai multe astfel de organisme de drept public; sau o entitate privată mandatată de cel puțin una dintre aceste autorități, organisme sau asociații să presteze servicii publice atunci când acționează în temeiul unui astfel de mandat;
„organism de drept public” înseamnă un organism astfel cum este definit la articolul 2 alineatul (1) punctul 4 din Directiva 2014/24/UE a Parlamentului European și a Consiliului (2);
„semnatar” înseamnă o persoană fizică care creează o semnătură electronică;
„semnătură electronică” înseamnă date în format electronic, atașate la sau asociate logic cu alte date în format electronic și care sunt utilizate de semnatar pentru a semna;
„semnătură electronică avansată” înseamnă o semnătură electronică ce îndeplinește cerințele prevăzute la articolul 26;
„semnătură electronică calificată” înseamnă o semnătură electronică avansată care este creată de un dispozitiv de creare a semnăturilor electronice calificat și care se bazează pe un certificat calificat pentru semnăturile electronice;
„date de creare a semnăturilor electronice” înseamnă date unice care sunt utilizate de semnatar pentru a crea o semnătură electronică;
„certificat pentru semnătura electronică” înseamnă o atestare electronică care face legătura între datele de validare a semnăturii electronice și o persoană fizică și care confirmă cel puțin numele sau pseudonimul persoanei respective;
„certificat calificat pentru semnătură electronică” înseamnă un certificat pentru semnăturile electronice care este emis de un prestator de servicii de încredere calificat și care îndeplinește cerințele prevăzute în anexa I;
„serviciu de încredere” înseamnă un serviciu electronic prestat în mod obișnuit în schimbul unei remunerații, care constă în oricare din următoarele:
emiterea certificatelor pentru semnături electronice, a certificatelor pentru sigilii electronice, a certificatelor pentru autentificarea unui site internet sau a certificatelor pentru prestarea altor servicii de încredere;
validarea certificatelor pentru semnăturile electronice, a certificatelor pentru sigiliile electronice, a certificatelor pentru autentificarea unui site internet sau a certificatelor pentru prestarea altor servicii de încredere;
crearea semnăturilor electronice sau a sigiliilor electronice;
validarea semnăturilor electronice sau a sigiliilor electronice;
păstrarea semnăturilor electronice, a sigiliilor electronice, a certificatelor pentru semnăturile electronice sau a certificatelor pentru sigiliile electronice;
gestionarea dispozitivelor pentru crearea semnăturilor electronice la distanță sau a dispozitivelor pentru crearea sigiliilor electronice la distanță;
emiterea atestatelor electronice ale atributelor;
validarea atestatelor electronice a atributelor;
crearea mărcilor temporale electronice;
validarea mărcilor temporale electronice;
prestarea serviciilor de distribuție electronică înregistrate;
validarea datelor transmise prin intermediul serviciilor de distribuție electronică înregistrate și a probelor aferente;
arhivarea electronică a datelor electronice;
înregistrarea într-un registru electronic a datelor electronice și a documentelor în format electronic;
„serviciu de încredere calificat” înseamnă un serviciu de încredere care îndeplinește cerințele aplicabile prevăzute de prezentul regulament;
„organism de evaluare a conformității” înseamnă un organism de evaluare a conformității în sensul definiției de la articolul 2 punctul 13 din Regulamentul (CE) nr. 765/2008, care este acreditat în conformitate cu regulamentul respectiv ca fiind competent să efectueze evaluarea conformității unui prestator de servicii de încredere calificat și a serviciilor de încredere calificate pe care acesta le prestează ori ca fiind competent să efectueze certificarea portofelelor europene pentru identitatea digitală sau a mijloacelor de identificare electronică;
„prestator de servicii de încredere” înseamnă o persoană fizică sau juridică care prestează unul sau mai multe servicii de încredere ca prestator de servicii de încredere calificat sau necalificat;
„prestator de servicii de încredere calificat” înseamnă un prestator de servicii de încredere care prestează unul sau mai multe servicii de încredere calificate și căruia i se acordă statutul de calificat de către organismul de supraveghere;
„produs” înseamnă hardware sau software ori componente relevante de hardware sau de software destinate să fie utilizate pentru prestarea de servicii de identificare electronică și de servicii de încredere;
„dispozitiv de creare a semnăturilor electronice” înseamnă software sau hardware configurat, utilizat pentru a crea o semnătură electronică;
„dispozitiv de creare a semnăturilor electronice calificat” înseamnă un dispozitiv de creare a semnăturilor electronice care îndeplinește cerințele prevăzute în anexa II;
„dispozitiv calificat de creare a semnăturii electronice la distanță” înseamnă un dispozitiv calificat de creare a semnăturii electronice care este gestionat de un prestator de servicii de încredere calificat în conformitate cu articolul 29a în numele unui semnatar;
„dispozitiv calificat de creare a sigiliului electronic la distanță” înseamnă un dispozitiv calificat de creare a sigiliului electronic care este gestionat de un prestator de servicii de încredere calificat în conformitate cu articolul 39a în numele unui creator de sigilii;
„creatorul unui sigiliu” înseamnă o persoană juridică care creează un sigiliu electronic;
„sigiliu electronic” înseamnă date în format electronic atașate la sau asociate logic cu alte date în format electronic pentru asigurarea originii și integrității acestora din urmă;
„sigiliu electronic avansat” înseamnă un sigiliu electronic care îndeplinește cerințele prevăzute la articolul 36;
„sigiliu electronic calificat” înseamnă un sigiliu electronic avansat care este creat de un dispozitiv de creare a sigiliilor electronice calificat și care se bazează pe un certificat calificat pentru sigiliile electronice;
„date de creare a sigiliilor electronice” înseamnă date unice care sunt utilizate de creatorul sigiliului electronic pentru a crea un sigiliu electronic;
„certificat pentru sigiliul electronic” înseamnă o atestare electronică care face legătura între datele de validare a sigiliului electronic și o persoană juridică și care confirmă numele persoanei respective;
„certificat calificat pentru sigiliul electronic” înseamnă un certificat pentru un sigiliu electronic care este emis de un prestator de servicii de încredere calificat și care îndeplinește cerințele prevăzute în anexa III;
„dispozitiv de creare a sigiliului electronic” înseamnă software sau hardware configurat, utilizat pentru a crea un sigiliu electronic;
„dispozitiv de creare a sigiliului electronic calificat” înseamnă un dispozitiv de creare a sigiliului electronic care îndeplinește mutatis mutandis cerințele prevăzute în anexa II;
„marcă temporală electronică” înseamnă date în format electronic care leagă alte date în format electronic de un anumit moment, stabilind dovezi că acestea din urmă au existat la acel moment;
„marcă temporală electronică calificată” înseamnă o marcă temporală electronică care îndeplinește cerințele prevăzute la articolul 42;
„document electronic” înseamnă orice conținut stocat în format electronic, în special sub formă de text sau de înregistrare sonoră, vizuală sau audiovizuală;
„serviciu de distribuție electronică înregistrată” înseamnă un serviciu care permite transmiterea de date între părți terțe prin mijloace electronice și furnizează dovezi referitoare la manipularea datelor transmise, inclusiv dovezi privind trimiterea și primirea datelor și care protejează datele transmise împotriva riscului de pierdere, furt, deteriorare sau orice modificare neautorizată;
„serviciu de distribuție electronică înregistrată calificat” înseamnă un serviciu de distribuție electronică înregistrată care îndeplinește cerințele prevăzute la articolul 44;
„certificat pentru autentificarea unui site internet” înseamnă un atestat electronic care face posibilă autentificarea unui site internet și face legătura între site-ul internet și persoana fizică sau juridică căreia i s-a emis certificatul;
„certificat calificat pentru autentificarea unui site internet” înseamnă un certificat pentru autentificarea unui site internet care este emis de un prestator de servicii de încredere calificat și care îndeplinește cerințele prevăzute în anexa IV;
„date de validare” înseamnă date care sunt utilizate pentru a valida o semnătură electronică sau un sigiliu electronic;
„validare” înseamnă procesul prin care se verifică și se confirmă validitatea datelor în format electronic în conformitate cu prezentul regulament;
„portofel european pentru identitatea digitală” înseamnă un mijloc de identificare electronică care permite utilizatorului să stocheze, să gestioneze și să valideze în condiții de siguranță datele de identificare personală și atestatele electronice ale atributelor cu scopul de a le furniza beneficiarilor și altor utilizatori ai portofelelor europene pentru identitatea digitală și să semneze prin intermediul semnăturilor electronice calificate sau să sigileze prin intermediul sigiliilor electronice calificate;
„atribut” înseamnă o caracteristică, o calitate, un drept sau o permisiune a unei persoane fizice sau juridice sau a unui obiect;
„atestat electronic al atributelor” înseamnă un atestat în format electronic care permite atributelor să fie autentificate;
„atestat electronic calificat al atributelor” înseamnă un atestat electronic al atributelor care este emis de un prestator de servicii de încredere calificat și care îndeplinește cerințele prevăzute în anexa V;
„atestat electronic al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele acestuia” înseamnă un atestat electronic al atributelor emis de un organism din sectorul public care este responsabil de o sursă autentică ori de un organism din sectorul public care este desemnat de statul membru să emită astfel de atestate ale atributelor în numele organismelor din sectorul public responsabile de sursele autentice în conformitate cu articolul 45f și cu anexa VII;
„sursă autentică” înseamnă un registru sau un sistem, aflat în responsabilitatea unui organism din sectorul public sau a unei entități private, care conține și pune la dispoziție atribute referitoare la o persoană fizică sau juridică ori la un obiect și care este considerat a fi o sursă primară a informațiilor respective sau care este recunoscut ca fiind autentic în conformitate cu dreptul Uniunii sau cu dreptul intern, inclusiv cu practica administrativă;
„arhivare electronică” înseamnă un serviciu care asigură primirea, stocarea, recuperarea și ștergerea datelor electronice și a documentelor electronice pentru a asigura durabilitatea și lizibilitatea acestora, precum și pentru a păstra integritatea, confidențialitatea și dovada originii acestora pe parcursul întregii perioade de păstrare;
„serviciu calificat de arhivare electronică” înseamnă un serviciu de arhivare electronică care este prestat de un prestator de servicii de încredere calificat și care îndeplinește cerințele prevăzute la articolul 45j;
„marca de încredere a portofelului UE pentru identitatea digitală” înseamnă o indicație verificabilă, simplă și ușor de recunoscut, care se comunică în mod clar, a faptului că un portofel european pentru identitatea digitală a fost pus la dispoziție în conformitate cu prezentul regulament;
„autentificarea strictă a utilizatorilor” înseamnă o autentificare care se bazează pe utilizarea a cel puțin doi factori de autentificare din categoriile diferite ale cunoștințelor, ceva ce doar utilizatorul cunoaște, ale posesiei, ceva ce doar utilizatorul posedă sau ale inerenței, ceva ce reprezintă utilizatorul, care sunt independenți, în sensul că încălcarea securității unuia dintre factori nu compromite fiabilitatea celorlalți, și care este concepută în așa fel încât să protejeze confidențialitatea datelor de autentificare;
„registru electronic” înseamnă o secvență de înregistrări electronice de date, care asigură integritatea înregistrărilor respective și acuratețea ordinii cronologice a înregistrărilor respective;
„registru electronic calificat” înseamnă o un registru electronic care este pus la dispoziție de un prestator de servicii de încredere calificat și care îndeplinește cerințele prevăzute la articolul 45l;
„date cu caracter personal” înseamnă orice informație în sensul definiției de la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;
„corelarea identității” înseamnă un proces prin care datele de identificare personală sau mijloacele de identificare electronică sunt corelate sau asociate cu un cont existent care aparține aceleiași persoane;
„înregistrare de date” înseamnă date electronice înregistrate împreună cu metadatele aferente care susțin prelucrarea datelor;
„mod offline” înseamnă, în ceea ce privește utilizarea portofelelor europene pentru identitatea digitală, o interacțiune între un utilizator și o terță parte într-un loc fizic care utilizează tehnologii de proximitate imediată, fără ca portofelul european pentru identitatea digitală să fie necesar pentru accesarea unor sisteme la distanță prin intermediul rețelelor de comunicații electronice în scopul interacțiunii respective.
Articolul 4
Principiul pieței interne
Articolul 5
Pseudonime în tranzacțiile electronice
Fără a aduce atingere normelor specifice din dreptul Uniunii sau din dreptul intern care impun utilizatorilor să se identifice sau efectelor juridice conferite pseudonimelor în temeiul dreptului intern, utilizarea pseudonimelor alese de utilizator nu este interzisă.
CAPITOLUL II
IDENTIFICARE ELECTRONICĂ
SECȚIUNEA 1
Portofelul european pentru identitatea digitală
Articolul 5a
Portofelele europene pentru identitatea digitală
Portofelele europene pentru identitatea digitală sunt furnizate în unul sau mai multe dintre următoarele moduri:
direct de către un stat membru;
pe baza unui mandat din partea unui stat membru;
în mod independent de un stat membru, dar fiind recunoscute de respectivul stat membru.
Portofelele europene pentru identitatea digitală permit utilizatorului, într-un mod transparent și ușor de utilizat și de urmărit de către acesta:
să solicite, să obțină, să selecteze, să combine, să stocheze, să șteargă, să partajeze și să prezinte în condiții de siguranță, exclusiv sub controlul utilizatorului, datele de identificare personală și, după caz, în combinație cu atestate electronice ale atributelor, să se autentifice beneficiarilor online și, după caz, în mod offline, pentru a accesa servicii publice și private, asigurând, în același timp, că este posibilă divulgarea selectivă a datelor;
să genereze pseudonime și să le stocheze local și în formă criptată în portofelul european pentru identitatea digitală;
să autentifice în condiții de siguranță portofelul european pentru identitatea digitală al unei alte persoane și să primească și partajeze date de identificare personală și atestate electronice ale atributelor într-un mod securizat între cele două portofele europene pentru identitatea digitală;
să acceseze o evidență a tuturor tranzacțiilor efectuate cu ajutorul portofelului european pentru identitatea digitală prin intermediul unui tablou de bord comun care să permită utilizatorului:
să vizualizeze o listă actualizată a beneficiarilor cu care utilizatorul a stabilit o conexiune și, după caz, a tuturor datelor partajate;
să solicite cu ușurință unui beneficiar să șteargă datele cu caracter personal în temeiul articolului 17 din Regulamentul (UE) 2016/679;
să semnaleze cu ușurință un beneficiar autorității naționale competente pentru protecția datelor, atunci când se primește o cerere de date presupus ilegală sau suspectă;
să semneze prin intermediul semnăturilor electronice calificate sau să sigileze prin intermediul sigiliilor electronice calificate;
să descarce, în măsura în care acest lucru este fezabil din punct de vedere tehnic, datele, atestatul electronic al atributelor și configurațiile utilizatorului;
să exercite dreptul utilizatorului la portabilitatea datelor.
În special, portofelele europene pentru identitatea digitală:
permit utilizarea unor protocoale și interfețe comune:
pentru emiterea datelor de identificare personală, a atestatelor electronice calificate și necalificate ale atributelor sau a certificatelor calificate și necalificate către portofelul european pentru identitatea digitală;
pentru ca beneficiarii să solicite și să valideze date de identificare personală și atestate electronice ale atributelor;
pentru partajarea și prezentarea către beneficiari a datelor de identificare personală, a atestatului electronic al atributelor sau a datelor conexe divulgate selectiv online și, după caz, în mod offline;
pentru ca utilizatorul să permită interacțiunea cu portofelul european pentru identitatea digitală și să afișeze o marcă de încredere a portofelului UE pentru identitatea digitală;
pentru a realiza integrarea în condiții de siguranță a utilizatorului prin utilizarea unui mijloc de identificare electronică în conformitate cu articolul 5a alineatul (24);
pentru interacțiunea între portofelele europene pentru identitatea digitală a două persoane în scopul de a primi, a valida și a partaja date de identificare personală și atestate electronice ale atributelor într-un mod securizat;
pentru autentificarea și identificarea beneficiarilor prin punerea în aplicare a mecanismelor de autentificare în conformitate cu articolul 5b;
pentru ca beneficiarii să verifice autenticitatea și valabilitatea portofelelor europene pentru identitatea digitală;
pentru a solicita unui beneficiar să șteargă datele cu caracter personal în temeiul articolului 17 din Regulamentul (UE) 2016/679;
pentru a semnala un beneficiar autorității naționale pentru protecția datelor competente în cazul în care se primește o cerere de date presupus ilegală sau suspectă;
pentru crearea de semnături sau sigilii electronice calificate prin intermediul dispozitivelor de creare a semnăturilor electronice sau a sigiliilor electronice calificate;
nu oferă prestatorilor de servicii de încredere care furnizează atestate electronice ale atributelor nicio informație cu privire la utilizarea respectivelor atestate electronice;
asigură faptul că beneficiarii pot fi autentificați și identificați prin punerea în aplicare a unor mecanisme de autentificare în conformitate cu articolul 5b;
îndeplinesc cerințele prevăzute la articolul 8 în ceea ce privește nivelul de asigurare ridicat, în special în ceea ce privește cerințele privind dovedirea și verificarea identității, precum și gestionarea și autentificarea mijloacelor de identificare electronică;
în cazul atestatelor electronice ale atributelor cu politici de divulgare încorporate, pune în aplicare mecanismul adecvat pentru a informa utilizatorul că beneficiarul sau utilizatorul portofelului european pentru identitatea digitală care solicită atestatul electronic al atributelor în cauză are permisiunea de a accesa astfel de atestate;
asigură faptul că datele de identificare personală, care sunt disponibile din sistemul de identificare electronică în cadrul căruia este furnizat portofelul european pentru identitatea digitală, reprezintă în mod unic persoana fizică, persoana juridică sau persoana fizică ce reprezintă persoana fizică sau juridică și sunt asociate cu respectivul portofel european pentru identitatea digitală;
oferă tuturor persoanelor fizice posibilitatea de a semna prin intermediul semnăturilor electronice calificate în mod implicit și gratuit.
Prin excepție de la dispozițiile de la primul paragraf litera (g), statele membre pot să prevadă măsuri proporționale pentru a asigura faptul că utilizarea gratuită a semnăturilor electronice calificate de către persoanele fizice este limitată la scopuri neprofesionale.
Statele membre pun la dispoziție cu titlu gratuit mecanisme de validare pentru:
a asigura faptul că autenticitatea și valabilitatea portofelelor europene pentru identitatea digitală pot fi verificate;
a permite utilizatorilor să verifice autenticitatea și valabilitatea identității beneficiarilor înregistrați în conformitate cu articolul 5b.
Statele membre se asigură că valabilitatea portofelului european pentru identitatea digitală poate fi revocată în următoarele circumstanțe:
la cererea explicită a utilizatorului;
în cazul în care a fost compromisă securitatea portofelului european pentru identitatea digitală;
în caz de deces al utilizatorului sau de încetare a activității persoanei juridice.
Cadrul tehnic al portofelului european pentru identitatea digitală:
nu permite furnizorilor de atestate electronice ale atributelor sau oricărei alte părți, după emiterea atestatelor atributelor, să obțină date care permit urmărirea, conectarea sau corelarea tranzacțiilor sau a comportamentul utilizatorului sau obținerea în alt mod de cunoștințe privind tranzacțiile sau comportamentul utilizatorului, cu excepția cazului în care utilizatorul autorizează în mod explicit acest lucru;
permite aplicarea unor tehnici de protecție a vieții private care asigură imposibilitatea stabilirii unei legături, în cazul în care atestarea atributelor nu necesită identificarea utilizatorului.
Statele membre transmit Comisiei, fără întârzieri nejustificate, informații cu privire la:
organismul responsabil cu întocmirea și menținerea listei beneficiarilor înregistrați care recurg la portofelele europene pentru identitatea digitală în conformitate cu articolul 5b alineatul (5) și localizarea acestei liste;
organismele responsabile de furnizarea portofelelor europene pentru identitatea digitală în conformitate cu articolul 5a alineatul (1);
organismele responsabile de asigurarea faptului că datele de identificare personală sunt asociate cu portofelul european pentru identitatea digitală în conformitate cu articolul 5a alineatul (5) litera (f);
mecanismul care permite validarea datelor de identificare personală menționate la articolul 5a alineatul (5) litera (f) și a identității beneficiarilor;
mecanismul de validare a autenticității și valabilității portofelelor europene pentru identitatea digitală.
Comisia pune informațiile transmise în temeiul primului paragraf la dispoziția publicului prin intermediul unui canal sigur, într-o formă purtând o semnătură electronică sau un sigiliu electronic adecvate pentru prelucrarea automată.
Articolul 5b
Beneficiarii portofelului european pentru identitatea digitală
Procesul de înregistrare este eficient din punctul de vedere al costurilor și proporțional cu riscurile. Beneficiarul furnizează cel puțin:
informațiile necesare pentru autentificarea în portofelele europene pentru identitatea digitală, informații care includ cel puțin:
statul membru în care este stabilit beneficiarul; și
numele beneficiarului și, după caz, numărul său de înregistrare, astfel cum figurează într-un registru oficial, împreună cu datele de identificare ale respectivului registru oficial;
datele de contact ale beneficiarului;
utilizarea preconizată a portofelelor europene pentru identitatea digitală, inclusiv menționarea datelor pe care beneficiarul urmează să le solicite utilizatorilor.
Articolul 5c
Certificarea portofelelor europene pentru identitatea digitală
Articolul 5d
Publicarea unei liste a portofelelor europene pentru identitatea digitală certificate
Fără a aduce atingere articolului 5a alineatul (18), informațiile menționate la alineatul (1) de la prezentul articol, furnizate de statele membre, includ cel puțin:
certificatul și raportul de evaluare a certificării portofelului european pentru identitatea digitală certificat;
o descriere a sistemului de identificare electronică în cadrul căruia este furnizat portofelul european pentru identitatea digitală;
regimul de supraveghere aplicabil și informații privind regimul de răspundere referitor la partea care furnizează portofelul european pentru identitatea digitală;
autoritatea sau autoritățile responsabile pentru sistemul de identificare electronică;
dispozițiile pentru suspendarea sau revocarea sistemului de identificare electronică, a autentificării sau a părților compromise în cauză.
Articolul 5e
Încălcarea securității portofelelor europene pentru identitatea digitală
În cazul în care acest lucru este justificat de gravitatea încălcării securității sau a compromiterii menționate la primul paragraf, statul membru retrage fără întârzieri nejustificate portofelele europene pentru identitatea digitală.
Statul membru informează în mod corespunzător utilizatorii afectați, punctele unice de contact desemnate în temeiul articolului 46c alineatul (1), beneficiarii și Comisia.
Articolul 5f
Utilizarea transfrontalieră a portofelelor europene pentru identitatea digitală
SECȚIUNEA 2
Sisteme de identificare electronică
Articolul 6
Recunoașterea reciprocă
Atunci când este necesară o identificare electronică care utilizează un mijloc de identificare electronică și o autentificare în temeiul dreptului intern sau al practicii administrative naționale pentru a accesa un serviciu prestat online de un organism din sectorul public într-un stat membru, mijloacele de identificare electronică emise într-un alt stat membru sunt recunoscute în primul stat membru în scopul autentificării transfrontaliere a respectivului serviciu online, cu condiția să fie îndeplinite următoarele condiții:
mijloacele de identificare electronică să fie emise în cadrul unui sistem de identificare electronică inclus în lista publicată de Comisie în temeiul articolului 9;
nivelul de asigurare al respectivelor mijloace de identificare electronică să corespundă unui nivel de asigurare egal sau mai ridicat decât nivelul de asigurare impus de organismul din sectorul public relevant pentru a accesa respectivul serviciu online în primul stat membru, cu condiția ca nivelul de asigurare al mijloacelor de identificare electronică respective să corespundă nivelului de asigurare substanțial sau ridicat;
organismul din sectorul public relevant utilizează nivelul de asigurare „substanțial” sau „ridicat” în legătură cu accesarea online a serviciului respectiv.
Această recunoaștere trebuie să aibă loc în termen de cel mult 12 luni de la publicarea de către Comisie a listei menționate la primul paragraf litera (a).
Articolul 7
Eligibilitatea pentru notificarea sistemelor de identificare electronică
Un sistem de identificare electronică este eligibil pentru notificare în temeiul articolului 9 alineatul (1) în cazul în care sunt îndeplinite toate condițiile de mai jos:
mijloacele de identificare electronică din cadrul sistemului de identificare electronică sunt emise:
de statul membru care notifică;
pe baza unui mandat din partea statului membru care notifică; sau
independent de statul membru care notifică și sunt recunoscute de respectivul stat membru;
mijloacele de identificare electronică din cadrul sistemului de identificare electronică pot fi utilizate pentru a accesa cel puțin un serviciu care este prestat de un organism din sectorul public și care necesită identificarea electronică în statul membru care notifică;
sistemul de identificare electronică și mijloacele de identificare electronică emise în temeiul acestuia îndeplinesc cerințele aferente cel puțin unuia dintre nivelurile de asigurare prevăzute în actul de punere în aplicare menționat la articolul 8 alineatul (3);
statul membru care notifică se asigură că datele de identificare personală, reprezentând în mod unic persoana în cauză, sunt atribuite, în conformitate cu specificațiile, standardele și procedurile tehnice aferente nivelului de asigurare relevant prevăzut în actul de punere în aplicare menționat la articolul 8 alineatul (3), persoanei fizice sau juridice menționate la articolul 3 punctul 1 la momentul emiterii mijloacelor de identificare electronică din cadrul sistemului respectiv;
partea care emite mijloacele de identificare electronică din cadrul respectivului sistem se asigură că mijloacele de identificare electronică sunt atribuite persoanelor menționate la litera (d) de la prezentul articol, în conformitate cu specificațiile tehnice, standardele și procedurile aferente nivelului de asigurare corespunzător prevăzut în actul de punere în aplicare menționat la articolul 8 alineatul (3);
statul membru care notifică asigură disponibilitatea autentificării online, astfel încât orice beneficiar stabilit pe teritoriul altui stat membru să poată confirma datele de identificare personală primite în format electronic.
În cazul altor beneficiari decât organismele din sectorul public, statul membru care notifică poate defini condițiile de acces la mijlocul respectiv de autentificare. Autentificarea transfrontalieră este furnizată gratuit atunci când este efectuată în legătură cu un serviciu online prestat de un organism din sectorul public.
Statele membre nu impun nicio cerință tehnică specifică disproporționată beneficiarilor care intenționează să efectueze o astfel de autentificare, atunci când astfel de cerințe împiedică sau afectează semnificativ interoperabilitatea sistemelor de identificare electronică notificate;
cu cel puțin șase luni înaintea notificării efectuate în temeiul articolului 9 alineatul (1), statul membru care notifică furnizează celorlalte state membre, în scopul aplicării articolului 12 alineatul (5), o descriere a sistemului respectiv în conformitate cu modalitățile procedurale prevăzute în actele de punere în aplicare adoptate în temeiul articolului 12 alineatul (6);
sistemul de identificare electronică îndeplinește cerințele prevăzute în actul de punere în aplicare menționat la articolul 12 alineatul (8).
Articolul 8
Niveluri de asigurare ale mijloacelor de identificare electronică
Nivelurile de asigurare scăzut, substanțial și ridicat îndeplinesc următoarele criterii, respectiv:
nivelul de asigurare scăzut se referă la un mijloc de identificare electronică în contextul unui sistem de identificare electronică, care asigură un grad substanțial de încredere în legătură cu identitatea pretinsă sau declarată a unei persoane și care este caracterizat prin trimitere la specificațiile tehnice, la standardele și la procedurile corespunzătoare respectivului mijloc de identificare, inclusiv controalele tehnice, al căror scop este de a reduce substanțial riscul unei utilizări frauduloase sau al modificării frauduloase a identității;
nivelul de asigurare substanțial se referă la un mijloc de identificare electronică în contextul unui sistem de identificare electronică, care asigură un grad substanțial de încredere în legătură cu identitatea pretinsă sau declarată a unei persoane și care este caracterizat prin trimitere la specificațiile tehnice, la standardele și la procedurile corespunzătoare respectivului mijloc de identificare, inclusiv controalele tehnice, al căror scop este de a reduce substanțial riscul unei utilizări frauduloase sau al modificării frauduloase a identității;
nivelul de asigurare ridicat se referă la un mijloc de identificare electronică în contextul unui sistem de identificare electronică, care asigură un grad mai ridicat de încredere în legătură cu identitatea pretinsă sau declarată a unei persoane decât mijloacele de identificare electronică cu nivel de asigurare substanțial și care este caracterizat prin trimitere la specificațiile tehnice, la standardele și la procedurile corespunzătoare respectivului mijloc de identificare, inclusiv controalele tehnice, al căror scop este de a împiedica utilizarea frauduloasă sau modificarea frauduloasă a identității.
Aceste specificații tehnice, standarde și proceduri minime se stabilesc prin trimitere la fiabilitatea și calitatea următoarelor elemente:
procedura de dovedire și de verificare a identității persoanelor fizice sau juridice care solicită emiterea mijloacelor de identificare electronică;
procedura pentru emiterea mijloacelor de identificare electronică solicitate;
mecanismul de autentificare, prin care persoana fizică sau juridică utilizează mijloacele de identificare electronică pentru a confirma identitatea sa unui beneficiar;
entitatea care emite mijloacele de identificare electronică;
oricare alt organism implicat în solicitarea emiterii mijloacelor de identificare electronică; și
specificațiile tehnice și de securitate ale mijloacelor de identificare electronică emise.
Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).
Articolul 9
Notificarea
Statul membru care notifică înaintează Comisiei următoarele informații și, fără întârzieri nejustificate, orice modificări ulterioare ale acestora:
o descriere a sistemului de identificare electronică notificat, incluzând nivelurile sale de asigurare și emitentul sau emitenții mijloacelor de identificare electronică din cadrul sistemului;
regimul de supraveghere aplicabil și informații privind regimul de răspundere referitor la următoarele aspecte:
partea care emite mijloacele de identificare electronică; și
partea care desfășoară procedura de autentificare;
autoritatea sau autoritățile responsabile pentru sistemul de identificare electronică;
informații privind entitatea sau entitățile care gestionează înregistrarea datelor unice de identificare personală;
o descriere a modului în care sunt îndeplinite cerințele prevăzute în actele de punere în aplicare menționate la articolul 12 alineatul (8);
o descriere a autentificării menționate la articolul 7 litera (f);
dispoziții pentru suspendarea sau revocarea sistemului de identificare electronică notificat, a autentificării sau a părților compromise în cauză.
Articolul 10
Încălcarea securității sistemelor de identificare electronică
Comisia publică în Jurnalul Oficial al Uniunii Europene, fără întârzieri nejustificate, modificările corespunzătoare aduse listei menționate la articolul 9 alineatul (2).
Articolul 11
Răspunderea
Articolul 11a
Corelarea transfrontalieră a identităților
Articolul 12
Interoperabilitate
Cadrul de interoperabilitate îndeplinește următoarele criterii:
urmărește să fie neutru din punctul de vedere al tehnologiei și nu acordă prioritate niciuneia dintre soluțiile tehnice naționale specifice pentru identificarea electronică pe teritoriul statului membru;
respectă standardele europene și internaționale, atunci când este posibil;
facilitează protecția, începând cu momentul conceperii, a vieții private și a securității („privacy and security by design”);
▼M2 —————
Cadru de interoperabilitate este alcătuit din următoarele elemente:
o trimitere la cerințele tehnice minime aferente nivelurilor de asigurare menționate la articolul 8;
o clasificare a nivelurilor naționale de asigurare aferente sistemelor de identificare electronică notificate în funcție de nivelurile de asigurare menționate la articolul 8;
o trimitere la cerințele tehnice minime referitoare la interoperabilitate;
o trimitere la un set minim de date de identificare personală necesare pentru a reprezenta în mod unic o persoană fizică sau juridică sau o persoană fizică ce reprezintă o altă persoană fizică sau o persoană juridică, care sunt disponibile din sistemele de identificare electronică;
regulamentul de procedură;
dispoziții referitoare la soluționarea litigiilor; și
standarde de securitate operaționale comune.
▼M2 —————
Articolul 12a
Certificarea sistemelor de identificare electronică
Articolul 12b
Accesul la componentele de hardware și de software
Atunci când furnizorii de portofele europene pentru identitatea digitală și emitenții de mijloace de identificare electronică notificate, care acționează cu titlu comercial sau profesional și utilizează servicii de platformă esențiale în sensul definiției de la articolul 2 punctul 2 din Regulamentul (UE) 2022/1925 al Parlamentului European și al Consiliului (7) în scopul sau în cursul furnizării de servicii specifice portofelelor europene pentru identitatea digitală și de mijloace de identificare electronică utilizatorilor finali, sunt utilizatori comerciali în sensul definiției de la articolul 2 punctul 21 din regulamentul menționat, controlorii de acces le permit, în special, să beneficieze în mod efectiv de interoperabilitatea cu aceleași componente ale sistemului de operare, ale hardware-ului sau ale software-ului, precum și să aibă acces la respectivele componente în vederea asigurării interoperabilității. Interoperabilitatea efectivă și accesul menționate anterior sunt permise cu titlu gratuit și indiferent dacă componentele de hardware sau de software fac parte din sistemul de operare, în aceleași condiții în care respectivele componente îi sunt disponibile respectivului controlor de acces sau sunt folosite de acesta atunci când furnizează astfel de servicii, în sensul articolului 6 alineatul (7) din Regulamentul (UE) 2022/1925. Prezentul articol nu aduce atingere articolului 5a alineatul (14) din prezentul regulament.
CAPITOLUL III
SERVICII DE ÎNCREDERE
SECȚIUNEA 1
Dispoziții generale
Articolul 13
Răspunderea și sarcina probei
Sarcina de a proba intenția sau neglijența unui prestator de servicii de încredere necalificat revine persoanei fizice sau juridice care introduce o acțiune în despăgubiri pentru prejudiciul menționat la primul paragraf.
Intenția sau neglijența din partea unui prestator de servicii de încredere calificat este prezumată, cu excepția cazului în care respectivul prestator de servicii de încredere calificat dovedește că prejudiciul menționat la primul paragraf nu a intervenit din intenția sau din neglijența sa.
Articolul 14
Aspecte internaționale
Actele de punere în aplicare menționate la primul paragraf se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).
Articolul 15
Accesibilitatea pentru persoanele cu dizabilități și cu nevoi speciale
Mijloacele de identificare electronică, prestarea serviciilor de încredere și furnizarea produselor destinate utilizatorului final care sunt utilizate pentru prestarea serviciilor respective sunt furnizate într-un limbaj clar și inteligibil și în conformitate cu Convenția Națiunilor Unite privind drepturile persoanelor cu handicap și cu cerințele de accesibilitate prevăzute în Directiva (UE) 2019/882, fiind astfel accesibile și persoanelor care se confruntă cu limitări funcționale, cum ar fi persoanele în vârstă, și persoanelor cu acces limitat la tehnologiile digitale.
Articolul 16
Sancțiuni
Statele membre se asigură că încălcările prezentului regulament de către prestatorii de servicii de încredere calificați și necalificați fac obiectul unor amenzi administrative în valoare de cel puțin:
5 000 000 EUR, în cazul în care prestatorul de servicii de încredere este o persoană fizică; sau
în cazul în care prestatorul de servicii de încredere este o persoană juridică, 5 000 000 EUR sau 1 % din cifra de afaceri anuală totală la nivel mondial a întreprinderii căreia i-a aparținut prestatorul de servicii de încredere în exercițiul financiar anterior anului în care a avut loc încălcarea, luându-se în considerare valoarea cea mai mare.
SECȚIUNEA 2
Servicii de încredere necalificate
▼M2 —————
▼M1 —————
Articolul 19a
Cerințe pentru prestatorii de servicii de încredere necalificați
Un prestator de servicii de încredere necalificat care prestează servicii de încredere necalificate:
dispune de politici adecvate și ia măsurile corespunzătoare pentru a gestiona riscurile juridice, comerciale, operaționale și alte riscuri directe sau indirecte legate de prestarea serviciului de încredere necalificat, care, în pofida articolului 21 din Directiva (UE) 2022/2555, includ cel puțin măsuri referitoare la:
procedurile de înregistrare și de integrare legate de un serviciu de încredere;
controalele procedurale sau administrative necesare pentru prestarea de servicii de încredere;
gestionarea și implementarea serviciilor de încredere;
notificarea organismului de supraveghere, persoanelor afectate care pot fi identificate, publicului – dacă chestiunea este de interes public –, și, după caz, altor autorități competente relevante, cu privire la orice încălcare a securității sau perturbare survenită în prestarea serviciului sau în punerea în aplicare a măsurilor menționate la litera (a) punctul (i), (ii) sau (iii) care are impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate în cadrul acestuia, fără întârzieri nejustificate și, în orice caz, nu mai târziu de 24 de ore din momentul în care a luat cunoștință de orice încălcare a securității sau perturbare.
SECȚIUNEA 3
Servicii de încredere calificate
Articolul 20
Supravegherea prestatorilor de servicii de încredere calificați
În cazul în care prestatorul respectiv nu remediază situația, dacă este cazul în termenul stabilit de organismul de supraveghere, acesta din urmă, atunci când acest lucru este justificat în special de amploarea, durata și consecințele respectivei neîndepliniri, retrage statutul de calificat al prestatorului respectiv sau al serviciului prestat de acesta care este afectat.
Până la 21 mai 2025, Comisia stabilește, prin intermediul unor acte de punere în aplicare, o listă de standarde de referință și, dacă este necesar, specificații și proceduri pentru:
acreditarea organismelor de evaluare a conformității și pentru raportul de evaluare a conformității menționat la alineatul (1);
cerințele de audit pe baza cărora organismele de evaluare a conformității își desfășoară evaluarea conformității, inclusiv evaluarea compozită, a prestatorilor de servicii de încredere calificați, astfel cum se menționează la alineatul (1);
sistemele de evaluare a conformității utilizate de organismele de evaluare a conformității pentru efectuarea evaluării conformității prestatorilor de servicii de încredere calificați și pentru furnizarea raportului menționat la alineatul (1).
Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).
Articolul 21
Inițierea unui serviciu de încredere calificat
Pentru a verifica respectarea de către prestatorul de servicii de încredere a cerințelor prevăzute la articolul 21 din Directiva (UE) 2022/2555, organismul de supraveghere solicită autorităților competente desemnate sau înființate în temeiul articolului 8 alineatul (1) din respectiva directivă să desfășoare acțiuni de supraveghere în această privință și să furnizeze informații cu privire la rezultat fără întârzieri nejustificate și, în orice caz, în termen de două luni de la primirea cererii respective. În cazul în care verificarea nu este încheiată în termen de două luni de la notificare, autoritățile competente respective informează organismul de supraveghere, specificând motivele întârzierii și termenul în care urmează să se încheie verificarea.
În cazul în care organismul de supraveghere ajunge la concluzia că prestatorul de servicii de încredere și serviciile de încredere prestate de acesta respectă cerințele prevăzute în prezentul regulament, organismul de supraveghere acordă statutul de calificat prestatorului de servicii de încredere și serviciilor de încredere prestate de acesta și informează în consecință organismul menționat la articolul 22 alineatul (3) în scopul actualizării listelor sigure menționate la articolul 22 alineatul (1), în termen de trei luni de la notificare, în conformitate cu alineatul (1) de la prezentul articol.
În cazul în care verificarea nu este încheiată în termen de trei luni de la notificare, organismul de supraveghere informează prestatorul de servicii de încredere, specificând motivele întârzierii și termenul în care urmează să se încheie verificarea.
Articolul 22
Listele sigure
Articolul 23
Marca de încredere a UE pentru serviciile de încredere calificate
Articolul 24
Cerințe pentru prestatorii de servicii de încredere calificați
Verificarea identității menționată la alineatul (1) se realizează, prin mijloace adecvate, de prestatorul de servicii de încredere calificat, fie direct, fie prin intermediul unui terț, pe baza uneia dintre următoarele metode sau a unei combinații a acestora atunci când este necesar, în conformitate cu actele de punere în aplicare menționate la alineatul (1c):
prin intermediul portofelului european pentru identitatea digitală sau al unui mijloc de identificare electronică notificat care îndeplinește cerințele stabilite la articolul 8 în ceea ce privește nivelul de asigurare ridicat;
prin intermediul unui certificat, al unei semnături electronice calificate sau al unui sigiliu electronic calificat emis în conformitate cu litera (a), (c) sau (d);
prin utilizarea altor metode de identificare care asigură identificarea persoanei cu un nivel ridicat de încredere, a căror conformitate este confirmată de un organism de evaluare a conformității;
prin prezența fizică a persoanei fizice sau a unui reprezentant autorizat al persoanei juridice, prin utilizarea unor mijloace de probă și proceduri adecvate, în conformitate cu dreptul intern.
Verificarea atributelor menționată la alineatul (1) se realizează, prin mijloace adecvate, de prestatorul de servicii de încredere calificat, fie direct, fie prin intermediul unui terț, pe baza uneia dintre următoarele metode sau a unei combinații a acestora, atunci când este necesar, în conformitate cu actele de punere în aplicare menționate la alineatul (1c):
prin intermediul portofelului european pentru identitatea digitală sau al unui mijloc de identificare electronică notificat care îndeplinește cerințele stabilite la articolul 8 în ceea ce privește nivelul de asigurare ridicat;
prin intermediul unui certificat, al unei semnături electronice calificate sau al unui sigiliu electronic calificat emis în conformitate cu alineatul (1a) litera (a), (c) sau (d);
prin intermediul unui atestat electronic calificat al atributelor;
prin utilizarea altor metode, care asigură verificarea atributelor cu un nivel ridicat de încredere, a căror conformitate este confirmată de un organism de evaluare a conformității;
prin prezența fizică a persoanei fizice sau a unui reprezentant autorizat al persoanei juridice, prin utilizarea unor mijloace de probă și proceduri adecvate, în conformitate cu dreptul intern.
Un prestator de servicii de încredere calificat care prestează servicii de încredere calificate:
informează organismul de supraveghere cu cel puțin o lună înainte de punerea în aplicare a oricărei modificări în prestarea serviciilor sale de încredere calificate sau cu cel puțin trei luni înainte în cazul în care intenționează să înceteze activitățile respective;
angajează personal și, după caz, subcontractanți care dețin cunoștințele, credibilitatea, experiența și calificările necesare și care au beneficiat de formare adecvată în ceea ce privește normele de siguranță și protecție a datelor cu caracter personal și aplică proceduri administrative și de gestiune care corespund standardelor europene sau internaționale;
în ceea ce privește riscul de răspundere pentru daune în conformitate cu articolul 13, menține suficiente resurse financiare și/sau obține o asigurare de răspundere adecvată, în conformitate cu dreptul intern;
înainte de stabilirea unei relații contractuale, informează, în mod clar, cuprinzător și ușor accesibil, într-un spațiu accesibil publicului și în mod individual, orice persoană care dorește să utilizeze un serviciu de încredere calificat în ceea ce privește clauzele și condițiile exacte privind utilizarea acelui serviciu, inclusiv orice restricție privind utilizarea acestuia;
utilizează sisteme și produse demne de încredere care sunt protejate împotriva modificărilor și asigură siguranța tehnică și fiabilitatea proceselor susținute de acestea, inclusiv prin folosirea unor tehnici criptografice adecvate;
utilizează sisteme demne de încredere pentru a stoca datele care îi sunt furnizate, într-o formă care poate fi verificată, astfel încât:
acestea să fie disponibile publicului pentru cercetări numai în cazul în care a fost obținut consimțământul persoanei la care se referă datele;
numai persoanele autorizate să poată introduce și modifica datele stocate;
autenticitatea datelor să poată fi controlată;
în pofida articolului 21 din Directiva (UE) 2022/2555, dispune de politici adecvate și ia măsuri corespunzătoare pentru a gestiona riscurile juridice, comerciale, operaționale și alte riscuri directe sau indirecte legate de prestarea serviciului de încredere calificat, inclusiv cel puțin măsuri referitoare la următoarele aspecte:
procedurile de înregistrare și de integrare legate de un serviciu;
controalele procedurale sau administrative;
gestionarea și implementarea serviciilor;
notifică organismului de supraveghere, persoanelor afectate care pot fi identificate, altor organisme competente relevante, după caz, și, la cererea organismului de supraveghere, publicului, dacă chestiunea este de interes public, orice încălcare a securității sau perturbare survenită în prestarea serviciului sau în punerea în aplicare a măsurilor menționate la litera (fa) punctul (i), (ii) sau (iii) care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate în cadrul acestuia, fără întârzieri nejustificate și, în orice caz, în termen de 24 de ore de la producerea incidentului;
ia măsuri adecvate împotriva falsificării, furtului sau însușirii ilegale de date ori împotriva ștergerii sau modificării neautorizate a datelor sau a acțiunii neautorizate de a le face inaccesibile;
înregistrează și menține accesibile atât timp cât este necesar, după încetarea activității prestatorului de servicii de încredere calificat, toate informațiile relevante referitoare la datele emise și primite de către acesta, în scopul de a furniza dovezi în procedurile judiciare și în scopul asigurării continuității serviciului. Aceste înregistrări pot fi efectuate în mod electronic;
are un plan actualizat pentru a asigura, în cazul încetării serviciului, continuitatea serviciului conform dispozițiilor verificate de organismul de supraveghere în conformitate cu articolul 46b alineatul (4) litera (i);
▼M2 —————
în cazul prestatorilor de servicii de încredere calificați care eliberează certificate calificate, instituie și actualizează permanent o bază de date a certificatelor.
Organismul de supraveghere poate solicita informații în plus față de informațiile notificate în temeiul primului paragraf litera (a) sau rezultatul unei evaluări a conformității și poate stabili anumite condiții pentru acordarea permisiunii de a pune în aplicare modificările preconizate ale serviciilor de încredere calificate. În cazul în care verificarea nu este încheiată în termen de trei luni de la notificare, organismul de supraveghere informează prestatorul de servicii de încredere, specificând motivele întârzierii și termenul în care urmează să se încheie verificarea.
Articolul 24a
Recunoașterea serviciilor de încredere calificate
SECȚIUNEA 4
Semnătura electronică
Articolul 25
Efectele juridice ale semnăturilor electronice
▼M2 —————
Articolul 26
Cerințe pentru semnături electronice avansate
►M2 ◄
O semnătura electronică avansată îndeplinește următoarele cerințe:
face trimitere exclusiv la semnatar;
permite identificarea semnatarului;
este creată utilizând date de creare a semnăturilor electronice pe care semnatarul le poate utiliza, cu un nivel ridicat de încredere, exclusiv sub controlul său; și
este legată de datele utilizate la semnare astfel încât orice modificare ulterioară a datelor poate fi detectată.
Articolul 27
Semnăturile electronice în cadrul serviciilor publice
▼M2 —————
Articolul 28
Certificate calificate pentru semnăturile electronice
Sub rezerva următoarelor condiții, statele membre pot să stabilească norme interne cu privire la suspendarea temporară a unui certificat calificat pentru semnătura electronică:
în cazul în care un certificat calificat pentru semnătura electronică a fost suspendat temporar, acest certificat își pierde valabilitatea pe parcursul perioadei de suspendare;
perioada de suspendare este clar indicată în baza de date privind certificatele și statutul de suspendat este vizibil, pe perioada suspendării, din serviciul care oferă informații privind statutul certificatului.
Articolul 29
Cerințe pentru dispozitivele de creare a semnăturilor electronice calificate
Articolul 29a
Cerințe privind un serviciu calificat pentru gestionarea dispozitivelor calificate de creare a semnăturii electronice la distanță
Gestionarea dispozitivelor calificate de creare a semnăturii electronice la distanță în calitate de serviciu calificat se efectuează numai de către un prestator de servicii de încredere calificat care:
generează sau gestionează datele de creare a semnăturilor electronice în numele semnatarului;
în pofida punctului 1 litera (d) din anexa II, duplică datele de creare a semnăturilor electronice numai în scopul creării unei copii de rezervă, cu condiția să fie îndeplinite următoarele cerințe:
securitatea seturilor de date duplicate trebuie să fie la același nivel ca pentru seturile de date originale;
numărul seturilor de date duplicate nu depășește minimul necesar pentru a asigura continuitatea serviciului;
respectă toate cerințele identificate în raportul de certificare a dispozitivului calificat specific de creare a semnăturii electronice la distanță, emis în temeiul articolului 30.
Articolul 30
Certificarea dispozitivelor de creare a semnăturilor electronice calificate
Certificarea menționată la alineatul (1) se bazează pe unul dintre următoarele elemente:
un proces de evaluare de securitate efectuat în conformitate cu unul dintre standardele pentru evaluarea securității produselor din domeniul tehnologiei informației incluse în lista instituită în conformitate cu al doilea paragraf; sau
un alt proces decât procesul prevăzut la litera (a), cu condiția ca acest proces să utilizeze niveluri de securitate comparabile și ca organismul public sau privat menționat la alineatul (1) să notifice Comisiei respectivul proces. Procesul respectiv poate fi utilizat numai în absența standardelor menționate la litera (a) sau dacă un proces de evaluare de securitate menționat la litera (a) este în curs de desfășurare.
Comisia stabilește, prin intermediul unor acte de punere în aplicare, lista standardelor pentru evaluarea de securitate a produselor din domeniul tehnologiei informației menționate la litera (a). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 48 alineatul (2).
Articolul 31
Publicarea unei liste a dispozitivelor de creare a semnăturilor electronice certificate și calificate
Articolul 32
Cerințe pentru validarea semnăturilor electronice calificate
Procesul de validare a unei semnături electronice calificate confirmă validitatea unei semnături electronice calificate cu următoarele condiții:
certificatul care stă la baza semnăturii a fost, la momentul semnării, un certificat calificat pentru semnătura electronică în conformitate cu anexa I;
certificatul calificat a fost emis de un prestator de servicii de încredere calificat și a fost valabil în momentul semnării;
datele de validare a semnăturilor corespund datelor furnizate de beneficiar;
setul unic de date care reprezintă semnatarul în certificat este furnizat corect beneficiarului;
utilizarea vreunui pseudonim este indicată clar beneficiarului în cazul în care la momentul semnării s-a folosit un pseudonim;
semnătura electronică a fost creată printr-un dispozitiv de creare a semnăturilor electronice calificat;
integritatea datelor semnate nu a fost compromisă;
cerințele prevăzute la articolul 26 au fost îndeplinite la momentul semnării.
În cazul în care validarea semnăturilor electronice calificate respectă standardele, specificațiile și procedurile menționate la alineatul (3), se prezumă că sunt respectate cerințele prevăzute la primul paragraf de la prezentul alineat.
Articolul 32a
Cerințe pentru validarea semnăturilor electronice avansate bazate pe certificate calificate
Prin procesul de validare a unei semnături electronice avansate bazate pe un certificat calificat se confirmă validitatea semnăturii electronice avansate bazate pe un certificat calificat în următoarele condiții:
certificatul care stă la baza semnăturii să fi fost, la momentul semnării, un certificat calificat pentru semnătura electronică conform cu anexa I;
certificatul calificat să fi fost emis de un prestator de servicii de încredere calificat și să fi fost valabil la momentul semnării;
datele de validare a semnăturii să corespundă datelor furnizate de beneficiar;
setul unic de date care reprezintă semnatarul în certificat să fie furnizat corect beneficiarului;
în cazul în care la momentul semnării s-a folosit un pseudonim, utilizarea acestuia să fie indicată clar beneficiarului;
integritatea datelor semnate să nu fi fost compromisă;
cerințele prevăzute la articolul 26 să fi fost îndeplinite la momentul semnării.
Articolul 33
Serviciul calificat de validare a semnăturilor electronice calificate
Un serviciu calificat de validare a semnăturilor electronice calificate poate fi prestat numai de către un prestator de servicii de încredere calificat care:
realizează validarea în conformitate cu articolul 32 alineatul (1); și
permite beneficiarilor să primească rezultatul procesului de validare în mod automat, fiabil, eficient și care poartă semnătura electronică avansată sau sigiliul electronic avansat al prestatorului care oferă serviciul de validare calificat.
Articolul 34
Serviciul calificat de păstrare a semnăturilor electronice calificate
SECȚIUNEA 5
Sigiliile electronice
Articolul 35
Efectele juridice ale sigiliilor electronice
▼M2 —————
Articolul 36
Cerințele pentru sigiliile electronice avansate
►M2 ◄
Un sigiliu electronic avansat îndeplinește următoarele cerințele:
face trimitere exclusiv la creatorul sigiliului;
permite identificarea creatorului sigiliului;
este creat cu ajutorul datelor de creare a sigiliilor electronice pe care creatorul sigiliului le poate utiliza sub controlul său, cu un nivel ridicat de încredere, pentru crearea sigiliilor electronice; și
este legat de datele la care se raportează astfel încât orice modificare ulterioară a datelor poate fi detectată.
Articolul 37
Sigiliile electronice în cadrul serviciilor publice
▼M2 —————
Articolul 38
Certificate calificate pentru sigiliul electronic
Sub rezerva următoarelor condiții, statele membre pot să stabilească norme interne cu privire la suspendarea temporară a certificatelor calificate pentru sigiliile electronice:
în cazul în care un certificat calificat pentru sigilii electronice a fost suspendat temporar, respectivul certificat își pierde valabilitatea pe parcursul perioadei de suspendare;
perioada de suspendare este clar indicată în baza de date privind certificatele și statutul de suspendat este vizibil, pe perioada suspendării, din serviciul care oferă informații privind statutul certificatului.
Articolul 39
Dispozitive de creare a sigiliilor electronice calificate
Articolul 39a
Cerințe privind un serviciu calificat pentru gestionarea dispozitivelor calificate de creare a sigiliului electronic la distanță
Articolul 29a se aplică mutatis mutandis unui serviciu calificat pentru gestionarea dispozitivelor calificate de creare a sigiliului electronic la distanță.
Articolul 40
Validarea și păstrarea sigiliilor electronice calificate
Articolele 32, 33 și 34 se aplică mutatis mutandis validării și păstrării sigiliilor electronice calificate.
Articolul 40a
Cerințe pentru validarea sigiliilor electronice avansate bazate pe certificate calificate
Articolul 32a se aplică mutatis mutandis validării sigiliilor electronice avansate bazate pe certificate calificate.
SECȚIUNEA 6
Mărcile temporale electronice
Articolul 41
Efectul juridic al mărcilor temporale electronice
▼M2 —————
Articolul 42
Cerințe pentru mărcile temporale electronice calificate
O marcă temporală electronică calificată îndeplinește următoarele cerințe:
asigură o legătură între dată și oră și date astfel încât să excludă în mod rezonabil posibilitatea ca datele să fie schimbate fără ca acest lucru să fie detectat;
se bazează pe o sursă de timp precisă, legată de ora universală coordonată; și
este semnată utilizând o semnătură electronică avansată sau sigilată cu un sigiliu electronic avansat al prestatorului de servicii de încredere calificat sau printr-o metodă echivalentă.
SECȚIUNEA 7
Serviciul de distribuție electronică înregistrată
Articolul 43
Efectul juridic al unui serviciu de distribuție electronică înregistrată
Articolul 44
Cerințe pentru serviciile de distribuție electronică înregistrată calificate
Serviciile de distribuție electronică înregistrată calificate îndeplinesc următoarele cerințe:
sunt prestate de către unul sau mai mulți prestatori de servicii de încredere calificați;
asigură identificarea expeditorului cu un nivel de încredere ridicat;
asigură identificarea destinatarului înainte de furnizarea datelor;
trimiterea și primirea datelor este securizată printr-o semnătură electronică avansată sau un sigiliu electronic avansat al prestatorului de servicii de încredere calificat astfel încât să se excludă posibilitatea ca datele să fie schimbate fără ca acest lucru să fie detectat;
orice modificare a datelor necesare în scopul de a trimite sau primi datele este clar indicată expeditorului și destinatarului datelor;
data și ora trimiterii, primirii și ale oricărei modificări a datelor este indicată printr-o marcă temporală electronică calificată.
În cazul datelor transferate între doi sau mai mulți prestatori de servicii de încredere, cerințele de la literele (a)-(f) se aplică tuturor prestatorilor de servicii de încredere calificați.
SECȚIUNEA 8
Autentificarea unui site internet
Articolul 45
Cerințe pentru certificatele calificate pentru autentificarea unui site internet
Articolul 45a
Măsuri de precauție în materie de securitate cibernetică
SECȚIUNEA 9
Atestatul electronic al atributelor
Articolul 45b
Efectele juridice ale atestatului electronic al atributelor
Articolul 45c
Atestatul electronic al atributelor în serviciile publice
Atunci când identificarea electronică cu ajutorul unui mijloc de identificare electronică și al autentificării este obligatorie în temeiul dreptului intern pentru a accesa un serviciu prestat online de un organism din sectorul public, datele de identificare personală din atestatul electronic al atributelor nu înlocuiesc identificarea electronică cu ajutorul unui mijloc de identificare electronică și al autentificării pentru identificarea electronică, cu excepția cazului în care acest lucru este permis în mod expres de statul membru. Într-un astfel de caz, se acceptă, de asemenea, atestatul electronic calificat al atributelor din alte state membre.
Articolul 45d
Cerințe privind atestatul electronic calificat al atributelor
Articolul 45e
Verificarea atributelor în raport cu surse autentice
Articolul 45f
Cerințe privind atestatul electronic al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele unui astfel de organism
Un atestat electronic al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele unui astfel de organism îndeplinește următoarele cerințe:
cerințele prevăzute în anexa VII;
cerința ca certificatul calificat care stă la baza semnăturii electronice calificate sau a sigiliului electronic calificat al organismului din sectorul public menționat la articolul 3 punctul 46, identificat drept emitentul menționat la litera (b) din anexa VII, să conțină un set specific de atribute certificate într-o formă adecvată pentru prelucrarea automată, care:
indică faptul că organismul emitent este înființat în conformitate cu dreptul Uniunii sau cu dreptul intern ca fiind responsabil de sursa autentică pe baza căreia este emis atestatul electronic al atributelor sau ca organism desemnat să acționeze în numele acestuia;
furnizează un set de date care reprezintă fără ambiguitate sursa autentică menționată la punctul (i); și
identifică dreptul Uniunii sau dreptul intern menționat la punctul (i).
Articolul 45g
Emiterea atestatului electronic al atributelor pentru portofelele europene pentru identitatea digitală
Articolul 45h
Norme suplimentare privind prestarea serviciilor de atestare electronică a atributelor
SECȚIUNEA 10
Serivicii de arhivare electronică
Articolul 45i
Efectul juridic al serviciilor de arhivare electronică
Articolul 45j
Cerințe privind serviciile calificate de arhivare electronică
Serviciile calificate de arhivare electronică îndeplinesc următoarele cerințe:
sunt prestate de prestatori de servicii de încredere calificați;
utilizează proceduri și tehnologii capabile să asigure durabilitatea și lizibilitatea datelor electronice și a documentelor electronice dincolo de perioada de valabilitate tehnologică și cel puțin pe toată perioada de păstrare legală sau contractuală, menținându-le totodată integritatea și acuratețea originii;
garantează că respectivele date electronice și documente electronice sunt păstrate astfel încât să fie protejate împotriva pierderii și modificării, cu excepția modificărilor privind suportul lor sau formatul lor electronic;
permit beneficiarilor autorizați să primească în mod automat un raport care confirmă faptul că datele electronice și documentele electronice extrase dintr-o arhivă electronică calificată beneficiază de prezumția de integritate a datelor de la începutul perioadei de păstrare până în momentul extragerii.
Raportul menționat la litera (d) de la primul paragraf este furnizat într-un mod fiabil și eficient și poartă semnătura electronică calificată sau sigiliul electronic calificat al prestatorului serviciului calificat de arhivare electronică.
SECȚIUNEA 11
Registre electronice
Articolul 45k
Efectele juridice ale registrelor electronice
Articolul 45l
Cerințe privind registrele electronice calificate
Registrele electronice calificate îndeplinesc următoarele cerințe:
sunt create și gestionate de unul sau mai mulți prestatori de servicii de încredere calificați;
stabilesc originea înregistrărilor de date din registru;
asigură ordonarea cronologică secvențială unică a înregistrărilor de date din registru;
înregistrează datele astfel încât orice modificare a lor ulterioară să poată fi detectată imediat, asigurând integritatea datelor în timp.
CAPITOLUL IV
DOCUMENTE ELECTRONICE
Articolul 46
Efectele juridice ale documentelor electronice
Unui document electronic nu i se refuză efectul juridic și posibilitatea de a fi acceptat ca dovadă în procedurile judiciare doar din motiv că este sub formă electronică.
CAPITOLUL IVa
CADRUL DE GUVERNANȚĂ
Articolul 46a
Supravegherea cadrului pentru portofelul european pentru identitatea digitală
Organismelor de supraveghere desemnate în temeiul primului paragraf li se conferă competențele necesare și resursele adecvate pentru a-și îndeplini sarcinile în mod eficace, eficient și independent.
Rolul organismelor de supraveghere desemnate în temeiul alineatului (1) constă în:
supravegherea furnizorilor de portofele europene pentru identitatea digitală stabiliți pe teritoriul statului membru care a desemnat organismele de supraveghere și asigurarea, prin intermediul unor activități de supraveghere ex ante și ex post, îndeplinirii de către respectivii furnizori și de către portofelele europene pentru identitatea digitală furnizate de aceștia a cerințelor stabilite în prezentul regulament;
a lua măsuri, dacă este necesar, în ceea ce îi privește pe furnizorii de portofele europene pentru identitatea digitală stabiliți pe teritoriul statului membru care a desemnat organismele de supraveghere, prin intermediul unor activități de supraveghere ex post, atunci când sunt informate că furnizorii sau portofelele europene pentru identitatea digitală furnizate de aceștia încalcă prezentul regulament.
Printre sarcinile organismelor de supraveghere desemnate în temeiul alineatului (1) se numără, în special, următoarele:
să coopereze cu alte organisme de supraveghere și să acorde asistență acestora, în conformitate cu articolele 46c și 46e;
să solicite informațiile necesare pentru monitorizarea conformității cu prezentul regulament;
să informeze autoritățile competente relevante ale statelor membre în cauză, desemnate sau înființate în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555, cu privire la orice încălcare semnificativă a securității sau pierdere a integrității de care iau cunoștință în îndeplinirea sarcinilor lor și, în cazul unei încălcări semnificative a securității sau al pierderii integrității care privește alte state membre, să informeze punctul unic de contact din statul membru în cauză, desemnat sau înființat în temeiul articolului 8 alineatul (3) din Directiva (UE) 2022/2555, și punctele unice de contact din celelalte state membre în cauză, desemnate în temeiul articolului 46c alineatul (1) din prezentul regulament, și să informeze publicul sau să solicite furnizorilor de portofele europene pentru identitatea digitală să facă acest lucru în cazul în care organismul de supraveghere consideră că divulgarea încălcării securității sau a pierderii integrității ar fi de interes public;
să efectueze inspecții la fața locului și supraveghere ex situ;
să solicite furnizorilor de portofele europene pentru identitatea digitală să remedieze orice neîndeplinire a cerințelor prevăzute în prezentul regulament;
să suspende sau să anuleze înregistrarea și includerea beneficiarilor în mecanismul menționat la articolul 5b alineatul (7) în cazul utilizării ilegale sau frauduloase a portofelului european pentru identitatea digitală;
să coopereze cu autoritățile de supraveghere competente înființate în temeiul articolului 51 din Regulamentul (UE) 2016/679, în special prin informarea acestora, fără întârzieri nejustificate, în cazul în care normele de protecție a datelor cu caracter personal par să fi fost încălcate, precum și cu privire la încălcările securității care par să constituie încălcări ale securității datelor cu caracter personal.
Articolul 46b
Supravegherea serviciilor de încredere
Organismelor de supraveghere desemnate în temeiul primului paragraf li se acordă competențele necesare și resursele adecvate pentru a-și îndeplini sarcinile.
Rolul organismelor de supraveghere desemnate în temeiul alineatului (1) constă în:
supravegherea prestatorilor de servicii de încredere calificați stabiliți pe teritoriul statului membru care le-a desemnat și asigurarea, prin intermediul unor activități de supraveghere ex ante și ex post, îndeplinirii de către respectivii prestatori de servicii de încredere calificați și de către serviciile de încredere calificate prestate de aceștia a cerințelor stabilite în prezentul regulament;
luarea de măsuri, după caz, în legătură cu prestatorii de servicii de încredere necalificați stabiliți pe teritoriul statului membru care le-a desemnat, prin intermediul activităților de supraveghere ex post, atunci când sunt informate că respectivii prestatori de servicii de încredere necalificați sau serviciile de încredere prestate de aceștia nu ar îndeplini cerințele stabilite în prezentul regulament.
Printre sarcinile organismelor de supraveghere desemnate în temeiul alineatului (1) se numără, în special, următoarele:
să informeze autoritățile competente relevante ale statelor membre în cauză, desemnate sau înființate în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555, cu privire la orice încălcare semnificativă a securității sau pierdere a integrității de care iau cunoștință în îndeplinirea sarcinilor lor și, în cazul unei încălcări semnificative a securității sau al pierderii integrității care privește alte state membre, să informeze punctul unic de contact din statul membru în cauză, desemnat sau înființat în temeiul articolului 8 alineatul (3) din Directiva (UE) 2022/2555, și punctele unice de contact din celelalte state membre în cauză, desemnate în temeiul articolului 46c alineatul (1) din prezentul regulament, și să informeze publicul sau să solicite prestatorului de servicii de încredere să facă acest lucru în cazul în care organismul de supraveghere consideră că divulgarea încălcării securității sau a pierderii integrității ar fi de interes public;
să coopereze cu alte organisme de supraveghere și să acorde asistență acestora, în conformitate cu articolele 46c și 46e;
să analizeze rapoartele de evaluare a conformității menționate la articolul 20 alineatul (1) și la articolul 21 alineatul (1);
să raporteze Comisiei cu privire la activitățile sale principale, în conformitate cu alineatul (6) de la prezentul articol;
să realizeze audituri sau să solicite unui organism de evaluare a conformității să efectueze o evaluare a conformității prestatorilor de servicii de încredere calificați, în conformitate cu articolul 20 alineatul (2);
să coopereze cu autoritățile de supraveghere competente înființate în temeiul articolului 51 din Regulamentul (UE) 2016/679, în special prin informarea acestora, fără întârzieri nejustificate, în cazul în care normele de protecție a datelor cu caracter personal par să fi fost încălcate, precum și cu privire la încălcările securității care par să constituie încălcări ale securității datelor cu caracter personal;
să acorde statutul de calificat prestatorilor de servicii de încredere, precum și serviciilor pe care aceștia le prestează și să retragă statutul respectiv, în conformitate cu articolele 20 și 21;
să informeze organismul responsabil cu lista sigură națională menționată la articolul 22 alineatul (3) cu privire la deciziile sale de acordare sau de retragere a statutului de calificat, cu excepția cazului în care respectivul organism este și organism de supraveghere desemnat în temeiul alineatului (1) de la prezentul articol;
să verifice existența și aplicarea corectă a dispozițiilor privind planurile de încetare a serviciului atunci când prestatorul de servicii de încredere calificat își încetează activitățile, inclusiv modul în care informațiile sunt păstrate accesibile, în conformitate cu articolul 24 alineatul (2) litera (h);
să solicite prestatorilor de servicii de încredere să remedieze orice neîndeplinire a cerințelor prevăzute în prezentul regulament;
să investigheze cererile formulate de furnizorii de browsere web în temeiul articolului 45a și să ia măsuri, dacă este necesar.
Articolul 46c
Puncte unice de contact
Articolul 46d
Asistență reciprocă
Asistența reciprocă implică cel puțin faptul că:
organismul de supraveghere care aplică măsuri de supraveghere și de executare într-un stat membru informează și consultă organismul de supraveghere din celălalt stat membru în cauză;
un organism de supraveghere poate solicita organismului de supraveghere dintr-un alt stat membru în cauză să ia măsuri de supraveghere sau de executare, inclusiv, de exemplu, cereri de a efectua inspecții legate de rapoartele de evaluare a conformității menționate la articolele 20 și 21 în ceea ce privește prestarea de servicii de încredere;
după caz, organismele de supraveghere pot efectua anchete comune cu organismele de supraveghere din alte state membre.
Mecanismele și procedurile pentru acțiunile comune menționate la primul paragraf sunt convenite și stabilite de către statele membre în cauză, în conformitate cu dreptul lor intern.
Un organism de supraveghere căruia i se adresează o solicitare de asistență poate respinge respectiva solicitare pentru oricare dintre următoarele motive:
asistența solicitată nu este proporțională cu activitățile de supraveghere ale organismului de supraveghere desfășurate în conformitate cu articolele 46a și 46b;
organismul de supraveghere nu are competența de a acorda asistența solicitată;
acordarea asistenței solicitate ar contraveni prezentului regulament.
Articolul 46e
Grupul european de cooperare privind identitatea digitală
Grupului de cooperare îi revin următoarele sarcini:
să facă schimb de opinii și să coopereze cu Comisia cu privire la inițiativele de politică emergente în domeniul portofelelor pentru identitatea digitală, al mijloacelor de identificare electronică și al serviciilor de încredere;
să consilieze Comisia, după caz, în fazele inițiale de pregătire a proiectelor de acte de punere în aplicare și de acte delegate care urmează să fie adoptate în temeiul prezentului regulament;
pentru a sprijini organismele de supraveghere la punerea în aplicare a dispozițiilor prezentului regulament:
să facă schimb de bune practici și de informații privind punerea în aplicare a dispozițiilor prezentului regulament;
să evalueze evoluțiile pertinente din sectorul portofelului pentru identitatea digitală, al identificării electronice și al serviciilor de încredere;
să organizeze reuniuni comune cu părțile interesate relevante din întreaga Uniune pentru a discuta activitățile desfășurate de grupul de cooperare și pentru a colecta informații cu privire la dificultățile emergente în materie de politici;
cu sprijinul ENISA, să facă schimb de opinii, de bune practici și de informații cu privire la aspectele relevante în materie de securitate cibernetică în ceea ce privește portofelele europene pentru identitatea digitală, sistemele de identificare electronică și serviciile de încredere;
să facă schimb de bune practici cu privire la elaborarea și punerea în aplicare a politicilor privind notificarea încălcărilor securității și măsurile comune menționate la articolele 5e și 10;
să organizeze reuniuni comune cu Grupul de cooperare NIS înființat în temeiul articolului 14 alineatul (1) din Directiva (UE) 2022/2555 pentru a face schimb de informații relevante în ceea ce privește amenințările cibernetice, incidentele, vulnerabilitățile, inițiativele de sensibilizare, cursurile de formare, exercițiile și competențele, consolidarea capacităților, capacitățile în materie de standarde și specificații tehnice, precum și standardele și specificațiile tehnice în legătură cu serviciile de încredere și identificarea electronică;
să discute, la cererea unui organism de supraveghere, cererile specifice de asistență reciprocă menționate la articolul 46d;
să faciliteze schimbul de informații între organismele de supraveghere prin furnizarea de orientări cu privire la aspectele organizatorice și procedurile de asistență reciprocă menționate la articolul 46d;
să organizeze evaluări inter pares ale sistemelor de identificare electronică ce trebuie notificate în temeiul prezentului regulament.
CAPITOLUL V
DELEGAREA DE COMPETENȚE ȘI MĂSURI DE PUNERE ÎN APLICARE
Articolul 47
Exercitarea delegării
Articolul 48
Procedura comitetului
CAPITOLUL VI
DISPOZIȚII FINALE
Articolul 48a
Cerințe de raportare
Datele statistice colectate în conformitate cu alineatul (1) includ următoarele:
numărul persoanelor fizice și juridice care dețin un portofel european pentru identitatea digitală valabil;
tipul și numărul serviciilor care acceptă utilizarea portofelului european pentru identitatea digitală;
numărul reclamațiilor din partea utilizatorilor și al incidentelor privind protecția consumatorilor sau protecția datelor în legătură cu beneficiarii și serviciile de încredere calificate;
un raport de sinteză care include date privind incidentele care împiedică utilizarea portofelului european pentru identitatea digitală;
un rezumat al incidentelor semnificative de securitate, al încălcărilor securității datelor și al utilizatorilor afectați ai portofelelor europene pentru identitatea digitală sau ai serviciilor de încredere calificate.
Articolul 49
Reexaminare
Articolul 50
Abrogare
Articolul 51
Măsuri tranzitorii
Articolul 52
Intrarea în vigoare
Prezentul regulament se aplică de la 1 iulie 2016, cu excepția următoarelor dispoziții:
articolul 8 alineatul (3), articolul 9 alineatul (5), articolul 12 alineatele (2)-(9), articolul 17 alineatul (8), articolul 19 alineatul (4), articolul 20 alineatul (4), articolul 21 alineatul (4), articolul 22 alineatul (5), articolul 23 alineatul (3), articolul 24 alineatul (5), articolul 27 alineatele (4) și (5), articolul 28 alineatul (6), articolul 29 alineatul (2), articolul 30 alineatele (3) și (4), articolul 31 alineatul (3), articolul 32 alineatul (3), articolul 33 alineatul (2), articolul 34 alineatul (2), articolul 37 alineatele (4) și (5), articolul 38 alineatul (6), articolul 42 alineatul (2), articolul 44 alineatul (2), articolul 45 alineatul (2) și articolele 47 și 48 se aplică de la 17 septembrie 2014;
articolul 7, articolul 8 alineatele (1) și (2), articolele 9, 10, 11 și articolul 12 alineatul (1) se aplică de la data aplicării actelor de punere în aplicare menționate la articolul 8 alineatul (3) și la articolul 12 alineatul (8);
articolul 6 se aplică după trei ani de la data aplicării actelor de punere în aplicare menționate la articolul 8 alineatul (3) și la articolul 12 alineatul (8).
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
ANEXA I
CERINȚE PENTRU CERTIFICATELE CALIFICATE PENTRU SEMNĂTURI ELECTRONICE
Certificatele calificate pentru semnături electronice conțin:
o indicație, cel puțin într-o formă adecvată pentru prelucrarea automată, că certificatul a fost emis ca certificat calificat pentru semnături electronice;
un set de date care reprezintă fără ambiguitate prestatorul de servicii de încredere calificat care emite certificatele calificate, care includ cel puțin statul membru în care este stabilit prestatorul respectiv; și
cel puțin numele semnatarului sau un pseudonim; în cazul în care se utilizează un pseudonim, acesta este indicat în mod clar;
datele de validare a semnăturilor electronice care corespund datelor de creare a semnăturilor electronice;
detalii privind începutul și sfârșitul perioadei de valabilitate a certificatului;
codul de identitate al certificatului care trebuie să fie unic pentru prestatorul de servicii de încredere calificat;
semnătura electronică avansată sau sigiliul electronic avansat al prestatorului de servicii de încredere calificat emitent;
locul în care certificatul care stă la baza semnăturii electronice avansate sau a sigiliului electronic avansat menționate la litera (g) este disponibil gratuit;
informațiile privind serviciile care pot fi utilizate pentru a cunoaște statutul valabilității certificatului calificat sau localizarea acestor servicii;
în cazul în care datele de creare a semnăturilor electronice legate de datele de validare a semnăturilor electronice sunt situate într-un dispozitiv de creare a semnăturilor electronice calificat, o indicație corespunzătoare referitoare la aceasta, cel puțin într-o formă adecvată pentru prelucrarea automată.
ANEXA II
CERINȚE PENTRU DISPOZITIVELE DE CREARE A SEMNĂTURILOR ELECTRONICE CALIFICATE
1. Dispozitivele de creare a semnăturilor electronice calificate garantează, prin mijloace tehnice și procedurale adecvate, cel puțin că:
caracterul confidențial al datelor de creare a semnăturilor electronice utilizate pentru crearea semnăturii electronice este asigurat în mod rezonabil;
datele de creare a semnăturilor electronice utilizate pentru crearea semnăturii electronice pot, practic, să apară numai o dată;
există suficiente asigurări că datele de creare a semnăturilor electronice utilizate pentru crearea semnăturilor electronice nu pot să fie descoperite prin deducție și că semnătura electronică este protejată în mod fiabil împotriva falsificării utilizând tehnologia disponibilă în prezent;
datele de creare a semnăturilor electronice utilizate pentru crearea semnăturilor electronice pot să fie protejate în mod fiabil de către semnatarul legitim împotriva utilizării de către alte persoane.
2. Dispozitivele de creare a semnăturilor electronice calificate nu modifică datele care urmează să fie semnate sau nu împiedică prezentarea lor semnatarului înainte de a semna.
▼M2 —————
ANEXA III
CERINȚE PENTRU CERTIFICATELE CALIFICATE PENTRU SIGILIILE ELECTRONICE
Certificatele calificate pentru sigiliile electronice conțin:
o indicație, cel puțin într-o formă adecvată pentru prelucrarea automată, că certificatul a fost emis ca certificat calificat pentru sigilii electronice;
un set de date care reprezintă fără ambiguitate prestatorul de servicii de încredere calificat care emite certificatele calificate, care include cel puțin statul membru în care este stabilit prestatorul respectiv; și
cel puțin numele creatorului sigiliului și, după caz, numărul de înregistrare astfel cum se menționează în registrele oficiale;
datele de validare a sigiliilor electronice, care corespund datelor de creare a sigiliilor electronice;
detalii privind începutul și sfârșitul perioadei de valabilitate a certificatului;
codul de identitate al certificatului, care trebuie să fie unic pentru prestatorul de servicii de încredere calificat;
semnătura electronică avansată sau sigiliul electronic avansat al prestatorului de servicii de încredere calificat emitent;
locul în care certificatul care stă la baza semnăturii electronice avansate sau a sigiliului electronic avansat menționate la litera (g) este disponibil gratuit;
informațiile privind serviciile care pot fi utilizate pentru a cunoaște statutul valabilității certificatului calificat sau localizarea acestor servicii;
în cazul în care datele de creare a sigiliilor electronice legate de datele de validare a sigiliilor electronice sunt situate într-un dispozitiv de creare a sigiliilor electronice calificat, o indicație corespunzătoare referitoare la aceasta, cel puțin într-o formă adecvată pentru prelucrarea automată.
ANEXA IV
CERINȚE PENTRU CERTIFICATELE CALIFICATE PENTRU AUTENTIFICAREA UNUI SITE INTERNET
Certificatele calificate pentru autentificarea unui site internet conțin:
o indicație, cel puțin într-o formă adecvată pentru prelucrarea automată, că certificatul a fost emis ca certificat calificat pentru autentificarea unui site internet;
un set de date care reprezintă fără ambiguitate prestatorul de servicii de încredere calificat care emite certificatele calificate, care include cel puțin statul membru în care este stabilit prestatorul respectiv; și
în cazul persoanelor fizice: cel puțin numele persoanei căreia i s-a emis certificatul sau un pseudonim; în cazul în care se utilizează un pseudonim, acesta este indicat în mod clar;
în cazul persoanelor juridice: un set unic de date care reprezintă fără echivoc persoana juridică căreia i se emite certificatul, incluzând cel puțin denumirea persoanei juridice căreia i se emite certificatul și, după caz, numărul de înregistrare astfel cum este menționat în registrele oficiale;
elemente ale adresei persoanei fizice sau juridice căreia i s-a eliberat certificatul, incluzând cel puțin orașul și statul, și, dacă este cazul, în forma în care sunt înscrise în registrele oficiale;
numele domeniului (domeniilor) gestionat(e) de persoana fizică sau juridică căreia i s-a emis certificatul;
detalii privind începutul și sfârșitul perioadei de valabilitate a certificatului;
codul de identitate al certificatului, care trebuie să fie unic pentru prestatorul de servicii de încredere calificat;
semnătura electronică avansată sau sigiliul electronic avansat al prestatorului de servicii de încredere calificat emitent;
locul în care certificatul care stă la baza semnăturii electronice avansate sau a sigiliului electronic avansat menționate la litera (h) este disponibil gratuit;
informațiile privind serviciile care pot fi utilizate pentru a cunoaște statutul valabilității certificatului calificat sau localizarea acestor servicii.
ANEXA V
CERINȚE PRIVIND ATESTATUL ELECTRONIC CALIFICAT AL ATRIBUTELOR
Atestatul electronic calificat al atributelor conține:
o indicație, cel puțin într-un format adecvat pentru prelucrarea automată, a faptului că atestatul a fost emis ca atestat electronic calificat al atributelor;
un set de date care reprezintă fără ambiguitate prestatorul de servicii de încredere calificat care emite atestatul electronic calificat al atributelor, incluzând cel puțin statul membru în care este stabilit prestatorul respectiv și:
în cazul unei persoane juridice: denumirea și, după caz, numărul de înregistrare astfel cum figurează în registrele oficiale,
în cazul unei persoane fizice: numele persoanei;
un set de date care reprezintă fără echivoc entitatea la care se referă atributele atestate; în cazul în care se utilizează un pseudonim, acesta este indicat în mod clar;
atributul atestat sau atributele atestate, inclusiv, în cazurile aplicabile, informațiile necesare pentru a identifica domeniul de aplicare al atributelor respective;
detalii privind începutul și sfârșitul perioadei de valabilitate a atestatului;
codul de identificare al atestatului, care trebuie să fie unic pentru prestatorul de servicii de încredere calificat și, în cazurile aplicabile, indicarea sistemului de atestare din care face parte atestatul atributelor;
semnătura electronică calificată sau sigiliul electronic calificat al prestatorului de servicii de încredere calificat emitent;
locul în care este disponibil gratuit certificatul care stă la baza semnăturii electronice calificate sau a sigiliului electronic calificat menționate la litera (g);
informațiile privind serviciile care pot fi utilizate pentru a cunoaște statutul valabilității certificatului calificat sau localizarea acestor servicii.
ANEXA VI
LISTA MINIMĂ A ATRIBUTELOR
În temeiul articolului 45e, statele membre se asigură că sunt adoptate măsuri pentru a le permite prestatorilor de servicii de încredere calificați care pun la dispoziție atestate electronice ale atributelor să verifice prin mijloace electronice, la cererea utilizatorului, autenticitatea următoarelor atribute prin raportare la sursa autentică relevantă la nivel național sau prin intermediul unor intermediari desemnați recunoscuți la nivel național, în conformitate cu dreptul Uniunii sau cu dreptul intern și în cazurile în care aceste atribute se bazează pe surse autentice din cadrul sectorului public:
adresa;
vârsta;
genul;
starea civilă;
componența familiei;
naționalitatea sau cetățenia;
nivelul de studii, titluri și diplome;
calificări profesionale, titluri și licențe;
împuterniciri și mandate de reprezentare a persoanelor fizice sau juridice;
autorizații publice și licențe;
pentru persoanele juridice, datele financiare și datele privind societățile.
ANEXA VII
CERINȚE PRIVIND ATESTATUL ELECTRONIC AL ATRIBUTELOR EMIS DE UN ORGANISM PUBLIC RESPONSABIL DE O SURSĂ AUTENTICĂ SAU ÎN NUMELE UNUI ASTFEL DE ORGANISM
Un atestat electronic al atributelor emis de un organism public responsabil de o sursă autentică sau în numele unui astfel de organism conține:
o indicație, cel puțin într-un format adecvat pentru prelucrarea automată, a faptului că atestatul a fost emis ca atestat electronic al atributelor emis de un organism public responsabil de o sursă autentică sau în numele unui astfel de organism;
un set de date care reprezintă fără echivoc organismul public care emite atestatul electronic al atributelor, incluzând cel puțin statul membru în care este stabilit organismul public respectiv și denumirea sa și, după caz, numărul său de înregistrare, astfel cum figurează în registrele oficiale;
un set de date care reprezintă fără echivoc entitatea la care se referă atributele atestate; în cazul în care se utilizează un pseudonim, acesta este indicat în mod clar;
atributul atestat sau atributele atestate, inclusiv, în cazurile aplicabile, informațiile necesare pentru a identifica domeniul de aplicare al atributelor respective;
detalii privind începutul și sfârșitul perioadei de valabilitate a atestatului;
codul de identificare al atestatului, care trebuie să fie unic pentru organismul public emitent și, în cazurile aplicabile, o indicare a sistemului de atestare din care face parte atestatul atributelor;
semnătura electronică calificată sau sigiliul electronic calificat al organismului emitent;
locul în care este disponibil gratuit certificatul care stă la baza semnăturii electronice calificate sau a sigiliului electronic calificat menționate la litera (g);
informațiile privind serviciile care pot fi utilizate pentru a cunoaște statutul valabilității certificatului calificat sau localizarea acestor servicii.
(1) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).
(2) Directiva 2014/24/UE a Parlamentului European și a Consiliului din 26 februarie 2014 privind achizițiile publice și de abrogare a Directivei 2004/18/CE (JO L 94, 28.3.2014, p. 65).
(3) Directiva (UE) 2019/882 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind cerințele de accesibilitate aplicabile produselor și serviciilor (JO L 151, 7.6.2019, p. 70).
(4) Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, p. 15).
(5) Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36).
(6) Regulamentul (UE) 2022/2065 al Parlamentului European și al Consiliului din 19 octombrie 2022 privind o piață unică pentru serviciile digitale și de modificare a Directivei 2000/31/CE (Regulamentul privind serviciile digitale) (JO L 277, 27.10.2022, p. 1).
(7) Regulamentul (UE) 2022/1925 al Parlamentului European și al Consiliului din 14 septembrie 2022 privind piețe contestabile și echitabile în sectorul digital și de modificare a Directivelor (UE) 2019/1937 și (UE) 2020/1828 (Regulamentul privind piețele digitale) (JO L 265, 12.10.2022, p. 1).
(8) Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (JO L 333, 27.12.2022, p. 80).
