Sigurnije transakcije na internetu

SAŽETAK DOKUMENTA:

Uredba (EU) br. 910/2014: o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu

SAŽETAK

ČEMU SLUŽI OVA UREDBA?

Uredba o elektroničkoj identifikaciji i uslugama povjerenja (eIDAS) stvara novi sustav za sigurne elektroničke interakcije diljem EU-a među poduzećima, građanima i tijelima javne vlasti.
Njome se nastoji povećati povjerenje u elektroničke transakcije diljem EU-a kako bi se povećala djelotvornost javnih i privatnih online usluga i elektroničke trgovine. Ona se odnosi na:
- sustave elektroničke identifikacije (eID)* koje su zemlje EU-a prijavile Europskoj komisiji;
- pružatelje usluga povjerenja sa sjedištem u EU-u.
Njome se uklanjaju postojeće prepreke korištenju eID-om u EU-u. Primjerice, sada bi poduzeće iz Portugala moglo izravno sudjelovati na natječaju za pružanje javne usluge u Švedskoj, a financijskom potporom EU-a može se u potpunosti upravljati online.

KLJUČNE TOČKE

Elektronička identifikacija

eID izdan u jednoj zemlji EU-a moraju priznati sve druge zemlje. To vrijedi samo ako eID ispunjava zahtjeve utvrđene u Uredbi i ako je prijavljen Komisiji i objavljen na popisu. Uzajamno priznavanje eID-a bit će obvezno od jeseni 28. rujna 2018. godine te će olakšati sigurne elektroničke transakcije u cijelom EU-u.
eID sustav mora odrediti jednu od tri razine osiguranja (niska, značajna, visoka) za oblik elektroničke identifikacije koji je izdan u okviru tog sustava. Uzajamno priznavanje obvezno je samo kada odgovarajuće tijelo javnog sektora primjenjuje „značajnu” ili „visoku” razinu za pristupanje toj usluzi online.

Prijavljivanje

Pri prijavljivanju eID sustava Komisiji, zemlje EU-a moraju dostaviti informacije o aspektima poput:
- razina osiguranja i izdavateljeID-a u sklopu tog sustava;
- primjenjivih sustava nadzora i odgovornosti;
- tijela koje upravlja registracijom jedinstvenih osobnih identifikacijskih podataka.
U slučaju povrede sigurnosti eID sustava ili autentifikacije, zemlja EU-a koja provodi prijavljivanje mora:
- brzo suspendirati/opozvati tu prekograničnu autentifikaciju ili ugrožene dijelove plana; i
- obavijestiti ostale zemlje EU-a i Komisiju.

Odgovornost

U svakoj transakciji između zemalja EU-a u kojoj je došlo do nepoštivanja obveza navedenih u Uredbi, navedene strane mogu se smatrati odgovornom za bilo kakvu štetu koja je namjerno ili nepažnjom prouzročena svakoj fizičkoj ili pravnoj osobi:
- zemlja EU-a koja provodi prijavljivanje;
- strana koja izdaje eID;
- strana koja provodi postupak autentifikacije.

Suradnja i operabilnost među zemljama EU-a

Prijavljeni nacionalni eID sustavi moraju biti interoperabilni. Okvir za interoperabilnost mora biti tehnološki neutralan te ne favorizirati bilo koje posebno nacionalno tehničko rješenje za eID.

Usluge povjerenja

Uredbom se usluge povjerenja definiraju kao plaćene usluge koje uključuju:
- izradu, verifikaciju i validaciju elektroničkih potpisa; elektroničkih pečata; ili elektroničkih vremenskih žigova; ili usluge elektroničke preporučene dostave i certifikata koji se odnose na te usluge; ili
- izradu, verifikaciju i validaciju certifikata za autentifikaciju mrežnih stranica; ili
- čuvanja elektroničkih potpisa, pečata ili certifikata koji se odnose na te usluge.
Pružatelji usluga povjerenja sa sjedištem u EU-u koji se smatraju „kvalificiranima” ako ispunjavaju zahtjeve iz Uredbe koji se odnose na njih. Oni su zakonski ovlašteni pružati kvalificiraneusluge povjerenja (npr. kvalificirane elektroničke potpise, pečate ili certifikate) u svim zemljama EU-a. Usluge povjerenja koje nude pružatelji usluga iz zemalja koje nisu članice EU-a mogu se smatrati pravno jednakima kvalificiranim uslugama, ali tek nakon sklapanja sporazuma između EU-a i treće zemlje ili međunarodne organizacije.

Nadzor

Zemlje EU-a moraju izabrati jedno ili više tijela za aktivnosti nadzora predviđene ovom uredbom. Ta tijela moraju surađivati s tijelima za zaštitu podataka kada je to potrebno.
Svi pružatelji usluga povjerenja podliježu nadzoru te obvezi upravljanja rizicima i obvezi prijave povrede sigurnosti.
Nekvalificirani pružatelji usluga povjerenja podliježu neobvezujućem obliku nadzora, tj. nadzorno tijelo reagira samo ako se sumnja na ozbiljan propust pružatelja usluge.
Kvalificirani pružatelji usluga povjerenja sa sjedištem u EU-u podliježu strogom nadzoru. To uključuje prethodno odobrenje nadzornih tijela te provođenje revizije najmanje jednom svake dvije godine od strane organizacije koja procjenjuje udovoljavaju li zahtjevima iz Uredbe.
Novim EU-ovim znakom pouzdanosti koji se dobrovoljno koristi identificirat će se kvalificirane usluge povjerenja koje pružaju relevantni pružatelji usluga.

Europska komisija je tijekom 2015. donijela niz akata kojima se utvrđuju:

postupovni aranžmani za suradnju među zemljama EU-a o elektroničkoj identifikaciji
specifikacije u vezi s oblikom EU znaka pouzdanosti za kvalificirane usluge povjerenja;
tehnički i operativni zahtjevi okvira za interoperabilnost;
minimalne tehničke specifikacije i postupke za razine sigurnosti za sredstva eID-a;
tehničke specifikacije i formati u vezi s pouzdanim popisima;
specifikacije u vezi s formatima naprednih elektroničkih potpisa i naprednih pečata koja trebaju priznati tijela javnog sektora; i
okolnosti, oblike i postupke prijava sustava eID-a.

OTKAD SE UREDBA PRIMJENJUJE?

Primjenjuje se od 17. rujna 2014. godine.

KLJUČNI POJAM

* elektronička identifikacija (eID): opipljivi ili neopipljivi oblici identifikacije koji sadrže osobne identifikacijske podatke kakvi se koriste za autentifikaciju online usluge.

DOKUMENT

Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257, 28.8.2014., str. 73.–114.)

Sukcesivne izmjene i dopune Uredbe (EU) br. 910/2014 uključene su u izvorni dokument. Ovaj pročišćeni tekst ima samo dokumentarnu vrijednost.

Posljednje ažuriranje 17.03.2016