9.9.2015   

IT

Gazzetta ufficiale dell'Unione europea

L 235/26

DECISIONE DI ESECUZIONE (UE) 2015/1505 DELLA COMMISSIONE

dell'8 settembre 2015

che stabilisce le specifiche tecniche e i formati relativi agli elenchi di fiducia di cui all'articolo 22, paragrafo 5, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno

(Testo rilevante ai fini del SEE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea,

visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (1), in particolare l'articolo 22, paragrafo 5,

considerando quanto segue:

(1)

Gli elenchi di fiducia sono essenziali per instaurare la fiducia tra gli operatori di mercato perché indicano lo status del prestatore di servizi al momento della vigilanza.

(2)

La decisione 2009/767/CE della Commissione (2) ha facilitato l'uso transfrontaliero delle firme elettroniche fissando l'obbligo per gli Stati membri di elaborare, aggiornare e pubblicare elenchi di fiducia contenenti informazioni relative ai prestatori di servizi di certificazione che rilasciano al pubblico certificati qualificati in conformità alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio (3) e che sono soggetti a supervisione e a accreditamento da parte degli Stati membri.

(3)

L'articolo 22 del regolamento (UE) n. 910/2014 prevede l'obbligo per gli Stati membri di istituire, mantenere e pubblicare, in modo sicuro e in una forma adatta al trattamento automatizzato, elenchi di fiducia firmati o sigillati elettronicamente e di notificare alla Commissione gli organismi responsabili dell'istituzione degli elenchi di fiducia nazionali.

(4)

Un prestatore di servizi fiduciari e i servizi fiduciari da esso forniti dovrebbero essere considerati qualificati quando nell'elenco di fiducia è associato al prestatore lo status qualificato. Al fine di garantire che gli altri obblighi derivanti dal regolamento (UE) n. 910/2014, in particolare quelli previsti dagli articoli 27 e 37, possano essere facilmente rispettati dai prestatori di servizi a distanza e per via elettronica e al fine di rispondere alle legittime aspettative di altri prestatori di servizi di certificazione che non rilasciano certificati qualificati ma forniscono servizi relativi alle firme elettroniche a norma della direttiva 1999/93/CE e sono catalogati entro il 30 giugno 2016, dovrebbe essere possibile per gli Stati membri aggiungere, su base volontaria e a livello nazionale, servizi di fiducia diversi da quelli qualificati negli elenchi di fiducia, purché sia chiaramente indicato che non sono qualificati a norma del regolamento (UE) n. 910/2014.

(5)

Conformemente al considerando 25 del regolamento (UE) n. 910/2014, gli Stati membri possono aggiungere tipi di servizi di fiducia definiti a livello nazionale diversi da quelli definiti all'articolo 3, paragrafo 16, del medesimo regolamento purché sia chiaramente indicato che non sono qualificati a norma dello stesso.

(6)

Le misure di cui alla presente decisione sono conformi al parere del comitato istituito dall'articolo 48 del regolamento (UE) n. 910/2014,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Gli Stati membri redigono, pubblicano e aggiornano elenchi di fiducia contenenti informazioni sui prestatori di servizi fiduciari qualificati su cui esercitano la vigilanza, nonché informazioni sui servizi fiduciari qualificati che essi forniscono. Tali elenchi sono conformi alle specifiche tecniche fissate nell'allegato I.

Articolo 2

Gli Stati membri possono includere negli elenchi di fiducia informazioni sui prestatori di servizi fiduciari non qualificati, insieme a informazioni relative ai servizi fiduciari non qualificati da essi forniti. L'elenco indica chiaramente quali prestatori di servizi fiduciari e servizi fiduciari da essi forniti non sono qualificati.

Articolo 3

(1)   A norma dell'articolo 22, paragrafo 2, del regolamento (UE) n. 910/2014, gli Stati membri firmano o sigillano elettronicamente i propri elenchi di fiducia in una forma adatta al trattamento automatizzato, conformemente alle specifiche tecniche di cui all'allegato I.

(2)   Se pubblica elettronicamente l'elenco di fiducia in una forma leggibile in chiaro, lo Stato membro fa in modo che esso contenga gli stessi dati figuranti nell'elenco redatto nella forma adatta al trattamento automatizzato e lo firma o lo sigilla elettronicamente, conformemente alle specifiche tecniche di cui all'allegato I.

Articolo 4

(1)   Gli Stati membri notificano alla Commissione le informazioni di cui all'articolo 22, paragrafo 3, del regolamento (UE) n. 910/2014 utilizzando il modello figurante nell'allegato II.

(2)   Le informazioni di cui al paragrafo 1 includono due o più certificati a chiave pubblica del gestore del regime, con periodi di validità sfasati di almeno tre mesi, corrispondenti alle chiavi private che possono essere usate per firmare o sigillare elettronicamente sia l'elenco di fiducia nella forma adatta al trattamento automatizzato sia l'elenco di fiducia nella forma leggibile in chiaro al momento della pubblicazione.

(3)   A norma dell'articolo 22, paragrafo 4, del regolamento (UE) n. 910/2014, la Commissione rende pubbliche, attraverso un canale sicuro su un server web autenticato, le informazioni di cui ai paragrafi 1 e 2, notificate dagli Stati membri, in una forma adatta al trattamento automatizzato firmata o sigillata.

(4)   La Commissione rende pubbliche, attraverso un canale sicuro su un server web autenticato, le informazioni di cui ai paragrafi 1 e 2, notificate dagli Stati membri, in una forma leggibile in chiaro firmata o sigillata.

Articolo 5

La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

La presente decisione è obbligatoria in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, l'8 settembre 2015

Per la Commissione

Il presidente

Jean-Claude JUNCKER

(1)  GU L 257 del 28.8.2014, pag. 73.

(2)  Decisione 2009/767/CE della Commissione, del 16 ottobre 2009, che stabilisce misure per facilitare l'uso di procedure per via elettronica mediante gli «sportelli unici» di cui alla direttiva 2006/123/CE del Parlamento europeo e del Consiglio relativa ai servizi nel mercato interno (GU L 274 del 20.10.2009, pag. 36).

(3)  Direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche (GU L 13 del 19.1.2000, pag. 12).

ALLEGATO I

SPECIFICHE TECNICHE RELATIVE A UN MODELLO COMUNE PER GLI ELENCHI DI FIDUCIA

CAPITOLO I

REQUISITI GENERALI

Gli elenchi di fiducia includono sia le informazioni correnti sia quelle storiche, a partire dall'inclusione di un prestatore di servizi fiduciari in tali elenchi, sullo status dei servizi fiduciari elencati.

Nelle presenti specifiche le espressioni «soggetto ad approvazione», «soggetto ad accreditamento» e/o «soggetto a vigilanza» coprono anche i regimi nazionali di approvazione, ma gli Stati membri forniscono nei rispettivi elenchi di fiducia informazioni supplementari sulla natura di tali regimi nazionali, compresi chiarimenti sulle eventuali differenze rispetto ai regimi di vigilanza applicati ai prestatori di servizi fiduciari qualificati e ai servizi fiduciari qualificati da essi prestati.

Le informazioni fornite nell'elenco di fiducia sono finalizzate innanzi tutto a facilitare la convalida dei token dei servizi fiduciari qualificati, ossia degli oggetti (logici) fisici o binari generati o rilasciati a seguito dell'uso di un servizio fiduciario qualificato, ad esempio le firme/i sigilli elettronici qualificati, le firme/i sigilli elettronici avanzati basati su un certificato qualificato, le validazioni temporali qualificate, le prove di consegna elettronica qualificate e così via.

CAPITOLO II

SPECIFICHE DETTAGLIATE RELATIVE AL MODELLO COMUNE PER GLI ELENCHI DI FIDUCIA

Le presenti specifiche si basano sulle specifiche e sui requisiti di cui alle specifiche tecniche 119 612 v2.1.1 dell'ETSI (di seguito ETSI TS 119 612).

Qualora nelle presenti specifiche non siano stabiliti requisiti specifici, si applicano integralmente i requisiti delle clausole 5 e 6 delle ETSI TS 119 612. Se invece nelle presenti specifiche sono stabiliti requisiti specifici, questi prevalgono sui corrispondenti requisiti delle ETSI TS 119 612. In caso di discrepanza tra le presenti specifiche e le ETSI TS 119 612 prevalgono le presenti specifiche.

Scheme name (clausola 5.3.6)

Questo campo è obbligatorio ed è conforme alle specifiche della clausola 5.3.6 delle ETSI TS 119 612 e per il regime è utilizzata la seguente denominazione:

«EN_name_value»= «Elenco di fiducia contenente informazioni relative ai prestatori di servizi fiduciari qualificati soggetti alla vigilanza dello Stato membro emittente, unitamente a informazioni relative ai servizi fiduciari qualificati da essi prestati, conformemente alle pertinenti disposizioni del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.»

Scheme information URI (clausola 5.3.7)

Questo campo è obbligatorio ed è conforme alle specifiche della clausola 5.3.7 delle ETSI TS 119 612; le «informazioni appropriate sul regime» includono come minimo:

a)

Informazioni introduttive generali, comuni a tutti gli Stati membri, relative all'ambito di applicazione e al contesto dell'elenco di fiducia, al regime soggiacente di vigilanza e, se del caso, il/i regime/i nazionale/i di approvazione (ad esempio per l'accreditamento). Il testo comune da utilizzare è il testo seguente, in cui la stringa di caratteri «[nome del pertinente Stato membro]» è sostituita dal nome del pertinente Stato membro:

«Il presente elenco è l'elenco di fiducia che contiene informazioni relative ai prestatori di servizi fiduciari qualificati soggetti alla vigilanza di/dell'/del/della [nome del pertinente Stato membro], unitamente a informazioni relative ai servizi fiduciari qualificati da essi prestati, conformemente alle pertinenti disposizioni del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.

L'uso transfrontaliero delle firme elettroniche è stato facilitato con la decisione 2009/767/CE della Commissione, del 16 ottobre 2009, che ha fissato l'obbligo per gli Stati membri di elaborare, aggiornare e pubblicare elenchi di fiducia contenenti informazioni relative ai prestatori di servizi di certificazione che rilasciano al pubblico certificati qualificati in conformità alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche, e che sono soggetti a vigilanza/accreditamento da parte degli Stati membri. L'attuale elenco di fiducia è la continuazione dell'elenco di fiducia stabilito con la decisione 2009/767/CE.»

Gli elenchi di fiducia sono elementi essenziali per l'instaurazione della fiducia tra gli operatori del mercato elettronico, in quanto consentono agli utenti di determinare lo status qualificato e la cronologia dello status dei prestatori di servizi fiduciari e dei servizi da essi prestati.

Gli elenchi di fiducia degli Stati membri includono, come minimo, le informazioni di cui agli articoli 1 e 2 della decisione di esecuzione (UE) 2015/1505.

Gli Stati membri possono includere negli elenchi di fiducia informazioni sui prestatori di servizi fiduciari non qualificati, assieme a informazioni relative ai servizi fiduciari non qualificati da essi prestati. È chiaramente indicato che essi non sono qualificati a norma del regolamento (UE) n. 910/2014.

Gli Stati membri possono includere negli elenchi di fiducia informazioni sui tipi di servizi fiduciari definiti a livello nazionale diversi da quelli di cui all'articolo 3, punto 16, del regolamento (UE) n. 910/2014. È chiaramente indicato che essi non sono qualificati a norma del regolamento (UE) n. 910/2014.

b)

Informazioni specifiche sul regime soggiacente di vigilanza e, se del caso, il/i regime/i nazionale/i di approvazione (ad esempio per l'accreditamento), in particolare (1):

1)

informazioni sul regime nazionale di vigilanza applicabile ai prestatori di servizi fiduciari, qualificati e non qualificati, e ai servizi fiduciari qualificati e non qualificati da essi prestati, secondo quanto stabilito dal regolamento (UE) n. 910/2014;

2)

informazioni, se del caso, sui regimi di accreditamento facoltativi nazionali applicabili ai prestatori di servizi di certificazione che abbiano rilasciato certificati qualificati a norma della direttiva 1999/93/CE.

Per ognuno dei regimi soggiacenti sopraelencati dette informazioni specifiche includono quantomeno:

1)

una descrizione generale;

2)

informazioni sulla procedura seguita dal regime nazionale di vigilanza e, se del caso, per l'approvazione nel quadro di un regime nazionale di approvazione;

3)

informazioni sui criteri utilizzati per la vigilanza o, se del caso, per l'approvazione dei prestatori di servizi fiduciari;

4)

informazioni sui criteri e sulle norme utilizzati per la selezione degli addetti alla vigilanza/alle verifiche e sulle modalità con cui essi valutano i prestatori di servizi fiduciari e i servizi fiduciari da essi prestati;

5)

se del caso, altre informazioni generali e di contatto connesse con la gestione del regime.

Scheme type/community/rules (clausola 5.3.9)

Questo campo è obbligatorio ed è conforme alle specifiche della clausola 5.3.9 delle ETSI TS 119 612.

Accetta solo URI in inglese britannico.

Comprende almeno due URI:

1)

un URI comune agli elenchi di fiducia di tutti gli Stati membri che punta a un testo descrittivo applicabile a tutti gli elenchi di fiducia, come nel seguente esempio:

URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon

Testo descrittivo:

«Participation in a scheme

Each Member State must create a trusted list including information related to the qualified trust service providers that are under supervision, together with information related to the qualified trust services provided by them, in accordance with the relevant provisions laid down in Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

The present implementation of such trusted lists is also to be referred to in the list of links (pointers) towards each Member State's trusted list, compiled by the European Commission.

Policy/rules for the assessment of the listed services

Member States must supervise qualified trust service providers established in the territory of the designating Member State as laid down in Chapter III of Regulation (EU) No 910/2014 to ensure that those qualified trust service providers and the qualified trust services that they provide meet the requirements laid down in the Regulation.

The trusted lists of Member States include, as a minimum, information specified in Articles 1 and 2 of Commission Implementing Decision (EU) 2015/1505.

The trusted lists include both current and historical information about the status of listed trust services.

Each Member State's trusted list must provide information on the national supervisory scheme and where applicable, national approval (e.g. accreditation) scheme(s) under which the trust service providers and the trust services that they provide are listed.

Interpretation of the Trusted List

The general user guidelines for applications, services or products relying on a trusted list published in accordance with Regulation (EU) No 910/2014 are as follows:

The “qualified” status of a trust service is indicated by the combination of the “Service type identifier” (“Sti”) value in a service entry and the status according to the “Service current status” field value as from the date indicated in the “Current status starting date and time”. Historical information about such a qualified status is similarly provided when applicable.

Regarding qualified trust service providers issuing qualified certificates for electronic signatures, for electronic seals and/or for website authentication:

A “CA/QC”“Service type identifier” (“Sti”) entry (possibly further qualified as being a “RootCA-QC” through the use of the appropriate “Service information extension” (“Sie”) additionalServiceInformation Extension)

indicates that any end-entity certificate issued by or under the CA represented by the “Service digital identifier” (“Sdi”) CÀs public key and CÀs name (both CA data to be considered as trust anchor input), is a qualified certificate (QC) provided that it includes at least one of the following:

the id-etsi-qcs-QcCompliance ETSI defined statement (id-etsi-qcs 1),

the 0.4.0.1456.1.1 (QCP+) ETSI defined certificate policy OID,

the 0.4.0.1456.1.2 (QCP) ETSI defined certificate policy OID,

and provided this is ensured by the Member State Supervisory Body through a valid service status (i.e. “undersupervision”, “supervisionincessation”, “accredited” or “granted”) for that entry.

and IF“Sie”“Qualifications Extension” information is present, then in addition to the above default rule, those certificates that are identified through the use of “Sie”“Qualifications Extension” information, constructed as a sequence of filters further identifying a set of certificates, must be considered according to the associated qualifiers providing additional information regarding their qualified status, the “SSCD support” and/or “Legal person as subject” (e.g. certificates containing a specific OID in the Certificate Policy extension, and/or having a specific “Key usage” pattern, and/or filtered through the use of a specific value to appear in one specific certificate field or extension ecc.). These qualifiers are part of the following set of “Qualifiers” used to compensate for the lack of information in the corresponding certificate content, and that are used respectively:

to indicate the qualified certificate nature:

“QCStatement” meaning the identified certificate(s) is(are) qualified under Directive 1999/93/EC;

“QCForESig” meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for electronic signature under Regulation 910/2014/EU;

“QCForESeal” meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for electronic seal under Regulation (EU) No 910/2014;

“QCForWSA” meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for web site authentication under Regulation (EU) No 910/2014.

to indicate that the certificate is not to be considered as qualified:

“NotQualified” meaning the identified certificate(s) is(are) not to be considered as qualified; And/or

to indicate the nature of the SSCD support:

“QCWithSSCD” meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have their private key residing in an SSCD, or

“QCNoSSCD” meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have not their private key residing in an SSCD, or

“QCSSCDStatusAsInCert” meaning the identified certificate(s), when claimed or stated as qualified certificate(s), does(do) contain proper machine processable information about whether or not their private key residing in an SSCD;

to indicate the nature of the QSCD support:

“QCWithQSCD” meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have their private key residing in a QSCD, or

“QCNoQSCD” meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have not their private key residing in a QSCD, or

“QCQSCDStatusAsInCert” meaning the identified certificate(s), when claimed or stated as qualified certificate(s), does(do) contain proper machine processable information about whether or not their private key is residing in a QSCD;

“QCQSCDManagedOnBehalf” indicating that all certificates identified by the applicable list of criteria, when they are claimed or stated as qualified, have their private key is residing in a QSCD for which the generation and management of that private key is done by a qualified TSP on behalf of the entity whose identity is certified in the certificate; And/or

to indicate issuance to Legal Person:

“QCForLegalPerson” meaning the identified certificate(s), when claimed or stated as qualified certificate(s), are issued to a Legal Person under Directive 1999/93/EC.

Note: The information provided in the trusted list is to be considered as accurate meaning that:

if none of the id-etsi-qcs 1 statement, QCP OID or QCP+ OID information is included in an end-entity certificate, and

if no “Sie”“Qualifications Extension” information is present for the trust anchor CA/QC corresponding service entry to qualify the certificate with a “QCStatement” qualifier, or

an “Sie”“Qualifications Extension” information is present for the trust anchor CA/QC corresponding service entry to qualify the certificate with a “NotQualified” qualifier,

then the certificate is not to be considered as qualified.

“Service digital identifiers” are to be used as Trust Anchors in the context of validating electronic signatures or seals for which signer's or seal creator's certificate is to be validated against TL information, hence only the public key and the associated subject name are needed as Trust Anchor information. When more than one certificate are representing the public key identifying the service, they are to be considered as Trust Anchor certificates conveying identical information with regard to the information strictly required as Trust Anchor information.

The general rule for interpretation of any other “Sti” type entry is that, for that “Sti” identified service type, the listed service named according to the “Service name” field value and uniquely identified by the “Service digital identity” field value has the current qualified or approval status according to the “Service current status” field value as from the date indicated in the “Current status starting date and time”.

Specific interpretation rules for any additional information with regard to a listed service (e.g. “Service information extensions” field) may be found, when applicable, in the Member State specific URI as part of the present “Scheme type/community/rules” field.

Please refer to the applicable secondary legislation pursuant to Regulation (EU) No 910/2014 for further details on the fields, description and meaning for the Member States' trusted lists.»;

2)

un URI specifico per l'elenco di fiducia di ogni Stato membro che punta a un testo descrittivo applicabile all'elenco di fiducia dello Stato membro in questione:

http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC dove CC = codice paese ISO 3166-1 (2) alpha-2 utilizzato nel campo «Scheme territory» (clausola 5.3.10)

in cui gli utilizzatori possono trovare le politiche/norme specifiche dello Stato membro in questione in base alle quali i servizi fiduciari inclusi nell'elenco sono valutati, conformemente al regime di vigilanza e, se del caso, al regime di approvazione, in vigore nello Stato membro;

che fornisce agli utilizzatori una descrizione specifica dello Stato membro in questione, che indichi come usare e interpretare il contenuto dell'elenco di fiducia per quanto riguarda i servizi fiduciari non qualificati e/o i servizi fiduciari definiti a livello nazionale. Questo testo può essere utilizzato per indicare che il regime di approvazione nazionale può applicare un diverso trattamento ai prestatori di servizi di certificazione che non rilasciano certificati qualificati e per specificare il modo in cui sono utilizzati a tal fine i campi «Scheme service definition URI» (clausola 5.5.6) e «Service information extension» (clausola 5.5.9).

Gli Stati membri POSSONO definire e utilizzare URI supplementari per espandere l'URI specifico dello Stato membro di cui sopra (ossia URI definiti a partire da tale URI gerarchico specifico).

TSL policy/legal notice (clausola 5.3.11)

Questo campo è obbligatorio ed è conforme alle specifiche della clausola 5.3.11 delle ETSI TS 119 612; l'avviso legale/sulla politica concernente lo status giuridico del regime o i requisiti giuridici soddisfatti dal regime nell'ordinamento in cui è stabilito e/o le eventuali limitazioni e condizioni in virtù delle quali l'elenco di fiducia è aggiornato e pubblicato sono una stringa di caratteri multilingue (cfr. clausola 5.1.4) che fornisce, in inglese britannico come lingua obbligatoria e facoltativamente in una o più lingue nazionali, il testo effettivo di tale avviso o politica secondo la struttura indicata di seguito:

(1)

Una prima parte obbligatoria, comune agli elenchi di fiducia di tutti gli Stati membri, che indica il quadro giuridico applicabile e corrisponde alla seguente versione inglese:

The applicable legal framework for the present trusted list is Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

Testo nella o nelle lingue ufficiali degli Stati membri:

Il quadro giuridico applicabile al presente elenco di fiducia è il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.

(2)

Una seconda parte facoltativa, specifica per ciascun elenco di fiducia, che indica i riferimenti agli specifici quadri normativi nazionali applicabili.

Service current status (clausola 5.5.4)

Questo campo è obbligatorio ed è conforme alle specifiche della clausola 5.5.4 delle ETSI TS 119 612.

La migrazione del valore «Service current status» dei servizi elencati nell'elenco di fiducia degli Stati membri dell'UE il giorno precedente la data di applicazione del regolamento (UE) n. 910/2014 (ossia, il 30 giugno 2016) è eseguita il giorno in cui è applicato il regolamento (ossia il 1o luglio 2016), come specificato nell'allegato J delle ETSI TS 119 612.

CAPITOLO III

CONTINUITÀ DEGLI ELENCHI DI FIDUCIA

I certificati da notificare alla Commissione a norma dell'articolo 4, paragrafo 2, della presente decisione sono conformi ai requisiti della clausola 5.7.1 delle ETSI TS 119 612 e sono rilasciati in modo da:

essere sfasati di almeno tre mesi per data limite di validità («non oltre»);

essere creati su nuove coppie di chiavi. Le coppie di chiavi utilizzate in precedenza non possono essere nuovamente certificate.

In caso di scadenza di uno dei certificati a chiave pubblica utilizzabile per convalidare la firma o il sigillo dell'elenco di fiducia e che è stato notificato alla Commissione e pubblicato nell'elenco centrale di puntatori della Commissione, gli Stati membri:

se l'elenco di fiducia attualmente pubblicato è stato firmato o sigillato con una chiave privata il cui certificato a chiave pubblica è scaduto, ripubblicano senza indugio un nuovo elenco di fiducia firmato o sigillato con una chiave privata il cui certificato a chiave pubblica notificato non sia scaduto;

se richiesto, generano nuove coppie di chiavi utilizzabili per firmare o sigillare l'elenco di fiducia e per generare i corrispondenti certificati a chiave pubblica;

notificano tempestivamente alla Commissione il nuovo elenco di certificati a chiave pubblica corrispondenti alle chiavi private utilizzabili per firmare o sigillare l'elenco di fiducia.

In caso di compromissione o disattivazione di una delle chiavi private corrispondenti a uno dei certificati a chiave pubblica utilizzabili per convalidare la firma o il sigillo dell'elenco di fiducia e che è stato notificato alla Commissione e pubblicato nell'elenco centrale di puntatori della Commissione, gli Stati membri:

nel caso in cui l'elenco di fiducia pubblicato sia stato firmato o sigillato con una chiave privata compromessa o disattivata, ripubblicano senza indugio un nuovo elenco di fiducia firmato o sigillato con una chiave privata non compromessa;

se richiesto, generano nuove coppie di chiavi utilizzabili per firmare o sigillare l'elenco di fiducia e per generare i corrispondenti certificati a chiave pubblica;

notificano tempestivamente alla Commissione il nuovo elenco di certificati a chiave pubblica corrispondenti alle chiavi private utilizzabili per firmare o sigillare l'elenco di fiducia.

In caso di compromissione o disattivazione di tutte le chiavi private corrispondenti ai certificati a chiave pubblica utilizzabili per convalidare la firma dell'elenco di fiducia e che sono stati notificati alla Commissione e pubblicati nell'elenco centrale di puntatori della Commissione, gli Stati membri:

generano nuove coppie di chiavi utilizzabili per firmare o sigillare l'elenco di fiducia e per generare i corrispondenti certificati a chiave pubblica;

ripubblicano senza indugio un nuovo elenco di fiducia firmato o sigillato con una delle nuove chiavi private, il cui corrispondente certificato a chiave pubblica deve essere notificato;

notificano tempestivamente alla Commissione il nuovo elenco di certificati a chiave pubblica corrispondenti alle chiavi private utilizzabili per firmare o sigillare l'elenco di fiducia.

CAPITOLO IV

SPECIFICHE PER LA FORMA LEGGIBILE IN CHIARO DELL'ELENCO DI FIDUCIA

Se prodotta e pubblicata, la forma leggibile in chiaro dell'elenco di fiducia è un documento PDF (Portable Document Format) conforme a ISO 32000 (3), da formattare conformemente al profilo PDF/A (ISO 19005 (4)).

Il contenuto della forma leggibile in chiaro dell'elenco di fiducia basata sul PDF/A è conforme ai seguenti requisiti:

la struttura della forma leggibile in chiaro riflette il modello logico descritto nelle ETSI TS 119 612;

ogni campo presente è visibile e indica:

il titolo del campo (ad esempio «Service type identifier»),

il valore del campo (ad esempio «http://uri.etsi.org/TrstSvc/Svctype/CA/QC}»),

se del caso, il significato (la descrizione) del valore del campo (ad esempio «un servizio di generazione di certificati che crea e firma certificati qualificati basati sull'identità e altri attributi verificati dai pertinenti servizi di registrazione.»),

se del caso, versioni in più lingue naturali, in base a quelle fornite nell'elenco di fiducia;

nella forma leggibile in chiaro sono visibili almeno i seguenti campi e i corrispondenti valori dei certificati digitali (5), se presenti nel campo «Service digital identity»:

Versione

Numero di serie del certificato

Algoritmo di firma

Emittente — tutti i pertinenti campi di nome distinto

Periodo di validità

Soggetto — tutti i pertinenti campi di nome distinto

Chiave pubblica

Identificativo della chiave dell'autorità

Identificativo della chiave del soggetto

Uso della chiave

Uso esteso della chiave

Politiche di certificazione — tutti gli identificativi delle politiche e i qualificatori delle politiche

Mappature delle politiche

Nome alternativo del soggetto

Attributi della directory del soggetto

Limitazioni di base

Limitazioni relative alla politica

Punti di distribuzione CRL (6)

Accesso alle informazioni sull'autorità

Accesso alle informazioni sul soggetto

Dichiarazioni di certificato qualificato (7)

Algoritmo hash

Valore hash del certificato;

la forma leggibile in chiaro è facile da stampare;

la forma leggibile in chiaro è firmata o sigillata dal gestore del regime in base alla firma avanzata PDF di cui agli articoli 1 e 3 della decisione di esecuzione (UE) 2015/1505 della Commissione.

(1)  Queste serie di informazioni rivestono un'importanza cruciale per le parti facenti affidamento sulla certificazione, in quanto consentono loro di valutare la qualità e il livello di sicurezza dei regimi. Tali serie di informazioni sono fornite nell'elenco di fiducia mediante l'uso dei seguenti campi: «Scheme information URI» (clausola 5.3.7, informazioni fornite dagli Stati membri), «Scheme type/community/rules» (clausola 5.3.9, testo comune a tutti gli Stati membri) e «TSL policy/legal notice» (clausola 5.3.11, testo comune a tutti gli Stati membri, con la possibilità per ciascuno di essi di aggiungere testi/riferimenti ad esso specifici). Informazioni supplementari su tali regimi per i servizi fiduciari non qualificati e i servizi fiduciari (qualificati) definiti a livello nazionale possono essere fornite a livello del servizio, se pertinente e richiesto (ad esempio per distinguere tra livelli diversi di qualità/sicurezza), mediante l'uso del campo «Scheme service definition URI» (clausola 5.5.6).

(2)  ISO 3166-1:2006: «Codes for the representation of names of countries and their subdivisions — Part 1: Country codes».

(3)  ISO 32000-1:2008: Document management -- Portable document format -- Part 1: PDF 1.7

(4)  ISO 19005-2:2011: Document management -- Electronic document file format for long-term preservation -- Part 2: Use of ISO 32000-1 (PDF/A-2)

(5)  Raccomandazione ITU-T X.509 | ISO/IEC 9594-8: Information technology — Open systems interconnection — The Directory: Public-key and attribute certificate frameworks (cfr. http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=X.509)

(6)  PDF 5280: certificato Internet X. 509 PKI e profilo CRL

(7)  PDF 3739: Internet X.509 PKI: Profilo di certificato qualificato.

ALLEGATO II

MODELLO PER LE NOTIFICHE DEGLI STATI MEMBRI

Le informazioni da notificare agli Stati membri a norma dell'articolo 4, paragrafo 1, della presente decisione contengono i dati seguenti e le eventuali modifiche ad essi apportate:

(1)

Stato membro, utilizzando i codici ISO 3166-1 (1) Alpha 2 con le seguenti eccezioni:

a)

il codice paese per il Regno Unito è «UK»;

b)

Il codice paese per la Grecia è «EL».

(2)

Organismo o organismi responsabili dell'istituzione, dell'aggiornamento e della pubblicazione degli elenchi di fiducia nella forma adatta al trattamento automatizzato e nella forma leggibile in chiaro:

a)

nome del gestore del regime: le informazioni fornite devono essere identiche, anche per quanto riguarda la distinzione tra maiuscole e minuscole, al valore del campo «Scheme operator name» presente nell'elenco di fiducia, in tutte le lingue usate nell'elenco di fiducia;

b)

informazioni facoltative destinate a uso interno della Commissione solo qualora sia necessario contattare l'organismo pertinente (le informazioni non saranno pubblicate nell'elenco compilato dalla Commissione europea degli elenchi di fiducia):

indirizzo del gestore del regime;

recapiti del/dei referente/i (nome, telefono, indirizzo e-mail).

(3)

Luogo in cui è pubblicato l'elenco di fiducia nella forma adatta al trattamento automatizzato (luogo in cui è pubblicato l'elenco di fiducia corrente).

(4)

Se del caso, luogo in cui è pubblicato l'elenco di fiducia nella forma leggibile in chiaro (luogo in cui è pubblicato l'elenco di fiducia corrente). Nel caso in cui un elenco di fiducia leggibile in chiaro non sia più pubblicato, indicazione in merito.

(5)

Certificati a chiave pubblica corrispondenti alle chiave private utilizzabili per firmare o sigillare elettronicamente l'elenco di fiducia nella forma adatta al trattamento automatizzato e gli elenchi di fiducia nella forma leggibile in chiaro: tali certificati sono forniti come certificati DER codificati Privacy Enhanced Mail Base64. Per una notifica di variazione, ulteriori informazioni nel caso in cui un nuovo certificato debba sostituire un certificato specifico nell'elenco della Commissione e nel caso in cui il certificato notificato debba essere aggiunto a quello/i esistente/i senza effettuare alcuna sostituzione.

(6)

Data di trasmissione dei dati notificati di cui ai punti da (1) a (5).

I dati notificati di cui ai punti (1), (2) (a), (3), (4) e (5) sono inclusi nell'elenco compilato dalla Commissione europea degli elenchi di fiducia in sostituzione delle informazioni notificate in precedenza incluse in detto elenco compilato.

(1)  ISO 3166-1: «Codes for the representation of names of countries and their subdivisions — Part 1: Country codes».