32015D1505

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
Решение за изпълнение - 2015/1505 - EN - EUR-Lex

Document 32015D1505

Help

Решение за изпълнение (ЕС) 2015/1505 на Комисията от 8 септември 2015 година за определяне на техническите спецификации и форматите на доверителните списъци съгласно член 22, параграф 5 от Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар (Текст от значение за ЕИП)

OB L 235, 9.9.2015, p. 26–36 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force: This act has been changed. Current consolidated version: 09/09/2015

ELI: http://data.europa.eu/eli/dec_impl/2015/1505/oj

Date of document:: 08/09/2015; Дата на приемане
Date of effect:: 29/09/2015; влизане в сила дата на публикуване +20 виж член 5
Date of end of validity:: No end date

Author:: Европейска комисия
Responsible body:: Directorate-General for Communications Networks, Content and Technology
Form:: Решение за изпълнение

Treaty:

Договор за функционирането на Европейския съюз

Legal basis:

32014R0910 - A22P5

Link

Select all documents based on this document

Link

Select all documents mentioning this document

Modified by:

Relation	Act	Comment	Subdivision concerned	From	To
Corrected by	32015D1505R(01)	(BG, ES, CS, DA, DE, ET, EL, FR, HR, IT, LT, LV, HU, MT, NL, PL, PT, RO, SK, SL, SV)

Instruments cited:

Link

EUROVOC descriptor:

Subject matter:

Directory code:

13.20.60.00 Индустриална политика и вътрешен пазар / Индустриална политика: секторни операции / Информационни технологии, далекосъобщения и обработка на данни

HTML

PDF

Official Journal

9.9.2015

Официален вестник на Европейския съюз

L 235/26

РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2015/1505 НА КОМИСИЯТА

от 8 септември 2015 година

за определяне на техническите спецификации и форматите на доверителните списъци съгласно член 22, параграф 5 от Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар

(текст от значение за ЕИП)

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (1), и по-специално член 22, параграф 5 от него,

като има предвид, че:

(1)	Доверителните списъци са от съществено значение за изграждането на доверие между пазарните участници, тъй като отразяват статута на доставчика на услуги към момента на осъществяване на надзор.

(2)

Трансграничното използване на електронни подписи беше улеснено с Решение 2009/767/ЕО на Комисията (2), съгласно което държавите членки са задължени да създадат, поддържат и публикуват доверителни списъци, включващи информация за доставчиците на удостоверителни услуги, издаващи квалифицирани удостоверения за потребители в съответствие с Директива 1999/93/ЕО на Европейския парламент и на Съвета (3), и които са под надзора на държавите членки и са акредитирани от тях.

(3)

Съгласно член 22 от Регламент (ЕС) № 910/2014 държавите членки са задължени да създадат, поддържат и публикуват по сигурен начин доверителни списъци, които са подписани и подпечатани по електронен път във форма, подходяща за автоматизирана обработка, и да уведомят Комисията за органите, отговорни за изготвянето на националните доверителни списъци.

(4)

Даден доставчик на удостоверителни услуги и удостоверителните услуги, които той предоставя, следва да се считат за квалифицирани, когато за доставчика е отбелязан квалифициран статут в доверителния списък. С оглед да се гарантира, че другите задължения, произтичащи от Регламент (ЕС) № 910/2014, и по-конкретно тези, които са определени в членове 27 и 37, са лесно изпълними от доставчиците на услуги от разстояние и по електронен път, и за да се отговори на оправданите очаквания на други доставчици на удостоверителни услуги, които не издават квалифицирани удостоверения, но предлагат услуги, свързани с електронни подписи съгласно Директива 1999/93/ЕО, и са вписани до 30 юни 2016 г., държавите членки следва да имат възможност да добавят удостоверителни услуги, различни от квалифицираните в доверителните списъци, на доброволна основа на национално равнище, при положение че се посочва ясно, че те не са квалифицирани в съответствие с Регламент (ЕС) № 910/2014.

(5)

В съответствие със съображение 25 от Регламент (ЕС) № 910/2014 държавите членки могат да добавят други видове удостоверителни услуги, определени на национално равнище, които са различни от определените в член 3, точка 16 от Регламент (ЕС) № 910/2014, при положение че се посочва ясно, че те не са квалифицирани в съответствие с Регламент (ЕС) № 910/2014.

(6)	Мерките, предвидени в настоящото решение, са в съответствие със становището на комитета, създаден съгласно член 48 от Регламент (ЕО) № 910/2014,

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

Член 1

Държавите членки създават, публикуват и поддържат доверителни списъци, съдържащи информация за надзираваните от тях квалифицирани доставчици на удостоверителни услуги, както и информация за предоставяните от тези доставчици квалифицирани удостоверителни услуги. Тези списъци трябва да съответстват на техническите спецификации, посочени в приложение I.

Член 2

Държавите членки могат да включват в доверителните списъци информация за неквалифицираните доставчици на удостоверителни услуги заедно с информация за предоставяните от тези доставчици неквалифицирани удостоверителни услуги. В списъците ясно се посочва кои доставчици на удостоверителни услуги и предоставяните от тях удостоверителни услуги не са квалифицирани.

Член 3

1. Съгласно член 22, параграф 2 от Регламент (ЕС) № 910/2014 държавите членки подписват или подпечатват по електронен път своя доверителен списък във форма, подходяща за автоматизирана обработка, в съответствие с техническите спецификации, посочени в приложение I.

2. Ако държава членка публикува по електронен път своя доверителен списък в четима от човек форма, тя гарантира, че тази форма на доверителния списък съдържа същите данни, както подходящата за автоматизирана обработка форма, и я подписва или подпечатва по електронен път в съответствие с техническите спецификации, посочени в приложение I.

Член 4

1. Държавите членки съобщават на Комисията информацията, посочена в член 22, параграф 3 от Регламент (ЕС) № 910/2014, като използват образеца в приложение II.

2. Информацията, посочена в параграф 1, трябва да включва две или повече удостоверения за публичен ключ на оператора на схемата, чиито срокове на валидност се различават с най-малко три месеца и съответстват на частните ключове, които са използваеми за подписване или подпечатване по електронен път на доверителния списък във формата, подходяща за автоматизирана обработка, както и на четимата от човек форма, когато се публикува.

3. Съгласно член 22, параграф 4 от Регламент (ЕС) № 910/2014 Комисията предоставя на обществеността, чрез сигурен канал към уебсървър с удостоверена автентичност, посочената в параграфи 1 и 2 информация, както е съобщена от държавите членки, в подписана и подпечатана форма, подходяща за автоматизирана обработка.

4. Комисията може да предоставя на обществеността, чрез сигурен канал към уебсървър с удостоверена автентичност, посочената в параграфи 1 и 2 информация, както е съобщена от държавите членки, в подписана и подпечатана четима от човек форма.

Член 5

Настоящото решение влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.

Настоящото решение е задължително в своята цялост и се прилага пряко във всички държави членки.

Съставено в Брюксел на 8 септември 2015 година.

За Комисията

Председател

Jean-Claude JUNCKER

(1) ОВ L 257, 28.8.2014 г., стр. 73.

(2) Решение 2009/767/ЕО на Комисията от 16 октомври 2009 г. за определяне на мерки, улесняващи прилагането на процедури с помощта на електронни средства чрез „единични звена за контакт“ в съответствие с Директива 2006/123/ЕО на Европейския парламент и на Съвета относно услугите на вътрешния пазар (ОВ L 274, 20.10.2009 г., стр. 36).

(3) Директива 1999/93/ЕО на Европейския парламент и на Съвета от 13 декември 1999 г. относно правната рамка на Общността за електронните подписи (ОВ L 13, 19.1.2000 г., стр. 12).

ПРИЛОЖЕНИЕ I

ТЕХНИЧЕСКИ СПЕЦИФИКАЦИИ ЗА ОБЩ ОБРАЗЕЦ ЗА ДОВЕРИТЕЛНИ СПИСЪЦИ

ГЛАВА I

ОБЩИ ИЗИСКВАНИЯ

Доверителните списъци включват както актуалната, така и цялата предходна информация за статута на вписаните удостоверителни услуги от датата на включването на техния доставчик в доверителните списъци.

В настоящите спецификации понятията „одобрени“, „акредитирани“ и/или „поднадзорни“ обхващат също така националните схеми за одобрение, като държавите членки ще предоставят в доверителните си списъци допълнителна информация относно характера на националните схеми, включително пояснение за евентуалните разлики спрямо схемите за надзор, които се прилагат за квалифицираните доставчици на удостоверителни услуги и за предоставяните от тях квалифицирани удостоверителни услуги.

Информацията, предоставяна в доверителния списък, служи преди всичко да подпомогне валидирането на токените за квалифицирани удостоверителни услуги, т.е. физическите или двоичните (логически) обекти, създадени или издадени в резултат на използването на квалифицирана удостоверителна услуга, а именно например квалифицирани електронни подписи/печати, усъвършенствани електронни подписи/печати, подкрепяни от квалифицирано удостоверение, квалифицирани времеви печати, квалифицирани доказателства за доставяне по електронен път и т.н.

ГЛАВА II

ПОДРОБНИ ТЕХНИЧЕСКИ СПЕЦИФИКАЦИИ ЗА ОБЩИЯ ОБРАЗЕЦ ЗА ДОВЕРИТЕЛНИ СПИСЪЦИ

Настоящите спецификации се основават на спецификациите и изискванията, определени в ETSI TS 119 612 v2.1.1 (наричани по-долу „ETSI TS 119 612“).

Когато в настоящите спецификации липсва специално изискване, се прилагат изискванията на клаузи 5 и 6 от ETSI TS 119 612 в тяхната цялост. Когато в настоящите спецификации са дадени специални изисквания, те подменят съответните изисквания от ETSI TS 119 612. В случай на противоречия между настоящите спецификации и спецификациите от ETSI TS 119 612 са меродавни настоящите спецификации.

Scheme name („Име на схемата“) (клауза 5.3.6)

Това поле е задължително и трябва да съответства на спецификациите в клауза 5.3.6 от TS 119 612, като за схемата се използва следното име:

„EN_name_value“= „Доверителен списък, включващ информация за квалифицираните доставчици на удостоверителни услуги, които са под надзора на издаващата държава членка, заедно с информация за предоставяните от тях квалифицирани удостоверителни услуги, в съответствие с приложимите разпоредби, определени в Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО.“

Scheme information URI (URI, т.е. унифициран идентификатор на ресурси, за информация за схемата) (клауза 5.3.7)

Това поле е задължително и трябва да съответства на спецификациите в клауза 5.3.7 от TS 119 612, като „подходящата информация за схемата“ трябва да включва като минимум:

а)

Обща за всички държави членки уводна информация относно обхвата и контекста на доверителния списък, базовата схема за надзор и, ако е приложимо, националните схеми за одобряване (напр. за акредитация). Общият текст, който трябва да се използва, е посоченият по-долу текст, в който символният низ „[име на съответната държава членка]“ се заменя с името на съответната държава членка:

„Настоящият списък е доверителният списък, включващ информация за квалифицираните доставчици на удостоверителни услуги, които са под надзора на [име на съответната държава членка], заедно с информация за предоставяните от тях квалифицирани удостоверителни услуги, в съответствие с приложимите разпоредби, определени в Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО.

Трансграничното използване на електронни подписи беше улеснено с Решение 2009/767/ЕО на Комисията от 16 октомври 2009 г., съгласно което държавите членки са задължени да създадат, поддържат и публикуват доверителни списъци с информация за доставчиците на удостоверителни услуги, издаващи квалифицирани удостоверения за потребители в съответствие с Директива 1999/93/ЕО на Европейския парламент и на Съвета от 13 декември 1999 г. относно правната рамка на Общността за електронните подписи, и които са под надзора на държавите членки и акредитирани от тях. Настоящият доверителен списък е продължение на доверителния списък, установен с Решение 2009/767/ЕО.“

Доверителните списъци са важни елементи за изграждането на доверие между участниците на електронните пазари, като дават възможност на потребителите да установят дали доставчиците на удостоверителни услуги и предоставяните от тях услуги са със квалифициран статут и какъв е бил техният статут в миналото.

Доверителните списъци на държавите членки, включват като минимум информацията, посочена в членове 1 и 2 от Решение за изпълнение (ЕС) 2015/1505 на Комисията.

Държавите членки могат да включват в доверителните списъци информация за неквалифицираните доставчици на удостоверителни услуги заедно с информация за предоставяните от тези доставчици неквалифицирани удостоверителни услуги. Ясно се указва, че те не са квалифицирани съгласно Регламент (ЕС) № 910/2014.

Държавите членки могат да включат в доверителните списъци информация относно други видове удостоверителни услуги, определени на национално равнище, които са различни от определените по член 3, точка 16 от Регламент (ЕС) № 910/2014. Ясно се указва, че те не са квалифицирани съгласно Регламент (ЕС) № 910/2014.

б)

Конкретна информация относно базовата схема за надзор и ако е приложимо, националните схеми за одобряване (например за акредитация), и по-специално (1):

1)	информация относно националната система за надзор, приложима към квалифицираните и неквалифицираните доставчици на удостоверителни услуги и към квалифицираните и неквалифицираните удостоверителни услуги, които те предоставят съгласно Регламент (ЕС) № 910/2014;

2)	информация, когато е уместно, относно националните схеми за доброволна акредитация, приложими към доставчиците на удостоверителни услуги, издали квалифицирани удостоверения съгласно Директива 1999/93/ЕО;

За всяка от базовите схеми, изброени по-горе, тази специфична информация трябва да включва най-малко следното:

1)	общо описание;

2)	информация относно процедурата, следвана за националната система за надзор и, ако е приложимо, за одобряването по национална схема за одобряване;

3)	информация относно критериите, по които се осъществява надзорът или, ако е приложимо, одобряването на доставчиците на удостоверителни услуги;

4)	информация относно критериите и правилата, използвани за избор на надзорни/одиторски органи и за оценяване на доставчиците на удостоверителни услуги и предоставяните от тях удостоверителни услуги;

5)	ако е уместно — друга контактна и обща информация, която засяга функционирането на схемата.

Scheme type/community/rules („Тип/общност/правила на схемата“) (клауза 5.3.9)

Това поле е задължително и трябва да съответства на спецификациите в клауза 5.3.9 от TS 119 612.

То включва само URI на британски английски.

То включва най-малко два URI:

общ URI за доверителните списъци на всички държави членки, насочващ към описателен текст, който да е приложим за всички доверителни списъци, както следва:

URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon

Описателен текст:

„Participation in a scheme

Each Member State must create a trusted list including information related to the qualified trust service providers that are under supervision, together with information related to the qualified trust services provided by them, in accordance with the relevant provisions laid down in Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/ЕС.

The present implementation of such trusted lists is also to be referred to in the list of links (pointers) towards each Member State's trusted list, compiled by the European Commission.

Policy/rules for the assessment of the listed services

Member States must supervise qualified trust service providers established in the territory of the designating Member State as laid down in Chapter III of Regulation (EU) No 910/2014 to ensure that those qualified trust service providers and the qualified trust services that they provide meet the requirements laid down in the Regulation.

The trusted lists of Member States include, as a minimum, information specified in Articles 1 and 2 of Commission Implementing Decision (EU) 2015/1505.

The trusted lists include both current and historical information about the status of listed trust services.

Each Member State's trusted list must provide information on the national supervisory scheme and where applicable, national approval (e.g. accreditation) scheme(s) under which the trust service providers and the trust services that they provide are listed.

Interpretation of the Trusted List

The general user guidelines for applications, services or products relying on a trusted list published in accordance with Regulation (EU) No 910/2014 are as follows:

The „qualified“ status of a trust service is indicated by the combination of the „Service type identifier“ („Sti“) value in a service entry and the status according to the „Service current status“ field value as from the date indicated in the „Current status starting date and time“. Historical information about such a qualified status is similarly provided when applicable.

Regarding qualified trust service providers issuing qualified certificates for electronic signatures, for electronic seals and/or for website authentication:

A „CA/QC“„Service type identifier“ („Sti“) entry (possibly further qualified as being a „RootCA-QC“ through the use of the appropriate „Service information extension“ („Sie“) additionalServiceInformation Extension)

—

indicates that any end-entity certificate issued by or under the CA represented by the „Service digital identifier“ („Sdi“) CA's public key and CA's name (both CA data to be considered as trust anchor input), is a qualified certificate (QC) provided that it includes at least one of the following:

—	the id-etsi-qcs-QcCompliance ETSI defined statement (id-etsi-qcs 1),

—	the 0.4.0.1456.1.1 (QCP+) ETSI defined certificate policy OID,

—	the 0.4.0.1456.1.2 (QCP) ETSI defined certificate policy OID,

and provided this is ensured by the Member State Supervisory Body through a valid service status (i.e. „undersupervision“, „supervisionincessation“, „accredited“ or „granted“) for that entry.

—

and IF„Sie“„Qualifications Extension“ information is present, then in addition to the above default rule, those certificates that are identified through the use of „Sie“„Qualifications Extension“ information, constructed as a sequence of filters further identifying a set of certificates, must be considered according to the associated qualifiers providing additional information regarding their qualified status, the „SSCD support“ and/or „Legal person as subject“ (e.g. certificates containing a specific OID in the Certificate Policy extension, and/or having a specific „Key usage“ pattern, and/or filtered through the use of a specific value to appear in one specific certificate field or extension, etc.). These qualifiers are part of the following set of „Qualifiers“ used to compensate for the lack of information in the corresponding certificate content, and that are used respectively:

—

to indicate the qualified certificate nature:

—	„QCStatement“ meaning the identified certificate(s) is(are) qualified under Directive 1999/93/ЕС;

—	„QCForESig“ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for electronic signature under Regulation (EU) No 910/2014;

—	„QCForESeal“ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for electronic seal under Regulation (EU) No 910/2014;

—	„QCForWSA“ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), is(are) qualified certificate(s) for web site authentication under Regulation (EU) No 910/2014.

—

to indicate that the certificate is not to be considered as qualified:

—	„NotQualified“ meaning the identified certificate(s) is(are) not to be considered as qualified; and/or

—

to indicate the nature of the SSCD support:

—	„QCWithSSCD“ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have their private key residing in an SSCD, or

—	„QCNoSSCD“ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have not their private key residing in an SSCD, or

—	„QCSSCDStatusAsInCert“ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), does(do) contain proper machine processable information about whether or not their private key residing in an SSCD;

—

to indicate the nature of the QSCD support:

—	„QCWithQSCD“ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have their private key residing in a QSCD, or

—	„QCNoQSCD“ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), have not their private key residing in a QSCD, or

—	„QCQSCDStatusAsInCert“ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), does(do) contain proper machine processable information about whether or not their private key is residing in a QSCD;

—

„QCQSCDManagedOnBehalf“ indicating that all certificates identified by the applicable list of criteria, when they are claimed or stated as qualified, have their private key is residing in a QSCD for which the generation and management of that private key is done by a qualified TSP on behalf of the entity whose identity is certified in the certificate; and/or

—

to indicate issuance to Legal Person:

—	„QCForLegalPerson“ meaning the identified certificate(s), when claimed or stated as qualified certificate(s), are issued to a Legal Person under Directive 1999/93/ЕС.

Note: The information provided in the trusted list is to be considered as accurate meaning that:

—	if none of the id-etsi-qcs 1 statement, QCP OID or QCP+ OID information is included in an end-entity certificate, and

—	if no „Sie“„Qualifications Extension“ information is present for the trust anchor CA/QC corresponding service entry to qualify the certificate with a „QCStatement“ qualifier, or

—	an „Sie“„Qualifications Extension“ information is present for the trust anchor CA/QC corresponding service entry to qualify the certificate with a „NotQualified“ qualifier,

then the certificate is not to be considered as qualified.

„Service digital identifiers“ are to be used as Trust Anchors in the context of validating electronic signatures or seals for which signer's or seal creator's certificate is to be validated against TL information, hence only the public key and the associated subject name are needed as Trust Anchor information. When more than one certificate are representing the public key identifying the service, they are to be considered as Trust Anchor certificates conveying identical information with regard to the information strictly required as Trust Anchor information.

The general rule for interpretation of any other „Sti“ type entry is that, for that „Sti“ identified service type, the listed service named according to the „Service name“ field value and uniquely identified by the „Service digital identity“ field value has the current qualified or approval status according to the „Service current status“ field value as from the date indicated in the „Current status starting date and time“.

Specific interpretation rules for any additional information with regard to a listed service (e.g. „Service information extensions“ field) may be found, when applicable, in the Member State specific URI as part of the present „Scheme type/community/rules“ field.

Please refer to the applicable secondary legislation pursuant to Regulation (EU) No 910/2014 for further details on the fields, description and meaning for the Member States' trusted lists.“

Специфичен за доверителния списък на всяка държава членка идентификатор (URI), насочващ към описателен текст, който се отнася за доверителния списък на тази държава членка:

http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC, където CC = двубуквеният код на държавата по ISO 3166-1 (2), използван в полето „Scheme territory“ („Територия на схемата“) (клауза 5.3.10).

—	Там потребителите могат да намерят специфичните за съответната държава членка политика/правила, съгласно които се оценяват включените в списъка услуги в съответствие с нейния режим за надзор и, когато е приложимо, схема за одобряване.

—

Там потребителите могат да намерят специфично за дадената държава членка описание как да използват и тълкуват съдържанието на доверителния списък по отношение на вписаните неквалифицирани удостоверителни услуги и/или удостоверителните услуги, определени на национално равнище. То може да се използва за указване на евентуална нееднородност в националната система за одобряване по отношение на доставчици на удостоверителни услуги (ДУУ), които не издават квалифицирани удостоверения (КУ), както и на начина, по който „Scheme service definition URI“ (клауза 5.5.6) и полето „Service information extension“ (клауза 5.5.9) се използват за тази цел.

Държавите членки МОГАТ да определят и използват допълнителни URI, разширяващи горепосочения специфичен за държавата членка URI (т.е. URI, попадащи в йерархията на този специфичен URI).

TSL policy/legal notice („Политика/правен коментар за списъка за статута на доверителните услуги — ССДУ“) (клауза 5.3.11)

Това поле е задължително и трябва да съответства на спецификациите в клауза 5.3.11 от TS 119 612, в които правният коментар относно правния статут на схемата или правните изисквания, на които схемата трябва да отговаря в рамките на юрисдикцията, в която е установена, и/или евентуални ограничения и условия, при които се поддържа и публикува доверителният списък, трябва да бъде последователност от многоезични символни низове (вж. клауза 5.1.4), предоставящи на британски английски като задължителен език и по избор — на един или няколко национални езици, конструираният по следния начин актуален текст за тази политика или коментар:

Първа задължителна част, обща за доверителните списъци на всички държави членки, в която се указва приложимата правна рамка и чиято версия на английски език е следната:

The applicable legal framework for the present trusted list is Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/ЕС.

Текст на националния език или езици на държавата членка:

Приложимата правна рамка за настоящия доверителен списък е Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО.

2)	Втора, незадължителна част, специфична за всеки доверителен списък, включваща препратки към специфични приложими национални правни рамки.

Service current status („Настоящ статут на услугата“) (клауза 5.5.4)

Това поле е задължително и трябва да съответства на спецификациите в клауза 5.5.4 от TS 119 612.

Миграцията на стойността на „Service current status“ за услугите, вписани в доверителния списък на държавите — членки на ЕС, към деня преди датата, от която се прилага Регламент (ЕС) № 910/2014 (т.е. 30 юни 2016 г.), се извършва в деня, от който се прилага този регламент (т.е. 1 юли 2016 г.), както е посочено в приложение J към ETSI TS 119 612.

ГЛАВА III

ВРЕМЕВА НЕПРЕКЪСНАТОСТ НА ДОВЕРИТЕЛНИТЕ СПИСЪЦИ

Удостоверенията, за които трябва да се уведоми Комисията в съответствие с член 4, параграф 2 от настоящото решение, трябва да отговарят на изискванията на клауза 5.7.1 от ETSI TS 119 612 и да се издават по такъв начин, че:

—	да има най-малко три месеца разлика в крайната им дата на валидност („не по-късно от“),

—	да са създадени въз основа на нови двойки ключове. Вече използвани двойки ключове не трябва да бъдат сертифицирани повторно.

В случай на изтичане на валидността на едно от удостоверенията за публичен ключ, което би могло да се използва за валидиране на подписа или печата на доверителния списък и за което Комисията е била уведомена, като тя го е публикувала в централния си списък с указатели, държавите членки трябва:

—

в случай че актуалният публикуван доверителен списък е бил подписан или подпечатан с частен ключ, валидността на чието удостоверение за публичен ключ е изтекла — незабавно да издадат нов доверителен списък, който е подписан или подпечатан с частен ключ, валидността на чието удостоверение за публичен ключ не е изтекла;

—	да генерират при поискване нови двойки ключове, които биха могли да се използват за подписване или подпечатване на доверителния списък, и да се заемат със създаването на съответстващите им удостоверения за публичен ключ;

—	незабавно да уведомят Комисията за новия списък на удостоверения за публични ключове, съответстващи на частните ключове, които биха могли да се използват за подписване или подпечатване на доверителния списък.

В случай на разкриване или на прекратяване на използването на един от частните ключове, съответстващ на едно от удостоверенията за публичен ключ, което би могло да се използва за валидиране на подписа или печата на доверителния списък и за което Комисията е била уведомена, като тя го е публикувала в централния си списък с указатели, държавите членки трябва:

—	незабавно да издадат нов доверителен списък, подписан или подпечатан с неразкрит частен ключ, в случай че публикуваният доверителен списък е бил подписан или подпечатан с частен ключ, който е разкрит или чието използване е прекратено;

—	да генерират при поискване нови двойки ключове, които биха могли да се използват за подписване или подпечатване на доверителния списък, и да се заемат със създаването на съответстващите им удостоверения за публичен ключ;

—	незабавно да уведомят Комисията за новия списък на удостоверения за публични ключове, съответстващи на частните ключове, които биха могли да се използват за подписване или подпечатване на доверителния списък.

В случай на разкриване или на прекратяване на използването на всички частни ключове, съответстващи на удостоверенията за публични ключове, които биха могли да се използват за валидиране на подписа на доверителния списък и за които Комисията е била уведомена, като тя ги е публикувала в централния си списък с указатели, държавите членки трябва:

—	да генерират нови двойки ключове, които биха могли да се използват за подписване или подпечатване на доверителния списък, и да се заемат със създаването на съответстващите им удостоверения за публичен ключ;

—	незабавно да издадат нов доверителен списък, който е подписан или подпечатан с един от тези нови частни ключове и за чието удостоверение за публичен ключ трябва да се уведоми;

—	незабавно да уведомят Комисията за новия списък на удостоверения за публични ключове, съответстващи на частните ключове, които биха могли да се използват за подписване или подпечатване на доверителния списък.

ГЛАВА IV

СПЕЦИФИКАЦИИ ЗА ЧЕТИМАТА ОТ ЧОВЕК ФОРМА НА ДОВЕРИТЕЛНИЯ СПИСЪК

Ако доверителният списък е съставен и публикуван в четима от човек форма, той се предоставя като документ във формат Portable Document Format (PDF) в съответствие с ISO 32000 (3), който е форматиран съгласно профила PDF/A (ISO 19005 (4)).

Съдържанието на четимата от човек форма на доверителния списък на базата на PDF/A трябва да отговаря на следните изисквания:

—	Структурата на четимата от човек форма на доверителния списък да отразява логическия модел, описан в TS 119 612.

—

Всяко налично поле да е изобразено и да съдържа:

—	наименованието на полето (напр. „Service type identifier“);

—	стойността на полето (напр. „http://uri.etsi.org/TrstSvc/Svctype/CA/QC}“);

—	значението (описание) на стойността на полето, когато е уместно (напр. „Услуга за създаване и подписване на квалифицирани удостоверения въз основа на идентификационните и други данни, проверени от съответните регистрационни служби.“);

—	няколко езикови версии на естествени езици в съответствие с доверителния списък, когато е уместно.

—

В четимата от човек форма на доверителния списък трябва да бъдат изобразени като минимум следните полета и съответни стойности на цифровите удостоверения (5), ако фигурират в полето „Service digital identity“:

—

Версия

—	Сериен номер на удостоверението

—	Сигнатурен алгоритъм

—	Издател — всички съответни полета за отличително име

—	Период на валидност

—	Издател — всички съответни полета за отличително име

—	Публичен ключ

—	Идентификатор на ключа на органа

—	Идентификатор на ключа на субекта

—	Употреба на ключа

—	Разширена употреба на ключа

—	Политики за удостоверението — всички идентификатори и квалификатори за политиката

—	Категоризации на политиката

—	Алтернативно име на субекта

—	Справочни данни за субекта (Subject directory attributes)

—	Основни ограничения

—	Ограничения на политиката

—	Точки на разпространение на списъци на отменени удостоверения (Certificate Revocation Lists — CRL) (6)

—	Достъп до информация за органа

—	Достъп до информация за субекта

—	Декларации за квалифицирано удостоверение (7)

—	Алгоритъм за хеширане

—	Хеш-стойност на удостоверението

—	За четимата от човек форма се изисква да може лесно да се разпечатва.

—	Четимата от човек форма трябва да бъде подписана или подпечатана от оператора на схемата съгласно усъвършенствания електронен подпис във формат PDF, посочен в членове 1 и 3 от Решение за изпълнение (ЕС) 2015/1505 на Комисията.

(1) Тези пакети от информация са от ключово значение за оценяването от доверяващите се страни на качеството и нивото на сигурност на такива системи. Тези пакети от информация се предоставят на ниво доверителен списък, като се използват задължителните полета„Scheme information URI“ (клауза 5.3.7 — информация, предоставяна от държавите членки), „Scheme type/community/rules“ (клауза 5.3.9, като се използва обща за всички държави членки формулировка) и „TSL policy/legal notice“ (клауза 5.3.11 — обща за всички държави членки формулировка и възможност за всяка държава членка да добави специфични национални формулировки или позовавания). Допълнителна информация за такива системи за неквалифицирани удостоверителни услуги и за (квалифицирани) удостоверителни услуги, определени на национално равнище, може да се предоставя на нивото на услугата, ако е уместно и необходимо (напр. за да се разграничават отделните нива на качество/сигурност), като се използва „Scheme service definition URI“ (клауза 5.5.6).

(2) ISO 3166-1:2006: Кодове за представяне на наименованията на държавите и техните подразделения. Част 1: Кодове на държавите.

(3) ISO 32000-1:2008: Document management -- Portable document format -- Part 1: PDF 1.7.

(4) ISO 19005-2:2011: Document management -- Electronic document file format for long-term preservation -- Part 2: Use of ISO 32000-1 (PDF/A-2).

(5) Препоръка ITU-T X.509 | ISO/IEC 9594-8: Information technology — Open systems interconnection — The Directory: Public-key and attribute certificate frameworks („Информационни технологии. Взаимосвързване на отворени системи. Справочник: Структура за установяване на автентичност“) (вж. http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=X.509)

(6) RFC 5280: Internet X.509 PKI Certificate and CRL Profile

(7) RFC 3739: Internet X.509 PKI: Qualified Certificates Profile

ПРИЛОЖЕНИЕ II

ОБРАЗЕЦ ЗА УВЕДОМЛЕНИЯТА НА ДЪРЖАВИТЕ ЧЛЕНКИ

Информацията, която трябва да се съобщава от държавите членки в съответствие с член 4, параграф 1 от настоящото решение, трябва да съдържа следните данни, както и всякакви промени в тях:

Държавата членка, като се използва двубуквеният код по ISO 3166-1 (1) със следните изключения:

а)	кодът на Обединеното кралство е „UK“;

б)	кодът на Гърция е „EL“.

Органът или органите, отговорен/отговорни за създаването, поддържането и публикуването на доверителните списъци във форма, подходяща за автоматизирана обработка, и в четима от човек форма:

а)	Scheme operator name („Име на оператора на схемата“): предоставената информация трябва да съвпада точно, включително и по отношение на регистъра на буквите, със стойността в полето „Scheme operator name“ за всички използвани езици в доверителния списък.

б)

Незадължителна информация за вътрешна употреба от Комисията само в случай че се наложи установяване на контакт със съответния орган (тази информация няма да се публикува в съставения от Комисията общ списък на доверителните списъци):

—	адрес на оператора на схемата;

—	координати за връзка с отговорното лице или лица (име, телефон, адрес за електронна поща).

3)	Мястото, където е публикуван доверителният списък във форма, подходяща за автоматизирана обработка (място, където е публикуван актуалният доверителен лист).

4)	Мястото, където евентуално е публикуван доверителният списък в четима от човек форма (място, където е публикуван актуалният доверителен лист). Ако доверителният списък вече не се публикува в четима от човек форма, това се посочва.

Удостоверенията за публични ключове, съответстващи на частните ключове, които могат да се използват за подписване или подпечатване по електронен път на доверителните списъци във форма, подходяща за автоматизирана обработка, както и в четима от човек форма: тези удостоверения следва да се предоставят като кодирани по Privacy Enhanced Mail Base 64 DER удостоверения. Уведомява се с допълнителна информация за промяна, ако конкретно удостоверение в списъка на Комисията трябва да бъде заменено с ново удостоверение и ако към съществуващите удостоверения трябва да бъде добавено нотифицирано удостоверение, без да заменя някое от тях.

6)	Дата на подаване на данните, съобщени по точки 1—5.

Данните, съобщени съгласно точка 1, точка 2, буква а) и точки 3, 4 и 5, трябва да бъдат включени в съставения от Комисията общ списък на доверителните списъци, заменяйки съобщената преди това информация, включена в този общ списък.

(1) ISO 3166-1: „Кодове за представяне на наименованията на държавите и техните подразделения. Част 1: Кодове на държавите.“

Top

All