02014R0910 — BG — 18.10.2024 — 002.003
Този текст служи само за информационни цели и няма правно действие. Институциите на Съюза не носят отговорност за неговото съдържание. Автентичните версии на съответните актове, включително техните преамбюли, са версиите, публикувани в Официален вестник на Европейския съюз и налични в EUR-Lex. Тези официални текстове са пряко достъпни чрез връзките, публикувани в настоящия документ
|
РЕГЛАМЕНТ (ЕС) № 910/2014 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 23 юли 2014 година (ОВ L 257, 28.8.2014 г., стp. 73) |
Изменен с:
|
|
|
Официален вестник |
||
|
№ |
страница |
дата |
||
|
ДИРЕКТИВА (ЕС) 2022/2555 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 14 декември 2022 година |
L 333 |
80 |
27.12.2022 |
|
|
РЕГЛАМЕНТ (ЕС) 2024/1183 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 11 април 2024 година |
L 1183 |
1 |
30.4.2024 |
|
Поправен със:
РЕГЛАМЕНТ (ЕС) № 910/2014 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА
от 23 юли 2014 година
относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО
ГЛАВА I
ОБЩИ РАЗПОРЕДБИ
Член 1
Предмет
Настоящият регламент има за цел да се гарантира правилното функциониране на вътрешния пазар и осигуряването на адекватно ниво на сигурност на средствата за електронна идентификация и удостоверителните услуги, използвани в целия Съюз, за да стане възможно и да се улесни упражняването от страна на физическите и юридическите лица на правото на безопасно участие в цифровото общество и на достъп до обществени и частни онлайн услуги в целия Съюз. За тази цел в настоящия регламент:
се установяват условията, при които държавите членки признават средствата за електронна идентификация на физически и юридически лица, които попадат в схема за електронна идентификация на друга държава членка, за която схема е извършено уведомяване и предоставят и признават европейски портфейли за цифрова самоличност;
се определят правилата за удостоверителните услуги, по-специално за електронни трансакции;
се установява правна рамка за електронните подписи, електронните печати, електронните времеви печати, електронните документи, услугите за електронна препоръчана поща, услугите за удостоверяване на автентичността на уебсайтове, електронното архивиране и електронното удостоверяване на атрибути, устройствата за създаване на електронни подписи, устройствата за създаване на електронни печати и електронните регистри
Член 2
Обхват
Член 3
Определения
За целите на настоящия регламент се прилагат следните определения:
„електронна идентификация“ означава процес на използване на данни в електронна форма за идентификация на лице, като тези данни представляват по уникален начин дадено физическо или юридическо лице, или физическо лице, представляващо друго физическо или юридическо лице;
„средство за електронна идентификация“ означава материална и/или нематериална единица, която съдържа данни за идентификация на лице и която се използва за удостоверяване на автентичност за онлайн услуга или, по целесъобразност, за офлайн услуга;
„данни за идентификация на лице“ означава набор от данни, който е издаден в съответствие с правото на Съюза или националното право, и който позволява установяването на самоличността на физическо или юридическо лице, или на физическо лице, представляващо друго физическо или юридическо лице;
„схема за електронна идентификация“ означава система за електронна идентификация, при която средства за електронна идентификация се издават на физически или юридически лица, или физически лица, представляващи други физически или юридически лица;
„удостоверяване на автентичност“ означава електронен процес, който позволява потвърждаването на електронната идентификация на физическо или юридическо лице или потвърждаването на произхода и целостта на данни в електронна форма;
„ползвател“ означава физическо или юридическо лице или физическо лице, представляващо друго физическо или юридическо лице, което използва удостоверителни услуги или средства за електронна идентификация, предоставяни в съответствие с настоящия регламент;
„доверяваща се страна“ означава физическо или юридическо лице, което разчита на електронна идентификация, европейски портфейли за цифрова самоличност или други средства за електронна идентификация, или на удостоверителна услуга;
„орган от публичния сектор“ означава държавен, регионален или местен орган, публичноправна организация или сдружение, съставено от един или повече такива органи или от една или повече такива публичноправни организации, или частен субект, на който поне един от тези органи, организации или асоциации са възложили да предоставя обществени услуги, когато действа при условията на това възлагане;
„публичноправна организация означава организация, както е определено в член 2, параграф 1, точка 4 от Директива 2014/24/ЕС на Европейския парламент и на Съвета ( 2 );
„титуляр на електронен подпис“ означава физическо лице, което създава електронен подпис;
„електронен подпис“ означава данни в електронна форма, които се добавят към други данни в електронна форма или са логически свързани с тях, и които титулярят на електронния подпис използва, за да се подписва;
„усъвършенстван електронен подпис“ означава електронен подпис, който отговаря на изискванията, посочени в член 26;
„квалифициран електронен подпис“ означава усъвършенстван електронен подпис, който е създаден от устройство за създаване на квалифициран електронен подпис и се основава на квалифицирано удостоверение за електронни подписи;
„данни за създаване на електронен подпис“ означава уникални данни, които се използват от титуляря на електронния подпис за създаването на електронен подпис;
„удостоверение за електронен подпис“ означава електронен атестат, който свързва данните за валидиране на електронен подпис с физическо лице и потвърждава най-малко името или псевдонима на това лице;
„квалифицирано удостоверение за електронен подпис“ означава удостоверение за електронни подписи, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение I;
„удостоверителна услуга“ означава електронна услуга, обикновено предоставяна срещу възнаграждение, която се състои от някой от следните елементи:
издаването на удостоверения за електронни подписи, удостоверения за електронни печати, удостоверения за автентичност на уебсайтове или удостоверения за предоставяне на други удостоверителни услуги;
валидирането на удостоверения за електронни подписи, удостоверения за електронни печати, удостоверения за автентичност на уебсайтове или удостоверения за предоставяне на други удостоверителни услуги;
създаването на електронни подписи или електронни печати;
валидирането на електронни подписи или електронни печати;
съхраняването на електронни подписи, електронни печати, удостоверения за електронни подписи или удостоверения за електронни печати;
управлението на устройства за създаване на електронен подпис от разстояние или на устройства за създаване на електронен печат от разстояние;
издаването на електронни удостоверения за атрибути;
валидирането на електронно удостоверение за атрибути;
създаването на електронни времеви печати;
валидирането на електронни времеви печати;
предоставянето на услуги за електронна препоръчана поща;
валидирането на данните, предавани чрез услуги за електронна препоръчана поща, и свързаните с тях доказателства;
електронното архивиране на електронни данни и електронни документи;
записването на електронни данни в електронен регистър.
„квалифицирана удостоверителна услуга“ означава удостоверителна услуга, която отговаря на приложимите изисквания, определени в настоящия регламент;
„орган за оценяване на съответствието“ означава орган за оценяване на съответствието съгласно определението в член 2, точка 13 от Регламент (ЕО) № 765/2008, който е акредитиран в съответствие със същия регламент като компетентен да извършва оценяване на съответствието на доставчик на квалифицирани удостоверителни услуги и на предоставяните от този доставчик квалифицирани удостоверителни услуги или като компетентен да извършва сертифициране на европейски портфейли за цифрова самоличност или средства за електронна идентификация;
„доставчик на удостоверителни услуги“ означава физическо или юридическо лице, което предоставя една или повече удостоверителни услуги като доставчик на квалифицирани или на неквалифицирани удостоверителни услуги;
„доставчик на квалифицирани удостоверителни услуги“ означава доставчик на удостоверителни услуги, който предоставя една или повече квалифицирани удостоверителни услуги и е получил квалифицирания си статут от надзорен орган;
„продукт“ означава хардуер, софтуер или съответните компоненти на хардуер или софтуер, предвидени да се използват при предоставянето на услуги за електронна идентификация и удостоверителни услуги;
„устройство за създаване на електронен подпис“ означава конфигуриран софтуер или хардуер, който се използва за създаването на електронен подпис;
„устройство за създаване на квалифициран електронен подпис“ означава устройство за създаване на електронен подпис, което отговаря на изискванията, предвидени в приложение II;
„устройство за създаване на квалифициран електронен подпис от разстояние“ означава устройство за създаване на квалифициран електронен подпис, което е управлявано от доставчик на квалифицирани удостоверителни услуги в съответствие с член 29а от името на титуляря на електронния подпис;
„устройство за създаване на квалифициран електронен печат от разстояние“ означава устройство за създаване на квалифициран електронен печат, управлявано от доставчик на квалифицирани удостоверителни услуги в съответствие с член 39а от името на създателя на печата;
„създател на печат“ означава юридическо лице, което създава електронен печат;
„електронен печат“ означава данни в електронна форма, които се добавят към други данни в електронна форма или са логически свързани с тях, за да се гарантират произходът и целостта на последните;
„усъвършенстван електронен печат“ означава електронен печат, който отговаря на изискванията, посочени в член 36;
„квалифициран електронен печат“ означава усъвършенстван електронен печат, който е създаден от устройство за създаване на квалифициран електронен печат и се основава на квалифицирано удостоверение за електронен печат;
„данни за създаване на електронен печат“ означава уникални данни, които се използват от създателя на електронния печат за създаването на електронен печат;
„удостоверение за електронен печат“ означава електронен атестат, който свързва данните за валидиране на електронен печат с юридическо лице и потвърждава името на това лице;
„квалифицирано удостоверение за електронен печат“ означава удостоверение за електронен печат, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение III;
„устройство за създаване на електронен печат“ означава конфигуриран софтуер или хардуер, който се използва за създаването на електронен печат;
„устройство за създаване на квалифициран електронен печат“ означава устройство за създаване на електронен печат, което отговаря mutatis mutandis на изискванията, предвидени в приложение II;
„електронен времеви печат“ означава данни в електронна форма, които свързват други данни в електронна форма с конкретен момент във времето и представляват доказателство, че последните данни са съществували в съответния момент;
„квалифициран електронен времеви печат“ означава електронен времеви печат, който отговаря на изискванията, предвидени в член 42;
„електронен документ“ означава всяко съдържание, съхранявано в електронна форма, по-специално текстови или звуков, визуален или аудио-визуален запис;
„услуга за електронна препоръчана поща“ означава услуга, която позволява предаването на данни между трети страни по електронен път, предоставя доказателство във връзка с обработката на предаваните данни, включително доказателство за изпращането и получаването на данните, и защитава предаваните данни срещу риск от загуба, кражба, повреда или непозволени изменения;
„квалифицирана услуга за електронна препоръчана поща“ означава услуга за електронна препоръчана поща, която отговаря на изискванията, предвидени в член 44;
„удостоверение за автентичност на уебсайт“ означава електронно удостоверение, което позволява да се удостовери автентичността на уебсайт, като го свързва с физическото или юридическото лице, на което е издадено удостоверението;
„квалифицирано удостоверение за автентичност на уебсайт“ означава удостоверение за автентичност на уебсайт, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение IV;
„данни за валидиране“ означава данни, които се използват за валидиране на електронен подпис или електронен печат;
„валидиране“ означава процесът на проверка и потвърждаване на валидността на данните в електронна форма в съответствие с настоящия регламент;
„европейски портфейл за цифрова самоличност“ означава средство за електронна идентификация, което позволява на ползвателя да съхранява, управлява и валидира по сигурен начин данни за идентификация на лице и електронни удостоверения за атрибути с цел да ги предоставя на доверяващи се страни и други ползватели на европейски портфейли за цифрова самоличност, както и да подписва чрез квалифицирани електронни подписи или да полага печат чрез квалифицирани електронни печати;
„атрибут“ означава характеристика, качество, право или разрешение на физическо или юридическо лице или на предмет;
„електронно удостоверение за атрибути“ означава удостоверение в електронна форма, което дава възможност да бъде удостоверена автентичността на атрибутите;
„квалифицирано електронно удостоверение за атрибути“ означава електронно удостоверение за атрибути, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение V;
„електронно удостоверение за атрибути, издадено от орган от публичния сектор, отговарящ за автентичен източник, или от името на такъв орган от публичния сектор“ означава електронно удостоверение за атрибути, издадено от орган от публичния сектор, отговарящ за автентичен източник, или от орган от публичния сектор, определен от държавата членка да издава такива удостоверения за атрибути от името на публичните органи, които отговарят за автентичните източници в съответствие с член 45е и с приложение VII;
„автентичен източник“ означава хранилище или система, за които отговаря орган от публичния сектор или частен субект и които съхраняват и предоставят атрибути за физическо или юридическо лице или за предмет и които се считат за основен източник на тази информация или са признати за автентични в съответствие с правото на Съюза или националното право, включително административните практики;
„електронно архивиране“ означава услуга, осигуряваща приемане, съхранение, извличане и заличаване на електронни данни и електронни документи с цел да се обезпечи тяхната дълготрайност и четливост, както и да се запази тяхната цялост, поверителност и доказателство за произход през целия период на съхранение;
„квалифицирана услуга за електронно архивиране“ означава услуга за електронно архивиране, която се предоставя от доставчик на квалифицирани удостоверителни услуги и която отговаря на изискванията, определени в член 45й;
„марка за доверие на ЕС за портфейл за цифрова самоличност“ означава проверимо, просто и разпознаваемо указание, което е комуникирано по ясен начин, че даден европейски портфейл за цифрова самоличност е предоставен в съответствие с настоящия регламент;
„строго удостоверяване на автентичността на ползвателя“ означава удостоверяване на автентичността чрез използването на поне два фактора за удостоверяване на автентичността от различни категории: или знания, нещо, което само ползвателят знае, притежание, нещо, което само ползвателят притежава, или характерна особеност, нещо, което характеризира ползвателя, като факторите са независими, така че пробив в сигурността на един от тях да не влияе на надеждността на останалите, като процедурата е разработена по начин, който да защитава поверителността на данните за удостоверяване на автентичността;
„електронен регистър“ означава последователност от електронни записи на данни, която гарантира целостта на тези записи и точността на хронологичната подредба на тези записи;
„квалифициран електронен регистър“ означава електронен регистър, който се предоставя от доставчик на квалифицирани удостоверителни услуги и който отговаря на изискванията, определени в член 45л;
„лични данни“ означава всяка информация съгласно определението в член 4, точка 1 от Регламент (ЕС) 2016/679;
„сверяване на самоличност“ означава процес, при който данните за идентификация на лице или средствата за електронна идентификация се съпоставят или се свързват със съществуващ профил, принадлежащ на същото лице;
„запис на данни“ означава електронни данни, записани със съответните метаданни, подкрепящи обработката на данните;
„офлайн режим“ означава, по отношение на използването на европейски портфейли за цифрова самоличност, взаимодействие между ползвател и трета страна на физическо място, чрез технологии за непосредствена близост, при което не се изисква европейски портфейл за цифрова самоличност, за да се получи достъп до дистанционни системи посредством електронни съобщителни мрежи за целите на взаимодействието.
Член 4
Принцип на вътрешния пазар
Член 5
Псевдоними при електронни трансакции
Без да се засягат специалните правила на правото на Съюза или националното право, изискващи от ползвателите да се идентифицират, или правното действие, дадено на псевдонимите съгласно националното право, използването на псевдоними, избрани от ползвателя, не е забранено.
ГЛАВА II
ЕЛЕКТРОННА ИДЕНТИФИКАЦИЯ
РАЗДЕЛ 1
европейски портфейл за цифрова самоличност
Член 5а
Европейски портфейли за цифрова самоличност
Европейските портфейли за цифрова самоличност се предоставят по един от следните начини:
пряко от държава членка;
съгласно мандат, възложен от държава членка;
независимо от държава членка, но признати от тази държава членка.
Европейските портфейли за цифрова самоличност дават възможност на ползвателя, по лесен за ползване, прозрачен и проследим от ползвателя начин:
да изисква, получава, избира, комбинира, съхранява, заличава, споделя и представя, по сигурен начин и единствено под свой контрол, данни за идентификация на лице и, когато е приложимо, в комбинация с електронни удостоверения за атрибути, за удостоверяване на автентичността на доверяващите се страни онлайн и, когато е целесъобразно, в офлайн режим, с цел достъп до обществени и частни услуги, като същевременно се гарантира, че е възможно избирателно разкриване на данни;
да генерира псевдоними и да ги съхранява криптирани и локално в рамките на европейския портфейл за цифрова самоличност;
да удостоверява надеждно автентичността на европейския портфейл за цифрова самоличност на друго лице и да получава и споделя данни за идентификация на лице и електронни удостоверения за атрибути по сигурен начин между двата европейски портфейла за цифрова самоличност;
да осъществява достъп до регистър за всички трансакции, извършени чрез европейския портфейл за цифрова самоличност, чрез общо табло за управление, което дава възможност на ползвателя:
да преглежда актуалния списък на доверяващите се страни, с които ползвателят е установил връзка, и, когато е приложимо — на всички обменяни данни;
да иска без затруднения изтриването от доверяваща се страна на лични данни съгласно член 17 от Регламент (ЕС) 2016/679;
да сигнализира без затруднения на компетентния национален орган за защита на данните, когато е получено предполагаемо незаконно или подозрително искане за данни;
да се подписва с помощта на квалифицирани електронни подписи или да полага печат с помощта на квалифицирани електронни печати;
да изтегля, доколкото това е технически възможно, данните на ползвателя, електронното удостоверение за атрибути и конфигурации;
да упражнява правата на ползвателя за преносимост на данните.
По-конкретно, европейските портфейли за цифрова самоличност:
поддържат общи протоколи и интерфейси:
за издаването на данни за идентификация на лице, квалифицирани и неквалифицирани електронни удостоверения за атрибути или квалифицирани и неквалифицирани удостоверения за европейския портфейл за цифрова самоличност;
за да могат доверяващите се страни да изискват и валидират данни за идентификация на лице и електронни удостоверения за атрибути;
за споделяне и представяне на доверяващите се страни на данни за идентификация на лице, електронно удостоверение за атрибути или за селективно разкриване на свързани с това данни онлайн и, когато е целесъобразно, в офлайн режим;
за да може ползвателят да взаимодейства с европейския портфейл за цифрова самоличност и да представя марка за доверие на ЕС за портфейл за цифрова самоличност;
за да интегрират ползвателя по сигурен начин чрез средства за електронна идентификация в съответствие с член 5а, параграф 24;
за взаимодействие между европейските портфейли за цифрова самоличност на две лица за целите на получаването, валидирането и споделянето на данни за идентификация на лице и електронни удостоверения за атрибути по сигурен начин;
за удостоверяване на автентичността и идентификация на доверяващите се страни чрез прилагане на механизми за удостоверяване на автентичността в съответствие с член 5б;
за да могат доверяващите се страни да проверяват автентичността и валидността на европейските портфейли за цифрова самоличност;
за отправяне на искане към доверяваща се страна да изтрие лични данни съгласно член 17 от Регламент (ЕС) 2016/679;
за отправяне на сигнал относно доверяваща се страна до компетентния национален орган за защита на данните, когато е получено предполагаемо незаконно или подозрително искане за данни;
за създаване на квалифицирани електронни подписи или електронни печати чрез устройства за създаване на квалифициран електронен подпис или електронен печат;
не предоставят на доставчиците на удостоверителни услуги, издаващи електронни удостоверения за атрибути, информация относно използването на тези електронни удостоверения;
гарантират, удостоверяване на автентичността и идентификация на доверяващите се страни чрез въвеждането на механизми за удостоверяване на автентичността в съответствие с член 5б;
отговарят на изискванията, посочени в член 8, по отношение на нивото на осигуреност „високо“, по-специално по отношение на изискванията за доказване и проверка на самоличността и управление и удостоверяване на автентичността на средствата за електронна идентификация;
в случай на електронно удостоверение за атрибути с включени политики за оповестяване, прилагат подходящия механизъм за информиране на ползвателя, че доверяващата се страна или ползвателя на европейския портфейл за цифрова самоличност, отправящ искане за това електронно удостоверение за атрибути, има разрешение за достъп до такова удостоверение;
гарантират, че данните за идентификация на лице, които са достъпни от схемата за електронна идентификация, по която се предоставя европейският портфейл за цифрова самоличност, представляват по уникален начин физическото лице, юридическото лице или физическото лице, представляващо физическото или юридическото лице, и са свързани с този европейски портфейл за цифрова самоличност;
предлагат на всички физически лица възможността да подписват по подразбиране и безплатно с квалифицирани електронни подписи.
Независимо от първа алинея, буква ж) държавите членки могат да предвидят пропорционални мерки, за да гарантират, че безплатното използване на квалифицирани електронни подписи от физически лица е ограничено до непрофесионални цели.
Държавите членки предоставят механизми за безплатно валидиране с цел:
да се гарантира, че автентичността и валидността на европейските портфейли за цифрова самоличност могат да бъдат проверени;
да се даде възможност на ползвателите да проверяват автентичността и валидността на самоличността на доверяващите се страни, регистрирани в съответствие с член 5б.
Държавите членки гарантират, че валидността на европейския портфейл за цифрова самоличност може да бъде отменена при следните обстоятелства:
по изрично искане на ползвателя;
когато сигурността на европейския портфейл за цифрова самоличност е била компрометирана;
при смърт на ползвателя или прекратяване на дейността на юридическото лице.
Техническата рамка на европейския портфейл за цифрова самоличност:
не позволява на доставчиците на електронни удостоверения за атрибути или на която и да е друга страна, след издаването на удостоверението за атрибути, да получават данни, които позволяват трансакциите или поведението на ползвателите да бъде проследявано, свързвано, корелирано или да бъда получавана по друг начин информация за трансакции или поведение на ползвателите, освен ако ползвателят изрично не е дал разрешение за това;
позволява техники за запазване на неприкосновеността на личния живот, които гарантират невъзможност за свързване, когато удостоверяването на атрибути не изисква идентифициране на ползвателя.
Държавите членки без неоснователно забавяне известяват Комисията относно:
органа, отговарящ за създаването и поддържането на списъка на регистрираните доверяващи се страни, които разчитат на европейските портфейли за цифрова самоличност в съответствие с член 5б, параграф 5, и мястото, където този списък се съхранява;
органите, отговарящи за предоставянето на европейските портфейли за цифрова самоличност в съответствие с член 5а, параграф 1;
органите, отговорни да гарантират, че данните за идентификация на лицето са свързани с европейския портфейл за цифрова самоличност в съответствие с член 5а, параграф 5, буква е);
механизма, който дава възможност за валидиране на данните за идентификация на лице, посочени в член 5а, параграф 5, буква е), и на самоличността на доверяващите се страни;
механизма, с който се проверява автентичността и валидността на европейските портфейли за цифрова самоличност.
Комисията предоставя на обществеността информацията, известена съгласно първа алинея, чрез сигурен канал, в електронно подписана или подпечатана форма, подходяща за автоматизирана обработка.
Член 5б
Доверяващи се страни, разчитащи на европейските портфейли за цифрова самоличност
Процесът на регистрация е разходоефективен и пропорционален на риска. Доверяващата се страна предоставя най-малко:
информацията, необходима за удостоверяване на автентичността в европейските портфейли за цифрова самоличност, която включва като минимум:
държавата членка, в която е установена доверяващата се страна; и
името на доверяващата се страна и, когато е приложимо, нейния регистрационен номер, посочен в официален регистър, заедно с идентификационните данни на този официален регистър;
данните за контакт на доверяващата се страна;
планираното използване на европейските портфейли за цифрова самоличност, включително посочване на данните, които доверяващата се страна ще поиска от ползвателите.
Член 5в
Сертифициране на европейските портфейли за цифрова самоличност
Член 5г
Публикуване на списък на сертифицираните европейски портфейли за цифрова самоличност
Без да се засяга член 5а, параграф 18, предоставената от държавите членки информация, посочена в параграф 1 от настоящия член, включва най-малко:
доклада за оценка на удостоверението и сертифицирането на сертифицирания европейски портфейл за цифрова самоличност;
описание на схемата за електронна идентификация, по която се предоставя европейският портфейл за цифрова самоличност;
приложимия надзорен режим и информация относно режима на отговорност по отношение на страната, предоставяща европейския портфейл за цифрова самоличност;
органа или органите, отговарящи за схемата за електронна идентификация;
условията за спиране или отмяна на схемата за електронна идентификация или на удостоверяването на автентичност, или на съответните застрашени части.
Член 5д
Пробив в сигурността на европейските портфейли за цифрова самоличност
Когато това е обосновано от сериозността на пробива или застрашаването на сигурността, посочени в първа алинея, държавата членка без неоснователно забавяне оттегля европейските портфейли за цифрова самоличност.
Държавата членка информира по съответен начин засегнатите ползватели, единните звена за контакт, определени съгласно член 46в, параграф 1, доверяващите се страни и Комисията.
Член 5е
Трансгранично използване на европейските портфейли за цифрова самоличност
РАЗДЕЛ 2
схеми за електронна идентификация
Член 6
Взаимно признаване
Когато националното право или административната практика изискват електронна идентификация чрез средства за електронна идентификация и удостоверяване на автентичност за достъпа до дадена услуга, предоставяна онлайн от орган от публичния сектор в една държава членка, средствата за електронна идентификация, издадени в друга държава членка, се признават в първата държава членка за целите на трансграничното удостоверяване на автентичност за тази онлайн услуга, при условие че са изпълнени следните условия:
средствата за електронна идентификация се издават в рамките на схема за електронна идентификация, включена в списъка, публикуван от Комисията съгласно член 9;
нивото на осигуреност на средствата за електронна идентификация съответства на ниво на осигуреност, равно или по-високо от нивото на осигуреност, изисквано от съответния орган от публичния сектор, за онлайн достъпа до тази услуга в първата държава членка, при условие че нивото на осигуреност на тези средства за електронна идентификация съответства на ниво на осигуреност „значително“ или „високо“;
съответният орган от публичния сектор използва ниво на осигуреност „значително“ или „високо“ по отношение на онлайн достъпа до тази услуга.
Това признаване се извършва не по-късно от 12 месеца след като Комисията публикува списъка, посочен в първа алинея, буква а).
Член 7
Допускане за уведомяване относно схеми за електронна идентификация
Дадена схема за електронна идентификация се допуска за уведомяване съгласно член 9, параграф 1, ако всяко едно от следните условия е изпълнено:
средствата за електронна идентификация в рамките на схемата за електронна идентификация са издадени:
от уведомяващата държава членка;
по поръчение на уведомяващата държава членка; или
независимо от уведомяващата държава членка и са признати от тази държава членка;
средствата за електронна идентификация в рамките на схемата за електронна идентификация могат да бъдат използвани за достъп до най-малко една услуга, която е предоставяна от орган от публичния сектор и която изисква електронна идентификация в уведомяващата държава членка;
схемата за елетронна идентификация и издаваните по нея средства за електронна идентификация отговарят на изискванията на поне едно от нивата на осигуреност, предвидени в акта за изпълнение, установени в член 8, параграф 3;
уведомяващата държава членка гарантира, че данните за идентификация на лицето, представляващи по уникален начин въпросното лице, се приписват на физическото или юридическото лице, посочено в член 3, точка 1, в момента на издаване на средството за електронна идентификация в рамките на тази схема в съответствие с техническите спецификации, стандарти и процедури за съответното ниво на осигуреност, установени в акта за изпълнение, посочен в член 8, параграф 3;
страната, издаваща електронното средство за идентификация в рамките на тази схема, гарантира, че средството за електронна идентификация се приписва на лицето, посочено в буква г) от настоящия член, в съответствие с техническите спецификации, стандарти и процедури за съответното ниво на осигуреност, установени в акта за изпълнение, посочен в член 8, параграф 3;
уведомяващата държава членка осигурява възможност за удостоверяване на автентичност онлайн, така че всяка доверяваща се страна, установена на територията на друга държава членка, да може да потвърди данните за идентификация на лицето, получени в електронна форма.
За доверяващи се страни, различни от органи от публичния сектор, уведомяващата държава членка може да определи условия за достъп до това удостоверяване на автентичност. Трансграничното удостоверяване на автентичност се предоставя безплатно, когато се извършва във връзка с онлайн услуга, предоставяна от орган от публичния сектор.
Държавите членки не налагат никакви специфични несъразмерни технически изисквания за доверяващи се страни, които възнамеряват да извършват такова удостоверяване на автентичност, когато тези изисквания пречат на оперативната съвместимост на схемите за електронна идентификация, за които е извършено уведомяване, или сериозно я възпрепятстват;
най-малко шест месеца преди уведомяването по член 9, параграф 1 уведомяващата държава членка предоставя на останалите държави членки за целите на член 12, параграф 5 описание на въпросната схема в съответствие с процедурните условия, установени в приетите съгласно член 12, параграф 6 актове за изпълнение;
схемата за електронна идентификация отговаря на изискванията, установени в акта за изпълнение, посочен в член 12, параграф 8.
Член 8
Нива на осигуреност на схеми за електронна идентификация
Нивата на осигуреност „ниско“, „значително“ и „високо“ отговарят съответно на следните критерии:
ниво на осигуреност „ниско“ се отнася за средство за електронна идентификация в контекста на схема за електронна идентификация, което предоставя ограничена степен на надеждност на претендираната или заявената самоличност на дадено лице, и се характеризира с препратка към съответни технически спецификации, стандарти и процедури, включително технически проверки, чиято цел е да се понижи значително рискът от злоупотреба или промяна на самоличността;
ниво на осигуреност „значително“ се отнася за средство за електронна идентификация в контекста на схема за електронна идентификация, което предоставя значителна степен на надеждност на претендираната или заявената самоличност на дадено лице и се характеризира с препратка към съответни технически спецификации, стандарти и процедури, включително технически проверки, чиято цел е да се понижи значително рискът от злоупотреба или промяна на самоличността;
ниво на осигуреност „високо“ се отнася за средство за електронна идентификация в контекста на схема за електронна идентификация, което предоставя по-висока степен на надеждност на претендираната или заявената самоличност на дадено лице, отколкото средствата за електронна идентификация с ниво на осигуреност „значително“, и се характеризира с препратка към съответни технически спецификации, стандарти и процедури, включително технически проверки, чиято цел е да се предотврати злоупотреба или промяна на самоличността.
Тези минимални технически спецификации, стандарти и процедури се установяват въз основа на надеждността и качеството на следните елементи:
процедурата за доказване и проверка на самоличността на физически или юридически лица, подаващи искане за издаване на средство за електронна идентификация;
процедурата по издаване на поисканото средство за електронна идентификация;
механизма за удостоверяване на автентичност, чрез който физическото или юридическото лице използва средството за електронна идентификация, за да потвърди своята самоличност на доверяваща се страна;
субекта, издаващ средството за електронна идентификация;
всеки друг орган, имащ отношение към заявлението за издаване на средството за електронна идентификация; и
техническите спецификации и спецификациите за сигурността на издаваните средства за електронна идентификация.
Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.
Член 9
Уведомяване
Уведомяващата държава членка уведомява Комисията за следната информация и без излишно забавяне съобщава за всички последващи изменения в нея:
описание на схемата за електронна идентификация, включително нивата на осигуреност и издателя или издателите на средството за електронна идентификация в рамките на схемата;
приложимия режим на надзор и информация за режима на отговорност по отношение на следното:
страната, която издава средството за електронна идентификация; и
страната, която извършва процедурата по удостоверяване на автентичността;
органа или органите, отговарящи за схемата за електронна идентификация;
информация за субекта или субектите, които управляват регистрацията на уникалните идентификационни данни на лицата;
описание как са спазени изискванията, установени в актовете за изпълнение, посочени в член 12, параграф 8;
описание на удостоверяването на автентичността, посочено в член 7, буква е);
условията за спиране или отмяна на схемата за електронна идентификация, за която е извършено уведомяване, или на удостоверяването на автентичност, или на съответните застрашени части.
Член 10
Пробив в сигурността на схемите за електронна идентификация
Комисията публикува без неоснователно забавяне съответните изменения на списъка по член 9, параграф 2 в Официален вестник на Европейския съюз.
Член 11
Отговорност
Член 11a
Трансгранично сверяване на самоличности
Член 12
Оперативна съвместимост
Рамката за оперативна съвместимост отговаря на следните критерии:
има за цел да е технологично неутрална и не допуска дискриминация между специфичните национални технически решения за електронна идентификация в рамките на дадена държава членка;
спазва европейските и международните стандарти, когато това е възможно;
улеснява гарантирането на защита на неприкосновеността на личния живот и сигурността на етапа на проектирането;
▼M2 —————
Рамката за оперативна съвместимост се състои от:
задаване на минимални технически изисквания във връзка с нивата на осигуреност съгласно член 8;
категоризиране на националните нива на осигуреност на схемите на електронна идентификация, за които е извършено уведомяване, по нива на осигуреност съгласно член 8;
задаване на минимални технически изисквания за оперативна съвместимост;
задаване на минимален набор от данни за идентификация на лицето, необходими за представянето по уникален начин на физическо или юридическо лице, или на физическо лице, представляващо друго физическо лице или юридическо лице, които са достъпни посредством схеми за електронна идентификация;
процедурни правила;
механизми за уреждане на спорове; и
общи оперативни стандарти за сигурност.
▼M2 —————
Член 12а
Сертифициране на схеми за електронна идентификация
Член 12б
Достъп до хардуерни и софтуерни характеристики
Когато доставчиците на европейски портфейли за цифрова самоличност и издателите на средства за електронна идентификация, за които е извършено уведомяване, които действат в търговско или професионално качество и използват основни платформени услуги съгласно определението в член 2, точка 2 от Регламент (ЕС) 2022/1925 на Европейския парламент и на Съвета ( 7 ) за целта или в хода на предоставянето на услуги по европейски портфейли за цифрова самоличност и средства за електронна идентификация на крайните ползватели, са бизнес ползватели съгласно определението в член 2, точка 21 от посочения регламент, контролиращите достъпа предприятия им позволяват по-специално ефективна оперативна съвместимост и за целите на оперативната съвместимост достъп до същата операционна система, хардуерни или софтуерни характеристики. Тази ефективна оперативна съвместимост и достъп се разрешават безплатно и независимо от това дали хардуерните или софтуерните характеристики са част от операционната система, във вида, в който са налични или се използват от въпросното контролиращо достъпа предприятие при предоставянето на такива услуги по смисъла на член 6, параграф 7 от Регламент (ЕС) 2022/1925. Настоящият член не засяга член 5а, параграф 14 от настоящия регламент.
ГЛАВА III
УДОСТОВЕРИТЕЛНИ УСЛУГИ
РАЗДЕЛ 1
Общи разпоредби
Член 13
Отговорност и тежест на доказване
Тежестта на доказване, че щетите са били нанесени умишлено или поради небрежност от страна на доставчик на неквалифицирани удостоверителни услуги, се носи от физическото или юридическото лице, подало иск във връзка с щетите, посочени в първа алинея.
Наличието на умисъл или небрежност от страна на доставчик на квалифицирани удостоверителни услуги се приема по презумпция, освен ако доставчикът на квалифицирани удостоверителни услуги не докаже, че посочените в първа алинея щети са настъпили без умисъл или небрежност от страна на същия доставчик на квалифицирани удостоверителни услуги.
Член 14
Международни аспекти
Актовете за изпълнение, посочени в първата алинея, се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.
Член 15
Достъпност за хора с увреждания и със специални потребности
Предоставянето на средства за електронна идентификация, удостоверителни услуги и продукти за крайните ползватели, които са използвани при предоставянето на тези услуги, се осъществява на ясен и разбираем език, в съответствие с Конвенцията на Организацията на обединените нации за правата на хората с увреждания и с изискванията за достъпност от Директива (ЕС) 2019/882, което носи ползи и за лицата с функционални ограничения, като например възрастните хора, и лицата с ограничен достъп до цифрови технологии.
Член 16
Санкции
Държавите членки гарантират, че нарушенията на настоящия регламент от страна на доставчици на квалифицирани и неквалифицирани удостоверителни услуги подлежат на административни глоби в максимален размер от най-малко:
5 000 000 EUR, когато доставчикът на удостоверителни услуги е физическо лице; или
когато доставчикът на удостоверителни услуги е юридическо лице, 5 000 000 EUR или 1 % от общия годишен световен оборот на предприятието, към което е принадлежал доставчикът на удостоверителни услуги през финансовата година, предхождаща годината, в която е извършено нарушението, като се взема по-високата от двете стойности.
РАЗДЕЛ 2
Неквалифицирани удостоверителни услуги
▼M2 —————
▼M1 —————
Член 19 a
Изисквания към доставчиците на неквалифицирани удостоверителни услуги
Доставчикът на неквалифицирани удостоверителни услуги:
разполага с подходящи политики и предприема съответните мерки за управление на правните, стопанските, оперативните и други преки или косвени рискове, свързани с предоставянето на неквалифицираната удостоверителна услуга, които независимо от член 21 от Директива (ЕС) 2022/2555 включват най-малко мерките, свързани с:
процедури за регистрация и интегриране за удостоверителна услуга;
процедурни или административни проверки, необходими за предоставянето на удостоверителни услуги;
управлението и прилагането на удостоверителни услуги;
уведомява надзорния орган, засегнатите лица, които могат да бъдат установени, обществеността, ако това е от обществен интерес, и когато е приложимо — други имащи отношение компетентни органи, за всички пробиви в сигурността или смущения в предоставянето на услугата или изпълнението на мерките, посочени в буква а), точки i), ii) и iii), които имат значително въздействие върху предоставяната удостоверителна услуга или върху съхраняваните в нея лични данни, без неоснователно забавяне и при всички случаи не по-късно от 24 часа от узнаването за пробиви в сигурността или смущенията.
РАЗДЕЛ 3
Квалифицирани удостоверителни услуги
Член 20
Надзор над доставчиците на квалифицирани удостоверителни услуги
Когато доставчикът не приложи корективни мерки и, в случай че надзорният орган е определил срок, това не стане в рамките на срока, този надзорен орган, когато това е обосновано по-специално поради степента, продължителността и последиците на въпросното неспазване, отнема квалифицирания статут на въпросния доставчик или на засегнатата услуга, която той предоставя.
До 21 май 2025 г., Комисията, посредством актове за изпълнение, изготвя списък с референтните стандарти и, когато е необходимо, установява спецификациите и процедурите за следното:
акредитацията на органите за оценяване на съответствието и за доклада за оценяване на съответствието, посочени в параграф 1;
изискванията за извършване на одит, според които органите за оценяване на съответствието извършват оценяване на съответствието, включително комплексно оценяване, на доставчиците на квалифицирани удостоверителни услуги, както е посочено в параграф 1;
схемите за оценяване на съответствието за извършване на оценяване на съответствието на доставчиците на квалифицирани удостоверителни услуги от органите за оценяване на съответствието и за представяне на доклада, посочен в параграф 1.
Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.
Член 21
Начало на предоставянето на квалифицирана удостоверителна услуга
За да провери дали доставчикът на удостоверителни услуги спазва изискванията, установени в член 21 от Директива (ЕС) 2022/2555, надзорният орган изисква от компетентните органи, определени или създадени съгласно член 8, параграф 1 от посочената директива да извършат надзорни действия в това отношение и да предоставят информация за резултата без неоснователно забавяне и при всички случаи в срок от два месеца от получаването на искането. Ако проверката не приключи в двумесечен срок от уведомяването, въпросните компетентни органи информират надзорния орган, като посочват причините за забавянето и срока, в който трябва да приключи проверката.
Ако надзорният орган прецени, че доставчикът на удостоверителни услуги и предоставяните от него удостоверителни услуги отговарят на изискванията, установени в настоящия регламент, надзорният орган дава квалифициран статут на доставчика на удостоверителни услуги и на предоставяните от него удостоверителни услуги и информира посочения в член 22, параграф 3 орган, с цел актуализиране на доверителните списъци по член 22, параграф 1, не по-късно от три месеца след уведомяването в съответствие с параграф 1 от настоящия член.
Ако проверката не приключи в тримесечен срок от уведомяването, надзорният орган информира доставчика на удостоверителни услуги, като посочва причините за забавянето и срока, в който трябва да приключи проверката.
Член 22
Доверителни списъци
Член 23
Марка за доверие на ЕС за квалифицирани удостоверителни услуги
Член 24
Изисквания към доставчиците на квалифицирани удостоверителни услуги
Проверката на самоличността, посочена в параграф 1 се извършва с подходящи средства от доставчика на квалифицирани удостоверителни услуги пряко или чрез трета страна, въз основа на един от следните методи или — при необходимост — на комбинация от тях, в съответствие с актовете за изпълнение, посочени в параграф 1в:
чрез европейския портфейл за цифрова самоличност или средство за електронна идентификация, за което е извършено уведомяване и което отговаря на изискванията по член 8 по отношение на ниво на осигуреност „високо“;
чрез удостоверение за квалифициран електронен подпис или за квалифициран електронен печат, издадено в съответствие с буква а), в) или г);
чрез други методи за идентификация, които гарантират идентифицирането на лицето с висока степен на надеждност и чието съответствие се потвърждава от орган за оценяване на съответствието;
чрез физическото присъствие на физическото лице или на упълномощен представител на юридическото лице посредством подходящи доказателства и процедури, в съответствие с националното право.
Проверката на атрибутите, посочена в параграф 1, се извършва с подходящи средства от доставчика на квалифицирани удостоверителни услуги пряко или чрез трета страна, въз основа на един от следните методи или — при необходимост — на комбинация от тях, в съответствие с актовете за изпълнение, посочени в параграф 1в:
чрез европейския портфейл за цифрова самоличност или средство за електронна идентификация, за което е извършено уведомяване и което отговаря на изискванията по член 8 по отношение на ниво на осигуреност „високо“;
чрез удостоверение за квалифициран електронен подпис или за квалифициран електронен печат, издадено в съответствие с параграф 1а, буква а), в) или г);
чрез квалифицирано електронно удостоверение за атрибути;
чрез други методи, които гарантират проверка на атрибутите с висока степен на надеждност и чието съответствие се потвърждава от орган за оценяване на съответствието;
чрез физическото присъствие на физическото лице или на упълномощен представител на юридическото лице посредством подходящи доказателства и процедури в съответствие с националното право.;
Доставчик на квалифицирани удостоверителни услуги:
информира надзорния орган най-малко един месец преди извършването на каквато и да е промяна в предоставяните от него квалифицирани удостоверителни услуги или най-малко три месеца предварително в случай на намерение за прекратяване на тези дейности.
наема персонал и, ако е приложимо, подизпълнители, които притежават необходимите експертни знания, надеждност, опит и квалификация и са преминали подходящо обучение относно правилата за сигурност и защита на личните данни, и прилага съответстващи на европейските или международните стандарти административни и управленски процедури;
във връзка с риска от отговорност за нанесени щети в съответствие с член 13 поддържа достатъчни финансови ресурси и/или сключва подходяща застраховка за отговорност в съответствие с националното право;
преди встъпването в договорни отношения информира по ясен, изчерпателен и лесно достъпен начин на публично достъпно място и персонално всяко лице, което иска да използва квалифицирана удостоверителна услуга, за точните условия и ред за използване на тази услуга, включително за всякакви ограничения, свързани с използването ѝ;
използва надеждни системи и продукти, които са защитени срещу промяна, и гарантира техническата сигурност и надеждност на поддържаните от тях процеси, включително посредством подходящи криптографски техники;
използва надеждни системи за съхранение на предоставените му данни във вид, позволяващ проверка, така че:
те да са публично достъпни за извличане само в случаите, когато е получено съгласието на лицето, за което се отнасят данните;
само упълномощени лица да могат да въвеждат информация и да внасят промени в съхраняваните данни;
да може да бъде проверена автентичността на данните;
независимо от разпоредбите на член 21 от Директива (ЕС) 2022/2555, има подходящи политики и взема съответните мерки за управление на правните, стопанските, оперативните и другите преки или косвени рискове, свързани с предоставянето на квалифицирани удостоверителни услуги, включително най-малко мерки, свързани със следното:
процедури за регистрация и интегриране за дадена услуга;
процедурни или административни проверки;
управлението и прилагането на услугите;
уведомява надзорния орган, засегнатите лица, които могат да бъдат установени, други имащи отношение компетентни органи, когато е приложимо, и по искане на надзорния орган — обществеността, ако това е от обществен интерес, за всякакви пробиви в сигурността или смущения в предоставянето на услугата или изпълнението на мерките, посочени в буква еа), подточки i), ii) или iii), които имат значително въздействие върху предоставяната удостоверителна услуга или върху съхраняваните в нея лични данни, без неоснователно забавяне и при всички случаи не по-късно от 24 часа след инцидента.
взема подходящи мерки срещу подправяне, кражба или присвояване на данни или неправомерно заличаване или изменяне на данни, или заключване на достъпа до тях;
записва и съхранява на разположение за необходимия период от време след прекратяване на дейностите на доставчика на квалифицирани удостоверителни услуги цялата имаща отношение информация във връзка с данните, издадени и получени от доставчик на квалифицирани удостоверителни услуги, с оглед предоставяне на доказателство при съдебни производства и осигуряване на непрекъснатост на услугата. Тези записи могат да бъдат направени по електронен път;
разполага с актуализиран план за осигуряване на непрекъснатост на обслужването в случай на прекратяване на дейността в съответствие с разпоредбите, които са преминали проверка от надзорния орган съгласно член 46б, параграф 4, точка (i);
▼M2 —————
в случай на доставчици на квалифицирани удостоверителни услуги, които издават квалифицирани удостоверения — създава база данни с удостоверения и редовно я актуализира.
Надзорният орган може да поиска информация в допълнение към информацията, съобщена съгласно първа алинея, буква а), или към резултата от оценяването на съответствието, и може да обвърже с условия предоставянето на разрешение за извършване на планираните промени в квалифицираните удостоверителни услуги. Ако проверката не приключи в тримесечен срок от уведомяването, надзорният орган информира доставчика на удостоверителни услуги, като посочва причините за забавянето и срока, в който трябва да приключи проверката.
Член 24а
Признаване на квалифицирани удостоверителни услуги
РАЗДЕЛ 4
Електронни подписи
Член 25
Правна сила на електронните подписи
▼M2 —————
Член 26
Изисквания към усъвършенстваните електронни подписи
Усъвършенстваният електронен подпис отговаря на следните изисквания:
свързан е по уникален начин с титуляря на подписа;
може да идентифицира титуляря на подписа;
създаден е чрез данни за създаване на електронен подпис, които титулярят на електронния подпис може да използва с висока степен на доверие и единствено под свой контрол; и
свързан е с данните, които са подписани с него, по начин, позволяващ да бъде открита всяка последваща промяна в тях.
Член 27
Електронни подписи в публичните услуги
▼M2 —————
Член 28
Квалифицирани удостоверения за електронни подписи
Държавите членки могат да определят национални правила относно временното спиране на валидността на квалифицирано удостоверение за електронен подпис при спазване на следните условия:
ако квалифицирано удостоверение за електронен подпис бъде временно спряно, то губи валидността си за срока на спирането;
срокът на спирането се отбелязва ясно в базата данни за удостоверенията, а статутът на спряното удостоверение е видим за срока на спирането в рамките на услугата, предоставяща информация за статута на удостоверението.
Член 29
Изисквания към устройствата за създаване на квалифициран електронен подпис
Член 29a
Изисквания за квалифицирана услуга за управление на устройства за създаване на квалифицирани електронни подписи от разстояние
Управлението на устройства за създаване на квалифициран електронен подпис от разстояние като квалифицирана услуга се извършва само от доставчик на квалифицирани удостоверителни услуги, който:
генерира или управлява данни за създаване на електронен подпис от името на титуляря на електронния подпис;
независимо от разпоредбите на точка 1, буква г) от приложение II, дублира данните за създаване на електронен подпис само за целите на архивирането, при условие че са изпълнени следните изисквания:
сигурността на дублираните набори от данни трябва да е на равнището на сигурността на оригиналните набори от данни;
броят на дублираните набори от данни не трябва да превишава минимума, необходим за осигуряване на непрекъснатост на услугата;
отговаря на изискванията, посочени в доклада за сертифициране на конкретното устройство за създаване на квалифициран електронен подпис от разстояние, изготвен съгласно член 30.
Член 30
Сертифициране на устройствата за създаване на квалифициран електронен подпис
Посоченото в параграф 1 сертифициране се основава на едно от следните условия:
процес на оценка на сигурността, осъществен в съответствие с един от стандартите за оценка на сигурността на продукти на информационните технологии, включени в списъка, изготвен в съответствие с втората алинея; или
процес, различен от посочения в буква а), при условие че при него са използвани съпоставими равнища на сигурност и че посочената в параграф 1 публичноправна или частна организация е уведомила Комисията за въпросния процес. Този процес може да се използва само при липса на стандартите, посочени в буква а), или когато посоченият в буква а) процес на оценка на сигурността се извършва в момента.
Комисията изготвя посредством актове за изпълнение списък на стандартите за оценка на сигурността на продукти на информационните технологии, посочени в буква а). Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.
Член 31
Публикуване на списък на сертифицираните устройства за създаване на квалифициран електронен подпис
Член 32
Изисквания към валидирането на квалифицирани електронни подписи
В процеса на валидиране на квалифициран електронен подпис се потвърждава валидността на квалифицирания електронен подпис, при условие че:
удостоверението в подкрепа на подписа към момента на подписването е било квалифицирано удостоверение за електронен подпис, отговарящо на приложение I;
квалифицираното удостоверение е издадено от доставчик на квалифицирани удостоверителни услуги и е било валидно към момента на подписването;
данните за валидиране на подписа съответстват на данните, предоставени от доверяващата се страна;
уникалният набор от данни, представляващи титуляря на електронния подпис в удостоверението, е надлежно предаден на доверяващата се страна;
ако към момента на подписването е бил използван псевдоним, то това е ясно указано на доверяващата се страна;
електронният подпис е създаден от устройство за създаване на квалифициран електронен подпис;
целостта на подписаните данни не е застрашена;
изискванията по член 26 са били изпълнени към момента на подписването.
Приема се, че е налице съответствие с изискванията, предвидени в първа алинея от настоящия параграф, когато валидирането на квалифицирани електронни подписи отговаря на стандартите, спецификациите и процедурите, посочени в параграф 3.
Член 32а
Изисквания за валидиране на усъвършенствани електронни подписи въз основа на квалифицирани удостоверения
В процеса на валидиране на усъвършенстван електронен подпис въз основа на квалифицирани удостоверения се потвърждава валидността на усъвършенствания електронен подпис въз основа на квалифицирано удостоверение, при условие че:
удостоверението в подкрепа на подписа към момента на подписването е било квалифицирано удостоверение за електронен подпис, отговарящо на приложение I;
квалифицираното удостоверение е издадено от доставчик на квалифицирани удостоверителни услуги и е било валидно към момента на подписването;
данните за валидиране на подписа съответстват на данните, предоставени от доверяващата се страна;
уникалният набор от данни, представляващи титуляря на електронния подпис в удостоверението, е надлежно предаден на доверяващата се страна;
ако към момента на подписването е бил използван псевдоним, то това е ясно указано на доверяващата се страна;
целостта на подписаните данни не е застрашена;
изискванията по член 26 са били изпълнени към момента на подписването.
Член 33
Услуга по квалифицирано валидиране на квалифицирани електронни подписи
Услугата по квалифицирано валидиране на квалифицирани електронни подписи може да се предоставя единствено от доставчик на квалифицирани удостоверителни услуги, който:
извършва валидиране в съответствие с член 32, параграф 1; и
дава възможност на доверяващите се страни да получат резултата от процеса на валидиране по автоматизиран начин, който е надежден и ефикасен и носи усъвършенстван електронен подпис или усъвършенстван електронен печат на доставчика на услугата по квалифицирано валидиране.
Член 34
Услуга по квалифицирано съхраняване на квалифицирани електронни подписи
РАЗДЕЛ 5
Електронни печати
Член 35
Правна сила на електронните печати
▼M2 —————
Член 36
Изисквания към квалифицираните електронни печати
Квалифицираният електронен печат отговаря на следните изисквания:
свързан е по уникален начин със създателя на печата;
може да идентифицира създателя на печата;
създаден е чрез данни за създаване на електронен печат, които създателят на електронния печат може да използва с висока степен на доверие и единствено под свой контрол; и
свързан е с данните, за които се отнася, по начин, позволяващ да бъде открита всяка последваща промяна в тях.
Член 37
Електронни печати в публичните услуги
▼M2 —————
Член 38
Квалифицирани удостоверения за електронни печати
Държавите членки могат да определят национални правила относно временното спиране на валидността на квалифицирани удостоверения за електронни печати при спазване на следните условия:
ако квалифицирано удостоверение за електронен печат бъде временно спряно, то губи валидността си за срока на спирането;
срокът на спирането се отбелязва ясно в базата данни за удостоверенията, а статутът на спиране е видим за срока на това спиране в рамките на услугата, предоставяща информация за статута на удостоверението.
Член 39
Устройства за създаване на квалифицирани електронни печати
Член 39a
Изисквания за квалифицирана услуга за управление на устройства за създаване на квалифицирани електронни печати от разстояние
Член 29а се прилага mutatis mutandis за квалифицираната услуга за управление на устройства за създаване на квалифицирани електронни печати от разстояние.
Член 40
Валидиране и съхраняване на квалифицирани електронни печати
Членове 32, 33 и 34 се прилагат mutatis mutandis към валидирането и съхраняването на квалифицирани електронни печати.
Член 40а
Изисквания за валидиране на усъвършенствани електронни печати въз основа на квалифицирани удостоверения
Член 32а се прилага mutatis mutandis за валидирането на усъвършенствани електронни печати въз основа на квалифицирани удостоверения.
РАЗДЕЛ 6
Електронни времеви печати
Член 41
Правна сила на електронните времеви печати
▼M2 —————
Член 42
Изисквания към квалифицираните електронни времеви печати
Квалифицираният електронен времеви печат отговаря на следните изисквания:
обвързва датата и часа с данните по начин, който до голяма степен изключва възможността за незабелязана промяна на данните;
основава се на източник на точно време, свързан с координираното универсално време; и
подписан е с усъвършенстван електронен подпис или е подпечатан с усъвършенстван електронен печат на доставчик на квалифицирани удостоверителни услуги или с друг равностоен метод.
РАЗДЕЛ 7
Услуги за електронна препоръчана поща
Член 43
Правна сила на услугите за електронна препоръчана поща
Член 44
Изисквания към квалифицираните услуги за електронна препоръчана поща
Квалифицираните услуги за електронна препоръчана поща отговарят на следните изисквания:
предоставят се от един или повече доставчици на квалифицирани удостоверителни услуги;
гарантират с високо ниво на доверие идентификацията на изпращача;
гарантират идентификацията на получателя преди доставянето на данните;
изпращането и получаването на данни е обезпечено чрез усъвършенстван електронен подпис или усъвършенстван електронен печат на доставчик на квалифицирани удостоверителни услуги по начин, който изключва всякаква възможност за незабелязана промяна на данните;
всяка промяна на данните, необходима за целите на изпращането или получаването на данните, се обозначава ясно за подателя и за получателя на данните;
датата и часът на изпращане и получаване, както и всяка промяна на данните се указват чрез квалифициран електронен времеви печат.
Ако данните се предават между двама или повече доставчици на квалифицирани удостоверителни услуги, изискванията по букви а) — е) се прилагат към всички доставчици на квалифицирани удостоверителни услуги.
РАЗДЕЛ 8
Удостоверяване автентичността на уебсайтове
Член 45
Изисквания към квалифицираните удостоверения за автентичност на уебсайтове
Член 45a
Предпазни мерки в областта на киберсигурността
РАЗДЕЛ 9
електронно удостоверение за атрибути
Член 45б
Правно действие на електронното удостоверение за атрибути
Член 45в
Електронно удостоверение за атрибути в обществените услуги
Когато за достъп до онлайн услуга, предоставяна от орган от публичния сектор, националното право изисква електронна идентификация чрез средства за електронна идентификация и удостоверяване на автентичност, данните за идентификация на лице в електронното удостоверение за атрибути не заместват електронната идентификация чрез средства за електронна идентификация и удостоверяването на автентичност за целите на електронната идентификация, освен ако това е изрично разрешено от държавата членка. В такъв случай се приема също квалифицирано електронно удостоверение за атрибути от други държави членки.
Член 45г
Изисквания към квалифицираното електронно удостоверение за атрибути
Член 45д
Проверка на атрибутите спрямо автентични източници
Член 45е
Изисквания към електронното удостоверение за атрибути, издадено от орган от публичния сектор, отговарящ за автентичен източник, или от името на такъв орган
Електронното удостоверение за атрибути, издадено от орган от публичния сектор, отговарящ за автентичен източник, или от името на такъв орган, отговаря на следните изисквания:
изискванията, посочени в приложение VII;
квалифицираното удостоверение, поддържащо квалифицирания електронен подпис или квалифицирания електронен печат на органа от публичния сектор, посочен в член 3, точка 46, определен като издател, посочен в приложение VII, буква б), съдържащо специфичен набор от сертифицирани атрибути във форма, подходяща за автоматизирана обработка и:
посочване, че издаващият орган е установен в съответствие с правото на Съюза или националното право като отговорен за автентичния източник, въз основа на който е издадено електронното удостоверение за атрибути, или като орган, определен да действа от негово име;
предоставяне на набор от данни, които недвусмислено представят автентичния източник, посочен в точка i); и
идентифициране на правото на Съюза или на националното право, посочени в точка i).
Член 45ж
Издаване на електронно удостоверение за атрибути на европейските портфейли за цифрова самоличност
Член 45з
Допълнителни правила за предоставяне на услуги по електронно удостоверяване на атрибути
РАЗДЕЛ 10
услуги за електронно архивиране
Член 45и
Правно действие на услугите за електронно архивиране
Член 45й
Изисквания за квалифицираните услуги за електронно архивиране
Квалифицираните услуги за електронно архивиране отговарят на следните изисквания:
предоставят се от един или повече доставчици на квалифицирани удостоверителни услуги;
при тях се използват процедури и технологии, които могат да гарантират трайността и четливостта на електронни данни и електронни документи отвъд срока на технологична валидност и поне през целия правен или договорен срок на съхранение, като същевременно запазват тяхната цялост и точния им произход;
с тях се гарантира, че тези електронни данни и тези електронни документи се съхраняват по такъв начин, че да бъдат защитени срещу загуба и промяна, с изключение на промени, засягащи техния носител или електронен формат;
те позволяват на упълномощените доверяващи се страни да получат съобщение по автоматизиран начин, което потвърждава, че електронните данни и електронните документи, извлечени от квалифициран електронен архив, се ползват с презумпцията за цялост на данните от началото на периода на съхранение до момента на извличане.
Съобщението, посочено в буква г) от първа алинея, се предоставя по надежден и ефикасен начин и носи квалифицирания електронен подпис или квалифицирания електронен печат на доставчика на услугата за квалифицирано електронно архивиране.
РАЗДЕЛ 11
електронни регистри
Член 45к
Правно действие на електронните регистри
Член 45л
Изисквания за квалифицираните електронни регистри
Квалифицираните електронни регистри отговарят на следните изисквания:
създават се и се управляват от един или повече доставчици на квалифицирани удостоверителни услуги;
установяват произхода на записите от данни в регистъра;
осигуряват уникална последователна хронологична подредба на записите на данни в регистъра;
данните се вписват по начин, който позволява незабавното откриване на всяка последваща промяна в тях и гарантира целостта им във времето.
ГЛАВА IV
ЕЛЕКТРОННИ ДОКУМЕНТИ
Член 46
Правна сила на електронните документи
Правната сила и допустимостта на електронен документ като доказателство в съдебни производства не могат да бъдат оспорени единствено на основанието, че той е в електронна форма.
ГЛАВА IVa
РАМКА ЗА УПРАВЛЕНИЕ
Член 46а
Надзор върху рамката на европейски портфейли за цифрова самоличност
На надзорните органи, определени съгласно първа алинея, се предоставят необходимите правомощия и подходящи ресурси за ефективно, ефикасно и независимо изпълнение на задачите им.
Функцията на надзорните органи, определени съгласно параграф 1, е:
да упражняват надзор върху доставчиците на европейски портфейли за цифрова самоличност, установени в определящата държава членка, и да гарантират чрез предварителни и последващи надзорни дейности, че тези доставчици и европейските портфейли за цифрова самоличност, които те предоставят, отговарят на изискванията, определени в настоящия регламент;
да предприемат действия, ако е необходимо, по отношение на доставчиците на европейски портфейли за цифрова самоличност, установени на територията на определящата държава членка, чрез последващи надзорни дейности, когато са били информирани, че доставчиците или европейските портфейли за цифрова самоличност, които те предоставят, са в нарушение на настоящия регламент.
Задачите на надзорните органи, определени съгласно параграф 1, включват по-специално следното:
да си сътрудничат с други надзорни органи и да им оказват съдействие в съответствие с членове 46в и 46д;
да изискват информацията, необходима за наблюдение на спазването на настоящия регламент;
да информират съответните компетентни органи, определени или създадени съгласно член 8, параграф 1 от Директива (ЕС) 2022/2555, на засегнатите държави членки за всички значителни пробиви в сигурността или нарушения на целостта, които са им станали известни при изпълнението на техните задачи, и в случай на значителен пробив в сигурността или нарушаване на целостта, което засяга други държави членки, да информират единното звено за контакт, определено или създадено съгласно член 8, параграф 3 от Директива (ЕС) 2022/2555, на засегнатата държава членка и единните звена за контакт, определени съгласно член 46в, параграф 1 от настоящия регламент, в другите засегнати държави членки, както и да информират обществеността или да изискват от доставчика на европейски портфейл за цифрова самоличност да направи това, когато надзорният орган установи, че разкриването на пробива в сигурността или на нарушаването на целостта би било в обществен интерес;
да извършват проверки на място и надзор от разстояние;
да изискват от доставчиците на европейски портфейли за цифрова самоличност да отстранят всяко неизпълнение на изискванията, посочени в настоящия регламент;
да спират или да отменят регистрацията и включването на доверяващи се страни в механизма, посочен в член 5б, параграф 7, в случай на незаконно използване или използване с цел измама на европейския портфейл за цифрова самоличност;
да си сътрудничи с компетентните надзорни органи, създадени съгласно член 51 от Регламент (ЕС) 2016/679, по-специално като ги информира без неоснователно забавяне, когато има подозрение за нарушение на правилата за защита на личните данни, както и за пробиви в сигурността, които е възможно да представляват пробив в сигурността на личните данни.
Член 46б
Надзор на удостоверителните услуги
На надзорните органи, определени съгласно първата алинея, се предоставят необходимите правомощия и достатъчни ресурси за изпълнението на техните задачи.
Ролята на надзорните органи, определени съгласно параграф 1, е:
да осъществяват надзор върху доставчици на квалифицирани удостоверителни услуги, установени на територията на определящата държава членка, и да гарантират посредством предварителни и последващи надзорни дейности, че тези доставчици на квалифицирани удостоверителни услуги и предоставяните от тях квалифицирани удостоверителни услуги отговарят на изискванията, предвидени в настоящия регламент;
при необходимост да предприемат действия по отношение на доставчици на неквалифицирани удостоверителни услуги, установени на територията на определящата държава членка, посредством последващи действия по надзора, когато получат информация, съгласно която се твърди, че тези доставчици на неквалифицирани удостоверителни услуги или предоставяните от тях удостоверителни услуги не отговарят на изискванията, предвидени в настоящия регламент.
Задачите на надзорния орган, определен съгласно параграф 1, включват по-специално следното:
да информира съответните компетентни органи, определени или създадени съгласно член 8, параграф 1 от Директива (ЕС) 2022/2555, на засегнатите държави членки за всички значителни пробиви в сигурността или нарушения на целостта, които са му станали известни при изпълнението на неговите задачи, и в случай на значителен пробив в сигурността или нарушаване на целостта, което засяга други държави членки, да информира единното звено за контакт, определено или създадено съгласно член 8, параграф 3 от Директива (ЕС) 2022/2555, на засегнатата държава членка и единните звена за контакт, определени съгласно член 46в, параграф 1 от настоящия регламент, в другите засегнати държави членки, както и да информира обществеността или да изисква от доставчика на удостоверителни услуги да направи това, когато надзорният орган установи, че разкриването на пробива в сигурността или нарушаването на целостта би било в обществен интерес;
да си сътрудничи с други надзорни органи и да им оказва съдействие в съответствие с членове 46в и 46д;
да анализира докладите за оценяване на съответствието, посочени в член 20, параграф 1 и член 21, параграф 1;
да докладва на Комисията за своите основни дейности в съответствие с параграф 6 от настоящия член;
да извършва одити или да изисква от орган за оценяване на съответствието да изготви оценка на съответствието на доставчиците на квалифицирани удостоверителни услуги в съответствие с член 20, параграф 2;
да си сътрудничи с компетентните надзорни органи, създадени съгласно член 51 от Регламент (ЕС) 2016/679, по-специално като ги информира без неоснователно забавяне, когато има подозрение за нарушение на правилата за защита на личните данни, както и за пробиви в сигурността, които е възможно да представляват пробив в сигурността на личните данни;
да предоставя квалифициран статут на доставчици на удостоверителни услуги и на предоставяните от тях услуги и да отнема този статут в съответствие с членове 20 и 21;
да информира органа, отговорен за националния доверителен списък, посочен в член 22, параграф 3, за своите решения за представяне или отнемане на квалифициран статут, освен в случаите, когато въпросният орган е и надзорен орган, определен съгласно параграф 1 от настоящия член;
да проверява наличието и правилното прилагане на разпоредбите относно плана за осигуряване на непрекъснатост на обслужването в случаите, когато доставчиците на квалифицирани удостоверителни услуги прекратят дейностите си, включително относно начините за запазване на достъпа до информацията в съответствие с член 24, параграф 2, буква з);
да изисква от доставчиците на удостоверителни услуги да отстранят всяко неизпълнение на изискванията, предвидени в настоящия регламент;
да разследва твърденията, направени от доставчиците на уеб браузъри съгласно член 45а, и да предприема действия, ако е необходимо.
Член 46в
Единни звена за контакт
Член 46г
Взаимопомощ
Взаимопомощта включва най-малко следното:
надзорният орган, който прилага надзорни и изпълнителни мерки в една държава членка, информира надзорния орган на другата засегната държава членка и се консултира с него;
надзорен орган може да поиска от надзорния орган на друга засегната държава членка да предприеме надзорни или изпълнителни мерки, включително например искания за извършване на проверки, свързани с докладите за оценяване на съответствието, посочени в членове 20 и 21, по отношение на предоставянето на удостоверителни услуги;
когато е целесъобразно, надзорните органи могат да провеждат съвместни разследвания с надзорните органи на други държави членки.
Механизмите и процедурите за съвместните действия съгласно първа алинея се договарят и установяват от засегнатите държави членки съгласно националното им право.
Надзорен орган, до който е изпратено искане за помощ, може да откаже да го изпълни на някое от следните основания:
исканата помощ не е пропорционална на надзорните дейности на надзорния орган, изпълнявани в съответствие с членове 46а и 46б;
надзорният орган не е компетентен да предостави исканата помощ;
исканата помощ би била несъвместима с настоящия регламент.
Член 46д
Европейска група за сътрудничество в областта на цифровата самоличност
Групата за сътрудничество изпълнява следните задачи:
обменя съвети и си сътрудничи с Комисията по нововъзникващи инициативи на политиката в областта на портфейлите за цифрова самоличност, средствата за електронна идентификация и удостоверителните услуги;
консултира Комисията, по целесъобразност, при предварителната подготовка на проектите на актове за изпълнение и делегирани актове, които се приемат съгласно настоящия регламент;
с цел подпомагане на надзорните органи при прилагането на разпоредбите на настоящия регламент:
обменя добри практики и информация относно прилагането на разпоредбите на настоящия регламент;
оценява важните промени в секторите на портфейлите за цифрова самоличност, електронната идентификация и удостоверителните услуги;
организира съвместни заседания със съответните заинтересовани страни от Съюза за обсъждане на дейностите, извършвани от групата за сътрудничество, и събира информация във връзка с възникващите предизвикателства пред политиките;
с подкрепата на ENISA обменя мнения, най-добри практики и информация относно съответните аспекти на киберсигурността във връзка с европейските портфейли за цифрова самоличност, схемите за електронна идентификация и удостоверителните услуги;
обменя най-добри практики във връзка с разработването и прилагането на политики за уведомяване за пробиви в сигурността и общи мерки, както е посочено в членове 5д и 10;
организира съвместни срещи с групата за сътрудничество за МИС, създадена съгласно член 14, параграф 1 от Директива (ЕС) 2022/2555, за обмен на съответна информация във връзка с удостоверителни услуги и свързани с електронната идентификация киберзаплахи, инциденти, уязвимости, инициативи за повишаване на осведомеността, обучения, учения и умения, изграждане на капацитет, както и стандарти и технически спецификации;
обсъжда, по искане на надзорен орган, конкретни искания за взаимопомощ, както е посочено в член 46г;
улеснява обмена на информация между надзорните органи, като предоставя насоки относно организационните аспекти и процедурите за взаимопомощ, посочени в член 46г;
организира партньорски проверки на схемите за електронна идентификация, за които се извършва уведомяване, съгласно настоящия регламент.
ГЛАВА V
РАЗПОРЕДБИ ОТНОСНО ДЕЛЕГИРАНЕ НА ПРАВОМОЩИЯ И АКТОВЕ ЗА ИЗПЪЛНЕНИЕ
Член 47
Упражняване на делегирането
Член 48
Процедура на комитет
ГЛАВА VI
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
Член 48а
Изисквания за предоставяне на информация
Статистическите данни, събирани в съответствие с параграф 1, включват следното:
брой на физическите и юридическите лица с валиден европейски портфейл за цифрова самоличност;
вид и брой на услугите, приемащи използването на европейски портфейл за цифрова самоличност;
брой на жалбите на ползвателите и инцидентите, свързани със защитата на потребителите или защитата на данните, във връзка с доверяващите се страни и квалифицираните удостоверителни услуги;
обобщен доклад, включващ данни за инцидентите, които възпрепятстват използването на европейския портфейл за цифрова самоличност;
обобщени данни за значими инциденти, свързани със сигурността, пробиви в сигурността и засегнатите ползватели на европейски портфейли за цифрова самоличност или на квалифицирани удостоверителни услуги.
Член 49
Преглед
Член 50
Отмяна
Член 51
Преходни мерки
Член 52
Влизане в сила
Настоящият регламент се прилага от 1 юли 2016 г. с изключение на следното:
член 8, параграф 3, член 9, параграф 5, член 12, параграфи 2 — 9, член 17, параграф 8, член 19, параграф 4, член 20, параграф 4, член 21, параграф 4, член 22, параграф 5, член 23, параграф 3, член 24, параграф 5, член 27, параграфи 4 и 5, член 28, параграф 6, член 29, параграф 2, член 30, параграфи 3 и 4, член 31, параграф 3, член 32, параграф 3, член 33, параграф 2, член 34, параграф 2, член 37, параграфи 4 и 5, член 38, параграф 6, член 42, параграф 2, член 44, параграф 2, член 45, параграф 2 и членове 47 и 48 се прилагат, считано от 17 септември 2014 г.;
член 7, член 8, параграфи 1 и 2, членове 9 — 11 и член 12, параграф 1 се прилагат от датата на прилагане на актовете за изпълнение, посочени в член 8, параграф 3 и член 12, параграф 8;
член 6 се прилага, считано от три години от датата на прилагане на актовете за изпълнение, посочени в член 8, параграф 3 и член 12, параграф 8.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
ПРИЛОЖЕНИЕ I
ИЗИСКВАНИЯ КЪМ КВАЛИФИЦИРАНИТЕ УДОСТОВЕРЕНИЯ ЗА ЕЛЕКТРОННИ ПОДПИСИ
Квалифицираните удостоверения за електронни подписи съдържат:
указание най-малко във форма, подходяща за автоматизирана обработка, че удостоверението е издадено като квалифицирано удостоверение за електронен подпис;
набор от данни, които еднозначно представляват издалия квалифицираното удостоверение доставчик на квалифицирани удостоверителни услуги, който набор включва най-малко държавата членка по установяване на доставчика и:
най-малко името на титуляря или псевдоним; ако се използва псевдоним, той се посочва ясно;
данни за валидиране на електронния подпис, които съответстват на данните за създаване на електронния подпис;
информация за началото и края на срока на валидност на удостоверението;
идентификационен код на удостоверението, който е уникален за доставчика на квалифицирани удостоверителни услуги;
усъвършенстван електронен подпис или усъвършенстван електронен печат на издаващия доставчик на квалифицирани удостоверителни услуги;
място, където удостоверението, което поддържа усъвършенствания електронен подпис или усъвършенствания електронен печат, посочени в буква ж), е на разположение безплатно;
информация за валидността на квалифицираното удостоверение или местонахождение на услугите, които могат да се използват за проверка на тази валидност;
когато данните за създаване на електронен подпис, свързани с данните за валидиране на електронен подпис, се намират в устройство за създаване на квалифициран електронен подпис, това съответно се указва най-малко във форма, подходяща за автоматизирана обработка.
ПРИЛОЖЕНИЕ II
ИЗИСКВАНИЯ КЪМ УСТРОЙСТВАТА ЗА СЪЗДАВАНЕ НА КВАЛИФИЦИРАН ЕЛЕКТРОНЕН ПОДПИС
1. Устройствата за създаване на квалифициран електронен подпис гарантират чрез подходящи технически и процедурни средства най-малко, че:
поверителността на данните за създаване на електронен подпис, използвани за създаването на електронния подпис, е разумно гарантирана;
данните за създаване на електронен подпис, използвани за създаването на електронния подпис, на практика се срещат само веднъж;
данните за създаване на електронен подпис, използвани за създаването на електронния подпис, са обезпечени в достатъчна степен и не могат да бъдат извлечени, а електронният подпис е надеждно защитен срещу подправяне чрез използване на наличната към момента технология;
данните за създаване на електронен подпис, използвани за създаването на електронния подпис, могат да бъдат надеждно защитени от законния титуляр на електронния подпис срещу използване от други лица.
2. Устройствата за създаване на квалифициран електронен подпис не изменят данните, които ще бъдат подписвани, и не препятстват представянето им на титуляря на електронния подпис преди подписване.
▼M2 —————
ПРИЛОЖЕНИЕ III
ИЗИСКВАНИЯ КЪМ КВАЛИФИЦИРАНИТЕ УДОСТОВЕРЕНИЯ ЗА ЕЛЕКТРОННИ ПЕЧАТИ
Квалифицираните удостоверения за електронни печати съдържат:
указание най-малко във форма, подходяща за автоматизирана обработка, че удостоверението е издадено като квалифицирано удостоверение за електронен печат;
набор от данни, които еднозначно представляват издалия квалифицираното удостоверение доставчик на квалифицирани удостоверителни услуги, който набор включва най-малко държавата членка по установяване на доставчика, и:
най-малко името на създателя на печата и ако е приложимо, регистрационния номер според официалните регистри;
данни за валидиране на електронния печат, които съответстват на данните за създаване на електронния печат;
информация за началото и края на срока на валидност на удостоверението;
идентификационен код на удостоверението, който е уникален за доставчика на квалифицирани удостоверителни услуги;
усъвършенстван електронен подпис или усъвършенстван електронен печат на издаващия доставчик на квалифицирани удостоверителни услуги;
място, където удостоверението, което поддържа усъвършенствания електронен подпис или усъвършенствания електронен печат, посочени в буква ж), е на разположение безплатно;
информация за валидността на квалифицираното удостоверение или местонахождение на услугите, които могат да се използват за проверка на тази валидност;
когато данните за създаване на електронен печат, свързани с данните за валидиране на електронен печат, се намират в устройство за създаване на квалифициран електронен печат, това съответно се указва най-малко във форма, подходяща за автоматизирана обработка.
ПРИЛОЖЕНИЕ IV
ИЗИСКВАНИЯ КЪМ КВАЛИФИЦИРАНИТЕ УДОСТОВЕРЕНИЯ ЗА АВТЕНТИЧНОСТ НА УЕБСАЙТОВЕ
Квалифицираните удостоверения за автентичност на уебсайтове съдържат:
указание най-малко във форма, подходяща за автоматизирана обработка, че удостоверението е издадено като квалифицирано удостоверение за автентичност на уебсайтове;
набор от данни, които еднозначно представляват издалия квалифицираното удостоверение доставчик на квалифицирани удостоверителни услуги, като наборът включва най-малко държавата членка по установяване на доставчика, и:
за физически лица: най-малко името на лицето, на което е издадено удостоверението, или псевдоним; ако се използва псевдоним, това трябва да е ясно указано;
за юридически лица: уникален набор от данни, които недвусмислено посочват юридическото лице, на което е издадено удостоверението, най-малко наименованието на юридическото лице, на което е издадено удостоверението, и когато е приложимо, регистрационния номер, посочен в официалните регистри;
елементи на адреса, включително най-малко град и държава, на физическото или юридическото лице, на което е издадено удостоверението, и ако е приложимо — регистрационния номер според официалните регистри;
наименованието на домейна или наименованията на домейните, поддържани от физическото или юридическото лице, на което е издадено удостоверението;
информация за началото и края на срока на валидност на удостоверението;
идентификационен код на удостоверението, който е уникален за доставчика на квалифицирани удостоверителни услуги;
усъвършенстван електронен подпис или усъвършенстван електронен печат на издаващия доставчик на квалифицирани удостоверителни услуги;
място, където удостоверението, което поддържа усъвършенствания електронен подпис или усъвършенствания електронен печат, посочени в буква з), е на разположение безплатно;
информация за валидността на квалифицираното удостоверение или местонахождение на услугите за състоянието на валидност на удостоверението, които могат да се използват за проверка на тази валидност.
ПРИЛОЖЕНИЕ V
ИЗИСКВАНИЯ КЪМ КВАЛИФИЦИРАНОТО ЕЛЕКТРОННО УДОСТОВЕРЕНИЕ ЗА АТРИБУТИ
Квалифицираното електронно удостоверение за атрибути съдържа:
указание, поне във форма, подходяща за автоматизирана обработка, че удостоверението е издадено като квалифицирано електронно удостоверение за атрибути;
набор от данни, които недвусмислено посочват доставчика на квалифицирани удостоверителни услуги, издал квалифицираното електронно удостоверение за атрибути, като наборът включва най-малко държавата членка по установяване на доставчика, и:
за юридическо лице: наименованието и ако е приложимо, регистрационния номер според официалните регистри,
за физическо лице: името на лицето;
набор от данни, които недвусмислено посочват субекта, за който се отнасят удостоверените атрибути; ако се използва псевдоним, това трябва да е ясно указано;
удостоверените атрибути, включително, когато е приложимо, информацията, необходима за определяне на обхвата на тези атрибути;
информация за началото и края на срока на валидност на удостоверението;
идентификационния код на удостоверението, който трябва да бъде уникален за конкретния доставчик на квалифицирани удостоверителни услуги, и ако е приложимо — схемата за удостоверяване, към която принадлежи това удостоверение за атрибути;
квалифицирания електронен подпис или квалифицирания електронен печат на издаващия доставчик на квалифицирани удостоверителни услуги;
мястото, където може да се получи безплатно удостоверението, посочено в буква ж), което е в основата на квалифицирания електронен подпис или квалифицирания електронен печат;
информация за валидността на квалифицираното удостоверение или местонахождение на услугите, които могат да се използват за проверка на тази валидност.
ПРИЛОЖЕНИЕ VI
МИНИМАЛЕН СПИСЪК С АТРИБУТИ
Съгласно член 45д държавите членки гарантират, че са взети мерки, за да могат доставчиците на квалифицирани удостоверителни услуги на електронни удостоверения за атрибути да проверяват по електронен път и по искане на ползвателя, непосредствено в съответния автентичен източник на национално равнище или посредством определени и признати на национално равнище посредници, автентичността на следните данни в съответствие с правото на Съюза или с националното право, когато тези данни се основават на автентични източници в публичния сектор:
адрес;
възраст;
пол;
семейно положение;
състав на семейството;
националност или гражданство;
образователни квалификации, звания и лицензи;
професионални квалификации, звания и лицензи;
Правомощия и пълномощия за представителство на физически или юридически лица
публични разрешения и лицензи;
За юридически лица — финансови и фирмени данни.
ПРИЛОЖЕНИЕ VII
ИЗИСКВАНИЯ ЗА ЕЛЕКТРОННО УДОСТОВЕРЕНИЕ ЗА АТРИБУТИ, ИЗДАДЕНИ ОТ ПУБЛИЧЕН ОРГАН, ОТГОВАРЯЩ ЗА АВТЕНТИЧЕН ИЗТОЧНИК, ИЛИ ОТ ИМЕТО НА ТАКЪВ ПУБЛИЧЕН ОРГАН
Електронното удостоверение за атрибути, издадено от публичен орган, отговарящ за автентичен източник, или от името на такъв публичен орган, съдържа:
указание, най-малкото във форма, подходяща за автоматизирана обработка, че удостоверението е издадено като електронно удостоверение за атрибути, издадено от публичен орган, отговарящ за автентичен източник, или от името на такъв публичен орган;
набор от данни, недвусмислено представляващи публичния орган, издаващ електронното удостоверение за атрибути, включващ най-малко държавата членка, в която е установен този публичен орган, неговото наименование и, когато е приложимо, неговия регистрационен номер, както са посочени в официалните регистри;
набор от данни, които недвусмислено посочват субекта, за който се отнасят удостоверените атрибути; ако се използва псевдоним, това трябва да е ясно указано;
удостоверените атрибути, включително, когато е приложимо, информацията, необходима за определяне на обхвата на тези атрибути;
информация за началото и края на срока на валидност на удостоверението;
идентификационния код на удостоверението, който трябва да бъде уникален за публичен орган, и ако е приложимо — схемата за удостоверяване, към която принадлежи това удостоверение за атрибути;
квалифицирания електронен подпис или квалифицирания електронен печат на издаващия орган;
мястото, където може да се получи безплатно удостоверението, посочено в буква ж), което е в основата на квалифицирания електронен подпис или квалифицирания електронен печат;
информация за валидността на удостоверението или местонахождение на услугите, които могат да се използват за проверка на тази валидност.
( 1 ) Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1).
( 2 ) Директива 2014/24/ЕС на Европейския парламент и на Съвета от 26 февруари 2014 г. относно възлагането на обществени поръчки и за отмяна на Директива 2004/18/ЕО (ОВ L 94, 28.3.2014 г., стр. 65).
( 3 ) Директива (ЕС) 2019/882 на Европейския парламент и на Съвета от 17 април 2019 г. за изискванията за достъпност на продукти и услуги (OB L 151, 7.6.2019 г., стр. 70).
( 4 ) Регламент (ЕС) 2019/881 на Европейския парламент и на Съвета от 17 април 2019 г. относно ENISA (Агенцията на Европейския съюз за киберсигурност) и сертифицирането на киберсигурността на информационните и комуникационните технологии, както и за отмяна на Регламент (ЕС) № 526/2013 (Акт за киберсигурността) (ОВ L 151, 7.6.2019 г., стр. 15).
( 5 ) Препоръка 2003/361/ЕО на Комисията от 6 май 2003 г. относно определението за микро-, малки и средни предприятия (ОВ L 124, 20.5.2003 г., стр. 36).
( 6 ) Регламент (ЕС) 2022/2065 на Европейския парламент и на Съвета от 19 октомври 2022 г. относно единния пазар на цифрови услуги и за изменение на Директива 2000/31/ЕО (Акт за цифровите услуги) (ОВ L 277, 27.10.2022 г., стр. 1).
( 7 ) Регламент (ЕС) 2022/1925 на Европейския парламент и на Съвета от 14 септември 2022 г. за достъпни и справедливи пазари в цифровия сектор и за изменение на директиви (ЕС) 2019/1937 и (ЕС) 2020/1828 (Акт за цифровите пазари) (ОВ L 265, 12.10.2022 г., стр. 1).
( 8 ) Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета от 14 декември 2022 г. относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива МИС 2) (ОВ L 333, 27.12.2022 г., стр. 80).