13/ 28

BG

Официален вестник на Европейския съюз

120


31999L0093


L 013/12

ОФИЦИАЛЕН ВЕСТНИК НА ЕВРОПЕЙСКИЯ СЪЮЗ


ДИРЕКТИВА 1999/93/ЕО НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА

от 13 декември 1999 година

относно правната рамка на Общността за електронните подписи

ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взеха предвид Договора за създаване на Европейската общност, и по-специално член 47, параграф 2, и членове 55 и 95 от него,

като взеха предвид предложението на Комисията (1),

като взеха предвид становището на Икономическия и социален комитет (2),

като взеха предвид становището на Комитета на регионите (3),

в съответствие с процедурата, предвидена в член 251 от Договора (4)

като имат предвид, че:

(1)

На 16 април 1997 г. Комисията представи на Европейския парламент, на Съвета, на Икономическия и социален комитет и на Комитета на регионите съобщение за европейската инициатива в областта на електронната търговия.

(2)

На 8 октомври 1997 г. Комисията представи пред Европейския парламент, Съвета, Икономическия и социален комитет и Комитета на регионите, съобщение за гарантиране на сигурността и доверието в електронните комуникации — към европейска рамка за електронни подписи и кодиране.

(3)

На 1 декември 1997 г. Съветът покани Комисията да представи, възможно най-бързо, предложение за Директива на Европейския парламент и на Съвета относно електронните подписи.

(4)

Електронните комуникации и търговия налагат „електронните подписи“ и свързаните с тях услуги относно удостоверяване на данни; различаващите се правила по отношение на правното признаване на електронните подписи и акредитацията на доставчици на удостоверителни услуги в държавите-членки могат да бъдат значителна пречка за използването на електронните комуникации и електронната търговия; от друга страна, ясна рамка на Общността относно условията, по отношение на електронните подписи, ще засили доверието в новите технологии и ще стимулира общото им приемане; законодателството в държавите-членки следва да не затруднява свободното движение на стоки и услуги на вътрешния пазар.

(5)

Следва да се насърчава вътрешната функционалност на продуктите за електронни подписи; в съответствие с член 14 от Договора, вътрешният пазар представлява обща зона без вътрешни граници, в рамките на която е гарантирано свободното движение на стоки; трябва се спазват основните изисквания, специфични за продуктите за електронен подпис, с цел да се гарантира свободното движение в рамките на вътрешния пазар и да се изгради доверие в електронните подписи, без да се накърнява Регламент (ЕО) № 3381/94 на Съвета от 19 декември 1994 г., с който се определя режимът в Общността за контрол на износа на стоки с двойна употреба (5) и Решение 94/942/ОВППС на Съвета от 19 декември 1994 г. относно съвместните действия, предприети от Съвета по отношение на контрола върху износа на стоки с двойна употреба (6).

(6)

Настоящата директива не хармонизира предоставянето на услуги по отношение поверителността на информацията, когато те са обект на национални разпоредби, отнасящи се до обществената политика или обществената сигурност.

(7)

Вътрешният пазар гарантира свободно движение на хора, в резултат на което на гражданите и на пребиваващите в Европейския съюз все повече се налага да имат взаимоотношения с властите в държавите-членки, освен тези, в които те пребивават; наличието на електронни комуникации може да бъде от значителна полза в това отношение.

(8)

Бързото технологично развитие и международния характер на Интернет налагат един подход, отворен към различни технологии и услуги, които дават възможност за удостоверяване на данни по електронен път.

(9)

Електронните подписи ще имат широко приложение при различни обстоятелства, което ще доведе до създаване на широк диапазон от нови услуги и продукти, свързани с или използващи електронните подписи; определянето на такива продукти и услуги следва да не бъде ограничено до издаването и управлението на удостоверения, но следва също да включва всякакви други услуги и продукти, използващи електронните подписи или сродни услуги, като например регистрационни услуги, услуги за отбелязване на времето, справочни услуги, изчислителни или консултантски услуги, свързани с електронните подписи.

(10)

Вътрешният пазар дава възможност на доставчиците на удостоверителни услуги да разработят своите презгранични дейности, с оглед нарастването на тяхната конкурентоспособност, като по този начин предоставят на потребителите и предприятията нови възможности за обмен на информация и извършване на електронна търговия по сигурен начин, независимо от границите; за да се стимулира предоставянето на услуги за издаване на удостоверения в рамките на цялата Общност посредством открити мрежи, доставчиците на удостоверителни услуги следва да бъдат свободни да предоставят своите услуги без предварително разрешение; предварително разрешение означава не само разрешение, на основата на което на въпросният доставчик на удостоверителна услуга следва да бъде издадено решение от националните органи, преди да му бъде позволено да предоставя своите удостоверителни услуги, но също така и други мерки, имащи същия ефект.

(11)

Организациите за доброволна акредитация, с цел постигане на по-високо ниво на предоставяните от тях удостоверителни услуги, могат да предложат на доставчиците на удостоверителни услуги, подходяща рамка за по-нататъшно развитие на техните услуги до степен на доверие, сигурност и качество, изисквани от развиващия се пазар; подобни организации следва да насърчават развитието на най-добрите постижения сред доставчиците на удостоверителни услуги; последните следва да имат свободата да спазват и да се възползват от подобна схема за акредитация.

(12)

Удостоверителни услуги могат да бъдат предложени от обществена институция, или от юридическо или физическо лице, когато то е установено в съответствие с националното законодателство; като има предвид, че държавите-членки следва да не забраняват на доставчиците на удостоверителни услуги да действат извън схема за доброволна акредитация; следва да бъде гарантирано, че подобен схема за акредитация не намалява конкуренцията за услуги за издаване на удостоверения.

(13)

Държавите-членки могат да решат как да гарантират контрола по отношение на спазването на разпоредбите, предвидени в настоящата директива; настоящата директива не изключва установяването на системи за контрол в частния сектор; настоящата директива не задължава доставчиците на удостоверителни услуги да поискат да бъдат контролирани в рамките на схема за акредитация.

(14)

Важно е да бъде постигнат баланс между нуждите на потребителите и нуждите на бизнеса.

(15)

Приложение III обхваща изискванията за устройства за създаване на защитени подписи, които да гарантират функционалността на усъвършенстваните електронни подписи; той не обхваща цялата системна среда, в която действат тези устройства; функционирането на вътрешния пазар изисква от Комисията и от държавите-членки да действат бързо, за да дадат възможност да се определят органите, на които е възложено да оценяват доколко устройствата за създаване на защитени подписи съответстват на приложение III; с цел да бъдат посрещнати нуждите на пазара, оценката на съответствието трябва да бъде своевременна и ефективна.

(16)

Настоящата директива допринася за използването и правното признаване на електронните подписи в рамките на Общността; не се изисква регулаторна рамка за електронните подписи, използвани изключително в рамките на системите, които са основани на доброволно договаряне по силата на частното право между определен брой участници; свободата на страните да се договарят помежду си относно условията, при които те ще приемат електронно подписани данни, следва да бъде уважавано, доколкото това е позволено от националното законодателство; правната сила на електронните подписи, използвани в такива системи и тяхната допустимост като доказателствени средства при съдебно производство, следва да бъдат признати.

(17)

Настоящата директива няма за цел да хармонизира националните правила относно договорното право, и по-специално сключването и изпълнението на договори, или други формалности от недоговорно естество, касаещи подписите; поради тази причина разпоредбите относно правната сила на електронните подписи, следва да не засягат изискванията на националното право относно формата за сключване на договори или правила, определящи кога е сключен договора.

(18)

Съхранението и копирането на данни за създаване на подпис може да представлява заплаха за правната валидност на електронните подписи.

(19)

Електронните подписи ще бъдат използвани в публичния сектор в държавните администрации и тези на Общността и при комуникации между такива администрации, както и с гражданите и стопански субекти, например при обществените поръчки, данъчното облагане, социалното осигуряване, здравеопазването и правосъдието.

(20)

Хармонизираните критерии, свързани с правната сила на електронните подписи ще запазят съгласувана правна рамка за цялата Общност, националният закон установява различните изисквания за правната валидност на саморъчния подпис; като имат предвид, че удостоверенията могат да бъдат използвани за потвърждаване на самоличността на лицето, подписващо по електронен път; усъвършенстваните електронни подписи, основани на квалифицирани удостоверения имат за цел по-висока степен на сигурност; усъвършенстваните електронни подписи, които са основани на квалифицирани удостоверения, създадени от устройства за създаване на защитени подписи, могат да бъдат считани за правно равностойни на ръчните подписи само ако са спазени изискванията за саморъчните подписи.

(21)

С цел да се допринесе за общото приемане на методите за електронно удостоверяване трябва да бъде гарантирано, че електронните подписи могат да бъдат използвани като доказателствено средство при съдебни производства във всички държави-членки; правното признаване на електронните подписи следва да се базира на обективни критерии, а не да се свързва с разрешаването на доставчиците на удостоверителни услуги; националното законодателство урежда правните области, в които могат да бъдат използвани електронните документи и електронните подписи; настоящата директива не накърнява правомощията на национален съд да издаде решение относно съответствието с изискванията на настоящата директива и не засяга националните правила относно липсата на ограничения при съдебно разглеждане на доказателствата.

(22)

Доставчиците, предоставящи удостоверителни услуги на обществото се подчиняват на национални правила по отношение на отговорността.

(23)

Развитието на международната електронна търговия изисква международни договорености, ангажиращи трети страни; с цел да гарантира вътрешното взаимодействие в международен аспект, споразуменията с трети страни могат да бъдат от полза за многостранни правила относно взаимното признаване на удостоверителните услуги.

(24)

За да се повиши доверието на потребителите в електронните комуникации и електронната търговия, доставчиците на удостоверителни услуги трябва да спазват законодателството в областта на защита на личните данни и правото на личен живот.

(25)

Разпоредбите относно използването на псевдоними в удостоверенията следва да не възпрепятстват държавите-членки да изискват идентификация на лицата в съответствие със законодателството на Общността или националното законодателство.

(26)

Мерките, необходими за прилагането на настоящата директива се приемат в съответствие с Решение 1999/468/ЕО на Съвета от 28 юни 1999 г. за определяне на процедурите за упражняване на измълнителните правомощия по прилага нето, предоставени на Комисията (7).

(27)

Две години след нейното прилагане, Комисията ще направи преглед на настоящата директива за да гарантира inter alia че напредването на технологиите или промените в правната обстановка не са създали пречки пред постигането на целите, постановени в настоящата директива; тя следва да проучи приложенията на свързаните с нея технически аспекти и да представи доклад по този въпрос пред Европейския парламент и Съвета.

(28)

В съответствие с принципите на субсидиарност и пропорционалност, определени в член 5 от Договора, целта за създаване на хармонизирана правна рамка за предоставяне на електронни подписи и свързаните с това услуги, не може да бъде ефективно постигната от държавите-членки и следователно може да бъде много по-добре осъществена от Общността; настоящата директива не надвишава необходимото за постигане на тази цел,

ПРИЕХА НАСТОЯЩАТА ДИРЕКТИВА:

Член 1

Обхват

Целта на настоящата директива е да улесни използването на електронни подписи и да спомогне за тяхното правно признаване. Тя установява правна рамка за електронните подписи и определени услуги за издаване на удостоверения, с цел да гарантира успешното функциониране на вътрешния пазар.

Тя не обхваща аспектите, свързани със сключването и валидността на договорите или други правни задължения, при които има изисквания относно формата, предвидени в националното законодателство или в законодателството на Общността, нито засяга правилата и ограниченията в националното законодателство или това на Общността, уреждащи използването на документи.

Член 2

Определения

За целите на настоящата директива:

1.

„електронен подпис“ означава данни в електронна форма, които се добавят към или са логически свързани с други електронни данни, и които се използват като метод за удостоверяване;

2.

„усъвършенстван електронен подпис“ означава електронен подпис, който отговаря на следните изисквания:

а)

той е свързан единствено с титуляра на подписа;

б)

той може да идентифицира титуляра на подписа;

в)

той е създаден чрез използването на средства, които титулярът на електронния подпис може да държи изцяло и единствено под свой контрол; и

г)

той е свързан с данните, за които се отнася по начин, позволяващ да бъде открита всяка последваща промяна в тях.

3.

„титуляр на електронния подпис“ означава лице, което притежава устройство за създаване на подписи и действа или от свое собствено име или от името на физическото или юридическо лице или организация, която представлява;

4.

„данни за създаването на подпис“ означава уникални данни като кодове или частни криптографски ключове, които се използват от титуляра на подписа за създаването на електронен подпис;

5.

„устройство за създаване на подпис“ означава конфигуриран софтуер или хардуер, използван за въвеждане на данните за създаване на подпис;

6.

„устройство за създаване на защитен подпис“ означава устройство за създаване на подпис, който отговаря на изискванията, установени в приложение III;

7.

„данни за проверка на подписа“ означава данни като кодове или публични криптографски ключове, които се използват за проверка на електронния подпис;

8.

„устройство за проверка на подписа“ означава конфигуриран софтуер или хардуер, използван за въвеждането на данните за проверка на подписа;

9.

„удостоверение“ означава електронна атестация, която свързва данните за проверка на подписа с дадено лице и потвърждава самоличността на това лице;

10.

„квалифицирано удостоверение“ означава удостоверение, което отговаря на изискванията, установени в приложение I и се издава от доставчика на удостоверителни услуги, който отговаря на изискванията, определени в приложение II;

11.

„доставчик на удостоверителни услуги“ означава организация, юридическо или физическо лице, което издава удостоверения или предоставя други услуги, свързани с електронните подписи;

12.

„продукт за електронен подпис“ означава хардуер или софтуер, или съответни компоненти от същия, които са предвидени за използване от доставчика на удостоверителни услуги за предоставянето на услуги, свързани с електронните подписи или са предвидени да бъдат използвани за създаването на или проверката на електронни подписи;

13.

„доброволна акредитация“ означава всяко разрешение, с което се определят права и задължения, специално отнасящи се за предоставянето на удостоверителни услуги, които се дават по искане на съответния доставчик на удостоверителни услуги, от обществен или частен орган, на който е възложено разработването и надзора за спазването на тези права и задължения, когато доставчика на удостоверителни услуги няма право да упражнява правата, произтичащи от разрешението докато не е получил решението на този орган.

Член 3

Пазарен достъп

1.   Държавите-членки не включват предоставянето на удостоверителни услуги като обект на предварително разрешаване.

2.   Без да се засяга разпоредбите на параграф 1, държавите-членки могат да въведат или да поддържат схеми за доброволно акредитиране, имащи за цел по-високи нива на предоставяне на удостоверителни услуги. Всички условия, свързани с подобни схеми, трябва да бъдат обективни, прозрачни, пропорционални и не дискриминационни. Държавите-членки не могат да ограничават броя на акредитираните доставчици на удостоверителни услуги по причини, които попадат в обхвата на настоящата директива.

3.   Всяка държава-членка гарантира установяването на подходяща система, която да позволява надзор върху установените на нейната територия доставчици на удостоверителни услуги и издава квалифицирани удостоверения на обществеността.

4.   Съответствието на механизмите за създаване на защитен подпис с изискванията, определени в приложение III, се определя от подходящите обществени и частни органи, определени от държавите-членки. В съответствие с процедурата, установена в член 9, Комисията установява критериите, на база на които държавите-членки решават дали даден орган следва да бъде определен.

Определянето на съответствието с изискванията, определени в приложение III направено от органите посочени в първа алинея, е признато от всички държави-членки.

5.   Комисията може, в съответствие с процедурите, определени в член 9, да изготви и публикува в Официален вестник на Европейските общности, референтните номера на общоприетите стандарти за продукти за електронен подпис. Държавите-членки приемат, че когато продуктът за електронен подпис отговаря на тези стандарти, има съответствие с изискванията, установени в приложение II, буква е) и приложение III.

6.   Държавите-членки и Комисията работят заедно за насърчаване на развитието и употребата на устройства за проверка на подписи с оглед на препоръките за проверка на защитени подписи, определени в приложение IV и в полза на потребителите.

7.   Държавите-членки могат да поставят допълнителни изисквания към използването на електронните подписи в обществения сектор. Такива изисквания са обективни, прозрачни, пропорционални и недискриминационни и са свързани само с конкретните характеристики на въпросното приложение. Такива изисквания не могат да представляват пречка за презграничните услуги за граждани.

Член 4

Принципи на вътрешния пазар

1.   Всяка държава-членка прилага националните разпоредби, които е приела съгласно настоящата директива по отношение на доставчиците на удостоверителни услуги, установени на нейната територия и относно услугите, които те предоставят. Държавите-членки не могат да ограничават предоставянето на удостоверителни услуги, с произход от друга държава-членка в областите, предмет на настоящата директива.

2.   Държавите-членки гарантират, че продуктите за електронен подпис, които отговарят на изискванията на настоящата директива, са разрешени за свободно движение на вътрешния пазар.

Член 5

Правна сила на електронните подписи

1.   Държавите-членки гарантират, че усъвършенстваните електронни подписи, които се основават на квалифицирано удостоверение и които са създадени от устройство за създаване на защитени електронни подписи:

а)

отговарят на правните изисквания за подпис по отношение на данните в електронна форма по същия начин както и ръчния подпис отговаря на тези изисквания по отношение на документите на хартиен носител; и

б)

са допустимо доказателство при съдебни производства.

2.   Държавите-членки гарантират, че правната сила и допустимост на електронния подпис като доказателство при съдебни производства не може да бъде оспорена единствено на основанието, че той е:

в електронна форма, или

не се основава на квалифицирано удостоверение, или

не се основава на квалифицирано удостоверение, издадено от акредитиран доставчик на удостоверителни услуги, или

не е създаден от устройство за създаване на защитени подписи.

Член 6

Отговорност

1.   Като минимум, държавите-членки гарантират, че с издаването на удостоверение, като квалифицирано удостоверение за обществеността, или като гарантира такова удостоверение за обществеността, доставчикът на удостоверителни услуги носи отговорност за вреди, причинени на организация, юридическо или физическо лице, което основателно разчита на това удостоверение:

а)

по отношение на точността по времето на издаването му, на цялата информация, съдържаща се в квалифицираното удостоверение и по отношение на факта, че удостоверението съдържа всички подробности, предвидени за квалифицирано удостоверение;

б)

като уверение, че по време на издаването на удостоверения, титулярът на подписа, идентифициран в квалифицираното удостоверение е притежавал данните за създаване на подпис, отговарящи на данните за проверка на подписа, дадени или идентифицирани в удостоверения;

в)

като уверение, че данните за създаване на подпис и данните за проверка на подписа могат да бъдат използвани по начин, който се допълва в случаите, когато и двете са създадени от доставчика на удостоверителни услуги;

освен ако доставчикът на удостоверителни услуги докаже, че той не е действал небрежно.

2.   Като минимум, държавите-членки гарантират, че доставчикът на удостоверителни услуги, който е издал удостоверение като квалифицирано удостоверение за обществеността и не е регистрирал отмяната му, носи отговорност за вреди, причинени на организация, юридическо или физическо лице, което основателно разчита на удостоверението, освен ако докаже, че не е действал небрежно.

3.   Държавите-членки гарантират, че доставчикът на удостоверителни услуги може да посочи в квалифицирано удостоверение ограниченията по отношение на използването на това удостоверение, при условие че ограниченията се признават по отношение на трети страни. Доставчикът на удостоверителни услуги не носи отговорност за вреди, произтичащи от използването на квалифицирано удостоверение, които превишават ограниченията, посочени в него.

4.   Държавите-членки гарантират, че доставчикът на удостоверителни услуги може да укаже, в квалифицирано удостоверение, ограничение за стойността на сделките, за които може да бъде използвано удостоверение, при условие че ограничението се признава по отношение на трети страни.

Доставчикът на удостоверителни услуги не носи отговорност за вреди, произтичащи от превишаването на това ограничение.

5.   Разпоредбите на параграфи 1—4 не накърняват Директива 93/13/ЕИО на Съвета от 5 април 1993 г. относно неравноправни клаузи в потребителските договори (8).

Член 7

Международни аспекти

1.   Държавите-членки гарантират, че удостоверенията, които са издадени като квалифицирани удостоверения за обществеността от доставчици на удостоверителни услуги, установени в трети страни, се признават като юридически равностойни на удостоверения, издадени от доставчици на удостоверителни услуги, установени на територията на Общността ако:

а)

доставчикът на удостоверителни услуги изпълнява изискванията, установени в настоящата директива и е акредитиран по схема за доброволна акредитация, установена в държава-членка; или

б)

доставчикът на удостоверителни услуги, установен в рамките на Общността, който изпълнява изискванията, определени в настоящата директива, дава гаранция за удостоверения; или

в)

удостоверението или доставчикът на удостоверителни услуги е признат в съответствие с двустранно или многостранно споразумение между Общността и трети страни или международни организации.

2.   За да улесни презграничните удостоверителни услуги с трети страни и правното признаване на усъвършенстваните електронни подписи с произход от трети страни, Комисията прави предложения, когато е необходимо, за постигане на ефективно прилагане на стандартите и международните споразумения, приложими към удостоверителни услуги. И по-специално, когато е необходимо, тя ще представи предложения пред Съвета за подходящи мандати за преговаряне по двустранни и многостранни споразумения с трети страни и международни организации. Съветът взема решение с квалифицирано мнозинство.

3.   Когато Комисията бъде информирана за трудности, с които предприятия в Общността са се сблъскали по отношение на достъпа до пазари в трети страни, тя може, ако е необходимо, да направи предложение пред Съвета за подходящ мандат за преговори по сходни права за предприятия от Общността в тези трети страни. Съветът взема решение с квалифицирано мнозинство.

Мерките, предприети съгласно настоящия параграф, не засягат задълженията на Общността и на държавите-членки по съответните международни споразумения.

Член 8

Защита на личните данни

1.   Държавите-членки гарантират, че доставчиците на удостоверителни услуги и националните органи, отговарящи за акредитация или надзор, спазват изискванията, установени в Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. относно защитата на физическите лица при обработването на лични данни и за свободното движение на тези данни (9).

2.   Държавите-членки гарантират, че доставчикът на удостоверителни услуги, който издава удостоверения на обществеността, може да събира лични данни само директно от субекта на данните или след изричното разрешение на субекта на данни и само доколкото това е необходимо за издаването и поддържането на удостоверения. Данните не могат да се събират и обработват с друга цел без изричното съгласие на субекта на данните.

3.   Без да се засяга правната сила, дадена на псевдонимите по силата на националния закон, държавите-членки не възпрепятстват доставчиците на удостоверителни услуги да посочват в удостоверението псевдоним, вместо името на титуляра на подписа.

Член 9

Комитет

1.   Комисията се подпомага от „Комитет по електронните подписи“, наричан по-долу „Комитетът“.

2.   Когато се прави позоваване на този параграф, се прилагат членове 4 и 7 от Решение 1999/468/ЕO, като се вземат предвид разпоредбите на член 8 от него.

Периодът, определен в член 4, параграф 3 от Решение 1999/468/ЕО, се определя на три месеца.

3.   Комитетът приема свой процедурен правилник.

Член 10

Задачи на комитета

Комитетът изяснява изискванията, определените в приложенията към настоящата директива, критерии, посочени в член 3, параграф 4 и общопризнатите стандарти за продукти за електронен подпис, установени и публикувани в съответствие с член 3, параграф 5, в съответствие с процедурата, установена в член 9, параграф 2.

Член 11

Нотифициране

1.   Държавите-членки нотифицират Комисията и другите държави-членки относно следното:

а)

информация за националните схеми за доброволна акредитация, включително и всякакви допълнителни изисквания съгласно член 3, параграф 7;

б)

имената и адресите на националните органи, отговарящи за акредитация и надзор, както и на органите, посочени в член 3, параграф 4;

в)

имената и адресите на всички акредитирани национални доставчици на удостоверителни услуги.

2.   Всяка информация, предоставена съгласно параграф 1 и промените по отношение на тази информация се съобщава от държавите-членки в най-кратък срок.

Член 12

Преглед

1.   Комисията ще прегледа действието на настоящата директива и ще докладва за нея на Европейския парламент и на Съвета най-късно до 19 юли 2003 г.

2.   Прегледът inter alia оценява дали следва да бъде променен обхватът на настоящата директива, отчитайки развитието на технологиите, пазара и правото. Докладът включва, по-специално, оценка на аспектите на хармонизирането, изготвена на базата на придобития опит. Когато е необходимо, докладът се придружава от законодателни предложения.

Член 13

Прилагане

1.   Държавите-членки въвеждат в сила необходимите законови, подзаконови и административни разпоредби, за да се съобразят с настоящата директива преди 19 юли 2001 г. Те незабавно информират Комисията за това.

Когато държавите-членки приемат тези мерки, в тях се съдържа позоваване на настоящата директива или то се извършва при официалното им публикуване. Условията и редът на позоваване се определят от държавите-членки.

2.   Държавите-членки съобщават на Комисията текста на основните разпоредби от националното законодателство, които те приемат в областта, уредена с настоящата директива.

Член 14

Влизане в сила

Настоящата директива влиза в сила в деня на публикуването ѝ в Официален вестник на Европейските общности.

Член 15

Адресати

Адресати на настоящата директива са държавите-членки.

Съставено в Брюксел на 13 декември 1999 година.

За Европейския парламент

Председател

N. FONTAINE

За Съвета

Председател

S. HASSI


(1)  ОВ C 325, 23.10.1998 г., стр. 5.

(2)  ОВ С 40, 15.2.1999 г., стр. 29.

(3)  ОВ С 93, 6.4.1999 г., стр. 33.

(4)  Становище на Европейския парламент от 13 януари 1999 г. (ОВ С 104, 14.4.1999 г., стр. 49)., Обща позиция на Съвета от 28 юни 1999 г. (ОВ С 243, 27.8.1999 г., стр. 33) и Решение на Европейския парламент от 27 октомври 1999 г. (все още непубликувано в Официален вестник). Решение на Съвета от 30 ноември 1999 г.

(5)  ОВ L 367, 31.12.1994 г., стр. 1. Регламент, изменен с Регламент (ЕО) № 837/95 (ОВ L 90, 21.4.1995 г., стр. 1).

(6)  ОВ L 367, 31.12.1994 г., стр. 8. Решение, последно изменено с Решение 99/193/ОВППС (ОВ L 73, 19.3.1999 г., стр. 1).

(7)  ОВ L 184, 17.7.1999 г., стр. 23.

(8)  ОВ L 95, 21.4.1993 г., стр. 29.

(9)  ОВ L 281, 23.11.1995 г., стр. 31.


ПРИЛОЖЕНИЕ I

Изисквания за квалифицирани удостоверения

Квалифицираните удостоверения трябва да съдържат:

а)

указание, че удостоверението е издадено като квалифицирано удостоверение;

б)

идентификацията на доставчика на удостоверителни услуги и държавата, в която същият е установен;

в)

името на титуляра на подписа или псевдоним, който се идентифицира като такъв;

г)

осигуряване на специфична характеристика на титуляра на подписа, която се включва, ако е необходимо, в зависимост от целта, за която е предназначено удостоверение;

д)

данни за проверка на подписа, които отговарят на данните за създаването на подписа под контрола на титуляра на подписа;

е)

указание за началото и края на периода на валидност на удостоверение;

ж)

код за идентичността на удостоверения;

з)

усъвършенствания електронен подпис на доставчика на удостоверителни услуги, който го издава;

и)

ограниченията за възможностите за използване на удостоверение, ако е приложимо; и

й)

ограничения на стойността на сделките, за които може да се използва удостоверение, ако е приложимо.


ПРИЛОЖЕНИЕ II

Изисквания за доставчика на удостоверителни услуги, издаващ квалифицирани удостоверения

Доставчиците на удостоверителни услуги трябва:

а)

да демонстрират надеждността, необходима за предоставянето на удостоверителни услуги;

б)

да гарантират, че функционирането на бърз и сигурен указател и сигурна и незабавна услуга за анулиране;

в)

да гарантират, че датата и часът на издаването или анулирането на удостоверение, могат да бъдат точно определени;

г)

да проверят, с подходящи средства в съответствие с националното законодателство, самоличността и ако е приложимо, всякакви специфични данни за лицето, на което се издава квалифицираното удостоверение;

д)

да наемат персонал, който притежава експертни знания, опит и квалификация, необходими за предоставяните услуги, и по-специално компетентност на управленско ниво, опит и знания в областта на технологията на електронния подпис и познаване на правилните процедури за сигурност; те също трябва да прилагат административни и управленски процедури, които са подходящи и отговарят на признатите стандарти;

е)

да използват надеждни системи и продукти, които са защитени срещу промяна и да осигурят техническата и криптографска сигурност на процеса, поддържан от тях;

ж)

да вземат мерки срещу фалшифициране на удостоверения и в случаите, където доставчикът на удостоверителни услуги предоставя данни за създаване на подпис, да гарантират поверителността по време на процеса на предоставяне на подобни данни;

з)

да поддържат достатъчно финансови ресурси, за да функционират в съответствие с изискванията, установени в директивата, и по-специално да поемат риска от отговорност за вреди, например, чрез получаване на подходяща застраховка;

и)

да записват цялата информация, касаеща квалифицираното удостоверение, за подходящ период от време, и по-специално с оглед предоставяне на доказателство за издадено удостоверение за целите на съдебните производства. Подобни записи могат да бъдат направени по електронен път;

й)

да не съхраняват или копират данни за създаване на подпис на лицето, на което доставчикът на удостоверителни услуги е предоставил услуги за управление на ключа;

к)

преди да влязат в договорно отношение с лице, което иска да получи удостоверение, за да поддържа електронния си подпис, те трябва да информират това лице с трайни съобщителни средства за точните срокове и условия във връзка с използването на удостоверение, включително за всякакво ограничение за неговото използване, за съществуването на организация за доброволна акредитация и за процедурите за подаване на жалби и разрешаване на спорове. Такава информация, която може да бъде предадена по електронен път, трябва да бъде в писмена форма и на лесно разбираем език. Съответни части от тази информация трябва също да бъдат предоставени при поискване на трети лица, които разчитат на удостоверения;

л)

да използват надеждни системи за съхранение на удостоверения във вид, позволяващ проверка, така че:

само упълномощени лица могат да въвеждат информация и да правят промени,

може да бъде проверена автентичността на информацията,

удостоверенията са публично достъпни за намиране само в случаите, когато е получено съгласието на притежателя на удостоверение и

всякакви технически промени, компрометиращи тези изисквания за сигурност са очевидни за оператора.


ПРИЛОЖЕНИЕ III

Изисквания за устройства за създаване на защитени подписи

1.

Устройствата за създаване на защитен подпис трябва, чрез подходящи технически и процедурни средства, да гарантират най-малко, че:

а)

данните за създаване на подпис, използвани за създаването на подпис могат на практика да се срещнат само веднъж и че тяхната секретност да бъде достатъчно добре гарантирана;

б)

да се гарантира в достатъчна степен, че данните за създаване на подпис, използвани за създаването на подпис не могат да бъдат извлечени и подписът е защитен срещу подправяне, като се използва наличната сега технология;

в)

данните, използвани за създаването на подпис да могат да бъдат надеждно защитени от легитимния титуляр на подписа срещу използване от други лица.

2.

Устройствата за създаване на защитен подпис не трябва да изменят данните, които ще бъдат подписвани или да възпрепятствуват преглеждането им от легитимния титуляр на подписа преди самото подписване.


ПРИЛОЖЕНИЕ IV

Препоръки за проверка на защитен подпис

По време на процеса на проверяване на подписа, следва да бъде гарантирано в достатъчна степен, че:

а)

данните, използвани за проверка на подписа съответстват на данните, показани на проверяващия;

б)

подписът се проверява надеждно и резултатите от проверката се показват на екрана правилно;

в)

проверяващият може, както е необходимо, да установи надеждно съдържанието на подписаните данни;

г)

автентичността и валидността на удостоверение, изисквано по време на проверката на подписа се проверяват надеждно;

д)

резултатите от проверката и самоличността на титуляра на електронния подпис са показани правилно на екрана;

е)

използването на псевдоним е ясно указано; и

ж)

всякакви промени, свързани със сигурността могат да бъдат открити.