28.8.2014   

BG

Официален вестник на Европейския съюз

L 257/73


РЕГЛАМЕНТ (ЕС) № 910/2014 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА

от 23 юли 2014 година

относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО

ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взеха предвид Договора за функционирането на Европейския съюз, и по-специално член 114 от него,

като взеха предвид предложението на Европейската комисия,

след предаване на проекта на законодателния акт на националните парламенти,

като взеха предвид становището на Европейския икономически и социален комитет (1),

в съответствие с обикновената законодателна процедура (2),

като имат предвид, че:

(1)

Изграждането на доверие в онлайн средата е ключов фактор за икономическото и социалното развитие. Липсата на доверие, по-конкретно поради впечатлението за липса на правна сигурност, кара потребителите, предприятията и публичните органи да се колебаят при извършването на електронни трансакции и при въвеждането на нови услуги.

(2)

Целта на настоящия регламент е да се повиши доверието в електронните трансакции на вътрешния пазар, като се предостави обща основа за надеждно взаимодействие по електронен път между гражданите, предприятията и публичните органи, чрез което ще се увеличи ефективността на обществените и частните онлайн услуги, електронния бизнес и електронната търговия в Съюза.

(3)

Директива 1999/93/ЕО на Европейския парламент и на Съвета (3) обхваща електронните подписи, но не предоставя цялостна трансгранична и междусекторна рамка за сигурни, надеждни и лесни за използване електронни трансакции. С настоящия регламент се разширяват и задълбочават достиженията на посочената директива.

(4)

В съобщението на Комисията от 26 август 2010 г., озаглавено „Програма в областта на цифровите технологии за Европа“, беше констатирано, че разпокъсаността на цифровия пазар, липсата на оперативна съвместимост и растящата киберпрестъпност са основните пречки пред навлизането на цифровата икономика в един благоприятен цикъл на развитие. В Доклада за гражданството на ЕС за 2010 г., озаглавен „Премахване на пречките за упражняване на правата на гражданите на ЕС“, Комисията подчерта също необходимостта да се разрешат основните проблеми, които възпрепятстват гражданите на Съюза да се възползват от предимствата на цифровия единен пазар и трансграничните цифрови услуги.

(5)

В заключенията си от 4 февруари 2011 г. и от 23 октомври 2011 г. Европейският съвет прикани Комисията да съдейства за изграждането на цифров единен пазар до 2015 г., да ускори напредъка в ключови области на цифровата икономика и да насърчи цялостната интеграция на цифровия единен пазар чрез улесняване на трансграничното използване на онлайн услуги, и по-специално — чрез улесняване на сигурни електронна идентификация и електронно удостоверяване на автентичност.

(6)

В заключенията си от 27 май 2011 г. Съветът прикани Комисията да допринесе към цифровия единен пазар чрез създаването на подходящи условия за взаимно трансгранично признаване на ключовите фактори, като електронна идентификация, електронни документи, електронни подписи и услуги по електронно доставяне, и за оперативно съвместими услуги на електронното управление в целия Европейски съюз

(7)

Европейският парламент в резолюцията си от 21 септември 2010 г. относно доизграждането на вътрешния пазар по отношение на електронната търговия (4) подчерта значението на сигурността на електронните услуги, и по-конкретно на електронните подписи, както и на необходимостта от създаване на публична ключова инфраструктура на общоевропейско равнище, и призова Комисията да създаде Портал на европейските заверяващи органи, за да се гарантира трансгранична оперативна съвместимост на електронните подписи и да се повиши сигурността на трансакциите, извършвани по интернет.

(8)

С Директива 2006/123/ЕО на Европейския парламент и на Съвета (5) от държавите членки се изисква да установят „звена за единичен контакт“ (ЗЕК), чрез които да се гарантира, че всички процедури и формалности, свързани с достъпа до и упражняването на дейност по предоставяне на услуги, могат да бъдат лесно изпълнени от разстояние и по електронен път чрез съответното ЗЕК и със съответните компетентни органи. При редица онлайн услуги, достъпът до които се осъществява чрез ЗЕК, се изискват електронна идентификация, електронно удостоверяване на автентичност и електронен подпис.

(9)

В повечето случаи гражданите не могат да използват своята електронна идентификация за удостоверяване на идентичността си в друга държава членка, тъй като националните схеми за електронна идентификация в тяхната държава не се признават в други държави членки. Тази електронна бариера не позволява на доставчиците на услуги да се възползват в пълна степен от преимуществата на вътрешния пазар. Взаимното признаване на средствата за електронна идентификация ще улесни трансграничното предоставяне на редица услуги на вътрешния пазар и ще спомогне предприятията да извършват трансгранична дейност, без да се сблъскват с множество пречки при взаимодействието си с публичните органи.

(10)

С Директива 2011/24/ЕС на Европейския парламент и на Съвета (6) се установява мрежа от национални органи, отговорни за електронното здравеопазване. С цел повишаване на безопасността и непрекъсваемостта на трансграничното здравно обслужване от мрежата се изисква да разработва насоки за трансграничен достъп до електронни здравни данни и услуги, включително чрез подкрепа за „общи мерки за идентифициране и удостоверяване на автентичност с цел да се улесни възможността за предаване на данни при трансгранично здравно обслужване“. Взаимното признаване на електронната идентификация и електронното удостоверяване на автентичност е ключов фактор за превръщането на трансграничното здравно обслужване на европейските граждани в реалност. Когато хората пътуват с цел лечение, достъпът до тяхната здравна документация трябва да е възможен в държавата, където се извършва лечението. Това изисква солидна, сигурна и надеждна правна рамка по отношение на електронната идентификация.

(11)

Настоящият регламент следва да се прилага в пълно съответствие с принципите, свързани със защитата на личните данни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета (7). В това отношение, предвид принципа на взаимно признаване, установен с настоящия регламент, удостоверяването на автентичност за онлайн услуга следва да засяга обработването само на тези данни за идентификация, които са подходящи, от значение и не надхвърлят необходимото за получаването на достъп до тази онлайн услуга. Освен това доставчиците на удостоверителни услуги и надзорните органи следва да съблюдават изискванията по Директива 95/46/ЕО във връзка с поверителността и сигурността на обработването.

(12)

Една от целите на настоящия регламент е да се премахнат съществуващите бариери пред трансграничната употреба на използваните в отделните държави членки средства за електронна идентификация, за да се удостовери автентичност поне за обществените услуги. С него не се цели намеса по отношение на системите за управление на електронната самоличност и свързаните с тях инфраструктури, установени в държавите членки. Целта на настоящия регламент е да се гарантира, че при достъпа до трансгранични онлайн услуги, предлагани от държавите членки, е възможно да се осъществят сигурна електронна идентификация и сигурно електронно удостоверяване на автентичност.

(13)

Държавите членки следва да запазят правото си да използват или да въвеждат, за целите на електронната идентификация, средства за достъп до онлайн услуги. Те следва също да могат да решават дали да привлекат частния сектор в предоставянето на такива средства. Държавите членки следва да не бъдат задължени да уведомяват Комисията за своите схеми за електронна идентификация. Изборът дали да уведомят Комисията за всички или за някои от използваните на национално равнище схеми за електронна идентификация при достъп най-малкото до обществени онлайн услуги или специфични услуги, или да не уведомяват за никои от тях, зависи изцяло от държавите членки.

(14)

В настоящият регламент трябва да се определят някои условия във връзка с това, кои средства за електронна идентификация трябва да се признават, както и по какъв начин следва да става уведомяването за схемите за електронна идентификация. Тези условия следва да спомогнат за изграждането на необходимото доверие между държавите членки по отношение на използваните от тях схеми за електронна идентификация, както и за взаимното признаване на средствата за електронна идентификация, попадащи в обхвата на схемите, за които е извършено уведомяване. Принципът на взаимно признаване следва да се прилага, ако схемата за електронна идентификация на уведомяващата държава членка отговаря на условията за уведомяване и уведомлението е публикувано в Официален вестник на Европейския съюз. Принципът на взаимно признаване обаче следва да се отнася единствено за удостоверяването на автентичност за онлайн услуга. Достъпът до тези онлайн услуги и окончателното им доставяне на заявителя следва да бъдат тясно обвързани с правото на получаване на такива услуги според условията, определени в националното законодателство.

(15)

Задължението за признаване на средства за електронна идентификация следва да се отнася само до тези средства, чието ниво на осигуреност на самоличността съответства или надвишава нивото, необходимо за въпросната онлайн услуга. Освен това посоченото задължение следва да се отнася само за случаите, когато въпросният орган от публичния сектор прилага ниво на осигуреност „значително“ или „високо“ по отношение на достъпа до тази онлайн услуга. Държавите членки следва да могат и занапред, в съответствие с правото на Съюза, да признават средства за електронна идентификация с по-ниски нива на осигуреност на самоличността.

(16)

Нивата на осигуреност следва да характеризират степента на надеждност на средството за електронна идентификация при установяване на самоличността на дадено лице, като по този начин се гарантира, че лицето, претендиращо, че има определена самоличност, действително е лицето, на което е приписана тази самоличност. Нивото на осигуреност зависи от степента на надеждност, което средството за електронна идентификация предоставя по отношение на претендираната или заявена самоличност на дадено лице, като се вземат под внимание процесите (например доказване на самоличността и проверка, и удостоверяване на автентичността), управленските дейности (например издаването на средства за електронна идентификация от страна на даден субект и процедурата за издаване на такива средства) и извършваните технически проверки. Съществуват различни технически определения и описания за нива на осигуреност в резултат от финансирани от Съюза широкомащабни пилотни проекти, стандартизационни и международни дейности. По-конкретно широкомащабните пилотни проекти STORK и ISO 29115 се отнасят, наред с другото, за нива 2, 3 и 4, които следва да бъдат отчетени в максимална степен при установяване на минимални технически изисквания, стандарти и процедури за нива на осигуреност „ниско“, „значително“ и „високо“ по смисъла на настоящия регламент, като същевременно се осигури последователно прилагане на настоящия регламент, по-специално по отношение на нивото на осигуреност „високо“ във връзка с доказването на самоличността при издаване на квалифицирани удостоверения. Установените изисквания следва да бъдат неутрални по отношение на технологиите. Постигането на необходимите изисквания за сигурност следва да бъде възможно посредством различни технологии.

(17)

Държавите членки следва да насърчават частния сектор да ползва на доброволна основа средства за електронна идентификация в рамките на схема за идентификация, за която е извършено уведомяване, когато възникне такава нужда за онлайн услуги или електронни трансакции. Възможността да се използват такива средства за електронна идентификация би позволила на частния сектор да разчита на електронна идентификация и електронно удостоверяване на автентичност, които вече се използват широко в редица държави членки най-малко при обществените услуги, и би облекчила трансграничния достъп на предприятията и гражданите до онлайн услуги. За улеснение на трансграничното използване от частния сектор на такива средства за електронна идентификация предоставяната от всяка държава членка възможност за удостоверяване на автентичност следва да бъде на разположение на доверяващите се страни от частния сектор, установени извън територията на тази държава членка, при същите условия, които се прилагат спрямо доверяващите се страни от частния сектор, установени в тази държава членка. Следователно, по отношение на доверяващите се страни от частния сектор, уведомяващата държава членка може да определи условия за достъп до средството за удостоверяване на автентичност. Тези условия за достъп може да дават информация дали средството за удостоверяване на автентичност, отнасящо се до схемата, за която има уведомление, понастоящем е предоставено на разположение на доверяващи се страни от частния сектор.

(18)

В настоящия регламент следва да се предвиди, че уведомяващата държава членка, страната, издаваща средството за електронна идентификация, и страната, ръководеща процедурата по удостоверяване на автентичност, носят отговорност при неизпълнение на съответните си задължения по настоящия регламент. Независимо от това настоящият регламент следва да се прилага в съответствие с националните правила относно отговорността. Поради това той не засяга тези национални правила, например по отношение на определянето на щетите или приложимите процедурни правила, включително тежестта на доказване.

(19)

Сигурността на схемите за електронна идентификация е основен фактор за надеждно трансгранично взаимно признаване на средствата за електронна идентификация. В този контекст държавите членки следва да си сътрудничат по отношение на сигурността и оперативната съвместимост на схемите за електронна идентификация на равнището на Съюза. В случай че схемите за електронна идентификация правят необходимо използването от доверяващите се страни на национално равнище на специален хардуер или софтуер, трансграничната оперативна съвместимост изисква тези държави членки да не налагат на доверяващите се страни, установени извън тяхната територия, такива изисквания и свързани с тях разходи. В този случай следва да се обсъдят и разработят подходящи решения в границите на обхвата на рамката за оперативна съвместимост. Въпреки това техническите изисквания, които произтичат от свойствени за националните средства за електронна идентификация характеристики и които е вероятно да засегнат притежателите на такива електронни средства (например смарткарти), са неизбежни.

(20)

Сътрудничеството между държавите членки следва да спомага за техническата оперативна съвместимост на схемите за електронна идентификация, за които е извършено уведомяване, за да се осигури високо равнище на доверие и сигурност, отговарящо на степента на риск. Обменът на информация и споделянето на добри практики между държавите членки с оглед на взаимното признаване между тях следва да спомагат за това сътрудничество.

(21)

С настоящия регламент следва да се установи и обща правна рамка за използването на удостоверителни услуги. Той обаче не следва да създава общо задължение за използването им или да създава точка за достъп за всички съществуващи удостоверителни услуги. По-специално той не следва да обхваща предоставянето на услуги, използвани изключително в рамките на затворени системи между определен набор от участници, които не оказват въздействие върху трети страни. Например системи, установени във фирмени или публични администрации за управлението на вътрешни процедури, които използват удостоверителни услуги, не следва да подлежат на изискванията по настоящия регламент. Единствено предоставяни на обществеността удостоверителни услуги, които оказват въздействие върху трети страни, следва да отговарят на изискванията, предвидени в настоящия регламент. Настоящият регламент не следва да обхваща и аспектите, свързани със сключването и действителността на договори или други правни задължения, когато в националното право или в правото на Съюза са предвидени изисквания по отношение на формата. Освен това той следва да не засяга националните изисквания за формата, които се отнасят до публичните регистри, и по-конкретно търговските и поземлените регистри.

(22)

С цел да се допринесе за общото им трансгранично използване, удостоверителните услуги следва да се допускат като доказателство при съдебни производства във всички държави членки. Правната сила на удостоверителните услуги се определя от националното право, освен ако в настоящия регламент не е предвидено друго.

(23)

Доколкото настоящият регламент създава задължение за признаване на удостоверителна услуга, тази удостоверителна услуга може да бъде отхвърлена само ако носителят на задължението не може да я прочете или провери поради технически причини извън неговия пряк контрол. Това задължение само по себе си обаче не следва да налага на публичен орган да се сдобива с хардуера и софтуера, необходими за техническото разчитане на всички съществуващи удостоверителни услуги.

(24)

В съответствие с правото на Съюза държавите членки могат да запазят националните си разпоредби или да въведат такива по отношение на удостоверителните услуги, доколкото тези услуги не са напълно хармонизирани с настоящия регламент. Удостоверителните услуги, които обаче отговарят на изискванията на настоящия регламент, следва да могат да се движат свободно на вътрешния пазар.

(25)

Държавите членки следва да запазят правото си да определят други видове удостоверителни услуги в допълнение към съдържащите се в изчерпателния списък на удостоверителни услуги, предвиден в настоящия регламент, за целите на признаването им на национално равнище като квалифицирани удостоверителни услуги.

(26)

С оглед на темповете на развитие на технологиите настоящият регламент следва да възприеме подход, който е открит към иновациите.

(27)

Настоящият регламент следва да бъде неутрален по отношение на технологиите. Произтичащите от него правни последици следва да могат да се постигнат с всякакви технически средства, при условие че са спазени изискванията на настоящия регламент.

(28)

С цел да се повиши доверието особено на малките и средните предприятия (МСП) и на потребителите във вътрешния пазар и да се насърчи използването на удостоверителни услуги и продукти, следва да се въведат понятията „квалифицирани удостоверителни услуги“ и „доставчик на квалифицирани удостоверителни услуги“, за да се определят изисквания и задължения, които гарантират висока степен на сигурност на всички използвани или предоставяни квалифицирани удостоверителни услуги и продукти.

(29)

В съответствие със задълженията по Конвенцията на Организацията на обединените нации за правата на хората с увреждания, одобрена с Решение 2010/48/ЕО на Съвета (8), и по-специално член 9 от Конвенцията, хората с увреждания следва да могат да използват удостоверителни услуги и продукти за крайния потребител, използвани при предоставянето на тези услуги, на равни начала с останалите потребители. Следователно когато това е практически осъществимо, предоставяните удостоверителни услуги и използваните при предоставянето на тези услуги продукти за крайния потребител следва да бъдат достъпни за хората с увреждания. Оценката за практическата осъществимост следва да включва, наред с другото, съображения от техническо и икономическо естество.

(30)

Държавите членки следва да определят надзорен орган или надзорни органи, които да извършват надзорните дейности по настоящия регламент. Освен това държавите членки следва да могат да вземат решение, при взаимно споразумение с друга държава членка, за определянето на надзорен орган на територията на тази друга държава членка.

(31)

Надзорните органи следва да си сътрудничат с органите по защита на данните, например като ги уведомяват за резултатите от одитите на доставчици на квалифицирани удостоверителни услуги, при които има основания да се смята, че са нарушени правилата за защита на личните данни. Предоставянето на информация следва по-конкретно да обхваща инциденти, свързани със сигурността, и пробиви в защитата на личните данни.

(32)

Всички доставчици на удостоверителни услуги следва да бъдат задължени да използват добри практики по отношение на сигурността съобразно рисковете, свързани с тяхната дейност, така че да се стимулира доверието на потребителите в единния пазар.

(33)

Разпоредбите относно използването на псевдоними в удостоверенията следва да не възпрепятстват държавите членки да изискват идентификация на лицата в съответствие с правото на Съюза или националното право.

(34)

Всички държави членки следва да спазват общи основни изисквания по отношение на надзора, за да се гарантира съпоставимо ниво на сигурност на квалифицираните удостоверителни услуги. С цел да се улесни последователното прилагане на тези изисквания в целия Съюз, държавите членки следва да приемат съпоставими процедури и да обменят информация за своите надзорни дейности и най-добри практики в областта.

(35)

Спрямо всички доставчици на удостоверителни услуги следва да се прилагат изискванията на настоящия регламент, и по-специално изискванията по отношение на сигурността и отговорността за осигуряването на дължимата грижа, прозрачност и отчетност по отношение на техните операции и услуги. Същевременно обаче, като се взема предвид видът на услугите, предоставяни от доставчиците на удостоверителни услуги, е целесъобразно да се прави разграничение по отношение на тези изисквания между доставчиците на квалифицирани и неквалифицирани услуги.

(36)

Установяването на режим на надзор за всички доставчици на удостоверителни услуги следва да гарантира равни условия за сигурността и отчетността на извършваните от тях операции и услуги и така да допринесе за защитата на потребителите и функционирането на вътрешния пазар. Доставчиците на неквалифицирани удостоверителни услуги следва да подлежат на облекчена и ответна последваща надзорна дейност, обоснована от естеството на извършваните от тях услуги и операции. Поради това надзорният орган следва да няма общо задължение да извършва надзор на доставчиците на неквалифицирани услуги. Надзорният орган следва да предприема действия само когато е получил информация (например от самия доставчик на неквалифицирани удостоверителни услуги, от друг надзорен орган, чрез уведомяване от потребител или делови партньор или въз основа на собствено разследване), че доставчик на неквалифицирани удостоверителни услуги не спазва изискванията на настоящия регламент.

(37)

С настоящия регламент следва да се предвиди отговорност за всички доставчици на удостоверителни услуги. По-конкретно с регламента се установява режимът на отговорност, съгласно който всички доставчици на удостоверителни услуги следва да носят отговорност за щети, причинени на физическо или юридическо лице поради неспазване на задълженията по настоящия регламент. С цел да се улесни извършването на оценката на финансовия риск, който доставчиците на удостоверителни услуги може да се наложи да поемат или за който следва да осигурят покритие чрез застрахователни полици, с настоящия регламент се дава възможност на доставчиците на удостоверителни услуги да поставят, при определени условия, ограничения върху използването на предоставяните от тях услуги и да не носят отговорност за щети, произтичащи от използването на услуги, надхвърлящи тези ограничения. Клиентите следва да бъдат предварително и надлежно информирани за тези ограничения. Тези ограничения следва да са разпознаваеми от трета страна, например чрез включване на информация относно ограниченията в условията, при които се предоставя услугата, или по друг разпознаваем начин. С цел тези принципи да получат реално изражение, настоящият регламент следва да се прилага в съответствие с националните разпоредби относно отговорността. Поради това настоящият регламент не засяга тези национални разпоредби, например относно определението за щети, намерение, небрежност или съответните приложими процесуални разпоредби.

(38)

Уведомяването за пробиви в системите за сигурност и оценките на риска за сигурността са от съществено значение за предоставянето на адекватна информация на засегнатите страни в случай на пробив на сигурността или нарушаване на целостта на системите.

(39)

За да се даде възможност на Комисията и на държавите членки да направят оценка на ефективността на въведения с настоящия регламент механизъм за уведомяване в случай на пробиви, надзорните органи следва да предоставят обобщена информация на Комисията и на Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA).

(40)

За да се даде възможност на Комисията и на държавите членки да направят оценка на ефективността на въведения с настоящия регламент механизъм за засилен надзор, от надзорните органи следва да се изисква да докладват за своите дейности. Това би спомогнало за улесняване на обмена на добри практики между надзорните органи и би гарантирало проверката по отношение на последователното и ефикасно прилагане на основните изисквания за надзор във всички държави членки.

(41)

За осигуряване на устойчивост и трайност на квалифицираните удостоверителни услуги и за стимулиране на доверието на потребителите в тяхната непрекъснатост надзорните органи следва да проверяват наличието и правилното прилагане на разпоредбите относно плана за осигуряване на непрекъснатост на обслужването в случаите, когато доставчиците на квалифицирани удостоверителни услуги прекъснат дейността си.

(42)

За улесняване на надзора върху доставчиците на квалифицирани удостоверителни услуги, например когато даден доставчик предлага услугите си на територията на друга държава членка, където не подлежи на надзор, или когато компютрите на даден доставчик се намират на територията на държава членка, различна от неговата държава по установяване, следва да се създаде система за взаимопомощ между надзорните органи на държавите членки.

(43)

С цел да се гарантира съответствието на доставчиците на квалифицирани удостоверителни услуги и предоставяните от тях услуги с установените в настоящия регламент изисквания, орган за оценяване на съответствието следва да извършва оценяване на съответствието, а изготвените доклади за оценяване на съответствието следва да се изпращат от доставчиците на квалифицирани удостоверителни услуги до надзорния орган. В случаите, когато надзорният орган изисква от доставчик на квалифицирана удостоверителна услуга да изпрати доклад за оценяване на съответствието ad hoc, надзорният орган следва да спазва в частност принципите на доброто управление, включително задължението да посочи мотиви за решенията си, както и принципа на пропорционалност. Поради това надзорният орган следва да мотивира надлежно решението си, изискващо оценяване на съответствието ad hoc.

(44)

Целта на настоящия регламент е да се осигури съгласувана рамка, така че да се предложи високо ниво на защита и правна сигурност на удостоверителните услуги. В това отношение, когато разглежда оценяването на съответствието на продукти и услуги, Комисията следва по целесъобразност да се стреми към единодействие със съществуващите европейски и международни схеми в областта, като например Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета (9), с който се определят изискванията за акредитация на органите за оценяване на съответствието и надзор на пазара на продуктите.

(45)

За да се позволи ефикасен процес на започване, който следва да доведе до включването на доставчиците на квалифицирани удостоверителни услуги и предоставяните от тях квалифицирани удостоверителни услуги в доверителни списъци, следва да се насърчават предварителните контакти между евентуалните доставчици на квалифицирани удостоверителни услуги и компетентния надзорен орган с оглед улесняването на надлежни проверки, водещи до обезпечаването на квалифицирани удостоверителни услуги.

(46)

Доверителните списъци са съществени елементи за доверието между стопанските субекти, тъй като отразяват квалифицирания статут на даден доставчик на услуги, който подлежи на надзор.

(47)

Доверието в онлайн услугите и удобството при ползването им са изключително важни, за да могат потребителите напълно да се възползват от електронните услуги и съзнателно да разчитат на тях. За тази цел следва да се създаде марка за доверие на ЕС, за да се обозначават квалифицираните удостоверителни услуги, предоставяни от доставчици на квалифицирани удостоверителни услуги. Такава марка за доверие на ЕС за квалифицирани удостоверителни услуги ще доведе до ясно разграничение на квалифицираните удостоверителни услуги от другите удостоверителни услуги, като по този начин се способства за прозрачността на пазара. Използването на марка за доверие на ЕС от доставчиците на квалифицирани удостоверителни услуги следва да бъде на доброволна основа и не следва да поражда други изисквания освен предвидените в настоящия регламент.

(48)

Наред с високата степен на сигурност, необходима за гарантиране на взаимното признаване на електронни подписи, в някои конкретни случаи, например в контекста на Решение № 2009/767/ЕО на Комисията (10), следва да се приемат и електронни подписи с по-ниска степен на сигурност.

(49)

С настоящия регламент следва да се установи принципът, че правната сила на електронен подпис не може да бъде оспорена на основанието, че той е в електронна форма или че не отговоря на изискванията за квалифицирания електронен подпис. Правната сила на електронните подписи обаче се определя от националното право, с изключение на включените в настоящия регламент изисквания квалифицираният електронен подпис да има същата правна сила като саморъчния подпис.

(50)

Тъй като компетентните органи в държавите членки понастоящем използват различни формати на усъвършенствани електронни подписи, за да подпишат своите документи по електронен път, необходимо е в държавите членки да се осигури възможност за техническа обработка на определен брой формати на усъвършенствани електронни подписи при получаването на документи, подписани електронно. По подобен начин когато компетентните органи в държавите членки използват усъвършенствани електронни печати, ще бъде необходимо да се осигури възможност за техническа обработка на определен брой формати на усъвършенствани електронни печати.

(51)

Следва да се предостави възможност титулярят на електронния подпис да възлага обслужването на устройства за създаване на квалифицирани електронни подписи на трета страна, при условие че са въведени подходящи механизми и процедури, гарантиращи, че титулярят разполага с едноличен контрол върху използването на данните, свързани със създаването на електронния му подпис, и че при използването на устройството са изпълнени изискванията по отношение на квалифицирания електронен подпис.

(52)

Създаването на електронни подписи от разстояние, при което средата на създаване на електронен подпис се управлява от доставчик на удостоверителни услуги от името на титуляря на електронния подпис, се очаква да се развие поради многобройните икономически предимства, които предоставя. При все това, с цел да се гарантира, че тези електронни подписи получават същото правно признаване като електронните подписи, създавани в среда, изцяло управлявана от потребителя, доставчиците, които предлагат услуги на електронен подпис от разстояние, следва да прилагат специфични процедури за сигурността на управление и административната сигурност и да използват надеждни системи и продукти, включително сигурни електронни канали на комуникация, с цел да се гарантира надеждността на средата на създаване на електронния подпис и да се гарантира, че тази среда е използвана единствено под контрола на титуляря на електронния подпис. В случай на квалифициран електронен подпис, създаден чрез устройство за създаване на електронен подпис от разстояние, следва да се прилагат изискванията, приложими за доставчиците на квалифицирани удостоверителни услуги, които са изброени в настоящия регламент.

(53)

Спирането на валидността на квалифицираните удостоверения е установена оперативна практика на доставчиците на удостоверителни услуги в редица държави членки и се различава от отмяната по това, че води до временна загуба на валидност на дадено удостоверение. От съображения за правна сигурност е необходимо статутът на спиране на валидността на удостоверение винаги да е ясно отбелязан. За тази цел доставчиците на удостоверителни услуги следва да поемат отговорност ясно да отбелязват статута на удостоверението и, в случай че валидността му е спряна — точния срок на спиране. Настоящият регламент не следва да налага на доставчиците на удостоверителни услуги или на държавите членки да използват спирането, а по-скоро в регламента следва да се предвидят правила за прозрачност по отношение на условията, при които е възможно да се прибягва до него.

(54)

Трансграничната оперативна съвместимост и признаването на квалифицираните удостоверения е предварително условие за трансграничното признаване на квалифицираните електронни подписи. Във връзка с това квалифицираните удостоверения не следва да подлежат на каквито и да било задължителни изисквания, надхвърлящи изискванията, предвидени в настоящия регламент. На национално равнище обаче включването в квалифицирани удостоверения на специфични данни, като например уникални идентификатори, следва да бъде позволено, при условие че тези специфични данни не възпрепятстват трансграничната оперативна съвместимост и признаването на квалифицираните удостоверения и електронните подписи.

(55)

Сертифицирането на сигурността на информационните технологии на базата на международни стандарти като ISO 15408 и други подобни методи за оценка и механизми за взаимно признаване е важен инструмент за проверка на сигурността на устройствата за създаване на квалифициран електронен подпис и следва да се насърчава. Иновативните решения и услуги, като подписването чрез мобилни устройства и подписването в облак, обаче са основани на такива технически и организационни решения за устройствата за създаване на квалифициран електронен подпис, за които все още може да не са налице стандарти за сигурност или за които първото сертифициране на сигурността на информационните технологии е в процес на извършване. Равнището на сигурност на такива устройства за създаване на квалифициран електронен подпис може да бъде оценено чрез използване на алтернативни процеси само когато не са налице такива стандарти за сигурност или когато първото сертифициране на сигурността на информационните технологии е в процес на извършване. Тези процеси следва да са съпоставими със стандартите за сертифициране на сигурността на информационните технологии, доколкото техните равнища на сигурност са равностойни. Тези процеси могат да бъдат улеснени чрез партньорски проверки.

(56)

В настоящия регламент са определени изискванията за устройствата за създаване на квалифицирани електронни подписи с оглед да се осигури функционалността на усъвършенстваните електронни подписи. Настоящият регламент не следва да обхваща цялата системна среда, в която действат тези устройства. Поради това обхватът на сертифицирането на устройствата за създаване на квалифицирани електронни подписи следва да бъде ограничен до хардуера и системния софтуер, използвани за управлението и защитата на данните за създаване на електронен подпис, които са създадени, съхранявани или обработвани в устройството за създаване на електронен подпис. Както е описано подробно в съответните стандарти, обхватът на задължението за сертифициране не следва да включва приложения за създаване на електронен подпис.

(57)

С цел да се осигури правна сигурност относно валидността на подписа от съществено значение е да се уточнят подробно компонентите на квалифицирания електронен подпис, които следва да се подложат на оценяване от доверяващата се страна, извършваща валидирането. Освен това, чрез уточняването на изискванията към доставчиците на квалифицирани удостоверителни услуги, които могат да предоставят квалифицирана услуга по валидиране на доверяващи се страни, които не желаят или не са в състояние да извършват сами валидиране на квалифицирани електронни подписи, следва да се стимулират инвестициите в подобни услуги от страна на частния и публичния сектор. Двата елемента следва да направят валидирането на електронни подписи лесно и удобно за всички страни на равнището на Съюза.

(58)

Когато за дадена трансакция се изисква квалифициран електронен печат от юридическо лице, квалифицираният електронен подпис на упълномощения представител на юридическото лице следва да се приема равностойно.

(59)

Електронните печати следва да служат като доказателство, че даден електронен документ е издаден от юридическо лице, като гарантират надеждния произход и целостта на документа.

(60)

Доставчиците на удостоверителни услуги, които издават квалифицирани удостоверения за електронен печат, следва да изпълнят необходимите мерки, за да могат да установят самоличността на физическото лице, представляващо юридическото лице, на което е предоставено квалифицирано удостоверение за електронен печат, когато установяването на самоличността е необходимо на национално равнище в контекста на съдебно или административно производство.

(61)

Настоящият регламент следва да осигури дългосрочното съхраняване на информация, за да се осигури правната валидност на електронните подписи и електронните печати за продължителен период от време и да се гарантира, че те могат да бъдат валидирани независимо от бъдещи промени в технологиите.

(62)

С цел да се гарантира сигурността на квалифицираните електронни времеви печати, настоящият регламент следва да изисква използването на усъвършенстван електронен печат или усъвършенстван електронен подпис, или на други равностойни методи. Може да се предвиди, че е възможно иновациите да доведат до нови технологии, които могат да осигурят равностойно ниво на сигурност за времевите печати. Винаги когато се използва метод, различен от усъвършенстван електронен печат или усъвършенстван електронен подпис, доставчикът на квалифицирани удостоверителни услуги следва да докаже в доклада за оценяване на съответствието, че този метод осигурява равностойно ниво на сигурност и е съобразен със задълженията, определени в настоящия регламент.

(63)

Електронните документи са важни за по-нататъшното развитие на трансграничните електронни трансакции на вътрешния пазар. С настоящия регламент следва да се установи принципът, че правната сила на електронен документ не може да бъде оспорена на основанието, че той е в електронна форма, с цел да се гарантира, че електронна трансакция няма да бъде отхвърлена единствено на основанието, че даден документ е в електронна форма.

(64)

При разглеждането на формати на усъвършенствани електронни подписи и печати Комисията следва да се основава на съществуващите практики, стандарти и законодателство, и по-специално на Решение 2011/130/ЕС на Комисията (11).

(65)

Освен при удостоверяването на автентичността на документ, издаден от юридическо лице, електронните печати могат да се използват за удостоверяване на автентичността на цифровите активи на юридическо лице, като софтуерен код или сървъри.

(66)

Особено важно е да се предвиди правна рамка, която да улеснява трансграничното признаване на съществуващите национални правни системи, свързани с услугите за електронна препоръчана поща. Тази рамка би могла да открие и нови пазарни възможности за доставчиците на удостоверителни услуги от Съюза за предлагане на нови паневропейски услуги за електронна препоръчана поща.

(67)

Услугите по удостоверяване на автентичността на уебсайт осигуряват средство, с което посетител на уебсайт може да бъде уверен, че зад уебсайта стои реален и легитимен субект. Тези услуги допринасят за изграждането на доверието в осъществяването на стопанска дейност онлайн, тъй като потребителите ще имат доверие в уебсайт, чиято автентичност е била удостоверена. Предоставянето и използването на услугите по удостоверяване на автентичността на уебсайт са изцяло на доброволна основа. Въпреки това, с цел удостоверяването на автентичността на уебсайт да се превърне в средство за повишаване на доверието, за подобряване на работата на потребителя с уебсайта, както и за увеличаване на растежа в рамките на вътрешния пазар, настоящият регламент следва да установи минимални задължения за сигурност и отговорност за доставчиците и техните услуги. За тази цел бяха взети предвид резултатите от съществуващите инициативи на сектора, като например форума на сертифициращите органи/браузъри — CA/B Forum. В допълнение настоящият регламент не следва да възпрепятства използването на други средства или методи за удостоверяване на автентичността на уебсайт, които не попадат в обхвата на настоящия регламент, нито следва да попречи на доставчиците от трета държава на услуги по удостоверяване на автентичността на уебсайт да предоставят своите услуги на потребители в Съюза. При все това услугите по удостоверяване на автентичността на уебсайт, извършвани от доставчика от трета държава, следва да бъдат признати за квалифицирани в съответствие с настоящия регламент само ако има сключено международно споразумение между Съюза и държавата на установяване на доставчика.

(68)

Съгласно разпоредбите на Договора за функционирането на Европейския съюз (ДФЕС) относно установяването понятието „юридически лица“ оставя на субектите свободата да избират правно организационната форма, която смятат за подходяща за осъществяването на своята дейност. Следователно „юридически лица“ по смисъла на ДФЕС означава всички образувания, учредени или регламентирани съгласно правото на държава членка, независимо от тяхната правна форма.

(69)

Институциите, органите, службите и агенциите на Съюза се насърчават да признават електронната идентификация и удостоверителните услуги, обхванати от настоящия регламент, за целта на административното сътрудничество, като се възползват по-специално от съществуващите добри практики и резултатите от текущите проекти в областите от обхвата на настоящия регламент.

(70)

С цел допълване на някои подробни технически аспекти на настоящия регламент по гъвкав и бърз начин, в съответствие с член 290 ДФЕС на Комисията следва да се делегира правомощието да приема актове във връзка с критериите, които трябва да бъдат спазвани от органите, отговарящи за сертифицирането на устройства за създаване на квалифициран електронен подпис. От особена важност е по време на подготвителната си работа Комисията да проведе подходящи консултации, включително на експертно равнище. При подготовката и изготвянето на делегирани актове Комисията следва да осигури едновременното и своевременно предаване на съответните документи по подходящ начин на Европейския парламент и на Съвета.

(71)

С цел да се осигурят еднакви условия за изпълнение на настоящия регламент на Комисията следва да бъдат предоставени изпълнителни правомощия, по-конкретно за определяне на референтните номера на стандартите, чието използване ще създаде презумпция за съответствие с някои изисквания, предвидени в настоящия регламент. Тези правомощия следва да се упражняват в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (12).

(72)

При приемането на делегирани актове или актове за изпълнение Комисията следва да взема надлежно предвид стандартите и техническите спецификации, разработвани в рамките на европейските и международните организации и органи по стандартизация, по-специално Европейския комитет по стандартизация (CEN), Европейския институт за стандарти в далекосъобщенията (ETSI), Международната организация по стандартизация (ISO) и Международния съюз по далекосъобщения (ITU), с оглед на това да се гарантират високо ниво на сигурност и оперативна съвместимост на електронната идентификация и удостоверителните услуги.

(73)

С оглед на правната сигурност и яснота Директива 1999/93/ЕО следва да бъде отменена.

(74)

За да се гарантира правна сигурност за стопанските субекти, които вече използват квалифицирани удостоверения, издадени на физически лица в съответствие с Директива 1999/93/ЕО, е нужно да се предвиди достатъчно дълъг преходен период. По подобен начин следва да се установят преходни мерки за устройства за създаване на надежден подпис, чието съответствие е било определено в съответствие с Директива 1999/93/ЕО, както и за доставчиците на удостоверителни услуги, издаващи квалифицирани удостоверения преди 1 юли 2016 г. На последно място, необходимо е също на Комисията да се предоставят средства да приема актове за изпълнение и делегирани актове преди тази дата.

(75)

Датите на прилагане, определени в настоящия регламент, не засягат съществуващите задължения, които държавите членки вече имат по силата на правото на Съюза, и по-специално по Директива 2006/123/ЕО.

(76)

Доколкото целите на настоящия регламент не могат да бъдат постигнати в достатъчна степен от държавите членки, а следователно, с оглед обхвата на действието, могат да бъдат постигнати по-добре на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящият регламент не надхвърля необходимото за постигането на тези цели.

(77)

Проведена беше консултация с Европейския надзорен орган по защита на данните в съответствие с член 28, параграф 2 от Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (13) и той даде становище на 27 септември 2012 г. (14),

ПРИЕХА НАСТОЯЩИЯ РЕГЛАМЕНТ:

ГЛАВА I

ОБЩИ РАЗПОРЕДБИ

Член 1

Предмет

С оглед да се гарантира правилното функциониране на вътрешния пазар, като същевременно се цели постигане на подходящо равнище на сигурност на средствата за електронна идентификация и удостоверителни услуги, с настоящия регламент:

а)

се определят условията, при които държавите членки признават средствата за електронна идентификация на физически и юридически лица, които средства попадат в обхвата на дадена схема за електронна идентификация на друга държава членка, за която е извършено уведомяване;

б)

се определят правилата за удостоверителните услуги, по-специално за електронни трансакции; и

в)

се установява правна рамка за електронните подписи, електронните печати, електронните времеви печати, електронните документи, услугите за електронна препоръчана поща и услугите по удостоверяване автентичността на уебсайтове.

Член 2

Обхват

1.   Настоящият регламент се прилага за схеми за електронна идентификация, за които е извършено уведомяване от държава членка, както и за установени в Съюза доставчици на удостоверителни услуги.

2.   Настоящият регламент не се прилага за предоставянето на удостоверителни услуги, използвани единствено в рамките на затворени системи, произтичащи от националното право или от споразумения между определен кръг от участници.

3.   Настоящият регламент не засяга националното право или правото на Съюза, свързано със сключването и действителността на договори или други правни или процедурни задължения по отношение на формата.

Член 3

Определения

За целите на настоящия регламент се прилагат следните определения:

1)

„електронна идентификация“ означава процес на използване на данни в електронна форма за идентификация на лица, които данни представляват по уникален начин дадено физическо или юридическо лице, или физическо лице, представляващо юридическо лице;

2)

„средство за електронна идентификация“ означава материална и/или нематериална единица, която съдържа данни за идентификация на лица, която се използва за удостоверяване на автентичност за онлайн услуга;

3)

„данни за идентификация на лица“ означава набор от данни, които позволяват да се установи самоличността на физическо или юридическо лице, или на физическо лице, представляващо юридическо лице;

4)

„схема за електронна идентификация“ означава система за електронна идентификация, при която средства за електронна идентификация се издават на физически или юридически лица, или физически лица, представляващи юридически лица;

5)

„удостоверяване на автентичност“ означава електронен процес, който позволява електронната идентификация на физическо или юридическо лице или потвърждаването на произхода и целостта на данни в електронна форма;

6)

„доверяваща се страна“ означава физическо или юридическо лице, което разчита на електронна идентификация или удостоверителна услуга;

7)

„орган от публичния сектор“ означава държавен, регионален или местен орган, публичноправна организация или сдружение, съставено от един или повече такива органи или от една или повече такива публичноправни организации, или частен субект, на който поне един от тези органи, организации или асоциации са възложили да предоставя обществени услуги, когато действа при условията на това възлагане;

8)

„публичноправна организация означава организация, както е определено в член 2, параграф 1, точка 4 от Директива 2014/24/ЕС на Европейския парламент и на Съвета (15);

9)

„титуляр на електронен подпис“ означава физическо лице, което създава електронен подпис;

10)

„електронен подпис“ означава данни в електронна форма, които се добавят към други данни в електронна форма или са логически свързани с тях, и които титулярят на електронния подпис използва, за да се подписва;

11)

„усъвършенстван електронен подпис“ означава електронен подпис, който отговаря на изискванията, посочени в член 26;

12)

„квалифициран електронен подпис“ означава усъвършенстван електронен подпис, който е създаден от устройство за създаване на квалифициран електронен подпис и се основава на квалифицирано удостоверение за електронни подписи;

13)

„данни за създаване на електронен подпис“ означава уникални данни, които се използват от титуляря на електронния подпис за създаването на електронен подпис;

14)

„удостоверение за електронен подпис“ означава електронен атестат, който свързва данните за валидиране на електронен подпис с физическо лице и потвърждава най-малко името или псевдонима на това лице;

15)

„квалифицирано удостоверение за електронен подпис“ означава удостоверение за електронни подписи, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение I;

16)

„удостоверителна услуга“ означава електронна услуга, обикновено предоставяна срещу възнаграждение, която се състои във:

а)

създаването, проверката и валидирането на електронни подписи, електронни печати или електронни времеви печати, услуги за електронна препоръчана поща, както и удостоверения, свързани с тези услуги; или

б)

създаването, проверката и валидирането на удостоверения за автентичност на уебсайт; или

в)

съхраняването на електронни подписи, печати или удостоверения, свързани с тези услуги;

17)

„квалифицирана удостоверителна услуга“ означава удостоверителна услуга, която отговаря на приложимите изисквания, определени в настоящия регламент;

18)

„орган за оценяване на съответствието“ означава орган съгласно определението в член 2, точка 13 от Регламент (ЕО) № 765/2008, който е акредитиран в съответствие със същия регламент като компетентен да извършва оценяване на съответствието на доставчик на квалифицирани удостоверителни услуги и на предоставяните от този доставчик квалифицирани удостоверителни услуги;

19)

„доставчик на удостоверителни услуги“ означава физическо или юридическо лице, което предоставя една или повече удостоверителни услуги като доставчик на квалифицирани или на неквалифицирани удостоверителни услуги;

20)

„доставчик на квалифицирани удостоверителни услуги“ означава доставчик на удостоверителни услуги, който предоставя една или повече квалифицирани удостоверителни услуги и е получил квалифицирания си статут от надзорен орган;

21)

„продукт“ означава хардуер, софтуер или съответните компоненти на хардуер или софтуер, предвидени да се използват при предоставянето на удостоверителни услуги;

22)

„устройство за създаване на електронен подпис“ означава конфигуриран софтуер или хардуер, който се използва за създаването на електронен подпис;

23)

„устройство за създаване на квалифициран електронен подпис“ означава устройство за създаване на електронен подпис, което отговаря на изискванията, предвидени в приложение II;

24)

„създател на печат“ означава юридическо лице, което създава електронен печат;

25)

„електронен печат“ означава данни в електронна форма, които се добавят към други данни в електронна форма или са логически свързани с тях, за да се гарантират произходът и целостта на последните;

26)

„усъвършенстван електронен печат“ означава електронен печат, който отговаря на изискванията, посочени в член 36;

27)

„квалифициран електронен печат“ означава усъвършенстван електронен печат, който е създаден от устройство за създаване на квалифициран електронен печат и се основава на квалифицирано удостоверение за електронен печат;

28)

„данни за създаване на електронен печат“ означава уникални данни, които се използват от създателя на електронния печат за създаването на електронен печат;

29)

„удостоверение за електронен печат“ означава електронен атестат, който свързва данните за валидиране на електронен печат с юридическо лице и потвърждава името на това лице;

30)

„квалифицирано удостоверение за електронен печат“ означава удостоверение за електронен печат, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение III;

31)

„устройство за създаване на електронен печат“ означава конфигуриран софтуер или хардуер, който се използва за създаването на електронен печат;

32)

„устройство за създаване на квалифициран електронен печат“ означава устройство за създаване на електронен печат, което отговаря mutatis mutandis на изискванията, предвидени в приложение II;

33)

„електронен времеви печат“ означава данни в електронна форма, които свързват други данни в електронна форма с конкретен момент във времето и представляват доказателство, че последните данни са съществували в съответния момент;

34)

„квалифициран електронен времеви печат“ означава електронен времеви печат, който отговаря на изискванията, предвидени в член 42;

35)

„електронен документ“ означава всяко съдържание, съхранявано в електронна форма, по-специално текстови или звуков, визуален или аудио-визуален запис;

36)

„услуга за електронна препоръчана поща“ означава услуга, която позволява предаването на данни между трети страни по електронен път, предоставя доказателство във връзка с обработката на предаваните данни, включително доказателство за изпращането и получаването на данните, и защитава предаваните данни срещу риск от загуба, кражба, повреда или непозволени изменения;

37)

„квалифицирана услуга за електронна препоръчана поща“ означава услуга за електронна препоръчана поща, която отговаря на изискванията, предвидени в член 44;

38)

„удостоверение за автентичност на уебсайт“ означава удостоверение, което позволява да се удостовери автентичността на уебсайт, като го свързва с физическото или юридическото лице, на което е издадено удостоверението;

39)

„квалифицирано удостоверение за автентичност на уебсайт“ означава удостоверение за автентичност на уебсайт, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение IV;

40)

„данни за валидиране“ означава данни, които се използват за валидиране на електронен подпис или електронен печат;

41)

„валидиране“ означава процеса на проверка и потвърждаване на валидността на електронен подпис или печат.

Член 4

Принцип на вътрешния пазар

1.   Предоставянето на удостоверителни услуги на територията на държава членка от доставчик на удостоверителни услуги, установен в друга държава членка, не подлежи на ограничения на основания, които попадат в обхвата на настоящия регламент.

2.   Продуктите и удостоверителните услуги, които отговарят на изискванията на настоящия регламент, са разрешени за свободно движение в рамките на вътрешния пазар.

Член 5

Обработка и защита на данни

1.   Обработката на лични данни се извършва в съответствие с Директива 95/46/ЕО.

2.   Без да се засяга правната сила, дадена на псевдонимите съгласно националното право, няма забрана за използване на псевдоними при електронни трансакции.

ГЛАВА II

ЕЛЕКТРОННА ИДЕНТИФИКАЦИЯ

Член 6

Взаимно признаване

1.   Когато националното право или административната практика изискват електронна идентификация чрез средства за електронна идентификация и удостоверяване на автентичност за достъпа до дадена услуга, предоставяна онлайн от орган от публичния сектор в една държава членка, средствата за електронна идентификация, издадени в друга държава членка, се признават в първата държава членка за целите на трансграничното удостоверяване на автентичност за тази онлайн услуга, при условие че са изпълнени следните условия:

а)

средствата за електронна идентификация се издават в рамките на схема за електронна идентификация, включена в списъка, публикуван от Комисията съгласно член 9;

б)

нивото на осигуреност на средствата за електронна идентификация съответства на ниво на осигуреност, равно или по-високо от нивото на осигуреност, изисквано от съответния орган от публичния сектор, за онлайн достъпа до тази услуга в първата държава членка, при условие че нивото на осигуреност на тези средства за електронна идентификация съответства на ниво на осигуреност „значително“ или „високо“;

в)

съответният орган от публичния сектор използва ниво на осигуреност „значително“ или „високо“ по отношение на онлайн достъпа до тази услуга.

Това признаване се извършва не по-късно от 12 месеца след като Комисията публикува списъка, посочен в първа алинея, буква а).

2.   Средствата за електронна идентификация, издадени в рамките на схема за електронна идентификация, включена в списъка, публикуван от Комисията съгласно член 9, които съответстват на ниво на осигуреност „ниско“, могат да бъдат признати от органи от публичния сектор за целите на трансгранично удостоверяване на автентичност за услугите, предоставяни онлайн от тези органи.

Член 7

Допускане за уведомяване относно схеми за електронна идентификация

Дадена схема за електронна идентификация се допуска за уведомяване съгласно член 9, параграф 1, ако всяко едно от следните условия е изпълнено:

а)

средствата за електронна идентификация в рамките на схемата за електронна идентификация са издадени:

i)

от уведомяващата държава членка;

ii)

по поръчение на уведомяващата държава членка; или

iii)

независимо от уведомяващата държава членка и са признати от тази държава членка;

б)

средствата за електронна идентификация в рамките на схемата за електронна идентификация могат да бъдат използвани за достъп до най-малко една услуга, която е предоставяна от орган от публичния сектор и която изисква електронна идентификация в уведомяващата държава членка;

в)

схемата за елетронна идентификация и издаваните по нея средства за електронна идентификация отговарят на изискванията на поне едно от нивата на осигуреност, предвидени в акта за изпълнение, установени в член 8, параграф 3;

г)

уведомяващата държава членка гарантира, че данните за идентификация на лицето, представляващи по уникален начин въпросното лице, се приписват на физическото или юридическото лице, посочено в член 3, точка 1, в момента на издаване на средството за електронна идентификация в рамките на тази схема в съответствие с техническите спецификации, стандарти и процедури за съответното ниво на осигуреност, установени в акта за изпълнение, посочен в член 8, параграф 3;

д)

страната, издаваща електронното средство за идентификация в рамките на тази схема, гарантира, че средството за електронна идентификация се приписва на лицето, посочено в буква г) от настоящия член, в съответствие с техническите спецификации, стандарти и процедури за съответното ниво на осигуреност, установени в акта за изпълнение, посочен в член 8, параграф 3;

е)

уведомяващата държава членка осигурява възможност за удостоверяване на автентичност онлайн, така че всяка доверяваща се страна, установена на територията на друга държава членка, да може да потвърди данните за идентификация на лицето, получени в електронна форма.

За доверяващи се страни, различни от органи от публичния сектор, уведомяващата държава членка може да определи условия за достъп до това удостоверяване на автентичност. Трансграничното удостоверяване на автентичност се предоставя безплатно, когато се извършва във връзка с онлайн услуга, предоставяна от орган от публичния сектор.

Държавите членки не налагат никакви специфични несъразмерни технически изисквания за доверяващи се страни, които възнамеряват да извършват такова удостоверяване на автентичност, когато тези изисквания пречат на оперативната съвместимост на схемите за електронна идентификация, за които е извършено уведомяване, или сериозно я възпрепятстват;

ж)

най-малко шест месеца преди уведомяването по член 9, параграф 1 уведомяващата държава членка предоставя на останалите държави членки за целите на задължението по член 12, параграф 5 описание на въпросната схема в съответствие с процедурните условия, установени в посочените в член 12, параграф 7 актове за изпълнение;

з)

схемата за електронна идентификация отговаря на изискванията, установени в акта за изпълнение, посочен в член 12, параграф 8.

Член 8

Нива на осигуреност на схеми за електронна идентификация

1.   Схемата за електронна идентификация, за която е извършено уведомяване съгласно член 9, параграф 1, включва определяне на нива на осигуреност „ниско“, „значително“ и/или „високо“, приписвани на средства за електронна идентификация, издавани в рамките на тази схема.

2.   Нивата на осигуреност „ниско“, „значително“ и „високо“ отговарят съответно на следните критерии:

а)

ниво на осигуреност „ниско“ се отнася за средство за електронна идентификация в контекста на схема за електронна идентификация, което предоставя ограничена степен на надеждност на претендираната или заявената самоличност на дадено лице, и се характеризира с препратка към съответни технически спецификации, стандарти и процедури, включително технически проверки, чиято цел е да се понижи значително рискът от злоупотреба или промяна на самоличността;

б)

ниво на осигуреност „значително“ се отнася за средство за електронна идентификация в контекста на схема за електронна идентификация, което предоставя значителна степен на надеждност на претендираната или заявената самоличност на дадено лице и се характеризира с препратка към съответни технически спецификации, стандарти и процедури, включително технически проверки, чиято цел е да се понижи значително рискът от злоупотреба или промяна на самоличността;

в)

ниво на осигуреност „високо“ се отнася за средство за електронна идентификация в контекста на схема за електронна идентификация, което предоставя по-висока степен на надеждност на претендираната или заявената самоличност на дадено лице, отколкото средствата за електронна идентификация с ниво на осигуреност „значително“, и се характеризира с препратка към съответни технически спецификации, стандарти и процедури, включително технически проверки, чиято цел е да се предотврати злоупотреба или промяна на самоличността.

3.   До 18 септември 2015 г., като отчита съответните международни стандарти и при спазване на параграф 2, Комисията установява посредством актове за изпълнение минимални технически спецификации, стандарти и процедури, по отношение на които за целите на параграф 1 се определят нива на осигуреност „ниско“, „значително“ и „високо“ за средства за електронна идентификация.

Тези минимални технически спецификации, стандарти и процедури се установяват въз основа на надеждността и качеството на следните елементи:

а)

процедурата за доказване и проверка на самоличността на физически или юридически лица, подаващи искане за издаване на средство за електронна идентификация;

б)

процедурата по издаване на поисканото средство за електронна идентификация;

в)

механизма за удостоверяване на автентичност, чрез който физическото или юридическото лице използва средството за електронна идентификация, за да потвърди своята самоличност на доверяваща се страна;

г)

субекта, издаващ средството за електронна идентификация;

д)

всеки друг орган, имащ отношение към заявлението за издаване на средството за електронна идентификация; и

е)

техническите спецификации и спецификациите за сигурността на издаваните средства за електронна идентификация.

Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 9

Уведомяване

1.   Уведомяващата държава членка уведомява Комисията за следната информация и без излишно забавяне съобщава за всички последващи изменения в нея:

а)

описание на схемата за електронна идентификация, включително нивата на осигуреност и издателя или издателите на средството за електронна идентификация в рамките на схемата;

б)

приложимия режим на надзор и информация за режима на отговорност по отношение на следното:

i)

страната, която издава средството за електронна идентификация; и

ii)

страната, която извършва процедурата по удостоверяване на автентичността;

в)

органа или органите, отговарящи за схемата за електронна идентификация;

г)

информация за субекта или субектите, които управляват регистрацията на уникалните идентификационни данни на лицата;

д)

описание как са спазени изискванията, установени в актовете за изпълнение, посочени в член 12, параграф 8;

е)

описание на удостоверяването на автентичността, посочено в член 7, буква е);

ж)

условията за спиране или отмяна на схемата за електронна идентификация, за която е извършено уведомяване, или на удостоверяването на автентичност, или на съответните застрашени части.

2.   Една година след датата на прилагане на актовете за изпълнение, посочени в член 8, параграф 3 и член 12, параграф 8, Комисията публикува в Официален вестник на Европейския съюз списък на схемите за електронна идентификация, за които е извършено уведомяване съгласно параграф 1 от настоящия член, и свързаната с тях основна информация.

3.   Ако Комисията получи уведомление след изтичане на срока, посочен в параграф 2, тя публикува в Официален вестник на Европейския съюз измененията на списъка, посочен в параграф 2, в рамките на два месеца от датата на получаване на уведомлението.

4.   Държава членка може да подаде в Комисията искане схема за електронна идентификация, за която същата държава членка е извършила уведомяване, да бъде заличена от списъка по параграф 2. Комисията публикува в Официален вестник на Европейския съюз съответните изменения на списъка в рамките на един месец от датата на получаване на искането на държавата членка.

5.   Комисията може посредством актове за изпълнение да определи обстоятелствата, форматите и процедурите по отношение на уведомленията по параграф 1. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 10

Пробив в сигурността

1.   Ако схемата за електронна идентификация, за която е извършено уведомяване съгласно член 9, параграф 1, или удостоверяването на автентичност, посочено в член 7, буква е), са нарушени или частично застрашени по начин, който засяга надеждността на трансграничното удостоверяване на автентичност на тази схема, уведомяващата държава членка незабавно спира или отменя това трансгранично удостоверяване на автентичност или съответните застрашени части и информира другите държави членки и Комисията.

2.   Когато пробивът или застрашаването на сигурността, посочени в параграф 1, бъдат отстранени, уведомяващата държава членка възобновява трансграничното удостоверяване на автентичност и без неоснователно забавяне информира другите държави членки и Комисията.

3.   Ако пробивът или нарушаването на сигурността, посочени в параграф 1, не бъдат отстранени в рамките на три месеца от спирането или отмяната, уведомяващата държава членка информира другите държави членки и Комисията за прекратяването на схемата за електронна идентификация.

Комисията публикува без неоснователно забавяне съответните изменения на списъка по член 9, параграф 2 в Официален вестник на Европейския съюз.

Член 11

Отговорност

1.   За неспазване на задълженията си по член 7, букви г) и е) при трансгранична трансакция уведомяващата държава членка носи отговорност за щети, нанесени умишлено или поради небрежност на физическо или юридическо лице.

2.   Страната, издаваща средството за електронна идентификация, носи отговорност за щети, нанесени умишлено или поради небрежност на физическо или юридическо лице поради неизпълнение на задължението по член 7, буква д) при трансгранична трансакция.

3.   Страната, извършващ процедурата по удостоверяване на автентичност, носи отговорност за щети, нанесени умишлено или поради небрежност на физическо или юридическо лице поради неспособност да гарантира правилното функциониране на удостоверяването на автентичност по член 7, буква е) при трансгранична трансакция.

4.   Параграфи 1, 2 и 3 се прилагат в съответствие с националните правила относно отговорността.

5.   Параграфи 1, 2 и 3 не засягат отговорността — съгласно националното право — на страните по трансакция, при която се използват средства за електронна идентификация, попадащи в обхвата на схемата за електронна идентификация, за която е извършено уведомяване съгласно член 9, параграф 1.

Член 12

Сътрудничество и оперативна съвместимост

1.   Националните схеми за електронна идентификация, за които се извършва уведомяване съгласно член 9, параграф 1, са оперативно съвместими.

2.   За целите на параграф 1 се установява рамка за оперативна съвместимост.

3.   Рамката за оперативна съвместимост отговаря на следните критерии:

а)

има за цел да е технологично неутрална и не допуска дискриминация между специфичните национални технически решения за електронна идентификация в рамките на дадена държава членка;

б)

спазва европейските и международните стандарти, когато това е възможно;

в)

улеснява спазването на принципа за защита на личния живот още при разработването; и

г)

гарантира, че личните данни се обработват в съответствие с Директива 95/46/ЕО.

4.   Рамката за оперативна съвместимост се състои от:

а)

задаване на минимални технически изисквания във връзка с нивата на осигуреност съгласно член 8;

б)

категоризиране на националните нива на осигуреност на схемите на електронна идентификация, за които е извършено уведомяване, по нива на осигуреност съгласно член 8;

в)

задаване на минимални технически изисквания за оперативна съвместимост;

г)

задаване на минимален набор от данни за идентификация на лицето, представляващи по уникален начин физическо или юридическо лице, които са достъпни посредством схеми за електронна идентификация;

д)

процедурни правила;

е)

механизми за уреждане на спорове; и

ж)

общи оперативни стандарти за сигурност.

5.   Държавите членки си сътрудничат по следните въпроси:

а)

оперативна съвместимост на схеми за електронна идентификация, за които е извършено уведомяване съгласно член 9, параграф 1, и на схеми за електронна идентификация, за които държавите членки имат намерение да направят уведомяване; и

б)

сигурност на схемите за електронна идентификация.

6.   Сътрудничеството между държавите членки се състои от:

а)

обмена на информация, опит и добри практики във връзка със схемите за електронна идентификация, и по-специално във връзка с техническите изисквания, свързани с оперативната съвместимост и нивата на осигуреност;

б)

обмена на информация, опит и добри практики във връзка с използването на нивата на осигуреност на схемите за електронна идентификация съгласно член 8;

в)

партньорска проверка на схемите за електронна идентификация, попадащи в обхвата на настоящия регламент; и

г)

анализ на значимите новости в сектора на електронната идентификация.

7.   С оглед постигането на висока степен на доверие и сигурност, отговарящи на степента на риск, до 18 март 2015 г. Комисията установява посредством актове за изпълнение процедурните условия, необходими за улесняване на сътрудничеството между държавите членки, посочено в параграфи 5 и 6.

8.   С цел да се установят еднакви условия за изпълнение на изискването по параграф 1, до 18 септември 2015 г. Комисията, като спазва критериите по параграф 3 и като отчита резултатите от сътрудничеството между държавите членки, приема актове за изпълнение относно рамка за оперативна съвместимост съгласно установеното в параграф 4.

9.   Актовете за изпълнение, посочени в параграфи 7 и 8 от настоящия член, се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

ГЛАВА III

УДОСТОВЕРИТЕЛНИ УСЛУГИ

РАЗДЕЛ 1

Общи разпоредби

Член 13

Отговорност и тежест на доказване

1.   Без да се засяга параграф 2, доставчиците на удостоверителни услуги носят отговорност за щети, нанесени умишлено или поради небрежност на физическо или юридическо лице поради неизпълнение на задълженията по настоящия регламент.

Тежестта на доказване, че щетите са били нанесени умишлено или поради небрежност от страна на доставчик на неквалифицирани удостоверителни услуги, пада върху физическото или юридическото лице, подало иск във връзка с щетите, посочени в първа алинея.

Наличието на умисъл или небрежност от страна на доставчик на квалифицирани удостоверителни услуги се презюмира, освен ако този доставчик на квалифицирани удостоверителни услуги докаже, че посочените в първа алинея щети са настъпили без умисъл или небрежност от страна на същия доставчик на квалифицирани удостоверителни услуги.

2.   Когато доставчици на удостоверителни услуги информират надлежно и предварително своите клиенти относно ограниченията върху използването на предоставяните от тях услуги и когато тези ограничения са разпознаваеми за трети страни, доставчиците на удостоверителни услуги не носят отговорност за щети, произтичащи от използване на услугите по начин, превишаващ посочените ограничения.

3.   Параграфи 1 и 2 се прилагат в съответствие с националните правила относно отговорността.

Член 14

Международни аспекти

1.   Удостоверителните услуги, предоставяни от доставчици на удостоверителни услуги, установени в трета държава, се признават за равностойни от правна гледна точка на квалифицираните удостоверителни услуги, предоставяни от доставчици на квалифицирани удостоверителни услуги, установени в Съюза, ако удостоверителните услуги с произход от трета държава са признати съгласно споразумение, сключено между Съюза и въпросната трета държава или международна организация в съответствие с член 218 от ДФЕС.

2.   Споразуменията, посочени в параграф 1, гарантират по-специално, че:

а)

изискванията, приложими спрямо доставчици на квалифицирани удостоверителни услуги, установени в Съюза, и предоставяните от тях квалифицирани удостоверителни услуги, са спазени от доставчиците на удостоверителни услуги в третата държава или международните организации, с които е сключено споразумението, и от предоставяните от тях удостоверителни услуги;

б)

квалифицираните удостоверителни услуги, предоставяни от доставчици на квалифицирани удостоверителни услуги, установени в Съюза, са признати за равностойни от правна гледна точка на удостоверителни услуги, предоставяни от доставчици на удостоверителни услуги в третата държава или международна организация, с която е сключено споразумението.

Член 15

Достъпност за хора с увреждания

Когато това е практически осъществимо, предоставяните удостоверителни услуги и използваните при предоставянето на тези услуги продукти за крайния потребител следва да бъдат достъпни за хора с увреждания.

Член 16

Санкции

Държавите членки определят правилата относно санкциите, приложими при нарушаване на настоящия регламент. Предвидените санкции са ефективни, пропорционални и възпиращи.

РАЗДЕЛ 2

Надзор

Член 17

Надзорен орган

1.   Държавите членки определят надзорен орган, установен на тяхна територия, или, при наличие на взаимно споразумение с друга държава членка, надзорен орган, установен във въпросната друга държава членка. Този орган е отговорен за изпълнението на задачите по надзора в определящата държава членка.

На надзорните органи се предоставят необходимите правомощия и достатъчни ресурси за изпълнението на техните задачи.

2.   Държавите членки съобщават на Комисията наименованията и адресите на определените от тях надзорни органи.

3.   Функцията на на надзорния орган е следната:

а)

да осъществява надзор върху доставчици на квалифицирани удостоверителни услуги, установени на територията на определящата държава членка, за да се гарантира, посредством предварителни и последващи действия по надзора, че тези доставчици на квалифицирани удостоверителни услуги и предоставяните от тях квалифицирани удостоверителни услуги отговарят на изискванията, предвидени в настоящия регламент;

б)

при необходимост да предприема действия по отношение на доставчици на неквалифицирани удостоверителни услуги, установени на територията на определящата държава членка, посредством последващи действия по надзора, когато получи информация, съгласно която се твърди, че тези доставчици на неквалифицирани удостоверителни услуги или предоставяните от тях удостоверителни услуги не отговарят на изискванията, предвидени в настоящия регламент.

4.   За целите на параграф 3 и при спазване на предвидените в него ограничения задачите на надзорния орган включват по-конкретно:

а)

да си сътрудничи с други надзорни органи и да им оказва съдействие в съответствие с член 18;

б)

да анализира докладите за оценяване на съответствието, посочени в член 20, параграф 1 и член 21, параграф 1;

в)

да информира други надзорни органи и обществеността за пробиви в сигурността или нарушаване на целостта в съответствие с член 19, параграф 2;

г)

да докладва на Комисията за своите основни дейности в съответствие с параграф 6 от настоящия член;

д)

да извършва одити или да изисква от орган за оценяване на съответствието да проведе оценяване на съответствието на доставчиците на квалифицирани удостоверителни услуги в съответствие с член 20, параграф 2;

е)

да си сътрудничи с органите по защита на данните, по-специално като без неоснователно забавяне ги информира за резултатите от одитите на доставчици на квалифицирани удостоверителни услуги, при които има предполагаеми нарушения на правилата за защита на личните данни;

ж)

да предоставя квалифициран статут на доставчици на удостоверителни услуги и на предоставяните от тях услуги и да отнема този статут в съответствие с членове 20 и 21;

з)

да информира органа, отговорен за националния доверителен списък, посочен в член 22, параграф 3, за своите решения за представяне или отнемане на квалифициран статут, освен в случаите, когато въпросният орган е и надзорен орган;

и)

да проверява наличието и правилното прилагане на разпоредбите относно плана за осигуряване на непрекъснатост на обслужването в случаите, когато доставчиците на квалифицирани удостоверителни услуги прекъснат дейността си, включително относно начините за запазване на достъпа до информацията в съответствие с член 24, параграф 2, буква з);

й)

да изисква от доставчиците на удостоверителни услуги да отстранят всяко неизпълнение на изискванията, посочени в настоящия регламент.

5.   Държавите членки могат да изискват от надзорния орган да изгражда, поддържа и актуализира инфраструктура за удостоверяване в съответствие с условията по националното право.

6.   Всяка година до 31 март всеки надзорен орган изпраща на Комисията доклад относно основните си дейности през предходната календарна година, наред с обобщена информация относно уведомленията за нарушения, получени от доставчици на удостоверителни услуги, в съответствие с член 19, параграф 2.

7.   Комисията предоставя на държавите членки годишния доклад, посочен в параграф 6.

8.   Комисията може да определи посредством актове за изпълнение форматите и процедурите по отношение на доклада, посочен в параграф 6. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 18

Взаимопомощ

1.   Надзорните органи си сътрудничат с оглед обмен на добри практики.

Всеки надзорен орган, при получаване на обосновано искане от друг надзорен орган, му осигурява помощта, необходима за последователното осъществяване на дейностите на надзорните органи. Взаимопомощта може да обхваща по-специално искания за информация, както и надзорни мерки, като искания за извършване на проверки, свързани с докладите за оценяване на съответствието, както е посочено в членове 20 и 21.

2.   Надзорен орган, до който е изпратено искане за помощ, може да откаже да го изпълни на някое от следните основания:

а)

надзорният орган не е компетентен да предостави исканата помощ;

б)

исканата помощ не е пропорционална на надзорните функции, изпълнявани от надзорния орган в съответствие с член 17;

в)

при условие че исканата помощ би била несъвместима с настоящия регламент.

3.   При необходимост държавите членки могат да разрешат на съответните си надзорни органи да провеждат съвместни разследвания, в които участват служители на надзорни органи от други държави членки. Механизмите и процедурите за осъществяването на тези съвместни действия се договарят и установяват от съответните държави членки съгласно националното им право.

Член 19

Изисквания за сигурност, които се прилагат към доставчиците на удостоверителни услуги

1.   Доставчиците на квалифицирани и неквалифицирани удостоверителни услуги предприемат подходящи технически и организационни мерки за управление на рисковете за сигурността на предоставяните от тях удостоверителни услуги. При тези мерки се вземат предвид най-новите технически достижения, за да се гарантира, че равнището на сигурност е пропорционално на степента на риска. В частност се предприемат мерки за предотвратяване и свеждане до минимум на въздействието на инциденти, свързани със сигурността, и за информиране на заинтересованите страни относно нежеланите последици от такива инциденти.

2.   В случай на пробив в сигурността или нарушаване на целостта, които имат съществено въздействие върху предоставяната удостоверителна услуга или върху съхраняваните лични данни, доставчиците на квалифицирани и неквалифицирани удостоверителни услуги уведомяват за това без излишно забавяне, но при всички случаи в срок от 24 часа от момента, в който са узнали за настъпилото събитие, надзорния орган и, когато е приложимо, други компетентни органи, например компетентния национален орган в областта на информационната сигурност или органа по защита на данните.

Когато има вероятност пробивът в сигурността или нарушаването на целостта да окажат негативно въздействие върху физическо или юридическо лице, на което е предоставена удостоверителната услуга, доставчикът на удостоверителни услуги уведомява без излишно забавяне за пробива в сигурността или нарушаването на целостта и въпросното физическо или юридическо лице.

При необходимост, и особено ако пробивът в сигурността или нарушаването на целостта засягат две или повече държави членки, уведоменият надзорен орган информира надзорните органи в останалите засегнати държави членки и ENISA.

Ако прецени, че разгласяването на пробива в сигурността или нарушаването на целостта е в обществен интерес, уведоменият надзорен орган информира обществеността или изисква от доставчика на удостоверителни услуги да направи това.

3.   Веднъж годишно надзорният орган представя на ENISA обобщение на уведомленията за пробиви в сигурността и нарушения на целостта, получени от доставчиците на удостоверителни услуги.

4.   Комисията може посредством актове за изпълнение:

а)

да уточни допълнително мерките, посочени в параграф 1; и

б)

да определи форматите и процедурите, включително сроковете, приложими за целите на параграф 2.

Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

РАЗДЕЛ 3

Квалифицирани удостоверителни услуги

Член 20

Надзор над доставчиците на квалифицирани удостоверителни услуги

1.   Доставчиците на квалифицирани удостоверителни услуги са обект на одит най-малко веднъж на 24 месеца за тяхна собствена сметка от орган за оценяване на съответствието. Целта на одита е да се потвърди, че доставчиците на квалифицирани удостоверителни услуги и предоставяните от тях квалифицирани удостоверителни услуги отговарят на изискванията, посочени в настоящия регламент. Доставчиците на квалифицирани удостоверителни услуги представят на надзорния орган съответния доклад за оценяване на съответствието в срок от три работни дни след като го получат.

2.   Без да се засяга параграф 1, надзорният орган може по всяко време да извърши одит или да поиска от орган за оценяване на съответствието да направи оценяване на съответствието на доставчиците на квалифицирани удостоверителни услуги за тяхна собствена сметка, за да потвърди, че те и предоставяните от тях квалифицирани удостоверителни услуги отговарят на изискванията, посочени в настоящия регламент. Ако има съмнение, че са нарушени правилата за защита на личните данни, надзорният орган уведомява за резултатите от своите одити органите по защита на данните.

3.   Ако надзорният орган поиска от доставчика на квалифицирани удостоверителни услуги да вземе мерки, за да изпълни неизпълнените от него изисквания по настоящия регламент, и ако този доставчик не предприеме необходимите действия, ако е приложимо, в определения от надзорния орган срок, надзорният орган, като вземе под внимание по-специално степента, продължителността и последиците от това неизпълнение, може да отнеме квалифицирания статут на този доставчик или на съответната предоставяна от него услуга и да информира посочения в член 22, параграф 3 орган, за да може той да актуализира доверителните списъци по член 22, параграф 1. Надзорният орган уведомява доставчика на квалифицирани удостоверителни услуги за отнемането на неговия квалифициран статут или на квалифицирания статут на съответната услуга.

4.   Посредством актове за изпълнение Комисията може да определи референтните номера на следните стандарти:

а)

за акредитацията на органите за оценяване на съответствието и за доклада за оценяване на съответствието, посочени в параграф 1;

б)

за правилата за извършване на одит, според които органите за оценяване на съответствието ще извършват своето оценяване на съответствието на доставчиците на квалифицирани удостоверителни услуги, както е посочено в параграф 1.

Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 21

Начало на предоставянето на квалифицирана удостоверителна услуга

1.   Когато доставчици на удостоверителни услуги без квалифициран статут възнамеряват да започнат да предоставят квалифицирани удостоверителни услуги, те изпращат на надзорния орган уведомление за намерението си заедно с доклад за оценяване на съответствието, съставен от органа за оценяване на съответствието.

2.   Надзорният орган проверява дали доставчикът на удостоверителни услуги и предоставяните от него удостоверителни услуги отговарят на изискванията, посочени в настоящия регламент, и по-специално на изискванията за доставчиците на квалифицирани удостоверителни услуги и за предоставяните от тях квалифицирани удостоверителни услуги.

Ако надзорният орган прецени, че доставчикът на удостоверителни услуги и предоставяните от него удостоверителни услуги отговарят на изискванията, посочени в първа алинея, надзорният орган предоставя квалифициран статут на доставчика на удостоверителни услуги и на предоставяните от него удостоверителни услуги и информира посочения в член 22, параграф 3 орган, за да може той да актуализира доверителните списъци по член 22, параграф 1 в срок от три месеца след уведомяването съгласно параграф 1 от настоящия член.

Ако проверката не приключи в тримесечен срок от уведомяването, надзорният орган информира доставчика на удостоверителни услуги, като посочва причините за забавянето и срока, в който трябва да приключи проверката.

3.   Доставчиците на квалифицирани удостоверителни услуги могат да започнат да предоставят квалифицирани удостоверителни услуги, след като квалифицираният статут бъде отбелязан в доверителните списъци, посочени в член 22, параграф 1.

4.   Комисията може да определи посредством актове за изпълнение форматите и процедурите за целите на параграфи 1 и 2. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 22

Доверителни списъци

1.   Всяка държава членка създава, поддържа и публикува доверителни списъци, които съдържат информация за доставчиците на квалифицирани удостоверителни услуги, за които носи отговорност, както и за предоставяните от тези доставчици квалифицирани удостоверителни услуги.

2.   Държавите членки създават, поддържат и публикуват по сигурен начин предвидените в параграф 1 доверителни списъци, които са подписани и подпечатани по електронен път във форма, подходяща за автоматизирана обработка.

3.   Държавите членки уведомяват без излишно забавяне Комисията за органа, натоварен със създаването, поддържането и публикуването на националните доверителни списъци, за мястото, където се публикуват тези списъци, за удостоверенията, които се използват за подписване или подпечатване на доверителни списъци, както и за всички последващи промени в тях.

4.   Комисията предоставя на обществеността чрез сигурен канал информацията, посочена в параграф 3, подписана и подпечатана по електронен път и във форма, подходяща за автоматизирана обработка.

5.   До 18 септември 2015 г. Комисията посредством актове за изпълнение уточнява информацията, посочена в параграф 1, и определя техническите спецификации и форматите на доверителните списъци за целите на параграфи 1—4. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 23

Марка за доверие на ЕС за квалифицирани удостоверителни услуги

1.   След като посоченият в член 21, параграф 2, втора алинея квалифициран статут бъде отбелязан в доверителния списък по член 22, параграф 1, доставчиците на квалифицирани удостоверителни услуги могат да използват марката за доверие на ЕС, за да обозначат по прост, разпознаваем и ясен начин предоставяните от тях квалифицирани удостоверителни услуги.

2.   Когато използват марката за доверие на ЕС за квалифицираните удостоверителни услуги, посочени в параграф 1, доставчиците на квалифицирани удостоверителни услуги правят необходимото на уебсайта им да присъства линк към съответния доверителен списък.

3.   До 1 юли 2015 г. Комисията определя посредством актове за изпълнение спецификациите относно формата, и по-конкретно представянето, състава, размера и оформлението на марката на доверие на ЕС за обозначаване на квалифицирани удостоверителни услуги. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 24

Изисквания към доставчиците на квалифицирани удостоверителни услуги

1.   При издаването на квалифицирано удостоверение за удостоверителна услуга доставчикът на квалифицирани удостоверителни услуги проверява чрез подходящи средства и в съответствие с националното право самоличността и, ако е приложимо, всички специфични данни за физическото или юридическото лице, на което се издава квалифицираното удостоверение.

Информацията, посочена в първа алинея, се проверява от доставчика на квалифицирани удостоверителни услуги пряко или чрез трета страна в съответствие с националното право:

а)

чрез личното присъствие на физическото лице или на упълномощен представител на юридическото лице; или

б)

дистанционно, чрез средство за електронна идентификация, като за целта преди издаването на квалифицираното удостоверение е било осигурено физическото присъствие на физическото лице или на упълномощен представител на юридическото лице и въпросното средство отговоря на изискванията на член 8 по отношение на нивата на осигуреност „значително“ или „високо“; или

в)

чрез удостоверение за квалифициран електронен подпис или за квалифициран електронен печат, издадено в съответствие с буква а) или б); или

г)

чрез използване на други признати на национално равнище методи за идентификация, които дават ниво на осигуреност, равностойно на физическото присъствие по отношение на надежността. Равностойното ниво на осигуреност се потвърждава от орган за оценяване на съответствието.

2.   Доставчик на квалифицирани удостоверителни услуги:

а)

информира надзорния орган относно всяка промяна в предоставянето от него на квалифицирани удостоверителни услуги, включително за намерението да преустанови тези дейностти;

б)

наема персонал и, ако е приложимо, подизпълнители, които притежават необходимите експертни знания, надеждност, опит и квалификация и са преминали подходящо обучение относно правилата за сигурност и защита на личните данни, и прилага съответстващи на европейските или международните стандарти административни и управленски процедури;

в)

във връзка с риска от отговорност за нанесени щети в съответствие с член 13 поддържа достатъчни финансови ресурси и/или сключва подходяща застраховка за отговорност в съответствие с националното право;

г)

преди встъпването в договорни отношения информира по ясен и разбираем начин всяко лице, което иска да използва квалифицирана удостоверителна услуга, за точните условия и ред за използване на тази услуга, включително за всякакви ограничения, свързани с използването ѝ;

д)

използва надеждни системи и продукти, които са защитени срещу промяна, и гарантира техническата сигурност и надеждност на поддържаните от тях процеси;

е)

използва надеждни системи за съхранение на предоставените му данни във вид, позволяващ проверка, така че:

i)

те да са публично достъпни за извличане само в случаите, когато е получено съгласието на лицето, за което се отнасят данните;

ii)

само упълномощени лица да могат да въвеждат информация и да внасят промени в съхраняваните данни;

iii)

да може да бъде проверена автентичността на данните;

ж)

взема подходящи мерки срещу подправяне и кражба на данни;

з)

записва и съхранява на разположение за подходящ срок, включително след като доставчикът на квалифицирани удостоверителни услуги е преустановил дейността си, цялата имаща отношение информация във връзка с данните, издадени и получени от доставчик на квалифицирани удостоверителни услуги, и по-специално с оглед предоставяне на доказателство при съдебни производства и осигуряване на приемственост при предоставянето на услугата. Тези записи могат да бъдат направени по електронен път;

и)

в съответствие с разпоредбите, подложени на проверка от надзорния орган съгласно член 17, параграф 4, буква и), разполага с актуализиран план за осигуряване на непрекъснатост на обслужването в случай на прекратяване на дейността;

й)

осигурява законосъобразна обработка на лични данни в съответствие с Директива 95/46/ЕО;

к)

в случай на доставчици на квалифицирани удостоверителни услуги, които издават квалифицирани удостоверения — създава база данни с удостоверения и редовно я актуализира.

3.   Ако доставчик на квалифицирани удостоверителни услуги, който издава квалифицирани удостоверения, реши да отмени удостоверение, той регистрира тази отмяна в неговата база данни с удостоверения и публикува отменения статут на удостоверението своевременно, но във всички случаи в срок до24 часа след като бъде получено искането. Отмяната става валидна веднага след като бъде публикувана.

4.   Във връзка с параграф 3 доставчиците на квалифицирани удостоверителни услуги, които издават квалифицирани удостоверения, предоставят на всяка доверяваща се страна информация относно валидността или отмяната на издадените от тях квалифицирани удостоверения. Тази информация се предоставя на разположение по всяко време и дори след срока на валидност на удостоверението най-малко въз основа на удостоверение по автоматизиран начин, който е надежден, безплатен и ефикасен.

5.   Комисията може да определи посредством актове за изпълнение референтните номера на стандартите за надеждни системи и продукти, които отговарят на изискванията по параграф 2, букви д) и е) от настоящия член. Съответствието с изискванията по настоящия член се презюмира, когато надеждните системи и продукти отговарят на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

РАЗДЕЛ 4

Електронни подписи

Член 25

Правна сила на електронните подписи

1.   Правната сила и допустимостта на електронния подпис като доказателство при съдебни производства не могат да бъда оспорени единствено на основанието, че той е в електронна форма или че не отговоря на изискванията за квалифицирани електронни подписи.

2.   Правната сила на квалифицирания електронен подпис е равностойна на тази на саморъчния подпис.

3.   Квалифицираният електронен подпис, основан на квалифицирано удостоверение, издадено в една държава членка, се признава за квалифициран електронен подпис във всички други държави членки.

Член 26

Изисквания към усъвършенстваните електронни подписи

Усъвършенстваният електронен подпис отговаря на следните изисквания:

а)

свързан е по уникален начин с титуляря на подписа;

б)

може да идентифицира титуляря на подписа;

в)

създаден е чрез данни за създаване на електронен подпис, които титулярят на електронния подпис може да използва с висока степен на доверие и единствено под свой контрол; и

г)

свързан е с данните, които са подписани с него, по начин, позволяващ да бъде открита всяка последваща промяна в тях.

Член 27

Електронни подписи в публичните услуги

1.   Ако за използване на онлайн услуга, предлагана от орган от публичния сектор или от негово име, дадена държава членка изисква усъвършенстван електронен подпис, същата държава членка признава усъвършенствани електронни подписи, усъвършенствани електронни подписи, основани на квалифицирано удостоверение за електронни подписи, и квалифицирани електронни подписи поне във форматите или с използване на методите, определени в актовете за изпълнение, посочени в параграф 5.

2.   Ако за използване на онлайн услуга, предлагана от орган от публичния сектор или от негово име, дадена държава членка изисква усъвършенстван електронен подпис, основан на квалифицирано удостоверение, същата държава членка признава усъвършенствани електронни подписи, основани на квалифицирано удостоверение, и квалифицирани електронни подписи поне във форматите или с използване на методите, определени в актовете за изпълнение, посочени в параграф 5.

3.   За трансгранично използване при онлайн услуга, предлагана от орган от публичния сектор, държавите членки не изискват електронен подпис с равнище на сигурност, по-високо от това на квалифицирания електронен подпис.

4.   Комисията може да определи посредством актове за изпълнение референтните номера на стандартите за усъвършенствани електронни подписи. Съответствието с изискванията относно усъвършенстваните електронни подписи, посочени в параграфи 1 и 2 от настоящия член и в член 26, се презюмира, когато усъвършенстваният електронен подпис отговаря на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

5.   До 18 септември 2015 г. и като отчита съществуващите практики, стандарти и правни актове на Съюза, Комисията, посредством актове за изпълнение, определя референтните формати на усъвършенстваните електронни подписи или референтните методи, когато се използват алтернативни формати. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 28

Квалифицирани удостоверения за електронни подписи

1.   Квалифицираните удостоверения за електронни подписи отговарят на изискванията, предвидени в приложение I.

2.   Квалифицираните удостоверения за електронни подписи не подлежат на каквото и да било задължително изискване, което надхвърля изискванията, предвидени в приложение I.

3.   Квалифицираните удостоверения за електронни подписи могат да включват допълнителни незадължителни специфични данни. Тези данни не засягат оперативната съвместимост и признаването на квалифицираните електронни подписи.

4.   Ако квалифицирано удостоверение за електронни подписи бъде отменено след първоначалното активиране, то губи валидността си от момента на отмяната и неговият статут не може да бъде възстановен при никакви обстоятелства.

5.   Държавите членки могат да определят национални правила относно временното спиране на валидността на квалифицирано удостоверение за електронен подпис при спазване на следните условия:

а)

ако квалифицирано удостоверение за електронен подпис бъде временно спряно, то губи валидността си за срока на спирането;

б)

срокът на спирането се отбелязва ясно в базата данни за удостоверенията, а статутът на спряното удостоверение е видим за срока на спирането в рамките на услугата, предоставяща информация за статута на удостоверението.

6.   Комисията може да определи посредством актове за изпълнение референтните номера на стандартите за квалифицирани удостоверения за електронен подпис. Съответствието с изискванията, предвидени в приложение I, се презюмира, когато квалифицираните удостоверения за електронен подпис отговарят на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 29

Изисквания към устройствата за създаване на квалифициран електронен подпис

1.   Устройствата за създаване на квалифициран електронен подпис отговарят на изискванията, предвидени в приложение II.

2.   Комисията може да определи посредством актове за изпълнение референтните номера на стандартите за устройства за създаване на квалифициран електронен подпис. Съответствието с изискванията, предвидени в приложение II, се презюмира, когато устройството за създаване на квалифициран електронен подпис отговаря на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 30

Сертифициране на устройствата за създаване на квалифициран електронен подпис

1.   Съответствието на устройствата за създаване на квалифициран електронен подпис с изискванията, предвидени в приложение II, се сертифицира от съответните публичноправни или частни организации, определени от държавите членки.

2.   Държавите членки съобщават на Комисията наименованията и адресите на публичноправната или частната организация, посочена в параграф 1. Комисията предоставя тази информация на разположение на държавите членки.

3.   Посоченото в параграф 1 сертифициране се основава на едно от следните условия:

а)

процес на оценка на сигурността, осъществен в съответствие с един от стандартите за оценка на сигурността на продукти на информационните технологии, включени в списъка, изготвен в съответствие с втората алинея; или

б)

процес, различен от посочения в буква а), при условие че при него са използвани съпоставими равнища на сигурност и че посочената в параграф 1 публичноправна или частна организация е уведомила Комисията за въпросния процес. Този процес може да се използва само при липса на стандартите, посочени в буква а), или когато посоченият в буква а) процес на оценка на сигурността се извършва в момента.

Комисията изготвя посредством актове за изпълнение списък на стандартите за оценка на сигурността на продукти на информационните технологии, посочени в буква а). Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

4.   На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 47 за установяване на конкретните критерии, на които трябва да отговарят определените органи, посочени в параграф 1 от настоящия член.

Член 31

Публикуване на списък на сертифицираните устройства за създаване на квалифициран електронен подпис

1.   Държавите членки уведомяват Комисията без излишно забавяне и не по-късно от един месец след приключване на сертифицирането за устройствата за създаване на квалифициран електронен подпис, които са сертифицирани от посочените в член 30, параграф 1 организации. Те също така уведомяват Комисията без излишно забавяне и не по-късно от един месец след отмяна на сертифицирането за устройствата за създаване на квалифициран електронен подпис, които вече не отговарят на условията за сертифициране.

2.   Въз основа на получената информация Комисията изготвя, публикува и поддържа списък на сертифицираните устройства за създаване на квалифициран електронен подпис.

3.   Комисията може да определи посредством актове за изпълнение форматите и процедурите за целите на параграф 1. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 32

Изисквания към валидирането на квалифицирани електронни подписи

1.   В процеса на валидиране на квалифициран електронен подпис се потвърждава валидността на квалифицирания електронен подпис, при условие че:

а)

удостоверението в подкрепа на подписа към момента на подписването е било квалифицирано удостоверение за електронен подпис, отговарящо на приложение I;

б)

квалифицираното удостоверение е издадено от доставчик на квалифицирани удостоверителни услуги и е било валидно към момента на подписването;

в)

данните за валидиране на подписа съответстват на данните, предоставени от доверяващата се страна;

г)

уникалният набор от данни, представляващи титуляря на електронния подпис в удостоверението, е надлежно предаден на доверяващата се страна;

д)

ако към момента на подписването е бил използван псевдоним, то това е ясно указано на доверяващата се страна;

е)

електронният подпис е създаден от устройство за създаване на квалифициран електронен подпис;

ж)

целостта на подписаните данни не е застрашена;

з)

изискванията по член 26 са били изпълнени към момента на подписването.

2.   Използваната за валидиране на квалифицирания електронен подпис система предоставя на доверяващата се страна правилния резултат от процеса на валидиране и ѝ позволява да открие евентуални проблеми, свързани със сигурността.

3.   Комисията може да определи посредством актове за изпълнение референтните номера на стандартите за валидиране на квалифицирани електронни подписи. Съответствието с изискванията, предвидени в параграф 1, се презюмира, когато валидирането на квалифицирани електронни подписи отговаря на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 33

Услуга по квалифицирано валидиране на квалифицирани електронни подписи

1.   Услугата по квалифицирано валидиране на квалифицирани електронни подписи може да се предоставя единствено от доставчик на квалифицирани удостоверителни услуги, който:

а)

извършва валидиране в съответствие с член 32, параграф 1; и

б)

дава възможност на доверяващите се страни да получат резултата от процеса на валидиране по автоматизиран начин, който е надежден и ефикасен и носи усъвършенстван електронен подпис или усъвършенстван електронен печат на доставчика на услугата по квалифицирано валидиране.

2.   Комисията може да установи посредством актове за изпълнение референтните номера на стандартите за услугата по квалифицирано валидиране, посочена в параграф 1. Съответствието с изискванията, определени в параграф 1, се презюмира, когато услугата по валидирането на квалифицирани електронни подписи отговаря на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 34

Услуга по квалифицирано съхраняване на квалифицирани електронни подписи

1.   Услугата по квалифицирано съхраняване на квалифицирани електронни подписи може да се предоставя единствено от доставчик на квалифицирани удостоверителни услуги, който използва процедури и технологии, позволяващи надеждността на квалифицирания електронен подпис да се разшири извън срока на технологична валидност.

2.   Комисията може да установи посредством актове за изпълнение референтните номера на стандартите за услугата по квалифицирано съхраняване на квалифицирани електронни подписи. Съответствието с изискванията, определени в параграф 1, се презюмира, когато услугата по квалифицирано съхраняване на квалифицирани електронни подписи отговаря на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

РАЗДЕЛ 5

Електронни печати

Член 35

Правна сила на електронните печати

1.   Правната сила и допустимостта на електронния печат като доказателство в съдебни производства не могат да бъдат оспорени единствено на основанието, че той е в електронна форма или че не отговоря на изискванията за квалифицирани електронни печати.

2.   Квалифицираният електронен печат се ползва от презумпция за цялост на данните и точност на произхода на тези данни, за които се отнася квалифицираният електронен печат.

3.   Квалифицираният електронен печат, основан на квалифицирано удостоверение, издадено в една държава членка, се признава за квалифициран електронен печат във всички други държави членки.

Член 36

Изисквания към квалифицираните електронни печати

Квалифицираният електронен печат отговаря на следните изисквания:

а)

свързан е по уникален начин със създателя на печата;

б)

може да идентифицира създателя на печата;

в)

създаден е чрез данни за създаване на електронен печат, които създателят на електронния печат може да използва с висока степен на доверие и единствено под свой контрол; и

г)

свързан е с данните, за които се отнася, по начин, позволяващ да бъде открита всяка последваща промяна в тях.

Член 37

Електронни печати в публичните услуги

1.   Ако за използване на онлайн услуга, предлагана от орган от публичния сектор или от негово име, дадена държава членка изисква усъвършенстван електронен печат, същата държава членка признава усъвършенствани електронни печати, усъвършенствани електронни печати, основани на квалифицирано удостоверение за електронни печати, и квалифицирани електронни печати поне във форматите или с използване на методите, определени в актовете за изпълнение, посочени в параграф 5.

2.   Ако за използване на онлайн услуга, предлагана от орган от публичния сектор или от негово име, дадена държава членка изисква усъвършенстван електронен печат, основан на квалифицирано удостоверение, същата държава членка признава усъвършенствани електронни печати, основани на квалифицирано удостоверение, и квалифицирани електронни печати поне във форматите или с използване на методите, определени в актовете за изпълнение, посочени в параграф 5.

3.   За трансгранично използване при онлайн услуга, предлагана от орган от публичния сектор, държавите членки не изискват електронен печат с ниво на сигурност, по-високо от това на квалифицирания електронен печат.

4.   Комисията може да установи посредством актове за изпълнение референтните номера на стандартите за усъвършенстваните електронни печати. Съответствието с изискванията относно усъвършенстваните електронни печати, посочени в параграфи 1 и 2 от настоящия член и в член 36, се презюмира, когато усъвършенстваният електронен печат отговаря на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

5.   До 18 септември 2015 г. и като отчита съществуващите практики, стандарти и правни актове на Съюза, Комисията посредством актове за изпълнение определя референтните формати на усъвършенстваните електронни печати или референтните методи, когато се използват алтернативни формати. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 38

Квалифицирани удостоверения за електронни печати

1.   Квалифицираните удостоверения за електронни печати отговарят на изискванията, предвидени в приложение III.

2.   Квалифицираните удостоверения за електронни печати не подлежат на каквито и да било задължителни изисквания, които надхвърлят изискванията, предвидени в приложение III.

3.   Квалифицираните удостоверения за електронни печати могат да включват допълнителни незадължителни специфични данни. Тези данни не засягат оперативната съвместимост и признаването на квалифицираните електронни печати.

4.   Ако квалифицирано удостоверение за електронен печат бъде отменено след първоначалното активиране, то губи валидността си от момента на отмяната и неговият статут не може да бъде възстановен при никакви обстоятелства.

5.   Държавите членки могат да определят национални правила относно временното спиране на валидността на квалифицирани удостоверения за електронни печати при спазване на следните условия:

а)

ако квалифицирано удостоверение за електронен печат бъде временно спряно, то губи валидността си за срока на спирането;

б)

срокът на спирането се отбелязва ясно в базата данни за удостоверенията, а статутът на спиране е видим за срока на това спиране в рамките на услугата, предоставяща информация за статута на удостоверението.

6.   Комисията може да установи посредством актове за изпълнение референтните номера на стандартите за квалифицирани удостоверения за електронни печати. Съответствието с изискванията, предвидени в приложение III, се презюмира, когато квалифицираното удостоверение за електронен печат отговаря на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

Член 39

Устройства за създаване на квалифицирани електронни печати

1.   Член 29 се прилага mutatis mutandis към изискванията за устройства за създаване на квалифицирани електронни печати.

2.   Член 30 се прилага mutatis mutandis към сертифицирането на устройства за създаване на квалифицирани електронни печати.

3.   Член 31 се прилага mutatis mutandis към публикуването на списък на сертифицираните устройства за създаване на квалифицирани електронни печати.

Член 40

Валидиране и съхраняване на квалифицирани електронни печати

Членове 32, 33 и 34 се прилагат mutatis mutandis към валидирането и съхраняването на квалифицирани електронни печати.

РАЗДЕЛ 6

Електронни времеви печати

Член 41

Правна сила на електронните времеви печати

1.   Правната сила и допустимостта на електронния времеви печат като доказателство в съдебни производства не могат да бъдат оспорени единствено на основанието, че той е в електронна форма или че не отговаря на изискванията за квалифициран електронен времеви печат.

2.   Квалифицираният електронен времеви печат се ползва от презумпцията за точност на указаните от него дата и час и за цялост на данните, с които са обвързани датата и часът.

3.   Квалифицираният електронен времеви печат, издаден в една държава членка, се признава за квалифициран електронен времеви печат във всички държави членки.

Член 42

Изисквания към квалифицираните електронни времеви печати

1.   Квалифицираният електронен времеви печат отговаря на следните изисквания:

а)

обвързва датата и часа с данните по начин, който до голяма степен изключва възможността за незабелязана промяна на данните;

б)

основава се на източник на точно време, свързан с координираното универсално време; и

в)

подписан е с усъвършенстван електронен подпис или е подпечатан с усъвършенстван електронен печат на доставчик на квалифицирани удостоверителни услуги или с друг равностоен метод.

2.   Комисията може да установи посредством актове за изпълнение референтните номера на стандартите за обвързване на датата и часа с данните и за източниците на точно време. Съответствието с изискванията, посочени в параграф 1, се презюмира, когато обвързването на датата и часа с данните и източника на точно време отговарят на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

РАЗДЕЛ 7

Услуги за електронна препоръчана поща

Член 43

Правна сила на услугите за електронна препоръчана поща

1.   Правната сила и допустимостта на данните, изпращани и получавани чрез използване на услуги за електронна препоръчана поща, не могат да бъдат оспорени като доказателство в съдебни производства единствено на основанието, че са в електронна форма или че не отговарят на изискванията за квалифицирана услуга за електронна препоръчана поща.

2.   Данните, изпращани и получавани чрез използване на услуги за електронна препоръчана поща, се ползват от презумпцията за цялост на данните, за изпращане на тези данни от идентифицирания изпращач, тяхното получаване от идентифицирания получател и за точност на указаните чрез квалифицираната услуга за електронна препоръчана поща дата и час на изпращане и получаване на данните.

Член 44

Изисквания към квалифицираните услуги за електронна препоръчана поща

1.   Квалифицираните услуги за електронна препоръчана поща отговарят на следните изисквания:

а)

предоставят се от един или повече доставчици на квалифицирани удостоверителни услуги;

б)

гарантират с високо ниво на доверие идентификацията на изпращача;

в)

гарантират идентификацията на получателя преди доставянето на данните;

г)

изпращането и получаването на данни е обезпечено чрез усъвършенстван електронен подпис или усъвършенстван електронен печат на доставчик на квалифицирани удостоверителни услуги по начин, който изключва всякаква възможност за незабелязана промяна на данните;

д)

всяка промяна на данните, необходима за целите на изпращането или получаването на данните, се обозначава ясно за подателя и за получателя на данните;

е)

датата и часът на изпращане и получаване, както и всяка промяна на данните се указват чрез квалифициран електронен времеви печат.

Ако данните се предават между двама или повече доставчици на квалифицирани удостоверителни услуги, изискванията по букви а) — е) се прилагат към всички доставчици на квалифицирани удостоверителни услуги.

2.   Комисията може да установи посредством актове за изпълнение референтните номера на стандартите за процесите на изпращане и получаване на данни. Съответствието с изискванията, посочени в параграф 1, се презюмира, когато процесите на изпращане и получаване на данни съответстват на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

РАЗДЕЛ 8

Удостоверяване автентичността на уебсайтове

Член 45

Изисквания към квалифицираните удостоверения за автентичност на уебсайтове

1.   Квалифицираните удостоверения за автентичност на уебсайтове отговарят на изискванията, предвидени в приложение IV.

2.   Комисията може да установи посредством актове за изпълнение референтните номера на стандартите за квалифицираните удостоверения за автентичност на уебсайтове. Съответствието с изискванията, предвидени в приложение IV, се презюмира, когато дадено квалифицирано удостоверение за автентичност на уебсайт отговаря на тези стандарти. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

ГЛАВА IV

ЕЛЕКТРОННИ ДОКУМЕНТИ

Член 46

Правна сила на електронните документи

Правната сила и допустимостта на електронен документ като доказателство в съдебни производства не могат да бъдат оспорени единствено на основанието, че той е в електронна форма.

ГЛАВА V

РАЗПОРЕДБИ ОТНОСНО ДЕЛЕГИРАНЕ НА ПРАВОМОЩИЯ И АКТОВЕ ЗА ИЗПЪЛНЕНИЕ

Член 47

Упражняване на делегирането

1.   Правомощието да приема делегирани актове се предоставя на Комисията при спазване на определените в настоящия член условия.

2.   Правомощието да приема делегирани актове, посочено в член 30, параграф 4, се предоставя на Комисията за неограничен срок, считано от 17 септември 2014 г.

3.   Делегирането на правомощия, посочено в член 30, параграф 4, може да бъде оттеглено по всяко време от Европейския парламент или от Съвета. С решението за оттегляне се прекратява посоченото в него делегиране на правомощия. То поражда действие в деня след публикуването на решението в Официален вестник на Европейския съюз или на по-късна, посочена в решението дата. То не засяга действителността на делегираните актове, които вече са в сила.

4.   Веднага след като приеме делегиран акт Комисията го нотифицира едновременно на Европейския парламент и на Съвета.

5.   Делегиран акт, приет съгласно член 30, параграф 4, влиза в сила само ако Европейският парламент или Съветът не са представили възражения в срок от два месеца след нотифицирането на акта на Европейския парламент и Съвета или ако преди изтичането на този срок и Европейският парламент, и Съветът са уведомили Комисията, че няма да представят възражения. Този срок се удължава с два месеца по инициатива на Европейския парламент или на Съвета.

Член 48

Процедура на комитет

1.   Комисията се подпомага от комитет. Този комитет е комитет по смисъла на Регламент (ЕС) № 182/2011.

2.   При позоваване на настоящия параграф се прилага член 5 от Регламент (ЕС) № 182/2011.

ГЛАВА VI

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 49

Преглед

Комисията прави преглед на прилагането на настоящия регламент и докладва на Европейския парламент и на Съвета не по-късно от 1 юли 2020 г. Комисията преценява по-специално дали обхватът на настоящия регламент или конкретни негови разпоредби, включително член 6, член 7, буква е), членове 34, 43, 44 и 45, е подходящо да се изменят, като се отчитат придобитият по време на прилагането на настоящия регламент опит и развитието на технологиите, пазара и правната уредба.

Посоченият в първа алинея доклад се придружава, ако е необходимо, от законодателни предложения.

Освен това след доклада по първа алинея Комисията представя на Европейския парламент и на Съвета на всеки четири години доклад относно напредъка в постигането на набелязаните в настоящия регламент цели.

Член 50

Отмяна

1.   Директива 1999/93/ЕО се отменя, считано от 1 юли 2016 г.

2.   Позоваванията на отменената директива се считат за позовавания на настоящия регламент.

Член 51

Преходни мерки

1.   Устройствата за създаване на защитени подписи, чието съответствие е било определено съгласно член 3, параграф 4 от Директива 1999/93/ЕО, се считат за устройства за създаване на квалифицирани подписи съгласно настоящия регламент.

2.   Квалифицираните удостоверения, издадени на физически лица в съответствие с Директива 1999/93/ЕО, се считат за квалифицирани удостоверения за електронни подписи съгласно настоящия регламент до изтичане на срока им.

3.   Доставчик на услуги по сертифициране, който издава квалифицирани удостоверения съгласно Директива 1999/93/ЕО, представя на надзорния орган доклад за оценяване на съответствието в най-кратък срок, но не по-късно от 1 юли 2017 г. До представянето на такъв доклад за оценяване на съответствието и до приключването на оценяването му от надзорния орган този доставчик на услуги по сертифициране се счита за квалифициран доставчик на удостоверителни услуги съгласно настоящия регламент.

4.   Ако доставчик на услуги по сертифициране, който издава квалифицирани удостоверения съгласно Директива 1999/93/ЕО, не представи на надзорния орган доклад за оценяване на съответствието в посочения в параграф 3 срок, този доставчик на услуги по сертифициране не се счита за доставчик на квалифицирани удостоверителни услуги съгласно настоящия регламент, считано от 2 юли 2017 г.

Член 52

Влизане в сила

1.   Настоящият регламент влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.

2.   Настоящият регламент се прилага от 1 юли 2016 г. с изключение на следното:

а)

член 8, параграф 3, член 9, параграф 5, член 12, параграфи 2 — 9, член 17, параграф 8, член 19, параграф 4, член 20, параграф 4, член 21, параграф 4, член 22, параграф 5, член 23, параграф 3, член 24, параграф 5, член 27, параграфи 4 и 5, член 28, параграф 6, член 29, параграф 2, член 30, параграфи 3 и 4, член 31, параграф 3, член 32, параграф 3, член 33, параграф 2, член 34, параграф 2, член 37, параграфи 4 и 5, член 38, параграф 6, член 42, параграф 2, член 44, параграф 2, член 45, параграф 2 и членове 47 и 48 се прилагат, считано от 17 септември 2014 г.;

б)

член 7, член 8, параграфи 1 и 2, членове 9 — 11 и член 12, параграф 1 се прилагат от датата на прилагане на актовете за изпълнение, посочени в член 8, параграф 3 и член 12, параграф 8;

в)

член 6 се прилага, считано от три години от датата на прилагане на актовете за изпълнение, посочени в член 8, параграф 3 и член 12, параграф 8.

3.   Когато схемата за електронна идентификация, за която се извършва уведомяване, е включена в списъка, публикуван от Комисията по силата на член 9, преди датата, посочена в параграф 2, буква в) от настоящия член, признаването на средствата за електронна идентификация в рамките на въпросната схема по силата на член 6 се извършва не по-късно от 12 месеца след публикуването на схемата, но не преди датата, посочена в параграф 2, буква в) от настоящия член.

4.   Независимо от параграф 2, буква в) от настоящия член дадена държава членка може да реши, че средствата за електронна идентификация в рамките на схемата за електронна идентификация, за която се извършва уведомяване по силата на член 9, параграф 1 от страна на друга държава членка, се признават в първата държава членка, считано от датата на прилагане на актовете за изпълнение, посочени в член 8, параграф 3 и член 12, параграф 8. Съответните държави членки информират Комисията. Комисията оповестява публично тази информация.

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.

Съставено в Брюксел на 23 юли 2014 година.

За Европейския парламент

Председател

M. SCHULZ

За Съвета

Председател

S. GOZI


(1)  ОВ C 351, 15.11.2012 г., стр. 73.

(2)  Позиция на Европейския парламент от 3 април 2014 г. (все още непубликувана в Официален вестник) и решение на Съвета от 23 юли 2014 г.

(3)  Директива 1999/93/ЕО на Европейския парламент и на Съвета от 13 декември 1999 г. относно правната рамка на Общността за електронните подписи (ОВ L 13, 19.1.2000 г., стр. 12).

(4)  ОВ C 50 Е, 21.2.2012 г., стр. 1.

(5)  Директива 2006/123/ЕО на Европейския парламент и на Съвета от 12 декември 2006 г. за услугите на вътрешния пазар (ОВ L 376, 27.12.2006 г., стр. 36).

(6)  Директива 2011/24/ЕС на Европейския парламент и на Съвета от 9 март 2011 г. за упражняване на правата на пациентите при трансгранично здравно обслужване (ОВ L 88, 4.4.2011 г., стр. 45).

(7)  Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31).

(8)  Решение 2010/48/ЕО на Съвета от 26 ноември 2009 г. относно сключването от Европейската общност на Конвенцията на Организацията на обединените нации за правата на хората с увреждания (ОВ L 23, 27.1.2010 г., стр. 35).

(9)  Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и надзор на пазара във връзка с предлагането на пазара на продукти и за отмяна на Регламент (ЕИО) № 339/93 (ОВ L 218, 13.8.2008 г., стр. 30).

(10)  Решение 2009/767/ЕО на Комисията от 16 октомври 2009 г. за определяне на мерки, улесняващи прилагането на процедури с помощта на електронни средства чрез единични звена за контакт в съответствие с Директива 2006/123/ЕО на Европейския парламент и на Съвета относно услугите на вътрешния пазар (ОВ L 274, 20.10.2009 г., стр. 36).

(11)  Решение 2011/130/ЕС на Комисията от 25 февруари 2011 г. за установяване на минимални изисквания за трансграничната обработка на документи, подписани електронно от компетентните органи съгласно Директива 2006/123/ЕО на Европейския парламент и на Съвета относно услугите на вътрешния пазар (ОВ L 53, 26.2.2011 г., стр. 66).

(12)  Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията (ОВ L 55, 28.2.2011 г., стр. 13).

(13)  Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001, стр. 1).

(14)  ОВ C 28, 30.1.2013 г., стр. 6.

(15)  Директива 2014/24/ЕС на Европейския парламент и на Съвета от 26 февруари 2014 г. относно възлагането на обществени поръчки и за отмяна на Директива 2004/18/ЕО (ОВ L 94, 28.3.2014 г., стр. 65).


ПРИЛОЖЕНИЕ I

ИЗИСКВАНИЯ КЪМ КВАЛИФИЦИРАНИТЕ УДОСТОВЕРЕНИЯ ЗА ЕЛЕКТРОННИ ПОДПИСИ

Квалифицираните удостоверения за електронни подписи съдържат:

а)

указание най-малко във форма, подходяща за автоматизирана обработка, че удостоверението е издадено като квалифицирано удостоверение за електронен подпис;

б)

набор от данни, които еднозначно представляват издалия квалифицираното удостоверение доставчик на квалифицирани удостоверителни услуги, който набор включва най-малко държавата членка по установяване на доставчика и:

за юридическо лице: наименованието и, където е приложимо, регистрационния номер според официалните регистри,

за физическо лице: името на лицето;

в)

най-малко името на титуляря или псевдоним; ако се използва псевдоним, той се посочва ясно;

г)

данни за валидиране на електронния подпис, които съответстват на данните за създаване на електронния подпис;

д)

информация за началото и края на срока на валидност на удостоверението;

е)

идентификационен код на удостоверението, който е уникален за доставчика на квалифицирани удостоверителни услуги;

ж)

усъвършенстван електронен подпис или усъвършенстван електронен печат на издаващия доставчик на квалифицирани удостоверителни услуги;

з)

място, където удостоверението, което поддържа усъвършенствания електронен подпис или усъвършенствания електронен печат, посочени в буква ж), е на разположение безплатно;

и)

място на услугите, до което се отправят искания за проверка на валидността на квалифицираното удостоверение;

й)

когато данните за създаване на електронен подпис, свързани с данните за валидиране на електронен подпис, се намират в устройство за създаване на квалифициран електронен подпис, това съответно се указва най-малко във форма, подходяща за автоматизирана обработка.


ПРИЛОЖЕНИЕ II

ИЗИСКВАНИЯ КЪМ УСТРОЙСТВАТА ЗА СЪЗДАВАНЕ НА КВАЛИФИЦИРАН ЕЛЕКТРОНЕН ПОДПИС

1.

Устройствата за създаване на квалифициран електронен подпис гарантират чрез подходящи технически и процедурни средства най-малко, че:

а)

поверителността на данните за създаване на електронен подпис, използвани за създаването на електронния подпис, е разумно гарантирана;

б)

данните за създаване на електронен подпис, използвани за създаването на електронния подпис, на практика се срещат само веднъж;

в)

данните за създаване на електронен подпис, използвани за създаването на електронния подпис, са обезпечени в достатъчна степен и не могат да бъдат извлечени, а електронният подпис е надеждно защитен срещу подправяне чрез използване на наличната към момента технология;

г)

данните за създаване на електронен подпис, използвани за създаването на електронния подпис, могат да бъдат надеждно защитени от законния титуляр на електронния подпис срещу използване от други лица.

2.

Устройствата за създаване на квалифициран електронен подпис не изменят данните, които ще бъдат подписвани, и не препятстват представянето им на титуляря на електронния подпис преди подписване.

3.

Генерирането или управлението на данни за създаване на електронен подпис от името на титуляря на електронния подпис може да се извърши единствено от доставчик на квалифицирани удостоверителни услуги.

4.

Без да се засяга точка 1, буква г), доставчиците на квалифицирани удостоверителни услуги, които управляват данни за създаване на електронен подпис от името на титуляря на електронния подпис, могат да дублират данните за създаване на електронен подпис единствено с цел съхраняване на резервно копие, ако са спазени следните изисквания:

а)

сигурността на дублираните набори от данни е на равнището на сигурността на оригиналните набори от данни;

б)

броят на дублираните набори от данни не превишава минимума, необходим за осигуряване на непрекъснатост на обслужването.


ПРИЛОЖЕНИЕ III

ИЗИСКВАНИЯ КЪМ КВАЛИФИЦИРАНИТЕ УДОСТОВЕРЕНИЯ ЗА ЕЛЕКТРОННИ ПЕЧАТИ

Квалифицираните удостоверения за електронни печати съдържат:

а)

указание най-малко във форма, подходяща за автоматизирана обработка, че удостоверението е издадено като квалифицирано удостоверение за електронен печат;

б)

набор от данни, които еднозначно представляват издалия квалифицираното удостоверение доставчик на квалифицирани удостоверителни услуги, който набор включва най-малко държавата членка по установяване на доставчика, и:

за юридическо лице: наименованието и ако е приложимо, регистрационния номер според официалните регистри,

за физическо лице: името на лицето;

в)

най-малко името на създателя на печата и ако е приложимо, регистрационния номер според официалните регистри;

г)

данни за валидиране на електронния печат, които съответстват на данните за създаване на електронния печат;

д)

информация за началото и края на срока на валидност на удостоверението;

е)

идентификационен код на удостоверението, който е уникален за доставчика на квалифицирани удостоверителни услуги;

ж)

усъвършенстван електронен подпис или усъвършенстван електронен печат на издаващия доставчик на квалифицирани удостоверителни услуги;

з)

място, където удостоверението, което поддържа усъвършенствания електронен подпис или усъвършенствания електронен печат, посочени в буква ж), е на разположение безплатно;

и)

място на услугите, до което се отправят искания за проверка на валидността на квалифицираното удостоверение;

й)

когато данните за създаване на електронен печат, свързани с данните за валидиране на електронен печат, се намират в устройство за създаване на квалифициран електронен печат, това съответно се указва най-малко във форма, подходяща за автоматизирана обработка.


ПРИЛОЖЕНИЕ IV

ИЗИСКВАНИЯ КЪМ КВАЛИФИЦИРАНИТЕ УДОСТОВЕРЕНИЯ ЗА АВТЕНТИЧНОСТ НА УЕБСАЙТОВЕ

Квалифицираните удостоверения за автентичност на уебсайтове съдържат:

а)

указание най-малко във форма, подходяща за автоматизирана обработка, че удостоверението е издадено като квалифицирано удостоверение за автентичност на уебсайтове;

б)

набор от данни, които еднозначно представляват издалия квалифицираното удостоверение доставчик на квалифицирани удостоверителни услуги, като наборът включва най-малко държавата членка по установяване на доставчика, и:

за юридическо лице: наименованието и ако е приложимо — регистрационния номер според официалните регистри,

за физическо лице: името на лицето;

в)

за физически лица: най-малко името на лицето, но което е издадено удостоверението, или псевдоним. Ако се използва псевдоним, той се посочва ясно;

за юридически лица: най-малко наименованието на юридическото лице, на което е издадено удостоверението, и ако е приложимо — регистрационния номер според официалните регистри;

г)

елементи на адреса, включително най-малко град и държава, на физическото или юридическото лице, на което е издадено удостоверението, и ако е приложимо — регистрационния номер според официалните регистри;

д)

наименованието на домейна или наименованията на домейните, поддържани от физическото или юридическото лице, на което е издадено удостоверението;

е)

информация за началото и края на срока на валидност на удостоверението;

ж)

идентификационен код на удостоверението, който е уникален за доставчика на квалифицирани удостоверителни услуги;

з)

усъвършенстван електронен подпис или усъвършенстван електронен печат на издаващия доставчик на квалифицирани удостоверителни услуги;

и)

място, където удостоверението, което поддържа усъвършенствания електронен подпис или усъвършенствания електронен печат, посочени в буква з), е на разположение безплатно;

й)

място на услугите по проверка на валидността на удостоверенията, до което се отправят искания за проверка на валидността на квалифицираното удостоверение.