ISSN 1977-0626
Úřední věstník
Evropské unie
L 235
České vydání
Právní předpisy
Svazek 58
9. září2015
|
ISSN 1977-0626 |
||
|
Úřední věstník Evropské unie |
L 235 |
|
|
|
||
|
České vydání |
Právní předpisy |
Svazek 58 |
|
|
|
|
|
(1) Text s významem pro EHP |
|
CS |
Akty, jejichž název není vyti_těn tučně, se vztahují ke každodennímu řízení záležitostí v zemědělství a obecně platí po omezenou dobu. Názvy všech ostatních aktů jsou vytištěny tučně a předchází jim hvězdička. |
II Nelegislativní akty
NAŘÍZENÍ
|
9.9.2015 |
CS |
Úřední věstník Evropské unie |
L 235/1 |
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2015/1501
ze dne 8. září 2015
o rámci interoperability podle čl. 12 odst. 8 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (1), a zejména na čl. 12 odst. 8 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
V čl. 12 odst. 2 nařízení (EU) č. 910/2014 se stanoví, že by měl být zaveden rámec interoperability, aby byly vnitrostátní systémy elektronické identifikace oznámené podle čl. 9 odst. 1 uvedeného nařízení interoperabilní. |
|
(2) |
Ústřední roli při propojení systémů elektronické identifikace členských států hrají uzly. Jejich přínos, včetně funkcí a součástí „uzlu eIDAS“, je vysvětlen v dokumentaci týkající se Nástroje pro propojení Evropy vytvořeného nařízením Evropského parlamentu a Rady (EU) č. 1316/2013 (2). |
|
(3) |
Pokud členský stát nebo Komise poskytuje software umožňující autentizaci uzlu provozovaného v jiném členském státě, strana, která software používaný pro mechanismus autentizace dodává a aktualizuje, se může dohodnout se stranou, která software hostí, jak bude provoz mechanismu autentizace řízen. Z takové dohody by pro hostitelskou stranu neměly vyplynout nepřiměřené technické požadavky nebo náklady (včetně nákladů na podporu, závazky, hostování a jiných nákladů). |
|
(4) |
Pokud je to odůvodněno prováděním rámce interoperability, mohla by Komise ve spolupráci s členskými státy vypracovat další technické specifikace uvádějící podrobnosti o technických požadavcích stanovených v tomto nařízení, zejména s přihlédnutím ke stanoviskům sítě pro spolupráci uvedené v čl. 14 písm. d) prováděcího rozhodnutí Komise (EU) 2015/296 (3). Tyto specifikace by měly být vypracovány jako součást infrastruktur digitálních služeb uvedených v nařízení (EU) č. 1316/2013, v němž se stanoví prostředky pro praktické provedení stavebního prvku elektronické identifikace. |
|
(5) |
Technické požadavky stanovené v tomto nařízení by měly být uplatnitelné navzdory případným změnám technických specifikací, které by mohly být vypracovány podle článku 12 tohoto nařízení. |
|
(6) |
Při stanovování opatření rámce interoperability podle tohoto nařízení byl maximálně zohledněn rozsáhlý pilotní projekt STORK, včetně specifikací vypracovaných v jeho rámci, a zásady a koncepty Evropského rámce interoperability evropských veřejných služeb. |
|
(7) |
Byly maximálně zohledněny výsledky spolupráce mezi členskými státy. |
|
(8) |
Opatření stanovená tímto nařízením jsou v souladu se stanoviskem výboru zřízeného článkem 48 nařízení (EU) č. 910/2014, |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
Předmět
Toto nařízení stanoví technické a provozní požadavky týkající se rámce interoperability, aby byla zajištěna interoperabilita systémů elektronické identifikace, které členské státy oznamují Komisi.
Tyto požadavky zahrnují zejména:
|
a) |
minimální technické požadavky týkající se úrovní záruky a mapování vnitrostátních úrovní záruky oznámených prostředků pro elektronickou identifikaci vydaných v rámci oznámených systémů elektronické identifikace podle článku 8 nařízení (EU) č. 910/2014, jak jsou stanoveny v článcích 3 a 4; |
|
b) |
minimální technické požadavky na interoperabilitu stanovené v článcích 5 a 8; |
|
c) |
minimální soubor osobních identifikačních údajů jedinečně identifikujících fyzickou nebo právnickou osobu stanovený v článku 11 a v příloze; |
|
d) |
společné normy provozní bezpečnosti stanovené v článcích 6, 7, 9 a 10; |
|
e) |
opatření pro řešení sporů stanovená v článku 13. |
Článek 2
Definice
Pro účely tohoto nařízení se rozumí:
|
1) |
„uzlem“ místo připojení, které je součástí architektury interoperability elektronické identifikace a je zapojeno do přeshraniční autentizace osob a které je schopno rozeznat a zpracovávat přenosy údajů nebo je předávat na jiné uzly tím, že umožňuje propojení vnitrostátní infrastruktury elektronické identifikace jednoho členského státu s vnitrostátními infrastrukturami elektronické identifikace ostatních členských států; |
|
2) |
„provozovatelem uzlu“ subjekt odpovědný za to, aby uzel správně a spolehlivě plnil své funkce jako místo připojení. |
Článek 3
Minimální technické požadavky týkající se úrovní záruky
Minimální technické požadavky týkající se úrovní záruky jsou stanoveny v prováděcím nařízení Komise (EU) 2015/1502 (4).
Článek 4
Mapování vnitrostátních úrovní záruky
Mapování vnitrostátních úrovní záruky oznámených systémů elektronické identifikace musí splňovat požadavky stanovené prováděcím nařízením Komise (EU) 2015/1502. Výsledky mapování musí být Komisi oznámeny pomocí šablony oznámení stanovené v prováděcím rozhodnutí Komise (EU) 2015/1505 (5).
Článek 5
Uzly
1. Uzel v jednom členském státě se musí být schopen spojit s uzly jiných členských států.
2. Uzly musí být schopny rozlišovat pomocí technických prostředků mezi subjekty veřejného sektoru a jinými spoléhajícími se stranami.
3. Z provedení technických požadavků stanovených v tomto nařízení jedním členským státem nesmí pro ostatní členské státy vyplývat nepřiměřené technické požadavky a náklady na dosažení interoperability s provedením dotyčného členského státu.
Článek 6
Ochrana a důvěrnost údajů
1. Ochrana soukromí a důvěrnosti vyměňovaných údajů a zachování integrity dat mezi uzly se zajišťují pomocí nejlepších dostupných technických řešení a ochranných postupů.
2. Uzly neuchovávají žádné osobní údaje s výjimkou údajů pro účely stanovené v čl. 9 odst. 3.
Článek 7
Integrita a pravost dat při komunikaci
Komunikace mezi uzly zajišťuje integritu a pravost dat a zaručuje tak, že všechny žádosti a odpovědi jsou autentické a nebyly zmanipulovány. Za tímto účelem uzly používají řešení, která se osvědčila v přeshraničním provozu.
Článek 8
Formát zpráv při komunikaci
Uzly používají jako syntaxi společné formáty zpráv založené na normách, které se mezi členskými státy již několikrát použily a v provozním prostředí se osvědčily. Syntaxe umožňuje:
|
a) |
řádně zpracovat minimální soubor osobních identifikačních údajů jedinečně identifikujících fyzickou nebo právnickou osobu; |
|
b) |
řádně zpracovat úroveň záruky prostředků pro elektronickou identifikaci; |
|
c) |
rozlišovat mezi subjekty veřejného sektoru a jinými spoléhajícími se stranami; |
|
d) |
flexibilitu v případě potřeby dalších atributů týkajících se identifikace. |
Článek 9
Správa bezpečnostních informací a metadat
1. Provozovatel uzlu sděluje metadata správy uzlů ve standardizované strojově zpracovatelné formě a bezpečným a důvěryhodným způsobem.
2. Přinejmenším parametry týkající se bezpečnosti se získávají automaticky.
3. Provozovatel uzlu uchovává údaje, které v případě incidentu umožní rekonstrukci sledu výměny zpráv potřebnou ke zjištění místa a povahy incidentu. Údaje se uchovávají po určitou dobu, která je v souladu s vnitrostátními požadavky, a obsahují minimálně tyto prvky:
|
a) |
identifikaci uzlu; |
|
b) |
identifikaci zprávy; |
|
c) |
datum a čas zprávy. |
Článek 10
Zabezpečení informací a bezpečnostní normy
1. Provozovatelé uzlů provádějících autentizaci musí certifikací nebo rovnocennými metodami posuzování či dodržováním vnitrostátních právních předpisů prokázat, že s ohledem na uzly účastnící se rámce interoperability uzel splňuje požadavky normy ISO/IEC 27001.
2. Provozovatelé uzlů provádějí bez zbytečného odkladu kritické bezpečnostní aktualizace.
Článek 11
Osobní identifikační údaje
1. Minimální soubor osobních identifikačních údajů jedinečně identifikujících fyzickou nebo právnickou osobu musí v případě, že se používá v přeshraničním kontextu, splňovat požadavky stanovené v příloze.
2. Minimální soubor údajů týkající se fyzické osoby, která zastupuje právnickou osobu, musí v případě, že se používá v přeshraničním kontextu, obsahovat kombinaci atributů uvedených v příloze pro fyzické osoby a právnické osoby.
3. Údaje se přenášejí v původním písmu a v případě potřeby rovněž přepsané do latinky.
Článek 12
Technické specifikace
1. Pokud je to odůvodněno postupem provádění rámce interoperability, může síť pro spolupráci zřízená prováděcím rozhodnutím (EU) 2015/296 přijímat podle čl. 14 písm. d) uvedeného nařízení stanoviska týkající se potřeby vypracování technických specifikací. Tyto technické specifikace poskytují další podrobnosti o technických požadavcích stanovených v tomto nařízení.
2. Podle stanoviska uvedeného v odstavci 1 Komise ve spolupráci s členskými státy vypracuje technické specifikace jako součást infrastruktur digitálních služeb uvedených v nařízení (EU) č. 1316/2013.
3. Síť pro spolupráci přijme podle čl. 14 písm. d) prováděcího rozhodnutí (EU) 2015/296 stanovisko, v němž vyhodnotí, zda a do jaké míry technické specifikace vypracované podle odstavce 2 odpovídají potřebě zjištěné ve stanovisku uvedeném v odstavci 1 nebo požadavkům stanoveným v tomto nařízení. Může doporučit, aby členské státy při provádění rámce interoperability technické specifikace zohlednily.
4. Komise poskytne referenční provedení jako příklad výkladu technických specifikací. Členské státy mohou toto referenční provedení uplatnit nebo použít jako vzor při zkoušení jiných způsobů provádění technických specifikací.
Článek 13
Řešení sporů
1. Je-li to možné, řeší každý spor týkající se rámce interoperability dotčený členský stát prostřednictvím jednání.
2. Pokud se k řešení podle odstavce 1 nedospěje, má pravomoc k řešení sporu síť pro spolupráci zřízená podle článku 12 prováděcího rozhodnutí (EU) 2015/296 v souladu se svým jednacím řádem.
Článek 14
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 8. září 2015.
Za Komisi
předseda
Jean-Claude JUNCKER
(1) Úř. věst. L 257, 28.8.2014, s. 73.
(2) Nařízení Evropského parlamentu a Rady (EU) č. 1316/2013 ze dne 11. prosince 2013, kterým se vytváří Nástroj pro propojení Evropy, mění nařízení (EU) č. 913/2010 a zrušují nařízení (ES) č. 680/2007 a (ES) č. 67/2010 (Úř. věst. L 348, 20.12.2013, s. 129).
(3) Prováděcí rozhodnutí Komise (EU) 2015/296 ze dne 24. února 2015, kterým se stanoví procesní opatření pro spolupráci mezi členskými státy v oblasti elektronické identifikace podle čl. 12 odst. 7 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (Úř. věst. L 53, 25.2.2015, s. 14).
(4) Prováděcí nařízení Komise (EU) 2015/1502 ze dne 8. září 2015, kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci podle čl. 8 odst. 3 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (viz strana 7 v tomto čísle Úředního věstníku).
(5) Prováděcí rozhodnutí Komise (EU) 2015/1505 ze dne 8. září 2015, kterým se stanoví technické specifikace a formáty důvěryhodných seznamů podle čl. 22 odst. 5 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (viz strana 26 v tomto čísle Úředního věstníku).
PŘÍLOHA
Požadavky týkající se minimálního souboru osobních identifikačních údajů jedinečně identifikujících fyzickou nebo právnickou osobu podle článku 11
1. Minimální soubor údajů pro fyzické osoby
Minimální soubor údajů pro fyzické osoby musí obsahovat všechny tyto povinné atributy:
|
a) |
současné (současná) příjmení; |
|
b) |
současné jméno (jména); |
|
c) |
datum narození; |
|
d) |
jedinečný identifikátor vytvořený odesílajícím členským státem v souladu s technickými specifikacemi pro účely přeshraniční identifikace a pokud možno následně neměnný. |
Minimální soubor údajů pro fyzické osoby může obsahovat jeden nebo více těchto dalších atributů:
|
a) |
jméno (jména) a příjmení při narození; |
|
b) |
místo narození; |
|
c) |
současnou adresu; |
|
d) |
pohlaví. |
2. Minimální soubor údajů pro právnické osoby
Minimální soubor údajů pro právnické osoby musí obsahovat všechny tyto povinné atributy:
|
a) |
současný oficiální název; |
|
b) |
jedinečný identifikátor vytvořený odesílajícím členským státem v souladu s technickými specifikacemi pro účely přeshraniční identifikace a pokud možno následně neměnný. |
Minimální soubor údajů pro právnické osoby může obsahovat jeden nebo více těchto dalších atributů:
|
a) |
současnou adresu; |
|
b) |
identifikační číslo pro účely DPH; |
|
c) |
daňové registrační číslo; |
|
d) |
identifikační kód uvedený v čl. 3 odst. 1 směrnice Evropského parlamentu a Rady 2009/101/ES (1); |
|
e) |
identifikační kód právnické osoby uvedený v prováděcím nařízení Komise (EU) č. 1247/2012 (2); |
|
f) |
registrační a identifikační číslo hospodářských subjektů (EORI) uvedené v prováděcím nařízení Komise (EU) č. 1352/2013 (3); |
|
g) |
číslo pro účely spotřebních daní stanovené v čl. 2 bodu 12 nařízení Rady (ES) č. 389/2012 (4). |
(1) Směrnice Evropského parlamentu a Rady 2009/101/ES ze dne 16. září 2009 o koordinaci ochranných opatření, která jsou na ochranu zájmů společníků a třetích osob vyžadována v členských státech od společností ve smyslu čl. 48 druhého pododstavce Smlouvy, za účelem dosažení rovnocennosti těchto opatření (Úř. věst. L 258, 1.10.2009, s. 11).
(2) Prováděcí nařízení Komise (EU) č. 1247/2012 ze dne 19. prosince 2012, kterým se stanoví prováděcí technické normy, pokud jde o formát a četnost vykazování obchodů do registrů obchodních údajů podle nařízení Evropského parlamentu a Rady (EU) č. 648/2012 o OTC derivátech, ústředních protistranách a registrech obchodních údajů (Úř. věst. L 352, 21.12.2012, s. 20).
(3) Prováděcí nařízení Komise (EU) č. 1352/2013 ze dne 4. prosince 2013, kterým se zavádějí formuláře upravené nařízením Evropského parlamentu a Rady (EU) č. 608/2013 o vymáhání práv duševního vlastnictví celními orgány (Úř. věst. L 341, 18.12.2013, s. 10).
(4) Nařízení Rady (EU) č. 389/2012 ze dne 2. května 2012 o správní spolupráci v oblasti spotřebních daní a o zrušení nařízení (ES) č. 2073/2004 (Úř. věst. L 121, 8.5.2012, s. 1).
|
9.9.2015 |
CS |
Úřední věstník Evropské unie |
L 235/7 |
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2015/1502
ze dne 8. září 2015,
kterým se stanoví minimální technické specifikace a postupy pro úrovně záruky prostředků pro elektronickou identifikaci podle čl. 8 odst. 3 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (1), a zejména na čl. 8 odst. 3 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Článek 8 nařízení (EU) č. 910/2014 stanoví, že systém elektronické identifikace oznámený podle čl. 9 odst. 1 musí uvádět nízkou, značnou nebo vysokou úroveň záruky pro prostředky pro elektronickou identifikaci vydávané v rámci tohoto systému. |
|
(2) |
Je nezbytné stanovit minimální technické specifikace, normy a postupy, aby bylo dosaženo obecné shody ohledně podrobností týkajících se úrovní záruky a byla zajištěna interoperabilita při mapování vnitrostátních úrovní záruky oznámených systémů elektronické identifikace podle úrovní záruky uvedených v článku 8, jak stanoví čl. 12 odst. 4 písm. b) nařízení (EU) č. 910/2014. |
|
(3) |
Při stanovování specifikací a postupů v tomto prováděcím aktu byla jako základní mezinárodní norma dostupná v oblasti úrovní záruky prostředků pro elektronickou identifikaci zohledněna mezinárodní norma ISO/IEC 29115. Obsah nařízení (EU) č. 910/2014 se však od uvedené mezinárodní normy liší, zejména pokud jde o požadavky na prokazování a ověřování totožnosti a o způsob, jakým se zohledňují rozdíly mezi opatřeními členských států v oblasti totožnosti a stávajícími nástroji v Evropské unii v téže oblasti. Příloha by proto neměla odkazovat na žádný konkrétní obsah mezinárodní normy ISO/IEC 29115, přestože z této normy vychází. |
|
(4) |
Toto nařízení bylo vypracováno na základě přístupu orientovaného na výsledky, protože tento přístup byl nejvhodnější, což je rovněž patrné v definicích použitých k upřesnění pojmů a konceptů. Berou v úvahu cíl nařízení (EU) č. 910/2014, pokud jde o úrovně záruky prostředků pro elektronickou identifikaci. Proto by se při stanovování specifikací a postupů v tomto prováděcím aktu měl co nejvíce zohlednit rozsáhlý pilotní projekt STORK, včetně specifikací vypracovaných v jeho rámci, a definice a koncepty z ISO/IEC 29115. |
|
(5) |
V závislosti na kontextu, v němž je třeba ověřit nějaký aspekt prokázání totožnosti, mohou mít spolehlivé zdroje různou podobu, např. registrů, dokumentů, subjektů aj. Spolehlivé zdroje se mohou v různých členských státech navzdory podobnému kontextu lišit. |
|
(6) |
Požadavky na prokazování a ověřování totožnosti by měly zohlednit různé systémy a postupy a současně zajistit dostatečně vysokou úroveň záruky, aby byla vytvořena nezbytná důvěra. Postupy, které se předtím používaly pro jiné účely než vydávání prostředků pro elektronickou identifikaci, by proto měly být přijaty za podmínky, že tyto postupy splňují požadavky stanovené pro příslušnou úroveň záruky. |
|
(7) |
Obvykle se používají určité faktory autentizace, jako jsou sdílená tajemství, fyzické prostředky a fyzické vlastnosti. Za účelem zvýšení bezpečnosti procesu autentizace by se však mělo podpořit používání většího počtu faktorů autentizace, zejména z různých kategorií faktorů. |
|
(8) |
Tímto nařízením by neměla být dotčena práva právnických osob na zastoupení. V příloze by však měly být stanoveny požadavky na propojení mezi prostředky pro elektronickou identifikaci fyzických a právnických osob. |
|
(9) |
Měl by být uznán význam systémů řízení informační bezpečnosti a služeb, jakož i význam používání uznaných metod a uplatňování zásad obsažených v normách, jako je řada ISO/IEC 27000 a ISO/IEC 20000. |
|
(10) |
Dále by se měly zohlednit osvědčené postupy v členských státech týkající se úrovní záruky. |
|
(11) |
Důležitým nástrojem pro ověřování souladu produktů s bezpečnostními požadavky tohoto prováděcího aktu je certifikace bezpečnosti IT systémů založená na mezinárodních normách. |
|
(12) |
Výbor uvedený v článku 48 nařízení (EU) č. 910/2014 nezaujal stanovisko ve lhůtě stanovené předsedou, |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
1. Nízká, značná a vysoká úroveň záruky prostředků pro elektronickou identifikaci vydaných v rámci oznámeného systému elektronické identifikace se určí s ohledem na specifikace a postupy stanovené v příloze.
2. Specifikace a postupy stanovené v této příloze se použijí k upřesnění úrovně záruky prostředků pro elektronickou identifikaci vydaných v rámci oznámeného systému elektronické identifikace určením spolehlivosti a kvality těchto prvků:
|
a) |
přihlášení, jak je stanoveno v oddíle 2.1 přílohy tohoto nařízení v souladu s čl. 8 odst. 3 písm. a) nařízení (EU) č. 910/2014; |
|
b) |
správy prostředků pro elektronickou identifikaci, jak je stanoveno v oddíle 2.2 přílohy tohoto nařízení podle čl. 8 odst. 3 písm. b) a f) nařízení (EU) č. 910/2014; |
|
c) |
autentizace, jak je stanoveno v oddíle 2.3 přílohy tohoto nařízení v souladu s čl. 8 odst. 3 písm. c) nařízení (EU) č. 910/2014; |
|
d) |
řízení a organizace, jak je stanoveno v oddíle 2.4 přílohy tohoto nařízení v souladu s čl. 8 odst. 3 písm. d) a e) nařízení (EU) č. 910/2014. |
3. Pokud prostředek pro elektronickou identifikaci vydaný v rámci oznámeného systému elektronické identifikace splňuje požadavek uvedený ve vyšší úrovni záruky, má se za to, že splňuje odpovídající požadavek nižší úrovně záruky.
4. Není-li v příslušné části přílohy uvedeno jinak, musí být k dosažení požadované úrovně záruky splněny všechny prvky uvedené v příloze pro konkrétní úroveň záruky prostředků pro elektronickou identifikaci vydaných v rámci oznámeného systému elektronické identifikace.
Článek 2
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 8. září 2015.
Za Komisi
předseda
Jean-Claude JUNCKER
(1) Úř. věst. L 257, 28.8.2014, s. 73.
PŘÍLOHA
Technické specifikace a postupy pro nízkou, značnou a vysokou úroveň záruky prostředků pro elektronickou identifikaci vydaných v rámci oznámeného systému elektronické identifikace
1. Použitelné definice
Pro účely této přílohy se použijí tyto definice:
|
1) |
„spolehlivým zdrojem“ se rozumí jakýkoli zdroj bez ohledu na svou formu, u něhož se lze spolehnout na to, že poskytuje přesné údaje, informace a/nebo důkazy, které lze použít k prokázání totožnosti; |
|
2) |
„faktorem autentizace“ se rozumí faktor, který je prokazatelně spojen s osobou a spadá do některé z těchto kategorií:
|
|
3) |
„dynamickou autentizací“ se rozumí elektronický proces, který s využitím kryptografie nebo jiných metod vytváří na požádání elektronický důkaz, že osoba disponuje identifikačními údaji nebo je má ve svém vlastnictví a který se mění při každé autentizaci mezi osobou a systémem ověřujícím její totožnost; |
|
4) |
„systémem řízení bezpečnosti informací“ se rozumí soubor procesů a postupů určených ke zmírňování rizik týkajících se bezpečnosti informací na přijatelné úrovně. |
2. Technické specifikace a postupy
Prvky technických specifikací a postupů uvedené v této příloze se použijí k určení způsobu, jak se požadavky a kritéria článku 8 nařízení (EU) č. 910/2014 uplatňují na prostředky pro elektronickou identifikaci vydané v rámci systému elektronické identifikace.
2.1. Přihlášení
2.1.1.
|
Úroveň záruky |
Potřebné prvky |
||||||
|
Nízká |
|
||||||
|
Značná |
Stejné jako při nízké úrovni. |
||||||
|
Vysoká |
Stejné jako při nízké úrovni. |
2.1.2.
|
Úroveň záruky |
Potřebné prvky |
||||||||||
|
Nízká |
|
||||||||||
|
Značná |
Nízká úroveň a navíc musí být splněna jedna z alternativ uvedených v bodech 1 až 4:
|
||||||||||
|
Vysoká |
Musí být splněny požadavky bodu 1, nebo bodu 2:
|
2.1.3.
|
Úroveň záruky |
Potřebné prvky |
||||||
|
Nízká |
|
||||||
|
Značná |
Nízká úroveň a navíc musí být splněna jedna z alternativ uvedených v bodech 1 až 3:
|
||||||
|
Vysoká |
Značná úroveň a navíc musí být splněna jedna z alternativ uvedených v bodech 1 až 3:
|
2.1.4.
V příslušných případech platí pro propojení mezi prostředky pro elektronickou identifikaci fyzické osoby a prostředky pro elektronickou identifikaci právnické osoby (dále jen „propojení“) tyto podmínky:
|
1) |
Propojení musí být možné pozastavit a/nebo zrušit. Životní cyklus propojení (např. aktivace, pozastavení, obnovení, zrušení) je spravován podle vnitrostátně uznávaných postupů. |
|
2) |
Fyzická osoba, jejíž prostředek pro elektronickou identifikaci je propojen s prostředkem pro elektronickou identifikaci právnické osoby, může pověřit vykonáváním propojení jinou fyzickou osobu na základě vnitrostátně uznávaných postupů. Odpovědnost však nadále nese pověřující fyzická osoba. |
|
3) |
Propojení se provádí následujícím způsobem:
|
2.2. Správa prostředků pro elektronickou identifikaci
2.2.1.
|
Úroveň záruky |
Potřebné prvky |
||||
|
Nízká |
|
||||
|
Značná |
|
||||
|
Vysoká |
Značná úroveň a navíc:
|
2.2.2.
|
Úroveň záruky |
Potřebné prvky |
|
Nízká |
Po vydání je prostředek pro elektronickou identifikaci doručen prostřednictvím mechanismu, na základě kterého lze předpokládat, že prostředek dostane pouze určená osoba. |
|
Značná |
Po vydání je prostředek pro elektronickou identifikaci doručen prostřednictvím mechanismu, na základě kterého lze předpokládat, že je prostředek předán pouze do vlastnictví osoby, které patří. |
|
Vysoká |
V procesu aktivace se ověří, že byl prostředek pro elektronickou identifikaci předán pouze do vlastnictví osoby, které patří. |
2.2.3.
|
Úroveň záruky |
Potřebné prvky |
||||||
|
Nízká |
|
||||||
|
Značná |
Stejné jako při nízké úrovni. |
||||||
|
Vysoká |
Stejné jako při nízké úrovni. |
2.2.4.
|
Úroveň záruky |
Potřebné prvky |
|
Nízká |
S přihlédnutím k rizikům změny osobních identifikačních údajů musí obnova nebo výměna splňovat stejné požadavky na záruku jako původní prokazování a ověřování totožnosti nebo vycházet z platného prostředku pro elektronickou identifikaci se stejnou nebo vyšší úrovní záruky. |
|
Značná |
Stejné jako při nízké úrovni. |
|
Vysoká |
Nízká úroveň a navíc: Pokud obnovení nebo výměna probíhá na základě platného prostředku pro elektronickou identifikaci, ověří se údaje o totožnosti podle spolehlivého zdroje. |
2.3. Autentizace
Tento oddíl se zaměřuje na hrozby související s používáním mechanismu autentizace a obsahuje požadavky pro každou úroveň záruky. Kontroly se v tomto oddíle považují za přiměřené rizikům na dané úrovni.
2.3.1.
V následující tabulce jsou pro každou úroveň záruky stanoveny požadavky na mechanismus autentizace, jehož prostřednictvím fyzická nebo právnická osoba používá prostředek pro elektronickou identifikaci k potvrzení své totožnosti spoléhající se straně.
|
Úroveň záruky |
Potřebné prvky |
||||||
|
Nízká |
|
||||||
|
Značná |
Nízká úroveň a navíc:
|
||||||
|
Vysoká |
Značná úroveň a navíc: Mechanismus autentizace provádí bezpečnostní kontroly k ověření prostředku pro elektronickou identifikaci, takže je velmi nepravděpodobné, že by činnosti jako hádání, odposlech, opakování nebo manipulace komunikace ze strany útočníka s vysokým potenciálem útoku mohly mechanismy autentizace narušit. |
2.4. Řízení a organizace
Všichni účastníci, kteří poskytují služby související s elektronickou identifikací v přeshraničním kontextu (dále jen „poskytovatelé“), musí mít zavedeny dokumentované postupy řízení bezpečnosti informací, politiky, přístupy k řízení rizik a další uznané kontroly, aby správním orgánům příslušným pro systémy elektronické identifikace v jednotlivých členských státech poskytli záruku, že se používají účinné postupy. Všechny požadavky/prvky v oddíle 2.4 se považují za přiměřené rizikům na dané úrovni.
2.4.1.
|
Úroveň záruky |
Potřebné prvky |
||||||||||
|
Nízká |
|
||||||||||
|
Značná |
Stejné jako při nízké úrovni. |
||||||||||
|
Vysoká |
Stejné jako při nízké úrovni. |
2.4.2.
|
Úroveň záruky |
Potřebné prvky |
||||||
|
Nízká |
|
||||||
|
Značná |
Stejné jako při nízké úrovni. |
||||||
|
Vysoká |
Stejné jako při nízké úrovni. |
2.4.3.
|
Úroveň záruky |
Potřebné prvky |
|
Nízká |
Existuje účinný systém řízení bezpečnosti informací pro řízení a kontrolu rizik v oblasti bezpečnosti informací. |
|
Značná |
Nízká úroveň a navíc: Systém řízení bezpečnosti informací dodržuje osvědčené normy nebo zásady řízení a kontroly rizik v oblasti bezpečnosti informací. |
|
Vysoká |
Stejné jako při značné úrovni. |
2.4.4.
|
Úroveň záruky |
Potřebné prvky |
||||
|
Nízká |
|
||||
|
Značná |
Stejné jako při nízké úrovni. |
||||
|
Vysoká |
Stejné jako při nízké úrovni. |
2.4.5.
V následující tabulce jsou uvedeny požadavky týkající se zařízení a personálu a případně subdodavatelů, kteří vykonávají úkoly v oblasti působnosti tohoto nařízení. Shoda s každým z požadavků musí být úměrná úrovni rizika spojeného s poskytovanou úrovní záruky.
|
Úroveň záruky |
Potřebné prvky |
||||||||
|
Nízká |
|
||||||||
|
Značná |
Stejné jako při nízké úrovni. |
||||||||
|
Vysoká |
Stejné jako při nízké úrovni. |
2.4.6.
|
Úroveň záruky |
Potřebné prvky |
||||||||||
|
Nízká |
|
||||||||||
|
Značná |
Stejné jako při nízké úrovni a navíc: Citlivý kryptografický materiál, který se používá pro vydávání prostředků pro elektronickou identifikaci a autentizaci, je chráněn před neoprávněnou manipulací. |
||||||||||
|
Vysoká |
Stejné jako při značné úrovni. |
2.4.7.
|
Úroveň záruky |
Potřebné prvky |
||||
|
Nízká |
Existují pravidelné interní audity, jejichž rozsah zahrnuje všechny úseky týkající se poskytování služeb, aby se zajistilo dodržování příslušné politiky. |
||||
|
Značná |
Existují pravidelné nezávislé interní nebo externí audity, jejichž rozsah zahrnuje všechny úseky týkající se poskytování služeb, aby se zajistilo dodržování příslušné politiky. |
||||
|
Vysoká |
|
(1) Nařízení Evropského parlamentu a Rady (ES) č. 765/2008 ze dne 9. července 2008, kterým se stanoví požadavky na akreditaci a dozor nad trhem týkající se uvádění výrobků na trh a kterým se zrušuje nařízení (EHS) č. 339/93 (Úř. věst. L 218, 13.8.2008, s. 30).
|
9.9.2015 |
CS |
Úřední věstník Evropské unie |
L 235/21 |
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2015/1503
ze dne 8. září 2015
o stanovení paušálních dovozních hodnot pro určení vstupní ceny některých druhů ovoce a zeleniny
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 1308/2013 ze dne 17. prosince 2013, kterým se stanoví společná organizace trhů se zemědělskými produkty a zrušují nařízení Rady (EHS) č. 922/72, (EHS) č. 234/79, (ES) č. 1037/ 2001 a (ES) č. 1234/2007 (1),
s ohledem na prováděcí nařízení Komise (EU) č. 543/2011 ze dne 7. června 2011, kterým se stanoví prováděcí pravidla k nařízení Rady (ES) č. 1234/2007 pro odvětví ovoce a zeleniny a odvětví výrobků z ovoce a zeleniny (2), a zejména na čl. 136 odst. 1 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Prováděcí nařízení (EU) č. 543/2011 stanoví na základě výsledků Uruguayského kola mnohostranných obchodních jednání kritéria, podle kterých má Komise stanovit paušální hodnoty pro dovoz ze třetích zemí, pokud jde o produkty a lhůty uvedené v části A přílohy XVI uvedeného nařízení. |
|
(2) |
Paušální dovozní hodnota se vypočítá každý pracovní den v souladu s čl. 136 odst. 1 prováděcího nařízení (EU) č. 543/2011, a přitom se zohlední proměnlivé denní údaje. Toto nařízení by proto mělo vstoupit v platnost dnem zveřejnění v Úředním věstníku Evropské unie, |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
Paušální dovozní hodnoty uvedené v článku 136 prováděcího nařízení (EU) č. 543/2011 jsou stanoveny v příloze tohoto nařízení.
Článek 2
Toto nařízení vstupuje v platnost dnem zveřejnění v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 8. září 2015.
Za Komisi,
jménem předsedy,
Jerzy PLEWA
generální ředitel pro zemědělství a rozvoj venkova
(1) Úř. věst. L 347, 20.12.2013, s. 671.
(2) Úř. věst. L 157, 15.6.2011, s. 1.
PŘÍLOHA
Paušální dovozní hodnoty pro určení vstupní ceny některých druhů ovoce a zeleniny
|
(EUR/100 kg) |
||
|
Kód KN |
Kód třetích zemí (1) |
Paušální dovozní hodnota |
|
0702 00 00 |
MA |
173,3 |
|
MK |
48,7 |
|
|
XS |
41,5 |
|
|
ZZ |
87,8 |
|
|
0707 00 05 |
MK |
76,3 |
|
TR |
116,3 |
|
|
XS |
42,0 |
|
|
ZZ |
78,2 |
|
|
0709 93 10 |
TR |
133,1 |
|
ZZ |
133,1 |
|
|
0805 50 10 |
AR |
135,9 |
|
BO |
135,7 |
|
|
CL |
125,5 |
|
|
UY |
142,2 |
|
|
ZA |
136,9 |
|
|
ZZ |
135,2 |
|
|
0806 10 10 |
EG |
239,8 |
|
MK |
63,9 |
|
|
TR |
129,5 |
|
|
ZZ |
144,4 |
|
|
0808 10 80 |
AR |
188,7 |
|
BR |
93,9 |
|
|
CL |
134,4 |
|
|
NZ |
143,4 |
|
|
US |
112,5 |
|
|
UY |
110,5 |
|
|
ZA |
117,6 |
|
|
ZZ |
128,7 |
|
|
0808 30 90 |
AR |
131,9 |
|
CL |
100,0 |
|
|
TR |
122,9 |
|
|
ZA |
113,5 |
|
|
ZZ |
117,1 |
|
|
0809 30 10, 0809 30 90 |
MK |
80,1 |
|
TR |
141,7 |
|
|
ZZ |
110,9 |
|
|
0809 40 05 |
BA |
54,8 |
|
IL |
336,8 |
|
|
MK |
44,1 |
|
|
XS |
70,3 |
|
|
ZZ |
126,5 |
|
(1) Klasifikace zemí podle nařízení Komise (EU) č. 1106/2012 ze dne 27. listopadu 2012, kterým se provádí nařízení Evropského parlamentu a Rady (ES) č. 471/2009 o statistice Společenství týkající se zahraničního obchodu se třetími zeměmi, pokud jde o aktualizaci klasifikace zemí a území (Úř. věst. L 328, 28.11.2012, s. 7). Kód „ZZ“ znamená „jiného původu“.
ROZHODNUTÍ
|
9.9.2015 |
CS |
Úřední věstník Evropské unie |
L 235/24 |
PROVÁDĚCÍ ROZHODNUTÍ KOMISE (EU) 2015/1504
ze dne 7. září 2015,
kterým se některým členským státům udělují výjimky týkající se poskytování statistik podle nařízení Evropského parlamentu a Rady (ES) č. 1099/2008 o energetické statistice
(oznámeno pod číslem C(2015) 6105)
(Pouze estonské, francouzské, nizozemské, řecké a slovenské znění je závazné)
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (ES) č. 1099/2008 ze dne 22. října 2008 o energetické statistice (1), a zejména na čl. 5 odst. 4 a čl. 10 odst. 2 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
V souladu s čl. 5 odst. 4 nařízení (ES) č. 1099/2008 mohou být na základě řádně odůvodněné žádosti členského státu uděleny výjimky u těch částí národních statistik, jejichž sběr by vedl k nadměrnému zatížení respondentů. |
|
(2) |
Belgie, Estonsko, Kypr a Slovensko předložily žádosti o získání výjimek, pokud jde o poskytování podrobných statistik spotřeby energie v domácnostech podle typu konečného užití za určité referenční roky. |
|
(3) |
Informace poskytnuté těmito členskými státy je opravňuje, aby jim byly uděleny výjimky. |
|
(4) |
Opatření stanovená v tomto rozhodnutí jsou v souladu se stanoviskem Výboru pro Evropský statistický systém, |
PŘIJALA TOTO ROZHODNUTÍ:
Článek 1
Udělují se následující výjimky z ustanovení nařízení (ES) č. 1099/2008:
|
1) |
Belgii se uděluje výjimka z vykazování výsledků za referenční rok 2015 pro bod 1.2.3, položky 4.2.1 až 4.2.5, bod 2.2.3, položky 4.2.1 až 4.2.5, bod 3.2.3, položky 3.1 až 3.6, bod 4.2.3, položky 7.2.1 až 7.2.5 a bod 5.2.4, položky 4.2.1 až 4.2.5 přílohy B, která se týká podrobných statistik spotřeby energie v domácnostech podle typu konečného užití (podle definice v bodu 2.3 položce 26 „Ostatní sektory – Domácnosti“ v příloze A). |
|
2) |
Estonsku se uděluje výjimka z vykazování výsledků za referenční roky 2015, 2016 a 2017 pro bod 1.2.3, položky 4.2.1 až 4.2.5, bod 2.2.3, položky 4.2.1 až 4.2.5, bod 3.2.3, položky 3.1 až 3.6, bod 4.2.3, položky 7.2.1 až 7.2.5 a bod 5.2.4 položky 4.2.1 až 4.2.5 přílohy B, která se týká podrobných statistik spotřeby energie v domácnostech podle typu konečného užití (podle definice v bodu 2.3 položce 26 „Ostatní sektory – Domácnosti“ v příloze A). |
|
3) |
Kypru se uděluje výjimka z vykazování výsledků za referenční roky 2015, 2016 a 2017 pro bod 1.2.3, položky 4.2.1 až 4.2.5, bod 2.2.3, položky 4.2.1 až 4.2.5, bod 3.2.3, položky 3.1 až 3.6 a bod 5.2.4, položky 4.2.1 až 4.2.5 přílohy B, která se týká podrobných statistik spotřeby energie v domácnostech podle typu konečného užití (podle definice v bodu 2.3 položce 26 „Ostatní sektory – Domácnosti“ v příloze A). |
|
4) |
Slovensku se uděluje výjimka z vykazování výsledků za referenční roky 2015 a 2016 pro bod 1.2.3, položky 4.2.1 až 4.2.5, bod 2.2.3, položky 4.2.1 až 4.2.5, bod 3.2.3, položky 3.1 až 3.6, bod 4.2.3, položky 7.2.1 až 7.2.5 a bod 5.2.4, položky 4.2.1 až 4.2.5 přílohy B, která se týká podrobných statistik spotřeby energie v domácnostech podle typu konečného užití (podle definice v bodu 2.3 položce 26 „Ostatní sektory – Domácnosti“ v příloze A). |
Článek 2
Toto rozhodnutí je určeno Belgickému království, Estonské republice, Kyperské republice a Slovenské republice.
V Bruselu dne 7. září 2015.
Za Komisi
Marianne THYSSEN
členka Komise
(1) Úř. věst. L 304, 14.11.2008, s. 1.
|
9.9.2015 |
CS |
Úřední věstník Evropské unie |
L 235/26 |
PROVÁDĚCÍ ROZHODNUTÍ KOMISE (EU) 2015/1505
ze dne 8. září 2015,
kterým se stanoví technické specifikace a formáty důvěryhodných seznamů podle čl. 22 odst. 5 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (1), a zejména na čl. 22 odst. 5 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Důvěryhodné seznamy jsou nezbytné při budování důvěry mezi tržními subjekty, jelikož udávají status poskytovatele služeb v okamžiku dohledu. |
|
(2) |
Přeshraniční používání elektronických podpisů bylo usnadněno rozhodnutím Komise 2009/767/ES (2), které pro členské státy zavedlo povinnost zřídit, udržovat a zveřejňovat důvěryhodné seznamy obsahující informace o poskytovatelích certifikačních služeb, kteří vydávají kvalifikované certifikáty pro veřejnost v souladu se směrnicí Evropského parlamentu a Rady 1999/93/ES (3) a nad nimiž vykonávají dohled nebo je akreditovaly členské státy. |
|
(3) |
Podle článku 22 nařízení (EU) č. 910/2014 musí členské státy zabezpečeným způsobem zřizovat, udržovat a zveřejňovat důvěryhodné seznamy, které jsou opatřeny elektronickým podpisem nebo elektronickou pečetí, a to ve formě vhodné pro automatické zpracování, a oznámit Komisi subjekty odpovědné za zřízení vnitrostátních důvěryhodných seznamů. |
|
(4) |
Poskytovatel služeb vytvářejících důvěru a jím poskytované služby vytvářející důvěru by měly být považovány za kvalifikované, pokud je poskytovateli na důvěryhodném seznamu přiřazen status kvalifikovaného poskytovatele. S cílem zajistit, aby poskytovatelé služeb mohli snadno na dálku a pomocí elektronických prostředků plnit ostatní povinnosti vyplývající z nařízení (EU) č. 910/2014, zejména ty, které jsou stanoveny v článcích 27 a 37, a za účelem naplnění oprávněných očekávání jiných poskytovatelů certifikačních služeb, kteří sice nevydávají kvalifikované certifikáty, avšak poskytují služby související s elektronickými podpisy podle směrnice 1999/93/ES a jsou do 30. června 2016 zahrnuti do seznamu, měly by mít členské státy možnost dobrovolně na vnitrostátní úrovni doplnit na důvěryhodné seznamy služby vytvářející důvěru jiné než kvalifikované, pokud je jasně uvedeno, že nejsou kvalifikované v souladu s nařízením (EU) č. 910/2014. |
|
(5) |
V souladu s 25. bodem odůvodnění nařízení (EU) č. 910/2014 mohou členské státy doplnit i jiné typy vnitrostátně definovaných služeb vytvářejících důvěru než ty, které jsou uvedeny v čl. 3 bodu 16 nařízení (EU) č. 910/2014, za předpokladu, že je jasně uvedeno, že nejsou kvalifikované v souladu s nařízením (EU) č. 910/2014. |
|
(6) |
Opatření stanovená tímto rozhodnutím jsou v souladu se stanoviskem výboru zřízeného článkem 48 nařízení (EU) č. 910/2014, |
PŘIJALA TOTO ROZHODNUTÍ:
Článek 1
Členské státy zřídí, zveřejní a udržují důvěryhodné seznamy obsahující informace o kvalifikovaných poskytovatelích služeb vytvářejících důvěru, nad nimiž vykonávají dohled, jakož i informace o kvalifikovaných službách vytvářejících důvěru, které tito poskytovatelé poskytují. Tyto seznamy musí být v souladu s technickými specifikacemi stanovenými v příloze I.
Článek 2
Členské státy mohou do důvěryhodných seznamů zahrnout informace o nekvalifikovaných poskytovatelích služeb vytvářejících důvěru spolu s informacemi o nekvalifikovaných službách vytvářejících důvěru, které tito poskytovatelé poskytují. Seznam musí jasně uvádět, kteří poskytovatelé služeb vytvářejících důvěru a které jimi poskytované služby vytvářející důvěru nejsou kvalifikované.
Článek 3
1. Podle čl. 22 odst. 2 nařízení (EU) č. 910/2014 opatří členské státy formu vhodnou pro automatické zpracování svých důvěryhodných seznamů elektronickým podpisem nebo elektronickou pečetí v souladu s technickými specifikacemi stanovenými v příloze I.
2. Pokud členský stát elektronicky zveřejní formu důvěryhodného seznamu čitelnou okem, zajistí, aby tato forma důvěryhodného seznamu obsahovala stejné údaje jako forma vhodná pro automatické zpracování, a opatří ji elektronickým podpisem nebo elektronickou pečetí v souladu s technickými specifikacemi stanovenými v příloze I.
Článek 4
1. Členské státy oznámí Komisi údaje uvedené v čl. 22 odst. 3 nařízení (EU) č. 910/2014 za použití šablony v příloze II.
2. Informace uvedené v odstavci 1 zahrnují dva nebo více certifikáty veřejných klíčů provozovatele systému s posunutými dobami platnosti v délce nejméně tří měsíců, které odpovídají soukromým klíčům, jež lze použít pro elektronický podpis nebo elektronickou pečeť u formy důvěryhodného seznamu vhodné pro automatické zpracování a v případě zveřejnění u formy čitelné okem.
3. Podle čl. 22 odst. 4 nařízení (EU) č. 910/2014 zpřístupní Komise veřejnosti bezpečnou cestou na ověřeném webovém serveru informace uvedené v odstavcích 1 a 2 oznámené členskými státy ve formě vhodné pro automatické zpracování opatřené podpisem nebo pečetí.
4. Komise může zpřístupnit veřejnosti bezpečnou cestou na ověřeném webovém serveru informace uvedené v odstavcích 1 a 2 oznámené členskými státy ve formě čitelné okem opatřené podpisem nebo pečetí.
Článek 5
Toto rozhodnutí vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto rozhodnutí je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 8. září 2015.
Za Komisi
předseda
Jean-Claude JUNCKER
(1) Úř. věst. L 257, 28.8.2014, s. 73.
(2) Rozhodnutí Komise 2009/767/ES ze dne 16. října 2009, kterým se stanovují opatření pro usnadnění užití postupů s využitím elektronických prostředků prostřednictvím jednotných kontaktních míst podle směrnice Evropského parlamentu a Rady 2006/123/ES o službách na vnitřním trhu (Úř. věst. L 274, 20.10.2009, s. 36).
(3) Směrnice Evropského parlamentu a Rady 1999/93/ES ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy (Úř. věst. L 13, 19.1.2000, s. 12).
PŘÍLOHA I
TECHNICKÉ SPECIFIKACE PRO SPOLEČNOU ŠABLONU DŮVĚRYHODNÝCH SEZNAMŮ
KAPITOLA I
OBECNÉ POŽADAVKY
Důvěryhodné seznamy musí obsahovat jak aktuální informace o statutu služeb vytvářejících důvěru zařazených na seznam, tak i všechny tyto informace z minulosti, počínaje zařazením poskytovatele služeb vytvářejících důvěru na důvěryhodné seznamy.
Pojmy „schválení“, „akreditovaní“ a/nebo „podléhající dohledu“ v těchto specifikacích se vztahují i na vnitrostátní schvalovací systémy, ale další informace o povaze jakýchkoli takových vnitrostátních systémů poskytnou členské státy ve svém důvěryhodném seznamu, včetně objasnění možných rozdílů oproti systémům dohledu použitelným pro kvalifikované poskytovatele služeb vytvářejících důvěru a jimi poskytované kvalifikované služby vytvářející důvěru.
Hlavním účelem informací poskytnutých v důvěryhodném seznamu je podpora ověřování tokenů kvalifikovaných služeb vytvářejících důvěru, tj. fyzických nebo binárních (logických) objektů vytvořených nebo vydaných v důsledku použití kvalifikované služby vytvářející důvěru, například kvalifikovaných elektronických podpisů/pečetí, zaručených elektronických podpisů/pečetí podporovaných kvalifikovaným certifikátem, kvalifikovaných časových razítek, kvalifikovaných důkazů o elektronickém doručování atd.
KAPITOLA II
PODROBNÉ SPECIFIKACE PRO SPOLEČNOU ŠABLONU DŮVĚRYHODNÝCH SEZNAMŮ
Tyto specifikace vycházejí ze specifikací a požadavků uvedených v ETSI TS 119 612 v2.1.1 (dále jen „ETSI TS 119 612“).
Není-li v těchto specifikacích uveden žádný specifický požadavek, musí se plně uplatnit požadavky bodů 5 a 6 ETSI TS 119 612. V případech, kdy jsou v těchto specifikacích uvedeny zvláštní požadavky, musí mít přednost před odpovídajícími požadavky ETSI TS 119 612. V případě nesrovnalostí mezi těmito specifikacemi a specifikacemi ETSI TS 119 612 mají přednost tyto specifikace.
Název systému (Scheme name) (bod 5.3.6)
Toto pole je povinné a musí být v souladu se specifikacemi TS 119 612 bodem 5.3.6, kde se pro systém používá tento název:
„EN_name_value“= „Důvěryhodný seznam obsahující informace o kvalifikovaných poskytovatelích služeb vytvářejících důvěru, nad nimiž vykonává dohled vydávající členský stát, spolu s informacemi o kvalifikovaných službách vytvářejících důvěru poskytovaných těmito poskytovateli, v souladu s příslušnými ustanoveními nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.“
URI informací o systému (Scheme information URI) (bod 5.3.7)
Toto pole je povinné a musí být v souladu se specifikacemi TS 119 612 bodem 5.3.7, kde „vhodné informace o systému“ musí zahrnovat přinejmenším:
|
a) |
Úvodní informace společné pro všechny členské státy, týkající se rozsahu působnosti a kontextu důvěryhodného seznamu, souvisejícího systému dohledu a případně vnitrostátního schvalovacího systému (vnitrostátních schvalovacích systémů) (např. akreditace). Společný text, který má být použit, je uveden níže, přičemž řetězec znaků „[název příslušného členského státu]“ v něm musí být nahrazen názvem příslušného členského státu: „Tento seznam je důvěryhodným seznamem obsahujícím informace o kvalifikovaných poskytovatelích služeb vytvářejících důvěru, nad nimiž vykonává dohled [název příslušného členského státu], spolu s informacemi o kvalifikovaných službách vytvářejících důvěru poskytovaných těmito poskytovateli, v souladu s příslušnými ustanoveními nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. Přeshraniční používání elektronických podpisů bylo usnadněno rozhodnutím Komise 2009/767/ES ze dne 16. října 2009, které pro členské státy zavedlo povinnost zřídit, udržovat a zveřejňovat důvěryhodné seznamy obsahující informace o poskytovatelích certifikačních služeb, kteří veřejnosti vydávají kvalifikované certifikáty v souladu se směrnicí Evropského parlamentu a Rady 1999/93/ES ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy a nad nimiž vykonávají dohled nebo je akreditovaly členské státy. Tento důvěryhodný seznam je pokračováním důvěryhodného seznamu vypracovaného na základě rozhodnutí 2009/767/ES.“ Důvěryhodné seznamy jsou nezbytnými prvky při budování důvěry mezi tržními subjekty, jelikož uživatelům umožňují určit, zda poskytovatelé služeb vytvářejících důvěru a jimi poskytované služby mají status kvalifikovaných poskytovatelů a kvalifikovaných služeb, a rovněž jim poskytují informace o historii statutu. Důvěryhodné seznamy členských států obsahují alespoň informace uvedené v článcích 1 a 2 prováděcího rozhodnutí (EU) 2015/1505. Členské státy mohou do důvěryhodných seznamů zahrnout informace o nekvalifikovaných poskytovatelích služeb vytvářejících důvěru, spolu s informacemi o nekvalifikovaných službách vytvářejících důvěru, které tito poskytovatelé poskytují. Je třeba jasně uvést, že poskytovatelé či služby nejsou kvalifikované v souladu s nařízením (EU) č. 910/2014. Členské státy mohou do důvěryhodných seznamů zahrnout informace o jiných typech vnitrostátně definovaných služeb vytvářejících důvěru než těch, které jsou uvedeny v čl. 3 bodu 16 nařízení (EU) č. 910/2014. Je třeba jasně uvést, že poskytovatelé či služby nejsou kvalifikované v souladu s nařízením (EU) č. 910/2014. |
|
b) |
Specifické informace o souvisejícím systému dohledu a případně vnitrostátním schvalovacím systému (vnitrostátních schvalovacích systémech) (např. akreditace), zejména (1):
Tyto specifické informace musí u každého souvisejícího systému uvedeného výše zahrnovat přinejmenším:
|
Typ systému/komunita/pravidla (Scheme type/community/rules) (bod 5.3.9)
Toto pole je povinné a musí být v souladu se specifikacemi TS 119 612 bodem 5.3.9.
Zahrnuje pouze jednotné identifikátory zdroje (URI) v britské angličtině.
Musí zahrnovat nejméně dva identifikátory URI:
|
1) |
URI společný pro všechny důvěryhodné seznamy členských států, který odkazuje na popisný text, jež se vztahuje na všechny důvěryhodné seznamy, viz níže: URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon Popisný text: „Účast v systému Každý členský stát musí vypracovat důvěryhodný seznam obsahující informace o kvalifikovaných poskytovatelích služeb vytvářejících důvěru, nad nimiž vykonává dohled, spolu s informacemi o kvalifikovaných službách vytvářejících důvěru poskytovaných těmito poskytovateli, v souladu s příslušnými ustanoveními nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. Na tento důvěryhodný seznam se také odkazuje v seznamu odkazů (ukazatelů) na provedení důvěryhodných seznamů jednotlivých členských států vypracovaném Komisí. Politiky/pravidla pro posuzování služeb uvedených na seznamu Členské sáty musí vykonávat dohled nad kvalifikovanými poskytovateli služeb vytvářejících důvěru usazenými na území členského státu, který provedl určení, jak je stanoveno v kapitole III nařízení (EU) č. 910/2014, s cílem zajistit, aby tito kvalifikovaní poskytovatelé služeb vytvářejících důvěru a jimi poskytované kvalifikované služby vytvářející důvěru splňovali požadavky stanovené v tomto nařízení. Důvěryhodné seznamy členských států obsahují alespoň informace uvedené v článcích 1 a 2 prováděcího rozhodnutí (EU) 2015/1505. Důvěryhodné seznamy obsahují jak aktuální informace o statutu služeb vytvářejících důvěru zařazených na seznam, tak i všechny tyto informace z minulosti. Každý důvěryhodný seznam členského státu musí uvádět informace o vnitrostátním systému dohledu a případně vnitrostátním schvalovacím systému (vnitrostátních schvalovacích systémech) (např. akreditace), v jejichž rámci jsou poskytovatelé služeb vytvářejících důvěru a jimi poskytované služby vytvářející důvěru uvedeny. Výklad důvěryhodného seznamu Obecné pokyny pro uživatele aplikací, služeb nebo produktů, které vycházejí z důvěryhodného seznamu zveřejněného v souladu s nařízením (EU) č. 910/2014, jsou následující: Status ‚kvalifikované‘ služby vytvářející důvěru je uveden kombinací hodnoty ‚Service type identifier‘ (Identifikátor typu služby, ‚Sti‘) v záznamu o službě a statutu uvedeného v poli ‚Service current status‘ (Aktuální status služby) ode dne uvedeného v poli ‚Current status starting date and time‘ (Datum a čas začátku aktuálního statutu). Případně se rovněž poskytují historické informace o takovém kvalifikovaném statutu. Pokud jde o kvalifikované poskytovatele služeb vytvářejících důvěru, kteří vydávají kvalifikované certifikáty pro elektronické podpisy, elektronické pečetě a/nebo pro autentizaci internetových stránek: Záznam ‚CA/QC‘‚Service type identifier‘ (‚Sti‘) (s možností jeho další kvalifikace jako ‚RootCA-QC‘ pomocí rozšíření informace o službě jako součást ‚Service information extension‘ (‚Sie‘)
V souvislosti s ověřováním elektronických podpisů či pečetí, v jejichž případě se má certifikát podepisující či pečetící osoby ověřit na základě informací z důvěryhodného seznamu, se jako trust anchor použijí ‚Service digital identifiers‘, což znamená, že jako informace pro trust anchor jsou potřebné jen veřejný klíč a příslušný název subjektu. Pokud je veřejný klíč na identifikaci služby zastoupený víc než jedním certifikátem, musí se tyto certifikáty považovat za certifikáty trust anchor obsahující totožné informace s ohledem na informace, které se vyžadují striktně jako informace pro trust anchor. Obecné pravidlo výkladu pro jakýkoli jiný záznam typu ‚Sti‘ zní, že identifikovaná služba typu ‚Sti‘ uvedená na seznamu pojmenovaná podle hodnoty pole ‚Service name‘ a jedinečně identifikovaná hodnotou pole ‚Service digital identity‘ má aktuální status kvalifikace či schválení podle hodnoty pole ‚Service current status‘, a to od data uvedeného v položce ‚Current status starting date and time‘. Specifická pravidla výkladu pro jakékoli další informace týkající se služby uvedené na seznamu (např. pole ‚Service information extensions‘) lze v případě potřeby nalézt na specifickém URI členského státu jako součást uvedeného pole ‚Scheme type/community/rules‘. Další podrobnosti o polích, popisu a významu důvěryhodných seznamů členských států viz příslušné sekundární právní předpisy podle nařízení (EU) č. 910/2014.“ |
|
2) |
URI specifický pro každý důvěryhodný seznam členského státu odkazující na popisný text, který se vztahuje na důvěryhodný seznam tohoto členského státu: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC, kde CC = dvoupísmenný kód země podle ISO 3166-1 (2) použitý v poli „Scheme territory“ (bod 5.3.10)
Členské státy MOHOU definovat a používat další URI, které jsou rozšířením výše uvedeného URI specifického pro jednotlivé členské státy (tj. URI definované na základě tohoto hierarchického specifického URI). |
Politické/právní upozornění TSL (TSL policy/legal notice) (bod 5.3.11)
Toto pole je povinné a musí být v souladu se specifikacemi TS 119 612 bodem 5.3.11, kde politické/právní upozornění o právním postavení systému nebo o zákonných požadavcích, které musí systém splňovat v rámci jurisdikce, v níž je usazen, nebo o jakýchkoli omezeních a podmínkách, za nichž je důvěryhodný seznam udržován nebo zveřejňován, musí být vícejazyčné řetězce znaků (viz bod 5.1.4) uvádějící povinně v britské angličtině a nepovinně v jednom či více národních jazycích samotný text takové politiky nebo upozornění v této podobě:
|
1) |
První, povinná část, společná pro všechny důvěryhodné seznamy členských států, uvádí platný právní rámec, jehož anglické znění je následující: The applicable legal framework for the present trusted list is Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC. Text v národním jazyce/jazycích členského státu: Platným právním rámcem pro stávající důvěryhodný seznam je nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. |
|
2) |
Druhá, nepovinná část, specifická pro každý důvěryhodný seznam s odkazy na specifické platné vnitrostátní právní rámce |
Aktuální status služby (Service current status) (bod 5.5.4)
Toto pole je povinné a musí být v souladu se specifikacemi TS 119 612 bodem 5.5.4.
Migrace hodnoty „Service current status“ pro služby uvedené na důvěryhodném seznamu EUMS ke dni předcházejícímu datu vstupu nařízení (EU) č. 910/2014 v platnost (tj. 30. června 2016) se vykoná v den vstupu nařízení v platnost (tj. 1. července 2016), jak je uvedeno v příloze J k ETSI TS 119 612.
KAPITOLA III
KONTINUITA DŮVĚRYHODNÝCH SEZNAMŮ
Certifikáty, které se oznamují Komisi podle čl. 4 odst. 2 tohoto rozhodnutí, musí splňovat požadavky ETSI TS 119 612 bodu 5.7.1 a vydávají se tak, aby:
|
— |
rozdíl v jejich konečném datu platnosti („Not After“) byl alespoň tři měsíce, |
|
— |
byly vytvořeny s novými páry klíčů. Již použité páry klíčů nesmí být znovu certifikovány. |
V případě skončení platnosti jednoho z certifikátů veřejných klíčů, který by se mohl použít pro ověření podpisu nebo pečetě z důvěryhodného seznamu a který byl oznámen Komisi a je zveřejněn v ústředních seznamech ukazatelů Komise, musí členské státy:
|
— |
v případě, že byl aktuálně zveřejněný důvěryhodný seznam podepsán či zapečetěn soukromým klíčem, u nějž skončila platnost certifikátu veřejného klíče, neprodleně znovu vydat nový důvěryhodný seznam podepsaný či zapečetěný soukromým klíčem, jehož oznámený certifikát veřejného klíče je stále platný; |
|
— |
v případě potřeby vytvořit nové páry klíčů, které by mohly být použity k podpisu důvěryhodného seznamu či jeho opatření pečetí, a vytvoří odpovídající certifikáty veřejných klíčů; |
|
— |
neprodleně oznámit Komisi nový seznam certifikátu veřejných klíčů odpovídajících soukromým klíčům, které by mohly být využity k podpisu důvěryhodného seznamu nebo jeho opatření pečetí. |
V případě prozrazení či vyřazení jednoho ze soukromých klíčů odpovídajícího jednomu z certifikátů veřejných klíčů, který by mohl být použit pro ověření podpisu či pečetě z důvěryhodného seznamu a který byl oznámen Komisi a je zveřejněn v ústředním seznamu ukazatelů Komise, musí členské státy:
|
— |
neprodleně znovu vydat nový důvěryhodný seznam podepsaný či zapečetěný neprozrazeným soukromým klíčem v případech, kdy zveřejněný důvěryhodný seznam byl podepsán či zapečetěn prozrazeným nebo vyřazeným soukromým klíčem; |
|
— |
v případě potřeby vytvořit nové páry klíčů, které by mohly být použity k podpisu důvěryhodného seznamu či jeho opatření pečetí, a vytvoří odpovídající certifikáty veřejných klíčů; |
|
— |
neprodleně oznámit Komisi nový seznam certifikátů veřejných klíčů odpovídajících soukromým klíčům, které by mohly být využity k podpisu důvěryhodného seznamu nebo jeho opatření pečetí. |
V případě prozrazení či vyřazení všech soukromých klíčů odpovídajících certifikátům veřejných klíčů, které by mohly být použity pro ověření podpisu z důvěryhodného seznamu a které byly oznámeny Komisi a jsou zveřejněny v ústředním seznamu ukazatelů Komise, musí členské státy:
|
— |
vytvořit nové páry klíčů, které by mohly být použity k podpisu důvěryhodného seznamu či jeho opatření pečetí, a vytvoří odpovídající certifikáty veřejných klíčů; |
|
— |
neprodleně znovu vydat nový důvěryhodný seznam podepsaný nebo zapečetěný jedním z těchto nových soukromých klíčů a jehož příslušný certifikát veřejného klíče má být oznámen; |
|
— |
neprodleně oznámit Komisi nový seznam certifikátů veřejných klíčů odpovídajících soukromým klíčům, které by mohly být využity k podpisu důvěryhodného seznamu nebo jeho opatření pečetí. |
KAPITOLA IV
SPECIFIKACE PRO OKEM ČITELNOU PODOBU DŮVĚRYHODNÉHO SEZNAMU
Pokud je sestavena a zveřejněna podoba důvěryhodného seznamu čitelná okem, musí být poskytnuta v podobě dokumentu PDF podle normy ISO 32000 (3), který musí mít formát podle profilu PDF/A (ISO 19005 (4)).
Obsah okem čitelné podoby důvěryhodného seznamu na základě PDF/A musí splňovat tyto požadavky:
|
— |
Struktura okem čitelné podoby musí odrážet logický model popsaný v TS 119 612. |
|
— |
Musí být zobrazena všechna přítomná pole, v nichž je třeba uvést toto:
|
|
— |
Okem čitelná podoba musí zobrazovat minimálně tato pole a příslušné hodnoty digitálních certifikátů (5), pokud jsou uvedeny v poli „Service digital identity“:
|
|
— |
Okem čitelná podoba musí být snadno tisknutelná. |
|
— |
Provozovatel systému okem čitelnou podobu podepíše či ji opatří pečetí za použití zaručeného podpisu PDF vymezeného v článcích 1 a 3 prováděcího rozhodnutí (EU) 2015/1505. |
(1) Tyto soubory informací jsou zásadně důležité pro to, aby mohly spoléhající se strany posoudit úroveň kvality a bezpečnosti takových systémů. Tyto soubory informací se poskytnou na úrovni důvěryhodného seznamu prostřednictvím aktuálních informací v polích „Scheme information URI“ (bod 5.3.7 – informace poskytované členským státem), „Scheme type/community/rules“ (bod 5.3.9 – prostřednictvím textu společného pro všechny členské státy) a „TSL policy/legal notice“ (bod 5.3.11 – text společný pro všechny členské státy, společně s možností, aby každý členský stát doplnil svůj specifický text/odkazy). Další informace o takových systémech pro nekvalifikované služby vytvářející důvěru a vnitrostátně definované (kvalifikované) služby vytvářející důvěru lze ve vhodných a požadovaných případech poskytnout na úrovni služby (např. pro odlišení různých úrovní kvality/bezpečnosti) použitím pole „Scheme service definition URI“ (bod 5.5.6).
(2) ISO 3166-1:2006: „Kódy pro názvy zemí a jejich částí – Část 1: Kódy zemí“.
(3) ISO 32000-1:2008: Document management -- Portable document format -- Part 1: PDF 1.7 (Správa dokumentů – Portable Document Format – Část 1: PDF 1.7).
(4) ISO 19005-2:2011: Document management -- Electronic document file format for long-term preservation -- Part 2: Use of ISO 32000-1 (PDF/A-2) (Správa dokumentů – Formát pro dlouhodobou archivaci elektronických dokumentů – Část 2: Použití ISO 32000-1 (PDF/A-2)).
(5) Doporučení ITU-T X.509 | ISO/IEC 9594-8: Informační technologie – Propojení otevřených systémů – Adresář: Certifikační rámce veřejných klíčů a atributů (viz http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=X.509).
(6) RFC 5280: Internet X.509 PKI Certificate a CRL Profile
(7) RFC 3739: Internet X. 509 PKI: Qualified Certificate Profile
PŘÍLOHA II
ŠABLONA OZNÁMENÍ ČLENSKÝCH STÁTŮ
Informace, které mají členské státy oznámit podle čl. 4 odst. 1 tohoto rozhodnutí, musí zahrnovat následující údaje a jejich veškeré změny:
|
1) |
Členský stát, vyjádřeno dvoupísmenným kódem ISO 3166-1 (1), s těmito výjimkami:
|
|
2) |
Subjekt/subjekty odpovědné za zřízení, údržbu a zveřejňování formy důvěryhodných seznamů vhodné pro automatické zpracování a formy čitelné okem:
|
|
3) |
Místo, kde je zveřejněna forma důvěryhodného seznamu vhodná pro automatické zpracování (místo, kde je zveřejněn aktuální důvěryhodný seznam). |
|
4) |
Případně místo, kde je zveřejněna forma důvěryhodného seznamu čitelná okem (místo, kde je zveřejněn aktuální důvěryhodný seznam). V případě, že se forma důvěryhodného seznamu čitelná okem již nezveřejňuje, se tato skutečnost uvede. |
|
5) |
Certifikáty veřejných klíčů, které odpovídají soukromým klíčům a jež lze použít pro elektronický podpis nebo elektronickou pečeť u formy důvěryhodného seznamu vhodné pro automatické zpracování a u formy čitelné okem: tyto certifikáty se vydávají jako certifikáty DER kódované ve formátu „Privacy Enhanced Mail Base64“. U oznámení změny se uvedou dodatečné informace v případě, že konkrétní certifikát na seznamu Komise má být nahrazen novým certifikátem, a v případě, že oznámený certifikát je třeba doplnit ke stávajícím(u) bez jakékoliv náhrady. |
|
6) |
Datum poskytnutí údajů oznámených v bodech 1 až 5. |
Údaje oznámené podle bodu 1, bodu 2 písm. a) a bodů 3, 4 a 5 musí být zahrnuty do seznamu důvěryhodných seznamů vypracovaného Evropskou komisí, čímž nahradí původně oznámené informací uvedené v daném seznamu.
(1) ISO 3166-1: „Kódy pro názvy zemí a jejich částí – Část 1: Kódy zemí“.
|
9.9.2015 |
CS |
Úřední věstník Evropské unie |
L 235/37 |
PROVÁDĚCÍ ROZHODNUTÍ KOMISE (EU) 2015/1506
ze dne 8. září 2015,
kterým se stanoví specifikace pro formáty zaručených elektronických podpisů a zaručených pečetí uznávaných subjekty veřejného sektoru podle čl. 27 odst. 5 a čl. 37 odst. 5 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (1), a zejména na čl. 27 odst. 5 a čl. 37 odst. 5 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Členské státy musí zavést nezbytné technické prostředky, které jim umožní zpracování elektronicky podepsaných dokumentů, jež jsou požadovány při používání online služeb poskytovaných subjektem veřejného sektoru nebo jeho jménem. |
|
(2) |
Nařízení (EU) č. 910/2014 ukládá členským státům povinnost vyžadovat zaručený elektronický podpis nebo pečeť pro využívání určité online služby poskytované subjektem veřejného sektoru nebo jeho jménem, uznat zaručené elektronické podpisy a pečetě, zaručené elektronické podpisy a pečetě založené na kvalifikovaném certifikátu a kvalifikované elektronické podpisy a pečetě specifických formátů či alternativních formátů ověřených podle zvláštních referenčních metod. |
|
(3) |
Za účelem vymezení specifických formátů a referenčních metod by měly být zohledněny stávající postupy, normy a právní akty Unie. |
|
(4) |
Prováděcí rozhodnutí Komise 2014/148/EU (2) stanovilo řadu nejběžnějších formátů zaručených elektronických podpisů, jež mají být technicky podporovány členskými státy, pro případy, kdy jsou pro správní postupy prováděné online požadovány zaručené elektronické podpisy. Účelem stanovení referenčních formátů je usnadnit přeshraniční ověřování elektronických podpisů a zlepšení přeshraniční interoperability elektronických postupů. |
|
(5) |
Normy uvedené v příloze tohoto rozhodnutí představují stávající normy pro formáty zaručených elektronických podpisů. Vzhledem k tomu, že normalizační subjekty právě provádějí revizi formulářů pro dlouhodobou archivaci určených pro uvedené formáty, nejsou normy pro dlouhodobou archivaci zahrnuty do oblasti působnosti tohoto rozhodnutí. Jakmile bude k dispozici nová verze uvedených norem, budou odkazy na normy a právní ustanovení týkající se dlouhodobé archivace revidovány. |
|
(6) |
Zaručené elektronické podpisy a zaručené elektronické pečetě jsou z technického hlediska podobné. Proto by normy pro formáty zaručených elektronických podpisů měly platit obdobně i pro formáty zaručených elektronických pečetí. |
|
(7) |
Pokud se k podpisu či opatření pečetí používají jiné formáty elektronického podpisu nebo pečetě, než jaké jsou běžně technicky podporovány, měly by existovat ověřovací prostředky, jež umožňují přeshraniční ověřování elektronických podpisů či pečetí. Aby se přijímající členské státy mohly na tyto ověřovací nástroje jiného členského státu spolehnout, je nezbytné stanovit snadno dostupné informace o těchto ověřovacích nástrojích, a sice zahrnutím těchto informací do elektronických dokumentů, elektronických podpisů nebo schránek obsahujících elektronické dokumenty. |
|
(8) |
Pokud jsou ve veřejných službách členského státu k dispozici možnosti ověřování elektronického podpisu nebo pečetě vhodné pro automatické zpracování, měly by být tyto ověřovací možnosti zpřístupněny a dány k dispozici přijímajícímu členskému státu. Nicméně toto rozhodnutí by nemělo bránit uplatňování čl. 27 odst. 1 a 2 a čl. 37 odst. 1 a 2 nařízení (EU) č. 910/2014 v případech, kdy automatizované zpracování ověřovacích možností pro alternativní metody není možné. |
|
(9) |
V zájmu stanovení srovnatelných požadavků pro ověřování a zvýšení důvěry v ověřovací možnosti stanovené členskými státy pro jiné formáty elektronického podpisu nebo pečetě, než jaké jsou běžně podporovány, vycházejí požadavky na nástroje ověřování stanovené v tomto rozhodnutí z požadavků na ověřování kvalifikovaných elektronických podpisů a pečetí uvedených v článcích 32 a 40 nařízení (EU) č. 910/2014. |
|
(10) |
Opatření tohoto rozhodnutí jsou v souladu se stanoviskem výboru zřízeného podle článku 48 nařízení (EU) č. 910/2014, |
PŘIJALA TOTO ROZHODNUTÍ:
Článek 1
Členské státy vyžadující zaručený elektronický podpis nebo zaručený elektronický podpis založený na kvalifikovaném certifikátu, jak je stanoveno v čl. 27 odst. 1 a 2 nařízení (EU) č. 910/2014, uznají zaručený elektronický podpis XML, CMS nebo PDF na úrovni shody B, T nebo LT nebo prostřednictvím kontejneru s přidruženým podpisem, pokud jsou tyto podpisy v souladu s technickými specifikacemi uvedenými v příloze I.
Článek 2
1. Členské státy vyžadující zaručený elektronický podpis nebo zaručený elektronický podpis založený na kvalifikovaném certifikátu, jak je stanoveno v čl. 27 odst. 1 a 2 nařízení (EU) č. 910/2014, uznají jiné formáty elektronických podpisů, než formáty uvedené v článku 1 tohoto rozhodnutí, za předpokladu, že členský stát, v němž je poskytovatel služby vytvářející důvěru, kterou podepisující osoba využívá, usazen, nabízí jiným členským státům možnosti ověření podpisu vhodné případně i pro automatické zpracování.
2. Možnosti pro ověřování podpisu musí:
|
a) |
ostatním členským státům umožnit ověřit obdržené elektronické podpisy online, bezplatně a způsobem, který je srozumitelný i pro nerodilé mluvčí; |
|
b) |
být uvedeny v podepsaném dokumentu, v elektronickém podpisu nebo schránce obsahující elektronické dokumenty a |
|
c) |
potvrzovat platnost zaručeného elektronického podpisu za předpokladu, že:
|
Článek 3
Členské státy vyžadující zaručenou elektronickou pečeť nebo zaručenou elektronickou pečeť založenou na kvalifikovaném certifikátu, jak je stanoveno v čl. 37 odst. 1 a 2 nařízení (EU) č. 910/2014, uznají zaručenou elektronickou pečeť XML, CMS nebo PDF na úrovni shody B, T nebo LT nebo prostřednictvím kontejneru s přidruženou pečetí, pokud jsou tyto pečetě v souladu s technickými specifikacemi uvedenými v příloze.
Článek 4
1. Členské státy vyžadující zaručenou elektronickou pečeť nebo zaručenou elektronickou pečeť založenou na kvalifikovaném certifikátu, jak je stanoveno v čl. 37 odst. 1 a 2 nařízení (EU) č. 910/2014, uznají jiné formáty elektronických pečetí, než formáty uvedené v článku 3 tohoto rozhodnutí, za předpokladu, že členský stát, v němž je poskytovatel služby vytvářející důvěru, kterou pečetící osoba využívá, usazen, nabízí jiným členským státům možnosti ověření pečeti vhodné případně i pro automatické zpracování.
2. Možnosti pro ověřování pečeti musí:
|
a) |
ostatním členským státům umožnit ověřit obdržené elektronické pečetě online, bezplatně a způsobem, který je srozumitelný i pro nerodilé mluvčí; |
|
b) |
být uvedeny v dokumentu opatřeném pečetí, v elektronické pečeti nebo schránce obsahující elektronické dokumenty; |
|
c) |
potvrzovat platnost zaručené elektronické pečeti za předpokladu, že:
|
Článek 5
Toto rozhodnutí vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto rozhodnutí je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 8. září 2015.
Za Komisi
předseda
Jean-Claude JUNCKER
(1) Úř. věst. L 257, 28.8.2014, s. 73.
(2) Prováděcí rozhodnutí Komise 2014/148/EU ze dne 17. března 2014, kterým se mění rozhodnutí 2011/130/EU, kterým se stanoví minimální požadavky na přeshraniční zpracování dokumentů elektronicky podepsaných příslušnými orgány podle směrnice 2006/123/ES Evropského parlamentu a Rady o službách na vnitřním trhu (Úř. věst. L 80, 19.3.2014, s. 7).
PŘÍLOHA
Seznam technických specifikací pro zaručené elektronické podpisy XML, CMS nebo PDF a kontejner s přidruženým podpisem
Zaručené elektronické podpisy uvedené v článku 1 rozhodnutí musí vyhovovat jedné z následujících technických specifikací ETSI, s výjimkou bodu 9 uvedených specifikací:
|
výchozí profil XAdES |
ETSI TS 103171 v.2.1.1 (1). |
|
výchozí profil CAdES |
ETSI TS 103173 v.2.2.1 (2). |
|
výchozí profil PAdES |
ETSI TS 103172 v.2.2.2 (3). |
Kontejner s přidruženým podpisem uvedený v článku 1 rozhodnutí musí vyhovovat následujícím technickým specifikacím ETSI:
|
výchozí profil kontejneru s přidruženým podpisem |
ETSI TS 103174 v.2.2.1 (4) |
Seznam technických specifikací pro zaručené elektronické pečetě XML, CMS nebo PDF a kontejner s přidruženou pečetí
Zaručené elektronické pečetě uvedené v článku 3 rozhodnutí musí vyhovovat jedné z následujících technických specifikací ETSI, s výjimkou bodu 9 uvedených specifikací:
|
výchozí profil XAdES |
ETSI TS 103171 v.2.1.1 |
|
výchozí profil CAdES |
ETSI TS 103173 v.2.2.1 |
|
výchozí profil PAdES |
ETSI TS 103172 v.2.2.2 |
Kontejner s přidruženou pečetí uvedený v článku 3 rozhodnutí musí vyhovovat následujícím technickým specifikacím ETSI:
|
výchozí profil kontejneru s přidruženou pečetí |
ETSI TS 103174 v.2.2.1 |
(1) http://www.etsi.org/deliver/etsi_ts/103100_103199/103171/02.01.01_60/ts_103171v020101p.pdf
(2) http://www.etsi.org/deliver/etsi_ts/103100_103199/103173/02.02.01_60/ts_103173v020201p.pdf
(3) http://www.etsi.org/deliver/etsi_ts/103100_103199/103172/02.02.02_60/ts_103172v020202p.pdf
(4) http://www.etsi.org/deliver/etsi_ts/103100_103199/103174/02.02.01_60/ts_103174v020201p.pdf