9.9.2015   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 235/26


ΕΚΤΕΛΕΣΤΙΚΉ ΑΠΌΦΑΣΗ (ΕΕ) 2015/1505 ΤΗΣ ΕΠΙΤΡΟΠΉΣ

της 8ης Σεπτεμβρίου 2015

περί καθορισμού των τεχνικών προδιαγραφών και των μορφότυπων των καταλόγων εμπίστευσης σύμφωνα με το άρθρο 22 παράγραφος 5 του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη τον κανονισμό (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (1), και ιδίως το άρθρο 22 παράγραφος 5,

Εκτιμώντας τα ακόλουθα:

(1)

Οι κατάλογοι εμπίστευσης είναι ουσιώδεις για την οικοδόμηση εμπιστοσύνης μεταξύ των φορέων της αγοράς εφόσον επισημαίνουν την κατάσταση του παρόχου υπηρεσιών κατά τον χρόνο εποπτείας.

(2)

Η διασυνοριακή χρήση των ηλεκτρονικών υπογραφών έχει διευκολυνθεί με την απόφαση 2009/767/ΕΚ της Επιτροπής (2), με την οποία έχει επιβληθεί η υποχρέωση στα κράτη μέλη να καταρτίζουν, να τηρούν και να δημοσιεύουν καταλόγους εμπίστευσης συμπεριλαμβανομένων πληροφοριών σχετικά με τους παρόχους υπηρεσιών πιστοποίησης που εκδίδουν αναγνωρισμένα πιστοποιητικά για το κοινό σύμφωνα με την οδηγία 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3) και οι οποίοι ελέγχονται και πιστοποιούνται από τα κράτη μέλη.

(3)

Το άρθρο 22 του κανονισμού (ΕΕ) αριθ. 910/2014/ΕΕ προβλέπει την υποχρέωση για τα κράτη μέλη να καταρτίζουν, να τηρούν και να δημοσιεύουν καταλόγους εμπίστευσης, με ασφαλή τρόπο, ηλεκτρονικά υπογεγραμμένους ή σφραγισμένους σε μορφή κατάλληλη για αυτοματοποιημένη επεξεργασία και να κοινοποιούν στην Επιτροπή τους φορείς που είναι αρμόδιοι για την κατάρτιση των εθνικών καταλόγων εμπίστευσης.

(4)

Ένας πάροχος υπηρεσιών εμπιστοσύνης και οι υπηρεσίες εμπιστοσύνης που παρέχει θα πρέπει να θεωρούνται αναγνωρισμένα όταν η κατάσταση αναγνώρισης συνδέεται με τον πάροχο στον κατάλογο εμπίστευσης. Προκειμένου να διασφαλιστεί ότι οι λοιπές υποχρεώσεις που απορρέουν από τον κανονισμό (ΕΕ) αριθ. 910/2014, ιδίως εκείνες που προβλέπονται στα άρθρα 27 και 37, μπορούν εύκολα να πληρούνται από τους παρόχους υπηρεσιών εξ αποστάσεως και με ηλεκτρονικά μέσα και προκειμένου να καλυφθούν οι θεμιτές προσδοκίες των άλλων παρόχων υπηρεσιών πιστοποίησης που δεν εκδίδουν αναγνωρισμένα πιστοποιητικά αλλά παρέχουν υπηρεσίες σχετικά με τις ηλεκτρονικές υπογραφές βάσει της οδηγίας 1999/93/ΕΚ και έχουν καταχωρισθεί μέχρι τις 30 Ιουνίου 2016, θα πρέπει να δοθεί η δυνατότητα στα κράτη μέλη να προσθέσουν υπηρεσίες εμπιστοσύνης πέραν των εγκεκριμένων στους καταλόγους εμπίστευσης, σε εθελοντική βάση και σε εθνικό επίπεδο, με την προϋπόθεση ότι θα αναφέρεται σαφώς ότι δεν είναι αναγνωρισμένες σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 910/2014.

(5)

Σύμφωνα με την αιτιολογική σκέψη 25 του κανονισμού (ΕΕ) αριθ. 910/2014, τα κράτη μέλη μπορούν να προσθέσουν άλλους τύπους εθνικά καθορισμένων υπηρεσιών εμπιστοσύνης πέραν αυτών που καθορίζονται σύμφωνα με το άρθρο 3 παράγραφος 16 του κανονισμού (ΕΕ) αριθ. 910/2014, με την προϋπόθεση ότι θα αναφέρεται σαφώς ότι δεν είναι αναγνωρισμένες σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 910/2014.

(6)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που έχει συσταθεί βάσει του άρθρου 48 του κανονισμού (ΕΕ) αριθ. 910/2014,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Τα κράτη μέλη πρέπει να καταρτίζουν, να δημοσιεύουν και να διατηρούν καταλόγους εμπίστευσης συμπεριλαμβανομένων πληροφοριών σχετικά με τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης τους οποίους επιτηρούν, καθώς και πληροφορίες σχετικά με τις αναγνωρισμένες υπηρεσίες εμπιστοσύνης που παρέχουν. Οι εν λόγω κατάλογοι πρέπει να πληρούν τις τεχνικές προδιαγραφές που ορίζονται στο παράρτημα I.

Άρθρο 2

Τα κράτη μέλη μπορούν να συμπεριλάβουν στους καταλόγους εμπίστευσης πληροφορίες σχετικά με μη αναγνωρισμένους παρόχους υπηρεσιών εμπιστοσύνης, καθώς και πληροφορίες σχετικά με τις μη αναγνωρισμένες υπηρεσίες εμπιστοσύνης που παρέχονται από αυτούς. Ο κατάλογος αναφέρει σαφώς τους παρόχους υπηρεσιών εμπιστοσύνης οι οποίοι δεν είναι αναγνωρισμένοι και τις υπηρεσίες εμπιστοσύνης που παρέχονται από αυτούς.

Άρθρο 3

1.   Σύμφωνα με το άρθρο 22 παράγραφος 2 του κανονισμού (ΕΕ) αριθ. 910/2014, τα κράτη μέλη πρέπει να υπογράφουν ή να σφραγίζουν ηλεκτρονικά την κατάλληλη για αυτοματοποιημένη επεξεργασία μορφή των καταλόγων εμπίστευσής τους σύμφωνα με τις τεχνικές προδιαγραφές που καθορίζονται στο παράρτημα I.

2.   Εάν ένα κράτος μέλος δημοσιεύει ηλεκτρονικά μια αναγνώσιμη από άνθρωπο μορφή του καταλόγου εμπίστευσης, μεριμνά ώστε η εν λόγω μορφή του καταλόγου εμπίστευσης να περιέχει τα ίδια δεδομένα με την κατάλληλη για αυτοματοποιημένη επεξεργασία μορφή και να την υπογράφει ή να τη σφραγίζει ηλεκτρονικά σύμφωνα με τις τεχνικές προδιαγραφές που καθορίζονται στο παράρτημα I.

Άρθρο 4

1.   Τα κράτη μέλη κοινοποιούν στην Επιτροπή τις πληροφορίες που αναφέρονται στο άρθρο 22 παράγραφος 3 του κανονισμού (ΕΕ) αριθ. 910/2014, χρησιμοποιώντας το υπόδειγμα του παραρτήματος II.

2.   Οι πληροφορίες που αναφέρονται στην παράγραφο 1 περιλαμβάνουν δύο ή περισσότερα πιστοποιητικά δημόσιου κλειδιού του φορέα εκμετάλλευσης του σχεδίου, με μετατιθέμενες περιόδους ισχύος τουλάχιστον τριών μηνών, που αντιστοιχούν στα ιδιωτικά κλειδιά τα οποία μπορούν να χρησιμοποιηθούν για την ηλεκτρονική υπογραφή ή σφράγιση της κατάλληλης για αυτοματοποιημένη επεξεργασία μορφής του καταλόγου εμπίστευσης και της αναγνώσιμης από άνθρωπο μορφής κατά τη δημοσίευσή της.

3.   Σύμφωνα με το άρθρο 22 παράγραφος 4 του κανονισμού (ΕΕ) αριθ. 910/2014, η Επιτροπή θέτει στη διάθεση του κοινού, μέσω ασφαλούς διαύλου σε επικυρωμένο εξυπηρετητή διαδικτύου, τις πληροφορίες που αναφέρονται στις παραγράφους 1 και 2, όπως κοινοποιήθηκαν από τα κράτη μέλη, με υπογεγραμμένη ή σφραγισμένη μορφή κατάλληλη για αυτοματοποιημένη επεξεργασία.

4.   Η Επιτροπή θέτει στη διάθεση του κοινού, μέσω ασφαλούς διαύλου σε έναν επικυρωμένο εξυπηρετητή διαδικτύου, τις πληροφορίες που αναφέρονται στις παραγράφους 1 και 2, όπως κοινοποιήθηκαν από τα κράτη μέλη, με υπογεγραμμένη ή σφραγισμένη μορφή αναγνώσιμη από άνθρωπο.

Άρθρο 5

Η παρούσα απόφαση αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Η παρούσα απόφαση είναι δεσμευτική ως προς όλα τα μέρη της και ισχύει άμεσα σε κάθε κράτος μέλος.

Βρυξέλλες, 8 Σεπτεμβρίου 2015.

Για την Επιτροπή

Ο Πρόεδρος

Jean-Claude JUNCKER


(1)  ΕΕ L 257 της 28.8.2014, σ. 73.

(2)  Απόφαση 2009/767/ΕΚ της Επιτροπής, της 16ης Οκτωβρίου 2009, σχετικά με τη θέσπιση μέτρων που διευκολύνουν τη χρήση διαδικασιών με ηλεκτρονικά μέσα μέσω των «ενιαίων κέντρων εξυπηρέτησης» βάσει της οδηγίας 2006/123/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τις υπηρεσίες στην εσωτερική αγορά (ΕΕ L 274 της 20.10.2009, σ. 36).

(3)  Οδηγία 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 1999, σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές (ΕΕ L 13 της 19.1.2000, σ. 12).


ΠΑΡΑΡΤΗΜΑ Ι

ΤΕΧΝΙΚΕΣ ΠΡΟΔΙΑΓΡΑΦΕΣ ΓΙΑ ΕΝΑ ΚΟΙΝΟ ΣΧΕΔΙΟΤΥΠΟ ΓΙΑ ΤΟΥΣ ΚΑΤΑΛΟΓΟΥΣ ΕΜΠΙΣΤΕΥΣΗΣ

ΚΕΦΑΛΑΙΟ I

ΓΕΝΙΚΕΣ ΑΠΑΙΤΗΣΕΙΣ

Οι κατάλογοι εμπίστευσης περιλαμβάνουν τόσο τις τρέχουσες όσο και όλες τις πληροφορίες σχετικά με το ιστορικό, που χρονολογούνται από την καταχώριση ενός παρόχου υπηρεσιών εμπιστοσύνης στους καταλόγους εμπίστευσης, σχετικά με την κατάσταση των καταγεγραμμένων υπηρεσιών εμπιστοσύνης.

Οι όροι «εγκεκριμένος», «διαπιστευμένος» και/ή «εποπτευόμενος» στις παρούσες προδιαγραφές καλύπτουν επίσης τα εθνικά σχέδια έγκρισης, αλλά θα παρέχονται από τα κράτη μέλη στους οικείους καταλόγους εμπίστευσης πρόσθετες πληροφορίες σχετικά με τη φύση οποιωνδήποτε τέτοιων εθνικών σχεδίων, συμπεριλαμβανομένων διευκρινίσεων σχετικά με τις ενδεχόμενες διαφορές με τα σχέδια εποπτείας που εφαρμόζονται για τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης και τις εγκεκριμένες υπηρεσίες εμπιστοσύνης που παρέχουν.

Οι πληροφορίες που παρέχονται στον κατάλογο εμπίστευσης αποσκοπούν κυρίως στην υποστήριξη της επικύρωσης των αδειοπλαισίων αναγνωρισμένων υπηρεσιών εμπιστοσύνης, δηλαδή των φυσικών ή ψηφιακών (λογικών) αντικειμένων που δημιουργούνται ή που εκδίδονται ως αποτέλεσμα της χρήσης αναγνωρισμένης υπηρεσίας εμπιστοσύνης, π.χ. αναγνωρισμένων ηλεκτρονικών υπογραφών/σφραγίδων, προηγμένων ηλεκτρονικών υπογραφών/σφραγίδων που υποστηρίζονται από αναγνωρισμένο πιστοποιητικό, αναγνωρισμένων χρονοσφραγίδων, αναγνωρισμένων αποδεικτικών στοιχείων ηλεκτρονικής παράδοσης κ.λπ.

ΚΕΦΑΛΑΙΟ II

ΛΕΠΤΟΜΕΡΕΙΣ ΠΡΟΔΙΑΓΡΑΦΕΣ ΓΙΑ ΤΟΝ ΚΟΙΝΟ ΣΧΕΔΙΟΤΥΠΟ ΓΙΑ ΤΟΥΣ ΚΑΤΑΛΟΓΟΥΣ ΕΜΠΙΣΤΕΥΣΗΣ

Οι παρούσες προδιαγραφές βασίζονται στις προδιαγραφές και τις απαιτήσεις που παρατίθενται στο ETSI TS 119 612 v2.1.1 (στο εξής θα αναφέρεται ως ETSI TS 119 612).

Όταν στις παρούσες προδιαγραφές δεν προσδιορίζεται συγκεκριμένη απαίτηση, ισχύουν εξ ολοκλήρου οι απαιτήσεις του ETSI TS 119 612 διατάξεις 5 και 6. Όταν στις παρούσες προδιαγραφές αναφέρονται συγκεκριμένες απαιτήσεις, υπερισχύουν των αντίστοιχων απαιτήσεων του ETSI TS 119 612. Σε περίπτωση αποκλίσεων μεταξύ των παρουσών προδιαγραφών και αυτών του ETSI TS 119 612, υπερισχύουν οι παρούσες προδιαγραφές.

Όνομα σχεδίου (διάταξη 5.3.6)

Το πεδίο αυτό υπάρχει υποχρεωτικά και πληροί τις προδιαγραφές του TS 119 612 διάταξη 5.3.6, όπου χρησιμοποιείται η ακόλουθη επωνυμία για το σχέδιο:

«EN_name_value»= «Κατάλογος εμπίστευσης ο οποίος περιλαμβάνει πληροφορίες σχετικά με τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης οι οποίοι εποπτεύονται από το κράτος μέλος έκδοσης, καθώς και πληροφορίες σχετικά με τις αναγνωρισμένες υπηρεσίες εμπιστοσύνης που παρέχονται από αυτούς, σύμφωνα με τις σχετικές διατάξεις του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ»

Πληροφορίες σχεδίου URI (διάταξη 5.3.7)

Το πεδίο αυτό υπάρχει υποχρεωτικά και πληροί τις προδιαγραφές του TS 119 612 διάταξη 5.3.7, όπου οι «κατάλληλες πληροφορίες για το σχέδιο» θα πρέπει να συμπεριλαμβάνουν τουλάχιστον:

α)

Εισαγωγικές πληροφορίες που είναι κοινές σε όλα τα κράτη μέλη όσον αφορά το πεδίο εφαρμογής και το πλαίσιο του καταλόγου εμπίστευσης, το υπάρχον σχέδιο εποπτείας και, κατά περίπτωση, το εθνικό σχέδιο/τα εθνικά σχέδια έγκρισης (π.χ. διαπίστευσης). Το κοινό κείμενο που θα χρησιμοποιείται παρατίθεται παρακάτω, όπου η στοιχειοσειρά «[ονομασία του οικείου κράτους μέλους]» αντικαθίσταται από την ονομασία του οικείου κράτους μέλους:

«Ο παρών κατάλογος είναι ο κατάλογος εμπίστευσης ο οποίος περιλαμβάνει πληροφορίες σχετικά με τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης οι οποίοι εποπτεύονται από [ονομασία του οικείου κράτους μέλους], καθώς και πληροφορίες σχετικά με τις αναγνωρισμένες υπηρεσίες εμπιστοσύνης που παρέχονται από αυτούς, σύμφωνα με τις σχετικές διατάξεις του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ.

Η διασυνοριακή χρήση των ηλεκτρονικών υπογραφών έχει διευκολυνθεί με την απόφαση 2009/767/ΕΚ της Επιτροπής, της 16ης Οκτωβρίου 2009, η οποία όρισε την υποχρέωση για τα κράτη μέλη να καταρτίζουν, να τηρούν και να δημοσιεύουν καταλόγους εμπίστευσης με πληροφορίες σχετικά με τους παρόχους υπηρεσιών πιστοποίησης που εκδίδουν αναγνωρισμένα πιστοποιητικά για το κοινό σύμφωνα με την οδηγία 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 1999, σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές, και οι οποίοι εποπτεύονται/διαπιστεύονται από τα κράτη μέλη. Ο παρών κατάλογος εμπίστευσης αποτελεί συνέχεια του καταλόγου εμπίστευσης που συστάθηκε με την απόφαση 2009/767/ΕΚ.».

Οι κατάλογοι εμπίστευσης αποτελούν ουσιώδη στοιχεία για την οικοδόμηση εμπιστοσύνης μεταξύ των φορέων της αγοράς ηλεκτρονικών υπηρεσιών, επιτρέποντας στους χρήστες να καθορίζουν την κατάσταση αναγνώρισης και το ιστορικό κατάστασης των παρόχων υπηρεσιών εμπιστοσύνης και των υπηρεσιών τους.

Οι κατάλογοι εμπίστευσης των κρατών μελών περιλαμβάνουν, τουλάχιστον, τις πληροφορίες που προβλέπονται στα άρθρα 1 και 2 της εκτελεστικής απόφασης της Επιτροπής (ΕΕ) 2015/1505.

Τα κράτη μέλη μπορούν να περιλαμβάνουν στους καταλόγους εμπίστευσης πληροφορίες σχετικά με μη αναγνωρισμένους παρόχους υπηρεσιών εμπιστοσύνης, καθώς και πληροφορίες σχετικά με τις μη αναγνωρισμένες υπηρεσίες εμπιστοσύνης που παρέχονται από αυτούς. Αναφέρεται σαφώς ότι οι εν λόγω πάροχοι ή υπηρεσίες δεν είναι αναγνωρισμένοι, σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 910/2014.

Τα κράτη μέλη μπορούν να περιλαμβάνουν στους καταλόγους εμπίστευσης πληροφορίες σχετικά με εθνικά καθορισμένες υπηρεσίες εμπιστοσύνης άλλων τύπων πέραν αυτών που ορίζονται στο άρθρο 3 παράγραφος 16 του κανονισμού (ΕΕ) αριθ. 910/2014. Αναφέρεται σαφώς ότι δεν είναι αναγνωρισμένοι, σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 910/2014.

β)

Συγκεκριμένες πληροφορίες σχετικά με το υπάρχον σχέδιο/τα υπάρχοντα σχέδια εποπτείας και κατά περίπτωση το εθνικό σχέδιο/τα εθνικά σχέδια έγκρισης (π.χ. διαπίστευσης), ειδικότερα (1):

1)

Πληροφορίες σχετικά με το εθνικό σύστημα εποπτείας που ισχύει για τους αναγνωρισμένους και μη αναγνωρισμένους παρόχους υπηρεσιών εμπιστοσύνης και τις αναγνωρισμένες και μη αναγνωρισμένες υπηρεσίες εμπιστοσύνης που αυτοί παρέχουν, όπως ρυθμίζεται από τον κανονισμό (ΕΕ) αριθ. 910/2014.

2)

Πληροφορίες, κατά περίπτωση, για τα εθνικά σχέδια εθελοντικής διαπίστευσης που ισχύουν για τους παρόχους υπηρεσιών πιστοποίησης που έχουν εκδώσει εγκεκριμένα πιστοποιητικά σύμφωνα με την οδηγία 1999/93/ΕΚ.

Αυτές οι συγκεκριμένες πληροφορίες περιλαμβάνουν, τουλάχιστον, για κάθε υπάρχον προαναφερθέν σχέδιο:

1)

Γενική περιγραφή.

2)

Πληροφορίες για τη διαδικασία που ακολουθείται για το εθνικό σύστημα εποπτείας και, κατά περίπτωση, για την έγκριση στο πλαίσιο εθνικού σχεδίου έγκρισης.

3)

Πληροφορίες σχετικά με τα κριτήρια βάσει των οποίων οι πάροχοι υπηρεσιών εμπιστοσύνης επιτηρούνται, ή, κατά περίπτωση, εγκρίνονται.

4)

Πληροφορίες σχετικά με τα κριτήρια και τους κανόνες που χρησιμοποιούνται για την επιλογή υπεύθυνων για την εποπτεία/τον έλεγχο και που ορίζουν πώς αυτοί οι υπεύθυνοι αξιολογούν τους παρόχους υπηρεσιών εμπιστοσύνης και τις υπηρεσίες εμπιστοσύνης που παρέχονται από αυτούς.

5)

Κατά περίπτωση, λοιπά στοιχεία επικοινωνίας και γενικές πληροφορίες που ισχύουν για τη λειτουργία του σχεδίου.

Τύπος σχεδίου/κοινότητα/κανόνες (διάταξη 5.3.9)

Το πεδίο αυτό υπάρχει και πληροί τις προδιαγραφές του TS 119 612 διάταξη 5.3.9.

Περιλαμβάνει μόνο URI σε αγγλικά του Ηνωμένου Βασιλείου.

Περιλαμβάνει τουλάχιστον δύο URI:

1)

Ένα URI κοινό για τους καταλόγους εμπίστευσης όλων των κρατών μελών, το οποίο οδηγεί σε ένα περιγραφικό κείμενο το οποίο ισχύει για όλους τους καταλόγους εμπίστευσης ως εξής:

URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon

Περιγραφικό κείμενο:

«Συμμετοχή σε ένα σχέδιο

Κάθε κράτος μέλος πρέπει να δημιουργήσει έναν κατάλογο εμπίστευσης ο οποίος να περιλαμβάνει πληροφορίες σχετικά με τους υπό εποπτεία εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης, καθώς και πληροφορίες σχετικά με τις αναγνωρισμένες υπηρεσίες εμπιστοσύνης που παρέχονται από αυτούς, σύμφωνα με τις σχετικές διατάξεις του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ.

Η παρούσα εφαρμογή αυτών των καταλόγων εμπίστευσης πρέπει επίσης να αναφέρεται στον κατάλογο συνδέσμων (δεικτών) προς τον κατάλογο εμπίστευσης κάθε κράτους μέλους, ο οποίος καταρτίζεται από την Ευρωπαϊκή Επιτροπή.

Πολιτική/κανόνες για την αξιολόγηση των καταγεγραμμένων υπηρεσιών

Τα κράτη μέλη πρέπει να εποπτεύουν τους εγκεκριμένους παρόχους υπηρεσιών εμπιστοσύνης που είναι εγκατεστημένοι στην επικράτεια του κράτους μέλους που τους έχει ορίσει σύμφωνα με το κεφάλαιο III του κανονισμού (ΕΕ) αριθ. 910/2014 προκειμένου να διασφαλίζει ότι οι εν λόγω εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης και οι εγκεκριμένες υπηρεσίες εμπιστοσύνης που παρέχουν πληρούν τις απαιτήσεις που θεσπίζει ο κανονισμός.

Οι κατάλογοι εμπίστευσης των κρατών μελών περιλαμβάνουν, τουλάχιστον, τις πληροφορίες που προβλέπονται στα άρθρα 1 και 2 της εκτελεστικής απόφασης της Επιτροπής (ΕΕ) 2015/1505.

Οι κατάλογοι εμπίστευσης περιλαμβάνουν τόσο τις τρέχουσες όσο και τις πληροφορίες σχετικά με το ιστορικό για την κατάσταση των καταγεγραμμένων υπηρεσιών εμπιστοσύνης.

Ο κατάλογος εμπίστευσης κάθε κράτους μέλους πρέπει να παρέχει πληροφορίες σχετικά με το εθνικό σχέδιο εποπτείας και, κατά περίπτωση, το εθνικό σχέδιο/τα εθνικά σχέδια έγκρισης (π.χ. διαπίστευση), στα οποία καταγράφονται οι πάροχοι υπηρεσιών εμπιστοσύνης και οι υπηρεσίες εμπιστοσύνης που παρέχουν.

Ερμηνεία του καταλόγου εμπίστευσης

Οι γενικές κατευθυντήριες γραμμές χρήσης για τις εφαρμογές, τις υπηρεσίες ή τα προϊόντα που βασίζονται σε έναν κατάλογο εμπίστευσης ο οποίος δημοσιεύεται σύμφωνα με τις διατάξεις του κανονισμού (ΕΕ) αριθ. 910/2014 είναι οι εξής:

Η κατάσταση “αναγνώρισης” μιας υπηρεσίας εμπιστοσύνης προκύπτει από τον συνδυασμό της αξίας του “Αναγνωριστικού τύπου υπηρεσίας” (“Sti”) σε μια καταχώριση υπηρεσίας και την κατάσταση σύμφωνα με την αξία της “Τρέχουσα κατάσταση υπηρεσίας” από την ημερομηνία που υποδεικνύεται στο “Ημερομηνία και ώρα έναρξης της τρέχουσας κατάστασης”. Πληροφορίες ιστορικού για την εν λόγω κατάσταση αναγνώρισης παρέχεται ομοίως, κατά περίπτωση.

Όσον αφορά τους αναγνωρισμένους παρόχους υπηρεσιών εμπιστοσύνης που εκδίδουν αναγνωρισμένα πιστοποιητικά για τις ηλεκτρονικές υπογραφές, τις ηλεκτρονικές σφραγίδες και/ή για την επαλήθευση της ταυτότητας ιστοτόπων:

Μια καταχώριση “CA/QC”“Αναγνωριστικό τύπου υπηρεσίας” (“Sti”) [πιθανώς μια καταχώριση CA/QC που αναγνωρίζεται περαιτέρω ότι αποτελεί “RootCA/QC” μέσω της χρήσης της επέκτασης “Επέκταση πληροφοριών υπηρεσίας” (“Sie”) additionalServiceInformation]

επισημαίνει ότι οποιοδήποτε πιστοποιητικό για οντότητες-τελικούς αποδέκτες που εκδίδεται από ή βάσει του δημόσιου κλειδιού του CA “Ψηφιακού αναγνωριστικού υπηρεσίας” (“Sdi”) και της ονομασίας του CA (και τα δύο δεδομένα CA να θεωρούνται ως άγκυρα εμπιστοσύνης εισροών) αποτελεί ένα αναγνωρισμένο πιστοποιητικό (QC) υπό την προϋπόθεση ότι περιλαμβάνει ένα τουλάχιστον από τα ακόλουθα:

την οριζόμενη από το id-etsi-qcs-qccompliance id-etsi-qcs ETSI δήλωση (id-etsi-qcs 1),

την οριζόμενη από το 0.4.0.1456.1.1 (QCP+) ETSI πολιτική πιστοποιητικών OID,

την οριζόμενη από το 0.4.0.1456.1.2 (QCP) ETSI πολιτική πιστοποιητικών OID,

και υπό τον όρο ότι αυτό θα εξασφαλίζεται από τον φορέα εποπτείας του κράτους μέλους με έγκυρη κατάσταση υπηρεσίας (δηλαδή “υπό εποπτεία”, “εποπτεία υπό αναστολή”, “διαπιστευμένη” ή “αναγνωρισμένη”) για την εν λόγω εγγραφή

και ΕΑΝ υπάρχουν πληροφορίες “Sie”“Επέκταση προσδιορισμών”, τότε, εκτός από τον παραπάνω εξ ορισμού κανόνα, τα πιστοποιητικά που ορίζονται μέσω της χρήσης πληροφοριών “Sie”“Επέκταση προσδιορισμών”, τα οποία βασίζονται στην αρχή μιας αλληλουχίας φίλτρων που προσδιορίζουν περαιτέρω ένα σύνολο πιστοποιητικών, πρέπει να εξετάζονται σύμφωνα με τους συσχετιζόμενους προσδιοριστές παρέχοντας επιπλέον πληροφορίες όσον αφορά την κατάσταση αναγνώρισης, την “υποστήριξη από SSCD” και/ή το “νομικό πρόσωπο ως υποκείμενο” (π.χ. τα πιστοποιητικά που περιέχουν συγκεκριμένο OID στην επέκταση της πολιτικής πιστοποιητικού και/ή έχουν συγκεκριμένη σχηματομορφή “Χρήσης κλειδιού” και/ή φιλτράρονται μέσω της χρήσης συγκεκριμένης τιμής η οποία εμφανίζεται σε ένα συγκεκριμένο πεδίο ή επέκταση κ.λπ.). Οι προσδιοριστές αυτοί αποτελούν μέρος του παρακάτω συνόλου “προσδιοριστών”, οι οποίοι χρησιμοποιούνται για να επανορθώσουν την έλλειψη πληροφοριών στο αντίστοιχο περιεχόμενο του QC, και οι οποίοι χρησιμοποιούνται αντίστοιχα:

για να δηλώσουν το χαρακτήρα του αναγνωρισμένου πιστοποιητικού:

“QCStatement”, που σημαίνει ότι το/τα προσδιοριζόμενο/-α πιστοποιητικό/-ά είναι αναγνωρισμένα βάσει της οδηγίας 1999/93/ΕΚ,

“QCForESig”, που σημαίνει ότι το/τα προσδιοριζόμενο/-α πιστοποιητικό/-ά, όταν δηλώνονται ή αναφέρονται ως αναγνωρισμένο/-α πιστοποιητικό/-ά, είναι αναγνωρισμένο/-α πιστοποιητικό/-ά ηλεκτρονικής υπογραφής βάσει του κανονισμού (ΕΕ) αριθ. 910/2014,

“QCForESeal”, που σημαίνει ότι το/τα προσδιοριζόμενο/-α πιστοποιητικό/-ά, όταν δηλώνονται ή αναφέρονται ως αναγνωρισμένο/-α πιστοποιητικό/-ά, είναι αναγνωρισμένο/-α πιστοποιητικό/-ά ηλεκτρονικής σφραγίδας βάσει του κανονισμού (ΕΕ) αριθ. 910/2014,

“QCForWSA”, που σημαίνει ότι το/τα προσδιοριζόμενο/-α πιστοποιητικό/-ά, όταν δηλώνονται ή αναφέρονται ως αναγνωρισμένο/-α πιστοποιητικό/-ά, είναι αναγνωρισμένο/-α πιστοποιητικό/-ά ηλεκτρονικού ιστότοπου βάσει του κανονισμού (ΕΕ) αριθ. 910/2014,

για να δηλώσουν ότι το πιστοποιητικό δεν πρέπει να θεωρείται αναγνωρισμένο:

“NotQualified”, που σημαίνει ότι το/τα προσδιοριζόμενο/-α πιστοποιητικό/-ά δεν πρέπει να θεωρείται αναγνωρισμένο, και/ή

για να δηλώσουν τη φύση της υποστήριξης από SSCD:

“QCWithSSCD”, που σημαίνει ότι το/τα προσδιοριζόμενο/-α πιστοποιητικό/-ά, όταν δηλώνονται ή αναφέρονται ως αναγνωρισμένο/-α πιστοποιητικό/-ά, έχουν το ιδιωτικό τους κλειδί σε ένα SSCD, ή

“QCNoSSCD”, που σημαίνει ότι το/τα προσδιοριζόμενο/-α πιστοποιητικό/-ά, όταν δηλώνονται ή αναφέρονται ως αναγνωρισμένο/-α πιστοποιητικό/-ά, δεν έχουν το ιδιωτικό τους κλειδί σε ένα SSCD, ή

“QCSSCDStatusAsInCert”, που σημαίνει ότι το/τα προσδιοριζόμενο/-α πιστοποιητικό/-ά, όταν δηλώνονται ή αναφέρονται ως αναγνωρισμένο/-α πιστοποιητικό/-ά, δεν περιέχει/-ουν επεξεργάσιμες πληροφορίες σχετικά με το εάν έχουν ή όχι το ιδιωτικό τους κλειδί σε ένα SSCD,

για να δηλώσουν τη φύση της υποστήριξης από QSCD:

“QCWithQSCD”, που σημαίνει ότι το/τα προσδιοριζόμενο/-α πιστοποιητικό/-ά, όταν δηλώνονται ή αναφέρονται ως αναγνωρισμένο/-α πιστοποιητικό/-ά, έχουν το ιδιωτικό τους κλειδί σε ένα QSCD, ή

“QCNoQSCD”, που σημαίνει ότι το/τα προσδιοριζόμενο/-α πιστοποιητικό/-ά, όταν δηλώνονται ή αναφέρονται ως αναγνωρισμένο/-α πιστοποιητικό/-ά, δεν έχουν το ιδιωτικό τους κλειδί σε ένα QSCD, ή

“QCQSCDStatusAsInCert”, που σημαίνει ότι το/τα προσδιοριζόμενο/-α πιστοποιητικό/-ά, όταν δηλώνονται ή αναφέρονται ως αναγνωρισμένο/-α πιστοποιητικό/-ά, δεν περιέχει/-ουν επεξεργάσιμες πληροφορίες σχετικά με το εάν έχουν ή όχι το ιδιωτικό τους κλειδί σε ένα QSCD,

“QCQSCDManagedOnBehalf”, που αναφέρει ότι όλα τα πιστοποιητικά που προσδιορίζονται από τον ισχύοντα κατάλογο κριτηρίων, όταν δηλώνονται ή αναφέρονται ως αναγνωρισμένα, έχουν το ιδιωτικό τους κλειδί σε ένα QSCD, για το οποίο η παραγωγή και η διαχείριση του αντίστοιχου ηλεκτρονικού κλειδιού επιτυγχάνονται με αναγνωρισμένο TSP εξ ονόματος της οντότητας της οποίας η ταυτότητα έχει πιστοποιηθεί στο πιστοποιητικό, και/ή

για να δηλώσουν έκδοση υπέρ νομικού προσώπου:

“QCForLegalPerson”, που σημαίνει ότι το/τα προσδιοριζόμενο/-α πιστοποιητικό/-ά, όταν δηλώνονται ή αναφέρονται ως αναγνωρισμένο/-α πιστοποιητικό/-ά, εκδίδονται υπέρ νομικού προσώπου βάσει της οδηγίας 1999/93/ΕΚ.

Σημείωση: Οι πληροφορίες που παρέχονται στον κατάλογο εμπίστευσης πρέπει να θεωρούνται ακριβείς, με την έννοια ότι:

εάν δεν περιλαμβάνονται πληροφορίες id-etsi-qcs 1 statement, QCP OID ή QCP+ OID σε ένα πιστοποιητικό για οντότητες-τελικούς αποδέκτες, και

εάν δεν είναι παρούσες πληροφορίες “Sie”“Επέκταση προσδιορισμών” για την άγκυρα εμπιστοσύνης CA/QC της αντίστοιχης καταχώρισης υπηρεσίας για να αναγνωρίσει το πιστοποιητικό με προσδιοριστή “QCStatement”, ή

υπάρχουν πληροφορίες “Sie”“Επέκταση προσδιορισμών” για την άγκυρα εμπιστοσύνης CA/QC της αντίστοιχης καταχώρισης υπηρεσίας για να αναγνωρίσει το πιστοποιητικό με προσδιοριστή “notqualified”,

τότε το πιστοποιητικό δεν πρέπει να θεωρείται αναγνωρισμένο.

Τα “ψηφιακά αναγνωριστικά υπηρεσίας” πρέπει να χρησιμοποιούνται ως άγκυρες εμπιστοσύνης στο πλαίσιο της επικύρωσης των ηλεκτρονικών υπογραφών ή σφραγίδων για τα οποία το πιστοποιητικό του υπογράφοντα ή του δημιουργού σφραγίδας επικυρώνεται βάση πληροφοριών TL, και ως εκ τούτου μόνο το δημόσιο κλειδί και το όνομα συναφούς θέματος απαιτούνται ως πληροφορίες άγκυρας εμπιστοσύνης. Όταν περισσότερα του ενός πιστοποιητικά εκπροσωπούν το δημόσιο κλειδί για την αναγνώριση της υπηρεσίας, πρέπει να θεωρηθούν ως άγκυρα εμπιστοσύνης πιστοποιητικά άγκυρας εμπιστοσύνης τα οποία αποδίδουν τις ίδιες ακριβώς πληροφορίες όσον αφορά τις πληροφορίες που είναι απόλυτα αναγκαίες ως πληροφορίες άγκυρας εμπιστοσύνης.

Ο γενικός κανόνας ερμηνείας για οποιαδήποτε άλλη καταχώριση τύπου “Sti” είναι ότι, για τον συγκεκριμένο αναγνωρισμένο τύπο υπηρεσίας “Sti”, η καταγεγραμμένη υπηρεσία που ονομάζεται βάσει της τιμής πεδίου “ονομασία υπηρεσίας” και που αναγνωρίζεται κατά μονοσήμαντο τρόπο βάσει της τιμής πεδίου “ψηφιακή ταυτότητα υπηρεσίας” έχει την τρέχουσα κατάσταση έγκρισης ή αναγνώρισης σύμφωνα με την τιμή πεδίου “τρέχουσα κατάσταση υπηρεσίας” από την ημερομηνία που υποδεικνύεται στο “Ημερομηνία και ώρα έναρξης της τρέχουσας κατάστασης”.

Ενδέχεται να εντοπιστούν ειδικοί κανόνες ερμηνείας για οποιεσδήποτε επιπλέον πληροφορίες όσον αφορά μια καταγεγραμμένη υπηρεσία (π.χ. πεδίο “Επεκτάσεις πληροφοριών υπηρεσίας”, κατά περίπτωση, στο ειδικό URI ανά κράτος μέλος, ως μέρος του υπάρχοντος πεδίου “Τύπος/κοινότητες/κανόνες σχεδίου”.

Παρακαλείσθε να συμβουλευθείτε το εφαρμοστέο παράγωγο δίκαιο, σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 910/2014, για περαιτέρω λεπτομέρειες σχετικά με τα πεδία, την περιγραφή και την έννοια των καταλόγων εμπίστευσης των κρατών μελών.».

2)

Ένα URI ειδικά για τον κατάλογο εμπίστευσης κάθε κράτους μέλους, το οποίο οδηγεί σε ένα περιγραφικό κείμενο το οποίο ισχύει για τον TL του εν λόγω κράτους μέλους:

http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC όπου CC = ο κωδικός χώρας ISO 3166-1 (2) με δυο αλφαβητικούς χαρακτήρες που χρησιμοποιείται στο πεδίο «Επικράτεια σχεδίου» (διάταξη 5.3.10)

Σε περιπτώσεις κατά τις οποίες οι χρήστες μπορούν να λάβουν τη συγκεκριμένη πολιτική/τους κανόνες του εκάστοτε κράτους μέλους έναντι των οποίων αξιολογούνται οι υπηρεσίες εμπιστοσύνης που συμπεριλαμβάνονται στον κατάλογο, σύμφωνα με το καθεστώς εποπτείας και, κατά περίπτωση, το σχέδιο έγκρισης του κράτους μέλους.

Σε περιπτώσεις κατά τις οποίες οι χρήστες μπορούν να λάβουν τη συγκεκριμένη περιγραφή του εκάστοτε κράτους μέλους σχετικά με το πώς να χρησιμοποιήσουν και να ερμηνεύσουν το περιεχόμενο του καταλόγου εμπίστευσης όσον αφορά τις καταγεγραμμένες μη αναγνωρισμένες υπηρεσίες εμπιστοσύνης και/ή τις εθνικά προσδιορισμένες υπηρεσίες εμπιστοσύνης. Αυτό μπορεί να χρησιμοποιηθεί για να δηλώσει πιθανή λεπτομερή ανάλυση του εθνικού συστήματος έγκρισης που σχετίζεται με τους CSP που δεν εκδίδουν QC και το πώς χρησιμοποιούνται για τον σκοπό αυτό τα πεδία «URI καθορισμού υπηρεσίας σχεδίου» (διάταξη 5.5.6) και «επέκταση πληροφοριών υπηρεσίας» (διάταξη 5.5.9).

Τα κράτη μέλη ΔΥΝΑΝΤΑΙ ΝΑ ορίσουν και να χρησιμοποιούν πρόσθετα URI επεκτείνοντας το παραπάνω αποκλειστικό ανά κράτος μέλος URI (δηλαδή, URI τα οποία καθορίζονται από αυτό το ιεραρχικά αποκλειστικό URI).

Πολιτική/νομική σημείωση TSL (διάταξη 5.3.11)

Το πεδίο αυτό υπάρχει και πληροί με τις προδιαγραφές του TS 119 612 διάταξη 5.3.11, όπου η πολιτική/νομική σημείωση σχετικά με το νομικό καθεστώς του σχεδίου ή τις νομικές απαιτήσεις που πληροί το σχέδιο στη δικαιοδοσία στην οποία είναι εγκατεστημένο και/ή τυχόν περιορισμούς και όρους βάσει των οποίων ο κατάλογος εμπίστευσης τηρείται και δημοσιεύεται είναι μια ακολουθία πολύγλωσσων στοιχειοσειρών (βλέπε διάταξη 5.1.4) η οποία παρέχει, με υποχρεωτική γλώσσα τα αγγλικά του Ηνωμένου Βασιλείου και ενδεχομένως μία ή περισσότερες εθνικές γλώσσες, το πραγματικό κείμενο οποιασδήποτε τέτοιας πολιτικής ή ανακοίνωσης και δομείται ως εξής:

1)

Ένα πρώτο υποχρεωτικό μέρος, κοινό για τους καταλόγους εμπίστευσης όλων των κρατών μελών σχετικά με το εφαρμοστέο νομικό πλαίσιο και του οποίου η απόδοση στην αγγλική γλώσσα είναι η ακόλουθη:

The applicable legal framework for the present trusted list is Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

Κείμενο στην εθνική/-ές γλώσσα/-ες του κράτους μέλους:

Το ισχύον νομικό πλαίσιο για τον παρόντα κατάλογο εμπίστευσης είναι ο κανονισμός (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ.

2)

Ένα δεύτερο, προαιρετικό μέρος, ειδικό για κάθε κατάλογο εμπίστευσης, το οποίο περιέχει παραπομπές σε συγκεκριμένα ισχύοντα εθνικά νομικά πλαίσια

Τρέχουσα κατάσταση υπηρεσίας (διάταξη 5.5.4)

Το πεδίο αυτό υπάρχει και πληροί τις προδιαγραφές του TS 119 612 διάταξη 5.5.4.

Η μετακίνηση της τιμής «Τρέχουσα κατάσταση υπηρεσίας» των υπηρεσιών που απαριθμούνται στον κατάλογο εμπίστευσης του EUMS κατά την ημέρα πριν από την ημερομηνία εφαρμογής του κανονισμού (ΕΕ) αριθ. 910/2014 (δηλαδή την 30ή Ιουνίου 2016) πρέπει να εκτελείται από την ημερομηνία κατά την οποία ο εφαρμόζεται ο κανονισμός (δηλαδή την 1η Ιουλίου 2016), όπως ορίζεται στο παράρτημα I του ETSI TS 119 612.

ΚΕΦΑΛΑΙΟ III

ΣΥΝΕΧΕΙΑ ΤΩΝ ΚΑΤΑΛΟΓΩΝ ΕΜΠΙΣΤΕΥΣΗΣ

Τα πιστοποιητικά που πρόκειται να κοινοποιηθούν στην Επιτροπή σύμφωνα με το άρθρο 4 παράγραφος 2 της παρούσας απόφασης πληρούν τις απαιτήσεις της διάταξης 5.7.1 του ETSI TS 119 612 και εκδίδονται κατά τέτοιον τρόπο ώστε να:

έχουν τουλάχιστον τρίμηνη διαφορά κατά την ημερομηνία λήξης ισχύος τους («όχι μετά»),

δημιουργούνται με βάση νέα ζεύγη κλειδιών. Τα ζεύγη κλειδιών που έχουν χρησιμοποιηθεί κατά το παρελθόν δεν πρέπει να επαναπιστοποιούνται.

Σε περίπτωση λήξης ενός από τα πιστοποιητικά δημόσιου κλειδιού που θα μπορούσε να χρησιμοποιηθεί για την επικύρωση της υπογραφής ή της σφραγίδας του καταλόγου εμπίστευσης που έχει κοινοποιηθεί στην Επιτροπή και δημοσιευθεί στους κεντρικούς καταλόγους δεικτών της Επιτροπής, τα κράτη μέλη:

σε περίπτωση που ο δημοσιευμένος κατάλογος εμπίστευσης υπογράφηκε ή σφραγίστηκε με ένα ιδιωτικό κλειδί του οποίου το πιστοποιητικό δημόσιου κλειδιού έχει λήξει, επανεκδίδουν, χωρίς καθυστέρηση, νέο κατάλογο εμπίστευσης υπογεγραμμένο ή σφραγισμένο με ένα ιδιωτικό κλειδί του οποίου το κοινοποιημένο πιστοποιητικό δημόσιου κλειδιού δεν έχει λήξει,

εφόσον απαιτείται, δημιουργούν νέα ζεύγη κλειδιών που θα μπορούσαν να χρησιμοποιηθούν για την υπογραφή ή σφράγιση του καταλόγου εμπίστευσης και αναλαμβάνουν τη δημιουργία των αντίστοιχων πιστοποιητικών δημόσιου κλειδιού,

ενημερώνουν άμεσα την Επιτροπή για τον νέο κατάλογο πιστοποιητικών δημόσιων κλειδιών που αντιστοιχούν στα ιδιωτικά κλειδιά που θα μπορούσαν να χρησιμοποιηθούν για την υπογραφή ή σφράγιση του καταλόγου εμπίστευσης.

Σε περίπτωση παραβίασης ή κατάργησης ενός από τα ιδιωτικά κλειδιά που αντιστοιχούν σε ένα από τα πιστοποιητικά δημόσιου κλειδιού το οποίο θα μπορούσε να χρησιμοποιηθεί για την επικύρωση της υπογραφής ή της σφράγισης του κατάλογου εμπίστευσης που έχει κοινοποιηθεί στην Επιτροπή και δημοσιευτεί στους κεντρικούς καταλόγους δεικτών της Επιτροπής, τα κράτη μέλη:

επανεκδίδουν, χωρίς καθυστέρηση, νέο κατάλογο εμπίστευσης υπογεγραμμένο ή σφραγισμένο με το μη παραβιασμένο ιδιωτικό κλειδί σε περιπτώσεις όπου ο δημοσιευμένος κατάλογος εμπίστευσης υπογράφηκε ή σφραγίστηκε με παραβιασμένο ή καταργημένο ιδιωτικό κλειδί,

εφόσον απαιτείται, δημιουργούν νέα ζεύγη κλειδιών που θα μπορούσαν να χρησιμοποιηθούν για την υπογραφή ή σφράγιση του καταλόγου εμπίστευσης και αναλαμβάνουν τη δημιουργία των αντίστοιχων πιστοποιητικών δημόσιου κλειδιού,

ενημερώνουν άμεσα την Επιτροπή για τον νέο κατάλογο πιστοποιητικών δημόσιου κλειδιού που αντιστοιχούν στα ιδιωτικά κλειδιά που θα μπορούσαν να χρησιμοποιηθούν για την υπογραφή ή σφράγιση του καταλόγου εμπίστευσης.

Σε περίπτωση παραβίασης ή κατάργησης όλων των ιδιωτικών κλειδιών που αντιστοιχούν στα πιστοποιητικά δημόσιου κλειδιού που θα μπορούσαν να χρησιμοποιηθούν για την επικύρωση της υπογραφής του καταλόγου εμπίστευσης και έχουν κοινοποιηθεί στην Επιτροπή και δημοσιευθεί στους κεντρικούς καταλόγους δεικτών της Επιτροπής, τα κράτη μέλη:

δημιουργούν νέα ζεύγη κλειδιών που θα μπορούσαν να χρησιμοποιηθούν για την υπογραφή ή σφράγιση του καταλόγου εμπίστευσης και αναλαμβάνουν τη δημιουργία των αντίστοιχων πιστοποιητικών δημόσιου κλειδιού,

επανεκδίδουν, χωρίς καθυστέρηση, νέο κατάλογο εμπίστευσης υπογεγραμμένο ή σφραγισμένο με ένα από αυτά τα νέα ιδιωτικά κλειδιά και του οποίου το αντίστοιχο πιστοποιητικό δημόσιου κλειδιού πρόκειται να κοινοποιηθεί,

ενημερώνουν άμεσα την Επιτροπή για τον νέο κατάλογο πιστοποιητικών δημόσιου κλειδιού που αντιστοιχούν στα ιδιωτικά κλειδιά που θα μπορούσαν να χρησιμοποιηθούν για την υπογραφή ή σφράγιση του καταλόγου εμπίστευσης.

ΚΕΦΑΛΑΙΟ IV

ΠΡΟΔΙΑΓΡΑΦΕΣ ΓΙΑ ΤΗΝ ΑΝΑΓΝΩΣΙΜΗ ΑΠΟ ΑΝΘΡΩΠΟ ΜΟΡΦΗ ΤΟΥ ΚΑΤΑΛΟΓΟΥ ΕΜΠΙΣΤΕΥΣΗΣ

Όταν δημιουργείται και δημοσιεύεται μια αναγνώσιμη από άνθρωπο μορφή του καταλόγου εμπίστευσης, παρέχεται με τη μορφή εγγράφου Portable Document Format (PDF) σύμφωνα με το ISO 32000 (3), το οποίο μορφοποιείται σύμφωνα με το προφίλ PDF/A (ISO 19005 (4)).

Το περιεχόμενο μιας αναγνώσιμης από άνθρωπο μορφής βάσει PDF/A του καταλόγου εμπίστευσης πληροί τις παρακάτω απαιτήσεις:

Η δομή της αναγνώσιμης από άνθρωπο μορφής αντιστοιχεί στο λογικό μοντέλο που περιγράφεται στο TS 119 612.

Κάθε υπάρχον πεδίο προβάλλεται και παρέχει:

τον τίτλο του πεδίου (π.χ. «Αναγνωριστικό τύπου υπηρεσίας»),

την τιμή του πεδίου (π.χ. «http://uri.etsi.org/TrstSvc/Svctype/CA/QC»),

την έννοια (περιγραφή) της τιμής του πεδίου, κατά περίπτωση (π.χ. «Μια υπηρεσία δημιουργίας πιστοποιητικών η οποία δημιουργεί και υπογράφει αναγνωρισμένα πιστοποιητικά με βάση την ταυτότητα και τα λοιπά χαρακτηριστικά που επαληθεύονται από τις αρμόδιες υπηρεσίες καταχώρισης.»),

πολλαπλές εκδόσεις σε διάφορες εθνικές γλώσσες, όπως προβλέπεται στον κατάλογο εμπίστευσης, κατά περίπτωση.

Τα παρακάτω πεδία και οι αντίστοιχες τιμές των ψηφιακών πιστοποιητικών (5), εάν υπάρχουν στο πεδίο «Ψηφιακή ταυτότητα υπηρεσίας» εμφανίζονται τουλάχιστον στην αναγνώσιμη από άνθρωπο μορφή:

Έκδοση

Αύξων αριθμός πιστοποιητικού

Αλγόριθμος υπογραφής

Εκδότης — όλα τα συναφή διαχωριζόμενα πεδία ονομασιών

Περίοδος ισχύος

Θέμα — όλα τα συναφή διαχωριζόμενα πεδία ονομασιών

Δημόσιο κλειδί

Αναγνωριστικό κλειδιού αρχής

Αναγνωριστικό κλειδιού υποκειμένου

Χρήση κλειδιού

Εκτεταμένη χρήση κλειδιού

Πολιτικές πιστοποιητικού — όλα τα αναγνωριστικά πολιτικής και οι προσδιοριστές πολιτικής

Χαρτογράφηση των πολιτικών

Εναλλακτική ονομασία θέματος

Χαρακτηριστικά καταλόγου θέματος

Βασικοί περιορισμοί

Περιορισμοί που αφορούν την πολιτική

Σημεία διανομής CRL (6)

Πρόσβαση σε πληροφορίες αρχών

Πρόσβαση σε πληροφορίες θέματος

Δηλώσεις Αναγνωρισμένου Πιστοποιητικού (7)

Αλγόριθμος κατακερματισμού

Τιμή κατακερματισμού του πιστοποιητικού

Η αναγνώσιμη από άνθρωπο μορφή είναι εύκολα εκτυπώσιμη.

Η αναγνώσιμη από άνθρωπο μορφή είναι υπογεγραμμένη ή σφραγισμένη από τον φορέα εκμετάλλευσης σχεδίου, σύμφωνα με προηγμένη υπογραφή PDF που προσδιορίζεται στα άρθρα 1 και 3 της εκτελεστικής απόφασης της Επιτροπής (ΕΕ) 2015/1505.


(1)  Τα εν λόγω σύνολα πληροφοριών είναι κρίσιμης σημασίας για τα βασιζόμενα μέρη για την αξιολόγηση της ποιότητας και του επιπέδου ασφαλείας των εν λόγω συστημάτων. Τα εν λόγω σύνολα πληροφοριών παρέχονται σε επίπεδο καταλόγου εμπίστευσης μέσω της χρήσης του παρόντος «URI σχεδίου πληροφοριών» (διάταξη 5.3.7 — πληροφορίες που παρέχει το κράτος μέλος), του «Τύπου σχεδίου/κοινότητα/κανόνες» (διάταξη 5.3.9 — μέσω της χρήσης ενός κειμένου κοινού για όλα τα κράτη μέλη), και της «Πολιτικής/νομικής σημείωσης TSL» (διάταξη 5.3.11 — κείμενο κοινό για όλα τα κράτη μέλη, μαζί με τη δυνατότητα κάθε κράτους μέλους να προσθέτει κείμενα/παραπομπές που να αφορούν ειδικά το εκάστοτε κράτος μέλος). Επιπλέον πληροφορίες σχετικά με τα εν λόγω συστήματα για μη εγκεκριμένες υπηρεσίες εμπιστοσύνης και εθνικά καθορισμένες (εγκεκριμένες) υπηρεσίες εμπιστοσύνης μπορούν να παρέχονται σε επίπεδο υπηρεσίας, κατά περίπτωση και όταν είναι απαραίτητες (π.χ. για να γίνεται διάκριση μεταξύ πολλών επιπέδων ποιότητας/ασφάλειας) μέσω της χρήσης του «URI καθορισμού υπηρεσίας σχεδίου» (διάταξη 5.5.6).

(2)  ISO 3166-1:2006: «Κωδικοί ονομάτων χωρών και υποδιαιρέσεών τους — Μέρος 1: Κωδικοί χωρών»

(3)  ISO 32000-1:2008: Διαχείριση εγγράφων — Μορφή φορητού εγγράφου — Μέρος 1: PDF 1.7

(4)  ISO 19005-2:2011: Διαχείριση εγγράφων — Ηλεκτρονική μορφή αρχείου του εγγράφου για μακροχρόνια διατήρηση — Μέρος 2: Χρήση του ISO 32000-1 (PDF/A-2)

(5)  Σύσταση ITU-T X.509 | ISO/IEC 9594-: Τεχνολογία πληροφοριών — Διασύνδεση ανοιχτών συστημάτων — κατάλογος: Πλαίσια δημόσιου κλειδιού και χαρακτηριστικών πιστοποιητικού (βλέπε http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=X.509)

(6)  RFC 5280: Διαδικτυακό πιστοποιητικό Χ 509 υποδομής δημόσιου κλειδιού και Χαρακτηριστικά του CRL

(7)  RFC 3739: Διαδικτυακή υποδομή δημόσιου κλειδιού X. 509: Προφίλ Αναγνωρισμένων Πιστοποιητικών


ΠΑΡΑΡΤΗΜΑ ΙΙ

ΥΠΟΔΕΙΓΜΑ ΓΙΑ ΤΙΣ ΚΟΙΝΟΠΟΙΗΣΕΙΣ ΤΩΝ ΚΡΑΤΩΝ ΜΕΛΩΝ

Οι πληροφορίες που πρέπει να κοινοποιούνται από τα κράτη μέλη σύμφωνα με το άρθρο 4 παράγραφος 1 της παρούσας απόφασης περιέχουν τα ακόλουθα δεδομένα και οποιαδήποτε μεταβολή τους:

1)

Κράτος μέλος, με χρήση διψήφιων αλφαβητικών κωδικών ISO 3166-1 (1) με τις ακόλουθες εξαιρέσεις:

α)

Ο κωδικός χώρας για το Ηνωμένο Βασίλειο, «UK».

β)

Ο κωδικός χώρας για την Ελλάδα, «EL».

2)

Ο φορέας/οι φορείς που είναι αρμόδιος/αρμόδιοι για την κατάρτιση, την τήρηση και τη δημοσίευση της κατάλληλης για αυτοματοποιημένη επεξεργασία μορφής και της αναγνώσιμης από άνθρωπο μορφής των καταλόγων εμπίστευσης:

α)

Ονομασία φορέα εκμετάλλευσης του σχεδίου: οι παρεχόμενες πληροφορίες πρέπει να είναι πανομοιότυπες — πεζά ή κεφαλαία — στην τιμή «Ονομασία φορέα εκμετάλλευσης του σχεδίου» στον κατάλογο εμπίστευσης σε όσες γλώσσες χρησιμοποιούνται στον κατάλογο εμπίστευσης.

β)

Προαιρετικές πληροφορίες για εσωτερική χρήση της Επιτροπής μόνο σε περιπτώσεις κατά τις οποίες πρέπει να ενημερωθεί η αρμόδια αρχή (οι πληροφορίες δεν θα δημοσιεύονται στον ενωσιακό συγκεντρωτικό κατάλογο των καταλόγων εμπίστευσης):

διεύθυνση του φορέα εκμετάλλευσης του σχεδίου,

στοιχεία επικοινωνίας του/των υπεύθυνου/-ων προσώπου/-ων (ονοματεπώνυμο, αριθμός τηλεφώνου, διεύθυνση ηλεκτρονικού ταχυδρομείου).

3)

Τόπος στον οποίο δημοσιεύεται ο κατάλογος εμπίστευσης υπό μορφή κατάλληλη για αυτοματοποιημένη επεξεργασία (τόπος δημοσίευσης του τρέχοντος καταλόγου εμπίστευσης).

4)

Τόπος, κατά περίπτωση, στον οποίο δημοσιεύεται ο κατάλογος εμπίστευσης υπό μορφή αναγνώσιμη από άνθρωπο (τόπος δημοσίευσης του τρέχοντος καταλόγου εμπίστευσης). Σε περίπτωση που ένας κατάλογος εμπίστευσης υπό μορφή αναγνώσιμη από άνθρωπο δεν δημοσιεύεται πλέον, γίνεται σχετική μνεία.

5)

Τα πιστοποιητικά δημόσιου κλειδιού που αντιστοιχούν στα ιδιωτικά κλειδιά τα οποία μπορούν να χρησιμοποιηθούν για την ηλεκτρονική υπογραφή ή σφράγιση της κατάλληλης για αυτοματοποιημένη επεξεργασία μορφής του καταλόγου εμπίστευσης και της αναγνώσιμης από άνθρωπο μορφής των καταλόγων εμπίστευσης: Τα εν λόγω πιστοποιητικά πρέπει να παρέχονται ως πιστοποιητικά DER κωδικοποιημένα με Privacy Enhanced Mail Base64. Για κοινοποίηση τροποποίησης, συμπληρωματικές πληροφορίες σε περίπτωση που ένα νέο πιστοποιητικό πρόκειται να αντικαταστήσει ένα ειδικό πιστοποιητικό στον κατάλογο της Επιτροπής και σε περίπτωση που το κοινοποιηθέν πιστοποιητικό πρόκειται να προστεθεί στο υπάρχον/στα υπάρχοντα, χωρίς να αντικατασταθεί.

6)

Ημερομηνία υποβολής των δεδομένων που κοινοποιούνται στα σημεία 1 έως 5.

Τα δεδομένα που κοινοποιούνται σύμφωνα με το σημείο 1, το σημείο 2 στοιχείο α) και τα σημεία 3, 4 και 5 πρέπει να περιλαμβάνονται στον ενωσιακό συγκεντρωτικό κατάλογο των καταλόγων εμπίστευσης σε αντικατάσταση των προηγουμένως κοινοποιηθεισών πληροφοριών που περιλαμβάνονται στον εν λόγω συγκεντρωτικό κατάλογο.


(1)  ISO 3166-1: «Κωδικοί ονομάτων χωρών και υποδιαιρέσεών τους — Μέρος 1: Κωδικοί χωρών».