9.9.2015   

HR

Službeni list Europske unije

L 235/26

PROVEDBENA ODLUKA KOMISIJE (EU) 2015/1505

оd 8. rujna 2015.

o utvrđivanju tehničkih specifikacija i formata koji se odnose na pouzdane popise u skladu s člankom 22. stavkom 5. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu

(Tekst značajan za EGP)

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Uredbu (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (1), a posebno njezin članak 22. stavak 5.,

budući da:

(1)

Pouzdani popisi ključni su za izgradnju povjerenja među tržišnim operatorima jer sadržavaju informacije o statusu pružatelja usluga u trenutku nadzora.

(2)

Prekogranična uporaba elektroničkih potpisa olakšana je Odlukom Komisije 2009/767/EZ (2) kojom je za države članice propisana obveza da izrađuju, vode i objavljuju pouzdane popise, uključujući informacije o pružateljima usluga certificiranja koji izdaju kvalificirane certifikate za javnost u skladu s Direktivom 1999/93/EZ Europskog parlamenta i Vijeća (3) i koje nadziru i akreditiraju države članice.

(3)

Člankom 22. Uredbe (EU) br. 910/2014 za države članice propisana je obveza da na siguran način izrađuju, vode i objavljuju elektronički potpisane ili pečaćene pouzdane popise u obliku prikladnom za automatiziranu obradu te da Komisiju obavijeste o tijelima nadležnima za izradu nacionalnih pouzdanih popisa.

(4)

Pružatelj usluga povjerenja i usluge povjerenja koje pruža trebali bi se smatrati kvalificiranima ako pružatelj usluge koji se nalazi na pouzdanom popisu ima kvalificirani status. Kako bi se osiguralo da pružatelji usluga mogu lako, na daljinu i u elektroničkom obliku, ispunjavati druge obveze koje proizlaze iz Uredbe (EU) br. 910/2014, a posebno one iz članaka 27. i 37., te kako bi se ispunila opravdana očekivanja drugih pružatelja usluga certificiranja koji ne izdaju kvalificirane certifikate, ali nude usluge u vezi s elektroničkim potpisima na temelju Direktive 1999/93/EZ, i koji budu uvršteni na popis do 30. lipnja 2016., državama članicama trebalo bi se omogućiti da na nacionalnoj razini i na dobrovoljnoj osnovi na pouzdani popis dodaju usluge povjerenja koje nisu kvalificirane, uz uvjet da se jasno navede da te usluge nisu kvalificirane u skladu s Uredbom (EU) br. 910/2014.

(5)

U skladu s uvodnom izjavom 25. Uredbe (EU) br. 910/2014, države članice mogu dodavati druge vrste nacionalno definiranih usluga povjerenja različite od onih koje su definirane u članku 3. stavku 16. Uredbe (EU) br. 910/2014, uz uvjet da se jasno navede da te usluge nisu kvalificirane u skladu s Uredbom (EU) br. 910/2014.

(6)

Mjere propisane ovom Odlukom u skladu su s mišljenjem odbora osnovanog člankom 48. Uredbe (EU) br. 910/2014,

DONIJELA JE OVU ODLUKU:

Članak 1.

Države članice izrađuju, objavljuju i vode pouzdane popise, uključujući informacije o kvalificiranim pružateljima usluga povjerenja koje nadziru te informacije o kvalificiranim uslugama povjerenja koje oni pružaju. Ti su popisi u skladu s tehničkim specifikacijama iz Priloga I.

Članak 2.

Države članice mogu u pouzdane popise uključiti informacije o nekvalificiranim pružateljima usluga povjerenja te informacije o nekvalificiranim uslugama povjerenja koje oni pružaju. Na popisu se jasno navodi koji su pružatelji usluga povjerenja i usluge povjerenja koje oni pružaju nekvalificirani.

Članak 3.

1.   U skladu s člankom 22. stavkom 2. Uredbe (EU) br. 910/2014, države članice elektronički potpisuju ili pečate svoje pouzdane popise u obliku prikladnom za automatiziranu obradu u skladu s tehničkim specifikacijama iz Priloga I.

2.   Ako država članica elektronički objavljuje pouzdani popis u ljudima čitljivom obliku, ona osigurava da taj popis sadržava iste podatke kao popis u obliku prikladnom za automatiziranu obradu te ga elektronički potpisuje ili pečati u skladu s tehničkim specifikacijama iz Priloga I.

Članak 4.

1.   Države članice Komisiji priopćavaju informacije iz članka 22. stavka 3. Uredbe (EU) br. 910/2014 koristeći se predloškom iz Priloga II.

2.   Informacije iz stavka 1. uključuju dva ili više certifikata javnog ključa upravitelja sustava s razmakom između njihovih rokova valjanosti od najmanje tri mjeseca, koji odgovaraju privatnim ključevima koji se mogu upotrebljavati za elektroničko potpisivanje ili pečaćenje pouzdanog popisa u obliku prikladnom za automatiziranu obradu i u ljudima čitljivom obliku, kada se objave.

3.   U skladu s člankom 22. stavkom 4. Uredbe (EU) br. 910/2014, Komisija na siguran način na odobrenom web-poslužitelju objavljuje informacije navedene u stavcima 1. i 2., koje su im dostavile države članice, u potpisanom ili pečaćenom obliku prikladnom za automatiziranu obradu.

4.   Komisija može na siguran način na odobrenom web-poslužitelju objaviti informacije navedene u stavcima 1. i 2., koje su im dostavile države članice, u potpisanom ili pečaćenom ljudima čitljivom obliku.

Članak 5.

Ova Odluka stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Odluka u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 8. rujna 2015.

Za Komisiju

Predsjednik

Jean-Claude JUNCKER

(1)  SL L 257, 28.8.2014., str. 73.

(2)  Odluka Komisije 2009/767/EZ od 16. listopada 2009. o utvrđivanju mjera kojima se olakšava uporaba postupaka elektroničkim putem preko „jedinstvenih kontaktnih točaka” u skladu s Direktivom 2006/123/EZ Europskog parlamenta i Vijeća o uslugama na unutarnjem tržištu (SL L 274, 20.10.2009., str. 36.).

(3)  Direktiva 1999/93/EZ Europskog parlamenta i Vijeća od 13. prosinca 1999. o okviru Zajednice za elektroničke potpise (SL L 13, 19.1.2000., str. 12.).

PRILOG I.

TEHNIČKE SPECIFIKACIJE ZA ZAJEDNIČKI PREDLOŽAK ZA POUZDANE POPISE

POGLAVLJE I.

OPĆI ZAHTJEVI

Pouzdani popisi sadržavaju aktualne i sve povijesne informacije o statusu usluga povjerenja uvrštenih na popis počevši od datuma uvrštavanja pružatelja usluga povjerenja na pouzdane popise.

Izrazi „odobren”, „akreditiran” i/ili „nadziran” u ovim specifikacijama obuhvaćaju i nacionalne programe odobrenja, dok sve dodatne informacije o prirodi takvih nacionalnih programa države članice navode u svojim pouzdanim popisima, uključujući objašnjenja o mogućim razlikama u odnosu na programe nadzora koji se primjenjuju na kvalificirane pružatelje usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju.

Informacije sadržane u pouzdanim popisima prvenstveno služe kao potpora za validaciju tokena kvalificirane usluge povjerenja, tj. fizičkih ili binarnih (logičkih) objekata generiranih ili izdanih pri korištenju kvalificiranom uslugom povjerenja, npr. kvalificirani elektronički potpisi/pečati, napredni elektronički potpisi/pečati koji se temelje na kvalificiranom certifikatu, kvalificirani vremenski žigovi, dokazi o kvalificiranoj elektroničkoj dostavi itd.

POGLAVLJE II.

PODROBNE SPECIFIKACIJE ZA ZAJEDNIČKI PREDLOŽAK ZA POUZDANE POPISE

Ove specifikacije temelje se na specifikacijama i zahtjevima iz norme ETSI TS 119 612 v2.1.1 (dalje u tekstu ETSI TS 119 612).

Ako ovim specifikacijama nisu propisani posebni zahtjevi, u potpunosti se primjenjuju zahtjevi iz norme ETSI TS 119 612 točaka 5. i 6. Ako su ovim specifikacijama propisani posebni zahtjevi, oni imaju prednost pred odgovarajućim zahtjevima iz norme ETSI TS 119 612. U slučaju nepodudarnosti između ovih specifikacija i specifikacija iz norme ETSI TS 119 612, ove specifikacije imaju prednost.

Ime programa (Scheme name) (točka 5.3.6.)

Polje mora biti uključeno i u skladu sa specifikacijama iz norme TS 119 612 točke 5.3.6., a za program se upotrebljava sljedeće ime:

„EN_name_value”= „Pouzdani popis koji sadržava informacije o kvalificiranim pružateljima usluga povjerenja koje nadzire država članica izdavateljica te podatke o kvalificiranim uslugama povjerenja koje oni pružaju, u skladu s relevantnim odredbama iz Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ.”

URI za informacije o programu (Scheme information URI) (točka 5.3.7.)

Polje mora biti uključeno i u skladu sa specifikacijama iz norme TS 119 612 točke 5.3.7., pri čemu „odgovarajući podaci o programu” uključuju barem sljedeće:

(a)

uvodne informacije zajedničke svim državama članicama u pogledu područja primjene i konteksta pouzdanog popisa, temeljnog programa nadzora i, ako je primjenjivo, nacionalnog/nacionalnih programa odobrenja (npr. akreditacija). Za to se upotrebljava tekst u nastavku, u kojem se niz znakova „[ime predmetne države članice]” zamjenjuje imenom predmetne države članice:

„Ovaj je popis pouzdani popis koji sadržava informacije o kvalificiranim pružateljima usluga povjerenja koje nadzire [ime predmetne države članice] te podatke o kvalificiranim uslugama povjerenja koje oni pružaju, u skladu s relevantnim odredbama iz Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ.

Prekogranična uporaba elektroničkih potpisa olakšana je Odlukom Komisije 2009/767/EZ od 16. listopada 2009. kojom je za države članice propisana obveza da izrađuju, vode i objavljuju pouzdane popise s informacijama o pružateljima usluga certificiranja koji izdaju kvalificirane certifikate za javnost u skladu s Direktivom 1999/93/EZ Europskog parlamenta i Vijeća od 13. prosinca 1999. o okviru Zajednice za elektroničke potpise i koje nadziru/akreditiraju države članice. Ovaj je pouzdani popis nastavak pouzdanog popisa uspostavljenog Odlukom 2009/767/EZ.”

Pouzdani popisi ključni su element za izgradnju povjerenja među operatorima elektroničkog tržišta jer korisnicima omogućuju da provjere kvalificirani status i povijest statusa pružateljâ usluga povjerenja i njihovih usluga.

Pouzdani popisi država članica moraju sadržavati barem informacije iz članaka 1. i 2. Provedbene odluke Komisije (EU) 2015/1505.

Države članice mogu u pouzdane popise uključiti informacije o nekvalificiranim pružateljima usluga povjerenja te informacije o nekvalificiranim uslugama povjerenja koje oni pružaju. Jasno se navodi da nisu kvalificirani u skladu s Uredbom (EU) br. 910/2014.

Države članice mogu u pouzdane popise uključiti informacije o nacionalno definiranim uslugama povjerenja koje su različite od onih definiranih u članku 3. stavku 16. Uredbe (EU) br. 910/2014. Jasno se navodi da nisu kvalificirane u skladu s Uredbom (EU) br. 910/2014;

(b)

posebne informacije o temeljnom programu nadzora i, ako je primjenjivo, nacionalnom programu/nacionalnim programima odobrenja (npr. akreditacija), a osobito (1):

1.

informacije o nacionalnom sustavu nadzora koji se primjenjuje na kvalificirane i nekvalificirane pružatelje usluga povjerenja te na kvalificirane i nekvalificirane usluge povjerenja koje oni pružaju kako je predviđeno Uredbom (EU) br. 910/2014;

2.

prema potrebi, informacije o nacionalnim dobrovoljnim programima akreditacije koji se primjenjuju na pružatelje usluga certificiranja koji su izdavali kvalificirane certifikate na temelju Direktive 1999/93/EZ.

Te posebne informacije za svaki prethodno navedeni temeljni program uključuju barem sljedeće:

1.

opći opis;

2.

informacije o postupku koji se primjenjuje za nacionalni program nadzora i, ako je primjenjivo, za odobrenje na temelju nacionalnog programa odobrenja;

3.

informacije o kriterijima na temelju kojih se pružatelji usluga povjerenja nadziru ili, ako je primjenjivo, odobravaju;

4.

informacije o kriterijima i pravilima na temelju kojih se izabiru nadzornici/revizori i definira način na koji oni ocjenjuju pružatelje usluga povjerenja i usluge povjerenja koje oni pružaju;

5.

ako je primjenjivo, kontaktne podatke i druge opće informacije koje se odnose na izvođenje programa.

Vrsta programa/zajednica/pravila (Scheme type/community/rules) (točka 5.3.9.)

Polje mora biti uključeno i u skladu sa specifikacijama iz norme TS 119 612 točke 5.3.9.

Uključuje samo URI-je na britanskom engleskom jeziku.

Uključuje najmanje dva URI-ja:

1.

URI zajednički svim pouzdanim popisima država članica s upućivanjem na opisni tekst, koji vrijedi za sve pouzdane popise, kako slijedi:

URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon

Opisni tekst:

„Sudjelovanje u programu

Svaka država članica mora izraditi pouzdani popis koji sadržava informacije o kvalificiranim pružateljima usluga povjerenja koje nadzire te informacije o kvalificiranim uslugama povjerenja koje oni pružaju, u skladu s relevantnim odredbama iz Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ.

Provedba tih pouzdanih popisa mora biti navedena i na Komisijinu popisu poveznica (pokazivača) koji vode do svakog od pouzdanih popisa država članica.

Smjernice/pravila za ocjenjivanje usluga uvrštenih na popis

Države članice moraju nadzirati kvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ih je imenovala, kako je predviđeno u poglavlju III. Uredbe (EU) br. 910/2014, kako bi se osiguralo da ti kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve propisane Uredbom.

Pouzdani popisi država članica moraju sadržavati barem informacije iz članaka 1. i 2. Provedbene odluke Komisije (EU) 2015/1505.

Pouzdani popisi uključuju i aktualne i povijesne informacije o statusu usluga povjerenja uvrštenih na popis.

Pouzdani popisi država članica moraju sadržavati informacije o nacionalnom programu nadzora i, ako je primjenjivo, nacionalnom programu/nacionalnim programima odobrenja (npr. akreditacija) na temelju kojih su pružatelji usluga povjerenja i usluge povjerenja koje pružaju uvršteni na popis.

Tumačenje pouzdanog popisa

Slijede opće smjernice za korisnike koje vrijede za aplikacije, usluge ili proizvode temeljene na pouzdanom popisu objavljenom u skladu s Uredbom (EU) br. 910/2014:

‚kvalificirani’ status usluge povjerenja izražen je kombinacijom vrijednosti u unosu ‚Identifikator vrste usluge’ (Service type identifier – Sti) i statusa u skladu s vrijednosti polja ‚Trenutačni status usluge’ (Service current status), koji vrijedi od datuma navedenog u polju ‚Datum i vrijeme početka trenutačnog statusa’ (Current status starting date and time). Ako je primjenjivo, na sličan se način dostavljaju i povijesne informacije o tom kvalificiranom statusu.

U vezi s kvalificiranim pružateljima usluga povjerenja koji izdaju kvalificirane certifikate za elektroničke potpise, elektroničke pečate i/ili autentikaciju mrežnih stranica:

unos ‚Certifikacijsko tijelo koje izdaje kvalificirane certifikate’ (CA/QC) ‚Identifikator vrste usluge’ (Service type identifier – Sti) (može biti dodatno definiran kao ‚Korijensko certifikacijsko tijelo koje izdaje kvalificirane certifikate’ (RootCA-QC) korištenjem odgovarajuće dodatne ekstenzije informacija o usluzi (Service information extension – Sie)

označuje da je svaki certifikat krajnjeg korisnika koji je izdalo certifikacijsko tijelo ili koji je izdan pod njegovom nadležnošću, te kojeg predstavlja javni ključ i naziv certifikacijskog tijela u polju ‚Digitalni identifikator usluge’ (Service digital identifier – Sdi) (oba podatka o certifikacijskom tijelu trebaju se smatrati ulaznim vrijednostima glavnog javnog ključa – ‚trust anchor input’), kvalificirani certifikat (QC) pod uvjetom da sadržava barem jedno od sljedećeg:

izjavu o sukladnosti kvalificiranog certifikata id-etsi-qcs-QcCompliance koja je definirana ETSI-jem (id-etsi-qcs 1),

identifikacijsku oznaku (OID) općih pravila certifikata 0.4.0.1456.1.1 (QCP+) koja je definirana ETSI-jem,

identifikacijsku oznaku (OID) općih pravila certifikata 0.4.0.1456.1.2 (QCP) koja je definirana ETSI-jem,

te, pod uvjetom da to, s pomoću valjanog statusa usluge (tj. ‚undersupervision’, ‚supervisionincessation’, ‚accredited’ ili ‚granted’), za navedeni unos osigurava nadzorno tijelo države članice.

te AKO je uključena informacija ‚Ekstenzija kvalifikacija’ (Sie – Qualifications Extension), tada se uz prethodno navedeno zadano pravilo, certifikati identificirani s pomoću informacija iz polja ‚Ekstenzija kvalifikacija’, koje su strukturirane kao niz filtera koji služe za precizniju identifikaciju skupine certifikata, moraju ispitivati u skladu s pripadajućim kvalifikatorima koji sadržavaju dodatne informacije o njihovu kvalificiranom statusu, ‚Podrška sredstvu za sigurnu izradu elektroničkog potpisa’ (SSCD support) i/ili ‚Pravna osoba kao subjekt’ (Legal person as subject) (npr. certifikati koji u ekstenziji općih pravila certifikata sadržavaju posebnu identifikacijsku oznaku i/ili imaju poseban model ‚Uporaba ključa’ (Key usage) i/ili su filtrirani s pomoću posebne vrijednosti koja se pojavljuje u posebnom polju certifikata ili ekstenziji itd.). Ti su kvalifikatori dio sljedećeg skupa ‚Kvalifikatora’ (Qualifiers) koji nadomještaju informacije koje nedostaju u odgovarajućem certifikatu i upotrebljavaju se u sljedeće svrhe:

ukazuju na vrstu kvalificiranog certifikata:

‚QCStatement’ znači da su identificirani certifikati kvalificirani na temelju Direktive 1999/93/EZ,

‚QCForESig’ znači da su identificirani certifikati, za koje se tvrdi da su kvalificirani ili ih se takvima proglašava, kvalificirani certifikati za potrebe elektroničkog potpisa na temelju Uredbe (EU) br. 910/2014,

‚QCForESeal’ znači da su identificirani certifikati, za koje se tvrdi da su kvalificirani ili ih se takvima proglašava, kvalificirani certifikati za potrebe elektroničkog pečata na temelju Uredbe (EU) br. 910/2014,

‚QCForWSA’ znači da su identificirani certifikati, za koje se tvrdi da su kvalificirani ili ih se takvima proglašava, kvalificirani certifikati za potrebe autentikacije mrežnih stranica na temelju Uredbe (EU) br. 910/2014,

ukazuju na to da se certifikat ne treba smatrati kvalificiranim:

‚NotQualified’ znači da se identificirani certifikati ne trebaju smatrati kvalificiranima, i/ili

ukazuju na vrstu podrške sigurnom sredstvu za izradu potpisa (SSCD):

‚QCWithSSCD’ znači da se privatni ključ identificiranog certifikata, za koji se tvrdi da je kvalificiran ili ga se takvim proglašava, nalazi u SSCD-u, ili

‚QCNoSSCD’ znači da se privatni ključ identificiranog certifikata, za koji se tvrdi da je kvalificiran ili ga se takvim proglašava, ne nalazi u SSCD-u, ili

‚QCSSCDStatusAsInCert’ znači da identificirani certifikati, za koje se tvrdi da su kvalificirani ili ih se takvima proglašava, sadržavaju odgovarajuće strojno obradive informacije o tome nalazi li se njihov privatni ključ u SSCD-u ili ne,

ukazuju na vrstu podrške sredstvu za izradu kvalificiranog elektroničkog potpisa (QSCD):

‚QCWithQSCD’ znači da se privatni ključ identificiranog certifikata, za koji se tvrdi da je kvalificiran ili ga se takvim proglašava, nalazi u QSCD-u, ili

‚QCNoQSCD’ znači da se privatni ključ identificiranog certifikata, za koji se tvrdi da je kvalificiran ili ga se takvim proglašava, ne nalazi u QSCD-u, ili

‚QCQSCDStatusAsInCert’ znači da identificirani certifikati, za koje se tvrdi da su kvalificirani ili ih se takvima proglašava, sadržavaju odgovarajuće strojno obradive informacije o tome nalazi li se njihov privatni ključ u QSCD-u ili ne,

‚QCQSCDManagedOnBehalf’ znači da se privatni ključ svakog certifikata koji je identificiran u skladu s primjenjivim popisom kriterija, te za koji se tvrdi da je kvalificiran ili ga se takvim proglašava, nalazi u QSCD-u, za potrebe kojega kvalificirani pružatelj usluge povjerenja (TSP) generira privatni ključ i njime upravlja te to čini u ime tijela čiji se identitet certificira certifikatom, i/ili

ukazuju na izdavanje pravnoj osobi:

‚QCForLegalPerson’ znači da su identificirani certifikati, za koje se tvrdi da su kvalificirani ili ih se takvima proglašava, izdani pravnoj osobi na temelju Direktive 1999/93/EZ.

Napomena: Informacije sadržane u pouzdanom popisu smatraju se točnima, što znači:

ako id-etsi-qcs 1, informacije o QCP OID ili QCP+ OID nisu uključene u certifikat krajnjeg korisnika, i

ako u unosu o usluzi koji odgovara glavnom javnom ključu certifikacijskog tijela koje izdaje kvalificirane certifikate (CA/QC) nema informacije ‚Ekstenzija kvalifikacija’ (Qualifications Extension – Sie), na temelju kojega bi se certifikatu dodijelio kvalifikator ‚Izjava o kvalificiranom certifikatu’ (QCStatement), ili

ako je u unosu o usluzi koji odgovara glavnom javnom ključu certifikacijskog tijela koje izdaje kvalificirane certifikate (CA/QC) prisutna informacija ‚Ekstenzija kvalifikacija’ (Qualifications Extension – Sie), na temelju kojega se certifikatu dodjeljuje kvalifikator ‚Nekvalificiran’ (NotQualified),

certifikat se ne smatra kvalificiranim.

‚Digitalni identifikatori usluge’ (Service digital identifiers) upotrebljavaju se kao glavni javni ključevi (Trust Anchors) u kontekstu validacije elektroničkih potpisa ili pečata za koje se certifikat potpisnika ili autora pečata treba validirati na temelju informacija iz pouzdanog popisa, te su stoga javni ključ i pridruženi naziv subjekta dovoljni kao informacije o glavnom javnom ključu. Ako više certifikata predstavlja javni ključ koji služi za identifikaciju usluge, te se certifikate treba smatrati certifikatima glavnog javnog ključa koji sadržavaju informacije istovjetne informacijama koje su nužne kao informacije o glavnom javnom ključu.

Opće pravilo za tumačenje bilo kojeg drugog unosa vrste ‚Identifikator vrste usluge’ (Sti) jest da je, za tu vrstu usluge identificiranu kao ‚Sti’, trenutačni status usluge uvrštene na popis i imenovane u skladu s vrijednošću polja ‚Ime usluge’ (Service name) te jedinstveno identificirane vrijednošću polja ‚Digitalni identitet usluge’ (Service digital identity) kvalificiran ili odobren u skladu s vrijednošću polja ‚Trenutačni status usluge’ (Service current status), koji vrijedi od datuma navedenog u polju ‚Datum i vrijeme početka trenutačnog statusa’ (Current status starting date and time).

Posebna pravila za tumačenje bilo kakvih dodatnih informacija o usluzi uvrštenoj na popis (npr. polje ‚Ekstenzije informacija o usluzi’ – Service information extensions) dostupna su, prema potrebi, u posebnom URI-ju države članice u polju ‚Vrsta programa/zajednica/pravila’ (Scheme type/community/rules).

Za podrobnije informacije o poljima, opisu i značenju za pouzdane popise država članica upućujemo vas na važeće sekundarno zakonodavstvo u skladu s Uredbom (EU) br. 910/2014.”

2.

URI koji se odnosi na pouzdani popis određene države članice, s upućivanjem na opisni tekst koji vrijedi za pouzdani popis te države članice:

http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC, pri čemu je CC = ISO 3166-1 (2) alpha-2 kôd države iz polja „Državno područje programa” (Scheme territory) (točka 5.3.10.).

podaci o tome gdje korisnici mogu pronaći smjernice/pravila predmetne države članice prema kojima se usluge povjerenja uvrštene na popis ocjenjuju u skladu sa sustavom nadzora i, ako je primjenjivo, programom odobravanja te države članice,

podaci o tome gdje korisnici mogu pronaći opis koji se odnosi na predmetnu državu članicu o tome kako se koristiti sadržajem pouzdanog popisa i kako ga tumačiti u vezi s uvrštenim nekvalificiranim uslugama povjerenja i/ili nacionalno definiranim uslugama povjerenja. Taj se opis može upotrijebiti kako bi se ukazalo na mogućnost da je u nacionalnom sustavu predviđena granularnost u pogledu odobravanja pružatelja usluga certificiranja koji ne izdaju kvalificirane certifikate te kako se u tu svrhu upotrebljavaju polja „URI definicije usluge programa” (Scheme service definition URI) (točka 5.5.6.) i „Ekstenzija informacija o usluzi” (Service information extension) (točka 5.5.9.).

Države članice MOGU definirati i upotrebljavati dodatne URI-je kojima se proširuje prethodno navedeni posebni URI države članice (dodatni se URI-ji definiraju na temelju tog posebnog URI-ja više razine).

Opća pravila o popisu statusa pouzdane usluge/pravne obavijesti (TSL policy/legal notice) (točka 5.3.11.)

Polje mora biti uključeno i u skladu sa specifikacijama iz norme TS 119 612 točke 5.3.11. u kojima su opća pravila/pravne obavijesti u vezi s pravnim statusom programa ili pravni zahtjevi koje program ispunjava u okviru jurisdikcije u kojoj je uspostavljen i/ili bilo kakvim ograničenjima i uvjetima u skladu s kojima se popis vodi i objavljuje izraženi u obliku slijeda višejezičnih nizova znakova (vidjeti točku 5.1.4.) kojim je, na britanskom engleskom kao obveznom jeziku i fakultativno na jednom ili više nacionalnih jezika, izražen konkretan tekst tih općih pravila ili obavijesti koji glasi kako slijedi:

1.

U prvom dijelu, koji je obvezan i isti za sve pouzdane popise država članica, navodi se primjenjivi zakonodavni okvir na engleskom jeziku, kako slijedi:

The applicable legal framework for the present trusted list is Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

Tekst na nacionalnom jeziku/nacionalnim jezicima države članice:

Zakonodavni okvir koji se primjenjuje na ovaj pouzdani popis jest Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ.

2.

Drugi dio, koji nije obvezan i koji je drugačiji za svaki pouzdani popis, sadržava upućivanja na posebni nacionalni zakonodavni okvir koji se primjenjuje.

Trenutačni status usluge (Service current status) (točka 5.5.4)

Polje mora biti uključeno i u skladu sa specifikacijama iz norme TS 119 612 točke 5.5.4.

Migracija vrijednosti „Trenutačni status usluge” (Service current status) usluga uvrštenih na pouzdani popis EUMS od dana koji prethodi datumu početka primjene Uredbe (EU) br. 910/2014 (tj. 30. lipnja 2016.) izvršava se na dan početka primjene Uredbe (tj. 1. srpnja 2016.) kako je predviđeno u Prilogu J normi ETSI TS 119 612.

POGLAVLJE III.

KONTINUITET POUZDANIH POPISA

Certifikati koji se prijavljuju Komisiji u skladu s člankom 4. stavkom 2. ove Odluke ispunjavaju zahtjeve iz točke 5.7.1. norme ETSI TS 119 612 i izdaju se:

tako da je razmak između njihovih krajnjih rokova valjanosti („Not After”) najmanje tri mjeseca,

tako da se generiraju na temelju novih parova ključeva. Prethodno upotrijebljeni parovi ključeva ne smiju se ponovno certificirati.

U slučaju isteka jednog od certifikata javnog ključa koji bi se mogli upotrebljavati za validaciju potpisa ili pečata pouzdanog popisa, koji je prijavljen Komisiji i objavljen na središnjem popisu pokazivača Komisije, države članice:

ako je trenutačno objavljeni pouzdani popis potpisan ili pečaćen privatnim ključem čiji je certifikat javnog ključa istekao, bez odlaganja ponovno izdaju novi pouzdani popis koji je potpisan ili pečaćen privatnim ključem čiji prijavljeni certifikat javnog ključa nije istekao,

prema potrebi, generiraju nove parove ključeva koji bi se mogli upotrebljavati za potpisivanje ili pečaćenje pouzdanog popisa te za generiranje odgovarajućih certifikata javnog ključa,

odmah Komisiji prijavljuju novi popis certifikata javnog ključa koji odgovaraju privatnim ključevima koji bi se mogli upotrebljavati za potpisivanje ili pečaćenje pouzdanog popisa.

U slučaju kompromitacije ili povlačenja jednog od privatnih ključeva koji odgovaraju jednom od certifikata javnog ključa koji bi se mogli upotrebljavati za validaciju potpisa ili pečata pouzdanog popisa, koji je prijavljen Komisiji i objavljen u središnjem popisu pokazivača Komisije, države članice:

bez odlaganja ponovno izdaju novi pouzdani popis potpisan ili pečaćen nekompromitiranim privatnim ključem u slučaju da je objavljeni pouzdani popis bio potpisan ili pečaćen kompromitiranim ili povučenim privatnim ključem,

prema potrebi, generiraju nove parove ključeva koji bi se mogli upotrebljavati za potpisivanje ili pečaćenje pouzdanog popisa te generiraju njima odgovarajuće certifikate javnog ključa,

odmah Komisiji prijavljuju novi popis certifikata javnog ključa koji odgovaraju privatnim ključevima koji bi se mogli upotrebljavati za potpisivanje ili pečaćenje pouzdanog popisa.

U slučaju kompromitacije ili povlačenja svih privatnih ključeva koji odgovaraju certifikatima javnog ključa koji bi se mogli upotrebljavati za validaciju potpisa pouzdanog popisa, koji su prijavljeni Komisiji i objavljeni u središnjem popisu pokazivača Komisije, države članice:

generiraju nove parove ključeva koji bi se mogli upotrebljavati za potpisivanje ili pečaćenje pouzdanog popisa te generiraju njima odgovarajuće certifikate javnog ključa,

bez odlaganja ponovno izdaju novi pouzdani popis koji je potpisan ili pečaćen jednim od tih novih privatnih ključeva te čiji odgovarajući certifikat javnog ključa treba prijaviti,

odmah Komisiji prijavljuju novi popis certifikata javnog ključa koji odgovaraju privatnim ključevima koji bi se mogli upotrebljavati za potpisivanje ili pečaćenje pouzdanog popisa.

POGLAVLJE IV.

SPECIFIKACIJE ZA POUZDANI POPIS U LJUDIMA ČITLJIVOM OBLIKU

Pouzdani popis koji se izrađuje i objavljuje u ljudima čitljivom obliku treba biti u obliku datoteke Portable Document Format (tj. u PDF formatu) u skladu s normom ISO 32000 (3), čiji format odgovara profilu PDF/A (ISO 19005 (4)).

Sadržaj tog pouzdanog popisa formata PDF/A u ljudima čitljivom obliku ispunjava sljedeće zahtjeve:

Struktura pouzdanog popisa u ljudima čitljivom obliku odražava logički model opisan u normi TS 119 612.

Svako uključeno polje treba biti prikazano i sadržavati sljedeće podatke:

naslov polja (npr. „Identifikator vrste usluge” – Service type identifier),

vrijednost polja (npr.„http://uri.etsi.org/TrstSvc/Svctype/CA/QC”),

značenje (opis) vrijednosti polja, ako je primjenjivo (npr. „Usluga generiranja certifikata kojom se generiraju i potpisuju kvalificirani certifikati na temelju identiteta i drugih obilježja koje provjeravaju relevantne registracijske službe.”),

ako je primjenjivo, više verzija na prirodnim jezicima predviđenima u pouzdanom popisu.

Barem sljedeća polja i odgovarajuće vrijednosti digitalnih certifikata (5), ako su prisutne u polju „Digitalni identitet usluge” (Service digital identity), trebaju biti prikazani u ljudima čitljivom obliku:

Verzija

Serijski broj certifikata

Algoritam potpisa

Izdavatelj – sva relevantna jednoznačna polja s imenima

Razdoblje valjanosti

Subjekt – sva relevantna jednoznačna polja s imenima

Javni ključ

Identifikator ključa certifikacijskog tijela

Identifikator ključa subjekta

Uporaba ključa

Proširena uporaba ključa

Smjernice za certifikate – svi identifikatori i kvalifikatori smjernica

Evidentiranje smjernica

Alternativno ime subjekta

Obilježja direktorija subjekata

Osnovna ograničenja

Ograničenja povezana sa smjernicama

Distribucijske točke CRL-a (6)

Pristup podacima o certifikacijskom tijelu

Pristup podacima o subjektu

Izjave uz kvalificirane certifikate (7)

Hash algoritam

Hash vrijednost certifikata.

Pouzdani popis u ljudima čitljivom obliku treba biti jednostavan za ispis.

Pouzdani popis u ljudima čitljivom obliku potpisuje ili pečati upravitelj sustava u skladu s naprednim PDF potpisom iz članaka 1. i 3. Provedbene odluke Komisije 2015/1505.

(1)  Navedeni skupovi informacija od ključne su važnosti za pouzdajuće strane radi ocjene razine kakvoće i sigurnosti takvih sustava. Ti skupovi informacija dostupni su na razini pouzdanog popisa u polju „URI za informacije o programu” (Scheme information URI) (točka 5.3.7. – informacije dostavljaju države članice), polju „Vrsta programa/zajednica/pravila” (Scheme type/community/rules) (točka 5.3.9. – sve države članice upisuju isti tekst) i polju „Opća pravila/pravne obavijesti” (TSL policy/legal notice) (točka 5.3.11. – sve države članice upisuju isti tekst, pri čemu svaka može dodati poseban tekst ili upućivanja koji vrijede samo za nju). Dodatne informacije o takvim sustavima za nekvalificirane usluge povjerenja i nacionalno definirane (kvalificirane) usluge povjerenja mogu se pružati na razini usluge kada je primjenjivo i prema potrebi (npr. za razlikovanje različitih razina kakvoće/sigurnosnih razina) u polju „URI definicije usluge programa” (Scheme service definition URI) (točka 5.5.6.).

(2)  ISO 3166-1:2006: „Kodovi za označivanje imena država i njihovih pokrajina – 1. dio: Kodovi država”.

(3)  ISO 32000-1:2008: Upravljanje dokumentima – Format prenosivog dokumenta (PDF) – 1. dio: PDF 1.7.

(4)  ISO 19005-2:2011: Upravljanje dokumentima – Format datoteke za dugoročnu pohranu elektroničkih dokumenata – 2. dio: Uporaba ISO 32000-1 (PDF/A-2).

(5)  Preporuka ITU-T X.509 ISO/IEC 9594-8: Informacijska tehnologija – Međusobno povezivanje otvorenih sustava – Imenik: Okviri certifikata javnog ključa i atributnog certifikata (vidjeti http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=X.509).

(6)  RFC 5280: internet X.509 PKI Certificate and CRL Profile.

(7)  RFC 3739: internet X.509 PKI: Qualified Certificates Profile.

PRILOG II.

PREDLOŽAK ZA OBAVIJESTI DRŽAVA ČLANICA

Informacije koje države članice moraju priopćavati u skladu s člankom 4. stavkom 1. ove Odluke sadržavaju sljedeće podatke i sve njihove eventualne izmjene:

1.

država članica, koristeći se kodovima ISO 3166-1 (1) Alpha 2 uz sljedeće iznimke:

(a)

kod za Ujedinjenu Kraljevinu jest „UK”;

(b)

kod za Grčku jest „EL”;

2.

tijelo ili tijela nadležna za izradu, vođenje i objavljivanje pouzdanih popisa u obliku prikladnom za automatiziranu obradu i u ljudima čitljivom obliku:

(a)

ime upravitelja sustava: dostavljene informacije moraju biti istovjetne vrijednosti polja „Ime upravitelja sustava” (Scheme operator name) pouzdanog popisa na svim jezicima koji se upotrebljavaju na pouzdanom popisu, uključujući mala i velika slova;

(b)

fakultativne informacije za internu uporabu Komisije samo u slučajevima u kojima je potrebno kontaktirati s relevantnim tijelom (te se informacije ne objavljuju na Komisijinu zbirnom popisu pouzdanih popisa):

adresa upravitelja sustava,

kontaktni podaci odgovornih osoba (ime, telefonski broj, adresa e-pošte);

3.

mjesto na kojem se objavljuje pouzdani popis u obliku prikladnom za automatiziranu obradu (mjesto na kojem je objavljen aktualni pouzdani popis);

4.

ako je primjenjivo, mjesto na kojem se objavljuje pouzdani popis u ljudima čitljivom obliku (mjesto na kojem je objavljen aktualni pouzdani popis). U slučaju da se pouzdani popis u ljudima čitljivom obliku više ne objavljuje, to je potrebno navesti;

5.

certifikati javnog ključa koji odgovaraju privatnim ključevima koji se mogu upotrebljavati za elektroničko potpisivanje ili pečaćenje pouzdanog popisa u obliku prikladnom za automatiziranu obradu i pouzdanih popisa u ljudima čitljivom obliku: ti se certifikati dostavljaju kao certifikati DER u obliku kodiranog obrasca Privacy Enhanced Mail Base64. U slučaju zamjene određenog certifikata na popisu Komisije novim certifikatom ili dodavanja novog certifikata, koji je predmet obavijesti, postojećima bez zamjene, u obavijesti o izmjeni potrebno je navesti dodatne informacije;

6.

datum dostavljanja podataka koji su predmet obavijesti iz točaka 1. do 5.

Podaci priopćeni u skladu s točkama 1., 2.a, 3., 4. i 5. uključuju se u Komisijin zbirni popis pouzdanih popisa kao zamjena za informacije koje su bile prethodno priopćene i uključene u taj zbirni popis.

(1)  ISO 3166-1: „Kodovi za označivanje imena država i njihovih pokrajina – 1. dio: Kodovi država”.