9.9.2015

Službeni list Europske unije

L 235/1

PROVEDBENA UREDBA KOMISIJE (EU) 2015/1501

оd 8. rujna 2015.

o okviru za interoperabilnost u skladu s člankom 12. stavkom 8. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu

(Tekst značajan za EGP)

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Uredbu (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (1), a posebno njezin članak 12. stavak 8.,

budući da:

(1)	Prema članku 12. stavku 2. Uredbe (EU) br. 910/2014, za potrebe interoperabilnosti nacionalnih sustava elektroničke identifikacije prijavljenih u skladu s člankom 9. stavkom 1. te Uredbe, trebalo bi uspostaviti okvir za interoperabilnost.

(2)

Čvorovi imaju središnju ulogu u međusobnoj povezanosti sustava elektroničke identifikacije država članica. Njihov doprinos objašnjen je u dokumentaciji povezanoj s Instrumentom za povezivanje Europe uspostavljenim Uredbom (EU) br. 1316/2013 Europskog parlamenta i Vijeća (2), uključujući funkcije i sastavnice „čvora eIDAS”.

(3)

Ako država članica ili Komisija osigurava softver kako bi se omogućila autentikacija na čvor u drugoj državi članici, strana koja osigurava i ažurira softver koji se upotrebljava za mehanizam autentikacije može dogovoriti sa stranom kod koje je softver smješten kako će se upravljati mehanizmom autentikacije. Takvim dogovorom ne bi se smjeli strani kod koje je softver smješten nametnuti nerazmjerni tehnički zahtjevi ili troškovi (uključujući potporu, odgovornosti, smještaj i druge troškove).

(4)

U mjeri u kojoj je to opravdano provedbom okvira za interoperabilnost daljnje tehničke specifikacije s pojedinostima o tehničkim zahtjevima utvrđenima u ovoj Uredbi mogla bi razviti Komisija u suradnji s državama članicama, posebno uzimajući u obzir mišljenja mreže suradnje iz članka 14. točke (d) Provedbene odluke Komisije (EU) 2015/296 (3). Takve specifikacije trebalo bi razviti kao dio infrastrukture digitalnih usluga iz Uredbe (EU) br. 1316/2013 kojom su predviđeni načini praktične provedbe temelja elektroničke identifikacije.

(5)	Tehnički zahtjevi utvrđeni u ovoj Uredbi trebali bi se primjenjivati unatoč promjenama u tehničkim specifikacijama koje bi se mogle razviti u skladu s člankom 12. ove Uredbe.

(6)	Opsežni pilot-projekt STORK, uključujući specifikacije razvijene u okviru tog projekta, te načela i koncepti Europskog okvira za interoperabilnost za europske javne usluge u najvećoj su mjeri uzeti u obzir pri utvrđivanju aranžmanâ okvira za interoperabilnost iz ove Uredbe.

(7)	U najvećoj su mjeri uzeti u obzir rezultati suradnje među državama članicama.

(8)	Mjere predviđene ovom Uredbom u skladu su s mišljenjem Odbora osnovanog člankom 48. Uredbe (EU) br. 910/2014,

DONIJELA JE OVU UREDBU:

Članak 1.

Predmet

Ovom se Uredbom utvrđuju tehnički i operativni zahtjevi okvira za interoperabilnost kako bi se osigurala interoperabilnost sustava elektroničke identifikacije koje države članice prijavljuju Komisiji.

Ti zahtjevi posebno uključuju sljedeće:

(a)

minimalne tehničke zahtjeve koji se odnose na razine osiguranja identiteta i raspoređivanje nacionalnih razina osiguranja identiteta prijavljenih sredstava elektroničke identifikacije izdanih u okviru prijavljenih sustava elektroničke identifikacije prema članku 8. Uredbe (EU) br. 910/2014, kako je utvrđeno u člancima 3. i 4.;

(b)	minimalne tehničke zahtjeve za interoperabilnost, kako je utvrđeno u člancima 5. i 8.;

(c)	najmanji skup osobnih identifikacijskih podataka koji nedvojbeno predstavljaju fizičku ili pravnu osobu, kako je utvrđeno u članku 11. i u Prilogu;

(d)	zajedničke operativne sigurnosne norme, kako je utvrđeno u člancima 6., 7., 9. i 10.;

(e)	aranžmane za rješavanje sporova iz članka 13.

Članak 2.

Definicije

Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

(1)

„čvor” znači mjesto priključenja koji je dio strukture interoperabilnosti elektroničke identifikacije i uključen je u prekograničnu autentikaciju osoba te ima sposobnost prepoznavanja i obrade odnosno prosljeđivanja prijenosa na druge čvorove tako što omogućuje da se nacionalna infrastruktura elektroničke identifikacije jedne države članice poveže s nacionalnim strukturama elektroničke identifikacije drugih država članica;

(2)	„operater čvora” znači subjekt čija je nadležnost osigurati da čvor točno i pouzdano obavlja svoju funkciju mjesta priključenja.

Članak 3.

Minimalni tehnički zahtjevi koji se odnose na razine osiguranja identiteta

Minimalni tehnički zahtjevi koji se odnose na razine osiguranja identiteta utvrđeni su u Provedbenoj uredbi Komisije (EU) 2015/1502 (4).

Članak 4.

Raspoređivanje nacionalnih razina osiguranja identiteta

Raspoređivanje nacionalnih razina osiguranja identiteta prijavljenih sustava elektroničke identifikacije poštuje zahtjeve utvrđene u Provedbenoj uredbi Komisije (EU) 2015/1502. Rezultati raspoređivanja prijavljuju se Komisiji s pomoću predloška za prijavu iz Provedbene odluke Komisije (EU) 2015/1505 (5).

Članak 5.

Čvorovi

1. Čvor u jednoj državi članici ima sposobnost povezivanja s čvorovima u drugim državama članicama.

2. Čvorovi s pomoću tehničkih sredstava mogu razlikovati tijela javnog sektora od drugih pouzdajućih strana.

3. Provedba tehničkih zahtjeva iz ove Uredbe u jednoj državi članici ne smije drugim državama članicama, koje trebaju osigurati interoperabilnost sa zahtjevima provedenima u prvoj državi članici, prouzročiti nerazmjerne tehničke zahtjeve i troškove.

Članak 6.

Privatnost i povjerljivost podataka

1. Zaštita privatnosti i povjerljivosti podataka koji se razmjenjuju i održavanje cjelovitosti podataka između čvorova osigurava se uporabom najboljih raspoloživih tehničkih rješenja i prakse u području zaštite.

2. U čvorovima se ne pohranjuju osobni podaci, osim u svrhu utvrđenu člankom 9. stavkom 3.

Članak 7.

Cjelovitost i vjerodostojnost podataka za komunikaciju

Komunikacijom između čvorova osiguravaju se cjelovitost i vjerodostojnost podataka kako bi se osiguralo da su svi zahtjevi i odgovori vjerodostojni te da ih se nije neovlašteno izmjenjivalo. Čvorovi u tu svrhu upotrebljavaju rješenja koja su se pokazala uspješnima u prekograničnoj operativnoj uporabi.

Članak 8.

Format poruke za komunikaciju

Čvorovi za sintaksu upotrebljavaju uobičajene formate poruka temeljene na normama koje su države članice već više puta uspješno primijenile u operativnom okruženju. Sintaksa omogućuje sljedeće:

(a)	odgovarajuću obradu najmanjeg skupa osobnih identifikacijskih podataka koji nedvojbeno predstavljaju fizičku ili pravnu osobu;

(b)	odgovarajuću obradu razine osiguranja identiteta sredstava elektroničke identifikacije;

(c)	razlikovanje tijela javnog sektora od drugih pouzdajućih strana;

(d)	fleksibilnost u slučaju da su za identifikaciju potrebna dodatna obilježja.

Članak 9.

Upravljanje informacijama u vezi sa sigurnosti i metapodacima

1. Operater čvora dostavlja metapodatke o upravljanju čvorom u standardiziranom obliku prikladnom za automatiziranu obradu na siguran i pouzdan način.

2. Dohvaćanje mora biti automatsko barem u slučaju parametara koji se odnose na sigurnost.

3. Operater čvora pohranjuje podatke s pomoću kojih bi se u slučaju nezgode mogao rekonstruirati slijed razmjene poruke radi utvrđivanja mjesta i vrste incidenta. Podaci se pohranjuju za razdoblje određeno prema nacionalnim zahtjevima i moraju sadržavati barem sljedeće elemente:

(a)	identifikaciju čvora;

(b)	identifikaciju poruke;

(c)	datum i vrijeme poruke.

Članak 10.

Informacijska sigurnost i sigurnosne norme

1. Operateri čvorova koji omogućuju autentikaciju dokazuju da, u pogledu čvorova uključenih u okvir za interoperabilnost, čvor ispunjava zahtjeve norme ISO/IEC 27001 certificiranjem, jednakovrijednom metodom ocjenjivanja ili poštovanjem nacionalnog zakonodavstva.

2. Operateri čvorova bez nepotrebnog odlaganja provode kritična sigurnosna ažuriranja.

Članak 11.

Osobni identifikacijski podaci

1. Kada se upotrebljava u prekograničnom kontekstu, najmanji skup osobnih identifikacijskih podataka koji nedvojbeno predstavljaju fizičku ili pravnu osobu ispunjava zahtjeve iz Priloga.

2. Kada se upotrebljava u prekograničnom kontekstu, najmanji skup podataka za fizičku osobu koja predstavlja pravnu osobu sadržava kombinaciju obilježja za fizičke i pravne osobe koja su navedena u Prilogu.

3. Podaci se prenose u izvornim znakovima i, prema potrebi, transliterirani na latinicu.

Članak 12.

Tehničke specifikacije

1. Ako je opravdano procesom provedbe okvira za interoperabilnost, mreža suradnje uspostavljena Provedbenom odlukom (EU) 2015/296 može donositi mišljenja u skladu s člankom 14. točkom (d) te Odluke o potrebi za razvijanjem tehničkih specifikacija. Takve tehničke specifikacije sadržavaju dodatne pojedinosti o tehničkim zahtjevima utvrđenima ovom Uredbom.

2. U skladu s mišljenjem iz stavka 1. Komisija u suradnji s državama članicama izrađuje tehničke specifikacije kao dio infrastrukture digitalnih usluga iz Uredbe (EU) br. 1316/2013.

3. Mreža suradnje donosi mišljenje u skladu s člankom 14. točkom (d) Provedbene odluke (EU) 2015/296 u kojem ocjenjuje je li i u kojoj mjeri tehničke specifikacije izrađene na temelju stavka 2. odgovaraju potrebi utvrđenoj u mišljenju iz stavka 1. ili zahtjevima iz ove Uredbe. Mreža može državama članicama preporučiti da pri provedbi okvira za interoperabilnost uzmu u obzir tehničke specifikacije.

4. Komisija osigurava referentnu provedbu kao primjer tumačenja tehničkih specifikacija. Države članice mogu primjenjivati tu referentnu provedbu ili je upotrijebiti kao predložak za ispitivanje drugih provedbi tehničkih specifikacija.

Članak 13.

Rješavanje sporova

1. Ako je moguće, sporove povezane s okvirom za interoperabilnost rješavaju predmetne države članice pregovaranjem.

2. Ako se ne postigne rješenje u skladu sa stavkom 1., mreža suradnje uspostavljena u skladu s člankom 12. Provedbene odluke Komisije (EU) 2015/296 ima nadležnost u sporu u skladu sa svojim poslovnikom.

Članak 14.

Stupanje na snagu

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 8. rujna 2015.

Za Komisiju

Predsjednik

Jean-Claude JUNCKER

(1) SL L 257, 28.8.2014., str. 73.

(2) Uredba (EU) br. 1316/2013 Europskog parlamenta i Vijeća od 11. prosinca 2013. o uspostavi Instrumenta za povezivanje Europe, izmjeni Uredbe (EU) br. 913/2010 i stavljanju izvan snage uredaba (EZ) br. 680/2007 i (EZ) br. 67/2010 (SL L 348, 20.12.2013., str. 129.).

(3) Provedbena odluka Komisije (EU) 2015/296 оd 24. veljače 2015. o utvrđivanju postupovnih aranžmana za suradnju među državama članicama u području elektroničke identifikacije u skladu s člankom 12. stavkom 7. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu (SL L 53, 25.2.2015., str. 14.).

(4) Provedbena uredba Komisije (EU) 2015/1502 оd 8. rujna 2015. o utvrđivanju minimalnih tehničkih specifikacija i postupaka za razine osiguranja identiteta koje se pripisuju sredstvima elektroničke identifikacije u skladu s člankom 8. stavkom 3. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu (vidjeti stranicu 7. ovog Službenog lista).

(5) Provedbena odluka Komisije (EU) 2015/1505 оd 8. rujna 2015. o utvrđivanju tehničkih specifikacija i formata koji se odnose na pouzdane popise u skladu s člankom 22. stavkom 5. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu (vidjeti stranicu 26. ovog Službenog lista).

PRILOG

Zahtjevi koji se odnose na najmanji skup osobnih identifikacijskih podataka koji nedvojbeno predstavljaju fizičku ili pravnu osobu iz članka 11.

1. Najmanji skup podataka za fizičku osobu

Najmanji skup podataka za fizičku osobu sadržava sva sljedeća obvezna obilježja:

(a)	sadašnje prezime;

(b)	sadašnje ime;

(c)	datum rođenja;

(d)	jedinstveni identifikator koji stvara država članica pošiljateljica u skladu s tehničkim specifikacijama za potrebe prekogranične identifikacije i koji ostaje nepromijenjen što je duže moguće.

Najmanji skup podataka za fizičku osobu može sadržavati jedno sljedeće dodatno obilježje ili više njih:

(a)	ime i prezime pri rođenju;

(b)	mjesto rođenja;

(c)	sadašnju adresu;

(d)

spol.

2. Najmanji skup podataka za pravnu osobu

Najmanji skup podataka za pravnu osobu sadržava sva sljedeća obvezna obilježja:

(a)	sadašnje ime pravne osobe;

(b)	jedinstveni identifikator koji stvara država članica pošiljateljica u skladu s tehničkim specifikacijama za potrebe prekogranične identifikacije i koji ostaje nepromijenjen što je duže moguće.

Najmanji skup podataka za pravnu osobu može sadržavati jedno sljedeće dodatno obilježje ili više njih:

(a)	sadašnju adresu;

(b)	broj obveznika PDV-a;

(c)	referentni porezni broj;

(d)	identifikator povezan s člankom 3. stavkom 1. Direktive 2009/101/EZ Europskog parlamenta i Vijeća (1);

(e)	identifikacijsku oznaku pravnog subjekta (LEI) iz Provedbene uredbe Komisije (EU) br. 1247/2012 (2);

(f)	registraciju i identifikaciju gospodarskih subjekata (EORI) iz Provedbene uredbe Komisije (EU) br. 1352/2013 (3);

(g)	broj trošarine iz članka 2. stavka 12. Uredbe Vijeća (EU) br. 389/2012 (4).

(1) Direktiva 2009/101/EZ Europskog Parlamenta i Vijeća od 16. rujna 2009. o usklađivanju zaštitnih mjera koje, radi zaštite interesa članova i trećih strana, države članice zahtijevaju za trgovačka društva u smislu članka 48. stavka 2. Ugovora, s ciljem izjednačavanja takvih zaštitnih mjera (SL L 258, 1.10.2009., str. 11.).

(2) Provedbena uredba Komisije (EU) br. 1247/2012 od 19. prosinca 2012. o provedbenim tehničkim standardima u vezi s formatom i učestalošću izvješća o trgovanju trgovinskim repozitorijima u skladu s Uredbom (EU) br. 648/2012 Europskog parlamenta i Vijeća o OTC izvedenicama, središnjoj drugoj ugovornoj stranci i trgovinskom repozitoriju (SL L 352, 21.12.2012., str. 20.).

(3) Provedbena uredba Komisije (EU) br. 1352/2013 оd 4. prosinca 2013. o uspostavi obrazaca utvrđenih Uredbom (EU) br. 608/2013 Europskog parlamenta i Vijeća o carinskoj provedbi prava intelektualnog vlasništva (SL L 341, 18.12.2013., str. 10.).

(4) Uredba Vijeća (EU) br. 389/2012 od 2. svibnja 2012. o upravnoj suradnji u području trošarina i stavljanju izvan snage Uredbe (EZ) br. 2073/2004 (SL L 121, 8.5.2012., str. 1.).

9.9.2015

Službeni list Europske unije

L 235/7

PROVEDBENA UREDBA KOMISIJE (EU) 2015/1502

оd 8. rujna 2015.

o utvrđivanju minimalnih tehničkih specifikacija i postupaka za razine osiguranja identiteta koje se pripisuju sredstvima elektroničke identifikacije u skladu s člankom 8. stavkom 3. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu

(Tekst značajan za EGP)

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

budući da:

(1)

Člankom 8. Uredbe (EU) br. 910/2014 predviđeno je da se sustavom elektroničke identifikacije koji je prijavljen na temelju članka 9. stavka 1. treba odrediti niska, značajna i visoka razina osiguranja identiteta koja se pripisuje sredstvima elektroničke identifikacije koja su izdana u okviru tog sustava.

(2)

Određivanje minimalnih tehničkih specifikacija, normi i postupaka ključno je kako bi se osiguralo jednako tumačenje pojedinosti o razinama osiguranja identiteta i kako bi se osigurala interoperabilnost pri raspoređivanju nacionalnih razina osiguranja identiteta prijavljenih sustava elektroničke identifikacije u odnosu na razine osiguranja identiteta na temelju članka 8. kako je predviđeno u članku 12. stavku 4. točki (b) Uredbe (EU) br. 910/2014.

(3)

Za specifikacije i postupke utvrđene ovim provedbenim aktom uzeta je u obzir međunarodna norma ISO/IEC 29115 kao najrelevantnija međunarodna norma u području razina osiguranja identiteta za sredstva elektroničke identifikacije. Međutim, sadržaj Uredbe (EU) br. 910/2014 razlikuje se od te međunarodne norme, posebno u pogledu zahtjeva za dokazivanje i provjeru identiteta te načina na koji su uzete u obzir razlike između aranžmana za dokazivanje identiteta država članica i postojećih alata u EU-u koji se upotrebljavanju u istu svrhu. Stoga se u Prilogu, premda se on temelji na toj međunarodnoj normi, ne bi smjelo upućivati na bilo koji određeni sadržaj norme ISO/IEC 29115.

(4)

Ova je Uredba izrađena na temelju pristupa usmjerenog na rezultate, kao najprikladnijeg pristupa, što se odražava i u definicijama za određivanje pojmova i koncepata. Njima se uzima u obzir cilj Uredbe (EU) br. 910/2014 s obzirom na razine osiguranja identiteta sredstava elektroničke identifikacije. Stoga bi pri određivanju specifikacija i postupaka iz ovog provedbenog akta u najvećoj mjeri trebalo uzeti u obzir opsežni pilot-projekt STORK, uključujući specifikacije razvijene u okviru tog projekta, te definicije i koncepte iz norme ISO/IEC 29115.

(5)	Ovisno o kontekstu u kojem je određeni aspekt dokaza o identitetu potrebno provjeriti, mjerodavni izvori mogu imati različite oblike kao što su, među ostalim, registri, dokumenti, tijela. Različite države članice mogu se, čak i u sličnom kontekstu, služiti različitim mjerodavnim izvorima.

(6)

Zahtjevima za dokazivanje i provjeru identiteta trebalo bi uzeti u obzir različite sustave i praksu uz dovoljno visoku razinu osiguranja identiteta kako bi se uspostavilo neophodno povjerenje. Stoga bi prihvaćanje postupaka koji su se prethodno upotrebljavali u svrhu različitu od izdavanja sredstava elektroničke identifikacije trebalo biti uvjetovano potvrdom da ti postupci ispunjavaju zahtjeve predviđene za odgovarajuću razinu osiguranja identiteta.

(7)	Obično se za to upotrebljavaju određeni čimbenici autentikacije, kao što su zajedničke tajne, fizički uređaji i fizička obilježja. Međutim, trebalo bi poticati uporabu većeg broja čimbenika autentikacije, posebno čimbenika različitih kategorija, kako bi se povećala sigurnost procesa autentikacije.

(8)	Ova Uredba ne bi trebala utjecati na prava zastupanja pravnih osoba. Međutim, Prilogom bi trebalo predvidjeti zahtjeve za povezivanje sredstava elektroničke identifikacije fizičkih i pravnih osoba.

(9)	Trebalo bi prepoznati važnost sigurnosti informacija i sustava upravljanja uslugama te važnost primjene priznatih metoda i načela ugrađenih u norme, kao što su serije normi ISO/IEC 27000 i ISO/IEC 20000.

(10)	Također bi trebalo uzeti u obzir dobru praksu u odnosu na razine osiguranja identiteta u državama članicama.

(11)	Certificiranje sigurnosti informacijske tehnologije na temelju međunarodnih normi važan je alat za provjeru ispunjavaju li proizvodi sigurnosne zahtjeve ovog provedbenog akta.

(12)	Odbor iz članka 48. Uredbe (EU) br. 910/2014 nije dostavio mišljenje u roku koji je utvrdio njegov predsjednik,

DONIJELA JE OVU UREDBU:

Članak 1.

1. Niska, značajna i visoka razina osiguranja identiteta za sredstva elektroničke identifikacije izdana u okviru prijavljenog sustava elektroničke identifikacije određuju se s obzirom na specifikacije i postupke utvrđene u Prilogu.

2. Specifikacije i postupci utvrđeni u Prilogu upotrebljavaju se za određivanje razine osiguranja identiteta sredstava elektroničke identifikacije izdanih u okviru prijavljenog sustava elektroničke identifikacije određivanjem pouzdanosti i kvalitete sljedećih elemenata:

(a)	upis, kako je utvrđeno u odjeljku 2.1. Priloga ovoj Uredbi u skladu s člankom 8. stavkom 3. točkom (a) Uredbe (EU) br. 910/2014;

(b)	upravljanje sredstvima elektroničke identifikacije, kako je utvrđeno u odjeljku 2.2. Priloga ovoj Uredbi u skladu s člankom 8. stavkom 3. točkama (b) i (f) Uredbe (EU) br. 910/2014;

(c)	autentikacija, kako je utvrđeno u odjeljku 2.3. Priloga ovoj Uredbi u skladu s člankom 8. stavkom 3. točkom (c) Uredbe (EU) br. 910/2014;

(d)	upravljanje i organizacija, kako je utvrđeno u odjeljku 2.4. Priloga ovoj Uredbi u skladu s člankom 8. stavkom 3. točkama (d) i (e) Uredbe (EU) br. 910/2014.

3. Kada sredstvo elektroničke identifikacije izdano u okviru prijavljenog sustava elektroničke identifikacije ispunjava zahtjev koji pripada višoj razini osiguranja identiteta, pretpostavlja se da ispunjava jednakovrijedan zahtjev niže razine osiguranja identiteta.

4. Osim ako je drukčije navedeno u odgovarajućem dijelu Priloga, svi elementi navedeni u Prilogu za određenu razinu osiguranja identiteta sredstava elektroničke identifikacije izdanih u okviru prijavljenog sustava elektroničke identifikacije ispunjeni su kako bi odgovarali određenoj razini osiguranja identiteta.

Članak 2.

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 8. rujna 2015.

Za Komisiju

Predsjednik

Jean-Claude JUNCKER

(1) SL L 257, 28.8.2014., str. 73.

PRILOG

Tehničke specifikacije i postupci za nisku, značajnu i visoku razinu osiguranja identiteta za sredstva elektroničke identifikacije izdana u okviru prijavljenog sustava elektroničke identifikacije

1. Primjenjive definicije

Za potrebe ovog Priloga primjenjuju se sljedeće definicije:

1.	„mjerodavni izvor” znači svaki izvor bez obzira na njegov oblik, koji je pouzdan u pogledu pružanja točnih podataka, informacija i/ili dokaza koji se mogu upotrijebiti za dokazivanje identiteta;

„čimbenik autentikacije” znači čimbenik za koji je potvrđeno da je povezan s osobom, a može pripadati jednoj od sljedećih kategorija:

(a)	„čimbenik autentikacije na temelju vlasništva” znači čimbenik autentikacije za koji subjekt mora dokazati da ga posjeduje;

(b)	„čimbenik autentikacije na temelju znanja” znači čimbenik autentikacije za koji subjekt mora dokazati da ga poznaje;

(c)	„svojstveni čimbenik autentikacije” znači čimbenik autentikacije temeljen na fizičkom obilježju fizičke osobe, za koje subjekt mora dokazati da ga posjeduje;

„dinamička autentikacija” znači elektronički proces u kojem se upotrebljava kriptografija ili druge tehnike kako bi se na zahtjev stvorio elektronički dokaz da subjekt kontrolira ili posjeduje identifikacijske podatke i koji se mijenja sa svakom autentikacijom između subjekta i sustava koji provjerava identitet subjekta;

4.	„sustav upravljanja sigurnošću informacija” znači skup procesa i postupaka osmišljenih kako bi se rizicima koji se odnose na sigurnost informacija upravljalo na prihvatljivim razinama.

2. Tehničke specifikacije i postupci

Elementi tehničkih specifikacija i postupaka opisanih u ovom Prilogu upotrebljavaju se za određivanje načina primjene zahtjeva i kriterija iz članka 8. Uredbe (EU) br. 910/2014 na sredstva elektroničke identifikacije izdana u okviru sustava elektroničke identifikacije.

2.1. Upis

2.1.1. Zahtjev i registracija

Razina osiguranja identiteta

Potrebni elementi

Niska

1.	Osigurati da je podnositelj zahtjeva upoznat s uvjetima povezanima s uporabom sredstava elektroničke identifikacije.

2.	Osigurati da je podnositelj zahtjeva upoznat s preporučenim sigurnosnim mjerama opreza povezanima sa sredstvima elektroničke identifikacije.

3.	Prikupiti relevantne podatke o identitetu potrebne za dokazivanje i provjeru identiteta.

Značajna

Isto kao za nisku razinu.

Visoka

Isto kao za nisku razinu.

2.1.2. Dokazivanje i provjera identiteta (fizička osoba)

Razina osiguranja identiteta

Potrebni elementi

Niska

1.	Može se pretpostavljati da osoba posjeduje dokaz koji je priznala država članica u kojoj se podnosi zahtjev za izdavanje sredstva elektroničke identifikacije i da se njime potvrđuje prijavljeni identitet.

2.	Može se pretpostavljati da je dokaz vjerodostojan, odnosno da prema mjerodavnom izvoru postoji te da se čini valjanim.

3.	Mjerodavni izvor zna da prijavljeni identitet postoji i može se pretpostavljati da odgovara osobi koja prijavljuje identitet.

Značajna

Niska razina, uz jednu od sljedećih mogućnosti navedenih u točkama 1. do 4.:

Provjereno je da osoba posjeduje dokaz koji je priznala država članica u kojoj je zahtjev za izdavanje sredstva elektroničke identifikacije podnesen i da se njime potvrđuje prijavljeni identitet

dokaz se provjerava kako bi se utvrdilo da je vjerodostojan; ili mjerodavni izvor zna da identitet postoji i da se odnosi na pravu osobu

poduzete su mjere kako bi se na najmanju mjeru sveo rizik da identitet osobe ne odgovara prijavljenom identitetu, uzimajući u obzir na primjer rizik od gubitka, krađe, suspenzije, opoziva ili isteka valjanosti dokaza;

ili

podnesen je identifikacijski dokument tijekom postupka registracije u državi članici u kojoj je dokument bio izdan i čini se da se dokument odnosi na osobu koja ga je podnijela

ili

ako postupci koje je javni ili privatni subjekt prethodno primjenjivao u istoj državi članici u svrhu različitu od izdavanja sredstava elektroničke identifikacije omogućuju jednaku razinu osiguranja identiteta kao oni utvrđeni u odjeljku 2.1.2. za značajnu razinu osiguranja identiteta, subjekt nadležan za registraciju ne mora ponavljati prethodne postupke, pod uvjetom da takvu jednakovrijednu razinu osiguranja identiteta potvrdi tijelo za ocjenjivanje sukladnosti iz članka 2. stavka 13. Uredbe (EZ) br. 765/2008 Europskog parlamenta i Vijeća (1) ili jednakovrijedno tijelo;

ili

ako se sredstva elektroničke identifikacije izdaju na temelju valjanih prijavljenih sredstava elektroničke identifikacije koja imaju značajnu ili visoku razinu osiguranja identiteta te ako se njima uzimaju u obzir rizici od promjene osobnih identifikacijskih podataka, nije potrebno ponoviti postupke dokazivanja i provjere identiteta. Ako sredstva elektroničke identifikacije koja služe kao temelj za izdavanje nisu prijavljena, značajnu ili visoku razinu osiguranja identiteta mora potvrditi tijelo za ocjenjivanje sukladnosti iz članka 2. stavka 13. Uredbe (EZ) br. 765/2008 ili jednakovrijedno tijelo.

Visoka

Moraju biti ispunjeni zahtjevi iz točke 1. ili 2.:

Značajna razina, uz jednu od sljedećih mogućnosti navedenih u točkama (a) do (c):

(a)

Ako je provjereno da osoba posjeduje fotografski ili biometrijski identifikacijski dokaz koji je priznala država članica u kojoj je zahtjev za izdavanje sredstva elektroničke identifikacije podnesen i da podneseni dokaz predstavlja prijavljeni identitet, dokaz se provjerava kako bi se utvrdilo da je valjan prema mjerodavnom izvoru

usporedbom jedne fizičke karakteristike osobe ili više njih s mjerodavnim izvorom utvrđeno je da podnositelj zahtjeva odgovara prijavljenom identitetu;

ili

(b)

ako postupci koje je javni ili privatni subjekt prethodno primjenjivao u istoj državi članici u svrhu različitu od izdavanja sredstava elektroničke identifikacije omogućuju jednaku razinu osiguranja identiteta kao oni utvrđeni u odjeljku 2.1.2. za visoku razinu osiguranja identiteta, subjekt nadležan za registraciju ne mora ponavljati prethodne postupke, pod uvjetom da takvu jednakovrijednu razinu osiguranja identiteta potvrdi tijelo za ocjenjivanje sukladnosti iz članka 2. stavka 13. Uredbe (EZ) br. 765/2008 ili jednakovrijedno tijelo

poduzete su mjere kako bi se dokazalo da su rezultati prethodnih postupaka i dalje valjani;

ili

(c)

ako se sredstva elektroničke identifikacije izdaju na temelju valjanih prijavljenih sredstava elektroničke identifikacije koja imaju visoku razinu osiguranja identiteta te ako se njima uzimaju u obzir rizici od promjene osobnih identifikacijskih podataka, nije potrebno ponoviti postupke dokazivanja i provjere identiteta. Ako sredstva elektroničke identifikacije koja služe kao temelj za izdavanje nisu prijavljena, visoku razinu osiguranja identiteta mora potvrditi tijelo za ocjenjivanje sukladnosti iz članka 2. stavka 13. Uredbe (EZ) br. 765/2008 ili jednakovrijedno tijelo

poduzete su mjere kako bi se dokazalo da su rezultati tog prethodnog postupka izdavanja prijavljenog sredstva elektroničke identifikacije i dalje valjani;

ili

ako podnositelj zahtjeva ne podnese priznati fotografski ili biometrijski identifikacijski dokaz, primjenjuju se isti postupci koji se primjenjuju na nacionalnoj razini u državi članici subjekta nadležnog za registraciju za dobivanje takvog priznatog fotografskog ili biometrijskog identifikacijskog dokaza.

2.1.3. Dokazivanje i provjera identiteta (pravna osoba)

Razina osiguranja identiteta

Potrebni elementi

Niska

1.	Prijavljeni identitet pravne osobe dokazuje se na temelju dokaza koje je priznala država članica u kojoj je zahtjev za izdavanje sredstva elektroničke identifikacije podnesen.

2.	Dokazi se čine valjanima i može se pretpostavljati da su vjerodostojni odnosno da postoje prema mjerodavnom izvoru, ako je uključenje pravne osobe u mjerodavni izvor dobrovoljno i uređeno je dogovorom između pravne osobe i mjerodavnog izvora.

3.	Prema saznanjima mjerodavnog izvora fizička osoba nema status koji bi joj priječio da djeluje u ime pravne osobe.

Značajna

Niska razina, uz jednu od sljedećih mogućnosti navedenih u točkama 1. do 3.:

Prijavljeni identitet pravne osobe dokazuje se na temelju dokaza koje je priznala država članica u kojoj je zahtjev za izdavanje sredstva elektroničke identifikacije podnesen, uključujući ime pravne osobe, pravni oblik i (prema potrebi) njezin registracijski broj

dokazi se provjeravaju kako bi se utvrdilo jesu li vjerodostojni odnosno da postoje prema mjerodavnom izvoru, ako je uključenje pravne osobe u mjerodavni izvor potrebno kako bi pravna osoba djelovala u svojem sektoru

ili

ako postupci koje je javni ili privatni subjekt prethodno primjenjivao u istoj državi članici u svrhu različitu od izdavanja sredstava elektroničke identifikacije omogućuju jednaku razinu osiguranja identiteta kao oni utvrđeni u odjeljku 2.1.3. za značajnu razinu osiguranja identiteta, subjekt nadležan za registraciju ne mora ponavljati prethodne postupke, pod uvjetom da takvu jednakovrijednu razinu osiguranja identiteta potvrdi tijelo za ocjenjivanje sukladnosti iz članka 2. stavka 13. Uredbe (EZ) br. 765/2008 ili jednakovrijedno tijelo;

ili

ako se sredstva elektroničke identifikacije izdaju na temelju valjanih prijavljenih sredstava elektroničke identifikacije koja imaju značajnu ili visoku razinu osiguranja identiteta, nije potrebno ponoviti procese dokazivanja i provjere identiteta. Ako sredstva elektroničke identifikacije koja služe kao temelj za izdavanje nisu prijavljena, značajnu ili visoku razinu osiguranja identiteta mora potvrditi tijelo za ocjenjivanje sukladnosti iz članka 2. stavka 13. Uredbe (EZ) br. 765/2008 ili jednakovrijedno tijelo.

Visoka

Značajna razina, uz jednu od sljedećih mogućnosti navedenih u točkama 1. do 3.:

dokazi se provjeravaju kako bi se utvrdilo da su valjani prema mjerodavnom izvoru;

ili

ako postupci koje je javni ili privatni subjekt prethodno primjenjivao u istoj državi članici u svrhu različitu od izdavanja sredstava elektroničke identifikacije omogućuju jednaku razinu osiguranja identiteta kao oni utvrđeni u odjeljku 2.1.3. za visoku razinu osiguranja identiteta, subjekt nadležan za registraciju ne mora ponavljati prethodne postupke, pod uvjetom da takvu jednakovrijednu razinu osiguranja identiteta potvrdi tijelo za ocjenjivanje sukladnosti iz članka 2. stavka 13. Uredbe (EZ) br. 765/2008 ili jednakovrijedno tijelo

poduzete su mjere kako bi se dokazalo da su rezultati tog prethodnog postupka i dalje valjani;

ili

ako se sredstva elektroničke identifikacije izdaju na temelju valjanih prijavljenih sredstava elektroničke identifikacije koja imaju visoku razinu osiguranja identiteta, nije potrebno ponoviti postupke dokazivanja i provjere identiteta. Ako sredstva elektroničke identifikacije koja služe kao temelj za izdavanje nisu prijavljena, visoku razinu osiguranja identiteta mora potvrditi tijelo za ocjenjivanje sukladnosti iz članka 2. stavka 13. Uredbe (EZ) br. 765/2008 ili jednakovrijedno tijelo

poduzete su mjere kako bi se dokazalo da su rezultati tog prethodnog postupka izdavanja prijavljenog sredstva elektroničke identifikacije i dalje valjani.

2.1.4. Povezivanje sredstava elektroničke identifikacije fizičkih i pravnih osoba

Prema potrebi, na povezivanje sredstava elektroničke identifikacije fizičkih osoba sa sredstvima elektroničke identifikacije pravnih osoba („povezivanje”) primjenjuju se sljedeći uvjeti:

1.	Povezivanje se može suspendirati ili opozvati. Životnim ciklusom povezivanja (npr. aktivacija, suspenzija, obnova, opoziv) upravlja se u skladu s priznatim postupcima na nacionalnoj razini.

Fizička osoba čija su sredstva elektroničke identifikacije povezana sa sredstvima elektroničke identifikacije pravne osobe može delegirati izvršavanje povezivanja drugoj fizičkoj osobi na temelju priznatih postupaka na nacionalnoj razini. Međutim, odgovornost i dalje snosi fizička osoba koja delegira.

Povezivanje se obavlja na sljedeći način:

Razina osiguranja identiteta

Potrebni elementi

Niska

1.	Provjerava se da je dokazivanje identiteta fizičke osobe koja djeluje u ime pravne osobe bilo izvršeno na niskoj ili na višoj razini.

2.	Povezivanje je uspostavljeno na temelju priznatih postupaka na nacionalnoj razini.

3.	Prema saznanjima mjerodavnog izvora fizička osoba nema status koji bi joj priječio da djeluje u ime pravne osobe.

Značajna

Točka 3. niske razine, uz sljedeće elemente:

1.	Provjerava se da je dokazivanje identiteta fizičke osobe koja djeluje u ime pravne osobe bilo izvršeno na značajnoj ili visokoj razini.

2.	Povezivanje je uspostavljeno na temelju priznatih postupaka na nacionalnoj razini, što je dovelo do registracije povezivanja u mjerodavnom izvoru.

3.	Povezivanje je provjereno na temelju informacija koje potječu od mjerodavnog izvora.

Visoka

Točka 3. niske razine i točka 2. značajne razine, uz sljedeće elemente:

1.	Provjerava se da je dokazivanje identiteta fizičke osobe koja djeluje u ime pravne osobe bilo izvršeno na visokoj razini.

2.	Povezivanje je provjereno na temelju jedinstvenog identifikatora koji predstavlja pravnu osobu i koji se upotrebljava u nacionalnom kontekstu te na temelju informacija iz mjerodavnog izvora koje nedvojbeno predstavljaju fizičku osobu.

2.2. Upravljanje sredstvima elektroničke identifikacije

2.2.1. Karakteristike i dizajn sredstava elektroničke identifikacije

Razina osiguranja identiteta

Potrebni elementi

Niska

1.	Sredstvo elektroničke identifikacije upotrebljava barem jedan čimbenik autentikacije.

2.	Dizajn sredstva elektroničke identifikacije takav je da izdavatelj poduzima razumne mjere kako bi utvrdio da se ono upotrebljava samo pod kontrolom ili u vlasništvu osobe kojoj pripada.

Značajna

1.	Sredstvo elektroničke identifikacije upotrebljava barem dva čimbenika autentikacije različitih kategorija.

2.	Dizajn sredstva elektroničke identifikacije takav je da se može pretpostaviti da se ono upotrebljava samo pod kontrolom ili u vlasništvu osobe kojoj pripada.

Visoka

Značajna razina, uz sljedeće elemente:

1.	Sredstvo elektroničke identifikacije štiti od kopiranja i neovlaštene izmjene te od napadača s velikim napadačkim potencijalom.

2.	Dizajn sredstva elektroničke identifikacije takav je da ga osoba u čijem je vlasništvu može pouzdano zaštititi od uporabe drugih osoba.

2.2.2. Izdavanje, dostava i aktivacija

Razina osiguranja identiteta	Potrebni elementi
Niska	Nakon izdavanja, sredstvo elektroničke identifikacije isporučuje se s pomoću mehanizma za koji se pretpostavlja da osigurava isporuku samo osobi kojoj je sredstvo namijenjeno.
Značajna	Nakon izdavanja, sredstvo elektroničke identifikacije isporučuje se s pomoću mehanizma za koji se pretpostavlja da osigurava isporuku samo u vlasništvo osobe koja je vlasnik.
Visoka	Procesom aktiviranja provjerava se da je sredstvo elektroničke identifikacije isporučeno samo u vlasništvo osobe koja je vlasnik.

2.2.3. Suspenzija, opoziv i ponovna aktivacija

Razina osiguranja identiteta

Potrebni elementi

Niska

1.	Sredstvo elektroničke identifikacije može se pravovremeno i učinkovito suspendirati i/ili opozvati.

2.	Postoje mjere koje se poduzimaju kako bi se spriječila neovlaštena suspenzija, opoziv i/ili ponovna aktivacija.

3.	Do ponovne aktivacije dolazi samo ako su i dalje ispunjeni isti zahtjevi za sigurnost utvrđeni prije suspenzije ili opoziva.

Značajna

Isto kao za nisku razinu.

Visoka

Isto kao za nisku razinu.

2.2.4. Obnova i zamjena

Razina osiguranja identiteta	Potrebni elementi
Niska	Uzimajući u obzir rizike od promjene osobnih identifikacijskih podataka, obnova ili zamjena mora ispunjavati iste zahtjeve kao i prvotno dokazivanje i provjera identiteta ili se temelji na valjanom sredstvu elektroničke identifikacije iste ili više razine osiguranja identiteta.
Značajna	Isto kao za nisku razinu.
Visoka	Niska razina, uz sljedeće elemente: Ako se obnova ili zamjena temelje na valjanom sredstvu elektroničke identifikacije, podaci o identitetu provjeravaju se s mjerodavnim izvorom.

2.3. Autentikacija

Ovaj odjeljak usredotočuje se na opasnosti povezane s uporabom mehanizma autentikacije i u njemu se navode zahtjevi za svaku razinu osiguranja identiteta. Za potrebe ovog odjeljka smatra se da kontrole odgovaraju rizicima na određenoj razini.

2.3.1. Mehanizam autentikacije

U sljedećoj tablici utvrđeni su zahtjevi prema razini osiguranja identiteta u odnosu na mehanizam autentikacije s pomoću kojeg fizička ili pravna osoba upotrebljava sredstva elektroničke identifikacije za potvrđivanje svojeg identiteta pouzdajućoj strani.

Razina osiguranja identiteta

Potrebni elementi

Niska

1.	Otkrivanju osobnih identifikacijskih podataka prethodi pouzdana provjera sredstva elektroničke identifikacije i njegove valjanosti.

2.	Ako se osobni identifikacijski podaci pohranjuju kao dio mehanizma autentikacije, te su informacije zaštićene od gubitka i ugroze, uključujući izvanmrežnu analizu.

Mehanizmom autentikacije provode se zaštitne kontrole za provjeru sredstava elektroničke identifikacije, tako da je malo vjerojatno da bi aktivnosti napadača s pojačanim osnovnim napadačkim potencijalom, kao što je pogađanje zaporki, prisluškivanje, ponovno slanje ili manipuliranje komunikacijom, mogle ugroziti mehanizam autentikacije.

Značajna

Niska razina, uz sljedeće elemente:

1.	Otkrivanju osobnih identifikacijskih podataka prethodi pouzdana provjera sredstva elektroničke identifikacije i njegove valjanosti s pomoću dinamičke autentikacije.

Mehanizmom autentikacije provode se zaštitne kontrole za provjeru sredstava elektroničke identifikacije, tako da je malo vjerojatno da bi aktivnosti napadača s umjerenim napadačkim potencijalom, kao što je pogađanje zaporki, prisluškivanje, ponovno slanje ili manipuliranje komunikacijom, mogle ugroziti mehanizam autentikacije.

Visoka

Značajna razina, uz sljedeće elemente:

Mehanizmom autentikacije provode se zaštitne kontrole za provjeru sredstava elektroničke identifikacije, tako da je malo vjerojatno da bi aktivnosti napadača, kao što je pogađanje zaporki, prisluškivanje, ponovno slanje ili manipuliranje komunikacijom, mogle ugroziti mehanizam autentikacije.

2.4. Upravljanje i organizacija

Svi sudionici koji pružaju usluge povezane s elektroničkom identifikacijom u prekograničnom kontekstu („pružatelji usluga”) uspostavljaju praksu upravljanja sigurnošću dokumentiranih informacija, politike, pristupe upravljanju rizikom i druge priznate kontrole kako bi zajamčili tijelima za upravljanje sustavima elektroničke identifikacije u predmetnim državama članicama da postoji učinkovita praksa. Za potrebe cijelog odjeljka 2.4. smatra se da svi zahtjevi/elementi odgovaraju rizicima na određenoj razini.

2.4.1. Opće odredbe

Razina osiguranja identiteta

Potrebni elementi

Niska

Pružatelji usluga koji isporučuju bilo koju operativnu uslugu obuhvaćenu ovom Uredbom jesu javno tijelo ili pravni subjekt priznat kao takav na temelju nacionalnog prava države članice koji ima uspostavljenu organizaciju i koji je potpuno funkcionalan u svim dijelovima mjerodavnima za pružanje usluga.

2.	Pružatelji usluga ispunjavaju sve zakonske zahtjeve propisane u vezi s funkcioniranjem i isporukom usluga, uključujući vrste informacija koje se mogu tražiti, način na koji se provodi dokazivanje identiteta, koje se informacije mogu zadržati i koliko dugo.

3.	Pružatelji usluga mogu dokazati da su sposobni preuzeti rizik od odgovornosti za štetu i da imaju dostatna financijska sredstva za neprekinuto funkcioniranje i pružanje usluga.

4.	Pružatelji usluga odgovorni su za ispunjenje svih obveza izdvojenih drugom subjektu i usklađenost s politikom programa, kao da su sami ispunili te zadaće.

Sustavi elektroničke identifikacije koji nisu obuhvaćeni nacionalnim pravom imaju uspostavljen učinkovit plan prekida. Takav plan uključuje da se pružanje usluge pravovremeno prekine ili da uslugu nastavi pružati drugi pružatelj usluga te način na koji se obavješćuju mjerodavna tijela i krajnji korisnici i pojedinosti o načinu na koji se štite, čuvaju i uništavaju evidencije u skladu s općim pravilima programa.

Značajna

Isto kao za nisku razinu.

Visoka

Isto kao za nisku razinu.

2.4.2. Objavljene obavijesti i informacije za korisnike

Razina osiguranja identiteta

Potrebni elementi

Niska

1.	Objavljena je definicija usluge koja uključuje sve primjenjive uvjete i naknade, uključujući sva ograničenja njezine uporabe. Definicija usluge uključuje politiku zaštite privatnosti.

2.	Uspostavljaju se odgovarajuća politika i postupci kako bi se osiguralo da su korisnici usluge pravovremeno i pouzdano informirani o promjenama definicije usluge i svih primjenjivih uvjeta te politike zaštite privatnosti za određenu uslugu.

3.	Uspostavljaju se odgovarajuće politike i postupci kako bi se omogućilo davanje potpunih i ispravnih odgovora na zahtjeve za informacije.

Značajna

Isto kao za nisku razinu.

Visoka

Isto kao za nisku razinu.

2.4.3. Upravljanje sigurnošću informacija

Razina osiguranja identiteta	Potrebni elementi
Niska	Postoji učinkovit sustav upravljanja sigurnošću informacija za kontrolu rizika povezanih sa sigurnošću informacija i upravljanje njima.
Značajna	Niska razina, uz sljedeće elemente: Sustav upravljanja sigurnošću informacija u skladu je s dokazanim normama ili načelima za kontrolu rizika povezanih sa sigurnošću informacija i upravljanje njima.
Visoka	Isto kao za značajnu razinu.

2.4.4. Vođenje evidencije

Razina osiguranja identiteta

Potrebni elementi

Niska

1.	Vođenje evidencije i zadržavanje relevantnih informacija uporabom učinkovitog sustava za upravljanje evidencijom, uzimajući u obzir primjenjivo zakonodavstvo i dobru praksu u odnosu na zaštitu podataka i zadržavanje podataka.

2.	Zadržavanje, u mjeri u kojoj se to dopušta u okviru nacionalnog prava ili drugog nacionalnog administrativnog aranžmana, i zaštita evidencije koliko god je to potrebno za potrebe revizije i istrage o kršenju sigurnosti te zadržavanja podataka, nakon čega se evidencija mora sigurno uništiti.

Značajna

Isto kao za nisku razinu.

Visoka

Isto kao za nisku razinu.

2.4.5. Objekti i osoblje

Sljedeća tablica prikazuje zahtjeve povezane s objektima, osobljem i podizvođačima, ako je primjenjivo, koji obavljaju dužnosti obuhvaćene ovom Uredbom. Usklađenost sa zahtjevima razmjerna je razini rizika povezanoj s pruženom razinom osiguranja identiteta.

Razina osiguranja identiteta

Potrebni elementi

Niska

1.	Postoje postupci kojima se osigurava da su osoblje i podizvođači dovoljno obučeni i kvalificirani te da imaju dovoljno iskustva u vještinama potrebnima za obavljanje svoje uloge.

2.	Angažirano je dovoljno osoblja i podizvođača za primjereno obavljanje usluge i osiguravanje resursa u skladu s relevantnim politikama i postupcima.

3.	Objekti koji se upotrebljavaju za pružanje usluge neprestano se nadziru i štite od štete uzrokovane vremenskim uvjetima, neovlaštenog pristupa i drugih čimbenika koji mogu utjecati na sigurnost usluge.

4.	Objekti koji se upotrebljavaju za pružanje usluge omogućuju da je pristup područjima u kojima se nalaze ili se obrađuju osobni, kriptografski ili drugi osjetljivi podaci moguć samo ovlaštenom osoblju ili podizvođačima.

Značajna

Isto kao za nisku razinu.

Visoka

Isto kao za nisku razinu.

2.4.6. Tehničke kontrole

Razina osiguranja identiteta

Potrebni elementi

Niska

1.	Postoje razmjerne tehničke kontrole za upravljanje rizicima za sigurnost usluga kojima se štiti povjerljivost, cjelovitost i dostupnost informacija koje se obrađuju.

2.	Elektronički komunikacijski kanali koji se upotrebljavaju za razmjenu osobnih ili osjetljivih informacija zaštićeni su od prisluškivanja, manipulacije i ponovnog slanja.

Pristup osjetljivom kriptografskom materijalu, ako se upotrebljava za izdavanje sredstava elektroničke identifikacije i autentikaciju, ograničen je na uloge i aplikacije za koje se taj pristup izričito zahtijeva. Osigurava se da takav materijal nikad nije kontinuirano pohranjen u formatu običnog teksta.

4.	Postoje postupci kako bi se osiguralo da se sigurnost održava kroz vrijeme i da je sustav sposoban odgovoriti na promjene razina rizika, incidente i kršenja sigurnosti.

5.	Svi mediji koji sadržavaju osobne, kriptografske ili druge osjetljive informacije skladište se, prevoze i uništavaju na siguran način.

Značajna

Isto kao za nisku razinu, uz sljedeće elemente:

Osjetljivi kriptografski materijal, ako se upotrebljava za izdavanje sredstava elektroničke identifikacije i autentikaciju, zaštićen je od neovlaštene izmjene.

Visoka

Isto kao za značajnu razinu.

2.4.7. Usklađenost i revizija

Razina osiguranja identiteta

Potrebni elementi

Niska

Postoje periodične unutarnje revizije kojima su obuhvaćeni svi dijelovi koji se odnose na isporuku usluga koje se pružaju kako bi se osigurala usklađenost s relevantnom politikom.

Značajna

Postoje periodične neovisne unutarnje ili vanjske revizije kojima su obuhvaćeni svi dijelovi koji se odnose na isporuku usluga koje se pružaju kako bi se osigurala usklađenost s relevantnom politikom.

Visoka

1.	Postoje periodične neovisne vanjske revizije kojima su obuhvaćeni svi dijelovi koji se odnose na isporuku usluga koje se pružaju kako bi se osigurala usklađenost s relevantnom politikom.

2.	Ako programom izravno upravlja državno tijelo, revizija se provodi u skladu s nacionalnim pravom.

(1) Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30.).

9.9.2015

Službeni list Europske unije

L 235/26

PROVEDBENA ODLUKA KOMISIJE (EU) 2015/1505

оd 8. rujna 2015.

o utvrđivanju tehničkih specifikacija i formata koji se odnose na pouzdane popise u skladu s člankom 22. stavkom 5. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu

(Tekst značajan za EGP)

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

budući da:

(1)	Pouzdani popisi ključni su za izgradnju povjerenja među tržišnim operatorima jer sadržavaju informacije o statusu pružatelja usluga u trenutku nadzora.

(2)

Prekogranična uporaba elektroničkih potpisa olakšana je Odlukom Komisije 2009/767/EZ (2) kojom je za države članice propisana obveza da izrađuju, vode i objavljuju pouzdane popise, uključujući informacije o pružateljima usluga certificiranja koji izdaju kvalificirane certifikate za javnost u skladu s Direktivom 1999/93/EZ Europskog parlamenta i Vijeća (3) i koje nadziru i akreditiraju države članice.

(3)

Člankom 22. Uredbe (EU) br. 910/2014 za države članice propisana je obveza da na siguran način izrađuju, vode i objavljuju elektronički potpisane ili pečaćene pouzdane popise u obliku prikladnom za automatiziranu obradu te da Komisiju obavijeste o tijelima nadležnima za izradu nacionalnih pouzdanih popisa.

(4)

Pružatelj usluga povjerenja i usluge povjerenja koje pruža trebali bi se smatrati kvalificiranima ako pružatelj usluge koji se nalazi na pouzdanom popisu ima kvalificirani status. Kako bi se osiguralo da pružatelji usluga mogu lako, na daljinu i u elektroničkom obliku, ispunjavati druge obveze koje proizlaze iz Uredbe (EU) br. 910/2014, a posebno one iz članaka 27. i 37., te kako bi se ispunila opravdana očekivanja drugih pružatelja usluga certificiranja koji ne izdaju kvalificirane certifikate, ali nude usluge u vezi s elektroničkim potpisima na temelju Direktive 1999/93/EZ, i koji budu uvršteni na popis do 30. lipnja 2016., državama članicama trebalo bi se omogućiti da na nacionalnoj razini i na dobrovoljnoj osnovi na pouzdani popis dodaju usluge povjerenja koje nisu kvalificirane, uz uvjet da se jasno navede da te usluge nisu kvalificirane u skladu s Uredbom (EU) br. 910/2014.

(5)

U skladu s uvodnom izjavom 25. Uredbe (EU) br. 910/2014, države članice mogu dodavati druge vrste nacionalno definiranih usluga povjerenja različite od onih koje su definirane u članku 3. stavku 16. Uredbe (EU) br. 910/2014, uz uvjet da se jasno navede da te usluge nisu kvalificirane u skladu s Uredbom (EU) br. 910/2014.

(6)	Mjere propisane ovom Odlukom u skladu su s mišljenjem odbora osnovanog člankom 48. Uredbe (EU) br. 910/2014,

DONIJELA JE OVU ODLUKU:

Članak 1.

Države članice izrađuju, objavljuju i vode pouzdane popise, uključujući informacije o kvalificiranim pružateljima usluga povjerenja koje nadziru te informacije o kvalificiranim uslugama povjerenja koje oni pružaju. Ti su popisi u skladu s tehničkim specifikacijama iz Priloga I.

Članak 2.

Države članice mogu u pouzdane popise uključiti informacije o nekvalificiranim pružateljima usluga povjerenja te informacije o nekvalificiranim uslugama povjerenja koje oni pružaju. Na popisu se jasno navodi koji su pružatelji usluga povjerenja i usluge povjerenja koje oni pružaju nekvalificirani.

Članak 3.

1. U skladu s člankom 22. stavkom 2. Uredbe (EU) br. 910/2014, države članice elektronički potpisuju ili pečate svoje pouzdane popise u obliku prikladnom za automatiziranu obradu u skladu s tehničkim specifikacijama iz Priloga I.

2. Ako država članica elektronički objavljuje pouzdani popis u ljudima čitljivom obliku, ona osigurava da taj popis sadržava iste podatke kao popis u obliku prikladnom za automatiziranu obradu te ga elektronički potpisuje ili pečati u skladu s tehničkim specifikacijama iz Priloga I.

Članak 4.

1. Države članice Komisiji priopćavaju informacije iz članka 22. stavka 3. Uredbe (EU) br. 910/2014 koristeći se predloškom iz Priloga II.

2. Informacije iz stavka 1. uključuju dva ili više certifikata javnog ključa upravitelja sustava s razmakom između njihovih rokova valjanosti od najmanje tri mjeseca, koji odgovaraju privatnim ključevima koji se mogu upotrebljavati za elektroničko potpisivanje ili pečaćenje pouzdanog popisa u obliku prikladnom za automatiziranu obradu i u ljudima čitljivom obliku, kada se objave.

3. U skladu s člankom 22. stavkom 4. Uredbe (EU) br. 910/2014, Komisija na siguran način na odobrenom web-poslužitelju objavljuje informacije navedene u stavcima 1. i 2., koje su im dostavile države članice, u potpisanom ili pečaćenom obliku prikladnom za automatiziranu obradu.

4. Komisija može na siguran način na odobrenom web-poslužitelju objaviti informacije navedene u stavcima 1. i 2., koje su im dostavile države članice, u potpisanom ili pečaćenom ljudima čitljivom obliku.

Članak 5.

Ova Odluka stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Odluka u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 8. rujna 2015.

Za Komisiju

Predsjednik

Jean-Claude JUNCKER

(1) SL L 257, 28.8.2014., str. 73.

(2) Odluka Komisije 2009/767/EZ od 16. listopada 2009. o utvrđivanju mjera kojima se olakšava uporaba postupaka elektroničkim putem preko „jedinstvenih kontaktnih točaka” u skladu s Direktivom 2006/123/EZ Europskog parlamenta i Vijeća o uslugama na unutarnjem tržištu (SL L 274, 20.10.2009., str. 36.).

(3) Direktiva 1999/93/EZ Europskog parlamenta i Vijeća od 13. prosinca 1999. o okviru Zajednice za elektroničke potpise (SL L 13, 19.1.2000., str. 12.).

PRILOG I.

TEHNIČKE SPECIFIKACIJE ZA ZAJEDNIČKI PREDLOŽAK ZA POUZDANE POPISE

POGLAVLJE I.

OPĆI ZAHTJEVI

Pouzdani popisi sadržavaju aktualne i sve povijesne informacije o statusu usluga povjerenja uvrštenih na popis počevši od datuma uvrštavanja pružatelja usluga povjerenja na pouzdane popise.

Izrazi „odobren”, „akreditiran” i/ili „nadziran” u ovim specifikacijama obuhvaćaju i nacionalne programe odobrenja, dok sve dodatne informacije o prirodi takvih nacionalnih programa države članice navode u svojim pouzdanim popisima, uključujući objašnjenja o mogućim razlikama u odnosu na programe nadzora koji se primjenjuju na kvalificirane pružatelje usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju.

Informacije sadržane u pouzdanim popisima prvenstveno služe kao potpora za validaciju tokena kvalificirane usluge povjerenja, tj. fizičkih ili binarnih (logičkih) objekata generiranih ili izdanih pri korištenju kvalificiranom uslugom povjerenja, npr. kvalificirani elektronički potpisi/pečati, napredni elektronički potpisi/pečati koji se temelje na kvalificiranom certifikatu, kvalificirani vremenski žigovi, dokazi o kvalificiranoj elektroničkoj dostavi itd.

POGLAVLJE II.

PODROBNE SPECIFIKACIJE ZA ZAJEDNIČKI PREDLOŽAK ZA POUZDANE POPISE

Ove specifikacije temelje se na specifikacijama i zahtjevima iz norme ETSI TS 119 612 v2.1.1 (dalje u tekstu ETSI TS 119 612).

Ako ovim specifikacijama nisu propisani posebni zahtjevi, u potpunosti se primjenjuju zahtjevi iz norme ETSI TS 119 612 točaka 5. i 6. Ako su ovim specifikacijama propisani posebni zahtjevi, oni imaju prednost pred odgovarajućim zahtjevima iz norme ETSI TS 119 612. U slučaju nepodudarnosti između ovih specifikacija i specifikacija iz norme ETSI TS 119 612, ove specifikacije imaju prednost.

Ime programa (Scheme name) (točka 5.3.6.)

Polje mora biti uključeno i u skladu sa specifikacijama iz norme TS 119 612 točke 5.3.6., a za program se upotrebljava sljedeće ime:

„EN_name_value”= „Pouzdani popis koji sadržava informacije o kvalificiranim pružateljima usluga povjerenja koje nadzire država članica izdavateljica te podatke o kvalificiranim uslugama povjerenja koje oni pružaju, u skladu s relevantnim odredbama iz Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ.”

URI za informacije o programu (Scheme information URI) (točka 5.3.7.)

Polje mora biti uključeno i u skladu sa specifikacijama iz norme TS 119 612 točke 5.3.7., pri čemu „odgovarajući podaci o programu” uključuju barem sljedeće:

(a)

uvodne informacije zajedničke svim državama članicama u pogledu područja primjene i konteksta pouzdanog popisa, temeljnog programa nadzora i, ako je primjenjivo, nacionalnog/nacionalnih programa odobrenja (npr. akreditacija). Za to se upotrebljava tekst u nastavku, u kojem se niz znakova „[ime predmetne države članice]” zamjenjuje imenom predmetne države članice:

„Ovaj je popis pouzdani popis koji sadržava informacije o kvalificiranim pružateljima usluga povjerenja koje nadzire [ime predmetne države članice] te podatke o kvalificiranim uslugama povjerenja koje oni pružaju, u skladu s relevantnim odredbama iz Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ.

Prekogranična uporaba elektroničkih potpisa olakšana je Odlukom Komisije 2009/767/EZ od 16. listopada 2009. kojom je za države članice propisana obveza da izrađuju, vode i objavljuju pouzdane popise s informacijama o pružateljima usluga certificiranja koji izdaju kvalificirane certifikate za javnost u skladu s Direktivom 1999/93/EZ Europskog parlamenta i Vijeća od 13. prosinca 1999. o okviru Zajednice za elektroničke potpise i koje nadziru/akreditiraju države članice. Ovaj je pouzdani popis nastavak pouzdanog popisa uspostavljenog Odlukom 2009/767/EZ.”

Pouzdani popisi ključni su element za izgradnju povjerenja među operatorima elektroničkog tržišta jer korisnicima omogućuju da provjere kvalificirani status i povijest statusa pružateljâ usluga povjerenja i njihovih usluga.

Pouzdani popisi država članica moraju sadržavati barem informacije iz članaka 1. i 2. Provedbene odluke Komisije (EU) 2015/1505.

Države članice mogu u pouzdane popise uključiti informacije o nekvalificiranim pružateljima usluga povjerenja te informacije o nekvalificiranim uslugama povjerenja koje oni pružaju. Jasno se navodi da nisu kvalificirani u skladu s Uredbom (EU) br. 910/2014.

Države članice mogu u pouzdane popise uključiti informacije o nacionalno definiranim uslugama povjerenja koje su različite od onih definiranih u članku 3. stavku 16. Uredbe (EU) br. 910/2014. Jasno se navodi da nisu kvalificirane u skladu s Uredbom (EU) br. 910/2014;

(b)

posebne informacije o temeljnom programu nadzora i, ako je primjenjivo, nacionalnom programu/nacionalnim programima odobrenja (npr. akreditacija), a osobito (1):

1.	informacije o nacionalnom sustavu nadzora koji se primjenjuje na kvalificirane i nekvalificirane pružatelje usluga povjerenja te na kvalificirane i nekvalificirane usluge povjerenja koje oni pružaju kako je predviđeno Uredbom (EU) br. 910/2014;

2.	prema potrebi, informacije o nacionalnim dobrovoljnim programima akreditacije koji se primjenjuju na pružatelje usluga certificiranja koji su izdavali kvalificirane certifikate na temelju Direktive 1999/93/EZ.

Te posebne informacije za svaki prethodno navedeni temeljni program uključuju barem sljedeće:

1.	opći opis;

2.	informacije o postupku koji se primjenjuje za nacionalni program nadzora i, ako je primjenjivo, za odobrenje na temelju nacionalnog programa odobrenja;

3.	informacije o kriterijima na temelju kojih se pružatelji usluga povjerenja nadziru ili, ako je primjenjivo, odobravaju;

4.	informacije o kriterijima i pravilima na temelju kojih se izabiru nadzornici/revizori i definira način na koji oni ocjenjuju pružatelje usluga povjerenja i usluge povjerenja koje oni pružaju;

5.	ako je primjenjivo, kontaktne podatke i druge opće informacije koje se odnose na izvođenje programa.

Vrsta programa/zajednica/pravila (Scheme type/community/rules) (točka 5.3.9.)

Polje mora biti uključeno i u skladu sa specifikacijama iz norme TS 119 612 točke 5.3.9.

Uključuje samo URI-je na britanskom engleskom jeziku.

Uključuje najmanje dva URI-ja:

URI zajednički svim pouzdanim popisima država članica s upućivanjem na opisni tekst, koji vrijedi za sve pouzdane popise, kako slijedi:

URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon

Opisni tekst:

„Sudjelovanje u programu

Svaka država članica mora izraditi pouzdani popis koji sadržava informacije o kvalificiranim pružateljima usluga povjerenja koje nadzire te informacije o kvalificiranim uslugama povjerenja koje oni pružaju, u skladu s relevantnim odredbama iz Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ.

Provedba tih pouzdanih popisa mora biti navedena i na Komisijinu popisu poveznica (pokazivača) koji vode do svakog od pouzdanih popisa država članica.

Smjernice/pravila za ocjenjivanje usluga uvrštenih na popis

Države članice moraju nadzirati kvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ih je imenovala, kako je predviđeno u poglavlju III. Uredbe (EU) br. 910/2014, kako bi se osiguralo da ti kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve propisane Uredbom.

Pouzdani popisi država članica moraju sadržavati barem informacije iz članaka 1. i 2. Provedbene odluke Komisije (EU) 2015/1505.

Pouzdani popisi uključuju i aktualne i povijesne informacije o statusu usluga povjerenja uvrštenih na popis.

Pouzdani popisi država članica moraju sadržavati informacije o nacionalnom programu nadzora i, ako je primjenjivo, nacionalnom programu/nacionalnim programima odobrenja (npr. akreditacija) na temelju kojih su pružatelji usluga povjerenja i usluge povjerenja koje pružaju uvršteni na popis.

Tumačenje pouzdanog popisa

Slijede opće smjernice za korisnike koje vrijede za aplikacije, usluge ili proizvode temeljene na pouzdanom popisu objavljenom u skladu s Uredbom (EU) br. 910/2014:

‚kvalificirani’ status usluge povjerenja izražen je kombinacijom vrijednosti u unosu ‚Identifikator vrste usluge’ (Service type identifier – Sti) i statusa u skladu s vrijednosti polja ‚Trenutačni status usluge’ (Service current status), koji vrijedi od datuma navedenog u polju ‚Datum i vrijeme početka trenutačnog statusa’ (Current status starting date and time). Ako je primjenjivo, na sličan se način dostavljaju i povijesne informacije o tom kvalificiranom statusu.

U vezi s kvalificiranim pružateljima usluga povjerenja koji izdaju kvalificirane certifikate za elektroničke potpise, elektroničke pečate i/ili autentikaciju mrežnih stranica:

unos ‚Certifikacijsko tijelo koje izdaje kvalificirane certifikate’ (CA/QC) ‚Identifikator vrste usluge’ (Service type identifier – Sti) (može biti dodatno definiran kao ‚Korijensko certifikacijsko tijelo koje izdaje kvalificirane certifikate’ (RootCA-QC) korištenjem odgovarajuće dodatne ekstenzije informacija o usluzi (Service information extension – Sie)

—

označuje da je svaki certifikat krajnjeg korisnika koji je izdalo certifikacijsko tijelo ili koji je izdan pod njegovom nadležnošću, te kojeg predstavlja javni ključ i naziv certifikacijskog tijela u polju ‚Digitalni identifikator usluge’ (Service digital identifier – Sdi) (oba podatka o certifikacijskom tijelu trebaju se smatrati ulaznim vrijednostima glavnog javnog ključa – ‚trust anchor input’), kvalificirani certifikat (QC) pod uvjetom da sadržava barem jedno od sljedećeg:

—	izjavu o sukladnosti kvalificiranog certifikata id-etsi-qcs-QcCompliance koja je definirana ETSI-jem (id-etsi-qcs 1),

—	identifikacijsku oznaku (OID) općih pravila certifikata 0.4.0.1456.1.1 (QCP+) koja je definirana ETSI-jem,

—	identifikacijsku oznaku (OID) općih pravila certifikata 0.4.0.1456.1.2 (QCP) koja je definirana ETSI-jem,

te, pod uvjetom da to, s pomoću valjanog statusa usluge (tj. ‚undersupervision’, ‚supervisionincessation’, ‚accredited’ ili ‚granted’), za navedeni unos osigurava nadzorno tijelo države članice.

—

te AKO je uključena informacija ‚Ekstenzija kvalifikacija’ (Sie – Qualifications Extension), tada se uz prethodno navedeno zadano pravilo, certifikati identificirani s pomoću informacija iz polja ‚Ekstenzija kvalifikacija’, koje su strukturirane kao niz filtera koji služe za precizniju identifikaciju skupine certifikata, moraju ispitivati u skladu s pripadajućim kvalifikatorima koji sadržavaju dodatne informacije o njihovu kvalificiranom statusu, ‚Podrška sredstvu za sigurnu izradu elektroničkog potpisa’ (SSCD support) i/ili ‚Pravna osoba kao subjekt’ (Legal person as subject) (npr. certifikati koji u ekstenziji općih pravila certifikata sadržavaju posebnu identifikacijsku oznaku i/ili imaju poseban model ‚Uporaba ključa’ (Key usage) i/ili su filtrirani s pomoću posebne vrijednosti koja se pojavljuje u posebnom polju certifikata ili ekstenziji itd.). Ti su kvalifikatori dio sljedećeg skupa ‚Kvalifikatora’ (Qualifiers) koji nadomještaju informacije koje nedostaju u odgovarajućem certifikatu i upotrebljavaju se u sljedeće svrhe:

—

ukazuju na vrstu kvalificiranog certifikata:

—	‚QCStatement’ znači da su identificirani certifikati kvalificirani na temelju Direktive 1999/93/EZ,

—	‚QCForESig’ znači da su identificirani certifikati, za koje se tvrdi da su kvalificirani ili ih se takvima proglašava, kvalificirani certifikati za potrebe elektroničkog potpisa na temelju Uredbe (EU) br. 910/2014,

—	‚QCForESeal’ znači da su identificirani certifikati, za koje se tvrdi da su kvalificirani ili ih se takvima proglašava, kvalificirani certifikati za potrebe elektroničkog pečata na temelju Uredbe (EU) br. 910/2014,

—	‚QCForWSA’ znači da su identificirani certifikati, za koje se tvrdi da su kvalificirani ili ih se takvima proglašava, kvalificirani certifikati za potrebe autentikacije mrežnih stranica na temelju Uredbe (EU) br. 910/2014,

—

ukazuju na to da se certifikat ne treba smatrati kvalificiranim:

—	‚NotQualified’ znači da se identificirani certifikati ne trebaju smatrati kvalificiranima, i/ili

—

ukazuju na vrstu podrške sigurnom sredstvu za izradu potpisa (SSCD):

—	‚QCWithSSCD’ znači da se privatni ključ identificiranog certifikata, za koji se tvrdi da je kvalificiran ili ga se takvim proglašava, nalazi u SSCD-u, ili

—	‚QCNoSSCD’ znači da se privatni ključ identificiranog certifikata, za koji se tvrdi da je kvalificiran ili ga se takvim proglašava, ne nalazi u SSCD-u, ili

—	‚QCSSCDStatusAsInCert’ znači da identificirani certifikati, za koje se tvrdi da su kvalificirani ili ih se takvima proglašava, sadržavaju odgovarajuće strojno obradive informacije o tome nalazi li se njihov privatni ključ u SSCD-u ili ne,

—

ukazuju na vrstu podrške sredstvu za izradu kvalificiranog elektroničkog potpisa (QSCD):

—	‚QCWithQSCD’ znači da se privatni ključ identificiranog certifikata, za koji se tvrdi da je kvalificiran ili ga se takvim proglašava, nalazi u QSCD-u, ili

—	‚QCNoQSCD’ znači da se privatni ključ identificiranog certifikata, za koji se tvrdi da je kvalificiran ili ga se takvim proglašava, ne nalazi u QSCD-u, ili

—	‚QCQSCDStatusAsInCert’ znači da identificirani certifikati, za koje se tvrdi da su kvalificirani ili ih se takvima proglašava, sadržavaju odgovarajuće strojno obradive informacije o tome nalazi li se njihov privatni ključ u QSCD-u ili ne,

—

‚QCQSCDManagedOnBehalf’ znači da se privatni ključ svakog certifikata koji je identificiran u skladu s primjenjivim popisom kriterija, te za koji se tvrdi da je kvalificiran ili ga se takvim proglašava, nalazi u QSCD-u, za potrebe kojega kvalificirani pružatelj usluge povjerenja (TSP) generira privatni ključ i njime upravlja te to čini u ime tijela čiji se identitet certificira certifikatom, i/ili

—

ukazuju na izdavanje pravnoj osobi:

—	‚QCForLegalPerson’ znači da su identificirani certifikati, za koje se tvrdi da su kvalificirani ili ih se takvima proglašava, izdani pravnoj osobi na temelju Direktive 1999/93/EZ.

Napomena: Informacije sadržane u pouzdanom popisu smatraju se točnima, što znači:

—	ako id-etsi-qcs 1, informacije o QCP OID ili QCP+ OID nisu uključene u certifikat krajnjeg korisnika, i

—

ako u unosu o usluzi koji odgovara glavnom javnom ključu certifikacijskog tijela koje izdaje kvalificirane certifikate (CA/QC) nema informacije ‚Ekstenzija kvalifikacija’ (Qualifications Extension – Sie), na temelju kojega bi se certifikatu dodijelio kvalifikator ‚Izjava o kvalificiranom certifikatu’ (QCStatement), ili

—

ako je u unosu o usluzi koji odgovara glavnom javnom ključu certifikacijskog tijela koje izdaje kvalificirane certifikate (CA/QC) prisutna informacija ‚Ekstenzija kvalifikacija’ (Qualifications Extension – Sie), na temelju kojega se certifikatu dodjeljuje kvalifikator ‚Nekvalificiran’ (NotQualified),

certifikat se ne smatra kvalificiranim.

‚Digitalni identifikatori usluge’ (Service digital identifiers) upotrebljavaju se kao glavni javni ključevi (Trust Anchors) u kontekstu validacije elektroničkih potpisa ili pečata za koje se certifikat potpisnika ili autora pečata treba validirati na temelju informacija iz pouzdanog popisa, te su stoga javni ključ i pridruženi naziv subjekta dovoljni kao informacije o glavnom javnom ključu. Ako više certifikata predstavlja javni ključ koji služi za identifikaciju usluge, te se certifikate treba smatrati certifikatima glavnog javnog ključa koji sadržavaju informacije istovjetne informacijama koje su nužne kao informacije o glavnom javnom ključu.

Opće pravilo za tumačenje bilo kojeg drugog unosa vrste ‚Identifikator vrste usluge’ (Sti) jest da je, za tu vrstu usluge identificiranu kao ‚Sti’, trenutačni status usluge uvrštene na popis i imenovane u skladu s vrijednošću polja ‚Ime usluge’ (Service name) te jedinstveno identificirane vrijednošću polja ‚Digitalni identitet usluge’ (Service digital identity) kvalificiran ili odobren u skladu s vrijednošću polja ‚Trenutačni status usluge’ (Service current status), koji vrijedi od datuma navedenog u polju ‚Datum i vrijeme početka trenutačnog statusa’ (Current status starting date and time).

Posebna pravila za tumačenje bilo kakvih dodatnih informacija o usluzi uvrštenoj na popis (npr. polje ‚Ekstenzije informacija o usluzi’ – Service information extensions) dostupna su, prema potrebi, u posebnom URI-ju države članice u polju ‚Vrsta programa/zajednica/pravila’ (Scheme type/community/rules).

Za podrobnije informacije o poljima, opisu i značenju za pouzdane popise država članica upućujemo vas na važeće sekundarno zakonodavstvo u skladu s Uredbom (EU) br. 910/2014.”

URI koji se odnosi na pouzdani popis određene države članice, s upućivanjem na opisni tekst koji vrijedi za pouzdani popis te države članice:

http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC, pri čemu je CC = ISO 3166-1 (2) alpha-2 kôd države iz polja „Državno područje programa” (Scheme territory) (točka 5.3.10.).

—	podaci o tome gdje korisnici mogu pronaći smjernice/pravila predmetne države članice prema kojima se usluge povjerenja uvrštene na popis ocjenjuju u skladu sa sustavom nadzora i, ako je primjenjivo, programom odobravanja te države članice,

—

podaci o tome gdje korisnici mogu pronaći opis koji se odnosi na predmetnu državu članicu o tome kako se koristiti sadržajem pouzdanog popisa i kako ga tumačiti u vezi s uvrštenim nekvalificiranim uslugama povjerenja i/ili nacionalno definiranim uslugama povjerenja. Taj se opis može upotrijebiti kako bi se ukazalo na mogućnost da je u nacionalnom sustavu predviđena granularnost u pogledu odobravanja pružatelja usluga certificiranja koji ne izdaju kvalificirane certifikate te kako se u tu svrhu upotrebljavaju polja „URI definicije usluge programa” (Scheme service definition URI) (točka 5.5.6.) i „Ekstenzija informacija o usluzi” (Service information extension) (točka 5.5.9.).

Države članice MOGU definirati i upotrebljavati dodatne URI-je kojima se proširuje prethodno navedeni posebni URI države članice (dodatni se URI-ji definiraju na temelju tog posebnog URI-ja više razine).

Opća pravila o popisu statusa pouzdane usluge/pravne obavijesti (TSL policy/legal notice) (točka 5.3.11.)

Polje mora biti uključeno i u skladu sa specifikacijama iz norme TS 119 612 točke 5.3.11. u kojima su opća pravila/pravne obavijesti u vezi s pravnim statusom programa ili pravni zahtjevi koje program ispunjava u okviru jurisdikcije u kojoj je uspostavljen i/ili bilo kakvim ograničenjima i uvjetima u skladu s kojima se popis vodi i objavljuje izraženi u obliku slijeda višejezičnih nizova znakova (vidjeti točku 5.1.4.) kojim je, na britanskom engleskom kao obveznom jeziku i fakultativno na jednom ili više nacionalnih jezika, izražen konkretan tekst tih općih pravila ili obavijesti koji glasi kako slijedi:

U prvom dijelu, koji je obvezan i isti za sve pouzdane popise država članica, navodi se primjenjivi zakonodavni okvir na engleskom jeziku, kako slijedi:

The applicable legal framework for the present trusted list is Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

Tekst na nacionalnom jeziku/nacionalnim jezicima države članice:

Zakonodavni okvir koji se primjenjuje na ovaj pouzdani popis jest Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ.

2.	Drugi dio, koji nije obvezan i koji je drugačiji za svaki pouzdani popis, sadržava upućivanja na posebni nacionalni zakonodavni okvir koji se primjenjuje.

Trenutačni status usluge (Service current status) (točka 5.5.4)

Polje mora biti uključeno i u skladu sa specifikacijama iz norme TS 119 612 točke 5.5.4.

Migracija vrijednosti „Trenutačni status usluge” (Service current status) usluga uvrštenih na pouzdani popis EUMS od dana koji prethodi datumu početka primjene Uredbe (EU) br. 910/2014 (tj. 30. lipnja 2016.) izvršava se na dan početka primjene Uredbe (tj. 1. srpnja 2016.) kako je predviđeno u Prilogu J normi ETSI TS 119 612.

POGLAVLJE III.

KONTINUITET POUZDANIH POPISA

Certifikati koji se prijavljuju Komisiji u skladu s člankom 4. stavkom 2. ove Odluke ispunjavaju zahtjeve iz točke 5.7.1. norme ETSI TS 119 612 i izdaju se:

—	tako da je razmak između njihovih krajnjih rokova valjanosti („Not After”) najmanje tri mjeseca,

—	tako da se generiraju na temelju novih parova ključeva. Prethodno upotrijebljeni parovi ključeva ne smiju se ponovno certificirati.

U slučaju isteka jednog od certifikata javnog ključa koji bi se mogli upotrebljavati za validaciju potpisa ili pečata pouzdanog popisa, koji je prijavljen Komisiji i objavljen na središnjem popisu pokazivača Komisije, države članice:

—	ako je trenutačno objavljeni pouzdani popis potpisan ili pečaćen privatnim ključem čiji je certifikat javnog ključa istekao, bez odlaganja ponovno izdaju novi pouzdani popis koji je potpisan ili pečaćen privatnim ključem čiji prijavljeni certifikat javnog ključa nije istekao,

—	prema potrebi, generiraju nove parove ključeva koji bi se mogli upotrebljavati za potpisivanje ili pečaćenje pouzdanog popisa te za generiranje odgovarajućih certifikata javnog ključa,

—	odmah Komisiji prijavljuju novi popis certifikata javnog ključa koji odgovaraju privatnim ključevima koji bi se mogli upotrebljavati za potpisivanje ili pečaćenje pouzdanog popisa.

U slučaju kompromitacije ili povlačenja jednog od privatnih ključeva koji odgovaraju jednom od certifikata javnog ključa koji bi se mogli upotrebljavati za validaciju potpisa ili pečata pouzdanog popisa, koji je prijavljen Komisiji i objavljen u središnjem popisu pokazivača Komisije, države članice:

—	bez odlaganja ponovno izdaju novi pouzdani popis potpisan ili pečaćen nekompromitiranim privatnim ključem u slučaju da je objavljeni pouzdani popis bio potpisan ili pečaćen kompromitiranim ili povučenim privatnim ključem,

—	prema potrebi, generiraju nove parove ključeva koji bi se mogli upotrebljavati za potpisivanje ili pečaćenje pouzdanog popisa te generiraju njima odgovarajuće certifikate javnog ključa,

—	odmah Komisiji prijavljuju novi popis certifikata javnog ključa koji odgovaraju privatnim ključevima koji bi se mogli upotrebljavati za potpisivanje ili pečaćenje pouzdanog popisa.

U slučaju kompromitacije ili povlačenja svih privatnih ključeva koji odgovaraju certifikatima javnog ključa koji bi se mogli upotrebljavati za validaciju potpisa pouzdanog popisa, koji su prijavljeni Komisiji i objavljeni u središnjem popisu pokazivača Komisije, države članice:

—	generiraju nove parove ključeva koji bi se mogli upotrebljavati za potpisivanje ili pečaćenje pouzdanog popisa te generiraju njima odgovarajuće certifikate javnog ključa,

—	bez odlaganja ponovno izdaju novi pouzdani popis koji je potpisan ili pečaćen jednim od tih novih privatnih ključeva te čiji odgovarajući certifikat javnog ključa treba prijaviti,

—	odmah Komisiji prijavljuju novi popis certifikata javnog ključa koji odgovaraju privatnim ključevima koji bi se mogli upotrebljavati za potpisivanje ili pečaćenje pouzdanog popisa.

POGLAVLJE IV.

SPECIFIKACIJE ZA POUZDANI POPIS U LJUDIMA ČITLJIVOM OBLIKU

Pouzdani popis koji se izrađuje i objavljuje u ljudima čitljivom obliku treba biti u obliku datoteke Portable Document Format (tj. u PDF formatu) u skladu s normom ISO 32000 (3), čiji format odgovara profilu PDF/A (ISO 19005 (4)).

Sadržaj tog pouzdanog popisa formata PDF/A u ljudima čitljivom obliku ispunjava sljedeće zahtjeve:

—	Struktura pouzdanog popisa u ljudima čitljivom obliku odražava logički model opisan u normi TS 119 612.

—

Svako uključeno polje treba biti prikazano i sadržavati sljedeće podatke:

—	naslov polja (npr. „Identifikator vrste usluge” – Service type identifier),

—	vrijednost polja (npr.„http://uri.etsi.org/TrstSvc/Svctype/CA/QC”),

—	značenje (opis) vrijednosti polja, ako je primjenjivo (npr. „Usluga generiranja certifikata kojom se generiraju i potpisuju kvalificirani certifikati na temelju identiteta i drugih obilježja koje provjeravaju relevantne registracijske službe.”),

—	ako je primjenjivo, više verzija na prirodnim jezicima predviđenima u pouzdanom popisu.

—

Barem sljedeća polja i odgovarajuće vrijednosti digitalnih certifikata (5), ako su prisutne u polju „Digitalni identitet usluge” (Service digital identity), trebaju biti prikazani u ljudima čitljivom obliku:

—

Verzija

—	Serijski broj certifikata

—	Algoritam potpisa

—	Izdavatelj – sva relevantna jednoznačna polja s imenima

—	Razdoblje valjanosti

—	Subjekt – sva relevantna jednoznačna polja s imenima

—	Javni ključ

—	Identifikator ključa certifikacijskog tijela

—	Identifikator ključa subjekta

—	Uporaba ključa

—	Proširena uporaba ključa

—	Smjernice za certifikate – svi identifikatori i kvalifikatori smjernica

—	Evidentiranje smjernica

—	Alternativno ime subjekta

—	Obilježja direktorija subjekata

—	Osnovna ograničenja

—	Ograničenja povezana sa smjernicama

—	Distribucijske točke CRL-a (6)

—	Pristup podacima o certifikacijskom tijelu

—	Pristup podacima o subjektu

—	Izjave uz kvalificirane certifikate (7)

—	Hash algoritam

—	Hash vrijednost certifikata.

—	Pouzdani popis u ljudima čitljivom obliku treba biti jednostavan za ispis.

—	Pouzdani popis u ljudima čitljivom obliku potpisuje ili pečati upravitelj sustava u skladu s naprednim PDF potpisom iz članaka 1. i 3. Provedbene odluke Komisije 2015/1505.

(1) Navedeni skupovi informacija od ključne su važnosti za pouzdajuće strane radi ocjene razine kakvoće i sigurnosti takvih sustava. Ti skupovi informacija dostupni su na razini pouzdanog popisa u polju „URI za informacije o programu” (Scheme information URI) (točka 5.3.7. – informacije dostavljaju države članice), polju „Vrsta programa/zajednica/pravila” (Scheme type/community/rules) (točka 5.3.9. – sve države članice upisuju isti tekst) i polju „Opća pravila/pravne obavijesti” (TSL policy/legal notice) (točka 5.3.11. – sve države članice upisuju isti tekst, pri čemu svaka može dodati poseban tekst ili upućivanja koji vrijede samo za nju). Dodatne informacije o takvim sustavima za nekvalificirane usluge povjerenja i nacionalno definirane (kvalificirane) usluge povjerenja mogu se pružati na razini usluge kada je primjenjivo i prema potrebi (npr. za razlikovanje različitih razina kakvoće/sigurnosnih razina) u polju „URI definicije usluge programa” (Scheme service definition URI) (točka 5.5.6.).

(2) ISO 3166-1:2006: „Kodovi za označivanje imena država i njihovih pokrajina – 1. dio: Kodovi država”.

(3) ISO 32000-1:2008: Upravljanje dokumentima – Format prenosivog dokumenta (PDF) – 1. dio: PDF 1.7.

(4) ISO 19005-2:2011: Upravljanje dokumentima – Format datoteke za dugoročnu pohranu elektroničkih dokumenata – 2. dio: Uporaba ISO 32000-1 (PDF/A-2).

(5) Preporuka ITU-T X.509 ISO/IEC 9594-8: Informacijska tehnologija – Međusobno povezivanje otvorenih sustava – Imenik: Okviri certifikata javnog ključa i atributnog certifikata (vidjeti http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=X.509).

(6) RFC 5280: internet X.509 PKI Certificate and CRL Profile.

(7) RFC 3739: internet X.509 PKI: Qualified Certificates Profile.

PRILOG II.

PREDLOŽAK ZA OBAVIJESTI DRŽAVA ČLANICA

Informacije koje države članice moraju priopćavati u skladu s člankom 4. stavkom 1. ove Odluke sadržavaju sljedeće podatke i sve njihove eventualne izmjene:

država članica, koristeći se kodovima ISO 3166-1 (1) Alpha 2 uz sljedeće iznimke:

(a)	kod za Ujedinjenu Kraljevinu jest „UK”;

(b)	kod za Grčku jest „EL”;

tijelo ili tijela nadležna za izradu, vođenje i objavljivanje pouzdanih popisa u obliku prikladnom za automatiziranu obradu i u ljudima čitljivom obliku:

(a)	ime upravitelja sustava: dostavljene informacije moraju biti istovjetne vrijednosti polja „Ime upravitelja sustava” (Scheme operator name) pouzdanog popisa na svim jezicima koji se upotrebljavaju na pouzdanom popisu, uključujući mala i velika slova;

(b)

fakultativne informacije za internu uporabu Komisije samo u slučajevima u kojima je potrebno kontaktirati s relevantnim tijelom (te se informacije ne objavljuju na Komisijinu zbirnom popisu pouzdanih popisa):

—	adresa upravitelja sustava,

—	kontaktni podaci odgovornih osoba (ime, telefonski broj, adresa e-pošte);

3.	mjesto na kojem se objavljuje pouzdani popis u obliku prikladnom za automatiziranu obradu (mjesto na kojem je objavljen aktualni pouzdani popis);

4.	ako je primjenjivo, mjesto na kojem se objavljuje pouzdani popis u ljudima čitljivom obliku (mjesto na kojem je objavljen aktualni pouzdani popis). U slučaju da se pouzdani popis u ljudima čitljivom obliku više ne objavljuje, to je potrebno navesti;

certifikati javnog ključa koji odgovaraju privatnim ključevima koji se mogu upotrebljavati za elektroničko potpisivanje ili pečaćenje pouzdanog popisa u obliku prikladnom za automatiziranu obradu i pouzdanih popisa u ljudima čitljivom obliku: ti se certifikati dostavljaju kao certifikati DER u obliku kodiranog obrasca Privacy Enhanced Mail Base64. U slučaju zamjene određenog certifikata na popisu Komisije novim certifikatom ili dodavanja novog certifikata, koji je predmet obavijesti, postojećima bez zamjene, u obavijesti o izmjeni potrebno je navesti dodatne informacije;

6.	datum dostavljanja podataka koji su predmet obavijesti iz točaka 1. do 5.

Podaci priopćeni u skladu s točkama 1., 2.a, 3., 4. i 5. uključuju se u Komisijin zbirni popis pouzdanih popisa kao zamjena za informacije koje su bile prethodno priopćene i uključene u taj zbirni popis.

(1) ISO 3166-1: „Kodovi za označivanje imena država i njihovih pokrajina – 1. dio: Kodovi država”.

9.9.2015

Službeni list Europske unije

L 235/37

PROVEDBENA ODLUKA KOMISIJE (EU) 2015/1506

оd 8. rujna 2015.

o utvrđivanju specifikacija koje se odnose na formate naprednih elektroničkih potpisa i naprednih pečata koje priznaju tijela javnog sektora u skladu s člankom 27. stavkom 5. i člankom 37. stavkom 5. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu

(Tekst značajan za EGP)

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

budući da:

(1)	Države članice moraju uspostaviti potrebna tehnička sredstva s pomoću kojih mogu obrađivati elektronički potpisane dokumente koji su potrebni pri korištenju online uslugom koju pruža tijelo javnog sektora ili koja se pruža u ime tog tijela.

(2)

Države članice koje zahtijevaju napredan elektronički potpis ili pečat za korištenje online uslugom koju pruža tijelo javnog sektora ili koja se pruža u ime tog tijela na temelju Uredbe (EU) br. 910/2014 obvezne su priznavati napredne elektroničke potpise i pečate, napredne elektroničke potpise i pečate koji se temelje na kvalificiranom certifikatu te kvalificirane elektroničke potpise i pečate u posebnim formatima ili alternativnim formatima koji se validiraju u skladu s posebnim referentnim metodama.

(3)	Za definiranje posebnih formata i referentnih metoda trebalo bi uzeti u obzir postojeću praksu, norme i pravne akte Unije.

(4)

Provedbenom odlukom Komisije 2014/148/EU (2) propisan je niz najuobičajenijih formata naprednih elektroničkih potpisa koje države članice moraju tehnički podržavati za slučajeve u kojima se za online administrativni postupak zahtijevaju elektronički potpisi. Uspostavom referentnih formata želi se olakšati prekogranična validacija elektroničkih potpisa i poboljšati prekogranična interoperabilnost elektroničkih postupaka.

(5)

Norme popisane u Prilogu ovoj Odluci jesu postojeće norme za formate naprednih elektroničkih potpisa. Zbog revizije obrazaca za dugoročno arhiviranje referentnih formata koju provode normizacijska tijela, norme kojima se podrobno uređuje dugoročno arhiviranje isključene su iz područja primjene ove Odluke. Upućivanja na norme i odredbe o dugoročnom arhiviranju revidirat će se kada nova verzija referentnih normi postane dostupna.

(6)	Napredni elektronički potpisi i napredni elektronički pečati u tehničkom su smislu slični. Stoga bi se norme koje vrijede za formate naprednih elektroničkih potpisa trebale mutatis mutandis primjenjivati na formate naprednih elektroničkih pečata.

(7)

Ako se za potpisivanje ili pečaćenje upotrebljavaju formati elektroničkih potpisa ili pečata različiti od onih koji su obično tehnički podržani, trebalo bi osigurati validacijska sredstva kojima se omogućuje prekogranična provjera elektroničkih potpisa ili pečata. Kako bi se države članice primateljice mogle pouzdati u validacijske alate drugih država članica, informacije o tim validacijskim alatima moraju biti lako dostupne tako da ih se uključi u elektroničke dokumente, elektroničke potpise ili spremnike elektroničkih dokumenata.

(8)

Ako javne službe države članice raspolažu mogućnostima validacije elektroničkih potpisa ili pečata koje podržavaju automatiziranu obradu, te bi se mogućnosti validacije trebale učiniti dostupnima i staviti na raspolaganje državi članici primateljici. Međutim, ovom se Odlukom ne bi trebala ograničavati primjena članka 27. stavaka 1. i 2. te članka 37. stavaka 1. i 2. Uredbe (EU) br. 910/2014 u slučajevima u kojima nije moguća automatizirana obrada mogućnosti validacije za alternativne metode.

(9)

Kako bi se osigurali usporedivi zahtjevi za validaciju i povećalo povjerenje u mogućnosti validacije država članica za formate elektroničkih potpisa ili pečata različite od onih koji su obično podržani, zahtjevi za validacijske alate iz ove Odluke proizlaze iz zahtjeva za validaciju kvalificiranih elektroničkih potpisa i pečata iz članaka 32. i 40. Uredbe (EU) br. 910/2014.

(10)	Mjere predviđene ovom Odlukom u skladu su s mišljenjem odbora uspostavljenog sukladno članku 48. Uredbe (EU) br. 910/2014,

DONIJELA JE OVU ODLUKU:

Članak 1.

Države članice koje zahtijevaju napredan elektronički potpis ili napredan elektronički potpis koji se temelji na kvalificiranom certifikatu kako je predviđeno člankom 27. stavcima 1. i 2. Uredbe (EU) br. 910/2014 priznaju napredne elektroničke potpise u XML, CMS ili PDF formatu na razinama usklađenosti B, T ili LT ili potpise s njima pridruženim spremnicima ako ti potpisi zadovoljavaju tehničke specifikacije iz Priloga.

Članak 2.

1. Države članice koje zahtijevaju napredan elektronički potpis ili napredan elektronički potpis koji se temelji na kvalificiranom certifikatu kako je predviđeno člankom 27. stavcima 1. i 2. Uredbe (EU) br. 910/2014 priznaju formate elektroničkih potpisa različite od onih iz članka 1. ove Odluke, uz uvjet da država članica u kojoj se nalazi poslovni nastan pružatelja usluga povjerenja čijim se uslugama koristi potpisnik drugim državama članicama nudi mogućnosti validacije potpisa koje, ako je moguće, podržavaju automatiziranu obradu.

2. Mogućnosti validacije potpisa moraju:

(a)	drugim državama članicama omogućivati besplatnu online validaciju zaprimljenih elektroničkih potpisa na način koji je razumljiv osobama koje se ne služe jezikom predmetne države članice;

(b)	biti navedene u potpisanom dokumentu, elektroničkom potpisu ili elektroničkom spremniku dokumenta; i

(c)

omogućivati potvrđivanje valjanosti naprednog elektroničkog potpisa uz sljedeće uvjete:

certifikat na kojem se temelji napredni elektronički potpis bio je valjan u trenutku potpisivanja, a ako se napredni elektronički potpis temelji na kvalificiranom certifikatu, kvalificirani certifikat na kojem se napredni elektronički potpis temelji bio je, u trenutku potpisivanja, kvalificirani certifikat za elektronički potpis u skladu s Prilogom I. Uredbi (EU) br. 910/2014 i izdao ga je kvalificirani pružatelj usluga povjerenja;

2.	podaci za validaciju potpisa odgovaraju podacima koji se pružaju pouzdajućoj strani;

3.	jedinstveni skup podataka koji predstavlja potpisnika ispravno je dostavljen pouzdajućoj strani;

4.	eventualno korištenje pseudonimom u trenutku potpisivanja jasno je naznačeno pouzdajućoj strani;

5.	ako je napredan elektronički potpis izrađen sredstvom za izradu kvalificiranog elektroničkog potpisa, uporaba bilo kakvog sredstva te vrste jasno je naznačena pouzdajućoj strani;

6.	cjelovitost potpisanih podataka nije ugrožena;

7.	zahtjevi propisani člankom 26. Uredbe (EU) br. 910/2014 bili su ispunjeni u trenutku potpisivanja;

8.	sustav koji se upotrebljava za validaciju naprednog elektroničkog potpisa osigurava pouzdajućoj strani točan rezultat postupka validacije i omogućuje joj detekciju svih sigurnosnih problema.

Članak 3.

Države članice koje zahtijevaju napredan elektronički pečat ili napredan elektronički pečat koji se temelji na kvalificiranom certifikatu kako je predviđeno člankom 37. stavcima 1. i 2. Uredbe (EU) br. 910/2014 priznaju napredne elektroničke pečate u XML, CMS ili PDF formatu na razinama usklađenosti B, T ili LT ili pečate s njima pridruženim spremnicima ako zadovoljavaju tehničke specifikacije iz Priloga.

Članak 4.

1. Države članice koje zahtijevaju napredan elektronički pečat ili napredan elektronički pečat koji se temelji na kvalificiranom certifikatu kako je predviđeno člankom 37. stavcima 1. i 2. Uredbe (EU) br. 910/2014 priznaju formate elektroničkih pečata različite od onih iz članka 3. ove Odluke, uz uvjet da država članica u kojoj se nalazi poslovni nastan pružatelja usluga povjerenja čijim se uslugama koristi autor pečata drugim državama članicama nudi mogućnosti validacije pečata koje, ako je moguće, podržavaju automatiziranu obradu.

2. Mogućnosti validacije pečata moraju:

(a)	drugim državama članicama omogućivati besplatnu online validaciju zaprimljenih elektroničkih pečata na način koji je razumljiv osobama koje se ne služe jezikom predmetne države članice;

(b)	biti navedene u pečaćenom dokumentu, elektroničkom pečatu ili elektroničkom spremniku dokumenta;

(c)

omogućivati potvrđivanje valjanosti naprednog elektroničkog pečata uz sljedeće uvjete:

certifikat na kojem se temelji napredni elektronički pečat bio je valjan u trenutku pečaćenja, a ako se napredni elektronički pečat temelji na kvalificiranom certifikatu, kvalificirani certifikat na kojem se napredni elektronički pečat temelji bio je, u trenutku pečaćenja, kvalificirani certifikat za elektronički pečat u skladu s Prilogom III. Uredbi (EU) br. 910/2014 i izdao ga je kvalificirani pružatelj usluga povjerenja;

2.	podaci za validaciju pečata odgovaraju podacima koji se pružaju pouzdajućoj strani;

3.	jedinstveni skup podataka koji predstavlja autora pečata ispravno je dostavljen pouzdajućoj strani;

4.	eventualno korištenje pseudonimom u trenutku pečaćenja jasno je naznačeno pouzdajućoj strani;

5.	ako je napredan elektronički pečat izrađen sredstvom za izradu kvalificiranog elektroničkog pečata, uporaba bilo kakvog sredstva te vrste jasno je naznačena pouzdajućoj strani;

6.	cjelovitost pečaćenih podataka nije ugrožena;

7.	zahtjevi propisani člankom 36. Uredbe (EU) br. 910/2014 bili su ispunjeni u trenutku pečaćenja;

8.	sustav koji se upotrebljava za validaciju naprednog elektroničkog pečata osigurava pouzdajućoj strani točan rezultat postupka validacije i omogućuje joj detekciju svih sigurnosnih problema.

Članak 5.

Ova Odluka stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Odluka u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 8. rujna 2015.

Za Komisiju

Predsjednik

Jean-Claude JUNCKER

(1) SL L 257, 28.8.2014., str. 73.

(2) Provedbena odluka Komisije 2014/148/EU оd 17. ožujka 2014. o izmjeni Odluke 2011/130/EU o uspostavljanju minimalnih zahtjeva za prekograničnu obradu dokumenata koje elektronički potpisuju nadležna tijela prema Direktivi 2006/123/EZ Europskog parlamenta i Vijeća o uslugama na unutarnjem tržištu (SL L 80, 19.3.2014., str. 7.).

PRILOG

Popis tehničkih specifikacija za napredne elektroničke potpise u XML, CMS ili PDF formatu i pridruženi spremnik potpisa

Napredni elektronički potpisi iz članka 1. Odluke moraju biti u skladu s jednom od sljedećih tehničkih specifikacija ETSI-ja osim točke 9.:

Osnovni XAdES profil	ETSI TS 103171 v.2.1.1 (1)
Osnovni CAdES profil	ETSI TS 103173 v.2.2.1 (2)
Osnovni PAdES profil	ETSI TS 103172 v.2.2.2 (3)

Pridruženi spremnik potpisa iz članka 1. Odluke mora biti u skladu sa sljedećim tehničkim specifikacijama ETSI-ja:

Osnovni profil pridruženog spremnika potpisa

ETSI TS 103174 v.2.2.1 (4)

Popis tehničkih specifikacija za napredne elektroničke pečate u XML, CMS ili PDF formatu i pridruženi spremnik pečata

Napredni elektronički pečati iz članka 3. Odluke moraju biti u skladu s jednom od sljedećih tehničkih specifikacija ETSI-ja osim točke 9.:

Osnovni XAdES profil	ETSI TS 103171 v.2.1.1
Osnovni CAdES profil	ETSI TS 103173 v.2.2.1
Osnovni PAdES profil	ETSI TS 103172 v.2.2.2

Pridruženi spremnik pečata iz članka 3. Odluke mora biti u skladu sa sljedećim tehničkim specifikacijama ETSI-ja:

Osnovni profil pridruženog spremnika pečata

ETSI TS 103174 v.2.2.1

(1) http://www.etsi.org/deliver/etsi_ts/103100_103199/103171/02.01.01_60/ts_103171v020101p.pdf

(2) http://www.etsi.org/deliver/etsi_ts/103100_103199/103173/02.02.01_60/ts_103173v020201p.pdf

(3) http://www.etsi.org/deliver/etsi_ts/103100_103199/103172/02.02.02_60/ts_103172v020202p.pdf

(4) http://www.etsi.org/deliver/etsi_ts/103100_103199/103174/02.02.01_60/ts_103174v020201p.pdf

		ISSN 1977-0847
Službeni list Europske unije		L 235

Hrvatsko izdanje	Zakonodavstvo	Svezak 58. 9 rujna 2015.

Sadržaj		II. Nezakonodavni akti	Stranica
		UREDBE
	*	Provedbena uredba Komisije (EU) 2015/1501 оd 8. rujna 2015. o okviru za interoperabilnost u skladu s člankom 12. stavkom 8. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu ( 1 )	1
	*	Provedbena uredba Komisije (EU) 2015/1502 оd 8. rujna 2015. o utvrđivanju minimalnih tehničkih specifikacija i postupaka za razine osiguranja identiteta koje se pripisuju sredstvima elektroničke identifikacije u skladu s člankom 8. stavkom 3. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu ( 1 )	7
		Provedbena uredba Komisije (EU) 2015/1503 оd 8. rujna 2015. o utvrđivanju paušalnih uvoznih vrijednosti za određivanje ulazne cijene određenog voća i povrća	21
		ODLUKE
	*	Provedbena odluka Komisije (EU) 2015/1504 оd 7. rujna 2015. o odobravanju odstupanja određenim državama članicama u pogledu dostavljanja statističkih podataka u skladu s Uredbom (EZ) br. 1099/2008 Europskog parlamenta i Vijeća o energetskoj statistici (priopćeno pod brojem dokumenta C(2015) 6105) ( 1 )	24
	*	Provedbena odluka Komisije (EU) 2015/1505 оd 8. rujna 2015. o utvrđivanju tehničkih specifikacija i formata koji se odnose na pouzdane popise u skladu s člankom 22. stavkom 5. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu ( 1 )	26
	*	Provedbena odluka Komisije (EU) 2015/1506 оd 8. rujna 2015. o utvrđivanju specifikacija koje se odnose na formate naprednih elektroničkih potpisa i naprednih pečata koje priznaju tijela javnog sektora u skladu s člankom 27. stavkom 5. i člankom 37. stavkom 5. Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu ( 1 )	37

(EUR/100 kg)
Oznaka KN	Oznaka treće zemlje (1)	Standardna uvozna vrijednost
0702 00 00	MA	173,3
	MK	48,7
	XS	41,5
	ZZ	87,8
0707 00 05	MK	76,3
	TR	116,3
	XS	42,0
	ZZ	78,2
0709 93 10	TR	133,1
0709 93 10	ZZ	133,1
0805 50 10	AR	135,9
	BO	135,7
	CL	125,5
	UY	142,2
	ZA	136,9
	ZZ	135,2
0806 10 10	EG	239,8
	MK	63,9
	TR	129,5
	ZZ	144,4
0808 10 80	AR	188,7
	BR	93,9
	CL	134,4
	NZ	143,4
	US	112,5
	UY	110,5
	ZA	117,6
	ZZ	128,7
0808 30 90	AR	131,9
	CL	100,0
	TR	122,9
	ZA	113,5
	ZZ	117,1
0809 30 10, 0809 30 90	MK	80,1
	TR	141,7
	ZZ	110,9
0809 40 05	BA	54,8
	IL	336,8
	MK	44,1
	XS	70,3
	ZZ	126,5