28.8.2014   

HU

Az Európai Unió Hivatalos Lapja

L 257/73

(1)

A gazdasági és társadalmi fejlődés szempontjából kiemelten fontos az online környezet iránti bizalom megteremtése. A fogyasztók, a vállalkozások és a hatóságok vonakodnak tranzakcióik elektronikus úton történő végrehajtásától és új szolgáltatások igénybevételétől, mivel nem bíznak ezekben, és az ezekkel kapcsolatos jogbiztonságot nem érzik kielégítőnek.

(2)

E rendelet célja a belső piacon végrehajtott elektronikus tranzakciókba vetett bizalom megerősítése a polgárok, a vállalkozások és a hatóságok közötti biztonságos elektronikus interakciók közös alapjainak kialakítása révén, aminek köszönhetően az Unión belül hatékonyabbá válnak az online magán- és közszolgáltatások, az elektronikus üzletvitel és az elektronikus kereskedelem.

(3)

Az 1999/93/EK európai parlamenti és tanácsi irányelv (3) az elektronikus aláírásra vonatkozott, és nem hozott létre átfogó határokon átnyúló és ágazatközi uniós keretet az elektronikus tranzakciók biztonságának, megbízhatóságának és könnyű használhatóságának érdekében. Ez a rendelet megerősíti és kibővíti az említett irányelv vívmányait.

(4)

A Bizottság 2010. augusztus 26-i, „Az európai digitális menetrend” című közleménye megállapította, hogy a digitális piac szétaprózódottsága, az interoperabilitás hiánya és a számítógépes bűnözés terjedése jelenti a digitális gazdaság önmagát működtető folyamatának legfőbb akadályát. Az uniós polgárságról szóló 2010. évi, „Az uniós polgárok jogainak érvényesítése előtt álló akadályok lebontása” című jelentésében a Bizottság ismét kihangsúlyozta, hogy szükség van azon főbb problémák megoldására, amelyek meggátolják az uniós polgárokat abban, hogy kihasználják az egységes digitális piac és a határokon átnyúló digitális szolgáltatások nyújtotta előnyöket.

(5)

Az Európai Tanács 2011. február 4-i és 2011. október 23-i következtetéseiben felkérte a Bizottságot arra, hogy 2015-re hozzon létre digitalizált egységes piacot, tegyen gyors előrelépéseket a digitális gazdaság kulcsterületein, és segítse elő a teljes körűen integrált digitalizált egységes piac létrejöttét az online szolgáltatások határokon átnyúló alkalmazásának előmozdításával, különös tekintettel a biztonságos elektronikus azonosítás és hitelesítés elősegítésére.

(6)

A Tanács 2011. május 27-i következtetéseiben felkérte a Bizottságot, hogy egyes kulcsfontosságú elemek, például az elektronikus azonosítás, az elektronikus dokumentumok, az elektronikus aláírás és az elektronikus kézbesítési szolgáltatások tagállamok közötti kölcsönös elismeréséhez és az Európai Unió egészében interoperábilis e-kormányzati szolgáltatásokhoz szükséges megfelelő feltételek megteremtésével járuljon hozzá az egységes digitális piac létrehozásához.

(7)

Az Európai Parlament 2010. szeptember 21-i, az elektronikus kereskedelemben a belső piac megvalósításáról szóló állásfoglalásában (4) hangsúlyozta, hogy fontos az elektronikus szolgáltatások biztonsága, különösen az elektronikus aláírások és a nyilvános kulcsú infrastruktúra összeurópai szintű biztonságának megteremtése, és felkérte a Bizottságot, hogy hozza létre az európai érvényesítésszolgáltatók portálját az elektronikus aláírások határokon átnyúló kölcsönös alkalmazhatóságának és az interneten keresztül létrejövő tranzakciók biztonságának a fokozása érdekében.

(8)

A 2006/123/EK európai parlamenti és tanácsi irányelv (5) előírja, hogy a tagállamok hozzanak létre egyablakos ügyintézési pontokat annak biztosítása érdekében, hogy a szolgáltatási tevékenység végzésére való jogosultsággal, valamint a szolgáltatási tevékenység gyakorlásával kapcsolatos minden eljárás és alaki követelmény egyszerűen teljesíthető legyen távolról és elektronikus úton, a megfelelő egyablakos ügyintézési pontoknál és az illetékes hatóságoknál. Az egyablakos ügyintézési pontokon keresztül elérhető számos online szolgáltatáshoz elektronikus azonosítás, hitelesítés és aláírás szükséges.

(9)

A legtöbb esetben a polgárok nem tudják más tagállamban elektronikus azonosítójuk segítségével hiteles módon azonosítani magukat, mivel más tagállamokban nem ismerik el országuk elektronikus azonosítási rendszerét. Az ilyen elektronikus akadály meggátolja a szolgáltatókat abban, hogy a belső piac minden előnyét élvezhessék. Az elektronikus azonosító eszközök kölcsönös elismerése megkönnyíti számos szolgáltatás határokon átnyúló nyújtását a belső piacon, emellett a vállalkozások határokon átnyúló jelleggel is működhetnének anélkül, hogy a hatóságokkal való interakció során sok akadályba ütköznének.

(10)

A 2011/24/EU európai parlamenti és tanácsi irányelv (6) létrehozott egy, az e-egészségügyért felelős nemzeti hatóságokból álló hálózatot. A határon átnyúló egészségügyi ellátás biztonságának és folytonosságának javítása érdekében a hálózatnak iránymutatásokat kell kidolgoznia az elektronikus egészségügyi adatokhoz és szolgáltatásokhoz történő határokon átnyúló hozzáférésre vonatkozóan, többek között támogatva a tagállamokat abban, „hogy közös azonosítási és hitelesítési intézkedéseket dolgozzanak ki annak elősegítése érdekében, hogy az adatok a határon átnyúló egészségügyi ellátás keretében átadhatók legyenek”. Az elektronikus azonosítás és a hitelesítés kölcsönös elismerése kulcsfontosságú ahhoz, hogy a határon átnyúló egészségügyi szolgáltatások valóban elérhetővé váljanak az uniós polgárok számára. A külföldi kezelések során a betegek egészségügyi adatainak hozzáférhetőeknek kell lenniük a kezelés helye szerinti országban. Ehhez az elektronikus azonosítást szolgáló szilárd, biztonságos és megbízható keretre van szükség.

(11)

E rendeletet a 95/46/EK európai parlamenti és tanácsi irányelvben (7) a személyes adatok védelme tekintetében megállapított elvekkel teljes összhangban kell alkalmazni. E tekintetben a kölcsönös elismerés e rendelet által megállapított elvét illetően az online szolgáltatás igénybevételéhez szükséges hitelesítéskor a személyes adatok feldolgozásának csak azokra az azonosító adatokra szabad kiterjednie, amelyek az adott online szolgáltatás igénybevétele tekintetében megfelelőnek és relevánsnak tekinthetők, és nem lépik túl az igénybevételi jogosultság megadásához szükséges mértéket. Ezen felül a bizalmi szolgáltatóknak és a felügyeleti hatóságoknak tiszteletben kell tartaniuk a 95/46/EK irányelvben az adatfeldolgozás bizalmas jellegére és biztonságára vonatkozóan megállapított előírásokat.

(12)

E rendelet egyik célkitűzése, hogy elhárítsa azokat a meglévő akadályokat, amelyek a tagállamokban az elektronikus azonosító eszközök határokon átnyúló használatának útjában állnak, legalábbis a közszolgáltatások igénybevétele céljából való hitelesítés tekintetében. E rendeletnek nem célja, hogy beavatkozzon a tagállamokban kialakított elektronikus személyazonosság-kezelő rendszerekbe és az ezekhez kapcsolódó infrastruktúrákba. E rendelet célja, hogy a tagállamok által kínált, határokon átnyúló online szolgáltatások igénybevételéhez biztosítsa a biztonságos azonosítás és hitelesítés lehetőségét.

(13)

Lehetővé kell tenni, hogy a tagállamok továbbra is szabadon használhassanak vagy vezethessenek be olyan eszközöket, amelyekkel az online szolgáltatások igénybevételéhez szükséges elektronikus azonosítás elvégezhető. Ugyancsak lehetővé kell tenni számukra, hogy dönthessenek arról, hogy ezeknek az eszközöknek az elérhetővé tételébe a magánszektort is bevonják-e. Nem kell a tagállamokat arra kötelezni, hogy elektronikus azonosítási rendszereiket a Bizottságnak bejelentsék. A tagállamok dönthetnek arról, hogy a nemzeti szinten legalább az online közszolgáltatások, esetleg bizonyos konkrét szolgáltatások igénybevételéhez használt elektronikus azonosítási rendszerek mindegyikét némelyikét, vagy egyikét sem jelentik be a Bizottságnak.

(14)

E rendeletben meg kell határozni bizonyos feltételeket arra vonatkozóan, hogy mely elektronikus azonosító eszközöket kell elismerni, és hogyan kell bejelenteni az elektronikus azonosítási rendszereket. E feltételek célja, hogy segítsék a tagállamokat abban, hogy felépítsék az egymás elektronikus azonosítási rendszerei iránti szükséges bizalmat, valamint kölcsönösen elismerjék a bejelentett rendszereik keretében alkalmazott elektronikus azonosító eszközöket. A kölcsönös elismerés elvét kell alkalmazni, amennyiben a bejelentő tagállam elektronikus azonosítási rendszere teljesíti a bejelentésre vonatkozó feltételeket, és a bejelentést közzétették az Európai Unió Hivatalos Lapjában. A kölcsönös elismerés elvét ugyanakkor kizárólag az online szolgáltatások igénybevételéhez szükséges hitelesítésre kell alkalmazni. Az ilyen online szolgáltatások igénybevételének és a kérelmező számára történő végleges szolgáltatásnyújtásnak szorosan kapcsolódnia kell ahhoz a joghoz, hogy az érintett e szolgáltatásokat igénybe veheti a nemzeti jogszabályokban meghatározott feltételek szerint.

(15)

Az elektronikus azonosító eszközök elismerésének kötelezettségének csak azokra az eszközökre kell vonatkoznia, amelyek olyan biztonsági szintű azonosítást tesznek lehetővé, amely eléri vagy meghaladja a szóban forgó online szolgáltatás igénybevételéhez szükséges biztonsági szintet. Ezenkívül ennek a kötelezettségnek csak abban az esetben indokolt fennállnia, ha az érintett közigazgatási szerv az adott online szolgáltatás igénybevételéhez „jelentős” vagy „magas” biztonsági szintű azonosítást használ. Az uniós joggal összhangban lehetővé kell tenni a tagállamok számára, hogy olyan elektronikus azonosító eszközöket is elismerjenek, amelyek alacsonyabb biztonsági szintű azonosítást tesznek lehetővé.

(16)

A biztonsági szinteknek azt kell megmutatniuk, hogy egy elektronikus azonosító eszköz milyen szintű megbízhatósággal állapítja meg egy személy személyazonosságát, ezáltal biztosítékot nyújtva arra, hogy egy bizonyos személyazonosságot sajátjának mondó személy ténylegesen az, akihez az adott személyazonosságot hozzárendelték. A biztonsági szint attól függ, hogy az elektronikus azonosító eszköz milyen szintű megbízhatósággal ellenőrzi egy személynek az általa megadott vagy állítólagos személyazonosságát, figyelembe véve az alkalmazott folyamatokat (például személyazonosítás és személyazonosság-ellenőrzés, valamint hitelesítés), az igazgatási tevékenységeket (például az elektronikus azonosító eszközöket kibocsátó szervezet valamint az ilyen eszközök kibocsátására alkalmazandó eljárás) és a végrehajtott technikai ellenőrzéseket. Az uniós finanszírozású, nagy volumenű kísérleti projektek, a szabványosítási és a nemzetközi tevékenységek eredményeképpen a biztonsági szinteknek többféle technikai meghatározása és leírása létezik. Így különösen a nagy volumenű STORK kísérleti projekt és az ISO 29115 keretében többek között a 2., 3. és 4. szint használatos, amelyeket a legmesszebbmenőkig figyelembe kell venni a minimális technikai követelmények és az e rendelet szerinti „alacsony”, „jelentős” és „magas” biztonsági szintre vonatkozó szabványok és eljárások kidolgozásakor, biztosítva ugyanakkor e rendelet következetes alkalmazását, különösen a minősített tanúsítványok kibocsátásához szükséges személyazonosság-ellenőrzéshez kapcsolódó „magas” biztonsági szint tekintetében. A megállapított követelményeknek technológiai szempontból semlegesnek kell lenniük. A szükséges biztonsági követelményeket úgy kell megállapítani, hogy azokat eltérő technológiák alkalmazásával is teljesíteni lehessen.

(17)

A tagállamoknak ösztönözniük kell a magánszektort arra, hogy – önkéntes alapon – használják a bejelentett rendszer keretébe tartozó elektronikus azonosító eszközöket olyan esetekben, amelyekben az online szolgáltatásokhoz vagy elektronikus tranzakciókhoz azonosítás szükséges. Az ilyen elektronikus azonosító eszközök alkalmazásának lehetősége hozzásegítheti a magánszektort, hogy a számos tagállamban legalábbis a közszolgáltatásokhoz már széleskörűen használt elektronikus azonosításra és hitelesítésre támaszkodjon, és megkönnyíti a vállalkozások és a polgárok számára az online szolgáltatásaik más tagállamokban való igénybevételét. Annak elősegítése érdekében, hogy a magánszektor számára is biztosított legyen az ilyen elektronikus azonosító eszközök több tagállamra kiterjedő használata, a szolgáltatást igénybe venni kívánó, az adott tagállam területén kívül letelepedett magánszektorbeli felek számára egyaránt igénybe vehetővé kell tenni a bármely tagállam által biztosított hitelesítési lehetőségeket, mégpedig ugyanazon feltételek mellett, mint amelyek az adott tagállamban letelepedett, a szolgáltatást igénybe vevő magánszektorbeli felekre érvényesek. Következésképp a szolgáltatást igénybe venni kívánó, magánszektorbeli felek tekintetében a bejelentő tagállam határozhatja meg azokat a feltételeket, amelyek mellett azok igénybe vehetik a hitelesítési eszközöket. Az igénybevétel feltételei között tájékoztatás nyújtható arról is, hogy a bejelentett rendszerhez kapcsolódó hitelesítési eszközök az adott időpontban elérhetők-e a szolgáltatást igénybe venni kívánó magánszektorbeli felek számára.

(18)

Ennek a rendeletnek elő kell írnia a bejelentő tagállam, az elektronikus azonosító eszközöket kibocsátó fél és a hitelesítési eljárást működtető fél felelősségét arra az esetre, ha nem teljesítik az e rendelet értelmében fennálló kötelezettségeiket. Ezt a rendeletet azonban a felelősségre vonatkozó nemzeti szabályokkal összhangban kell alkalmazni. Ennek megfelelően ez a rendelet nem érinti az említett nemzeti szabályokat, például a kár meghatározására vagy az alkalmazandó eljárási szabályokra – ideértve a bizonyítási terhet is – vonatkozó szabályokat.

(19)

Az elektronikus azonosítási rendszerek biztonsága kulcsfontosságú az elektronikus azonosító eszközök tagállamok közötti kölcsönös elismeréséhez. Ezzel összefüggésben a tagállamoknak együtt kell működniük az elektronikus azonosítási rendszerek biztonságának és uniós szintű interoperabilitásának biztosítása érdekében. Amennyiben az elektronikus azonosítási rendszerek igénybevétele speciális hardver vagy szoftver használatát kívánja meg az azokat nemzeti szinten igénybe vevő felektől, határokon átnyúló interoperabilitás biztosítása érdekében a tagállamok nem követelhetik meg az ilyen eszközök használatát és nem róhatnak ehhez kapcsolódó költségeket a területükön kívül letelepedett és a szolgáltatást igénybe venni kívánó felekre. Ilyen esetben az interoperabilitási keretrendszeren belül kell tárgyalni a megfelelő megoldásokról, és kell kidolgozni azokat. Ugyanakkor elkerülhetetlen, hogy a nemzeti elektronikus azonosító eszközökre vonatkozó sajátos előírások olyan technikai követelményeket eredményezzenek, amelyek valószínűleg érintik az ilyen elektronikus eszközök (pl. intelligens kártyák) birtokosait.

(20)

A tagállamok együttműködése a bejelentett elektronikus azonosítási rendszerek műszaki interoperabilitását hivatott elősegíteni a kockázat mértékének megfelelő, magas szintű bizalom és biztonság megerősítése érdekében. A tagállamok közötti információcserének és a bevált módszerek kölcsönös elismerés céljából történő megosztásának elő kell segítenie az ilyen együttműködést.

(21)

E rendeletnek létre kell hoznia a bizalmi szolgáltatások általános jogi keretét is. Nem írhatja azonban elő általános kötelezettségként azok használatát, illetve azt sem, hogy minden, már meglévő bizalmi szolgáltatáshoz elérési pontot kell kialakítani. Különösen nem vonatkozhat olyan szolgáltatások nyújtására, amelyeket kizárólag meghatározott résztvevői körök használnak zárt rendszerekben, és amelyek nem érintenek harmadik feleket. A vállalkozásoknál vagy a közigazgatásban a belső eljárások lebonyolítására szolgáló és ehhez bizalmi szolgáltatásokat igénybe vevő rendszerekrepéldául e rendelet előírásainak nem kell vonatkozniuk. Csak azoknak a nyilvánosság részére nyújtott bizalmi szolgáltatásoknak kell megfelelniük az e rendeletben megállapított előírásoknak, amelyek harmadik feleket is érintenek. Ez a rendelet nem foglalkozhat továbbá a szerződések megkötésének és érvényességének szempontjaival, sem más olyan jogi kötelezettségekkel, amelyekre nemzeti vagy uniós jogszabályokban meghatározott alaki követelmények vonatkoznak. Ezen felül nem érintheti az állami – különösen a kereskedelmi és földhivatali – nyilvántartásokra vonatkozó, nemzeti jogszabályban előírt alaki követelményeket.

(22)

A bizalmi szolgáltatások határokon átnyúló általános alkalmazásának elősegítése érdekében lehetővé kell tenni, hogy azokat minden tagállamban bizonyítékként lehessen felhasználni a bírósági eljárásokban. Amennyiben e rendelet másképp nem rendelkezik, a bizalmi szolgáltatásoknak az adott tagállamban érvényes joghatását a nemzeti jognak kell meghatároznia.

(23)

Amennyiben e rendelet valamely bizalmi szolgáltatás elismerését kötelezővé teszi, azt a bizalmi szolgáltatást csak abban az esetben lehet elutasítani, ha e kötelezettség címzettje által közvetlenül nem befolyásolható technikai okok miatt nem tudja azt elolvasni vagy ellenőrizni. Ez a kötelezettség önmagában ugyanakkor nem jelentheti azt, hogy a közigazgatási szerveknek kötelező jelleggel be kell szerezniük az összes létező bizalmi szolgáltatás esetében az értelmezés technikai feltételeinek biztosításához szükséges hardver és szoftver eszközöket.

(24)

A tagállamok az uniós joggal összhangban fenntarthatnak, illetve bevezethetnek a bizalmi szolgáltatásokra vonatkozó nemzeti rendelkezéseket, amennyiben e rendelet nem rendelkezik az érintett szolgáltatások teljes körű harmonizációjáról. Ugyanakkor biztosítani kell az e rendeletnek megfelelő bizalmi szolgáltatások belső piaci szabad forgalmát.

(25)

A tagállamok eldönthetik, hogy a bizalmi szolgáltatások e rendelet szerinti kimerítő listáján szereplő szolgáltatásokon kívül meghatároznak-e olyan, más típusú bizalmi szolgáltatásokat, amelyeket nemzeti szinten minősített bizalmi szolgáltatásként ismernek el.

(26)

Tekintettel a technológia gyors változására, e rendelet az innovációra nyitott megközelítést alkalmaz.

(27)

E rendeletnek technológiai szempontból semlegesnek kell lennie. Az általa biztosított joghatásoknak bármely technikai eszközzel elérhetőnek kell lenniük, feltéve, hogy teljesülnek e rendelet előírásai.

(28)

Különösen a kis- és középvállalkozások (kkv-k) és a fogyasztók belső piacba vetett bizalmának megerősítése, valamint a bizalmi szolgáltatások és termékek igénybevételének ösztönzése érdekében be kell vezetni a minősített bizalmi szolgáltatás és a minősített bizalmi szolgáltató fogalmát, és ennek keretében meg kell határozni azokat a követelményeket és kötelezettségeket, amelyek az igénybe vett vagy nyújtott minősített bizalmi szolgáltatások és termékek magas szintű biztonságát szavatolják.

(29)

A 2010/48/EK tanácsi határozattal (8) jóváhagyott, a fogyatékossággal élő személyek jogairól szóló ENSZ-egyezményben és különösen az egyezmény 9. cikkében meghatározott kötelezettségekkel összhangban a fogyatékossággal élő személyek számára biztosítani kell a lehetőséget, hogy a többi fogyasztóval azonos alapon vegyék igénybe a bizalmi szolgáltatásokat és az ilyen szolgáltatásnyújtás során alkalmazott végfelhasználói termékeket. Ezért a nyújtott bizalmi szolgáltatások és az ilyen szolgáltatásnyújtás során biztosított végfelhasználói termékek esetében, amennyiben lehetséges, biztosítani kell az akadálymentességet a fogyatékossággal élő személyek számára. A megvalósíthatósági vizsgálatban ki kell térni többek között a technikai és a gazdasági szempontokra.

(30)

A tagállamok az e rendelet szerinti felügyeleti tevékenységek végrehajtására egy vagy több felügyeleti szervet jelölnek ki. A tagállamok számára egy másik tagállammal elért kölcsönös megállapodás alapján lehetségesnek kell lennie, hogy felügyeleti hatóságot jelöljenek ki a másik tagállam területén.

(31)

A felügyeleti szerveknek együtt kell működniük az adatvédelmi hatóságokkal, és az együttműködés keretében például tájékoztatniuk kell a hatóságokat a minősített bizalmi szolgáltatóknál végzett ellenőrzések eredményéről, amennyiben vélhetőleg sérültek a személyes adatok védelmére vonatkozó szabályok. A hatóságok rendelkezésére kell bocsátani különösen a biztonságot érintő váratlan eseményekre és a személyes adatok biztonságának megsértésére vonatkozó információkat.

(32)

Valamennyi bizalmi szolgáltató köteles a tevékenységével kapcsolatos kockázatoknak megfelelő, bevált biztonsági gyakorlatot követni az egységes piacba vetett felhasználói bizalom növelése érdekében.

(33)

Az álnevek tanúsítványokon való használatára vonatkozó rendelkezések nem gátolhatják meg a tagállamokat abban, hogy előírják a személyek uniós vagy nemzeti jog alapján történő azonosítását.

(34)

Valamennyi tagállam esetében közös alapvető felügyeleti követelményeket kell alkalmazni a minősített bizalmi szolgáltatások hasonló biztonsági szintjének szavatolása érdekében. E követelmények Unió-szerte következetes alkalmazásának megkönnyítése céljából a tagállamoknak összehasonlítható eljárásokat kell elfogadniuk és meg kell osztaniuk egymással a felügyeleti tevékenységükkel és az e téren alkalmazott, bevált módszereikkel kapcsolatos információkat.

(35)

E rendelet követelményeinek minden bizalmi szolgáltatóra vonatkozniuk kell, különös tekintettel a biztonságra, valamint működésük és szolgáltatásaik során a kellő gondosság, az átláthatóság és az elszámoltathatóság biztosításáért való felelősségükkel kapcsolatos rendelkezésekre. Figyelembe véve mindazonáltal a bizalmi szolgáltatók által nyújtott szolgáltatástípusokat, e követelmények tekintetében célszerű különbséget tenni a minősített és a nem minősített bizalmi szolgáltatók között.

(36)

Egy olyan felügyeleti rendszer kialakításával, amely minden bizalmi szolgáltatóra kiterjed, biztosítható a szolgáltatók által végzett műveleteknek és az általuk nyújtott szolgáltatásoknak a biztonsága és az ezekkel kapcsolatos elszámoltathatóság, ami hozzájárul a felhasználók védelméhez és a belső piac működéséhez. A nem minősített bizalmi szolgáltatókra kevésbé szigorú, reaktív, utólagos felügyeletnek kell vonatkoznia, az általuk végzett műveletek és általuk nyújtott szolgáltatások jellege szerint. Ezért a nem minősített szolgáltatók felügyeletét nem célszerű a felügyeleti szerv számára általános kötelezettségként előírni. A felügyeleti szervnek csak akkor kell eljárnia, ha arról értesült (például az adott nem minősített bizalmi szolgáltatótól, más felügyeleti szervtől, felhasználótól, üzleti partnertől vagy saját vizsgálata alapján), hogy valamely nem minősített bizalmi szolgáltató nem tartja be a rendelet követelményeit.

(37)

E rendeletben rendelkezni kell valamennyi bizalmi szolgáltatóra vonatkozóan a felelősségről. Ennek keretében felelősségi rendszert vezet be, amelynek értelmében minden bizalmi szolgáltató felelős a természetes, illetve jogi személyeknek okozott, az e rendelet szerinti kötelezettségek be nem tartásából eredő károkért. Annak érdekében, hogy könnyebben felmérhetők legyenek azok a pénzügyi kockázatok, amelyeket a bizalmi szolgáltatónak kell adott esetben viselnie, illetve amelyeket biztosítással fedeznie kell, ez a rendelet lehetővé teszi a bizalmi szolgáltatóknak, hogy bizonyos feltételek mellett korlátozásokat vezessenek be az általuk nyújtott szolgáltatások használatára vonatkozóan, és hogy a korlátozást meghaladó használatból eredő károkért ne legyenek felelősek. E korlátozásokról a fogyasztókat megfelelő módon, előre tájékoztatni kell. A korlátozásoknak harmadik felek számára felismerhetőnek kell lenniük, például a korlátozásokra vonatkozó, a szolgáltatás feltételei között szereplő információk, vagy más egyértelmű módon megadott információk alapján. Ezen elvek érvényesítése tekintetében ezt a rendeletet a felelősségre vonatkozó nemzeti szabályokkal összhangban kell alkalmazni. Ezért ez a rendelet nem befolyásolja e nemzeti szabályokat, például a kár, a szándékosság, a gondatlanság meghatározása tekintetében, illetve a vonatkozó, alkalmazandó eljárási szabályokat.

(38)

A biztonság megsértésének bejelentése és a biztonsági kockázatértékelések létfontosságúak ahhoz, hogy az érintett felek számára megfelelő tájékoztatást lehessen nyújtani a biztonság megsértése vagy az adatok sértetlenségének megszűnése esetén.

(39)

Annak érdekében, hogy a Bizottság és a tagállamok értékelhessék az e rendelet által bevezetett, a biztonság megsértésének bejelentésére szolgáló mechanizmus eredményességét, elő kell írni a felügyeleti szervek számára, hogy összegezzék az összegyűjtött tapasztalatokat a Bizottság és az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) részére.

(40)

Annak érdekében, hogy a Bizottság és a tagállamok értékelhessék az e rendelet által bevezetett megerősített felügyeleti rendszerek eredményességét, a felügyeleti szervek számára elő kell írni, hogy beszámoljanak a tevékenységükről. Ez hozzájárulna a bevált gyakorlatok felügyeleti szervek közötti megosztásának előmozdításához, és segítségével ellenőrizhető lenne, hogy a felügyeletre vonatkozó alapvető követelményeket valamennyi tagállamban következetesen és eredményesen hajtják-e végre.

(41)

A minősített bizalmi szolgáltatások fenntarthatóságának és tartósságának biztosítása céljából, valamint a minősített bizalmi szolgáltatások kontinuitása iránti felhasználói bizalom növelésének érdekében a felügyeleti szerveknek ellenőrizniük kell, hogy – arra az esetre, ha a minősített bizalmi szolgáltató megszünteti tevékenységét – rendelkezésre állnak-e a szolgáltatás-megszüntetési tervre vonatkozó rendelkezések, továbbá hogy azokat megfelelően alkalmazzák-e.

(42)

A minősített bizalmi szolgáltatók felügyeletének elősegítése érdekében, például olyan esetekre, amelyekben a szolgáltató másik tagállam területén nyújt szolgáltatásokat és ott nem áll felügyelet alatt, vagy ha a szolgáltató számítógépei nem a letelepedése szerinti tagállamban találhatók, létre kell hozni a tagállamok felügyeleti szervei közötti kölcsönös segítségnyújtási rendszert.

(43)

Annak biztosítása érdekében, hogy a minősített bizalmi szolgáltatók és az általuk nyújtott szolgáltatások megfeleljenek az e rendeletben meghatározott követelményeknek, egy megfelelőségértékelő szervezetnek megfelelőségértékelést kell végeznie, és az ennek eredményét tartalmazó megfelelőségértékelési jelentést a minősített bizalmi szolgáltatónak be kell nyújtania a felügyeleti szerv részére. Ha a felügyeleti szerv a minősített bizalmi szolgáltató számára eseti megfelelőségértékelési jelentés benyújtását írja elő, a felügyeleti szervnek tiszteletben kell tartania különösen a helyes igazgatás elvét – beleértve a határozatainak megindokolására vonatkozó kötelezettséget –, valamint az arányosság elvét. Ezért ha a felügyeleti szerv úgy dönt, hogy eseti jelleggel előírja a megfelelőségértékelési jelentés készítését, e döntését megfelelően meg kell indokolnia.

(44)

E rendelet koherens keretet törekszik teremteni a bizalmi szolgáltatások magas szintű biztonsága és jogbiztonsága érdekében. E tekintetben a Bizottságnak, amikor a termékek és szolgáltatások megfelelőségértékelése tekintetében eljár, adott esetben törekednie kell a szinergiára a már meglévő, releváns európai és nemzetközi keretekkel, például a megfelelőségértékelő szervezetek akkreditálására és a termékek piacfelügyeletére vonatkozó követelményeket megállapító 765/2008/EK európai parlamenti és tanácsi rendelettel (9).

(45)

Annak érdekében, hogy hatékony legyen a minősített bizalmi szolgáltatás elindításának folyamata, amely a minősített bizalmi szolgáltatóknak és az általuk nyújtott minősített bizalmi szolgáltatásoknak a bizalmi listákba való felvételét eredményezi, ösztönözni kell a leendő minősített bizalmi szolgáltatók és az illetékes felügyeleti szervek közötti előzetes kommunikációt az átvilágítás elősegítése érdekében, amelynek lezárultával a szolgáltató minősített bizalmi szolgáltatásokat nyújthat.

(46)

A bizalmi listák elengedhetetlenek a piaci szereplők bizalmának megteremtéséhez, mivel e listák jelzik a szolgáltató minősített voltát a felügyelet időpontjában.

(47)

Az online szolgáltatások iránti bizalom és e szolgáltatások könnyű kezelhetősége elengedhetetlen ahhoz, hogy a felhasználók teljes körűen kiaknázhassák az elektronikus szolgáltatásokban rejlő előnyöket, és tudatosan hagyatkozzanak e szolgáltatásokra. E célból uniós bizalmi jegyet kell létrehozni a minősített bizalmi szolgáltatók által nyújtott minősített bizalmi szolgáltatások megjelölésére. A minősített bizalmi szolgáltatások uniós bizalmi jegyével egyértelműen meg lehetne különböztetni a minősített bizalmi szolgáltatásokat más bizalmi szolgáltatásoktól, ami hozzájárulna a piac átláthatóságához. Célszerű, hogy a minősített bizalmi szolgáltatók önkéntes alapon alkalmazzák a bizalmi szolgáltatások uniós bizalmi jegyét, és az ne eredményezzen az e rendeletben foglaltakon kívül további követelményeket.

(48)

Míg az elektronikus aláírás kölcsönös elismerésének biztosításához magas szintű biztonságra van szükség, bizonyos esetekben, például a 2009/767/EK bizottsági határozattal (10) összefüggésben alacsonyabb biztonsági szintű elektronikus aláírások is elfogadhatók.

(49)

E rendeletnek be kell vezetnie az elvet, miszerint egy elektronikus aláírás joghatása nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú, illetve nem felel meg a minősített elektronikus aláírásra vonatkozó összes követelménynek. Az elektronikus aláírások joghatását mindazonáltal a nemzeti jognak kell meghatároznia, kivéve az e rendeletben előírt azon követelményt, miszerint a minősített elektronikus aláírásnak a saját kezű aláírással egyenértékű joghatással kell bírnia.

(50)

Mivel a tagállamok illetékes hatóságai jelenleg eltérő formátumú fokozott biztonságú elektronikus aláírást alkalmaznak dokumentumaik elektronikus aláírásához, gondoskodni kell arról, hogy arra az esetre, ha elektronikusan aláírt dokumentumokat kapnak, rendelkezzenek a fokozott biztonságú elektronikus aláírások különböző formátumai közül legalább néhánynak a kezeléséhez szükséges technikai képességgel. Arra az esetre pedig, ha a tagállamok illetékes hatóságai fokozott biztonságú elektronikus bélyegzőt használnak, gondoskodni kell arról, hogy a fokozott biztonságú elektronikus bélyegzők különböző formátumai közül legalább néhány támogatott legyen.

(51)

Lehetővé kell tenni, hogy az aláíró valamely harmadik fél gondjaira bízza a minősített elektronikus aláírást létrehozó eszközöket, feltéve, hogy végrehajtják azokat a megfelelő mechanizmusokat és eljárásokat, amelyek biztosítják, hogy az aláíró elektronikus aláírás létrehozásához használt adatait kizárólag az aláíró használhassa, és az eszköz használata során teljesülnek a minősített elektronikus aláírásra vonatkozó követelmények.

(52)

Számos gazdasági előnye miatt valószínűleg terjedni fog az elektronikus aláírások távolból történő létrehozása, amelynek esetében az elektronikus aláírást létrehozó környezetet az aláíró nevében egy bizalmi szolgáltató kezeli. Annak biztosítása érdekében azonban, hogy ezek az elektronikus aláírások jogilag ugyanúgy elismerhetők legyenek, mint a teljes egészében a felhasználó által kezelt környezetben létrehozott elektronikus aláírások, a távoli elektronikus aláírási szolgáltatásokat nyújtó szolgáltatóknak specifikus kezelési és adminisztratív biztonsági eljárásokat kell alkalmazniuk, és megbízható rendszereket és termékeket, többek között biztonságos elektronikus kommunikációs csatornákat kell használniuk annak érdekében, hogy garantálják az elektronikus aláírást létrehozó környezet megbízhatóságát, valamint azt, hogy a környezet használatát az aláírón kívül más ne befolyásolhassa. Az elektronikus aláírást távolból létrehozó eszköz segítségével létrehozott minősített elektronikus aláírás esetén az e rendeletben szereplő, a minősített bizalmi szolgáltatókra vonatkozó követelményeket kell alkalmazni.

(53)

Több tagállamban is bevett operatív gyakorlat a bizalmi szolgáltatók körében a minősített tanúsítványok felfüggesztése, amely különbözik a visszavonástól, és a tanúsítvány érvényességének ideiglenes elvesztésével jár. A jogbiztonság érdekében a tanúsítvány felfüggesztett státusát minden esetben egyértelműen fel kell tüntetni. E célból a bizalmi szolgáltatók számára elő kell írni, hogy egyértelműen tüntessék fel a tanúsítvány státusát, és amennyiben azt felfüggesztették, a tanúsítvány felfüggesztésének pontos időtartamát. Nem célszerű, hogy ez a rendelet előírja a bizalmi szolgáltatók vagy a tagállamok számára a felfüggesztés gyakorlatának alkalmazását, hanem átláthatósági szabályokról kell rendelkeznie arra az esetre, amennyiben alkalmazzák ezt a gyakorlatot.

(54)

A minősített tanúsítványok határokon átnyúló interoperabilitása és elismerése előfeltétele a minősített elektronikus aláírások tagállamközi elismerésének. Ezért nem célszerű, hogy a minősített tanúsítványokra az e rendeletben foglalt előírásokon túl kötelező követelmények vonatkozzanak. Nemzeti szinten azonban lehetővé kell tenni, hogy a minősített tanúsítványokhoz specifikus attribútumok – például egyedi azonosító – társuljon, feltéve, hogy e specifikus attribútumok nem gátolják a minősített tanúsítványok és az elektronikus aláírások határokon átnyúló interoperabilitását és elismerését.

(55)

A nemzetközi szabványokon (mint az ISO 15408 szabványon és a kapcsolódó értékelési módszereken és kölcsönös elismerési megállapodásokon) alapuló informatikai biztonsági tanúsítás fontos eszköze a minősített elektronikus aláírást létrehozó eszközök biztonsága ellenőrzésének, ezért alkalmazását ösztönözni kell. Egyes innovatív megoldások és szolgáltatások (mint például a mobil aláírás, a felhőalapú aláírás stb.) ugyanakkor a minősített elektronikus aláírást létrehozó eszközöket illetően olyan technikai és szervezési megoldásokon alapulnak, amelyekre vonatkozóan még esetleg nem állnak rendelkezésre biztonsági szabványok, illetve amelyek esetében az első informatikai biztonsági tanúsítás folyamatban van. Alternatív eljárásokkal csak akkor lehetne értékelni a minősített elektronikus aláírást létrehozó eszközök biztonsági szintjét, ha nem állnak rendelkezésre biztonsági szabványok, illetve ha az első informatikai biztonsági tanúsítás folyamatban van. Ezeknek az eljárásoknak a biztonsági szintek egyenértékűségét tekintve az informatikai biztonsági tanúsítás szabványaihoz hasonlónak kell lenniük. Az eljárások lebonyolítását kölcsönös felülvizsgálattal lehetne elősegíteni.

(56)

E rendeletnek a fokozott biztonságú elektronikus aláírások funkcionalitásának biztosítása érdekében követelményeket kell megállapítania a minősített elektronikus aláírást létrehozó eszközökre. Nem célszerű, hogy e rendelet kiterjedjen annak a rendszerkörnyezetnek az egészére, amelyben az ilyen eszközök üzemelnek. Ezért a minősített aláírást létrehozó eszközök tanúsítását azon hardver-eszközökre és rendszerszoftverekre kell korlátozni, amelyek az aláírást létrehozó eszközzel létrehozott, tárolt, illetve feldolgozott, aláírás létrehozásához használatos adatok kezelésére és védelmére szolgálnak. A vonatkozó szabványokban részletesen meghatározottak szerint a tanúsítási kötelezettség köréből ki kell zárni az aláírást létrehozó alkalmazásokat.

(57)

Az aláírás érvényességével kapcsolatos jogbiztonság biztosítása érdekében elengedhetetlen annak meghatározása, hogy az érvényesítést végző igénybe vevő félnek a minősített elektronikus aláírás mely összetevőit kell megvizsgálnia. Ezenfelül azáltal, hogy a rendelet követelményeket határoz meg azon minősített bizalmi szolgáltatókra vonatkozóan, amelyek a minősített elektronikus aláírás érvényesítését önállóan elvégezni nem hajlandó vagy nem képes igénybe vevő felek számára minősített érvényesítési szolgáltatást tudnak nyújtani, ösztönzi a magánszektort és a közszférát az ilyen szolgáltatásokba történő beruházásra. Mindkét rendelkezés azt a célt szolgálja, hogy uniós szinten valamennyi fél számára egyszerűvé és kényelmessé tegye a minősített elektronikus aláírás érvényesítését.

(58)

Amikor egy tranzakcióhoz jogi személy minősített elektronikus bélyegzője szükséges, a jogi személy képviseletre jogosult képviselőjének minősített elektronikus aláírását ugyanúgy el kell fogadni.

(59)

Az elektronikus bélyegző igazolja, hogy az elektronikus dokumentumot jogi személy bocsátotta ki, biztosítva a dokumentum eredetének és sértetlenségének bizonyosságát.

(60)

Az elektronikus bélyegzők minősített tanúsítványait kibocsátó bizalmi szolgáltatóknak megfelelő intézkedéseket kell bevezetniük annak érdekében, hogy képesek legyenek megállapítani az azon jogi személyt képviselő természetes személy kilétét, akinek az elektronikus bélyegzők minősített tanúsítványait nyújtották, amennyiben nemzeti szinten valamely igazságügyi, illetve közigazgatási eljárás keretében ilyen azonosítás szükséges.

(61)

E rendeletnek biztosítania kell az információk hosszú távú megőrzését annak érdekében, hogy hosszú távon biztosított legyen az elektronikus aláírás és az elektronikus bélyegzők jogi érvényessége, illetve hogy azok a jövőbeli technológiai változásoktól függetlenül érvényesíthetőek legyenek.

(62)

A minősített elektronikus időbélyegzők biztonságának szavatolása érdekében e rendeletnek fokozott biztonságú elektronikus bélyegző, fokozott biztonságú elektronikus aláírás vagy más, ezekkel egyenértékű módszer használatát kell előírnia. Előreláthatólag az innováció más olyan új technológiákat is eredményezhet, amelyekkel biztosítható, hogy az időbélyegzők biztonsági szintje egyenértékű legyen az említett két technológia által lehetővé tett biztonsági szinttel. A fokozott biztonságú elektronikus bélyegzőtől és a fokozott biztonságú elektronikus aláírástól eltérő módszer igénybevétele esetén a minősített bizalmi szolgáltatónak kell a megfelelőségértékelési jelentés keretében igazolnia, hogy a módszer egyenértéjű biztonsági szintet biztosít, és megfelel az e rendeletben foglalt követelményeknek.

(63)

Az elektronikus dokumentumok fontosak a belső piacon létrejövő, határon átnyúló elektronikus tranzakciók további javítása szempontjából. Annak biztosítása érdekében, hogy egy elektronikus tranzakciót ne lehessen kizárólag azzal az indokkal elutasítani, hogy az elektronikus formátumú, e rendeletnek be kell vezetnie az elvet, miszerint egy elektronikus dokumentum joghatása nem tagadható meg kizárólag annak elektronikus formátuma okán.

(64)

A fokozott biztonságú elektronikus aláírások és bélyegzők formátuma tekintetében a Bizottságnak a meglévő gyakorlatokból, szabványokból és jogszabályokból, különösen a 2011/130/EU bizottsági határozatból (11) kell ihletet merítenie.

(65)

A jogi személy által kibocsátott dokumentum hitelesítésén felül az elektronikus bélyegző a jogi személy digitális eszközei, például a szoftverkód vagy a szerverek hitelesítésére is használható.

(66)

Alapvetően fontos, hogy az ajánlott elektronikus kézbesítési szolgáltatások tekintetében jogi keret segítse elő a meglévő nemzeti jogrendszerek közötti elismerést. A kerettel új piaci lehetőségek is nyílnak arra, hogy az Unióban működő bizalmi szolgáltatók új páneurópai ajánlott elektronikus kézbesítési szolgáltatásokat nyújtsanak.

(67)

A weboldal-hitelesítési szolgáltatások révén a webhely látogatója biztos lehet abban, hogy a webhely mögött valódi és legitim szervezet áll. Ezek a szolgáltatások hozzájárulnak az online üzleti tevékenység iránti bizalom megteremtéséhez, mivel a felhasználók meg fognak bízni az olyan weboldalakban, amelyek hitelesítve vannak. A weboldal-hitelesítési szolgáltatások nyújtása és igénybevétele teljeséggel önkéntes. Ahhoz azonban, hogy a weboldal-hitelesítés a bizalom megerősítésének, a felhasználói élmény javításának és a belső piacon a növekedés fokozásának eszközévé válhasson, e rendeletben biztonsági és felelősségi minimumkövetelményeket kell megállapítani a szolgáltatókra és az általuk nyújtott szolgáltatásokra vonatkozóan. Ennek érdekében a jogalkotó figyelembe vette a már működő ágazati kezdeményezések (például a CA/B Forum, a hitelesítés-szolgáltatók és böngészőgyártók fóruma) eredményeit. A rendelet továbbá nem gátolhatja a más, a rendelet hatályán kívül eső weboldal-hitelesítési eszközök és módszerek használatát, és nem akadályozhatja meg, hogy harmadik országbeli weboldal-hitelesítési szolgáltatók szolgáltatást nyújtsanak ügyfeleiknek az Unióban. A harmadik országbeli szolgáltató weboldal-hitelesítési szolgáltatása azonban csak akkor ismerhető el e rendelet szerint minősítettként, ha az Unió és a szolgáltató letelepedése szerinti ország között érvényben van erről szóló nemzetközi megállapodás.

(68)

A „jogi személy” fogalma – az Európai Unió működéséről szóló szerződésnek (EUMSZ) a letelepedésről szóló rendelkezései szerint- meghagyja a gazdasági szereplőknek a lehetőséget, hogy szabadon megválaszthassák a tevékenységük végzésére alkalmasnak ítélt jogi formát. Ennek megfelelően, az EUMSZ szerinti „jogi személynek” minősül jogi formájától függetlenül minden olyan szervezet, amelyet valamely tagállam jogszabályai alapján hoztak létre, vagy amelynek tekintetében valamely tagállam joga az irányadó.

(69)

Az Unió intézményei, szervei, hivatalai és ügynökségei számára követendő gyakorlat az e rendelet hatálya alá tartozó elektronikus azonosításnak és bizalmi szolgáltatásoknak az igazgatási együttműködés céljából történő elismerése, és e célból célszerű támaszkodniuk az e rendelet hatálya alá tartozó területeken zajló projektek eredményeire, illetve a már bevált gyakorlatra.

(70)

E rendelet egyes részletes technikai vonatkozásainak rugalmas és gyors kiegészítése érdekében a Bizottságnak felhatalmazást kell kapnia arra, hogy az EUMSZ 290. cikkének megfelelően jogi aktusokat fogadjon el a minősített elektronikus aláírást létrehozó eszközök tanúsításáért felelős szervek által teljesítendő kritériumokkal kapcsolatban. Különösen fontos, hogy a Bizottság előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten is. A felhatalmazáson alapuló jogi aktusok elkészítésekor és szövegezésekor a Bizottságnak gondoskodnia kell a vonatkozó dokumentumoknak az Európai Parlament és a Tanács részére történő egyidejű, időben történő és megfelelő továbbításáról.

(71)

E rendelet egységes feltételek mellett történő végrehajtásának biztosítása érdekében a Bizottságot végrehajtási hatáskörökkel kell felruházni különösen az olyan szabványok hivatkozási számainak meghatározása céljából, amelyek alkalmazása biztosítaná az e rendeletben foglalt egyes követelményeknek való megfelelés vélelmét. E hatáskört a 182/2011/EU európai parlamenti és tanácsi rendeletben (12) foglaltak szerint kell gyakorolni.

(72)

A felhatalmazáson alapuló jogi aktusok, illetve végrehajtási jogi aktusok elfogadása során a Bizottságnak az elektronikus azonosítási és a bizalmi szolgáltatások nagyfokú biztonsága és interoperabilitása érdekében megfelelően figyelembe kell vennie az európai és nemzetközi szabványügyi szervezetek és testületek, különösen az Európai Szabványügyi Bizottság (CEN), az Európai Távközlési Szabványügyi Intézet (ETSI), a Nemzetközi Szabványügyi Szervezet (ISO) és a Nemzetközi Távközlési Egyesület (ITU) által meghatározott szabványokat és technikai előírásokat.

(73)

A jogbiztonság és az egyértelműség érdekében az 1999/93/EK irányelvet hatályon kívül kell helyezni.

(74)

A jogbiztonság garantálása érdekében azon piaci szereplők számára, akik az 1999/93/EK irányelvvel összhangban természetes személyek számára kibocsátott, minősített tanúsítványokat már használják, az átmenetre megfelelő hosszúságú határidőt kell előírni. Hasonlóképpen átmeneti intézkedéseket kell megállapítani az 1999/93/EK irányelvvel összhangban megfelelőnek minősített biztonságos elektronikus aláírást létrehozó eszközök esetében, valamint a 2016. július 1. előtt minősített tanúsítványokat kiállító hitelesítésszolgáltatók viszonylatában. Végezetül ugyancsak biztosítani kell a Bizottság számára a végrehajtási jogi aktusok és a felhatalmazáson alapuló jogi aktusok e határidő előtt történő elfogadásához szükséges eszközöket.

(75)

Az e rendeletben meghatározott alkalmazási időpontok nem érintik a tagállamok uniós jog szerinti, már meglévő kötelezettségeit, különösen a 2006/123/EK irányelvből eredőket.

(76)

Mivel e rendelet céljait a tagállamok nem tudják kielégítően megvalósítani, az Unió szintjén azonban az intézkedés léptéke miatt e célok jobban megvalósíthatók, az Unió intézkedéseket hozhat az Európai Unióról szóló szerződés 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ez a rendelet nem lépi túl az e célok eléréséhez szükséges mértéket.

(77)

A 45/2011/EK európai parlamenti és tanácsi rendelet (13) 28. cikke (2) bekezdésével összhangban konzultációt folytattak az európai adatvédelmi biztossal, aki 2012. szeptember 27-én véleményt (14) fogadott el,

a)

megállapítja azokat a feltételeket, amelyek mellett a tagállamok elismerik a természetes és jogi személyek más tagállamok bejelentett elektronikus azonosítási rendszerének keretébe tartozó elektronikus azonosító eszközeit;

b)

megállapítja különösen az elektronikus tranzakciókhoz kapcsolódó bizalmi szolgáltatásokra vonatkozó szabályokat; valamint

c)

létrehozza az elektronikus aláírások, az elektronikus bélyegzők, az elektronikus időbélyegzők, az elektronikus dokumentumok, az ajánlott elektronikus kézbesítési szolgáltatások és a weboldal-hitelesítési szolgáltatások jogi keretét.

a)

elektronikus aláírások, elektronikus bélyegzők vagy elektronikus időbélyegzők, ajánlott elektronikus kézbesítési szolgáltatások, valamint az ilyen szolgáltatásokhoz kapcsolódó tanúsítványok létrehozása, ellenőrzése és érvényesítése; vagy

b)

weboldal-hitelesítő tanúsítványok létrehozása, ellenőrzése és érvényesítése; vagy

c)

elektronikus aláírások, bélyegzők vagy az ilyen szolgáltatásokhoz kapcsolódó tanúsítványok megőrzése;

a)

az elektronikus azonosító eszközt a Bizottság által a 9. cikkel összhangban közzétett listában szereplő valamelyik elektronikus azonosítási rendszer keretében bocsátották ki;

b)

az elektronikus azonosító eszköz biztonsági szintje azonos vagy magasabb, mint az érintett közigazgatási szerv által az első tagállamban nyújtott online szolgáltatáshoz való hozzáféréshez előírt biztonsági szint, feltéve, hogy az említett elektronikus azonosító eszköz biztonsági szintje „jelentős” vagy „magas”;

c)

az érintett közigazgatási szerv a „jelentős” vagy „magas” biztonsági szintet használja az adott online szolgáltatáshoz való hozzáféréssel kapcsolatban.

a)

az elektronikus azonosítási rendszer keretébe tartozó elektronikus azonosító eszközt:

b)

az elektronikus azonosítási rendszer keretébe tartozó elektronikus azonosító eszköz a bejelentő tagállamban legalább egy, közigazgatási szerv által nyújtott és elektronikus azonosítást előíró szolgáltatáshoz való hozzáféréshez használható;

c)

a rendszer és a keretében kibocsátott elektronikus azonosító eszköz megfelel a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban meghatározott biztonsági szintek közül legalább az egyikre vonatkozóan meghatározott követelményeknek;

d)

a bejelentő tagállam biztosítja, hogy az adott személyt kizárólagosan azonosító személyazonosító adatokat a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban előírt, vonatkozó biztonsági szinthez tartozó technikai specifikációknak, szabványoknak és eljárásoknak megfelelően hozzárendeljék a 3. cikk 1. pontjában említett természetes vagy jogi személyhez a szóban forgó rendszer keretébe tartozó – elektronikus azonosító eszköz kibocsátásakor;

e)

a szóban forgó rendszer keretébe tartozó elektronikus azonosító eszközt kibocsátó fél biztosítja, hogy az elektronikus azonosító eszközt a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban előírt, vonatkozó biztonsági szinthez tartozó technikai specifikációknak, szabványoknak és eljárásoknak megfelelően rendeljék hozzá az e cikk d) pontjában említett személyhez;

f)

a bejelentő tagállam hozzáférést biztosít az online hitelesítéshez annak érdekében, hogy egy másik tagállam területén letelepedett bármely igénybe vevő fél igazolni tudja az elektronikus formában kapott személyazonosító adatokat.

A közigazgatási szervektől eltérő igénybe vevő felek esetében a bejelentő tagállam előírhatja a hitelesítésekhez való hozzáférés feltételeit. Az ilyen határokon átnyúló hitelesítést ingyenesen kell biztosítani, amennyiben arra egy közigazgatási szerv által nyújtott online szolgáltatással kapcsolatban kerül sor.

A tagállamok semmilyen különleges, aránytalan technikai előírást nem tehetnek kötelezővé az ilyen hitelesítést végrehajtani kívánó igénybe vevő felek számára, amennyiben ezen előírások megakadályozzák vagy jelentősen megnehezítik a bejelentett elektronikus azonosítási rendszerek közötti átjárhatóságot;

g)

a 12. cikk (5) bekezdése szerinti kötelezettség teljesítése céljából a bejelentő tagállam a 9. cikk (1) bekezdése szerinti bejelentést megelőzően legalább hat hónappal, a 12. cikk (7) bekezdésében említett végrehjazási jogi aktusokban meghatározott eljárási szabályokkal összhangban eljuttatja a többi tagállamnak az említett rendszer leírását;

h)

az elektronikus azonosítási rendszer megfelel a 12. cikk (8) bekezdésében említett végrehajtási jogi aktus előírásainak.

a)

az „alacsony” biztonsági szint egy elektronikus azonosítási rendszer keretében kibocsátott olyan elektronikus azonosító eszközre utal, amely korlátozott megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélés vagy a személyazonosság megváltoztatása kockázatának csökkentése;

b)

a „jelentős” biztonsági szint egy elektronikus azonosítási rendszer keretében kibocsátott olyan elektronikus azonosító eszközre utal, amely jelentős megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélés vagy a személyazonosság megváltoztatása kockázatának jelentős csökkentése;

c)

a „magas” biztonsági szint egy elektronikus azonosítási rendszer keretében kibocsátott olyan elektronikus azonosító eszközre utal, amely nagyobb megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, mint egy „jelentős” biztonsági szintű elektronikus azonosító eszköz, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélésnek vagy a személyazonosság megváltoztatásának a megakadályozása;

a)

az elektronikus azonosító eszköz kibocsátását kérő természetes vagy jogi személyek személyazonosítására és személyazonosságának ellenőrzésére alkalmazott eljárás;

b)

az elektronikus azonosító eszköz kibocsátására alkalmazott eljárás;

c)

azon hitelesítési mechanizmus, amelynek keretében a természetes vagy jogi személy az elektronikus azonosító eszközt arra használja, hogy a személyazonosságát igazolja a szolgáltatást igénybe vevő fél számára;

d)

az elektronikus azonosító eszközt kibocsátó szervezet;

e)

az elektronikus azonosító eszközök kibocsátása iránti kérelmekkel foglalkozó más szervek; valamint

f)

a kibocsátott elektronikus azonosító eszközök technikai és biztonsági specifikációi.

a)

az elektronikus azonosítási rendszer leírása, ezen belül a rendszer biztonsági szintjei, az adott rendszerbe tartozó elektronikus azonosító eszközök kibocsátója (kibocsátói);

b)

az alkalmazandó felügyeleti rendszer, valamint tájékoztatás a felelősségi szabályokról az alábbiak vonatkozásában:

c)

az elektronikus azonosítási rendszerért felelős hatóság vagy hatóságok;

d)

tájékoztatás az egyedi személyazonosító adatok nyilvántartásba vételét kezelő szervezetről vagy szervezetekről;

e)

annak ismertetése, hogy a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusokban foglalt előírások milyen módon teljesülnek;

f)

a 7. cikk f) pontjában említett hitelesítés leírása;

g)

a bejelentett elektronikus azonosítási rendszernek vagy hitelesítésnek vagy azok veszélyeztetett részeinek a felfüggesztésére vagy visszavonására vonatkozó szabályok.

a)

technológiasemlegességre törekszik, és a tagállamon belül az elektronikus azonosításra szolgáló konkrét nemzeti technikai megoldások egyikével szemben sem alkalmaz hátrányos megkülönböztetést;

b)

lehetőség szerint követi az európai és a nemzetközi normákat;

c)

megkönnyíti a beépített adatvédelem elvének érvényesítését; és

d)

biztosítja a személyes adatoknak a 95/46/EK irányelvnek megfelelő feldolgozását.

a)

a 8. cikkben megállapított biztonsági szintekhez kapcsolódó minimális technikai követelményekre való hivatkozás;

b)

a bejelentett elektronikus azonosítási rendszerek nemzeti biztonsági szintjeinek megfeleltetése a 8. cikkben megállapított biztonsági szinteknek;

c)

a minimális átjárhatósági technikai követelményekre való hivatkozás;

d)

egy természetes vagy jogi személyt kizárólagosan azonosító, az elektronikus azonosítási rendszerekből megszerezhető minimális személyazonosító adatokra való hivatkozás;

e)

eljárási szabályzat;

f)

vitarendezési eljárások;és

g)

közös működési biztonsági normák.

a)

átjárhatóság a 9. cikk (1) bekezdése alapján bejelentett elektronikus azonosítási rendszerek és azon elektronikus azonosítási rendszerek között, amelyeket a tagállamok bejelenteni szándékoznak; és

b)

az elektronikus azonosítási rendszerek biztonsága.

a)

az elektronikus azonosítási rendszerekkel kapcsolatos információk, tapasztalatok és bevált gyakorlat cseréje, különös tekintettel az átjárhatósággal és a biztonsági szintekkel kapcsolatos technikai követelményekre;

b)

az elektronikus azonosítási rendszerekre vonatkozóan a 8. cikkben megállapított biztonsági szintek alkalmazásával kapcsolatos információk, tapasztalatok és bevált gyakorlat cseréje,

c)

az e rendelet hatálya alá tartozó elektronikus azonosítási rendszerek partneri felülvizsgálata; és

d)

az elektronikus azonosítási ágazat lényeges fejleményeinek vizsgálata.

a)

a harmadik országok vagy nemzetközi szervezetek bizalmi szolgáltatói, amelyekkel megállapodás jött létre, valamint az általuk nyújtott bizalmi szolgáltatások megfeleljenek az Unióban letelepedett minősített bizalmi szolgáltatókra és az általuk nyújtott minősített bizalmi szolgáltatásokra alkalmazandó követelményeknek;

b)

az Unióban letelepedett minősített bizalmi szolgáltatók által nyújtott minősített bizalmi szolgáltatásokat jogilag egyenértékűnek ismerték el azon harmadik ország vagy nemzetközi szervezet bizalmi szolgáltatói által nyújtott bizalmi szolgáltatásokkal, amelyekkel megállapodás jött létre.

a)

a kijelölő tagállam területén letelepedett minősített bizalmi szolgáltatók felügyelete, amelynek keretében előzetes és utólagos felügyeleti tevékenységek révén biztosítja, hogy e minősített bizalmi szolgáltatók és az általuk nyújtott minősített bizalmi szolgáltatások megfeleljenek az e rendeletben megállapított követelményeknek;

b)

szükség esetén a kijelölő tagállam területén letelepedett nem minősített bizalmi szolgáltatókkal szembeni intézkedés, utólagos felügyeleti tevékenységek formájában, amennyiben arról értesül, hogy e nem minősített bizalmi szolgáltatók vagy az általuk nyújtott bizalmi szolgáltatások vélhetően nem felelnek meg az e rendeletben megállapított követelményeknek.

a)

együttműködik más felügyeleti szervekkel, és a 18. cikkel összhangban segítséget nyújt e szerveknek;

b)

elemzi a 20. cikk (1) bekezdésében és a 21. cikk (1) bekezdésében említett megfelelőségértékelési jelentéseket;

c)

a 19. cikk (2) bekezdésének megfelelően tájékoztatja a többi felügyeleti szervet és a nyilvánosságot a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről;

d)

e cikk (6) bekezdésével összhangban jelentést küld a Bizottságnak a főbb tevékenységeiről;

e)

a 20. cikk (2) bekezdésével összhangban ellenőrzéseket hajt végre, illetve megfelelőségértékelő szervezetet kér fel a megfelelőségértékelés elvégzésére a minősített bizalmi szolgáltatóknál;

f)

együttműködik az adatvédelmi hatóságokkal, és indokolatlan késedelem nélkül tájékoztatja őket a minősített bizalmi szolgáltatóknál végzett ellenőrzések eredményéről, amennyiben a személyes adatok védelmére vonatkozó szabályok megsértése merül fel;

g)

a 20. és a 21. cikkel összhangban megadja a minősített státust a bizalmi szolgáltatóknak és az általuk nyújtott szolgáltatásoknak, valamint visszavonja tőlük e státust;

h)

tájékoztatja a 22. cikk (3) bekezdésében említett, tagállami bizalmi listáért felelős szervet a minősített státus megadására és visszavonására vonatkozó határozatairól, amennyiben ez a szerv egyben nem maga a felügyeleti szerv;

i)

ellenőrzi a szolgáltatás megszüntetésére vonatkozó terv meglétét, valamint a tervre vonatkozó rendelkezések helyes alkalmazását olyan esetekben, amikor valamely minősített bizalmi szolgáltató meg kívánja szüntetni a tevékenységét, beleértve annak ellenőrzését is, hogy az információ milyen módon lesz továbbra is hozzáférhető a 24. cikk (2) bekezdésének h) pontjával összhangban;

j)

előírja, hogy a bizalmi szolgáltatók orvosolják a helyzetet, amennyiben nem felelnének meg az e rendeletben foglalt követelményeknek.

a)

a felügyeleti szerv nem illetékes a kért segítség megadására;

b)

a kért segítség nem arányos a felügyeleti szervnek a 17. cikkel összhangban végzett felügyeleti tevékenységeivel;

c)

a kért segítség megadása nem lenne összeegyeztethető e rendelettel.

a)

az (1) bekezdésben említett intézkedéseket tovább pontosíthatja, és

b)

meghatározhatja a (2) bekezdés céljára alkalmazandó formátumokat és eljárásokat, beleértve a határidőket is.

a)

az (1) bekezdésben említett megfelelőségértékelő szervezet akkreditációjára és a megfelelőségértékelési jelentésre vonatkozó szabványok;

b)

azon ellenőrzési szabályokra vonatkozó szabványok, amelyek alapján a megfelelőségértékelő szervezetek elvégzik a minősített bizalmi szolgáltatóknak az (1) bekezdésben említett megfelelőségértékelését.

a)

a természetes személynek vagy a jogi személy képviseletre jogosult képviselőjének személyes jelenléte útján; vagy

b)

távolról, olyan elektronikus azonosító eszköz használatával, amely tekintetében a minősített tanúsítvány kibocsátása előtt biztosították a természetes személynek vagy a jogi személy képviseletre jogosult képviselőjének személyes jelenlétét, és amely megfelel a 8. cikkben a „jelentős”, illetve a „magas” biztonsági szintre vonatkozóan meghatározott követelményeknek, vagy

c)

minősített elektronikus aláírás vagy minősített elektronikus bélyegző a) vagy b) ponttal összhangban kibocsátott tanúsítványával; vagy

d)

a személyes jelenléttel egyenértékű biztosítékot nyújtó, nemzeti szinten elismert egyéb azonosítási módszerek alkalmazásával. A biztonság egyenértékűségét megfelelőségértékelő szervezetnek kell igazolnia.

a)

értesíteni a felügyeleti szervet a minősített bizalmi szolgáltatásai nyújtásában bekövetkező változásokról, valamint e tevékenységek beszüntetésének szándékáról;

b)

olyan munkatársakat és adott esetben olyan alvállalkozókat alkalmazni, akik megbízhatóak, rendelkeznek a szükséges szakértelemmel, tapasztalattal és képesítésekkel, valamint megfelelő képzésben részesültek a biztonságra és a személyes adatok védelmére vonatkozó szabályokkal kapcsolatban, továbbá köteles olyan igazgatási és ügyvezetési eljárásokat alkalmazni, amelyek megfelelnek az európai és nemzetközi szabványoknak;

c)

a 13. cikk szerinti kártérítési felelősség kockázata tekintetében megfelelő pénzügyi forrásokkal és/vagy megfelelő felelősségbiztosítással rendelkezni a nemzeti joggal összhangban;

d)

a szerződéskötést megelőzően közérthetően és teljes körűen tájékoztatni a minősített bizalmi szolgáltatást igénybe venni kívánó személyt a szolgáltatás igénybevételére vonatkozó pontos szerződési feltételekről, beleértve az igénybevételre vonatkozó bármely korlátozást is;

e)

olyan megbízható rendszereket és termékeket használni, amelyek védettek a változtatásokkal szemben, és biztosítják az általuk támogatott eljárások technikai biztonságát és megbízhatóságát;

f)

megbízható rendszereket használni a számára szolgáltatott adatok ellenőrizhető formában történő tárolására, olyan módon, hogy:

g)

megfelelő intézkedéseket hozni az adathamisítás és az adatlopás ellen;

h)

megfelelő – a minősített bizalmi szolgáltató tevékenységeinek beszüntetését követő időszakra is kiterjedő – időtartamra rögzíteni és hozzáférhetővé tenni az általa vagy számára kibocsátott adatokra vonatkozó összes lényeges információt, elsősorban bizonyítékok bírósági eljárások során történő bemutatása, valamint a szolgáltatás folytonosságának biztosítása céljából. Az ilyen adatrögzítés elektronikus úton is végezhető;

i)

a felügyeleti szerv által a 17. cikk (4) bekezdésének i) pontja szerint ellenőrzött rendelkezéseknek megfelelő naprakész tervvel rendelkezni a szolgáltatás megszüntetésére vonatkozóan, a szolgáltatás folytonosságának biztosítása érdekében;

j)

biztosítani a személyes adatoknak a 95/46/EK irányelvnek megfelelő jogszerű feldolgozását;

k)

minősített tanúsítványokat kibocsátó minősített bizalmi szolgáltatók esetében tanúsítvány-adatbázist létrehozni és naprakészen tartani.

a)

kizárólag az aláíróhoz köthető;

b)

alkalmas az aláíró azonosítására;

c)

olyan, elektronikus aláírás létrehozásához használt adatok felhasználásával hozzák létre, amelyeket az aláíró nagy megbízhatósággal kizárólag saját maga használhat;

d)

olyan módon kapcsolódik azokhoz az adatokhoz, amelyeket aláírtak vele, hogy az adatok minden későbbi változása nyomon követhető.

a)

ha egy elektronikus aláírás minősített tanúsítványát ideiglenesen felfüggesztik, a tanúsítvány a felfüggesztés időtartamára érvényét veszti;

b)

a felfüggesztés időtartamát egyértelműen fel kell tüntetni a tanúsítványok adatbázisában oly módon, hogy a felfüggesztett státus a felfüggesztés időtartama alatt látható legyen a tanúsítvány státusáról tájékoztatást nyújtó szolgáltatás igénybevétele során.

a)

biztonságértékelési eljárás, amelyet a második albekezdéssel összhangban létrehozott listán szereplő, információtechnológiai termékek biztonságának értékelésére vonatkozó szabványok egyikének megfelelően hajtottak végre.; vagy

b)

az a) pontban említettől eltérő eljárás, feltéve, hogy összehasonlítható biztonsági szintet biztosít, és feltéve, hogy az (1) bekezdésben említett állami vagy magánszerv értesítette a Bizottságot erről az eljárásról. Ez az eljárás csak az a) pontban említett szabványok hiányában alkalmazható, vagy akkor, ha az a) pontban említett biztonságértékelési eljárás folyamatban van.

a)

az aláírást igazoló tanúsítvány az aláírás időpontjában elektronikus aláírás olyan minősített tanúsítványa volt, amely megfelel az I. mellékletnek;

b)

a minősített tanúsítványt minősített bizalmi szolgáltató bocsátotta ki, és az az aláírás időpontjában érvényes volt;

c)

az aláírás-érvényesítési adatok megfelelnek a szolgáltatást igénybe vevő fél számára megadott adatoknak;

d)

a szolgáltatást igénybe vevő fél pontosan megkapja a tanúsítványban az aláírót azonosító egyedi adatokat;

e)

amennyiben az aláírás időpontjában álnév használatára került sor, az álnév használatának tényét egyértelműen feltüntették a szolgáltatást igénybe vevő fél számára;

f)

az elektronikus aláírást minősített elektronikus aláírást létrehozó eszközzel állították elő;

g)

az aláírt adatok sértetlensége nem került veszélybe;

h)

az aláírás időpontjában teljesültek a 26. cikkben foglalt követelmények;

a)

a 32. cikk (1) bekezdésének megfelelő érvényesítést biztosít; és

b)

lehetővé teszi a szolgáltatást igénybe vevő felek részére, hogy olyan automatizált módon kapják meg az érvényesítési eljárás eredményét, amely megbízható és hatékony, és amelyet a minősített érvényesítési szolgáltatás biztosítójának fokozott biztonságú elektronikus aláírásával vagy fokozott biztonságú elektronikus bélyegzőjével láttak el.

a)

kizárólag a bélyegző létrehozójához kötött;

b)

alkalmas a bélyegző létrehozójának azonosítására;

c)

olyan, elektronikus bélyegző létrehozásához használt adatok felhasználásával hozzák létre, amelyeket a bélyegző létrehozója nagy megbízhatósággal kizárólag saját maga elektronikus bélyegző létrehozására használhat;

d)

olyan módon kapcsolódik azokhoz az adatokhoz, amelyekre vonatkozik, hogy az adatok minden későbbi változása nyomon követhető;

a)

ha egy elektronikus bélyegző minősített tanúsítványát ideiglenesen felfüggesztik, a tanúsítvány a felfüggesztés időtartamára érvényét veszti;

b)

a felfüggesztés időtartamát egyértelműen fel kell tüntetni a tanúsítványok adatbázisában oly módon, hogy a felfüggesztett státus a felfüggesztés időtartama alatt látható legyen a tanúsítvány státusáról tájékoztatást nyújtó szolgáltatás igénybevétele során.

a)

az adatokat oly módon kell a dátumhoz és az időponthoz kapcsolnia, hogy az ésszerű mértékben kizárja az adatok észrevétlen megváltoztatásának lehetőségét;

b)

az egyezményes koordinált világidőhöz kötött pontos időforráson kell alapulnia; és

c)

a minősített bizalmi szolgáltató fokozott biztonságú elektronikus aláírásával vagy fokozott biztonságú elektronikus bélyegzőjével, vagy más egyenértékű módszerrel kell ellenjegyezni.

a)

egy vagy több minősített bizalmi szolgáltató nyújtja a szolgáltatásokat;

b)

lehetővé teszik azt, hogy nagy biztonsággal lehessen azonosítani a küldőt;

c)

az adat kézbesítése előtt biztosítaniuk kell a fogadó azonosítását;

d)

az adatküldést és az adatfogadást egy minősített bizalmi szolgáltató fokozott biztonságú elektronikus aláírásával vagy fokozott biztonságú elektronikus bélyegzőjével kell biztonságossá tenni olyan módon, hogy az kizárja az adatok észrevétlen megváltoztatásának lehetőségét;

e)

az adatküldéshez vagy -fogadáshoz szükséges minden adatmódosítást világosan fel kell tüntetni az adatok küldője és címzettje számára;

f)

az adatok küldésének, fogadásának és módosításának dátumát és időpontját minősített elektronikus időbélyegzővel fel kell tüntetni;

a)

a 8. cikk (3) bekezdését, a 9. cikk (5) bekezdését, a 12. cikk (2)–(9) bekezdését, a 17. cikk (8) bekezdését, a 19. cikk (4) bekezdését, a 20. cikk (4) bekezdését, a 21. cikk (4) bekezdését, a 22. cikk (5) bekezdését, a 23. cikk (3) bekezdését, a 24. cikk (5) bekezdését, a 27. cikk (4) és (5) bekezdését, a 28. cikk (6) bekezdését, a 29. cikk (2) bekezdését, a 30. cikk (3) és (4) bekezdését, a 31. cikk (3) bekezdését, a 32. cikk (3) bekezdését, a 33. cikk (2) bekezdését, a 34. cikk (2) bekezdését, a 37. cikk (4) és (5) bekezdését, a 38. cikk (6) bekezdését, a 42. cikk (2) bekezdését, a 44. cikk (2) bekezdését, a 45. cikk (2) bekezdését, a 47. cikket és a 48. cikket 2014. szeptember 17-től kezdődően kell alkalmazni;

b)

a 7. cikket, a 8. cikk (1) és (2) bekezdését, a 9., 10., és 11. cikket, valamint a 12. cikk (1) bekezdését a 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazása időpontjától kezdve kell alkalmazni;

c)

a 6. cikket a 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazása időpontjától számított 3 év elteltével kell alkalmazni.