|
31.7.2010
|
RO
|
Jurnalul Oficial al Uniunii Europene
|
L 199/30
|
DECIZIA COMISIEI
din 28 iulie 2010
de modificare a Deciziei 2009/767/CE în ceea ce privește crearea, păstrarea și publicarea listelor sigure referitoare la prestatorii de servicii de certificare supravegheați/acreditați de statele membre
[notificată cu numărul C(2010) 5063]
(Text cu relevanță pentru SEE)
(2010/425/UE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Directiva 2006/123/CE a Parlamentului European și a Consiliului din 12 decembrie 2006 privind serviciile în cadrul pieței interne (1), în special articolul 8 alineatul (3),
întrucât:
|
(1)
|
Utilizarea transfrontalieră a semnăturilor electronice avansate bazate pe un certificat calificat și create cu sau fără un dispozitiv securizat de creare a semnăturii a fost facilitată prin Decizia 2009/767/CE a Comisiei din 16 octombrie 2009 de stabilire a unor măsuri de facilitare a utilizării procedurilor prin mijloace electronice prin intermediul „ghișeelor unice” în temeiul Directivei 2006/123/CE a Parlamentului European și a Consiliului privind serviciile în cadrul pieței interne (2), care obligă statele membre să pună la dispoziție informațiile necesare pentru validarea acestor semnături electronice. În special, statele membre trebuie să pună la dispoziție, în așa-numitele „liste sigure” pe care le întocmesc, informații privind prestatorii de servicii de certificare care emit certificate calificate publicului în conformitate cu Directiva 1999/93/CE a Parlamentului European și a Consiliului din 13 decembrie 1999 privind un cadru comunitar pentru semnăturile electronice (3) și care sunt supravegheați/acreditați de către respectivele state membre, precum și informații referitoare la serviciile oferite de aceștia.
|
|
(2)
|
O serie de teste practice au fost organizate împreună cu Institutul European de Standardizare în Telecomunicații (ETSI) pentru a permite statelor membre să verifice conformitatea listelor sigure pe care le elaborează cu specificațiile prevăzute în anexa la Decizia 2009/767/CE. Aceste teste au demonstrat că sunt necesare anumite modificări de natură tehnică în ceea ce privește specificațiile tehnice din anexa la Decizia 2009/767/CE, pentru a se asigura funcționarea și interoperabilitatea listelor sigure.
|
|
(3)
|
Aceste teste au confirmat, de asemenea, necesitatea ca statele membre să facă publice nu doar versiunile lizibile pentru om ale listelor sigure respective, astfel cum se impune prin Directiva 2009/767/CE, ci și formele care pot fi procesate de calculator ale acestora. Utilizarea manuală a formei lizibile pentru om a listelor sigure poate fi relativ complexă și îndelungată atunci când statele membre au un număr mare de prestatori de servicii de certificare. Publicarea formelor care pot fi procesate de calculator ale listelor sigure va facilita utilizarea acestora deoarece permite procesarea lor automată și, astfel, sporește utilizarea acestora în cadrul serviciilor publice electronice.
|
|
(4)
|
Pentru a facilita accesul la listele sigure naționale, statele membre trebuie să notifice Comisiei informațiile referitoare la locația și protecția listelor lor sigure. Aceste informații trebuie să fie puse la dispoziția celorlalte state membre de către Comisie, prin mijloace securizate.
|
|
(5)
|
Rezultatele acestor teste practice cu privire la listele sigure ale statelor membre trebuie luate în considerare pentru a permite utilizarea automată a listelor și pentru a facilita accesul la acestea.
|
|
(6)
|
Prin urmare, Decizia 2009/767/CE trebuie modificată în consecință.
|
|
(7)
|
În scopul de a permite statelor membre să efectueze modificările de natură tehnică necesare în ceea ce privește actualele lor liste sigure, prezenta decizie trebuie să se aplice începând de la 1 decembrie 2010.
|
|
(8)
|
Măsurile prevăzute în prezenta decizie sunt conforme cu avizul Comitetului pe probleme referitoare la Directiva privind serviciile,
|
ADOPTĂ PREZENTA DECIZIE:
Articolul 1
Modificări la Decizia 2009/767/CE
Decizia 2009/767/CE se modifică după cum urmează:
|
1.
|
Articolul 2 se modifică după cum urmează:
|
(a)
|
alineatul (2) se înlocuiește cu următorul text:
„(2) Statele membre creează și publică atât o formă lizibilă pentru om, cât și o formă care poate fi procesată de calculator a listei sigure, în conformitate cu specificațiile prevăzute în anexă.”;
|
|
(b)
|
se introduce următorul alineat (2a):
„(2a) Statele membre semnează electronic forma care poate fi procesată de calculator a listelor sigure respective și publică, cel puțin, forma lizibilă pentru om a listei sigure, printr-un mijloc securizat, pentru asigurarea autenticității și integrității acesteia.”;
|
|
(c)
|
alineatul (3) se înlocuiește cu următorul text:
„(3) Statele membre notifică următoarele informații Comisiei:
|
(a)
|
organismul sau organismele responsabile pentru crearea, păstrarea și publicarea formei lizibile pentru om și a formei care poate fi procesată de calculator a listei sigure;
|
|
(b)
|
locațiile unde forma lizibilă pentru om și forma care poate fi procesată de calculator a listei sigure sunt publicate;
|
|
(c)
|
certificatul de cheie publică utilizat pentru implementarea canalului securizat prin care este publicată forma lizibilă pentru om a listei sigure sau, dacă lista lizibilă pentru om este semnată electronic, certificatul de cheie publică utilizat pentru semnarea acesteia;
|
|
(d)
|
certificatul de cheie publică utilizat pentru semnarea electronică a formei care poate fi procesată de calculator a listei sigure;
|
|
(e)
|
orice modificări ale informațiilor de la literele (a)-(d).”;
|
|
|
(d)
|
se adaugă următorul alineat (4):
„(4) Comisia pune la dispoziția statelor membre, printr-un canal securizat către un server web autentificat, informațiile menționate la alineatul (3), astfel cum sunt notificate de statele membre, atât în formă lizibilă pentru om, cât și într-o formă semnată, care poate fi procesată de calculator.”
|
|
|
2.
|
Anexa se modifică în conformitate cu anexa la prezenta decizie.
|
Articolul 2
Aplicare
Prezenta decizie se aplică de la 1 decembrie 2010.
Articolul 3
Destinatari
Prezenta decizie se adresează statelor membre.
Adoptată la Bruxelles, 28 iulie 2010.
Pentru Comisie
Michel BARNIER
Membru al Comisiei
(1) JO L 376, 27.12.2006, p. 36.
(2) JO L 274, 20.10.2009, p. 36.
(3) JO L 13, 19.1.2000, p. 12.
ANEXĂ
Anexa la Decizia 2009/767/CE se modifică după cum urmează:
|
1.
|
Capitolul I se modifică după cum urmează:
|
(a)
|
prima și a doua teză din paragraful al doilea se înlocuiesc cu următorul text:
„Prezentele specificații se bazează pe specificațiile și cerințele prevăzute în ETSI TS 102 231 v.3.1.2. Atunci când în prezentele specificații nu există cerințe specifice, SE APLICĂ în întregime cerințele din ETSI TS 102 231 v.3.1.2.”;
|
|
(b)
|
paragraful al doilea al secțiunii „TSL tag (dispoziția 5.2.1)” se elimină;
|
|
(c)
|
paragraful care urmează titlului secțiunii „TSL sequence number (dispoziția 5.3.2)” se înlocuiește cu următorul text:
„Acest câmp este OBLIGATORIU. Acesta SPECIFICĂ numărul secvențial al TSL. Începând de la «1», la prima publicare a TSL, valoarea acestui număr întreg CREȘTE la fiecare publicare ulterioară a TSL. Valoarea NU ESTE readusă la «1» atunci când crește «TSL version identifier» de mai sus.”;
|
|
(d)
|
primul paragraf care urmează titlului secțiunii „TSL type (dispoziția 5.3.3)” se înlocuiește cu următorul text:
„Acest câmp este OBLIGATORIU pentru a specifica tipul TSL. Acesta ESTE setat la http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/TSLType/generic (Generic).”;
|
|
(e)
|
paragraful al treilea care urmează titlului secțiunii „TSL type (dispoziția 5.3.3)” se înlocuiește cu următorul text:
„URI: (Generic) http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/TSLType/generic.”;
|
|
(f)
|
teza a doua din paragraful al doilea care urmează titlului secțiunii „Scheme operator name (dispoziția 5.3.4)” se înlocuiește cu următorul text:
„Statele membre sunt cele care desemnează Scheme operator pentru implementarea TSL a TL a statului membru.”;
|
|
(g)
|
paragraful al patrulea care urmează titlului secțiunii „Scheme operator name (dispoziția 5.3.4)” se înlocuiește cu următorul text:
„Scheme Operator desemnat (dispoziția 5.3.4) este entitatea care va semna TSL.”;
|
|
(h)
|
liniuța a patra care urmează titlului secțiunii „Scheme name (dispoziția 5.3.6)” se înlocuiește cu următorul text:
„«EN_name_value»= Supervision/Accreditation Status List of certification services from Certification Service Providers, which are supervised/accredited by the referenced Member State for compliance with the relevant provisions laid down in Directive 1999/93/EC and its implementation in the referenced Member State’s laws.”;
|
|
(i)
|
primul paragraf care urmează titlului secțiunii „Service type identifier (dispoziția 5.5.1)” se înlocuiește cu următorul text:
„Acest câmp este OBLIGATORIU și SPECIFICĂ identificatorul tipului de serviciu în conformitate cu actualele specificații TSL (respectiv «/eSigDir-1999-93-EC-TrustedList/TSLType/generic»).”;
|
|
(j)
|
liniuța a cincea care urmează titlului secțiunii „Service current status (dispoziția 5.5.4)” se înlocuiește cu următorul text:
|
„—
|
Acreditat (http://uri.etsi.org/TrstSvc/eSigDir-1999-93-EC-TrustedList/Svcstatus/accredited);”
|
|
|
(k)
|
liniuța a noua care urmează titlului secțiunii „Service current status (dispoziția 5.5.4)” se înlocuiește cu următorul text:
„— Supravegherea serviciului în curs de a fi suspendată: Serviciul identificat la «Service digital identity» (dispoziția 5.5.3) furnizat de CSP identificat la «TSP name» (dispoziția 5.4.1) este în prezent în curs de a fi suspendat însă este încă supravegheat până în momentul în care supravegherea este suspendată sau revocată. În cazul în care o altă persoană juridică în afara celei identificate la «TSP name» preia responsabilitatea asigurării acestei etape de suspendare, identificarea acestei persoane juridice noi sau de rezervă (CSP de rezervă) ESTE prevăzută la «Scheme service definition URI» (dispoziția 5.5.6) și în extensia «TakenOverBy» (dispoziția L.3.2) a intrării serviciului.”;
|
|
(l)
|
paragraful al cincilea care urmează titlului secțiunii „Service information extensions (dispoziția 5.5.9)” se înlocuiește cu următorul text:
„În contextul unei implementări XML, conținutul specific al acestor informații suplimentare trebuie să fie codificat utilizând fișierele xsd prevăzute în anexa C la ETSI TS 102 231.”;
|
|
(m)
|
secțiunea intitulată „Service digital identity (dispoziția 5.6.3)” se înlocuiește cu următorul text:
„Service digital identity (dispoziția 5.6.3)
Acest câmp este OBLIGATORIU și SPECIFICĂ cel puțin o reprezentare a identificatorului digital (respectiv certificatul X.509v3) utilizat în «TSP Service Information – Service digital identity» (dispoziția 5.5.3) cu formatul și sensul definite în ETSI TS 102 231, dispoziția 5.5.3.
Notă: Pentru o valoare a certificatului X.509v3 utilizată în «Sdi», dispoziția 5.5.3, a unui serviciu, trebuie să existe doar o singură intrare privind serviciul într-o listă sigură, per valoare «Sti:Sie/additionalServiceInformation». Informațiile «Sdi» (dispoziția 5.6.3) utilizate în informațiile privind statutul aprobării aferent serviciului, asociate unei intrări privind serviciul, precum și informațiile «Sdi» (dispoziția 5.5.3) utilizate în această intrare privind serviciul TREBUIE să fie asociate aceleiași valori a certificatului X.509v3. Atunci când un serviciu inclus în listă își modifică «Sdi» (respectiv reînnoire sau stabilirea unei alte chei pentru acest certificat X.509v3 pentru, de exemplu, CA/PKC sau CA/QC) sau creează un «Sdi» nou pentru un astfel de serviciu, chiar și cu valori identice pentru «Sti», «Sn», and [«Sie»] asociate, aceasta înseamnă că Scheme Operator TREBUIE să creeze o intrare diferită privind serviciul față de cea anterioară.”;
|
|
(n)
|
secțiunea intitulată „Signed TSL” se înlocuiește cu următorul text:
„Signed TSL
Implementarea TSL în formă lizibilă pentru om a listei sigure, creată în conformitate cu prezentele specificații, în special capitolul IV, AR TREBUI să fie semnată de «Scheme operator name» (dispoziția 5.3.4) pentru a se asigura autenticitatea și integritatea acesteia (1). Formatul semnăturii AR TREBUI să fie PAdES part 3 [ETSI TS 102 778-3 (2)] însă POATE fi PAdES part 2 [ETSI TS 102 778-2 (3) ] în contextul modelului sigur specific creat prin publicarea certificatelor utilizate pentru semnarea listelor sigure.
Implementarea TSL care poate fi procesată de calculator a listei sigure, creată în conformitate cu prezentele specificații ESTE SEMNATĂ de «Scheme operator name» (dispoziția 5.3.4) pentru a asigura autenticitatea și integritatea acesteia. Formatul implementării TSL care poate fi procesată de calculator a listei sigure, creată în conformitate cu prezentele specificații ESTE XML și ESTE CONFORMĂ cu specificațiile prevăzute în anexele B și C la ETSI TS 102 231.
Formatul semnăturii ESTE XAdES BES sau EPES, în conformitate cu definițiile din specificațiile ETSI TS 101 903 pentru implementările XML. Această implementare a semnăturii electronice ÎNDEPLINEȘTE cerințele, după cum se menționează în anexa B la ETSI TS 102 231 (4). Cerințele generale suplimentare cu privire la această semnătură sunt prevăzute în următoarele secțiuni.
|
|
(o)
|
paragraful al doilea care urmează titlului secțiunii „Scheme identification (dispoziția 5.7.2)” se înlocuiește cu următorul text:
„În contextul prezentelor specificații, referința desemnată INCLUDE «TSL type» (dispoziția 5.3.3), «numele programului» (dispoziția 5.3.6) și valoarea extensiei SubjectKeyIdentifier a certificatului utilizat de operatorul de program pentru semnarea electronică a TSL.”;
|
|
(p)
|
paragraful al doilea care urmează titlului secțiunii „additionalServiceInformation Extension (dispoziția 5.8.2)” se înlocuiește cu următorul text:
„Dereferirea URI AR TREBUI să aibă drept rezultat informații lizibile pentru om (cel puțin în EN și eventual în una sau mai multe limbi naționale) care să fie considerate adecvate și suficiente pentru ca un beneficiar să înțeleagă extensia și, în special, care să explice sensul URI-urilor respective, specificând valorile posibile pentru serviceInformation și sensul fiecărei valori.”;
|
|
(q)
|
secțiunea intitulată „Qualifications Extension (dispoziția L.3.1)” se înlocuiește cu următorul text:
„Qualifications Extension (dispoziția L.3.1)
Descriere: Acest câmp este OPȚIONAL dar ESTE prezent atunci când utilizarea sa este OBLIGATORIE, de exemplu, pentru servicii RootCA/QC sau CA/QC, și atunci când:
informațiile prevăzute în «Service digital identity» nu sunt suficiente pentru a identifica fără echivoc certificatele calificate emise de acest serviciu;
informațiile prezente în certificatele calificate aferente nu permit identificarea care poate fi procesată de calculator a datelor privind existența sau inexistența unui SSCD la baza QC.
Atunci când este utilizată, această extensie a nivelului serviciului TREBUIE să fie utilizată doar în câmpul definit în «Service information extension» (dispoziția 5.5.9) și ESTE conformă cu specificațiile prevăzute în anexa L.3.1 la ETSI TS 102 231.”;
|
|
(r)
|
după secțiunea Qualifications Extension (dispoziția L.3.1), se inserează secțiunea TakenOverBy Extension (dispoziția L 3.2), după cum urmează:
„TakenOverBy Extension (dispoziția L.3.2)
Descriere: Această extensie este OPȚIONALĂ dar ESTE prezentă atunci când un serviciu care anterior se afla sub responsabilitatea legală a unui CSP este preluat de un alt TSP și este destinat specificării oficiale a responsabilității legale privind un serviciu și facilitării afișării de către software-ul de verificare a unui detaliu juridic utilizatorului. Informațiile furnizate în această extensie SUNT conforme cu utilizarea aferentă a dispoziției 5.5.6 și SUNT conforme cu specificațiile din anexa L.3.2 la ETSI TS 102 231.”
|
|
|
2.
|
Capitolul II se înlocuiește cu următorul text:
„Capitolul II
În momentul creării listelor sigure, statele membre vor utiliza:
|
|
codurile lingvistice cu litere minuscule și codurile naționale cu litere majuscule;
|
|
|
codurile lingvistice și codurile naționale în conformitate cu tabelul prevăzut mai jos.
|
Atunci când este prezent alfabetul latin (cu codul său lingvistic propriu) se adaugă o transliterație în alfabetul latin cu codurile lingvistice aferente specificate în tabelul de mai jos.
|
Nume scurt
(limba sursă)
|
Nume scurt
(limba engleză)
|
Cod de țară
|
Cod lingvistic
|
Note
|
Transliterație în alfabetul latin
|
|
Belgique/België
|
Belgium
|
BE
|
nl, fr, de
|
|
|
|
България (5)
|
Bulgaria
|
BG
|
bg
|
|
bg-Latn
|
|
Česká republika
|
Czech Republic
|
CZ
|
cs
|
|
|
|
Danmark
|
Denmark
|
DK
|
da
|
|
|
|
Deutschland
|
Germany
|
DE
|
de
|
|
|
|
Eesti
|
Estonia
|
EE
|
et
|
|
|
|
Éire/Ireland
|
Ireland
|
IE
|
ga, en
|
|
|
|
Ελλάδα (5)
|
Greece
|
EL
|
el
|
Cod de țară recomandat de UE
|
el-Latn
|
|
España
|
Spain
|
ES
|
es
|
inclusiv catalană (ca), bască (eu), galiciană (gl)
|
|
|
France
|
France
|
FR
|
fr
|
|
|
|
Italia
|
Italy
|
IT
|
it
|
|
|
|
Κύπρος/Kıbrıs (5)
|
Cyprus
|
CY
|
el, tr
|
|
el-Latn
|
|
Latvija
|
Latvia
|
LV
|
lv
|
|
|
|
Lietuva
|
Lithuania
|
LT
|
lt
|
|
|
|
Luxembourg
|
Luxembourg
|
LU
|
fr, de, lb
|
|
|
|
Magyarország
|
Hungary
|
HU
|
hu
|
|
|
|
Malta
|
Malta
|
MT
|
mt, en
|
|
|
|
Nederland
|
Netherlands
|
NL
|
nl
|
|
|
|
Österreich
|
Austria
|
AT
|
de
|
|
|
|
Polska
|
Poland
|
PL
|
pl
|
|
|
|
Portugal
|
Portugal
|
PT
|
pt
|
|
|
|
România
|
Romania
|
RO
|
ro
|
|
|
|
Slovenija
|
Slovenia
|
SI
|
sl
|
|
|
|
Slovensko
|
Slovakia
|
SK
|
sk
|
|
|
|
Suomi/Finland
|
Finland
|
FI
|
fi, sv
|
|
|
|
Sverige
|
Sweden
|
SE
|
sv
|
|
|
|
United Kingdom
|
United Kingdom
|
UK
|
en
|
Cod de țară recomandat de UE
|
|
|
Ísland
|
Iceland
|
IS
|
is
|
|
|
|
Liechtenstein
|
Liechtenstein
|
LI
|
de
|
|
|
|
Norge/Noreg
|
Norway
|
NO
|
no, nb, nn
|
|
|
|
|
3.
|
Capitolul III se elimină.
|
|
4.
|
În capitolul IV, se inserează următoarea liniuță după teza introductivă „Conținutul formei HR bazată pe PDF/A a implementării TSL a listei sigure AR TREBUI să respecte următoarele cerințe:”
|
„—
|
titlul formei lizibile pentru om a listelor sigure este elaborat sub forma unei concatenații a următoarelor elemente:
|
—
|
opțional, imaginea drapelului național al statului membru;
|
|
—
|
numele scurt al țării în limba (limbile) sursă (astfel cum se prevede în prima coloană a tabelului din capitolul II);
|
|
—
|
numele scurt al țării în limba engleză (astfel cum se prevede în a doua coloană a tabelului din capitolul II) între paranteze;
|
|
—
|
«):» ca închidere de paranteză și separator;
|
|
—
|
opțional, logoul operatorului de program din statul membru.”
|
|
|
(1) În cazul în care implementarea TSL lizibilă pentru om a listei sigure nu este semnată, autenticitatea și integritatea acesteia TREBUIE să fie garantate printr-un canal de comunicare adecvat, cu un nivel echivalent de securitate. Utilizarea TLS (IETF RFC 5246: «The Transport Layer Security (TLS) Protocol Version 1.2») este recomandată în acest scop, iar amprenta certificatului canalului TLS TREBUIE să fie pusă la dispoziția utilizatorilor în afara benzii de către statele membre.
(2) ETSI TS 102 778-3 – Electronic Signatures and Infrastructures (ESI): PDF Advanced Electronic Signature Profiles; Part 3: PAdES Enhanced – PAdES-BES and PAdES-EPES Profiles.
(3) ETSI TS 102 778-2 – Electronic Signatures and Infrastructures (ESI): PDF Advanced Electronic Signature Profiles; Part 2: PAdES Basic – Profile based on ISO 32000-1.
(4) Este obligatoriu să se protejeze operatorul de program care semnează certificatele folosind semnătura în unul dintre modurile prevăzute de ETSI TS 101 903, iar ds:keyInfo ar trebui să conțină lanțul aferent certificatului, dacă este cazul.”;
(5) Transliterație în alfabetul latin: България = Bulgaria; Ελλάδα = Elláda; Κύπρος = Kýpros.”