13/Volumul 28

Jurnalul Ofícial al Uniunii Europene

120

31999L0093

L 013/12

JURNALUL OFÍCIAL AL UNIUNII EUROPENE

DIRECTIVA 1999/93/CE A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI

din 13 decembrie 1999

privind un cadru comunitar pentru semnăturile electronice

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul de instituire a Comunității Europene, în special articolul 47 alineatul (2) și articolele 55 și 95,

având în vedere propunerea Comisiei (1),

având în vedere avizul Comitetului Economic și Social (2),

având în vedere avizul Comitetului Regiunilor (3),

hotărând în conformitate cu procedura prevăzută la articolul 251 din tratat (4),

întrucât:

(1)	La 16 aprilie 1997, Comisia a prezentat Parlamentului European, Consiliului, Comitetului Economic și Social și Comitetului Regiunilor o comunicare privind o inițiativă europeană în domeniul comerțului electronic.

(2)	La 8 octombrie 1997, Comisia a prezentat Parlamentului European, Consiliului, Comitetului Economic și Social și Comitetului Regiunilor o comunicare privind asigurarea securității și a încrederii în comunicarea electronică – având în vedere un cadru european pentru semnături digitale și codare.

(3)	La 1 decembrie 1997, Consiliul a invitat Comisia să prezinte, cât de repede cu putință, o propunere de directivă a Parlamentului European și a Consiliului privind semnăturile digitale.

(4)

Comunicarea și comerțul electronic necesită „semnături electronice” și servicii aferente care să permită autentificarea datelor; normele divergente în ceea ce privește recunoașterea semnăturilor electronice și acreditarea prestatorilor de servicii de certificare în statele membre pot constitui un obstacol considerabil în calea utilizării comunicațiilor electronice și a comerțului electronic; pe de altă parte, stabilirea unui cadru comunitar clar privind condițiile aplicabile semnăturilor electronice ar contribui la sporirea încrederii în noile tehnologii și la acceptarea generală a acestora; legislațiile statelor membre nu trebuie să împiedice libera circulație a mărfurilor și a serviciilor pe piața internă.

(5)

Trebuie promovată interoperabilitatea produselor de semnătură electronică; în conformitate cu articolul 14 din tratat, piața internă cuprinde o zonă fără frontiere interne, în care libera circulație a mărfurilor este asigurată; trebuie respectate cerințe esențiale speciale privind produsele de semnătură electronică în vederea asigurării liberei circulații pe piața internă și a sporirii încrederii în semnăturile electronice, fără să se aducă atingere Regulamentului (CE) nr. 3381/94 al Consiliului din 19 decembrie 1994 de stabilire a unui regim comunitar de control al exportului de bunuri cu dublă utilizare (5) sau Deciziei 94/942/PESC a Consiliului din 19 decembrie 1994 privind acțiunea comună adoptată de Consiliu cu privire la controlul exportului de bunuri cu dublă utilizare (6).

(6)	Prezenta directivă nu armonizează furnizarea de servicii în ceea ce privește caracterul confidențial al informațiilor în cazul în care fac obiectul unor dispoziții de drept intern privind ordinea publică sau siguranța publică.

(7)

Piața internă asigură libera circulație a persoanelor, drept pentru care cetățenii și rezidenții Uniunii Europene intră din ce în ce mai des în contact cu autoritățile din alte state membre decât cel în care își au reședința; disponibilitatea comunicațiilor electronice poate reprezenta un mare ajutor în acest sens.

(8)	Rapiditatea progresului tehnologic și caracterul global al Internetului impun o abordare deschisă a tuturor tehnologiilor și serviciilor care permit autentificarea datelor pe cale electronică.

(9)

Semnăturile electronice sunt folosite într-un număr variat de circumstanțe și aplicații, fapt ce conduce la apariția unei noi serii de servicii și produse legate de sau utilizate pentru semnăturile electronice; definirea respectivelor produse și servicii nu trebuie să se limiteze la eliberarea și gestionarea certificatelor, ci să cuprindă totodată alte servicii și produse care utilizează semnături electronice sau care sunt aferente acestora, precum serviciile de înregistrare, serviciile de imprimare a datei și a orei, serviciile de repertorizare, serviciile informatice sau serviciile de consultanță referitoare la semnăturile electronice.

(10)

Piața internă permite prestatorilor de servicii de certificare să își dezvolte activitățile internaționale în vederea sporirii caracterului lor competitiv, oferind astfel consumatorilor și întreprinderilor noi posibilități de a face schimb de informații și de a desfășura schimburi comerciale pe cale electronică, indiferent de frontiere; pentru a stimula furnizarea la nivel comunitar de servicii de certificare pe rețele deschise, prestatorii de servicii de certificare trebuie să aibă libertatea de a-și oferi serviciile fără o autorizație prealabilă; prin autorizație prealabilă se înțelege nu numai orice autorizație pe care prestatorul de servicii de certificare trebuie să o obțină printr-o decizie a autorităților competente înainte să poată presta serviciile de certificare, ci și orice alte măsuri cu același efect.

(11)

Programele voluntare de acreditare care urmăresc atingerea unui nivel mai bun de furnizare a serviciilor pot constitui, pentru prestatorii de servicii de certificare, cadrul propice de perfecționare a serviciilor în vederea atingerii nivelului de încredere, siguranță și calitate impuse de evoluția pieței; astfel de programe trebuie să încurajeze dezvoltarea celor mai bune practici între prestatorii de servicii de certificare; prestatorii de servicii de certificare trebuie să aibă libertatea de a se alătura la și de a beneficia de respectivele programe de acreditare.

(12)

Serviciile de certificare trebuie să poată fi furnizate fie de o entitate publică, fie de o persoană fizică sau juridică, cu condiția să fi fost constituite în conformitate cu legislația internă; întrucât statele membre nu trebuie să interzică prestatorilor de servicii de certificare să funcționeze în afara programelor voluntare de acreditare; trebuie ca respectivele programe de acreditare să nu reducă concurența în domeniul serviciilor de certificare.

(13)

Statele membre pot decide cu privire la modul în care să asigure supravegherea respectării dispozițiilor prezentei directive; prezenta directivă nu împiedică punerea în aplicare a sistemelor de supraveghere bazate pe sectorul privat; prezenta directivă nu obligă prestatorii de servicii de certificare să solicite supravegherea în cadrul oricărui program de acreditare aplicabil.

(14)	Este important să se găsească un echilibru între nevoile consumatorilor și cele ale întreprinderilor.

(15)

Anexa III are ca obiect cerințele referitoare la dispozitivele securizate de creare a semnăturilor în vederea asigurării funcționalității semnăturilor electronice avansate; anexa III nu reglementează întregul mediu de utilizare a respectivelor dispozitive; pentru buna funcționare a pieței interne, Comisia și statele membre trebuie să acționeze rapid pentru a permite desemnarea organismelor responsabile cu evaluarea conformității dispozitivelor securizate de creare a semnăturilor electronice cu anexa III; pentru a răspunde nevoilor pieței interne, evaluarea conformității trebuie să fie promptă și eficientă.

(16)

Prezenta directivă contribuie la utilizarea și recunoașterea legală a semnăturilor electronice în cadrul Comunității; nu este nevoie de un cadru de reglementare pentru semnăturile electronice utilizate exclusiv în cadrul sistemelor, care se bazează pe acorduri voluntare de drept privat între un anumit număr de participanți; libertatea părților de a conveni asupra modalităților și a condițiilor în care acceptă date semnate electronic trebuie respectată în limitele permise de dreptul intern; trebuie recunoscută eficiența juridică a semnăturilor electronice utilizate în cadrul unor astfel de sisteme și acceptarea lor ca probe în justiție.

(17)

Prezenta directivă nu urmărește să armonizeze normele interne privind dreptul contractual, în special încheierea și executarea contractelor, sau alte formalități cu caracter necontractual privind semnăturile; din acest motiv, dispozițiile privind efectele juridice ale semnăturilor electronice nu trebuie să aducă atingere cerințelor referitoare la formă prevăzute în dreptul intern privind încheierea contractelor, nici normelor care determină locul în care se încheie un contract.

(18)	Stocarea și copierea datelor de creare a unei semnături riscă să compromită valabilitatea juridică a semnăturilor electronice.

(19)

Semnăturile electronice sunt utilizate în sectorul public, în cadrul administrațiilor naționale și comunitare și în comunicările dintre respectivele administrații, precum și cu cetățenii și agenții economici, de exemplu, în cadrul sistemelor de contracte de achiziții publice, fiscalitate, asigurări sociale, sănătate și justiție.

(20)

Criteriile armonizate cu privire la efectele juridice ale semnăturilor electronice mențin un cadru legal coerent în întreaga Comunitate; legislațiile interne prevăd cerințe diferite privind valabilitatea juridică a semnăturilor de mână; întrucât certificatele pot fi utilizate pentru a confirma identitatea unei persoane care semnează electronic; semnăturile electronice avansate bazate pe certificate calificate sunt destinate să asigure un nivel mai înalt de siguranță; semnăturile electronice avansate care se bazează pe un certificat calificat și sunt create printr-un dispozitiv securizat de creare de semnături pot fi considerate echivalente din punt de vedere legal cu semnăturile de mână numai în cazul în care sunt îndeplinite cerințele corespunzătoare semnăturilor de mână.

(21)

Pentru a contribui la acceptarea generală a metodelor de autentificare electronică, semnăturile electronice trebuie să poată fi utilizate ca probe în justiție în toate statele membre; recunoașterea legală a semnăturilor electronice trebuie să aibă la bază criterii obiective și să fie independentă de autorizarea prestatorului de servicii de certificare în cauză; dreptul intern reglementează domeniile legale în care pot fi utilizate documente electronice și semnături electronice; prezenta directivă nu aduce atingere competenței unei instanțe naționale de a hotărî cu privire la conformitatea cu cerințele prezentei directive, nici normelor de drept intern privind libera apreciere juridică a probelor.

(22)	Prestatorii de servicii de certificare care prestează servicii de certificare pentru public fac obiectul normelor de drept intern privind răspunderea profesională.

(23)

Dezvoltarea comerțului electronic internațional impune încheierea unor acorduri internaționale care implică țări terțe; în vederea garantării unei interoperabilități la nivel global, poate fi avantajoasă încheierea cu țările terțe a unor acorduri privind norme multilaterale în domeniul recunoașterii reciproce a serviciilor de certificare.

(24)	Pentru a spori încrederea utilizatorilor în comerțul și comunicațiile electronice, prestatorii de servicii de certificare trebuie să respecte legislația privind protecția datelor și dreptul la viața privată.

(25)	Dispozițiile privind utilizarea pseudonimelor în certificate nu trebuie să împiedice statele membre să solicite identificarea persoanelor în conformitate cu legislația comunitară sau internă.

(26)	Măsurile necesare punerii în aplicare a prezentei directive se adoptă în conformitate cu Decizia 1999/468/CE a Consiliului din 28 iunie 1999 de stabilire a modalităților de exercitare a competențelor de punere în aplicare conferite Comisiei (7).

(27)

La doi ani de la data punerii sale în aplicare, Comisia procedează la o revizuire a prezentei directive pentru a se asigura, inter alia, că evoluția tehnologiei sau modificările contextului juridic nu au creat obstacole în calea realizării obiectivelor prevăzute de prezenta directivă; Comisia trebuie să analizeze implicațiile domeniilor tehnice conexe și să prezinte Parlamentului European și Consiliului un raport în acest sens.

(28)

În conformitate cu principiile subsidiarității și proporționalității prevăzute la articolul 5 din tratat, obiectivul instituirii unui cadru legal armonizat pentru furnizarea de semnături electronice și a serviciilor conexe nu poate fi realizat suficient de statele membre și, prin urmare, poate fi mai bine îndeplinit de Comunitate; prezenta directivă se limitează la ceea ce este necesar pentru a îndeplini obiectivul în cauză,

ADOPTĂ PREZENTA DIRECTIVĂ:

Articolul 1

Domeniul de aplicare

Obiectivul prezentei directive este să faciliteze utilizarea semnăturilor electronice și să contribuie la recunoașterea lor legală. Prezenta directivă stabilește un cadru legal pentru semnăturile electronice și pentru anumite servicii de certificare pentru a asigura buna funcționare a pieței interne.

Prezenta directivă nu are ca obiect aspecte privind încheierea și valabilitatea contractelor sau a altor obligații legale, în cazul în care legislația internă sau comunitară prevede cerințe privind forma, și nici nu aduce atingere normelor și limitelor prevăzute de legislația internă sau comunitară referitoare la utilizarea documentelor.

Articolul 2

Definiții

În sensul prezentei directive:

1.	„semnătură electronică” înseamnă date în formă electronică, atașate la sau logic asociate cu alte date în formă electronică și care sunt utilizate ca metodă de autentificare;

„semnătură electronică avansată” înseamnă o semnătură electronică ce îndeplinește următoarele cerințe:

(a)	face trimitere exclusiv la semnatar;

(b)	permite identificarea semnatarului;

(c)	a fost creată prin mijloace pe care semnatarul le poate păstra exclusiv sub controlul său și

(d)	este legată de datele la care se raportează astfel încât orice modificare ulterioară a datelor poate fi detectată;

3.	„semnatar” înseamnă o persoană care deține un dispozitiv de creare a semnăturii și care acționează fie în nume propriu, fie în numele persoanei fizice, al persoanei juridice sau al entității pe care le reprezintă;

4.	„date de creare a semnăturii” înseamnă date unice, precum codurile sau cheile criptografice private, care sunt utilizate de semnatar pentru a crea o semnătură electronică;

5.	„dispozitiv de creare a semnăturii” înseamnă unități de software sau hardware configurate, utilizate pentru punerea în aplicare a datelor de creare a semnăturii;

6.	„dispozitiv securizat de creare a semnăturii” înseamnă un dispozitiv de creare a semnăturii care îndeplinește cerințele prevăzute la anexa III;

7.	„date de verificare a semnăturii” înseamnă date, precum codurile sau cheile criptografice publice, care sunt utilizate în scopul verificării unei semnături electronice;

8.	„dispozitive de verificare a semnăturii” înseamnă unități de software sau hardware configurate, utilizate la aplicarea datelor de verificare a semnăturilor;

9.	„certificat” înseamnă o atestare electronică ce raportează datele de verificare a semnăturilor la o persoană și confirmă identitatea respectivei persoane;

10.	„certificat calificat” înseamnă un certificat care îndeplinește cerințele prevăzute la anexa I și este eliberat de un prestator de servicii de certificare care îndeplinește cerințele prevăzute la anexa II;

11.	„prestator de servicii de certificare” înseamnă orice entitate sau persoană fizică sau juridică ce eliberează certificate sau prestează alte servicii referitoare la semnăturile electronice;

12.

„produs asociat semnăturii electronice” înseamnă unități de hardware sau software sau componente specifice ale acestora, destinate să fie utilizate de un prestator de servicii de certificare în vederea prestării de servicii de certificare a semnăturilor sau destinate să fie utilizate în scopul creării sau al verificării semnăturilor electronice;

13.

„acreditare voluntară” înseamnă orice autorizație care prevede drepturi și obligații specifice prestării de servicii de certificare, acordată, la cererea prestatorului de servicii de certificare în cauză, de către organismul public sau privat responsabil cu elaborarea respectivelor drepturi și obligații și de supravegherea respectării acestora, în cazul în care prestatorul de servicii de certificare nu are dreptul să exercite drepturile care decurg din autorizație până nu a primit decizia respectivului organism.

Articolul 3

Accesul la piață

(1) Statele membre nu condiționează prestarea de servicii de certificare de nici o autorizație prealabilă.

(2) Fără să aducă atingere dispozițiilor alineatului (1), statele membre pot introduce sau menține sisteme de acreditare voluntară destinate să amelioreze nivelul serviciilor de certificare prestate. Toate condițiile referitoare la respectivele sisteme trebuie să fie obiective, transparente, proporționale și nediscriminatorii. Statele membre nu pot limita numărul de prestatori acreditați de servicii de certificare din motive care se încadrează în domeniul de aplicare a prezentei decizii.

(3) Fiecare stat membru asigură introducerea unui sistem adecvat care să permită supravegherea prestatorilor de servicii de certificare stabiliți pe teritoriul său și eliberează certificate calificate pentru public.

(4) Conformitatea dispozitivelor securizate de creare de semnături cu cerințele prevăzute la anexa III este determinată de organisme competente, publice sau private, desemnate de statele membre. În conformitate cu procedura prevăzută la articolul 9, Comisia stabilește criteriile la care statele membre trebuie să se raporteze pentru a stabili dacă un organism poate fi desemnat.

Conformitatea cu cerințele prevăzute în anexa III stabilită de organismele menționate în primul paragraf este recunoscută de toate statele membre.

(5) În conformitate cu procedura prevăzută la articolul 9, Comisia poate atribui și publica în Jurnalul Oficial al Comunităților Europene numerele de referință ale standardelor general recunoscute pentru produsele de semnătură electronică. Statele membre consideră că un produs de semnătură electronică îndeplinește cerințele prevăzute la anexa II litera (f) și la anexa III în cazul în care îndeplinește respectivele standarde.

(6) Statele membre și Comisia colaborează în vederea promovării dezvoltării și a utilizării dispozitivelor de verificare a semnăturilor, pe baza recomandărilor formulate, pentru verificările securizate ale semnăturilor, la anexa IV și în interesul consumatorului.

(7) Statele membre și Comisia pot condiționa utilizarea semnăturilor electronice în sectorul privat de eventuale cerințe suplimentare. Respectivele cerințe trebuie să fie obiective, transparente, proporționale, nediscriminatorii și trebuie să se aplice exclusiv caracteristicilor specifice ale utilizării în cauză. Cerințele nu trebuie să constituie un obstacol în calea serviciilor transfrontaliere pentru cetățeni.

Articolul 4

Principii ale pieței interne

(1) Fiecare stat membru aplică dispozițiile de drept intern pe care le adoptă în conformitate cu prezenta directivă prestatorilor de servicii de certificare stabiliți pe teritoriul său și serviciilor pe care le prestează. Statele membre nu pot impune restricții prestărilor de servicii de certificare originare din alt stat membru în domeniile reglementate de prezenta directivă.

(2) Statele membre se asigură că produsele de semnături electronice care sunt în conformitate cu prezenta directivă pot circula liber pe piața internă.

Articolul 5

Efectele juridice ale semnăturilor electronice

(1) Statele membre se asigură că semnăturile electronice avansate care se bazează pe un certificat calificat și sunt create printr-un dispozitiv securizat de creare de semnături:

(a)	îndeplinesc cerințele legale ale unei semnături în ceea ce privește datele în format electronic în aceeași măsură în care o semnătură de mână îndeplinește cerințele în ceea ce privește datele scrise sau tipărite pe hârtie și

(b)	sunt acceptabile ca probe în justiție.

(2) Statele membre se asigură că unei semnături electronice nu i se refuză eficiența juridică și posibilitatea de a fi acceptată ca probă în justiție din simplul motiv că:

—	se prezintă în format electronic sau

—	nu se bazează pe un certificat calificat sau

—	nu se bazează pe un certificat calificat eliberat de un prestator acreditat de servicii de acreditare sau

—	nu este creată printr-un dispozitiv securizat de creare de semnături.

Articolul 6

Răspunderea

(1) Statele membre se asigură cel puțin că un prestator de servicii de certificare care eliberează pentru public un certificat prezentat ca certificat calificat sau care garantează publicului un astfel de certificat este responsabil pentru prejudiciile aduse oricărei entități sau persoane fizice sau juridice care are încredere în mod rezonabil în respectivul certificat în ceea ce privește:

(a)	exactitatea tuturor informațiilor cuprinse în certificatul calificat la data eliberării și prezența, în respectivul certificat, a tuturor detaliilor prevăzute pentru un certificat calificat;

(b)	garanția că, în momentul eliberării certificatului, semnatarul identificat în respectivul certificat calificat deținea datele de creare a semnăturii corespunzătoare datelor de verificare a semnăturii furnizate sau identificate în certificat;

(c)	garanția că datele de creare a semnăturii și datele de verificare a semnăturii pot fi utilizate în mod complementar, în cazul în care prestatorul de servicii de certificare generează aceste două tipuri de date,

cu excepția cazului în care prestatorul de servicii de certificare dovedește că nu a acționat cu neglijență.

(2) Statele membre se asigură cel puțin că un prestator de servicii de certificare care eliberează pentru public un certificat prezentat ca certificat calificat este responsabil de prejudiciile aduse oricărei entități sau persoane fizice sau juridice care au încredere în mod rezonabil în respectivul certificat prin faptul că a omis să înregistreze revocarea certificatului, cu excepția cazului în care prestatorul de servicii de certificare dovedește că nu a comis o neglijență.

(3) Statele membre se asigură că un prestator de servicii de certificare poate indica, într-un certificat calificat, limitele stabilite pentru utilizarea acestuia, cu condiția ca respectivele limite să poată fi recunoscute de părțile terțe. Prestatorul de servicii de certificare nu este considerat responsabil pentru prejudiciile care rezultă din utilizarea abuzivă a unui certificat calificat ce depășește limitele stabilite pentru utilizarea sa.

(4) Statele membre se asigură că un prestator de servicii de certificare poate să indice, în certificatul calificat, limitele privind valoarea tranzacțiilor pentru care poate fi utilizat certificatul, cu condiția ca respectivele limite să poată fi recunoscute de părțile terțe.

Prestatorul de servicii de certificare nu este considerat responsabil pentru prejudiciile care rezultă în urma depășirii respectivei limite maxime.

(5) Dispozițiile alineatelor (1)-(4) se aplică fără a aduce atingere Directivei 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii (8).

Articolul 7

Aspecte internaționale

(1) Statele membre se asigură că certificatele pe care un prestator de servicii de certificare stabilit într-o țară terță le eliberează pentru public ca certificate calificate sunt recunoscute ca fiind echivalente din punct de vedere legal cu certificatele eliberate de prestatorii de servicii de certificare stabiliți în Comunitate în cazul în care:

(a)	prestatorul de servicii de certificare îndeplinește cerințele prevăzute de prezenta directivă și a fost acreditat în cadrul unui sistem voluntar de acreditare inițiat într-un stat membru sau

(b)	un prestator de servicii de certificare stabilit în Comunitate care îndeplinește cerințele prevăzute de prezenta directivă garantează certificatul sau

(c)	certificatul sau prestatorul de servicii de certificare este recunoscut în temeiul unui acord bilateral sau multilateral între Comunitate și țări terțe sau organizații internaționale.

(2) Pentru a facilita serviciile internaționale de certificare cu țări terțe și recunoașterea legală a semnăturilor electronice originare din țări terțe, atunci când este cazul, Comisia prezintă propuneri în vederea punerii eficiente în aplicare a standardelor și a acordurilor internaționale aplicabile serviciilor de certificare. În special și în cazul în care se dovedește a fi necesar, Comisia prezintă Consiliului propuneri privind mandatele corespunzătoare pentru negocierea acordurilor bilaterale și multilaterale cu țările terțe și organizațiile internaționale. Consiliul hotărăște cu majoritate calificată.

(3) În cazul în care este informată cu privire la existența unor eventuale dificultăți întâmpinate de întreprinderile comunitare în ceea ce privește accesul la piețele țărilor terțe, Comisia poate prezenta Consiliului propuneri, în cazul în care este necesar, în vederea obținerii mandatelor necesare de negociere a drepturilor comparabile pentru întreprinderile comunitare în respectivele țări terțe. Consiliul hotărăște cu majoritate calificată.

Măsurile luate în conformitate cu prezentul alineat nu aduc atingere obligațiilor Comunității și statelor membre care decurg din acordurile internaționale aplicabile.

Articolul 8

Protecția datelor

(1) Statele membre se asigură că prestatorii de servicii de certificare și organismele internaționale responsabile cu acreditarea sau supravegherea îndeplinesc cerințele prevăzute de Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (9).

(2) Statele membre se asigură că un prestator de servicii de certificare care eliberează certificate pentru public poate colecta date personale exclusiv de la persoana în cauză sau cu consimțământul explicit al persoanei în cauză și numai în cazul în care acest lucru este necesar în scopul eliberării și al menținerii certificatului. Datele nu pot fi colectate sau prelucrate în alte scopuri fără consimțământul explicit al persoanei interesate.

(3) Fără să aducă atingere efectelor juridice pe care le au pseudonimele în temeiul legislației interne, statele membre nu pot împiedica prestatorul de servicii de certificare să indice în certificat un pseudonim în loc de numele semnatarului.

Articolul 9

Comitetul

(1) Comisia este sprijinită de un Comitet pentru semnături electronice, denumit în continuare „comitet”.

(2) În cazul în care se face trimitere la prezentul alineat, se aplică articolele 4 și 7 din Decizia 1999/468/CE, ținând seama de dispozițiile prevăzute la articolul 8 din aceeași directivă.

Perioada prevăzută la articolul 4 alineatul (3) din Decizia 1999/468/CE se stabilește la trei luni.

(3) Comitetul își stabilește regulamentul de procedură.

Articolul 10

Sarcinile comitetului

Comitetul clarifică cerințele prevăzute în anexele la prezenta directivă, criteriile prevăzute la articolul 3 alineatul (4) și standardele general recunoscute pentru produsele de semnătură electronică stabilite și publicate în temeiul articolului 3 alineatul (5), în conformitate cu procedura prevăzută la articolul 9 alineatul (2).

Articolul 11

Notificarea

(1) Statele membre notifică Comisiei și celorlalte state membre următoarele:

(a)	informațiile privind sistemele voluntare de acreditare la nivel național, inclusiv toate cerințele suplimentare în conformitate cu articolul 3 alineatul (7);

(b)	denumirile și adresele organismelor naționale responsabile cu acreditarea și supravegherea, precum și ale organismelor menționate la articolul 3 alineatul (4);

(c)	numele și adresele tuturor prestatorilor de servicii de certificare acreditați.

(2) Statele membre notifică orice informație furnizată în conformitate cu alineatul (1) și modificările cu privire la respectiva informație cât de repede cu putință.

Articolul 12

Revizuirea

(1) Comisia revizuiește punerea în aplicare a prezentei decizii și prezintă Parlamentului European și Consiliului un raport în acest sens până la 19 iulie 2003.

(2) Revizuirea analizează, inter alia, dacă trebuie modificat domeniul de aplicare a prezentei directive, pentru a ține seama de evoluția tehnologiilor, a pieței și a contextului legal. Raportul trebuie să cuprindă în special o evaluare, realizată pe baza experienței acumulate, a aspectelor referitoare la armonizare. Raportul este însoțit, atunci când este cazul, de propuneri legislative.

Articolul 13

Punerea în aplicare

(1) Statele membre pun în aplicare actele cu putere de lege și actele administrative necesare pentru a se conforma prezentei directive până la 19 iulie 2001. Statele membre informează de îndată Comisia cu privire la aceasta.

Atunci când statele membre adoptă aceste măsuri, ele cuprind o trimitere la prezenta directivă sau sunt însoțite de o asemenea trimitere la data publicării lor oficiale. Statele membre stabilesc modalitatea de efectuare a acestei trimiteri.

(2) Comisiei îi sunt comunicate de către statele membre textele principalelor dispoziții de drept intern pe care le adoptă în domeniul reglementat de prezenta directivă.

Articolul 14

Intrarea în vigoare

Prezenta directivă intră în vigoare la data publicării sale în Jurnalul Oficial al Comunităților Europene.

Articolul 15

Destinatari

Prezenta directivă se adresează statelor membre.

Adoptată la Bruxelles, 13 decembrie 1999.

Pentru Parlamentul European

Președintele

N. FONTAINE

Pentru Consiliu

Președintele

S. HASSI

(1) JO C 325, 23.10.1998, p. 5.

(2) JO C 40, 15.2.1999, p. 29.

(3) JO C 93, 6.4.1999, p. 33.

(4) Avizul Parlamentului European din 13 ianuarie 1999 (JO C 104, 14.4.1999, p. 49), Poziția comună a Consiliului din 28 iunie 1999 (JO C 243, 27.8.1999, p. 33) și Decizia Parlamentului European din 27 octombrie 1999 (nepublicată încă în Jurnalul Oficial). Decizia Consiliului din 30 noiembrie 1999.

(5) JO L 367, 31.12.1994, p. 1, regulament astfel cum a fost modificat prin Regulamentul (CE) nr. 837/95 (JO L 90, 21.4.1995, p. 1).

(6) JO L 367, 31.12.1994, p. 8, decizie astfel cum a fost modificată ultima dată prin Decizia 1999/193/PESC (JO L 73, 19.3.1999, p. 1).

(7) JO L 184, 17.7.1999, p. 23.

(8) JO L 95, 21.4.1993, p. 29.

(9) JO L 281, 23.11.1995, p. 31.

ANEXA I

Cerințe privind certificatele calificate

Certificatele calificate trebuie să cuprindă:

(a)	o mențiune care să indice că certificatul este eliberat ca certificat calificat;

(b)	identificarea prestatorului de servicii de certificare, precum și a țării în care este stabilit;

(c)	numele semnatarului sau un pseudonim identificat ca atare;

(d)	posibilitatea includerii, atunci când este cazul, a unei calități speciale a semnatarului, în funcție de utilizarea pe care urmează să o aibă certificatul;

(e)	datele de verificare a semnăturii care corespund datelor de creare a semnăturii sub controlul semnatarului;

(f)	indicarea începutului și a sfârșitului perioadei de valabilitate a certificatului;

(g)	codul de identitate al certificatului;

(h)	semnătura electronică avansată a prestatorului de servicii de certificare care eliberează certificatul;

(i)	limitele sferei de utilizare a certificatului, după caz;

(j)	limitele valorii tranzacțiilor pentru care poate fi utilizat certificatul, atunci când este cazul.

ANEXA II

Cerințe privind prestatorii de servicii de certificare care eliberează certificate calificate

Prestatorii de servicii de certificare trebuie:

(a)	să demonstreze fiabilitatea necesară pentru a presta servicii de certificare;

(b)	să asigure funcționarea unui serviciu prompt de repertorizare și a unui serviciu imediat de revocare;

(c)	să se asigure că data și ora eliberării sau a revocării unui certificat pot fi determinate cu exactitate;

(d)	să verifice, prin mijloace corespunzătoare și în conformitate cu dreptul intern, identitatea și, atunci când este cazul, calitățile speciale ale persoanei pentru care se eliberează un certificat calificat;

(e)

să angajeze un personal care să dețină cunoștințele specifice, precum și experiența și calificările necesare pentru prestarea serviciilor, în special competențe la nivel de gestionare, expertiză în domeniul tehnologiei semnăturilor electronice și o bună practică a procedurilor de siguranță adecvate; de asemenea, trebuie să știe să aplice proceduri administrative și de gestionare care să fie adecvate și în conformitate cu standardele recunoscute;

(f)	să utilizeze sisteme și produse fiabile care sunt protejate împotriva modificărilor și să garanteze siguranța tehnică și criptografică a funcțiilor pe care și le asumă;

(g)	să ia măsuri împotriva falsificării certificatelor și, în cazul în care prestatorul de servicii de certificare generează date de creare de semnături, să garanteze confidențialitatea în decursul procesului de creare a respectivelor date;

(h)	să dețină resurse financiare suficiente pentru a funcționa în conformitate cu cerințele prevăzute de prezenta directivă, în special pentru a suporta responsabilitatea pentru eventualele daune, încheind, de exemplu, o asigurare corespunzătoare;

(i)	să înregistreze, pe o perioadă corespunzătoare de timp, toate informațiile pertinente referitoare la un certificat de calitate, în special pentru a putea furniza dovezi de certificare în justiție. Înregistrările pot fi efectuate prin mijloace electronice;

(j)	să nu stocheze sau să copieze datele de creare a semnăturii ale persoanelor pentru care prestatorul de servicii de certificare a prestat servicii de gestionare a cheilor;

(k)

înainte să stabilească o relație contractuală cu o persoană care solicită un certificat în sprijinul semnăturii sale electronice, să informeze respectiva persoană, prin mijloace de comunicare durabile, cu privire la termenii și condițiile exacte ale utilizării certificatului, inclusiv cu privire la limitele impuse utilizării sale, la existența unui sistem voluntar de acreditare și la procedurile de contestare și soluționare a litigiilor. Aceste informații, care pot fi transmise pe cale electronică, trebuie comunicate în scris și într-un limbaj ușor de înțeles. Elementele pertinente ale informațiilor trebuie puse, de asemenea, la cerere, la dispoziția părților terțe care beneficiază de certificat;

(l)

să utilizeze sisteme fiabile pentru a stoca certificatele într-o formă care poate fi verificată, astfel încât:

—	numai persoanele autorizate să poată introduce și modifica date;

—	autenticitatea informației să poată fi controlată;

—	certificatele să fie disponibile publicului pentru cercetări numai în cazul în care titularul certificatului și-a dat consimțământul în acest sens și

—	toate modificările tehnice care periclitează cerințele de siguranță să fie vizibile pentru operator.

ANEXA III

Cerințe privind dispozitivele securizate de creare a semnăturilor

Dispozitivele securizate de creare a semnăturii trebuie cel puțin să asigure, prin mijloace tehnice și proceduri corespunzătoare, că:

(a)	datele de creare a semnăturii utilizate pentru crearea semnăturii nu sunt aplicate decât o singură dată, iar confidențialitatea lor este asigurată în mod rezonabil;

(b)	datele de creare a semnăturii utilizate pentru crearea semnăturii nu pot fi deduse și că semnătura este protejată împotriva oricărei falsificări prin mijloace tehnice disponibile la acea dată;

(c)	datele de creare a semnăturii utilizate la crearea semnăturii pot fi protejate în mod fiabil de semnatarul legitim împotriva utilizării de către alte persoane.

2.	Dispozitivele securizate de creare a semnăturii nu trebuie să modifice datele care urmează să fie semnate sau să împiedice prezentarea lor semnatarului înainte de procesul de semnare.

ANEXA IV

Recomandări pentru verificarea securizată a semnăturii

În decursul procesului de verificare a semnăturii, trebuie să se garanteze, cu o siguranță suficientă, că:

(a)	datele utilizate pentru verificarea semnăturii corespund cu datele afișate verificatorului;

(b)	semnătura este verificată cu certitudine, iar rezultatul verificării este corect afișat;

(c)	verificatorul poate, în cazul în care este necesar, să determine cu certitudine conținutul datelor semnate;

(d)	autenticitatea și valabilitatea certificatului solicitat în momentul verificării semnăturii sunt verificate cu certitudine;

(e)	rezultatul verificării și identitatea semnatarului sunt corect afișate;

(f)	utilizarea unui pseudonim este clar indicată și

(g)	orice modificări care pot influența securitatea pot fi detectate.