02014R0910 — SL — 18.10.2024 — 002.003
To besedilo je zgolj informativne narave in nima pravnega učinka. Institucije Unije za njegovo vsebino ne prevzemajo nobene odgovornosti. Verodostojne različice zadevnih aktov, vključno z uvodnimi izjavami, so objavljene v Uradnem listu Evropske unije. Na voljo so na portalu EUR-Lex. Uradna besedila so neposredno dostopna prek povezav v tem dokumentu
|
UREDBA (EU) št. 910/2014 EVROPSKEGA PARLAMENTA IN SVETA z dne 23. julija 2014 (UL L 257 28.8.2014, str. 73) |
spremenjena z:
|
|
|
Uradni list |
||
|
št. |
stran |
datum |
||
|
DIREKTIVA (EU) 2022/2555 EVROPSKEGA PARLAMENTA IN SVETA z dne 14. decembra 2022 |
L 333 |
80 |
27.12.2022 |
|
|
UREDBA (EU) 2024/1183 EVROPSKEGA PARLAMENTA IN SVETA z dne 11. aprila 2024 |
L 1183 |
1 |
30.4.2024 |
|
popravljena z:
UREDBA (EU) št. 910/2014 EVROPSKEGA PARLAMENTA IN SVETA
z dne 23. julija 2014
o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES
POGLAVJE I
SPLOŠNE DOLOČBE
Člen 1
Predmet urejanja
Cilj te uredbe je zagotoviti pravilno delovanje notranjega trga in ustrezno raven varnosti sredstev elektronske identifikacije in storitev zaupanja, ki se uporabljajo po vsej Uniji, da se fizičnim in pravnim osebam omogoči in olajša uveljavljanje pravice do sodelovanja v digitalni družbi na varen način ter dostopa do spletnih javnih in zasebnih storitev po vsej Uniji. V ta namen ta uredba:
določa pogoje, pod katerimi države članice priznavajo sredstva elektronske identifikacije fizičnih in pravnih oseb, ki spadajo v priglašeno shemo elektronske identifikacije druge države članice ter zagotavljajo in priznavajo evropske denarnice digitalne identitete;
določa pravila za storitve zaupanja, zlasti za elektronske transakcije;
določa pravni okvir za elektronske podpise, elektronske žige, elektronske časovne žige, elektronske dokumente, storitve elektronske priporočene dostave, storitve v zvezi s potrdili za avtentikacijo spletišč, elektronsko arhiviranje in elektronsko potrjevanje atributov, naprave za ustvarjanje elektronskega podpisa, naprave za ustvarjanje elektronskega žiga ter elektronske evidence.
Člen 2
Področje uporabe
Člen 3
Opredelitev pojmov
V tej uredbi se uporabljajo naslednje opredelitve pojmov:
„elektronska identifikacija“ pomeni postopek uporabe identifikacijskih podatkov osebe v elektronski obliki, ki enolično predstavljajo bodisi fizično ali pravno osebo bodisi fizično osebo, ki zastopa drugo fizično osebo ali pravno osebo;
„sredstvo elektronske identifikacije“ pomeni materialno in/ali nematerialno enoto, ki vsebuje identifikacijske podatke osebe in se uporablja za avtentikacijo pri spletni storitvi ali, kadar je ustrezno, nespletni storitvi;
„identifikacijski podatki osebe“ pomeni nabor podatkov, ki je izdan v skladu s pravom Unije ali nacionalnim pravom in omogoča, da se določi identiteta fizične ali pravne osebe ali fizične osebe, ki zastopa drugo fizično osebo ali pravno osebo;
„shema elektronske identifikacije“ pomeni sistem za elektronsko identifikacijo, v okviru katerega se fizičnim ali pravnim osebam ali fizičnim osebam, ki zastopajo druge fizične osebe ali pravne osebe, izdajo sredstva elektronske identifikacije;
„avtentikacija“ pomeni elektronski postopek, ki omogoča potrditev elektronske identifikacije fizične ali pravne osebe ali potrditev izvora in celovitosti podatkov v elektronski obliki;
„uporabnik“ pomeni fizično ali pravno osebo ali fizično osebo, ki zastopa drugo fizično osebo ali pravno osebo in ki uporablja storitve zaupanja ali sredstva elektronske identifikacije, ki se zagotavljajo v skladu s to uredbo;
„zanašajoča se stranka“ pomeni fizično ali pravno osebo, ki se zanaša na elektronsko identifikacijo, evropske denarnice za digitalno identiteto ali druga sredstva elektronske identifikacije ali na storitev zaupanja;
„organ javnega sektorja“ pomeni državni, regionalni ali lokalni organ, osebo javnega prava ali združenje, ki jo/ga ustanovi eden ali več takšnih organov ali ena ali več takšnih oseb javnega prava, ali zasebni subjekt, ki ga je vsaj eden od teh organov, oseb ali združenj pooblastil za zagotavljanje javnih storitev, kadar deluje v okviru tega pooblastila;
„oseba javnega prava“, pomeni osebo, opredeljeno v točki 4 člena 2(1) Direktive 2014/24/EU Evropskega parlamenta in Sveta ( 2 );
„podpisnik“ pomeni fizično osebo, ki ustvari elektronski podpis;
„elektronski podpis“ pomeni niz podatkov v elektronski obliki, ki so dodani k drugim podatkom v elektronski obliki ali so z njimi logično povezani in jih podpisnik uporablja za podpisovanje;
„napredni elektronski podpis“ pomeni elektronski podpis, ki izpolnjuje zahteve iz člena 26;
„kvalificirani elektronski podpis“ pomeni napredni elektronski podpis, ki se ustvari z napravo za ustvarjanje kvalificiranega elektronskega podpisa in temelji na kvalificiranem potrdilu za elektronske podpise;
„podatki za ustvarjanje elektronskega podpisa“ pomeni enolične podatke, ki jih podpisnik uporablja za ustvarjanje elektronskega podpisa;
„potrdilo za elektronski podpis“ pomeni elektronsko potrdilo, ki povezuje podatke za potrjevanje veljavnosti elektronskega podpisa s fizično osebo in potrjuje vsaj ime ali psevdonim te osebe;
„kvalificirano potrdilo za elektronski podpis“ pomeni potrdilo za elektronske podpise, ki ga izda ponudnik kvalificiranih storitev zaupanja in izpolnjuje zahteve iz Priloge I;
„storitev zaupanja“ pomeni elektronsko storitev, ki se praviloma opravlja za plačilo in vključuje kar koli od naslednjega:
izdajo potrdil za elektronske podpise, potrdil za elektronske žige, potrdil za avtentikacijo spletišč ali potrdil za zagotavljanje drugih storitev zaupanja;
potrjevanje veljavnosti potrdil za elektronske podpise, potrdil za elektronske žige, potrdil za avtentikacijo spletišč ali potrdil za zagotavljanje drugih storitev zaupanja;
ustvarjanje elektronskih podpisov ali elektronskih žigov;
potrjevanje veljavnosti elektronskih podpisov ali elektronskih žigov;
hrambo elektronskih podpisov, elektronskih žigov, potrdil za elektronske podpise ali potrdil za elektronske žige;
upravljanje naprav za ustvarjanje elektronskega podpisa na daljavo ali naprav za ustvarjanje elektronskega žiga na daljavo;
izdajo elektronskih potrdil o atributih;
potrjevanje veljavnosti elektronskih potrdil o atributih;
ustvarjanje elektronskih časovnih žigov;
potrjevanje veljavnosti elektronskih časovnih žigov;
zagotavljanje storitev elektronske priporočene dostave;
potrjevanje veljavnosti podatkov, poslanih prek storitev elektronske priporočene dostave, in s tem povezanih dokazov;
elektronsko arhiviranje elektronskih podatkov in elektronskih dokumentov;
beleženje elektronskih podatkov v elektronski evidenci;
„kvalificirana storitev zaupanja“ pomeni storitev zaupanja, ki izpolnjuje zadevne zahteve iz te uredbe;
„organ za ugotavljanje skladnosti“ pomeni organ za ugotavljanje skladnosti, kakor je opredeljen v členu 2, točka 13, Uredbe (ES) št. 765/2008, ki je v skladu z navedeno uredbo akreditiran za ugotavljanje skladnosti ponudnika kvalificiranih storitev zaupanja in kvalificiranih storitev zaupanja, ki jih ta zagotavlja, ali za certificiranje evropskih denarnic za digitalno identiteto ali sredstev elektronske identifikacije;
„ponudnik storitev zaupanja“ pomeni fizično ali pravno osebo, ki zagotavlja eno ali več storitev zaupanja, kot ponudnik kvalificiranih ali nekvalificiranih storitev zaupanja;
„ponudnik kvalificiranih storitev zaupanja“ pomeni ponudnika storitev zaupanja, ki zagotavlja eno ali več kvalificiranih storitev zaupanja in mu nadzorni organ dodeli kvalificirani status;
„izdelek“ pomeni strojno ali programsko opremo ali ustrezne sestavne dele strojne ali programske opreme, katerih uporaba je namenjena zagotavljanju storitev elektronske identifikacije in storitev zaupanja;
„naprava za ustvarjanje elektronskega podpisa“ pomeni konfigurirano programsko ali strojno opremo, ki se uporablja za ustvarjanje elektronskega podpisa;
„naprava za ustvarjanje kvalificiranega elektronskega podpisa“ pomeni napravo za ustvarjanje elektronskega podpisa, ki izpolnjuje zahteve iz Priloge II;
„naprava za ustvarjanje kvalificiranega elektronskega podpisa na daljavo“ pomeni napravo za ustvarjanje kvalificiranega elektronskega podpisa, ki jo v imenu podpisnika upravlja ponudnik kvalificiranih storitev zaupanja v skladu s členom 29a;
„naprava za ustvarjanje kvalificiranega elektronskega žiga na daljavo“ pomeni napravo za ustvarjanje kvalificiranega elektronskega žiga, ki jo v imenu ustvarjalca žiga upravlja ponudnik kvalificiranih storitev zaupanja v skladu s členom 39a;
„ustvarjalec žiga“ pomeni pravno osebo, ki ustvari elektronski žig;
„elektronski žig“ pomeni niz podatkov v elektronski obliki, ki so dodani k drugim podatkom v elektronski obliki ali so z njimi logično povezani, da se zagotovita izvor in celovitost povezanih podatkov;
„napredni elektronski žig“ pomeni elektronski žig, ki izpolnjuje zahteve iz člena 36;
„kvalificirani elektronski žig“ pomeni napredni elektronski žig, ki se ustvari z napravo za ustvarjanje kvalificiranega elektronskega žiga in temelji na kvalificiranem potrdilu za elektronski žig;
„podatki za ustvarjanje elektronskega žiga“ pomenijo enolične podatke, ki jih ustvarjalec elektronskega žiga uporabi za ustvarjanje elektronskega žiga;
„potrdilo za elektronski žig“ pomeni elektronsko potrdilo, ki povezuje podatke za potrjevanje veljavnosti elektronskega žiga s pravno osebo in potrjuje ime te osebe;
„kvalificirano potrdilo za elektronski žig“ pomeni potrdilo za elektronski žig, ki ga izda ponudnik kvalificiranih storitev zaupanja in izpolnjuje zahteve iz Priloge III;
„naprava za ustvarjanje elektronskega žiga“ pomeni konfigurirano programsko ali strojno opremo, ki se uporablja za ustvarjanje elektronskega žiga;
„naprava za ustvarjanje kvalificiranega elektronskega žiga“ pomeni napravo za ustvarjanje elektronskega žiga, ki smiselno izpolnjuje zahteve iz Priloge II;
„elektronski časovni žig“ pomeni podatke v elektronski obliki, ki druge podatke v elektronski obliki povezujejo z določenim trenutkom in tako zagotavljajo dokaz, da so slednji podatki v tistem trenutku obstajali;
„kvalificirani elektronski časovni žig“ pomeni elektronski časovni žig, ki izpolnjuje zahteve iz člena 42;
„elektronski dokument“ pomeni kakršno koli vsebino, shranjeno v elektronski obliki, zlasti besedilo ali zvočni, vizualni ali avdiovizualni zapis;
„storitev elektronske priporočene dostave“ pomeni storitev, ki omogoča prenos podatkov med tretjimi stranmi z elektronskimi sredstvi, zagotavlja dokaze o ravnanju s prenesenimi podatki, vključno z dokazilom o oddaji in prejemu podatkov, ter prenesene podatke varuje pred izgubo, krajo, poškodbo ali kakršno koli nepooblaščeno spremembo;
„kvalificirana storitev elektronske priporočene dostave“ pomeni storitev elektronske priporočene dostave, ki izpolnjuje zahteve iz člena 44;
„potrdilo za avtentikacijo spletišča“ pomeni elektronsko potrdilo, ki omogoča avtentikacijo spletišča in spletišče povezuje s fizično ali pravno osebo, ki se ji izda potrdilo;
„kvalificirano potrdilo za avtentikacijo spletišč“ pomeni potrdilo za avtentikacijo spletišč, ki ga izda ponudnik kvalificiranih storitev zaupanja in izpolnjuje zahteve iz Priloge IV;
„podatki za potrjevanje veljavnosti“ pomeni podatke, ki se uporabljajo za potrjevanje veljavnosti elektronskega podpisa ali elektronskega žiga;
„potrjevanje veljavnosti“ pomeni postopek preverjanja in potrditve, da so podatki v elektronski obliki veljavni v skladu s to uredbo;
„evropska denarnica za digitalno identiteto“ pomeni sredstvo elektronske identifikacije, ki uporabniku omogoča, da varno shranjuje, upravlja in potrjuje veljavnost identifikacijskih podatkov osebe in elektronskih potrdil o atributih z namenom njihovega zagotavljanja zanašajočim se strankam in drugim uporabnikom evropskih denarnic za digitalno identiteto, ter da podpisuje s kvalificiranimi elektronskimi podpisi ali žigosa s kvalificiranimi elektronskimi žigi;
„atribut“ pomeni značilnost, naravo, pravico ali dovoljenje fizične ali pravne osebe ali predmeta;
„elektronsko potrdilo o atributih“ pomeni potrdilo v elektronski obliki, ki omogoča avtentikacijo atributov;
„kvalificirano elektronsko potrdilo o atributih“ pomeni elektronsko potrdilo o atributih, ki ga je izdal ponudnik kvalificiranih storitev zaupanja in izpolnjuje zahteve iz Priloge V;
„elektronsko potrdilo o atributih, izdano s strani ali v imenu organa javnega sektorja, pristojnega za verodostojni vir“ pomeni elektronsko potrdilo o atributih, ki ga izda organ javnega sektorja, pristojen za verodostojni vir, ali organ javnega sektorja, ki ga država članica imenuje za izdajanje takih potrdil o atributih v imenu organov javnega sektorja, pristojnih za verodostojne vire v skladu s členom 45f in s Prilogo VII;
„verodostojni vir“ pomeni odložišče ali sistem v pristojnosti organa javnega sektorja ali zasebnega subjekta, ki vsebuje in zagotavlja atribute o fizični ali pravni osebi ali subjektu in ki se šteje za primarni vir takih informacij ali je priznan kot verodostojen v skladu s pravom Unije ali nacionalnim pravom, vključno z upravno prakso;
„elektronsko arhiviranje“ pomeni storitev zagotavljanja prejema, shranjevanja, priklica in izbrisa elektronskih podatkov in elektronskih dokumentov za zagotavljanje njihove trajnosti in berljivosti ter ohranjanje njihove celovitosti, zaupnosti in dokazila o poreklu v celotnem obdobju hrambe;
„kvalificirana storitev elektronskega arhiviranja“ pomeni storitev elektronskega arhiviranja, ki jo opravlja ponudnik kvalificiranih storitev zaupanja in ki izpolnjuje zahteve iz člena 45j;
„znak zaupanja za evropsko denarnico za digitalno identiteto“ pomeni preverljivo, enostavno in prepoznavno označbo, ki na jasen način sporoča, da je bila evropska denarnica za digitalno identiteto zagotovljena v skladu s to uredbo;
„močna avtentikacija uporabnika“ pomeni avtentikacijo, ki temelji na uporabi najmanj dveh dejavnikov avtentikacije iz različnih kategorij, in sicer kategorije znanja, tj. nečesa, kar ve samo uporabnik, imetja, tj. nečesa, kar je v izključni lasti uporabnika, ali inherence, tj. nečesa, kar uporabnik je, ki so neodvisni, tako da kršitev enega dejavnika ne zmanjšuje zanesljivosti drugih, ter je zasnovana tako, da varuje zaupnost avtentikacijskih podatkov;
„elektronska evidenca“ pomeni zaporedje elektronskih podatkovnih zapisov, ki zagotavlja celovitost teh zapisov in točnost kronološkega vrstnega reda teh zapisov;
„kvalificirana elektronska evidenca“ pomeni elektronsko evidenco, ki jo zagotavlja ponudnik kvalificiranih storitev zaupanja in ki izpolnjuje zahteve iz člena 45l;
„osebni podatki“ pomeni vse informacije, kakor so opredeljene v členu 4, točka 1, Uredbe (EU) 2016/679;
„ujemanje identitete“ pomeni postopek, v katerem se identifikacijski podatki osebe ali sredstva elektronske identifikacije osebe primerjajo ali povežejo z obstoječim računom, ki pripada isti osebi;
„podatkovni zapis“ pomeni elektronske podatke, zabeležene s povezanimi metapodatki, ki podpirajo obdelavo podatkov;
„nespletni način“ pomeni, kar zadeva uporabo evropskih denarnic za digitalno identiteto, interakcijo med uporabnikom in tretjo osebo na fizični lokaciji z uporabo tehnologij neposredne bližine, pri čemer za evropsko denarnico za digitalno identiteto za namene interakcije ni potreben dostop do sistemov na daljavo prek elektronskih komunikacijskih omrežij.
Člen 4
Načelo notranjega trga
Člen 5
Psevdonimi v elektronski transakciji
Brez poseganja v posebna pravila prava Unije ali nacionalnega prava, ki od uporabnikov zahtevajo, da se identificirajo, ali v pravni učinek psevdonimov na podlagi nacionalnega prava uporaba psevdonimov, ki jih izbere uporabnik, ni prepovedana.
POGLAVJE II
ELEKTRONSKA IDENTIFIKACIJA
ODDELEK 1
evropska denarnica za digitalno identiteto
Člen 5a
Evropske denarnice za digitalno identiteto
Evropske denarnice za digitalno identiteto se zagotovijo na enega ali več od naslednjih načinov:
neposredno s strani države članice;
na podlagi pooblastila države članice;
neodvisno od države članice, vendar z njenim priznanjem.
Evropske denarnice za digitalno identiteto uporabniku na pregleden ter njemu prijazen in sledljiv način omogočajo, da:
varno zahteva, pridobi, izbira, združuje, hrani, briše, izmenjuje in predstavi, izključno pod svojim nadzorom, identifikacijske podatke osebe, po potrebi v kombinaciji z elektronskimi potrdili o atributih, zanašajočim se strankam v avtentikacijo, in sicer v spletnem in, kadar je to ustrezno, v nespletnem načinu, za dostop do javnih in zasebnih storitev, pri čemer omogočajo selektivno razkritje podatkov;
ustvarja psevdonime in jih v šifrirani obliki hrani lokalno v evropski denarnici za digitalno identiteto;
varno avtenticira evropsko denarnico za digitalno identiteto druge osebe ter na varen način prejema in izmenjuje identifikacijske podatke osebe in elektronska potrdila o atributih med zadevnima evropskima denarnicama za digitalno identiteto;
dostopa do evidence vseh transakcij, opravljenih prek evropske denarnice za digitalno identiteto, in sicer prek skupne nadzorne plošče, ki uporabniku omogoča, da:
si ogleda posodobljeni seznam zanašajočih se strank, s katerimi je uporabnik vzpostavil povezavo, in po potrebi vseh izmenjanih podatkov;
od zanašajoče se stranke na enostaven način zahteva izbris osebnih podatkov na podlagi člena 17 Uredbe (EU) 2016/679;
pristojnemu nacionalnemu organu za varstvo podatkov enostavno prijavi zanašajočo se stranko, kadar je prejeta domnevno nezakonita ali sumljiva zahteva za podatke;
se podpiše s kvalificiranimi elektronskimi podpisi ali žigosa s kvalificiranimi elektronskimi žigi;
prenese, kolikor je to tehnično izvedljivo, uporabnikove podatke, elektronsko potrdilo o atributih in konfiguracije;
uveljavlja pravice uporabnika do prenosljivosti podatkov.
Evropske denarnice za digitalno identiteto zlasti:
podpirajo skupne protokole in vmesnike:
za izdajo identifikacijskih podatkov osebe, kvalificiranih in nekvalificiranih elektronskih potrdil o atributih ali kvalificiranih in nekvalificiranih potrdil za evropsko denarnico za digitalno identiteto;
za zanašajoče se stranke, da lahko zahtevajo in potrdijo veljavnost identifikacijskih podatkov osebe in elektronskih potrdil o atributih;
za izmenjavo in predstavitev identifikacijskih podatkov osebe, elektronskega potrdila o atributih ali selektivno razkritih povezanih podatkov v spletnem in, kadar je to ustrezno, nespletnem načinu zanašajočim se strankam;
za uporabnika, da se mu omogočita interakcija z evropsko denarnico za digitalno identiteto in prikaz znaka zaupanja za evropsko denarnico za digitalno identiteto;
za varen pristop uporabnika z uporabo sredstva elektronske identifikacije v skladu s členom 5a(24);
za interakcijo med evropskima denarnicama za digitalno identiteto dveh oseb za namen prejemanja, potrjevanja veljavnosti in izmenjave identifikacijskih podatkov osebe in elektronskih potrdil o atributih na varen način;
za avtentikacijo in identifikacijo zanašajočih se strank z izvajanjem mehanizmov avtentikacije v skladu s členom 5b;
za zanašajoče se stranke, da lahko preverijo avtentičnost in veljavnost evropskih denarnic za digitalno identiteto;
za zahtevanje od zanašajoče se stranke, da izbriše osebne podatke na podlagi člena 17 Uredbe (EU) 2016/679;
za prijavo zanašajoče se stranke pristojnemu nacionalnemu organu za varstvo podatkov, kadar je prejeta domnevno nezakonita ali sumljiva zahteva za podatke;
za ustvarjanje kvalificiranih elektronskih podpisov ali elektronskih žigov z napravami za ustvarjanje kvalificiranega elektronskega podpisa ali elektronskega žiga;
ne dajejo ponudnikom storitev zaupanja, ki zagotavljajo elektronska potrdila o atributih, nobenih informacij o uporabi navedenih elektronskih potrdil;
zagotavljajo, da se lahko zanašajoče se stranke avtenticira in identificira z izvajanjem mehanizmov avtentikacije v skladu s členom 5b;
izpolnjujejo zahteve iz člena 8 glede zagotavljanja visoke ravni zanesljivosti, zlasti v zvezi z zahtevami za dokazovanje in preverjanje identitete ter upravljanja sredstev elektronske identifikacije in avtentikacije;
v primeru elektronskega potrdila o atributih z vgrajenimi politikami razkrivanja izvajajo ustrezen mehanizem za obveščanje uporabnika, da ima zanašajoča se stranka ali uporabnik evropske denarnice za digitalno identiteto, ki je zahteval navedeno elektronsko potrdilo o atributih, dovoljenje za dostop do njega;
zagotavljajo, da identifikacijski podatki osebe, ki so na voljo v shemi elektronske identifikacije, v okviru katere se zagotavlja evropska denarnica za digitalno identiteto, enolično predstavljajo fizično osebo, pravno osebo ali fizično osebo, ki zastopa fizično ali pravno osebo, in so povezani z navedeno evropsko denarnico za digitalno identiteto;
vsem fizičnim osebam ponujajo možnost privzetega in brezplačnega podpisovanja s kvalificiranimi elektronskimi podpisi.
Ne glede na točko (g) prvega pododstavka lahko države članice določijo sorazmerne ukrepe za zagotovitev, da je brezplačna uporaba kvalificiranih elektronskih podpisov s strani fizičnih oseb omejena na nepoklicne namene.
Države članice brezplačno zagotovijo mehanizme potrjevanja veljavnosti, da:
zagotovijo možnost preverjanja avtentičnosti in veljavnosti evropskih denarnic za digitalno identiteto;
uporabnikom omogočijo preverjanje avtentičnosti in veljavnosti identitete zanašajočih se strank, registriranih v skladu s členom 5b.
Države članice zagotovijo, da je mogoče veljavnost evropske denarnice za digitalno identiteto preklicati v naslednjih primerih:
na izrecno zahtevo uporabnika;
kadar je ogrožena varnost evropske denarnice za digitalno identiteto;
v primeru smrti uporabnika ali če pravna oseba preneha opravljati dejavnost.
Tehnični okvir evropske denarnice za digitalno identiteto:
ponudnikom elektronskih potrdil o atributih ali kateri koli drugi osebi po izdaji potrdila o atributih ne omogoča pridobitve podatkov, ki omogočajo sledenje, povezovanje, korelacijo ali drugačno pridobivanje znanja o transakcijah ali vedenju uporabnikov, razen če uporabnik to izrecno dovoli;
omogoča tehnike za ohranjanje zasebnosti, ki zagotavljajo nepovezljivost, kadar za potrjevanje atributov ni potrebna identifikacija uporabnika.
Države članice brez nepotrebnega odlašanja uradno obvestijo Komisijo o informacijah o:
organu, pristojnem za vzpostavitev in vodenje seznama registriranih zanašajočih se strank, ki se zanašajo na evropske denarnice za digitalno identiteto v skladu s členom 5b(5), ter lokaciji navedenega seznama;
organih, pristojnih za zagotavljanje evropskih denarnic za digitalno identiteto v skladu s členom 5a(1);
organih, pristojnih za zagotavljanje, da so identifikacijski podatki osebe povezani z evropsko denarnico za digitalno identiteto v skladu s členom 5a(5), točka (f);
mehanizmu, ki omogoča potrditev veljavnosti identifikacijskih podatkov osebe iz člena 5a(5), točka (f), in identitete zanašajočih se strank;
mehanizmu, s katerim se potrdi avtentičnost in veljavnost evropskih denarnic za digitalno identiteto.
Komisija da informacije, uradno sporočene na podlagi prvega pododstavka, na voljo javnosti na varen način in v elektronsko podpisani ali ožigosani obliki, primerni za avtomatizirano obdelavo.
Člen 5b
Stranke, ki se zanašajo na evropsko denarnico za digitalno identiteto
Postopek registracije je stroškovno učinkovit in sorazmeren s tveganjem. Zanašajoča se stranka zagotovi vsaj:
informacije, potrebne za avtentikacijo evropskih denarnic za digitalno identiteto, ki vključujejo vsaj:
državo članico, v kateri ima zanašajoča se stranka sedež, in
ime zanašajoče se stranke in po potrebi njeno registrsko številko, kot sta navedena v uradni evidenci, skupaj z identifikacijskimi podatki iz te uradne evidence;
kontaktne podatke zanašajoče se stranke;
predvideno uporabo evropskih denarnic za digitalno identiteto, vključno z navedbo podatkov, ki jih bo zanašajoča se stranka zahtevala od uporabnikov.
Člen 5c
Certificiranje evropskih denarnic za digitalno identiteto
Člen 5d
Objava seznama certificiranih evropskih denarnic za digitalno identiteto
Brez poseganja v člen 5a(18) informacije iz odstavka 1 tega člena, ki jih zagotovijo države članice, vključujejo vsaj:
certifikat in poročilo o oceni certificiranja certificirane evropske denarnice za digitalno identiteto;
opis sheme elektronske identifikacije, v okviru katere se zagotavlja evropska denarnica za digitalno identiteto;
veljavno ureditev nadzora in informacije o ureditvi odgovornosti v zvezi s stranko, ki zagotavlja evropsko denarnico za digitalno identiteto;
organ ali organe, pristojne za shemo elektronske identifikacije;
ureditve začasne razveljavitve ali preklica elektronske identifikacijske sheme ali avtentikacije ali zadevnih ogroženih delov.
Člen 5e
Kršitev varnosti evropskih denarnic za digitalno identiteto
Kadar je to upravičeno zaradi resnosti kršitve varnosti ali ogrožanja iz prvega pododstavka, država članica brez nepotrebnega odlašanja umakne evropske denarnice za digitalno identiteto.
Država članica o tem ustrezno obvesti prizadete uporabnike, enotne kontaktne točke, imenovane na podlagi člena 46c(1), zanašajoče se stranke in Komisijo.
Člen 5f
Čezmejno zanašanje na evropske denarnice za digitalno identiteto
ODDELEK 2
sheme elektronske identifikacije
Člen 6
Vzajemno priznavanje
Če nacionalno pravo ali upravna praksa za dostop do storitve, ki jo prek spleta zagotavlja organ javnega sektorja v eni državi članici, predpisuje elektronsko identifikacijo z uporabo sredstva elektronske identifikacije in avtentikacije, se sredstvo elektronske identifikacije, izdano v drugi državi članici, prizna v prvi državi članici za namene čezmejne avtentikacije za to spletno storitev, če so izpolnjeni naslednji pogoji:
sredstvo elektronske identifikacije je izdano v okviru sheme elektronske identifikacije, navedene na seznamu, ki ga Komisija objavi v skladu s členom 9;
raven zanesljivosti takšnega sredstva elektronske identifikacije ustreza ravni zanesljivosti, ki je enaka ali višja od ravni zanesljivosti, ki jo zahteva zadevni organ javnega sektorja pri dostopu do spletne storitve v prvi državi članici, pod pogojem, da raven zanesljivosti takšnega sredstva elektronske identifikacije ustreza srednji ali visoki ravni zanesljivosti;
zadevni organ javnega sektorja uporablja srednjo ali visoko raven zanesljivosti v zvezi z dostopom do te spletne storitve.
Takšno priznanje se opravi najpozneje 12 mesecev po tem, ko Komisija objavi seznam iz točke (a) prvega pododstavka.
Člen 7
Upravičenost do priglasitve shem elektronske identifikacije
Shema elektronske identifikacije je upravičena do priglasitve v skladu s členom 9(1), če so izpolnjeni vsi naslednji pogoji:
sredstva elektronske identifikacije v okviru sheme elektronske identifikacije se izdajo:
s strani države članice priglasiteljice;
po pooblastilu države članice priglasiteljice, ali
neodvisno od države članice priglasiteljice, vendar jih ta država članica priznava;
sredstva elektronske identifikacije v okviru sheme elektronske identifikacije se lahko uporabljajo za dostop do vsaj ene storitve, ki jo zagotavlja organ javnega sektorja in za katero se v državi članici priglasiteljici zahteva elektronska identifikacija;
shema elektronske identifikacije in sredstva elektronske identifikacije, izdana v okviru te sheme, izpolnjujejo zahteve vsaj ene od ravni zanesljivosti, določenih v izvedbenem aktu iz člena 8(3);
država članica priglasiteljica zagotovi, da se identifikacijski podatki osebe, ki enolično predstavljajo zadevno osebo, dodelijo fizični ali pravni osebi iz točke 1 člena 3 v skladu s tehničnimi specifikacijami, standardi in postopki za ustrezno raven zanesljivosti, določenimi v izvedbenem aktu iz člena 8(3), ob izdaji sredstva elektronske identifikacije v okviru navedene sheme;
izdajatelj sredstva elektronske identifikacije v okviru navedene sheme, zagotovi, da se sredstvo elektronske identifikacije dodeli osebi iz točke (d) tega člena v skladu s tehničnimi specifikacijami, standardi in postopki za ustrezno raven zanesljivosti, določenimi v izvedbenem aktu iz člena 8(3);
država članica priglasiteljica zagotovi, da je avtentikacija na voljo prek spleta, tako da lahko vsaka zanašajoča se stranka s sedežem na ozemlju druge države članice potrdi identifikacijske podatke osebe, prejete v elektronski obliki.
Za zanašajoče se stranke, ki niso organi javnega sektorja, lahko država članica priglasiteljica določi pogoje dostopa do navedene avtentikacije. Čezmejna avtentikacija je brezplačna, če se opravi v povezavi s spletno storitvijo, ki jo zagotavlja organ javnega sektorja.
Države članice ne uvedejo nobenih posebnih nesorazmernih tehničnih zahtev za zanašajoče se stranke, ki nameravajo opraviti tako avtentikacijo, če takšne zahteve preprečujejo ali znatno ovirajo interoperabilnost priglašenih shem elektronske identifikacije;
vsaj šest mesecev pred priglasitvijo v skladu s členom 9(1) država članica priglasiteljica drugim državam članicam za namene člena 12(5) zagotovi opis navedene sheme v skladu s postopkovno ureditvijo, sprejeto na podlagi člena 12(6);
shema elektronske identifikacije izpolnjuje zahteve izvedbenega akta iz člena 12(8).
Člen 8
Ravni zanesljivosti shem elektronske identifikacije
Nizka, srednja in visoka raven zanesljivosti izpolnjujejo naslednja merila:
nizka raven zanesljivosti se nanaša na sredstvo elektronske identifikacije v okviru sheme elektronske identifikacije, ki zagotavlja omejeno stopnjo zaupanja v izkazano ali zagotavljano identiteto osebe in za katero je značilno sklicevanje na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je zmanjšati nevarnost zlorabe ali spreminjanja identitete;
srednja raven zanesljivosti se nanaša na sredstvo elektronske identifikacije v okviru sheme elektronske identifikacije, ki zagotavlja srednjo stopnjo zaupanja v izkazano ali zagotavljano identiteto osebe in za katero je značilno sklicevanje na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je znatno zmanjšati nevarnost zlorabe ali spreminjanja identitete;
visoka raven zanesljivosti se nanaša na sredstvo elektronske identifikacije v okviru sheme elektronske identifikacije, ki zagotavlja višjo stopnjo zaupanja v izkazano ali zagotavljano identiteto osebe kot sredstva elektronske identifikacije srednje ravni zanesljivosti in za katero je značilno sklicevanje na zadevne tehnične specifikacije, standarde in postopke, vključno s tehničnim nadzorom, katerih namen je preprečiti nevarnost zlorabe ali spreminjanja identitete.
Te minimalne tehnične specifikacije, standardi in postopki se določijo ob sklicevanju na zanesljivost in kakovost naslednjih elementov:
postopka za dokazovanje in preverjanje identitete fizičnih ali pravnih oseb, ki zaprosijo za izdajo sredstva elektronske identifikacije;
postopka za izdajo zahtevanega sredstva elektronske identifikacije;
mehanizma avtentikacije, prek katerega fizična ali pravna oseba uporablja sredstvo elektronske identifikacije, da odvisni stranki potrdi svojo identiteto;
izdajatelja sredstva elektronske identifikacije;
katerega koli drugega organa, vključenega v postopek izdaje sredstva elektronske identifikacije, ter
tehničnih in varnostnih specifikacij izdanega sredstva elektronske identifikacije.
Komisija izvedbene akte sprejme v skladu s postopkom pregleda iz člena 48(2).
Člen 9
Priglasitev
Država članica priglasiteljica priglasi Komisiji naslednje informacije, brez nepotrebnega odlašanja pa tudi vse njihove naknadne spremembe:
opis sheme elektronske identifikacije, vključno z njenimi ravnmi zanesljivosti in izdajateljem oziroma izdajatelji sredstva elektronske identifikacije v okviru sheme;
veljavno ureditev nadzora in informacije o ureditvi odgovornosti v zvezi s/z:
izdajateljem sredstva elektronske identifikacije, in
stranko, ki opravi postopek avtentikacije;
organ ali organe, pristojne za shemo elektronske identifikacije;
informacije o subjektu ali subjektih, ki urejajo registracijo enoličnih identifikacijskih podatkov osebe;
opis, kako se izpolnjujejo zahteve, določene v izvedbenih aktih iz člena 12(8);
opis avtentikacije iz točke (f) člena 7;
ureditev začasne razveljavitve ali preklica priglašene elektronske identifikacijske sheme, avtentikacije ali zadevnih ogroženih delov.
Člen 10
Kršitev varnosti shem elektronske identifikacije
Komisija v Uradnem listu Evropske unije objavi ustrezne spremembe seznama iz člena 9(2) brez nepotrebnega odlašanja.
Člen 11
Odgovornost
Člen 11a
Čezmejno ujemanje identitete
Člen 12
Interoperabilnost
Interoperabilnostni okvir izpolnjuje naslednja merila:
prizadeva si biti tehnološko nevtralen in ne diskriminira med posebnimi nacionalnimi tehničnimi rešitvami za elektronsko identifikacijo znotraj države članice;
upošteva evropske in mednarodne standarde, kadar je mogoče;
lajša izvajanje vgrajene zasebnosti in vgrajene varnosti;
▼M2 —————
Interoperabilnostni okvir sestavljajo:
sklicevanje na minimalne tehnične zahteve, povezane z ravnmi zanesljivosti iz člena 8;
določitev nacionalnih ravni zanesljivosti priglašenih shem elektronske identifikacije glede na ravni zanesljivosti iz člena 8;
sklicevanje na minimalne tehnične zahteve glede interoperabilnosti;
sklicevanje na minimalni nabor identifikacijskih podatkov osebe, potreben za enolično predstavljanje fizične ali pravne osebe ali fizične osebe, ki zastopa drugo fizično osebo ali pravno osebo, ki je dostopen v okviru shem elektronske identifikacije;
poslovnik;
ureditev za reševanje sporov, in
skupni varnostni standardi delovanja.
▼M2 —————
Člen 12a
Certificiranje shem elektronske identifikacije
Člen 12b
Dostop do funkcij strojne in programske opreme
Kadar so ponudniki evropskih denarnic za digitalno identiteto in izdajatelji priglašenih sredstev elektronske identifikacije, ki delujejo v okviru poslovne ali poklicne dejavnosti in uporabljajo jedrne platformne storitve, kakor so opredeljene v členu 2, točka 2, Uredbe (EU) 2022/1925 Evropskega parlamenta in Sveta ( 7 ), za namen ali med zagotavljanjem storitev evropske denarnice za digitalno identiteto in sredstev elektronske identifikacije končnim uporabnikom, poslovni uporabniki, kakor so opredeljeni v členu 2, točka 21, navedene uredbe, jim vratarji zlasti za namene interoperabilnosti omogočijo učinkovito interoperabilnost z istim operacijskim sistemom, funkcijami strojne opreme ali programske opreme ter dostop do njih. Taka učinkovita interoperabilnost in dostop sta omogočena brezplačno in ne glede na to, ali so funkcije strojne ali programske opreme del operacijskega sistema, ki so navedenemu vratarju na voljo ali jih ta uporablja pri zagotavljanju takih storitev v smislu člena 6(7) Uredbe (EU) 2022/1925. Ta člen ne posega v člen 5a(14) te uredbe.
POGLAVJE IIII
STORITVE ZAUPANJA
ODDELEK 1
Splošne določbe
Člen 13
Odgovornost in dokazno breme
Dokazno breme o namenu ali malomarnosti ponudnika nekvalificiranih storitev zaupanja nosi fizična ali pravna oseba, ki zatrjuje škodo iz prvega pododstavka.
Domneva se, da je ponudnik kvalificiranih storitev zaupanja škodo iz prvega pododstavka povzročil namenoma ali iz malomarnosti, razen če ta ponudnik kvalificiranih storitev zaupanja ne dokaže nasprotno.
Člen 14
Mednarodni vidiki
Izvedbeni akti iz prvega pododstavka se sprejmejo v skladu s postopkom pregleda iz člena 48(2).
Člen 15
Dostopnost za invalide in osebe s posebnimi potrebami
Zagotavljanje sredstev elektronske identifikacije, storitev zaupanja in proizvodov za končne uporabnike, ki se uporabljajo pri zagotavljanju zadevnih storitev, mora biti na voljo v preprostem in razumljivem jeziku v skladu s Konvencijo Združenih narodov o pravicah invalidov in zahtevami glede dostopnosti iz Direktive (EU) 2019/882, s čimer imajo korist tudi osebe s funkcijskimi omejitvami, kot so starejši ljudje, in osebe z omejenim dostopom do digitalnih tehnologij.
Člen 16
Kazni
Države članice zagotovijo, da se kršitve te uredbe s strani ponudnikov kvalificiranih in nekvalificiranih storitev zaupanja kaznujejo z najvišjimi globami v višini najmanj:
5 000 000 EUR, kadar je ponudnik storitev zaupanja fizična oseba, ali
kadar je ponudnik storitev zaupanja pravna oseba, 5 000 000 EUR ali 1 % skupnega svetovnega letnega prometa podjetja, ki mu pripada ponudnik storitev zaupanja, v poslovnem letu pred letom, v katerem je prišlo do kršitve, pri čemer se upošteva višji znesek.
ODDELEK 2
Nekvalificirane storitve zaupanja
▼M2 —————
▼M1 —————
Člen 19a
Zahteve za ponudnike nekvalificiranih storitev zaupanja
Ponudnik nekvalificiranih storitev zaupanja, ki zagotavlja nekvalificirane storitve zaupanja:
ima ustrezne politike in sprejema ustrezne ukrepe v zvezi z obvladovanjem pravnih, poslovnih, operativnih in drugih neposrednih ali posrednih tveganj za zagotavljanje nekvalificiranih storitev zaupanja, ki ne glede na člen 21 Direktive (EU) 2022/2555 vključujejo vsaj ukrepe, ki se nanašajo na:
postopke registracije in pristopa k uporabi storitev zaupanja;
postopkovne ali upravne preglede, potrebne za zagotavljanje storitev zaupanja;
upravljanje in izvajanje storitev zaupanja;
nadzorni organ, določljive prizadete posameznike, javnost, če je to v javnem interesu, in po potrebi druge ustrezne pristojne organe o morebitnih kršitvah varnosti ali prekinitvah pri zagotavljanju storitve ali izvajanju ukrepov iz točke (a)(i), (ii) ali (iii), ki pomembno vplivajo na zagotovljeno storitev zaupanja ali na osebne podatke, vsebovane v njej, uradno obvesti brez nepotrebnega odlašanja, v vsakem primeru pa najpozneje v 24 urah po seznanitvi z morebitnimi kršitvami varnosti ali prekinitvami.
ODDELEK 3
Kvalificirane storitve zaupanja
Člen 20
Nadzor ponudnikov kvalificiranih storitev zaupanja
Kadar navedeni ponudnik tega ne stori, po potrebi v roku, ki ga določi nadzorni organ, nadzorni organ, kadar je to utemeljeno zlasti z obsegom, trajanjem in posledicami tega neizpolnjevanja, navedenemu ponudniku ali zadevni storitvi, ki jo ponudnik zagotavlja, odvzame kvalificirani status.
Komisija do 21. maja 2025 z izvedbenimi akti vzpostavi seznam referenčnih standardov ter po potrebi določi specifikacije in postopke za naslednje:
akreditacijo organov za ugotavljanje skladnosti in za poročila o ugotavljanju skladnosti iz odstavka 1;
revizijske zahteve, na podlagi katerih morajo organi za ugotavljanje skladnosti opraviti ugotavljanje skladnosti ponudnikov kvalificiranih storitev zaupanja iz odstavka 1, vključno s sestavljenim ugotavljanjem;
sheme ugotavljanja skladnosti za izvajanje ugotavljanja skladnosti ponudnikov kvalificiranih storitev zaupanja s strani organov za ugotavljanje skladnosti in za predložitev poročila iz odstavka 1.
Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).
Člen 21
Začetek zagotavljanja kvalificirane storitve zaupanja
Nadzorni organ za namene preverjanja, ali ponudnik storitev zaupanja izpolnjuje zahteve iz člena 21 Direktive (EU) 2022/2555, od pristojnih organov, imenovanih ali ustanovljenih na podlagi člena 8(1) navedene direktive, zahteva, da brez nepotrebnega odlašanja, v vsakem primeru pa v dveh mesecih od prejema navedene zahteve, izvedejo nadzorne ukrepe v zvezi s tem in zagotovijo informacije o izidu. Če preverjanje ni zaključeno v dveh mesecih od priglasitve, navedeni pristojni organi o tem obvestijo nadzorni organ ter navedejo razloge za zamudo in rok, v katerem bo preverjanje zaključeno.
Kadar nadzorni organ ugotovi, da ponudnik storitev zaupanja in storitve zaupanja, ki jih ta zagotavlja, izpolnjujejo zahteve, določene v tej uredbi, najpozneje tri mesece po priglasitvi v skladu z odstavkom 1 tega člena ponudniku storitev zaupanja in storitvam zaupanja, ki jih ta zagotavlja, podeli kvalificirani status ter obvesti organ iz člena 22(3), da se posodobijo zanesljivi seznami iz člena 22(1).
Kadar nadzorni organ preverjanja ne konča v treh mesecih od priglasitve, o tem obvesti ponudnika storitev zaupanja ter navede razloge za zamudo in rok, v katerem bo preverjanje končano.
Člen 22
Zanesljivi seznami
Člen 23
Znak zaupanja EU za kvalificirane storitve zaupanja
Člen 24
Zahteve za ponudnike kvalificiranih storitev zaupanja
Ponudnik kvalificiranih storitev zaupanja na ustrezen način izvede preverjanje identitete iz odstavka 1, bodisi neposredno bodisi s tretjo osebo, na podlagi ene od naslednjih metod ali njihove kombinacije, kadar je to potrebno, v skladu z izvedbenimi akti iz odstavka 1c:
z evropsko denarnico za digitalno identiteto ali priglašenim sredstvom elektronske identifikacije, ki izpolnjuje zahteve iz člena 8 v zvezi z visoko ravnjo zanesljivosti;
s potrdilom kvalificiranega elektronskega podpisa ali kvalificiranega elektronskega žiga, izdanega v skladu s točko (a), (c) ali (d);
z uporabo drugih načinov identifikacije, ki zagotavljajo identifikacijo osebe z visoko stopnjo zaupanja, katere skladnost potrdi organ za ugotavljanje skladnosti;
s fizično prisotnostjo fizične osebe ali pooblaščenega predstavnika pravne osebe z ustreznimi dokazi in postopki v skladu z nacionalnim pravom.
Ponudnik kvalificiranih storitev zaupanja na ustrezen način izvede preverjanje atributov iz odstavka 1, bodisi neposredno bodisi s tretjo osebo, na podlagi ene od naslednjih metod ali njihove kombinacije, kadar je to potrebno, v skladu z izvedbenimi akti iz odstavka 1c:
z evropsko denarnico za digitalno identiteto ali priglašenim sredstvom elektronske identifikacije, ki izpolnjuje zahteve iz člena 8 v zvezi z visoko ravnjo zanesljivosti;
s potrdilom kvalificiranega elektronskega podpisa ali kvalificiranega elektronskega žiga, izdanega v skladu z odstavkom 1a, točka (a), (c) ali (d);
s kvalificiranim elektronskim potrdilom o atributih;
z uporabo drugih načinov, ki zagotavljajo preverjanje atributov z visoko stopnjo zaupanja, katere skladnost potrdi organ za ugotavljanje skladnosti;
s fizično prisotnostjo fizične osebe ali pooblaščenega predstavnika pravne osebe z ustreznimi dokazi in postopki v skladu z nacionalnim pravom.
Ponudnik kvalificiranih storitev zaupanja, ki zagotavlja kvalificirane storitve zaupanja:
obvesti nadzorni organ vsaj en mesec pred izvajanjem kakršne koli spremembe pri zagotavljanju svojih kvalificiranih storitev zaupanja oziroma vsaj tri mesece v primeru namere o prenehanju opravljanja teh dejavnosti;
zaposluje osebje in po potrebi podizvajalce, ki imajo potrebno strokovno znanje, izkušnje in kvalifikacije ter so zanesljivi in ki so se udeležili ustreznega usposabljanja v zvezi z varnostjo in pravili o varstvu osebnih podatkov ter uporabljajo upravne in upravljavske postopke, ki so v skladu z evropskimi ali mednarodnimi standardi;
kar zadeva tveganje odškodninske odgovornosti v skladu s členom 13, ohranja zadostna finančna sredstva in/ali pridobi ustrezno zavarovanje odgovornosti v skladu z nacionalnim pravom;
pred vstopom v pogodbeno razmerje vsako osebo, ki želi uporabljati kvalificirano storitev zaupanja, na jasen, razumljiv in zlahka dostopen način na javno dostopnem mestu in posamezno obvesti o natančnih splošnih pogojih uporabe zadevne storitve, tudi o morebitnih omejitvah njene uporabe;
uporablja zaupanja vredne sisteme in izdelke, ki so zaščiteni pred spreminjanjem ter zagotavljajo tehnično varnost in zanesljivost postopkov, pri katerih se uporabljajo, tudi z rabo ustreznih kriptografskih algoritmov;
uporablja zaupanja vredne sisteme za shranjevanje podatkov, ki jih prejme, v preverljivi obliki, tako da:
so ti javno dostopni samo, če je bila pridobljena privolitev osebe, na katero se podatki nanašajo,
lahko le pooblaščene osebe vnašajo podatke in spreminjajo shranjene podatke,
se lahko preveri avtentičnost podatkov;
brez poseganja v člen 21 Direktive (EU) 2022/2555 sprejme primerne politike in temu ustrezne ukrepe v zvezi z obvladovanjem pravnih, poslovnih, operativnih in drugih neposrednih ali posrednih tveganj za zagotavljanje kvalificiranih storitev zaupanja, med drugim vsaj ukrepe, povezane z naslednjim:
postopki registracije in pristopa k uporabi storitve;
postopkovnimi ali upravnimi pregledi;
upravljanjem in izvajanjem storitev;
uradno obvesti nadzorni organ, določljive prizadete posameznike, po potrebi druge ustrezne pristojne organe in, na zahtevo nadzornega organa, javnost, če je to v javnem interesu, o kakršnih koli kršitvah varnosti ali prekinitvah pri zagotavljanju storitve ali izvajanju ukrepov iz točke (fa)(i), (ii) ali (iii), ki pomembno vplivajo na zagotovljeno storitev zaupanja ali na osebne podatke, vsebovane v njej, brez nepotrebnega odlašanja in v vsakem primeru v 24 urah od incidenta.
sprejme ustrezne ukrepe proti ponarejanju, kraji ali protipravni prilastitvi podatkov ali neupravičenemu brisanju oziroma spreminjanju podatkov ali onemogočanju dostopa do njih;
potem ko je ponudnik kvalificiranih storitev zaupanja prenehal opravljati dejavnosti, toliko časa, kolikor je potrebno, beleži vse pomembne informacije o podatkih, ki jih je ponudnik kvalificiranih storitev zaupanja izdal in prejel, ter ohranja dostop do njih, da se zagotovijo dokazi v pravnih postopkih in neprekinjenost storitve. Tako beleženje je lahko elektronsko;
ima posodobljen načrt za prenehanje zagotavljanja storitve, da se zagotovi neprekinjenost storitve v skladu z določbami, ki jih nadzorni organ preveri na podlagi člena 46b(4), točka (i);
▼M2 —————
v primeru ponudnikov kvalificiranih storitev zaupanja, ki izdajajo kvalificirana potrdila, vzpostavi in posodablja podatkovno zbirko potrdil.
Nadzorni organ lahko zahteva dodatne informacije poleg tistih, priglašenih na podlagi točke (a) prvega pododstavka, ali rezultat ugotavljanja skladnosti in lahko postavi pogoje, preden da dovoljenje za izvedbo načrtovanih sprememb kvalificiranih storitev zaupanja. Če nadzorni organ preverjanja ne konča v treh mesecih od priglasitve, o tem obvesti ponudnika storitev zaupanja ter navede razloge za zamudo in rok, v katerem bo preverjanje končano.
Člen 24a
Priznavanje kvalificiranih storitev zaupanja
ODDELEK 4
Elektronski podpisi
Člen 25
Pravni učinki elektronskih podpisov
▼M2 —————
Člen 26
Zahteve za napredne elektronske podpise
Napredni elektronski podpis izpolnjuje naslednje zahteve:
enolično je povezan s podpisnikom;
z njim je mogoče identificirati podpisnika;
ustvari se na podlagi podatkov za ustvarjanje elektronskega podpisa, ki jih podpisnik z visoko stopnjo zaupanja lahko uporablja izključno pod svojim nadzorom, in
s podatki, ki so na ta način podpisani, je povezan tako, da je opazna vsaka naknadna sprememba podatkov.
Člen 27
Elektronski podpisi pri javnih storitvah
▼M2 —————
Člen 28
Kvalificirana potrdila za elektronske podpise
Države članice lahko določijo nacionalna pravila o začasni razveljavitvi kvalificiranega potrdila za elektronski podpis, pri čemer morata biti izpolnjena naslednja pogoja:
če je kvalificirano potrdilo za elektronski podpis začasno razveljavljeno, to potrdilo za obdobje začasne razveljavitve preneha veljati,
obdobje začasne razveljavitve se jasno navede v podatkovni zbirki potrdil, v tem obdobju pa mora biti iz storitve, ki zagotavlja informacije o statusu potrdila, razvidno, da je kvalificirano potrdilo začasno razveljavljeno.
Člen 29
Zahteve za naprave za ustvarjanje kvalificiranega elektronskega podpisa
Člen 29a
Zahteve za kvalificirano storitev upravljanja naprav za ustvarjanje kvalificiranega elektronskega podpisa na daljavo
Upravljanje naprav za ustvarjanje kvalificiranega elektronskega podpisa na daljavo kot kvalificirano storitev izvaja samo ponudnik kvalificiranih storitev zaupanja, ki:
podatke za ustvarjanje elektronskega podpisa ustvarja ali upravlja v imenu podpisnika;
ne glede na točko 1(d) Priloge II podatke za ustvarjanje elektronskega podpisa podvaja le za namene varnostne kopije, pod pogojem, da sta izpolnjeni naslednji zahtevi:
varnost podvojenih naborov podatkov mora biti na enaki ravni kot varnost prvotnih naborov podatkov;
število podvojenih naborov podatkov ne sme biti večje, kot je to nujno potrebno, da se zagotovi neprekinjenost storitve;
izpolnjuje vse zahteve, ki so opredeljene v poročilu o certificiranju določene naprave za ustvarjanje kvalificiranega elektronskega podpisa na daljavo, izdanem na podlagi člena 30.
Člen 30
Certificiranje naprav za ustvarjanje kvalificiranega elektronskega podpisa
Certificiranje iz odstavka 1 se izvede na podlagi:
postopka varnostne ocene, izvedenega v skladu z enim od standardov za ocenjevanje varnosti izdelkov informacijske tehnologije s seznama, vzpostavljenega v skladu z drugim pododstavkom, ali
postopka, ki ni postopek iz točke (a), če uporablja primerljive ravni varnosti ter če javni ali zasebni organ iz odstavka 1 o njem uradno obvesti Komisijo. Ta postopek se lahko uporabi le, če standardov iz točke (a) ni ali če postopek varnostne ocene iz točke (a) še poteka.
Komisija z izvedbenimi akti vzpostavi seznam standardov za oceno varnosti izdelkov informacijske tehnologije iz točke (a). Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 48(2).
Člen 31
Objava seznama certificiranih naprav za ustvarjanje kvalificiranega elektronskega podpisa
Člen 32
Zahteve za potrjevanje veljavnosti kvalificiranih elektronskih podpisov
S postopkom potrjevanja veljavnosti kvalificiranega elektronskega podpisa se potrdi veljavnost kvalificiranega elektronskega podpisa pod pogojem, da:
je bilo potrdilo, na katerem temelji podpis, v času podpisa kvalificirano potrdilo za elektronski podpis, ki je skladno s Prilogo I;
je kvalificirano potrdilo izdal ponudnik kvalificiranih storitev zaupanja in je bil veljaven v času podpisa;
podatki za potrjevanje veljavnosti podpisa ustrezajo podatkom, predloženim zanašajočim se strankam;
je enolični nabor podatkov, ki predstavlja podpisnika potrdila, pravilno predložen zanašajočim se strankam;
je zanašajoči se stranki jasno sporočeno, če je bil v času podpisa uporabljen psevdonim;
je bil elektronski podpis ustvarjen z napravo za ustvarjanje kvalificiranega elektronskega podpisa;
celovitost podpisanih podatkov ni ogrožena;
so bile v času podpisa izpolnjene zahteve iz člena 26.
Zahteve iz prvega pododstavka tega odstavka veljajo za izpolnjene, kadar je potrjevanje veljavnosti kvalificiranih elektronskih podpisov skladno s standardi, specifikacijami in postopki iz odstavka 3.
Člen 32a
Zahteve za potrjevanje veljavnosti naprednih elektronskih podpisov, ki temeljijo na kvalificiranih potrdilih
S postopkom za potrjevanje veljavnosti naprednega elektronskega podpisa, ki temelji na kvalificiranem potrdilu, se potrdi veljavnost naprednega elektronskega podpisa, ki temelji na kvalificiranem potrdilu, pod pogojem, da:
je bilo potrdilo, na katerem temelji podpis, v času podpisa kvalificirano potrdilo za elektronski podpis, ki je skladno s Prilogo I;
je kvalificirano potrdilo izdal ponudnik kvalificiranih storitev zaupanja in je bilo veljavno v času podpisa;
podatki za potrjevanje veljavnosti podpisa ustrezajo podatkom, predloženim zanašajoči se stranki;
je enolični nabor podatkov, ki predstavlja podpisnika potrdila, pravilno predložen zanašajoči se stranki;
je zanašajoči se stranki jasno sporočeno, če je bil v času podpisa uporabljen psevdonim;
celovitost podpisanih podatkov ni ogrožena;
so bile v času podpisa izpolnjene zahteve iz člena 26.
Člen 33
Kvalificirana storitev potrjevanja veljavnosti kvalificiranih elektronskih podpisov
Kvalificirano storitev potrjevanja veljavnosti kvalificiranih elektronskih podpisov lahko zagotavlja le ponudnik kvalificiranih storitev zaupanja, ki:
potrjevanje veljavnosti opravi v skladu s členom 32(1) in
zanašajočim se strankam omogoči, da prejmejo rezultat postopka potrjevanja veljavnosti na zanesljiv in učinkovit avtomatiziran način, ki je označen z naprednim elektronskim podpisom ali naprednim elektronskim žigom ponudnika kvalificiranih storitev potrjevanja veljavnosti.
Člen 34
Kvalificirana storitev hrambe kvalificiranih elektronskih podpisov
ODDELEK 5
Elektronski žigi
Člen 35
Pravni učinki elektronskih žigov
▼M2 —————
Člen 36
Zahteve za napredne elektronske žige
Napredni elektronski žig izpolnjuje naslednje zahteve:
enolično je povezan z ustvarjalcem žiga;
z njim je mogoče identificirati ustvarjalca žiga;
ustvari se na podlagi podatkov za ustvarjanje elektronskega žiga, ki jih ustvarjalec žiga z visoko stopnjo zaupanja in pod svojim nadzorom lahko uporablja za ustvarjanje elektronskega žiga, in
povezan je s podatki, na katere se nanaša, in sicer tako, da je mogoče zaslediti vsako naknadno spremembo teh podatkov.
Člen 37
Elektronski žigi pri javnih storitvah
▼M2 —————
Člen 38
Kvalificirana potrdila za elektronske žige
Države članice lahko določijo nacionalna pravila o začasni razveljavitvi kvalificiranih potrdil za elektronske žige, pri čemer morata biti izpolnjena naslednja pogoja:
če je kvalificirano potrdilo za elektronski žig začasno razveljavljeno, ta potrdilo v obdobju začasne razveljavitve preneha veljati;
obdobje začasne razveljavitve se jasno navede v podatkovni zbirki potrdil, v tem obdobju pa mora biti iz storitve, ki zagotavlja informacije o statusu potrdila, razvidno, da je kvalificirano potrdilo začasno razveljavljeno.
Člen 39
Naprave za ustvarjanje kvalificiranega elektronskega žiga
Člen 39a
Zahteve za kvalificirano storitev upravljanja naprav za ustvarjanje kvalificiranega elektronskega žiga na daljavo
Člen 29a se smiselno uporablja za kvalificirano storitev upravljanja naprav za ustvarjanje kvalificiranega elektronskega žiga na daljavo.
Člen 40
Potrjevanje veljavnosti in hramba kvalificiranih elektronskih žigov
Členi 32, 33 in 34 se smiselno uporabljajo za potrjevanje veljavnosti in hrambo kvalificiranih elektronskih žigov.
Člen 40a
Zahteve za potrjevanje veljavnosti naprednih elektronskih žigov, ki temeljijo na kvalificiranih potrdilih
Člen 32a se smiselno uporablja za potrjevanje veljavnosti naprednih elektronskih žigov, ki temeljijo na kvalificiranih potrdilih.
ODDELEK 6
Elektronski časovni žig
Člen 41
Pravni učinek elektronskih časovnih žigov
▼M2 —————
Člen 42
Zahteve za kvalificirane elektronske časovne žige
Kvalificirani elektronski časovni žig izpolnjuje naslednje zahteve:
datum in čas povezuje s podatki tako, da je mogoče razumno izključiti možnost spremembe podatkov, ne da bi bila ta sprememba zaznana;
temelji na točnem časovnem viru, povezanem z univerzalnim koordiniranim časom;
podpisan je z naprednim elektronskim podpisom ali ožigosan z naprednim elektronskim žigom ponudnika kvalificiranih storitev zaupanja ali z drugo enakovredno metodo.
ODDELEK 7
Storitev elektronske priporočene dostave
Člen 43
Pravni učinek storitve elektronske priporočene dostave
Člen 44
Zahteve za kvalificirane storitve elektronske priporočene dostave
Kvalificirane storitve elektronske priporočene dostave izpolnjujejo naslednje zahteve:
zagotavlja jih eden ali več ponudnikov kvalificiranih storitev zaupanja;
z visoko stopnjo zaupanja zagotavljajo identifikacijo pošiljatelja;
zagotavljajo identifikacijo naslovnika pred dostavo podatkov;
oddaja in prejem podatkov je zavarovano z naprednim elektronskim podpisom ali naprednim elektronskim žigom ponudnika kvalificiranih storitev zaupanja, tako da je izključena možnost spremembe podatkov, ne da bi bila ta sprememba zaznana;
vsaka sprememba podatkov, potrebna za pošiljanje ali prejem podatkov, se jasno sporoči pošiljatelju in naslovniku podatkov;
s kvalificiranim elektronskim časovnim žigom se navedeta datum in čas oddaje, prejema in vseh sprememb podatkov;
Pri prenašanju podatkov med dvema ali več ponudniki kvalificiranih storitev zaupanja veljajo zahteve iz točk (a) do (f) za vse ponudnike kvalificiranih storitev zaupanja.
ODDELEK 8
Avtentikacija spletišč
Člen 45
Zahteve za kvalificirana potrdila za avtentikacijo spletišč
Člen 45a
Preventivni ukrepi na področju kibernetske varnosti
ODDELEK 9
elektronsko potrdilo o atributih
Člen 45b
Pravni učinki elektronskega potrdila o atributih
Člen 45c
Elektronsko potrdilo o atributih na področju javnih storitev
Kadar se na podlagi nacionalnega prava za dostop do spletne storitve, ki jo zagotavlja organ javnega sektorja, zahteva elektronska identifikacija z uporabo sredstva elektronske identifikacije in avtentikacije, identifikacijski podatki osebe v elektronskem potrdilu o atributih za namene elektronske identifikacije ne nadomestijo elektronske identifikacije z uporabo sredstva elektronske identifikacije in avtentikacije, razen če to izrecno dovoljuje država članica. V takih primerih se sprejme tudi elektronsko potrdilo o atributih iz drugih držav članic.
Člen 45d
Zahteve za kvalificirana elektronska potrdila o atributih
Člen 45e
Preverjanje atributov na podlagi verodostojnih virov
Člen 45f
Zahteve za elektronsko potrdilo o atributih, izdano s strani ali v imenu organa javnega sektorja, pristojnega za verodostojni vir
Elektronsko potrdilo o atributih, izdano s strani ali v imenu organa javnega sektorja, pristojnega za verodostojni vir, izpolnjuje naslednje zahteve:
zahteve iz Priloge VII;
kvalificirano potrdilo, ki podpira kvalificirani elektronski podpis ali kvalificirani elektronski žig organa javnega sektorja iz člena 3, točka 46, opredeljenega kot izdajatelja iz točke (b) Priloge VII, ki vsebuje specifičen nabor certificiranih atributov v obliki, primerni za avtomatsko obdelavo:
navaja, da je organ izdajatelj v skladu s pravom Unije ali nacionalnim pravom določen kot pristojen za verodostojni vir, na podlagi katerega je izdano elektronsko potrdilo o atributih, ali kot organ, imenovan, da ukrepa v njegovem imenu;
zagotavlja nabor podatkov, ki nedvoumno predstavlja verodostojni vir iz točke (i), in
določa pravo Unije ali nacionalno pravo iz točke (i).
Člen 45g
Izdaja elektronskih potrdil o atributih za evropske denarnice za digitalno identiteto
Člen 45h
Dodatna pravila za zagotavljanje storitev elektronskega potrjevanja atributov
ODDELEK 10
storitve elektronskega arhiviranja
Člen 45i
Pravni učinek storitev elektronskega arhiviranja
Člen 45j
Zahteve za kvalificirane storitve elektronskega arhiviranja
Kvalificirane storitve elektronskega arhiviranja izpolnjujejo naslednje zahteve:
zagotavljajo jih ponudniki kvalificiranih storitev zaupanja;
pri njih se uporabljajo postopki in tehnologije, s katerimi se lahko zagotovi, da so elektronski podatki in elektronski dokumenti trajni in berljivi tudi po izteku obdobja tehnološke veljavnosti ter vsaj med celotnim pravnim ali pogodbenim obdobjem hrambe, pri čemer se ohranita njihova celovitost in avtentičnost njihovega porekla;
zagotavljajo, da so ti elektronski podatki in ti elektronski dokumenti shranjeni tako, da so zavarovani pred izgubo ali spreminjanjem, z izjemo sprememb njihovega nosilca zapisa ali elektronske oblike;
pooblaščenim zanašajočim se strankam omogočajo, da na avtomatiziran način prejmejo poročilo, ki potrjuje, da velja v zvezi z elektronskimi podatki in elektronskimi dokumenti priklicanimi iz kvalificiranega elektronskega arhiva domneva o njihovi celovitosti od začetka obdobja hrambe do trenutka priklica.
Poročilo iz točke (d) prvega pododstavka se zagotovi na zanesljiv in učinkovit način ter je opremljeno s kvalificiranim elektronskim podpisom ali kvalificiranim elektronskim žigom ponudnika kvalificirane storitve elektronskega arhiviranja.
ODDELEK 11
elektronske evidence
Člen 45k
Pravni učinki elektronskih evidenc
Člen 45l
Zahteve za kvalificirane elektronske evidence
Kvalificirane elektronske evidence izpolnjujejo naslednje zahteve:
ustvari in upravlja jih eden ali več ponudnikov kvalificiranih storitev zaupanja;
dokazujejo poreklo podatkovnih zapisov v evidenci;
zagotavljajo enolično kronološko zaporedje podatkovnih zapisov v evidenci;
podatke beležijo tako, da je vsako njihovo naknadno spremembo mogoče takoj ugotoviti, s čimer zagotavljajo njihovo celovitost skozi čas.
POGLAVJE IV
ELEKTRONSKI DOKUMENTI
Člen 46
Pravni učinki elektronskih dokumentov
Elektronskemu dokumentu se ne odvzameta pravni učinek in dopustnost kot dokaz v pravnih postopkih le zato, ker je v elektronski obliki.
POGLAVJE Iva
OKVIR ZA UPRAVLJANJE
Člen 46a
Nadzor okvira evropske denarnice za digitalno identiteto
Nadzorni organi, imenovani na podlagi prvega pododstavka, dobijo potrebna pooblastila in ustrezne vire za uspešno, učinkovito in neodvisno opravljanje svojih nalog.
Vloga nadzornih organov, imenovanih na podlagi odstavka 1, je:
nadzirati ponudnike evropskih denarnic za digitalno identiteto s sedežem na ozemlju države članice, ki je imenovala zadevni nadzorni organ, ter na podlagi predhodnih in naknadnih nadzornih dejavnosti zagotoviti, da ti ponudniki in evropske denarnice za digitalno identiteto, ki jih ti ponudniki zagotavljajo, izpolnjujejo zahteve iz te uredbe;
po potrebi glede ponudnikov evropskih denarnic za digitalno identiteto s sedežem na ozemlju države članice, ki je imenovala zadevni nadzorni organ, na podlagi naknadnih nadzornih dejavnosti sprejeti ukrepe, kadar so obveščeni, da ponudniki ali evropske denarnice za digitalno identiteto, ki jih ti ponudniki zagotavljajo, kršijo to uredbo.
Naloge nadzornih organov, imenovanih na podlagi odstavka 1, so zlasti naslednje:
sodelovati z drugimi nadzornimi organi in jim zagotavljati pomoč v skladu s členoma 46c in 46e;
zahtevati informacije, potrebne za spremljanje skladnosti s to uredbo;
ustrezne pristojne organe zadevnih držav članic, imenovane ali ustanovljene na podlagi člena 8(1) Direktive (EU) 2022/2555, obvestiti o vseh resnih kršitvah varnosti ali izgubi celovitosti, s katero se seznanijo pri opravljanju svojih nalog, in v primeru resne kršitve varnosti ali izgube celovitosti, ki zadeva druge države članice, obvestiti enotno kontaktno točko zadevne države članice, imenovano ali vzpostavljeno na podlagi člena 8(3) Direktive (EU) 2022/2555, in enotne kontaktne točke v drugih zadevnih državah članicah, vzpostavljene na podlagi člena 46c(1) te uredbe, ter obvestiti javnost ali zahtevati, da to storijo ponudniki evropske denarnice za digitalno identiteto, kadar nadzorni organ ugotovi, da bi bilo razkritje kršitve varnosti ali izgube celovitosti v javnem interesu;
opravljati inšpekcijske preglede na kraju samem in nadzor na daljavo;
zahtevati, da ponudniki evropskih denarnic za digitalno identiteto odpravijo vsakršno neizpolnjevanje zahtev iz te uredbe;
v primeru nezakonite ali goljufive uporabe evropske denarnice za digitalno identiteto začasno preklicati ali razveljaviti registracijo in vključitev zanašajočih se strank v mehanizem iz člena 5b(7);
sodelovati s pristojnimi nadzornimi organi, ustanovljenimi na podlagi člena 51 Uredbe (EU) 2016/679, zlasti jih v ta namen brez nepotrebnega odlašanja obveščati o domnevnih kršitvah pravil o varstvu osebnih podatkov in o kršitvah varnosti, ki domnevno predstavljajo kršitve varnosti osebnih podatkov;
Člen 46b
Nadzor storitev zaupanja
Nadzorni organi, imenovani na podlagi prvega pododstavka, dobijo potrebna pooblastila in ustrezne vire za opravljanje svojih nalog.
Vloga nadzornih organov, imenovanih na podlagi odstavka 1, je:
nadzirati ponudnike kvalificiranih storitev zaupanja s sedežem na ozemlju države članice, ki je imenovala zadevni nadzorni organ, ter na podlagi predhodnih in naknadnih nadzornih dejavnosti zagotoviti, da ti ponudniki kvalificiranih storitev zaupanja in kvalificirane storitve zaupanja, ki jih ti zagotavljajo, izpolnjujejo zahteve iz te uredbe;
po potrebi na podlagi naknadnih nadzornih dejavnosti sprejeti ukrepe v zvezi s ponudniki nekvalificiranih storitev zaupanja, ki imajo sedež na ozemlju države članice, ki je imenovala zadevni nadzorni organ, kadar so obveščeni, da navedeni ponudniki nekvalificiranih storitev zaupanja ali kvalificirane storitve zaupanja, ki jih ti zagotavljajo, domnevno ne izpolnjujejo zahtev iz te uredbe.
Naloge nadzornega organa, imenovanega na podlagi odstavka 1, so zlasti naslednje:
ustrezne pristojne organe zadevnih držav članic, imenovane ali ustanovljene na podlagi člena 8(1) Direktive (EU) 2022/2555, obvestiti o vseh resnih kršitvah varnosti ali izgubi celovitosti, s katero se seznani pri opravljanju svojih nalog, in v primeru resne kršitve varnosti ali izgube celovitosti, ki zadeva druge države članice, obvestiti enotno kontaktno točko zadevne države članice, imenovano ali vzpostavljeno na podlagi člena 8(3) Direktive (EU) 2022/2555, in enotne kontaktne točke v drugih zadevnih državah članicah, vzpostavljene na podlagi člena 46c(1) te uredbe, ter obvestiti javnost ali zahtevati, da to stori ponudnik storitev zaupanja, kadar nadzorni organ ugotovi, da bi bilo razkritje kršitve varnosti ali izgube celovitosti v javnem interesu;
sodelovati z drugimi nadzornimi organi in jim zagotavljati pomoč v skladu s členoma 46c in 46e;
analizirati poročila o ugotavljanju skladnosti iz člena 20(1) in člena 21(1);
Komisiji poročati o svojih glavnih dejavnostih v skladu z odstavkom 6 tega člena;
izvajati revizije ali zahtevati, da organ za ugotavljanje skladnosti opravi ugotavljanje skladnosti ponudnikov kvalificiranih storitev zaupanja v skladu s členom 20(2);
sodelovati s pristojnimi nadzornimi organi, ustanovljenimi na podlagi člena 51 Uredbe (EU) 2016/679, zlasti jih brez nepotrebnega odlašanja obveščati o domnevnih kršitvah pravil o varstvu osebnih podatkov in o kršitvah varnosti, ki domnevno predstavljajo kršitve varnosti osebnih podatkov;
ponudnikom storitev zaupanja in storitvam, ki jih ti zagotavljajo, dodeliti kvalificirani status ter ga odvzeti v skladu s členoma 20 in 21;
obveščati organ, pristojen za nacionalni zanesljivi seznam iz člena 22(3), o svojih odločitvah glede dodelitve ali odvzema kvalificiranega statusa, razen če je ta organ tudi nadzorni organ, imenovan na podlagi odstavka 1 tega člena;
v primeru, da ponudnik kvalificiranih storitev zaupanja preneha opravljati svoje dejavnosti, preveriti, ali obstajajo določbe o načrtih za prenehanje zagotavljanja storitve in ali se te določbe pravilno uporabljajo, vključno s tem, kako se v skladu s členom 24(2), točka (h), ohrani dostop do informacij;
zahtevati, da ponudniki storitev zaupanja odpravijo vsakršno neizpolnjevanje zahtev iz te uredbe;
preiskovati trditve ponudnikov spletnih brskalnikov na podlagi člena 45a in po potrebi ukrepati.
Člen 46c
Enotne kontaktne točke
Člen 46d
Medsebojna pomoč
Medsebojna pomoč pomeni vsaj naslednje:
kadar nadzorni organ uporablja nadzorne in izvršilne ukrepe v eni državi članici, o tem obvesti nadzorni organ druge zadevne države članice in se z njim posvetuje;
nadzorni organ lahko od nadzornega organa druge zadevne države članice zahteva, naj sprejme nadzorne ali izvršilne ukrepe, med drugim lahko zahteva, naj opravlja inšpekcijske preglede, ki se nanašajo na poročila o ugotavljanju skladnosti, kot so navedena v členih 20 in 21 v zvezi z zagotavljanjem storitev zaupanja;
nadzorni organi lahko po potrebi opravljajo skupne preiskave z nadzornimi organi drugih držav članic.
Zadevne države članice se v skladu s svojim nacionalnim pravom dogovorijo o ureditvi in postopkih skupnih ukrepov iz prvega pododstavka in jih tudi vzpostavijo.
Nadzorni organ, na katerega se naslovi zahtevek za pomoč, lahko ta zahtevek zavrne iz katerega koli od naslednjih razlogov:
zahtevana pomoč ni sorazmerna z nadzornimi dejavnostmi, ki jih nadzorni organ opravlja v skladu s členoma 46a in 46b;
nadzorni organ ni pristojen za zagotavljanje zahtevane pomoči;
zagotovitev zahtevane pomoči ne bi bila skladna s to uredbo.
Člen 46e
Skupina za sodelovanje na področju evropske digitalne identitete
Naloge skupine za sodelovanje so:
s Komisijo izmenjavati nasvete in sodelovati glede nastajajočih pobud politike na področju denarnic za digitalno identiteto, sredstev elektronske identifikacije in storitev zaupanja;
po potrebi Komisiji svetovati pri zgodnji pripravi osnutkov izvedbenih in delegiranih aktov, ki se sprejmejo na podlagi te uredbe;
v podporo nadzornim organom pri izvajanju določb te uredbe:
izmenjavati najboljše prakse in informacije glede izvajanja določb te uredbe;
preučevati ustrezno dogajanje v sektorjih, ki zadevajo denarnice za digitalno identiteto, elektronsko identifikacijo in storitve zaupanja;
organizirati skupne sestanke z ustreznimi zainteresiranimi stranmi iz vse Unije, da bi razpravljali o dejavnostih skupine za sodelovanje in zbirali prispevke o nastajajočih izzivih politike;
ob podpori agencije ENISA izmenjavati mnenja, najboljše prakse in informacije o pomembnih vidikih kibernetske varnosti, ki zadevajo evropske denarnice za digitalno identiteto, sheme elektronske identifikacije in storitve zaupanja;
izmenjavati najboljše prakse v zvezi z razvojem in izvajanjem tako politik o obveščanju o kršitvah varnosti kot skupnih ukrepov iz členov 5e in 10;
organizirati skupne sestanke s Skupino za sodelovanje na področju varnosti omrežnih in informacijskih sistemov, ustanovljeno na podlagi člena 14(1) Direktive (EU) 2022/2555, da bi izmenjali pomembne informacije o kibernetskih grožnjah, incidentih, ranljivostih, pobudah za ozaveščanje, usposabljanjih, vajah in spretnostih, krepitvi zmogljivosti, zmogljivosti za razvoj standardov in tehničnih specifikacij, pa tudi standardih in tehničnih specifikacijah, povezanih s storitvami zaupanja in elektronsko identifikacijo;
na zahtevo nadzornega organa razpravljati o specifičnih zahtevkih za medsebojno pomoč iz člena 46d;
z zagotavljanjem usmeritev o organizacijskih vidikih in postopkih medsebojne pomoči iz člena 46d olajšati izmenjavo informacij med nadzornimi organi;
organizirati medsebojne strokovne preglede shem elektronske identifikacije, ki jih je treba priglasiti na podlagi te uredbe.
POGLAVJE V
PRENOS POOBLASTILA IN IZVEDBENE DOLOČBE
Člen 47
Izvajanje pooblastila
Člen 48
Postopek v odboru
POGLAVJE VI
KONČNE DOLOČBE
Člen 48a
Zahteve glede poročanja
Statistični podatki, zbrani v skladu z odstavkom 1, vključujejo naslednje:
število fizičnih in pravnih oseb z veljavno evropsko denarnico za digitalno identiteto;
vrsto in število storitev, ki dopuščajo uporabo evropske denarnice za digitalno identiteto;
število pritožb uporabnikov in incidentov na področju varstva potrošnikov ali varstva podatkov v zvezi z zanašajočimi se strankami in kvalificiranimi storitvami zaupanja;
zbirno poročilo s podatki o incidentih, ki so onemogočili uporabo evropske denarnice za digitalno identiteto;
povzetek pomembnih varnostnih incidentov, kršitev varstva podatkov in prizadetih uporabnikov evropskih denarnic za digitalno identiteto ali kvalificiranih storitev zaupanja.
Člen 49
Pregled
Člen 50
Razveljavitev
Člen 51
Prehodni ukrepi
Člen 52
Začetek veljavnosti
Ta uredba se uporablja od 1. julija 2016, z naslednjimi izjemami:
členi 8(3), 9(5), 12(2) do (9), 17(8), 19(4), 20(4), 21(4), 22(5), 23(3), 24(5), 27(4) in (5), 28(6), 29(2), 30(3) in (4), 31(3), 32(3), 33(2), 34(2), 37(4) in (5), 38(6), 42(2), 44(2), 45(2), ter člena 47 in 48 se uporabljajo od 17. septembra 2014;
člen 7, člen 8(1) in (2), členi 9, 10, 11 ter člen 12(1) se uporabljajo od datuma začetka uporabe izvedbenih aktov iz členov 8(3) in 12(8);
člen 6 se začne uporabljati tri leta po datumu začetka uporabe izvedbenih aktov iz členov 8(3) in 12(8).
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
PRILOGA I
ZAHTEVE V ZVEZI S KVALIFICIRANIMI POTRDILI ZA ELEKTRONSKE PODPISE
Kvalificirana potrdila za elektronske podpise vsebujejo:
navedbo, vsaj v formatu, primernem za avtomatizirano obdelavo, da je bilo potrdilo izdano kot kvalificirano potrdilo za elektronski podpis;
nabor podatkov, ki nedvoumno predstavlja ponudnika kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, ter vključuje vsaj državo članico, v kateri ima zadevni ponudnik sedež, in
vsaj ime podpisnika ali psevdonim; če je uporabljen psevdonim, se to jasno navede;
podatke za potrjevanje veljavnosti elektronskega podpisa, ki ustrezajo podatkom za ustvarjanje elektronskega podpisa;
podrobnosti o začetku in koncu veljavnosti potrdila;
identifikacijsko šifro potrdila, ki je enolična za ponudnika kvalificiranih storitev zaupanja;
napredni elektronski podpis ali napredni elektronski žig ponudnika kvalificiranih storitev zaupanja, ki izdaja potrdilo;
lokacijo, kjer je potrdilo, ki podpira napredni elektronski podpis ali napredni elektronski žig iz točke (g), na voljo brezplačno;
informacije o storitvah, s katerimi je mogoče preveriti veljavnost kvalificiranega potrdila, ali lokacijo teh storitev;
če se podatki za ustvarjanje elektronskega podpisa, povezani s podatki za potrjevanje veljavnosti elektronskega podpisa, nahajajo v napravi za ustvarjanje kvalificiranega elektronskega podpisa, se to ustrezno navede vsaj v formatu, primernem za avtomatizirano obdelavo.
PRILOGA II
ZAHTEVE V ZVEZI Z NAPRAVAMI ZA USTVARJANJE KVALIFICIRANEGA ELEKTRONSKEGA PODPISA
1. Naprave za ustvarjanje kvalificiranega elektronskega podpisa z ustrezno tehnologijo in postopki zagotavljajo vsaj, da:
je razumno zagotovljena zaupnost podatkov za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis;
se lahko podatki za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis, dejansko pojavijo samo enkrat;
je razumno zagotovljeno, da do podatkov za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis, ni mogoče priti s sklepanjem in da je elektronski podpis z uporabo trenutno razpoložljive tehnologije zanesljivo zaščiten pred ponarejanjem;
lahko zakoniti podpisnik zanesljivo zaščiti podatke za ustvarjanje elektronskega podpisa, s katerimi se ustvari elektronski podpis, pred tem, da bi jih lahko uporabljali drugi.
2. Naprave za ustvarjanje kvalificiranega elektronskega podpisa ne spreminjajo podatkov, ki bodo podpisani, ali preprečijo, da bi se ti podatki podpisniku prikazali pred podpisom.
▼M2 —————
PRILOGA III
ZAHTEVE V ZVEZI S KVALIFICIRANIMI POTRDILI ZA ELEKTRONSKE ŽIGE
Kvalificirana potrdila za elektronske žige vsebujejo:
navedbo, vsaj v formatu, primernem za avtomatizirano obdelavo, da je bilo potrdilo izdano kot kvalificirano potrdilo za elektronski žig;
nabor podatkov, ki nedvoumno predstavlja ponudnika kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, ter vključuje vsaj državo članico, v kateri ima zadevni ponudnik sedež, in
vsaj ime ustvarjalca žiga in po potrebi registrsko številko, kot sta navedena v uradnih evidencah;
podatke za potrjevanje veljavnosti elektronskega žiga, ki ustrezajo podatkom za ustvarjanje elektronskega žiga;
podrobnosti o začetku in koncu veljavnosti potrdila;
identifikacijsko šifro potrdila, ki je enolična za ponudnika kvalificiranih storitev zaupanja;
napredni elektronski podpis ali napredni elektronski žig ponudnika kvalificiranih storitev zaupanja, ki izdaja potrdilo;
lokacijo, kjer je potrdilo, ki podpira napredni elektronski podpis ali napredni elektronski žig iz točke (g), na voljo brezplačno;
informacije o storitvah, s katerimi je mogoče preveriti veljavnost kvalificiranega potrdila, ali lokacijo teh storitev;
če se podatki za ustvarjanje elektronskega žiga, povezani s podatki za potrjevanje elektronskega žiga, nahajajo v napravi za ustvarjanje kvalificiranega elektronskega žiga, se to ustrezno navede vsaj v formatu, primernem za avtomatizirano obdelavo.
PRILOGA IV
ZAHTEVE ZA KVALIFICIRANA POTRDILA ZA AVTENTIKACIJO SPLETIŠČ
Kvalificirana potrdila za avtentikacijo spletišč vsebujejo:
navedbo, vsaj v formatu, primernem za avtomatizirano obdelavo, da je bilo potrdilo izdano kot kvalificirano potrdilo za avtentikacijo spletišč;
nabor podatkov, ki nedvoumno predstavlja ponudnika kvalificiranih storitev zaupanja, ki izdaja kvalificirana potrdila, ter vključuje vsaj državo članico, v kateri ima zadevni ponudnik sedež, in
za fizične osebe: vsaj ime osebe, za katero se izdaja potrdilo, ali psevdonim in, če je uporabljen psevdonim, se to jasno navede;
za pravne osebe: enoličen nabor podatkov, ki nedvoumno predstavljajo pravno osebo, za katero se izdaja potrdilo, pri čemer je vključeno vsaj ime pravne osebe, za katero se izdaja potrdilo, in po potrebi registrska številka, kot sta navedena v uradnih evidencah;
elemente naslova fizične ali pravne osebe, za katero se izdaja potrdilo, vključno vsaj s krajem in državo, po potrebi, kot so navedeni v uradnih evidencah;
ime/imena domene, ki jo upravlja fizična ali pravna oseba, za katero se izdaja potrdilo;
podrobnosti o začetku in koncu obdobja veljavnosti potrdila;
identifikacijsko šifro potrdila, ki je enolična za ponudnika kvalificiranih storitev zaupanja;
napredni elektronski podpis ali napredni elektronski žig ponudnika kvalificiranih storitev zaupanja, ki izdaja potrdilo;
lokacijo, na kateri je potrdilo, ki podpira napredni elektronski podpis ali napredni elektronski žig iz točke (h), na voljo brezplačno;
informacije o storitvah za preverjanje veljavnosti potrdila, s katerimi je mogoče preveriti veljavnost kvalificiranega potrdila, ali lokacijo teh storitev.
PRILOGA V
ZAHTEVE V ZVEZI S KVALIFICIRANIM ELEKTRONSKIM POTRDILOM O ATRIBUTIH
Kvalificirana elektronska potrdila o atributih vsebujejo:
navedbo, vsaj v obliki, primerni za avtomatizirano obdelavo, da je bilo potrdilo izdano kot kvalificirano elektronsko potrdilo o atributih;
nabor podatkov, ki nedvoumno predstavlja ponudnika kvalificiranih storitev zaupanja, ki izdaja kvalificirana elektronska potrdila o atributih, ter vključuje vsaj državo članico, v kateri ima zadevni ponudnik sedež, in:
za pravne osebe: ime in po potrebi registrsko številko, kot sta navedena v uradnih evidencah,
za fizične osebe: ime osebe;
nabor podatkov, ki nedvoumno predstavlja subjekt, na katerega se nanašajo potrjeni atributi, in, če je uporabljen psevdonim, se to jasno navede;
potrjeni atribut ali atribute, po potrebi vključno z informacijami, potrebnimi za opredelitev obsega navedenih atributov;
podrobnosti o začetku in koncu obdobja veljavnosti potrdila;
identifikacijsko kodo potrdila, ki mora biti enolična za ponudnika kvalificiranih storitev zaupanja, in, če je primerno, navedbo sheme potrdil, med katere spada potrdilo o atributih;
kvalificirani elektronski podpis ali kvalificirani elektronski žig ponudnika kvalificiranih storitev zaupanja, ki izdaja potrdilo;
lokacijo, na kateri je potrdilo, ki podpira kvalificirani elektronski podpis ali kvalificirani elektronski žig iz točke (g), na voljo brezplačno;
informacije o storitvah, s katerimi je mogoče preveriti veljavnost kvalificiranega potrdila, ali lokacijo teh storitev.
PRILOGA VI
MINIMALNI SEZNAM ATRIBUTOV
Države članice na podlagi člena 45e zagotovijo, da se sprejmejo ukrepi, s katerimi lahko ponudniki kvalificiranih storitev zaupanja, ki izdajajo kvalificirana elektronska potrdila o atributih elektronsko na zahtevo uporabnika preverijo avtentičnost naslednjih atributov na podlagi ustreznega verodostojnega vira na nacionalni ravni ali prek imenovanih posrednikov, priznanih na nacionalni ravni, v skladu pravom Unije ali nacionalnim pravom, kadar se ti atributi opirajo na verodostojne vire znotraj javnega sektorja:
naslov;
starost;
spol;
osebno stanje;
sestava družine;
državljanstvo;
izobrazba, nazivi in licence;
poklicne kvalifikacije, nazivi in licence;
pooblastila in mandati za zastopanje fizičnih ali pravnih oseb;
javna dovoljenja in licence;
za pravne osebe: finančni podatki in podatki o družbah.
PRILOGA VII
ZAHTEVE V ZVEZI Z ELEKTRONSKIM POTRDILOM O ATRIBUTIH, IZDANIM S STRANI ALI V IMENU ORGANA JAVNEGA SEKTORJA, PRISTOJNEGA ZA VERODOSTOJNI VIR
Elektronsko potrdilo o atributih, izdano s strani ali v imenu organa javnega sektorja, pristojnega za verodostojni vir, vsebuje:
navedbo, vsaj v obliki, primerni za avtomatizirano obdelavo, da je bilo potrdilo izdano kot elektronsko potrdilo o atributih, izdano s strani ali v imenu javnega organa, pristojnega za verodostojni vir;
nabor podatkov, ki nedvoumno predstavlja javni organ, ki izdaja elektronsko potrdilo o atributih, ki zajemajo vsaj državo članico, v kateri ima ta javni organ sedež, ter njegovo ime in po potrebi registrsko številko, kot sta navedena v uradnih evidencah;
nabor podatkov, ki nedvoumno predstavlja subjekt, na katerega se nanašajo potrjeni atributi; če je uporabljen psevdonim, se to jasno navede;
potrjeni atribut ali atribute, po potrebi vključno z informacijami, potrebnimi za opredelitev obsega navedenih atributov;
podrobnosti o začetku in koncu obdobja veljavnosti potrdila;
identifikacijsko kodo potrdila, ki mora biti enolična za javni organ izdajatelj, in, če je primerno, navedbo sheme potrdil, med katere spada potrdilo o atributih;
kvalificirani elektronski podpis ali kvalificirani elektronski žig organa izdajatelja;
lokacijo, na kateri je potrdilo, ki podpira kvalificirani elektronski podpis ali kvalificirani elektronski žig iz točke (g), na voljo brezplačno;
informacije o storitvah, s katerimi je mogoče preveriti veljavnost potrdila, ali lokacijo teh storitev.
( 1 ) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).
( 2 ) Direktiva 2014/24/EU Evropskega parlamenta in Sveta z dne 26. februarja 2014 o javnem naročanju in razveljavitvi Direktive 2004/18/ES (UL L 94, 28.3.2014, str. 65).
( 3 ) Direktiva (EU) 2019/882 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o zahtevah glede dostopnosti za proizvode in storitve (UL L 151, 7.6.2019, str. 70).
( 4 ) Uredba (EU) 2019/881 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o Agenciji Evropske unije za kibernetsko varnost (ENISA) in o certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti ter razveljavitvi Uredbe (EU) št. 526/2013 (Akt o kibernetski varnosti) (UL L 151, 7.6.2019, str. 15).
( 5 ) Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro, malih in srednje velikih podjetij) (UL L 124, 20.5.2003, str. 36).
( 6 ) Uredba (EU) 2022/2065 Evropskega parlamenta in Sveta z dne 19. oktobra 2022 o enotnem trgu digitalnih storitev in spremembi Direktive 2000/31/ES (Akt o digitalnih storitvah) (UL L 277, 27.10.2022, str. 1).
( 7 ) Uredba (EU) 2022/1925 Evropskega parlamenta in Sveta z dne 14. septembra 2022 o tekmovalnih in pravičnih trgih v digitalnem sektorju in spremembi direktiv (EU) 2019/1937 in (EU) 2020/1828 (akt o digitalnih trgih) (UL L 265, 12.10.2022, str. 1).
( 8 ) Direktiva (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o ukrepih za visoko skupno raven kibernetske varnosti v Uniji, spremembi Uredbe (EU) št. 910/2014 in Direktive (EU) 2018/1972 ter razveljavitvi Direktive (EU) 2016/1148 (direktiva NIS 2) (UL L 333, 27.12.2022, str. 80).