(c) відповідний орган публічного сектора використовує рівень надійності "істотний" або "високий" для доступу до такої послуги онлайн.
Таке визнання здійснюють не пізніше ніж через 12 місяців після опублікування Комісією списку, зазначеного в пункті (а) першого підпараграфа.
2. Засіб електронної ідентифікації, який випускають за схемою електронної ідентифікації, внесеною у список, що його опублікувала Комісія відповідно до статті 9, і який відповідає рівню надійності "низький", можуть визнати органи публічного сектора для цілей транскордонної автентифікації послуг, які надають такі органи онлайн.
Прийнятність схем електронної ідентифікації для нотифікації
Схему електронної ідентифікації може бути нотифіковано відповідно до статті 9(1), якщо виконано такі умови:
(a) засоби електронної ідентифікації за схемою електронної ідентифікації випускають:
(i) державою-членом, що здійснює нотифікацію;
(ii) за дорученням держави-члена, що здійснює нотифікацію, або
(iii) незалежно від держави-члена, що здійснює нотифікацію, але така держава-член визнає їх;
(b) засоби електронної ідентифікації, які випускають за схемою електронної ідентифікації, можуть використовуватися для доступу щонайменше до однієї послуги, яку надає орган публічного сектора і яка вимагає електронної ідентифікації на території держави-члена, що здійснює нотифікацію;
(c) схема електронної ідентифікації та засоби електронної ідентифікації, які випускають за нею, відповідають вимогам щонайменше одного з рівнів надійності, які встановлено в імплементаційному акті, зазначеному в статті 8(3);
(d) держава-член, що здійснює нотифікацію, забезпечує присвоєння ідентифікаційних даних особи, які однозначно представляють відповідну особу, зазначеній у пункті 1 статті 3 фізичній або юридичній особі в момент випуску за такою схемою засобу електронної ідентифікації відповідно до технічних вимог, стандартів та процедур щодо відповідного рівня надійності, передбачених в імплементаційному акті, зазначеному у статті 8(3);
(e) особа, яка випускає засоби електронної ідентифікації за такою схемою, забезпечує присвоєння засобів електронної ідентифікації зазначеній у пункті (d) цієї статті особі відповідно до технічних вимог, стандартів та процедур щодо відповідного рівня надійності, передбачених в імплементаційному акті, зазначеному у статті 8(3);
(f) держава-член, що здійснює нотифікацію, забезпечує наявність автентифікації онлайн у такий спосіб, щоб будь-яка сторона-користувач, заснована в іншій державі-члені, мала можливість підтвердити ідентифікаційні дані особи в електронній формі.
Для сторін-користувачів, відмінних від органів публічного сектора, держава-член, що здійснює нотифікацію, може визначати умови доступу до такої автентифікації. Транскордонну автентифікацію здійснюють безкоштовно, якщо її проводять у зв’язку з онлайн-послугою, що її надає орган публічного сектора.
Держави-члени не повинні висувати жодних конкретних непропорційних технічних вимог до сторін-користувачів, які мають намір провести таку автентифікацію, якщо такі вимоги запобігають або значною мірою перешкоджають інтероперабельності нотифікованих схем електронної ідентифікації;
(g) щонайменше за шість місяців до нотифікації відповідно до статті 9(1) держава-член, що здійснює нотифікацію, надає іншим державам-членам для цілей обов’язку, визначеного у статті 12(5), опис схеми відповідно до процедурного порядку, встановленого в імплементаційних актах, зазначених у статті 12(7);
(h) схема електронної ідентифікації відповідає вимогам імплементаційного акту, зазначеного в статті 12(8).
Рівні надійності схем електронної ідентифікації
1. У схемі електронної ідентифікації, нотифікованій відповідно до статті 9(1), визначають низький, істотний та/або високий рівні надійності для засобів електронної ідентифікації, що їх випускають за такою схемою.
2. Низький, істотний та високий рівні надійності повинні відповідати таким критеріям:
(a) низький рівень надійності стосується засобу електронної ідентифікації в контексті схеми електронної ідентифікації, який забезпечує обмежений ступінь довіри до заявленої або стверджуваної тотожності особи, та охарактеризований на основі технічних специфікацій, пов’язаних із ними стандартів та процедур, у тому числі технічні засоби контролю, ціль яких полягає в зниженні ризику неправильного використання або зміни тотожності особи;
(b) істотний рівень надійності стосується засобу електронної ідентифікації в контексті схеми електронної ідентифікації, який забезпечує істотний ступінь довіри до заявленої або стверджуваної тотожності особи, та охарактеризований на основі технічних специфікацій, пов’язаних з ними стандартів та процедур, у тому числі технічні засоби контролю, ціль яких полягає в істотному зниженні ризику неправильного використання або зміни тотожності особи;
(c) високий рівень надійності стосується засобу електронної ідентифікації в контексті схеми електронної ідентифікації, який забезпечує вищий ступінь довіри до заявленої або стверджуваної тотожності особи, порівняно із засобом електронної ідентифікації, що має істотний рівень довіри, та охарактеризований на основі технічних специфікацій, пов’язаних з ними стандартів та процедур, у тому числі технічні засоби контролю, ціль яких полягає у запобіганні неправильному використанню або зміні тотожності особи.
3. До 18 вересня 2015 року, беручи до уваги відповідні міжнародні стандарти та відповідно до параграфа 2, Комісія шляхом ухвалення імплементаційних актів установлює мінімальні технічні специфікації, стандарти та процедури, на основі яких визначають низький, істотний та високий рівні надійності для засобів електронної ідентифікації для цілей параграфа 1.
Такі мінімальні технічні специфікації, стандарти та процедури повинні бути встановлені на основі надійності та якості таких складових:
(a) процедури доведення та верифікації тотожності фізичних або юридичних осіб, які подали заявку на випуск для них засобів електронної ідентифікації;
(b) процедури випуску засобів електронної ідентифікації, на які подавали заявку;
(c) механізму автентифікації, за допомогою якого фізична або юридична особа використовує засіб електронної ідентифікації для підтвердження стороні-користувачу своєї тотожності;
(d) суб’єкта, який випускає засоби електронної ідентифікації
(e) будь-якого іншого суб’єкта, який бере участь в опрацюванні заявки на випуск засобів електронної ідентифікації, та
(f) технічних специфікацій і специфікацій щодо безпеки випущених засобів електронної ідентифікації.
Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
Нотифікація
1. Держава-член, що здійснює нотифікацію, нотифікує без зайвих зволікань Комісії таку інформацію та подальші зміни до неї:
(a)опис схеми електронної ідентифікації, у тому числі її рівні надійності та орган, що випускає засоби електронної ідентифікації за такою схемою;
(b) застосовний режим нагляду та інформацію про режим відповідальності щодо:
(i) сторони, яка випускає засоби електронної ідентифікації, та
(ii) сторони, яка проводить процедуру автентифікації;
(c) орган або органи, відповідальні за схему електронної ідентифікації;
(d) інформацію про суб’єкта або суб’єктів, які управляють реєстрацією унікальних ідентифікаційних даних особи;
(e) опис дотримання вимог імплементаційних актів, зазначених у статті 12(8);
(f) опис автентифікації, зазначеної в пункті (f) статті 7;
(g) порядок призупинення чинності або скасування нотифікованої схеми ідентифікації, автентифікації або їхніх відповідних сумнівних частин.
2. Через один рік з дати застосування імплементаційних актів, зазначених у статтях 8(3) та 12(8), Комісія повинна опубліковувати в Офіційному віснику Європейського Союзу список схем електронної ідентифікації, які нотифіковано на підставі параграфа 1 цієї статті, та основну пов’язану з ними інформацію.
3. Якщо Комісія отримає нотифікацію після закінчення строку, зазначеного в параграфі 2, вона повинна опубліковувати в Офіційному віснику Європейського Союзу зміни до списку, зазначеного в параграфі 2, протягом двох місяців з моменту отримання нотифікації.
4. Держава-член може подати до Комісії прохання на видалення власної схеми ідентифікації зі списку, зазначеного в параграфі 2. Комісія повинна опубліковувати в Офіційному віснику Європейського Союзу відповідні зміни у списку протягом одного місяця з дня отримання прохання від держави-члена.
5. Комісія може шляхом ухвалення імплементаційних актів визначити обставини, формати іпроцедури нотифікацій за параграфом 1. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
Порушення безпеки
1. Якщо схему електронної ідентифікації, нотифіковану відповідно до статті 9(1), або автентифікацію, зазначену в пункті (f) статті 7, порушують або частково компрометують у такий спосіб, що це впливає на надійність транскордонної автентифікації такої схеми, держава-член, що здійснює нотифікацію, невідкладно призупиняє чинність транскордонної автентифікації або її скомпрометованих частини чи скасовує їх та інформує про це інші держави-члени і Комісію.
2. Якщо порушення або компрометацію, зазначені в параграфі 1, усунуто, держава-член, що здійснює нотифікацію, поновлює транскордонну автентифікацію та інформує про це інші держави-члени і Комісію без зайвих зволікань.
3. Якщо порушення або компрометацію, зазначені в параграфі 1, не усунуто протягом 3 місяців після призупинення чинності або скасування схеми, держава-член, що здійснює нотифікацію, інформує інші держави-члени і Комісію про скасування схеми електронної ідентифікації.
Комісія публікує в Офіційному віснику Європейського Союзу відповідні зміни до списку, зазначеного в статті 9(2), без зайвих зволікань.
Відповідальність
1. Держава-член, яка здійснює нотифікацію, несе відповідальність за шкоду, спричинену будь-якій фізичній або юридичній особі навмисно чи з необережності через невиконання своїх обов’язків, зазначених у пунктах (d) і (f) статті 7, у межах транскордонної транзакції.
2. Сторона, яка випускає засоби електронної ідентифікації, несе відповідальність за шкоду, спричинену будь-якій фізичній чи юридичній особі навмисно чи з необережності через невиконання свого обов’язку, зазначеного у пункті (е) статті 7, у межах транскордонної транзакції.
3. Сторона, яка проводить процедуру автентифікації, несе відповідальність за шкоду, спричинену будь-якій фізичній чи юридичній особі навмисно чи з необережності через незабезпечення правильного проведення автентифікації, зазначеної в пункті (f) статті 7, у межах транскордонної транзакції.
4. Параграфи 1, 2 і 3 застосовують відповідно до національних правил щодо відповідальності.
5. Параграфи 1, 2 і 3 не обмежують відповідальність за національним правом сторін транзакції,у межах якої використовують засоби електронної ідентифікації, що належать до схеми електронної ідентифікації, нотифікованої відповідно до статті 9(1).
Співпраця та інтероперабельність
1. Національні схеми електронної ідентифікації, нотифіковані відповідно до статті 9(1), повинні бути інтероперабельними.
2. Для цілей параграфа 1 необхідно встановити рамки інтероперабельності.
3. Рамки інтероперабельності повинні відповідати таким критеріям:
(a) мати на меті збереження технологічного нейтралітету і не виділяти будь-які національні технічні рішення щодо електронної ідентифікації в межах держави-члена;
(b) відповідати європейським та міжнародним стандартам, за можливості;
(c) полегшувати впровадження принципу приватності за призначенням;
(d) забезпечувати опрацювання персональних даних відповідно до Директиви 95/46/ЄС .
4. Рамки інтероперабельності повинні містити:
(a) покликання на мінімальні технічні вимоги, пов’язані з рівнями надійності відповідно до статті 8;
(b) опис відповідності національних рівнів надійності нотифікованих схем електронної ідентифікації рівням надійності, зазначеним у статті 8;
(c) покликання на мінімальні технічні вимоги до інтероперабельності;
(d) покликань на мінімальні набори ідентифікаційних даних особи, які однозначно визначають фізичну або юридичну особу та які доступі в схемах електронної ідентифікації;
(e) процедурні правила;
(f) механізми врегулювання спорів та
(g) спільні експлуатаційні стандарти безпеки.
5. Держави-члени співпрацюють із таких питань:
(a) інтероперабельність схем електронної ідентифікації, нотифікованих відповідно до статті 9(1), та схем електронної ідентифікації, які держави-члени мають намір нотифікувати, та
(b) безпеки схем електронної ідентифікації.
6. Співпраця між державами-членами охоплює:
(a) обмін інформацією, досвідом і належною практикою щодо схем електронної ідентифікації, зокрема щодо технічних вимог, пов’язаних з інтероперабельністю та рівнями надійності;
(b) обмін інформацією, досвідом і належною практикою щодо роботи з рівнями надійності схем електронної ідентифікації відповідно до статті 8;
(c) експертної оцінки схем електронної ідентифікації, на які розповсюджується дія цього Регламенту, та
(d) дослідження відповідних змін у секторі електронної ідентифікації.
7. До 18 березня 2015 року Комісія шляхом ухвалення імплементаційних актів установлює процедурні механізми сприяння співпраці між державами-членами, про яку йдеться в параграфах 5 і 6, з метою досягнення високого рівня довіри і безпеки, що доцільний для ступеня ризику.
8. До 18 вересня 2015 року, з метою встановлення уніфікованих умов для впровадження вимоги за параграфом 1, Комісія ухвалює імплементаційні акти щодо рамок інтероперабельності, як це викладено в параграфі 4, відповідно до викладених у параграфі 3 критеріїв та беручи до уваги результати співпраці між державами-членами.
9. Імплементаційні акти, зазначені в параграфах 7 і 8 цієї статті, ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
ГЛАВА III
ДОВІРЧІ ПОСЛУГИ
СЕКЦІЯ 1
Загальні положення
Відповідальність і тягар доказування
1. Без обмеження параграфа 2, надавачі довірчих послуг несуть відповідальність за шкоду, спричинену навмисно або з необережності будь-якій фізичній чи юридичній особі через невиконання обов’язків, передбачених у цьому Регламенті.
Тягар доказування умислу або необережності некваліфікованого надавача довірчих послуг покладають на фізичну або юридичну особу, яка заявляє про шкоду, зазначену в першому підпараграфі.
Припускають наявність умислу або необережності кваліфікованого надавача довірчих послуг, якщо кваліфікований надавач довірчих послуг не доведе, що шкоди, зазначена в першому підпараграфі, завдано не через умисел або необережність такого кваліфікованого надавача довірчих послуг.
2. Якщо надавачі довірчих послуг у належний спосіб та заздалегідь поінформують своїх користувачів про обмеження у використанні надаваних ними послуг і якщо треті особи можуть визнати такі обмеження, надавачі довірчих послуг не несуть відповідальності за шкоду, що виникла внаслідок використання послуг з перевищенням зазначених обмежень.
3. Параграфи 1 і 2 застосовують відповідно до національних правил щодо відповідальності.
Міжнародні аспекти
1. Довірчі послуги, що їх надають надавачі довірчих послуг, засновані в третій країні, визнають юридично рівнозначними довірчим послугам, які надають кваліфіковані надавачі довірчих послуг, засновані у Союзі, якщо довірчі послуги, які походять із третьої країни, визнано за угодою, укладеною між Союзом та такою третьою країною або міжнародною організацією відповідно до статті 218 Договору про функціонування Європейського Союзу.
2. Зазначені в параграфі 1 угоди забезпечують, зокрема:
(a) відповідність вимогам, застосовним до кваліфікованих надавачів довірчих послуг, заснованих у Союзі, та до кваліфікованих довірчих послуг, які вони надають, надавачів довірчих послуг у третій країні або міжнародних організацій, з якими укладено угоди, та довірчих послуг, які вони надають;
(b) кваліфіковані довірчі послуги, які надають кваліфіковані надавачі довірчих послуг, засновані у Союзі, визнано юридично рівнозначними довірчим послугам, які надають надавачі довірчих послуг у третій країні чи міжнародні організації, з якими укладено угоду.
Доступність для осіб з інвалідністю
За можливості, довірчі послуги та продукти для кінцевих користувачів, використовувані під час надання таких послуг, повинні бути доступними для осіб з інвалідністю.
Санкції
Держави-члени встановлюють правила застосування санкцій у разі порушень цього Регламенту. Передбачені санкції повинні бути ефективними, пропорційними та стримувальними.
СЕКЦІЯ 2
Нагляд
Наглядовий орган
1. Держави-члени призначають наглядовий орган, заснований на їхній території, або за взаємною домовленістю з іншою державою-членом наглядовий орган, заснований у такій іншій державі-члені. Такий орган відповідальний за виконання завдань із нагляду в державі-члені, яка його призначила.
Наглядовим органам надають необхідні повноваження та належні ресурси для виконання їхніх завдань.
2. Держави-члени повідомляють Комісії назви та адреси своїх відповідних призначених наглядових органів.
3. Роль наглядового органу є такою:
(a) здійснення нагляду за кваліфікованими надавачами довірчих послуг, заснованих у державі-члені, що призначила наглядовий орган, у межах наглядової діяльності ex ante та ex post для того, щоб такі кваліфіковані надавачі довірчих послуг та надавані ними кваліфіковані довірчі послуги відповідали вимогам, установленим у цьому Регламенті;
(b) за необхідності, вжиття заходів до некваліфікованих надавачів довірчих послуг, заснованих у державі-члені, що призначила наглядовий орган, у межах наглядової діяльності ex post після отримання інформації про те, що некваліфіковані надавачі довірчих послуг або надавані ними довірчі послуги нібито не відповідають вимогам, установленим у цьому Регламенті.
4. Для цілей параграфа 3 та з урахуванням передбачених у ньому обмежень, завдання наглядового органу охоплюють, зокрема:
(a) співпрацю з іншими наглядовими органами та надання допомоги їм відповідно до статті 18;
(b) аналізування звітів про оцінювання відповідності, зазначених у статтях 20(1) і 21(1);
(c) інформування інших наглядових органів та широкого загалу про порушення безпеки або втрату цілісності відповідно до статті 19(2);
(d) звітування перед Комісією про свою основну діяльність відповідно до параграфа 6 цієї статті;
(e) проведення аудитів або подання запиту до органу з оцінювання відповідності на проведення оцінювання відповідності кваліфікованого надавача довірчих послуг відповідно до статті 20(2);
(f) співпрацю з органами з питань захисту даних, зокрема, шляхом їх інформування без зайвих зволікань про результати аудитів кваліфікованих надавачів довірчих послуг, якщо виявлено, що правила захисту персональних даних порушено;
(g) надання надавачам довірчих послуг та надаваних ними послугам статусу кваліфікованих та відкликання цього статусу відповідно до статей 20 і 21;
(h) інформування органу, відповідального за національний довірчий список відповідно до статті 22(3), свої рішення про надання або відкликання статусу кваліфікованого, якщо цей орган не є наглядовим;
(i) перевірку наявності і правильного застосування положень щодо планів припинення діяльності у разі припинення кваліфікованими надавачами довірчих послуг своєї діяльності, у тому числі способи доступності до інформації, що зберігається, відповідно до пункту (h) статті 24(2);
(j) вимагання від надавачів довірчих послуг усунення будь-якого невиконання вимог, установлених у цьому Регламенті.
5. Держави-члени можуть вимагати від наглядового органу встановлення, підтримки та оновлення інфраструктури довіри відповідно до умов, установлених у національному праві.
6. До 31 березня кожного року кожний наглядовий орган надає Комісії звіт про основні напрямки своєї діяльності за попередній календарний рік разом зі стислим викладом отриманих від надавачів довірчих послуг повідомлень про порушення відповідно до статті 19(2).
7. Комісія надає річний звіт, зазначений у параграфі 6, усім державам-членам.
8. Комісія може шляхом ухвалення імплементаційних актів визначити формати і процедури для звіту, зазначеного в параграфі 6. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
Взаємна допомога
1. Наглядові органи співпрацюють для обміну належною практикою.
Наглядовий орган, після отримання обґрунтованого запиту від іншого наглядового органу, надає такому органу допомогу у такий спосіб, щоб діяльність наглядових органів можна було здійснювати узгоджено. Взаємна допомога може охоплювати, зокрема, інформаційні запити і наглядові заходи, такі як запити на проведення інспекцій, пов’язаних зі звітами про оцінювання відповідності, зазначеними в статтях 20 і 21.
2. Наглядовий орган, якому направлено запит на надання допомоги, може відхилити цей запит за будь-якої з таких умов:
(a) наглядовий орган не має права надавати допомогу, на надання якої надійшов запит;
(b) допомога, на надання якої надійшов запит, не є пропорційною наглядовій діяльності наглядового органу, проваджуваній відповідно до статті 17;
(c) надання допомоги, на надання якої надійшов запит, буде несумісним з цим Регламентом.
3. За доцільності, держави-члени можуть уповноважити свої відповідні наглядові органи здійснювати спільні розслідування із залученням працівників наглядових органів інших держав-членів. Домовленості і процедури для таких спільних заходів узгоджують і встановлюють держави-члени відповідно до свого національного права.
Вимоги до безпеки, застосовні до надавачів довірчих послуг
1. Кваліфіковані і некваліфіковані надавачі довірчих послуг вживають відповідних технічних та організаційних заходів для управління ризиками, яким піддається безпека надаваних ними довірчих послуг. Беручи до уваги останні технічні досягнення, такі заходи повинні забезпечити сумірність рівня безпеки ступеню ризику. Зокрема, необхідно вжити заходів для запобігання впливу інцидентів у сфері безпеки, їх мінімізації та інформування стейкхолдерів про негативні наслідки будь-яких таких інцидентів.
2. Кваліфіковані і некваліфіковані надавачі довірчих послуг повідомляють наглядовий орган та,за доцільності, інші відповідні органи, такі як компетентний національний орган із інформаційної безпеки або орган з питань захисту даних, про будь-які порушення безпеки або втрату цілісності, які мають істотний вплив на надавану довірчу послугу або на персональні дані, використовувані у її межах, без зайвих зволікань та в будь-якому разі протягом 24 годин після того, як їм це стало відомо про таке.
Якщо існує ймовірність, що порушення безпеки або втрата цілісності можуть негативно вплинути на фізичну або юридичну особу, якій надано довірчу послугу, надавач довірчої послуги також повідомляє без зайвих зволікань фізичну або юридичну особу про порушення безпеки або втрату цілісності.
За доцільності, зокрема якщо порушення безпеки або втрата цілісності стосується двох або більше держав-членів, наглядовий орган, якому надійшло повідомлення, інформує наглядові органи інших відповідних держав-членів та ENISA.
Наглядовий орган, якому надіслано повідомлення, інформує широкий загал або вимагає від надавача довірчих послуг зробити це, якщо він встановить, що розкриття інформації про порушення безпеки або втрати цілісності має суспільний інтерес.
3. Наглядовий орган раз на рік надає ENISA стислий виклад повідомлень про порушення безпеки та втрату цілісності, отриманих від надавачів довірчих послуг.
4. Комісія може шляхом ухвалення імплементаційних актів:
(a) додатково визначити заходи, зазначені в параграфі 1; та
(b) визначити формати і процедури, у тому числі кінцеві терміни, застосовні для цілей параграфа 2.
Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
СЕКЦІЯ 3
Кваліфіковані довірчі послуги
Нагляд за кваліфікованими надавачами довірчих послуг
1. Кваліфіковані надавачі довірчих послуг повинні щонайменше кожні 24 місяці за власний кошт проходити аудит з боку органів з оцінювання відповідності. Метою аудиту є підтвердження відповідності кваліфікованих надавачів довірчих послуг та надаваних ними кваліфікованих довірчих послуг вимогам, установленим у цьому Регламенті. Кваліфіковані надавачі довірчих послуг надають наглядовому органу звіт про оцінювання відповідності протягом трьох робочих днів після його отримання.
2. Без обмеження параграфа 1, наглядовий орган може в будь-який час провести аудит або подати запит до органу з оцінювання відповідності на проведення процедури оцінювання відповідності кваліфікованих надавачів довірчих послуг за їхній власний кошт для підтвердження їх відповідності та відповідності надаваних ними кваліфікованих довірчих послуг вимогам, установленим у цьому Регламенті. Наглядовий орган інформує органи з питань захисту даних про результати аудитів, якщо виявлено порушення правил захисту персональних даних.
3. Якщо наглядовий орган вимагає від кваліфікованого надавача довірчих послуг усунення будь-якого невиконання вимог, установлених у цьому Регламенті, і якщо такий надавач не діє відповідно і, за доцільності, у встановлені наглядовим органом строки, наглядовий орган з урахуванням, зокрема, масштабів, тривалості та наслідків такого невиконання може скасувати статус "кваліфікований" для такого надавача або надаваної ним відповідної послуги та поінформувати зазначений у статті 22(3) орган для цілей оновлення довірчих списків, зазначених у статті 22(1). Наглядовий орган інформує кваліфікованого надавача довірчих послуг про скасування його статусу "кваліфікований" або статусу відповідної послуги "кваліфікована".
4. Комісія може шляхом ухвалення імплементаційних актів установити вихідний номер таких стандартів:
(a) акредитація органів з оцінювання відповідності та для звіту про оцінювання відповідності, зазначеного в параграфі 1;
(b) правила проведення аудиту, за якими органи з оцінювання відповідності оцінюватимуть відповідність кваліфікованих надавачів довірчих послуг, як зазначено в параграфі 1.
Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
Ініціювання надання кваліфікованої довірчої послуги
1. Якщо надавачі довірчих послуг, які не мають статусу "кваліфікований", мають намір надавати кваліфіковані довірчі послуги, вони повідомляють наглядовий орган про свій намір та надають звіт про оцінювання відповідності, виданий органом з оцінювання відповідності.
2. орган перевіряє відповідність надавача довірчих послуг та надаваних ним довірчих послуг вимогам цього Регламенту, зокрема вимогам, установленим для кваліфікованих надавачів довірчих послуг та надаваних ними кваліфікованих довірчих послуг.
Якщо наглядовий орган зробить висновок, що надавач довірчих послуг і надавані ним довірчі послуги відповідають вимогам, зазначеним у першому підпараграфі, наглядовий орган надає надавачу довірчих послуг статус "кваліфікований" та повинен поінформувати зазначений у статті 22(3) орган для цілей оновлення довірчих списків, зазначених у статті 22(1), не пізніше ніж через три місяці після повідомлення, зазначеного в параграфі 1 цієї статті.
Якщо перевірку не буде завершено протягом трьох місяців з моменту повідомлення, наглядовий орган інформує надавача довірчих послуг про причини затримки та період, протягом якого перевірку буде завершено.
3. Кваліфіковані надавачі довірчих послуг можуть почати надавати кваліфіковану довірчу послугу після того, як інформацію про статус буде внесено у довірчі списки, зазначені у статті 22(1).
4. Комісія може шляхом ухвалення імплементаційних актів визначити формати і процедури для цілей параграфів 1 і 2. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
Довірчі списки
1. Кожна держава-член впроваджує, підтримує в актуальному стані та публікує довірчі списки,у тому числі інформацію про кваліфікованих надавачів довірчих послуг, за які вона є відповідальною, та інформацію, пов’язану з надаваними ними кваліфікованими довірчими послугами.
2. Держави-члени впроваджують, підтримують в актуальному стані та публікують зазначені в параграфі 1 довірчі списки, які скріплено електронним підписом або електронною печаткою, у безпечний спосіб та в формі, що підходить для автоматичного опрацювання.
3. Держави-члени без зайвих зволікань повідомляють Комісії інформацію про орган, відповідальний за впровадження, підтримання в актуальному стані та опублікування національних довірчих списків, та деталі про місця опублікування таких списків, сертифікати, використовувані для скріплення електронним підписом або електронною печаткою довірчих списків, та будь-які зміни, внесені до таких списків.
4. Комісія оприлюднює, з використанням безпечного каналу, інформацію, зазначену в параграфі 3, у скріпленій електронним підписом або електронною печаткою формі, що придатна для автоматизованої обробки.
5. До 18 вересня 2015 року Комісія повинна шляхом ухвалення імплементаційних актів установити зазначену в параграфі 1 інформацію та визначати технічні специфікації і формати для довірчих списків, застосовні для цілей параграфів 1-4. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
Знак довіри ЄС для кваліфікованих довірчих послуг
1. Після того, як зазначений у другому підпараграфі статті 21(2) статус "кваліфікований" буде внесено до довірчого списку, зазначеного в статті 22(1), кваліфіковані надавачі довірчих послуг можуть використовувати знак довіри ЄС для позначення в простий, упізнаваний та чіткий спосіб надаваних ними довірчих послуг.
2. Під час використання для кваліфікованих довірчих послуг знаку довіри ЄС, зазначеного в параграфі 1, кваліфіковані надавачі довірчих послуг забезпечують наявність на їхньому сайті посилання на відповідний довірчий список.
3. До 1 липня 2015 року Комісія повинна шляхом ухвалення імплементаційних актів передбачити специфікації щодо форми та, зокрема, представлення, складу, розміру та дизайну знаку довіри ЄС для кваліфікованих довірчих послуг. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
Вимоги до кваліфікованих надавачів довірчих послуг
1. Під час видання кваліфікованого сертифіката для довірчої послуги надавач кваліфікованих довірчих послуг за допомогою відповідних засобів та відповідно до національного права перевіряє тотожність та, за доцільності, будь-які конкретні характерні ознаки фізичної або юридичної особи, якій він видає кваліфікований сертифікат.
Кваліфікований надавач довірчих послуг перевіряє інформацію, про яку йдеться в першому абзаці, самостійно або звернувшись до третьої особи відповідно до національного права:
(a) у фізичній присутності фізичної особи або уповноваженого представника юридичної особи; або
(b) дистанційно з використанням засобів електронної ідентифікації, для чого до видання кваліфікованого сертифіката було забезпечено присутність фізичної особи або уповноваженого представника юридичної особи, та з використанням засобів електронної ідентифікації, які відповідають вимогам, установленим у статті 8 щодо рівнів надійності "істотний" або "високий"; або
(c) за допомогою сертифіката кваліфікованого електронного підпису або кваліфікованої електронної печатки, виданого відповідно до пункту (a) чи (b); або
(d) шляхом використання інших методів ідентифікації, які визнано на національному рівні та передбачають надійність, рівнозначну надійності фізичної присутності. Орган з оцінювання відповідності підтверджує рівнозначність надійності.
2. Кваліфікований надавач довірчих послуг, який надає кваліфіковані довірчі послуги, повинен:
(a) інформувати наглядовий орган про будь-які зміни в наданні ним кваліфікованих довірчих послуг, у тому числі про намір припинити свою діяльність;
(b) наймати персонал і, за доцільності, субпідрядників, які мають необхідні знання, надійність, досвід та кваліфікацію та які пройшли відповідну підготовку у сфері безпеки і правил захисту персональних даних, та застосовувати адміністративні й управлінські процедури, які відповідають європейським або міжнародним стандартам;
(c) щодо ризику настання відповідальності за шкоду відповідно до статті 13, володіти достатніми фінансовими ресурсами та/або оформити належне страхування відповідальності згідно з національним правом;
(d) до вступу в договірні відносини повідомляти в прозорий та всебічний спосіб будь-яку особу, яка прагне використовувати кваліфіковану довірчу послугу, про чіткі строки та умови використання такої послуги, у тому числі про будь-які обмеження її використання;
(e) використовувати благонадійні системи і продукти, які захищено від модифікації, та забезпечувати технічну безпеку і надійність підтримуваних ними процесів;
(f) використовувати благонадійні системи для зберігання даних, наданих йому в придатній для перевірки формі так, щоб:
(i) вони були загальнодоступні для пошуку лише за умови отримання згоди особи, з якою пов’язані такі дані,
(ii) тільки уповноважені особи могли вносити записи і зміни до даних, що зберігаються,
(iii) автентичність даних можна було перевірити;
(g) вживати відповідних заходів для запобігання підробленню і викраденню даних;
(h) записувати та зберігати у загальнодоступній формі протягом відповідного періоду, в тому числі після припинення діяльності кваліфікованим надавачем довірчих послуг, усю необхідну інформацію про видані та отримані надавачем кваліфікованих довірчих послуг дані, зокрема, для надання доказів у провадженнях та для забезпечення безперервності надання послуг. Такі записи можна здійснювати в електронній формі;
(i) мати актуальний план припинення діяльності для забезпечення безперервності надання послуг відповідно до положень, що їх перевіряв наглядовий орган згідно з пунктом (i) статті 17(4);
(j) забезпечити законне опрацювання персональних даних відповідно до Директиви 95/46/ЄС ;
(k) у разі видання кваліфікованими надавачами довірчих послуг кваліфікованих сертифікатів створити і оновлювати базу даних сертифікатів.
3. Якщо кваліфікований надавач довірчих послуг, який видає кваліфіковані сертифікати, вирішив скасувати сертифікат, він реєструє таке скасування в базі даних сертифікатів та опубліковує статус сертифіката "скасований" вчасно, але в будь-якому разі протягом 24 годин після отримання запиту. Скасування вводять в дію негайно після його опублікування.
4. Щодо параграфа 3, надавачі кваліфікованих довірчих послуг, які видають кваліфіковані сертифікати, надають будь-якій стороні-користувачу інформацію про чинність або скасування виданих ними кваліфікованих сертифікатів. Цю інформацію надають, щонайменше для окремого сертифіката у будь-який час та поза строком чинності сертифіката в автоматичному режимі, який є надійним, безкоштовним і ефективним.
5. Комісія може шляхом ухвалення імплементаційних актів установити вихідні номери стандартів для благонадійних систем і продуктів, які відповідають вимогам, зазначеним у пунктах (e) і (f) параграфа 2 цієї статті. Припускають, що відповідності вимогам, установленим у цій статті, досягнуто, якщо благонадійні системи та продукти відповідають таким стандартам. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
СЕКЦІЯ 4
Юридична сила електронних підписів
Юридична сила електронних підписів
1. Електронний підпис не можуть позбавити юридичної сили і можливості бути прийнятим як доказ у провадженнях лише на підставі його електронної форми або його невідповідності вимогам до кваліфікованого електронного підпису.
2. Кваліфікований електронний підпис має таку саму юридичну силу, як власноручний підпис.
3. Кваліфікований електронний підпис на основі кваліфікованого сертифіката, виданого в одній державі-члені, визнають кваліфікованим електронним підписом у всіх інших державах-членах.
Вимоги до удосконалених електронних підписів
Удосконалений електронний підпис повинен відповідати таким вимогам:
(a) він повинен бути однозначно пов’заний з підписувачем;
(b) він повинен надавати можливість ідентифікувати підписувача;
(c) його необхідно створювати з використанням даних для створення електронного підпису, які підписувач може з високим ступенем упевненості використовувати лише під своїм одноосібним контролем;
(d) він повинен бути зв’язаний зі скріпленими ним даними у такий спосіб, щоб можна було виявити будь-яку подальшу зміну даних.
Електронні підписи в публічних послугах
1. Якщо державі-члену потрібен удосконалений електронний підпис для використання онлайн-послуг, які пропонує орган публічного сектора або які пропонують від його імені, така держава-член визнає вдосконалені електронні підписи, вдосконалені електронні підписи на основі кваліфікованого сертифіката електронних підписів та кваліфіковані електронні підписи щонайменше в форматах або з використанням методів, які визначено в імплементаційних актах, про які йдеться в параграфі 5.
2. Якщо державі-члену потрібен удосконалений електронний підпис на підставі кваліфікованого сертифіката для використання онлайн-послуг, які пропонує орган публічного сектора або які пропонують від його імені, така держава-член визнає вдосконалені електронні підписи на основі кваліфікованого сертифіката та кваліфіковані електронні підписи щонайменше в форматах або з використанням методів, які визначено в імплементаційних актах, про які йдеться в параграфі 5.
3. Держави-члени не повинні подавати запит для транскордонного використання в онлайн-послугах, які пропонує орган публічного сектора, на електронний підпис з вищим рівнем безпеки, ніж кваліфікований електронний підпис.
4. Комісія може шляхом ухвалення імплементаційних актів установити вихідні номери стандартів для вдосконалених електронних підписів. Припускають, що відповідності вимогам до вдосконалених електронних підписів, зазначених в параграфах 1 і 2 цієї статті та в статті 26, досягнуто, якщо вдосконалений електронний підпис відповідає таким стандартам. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
5. До 18 вересня 2015 року з урахуванням чинних практик, стандартів та правових актів Союзу Комісія повинна ухвалити імплементаційні акти, у яких визначено референтні формати вдосконалених електронних підписів або референтні методи, якщо використовують альтернативні формати. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
Кваліфіковані сертифікати електронних підписів
1. Кваліфіковані сертифікати електронних підписів повинні відповідати вимогам, установленим у додатку I.
2. На кваліфіковані сертифікати електронних підписів не поширюються будь-які обов’язкові вимоги, що виходять за межі вимог, установлених у додатку I.
3. Кваліфіковані сертифікати електронних підписів можуть мати необов’язкові додаткові конкретні характерні ознаки. Такі характерні ознаки не повинні впливати на інтероперабельність і визнання кваліфікованих електронних підписів.
4. Якщо кваліфікований сертифікат електронних підписів скасовано після початкової активації,він втрачає свою чинність з моменту його скасування і його статус за жодних обставин не повинен бути поновленим.
5. Держави-члени можуть установити національні правила щодо призупинення чинності кваліфікованих сертифікатів електронного підпису відповідно до таких умов:
(a) якщо чинність кваліфікованого сертифіката електронного підпису призупинено, такий сертифікат втрачає свою чинність на період такого призупинення;
(b) строк призупинення чітко зазначають у базі даних сертифікатів, а статус "призупинений" повинен бути видимим протягом періоду призупинення в службі, яка надає інформацію про статус сертифіката.
6. Комісія може шляхом ухвалення імплементаційних актів установити вихідні номери стандартів для кваліфікованих сертифікатів електронного підпису. Припускають, що відповідності вимогам, установленим у додатку I, досягнуто, якщо кваліфікований сертифікат електронного підпису відповідає таким стандартам. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
Вимоги до засобів для створення кваліфікованого електронного підпису
1. Засоби для створення кваліфікованого електронного підпису повинні відповідати вимогам,установленим у додатку II.
2. Комісія може шляхом ухвалення імплементаційних актів установити вихідні номери стандартів для засобів для створення кваліфікованого електронного підпису. Припускають, що відповідності вимогам, установленим у додатку II, досягнуто, якщо засіб для створення кваліфікованого електронного підпису відповідає таким стандартам. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
Сертифікація засобів для створення кваліфікованого електронного підпису
1. Відповідні публічні або приватні органи, що їх призначила держава-член, здійснюють сертифікацію відповідності засобів для створення кваліфікованого електронного підпису вимогам додатку II.
2. Держави-члени повідомляють Комісії назви та адреси публічного або приватного органу,зазначеного у параграфі 1. Комісія надає таку інформацію державам-членам.
3. Зазначена в параграфі 1 сертифікація повинна ґрунтуватися на одному з таких процесів:
(a) на процесі оцінювання безпеки, здійснюваному відповідно до одного зі стандартів оцінювання безпеки продуктів інформаційних технологій, що входять у список, створений відповідно до другого підпараграфа, або
(b) на процесі, відмінному від процесу, зазначеного в пункті (a), за умови, що у ньому використовують зіставні рівні безпеки, та за умови, що публічний або приватний орган, зазначений у параграфі 1, повідомляє про цей процес Комісію. Такий процес можуть використати лише за відсутності зазначених в пункті (a) стандартів або під час зазначеного в пункті (a) процесу оцінювання безпеки.
Комісія шляхом ухвалення імплементаційних актів створює список стандартів для оцінювання безпеки продуктів інформаційних технологій, зазначених у пункті (a). Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
4. Комісію необхідно наділити повноваженням ухвалювати делеговані акти відповідно до статті 47 щодо встановлення конкретних критеріїв, яким повинні відповідати призначені органи, про які йдеться в параграфі 1 цієї статті.
Публікація списку сертифікованих засобів для створення кваліфікованого електронного підпису
1. Держави-члени повідомляють Комісії без зайвих зволікань та не пізніше ніж через один місяць після завершення сертифікації інформацію про засоби для створення кваліфікованого електронного підпису, що їх сертифікували органи, зазначені в статті 30(1). Вони також повідомляють Комісії без зайвих зволікань та не пізніше ніж через один місяць після скасування сертифікації інформацію про засоби для створення електронного підпису, які більше не є сертифікованими.
2. На основі отриманої інформації Комісія створює, опубліковує та веде список сертифікованих засобів для створення кваліфікованого електронного підпису.
3. Комісія може шляхом ухвалення імплементаційних актів визначити формати і процедури,застосовні для досягнення зазначеної у параграфі 1 цілі. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
Вимоги до валідації кваліфікованих електронних підписів
1. Процес валідації кваліфікованого електронного підпису підтверджує чинність електронного підпису за умови, що:
(a) сертифікат, який підтримує підпис, на момент підписання був кваліфікованим сертифікатом електронного підпису та відповідав вимогам, установленим у додатку I;
(b) кваліфікований сертифікат видано кваліфікованим надавачем довірчих послуг і був дійсним на момент підписання;
(c) дані для валідації підпису відповідають даним, що їх надали стороні-користувачу;
(d) унікальний набір даних, що представляє підписувача в сертифікаті, правильно надали стороні-користувачу;
(e) стороні-користувачу чітко повідомили про використання будь-якого псевдоніма, якщо такий використали під час підписання;
(f) електронний підпис створено засобом для створення кваліфікованого електронного підпису;
(g) цілісність підписаних даних не скомпрометовано;
(h) на момент підписання виконано вимоги, передбачені у статті 26.
2. Система, яку використовують для валідації електронного підпису, повинна надавати стороні користувачу правильний результат процесу валідації та надавати стороні-користувачу змогу виявити будь-які проблеми, пов’язані з безпекою.
3. Комісія може шляхом ухвалення імплементаційних актів установити вихідні номери стандартів для валідації кваліфікованого електронного підпису. Припускають, що відповідності вимогам, установленим у параграфі 1, досягнуто, якщо валідація кваліфікованих електронних підписів відповідає таким стандартам. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
Кваліфікована послуга валідації кваліфікованих електронних підписів
1. Кваліфіковану послугу валідації кваліфікованих електронних підписів може надавати лише кваліфікований надавач довірчих послуг, який:
(a) здійснює валідацію відповідно до статті 32(1) та
(b) дає сторонам-користувачам змогу отримувати результати процесу валідації в автоматичному режимі, який є надійним, ефективним та використовує вдосконалений електронний підпис або вдосконалену електронну печатку надавача кваліфікованої послуги перевірки.
2. Комісія може шляхом ухвалення імплементаційних актів установити вихідні номери стандартів для кваліфікованих послуг валідації, зазначених у параграфі 1. Припускають, що відповідності вимогам, установленим у параграфі 1, досягнуто, якщо послуга валідації кваліфікованого електронного підпису відповідає таким стандартам. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).
Кваліфікована послуга зберігання кваліфікованих електронних підписів
1. Кваліфіковану послугу зберігання кваліфікованих електронних підписів може надавати лише кваліфікований надавач довірчих послуг, який використовує процедури і технології, що можуть подовжувати благонадійність кваліфікованого електронного підпису поза межі технологічного строку чинності.
2. Комісія може шляхом ухвалення імплементаційних актів установити вихідні номери стандартів для кваліфікованої послуги зберігання кваліфікованих електронних підписів. Презюмується, що відповідності вимогам, установленим у параграфі 1, досягнуто, якщо заходи з надання послуги валідації кваліфікованого електронного підпису відповідають таким стандартам. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, зазначеної в статті 48(2).