Regulamentul 1183/11-apr-2024 de modificare a Regulamentului (UE) nr. 910/2014 în ceea ce priveşte instituirea cadrului european pentru identitatea digitală

Acte UE

Jurnalul Oficial seria L

Neintrat în vigoare

Versiune de la: 30 Aprilie 2024

Dată act: 11-apr-2024

Emitent: Consiliul Uniunii Europene;Parlamentul European

(1)Comunicarea Comisiei din 19 februarie 2020 intitulată "Conturarea viitorului digital al Europei" anunţă o revizuire a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului (⁴) pentru a-i îmbunătăţi eficacitatea, a extinde beneficiile acestuia la sectorul privat şi a promova identităţile digitale de încredere pentru toţi europenii.

(3)Programul de politică pentru 2030 privind deceniul digital, instituit prin Decizia (UE) 2022/2481 a Parlamentului European şi a Consiliului (⁵), stabileşte obiectivele şi ţintele digitale ale unui cadru al Uniunii care, până în 2030, sunt menite să conducă la implementarea pe scară largă a unei identităţi digitale de încredere, voluntare şi controlate de utilizator, care să fie recunoscută în întreaga Uniune şi care să permită fiecărui utilizator să aibă controlul asupra propriilor date în cadrul interacţiunilor în mediul online.

(4)"Declaraţia europeană privind drepturile şi principiile digitale pentru deceniul digital" proclamată de Parlamentul European, Consiliu şi Comisie (⁶) (denumită în continuare "declaraţia") subliniază dreptul fiecărei persoane de a avea acces la tehnologii, produse şi servicii digitale care, din momentul conceperii, sunt sigure şi securizate şi protejează viaţa privată. Aceasta include asigurarea faptului că tuturor persoanelor care trăiesc în Uniune li se oferă o identitate digitală accesibilă, securizată şi de încredere care să permită accesul la o gamă largă de servicii online şi offline, protejată împotriva riscurilor de securitate cibernetică şi a criminalităţii informatice, inclusiv împotriva încălcării securităţii datelor şi a furtului de identitate sau a manipulării identităţii. Declaraţia prevede, de asemenea, că fiecare persoană are dreptul la protecţia datelor sale cu caracter personal. Acest drept include controlul asupra modului în care sunt utilizate datele şi asupra celor cu care sunt partajate datele.

(5)Toţi cetăţenii Uniunii şi rezidenţii din Uniune ar trebui să aibă dreptul la o identitate digitală care să se afle sub controlul lor exclusiv şi care să le permită să îşi exercite drepturile în mediul digital şi să participe la economia digitală. Pentru atingerea acestui obiectiv, ar trebui să fie instituit un cadru european pentru identitatea digitală care să le permită cetăţenilor Uniunii şi rezidenţilor din Uniune să aibă acces la servicii publice şi private online şi offline în întreaga Uniune.

(7)O abordare mai armonizată a identificării electronice ar trebui să reducă riscurile şi costurile fragmentării actuale cauzate de utilizarea unor soluţii naţionale divergente sau, în unele state membre, de lipsa unor astfel de soluţii de identificare electronică. O astfel de abordare ar trebui să consolideze piaţa internă, permiţând cetăţenilor Uniunii, rezidenţilor din Uniune, astfel cum sunt definiţi în dreptul intern, şi întreprinderilor să se identifice şi să furnizeze autentificarea identităţii lor online şi offline într-un mod sigur, demn de încredere, uşor de utilizat, convenabil, accesibil şi armonizat în întreaga Uniune. Portofelul european pentru identitatea digitală ar trebui să ofere persoanelor fizice şi juridice din întreaga Uniune un mijloc armonizat de identificare electronică care să permită autentificarea şi partajarea datelor legate de identitatea lor. Orice persoană ar trebui să poată avea acces în condiţii de siguranţă la serviciile publice şi private cu ajutorul unui ecosistem îmbunătăţit de servicii de încredere şi al unor dovezi ale identităţii şi atestate electronice ale atributelor verificate, cum sunt de exemplu calificările academice, inclusiv diplomele universitare sau alte calificări educaţionale sau profesionale. Cadrul european pentru identitatea digitală este menit să realizeze o tranziţie de la utilizarea în mod exclusiv a soluţiilor naţionale de identitate digitală la furnizarea de atestate electronice ale atributelor, valabile şi recunoscute legal în întreaga Uniune. Furnizorii de atestate electronice ale atributelor ar trebui să beneficieze de un set de norme clar şi uniform, în timp ce administraţiile publice ar trebui să se poată baza pe documente electronice într-un format determinat.

(8)O serie de state membre au implementat şi utilizează mijloace de identificare electronică ce sunt acceptate de prestatorii de servicii din Uniune. În plus, s-au realizat investiţii în soluţii naţionale şi transfrontaliere pe baza Regulamentului (UE) nr. 910/2014, inclusiv în ceea ce priveşte interoperabilitatea sistemelor de identificare electronică notificate în temeiul regulamentului respectiv. Pentru a asigura complementaritatea şi adoptarea rapidă a portofelelor europene pentru identitatea digitală de către utilizatorii actuali ai mijloacelor de identificare electronică notificate, precum şi pentru a reduce la minim impactul asupra prestatorilor de servicii existenţi, se consideră că portofelele europene pentru identitatea digitală ar trebui să fructifice experienţa dobândită cu mijloacele de identificare electronică existente şi să profite de infrastructura sistemelor de identificare electronică notificate implementate la nivelul Uniunii şi la nivel naţional.

(9)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (⁷) şi, după caz, Directiva 2002/58/CE a Parlamentului European şi a Consiliului (⁸) se aplică tuturor activităţilor de prelucrare a datelor cu caracter personal în temeiul Regulamentului (UE) nr. 910/2014. Soluţiile în temeiul cadrului de interoperabilitate prevăzut în prezentul regulament respectă, de asemenea, normele respective. Dreptul Uniunii în materie de protecţie a datelor prevede principii de protecţie a datelor, cum ar fi principiul şi obligaţiile privind reducerea la minimum a datelor şi limitarea scopului, cum ar fi protecţia datelor începând cu momentul conceperii şi în mod implicit.

(10)Pentru a sprijini competitivitatea întreprinderilor Uniunii, prestatorii de servicii atât online cât şi offline ar trebui să se poată baza pe soluţii de identitate digitală recunoscute în întreaga Uniune, indiferent de statul membru în care soluţiile respective sunt puse la dispoziţie, şi să beneficieze astfel de o abordare europeană armonizată în materie de încredere, securitate şi interoperabilitate. Atât utilizatorii, cât şi prestatorii de servicii ar trebui să poată beneficia de atestate electronice ale atributelor care să aibă aceeaşi valoare juridică în întreaga Uniune. Un cadru armonizat privind identitatea digitală este menit să creeze valoare economică prin facilitarea accesului la bunuri şi servicii şi prin reducerea semnificativă a costurilor operaţionale legate de procedurile de identificare şi de autentificare electronică, de exemplu în timpul integrării noilor clienţi, prin reducerea potenţialului de criminalitate informatică, cum ar fi furtul de identitate, furtul de date şi frauda online, promovând astfel creşterea eficienţei şi transformarea digitală sigură a microîntreprinderilor şi a întreprinderilor mici şi mijlocii (IMM-uri) din Uniune.

(12)Regulamentul (UE) 2016/679, Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului (⁹) şi Directiva 2002/58/CE se aplică prelucrării datelor cu caracter personal în contextul punerii în aplicare a prezentului regulament. Prin urmare, prezentul regulament ar trebui să prevadă garanţii specifice pentru a împiedica furnizorii de mijloace de identificare electronică şi de atestare electronică a atributelor să combine datele cu caracter personal obţinute atunci când prestează alte servicii cu datele cu caracter personal prelucrate pentru a presta serviciile care intră în domeniul de aplicare al prezentului regulament. Datele cu caracter personal legate de furnizarea de portofele europene pentru identitatea digitală ar trebui păstrate separate logic de orice alte date deţinute de furnizorul portofelului european pentru identitatea digitală. Prezentul regulament nu ar trebui să îi împiedice pe furnizorii de portofele europene pentru identitatea digitală să aplice măsuri tehnice suplimentare care să contribuie la protecţia datelor cu caracter personal, cum ar fi separarea fizică a datelor cu caracter personal legate de furnizarea portofelelor europene pentru identitatea digitală de orice alte date deţinute de furnizor. Fără a aduce atingere Regulamentului (UE) 2016/679, prezentul regulament precizează mai detaliat aplicarea principiilor limitării scopului, reducerii la minimum a datelor şi protecţiei datelor începând cu momentul conceperii şi în mod implicit.

(13)Portofelele europene pentru identitatea digitală ar trebui să aibă încorporată prin concepţie funcţia de tablou de bord comun, pentru a asigura un grad mai mare de transparenţă, de protejare a vieţii private şi de control al utilizatorilor asupra datelor cu caracter personal proprii. Funcţia respectivă ar trebui să ofere o interfaţă simplă şi uşor de utilizat care să ofere o imagine de ansamblu a tuturor beneficiarilor cu care utilizatorul partajează date, inclusiv atribute, precum şi tipul de date partajate cu fiecare beneficiar. Aceasta ar trebui să le permită utilizatorilor să urmărească toate tranzacţiile executate prin intermediul portofelului european pentru identitatea digitală cu cel puţin următoarele date: ora şi data tranzacţiei, identificarea contrapărţii, datele cu caracter personal solicitate şi datele partajate. Informaţiile respective ar trebui să fie stocate chiar dacă tranzacţia nu a fost încheiată. Nu ar trebui să fie posibilă negarea autenticităţii informaţiilor conţinute în istoricul tranzacţiilor. O astfel de funcţie ar trebui să fie activă în mod implicit. Aceasta ar trebui să le permită utilizatorilor să solicite cu uşurinţă ştergerea imediată de către un beneficiar a datele cu caracter personal în temeiul articolului 17 din Regulamentul (UE) 2016/679 şi să raporteze cu uşurinţă beneficiarul autorităţii naţionale competente pentru protecţia datelor în cazul în care se primeşte o cerere presupus ilegală sau suspectă de date cu caracter personal, direct de la portofelul european pentru identitatea digitală.

(14)Statele membre ar trebui să integreze diferite tehnologii de protejare a vieţii private, cum ar fi dovada de zero cunoştinţe ("zero knowledge proof"), în portofelul european pentru identitatea digitală. Aceste metode criptografice ar trebui să permită unui beneficiar să valideze dacă o anumită declaraţie bazată pe datele de identificare ale persoanei şi pe atestarea atributelor este adevărată, fără a dezvălui datele pe care se bazează declaraţia respectivă, protejând astfel viaţa privată a utilizatorului.

(15)Prezentul regulament stabileşte condiţii armonizate pentru instituirea unui cadru corespunzător pentru portofelele europene pentru identitatea digitală care urmează să fie furnizate de statele membre. Toţi cetăţenii Uniunii, precum şi rezidenţii din Uniune, astfel cum sunt definiţi în dreptul intern, ar trebui să fie abilitaţi să solicite, să selecteze, să combine, să stocheze, să şteargă, să partajeze şi să prezinte în condiţii de siguranţă date privind identitatea lor şi să solicite ştergerea datelor lor cu caracter personal într-un mod uşor de utilizat şi practic, exclusiv sub controlul utilizatorului, permiţând în acelaşi timp divulgarea selectivă a datelor cu caracter personal. Prezentul regulament reflectă valorile europene comune şi respectă drepturile fundamentale, garanţiile juridice şi răspunderea, protejând astfel societăţile democratice, cetăţenii Uniunii şi rezidenţii din Uniune. Tehnologiile utilizate pentru atingerea acestor obiective ar trebui să fie dezvoltate cu scopul de a se atinge cel mai înalt nivel de securitate, de confidenţialitate, de confort pentru utilizatori, de accesibilitate, de utilizare pe scară largă şi de interoperabilitate neîntreruptă. Statele membre ar trebui să asigure accesul egal la identificarea electronică pentru toţi cetăţenii şi rezidenţii lor. Statele membre nu ar trebui să limiteze, în mod direct sau indirect, accesul la serviciile publice sau private pentru persoanele fizice sau juridice care nu optează pentru utilizarea portofelelor europene pentru identitatea digitală şi ar trebui să pună la dispoziţie soluţii alternative adecvate.

(16)Statele membre ar trebui să se bazeze pe posibilităţile oferite de prezentul regulament pentru a furniza, sub responsabilitatea lor, portofele europene pentru identitatea digitală în vederea utilizării de către persoanele fizice şi juridice care îşi au reşedinţa pe teritoriul lor. Pentru a oferi statelor membre flexibilitate şi a valorifica tehnologia de ultimă generaţie, prezentul regulament ar trebui să permită furnizarea portofelelor europene pentru identitatea digitală direct de către un stat membru, în temeiul unui mandat din partea unui stat membru sau independent de un stat membru, dar recunoscute de statul membru respectiv.

(17)În scopul înregistrării, beneficiarii ar trebui să furnizeze informaţiile necesare pentru a permite identificarea şi autentificarea lor electronică către portofelele europene pentru identitatea digitală. Atunci când declară utilizarea preconizată a portofelului european pentru identitatea digitală, beneficiarii ar trebui să furnizeze informaţii cu privire la datele pe care le vor solicita, dacă este cazul, pentru a-şi furniza serviciile şi la motivul cererii. Înregistrarea beneficiarului facilitează verificarea de către statele membre a legalităţii activităţilor beneficiarilor în conformitate cu dreptul Uniunii. Obligaţia de înregistrare prevăzută în prezentul regulament nu ar trebui să aducă atingere obligaţiilor prevăzute în alte dispoziţii de drept al Uniunii sau de drept intern, cum ar fi informaţiile care trebuie să fie furnizate persoanelor vizate în temeiul Regulamentului (UE) 2016/679. Beneficiarii ar trebui să asigure garanţiile oferite de articolele 35 şi 36 din regulamentul respectiv, în special prin realizarea unor evaluări ale impactului asupra protecţiei datelor şi prin consultarea autorităţilor competente pentru protecţia datelor înainte de prelucrarea datelor în cazul în care evaluările impactului asupra protecţiei datelor indică faptul că prelucrarea ar conduce la un risc ridicat. Astfel de garanţii ar trebui să sprijine prelucrarea legală a datelor cu caracter personal de către beneficiari, în special în ceea ce priveşte categoriile speciale de date, cum ar fi datele privind sănătatea. Înregistrarea beneficiarilor este menită să sporească transparenţa şi încrederea în utilizarea portofelelor europene pentru identitatea digitală. Înregistrarea ar trebui să fie eficientă din punctul de vedere al costurilor şi proporţională cu riscurile aferente, pentru a asigura adoptarea de către prestatorii de servicii. În acest context, înregistrarea ar trebui să prevadă utilizarea unor proceduri automatizate, inclusiv recurgerea la registrele existente şi utilizarea acestora de către statele membre, şi nu ar trebui să implice un proces de preautorizare. Procesul de înregistrare ar trebui să permită o varietate de cazuri de utilizare care pot fi diferite în ceea ce priveşte modul de operare, fie online, fie offline, sau în ceea ce priveşte cerinţa de autentificare a dispozitivelor în scopul interfeţei cu portofelul european pentru identitatea digitală. Înregistrarea ar trebui să se aplice exclusiv beneficiarilor care furnizează servicii prin intermediul interacţiunii digitale.

(18)Protejarea cetăţenilor Uniunii şi a rezidenţilor din Uniune împotriva utilizării neautorizate sau frauduloase a portofelelor europene pentru identitatea digitală este extrem de importantă pentru asigurarea încrederii în portofelele europene pentru identitatea digitală şi pentru adoptarea pe scară largă a acestora. Utilizatorii ar trebui să beneficieze de o protecţie eficace împotriva unei astfel de utilizări abuzive. În special, atunci când faptele care stau la baza utilizării frauduloase sau ilegale în alt mod a unui portofel european pentru identitatea digitală sunt constatate de o autoritate judiciară naţională în contextul unei alte proceduri, organismele de supraveghere care sunt responsabile de emitenţii portofelului european pentru identitatea digitală ar trebui, după notificare, să ia măsurile necesare pentru a se asigura că înregistrarea beneficiarului şi includerea beneficiarilor în mecanismul de autentificare sunt retrase sau suspendate până când autoritatea de notificare confirmă că neregulile identificate au fost remediate.

(19)Toate portofelele europene pentru identitatea digitală ar trebui să le permită utilizatorilor identificarea şi autentificarea electronică online şi offline, la nivel transfrontalier, în vederea accesării unei game largi de servicii publice şi private. Fără a aduce atingere prerogativelor statelor membre în ceea ce priveşte identificarea cetăţenilor şi rezidenţilor lor, portofelele europene pentru identitatea digitală pot răspunde şi nevoilor instituţionale ale administraţiilor publice, ale organizaţiilor internaţionale şi ale instituţiilor, organelor, oficiilor şi agenţiilor Uniunii. Autentificarea offline ar fi importantă în numeroase sectoare, inclusiv în sectorul sănătăţii, unde serviciile sunt adesea furnizate prin interacţiune directă şi unde verificarea autenticităţii prescripţiilor electronice ar trebui să se poată face cu ajutorul codurilor QR sau al unor tehnologii similare. Bazate fiind pe nivelul de asigurare ridicat în ceea ce priveşte sistemele de identificare electronică, portofelele europene pentru identitatea digitală ar trebui să profite de potenţialul oferit de soluţiile inviolabile, cum ar fi elementele de securitate, pentru a respecta cerinţele în materie de securitate prevăzute în prezentul regulament. De asemenea, portofelele europene pentru identitatea digitală ar trebui să le permită utilizatorilor să creeze şi să utilizeze semnături şi sigilii electronice calificate care sunt acceptate în întreaga Uniune. Odată ce s-au integrat în sistemul reprezentat de portofelul european pentru identitatea digitală, persoanele fizice ar trebui să îl poată utiliza pentru a semna cu semnături electronice calificate, în mod implicit şi gratuit, fără a fi nevoite să parcurgă proceduri administrative suplimentare. Utilizatorii ar trebui să poată să semneze sau să sigileze afirmaţiile sau atributele autorevendicate. Pentru a obţine beneficii în materie de simplificare şi de reducere a costurilor pentru persoanele şi întreprinderile din întreaga Uniune, inclusiv prin validarea competenţelor de reprezentare şi a mandatelor electronice, statele membre ar trebui să furnizeze portofele europene pentru identitatea digitală care să se bazeze pe standarde şi specificaţii tehnice comune pentru a asigura interoperabilitatea neîntreruptă şi a spori în mod adecvat nivelul de securitate informatică, pentru a consolida robusteţea împotriva atacurilor cibernetice şi a reduce, astfel, în mod semnificativ riscurile potenţiale ale digitalizării în curs pentru cetăţenii Uniunii, rezidenţii din Uniune şi întreprinderi. Numai autorităţile competente ale statelor membre pot oferi un nivel ridicat de încredere în stabilirea identităţii unei persoane şi astfel pot oferi garanţia că persoana care pretinde sau declară o anumită identitate este într-adevăr persoana care pretinde că este. Prin urmare, furnizarea portofelelor europene pentru identitatea digitală este necesar să se bazeze pe recurgerea la identitatea juridică a cetăţenilor Uniunii, a rezidenţilor din Uniune sau a persoanelor juridice. Recurgerea la identitatea juridică nu ar trebui să împiedice utilizatorii portofelului european pentru identitatea digitală să acceseze servicii sub un pseudonim, în cazul în care nu există nicio cerinţă legală privind identitatea juridică pentru autentificare. Încrederea în portofelele europene pentru identitatea digitală ar fi consolidată prin faptul că părţilor emitente şi celor care le gestionează li se solicită să pună în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura cel mai ridicat nivel de securitate care să fie proporţional cu riscurile la adresa drepturilor şi libertăţilor persoanelor fizice, în conformitate cu Regulamentul (UE) 2016/679.

(21)Este benefic să se faciliteze adoptarea pe scară largă şi utilizarea portofelelor europene pentru identitatea digitală prin integrarea fără sincope a acestora în ecosistemul serviciilor digitale publice şi private deja implementate la nivel naţional, local sau regional. Pentru a atinge acest obiectiv, ar trebui să fie posibil pentru statele membre să prevadă măsuri juridice şi organizatorice pentru a spori flexibilitatea pentru furnizorii de portofele europene pentru identitatea digitală şi pentru a permite funcţionalităţi suplimentare ale portofelelor europene pentru identitatea digitală faţă de cele prevăzute în prezentul regulament, inclusiv printr-o interoperabilitate sporită cu mijloacele naţionale de identificare electronică existente. Aceste funcţionalităţi suplimentare nu ar trebui în niciun caz să fie în detrimentul asigurării funcţiilor de bază ale portofelelor europene pentru identitatea digitală prevăzute în prezentul regulament sau să promoveze soluţiile naţionale existente în detrimentul portofelelor europene pentru identitatea digitală. Întrucât depăşesc cadrul prezentului regulament, aceste funcţionalităţi suplimentare nu intră sub incidenţa dispoziţiilor privind utilizarea transfrontalieră a portofelelor europene pentru identitatea digitală prevăzute în prezentul regulament.

(24)Pentru a evita abordările divergente şi a armoniza punerea în aplicare a cerinţelor prevăzute în prezentul regulament, în vederea certificării portofelelor europene pentru identitatea digitală, Comisia ar trebui să adopte acte de punere în aplicare prin care să stabilească o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind exprimarea specificaţiilor tehnice detaliate ale cerinţelor respective. În măsura în care certificarea conformităţii portofelelor europene pentru identitatea digitală cu cerinţele relevante în materie de securitate cibernetică nu intră sub incidenţa sistemelor existente de certificare a securităţii cibernetice menţionate în prezentul regulament şi în ceea ce priveşte cerinţele care nu sunt de securitate cibernetică relevante pentru portofelele europene pentru identitatea digitală, statele membre ar trebui să instituie sisteme naţionale de certificare în temeiul cerinţelor armonizate prevăzute şi adoptate în temeiul prezentului regulament. Statele membre ar trebui să transmită Grupului european de cooperare privind identitatea digitală proiectele lor de sisteme de certificare naţionale, iar grupul de cooperare ar trebui să poată emite avize şi recomandări.

(25)Certificarea conformităţii cu cerinţele de securitate cibernetică stabilite în prezentul regulament ar trebui, dacă este disponibilă, să se bazeze pe sistemele europene de certificare a securităţii cibernetice relevante instituite în temeiul Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului (¹⁰), care instituie un cadru european voluntar de certificare a securităţii cibernetice pentru produsele, procesele şi serviciile TIC.

(27)Prin protejarea utilizatorilor şi a întreprinderilor de riscurile de securitate cibernetică, cerinţele esenţiale de securitate cibernetică prevăzute în prezentul regulament contribuie, de asemenea, la îmbunătăţirea protecţiei datelor cu caracter personal şi a vieţii private a persoanelor. Ar trebui avute în vedere sinergii atât în ceea ce priveşte standardizarea, cât şi certificarea cu privire la aspectele legate de securitatea cibernetică prin cooperarea dintre Comisie, organizaţiile europene de standardizare, Agenţia Uniunii Europene pentru Securitate Cibernetică (ENISA), Comitetul european pentru protecţia datelor instituit prin Regulamentul (UE) 2016/679 şi autorităţile naţionale de supraveghere a protecţiei datelor.

(28)Integrarea cetăţenilor Uniunii şi a rezidenţilor din Uniune în sistemul reprezentat de portofelul european pentru identitatea digitală ar trebui să fie facilitată prin utilizarea mijloacelor de identificare electronică emise cu un nivel de asigurare ridicat. Mijloacele de identificare electronică emise cu un nivel de asigurare substanţial ar trebui să fie utilizate numai în cazul în care specificaţii tehnice şi proceduri armonizate care utilizează mijloace de identificare electronică emise cu un nivel de asigurare substanţial în combinaţie cu alte mijloace suplimentare de verificare a identităţii vor permite îndeplinirea cerinţelor prevăzute în prezentul regulament în ceea ce priveşte nivelul de asigurare ridicat. Astfel de mijloace suplimentare ar trebui să fie fiabile şi uşor de utilizat şi s-ar putea baza pe posibilitatea de a utiliza proceduri de integrare de la distanţă, certificate calificate susţinute de semnături electronice calificate, atestate electronice calificate ale atributelor sau o combinaţie a acestora. Pentru a asigura adoptarea pe scară suficient de largă a portofelelor europene pentru identitatea digitală, ar trebui stabilite, prin acte de punere în aplicare, specificaţii tehnice şi proceduri armonizate pentru integrarea utilizatorilor prin utilizarea mijloacelor de identificare electronică, inclusiv a celor emise cu un nivel de asigurare substanţial.

(29)Obiectivul prezentului regulament este de a oferi utilizatorului un portofel european pentru identitatea digitală integral mobil, sigur şi uşor de utilizat. Ca măsură tranzitorie până la apariţia unor soluţii certificate inviolabile, cum ar fi elementele de securitate încorporate în dispozitivele utilizatorilor, portofelele europene pentru identitatea digitală ar trebui să se poată baza pe elemente de securitate certificate externe pentru protecţia materialului criptografic şi a altor date cu caracter sensibil sau pe mijloace de identificare electronică notificate cu un nivel de asigurare ridicat pentru a demonstra conformitatea cu cerinţele relevante ale prezentului regulament în ceea ce priveşte nivelul de asigurare al portofelului european pentru identitatea digitală. Prezentul regulament nu ar trebui să aducă atingere condiţiilor naţionale privind emiterea şi utilizarea elementelor de securitate certificate externe în cazul în care măsura tranzitorie se bazează pe astfel de elemente.

(31)Portofelele europene pentru identitatea digitală ar trebui să fie securizate de la stadiul conceperii şi ar trebui să pună în aplicare elemente de securitate avansate pentru a proteja împotriva furtului de identitate şi de alte date, a refuzării serviciului şi a oricărei alte ameninţări cibernetice. O astfel de securitate ar trebui să includă metode de criptare şi stocare de ultimă generaţie care să fie accesibile numai utilizatorului, care să poată fi decriptate numai de către utilizator şi care să se bazeze pe comunicaţii criptate de la un capăt la altul cu alte portofele europene pentru identitatea digitală şi cu beneficiarii. În plus, portofelele europene pentru identitatea digitală ar trebui să necesite o confirmare sigură, explicită şi activă din partea utilizatorului pentru operaţiunile efectuate prin intermediul portofelelor europene pentru identitatea digitală.

(32)Utilizarea gratuită a portofelelor europene pentru identitatea digitală nu ar trebui să conducă la o prelucrare a datelor mai mult decât este necesar pentru furnizarea de servicii specifice portofelelor europene pentru identitatea digitală. Prezentul regulament nu ar trebui să permită prelucrarea datelor cu caracter personal, stocate în portofelul european pentru identitatea digitală sau care rezultă din utilizarea acestuia, de către furnizorul portofelului european pentru identitatea digitală în alte scopuri decât furnizarea de servicii specifice portofelelor europene pentru identitatea digitală. Pentru a asigura protejarea vieţii private, furnizorii de portofele europene pentru identitatea digitală ar trebui să asigure neobservabilitatea prin faptul că nu colectează date şi nu cunosc tranzacţiile utilizatorilor portofelului european pentru identitatea digitală. Această neobservabilitate înseamnă că furnizorii nu pot vedea detaliile tranzacţiilor efectuate de utilizator. Cu toate acestea, în cazuri specifice, pe baza consimţământului prealabil explicit al utilizatorului în fiecare dintre aceste cazuri specifice şi în deplină conformitate cu Regulamentul (UE) 2016/679, furnizorilor de portofele europene pentru identitatea digitală li s-ar putea acorda acces la informaţiile necesare pentru furnizarea unui anumit serviciu legat de portofelele europene pentru identitatea digitală.

(33)Transparenţa portofelelor europene pentru identitatea digitală şi responsabilitatea furnizorilor acestora reprezintă elemente esenţiale pentru a crea încredere socială şi a declanşa acceptarea cadrului. Prin urmare, funcţionarea portofelelor europene pentru identitatea digitală ar trebui să fie transparentă şi, în special, să permită prelucrarea verificabilă a datelor cu caracter personal. Pentru a realiza acest lucru, statele membre ar trebui să divulge codul sursă al componentelor de software ale aplicaţiei pentru utilizatori a portofelelor europene pentru identitatea digitală, inclusiv cele care au legătură cu prelucrarea datelor cu caracter personal şi a datelor persoanelor juridice. Publicarea acestui cod sursă sub o licenţă cu sursă deschisă ar trebui să permită societăţii, inclusiv utilizatorilor şi dezvoltatorilor, să înţeleagă funcţionarea, să auditeze şi să revizuiască codul. Acest lucru ar spori încrederea utilizatorilor în ecosistem şi ar contribui la securitatea portofelelor europene pentru identitatea digitală, dând posibilitatea oricărei persoane să raporteze vulnerabilităţi şi erori identificate în cod. În general, acest lucru ar trebui să ofere furnizorilor un stimulent pentru a furniza şi a menţine un produs foarte sigur. Cu toate acestea, în anumite cazuri, divulgarea codului sursă pentru bibliotecile utilizate, canalul de comunicare sau alte elemente care nu sunt găzduite pe dispozitivul utilizatorului ar putea fi limitată de statele membre, din motive justificate în mod corespunzător, în special în scopul siguranţei publice.

(34)Utilizarea portofelelor europene pentru identitatea digitală, precum şi întreruperea utilizării acestora ar trebui să fie dreptul exclusiv şi alegerea utilizatorilor. Statele membre ar trebui să elaboreze proceduri simple şi sigure pentru ca utilizatorii să solicite revocarea imediată a valabilităţii portofelelor europene pentru identitatea digitală, inclusiv în caz de pierdere sau de furt. În cazul decesului utilizatorului sau al încetării activităţii unei persoane juridice, ar trebui să fie stabilit un mecanism care să permită autorităţii responsabile cu stabilirea succesiunii persoanei fizice sau a activelor persoanei juridice să solicite revocarea imediată a portofelelor europene pentru identitatea digitală.

(35)Pentru a promova adoptarea portofelelor europene pentru identitatea digitală şi utilizarea pe scară mai largă a identităţilor digitale, statele membre ar trebui nu numai să promoveze beneficiile serviciilor relevante, ci şi, în cooperare cu sectorul privat, cu cercetătorii şi cu mediul academic, să dezvolte programe de instruire menite să întărească competenţele digitale ale cetăţenilor şi rezidenţilor lor, în special pentru grupurile vulnerabile, cum ar fi persoanele cu dizabilităţi şi persoanele în vârstă. Statele membre ar trebui de asemenea să informeze publicul despre beneficiile şi riscurile portofelelor europene pentru identitatea digitală prin intermediul campaniilor de comunicare.

(36)Pentru a se asigura faptul că, în ceea ce priveşte cadrul european pentru identitatea digitală, acesta este deschis inovării, dezvoltării tehnologice şi este adaptat exigenţelor viitorului, statele membre sunt încurajate să creeze, împreună, spaţii de testare comune pentru a testa soluţii inovatoare într-un mediu controlat şi sigur, în special pentru a îmbunătăţi funcţionalitatea, protecţia datelor cu caracter personal, securitatea şi interoperabilitatea soluţiilor, precum şi pentru a fundamenta viitoarele actualizări în materie de referinţe tehnice şi cerinţe legale. Mediul respectiv ar trebui să încurajeze includerea IMM-urilor, a întreprinderilor nou-înfiinţate şi a inovatorilor şi cercetătorilor individuali, precum şi a părţilor interesate relevante din industrie. Astfel de iniţiative ar trebui să contribuie la respectarea reglementărilor şi la robusteţea tehnică a portofelelor europene pentru identitatea digitală, şi să le consolideze, portofele care urmează să fie furnizate cetăţenilor Uniunii şi rezidenţilor din Uniune, prevenind astfel dezvoltarea de soluţii care nu respectă dreptul Uniunii privind protecţia datelor sau care sunt deschise vulnerabilităţilor în materie de securitate.

(37)Regulamentul (UE) 2019/1157 al Parlamentului European şi al Consiliului (¹¹) prevede întărirea securităţii cărţilor de identitate cu elemente de securitate mărită până în august 2021. Statele membre ar trebui să ia în considerare posibilitatea notificării acestora în cadrul sistemelor de identificare electronică, în scopul extinderii disponibilităţii transfrontaliere a mijloacelor de identificare electronică.

(38)Procesul de notificare a sistemelor de identificare electronică ar trebui să fie simplificat şi să fie accelerat pentru a promova accesul la soluţii de autentificare şi identificare practice, fiabile, sigure şi inovatoare şi, după caz, pentru a încuraja furnizorii privaţi de mijloace de identificare să pună la dispoziţia autorităţilor statelor membre sisteme de identificare electronică pentru notificare ca sisteme naţionale de identificare electronică în temeiul Regulamentului (UE) nr. 910/2014.

(40)Statele membre ar trebui să beneficieze de instrumente noi şi flexibile pentru a asigura conformitatea cu cerinţele prezentului regulament şi ale actelor de punere în aplicare relevante adoptate în temeiul acestuia. Prezentul regulament ar trebui să permită statelor membre să utilizeze rapoartele şi evaluările efectuate de organismele acreditate de evaluare a conformităţii, astfel cum se prevede în contextul sistemelor de certificare ce urmează a fi instituite la nivelul Uniunii în temeiul Regulamentului (UE) 2019/881, pentru a-şi fundamenta afirmaţiile privind alinierea sistemelor sau a unor părţi ale acestora la Regulamentul (UE) nr. 910/2014.

(41)Prestatorii de servicii publice utilizează datele de identificare personală disponibile prin mijloacele de identificare electronică în temeiul Regulamentului (UE) nr. 910/2014 pentru a corela identitatea electronică a utilizatorilor din alte state membre cu datele de identificare personală furnizate utilizatorilor respectivi în statul membru care efectuează procesul de corelare transfrontalieră a identităţilor. Cu toate acestea, în multe cazuri, în pofida utilizării setului minim de date furnizate în cadrul sistemelor de identificare electronică notificate, asigurarea unei corespondenţe exacte a identităţii atunci când statele membre acţionează în calitate de beneficiari necesită informaţii suplimentare cu privire la utilizator şi proceduri specifice de identificare unică complementară care trebuie efectuate la nivel naţional. Pentru a sprijini în continuare posibilităţile de utilizare a mijloacelor de identificare electronică, pentru a oferi servicii publice online mai bune şi pentru a spori securitatea juridică în ceea ce priveşte identitatea electronică a utilizatorilor, Regulamentul (UE) nr. 910/2014 ar trebui să solicite statelor membre să ia măsuri online specifice pentru a asigura corelarea fără echivoc a identităţii atunci când utilizatorii intenţionează să acceseze servicii publice transfrontaliere online.

(42)La elaborarea portofelelor europene pentru identitatea digitală, este esenţial să fie luate în considerare nevoile utilizatorilor. Ar trebui să fie disponibile cazuri de utilizare şi servicii online importante care să se bazeze pe portofelele europene pentru identitatea digitală. Pentru confortul utilizatorilor şi pentru a asigura disponibilitatea transfrontalieră a unor astfel de servicii, este important să fie întreprinse acţiuni pentru a facilita o abordare similară în ceea ce priveşte proiectarea, dezvoltarea şi implementarea serviciilor online în toate statele membre. Orientările fără caracter obligatoriu privind modul de proiectare, elaborare şi implementare a serviciilor online care se bazează pe portofelele europene pentru identitatea digitală ar putea deveni un instrument util pentru atingerea acestui obiectiv. Astfel de orientări ar trebui să fie elaborate ţinând seama de cadrul de interoperabilitate al Uniunii. Statele membre ar trebui să aibă un rol principal în adoptarea acestor orientări.

(43)În conformitate cu Directiva (UE) 2019/882 a Parlamentului European şi a Consiliului (¹²), persoanele cu dizabilităţi ar trebui să poată utiliza portofelele europene pentru identitatea digitală, serviciile de încredere şi produsele destinate utilizatorului final utilizate la prestarea serviciilor respective, în aceleaşi condiţii ca şi ceilalţi utilizatori.

(44)Pentru a asigura aplicarea eficace a prezentului regulament, ar trebui să se stabilească un nivel minim al amenzilor administrative maxime atât pentru prestatorii de servicii de încredere calificaţi, cât şi pentru cei necalificaţi. Statele membre ar trebui să prevadă sancţiuni efective, proporţionale şi cu efect de descurajare. La stabilirea sancţiunilor, ar trebui să se ţină seama în mod corespunzător de dimensiunea entităţilor afectate, de modelele lor de afaceri şi de gravitatea încălcărilor.

(45)Statele membre ar trebui să stabilească norme privind sancţiunile care se aplică în cazul unor încălcări cum sunt practicile directe sau indirecte care creează confuzie între serviciile de încredere necalificate şi cele calificate sau care conduc la utilizarea abuzivă a mărcii de încredere a UE de către prestatori de servicii de încredere necalificate. Marca de încredere a UE nu ar trebui să fie utilizată în condiţii care, în mod direct sau indirect, dau impresia că orice servicii de încredere necalificate oferite de astfel de prestatori ar fi calificate.

(47)Prestarea şi utilizarea serviciilor de încredere şi beneficiile aduse în ceea ce priveşte confortul şi securitatea juridică în contextul tranzacţiilor transfrontaliere, în special atunci când sunt utilizate servicii de încredere calificate, capătă o importanţă sporită pentru comerţul şi cooperarea la nivel internaţional. Partenerii internaţionali ai Uniunii instituie cadre de încredere inspirate din Regulamentul (UE) nr. 910/2014. Pentru a facilita recunoaşterea serviciilor de încredere calificate şi a prestatorilor acestora, Comisia poate adopta acte de punere în aplicare pentru a stabili condiţiile în care cadrele de încredere ale ţărilor terţe ar putea fi considerate echivalente cu cadrul de încredere pentru serviciile de încredere calificate şi prestatorii de servicii de încredere calificaţi care fac obiectul prezentului regulament. O astfel de abordare ar trebui să completeze posibilitatea de recunoaştere reciprocă a serviciilor de încredere şi a prestatorilor acestora stabiliţi în Uniune şi în ţări terţe în conformitate cu articolul 218 din Tratatul privind funcţionarea Uniunii Europene (TFUE). Atunci când sunt stabilite condiţiile în care cadrele de încredere ale ţărilor terţe ar putea fi considerate echivalente cu cadrul de încredere pentru serviciile de încredere calificate şi prestatorii de servicii de încredere calificaţi în temeiul Regulamentului (UE) nr. 910/2014, ar trebui să se asigure respectarea dispoziţiilor relevante din Directiva (UE) 2022/2555 a Parlamentului European şi a Consiliului (¹³) şi din Regulamentul (UE) 2016/679, precum şi utilizarea listelor sigure ca elemente esenţiale pentru consolidarea încrederii.

(48)Prezentul regulament ar trebui să încurajeze alegerea şi posibilitatea de a trece de la un portofel european pentru identitatea digitală la altul în cazul în care un stat membru a aprobat mai multe soluţii pentru portofele europene pentru identitatea digitală pe teritoriul său. Pentru a evita efectele de blocare în astfel de situaţii, atunci când acest lucru este fezabil din punct de vedere tehnic, furnizorii de portofele europene pentru identitatea digitală ar trebui să asigure, la cererea utilizatorilor portofelului european pentru identitatea digitală, portabilitatea efectivă a datelor şi nu ar trebui să li se permită acestor furnizori să utilizeze bariere contractuale, economice sau tehnice pentru a împiedica sau a descuraja trecerea efectivă de la un portofel european pentru identitatea digitală la altul.

(49)Pentru a asigura buna funcţionare a portofelelor europene pentru identitatea digitală, furnizorii de portofele europene pentru identitatea digitală au nevoie de interoperabilitate efectivă şi de condiţii echitabile, rezonabile şi nediscriminatorii pentru ca portofelele europene pentru identitatea digitală să acceseze componente de hardware şi de software specifice ale dispozitivelor mobile. Componentele respective ar putea include în special antene de comunicare în câmp apropiat şi elemente de securitate, inclusiv carduri cu circuit integrat universal, elemente de securitate încorporate, carduri microSD şi Bluetooth cu consum redus de energie. Accesul la componentele respective ar putea fi sub controlul operatorilor de reţele mobile şi al producătorilor de echipamente. Prin urmare, în cazul în care este necesar pentru a presta serviciile specifice portofelelor europene pentru identitatea digitală, producătorii de echipamente originale de dispozitive mobile sau furnizorii de servicii de comunicaţii electronice nu ar trebui să refuze accesul la astfel de componente. În plus, întreprinderilor desemnate drept controlori de acces pentru serviciile de platformă esenţiale, astfel cum sunt indicate de Comisie în temeiul Regulamentului (UE) 2022/1925 al Parlamentului European şi al Consiliului (¹⁴), ar trebui să li se aplice în continuare dispoziţiile specifice ale regulamentului menţionat, pe baza articolului 6 alineatul (7) din regulamentul respectiv.

(50)Pentru a raţionaliza obligaţiile în materie de securitate cibernetică impuse prestatorilor de servicii de încredere, precum şi pentru a permite acestor prestatori şi autorităţilor lor competente să beneficieze de cadrul juridic instituit prin Directiva (UE) 2022/2555, se impune serviciilor de încredere să ia măsuri tehnice şi organizatorice adecvate în temeiul directivei menţionate, cum ar fi măsuri ce vizează defecţiuni ale sistemelor, erori umane, acţiuni răuvoitoare sau fenomene naturale, pentru a gestiona riscurile la adresa securităţii reţelelor şi a sistemelor informatice pe care prestatorii respectivi le utilizează pentru a furniza servicii, precum şi pentru a notifica incidente şi ameninţări cibernetice semnificative în conformitate cu directiva respectivă. În ceea ce priveşte raportarea incidentelor, prestatorii de servicii de încredere ar trebui să notifice orice incident care are un impact semnificativ asupra prestării serviciilor lor, inclusiv cele cauzate de furtul sau pierderea de dispozitive, de deteriorarea cablurilor de reţea sau de incidentele care survin în contextul identificării persoanelor. Cerinţele de gestionare a riscurilor în materie de securitate cibernetică şi obligaţiile de raportare în temeiul Directivei (UE) 2022/2555 ar trebui să fie considerate complementare cerinţelor impuse prestatorilor de servicii de încredere în temeiul prezentului regulament. După caz, autorităţile competente desemnate în temeiul Directivei (UE) 2022/2555 ar trebui să aplice în continuare practicile sau orientările naţionale existente în legătură cu punerea în aplicare a cerinţelor în materie de securitate şi raportare şi cu supravegherea conformităţii cu aceste cerinţe în temeiul Regulamentului (UE) nr. 910/2014. Prezentul regulament nu aduce atingere obligaţiei de notificare a încălcărilor securităţii datelor cu caracter personal în temeiul Regulamentului (UE) 2016/679.

(51)Ar trebui să se acorde o atenţie deosebită asigurării unei cooperări eficace între organismele de supraveghere desemnate în temeiul articolului 46b din Regulamentul (UE) nr. 910/2014 şi autorităţile competente desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555. În cazul în care un astfel de organism de supraveghere este altul decât o astfel de autoritate competentă, organismul de supraveghere şi autoritatea competentă ar trebui să coopereze îndeaproape, în timp util, prin efectuarea unui schimb de informaţii relevante, pentru a asigura supravegherea eficace şi respectarea de către prestatorii de servicii de încredere a cerinţelor prevăzute în Regulamentul (UE) nr. 910/2014 şi în Directiva (UE) 2022/2555. În special, organismele de supraveghere desemnate în temeiul Regulamentului (UE) nr. 910/2014 ar trebui să aibă dreptul de a solicita autorităţilor competente desemnate sau înfiinţate în temeiul Directivei (UE) 2022/2555 să furnizeze informaţiile relevante necesare pentru a acorda statutul de calificat şi pentru a desfăşura acţiuni de supraveghere în scopul de a verifica respectarea de către prestatorii de servicii de încredere a cerinţelor relevante în temeiul Directivei (UE) 2022/2555 sau de a le solicita să remedieze situaţiile de nerespectare.

(52)Este esenţial să se prevadă un cadru juridic pentru a facilita recunoaşterea transfrontalieră între sistemele juridice naţionale existente în ceea ce priveşte serviciile de distribuţie electronică înregistrată. Acest cadru ar putea genera, de asemenea, noi oportunităţi de piaţă pentru ca prestatorii de servicii de încredere ai Uniunii să ofere noi servicii de distribuţie electronică înregistrată în întreaga Uniune. Pentru a se asigura că datele care utilizează un serviciu de distribuţie electronică înregistrată calificat sunt furnizate destinatarului corect, serviciile de distribuţie electronică înregistrată calificate ar trebui să asigure cu deplină certitudine identificarea destinatarului, în timp ce un nivel ridicat de încredere ar fi suficient în ceea ce priveşte identificarea expeditorului. Prestatorii de servicii de distribuţie electronică înregistrată calificate ar trebui să fie încurajaţi de statele membre să facă în aşa fel încât serviciile lor să fie interoperabile cu serviciile de distribuţie electronică înregistrată calificate furnizate de alţi prestatori de servicii de încredere calificaţi, pentru a transfera cu uşurinţă datele înregistrate în format electronic între doi sau mai mulţi prestatori de servicii de încredere calificaţi şi pentru a promova practici echitabile pe piaţa internă.

(54)Ar trebui să fie posibil să se elibereze şi gestioneze atribute electronice de încredere şi să se contribuie la reducerea sarcinii administrative, oferindu-se cetăţenilor Uniunii şi rezidenţilor din Uniune posibilitatea de a le utiliza în tranzacţiile lor private şi publice. Cetăţenii Uniunii şi rezidenţii din Uniune ar trebui să fie în măsură, de exemplu, să demonstreze că sunt posesori ai unui permis de conducere valabil eliberat de o autoritate dintr-un stat membru, iar autorităţile relevante din alte state membre ar trebui să poată verifica permisul şi să se poată baza pe acesta; cetăţenii Uniunii şi rezidenţii din Uniune ar trebui totodată să se poată baza pe credenţialele lor în materie de securitate socială sau pe viitoare documente de călătorie digitale în context transfrontalier.

(55)Orice prestator de servicii care emite atestate electronice ale atributelor, cum ar fi diplome, licenţe, certificate de naştere sau împuterniciri şi mandate de a reprezenta persoane fizice sau juridice sau de a acţiona în numele acestora, ar trebui să fie considerată prestator de servicii de încredere de atestare electronică a atributelor. Unui atestat electronic al atributelor nu ar trebui să i se refuze efectul juridic din motiv că acesta este în format electronic sau că nu îndeplineşte cerinţele pentru atestatul electronic calificat al atributelor. Ar trebui să fie stabilite cerinţe generale pentru a garanta că un atestat electronic calificat al atributelor are efect juridic echivalent cu cel al atestatelor emise în mod legal în format tipărit. Cu toate acestea, cerinţele respective ar trebui să se aplice fără a aduce atingere dreptului Uniunii sau dreptului intern care stabileşte cerinţe sectoriale suplimentare în ceea ce priveşte forma cu efecte juridice subiacente şi, în special, recunoaşterea transfrontalieră a atestatului electronic calificat al atributelor, după caz.

(56)Disponibilitatea şi utilizarea pe scară largă a portofelelor europene pentru identitatea digitală ar trebui să sporească gradul de acceptare şi încrederea în acestea atât de către persoanele fizice, cât şi de către prestatorii privaţi de servicii. Prin urmare, beneficiarii privaţi care prestează servicii de exemplu în domeniile transporturilor, energiei, serviciilor bancare şi financiare, securităţii sociale, sănătăţii, apei potabile, serviciilor poştale, infrastructurii digitale, telecomunicaţiilor sau educaţiei ar trebui să accepte utilizarea portofelelor europene pentru identitatea digitală pentru prestarea serviciilor atunci când autentificarea strictă a utilizatorilor pentru identificarea online este obligatorie în temeiul dreptului Uniunii sau al dreptului intern ori al unei obligaţii contractuale. Orice solicitare din partea beneficiarului de informaţii de la utilizatorul unui portofel european pentru identificarea digitală ar trebui să fie necesară şi proporţională cu utilizarea preconizată într-un anumit caz, ar trebui să respecte principiul reducerii la minimum a datelor şi ar trebui să asigure transparenţa în ceea ce priveşte datele care sunt partajate şi scopurile în care sunt partajate. Pentru a facilita utilizarea şi acceptarea portofelelor europene pentru identitatea digitală, la implementarea lor ar trebui să se ţină seama de standardele şi specificaţiile din industrie acceptate pe scară largă.

(57)În cazul în care platformele online foarte mari în sensul articolului 33 alineatul (1) din Regulamentul (UE) 2022/2065 al Parlamentului European şi al Consiliului (¹⁵), impun utilizatorilor să fie autentificaţi pentru a accesa servicii online, aceste platforme ar trebui să aibă obligaţia să accepte utilizarea portofelelor europene pentru identitatea digitală la cererea voluntară a utilizatorului. Utilizatorii nu ar trebui să fie obligaţi să utilizeze un portofel european pentru identitatea digitală pentru a accesa servicii private, iar accesul lor la servicii nu ar trebui să fie restricţionat sau împiedicat pe motiv că nu utilizează un portofel european pentru identitatea digitală. Cu toate acestea, dacă utilizatorii doresc să utilizeze portofele europene pentru identitatea digitală, platformele online foarte mari ar trebui să le accepte în acest scop, respectând în acelaşi timp principiul reducerii la minimum a datelor şi dreptul utilizatorilor de a utiliza pseudonime alese în mod liber. Având în vedere importanţa platformelor online foarte mari, datorită amplorii lor, în special în ceea ce priveşte numărul de destinatari ai serviciului şi tranzacţiile economice, obligaţia de a accepta portofele europene pentru identitatea digitală este necesară pentru a spori protecţia utilizatorilor împotriva fraudei şi pentru a asigura un nivel ridicat de protecţie a datelor.

(58)Ar trebui să fie elaborate coduri de conduită la nivelul Uniunii pentru a contribui la disponibilitatea şi utilizarea pe scară largă a mijloacelor de identificare electronică, inclusiv a portofelelor europene pentru identitatea digitală în cadrul domeniului de aplicare al prezentului regulament. Codurile de conduită ar trebui să faciliteze acceptarea pe scară largă a mijloacelor de identificare electronică, inclusiv a portofelelor europene pentru identitatea digitală, de către prestatorii de servicii care nu se califică drept platforme foarte mari şi care se bazează pe servicii de identificare electronică furnizate de terţi pentru autentificarea utilizatorilor.

(59)Divulgarea selectivă este un concept care permite proprietarului datelor să divulge numai anumite părţi ale unui set de date mai mare, astfel încât entitatea destinatară să obţină numai acele informaţii care sunt necesare pentru furnizarea unui serviciu solicitat de utilizatorul în cauză. Portofelul european pentru identitatea digitală ar trebui să permită din punct de vedere tehnic divulgarea selectivă a atributelor către beneficiari. Ar trebui să fie posibil din punct de vedere tehnic pentru utilizator să divulge selectiv atribute, inclusiv din mai multe atestate electronice distincte, să le combine şi să le prezinte fără întreruperi beneficiarilor. Această caracteristică ar trebui să devină un element de proiectare de bază al portofelelor europene pentru identitatea digitală, consolidând astfel confortul şi protecţia datelor cu caracter personal, inclusiv reducerea la minimum a datelor.

(61)Atributele furnizate de prestatorii de servicii de încredere calificaţi în cadrul atestatului calificat al atributelor ar trebui să fie verificate prin compararea lor cu surse autentice, fie direct de către prestatorul de servicii de încredere calificat, fie prin intermediari desemnaţi, recunoscuţi la nivel naţional în conformitate cu dreptul Uniunii sau cu dreptul intern, în scopul schimbului securizat de atribute atestate între prestatorii de servicii de identificare sau de atestare a atributelor şi beneficiarii acestor servicii. Statele membre ar trebui să instituie mecanisme adecvate la nivel naţional pentru a se asigura că prestatorii de servicii de încredere calificaţi care emit atestate electronice calificate ale atributelor sunt în măsură, pe baza consimţământului persoanei căreia i se emite atestatul, să verifice autenticitatea atributelor bazându-se pe surse autentice. Ar trebui să fie posibil ca mecanisme adecvate să includă recurgerea la intermediari specifici sau la soluţii tehnice în conformitate cu dreptul intern care permite accesul la surse autentice. Asigurarea disponibilităţii unui mecanism care permite verificarea atributelor prin compararea lor cu surse autentice este menit să faciliteze respectarea de către prestatorii de servicii de încredere calificaţi care emit atestate electronice calificate ale atributelor a obligaţiilor care le revin în temeiul Regulamentului (UE) nr. 910/2014. O nouă anexă la regulamentul respectiv ar trebui să conţină o listă a categoriilor de atribute în privinţa cărora statele membre trebuie să se asigure că se iau măsuri pentru a permite prestatorilor calificaţi care emit atestate electronice ale atributelor să verifice prin mijloace electronice, la cererea utilizatorului, autenticitatea acestora prin comparare cu sursa autentică relevantă.

(62)Identificarea electronică securizată şi furnizarea de atestate ale atributelor ar trebui să ofere flexibilitate şi soluţii suplimentare pentru sectorul serviciilor financiare în scopul de a permite identificarea clienţilor şi schimbul de atribute specifice necesare pentru a respecta, de exemplu, cerinţele de precauţie privind clientela în temeiul unui viitor regulament privind înfiinţarea Autorităţii pentru Combaterea Spălării Banilor şi cerinţele privind caracterul adecvat care decurg din legislaţia privind protecţia investitorilor, sau în scopul de a sprijini îndeplinirea unor cerinţe de autentificare strictă a clienţilor în cazul identificării online în scopul intrării în cont şi al iniţierii tranzacţiilor în domeniul serviciilor de plată.

(63)Efectul juridic al unei semnături electronice nu se contestă pe motivul că aceasta este în format electronic sau că nu îndeplineşte cerinţele pentru semnătura electronică calificată. Prezentul regulament prevede ca o semnătură electronică calificată să fie considerată echivalentă cu o semnătură olografă. Cu toate acestea, efectul juridic al semnăturilor electronice se stabileşte prin dreptul intern, cu excepţia cerinţelor prevăzute de prezentul regulament potrivit cărora efectul juridic al unei semnături electronice calificate se consideră ca fiind echivalent cu cel al unei semnături olografe. Atunci când stabilesc efectele juridice ale semnăturilor electronice, statele membre ar trebui să ţină seama de principiul proporţionalităţii între valoarea juridică a unui document care urmează să fie semnat şi nivelul de securitate şi costurile pe care le impune o semnătură electronică. Pentru a spori accesibilitatea şi utilizarea semnăturilor electronice, statele membre sunt încurajate să ia în considerare utilizarea semnăturilor electronice avansate în tranzacţiile zilnice pentru care oferă un nivel suficient de securitate şi încredere.

(64)Pentru a asigura consecvenţa practicilor de certificare în întreaga Uniune, Comisia ar trebui să emită orientări privind certificarea şi recertificarea dispozitivelor calificate de creare a semnăturilor electronice şi a dispozitivelor calificate de creare a sigiliilor electronice, inclusiv privind valabilitatea şi limitările în timp ale acestora. Prezentul regulament nu împiedică organismele publice sau private să recertifice temporar astfel de dispozitive pentru o perioadă scurtă de valabilitate a certificării, pe baza rezultatelor celei mai recente proceduri de certificare, atunci când o astfel de recertificare nu poate avea loc în termenul stabilit prin lege pentru orice alt motiv decât o încălcare a securităţii sau un incident de securitate şi fără a aduce atingere obligaţiei de a efectua o evaluare a vulnerabilităţii şi fără a aduce atingere practicii de certificare aplicabile.

(65)Emiterea certificatelor pentru autentificarea site-urilor internet este destinată să ofere utilizatorilor o garanţie cu un nivel ridicat de încredere în ceea ce priveşte identitatea entităţii care se află în spatele site-ului internet, indiferent ce platformă este folosită pentru afişarea identităţii respective. Certificatele respective ar trebui să contribuie la construirea încrederii în desfăşurarea de activităţi comerciale online, întrucât utilizatorii ar avea încredere într-un site internet care a fost autentificat. Utilizarea unor astfel de certificate de către site-uri internet ar trebui să fie voluntară. Pentru ca autentificarea unui site internet să devină un mijloc prin care se sporeşte încrederea, se oferă utilizatorului o experienţă mai bună şi se stimulează creşterea economică pe piaţa internă, prezentul regulament prevede un cadru de încredere care include obligaţii minime în materie de securitate şi răspundere pentru furnizorii certificatelor calificate pentru autentificarea site-urilor internet şi cerinţe pentru emiterea certificatelor respective. Listele sigure naţionale ar trebui să confirme statutul de calificat al serviciilor de autentificare a unui site internet şi al prestatorilor lor de servicii de încredere, inclusiv conformitatea deplină a acestora cu cerinţele prezentului regulament în ceea ce priveşte emiterea certificatelor calificate pentru autentificarea unui site internet. Recunoaşterea certificatelor calificate pentru autentificarea unui site internet înseamnă că furnizorii de browsere web nu ar trebui să refuze autenticitatea certificatelor calificate pentru autentificarea unui site internet numai cu scopul de a atesta legătura dintre numele de domeniu al site-ului internet şi persoana fizică sau juridică căreia i se emite certificatul sau de a confirma identitatea persoanei respective. Furnizorii de browsere web ar trebui să afişeze utilizatorului final datele de identitate certificate şi celelalte atribute atestate într-un mod uşor de utilizat în mediul browserului, utilizând mijloacele tehnice alese de aceştia. În acest scop, furnizorii de browsere web ar trebui să asigure asistenţă şi interoperabilitate pentru certificatele calificate pentru autentificarea unui site internet emise cu deplina respectare a prezentului regulament. Obligaţia de recunoaştere, interoperabilitate şi asistenţă pentru certificatele calificate pentru autentificarea unui site internet nu afectează libertatea furnizorilor de browsere web de a asigura securitatea web, autentificarea domeniilor şi criptarea traficului web în maniera şi prin intermediul tehnologiei pe care o consideră cea mai adecvată. Pentru a contribui la securitatea online a utilizatorilor finali, furnizorii de browsere web ar trebui, în circumstanţe excepţionale, să poată lua măsuri de precauţie care sunt atât necesare, cât şi proporţionale ca răspuns la preocupări motivate referitoare la încălcări ale securităţii sau la pierderea integrităţii unui certificat identificat sau a unui set de certificate identificate. În cazul în care iau astfel de măsuri de precauţie, furnizorii de browsere web ar trebui să notifice fără întârzieri nejustificate Comisiei, organismului naţional de supraveghere, entităţii căreia i-a fost emis certificatul şi prestatorului de servicii de încredere calificat care a emis certificatul sau setul de certificate cu privire la orice preocupare referitoare la o astfel de încălcare a securităţii sau de pierdere a integrităţii, precum şi cu privire la măsurile luate cu privire la certificat sau la setul de certificate. Măsurile respective nu ar trebui să aducă atingere obligaţiei furnizorilor de browsere web de a recunoaşte certificatele calificate pentru autentificarea unui site internet în conformitate cu listele sigure naţionale. Pentru a proteja suplimentar cetăţenii Uniunii şi rezidenţii din Uniune şi pentru a promova utilizarea certificatelor calificate pentru autentificarea unui site internet, autorităţile publice din statele membre ar trebui să ia în considerare includerea certificatelor calificate pentru autentificarea unui site internet în site-urile lor internet. Măsurile prevăzute de prezentul regulament care vizează asigurarea unei coerenţe sporite între abordările şi practicile divergente ale statelor membre în ceea ce priveşte procedurile de supraveghere sunt menite să contribuie la îmbunătăţirea încrederii în securitatea, calitatea şi disponibilitatea certificatelor calificate pentru autentificarea unui site internet.

(66)Numeroase state membre au introdus cerinţe naţionale pentru serviciile care oferă arhivare electronică sigură şi fiabilă, pentru a permite conservarea pe termen lung a datelor electronice şi a documentelor electronice şi a serviciilor de încredere conexe. Pentru a asigura securitatea juridică, încrederea şi armonizarea între statele membre, ar trebui să fie instituit un cadru juridic pentru serviciile calificate de arhivare electronică, inspirat de cadrul aferent celorlalte servicii de încredere prevăzute în prezentul regulament. Cadrul juridic pentru serviciile calificate de arhivare electronică ar trebui să ofere prestatorilor de servicii de încredere şi utilizatorilor un set eficient de instrumente care să includă cerinţe funcţionale pentru serviciul de arhivare electronică, precum şi efecte juridice clare atunci când se utilizează un serviciu calificat de arhivare electronică. Dispoziţiile respective ar trebui să se aplice datelor electronice şi documentelor constituite în format electronic, precum şi documentelor pe suport de hârtie care au fost scanate şi digitalizate. Atunci când este necesar, dispoziţiile respective ar trebui să permită ca datele electronice şi documentele electronice păstrate să fie transferate pe diferite suporturi sau în diferite formate în scopul prelungirii durabilităţii şi lizibilităţii acestora dincolo de perioada de valabilitate tehnologică, împiedicând în acelaşi timp, în cea mai mare măsură posibilă, pierderile şi modificările. Atunci când datele electronice şi documentele electronice transmise serviciului de arhivare electronică conţin una sau mai multe semnături electronice calificate sau sigilii electronice calificate, serviciul ar trebui să utilizeze proceduri şi tehnologii capabile să le extindă fiabilitatea pe toată perioada de păstrare a acestor date, eventual bazându-se pe utilizarea altor servicii de încredere calificate instituite prin prezentul regulament. Pentru a crea dovezi ale conservării în cazul în care se utilizează semnături electronice, sigilii electronice sau mărci temporale electronice, ar trebui să fie utilizate servicii de încredere calificate. În măsura în care serviciile de arhivare electronică nu sunt armonizate prin prezentul regulament, statele membre ar trebui să poată menţine sau introduce dispoziţii de drept intern, conforme cu dreptul Uniunii, referitoare la aceste servicii, cum ar fi dispoziţii specifice pentru serviciile integrate într-o organizaţie şi utilizate exclusiv în scopul arhivării interne în cadrul organizaţiei respective. Prezentul regulament nu ar trebui să facă distincţie între datele electronice şi documentele constituite în format electronic şi documentele fizice care au fost digitalizate.

(68)Registrele electronice reprezintă o secvenţă de înregistrări electronice de date care ar trebui să asigure integritatea acestora şi acurateţea ordonării lor cronologice. Registrele electronice ar trebui să stabilească o secvenţă cronologică de înregistrări de date. Împreună cu alte tehnologii, acestea ar trebui să contribuie la găsirea de soluţii pentru servicii publice mai eficiente şi transformatoare, cum ar fi votul electronic, cooperarea transfrontalieră a autorităţilor vamale, cooperarea transfrontalieră a institutelor academice şi înregistrarea dreptului de proprietate asupra bunurilor imobiliare în registre funciare descentralizate. Registrele electronice calificate ar trebui să stabilească o prezumţie legală pentru ordonarea cronologică secvenţială unică şi exactă şi pentru integritatea înregistrărilor de date din registre. Datorită specificului acestora, cum ar fi ordonarea cronologică secvenţială a înregistrărilor de date, registrele electronice ar trebui să se distingă de alte servicii de încredere, cum ar fi mărcile temporale electronice şi serviciile de distribuţie electronică înregistrată. Pentru a asigura securitatea juridică şi a promova inovarea, ar trebui să se instituie un cadru juridic la nivelul Uniunii care să prevadă recunoaşterea transfrontalieră a serviciilor de încredere pentru înregistrarea datelor în registrele electronice. Acest lucru ar trebui să împiedice în mod suficient copierea şi vânzarea aceluiaşi activ digital de mai multe ori unor părţi diferite. Procesul de creare şi actualizare a unui registru electronic depinde de tipul de registru utilizat, şi anume dacă este centralizat sau distribuit. Prezentul regulament ar trebui să asigure neutralitatea tehnologică, şi anume să nu favorizeze şi nici să nu discrimineze nicio tehnologie utilizată pentru punerea în aplicare a noului serviciu de încredere pentru registrele electronice. În plus, Comisia ar trebui să ţină seama de indicatorii de durabilitate cu privire la orice efect negativ asupra climei sau la alte efecte negative legate de mediu, utilizând metodologii adecvate, atunci când pregăteşte actele de punere în aplicare care precizează cerinţele pentru registrele electronice calificate.

(69)Rolul prestatorilor de servicii de încredere pentru registrele electronice ar trebui să fie cel de a verifica înregistrarea secvenţială a datelor în registru. Prezentul regulament nu aduce atingere niciunei obligaţii legale a utilizatorilor registrelor electronice în temeiul dreptului Uniunii sau al dreptului intern. De exemplu, cazurile de utilizare care implică prelucrarea datelor cu caracter personal ar trebui să respecte Regulamentul (UE) 2016/679, iar cazurile de utilizare care se referă la servicii financiare ar trebui să respecte legislaţia relevantă a Uniunii privind serviciile financiare.

(70)Pentru a evita fragmentarea pieţei interne şi obstacolele pe această piaţă, cauzate de standarde divergente şi de restricţii tehnice, precum şi pentru a asigura un proces coordonat în scopul de a evita să fie afectată punerea în aplicare a cadrului european pentru identitatea digitală, este necesar să existe un proces de cooperare strânsă şi structurată între Comisie, statele membre, societatea civilă, mediul academic şi sectorul privat. Pentru a atinge acest obiectiv, statele membre şi Comisia ar trebui să coopereze în cadrul stabilit prin Recomandarea (UE) 2021/946 a Comisiei (¹⁶) pentru a identifica un set comun de instrumente la nivelul Uniunii vizând cadrul european pentru identitatea digitală. În acest context, statele membre ar trebui să ajungă la un acord cu privire la o arhitectură tehnică cuprinzătoare şi un cadru de referinţă, un set de standarde comune şi de referinţe tehnice comune, inclusiv standarde existente recunoscute, precum şi un set de orientări şi descrieri de bune practici care să privească cel puţin toate funcţionalităţile şi interoperabilitatea portofelelor europene pentru identitatea digitală, inclusiv semnăturile electronice, şi ale prestatorilor de servicii de încredere calificaţi pentru atestarea electronică a atributelor, astfel cum se prevede în prezentul regulament. În acest context, statele membre ar trebui, de asemenea, să ajungă la un acord cu privire la elementele comune ale unui model de afaceri şi ale structurii taxelor aferente portofelelor europene pentru identitatea digitală, pentru a facilita adoptarea acestora, în special de către IMM-uri, în context transfrontalier. Conţinutul setului de instrumente ar trebui să evolueze în paralel cu rezultatul discuţiilor şi al procesului de adoptare a cadrului european pentru identitatea digitală şi să reflecte rezultatele acestora.

(71)Prezentul regulament prevede un nivel armonizat de calitate, fiabilitate şi securitate a serviciilor de încredere calificate, indiferent de locul în care se desfăşoară operaţiunile. Astfel, un prestator de servicii de încredere calificat ar trebui să fie autorizat să îşi externalizeze operaţiunile legate de prestarea unui serviciu de încredere calificat într-o ţară terţă, cu condiţia ca ţara terţă respectivă să prevadă garanţii adecvate care să asigure că activităţile de supraveghere şi auditurile pot fi puse în aplicare ca şi cum ar fi efectuate în Uniune. Atunci când respectarea prezentului regulament nu poate fi asigurată pe deplin, organismele de supraveghere ar trebui să poată adopta măsuri proporţionate şi justificate, inclusiv retragerea statutului de calificat al serviciului de încredere prestat.

(74)Prezentul regulament prevede obligaţia prestatorilor de servicii de încredere calificaţi de a verifica identitatea unei persoane fizice sau juridice căreia i se emite certificatul calificat sau atestatul electronic calificat al atributelor pe baza mai multor metode armonizate în întreaga Uniune. Pentru a se asigura că certificatele calificate şi atestatele electronice calificate ale atributelor sunt emise persoanei căreia îi aparţin şi că acestea atestă setul corect şi unic de date care reprezintă identitatea persoanei respective, prestatorii de servicii de încredere calificaţi care emit certificate calificate sau atestate electronice calificate ale atributelor ar trebui, la momentul emiterii certificatelor şi atestatelor respective, să asigure cu certitudine deplină identificarea persoanei respective. În plus, pe lângă verificarea obligatorie a identităţii persoanei, dacă este cazul pentru emiterea certificatelor calificate şi atunci când emit un atestat electronic calificat al atributelor, prestatorii de servicii de încredere calificaţi ar trebui să asigure cu certitudine deplină corectitudinea şi exactitatea atributelor atestate ale persoanei căreia i se emite certificatul calificat sau atestatul electronic calificat al atributelor. Aceste obligaţii privind rezultatul şi certitudinea deplină în ceea ce priveşte verificarea datelor atestate ar trebui să fie susţinute prin mijloace adecvate, inclusiv prin utilizarea unei metode specifice sau, dacă este necesar, a unei combinaţii de metode specifice prevăzute de prezentul regulament. Ar trebui să fie posibilă combinarea metodelor respective pentru a oferi o bază adecvată pentru verificarea identităţii persoanei căreia i se emite certificatul calificat sau un atestat electronic calificat al atributelor. O astfel de combinaţie ar trebui să poată include recurgerea la mijloace de identificare electronică care îndeplinesc cerinţele privind nivelul de asigurare substanţial în combinaţie cu alte mijloace de verificare a identităţii care ar permite îndeplinirea cerinţelor armonizate prevăzute în prezentul regulament în ceea ce priveşte nivelul de asigurare ridicat ca parte a procedurilor armonizate suplimentare la distanţă, asigurând identificarea cu un nivel ridicat de încredere. Aceste metode ar trebui să includă posibilitatea ca prestatorul de servicii de încredere calificat care emite un atestat electronic calificat al atributelor să verifice atributele care urmează să fie atestate prin mijloace electronice la cererea utilizatorului, în conformitate cu dreptul Uniunii sau cu dreptul intern, inclusiv din surse autentice.

(76)Întrucât obiectivele prezentului regulament, şi anume dezvoltarea cadrului european pentru identitatea digitală şi a unui cadru privind serviciile de încredere la nivelul Uniunii, nu pot fi realizate în mod satisfăcător de către statele membre, dar, având în vedere amploarea şi efectele lor, acestea pot fi realizate mai bine la nivelul Uniunii, aceasta poate adopta măsuri, în conformitate cu principiul subsidiarităţii, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporţionalităţii, astfel cum este prevăzut la articolul respectiv, prezentul regulament nu depăşeşte ceea ce este necesar pentru realizarea obiectivelor respective.

Art. 1: Modificarea Regulamentului (UE) nr. 910/2014

1.Articolul 1 se înlocuieşte cu următorul text:

Prezentul regulament urmăreşte să asigure buna funcţionare a pieţei interne şi să asigure un nivel adecvat de securitate a mijloacelor de identificare electronică şi a serviciilor de încredere utilizate în întreaga Uniune, pentru a permite şi a facilita exercitarea de către persoanele fizice şi juridice a dreptului de a participa la societatea digitală în condiţii de siguranţă şi de a accesa servicii publice şi private online în întreaga Uniune. În acest scop, prezentul regulament:

2.Articolul 2 se modifică după cum urmează:

(b)alineatul (3) se înlocuieşte cu următorul text:

3.Articolul 3 se modifică după cum urmează:

(a)punctele 1-5 se înlocuiesc cu următorul text:

(d)punctul 16 se înlocuieşte cu următorul text:

(e)punctul 18 se înlocuieşte cu următorul text:

"18. «organism de evaluare a conformităţii» înseamnă un organism de evaluare a conformităţii în sensul definiţiei de la articolul 2 punctul 13 din Regulamentul (CE) nr. 765/2008, care este acreditat în conformitate cu regulamentul respectiv ca fiind competent să efectueze evaluarea conformităţii unui prestator de servicii de încredere calificat şi a serviciilor de încredere calificate pe care acesta le prestează ori ca fiind competent să efectueze certificarea portofelelor europene pentru identitatea digitală sau a mijloacelor de identificare electronică;"

(g)se introduc următoarele puncte:

(j)se adaugă următoarele puncte:

"42. «portofel european pentru identitatea digitală» înseamnă un mijloc de identificare electronică care permite utilizatorului să stocheze, să gestioneze şi să valideze în condiţii de siguranţă datele de identificare personală şi atestatele electronice ale atributelor cu scopul de a le furniza beneficiarilor şi altor utilizatori ai portofelelor europene pentru identitatea digitală şi să semneze prin intermediul semnăturilor electronice calificate sau să sigileze prin intermediul sigiliilor electronice calificate;

46. «atestat electronic al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele acestuia» înseamnă un atestat electronic al atributelor emis de un organism din sectorul public care este responsabil de o sursă autentică ori de un organism din sectorul public care este desemnat de statul membru să emită astfel de atestate ale atributelor în numele organismelor din sectorul public responsabile de sursele autentice în conformitate cu articolul 45f şi cu anexa VII;

51. «autentificarea strictă a utilizatorilor» înseamnă o autentificare care se bazează pe utilizarea a cel puţin doi factori de autentificare din categoriile diferite ale cunoştinţelor, ceva ce doar utilizatorul cunoaşte, ale posesiei, ceva ce doar utilizatorul posedă sau ale inerenţei, ceva ce reprezintă utilizatorul, care sunt independenţi, în sensul că încălcarea securităţii unuia dintre factori nu compromite fiabilitatea celorlalţi, şi care este concepută în aşa fel încât să protejeze confidenţialitatea datelor de autentificare;

5.În capitolul II, se introduce următoarea secţiune:

(1) În scopul garantării faptului că toate persoanele fizice şi juridice din Uniune au un acces transfrontalier securizat, fiabil şi neîntrerupt la servicii publice şi private, păstrând totodată controlul deplin asupra datelor lor, fiecare stat membru furnizează cel puţin un portofel european pentru identitatea digitală în termen de 24 de luni de la data intrării în vigoare a actelor de punere în aplicare menţionate la alineatul (23) de la prezentul articol şi la articolul 5c alineatul (6).

(14) Utilizatorii au controlul deplin asupra utilizării portofelului lor european pentru identitatea digitală şi asupra datelor din acesta. Furnizorul portofelului european pentru identitatea digitală nu colectează informaţii cu privire la utilizarea portofelului european pentru identitatea digitală care nu sunt necesare pentru furnizarea serviciilor oferite de portofelul european pentru identitatea digitală şi nici nu combină date de identificare personală sau orice alte date cu caracter personal stocate sau legate de utilizarea portofelului european pentru identitatea digitală cu date cu caracter personal provenind de la orice alte servicii oferite de respectivul furnizor sau de la servicii furnizate de terţi care nu sunt necesare pentru furnizarea serviciilor oferite de portofelul european pentru identitatea digitală, cu excepţia cazului în care utilizatorul a solicitat în mod expres contrariul. Datele cu caracter personal legate de punerea la dispoziţie de portofele europene pentru identitatea digitală sunt păstrate separate logic de orice alte date deţinute de furnizorul de portofele europene pentru identitatea digitală. În cazul în care portofelul european pentru identitatea digitală este furnizat de părţi private în conformitate cu alineatul (2) literele (b) şi (c) de la prezentul articol, dispoziţiile articolului 45h alineatul (3) se aplică mutatis mutandis.

(15) Utilizarea portofelelor europene pentru identitatea digitală este voluntară. Accesul la serviciile publice şi private, accesul la piaţa muncii şi libertatea de a desfăşura o activitate comercială nu sunt în niciun fel restricţionate sau permise în condiţii mai dezavantajoase pentru persoanele fizice sau juridice care nu utilizează portofelele europene pentru identitatea digitală. Accesul la serviciile publice şi private rămâne posibil prin alte mijloace de identificare şi autentificare existente.

(17) Orice prelucrare a datelor cu caracter personal efectuată de statele membre sau, în numele acestora, de organisme sau părţi responsabile de furnizarea portofelelor europene pentru identitatea digitală drept mijloace de identificare electronică se efectuează în conformitate cu măsuri adecvate şi eficace de protecţie a datelor. Trebuie să se demonstreze conformitatea unei astfel de prelucrări cu Regulamentul (UE) 2016/679. Statele membre pot adopta dispoziţii de drept intern pentru a preciza mai în detaliu aplicarea acestor măsuri.

(23) Până la 21 noiembrie 2024, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind cerinţele menţionate la alineatele (4), (5), (8) şi (18) de la prezentul articol, privind implementarea portofelului european pentru identitatea digitală. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

(24) Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii tehnice şi proceduri pentru a facilita integrarea utilizatorilor în sistemul reprezentat de portofelul european pentru identitatea digitală fie prin mijloace de identificare electronică conforme cu nivelul de asigurare ridicat, fie prin mijloace de identificare electronică conforme cu nivelul de asigurare substanţial combinate cu proceduri suplimentare de integrare la distanţă care, împreună, îndeplinesc cerinţele nivelului de asigurare ridicat. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

(11) Până la 21 noiembrie 2024, Comisia stabileşte specificaţiile tehnice şi procedurile privind cerinţele prevăzute la alineatele (2), (5) şi (6)-(9) de la prezentul articol prin intermediul unor acte de punere în aplicare privind implementarea portofelelor europene pentru identitatea digitală, astfel cum se menţionează la articolul 5a alineatul (23). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

(2) Certificarea conformităţii portofelelor europene pentru identitatea digitală cu cerinţele menţionate la alineatul (1) de la prezentul articol care sunt relevante în materie de securitate cibernetică sau cu părţi ale acestora se efectuează în conformitate cu sistemele europene de certificare a securităţii cibernetice adoptate în temeiul Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului (^*3) şi indicate în actele de punere în aplicare menţionate la alineatul (6) de la prezentul articol.

(3) Pentru cerinţele menţionate la alineatul (1) de la prezentul articol care nu sunt relevante în materie de securitate cibernetică şi pentru cerinţele menţionate la alineatul (1) de la prezentul articol care sunt relevante în materie de securitate cibernetică, în măsura în care sistemele de certificare a securităţii cibernetice menţionate la alineatul (2) de la prezentul articol nu acoperă sau acoperă doar parţial cerinţele de securitate cibernetică respective, statele membre instituie, şi pentru respectivele cerinţe, sisteme de certificare naţionale în conformitate cu cerinţele stabilite în actele de punere în aplicare menţionate la alineatul (6) de la prezentul articol. Statele membre transmit proiectele lor de sisteme de certificare naţionale Grupului european de cooperare privind identitatea digitală constituit în temeiul articolului 46e alineatul (1) (denumit în continuare «grupul de cooperare») Grupul de cooperare poate emite avize şi recomandări.

(1) Statele membre informează, fără întârzieri nejustificate, Comisia şi grupul de cooperare constituit în temeiul articolului 46e alineatul (1) cu privire la portofelele europene pentru identitatea digitală care au fost furnizate în temeiul articolului 5a şi au fost certificate de organismele de evaluare a conformităţii menţionate la articolul 5c alineatul (1). Statele membre informează, fără întârzieri nejustificate, Comisia şi grupul de cooperare constituit în temeiul articolului 46e alineatul (1) în cazul în care o certificare este anulată şi indică motivele anulării.

(7) Până la 21 noiembrie 2024, Comisia stabileşte formatele şi procedurile aplicabile în vederea îndeplinirii cerinţelor prevăzute la alineatele (1), (4) şi (5) de la prezentul articol prin intermediul unor acte de punere în aplicare cu privire la implementarea portofelelor europene pentru identitatea digitală, astfel cum se menţionează la articolul 5a alineatul (23). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

(1) În cazul în care portofelele europene pentru identitatea digitală furnizate în temeiul articolului 5a, mecanismele de validare menţionate la articolul 5a alineatul (8) sau sistemul de identificare electronică în cadrul căruia sunt furnizate portofelele europene pentru identitatea digitală fac obiectul unei încălcări a securităţii sau sunt compromise parţial într-un mod care afectează fiabilitatea lor sau a altor portofele europene pentru identitatea digitală, statele membre care au furnizat portofelele europene pentru identitatea digitală suspendă fără întârziere nejustificată furnizarea şi utilizarea portofelelor europene pentru identitatea digitală.

(2) În cazul în care încălcarea securităţii sau compromiterea menţionată la alineatul (1) primul paragraf de la prezentul articol nu este remediată în termen de trei luni de la suspendare, statul membru care a furnizat portofelele europene pentru identitatea digitală retrage portofelele europene pentru identitatea digitală şi le revocă valabilitatea. Statul membru informează în mod corespunzător utilizatorii afectaţi, punctele unice de contact desemnate în temeiul articolului 46c alineatul (1), beneficiarii şi Comisia cu privire la retragere.

(2) În cazul în care beneficiarii privaţi care furnizează servicii, cu excepţia microîntreprinderilor şi a întreprinderilor mici, astfel cum sunt definite la articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (^*4), au obligaţia în temeiul dreptului Uniunii sau al dreptului intern să utilizeze autentificarea strictă a utilizatorului pentru identificarea online sau în cazul în care autentificarea strictă a utilizatorului pentru identificarea online este obligatorie în temeiul unei obligaţii contractuale, inclusiv în domeniile transporturilor, energiei, serviciilor bancare şi financiare, securităţii sociale, sănătăţii, apei potabile, serviciilor poştale, infrastructurii digitale, educaţiei sau telecomunicaţiilor, respectivii beneficiari privaţi, în termen de 36 de luni de la data intrării în vigoare a actelor de punere în aplicare menţionate la articolul 5a alineatul (23) şi la articolul 5c alineatul (6) şi, numai la cererea voluntară a utilizatorului, acceptă şi utilizarea portofelelor europene pentru identitatea digitală care sunt furnizate în conformitate cu prezentul regulament.

(3) În cazul în care furnizorii de platforme online foarte mari menţionate la articolul 33 din Regulamentul (UE) 2022/2065 al Parlamentului European şi al Consiliului (^*5) impun autentificarea utilizatorului pentru accesul la servicii online, aceştia acceptă şi facilitează şi utilizarea portofelelor europene pentru identitatea digitală care sunt furnizate în conformitate cu prezentul regulament pentru autentificarea utilizatorului, numai la cererea voluntară a acestuia şi în ceea ce priveşte datele minime necesare pentru serviciul online specific pentru care se solicită autentificarea.

9.La articolul 9, alineatele (2) şi (3) se înlocuiesc cu următorul text:

11.Se introduce următorul articol:

12.Articolul 12 se modifică după cum urmează:

(d)alineatele (5) şi (6) se înlocuiesc cu următorul text:

(f)alineatul (8) se înlocuieşte cu următorul text:

"(8) Până la 18 septembrie 2025, în vederea stabilirii unor condiţii uniforme pentru punerea în aplicare a cerinţei menţionate la alineatul (1) de la prezentul articol, sub rezerva criteriilor stabilite la alineatul (3) de la prezentul articol şi luând în considerare rezultatele cooperării dintre statele membre, Comisia adoptă acte de punere în aplicare privind cadrul de interoperabilitate, astfel cum este prevăzut la alineatul (4) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2)."

13.În capitolul II se introduc următoarele articole:

(5) Evaluarea inter pares privind sistemele de identificare electronică menţionată la articolul 12 alineatul (5) nu se aplică sistemelor de identificare electronică sau unor părţi ale acestor sisteme certificate în conformitate cu alineatul (1) de la prezentul articol. Statele membre pot utiliza un certificat sau o declaraţie de conformitate, emis(ă) în conformitate cu un sistem de certificare relevant sau cu părţi ale unor astfel de sisteme, cu cerinţele care nu ţin de securitatea cibernetică prevăzute la articolul 8 alineatul (2) în ceea ce priveşte nivelul de asigurare ale sistemelor de identificare electronică.

Atunci când furnizorii de portofele europene pentru identitatea digitală şi emitenţii de mijloace de identificare electronică notificate, care acţionează cu titlu comercial sau profesional şi utilizează servicii de platformă esenţiale în sensul definiţiei de la articolul 2 punctul 2 din Regulamentul (UE) 2022/1925 al Parlamentului European şi al Consiliului (^*6) în scopul sau în cursul furnizării de servicii specifice portofelelor europene pentru identitatea digitală şi de mijloace de identificare electronică utilizatorilor finali, sunt utilizatori comerciali în sensul definiţiei de la articolul 2 punctul 21 din regulamentul menţionat, controlorii de acces le permit, în special, să beneficieze în mod efectiv de interoperabilitatea cu aceleaşi componente ale sistemului de operare, ale hardware-ului sau ale software-ului, precum şi să aibă acces la respectivele componente în vederea asigurării interoperabilităţii. Interoperabilitatea efectivă şi accesul menţionate anterior sunt permise cu titlu gratuit şi indiferent dacă componentele de hardware sau de software fac parte din sistemul de operare, în aceleaşi condiţii în care respectivele componente îi sunt disponibile respectivului controlor de acces sau sunt folosite de acesta atunci când furnizează astfel de servicii, în sensul articolului 6 alineatul (7) din Regulamentul (UE) 2022/1925. Prezentul articol nu aduce atingere articolului 5a alineatul (14) din prezentul regulament.

14.La articolul 13, alineatul (1) se înlocuieşte cu următorul text:

"(1) În pofida alineatului (2) de la prezentul articol şi fără a aduce atingere Regulamentului (UE) 2016/679, prestatorii de servicii de încredere sunt răspunzători pentru prejudiciile cauzate în mod intenţionat sau din neglijenţă oricărei persoane fizice sau juridice ca urmare a nerespectării obligaţiilor prevăzute în prezentul regulament. Orice persoană fizică sau juridică ce a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament de către un prestator de servicii de încredere are dreptul de a solicita despăgubiri în conformitate cu dreptul Uniunii şi cu dreptul intern.

15.Articolele 14, 15 şi 16 se înlocuiesc cu următorul text:

(1) Serviciile de încredere prestate de prestatori de servicii de încredere stabiliţi într-o ţară terţă sau de o organizaţie internaţională sunt recunoscute ca fiind echivalente din punct de vedere juridic cu serviciile de încredere calificate prestate de prestatori de servicii de încredere calificaţi stabiliţi în Uniune dacă serviciile de încredere care provin din ţara terţă sau de la organizaţia internaţională sunt recunoscute prin intermediul unor acte de punere în aplicare sau al unui acord încheiat între Uniune şi ţara terţă sau organizaţia internaţională în cauză în conformitate cu articolul 218 din TFUE.

(2) Actele de punere în aplicare şi acordul menţionate la alineatul (1) garantează că cerinţele aplicabile prestatorilor de servicii de încredere calificaţi stabiliţi în Uniune şi serviciilor de încredere calificate pe care aceştia le prestează sunt îndeplinite de prestatorii de servicii de încredere din ţara terţă în cauză sau de organizaţiile internaţionale, precum şi de serviciile de încredere pe care aceştia le prestează. În special, ţările terţe şi organizaţiile internaţionale elaborează, menţin şi publică o listă sigură a prestatorilor de servicii de încredere recunoscuţi.

Mijloacele de identificare electronică, prestarea serviciilor de încredere şi furnizarea produselor destinate utilizatorului final care sunt utilizate pentru prestarea serviciilor respective sunt furnizate într-un limbaj clar şi inteligibil şi în conformitate cu Convenţia Naţiunilor Unite privind drepturile persoanelor cu handicap şi cu cerinţele de accesibilitate prevăzute în Directiva (UE) 2019/882, fiind astfel accesibile şi persoanelor care se confruntă cu limitări funcţionale, cum ar fi persoanele în vârstă, şi persoanelor cu acces limitat la tehnologiile digitale.

18.În capitolul III secţiunea 2 se introduce următorul articol:

b) notificarea organismului de supraveghere, persoanelor afectate care pot fi identificate, publicului - dacă chestiunea este de interes public -, şi, după caz, altor autorităţi competente relevante, cu privire la orice încălcare a securităţii sau perturbare survenită în prestarea serviciului sau în punerea în aplicare a măsurilor menţionate la litera (a) punctul (i), (ii) sau (iii) care are impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate în cadrul acestuia, fără întârzieri nejustificate şi, în orice caz, nu mai târziu de 24 de ore din momentul în care a luat cunoştinţă de orice încălcare a securităţii sau perturbare.

(2) Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri în scopul alineatului (1) litera (a) de la prezentul articol. În cazul în care standardele, specificaţiile şi procedurile respective sunt respectate, se prezumă că sunt respectate cerinţele prevăzute la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2)."

19.Articolul 20 se modifică după cum urmează:

(a)alineatul (1) se înlocuieşte cu următorul text:

"(1) Prestatorii de servicii de încredere calificaţi sunt auditaţi, pe propria cheltuială, cel puţin la fiecare 24 de luni, de către un organism de evaluare a conformităţii. Auditul confirmă că prestatorii de servicii de încredere calificaţi şi serviciile de încredere calificate pe care le prestează îndeplinesc cerinţele prevăzute în prezentul regulament şi la articolul 21 din Directiva (UE) 2022/2555. Prestatorii de servicii de încredere calificaţi transmit raportul de evaluare a conformităţii care a rezultat organismului de supraveghere în termen de trei zile lucrătoare de la primirea lui."

(b)se introduc următoarele alineate:

(c)alineatele (2), (3) şi (4) se înlocuiesc cu următorul text:

"(2) Fără a aduce atingere alineatului (1), organismul de supraveghere poate, în orice moment, să efectueze un audit sau să solicite unui organism de evaluare a conformităţii să efectueze o evaluare a conformităţii privind prestatorii de servicii de încredere calificaţi, pe cheltuiala prestatorilor de servicii de încredere respectivi, pentru a confirma că aceştia şi serviciile de încredere calificate pe care le prestează îndeplinesc cerinţele prevăzute în prezentul regulament. În cazul în care normele de protecţie a datelor cu caracter personal par să fi fost încălcate, organismul de supraveghere informează, fără întârzieri nejustificate, autorităţile de supraveghere competente înfiinţate în temeiul articolului 51 din Regulamentul (UE) 2016/679.

(3^a) În cazul în care autorităţile competente desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555 informează organismul de supraveghere că prestatorul de servicii de încredere calificat nu îndeplineşte oricare dintre cerinţele prevăzute la articolul 21 din respectiva directivă, organismul de supraveghere, atunci când acest lucru este justificat în special de amploarea, durata şi consecinţele respectivei neîndepliniri, retrage statutul de calificat al prestatorului respectiv sau al serviciului afectat pe care îl prestează acesta.

(3^b) În cazul în care autorităţile de supraveghere înfiinţate în temeiul articolului 51 din Regulamentul (UE) 2016/679 informează organismul de supraveghere că prestatorul de servicii de încredere calificat nu îndeplineşte oricare dintre cerinţele prevăzute în regulamentul menţionat, organismul de supraveghere, atunci când acest lucru este justificat în special de amploarea, durata şi consecinţele respectivei neîndepliniri, retrage statutul de calificat al prestatorului respectiv sau al serviciului afectat pe care îl prestează acesta.

(3^c) Organismul de supraveghere informează prestatorul de servicii de încredere calificat cu privire la retragerea statutului de calificat, al său sau al serviciului în cauză. Organismul de supraveghere informează organismul notificat în temeiul articolului 22 alineatul (3) din prezentul regulament în scopul actualizării listelor sigure menţionate la alineatul (1) de la articolul respectiv, precum şi autoritatea competentă desemnată sau înfiinţată în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555.

20.Articolul 21 se modifică după cum urmează:

(a)alineatele (1) şi (2) se înlocuiesc cu următorul text:

Pentru a verifica respectarea de către prestatorul de servicii de încredere a cerinţelor prevăzute la articolul 21 din Directiva (UE) 2022/2555, organismul de supraveghere solicită autorităţilor competente desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din respectiva directivă să desfăşoare acţiuni de supraveghere în această privinţă şi să furnizeze informaţii cu privire la rezultat fără întârzieri nejustificate şi, în orice caz, în termen de două luni de la primirea cererii respective. În cazul în care verificarea nu este încheiată în termen de două luni de la notificare, autorităţile competente respective informează organismul de supraveghere, specificând motivele întârzierii şi termenul în care urmează să se încheie verificarea.

În cazul în care organismul de supraveghere ajunge la concluzia că prestatorul de servicii de încredere şi serviciile de încredere prestate de acesta respectă cerinţele prevăzute în prezentul regulament, organismul de supraveghere acordă statutul de calificat prestatorului de servicii de încredere şi serviciilor de încredere prestate de acesta şi informează în consecinţă organismul menţionat la articolul 22 alineatul (3) în scopul actualizării listelor sigure menţionate la articolul 22 alineatul (1), în termen de trei luni de la notificare, în conformitate cu alineatul (1) de la prezentul articol.

21.Articolul 24 se modifică după cum urmează:

(a)alineatul (1) se înlocuieşte cu următorul text:

(b)alineatul (2) se modifică după cum urmează:

(f^b) notifică organismului de supraveghere, persoanelor afectate care pot fi identificate, altor organisme competente relevante, după caz, şi, la cererea organismului de supraveghere, publicului, dacă chestiunea este de interes public, orice încălcare a securităţii sau perturbare survenită în prestarea serviciului sau în punerea în aplicare a măsurilor menţionate la litera (fa) punctul (i), (ii) sau (iii) care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate în cadrul acestuia, fără întârzieri nejustificate şi, în orice caz, în termen de 24 de ore de la producerea incidentului;"

"Organismul de supraveghere poate solicita informaţii în plus faţă de informaţiile notificate în temeiul primului paragraf litera (a) sau rezultatul unei evaluări a conformităţii şi poate stabili anumite condiţii pentru acordarea permisiunii de a pune în aplicare modificările preconizate ale serviciilor de încredere calificate. În cazul în care verificarea nu este încheiată în termen de trei luni de la notificare, organismul de supraveghere informează prestatorul de servicii de încredere, specificând motivele întârzierii şi termenul în care urmează să se încheie verificarea."

(c)alineatul (5) se înlocuieşte cu următorul text:

(5) Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind cerinţele menţionate la alineatul (2) de la prezentul articol. În cazul în care standardele, specificaţiile şi procedurile respective sunt respectate, se prezumă că sunt respectate cerinţele prevăzute la prezentul alineat. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2)."

22.În capitolul III secţiunea 3 se introduce următorul articol:

(3) Un certificat calificat pentru semnăturile electronice, un certificat calificat pentru sigilii electronice, un serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a semnăturii electronice la distanţă şi un serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a sigiliului electronic la distanţă furnizat într-un stat membru este recunoscut drept certificat calificat pentru semnăturile electronice, drept certificat calificat pentru sigilii electronice, drept serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a semnăturii electronice la distanţă şi, respectiv, drept serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a sigiliului electronic la distanţă în toate celelalte state membre.

24.Articolul 26 se modifică după cum urmează:

(b)se adaugă următorul alineat:

"(2) Până la 21 mai 2026, Comisia evaluează dacă este necesar să adopte acte de punere în aplicare prin care să stabilească o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru semnăturile electronice avansate. Pe baza rezultatului evaluării respective, Comisia poate adopta astfel de acte de punere în aplicare. În cazul în care o semnătură electronică avansată îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele referitoare la semnăturile electronice avansate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2)."

26.La articolul 28, alineatul (6) se înlocuieşte cu următorul text:

"(6) Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru certificatele calificate pentru semnăturile electronice. În cazul în care un certificat calificat pentru semnătura electronică îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele prevăzute în anexa I. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2)."

27.La articolul 29 se introduce următorul alineat:

28.Se introduce următorul articol:

31.Articolul 32 se modifică după cum urmează:

32.Se introduce următorul articol:

(3) Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru validarea semnăturilor electronice avansate bazate pe certificate calificate. În cazul în care validarea semnăturii electronice avansate bazate pe certificate calificate îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele prevăzute la alineatul (1) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2)."

33.La articolul 33, alineatul (2) se înlocuieşte cu următorul text:

"(2) Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru serviciul calificat de validare menţionat la alineatul (1) de la prezentul articol. În cazul în care serviciul calificat de validare pentru semnături electronice calificate îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele de la alineatul (1) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2)."

34.Articolul 34 se modifică după cum urmează:

36.Articolul 36 se modifică după cum urmează:

(b)se adaugă următorul alineat:

"(2) Până la 21 mai 2026, Comisia evaluează dacă este necesar să adopte acte de punere în aplicare prin care să stabilească o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru sigiliile electronice avansate. Pe baza rezultatului evaluării respective, Comisia poate adopta astfel de acte de punere în aplicare. În cazul în care un sigiliu electronic avansat îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele privind sigiliile electronice avansate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2)."

38.La articolul 38, alineatul (6) se înlocuieşte cu următorul text:

"(6) Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru certificatele calificate pentru sigiliul electronic. În cazul în care un certificat calificat pentru sigiliul electronic îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele prevăzute în anexa III. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2)."

42.Articolul 42 se modifică după cum urmează:

43.Articolul 44 se modifică după cum urmează:

(c)se introduc următoarele alineate:

(2^b) Comisia poate stabili, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru cadrul de interoperabilitate menţionat la alineatul (2a) de la prezentul articol. Specificaţiile tehnice şi conţinutul standardelor sunt eficiente din punctul de vedere al costurilor şi proporţionale. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2)."

44.Articolul 45 se înlocuieşte cu următorul text:

(1^a) Certificatele calificate pentru autentificarea unui site internet emise în conformitate cu alineatul (1) de la prezentul articol sunt recunoscute de furnizorii de browsere web. Furnizorii de browsere web asigură faptul că datele de identitate atestate în certificat şi atributele suplimentare atestate sunt afişate într-un mod uşor de recunoscut de către utilizator. Furnizorii de browsere web asigură suport şi interoperabilitate cu certificatele calificate pentru autentificarea unui site internet menţionate la alineatul (1) de la prezentul articol, cu excepţia microîntreprinderilor sau a întreprinderilor mici, astfel cum sunt definite la articolul 2 din anexa la Recomandarea 2003/361/CE, în primii cinci ani de funcţionare ca prestatori de servicii de navigare pe internet.

45.Se introduce următorul articol:

(3) În cazul în care un furnizor de browsere web ia măsuri de precauţie conform alineatului (2), furnizorul de browsere web îşi notifică suspiciunile în scris, fără întârzieri nejustificate, împreună cu o descriere a măsurilor luate pentru a remedia aceste suspiciuni, Comisiei, organismului de supraveghere competent, entităţii căreia i-a fost emis certificatul şi prestatorului de servicii de încredere calificat care a emis certificatul sau setul de certificate. La primirea unei astfel de notificări, organismul de supraveghere competent emite furnizorului de browsere web în cauză o confirmare de primire.

46.În capitolul III se introduc următoarele secţiuni:

Atunci când identificarea electronică cu ajutorul unui mijloc de identificare electronică şi al autentificării este obligatorie în temeiul dreptului intern pentru a accesa un serviciu prestat online de un organism din sectorul public, datele de identificare personală din atestatul electronic al atributelor nu înlocuiesc identificarea electronică cu ajutorul unui mijloc de identificare electronică şi al autentificării pentru identificarea electronică, cu excepţia cazului în care acest lucru este permis în mod expres de statul membru. Într-un astfel de caz, se acceptă, de asemenea, atestatul electronic calificat al atributelor din alte state membre.

(5) Până la 21 noiembrie 2024, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind atestatele electronice calificate ale atributelor. Actele de punere în aplicare respective sunt în concordanţă cu actele de punere în aplicare menţionate la articolul 5a alineatul (23) privind implementarea portofelului european pentru identitatea digitală. Acestea se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

(1) În termen de 24 de luni de la data intrării în vigoare a actelor de punere în aplicare menţionate la articolul 5a alineatul (23) şi la articolul 5c alineatul (6), statele membre se asigură că, cel puţin în cazul atributelor enumerate în anexa VI, ori de câte ori respectivele atribute se bazează pe surse autentice din sectorul public, se iau măsuri pentru a permite prestatorilor de servicii de încredere calificaţi care pun la dispoziţie atestate electronice ale atributelor să verifice respectivele atribute prin mijloace electronice, la cererea utilizatorului, în conformitate cu dreptul Uniunii sau cu dreptul intern.

(2) Până la 21 noiembrie 2024, ţinând seama de standardele internaţionale relevante, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru catalogul de atribute, precum şi sisteme pentru atestarea atributelor şi procedurile de verificare pentru atestatele electronice calificate ale atributelor în sensul alineatului (1) de la prezentul articol. Actele de punere în aplicare respective sunt în concordanţă cu actele de punere în aplicare menţionate la articolul 5a alineatul (23) privind implementarea portofelului european pentru identitatea digitală şi se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

(3) Statele membre notifică Comisiei organismele din sectorul public menţionate la articolul 3 punctul 46. Notificarea respectivă include un raport de evaluare a conformităţii emis de un organism de evaluare a conformităţii care confirmă că sunt îndeplinite cerinţele prevăzute la alineatele (1), (2) şi (6) de la prezentul articol. Comisia pune la dispoziţia publicului, printr-un canal sigur, lista organismelor din sectorul public menţionate la articolul 3 punctul 46, într-o formă purtând o semnătură electronică sau un sigiliu electronic, adecvată pentru prelucrarea automată.

(6) Până la 21 noiembrie 2024, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind atestatul electronic al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele unui astfel de organism. Actele de punere în aplicare respective sunt în concordanţă cu actele de punere în aplicare menţionate la articolul 5a alineatul (23) privind implementarea portofelului european pentru identitatea digitală. Acestea se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

(7) Până la 21 noiembrie 2024, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri în sensul alineatului (3) de la prezentul articol. Actele de punere în aplicare respective sunt în concordanţă cu actele de punere în aplicare menţionate la articolul 5a alineatul (23) privind implementarea portofelului european pentru identitatea digitală. Acestea se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

(2) Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind serviciile calificate de arhivare electronică. În cazul în care un serviciu calificat de arhivare electronică îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele privind serviciile calificate de arhivare electronică. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

47.Se introduce următorul capitol:

c) să informeze autorităţile competente relevante ale statelor membre în cauză, desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555, cu privire la orice încălcare semnificativă a securităţii sau pierdere a integrităţii de care iau cunoştinţă în îndeplinirea sarcinilor lor şi, în cazul unei încălcări semnificative a securităţii sau al pierderii integrităţii care priveşte alte state membre, să informeze punctul unic de contact din statul membru în cauză, desemnat sau înfiinţat în temeiul articolului 8 alineatul (3) din Directiva (UE) 2022/2555, şi punctele unice de contact din celelalte state membre în cauză, desemnate în temeiul articolului 46c alineatul (1) din prezentul regulament, şi să informeze publicul sau să solicite furnizorilor de portofele europene pentru identitatea digitală să facă acest lucru în cazul în care organismul de supraveghere consideră că divulgarea încălcării securităţii sau a pierderii integrităţii ar fi de interes public;

(5) În cazul în care organismul de supraveghere desemnat în temeiul alineatului (1) solicită furnizorului unui portofel european pentru identitatea digitală să remedieze orice neîndeplinire a cerinţelor prevăzute în prezentul regulament în temeiul alineatului (4) litera (e), iar furnizorul respectiv nu acţionează în consecinţă şi, dacă este cazul, într-un termen stabilit de organismul de supraveghere, organismul de supraveghere desemnat în temeiul alineatului (1) poate, ţinând seama, în special, de amploarea, durata şi consecinţele respectivei neîndepliniri, să dispună ca furnizorul să suspende sau să înceteze furnizarea portofelului european pentru identitatea digitală. Organismul de supraveghere informează fără întârzieri nejustificate organismele de supraveghere ale altor state membre, Comisia, beneficiarii şi utilizatorii portofelului european pentru identitatea digitală cu privire la decizia de a solicita suspendarea sau încetarea furnizării portofelului european pentru identitatea digitală.

a) să informeze autorităţile competente relevante ale statelor membre în cauză, desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555, cu privire la orice încălcare semnificativă a securităţii sau pierdere a integrităţii de care iau cunoştinţă în îndeplinirea sarcinilor lor şi, în cazul unei încălcări semnificative a securităţii sau al pierderii integrităţii care priveşte alte state membre, să informeze punctul unic de contact din statul membru în cauză, desemnat sau înfiinţat în temeiul articolului 8 alineatul (3) din Directiva (UE) 2022/2555, şi punctele unice de contact din celelalte state membre în cauză, desemnate în temeiul articolului 46c alineatul (1) din prezentul regulament, şi să informeze publicul sau să solicite prestatorului de servicii de încredere să facă acest lucru în cazul în care organismul de supraveghere consideră că divulgarea încălcării securităţii sau a pierderii integrităţii ar fi de interes public;

(7) Până la 21 mai 2025, Comisia adoptă orientări privind îndeplinirea de către organismele de supraveghere desemnate în temeiul alineatului (1) de la prezentul articol a sarcinilor menţionate la alineatul (4) de la prezentul articol şi, prin intermediul unor acte de punere în aplicare, stabileşte formatele şi procedurile privind raportul menţionat la alineatul (6) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

(1) Pentru a facilita supravegherea şi executarea obligaţiilor prevăzute de prezentul regulament, organismele de supraveghere desemnate în temeiul articolului 46a alineatul (1) sau al articolului 46b alineatul (1) pot solicita, inclusiv prin intermediul grupului de cooperare înfiinţat în temeiul articolului 46e alineatul (1), asistenţă reciprocă din partea organismelor de supraveghere dintr-un alt stat membru în care este stabilit furnizorul portofelului european pentru identitatea digitală sau prestatorul de servicii de încredere sau în care se află reţeaua şi sistemele sale informatice ori sunt prestate serviciile acestuia.

(vi)să organizeze reuniuni comune cu Grupul de cooperare NIS înfiinţat în temeiul articolului 14 alineatul (1) din Directiva (UE) 2022/2555 pentru a face schimb de informaţii relevante în ceea ce priveşte ameninţările cibernetice, incidentele, vulnerabilităţile, iniţiativele de sensibilizare, cursurile de formare, exerciţiile şi competenţele, consolidarea capacităţilor, capacităţile în materie de standarde şi specificaţii tehnice, precum şi standardele şi specificaţiile tehnice în legătură cu serviciile de încredere şi identificarea electronică;

48.Articolul 47 se modifică după cum urmează:

(a)alineatele (2) şi (3) se înlocuiesc cu următorul text:

(3) Delegarea de competenţe menţionată la articolul 5c alineatul (7), la articolul 24 alineatul (4b) şi la articolul 30 alineatul (4) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competenţe specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menţionată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare."

(b)alineatul (5) se înlocuieşte cu următorul text:

"(5) Un act delegat adoptat în temeiul articolului 5c alineatul (7), al articolului 24 alineatul (4b) sau al articolului 30 alineatul (4) intră în vigoare numai în cazul în care nici Parlamentul European şi nici Consiliul nu au formulat obiecţii în termen de două luni de la notificarea acestuia către Parlamentul European şi Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European şi Consiliul au informat Comisia că nu vor formula obiecţii. Respectivul termen se prelungeşte cu două luni la iniţiativa Parlamentului European sau a Consiliului."

49.În capitolul VI se introduce următorul articol:

50.Articolul 49 se înlocuieşte cu următorul text:

(1) Comisia reexaminează modul de aplicare a prezentului regulament şi, până la 21 mai 2026, prezintă un raport în acest sens Parlamentului European şi Consiliului. În respectivul raport, Comisia evaluează, în special, dacă este oportun să se modifice domeniul de aplicare al prezentului regulament sau dispoziţiile sale specifice, inclusiv, în special, dispoziţiile articolului 5c alineatul (5), ţinând seama de experienţa dobândită în aplicarea prezentului regulament, precum şi de evoluţiile tehnologice, ale pieţei şi juridice. Dacă este necesar, raportul respectiv este însoţit de o propunere de modificare a prezentului regulament.

(2) Raportul menţionat la alineatul (1) include o analiză a disponibilităţii, a securităţii şi a posibilităţii de utilizare a mijloacelor de identificare electronică notificate şi a portofelelor europene pentru identitatea digitală care intră în domeniul de aplicare al prezentului regulament şi analizează dacă tuturor prestatorilor privaţi de servicii online care recurg la servicii de identificare electronică furnizate de terţi pentru autentificarea utilizatorilor trebuie să le revină obligaţia să accepte utilizarea mijloacelor de identificare electronică notificate şi a portofelului european pentru identitatea digitală.

51.Articolul 51 se înlocuieşte cu următorul text:

(3) Până la 21 mai 2026, gestionarea dispozitivelor calificate de creare a semnăturilor şi sigiliilor electronice la distanţă de către alţi prestatori de servicii de încredere calificaţi decât cei care prestează servicii de încredere calificate pentru gestionarea dispozitivelor calificate de creare a semnăturilor şi sigiliilor electronice la distanţă în conformitate cu articolele 29a şi 39a, se poate desfăşura fără să fie necesară obţinerea statutului de calificat pentru prestarea acestor servicii de gestionare.

ANEXA IV:

1.Litera (c) se înlocuieşte cu următorul text:

ANEXA V:

ANEXA VI:

În temeiul articolului 45e, statele membre se asigură că sunt adoptate măsuri pentru a le permite prestatorilor de servicii de încredere calificaţi care pun la dispoziţie atestate electronice ale atributelor să verifice prin mijloace electronice, la cererea utilizatorului, autenticitatea următoarelor atribute prin raportare la sursa autentică relevantă la nivel naţional sau prin intermediul unor intermediari desemnaţi recunoscuţi la nivel naţional, în conformitate cu dreptul Uniunii sau cu dreptul intern şi în cazurile în care aceste atribute se bazează pe surse autentice din cadrul sectorului public:

ANEXA VII: