Regulamentul 2979/28-nov-2024 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte integritatea şi funcţionalităţile de bază ale portofelelor europene pentru identitatea digitală
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 4 Decembrie 2024
Regulamentul 2979/28-nov-2024 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte integritatea şi funcţionalităţile de bază ale portofelelor europene pentru identitatea digitală
Dată act: 28-nov-2024
Emitent: Comisia Europeana
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcţionarea Uniunii Europene,
având în vedere Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului din 23 iulie 2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE (1), în special articolul 5a alineatul (23),
(1)JO L 257, 28.8.2014, p. 73, ELI: https://eur-lex.europa.eu/eli/reg/2014/910/oj.
Întrucât:
(1)Cadrul pentru identitatea digitală europeană instituit prin Regulamentul (UE) nr. 910/2014 este o un element-cheie în cadrul demersului de instituire a unui ecosistem pentru identitatea digitală securizat şi interoperabil în întreaga Uniune. Portofelele europene pentru identitatea digitală (denumite în continuare "portofelele") alcătuiesc temelia acestui cadru care are drept scop facilitarea accesului la servicii în toate statele membre, atât pentru persoanele fizice, cât şi pentru cele juridice, asigurând în acelaşi timp protecţia datelor cu caracter personal şi a confidenţialităţii.
(2)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (2) şi, după caz, Directiva 2002/58/CE a Parlamentului European şi a Consiliului (3) se aplică tuturor activităţilor de prelucrare a datelor cu caracter personal efectuate în temeiul prezentului regulament.
(2)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3)Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(3)Articolul 5a alineatul (23) din Regulamentul (UE) nr. 910/2014 împuterniceşte Comisia să stabilească, dacă este necesar, specificaţiile şi procedurile relevante. Pentru aceasta sunt prevăzute patru regulamente de punere în aplicare: unul privind protocoalele şi interfeţele: Regulamentul de punere în aplicare (UE) 2024/2982 al Comisiei (4), unul privind integritatea şi funcţionalităţile de bază: Regulamentul de punere în aplicare (UE) 2024/2979 al Comisiei (5), unul privind datele de identificare personală şi atestatul electronic al atributelor: Regulamentul de punere în aplicare (UE) 2024/2977 al Comisiei (6) şi unul privind notificările efectuate către Comisie: Regulamentul de punere în aplicare (UE) 2024/2980 al Comisiei (7). Prezentul regulament stabileşte cerinţele relevante privind integritatea şi funcţionalităţile de bază ale portofelelor europene pentru identitatea digitală.
(4)Regulamentul de punere în aplicare (UE) 2024/2982 al Comisiei din 28 noiembrie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte protocoalele şi interfeţele care vor fi suportate de cadrul pentru identitatea digitală europeană (JO L, 2024/2982, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).
(5)Regulamentul de punere în aplicare (UE) 2024/2979 al Comisiei din 28 noiembrie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte integritatea şi funcţionalităţile de bază ale portofelelor europene pentru identitatea digitală (JO L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).
(6)Regulamentul de punere în aplicare (UE) 2024/2977 al Comisiei din 28 noiembrie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte datele de identificare personală şi atestatele electronice ale atributelor emise portofelelor europene pentru identitatea digitală (JO L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).
(7)Regulamentul de punere în aplicare (UE) 2024/2980 al Comisiei din 28 noiembrie 2024 de stabilire a normelor de aplicare a Regulamentului (UE) nr. 910/2014 al Parlamentului European şi al Consiliului în ceea ce priveşte notificările transmise Comisiei referitoare la ecosistemul portofelelor europene pentru identitatea digitală (JO L, 2024/2980, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).
(4)Comisia evaluează periodic noile tehnologii, practici, standarde sau specificaţii tehnice. Pentru a asigura cel mai înalt nivel de armonizare între statele membre în ceea ce priveşte dezvoltarea şi certificarea portofelelor, specificaţiile tehnice prevăzute în prezentul regulament se întemeiază pe activitatea desfăşurată pe baza Recomandării (UE) 2021/946 a Comisiei din 3 iunie 2021 privind un set de instrumente comun al Uniunii pentru o abordare coordonată în direcţia unui cadru european al identităţii digitale (8), în special, arhitectura şi cadrul de referinţă. În conformitate cu considerentul 75 din Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului (9), Comisia ar trebui să revizuiască şi să actualizeze prezentul regulament de punere în aplicare, dacă este necesar, pentru a îl menţine aliniat la evoluţiile mondiale şi la arhitectura şi cadrul de referinţă, precum şi pentru a respecta cele mai bune practici de pe piaţa internă.
(8)JO L 210, 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/dir/2021/946/oj.
(9)Regulamentul (UE) 2024/1183 al Parlamentului European şi al Consiliului din 11 aprilie 2024 de modificare a Regulamentului (UE) nr. 910/2014 în ceea ce priveşte instituirea cadrului european pentru identitatea digitală (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(5)Pentru a asigura o comunicare precisă, o diferenţiere tehnică şi o repartizare clară a responsabilităţilor, este necesar să se facă distincţia între diferitele componente şi configuraţii ale portofelelor. Prin "soluţie pentru portofel" ar trebui să se înţeleagă sistemul complet, pus la dispoziţie de un furnizor de portofel, care este necesar pentru operarea unui portofel. Soluţia pentru portofel ar trebui să includă componentele software şi hardware, precum şi serviciile, setările şi configuraţiile necesare pentru a asigura funcţionarea corespunzătoare a portofelului. O soluţie pentru portofel se poate afla pe dispozitivele şi mediile utilizatorilor şi pe structura back-end a furnizorului. O unitate de portofel ar trebui înţeleasă ca o configuraţie specifică a soluţiei pentru portofel pentru un utilizator individual. Aceasta ar trebui să includă aplicaţia instalată pe dispozitivul sau mediul utilizatorului portofelului cu care acesta interacţionează direct ("instanţa portofelului") şi caracteristicile de securitate necesare pentru protejarea datelor şi a tranzacţiilor utilizatorilor. Aceste caracteristici de securitate ar trebui să implice utilizarea de software sau hardware special pentru criptarea şi protejarea informaţiilor sensibile. O instanţă a portofelului ar trebui să facă parte din unitatea de portofel şi să îi permită utilizatorului portofelului să aibă acces la funcţionalităţile portofelului său.
(6)Aplicaţiile criptografice securizate pentru portofel, în calitatea lor de componente specializate separate din cadrul unei unităţi de portofel, sunt necesare nu numai pentru protejarea activelor critice, cum ar fi cheile private criptografice, ci şi pentru furnizarea unor funcţionalităţi esenţiale, cum ar fi prezentarea atestatelor electronice ale atributelor. Utilizarea specificaţiilor tehnice comune poate facilita accesul furnizorilor de portofele la elementele de securitate integrate. Aplicaţiile criptografice securizate pentru portofel pot fi furnizate în diferite moduri şi către diferite tipuri de dispozitive criptografice securizate pentru portofel. În cazul în care aplicaţiile criptografice securizate pentru portofel personalizate sub furnizate de furnizorii de portofele sub formă de appleturi Java Card pentru elementele de securitate integrate, furnizorii de portofele ar trebui să respecte standardele enumerate în anexa I sau specificaţii tehnice echivalente.
(7)Unităţile de portofel trebuie să le permită furnizorilor de date de identificare personală sau de atestate electronice ale atributelor să verifice dacă emit datele sau atestatele respective unor unităţi de portofel reale ale utilizatorului portofelului.
(8)Pentru a asigura protecţia datelor începând cu momentul conceperii şi în mod implicit, portofelele ar trebui să dispună de tehnici de îmbunătăţire a confidenţialităţii de ultimă generaţie. Aceste caracteristici ar trebui să ofere posibilitatea utilizării portofelelor fără ca utilizatorul portofelului să poată fi urmărit între mai mulţi beneficiari ai portofelelor, dacă acest lucru este aplicabil în scenariul de utilizare. De exemplu, furnizorii de portofele ar trebui să aibă în vedere, cu privire la atestatele unităţii de portofel, măsuri de ultimă generaţie de atenuare a riscurilor la adresa confidenţialităţii, de exemplu să utilizeze atestate ale unităţii de portofel efemere sau atestate emise în loturi. În plus, politicile de divulgare încorporate ar trebui să îi avertizeze pe utilizatorii portofelelor cu privire la pericolul divulgării necorespunzătoare sau ilegale a atributelor din atestatele electronice ale atributelor.
(9)Atestatele unităţilor de portofel ar trebui să le permită beneficiarilor portofelelor care solicită atribute de la unităţile de portofel să verifice statutul de valabilitate al unităţii de portofel cu care comunică, întrucât atestatele unităţilor de portofel trebuie revocate atunci când o unitate de portofel nu mai este considerată valabilă. Informaţiile privind statutul de valabilitate al unităţilor de portofel ar trebui să fie puse la dispoziţie într-o manieră interoperabilă, astfel încât să se asigure faptul că acestea pot fi utilizate de toţi beneficiarii portofelelor. În plus, în cazurile în care utilizatorii portofelelor şi-au pierdut unităţile de portofel sau nu mai deţin controlul asupra acestora, furnizorii de portofele ar trebui să le permită utilizatorilor portofelelor să solicite revocarea unităţii lor de portofel. Pentru a asigura confidenţialitatea şi imposibilitatea stabilirii unei legături, statele membre ar trebui să utilizeze tehnici de menţinere a confidenţialităţii inclusiv pentru atestatele unităţilor de portofel. Acest lucru poate presupune utilizarea mai multor atestate ale unităţilor de portofel în diferite scopuri, divulgarea numai a informaţiilor despre portofel minim relevante necesare pentru derularea unei tranzacţii sau limitarea duratei de viaţă a atestatelor unităţilor de portofel ca alternativă la utilizarea identificatorilor de revocare.
(10)Pentru a se asigura faptul că toate portofelele sunt capabile din punct de vedere tehnic să primească şi să prezinte date de identificare personală şi atestate electronice ale atributelor în situaţii transfrontaliere, fără ca acest lucru să afecteze interoperabilitatea, portofelele ar trebui să suporte tipuri prestabilite de formate de date şi o divulgare selectivă. Astfel cum se prevede în Regulamentul (UE) nr. 910/2014, divulgarea selectivă este un concept care îi permite proprietarului datelor să divulge numai anumite părţi ale unui set de date mai mare, astfel încât entitatea destinatară să obţină numai acele informaţii care sunt necesare pentru furnizarea unui serviciu solicitat de utilizatorul în cauză. Întrucât portofelele trebuie să îi permită utilizatorului să divulge în mod selectiv atribute, standardele enumerate în anexa II ar trebui să fie puse în aplicare într-un mod care să facă posibilă această caracteristică a portofelelor. În plus, portofelele pot suporta şi alte formate şi funcţionalităţi, astfel încât să se faciliteze cazurile specifice de utilizare.
(11)Jurnalizarea tranzacţiilor este un instrument important pentru asigurarea transparenţei, oferind utilizatorilor portofelelor o imagine de ansamblu asupra tranzacţiilor. În plus, jurnalele de tranzacţii ar trebui utilizate pentru a permite schimbul rapid şi uşor al anumitor informaţii, la cererea utilizatorului portofelului, cu autorităţile de supraveghere competente instituite în temeiul articolului 51 din Regulamentul (UE) 2016/679, în cazul unui comportament suspect al beneficiarilor portofelului.
(12)Pentru ca un utilizator al portofelului să poată utiliza o semnătură electronică, acestuia ar trebui să i se emită un certificat calificat, legat de un dispozitiv calificat de creare a semnăturii electronice. Utilizatorul portofelului ar trebui să aibă acces la o aplicaţie de creare a semnăturii. Deşi emiterea de certificate calificate este un serviciu furnizat de prestatorii de servicii de încredere calificaţi, furnizorii de portofele sau alte entităţi ar trebui să fie în măsură să furnizeze celelalte componente. De exemplu, dispozitivele calificate de creare a semnăturii electronice pot fi gestionate de prestatorii de servicii de încredere calificaţi sub formă de serviciu sau pot fi localizate pe dispozitivul utilizatorului portofelului, de exemplu, sub forma unui card inteligent. În mod similar, aplicaţiile de creare a semnăturii pot fi integrate în instanţa portofelului, pot fi o aplicaţie separată pe dispozitivul utilizatorului portofelului sau pot fi furnizate de la distanţă.
(13)Obiectele de export de date şi de portabilitate a datelor pot jurnaliza datele de identificare personală şi atestatele electronice ale atributelor care au fost emise unei anumite unităţi de portofel. Aceste obiecte le permit utilizatorilor portofelelor să extragă datele relevante din unitatea lor de portofel pentru a-şi consolida dreptul la portabilitatea datelor. Furnizorii de portofele sunt încurajaţi să utilizeze aceleaşi soluţii tehnice şi pentru a efectua procese de backup şi de recuperare pentru unităţile de portofel, făcând astfel posibilă recuperarea unităţilor de portofel pierdute sau transferul informaţiilor de la un furnizor de portofel la altul, după caz şi în măsura în care acest lucru poate fi realizat fără a aduce atingere dreptului la protecţia datelor şi securităţii ecosistemului pentru identitatea digitală.
(14)Generarea de pseudonime specifice unui anumit beneficiar al portofelului ar trebui să le permită utilizatorilor portofelelor să se autentifice fără să furnizeze beneficiarilor portofelelor informaţii de care aceştia nu au nevoie. Astfel cum se prevede în Regulamentul (UE) nr. 910/2014, utilizatorii portofelelor nu trebuie să fie împiedicaţi să acceseze servicii sub un pseudonim, în cazul în care nu există nicio cerinţă legală privind identitatea juridică pentru autentificare. Prin urmare, portofelele trebuie să includă o funcţionalitate care să permită generarea de pseudonime alese şi gestionate de utilizatori, pentru ca aceştia să se poată autentifica atunci când accesează servicii online. Specificaţiile prevăzute în anexa V ar trebui puse în aplicare astfel încât să facă posibile aceste funcţionalităţi în mod corespunzător. În plus, beneficiarii portofelelor nu trebuie să solicite utilizatorilor să furnizeze alte date decât cele care corespund utilizării preconizate a portofelelor, indicate în registrul beneficiarilor. Utilizatorii portofelelor ar trebui să poată verifica în orice moment datele de înregistrare ale beneficiarilor.
(15)Astfel cum se prevede în Regulamentul (UE) 2024/1183, statele membre nu trebuie să limiteze, nici în mod direct, nici indirect, accesul persoanelor fizice sau juridice care optează să nu utilizeze portofele la serviciile publice sau private şi trebuie să le pună acestora la dispoziţie soluţii alternative adecvate.
(16)Autoritatea Europeană pentru Protecţia Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului (10) şi a emis un aviz la 30 septembrie 2024.
(10)Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(17)Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului menţionat la articolul 48 din Regulamentul (UE) nr. 910/2014,
ADOPTĂ PREZENTUL REGULAMENT:
-****-
Art. 1: Obiect şi domeniu de aplicare
Prezentul regulament stabileşte norme privind integritatea şi funcţionalităţile de bază ale portofelelor şi trebuie actualizat periodic pentru a le menţine aliniate la evoluţiile tehnologice şi ale standardelor şi la activitatea desfăşurată pe baza Recomandării (UE) 2021/946, în special la arhitectura şi cadrul de referinţă.
Art. 2: Definiţii
În sensul prezentului regulament, se aplică următoarele definiţii:
1."aplicaţie criptografică securizată pentru portofel" înseamnă o aplicaţie care gestionează active critice prin faptul că este legată de funcţiile criptografice şi necriptografice furnizate de dispozitivul criptografic securizat pentru portofel şi că utilizează aceste funcţii;
2."unitate de portofel" înseamnă o configuraţie unică a unei soluţii pentru portofel care include instanţe ale portofelului, aplicaţii criptografice securizate pentru portofel şi dispozitive criptografice securizate pentru portofel, furnizată de un furnizor de portofel unui utilizator individual al portofelului;
3."active critice" înseamnă active din cadrul unei unităţi de portofel sau legate de o astfel de unitate care au o importanţă atât de extraordinară încât, în cazul în care disponibilitatea, confidenţialitatea sau integritatea lor este compromisă, acest lucru ar avea un efect foarte grav, de slăbire a capacităţii de a recurge la unitatea de portofel;
4."furnizor de date de identificare personală" înseamnă o persoană fizică sau juridică responsabilă cu emiterea şi revocarea datelor de identificare personală şi cu asigurarea faptului că datele de identificare personală ale unui utilizator sunt legate criptografic de o unitate de portofel;
5."utilizator al portofelului" înseamnă un utilizator care deţine controlul asupra unităţii de portofel;
6."beneficiar al portofelului" înseamnă un beneficiar care intenţionează să recurgă la unităţi de portofel pentru furnizarea de servicii publice sau private prin intermediul interacţiunii digitale;
7."furnizor de portofel" înseamnă o persoană fizică sau juridică care furnizează soluţii pentru portofel;
8."atestat al unităţii de portofel" înseamnă un obiect de date care descrie componentele unităţii de portofel sau permite autentificarea şi validarea componentelor respective;
9."politică de divulgare încorporată" înseamnă un set de norme, încorporat într-un atestat electronic al atributelor de către furnizorul acestuia, care precizează condiţiile pe care trebuie să le îndeplinească un beneficiar al portofelului pentru a avea acces la atestatul electronic al atributelor;
10."instanţă a portofelului" înseamnă aplicaţia instalată şi configurată pe dispozitivul sau în mediul unui utilizator al portofelului, care face parte dintr-o unitate de portofel şi pe care utilizatorul portofelului o foloseşte pentru a interacţiona cu unitatea de portofel;
11."soluţie pentru portofel" înseamnă o combinaţie de software, hardware, servicii, setări şi configuraţii, inclusiv instanţe ale portofelului, una sau mai multe aplicaţii criptografice securizate pentru portofel şi unul sau mai multe dispozitive criptografice securizate pentru portofel;
12."dispozitiv criptografic securizat pentru portofel" înseamnă un dispozitiv inviolabil care oferă un mediu legat de aplicaţia criptografică securizată pentru portofel şi utilizat de aceasta pentru a proteja activele critice şi pentru a furniza funcţii criptografice pentru executarea securizată a operaţiunilor critice;
13."operaţiune criptografică pentru portofel" înseamnă un mecanism criptografic necesar în contextul autentificării utilizatorului portofelului şi al emiterii sau prezentării de date de identificare personală sau de atestate electronice ale atributelor;
14."certificat de acces pentru beneficiarii portofelelor" înseamnă un certificat pentru sigiliile electronice sau semnăturile electronice care îi autentifică şi îi validează pe beneficiarii portofelelor, eliberat de un furnizor de certificate de acces pentru beneficiarii portofelelor;
15."furnizor de certificate de acces pentru beneficiarii portofelelor" înseamnă o persoană fizică sau juridică mandatată de un stat membru să elibereze certificate de acces pentru beneficiarii portofelelor înregistraţi în statul membru respectiv.
Art. 3: Integritatea unităţii de portofel
(1)Unităţile de portofel nu execută niciuna dintre funcţionalităţile enumerate la articolul 5a alineatul (4) din Regulamentul (UE) nr. 910/2014, cu excepţia autentificării utilizatorului portofelului pentru a permite accesarea unităţii de portofel, până când unitatea de portofel nu l-a autentificat pe utilizatorul portofelului.
(2)Furnizorii de portofele trebuie să semneze sau să sigileze, pentru fiecare unitate de portofel, cel puţin un atestat al unităţii de portofel care îndeplineşte cerinţele prevăzute la articolul 6. Certificatul utilizat pentru a semna sau a sigila atestatul unităţii de portofel se eliberează în cadrul unui certificat enumerat în lista de încredere menţionată în Regulamentul de punere în aplicare (UE) 2024/2980.
Art. 4: Instanţe ale portofelului
(1)Instanţele portofelelor utilizează cel puţin un dispozitiv criptografic securizat pentru gestionarea activelor critice.
(2)Furnizorii de portofele asigură integritatea, autenticitatea şi confidenţialitatea comunicării dintre instanţele portofelului şi aplicaţiile criptografice securizate pentru portofel.
(3)În cazul în care activele critice sunt legate de efectuarea identificării electronice la un nivel de asigurare ridicat, operaţiunile criptografice pentru portofel sau alte operaţiuni de prelucrare a activelor critice se efectuează în conformitate cu cerinţele privind caracteristicile şi proiectarea mijloacelor de identificare electronică la un nivel de asigurare ridicat, astfel cum se prevede în Regulamentul de punere în aplicare (UE) 2015/1502 al Comisiei (11).
(11)Regulamentul de punere în aplicare (UE) 2015/1502 al Comisiei din 8 septembrie 2015 de stabilire a unor specificaţii şi proceduri tehnice minime pentru nivelurile de asigurare a încrederii ale mijloacelor de identificare electronică în temeiul articolului 8 alineatul (3) din Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă (JO L 235, 9.9.2015, p. 7, ELI: http://data.europa.eu/eli/dir/2015/1502/oj).
Art. 5: Aplicaţii criptografice securizate pentru portofel
(1)Furnizorii de portofele se asigură că aplicaţiile criptografice securizate pentru portofel:
a)efectuează operaţiuni criptografice pentru portofel care implică active critice, altele decât cele necesare pentru ca unitatea de portofel să îl autentifice pe utilizatorul portofelului, numai în cazurile în care aplicaţiile respective i-au autentificat pe utilizatorii portofelelor;
b)atunci când îi autentifică pe utilizatorii portofelelor în contextul efectuării identificării electronice la un nivel de asigurare ridicat, efectuează autentificarea utilizatorilor portofelelor în conformitate cu cerinţele privind caracteristicile şi proiectarea mijloacelor de identificare electronică la un nivel de asigurare ridicat, astfel cum se prevede în Regulamentul de punere în aplicare (UE) 2015/1502;
c)sunt în măsură să genereze în mod securizat noi chei criptografice;
d)sunt în măsură să efectueze ştergerea într-un mod securizat a activelor critice;
e)sunt în măsură să genereze o dovadă a deţinerii unor chei private;
f)protejează cheile private generate de aplicaţiile criptografice securizate pentru portofel pe durata existenţei cheilor;
g)respectă cerinţele privind caracteristicile şi proiectarea mijloacelor de identificare electronică la un nivel de asigurare ridicat, astfel cum se prevede în Regulamentul de punere în aplicare (UE) 2015/1502;
h)sunt singurele componente capabile să execute operaţiuni criptografice pentru portofel şi orice altă operaţiune cu active critice în contextul efectuării identificării electronice la un nivel de asigurare ridicat.
(2)În cazul în care decid să furnizeze o aplicaţie criptografică securizată pentru portofel unui element de securitate integrat, furnizorii de portofele îşi bazează soluţia tehnică pe specificaţiile tehnice enumerate în anexa I sau pe alte specificaţii tehnice echivalente.
Art. 6: Autenticitatea şi valabilitatea unităţii de portofel
(1)Furnizorii de portofele se asigură că fiecare unitate de portofel conţine atestate ale unităţilor de portofel.
(2)Furnizorii de portofele se asigură că atestatele unităţilor de portofel menţionate la alineatul (1) conţin chei publice şi că cheile private corespunzătoare sunt protejate de un dispozitiv criptografic securizat pentru portofel.
(3)Furnizorii de portofele:
a)îi informează pe utilizatorii portofelelor cu privire la drepturile şi obligaţiile care le revin în legătură cu unitatea lor de portofel;
b)furnizează mecanisme, independente de unităţile de portofel, pentru identificarea şi autentificarea securizată a utilizatorilor portofelelor;
c)se asigură că utilizatorii portofelelor au dreptul să solicite revocarea atestatelor unităţilor lor de portofel, utilizând mecanismele de autentificare menţionate la litera (b).
Art. 7: Revocarea atestatelor unităţilor de portofel
(1)Furnizorii de portofele sunt singurele entităţi care pot revoca atestatele unităţilor de portofel pe care le-au furnizat.
(2)Furnizorii de portofele stabilesc politici accesibile publicului în care precizează condiţiile în care pot fi revocate atestatele unităţilor de portofel şi termenele aplicabile unei astfel de revocări.
(3)În cazul în care au revocat atestatele unităţilor de portofel, furnizorii de portofele îi informează pe utilizatorii portofelelor afectaţi de revocare, în termen de 24 de ore de la revocarea unităţilor lor de portofel, indicând motivul revocării şi consecinţele acestei revocări pentru utilizatorii portofelelor. Această informare se efectuează într-o manieră concisă, care este uşor accesibilă şi utilizează un limbaj clar şi simplu.
(4)În cazul în care au revocat atestatele unităţilor de portofel, furnizorii de portofele informează publicul larg cu privire la statutul de valabilitate al atestatelor unităţilor de portofel într-o manieră care să protejeze confidenţialitatea şi indică unde se află informaţiile respective în atestatele unităţilor de portofel.
CAPITOLUL III:FUNCŢIONALITĂŢILE DE BAZĂ ŞI CARACTERISTICILE PORTOFELELOR EUROPENE PENTRU IDENTITATEA DIGITALĂ
Art. 8: Formate pentru datele de identificare personală şi atestatele electronice ale atributelor
Furnizorii de portofele se asigură că soluţiile pentru portofel suportă utilizarea datelor de identificare personală şi a atestatelor electronice ale atributelor emise în conformitate cu lista de standarde care figurează în anexa II.
Art. 9: Jurnalele de tranzacţii
(1)Indiferent dacă o tranzacţie a fost sau nu finalizată cu succes, instanţele portofelelor jurnalizează toate tranzacţiile cu beneficiarii portofelelor şi cu alte unităţi de portofel, inclusiv semnăturile electronice şi sigiliile electronice.
(2)Informaţiile jurnalizate trebuie să conţină cel puţin:
a)data şi ora tranzacţiei;
b)numele, datele de contact şi identificatorul unic al beneficiarului portofelului corespunzător şi statul membru în care este stabilit beneficiarul portofelului sau, în cazul altor unităţi de portofel, informaţiile relevante conţinute în atestatul unităţii de portofel;
c)tipul sau tipurile de date solicitate şi prezentate în tranzacţie;
d)în cazul tranzacţiilor nefinalizate, motivul nefinalizării.
(3)Furnizorii de portofele asigură integritatea, autenticitatea şi confidenţialitatea informaţiilor jurnalizate.
(4)Instanţele portofelelor jurnalizează rapoartele trimise de utilizatorul portofelului autorităţilor de protecţie a datelor prin intermediul unităţii sale de portofel.
(5)Jurnalele menţionate la alineatele (1) şi (2) trebuie să poată fi accesate de furnizorul de portofel, în măsura în care acest lucru este necesar pentru furnizarea serviciilor de portofel, pe baza consimţământului prealabil explicit al utilizatorului portofelului.
(6)Jurnalele menţionate la alineatele (1) şi (2) trebuie să rămână accesibile atât timp cât este considerat necesar în temeiul dreptului Uniunii sau al dreptului naţional.
(7)Furnizorii de portofele le dau posibilitatea utilizatorilor portofelelor să exporte informaţiile jurnalizate menţionate la alineatul (2).
Art. 10: Divulgare încorporată
(1)Furnizorii de portofele se asigură că atestatele electronice ale atributelor pentru care există politici comune de divulgare încorporate, astfel cum se prevede în anexa III, pot fi prelucrate de unităţile de portofel furnizate de aceştia.
(2)Instanţele portofelului trebuie să fie în măsură să prelucreze şi să prezinte aceste politici de divulgare încorporate menţionate la alineatul (1) împreună cu datele primite de beneficiarii portofelelor solicitanţi.
(3)Instanţele portofelelor verifică dacă beneficiarii portofelelor respectă cerinţele politicii de divulgare încorporate şi îi informează pe utilizatorii portofelelor cu privire la rezultat.
Art. 11: Semnături şi sigilii electronice calificate
(1)Furnizorii de portofele se asigură că utilizatorii portofelelor pot primi certificate calificate pentru semnăturile sau sigiliile electronice calificate care sunt legate de dispozitive calificate de creare a semnăturii sau a sigiliului ce sunt fie locale, fie externe, fie la distanţă faţă de instanţele portofelelor.
(2)Furnizorii de portofele se asigură că soluţiile pentru portofel sunt în măsură să asigure o interfaţă securizată cu unul dintre următoarele tipuri de dispozitive calificate de creare a semnăturii sau a sigiliului: dispozitive calificate de creare a semnăturii sau a sigiliului care sunt locale, externe sau gestionate de la distanţă în scopul utilizării certificatelor calificate menţionate la alineatul (1).
(3)Furnizorii de portofele se asigură că utilizatorii portofelelor care sunt persoane fizice au acces gratuit, cel puţin în scopuri neprofesionale, la aplicaţiile de creare a semnăturii care permit crearea de semnături electronice calificate gratuite utilizând certificatele menţionate la alineatul (1).
Art. 12: Aplicaţii de creare a semnăturii
(1)Aplicaţiile de creare a semnăturii utilizate de unităţile de portofel pot fi furnizate de furnizorii de portofele, de prestatorii de servicii de încredere sau de beneficiarii portofelelor.
(2)Aplicaţiile de creare a semnăturii au următoarele funcţii:
a)semnează sau sigilează datele furnizate de utilizatorii portofelelor;
b)semnează sau sigilează datele furnizate de beneficiarii portofelelor;
c)creează semnături sau sigilii în conformitate cel puţin cu formatele obligatorii menţionate în anexa IV;
d)îi informează pe utilizatorii portofelelor cu privire la rezultatul procesului de creare a semnăturii sau a sigiliului.
(3)Aplicaţiile de creare a semnăturii pot să fie integrate în instanţele portofelelor sau să fie externe acestora. În cazul în care recurg la dispozitive calificate de creare a semnăturii la distanţă şi sunt integrate în instanţele portofelelor, aplicaţiile de creare a semnăturii trebuie să suporte interfaţa de programare a aplicaţiilor menţionată în anexa IV.
Art. 13: Exportul şi portabilitatea datelor
În cazul în care acest lucru este fezabil din punct de vedere tehnic şi cu excepţia cazului activelor critice, unităţile de portofel permit exportul şi portabilitatea securizate ale datelor cu caracter personal ale utilizatorilor portofelelor, pentru a le permite utilizatorilor portofelelor să migreze către unitatea de portofel a unei alte soluţii pentru portofel într-un mod care să asigure un nivel de asigurare ridicat, astfel cum se prevede în Regulamentul de punere în aplicare (UE) 2015/1502.
Art. 14: Pseudonime
(1)Unităţile de portofel permit generarea de pseudonime pentru utilizatorii portofelelor în conformitate cu specificaţiile tehnice din anexa V.
(2)Unităţile de portofel permit generarea, la cererea unui beneficiar al portofelului, a unui pseudonim care este specific şi unic beneficiarului respectiv şi furnizează acest pseudonim beneficiarului portofelului, fie ca atare, fie în combinaţie cu orice date de identificare personală sau atestate electronice ale atributelor solicitate de respectivul beneficiar al portofelului.
Art. 15: Intrare în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplică direct în toate statele membre.
-****-
Adoptat la Bruxelles, 28 noiembrie 2024.
Pentru Comisie Preşedinta Ursula VON DER LEYEN |
ANEXA I:LISTA STANDARDELOR MENŢIONATE LA ARTICOLUL 5
- SAM.01 Secured Applications for Mobile - Requirements for supporting 3rd party Applets on eSIM and eSE via SAM. v1.1 2023, GSMA;
- GPC_GUI_ 217 GlobalPlatform SAM Configuration Technical specification for implementation of SAM v1.0 2024-04;
- GPC_SPE_0 34 GlobalPlatform Card Specification Technical specification for smart cards v2.3.1 2018-03;
- GPC_SPE_0 07 GlobalPlatform Amendment A Confidential Card Content Management v1.2 2019-07;
- GPC_SPE_0 13 GlobalPlatform Amendment D Secure Channel Protocol 03 v1.2 2020-04;
- GPC_SPE_0 93 GlobalPlatform Amendment F Secure Channel Protocol 11 v1.4 2024-03;
- GPD_SPE_ 0 75 Open Mobile API Specification OMAPI API for mobile apps to access secure elements on user devices. v3.3 2018-08, GlobalPlatform.
ANEXA II:LISTA STANDARDELOR MENŢIONATE LA ARTICOLUL 8
- ISO/IEC.18013-5:2021;
- "Modelul de date verificabile privind acreditările 1.1.", Recomandarea W3C, 3 martie 2022.
ANEXA III:LISTA POLITICILOR COMUNE DE DIVULGARE ÎNCORPORATE MENŢIONATE LA ARTICOLUL 10
1."Nicio politică" indică faptul că nu se aplică nicio politică cu privire la atestatele electronice ale atributelor.
2."Politică rezervată exclusiv beneficiarilor autorizaţi" indică faptul că utilizatorii portofelelor pot divulga atestatele electronice ale atributelor numai beneficiarilor autentificaţi care sunt enumeraţi în mod explicit în politicile de divulgare.
3."Rădăcină specifică de încredere" indică faptul că utilizatorii portofelelor ar trebui să divulge atestatele electronice specifice ale atributelor numai beneficiarilor portofelelor autentificaţi, care deţin certificate de acces pentru beneficiarii portofelelor derivate dintr-o rădăcină specifică (sau dintr-o listă de rădăcini specifice) ori unul sau mai multe certificate intermediare.
ANEXA IV:FORMATE DE SEMNĂTURI ŞI SIGILII MENŢIONATE LA ARTICOLUL 12
1.Format obligatoriu de semnătură sau sigiliu:
PAdES (semnătură electronică avansată în format PDF - PDF Advanced Electronic Signature), astfel cum se indică în standardul "ETSI EN 319 142-1 V1.1.1 (2016-04); Semnături electronice şi infrastructuri (ESI); Semnături digitale în format PAdES; Partea 1: Elemente de construcţie şi semnături de bază PAdES".
2.Lista formatelor opţionale de semnătură sau sigiliu:
(a)XAdES, astfel cum se indică în standardul "ETSI EN 319 132-1 V1.2.1 (2022-02) Semnături electronice şi infrastructuri (ESI); Semnături digitale în format XAdES; Partea 1: Elemente de construcţie şi semnături de bază XAdES (XAdES)" pentru semnături în formatul XML;
(b)JAdES, astfel cum se indică în standardul "ETSI EN 119 182-1 V1.2.1 (2024-07) Semnături electronice şi infrastructuri (ESI); Semnături digitale în format JAdES; Partea 1: Elemente de construcţie şi semnături de bază JAdES" pentru semnături în formatul JSON;
(c)CAdES (semnătura electronică avansată - CMS Advanced Electronic Signature), astfel cum se indică în standardul "ETSI EN 319 122-1 V1.3.1 (2023-06) Semnături electronice şi infrastructuri (ESI); Semnături digitale în format CAdES; Partea 1: Elemente de construcţie şi semnături de bază CAdES" pentru semnături în formatul CMS;
(d)ASiC (container de semnătură asociată - Associated Signature Container), astfel cum se indică în standardul "ETSI EN 319 162-1 V1.1.1 (2016-04) Semnături electronice şi infrastructuri (ESI); Containere de semnături asociate (ASiC); Partea 1: Elemente de construcţie şi containere de bază ASiC" şi în standardul "ETSI EN 319 162-2 V1.1.1 (2016-04) Semnături electronice şi infrastructuri (ESI); Containere de semnături asociate (ASiC); Partea 2: Containere ASiC suplimentare" pentru semnarea containerelor.
3.Interfaţa de programare a aplicaţiilor:
- Specificaţia consorţiului pentru semnături în cloud (Cloud Signature Consortium - CSC) v2.0 (20 aprilie 2023).
ANEXA V:SPECIFICAŢII TEHNICE PENTRU GENERAREA DE PSEUDONIME MENŢIONATĂ LA ARTICOLUL 14
Specificaţii tehnice:
- WebAuthn - Recomandarea W3C, 8 aprilie 2021, nivelul 2, https://www.w3.org/TR/2021/REC-webauthn-2-20210408/.
Publicat în Jurnalul Oficial seria L din data de 4 decembrie 2024