Secţiunea 3 - Servicii de încredere calificate - Regulamentul 910/23-iul-2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE
Acte UE
Jurnalul Oficial 257L
În vigoare Versiune de la: 20 Mai 2024 până la: 17 Octombrie 2024
SECŢIUNEA 3:Servicii de încredere calificate
Art. 20: Supravegherea prestatorilor de servicii de încredere calificaţi
(1)Prestatorii de servicii de încredere calificaţi sunt auditaţi, pe propria cheltuială, cel puţin la fiecare 24 de luni, de către un organism de evaluare a conformităţii. Auditul confirmă că prestatorii de servicii de încredere calificaţi şi serviciile de încredere calificate pe care le prestează îndeplinesc cerinţele prevăzute în prezentul regulament şi la articolul 21 din Directiva (UE) 2022/2555. Prestatorii de servicii de încredere calificaţi transmit raportul de evaluare a conformităţii care a rezultat organismului de supraveghere în termen de trei zile lucrătoare de la primirea lui.
(11)Prestatorii de servicii de încredere calificaţi informează organismul de supraveghere cu cel puţin o lună înainte de un audit planificat şi, la cerere, îi permit organismului de supraveghere să participe în calitate de observator.
(12)Statele membre notifică Comisiei, fără întârzieri nejustificate, denumirile, adresele şi detaliile de acreditare ale organismelor de evaluare a conformităţii menţionate la alineatul (1), precum şi orice modificări ulterioare ale acestora. Comisia pune informaţiile respective la dispoziţia tuturor statelor membre.
(2)Fără a aduce atingere alineatului (1), organismul de supraveghere poate, în orice moment, să efectueze un audit sau să solicite unui organism de evaluare a conformităţii să efectueze o evaluare a conformităţii privind prestatorii de servicii de încredere calificaţi, pe cheltuiala prestatorilor de servicii de încredere respectivi, pentru a confirma că aceştia şi serviciile de încredere calificate pe care le prestează îndeplinesc cerinţele prevăzute în prezentul regulament. În cazul în care normele de protecţie a datelor cu caracter personal par să fi fost încălcate, organismul de supraveghere informează, fără întârzieri nejustificate, autorităţile de supraveghere competente înfiinţate în temeiul articolului 51 din Regulamentul (UE) 2016/679.
(3)În cazul în care prestatorul de servicii de încredere calificat nu îndeplineşte oricare dintre cerinţele prevăzute în prezentul regulament, organismul de supraveghere îi solicită să remedieze situaţia într-un termen stabilit, dacă este cazul.
În cazul în care prestatorul respectiv nu remediază situaţia, dacă este cazul în termenul stabilit de organismul de supraveghere, acesta din urmă, atunci când acest lucru este justificat în special de amploarea, durata şi consecinţele respectivei neîndepliniri, retrage statutul de calificat al prestatorului respectiv sau al serviciului prestat de acesta care este afectat.
(31)În cazul în care autorităţile competente desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555 informează organismul de supraveghere că prestatorul de servicii de încredere calificat nu îndeplineşte oricare dintre cerinţele prevăzute la articolul 21 din respectiva directivă, organismul de supraveghere, atunci când acest lucru este justificat în special de amploarea, durata şi consecinţele respectivei neîndepliniri, retrage statutul de calificat al prestatorului respectiv sau al serviciului afectat pe care îl prestează acesta.
(32)În cazul în care autorităţile de supraveghere înfiinţate în temeiul articolului 51 din Regulamentul (UE) 2016/679 informează organismul de supraveghere că prestatorul de servicii de încredere calificat nu îndeplineşte oricare dintre cerinţele prevăzute în regulamentul menţionat, organismul de supraveghere, atunci când acest lucru este justificat în special de amploarea, durata şi consecinţele respectivei neîndepliniri, retrage statutul de calificat al prestatorului respectiv sau al serviciului afectat pe care îl prestează acesta.
(33)Organismul de supraveghere informează prestatorul de servicii de încredere calificat cu privire la retragerea statutului de calificat, al său sau al serviciului în cauză. Organismul de supraveghere informează organismul notificat în temeiul articolului 22 alineatul (3) din prezentul regulament în scopul actualizării listelor sigure menţionate la alineatul (1) de la articolul respectiv, precum şi autoritatea competentă desemnată sau înfiinţată în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555.
(4)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru:
a)acreditarea organismelor de evaluare a conformităţii şi pentru raportul de evaluare a conformităţii menţionat la alineatul (1);
b)cerinţele de audit pe baza cărora organismele de evaluare a conformităţii îşi desfăşoară evaluarea conformităţii, inclusiv evaluarea compozită, a prestatorilor de servicii de încredere calificaţi, astfel cum se menţionează la alineatul (1);
c)sistemele de evaluare a conformităţii utilizate de organismele de evaluare a conformităţii pentru efectuarea evaluării conformităţii prestatorilor de servicii de încredere calificaţi şi pentru furnizarea raportului menţionat la alineatul (1).
Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 21: Iniţierea unui serviciu de încredere calificat
(1)În cazul în care prestatorii de servicii de încredere intenţionează să înceapă prestarea unui serviciu de încredere calificat, aceştia informează organismul de supraveghere cu privire la intenţia lor, însoţită de un raport de evaluare a conformităţii emis de un organism de evaluare a conformităţii, care confirmă îndeplinirea cerinţelor prevăzute în prezentul regulament şi la articolul 21 din Directiva (UE) 2022/2555.
(2)Organismul de supraveghere verifică dacă prestatorul de servicii de încredere şi serviciile de încredere prestate de acesta respectă cerinţele prevăzute în prezentul regulament şi, în special, cerinţele pentru prestatorii de servicii de încredere calificaţi şi pentru serviciile de încredere calificate prestate de aceştia.
Pentru a verifica respectarea de către prestatorul de servicii de încredere a cerinţelor prevăzute la articolul 21 din Directiva (UE) 2022/2555, organismul de supraveghere solicită autorităţilor competente desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din respectiva directivă să desfăşoare acţiuni de supraveghere în această privinţă şi să furnizeze informaţii cu privire la rezultat fără întârzieri nejustificate şi, în orice caz, în termen de două luni de la primirea cererii respective. În cazul în care verificarea nu este încheiată în termen de două luni de la notificare, autorităţile competente respective informează organismul de supraveghere, specificând motivele întârzierii şi termenul în care urmează să se încheie verificarea.
În cazul în care organismul de supraveghere ajunge la concluzia că prestatorul de servicii de încredere şi serviciile de încredere prestate de acesta respectă cerinţele prevăzute în prezentul regulament, organismul de supraveghere acordă statutul de calificat prestatorului de servicii de încredere şi serviciilor de încredere prestate de acesta şi informează în consecinţă organismul menţionat la articolul 22 alineatul (3) în scopul actualizării listelor sigure menţionate la articolul 22 alineatul (1), în termen de trei luni de la notificare, în conformitate cu alineatul (1) de la prezentul articol.
În cazul în care verificarea nu este încheiată în termen de trei luni de la notificare, organismul de supraveghere informează prestatorul de servicii de încredere, specificând motivele întârzierii şi termenul în care urmează să se încheie verificarea.
(3)Prestatorii de servicii de încredere calificaţi pot începe furnizarea serviciului de încredere calificat după ce statutul de calificat a fost indicat în listele sigure menţionate la art. 22 alineatul (1).
(4)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, formatele şi procedurile de notificare şi verificare în vederea aplicării alineatelor (1) şi (2) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 22: Listele sigure
(1)Fiecare stat membru instituie, menţine şi publică liste care includ informaţii referitoare la prestatorii de servicii de încredere calificaţi pentru care este responsabil, împreună cu informaţii referitoare la serviciile de încredere calificate prestate de aceştia.
(2)Statele membre instituie, menţin şi publică, în mod securizat, listele sigure semnate sau sigilate electronic menţionate la alineatul (1), într-o formă adecvată pentru prelucrarea automată.
(3)Statele membre notifică Comisiei, fără întârzieri nejustificate, informaţii cu privire la organismul responsabil pentru instituirea, menţinerea şi publicarea listelor sigure naţionale şi detalii despre locul unde sunt publicate aceste liste, certificatele utilizate pentru semnarea sau sigilarea listelor sigure şi orice modificări ale acestora.
(4)Comisia pune la dispoziţia publicului, printr-un canal sigur, informaţiile menţionate la alineatul (3) într-o formă purtând o semnătură electronică sau un sigiliu electronic adecvate pentru prelucrarea automată.
(5)Până la 18 septembrie 2015, Comisia specifică, prin intermediul unor acte de punere în aplicare, informaţiile menţionate la alineatul (1) şi defineşte specificaţiile tehnice şi formatele pentru listele sigure aplicabile în sensul alineatelor (1)-(4). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la art. 48 alineatul (2).
Art. 23: Marca de încredere a UE pentru serviciile de încredere calificate
(1)După indicarea statutului de calificat menţionat la art. 21 alineatul (2) al doilea paragraf pe lista sigură menţionată la art. 22 alineatul (1), prestatorii de servicii de încredere calificaţi pot utiliza o marcă de încredere a UE pentru a indica într-un mod simplu, uşor de recunoscut şi clar serviciile de încredere calificate pe care le prestează.
(2)În cazul utilizării mărcii de încredere a UE pentru serviciile de încredere calificate menţionate la alineatul (1), prestatorii de servicii de încredere calificaţi se asigură că pe site-ul lor internet este disponibil un link către lista sigură relevantă.
(3)Până la 1 iulie 2015, Comisia, prin intermediul unor acte de punere în aplicare, stabileşte specificaţiile referitoare la forma şi, în special, prezentarea, componenţa, mărimea şi designul mărcii de încredere a UE pentru serviciile de încredere calificate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la art. 48 alineatul (2).
Art. 24: Cerinţe pentru prestatorii de servicii de încredere calificaţi
(1)Atunci când emite un certificat calificat sau un atestat electronic calificat al atributelor, un prestator de servicii de încredere calificat verifică identitatea şi, atunci când este cazul, atributele specifice ale persoanei fizice sau juridice căreia urmează să i se emită certificatul calificat sau atestatul electronic calificat al atributelor.
(11)Verificarea identităţii menţionată la alineatul (1) se realizează, prin mijloace adecvate, de prestatorul de servicii de încredere calificat, fie direct, fie prin intermediul unui terţ, pe baza uneia dintre următoarele metode sau a unei combinaţii a acestora atunci când este necesar, în conformitate cu actele de punere în aplicare menţionate la alineatul (1c):
a)prin intermediul portofelului european pentru identitatea digitală sau al unui mijloc de identificare electronică notificat care îndeplineşte cerinţele stabilite la articolul 8 în ceea ce priveşte nivelul de asigurare ridicat;
b)prin intermediul unui certificat, al unei semnături electronice calificate sau al unui sigiliu electronic calificat emis în conformitate cu litera (a), (c) sau (d);
c)prin utilizarea altor metode de identificare care asigură identificarea persoanei cu un nivel ridicat de încredere, a căror conformitate este confirmată de un organism de evaluare a conformităţii;
d)prin prezenţa fizică a persoanei fizice sau a unui reprezentant autorizat al persoanei juridice, prin utilizarea unor mijloace de probă şi proceduri adecvate, în conformitate cu dreptul intern.
(12)Verificarea atributelor menţionată la alineatul (1) se realizează, prin mijloace adecvate, de prestatorul de servicii de încredere calificat, fie direct, fie prin intermediul unui terţ, pe baza uneia dintre următoarele metode sau a unei combinaţii a acestora, atunci când este necesar, în conformitate cu actele de punere în aplicare menţionate la alineatul (1c):
a)prin intermediul portofelului european pentru identitatea digitală sau al unui mijloc de identificare electronică notificat care îndeplineşte cerinţele stabilite la articolul 8 în ceea ce priveşte nivelul de asigurare ridicat;
b)prin intermediul unui certificat, al unei semnături electronice calificate sau al unui sigiliu electronic calificat emis în conformitate cu alineatul (1a) litera (a), (c) sau (d);
c)prin intermediul unui atestat electronic calificat al atributelor;
d)prin utilizarea altor metode, care asigură verificarea atributelor cu un nivel ridicat de încredere, a căror conformitate este confirmată de un organism de evaluare a conformităţii;
e)prin prezenţa fizică a persoanei fizice sau a unui reprezentant autorizat al persoanei juridice, prin utilizarea unor mijloace de probă şi proceduri adecvate, în conformitate cu dreptul intern.
(13)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru verificarea identităţii şi a atributelor în conformitate cu alineatele (1), (1a) şi (1b) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
(2)Un prestator de servicii de încredere calificat care prestează servicii de încredere calificate:
a)informează organismul de supraveghere cu cel puţin o lună înainte de punerea în aplicare a oricărei modificări în prestarea serviciilor sale de încredere calificate sau cu cel puţin trei luni înainte în cazul în care intenţionează să înceteze activităţile respective;
b)angajează personal şi, după caz, subcontractanţi care deţin cunoştinţele, credibilitatea, experienţa şi calificările necesare şi care au beneficiat de formare adecvată în ceea ce priveşte normele de siguranţă şi protecţie a datelor cu caracter personal şi aplică proceduri administrative şi de gestiune care corespund standardelor europene sau internaţionale;
c)în ceea ce priveşte riscul de răspundere pentru daune în conformitate cu art. 13, menţine suficiente resurse financiare şi/sau obţine o asigurare de răspundere adecvată, în conformitate cu dreptul intern;
d)înainte de stabilirea unei relaţii contractuale, informează, în mod clar, cuprinzător şi uşor accesibil, într-un spaţiu accesibil publicului şi în mod individual, orice persoană care doreşte să utilizeze un serviciu de încredere calificat în ceea ce priveşte clauzele şi condiţiile exacte privind utilizarea acelui serviciu, inclusiv orice restricţie privind utilizarea acestuia;
e)utilizează sisteme şi produse demne de încredere care sunt protejate împotriva modificărilor şi asigură siguranţa tehnică şi fiabilitatea proceselor susţinute de acestea, inclusiv prin folosirea unor tehnici criptografice adecvate;
f)utilizează sisteme demne de încredere pentru a stoca datele care îi sunt furnizate, într-o formă care poate fi verificată, astfel încât:
(i)acestea să fie disponibile publicului pentru cercetări numai în cazul în care a fost obţinut consimţământul persoanei la care se referă datele;
(ii)numai persoanele autorizate să poată introduce şi modifica datele stocate;
(iii)autenticitatea datelor să poată fi controlată;
f1)în pofida articolului 21 din Directiva (UE) 2022/2555, dispune de politici adecvate şi ia măsuri corespunzătoare pentru a gestiona riscurile juridice, comerciale, operaţionale şi alte riscuri directe sau indirecte legate de prestarea serviciului de încredere calificat, inclusiv cel puţin măsuri referitoare la următoarele aspecte:
(i)procedurile de înregistrare şi de integrare legate de un serviciu;
(ii)controalele procedurale sau administrative;
(iii)gestionarea şi implementarea serviciilor;
f2)notifică organismului de supraveghere, persoanelor afectate care pot fi identificate, altor organisme competente relevante, după caz, şi, la cererea organismului de supraveghere, publicului, dacă chestiunea este de interes public, orice încălcare a securităţii sau perturbare survenită în prestarea serviciului sau în punerea în aplicare a măsurilor menţionate la litera (fa) punctul (i), (ii) sau (iii) care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate în cadrul acestuia, fără întârzieri nejustificate şi, în orice caz, în termen de 24 de ore de la producerea incidentului;
g)ia măsuri adecvate împotriva falsificării, furtului sau însuşirii ilegale de date ori împotriva ştergerii sau modificării neautorizate a datelor sau a acţiunii neautorizate de a le face inaccesibile;
h)înregistrează şi menţine accesibile atât timp cât este necesar, după încetarea activităţii prestatorului de servicii de încredere calificat, toate informaţiile relevante referitoare la datele emise şi primite de către acesta, în scopul de a furniza dovezi în procedurile judiciare şi în scopul asigurării continuităţii serviciului. Aceste înregistrări pot fi efectuate în mod electronic;
i)are un plan actualizat pentru a asigura, în cazul încetării serviciului, continuitatea serviciului conform dispoziţiilor verificate de organismul de supraveghere în conformitate cu articolul 46b alineatul (4) litera (i);
j)[textul din Art. 24, alin. (2), litera J. din capitolul III, sectiunea 3 a fost abrogat la 20-mai-2024 de Art. 1, punctul 21., alin. (B) din Regulamentul 1183/11-apr-2024]
k)în cazul prestatorilor de servicii de încredere calificaţi care eliberează certificate calificate, instituie şi actualizează permanent o bază de date a certificatelor.
Organismul de supraveghere poate solicita informaţii în plus faţă de informaţiile notificate în temeiul primului paragraf litera (a) sau rezultatul unei evaluări a conformităţii şi poate stabili anumite condiţii pentru acordarea permisiunii de a pune în aplicare modificările preconizate ale serviciilor de încredere calificate. În cazul în care verificarea nu este încheiată în termen de trei luni de la notificare, organismul de supraveghere informează prestatorul de servicii de încredere, specificând motivele întârzierii şi termenul în care urmează să se încheie verificarea.
(3)Dacă un prestator de servicii de încredere calificat care eliberează certificate calificate decide să revoce un certificat, acesta înregistrează respectiva revocare în baza sa de date privind certificatele şi publică statutul de revocat al certificatului în timp util şi în orice caz în termen de 24 de ore de la primirea cererii. Revocarea intră în vigoare imediat după publicare.
(4)Cu privire la alineatul (3), prestatorii de servicii de încredere calificaţi care emit certificate calificate furnizează oricărui beneficiar informaţii cu privire la valabilitatea sau revocarea statutului de certificate calificate emise de aceştia. Aceste informaţii sunt puse la dispoziţie cel puţin pentru fiecare certificat în parte, în orice moment şi după expirarea perioadei de valabilitate a certificatului, în mod automat, fiabil, gratuit şi eficient.
(41)Alineatele (3) şi (4) se aplică în mod corespunzător revocării atestatelor electronice calificate ale atributelor.
(42)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 47, pentru a stabili măsurile suplimentare menţionate la alineatul (2) litera (fa) de la prezentul articol.
(5)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind cerinţele menţionate la alineatul (2) de la prezentul articol. În cazul în care standardele, specificaţiile şi procedurile respective sunt respectate, se prezumă că sunt respectate cerinţele prevăzute la prezentul alineat. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 24a: Recunoaşterea serviciilor de încredere calificate
(1)Semnăturile electronice calificate bazate pe un certificat calificat emis într-un stat membru şi sigiliile electronice calificate bazate pe un certificat calificat emis într-un stat membru sunt recunoscute drept semnături electronice calificate şi, respectiv, drept sigilii electronice calificate în toate celelalte state membre.
(2)Dispozitivele de creare a semnăturilor electronice calificate şi dispozitivele de creare a sigiliilor electronice calificate certificate într-un stat membru sunt recunoscute drept dispozitive de creare a semnăturilor electronice calificate şi, respectiv, drept dispozitive de creare a sigiliilor electronic calificate în toate celelalte state membre.
(3)Un certificat calificat pentru semnăturile electronice, un certificat calificat pentru sigilii electronice, un serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a semnăturii electronice la distanţă şi un serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a sigiliului electronic la distanţă furnizat într-un stat membru este recunoscut drept certificat calificat pentru semnăturile electronice, drept certificat calificat pentru sigilii electronice, drept serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a semnăturii electronice la distanţă şi, respectiv, drept serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a sigiliului electronic la distanţă în toate celelalte state membre.
(4)Un serviciu de validare calificat pentru semnături electronice calificate şi un serviciu de validare calificat pentru sigilii electronice calificate furnizat într-un stat membru este recunoscut drept serviciu de validare calificat pentru semnături electronice calificate şi, respectiv, drept serviciu de validare calificat pentru sigilii electronice calificate în toate celelalte state membre.
(5)Un serviciu calificat de păstrare a semnăturilor electronice calificate şi un serviciu calificat de păstrare a sigiliilor electronice calificate furnizat într-un stat membru este recunoscut drept serviciu calificat de păstrare a semnăturilor electronice calificate şi, respectiv, drept serviciu calificat de păstrare a sigiliilor electronice calificate în toate celelalte state membre.
(6)O marcă temporală electronică calificată furnizată într-un stat membru este recunoscută drept marcă temporală electronică calificată în toate celelalte state membre.
(7)Un certificat calificat pentru autentificarea unui site internet emis într-un stat membru este recunoscut drept certificat calificat pentru autentificarea unui site internet în toate celelalte state membre.
(8)Un serviciu de distribuţie electronică înregistrată calificat furnizat într-un stat membru este recunoscut drept serviciu de distribuţie electronică înregistrată calificat în toate celelalte state membre.
(9)Un atestat electronic calificat al atributelor emis într-un stat membru este recunoscut drept atestat electronic calificat al atributelor în toate celelalte state membre.
(10)Un serviciu calificat de arhivare electronică furnizat într-un stat membru este recunoscut drept serviciu calificat de arhivare electronică în toate celelalte state membre.
(11)Un registru electronic calificat furnizat într-un stat membru este recunoscut drept registru electronic calificat în toate celelalte state membre.