Capitolul iva - CADRUL DE GUVERNANŢĂ - Regulamentul 910/23-iul-2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE
Acte UE
Jurnalul Oficial 257L
În vigoare Versiune de la: 20 Mai 2024 până la: 17 Octombrie 2024
CAPITOLUL IVa:CADRUL DE GUVERNANŢĂ
Art. 46a: Supravegherea cadrului pentru portofelul european pentru identitatea digitală
(1)Statele membre desemnează unul sau mai multe organisme de supraveghere stabilite pe teritoriul lor.
Organismelor de supraveghere desemnate în temeiul primului paragraf li se conferă competenţele necesare şi resursele adecvate pentru a-şi îndeplini sarcinile în mod eficace, eficient şi independent.
(2)Statele membre notifică Comisiei denumirile şi adresele organismelor lor de supraveghere desemnate în temeiul alineatului (1), precum şi orice modificări ulterioare ale acestora. Comisia publică o listă a organismelor de supraveghere notificate.
(3)Rolul organismelor de supraveghere desemnate în temeiul alineatului (1) constă în:
a)supravegherea furnizorilor de portofele europene pentru identitatea digitală stabiliţi pe teritoriul statului membru care a desemnat organismele de supraveghere şi asigurarea, prin intermediul unor activităţi de supraveghere ex ante şi ex post, îndeplinirii de către respectivii furnizori şi de către portofelele europene pentru identitatea digitală furnizate de aceştia a cerinţelor stabilite în prezentul regulament;
b)a lua măsuri, dacă este necesar, în ceea ce îi priveşte pe furnizorii de portofele europene pentru identitatea digitală stabiliţi pe teritoriul statului membru care a desemnat organismele de supraveghere, prin intermediul unor activităţi de supraveghere ex post, atunci când sunt informate că furnizorii sau portofelele europene pentru identitatea digitală furnizate de aceştia încalcă prezentul regulament.
(4)Printre sarcinile organismelor de supraveghere desemnate în temeiul alineatului (1) se numără, în special, următoarele:
a)să coopereze cu alte organisme de supraveghere şi să acorde asistenţă acestora, în conformitate cu articolele 46c şi 46e;
b)să solicite informaţiile necesare pentru monitorizarea conformităţii cu prezentul regulament;
c)să informeze autorităţile competente relevante ale statelor membre în cauză, desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555, cu privire la orice încălcare semnificativă a securităţii sau pierdere a integrităţii de care iau cunoştinţă în îndeplinirea sarcinilor lor şi, în cazul unei încălcări semnificative a securităţii sau al pierderii integrităţii care priveşte alte state membre, să informeze punctul unic de contact din statul membru în cauză, desemnat sau înfiinţat în temeiul articolului 8 alineatul (3) din Directiva (UE) 2022/2555, şi punctele unice de contact din celelalte state membre în cauză, desemnate în temeiul articolului 46c alineatul (1) din prezentul regulament, şi să informeze publicul sau să solicite furnizorilor de portofele europene pentru identitatea digitală să facă acest lucru în cazul în care organismul de supraveghere consideră că divulgarea încălcării securităţii sau a pierderii integrităţii ar fi de interes public;
d)să efectueze inspecţii la faţa locului şi supraveghere ex situ;
e)să solicite furnizorilor de portofele europene pentru identitatea digitală să remedieze orice neîndeplinire a cerinţelor prevăzute în prezentul regulament;
f)să suspende sau să anuleze înregistrarea şi includerea beneficiarilor în mecanismul menţionat la articolul 5b alineatul (7) în cazul utilizării ilegale sau frauduloase a portofelului european pentru identitatea digitală;
g)să coopereze cu autorităţile de supraveghere competente înfiinţate în temeiul articolului 51 din Regulamentul (UE) 2016/679, în special prin informarea acestora, fără întârzieri nejustificate, în cazul în care normele de protecţie a datelor cu caracter personal par să fi fost încălcate, precum şi cu privire la încălcările securităţii care par să constituie încălcări ale securităţii datelor cu caracter personal.
(5)În cazul în care organismul de supraveghere desemnat în temeiul alineatului (1) solicită furnizorului unui portofel european pentru identitatea digitală să remedieze orice neîndeplinire a cerinţelor prevăzute în prezentul regulament în temeiul alineatului (4) litera (e), iar furnizorul respectiv nu acţionează în consecinţă şi, dacă este cazul, într-un termen stabilit de organismul de supraveghere, organismul de supraveghere desemnat în temeiul alineatului (1) poate, ţinând seama, în special, de amploarea, durata şi consecinţele respectivei neîndepliniri, să dispună ca furnizorul să suspende sau să înceteze furnizarea portofelului european pentru identitatea digitală. Organismul de supraveghere informează fără întârzieri nejustificate organismele de supraveghere ale altor state membre, Comisia, beneficiarii şi utilizatorii portofelului european pentru identitatea digitală cu privire la decizia de a solicita suspendarea sau încetarea furnizării portofelului european pentru identitatea digitală.
(6)În fiecare an, până la 31 martie, fiecare organism de supraveghere desemnat în temeiul alineatului (1) prezintă Comisiei un raport privind principalele activităţi desfăşurate în anul calendaristic anterior. Comisia pune la dispoziţia Parlamentului European şi a Consiliului rapoartele anuale respective.
(7)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, formatele şi procedurile privind raportul menţionat la alineatul (6) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 46b: Supravegherea serviciilor de încredere
(1)Statele membre desemnează un organism de supraveghere înfiinţat pe teritoriul lor sau desemnează, de comun acord cu un alt stat membru, un organism de supraveghere înfiinţat în acel alt stat membru. Organismul de supraveghere respectiv este responsabil de sarcinile de supraveghere în statul membru care l-a desemnat în ceea ce priveşte serviciile de încredere.
Organismelor de supraveghere desemnate în temeiul primului paragraf li se acordă competenţele necesare şi resursele adecvate pentru a-şi îndeplini sarcinile.
(2)Statele membre notifică Comisiei denumirile şi adresele organismelor lor de supraveghere desemnate în temeiul alineatului (1), precum şi orice modificări ulterioare ale acestora. Comisia publică o listă a organismelor de supraveghere notificate.
(3)Rolul organismelor de supraveghere desemnate în temeiul alineatului (1) constă în:
a)supravegherea prestatorilor de servicii de încredere calificaţi stabiliţi pe teritoriul statului membru care le-a desemnat şi asigurarea, prin intermediul unor activităţi de supraveghere ex ante şi ex post, îndeplinirii de către respectivii prestatori de servicii de încredere calificaţi şi de către serviciile de încredere calificate prestate de aceştia a cerinţelor stabilite în prezentul regulament;
b)luarea de măsuri, după caz, în legătură cu prestatorii de servicii de încredere necalificaţi stabiliţi pe teritoriul statului membru care le-a desemnat, prin intermediul activităţilor de supraveghere ex post, atunci când sunt informate că respectivii prestatori de servicii de încredere necalificaţi sau serviciile de încredere prestate de aceştia nu ar îndeplini cerinţele stabilite în prezentul regulament.
(4)Printre sarcinile organismelor de supraveghere desemnate în temeiul alineatului (1) se numără, în special, următoarele:
a)să informeze autorităţile competente relevante ale statelor membre în cauză, desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555, cu privire la orice încălcare semnificativă a securităţii sau pierdere a integrităţii de care iau cunoştinţă în îndeplinirea sarcinilor lor şi, în cazul unei încălcări semnificative a securităţii sau al pierderii integrităţii care priveşte alte state membre, să informeze punctul unic de contact din statul membru în cauză, desemnat sau înfiinţat în temeiul articolului 8 alineatul (3) din Directiva (UE) 2022/2555, şi punctele unice de contact din celelalte state membre în cauză, desemnate în temeiul articolului 46c alineatul (1) din prezentul regulament, şi să informeze publicul sau să solicite prestatorului de servicii de încredere să facă acest lucru în cazul în care organismul de supraveghere consideră că divulgarea încălcării securităţii sau a pierderii integrităţii ar fi de interes public;
b)să coopereze cu alte organisme de supraveghere şi să acorde asistenţă acestora, în conformitate cu articolele 46c şi 46e;
c)să analizeze rapoartele de evaluare a conformităţii menţionate la articolul 20 alineatul (1) şi la articolul 21 alineatul (1);
d)să raporteze Comisiei cu privire la activităţile sale principale, în conformitate cu alineatul (6) de la prezentul articol;
e)să realizeze audituri sau să solicite unui organism de evaluare a conformităţii să efectueze o evaluare a conformităţii prestatorilor de servicii de încredere calificaţi, în conformitate cu articolul 20 alineatul (2);
f)să coopereze cu autorităţile de supraveghere competente înfiinţate în temeiul articolului 51 din Regulamentul (UE) 2016/679, în special prin informarea acestora, fără întârzieri nejustificate, în cazul în care normele de protecţie a datelor cu caracter personal par să fi fost încălcate, precum şi cu privire la încălcările securităţii care par să constituie încălcări ale securităţii datelor cu caracter personal;
g)să acorde statutul de calificat prestatorilor de servicii de încredere, precum şi serviciilor pe care aceştia le prestează şi să retragă statutul respectiv, în conformitate cu articolele 20 şi 21;
h)să informeze organismul responsabil cu lista sigură naţională menţionată la articolul 22 alineatul (3) cu privire la deciziile sale de acordare sau de retragere a statutului de calificat, cu excepţia cazului în care respectivul organism este şi organism de supraveghere desemnat în temeiul alineatului (1) de la prezentul articol;
i)să verifice existenţa şi aplicarea corectă a dispoziţiilor privind planurile de încetare a serviciului atunci când prestatorul de servicii de încredere calificat îşi încetează activităţile, inclusiv modul în care informaţiile sunt păstrate accesibile, în conformitate cu articolul 24 alineatul (2) litera (h);
j)să solicite prestatorilor de servicii de încredere să remedieze orice neîndeplinire a cerinţelor prevăzute în prezentul regulament;
k)să investigheze cererile formulate de furnizorii de browsere web în temeiul articolului 45a şi să ia măsuri, dacă este necesar.
(5)Statele membre pot să solicite organismului de supraveghere desemnat în temeiul alineatului (1) să stabilească, să menţină şi să actualizeze o infrastructură de asigurare a încrederii în conformitate cu dreptul intern.
(6)În fiecare an, până la 31 martie, fiecare organism de supraveghere desemnat în temeiul alineatului (1) prezintă Comisiei un raport privind principalele activităţi desfăşurate în anul calendaristic anterior. Comisia pune la dispoziţia Parlamentului European şi a Consiliului rapoartele anuale respective.
(7)Până la 21 mai 2025, Comisia adoptă orientări privind îndeplinirea de către organismele de supraveghere desemnate în temeiul alineatului (1) de la prezentul articol a sarcinilor menţionate la alineatul (4) de la prezentul articol şi, prin intermediul unor acte de punere în aplicare, stabileşte formatele şi procedurile privind raportul menţionat la alineatul (6) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 46c: Puncte unice de contact
(1)Fiecare stat membru desemnează un punct unic de contact pentru serviciile de încredere, portofelele europene pentru identitatea digitală şi sistemele de identificare electronică notificate.
(2)Fiecare punct unic de contact exercită o funcţie de legătură pentru a facilita cooperarea transfrontalieră între organismele de supraveghere pentru prestatorii de servicii de încredere şi între organismele de supraveghere pentru furnizorii de portofele europene pentru identitatea digitală şi, după caz, cu Comisia şi Agenţia Uniunii Europene pentru Securitate Cibernetică (ENISA) şi cu alte autorităţi competente din statul său membru.
(3)Fiecare stat membru publică şi, fără întârzieri nejustificate, notifică Comisiei denumirea şi adresa punctului unic de contact desemnat în temeiul alineatului (1), precum şi orice modificare ulterioară a acestora.
(4)Comisia publică o listă a punctelor unice de contact notificate în temeiul alineatului (3).
Art. 46d: Asistenţă reciprocă
(1)Pentru a facilita supravegherea şi executarea obligaţiilor prevăzute de prezentul regulament, organismele de supraveghere desemnate în temeiul articolului 46a alineatul (1) sau al articolului 46b alineatul (1) pot solicita, inclusiv prin intermediul grupului de cooperare înfiinţat în temeiul articolului 46e alineatul (1), asistenţă reciprocă din partea organismelor de supraveghere dintr-un alt stat membru în care este stabilit furnizorul portofelului european pentru identitatea digitală sau prestatorul de servicii de încredere sau în care se află reţeaua şi sistemele sale informatice ori sunt prestate serviciile acestuia.
(2)Asistenţa reciprocă implică cel puţin faptul că:
a)organismul de supraveghere care aplică măsuri de supraveghere şi de executare într-un stat membru informează şi consultă organismul de supraveghere din celălalt stat membru în cauză;
b)un organism de supraveghere poate solicita organismului de supraveghere dintr-un alt stat membru în cauză să ia măsuri de supraveghere sau de executare, inclusiv, de exemplu, cereri de a efectua inspecţii legate de rapoartele de evaluare a conformităţii menţionate la articolele 20 şi 21 în ceea ce priveşte prestarea de servicii de încredere;
c)după caz, organismele de supraveghere pot efectua anchete comune cu organismele de supraveghere din alte state membre.
Mecanismele şi procedurile pentru acţiunile comune menţionate la primul paragraf sunt convenite şi stabilite de către statele membre în cauză, în conformitate cu dreptul lor intern.
(3)Un organism de supraveghere căruia i se adresează o solicitare de asistenţă poate respinge respectiva solicitare pentru oricare dintre următoarele motive:
a)asistenţa solicitată nu este proporţională cu activităţile de supraveghere ale organismului de supraveghere desfăşurate în conformitate cu articolele 46a şi 46b;
b)organismul de supraveghere nu are competenţa de a acorda asistenţa solicitată;
c)acordarea asistenţei solicitate ar contraveni prezentului regulament.
(4)Până la 21 mai 2025 şi, ulterior, la fiecare doi ani, grupul de cooperare înfiinţat în temeiul articolului 46e alineatul (1) emite orientări privind aspectele organizatorice şi procedurile pentru asistenţa reciprocă menţionată la alineatele (1) şi (2) de la prezentul articol.
Art. 46e: Grupul european de cooperare privind identitatea digitală
(1)Pentru a sprijini şi a facilita cooperarea transfrontalieră şi schimbul de informaţii dintre statele membre privind serviciile de încredere, portofelele europene pentru identitatea digitală şi sistemele de identificare electronică notificate, Comisia înfiinţează un Grup european de cooperare privind identitatea digitală (denumit în continuare «grupul de cooperare»).
(2)Grupul de cooperare este alcătuit din reprezentanţi numiţi de statele membre şi de Comisie. Grupul de cooperare este prezidat de Comisie. Comisia asigură secretariatul grupului de cooperare.
(3)Reprezentanţii părţilor interesate relevante pot fi invitaţi ad-hoc să participe la reuniunile grupului de cooperare şi la lucrările acestuia în calitate de observatori.
(4)ENISA este invitată să participe în calitate de observator la lucrările grupului de cooperare atunci când are loc un schimb de opinii, de bune practici şi de informaţii cu privire la aspecte relevante în materie de securitate cibernetică, cum ar fi notificarea încălcărilor securităţii, şi atunci când se abordează utilizarea certificatelor sau a standardelor de securitate cibernetică.
(5)Grupului de cooperare îi revin următoarele sarcini:
a)să facă schimb de opinii şi să coopereze cu Comisia cu privire la iniţiativele de politică emergente în domeniul portofelelor pentru identitatea digitală, al mijloacelor de identificare electronică şi al serviciilor de încredere;
b)să consilieze Comisia, după caz, în fazele iniţiale de pregătire a proiectelor de acte de punere în aplicare şi de acte delegate care urmează să fie adoptate în temeiul prezentului regulament;
c)pentru a sprijini organismele de supraveghere la punerea în aplicare a dispoziţiilor prezentului regulament:
(i)să facă schimb de bune practici şi de informaţii privind punerea în aplicare a dispoziţiilor prezentului regulament;
(ii)să evalueze evoluţiile pertinente din sectorul portofelului pentru identitatea digitală, al identificării electronice şi al serviciilor de încredere;
(iii)să organizeze reuniuni comune cu părţile interesate relevante din întreaga Uniune pentru a discuta activităţile desfăşurate de grupul de cooperare şi pentru a colecta informaţii cu privire la dificultăţile emergente în materie de politici;
(iv)cu sprijinul ENISA, să facă schimb de opinii, de bune practici şi de informaţii cu privire la aspectele relevante în materie de securitate cibernetică în ceea ce priveşte portofelele europene pentru identitatea digitală, sistemele de identificare electronică şi serviciile de încredere;
(v)să facă schimb de bune practici cu privire la elaborarea şi punerea în aplicare a politicilor privind notificarea încălcărilor securităţii şi măsurile comune menţionate la articolele 5e şi 10;
(vi)să organizeze reuniuni comune cu Grupul de cooperare NIS înfiinţat în temeiul articolului 14 alineatul (1) din Directiva (UE) 2022/2555 pentru a face schimb de informaţii relevante în ceea ce priveşte ameninţările cibernetice, incidentele, vulnerabilităţile, iniţiativele de sensibilizare, cursurile de formare, exerciţiile şi competenţele, consolidarea capacităţilor, capacităţile în materie de standarde şi specificaţii tehnice, precum şi standardele şi specificaţiile tehnice în legătură cu serviciile de încredere şi identificarea electronică;
(vii)să discute, la cererea unui organism de supraveghere, cererile specifice de asistenţă reciprocă menţionate la articolul 46d;
(viii)să faciliteze schimbul de informaţii între organismele de supraveghere prin furnizarea de orientări cu privire la aspectele organizatorice şi procedurile de asistenţă reciprocă menţionate la articolul 46d;
d)să organizeze evaluări inter pares ale sistemelor de identificare electronică ce trebuie notificate în temeiul prezentului regulament.
(6)Statele membre asigură cooperarea eficace şi eficientă a reprezentanţilor lor desemnaţi în grupul de cooperare.
(7)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, modalităţile procedurale necesare pentru facilitarea cooperării dintre statele membre menţionate la alineatul (5) litera (d) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).