Art. 24. - Art. 24: Cerinţe pentru prestatorii de servicii de încredere calificaţi - Regulamentul 910/23-iul-2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE
Acte UE
Jurnalul Oficial 257L
În vigoare Versiune de la: 20 Mai 2024 până la: 17 Octombrie 2024
Art. 24: Cerinţe pentru prestatorii de servicii de încredere calificaţi
(1)Atunci când emite un certificat calificat sau un atestat electronic calificat al atributelor, un prestator de servicii de încredere calificat verifică identitatea şi, atunci când este cazul, atributele specifice ale persoanei fizice sau juridice căreia urmează să i se emită certificatul calificat sau atestatul electronic calificat al atributelor.
(11)Verificarea identităţii menţionată la alineatul (1) se realizează, prin mijloace adecvate, de prestatorul de servicii de încredere calificat, fie direct, fie prin intermediul unui terţ, pe baza uneia dintre următoarele metode sau a unei combinaţii a acestora atunci când este necesar, în conformitate cu actele de punere în aplicare menţionate la alineatul (1c):
a)prin intermediul portofelului european pentru identitatea digitală sau al unui mijloc de identificare electronică notificat care îndeplineşte cerinţele stabilite la articolul 8 în ceea ce priveşte nivelul de asigurare ridicat;
b)prin intermediul unui certificat, al unei semnături electronice calificate sau al unui sigiliu electronic calificat emis în conformitate cu litera (a), (c) sau (d);
c)prin utilizarea altor metode de identificare care asigură identificarea persoanei cu un nivel ridicat de încredere, a căror conformitate este confirmată de un organism de evaluare a conformităţii;
d)prin prezenţa fizică a persoanei fizice sau a unui reprezentant autorizat al persoanei juridice, prin utilizarea unor mijloace de probă şi proceduri adecvate, în conformitate cu dreptul intern.
(12)Verificarea atributelor menţionată la alineatul (1) se realizează, prin mijloace adecvate, de prestatorul de servicii de încredere calificat, fie direct, fie prin intermediul unui terţ, pe baza uneia dintre următoarele metode sau a unei combinaţii a acestora, atunci când este necesar, în conformitate cu actele de punere în aplicare menţionate la alineatul (1c):
a)prin intermediul portofelului european pentru identitatea digitală sau al unui mijloc de identificare electronică notificat care îndeplineşte cerinţele stabilite la articolul 8 în ceea ce priveşte nivelul de asigurare ridicat;
b)prin intermediul unui certificat, al unei semnături electronice calificate sau al unui sigiliu electronic calificat emis în conformitate cu alineatul (1a) litera (a), (c) sau (d);
c)prin intermediul unui atestat electronic calificat al atributelor;
d)prin utilizarea altor metode, care asigură verificarea atributelor cu un nivel ridicat de încredere, a căror conformitate este confirmată de un organism de evaluare a conformităţii;
e)prin prezenţa fizică a persoanei fizice sau a unui reprezentant autorizat al persoanei juridice, prin utilizarea unor mijloace de probă şi proceduri adecvate, în conformitate cu dreptul intern.
(13)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru verificarea identităţii şi a atributelor în conformitate cu alineatele (1), (1a) şi (1b) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
(2)Un prestator de servicii de încredere calificat care prestează servicii de încredere calificate:
a)informează organismul de supraveghere cu cel puţin o lună înainte de punerea în aplicare a oricărei modificări în prestarea serviciilor sale de încredere calificate sau cu cel puţin trei luni înainte în cazul în care intenţionează să înceteze activităţile respective;
b)angajează personal şi, după caz, subcontractanţi care deţin cunoştinţele, credibilitatea, experienţa şi calificările necesare şi care au beneficiat de formare adecvată în ceea ce priveşte normele de siguranţă şi protecţie a datelor cu caracter personal şi aplică proceduri administrative şi de gestiune care corespund standardelor europene sau internaţionale;
c)în ceea ce priveşte riscul de răspundere pentru daune în conformitate cu art. 13, menţine suficiente resurse financiare şi/sau obţine o asigurare de răspundere adecvată, în conformitate cu dreptul intern;
d)înainte de stabilirea unei relaţii contractuale, informează, în mod clar, cuprinzător şi uşor accesibil, într-un spaţiu accesibil publicului şi în mod individual, orice persoană care doreşte să utilizeze un serviciu de încredere calificat în ceea ce priveşte clauzele şi condiţiile exacte privind utilizarea acelui serviciu, inclusiv orice restricţie privind utilizarea acestuia;
e)utilizează sisteme şi produse demne de încredere care sunt protejate împotriva modificărilor şi asigură siguranţa tehnică şi fiabilitatea proceselor susţinute de acestea, inclusiv prin folosirea unor tehnici criptografice adecvate;
f)utilizează sisteme demne de încredere pentru a stoca datele care îi sunt furnizate, într-o formă care poate fi verificată, astfel încât:
(i)acestea să fie disponibile publicului pentru cercetări numai în cazul în care a fost obţinut consimţământul persoanei la care se referă datele;
(ii)numai persoanele autorizate să poată introduce şi modifica datele stocate;
(iii)autenticitatea datelor să poată fi controlată;
f1)în pofida articolului 21 din Directiva (UE) 2022/2555, dispune de politici adecvate şi ia măsuri corespunzătoare pentru a gestiona riscurile juridice, comerciale, operaţionale şi alte riscuri directe sau indirecte legate de prestarea serviciului de încredere calificat, inclusiv cel puţin măsuri referitoare la următoarele aspecte:
(i)procedurile de înregistrare şi de integrare legate de un serviciu;
(ii)controalele procedurale sau administrative;
(iii)gestionarea şi implementarea serviciilor;
f2)notifică organismului de supraveghere, persoanelor afectate care pot fi identificate, altor organisme competente relevante, după caz, şi, la cererea organismului de supraveghere, publicului, dacă chestiunea este de interes public, orice încălcare a securităţii sau perturbare survenită în prestarea serviciului sau în punerea în aplicare a măsurilor menţionate la litera (fa) punctul (i), (ii) sau (iii) care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate în cadrul acestuia, fără întârzieri nejustificate şi, în orice caz, în termen de 24 de ore de la producerea incidentului;
g)ia măsuri adecvate împotriva falsificării, furtului sau însuşirii ilegale de date ori împotriva ştergerii sau modificării neautorizate a datelor sau a acţiunii neautorizate de a le face inaccesibile;
h)înregistrează şi menţine accesibile atât timp cât este necesar, după încetarea activităţii prestatorului de servicii de încredere calificat, toate informaţiile relevante referitoare la datele emise şi primite de către acesta, în scopul de a furniza dovezi în procedurile judiciare şi în scopul asigurării continuităţii serviciului. Aceste înregistrări pot fi efectuate în mod electronic;
i)are un plan actualizat pentru a asigura, în cazul încetării serviciului, continuitatea serviciului conform dispoziţiilor verificate de organismul de supraveghere în conformitate cu articolul 46b alineatul (4) litera (i);
j)[textul din Art. 24, alin. (2), litera J. din capitolul III, sectiunea 3 a fost abrogat la 20-mai-2024 de Art. 1, punctul 21., alin. (B) din Regulamentul 1183/11-apr-2024]
k)în cazul prestatorilor de servicii de încredere calificaţi care eliberează certificate calificate, instituie şi actualizează permanent o bază de date a certificatelor.
Organismul de supraveghere poate solicita informaţii în plus faţă de informaţiile notificate în temeiul primului paragraf litera (a) sau rezultatul unei evaluări a conformităţii şi poate stabili anumite condiţii pentru acordarea permisiunii de a pune în aplicare modificările preconizate ale serviciilor de încredere calificate. În cazul în care verificarea nu este încheiată în termen de trei luni de la notificare, organismul de supraveghere informează prestatorul de servicii de încredere, specificând motivele întârzierii şi termenul în care urmează să se încheie verificarea.
(3)Dacă un prestator de servicii de încredere calificat care eliberează certificate calificate decide să revoce un certificat, acesta înregistrează respectiva revocare în baza sa de date privind certificatele şi publică statutul de revocat al certificatului în timp util şi în orice caz în termen de 24 de ore de la primirea cererii. Revocarea intră în vigoare imediat după publicare.
(4)Cu privire la alineatul (3), prestatorii de servicii de încredere calificaţi care emit certificate calificate furnizează oricărui beneficiar informaţii cu privire la valabilitatea sau revocarea statutului de certificate calificate emise de aceştia. Aceste informaţii sunt puse la dispoziţie cel puţin pentru fiecare certificat în parte, în orice moment şi după expirarea perioadei de valabilitate a certificatului, în mod automat, fiabil, gratuit şi eficient.
(41)Alineatele (3) şi (4) se aplică în mod corespunzător revocării atestatelor electronice calificate ale atributelor.
(42)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 47, pentru a stabili măsurile suplimentare menţionate la alineatul (2) litera (fa) de la prezentul articol.
(5)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind cerinţele menţionate la alineatul (2) de la prezentul articol. În cazul în care standardele, specificaţiile şi procedurile respective sunt respectate, se prezumă că sunt respectate cerinţele prevăzute la prezentul alineat. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).