Capitolul iii - SERVICII DE ÎNCREDERE - Regulamentul 910/23-iul-2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE
Acte UE
Jurnalul Oficial 257L
În vigoare Versiune de la: 20 Mai 2024 până la: 17 Octombrie 2024
CAPITOLUL III:SERVICII DE ÎNCREDERE
Art. 13: Răspunderea şi sarcina probei
(1)În pofida alineatului (2) de la prezentul articol şi fără a aduce atingere Regulamentului (UE) 2016/679, prestatorii de servicii de încredere sunt răspunzători pentru prejudiciile cauzate în mod intenţionat sau din neglijenţă oricărei persoane fizice sau juridice ca urmare a nerespectării obligaţiilor prevăzute în prezentul regulament. Orice persoană fizică sau juridică ce a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament de către un prestator de servicii de încredere are dreptul de a solicita despăgubiri în conformitate cu dreptul Uniunii şi cu dreptul intern.
Sarcina de a proba intenţia sau neglijenţa unui prestator de servicii de încredere necalificat revine persoanei fizice sau juridice care introduce o acţiune în despăgubiri pentru prejudiciul menţionat la primul paragraf.
Intenţia sau neglijenţa din partea unui prestator de servicii de încredere calificat este prezumată, cu excepţia cazului în care respectivul prestator de servicii de încredere calificat dovedeşte că prejudiciul menţionat la primul paragraf nu a intervenit din intenţia sau din neglijenţa sa.
(2)În cazul în care prestatorii de servicii de încredere îşi informează clienţii în prealabil în mod corespunzător cu privire la restricţiile privind utilizarea serviciilor pe care aceştia le prestează şi în cazul în care aceste restricţii pot fi recunoscute de părţile terţe, prestatorii de servicii de încredere nu sunt răspunzători pentru prejudiciile rezultate din utilizarea serviciilor care depăşesc restricţiile indicate.
(3)Alineatele (1) şi (2) se aplică în conformitate cu normele de drept intern privind răspunderea.
Art. 14: Aspecte internaţionale
(1)Serviciile de încredere prestate de prestatori de servicii de încredere stabiliţi într-o ţară terţă sau de o organizaţie internaţională sunt recunoscute ca fiind echivalente din punct de vedere juridic cu serviciile de încredere calificate prestate de prestatori de servicii de încredere calificaţi stabiliţi în Uniune dacă serviciile de încredere care provin din ţara terţă sau de la organizaţia internaţională sunt recunoscute prin intermediul unor acte de punere în aplicare sau al unui acord încheiat între Uniune şi ţara terţă sau organizaţia internaţională în cauză în conformitate cu articolul 218 din TFUE.
Actele de punere în aplicare menţionate la primul paragraf se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
(2)Actele de punere în aplicare şi acordul menţionate la alineatul (1) garantează că cerinţele aplicabile prestatorilor de servicii de încredere calificaţi stabiliţi în Uniune şi serviciilor de încredere calificate pe care aceştia le prestează sunt îndeplinite de prestatorii de servicii de încredere din ţara terţă în cauză sau de organizaţiile internaţionale, precum şi de serviciile de încredere pe care aceştia le prestează. În special, ţările terţe şi organizaţiile internaţionale elaborează, menţin şi publică o listă sigură a prestatorilor de servicii de încredere recunoscuţi.
(3)Acordurile menţionate la alineatul (1) garantează că serviciile de încredere calificate prestate de prestatori de servicii de încredere calificaţi stabiliţi în Uniune sunt recunoscute ca echivalente din punct de vedere juridic cu serviciile de încredere prestate de prestatorii de servicii de încredere din ţara terţă sau de organizaţia internaţională cu care a fost încheiat acordul.
Art. 15: Accesibilitatea pentru persoanele cu dizabilităţi şi cu nevoi speciale
Mijloacele de identificare electronică, prestarea serviciilor de încredere şi furnizarea produselor destinate utilizatorului final care sunt utilizate pentru prestarea serviciilor respective sunt furnizate într-un limbaj clar şi inteligibil şi în conformitate cu Convenţia Naţiunilor Unite privind drepturile persoanelor cu handicap şi cu cerinţele de accesibilitate prevăzute în Directiva (UE) 2019/882, fiind astfel accesibile şi persoanelor care se confruntă cu limitări funcţionale, cum ar fi persoanele în vârstă, şi persoanelor cu acces limitat la tehnologiile digitale.
Art. 16: Sancţiuni
(1)Fără a aduce atingere articolului 31 din Directiva (UE) 2022/2555 a Parlamentului European şi a Consiliului (*7), statele membre stabilesc normele referitoare la sancţiunile aplicabile în cazul încălcării prezentului regulament. Sancţiunile respective trebuie să fie eficace, proporţionale şi cu efect de descurajare.
(*7)Directiva (UE) 2022/2555 a Parlamentului European şi a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 şi a Directivei (UE) 2018/1972 şi de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (JO L 333, 27.12.2022, p. 80).
(2)Statele membre se asigură că încălcările prezentului regulament de către prestatorii de servicii de încredere calificaţi şi necalificaţi fac obiectul unor amenzi administrative în valoare de cel puţin:
a)5 000 000 EUR, în cazul în care prestatorul de servicii de încredere este o persoană fizică; sau
b)în cazul în care prestatorul de servicii de încredere este o persoană juridică, 5 000 000 EUR sau 1 % din cifra de afaceri anuală totală la nivel mondial a întreprinderii căreia i-a aparţinut prestatorul de servicii de încredere în exerciţiul financiar anterior anului în care a avut loc încălcarea, luându-se în considerare valoarea cea mai mare.
(3)În funcţie de sistemul juridic al statelor membre, normele privind amenzile administrative pot fi aplicate astfel încât amenda să fie iniţiată de organismul de supraveghere competent şi aplicată de instanţele naţionale competente. Aplicarea acestor norme în statele membre respective garantează faptul că respectivele măsuri juridice sunt eficiente şi au un efect echivalent cu cel al amenzilor administrative aplicate direct de autorităţile de supraveghere.
Art. 17:
[textul din Art. 17 din capitolul III, sectiunea 2 a fost abrogat la 20-mai-2024 de Art. 1, punctul 17. din Regulamentul 1183/11-apr-2024]
Art. 18:
[textul din Art. 18 din capitolul III, sectiunea 2 a fost abrogat la 20-mai-2024 de Art. 1, punctul 17. din Regulamentul 1183/11-apr-2024]
Art. 19: Cerinţe de securitate aplicabile prestatorilor de servicii de încredere
(1)Prestatorii de servicii de încredere calificaţi şi necalificaţi iau măsurile tehnice şi organizaţionale corespunzătoare pentru gestionarea riscurilor la adresa securităţii serviciilor de încredere pe care le prestează. Ţinând cont de cele mai recente evoluţii tehnologice, aceste măsuri garantează că nivelul securităţii este proporţional cu gradul de risc. În special, se iau măsuri pentru a preveni şi minimiza impactul incidentelor legate de securitate şi pentru a informa părţile interesate cu privire la efectele negative ale oricăror incidente de acest tip.
(2)Prestatorii de servicii de încredere calificaţi şi necalificaţi notifică, fără întârzieri nejustificate, însă, în orice caz, în termen de 24 de ore după ce au aflat, organismului de supraveghere competent şi, dacă este cazul, altor organisme relevante, cum sunt organismul naţional competent pentru securitatea informaţiilor sau autoritatea pentru protecţia datelor, orice încălcare a securităţii sau pierdere a integrităţii care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate de acesta.
Atunci când încălcarea securităţii sau pierderea integrităţii este de natură să afecteze în mod negativ o persoană fizică sau juridică căreia i-a fost prestat serviciul de încredere, prestatorul de servicii de încredere notifică, de asemenea, persoanei fizice sau juridice încălcarea securităţii sau pierderea integrităţii fără întârzieri nejustificate.
După caz, în special dacă o încălcare a securităţii sau o pierdere a integrităţii se referă la două sau mai multe state membre, organismul de supraveghere notificat informează organismele de supraveghere vizate din alte state membre şi ENISA.
Organismul de supraveghere notificat informează publicul sau solicită prestatorului de servicii de încredere să facă acest lucru, în cazul în care consideră că dezvăluirea încălcării securităţii sau pierderea integrităţii serveşte interesului public.
(3)Organismul de supraveghere furnizează ENISA, o dată pe an, un rezumat al notificărilor privind încălcarea securităţii sau pierderea integrităţii primite de la prestatorii de servicii de încredere.
(4)Prin intermediul unor acte de punere în aplicare, Comisia poate:
a)elabora specificaţii suplimentare referitoare la măsurile menţionate la alineatul (1); şi
b)defini formatele şi procedurile, inclusiv termenele, aplicabile în sensul alineatului (2).
Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la art. 48 alineatul (2).
Art. 19a: Cerinţe pentru prestatorii de servicii de încredere necalificaţi
(1)Un prestator de servicii de încredere necalificat care prestează servicii de încredere necalificate:
a)dispune de politici adecvate şi ia măsurile corespunzătoare pentru a gestiona riscurile juridice, comerciale, operaţionale şi alte riscuri directe sau indirecte legate de prestarea serviciului de încredere necalificat, care, în pofida articolului 21 din Directiva (UE) 2022/2555, includ cel puţin măsuri referitoare la:
(i)procedurile de înregistrare şi de integrare legate de un serviciu de încredere;
(ii)controalele procedurale sau administrative necesare pentru prestarea de servicii de încredere;
(iii)gestionarea şi implementarea serviciilor de încredere;
b)notificarea organismului de supraveghere, persoanelor afectate care pot fi identificate, publicului - dacă chestiunea este de interes public -, şi, după caz, altor autorităţi competente relevante, cu privire la orice încălcare a securităţii sau perturbare survenită în prestarea serviciului sau în punerea în aplicare a măsurilor menţionate la litera (a) punctul (i), (ii) sau (iii) care are impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate în cadrul acestuia, fără întârzieri nejustificate şi, în orice caz, nu mai târziu de 24 de ore din momentul în care a luat cunoştinţă de orice încălcare a securităţii sau perturbare.
(2)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri în scopul alineatului (1) litera (a) de la prezentul articol. În cazul în care standardele, specificaţiile şi procedurile respective sunt respectate, se prezumă că sunt respectate cerinţele prevăzute la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 20: Supravegherea prestatorilor de servicii de încredere calificaţi
(1)Prestatorii de servicii de încredere calificaţi sunt auditaţi, pe propria cheltuială, cel puţin la fiecare 24 de luni, de către un organism de evaluare a conformităţii. Auditul confirmă că prestatorii de servicii de încredere calificaţi şi serviciile de încredere calificate pe care le prestează îndeplinesc cerinţele prevăzute în prezentul regulament şi la articolul 21 din Directiva (UE) 2022/2555. Prestatorii de servicii de încredere calificaţi transmit raportul de evaluare a conformităţii care a rezultat organismului de supraveghere în termen de trei zile lucrătoare de la primirea lui.
(11)Prestatorii de servicii de încredere calificaţi informează organismul de supraveghere cu cel puţin o lună înainte de un audit planificat şi, la cerere, îi permit organismului de supraveghere să participe în calitate de observator.
(12)Statele membre notifică Comisiei, fără întârzieri nejustificate, denumirile, adresele şi detaliile de acreditare ale organismelor de evaluare a conformităţii menţionate la alineatul (1), precum şi orice modificări ulterioare ale acestora. Comisia pune informaţiile respective la dispoziţia tuturor statelor membre.
(2)Fără a aduce atingere alineatului (1), organismul de supraveghere poate, în orice moment, să efectueze un audit sau să solicite unui organism de evaluare a conformităţii să efectueze o evaluare a conformităţii privind prestatorii de servicii de încredere calificaţi, pe cheltuiala prestatorilor de servicii de încredere respectivi, pentru a confirma că aceştia şi serviciile de încredere calificate pe care le prestează îndeplinesc cerinţele prevăzute în prezentul regulament. În cazul în care normele de protecţie a datelor cu caracter personal par să fi fost încălcate, organismul de supraveghere informează, fără întârzieri nejustificate, autorităţile de supraveghere competente înfiinţate în temeiul articolului 51 din Regulamentul (UE) 2016/679.
(3)În cazul în care prestatorul de servicii de încredere calificat nu îndeplineşte oricare dintre cerinţele prevăzute în prezentul regulament, organismul de supraveghere îi solicită să remedieze situaţia într-un termen stabilit, dacă este cazul.
În cazul în care prestatorul respectiv nu remediază situaţia, dacă este cazul în termenul stabilit de organismul de supraveghere, acesta din urmă, atunci când acest lucru este justificat în special de amploarea, durata şi consecinţele respectivei neîndepliniri, retrage statutul de calificat al prestatorului respectiv sau al serviciului prestat de acesta care este afectat.
(31)În cazul în care autorităţile competente desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555 informează organismul de supraveghere că prestatorul de servicii de încredere calificat nu îndeplineşte oricare dintre cerinţele prevăzute la articolul 21 din respectiva directivă, organismul de supraveghere, atunci când acest lucru este justificat în special de amploarea, durata şi consecinţele respectivei neîndepliniri, retrage statutul de calificat al prestatorului respectiv sau al serviciului afectat pe care îl prestează acesta.
(32)În cazul în care autorităţile de supraveghere înfiinţate în temeiul articolului 51 din Regulamentul (UE) 2016/679 informează organismul de supraveghere că prestatorul de servicii de încredere calificat nu îndeplineşte oricare dintre cerinţele prevăzute în regulamentul menţionat, organismul de supraveghere, atunci când acest lucru este justificat în special de amploarea, durata şi consecinţele respectivei neîndepliniri, retrage statutul de calificat al prestatorului respectiv sau al serviciului afectat pe care îl prestează acesta.
(33)Organismul de supraveghere informează prestatorul de servicii de încredere calificat cu privire la retragerea statutului de calificat, al său sau al serviciului în cauză. Organismul de supraveghere informează organismul notificat în temeiul articolului 22 alineatul (3) din prezentul regulament în scopul actualizării listelor sigure menţionate la alineatul (1) de la articolul respectiv, precum şi autoritatea competentă desemnată sau înfiinţată în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555.
(4)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru:
a)acreditarea organismelor de evaluare a conformităţii şi pentru raportul de evaluare a conformităţii menţionat la alineatul (1);
b)cerinţele de audit pe baza cărora organismele de evaluare a conformităţii îşi desfăşoară evaluarea conformităţii, inclusiv evaluarea compozită, a prestatorilor de servicii de încredere calificaţi, astfel cum se menţionează la alineatul (1);
c)sistemele de evaluare a conformităţii utilizate de organismele de evaluare a conformităţii pentru efectuarea evaluării conformităţii prestatorilor de servicii de încredere calificaţi şi pentru furnizarea raportului menţionat la alineatul (1).
Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 21: Iniţierea unui serviciu de încredere calificat
(1)În cazul în care prestatorii de servicii de încredere intenţionează să înceapă prestarea unui serviciu de încredere calificat, aceştia informează organismul de supraveghere cu privire la intenţia lor, însoţită de un raport de evaluare a conformităţii emis de un organism de evaluare a conformităţii, care confirmă îndeplinirea cerinţelor prevăzute în prezentul regulament şi la articolul 21 din Directiva (UE) 2022/2555.
(2)Organismul de supraveghere verifică dacă prestatorul de servicii de încredere şi serviciile de încredere prestate de acesta respectă cerinţele prevăzute în prezentul regulament şi, în special, cerinţele pentru prestatorii de servicii de încredere calificaţi şi pentru serviciile de încredere calificate prestate de aceştia.
Pentru a verifica respectarea de către prestatorul de servicii de încredere a cerinţelor prevăzute la articolul 21 din Directiva (UE) 2022/2555, organismul de supraveghere solicită autorităţilor competente desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din respectiva directivă să desfăşoare acţiuni de supraveghere în această privinţă şi să furnizeze informaţii cu privire la rezultat fără întârzieri nejustificate şi, în orice caz, în termen de două luni de la primirea cererii respective. În cazul în care verificarea nu este încheiată în termen de două luni de la notificare, autorităţile competente respective informează organismul de supraveghere, specificând motivele întârzierii şi termenul în care urmează să se încheie verificarea.
În cazul în care organismul de supraveghere ajunge la concluzia că prestatorul de servicii de încredere şi serviciile de încredere prestate de acesta respectă cerinţele prevăzute în prezentul regulament, organismul de supraveghere acordă statutul de calificat prestatorului de servicii de încredere şi serviciilor de încredere prestate de acesta şi informează în consecinţă organismul menţionat la articolul 22 alineatul (3) în scopul actualizării listelor sigure menţionate la articolul 22 alineatul (1), în termen de trei luni de la notificare, în conformitate cu alineatul (1) de la prezentul articol.
În cazul în care verificarea nu este încheiată în termen de trei luni de la notificare, organismul de supraveghere informează prestatorul de servicii de încredere, specificând motivele întârzierii şi termenul în care urmează să se încheie verificarea.
(3)Prestatorii de servicii de încredere calificaţi pot începe furnizarea serviciului de încredere calificat după ce statutul de calificat a fost indicat în listele sigure menţionate la art. 22 alineatul (1).
(4)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, formatele şi procedurile de notificare şi verificare în vederea aplicării alineatelor (1) şi (2) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 22: Listele sigure
(1)Fiecare stat membru instituie, menţine şi publică liste care includ informaţii referitoare la prestatorii de servicii de încredere calificaţi pentru care este responsabil, împreună cu informaţii referitoare la serviciile de încredere calificate prestate de aceştia.
(2)Statele membre instituie, menţin şi publică, în mod securizat, listele sigure semnate sau sigilate electronic menţionate la alineatul (1), într-o formă adecvată pentru prelucrarea automată.
(3)Statele membre notifică Comisiei, fără întârzieri nejustificate, informaţii cu privire la organismul responsabil pentru instituirea, menţinerea şi publicarea listelor sigure naţionale şi detalii despre locul unde sunt publicate aceste liste, certificatele utilizate pentru semnarea sau sigilarea listelor sigure şi orice modificări ale acestora.
(4)Comisia pune la dispoziţia publicului, printr-un canal sigur, informaţiile menţionate la alineatul (3) într-o formă purtând o semnătură electronică sau un sigiliu electronic adecvate pentru prelucrarea automată.
(5)Până la 18 septembrie 2015, Comisia specifică, prin intermediul unor acte de punere în aplicare, informaţiile menţionate la alineatul (1) şi defineşte specificaţiile tehnice şi formatele pentru listele sigure aplicabile în sensul alineatelor (1)-(4). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la art. 48 alineatul (2).
Art. 23: Marca de încredere a UE pentru serviciile de încredere calificate
(1)După indicarea statutului de calificat menţionat la art. 21 alineatul (2) al doilea paragraf pe lista sigură menţionată la art. 22 alineatul (1), prestatorii de servicii de încredere calificaţi pot utiliza o marcă de încredere a UE pentru a indica într-un mod simplu, uşor de recunoscut şi clar serviciile de încredere calificate pe care le prestează.
(2)În cazul utilizării mărcii de încredere a UE pentru serviciile de încredere calificate menţionate la alineatul (1), prestatorii de servicii de încredere calificaţi se asigură că pe site-ul lor internet este disponibil un link către lista sigură relevantă.
(3)Până la 1 iulie 2015, Comisia, prin intermediul unor acte de punere în aplicare, stabileşte specificaţiile referitoare la forma şi, în special, prezentarea, componenţa, mărimea şi designul mărcii de încredere a UE pentru serviciile de încredere calificate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la art. 48 alineatul (2).
Art. 24: Cerinţe pentru prestatorii de servicii de încredere calificaţi
(1)Atunci când emite un certificat calificat sau un atestat electronic calificat al atributelor, un prestator de servicii de încredere calificat verifică identitatea şi, atunci când este cazul, atributele specifice ale persoanei fizice sau juridice căreia urmează să i se emită certificatul calificat sau atestatul electronic calificat al atributelor.
(11)Verificarea identităţii menţionată la alineatul (1) se realizează, prin mijloace adecvate, de prestatorul de servicii de încredere calificat, fie direct, fie prin intermediul unui terţ, pe baza uneia dintre următoarele metode sau a unei combinaţii a acestora atunci când este necesar, în conformitate cu actele de punere în aplicare menţionate la alineatul (1c):
a)prin intermediul portofelului european pentru identitatea digitală sau al unui mijloc de identificare electronică notificat care îndeplineşte cerinţele stabilite la articolul 8 în ceea ce priveşte nivelul de asigurare ridicat;
b)prin intermediul unui certificat, al unei semnături electronice calificate sau al unui sigiliu electronic calificat emis în conformitate cu litera (a), (c) sau (d);
c)prin utilizarea altor metode de identificare care asigură identificarea persoanei cu un nivel ridicat de încredere, a căror conformitate este confirmată de un organism de evaluare a conformităţii;
d)prin prezenţa fizică a persoanei fizice sau a unui reprezentant autorizat al persoanei juridice, prin utilizarea unor mijloace de probă şi proceduri adecvate, în conformitate cu dreptul intern.
(12)Verificarea atributelor menţionată la alineatul (1) se realizează, prin mijloace adecvate, de prestatorul de servicii de încredere calificat, fie direct, fie prin intermediul unui terţ, pe baza uneia dintre următoarele metode sau a unei combinaţii a acestora, atunci când este necesar, în conformitate cu actele de punere în aplicare menţionate la alineatul (1c):
a)prin intermediul portofelului european pentru identitatea digitală sau al unui mijloc de identificare electronică notificat care îndeplineşte cerinţele stabilite la articolul 8 în ceea ce priveşte nivelul de asigurare ridicat;
b)prin intermediul unui certificat, al unei semnături electronice calificate sau al unui sigiliu electronic calificat emis în conformitate cu alineatul (1a) litera (a), (c) sau (d);
c)prin intermediul unui atestat electronic calificat al atributelor;
d)prin utilizarea altor metode, care asigură verificarea atributelor cu un nivel ridicat de încredere, a căror conformitate este confirmată de un organism de evaluare a conformităţii;
e)prin prezenţa fizică a persoanei fizice sau a unui reprezentant autorizat al persoanei juridice, prin utilizarea unor mijloace de probă şi proceduri adecvate, în conformitate cu dreptul intern.
(13)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru verificarea identităţii şi a atributelor în conformitate cu alineatele (1), (1a) şi (1b) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
(2)Un prestator de servicii de încredere calificat care prestează servicii de încredere calificate:
a)informează organismul de supraveghere cu cel puţin o lună înainte de punerea în aplicare a oricărei modificări în prestarea serviciilor sale de încredere calificate sau cu cel puţin trei luni înainte în cazul în care intenţionează să înceteze activităţile respective;
b)angajează personal şi, după caz, subcontractanţi care deţin cunoştinţele, credibilitatea, experienţa şi calificările necesare şi care au beneficiat de formare adecvată în ceea ce priveşte normele de siguranţă şi protecţie a datelor cu caracter personal şi aplică proceduri administrative şi de gestiune care corespund standardelor europene sau internaţionale;
c)în ceea ce priveşte riscul de răspundere pentru daune în conformitate cu art. 13, menţine suficiente resurse financiare şi/sau obţine o asigurare de răspundere adecvată, în conformitate cu dreptul intern;
d)înainte de stabilirea unei relaţii contractuale, informează, în mod clar, cuprinzător şi uşor accesibil, într-un spaţiu accesibil publicului şi în mod individual, orice persoană care doreşte să utilizeze un serviciu de încredere calificat în ceea ce priveşte clauzele şi condiţiile exacte privind utilizarea acelui serviciu, inclusiv orice restricţie privind utilizarea acestuia;
e)utilizează sisteme şi produse demne de încredere care sunt protejate împotriva modificărilor şi asigură siguranţa tehnică şi fiabilitatea proceselor susţinute de acestea, inclusiv prin folosirea unor tehnici criptografice adecvate;
f)utilizează sisteme demne de încredere pentru a stoca datele care îi sunt furnizate, într-o formă care poate fi verificată, astfel încât:
(i)acestea să fie disponibile publicului pentru cercetări numai în cazul în care a fost obţinut consimţământul persoanei la care se referă datele;
(ii)numai persoanele autorizate să poată introduce şi modifica datele stocate;
(iii)autenticitatea datelor să poată fi controlată;
f1)în pofida articolului 21 din Directiva (UE) 2022/2555, dispune de politici adecvate şi ia măsuri corespunzătoare pentru a gestiona riscurile juridice, comerciale, operaţionale şi alte riscuri directe sau indirecte legate de prestarea serviciului de încredere calificat, inclusiv cel puţin măsuri referitoare la următoarele aspecte:
(i)procedurile de înregistrare şi de integrare legate de un serviciu;
(ii)controalele procedurale sau administrative;
(iii)gestionarea şi implementarea serviciilor;
f2)notifică organismului de supraveghere, persoanelor afectate care pot fi identificate, altor organisme competente relevante, după caz, şi, la cererea organismului de supraveghere, publicului, dacă chestiunea este de interes public, orice încălcare a securităţii sau perturbare survenită în prestarea serviciului sau în punerea în aplicare a măsurilor menţionate la litera (fa) punctul (i), (ii) sau (iii) care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate în cadrul acestuia, fără întârzieri nejustificate şi, în orice caz, în termen de 24 de ore de la producerea incidentului;
g)ia măsuri adecvate împotriva falsificării, furtului sau însuşirii ilegale de date ori împotriva ştergerii sau modificării neautorizate a datelor sau a acţiunii neautorizate de a le face inaccesibile;
h)înregistrează şi menţine accesibile atât timp cât este necesar, după încetarea activităţii prestatorului de servicii de încredere calificat, toate informaţiile relevante referitoare la datele emise şi primite de către acesta, în scopul de a furniza dovezi în procedurile judiciare şi în scopul asigurării continuităţii serviciului. Aceste înregistrări pot fi efectuate în mod electronic;
i)are un plan actualizat pentru a asigura, în cazul încetării serviciului, continuitatea serviciului conform dispoziţiilor verificate de organismul de supraveghere în conformitate cu articolul 46b alineatul (4) litera (i);
j)[textul din Art. 24, alin. (2), litera J. din capitolul III, sectiunea 3 a fost abrogat la 20-mai-2024 de Art. 1, punctul 21., alin. (B) din Regulamentul 1183/11-apr-2024]
k)în cazul prestatorilor de servicii de încredere calificaţi care eliberează certificate calificate, instituie şi actualizează permanent o bază de date a certificatelor.
Organismul de supraveghere poate solicita informaţii în plus faţă de informaţiile notificate în temeiul primului paragraf litera (a) sau rezultatul unei evaluări a conformităţii şi poate stabili anumite condiţii pentru acordarea permisiunii de a pune în aplicare modificările preconizate ale serviciilor de încredere calificate. În cazul în care verificarea nu este încheiată în termen de trei luni de la notificare, organismul de supraveghere informează prestatorul de servicii de încredere, specificând motivele întârzierii şi termenul în care urmează să se încheie verificarea.
(3)Dacă un prestator de servicii de încredere calificat care eliberează certificate calificate decide să revoce un certificat, acesta înregistrează respectiva revocare în baza sa de date privind certificatele şi publică statutul de revocat al certificatului în timp util şi în orice caz în termen de 24 de ore de la primirea cererii. Revocarea intră în vigoare imediat după publicare.
(4)Cu privire la alineatul (3), prestatorii de servicii de încredere calificaţi care emit certificate calificate furnizează oricărui beneficiar informaţii cu privire la valabilitatea sau revocarea statutului de certificate calificate emise de aceştia. Aceste informaţii sunt puse la dispoziţie cel puţin pentru fiecare certificat în parte, în orice moment şi după expirarea perioadei de valabilitate a certificatului, în mod automat, fiabil, gratuit şi eficient.
(41)Alineatele (3) şi (4) se aplică în mod corespunzător revocării atestatelor electronice calificate ale atributelor.
(42)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 47, pentru a stabili măsurile suplimentare menţionate la alineatul (2) litera (fa) de la prezentul articol.
(5)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind cerinţele menţionate la alineatul (2) de la prezentul articol. În cazul în care standardele, specificaţiile şi procedurile respective sunt respectate, se prezumă că sunt respectate cerinţele prevăzute la prezentul alineat. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 24a: Recunoaşterea serviciilor de încredere calificate
(1)Semnăturile electronice calificate bazate pe un certificat calificat emis într-un stat membru şi sigiliile electronice calificate bazate pe un certificat calificat emis într-un stat membru sunt recunoscute drept semnături electronice calificate şi, respectiv, drept sigilii electronice calificate în toate celelalte state membre.
(2)Dispozitivele de creare a semnăturilor electronice calificate şi dispozitivele de creare a sigiliilor electronice calificate certificate într-un stat membru sunt recunoscute drept dispozitive de creare a semnăturilor electronice calificate şi, respectiv, drept dispozitive de creare a sigiliilor electronic calificate în toate celelalte state membre.
(3)Un certificat calificat pentru semnăturile electronice, un certificat calificat pentru sigilii electronice, un serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a semnăturii electronice la distanţă şi un serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a sigiliului electronic la distanţă furnizat într-un stat membru este recunoscut drept certificat calificat pentru semnăturile electronice, drept certificat calificat pentru sigilii electronice, drept serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a semnăturii electronice la distanţă şi, respectiv, drept serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a sigiliului electronic la distanţă în toate celelalte state membre.
(4)Un serviciu de validare calificat pentru semnături electronice calificate şi un serviciu de validare calificat pentru sigilii electronice calificate furnizat într-un stat membru este recunoscut drept serviciu de validare calificat pentru semnături electronice calificate şi, respectiv, drept serviciu de validare calificat pentru sigilii electronice calificate în toate celelalte state membre.
(5)Un serviciu calificat de păstrare a semnăturilor electronice calificate şi un serviciu calificat de păstrare a sigiliilor electronice calificate furnizat într-un stat membru este recunoscut drept serviciu calificat de păstrare a semnăturilor electronice calificate şi, respectiv, drept serviciu calificat de păstrare a sigiliilor electronice calificate în toate celelalte state membre.
(6)O marcă temporală electronică calificată furnizată într-un stat membru este recunoscută drept marcă temporală electronică calificată în toate celelalte state membre.
(7)Un certificat calificat pentru autentificarea unui site internet emis într-un stat membru este recunoscut drept certificat calificat pentru autentificarea unui site internet în toate celelalte state membre.
(8)Un serviciu de distribuţie electronică înregistrată calificat furnizat într-un stat membru este recunoscut drept serviciu de distribuţie electronică înregistrată calificat în toate celelalte state membre.
(9)Un atestat electronic calificat al atributelor emis într-un stat membru este recunoscut drept atestat electronic calificat al atributelor în toate celelalte state membre.
(10)Un serviciu calificat de arhivare electronică furnizat într-un stat membru este recunoscut drept serviciu calificat de arhivare electronică în toate celelalte state membre.
(11)Un registru electronic calificat furnizat într-un stat membru este recunoscut drept registru electronic calificat în toate celelalte state membre.
Art. 25: Efectele juridice ale semnăturilor electronice
(1)Unei semnături electronice nu i se refuză efectul juridic şi posibilitatea de a fi acceptată ca probă în procedurile judiciare doar din motiv că aceasta este în format electronic sau că nu îndeplineşte cerinţele pentru semnăturile electronice calificate.
(2)O semnătură electronică calificată are efectul juridic echivalent al unei semnături olografe.
(3)[textul din Art. 25, alin. (3) din capitolul III, sectiunea 4 a fost abrogat la 20-mai-2024 de Art. 1, punctul 23. din Regulamentul 1183/11-apr-2024]
Art. 26: Cerinţe pentru semnături electronice avansate
(1)O semnătura electronică avansată îndeplineşte următoarele cerinţe:
a)face trimitere exclusiv la semnatar;
b)permite identificarea semnatarului;
c)este creată utilizând date de creare a semnăturilor electronice pe care semnatarul le poate utiliza, cu un nivel ridicat de încredere, exclusiv sub controlul său; şi
d)este legată de datele utilizate la semnare astfel încât orice modificare ulterioară a datelor poate fi detectată.
(2)Până la 21 mai 2026, Comisia evaluează dacă este necesar să adopte acte de punere în aplicare prin care să stabilească o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru semnăturile electronice avansate. Pe baza rezultatului evaluării respective, Comisia poate adopta astfel de acte de punere în aplicare. În cazul în care o semnătură electronică avansată îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele referitoare la semnăturile electronice avansate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 27: Semnăturile electronice în cadrul serviciilor publice
(1)În cazul în care un stat membru solicită o semnătură electronică avansată pentru utilizarea în cadrul unui serviciu online prestat de către un organism din sectorul public sau în numele acestuia, respectivul stat membru recunoaşte semnăturile electronice avansate, semnăturile electronice avansate bazate pe un certificat calificat pentru semnături electronice şi semnăturile electronice calificate care întrebuinţează cel puţin formatele sau metodele definite în actele de punere în aplicare menţionate la alineatul (5).
(2)În cazul în care un stat membru solicită o semnătură electronică avansată bazată pe un certificat calificat pentru utilizarea în cadrul unui serviciu online prestat de către un organism din sectorul public sau în numele acestuia, respectivul stat membru recunoaşte semnăturile electronice avansate bazate pe un certificat calificat şi semnăturile electronice calificate care întrebuinţează cel puţin formatele sau metodele definite în actele de punere în aplicare menţionate la alineatul (5).
(3)Statele membre nu solicită o semnătură electronică la un nivel de securitate mai ridicat decât cel al semnăturii electronice calificate pentru utilizarea transfrontalieră a unui serviciu online prestat de un organism din sectorul public.
(4)[textul din Art. 27, alin. (4) din capitolul III, sectiunea 4 a fost abrogat la 20-mai-2024 de Art. 1, punctul 25. din Regulamentul 1183/11-apr-2024]
(5)Până la 18 septembrie 2015 şi ţinând cont de practicile, standardele şi actele juridice ale Uniunii existente, Comisia defineşte, prin intermediul unor acte de punere în aplicare, formate de referinţă ale semnăturilor electronice avansate sau metode de referinţă, în cazul în care sunt utilizate formate alternative. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la art. 48 alineatul (2).
Art. 28: Certificate calificate pentru semnăturile electronice
(1)Certificatele calificate pentru semnăturile electronice îndeplinesc cerinţele prevăzute în anexa I.
(2)Certificatele calificate pentru semnăturile electronice nu fac obiectul niciunei cerinţe obligatorii în plus faţă de cerinţele prevăzute în anexa I.
(3)Certificatele calificate pentru semnăturile electronice pot include atribute specifice suplimentare facultative. Aceste atribute nu afectează interoperabilitatea şi recunoaşterea semnăturilor electronice calificate.
(4)În cazul în care un certificat calificat pentru semnăturile electronice a fost revocat după activarea iniţială, acesta îşi pierde valabilitatea din momentul în care a fost revocat şi nu se revine în niciun caz la statutul său anterior.
(5)Sub rezerva următoarelor condiţii, statele membre pot să stabilească norme interne cu privire la suspendarea temporară a unui certificat calificat pentru semnătura electronică:
a)în cazul în care un certificat calificat pentru semnătura electronică a fost suspendat temporar, acest certificat îşi pierde valabilitatea pe parcursul perioadei de suspendare;
b)perioada de suspendare este clar indicată în baza de date privind certificatele şi statutul de suspendat este vizibil, pe perioada suspendării, din serviciul care oferă informaţii privind statutul certificatului.
(6)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru certificatele calificate pentru semnăturile electronice. În cazul în care un certificat calificat pentru semnătura electronică îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele prevăzute în anexa I. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 29: Cerinţe pentru dispozitivele de creare a semnăturilor electronice calificate
(1)Dispozitivele de creare a semnăturilor electronice calificate îndeplinesc cerinţele prevăzute în anexa II.
(11)Generarea sau gestionarea datelor de creare a semnăturii electronice sau duplicarea unor astfel de date de creare a semnăturii în scopul creării unei copii de rezervă se realizează numai în numele semnatarului şi la cererea acestuia şi de către un prestator de servicii de încredere calificat care prestează un serviciu de încredere calificat pentru gestionarea unui dispozitiv calificat de creare a semnăturii electronice la distanţă.
(2)Comisia poate, prin intermediul unor acte de punere în aplicare, să stabilească numere de referinţă ale standardelor pentru dispozitivele de creare a semnăturilor electronice calificate. În cazul în care un dispozitiv de creare a semnăturilor electronice calificat îndeplineşte standardele respective, se presupune că acesta respectă cerinţele prevăzute în anexa II. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la art. 48 alineatul (2).
Art. 29a: Cerinţe privind un serviciu calificat pentru gestionarea dispozitivelor calificate de creare a semnăturii electronice la distanţă
(1)Gestionarea dispozitivelor calificate de creare a semnăturii electronice la distanţă în calitate de serviciu calificat se efectuează numai de către un prestator de servicii de încredere calificat care:
a)generează sau gestionează datele de creare a semnăturilor electronice în numele semnatarului;
b)în pofida punctului 1 litera (d) din anexa II, duplică datele de creare a semnăturilor electronice numai în scopul creării unei copii de rezervă, cu condiţia să fie îndeplinite următoarele cerinţe:
(i)securitatea seturilor de date duplicate trebuie să fie la acelaşi nivel ca pentru seturile de date originale;
(ii)numărul seturilor de date duplicate nu depăşeşte minimul necesar pentru a asigura continuitatea serviciului;
c)respectă toate cerinţele identificate în raportul de certificare a dispozitivului calificat specific de creare a semnăturii electronice la distanţă, emis în temeiul articolului 30.
(2)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri în scopul aplicării alineatului (1) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 30: Certificarea dispozitivelor de creare a semnăturilor electronice calificate
(1)Conformitatea dispozitivelor de creare a semnăturii electronice calificate cu cerinţele prevăzute în anexa II este certificată de organisme publice sau private adecvate desemnate de statele membre.
(2)Statele membre notifică Comisiei denumirile şi adresele organismului public sau privat menţionat la alineatul (1). Comisia pune informaţiile respective la dispoziţia statelor membre.
(3)Certificarea menţionată la alineatul (1) se bazează pe unul dintre următoarele elemente:
a)un proces de evaluare de securitate efectuat în conformitate cu unul dintre standardele pentru evaluarea securităţii produselor din domeniul tehnologiei informaţiei incluse în lista instituită în conformitate cu al doilea paragraf; sau
b)un alt proces decât procesul prevăzut la litera (a), cu condiţia ca acest proces să utilizeze niveluri de securitate comparabile şi ca organismul public sau privat menţionat la alineatul (1) să notifice Comisiei respectivul proces. Procesul respectiv poate fi utilizat numai în absenţa standardelor menţionate la litera (a) sau dacă un proces de evaluare de securitate menţionat la litera (a) este în curs de desfăşurare.
Comisia stabileşte, prin intermediul unor acte de punere în aplicare, lista standardelor pentru evaluarea de securitate a produselor din domeniul tehnologiei informaţiei menţionate la litera (a). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la art. 48 alineatul (2).
(31)Perioada de valabilitate a certificării menţionate la alineatul (1) nu depăşeşte cinci ani, cu condiţia efectuării unei evaluări a vulnerabilităţilor la fiecare doi ani. În cazul în care sunt identificate vulnerabilităţi şi acestea nu sunt remediate, certificarea este anulată.
(4)Comisia este împuternicită să adopte acte delegate în conformitate cu art. 47 privind stabilirea de criterii specifice care urmează să fie îndeplinite de către organismele desemnate menţionate la alineatul (1) de la prezentul articol.
Art. 31: Publicarea unei liste a dispozitivelor de creare a semnăturilor electronice certificate şi calificate
(1)Statele membre notifică Comisiei, fără întârzieri nejustificate şi în termen de maximum o lună de la încheierea certificării, informaţii cu privire la dispozitivele de creare a semnăturilor electronice calificate care au fost certificate de către organismele menţionate la art. 30 alineatul (1). De asemenea, statele membre notifică Comisiei, fără întârziere şi în termen de maximum o lună de la anularea certificării, informaţii cu privire la dispozitivele de creare a semnăturii electronice care nu mai sunt certificate.
(2)Pe baza informaţiilor primite, Comisia stabileşte, publică şi menţine o listă a dispozitivelor de creare a semnăturilor electronice certificate şi calificate.
(3)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, formatele şi procedurile aplicabile în vederea îndeplinirii cerinţelor prevăzute la alineatul (1) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 32: Cerinţe pentru validarea semnăturilor electronice calificate
(1)Procesul de validare a unei semnături electronice calificate confirmă validitatea unei semnături electronice calificate cu următoarele condiţii:
a)certificatul care stă la baza semnăturii a fost, la momentul semnării, un certificat calificat pentru semnătura electronică în conformitate cu anexa I;
b)certificatul calificat a fost emis de un prestator de servicii de încredere calificat şi a fost valabil în momentul semnării;
c)datele de validare a semnăturilor corespund datelor furnizate de beneficiar;
d)setul unic de date care reprezintă semnatarul în certificat este furnizat corect beneficiarului;
e)utilizarea vreunui pseudonim este indicată clar beneficiarului în cazul în care la momentul semnării s-a folosit un pseudonim;
f)semnătura electronică a fost creată printr-un dispozitiv de creare a semnăturilor electronice calificat;
g)integritatea datelor semnate nu a fost compromisă;
h)cerinţele prevăzute la art. 26 au fost îndeplinite la momentul semnării.
În cazul în care validarea semnăturilor electronice calificate respectă standardele, specificaţiile şi procedurile menţionate la alineatul (3), se prezumă că sunt respectate cerinţele prevăzute la primul paragraf de la prezentul alineat.
(2)Sistemul utilizat pentru validarea semnăturii electronice calificate furnizează beneficiarului rezultatul corect al procesului de validare şi permite beneficiarului să detecteze orice aspect relevant pentru securitate.
(3)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru validarea semnăturilor electronice calificate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 32a: Cerinţe pentru validarea semnăturilor electronice avansate bazate pe certificate calificate
(1)Prin procesul de validare a unei semnături electronice avansate bazate pe un certificat calificat se confirmă validitatea semnăturii electronice avansate bazate pe un certificat calificat în următoarele condiţii:
a)certificatul care stă la baza semnăturii să fi fost, la momentul semnării, un certificat calificat pentru semnătura electronică conform cu anexa I;
b)certificatul calificat să fi fost emis de un prestator de servicii de încredere calificat şi să fi fost valabil la momentul semnării;
c)datele de validare a semnăturii să corespundă datelor furnizate de beneficiar;
d)setul unic de date care reprezintă semnatarul în certificat să fie furnizat corect beneficiarului;
e)în cazul în care la momentul semnării s-a folosit un pseudonim, utilizarea acestuia să fie indicată clar beneficiarului;
f)integritatea datelor semnate să nu fi fost compromisă;
g)cerinţele prevăzute la articolul 26 să fi fost îndeplinite la momentul semnării.
(2)Sistemul utilizat pentru validarea semnăturii electronice avansate bazate pe un certificat calificat furnizează beneficiarului rezultatul corect al procesului de validare şi permite beneficiarului să detecteze orice aspect relevant pentru securitate.
(3)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru validarea semnăturilor electronice avansate bazate pe certificate calificate. În cazul în care validarea semnăturii electronice avansate bazate pe certificate calificate îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele prevăzute la alineatul (1) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 33: Serviciul calificat de validare a semnăturilor electronice calificate
(1)Un serviciu calificat de validare a semnăturilor electronice calificate poate fi prestat numai de către un prestator de servicii de încredere calificat care:
a)realizează validarea în conformitate cu art. 32 alineatul (1); şi
b)permite beneficiarilor să primească rezultatul procesului de validare în mod automat, fiabil, eficient şi care poartă semnătura electronică avansată sau sigiliul electronic avansat al prestatorului care oferă serviciul de validare calificat.
(2)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru serviciul calificat de validare menţionat la alineatul (1) de la prezentul articol. În cazul în care serviciul calificat de validare pentru semnături electronice calificate îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele de la alineatul (1) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 34: Serviciul calificat de păstrare a semnăturilor electronice calificate
(1)Un serviciu calificat de păstrare a semnăturilor electronice calificate poate fi prestat numai de către un prestator de servicii de încredere calificat care utilizează proceduri şi tehnologii capabile să extindă fiabilitatea semnăturilor electronice calificate dincolo de perioada de validitate tehnologică.
(11)În cazul în care dispoziţiile privind serviciul calificat de păstrare a semnăturilor electronice calificate îndeplinesc standardele, specificaţiile şi procedurile menţionate la alineatul (2), se prezumă că sunt respectate cerinţele prevăzute la alineatul (1).
(2)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru serviciul calificat de păstrare a semnăturilor electronice calificate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 35: Efectele juridice ale sigiliilor electronice
(1)Unui sigiliu electronic nu i se refuză efectul juridic şi posibilitatea de a fi acceptat ca probă în procedurile judiciare doar din motiv că acesta este sub formă electronică sau că nu îndeplineşte cerinţele pentru sigiliile electronice calificate.
(2)Un sigiliu electronic calificat beneficiază de prezumţia integrităţii datelor şi a corectitudinii originii respectivelor date la care se referă sigiliul electronic calificat.
(3)[textul din Art. 35, alin. (3) din capitolul III, sectiunea 5 a fost abrogat la 20-mai-2024 de Art. 1, punctul 35. din Regulamentul 1183/11-apr-2024]
Art. 36: Cerinţele pentru sigiliile electronice avansate
(1)Un sigiliu electronic avansat îndeplineşte următoarele cerinţele:
a)face trimitere exclusiv la creatorul sigiliului;
b)permite identificarea creatorului sigiliului;
c)este creat cu ajutorul datelor de creare a sigiliilor electronice pe care creatorul sigiliului le poate utiliza sub controlul său, cu un nivel ridicat de încredere, pentru crearea sigiliilor electronice; şi
d)este legat de datele la care se raportează astfel încât orice modificare ulterioară a datelor poate fi detectată.
(2)Până la 21 mai 2026, Comisia evaluează dacă este necesar să adopte acte de punere în aplicare prin care să stabilească o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru sigiliile electronice avansate. Pe baza rezultatului evaluării respective, Comisia poate adopta astfel de acte de punere în aplicare. În cazul în care un sigiliu electronic avansat îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele privind sigiliile electronice avansate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 37: Sigiliile electronice în cadrul serviciilor publice
(1)În cazul în care un stat membru solicită un sigiliu electronic avansat pentru utilizarea în cadrul unui serviciu online prestat de către un organism din sectorul public sau în numele acestuia, respectivul stat membru recunoaşte sigiliile electronice avansate, sigiliile electronice avansate bazate pe un certificat calificat pentru sigilii electronice şi sigiliile electronice calificate care întrebuinţează cel puţin formatele sau metodele definite în actele de punere în aplicare menţionate la alineatul (5).
(2)În cazul în care un stat membru solicită un sigiliu electronic bazat pe un certificat calificat pentru utilizarea în cadrul unui serviciu online prestat de către un organism din sectorul public sau în numele acestuia, respectivul stat membru recunoaşte sigiliile electronice avansate bazate pe un certificat calificat şi sigiliile electronice calificate care întrebuinţează cel puţin formatele sau metodele definite în actele de punere în aplicare menţionate la alineatul (5).
(3)Statele membre nu solicită un sigiliu electronic la un nivel de securitate mai ridicat decât cel al sigiliului electronic calificat pentru utilizarea transfrontalieră a unui serviciu online prestat de un organism din sectorul public.
(4)[textul din Art. 37, alin. (4) din capitolul III, sectiunea 5 a fost abrogat la 20-mai-2024 de Art. 1, punctul 37. din Regulamentul 1183/11-apr-2024]
(5)Până la 18 septembrie 2015 şi ţinând cont de practicile, standardele şi actele juridice ale Uniunii existente, Comisia defineşte, prin intermediul unor acte de punere în aplicare, formate de referinţă ale sigiliilor electronice avansate sau metode de referinţă, în cazul în care sunt utilizate formate alternative. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la art. 48 alineatul (2).
Art. 38: Certificate calificate pentru sigiliul electronic
(1)Certificatele calificate pentru sigiliile electronice îndeplinesc cerinţele prevăzute în anexa III.
(2)Certificatele calificate pentru sigiliile electronice nu fac obiectul niciunei cerinţe obligatorii în plus faţă de cerinţele prevăzute în anexa III.
(3)Certificatele calificate pentru sigiliile electronice pot include atribute specifice suplimentare facultative. Aceste atribute nu afectează interoperabilitatea şi recunoaşterea sigiliilor electronice calificate.
(4)În cazul în care un certificat calificat pentru un sigiliu electronic a fost revocat după activarea iniţială, acesta îşi pierde valabilitatea din momentul în care a fost revocat şi nu se revine în niciun caz la statutul său anterior.
(5)Sub rezerva următoarelor condiţii, statele membre pot să stabilească norme interne cu privire la suspendarea temporară a certificatelor calificate pentru sigiliile electronice:
a)în cazul în care un certificat calificat pentru sigilii electronice a fost suspendat temporar, respectivul certificat îşi pierde valabilitatea pe parcursul perioadei de suspendare;
b)perioada de suspendare este clar indicată în baza de date privind certificatele şi statutul de suspendat este vizibil, pe perioada suspendării, din serviciul care oferă informaţii privind statutul certificatului.
(6)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru certificatele calificate pentru sigiliul electronic. În cazul în care un certificat calificat pentru sigiliul electronic îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele prevăzute în anexa III. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 39: Dispozitive de creare a sigiliilor electronice calificate
(1)Art. 29 se aplică mutatis mutandis cerinţelor pentru dispozitivele de creare a sigiliilor electronice calificate.
(2)Art. 30 se aplică mutatis mutandis certificării dispozitivelor de creare a sigiliilor electronice calificate.
(3)Art. 31 se aplică mutatis mutandis publicării unei liste a dispozitivelor de creare a sigiliilor electronice certificate şi calificate.
Art. 39a: Cerinţe privind un serviciu calificat pentru gestionarea dispozitivelor calificate de creare a sigiliului electronic la distanţă
- Articolul 29a se aplică mutatis mutandis unui serviciu calificat pentru gestionarea dispozitivelor calificate de creare a sigiliului electronic la distanţă.
Art. 40: Validarea şi păstrarea sigiliilor electronice calificate
Articolele 32, 33 şi 34 se aplică mutatis mutandis validării şi păstrării sigiliilor electronice calificate.
Art. 40a: Cerinţe pentru validarea sigiliilor electronice avansate bazate pe certificate calificate
- Articolul 32a se aplică mutatis mutandis validării sigiliilor electronice avansate bazate pe certificate calificate.
Art. 41: Efectul juridic al mărcilor temporale electronice
(1)Unei mărci temporale electronice nu i se refuză efectul juridic şi posibilitatea de a fi acceptată ca probă în procedurile judiciare doar din motiv că aceasta este sub formă electronică sau că nu îndeplineşte cerinţele pentru marca temporală electronică calificată.
(2)O marcă temporală electronică calificată beneficiază de prezumţia corectitudinii datei şi orei pe care le indică şi a integrităţii datelor la care se raportează data şi ora indicate.
(3)[textul din Art. 41, alin. (3) din capitolul III, sectiunea 6 a fost abrogat la 20-mai-2024 de Art. 1, punctul 41. din Regulamentul 1183/11-apr-2024]
Art. 42: Cerinţe pentru mărcile temporale electronice calificate
(1)O marcă temporală electronică calificată îndeplineşte următoarele cerinţe:
a)asigură o legătură între dată şi oră şi date astfel încât să excludă în mod rezonabil posibilitatea ca datele să fie schimbate fără ca acest lucru să fie detectat;
b)se bazează pe o sursă de timp precisă, legată de ora universală coordonată; şi
c)este semnată utilizând o semnătură electronică avansată sau sigilată cu un sigiliu electronic avansat al prestatorului de servicii de încredere calificat sau printr-o metodă echivalentă.
(11)În cazul în care legătura dintre dată şi oră şi date şi exactitatea sursei orei indicate îndeplinesc standardele, specificaţiile şi procedurile menţionate la alineatul (2), se prezumă că sunt respectate cerinţele prevăzute la alineatul (1).
(2)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru legătura dintre dată şi oră şi date şi pentru stabilirea exactităţii surselor orei indicate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 43: Efectul juridic al unui serviciu de distribuţie electronică înregistrată
(1)Datelor trimise şi primite prin utilizarea unui serviciu de distribuţie electronică înregistrată nu li se refuză efectul juridic şi posibilitatea de a fi acceptate ca dovadă în procedurile judiciare doar din motiv că acesta este sub formă electronică sau că nu îndeplineşte cerinţele pentru serviciul de distribuţie electronică înregistrată.
(2)Datele trimise şi primite utilizând un serviciu de distribuţie electronică înregistrată beneficiază de prezumţia integrităţii datelor, a trimiterii datelor respective de către expeditorul identificat şi a primirii acestora de către destinatarul identificat şi a preciziei datei şi orei trimiterii şi primirii datelor indicate de serviciul de distribuţie electronică înregistrată.
Art. 44: Cerinţe pentru serviciile de distribuţie electronică înregistrată calificate
(1)Serviciile de distribuţie electronică înregistrată calificate îndeplinesc următoarele cerinţe:
a)sunt prestate de către unul sau mai mulţi prestatori de servicii de încredere calificaţi;
b)asigură identificarea expeditorului cu un nivel de încredere ridicat;
c)asigură identificarea destinatarului înainte de furnizarea datelor;
d)trimiterea şi primirea datelor este securizată printr-o semnătură electronică avansată sau un sigiliu electronic avansat al prestatorului de servicii de încredere calificat astfel încât să se excludă posibilitatea ca datele să fie schimbate fără ca acest lucru să fie detectat;
e)orice modificare a datelor necesare în scopul de a trimite sau primi datele este clar indicată expeditorului şi destinatarului datelor;
f)data şi ora trimiterii, primirii şi ale oricărei modificări a datelor este indicată printr-o marcă temporală electronică calificată.
În cazul datelor transferate între doi sau mai mulţi prestatori de servicii de încredere, cerinţele de la literele (a)-(f) se aplică tuturor prestatorilor de servicii de încredere calificaţi.
(11)În cazul în care procesul de trimitere şi primire de date îndeplineşte standardele, specificaţiile şi procedurile menţionate la alineatul (2), se prezumă că sunt respectate cerinţele prevăzute la alineatul (1).
(2)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru procesele de trimitere şi primire de date. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
(21)Prestatorii de servicii de distribuţie electronică înregistrată calificate pot conveni asupra interoperabilităţii dintre serviciile de distribuţie electronică înregistrată calificate pe care le prestează. Un astfel de cadru de interoperabilitate respectă cerinţele prevăzute la alineatul (1), iar respectarea acestor cerinţe este confirmată de un organism de evaluare a conformităţii.
(22)Comisia poate stabili, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru cadrul de interoperabilitate menţionat la alineatul (2a) de la prezentul articol. Specificaţiile tehnice şi conţinutul standardelor sunt eficiente din punctul de vedere al costurilor şi proporţionale. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 45: Cerinţe pentru certificatele calificate pentru autentificarea unui site internet
(1)Certificatele calificate pentru autentificarea unui site internet îndeplinesc cerinţele prevăzute în anexa IV. Evaluarea conformităţii cu aceste cerinţe se efectuează în conformitate cu standardele, specificaţiile şi procedurile menţionate la alineatul (2) de la prezentul articol.
(11)Certificatele calificate pentru autentificarea unui site internet emise în conformitate cu alineatul (1) de la prezentul articol sunt recunoscute de furnizorii de browsere web. Furnizorii de browsere web asigură faptul că datele de identitate atestate în certificat şi atributele suplimentare atestate sunt afişate într-un mod uşor de recunoscut de către utilizator. Furnizorii de browsere web asigură suport şi interoperabilitate cu certificatele calificate pentru autentificarea unui site internet menţionate la alineatul (1) de la prezentul articol, cu excepţia microîntreprinderilor sau a întreprinderilor mici, astfel cum sunt definite la articolul 2 din anexa la Recomandarea 2003/361/CE, în primii cinci ani de funcţionare ca prestatori de servicii de navigare pe internet.
(12)Certificatele calificate pentru autentificarea unui site internet nu fac obiectul niciunei cerinţe obligatorii în plus faţă de cerinţele prevăzute la alineatul (1).
(2)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru certificatele calificate pentru autentificarea unui site internet menţionate la alineatul (1) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 45a: Măsuri de precauţie în materie de securitate cibernetică
(1)Furnizorii de browsere web nu iau nicio măsură contrară obligaţiilor lor prevăzute la articolul 45, în special cerinţelor de recunoaştere a certificatelor calificate pentru autentificarea unui site internet şi de afişare a datelor de identitate furnizate într-un mod uşor de recunoscut de către utilizator.
(2)Prin derogare de la alineatul (1) şi numai în cazul unor suspiciuni motivate legate de încălcări ale securităţii sau de pierderea integrităţii unui certificat identificat sau a unui set de certificate identificate, furnizorii de browsere web pot lua măsuri de precauţie în legătură cu respectivul certificat sau set de certificate.
(3)În cazul în care un furnizor de browsere web ia măsuri de precauţie conform alineatului (2), furnizorul de browsere web îşi notifică suspiciunile în scris, fără întârzieri nejustificate, împreună cu o descriere a măsurilor luate pentru a remedia aceste suspiciuni, Comisiei, organismului de supraveghere competent, entităţii căreia i-a fost emis certificatul şi prestatorului de servicii de încredere calificat care a emis certificatul sau setul de certificate. La primirea unei astfel de notificări, organismul de supraveghere competent emite furnizorului de browsere web în cauză o confirmare de primire.
(4)Organismul de supraveghere competent investighează, în conformitate cu articolul 46b alineatul (4) litera (k), aspectele prezentate în notificare. În cazul în care rezultatul investigaţiei respective nu are ca rezultat retragerea statutului de calificat al certificatului, organismul de supraveghere informează furnizorul de browsere web în consecinţă şi îi solicită acestuia să pună capăt măsurilor de precauţie menţionate la alineatul (2) de la prezentul articol.
Art. 45b: Efectele juridice ale atestatului electronic al atributelor
(1)Unui atestat electronic al atributelor nu i se refuză efectul juridic sau posibilitatea de a fi acceptat ca mijloc de probă în procedurile judiciare doar pentru motivul că acesta este în format electronic sau că nu îndeplineşte cerinţele privind atestatele electronice calificate ale atributelor.
(2)Un atestat electronic calificat al atributelor şi atestatele atributelor emise de un organism din sectorul public responsabil de o sursă autentică sau în numele unui astfel de organism au acelaşi efect juridic ca atestatele emise în mod legal în format tipărit.
(3)Un atestat al atributelor emis de un organism din sectorul public responsabil de o sursă autentică într-un stat membru sau în numele unui astfel de organism este recunoscut drept un atestat al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele unui astfel de organism în toate statele membre.
Art. 45c: Atestatul electronic al atributelor în serviciile publice
Atunci când identificarea electronică cu ajutorul unui mijloc de identificare electronică şi al autentificării este obligatorie în temeiul dreptului intern pentru a accesa un serviciu prestat online de un organism din sectorul public, datele de identificare personală din atestatul electronic al atributelor nu înlocuiesc identificarea electronică cu ajutorul unui mijloc de identificare electronică şi al autentificării pentru identificarea electronică, cu excepţia cazului în care acest lucru este permis în mod expres de statul membru. Într-un astfel de caz, se acceptă, de asemenea, atestatul electronic calificat al atributelor din alte state membre.
Art. 45d: Cerinţe privind atestatul electronic calificat al atributelor
(1)Atestatul electronic calificat al atributelor îndeplineşte cerinţele prevăzute în anexa V.
(2)Evaluarea conformităţii cu cerinţele prevăzute în anexa V se efectuează în conformitate cu standardele, specificaţiile şi procedurile menţionate la alineatul (5) de la prezentul articol.
(3)Atestatele electronice calificate ale atributelor nu fac obiectul niciunei cerinţe obligatorii în plus faţă de cerinţele prevăzute în anexa V.
(4)În cazul în care un atestat electronic calificat al atributelor este revocat după emiterea iniţială, acesta îşi pierde valabilitatea din momentul revocării şi nu se poate reveni în niciun caz la statutul său anterior.
(5)Până la 21 noiembrie 2024, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind atestatele electronice calificate ale atributelor. Actele de punere în aplicare respective sunt în concordanţă cu actele de punere în aplicare menţionate la articolul 5a alineatul (23) privind implementarea portofelului european pentru identitatea digitală. Acestea se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 45e: Verificarea atributelor în raport cu surse autentice
(1)În termen de 24 de luni de la data intrării în vigoare a actelor de punere în aplicare menţionate la articolul 5a alineatul (23) şi la articolul 5c alineatul (6), statele membre se asigură că, cel puţin în cazul atributelor enumerate în anexa VI, ori de câte ori respectivele atribute se bazează pe surse autentice din sectorul public, se iau măsuri pentru a permite prestatorilor de servicii de încredere calificaţi care pun la dispoziţie atestate electronice ale atributelor să verifice respectivele atribute prin mijloace electronice, la cererea utilizatorului, în conformitate cu dreptul Uniunii sau cu dreptul intern.
(2)Până la 21 noiembrie 2024, ţinând seama de standardele internaţionale relevante, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru catalogul de atribute, precum şi sisteme pentru atestarea atributelor şi procedurile de verificare pentru atestatele electronice calificate ale atributelor în sensul alineatului (1) de la prezentul articol. Actele de punere în aplicare respective sunt în concordanţă cu actele de punere în aplicare menţionate la articolul 5a alineatul (23) privind implementarea portofelului european pentru identitatea digitală şi se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 45f: Cerinţe privind atestatul electronic al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele unui astfel de organism
(1)Un atestat electronic al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele unui astfel de organism îndeplineşte următoarele cerinţe:
a)cerinţele prevăzute în anexa VII;
b)cerinţa ca certificatul calificat care stă la baza semnăturii electronice calificate sau a sigiliului electronic calificat al organismului din sectorul public menţionat la articolul 3 punctul 46, identificat drept emitentul menţionat la litera (b) din anexa VII, să conţină un set specific de atribute certificate într-o formă adecvată pentru prelucrarea automată, care:
(i)indică faptul că organismul emitent este înfiinţat în conformitate cu dreptul Uniunii sau cu dreptul intern ca fiind responsabil de sursa autentică pe baza căreia este emis atestatul electronic al atributelor sau ca organism desemnat să acţioneze în numele acestuia;
(ii)furnizează un set de date care reprezintă fără ambiguitate sursa autentică menţionată la punctul (i); şi
(iii)identifică dreptul Uniunii sau dreptul intern menţionat la punctul (i).
(2)Statul membru în care sunt stabilite organismele din sectorul public menţionate la articolul 3 punctul 46 se asigură că organismele din sectorul public care emit atestate electronice ale atributelor au un nivel de fiabilitate şi încredere echivalent cu cel al prestatorilor de servicii de încredere calificaţi, în conformitate cu articolul 24.
(3)Statele membre notifică Comisiei organismele din sectorul public menţionate la articolul 3 punctul 46. Notificarea respectivă include un raport de evaluare a conformităţii emis de un organism de evaluare a conformităţii care confirmă că sunt îndeplinite cerinţele prevăzute la alineatele (1), (2) şi (6) de la prezentul articol. Comisia pune la dispoziţia publicului, printr-un canal sigur, lista organismelor din sectorul public menţionate la articolul 3 punctul 46, într-o formă purtând o semnătură electronică sau un sigiliu electronic, adecvată pentru prelucrarea automată.
(4)În cazul în care un atestat electronic al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele unui astfel de organism este revocat după emiterea iniţială, acesta îşi pierde valabilitatea din momentul revocării şi nu se mai poate reveni la statutul anterior revocării.
(5)În cazul în care un atestat electronic al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele unui astfel de organism îndeplineşte standardele, specificaţiile şi procedurile menţionate la alineatul (6), se prezumă că sunt respectate cerinţele prevăzute la alineatul (1).
(6)Până la 21 noiembrie 2024, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind atestatul electronic al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele unui astfel de organism. Actele de punere în aplicare respective sunt în concordanţă cu actele de punere în aplicare menţionate la articolul 5a alineatul (23) privind implementarea portofelului european pentru identitatea digitală. Acestea se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
(7)Până la 21 noiembrie 2024, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri în sensul alineatului (3) de la prezentul articol. Actele de punere în aplicare respective sunt în concordanţă cu actele de punere în aplicare menţionate la articolul 5a alineatul (23) privind implementarea portofelului european pentru identitatea digitală. Acestea se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
(8)Organismele din sectorul public menţionate la articolul 3 punctul 46 care emit atestate electronice ale atributelor pun la dispoziţie o interfaţă cu portofelele europene pentru identitatea digitală care sunt furnizate în conformitate cu articolul 5a.
Art. 45g: Emiterea atestatului electronic al atributelor pentru portofelele europene pentru identitatea digitală
(1)Furnizorii de atestate electronice ale atributelor oferă utilizatorilor portofelului european pentru identitatea digitală posibilitatea de a solicita, de a obţine, de a stoca şi de a gestiona atestatul electronic al atributelor indiferent de statele membre în care este furnizat portofelul european pentru identitatea digitală.
(2)Furnizorii de atestate electronice calificate ale atributelor pun la dispoziţie o interfaţă cu portofelele europene pentru identitatea digitală care sunt furnizate în conformitate cu articolul 5a.
Art. 45h: Norme suplimentare privind prestarea serviciilor de atestare electronică a atributelor
(1)Prestatorii serviciilor de atestare electronică calificată şi necalificată a atributelor nu combină datele cu caracter personal referitoare la prestarea serviciilor respective cu datele cu caracter personal care provin din orice alte servicii oferite de ei sau de partenerii lor comerciali.
(2)Datele cu caracter personal referitoare la prestarea serviciilor de atestare electronică a atributelor sunt păstrate separate logic de alte date deţinute de furnizorul atestatului electronic al atributelor.
(3)Prestatorii de servicii de atestare electronică calificată a atributelor pun în aplicare prestarea unor astfel de servicii de încredere calificate într-un mod care este separat din punct de vedere funcţional de alte servicii pe care le prestează.
Art. 45i: Efectul juridic al serviciilor de arhivare electronică
(1)Datelor electronice şi documentelor electronice păstrate prin utilizarea unui serviciu de arhivare electronică nu li se refuză efectul juridic sau posibilitatea de a fi acceptate ca probă în procedurile judiciare doar pentru motivul că acestea sunt în format electronic sau că nu sunt păstrate prin utilizarea unui serviciu calificat de arhivare electronică.
(2)Datele electronice şi documentele electronice păstrate prin utilizarea unui serviciu calificat de arhivare electronică beneficiază de prezumţia de integritate şi de acurateţe a originii pe toată durata perioadei de păstrare de către prestatorul de servicii de încredere calificat.
Art. 45j: Cerinţe privind serviciile calificate de arhivare electronică
(1)Serviciile calificate de arhivare electronică îndeplinesc următoarele cerinţe:
a)sunt prestate de prestatori de servicii de încredere calificaţi;
b)utilizează proceduri şi tehnologii capabile să asigure durabilitatea şi lizibilitatea datelor electronice şi a documentelor electronice dincolo de perioada de valabilitate tehnologică şi cel puţin pe toată perioada de păstrare legală sau contractuală, menţinându-le totodată integritatea şi acurateţea originii;
c)garantează că respectivele date electronice şi documente electronice sunt păstrate astfel încât să fie protejate împotriva pierderii şi modificării, cu excepţia modificărilor privind suportul lor sau formatul lor electronic;
d)permit beneficiarilor autorizaţi să primească în mod automat un raport care confirmă faptul că datele electronice şi documentele electronice extrase dintr-o arhivă electronică calificată beneficiază de prezumţia de integritate a datelor de la începutul perioadei de păstrare până în momentul extragerii.
Raportul menţionat la litera (d) de la primul paragraf este furnizat într-un mod fiabil şi eficient şi poartă semnătura electronică calificată sau sigiliul electronic calificat al prestatorului serviciului calificat de arhivare electronică.
(2)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind serviciile calificate de arhivare electronică. În cazul în care un serviciu calificat de arhivare electronică îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele privind serviciile calificate de arhivare electronică. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).
Art. 45k: Efectele juridice ale registrelor electronice
(1)Unui registru electronic nu i se refuză efectul juridic sau posibilitatea de a fi acceptat ca mijloc de probă în procedurile judiciare doar pentru motivul că acesta este în format electronic sau că nu îndeplineşte cerinţele pentru registrele electronice calificate.
(2)Înregistrările de date cuprinse într-un registru electronic calificat beneficiază de prezumţia ordonării lor cronologice secvenţiale unice şi exacte şi de prezumţia de integritate.
Art. 45l: Cerinţe privind registrele electronice calificate
(1)Registrele electronice calificate îndeplinesc următoarele cerinţe:
a)sunt create şi gestionate de unul sau mai mulţi prestatori de servicii de încredere calificaţi;
b)stabilesc originea înregistrărilor de date din registru;
c)asigură ordonarea cronologică secvenţială unică a înregistrărilor de date din registru;
d)înregistrează datele astfel încât orice modificare a lor ulterioară să poată fi detectată imediat, asigurând integritatea datelor în timp.
(2)În cazul în care registrul electronic îndeplineşte standardele, specificaţiile şi procedurile menţionate la alineatul (3), se prezumă că sunt respectate cerinţele prevăzute la alineatul (1).
(3)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind cerinţele prevăzute la alineatul (1) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).