Regulamentul 910/23-iul-2014 privind identificarea electronică şi serviciile de încredere pentru tranzacţiile electronice pe piaţa internă şi de abrogare a Directivei 1999/93/CE

Acte UE

Jurnalul Oficial 257L

În vigoare

Versiune de la: 20 Mai 2024 până la: 17 Octombrie 2024

Dată act: 23-iul-2014

Emitent: Consiliul Uniunii Europene;Parlamentul European

(3)Directiva 1999/93/CE a Parlamentului European şi a Consiliului (³) reglementa semnăturile electronice fără să ofere un cadru transfrontalier şi intersectorial cuprinzător pentru tranzacţii electronice sigure, demne de încredere şi uşor de folosit. Prezentul regulament consolidează şi extinde acquis-ul din respectiva directivă.

(4)Comunicarea Comisiei din 26 august 2010 intitulată „Agenda digitală pentru Europa” a identificat fragmentarea pieţei digitale, lipsa interoperabilităţii şi creşterea criminalităţii informatice ca obstacole majore în calea cercului virtuos al economiei digitale. În raportul său privind cetăţenia UE în 2010, intitulat „Eliminarea obstacolelor din calea drepturilor cetăţenilor Uniunii”, Comisia a scos în evidenţă, de asemenea, necesitatea de a soluţiona principalele probleme care îi împiedică pe cetăţenii europeni să beneficieze de avantajele unei pieţe unice digitale şi de serviciile digitale transfrontaliere.

(7)Parlamentul European în rezoluţia sa din 21 septembrie 2010 privind realizarea pieţei interne în ceea ce priveşte comerţul electronic (¹) a subliniat importanţa securităţii serviciilor electronice, în special a semnăturilor electronice, şi importanţa necesităţii de a crea o infrastructură publică cheie la nivel paneuropean şi a solicitat Comisiei să creeze un portal european al autorităţilor de validare pentru a asigura interoperabilitatea transfrontalieră a semnăturilor electronice şi pentru a creşte gradul de securitate a tranzacţiilor efectuate prin intermediul internetului.

(8)Directiva 2006/123/CE a Parlamentului European şi a Consiliului (²) solicită statelor membre să instituie „ghişee unice” pentru a se asigura că toate procedurile şi formalităţile cu privire la accesul la o activitate de servicii şi la exercitarea acesteia pot fi îndeplinite cu uşurinţă, de la distanţă şi prin mijloace electronice, prin intermediul ghişeului unic adecvat şi al autorităţilor adecvate. Multe servicii online accesibile prin intermediul ghişeelor unice necesită identificare, autentificare şi semnătură electronică.

(9)În majoritatea cazurilor, cetăţenii nu pot utiliza identificarea electronică pentru a-şi autentifica identitatea într-un alt stat membru din cauză că sistemele naţionale de identificare electronică din ţara lor nu sunt recunoscute în alte state membre. Respectiva barieră electronică împiedică prestatorii de servicii să se bucure pe deplin de avantajele oferite de piaţa internă. Mijloacele de identificare electronică recunoscute reciproc vor facilita prestarea transfrontalieră de numeroase servicii pe piaţa internă şi vor permite întreprinderilor să îşi extindă activitatea peste graniţe fără să se confrunte cu multe obstacole în interacţiunile cu autorităţile publice.

(10)Directiva 2011/24/UE a Parlamentului European şi a Consiliului (³) a instituit o reţea de autorităţi naţionale responsabile pentru e-sănătate. Pentru a spori siguranţa şi continuitatea asistenţei medicale transfrontaliere, reţeaua trebuie să elaboreze orientări privind accesul transfrontalier la datele şi serviciile legate de e-sănătate, inclusiv prin sprijinirea de „măsuri comune de identificare şi de autentificare pentru a facilita transferabilitatea datelor în cadrul asistenţei medicale transfrontaliere”. Recunoaşterea reciprocă a identificării şi autentificării electronice sunt esenţiale pentru ca asistenţa medicală transfrontalieră pentru cetăţenii europeni să devină o realitate. Când oamenii călătoresc în scopul realizării unui tratament, datele lor medicale trebuie să fie accesibile în ţara în care se realizează tratamentul. Acest lucru necesită un cadru de identificare electronică solid, sigur şi fiabil.

(11)Prezentul regulament ar trebui aplicat în deplină concordanţă cu principiile referitoare la protecţia datelor cu caracter personal prevăzute de Directiva 95/46/CE a Parlamentului European şi a Consiliului (⁴). În această privinţă, având în vedere principiul recunoaşterii reciproce instituit de prezentul regulament, autentificarea pentru un serviciu online ar trebui să vizeze numai prelucrarea acelor date de identificare care sunt adecvate şi relevante şi care nu sunt excesive în vederea acordării accesului la respectivul serviciu online. Mai mult, cerinţele prevăzute în Directiva 95/46/CE privind confidenţialitatea şi securitatea prelucrării ar trebui să fie respectate de către prestatorii de servicii de încredere şi de către organismele de supraveghere.

(12)Unul din obiectivele prezentului regulament este de a elimina barierele existente în calea utilizării transfrontaliere a mijloacelor de identificare electronică utilizate în statele membre pentru autentificare cel puţin pentru serviciile publice. Prezentul regulament nu urmăreşte să intervină în sistemele de gestionare a identităţii electronice şi infrastructurile conexe stabilite în statele membre. Obiectivul prezentului regulament este de a garanta că, pentru accesul la serviciile transfrontaliere online oferite de către statele membre, este posibilă identificarea şi autentificarea electronică sigură.

(13)Statele membre ar trebui să dispună în continuare de libertatea de a utiliza sau de a introduce, în scopuri de identificare electronică, mijloace pentru accesarea serviciilor online. Acestea ar trebui, de asemenea, să fie în măsură să decidă dacă să implice sectorul privat în furnizarea acestor mijloace. Statele membre nu ar trebui să fie obligate să notifice Comisiei sistemele lor de identificare electronică. Alegerea de a notifica Comisiei toate, unele sau niciunul dintre sistemele de identificare electronică utilizate la nivel naţional pentru a accesa cel puţin serviciile publice online sau serviciile specifice este la latitudinea statelor membre.

(14)Ar trebui stabilite în prezentul regulament unele condiţii cu privire la care mijloace de identificare electronică trebuie să fie recunoscute şi la modul în care sistemele de identificare electronică ar trebui să fie notificate. Aceste condiţii ar trebui să ajute statele membre să dobândească încrederea reciprocă necesară în sistemele lor de identificare electronică şi să recunoască reciproc mijloacele de identificare electronică care intră sub incidenţa sistemelor lor notificate. Ar trebui să se aplice principiul recunoaşterii reciproce în cazul în care sistemul de identificare electronică al statului membru care notifică îndeplineşte condiţiile de notificare, iar notificarea a fost publicată în Jurnalul Oficial al Uniunii Europene. Cu toate acestea, principiul recunoaşterii reciproce ar trebui să vizeze numai autentificarea pentru un serviciu online. Accesul la aceste servicii online şi furnizarea lor finală către solicitant ar trebui să fie strâns legate de dreptul de a primi astfel de servicii în condiţiile stabilite de legislaţia naţională.

(15)Obligaţia de recunoaştere a mijloacelor de identificare electronică ar trebui să se refere numai la mijloacele al căror nivel de asigurare a încrederii corespunde unui nivel egal sau mai ridicat decât nivelul necesar pentru serviciul online în cauză. În plus, această obligaţie ar trebui să se aplice numai în cazul în care organismul din sectorul public în cauză utilizează nivelul de asigurare „substanţial” sau „ridicat” în ceea ce priveşte accesul la serviciul online respectiv. Statele membre ar trebui să dispună în continuare, în conformitate cu dreptul Uniunii, de libertatea de a recunoaşte mijloacele de identificare electronică cu niveluri de asigurare a încrederii mai scăzute.

(16)Nivelurile de asigurare ar trebui să caracterizeze gradul de încredere în mijloacele de identificare electronică în stabilirea identităţii unei persoane, oferind astfel garanţia că persoana care pretinde o anumită identitate este într- adevăr persoana căreia i s-a atribuit respectiva identitate. Nivelul de asigurare depinde de gradul de încredere pe care îl oferă mijloacele de identificare electronică în legătură cu identitatea pretinsă sau declarată a unei persoane, ţinând seama de procese (de exemplu, dovedirea şi verificarea identităţii şi autentificarea), de activităţile de gestionare (de exemplu, entitatea care emite mijloacele de identificare electronică şi procedura de emitere a respectivelor mijloace) şi de controalele tehnice puse în aplicare. Există diferite definiţii tehnice şi descrieri ale nivelurilor de asigurare, ca urmare a proiectelor-pilot la scară largă finanţate de Uniune, a activităţilor de standardizare şi internaţionale. În special, proiectul-pilot la scară largă STORK şi ISO 29115 se referă, printre altele, la nivelurile 2, 3 şi 4, care ar trebui să fie luate cu prioritate în considerare în stabilirea cerinţelor tehnice minime, a standardelor şi procedurilor pentru nivelurile de asigurare scăzut, substanţial şi ridicat, în sensul prezentului regulament, asigurând, în acelaşi timp, aplicarea uniformă a prezentului regulament în special în ceea ce priveşte nivelul de asigurare ridicat în legătură cu dovedirea identităţii în vederea eliberării de certificate calificate. Cerinţele stabilite ar trebui să fie neutre din punct de vedere tehnologic. Ar trebui să fie posibilă realizarea cerinţelor de siguranţă necesare prin intermediul diferitelor tehnologii.

(17)Statele membre ar trebui să încurajeze sectorul privat să utilizeze în mod voluntar mijloace de identificare electronică în cadrul unui sistem notificat, în scopuri de identificare, atunci când este nevoie pentru servicii online sau pentru tranzacţii electronice. Posibilitatea de a utiliza aceste mijloace de identificare electronică ar permite sectorului privat să se bazeze pe identificarea şi autentificarea electronică deja utilizată pe scară largă în multe state membre cel puţin pentru serviciile publice şi să faciliteze accesul întreprinderilor şi cetăţenilor la serviciile lor online dincolo de frontiere. Pentru a facilita utilizarea acestor mijloace de identificare electronică dincolo de frontiere de către sectorul privat, posibilitatea de autentificare furnizată de orice stat membru ar trebui să fie disponibilă beneficiarilor din sectorul privat stabiliţi în afara teritoriului statului membru respectiv în aceleaşi condiţii ca cele aplicate beneficiarilor din sectorul privat stabiliţi în statul membru respectiv. Prin urmare, în ceea ce priveşte beneficiarii din sectorul privat, statul membru care notifică poate defini condiţiile de acces la mijloacele de autentificare. Aceste condiţii de acces pot stabili dacă mijloacele de autentificare aferente sistemului notificat sunt sau nu disponibile imediat pentru beneficiarii din sectorul privat.

(18)Prezentul regulament ar trebui să prevadă răspunderea statului membru care notifică, a părţii care emite mijloacele de identificare electronică şi a părţii care aplică procedura de autentificare în cazul neîndeplinirii obligaţiilor relevante în temeiul prezentului regulament. Cu toate acestea, prezentul regulament ar trebui să fie aplicat în conformitate cu normele de drept intern privind răspunderea. Prin urmare, aceasta nu aduce atingere respectivelor norme naţionale privind, de exemplu, definiţia prejudiciului sau normele de procedură aplicabile relevante, inclusiv sarcina probei.

(19)Securitatea sistemelor de identificare electronică este esenţială pentru recunoaşterea transfrontalieră reciprocă fiabilă a mijloacelor de identificare electronică. În acest context, statele membre ar trebui să coopereze în ceea ce priveşte securitatea şi interoperabilitatea sistemelor de identificare electronică la nivelul Uniunii. Ori de câte ori sistemele de identificare electronică necesită utilizarea unor elemente hardware sau software specifice de către beneficiari la nivel naţional, interoperabilitatea transfrontalieră necesită ca statele membre respective să nu impună astfel de cerinţe şi costuri aferente beneficiarilor stabiliţi în afara teritoriului lor. În acest caz, ar trebui examinate şi elaborate soluţii adecvate care să ţină seama de cadrul de interoperabilitate. Cu toate acestea, cerinţele tehnice care decurg din specificaţiile intrinsece ale mijloacelor naţionale de identificare electronică şi care sunt susceptibile de a afecta deţinătorii unor astfel de mijloace electronice (de exemplu, carduri cu memorie) sunt inevitabile.

(21)Prezentul regulament ar trebui, de asemenea, să stabilească un cadru juridic general pentru utilizarea serviciilor de încredere. Totuşi, acesta nu ar trebui să creeze o obligaţie generală de a le utiliza sau de a instala un punct de acces pentru toate serviciile de încredere existente. În special, acesta nu ar trebui să reglementeze prestarea de servicii utilizate exclusiv în cadrul sistemelor închise între un set definit de participanţi, care nu au niciun efect asupra părţilor terţe. De exemplu, sistemele instituite în întreprinderi sau în administraţiile publice pentru a gestiona procedurile interne care utilizează serviciile de încredere nu ar trebui să intre sub incidenţa cerinţelor din prezentul regulament. Doar serviciile de încredere prestate publicului având efecte asupra părţilor terţe ar trebui să îndeplinească cerinţele stabilite în regulament. Prezentul regulament nu ar trebui să reglementeze nici aspectele privind încheierea şi valabilitatea contractelor sau a altor obligaţii juridice, în cazul în care există cerinţe cu privire la formă prevăzute de dreptul intern sau al Uniunii. Mai mult, prezentul regulament nu ar trebui să afecteze cerinţele naţionale cu privire la formă aferente registrelor publice, în special registrelor comerţului şi cadastrelor.

(23)În măsura în care prezentul regulament creează o obligaţie de a recunoaşte un serviciu de încredere, respectivul serviciu de încredere poate fi respins numai dacă destinatarul obligaţiei nu este în măsură să îl citească sau să îl verifice din motive tehnice, care nu pot face obiectul controlului imediat al destinatarului. Cu toate acestea, această obligaţie în sine nu ar trebui să impună unui organism public să obţină elementele de hardware şi software necesare pentru lizibilitatea tehnică a tuturor serviciilor de încredere existente.

(29)În conformitate cu obligaţiile în temeiul Convenţiei Naţiunilor Unite privind drepturile persoanelor cu handicap, aprobată prin Decizia 2010/48/CE a Consiliului (¹), în special art. 9 din convenţie, persoanele cu handicap ar trebui să aibă posibilitatea de a utiliza serviciile de încredere şi produsele destinate utilizatorului final utilizate la prestarea serviciilor respective, în aceleaşi condiţii ca şi ceilalţi consumatori. Prin urmare, dacă este posibil, serviciile de încredere prestate şi produsele destinate utilizatorului final utilizate pentru prestarea serviciilor respective ar trebui să fie accesibile persoanelor cu handicap. Studiul de fezabilitate ar trebui să includă, printre altele, consideraţii tehnice şi economice.

(35)Toţi prestatorii de servicii de încredere ar trebui să facă obiectul cerinţelor prevăzute de prezentul regulament, în special al celor privind securitatea şi responsabilitatea de a asigura diligenţa necesară, transparenţa şi asumarea răspunderii pentru operaţiunile şi serviciile lor. Totuşi, ţinând seama de tipul de servicii prestate de prestatorii de servicii de încredere, este oportun să se facă o distincţie, în ceea ce priveşte cerinţele respective, între prestatorii de servicii de încredere calificaţi şi necalificaţi.

(36)Stabilirea unui regim de supraveghere pentru toţi prestatorii de servicii de încredere ar trebui să asigure condiţii de concurenţă echitabile în privinţa securităţii şi a asumării responsabilităţii pentru operaţiunile şi serviciile lor, contribuind astfel la protecţia utilizatorilor şi la funcţionarea pieţei interne. Prestatorii de servicii de încredere necalificaţi ar trebui să facă obiectul unor activităţi de supraveghere ex post lejere şi bazate pe reacţie, justificate de natura serviciilor şi a operaţiunilor lor. Prin urmare, organismul de supraveghere nu ar trebui să aibă nicio obligaţie generală de a supraveghea prestatorii de servicii necalificaţi. Organismul de supraveghere ar trebui să acţioneze doar în cazul în care este informat (de exemplu, de către prestatorul de servicii de încredere necalificat în persoană, de către un alt organism de supraveghere, printr-o notificare de la un utilizator sau un partener de afaceri sau pe baza propriilor investigaţii) că un prestator de servicii de încredere necalificat nu respectă cerinţele prezentului regulament.

(37)Prezentul regulament ar trebui să prevadă răspunderea tuturor prestatorilor de servicii de încredere. În special, regulamentul stabileşte un regim de răspundere în cadrul căruia toţi prestatorii de servicii de încredere ar trebui să fie răspunzători pentru prejudiciile aduse oricărei persoane fizice sau juridice din cauza nerespectării obligaţiilor care le revin în temeiul prezentului regulament. Pentru a facilita evaluarea riscului financiar pe care prestatorii de servicii de încredere l-ar putea avea de suportat sau pe care aceştia ar trebui să îl acopere prin intermediul poliţelor de asigurare, prezentul regulament permite prestatorilor de servicii de încredere să stabilească restricţii, în anumite condiţii, privind utilizarea serviciilor pe care le oferă şi îi scuteşte de răspunderea pentru prejudiciile rezultate din utilizarea serviciilor peste aceste restricţii. Clienţii ar trebui să fie informaţi în prealabil, în mod corespunzător, cu privire la restricţii. Aceste restricţii ar trebui să poată fi recunoscute de către o parte terţă, de exemplu prin includerea de informaţii cu privire la acestea în clauzele şi condiţiile aferente serviciului furnizat sau prin alte mijloace uşor de recunoscut. Pentru punerea în aplicare a acestor principii, prezentul regulament ar trebui aplicat în conformitate cu normele naţionale în materie de răspundere. Prin urmare, prezentul regulament nu aduce atingere normelor naţionale privind, de exemplu, definiţia prejudiciului, a intenţiei, a neglijenţei sau privind normele procedurale aplicabile relevante.

(40)Pentru a permite Comisiei şi statelor membre să evalueze eficienţa mecanismului de supraveghere consolidată introdus prin prezentul regulament, ar trebui să li se solicite organismelor de supraveghere să prezinte un raport cu privire la activităţile lor. Acest lucru ar contribui la facilitarea schimbului de bune practici între organismele de supraveghere şi ar asigura verificarea punerii în aplicare în mod consecvent şi eficient în toate statele membre a cerinţelor esenţiale privind supravegherea.

(43)Pentru a asigura respectarea de către prestatorii de servicii de încredere calificaţi a cerinţelor stabilite în prezentul regulament şi conformitatea serviciilor prestate de aceştia cu respectivele cerinţe, un organism de evaluare a conformităţii ar trebui să efectueze o evaluare a conformităţii, iar rapoartele de evaluare a conformităţii rezultate ar trebui transmise de prestatorii de servicii de încredere calificaţi către organismul de supraveghere. Atunci când organismul de supraveghere impune unui prestator de servicii de încredere calificat să prezinte un raport de evaluare a conformităţii ad hoc, organismul de supraveghere ar trebui să respecte, în special, principiile bunei administrări, inclusiv obligaţia de a-şi motiva deciziile, precum şi principiul proporţionalităţii. Prin urmare, organismul de supraveghere ar trebui să-şi motiveze în mod corespunzător decizia de a solicita o evaluare a conformităţii ad hoc.

(44)Prezentul regulament urmăreşte să asigure un cadru coerent cu scopul de a oferi un nivel înalt de siguranţă şi de securitate juridică a serviciilor de încredere. În acest sens, atunci când abordează evaluarea conformităţii produselor şi serviciilor, Comisia ar trebui, după caz, să identifice sinergii cu sistemele europene şi internaţionale relevante existente, cum ar fi Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului (¹) care stabileşte cerinţele de acreditare ale organismelor de evaluare a conformităţii şi de supraveghere a pieţei de produse.

(45)Pentru a permite un proces de iniţiere eficient, care ar trebui să ducă la includerea prestatorilor de servicii de încredere calificaţi şi a serviciilor de încredere calificate pe care le prestează în listele sigure, interacţiunile preliminare dintre potenţialii prestatori de servicii de încredere calificaţi şi organismul de supraveghere competent ar trebui să fie încurajate, în scopul facilitării diligenţei necesare care conduce la prestarea de servicii de încredere calificate.

(47)Încrederea în serviciile online şi facilitarea acestora sunt esenţiale pentru ca utilizatorii să beneficieze pe deplin de serviciile electronice şi să se bazeze în mod conştient pe acestea. În acest scop, ar trebui creată o marcă de încredere a UE cu scopul de a identifica serviciile de încredere calificate prestate de prestatori de servicii de încredere calificaţi. O astfel de marcă de încredere a UE pentru serviciile de încredere calificate ar diferenţia în mod clar serviciile de încredere calificate de alte servicii de încredere, contribuind astfel la transparenţa pe pieţei. Utilizarea unei mărci de încredere a UE de către prestatorii de servicii de încredere calificaţi ar trebui să fie voluntară şi nu ar trebui să conducă la nicio altă cerinţă decât cele prevăzute în prezentul regulament.

(48)Deşi un nivel ridicat de securitate este necesar pentru a asigura recunoaşterea reciprocă a semnăturilor electronice, în cazuri speciale, cum ar fi în contextul Deciziei 2009/767/CE a Comisiei (¹), semnăturile electronice cu un nivel mai scăzut de asigurare a securităţii ar trebui să fie, de asemenea, acceptate.

(49)Prezentul regulament ar trebui să stabilească principiul conform căruia unei semnături electronice nu ar trebui să i se refuze efectul juridic din motiv că aceasta este în format electronic sau că nu îndeplineşte cerinţele pentru semnătura electronică calificată. Cu toate acestea, efectul juridic al semnăturilor electronice se defineşte în dreptul intern, cu excepţia cerinţei prevăzute în prezentul regulament, conform căreia o semnătură electronică calificată ar trebui să aibă efecte juridice echivalente cu cele ale semnăturii olografe.

(50)Deoarece autorităţile competente din statele membre utilizează, în prezent, formate diferite de semnături electronice avansate pentru a-şi semna documentele în mod electronic, este necesar să se asigure că cel puţin un număr de formate de semnături electronice avansate pot fi procesate tehnic de statele membre atunci când primesc documente semnate în mod electronic. În mod similar, în cazul în care autorităţile competente din statele membre utilizează sigilii electronice avansate, ar fi necesar să se asigure că acestea pot procesa cel puţin un număr de formate de sigilii electronice avansate.

(52)Crearea semnăturilor electronice la distanţă, al căror mediu este gestionat în numele semnatarului de un prestator de servicii de încredere, nu poate decât să se dezvolte având în vedere multiplele sale avantaje economice. Cu toate acestea, pentru a garanta că aceste semnături electronice se bucură de acelaşi nivel de recunoaştere juridică de care se bucură semnăturile electronice create cu ajutorul unui mediu care este în totalitate gestionat de utilizator, prestatorii care oferă servicii de semnătură electronică la distanţă ar trebui să aplice proceduri de securitate a gestionării şi administrării specifice şi să utilizeze sisteme şi produse fiabile, care să includă canale de comunicare electronică sigure, pentru a garanta fiabilitatea mediului de creare a semnăturii electronice şi faptul că acest mediu este utilizat sub controlul exclusiv al semnatarului. În cazul unei semnături electronice calificate create cu ajutorul unui dispozitiv de creare a semnăturilor electronice la distanţă, ar trebui să se aplice cerinţele aplicabile prestatorilor de servicii de încredere calificaţi menţionate în prezentul regulament.

(53)Suspendarea certificatelor calificate este o practică operaţională consacrată a prestatorilor de servicii de încredere într-o serie de state membre, care este diferită de revocare şi atrage după sine pierderea temporară a valabilităţii unui certificat. Pentru asigurarea securităţii juridice este necesar ca statutul de suspendat al unui certificat să fie întotdeauna indicat în mod clar. În acest scop, prestatorii de servicii de încredere ar trebui să aibă responsabilitatea de a indica în mod clar statutul certificatului şi, în cazul în care acesta este suspendat, perioada, indicată cu precizie, pentru care certificatul a fost suspendat. Prezentul regulament nu ar trebui să impună prestatorilor de servicii de încredere sau statelor membre utilizarea suspendării, ci ar trebui să prevadă norme de transparenţă în cazul în care o astfel de practică este disponibilă.

(54)Interoperabilitatea transfrontalieră şi recunoaşterea certificatelor calificate reprezintă o condiţie prealabilă pentru recunoaşterea transfrontalieră a semnăturilor electronice calificate. Prin urmare, certificatele calificate nu ar trebui să facă obiectul niciunei cerinţe obligatorii în plus faţă de cerinţele prevăzute în prezentul regulament. Cu toate acestea, ar trebui să se permită, la nivel naţional, includerea unor atribute specifice, precum identificatorii unici, în cadrul certificatelor calificate, cu condiţia ca aceste atribute specifice să nu afecteze interoperabilitatea transfrontalieră şi recunoaşterea certificatelor calificate şi a semnăturilor electronice.

(55)Certificarea de securitate informatică bazată pe standarde internaţionale, de exemplu ISO 15408 şi metodele de evaluare conexe şi acordurile de recunoaştere reciprocă, este un instrument important pentru a verifica siguranţa dispozitivelor de creare a semnăturii electronice calificate şi ar trebui promovat. Cu toate acestea, soluţiile şi serviciile inovatoare, cum ar fi semnarea pe telefonul mobil şi semnarea în cloud, se bazează pe soluţii tehnice şi organizaţionale pentru dispozitive de creare a semnăturii electronice calificate pentru care este posibil să nu fie încă disponibile standarde de securitate sau a căror primă certificare de securitate informatică este în curs. Nivelul de securitate al respectivelor dispozitive de creare a semnăturii electronice calificate ar putea fi evaluat prin utilizarea unor procese alternative numai în cazul în care astfel de standarde de securitate nu sunt disponibile sau în cazul în care prima certificare de securitate informatică este în desfăşurare. Aceste procese ar trebui să fie comparabile cu standardele pentru certificarea în materie de securitate informatică, în măsura în care nivelurile lor de securitate sunt echivalente. Aceste procese ar putea fi facilitate de o evaluare inter pares.

(56)Prezentul regulament ar trebui să prevadă cerinţe pentru dispozitivele de creare a semnăturii electronice calificate în vederea asigurării funcţionalităţii semnăturilor electronice avansate. Prezentul regulament nu ar trebui să reglementeze întregul mediu al sistemului în care funcţionează astfel de dispozitive. Prin urmare, domeniul de aplicare al certificării dispozitivelor de creare a semnăturii calificate ar trebui să se limiteze la componentele hardware şi la elementele de software de sistem utilizate pentru gestionarea şi protejarea datelor aferente creării semnăturii care sunt create, stocate sau prelucrate în dispozitivul de creare a semnăturii. După cum se detaliază în standardele relevante, domeniul de aplicare al obligaţiei de certificare ar trebui să excludă cererile de creare a semnăturii.

(57)Pentru a asigura securitatea juridică cu privire la valabilitatea semnăturii, este esenţial să se specifice în detaliu componentele unei semnături electronice calificate care ar trebui să fie evaluate de către beneficiarul care efectuează validarea. Mai mult, specificarea cerinţelor pentru prestatorii de servicii de încredere calificaţi care pot presta un serviciu de validare calificat beneficiarilor care nu vor sau care nu pot îndeplini ei înşişi validarea semnăturilor electronice calificate ar trebui să stimuleze sectorul public şi privat să investească în astfel de servicii. Ambele elemente ar trebui să facă validarea semnăturilor electronice calificate uşoară şi convenabilă pentru toate părţile la nivelul Uniunii.

(62)Pentru a asigura securitatea mărcilor temporale electronice calificate, prezentul regulament ar trebui să impună utilizarea unui sigiliu electronic avansat sau a unei semnături electronice avansate sau a altor metode echivalente. Se preconizează că inovarea poate conduce la noi tehnologii care ar putea asigura mărcilor temporale un nivel de securitate echivalent. Ori de câte ori este utilizată o altă metodă decât sigiliul electronic avansat sau semnătura electronică avansată, prestatorului de servicii de încredere calificat ar trebui să-i revină obligaţia să demonstreze, în cadrul raportului de evaluare a conformităţii, că o astfel de metodă asigură un nivel echivalent de securitate şi respectă obligaţiile stabilite în prezentul regulament.

(64)Atunci când abordează formatele semnăturilor şi sigiliilor electronice avansate, Comisia ar trebui să se bazeze pe practicile, standardele şi legislaţia existente, în special pe Decizia 2011/130/UE a Comisiei (¹).

(67)Serviciile de autentificare a site-urilor internet oferă o modalitate prin care un vizitator al unui site internet poate fi sigur că în spatele site-ului internet se află o entitate autentică şi legitimă. Aceste servicii contribuie la construirea încrederii în desfăşurarea de activităţi comerciale online, întrucât utilizatorii vor avea încredere într-un site internet care a fost autentificat. Furnizarea şi utilizarea serviciilor de autentificare a unui site internet sunt complet voluntare. Cu toate acestea, pentru ca autentificarea unui site internet să devină un mijloc de a spori încrederea, de a oferi utilizatorului o experienţă mai bună şi de a stimula creşterea economică pe piaţa internă, prezentul regulament ar trebui să prevadă obligaţii minime în materie de securitate şi răspundere pentru prestatori şi serviciile oferite de aceştia. În acest scop, rezultatele iniţiativelor existente coordonate de entităţile din domeniu, de exemplu, Forumul autorităţilor de certificare/browser-elor - Forumul CA/B, au fost luate în considerare. În plus, prezentul regulament nu ar trebui să împiedice utilizarea altor mijloace sau metode pentru autentificarea unui site internet care nu intră sub incidenţa prezentului regulament şi nici nu ar trebui să împiedice prestatorii de servicii de autentificare a site-urilor internet din ţări terţe să îşi ofere serviciile clienţilor din Uniune. Cu toate acestea, prestatorii din ţări terţe ar trebui să obţină recunoaşterea serviciilor lor de autentificare a site-urilor internet drept servicii calificate, în conformitate cu prezentul regulament, numai în cazul în care a fost încheiat un acord internaţional între Uniune şi ţara de stabilire a prestatorului.

(68)Conceptul de „persoană juridică”, în conformitate cu dispoziţiile din Tratatul privind funcţionarea Uniunii Europene (TFUE) referitoare la stabilire, le dă operatorilor libertatea de a alege forma juridică pe care ei o consideră potrivită pentru a-şi desfăşura activitatea. În consecinţă, „persoană juridică”, în sensul din TFUE, înseamnă toate entităţile constituite în temeiul dreptului unui stat membru sau reglementate de acesta, indiferent de forma lor juridică.

(70)Pentru a completa anumite aspecte tehnice detaliate ale prezentului regulament într-o manieră flexibilă şi rapidă, competenţa de a adopta acte în conformitate cu art. 290 din TFUE ar trebui să fie delegată Comisiei în ceea ce priveşte criteriile care trebuie respectate de către organismele responsabile de certificarea dispozitivelor de creare a semnăturilor electronice calificate. Este deosebit de important ca, pe parcursul activităţilor pregătitoare, Comisia să desfăşoare consultări adecvate, inclusiv la nivel de experţi. Comisia, atunci când pregăteşte şi elaborează acte delegate, ar trebui să asigure o transmitere simultană, în timp util şi adecvată a documentelor relevante către Parlamentul European şi Consiliu.

(71)Pentru a se asigura condiţii uniforme pentru punerea în aplicare a prezentului regulament, ar trebui conferite competenţe de executare Comisiei, în special pentru a specifica numerele de referinţă ale standardelor a căror utilizare ar oferi o prezumţie de conformitate cu anumite cerinţe prevăzute în prezentul regulament. Respectivele competenţe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului (¹).

(72)Atunci când adoptă acte delegate sau de punere în aplicare, Comisia ar trebui să ţină seama în mod corespunzător de standardele şi specificaţiile tehnice elaborate de organizaţiile şi organismele de standardizare europene şi internaţionale, în special de Comitetul European pentru Standardizare (CEN), Institutul European de Standardizare în Telecomunicaţii (ETSI), Organizaţia Internaţională de Standardizare (ISO) şi Uniunea Internaţională a Telecomunicaţiilor (UIT), cu scopul de a asigura un nivel ridicat de securitate şi interoperabilitate a serviciilor electronice de identificare şi de încredere.

(74)Pentru a se asigura securitatea juridică pentru operatorii de piaţă care utilizează deja certificate calificate emise persoanelor fizice în conformitate cu Directiva 1999/93/CE, este necesar să se prevadă o perioadă de timp suficientă în scopuri de tranziţie. În mod similar, ar trebui să se prevadă măsuri de tranziţie pentru dispozitivele sigure de creare a semnăturilor a căror conformitate a fost determinată în conformitate cu Directiva 1999/93/CE, precum şi pentru prestatorii de servicii de certificare care emit certificate calificate înainte de 1 iulie 2016. În cele din urmă, este necesar, de asemenea, să se furnizeze Comisiei mijloacele de a adopta actele de punere în aplicare şi actele delegate înainte de data respectivă.

(76)Deoarece obiectivele prezentului regulament nu pot fi realizate în mod satisfăcător de către statele membre, dar, având în vedere amploarea acţiunii, pot fi realizate mai bine la nivelul Uniunii, aceasta poate adopta măsuri, în conformitate cu principiul subsidiarităţii, astfel cum este definit la art. 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporţionalităţii, astfel cum este definit la art. menţionat, prezentul regulament nu depăşeşte ceea ce este necesar pentru realizarea obiectivelor menţionate.

(77)Autoritatea Europeană pentru Protecţia Datelor a fost consultată în conformitate cu art. 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului (²) şi a emis un aviz la 27 septembrie 2012 (³),

CAPITOLUL I:DISPOZIŢII GENERALE

Art. 1: Obiect

Prezentul regulament urmăreşte să asigure buna funcţionare a pieţei interne şi să asigure un nivel adecvat de securitate a mijloacelor de identificare electronică şi a serviciilor de încredere utilizate în întreaga Uniune, pentru a permite şi a facilita exercitarea de către persoanele fizice şi juridice a dreptului de a participa la societatea digitală în condiţii de siguranţă şi de a accesa servicii publice şi private online în întreaga Uniune. În acest scop, prezentul regulament:

Art. 2: Domeniul de aplicare

Art. 3: Definiţii

16.«serviciu de încredere» înseamnă un serviciu electronic prestat în mod obişnuit în schimbul unei remuneraţii, care constă în oricare din următoarele:

18.«organism de evaluare a conformităţii» înseamnă un organism de evaluare a conformităţii în sensul definiţiei de la articolul 2 punctul 13 din Regulamentul (CE) nr. 765/2008, care este acreditat în conformitate cu regulamentul respectiv ca fiind competent să efectueze evaluarea conformităţii unui prestator de servicii de încredere calificat şi a serviciilor de încredere calificate pe care acesta le prestează ori ca fiind competent să efectueze certificarea portofelelor europene pentru identitatea digitală sau a mijloacelor de identificare electronică;

42.«portofel european pentru identitatea digitală» înseamnă un mijloc de identificare electronică care permite utilizatorului să stocheze, să gestioneze şi să valideze în condiţii de siguranţă datele de identificare personală şi atestatele electronice ale atributelor cu scopul de a le furniza beneficiarilor şi altor utilizatori ai portofelelor europene pentru identitatea digitală şi să semneze prin intermediul semnăturilor electronice calificate sau să sigileze prin intermediul sigiliilor electronice calificate;

46.«atestat electronic al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele acestuia» înseamnă un atestat electronic al atributelor emis de un organism din sectorul public care este responsabil de o sursă autentică ori de un organism din sectorul public care este desemnat de statul membru să emită astfel de atestate ale atributelor în numele organismelor din sectorul public responsabile de sursele autentice în conformitate cu articolul 45f şi cu anexa VII;

51.«autentificarea strictă a utilizatorilor» înseamnă o autentificare care se bazează pe utilizarea a cel puţin doi factori de autentificare din categoriile diferite ale cunoştinţelor, ceva ce doar utilizatorul cunoaşte, ale posesiei, ceva ce doar utilizatorul posedă sau ale inerenţei, ceva ce reprezintă utilizatorul, care sunt independenţi, în sensul că încălcarea securităţii unuia dintre factori nu compromite fiabilitatea celorlalţi, şi care este concepută în aşa fel încât să protejeze confidenţialitatea datelor de autentificare;

CAPITOLUL II:IDENTIFICARE ELECTRONICĂ

SECŢIUNEA 1:PORTOFELUL EUROPEAN PENTRU IDENTITATEA DIGITALĂ

Art. 5^a: Portofelele europene pentru identitatea digitală

(1)În scopul garantării faptului că toate persoanele fizice şi juridice din Uniune au un acces transfrontalier securizat, fiabil şi neîntrerupt la servicii publice şi private, păstrând totodată controlul deplin asupra datelor lor, fiecare stat membru furnizează cel puţin un portofel european pentru identitatea digitală în termen de 24 de luni de la data intrării în vigoare a actelor de punere în aplicare menţionate la alineatul (23) de la prezentul articol şi la articolul 5c alineatul (6).

(4)Portofelele europene pentru identitatea digitală permit utilizatorului, într-un mod transparent şi uşor de utilizat şi de urmărit de către acesta:

d)să acceseze o evidenţă a tuturor tranzacţiilor efectuate cu ajutorul portofelului european pentru identitatea digitală prin intermediul unui tablou de bord comun care să permită utilizatorului:

(5)În special, portofelele europene pentru identitatea digitală:

a)permit utilizarea unor protocoale şi interfeţe comune:

(14)Utilizatorii au controlul deplin asupra utilizării portofelului lor european pentru identitatea digitală şi asupra datelor din acesta. Furnizorul portofelului european pentru identitatea digitală nu colectează informaţii cu privire la utilizarea portofelului european pentru identitatea digitală care nu sunt necesare pentru furnizarea serviciilor oferite de portofelul european pentru identitatea digitală şi nici nu combină date de identificare personală sau orice alte date cu caracter personal stocate sau legate de utilizarea portofelului european pentru identitatea digitală cu date cu caracter personal provenind de la orice alte servicii oferite de respectivul furnizor sau de la servicii furnizate de terţi care nu sunt necesare pentru furnizarea serviciilor oferite de portofelul european pentru identitatea digitală, cu excepţia cazului în care utilizatorul a solicitat în mod expres contrariul. Datele cu caracter personal legate de punerea la dispoziţie de portofele europene pentru identitatea digitală sunt păstrate separate logic de orice alte date deţinute de furnizorul de portofele europene pentru identitatea digitală. În cazul în care portofelul european pentru identitatea digitală este furnizat de părţi private în conformitate cu alineatul (2) literele (b) şi (c) de la prezentul articol, dispoziţiile articolului 45h alineatul (3) se aplică mutatis mutandis.

(15)Utilizarea portofelelor europene pentru identitatea digitală este voluntară. Accesul la serviciile publice şi private, accesul la piaţa muncii şi libertatea de a desfăşura o activitate comercială nu sunt în niciun fel restricţionate sau permise în condiţii mai dezavantajoase pentru persoanele fizice sau juridice care nu utilizează portofelele europene pentru identitatea digitală. Accesul la serviciile publice şi private rămâne posibil prin alte mijloace de identificare şi autentificare existente.

(16)Cadrul tehnic al portofelului european pentru identitatea digitală:

(17)Orice prelucrare a datelor cu caracter personal efectuată de statele membre sau, în numele acestora, de organisme sau părţi responsabile de furnizarea portofelelor europene pentru identitatea digitală drept mijloace de identificare electronică se efectuează în conformitate cu măsuri adecvate şi eficace de protecţie a datelor. Trebuie să se demonstreze conformitatea unei astfel de prelucrări cu Regulamentul (UE) 2016/679. Statele membre pot adopta dispoziţii de drept intern pentru a preciza mai în detaliu aplicarea acestor măsuri.

(18)Statele membre transmit Comisiei, fără întârzieri nejustificate, informaţii cu privire la:

(23)Până la 21 noiembrie 2024, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind cerinţele menţionate la alineatele (4), (5), (8) şi (18) de la prezentul articol, privind implementarea portofelului european pentru identitatea digitală. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

(24)Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii tehnice şi proceduri pentru a facilita integrarea utilizatorilor în sistemul reprezentat de portofelul european pentru identitatea digitală fie prin mijloace de identificare electronică conforme cu nivelul de asigurare ridicat, fie prin mijloace de identificare electronică conforme cu nivelul de asigurare substanţial combinate cu proceduri suplimentare de integrare la distanţă care, împreună, îndeplinesc cerinţele nivelului de asigurare ridicat. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

Art. 5^b: Beneficiarii portofelului european pentru identitatea digitală

(2)Procesul de înregistrare este eficient din punctul de vedere al costurilor şi proporţional cu riscurile. Beneficiarul furnizează cel puţin:

(11)Până la 21 noiembrie 2024, Comisia stabileşte specificaţiile tehnice şi procedurile privind cerinţele prevăzute la alineatele (2), (5) şi (6)-(9) de la prezentul articol prin intermediul unor acte de punere în aplicare privind implementarea portofelelor europene pentru identitatea digitală, astfel cum se menţionează la articolul 5a alineatul (23). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

Art. 5^c: Certificarea portofelelor europene pentru identitatea digitală

(2)Certificarea conformităţii portofelelor europene pentru identitatea digitală cu cerinţele menţionate la alineatul (1) de la prezentul articol care sunt relevante în materie de securitate cibernetică sau cu părţi ale acestora se efectuează în conformitate cu sistemele europene de certificare a securităţii cibernetice adoptate în temeiul Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului (^*3) şi indicate în actele de punere în aplicare menţionate la alineatul (6) de la prezentul articol.

(3)Pentru cerinţele menţionate la alineatul (1) de la prezentul articol care nu sunt relevante în materie de securitate cibernetică şi pentru cerinţele menţionate la alineatul (1) de la prezentul articol care sunt relevante în materie de securitate cibernetică, în măsura în care sistemele de certificare a securităţii cibernetice menţionate la alineatul (2) de la prezentul articol nu acoperă sau acoperă doar parţial cerinţele de securitate cibernetică respective, statele membre instituie, şi pentru respectivele cerinţe, sisteme de certificare naţionale în conformitate cu cerinţele stabilite în actele de punere în aplicare menţionate la alineatul (6) de la prezentul articol. Statele membre transmit proiectele lor de sisteme de certificare naţionale Grupului european de cooperare privind identitatea digitală constituit în temeiul articolului 46e alineatul (1) (denumit în continuare «grupul de cooperare») Grupul de cooperare poate emite avize şi recomandări.

Art. 5^d: Publicarea unei liste a portofelelor europene pentru identitatea digitală certificate

(1)Statele membre informează, fără întârzieri nejustificate, Comisia şi grupul de cooperare constituit în temeiul articolului 46e alineatul (1) cu privire la portofelele europene pentru identitatea digitală care au fost furnizate în temeiul articolului 5a şi au fost certificate de organismele de evaluare a conformităţii menţionate la articolul 5c alineatul (1). Statele membre informează, fără întârzieri nejustificate, Comisia şi grupul de cooperare constituit în temeiul articolului 46e alineatul (1) în cazul în care o certificare este anulată şi indică motivele anulării.

(2)Fără a aduce atingere articolului 5a alineatul (18), informaţiile menţionate la alineatul (1) de la prezentul articol, furnizate de statele membre, includ cel puţin:

(7)Până la 21 noiembrie 2024, Comisia stabileşte formatele şi procedurile aplicabile în vederea îndeplinirii cerinţelor prevăzute la alineatele (1), (4) şi (5) de la prezentul articol prin intermediul unor acte de punere în aplicare cu privire la implementarea portofelelor europene pentru identitatea digitală, astfel cum se menţionează la articolul 5a alineatul (23). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

Art. 5^e: Încălcarea securităţii portofelelor europene pentru identitatea digitală

(1)În cazul în care portofelele europene pentru identitatea digitală furnizate în temeiul articolului 5a, mecanismele de validare menţionate la articolul 5a alineatul (8) sau sistemul de identificare electronică în cadrul căruia sunt furnizate portofelele europene pentru identitatea digitală fac obiectul unei încălcări a securităţii sau sunt compromise parţial într-un mod care afectează fiabilitatea lor sau a altor portofele europene pentru identitatea digitală, statele membre care au furnizat portofelele europene pentru identitatea digitală suspendă fără întârziere nejustificată furnizarea şi utilizarea portofelelor europene pentru identitatea digitală.

(2)În cazul în care încălcarea securităţii sau compromiterea menţionată la alineatul (1) primul paragraf de la prezentul articol nu este remediată în termen de trei luni de la suspendare, statul membru care a furnizat portofelele europene pentru identitatea digitală retrage portofelele europene pentru identitatea digitală şi le revocă valabilitatea. Statul membru informează în mod corespunzător utilizatorii afectaţi, punctele unice de contact desemnate în temeiul articolului 46c alineatul (1), beneficiarii şi Comisia cu privire la retragere.

Art. 5^f: Utilizarea transfrontalieră a portofelelor europene pentru identitatea digitală

(2)În cazul în care beneficiarii privaţi care furnizează servicii, cu excepţia microîntreprinderilor şi a întreprinderilor mici, astfel cum sunt definite la articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (^*4), au obligaţia în temeiul dreptului Uniunii sau al dreptului intern să utilizeze autentificarea strictă a utilizatorului pentru identificarea online sau în cazul în care autentificarea strictă a utilizatorului pentru identificarea online este obligatorie în temeiul unei obligaţii contractuale, inclusiv în domeniile transporturilor, energiei, serviciilor bancare şi financiare, securităţii sociale, sănătăţii, apei potabile, serviciilor poştale, infrastructurii digitale, educaţiei sau telecomunicaţiilor, respectivii beneficiari privaţi, în termen de 36 de luni de la data intrării în vigoare a actelor de punere în aplicare menţionate la articolul 5a alineatul (23) şi la articolul 5c alineatul (6) şi, numai la cererea voluntară a utilizatorului, acceptă şi utilizarea portofelelor europene pentru identitatea digitală care sunt furnizate în conformitate cu prezentul regulament.

(3)În cazul în care furnizorii de platforme online foarte mari menţionate la articolul 33 din Regulamentul (UE) 2022/2065 al Parlamentului European şi al Consiliului (^*5) impun autentificarea utilizatorului pentru accesul la servicii online, aceştia acceptă şi facilitează şi utilizarea portofelelor europene pentru identitatea digitală care sunt furnizate în conformitate cu prezentul regulament pentru autentificarea utilizatorului, numai la cererea voluntară a acestuia şi în ceea ce priveşte datele minime necesare pentru serviciul online specific pentru care se solicită autentificarea.

SECŢIUNEA 2:SISTEME DE IDENTIFICARE ELECTRONICĂ

Art. 6: Recunoaşterea reciprocă

(1)Atunci când este necesară o identificare electronică care utilizează un mijloc de identificare electronică şi o autentificare în temeiul dreptului intern sau al practicii administrative naţionale pentru a accesa un serviciu prestat online de un organism din sectorul public într-un stat membru, mijloacele de identificare electronică emise într-un alt stat membru sunt recunoscute în primul stat membru în scopul autentificării transfrontaliere a respectivului serviciu online, cu condiţia să fie îndeplinite următoarele condiţii:

Art. 7: Eligibilitatea pentru notificarea sistemelor de identificare electronică

f)statul membru care notifică asigură disponibilitatea autentificării online, astfel încât orice beneficiar stabilit pe teritoriul altui stat membru să poată confirma datele de identificare personală primite în format electronic.

Art. 8: Niveluri de asigurare ale mijloacelor de identificare electronică

(2)Nivelurile de asigurare scăzut, substanţial şi ridicat îndeplinesc următoarele criterii, respectiv:

a)nivelul de asigurare scăzut se referă la un mijloc de identificare electronică în contextul unui sistem de identificare electronică, care asigură un grad substanţial de încredere în legătură cu identitatea pretinsă sau declarată a unei persoane şi care este caracterizat prin trimitere la specificaţiile tehnice, la standardele şi la procedurile corespunzătoare respectivului mijloc de identificare, inclusiv controalele tehnice, al căror scop este de a reduce substanţial riscul unei utilizări frauduloase sau al modificării frauduloase a identităţii;

b)nivelul de asigurare substanţial se referă la un mijloc de identificare electronică în contextul unui sistem de identificare electronică, care asigură un grad substanţial de încredere în legătură cu identitatea pretinsă sau declarată a unei persoane şi care este caracterizat prin trimitere la specificaţiile tehnice, la standardele şi la procedurile corespunzătoare respectivului mijloc de identificare, inclusiv controalele tehnice, al căror scop este de a reduce substanţial riscul unei utilizări frauduloase sau al modificării frauduloase a identităţii;

c)nivelul de asigurare ridicat se referă la un mijloc de identificare electronică în contextul unui sistem de identificare electronică, care asigură un grad mai ridicat de încredere în legătură cu identitatea pretinsă sau declarată a unei persoane decât mijloacele de identificare electronică cu nivel de asigurare substanţial şi care este caracterizat prin trimitere la specificaţiile tehnice, la standardele şi la procedurile corespunzătoare respectivului mijloc de identificare, inclusiv controalele tehnice, al căror scop este de a împiedica utilizarea frauduloasă sau modificarea frauduloasă a identităţii.

(3)Până la 18 septembrie 2015, ţinând cont de standardele internaţionale relevante şi sub rezerva alineatului (2), Comisia stabileşte, prin intermediul unor acte de punere în aplicare, specificaţiile tehnice, standardele şi procedurile minime, în raport cu care sunt determinate nivelurile de asigurare scăzut, substanţial şi ridicat pentru mijloacele de identificare electronică.

Art. 9: Notificarea

(1)Statul membru care notifică înaintează Comisiei următoarele informaţii şi, fără întârzieri nejustificate, orice modificări ulterioare ale acestora:

Art. 10: Încălcarea securităţii sistemelor de identificare electronică

(1)În cazul în care fie sistemul de identificare electronică notificat în conformitate cu art. 9 alineatul (1), fie autentificarea menţionată la art. 7 litera (f) este încălcată sau parţial compromisă într-un mod care afectează fiabilitatea autentificării transfrontaliere a sistemului respectiv, statul membru care notifică suspendă sau revocă, fără întârziere, respectiva autentificare transfrontalieră sau părţile compromise în cauză şi informează celelalte state membre şi Comisia.

Art. 11: Răspunderea

Art. 11^a: Corelarea transfrontalieră a identităţilor

Art. 12: Interoperabilitate

(3)Cadrul de interoperabilitate îndeplineşte următoarele criterii:

(4)Cadru de interoperabilitate este alcătuit din următoarele elemente:

(8)Până la 18 septembrie 2025, în vederea stabilirii unor condiţii uniforme pentru punerea în aplicare a cerinţei menţionate la alineatul (1) de la prezentul articol, sub rezerva criteriilor stabilite la alineatul (3) de la prezentul articol şi luând în considerare rezultatele cooperării dintre statele membre, Comisia adoptă acte de punere în aplicare privind cadrul de interoperabilitate, astfel cum este prevăzut la alineatul (4) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

Art. 12^a: Certificarea sistemelor de identificare electronică

(5)Evaluarea inter pares privind sistemele de identificare electronică menţionată la articolul 12 alineatul (5) nu se aplică sistemelor de identificare electronică sau unor părţi ale acestor sisteme certificate în conformitate cu alineatul (1) de la prezentul articol. Statele membre pot utiliza un certificat sau o declaraţie de conformitate, emis(ă) în conformitate cu un sistem de certificare relevant sau cu părţi ale unor astfel de sisteme, cu cerinţele care nu ţin de securitatea cibernetică prevăzute la articolul 8 alineatul (2) în ceea ce priveşte nivelul de asigurare ale sistemelor de identificare electronică.

Art. 12^b: Accesul la componentele de hardware şi de software

Atunci când furnizorii de portofele europene pentru identitatea digitală şi emitenţii de mijloace de identificare electronică notificate, care acţionează cu titlu comercial sau profesional şi utilizează servicii de platformă esenţiale în sensul definiţiei de la articolul 2 punctul 2 din Regulamentul (UE) 2022/1925 al Parlamentului European şi al Consiliului (^*6) în scopul sau în cursul furnizării de servicii specifice portofelelor europene pentru identitatea digitală şi de mijloace de identificare electronică utilizatorilor finali, sunt utilizatori comerciali în sensul definiţiei de la articolul 2 punctul 21 din regulamentul menţionat, controlorii de acces le permit, în special, să beneficieze în mod efectiv de interoperabilitatea cu aceleaşi componente ale sistemului de operare, ale hardware-ului sau ale software-ului, precum şi să aibă acces la respectivele componente în vederea asigurării interoperabilităţii. Interoperabilitatea efectivă şi accesul menţionate anterior sunt permise cu titlu gratuit şi indiferent dacă componentele de hardware sau de software fac parte din sistemul de operare, în aceleaşi condiţii în care respectivele componente îi sunt disponibile respectivului controlor de acces sau sunt folosite de acesta atunci când furnizează astfel de servicii, în sensul articolului 6 alineatul (7) din Regulamentul (UE) 2022/1925. Prezentul articol nu aduce atingere articolului 5a alineatul (14) din prezentul regulament.

CAPITOLUL III:SERVICII DE ÎNCREDERE

SECŢIUNEA 1:Dispoziţii generale

Art. 13: Răspunderea şi sarcina probei

(1)În pofida alineatului (2) de la prezentul articol şi fără a aduce atingere Regulamentului (UE) 2016/679, prestatorii de servicii de încredere sunt răspunzători pentru prejudiciile cauzate în mod intenţionat sau din neglijenţă oricărei persoane fizice sau juridice ca urmare a nerespectării obligaţiilor prevăzute în prezentul regulament. Orice persoană fizică sau juridică ce a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament de către un prestator de servicii de încredere are dreptul de a solicita despăgubiri în conformitate cu dreptul Uniunii şi cu dreptul intern.

Art. 14: Aspecte internaţionale

(1)Serviciile de încredere prestate de prestatori de servicii de încredere stabiliţi într-o ţară terţă sau de o organizaţie internaţională sunt recunoscute ca fiind echivalente din punct de vedere juridic cu serviciile de încredere calificate prestate de prestatori de servicii de încredere calificaţi stabiliţi în Uniune dacă serviciile de încredere care provin din ţara terţă sau de la organizaţia internaţională sunt recunoscute prin intermediul unor acte de punere în aplicare sau al unui acord încheiat între Uniune şi ţara terţă sau organizaţia internaţională în cauză în conformitate cu articolul 218 din TFUE.

(2)Actele de punere în aplicare şi acordul menţionate la alineatul (1) garantează că cerinţele aplicabile prestatorilor de servicii de încredere calificaţi stabiliţi în Uniune şi serviciilor de încredere calificate pe care aceştia le prestează sunt îndeplinite de prestatorii de servicii de încredere din ţara terţă în cauză sau de organizaţiile internaţionale, precum şi de serviciile de încredere pe care aceştia le prestează. În special, ţările terţe şi organizaţiile internaţionale elaborează, menţin şi publică o listă sigură a prestatorilor de servicii de încredere recunoscuţi.

Art. 15: Accesibilitatea pentru persoanele cu dizabilităţi şi cu nevoi speciale

Mijloacele de identificare electronică, prestarea serviciilor de încredere şi furnizarea produselor destinate utilizatorului final care sunt utilizate pentru prestarea serviciilor respective sunt furnizate într-un limbaj clar şi inteligibil şi în conformitate cu Convenţia Naţiunilor Unite privind drepturile persoanelor cu handicap şi cu cerinţele de accesibilitate prevăzute în Directiva (UE) 2019/882, fiind astfel accesibile şi persoanelor care se confruntă cu limitări funcţionale, cum ar fi persoanele în vârstă, şi persoanelor cu acces limitat la tehnologiile digitale.

Art. 16: Sancţiuni

(1)Fără a aduce atingere articolului 31 din Directiva (UE) 2022/2555 a Parlamentului European şi a Consiliului (^*7), statele membre stabilesc normele referitoare la sancţiunile aplicabile în cazul încălcării prezentului regulament. Sancţiunile respective trebuie să fie eficace, proporţionale şi cu efect de descurajare.

(2)Statele membre se asigură că încălcările prezentului regulament de către prestatorii de servicii de încredere calificaţi şi necalificaţi fac obiectul unor amenzi administrative în valoare de cel puţin:

SECŢIUNEA 2:Secţiunea 2: Servicii de încredere necalificate

Art. 19: Cerinţe de securitate aplicabile prestatorilor de servicii de încredere

(1)Prestatorii de servicii de încredere calificaţi şi necalificaţi iau măsurile tehnice şi organizaţionale corespunzătoare pentru gestionarea riscurilor la adresa securităţii serviciilor de încredere pe care le prestează. Ţinând cont de cele mai recente evoluţii tehnologice, aceste măsuri garantează că nivelul securităţii este proporţional cu gradul de risc. În special, se iau măsuri pentru a preveni şi minimiza impactul incidentelor legate de securitate şi pentru a informa părţile interesate cu privire la efectele negative ale oricăror incidente de acest tip.

(2)Prestatorii de servicii de încredere calificaţi şi necalificaţi notifică, fără întârzieri nejustificate, însă, în orice caz, în termen de 24 de ore după ce au aflat, organismului de supraveghere competent şi, dacă este cazul, altor organisme relevante, cum sunt organismul naţional competent pentru securitatea informaţiilor sau autoritatea pentru protecţia datelor, orice încălcare a securităţii sau pierdere a integrităţii care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate de acesta.

Art. 19^a: Cerinţe pentru prestatorii de servicii de încredere necalificaţi

(1)Un prestator de servicii de încredere necalificat care prestează servicii de încredere necalificate:

a)dispune de politici adecvate şi ia măsurile corespunzătoare pentru a gestiona riscurile juridice, comerciale, operaţionale şi alte riscuri directe sau indirecte legate de prestarea serviciului de încredere necalificat, care, în pofida articolului 21 din Directiva (UE) 2022/2555, includ cel puţin măsuri referitoare la:

b)notificarea organismului de supraveghere, persoanelor afectate care pot fi identificate, publicului - dacă chestiunea este de interes public -, şi, după caz, altor autorităţi competente relevante, cu privire la orice încălcare a securităţii sau perturbare survenită în prestarea serviciului sau în punerea în aplicare a măsurilor menţionate la litera (a) punctul (i), (ii) sau (iii) care are impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate în cadrul acestuia, fără întârzieri nejustificate şi, în orice caz, nu mai târziu de 24 de ore din momentul în care a luat cunoştinţă de orice încălcare a securităţii sau perturbare.

(2)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri în scopul alineatului (1) litera (a) de la prezentul articol. În cazul în care standardele, specificaţiile şi procedurile respective sunt respectate, se prezumă că sunt respectate cerinţele prevăzute la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

SECŢIUNEA 3:Servicii de încredere calificate

Art. 20: Supravegherea prestatorilor de servicii de încredere calificaţi

(1)Prestatorii de servicii de încredere calificaţi sunt auditaţi, pe propria cheltuială, cel puţin la fiecare 24 de luni, de către un organism de evaluare a conformităţii. Auditul confirmă că prestatorii de servicii de încredere calificaţi şi serviciile de încredere calificate pe care le prestează îndeplinesc cerinţele prevăzute în prezentul regulament şi la articolul 21 din Directiva (UE) 2022/2555. Prestatorii de servicii de încredere calificaţi transmit raportul de evaluare a conformităţii care a rezultat organismului de supraveghere în termen de trei zile lucrătoare de la primirea lui.

(2)Fără a aduce atingere alineatului (1), organismul de supraveghere poate, în orice moment, să efectueze un audit sau să solicite unui organism de evaluare a conformităţii să efectueze o evaluare a conformităţii privind prestatorii de servicii de încredere calificaţi, pe cheltuiala prestatorilor de servicii de încredere respectivi, pentru a confirma că aceştia şi serviciile de încredere calificate pe care le prestează îndeplinesc cerinţele prevăzute în prezentul regulament. În cazul în care normele de protecţie a datelor cu caracter personal par să fi fost încălcate, organismul de supraveghere informează, fără întârzieri nejustificate, autorităţile de supraveghere competente înfiinţate în temeiul articolului 51 din Regulamentul (UE) 2016/679.

(3)În cazul în care prestatorul de servicii de încredere calificat nu îndeplineşte oricare dintre cerinţele prevăzute în prezentul regulament, organismul de supraveghere îi solicită să remedieze situaţia într-un termen stabilit, dacă este cazul.

(3¹)În cazul în care autorităţile competente desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555 informează organismul de supraveghere că prestatorul de servicii de încredere calificat nu îndeplineşte oricare dintre cerinţele prevăzute la articolul 21 din respectiva directivă, organismul de supraveghere, atunci când acest lucru este justificat în special de amploarea, durata şi consecinţele respectivei neîndepliniri, retrage statutul de calificat al prestatorului respectiv sau al serviciului afectat pe care îl prestează acesta.

(3²)În cazul în care autorităţile de supraveghere înfiinţate în temeiul articolului 51 din Regulamentul (UE) 2016/679 informează organismul de supraveghere că prestatorul de servicii de încredere calificat nu îndeplineşte oricare dintre cerinţele prevăzute în regulamentul menţionat, organismul de supraveghere, atunci când acest lucru este justificat în special de amploarea, durata şi consecinţele respectivei neîndepliniri, retrage statutul de calificat al prestatorului respectiv sau al serviciului afectat pe care îl prestează acesta.

(3³)Organismul de supraveghere informează prestatorul de servicii de încredere calificat cu privire la retragerea statutului de calificat, al său sau al serviciului în cauză. Organismul de supraveghere informează organismul notificat în temeiul articolului 22 alineatul (3) din prezentul regulament în scopul actualizării listelor sigure menţionate la alineatul (1) de la articolul respectiv, precum şi autoritatea competentă desemnată sau înfiinţată în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555.

(4)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru:

Art. 21: Iniţierea unui serviciu de încredere calificat

(2)Organismul de supraveghere verifică dacă prestatorul de servicii de încredere şi serviciile de încredere prestate de acesta respectă cerinţele prevăzute în prezentul regulament şi, în special, cerinţele pentru prestatorii de servicii de încredere calificaţi şi pentru serviciile de încredere calificate prestate de aceştia.

Pentru a verifica respectarea de către prestatorul de servicii de încredere a cerinţelor prevăzute la articolul 21 din Directiva (UE) 2022/2555, organismul de supraveghere solicită autorităţilor competente desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din respectiva directivă să desfăşoare acţiuni de supraveghere în această privinţă şi să furnizeze informaţii cu privire la rezultat fără întârzieri nejustificate şi, în orice caz, în termen de două luni de la primirea cererii respective. În cazul în care verificarea nu este încheiată în termen de două luni de la notificare, autorităţile competente respective informează organismul de supraveghere, specificând motivele întârzierii şi termenul în care urmează să se încheie verificarea.

În cazul în care organismul de supraveghere ajunge la concluzia că prestatorul de servicii de încredere şi serviciile de încredere prestate de acesta respectă cerinţele prevăzute în prezentul regulament, organismul de supraveghere acordă statutul de calificat prestatorului de servicii de încredere şi serviciilor de încredere prestate de acesta şi informează în consecinţă organismul menţionat la articolul 22 alineatul (3) în scopul actualizării listelor sigure menţionate la articolul 22 alineatul (1), în termen de trei luni de la notificare, în conformitate cu alineatul (1) de la prezentul articol.

Art. 22: Listele sigure

Art. 23: Marca de încredere a UE pentru serviciile de încredere calificate

Art. 24: Cerinţe pentru prestatorii de servicii de încredere calificaţi

(1¹)Verificarea identităţii menţionată la alineatul (1) se realizează, prin mijloace adecvate, de prestatorul de servicii de încredere calificat, fie direct, fie prin intermediul unui terţ, pe baza uneia dintre următoarele metode sau a unei combinaţii a acestora atunci când este necesar, în conformitate cu actele de punere în aplicare menţionate la alineatul (1c):

(1²)Verificarea atributelor menţionată la alineatul (1) se realizează, prin mijloace adecvate, de prestatorul de servicii de încredere calificat, fie direct, fie prin intermediul unui terţ, pe baza uneia dintre următoarele metode sau a unei combinaţii a acestora, atunci când este necesar, în conformitate cu actele de punere în aplicare menţionate la alineatul (1c):

(2)Un prestator de servicii de încredere calificat care prestează servicii de încredere calificate:

f¹)în pofida articolului 21 din Directiva (UE) 2022/2555, dispune de politici adecvate şi ia măsuri corespunzătoare pentru a gestiona riscurile juridice, comerciale, operaţionale şi alte riscuri directe sau indirecte legate de prestarea serviciului de încredere calificat, inclusiv cel puţin măsuri referitoare la următoarele aspecte:

f²)notifică organismului de supraveghere, persoanelor afectate care pot fi identificate, altor organisme competente relevante, după caz, şi, la cererea organismului de supraveghere, publicului, dacă chestiunea este de interes public, orice încălcare a securităţii sau perturbare survenită în prestarea serviciului sau în punerea în aplicare a măsurilor menţionate la litera (fa) punctul (i), (ii) sau (iii) care are un impact semnificativ asupra serviciului de încredere prestat sau asupra datelor cu caracter personal păstrate în cadrul acestuia, fără întârzieri nejustificate şi, în orice caz, în termen de 24 de ore de la producerea incidentului;

k)în cazul prestatorilor de servicii de încredere calificaţi care eliberează certificate calificate, instituie şi actualizează permanent o bază de date a certificatelor.

Organismul de supraveghere poate solicita informaţii în plus faţă de informaţiile notificate în temeiul primului paragraf litera (a) sau rezultatul unei evaluări a conformităţii şi poate stabili anumite condiţii pentru acordarea permisiunii de a pune în aplicare modificările preconizate ale serviciilor de încredere calificate. În cazul în care verificarea nu este încheiată în termen de trei luni de la notificare, organismul de supraveghere informează prestatorul de servicii de încredere, specificând motivele întârzierii şi termenul în care urmează să se încheie verificarea.

(5)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind cerinţele menţionate la alineatul (2) de la prezentul articol. În cazul în care standardele, specificaţiile şi procedurile respective sunt respectate, se prezumă că sunt respectate cerinţele prevăzute la prezentul alineat. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

Art. 24^a: Recunoaşterea serviciilor de încredere calificate

(3)Un certificat calificat pentru semnăturile electronice, un certificat calificat pentru sigilii electronice, un serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a semnăturii electronice la distanţă şi un serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a sigiliului electronic la distanţă furnizat într-un stat membru este recunoscut drept certificat calificat pentru semnăturile electronice, drept certificat calificat pentru sigilii electronice, drept serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a semnăturii electronice la distanţă şi, respectiv, drept serviciu de încredere calificat pentru gestionarea dispozitivelor calificate de creare a sigiliului electronic la distanţă în toate celelalte state membre.

SECŢIUNEA 4:Semnătura electronică

Art. 25: Efectele juridice ale semnăturilor electronice

Art. 26: Cerinţe pentru semnături electronice avansate

(2)Până la 21 mai 2026, Comisia evaluează dacă este necesar să adopte acte de punere în aplicare prin care să stabilească o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru semnăturile electronice avansate. Pe baza rezultatului evaluării respective, Comisia poate adopta astfel de acte de punere în aplicare. În cazul în care o semnătură electronică avansată îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele referitoare la semnăturile electronice avansate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

Art. 27: Semnăturile electronice în cadrul serviciilor publice

(1)În cazul în care un stat membru solicită o semnătură electronică avansată pentru utilizarea în cadrul unui serviciu online prestat de către un organism din sectorul public sau în numele acestuia, respectivul stat membru recunoaşte semnăturile electronice avansate, semnăturile electronice avansate bazate pe un certificat calificat pentru semnături electronice şi semnăturile electronice calificate care întrebuinţează cel puţin formatele sau metodele definite în actele de punere în aplicare menţionate la alineatul (5).

(2)În cazul în care un stat membru solicită o semnătură electronică avansată bazată pe un certificat calificat pentru utilizarea în cadrul unui serviciu online prestat de către un organism din sectorul public sau în numele acestuia, respectivul stat membru recunoaşte semnăturile electronice avansate bazate pe un certificat calificat şi semnăturile electronice calificate care întrebuinţează cel puţin formatele sau metodele definite în actele de punere în aplicare menţionate la alineatul (5).

Art. 28: Certificate calificate pentru semnăturile electronice

(5)Sub rezerva următoarelor condiţii, statele membre pot să stabilească norme interne cu privire la suspendarea temporară a unui certificat calificat pentru semnătura electronică:

(6)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru certificatele calificate pentru semnăturile electronice. În cazul în care un certificat calificat pentru semnătura electronică îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele prevăzute în anexa I. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

Art. 29: Cerinţe pentru dispozitivele de creare a semnăturilor electronice calificate

(2)Comisia poate, prin intermediul unor acte de punere în aplicare, să stabilească numere de referinţă ale standardelor pentru dispozitivele de creare a semnăturilor electronice calificate. În cazul în care un dispozitiv de creare a semnăturilor electronice calificat îndeplineşte standardele respective, se presupune că acesta respectă cerinţele prevăzute în anexa II. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la art. 48 alineatul (2).

Art. 29^a: Cerinţe privind un serviciu calificat pentru gestionarea dispozitivelor calificate de creare a semnăturii electronice la distanţă

(1)Gestionarea dispozitivelor calificate de creare a semnăturii electronice la distanţă în calitate de serviciu calificat se efectuează numai de către un prestator de servicii de încredere calificat care:

Art. 30: Certificarea dispozitivelor de creare a semnăturilor electronice calificate

(3)Certificarea menţionată la alineatul (1) se bazează pe unul dintre următoarele elemente:

b)un alt proces decât procesul prevăzut la litera (a), cu condiţia ca acest proces să utilizeze niveluri de securitate comparabile şi ca organismul public sau privat menţionat la alineatul (1) să notifice Comisiei respectivul proces. Procesul respectiv poate fi utilizat numai în absenţa standardelor menţionate la litera (a) sau dacă un proces de evaluare de securitate menţionat la litera (a) este în curs de desfăşurare.

Art. 31: Publicarea unei liste a dispozitivelor de creare a semnăturilor electronice certificate şi calificate

(1)Statele membre notifică Comisiei, fără întârzieri nejustificate şi în termen de maximum o lună de la încheierea certificării, informaţii cu privire la dispozitivele de creare a semnăturilor electronice calificate care au fost certificate de către organismele menţionate la art. 30 alineatul (1). De asemenea, statele membre notifică Comisiei, fără întârziere şi în termen de maximum o lună de la anularea certificării, informaţii cu privire la dispozitivele de creare a semnăturii electronice care nu mai sunt certificate.

Art. 32: Cerinţe pentru validarea semnăturilor electronice calificate

(1)Procesul de validare a unei semnături electronice calificate confirmă validitatea unei semnături electronice calificate cu următoarele condiţii:

Art. 32^a: Cerinţe pentru validarea semnăturilor electronice avansate bazate pe certificate calificate

(1)Prin procesul de validare a unei semnături electronice avansate bazate pe un certificat calificat se confirmă validitatea semnăturii electronice avansate bazate pe un certificat calificat în următoarele condiţii:

(3)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru validarea semnăturilor electronice avansate bazate pe certificate calificate. În cazul în care validarea semnăturii electronice avansate bazate pe certificate calificate îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele prevăzute la alineatul (1) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

Art. 33: Serviciul calificat de validare a semnăturilor electronice calificate

(2)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru serviciul calificat de validare menţionat la alineatul (1) de la prezentul articol. În cazul în care serviciul calificat de validare pentru semnături electronice calificate îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele de la alineatul (1) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

Art. 34: Serviciul calificat de păstrare a semnăturilor electronice calificate

SECŢIUNEA 5:Sigiliile electronice

Art. 35: Efectele juridice ale sigiliilor electronice

Art. 36: Cerinţele pentru sigiliile electronice avansate

(1)Un sigiliu electronic avansat îndeplineşte următoarele cerinţele:

(2)Până la 21 mai 2026, Comisia evaluează dacă este necesar să adopte acte de punere în aplicare prin care să stabilească o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru sigiliile electronice avansate. Pe baza rezultatului evaluării respective, Comisia poate adopta astfel de acte de punere în aplicare. În cazul în care un sigiliu electronic avansat îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele privind sigiliile electronice avansate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

Art. 37: Sigiliile electronice în cadrul serviciilor publice

(1)În cazul în care un stat membru solicită un sigiliu electronic avansat pentru utilizarea în cadrul unui serviciu online prestat de către un organism din sectorul public sau în numele acestuia, respectivul stat membru recunoaşte sigiliile electronice avansate, sigiliile electronice avansate bazate pe un certificat calificat pentru sigilii electronice şi sigiliile electronice calificate care întrebuinţează cel puţin formatele sau metodele definite în actele de punere în aplicare menţionate la alineatul (5).

Art. 38: Certificate calificate pentru sigiliul electronic

(5)Sub rezerva următoarelor condiţii, statele membre pot să stabilească norme interne cu privire la suspendarea temporară a certificatelor calificate pentru sigiliile electronice:

(6)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru certificatele calificate pentru sigiliul electronic. În cazul în care un certificat calificat pentru sigiliul electronic îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele prevăzute în anexa III. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

SECŢIUNEA 6:Mărcile temporale electronice

Art. 41: Efectul juridic al mărcilor temporale electronice

Art. 42: Cerinţe pentru mărcile temporale electronice calificate

(1)O marcă temporală electronică calificată îndeplineşte următoarele cerinţe:

SECŢIUNEA 7:Serviciul de distribuţie electronică înregistrată

Art. 43: Efectul juridic al unui serviciu de distribuţie electronică înregistrată

Art. 44: Cerinţe pentru serviciile de distribuţie electronică înregistrată calificate

(1)Serviciile de distribuţie electronică înregistrată calificate îndeplinesc următoarele cerinţe:

(2²)Comisia poate stabili, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru cadrul de interoperabilitate menţionat la alineatul (2a) de la prezentul articol. Specificaţiile tehnice şi conţinutul standardelor sunt eficiente din punctul de vedere al costurilor şi proporţionale. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

SECŢIUNEA 8:Autentificarea unui site internet

Art. 45: Cerinţe pentru certificatele calificate pentru autentificarea unui site internet

(1¹)Certificatele calificate pentru autentificarea unui site internet emise în conformitate cu alineatul (1) de la prezentul articol sunt recunoscute de furnizorii de browsere web. Furnizorii de browsere web asigură faptul că datele de identitate atestate în certificat şi atributele suplimentare atestate sunt afişate într-un mod uşor de recunoscut de către utilizator. Furnizorii de browsere web asigură suport şi interoperabilitate cu certificatele calificate pentru autentificarea unui site internet menţionate la alineatul (1) de la prezentul articol, cu excepţia microîntreprinderilor sau a întreprinderilor mici, astfel cum sunt definite la articolul 2 din anexa la Recomandarea 2003/361/CE, în primii cinci ani de funcţionare ca prestatori de servicii de navigare pe internet.

Art. 45^a: Măsuri de precauţie în materie de securitate cibernetică

(3)În cazul în care un furnizor de browsere web ia măsuri de precauţie conform alineatului (2), furnizorul de browsere web îşi notifică suspiciunile în scris, fără întârzieri nejustificate, împreună cu o descriere a măsurilor luate pentru a remedia aceste suspiciuni, Comisiei, organismului de supraveghere competent, entităţii căreia i-a fost emis certificatul şi prestatorului de servicii de încredere calificat care a emis certificatul sau setul de certificate. La primirea unei astfel de notificări, organismul de supraveghere competent emite furnizorului de browsere web în cauză o confirmare de primire.

SECŢIUNEA 9:ATESTATUL ELECTRONIC AL ATRIBUTELOR

Art. 45^b: Efectele juridice ale atestatului electronic al atributelor

Art. 45^c: Atestatul electronic al atributelor în serviciile publice

Atunci când identificarea electronică cu ajutorul unui mijloc de identificare electronică şi al autentificării este obligatorie în temeiul dreptului intern pentru a accesa un serviciu prestat online de un organism din sectorul public, datele de identificare personală din atestatul electronic al atributelor nu înlocuiesc identificarea electronică cu ajutorul unui mijloc de identificare electronică şi al autentificării pentru identificarea electronică, cu excepţia cazului în care acest lucru este permis în mod expres de statul membru. Într-un astfel de caz, se acceptă, de asemenea, atestatul electronic calificat al atributelor din alte state membre.

Art. 45^d: Cerinţe privind atestatul electronic calificat al atributelor

(5)Până la 21 noiembrie 2024, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind atestatele electronice calificate ale atributelor. Actele de punere în aplicare respective sunt în concordanţă cu actele de punere în aplicare menţionate la articolul 5a alineatul (23) privind implementarea portofelului european pentru identitatea digitală. Acestea se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

Art. 45^e: Verificarea atributelor în raport cu surse autentice

(1)În termen de 24 de luni de la data intrării în vigoare a actelor de punere în aplicare menţionate la articolul 5a alineatul (23) şi la articolul 5c alineatul (6), statele membre se asigură că, cel puţin în cazul atributelor enumerate în anexa VI, ori de câte ori respectivele atribute se bazează pe surse autentice din sectorul public, se iau măsuri pentru a permite prestatorilor de servicii de încredere calificaţi care pun la dispoziţie atestate electronice ale atributelor să verifice respectivele atribute prin mijloace electronice, la cererea utilizatorului, în conformitate cu dreptul Uniunii sau cu dreptul intern.

(2)Până la 21 noiembrie 2024, ţinând seama de standardele internaţionale relevante, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri pentru catalogul de atribute, precum şi sisteme pentru atestarea atributelor şi procedurile de verificare pentru atestatele electronice calificate ale atributelor în sensul alineatului (1) de la prezentul articol. Actele de punere în aplicare respective sunt în concordanţă cu actele de punere în aplicare menţionate la articolul 5a alineatul (23) privind implementarea portofelului european pentru identitatea digitală şi se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

Art. 45^f: Cerinţe privind atestatul electronic al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele unui astfel de organism

(1)Un atestat electronic al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele unui astfel de organism îndeplineşte următoarele cerinţe:

b)cerinţa ca certificatul calificat care stă la baza semnăturii electronice calificate sau a sigiliului electronic calificat al organismului din sectorul public menţionat la articolul 3 punctul 46, identificat drept emitentul menţionat la litera (b) din anexa VII, să conţină un set specific de atribute certificate într-o formă adecvată pentru prelucrarea automată, care:

(3)Statele membre notifică Comisiei organismele din sectorul public menţionate la articolul 3 punctul 46. Notificarea respectivă include un raport de evaluare a conformităţii emis de un organism de evaluare a conformităţii care confirmă că sunt îndeplinite cerinţele prevăzute la alineatele (1), (2) şi (6) de la prezentul articol. Comisia pune la dispoziţia publicului, printr-un canal sigur, lista organismelor din sectorul public menţionate la articolul 3 punctul 46, într-o formă purtând o semnătură electronică sau un sigiliu electronic, adecvată pentru prelucrarea automată.

(6)Până la 21 noiembrie 2024, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind atestatul electronic al atributelor emis de un organism din sectorul public responsabil de o sursă autentică sau în numele unui astfel de organism. Actele de punere în aplicare respective sunt în concordanţă cu actele de punere în aplicare menţionate la articolul 5a alineatul (23) privind implementarea portofelului european pentru identitatea digitală. Acestea se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

(7)Până la 21 noiembrie 2024, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri în sensul alineatului (3) de la prezentul articol. Actele de punere în aplicare respective sunt în concordanţă cu actele de punere în aplicare menţionate la articolul 5a alineatul (23) privind implementarea portofelului european pentru identitatea digitală. Acestea se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

Art. 45^g: Emiterea atestatului electronic al atributelor pentru portofelele europene pentru identitatea digitală

Art. 45^h: Norme suplimentare privind prestarea serviciilor de atestare electronică a atributelor

SECŢIUNEA 10:SERIVICII DE ARHIVARE ELECTRONICĂ

Art. 45ⁱ: Efectul juridic al serviciilor de arhivare electronică

Art. 45^j: Cerinţe privind serviciile calificate de arhivare electronică

(1)Serviciile calificate de arhivare electronică îndeplinesc următoarele cerinţe:

d)permit beneficiarilor autorizaţi să primească în mod automat un raport care confirmă faptul că datele electronice şi documentele electronice extrase dintr-o arhivă electronică calificată beneficiază de prezumţia de integritate a datelor de la începutul perioadei de păstrare până în momentul extragerii.

(2)Până la 21 mai 2025, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, o listă de standarde de referinţă şi, dacă este necesar, specificaţii şi proceduri privind serviciile calificate de arhivare electronică. În cazul în care un serviciu calificat de arhivare electronică îndeplineşte standardele, specificaţiile şi procedurile respective, se prezumă că sunt respectate cerinţele privind serviciile calificate de arhivare electronică. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

SECŢIUNEA 11:REGISTRE ELECTRONICE

Art. 45^k: Efectele juridice ale registrelor electronice

Art. 45^l: Cerinţe privind registrele electronice calificate

CAPITOLUL IV^a:CADRUL DE GUVERNANŢĂ

Art. 46^a: Supravegherea cadrului pentru portofelul european pentru identitatea digitală

(3)Rolul organismelor de supraveghere desemnate în temeiul alineatului (1) constă în:

(4)Printre sarcinile organismelor de supraveghere desemnate în temeiul alineatului (1) se numără, în special, următoarele:

c)să informeze autorităţile competente relevante ale statelor membre în cauză, desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555, cu privire la orice încălcare semnificativă a securităţii sau pierdere a integrităţii de care iau cunoştinţă în îndeplinirea sarcinilor lor şi, în cazul unei încălcări semnificative a securităţii sau al pierderii integrităţii care priveşte alte state membre, să informeze punctul unic de contact din statul membru în cauză, desemnat sau înfiinţat în temeiul articolului 8 alineatul (3) din Directiva (UE) 2022/2555, şi punctele unice de contact din celelalte state membre în cauză, desemnate în temeiul articolului 46c alineatul (1) din prezentul regulament, şi să informeze publicul sau să solicite furnizorilor de portofele europene pentru identitatea digitală să facă acest lucru în cazul în care organismul de supraveghere consideră că divulgarea încălcării securităţii sau a pierderii integrităţii ar fi de interes public;

(5)În cazul în care organismul de supraveghere desemnat în temeiul alineatului (1) solicită furnizorului unui portofel european pentru identitatea digitală să remedieze orice neîndeplinire a cerinţelor prevăzute în prezentul regulament în temeiul alineatului (4) litera (e), iar furnizorul respectiv nu acţionează în consecinţă şi, dacă este cazul, într-un termen stabilit de organismul de supraveghere, organismul de supraveghere desemnat în temeiul alineatului (1) poate, ţinând seama, în special, de amploarea, durata şi consecinţele respectivei neîndepliniri, să dispună ca furnizorul să suspende sau să înceteze furnizarea portofelului european pentru identitatea digitală. Organismul de supraveghere informează fără întârzieri nejustificate organismele de supraveghere ale altor state membre, Comisia, beneficiarii şi utilizatorii portofelului european pentru identitatea digitală cu privire la decizia de a solicita suspendarea sau încetarea furnizării portofelului european pentru identitatea digitală.

Art. 46^b: Supravegherea serviciilor de încredere

(1)Statele membre desemnează un organism de supraveghere înfiinţat pe teritoriul lor sau desemnează, de comun acord cu un alt stat membru, un organism de supraveghere înfiinţat în acel alt stat membru. Organismul de supraveghere respectiv este responsabil de sarcinile de supraveghere în statul membru care l-a desemnat în ceea ce priveşte serviciile de încredere.

(3)Rolul organismelor de supraveghere desemnate în temeiul alineatului (1) constă în:

(4)Printre sarcinile organismelor de supraveghere desemnate în temeiul alineatului (1) se numără, în special, următoarele:

a)să informeze autorităţile competente relevante ale statelor membre în cauză, desemnate sau înfiinţate în temeiul articolului 8 alineatul (1) din Directiva (UE) 2022/2555, cu privire la orice încălcare semnificativă a securităţii sau pierdere a integrităţii de care iau cunoştinţă în îndeplinirea sarcinilor lor şi, în cazul unei încălcări semnificative a securităţii sau al pierderii integrităţii care priveşte alte state membre, să informeze punctul unic de contact din statul membru în cauză, desemnat sau înfiinţat în temeiul articolului 8 alineatul (3) din Directiva (UE) 2022/2555, şi punctele unice de contact din celelalte state membre în cauză, desemnate în temeiul articolului 46c alineatul (1) din prezentul regulament, şi să informeze publicul sau să solicite prestatorului de servicii de încredere să facă acest lucru în cazul în care organismul de supraveghere consideră că divulgarea încălcării securităţii sau a pierderii integrităţii ar fi de interes public;

(7)Până la 21 mai 2025, Comisia adoptă orientări privind îndeplinirea de către organismele de supraveghere desemnate în temeiul alineatului (1) de la prezentul articol a sarcinilor menţionate la alineatul (4) de la prezentul articol şi, prin intermediul unor acte de punere în aplicare, stabileşte formatele şi procedurile privind raportul menţionat la alineatul (6) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 48 alineatul (2).

Art. 46^c: Puncte unice de contact

Art. 46^d: Asistenţă reciprocă

(1)Pentru a facilita supravegherea şi executarea obligaţiilor prevăzute de prezentul regulament, organismele de supraveghere desemnate în temeiul articolului 46a alineatul (1) sau al articolului 46b alineatul (1) pot solicita, inclusiv prin intermediul grupului de cooperare înfiinţat în temeiul articolului 46e alineatul (1), asistenţă reciprocă din partea organismelor de supraveghere dintr-un alt stat membru în care este stabilit furnizorul portofelului european pentru identitatea digitală sau prestatorul de servicii de încredere sau în care se află reţeaua şi sistemele sale informatice ori sunt prestate serviciile acestuia.

(2)Asistenţa reciprocă implică cel puţin faptul că:

Art. 46^e: Grupul european de cooperare privind identitatea digitală

(5)Grupului de cooperare îi revin următoarele sarcini:

c)pentru a sprijini organismele de supraveghere la punerea în aplicare a dispoziţiilor prezentului regulament:

(vi)să organizeze reuniuni comune cu Grupul de cooperare NIS înfiinţat în temeiul articolului 14 alineatul (1) din Directiva (UE) 2022/2555 pentru a face schimb de informaţii relevante în ceea ce priveşte ameninţările cibernetice, incidentele, vulnerabilităţile, iniţiativele de sensibilizare, cursurile de formare, exerciţiile şi competenţele, consolidarea capacităţilor, capacităţile în materie de standarde şi specificaţii tehnice, precum şi standardele şi specificaţiile tehnice în legătură cu serviciile de încredere şi identificarea electronică;

CAPITOLUL V:DELEGAREA DE COMPETENŢE ŞI MĂSURI DE PUNERE ÎN APLICARE

Art. 47: Exercitarea delegării

(3)Delegarea de competenţe menţionată la articolul 5c alineatul (7), la articolul 24 alineatul (4b) şi la articolul 30 alineatul (4) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competenţe specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menţionată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.

(5)Un act delegat adoptat în temeiul articolului 5c alineatul (7), al articolului 24 alineatul (4b) sau al articolului 30 alineatul (4) intră în vigoare numai în cazul în care nici Parlamentul European şi nici Consiliul nu au formulat obiecţii în termen de două luni de la notificarea acestuia către Parlamentul European şi Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European şi Consiliul au informat Comisia că nu vor formula obiecţii. Respectivul termen se prelungeşte cu două luni la iniţiativa Parlamentului European sau a Consiliului.

CAPITOLUL VI:DISPOZIŢII FINALE

Art. 48^a: Cerinţe de raportare

(2)Datele statistice colectate în conformitate cu alineatul (1) includ următoarele:

Art. 49: Reexaminare

(1)Comisia reexaminează modul de aplicare a prezentului regulament şi, până la 21 mai 2026, prezintă un raport în acest sens Parlamentului European şi Consiliului. În respectivul raport, Comisia evaluează, în special, dacă este oportun să se modifice domeniul de aplicare al prezentului regulament sau dispoziţiile sale specifice, inclusiv, în special, dispoziţiile articolului 5c alineatul (5), ţinând seama de experienţa dobândită în aplicarea prezentului regulament, precum şi de evoluţiile tehnologice, ale pieţei şi juridice. Dacă este necesar, raportul respectiv este însoţit de o propunere de modificare a prezentului regulament.

(2)Raportul menţionat la alineatul (1) include o analiză a disponibilităţii, a securităţii şi a posibilităţii de utilizare a mijloacelor de identificare electronică notificate şi a portofelelor europene pentru identitatea digitală care intră în domeniul de aplicare al prezentului regulament şi analizează dacă tuturor prestatorilor privaţi de servicii online care recurg la servicii de identificare electronică furnizate de terţi pentru autentificarea utilizatorilor trebuie să le revină obligaţia să accepte utilizarea mijloacelor de identificare electronică notificate şi a portofelului european pentru identitatea digitală.

Art. 51: Măsuri tranzitorii

(3)Până la 21 mai 2026, gestionarea dispozitivelor calificate de creare a semnăturilor şi sigiliilor electronice la distanţă de către alţi prestatori de servicii de încredere calificaţi decât cei care prestează servicii de încredere calificate pentru gestionarea dispozitivelor calificate de creare a semnăturilor şi sigiliilor electronice la distanţă în conformitate cu articolele 29a şi 39a, se poate desfăşura fără să fie necesară obţinerea statutului de calificat pentru prestarea acestor servicii de gestionare.

Art. 52: Intrarea în vigoare

(2)Prezentul regulament se aplică de la 1 iulie 2016, cu excepţia următoarelor dispoziţii:

a)art. 8 alineatul (3), art. 9 alineatul (5), art. 12 alineatele (2)-(9), art. 17 alineatul (8), art. 19 alineatul (4), art. 20 alineatul (4), art. 21 alineatul (4), art. 22 alineatul (5), art. 23 alineatul (3), art. 24 alineatul (5), art. 27 alineatele (4) şi (5), art. 28 alineatul (6), art. 29 alineatul (2), art. 30 alineatele (3) şi (4), art. 31 alineatul (3), art. 32 alineatul (3), art. 33 alineatul (2), art. 34 alineatul (2), art. 37 alineatele (4) şi (5), art. 38 alineatul (6), art. 42 alineatul (2), art. 44 alineatul (2), art. 45 alineatul (2) şi articolele 47 şi 48 se aplică de la 17 septembrie 2014;

(3)În cazul în care sistemul de identificare electronică notificat este inclus în lista publicată de Comisie în conformitate cu art. 9 înainte de data menţionată la alineatul (2) litera (c) de la prezentul articol, recunoaşterea mijloacelor de identificare electronică din cadrul sistemului respectiv în temeiul art. 6 are loc cel târziu în termen de 12 luni de la publicarea respectivului sistem, dar nu înainte de data menţionată la alineatul (2) litera (c) de la prezentul articol.

(4)Fără a aduce atingere alineatului (2) litera (c) de la prezentul articol, un stat membru poate decide ca mijloacele de identificare electronică din cadrul unui sistem de identificare electronică notificat în temeiul art. 9 alineatul (1) de către un alt stat membru să fie recunoscute de primul stat membru de la data aplicării actelor de punere în aplicare menţionate la art. 8 alineatul (3) şi la art. 12 alineatul (8). Statele membre vizate informează Comisia. Comisia publică aceste informaţii.

ANEXA I:CERINŢE PENTRU CERTIFICATELE CALIFICATE PENTRU SEMNĂTURI ELECTRONICE

ANEXA II:CERINŢE PENTRU DISPOZITIVELE DE CREARE A SEMNĂTURILOR ELECTRONICE CALIFICATE

1.Dispozitivele de creare a semnăturilor electronice calificate garantează, prin mijloace tehnice şi procedurale adecvate, cel puţin că:

ANEXA III:CERINŢE PENTRU CERTIFICATELE CALIFICATE PENTRU SIGILIILE ELECTRONICE

ANEXA IV:CERINŢE PENTRU CERTIFICATELE CALIFICATE PENTRU AUTENTIFICAREA UNUI SITE INTERNET

ANEXA V:CERINŢE PRIVIND ATESTATUL ELECTRONIC CALIFICAT AL ATRIBUTELOR

ANEXA VI:LISTA MINIMĂ A ATRIBUTELOR

În temeiul articolului 45e, statele membre se asigură că sunt adoptate măsuri pentru a le permite prestatorilor de servicii de încredere calificaţi care pun la dispoziţie atestate electronice ale atributelor să verifice prin mijloace electronice, la cererea utilizatorului, autenticitatea următoarelor atribute prin raportare la sursa autentică relevantă la nivel naţional sau prin intermediul unor intermediari desemnaţi recunoscuţi la nivel naţional, în conformitate cu dreptul Uniunii sau cu dreptul intern şi în cazurile în care aceste atribute se bazează pe surse autentice din cadrul sectorului public:

ANEXA VII:CERINŢE PRIVIND ATESTATUL ELECTRONIC AL ATRIBUTELOR EMIS DE UN ORGANISM PUBLIC RESPONSABIL DE O SURSĂ AUTENTICĂ SAU ÎN NUMELE UNUI ASTFEL DE ORGANISM