Доверителни услуги
Съгласно Регламента за европейската цифрова самоличност определението за удостоверителни услуги е по-широко, отколкото съгласно първоначалния Регламент относно електронната идентификация и удостоверителните услуги. Обхванати са следните удостоверителни услуги:
Удостоверения за електронни подписи, удостоверения за електронни печати, удостоверения за автентичност на уебсайтове или удостоверения за предоставяне на други удостоверителни услуги
С Регламента за европейската цифрова самоличностсе запазва правната рамка за удостоверенията, по-специално различните удостоверения, пригодени за конкретни цели. Те включват удостоверения за електронни подписи, за електронни печати, за удостоверяване на автентичността на уебсайтове и за предоставяне на други удостоверителни услуги. Удостоверението се определя като електронно удостоверение за самоличността на лицето, на което е издадено, и служи като доказателство за улесняване на определени действия. Запазва се разграничението между квалифицирани и неквалифицирани удостоверения, което зависи от статута на доставчика на удостоверителни услуги и от степента на надеждност по отношение на удостоверената информация. И накрая, единственото допълнение по отношение на удостоверенията е възможността за заявяване и съхраняване на тези удостоверения в рамките на европейския портфейлза цифрова самоличност, независимо от вида на удостоверението.
Електронни подписи
С Регламента за европейската цифрова самоличност се запазва правната рамка за електронните подписи, които се издават и използват от физически лица за подписване на документ или данни. Разграничението между електронни подписи, усъвършенствани електронни подписи и квалифицирани електронни подписи се запазва, като последните имат същата правна сила като саморъчните подписи в целия Съюз. Новият регламент за европейската цифрова самоличност ще направи използването на квалифицирани електронни подписи безплатно за всички физически лица за непрофесионални цели, когато са създадени чрез европейския портфейл за цифрова самоличност.
Електронни пломби
Регламентътза европейската цифрова самоличност не променя нито определението за електронни печати, нито тяхното създаване, валидиране или съхранение. Електронни печати се издават, създават и използват от юридически лица, за да се гарантира произходът и целостта на данните/документите. В регламента също така се запазва разграничението между електронни печати, усъвършенствани електронни печати и квалифицирани електронни печати.
Електронни удостоверения за атрибути
С Регламента за европейската цифрова самоличност беше въведено издаването на електронно удостоверение за атрибути (ЕУА) като нова удостоверителна услуга. EAAS се определят като удостоверение в електронна форма, което позволява удостоверяване на автентичността на атрибутите. Съгласно член 45б, параграф 1 правната сила или допустимостта на тези удостоверения като доказателства в съдебни производства не може да бъде оспорена единствено поради факта, че те са в електронен формат. Въпреки че тези удостоверителни услуги могат да бъдат квалифицирани или неквалифицирани, в зависимост от статута на доставчика на удостоверителни услуги неквалифицираните ИССС все пак трябва да бъдат допуснати и признати в съдебни производства, въпреки че трансграничното признаване няма да бъде задължително за тях. ИССС може да бъде издаден и от орган от публичния сектор, отговарящ за автентичен източник, или от организация, действаща от негово име. Потребителите ще могат да използват своите европейски портфейли за цифрова самоличност, за да получават, валидират и споделят своите ИССС.
Електронни времеви печати
Регламентът за европейската цифрова самоличност не променя разпоредбите относно електронните времеви печати. Тяхното издаване има за цел да гарантира точността на времето, свързано с данните/документите. Регламентът за европейската цифрова самоличност не променя разпоредбите, уреждащи удостоверителните услуги, които гарантират тяхното създаване (включително на квалифицирано равнище) и валидиране.
Удостоверяване на автентичността на уебсайта
Удостоверяването на автентичността на уебсайтове вече е предвидено в Регламент (ЕС) No 910/2014 относно електронната идентификацияи удостоверителните услуги. Съгласно преразгледания регламент квалифицирано удостоверение за автентичност на уебсайт (QWAC) се издава на физическо или юридическо лице и дава възможност за автентификация на уебсайт и за свързване на уебсайта със самоличността на лицето, на което е издадено удостоверението. Регламентът изисква уеб браузърите да разпознават QWAC и да показват данните за самоличност на собственика на уебсайта по лесен за ползване начин. Сертификатите могат да бъдат квалифицирани или неквалифицирани и използването на такива сертификати от уебсайтовете следва да бъде доброволно.
Електронно архивиране
С Регламента за европейската цифрова самоличност беше въведено електронното архивиране на електронни данни и електронни документи като удостоверителна услуга, която се отнася до гарантирането на получаването, съхранението, извличането и заличаването на електронни данни и електронни документи. Те могат да бъдат квалифицирани или неквалифицирани, когато се предоставят съответно от доставчик на квалифицирани или неквалифицирани удостоверителни услуги.
Устройства за създаване на подпис/печат
С Регламента за европейската цифрова самоличност беше въведена квалифицирана удостоверителна услуга за управление на устройства за създаване на квалифициран електронен подпис/печати от разстояние от името на потребителите. В Регламент (ЕС) No 910/2014 управлението на такива квалифицирани устройства от разстояние не е категоризирано като отделна удостоверителна услуга.
Електронни регистри
С Регламента за европейската цифрова самоличност се въвежда записването на електронни данни в електронните регистри като удостоверителна услуга. Електронните регистри се определят като услуги, които предлагат последователен хронологичен ред на записите на данни, гарантиращ целостта и точността както на самите записи, така и на техния хронологичен ред. Могат да бъдат разграничени две типологии на електронните регистри: централизирана и разпределена. Регламентът заема неутрална позиция по отношение на тази типология или дори на използваната технология. Освен това електронните регистри могат да бъдат квалифицирани или неквалифицирани. Като цяло целта е електронните регистри, заедно с други технологии, да допринасят за решения за по-ефективни и преобразуващи обществени услуги.
Услуга за електронна препоръчана поща
С Регламента за европейската цифрова самоличност услугите за електронна препоръчана поща се запазват като удостоверителни услуги. Тези услуги осигуряват сигурен канал за предаване на документи, включително доказателство за изпращане и получаване на данните. Те гарантират пълна сигурност при идентифицирането на адресата и поддържат високо ниво на доверие при идентифицирането на изпращача. Те могат да бъдат квалифицирани или неквалифицирани, докато само квалифицираните услуги за електронна препоръчана поща получават признаване в целия ЕС.
От правна гледна точка както квалифицираните, така и неквалифицираните удостоверителни услуги се ползват от клауза за недискриминация като доказателство в съдилищата. С други думи, удостоверителните услуги не могат да бъдат отхвърлени в съдебни производства само на основание, че са в електронна форма или защото не са квалифицирани.
Въпреки това, поради по-строгите изисквания, приложими за доставчиците на квалифицирани удостоверителни услуги, квалифицираните удостоверителни услуги осигуряват по-силно специфично правно действие от неквалифицираните, както и по-висока техническа сигурност: Квалифицираният електронен подпис има същата правна сила като саморъчния подпис. Квалифицираният електронен печат се ползва с презумпцията за цялостност на данните и за верност на произхода на данните, с които е свързан квалифицираният електронен печат. Квалифицираното електронно удостоверение за атрибути и удостоверенията за атрибути, издадени от орган от публичния сектор, отговарящ за автентичен източник, или от негово име, имат същата правна сила като законно издадените удостоверения на хартиен носител. Следователно квалифицираните удостоверителни услуги осигуряват по-голяма правна сигурност и по-голяма сигурност на електронните трансакции.
Няма промяна по отношение на правното действие, предоставено на електронните подписи, от първоначалния Регламент относно електронната идентификация и удостоверителните услуги към Регламента относно европейската цифрова самоличност. Това, което ще се промени, е достъпността и лекотата за всеки да създава квалифицирани електронни подписи. След като бъдат включени в европейски портфейл за цифрова самоличност, всички физически лица ще могат да подписват с квалифициран електронен подпис по подразбиране чрез европейски портфейл за цифрова самоличност безплатно за непрофесионални цели.
Регламент 910/2014 относно електронната идентификация и удостоверителните услуги първоначално въведе използването на електронни печати от юридически лица и тази разпоредба остава непроменена съгласно изменения регламент. Подобно на физическите лица, юридическите лица също ще получат достъп до функционалността за електронно подпечатване на документи чрез използване на своя европейски портфейл за цифрова самоличност. Доставчиците на европейски портфейл за цифрова самоличност или държавите членки обаче не са задължени да предлагат безплатно такива функции за юридически лица и/или за случаи на професионална употреба.
В Регламента за европейската цифрова самоличност се запазва принципът на недискриминация на електронните документи, като се посочва, че правните последици или допустимостта им не могат да бъдат оспорени единствено на основанието, че са в електронна форма. Освен това не се прави разграничение между електронни данни, електронни документи, създадени в електронна форма, и физически документи, които са били цифровизирани. И накрая, като използва електронното архивиране като удостоверителна услуга, регламентът установява рамка, която улеснява дълготрайността и четливостта на електронните документи, както и запазването на тяхната цялост, поверителност и доказателство за произход през целия период на съхранение.
Що се отнася до правните последици, разпоредбите на Регламента относно електронната идентификация и удостоверителните услуги, съгласно които квалифицираният електронен подпис или печат въз основа на квалифицирано удостоверение, издадено в една държава членка, се признава за квалифициран електронен подпис или печат съответно във всички други държави членки, са запазени в Регламента за европейската цифрова самоличност (EUDI).
В срок от 12 месеца от датата на влизане в сила на Регламента за EUDI Комисията ще изготви чрез актове за изпълнение списък на референтните стандарти, спецификации и процедури, ако е необходимо, за квалифицираните удостоверения за електронни подписи. Следователно от доставчиците на квалифицирани удостоверителни услуги, които отговарят за издаването или валидирането на квалифицирани удостоверения за електронни подписи, ще се изисква да се придържат към посочените стандарти и процедури. Квалифицираните удостоверения за електронни подписи, издадени преди датата на влизане в сила на тези актове за изпълнение, остават валидни до изтичането на срока им на действие или до отмяната им, в зависимост от това кое от двете събития настъпи първо.
В срок от 12 месеца от датата на влизане в сила на Регламента за EUDI Комисията ще изготви чрез актове за изпълнение списък на референтните стандарти, спецификации и процедури, ако е необходимо, за квалифицирани удостоверения за електронни печати. Следователно от доставчиците на квалифицирани удостоверителни услуги, които отговарят за издаването или валидирането на удостоверения за квалифицирани електронни печати, ще се изисква да се придържат към посочените стандарти и процедури. Квалифицираните удостоверения за електронни печати, издадени преди датата на влизане в сила на тези актове за изпълнение, остават валидни до изтичането на срока им на действие или до отмяната им, в зависимост от това кое от двете събития настъпи първо.
Доставчици на удостоверителни услуги
- Ако доставчик на удостоверителни услуги (ДУУ) желае да предоставя квалифицирана удостоверителна услуга, той първо изисква оценка от акредитиран орган за оценяване на съответствието (ООС). ООС трябва да потвърди, че кандидатът за доставчик на квалифицирани удостоверителни услуги и квалифицираните удостоверителни услуги, които възнамерява да предоставя, отговарят на изискванията, определени в Регламента за европейската цифрова самоличност и в член 21 от Директива (ЕС) 2022/2555 за МИС2. Този процес обикновено се нарича "одит".
- След като ДТС получи доклада, той трябва да подаде искане до надзорния орган на държавата, в която е установен, заедно с доклада от органа за оценяване на съответствието, потвърждаващ съответствието. Надзорният орган следва да провери това твърдение за съответствие в срок от три месеца. Ако проверката на надзорния орган отнеме повече време от очакваното, ДПУ ще бъде уведомен за това забавяне в срок от три месеца от подаването, като ще бъдат обяснени причините за забавянето и ще бъде предоставен актуализиран график.
- След като проверката приключи положително, надзорният орган ще предостави квалифициран статут. След това националният доверителен списък на доставчиците на квалифицирани удостоверителни услуги ще бъде актуализиран. Едва след като отговорният орган го добави към списъка, на QTSP ще бъде разрешено да започне да предлага своята квалифицирана удостоверителна услуга. Предлаганите квалифицирани удостоверителни услуги ще се ползват от трансгранично признаване в целия ЕС.
Квалифицираните удостоверителни услуги се подлагат на оценяване на съответствието на всеки 24 месеца. Органът за оценяване на съответствието извършва одит на QTSP и на предоставяната квалифицирана удостоверителна услуга. Ако тя все още отговаря на изискванията, определени в Регламента за европейската цифрова самоличност, ще бъде издаден доклад до QTSP. При получаване QTSP разполага с три работни дни от датата на получаване, за да представи доклада на надзорния орган. След положителна проверка от надзорния орган квалифицираният статут се запазва. Надзорният орган обаче си запазва правото да изисква допълнителни доказателства или да извършва допълнителни оценки по всяко време, когато е необходимо.
Когато QTSP планира одит, той трябва да информира надзорния орган най-малко един месец предварително. Освен това надзорният орган има право да присъства на одита заедно с органа за оценяване на съответствието, ако надзорният орган желае това.
В периода между два редовни одита надзорният орган може по всяко време да извърши одит или да поиска от орган за оценяване на съответствието да извърши оценяване на съответствието, да потвърди квалифицирания статут на предоставяните услуги и на самия него.
Ако QTSP вече е получил квалифициран статут за издаване на квалифицирани удостоверения преди влизането в сила на регламента, той трябва да представи доклад за оценка на съответствието на надзорен орган не по-късно от две години след влизането в сила на регламента.
Ако QTSP не отговаря на изискванията, посочени в Регламента за европейската цифрова самоличност, и не ги коригира в определения срок, след като бъде информиран, квалифицираният статут може да бъде оттеглен и националният доверителен списък да бъде съответно актуализиран.
От момента, в който квалифицираният статут на предоставяната от доставчика на удостоверителни услуги удостоверителна услуга бъде посочен като оттеглен в доверителния списък, доставчикът на удостоверителни услуги вече няма право да предоставя тази квалифицирана удостоверителна услуга.
В Регламента за европейската цифрова самоличност органът за оценяване на съответствието (ООС) се определя като структура, компетентна да оценява доставчиците на квалифицирани удостоверителни услуги и предлаганите от тях услуги.
Първоначално националните органи по акредитация (НОА) или държавите членки не са били задължени да информират Европейската комисия за акредитираните ООС съгласно член 3, параграф 18 от Регламента относно електронната идентификация и удостоверителните услуги.
Въпреки това, благодарение на съвместните усилия на НОА и надзорните органи, Комисията състави списък на акредитираните по eIDAS ООС.
Съгласно Регламент (ЕС) No 910/2014 относно електронната идентификация и удостоверителните услуги ООС са изброени в държавата, в която се намира акредитиращият НОА, която може да се различава от държавата на установяване на ООС.
С Регламента за европейската цифрова самоличност се въвежда промяна, тъй като от държавите членки ще се изисква своевременно да уведомяват Комисията за акредитираните ООС, включително техните имена, адреси и данни за акредитацията, заедно с всички последващи промени. Тази информация ще бъде споделена с всички държави членки и ще остане достъпна за обществеността.
Доверителните списъци са от съществено значение за гарантирането на сигурност и изграждането на доверие сред участниците на пазара. Доверителните списъци непрекъснато показват квалифицирания статут на доставчика на удостоверителни услуги и удостоверителната услуга, която той предлага. Списъкът насърчава оперативната съвместимост на квалифицираните удостоверителни услуги, като улеснява валидирането, наред с другото, на квалифицирани електронни подписи и квалифицирани електронни печати.
Съгласно Регламента за европейската цифрова самоличност националните доверителни списъци продължават да имат конститутивно правно действие, какъвто вече беше случаят съгласно първоначалния Регламент относно електронната идентификация и удостоверителните услуги. С други думи, даден доставчик/услуга ще бъде квалифициран само ако фигурира с валиден квалифициран статут в националния доверителен списък на държавата членка, в която е установен. Следователно ползвателите (граждани, предприятия или публични администрации) ще се възползват от правните последици, свързани с дадена квалифицирана удостоверителна услуга, само ако последната е включена (като квалифицирана) в съответния доверителен списък.
Съгласно новия Регламент за европейската цифрова самоличност доставчиците на браузъри не са задължени да разпознават, интегрират или използват доверителните списъци в своите продукти. Задължението за браузърите е ограничено до показване на сертифицираните данни за самоличност и другите удостоверени атрибути на крайния ползвател по лесен за ползване начин в средата на браузъра чрез технически средства по техен избор. Целта е да се повиши сигурността и прозрачността на интернет като надеждни услуги.
Не. Доставчиците на удостоверителни услуги вземат бизнес решение дали да предоставят една, повече от една или всички удостоверителни услуги, включително предоставянето на тези услуги в тяхната квалифицирана версия.
Да, в контекста на предоставянето на квалифицирано удостоверение или квалифицирано удостоверение за атрибути от доставчик на квалифицирани удостоверителни услуги (QTSP) се изисква да провери самоличността на физическото или юридическото лице. Това изискване обхваща и случаите, в които се издава квалифицирана услуга за електронна препоръчана поща. Съгласно член 24 от Регламента за европейската цифрова самоличност, когато издава квалифицирано удостоверение или квалифицирано електронно удостоверение за атрибути, QTSP трябва да провери самоличността и всички необходими атрибути на въпросното лице. Това гарантира, че QTSP има сигурност по отношение на точността и верността на самоличността на лицето, както и на всички съответни атрибути, към момента на издаване. Проверката може да се извърши с помощта на различни методи, включително европейския портфейл за цифрова самоличност, квалифицирани електронни подписи или печати или други високонадеждни методи. Освен това физическото присъствие на физическото лице или упълномощен представител на юридическото лице също може да служи като средство за проверка.
Не. Съгласно принципа на вътрешния пазар (член 4) и член 24а от Регламента за европейската цифрова самоличност квалифицирана удостоверителна услуга, предоставяна в една държава членка, се признава за квалифицирана във всички останали държави членки.
Регламентът за европейската цифрова самоличност улеснява процеса на взаимно признаване на удостоверителните услуги, като добавя към международното споразумение по член 218 от ДФЕС възможността за приемане на актове за изпълнение за установяване на условията, при които рамките за доверие на трети държави могат да се считат за еквивалентни на рамката за квалифицирани удостоверителни услуги в Съюза.
Какво може/трябва да се направи на национално равнище?
С Регламента за европейската цифрова самоличност се определя нова всеобхватна рамка за управление на електронната идентификация и удостоверителните услуги. Тази рамка има за цел да улесни прилагането и надзора както на европейските портфейли за цифрова самоличност, така и на удостоверителните услуги. Новата рамка за управление включва по-специално нов орган за сътрудничество и координация — Европейската група за сътрудничество в областта на цифровата самоличност. На този орган бяха възложени широк набор от задачи, например да обменя съвети и да си сътрудничи с Комисията по нововъзникващи инициативи в областта на политиката, да организира партньорски проверки на средствата за електронна идентификация, за които е извършено уведомяване, различни от европейския портфейл за цифрова самоличност, да обсъжда искания за взаимопомощ и да обменя мнения, най-добри практики и друга информация между всички страни. Новата структура ще подобри последователността и ефективността на настоящата система на управление и ще замени настоящата разпокъсана структура.
Да, държавите членки могат да създават други удостоверителни услуги. Ако обаче тези услуги не се придържат към правната рамка, очертана от изменения Регламент относно електронната идентификация и удостоверителните услуги, по-специално за квалифицираните удостоверителни услуги, те няма да имат правно действие в трансграничен план.
По принцип правната сила и допустимостта на електронните подписи и електронните печати като доказателство в съдебни производства, включително от публични администрации, не могат да бъдат оспорени единствено на основание, че те са в електронна форма или че не отговарят на изискванията за квалифицирани електронни подписи/печати. Тези електронни подписи/печати следва да се ползват от този принцип независимо от техническия им формат. Регламентът за EUDI запазва задължението онлайн услугите, предлагани от орган от публичния сектор или от негово име, да признават най-малко тези технически формати или методи, които са изброени в акт за изпълнение, приет съгласно член 27/37И.
Не, забранено е националните закони да уреждат срока на валидност на квалифицираните удостоверения, тъй като това е хармонизирано с Регламента за европейската цифрова самоличност.
Не, забранено е националните закони да регулират този въпрос, тъй като това е хармонизирано с Регламента за европейската цифрова самоличност. В Регламента за европейската цифрова самоличност се предвижда, че валидността на такова сертифициране не надвишава пет години, при условие че оценките на уязвимостта се извършват на всеки две години. Комисията ще отговаря за издаването на насоки относно сертифицирането и пресертифицирането на устройства за създаване на квалифициран електронен подпис и устройства за създаване на квалифициран електронен печат, включително тяхната валидност и времеви ограничения. Това ще осигури последователност в практиките за сертифициране в целия Съюз.
В Регламента за европейската цифрова самоличност се предвижда, че държавите членки трябва да определят санкции за нарушения, включително за злоупотреба с марката за доверие на ЕС за квалифицирани удостоверителни услуги от страна на доставчици на неквалифицирани удостоверителни услуги. За да се гарантира ефективното прилагане на регламента, като същевременно се гарантира, че санкциите са ефективни, пропорционални и възпиращи, в регламента се предвижда създаването на насоки за административни глоби както за доставчиците на квалифицирани, така и за неквалифицирани удостоверителни услуги. С регламента се установява праг за максималните санкции, които могат да бъдат налагани на доставчици на удостоверителни услуги, за които е установено, че нарушават правилата относно физическите лица.
Действия, предприети от институциите на ЕС и държавите членки
След влизането в сила на Регламента за европейската цифрова самоличност Комисията ще издаде редица актове за изпълнение, насочени към хармонизиране на прилагането на изискванията на регламента. Освен това Комисията ще насърчава тясното и структурирано сътрудничество с различни заинтересовани страни, включително държавите членки, гражданското общество и частния сектор. Това сътрудничество ще бъде улеснено чрез експертни групи, целеви консултации със заинтересованите страни и обществени консултации.
Регламентътза европейската цифрова самоличност се прилага пряко във всички 27 държави — членки на ЕС. Наред с другото, държавите членки гарантират, че:
- Определете един или повече надзорни органи и уведомете Комисията за техните имена и адреси.
- Да определят органи за оценяване на съответствието за сертифицирането на европейските портфейли за цифрова самоличност и да уведомяват Комисията за техните имена, адреси и данни за акредитация.
- Сътрудничество с Комисията за определяне на представители в групата за сътрудничество за трансгранично сътрудничество.
- Прилагане на ефективни, пропорционални и възпиращи санкции за нарушения.
- Гарантиране, че доставчиците на квалифицирани удостоверителни услуги за електронно удостоверяване на атрибути могат да проверяват по електронен път ключови атрибути по искане на ползвателя. Тези атрибути включват най-малко атрибутите, изброени в приложение VI към Регламента за европейската цифрова самоличност, когато те разчитат на автентични източници в публичния сектор.
- Обмислете включването на квалифицирани удостоверения за автентичност на уебсайтове на правителствени уебсайтове.
- Продължаване на публикуването и поддържането на национални доверителни списъци в съответствие с член 22.
- Гарантиране, че органите от обществения сектор признават форматите на усъвършенствани електронни подписи и електронни печати в съответствие с член 27/37.
Регламентътне се прилага за институциите на ЕС, които се ръководят от свой собствен процедурен правилник. Понастоящем Европейската комисия е регламентирана в тази област с Решение 2021/2121 на Комисията за определяне на собствените разпоредби на Комисията относно електронните и цифровизираните документи.