Регламент (ЕС) № 910/2014 за електронната идентификация и удостоверителните услуги

Summary

Document details the European Union Regulation (EU) No 910/2014, concerning electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC. It describes the aims, objectives, and principles of the regulation, highlighting the importance of fostering trust in electronic transactions within the European Union.

Full Transcript

28.8.2014 г. BG Официален вестник на Европейския съюз L 257/73

РЕГЛАМЕНТ (ЕС) № 910/2014 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА
от 23 юли 2014 година
относно електронната идентификация и удостоверителните услуги при електронни трансакции на
вътрешния пазар и за отмяна на Директива 1999/93/ЕО

ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взеха предвид Договора за функционирането на Европейския съюз, и по-специално член 114 от него,

като взеха предвид предложението на Европейската комисия,

след предаване на проекта на законодателния акт на националните парламенти,

като взеха предвид становището на Европейския икономически и социален комитет (1),

в съответствие с обикновената законодателна процедура (2),

като имат предвид, че:

(1) Изграждането на доверие в онлайн средата е ключов фактор за икономическото и социалното развитие. Липсата на
доверие, по-конкретно поради впечатлението за липса на правна сигурност, кара потребителите, предприятията и
публичните органи да се колебаят при извършването на електронни трансакции и при въвеждането на нови услуги.

(2) Целта на настоящия регламент е да се повиши доверието в електронните трансакции на вътрешния пазар, като се
предостави обща основа за надеждно взаимодействие по електронен път между гражданите, предприятията и
публичните органи, чрез което ще се увеличи ефективността на обществените и частните онлайн услуги, елек­
тронния бизнес и електронната търговия в Съюза.

(3) Директива 1999/93/ЕО на Европейския парламент и на Съвета (3) обхваща електронните подписи, но не предоставя
цялостна трансгранична и междусекторна рамка за сигурни, надеждни и лесни за използване електронни тран­
сакции. С настоящия регламент се разширяват и задълбочават достиженията на посочената директива.

(4) В съобщението на Комисията от 26 август 2010 г., озаглавено „Програма в областта на цифровите технологии за
Европа“, беше констатирано, че разпокъсаността на цифровия пазар, липсата на оперативна съвместимост и
растящата киберпрестъпност са основните пречки пред навлизането на цифровата икономика в един благоприятен
цикъл на развитие. В Доклада за гражданството на ЕС за 2010 г., озаглавен „Премахване на пречките за упражняване
на правата на гражданите на ЕС“, Комисията подчерта също необходимостта да се разрешат основните проблеми,
които възпрепятстват гражданите на Съюза да се възползват от предимствата на цифровия единен пазар и тран­
сграничните цифрови услуги.

(5) В заключенията си от 4 февруари 2011 г. и от 23 октомври 2011 г. Европейският съвет прикани Комисията да
съдейства за изграждането на цифров единен пазар до 2015 г., да ускори напредъка в ключови области на
цифровата икономика и да насърчи цялостната интеграция на цифровия единен пазар чрез улесняване на тран­
сграничното използване на онлайн услуги, и по-специално — чрез улесняване на сигурни електронна иденти­
фикация и електронно удостоверяване на автентичност.

(1) ОВ C 351, 15.11.2012 г., стр. 73.
(2) Позиция на Европейския парламент от 3 април 2014 г. (все още непубликувана в Официален вестник) и решение на Съвета от 23 юли
2014 г.
(3) Директива 1999/93/ЕО на Европейския парламент и на Съвета от 13 декември 1999 г. относно правната рамка на Общността за
електронните подписи (ОВ L 13, 19.1.2000 г., стр. 12).
L 257/74 BG Официален вестник на Европейския съюз 28.8.2014 г.

(6) В заключенията си от 27 май 2011 г. Съветът прикани Комисията да допринесе към цифровия единен пазар чрез
създаването на подходящи условия за взаимно трансгранично признаване на ключовите фактори, като електронна
идентификация, електронни документи, електронни подписи и услуги по електронно доставяне, и за оперативно
съвместими услуги на електронното управление в целия Европейски съюз

(7) Европейският парламент в резолюцията си от 21 септември 2010 г. относно доизграждането на вътрешния пазар по
отношение на електронната търговия (1) подчерта значението на сигурността на електронните услуги, и по-
конкретно на електронните подписи, както и на необходимостта от създаване на публична ключова инфраструктура
на общоевропейско равнище, и призова Комисията да създаде Портал на европейските заверяващи органи, за да се
гарантира трансгранична оперативна съвместимост на електронните подписи и да се повиши сигурността на тран­
сакциите, извършвани по интернет.

(8) С Директива 2006/123/ЕО на Европейския парламент и на Съвета (2) от държавите членки се изисква да установят
„звена за единичен контакт“ (ЗЕК), чрез които да се гарантира, че всички процедури и формалности, свързани с
достъпа до и упражняването на дейност по предоставяне на услуги, могат да бъдат лесно изпълнени от разстояние и
по електронен път чрез съответното ЗЕК и със съответните компетентни органи. При редица онлайн услуги, достъпът
до които се осъществява чрез ЗЕК, се изискват електронна идентификация, електронно удостоверяване на автен­
тичност и електронен подпис.

(9) В повечето случаи гражданите не могат да използват своята електронна идентификация за удостоверяване на
идентичността си в друга държава членка, тъй като националните схеми за електронна идентификация в тяхната
държава не се признават в други държави членки. Тази електронна бариера не позволява на доставчиците на услуги
да се възползват в пълна степен от преимуществата на вътрешния пазар. Взаимното признаване на средствата за
електронна идентификация ще улесни трансграничното предоставяне на редица услуги на вътрешния пазар и ще
спомогне предприятията да извършват трансгранична дейност, без да се сблъскват с множество пречки при взаи­
модействието си с публичните органи.

(10) С Директива 2011/24/ЕС на Европейския парламент и на Съвета (3) се установява мрежа от национални органи,
отговорни за електронното здравеопазване. С цел повишаване на безопасността и непрекъсваемостта на трансгра­
ничното здравно обслужване от мрежата се изисква да разработва насоки за трансграничен достъп до електронни
здравни данни и услуги, включително чрез подкрепа за „общи мерки за идентифициране и удостоверяване на
автентичност с цел да се улесни възможността за предаване на данни при трансгранично здравно обслужване“.
Взаимното признаване на електронната идентификация и електронното удостоверяване на автентичност е ключов
фактор за превръщането на трансграничното здравно обслужване на европейските граждани в реалност. Когато
хората пътуват с цел лечение, достъпът до тяхната здравна документация трябва да е възможен в държавата,
където се извършва лечението. Това изисква солидна, сигурна и надеждна правна рамка по отношение на елек­
тронната идентификация.

(11) Настоящият регламент следва да се прилага в пълно съответствие с принципите, свързани със защитата на личните
данни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета (4). В това отношение, предвид
принципа на взаимно признаване, установен с настоящия регламент, удостоверяването на автентичност за онлайн
услуга следва да засяга обработването само на тези данни за идентификация, които са подходящи, от значение и не
надхвърлят необходимото за получаването на достъп до тази онлайн услуга. Освен това доставчиците на удостове­
рителни услуги и надзорните органи следва да съблюдават изискванията по Директива 95/46/ЕО във връзка с
поверителността и сигурността на обработването.

(12) Една от целите на настоящия регламент е да се премахнат съществуващите бариери пред трансграничната употреба
на използваните в отделните държави членки средства за електронна идентификация, за да се удостовери автен­
тичност поне за обществените услуги. С него не се цели намеса по отношение на системите за управление на
електронната самоличност и свързаните с тях инфраструктури, установени в държавите членки. Целта на настоящия
регламент е да се гарантира, че при достъпа до трансгранични онлайн услуги, предлагани от държавите членки, е
възможно да се осъществят сигурна електронна идентификация и сигурно електронно удостоверяване на автен­
тичност.

(1) ОВ C 50 Е, 21.2.2012 г., стр. 1.
(2) Директива 2006/123/ЕО на Европейския парламент и на Съвета от 12 декември 2006 г. за услугите на вътрешния пазар (ОВ L 376,
27.12.2006 г., стр. 36).
(3) Директива 2011/24/ЕС на Европейския парламент и на Съвета от 9 март 2011 г. за упражняване на правата на пациентите при
трансгранично здравно обслужване (ОВ L 88, 4.4.2011 г., стр. 45).
(4) Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването
на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31).
28.8.2014 г. BG Официален вестник на Европейския съюз L 257/75

(13) Държавите членки следва да запазят правото си да използват или да въвеждат, за целите на електронната иденти­
фикация, средства за достъп до онлайн услуги. Те следва също да могат да решават дали да привлекат частния сектор
в предоставянето на такива средства. Държавите членки следва да не бъдат задължени да уведомяват Комисията за
своите схеми за електронна идентификация. Изборът дали да уведомят Комисията за всички или за някои от
използваните на национално равнище схеми за електронна идентификация при достъп най-малкото до обществени
онлайн услуги или специфични услуги, или да не уведомяват за никои от тях, зависи изцяло от държавите членки.

(14) В настоящият регламент трябва да се определят някои условия във връзка с това, кои средства за електронна
идентификация трябва да се признават, както и по какъв начин следва да става уведомяването за схемите за
електронна идентификация. Тези условия следва да спомогнат за изграждането на необходимото доверие между
държавите членки по отношение на използваните от тях схеми за електронна идентификация, както и за взаимното
признаване на средствата за електронна идентификация, попадащи в обхвата на схемите, за които е извършено
уведомяване. Принципът на взаимно признаване следва да се прилага, ако схемата за електронна идентификация на
уведомяващата държава членка отговаря на условията за уведомяване и уведомлението е публикувано в Официален
вестник на Европейския съюз. Принципът на взаимно признаване обаче следва да се отнася единствено за удосто­
веряването на автентичност за онлайн услуга. Достъпът до тези онлайн услуги и окончателното им доставяне на
заявителя следва да бъдат тясно обвързани с правото на получаване на такива услуги според условията, определени в
националното законодателство.

(15) Задължението за признаване на средства за електронна идентификация следва да се отнася само до тези средства,
чието ниво на осигуреност на самоличността съответства или надвишава нивото, необходимо за въпросната онлайн
услуга. Освен това посоченото задължение следва да се отнася само за случаите, когато въпросният орган от
публичния сектор прилага ниво на осигуреност „значително“ или „високо“ по отношение на достъпа до тази
онлайн услуга. Държавите членки следва да могат и занапред, в съответствие с правото на Съюза, да признават
средства за електронна идентификация с по-ниски нива на осигуреност на самоличността.

(16) Нивата на осигуреност следва да характеризират степента на надеждност на средството за електронна идентификация
при установяване на самоличността на дадено лице, като по този начин се гарантира, че лицето, претендиращо, че
има определена самоличност, действително е лицето, на което е приписана тази самоличност. Нивото на осигуреност
зависи от степента на надеждност, което средството за електронна идентификация предоставя по отношение на
претендираната или заявена самоличност на дадено лице, като се вземат под внимание процесите (например
доказване на самоличността и проверка, и удостоверяване на автентичността), управленските дейности (например
издаването на средства за електронна идентификация от страна на даден субект и процедурата за издаване на такива
средства) и извършваните технически проверки. Съществуват различни технически определения и описания за нива
на осигуреност в резултат от финансирани от Съюза широкомащабни пилотни проекти, стандартизационни и
международни дейности. По-конкретно широкомащабните пилотни проекти STORK и ISO 29115 се отнасят,
наред с другото, за нива 2, 3 и 4, които следва да бъдат отчетени в максимална степен при установяване на
минимални технически изисквания, стандарти и процедури за нива на осигуреност „ниско“, „значително“ и „високо“
по смисъла на настоящия регламент, като същевременно се осигури последователно прилагане на настоящия
регламент, по-специално по отношение на нивото на осигуреност „високо“ във връзка с доказването на самолич­
ността при издаване на квалифицирани удостоверения. Установените изисквания следва да бъдат неутрални по
отношение на технологиите. Постигането на необходимите изисквания за сигурност следва да бъде възможно
посредством различни технологии.

(17) Държавите членки следва да насърчават частния сектор да ползва на доброволна основа средства за електронна
идентификация в рамките на схема за идентификация, за която е извършено уведомяване, когато възникне такава
нужда за онлайн услуги или електронни трансакции. Възможността да се използват такива средства за електронна
идентификация би позволила на частния сектор да разчита на електронна идентификация и електронно удостове­
ряване на автентичност, които вече се използват широко в редица държави членки най-малко при обществените
услуги, и би облекчила трансграничния достъп на предприятията и гражданите до онлайн услуги. За улеснение на
трансграничното използване от частния сектор на такива средства за електронна идентификация предоставяната от
всяка държава членка възможност за удостоверяване на автентичност следва да бъде на разположение на доверя­
ващите се страни от частния сектор, установени извън територията на тази държава членка, при същите условия,
които се прилагат спрямо доверяващите се страни от частния сектор, установени в тази държава членка. След­
ователно, по отношение на доверяващите се страни от частния сектор, уведомяващата държава членка може да
определи условия за достъп до средството за удостоверяване на автентичност. Тези условия за достъп може да дават
информация дали средството за удостоверяване на автентичност, отнасящо се до схемата, за която има уведомление,
понастоящем е предоставено на разположение на доверяващи се страни от частния сектор.

(18) В настоящия регламент следва да се предвиди, че уведомяващата държава членка, страната, издаваща средството за
електронна идентификация, и страната, ръководеща процедурата по удостоверяване на автентичност, носят отго­
ворност при неизпълнение на съответните си задължения по настоящия регламент. Независимо от това настоящият
регламент следва да се прилага в съответствие с националните правила относно отговорността. Поради това той не
засяга тези национални правила, например по отношение на определянето на щетите или приложимите процедурни
правила, включително тежестта на доказване.
L 257/76 BG Официален вестник на Европейския съюз 28.8.2014 г.

(19) Сигурността на схемите за електронна идентификация е основен фактор за надеждно трансгранично взаимно
признаване на средствата за електронна идентификация. В този контекст държавите членки следва да си сътрудничат
по отношение на сигурността и оперативната съвместимост на схемите за електронна идентификация на равнището
на Съюза. В случай че схемите за електронна идентификация правят необходимо използването от доверяващите се
страни на национално равнище на специален хардуер или софтуер, трансграничната оперативна съвместимост
изисква тези държави членки да не налагат на доверяващите се страни, установени извън тяхната територия,
такива изисквания и свързани с тях разходи. В този случай следва да се обсъдят и разработят подходящи
решения в границите на обхвата на рамката за оперативна съвместимост. Въпреки това техническите изисквания,
които произтичат от свойствени за националните средства за електронна идентификация характеристики и които е
вероятно да засегнат притежателите на такива електронни средства (например смарткарти), са неизбежни.

(20) Сътрудничеството между държавите членки следва да спомага за техническата оперативна съвместимост на схемите
за електронна идентификация, за които е извършено уведомяване, за да се осигури високо равнище на доверие и
сигурност, отговарящо на степента на риск. Обменът на информация и споделянето на добри практики между
държавите членки с оглед на взаимното признаване между тях следва да спомагат за това сътрудничество.

(21) С настоящия регламент следва да се установи и обща правна рамка за използването на удостоверителни услуги. Той
обаче не следва да създава общо задължение за използването им или да създава точка за достъп за всички
съществуващи удостоверителни услуги. По-специално той не следва да обхваща предоставянето на услуги,
използвани изключително в рамките на затворени системи между определен набор от участници, които не
оказват въздействие върху трети страни. Например системи, установени във фирмени или публични администрации
за управлението на вътрешни процедури, които използват удостоверителни услуги, не следва да подлежат на
изискванията по настоящия регламент. Единствено предоставяни на обществеността удостоверителни услуги,
които оказват въздействие върху трети страни, следва да отговарят на изискванията, предвидени в настоящия
регламент. Настоящият регламент не следва да обхваща и аспектите, свързани със сключването и действителността
на договори или други правни задължения, когато в националното право или в правото на Съюза са предвидени
изисквания по отношение на формата. Освен това той следва да не засяга националните изисквания за формата,
които се отнасят до публичните регистри, и по-конкретно търговските и поземлените регистри.

(22) С цел да се допринесе за общото им трансгранично използване, удостоверителните услуги следва да се допускат като
доказателство при съдебни производства във всички държави членки. Правната сила на удостоверителните услуги се
определя от националното право, освен ако в настоящия регламент не е предвидено друго.

(23) Доколкото настоящият регламент създава задължение за признаване на удостоверителна услуга, тази удостоверителна
услуга може да бъде отхвърлена само ако носителят на задължението не може да я прочете или провери поради
технически причини извън неговия пряк контрол. Това задължение само по себе си обаче не следва да налага на
публичен орган да се сдобива с хардуера и софтуера, необходими за техническото разчитане на всички съществуващи
удостоверителни услуги.

(24) В съответствие с правото на Съюза държавите членки могат да запазят националните си разпоредби или да въведат
такива по отношение на удостоверителните услуги, доколкото тези услуги не са напълно хармонизирани с
настоящия регламент. Удостоверителните услуги, които обаче отговарят на изискванията на настоящия регламент,
следва да могат да се движат свободно на вътрешния пазар.

(25) Държавите членки следва да запазят правото си да определят други видове удостоверителни услуги в допълнение
към съдържащите се в изчерпателния списък на удостоверителни услуги, предвиден в настоящия регламент, за
целите на признаването им на национално равнище като квалифицирани удостоверителни услуги.

(26) С оглед на темповете на развитие на технологиите настоящият регламент следва да възприеме подход, който е открит
към иновациите.

(27) Настоящият регламент следва да бъде неутрален по отношение на технологиите. Произтичащите от него правни
последици следва да могат да се постигнат с всякакви технически средства, при условие че са спазени изискванията
на настоящия регламент.
28.8.2014 г. BG Официален вестник на Европейския съюз L 257/77

(28) С цел да се повиши доверието особено на малките и средните предприятия (МСП) и на потребителите във
вътрешния пазар и да се насърчи използването на удостоверителни услуги и продукти, следва да се въведат
понятията „квалифицирани удостоверителни услуги“ и „доставчик на квалифицирани удостоверителни услуги“, за
да се определят изисквания и задължения, които гарантират висока степен на сигурност на всички използвани или
предоставяни квалифицирани удостоверителни услуги и продукти.

(29) В съответствие със задълженията по Конвенцията на Организацията на обединените нации за правата на хората с
увреждания, одобрена с Решение 2010/48/ЕО на Съвета (1), и по-специално член 9 от Конвенцията, хората с
увреждания следва да могат да използват удостоверителни услуги и продукти за крайния потребител, използвани
при предоставянето на тези услуги, на равни начала с останалите потребители. Следователно когато това е прак­
тически осъществимо, предоставяните удостоверителни услуги и използваните при предоставянето на тези услуги
продукти за крайния потребител следва да бъдат достъпни за хората с увреждания. Оценката за практическата
осъществимост следва да включва, наред с другото, съображения от техническо и икономическо естество.

(30) Държавите членки следва да определят надзорен орган или надзорни органи, които да извършват надзорните
дейности по настоящия регламент. Освен това държавите членки следва да могат да вземат решение, при взаимно
споразумение с друга държава членка, за определянето на надзорен орган на територията на тази друга държава
членка.

(31) Надзорните органи следва да си сътрудничат с органите по защита на данните, например като ги уведомяват за
резултатите от одитите на доставчици на квалифицирани удостоверителни услуги, при които има основания да се
смята, че са нарушени правилата за защита на личните данни. Предоставянето на информация следва по-конкретно
да обхваща инциденти, свързани със сигурността, и пробиви в защитата на личните данни.

(32) Всички доставчици на удостоверителни услуги следва да бъдат задължени да използват добри практики по
отношение на сигурността съобразно рисковете, свързани с тяхната дейност, така че да се стимулира доверието
на потребителите в единния пазар.

(33) Разпоредбите относно използването на псевдоними в удостоверенията следва да не възпрепятстват държавите членки
да изискват идентификация на лицата в съответствие с правото на Съюза или националното право.

(34) Всички държави членки следва да спазват общи основни изисквания по отношение на надзора, за да се гарантира
съпоставимо ниво на сигурност на квалифицираните удостоверителни услуги. С цел да се улесни последователното
прилагане на тези изисквания в целия Съюз, държавите членки следва да приемат съпоставими процедури и да
обменят информация за своите надзорни дейности и най-добри практики в областта.

(35) Спрямо всички доставчици на удостоверителни услуги следва да се прилагат изискванията на настоящия регламент,
и по-специално изискванията по отношение на сигурността и отговорността за осигуряването на дължимата грижа,
прозрачност и отчетност по отношение на техните операции и услуги. Същевременно обаче, като се взема предвид
видът на услугите, предоставяни от доставчиците на удостоверителни услуги, е целесъобразно да се прави разгра­
ничение по отношение на тези изисквания между доставчиците на квалифицирани и неквалифицирани услуги.

(36) Установяването на режим на надзор за всички доставчици на удостоверителни услуги следва да гарантира равни
условия за сигурността и отчетността на извършваните от тях операции и услуги и така да допринесе за защитата на
потребителите и функционирането на вътрешния пазар. Доставчиците на неквалифицирани удостоверителни услуги
следва да подлежат на облекчена и ответна последваща надзорна дейност, обоснована от естеството на извършваните
от тях услуги и операции. Поради това надзорният орган следва да няма общо задължение да извършва надзор на
доставчиците на неквалифицирани услуги. Надзорният орган следва да предприема действия само когато е получил
информация (например от самия доставчик на неквалифицирани удостоверителни услуги, от друг надзорен орган,
чрез уведомяване от потребител или делови партньор или въз основа на собствено разследване), че доставчик на
неквалифицирани удостоверителни услуги не спазва изискванията на настоящия регламент.

(1) Решение 2010/48/ЕО на Съвета от 26 ноември 2009 г. относно сключването от Европейската общност на Конвенцията на Органи­
зацията на обединените нации за правата на хората с увреждания (ОВ L 23, 27.1.2010 г., стр. 35).
L 257/78 BG Официален вестник на Европейския съюз 28.8.2014 г.

(37) С настоящия регламент следва да се предвиди отговорност за всички доставчици на удостоверителни услуги. По-
конкретно с регламента се установява режимът на отговорност, съгласно който всички доставчици на удостове­
рителни услуги следва да носят отговорност за щети, причинени на физическо или юридическо лице поради
неспазване на задълженията по настоящия регламент. С цел да се улесни извършването на оценката на финансовия
риск, който доставчиците на удостоверителни услуги може да се наложи да поемат или за който следва да осигурят
покритие чрез застрахователни полици, с настоящия регламент се дава възможност на доставчиците на удостове­
рителни услуги да поставят, при определени условия, ограничения върху използването на предоставяните от тях
услуги и да не носят отговорност за щети, произтичащи от използването на услуги, надхвърлящи тези ограничения.
Клиентите следва да бъдат предварително и надлежно информирани за тези ограничения. Тези ограничения следва
да са разпознаваеми от трета страна, например чрез включване на информация относно ограниченията в условията,
при които се предоставя услугата, или по друг разпознаваем начин. С цел тези принципи да получат реално
изражение, настоящият регламент следва да се прилага в съответствие с националните разпоредби относно отговор­
ността. Поради това настоящият регламент не засяга тези национални разпоредби, например относно определението
за щети, намерение, небрежност или съответните приложими процесуални разпоредби.

(38) Уведомяването за пробиви в системите за сигурност и оценките на риска за сигурността са от съществено значение за
предоставянето на адекватна информация на засегнатите страни в случай на пробив на сигурността или нарушаване
на целостта на системите.

(39) За да се даде възможност на Комисията и на държавите членки да направят оценка на ефективността на въведения с
настоящия регламент механизъм за уведомяване в случай на пробиви, надзорните органи следва да предоставят
обобщена информация на Комисията и на Агенцията на Европейския съюз за мрежова и информационна сигурност
(ENISA).

(40) За да се даде възможност на Комисията и на държавите членки да направят оценка на ефективността на въведения с
настоящия регламент механизъм за засилен надзор, от надзорните органи следва да се изисква да докладват за своите
дейности. Това би спомогнало за улесняване на обмена на добри практики между надзорните органи и би гаран­
тирало проверката по отношение на последователното и ефикасно прилагане на основните изисквания за надзор във
всички държави членки.

(41) За осигуряване на устойчивост и трайност на квалифицираните удостоверителни услуги и за стимулиране на
доверието на потребителите в тяхната непрекъснатост надзорните органи следва да проверяват наличието и
правилното прилагане на разпоредбите относно плана за осигуряване на непрекъснатост на обслужването в
случаите, когато доставчиците на квалифицирани удостоверителни услуги прекъснат дейността си.

(42) За улесняване на надзора върху доставчиците на квалифицирани удостоверителни услуги, например когато даден
доставчик предлага услугите си на територията на друга държава членка, където не подлежи на надзор, или когато
компютрите на даден доставчик се намират на територията на държава членка, различна от неговата държава по
установяване, следва да се създаде система за взаимопомощ между надзорните органи на държавите членки.

(43) С цел да се гарантира съответствието на доставчиците на квалифицирани удостоверителни услуги и предоставяните
от тях услуги с установените в настоящия регламент изисквания, орган за оценяване на съответствието следва да
извършва оценяване на съответствието, а изготвените доклади за оценяване на съответствието следва да се изпращат
от доставчиците на квалифицирани удостоверителни услуги до надзорния орган. В случаите, когато надзорният
орган изисква от доставчик на квалифицирана удостоверителна услуга да изпрати доклад за оценяване на съот­
ветствието ad hoc, надзорният орган следва да спазва в частност принципите на доброто управление, включително
задължението да посочи мотиви за решенията си, както и принципа на пропорционалност. Поради това надзорният
орган следва да мотивира надлежно решението си, изискващо оценяване на съответствието ad hoc.

(44) Целта на настоящия регламент е да се осигури съгласувана рамка, така че да се предложи високо ниво на защита и
правна сигурност на удостоверителните услуги. В това отношение, когато разглежда оценяването на съответствието
на продукти и услуги, Комисията следва по целесъобразност да се стреми към единодействие със съществуващите
европейски и международни схеми в областта, като например Регламент (ЕО) № 765/2008 на Европейския
парламент и на Съвета (1), с който се определят изискванията за акредитация на органите за оценяване на съот­
ветствието и надзор на пазара на продуктите.

(1) Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и
надзор на пазара във връзка с предлагането на пазара на продукти и за отмяна на Регламент (ЕИО) № 339/93 (ОВ L 218, 13.8.2008 г.,
стр. 30).
28.8.2014 г. BG Официален вестник на Европейския съюз L 257/79

(45) За да се позволи ефикасен процес на започване, който следва да доведе до включването на доставчиците на
квалифицирани удостоверителни услуги и предоставяните от тях квалифицирани удостоверителни услуги в дове­
рителни списъци, следва да се насърчават предварителните контакти между евентуалните доставчици на квалифи­
цирани удостоверителни услуги и компетентния надзорен орган с оглед улесняването на надлежни проверки,
водещи до обезпечаването на квалифицирани удостоверителни услуги.

(46) Доверителните списъци са съществени елементи за доверието между стопанските субекти, тъй като отразяват квали­
фицирания статут на даден доставчик на услуги, който подлежи на надзор.

(47) Доверието в онлайн услугите и удобството при ползването им са изключително важни, за да могат потребителите
напълно да се възползват от електронните услуги и съзнателно да разчитат на тях. За тази цел следва да се създаде
марка за доверие на ЕС, за да се обозначават квалифицираните удостоверителни услуги, предоставяни от доставчици
на квалифицирани удостоверителни услуги. Такава марка за доверие на ЕС за квалифицирани удостоверителни
услуги ще доведе до ясно разграничение на квалифицираните удостоверителни услуги от другите удостоверителни
услуги, като по този начин се способства за прозрачността на пазара. Използването на марка за доверие на ЕС от
доставчиците на квалифицирани удостоверителни услуги следва да бъде на доброволна основа и не следва да
поражда други изисквания освен предвидените в настоящия регламент.

(48) Наред с високата степен на сигурност, необходима за гарантиране на взаимното признаване на електронни подписи,
в някои конкретни случаи, например в контекста на Решение № 2009/767/ЕО на Комисията (1), следва да се
приемат и електронни подписи с по-ниска степен на сигурност.

(49) С настоящия регламент следва да се установи принципът, че правната сила на електронен подпис не може да бъде
оспорена на основанието, че той е в електронна форма или че не отговоря на изискванията за квалифицирания
електронен подпис. Правната сила на електронните подписи обаче се определя от националното право, с
изключение на включените в настоящия регламент изисквания квалифицираният електронен подпис да има
същата правна сила като саморъчния подпис.

(50) Тъй като компетентните органи в държавите членки понастоящем използват различни формати на усъвършенствани
електронни подписи, за да подпишат своите документи по електронен път, необходимо е в държавите членки да се
осигури възможност за техническа обработка на определен брой формати на усъвършенствани електронни подписи
при получаването на документи, подписани електронно. По подобен начин когато компетентните органи в
държавите членки използват усъвършенствани електронни печати, ще бъде необходимо да се осигури възможност
за техническа обработка на определен брой формати на усъвършенствани електронни печати.

(51) Следва да се предостави възможност титулярят на електронния подпис да възлага обслужването на устройства за
създаване на квалифицирани електронни подписи на трета страна, при условие че са въведени подходящи механизми
и процедури, гарантиращи, че титулярят разполага с едноличен контрол върху използването на данните, свързани
със създаването на електронния му подпис, и че при използването на устройството са изпълнени изискванията по
отношение на квалифицирания електронен подпис.

(52) Създаването на електронни подписи от разстояние, при което средата на създаване на електронен подпис се
управлява от доставчик на удостоверителни услуги от името на титуляря на електронния подпис, се очаква да се
развие поради многобройните икономически предимства, които предоставя. При все това, с цел да се гарантира, че
тези електронни подписи получават същото правно признаване като електронните подписи, създавани в среда,
изцяло управлявана от потребителя, доставчиците, които предлагат услуги на електронен подпис от разстояние,
следва да прилагат специфични процедури за сигурността на управление и административната сигурност и да
използват надеждни системи и продукти, включително сигурни електронни канали на комуникация, с цел да се
гарантира надеждността на средата на създаване на електронния подпис и да се гарантира, че тази среда е
използвана единствено под контрола на титуляря на електронния подпис. В случай на квалифициран електронен
подпис, създаден чрез устройство за създаване на електронен подпис от разстояние, следва да се прилагат изисква­
нията, приложими за доставчиците на квалифицирани удостоверителни услуги, които са изброени в настоящия
регламент.

(1) Решение 2009/767/ЕО на Комисията от 16 октомври 2009 г. за определяне на мерки, улесняващи прилагането на процедури с
помощта на електронни средства чрез единични звена за контакт в съответствие с Директива 2006/123/ЕО на Европейския парламент
и на Съвета относно услугите на вътрешния пазар (ОВ L 274, 20.10.2009 г., стр. 36).
L 257/80 BG Официален вестник на Европейския съюз 28.8.2014 г.

(53) Спирането на валидността на квалифицираните удостоверения е установена оперативна практика на доставчиците на
удостоверителни услуги в редица държави членки и се различава от отмяната по това, че води до временна загуба на
валидност на дадено удостоверение. От съображения за правна сигурност е необходимо статутът на спиране на
валидността на удостоверение винаги да е ясно отбелязан. За тази цел доставчиците на удостоверителни услуги
следва да поемат отговорност ясно да отбелязват статута на удостоверението и, в случай че валидността му е спряна
— точния срок на спиране. Настоящият регламент не следва да налага на доставчиците на удостоверителни услуги
или на държавите членки да използват спирането, а по-скоро в регламента следва да се предвидят правила за
прозрачност по отношение на условията, при които е възможно да се прибягва до него.

(54) Трансграничната оперативна съвместимост и признаването на квалифицираните удостоверения е предварително
условие за трансграничното признаване на квалифицираните електронни подписи. Във връзка с това квалифици­
раните удостоверения не следва да подлежат на каквито и да било задължителни изисквания, надхвърлящи изиск­
ванията, предвидени в настоящия регламент. На национално равнище обаче включването в квалифицирани удосто­
верения на специфични данни, като например уникални идентификатори, следва да бъде позволено, при условие че
тези специфични данни не възпрепятстват трансграничната оперативна съвместимост и признаването на квалифици­
раните удостоверения и електронните подписи.

(55) Сертифицирането на сигурността на информационните технологии на базата на международни стандарти като ISO
15408 и други подобни методи за оценка и механизми за взаимно признаване е важен инструмент за проверка на
сигурността на устройствата за създаване на квалифициран електронен подпис и следва да се насърчава. Инова­
тивните решения и услуги, като подписването чрез мобилни устройства и подписването в облак, обаче са основани
на такива технически и организационни решения за устройствата за създаване на квалифициран електронен подпис,
за които все още може да не са налице стандарти за сигурност или за които първото сертифициране на сигурността
на информационните технологии е в процес на извършване. Равнището на сигурност на такива устройства за
създаване на квалифициран електронен подпис може да бъде оценено чрез използване на алтернативни процеси
само когато не са налице такива стандарти за сигурност или когато първото сертифициране на сигурността на
информационните технологии е в процес на извършване. Тези процеси следва да са съпоставими със стандартите за
сертифициране на сигурността на информационните технологии, доколкото техните равнища на сигурност са
равностойни. Тези процеси могат да бъдат улеснени чрез партньорски проверки.

(56) В настоящия регламент са определени изискванията за устройствата за създаване на квалифицирани електронни
подписи с оглед да се осигури функционалността на усъвършенстваните електронни подписи. Настоящият регламент
не следва да обхваща цялата системна среда, в която действат тези устройства. Поради това обхватът на сертифи­
цирането на устройствата за създаване на квалифицирани електронни подписи следва да бъде ограничен до хардуера
и системния софтуер, използвани за управлението и защитата на данните за създаване на електронен подпис, които
са създадени, съхранявани или обработвани в устройството за създаване на електронен подпис. Както е описано
подробно в съответните стандарти, обхватът на задължението за сертифициране не следва да включва приложения за
създаване на електронен подпис.

(57) С цел да се осигури правна сигурност относно валидността на подписа от съществено значение е да се уточнят
подробно компонентите на квалифицирания електронен подпис, които следва да се подложат на оценяване от
доверяващата се страна, извършваща валидирането. Освен това, чрез уточняването на изискванията към доставчиците
на квалифицирани удостоверителни услуги, които могат да предоставят квалифицирана услуга по валидиране на
доверяващи се страни, които не желаят или не са в състояние да извършват сами валидиране на квалифицирани
електронни подписи, следва да се стимулират инвестициите в подобни услуги от страна на частния и публичния
сектор. Двата елемента следва да направят валидирането на електронни подписи лесно и удобно за всички страни на
равнището на Съюза.

(58) Когато за дадена трансакция се изисква квалифициран електронен печат от юридическо лице, квалифицираният
електронен подпис на упълномощения представител на юридическото лице следва да се приема равностойно.

(59) Електронните печати следва да служат като доказателство, че даден електронен документ е издаден от юридическо
лице, като гарантират надеждния произход и целостта на документа.

(60) Доставчиците на удостоверителни услуги, които издават квалифицирани удостоверения за електронен печат, следва
да изпълнят необходимите мерки, за да могат да установят самоличността на физическото лице, представляващо
юридическото лице, на което е предоставено квалифицирано удостоверение за електронен печат, когато установя­
ването на самоличността е необходимо на национално равнище в контекста на съдебно или административно
производство.
28.8.2014 г. BG Официален вестник на Европейския съюз L 257/81

(61) Настоящият регламент следва да осигури дългосрочното съхраняване на информация, за да се осигури правната
валидност на електронните подписи и електронните печати за продължителен период от време и да се гарантира, че
те могат да бъдат валидирани независимо от бъдещи промени в технологиите.

(62) С цел да се гарантира сигурността на квалифицираните електронни времеви печати, настоящият регламент следва да
изисква използването на усъвършенстван електронен печат или усъвършенстван електронен подпис, или на други
равностойни методи. Може да се предвиди, че е възможно иновациите да доведат до нови технологии, които могат
да осигурят равностойно ниво на сигурност за времевите печати. Винаги когато се използва метод, различен от
усъвършенстван електронен печат или усъвършенстван електронен подпис, доставчикът на квалифицирани удосто­
верителни услуги следва да докаже в доклада за оценяване на съответствието, че този метод осигурява равностойно
ниво на сигурност и е съобразен със задълженията, определени в настоящия регламент.

(63) Електронните документи са важни за по-нататъшното развитие на трансграничните електронни трансакции на
вътрешния пазар. С настоящия регламент следва да се установи принципът, че правната сила на електронен
документ не може да бъде оспорена на основанието, че той е в електронна форма, с цел да се гарантира, че
електронна трансакция няма да бъде отхвърлена единствено на основанието, че даден документ е в електронна
форма.

(64) При разглеждането на формати на усъвършенствани електронни подписи и печати Комисията следва да се основава
на съществуващите практики, стандарти и законодателство, и по-специално на Решение 2011/130/ЕС на Комисия­
та (1).

(65) Освен при удостоверяването на автентичността на документ, издаден от юридическо лице, електронните печати
могат да се използват за удостоверяване на автентичността на цифровите активи на юридическо лице, като софтуерен
код или сървъри.

(66) Особено важно е да се предвиди правна рамка, която да улеснява трансграничното признаване на съществуващите
национални правни системи, свързани с услугите за електронна препоръчана поща. Тази рамка би могла да открие и
нови пазарни възможности за доставчиците на удостоверителни услуги от Съюза за предлагане на нови паневро­
пейски услуги за електронна препоръчана поща.

(67) Услугите по удостоверяване на автентичността на уебсайт осигуряват средство, с което посетител на уебсайт може да
бъде уверен, че зад уебсайта стои реален и легитимен субект. Тези услуги допринасят за изграждането на доверието в
осъществяването на стопанска дейност онлайн, тъй като потребителите ще имат доверие в уебсайт, чиято автен­
тичност е била удостоверена. Предоставянето и използването на услугите по удостоверяване на автентичността на
уебсайт са изцяло на доброволна основа. Въпреки това, с цел удостоверяването на автентичността на уебсайт да се
превърне в средство за повишаване на доверието, за подобряване на работата на потребителя с уебсайта, както и за
увеличаване на растежа в рамките на вътрешния пазар, настоящият регламент следва да установи минимални
задължения за сигурност и отговорност за доставчиците и техните услуги. За тази цел бяха взети предвид резултатите
от съществуващите инициативи на сектора, като например форума на сертифициращите органи/браузъри — CA/B
Forum. В допълнение настоящият регламент не следва да възпрепятства използването на други средства или методи
за удостоверяване на автентичността на уебсайт, които не попадат в обхвата на настоящия регламент, нито следва да
попречи на доставчиците от трета държава на услуги по удостоверяване на автентичността на уебсайт да предоставят
своите услуги на потребители в Съюза. При все това услугите по удостоверяване на автентичността на уебсайт,
извършвани от доставчика от трета държава, следва да бъдат признати за квалифицирани в съответствие с настоящия
регламент само ако има сключено международно споразумение между Съюза и държавата на установяване на
доставчика.

(68) Съгласно разпоредбите на Договора за функционирането на Европейския съюз (ДФЕС) относно установяването
понятието „юридически лица“ оставя на субектите свободата да избират правно организационната форма, която
смятат за подходяща за осъществяването на своята дейност. Следователно „юридически лица“ по смисъла на ДФЕС
означава всички образувания, учредени или регламентирани съгласно правото на държава членка, независимо от
тяхната правна форма.

(69) Институциите, органите, службите и агенциите на Съюза се насърчават да признават електронната идентификация и
удостоверителните услуги, обхванати от настоящия регламент, за целта на административното сътрудничество, като
се възползват по-специално от съществуващите добри практики и резултатите от текущите проекти в областите от
обхвата на настоящия регламент.

(1) Решение 2011/130/ЕС на Комисията от 25 февруари 2011 г. за установяване на минимални изисквания за трансграничната обработка
на документи, подписани електронно от компетентните органи съгласно Директива 2006/123/ЕО на Европейския парламент и на
Съвета относно услугите на вътрешния пазар (ОВ L 53, 26.2.2011 г., стр. 66).
L 257/82 BG Официален вестник на Европейския съюз 28.8.2014 г.

(70) С цел допълване на някои подробни технически аспекти на настоящия регламент по гъвкав и бърз начин, в
съответствие с член 290 ДФЕС на Комисията следва да се делегира правомощието да приема актове във връзка с
критериите, които трябва да бъдат спазвани от органите, отговарящи за сертифицирането на устройства за създаване
на квалифициран електронен подпис. От особена важност е по време на подготвителната си работа Комисията да
проведе подходящи консултации, включително на експертно равнище. При подготовката и изготвянето на деле­
гирани актове Комисията следва да осигури едновременното и своевременно предаване на съответните документи по
подходящ начин на Европейския парламент и на Съвета.

(71) С цел да се осигурят еднакви условия за изпълнение на настоящия регламент на Комисията следва да бъдат
предоставени изпълнителни правомощия, по-конкретно за определяне на референтните номера на стандартите,
чието използване ще създаде презумпция за съответствие с някои изисквания, предвидени в настоящия регламент.
Тези правомощия следва да се упражняват в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и
на Съвета (1).

(72) При приемането на делегирани актове или актове за изпълнение Комисията следва да взема надлежно предвид
стандартите и техническите спецификации, разработвани в рамките на европейските и международните организации
и органи по стандартизация, по-специално Европейския комитет по стандартизация (CEN), Европейския институт за
стандарти в далекосъобщенията (ETSI), Международната организация по стандартизация (ISO) и Международния
съюз по далекосъобщения (ITU), с оглед на това да се гарантират високо ниво на сигурност и оперативна съвмес­
тимост на електронната идентификация и удостоверителните услуги.

(73) С оглед на правната сигурност и яснота Директива 1999/93/ЕО следва да бъде отменена.

(74) За да се гарантира правна сигурност за стопанските субекти, които вече използват квалифицирани удостоверения,
издадени на физически лица в съответствие с Директива 1999/93/ЕО, е нужно да се предвиди достатъчно дълъг
преходен период. По подобен начин следва да се установят преходни мерки за устройства за създаване на надежден
подпис, чието съответствие е било определено в съответствие с Директива 1999/93/ЕО, както и за доставчиците на
удостоверителни услуги, издаващи квалифицирани удостоверения преди 1 юли 2016 г. На последно място, необ­
ходимо е също на Комисията да се предоставят средства да приема актове за изпълнение и делегирани актове преди
тази дата.

(75) Датите на прилагане, определени в настоящия регламент, не засягат съществуващите задължения, които държавите
членки вече имат по силата на правото на Съюза, и по-специално по Директива 2006/123/ЕО.

(76) Доколкото целите на настоящия регламент не могат да бъдат постигнати в достатъчна степен от държавите членки, а
следователно, с оглед обхвата на действието, могат да бъдат постигнати по-добре на равнището на Съюза, Съюзът
може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския
съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящият регламент не надхвърля
необходимото за постигането на тези цели.

(77) Проведена беше консултация с Европейския надзорен орган по защита на данните в съответствие с член 28,
параграф 2 от Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (2) и той даде становище на
27 септември 2012 г. (3),

(1) Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и
принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия
от страна на Комисията (ОВ L 55, 28.2.2011 г., стр. 13).
(2) Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение
на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001,
стр. 1).
(3) ОВ C 28, 30.1.2013 г., стр. 6.
28.8.2014 г. BG Официален вестник на Европейския съюз L 257/83

ПРИЕХА НАСТОЯЩИЯ РЕГЛАМЕНТ:

ГЛАВА I

ОБЩИ РАЗПОРЕДБИ

Член 1
Предмет
С оглед да се гарантира правилното функциониране на вътрешния пазар, като същевременно се цели постигане на
подходящо равнище на сигурност на средствата за електронна идентификация и удостоверителни услуги, с настоящия
регламент:

а) се определят условията, при които държавите членки признават средствата за електронна идентификация на физически
и юридически лица, които средства попадат в обхвата на дадена схема за електронна идентификация на друга държава
членка, за която е извършено уведомяване;

б) се определят правилата за удостоверителните услуги, по-специално за електронни трансакции; и

в) се установява правна рамка за електронните подписи, електронните печати, електронните времеви печати, електронните
документи, услугите за електронна препоръчана поща и услугите по удостоверяване автентичността на уебсайтове.

Член 2
Обхват
1. Настоящият регламент се прилага за схеми за електронна идентификация, за които е извършено уведомяване от
държава членка, както и за установени в Съюза доставчици на удостоверителни услуги.

2. Настоящият регламент не се прилага за предоставянето на удостоверителни услуги, използвани единствено в рамките
на затворени системи, произтичащи от националното право или от споразумения между определен кръг от участници.

3. Настоящият регламент не засяга националното право или правото на Съюза, свързано със сключването и действи­
телността на договори или други правни или процедурни задължения по отношение на формата.

Член 3
Определения
За целите на настоящия регламент се прилагат следните определения:

1) „електронна идентификация“ означава процес на използване на данни в електронна форма за идентификация на лица,
които данни представляват по уникален начин дадено физическо или юридическо лице, или физическо лиц