Uredba (EU) 2024/1183 Europskog parlamenta i Vijeća od 11. travnja 2024. o izmjeni Uredbe (EU) br. 910/2014 u pogledu uspostave europskog okvira za digitalni identitet

REGISTAR ZAKONODAVSTVA EU - EU13 Industrijska politika i unutarnje tržište

Službeni link: 32024R1183 verzija: 30.04.2024. na snazi od 20.05.2024.

Uredba (EU) 2024/1183 Europskog parlamenta i Vijeća od 11. travnja 2024. o izmjeni Uredbe (EU) br. 910/2014 u pogledu uspostave europskog okvira za digitalni identitet

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 114.,

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora (1),

uzimajući u obzir mišljenje Odbora regija (2),

u skladu s redovnim zakonodavnim postupkom (3),

budući da:

(1)

U komunikaciji Komisije od 19. veljače 2020. naslovljenoj „Izgradnja digitalne budućnosti Europe” najavljena je revizija Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća (4) radi povećanja njezine djelotvornosti, proširivanja njezinih koristi na privatni sektor i promicanja pouzdanih digitalnih identiteta za sve Europljane.

(2)

U svojim zaključcima od 1. i 2. listopada 2020. Europsko vijeće pozvalo je Komisiju da predloži izradu okvira na razini Unije za sigurnu javnu elektroničku identifikaciju, uključujući interoperabilne digitalne potpise, kako bi se ljudima pružila kontrola nad vlastitim identitetom i podacima na internetu te kako bi se omogućio pristup javnim, privatnim i prekograničnim digitalnim uslugama.

(3)

Programom politike za digitalno desetljeće do 2030., uspostavljenim Odlukom (EU) 2022/2481 Europskog parlamenta i Vijeća (5), utvrđuju se opći ciljevi i digitalni ciljevi okvira Unije kojima se do 2030. namjerava dovesti do opće upotrebe pouzdanog, dobrovoljnog digitalnog identiteta pod kontrolom korisnika, koji je priznat u cijeloj Uniji i kojim se svakom korisniku omogućuje da kontrolira svoje podatke u interakcijama na internetu.

(4)

U „Europskoj deklaraciji o digitalnim pravima i načelima za digitalno desetljeće”, koju su proglasili Europski parlament, Vijeće i Komisija (6) („Deklaracija”), naglašava se pravo svih osoba na pristup digitalnim tehnologijama, proizvodima i uslugama osmišljenima tako da budu sigurni i zaštićeni te da štite privatnost. To uključuje osiguravanje da se svim osobama koje žive u Uniji ponudi pristupačan, siguran i pouzdan digitalni identitet koji omogućuje pristup širokom rasponu usluga na internetu i izvan njega i koji je zaštićen od rizika u području kibernetičke sigurnosti i kibernetičkog kriminala, uključujući povrede podataka i krađu identiteta ili manipulaciju identitetom. U Deklaraciji se navodi i da svatko ima pravo na zaštitu svojih osobnih podataka. To pravo obuhvaća kontrolu nad načinom na koji se ti podaci upotrebljavaju i s kim se dijele.

(5)

Građani Unije i osobe s boravištem u Uniji trebali bi imati pravo na digitalni identitet koji je isključivo pod njihovom kontrolom i koji im omogućuje da ostvaruju svoja prava u digitalnom okruženju i da sudjeluju u digitalnom gospodarstvu. Kako bi se postigao taj cilj, trebalo bi uspostaviti europski okvir za digitalni identitet kojim bi se građanima Unije i osobama s boravištem u Uniji omogućio pristup javnim i privatnim uslugama na internetu i izvan njega u cijeloj Uniji.

(6)

Usklađen okvir za digitalni identitet trebao bi doprinijeti stvaranju digitalno integriranije Unije smanjivanjem digitalnih prepreka među državama članicama i osnaživanjem građana Unije i osoba s boravištem u Uniji da uživaju u prednostima digitalizacije, uz istodobno povećanje transparentnosti i zaštite njihovih prava.

(7)

Usklađenijim pristupom elektroničkoj identifikaciji trebali bi se smanjiti rizici i troškovi postojeće rascjepkanosti uzrokovane upotrebom različitih nacionalnih rješenja ili, u nekim državama članicama, nepostojanjem takvih rješenja za elektroničku identifikaciju. Takvim bi se pristupom trebalo ojačati unutarnje tržište tako što bi se građanima Unije, osobama s boravištem u Uniji, kako su definirane nacionalnim pravom, te poduzećima omogućilo da se identificiraju i osiguraju autentifikaciju svojeg identiteta na internetu i izvan njega na siguran, vjerodostojan, korisnicima prilagođen, praktičan, pristupačan i usklađen način u cijeloj Uniji. Europskom lisnicom za digitalni identitet trebalo bi fizičkim i pravnim osobama u cijeloj Uniji osigurati usklađeno sredstvo elektroničke identifikacije kojim se omogućuju autentifikacija i dijeljenje podataka povezanih s njihovim identitetom. Svatko bi trebao imati mogućnost sigurnog pristupa javnim i privatnim uslugama oslanjanjem na poboljšani ekosustav za usluge povjerenja i na provjerene dokaze identiteta i elektroničke potvrde atributa, kao što su akademske kvalifikacije, uključujući sveučilišne diplome, ili druge obrazovne ili stručne titule. Europskim okvirom za digitalni identitet nastoji se postići pomak tako da se s oslanjanja samo na nacionalna rješenja za digitalni identitet prijeđe na pružanje elektroničkih potvrda atributa koje vrijede i koje su zakonski priznate u cijeloj Uniji. Pružatelji elektroničkih potvrda atributa trebali bi imati koristi od jasnog i jedinstvenog skupa pravila, dok bi se javne uprave trebale moći osloniti na elektroničke dokumente u zadanom formatu.

(8)

Nekoliko država članica uvelo je i upotrebljava sredstva elektroničke identifikacije koja prihvaćaju pružatelji usluga u Uniji. Osim toga, ulagalo se i u nacionalna i u prekogranična rješenja na temelju Uredbe (EU) br. 910/2014, uključujući interoperabilnost prijavljenih sustava elektroničke identifikacije na temelju te uredbe. Kako bi se osigurala komplementarnost i to da sadašnji korisnici prijavljenih sredstava elektroničke identifikacije brzo prihvate europske lisnice za digitalni identitet te kako bi se učinak na postojeće pružatelje usluga sveo na najmanju moguću mjeru, očekuje se da će se za europske lisnice za digitalni identitet iskoristiti iskustvo stečeno zahvaljujući postojećim sredstvima elektroničke identifikacije te infrastruktura prijavljenih sustava elektroničke identifikacije uvedenih na razini Unije i nacionalnoj razini.

(9)

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (7) i, prema potrebi, Direktiva 2002/58/EZ Europskog parlamenta i Vijeća (8) primjenjuju se na sve aktivnosti obrade osobnih podataka na temelju Uredbe (EU) br. 910/2014. Rješenja na temelju okvira za interoperabilnost iz ove Uredbe također su u skladu s tim pravilima. Pravom Unije o zaštiti podataka predviđena su načela, kao što su smanjenje količine podataka i ograničavanje svrhe, te obveze, poput tehničke i integrirane zaštite podataka, u području zaštite podataka.

(10)

Kako bi se poduprlo tržišno natjecanje poduzeća Unije, i pružatelji internetskih usluga i pružatelji usluga izvan interneta trebali bi se moći osloniti na rješenja za digitalni identitet priznata u cijeloj Uniji, bez obzira na državu članicu u kojoj su ta rješenja stavljena na raspolaganje, i tako iskoristiti usklađeni pristup Unije povjerenju, sigurnosti i interoperabilnosti. I korisnici i pružatelji usluga trebali bi moći imati koristi od jednake pravne vrijednosti elektroničke potvrde atributa u cijeloj Uniji. Usklađenim okvirom za digitalni identitet nastoji se ostvariti gospodarska vrijednost olakšavanjem pristupa robi i uslugama te znatnim smanjivanjem operativnih troškova povezanih s postupcima elektroničke identifikacije i autentifikacije, primjerice tijekom uključivanja novih korisnika, kao i smanjivanjem mogućnosti za kibernetički kriminal, kao što su krađa identiteta, krađa podataka i internetske prijevare, čime se promiču povećanje učinkovitosti i sigurna digitalna transformacija mikropoduzeća te malih i srednjih poduzeća (MSP-ovi) u Uniji.

(11)

Europskim lisnicama za digitalni identitet trebala bi se olakšati primjena načela „samo jednom”, čime bi se smanjilo administrativno opterećenje građana Unije i osoba s boravištem u Uniji te poduzeća diljem Unije i poduprla njihova prekogranična mobilnost te potaknuo razvoj interoperabilnih usluga e-uprave u cijeloj Uniji.

(12)

Uredba (EU) 2016/679, Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća (9) i Direktiva 2002/58/EZ primjenjuju se na obradu osobnih podataka u provedbi ove Uredbe. Stoga bi se ovom Uredbom trebale utvrditi posebne mjere zaštite kako bi se spriječilo da pružatelji sredstava elektroničke identifikacije i elektroničke potvrde atributa kombiniraju osobne podatke dobivene tijekom pružanja drugih usluga s osobnim podacima obrađenima u svrhu pružanja usluga obuhvaćenih područjem primjene ove Uredbe. Osobni podaci povezani sa stavljanjem na raspolaganje europskih lisnica za digitalni identitet trebali bi se čuvati logički odvojeno od svih ostalih podataka koje čuva pružatelj europske lisnice za digitalni identitet. Ovom se Uredbom pružatelje europskih lisnica za digitalni identitet ne bi trebalo sprečavati da primijene dodatne tehničke mjere kojima se doprinosi zaštiti osobnih podataka, kao što je fizičko odvajanje osobnih podataka povezanih sa stavljanjem na raspolaganje europskih lisnica za digitalni identitet od bilo kojih drugih podataka koje pružatelj čuva. Ne dovodeći u pitanje Uredbu (EU) 2016/679, ovom se Uredbom pobliže utvrđuje primjena načela ograničavanja svrhe, smanjenja količine podataka te tehničke i integrirane zaštite podataka.

(13)

Europske lisnice za digitalni identitet trebale bi imati ugrađenu zajedničku kontrolnu ploču kako bi se osigurao viši stupanj transparentnosti, privatnosti i kontrole korisnika nad njihovim osobnim podacima. Ta bi funkcija trebala omogućiti jednostavno sučelje prilagođeno korisnicima, s pregledom svih pouzdajućih strana s kojima korisnik dijeli podatke, uključujući atribute te vrstu podataka koji se dijele sa svakom pouzdajućom stranom. Trebala bi omogućiti korisnicima da prate sve transakcije izvršene preko europske lisnice za digitalni identitet, uz barem sljedeće podatke: vrijeme i datum transakcije, identifikaciju druge strane, tražene osobne podatke i dijeljene podatke. Te bi informacije trebale biti pohranjene čak i u slučaju kada transakcija nije zaključena. Ne bi smjelo biti moguće osporiti autentičnost informacija sadržanih u povijesti transakcije. Takva funkcija trebala bi biti automatski aktivna. Njome bi se korisnicima trebalo omogućiti da na jednostavan način zatraže da pouzdana strana trenutačno izbriše osobne podatke na temelju članka 17. Uredbe (EU) 2016/679 i da na jednostavan način nadležnom nacionalnom tijelu za zaštitu podataka prijave pouzdajuću stranu ako prime navodno nezakonit ili sumnjiv zahtjev za osobnim podacima, i to izravno putem europske lisnice za digitalni identitet.

(14)

Države članice trebale bi u europsku lisnicu za digitalni identitet integrirati različite tehnike za zaštitu privatnosti, kao što je dokaz nultog znanja. Te kriptografske metode trebale bi pouzdajućoj strani omogućiti da validira je li određena izjava koja se temelji na identifikacijskim podacima osobe i potvrdi atributa istinita, a da se pritom ne otkriju podaci na kojima se ta izjava temelji, čime se štiti privatnost korisnika.

(15)

Ovom Uredbom utvrđuju se usklađeni uvjeti za uspostavu okvira za europske lisnice za digitalni identitet koje na raspolaganje trebaju staviti države članice. Svi građani Unije i osobe s boravištem u Uniji, kako su definirane nacionalnim pravom, trebali bi biti ovlašteni da na siguran način zatraže, odabiru, kombiniraju, pohranjuju, brišu, dijele i predstavljaju podatke povezane s njihovim identitetom te zatraže brisanje svojih osobnih podataka na korisnicima prilagođen i praktičan način, pod isključivom kontrolom korisnika, uz istodobno omogućivanje selektivnog otkrivanja osobnih podataka. Ova Uredba odražava zajedničke europske vrijednosti i njome se poštuju temeljna prava, pravne zaštitne mjere i odgovornost, čime se štite demokratska društva, građani Unije i osobe s boravištem u Uniji. Trebalo bi razvijati tehnologije koje se koriste za ostvarivanje tih ciljeva kako bi se postigla najviša razina sigurnosti, privatnosti, praktičnosti za korisnike, pristupačnosti, široke upotrebljivosti i neometane interoperabilnosti. Države članice trebale bi osigurati jednak pristup elektroničkoj identifikaciji za sve svoje građane i osobe s boravištem u njima. Države članice ne bi smjele izravno ni neizravno ograničavati pristup javnim ili privatnim uslugama za fizičke ili pravne osobe koje se ne odluče za upotrebu europskih lisnica za digitalni identitet i trebale bi staviti na raspolaganje odgovarajuća alternativna rješenja.

(16)

Države članice trebale bi se osloniti na mogućnosti koje nudi ova Uredba za stavljanje na raspolaganje, pod svojom odgovornošću, europskih lisnica za digitalni identitet kako bi ih mogle upotrebljavati fizičke i pravne osobe s boravištem na njihovu državnom području. Kako bi se državama članicama omogućila fleksibilnost te kako bi se iskoristila najnovija tehnologija, ovom bi Uredbom trebalo omogućiti stavljanje na raspolaganje europskih lisnica za digitalni identitet tako da ih na raspolaganje stavlja izravno država članica, da se stavljaju na raspolaganje na temelju ovlasti koju daje država članica ili da se stavljaju na raspolaganje neovisno o državi članici, ali tako da ih ta država članica priznaje.

(17)

Pouzdajuće strane trebale bi za potrebe registracije pružiti informacije potrebne za svoju elektroničku identifikaciju i autentifikaciju u pogledu europskih lisnica za digitalni identitet. Pri izjavi o svojoj predviđenoj upotrebi europske lisnice za digitalni identitet pouzdajuće strane trebale bi pružiti informacije o podacima koje će zatražiti, ako postoje, za potrebe pružanja svojih usluga i razlog za taj zahtjev. Registracija pouzdajuće strane državama članicama olakšava provjeru u pogledu zakonitosti aktivnosti pouzdajućih strana u skladu s pravom Unije. Obvezom registracije predviđenom u ovoj Uredbi ne bi se trebale dovoditi u pitanje obveze utvrđene u drugom pravu Unije ili nacionalnom pravu, kao što su informacije koje treba pružiti ispitanicima na temelju Uredbe (EU) 2016/679. Pouzdajuće strane trebale bi poštovati zaštitne mjere predviđene člancima 35. i 36. te uredbe, posebno tako da provode procjene učinka na zaštitu podataka i da se savjetuju s nadležnim tijelima za zaštitu podataka prije obrade podataka ako procjene učinka na zaštitu podataka upućuju na to da bi obrada dovela do visokog rizika. Takvim bi se zaštitnim mjerama trebala podupirati zakonita obrada osobnih podataka koju provode pouzdajuće strane, posebno u pogledu posebnih kategorija podataka, kao što su zdravstveni podaci. Cilj je registracije pouzdajućih strana povećati transparentnost i povjerenje u upotrebu europskih lisnica za digitalni identitet. Registracija bi trebala biti troškovno učinkovita i razmjerna povezanim rizicima kako bi se osiguralo prihvaćanje među pružateljima usluga. U tom bi se kontekstu registracijom trebala predvidjeti primjena automatiziranih postupaka, uključujući oslanjanje na postojeće registre u državama članicama i njihovu upotrebu, te njome ne bi trebao biti obuhvaćen postupak prethodnog odobrenja. Postupak registracije trebao bi omogućiti različite primjere upotrebe, koji se mogu razlikovati u pogledu načina rada – na internetu ili izvanmrežno, ili u pogledu zahtjeva za autentifikacijom uređaja za potrebe povezivanja s europskom lisnicom za digitalni identitet. Registracija bi se trebala primjenjivati isključivo na pouzdajuće strane koje pružaju usluge putem digitalne interakcije.

(18)

Zaštita građana Unije i osoba s boravištem u Uniji od neovlaštene ili prijevarne upotrebe europskih lisnica za digitalni identitet od velike je važnosti za osiguravanje povjerenja u europske lisnice za digitalni identitet i za njihovo široko prihvaćanje. Korisnike bi trebalo djelotvorno zaštititi od takve zloupotrebe. Osobito, ako nacionalno pravosudno tijelo u okviru drugog postupka utvrdi činjenice koje čine osnovu za prijevarnu ili na drugi način nezakonitu upotrebu europske lisnice za digitalni identitet, nadzorna tijela odgovorna za izdavatelje europske lisnice za digitalni identitet trebala bi nakon prijave poduzeti potrebne mjere kako bi osigurala da se registracija pouzdajuće strane i uključenost pouzdajućih strana u mehanizam autentifikacije povuku ili suspendiraju dok tijelo koje provodi prijavljivanje ne potvrdi da su utvrđene nepravilnosti otklonjene.

(19)

Sve europske lisnice za digitalni identitet trebale bi korisnicima omogućiti da se elektronički identificiraju i izvrše autentifikaciju na internetu i u izvanmrežnom načinu rada radi pristupa širokom spektru javnih i privatnih usluga. Ne dovodeći u pitanje ovlasti država članica s obzirom na identifikaciju njihovih građana i osoba s boravištem u njima, europske lisnice za digitalni identitet mogu služiti i institucionalnim potrebama javnih uprava, međunarodnih organizacija te institucija, tijela, ureda i agencija Unije. Autentifikacija u izvanmrežnom načinu rada bila bi važna u mnogim sektorima, uključujući zdravstveni sektor, u kojem se usluge često pružaju u izravnoj interakciji te bi se e-recepti trebali moći osloniti na QR-kodove ili slične tehnologije za provjeru autentičnosti. Oslanjajući se na visoku razinu osiguranja identiteta u pogledu sustava elektroničke identifikacije, europskim lisnicama za digitalni identitet trebao bi se iskoristiti potencijal koji nude rješenja zaštićena od neovlaštenih manipulacija, kao što su sigurnosni elementi, kako bi se ispunili sigurnosni zahtjevi iz ove Uredbe. Europske lisnice za digitalni identitet trebale bi ujedno korisnicima omogućiti stvaranje i upotrebu kvalificiranih elektroničkih potpisa i pečata koji su prihvaćeni u cijeloj Uniji. Nakon što se uključe u europsku lisnicu za digitalni identitet, fizičke osobe trebale bi je moći upotrebljavati za potpisivanje kvalificiranim elektroničkim potpisima, automatski i besplatno, bez ikakvih dodatnih administrativnih postupaka. Korisnici bi trebali moći potpisati ili pečatirati samodeklarirane izjave ili atribute. Da bi osobe i poduzeća imale koristi od pojednostavnjenja i smanjenja troškova u cijeloj Uniji, među ostalim omogućivanjem ovlasti za zastupanje i e-mandata, države članice trebale bi stavljati na raspolaganje europske lisnice za digitalni identitet koje se temelje na zajedničkim normama i tehničkim specifikacijama kako bi se osigurala neometana interoperabilnost i na odgovarajući način povećale IT sigurnost i otpornost na kibernetičke napade i tako znatno smanjili potencijalni rizici aktualne digitalizacije za građane Unije, osobe s boravištem u Uniji i poduzeća. Samo nadležna tijela država članica mogu s visokom razinom pouzdanosti utvrditi identitet osobe, pa se u njih moguće pouzdati da je osoba koja tvrdi da je određeni identitet njezin doista ta osoba. Stoga je potrebno da se stavljanje na raspolaganje europskih lisnica za digitalni identitet oslanja na pravni identitet građana Unije, osoba s boravištem u Uniji ili pravnih osoba. Oslanjanje na pravni identitet ne bi trebalo sprečavati korisnike europske lisnice za digitalni identitet u pristupu uslugama upotrebom pseudonima ako ne postoji pravni zahtjev da se za autentifikaciju upotrebljava pravni identitet. Povjerenje u europske lisnice za digitalni identitet povećalo bi se kad bi izdavatelji i upravitelji bili dužni provoditi odgovarajuće tehničke i organizacijske mjere za osiguravanje najviše razine sigurnosti koja je razmjerna rizicima za prava i slobode fizičkih osoba, u skladu s Uredbom (EU) 2016/679.

(20)

Upotreba kvalificiranog elektroničkog potpisa u neprofesionalne svrhe trebala bi biti besplatna za sve fizičke osobe. Države članice trebale bi moći predvidjeti mjere za sprečavanje fizičkih osoba da kvalificirane elektroničke potpise besplatno upotrebljavaju u profesionalne svrhe, osiguravajući pritom da sve takve mjere budu razmjerne utvrđenim rizicima i opravdane.

(21)

Korisno je olakšati prihvaćanje i upotrebu europskih lisnica za digitalni identitet putem njihove neometane integracije u ekosustav javnih i privatnih digitalnih usluga koji već postoji na nacionalnoj, lokalnoj ili regionalnoj razini. Kako bi se postigao taj cilj, države članice trebale bi moći predvidjeti pravne i organizacijske mjere da bi se povećala fleksibilnost za pružatelje europskih lisnica za digitalni identitet i da bi se omogućile dodatne funkcije europskih lisnica za digitalni identitet, uz one predviđene u ovoj Uredbi, među ostalim većom interoperabilnošću s postojećim nacionalnim sredstvima elektroničke identifikacije. Takve dodatne funkcije ni u kom slučaju ne bi smjele biti na štetu pružanja osnovnih funkcija europskih lisnica za digitalni identitet predviđenih u ovoj Uredbi niti bi smjele služiti promicanju postojećih nacionalnih rješenja nauštrb europskih lisnica za digitalni identitet. S obzirom na to da takve dodatne funkcije nadilaze ovu Uredbu, ne koriste im odredbe o prekograničnom oslanjanju na europske lisnice za digitalni identitet utvrđene u ovoj Uredbi.

(22)

Europske lisnice za digitalni identitet trebale bi uključivati funkciju za generiranje pseudonima koje su odabrali i kojima upravljaju korisnici te za autentifikaciju pri pristupu internetskim uslugama.

(23)

Kako bi se postigla visoka razina sigurnosti i vjerodostojnosti, ovom se Uredbom utvrđuju zahtjevi za europske lisnice za digitalni identitet. Akreditirana tijela za ocjenjivanje sukladnosti koja imenuju države članice trebala bi certificirati sukladnost europskih lisnica za digitalni identitet s tim zahtjevima.

(24)

Kako bi se izbjegli različiti pristupi i uskladila provedba zahtjeva utvrđenih ovom Uredbom, Komisija bi u svrhu certificiranja europskih lisnica za digitalni identitet trebala donijeti provedbene akte radi utvrđivanja popisa referentnih normi i, ako je potrebno, utvrđivanja specifikacija i postupaka u svrhu oblikovanja detaljnih tehničkih specifikacija tih zahtjeva. U mjeri u kojoj certifikacija sukladnosti europskih lisnica za digitalni identitet s relevantnim kibernetičkim sigurnosnim zahtjevima nije obuhvaćena postojećim programima kibernetičke sigurnosne certifikacije iz ove Uredbe te u pogledu zahtjeva koji nisu povezani s kibernetičkom sigurnošću, a koji su relevantni za europske lisnice za digitalni identitet, države članice trebale bi uspostaviti nacionalne programe certifikacije na temelju usklađenih zahtjeva utvrđenih u ovoj Uredbi i donesenih na temelju nje. Države članice trebale bi dostavljati nacrte svojih nacionalnih programa certifikacije Europskoj skupini za suradnju u području digitalnog identiteta, koja bi trebala moći davati mišljenja i preporuke.

(25)

Certifikacija sukladnosti s kibernetičkim sigurnosnim zahtjevima utvrđenima u ovoj Uredbi trebala bi se, ako je to moguće, oslanjati na relevantne europske programe kibernetičke sigurnosne certifikacije uspostavljene na temelju Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća (10) kojom se uspostavlja dobrovoljni europski okvir za kibernetičku sigurnosnu certifikaciju IKT proizvoda, procesa i usluga.

(26)

Kako bi se kontinuirano procjenjivali i ublažavali rizici povezani sa sigurnošću, certificirane europske lisnice za digitalni identitet trebale bi podlijegati redovitim procjenama ranjivosti kako bi se otkrile sve ranjivosti certificiranih komponenata europske lisnice za digitalni identitet povezanih s proizvodima, procesima i uslugama.

(27)

Štiteći korisnike i poduzeća od rizika u području kibernetičke sigurnosti, ključni kibernetički sigurnosni zahtjevi utvrđeni u ovoj Uredbi također doprinose unapređenju zaštite osobnih podataka i privatnosti pojedinaca. Trebalo bi razmotriti sinergiju u području normizacije i certifikacije s obzirom na aspekte u vezi s kibernetičkom sigurnošću u okviru suradnje Komisije, europskih organizacija za normizaciju, Agencije Europske unije za kibersigurnost (ENISA), Europskog odbora za zaštitu podataka uspostavljenog Uredbom (EU) 2016/679 i nacionalnih nadzornih tijela za zaštitu podataka.

(28)

Uključivanje građana Unije i osoba s boravištem u Uniji u europsku lisnicu za digitalni identitet trebalo bi olakšati oslanjanjem na sredstva elektroničke identifikacije izdana uz visoku razinu osiguranja identiteta. Na sredstva elektroničke identifikacije izdana uz značajnu razinu osiguranja identiteta trebalo bi se oslanjati samo ako usklađene tehničke specifikacije i postupci koji upotrebljavaju sredstva elektroničke identifikacije izdana uz značajnu razinu osiguranja identiteta u kombinaciji s dodatnim sredstvima provjere identiteta budu omogućivali ispunjavanje zahtjeva utvrđenih u ovoj Uredbi u pogledu visoke razine osiguranja identiteta. Takva dodatna sredstva trebala bi biti pouzdana i jednostavna za upotrebu, a mogla bi se temeljiti na mogućnosti upotrebe postupaka uključivanja na daljinu, kvalificiranih certifikata potkrijepljenih kvalificiranim elektroničkim potpisima, kvalificirane elektroničke potvrde atributa ili kombinacije tih postupaka. Kako bi se osiguralo dostatno prihvaćanje europskih lisnica za digitalni identitet, u provedbenim aktima trebalo bi utvrditi usklađene tehničke specifikacije i postupke za uključivanje korisnika upotrebom sredstava elektroničke identifikacije, uključujući sredstva izdana uz značajnu razinu osiguranja identiteta.

(29)

Cilj je ove Uredbe korisnicima pružiti potpuno mobilnu, sigurnu i njima prilagođenu europsku lisnicu za digitalni identitet. Kao prijelazna mjera dok ne budu dostupna certificirana rješenja kojima se onemogućuju neovlaštene manipulacije, kao što su sigurnosni elementi u korisničkim uređajima, europske lisnice za digitalni identitet trebale bi se moći osloniti na certificirane vanjske sigurnosne elemente za zaštitu kriptografskog materijala i drugih osjetljivih podataka ili na prijavljena sredstva elektroničke identifikacije s visokom razinom osiguranja identiteta kako bi dokazale usklađenost s relevantnim zahtjevima iz ove Uredbe u pogledu razine osiguranja identiteta europske lisnice za digitalni identitet. Ovom se Uredbom ne bi trebali dovoditi u pitanje nacionalni uvjeti u odnosu na izdavanje i upotrebu certificiranog vanjskog sigurnosnog elementa ako prijelazna mjera ovisi o njemu.

(30)

Europske lisnice za digitalni identitet trebale bi osigurati najvišu razinu zaštite i sigurnosti podataka u svrhu elektroničke identifikacije i autentifikacije kako bi se olakšao pristup javnim i privatnim uslugama, bez obzira na to pohranjuju li se takvi podaci lokalno ili u rješenjima koja se temelje na računalstvu u oblaku, uzimajući na odgovarajući način u obzir različite razine rizika.

(31)

Europske lisnice za digitalni identitet trebale bi imati integriranu sigurnost i trebale bi uvesti napredne sigurnosne značajke za zaštitu od krađe identiteta i drugih podataka, uskraćivanja usluge i svih drugih kibernetičkih prijetnji. Takva bi sigurnost trebala uključivati najsuvremenije metode kriptiranja i pohrane koje su dostupne samo korisniku i koje može dekriptirati samo korisnik te koje se oslanjaju na prolazno kriptiranu komunikaciju s drugim europskim lisnicama za digitalni identitet i pouzdajućim stranama. Osim toga, europske lisnice za digitalni identitet trebale bi zahtijevati sigurnu, izričitu i aktivnu potvrdu korisnika za operacije koje se provode putem europskih lisnica za digitalni identitet.

(32)

Besplatna upotreba europskih lisnica za digitalni identitet ne bi trebala dovesti do obrade podataka koja nadilazi podatke koji su potrebni za pružanje usluga europske lisnice za digitalni identitet. Ovom Uredbom ne bi trebalo dopustiti da pružatelj europske lisnice za digitalni identitet obrađuje osobne podatke koji su pohranjeni u europskoj lisnici za digitalni identitet ili koji su rezultat upotrebe europske lisnice za digitalni identitet u svrhe koje nisu pružanje usluga europske lisnice za digitalni identitet. Kako bi se osigurala privatnost, pružatelji europskih lisnica za digitalni identitet trebali bi osigurati nevidljivost tako da ne prikupljaju podatke i nemaju uvid u transakcije korisnika europske lisnice za digitalni identitet. Takva nevidljivost znači da pružatelji usluga ne mogu vidjeti pojedinosti o transakcijama koje je izvršio korisnik. Međutim, u posebnim slučajevima na temelju prethodne izričite privole korisnika u svakom od tih posebnih slučajeva i potpuno u skladu s Uredbom (EU) 2016/679, pružateljima europskih lisnica za digitalni identitet mogao bi se odobriti pristup informacijama potrebnima za pružanje određene usluge povezane s europskim lisnicama za digitalni identitet.

(33)

Transparentnost europskih lisnica za digitalni identitet i odgovornost njihovih pružatelja ključni su elementi za izgradnju društvenog povjerenja i poticanje prihvaćanja tog okvira. Funkcioniranje europskih lisnica za digitalni identitet trebalo bi stoga biti transparentno, a osobito bi trebalo omogućivati provjerljivu obradu osobnih podataka. Kako bi se to postiglo, države članice trebale bi otkriti izvorni kod softverskih komponenata korisničke aplikacije za europske lisnice za digitalni identitet, među ostalim onih koje su povezane s obradom osobnih podataka i podataka pravnih osoba. Objava tog izvornog koda na temelju licencije za softver otvorenog koda trebala bi omogućiti društvu, uključujući korisnike i programere, da razumije njegov rad te da taj kod revidira i pregledava. Time bi se povećalo povjerenje korisnika u ekosustav i doprinijelo sigurnosti europske lisnice za digitalni identitet tako što bi se svima omogućilo da prijave ranjivosti i pogreške u kodu. Time bi se općenito dobavljačima dao poticaj za isporuku i održavanje vrlo sigurnog proizvoda. Međutim, u određenim slučajevima države članice mogle bi ograničiti otkrivanje izvornog koda za korištene programske biblioteke, komunikacijske kanale ili druge elemente koji nisu smješteni na korisničkom uređaju zbog opravdanih razloga, posebno u svrhu javne sigurnosti.

(34)

Upotreba europskih lisnica za digitalni identitet i prestanak njihove upotrebe trebali bi biti isključivo pravo i izbor korisnika. Države članice trebale bi razviti jednostavne i sigurne postupke kojima bi korisnici mogli zatražiti trenutačan opoziv valjanosti europskih lisnica za digitalni identitet, među ostalim u slučaju gubitka ili krađe. Nakon smrti korisnika ili prestanka aktivnosti pravne osobe trebalo bi uspostaviti mehanizam kojim se tijelu odgovornom za uređivanje nasljedstva fizičke osobe ili imovine pravne osobe omogućuje da zatraži trenutačni opoziv europskih lisnica za digitalni identitet.

(35)

Kako bi se promicalo prihvaćanje europskih lisnica za digitalni identitet i šira upotreba digitalnih identiteta, države članice trebale bi ne samo promicati prednosti relevantnih usluga, nego bi također trebale u suradnji s privatnim sektorom, istraživačima i akademskom zajednicom razvijati programe osposobljavanja usmjerene na jačanje digitalnih vještina svojih građana i osoba s boravištem u njima, posebno ranjivih skupina kao što su osobe s invaliditetom i starije osobe. Države članice trebale bi i komunikacijskim kampanjama podizati svijest o prednostima i rizicima koje sa sobom nose europske lisnice za digitalni identitet.

(36)

Kako bi se osiguralo da europski okvir za digitalni identitet bude otvoren za inovacije i tehnološki razvoj te da bude otporan na buduće promjene, države članice zajednički se potiče da uspostave izolirana okruženja za testiranje inovativnih rješenja u kontroliranom i sigurnom okruženju, posebno radi unapređivanja funkcionalnosti, zaštite osobnih podataka, sigurnosti i interoperabilnosti rješenja te za informiranje o budućim ažuriranjima tehničkih upućivanja i pravnih zahtjeva. To okruženje trebalo bi poticati uključivanje MSP-ova, start-up poduzeća i pojedinačnih inovatora i istraživača, kao i relevantnih dionika iz industrije. Takve inicijative trebale bi doprinijeti regulatornoj usklađenosti i tehničkoj otpornosti europskih lisnica za digitalni identitet, koje će se pružati građanima Unije i osobama s boravištem u Uniji, te bi trebale ojačati tu usklađenost i otpornost, čime bi se spriječio razvoj rješenja koja nisu u skladu s pravom Unije o zaštiti podataka ili koja su izložena sigurnosnim ranjivostima.

(37)

Uredbom (EU) 2019/1157 Europskog parlamenta i Vijeća (11) jača se sigurnost osobnih iskaznica s pomoću poboljšanih sigurnosnih obilježja do kolovoza 2021. Države članice trebale bi razmotriti izvedivost njihova prijavljivanja u okviru sustava elektroničke identifikacije kako bi se proširila prekogranična dostupnost sredstava elektroničke identifikacije.

(38)

Postupak prijave sustavâ elektroničke identifikacije trebalo bi pojednostavniti i ubrzati kako bi se promicao pristup praktičnim, pouzdanim, sigurnim i inovativnim rješenjima za autentifikaciju i identifikaciju i, prema potrebi, kako bi se poticalo privatne pružatelje identiteta da nude sustave elektroničke identifikacije tijelima država članica za prijavu kao nacionalne sustave elektroničke identifikacije u skladu s Uredbom (EU) br. 910/2014.

(39)

Pojednostavnjivanjem postojećih postupaka prijave i istorazinskog ocjenjivanja spriječit će se heterogeni pristupi ocjenjivanju različitih prijavljenih sustava elektroničke identifikacije i olakšati izgradnja povjerenja među državama članicama. Novi, pojednostavnjeni mehanizmi namijenjeni su poticanju suradnje država članica u području sigurnosti i interoperabilnosti njihovih prijavljenih sustava elektroničke identifikacije.

(40)

Države članice trebale bi iskoristiti nove, fleksibilne alate kako bi se osigurala usklađenost sa zahtjevima iz ove Uredbe i relevantnih provedbenih akata donesenih na temelju nje. Ovom bi Uredbom državama članicama trebalo omogućiti da upotrebljavaju izvješća i ocjene, koje provode akreditirana tijela za ocjenjivanje sukladnosti, kako je predviđeno u okviru programa certifikacije koje treba uspostaviti na razini Unije na temelju Uredbe (EU) 2019/881, u svrhu podupiranja njihovih zahtjeva u vezi s usklađivanjem programa ili dijelova tih programa s Uredbom (EU) br. 910/2014.

(41)

Pružatelji javnih usluga upotrebljavaju osobne identifikacijske podatke kojima raspolažu sredstva elektroničke identifikacije na temelju Uredbe (EU) br. 910/2014 kako bi se elektronički identiteti korisnika iz drugih država članica povezali s osobnim identifikacijskim podacima tih korisnika u državi članici koja provodi postupak prekograničnog potvrđivanja identiteta. Međutim, u mnogim su slučajevima unatoč upotrebi minimalnog skupa podataka koji se pruža u okviru prijavljenih sustava elektroničke identifikacije, za osiguravanje točnog potvrđivanja identiteta kada države članice djeluju kao pouzdajuće strane potrebne dodatne informacije o korisniku i posebni komplementarni jedinstveni postupci identifikacije koje treba provesti na nacionalnoj razini. Kako bi se dodatno poduprla upotrebljivost sredstava elektroničke identifikacije, pružile bolje internetske javne usluge i povećala pravna sigurnost u pogledu elektroničkog identiteta korisnika, Uredbom (EU) br. 910/2014 od država članica trebalo bi zahtijevati da poduzmu posebne mjere na internetu kako bi se osiguralo nedvosmisleno potvrđivanje identiteta kada korisnici namjeravaju pristupiti prekograničnim javnim uslugama na internetu.

(42)

Pri osmišljavanju europskih lisnica za digitalni identitet ključno je u obzir uzeti potrebe korisnika. Na raspolaganju bi trebali biti smisleni slučajevi upotrebe i internetske usluge koje se oslanjaju na europske lisnice za digitalni identitet. Radi praktičnosti za korisnike i kako bi se osigurala prekogranična dostupnost takvih usluga, važno je poduzeti mjere za olakšavanje sličnog pristupa osmišljavanju, razvoju i uvođenju internetskih usluga u svim državama članicama. Neobvezujuće smjernice o tome kako osmisliti, razviti i uvesti internetske usluge koje se oslanjaju na europske lisnice za digitalni identitet mogle bi postati koristan alat za postizanje tog cilja. Takve bi smjernice trebalo izraditi uzimajući u obzir okvir Unije za interoperabilnost. Države članice trebale bi imati glavnu ulogu u donošenju tih smjernica.

(43)

U skladu s Direktivom (EU) 2019/882 Europskog parlamenta i Vijeća (12) osobe s invaliditetom trebale bi moći upotrebljavati europske lisnice za digitalni identitet, usluge povjerenja i proizvode krajnjih korisnika koji se upotrebljavaju u pružanju tih usluga na ravnopravnoj osnovi s ostalim korisnicima.

(44)

Kako bi se osigurala djelotvorna provedba ove Uredbe, trebalo bi utvrditi minimalni iznos najviših upravnih novčanih kazni za kvalificirane i za nekvalificirane pružatelje usluga povjerenja. Države članice trebale bi predvidjeti učinkovite, proporcionalne i odvraćajuće sankcije. Pri određivanju sankcija trebalo bi na odgovarajući način uzeti u obzir veličinu zahvaćenih subjekata, njihove poslovne modele i ozbiljnost kršenja.

(45)

Države članice trebale bi utvrditi pravila o sankcijama za kršenja kao što su izravna ili neizravna praksa koja dovodi do zabune oko toga koje su usluge povjerenja nekvalificirane, a koje kvalificirane, ili do zloupotrebe EU znaka pouzdanosti od strane nekvalificiranih pružatelja usluga povjerenja. EU znak pouzdanosti ne bi se trebao upotrebljavati pod uvjetima koji izravno ili neizravno dovode do percepcije da su nekvalificirane usluge povjerenja koje nude ti pružatelji kvalificirane.

(46)

Ova Uredba ne bi se trebala odnositi na sklapanje i valjanost ugovorâ ili druge pravne obveze ako postoje zahtjevi u pogledu oblika utvrđeni pravom Unije ili nacionalnim pravom. Osim toga, ona ne bi trebala utjecati na nacionalne zahtjeve u pogledu oblika koji vrijede za javne registre, a posebno trgovačke registre i zemljišne knjige.

(47)

Pružanje i upotreba usluga povjerenja te koristi u smislu praktičnosti i pravne sigurnosti u kontekstu prekograničnih transakcija, posebno kada se upotrebljavaju kvalificirane usluge povjerenja, postaju sve važniji za međunarodnu trgovinu i suradnju. Međunarodni partneri Unije uspostavljaju okvire povjerenja po uzoru na Uredbu (EU) br. 910/2014. Kako bi se olakšalo priznavanje kvalificiranih usluga povjerenja i njihovih pružatelja, Komisija može donijeti provedbene akte kako bi utvrdila uvjete pod kojima bi se okviri povjerenja trećih zemalja mogli smatrati jednakovrijednima okviru povjerenja za kvalificirane usluge povjerenja i kvalificirane pružatelje usluga povjerenja iz ove Uredbe. Takvim bi se pristupom trebala dopuniti mogućnost uzajamnog priznavanja usluga povjerenja i pružatelja usluga povjerenja s poslovnim nastanom u Uniji i u trećim zemljama u skladu s člankom 218. Ugovora o funkcioniranju Europske unije (UFEU). Pri utvrđivanju uvjeta pod kojima bi se okviri povjerenja trećih zemalja mogli smatrati jednakovrijednima okviru povjerenja za kvalificirane usluge povjerenja i kvalificirane pružatelje usluga povjerenja na temelju Uredbe (EU) br. 910/2014 trebalo bi osigurati usklađenost s relevantnim odredbama Direktive (EU) 2022/2555 Europskog parlamenta i Vijeća (13) i Uredbe (EU) 2016/679, kao i upotrebu pouzdanih popisa kao ključnih elemenata za izgradnju povjerenja.

(48)

Ovom bi se Uredbom trebao poticati odabir i mogućnost prelaska s jedne europske lisnice za digitalni identitet na drugu ako je država članica na svojem državnom području podržala više od jednog rješenja za europske lisnice za digitalni identitet. Kako bi se u takvim situacijama izbjegli učinci ovisnosti i ako je to tehnički izvedivo, pružatelji europskih lisnica za digitalni identitet trebali bi osigurati učinkovitu prenosivost podataka na zahtjev korisnika europske lisnice za digitalni identitet i ne bi im se smjelo dopustiti da se služe ugovornim, ekonomskim ili tehničkim preprekama za sprečavanje ili odvraćanje od učinkovitog prelaska s jedne europske lisnice za digitalni identitet na drugu.

(49)

Kako bi se osiguralo pravilno funkcioniranje europskih lisnica za digitalni identitet, pružateljima europskih lisnica za digitalni identitet potrebni su učinkovita interoperabilnost te pošteni, razumni i nediskriminirajući uvjeti kako bi europske lisnice za digitalni identitet mogle pristupiti posebnim hardverskim i softverskim značajkama mobilnih uređaja. Te komponente mogle bi posebno uključivati antene za komunikaciju bliskog polja i sigurnosne elemente, uključujući univerzalne kartice s integriranim sklopovima, ugrađene sigurnosne elemente, kartice mikroSD i Bluetooth niske razine energije (engl. Bluetooth Low Energy). Pristup tim komponentama mogao bi biti pod nadzorom operatora pokretnih mreža i proizvođača opreme. Stoga, ako je to potrebno za pružanje usluga europskih lisnica za digitalni identitet, proizvođači originalne opreme mobilnih uređaja ili pružatelji elektroničkih komunikacijskih usluga ne bi smjeli odbiti pristup takvim komponentama. Osim toga, poduzetnici za koje je utvrđen status nadzornika pristupa za osnovne usluge platforme kako ih je navela Komisija na temelju Uredbe (EU) 2022/1925 Europskog parlamenta i Vijeća (14) trebali bi i dalje podlijegati posebnim odredbama te uredbe na temelju njezina članka 6. stavka 7.

(50)

Kako bi se pojednostavnile kibernetičke sigurnosne obveze uvedene pružateljima usluga povjerenja te kako bi se omogućilo tim pružateljima usluga i njihovim odgovarajućim nadležnim tijelima da iskoriste pravni okvir utvrđen Direktivom (EU) 2022/2555, za usluge povjerenja potrebno je poduzeti odgovarajuće tehničke i organizacijske mjere na temelju te direktive, kao što su mjere za rješavanje kvarova sustava, ljudskih pogrešaka, štetnih radnji ili prirodnih pojava radi upravljanja rizicima koje oni predstavljaju za sigurnost mrežnih i informacijskih sustava koje ti pružatelji upotrebljavaju pri pružanju svojih usluga, kao i za prijavljivanje značajnih incidenata i kibernetičkih prijetnji u skladu s tom direktivom. Kad je riječ o prijavljivanju incidenata, pružatelji usluga povjerenja trebali bi prijaviti sve incidente koji imaju značajan učinak na pružanje njihovih usluga, uključujući one uzrokovane krađom ili gubitkom uređaja, oštećenje mrežnog kabela ili incidente koji se dogode u kontekstu identifikacije osoba. Zahtjevi u pogledu upravljanja rizicima u području kibernetičke sigurnosti i obveze izvješćivanja na temelju Direktive (EU) 2022/2555 trebali bi se smatrati nadopunama zahtjeva uvedenih pružateljima usluga povjerenja na temelju ove Uredbe. Nadležna tijela imenovana na temelju Direktive (EU) 2022/2555 trebala bi prema potrebi i dalje primjenjivati utvrđene nacionalne prakse ili smjernice povezane s ispunjavanjem zahtjeva u pogledu sigurnosti i izvješćivanja te nadzirati poštovanje tih zahtjeva na temelju Uredbe (EU) br. 910/2014. Ova Uredba ne utječe na obvezu prijavljivanja povreda osobnih podataka na temelju Uredbe (EU) 2016/679.

(51)

Trebalo bi primjereno razmotriti osiguravanje učinkovite suradnje između nadzornih tijela imenovanih na temelju članka 46.b Uredbe (EU) br. 910/2014 i nadležnih tijela imenovanih ili uspostavljenih na temelju članka 8. stavka 1. Direktive (EU) 2022/2555. Ako se takvo nadzorno tijelo razlikuje od takvog nadležnog tijela, ona bi trebala pravodobno blisko surađivati razmjenom relevantnih informacija kako bi se osigurao učinkovit nadzor i usklađenost pružatelja usluga povjerenja sa zahtjevima iz Uredbe (EU) br. 910/2014 i Direktive (EU) 2022/2555. Nadzorna tijela imenovana na temelju Uredbe (EU) br. 910/2014 osobito bi trebala imati pravo zatražiti od nadležnih tijela imenovanih ili uspostavljenih na temelju Direktive (EU) 2022/2555 da pruže relevantne informacije potrebne za dodjelu kvalificiranog statusa i provode nadzorne mjere radi provjere usklađenosti pružatelja usluga povjerenja s relevantnim zahtjevima na temelju Direktive (EU) 2022/2555 ili da zahtijevaju da ti pružatelji usluga isprave neusklađenost.

(52)

Bitno je osigurati pravni okvir kako bi se olakšalo prekogranično priznavanje među postojećim nacionalnim pravnim sustavima u vezi s uslugama elektroničke preporučene dostave. Tim bi se okvirom mogle otvoriti i nove tržišne mogućnosti za Unijine pružatelje usluga povjerenja da na razini Unije ponude nove usluge elektroničke preporučene dostave. Kako bi se osiguralo da podaci s pomoću kvalificirane usluge elektroničke preporučene dostave budu dostavljeni ispravnom primatelju, kvalificirane usluge elektroničke preporučene dostave trebale bi s potpunom sigurnošću osigurati identifikaciju primatelja, dok bi za identifikaciju pošiljatelja bila dovoljna visoka razina pouzdanosti. Države članice trebale bi poticati pružatelje kvalificiranih usluga elektroničke preporučene dostave da uspostave interoperabilnost svojih usluga s kvalificiranim uslugama elektroničke preporučene dostave koje pružaju drugi kvalificirani pružatelji usluga povjerenja radi jednostavnog prijenosa elektronički registriranih podataka između dvaju ili više kvalificiranih pružatelja usluga povjerenja i promicanja poštene prakse na unutarnjem tržištu.

(53)

U većini slučajeva građani Unije i osobe s boravištem u Uniji ne mogu sigurno i uz visoku razinu zaštite podataka prekogranično razmjenjivati digitalne informacije koje se odnose na njihov identitet, kao što su njihova adresa, dob, stručne kvalifikacije, vozačka dozvola i druge dozvole te podaci o plaćanjima.

(54)

Trebalo bi biti moguće izdavati vjerodostojne elektroničke atribute i rukovati njima te doprinijeti smanjenju administrativnog opterećenja, čime bi se poticalo građane Unije i osobe s boravištem u Uniji da ih upotrebljavaju u svojim privatnim i javnim transakcijama. Građani Unije i osobe s boravištem u Uniji trebali bi, na primjer, moći dokazati da posjeduju valjanu vozačku dozvolu koju je izdalo tijelo u jednoj državi članici, a koju se može provjeriti i na koju se mogu osloniti relevantna tijela u drugim državama članicama, te bi se trebali moći osloniti na svoje vjerodajnice socijalne sigurnosti ili na buduće digitalne putne isprave u prekograničnom kontekstu.

(55)

Svaki pružatelj usluga koji izdaje potvrđene atribute u elektroničkom obliku, kao što su diplome, dozvole, rodni listovi ili ovlasti i mandati za zastupanje ili djelovanje u ime fizičkih ili pravnih osoba, trebao bi se smatrati pružateljem usluga povjerenja koji izdaje elektroničku potvrdu atributa. Elektroničkoj potvrdi atributa ne bi se smio uskratiti pravni učinak zbog toga što je u elektroničkom obliku ili zbog toga što ne ispunjava zahtjeve kvalificirane elektroničke potvrde atributa. Trebalo bi utvrditi opće zahtjeve kako bi se osiguralo da kvalificirana elektronička potvrda atributa ima jednakovrijedan pravni učinak kao zakonito izdane potvrde u papirnatom obliku. Međutim, ti bi se zahtjevi trebali primjenjivati ne dovodeći u pitanje pravo Unije ili nacionalno pravo u kojem su utvrđeni dodatni sektorski zahtjevi u pogledu oblika s temeljnim pravnim učincima, a posebno prekogranično priznavanje kvalificirane elektroničke potvrde atributa, ako je to primjenjivo.

(56)

Zahvaljujući širokoj dostupnosti i upotrebljivosti europskih lisnica za digitalni identitet trebali bi se povećati njihovo prihvaćanje i povjerenje u njih među privatnim osobama i privatnim pružateljima usluga. Stoga bi privatne pouzdajuće strane koje pružaju usluge, na primjer u području prijevoza, energetike, bankarstva i financijskih usluga, socijalne sigurnosti, zdravstva, vode namijenjene za ljudsku potrošnju, poštanskih usluga, digitalne infrastrukture, telekomunikacija ili obrazovanja, trebale prihvaćati upotrebu europskih lisnica za digitalni identitet za pružanje usluga kad se pravom Unije ili nacionalnim pravom ili zbog ugovorne obveze zahtijeva pouzdana autentifikacija korisnika za internetsku identifikaciju. Svaki zahtjev pouzdajuće strane za informacije od korisnika europske lisnice za digitalni identitet trebao bi biti potreban i razmjeran predviđenoj upotrebi u dotičnom slučaju, trebao bi biti u skladu s načelom smanjenja količine podataka i trebao bi osigurati transparentnost u pogledu toga koji se podaci razmjenjuju i u koju svrhu. Kako bi se olakšale upotreba i prihvaćanje europskih lisnica za digitalni identitet, pri njihovu bi uvođenju u obzir trebalo uzeti široko prihvaćene industrijske norme i specifikacije.

(57)

Od vrlo velikih internetskih platformi u smislu članka 33. stavka 1. Uredbe (EU) 2022/2065 Europskog parlamenta i Vijeća (15) na kojima se od korisnika traži autentifikacija kako bi pristupili internetskim uslugama trebalo bi se zahtijevati prihvaćanje upotrebe europskih lisnica za digitalni identitet na dobrovoljan zahtjev korisnika. Korisnici ne bi trebali biti obvezni upotrebljavati europsku lisnicu za digitalni identitet za pristup privatnim uslugama i ne bi ih se smjelo ograničavati ni ometati u pristupu uslugama na temelju toga da ne upotrebljavaju europsku lisnicu za digitalni identitet. Međutim, ako korisnici to žele, vrlo velike internetske platforme trebale bi ih u tu svrhu prihvaćati, uz poštovanje načela smanjenja količine podataka i prava korisnika da se koriste slobodno odabranim pseudonimima. S obzirom na važnost vrlo velikih internetskih platformi zbog njihova dosega, posebno izraženog u broju primatelja usluge i gospodarskih transakcija, obveza prihvaćanja europskih lisnica za digitalni identitet potrebna je kako bi se povećala zaštita korisnika od prijevara i osigurala visoka razina zaštite podataka.

(58)

Trebalo bi izraditi kodekse ponašanja na razini Unije kako bi se doprinijelo širokoj dostupnosti i upotrebljivosti sredstava elektroničke identifikacije, među ostalim europskih lisnica za digitalni identitet, u okviru područja primjene ove Uredbe. Kodeksi ponašanja trebali bi olakšati široko prihvaćanje sredstava elektroničke identifikacije, uključujući europske lisnice za digitalni identitet, među pružateljima usluga koji se ne ubrajaju u vrlo velike platforme i koji se za autentifikaciju korisnika oslanjaju na usluge elektroničke identifikacije treće strane.

(59)

Selektivno otkrivanje koncept je kojim se vlasniku podataka daje ovlast za otkrivanje samo određenih dijelova većeg skupa podataka kako bi subjekt koji prima podatke dobio samo one informacije koje su potrebne za pružanje usluge koju je korisnik zatražio. Europska lisnica za digitalni identitet trebala bi tehnički omogućiti selektivno otkrivanje atributa pouzdajućim stranama. Korisniku bi trebalo tehnički biti moguće da selektivno otkrije atribute, među ostalim iz više različitih elektroničkih potvrda, te da ih kombinira i neometano ih predstavi pouzdajućim stranama. Ta bi značajka trebala postati osnovna značajka dizajna europskih lisnica za digitalni identitet, čime bi se ojačale praktičnost i zaštita osobnih podataka, uključujući smanjenje količine podataka.

(60)

Osim ako se posebnim pravilima iz prava Unije ili nacionalnog prava od korisnika zahtijeva da se identificiraju, pristup uslugama s pomoću pseudonima ne bi trebao biti zabranjen.

(61)

Atribute koje pružaju kvalificirani pružatelji usluga povjerenja kao dio kvalificirane potvrde atributa trebalo bi provjeravati uspoređivanjem s autentičnim izvorima, neovisno o tome radi li to izravno kvalificirani pružatelj usluga povjerenja ili se to radi putem imenovanih posrednika priznatih na nacionalnoj razini u skladu s pravom Unije ili nacionalnim pravom, u svrhu sigurne razmjene potvrđenih atributa između pružatelja usluga identifikacije ili potvrde atributa i pouzdajućih strana. Države članice trebale bi uspostaviti odgovarajuće mehanizme na nacionalnoj razini kako bi osigurale da kvalificirani pružatelji usluga povjerenja koji izdaju kvalificiranu elektroničku potvrdu atributa mogu na temelju suglasnosti osobe kojoj je potvrda izdana provjeriti autentičnost atributa koji se oslanjaju na autentične izvore. Odgovarajući mehanizmi trebali bi moći uključivati angažiranje posebnih posrednika ili primjenu posebnih tehničkih rješenja u skladu s nacionalnim pravom koji omogućuju pristup autentičnim izvorima. Osiguravanjem dostupnosti mehanizma koji omogućuje provjeru atributa uspoređivanjem s autentičnim izvorima namjerava se olakšati usklađenost kvalificiranih pružatelja usluga povjerenja koji stavljaju na raspolaganje kvalificirane elektroničke potvrde atributa s njihovim obvezama na temelju Uredbe (EU) br. 910/2014. Novi prilog toj uredbi trebao bi sadržavati popis kategorija atributa u pogledu toga koje države članice trebaju osigurati poduzimanje mjera kojima bi se kvalificiranim pružateljima elektroničkih potvrda atributa omogućilo da elektroničkim putem na zahtjev korisnika provjere njihovu autentičnost uspoređivanjem s odgovarajućim autentični izvorom.

(62)

Sigurnom elektroničkom identifikacijom i stavljanjem potvrde atributa na raspolaganje trebali bi se osigurati dodatna fleksibilnost i rješenja za sektor financijskih usluga kako bi se omogućili identificiranje kupaca i razmjena posebnih atributa potrebnih da bi se ispunili, na primjer, zahtjevi za dubinsku analizu kupaca na temelju buduće uredbe o osnivanju tijela za suzbijanje pranja novca ili zahtjevi za prikladnost koji proizlaze iz prava o zaštiti ulagatelja, ili kao podrška ispunjavanju zahtjeva za pouzdanu autentifikaciju kupaca radi internetske identifikacije u svrhu prijave na račun i pokretanja transakcija u području platnih usluga.

(63)

Pravni učinak elektroničkog potpisa ne osporava se zbog toga što je taj potpis u elektroničkom obliku ili zbog toga što ne ispunjava zahtjeve kvalificiranog elektroničkog potpisa. Međutim, pravni učinak elektroničkih potpisa utvrđuje se nacionalnim pravom, osim kad je riječ o zahtjevima predviđenima ovom Uredbom prema kojima se pravni učinak kvalificiranog elektroničkog potpisa treba smatrati jednakovrijednim pravnom učinku vlastoručnog potpisa. Pri utvrđivanju pravnih učinaka elektroničkih potpisa države članice trebale bi voditi računa o načelu proporcionalnosti između pravne vrijednosti dokumenta koji se potpisuje i razine sigurnosti te troškova povezanih s elektroničkim potpisom. Kako bi se povećala pristupačnost i upotreba elektroničkih potpisa, države članice potiču se da razmotre upotrebu naprednih elektroničkih potpisa u svakodnevnim transakcijama za koje pružaju dovoljnu razinu sigurnosti i pouzdanosti.

(64)

Kako bi se osigurala dosljednost praksi certifikacije u cijeloj Uniji, Komisija bi trebala izdati smjernice za certifikaciju i ponovnu certifikaciju kvalificiranih sredstava za izradu elektroničkih potpisa i kvalificiranih sredstava za izradu elektroničkih pečata, uključujući njihovu valjanost i vremenska ograničenja. Ovom se Uredbom ne sprečava javna ili privatna tijelima koja su certificirala kvalificirana sredstva za izradu elektroničkih potpisa da privremeno ponovno certificiraju takva sredstva na kratko razdoblje certifikacije na temelju rezultata prethodnog procesa certifikacije, ako se takva ponovna certifikacija ne može provesti u zakonski utvrđenom roku zbog razloga koji nije povreda ili sigurnosni incident, ne dovodeći u pitanje obvezu provedbe procjene ranjivosti ni primjenjivu praksu certifikacije.

(65)

Izdavanjem certifikata za autentifikaciju mrežnih stranica korisnicima se namjerava pružiti sigurnost, uz visoku razinu pouzdanosti u identitet subjekta koji stoji iza mrežnih stranica, bez obzira na platformu koja je upotrijebljena za prikaz tog identiteta. Ti certifikati trebali bi doprinositi izgradnji povjerenja u vođenje poslovanja na internetu jer bi korisnici imali pouzdanja u mrežne stranice koje su autentificirane. Upotreba takvih certifikata od strane mrežnih stranica trebala bi biti dobrovoljna. Kako bi autentifikacija mrežnih stranica postala sredstvo za povećanje povjerenja, pružanje boljeg iskustva korisniku i poticanje rasta na unutarnjem tržištu, ovom se Uredbom utvrđuje okvir povjerenja koji uključuje minimalne obveze u pogledu sigurnosti i odgovornosti pružatelja kvalificiranih certifikata za autentifikaciju mrežnih stranica i zahtjeve primjenjive na izdavanje tih certifikata. Nacionalni pouzdani popisi trebali bi potvrditi kvalificirani status usluga autentifikacije mrežnih stranica i njihovih pružatelja usluga povjerenja, uključujući njihovu potpunu usklađenost sa zahtjevima ove Uredbe u pogledu izdavanja kvalificiranih certifikata za autentifikaciju mrežnih stranica. Priznavanje kvalificiranih certifikata za autentifikaciju mrežnih stranica znači da pružatelji internetskih preglednika ne bi smjeli osporavati autentičnost kvalificiranih certifikata za autentifikaciju mrežnih stranica isključivo kako bi potvrdili poveznicu između naziva domene internetskih stranica i fizičke ili pravne osobe kojoj je certifikat izdan ili potvrdili identitet te osobe. Pružatelji internetskih preglednika trebali bi krajnjem korisniku prikazivati certificirane podatke o identitetu i druge potvrđene atribute u pregledniku na način prilagođen korisnicima, putem tehničkih sredstava po vlastitom izboru. U tu svrhu pružatelji internetskih preglednika trebali bi osigurati podršku i interoperabilnost s kvalificiranim certifikatima za autentifikaciju mrežnih stranica koji su izdani uz potpuno pridržavanje ove Uredbe. Obveza priznavanja, interoperabilnosti i podrške kvalificiranih certifikata za autentifikaciju mrežnih stranica ne utječe na slobodu pružatelja internetskih preglednika da osiguraju mrežnu sigurnost, autentifikaciju domene i kriptiranje internetskog prometa na način i s pomoću tehnologije koje smatraju najprikladnijima. Kako bi se doprinijelo sigurnosti krajnjih korisnika na internetu, pružatelji internetskih preglednika trebali bi u iznimnim okolnostima moći poduzeti mjere predostrožnosti koje su potrebne i razmjerne kao odgovor na potkrijepljene bojazni u pogledu povreda sigurnosti ili gubitka cjelovitosti utvrđenog certifikata ili skupa certifikata. Ako poduzimaju takve mjere predostrožnosti, pružatelji internetskih preglednika trebali bi bez nepotrebne odgode obavijestiti Komisiju, nacionalno nadzorno tijelo, subjekt kojem je certifikat izdan i kvalificiranog pružatelja usluga povjerenja koji je izdao taj certifikat ili skup certifikata o svakoj bojazni u pogledu takve povrede sigurnosti ili gubitka cjelovitosti, kao i o mjerama poduzetima u vezi s jednim certifikatom ili skupom certifikata. Tim se mjerama ne bi trebala dovoditi u pitanje obveza pružatelja internetskih preglednika da priznaju kvalificirane certifikate za autentifikaciju mrežnih stranica u skladu s nacionalnim pouzdanim popisima. Kako bi dodatno zaštitila građane Unije i osobe s boravištem u Uniji i promicala upotrebu kvalificiranih certifikata za autentifikaciju mrežnih stranica, javna tijela u državama članicama trebala bi razmotriti mogućnost uključivanja tih certifikata na svoje internetske stranice. Mjerama predviđenima ovom Uredbom kojima se nastoji postići veća koherentnost različitih pristupa i praksi država članica u pogledu nadzornih postupaka želi se doprinijeti većem povjerenju i pouzdanosti u sigurnost, kvalitetu i dostupnost kvalificiranih certifikata za autentifikaciju mrežnih stranica.

(66)

Mnoge države članice uvele su nacionalne zahtjeve za usluge kojima se pruža sigurno i vjerodostojno elektroničko arhiviranje kako bi se omogućili dugoročno čuvanje elektroničkih podataka i elektroničkih dokumenata te povezane usluge povjerenja. Kako bi se osigurali pravna sigurnost, povjerenje i usklađenost u svim državama članicama, trebalo bi uspostaviti pravni okvir za kvalificirane usluge elektroničkog arhiviranja po uzoru na okvir za druge usluge povjerenja utvrđene u ovoj Uredbi. Pravnim okvirom za kvalificirane usluge elektroničkog arhiviranja pružateljima usluga povjerenja i korisnicima tih usluga trebalo bi ponuditi učinkovit paket instrumenata koji obuhvaća funkcionalne zahtjeve za uslugu elektroničkog arhiviranja i jasne pravne učinke u slučaju upotrebe kvalificirane usluge elektroničkog arhiviranja. Te bi se odredbe trebale primjenjivati na elektroničke podatke i elektroničke dokumente stvorene u elektroničkom obliku te na dokumente u papirnatom obliku koji su skenirani i digitalizirani. Kada je to potrebno, tim bi se odredbama trebao dopustiti prijenos pohranjenih elektroničkih podataka i elektroničkih dokumenata na različitim medijima ili u različitim formatima u svrhu produljenja njihove trajnosti i čitljivosti nakon isteka razdoblja tehnološke valjanosti, uz sprečavanje gubitka i izmjena koliko je to moguće. Ako elektronički podaci i elektronički dokumenti dostavljeni usluzi elektroničkog arhiviranja sadržavaju jedan ili više kvalificiranih elektroničkih potpisa ili kvalificiranih elektroničkih pečata, u okviru te usluge trebali bi se primjenjivati postupci i tehnologije kojima se može produljiti njihova vjerodostojnost tijekom razdoblja čuvanja takvih podataka, po mogućnosti oslanjajući se na upotrebu drugih kvalificiranih usluga povjerenja uspostavljenih ovom Uredbom. Kako bi se generirali dokazi o čuvanju u slučajevima upotrebe elektroničkih potpisa, elektroničkih pečata ili elektroničkih vremenskih žigova, trebale bi se upotrebljavati kvalificirane usluge povjerenja. U mjeri u kojoj se ovom Uredbom ne usklađuju usluge elektroničkog arhiviranja, države članice trebale bi moći zadržati ili uvesti nacionalne odredbe, u skladu s pravom Unije, koje se odnose na te usluge, kao što su posebne odredbe za usluge integrirane u određenu organizaciju koje se upotrebljavaju samo za interne arhive te organizacije. Ovom se Uredbom ne bi trebalo razlikovati elektroničke podatke i elektroničke dokumente stvorene u elektroničkom obliku od digitaliziranih fizičkih dokumenata.

(67)

Aktivnosti nacionalnih arhiva i memorijskih institucija, u svojstvu organizacija posvećenih očuvanju dokumentarne baštine u javnom interesu, obično su regulirane nacionalnim pravom i ne pružaju nužno usluge povjerenja u smislu ove Uredbe. Ako takve institucije ne pružaju takve usluge povjerenja, ovom se Uredbom ne dovodi u pitanje njihov rad.

(68)

Elektroničke evidencije slijed su elektroničkih zapisa podataka kojim bi se trebala osigurati njihova cjelovitost i točnost njihova kronološkog redoslijeda. Elektroničkim evidencijama trebao bi se utvrditi kronološki slijed zapisa podataka. Zajedno s drugim tehnologijama trebale bi doprinijeti rješenjima za učinkovitije i transformativnije javne usluge, kao što su e-glasovanje, prekogranična suradnja carinskih tijela, prekogranična suradnja akademskih ustanova i evidentiranje vlasništva nad nekretninama u decentraliziranim zemljišnim knjigama. Kvalificiranim elektroničkim evidencijama trebala bi se uspostaviti pravna predmnijeva za jedinstven i točan sekvencijalni kronološki redoslijed i cjelovitost zapisa podataka u evidenciji. Zbog njihovih posebnosti, kao što je sekvencijalni kronološki redoslijed zapisa podataka, elektroničke evidencije trebalo bi razlikovati od drugih usluga povjerenja, poput elektroničkih vremenskih žigova i usluga elektroničke preporučene dostave. Kako bi se osigurala pravna sigurnost i promicale inovacije, trebalo bi uspostaviti pravni okvir na razini Unije kojim se predviđa prekogranično priznavanje usluga povjerenja za bilježenje podataka u elektroničke evidencije. Time bi se trebalo u dovoljnoj mjeri spriječiti višestruko kopiranje i prodaja iste digitalne imovine različitim stranama. Postupak uspostave i ažuriranja elektroničke evidencije ovisi o vrsti evidencije koja se upotrebljava, odnosno o tome je li ona centralizirana ili distribuirana. Ovom bi se Uredbom trebala osigurati tehnološka neutralnost, što znači da se ne daje prednost niti se diskriminira bilo koja tehnologija koja se upotrebljava za uvođenje nove usluge povjerenja za elektroničke evidencije. Osim toga, Komisija bi pri pripremi provedbenih akata kojima se utvrđuju zahtjevi za kvalificirane elektroničke evidencije primjenom odgovarajućih metodologija trebala u obzir uzeti pokazatelje održivosti u pogledu svih štetnih učinaka na klimu ili drugih štetnih učinaka povezanih s okolišem.

(69)

Uloga pružatelja usluga povjerenja za elektroničke evidencije trebala bi biti utvrđivanje sekvencijalnog bilježenja podataka u evidenciju. Ovom se Uredbom ne dovode u pitanje pravne obveze korisnika elektroničkih evidencija na temelju prava Unije ili nacionalnog prava. Na primjer, slučajevi upotrebe koji uključuju obradu osobnih podataka trebali bi biti u skladu s Uredbom (EU) 2016/679, a slučajevi upotrebe povezani s financijskim uslugama trebali bi biti u skladu s relevantnim pravom Unije o financijskim uslugama.

(70)

Kako bi se izbjegle fragmentacija i prepreke na unutarnjem tržištu zbog različitih normi i tehničkih ograničenja te kako bi se osigurao koordiniran proces radi izbjegavanja utjecaja na provedbu europskog okvira za digitalni identitet, potreban je proces bliske i strukturirane suradnje Komisije, država članica, civilnog društva, akademske zajednice i privatnog sektora. Kako bi se postigao taj cilj, države članice i Komisija trebale bi surađivati u okviru utvrđenom u Preporuci Komisije (EU) 2021/946 (16) kako bi se utvrdio zajednički Unijin paket instrumenata za europski okvir za digitalni identitet. U tom kontekstu države članice trebale bi postići dogovor o sveobuhvatnoj tehničkoj strukturi i referentnom okviru, skupu zajedničkih normi i tehničkih upućivanja, uključujući priznate postojeće norme, te skupu smjernica i opisa primjera najbolje prakse koji obuhvaćaju barem sve funkcije i interoperabilnost europskih lisnica za digitalni identitet, uključujući elektroničke potpise, i kvalificiranih pružatelja usluga povjerenja za elektroničku potvrdu atributa kako je utvrđeno ovom Uredbom. U tom bi kontekstu države članice trebale postići dogovor i o zajedničkim elementima u pogledu poslovnog modela i strukture naknada za europske lisnice za digitalni identitet kako bi se olakšalo prihvaćanje, posebno u MSP-ovima, u prekograničnom kontekstu. Sadržaj paketa instrumenata trebao bi se razvijati usporedno s raspravom o europskom okviru za digitalni identitet i postupkom njegova donošenja te biti u skladu s ishodom tih procesa.

(71)

Ovom Uredbom predviđa se ujednačena razina kvalitete, vjerodostojnosti i sigurnosti kvalificiranih usluga povjerenja, bez obzira na mjesto obavljanja djelatnosti. Stoga bi kvalificiranom pružatelju usluga povjerenja trebalo dopustiti da svoje djelatnosti povezane s pružanjem kvalificirane usluge povjerenja eksternalizira u treću zemlju ako ta treća zemlja pruži odgovarajuća jamstva kojima se osigurava da se nadzorne aktivnosti i revizije mogu provoditi kao da se obavljaju u Uniji. Ako se usklađenost s ovom Uredbom ne može u potpunosti osigurati, nadzorna tijela trebala bi moći donijeti razmjerne i opravdane mjere, uključujući povlačenje kvalificiranog statusa pružene usluge povjerenja.

(72)

Kako bi se osigurala pravna sigurnost u pogledu valjanosti naprednih elektroničkih potpisa koji se temelje na kvalificiranim certifikatima, ključno je specificirati procjenu koju obavlja pouzdajuća strana koja provodi validaciju tog naprednog elektroničkog potpisa koji se temelji na kvalificiranim certifikatima.

(73)

Pružatelji usluga povjerenja trebali bi upotrebljavati kriptografske metode koje odražavaju trenutačne najbolje prakse i vjerodostojne primjene tih algoritama kako bi osigurali sigurnost i pouzdanost svojih usluga povjerenja.

(74)

Ovom se Uredbom utvrđuje obveza kvalificiranih pružatelja usluga povjerenja da provjere identitet fizičke ili pravne osobe kojoj se izdaje kvalificirani certifikat ili kvalificirana elektronička potvrda atributa na temelju različitih usklađenih metoda diljem Unije. Kako bi se osiguralo da se kvalificirani certifikati i kvalificirane elektroničke potvrde atributa izdaju osobi kojoj pripadaju te da se njima potvrđuje točan i jedinstven skup podataka koji predstavljaju identitet te osobe, kvalificirani pružatelji usluga povjerenja koji izdaju kvalificirane certifikate ili izdaju kvalificirane elektroničke potvrde atributa trebali bi u trenutku izdavanja tih certifikata i potvrda s potpunom sigurnošću osigurati identifikaciju te osobe. Nadalje, uz obveznu provjeru identiteta osobe, ako je to primjenjivo za izdavanje kvalificiranih certifikata i pri izdavanju kvalificirane elektroničke potvrde atributa, kvalificirani pružatelji usluga povjerenja trebali bi s potpunom sigurnošću osigurati ispravnost i točnost potvrđenih atributa osobe kojoj se izdaje kvalificirani certifikat ili kvalificirana elektronička potvrda atributa. Te obveze u vezi s rezultatom i potpunom sigurnošću pri provjeri potvrđenih podataka trebale bi biti poduprte odgovarajućim sredstvima, među ostalim primjenom jedne ili, ako je potrebno, kombinacije posebnih metoda predviđenih ovom Uredbom. Trebalo bi biti moguće kombinirati te metode kako bi se pružila odgovarajuća osnova za provjeru identiteta osobe kojoj se izdaje kvalificirani certifikat ili kvalificirana elektronička potvrda atributa. Takva kombinacija trebala bi moći uključivati oslanjanje na sredstva elektroničke identifikacije koja ispunjavaju zahtjeve za značajnu razinu osiguranja identiteta, u kombinaciji s drugim sredstvima provjere identiteta. Takva elektronička identifikacija omogućila bi ispunjavanje usklađenih zahtjeva utvrđenih u ovoj Uredbi u pogledu visoke razine osiguranja identiteta u okviru dodatnih usklađenih postupaka na daljinu, čime se osigurava identifikacija s visokom razinom pouzdanosti. Te bi metode trebale uključivati mogućnost da kvalificirani pružatelj usluga povjerenja koji izdaje kvalificiranu elektroničku potvrdu atributa provjeri atribute koje treba potvrditi elektroničkim sredstvima na zahtjev korisnika, u skladu s pravom Unije ili nacionalnim pravom, među ostalim uspoređivanjem s autentičnim izvorima.

(75)

Kako bi ova Uredba bila u skladu s globalnim kretanjima i kako bi se slijedila najbolja praksa na unutarnjem tržištu, delegirane i provedbene akte koje je donijela Komisija trebalo bi preispitati i prema potrebi redovito ažurirati. Pri procjeni nužnosti tih ažuriranja u obzir bi trebalo uzeti nove tehnologije, prakse, norme ili tehničke specifikacije.

(76)

S obzirom na to da ciljeve ove Uredbe, odnosno razvoj europskog okvira za digitalni identitet i okvira za usluge povjerenja na razini Unije, ne mogu dostatno ostvariti države članice, nego se zbog njihova opsega i učinaka oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tih ciljeva.

(77)	Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka na temelju članka 42. stavka 1. Uredbe (EU) 2018/1725.
(78)	Uredbu (EU) br. 910/2014 trebalo bi stoga na odgovarajući način izmijeniti,

DONIJELI SU OVU UREDBU:

Članak 1.

Izmjene Uredbe (EU) br. 910/2014

Uredba (EU) br. 910/2014 mijenja se kako slijedi:

članak 1. zamjenjuje se sljedećim:

„Članak 1.

Predmet

Cilj je ove Uredbe osigurati ispravno funkcioniranje unutarnjeg tržišta i pružanje primjerene razine sigurnosti sredstava elektroničke identifikacije i usluga povjerenja koji se upotrebljavaju diljem Unije kako bi se fizičkim i pravnim osobama omogućilo i olakšalo ostvarivanje prava na sigurno sudjelovanje u digitalnom društvu i na pristup internetskim javnim i privatnim uslugama u cijeloj Uniji. U te svrhe ovom se Uredbom:

(a)	utvrđuju uvjeti pod kojima države članice priznaju sredstva elektroničke identifikacije fizičkih i pravnih osoba koja su obuhvaćena prijavljenim sustavom elektroničke identifikacije druge države članice te pružaju i priznaju europske lisnice za digitalni identitet;

(b)	utvrđuju pravila za usluge povjerenja, posebno za elektroničke transakcije;

(c)

uspostavlja pravni okvir za elektroničke potpise, elektroničke pečate, elektroničke vremenske žigove, elektroničke dokumente, usluge elektroničke preporučene dostave, usluge certificiranja za autentifikaciju mrežnih stranica, elektroničko arhiviranje, elektroničku potvrdu atributa, sredstva za izradu elektroničkih potpisa, sredstva za izradu elektroničkih pečata i elektroničke evidencije.”;

članak 2. mijenja se kako slijedi:

(a)	stavak 1. zamjenjuje se sljedećim: „1. Ova se Uredba primjenjuje na sustave elektroničke identifikacije koje prijavljuje država članica, na europske lisnice za digitalni identitet koje na raspolaganje stavlja država članica i na pružatelje usluga povjerenja s poslovnim nastanom u Uniji.”;

(b)

stavak 3. zamjenjuje se sljedećim:

„3. Ova Uredba ne utječe na pravo Unije ni nacionalno pravo koje se odnosi na sklapanje i valjanost ugovorâ, druge pravne ili postupovne obveze u vezi s oblikom, ni na sektorske zahtjeve u vezi s oblikom.

4. Ovom se Uredbom ne dovodi u pitanje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (*1).

(*1) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.)”;"

članak 3. mijenja se kako slijedi:

(a)

točke od 1. do 5. zamjenjuju se sljedećim:

„1.	,elektronička identifikacija’ znači postupak korištenja osobnim identifikacijskim podacima u elektroničkom obliku koji na nedvojben način predstavljaju fizičku ili pravnu osobu ili fizičku osobu koja predstavlja drugu fizičku osobu ili pravnu osobu;

2.	,sredstvo elektroničke identifikacije’ znači materijalna i/ili nematerijalna jedinica koja sadržava osobne identifikacijske podatke i koja se upotrebljava za autentifikaciju internetske usluge ili, prema potrebi, usluge izvan interneta;

3.	,osobni identifikacijski podaci’ znači skup podataka koji su izdani u skladu s pravom Unije ili nacionalnim pravom i koji omogućuju da utvrđivanje identiteta fizičke ili pravne osobe ili fizičke osobe koja predstavlja drugu fizičku osobu ili pravnu osobu.

4.	,sustav elektroničke identifikacije’ znači sustav za elektroničku identifikaciju u okviru kojega se sredstva elektroničke identifikacije izdaju fizičkim ili pravnim osobama ili fizičkim osobama koje predstavljaju druge fizičke osobe ili pravne osobe;

5.	,autentifikacija’ znači elektronički postupak kojim se omogućuje potvrda elektroničke identifikacije fizičke ili pravne osobe ili potvrda izvornosti i cjelovitosti podataka u elektroničkom obliku;”;

(b)

umeće se sljedeća točka:

„5.a	,korisnik’ znači fizička ili pravna osoba, ili fizička osoba koja predstavlja drugu fizičku osobu ili pravnu osobu, koja upotrebljava usluge povjerenja ili sredstva elektroničke identifikacije predviđene u skladu s ovom Uredbom;”;

(c)

točka 6. zamjenjuje se sljedećim:

„6.	,pouzdajuća strana’ znači fizička ili pravna osoba koja se oslanja na elektroničku identifikaciju, europske lisnice za digitalni identitet ili druga sredstva elektroničke identifikacije ili na uslugu povjerenja;”;

(d)

točka 16. zamjenjuje se sljedećim:

„16.

,usluga povjerenja’ znači elektronička usluga koja se u pravilu pruža uz naknadu i koja obuhvaća bilo što od sljedećeg:

(a)	izdavanje certifikata za elektroničke potpise, certifikata za elektroničke pečate, certifikata za autentifikaciju mrežnih stranica ili certifikata za pružanje drugih usluga povjerenja;

(b)	validaciju certifikata za elektroničke potpise, certifikata za elektroničke pečate, certifikata za autentifikaciju mrežnih stranica ili certifikata za pružanje drugih usluga povjerenja;

(c)	izradu elektroničkih potpisa ili elektroničkih pečata;

(d)	validaciju elektroničkih potpisa ili elektroničkih pečata;

(e)	čuvanje elektroničkih potpisa, elektroničkih pečata, certifikata za elektroničke potpise ili certifikata za elektroničke pečate;

(f)	upravljanje sredstvima za izradu elektroničkog potpisa na daljinu ili sredstvima za izradu elektroničkog pečata na daljinu;

(g)	izdavanje elektroničkih potvrda atributa;

(h)	validaciju elektroničke potvrde atributa;

(i)	izradu elektroničkih vremenskih žigova;

(j)	validaciju elektroničkih vremenskih žigova;

(k)	pružanje usluga elektroničke preporučene dostave;

(l)	validaciju podataka prenesenih uslugama elektroničke preporučene dostave i povezanih dokaza;

(m)	elektroničko arhiviranje elektroničkih podataka i elektroničkih dokumenata;

(n)	bilježenje elektroničkih podataka u elektroničku evidenciju;”;

(e)

točka 18. zamjenjuje se sljedećim:

„18.

,tijelo za ocjenjivanje sukladnosti’ znači tijelo za ocjenjivanje sukladnosti kako je definirano u članku 2. točki 13. Uredbe (EZ) br. 765/2008, koje je u skladu s tom uredbom akreditirano kao nadležno za provedbu ocjenjivanja sukladnosti kvalificiranog pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje on pruža ili kao nadležno za provođenje certifikacije europskih lisnica za digitalni identitet ili sredstava elektroničke identifikacije;”;

(f)

točka 21. zamjenjuje se sljedećim:

„21.	,proizvod’ znači hardver ili softver ili odgovarajuće komponente hardvera ili softvera, koji su namijenjeni za upotrebu u svrhu pružanja elektroničke identifikacije i usluga povjerenja;”;

(g)

umeću se sljedeće točke:

„23.a

,kvalificirano sredstvo za izradu elektroničkog potpisa na daljinu’ znači kvalificirano sredstvo za izradu elektroničkog potpisa kojim upravlja kvalificirani pružatelj usluga povjerenja u skladu s člankom 29.a u ime potpisnika;

23.b	,kvalificirano sredstvo za izradu elektroničkog pečata na daljinu’ znači kvalificirano sredstvo za izradu elektroničkog pečata kojim upravlja kvalificirani pružatelj usluga povjerenja u skladu s člankom 39.a u ime autora pečata;”;

(h)

točka 38. zamjenjuje se sljedećim:

„38.	,certifikat za autentifikaciju mrežnih stranica’ znači elektronička potvrda s pomoću koje je moguće izvršiti autentifikaciju mrežnih stranica te kojom se mrežne stranice povezuju s fizičkom ili pravnom osobom kojoj je certifikat izdan;”;

(i)

točka 41. zamjenjuje se sljedećim:

„41.	,validacija’ znači postupak verifikacije i potvrđivanja da su podaci u elektroničkom obliku valjani u skladu s ovom Uredbom;”;

(j)

dodaju se sljedeće točke:

„42.

,europska lisnica za digitalni identitet’ znači sredstvo elektroničke identifikacije koje korisniku omogućuje sigurnu pohranu, upravljanje i validaciju osobnih identifikacijskih podataka i elektroničkih potvrda atributa u svrhu njihova pružanja pouzdajućim stranama i drugim korisnicima europskih lisnica za digitalni identitet, kao i potpisivanje kvalificiranim elektroničkim potpisima ili pečaćenje kvalificiranim elektroničkim pečatima;

43.	,atribut’ znači karakteristika, kvaliteta, pravo ili dopuštenje fizičke ili pravne osobe ili predmeta;

44.	,elektronička potvrda atributa’ znači potvrda u elektroničkom obliku kojom se omogućuje autentifikacija atributa;

45.	,kvalificirana elektronička potvrda atributa’ znači elektronička potvrda atributa koju izdaje kvalificirani pružatelj usluga povjerenja i koja ispunjava zahtjeve utvrđene u Prilogu V.;

46.

,elektronička potvrda atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor ili koja se izdaje u njegovo ime’ znači elektronička potvrda atributa koju izdaje tijelo javnog sektora koje je odgovorno za autentični izvor ili tijelo javnog sektora koje je imenovala država članica za izdavanje takvih potvrda atributa u ime tijela javnog sektora odgovornih za autentične izvore u skladu s člankom 45.f i Prilogom VII.;

47.

,autentičan izvor’ znači repozitorij ili sustav pod nadležnošću tijela javnog sektora ili privatnog subjekta u kojem su pohranjeni atributi u vezi s fizičkom ili pravnom osobom ili objektom, koji pruža te atribute i koji se smatra glavnim izvorom tih informacija ili se priznaje kao autentičan u skladu s pravom Unije ili nacionalnim pravom, uključujući administrativnu praksu;

48.

,elektroničko arhiviranje’ znači usluga kojom se osiguravaju primanje, pohrana, dohvaćanje i brisanje elektroničkih podataka i elektroničkih dokumenata kako bi se osigurala njihova trajnost i čitljivost te očuvali njihova cjelovitost, povjerljivost i dokaz o podrijetlu tijekom cijelog razdoblja čuvanja;

49.	,kvalificirana usluga elektroničkog arhiviranja’ znači usluga elektroničkog arhiviranja koju pruža kvalificirani pružatelj usluga povjerenja i koja ispunjava zahtjeve utvrđene u članku 45.j;

50.	,EU znak pouzdanosti lisnice za digitalni identitet’ znači provjerljiva, jednostavna i prepoznatljiva oznaka kojom se na jasan način naznačuje da je europska lisnica za digitalni identitet stavljena na raspolaganje u skladu s ovom Uredbom;

51.

,pouzdana autentifikacija korisnika’ znači autentifikacija na temelju upotrebe najmanje dvaju čimbenika autentifikacije iz različitih kategorija znanja, odnosno nečega što samo korisnik zna, posjedovanja, odnosno nečega što samo korisnik posjeduje, ili svojstvenosti, odnosno nečega što korisnik jest, koji su međusobno neovisni, što znači da povreda jednog ne ugrožava pouzdanost drugih, i koja je osmišljena kako bi štitila povjerljivost podataka o autentifikaciji;

52.	,elektronička evidencija’ znači slijed elektroničkih zapisa podataka kojim se osigurava cjelovitost tih zapisa i točnost kronološkog redoslijeda tih zapisa;

53.	,kvalificirana elektronička evidencija’ znači elektronička evidencija koju pruža kvalificirani pružatelj usluga povjerenja i koja ispunjava zahtjeve utvrđene u članku 45.l.;

54.	,osobni podaci’ znači sve informacije kako su definirane u članku 4. točki 1. Uredbe (EU) 2016/679;

55.	,potvrđivanje identiteta’ znači postupak u kojem se osobni identifikacijski podaci ili sredstva elektroničke identifikacije spajaju ili povezuju s postojećim računom koji pripada istoj osobi;

56.	,zapis podataka’ znači elektronički podaci koji su zabilježeni s povezanim metapodacima i koji podupiru obradu podataka;

57.

,izvanmrežni način rada’ znači, u pogledu upotrebe europskih lisnica za digitalni identitet, interakcija između korisnika i treće strane na fizičkoj lokaciji uz upotrebu tehnologije neposredne blizine, pri čemu nije potrebno da europska lisnica za digitalni identitet za potrebe interakcije pristupi sustavima na daljinu putem elektroničkih komunikacijskih mreža.”;

članak 5. zamjenjuje se sljedećim:

„Članak 5.

Pseudonimi u elektroničkoj transakciji

Ne dovodeći u pitanje posebna pravila prava Unije ili nacionalnog prava kojima se od korisnika zahtijeva da se identificiraju ni pravni učinak koji pseudonimi imaju prema nacionalnom pravu, upotreba pseudonima koje je odabrao korisnik nije zabranjena.”;

u poglavlju II. umeće se sljedeći odjeljak:

„ODJELJAK 1.

EUROPSKA LISNICA ZA DIGITALNI IDENTITET

Članak 5.a

Europske lisnice za digitalni identitet

1. Kako bi se osiguralo da sve fizičke i pravne osobe u Uniji imaju siguran, pouzdan i neometan prekogranični pristup javnim i privatnim uslugama, uz potpunu kontrolu nad vlastitim podacima, svaka država članica na raspolaganje stavlja najmanje jednu europsku lisnicu za digitalni identitet u roku od 24 mjeseca od datuma stupanja na snagu provedbenih akata iz stavka 23. ovog članka i članka 5.c stavka 6.

2. Europske lisnice za digitalni identitet stavljaju se na raspolaganje na jedan ili više sljedećih načina:

(a)	na raspolaganje ih izravno stavlja država članica;

(b)	na raspolaganje se stavljaju na temelju ovlasti koju daje država članica;

(c)	na raspolaganje se stavljaju neovisno o državi članici, ali priznaje ih ta država članica.

3. Izvorni kod softverskih komponenata aplikacije europske lisnice za digitalni identitet mora imati licenciju za softver otvorenog koda. Države članice mogu predvidjeti da se, zbog opravdanih razloga, izvorni kod posebnih komponenata, osim onih ugrađenih na korisničke uređaje, ne otkriva.

4. Europske lisnice za digitalni identitet omogućuju korisniku da na njemu prilagođen, transparentan i sljediv način:

(a)

sigurno zatraži, dobije, odabire, kombinira, pohranjuje, briše, dijeli i predstavlja, pod isključivom kontrolom korisnika, osobne identifikacijske podatke i da se, prema potrebi, u kombinaciji s elektroničkim potvrdama atributa, autentificira pouzdajućim stranama na internetu i, prema potrebi, u izvanmrežnom načinu rada, radi pristupa javnim i privatnim uslugama, uz istodobno osiguravanje mogućnosti selektivnog otkrivanja podataka;

(b)	generira pseudonime i pohrani ih u kriptiranom obliku i lokalno u europskoj lisnici za digitalni identitet;

(c)	sigurno izvrši autentifikaciju europske lisnice za digitalni identitet druge osobe te na siguran način prima i razmjenjuje osobne identifikacijske podatke i elektroničke potvrde atributa između dviju europskih lisnica za digitalni identitet;

(d)

pristupi evidenciji svih transakcija izvršenih preko europske lisnice za digitalni identitet putem zajedničke kontrolne ploče koja korisniku omogućuje:

i.	da pregleda ažurirani popis pouzdajućih strana s kojima je korisnik uspostavio vezu i, prema potrebi, sve razmijenjene podatke;

ii.	da na jednostavan način zatraži da pouzdajuća strana izbriše osobne podatke na temelju članka 17. Uredbe (EU) 2016/679;

iii.	da na jednostavan način prijavi pouzdajuću stranu nadležnom nacionalnom tijelu za zaštitu podataka ako primi navodno nezakonit ili sumnjiv zahtjev za podacima;

(e)	potpiše kvalificiranim elektroničkim potpisima ili zapečati kvalificiranim elektroničkim pečatima;

(f)	preuzme, u mjeri u kojoj je to tehnički izvedivo, podatke korisnika, elektroničku potvrdu atributa i konfiguracije;

(g)	ostvaruje prava korisnika na prenosivost podataka.

5. Europske lisnice za digitalni identitet osobito:

(a)

podržavaju zajedničke protokole i sučelja:

i.	za izdavanje osobnih identifikacijskih podataka, kvalificiranih i nekvalificiranih elektroničkih potvrda atributa ili kvalificiranih i nekvalificiranih certifikata europskoj lisnici za digitalni identitet;

ii.	kako bi se pouzdajućim stranama omogućilo da zatraže i validiraju osobne identifikacijske podatke i elektroničke potvrde atributa;

iii.	za dijeljenje i predstavljanje pouzdajućim stranama osobnih identifikacijskih podataka, elektroničke potvrde atributa ili selektivno otkrivenih povezanih podataka na internetu i, prema potrebi, u izvanmrežnom načinu rada;

iv.	kako bi se korisniku omogućili interakcija s europskom lisnicom za digitalni identitet i prikaz EU znaka pouzdanosti lisnice za digitalni identitet;

v.	za sigurno uključivanje korisnika upotrebom sredstava elektroničke identifikacije u skladu s člankom 5.a stavkom 24.;

vi.	za interakciju između europskih lisnica za digitalni identitet dviju osoba u svrhu sigurnog primanja, validacije i razmjene osobnih identifikacijskih podataka o identitetu i elektroničkih potvrda atributa;

vii.	za autentifikaciju i identifikaciju pouzdajućih strana provedbom mehanizama autentifikacije u skladu s člankom 5.b;

viii.

kako bi se pouzdajućim stranama omogućilo da provjere autentičnost i valjanost europskih lisnica za digitalni identitet;

ix.	kako bi se od pouzdajuće strane zatražilo brisanje osobnih podataka na temelju članka 17. Uredbe (EU) 2016/679;

x.	za prijavljivanje pouzdajuće strane nadležnom nacionalnom tijelu za zaštitu podataka ako je zaprimljen navodno nezakonit ili sumnjiv zahtjev za podacima;

xi.	za stvaranje kvalificiranih elektroničkih potpisa ili elektroničkih pečata s pomoću kvalificiranih sredstava za izradu elektroničkih potpisa ili kvalificiranih sredstava za izradu elektroničkih pečata;

(b)	pružateljima usluga povjerenja za elektroničke potvrde atributa ne pružaju informacije o upotrebi tih elektroničkih potvrda;

(c)	osiguravaju da se pouzdajuće strane mogu autentificirati i identificirati provedbom mehanizama autentifikacije u skladu s člankom 5.b;

(d)	ispunjavaju zahtjeve utvrđene u članku 8. u pogledu visoke razine osiguranja identiteta, osobito kad je riječ o zahtjevima za dokazivanje i provjeru identiteta te upravljanju sredstvima elektroničke identifikacije i njihovoj autentifikaciji;

(e)

u slučaju elektroničke potvrde atributa s ugrađenim politikama otkrivanja, primjenjuju odgovarajući mehanizam za obavješćivanje korisnika da pouzdajuća strana ili korisnik europske lisnice za digitalni identitet koji su podnijeli zahtjev za tu elektroničku potvrdu atributa imaju dopuštenje za pristup toj potvrdi;

(f)

osiguravaju da osobni identifikacijski podaci kojima raspolaže sustav elektroničke identifikacije u okviru kojeg se na raspolaganje stavlja europska lisnica za digitalni identitet na nedvojben način predstavljaju fizičku osobu, pravnu osobu ili fizičku osobu koja predstavlja fizičku ili pravnu osobu te da su povezani s tom europskom lisnicom za digitalni identitet;

(g)	svim fizičkim osobama automatski i besplatno nudi mogućnost potpisivanja kvalificiranim elektroničkim potpisima.

Neovisno o prvom podstavku točki (g), države članice mogu predvidjeti razmjerne mjere za osiguravanje da besplatna upotreba kvalificiranih elektroničkih potpisa od strane fizičkih osoba bude ograničena na neprofesionalne svrhe.

6. Države članice bez odgode obavješćuju korisnike o svim povredama sigurnosti koje su mogle u potpunosti ili djelomično ugroziti njihovu europsku lisnicu za digitalni identitet ili njezin sadržaj, a posebno ako je došlo do suspenzije ili opoziva valjanosti njihove europske lisnice za digitalni identitet na temelju članka 5.e.

7. Ne dovodeći u pitanje članak 5.f, države članice mogu u skladu s nacionalnim pravom predvidjeti dodatne funkcije europskih lisnica za digitalni identitet, uključujući interoperabilnost s postojećim nacionalnim sredstvima elektroničke identifikacije. Te dodatne funkcije moraju biti u skladu s ovim člankom.

8. Države članice besplatno stavljaju na raspolaganje mehanizme za validaciju kako bi se:

(a)	osiguralo da se mogu provjeravati autentičnost i valjanost europskih lisnica za digitalni identitet;

(b)	korisnicima omogućilo da provjere autentičnost i valjanost identiteta pouzdajućih strana registriranih u skladu s člankom 5.b.

9. Države članice osiguravaju da se valjanost europske lisnice za digitalni identitet može opozvati u sljedećim okolnostima:

(a)	na izričit zahtjev korisnika;

(b)	ako je sigurnost europske lisnice za digitalni identitet ugrožena;

(c)	nakon smrti korisnika ili prestanka aktivnosti pravne osobe.

10. Pružatelji europskih lisnica za digitalni identitet osiguravaju da korisnici mogu jednostavno zatražiti tehničku podršku i prijaviti tehničke probleme ili druge incidente koji negativno utječu na upotrebu europske lisnice za digitalni identitet.

11. Europske lisnice za digitalni identitet stavljaju se na raspolaganje u okviru sustava elektroničke identifikacije visoke razine osiguranja identiteta.

12. Europske lisnice za digitalni identitet moraju imati integriranu sigurnost.

13. Europske lisnice za digitalni identitet izdaju se, upotrebljavaju i opozivaju besplatno za sve fizičke osobe.

14. Korisnici imaju potpunu kontrolu nad upotrebom svoje europske lisnice za digitalni identitet i podacima u njoj. Pružatelj europske lisnice za digitalni identitet ne prikuplja informacije o upotrebi europske lisnice za digitalni identitet koje nisu potrebne za pružanje usluga europske lisnice za digitalni identitet niti kombinira osobne identifikacijske podatke ili bilo koje druge osobne podatke koji su pohranjeni ili su povezani s upotrebom europske lisnice za digitalni identitet s osobnim podacima iz drugih usluga koje nudi taj pružatelj ili usluga trećih strana koje nisu potrebne za pružanje usluga europske lisnice za digitalni identitet, osim ako korisnik izričito zatraži drukčije. Osobni podaci povezani sa stavljanjem na raspolaganje europske lisnice za digitalni identitet čuvaju se logički odvojeno od svih drugih podataka koje čuva pružatelj europske lisnice za digitalni identitet. Ako europsku lisnicu za digitalni identitet na raspolaganje stavljaju privatne strane u skladu sa stavkom 2. točkama (b) i (c) ovog članka, odredbe članka 45.h stavka 3. primjenjuju se mutatis mutandis.

15. Upotreba europskih lisnica za digitalni identitet dobrovoljna je. Fizičkim i pravnim osobama koje se ne koriste europskom lisnicom za digitalni identitet ni na koji se način ne smije ograničiti ili otežati pristup javnim i privatnim uslugama, pristup tržištu rada i sloboda poduzetništva. Pristup javnim i privatnim uslugama mora i dalje biti moguć putem drugih postojećih sredstava identifikacije i autentifikacije.

16. Tehnički okvir za europsku lisnicu za digitalni identitet:

(a)

pružateljima elektroničkih potvrda atributa ili bilo kojoj drugoj strani nakon izdavanja potvrde atributa ne dopušta da dođu do podataka koji omogućuju praćenje, povezivanje ili korelaciju transakcija ili ponašanja korisnika, ili drukčije pribavljanje znanja o transakcijama ili ponašanju korisnika, osim ako korisnik to izričito dopusti;

(b)	omogućuje tehnike za očuvanje privatnosti kojima se osigurava nepovezivost, kada za potvrdu atributa nije potrebna identifikacija korisnika.

17. Svaka obrada osobnih podataka koju provode države članice ili koju u njihovo ime provode tijela ili strane odgovorne za stavljanje na raspolaganje europskih lisnica za digitalni identitet kao sredstva za elektroničku identifikaciju provodi se u skladu s odgovarajućim i djelotvornim mjerama za zaštitu podataka. Dokazuje se usklađenost takve obrade s Uredbom (EU) 2016/679. Države članice mogu uvesti nacionalne odredbe kako bi dodatno precizirale primjenu takvih mjera.

18. Države članice bez nepotrebne odgode Komisiji dostavljaju informacije o:

(a)	tijelu odgovornom za uspostavu i održavanje popisa prijavljenih pouzdajućih strana koje se oslanjaju na europske lisnice za digitalni identitet u skladu s člankom 5.b stavkom 5. i mjestu na kojem se taj popis nalazi;

(b)	tijelima odgovornima za stavljanje na raspolaganje europskih lisnica za digitalni identitet u skladu s člankom 5.a stavkom 1.;

(c)	tijelima odgovornima za osiguravanje da osobni identifikacijski podaci koji su povezani s europskom lisnicom za digitalni identitet budu u skladu s člankom 5.a stavkom 5. točkom (f);

(d)	mehanizmu kojim se omogućuje validacija osobnih identifikacijskih podataka iz članka 5.a stavka 5. točke (f) i validacija identiteta pouzdajućih strana;

(e)	mehanizmu kojim se validira autentičnost i valjanost europskih lisnica za digitalni identitet.

Komisija informacije dostavljene na temelju prvog podstavka stavlja na raspolaganje javnosti putem sigurnog kanala, u elektronički potpisanom ili zapečaćenom obliku prikladnom za automatiziranu obradu.

19. Ne dovodeći u pitanje stavak 22. ovog članka, članak 11. primjenjuje se mutatis mutandis na europske lisnice za digitalni identitet.

20. Članak 24. stavak 2. točka (b) i točke od (d) do (h) primjenjuju se mutatis mutandis na pružatelje europskih lisnica za digitalni identitet.

21. Europske lisnice za digitalni identitet moraju biti dostupne za upotrebu osobama s invaliditetom, na ravnopravnoj osnovi s ostalim korisnicima, u skladu s Direktivom (EU) 2019/882 Europskog parlamenta i Vijeća (*2).

22. Za potrebe stavljanja na raspolaganje europskih lisnica za digitalni identitet, europske lisnice za digitalni identitet i sustavi elektroničke identifikacije u okviru kojih se one stavljaju na raspolaganje ne podliježu zahtjevima utvrđenima u člancima 7., 9., 10., 12. i 12.a.

23. Komisija do 21. studenoga 2024. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za zahtjeve iz stavaka 4., 5., 8. i 18. ovog članka o provedbi europskih lisnica za digitalni identitet. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

24. Komisija provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke kako bi se korisnicima olakšalo uključivanje u europsku lisnicu za digitalni identitet s pomoću sredstava elektroničke identifikacije s visokom razinom osiguranja identiteta ili s pomoću sredstava elektroničke identifikacije sa značajnom razinom osiguranja identiteta u kombinaciji s dodatnim postupcima uključivanja na daljinu koji zajedno ispunjavaju zahtjeve za visoku razinu osiguranja identiteta. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 5.b

Pouzdajuće strane europskih lisnica za digitalni identitet

1. Ako se pouzdajuća strana namjerava oslanjati na europske lisnice za digitalni identitet za pružanje javnih ili privatnih usluga putem digitalne interakcije, pouzdajuća strana registrira se u državi članici u kojoj ima poslovni nastan.

2. Postupak registracije mora biti troškovno učinkovit i razmjeran riziku. Pouzdajuća strana dostavlja barem:

(a)

informacije potrebne za autentifikaciju u europske lisnice za digitalni identitet, koje uključuju barem:

i.	državu članicu u kojoj pouzdajuća strana ima poslovni nastan; i

ii.	ime pouzdajuće strane i, ako je to primjenjivo, njezin registracijski broj kako je naveden u službenoj evidenciji, zajedno s identifikacijskim podacima te službene evidencije;

(b)	podatke za kontakt pouzdajuće strane;

(c)	predviđenu upotrebu europskih lisnica za digitalni identitet, uključujući naznaku podataka koje pouzdajuća strana treba zatražiti od korisnika.

3. Pouzdajuće strane od korisnika ne smiju zahtijevati da dostave bilo kakve druge podatke osim onih naznačenih u skladu sa stavkom 2. točkom (c).

4. Stavcima 1. i 2. ne dovodi se u pitanje pravo Unije ni nacionalno pravo koje se primjenjuje na pružanje određenih usluga.

5. Države članice informacije iz stavka 2. stavljaju na raspolaganje javnosti na internetu u elektronički potpisanom ili zapečaćenom obliku prikladnom za automatiziranu obradu.

6. Pouzdajuće strane registrirane u skladu s ovim člankom bez odgode obavješćuju države članice o svim promjenama informacija navedenih u registraciji na temelju stavka 2.

7. Države članice osiguravaju zajednički mehanizam kojim se omogućuje identifikacija i autentifikacija pouzdajućih strana, kako je navedeno u članku 5.a stavku 5. točki (c).

8. Ako se pouzdajuće strane namjeravaju oslanjati na europske lisnice za digitalni identitet, one se identificiraju korisniku.

9. Pouzdajuće strane odgovorne su za provedbu postupka autentifikacije i validacije osobnih identifikacijskih podataka i elektroničke potvrde atributa koji su zatraženi iz europskih lisnica za digitalni identitet. Pouzdajuće strane ne odbijaju upotrebu pseudonima ako se identifikacija korisnika ne zahtijeva pravom Unije ili nacionalnim pravom.

10. Posrednici koji djeluju u ime pouzdajućih strana smatraju se pouzdajućim stranama i ne smiju pohranjivati podatke o sadržaju transakcije.

11. Komisija do 21. studenoga 2024. provedbenim aktima o provedbi europskih lisnica za digitalni identitet iz članka 5.a stavka 23. utvrđuje tehničke specifikacije i postupke za zahtjeve iz stavaka 2., 5. i od 6. do 9. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 5.c

Certifikacija europskih lisnica za digitalni identitet

1. Sukladnost europskih lisnica za digitalni identitet i sustava elektroničke identifikacije u okviru kojeg se one stavljaju na raspolaganje sa zahtjevima utvrđenima u članku 5.a stavcima 4., 5. i 8, sa zahtjevom za logičkim odvajanjem utvrđenim u članku 5.a stavku 14. i, ako je to primjenjivo, s normama i tehničkim specifikacijama iz članka 5.a stavka 24. certificiraju tijela za ocjenjivanje sukladnosti koja imenuju države članice.

2. Certifikacija sukladnosti europskih lisnica za digitalni identitet sa zahtjevima iz stavka 1. ovog članka, ili njihovim dijelovima, koji su relevantni za kibernetičku sigurnost provodi se u skladu s europskim programima kibernetičke sigurnosne certifikacije donesenima na temelju Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća (*3) i navedenima u provedbenim aktima iz stavka 6. ovog članka.

3. Za zahtjeve iz stavka 1. ovog članka koji nisu relevantni za kibernetičku sigurnost te, za zahtjeve iz stavka 1. ovog članka koji su relevantni za kibernetičku sigurnost, u mjeri u kojoj programi kibernetičke sigurnosne certifikacije kako su navedeni u stavku 2. ovog članka ne obuhvaćaju, ili samo djelomično obuhvaćaju, te kibernetičke sigurnosne zahtjeve, također za te zahtjeve, države članice uspostavljaju nacionalne programe certifikacije u skladu sa zahtjevima utvrđenima u provedbenim aktima iz stavka 6. ovog članka. Države članice dostavljaju nacrte svojih nacionalnih programa certifikacije Europskoj skupini za suradnju u području digitalnog identiteta uspostavljenoj na temelju članka 46.e stavka 1. (‚Skupina za suradnju’). Skupina za suradnju može davati mišljenja i preporuke.

4. Certifikacija na temelju stavka 1. valjana je do pet godina, pod uvjetom da se svake dvije godine provodi procjena ranjivosti. Ako se ranjivost utvrdi i pravodobno ne otkloni, certifikacija se poništava.

5. Ispunjavanje zahtjeva utvrđenih u članku 5.a ove Uredbe u vezi s postupcima obrade osobnih podataka može se certificirati na temelju Uredbe (EU) 2016/679.

6. Komisija do 21. studenoga 2024. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za certificiranje europskih lisnica za digitalni identitet iz stavaka 1., 2. i 3. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

7. Države članice dostavljaju Komisiji imena i adrese tijela za ocjenjivanje sukladnosti iz stavka 1. Komisija te informacije stavlja na raspolaganje svim državama članicama.

8. Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 47. o utvrđivanju posebnih kriterija koje moraju ispunjavati imenovana tijela za ocjenjivanje sukladnosti iz stavka 1. ovog članka.

Članak 5.d

Objava popisa certificiranih europskih lisnica za digitalni identitet

1. Države članice bez nepotrebne odgode obavješćuju Komisiju i Skupinu za suradnju uspostavljenu na temelju članka 46.e stavka 1. o europskim lisnicama za digitalni identitet koje su stavljene na raspolaganje na temelju članka 5.a i koje su certificirala tijela za ocjenjivanje sukladnosti iz članka 5.c stavka 1. One bez nepotrebne odgode obavješćuju Komisiju i Skupinu za suradnju uspostavljenu na temelju članka 46.e stavka 1. ako je certifikacija poništena te navode razloge za poništenje.

2. Ne dovodeći u pitanje članak 5.a stavak 18., informacije iz stavka 1. ovog članka koje dostavljaju države članice uključuju barem:

(a)	certifikat i izvješće o ocjenjivanju certifikacije certificirane europske lisnice za digitalni identitet;

(b)	opis sustava elektroničke identifikacije u okviru kojeg se europska lisnica za digitalni identitet stavlja na raspolaganje;

(c)	primjenjivi sustav nadzora i informacije o sustavu odgovornosti s obzirom na stranu koja europsku lisnicu za digitalni identitet stavlja na raspolaganje;

(d)	tijelo ili tijela odgovorna za sustav elektroničke identifikacije;

(e)	aranžmane za suspenziju ili opoziv sustava elektroničke identifikacije ili autentifikacije ili ugroženih dijelova o kojima je riječ.

3. Na temelju informacija primljenih u skladu sa stavkom 1. Komisija sastavlja, objavljuje u Službenom listu Europske unije i održava u strojno čitljivom obliku popis certificiranih europskih lisnica za digitalni identitet.

4. Država članica može Komisiji podnijeti zahtjev za uklanjanje europske lisnice za digitalni identitet i sustava elektroničke identifikacije u okviru kojeg se ona stavlja na raspolaganje s popisa iz stavka 3.

5. Ako dođe do promjena informacija dostavljenih u skladu sa stavkom 1., država članica Komisiji dostavlja ažurirane informacije.

6. Komisija ažurira popis iz stavka 3. objavljivanjem odgovarajućih izmjena popisa u Službenom listu Europske unije u roku od mjesec dana od primitka zahtjeva na temelju stavka 4. ili ažuriranih informacija na temelju stavka 5.

7. Komisija do 21. studenoga 2024. provedbenim aktima o provedbi europskih lisnica za digitalni identitet iz članka 5.a stavka 23. utvrđuje formate i postupke koji se primjenjuju za potrebe stavaka 1., 4. i 5. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 5.e

Povreda sigurnosti europskih lisnica za digitalni identitet

1. U slučaju povrede ili djelomičnog ugrožavanja europskih lisnica za digitalni identitet koje se stavljaju na raspolaganje na temelju članka 5.a, mehanizama za validaciju iz članka 5.a stavka 8. ili sustava elektroničke identifikacije u okviru kojeg se na raspolaganje stavljaju europske lisnice za digitalni identitet na način koji utječe na njihovu pouzdanost ili na pouzdanost drugih europskih lisnica za digitalni identitet, država članica koja je europske lisnice za digitalni identitet stavila na raspolaganje bez nepotrebne odgode suspendira stavljanje na raspolaganje i upotrebu europskih lisnica za digitalni identitet.

Ako je to opravdano ozbiljnošću povrede sigurnosti ili ugrožavanja iz prvog podstavka, država članica bez nepotrebne odgode povlači europske lisnice za digitalni identitet.

Država članica o tome obavješćuje pogođene korisnike, jedinstvene kontaktne točke imenovane u skladu s člankom 46.c stavkom 1., pouzdajuće strane i Komisiju.

2. Ako se povreda sigurnosti ili ugrožavanje iz stavka 1. prvog podstavka ovog članka ne otkloni u roku od tri mjeseca od suspenzije, država članica koja je europske lisnice za digitalni identitet stavila na raspolaganje povlači europske lisnice za digitalni identitet i opoziva njihovu valjanost. Država članica o povlačenju obavješćuje pogođene korisnike, jedinstvene kontaktne točke imenovane u skladu s člankom 46.c stavkom 1., pouzdajuće strane i Komisiju.

3. Kad se povreda sigurnosti ili ugrožavanje iz stavka 1. prvog podstavka ovog članka otkloni, država članica pružateljica ponovno pokreće stavljanje na raspolaganje i upotrebu europskih lisnica za digitalni identitet te o tome bez nepotrebne odgode obavješćuje pogođene korisnike i pouzdajuće strane, jedinstvenu kontaktnu točku imenovanu u skladu s člankom 46.c stavkom 1. i Komisiju.

4. Komisija u Službenom listu Europske unije bez nepotrebne odgode objavljuje odgovarajuće izmjene popisa iz članka 5.d.

5. Komisija do 21. studenoga 2024. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za mjere iz stavaka 1., 2. i 3. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 5.f

Prekogranično oslanjanje na europske lisnice za digitalni identitet

1. Države članice koje za pristup internetskoj usluzi koju pruža tijelo javnog sektora zahtijevaju elektroničku identifikaciju i autentifikaciju prihvaćaju i europske lisnice za digitalni identitet koje su stavljene na raspolaganje u skladu s ovom Uredbom.

2. Ako se od privatnih pouzdajućih strana koje pružaju usluge, uz iznimku mikropoduzeća i malih poduzeća kako su definirana u članku 2. Priloga Preporuci Komisije 2003/361/EZ (*4), na temelju prava Unije ili nacionalnog prava ili zbog ugovorne obveze zahtijeva da upotrebljavaju pouzdanu autentifikaciju korisnika za internetsku identifikaciju, među ostalim u području prijevoza, energetike, bankarstva, financijskih usluga, socijalne sigurnosti, zdravstva, vode namijenjene za ljudsku potrošnju, poštanskih usluga, digitalne infrastrukture, obrazovanja ili telekomunikacija, te privatne pouzdajuće strane najkasnije 36 mjeseci od datuma stupanja na snagu provedbenih akata iz članka 5.a stavka 23. i članka 5.c stavka 6. samo na dobrovoljan zahtjev korisnika prihvaćaju i europske lisnice za digitalni identitet koje su stavljene na raspolaganje u skladu s ovom Uredbom.

3. Ako pružatelji vrlo velikih internetskih platformi iz članka 33. Uredbe (EU) 2022/2065 Europskog parlamenta i Vijeća (*5) od korisnika zahtijevaju autentifikaciju za pristup internetskim uslugama, oni za autentifikaciju korisnika također prihvaćaju i olakšavaju upotrebu europskih lisnica za digitalni identitet koje su stavljene na raspolaganje u skladu s ovom Uredbom, samo na dobrovoljan zahtjev korisnika i u pogledu minimalnih podataka potrebnih za posebne internetske usluge za koje se autentifikacija zahtijeva.

4. Komisija u suradnji s državama članicama olakšava izradu kodeksa ponašanja, u bliskoj suradnji sa svim relevantnim dionicima, uključujući civilno društvo, kako bi se doprinijelo širokoj dostupnosti i upotrebljivosti europskih lisnica za digitalni identitet obuhvaćenih područjem primjene ove Uredbe te kako bi se pružatelje usluga potaknulo da dovrše izradu kodeksa ponašanja.

5. U roku od 24 mjeseca od uvođenja europskih lisnica za digitalni identitet Komisija ocjenjuje potražnju te dostupnost i upotrebljivost europskih lisnica za digitalni identitet, uzimajući u obzir kriterije kao što su prihvaćanje među korisnicima, prekogranična prisutnost pružatelja usluga, tehnološki razvoj, promjene obrazaca upotrebe i potražnja potrošača.

(*2) Direktiva (EU) 2019/882 Europskog parlamenta i Vijeća od 17. travnja 2019. o zahtjevima za pristupačnost proizvoda i usluga (SL L 151, 7.6.2019., str. 70.)."

(*3) Uredba (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti) (SL L 151, 7.6.2019., str. 15.)."

(*4) Preporuka Komisije 2003/361/EZ od 6. svibnja 2003. o definiciji mikropoduzeća te malih i srednjih poduzeća (SL L 124, 20.5.2003., str. 36.)."

(*5) Uredba (EU) 2022/2065 Europskog parlamenta i Vijeća od 19. listopada 2022. o jedinstvenom tržištu digitalnih usluga i izmjeni Direktive 2000/31/EZ (Akt o digitalnim uslugama) (SL L 277, 27.10.2022., str. 1).”;"

6.	ispred članka 6. umeće se sljedeći naslov: „ODJELJAK 2. SUSTAVI ELEKTRONIČKE IDENTIFIKACIJE”;

u članku 7. točka (g) zamjenjuje se sljedećim:

„(g)

najmanje šest mjeseci prije prijave na temelju članka 9. stavka 1. država članica koja provodi prijavljivanje drugim državama članicama za potrebe članka 12. stavka 5. dostavlja opis tog sustava u skladu s postupovnim aranžmanima koji su utvrđeni provedbenim aktima donesenima na temelju članka 12. stavka 6.;”;

u članku 8. stavku 3. prvi podstavak zamjenjuje se sljedećim:

„3. Komisija, uzimajući u obzir odgovarajuće međunarodne norme i podložno stavku 2., provedbenim aktima do 18. rujna 2015. utvrđuje minimalne tehničke specifikacije, norme i postupke u odnosu na koje se za sredstva elektroničke identifikacije utvrđuju niska, značajna i visoka razina osiguranja identiteta.”;

u članku 9. stavci 2. i 3. zamjenjuju se sljedećim:

„2. Komisija bez nepotrebne odgode u Službenom listu Europske unije objavljuje popis sustava elektroničke identifikacije koji su prijavljeni na temelju stavka 1., zajedno s osnovnim informacijama o tim sustavima.

3. Komisija u Službenom listu Europske unije objavljuje izmjene popisa iz stavka 2. u roku od mjesec dana od datuma primitka te prijave.”;

10.	u članku 10. naslov se zamjenjuje sljedećim: „Povreda sigurnosti sustava elektroničke identifikacije”;

11.

umeće se sljedeći članak:

„Članak 11.a

Prekogranično potvrđivanje identiteta

1. Kada djeluju kao pouzdajuće strane za prekogranične usluge, države članice osiguravaju nedvosmisleno potvrđivanje identiteta za fizičke osobe koje upotrebljavaju prijavljena sredstva elektroničke identifikacije ili europske lisnice za digitalni identitet.

2. Države članice predviđaju tehničke i organizacijske mjere kako bi osigurale visoku razinu zaštite osobnih podataka koji se upotrebljavaju za potvrđivanje identiteta i spriječile izradu profila korisnika.

3. Komisija do 21. studenoga 2024. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za zahtjeve iz stavka 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

12.

članak 12. mijenja se kako slijedi:

(a)	naslov se zamjenjuje sljedećim: „Interoperabilnost”;

(b)

stavak 3. mijenja se kako slijedi:

točka (c) zamjenjuje se sljedećim:

„(c)	olakšava provedbu integrirane privatnosti i sigurnosti;”;

ii.	točka (d) briše se;

(c)

u stavku 4. točka (d) zamjenjuje se sljedećim:

„(d)	upućivanja na najmanji skup osobnih identifikacijskih podataka potrebnih da bi na nedvojben način predstavljali fizičku ili pravnu osobu, ili fizičku osobu koja predstavlja drugu fizičku osobu ili pravnu osobu, kojim raspolažu sustavi elektroničke identifikacije;”;

(d)

stavci 5. i 6. zamjenjuju se sljedećim:

„5. Države članice provode istorazinska ocjenjivanja sustava elektroničke identifikacije koji su obuhvaćeni područjem primjene ove Uredbe i koje treba prijaviti u skladu s člankom 9. stavkom 1. točkom (a).

6. Komisija provedbenim aktima do 18. ožujka 2025. uspostavlja potrebne postupovne aranžmane za istorazinska ocjenjivanja iz stavka 5. ovog članka u cilju poticanja visoke razine povjerenja i sigurnosti koja je primjerena stupnju rizika. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

(e)	stavak 7. briše se;

(f)

stavak 8. zamjenjuje se sljedećim:

„8. Komisija u svrhu utvrđivanja jedinstvenih uvjeta za provedbu zahtjeva prema stavku 1. ovog članka do 18. rujna 2025. donosi provedbene akte o okviru za interoperabilnost kako je određeno u stavku 4. ovog članka, podložno kriterijima utvrđenima u stavku 3. ovog članka i uzimajući u obzir rezultate suradnje među državama članicama. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

13.

u poglavlju II. umeću se sljedeći članci:

„Članak 12.a

Certifikacija sustava elektroničke identifikacije

1. Sukladnost sustava elektroničke identifikacije koje treba prijaviti s kibernetičkim sigurnosnim zahtjevima utvrđenima u ovoj Uredbi, uključujući sukladnost sa zahtjevima relevantnima za kibernetičku sigurnost utvrđenima u članku 8. stavku 2. u pogledu razina osiguranja identiteta sustava elektroničke identifikacije, certificiraju tijela za ocjenjivanje sukladnosti koja imenuju države članice.

2. Certifikacija na temelju stavka 1. ovog članka provodi se u okviru relevantnog programa kibernetičke sigurnosne certifikacije na temelju Uredbe (EU) 2019/881 ili njegovih dijelova, u mjeri u kojoj kibernetički sigurnosni certifikat ili njegovi dijelovi obuhvaćaju te kibernetičke sigurnosne zahtjeve.

3. Certifikacija na temelju stavka 1. valjana je do pet godina, pod uvjetom da se svake dvije godine provodi procjena ranjivosti. Ako se ranjivost utvrdi i ne otkloni u roku od tri mjeseca od utvrđivanja, certifikacija se poništava.

4. Neovisno o stavku 2., države članice mogu u skladu s tim stavkom od države članice koja provodi prijavljivanje zatražiti dodatne informacije o sustavima elektroničke identifikacije ili njihovim dijelovima koji su certificirani.

5. Istorazinsko ocjenjivanje sustava elektroničke identifikacije iz članka 12. stavka 5. ne primjenjuje se na sustave elektroničke identifikacije ili dijelove takvih sustava koji su certificirani u skladu sa stavkom 1. ovog članka. Države članice mogu upotrijebiti certifikat ili izjavu o sukladnosti, izdane u skladu s odgovarajućim programom certifikacije ili dijelovima takvih programa, sa zahtjevima iz članka 8. stavka 2. koji nisu povezani s kibernetičkom sigurnošću u pogledu razine osiguranja identiteta sustavâ elektroničke identifikacije.

6. Države članice dostavljaju Komisiji imena i adrese tijela za ocjenjivanje sukladnosti iz stavka 1. Komisija te informacije stavlja na raspolaganje svim državama članicama.

Članak 12.b

Pristup hardverskim i softverskim značajkama

Ako su pružatelji europskih lisnica za digitalni identitet i izdavatelji prijavljenih sredstava elektroničke identifikacije koji djeluju u komercijalnom ili profesionalnom svojstvu i upotrebljavaju osnovne usluge platforme kako su definirane u članku 2. točki 2. Uredbe (EU) 2022/1925 Europskog parlamenta i Vijeća (*6) za potrebe ili tijekom pružanja usluga europske lisnice za digitalni identitet i sredstava elektroničke identifikacije krajnjim korisnicima poslovni korisnici kako su definirani u članku 2. točki 21. te uredbe, nadzornici pristupa osobito im dopuštaju djelotvornu interoperabilnost i, u svrhu interoperabilnosti, pristup s istim značajkama operativnog sustava te hardverskim i softverskim značajkama. Takva djelotvorna interoperabilnost i pristup dopuštaju se besplatno i bez obzira na to jesu li hardverske ili softverske značajke dio operativnog sustava, koje su dostupne tom nadzorniku pristupa ili koje taj nadzornik pristupa upotrebljava pri pružanju takvih usluga, u smislu članka 6. stavka 7. Uredbe (EU) 2022/1925. Ovim se člankom ne dovodi u pitanje članak 5.a stavak 14. ove Uredbe.

(*6) Uredba (EU) 2022/1925 Europskog parlamenta i Vijeća od 14. rujna 2022. o pravednim tržištima s mogućnošću neograničenog tržišnog natjecanja u digitalnom sektoru i izmjeni direktiva (EU) 2019/1937 i (EU) 2020/1828 (Akt o digitalnim tržištima) (SL L 265, 12.10.2022., str. 1.).”;"

14.

u članku 13. stavak 1. zamjenjuje se sljedećim:

„1. Neovisno o stavku 2. ovog članka i ne dovodeći u pitanje Uredbu (EU) 2016/679, pružatelji usluga povjerenja odgovorni su za štetu koja je namjerno ili nepažnjom prouzročena svakoj fizičkoj ili pravnoj osobi zbog nepoštovanja obveza na temelju ove Uredbe. Svaka fizička ili pravna osoba koja je pretrpjela materijalnu ili nematerijalnu štetu kao posljedicu kršenja ove Uredbe od strane pružatelja usluga povjerenja ima pravo tražiti naknadu u skladu s pravom Unije i nacionalnim pravom.

Teret dokazivanja namjere ili nepažnje nekvalificiranog pružatelja usluga povjerenja na fizičkoj je ili pravnoj osobi koja zahtijeva naknadu štete iz prvog podstavka.

Namjera ili nepažnja kvalificiranog pružatelja usluga povjerenja predmnijeva se, osim ako taj kvalificirani pružatelj usluga povjerenja dokaže da je šteta iz prvog podstavka nastala bez namjere ili nepažnje tog kvalificiranog pružatelja usluga povjerenja.”;

15.

članci 14., 15. i 16. zamjenjuju se sljedećim:

„Članak 14.

Međunarodni aspekti

1. Usluge povjerenja koje pružaju pružatelji usluga povjerenja s poslovnim nastanom u trećoj zemlji ili međunarodna organizacija priznaju se kao pravno jednakovrijedne kvalificiranim uslugama povjerenja koje pružaju kvalificirani pružatelji usluga povjerenja s poslovnim nastanom u Uniji ako su usluge povjerenja iz treće zemlje ili međunarodne organizacije priznate provedbenim aktima ili sporazumom sklopljenim između Unije i treće zemlje ili međunarodne organizacije na temelju članka 218. UFEU-a.

Provedbeni akti iz prvog podstavka donose se u skladu s postupkom ispitivanja iz članka 48. stavka 2.

2. Provedbenim aktima i sporazumom iz stavka 1. osigurava se da pružatelji usluga povjerenja u dotičnoj trećoj zemlji ili međunarodna organizacija te usluge povjerenja koje oni pružaju ispunjavaju zahtjeve koji se primjenjuju na kvalificirane pružatelje usluga povjerenja s poslovnim nastanom u Uniji i na kvalificirane usluge povjerenja koje oni pružaju. Treće zemlje i međunarodne organizacije osobito uspostavljaju, održavaju i objavljuju pouzdan popis priznatih pružatelja usluga povjerenja.

3. Sporazumom iz stavka 1. osigurava se da se kvalificirane usluge povjerenja koje pružaju kvalificirani pružatelji usluga povjerenja s poslovnim nastanom u Uniji priznaju kao pravno jednakovrijedne uslugama povjerenja koje pružaju pružatelji usluga povjerenja u trećoj zemlji ili koje pruža međunarodna organizacija s kojom je sklopljen sporazum.

Članak 15.

Pristupačnost za osobe s invaliditetom i osobe s posebnim potrebama

Pružanje sredstava elektroničke identifikacije i usluga povjerenja te proizvodi za krajnje korisnike koji se upotrebljavaju u pružanju tih usluga moraju biti dostupni na jednostavnom i razumljivom jeziku, u skladu s Konvencijom Ujedinjenih naroda o pravima osoba s invaliditetom i sa zahtjevima za pristupačnost iz Direktive (EU) 2019/882, od čega koristi imaju i osobe sa smanjenom funkcionalnom sposobnošću, poput starijih osoba, te osobe s ograničenim pristupom digitalnim tehnologijama.

Članak 16.

Sankcije

1. Ne dovodeći u pitanje članak 31. Direktive (EU) 2022/2555 Europskog parlamenta i Vijeća (*7), države članice utvrđuju pravila o sankcijama koje se primjenjuju na kršenja ove Uredbe. Te sankcije moraju biti djelotvorne, proporcionalne i odvraćajuće.

2. Države članice osiguravaju da kršenja ove Uredbe od strane kvalificiranih i nekvalificiranih pružatelja usluga povjerenja podliježu upravnim novčanim kaznama u maksimalnom iznosu od najmanje:

(a)	5 000 000 EUR ako je pružatelj usluga povjerenja fizička osoba; ili

(b)	ako je pružatelj usluga povjerenja pravna osoba, 5 000 000 EUR ili 1 % ukupnog godišnjeg prometa na svjetskoj razini poduzeća kojem je pružatelj usluga povjerenja pripadao u financijskoj godini koja prethodi godini u kojoj je došlo do kršenja, ovisno o tome koji je iznos veći.

3. Ovisno o pravnom sustavu država članica, pravila o upravnim novčanim kaznama mogu se primjenjivati tako da novčanu kaznu pokreće nadležno nadzorno tijelo, a izriču je nadležni nacionalni sudovi. Primjenom takvih pravila u tim državama članicama osigurava se da ta pravna sredstva budu djelotvorna i da imaju učinak jednakovrijedan učinku upravnih novčanih kazni koje izravno izriču nadzorna tijela.

(*7) Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) (SL L 333, 27.12.2022., str. 80).”;"

16.	u poglavlju III. odjeljku 2. naslov se zamjenjuje sljedećim: „Nekvalificirane usluge povjerenja”;

17.	članci 17. i 18. brišu se;

18.

u poglavlju III. odjeljku 2. umeće se sljedeći članak:

„Članak 19.a

Zahtjevi u vezi s nekvalificiranim pružateljima usluga povjerenja

1. Nekvalificirani pružatelj usluga povjerenja koji pruža nekvalificirane usluge povjerenja:

(a)

ima odgovarajuće politike i poduzima odgovarajuće mjere za upravljanje pravnim, poslovnim, operativnim i drugim izravnim ili neizravnim rizicima za pružanje nekvalificirane usluge povjerenja, koje, neovisno o članku 21. Direktive (EU) 2022/2555, uključuju barem mjere koje se odnose na:

i.	postupke registracije i uključivanja za uslugu povjerenja;

ii.	postupovne ili administrativne provjere potrebne za pružanje usluga povjerenja;

iii.	upravljanje uslugama povjerenja i njihovo uvođenje;

(b)

obavješćuje nadzorno tijelo, pogođene pojedince koje se može identificirati, javnosti ako je to od javnog interesa i, ako je to primjenjivo, druga relevantna nadležna tijela, o svim povredama sigurnosti ili poremećajima u pružanju usluge ili u provedbi mjera iz točke (a) podtočke i., ii. ili iii. koji imaju značajan učinak na pruženu uslugu povjerenja ili na osobne podatke koji se u njoj čuvaju, bez nepotrebne odgode, a u svakom slučaju najkasnije 24 sata od saznanja za bilo kakvu povredu sigurnosti ili poremećaj.

2. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za potrebe stavka 1. točke (a) ovog članka. Ako se udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u ovom članku. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

19.

članak 20. mijenja se kako slijedi:

(a)

stavak 1. zamjenjuje se sljedećim:

„1. Tijelo za ocjenjivanje sukladnosti najmanje svaka 24 mjeseca obavlja reviziju pružatelja kvalificiranih usluga povjerenja o njihovu trošku. Revizijom se potvrđuje da kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi i članku 21. Direktive (EU) 2022/2555. Kvalificirani pružatelji usluga povjerenja nadzornom tijelu podnose izvješće o ocjenjivanju sukladnosti u roku od tri radna dana od primitka.”;

(b)

umeću se sljedeći stavci:

„1.a Kvalificirani pružatelji usluga povjerenja obavješćuju nadzorno tijelo najkasnije mjesec dana prije bilo kakvih planiranih revizija i na zahtjev omogućuju nadzornom tijelu da sudjeluje kao promatrač.

1.b Države članice bez nepotrebne odgode obavješćuju Komisiju o imenima, adresama i akreditacijskim pojedinostima tijela za ocjenjivanje sukladnosti iz stavka 1. i svim naknadnim promjenama tih informacija. Komisija te informacije stavlja na raspolaganje svim državama članicama.”;

(c)

stavci 2., 3. i 4. zamjenjuju se sljedećim:

„2. Ne dovodeći u pitanje stavak 1., nadzorno tijelo može u bilo kojem trenutku obaviti reviziju ili zahtijevati od tijela za ocjenjivanje sukladnosti da obavi ocjenjivanje sukladnosti pružatelja kvalificiranih usluga povjerenja, o trošku tih pružatelja usluga povjerenja, kako bi potvrdilo da pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi. Ako se čini da je došlo do kršenja pravila o zaštiti osobnih podataka, nadzorno tijelo bez nepotrebne odgode obavješćuje nadležna nadzorna tijela osnovana na temelju članka 51. Uredbe (EU) 2016/679.

3. Ako kvalificirani pružatelj usluga povjerenja ne ispunjava bilo koji od zahtjeva utvrđenih ovom Uredbom, nadzorno tijelo od njega zahtijeva da to ispravi u određenom roku, ako je to primjenjivo.

Ako taj pružatelj to ne ispravi, prema potrebi u roku koji je odredilo nadzorno tijelo, nadzorno tijelo, kada je to opravdano osobito opsegom, trajanjem i posljedicama tog neispunjavanja, ukida kvalificirani status tog pružatelja ili pogođene usluge koju on pruža.

3.a Ako nadležna tijela imenovana ili uspostavljena na temelju članka 8. stavka 1. Direktive (EU) 2022/2555 obavijeste nadzorno tijelo da kvalificirani pružatelj usluga povjerenja ne ispunjava bilo koji od zahtjeva iz članka 21. te direktive, nadzorno tijelo, kada je to opravdano osobito opsegom, trajanjem i posljedicama tog neispunjavanja, ukida kvalificirani status tog pružatelja ili pogođene usluge koju on pruža.

3.b Ako nadzorna tijela osnovana na temelju članka 51. Uredbe (EU) 2016/679 obavijeste nadzorno tijelo da kvalificirani pružatelj usluga povjerenja ne ispunjava bilo koji od zahtjeva iz te uredbe, nadzorno tijelo, kada je to opravdano osobito opsegom, trajanjem i posljedicama tog neispunjavanja, ukida kvalificirani status tog pružatelja ili pogođene usluge koju on pruža.

3.c Nadzorno tijelo obavješćuje kvalificiranog pružatelja usluga povjerenja o ukidanju njegova kvalificiranog statusa ili kvalificiranog statusa dotične usluge. Nadzorno tijelo obavješćuje tijelo prijavljeno u skladu s člankom 22. stavkom 3. ove Uredbe za potrebe ažuriranja pouzdanih popisa iz stavka 1. tog članka i nadležno tijelo imenovano ili uspostavljeno na temelju članka 8. stavka 1. Direktive (EU) 2022/2555.

4. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za sljedeće:

(a)	akreditaciju tijela za ocjenjivanje sukladnosti i za izvješće o ocjenjivanju sukladnosti iz stavka 1.;

(b)	zahtjeve u vezi s revizijom na temelju kojih tijela za ocjenjivanje sukladnosti provode ocjenjivanje sukladnosti, uključujući kombinirano ocjenjivanje, kvalificiranih pružatelja usluga povjerenja kako je navedeno u stavku 1.;

(c)	sustave ocjenjivanja sukladnosti prema kojima tijela za ocjenjivanje sukladnosti provode ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja i prema kojima se podnosi izvješće iz stavka 1.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

20.

članak 21. mijenja se kako slijedi:

(a)

stavci 1. i 2. zamjenjuju se sljedećim:

„1. Ako pružatelji usluga povjerenja namjeravaju započeti s pružanjem kvalificirane usluge povjerenja, oni nadzorno tijelo obavješćuju o svojoj namjeri i pritom mu dostavljaju izvješće o ocjenjivanju sukladnosti koje je izdalo tijelo za ocjenjivanje sukladnosti, kojim se potvrđuje ispunjavanje zahtjeva utvrđenih u ovoj Uredbi i članku 21. Direktive (EU) 2022/2555.

2. Nadzorno tijelo provjerava je li pružatelj usluga povjerenja sukladan te jesu li usluge povjerenja koje on pruža sukladne sa zahtjevima utvrđenima u ovoj Uredbi, a posebno sa zahtjevima za kvalificirane pružatelje usluga povjerenja i za kvalificirane usluge povjerenja koje oni pružaju.

Kako bi se provjerilo ispunjava li pružatelj usluga povjerenja zahtjeve utvrđene u članku 21. Direktive (EU) 2022/2555, nadzorno tijelo od nadležnih tijela imenovanih ili uspostavljenih na temelju članka 8. stavka 1. te direktive zahtijeva da u tom pogledu provedu nadzorne mjere i dostave informacije o ishodu bez nepotrebne odgode, a u svakom slučaju u roku od dva mjeseca od primitka tog zahtjeva. Ako provjera ne bude dovršena u roku od dva mjeseca od obavješćivanja, ta nadležna tijela o tome obavješćuju nadzorno tijelo, navodeći razloge za kašnjenje i rok do kojeg provjera treba biti dovršena.

Ako nadzorno tijelo zaključi da pružatelj usluga povjerenja i usluge povjerenja koje on pruža ispunjavaju zahtjeve utvrđene u ovoj Uredbi, ono odobrava kvalificirani status pružatelju usluga povjerenja i uslugama povjerenja koje on pruža te obavješćuje tijelo iz članka 22. stavka 3. u svrhu ažuriranja pouzdanih popisa iz članka 22. stavka 1. najkasnije tri mjeseca od obavješćivanja na temelju stavka 1. ovog članka.

Ako provjera ne bude dovršena u roku od tri mjeseca od obavješćivanja, nadzorno tijelo o tome obavješćuje pružatelja usluga povjerenja, navodeći razloge za kašnjenje i rok do kojeg provjera treba biti dovršena.”;

(b)	stavak 4. zamjenjuje se sljedećim: „4. Komisija do 21. svibnja 2025. provedbenim aktima utvrđuje formate i postupke obavješćivanja i provjere za potrebe stavaka 1. i 2. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

21.

članak 24. mijenja se kako slijedi:

(a)

stavak 1. zamjenjuje se sljedećim:

„1. Pri izdavanju kvalificiranog certifikata ili kvalificirane elektroničke potvrde atributa kvalificirani pružatelj usluga povjerenja provjerava identitet i, ako je to primjenjivo, specifične atribute fizičke ili pravne osobe kojoj se treba izdati kvalificirani certifikat ili kvalificirana elektronička potvrda atributa.

1.a Provjeru identiteta iz stavka 1. odgovarajućim sredstvima provodi kvalificirani pružatelj usluga povjerenja, izravno ili s pomoću treće strane, na temelju jedne od sljedećih metoda ili, prema potrebi, njihove kombinacije i u skladu s provedbenim aktima iz stavka 1.c:

(a)	s pomoću europske lisnice za digitalni identitet ili prijavljenog sredstva elektroničke identifikacije koji ispunjavaju zahtjeve utvrđene u članku 8. u pogledu visoke razine osiguranja identiteta;

(b)	s pomoću certifikata kvalificiranog elektroničkog potpisa ili kvalificiranog elektroničkog pečata izdanih u skladu s točkom (a), (c) ili (d);

(c)	primjenom drugih metoda identifikacije kojima se osigurava identifikacija osobe s visokom razinom pouzdanosti, a čiju sukladnost potvrđuje tijelo za ocjenjivanje sukladnosti;

(d)	na temelju fizičke prisutnosti fizičke osobe ili ovlaštenog predstavnika pravne osobe, odgovarajućim dokazima i postupcima, u skladu s nacionalnim pravom.

1.b Provjeru atributa iz stavka 1. odgovarajućim sredstvima provodi kvalificirani pružatelj usluga povjerenja, izravno ili s pomoću treće strane, na temelju jedne od sljedećih metoda ili, prema potrebi, njihove kombinacije i u skladu s provedbenim aktima iz stavka 1.c:

(a)	s pomoću europske lisnice za digitalni identitet ili prijavljenog sredstva elektroničke identifikacije koji ispunjavaju zahtjeve utvrđene u članku 8. u pogledu visoke razine osiguranja identiteta;

(b)	s pomoću certifikata kvalificiranog elektroničkog potpisa ili kvalificiranog elektroničkog pečata izdanih u skladu sa stavkom 1.a točkom (a), (c) ili (d);

(c)	s pomoću kvalificirane elektroničke potvrde atributa;

(d)	primjenom drugih metoda kojima se osigurava provjera atributa s visokom razinom pouzdanosti, a čiju sukladnost potvrđuje tijelo za ocjenjivanje sukladnosti;

(e)	s pomoću fizičke prisutnosti fizičke osobe ili ovlaštenog predstavnika pravne osobe, odgovarajućim dokazima i postupcima, u skladu s nacionalnim pravom.

1.c Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za provjeru identiteta i atributa u skladu sa stavcima od 1., 1.a i 1.b ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

(b)

stavak 2. mijenja se kako slijedi:

točka (a) zamjenjuje se sljedećim:

„(a)	obavješćuje nadzorno tijelo najmanje mjesec dana prije uvođenja bilo kakvih promjena u vezi s pružanjem svojih kvalificiranih usluga povjerenja, odnosno najmanje tri mjeseca ako namjerava prestati obavljati te djelatnosti;”;

ii.

točke (d) i (e) zamjenjuju se sljedećim:

„(d)	prije stupanja u ugovorni odnos obavješćuje, na jasan, sveobuhvatan i lako dostupan način, na javno dostupnom mjestu i pojedinačno, svaku osobu koja se želi koristiti kvalificiranom uslugom povjerenja o točnim uvjetima korištenja tom uslugom, uključujući bilo kakva ograničenja korištenja njome;

(e)	upotrebljava vjerodostojne sustave i proizvode koji su zaštićeni od preinaka te osigurava tehničku sigurnost i pouzdanost postupaka koje ti sustavi i proizvodi podržavaju, što uključuje upotrebu prikladnih kriptografskih tehnika;”;

iii.

umeću se sljedeće točke:

„(fa)

neovisno o članku 21. Direktive (EU) 2022/2555, ima odgovarajuće politike i poduzima odgovarajuće mjere za upravljanje pravnim, poslovnim, operativnim i drugim izravnim ili neizravnim rizicima za pružanje kvalificirane usluge povjerenja, što uključuje barem mjere koje se odnose na sljedeće:

i.	postupke registracije i uključivanja za uslugu;

ii.	postupovne ili administrativne provjere;

iii.	upravljanje uslugama povjerenja i njihovo uvođenje;

(fb)

obavješćuje nadzorno tijelo, pogođene pojedince koje se može identificirati, druga relevantna nadležna tijela ako je to primjenjivo i, na zahtjev nadzornog tijela, javnost ako je to od javnog interesa, o svim povredama sigurnosti ili poremećajima u pružanju usluge ili u provedbi mjera iz točke (fa) podtočaka i., ii. ili iii. koji imaju značajan učinak na pruženu uslugu povjerenja ili na osobne podatke koji se u njoj čuvaju, bez nepotrebne odgode, a u svakom slučaju najkasnije 24 sata nakon incidenta;”;

iv.

točke (g), (h) i (i) zamjenjuju se sljedećim:

„(g)	poduzima odgovarajuće mjere protiv krivotvorenja, krađe ili prisvajanja podataka ili neovlaštenih brisanja podataka, izmjene podataka ili onemogućivanja pristupa podacima;

(h)

bilježi i čini dostupnima onoliko dugo koliko je to potrebno nakon prestanka obavljanja djelatnosti kvalificiranog pružatelja usluga povjerenja sve bitne informacije povezane s podacima koje je izdao i primio kvalificirani pružatelj usluga povjerenja, za potrebe predlaganja dokaza u sudskim postupcima i u svrhu osiguravanja kontinuiteta usluge. Takvo se bilježenje može obavljati elektronički;

(i)	ima ažuriran plan prekida pružanja usluge radi osiguravanja njezina kontinuiteta u skladu s odredbama koje je potvrdilo nadzorno tijelo u skladu s člankom 46.b stavkom 4. točkom (i);”;

v.	točka (j) briše se;

vi.

dodaje se sljedeći podstavak:

„Nadzorno tijelo može zatražiti dodatne informacije uz informacije dostavljene u skladu s prvim podstavkom točkom (a) ili rezultat ocjenjivanja sukladnosti i može uvjetovati dopuštanje uvođenja planiranih promjena kvalificiranih usluga povjerenja. Ako provjera ne bude dovršena u roku od tri mjeseca od obavješćivanja, nadzorno tijelo o tome obavješćuje pružatelja usluga povjerenja, navodeći razloge za kašnjenje i rok do kojeg provjera treba biti dovršena.”;

(c)

stavak 5. zamjenjuje se sljedećim:

„4.a Stavci 3. i 4. primjenjuju se na odgovarajući način na opoziv kvalificiranih elektroničkih potvrda atributa.

4.b Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 47. o utvrđivanju dodatnih mjera iz stavka 2. točke (fa) ovog članka.

5. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za zahtjeve iz stavka 2. ovog članka. Ako se udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u ovom stavku. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

22.

u poglavlju III. odjeljku 3. umeće se sljedeći članak:

„Članak 24.a

Priznavanje kvalificiranih usluga povjerenja

1. Kvalificirani elektronički potpisi koji se temelje na kvalificiranom certifikatu izdani u jednoj državi članici i kvalificirani elektronički pečati koji se temelje na kvalificiranom certifikatu izdani u jednoj državi članici priznaju se kao kvalificirani elektronički potpisi odnosno kvalificirani elektronički pečati u svim ostalim državama članicama.

2. Kvalificirana sredstva za izradu elektroničkih potpisa i kvalificirana sredstva za izradu elektroničkih pečata certificirana u jednoj državi članici priznaju se kao kvalificirana sredstva za izradu elektroničkih potpisa odnosno kvalificirana sredstva za izradu elektroničkih pečata u svim ostalim državama članicama.

3. Kvalificirani certifikat za elektroničke potpise, kvalificirani certifikat za elektroničke pečate, kvalificirana usluga povjerenja za upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa na daljinu i kvalificirana usluga povjerenja za upravljanje kvalificiranim sredstvima za izradu elektroničkih pečata na daljinu koji su pruženi u jednoj državi članici priznaju se kao kvalificirani certifikat za elektroničke potpise, kvalificirani certifikat za elektroničke pečate, kvalificirana usluga povjerenja za upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa na daljinu odnosno kvalificirana usluga povjerenja za upravljanje kvalificiranim sredstvima za izradu elektroničkih pečata na daljinu u svim ostalim državama članicama.

4. Kvalificirana usluga validacije kvalificiranih elektroničkih potpisa i kvalificirana usluga validacije kvalificiranih elektroničkih pečata pružene u jednoj državi članici priznaju se kao kvalificirana usluga validacije kvalificiranih elektroničkih potpisa odnosno kvalificirana usluga validacije kvalificiranih elektroničkih pečata u svim ostalim državama članicama.

5. Kvalificirana usluga čuvanja kvalificiranih elektroničkih potpisa i kvalificirana usluga čuvanja kvalificiranih elektroničkih pečata pružene u jednoj državi članici priznaju se kao kvalificirana usluga čuvanja kvalificiranih elektroničkih potpisa odnosno kvalificirana usluga čuvanja kvalificiranih elektroničkih pečata u svim ostalim državama članicama.

6. Kvalificirani elektronički vremenski žig izdan u jednoj državi članici priznaje se kao kvalificirani elektronički vremenski žig u svim ostalim državama članicama.

7. Kvalificirani certifikat za autentifikaciju mrežnih stranica izdan u jednoj državi članici priznaje se kao kvalificirani certifikat za autentifikaciju mrežnih stranica u svim ostalim državama članicama.

8. Kvalificirana usluga elektroničke preporučene dostave pružena u jednoj državi članici priznaje se kao kvalificirana usluga elektroničke preporučene dostave u svim ostalim državama članicama.

9. Kvalificirana elektronička potvrda atributa izdana u jednoj državi članici priznaje se kao kvalificirana elektronička potvrda atributa u svim ostalim državama članicama.

10. Kvalificirana usluga elektroničkog arhiviranja pružena u jednoj državi članici priznaje se kao kvalificirana usluga elektroničkog arhiviranja u svim ostalim državama članicama.

11. Kvalificirana elektronička evidencija stavljena na raspolaganje u jednoj državi članici priznaje se kao kvalificirana elektronička evidencija u svim ostalim državama članicama.”;

23.	u članku 25. stavak 3. briše se;

24.

članak 26. mijenja se kako slijedi:

(a)	jedini stavak postaje stavak 1.;

(b)

dodaje se sljedeći stavak:

„2. Komisija do 21. svibnja 2026. ocjenjuje je li potrebno donošenje provedbenih akata radi uspostave popisa referentnih normi i, prema potrebi, utvrđivanja specifikacija i postupaka za napredne elektroničke potpise. Na temelju te ocjene Komisija može donijeti takve provedbene akte. Ako napredan elektronički potpis udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima za napredne elektroničke potpise. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

25.	u članku 27. stavak 4. briše se;

26.

u članku 28. stavak 6. zamjenjuje se sljedećim:

„6. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za kvalificirane certifikate za elektroničke potpise. Ako kvalificirani certifikat za elektronički potpis udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u Prilogu I. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

27.

u članku 29. umeće se sljedeći stavak

„1.a Generiranje podataka za izradu elektroničkog potpisa ili upravljanje njima ili dupliciranje takvih podataka za izradu potpisa u svrhu izrade sigurnosnih kopija obavlja samo u ime i na zahtjev potpisnika kvalificirani pružatelj usluga povjerenja koji pruža kvalificiranu uslugu povjerenja za upravljanje kvalificiranim sredstvom za izradu elektroničkih potpisa na daljinu.”;

28.

umeće se sljedeći članak:

„Članak 29.a

Zahtjevi za kvalificiranu uslugu za upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa na daljinu

1. Upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa na daljinu kao kvalificiranom uslugom obavlja samo kvalificirani pružatelj usluga povjerenja koji:

(a)	generira podatke za izradu elektroničkog potpisa ili upravlja njima u ime potpisnika;

(b)

neovisno o točki 1. podtočki (d) Priloga II., duplicira podatke za izradu elektroničkog potpisa samo u svrhu izrade sigurnosnih kopija pod uvjetom da su ispunjeni sljedeći zahtjevi:

i.	sigurnost dupliciranih skupova podataka mora biti na razini jednakoj razini sigurnosti izvornih skupova podataka;

ii.	broj dupliciranih skupova podataka ne smije prelaziti najmanji broj potreban za osiguravanje kontinuiteta usluge;

(c)	ispunjava sve zahtjeve utvrđene u izvješću o certifikaciji dotičnog kvalificiranog sredstva za izradu elektroničkih potpisa na daljinu izdanom na temelju članka 30.

2. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za potrebe stavka 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

29.	u članku 30. umeće se sljedeći stavak: „3.a Valjanost certificiranja iz stavka 1. ne prelazi pet godina, pod uvjetom da se procjene ranjivosti provode svake dvije godine. Ako se ranjivosti utvrde i ne otklone, certificiranje se poništava.”;

30.	u članku 31. stavak 3. zamjenjuje se sljedećim: „3. Komisija do 21. svibnja 2025. provedbenim aktima utvrđuje formate i postupke koji se primjenjuju za potrebe stavka 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

31.

članak 32. mijenja se kako slijedi:

(a)	u stavku 1. dodaje se sljedeći podstavak: „Ako validacija kvalificiranih elektroničkih potpisa udovoljava normama, specifikacijama i postupcima iz stavka 3., smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u prvom podstavku ovog stavka.”;

(b)

stavak 3. zamjenjuje se sljedećim:

„3. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za validaciju kvalificiranih elektroničkih potpisa. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

32.

umeće se sljedeći članak:

„Članak 32.a

Zahtjevi za validaciju naprednih elektroničkih potpisa koji se temelje na kvalificiranim certifikatima

1. Postupkom validacije naprednog elektroničkog potpisa koji se temelji na kvalificiranom certifikatu potvrđuje se valjanost naprednog elektroničkog potpisa koji se temelji na kvalificiranom certifikatu pod sljedećim uvjetima:

(a)	certifikat koji podržava potpis je u trenutku potpisivanja bio kvalificirani certifikat za elektronički potpis koji je u skladu s Prilogom I.;

(b)	kvalificirani certifikat izdao je kvalificirani pružatelj usluga povjerenja i bio je valjan u trenutku potpisivanja;

(c)	podaci za validaciju potpisa odgovaraju podacima koji se pružaju pouzdajućoj strani;

(d)	jedinstveni skup podataka koji predstavlja potpisnika u certifikatu ispravno je dostavljen pouzdajućoj strani;

(e)	korištenje pseudonimom, ako je pseudonim bio korišten u trenutku potpisivanja, jasno je naznačeno pouzdajućoj strani;

(f)	nije ugrožena cjelovitost potpisanih podataka;

(g)	zahtjevi predviđeni u članku 26. bili su ispunjeni u trenutku potpisivanja.

2. Sustav koji se upotrebljava za validaciju naprednog elektroničkog potpisa koji se temelji na kvalificiranom certifikatu osigurava pouzdajućoj strani točan rezultat postupka validacije i omogućuje joj otkrivanje svih poteškoća bitnih za sigurnost.

3. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za validaciju naprednih elektroničkih potpisa koji se temelje na kvalificiranim certifikatima. Ako validacija naprednog elektroničkog potpisa koji se temelji na kvalificiranim certifikatima udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

33.

u članku 33. stavak 2. zamjenjuje se sljedećim:

„2. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za kvalificiranu uslugu validacije iz stavka 1. ovog članka. Ako kvalificirana usluga validacije kvalificiranih elektroničkih potpisa udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

34.

članak 34. mijenja se kako slijedi:

(a)	umeće se sljedeći stavak: „1.a Ako aranžmani za kvalificiranu uslugu čuvanja kvalificiranih elektroničkih potpisa udovoljavaju normama, specifikacijama i postupcima iz stavka 2., smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1.”;

(b)

stavak 2. zamjenjuje se sljedećim:

„2. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za kvalificiranu uslugu čuvanja kvalificiranih elektroničkih potpisa. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

35.	u članku 35. stavak 3. briše se;

36.

članak 36. mijenja se kako slijedi:

(a)	jedini stavak postaje stavak 1.;

(b)

dodaje se sljedeći stavak:

„2. Komisija do 21. svibnja 2026. ocjenjuje je li potrebno donošenje provedbenih akata radi uspostave popisa referentnih normi i, prema potrebi, utvrđivanja specifikacija i postupaka za napredne elektroničke pečate. Na temelju te ocjene Komisija može donijeti takve provedbene akte. Ako napredan elektronički pečat udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima za napredne elektroničke pečate. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

37.	u članku 37. stavak 4. briše se;

38.

u članku 38. stavak 6. zamjenjuje se sljedećim:

„6. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za kvalificirane certifikate za elektroničke pečate. Ako kvalificirani certifikat za elektronički pečat udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u Prilogu III. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

39.

umeće se sljedeći članak:

„Članak 39.a

Zahtjevi za kvalificiranu uslugu za upravljanje kvalificiranim sredstvima za izradu elektroničkih pečata na daljinu

Članak 29.a primjenjuje se mutatis mutandis na kvalificiranu uslugu za upravljanje kvalificiranim sredstvima za izradu elektroničkih pečata na daljinu.”;

40.

u poglavlju III. odjeljku 5. umeće se sljedeći članak:

„Članak 40.a

Zahtjevi za validaciju naprednih elektroničkih pečata koji se temelje na kvalificiranim certifikatima

Članak 32.a primjenjuje se mutatis mutandis na validaciju naprednih elektroničkih pečata koji se temelje na kvalificiranim certifikatima.”;

41.	u članku 41. stavak 3. briše se;

42.

članak 42. mijenja se kako slijedi:

(a)	umeće se sljedeći stavak: „1.a Ako povezivanje datuma i vremena s podacima i točnost izvora vremena udovoljavaju normama, specifikacijama i postupcima iz stavka 2., smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1.”;

(b)

stavak 2. zamjenjuje se sljedećim:

„2. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za povezivanje datuma i vremena s podacima i utvrđivanje točnosti izvora vremena. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

43.

članak 44. mijenja se kako slijedi:

(a)	umeće se sljedeći stavak: „1.a Ako postupak slanja i primanja podataka udovoljava normama, specifikacijama i postupcima iz stavka 2., smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1.”;

(b)

stavak 2. zamjenjuje se sljedećim:

„2. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za postupke slanja i primanja podataka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

(c)

umeću se sljedeći stavci:

„2.a Pružatelji kvalificiranih usluga elektroničke preporučene dostave mogu se dogovoriti o interoperabilnosti kvalificiranih usluga elektroničke preporučene dostave koje pružaju. Takav okvir za interoperabilnost mora biti sukladan sa zahtjevima utvrđenima u stavku 1., a takvu sukladnost potvrđuje tijelo za ocjenjivanje sukladnosti.

2.b Komisija može provedbenim aktima uspostaviti popis referentnih normi i prema potrebi utvrditi specifikacije i postupke za okvir za interoperabilnost iz stavka 2.a ovog članka. Tehničke specifikacije i sadržaj normi moraju biti troškovno učinkoviti i razmjerni. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

44.

članak 45. zamjenjuje se sljedećim:

„Članak 45.

Zahtjevi za kvalificirane certifikate za autentifikaciju mrežnih stranica

1. Kvalificirani certifikati za autentifikaciju mrežnih stranica moraju ispunjavati zahtjeve utvrđene u Prilogu IV. Evaluacija sukladnosti s tim zahtjevima provodi se u skladu s normama, specifikacijama i postupcima iz stavka 2. ovog članka.

1.a Kvalificirane certifikate za autentifikaciju mrežnih stranica izdane u skladu sa stavkom 1. ovog članka moraju priznavati pružatelji internetskih preglednika. Pružatelji internetskih preglednika osiguravaju da se podaci o identitetu potvrđeni u certifikatu i dodatni potvrđeni atributi prikazuju na način prilagođen korisnicima. Pružatelji internetskih preglednika osiguravaju podršku kvalificiranih certifikata za autentifikaciju mrežnih stranica iz stavka 1. ovog članka te interoperabilnost s tim certifikatima, uz iznimku za mikropoduzeća i mala poduzeća kako su definirana u članku 2. Priloga Preporuci 2003/361/EZ tijekom njihovih prvih pet godina rada kao pružatelji usluga internetskog pregledavanja.

1.b Kvalificirani certifikati za autentifikaciju mrežnih stranica ne smiju podlijegati nikakvim obveznim zahtjevima osim zahtjevima utvrđenima u stavku 1.

2. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za kvalificirane certifikate za autentifikaciju mrežnih stranica iz stavka 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

45.

umeće se sljedeći članak:

„Članak 45.a

Mjere predostrožnosti u području kibernetičke sigurnosti

1. Pružatelji internetskih preglednika ne smiju poduzimati nikakve mjere suprotne njihovim obvezama iz članka 45., osobito zahtjevima za priznavanjem kvalificiranih certifikata za autentifikaciju mrežnih stranica i prikazivanjem dostavljenih podataka o identitetu na način prilagođen korisnicima.

2. Odstupajući od stavka 1. i samo u slučaju potkrijepljenih bojazni povezanih s povredama sigurnosti ili gubitkom cjelovitosti utvrđenog certifikata ili skupa certifikata, pružatelji internetskih preglednika mogu poduzeti mjere predostrožnosti u vezi s tim certifikatom ili skupom certifikata.

3. Ako pružatelj internetskih preglednika poduzme mjere predostrožnosti u skladu sa stavkom 2., on bez nepotrebne odgode pisanim putem obavješćuje Komisiju, nadležno nadzorno tijelo, subjekt kojem je certifikat izdan i pružatelja kvalificiranih usluga povjerenja koji je izdao taj certifikat ili skup certifikata o svojim bojaznima, zajedno s opisom mjera poduzetih za njihovo ublažavanje. Po primitku takve obavijesti nadležno nadzorno tijelo izdaje potvrdu o primitku dotičnom pružatelju internetskih preglednika.

4. Nadležno nadzorno tijelo istražuje pitanja postavljena u obavijesti u skladu s člankom 46.b stavkom 4. točkom (k). Ako ishod te istrage ne dovede do povlačenja kvalificiranog statusa certifikata, nadzorno tijelo o tome obavješćuje pružatelja internetskih preglednika i od tog pružatelja zahtijeva da ukine mjere predostrožnosti iz stavka 2. ovog članka.”;

46.

u poglavlju III. dodaju se sljedeći odjeljci:

„ODJELJAK 9.

ELEKTRONIČKA POTVRDA ATRIBUTA

Članak 45.b

Pravni učinci elektroničke potvrde atributa

1. Elektroničkoj potvrdi atributa se kao dokazu u sudskim postupcima ne smiju uskratiti pravni učinak ni dopuštenost samo zbog toga što je ona u elektroničkom obliku ili zbog toga što ne ispunjava zahtjeve za kvalificiranu elektroničku potvrdu atributa.

2. Kvalificirana elektronička potvrda atributa i potvrde atributa koje je izdalo tijelo javnog sektora odgovorno za autentični izvor ili koje se izdaju u njegovo ime imaju isti pravni učinak kao i zakonito izdane potvrde u papirnatom obliku.

3. Potvrda atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor u jednoj državi članici ili koja se izdaje u njegovo ime priznaje se u svim državama članicama kao potvrda atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor ili koja se izdaje u njegovo ime.

Članak 45.c

Elektronička potvrda atributa u javnim uslugama

Ako se nacionalnim pravom za pristup internetskoj usluzi koju pruža tijelo javnog sektora zahtijeva elektronička identifikacija na temelju sredstva elektroničke identifikacije i autentifikacije, osobni identifikacijski podaci u elektroničkoj potvrdi atributa ne zamjenjuju elektroničku identifikaciju na temelju sredstava elektroničke identifikacije i autentifikacije za elektroničku identifikaciju, osim ako država članica to izričito dopušta. U tom se slučaju prihvaća i kvalificirana elektronička potvrda atributa iz drugih država članica.

Članak 45.d

Zahtjevi za kvalificiranu elektroničku potvrdu atributa

1. Kvalificirana elektronička potvrda atributa mora ispunjavati zahtjeve utvrđene u Prilogu V.

2. Evaluacija sukladnosti sa zahtjevima utvrđenima u Prilogu V. provodi se u skladu s normama, specifikacijama i postupcima iz stavka 5. ovog članka.

3. Kvalificirane elektroničke potvrde atributa ne smiju podlijegati obveznim zahtjevima koji prelaze zahtjeve utvrđene u Prilogu V.

4. Ako je kvalificirana elektronička potvrda atributa opozvana nakon početnog izdavanja, gubi valjanost od trenutka opoziva i njezin se status ni u kojem slučaju ne može vratiti u prijašnje stanje.

5. Komisija do 21. studenoga 2024. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za kvalificirane elektroničke potvrde atributa. Ti provedbeni akti moraju biti u skladu s provedbenim aktima iz članka 5.a stavka 23. o uvođenju europske lisnice za digitalni identitet. Oni se donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 45.e

Provjera atributa uspoređivanjem s autentičnim izvorima

1. Države članice u roku od 24 mjeseca od datuma stupanja na snagu provedbenih akata iz članka 5.a stavka 23. i članka 5.c stavka 6. osiguravaju da se, barem za atribute navedene u Prilogu VI., kad god se ti atributi oslanjaju na autentične izvore u javnom sektoru, poduzmu mjere kojima se kvalificiranim pružateljima usluga povjerenja koji izdaju elektroničke potvrde atributa omogućuje provjera tih atributa elektroničkim sredstvima na zahtjev korisnika, u skladu s pravom Unije ili nacionalnim pravom.

2. Komisija do 21. studenoga 2024., uzimajući u obzir odgovarajuće međunarodne norme, provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za katalog atributa te sustave za potvrdu atributa i postupke provjere za kvalificirane elektroničke potvrde atributa za potrebe stavka 1. ovog članka. Ti provedbeni akti moraju biti u skladu s provedbenim aktom iz članka 5.a stavka 23. o uvođenju europske lisnice za digitalni identitet. Oni se donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 45.f

Zahtjevi za elektroničku potvrdu atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor ili koja se izdaje u njegovo ime

1. Elektronička potvrda atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor ili koja se izdaje u njegovo ime mora ispunjavati sljedeće zahtjeve:

(a)	zahtjeve iz Priloga VII.;

(b)

kvalificirani certifikat koji podržava kvalificirani elektronički potpis ili kvalificirani elektronički pečat tijela javnog sektora iz članka 3. točke 46. koje je utvrđeno kao izdavatelj iz točke (b) Priloga VII., sadržava poseban skup certificiranih atributa u obliku prikladnom za automatiziranu obradu:

i.	u kojem se navodi da je tijelo izdavatelj uspostavljeno u skladu s pravom Unije ili nacionalnim pravom kao odgovorno za autentični izvor na temelju kojeg je izdana elektronička potvrda atributa ili kao tijelo koje je imenovano da djeluje u njegovo ime;

ii.	u kojem se pruža skup podataka koji nedvojbeno predstavljaju autentični izvor iz podtočke i.; i

iii.	u kojem je utvrđeno pravo Unije ili nacionalno pravo iz podtočke i.

2. Država članica u kojoj su uspostavljena tijela javnog sektora iz članka 3. točke 46. osigurava da tijela javnog sektora koja izdaju elektroničke potvrde atributa zadovoljavaju razinu pouzdanosti i vjerodostojnosti jednakovrijednu onoj kvalificiranog pružatelja usluga povjerenja u skladu s člankom 24.

3. Države članice Komisiji prijavljuju tijela javnog sektora iz članka 3. točke 46. Ta prijava uključuje izvješće o ocjenjivanju sukladnosti koje izdaje tijelo za ocjenjivanje sukladnosti i kojim se potvrđuje da su ispunjeni zahtjevi iz stavaka 1., 2. i 6. ovog članka. Komisija stavlja na raspolaganje javnosti popis tijela javnog sektora iz članka 3. točke 46. putem sigurnog kanala, u elektronički potpisanom ili pečaćenom obliku prikladnom za automatiziranu obradu.

4. Ako je elektronička potvrda atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor ili koja se izdaje u njegovo ime opozvana nakon početnog izdavanja, ona gubi valjanost od trenutka opoziva i njezin status ne može se vratiti u prijašnje stanje.

5. Elektronička potvrda atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor ili koja se izdaje u njegovo ime smatra se sukladnom sa zahtjevima utvrđenima u stavku 1. ako udovoljava normama, specifikacijama i postupcima iz stavka 6.

6. Komisija do 21. studenoga 2024. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za elektroničku potvrdu atributa koju izdaje tijelo javnog sektora odgovorno za autentični izvor ili koja se izdaje u njegovo ime. Ti provedbeni akti moraju biti u skladu s provedbenim aktima iz članka 5.a stavka 23. o uvođenju europske lisnice za digitalni identitet. Oni se donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

7. Komisija do 21. studenoga 2024. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za potrebe stavka 3. ovog članka. Ti provedbeni akti moraju biti u skladu s provedbenim aktima iz članka 5.a stavka 23. o uvođenju europske lisnice za digitalni identitet. Oni se donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

8. Tijela javnog sektora iz članka 3. točke 46. koja izdaju elektroničku potvrdu atributa osiguravaju sučelje s europskim lisnicama za digitalni identitet stavljenima na raspolaganje u skladu s člankom 5.a.

Članak 45.g

Izdavanje elektroničke potvrde atributa za europske lisnice za digitalni identitet

1. Pružatelji elektroničkih potvrda atributa korisnicima europske lisnice za digitalni identitet omogućuju da zatraže, dobiju i pohrane elektroničku potvrdu atributa te da njome upravljaju bez obzira na to u kojoj je državi članici europska lisnica za digitalni identitet stavljena na raspolaganje.

2. Pružatelji kvalificiranih elektroničkih potvrda atributa osiguravaju sučelje s europskim lisnicama za digitalni identitet koje se stavljaju na raspolaganje u skladu s člankom 5.a.

Članak 45.h

Dodatna pravila za pružanje usluga elektroničke potvrde atributa

1. Pružatelji kvalificiranih i nekvalificiranih usluga elektroničke potvrde atributa ne kombiniraju osobne podatke povezane s pružanjem tih usluga s osobnim podacima iz bilo kojih drugih usluga koje nude oni ili njihovi komercijalni partneri.

2. Osobni podaci povezani s pružanjem usluga elektroničke potvrde atributa čuvaju se logički odvojeno od ostalih podataka koje čuva pružatelj usluga elektroničke potvrde atributa.

3. Pružatelji kvalificiranih usluga elektroničke potvrde atributa organiziraju pružanje takvih kvalificiranih usluga povjerenja na način koji je funkcionalno odvojen od drugih usluga koje pružaju.

ODJELJAK 10.

USLUGE ELEKTRONIČKOG ARHIVIRANJA

Članak 45.i

Pravni učinak usluga elektroničkog arhiviranja

1. Elektroničkim podacima i elektroničkim dokumentima pohranjenima upotrebom usluge elektroničkog arhiviranja ne smije se kao dokazima u sudskim postupcima uskratiti pravni učinak ni dopuštenost samo zbog toga što su oni u elektroničkom obliku ili zbog toga što nisu pohranjeni upotrebom kvalificirane usluge elektroničkog arhiviranja.

2. Za elektroničke podatke i elektroničke dokumente pohranjene upotrebom kvalificirane usluge elektroničkog arhiviranja predmnijeva se njihova cjelovitost i njihovo podrijetlo u razdoblju njihova čuvanja kod kvalificiranog pružatelja usluge povjerenja.

Članak 45.j

Zahtjevi za kvalificirane usluge elektroničkog arhiviranja

1. Kvalificirane usluge elektroničkog arhiviranja moraju ispunjavati sljedeće zahtjeve:

(a)	pružaju ih kvalificirani pružatelji usluga povjerenja;

(b)

primjenjuju postupke i tehnologije kojima se mogu osigurati trajnost i čitljivost elektroničkih podataka i elektroničkih dokumenata nakon razdoblja tehnološke valjanosti i barem tijekom zakonskog ili ugovornog razdoblja čuvanja, uz istodobno očuvanje njihove cjelovitosti i točnosti njihova podrijetla;

(c)	osiguravaju da se ti elektronički podaci i ti elektronički dokumenti čuvaju na način da su zaštićeni od gubitka i izmjena, osim u slučaju promjena koje se odnose na njihov medij ili elektronički oblik;

(d)

ovlaštenim pouzdajućim stranama omogućuju zaprimanje izvješća na automatiziran način kojim se potvrđuje da se za elektroničke podatke i elektroničke dokumente preuzete iz kvalificiranog elektroničkog arhiva predmnijeva cjelovitost podataka od početka razdoblja čuvanja do trenutka preuzimanja.

Izvješće iz prvog podstavka točke (d) dostavlja se na pouzdan i učinkovit način te posjeduje kvalificirani elektronički potpis ili kvalificirani elektronički pečat pružatelja kvalificirane usluge elektroničkog arhiviranja.

2. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za kvalificirane usluge elektroničkog arhiviranja. Ako kvalificirana usluga elektroničkog arhiviranja udovoljava tim normama, specifikacijama i postupcima, smatra se da je postignuta sukladnost sa zahtjevima za kvalificirane usluge elektroničkog arhiviranja. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”

ODJELJAK 11.

ELEKTRONIČKE EVIDENCIJE

Članak 45.k

Pravni učinci elektroničkih evidencija

1. Elektroničkoj evidenciji se kao dokazu u sudskim postupcima ne smiju uskratiti pravni učinak ni dopuštenost samo zbog toga što je ona u elektroničkom obliku ili zbog toga što ne ispunjava zahtjeve za kvalificiranu elektroničku evidenciju.

2. Za zapise podataka sadržane u kvalificiranoj elektroničkoj evidenciji predmnijeva se njihov jedinstven i točan sekvencijalni kronološki redoslijed i njihova cjelovitost.

Članak 45.l

Zahtjevi za kvalificirane elektroničke evidencije

1. Kvalificirane elektroničke evidencije moraju ispunjavati sljedeće zahtjeve:

(a)	stvara ih i njima upravlja jedan kvalificirani pružatelj usluga povjerenja ili više njih;

(b)	utvrđuju podrijetlo zapisa podataka u evidenciji;

(c)	osiguravaju jedinstven sekvencijalni kronološki redoslijed zapisa podataka u evidenciji;

(d)	u njima se bilježe podaci na takav način da je svaka naknadna promjena podataka odmah uočljiva, čime se osigurava njihova cjelovitost tijekom vremena.

2. Ako elektronička evidencija udovoljava normama, specifikacijama i postupcima iz stavka 3., smatra se da je postignuta sukladnost sa zahtjevima utvrđenima u stavku 1.

3. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja popis referentnih normi i prema potrebi utvrđuje specifikacije i postupke za zahtjeve iz stavka 1. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

47.

umeće se sljedeće poglavlje:

„POGLAVLJE IV.a

UPRAVLJAČKI OKVIR

Članak 46.a

Nadzor okvira europske lisnice za digitalni identitet

1. Države članice imenuju jedno ili više nadzornih tijela s poslovnim nastanom na njihovu državnom području.

Nadzornim tijelima imenovanima na temelju prvog podstavka dodjeljuju se potrebne ovlasti i odgovarajući resursi za djelotvorno, učinkovito i neovisno izvršavanje njihovih zadaća.

2. Države članice obavješćuju Komisiju o nazivima i adresama svojih nadzornih tijela imenovanih na temelju stavka 1. i svim naknadnim promjenama tih informacija. Komisija objavljuje popis prijavljenih nadzornih tijela.

3. Uloga nadzornih tijela imenovanih na temelju stavka 1. jest sljedeća:

(a)

nadziranje pružatelja europskih lisnica za digitalni identitet s poslovnim nastanom na državnom području države članice koja ih imenuje i osiguravanje, putem ex ante i ex post nadzornih aktivnosti, da ti pružatelji i europske lisnice za digitalni identitet koje oni stavljaju na raspolaganje ispunjavaju zahtjeve utvrđene u ovoj Uredbi;

(b)

poduzimanje mjera, prema potrebi, u odnosu na pružatelje europskih lisnica za digitalni identitet s poslovnim nastanom na državnom području države članice koja ih imenuje, putem ex post nadzornih aktivnosti, nakon što budu obaviještena da pružatelji ili europske lisnice za digitalni identitet koje oni stavljaju na raspolaganje krše ovu Uredbu.

4. Zadaće nadzornih tijela imenovanih na temelju stavka 1. posebno uključuju sljedeće:

(a)	suradnju s drugim nadzornim tijelima i pružanje pomoći tim tijelima u skladu s člancima 46.c i 46.e;

(b)	zahtijevanje informacija potrebnih za nadzor sukladnosti s ovom Uredbom;

(c)

obavješćivanje relevantnih nadležnih tijela imenovanih ili uspostavljenih na temelju članka 8. stavka 1. Direktive (EU) 2022/2555 u dotičnim državama članicama o svim značajnim povredama sigurnosti ili gubitku cjelovitosti za koje saznaju pri obavljanju svojih zadaća i, u slučaju značajne povrede sigurnosti ili gubitka cjelovitosti koji se odnosi na druge države članice, obavješćivanje jedinstvene kontaktne točke imenovane ili uspostavljene na temelju članka 8. stavka 3. Direktive (EU) 2022/2555 dotične države članice i jedinstvenih kontaktnih točaka imenovanih na temelju članka 46.c stavka 1. ove Uredbe u drugim dotičnim državama članicama, i obavješćivanje javnosti ili zahtijevanje od pružatelja europske lisnice za digitalni identitet da to učini kada nadzorno tijelo utvrdi da bi otkrivanje povrede sigurnosti ili gubitka cjelovitosti bilo u javnom interesu;

(d)	provođenje inspekcija na lokaciji i neizravnog nadzora;

(e)	zahtijevanje od pružatelja europskih lisnica za digitalni identitet da otklone svako nepoštovanje zahtjeva utvrđenih u ovoj Uredbi;

(f)	suspendiranje ili poništavanje registracije i uključivanja pouzdajućih strana u mehanizam iz članka 5.b stavka 7. u slučaju nezakonite ili prijevarne upotrebe europske lisnice za digitalni identitet;

(g)	suradnju s nadležnim nadzornim tijelima osnovanima na temelju članka 51. Uredbe (EU) 2016/679, posebno tako da ih bez nepotrebne odgode obavješćuje ako se čini da je došlo do kršenja pravila o zaštiti osobnih podataka i o povredama sigurnosti za koje se čini da su povrede osobnih podataka.

5. Ako nadzorno tijelo imenovano na temelju stavka 1. od pružatelja europske lisnice za digitalni identitet zahtijeva da ispravi svako neispunjavanje zahtjeva iz ove Uredbe na temelju stavka 4. točke (e), a taj pružatelj ne djeluje u skladu s tim i, ako je to primjenjivo, u roku koji je odredilo to nadzorno tijelo, nadzorno tijelo imenovano na temelju stavka 1. može, posebno uzimajući u obzir opseg, trajanje i posljedice tog neispunjavanja, naložiti pružatelju da suspendira ili prestane stavljati na raspolaganje europsku lisnicu za digitalni identitet. Nadzorno tijelo bez nepotrebne odgode obavješćuje nadzorna tijela drugih država članica, Komisiju, pouzdajuće strane i korisnike europske lisnice za digitalni identitet o odluci kojom se zahtijeva suspenzija ili prestanak stavljanja na raspolaganje europske lisnice za digitalni identitet.

6. Svako nadzorno tijelo imenovano na temelju stavka 1. Komisiji do 31. ožujka svake godine podnosi izvješće o svojim glavnim aktivnostima u prethodnoj kalendarskoj godini. Komisija stavlja na raspolaganje ta godišnja izvješća Europskom parlamentu i Vijeću.

7. Komisija do 21. svibnja 2025. provedbenim aktima utvrđuje formate i postupke za izvješće iz stavka 6. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 46.b

Nadzor usluga povjerenja

1. Države članice imenuju nadzorno tijelo s poslovnim nastanom na njihovu državnom području ili, prema uzajamnom dogovoru s drugom državom članicom, imenuju nadzorno tijelo s poslovnim nastanom u toj drugoj državi članici. To nadzorno tijelo odgovorno je za zadaće nadzora usluga povjerenja u državi članici koja ga imenuje.

Nadzornim tijelima imenovanima na temelju prvog podstavka dodjeljuju se potrebne ovlasti i odgovarajući resursi za izvršavanje njihovih zadaća.

3. Uloga nadzornih tijela imenovanih na temelju stavka 1. jest sljedeća:

(a)

nadziranje kvalificiranih pružatelja usluga povjerenja s poslovnim nastanom na državnom području države članice koja ih imenuje i osiguravanje, putem ex ante i ex post nadzornih aktivnosti, da ti kvalificirani pružatelji usluga povjerenja i kvalificirane usluge povjerenja koje oni pružaju ispunjavaju zahtjeve utvrđene u ovoj Uredbi;

(b)

poduzimanje mjera, prema potrebi, u odnosu na nekvalificirane pružatelje usluga povjerenja s poslovnim nastanom na državnom području države članice koja ih imenuje, putem ex post nadzornih aktivnosti, nakon što budu obaviještena da ti nekvalificirani pružatelji usluga povjerenja ili usluge povjerenja koje oni pružaju navodno ne ispunjavaju zahtjeve utvrđene u ovoj Uredbi.

4. Zadaće nadzornog tijela imenovanog ili uspostavljenog na temelju stavka 1. posebno uključuju sljedeće:

(a)

obavješćivanje relevantnih nadležnih tijela imenovanih ili uspostavljenih na temelju članka 8. stavka 1. Direktive (EU) 2022/2555 u dotičnim državama članicama o svim značajnim povredama sigurnosti ili gubitku cjelovitosti za koje sazna pri obavljanju svojih zadaća i, u slučaju značajne povrede sigurnosti ili gubitka cjelovitosti koji se odnose na druge države članice, obavješćivanje jedinstvene kontaktne točke imenovane ili uspostavljene na temelju članka 8. stavka 3. Direktive (EU) 2022/2555 dotične države članice i jedinstvenih kontaktnih točaka imenovanih na temelju članka 46.c stavka 1. ove Uredbe u drugim dotičnim državama članicama, i obavješćivanje javnosti ili zahtijevanje od pružatelja usluga povjerenja da to učini kada nadzorno tijelo utvrdi da bi otkrivanje povrede sigurnosti ili gubitka cjelovitosti bilo u javnom interesu;

(b)	suradnju s drugim nadzornim tijelima i pružanje pomoći tim tijelima u skladu s člancima 46.c i 46.e;

(c)	analiziranje izvješćâ o ocjenjivanju sukladnosti iz članka 20. stavka 1. i članka 21. stavka 1.;

(d)	izvješćivanje Komisije o svojim glavnim aktivnostima u skladu sa stavkom 6. ovog članka;

(e)	obavljanje revizija ili zahtijevanje od tijela za ocjenjivanje sukladnosti da provede ocjenjivanje sukladnosti kvalificiranih pružatelja usluga povjerenja u skladu s člankom 20. stavkom 2.;

(f)	suradnju s nadležnim nadzornim tijelima osnovanima na temelju članka 51. Uredbe (EU) 2016/679, posebno tako da ih bez nepotrebne odgode obavješćuje ako se čini da je došlo do kršenja pravila o zaštiti osobnih podataka i o povredama sigurnosti za koje se čini da su povrede osobnih podataka;

(g)	dodjeljivanje kvalificiranog statusa pružateljima usluga povjerenja i uslugama koje oni pružaju te ukidanje tog statusa u skladu s člancima 20. i 21.;

(h)	obavješćivanje tijela odgovornog za nacionalni pouzdani popis iz članka 22. stavka 3. o svojim odlukama o dodjeljivanju ili ukidanju kvalificiranog statusa, osim ako je to tijelo ujedno i nadzorno tijelo imenovano na temelju stavka 1. ovog članka;

(i)	provjeravanje postojanja i pravilne primjene odredaba o planovima prekida kada kvalificirani pružatelj usluga povjerenja prekine svoje aktivnosti, uključujući način na koji se održava dostupnost informacija u skladu s člankom 24. stavkom 2. točkom (h);

(j)	zahtijevanje od pružatelja usluga povjerenja da otklone svako nepoštovanje zahtjeva utvrđenih u ovoj Uredbi;

(k)	istraživanje tvrdnji pružatelja internetskih preglednika na temelju članka 45.a i poduzimanje mjera ako je potrebno.

5. Države članice mogu od nadzornog tijela imenovanog na temelju stavka 1. zahtijevati da uspostavi, održava i ažurira infrastrukturu povjerenja u skladu s nacionalnim pravom.

7. Komisija do 21. svibnja 2025. donosi smjernice o izvršavanju zadaća iz stavka 4. ovog članka od strane nadzornih tijela imenovanih na temelju stavka 1. ovog članka te provedbenim aktima utvrđuje formate i postupke za izvješće iz stavka 6. ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.

Članak 46.c

Jedinstvene kontaktne točke

1. Svaka država članica imenuje jedinstvenu kontaktnu točku za usluge povjerenja, europske lisnice za digitalni identitet i prijavljene sustave elektroničke identifikacije.

2. Svaka jedinstvena kontaktna točka izvršava funkciju povezivanja kako bi olakšala prekograničnu suradnju među nadzornim tijelima za pružatelje usluga povjerenja i među nadzornim tijelima za pružatelje europskih lisnica za digitalni identitet i, prema potrebi, s Komisijom i Agencijom Europske unije za kibersigurnost (ENISA) te s drugim nadležnim tijelima u svojoj državi članici.

3. Svaka država članica objavljuje i bez nepotrebne odgode obavješćuje Komisiju o nazivima i adresama jedinstvenih kontaktnih točaka imenovanih na temelju stavka 1. i svim naknadnim promjenama tih informacija.

4. Komisija objavljuje popis jedinstvenih kontaktnih točaka prijavljenih na temelju stavka 3.

Članak 46.d

Uzajamna pomoć

1. Kako bi se olakšali nadzor i izvršenje obveza iz ove Uredbe, nadzorna tijela imenovana na temelju članka 46.a stavka 1. i članka 46.b stavka 1. mogu zatražiti, među ostalim putem Skupine za suradnju uspostavljene na temelju članka 46.e stavka 1., uzajamnu pomoć nadzornih tijela druge države članice u kojoj pružatelj europske lisnice za digitalni identitet ili pružatelj usluga povjerenja ima poslovni nastan ili u kojoj se nalaze njegovi mrežni i informacijski sustavi ili se pružaju njegove usluge.

2. Uzajamna pomoć podrazumijeva barem sljedeće:

(a)	nadzorno tijelo koje primjenjuje mjere nadzora i izvršenja u jednoj državi članici obavješćuje nadzorno tijelo iz druge dotične države članice i savjetuje se s njim;

(b)	nadzorno tijelo može zatražiti od nadzornog tijela druge dotične države članice da poduzme mjere nadzora ili izvršenja, uključujući, na primjer, zahtjeve za provođenje inspekcija povezanih s izvješćima o ocjenjivanju sukladnosti iz članaka 20. i 21. u vezi s pružanjem usluga povjerenja;

(c)	prema potrebi, nadzorna tijela mogu provoditi zajedničke istrage s nadzornim tijelima drugih država članica.

Aranžmane i postupke za zajedničke mjere na temelju prvog podstavka dogovaraju i uspostavljaju dotične države članice u skladu s njihovim nacionalnim pravom.

3. Nadzorno tijelo kojemu je upućen zahtjev za pomoć može odbiti taj zahtjev zbog bilo kojeg od sljedećih razloga:

(a)	tražena pomoć nije razmjerna nadzornim aktivnostima nadzornog tijela koje se provode u skladu s člancima 46.a i 46.b;

(b)	nadzorno tijelo nije nadležno za pružanje tražene pomoći;

(c)	pružanje tražene pomoći ne bi bilo u skladu s ovom Uredbom.

4. Skupina za suradnju uspostavljena na temelju članka 46.e stavka 1. do 21. svibnja 2025. i svake dvije godine nakon toga izdaje smjernice o organizacijskim aspektima i postupcima za uzajamnu pomoć iz stavaka 1. i 2. ovog članka.

Članak 46.e

Europska skupina za suradnju u području digitalnog identiteta

1. Kako bi se poduprla i olakšala prekogranična suradnja i razmjena informacija država članica u području usluga povjerenja, europskih lisnica za digitalni identitet i prijavljenih sustava elektroničke identifikacije, Komisija uspostavlja Europsku skupinu za suradnju u području digitalnog identiteta (‚Skupina za suradnju’).

2. Skupina za suradnju sastoji se od predstavnika koje su imenovale države članice i Komisije. Skupinom za suradnju predsjeda Komisija. Komisija osigurava tajništvo za Skupinu za suradnju.

3. Predstavnici relevantnih dionika mogu na ad hoc osnovi biti pozvani da prisustvuju sastancima Skupine za suradnju i sudjeluju u njezinu radu kao promatrači.

4. ENISA se poziva da kao promatrač sudjeluje u radu Skupine za suradnju pri razmjeni mišljenja, primjera najbolje prakse i informacija o relevantnim kibernetičkim sigurnosnim aspektima kao što su obavješćivanje o povredama sigurnosti, i kad se radi o upotrebi kibernetičkih sigurnosnih certifikata ili normi.

5. Skupina za suradnju ima sljedeće zadaće:

(a)	razmjenjuje savjete i surađuje s Komisijom u pogledu novih inicijativa politika u području lisnica za digitalni identitet, sredstava elektroničke identifikacije i usluga povjerenja;

(b)	savjetuje Komisiju, prema potrebi, u ranoj fazi pripreme nacrta provedbenih i delegiranih akata koji se trebaju donijeti na temelju ove Uredbe;

(c)

kako bi se pružila potpora nadzornim tijelima u provedbi odredaba ove Uredbe:

i.	razmjenjuje primjere najbolje prakse i informacije o provedbi odredaba ove Uredbe;

ii.	procjenjuje relevantne razvojne promjene u sektorima lisnice za digitalni identitet, elektroničke identifikacije i usluga povjerenja;

iii.	organizira zajedničke sastanke s relevantnim zainteresiranim stranama iz cijele Unije radi rasprave o aktivnostima Skupine za suradnju i prikupljanja informacija o novim izazovima u pogledu politike;

iv.	uz potporu ENISA-e razmjenjuje mišljenja, primjere najbolje prakse i informacije o relevantnim kibernetičkim sigurnosnim aspektima koji se odnose na europske lisnice za digitalni identitet, sustave elektroničke identifikacije i usluge povjerenja;

v.	razmjenjuje primjere najbolje prakse u vezi s razvojem i provedbom politika o obavješćivanju o povredama sigurnosti i zajedničkim mjerama iz članaka 5.e i 10.;

vi.

organizira zajedničke sastanke sa Skupinom za suradnju u području sigurnosti mrežnih i informacijskih sustava uspostavljenom člankom 14. stavkom 1. Direktive (EU) 2022/2555 radi razmjene relevantnih informacija o uslugama povjerenja i elektroničkoj identifikaciji u vezi s kibernetičkim prijetnjama, incidentima, ranjivostima, inicijativama za podizanje svijesti, osposobljavanjem, vježbama i vještinama, izgradnjom kapaciteta, kapacitetom u području normi i tehničkih specifikacija te normama i tehničkim specifikacijama;

vii.	raspravlja, na zahtjev nadzornog tijela, o posebnim zahtjevima za uzajamnu pomoć iz članka 46.d;

viii.

olakšava razmjenu informacija među nadzornim tijelima pružanjem smjernica o organizacijskim aspektima i postupcima za uzajamnu pomoć iz članka 46.d;

(d)	organizira istorazinska ocjenjivanja sustava elektroničke identifikacije koje treba prijaviti na temelju ove Uredbe.

6. Države članice osiguravaju djelotvornu i učinkovitu suradnju svojih imenovanih predstavnika u Skupini za suradnju.

7. Komisija do 21. svibnja 2025. provedbenim aktima uspostavlja potrebne postupovne aranžmane s ciljem olakšavanja suradnje među državama članicama iz stavka 5. točke (d) ovog članka. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 48. stavka 2.”;

48.

članak 47. mijenja se kako slijedi:

(a)

stavci 2. i 3. zamjenjuju se sljedećim:

„2. Ovlast za donošenje delegiranih akata iz članka 5.c stavka 7., članka 24. stavka 4b. i članka 30. stavka 4. dodjeljuje se Komisiji na neodređeno vrijeme počevši od 17. rujna 2014.

3. Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 5.c stavka 7., članka 24. stavka 4b. i članka 30. stavka 4. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.”;

(b)

stavak 5. zamjenjuje se sljedećim:

„5. Delegirani akt donesen na temelju članka 5.c stavka 7., članka 24. stavka 4b. ili članka 30. stavka 4. stupa na snagu samo ako ni Europski parlament ni Vijeće u roku od dva mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za dva mjeseca na inicijativu Europskog parlamenta ili Vijeća.”;

49.

u poglavlju VI. umeće se sljedeći članak:

„Članak 48.a

Zahtjevi u pogledu izvješćivanja

1. Države članice osiguravaju prikupljanje statističkih podataka o funkcioniranju europskih lisnica za digitalni identitet i kvalificiranih usluga povjerenja koje se stavljaju na raspolaganje odnosno pružaju na njihovu državnom području.

2. Statistički podaci prikupljeni u skladu sa stavkom 1. uključuju sljedeće:

(a)	broj fizičkih i pravnih osoba koje imaju valjanu europsku lisnicu za digitalni identitet;

(b)	vrstu i broj usluga koje prihvaćaju upotrebu europske lisnice za digitalni identitet;

(c)	broj pritužbi korisnika i incidenata u pogledu zaštite potrošača ili zaštite podataka koji se odnose na pouzdajuće strane i kvalificirane usluge povjerenja;

(d)	sažeto izvješće s podacima o incidentima koji sprečavaju upotrebu europske lisnice za digitalni identitet;

(e)	sažetak značajnih sigurnosnih incidenata, povreda podataka i pogođenih korisnika europskih lisnica za digitalni identitet ili kvalificiranih usluga povjerenja.

3. Statistički podaci iz stavka 2. stavljaju se na raspolaganje javnosti u otvorenom i uobičajenom strojno čitljivom formatu.

4. Države članice Komisiji do 31. ožujka svake godine podnose izvješće o statističkim podacima prikupljenima u skladu sa stavkom 2.”;

50.

članak 49. zamjenjuje se sljedećim:

„Članak 49.

Preispitivanje

1. Komisija preispituje primjenu ove Uredbe i do 21. svibnja 2026. podnosi izvješće Europskom parlamentu i Vijeću. U tom izvješću Komisija posebno provodi evaluaciju primjerenosti izmjene područja primjene ove Uredbe ili njezinih određenih odredaba, uključujući posebno odredbe iz članka 5.c stavka 5., uzimajući u obzir iskustvo stečeno primjenom ove Uredbe, kao i tehnološki, tržišni i pravni razvoj. Prema potrebi tom izvješću prilaže se prijedlog izmjene ove Uredbe.

2. Izvješće iz stavka 1. sadržava procjenu dostupnosti, sigurnosti i upotrebljivosti prijavljenih sredstava elektroničke identifikacije i europskih lisnica za digitalni identitet obuhvaćenih područjem primjene ove Uredbe te procjenu treba li od svih pružatelja internetskih privatnih usluga koji se za autentifikaciju korisnika oslanjaju na usluge elektroničke identifikacije treće strane zahtijevati da prihvate upotrebu prijavljenih sredstava elektroničke identifikacije i europskih lisnica za digitalni identitet.

3. Komisija do 21. svibnja 2030. i svake četiri godine nakon toga, podnosi izvješće Europskom parlamentu i Vijeću o postignutom napretku prema ostvarenju ciljeva ove Uredbe.”;

51.

članak 51. zamjenjuje se sljedećim:

„Članak 51.

Prijelazne mjere

1. Sredstva za sigurnu izradu potpisa čija je sukladnost utvrđena u skladu s člankom 3. stavkom 4. Direktive 1999/93/EZ i dalje se smatraju kvalificiranim sredstvima za izradu elektroničkih potpisa prema ovoj Uredbi do 21. svibnja 2027.

2. Kvalificirani certifikati izdani fizičkim osobama na temelju Direktive 1999/93/EZ i dalje se smatraju kvalificiranim certifikatima za elektroničke potpise na temelju ove Uredbe do 21. svibnja 2026.

3. Upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa i pečata na daljinu od strane kvalificiranih pružatelja usluga povjerenja koji nisu kvalificirani pružatelji usluga povjerenja koji pružaju kvalificirane usluge povjerenja za upravljanje kvalificiranim sredstvima za izradu elektroničkih potpisa i pečata na daljinu u skladu s člancima 29.a i 39.a može se provoditi bez potrebe za dobivanjem kvalificiranog statusa za pružanje tih usluga upravljanja do 21. svibnja 2026.

4. Kvalificirani pružatelji usluga povjerenja kojima je dodijeljen kvalificirani status na temelju ove Uredbe prije 20. svibnja 2024. nadzornom tijelu podnose izvješće o ocjenjivanju sukladnosti kojim se dokazuje sukladnost s člankom 24. stavcima 1., 1.a i 1.b što je prije moguće, a u svakom slučaju do 21. svibnja 2026.”;

52.	prilozi od I. do IV. mijenjaju se u skladu s prilozima od I. do IV. ovoj Uredbi;

53.	dodaju se novi prilozi V., VI. i VII., kako su utvrđeni u prilozima V., VI. i VII. ovoj Uredbi.

Članak 2.

Stupanje na snagu

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 11. travnja 2024.

Za Europski parlament

Predsjednica

R. METSOLA

Za Vijeće

Predsjednica

H. LAHBIB

(1) SL C 105, 4.3.2022., str. 81.

(2) SL C 61, 4.2.2022., str. 42.

(3) Stajalište Europskog parlamenta od 29. veljače 2024. (još nije objavljeno u Službenom listu) i odluka Vijeća od 26. ožujka 2024.

(4) Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257, 28.8.2014., str. 73.).

(5) Odluka (EU) 2022/2481 Europskog parlamenta i Vijeća od 14. prosinca 2022. o uspostavi programa politike za digitalno desetljeće do 2030. (SL L 323, 19.12.2022., str. 4.).

(6) SL C 23, 23.1.2023., str. 1.

(7) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(8) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).

(9) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.).

(10) Uredba (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti) (SL L 151, 7.6.2019., str. 15.).

(11) Uredba (EU) 2019/1157 Europskog parlamenta i Vijeća od 20. lipnja 2019. o jačanju sigurnosti osobnih iskaznica građana Unije i boravišnih isprava koje se izdaju građanima Unije i članovima njihovih obitelji koji ostvaruju pravo na slobodno kretanje (SL L 188, 12.7.2019., str. 67.).

(12) Direktiva (EU) 2019/882 Europskog parlamenta i Vijeća od 17. travnja 2019. o zahtjevima za pristupačnost proizvoda i usluga (SL L 151, 7.6.2019., str. 70.).

(13) Direktiva (EU) 2022/2555 Europskog parlamenta i Vijeća od 14. prosinca 2022. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije, izmjeni Uredbe (EU) br. 910/2014 i Direktive (EU) 2018/1972 i stavljanju izvan snage Direktive (EU) 2016/1148 (Direktiva NIS 2) (SL L 333, 27.12.2022., str. 80).

(14) Uredba (EU) 2022/1925 Europskog parlamenta i Vijeća od 14. rujna 2022. o pravednim tržištima s mogućnošću neograničenog tržišnog natjecanja u digitalnom sektoru i izmjeni direktiva (EU) 2019/1937 i (EU) 2020/1828 (Akt o digitalnim tržištima) (SL L 265, 12.10.2022., str. 1.).

(15) Uredba (EU) 2022/2065 Europskog parlamenta i Vijeća od 19. listopada 2022. o jedinstvenom tržištu digitalnih usluga i izmjeni Direktive 2000/31/EZ (Akt o digitalnim uslugama) (SL L 277, 27.10.2022., str. 1.).

(16) Preporuka Komisije (EU) 2021/946 оd 3. lipnja 2021. o zajedničkom Unijinu paketu alata za koordinirani pristup europskom okviru za digitalni identitet (SL L 210, 14.6.2021., str. 51.).

PRILOG I.

U Prilogu I. Uredbi (EU) br. 910/2014 točka (i) zamjenjuje se sljedećim:

„(i)	informacije ili lokaciju usluga koje se mogu koristiti za ispitivanje statusa valjanosti kvalificiranog certifikata;”.

PRILOG II.

U Prilogu II. Uredbi (EU) br. 910/2014 točke 3. i 4. brišu se.

PRILOG III.

U Prilogu III. Uredbi (EU) br. 910/2014, točka (i) zamjenjuje se sljedećim:

„(i)	informacije ili lokaciju usluga koje se mogu koristiti za ispitivanje statusa valjanosti kvalificiranog certifikata;”.

PRILOG IV.

Prilog IV. Uredbi (EU) br. 910/2014 mijenja se kako slijedi:

točka (c) zamjenjuje se sljedećim:

„(c)	za fizičke osobe: barem ime osobe kojoj je izdan certifikat, ili pseudonim; ako se koristi pseudonimom, on se mora jasno naznačiti;

(ca)	za pravne osobe: jedinstven skup podataka koji nedvojbeno predstavljaju pravnu osobu kojoj je izdan certifikat uz barem naziv pravne osobe kojoj je izdan certifikat i, ako je to primjenjivo, registracijski broj kako je navedeno u službenoj evidenciji;”;

točka (j) zamjenjuje se sljedećim:

„(j)	informacije ili lokaciju usluga statusa valjanosti certifikata koje se mogu koristiti za ispitivanje statusa valjanosti kvalificiranog certifikata.”.

PRILOG V.

„PRILOG V.

ZAHTJEVI ZA KVALIFICIRANU ELEKTRONIČKU POTVRDU ATRIBUTA

Kvalificirane elektroničke potvrde atributa sadržavaju:

(a)	naznaku, barem u obliku prikladnom za automatiziranu obradu, da je potvrda izdana kao kvalificirana elektronička potvrda atributa;

(b)

skup podataka koji nedvojbeno predstavljaju kvalificiranog pružatelja usluga povjerenja koji izdaje kvalificiranu elektroničku potvrdu atributa, uključujući barem državu članicu u kojoj pružatelj ima poslovni nastan i:

i.	za pravnu osobu: naziv i, ako je to primjenjivo, registracijski broj kako je navedeno u službenoj evidenciji,

ii.	za fizičku osobu: ime osobe;

(c)	skup podataka koji nedvojbeno predstavljaju subjekt na koji se odnose potvrđeni atributi; ako se koristi pseudonimom, on se mora jasno naznačiti;

(d)	potvrđeni atribut odnosno potvrđene atribute, uključujući, prema potrebi, informacije potrebne za određivanje onoga što ti atributi obuhvaćaju;

(e)	podatke o početku i kraju roka valjanosti potvrde;

(f)	identifikacijsku oznaku potvrde, koja mora biti jedinstvena za kvalificiranog pružatelja usluga povjerenja i, ako je to primjenjivo, podatak o tome kojem sustavu potvrda pripada ta potvrda atributa;

(g)	kvalificirani elektronički potpis ili kvalificirani elektronički pečat kvalificiranog pružatelja usluga povjerenja koji izdaje potvrdu;

(h)	lokaciju na kojoj je besplatno dostupan certifikat koji podržava kvalificirani elektronički potpis ili kvalificirani elektronički pečat iz točke (g);

(i)	informacije ili lokaciju usluga koje se mogu koristiti za ispitivanje statusa valjanosti kvalificirane potvrde.”.

PRILOG VI.

„PRILOG VI.

MINIMALNI POPIS ATRIBUTA

Na temelju članka 45.e države članice osiguravaju da se poduzmu mjere da kvalificirani pružatelji usluga povjerenja koji izdaju elektroničke potvrde atributa mogu na zahtjev korisnika elektroničkim putem provjeriti autentičnost sljedećih atributa uspoređivanjem s relevantnim autentičnim izvorom na nacionalnoj razini ili putem imenovanih posrednika priznatih na nacionalnoj razini, u skladu s pravom Unije ili nacionalnim pravom te kad se ti atributi oslanjaju na autentične izvore u javnom sektoru:

adresa;

dob;

spol;

4.	bračno stanje;

5.	sastav obitelji;

6.	državna pripadnost ili državljanstvo;

7.	obrazovne kvalifikacije, titule i licencije;

8.	stručne kvalifikacije, titule i licencije;

9.	ovlasti i mandati za zastupanje fizičkih ili pravnih osoba;

10.	javne dozvole i odobrenja;

11.	za pravne osobe, financijski podaci i podaci o poduzeću.”.

PRILOG VII.

„PRILOG VII.

ZAHTJEVI ZA ELEKTRONIČKU POTVRDU ATRIBUTA KOJU IZDAJE JAVNO TIJELO ODGOVORNO ZA AUTENTIČNI IZVOR ILI KOJA SE IZDAJE U NJEGOVO IME

Elektronička potvrda atributa koju izdaje javno tijelo odgovorno za autentični izvor ili koja se izdaje u njegovo ime sadržava:

(a)	naznaku, barem u obliku prikladnom za automatiziranu obradu, da je potvrda izdana kao elektronička potvrda atributa koju izdaje javno tijelo odgovorno za autentični izvor ili koja se izdaje u njegovo ime;

(b)	skup podataka koji nedvojbeno predstavljaju javno tijelo koje izdaje elektroničku potvrdu atributa, uključujući barem državu članicu u kojoj je to javno tijelo uspostavljeno i njegov naziv te, ako je to primjenjivo, njegov registracijski broj kako je navedeno u službenoj evidenciji;

(c)	skup podataka koji nedvojbeno predstavljaju subjekt na koji se odnose potvrđeni atributi; ako se koristi pseudonimom, on se mora jasno naznačiti;

(d)	potvrđeni atribut odnosno potvrđene atribute, uključujući, prema potrebi, informacije potrebne za određivanje onoga što ti atributi obuhvaćaju;

(e)	podatke o početku i kraju roka valjanosti potvrde;

(f)	identifikacijsku oznaku potvrde, koja mora biti jedinstvena za javno tijelo izdavatelja i, ako je to primjenjivo, podatak o tome kojem sustavu potvrda pripada ta potvrda atributa;

(g)	kvalificirani elektronički potpis ili kvalificirani elektronički pečat tijela izdavatelja;

(h)	lokaciju na kojoj je besplatno dostupan certifikat koji podržava kvalificirani elektronički potpis ili kvalificirani elektronički pečat iz točke (g);

(i)	informacije ili lokaciju usluga koje se mogu koristiti za ispitivanje statusa valjanosti potvrde.”.

ELI: http://data.europa.eu/eli/reg/2024/1183/oj

ISSN 1977-0847 (electronic edition)