32014R0910[1]

Az Európai Parlament és a Tanács 910/2014/EU rendelete ( 2014. július 23. ) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről

AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE

(2014. július 23.)

a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk

Tárgy

E rendelet célja a belső piac megfelelő működésének biztosítása, valamint az Unió egészében használt elektronikus azonosító eszközök és bizalmi szolgáltatások megfelelő szintű biztonságának garantálása annak érdekében, hogy lehetővé tegye és megkönnyítse a természetes és jogi személyek számára a digitális társadalomban való biztonságos részvételhez és az online köz- és magánszolgáltatásokhoz való hozzáféréshez való jog gyakorlását az Unió egész területén. E célból ez a rendelet:

a) megállapítja azokat a feltételeket, amelyek mellett a tagállamoknak el kell ismerniük a természetes és jogi személyek olyan elektronikus azonosító eszközeit, amelyek más tagállamok bejelentett elektronikus azonosítási rendszerének keretébe tartoznak, valamint amelyek mellett európai digitális személyiadat-tárcákat kell nyújtaniuk és elismerniük;

b) megállapítja a bizalmi szolgáltatásokra vonatkozó szabályokat, különösen az elektronikus tranzakciókra vonatkozókat;

c) létrehozza az elektronikus aláírásokra, az elektronikus bélyegzőkre, az elektronikus időbélyegzőkre, az elektronikus dokumentumokra, az ajánlott elektronikus kézbesítési szolgáltatásokra, a weboldal-hitelesítési szolgáltatásokra, az elektronikus archiválásra, az elektronikus attribútumtanúsítványra, az elektronikus aláírást létrehozó eszközökre, az elektronikus bélyegzőt létrehozó eszközökre és az elektronikus főkönyvekre vonatkozó jogi keretet.

2. cikk

Hatály

(1) Ez a rendelet a tagállamok által bejelentett elektronikus azonosítási rendszerekre, a tagállamok által nyújtott európai digitális személyiadat-tárcákra és az Unió területén letelepedett bizalmi szolgáltatókra alkalmazandó.

(2) E rendelet nem alkalmazandó a nemzeti jogszabályokon vagy meghatározott résztvevők közötti megállapodásokon alapuló, kizárólag zárt rendszerekben alkalmazott bizalmi szolgáltatások nyújtására.

(3) Ez a rendelet nem érinti sem a szerződések megkötésére és érvényességére, sem az alaki követelményekkel kapcsolatos más jogi vagy eljárási kötelezettségekre vagy az ágazatspecifikus alaki követelményekre vonatkozó uniós vagy nemzeti jogot.

(4) Ez a rendelet nem érinti az (EU) 2016/679 európai parlamenti és tanácsi rendeletet ( 1 ).

3. cikk

Fogalommeghatározások

E rendelet alkalmazásában:

1.

"elektronikus azonosítás" : egy természetes vagy jogi személyt, illetve egy másik természetes személyt vagy egy jogi személyt képviselő természetes személyt egyedileg azonosító elektronikus személyazonosító adatok felhasználásának folyamata;

2.

"elektronikus azonosító eszköz" : olyan fizikai és/vagy nem fizikai egység, amely személyazonosító adatokat tartalmaz, és amelyet online szolgáltatások, vagy adott esetben offline szolgáltatások céljából történő hitelesítésre használnak;

3.

"személyazonosító adatok" : egy természetes vagy jogi személy, vagy egy másik természetes személyt vagy egy jogi személyt képviselő természetes személy személyazonosságának megállapítását lehetővé tevő, az uniós vagy a nemzeti joggal összhangban kibocsátott adatok;

4.

"elektronikus azonosítási rendszer" : elektronikus azonosításra szolgáló rendszer, amelynek keretében természetes vagy jogi személyek, vagy más természetes személyeket vagy jogi személyeket képviselő természetes személyek számára elektronikus azonosító eszközöket bocsátanak ki;

5.

"hitelesítés" : olyan elektronikus folyamat, amely lehetővé teszi a természetes vagy jogi személy elektronikus azonosításának igazolását vagy az elektronikus adatok eredetének és sértetlenségének igazolását;

5a.

"felhasználó" : az e rendelettel összhangban nyújtott bizalmi szolgáltatásokat vagy elektronikus azonosító eszközöket igénybe vevő természetes vagy jogi személy, vagy egy másik természetes személyt vagy egy jogi személyt képviselő természetes személy;

6.

"igénybe vevő fél" : olyan természetes vagy jogi személy, aki, illetve amely elektronikus azonosítást, európai digitális személyiadat-tárcát vagy más elektronikus azonosító eszközt, vagy bizalmi szolgáltatást vesz igénybe;

7.

"közigazgatási szerv" : az állam, a regionális vagy helyi hatóság, közjogi intézmény és egy vagy több ilyen hatóságból, illetve közjogi intézményből álló társulások vagy az említett hatóságok, szervek vagy társulások közül legalább egy által közszolgáltatások nyújtásával megbízott és e megbízásuk keretében eljáró magánjogi szervezetek;

8.

"közjogi intézmény" : a 2014/24/EU európai parlamenti és tanácsi irányelv ( 2 ) 2. cikke (1) bekezdésének 4. pontjában meghatározott intézmény;

9.

"aláíró" : elektronikus aláírást létrehozó természetes személy;

10.

"elektronikus aláírás" : olyan elektronikus adat, amelyet más elektronikus adatokhoz csatolnak, illetve logikailag hozzárendelnek, és amelyet az aláíró aláírásra használ;

11.

"fokozott biztonságú elektronikus aláírás" : olyan elektronikus aláírás, amely megfelel az a 26. cikkben meghatározott követelményeknek;

12.

"minősített elektronikus aláírás" : olyan, fokozott biztonságú elektronikus aláírás, amelyet minősített elektronikus aláírást létrehozó eszközzel állítottak elő, és amely elektronikus aláírás minősített tanúsítványán alapul;

13.

"elektronikus aláírás létrehozásához használt adat" : olyan egyedi adat, amelyet az aláíró elektronikus aláírás létrehozásához használ;

14.

"elektronikus aláírás tanúsítványa" : olyan elektronikus igazolás, amely az elektronikus aláírást érvényesítő adatokat egy természetes személyhez kapcsolja, és igazolja legalább az érintett személy nevét vagy álnevét;

15.

"elektronikus aláírás minősített tanúsítványa" : olyan, elektronikus aláírás céljára használt tanúsítvány, amelyet minősített bizalmi szolgáltató bocsát ki; és amely megfelel az I. mellékletben megállapított követelményeknek;

16.

"bizalmi szolgáltatás" :

rendszerint díjazás ellenében nyújtott, az alábbiak bármelyikéből álló elektronikus szolgáltatás: a)

elektronikus aláírások tanúsítványainak, elektronikus bélyegzők tanúsítványainak, weboldal-hitelesítő tanúsítványoknak vagy egyéb bizalmi szolgáltatások nyújtására vonatkozó tanúsítványoknak a kibocsátása; b)

elektronikus aláírások tanúsítványainak, elektronikus bélyegzők tanúsítványainak, weboldal-hitelesítő tanúsítványoknak vagy egyéb bizalmi szolgáltatások nyújtására vonatkozó tanúsítványoknak az érvényesítése; c)

elektronikus aláírások vagy elektronikus bélyegzők létrehozása; d)

elektronikus aláírások vagy elektronikus bélyegzők érvényesítése; e)

elektronikus aláírásoknak, elektronikus bélyegzőknek, elektronikus aláírások tanúsítványainak vagy elektronikus bélyegzők tanúsítványainak a megőrzése; f)

távoli elektronikus aláírást létrehozó eszközök vagy távoli elektronikus bélyegzőt létrehozó eszközök kezelése; g)

elektronikus attribútumtanúsítványok kibocsátása; h)

elektronikus attribútumtanúsítványok érvényesítése; i)

elektronikus időbélyegzők létrehozása; j)

elektronikus időbélyegzők érvényesítése; k)

ajánlott elektronikus kézbesítési szolgáltatások nyújtása; l)

az ajánlott elektronikus kézbesítési szolgáltatásokon keresztül továbbított adatok és a kapcsolódó bizonyítékok érvényesítése; m)

elektronikus adatok és elektronikus dokumentumok elektronikus archiválása; n)

elektronikus adatok rögzítése elektronikus főkönyvbe.

17.

"minősített bizalmi szolgáltatás" : olyan bizalmi szolgáltatás, amely megfelel az e rendeletben foglalt alkalmazandó követelményeknek;

18.

"megfelelőségértékelő szervezet" : a 765/2008/EK rendelet 2. cikkének 13. pontjában meghatározott megfelelőségértékelő szervezet, amelyet az említett rendelettel összhangban illetékesnek ismernek el a minősített bizalmi szolgáltató és az általa nyújtott minősített bizalmi szolgáltatások megfelelőségének értékelésére, vagy az európai digitális személyiadat-tárcák vagy az elektronikus azonosító eszközök tanúsításának elvégzésére;

19.

"bizalmi szolgáltató" : egy vagy több bizalmi szolgáltatást nyújtó természetes vagy jogi személy; a bizalmi szolgáltató lehet minősített vagy nem minősített bizalmi szolgáltató;

20.

"minősített bizalmi szolgáltató" : olyan bizalmi szolgáltató, amely egy vagy több minősített bizalmi szolgáltatást nyújt, és amelynek minősített státusát a felügyeleti szerv jóváhagyta;

21.

"termék" : olyan hardver vagy szoftver, vagy hardver vagy szoftver megfelelő alkotóeleme, amelyet elektronikus azonosítási és bizalmi szolgáltatások nyújtásában való felhasználásra szántak;

22.

"elektronikus aláírást létrehozó eszköz" : elektronikus aláírás létrehozására használt, konfigurált hardver- vagy szoftvereszköz;

23.

"minősített elektronikus aláírást létrehozó eszköz" : olyan, elektronikus aláírást létrehozó eszköz, amely megfelel a II. mellékletben megállapított követelményeknek;

23a.

"távoli minősített elektronikus aláírást létrehozó eszköz" : az aláíró nevében valamely minősített bizalmi szolgáltató által a 29a. cikkel összhangban kezelt, minősített elektronikus aláírást létrehozó eszköz;

23b.

"távoli minősített elektronikus bélyegzőt létrehozó eszköz" : a bélyegző létrehozója nevében valamely minősített bizalmi szolgáltató által a 39a. cikkel összhangban kezelt, minősített elektronikus bélyegzőt létrehozó eszköz

24.

"bélyegző létrehozója" : elektronikus bélyegzőt létrehozó jogi személy;

25.

"elektronikus bélyegző" : olyan elektronikus adatok, amelyeket más elektronikus adatokhoz csatolnak, illetve logikailag hozzárendelnek, hogy biztosítsák a kapcsolt adatok eredetét és sértetlenségét;

26.

"fokozott biztonságú elektronikus bélyegző" : olyan elektronikus bélyegző, amely megfelel a 36. cikkben meghatározott követelményeknek;

27.

"minősített elektronikus bélyegző" : olyan, fokozott biztonságú elektronikus bélyegző, amelyet minősített elektronikus bélyegzőt létrehozó eszközzel állítottak elő, és amely elektronikus bélyegző minősített tanúsítványán alapul;

28.

"elektronikus bélyegző létrehozásához használt adatok" : olyan egyedi adatok, amelyeket az elektronikus bélyegző létrehozója elektronikus bélyegző létrehozásához használ;

29.

"elektronikus bélyegző tanúsítványa" : olyan elektronikus tanúsítvány, amely az elektronikus bélyegzőt érvényesítő adatokat egy jogi személyhez kapcsolja, és igazolja az érintett jogi személy nevét;

30.

"elektronikus bélyegző minősített tanúsítványa" : elektronikus bélyegző olyan tanúsítványa, amelyet minősített bizalmi szolgáltató bocsát ki; és amely megfelel a III. mellékletben megállapított követelményeknek;

31.

"elektronikus bélyegzőt létrehozó eszköz" : elektronikus bélyegző létrehozására használt, konfigurált hardver- vagy szoftvereszköz;

32.

"minősített elektronikus bélyegzőt létrehozó eszköz" : olyan, elektronikus bélyegzőt létrehozó eszköz, amely értelemszerűen megfelel a II. mellékletben megállapított követelményeknek;

33.

"elektronikus időbélyegző" : olyan elektronikus adatok, amelyek más elektronikus adatokat egy adott időponthoz kötnek, amivel igazolják, hogy utóbbi adatok léteztek az adott időpontban;

34.

"minősített elektronikus időbélyegző" : olyan elektronikus időbélyegző, amely megfelel a 42. cikkben megállapított követelményeknek;

35.

"elektronikus dokumentum" : elektronikus formában, különösen szöveg, hang-, képi vagy audiovizuális felvétel formájában tárolt bármilyen tartalom;

36.

"ajánlott elektronikus kézbesítési szolgáltatás" : olyan szolgáltatás, amely lehetővé teszi az adatok harmadik felek közötti, elektronikus úton való továbbítását, és bizonyítékot szolgáltat a továbbított adatok kezelésére vonatkozóan, beleértve az adatok küldésének és fogadásának igazolását, valamint amely védi a továbbított adatokat az adatvesztés, az adatlopás, az adatkárosodás vagy a jogosulatlan adatmódosítás kockázata ellen;

37.

"minősített ajánlott elektronikus kézbesítési szolgáltatás" : olyan ajánlott elektronikus kézbesítési szolgáltatás, amely megfelel a 44. cikkben megállapított követelményeknek;

38.

"weboldal-hitelesítő tanúsítvány" : olyan elektronikus igazolás, amely lehetővé teszi a weboldal hitelesítését és a weboldalt ahhoz a természetes vagy jogi személyhez kapcsolja, akinek vagy amelynek részére a tanúsítványt kibocsátották;

39.

"minősített weboldal-hitelesítő tanúsítvány" : olyan weboldal-hitelesítő tanúsítvány, amelyet minősített bizalmi szolgáltató bocsát ki, és amely megfelel a IV. mellékletben megállapított követelményeknek;

40.

"érvényesítési adatok" : elektronikus aláírás vagy elektronikus bélyegző érvényesítéséhez használt adatok;

41.

"érvényesítés" : az a folyamat, amelynek keretében ellenőrzik és igazolják, hogy az elektronikus adatok e rendelettel összhangban érvényesek;

42.

"európai digitális személyiadat-tárca" : olyan elektronikus azonosító eszköz, amely lehetővé teszi a felhasználó számára, hogy személyazonosító adatokat és elektronikus attribútumtanúsítványokat biztonságosan tároljon, kezeljen és érvényesítsen abból a célból, hogy azokat az igénybe vevő feleknek és az európai digitális személyiadat-tárcák egyéb felhasználóinak a rendelkezésére bocsássa, valamint hogy minősített elektronikus aláírások révén aláírjon vagy minősített elektronikus bélyegzők révén bélyegezzen;

43.

"attribútum" : valamely természetes vagy jogi személy, vagy tárgy jellemzője, sajátossága, joga vagy engedélye;

44.

"elektronikus attribútumtanúsítvány" : olyan, elektronikus formátumú igazolás, amely lehetővé teszi az attribútumok hitelesítését;

45.

"minősített elektronikus attribútumtanúsítvány" : olyan elektronikus attribútumtanúsítvány, amelyet minősített bizalmi szolgáltató bocsát ki, és amely megfelel az V. mellékletben megállapított követelményeknek;

46.

"a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítvány" : olyan elektronikus attribútumtanúsítvány, amelyet a hiteles forrásért felelős közigazgatási szerv vagy ilyen attribútumtanúsítványoknak a hiteles forrásért felelős közigazgatási szerv nevében való kibocsátására a tagállam által kijelölt közigazgatási szerv bocsátott ki a 45f. cikkel és a VII. melléklettel összhangban;

47.

"hiteles forrás" : olyan, közigazgatási szerv vagy magánszervezet felelősségi körében kezelt adattár vagy rendszer, amely valamely természetes vagy jogi személyre vagy tárgyra vonatkozó attribútumokat tartalmaz és szolgáltat, és amely az adott információ elsődleges forrásának minősül, vagy amelyet az uniós vagy a nemzeti jognak - beleértve a közigazgatási gyakorlatot is - megfelelően hitelesnek ismernek el;

48.

"elektronikus archiválás" : olyan szolgáltatás, amely elektronikus adatok és elektronikus dokumentumok fogadását, tárolását, visszakeresését és törlését biztosítja annak érdekében, hogy a megőrzési időszak egésze alatt garantálja azok tartósságát és olvashatóságát, valamint megőrizze azok sértetlenségét, bizalmasságát és eredetének bizonyítékát;

49.

"minősített elektronikus archiválási szolgáltatás" : olyan elektronikus archiválási szolgáltatás, amelyet valamely minősített bizalmi szolgáltató nyújt, és amely megfelel a 45j. cikkben meghatározott követelményeknek;

50.

"európai digitális személyiadat-tárca bizalmi jegye" : ellenőrizhető, egyszerű, és felismerhető, egyértelműen közölt jelzés arra vonatkozóan, hogy az európai digitális személyiadat-tárcát e rendelettel összhangban nyújtották;

51.

"erős felhasználóhitelesítés" : legalább két olyan, különböző kategóriákba - az ismeret, vagyis csak a felhasználó által ismert információ, a birtoklás, vagyis amit a felhasználó birtokol, vagy a biológiai tulajdonság, vagyis a felhasználó egyedi jellemzője, kategóriájába - tartozó hitelesítési tényező felhasználásán alapuló hitelesítés, melyek egymástól függetlenek oly módon, hogy az egyik feltörése nem veszélyezteti a többi megbízhatóságát, és az eljárás kialakítása gondoskodik a hitelesítési adatok bizalmasságáról;

52.

"elektronikus főkönyv" : elektronikus adatrekordok sorozata, amely biztosítja ezen adatrekordok integritását és ezen adatrekordok időrendi sorrendjének pontosságát;

53.

"minősített elektronikus főkönyv" : olyan elektronikus főkönyv, amelyet valamely minősített bizalmi szolgáltató nyújt és amely megfelel a 45l. cikkben meghatározott követelményeknek;

54.

"személyes adat" : az (EU) 2016/679 rendelet 4. cikkének 1. pontjában meghatározott bármely információ;

55.

"személyazonosság megfeleltetése" : olyan folyamat, amelynek során személyazonosító adatokat vagy elektronikus személyazonosító eszközöket az ugyanahhoz a személyhez tartozó meglévő fiókkal párosítanak vagy ahhoz kapcsolnak;

56.

"adatrekord" : az adatkezelést támogató kapcsolódó metaadatokkal együtt rögzített elektronikus adatok;

57.

"offline mód" : az európai digitális személyiadat-tárcák használata tekintetében a felhasználó és egy harmadik fél közötti, fizikai helyszínen, kis hatótávolságú technológiák alkalmazásával történő interakció, amelynek során az európai digitális személyiadat-tárcának nem szükséges az interakció céljából elektronikus hírközlő hálózatokon keresztül távoli rendszerekhez hozzáférnie.

4. cikk

A belső piac elve

(1) Az e rendelet hatálya alá eső területekhez tartozó okokból nem korlátozható a bizalmi szolgáltatásoknak egy adott tagállam területén történő, más tagállamban letelepedett bizalmi szolgáltató általi nyújtása.

(2) Biztosítani kell az e rendeletnek megfelelő termékek és bizalmi szolgáltatások belső piaci szabad forgalmát.

5. cikk

Elektronikus tranzakciókban használt álnevek

Az uniós vagy nemzeti jog azon konkrét szabályainak sérelme nélkül, amelyek előírják a felhasználók számára, hogy azonosítsák magukat, illetve az álnevek nemzeti jog szerinti joghatásának sérelme nélkül, nem tilos a felhasználó által választott álnevek használata.

II. FEJEZET

ELEKTRONIKUS AZONOSÍTÁS

1. SZAKASZ

európai digitális személyiadat-tárca

5a. cikk

Európai digitális személyiadat-tárcák

(1) Annak biztosítása érdekében, hogy az Unióban minden természetes és jogi személy biztonságos, megbízható és zökkenőmentes, határokon átnyúló hozzáféréssel rendelkezzen a köz- és magánszolgáltatásokhoz úgy, hogy mindeközben teljes körű ellenőrzést gyakoroljon az adatai felett, minden tagállam legalább egy európai digitális személyiadat-tárcát nyújt az e cikk (23) bekezdésében és az 5c. cikk (6) bekezdésében említett végrehajtási jogi aktusok hatálybalépésétől számított 24 hónapon belül.

(2) Az európai digitális személyiadat-tárcákat az alábbi egy vagy több módon kell nyújtani:

a) közvetlenül valamely tagállam által;

b) valamely tagállam megbízásából;

c) valamely tagállamtól függetlenül, de az említett tagállam által elismert módon.

(3) Az európai digitális személyiadat-tárcák alkalmazásszoftver-alkotóelemének forráskódját nyílt forráskódú licenccel kell ellátni. A tagállamok rendelkezhetnek úgy, hogy kellően indokolt esetben a felhasználói eszközökre telepítettektől eltérő egyes konkrét alkotóelemek forráskódja ne legyen nyilvános.

(4) Az európai digitális személyiadat-tárcák a következőket teszik lehetővé a felhasználó számára felhasználóbarát, átlátható és nyomon követhető módon:

a) személyazonosító adatok és adott esetben az azokhoz társított elektronikus attribútumtanúsítványok biztonságos kérelmezése, megszerzése, kiválasztása, kombinálása, tárolása, törlése, megosztása és bemutatása - a felhasználó kizárólagos ellenőrzése mellett - az igénybe vevő felek számára online és adott esetben offline módon való hitelesítés céljából, köz- és magánszolgáltatásokhoz való hozzáférés érdekében, biztosítva ugyanakkor az adatok szelektív hozzáférhetővé tételének lehetőségét;

b) álnevek generálása és azok titkosított, helyi szintű tárolása az európai digitális személyiadat-tárcán belül;

c) egy másik személy európai digitális személyiadat-tárcájának biztonságos hitelesítése, valamint a személyazonosító adatok és az elektronikus attribútumtanúsítványok biztonságos módon történő fogadása és megosztása a két európai digitális személyiadat-tárca között;

d) hozzáférés az európai digitális személyiadat-tárcán keresztül végrehajtott összes tranzakció naplójához egy közös irányítópulton keresztül, amely lehetővé teszi a felhasználó számára, hogy:

i. megtekintse azon igénybe vevő felek naprakész listáját, amelyekkel a felhasználó kapcsolatot létesített, és adott esetben az összes kicserélt adatot;

ii. könnyen kérelmezhesse az igénybe vevő féltől a személyes adatok törlését az (EU) 2016/679 rendelet 17. cikke alapján;

iii. könnyen bejelenthesse az igénybe vevő felet az illetékes nemzeti adatvédelmi hatóságnak, ha állítólagosan jogellenes vagy gyanús adatigénylés érkezik;

e) minősített elektronikus aláírással történő aláírás vagy minősített elektronikus bélyegzővel történő bélyegzés;

f) a felhasználói adatok, az elektronikus attribútumtanúsítványok és a konfigurációk letöltése a műszakilag megvalósítható mértékben;

g) az adathordozhatóságra vonatkozó felhasználói jogok gyakorlása.

(5) Az európai digitális személyiadat-tárcáknak különösen:

a) támogatniuk kell a következőkre szolgáló közös protokollokat és interfészeket:

i. személyazonosító adatoknak, minősített és nem minősített elektronikus attribútumtanúsítványoknak vagy minősített és nem minősített tanúsítványoknak az európai digitális személyiadat-tárcák számára történő kibocsátása;

ii. személyazonosító adatoknak és elektronikus attribútumtanúsítványoknak az igénybe vevő felek általi kérelmezése és érvényesítése;

iii. személyazonosító adatok, elektronikus attribútumtanúsítványok vagy szelektíven hozzáférhetővé tett kapcsolódó adatok online és adott esetben offline módon történő megosztása és az igénybe vevő felek számára történő bemutatása;

iv. az európai digitális személyiadat-tárcával való interakció lehetővé tétele a felhasználó számára és az európai digitális személyiadat-tárca bizalmi jegyének megjelenítése;

v. a felhasználó biztonságos beléptetése elektronikus azonosító eszköz használatával az 5a. cikk (24) bekezdésének megfelelően;

vi. két személy európai digitális személyiadat-tárcája közötti interakció személyazonosító adatok és elektronikus attribútumtanúsítványok biztonságos módon történő fogadása, érvényesítése és megosztása céljából;

vii. az igénybe vevő felek hitelesítése és azonosítása hitelesítési mechanizmusok alkalmazásával az 5b. cikknek megfelelően;

viii. az európai digitális személyiadat-tárcák hitelességének és érvényességének ellenőrzése az igénybe vevő felek által;

ix. a személyes adatok törlésének kérelmezése az igénybe vevő féltől az (EU) 2016/679 rendelet 17. cikke alapján;

x. az igénybe vevő fél bejelentése az illetékes nemzeti adatvédelmi hatóságnak, ha állítólagosan jogellenes vagy gyanús adatigénylés érkezik;

xi. minősített elektronikus aláírások vagy elektronikus bélyegzők létrehozása minősített elektronikus aláírást vagy elektronikus bélyegzőt létrehozó eszközökkel;

b) nem szolgáltathatnak információt az elektronikus attribútumtanúsítványok bizalmi szolgáltatói számára az említett elektronikus tanúsítványok felhasználásáról;

c) biztosítaniuk kell, hogy az igénybe vevő feleket hitelesíteni és azonosítani lehessen az 5b. cikk szerinti hitelesítési mechanizmusok alkalmazásával;

d) meg kell felelniük a 8. cikkben a »magas« biztonsági szint tekintetében meghatározott követelményeknek, különösen a személyazonosság igazolására és ellenőrzésére, valamint az elektronikus azonosító eszközök kezelésére és hitelesítésére vonatkozó követelményeket illetően;

e) a beágyazott közzétételi szabályzatot tartalmazó elektronikus attribútumtanúsítvány esetében végre kell hajtaniuk az arra szolgáló megfelelő mechanizmust, hogy tájékoztassák a felhasználót arról, hogy az említett elektronikus attribútumtanúsítványt kérelmező igénybe vevő fél vagy az európai digitális személyiadat-tárca említett elektronikus attribútumtanúsítványt kérelmező felhasználója rendelkezik az ilyen tanúsítványhoz való hozzáférésre vonatkozó engedéllyel;

f) biztosítaniuk kell, hogy az azon elektronikus azonosítási rendszerből rendelkezésre bocsátott személyazonosító adatok, amelynek keretében az európai digitális személyiadat-tárcát nyújtják, egyedileg azonosítsák a természetes személyt, a jogi személyt vagy a természetes vagy jogi személyt képviselő természetes személyt, és össze legyenek kapcsolva az említett európai digitális személyiadat-tárcával;

g) minden természetes személy számára lehetővé kell tenniük, hogy alapértelmezés szerint és ingyenesen alkalmazhassák a minősített elektronikus aláírást.

Az első albekezdés g) pontjától eltérve a tagállamok arányos intézkedésekről rendelkezhetnek annak biztosítása érdekében, hogy a minősített elektronikus aláírás természetes személyek általi ingyenes használata a nem szakmai célú felhasználásra korlátozódjon.

(6) A tagállamok késedelem nélkül tájékoztatják a felhasználókat a biztonság minden olyan megsértéséről, amely részben vagy egészben veszélyeztethette az európai digitális személyiadat-tárcájukat vagy annak tartalmát, különösen akkor, ha az európai digitális személyiadat-tárcájukat az 5e. cikk alapján felfüggesztették vagy visszavonták.

(7) Az 5f. cikk sérelme nélkül a tagállamok a nemzeti joggal összhangban rendelkezhetnek az európai digitális személyiadat-tárcák további funkcióiról, beleértve a meglévő nemzeti elektronikus azonosító eszközökkel való interoperabilitást is. E további funkcióknak meg kell felelniük e cikknek.

(8) A tagállamok ingyenes érvényesítési mechanizmusokat biztosítanak a következők érdekében:

a) annak biztosítása, hogy az európai digitális személyiadat-tárcák hitelessége és érvényessége ellenőrizhető legyen;

b) annak lehetővé tétele, hogy a felhasználók ellenőrizni tudják az 5b. cikkel összhangban nyilvántartásba vett igénybe vevő felek személyazonosságának hitelességét és érvényességét.

(9) A tagállamok biztosítják, hogy az európai digitális személyiadat-tárca érvényességét vissza lehessen vonni az alábbi körülmények fennállása esetén:

a) a felhasználó kifejezett kérésére;

b) ha az európai digitális személyiadat-tárca biztonsága sérült;

c) a felhasználó halála vagy a jogi személy tevékenységének megszűnése esetén.

(10) Az európai digitális személyiadat-tárcákat nyújtó szolgáltatóknak biztosítaniuk kell, hogy a felhasználók könnyen kérhessenek technikai támogatást és könnyen bejelenthessék a technikai problémákat vagy az európai digitális személyiadat-tárca használatára negatív hatást gyakorló eseményeket.

(11) Az európai digitális személyiadat-tárcákat »magas« biztonsági szintű elektronikus azonosítási rendszer keretében kell biztosítani.

(12) Az európai digitális személyiadat-tárcáknak biztosítaniuk kell a beépített biztonságot.

(13) Az európai digitális személyiadat-tárcák kibocsátásának, használatának és visszavonásának ingyenesnek kell lennie minden természetes személy számára.

(14) A felhasználóknak teljes körű ellenőrzést kell tudniuk gyakorolni saját európai digitális személyiadat-tárcájuk használata felett és a saját európai digitális személyiadat-tárcájukban tárolt adatok felett. Az európai digitális személyiadat-tárcát nyújtó szolgáltató nem gyűjthet az európai digitális személyiadat-tárca használatáról olyan információkat, amelyek nem szükségesek az európai digitális személyiadat-tárcával kapcsolatos szolgáltatások nyújtásához, és nem kombinálhatja a személyazonosító adatokat vagy az európai digitális személyiadat-tárcán tárolt vagy annak használatával kapcsolatos más személyes adatokat az e szolgáltató által kínált bármely más szolgáltatásból vagy harmadik fél szolgáltatásaiból származó olyan személyes adatokkal, amelyek nem szükségesek az európai digitális személyiadat-tárcával kapcsolatos szolgáltatások nyújtásához, kivéve, ha a felhasználó kifejezetten másként kéri. Az európai digitális személyiadat-tárca nyújtásával kapcsolatos személyes adatokat az európai digitális személyiadat-tárcát nyújtó szolgáltatók birtokában lévő minden egyéb adattól logikailag elkülönítve kell tárolni. Amennyiben az európai digitális személyiadat-tárcát e cikk (2) bekezdésének b) és c) pontjával összhangban magánfelek nyújtják, a 45h. cikk (3) bekezdésének rendelkezései értelemszerűen alkalmazandók.

(15) Az európai digitális személyiadat-tárcák használata önkéntes. A köz- és magánszolgáltatásokhoz való hozzáférés, a munkaerőpiachoz való hozzáférés és a vállalkozás szabadsága semmilyen módon nem korlátozható, illetve nem tehető hátrányossá az európai digitális személyiadat-tárcákat nem használó természetes vagy jogi személyek számára. Továbbra is lehetővé kell tenni a köz- és magánszolgáltatásokhoz való hozzáférést más meglévő azonosítási és hitelesítési eszközökkel.

(16) Az európai digitális személyiadat-tárcák technikai keretének:

a) nem szabad lehetővé tennie az elektronikus attribútumtanúsítványokat nyújtó szolgáltatók vagy bármely más fél számára, hogy az attribútumtanúsítvány kibocsátását követően olyan adatokat szerezzenek meg, amelyek lehetővé teszik a tranzakciók vagy a felhasználói magatartás nyomon követését, összekapcsolását, korrelációját vagy a tranzakciókra vonatkozó ismeret vagy a felhasználói magatartás más módon történő megszerzését, kivéve, ha ezt a felhasználó kifejezetten engedélyezi;

b) lehetővé kell tennie a magánélet védelmére szolgáló olyan technikák használatát, amelyek biztosítják az összekapcsolás megakadályozását, amennyiben az attribútumok tanúsítása nem teszi szükségessé a felhasználó azonosítását.

(17) A személyes adatoknak a tagállamok által vagy a nevükben az európai digitális személyiadat-tárcák elektronikus azonosító eszközként való nyújtásáért felelős szervek vagy felek által végzett bármely kezelését megfelelő és hatékony adatvédelmi intézkedésekkel összhangban kell végezni. Bizonyítani kell, hogy az ilyen adatkezelés megfelel az (EU) 2016/679 rendeletnek. A tagállamok nemzeti szintű rendelkezéseket vezethetnek be az ilyen intézkedések alkalmazásának további pontosítása érdekében.

(18) A tagállamok indokolatlan késedelem nélkül értesítik a Bizottságot a következőkről:

a) az 5b. cikk (5) bekezdése szerinti, az európai digitális személyiadat-tárcákat igénybe vevő, nyilvántartásba vett igénybe vevő felek jegyzékének összeállításáért és fenntartásáért felelős szerv és az, hogy hol található e jegyzék;

b) az 5a. cikk (1) bekezdése szerinti, az európai digitális személyiadat-tárcák nyújtásáért felelős szervek;

c) az 5a. cikk (5) bekezdésének f) pontja szerinti, annak biztosításáért felelős szervek, hogy a személyazonosító adatok össze legyenek kapcsolva az európai digitális személyiadat-tárcával;

d) az a mechanizmus, amely lehetővé teszi az 5a. cikk (5) bekezdésének f) pontjában említett személyazonosító adatoknak és az igénybe vevő felek személyazonosságának az érvényesítését;

e) az európai digitális személyiadat-tárcák hitelességének és érvényességének érvényesítésére szolgáló mechanizmus.

A Bizottság az első albekezdés alapján bejelentett információkat automatizált feldolgozásra alkalmas, elektronikus aláírással vagy bélyegzővel ellátott formátumban, biztonságos csatornán keresztül hozzáférhetővé teszi a nyilvánosság számára.

(19) E cikk (22) bekezdésének sérelme nélkül, a 11. cikk értelemszerűen alkalmazandó az európai digitális személyiadat-tárcára.

(20) A 24. cikk (2) bekezdésének b) pontja, valamint d)-h) pontja értelemszerűen alkalmazandó az európai digitális személyiadat-tárcákat nyújtó szolgáltatókra.

(21) Az európai digitális személyiadat-tárcákat az (EU) 2019/882 európai parlamenti és tanácsi irányelvvel ( 3 ) összhangban a többi felhasználóval azonos alapon hozzáférhetővé kell tenni a fogyatékossággal élő személyek általi használatra.

(22) Az európai digitális személyiadat-tárcák biztosítása céljából az európai digitális személyiadat-tárcák és azon elektronikus azonosítási rendszerek, amelyek keretében nyújtják őket, nem tartoznak a 7., 9., 10., 12. és 12a. cikkben meghatározott követelmények hatálya alá.

(23) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az európai digitális személyiadat-tárcák megvalósításával kapcsolatos, az e cikk (4), (5), (8) és (18) bekezdésében említett követelményekre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(24) A Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg annak érdekében, hogy megkönnyítse a felhasználóknak az európai digitális személyiadat-tárcába való beléptetését, mégpedig vagy »magas« biztonsági szintnek megfelelő elektronikus azonosító eszközök, vagy olyan, »jelentős« biztonsági szintnek megfelelő elektronikus azonosító eszközök alkalmazásával, amelyek további, távoli beléptetési eljárásokkal kombinálva együttesen megfelelnek a »magas« biztonsági szint követelményeinek. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

5b. cikk

Az európai digitális személyiadat-tárcák igénybe vevő felei

(1) Amennyiben az igénybe vevő fél köz- vagy magánszolgáltatások digitális interakció útján történő nyújtása céljából európai digitális személyiadat-tárcákat kíván igénybe venni, az igénybe vevő félnek nyilvántartásba kell vetetnie magát a letelepedési helye szerinti tagállamban.

(2) A nyilvántartásba vételi eljárásnak költséghatékonynak és a kockázattal arányosnak kell lennie. Az igénybe vevő félnek legalább a következőket kell megadnia:

a) az európai digitális személyiadat-tárcákhoz szükséges hitelesítéshez megkívánt információk, amelyek legalább a következőket magukban foglalják:

i. az igénybe vevő fél letelepedési helye szerinti tagállam; és

ii. az igénybe vevő fél hivatalos nyilvántartásban szereplő megnevezése és adott esetben nyilvántartási száma az említett hivatalos nyilvántartás azonosító adataival együtt;

b) az igénybe vevő fél elérhetősége;

c) az európai digitális személyiadat-tárcák tervezett felhasználása, beleértve az igénybe vevő fél által a felhasználóktól kért adatok megjelölését.

(3) Az igénybe vevő felek nem kérhetik a felhasználóktól, hogy a (2) bekezdés c) pontja alapján megjelölt adatokon kívül egyéb adatokat is szolgáltassanak.

(4) Az (1) és (2) bekezdés nem érinti a konkrét szolgáltatások nyújtására alkalmazandó uniós vagy nemzeti jogot.

(5) A tagállamok a (2) bekezdésben említett információkat automatizált feldolgozásra alkalmas, elektronikus aláírással vagy bélyegzővel ellátott formátumban online nyilvánosan hozzáférhetővé teszik.

(6) Az e cikkel összhangban nyilvántartásba vett igénybe vevő feleknek haladéktalanul tájékoztatniuk kell a tagállamokat a nyilvántartásba vétel során a (2) bekezdés szerint megadott információk bármely változásáról.

(7) A tagállamok olyan közös mechanizmusról gondoskodnak, amely az 5a. cikk (5) bekezdésének c) pontjában említetteknek megfelelően lehetővé teszi az igénybe vevő felek azonosítását és hitelesítését.

(8) Amennyiben az igénybe vevő felek európai digitális személyiadat-tárcákat kívánnak igénybe venni, azonosítaniuk kell magukat a felhasználó felé.

(9) Az igénybe vevő felek felelősek az európai digitális személyiadat-tárcákból igényelt személyazonosító adatok és elektronikus attribútumtanúsítványok hitelesítésére és érvényesítésére irányuló eljárás lefolytatásáért. Az igénybe vevő felek nem utasíthatják el az álnevek használatát, ha a felhasználó azonosítását az uniós vagy nemzeti jog nem írja elő.

(10) Az igénybe vevő felek nevében eljáró köztes szereplők igénybe vevő feleknek tekintendők, és nem tárolhatnak a tranzakció tartalmával kapcsolatos adatokat.

(11) 2024. november 21-ig a Bizottság az 5a. cikk (23) bekezdésében említett, az európai digitális személyiadat-tárcák megvalósításáról szóló végrehajtási jogi aktusok útján megállapítja az e cikk (2), (5) és (6)-(9) bekezdésében említett követelményekre vonatkozó technikai specifikációkat és eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében vizsgálóbizottsági eljárás keretében kell elfogadni.

5c. cikk

Az európai digitális személyiadat-tárcák tanúsítása

(1) Azt, hogy az európai digitális személyiadat-tárcák és az elektronikus azonosítási rendszer, amelynek keretében nyújtják őket, megfelelnek az 5a. cikk (4), (5) és (8) bekezdésében meghatározott követelményeknek, az 5a. cikk (14) bekezdésében meghatározott logikai elkülönítés követelményének, valamint adott esetben az 5a. cikk (24) bekezdésében meghatározott szabványoknak és technikai specifikációknak, a tagállamok által kijelölt megfelelőségértékelő szervezeteknek kell tanúsítaniuk.

(2) Annak tanúsítását, hogy az európai digitális személyiadat-tárcák megfelelnek az e cikk (1) bekezdésében említett azon követelményeknek vagy azok egy részének, amelyek a kiberbiztonság szempontjából relevánsak, az (EU) 2019/881 európai parlamenti és tanácsi rendelet ( 4 ) alapján elfogadott európai kiberbiztonsági tanúsítási rendszereknek és az e cikk (6) bekezdésében említett végrehajtási jogi aktusokban foglaltaknak megfelelően kell elvégezni.

(3) Az e cikk (1) bekezdésében említett azon követelmények tekintetében, amelyek a kiberbiztonság szempontjából nem relevánsak, és az e cikk (1) bekezdésében említett azon követelmények tekintetében, amelyek a kiberbiztonság szempontjából relevánsak annyiban, amennyiben az e cikk (2) bekezdésében említettek szerinti kiberbiztonsági tanúsítási rendszerek nem vagy csak részben terjednek ki az említett kiberbiztonsági követelményekre, a tagállamok nemzeti tanúsítási rendszereket hoznak létre az e cikk (6) bekezdésében említett végrehajtási jogi aktusokban meghatározott követelményeknek megfelelően. A tagállamok a nemzeti tanúsítási rendszerük tervezetét továbbítják a 46e. cikk (1) bekezdése alapján létrehozott, az európai digitális személyazonossággal foglalkozó együttműködési csoportnak (a továbbiakban: az együttműködési csoport). Az együttműködési csoport véleményeket és ajánlásokat adhat ki.

(4) Az (1) bekezdés szerinti tanúsítás legfeljebb öt évig érvényes, feltéve, hogy kétévente sebezhetőségi értékelést végeznek. Amennyiben sebezhetőséget azonosítanak, és azt kellő időn belül nem orvosolják, a tanúsítást törölni kell.

(5) A személyesadat-kezelési műveletekre vonatkozó, az e rendelet 5a. cikkében meghatározott követelményeknek való megfelelés az (EU) 2016/679 rendelet szerint tanúsítható.

(6) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1), (2) és (3) bekezdésében említett, az európai digitális személyiadat-tárcák tanúsítására vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében vizsgálóbizottsági eljárás keretében kell elfogadni.

(7) A tagállamok tájékoztatják a Bizottságot az (1) bekezdésben említett megfelelőségértékelő szervezetek nevéről és címéről. A Bizottság ezt az információt valamennyi tagállam rendelkezésére bocsátja.

(8) A Bizottság felhatalmazást kap arra, hogy a 47. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el az e cikk (1) bekezdésében említett, kijelölt megfelelőségértékelő szervezetek által teljesítendő egyedi kritériumok meghatározására vonatkozóan.

5d. cikk

A tanúsított európai digitális személyiadat-tárcák listájának közzététele

(1) A tagállamok indokolatlan késedelem nélkül tájékoztatják a Bizottságot és a 46e. cikk (1) bekezdése alapján létrehozott együttműködési csoportot az 5a. cikk alapján nyújtott és az 5c. cikk (1) bekezdésében említett megfelelőségértékelő szervezetek által tanúsított európai digitális személyiadat-tárcákról. A tagállamok indokolatlan késedelem nélkül tájékoztatják a Bizottságot és a 46e. cikk (1) bekezdése alapján létrehozott együttműködési csoportot a tanúsítás esetleges törléséről, és megjelölik a törlés okait.

(2) Az 5a. cikk (18) bekezdésének sérelme nélkül a tagállamok által szolgáltatott, az e cikk (1) bekezdésében említett információknak legalább a következőket magukban kell foglalniuk:

a) a tanúsított európai digitális személyiadat-tárca tanúsítványa és a tanúsítására vonatkozó értékelő jelentés;

b) azon elektronikus azonosítási rendszer leírása, amelynek keretében az európai digitális személyiadat-tárcát nyújtják;

c) az alkalmazandó felügyeleti rendszer, valamint tájékoztatás az európai digitális személyiadat-tárcát biztosító félre vonatkozó felelősségi rendszerről;

d) az elektronikus azonosítási rendszerért felelős hatóság vagy hatóságok;

e) az elektronikus azonosítási rendszernek vagy a hitelesítésnek vagy azok érintett veszélyeztetett részeinek a felfüggesztésére vagy visszavonására vonatkozó szabályok.

(3) Az (1) bekezdés szerint beérkezett információk alapján a Bizottság összeállítja, az Európai Unió Hivatalos Lapjában közzéteszi, és géppel olvasható formátumban vezeti a tanúsított európai digitális személyiadat-tárcák listáját.

(4) A tagállamok kérelmet nyújthatnak be a Bizottsághoz arra vonatkozóan, hogy egy adott európai digitális személyiadat-tárcát és az elektronikus azonosítási rendszert, amelynek keretében azt nyújtják, törölje a (3) bekezdésben említett listáról.

(5) Amennyiben az (1) bekezdés szerint szolgáltatott információkban változás következik be, a tagállam a Bizottság rendelkezésére bocsátja az aktualizált információkat.

(6) A Bizottság naprakészen tartja a (3) bekezdésben említett listát oly módon, hogy a (4) bekezdés szerinti kérelem vagy az (5) bekezdés szerinti aktualizált információk kézhezvételétől számított egy hónapon belül közzéteszi a lista megfelelő módosításait az Európai Unió Hivatalos Lapjában.

(7) 2024. november 21-ig a Bizottság az 5a. cikk (23) bekezdésében említett, az európai digitális személyiadat-tárcák megvalósításáról szóló végrehajtási jogi aktusok útján meghatározza az e cikk (1), (4) és (5) bekezdésének céljából alkalmazandó formátumokat és eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

5e. cikk

Az európai digitális személyiadat-tárcák biztonságának megsértése

(1) Amennyiben az 5a. cikk alapján nyújtott európai digitális személyiadat-tárcákat, az 5a. cikk (8) bekezdésében említett érvényesítési mechanizmusokat vagy azon elektronikus azonosítási rendszert, amelynek keretében az európai digitális személyiadat-tárcákat nyújtják, oly módon megsértik vagy részben veszélyeztetik, hogy az hátrányosan érinti a megbízhatóságukat vagy más európai digitális személyiadat-tárcák megbízhatóságát, az európai digitális személyiadat-tárcákat nyújtó tagállam indokolatlan késedelem nélkül felfüggeszti az európai digitális személyiadat-tárcák nyújtását és használatát.

Amennyiben az első albekezdésben említett biztonságsértés vagy veszélyeztetés súlyossága indokolja, a tagállam indokolatlan késedelem nélkül visszavonja az európai digitális személyiadat-tárcákat.

A tagállam ennek megfelelően tájékoztatja az érintett felhasználókat, a 46c. cikk (1) bekezdése alapján kijelölt egyedüli kapcsolattartó pontokat, az igénybe vevő feleket és a Bizottságot.

(2) Ha az e cikk (1) bekezdésének első albekezdésében említett biztonságsértést vagy veszélyeztetést nem orvosolják a felfüggesztéstől számított három hónapon belül, az európai digitális személyiadat-tárcákat nyújtó tagállam visszavonja az európai digitális személyiadat-tárcákat és azok érvényességét. A tagállam ennek megfelelően tájékoztatja a visszavonásról az érintett felhasználókat, a 46c. cikk (1) bekezdése alapján kijelölt egyedüli kapcsolattartó pontokat, az igénybe vevő feleket és a Bizottságot.

(3) Amennyiben az e cikk (1) bekezdésének első albekezdésében említett biztonságsértést vagy veszélyeztetést orvosolják, a tárcákat biztosító tagállam visszaállítja az európai digitális személyiadat-tárcák nyújtását és használatát, és indokolatlan késedelem nélkül tájékoztatja az érintett felhasználókat és igénybe vevő feleket, a 46c. cikk (1) bekezdése alapján kijelölt egyedüli kapcsolattartó pontokat és a Bizottságot.

(4) A Bizottság indokolatlan késedelem nélkül közzéteszi az Európai Unió Hivatalos Lapjában az 5d. cikkben említett lista ennek megfelelő módosításait.

(5) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1), (2) és (3) bekezdésében említett intézkedésekre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

5f. cikk

Az európai digitális személyiadat-tárcák határokon átnyúló igénybevétele

(1) Amennyiben a tagállamok egy közigazgatási szerv által nyújtott online szolgáltatáshoz való hozzáféréshez elektronikus azonosítást és hitelesítést írnak elő, akkor az e rendelettel összhangban nyújtott európai digitális személyiadat-tárcákat is el kell fogadniuk.

(2) Amennyiben a szolgáltatásokat nyújtó, magánszférabeli igénybe vevő felek - a 2003/361/EK bizottsági ajánlás ( 5 ) mellékletének 2. cikkében meghatározott mikrovállalkozások és kisvállalkozások kivételével - az uniós vagy a nemzeti jog értelmében erős felhasználóhitelesítést kötelesek használni az online azonosításhoz, vagy ha szerződéses kötelezettség írja elő az erős felhasználóhitelesítést az online azonosításhoz - többek között a közlekedés, az energia, a banki és pénzügyi szolgáltatások, a szociális biztonság, az egészségügy, az ivóvíz, a postai szolgáltatások, a digitális infrastruktúra, az oktatás vagy a távközlés területén -, az említett magánszférabeli igénybe vevő feleknek legkésőbb az 5a. cikk (23) bekezdésében és az 5c. cikk (6) bekezdésében említett végrehajtási jogi aktusok hatálybalépésétől számított 36 hónappal és kizárólag a felhasználó önkéntes kérésére el kell fogadniuk az e rendelettel összhangban nyújtott európai digitális személyiadat-tárcák használatát is.

(3) Amennyiben az (EU) 2022/2065 európai parlamenti és tanácsi rendelet ( 6 ) 33. cikkében említett, online óriásplatformokat üzemeltető szolgáltatók az online szolgáltatásokhoz való hozzáféréshez megkövetelik a felhasználóhitelesítést, akkor - kizárólag a felhasználó önkéntes kérésére, valamint az azon konkrét online szolgáltatáshoz szükséges minimális adatok tekintetében, amelyre vonatkozóan a hitelesítést kérik - a felhasználóhitelesítés céljára el kell fogadniuk és elő kell segíteniük az e rendelettel összhangban nyújtott európai digitális személyiadat-tárcák használatát is.

(4) A Bizottság a tagállamokkal együttműködve elősegíti a magatartási kódexeknek - valamennyi érdekelt féllel, köztük a civil társadalommal szoros együttműködésben történő - kidolgozását annak érdekében, hogy hozzájáruljon az e rendelet hatálya alá tartozó európai digitális személyiadat-tárcák széles körű elérhetőségéhez és használhatóságához, és hogy arra ösztönözze a szolgáltatókat, hogy végezzék el a magatartási kódexek kidolgozását.

(5) A Bizottság az európai digitális személyiadat-tárcák bevezetésétől számított 24 hónapon belül értékeli az európai digitális személyiadat-tárcák iránti keresletet, valamint azok elérhetőségét és használhatóságát olyan kritériumokat figyelembe véve, mint például a felhasználók körében való elterjedés, a szolgáltatók határokon átnyúló jelenléte, a technológiai fejlődés, a használati minták alakulása és a fogyasztói kereslet.

2. SZAKASZ

elektronikus azonosítási rendszerek

6. cikk

Kölcsönös elismerés

(1) Ha a nemzeti jogszabályok vagy a közigazgatási gyakorlat értelmében egy közigazgatási szerv által nyújtott szolgáltatás online elérését elektronikus azonosító eszközt és hitelesítést alkalmazó elektronikus azonosításhoz kötik egy tagállamban, a másik tagállamban kibocsátott elektronikus azonosító eszközt el kell ismerni az első tagállamban az említett online szolgáltatáshoz szükséges, határokon átnyúló hitelesítés céljából, feltéve, hogy teljesülnek az alábbi feltételek:

a) az elektronikus azonosító eszközt a Bizottság által a 9. cikkel összhangban közzétett listában szereplő valamelyik elektronikus azonosítási rendszer keretében bocsátották ki;

b) az elektronikus azonosító eszköz biztonsági szintje azonos vagy magasabb, mint az érintett közigazgatási szerv által az első tagállamban nyújtott online szolgáltatáshoz való hozzáféréshez előírt biztonsági szint, feltéve, hogy az említett elektronikus azonosító eszköz biztonsági szintje "jelentős" vagy "magas";

c) az érintett közigazgatási szerv a "jelentős" vagy "magas" biztonsági szintet használja az adott online szolgáltatáshoz való hozzáféréssel kapcsolatban.

Az elismerésre sort kell keríteni legkésőbb 12 hónappal azután, hogy a Bizottság közzétette az első albekezdés a) pontjában említett listát.

(2) A közigazgatási szervek az általuk nyújtott online szolgáltatásokhoz szükséges határokon átnyúló hitelesítés céljából elismerhetik a Bizottság által a 9. cikkel összhangban közzétett listában szereplő valamely rendszer keretében kibocsátott és az "alacsony" biztonsági szintnek megfelelő elektronikus azonosító eszközt.

7. cikk

Az elektronikus azonosítási rendszerek bejelentésének előfeltételei

A 9. cikk (1) bekezdésének értelmében az elektronikus azonosítási rendszerek bejelenthetők, feltéve, ha az alábbi feltételek mindegyike teljesül:

a) az elektronikus azonosítási rendszer keretébe tartozó elektronikus azonosító eszközt:

i. a bejelentő tagállam bocsátotta ki;

ii. a bejelentő tagállam megbízásából bocsátották ki; vagy

iii. a bejelentő tagállamtól függetlenül bocsátották ki, de a bejelentő tagállam elismerte az említett eszközt;

b) az elektronikus azonosítási rendszer keretébe tartozó elektronikus azonosító eszköz a bejelentő tagállamban legalább egy, közigazgatási szerv által nyújtott és elektronikus azonosítást előíró szolgáltatáshoz való hozzáféréshez használható;

c) a rendszer és a keretében kibocsátott elektronikus azonosító eszköz megfelel a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban meghatározott biztonsági szintek közül legalább az egyikre vonatkozóan meghatározott követelményeknek;

d) a bejelentő tagállam biztosítja, hogy az adott személyt kizárólagosan azonosító személyazonosító adatokat a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban előírt, vonatkozó biztonsági szinthez tartozó technikai specifikációknak, szabványoknak és eljárásoknak megfelelően hozzárendeljék a 3. cikk 1. pontjában említett természetes vagy jogi személyhez a szóban forgó rendszer keretébe tartozó - elektronikus azonosító eszköz kibocsátásakor;

e) a szóban forgó rendszer keretébe tartozó elektronikus azonosító eszközt kibocsátó fél biztosítja, hogy az elektronikus azonosító eszközt a 8. cikk (3) bekezdésében említett végrehajtási jogi aktusban előírt, vonatkozó biztonsági szinthez tartozó technikai specifikációknak, szabványoknak és eljárásoknak megfelelően rendeljék hozzá az e cikk d) pontjában említett személyhez;

f) a bejelentő tagállam hozzáférést biztosít az online hitelesítéshez annak érdekében, hogy egy másik tagállam területén letelepedett bármely igénybe vevő fél igazolni tudja az elektronikus formában kapott személyazonosító adatokat.

A közigazgatási szervektől eltérő igénybe vevő felek esetében a bejelentő tagállam előírhatja a hitelesítésekhez való hozzáférés feltételeit. Az ilyen határokon átnyúló hitelesítést ingyenesen kell biztosítani, amennyiben arra egy közigazgatási szerv által nyújtott online szolgáltatással kapcsolatban kerül sor. A tagállamok semmilyen különleges, aránytalan technikai előírást nem tehetnek kötelezővé az ilyen hitelesítést végrehajtani kívánó igénybe vevő felek számára, amennyiben ezen előírások megakadályozzák vagy jelentősen megnehezítik a bejelentett elektronikus azonosítási rendszerek közötti átjárhatóságot;

g) a 12. cikk (5) bekezdése alkalmazásának céljából a bejelentő tagállam a 9. cikk (1) bekezdése szerinti bejelentést megelőzően legalább hat hónappal, a 12. cikk (6) bekezdése szerint elfogadott végrehajtási jogi aktusokban meghatározott eljárási szabályokkal összhangban eljuttatja a többi tagállamnak az említett rendszer leírását;

h) az elektronikus azonosítási rendszer megfelel a 12. cikk (8) bekezdésében említett végrehajtási jogi aktus előírásainak.

8. cikk

Az elektronikus azonosítási rendszerek biztonsági szintjei

(1) A 9. cikk (1) bekezdése szerint bejelentett elektronikus azonosítási rendszernek meg kell határoznia az adott rendszer keretében kibocsátott elektronikus azonosító eszközöknek tulajdonított "alacsony", "jelentős" és/vagy "magas" biztonsági szintet.

(2) Az "alacsony", "jelentős" vagy "magas" biztonsági szintnek az alábbi követelményeket kell teljesítenie:

a) az "alacsony" biztonsági szint egy elektronikus azonosítási rendszer keretében kibocsátott olyan elektronikus azonosító eszközre utal, amely korlátozott megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélés vagy a személyazonosság megváltoztatása kockázatának csökkentése;

b) a "jelentős" biztonsági szint egy elektronikus azonosítási rendszer keretében kibocsátott olyan elektronikus azonosító eszközre utal, amely jelentős megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélés vagy a személyazonosság megváltoztatása kockázatának jelentős csökkentése;

c) a "magas" biztonsági szint egy elektronikus azonosítási rendszer keretében kibocsátott olyan elektronikus azonosító eszközre utal, amely nagyobb megbízhatósággal ellenőrzi egy személy általa megadott vagy állítólagos személyazonosságát, mint egy "jelentős" biztonsági szintű elektronikus azonosító eszköz, és amelyet a kapcsolódó technikai specifikációk, szabványok és eljárások, többek között technikai ellenőrzések alapján kell jellemezni, továbbá amelynek célja a személyazonossággal való visszaélésnek vagy a személyazonosság megváltoztatásának a megakadályozása;

(3) A Bizottság - a vonatkozó nemzetközi szabványokat figyelembe véve és a (2) bekezdésre is figyelemmel - 2015. szeptember 18-ig végrehajtási jogi aktusok útján minimális technikai specifikációkat, szabványokat és eljárásokat állapít meg, amelyekre hivatkozva meghatározható az elektronikus azonosító eszközök alacsony, "jelentős" vagy "magas" biztonsági szintje.

E minimális technikai specifikációkat, szabványokat és eljárásokat az alábbi elemek megbízhatósága és minősége alapján kell megállapítani:

a) az elektronikus azonosító eszköz kibocsátását kérő természetes vagy jogi személyek személyazonosítására és személyazonosságának ellenőrzésére alkalmazott eljárás;

b) az elektronikus azonosító eszköz kibocsátására alkalmazott eljárás;

c) azon hitelesítési mechanizmus, amelynek keretében a természetes vagy jogi személy az elektronikus azonosító eszközt arra használja, hogy a személyazonosságát igazolja a szolgáltatást igénybe vevő fél számára;

d) az elektronikus azonosító eszközt kibocsátó szervezet;

e) az elektronikus azonosító eszközök kibocsátása iránti kérelmekkel foglalkozó más szervek; valamint

f) a kibocsátott elektronikus azonosító eszközök technikai és biztonsági specifikációi.

Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

9. cikk

Bejelentés

(1) A bejelentő tagállam a következő információkat, valamint azok későbbi változásait indokolatlan késedelem nélkül bejelenti a Bizottságnak:

a) az elektronikus azonosítási rendszer leírása, ezen belül a rendszer biztonsági szintjei, az adott rendszerbe tartozó elektronikus azonosító eszközök kibocsátója (kibocsátói);

b) az alkalmazandó felügyeleti rendszer, valamint tájékoztatás a felelősségi szabályokról az alábbiak vonatkozásában:

i. az elektronikus azonosító eszközt kibocsátó fél; valamint

ii. a hitelesítési eljárást végrehajtó fél;

c) az elektronikus azonosítási rendszerért felelős hatóság vagy hatóságok;

d) tájékoztatás az egyedi személyazonosító adatok nyilvántartásba vételét kezelő szervezetről vagy szervezetekről;

e) annak ismertetése, hogy a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusokban foglalt előírások milyen módon teljesülnek;

f) a 7. cikk f) pontjában említett hitelesítés leírása;

g) a bejelentett elektronikus azonosítási rendszernek vagy hitelesítésnek vagy azok veszélyeztetett részeinek a felfüggesztésére vagy visszavonására vonatkozó szabályok.

(2) A Bizottság indokolatlan késedelem nélkül közzéteszi az Európai Unió Hivatalos Lapjában az (1) bekezdés szerint bejelentett elektronikus azonosítási rendszerek listáját az említett rendszerekkel kapcsolatos alapinformációkkal együtt.

(3) A Bizottság az említett bejelentés kézhezvételétől számított egy hónapon belül közzéteszi az Európai Unió Hivatalos Lapjában a (2) bekezdésben említett lista módosításait.

(4) Bármely tagállam kérelmezheti a Bizottságtól, hogy az általa bejelentett elektronikus azonosítási rendszert törölje a (2) bekezdésben említett listáról. A Bizottság a tagállam kérelmének kézhezvételétől számított egy hónapon belül közzéteszi az Európai Unió Hivatalos Lapjában a lista módosításait.

(5) A Bizottság végrehajtási jogi aktusok útján meghatározhatja az (1) bekezdés szerinti bejelentés feltételeit, formátumait és eljárásait. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

10. cikk

Az elektronikus azonosítási rendszerek biztonságának megsértése

(1) Amennyiben a 9. cikk (1) bekezdésének megfelelően bejelentett elektronikus azonosítási rendszert vagy a 7. cikk f) pontjában említett hitelesítést oly módon megsértik vagy részben veszélyeztetik, hogy ez hátrányosan érinti a rendszer határokon átnyúló hitelesítésének megbízhatóságát, a bejelentő tagállam késedelem nélkül felfüggeszti vagy visszavonja a határokon átnyúló hitelesítést vagy az érintett veszélyeztetett részeket, és erről tájékoztatja a többi tagállamot és a Bizottságot.

(2) Az (1) bekezdésben említett biztonságsértés vagy veszély orvoslását követően a bejelentő tagállam visszaállítja a határokon átnyúló hitelesítést, és indokolatlan késedelem nélkül értesíti a többi tagállamot és a Bizottságot.

(3) Ha az (1) bekezdésben említett biztonságsértést vagy veszélyt nem orvosolják a felfüggesztést vagy a visszavonást követő három hónapon belül, a bejelentő tagállam értesíti a többi tagállamot és a Bizottságot az elektronikus azonosítási rendszer visszavonásáról.

A Bizottság indokolatlan késedelem nélkül közzéteszi az Európai Unió Hivatalos Lapjában a 9. cikk (2) bekezdésében említett lista ennek megfelelő módosításait.

11. cikk

Felelősség

(1) A bejelentő tagállam felelős a bármely természetes vagy jogi személynek szándékosan vagy gondatlanul okozott kárért, amennyiben egy határon átnyúló tranzakcióban nem teljesíti a 7. cikk d) és f) pontja értelmében fennálló kötelezettségeit.

(2) Az elektronikus azonosító eszközöket kibocsátó fél felelős a bármely természetes vagy jogi személynek szándékosan vagy gondatlanul okozott kárért, amennyiben egy határon átnyúló tranzakcióban nem teljesíti a 7. cikk e) pontjában említett kötelezettségét.

(3) A hitelesítési eljárást működtető fél felelős a bármely természetes vagy jogi személynek szándékosan vagy gondatlanul okozott kárért, amennyiben egy határon átnyúló tranzakcióban nem biztosítja a 7. cikk f) pontjában említett hitelesítés hibátlan működését.

(4) Az (1), a (2) és a (3) bekezdést a felelősségre vonatkozó nemzeti szabályokkal összhangban kell alkalmazni.

(5) Az (1), a (2) és a (3) bekezdés nem érinti az olyan tranzakcióban részt vevő feleknek a nemzeti jog alapján fennálló felelősségét, amelyben a 9. cikk (1) bekezdése szerint bejelentett elektronikus azonosítási rendszer keretébe tartozó elektronikus azonosító eszközt alkalmaznak.

11a. cikk

A személyazonosság határokon átnyúló megfeleltetése

(1) Amikor a tagállamok határokon átnyúló szolgáltatásokat igénybe vevő felekként járnak el, bejelentett elektronikus azonosító eszközök vagy európai digitális személyiadat-tárcák használatával biztosítják a természetes személyek személyazonosságának egyértelmű megfeleltetését.

(2) A tagállamok technikai és szervezési intézkedéseket írnak elő a személyazonosság megfeleltetéséhez használt személyes adatok magas szintű védelmének biztosítása és a felhasználókról való profilalkotás megakadályozása érdekében.

(3) 2024. november 21-ig a Bizottság összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1) bekezdésében említett követelményekre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

12. cikk

Átjárhatóság

(1) A 9. cikk (1) bekezdése szerint bejelentett nemzeti elektronikus azonosítási rendszereknek átjárhatónak kell lenniük.

(2) Az (1) bekezdésben megállapítottak teljesítése érdekében létre kell hozni egy átjárhatósági keretet.

(3) Az átjárhatósági keretnek az alábbi kritériumoknak kell megfelelnie:

a) technológiasemlegességre törekszik, és a tagállamon belül az elektronikus azonosításra szolgáló konkrét nemzeti technikai megoldások egyikével szemben sem alkalmaz hátrányos megkülönböztetést;

b) lehetőség szerint követi az európai és a nemzetközi normákat;

c) megkönnyíti a beépített adatvédelem és biztonság érvényesítését;

(4) Az átjárhatósági keretnek az alábbiakat kell magában foglalnia:

a) a 8. cikkben megállapított biztonsági szintekhez kapcsolódó minimális technikai követelményekre való hivatkozás;

b) a bejelentett elektronikus azonosítási rendszerek nemzeti biztonsági szintjeinek megfeleltetése a 8. cikkben megállapított biztonsági szinteknek;

c) a minimális átjárhatósági technikai követelményekre való hivatkozás;

d) egy természetes vagy jogi személy, illetve egy másik természetes személyt vagy egy jogi személyt képviselő természetes személy kizárólagos azonosításához szükséges, az elektronikus azonosítási rendszerekből megszerezhető minimális személyazonosító adatokra való hivatkozás;

e) eljárási szabályzat;

f) vitarendezési eljárások;és

g) közös működési biztonsági normák.

(5) A tagállamok elvégzik az e rendelet hatálya alá tartozó, és a 9. cikk (1) bekezdésének a) pontja szerint bejelentendő elektronikus azonosítási rendszerek partneri felülvizsgálatát.

(6) A Bizottság 2025. március 18-ig végrehajtási jogi aktusok útján megállapítja az e cikk (5) bekezdésében említett partneri felülvizsgálatokhoz szükséges eljárási szabályokat a kockázat mértékének megfelelő, magas szintű bizalom és biztonság előmozdítása céljából. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(8) Az e cikk (1) bekezdése szerinti követelmény végrehajtása egységes feltételeinek meghatározása céljából a Bizottság 2025. szeptember 18-ig - az e cikk (3) bekezdésében foglalt kritériumoknak megfelelően és a tagállamok közötti együttműködés eredményeinek figyelembevételével - végrehajtási jogi aktusokat fogad el az e cikk (4) bekezdésében meghatározottak szerinti átjárhatósági keretre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(9) Az e cikk (7) és (8) bekezdésében említett végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

12a. cikk

Az elektronikus azonosítási rendszerek tanúsítása

(1) A bejelentendő elektronikus azonosítási rendszereknek az e rendeletben meghatározott kiberbiztonsági követelményeknek való megfelelését - beleértve a 8. cikk (2) bekezdésében meghatározott, a kiberbiztonság szempontjából releváns, az elektronikus azonosítási rendszerek biztonsági szintjeire vonatkozó követelményeknek való megfelelést is - a tagállamok által kijelölt megfelelőségértékelő szervezeteknek kell tanúsítaniuk.

(2) Az e cikk (1) bekezdése szerinti tanúsítást az (EU) 2019/881 rendelet szerinti releváns kiberbiztonsági tanúsítási rendszer vagy annak részei keretében kell elvégezni annyiban, amennyiben a kiberbiztonsági tanúsítvány vagy annak részei kiterjednek az említett kiberbiztonsági követelményekre.

(3) Az (1) bekezdés szerinti tanúsítás legfeljebb öt évig érvényes, feltéve, hogy kétévente sebezhetőségi értékelést végeznek. Amennyiben sebezhetőséget azonosítanak, és azt az azonosítástól számított három hónapon belül nem orvosolják, a tanúsítást törölni kell.

(4) A (2) bekezdéstől eltérve, a tagállamok a (2) bekezdéssel összhangban további információkat kérhetnek a bejelentő tagállamtól a tanúsított elektronikus azonosítási rendszerekkel vagy azok ilyen módon tanúsított részével kapcsolatban.

(5) Az elektronikus azonosítási rendszereknek a 12. cikk (5) bekezdésének d) pontjában említett partneri felülvizsgálata nem alkalmazandó az e cikk (1) bekezdésének megfelelően tanúsított elektronikus azonosítási rendszerekre vagy azok ilyen módon tanúsított részeire. A tagállamok használhatják a releváns tanúsítási rendszerek vagy az ilyen rendszerek részei keretében kiadott tanúsítványt vagy megfelelőségi nyilatkozatot annak igazolására, hogy valamely elektronikus azonosítási rendszer megfelel a 8. cikk (2) bekezdésében az elektronikus azonosítási rendszerek biztonsági szintje tekintetében meghatározott nem kiberbiztonsági követelményeknek.

(6) A tagállamok tájékoztatják a Bizottságot az (1) bekezdésben említett megfelelőségértékelő szervezetek nevéről és címéről. A Bizottság ezt az információt valamennyi tagállam rendelkezésére bocsátja.

12b. cikk

Hozzáférés a hardver- és szoftverfunkciókhoz

Amennyiben az európai digitális személyiadat-tárcák azon szolgáltatói és a bejelentett elektronikus azonosító eszközök azon kibocsátói, amelyek kereskedelmi vagy szakmai minőségben járnak el és az (EU) 2022/1925 európai parlamenti és tanácsi rendelet ( 7 ) 2. cikkének 2. pontjában meghatározott alapvető platformszolgáltatásokat használnak az európai digitális személyiadat-tárcákkal kapcsolatos szolgáltatások és az elektronikus azonosító eszközök végfelhasználók részére történő nyújtása céljából vagy annak során, az említett rendelet 2. cikkének 21. pontjában meghatározott üzleti felhasználóknak minősülnek, a kapuőröknek különösen lehetővé kell tenniük a számukra az ugyanazon operációs rendszerrel, hardver- vagy szoftverfunkciókkal való tényleges interoperabilitást és azokhoz az interoperabilitás céljából való tényleges hozzáférést. Az ilyen tényleges interoperabilitást és hozzáférést díjmentesen kell lehetővé tenni, függetlenül attól, hogy az (EU) 2022/1925 rendelet 6. cikkének (7) bekezdése értelmében azon hardver- vagy szoftverfunkciók az operációs rendszer részét képezik-e, a kapuőr rendelkezésére állnak-e, vagy a kapuőr használja-e azokat az ilyen szolgáltatások nyújtása során. Ez a cikk nem érinti e rendelet 5a. cikkének (14) bekezdését.

III. FEJEZET

BIZALMI SZOLGÁLTATÁSOK

1. SZAKASZ

Általános rendelkezések

13. cikk

Felelősség és bizonyítási teher

(1) E cikk (2) bekezdésétől eltérve és az (EU) 2016/679 rendelet sérelme nélkül a bizalmi szolgáltatóknak felelősséggel tartoznak az olyan kárért, amelyet szándékosan vagy gondatlanságból bármely természetes vagy jogi személynek okoztak az e rendelet szerinti kötelezettségeik megszegéséből eredően. Minden olyan természetes vagy jogi személy, aki, illetve amely e rendelet valamely bizalmi szolgáltató általi megsértése következtében vagyoni vagy nem vagyoni kárt szenvedett, jogosult arra, hogy az uniós és a nemzeti joggal összhangban kártérítést követeljen.

A nem minősített bizalmi szolgáltató szándékossága vagy gondatlansága bizonyításának azt a természetes vagy jogi személyt kell terhelnie, aki, illetve amely állítása szerint az első albekezdésben említett kárt elszenvedte.

Vélelmezni kell a minősített bizalmi szolgáltató szándékosságát vagy gondatlanságát, kivéve abban az esetben, ha a minősített bizalmi szolgáltató bizonyítja, hogy az első albekezdésben említett kár anélkül következett be, hogy az említett minősített bizalmi szolgáltató szándékosan vagy gondatlanul járt volna el.

(2) Amennyiben a bizalmi szolgáltatók előzetesen megfelelően tájékoztatják az ügyfeleiket az általuk nyújtott szolgáltatások igénybevételére vonatkozó korlátozásokról, és amennyiben ezek a korlátozások harmadik felek számára felismerhetők, a bizalmi szolgáltatók nem felelősek a szolgáltatások igénybevételéből eredő, a jelzett korlátozásokat meghaladó károkért.

(3) Az (1) és a (2) bekezdést a felelősségre vonatkozó nemzeti szabályokkal összhangban kell alkalmazni.

14. cikk

Nemzetközi vonatkozások

(1) A valamely harmadik országban letelepedett bizalmi szolgáltatók vagy valamely nemzetközi szervezet által nyújtott bizalmi szolgáltatásokat abban az esetben kell jogilag egyenértékűnek elismerni az Unióban letelepedett minősített bizalmi szolgáltatók által nyújtott minősített bizalmi szolgáltatásokkal, ha a harmadik országból származó bizalmi szolgáltatásokat vagy a nemzetközi szervezetet végrehajtási jogi aktusok útján, vagy az Unió és a harmadik ország vagy a nemzetközi szervezet által az EUMSZ 218. cikke alapján megkötött megállapodás útján elismerték.

Az első albekezdésben említett végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(2) Az (1) bekezdésben említett végrehajtási jogi aktusoknak és megállapodásnak biztosítaniuk kell, hogy az érintett harmadik ország bizalmi szolgáltatói vagy a nemzetközi szervezetek, valamint az általuk nyújtott bizalmi szolgáltatások megfeleljenek az Unióban letelepedett minősített bizalmi szolgáltatókra és az általuk nyújtott minősített bizalmi szolgáltatásokra alkalmazandó követelményeknek. Ennek megfelelően a harmadik országoknak és a nemzetközi szervezeteknek létre kell hozniuk, vezetniük kell és közzé kell tenniük az elismert bizalmi szolgáltatók bizalmi listáját.

(3) Az (1) bekezdésben említett megállapodásoknak biztosítaniuk kell, hogy az Unióban letelepedett minősített bizalmi szolgáltatók által nyújtott minősített bizalmi szolgáltatásokat jogilag egyenértékűnek ismerjék el az azon harmadik ország bizalmi szolgáltatói vagy az azon nemzetközi szervezet által nyújtott bizalmi szolgáltatásokkal, amellyel megállapodás jött létre.

15. cikk

Akadálymentesség a fogyatékossággal élő és a különleges szükségletekkel rendelkező személyek számára

Az elektronikus azonosító eszközök és a bizalmi szolgáltatások nyújtását, továbbá az ilyen szolgáltatásnyújtás során alkalmazott végfelhasználói termékeket egyszerű és érthető nyelven, a fogyatékossággal élő személyek jogairól szóló ENSZ-egyezménynek, valamint a termékekre és a szolgáltatásokra vonatkozó akadálymentességi követelményekről szóló (EU) 2019/882 irányelvben foglalt akadálymentességi követelményeknek megfelelően kell elérhetővé tenni, hogy ezáltal azokat olyan személyek is igénybe vehessék, akik funkcióképességükben korlátozottak, mint például az időskorúak és a digitális technológiákhoz korlátozott hozzáféréssel rendelkező személyek.

16. cikk

Szankciók

(1) "Az (EU) 2022/2555 európai parlamenti és tanácsi irányelv ( 8 ) 31. cikkének sérelme nélkül a tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat. Ezeknek a szankcióknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük.

(2) A tagállamok biztosítják, hogy e rendeletnek a minősített és a nem minősített bizalmi szolgáltatók általi megsértését legalább a következő maximális közigazgatási bírsággal sújtsák:

a) 5 000 000 EUR, ha a bizalmi szolgáltató természetes személy; vagy

b) ha a bizalmi szolgáltató jogi személy, 5 000 000 EUR vagy az azon vállalkozás globális éves összforgalma 1 %-ának megfelelő összeg, amelyhez a jogsértés bekövetkezését megelőző pénzügyi évben a bizalmi szolgáltató tartozott - e két összeg közül a magasabbat kell figyelembe venni.

(3) A tagállamok jogrendszerétől függően a közigazgatási bírságokra vonatkozó szabályokat oly módon is lehet alkalmazni, hogy a bírságot az illetékes felügyeleti szerv kezdeményezésére az illetékes nemzeti bíróságok róják ki. E szabályokat úgy kell alkalmazni az érintett tagállamokban, hogy biztosítva legyen e jogorvoslatok hatékonysága és a közvetlenül a felügyeleti hatóságok által kiszabott közigazgatási bírságokéval egyenértékű hatása.

2. SZAKASZ

Nem minősített bizalmi szolgáltatások

19. cikk

Bizalmi szolgáltatókra vonatkozó biztonsági előírások

(1) A minősített és nem minősített bizalmi szolgáltatók megfelelő technikai és szervezeti intézkedéseket hajtanak végre az általuk nyújtott bizalmi szolgáltatások biztonságát fenyegető kockázatok kezelése érdekében. Ezen intézkedésekkel - figyelembe véve a legújabb technológiai fejleményeket - biztosítani kell, hogy a biztonsági szint arányos legyen a kockázat mértékével. Intézkedéseket kell végrehajtani különösen a biztonsági események megelőzése és azok hatásának minimálisra csökkentése, valamint az érdekeltek bármely esemény káros hatásairól való tájékoztatása érdekében.

(2) A minősített és nem minősített bizalmi szolgáltatók indokolatlan késedelem nélkül, de minden esetben az esetről való értesüléstől számított 24 órán belül értesítik a felügyeleti szervet és adott esetben más érintett szerveket, például az információbiztonságért felelős nemzeti szervet vagy az adatvédelmi hatóságot a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről, amennyiben az jelentős hatást gyakorol a bizalmi szolgáltatásra vagy az annak keretében tárolt személyes adatokra.

Amennyiben a biztonság megsértése vagy az adatok sértetlenségének megszűnése vélhetőleg hátrányosan érintheti azt a természetes vagy jogi személyt, aki bizalmi szolgáltatást vett igénybe, a bizalmi szolgáltató a természetes vagy jogi személyt is indokolatlan késedelem nélkül értesíti a biztonság megsértéséről vagy az adatok sértetlenségének megszűnéséről.

Adott esetben, különösen, ha a biztonság megsértése vagy az adatok sértetlenségének megszűnése két vagy több tagállamot érint, az értesítést kézhez vevő felügyeleti szerv tájékoztatja a többi érintett tagállam felügyeleti szerveit és az ENISA-t.

Az értesített felügyeleti szerv tájékoztatja a nyilvánosságot, vagy a bizalmi szolgáltatókat kötelezi erre, amennyiben megállapítja, hogy a biztonság megsértésének vagy az adatok sértetlensége megszűnésének a nyilvánosságra hozatala közérdekből szükséges.

(3) A felügyeleti szerv évente egyszer összefoglaló tájékoztatást nyújt az ENISA számára a bizalmi szolgáltatóktól beérkezett, a biztonság megsértésére és az adatok sértetlenségének megszűnésére vonatkozó bejelentésekről.

(4) A Bizottság végrehajtási jogi aktusok útján:

a) az (1) bekezdésben említett intézkedéseket tovább pontosíthatja, és

b) meghatározhatja a (2) bekezdés céljára alkalmazandó formátumokat és eljárásokat, beleértve a határidőket is.

Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

19a. cikk

A nem minősített bizalmi szolgáltatókra vonatkozó követelmények

(1) A nem minősített bizalmi szolgáltatásokat nyújtó nem minősített bizalmi szolgáltató köteles:

a) megfelelő szabályzatokkal rendelkezni és ezeknek megfelelő intézkedéseket hozni a nem minősített bizalmi szolgáltatás nyújtásával kapcsolatos jogi, üzleti, működési és egyéb közvetlen vagy közvetett kockázatok kezelésére, amelyeknek - az (EU) 2022/2555 irányelv 21. cikke ellenére - magukban kell foglalniuk legalább a következőkkel kapcsolatos intézkedéseket:

i. a bizalmi szolgáltatással kapcsolatos regisztrációra és beléptetésre vonatkozó eljárások;

ii. a bizalmi szolgáltatások nyújtásához szükséges eljárási vagy adminisztratív ellenőrzések;

iii. a bizalmi szolgáltatások irányítása és végrehajtása;

b) a biztonságnak a szolgáltatás nyújtása vagy az a) pont i., ii. és iii. alpontjában említett intézkedések végrehajtása során bekövetkező minden olyan megsértéséről vagy a szolgáltatás nyújtása vagy az a) pont i., ii. és iii. alpontjában említett intézkedések végrehajtása során bekövetkező minden olyan zavarról, amely jelentős hatást gyakorol a nyújtott bizalmi szolgáltatásra vagy az annak keretében tárolt személyes adatokra, indokolatlan késedelem nélkül, de legkésőbb a biztonság megsértéséről vagy a zavarról való tudomásszerzéstől számított 24 órán belül értesíteni a felügyeleti szervet, az azonosítható érintett személyeket, a nyilvánosságot - amennyiben az közérdekű -, valamint adott esetben más érintett illetékes hatóságokat.

(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg e cikk (1) bekezdésének a) pontjára vonatkozóan. Az e szabványoknak, specifikációknak és eljárásoknak való megfelelés esetén vélelmezni kell az e cikkben foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

3. SZAKASZ

Minősített bizalmi szolgáltatások

20. cikk

Minősített bizalmi szolgáltatók felügyelete

(1) A minősített bizalmi szolgáltatókat legalább 24 havonta, a szolgáltatók saját költségére megfelelőségértékelő szervezetnek kell ellenőriznie. Az ellenőrzésnek igazolnia kell, hogy a minősített bizalmi szolgáltatók és az általuk nyújtott minősített bizalmi szolgáltatások megfelelnek az e rendeletben és az (EU) 2022/2555 irányelv 21. cikkében megállapított követelményeknek. A minősített bizalmi szolgáltatók kötelesek az elkészült megfelelőségértékelési jelentést a kézhezvételtől számított három munkanapon belül benyújtani a felügyeleti szervnek.

(1a) A minősített bizalmi szolgáltatóknak bármely tervezett ellenőrzésről legalább egy hónappal azt megelőzően tájékoztatniuk kell a felügyeleti szervet, és kérésre lehetővé kell tenniük a felügyeleti szerv megfigyelőként való részvételét.

(1b) A tagállamok indokolatlan késedelem nélkül bejelentik a Bizottságnak az (1) bekezdésben említett megfelelőségértékelő szervezetek nevét, címét és akkreditációs adatait, valamint azok későbbi változásait. A Bizottság ezt az információt valamennyi tagállam rendelkezésére bocsátja.

(2) Az (1) bekezdés sérelme nélkül, a felügyeleti szerv bármikor ellenőrizheti a minősített bizalmi szolgáltatókat, illetve felkérhet egy megfelelőségértékelő szervezetet a minősített bizalmi szolgáltatók megfelelőségértékelésének elvégzésére a bizalmi szolgáltatók költségére annak igazolása céljából, hogy e szolgáltatók és az általuk nyújtott minősített bizalmi szolgáltatások megfelelnek az e rendeletben megállapított követelményeknek. A személyes adatok védelmére vonatkozó szabályok vélhető megsértése esetén a felügyeleti szervnek indokolatlan késedelem nélkül tájékoztatnia kell az (EU) 2016/679 rendelet 51. cikke alapján létrehozott illetékes felügyeleti hatóságokat.

(3) Amennyiben a minősített bizalmi szolgáltató nem teljesíti az e rendeletben meghatározott követelmények valamelyikét, a felügyeleti szervnek adott esetben elő kell írnia számára, hogy meghatározott határidőn belül orvosolja a helyzetet.

Amennyiben a szolgáltató - adott esetben a felügyeleti szerv által megszabott határidőn belül - nem orvosolja a helyzetet, a felügyeleti szervnek - különösen, ha ez a mulasztás mértéke, időtartama és következményei miatt indokolt - vissza kell vonnia a szolgáltató vagy az általa nyújtott érintett szolgáltatás minősített státusát.

(3a) Amennyiben az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott illetékes hatóság arról tájékoztatja a felügyeleti szervet, hogy a minősített bizalmi szolgáltató nem teljesít valamely, az említett irányelv 21. cikkében meghatározott követelményt, a felügyeleti szervnek - különösen, ha ez a mulasztás mértéke, időtartama és következményei miatt indokolt - vissza kell vonnia a szolgáltató vagy az általa nyújtott érintett szolgáltatás minősített státusát.

(3b) Amennyiben az (EU) 2016/679 rendelet 51. cikke alapján létrehozott felügyeleti hatóság arról tájékoztatja a felügyeleti szervet, hogy a minősített bizalmi szolgáltató nem teljesít valamely, az említett rendeletben meghatározott követelményt, a felügyeleti szervnek - különösen, ha ez a mulasztás mértéke, időtartama és következményei miatt indokolt - vissza kell vonnia a szolgáltató vagy az általa nyújtott érintett szolgáltatás minősített státusát.

(3c) A felügyeleti szervnek tájékoztatnia kell a minősített bizalmi szolgáltatót a minősített státusának vagy az érintett szolgáltatás minősített státusának a visszavonásáról. A felügyeleti szervnek - az e rendelet 22. cikkének (1) bekezdésében említett bizalmi listák frissítése céljából - tájékoztatnia kell az említett cikk (3) bekezdése szerint bejelentett szervet, valamint az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott illetékes hatóságot.

(4) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a következőkre vonatkozóan:

a) az (1) bekezdésben említett megfelelőségértékelő szervezetek akkreditációja, valamint az (1) bekezdésben említett megfelelőségértékelési jelentés;

b) azon ellenőrzési követelmények, amelyek alapján a megfelelőségértékelő szervezetek elvégzik a minősített bizalmi szolgáltatóknak az (1) bekezdés szerinti megfelelőségértékelését, beleértve az összetett értékelést is;

c) a minősített bizalmi szolgáltatók megfelelőségértékelésének a megfelelőségértékelő szervezetek általi elvégzésére és az (1) bekezdésben említett jelentés benyújtására szolgáló megfelelőségértékelési rendszerek.

Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

21. cikk

Minősített bizalmi szolgáltatás elindítása

(1) Amennyiben bizalmi szolgáltatók minősített bizalmi szolgáltatás elindítását tervezik, értesíteniük kell e szándékukról a felügyeleti szervet, az értesítéshez egy megfelelőségértékelő szervezet által kibocsátott olyan megfelelőségértékelési jelentést is mellékelve, amely igazolja, hogy megfelelnek az e rendeletben és az (EU) 2022/2555 irányelv 21. cikkében megállapított követelményeknek.

(2) A felügyeleti szervnek ellenőriznie kell, hogy a bizalmi szolgáltató és az általa nyújtott bizalmi szolgáltatások megfelelnek-e e rendelet előírásainak, különösen a minősített bizalmi szolgáltatókra és az általuk nyújtott minősített bizalmi szolgáltatásokra vonatkozó előírásoknak.

Annak ellenőrzése érdekében, hogy a bizalmi szolgáltató megfelel-e az (EU) 2022/2555 irányelv 21. cikkében meghatározott követelményeknek, a felügyeleti szervnek fel kell kérnie az említett irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott illetékes hatóságokat, hogy hajtsák végre az ezzel kapcsolatos felügyeleti intézkedéseket, és indokolatlan késedelem nélkül, de minden esetben az említett felkérés kézhezvételétől számított két hónapon belül nyújtsanak tájékoztatást az eredményekről. Amennyiben az ellenőrzés az értesítéstől számított két hónapon belül nem zárul le, az említett illetékes hatóságoknak tájékoztatniuk kell a felügyeleti szervet a késedelem okairól és az ellenőrzés befejezésére kitűzött időpontról.

Amennyiben a felügyeleti szerv azt állapítja meg, hogy a bizalmi szolgáltató és az általa nyújtott bizalmi szolgáltatások megfelelnek az e rendeletben meghatározott követelményeknek, meg kell adnia a minősített státust a bizalmi szolgáltató és az általa nyújtott bizalmi szolgáltatások számára, valamint legkésőbb három hónappal az e cikk (1) bekezdése szerinti értesítést követően a 22. cikk (1) bekezdésében említett bizalmi listák frissítése céljából tájékoztatnia kell a 22. cikk (3) bekezdésében említett szervet.

Amennyiben az ellenőrzés az értesítéstől számított három hónapon belül nem zárul le, a felügyeleti szervnek tájékoztatnia kell erről a bizalmi szolgáltatót, megjelölve a késedelem okait és az ellenőrzés befejezésére kitűzött időpontot.

(3) A minősített bizalmi szolgáltatók azt követően indíthatják el a minősített bizalmi szolgáltatást, hogy a "minősített" státust feltüntették a 22. cikk (1) bekezdésében említett bizalmi listákon.

(4) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján megállapítja az értesítés és az ellenőrzés e cikk (1) és (2) bekezdésének céljából alkalmazandó formátumait és eljárásait. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

22. cikk

Bizalmi listák

(1) Valamennyi tagállam bizalmi listákat állít össze, tart fenn és tesz közzé, amelyeken szerepelnek a felelőssége alá tartozó minősített bizalmi szolgáltatókra vonatkozó információk, valamint az e szolgáltatók által nyújtott minősített bizalmi szolgáltatásokra vonatkozó információk.

(2) A tagállamok biztonságos módon, automatizált feldolgozásra alkalmas formában állítják össze, tartják fenn és teszik közzé az (1) bekezdésben említett, elektronikus aláírással vagy bélyegzővel ellátott bizalmi listákat.

(3) A tagállamok indokolatlan késedelem nélkül bejelentik a Bizottságnak a tagállami bizalmi listák összeállításáért, fenntartásáért és közzétételéért felelős szervre vonatkozó adatokat, és az ilyen listák közzétételi helyével, a bizalmi listák aláírással és bélyegzővel való ellátásához használt tanúsítvánnyal, valamint a mindezeket érintő változtatásokkal kapcsolatos részleteket.

(4) A Bizottság biztonságos csatornán keresztül, automatizált feldolgozásra alkalmas, elektronikus aláírással vagy bélyegzővel ellátott formátumban a nyilvánosság számára elérhetővé teszi a (3) bekezdésben említett adatokat.

(5) A Bizottság 2015. szeptember 18-ig végrehajtási jogi aktusok útján pontosíthatja az (1) bekezdésben meghatározott információkat, és meghatározhatja a bizalmi listákra vonatkozó, az (1)-(4) bekezdés értelmében alkalmazandó műszaki leírást és formátumokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

23. cikk

Minősített bizalmi szolgáltatások uniós bizalmi jegye

(1) Azt követően, hogy a 21. cikk (2) bekezdése második albekezdésében említett minősített státust feltüntették a 22. cikk (1) bekezdésében említett bizalmi listán, a minősített bizalmi szolgáltatók az általuk nyújtott minősített bizalmi szolgáltatások egyszerű, felismerhető és egyértelmű módon való feltüntetése céljából használhatják az uniós bizalmi jegyet.

(2) A minősített bizalmi szolgáltatóknak gondoskodniuk kell arról, hogy amennyiben alkalmazzák az uniós bizalmi jegyet az (1) bekezdésben említett minősített bizalmi szolgáltatásokra, honlapjukon link mutasson a vonatkozó bizalmi listára.

(3) A Bizottság 2015. július 1-ig végrehajtási jogi aktusok útján meghatározza a minősített bizalmi szolgáltatások uniós bizalmi jegyének formájára és különösen a megjelenésére, a felépítésére, a méretére és a formatervére vonatkozó részletszabályokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

24. cikk

A minősített bizalmi szolgáltatókra vonatkozó követelmények

(1) Minősített tanúsítvány vagy minősített elektronikus attribútumtanúsítvány kibocsátásakor a minősített bizalmi szolgáltatónak ellenőriznie kell annak a természetes vagy jogi személynek az azonosságát és - adott esetben - egyedi attribútumait, akinek vagy amelynek a részére a minősített tanúsítvány vagy a minősített elektronikus attribútumtanúsítvány kibocsátásra kerül.

(1a) Az azonosság (1) bekezdésben említett ellenőrzését a minősített bizalmi szolgáltatónak megfelelő eszközökkel, közvetlenül vagy harmadik fél révén kell elvégeznie az alábbi módszerek egyike alapján vagy szükség esetén azokat kombinálva, az (1c) bekezdésben említett végrehajtási jogi aktusokkal összhangban:

a) az európai digitális személyiadat-tárcával vagy olyan bejelentett elektronikus azonosító eszközzel, amely a "magas" biztonsági szint tekintetében megfelel a 8. cikkben meghatározott követelményeknek;

b) minősített elektronikus aláírásnak vagy minősített elektronikus bélyegzőnek az a), c) vagy d) ponttal összhangban kibocsátott tanúsítványával;

c) olyan egyéb azonosítási módszerek alkalmazásával, amelyek biztosítják a személy magas megbízhatósági szintű azonosítását, és amelyek megfelelőségét megfelelőségértékelő szervezetnek kell igazolnia;

d) a természetes személynek vagy a jogi személy meghatalmazott képviselőjének személyes jelenléte útján, megfelelő bizonyítékok és eljárások révén, a nemzeti joggal összhangban.

(1b) Az attribútumok (1) bekezdésben említett ellenőrzését a minősített bizalmi szolgáltatónak megfelelő eszközökkel, közvetlenül vagy harmadik fél révén kell elvégeznie az alábbi módszerek egyike alapján vagy szükség esetén azokat kombinálva, az (1c) bekezdésben említett végrehajtási jogi aktusokkal összhangban:

a) az európai digitális személyiadat-tárcával vagy olyan bejelentett elektronikus azonosító eszközzel, amely a "magas" biztonsági szint tekintetében megfelel a 8. cikkben meghatározott követelményeknek;

b) minősített elektronikus aláírásnak vagy minősített elektronikus bélyegzőnek az (1a) bekezdés a), c) vagy d) pontjával összhangban kibocsátott tanúsítványával;

c) minősített elektronikus attribútumtanúsítvánnyal;

d) olyan egyéb módszerek alkalmazásával, amelyek biztosítják az attribútumok magas megbízhatósági szintű ellenőrzését, és amelyek megfelelőségét megfelelőségértékelő szervezetnek kell igazolnia;

e) a természetes személynek vagy a jogi személy meghatalmazott képviselőjének személyes jelenléte útján, megfelelő bizonyítékok és eljárások révén, a nemzeti joggal összhangban.

"(1c) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén technikai specifikációkat és eljárásokat állapít meg az azonosság és az attribútumok e cikk (1), (1a) és (1b) bekezdésével összhangban történő ellenőrzésére vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében vizsgálóbizottsági eljárás keretében kell elfogadni.";

(2) A minősített bizalmi szolgáltatást nyújtó minősített bizalmi szolgáltató köteles:

a) értesíteni a felügyeleti szervet legalább egy hónappal a minősített bizalmi szolgáltatásai nyújtásában bekövetkező bármely változás végrehajtása előtt, illetve az említett tevékenységek beszüntetésének szándéka esetén legalább három hónappal a tevékenységek beszüntetése előtt;

b) olyan munkatársakat és adott esetben olyan alvállalkozókat alkalmazni, akik megbízhatóak, rendelkeznek a szükséges szakértelemmel, tapasztalattal és képesítésekkel, valamint megfelelő képzésben részesültek a biztonságra és a személyes adatok védelmére vonatkozó szabályokkal kapcsolatban, továbbá köteles olyan igazgatási és ügyvezetési eljárásokat alkalmazni, amelyek megfelelnek az európai és nemzetközi szabványoknak;

c) a 13. cikk szerinti kártérítési felelősség kockázata tekintetében megfelelő pénzügyi forrásokkal és/vagy megfelelő felelősségbiztosítással rendelkezni a nemzeti joggal összhangban;

d) a szerződéskötést megelőzően közérthetően, teljeskörűen és könnyen hozzáférhető formában, nyilvánosan elérhető helyen és egyénileg tájékoztatni a minősített bizalmi szolgáltatást igénybe venni kívánó személyt a szolgáltatás igénybevételére vonatkozó pontos szerződési feltételekről, beleértve az igénybevételre vonatkozó bármely korlátozást is;

e) olyan megbízható rendszereket és termékeket használni, amelyek védettek a módosításokkal szemben, és biztosítják az általuk támogatott eljárások műszaki biztonságát és megbízhatóságát, többek között megfelelő kriptográfiai technikák alkalmazásával;

f) megbízható rendszereket használni a számára szolgáltatott adatok ellenőrizhető formában történő tárolására, olyan módon, hogy:

i. az adatok kizárólag annak a személynek a hozzájárulásával legyenek nyilvánosan kereshetők, akire az adatok vonatkoznak;

ii. kizárólag arra feljogosított személyek végezhessenek bejegyzéseket és változtatásokat a tárolt adatokon;

iii. ellenőrizhető legyen az adatok hitelessége;

fa) az (EU) 2022/2555 irányelv 21. cikke ellenére, megfelelő szabályzatokkal rendelkezni és megfelelő intézkedéseket hozni a minősített bizalmi szolgáltatás nyújtásával kapcsolatos jogi, üzleti, működési és egyéb közvetlen vagy közvetett kockázatok kezelésére, beleértve legalább a következőkkel kapcsolatos intézkedéseket:

i. a szolgáltatással kapcsolatos regisztrációra és beléptetésre vonatkozó eljárások;

ii. eljárási vagy adminisztratív ellenőrzések;

iii. a szolgáltatások irányítása és végrehajtása;

fb) a biztonságnak a szolgáltatás nyújtása vagy az fa) pont i., ii. és iii. alpontjában említett intézkedések végrehajtása során bekövetkező minden olyan megsértéséről vagy a szolgáltatás nyújtása vagy az fa) pont i., ii. vagy iii. alpontjában említett intézkedések végrehajtása során bekövetkező minden olyan zavarról, amely jelentős hatást gyakorol a nyújtott bizalmi szolgáltatásra vagy az annak keretében tárolt személyes adatokra, indokolatlan késedelem nélkül, de legkésőbb a biztonság megsértéséről vagy a zavarról való tudomásszerzéstől számított 24 órán belül értesíteni a felügyeleti szervet, az azonosítható érintett személyeket, adott esetben más érintett illetékes szerveket, valamint a felügyeleti szerv kérésére a nyilvánosságot, amennyiben az közérdekű.

g) megfelelő intézkedéseket hozni az adathamisítás, adatlopás vagy jogosulatlan adatfelhasználás, illetve az adatok jogosulatlan törlése, megváltoztatása vagy hozzáférhetetlenné tétele ellen;

h) a minősített bizalmi szolgáltató tevékenységeinek beszüntetését követően a szükséges időre rögzíteni és hozzáférhetővé tenni az általa kibocsátott vagy általa kapott adatokra vonatkozó összes lényeges információt bizonyítékok bírósági eljárások során történő bemutatása, valamint a szolgáltatás folytonosságának biztosítása céljából. Az ilyen adatrögzítés elektronikus úton is végezhető;

i) a felügyeleti szerv által a 46b. cikk (4) bekezdésének i) pontja szerint ellenőrzött rendelkezéseknek megfelelő, a szolgáltatás megszüntetésére vonatkozó naprakész tervvel rendelkezni a szolgáltatás folytonosságának biztosítása érdekében;

k) minősített tanúsítványokat kibocsátó minősített bizalmi szolgáltatók esetében tanúsítvány-adatbázist létrehozni és naprakészen tartani.

A felügyeleti szerv az első albekezdés a) pontja szerint bejelentett információkon kívül is bekérhet információkat, illetve bekérheti a megfelelőségértékelés eredményét, és feltételekhez kötheti a minősített bizalmi szolgáltatások tervezett változtatásainak végrehajtására vonatkozó engedély megadását. Amennyiben az ellenőrzés az értesítéstől számított három hónapon belül nem zárul le, a felügyeleti szervnek tájékoztatnia kell erről a bizalmi szolgáltatót, megjelölve a késedelem okait és az ellenőrzés befejezésére kitűzött időpontot;

(3) Amennyiben a minősített tanúsítványt kibocsátó minősített bizalmi szolgáltatók egy tanúsítvány visszavonása mellett döntenek, kellő időben, de minden esetben a kérelem kézhezvételét követő 24 órán belül rögzíteniük kell tanúsítvány-adatbázisukban a visszavonást, és közzé kell tenniük a tanúsítvány visszavont státusát. A visszavonás a közzétételét követően azonnal hatályossá válik.

(4) Tekintettel a (3) bekezdésre, a minősített tanúsítványt kibocsátó minősített bizalmi szolgáltatónak tájékoztatnia kell a szolgáltatást igénybe vevő felet az általa kibocsátott minősített tanúsítványok érvényességéről vagy visszavont státusáról. Ennek az információnak - legalább tanúsítványonként - megbízható, ingyenes és hatékony automatizált formában bármikor, a tanúsítvány érvényességi idejének lejártát követően is elérhetőnek kell lennie.

(4a) A (3) és a (4) bekezdést ennek megfelelően alkalmazni kell a minősített elektronikus attribútumtanúsítványok visszavonására.

(4b) A Bizottság felhatalmazást kap arra, hogy a 47. cikknek megfelelően, felhatalmazáson alapuló jogi aktusok útján további, az e cikk (2) bekezdésének fa) pontjában említett intézkedéseket állapítson meg.

(5) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (2) bekezdésében említett követelményekre vonatkozóan. Az e szabványoknak, specifikációknak és eljárásoknak való megfelelés esetén vélelmezni kell az e bekezdésben foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

24a. cikk

A minősített bizalmi szolgáltatások elismerése

(1) A valamely tagállamban kibocsátott minősített tanúsítványon alapuló minősített elektronikus aláírásokat és a valamely tagállamban kibocsátott minősített tanúsítványon alapuló minősített elektronikus bélyegzőket az összes többi tagállamban el kell ismerni minősített elektronikus aláírásként, illetve minősített elektronikus bélyegzőként.

(2) A valamely tagállamban tanúsított, minősített elektronikus aláírást létrehozó eszközöket, illetve minősített elektronikus bélyegzőt létrehozó eszközöket az összes többi tagállamban el kell ismerni minősített elektronikus aláírást létrehozó eszközként, illetve minősített elektronikus bélyegzőt létrehozó eszközként.

(3) Az elektronikus aláírások, illetve az elektronikus bélyegzők valamely tagállamban kibocsátott, minősített tanúsítványát, valamint a valamely tagállamban nyújtott, távoli minősített elektronikus aláírást létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatást, illetve távoli minősített elektronikus bélyegzőt létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatást az összes többi tagállamban el kell ismerni elektronikus aláírások, illetve elektronikus bélyegzők minősített tanúsítványaként, valamint távoli minősített elektronikus aláírást létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatásként, illetve távoli minősített elektronikus bélyegzőt létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatásként.

(4) A valamely tagállamban nyújtott, minősített elektronikus aláírást érvényesítő minősített érvényesítési szolgáltatást, illetve minősített elektronikus bélyegzőt érvényesítő minősített érvényesítési szolgáltatást az összes többi tagállamban el kell ismerni minősített elektronikus aláírást érvényesítő minősített érvényesítési szolgáltatásként, illetve minősített elektronikus bélyegzőt érvényesítő minősített érvényesítési szolgáltatásként.

(5) A valamely tagállamban nyújtott, minősített elektronikus aláírások megőrzésére vonatkozó minősített szolgáltatást, illetve minősített elektronikus bélyegzők megőrzésére vonatkozó minősített szolgáltatást az összes többi tagállamban el kell ismerni minősített elektronikus aláírások megőrzésére vonatkozó minősített szolgáltatásként, illetve minősített elektronikus bélyegzők megőrzésére vonatkozó minősített szolgáltatásként.

(6) A valamely tagállamban kiadott, minősített elektronikus időbélyegzőt az összes többi tagállamban el kell ismerni minősített elektronikus időbélyegzőként.

(7) A valamely tagállamban kibocsátott, minősített weboldal-hitelesítő tanúsítványt az összes többi tagállamban el kell ismerni minősített weboldal-hitelesítő tanúsítványként.

(8) A valamely tagállamban nyújtott, minősített ajánlott elektronikus kézbesítési szolgáltatást az összes többi tagállamban el kell ismerni minősített ajánlott elektronikus kézbesítési szolgáltatásként.

(9) A valamely tagállamban kibocsátott, minősített elektronikus attribútumtanúsítványt az összes többi tagállamban el kell ismerni minősített elektronikus attribútumtanúsítványként.

(10) A valamely tagállamban nyújtott, minősített elektronikus archiválási szolgáltatást az összes többi tagállamban el kell ismerni minősített elektronikus archiválási szolgáltatásként.

(11) A valamely tagállamban vezetett, minősített elektronikus főkönyvet az összes többi tagállamban el kell ismerni minősített elektronikus főkönyvként.

4. SZAKASZ

Elektronikus aláírás

25. cikk

Az elektronikus aláírás joghatása

(1) Az elektronikus aláírás joghatása és bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú, illetve nem felel meg a minősített elektronikus aláírásra vonatkozó követelményeknek.

(2) A minősített elektronikus aláírás a saját kezű aláírással azonos joghatású.

26. cikk

A fokozott biztonságú elektronikus aláírásra vonatkozó követelmények

A fokozott biztonságú elektronikus aláírásnak az alábbi követelményeknek kell megfelelnie:

a) kizárólag az aláíróhoz köthető;

b) alkalmas az aláíró azonosítására;

c) olyan, elektronikus aláírás létrehozásához használt adatok felhasználásával hozzák létre, amelyeket az aláíró nagy megbízhatósággal kizárólag saját maga használhat;

d) olyan módon kapcsolódik azokhoz az adatokhoz, amelyeket aláírtak vele, hogy az adatok minden későbbi változása nyomon követhető.

(2) 2026. május 21-ig a Bizottság értékeli, hogy szükség van-e olyan végrehajtási jogi aktusok elfogadására, amelyek útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a fokozott biztonságú elektronikus aláírásokra vonatkozóan. Ezen értékelés alapján a Bizottság ilyen végrehajtási jogi aktusokat fogadhat el. Amennyiben egy fokozott biztonságú elektronikus aláírás megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell, hogy az aláírás a fokozott biztonságú elektronikus aláírásokra vonatkozó követelményeknek is megfelel. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

27. cikk

Elektronikus aláírások használata a közigazgatásban

(1) Ha egy tagállam egy közigazgatási szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához fokozott biztonságú elektronikus aláírás alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie azokat a fokozott biztonságú elektronikus aláírásokat, elektronikus aláírás minősített tanúsítványán alapuló, fokozott biztonságú elektronikus aláírásokat és minősített elektronikus aláírásokat, amelyeket legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy módszerek alkalmazásával hoztak létre.

(2) Ha egy tagállam egy közigazgatási szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához minősített tanúsítványon alapuló, fokozott biztonságú elektronikus aláírás alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie azokat a minősített tanúsítványon alapuló, fokozott biztonságú elektronikus aláírásokat és a minősített elektronikus aláírásokat, amelyeket legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy módszerek alkalmazásával hoztak létre.

(3) A közigazgatási szervek által nyújtott online szolgáltatások határokon átnyúló igénybevétele tekintetében a tagállamok nem követelhetnek meg a minősített elektronikus aláírásnál magasabb biztonsági szintű elektronikus aláírást.

(5) 2015. szeptember 18-ig, és figyelembe véve a jelenlegi gyakorlatot, szabványokat és uniós jogi aktusokat, a Bizottság végrehajtási jogi aktusok útján meghatározza a fokozott biztonságú elektronikus aláírások referenciaformátumait, illetve az alternatív formátumok használata esetén alkalmazandó referencia-módszereket. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

28. cikk

Elektronikus aláírások minősített tanúsítványai

(1) Az elektronikus aláírások minősített tanúsítványainak meg kell felelniük az I. mellékletben foglalt követelményeknek.

(2) Az elektronikus aláírások minősített tanúsítványaira nem vonatkozhatnak olyan kötelező követelmények, amelyek az I. mellékletben foglalt előírásokat meghaladják.

(3) Az elektronikus aláírások minősített tanúsítványain további, nem kötelező jellegű egyedi jellemzőket is fel lehet tüntetni. Ezek a jellemzők nem érinthetik a minősített elektronikus aláírások interoperabilitását és elismerését.

(4) Ha az elektronikus aláírás minősített tanúsítványát a kezdeti aktiválást követően visszavonják, a tanúsítvány a visszavonás időpontjában érvényességét veszti, státusa pedig semmilyen körülmények között nem állítható vissza.

(5) A tagállamok az alábbi feltételek mellett nemzeti szabályokat határozhatnak meg az elektronikus aláírás minősített tanúsítványának ideiglenes felfüggesztésére vonatkozóan:

a) ha egy elektronikus aláírás minősített tanúsítványát ideiglenesen felfüggesztik, a tanúsítvány a felfüggesztés időtartamára érvényét veszti;

b) a felfüggesztés időtartamát egyértelműen fel kell tüntetni a tanúsítványok adatbázisában oly módon, hogy a felfüggesztett státus a felfüggesztés időtartama alatt látható legyen a tanúsítvány státusáról tájékoztatást nyújtó szolgáltatás igénybevétele során.

(6) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az elektronikus aláírások minősített tanúsítványaira vonatkozóan. Amennyiben az elektronikus aláírás minősített tanúsítványa megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az I. mellékletben foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

29. cikk

A minősített elektronikus aláírást létrehozó eszközökre vonatkozó követelmények

(1) A minősített elektronikus aláírást létrehozó eszközöknek meg kell felelniük a II. mellékletben foglalt követelményeknek.

(1a) Az elektronikus aláírás létrehozásához használt adatok előállítását és kezelését vagy az ilyen aláírás létrehozására használt adatok adatmentési célból történő másolását csak az aláíró nevében - az aláíró kérésére - lehet végezni, és csak távoli minősített elektronikus aláírást létrehozó eszközök kezelésére irányuló minősített bizalmi szolgáltatást nyújtó minősített bizalmi szolgáltató által.

(2) A Bizottság végrehajtási jogi aktusok útján összeállíthatja a minősített elektronikus aláírást létrehozó eszközökre vonatkozó szabványok hivatkozási számainak listáját. Amennyiben a minősített elektronikus aláírást létrehozó eszköz megfelel ezeknek a szabványoknak, vélelmezni kell a II. mellékletben foglalt követelmények teljesülését. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

29a. cikk

Távoli minősített elektronikus aláírást létrehozó eszközök kezelésére irányuló minősített szolgáltatásra vonatkozó követelmények

(1) Távoli minősített elektronikus aláírást létrehozó eszközök kezelését minősített szolgáltatásként csak olyan minősített bizalmi szolgáltató végezheti, amely:

a) az aláíró nevében állít elő és kezel az elektronikus aláírás létrehozásához használt adatokat;

b) a II. melléklet 1. pontjának d) alpontja ellenére - kizárólag adatmentési célból - biztonsági másolatot készít az elektronikus aláírás létrehozásához használt adatokról, feltéve, hogy teljesülnek a következő követelmények:

i. a biztonsági adatállomány ugyanolyan biztonságos, mint az eredeti adatállomány;

ii. a biztonsági adatállományok száma nem haladhatja meg a szolgáltatás folytonosságának biztosításához minimálisan szükséges mennyiséget;

c) megfelel a minősített elektronikus aláírást létrehozó eszközre vonatkozóan a 30. cikk szerint kiadott tanúsítási jelentésben meghatározott követelményeknek.

(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg e cikk (1) bekezdésének alkalmazása céljából. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

30. cikk

A minősített elektronikus aláírást létrehozó eszközök tanúsítása

(1) A tagállamok által kijelölt megfelelő állami vagy magánszervek tanúsítják, hogy a minősített elektronikus aláírást létrehozó eszközök megfelelnek a II. mellékletben meghatározott követelményeknek.

(2) A tagállamok tájékoztatják a Bizottságot az (1) bekezdés alapján általuk kijelölt állami vagy magánszerv nevéről és címéről. A Bizottság ezt az információt a tagállamok rendelkezésére bocsátja.

(3) Az (1) bekezdésben említett tanúsításnak az alábbiak egyikén kell alapulnia:

a) biztonságértékelési eljárás, amelyet a második albekezdéssel összhangban létrehozott listán szereplő, információtechnológiai termékek biztonságának értékelésére vonatkozó szabványok egyikének megfelelően hajtottak végre.; vagy

b) az a) pontban említettől eltérő eljárás, feltéve, hogy összehasonlítható biztonsági szintet biztosít, és feltéve, hogy az (1) bekezdésben említett állami vagy magánszerv értesítette a Bizottságot erről az eljárásról. Ez az eljárás csak az a) pontban említett szabványok hiányában alkalmazható, vagy akkor, ha az a) pontban említett biztonságértékelési eljárás folyamatban van.

A Bizottság végrehajtási jogi aktusok útján létrehozza az a) pontban említett információtechnológiai termékek biztonságának értékelésére vonatkozó szabványok listáját. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni

(3a) Az (1) bekezdésben említett tanúsítás legfeljebb öt évig lehet érvényes, feltéve, hogy kétévente sebezhetőségi értékelést végeznek. Amennyiben sebezhetőségeket azonosítanak, de azokat nem orvosolják, a tanúsítást törölni kell.

(4) A Bizottság felhatalmazást kap arra, hogy a 47. cikkel összhangban felhatalmazáson alapuló jogi aktusokat fogadjon el az e cikk (1) bekezdésében említett kijelölt szervek által teljesítendő részletes feltételek meghatározása céljából.

31. cikk

A minősített elektronikus aláírást létrehozó tanúsított eszközök listájának közzététele

(1) A tagállamok indokolatlan késedelem nélkül, de legkésőbb egy hónappal a tanúsítás lezárultát követően bejelentik a Bizottságnak a 30. cikk (1) bekezdésében említett szervek által tanúsított, minősített elektronikus aláírást létrehozó eszközökre vonatkozó adatokat. A tagállamok kötelesek továbbá indokolatlan késedelem nélkül, de legkésőbb egy hónappal a tanúsítás visszavonását követően bejelenteni a Bizottságnak a tanúsítvánnyal már nem rendelkező, elektronikus aláírást létrehozó eszközökre vonatkozó adatokat.

(2) A beérkezett adatok alapján a Bizottság összeállítja, közzéteszi és fenntartja a, minősített elektronikus aláírást létrehozó tanúsított eszközök listáját.

(3) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján meghatározza az e cikk (1) bekezdésének céljából alkalmazandó formátumokat és eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

32. cikk

A minősített elektronikus aláírás érvényesítésére vonatkozó követelmények

(1) A minősített elektronikus aláírás érvényesítésére szolgáló eljárás megállapítja a minősített elektronikus aláírás érvényességét, amennyiben:

a) az aláírást igazoló tanúsítvány az aláírás időpontjában elektronikus aláírás olyan minősített tanúsítványa volt, amely megfelel az I. mellékletnek;

b) a minősített tanúsítványt minősített bizalmi szolgáltató bocsátotta ki, és az az aláírás időpontjában érvényes volt;

c) az aláírás-érvényesítési adatok megfelelnek a szolgáltatást igénybe vevő fél számára megadott adatoknak;

d) a szolgáltatást igénybe vevő fél pontosan megkapja a tanúsítványban az aláírót azonosító egyedi adatokat;

e) amennyiben az aláírás időpontjában álnév használatára került sor, az álnév használatának tényét egyértelműen feltüntették a szolgáltatást igénybe vevő fél számára;

f) az elektronikus aláírást minősített elektronikus aláírást létrehozó eszközzel állították elő;

g) az aláírt adatok sértetlensége nem került veszélybe;

h) az aláírás időpontjában teljesültek a 26. cikkben foglalt követelmények;

Amennyiben a minősített elektronikus aláírások érvényesítése megfelel a (3) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az e bekezdés első albekezdésében foglalt követelményeknek való megfelelést.

(2) A minősített elektronikus aláírás érvényesítésére használt rendszernek biztosítania kell az érvényesítési eljárás pontos eredményét a szolgáltatást igénybe vevő fél számára, és lehetővé kell tennie, hogy a szolgáltatást igénybe vevő fél minden, a biztonságot érintő problémát észleljen.

(3) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített elektronikus aláírások érvényesítésére vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

32a. cikk

A minősített tanúsítványokon alapuló, fokozott biztonságú elektronikus aláírások érvényesítésére vonatkozó követelmények

(1) A minősített tanúsítványokon alapuló, fokozott biztonságú elektronikus aláírások érvényesítésére szolgáló eljárás keretében meg kell állapítani a minősített tanúsítványon alapuló, fokozott biztonságú elektronikus aláírás érvényességét, feltéve, hogy:

a) az aláírást igazoló tanúsítvány az aláírás időpontjában elektronikus aláírás olyan minősített tanúsítványa volt, amely megfelel az I. mellékletnek;

b) a minősített tanúsítványt minősített bizalmi szolgáltató bocsátotta ki, és az az aláírás időpontjában érvényes volt;

c) az aláírás-érvényesítési adatok megfelelnek az igénybe vevő fél számára megadott adatoknak;

d) az igénybe vevő fél pontosan megkapja a tanúsítványban az aláírót azonosító egyedi adatokat;

e) amennyiben az aláírás időpontjában álnév használatára került sor, az álnév használatának tényét egyértelműen feltüntették az igénybe vevő fél számára;

f) az aláírt adatok sértetlensége nem került veszélybe;

g) az aláírás időpontjában teljesültek a 26. cikkben foglalt követelmények.

(2) A minősített tanúsítványokon alapuló, fokozott biztonságú elektronikus aláírások érvényesítésére használt rendszernek biztosítania kell az érvényesítési eljárás pontos eredményét az igénybe vevő fél számára, és lehetővé kell tennie, hogy az igénybe vevő fél minden, a biztonságot érintő problémát észleljen.

(3) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített tanúsítványokon alapuló, fokozott biztonságú elektronikus aláírások érvényesítésére vonatkozóan. Amennyiben a minősített tanúsítványokon alapuló, fokozott biztonságú elektronikus aláírások érvényesítése megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az e cikk (1) bekezdésében foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

33. cikk

Minősített elektronikus aláírást érvényesítő minősített érvényesítési szolgáltatás

(1) Minősített elektronikus aláírást érvényesítő minősített érvényesítési szolgáltatást kizárólag olyan minősített bizalmi szolgáltató nyújthat, amely:

a) a 32. cikk (1) bekezdésének megfelelő érvényesítést biztosít; és

b) lehetővé teszi a szolgáltatást igénybe vevő felek részére, hogy olyan automatizált módon kapják meg az érvényesítési eljárás eredményét, amely megbízható és hatékony, és amelyet a minősített érvényesítési szolgáltatás biztosítójának fokozott biztonságú elektronikus aláírásával vagy fokozott biztonságú elektronikus bélyegzőjével láttak el.

(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1) bekezdésében említett minősített érvényesítési szolgáltatásra vonatkozóan. Amennyiben a minősített elektronikus aláírást érvényesítő minősített érvényesítési szolgáltatás megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az e cikk (1) bekezdésében foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

34. cikk

Minősített elektronikus aláírás megőrzésére vonatkozó minősített szolgáltatás

(1) Minősített elektronikus aláírás megőrzésére vonatkozó minősített szolgáltatást kizárólag olyan minősített bizalmi szolgáltató nyújthat, amely olyan eljárásokat és technológiákat alkalmaz, amelyek képesek a minősített elektronikus aláírás megbízhatóságát a technológiai érvényességi időn túlra is kiterjeszteni.

(1a) Amennyiben a minősített elektronikus aláírások megőrzésére vonatkozó minősített szolgáltatás megfelel a (2) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az (1) bekezdésben foglalt követelményeknek való megfelelést.

(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített elektronikus aláírások megőrzésére vonatkozó minősített szolgáltatásra vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

5. SZAKASZ

Elektronikus bélyegzők

35. cikk

Az elektronikus bélyegző joghatása

(1) Az elektronikus bélyegző joghatása és bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formában létezik, illetve nem felel meg a minősített elektronikus bélyegzőkre vonatkozó követelményeknek.

(2) A minősített elektronikus bélyegzők esetében vélelmezni kell a hozzájuk kapcsolódó adatok sértetlenségét és a bélyegzőnek megfelelő eredetét.

36. cikk

Fokozott biztonságú elektronikus bélyegzőkre vonatkozó követelmények

A fokozott biztonságú elektronikus bélyegzőnek az alábbi követelményeknek kell megfelelnie:

a) kizárólag a bélyegző létrehozójához kötött;

b) alkalmas a bélyegző létrehozójának azonosítására;

c) olyan, elektronikus bélyegző létrehozásához használt adatok felhasználásával hozzák létre, amelyeket a bélyegző létrehozója nagy megbízhatósággal kizárólag saját maga elektronikus bélyegző létrehozására használhat;

d) olyan módon kapcsolódik azokhoz az adatokhoz, amelyekre vonatkozik, hogy az adatok minden későbbi változása nyomon követhető;

(2) 2026. május 21-ig a Bizottság elvégzi annak értékelését, hogy szükség van-e olyan végrehajtási jogi aktusok elfogadására, amelyek útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a fokozott biztonságú elektronikus bélyegzőkre vonatkozóan. Az értékelés eredménye alapján a Bizottság ilyen végrehajtási jogi aktusokat fogadhat el. Amennyiben egy fokozott biztonságú elektronikus bélyegző megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell, hogy a bélyegző a fokozott biztonságú elektronikus bélyegzőkre vonatkozó követelményeket is teljesíti. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

37. cikk

Elektronikus bélyegzők használata a közigazgatásban

(1) Ha egy tagállam egy közigazgatási szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához fokozott biztonságú elektronikus bélyegző alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy az ott említett módszerek alkalmazásával létrehozott fokozott biztonságú elektronikus bélyegzőket, elektronikus bélyegzők minősített tanúsítványain alapuló, fokozott biztonságú elektronikus bélyegzőket és minősített elektronikus bélyegzőket.

(2) Ha egy tagállam egy közigazgatási szerv által vagy egy ilyen szerv nevében nyújtott online szolgáltatás használatához elektronikus bélyegző minősített tanúsítványán alapuló, fokozott biztonságú elektronikus bélyegző alkalmazását írja elő, akkor ennek a tagállamnak el kell ismernie az elektronikus bélyegző minősített tanúsítványán alapuló, fokozott biztonságú elektronikus bélyegzőket és a minősített elektronikus bélyegzőket legalább az (5) bekezdésben említett végrehajtási jogi aktusokban meghatározott formátumokban vagy alkalmazási módszerekben.

(3) A közigazgatási szervek által nyújtott online szolgáltatások határokon átnyúló igénybevétele tekintetében a tagállamok nem követelhetnek meg a minősített elektronikus bélyegzőnél magasabb biztonsági szintű elektronikus bélyegzőt.

(5) 2015. szeptember 18-ig, és figyelembe véve a jelenlegi gyakorlatot, szabványokat és az Unió jogi aktusait, a Bizottság végrehajtási jogi aktusok útján meghatározza a fokozott biztonságú elektronikus bélyegzők referenciaformátumait, illetve az alternatív formátumok használata esetén alkalmazandó referencia-módszereket. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban kell elfogadni.

38. cikk

Elektronikus bélyegzők minősített tanúsítványai

(1) Az elektronikus bélyegzők minősített tanúsítványainak meg kell felelniük a III. mellékletben foglalt követelményeknek.

(2) Az elektronikus bélyegzők minősített tanúsítványaira nem vonatkozhatnak olyan kötelező követelmények, amelyek a III. mellékletben foglalt előírásokat meghaladják.

(3) Az elektronikus bélyegzők minősített tanúsítványain további, nem kötelező jellegű egyedi jellemzők is feltüntethetők. Ezek a jellemzők nem érinthetik a minősített elektronikus bélyegzők interoperabilitását és elismerését.

(4) Ha az elektronikus bélyegző minősített tanúsítványát a kezdeti aktiválást követően visszavonják, a tanúsítvány a visszavonás időpontjában érvényét veszti, státusa pedig semmilyen körülmények között nem állítható vissza.

(5) A tagállamok az alábbi feltételek mellett nemzeti szabályokat határozhatnak meg az elektronikus bélyegzők minősített tanúsítványai ideiglenes felfüggesztésére vonatkozóan:

a) ha egy elektronikus bélyegző minősített tanúsítványát ideiglenesen felfüggesztik, a tanúsítvány a felfüggesztés időtartamára érvényét veszti;

b) a felfüggesztés időtartamát egyértelműen fel kell tüntetni a tanúsítványok adatbázisában oly módon, hogy a felfüggesztett státus a felfüggesztés időtartama alatt látható legyen a tanúsítvány státusáról tájékoztatást nyújtó szolgáltatás igénybevétele során.

(6) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az elektronikus bélyegzők minősített tanúsítványaira vonatkozóan. Amennyiben az elektronikus bélyegző minősített tanúsítványa megfelel ezeknek a szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell a III. mellékletben foglalt követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

39. cikk

Minősített elektronikus bélyegzőt létrehozó eszközök

(1) A 29. cikket értelemszerűen alkalmazni kell a minősített elektronikus bélyegzőt létrehozó eszközökre vonatkozó követelményekre.

(2) A 30. cikket értelemszerűen alkalmazni kell a minősített elektronikus bélyegzőt létrehozó eszközök tanúsítására.

(3) A 31. cikket értelemszerűen alkalmazni kell a tanúsított, minősített elektronikus bélyegzőt létrehozó eszközök listájának közzétételére.

39a. cikk

Távoli minősített elektronikus bélyegzőt létrehozó eszközök kezelésére irányuló minősített szolgáltatásra vonatkozó követelmények

A 29a. cikket értelemszerűen alkalmazni kell a távoli minősített elektronikus bélyegzőt létrehozó eszközök kezelésére irányuló minősített szolgáltatásra.

40. cikk

A minősített elektronikus bélyegzők érvényesítése és megőrzése

A 32., 33. és 34. cikket értelemszerűen alkalmazni kell a minősített elektronikus bélyegzők érvényesítésére és megőrzésére.

40a. cikk

A minősített tanúsítványokon alapuló fokozott biztonságú elektronikus bélyegzők érvényesítésére vonatkozó követelmények

A 32a. cikket értelemszerűen alkalmazni kell a minősített tanúsítványokon alapuló fokozott biztonságú elektronikus bélyegzők érvényesítésére.

6. SZAKASZ

Elektronikus időbélyegző

41. cikk

Az elektronikus időbélyegző joghatása

(1) Az elektronikus időbélyegző joghatása és bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú, illetve nem felel meg a minősített elektronikus időbélyegzőkre vonatkozó követelményeknek.

(2) A minősített elektronikus időbélyegző esetében vélelmezni kell az általa feltüntetett dátum és időpont pontosságát, valamint az adott dátumhoz és időponthoz kapcsolt adatok sértetlenségét.

42. cikk

A minősített elektronikus időbélyegzőre vonatkozó követelmények

(1) A minősített elektronikus időbélyegzőnek az alábbi követelményeknek kell megfelelnie:

a) az adatokat oly módon kell a dátumhoz és az időponthoz kapcsolnia, hogy az ésszerű mértékben kizárja az adatok észrevétlen megváltoztatásának lehetőségét;

b) az egyezményes koordinált világidőhöz kötött pontos időforráson kell alapulnia; és

c) a minősített bizalmi szolgáltató fokozott biztonságú elektronikus aláírásával vagy fokozott biztonságú elektronikus bélyegzőjével, vagy más egyenértékű módszerrel kell ellenjegyezni.

(1a) Amennyiben a dátumnak és az időpontnak az adatokhoz való hozzárendelése, valamint az időforrás pontossága megfelel a (2) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az (1) bekezdésben foglalt követelményeknek való megfelelést.

(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a dátumnak és az időpontnak az adatokhoz való hozzárendelésére, valamint az időforrások pontosságának meghatározására vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

7. SZAKASZ

Ajánlott elektronikus kézbesítési szolgáltatás

43. cikk

Az ajánlott elektronikus kézbesítési szolgáltatás joghatása

(1) Az ajánlott elektronikus kézbesítési szolgáltatás alkalmazásával küldött és fogadott adatok joghatása és bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy azok elektronikus formában állnak rendelkezésre, illetve nem felelnek meg a minősített ajánlott elektronikus kézbesítési szolgáltatásra vonatkozó követelményeknek.

(2) A minősített ajánlott elektronikus kézbesítési szolgáltatás alkalmazásával küldött és fogadott adatok esetében vélelmezni kell azok sértetlenségét, az adatok küldésének az azonosított küldő és az adatok fogadásának az azonosított fogadó általi végrehajtása tényét, valamint az adatküldésnek és -fogadásnak a minősített ajánlott elektronikus kézbesítési szolgáltatás által feltüntetett dátuma és időpontja pontosságát.

44. cikk

A minősített ajánlott elektronikus kézbesítési szolgáltatásokra vonatkozó követelmények

(1) A minősített ajánlott elektronikus kézbesítési szolgáltatásoknak az alábbi követelményeknek kell megfelelniük:

a) egy vagy több minősített bizalmi szolgáltató nyújtja a szolgáltatásokat;

b) lehetővé teszik azt, hogy nagy biztonsággal lehessen azonosítani a küldőt;

c) az adat kézbesítése előtt biztosítaniuk kell a fogadó azonosítását;

d) az adatküldést és az adatfogadást egy minősített bizalmi szolgáltató fokozott biztonságú elektronikus aláírásával vagy fokozott biztonságú elektronikus bélyegzőjével kell biztonságossá tenni olyan módon, hogy az kizárja az adatok észrevétlen megváltoztatásának lehetőségét;

e) az adatküldéshez vagy -fogadáshoz szükséges minden adatmódosítást világosan fel kell tüntetni az adatok küldője és címzettje számára;

f) az adatok küldésének, fogadásának és módosításának dátumát és időpontját minősített elektronikus időbélyegzővel fel kell tüntetni;

Két vagy több minősített bizalmi szolgáltató között történő adattovábbítás esetén az a)-f) pont követelményei valamennyi minősített bizalmi szolgáltatóra vonatkozóan alkalmazandók.

(1a) Amennyiben az adatküldés és az adatfogadás folyamata megfelel a (2) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az (1) bekezdésben foglalt követelményeknek való megfelelést.

(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az adatküldés és az adatfogadás folyamatára vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(2a) A minősített ajánlott elektronikus kézbesítési szolgáltatásokat nyújtó szolgáltatók megállapodhatnak az általuk nyújtott minősített ajánlott elektronikus kézbesítési szolgáltatások közötti interoperabilitásról. Ezen interoperabilitási keretnek meg kell felelnie az (1) bekezdésben meghatározott követelményeknek, és e megfelelést megfelelőségértékelő szervezetnek kell igazolnia.

(2b) A Bizottság végrehajtási jogi aktusok útján összeállíthat egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapíthat meg az e cikk (2a) bekezdésében említett interoperabilitási keretre vonatkozóan. A technikai specifikációknak és a szabványok tartalmának költséghatékonynak és arányosnak kell lenniük. A végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

8. SZAKASZ

Weboldal-hitelesítés

45. cikk

Minősített weboldal-hitelesítő tanúsítványokra vonatkozó követelmények

(1) A minősített weboldal-hitelesítő tanúsítványoknak meg kell felelniük a IV. mellékletben foglalt követelményeknek. Az e követelményeknek való megfelelés értékelését az e cikk (2) bekezdésében említett szabványokkal, specifikációkkal és eljárásokkal összhangban kell elvégezni.

(1a) Az e cikk (1) bekezdésével összhangban kibocsátott, minősített weboldal-hitelesítő tanúsítványokat a webböngésző-szolgáltatóknak el kell ismerniük. A webböngésző-szolgáltatóknak biztosítaniuk kell, hogy a tanúsítványban tanúsított személyazonosító adatok és a további tanúsított attribútumok felhasználóbarát módon legyenek megjelenítve. A webböngésző-szolgáltatóknak biztosítaniuk kell az e cikk (1) bekezdésében említett, minősített weboldal-hitelesítő tanúsítványok támogatását és interoperabilitását; ez alól kivételt képeznek a működésük első öt évében a webböngészési szolgáltatásokat nyújtó, a 2003/361/EK ajánlás mellékletének 2. cikkében meghatározott mikro- vagy kisvállalkozások.

(1b) A minősített weboldal-hitelesítő tanúsítványokra nem vonatkozhatnak az (1) bekezdésben foglalt követelményeken kívüli kötelező követelmények.

(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1) bekezdésében említett, minősített weboldal-hitelesítő tanúsítványokra vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

45a. cikk

Kiberbiztonsági óvintézkedések

(1) A webböngésző-szolgáltatók nem hozhatnak olyan intézkedéseket, amelyek ellentétesek a 45. cikkben meghatározott kötelezettségeikkel, különösen azon követelményekkel, amelyek a minősített weboldal-hitelesítő tanúsítványok elismerésére és a rendelkezésre bocsátott személyazonosító adatok felhasználóbarát módon való megjelenítésére vonatkoznak.

(2) Az (1) bekezdéstől eltérve, és kizárólag abban az esetben, ha megalapozott aggályok merülnek fel egy azonosított tanúsítvány vagy tanúsítványegyüttes biztonságának megsértésével vagy sértetlenségének megszűnésével kapcsolatban, a webböngésző-szolgáltatók óvintézkedéseket hozhatnak az adott tanúsítvány vagy tanúsítványegyüttes tekintetében.

(3) Amennyiben egy webböngésző-szolgáltató a (2) bekezdés alapján óvintézkedéseket hoz, a webböngésző-szolgáltatónak indokolatlan késedelem nélkül, írásban értesítenie kell aggályairól a Bizottságot, az illetékes felügyeleti szervet, azt a szervezetet, amely részére a tanúsítványt kiállították, valamint a tanúsítványt vagy tanúsítványegyüttest kibocsátó minősített bizalmi szolgáltatót, és az értesítésben ismertetnie kell az aggályos jelenség mérséklése céljából hozott intézkedéseket. Az értesítés kézhezvételét követően az illetékes felügyeleti szervnek átvételi elismervényt kell kibocsátania az adott webböngésző-szolgáltató részére.

(4) Az illetékes felügyeleti szervnek a 46b. cikk (4) bekezdésének k) pontjával összhangban meg kell vizsgálnia az értesítésben felvetett kérdéseket. Amennyiben e vizsgálat nem eredményezi a tanúsítvány minősített státusának visszavonását, a felügyeleti szervnek tájékoztatnia kell erről a webböngésző-szolgáltatót, és fel kell kérnie az említett szolgáltatót arra, hogy szüntesse meg az e cikk (2) bekezdésében említett óvintézkedéseket.

9. SZAKASZ

elektronikus attribútumtanúsítvány

45b. cikk

Az elektronikus attribútumtanúsítvány joghatásai

(1) Az elektronikus attribútumtanúsítvány joghatása vagy bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú, vagy hogy az nem felel meg a minősített elektronikus attribútumtanúsítványokra vonatkozó követelményeknek.

(2) A minősített elektronikus attribútumtanúsítványoknak és a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott attribútumtanúsítványoknak ugyanolyan joghatással kell bírniuk, mint a jogszerűen kibocsátott papíralapú tanúsítványoknak.

(3) A hiteles forrásért felelős közigazgatási szerv által vagy nevében valamely tagállamban kibocsátott attribútumtanúsítványt valamennyi tagállamban el kell ismerni hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott attribútumtanúsítványként.

45c. cikk

Az elektronikus attribútumtanúsítványok használata a közigazgatásban

Ha a nemzeti jogszabályok értelmében egy közigazgatási szerv által nyújtott online szolgáltatás elérését elektronikus azonosító eszközt és hitelesítést alkalmazó elektronikus azonosításhoz kötik, az elektronikus attribútumtanúsítványban szereplő személyazonosító adatok nem helyettesíthetik az elektronikus azonosító eszközt és hitelesítést alkalmazó elektronikus azonosítást, kivéve, ha azt a tagállam kifejezetten megengedi. Ilyen esetben a más tagállamokból származó, minősített elektronikus attribútumtanúsítványt is el kell fogadni.

45d. cikk

A minősített elektronikus attribútumtanúsítványra vonatkozó követelmények

(1) A minősített elektronikus attribútumtanúsítványoknak meg kell felelniük az V. mellékletben foglalt követelményeknek.

(2) Az V. mellékletben megállapított követelményeknek való megfelelés értékelését az e cikk (5) bekezdésében említett szabványokkal, specifikációkkal és eljárásokkal összhangban kell elvégezni.

(3) A minősített elektronikus attribútumtanúsítványokra az V. mellékletben szereplőkön túl nem vonatkozhatnak kötelező követelmények.

(4) Ha a minősített elektronikus attribútumtanúsítványt a kezdeti kibocsátást követően visszavonják, a tanúsítvány a visszavonás időpontjában érvényességét veszti, státusa pedig semmilyen körülmények között nem állítható vissza.

(5) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített elektronikus attribútumtanúsítványokra vonatkozóan. Ezeknek a végrehajtási jogi aktusoknak összhangban kell lenniük az európai digitális személyiadat-tárca megvalósításáról szóló, az 5a. cikk (23) bekezdésében említett végrehajtási jogi aktusokkal. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

45e. cikk

Az attribútumok hiteles források alapján történő ellenőrzése

(1) A tagállamok az 5a. cikk (23) bekezdésében és az 5c. cikk (6) bekezdésében említett végrehajtási jogi aktusok hatálybalépésének napját követő 24 hónapon belül biztosítják, hogy legalább a VI. mellékletben felsorolt attribútumok tekintetében - amennyiben ezek az attribútumok a közszférán belüli hiteles forrásokra támaszkodnak - intézkedéseket hozzanak annak érdekében, hogy az elektronikus attribútumtanúsítványok minősített bizalmi szolgáltatói ezeket az attribútumokat a felhasználó kérésére, az uniós vagy a nemzeti joggal összhangban elektronikus úton ellenőrizhessék.

(2) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján, a vonatkozó nemzetközi szabványok figyelembevételével összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az attribútumok katalógusára, az attribútumok tanúsítási rendszereire, valamint a minősített elektronikus attribútumtanúsítványok ellenőrzési eljárásaira vonatkozóan e cikk (1) bekezdésének alkalmazása céljából. Ezeknek a végrehajtási jogi aktusoknak összhangban kell lenniük az európai digitális személyiadat-tárca megvalósításáról szóló, az 5a. cikk (23) bekezdésében említett végrehajtási jogi aktusokkal. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

45f. cikk

A hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványokra vonatkozó követelmények

(1) A hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványnak az alábbi követelményeknek kell megfelelnie:

a) a VII. mellékletben megállapított követelmények;

b) a VII. melléklet b) pontja szerinti kibocsátóként azonosított, a 3. cikk 46. pontja szerinti közigazgatási szerv minősített elektronikus aláírására vagy minősített elektronikus bélyegzőjére vonatkozó minősített tanúsítványnak, amely automatizált feldolgozásra alkalmas formában tartalmazza a következő konkrét tanúsított attribútumokat:

i. annak feltüntetése, hogy a kibocsátó szervet - az uniós vagy a nemzeti joggal összhangban - az azon hiteles forrásért felelős szervként vagy az annak nevében való eljárásra kijelölt szervként hozták létre, amelynek alapján az elektronikus attribútumtanúsítványt kibocsátják;

ii. az i. alpontban említett hiteles forrást egyértelműen azonosító adatok; és

iii. az i. alpontban említett uniós vagy nemzeti jog megjelölése.

(2) A 3. cikk 46. pontjában említett közigazgatási szervek letelepedési helye szerinti tagállam biztosítja, hogy az elektronikus attribútumtanúsítványokat kibocsátó közigazgatási szervek a megbízhatóság szintje szempontjából egyenértékűek legyenek a 24. cikk szerinti minősített bizalmi szolgáltatókkal.

(3) A tagállamok értesítik a Bizottságot a 3. cikk 46. pontjában említett közigazgatási szervekről. Ezen értesítésnek tartalmaznia kell a megfelelőségértékelő szervezet által kibocsátott megfelelőségértékelési jelentést, amely megerősíti, hogy az e cikk (1), (2) és (6) bekezdésében meghatározott követelmények teljesülnek. A Bizottság biztonságos csatornán keresztül, automatizált feldolgozásra alkalmas, elektronikus aláírással vagy bélyegzővel ellátott formátumban a nyilvánosság számára elérhetővé teszi a 3. cikk 46. pontjában említett közigazgatási szervek jegyzékét.

(4) Amennyiben a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványt a kezdeti kibocsátást követően visszavonják, a tanúsítvány a visszavonás időpontjában érvényességét veszti és a státusa nem állítható vissza.

(5) Amennyiben a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítvány megfelel a (6) bekezdésben említett szabványoknak, specifikációknak és eljárásoknak, vélelmezni kell az (1) bekezdésben megállapított követelményeknek való megfelelést.

(6) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványokra vonatkozóan. Ezeknek a végrehajtási jogi aktusoknak összhangban kell lenniük az európai digitális személyiadat-tárca megvalósításáról szóló, az 5a. cikk (23) bekezdésében említett végrehajtási jogi aktusokkal. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(7) 2024. november 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg e cikk (3) bekezdésének alkalmazásához. Ezeknek a végrehajtási jogi aktusoknak összhangban kell lenniük az európai digitális személyiadat-tárca megvalósításáról szóló, az 5a. cikk (23) bekezdésében említett végrehajtási jogi aktusokkal. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(8) Az elektronikus attribútumtanúsítványokat kibocsátó, a 3. cikk 46. pontjában említett közigazgatási szerveknek felületet kell biztosítaniuk az 5a. cikkel összhangban nyújtott európai digitális személyiadat-tárcákhoz.

45g. cikk

Elektronikus attribútumtanúsítványok kibocsátása az európai digitális személyiadat-tárcákba

(1) Az elektronikus attribútumtanúsítványokat nyújtó szolgáltatóknak lehetővé kell tenniük az európai digitális személyiadat-tárcák felhasználói számára az elektronikus attribútumtanúsítvány igénylését, beszerzését, tárolását és kezelését, függetlenül attól, hogy az európai digitális személyiadat-tárcát mely tagállamokban nyújtják.

(2) A minősített elektronikus attribútumtanúsítványokat nyújtó szolgáltatóknak felületet kell biztosítaniuk az 5a. cikkel összhangban nyújtott európai digitális személyiadat-tárcákhoz.

45h. cikk

Az elektronikus attribútumtanúsítvánnyal kapcsolatos szolgáltatások nyújtásának további szabályai

(1) A minősített és nem minősített elektronikus attribútumtanúsítványokkal kapcsolatos szolgáltatásokat nyújtó szolgáltatók nem kombinálhatják az e szolgáltatások nyújtásához kapcsolódó személyes adatokat az általuk vagy kereskedelmi partnereik által kínált bármely más szolgáltatásból származó személyes adatokkal.

(2) Az elektronikus attribútumtanúsítványok nyújtására irányuló szolgáltatásokkal kapcsolatos személyes adatokat minden egyéb, az elektronikus attribútumtanúsítványokat nyújtó szolgáltató által tárolt adattól logikailag elkülönítve kell tárolni.

(3) A minősített elektronikus attribútumtanúsítványokra irányuló szolgáltatásokat nyújtó szolgáltatóknak az ilyen minősített bizalmi szolgáltatásokat az általuk nyújtott egyéb szolgáltatásoktól funkcionálisan elkülönített módon kell nyújtaniuk.

10. SZAKASZ

elektronikus archiválási szolgáltatások

45i. cikk

Az elektronikus archiválási szolgáltatás joghatása

(1) Az elektronikus archiválási szolgáltatás alkalmazásával megőrzött elektronikus adatok és elektronikus dokumentumok joghatása vagy bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy azok elektronikus formátumban állnak rendelkezésre, illetve hogy megőrzésük nem minősített elektronikus archiválási szolgáltatás igénybevételével történik.

(2) A minősített elektronikus archiválási szolgáltatás alkalmazásával megőrzött elektronikus adatok és elektronikus dokumentumok esetében a minősített bizalmi szolgáltató általi megőrzés időszaka alatt vélelmezni kell az adatok sértetlenségét és megfelelő eredetét.

45j. cikk

A minősített elektronikus archiválási szolgáltatásokra vonatkozó követelmények

(1) A minősített elektronikus archiválási szolgáltatásoknak az alábbi követelményeknek kell megfelelniük:

a) azokat minősített bizalmi szolgáltatóknak kell nyújtaniuk;

b) olyan eljárásokat és technológiákat kell alkalmazniuk, amelyek lehetővé teszik az elektronikus adatok és elektronikus dokumentumok tartósságának és olvashatóságának biztosítását - azok sértetlenségének és eredetük pontosságának megtartása mellett - a technológiai érvényességi időszakon túlmenően és legalább a jogi vagy szerződéses megőrzési időszak tartamára;

c) biztosítaniuk kell, hogy az említett elektronikus adatok és az említett elektronikus dokumentumok a megőrzésük során - az adathordozójukat vagy elektronikus formátumukat érintő változások kivételével - védve legyenek az adatvesztéssel és az adatmódosítással szemben;

d) lehetővé kell tenniük a jogosult igénybe vevő felek számára, hogy automatizált módon olyan jelentést kapjanak, amely megerősíti, hogy valamely, a minősített elektronikus archívumban visszakeresett elektronikus adat vagy elektronikus dokumentum sértetlensége a megőrzési időszak kezdetétől a keresés pillanatáig vélelmezhető.

Az első albekezdés d) pontjában említett jelentést megbízható és hatékony módon kell eljuttatni, és el kell látni a minősített elektronikus archiválási szolgáltatás nyújtójának minősített elektronikus aláírásával vagy minősített elektronikus bélyegzőjével.

(2) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg a minősített elektronikus archiválási szolgáltatásokra vonatkozóan. Amennyiben a minősített elektronikus archiválási szolgáltatások megfelelnek ezeknek a szabványoknak, előírásoknak és eljárásoknak, vélelmezni kell a minősített elektronikus archiválási szolgáltatásokra vonatkozó követelményeknek való megfelelést. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

11. SZAKASZ

elektronikus főkönyvek

45k. cikk

Az elektronikus főkönyvek joghatásai

(1) Az elektronikus főkönyv joghatása vagy bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumban létezik, vagy hogy nem felel meg a minősített elektronikus főkönyvekre vonatkozó követelményeknek.

(2) A minősített elektronikus főkönyvben szereplő adatrekordokkal kapcsolatban vélelmezni kell azok egyedi és pontos szekvenciális időrendi sorrendjét és sértetlenségét.

45l. cikk

A minősített elektronikus főkönyvekre vonatkozó követelmények

(1) A minősített elektronikus főkönyveknek a következő követelményeknek kell megfelelniük:

a) egy vagy több minősített bizalmi szolgáltató hozta létre és kezeli őket;

b) megállapítják a főkönyvben szereplő adatrekordok eredetét;

c) garantálják a főkönyvben szereplő adatrekordok egyedi szekvenciális időrendi sorrendjét;

d) oly módon rögzítik az adatokat, hogy az adatok bármely későbbi változása azonnal észlelhető legyen, így biztosítva azok sértetlenségét az idők során.

(2) Amennyiben egy elektronikus főkönyv megfelel a (3) bekezdésben említett szabványoknak, előírásoknak és eljárásoknak, vélelmezni kell az (1) bekezdésben foglalt követelményeknek való megfelelést.

(3) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján összeállít egy referenciaszabvány-jegyzéket, valamint szükség esetén specifikációkat és eljárásokat állapít meg az e cikk (1) bekezdésében meghatározott követelményekre vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

IV. FEJEZET

ELEKTRONIKUS DOKUMENTUMOK

46. cikk

Az elektronikus dokumentum joghatása

Az elektronikus dokumentum joghatása és bírósági eljárásokban bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú.

IVa. FEJEZET

IRÁNYÍTÁSI KERET

46a. cikk

Az európai digitális személyiadat-tárcákra vonatkozó keret felügyelete

(1) A tagállamok kijelölnek egy vagy több, a területükön letelepedett felügyeleti szervet.

Az első albekezdés szerint kijelölt felügyeleti szerveknek rendelkezniük kell a feladataik eredményes, hatékony és független ellátásához szükséges hatáskörökkel és megfelelő erőforrásokkal.

(2) A tagállamok bejelentik a Bizottságnak az (1) bekezdés szerint kijelölt felügyeleti szerveik nevét és címét, valamint ezek későbbi változásait. A Bizottság közzéteszi a bejelentett felügyeleti szervek jegyzékét.

(3) Az (1) bekezdés szerint kijelölt felügyeleti szervek szerepe a következő:

a) ellátni az európai digitális személyiadat-tárcákat nyújtó, a kijelölő tagállam területén letelepedett szolgáltatók felügyeletét, valamint előzetes és utólagos felügyeleti tevékenységek révén biztosítani, hogy e szolgáltatók és az általuk nyújtott európai digitális személyiadat-tárcák megfeleljenek az e rendeletben megállapított követelményeknek;

b) szükség esetén - utólagos felügyeleti tevékenységek révén - intézkedéseket hozni az európai digitális személyiadat-tárcákat nyújtó, a kijelölő tagállam területén letelepedett szolgáltatókkal kapcsolatban, amennyiben tájékoztatást kaptak arról, hogy e szolgáltatók vagy az általuk nyújtott európai digitális személyiadat-tárcák sértik ezt a rendeletet.

(4) Az (1) bekezdés szerint kijelölt felügyeleti szervek feladatai különösen a következők:

a) együttműködni más felügyeleti szervekkel, és a 46c. és 46e. cikkel összhangban segítséget nyújtani e szerveknek;

b) bekérni az e rendeletnek való megfelelés ellenőrzéséhez szükséges információkat;

c) tájékoztatni az érintett tagállamoknak az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott érintett illetékes hatóságait a biztonság olyan jelentős megsértéséről vagy a sértetlenség olyan megszűnéséről, amelyről feladataik ellátása során tudomást szereznek, valamint a biztonság más tagállamokat érintő, jelentős megsértése vagy a sértetlenség más tagállamokat érintő megszűnése esetén tájékoztatni az érintett tagállamnak az (EU) 2022/2555 irányelv 8. cikkének (3) bekezdése szerint kijelölt vagy létrehozott egyedüli kapcsolattartó pontját, valamint a többi érintett tagállamnak az e rendelet 46c. cikkének (1) bekezdése szerint kijelölt egyedüli kapcsolattartó pontját, továbbá tájékoztatni a nyilvánosságot - vagy erre kötelezni az európai digitális személyiadat-tárcát nyújtó szolgáltatót -, amennyiben a felügyeleti szerv megállapítja, hogy a biztonság megsértésének vagy a sértetlenség megszűnésének a nyilvánosságra hozatala közérdeket szolgálna;

d) helyszíni ellenőrzéseket végezni és távoli felügyeletet ellátni;

e) előírni, hogy az európai digitális személyiadat-tárcákat nyújtó szolgáltatók az e rendeletben foglalt követelményeknek való megfelelés elmulasztása esetén orvosolják a helyzetet;

f) az európai digitális személyiadat-tárca jogellenes vagy csalárd használata esetén felfüggeszteni vagy törölni az igénybe vevő felek nyilvántartásba vételét és az 5b. cikk (7) bekezdésében említett mechanizmusban való részvételét;

g) együttműködni az (EU) 2016/679 rendelet 51. cikke alapján létrehozott illetékes felügyeleti hatóságokkal, különösen azáltal, hogy indokolatlan késedelem nélkül tájékoztatják őket egyrészt arról, ha vélhetően megsértették a személyes adatok védelmére vonatkozó szabályokat, másrészt pedig a biztonság vélhetően adatvédelmi incidensnek minősülő megsértéséről.

(5) Amennyiben az (1) bekezdés szerint kijelölt felügyeleti szerv előírja az európai digitális személyiadat-tárcát nyújtó szolgáltató számára, hogy a (4) bekezdés e) pontjával összhangban orvosolja az e rendeletben foglalt követelményeknek való megfelelés elmulasztását, és a szolgáltató - adott esetben az említett felügyeleti szerv által meghatározott határidőn belül - ezt nem teljesíti, az (1) bekezdés szerint kijelölt felügyeleti szerv - figyelembe véve különösen a mulasztás mértékét, időtartamát és következményeit - kötelezheti a szolgáltatót az európai digitális személyiadat-tárca nyújtásának felfüggesztésére vagy megszüntetésére. A felügyeleti szervnek indokolatlan késedelem nélkül értesíteniük kell a többi tagállam felügyeleti szerveit, a Bizottságot, az igénybe vevő feleket és az európai digitális személyiadat-tárca felhasználóit az európai digitális személyiadat-tárca nyújtásának felfüggesztését vagy megszüntetését elrendelő határozatról.

(6) Minden évben március 31-ig az (1) bekezdés szerint kijelölt felügyeleti szervek mindegyikének be kell nyújtania a Bizottság részére egy, az előző naptári évben végzett főbb tevékenységeiről szóló jelentést. A Bizottság ezeket az éves jelentéseket az Európai Parlament és a Tanács rendelkezésére bocsátja.

(7) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján meghatározza az e cikk (6) bekezdésében említett jelentés formátumait és a kapcsolódó eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

46b. cikk

A bizalmi szolgáltatások felügyelete

(1) A tagállamok kijelölnek egy, a területükön letelepedett felügyeleti szervet vagy egy másik tagállammal kötött kölcsönös megállapodás alapján kijelölnek egy, e másik tagállamban letelepedett felügyeleti szervet. E felügyeleti szerv felelős a felügyeleti feladatoknak a bizalmi szolgáltatások tekintetében a kijelölő tagállamban való ellátásáért.

Az első albekezdés szerint kijelölt felügyeleti szerveknek rendelkezniük kell a feladataik ellátásához szükséges hatáskörökkel és megfelelő erőforrásokkal.

(2) A tagállamok bejelentik a Bizottságnak az (1) bekezdés szerint kijelölt felügyeleti szerveik nevét és címét, valamint ezek későbbi változásait. A Bizottság közzéteszi a bejelentett felügyeleti szervek jegyzékét.

(3) Az (1) bekezdés szerint kijelölt felügyeleti szervek szerepe a következő:

a) ellátni a kijelölő tagállam területén letelepedett minősített bizalmi szolgáltatók felügyeletét, és előzetes és utólagos felügyeleti tevékenységek révén biztosítani, hogy e minősített bizalmi szolgáltatók és az általuk nyújtott minősített bizalmi szolgáltatások megfeleljenek az e rendeletben megállapított követelményeknek;

b) szükség esetén, utólagos felügyeleti tevékenységek révén intézkedést hozni a kijelölő tagállam területén letelepedett nem minősített bizalmi szolgáltatókkal szemben, amennyiben arról értesülnek, hogy e nem minősített bizalmi szolgáltatók vagy az általuk nyújtott bizalmi szolgáltatások vélhetően nem felelnek meg az e rendeletben megállapított követelményeknek.

(4) Az (1) bekezdés szerint kijelölt felügyeleti szerv feladatai különösen a következők:

a) tájékoztatni az érintett tagállamoknak az (EU) 2022/2555 irányelv 8. cikkének (1) bekezdése alapján kijelölt vagy létrehozott érintett illetékes hatóságait a biztonság olyan jelentős megsértéséről vagy a sértetlenség olyan megszűnéséről, amelyről feladatai ellátása során tudomást szerez, valamint a biztonság más tagállamokat érintő, jelentős megsértése vagy a sértetlenség más tagállamokat érintő megszűnése esetén tájékoztatni az érintett tagállamnak az (EU) 2022/2555 irányelv 8. cikkének (3) bekezdése szerint kijelölt vagy létrehozott egyedüli kapcsolattartó pontját, valamint a többi érintett tagállamnak az e rendelet 46c. cikkének (1) bekezdése szerint kijelölt egyedüli kapcsolattartó pontját, továbbá tájékoztatni a nyilvánosságot - vagy erre kötelezni a bizalmi szolgáltatót -, amennyiben a felügyeleti szerv megállapítja, hogy a biztonság megsértésének vagy a sértetlenség megszűnésének a nyilvánosságra hozatala közérdeket szolgálna;

b) együttműködni más felügyeleti szervekkel, és a 46c. és 46e. cikkel összhangban segítséget nyújtani e szerveknek;

c) elemezni a 20. cikk (1) bekezdésében és a 21. cikk (1) bekezdésében említett megfelelőségértékelési jelentéseket;

d) e cikk (6) bekezdésével összhangban jelentést tenni a Bizottság részére a főbb tevékenységeiről;

e) a 20. cikk (2) bekezdésével összhangban ellenőrzéseket végezni, vagy felkérni egy megfelelőségértékelő szervezetet a minősített bizalmi szolgáltatókra vonatkozó megfelelőségértékelés elvégzésére;

f) együttműködni az (EU) 2016/679 rendelet 51. cikke alapján létrehozott illetékes felügyeleti hatóságokkal, különösen azáltal, hogy indokolatlan késedelem nélkül tájékoztatja őket egyrészt arról, ha vélhetően megsértették a személyes adatok védelmére vonatkozó szabályokat, másrészt pedig a biztonság vélhetően adatvédelmi incidensnek minősülő megsértéséről;

g) a 20. és a 21. cikkel összhangban megadni a minősített státust a bizalmi szolgáltatóknak és az általuk nyújtott szolgáltatásoknak, valamint visszavonni tőlük e státust;

h) tájékoztatni a 22. cikk (3) bekezdésében említett, a tagállami bizalmi listáért felelős szervet a minősített státus megadására és visszavonására vonatkozó határozatairól, amennyiben ez a szerv egyben nem maga az e cikk (1) bekezdése szerint kijelölt felügyeleti szerv;

i) ellenőrizni a szolgáltatás megszüntetésére vonatkozó terv meglétét, valamint a tervre vonatkozó rendelkezések helyes alkalmazását olyan esetekben, amikor valamely minősített bizalmi szolgáltató meg kívánja szüntetni a tevékenységét, beleértve annak ellenőrzését is, hogy az információ milyen módon lesz továbbra is hozzáférhető a 24. cikk (2) bekezdésének h) pontjával összhangban;

j) előírni, hogy a bizalmi szolgáltatók az e rendeletben foglalt követelményeknek való megfelelés elmulasztása esetén orvosolják a helyzetet;

k) megvizsgálni a webböngésző-szolgáltatók által a 45a. cikk alapján benyújtott kérelmeket és szükség esetén intézkedést hozni.

(5) A tagállamok előírhatják, hogy az (1) bekezdés szerint kijelölt felügyeleti szerv a tagállami joggal összhangban hozzon létre egy bizalmi infrastruktúrát, azt tartsa fenn és tegye naprakésszé.

(6) Minden évben március 31-ig az (1) bekezdés szerint kijelölt felügyeleti szervek mindegyikének be kell nyújtania a Bizottság részére egy, az előző naptári évben végzett főbb tevékenységeiről szóló jelentést. A Bizottság ezeket az éves jelentéseket az Európai Parlament és a Tanács rendelkezésére bocsátja.

(7) 2025. május 21-ig a Bizottság iránymutatásokat fogad el az e cikk (4) bekezdésében említett feladatoknak az e cikk (1) bekezdése szerint kijelölt felügyeleti szervek általi ellátására vonatkozóan, valamint végrehajtási jogi aktusok útján meghatározza az e cikk (6) bekezdésében említett jelentés formátumait és a kapcsolódó eljárásokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

46c. cikk

Egyedüli kapcsolattartó pontok

(1) Minden tagállam kijelöl egy egyedüli kapcsolattartó pontot a bizalmi szolgáltatások, az európai digitális személyiadat-tárcák és a bejelentett elektronikus azonosítási rendszerek tekintetében.

(2) Minden egyedüli kapcsolattartó pont összekötő feladatot lát el abból a célból, hogy elősegítése a bizalmi szolgáltatók felügyeleti hatóságai közötti és az európai digitális személyiadat-tárcákat nyújtó szolgáltatók felügyeleti hatóságai közötti, továbbá - adott esetben - a Bizottsággal és az Európai Uniós Kiberbiztonsági Ügynökséggel (ENISA), valamint az adott tagállamban működő egyéb illetékes hatóságokkal történő, határokon átnyúló együttműködést.

(3) Minden tagállam nyilvánosságra hozza az (1) bekezdés szerint kijelölt egyedüli kapcsolattartó pont nevét és címét, valamint ezek későbbi változásait, és indokolatlan késedelem nélkül bejelenti azokat a Bizottságnak.

(4) A Bizottság közzéteszi a (3) bekezdéssel összhangban bejelentett egyedüli kapcsolattartó pontjok jegyzékét.

46d. cikk

Kölcsönös segítségnyújtás

(1) Az e rendelet szerinti kötelezettségekre vonatkozó felügyeletnek és e kötelezettségek betartatásának a megkönnyítése érdekében a bizalmi szolgáltatásokért felelős, a 46a. cikk (1) bekezdése és a 46b. cikk (1) bekezdése szerint kijelölt felügyeleti szervek - többek között a 46e. cikk (1) bekezdése alapján létrehozott együttműködési csoporton keresztül - kölcsönös segítségnyújtást kérhetnek egy olyan másik tagállam felügyeleti szerveitől, amelyben az európai digitális személyiadat-tárcát nyújtó szolgáltató vagy a bizalmi szolgáltató letelepedett, vagy amelyben a hálózati és információs rendszerei találhatók, vagy ahol az a szolgáltatásait nyújtja.

(2) A kölcsönös segítségnyújtásnak legalább a következőket kell magában foglalnia:

a) az egyik tagállamban felügyeleti és jogérvényesítési intézkedéseket alkalmazó felügyeleti szerv tájékoztatja a másik érintett tagállam felügyeleti szervét, és konzultál vele;

b) a felügyeleti szerv felkérheti egy másik érintett tagállam felügyeleti szervét felügyeleti vagy jogérvényesítési intézkedések meghozatalára, ideértve például az aziránti megkereséseket, hogy a megkeresett felügyeleti szerv a 20. és 21. cikkel összhangban a megfelelőségértékelési jelentésekkel kapcsolatos vizsgálatokat végezzen a bizalmi szolgáltatások nyújtása tekintetében;

c) a felügyeleti szervek adott esetben közös vizsgálatokat folytathatnak más tagállamok felügyeleti szerveivel.

Az első albekezdés szerinti közös intézkedésekre vonatkozó részletes szabályokat és eljárásokat az érintett tagállamok állapítják meg és hagyják jóvá a saját nemzeti joguknak megfelelően.

(3) A segítségnyújtás iránti megkeresés teljesítését a megkeresett felügyeleti szerv bármely alábbi indokkal megtagadhatja:

a) a kért segítség nem arányos a felügyeleti szervnek a 46a. és 46b. cikkel összhangban végzett felügyeleti tevékenységeivel;

b) a felügyeleti szerv nem illetékes a kért segítség megadására;

c) a kért segítség megadása nem lenne összeegyeztethető e rendelettel.

(4) 2025. május 21-ig, majd azt követően kétévente a 46e. cikk (1) bekezdése alapján létrehozott együttműködési csoport iránymutatást ad ki az e cikk (1) és (2) bekezdésében említett kölcsönös segítségnyújtás szervezeti szempontjairól és eljárásairól.

46e. cikk

Az európai digitális személyazonossággal foglalkozó együttműködési csoport

(1) A bizalmi szolgáltatásokkal, az európai digitális személyiadat-tárcákkal és a bejelentett elektronikus azonosítási rendszerekkel kapcsolatos, határokon átnyúló tagállami együttműködés és információcsere támogatása és megkönnyítése érdekében a Bizottság létrehozza az európai digitális személyazonossággal foglalkozó együttműködési csoportot (a továbbiakban: az együttműködési csoport).

(2) Az együttműködési csoport a tagállamok és a Bizottság által kijelölt képviselőkből áll. Az együttműködési csoport elnöki tisztét a Bizottság tölti be. A Bizottság egyúttal az együttműködési csoport titkárságát is biztosítja.

(3) Az érdekelt felek képviselői eseti alapon meghívást kaphatnak az együttműködési csoport üléseire és megfigyelőként részt vehetnek annak munkájában.

(4) Az ENISA-t fel kell kérni arra, hogy megfigyelőként részt vegyen az együttműködési csoport munkájában, amikor a csoport véleményt, legjobb gyakorlatokat és információkat cserél a releváns kiberbiztonsági szempontokkal - például a biztonság megsértésének bejelentésével - kapcsolatban, vagy amikor a kiberbiztonsági tanúsítványok vagy szabványok alkalmazásával foglalkoznak.

(5) Az együttműködési csoport a következő feladatokat látja el:

a) véleményt cserél és együttműködik a Bizottsággal a digitális személyiadat-tárcák, az elektronikus azonosító eszközök és a bizalmi szolgáltatások területén felmerülő szakpolitikai kezdeményezésekkel kapcsolatban;

b) adott esetben tanácsot ad a Bizottság részére az e rendelet alapján elfogadandó végrehajtási jogi aktusok és felhatalmazáson alapuló jogi aktusok tervezete kidolgozásának korai szakaszában;

c) annak érdekében, hogy támogassa a felügyeleti szerveket e rendelet rendelkezéseinek végrehajtásában:

i. legjobb gyakorlatokat és információkat cserél e rendelet rendelkezéseinek végrehajtásával kapcsolatban;

ii. értékeli a digitális személyiadat-tárcák, az elektronikus azonosítás és a bizalmi szolgáltatások ágazatában bekövetkezett fejleményeket;

iii. közös üléseket szervez az Unió egész területéről részt vevő érdekelt felekkel az általa végzett tevékenységek megvitatása, valamint a felmerülő szakpolitikai kihívásokkal kapcsolatos információgyűjtés céljából;

iv. az ENISA támogatásával véleményt, legjobb gyakorlatokat és információkat cserél az európai digitális személyiadat-tárcákkal, az elektronikus azonosítási rendszerekkel és a bizalmi szolgáltatásokkal kapcsolatos releváns kiberbiztonsági szempontokról;

v. legjobb gyakorlatokat cserél a biztonság megsértésének bejelentésére vonatkozó szabályok, valamint az 5e. és a 10. cikkben említett közös intézkedések kidolgozása és végrehajtása tekintetében;

vi. közös üléseket szervez az (EU) 2022/2555 irányelv 14. cikkének (1) bekezdése alapján létrehozott Kiberbiztonsági Együttműködési Csoporttal abból a célból, hogy megosszák egymással a bizalmi szolgáltatásokkal és az elektronikus azonosítással kapcsolatos kiberfenyegetésekre, biztonsági eseményekre, sebezhetőségekre, tájékoztatási kezdeményezésekre, képzésekre, gyakorlatokra és készségekre, kapacitásépítésre, valamint szabványokra és technikai specifikációkra vonatkozó releváns információkat;

vii. valamely felügyeleti szerv kérésére megvitat konkrét, kölcsönös segítségnyújtás iránti, a 46d. cikk szerinti megkereséseket;

viii. elősegíti a felügyeleti szervek közötti információcserét azáltal, hogy iránymutatást nyújt a 46d. cikkben említett kölcsönös segítségnyújtás szervezeti szempontjaira és eljárásaira vonatkozóan;

d) partneri felülvizsgálatokat szervez az e rendelet hatálya alá tartozó, bejelentendő elektronikus azonosítási rendszerekre vonatkozóan.

(6) A tagállamok biztosítják, hogy kijelölt képviselőik eredményesen és hatékonyan működjenek együtt az együttműködési csoportban.

(7) 2025. május 21-ig a Bizottság végrehajtási jogi aktusok útján meghatározza a tagállamok közötti, e cikk (5) bekezdésének d) pontja szerinti együttműködés megkönnyítéséhez szükséges eljárási szabályokat. Ezeket a végrehajtási jogi aktusokat a 48. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

V. FEJEZET

FELHATALMAZÁS ÉS VÉGREHAJTÁSI RENDELKEZÉSEK

47. cikk

A felhatalmazás gyakorlása

(1) A Bizottság az e cikkben meghatározott feltételek mellett felhatalmazást kap felhatalmazáson alapuló jogi aktus elfogadására.

(2) A Bizottságnak az 5c. cikk (7) bekezdésében, a 24. cikk (4b) bekezdésében és a 30. cikk (4) bekezdésében említett, felhatalmazáson alapuló jogi aktus elfogadására vonatkozó felhatalmazása határozatlan időre szól 2014. szeptember 17-től kezdődő hatállyal.

(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja az 5c. cikk (7) bekezdésében, a 24. cikk (4b) bekezdésében és a 30. cikk (4) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon, vagy a benne megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.

(4) A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot e jogi aktus elfogadásáról.

(5) Az 5c. cikk (7) bekezdése, a 24. cikk (4b) bekezdése vagy a 30. cikk (4) bekezdése értelmében elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő két hónapon belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam két hónappal meghosszabbodik.

48. cikk

A bizottsági eljárás

(1) A Bizottságot egy bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.

(2) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

VI. FEJEZET

ZÁRÓ RENDELKEZÉSEK

48a. cikk

Jelentéstételi követelmények

(1) A tagállamok biztosítják a területükön nyújtott európai digitális személyiadat-tárcák és minősített bizalmi szolgáltatások működésével kapcsolatos statisztikák gyűjtését.

(2) Az (1) bekezdésnek megfelelően gyűjtött statisztikáknak a következőket kell tartalmazniuk:

a) az érvényes európai digitális személyiadat-tárcával rendelkező természetes és jogi személyek száma;

b) az európai digitális személyiadat-tárca használatát elfogadó szolgáltatások típusa és száma;

c) az igénybe vevő felekkel és a minősített bizalmi szolgáltatásokkal kapcsolatos felhasználói panaszok, valamint fogyasztóvédelmi vagy adatvédelmi incidensek száma;

d) az európai digitális személyiadat-tárca használatát megakadályozó eseményekre vonatkozó adatokat is tartalmazó összefoglaló jelentés;

e) összefoglaló a jelentős biztonsági eseményekről, adatvédelmi incidensekről, valamint az európai digitális személyiadat-tárcák vagy minősített bizalmi szolgáltatások érintett felhasználóiról.

(3) A (2) bekezdésben említett statisztikákat nyílt és széles körben használt, géppel olvasható formátumban elérhetővé kell tenni a nyilvánosság számára.

(4) A tagállamok minden év március 31-ig benyújtanak a Bizottságnak egy, a (2) bekezdéssel összhangban gyűjtött statisztikákról szóló jelentést.

49. cikk

Felülvizsgálat

(1) A Bizottság 2026. május 21-ig felülvizsgálja e rendelet alkalmazását, és jelentést tesz az Európai Parlamentnek és a Tanácsnak. Ebben a jelentésben a Bizottság különösen azt vizsgálja meg, hogy helyénvaló-e e rendelet hatályának, illetve bizonyos rendelkezéseinek - többek között különösen az 5c. cikk (5) bekezdésében foglalt rendelkezéseknek - a módosítása, figyelemmel az e rendelet alkalmazása során szerzett tapasztalatokra és a technológiai, piaci és jogi fejleményekre. Ezen jelentéshez szükség esetén az e rendeletre vonatkozó módosítási javaslatot kell mellékelni.

(2) Az (1) bekezdésben említett jelentésnek tartalmaznia kell az e rendelet hatálya alá tartozó bejelentett elektronikus azonosító eszközök és európai digitális személyiadat-tárcák elérhetőségének, biztonságosságának és használhatóságának értékelését, valamint annak értékelését, hogy a felhasználóhitelesítés céljából harmadik féltől származó elektronikus azonosítási szolgáltatásokat igénybe vevő valamennyi online magánszolgáltatót kötelezni kell-e arra, hogy elfogadja a bejelentett elektronikus azonosító eszközök és az európai digitális személyiadat-tárcák használatát.

(3) Ezenkívül a Bizottság 2030. május 21-ig és azt követően négyévente jelentést nyújt be az Európai Parlamentnek és a Tanácsnak az e rendelet céljainak megvalósítása terén elért eredményekről.

50. cikk

Hatályon kívül helyezés

(1) Az 1999/93/EK irányelv 2016. július 1-jével hatályát veszti.

(2) A hatályon kívül helyezett irányelvre történő hivatkozásokat az e rendeletre történő hivatkozásnak kell tekinteni.

51. cikk

Átmeneti intézkedések

(1) Azokat a biztonságos elektronikus aláírást létrehozó eszközöket, amelyek megfelelőségét az 1999/93/EK irányelv 3. cikkének (4) bekezdésével összhangban állapították meg, e rendelet értelmében 2027. május 21-ig továbbra is minősített elektronikus aláírást létrehozó eszköznek kell tekinteni.

(2) Az 1999/93/EK irányelv alapján természetes személyek számára kibocsátott minősített tanúsítványokat 2026. május 21-ig továbbra is elektronikus aláírások e rendelet szerinti minősített tanúsítványának kell tekinteni.

3) A távoli minősített elektronikus aláírást és bélyegzőt létrehozó eszközök olyan minősített bizalmi szolgáltatók általi kezelése, amelyek nem olyan minősített bizalmi szolgáltatók, amelyek távoli minősített elektronikus aláírást és bélyegzőt létrehozó eszközöknek a 29a. és 39a. cikkel összhangban történő kezelése céljából nyújtanak minősített bizalmi szolgáltatásokat, 2026. május 21-ig végezhető, anélkül, hogy meg kellene szerezni a minősített státust ezen kezelési szolgáltatások nyújtásához.

(4) Azoknak a minősített bizalmi szolgáltatóknak, amelyeknek e rendelet alapján 2024. május 20. előtt ítélték oda a minősített státust, a lehető leghamarabb, de minden esetben 2026. május 21-ig olyan megfelelőségértékelési jelentést kell benyújtaniuk a felügyeleti szervnek, amely jelentés igazolja a 24. cikk (1), (1a) és (1b) bekezdésének való megfelelést.

52. cikk

Hatálybalépés

(1) Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

(2) Ezt a rendeletet 2016. július 1-jétől kell alkalmazni, kivéve a következő rendelkezéseket:

a) a 8. cikk (3) bekezdését, a 9. cikk (5) bekezdését, a 12. cikk (2)-(9) bekezdését, a 17. cikk (8) bekezdését, a 19. cikk (4) bekezdését, a 20. cikk (4) bekezdését, a 21. cikk (4) bekezdését, a 22. cikk (5) bekezdését, a 23. cikk (3) bekezdését, a 24. cikk (5) bekezdését, a 27. cikk (4) és (5) bekezdését, a 28. cikk (6) bekezdését, a 29. cikk (2) bekezdését, a 30. cikk (3) és (4) bekezdését, a 31. cikk (3) bekezdését, a 32. cikk (3) bekezdését, a 33. cikk (2) bekezdését, a 34. cikk (2) bekezdését, a 37. cikk (4) és (5) bekezdését, a 38. cikk (6) bekezdését, a 42. cikk (2) bekezdését, a 44. cikk (2) bekezdését, a 45. cikk (2) bekezdését, a 47. cikket és a 48. cikket 2014. szeptember 17-től kezdődően kell alkalmazni;

b) a 7. cikket, a 8. cikk (1) és (2) bekezdését, a 9., 10., és 11. cikket, valamint a 12. cikk (1) bekezdését a 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazása időpontjától kezdve kell alkalmazni;

c) a 6. cikket a 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazása időpontjától számított 3 év elteltével kell alkalmazni.

(3) Amennyiben a bejelentett elektronikus azonosítási rendszer az e cikk (2) bekezdésének c) pontjában említett időpontot megelőzően már szerepel a Bizottság által a 9. cikk alapján közzétett listán, akkor az említett rendszer szerinti elektronikus azonosító eszköznek a 6. cikk alapján történő elismerésére legkésőbb a szóban forgó rendszer közzétételét követő 12 hónapon belül, de semmi esetre sem az e cikk (2) bekezdésének c) pontjában említett időpontot megelőzően kerül sor.

(4) Az e cikk (2) bekezdésének c) pontja ellenére egy tagállam határozhat úgy, hogy a valamely másik tagállam által a 9. cikk (1) bekezdése alapján bejelentett elektronikus azonosítási rendszer szerinti elektronikus azonosító eszközöket a saját tagállamában a 8. cikk (3) bekezdésében és a 12. cikk (8) bekezdésében említett végrehajtási jogi aktusok alkalmazása időpontjától kezdve ismeri el. Erről az érintett tagállamok tájékoztatják a Bizottságot. A Bizottság ezeket az információkat közzéteszi.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

I. MELLÉKLET

AZ ELEKTRONIKUS ALÁÍRÁSOK MINŐSÍTETT TANÚSÍTVÁNYAIRA VONATKOZÓ KÖVETELMÉNYEK

Az elektronikus aláírások minősített tanúsítványainak a következőket kell tartalmazniuk:

a) legalább automatizált feldolgozásra alkalmas formában utalnia kell arra, hogy a tanúsítványt elektronikus aláírás minősített tanúsítványaként bocsátották ki;

b) a minősített tanúsítványt kibocsátó minősített bizalmi szolgáltatót egyértelműen azonosító adatok, beleértve legalább azt a tagállamot, amelyben az érintett szolgáltató letelepedett, valamint

- jogi személy esetében a hivatalos nyilvántartásban szereplő megnevezést és adott esetben nyilvántartási számot,

- természetes személy esetében a személy nevét;

c) legalább az aláíró neve vagy pedig egy álnév;. álnév használata esetén ezt egyértelműen jelezni kell;

d) az elektronikus aláírás érvényesítéséhez használt adat, amely megfelel az elektronikus aláírás létrehozásához használt adatnak;

e) a tanúsítvány érvényességi idejének kezdete és vége;

f) a tanúsítvány azonosító kódja, amelynek a minősített bizalmi szolgáltatóhoz tartozó egyedi kódnak kell lennie;

g) a minősített bizalmi szolgáltató fokozott biztonságú elektronikus aláírása vagy fokozott biztonságú elektronikus bélyegzője;

h) az a helyszín, ahol a g) pontban említett, a fokozott biztonságú elektronikus aláírásra vagy fokozott biztonságú elektronikus bélyegzőre vonatkozó tanúsítvány ingyenesen hozzáférhető;

i) információ a minősített tanúsítvány érvényességi állapotáról, vagy azoknak a szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető;

j) amennyiben az elektronikus aláírás érvényesítéséhez használt adathoz kapcsolódó, elektronikus aláírás létrehozásához használt adat minősített elektronikus aláírást létrehozó eszközön található, ennek megfelelő feltüntetése, legalább automatizált feldolgozásra alkalmas formában.

II. MELLÉKLET

A MINŐSÍTETT ELEKTRONIKUS ALÁÍRÁST LÉTREHOZÓ ESZKÖZÖKRE VONATKOZÓ KÖVETELMÉNYEK

1. A minősített elektronikus aláírást létrehozó eszközöknek megfelelő technikai és eljárási megoldások segítségével garantálniuk kell legalább azt, hogy:

a) az elektronikus aláírás létrehozásához használt adat bizalmassága ésszerű mértékben biztosítva legyen;

b) az elektronikus aláírás létrehozásához használt adat gyakorlatilag csak egyszer jöhessen létre;

c) az elektronikus aláírás létrehozásához használt adatok kikövetkeztethetősége ésszerű mértékig kizárható legyen, az elektronikus aláírás pedig megbízhatóan védve legyen a jelenleg rendelkezésre álló technológiákkal elkövetett hamisítás ellen;

d) az elektronikus aláírás létrehozásához használt adatot a jogszerűen aláíró személy megbízható védelemmel tudja ellátni a mások általi felhasználás ellen.

2. A minősített elektronikus aláírást létrehozó eszközök nem módosíthatják az aláírással ellátandó adatokat, és nem akadályozhatják meg, hogy az adatokat az aláíró az aláírás előtt megtekintse.

III. MELLÉKLET

AZ ELEKTRONIKUS BÉLYEGZŐK MINŐSÍTETT TANÚSÍTVÁNYAIRA VONATKOZÓ KÖVETELMÉNYEK

Az elektronikus bélyegzők minősített tanúsítványainak a következőket kell tartalmazniuk:

a) legalább automatizált feldolgozásra alkalmas formában utalnia kell arra, hogy a tanúsítványt elektronikus bélyegző minősített tanúsítványaként bocsátották ki;

b) a minősített tanúsítványt kibocsátó minősített bizalmi szolgáltatót egyértelműen azonosító adatok, beleértve legalább azt a tagállamot, amelyben az érintett szolgáltató letelepedett és

- jogi személy esetében a hivatalos nyilvántartásban szereplő megnevezést és adott esetben nyilvántartási számot,

- természetes személy esetében a személy nevét;

c) a bélyegző létrehozójának legalább a hivatalos nyilvántartásban szereplő neve és adott esetben nyilvántartási száma;

d) az elektronikus bélyegző érvényesítéséhez használt adat, amelyek megfelel az elektronikus bélyegző létrehozásához használt adatnak;

e) a tanúsítvány érvényességi idejének kezdete és vége;

f) a tanúsítvány azonosító kódja, amelynek a minősített bizalmi szolgáltatóhoz tartozó egyedi kódnak kell lennie;

g) a minősített bizalmi szolgáltató fokozott biztonságú elektronikus aláírása vagy fokozott biztonságú elektronikus bélyegzője;

h) az a helyszín, ahol a g) pontban említett, a fokozott biztonságú elektronikus aláírásra vagy fokozott biztonságú elektronikus bélyegzőre vonatkozó tanúsítvány ingyenesen hozzáférhető;

i) információ a minősített tanúsítvány érvényességi állapotáról, vagy azoknak a szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető;

j) amennyiben az elektronikus bélyegző érvényesítéséhez használt adathoz kapcsolódó, elektronikus bélyegző létrehozásához használt adat minősített elektronikus bélyegzőt létrehozó eszközön található, ennek megfelelő feltüntetése, legalább automatizált feldolgozásra alkalmas formában.

IV. MELLÉKLET

WEBOLDAL HITELESÍTÉSÉRE SZOLGÁLÓ MINŐSÍTETT TANÚSÍTVÁNYOKRA VONATKOZÓ KÖVETELMÉNYEK

A weboldal hitelesítésére szolgáló minősített tanúsítványnak a következőket kell tartalmaznia:

a) legalább automatizált feldolgozásra alkalmas formában utalnia kell arra, hogy a tanúsítványt weboldal hitelesítésére szolgáló minősített tanúsítványként bocsátották ki;

b) a minősített tanúsítványt kibocsátó minősített bizalmi szolgáltatót egyértelműen azonosító adatok, beleértve legalább azt a tagállamot, amelyben az érintett szolgáltató letelepedett és

- jogi személy esetében a hivatalos nyilvántartásban szereplő megnevezést és adott esetben nyilvántartási számot,

- természetes személy esetében a személy nevét;

c) természetes személyek esetében legalább annak a személynek a neve, aki számára a tanúsítványt kibocsátották, vagy egy álnév; álnév használata esetén ezt egyértelműen jelezni kell;

ca) jogi személy esetében az azon jogi személyt egyértelműen azonosító egyedi adatok, amely számára a tanúsítványt kibocsátották; ezen adatok között szerepelnie kell legalább azon jogi személy hivatalos nyilvántartásban szereplő megnevezését és - adott esetben - nyilvántartási számát, amely számára a tanúsítványt kibocsátották;

d) annak a természetes vagy jogi személynek a címéhez tartozó elemek, beleértve legalább a várost és a tagállamot, amelynek a számára a tanúsítványt kibocsátják, adott esetben a hivatalos nyilvántartásban szereplő formában;

e) a kibocsátott tanúsítvány jogosultjaként megnevezett természetes vagy jogi személy által működtetett doménnév (doménnevek).

f) a tanúsítvány érvényességi idejének kezdete és vége;

g) a tanúsítvány azonosító kódja, amelynek a minősített bizalmi szolgáltatóhoz tartozó egyedi kódnak kell lennie;

h) a minősített bizalmi szolgáltató fokozott biztonságú elektronikus aláírása vagy fokozott biztonságú elektronikus bélyegzője;

i) az a helyszín, ahol a h) pontban említett fokozott biztonságú elektronikus aláírásra vagy fokozott biztonságú elektronikus bélyegzőre vonatkozó tanúsítvány ingyenesen hozzáférhető;

j) információ a minősített tanúsítvány érvényességi állapotáról, vagy azoknak a tanúsítvány érvényességi állapotával kapcsolatos szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető.

V. MELLÉKLET

A MINŐSÍTETT ELEKTRONIKUS ATTRIBÚTUMTANÚSÍTVÁNYRA VONATKOZÓ KÖVETELMÉNYEK

A minősített elektronikus attribútumtanúsítványnak a következőket kell tartalmaznia:

a) legalább automatizált feldolgozásra alkalmas formában utalnia kell arra, hogy a tanúsítványt minősített elektronikus attribútumtanúsítványként bocsátották ki;

b) a minősített elektronikus attribútumtanúsítványt kibocsátó minősített bizalmi szolgáltatót egyértelműen azonosító adatok, beleértve legalább azt a tagállamot, amelyben az érintett szolgáltató letelepedett, valamint:

i. jogi személy esetében a hivatalos nyilvántartásban szereplő megnevezés és adott esetben nyilvántartási szám;

ii. természetes személy esetében a személy neve;

c) az azon szervezetet egyértelműen azonosító adatok, amelyre a tanúsított attribútumok vonatkoznak; álnév használata esetén ezt egyértelműen jelezni kell;

d) a tanúsított attribútum vagy attribútumok, beleértve adott esetben az említett attribútumok alkalmazási körének meghatározásához szükséges információkat;

e) a tanúsítvány érvényességi idejének kezdete és vége;

f) a tanúsítvány azonosító kódja, amelynek a minősített bizalmi szolgáltatóhoz tartozó egyedi kódnak kell lennie, továbbá adott esetben annak a tanúsítási rendszernek a megjelölése, amelynek az attribútumtanúsítvány a részét képezi;

g) a tanúsítványt kibocsátó minősített bizalmi szolgáltató minősített elektronikus aláírása vagy minősített elektronikus bélyegzője;

h) az a helyszín, ahol a g) pontban említett, a minősített elektronikus aláírásra vagy minősített elektronikus bélyegzőre vonatkozó tanúsítvány ingyenesen elérhető;

i) információ a minősített tanúsítvány érvényességi állapotáról, vagy azoknak a szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető.

VI. MELLÉKLET

AZ ATTRIBÚTUMOK MINIMÁLIS KÖRÉNEK LISTÁJA

A 45e. cikkel összhangban a tagállamok biztosítják olyan intézkedések meghozatalát, amelyek lehetővé teszik az elektronikus attribútumtanúsítványok minősített bizalmi szolgáltatói számára, hogy a felhasználó kérésére elektronikus úton ellenőrizhessék a következő attribútumok hitelességét a nemzeti szintű, releváns hiteles forrás alapján vagy az uniós vagy a nemzeti joggal összhangban nemzeti szinten elismert, kijelölt köztes szereplőkön keresztül, amennyiben ezek az attribútumok a közszférán belüli hiteles forrásokra támaszkodnak:

1. cím;

2. életkor;

3. nem;

4. családi állapot;

5. családösszetétel;

6. nemzetiség vagy állampolgárság;

7. iskolai végzettségek, címek és engedélyek;

8. szakmai képesítések, címek és engedélyek;

9. természetes vagy jogi személyek képviseletére vonatkozó meghatalmazások és megbízások;

10. nyilvános engedélyek;

11. jogi személyek esetében pénzügyi és vállalati adatok.

VII. MELLÉKLET

A HITELES FORRÁSÉRT FELELŐS KÖZIGAZGATÁSI SZERV ÁLTAL VAGY NEVÉBEN KIBOCSÁTOTT ELEKTRONIKUS ATTRIBÚTUMTANÚSÍTVÁNYOKRA VONATKOZÓ KÖVETELMÉNYEK

A hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványnak az alábbiakat kell tartalmaznia:

a) annak jelzése - legalább automatizált feldolgozásra alkalmas formában -, hogy a tanúsítványt valamely hiteles forrásért felelős közigazgatási szerv által vagy nevében kibocsátott elektronikus attribútumtanúsítványként adták ki;

b) az elektronikus attribútumtanúsítványt kibocsátó közigazgatási szervet egyértelműen azonosító adatok, beleértve legalább azt a tagállamot, amelyben az érintett közigazgatási szerv letelepedett, valamint a közigazgatási szervnek a hivatalos nyilvántartásban szereplő megnevezését és adott esetben nyilvántartási számát;

c) az azon szervezetet egyértelműen azonosító adatok, amelyre a tanúsított attribútumok vonatkoznak; álnév használata esetén ezt egyértelműen jelezni kell;

d) a tanúsított attribútum vagy attribútumok, beleértve adott esetben az említett attribútumok alkalmazási körének meghatározásához szükséges információkat;

e) a tanúsítvány érvényességi idejének kezdete és vége;

f) a tanúsítvány azonosító kódja, amelynek a kibocsátó közigazgatási szervhez tartozó egyedi kódnak kell lennie, és adott esetben annak a tanúsítási rendszernek a megjelölése, amelynek az attribútumtanúsítvány a részét képezi;

g) a kibocsátó szerv minősített elektronikus aláírása vagy minősített elektronikus bélyegzője;

h) az a helyszín, ahol a g) pontban említett, a minősített elektronikus aláírásra vagy minősített elektronikus bélyegzőre vonatkozó tanúsítvány ingyenesen elérhető;

i) információ a tanúsítvány érvényességi állapotáról, vagy azoknak a szolgáltatásoknak a helye, amelyek segítségével arról felvilágosítás kérhető.

( 1 ) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).

( 2 ) Az Európai Parlament és a Tanács 2014. február 26-i 2014/24/EU irányelve a közbeszerzésről és a 2004/18/EK irányelv hatályon kívül helyezéséről (HL L 94., 2014.3.28., 65. o.).

( 3 ) Az Európai Parlament és a Tanács (EU) 2019/882 irányelve (2019. április 17.) a termékekre és a szolgáltatásokra vonatkozó akadálymentességi követelményekről (HL L 151., 2019.6.7., 70. o.).

( 4 ) Az Európai Parlament és a Tanács (EU) 2019/881 rendelete (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) (HL L 151., 2019.6.7., 15. o.).

( 5 ) A Bizottság 2003/361/EK ajánlása (2003. május 6.) a mikro-, kis- és középvállalkozások meghatározásáról (HL L 124., 2003.5.20., 36. o.).

( 6 ) Az Európai Parlament és a Tanács (EU) 2022/2065 rendelete (2022. október 19.) a digitális szolgáltatások egységes piacáról és a 2000/31/EK irányelv módosításáról (digitális szolgáltatásokról szóló rendelet) (HL L 277., 2022.10.27., 1. o.).

( 7 ) Az Európai Parlament és a Tanács (EU) 2022/1925 rendelete (2022. szeptember 14.) a digitális ágazat vonatkozásában a versengő és tisztességes piacokról, valamint az (EU) 2019/1937 és az (EU) 2020/1828 irányelv módosításáról (digitális piacokról szóló jogszabály) (HL L 265., 2022.10.12., 1. o.).

( 8 ) Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) (HL L 333., 2022.12.27., 80. o.).