Член 24

Изисквания към доставчиците на квалифицирани удостоверителни услуги

1. При издаването на квалифицирано удостоверение или квалифицирано електронно удостоверение за атрибути доставчикът на квалифицирани удостоверителни услуги проверява самоличността и ако е приложимо, специфични атрибути на физическото или юридическото лице, на което ще бъде издадено квалифицираното удостоверение или квалифицираното електронно удостоверение за атрибути.

1а. Проверката на самоличността, посочена в параграф 1 се извършва с подходящи средства от доставчика на квалифицирани удостоверителни услуги пряко или чрез трета страна, въз основа на един от следните методи или — при необходимост — на комбинация от тях, в съответствие с актовете за изпълнение, посочени в параграф 1в:

a) чрез европейския портфейл за цифрова самоличност или средство за електронна идентификация, за което е извършено уведомяване и което отговаря на изискванията по член 8 по отношение на ниво на осигуреност „високо“;

б) чрез удостоверение за квалифициран електронен подпис или за квалифициран електронен печат, издадено в съответствие с буква а), в) или г);

в) чрез други методи за идентификация, които гарантират идентифицирането на лицето с висока степен на надеждност и чието съответствие се потвърждава от орган за оценяване на съответствието;

г) чрез физическото присъствие на физическото лице или на упълномощен представител на юридическото лице посредством подходящи доказателства и процедури, в съответствие с националното право.

1б. Проверката на атрибутите, посочена в параграф 1, се извършва с подходящи средства от доставчика на квалифицирани удостоверителни услуги пряко или чрез трета страна, въз основа на един от следните методи или — при необходимост — на комбинация от тях, в съответствие с актовете за изпълнение, посочени в параграф 1в:

a) чрез европейския портфейл за цифрова самоличност или средство за електронна идентификация, за което е извършено уведомяване и което отговаря на изискванията по член 8 по отношение на ниво на осигуреност „високо“;

б) чрез удостоверение за квалифициран електронен подпис или за квалифициран електронен печат, издадено в съответствие с параграф 1а, буква а), в) или г);

в) чрез квалифицирано електронно удостоверение за атрибути;

г) чрез други методи, които гарантират проверка на атрибутите с висока степен на надеждност и чието съответствие се потвърждава от орган за оценяване на съответствието;

д) чрез физическото присъствие на физическото лице или на упълномощен представител на юридическото лице посредством подходящи доказателства и процедури в съответствие с националното право.;

1в. До 21 май 2025 г., Комисията, посредством актове за изпълнение, изготвя списък с референтни стандарти и, когато е необходимо, установява спецификациите и процедурите за проверката на самоличността и атрибутите в съответствие с параграфи 1, 1а и 1б от настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.

2. Доставчик на квалифицирани удостоверителни услуги:

а) информира надзорния орган най-малко един месец преди извършването на каквато и да е промяна в предоставяните от него квалифицирани удостоверителни услуги или най-малко три месеца предварително в случай на намерение за прекратяване на тези дейности.

б) наема персонал и, ако е приложимо, подизпълнители, които притежават необходимите експертни знания, надеждност, опит и квалификация и са преминали подходящо обучение относно правилата за сигурност и защита на личните данни, и прилага съответстващи на европейските или международните стандарти административни и управленски процедури;

в) във връзка с риска от отговорност за нанесени щети в съответствие с член 13 поддържа достатъчни финансови ресурси и/или сключва подходяща застраховка за отговорност в съответствие с националното право;

г) преди встъпването в договорни отношения информира по ясен, изчерпателен и лесно достъпен начин на публично достъпно място и персонално всяко лице, което иска да използва квалифицирана удостоверителна услуга, за точните условия и ред за използване на тази услуга, включително за всякакви ограничения, свързани с използването ѝ;

д) използва надеждни системи и продукти, които са защитени срещу промяна, и гарантира техническата сигурност и надеждност на поддържаните от тях процеси, включително посредством подходящи криптографски техники;

е) използва надеждни системи за съхранение на предоставените му данни във вид, позволяващ проверка, така че:

i) те да са публично достъпни за извличане само в случаите, когато е получено съгласието на лицето, за което се отнасят данните;

ii) само упълномощени лица да могат да въвеждат информация и да внасят промени в съхраняваните данни;

iii)

да може да бъде проверена автентичността на данните;

еа) независимо от разпоредбите на член 21 от Директива (ЕС) 2022/2555, има подходящи политики и взема съответните мерки за управление на правните, стопанските, оперативните и другите преки или косвени рискове, свързани с предоставянето на квалифицирани удостоверителни услуги, включително най-малко мерки, свързани със следното:

i) процедури за регистрация и интегриране за дадена услуга;

ii) процедурни или административни проверки;

iii)

управлението и прилагането на услугите;

еб) уведомява надзорния орган, засегнатите лица, които могат да бъдат установени, други имащи отношение компетентни органи, когато е приложимо, и по искане на надзорния орган — обществеността, ако това е от обществен интерес, за всякакви пробиви в сигурността или смущения в предоставянето на услугата или изпълнението на мерките, посочени в буква еа), подточки i), ii) или iii), които имат значително въздействие върху предоставяната удостоверителна услуга или върху съхраняваните в нея лични данни, без неоснователно забавяне и при всички случаи не по-късно от 24 часа след инцидента.

ж) взема подходящи мерки срещу подправяне, кражба или присвояване на данни или неправомерно заличаване или изменяне на данни, или заключване на достъпа до тях;

з) записва и съхранява на разположение за необходимия период от време след прекратяване на дейностите на доставчика на квалифицирани удостоверителни услуги цялата имаща отношение информация във връзка с данните, издадени и получени от доставчик на квалифицирани удостоверителни услуги, с оглед предоставяне на доказателство при съдебни производства и осигуряване на непрекъснатост на услугата. Тези записи могат да бъдат направени по електронен път;

и) разполага с актуализиран план за осигуряване на непрекъснатост на обслужването в случай на прекратяване на дейността в съответствие с разпоредбите, които са преминали проверка от надзорния орган съгласно член 46б, параграф 4, точка (i);

—————

к) в случай на доставчици на квалифицирани удостоверителни услуги, които издават квалифицирани удостоверения — създава база данни с удостоверения и редовно я актуализира.

Надзорният орган може да поиска информация в допълнение към информацията, съобщена съгласно първа алинея, буква а), или към резултата от оценяването на съответствието, и може да обвърже с условия предоставянето на разрешение за извършване на планираните промени в квалифицираните удостоверителни услуги. Ако проверката не приключи в тримесечен срок от уведомяването, надзорният орган информира доставчика на удостоверителни услуги, като посочва причините за забавянето и срока, в който трябва да приключи проверката.

3. Ако доставчик на квалифицирани удостоверителни услуги, който издава квалифицирани удостоверения, реши да отмени удостоверение, той регистрира тази отмяна в неговата база данни с удостоверения и публикува отменения статут на удостоверението своевременно, но във всички случаи в срок до24 часа след като бъде получено искането. Отмяната става валидна веднага след като бъде публикувана.

4. Във връзка с параграф 3 доставчиците на квалифицирани удостоверителни услуги, които издават квалифицирани удостоверения, предоставят на всяка доверяваща се страна информация относно валидността или отмяната на издадените от тях квалифицирани удостоверения. Тази информация се предоставя на разположение по всяко време и дори след срока на валидност на удостоверението най-малко въз основа на удостоверение по автоматизиран начин, който е надежден, безплатен и ефикасен.

4a . Параграфи 3 и 4 се прилагат съответно по отношение на отмяната на квалифицирани електронни удостоверения за атрибути.

4б. На Комисията се предоставя правомощие да приема делегирани актове в съответствие с член 47 за установяване на допълнителните мерки, посочени в параграф 2, буква еа) от настоящия член.

5. До 21 май 2025 г., Комисията, посредством актове за изпълнение, изготвя списък с референтни стандарти и, когато е необходимо, установява спецификациите и процедурите за изискванията, посочени в параграф 2 от настоящия член. Приема се, че е налице съответствие с изискванията по настоящия параграф, когато са спазени тези стандарти, спецификации и процедури. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 48, параграф 2.