13/Sv. 048

HR

Službeni list Europske unije

84

---

32011D0130

---

L 053/66

SLUŽBENI LIST EUROPSKE UNIJE

25.02.2011.

---

ODLUKA KOMISIJE

od 25. veljače 2011.

o uspostavljanju minimalnih zahtjeva za prekograničnu obradu dokumenata koje elektronički potpisuju nadležna tijela prema Direktivi 2006/123/EZ Europskog parlamenta i Vijeća o uslugama na unutarnjem tržištu

(priopćena pod brojem dokumenta C(2011) 1081)

(Tekst značajan za EGP)

(2011/130/EU)

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Direktivu 2006/123/EZ Europskog parlamenta i Vijeća od 12. prosinca 2006. o uslugama na unutarnjem tržištu (1), a posebno njezin članak 8. stavak 3.

budući da:

(1)

Davatelji usluga čije usluge potpadaju pod područje primjene Direktive 2006/123/EZ moraju moći okončati, kroz jedinstvena mjesta kontakta i elektroničkim putem, postupke i formalnosti potrebne za pristup aktivnostima i njihovu provedbu. U granicama utvrđenim u članku 5. stavku 3. Direktive 2006/123/EZ još uvijek se mogu pojaviti slučajevi u kojima davatelji usluga moraju predati izvorne dokumente, ovjerene preslike ili ovjerene prijevode pri okončavanju takvih postupaka i formalnosti. U tim slučajevima davatelji usluga možda moraju predati dokumente koje su elektronički potpisala nadležna tijela.

(2)

Prekogranična uporaba naprednih elektroničkih potpisa koji su potkrijepljeni kvalificiranim certifikatom olakšana je Odlukom Komisije 2009/767/EZ od 16. listopada 2009. o uspostavljanju mjera kojima se olakšava uporaba postupaka na elektronički način kroz „jedinstvena mjesta kontakta” prema Direktivi 2006/123/EZ Europskog parlamenta i Vijeća o uslugama na unutarnjem tržištu (2) kojom se, između ostalog, državama članicama određuje obveza provedbe procjena rizika prije no što od davatelja usluga zatraže navedene elektroničke potpise i uspostavljaju pravila sukladno kojima države članice prihvaćaju napredne elektroničke potpise na temelju kvalificiranih certifikata izrađenih sredstvima ili bez sredstava za sigurnu izradu potpisa. Međutim, Odlukom 2009/767/EZ ne uređuju se oblici elektroničkih potpisa u dokumentima koje izdaju nadležna tijela i koje davatelji usluga trebaju predati pri okončanju relevantnih postupaka i formalnosti.

(3)

Budući da nadležna tijela u državama članicama trenutačno koriste različite oblike naprednih elektroničkih potpisa za elektroničko potpisivanje svojih dokumenata, države članice primateljice koje moraju obraditi navedene dokumente mogu biti suočene s tehničkim poteškoćama zbog raznolikosti oblika potpisa u uporabi. Kako bi davatelji usluga mogli okončati svoje postupke i formalnosti preko granice u elektroničkom obliku, potrebno je osigurati da države članice mogu tehnički podržati barem izvjestan broj oblika naprednog elektroničkog potpisa kada od nadležnih tijela iz drugih država članica zaprime elektronički potpisane dokumente. Definiranjem broja oblika naprednog elektroničkog potpisa koje država članica primateljica treba tehnički podržati omogućila bi se veća automatizacija i poboljšanje prekograničnoga međudjelovanja elektroničkih postupaka.

(4)

Države članice čija nadležna tijela koriste drukčije oblike elektroničkog potpisa od opće prihvaćenih možda primjenjuju sredstva potvrđivanja koja omogućuju provjeru njihovih potpisa i preko granica. Ako je to slučaj i kako bi se države članice primateljice mogle osloniti na navedene alate potvrđivanja, potrebno je staviti na raspolaganje informacije o navedenim alatima na lako dostupan način, osim ako su potrebne informacije izravno uključene u elektroničku dokumentaciju, elektroničke potpise ili zapise elektroničkih dokumenata.

(5)

Ova Odluka ne utječe na odluku država članica o tome što čini izvornik, ovjerenu presliku ili ovjereni prijevod. Njezin je cilj ograničen na olakšavanje provjere elektroničkih potpisa ako se koriste u izvornicima, ovjerenim preslikama ili ovjerenim prijevodima koje davatelji usluga trebaju dostaviti putem jedinstvenog mjesta kontakta.

(6)	Kako bi se državama članicama omogućilo uvođenje potrebnih tehničkih alata, primjereno je da se ova Odluka primjenjuje od 1. kolovoza 2011.

(7)	Mjere predviđene ovom Odlukom u skladu su s mišljenjem Odbora za direktivu o uslugama,

DONIJELA JE OVU ODLUKU:

Članak 1.

Referentni oblik za elektroničke potpise

1.   Države članice uspostavljaju potrebna tehnička sredstva koja im omogućuju obradu elektronički potpisanih dokumenata koje davatelji usluga dostavljaju u okviru okončanja postupaka i formalnosti kroz jedinstvena mjesta kontakta kako je predviđeno člankom 8. Direktive 2006/123/EZ i koje su nadležna tijela drugih država članica potpisala XML, CMS ili PDF naprednim elektroničkim potpisom u BES ili EPES formatu koji je u skladu s tehničkim specifikacijama određenim u Prilogu.

2.   Države članice čija nadležna tijela potpisuju dokumente iz stavka 1. koristeći druge oblike elektroničkih potpisa osim onih navedenih u istom stavku obavješćuju Komisiju o postojećim mogućnostima potvrđivanja koje drugim državama članicama omogućuju potvrđivanje zaprimljenih elektroničkih potpisa online, besplatno i na način koji je razumljiv neizvornim govornicima, osim ako su potrebne informacije već uključene u dokument, u elektronički potpis ili u zapis elektroničkog dokumenta. Komisija će navedene informacije staviti na raspolaganje svim državama članicama.

Članak 2.

Primjena

Ova se Odluka primjenjuje od 1. kolovoza 2011.

Članak 3.

Adresati

Ova je Odluka upućena državama članicama.

---

(1)  SL L 376, 27.12.2006., str. 36.

(2)  SL L 274, 20.10.2009., str. 36.

---

PRILOG

Specifikacije za XML, CMS ili PDF napredni elektronički potpis koje tehnički podržava država članica primateljica

U sljedećem dijelu dokumenta ključne riječi „MORA”, „NE SMIJE”, „ZAHTIJEVA”, „MORA”, „NE SMIJE”, „TREBA”, „NE TREBA”, „PREPORUČUJE”, „MOŽE” i „NIJE OBVEZNO” tumače se kako je opisano u RFC-u 2119 (1).

ODJELJAK 1. —   XadES-BES/EPES

Potpis je u skladu sa specifikacijama W3C XML potpisa (2)

Potpis MORA imati barem oblik potpisa XAdES-BES (ili -EPES) kako je određeno u specifikacijama ETSI TS 101 903 za XAdES (3) i u skladu sa svim sljedećim dodatnim specifikacijama:

Metodom za kanonikalizaciju ds:CanonicalizationMethod, kojom se određuje algoritam kanonikalizacije primijenjen na element SignedInfo prije izračuna potpisa, utvrđuje se samo jedan od sljedećih algoritama: Canonical XML 1.0 (bez napomena) : http://www.w3.org/TR/2001/REC-xml-c14n-20010315 Canonical XML 1.1 (bez napomena) : http://www.w3.org/2006/12/xml-c14n11 Exclusive XML Canonicalization 1.0 (bez napomena) : http://www.w3.org/2001/10/xml-exc-c14n#

Druge algoritme ili inačice gore navedenih algoritama „s napomenama” NE TREBA koristiti za izradu potpisa, ali ih TREBA podržavati zbog preostaloga međudjelovanja za provjeru potpisa.

MD5 (RFC 1321) NE SMIJE se koristiti kao kriptografski algoritam. Potpisnici se upućuju na mjerodavne nacionalne zakone, za smjernice na ETSI TS 102 176 (4), a za daljnje preporuke o algoritmima i parametrima koji ispunjavaju uvjete za elektroničke potpise na izvješće ECRYPT2 D.SPA.x (5).

Uporaba transformacija ograničena je na dolje navedene:

transformacije kanonikalizacije: vidi gore navedene povezane specifikacije;

kodiranje base64 (http://www.w3.org/2000/09/xmldsig#base64),

filtriranje: XPath (http://www.w3.org/TR/1999/REC-xpath-19991116): zbog sukladnosti i usklađivanja s XMLDSig, XPath Filter 2.0 (http://www.w3.org/2002/06/xmldsig-filter2): kao nasljednik za XPath zbog pitanja u vezi s izvedbom,

transformacija omotanog potpisa: (http://www.w3.org/2000/09/xmldsig#enveloped-signature).

XSLT transformacija (datoteka sa stilovima).

Element ds:KeyInfo MORA uključivati potpisnikov X.509 v3 digitalni certifikat (tj. njegovu vrijednosti, a ne samo upućivanje na nju).

Svojstvo potpisa „SigningCertificate” (certifikat potpisa) MORA sadržavati kodiranu vrijednost (CertDigest) i serijski broj (IssuerSerial) potpisnikovoga certifikata pohranjenog u ds:KeyInfo, a opcionalni URI u polju „SigningCertficate” NE SMIJE se koristiti.

Svojstvo potpisa „SigningTime” (vrijeme potpisa) navedeno je i sadrži UTC izražen kao xsd:dateTime (http://www.w3. org/TR/xmlschema-2/#dateTime).

Element DataObjectFormat (oblik podataka) MORA biti naveden i sadržavati podelement MimeType.

Ako se potpisi koje koriste države članice temelje na kvalificiranom certifikatu, PKI objekti (lanci certifikata, podaci o opozivu, oznake vremena nastanka upisane u poruku) uključeni u potpise mogu se provjeriti, u skladu s Odlukom Komisije 2009/767/EZ, pomoću pouzdanog popisa države članice koja nadzire ili akreditira davatelja usluga certificiranja koji je izdao certifikat potpisnika.

U tablici 1 sažete su specifikacije s kojima XAdES-BES/EPES potpis mora biti usklađen kako bi ga tehnički podržala država članica primateljica.

Tablica 1

ODJELJAK 2. —   CadES-BES/EPES

Potpis je u skladu sa specifikacijama potpisa Cryptographic Message Syntax (CMS) (sintaksa kriptografske poruke (CMS)) (6).

Potpis koristi obilježja potpisa CAdES-BES (ili -EPES) kako je određeno u specifikacijama ETSI TS 101 733 za CAdES (7) i u skladu je s dodatnim specifikacijama kako je navedeno u Tablici 2 dolje.

Sva obilježja CAdES-a koja su uključena u izračun hash algoritma oznake vremena nastanka upisane u poruku za arhiv (ETSI TS 101 733 V1.8.1 Annex K) MORAJU biti kodirane u DER formatu, dok sva druga mogu biti u BER formatu kako bi se pojednostavila jednokratna obrada CAdES-a.

MD5 (RFC 1321) NE SMIJE se koristiti kao kodni algoritam. Potpisnici se upućuju na mjerodavne nacionalne zakone, za smjernice na ETSI TS 102 176 (8), a za daljnje preporuke o algoritmima i parametrima koji ispunjavaju uvjete za elektroničke potpise na izvješće ECRYPT2 D.SPA.x (9).

Obilježja potpisa MORAJU uključivati upućivanje na potpisnikov X.509 v3 digitalni certifikat (RFC 5035), a polje SignedData.certificates MORA uključivati njegovu vrijednost.

Obilježje potpisa SigningTime MORA biti navedeno i MORA sadržavati UTC izražen kao u http://tools.ietf.org/html/ rfc5652#section-11.3.

Obilježje potpisa ContentType MORA biti navedeno i mora sadržavati id-data (http://tools.ietf.org/html/rfc5652#section-4) ako je vrsta sadržaja podataka namijenjena upućivanju na proizvoljni niz okteta, kao što je UTF-8 tekst ili ZIP spremnik s podelementom MimeType.

Ako se potpisi koje koriste države članice temelje na kvalificiranom certifikatu, PKI objekti (lanci certifikata, podaci o opozivu, oznake vremena nastanka upisane u poruku) uključeni u potpise mogu se provjeriti, u skladu s Odlukom Komisije 2009/767/EZ, pomoću pouzdanog popisa države članice koja nadzire ili akreditira davatelja usluga certificiranja koji je izdao certifikat potpisnika.

Tablica 2

ODJELJAK 3. —   PadES-DIO 3 (BES/EPES)

Potpis MORA koristiti PAdES-BES (ili -EPES) ekstenziju potpisa kako je određeno u specifikacijama ETSI TS 102 778 za PAdES-dio 3 (10). i biti u skladu sa sljedećim dodatnim specifikacijama:

MD5 (RFC 1321) NE SMIJE se koristiti kao kodni algoritam. Potpisnici se upućuju na mjerodavne nacionalne zakone, za smjernice na ETSI TS 102 176 (11), a za daljnje preporuke za algoritme i parametre koji ispunjavaju uvjete za elektroničke potpise na izvješće ECRYPT2 D.SPA.x (12).

Obilježja potpisa MORAJU uključivati upućivanje na potpisnikov X.509 v3 digitalni certifikat (RFC 5035), a polje SignedData.certificates MORA uključivati njegovu vrijednost.

Vrijeme potpisivanja naznačeno je vrijednošću unosa M u rječniku potpisa.

Ako se potpisi koje koriste države članice temelje na kvalificiranom certifikatu, PKI objekti (lanci certifikata, podaci o opozivu, oznake vremena nastanka upisane u poruku) uključeni u potpise mogu se provjeriti, u skladu s Odlukom 2009/767/EZ, pomoću pouzdanog popisa države članice koja nadzire ili akreditira davatelja usluga certificiranja koji je izdao certifikat potpisnika.

---

(1)  IETF RFC 2119: „Ključne riječi za uporabu u RFC-ima kojima se naznačuju razine zahtjeva”.

(2)  W3C, XML Signature Syntax and Processing, (Version 1.1), http://www.w3.org/TR/xmldsig-core1/

W3C, XML Signature Syntax and Processing, (Second Edition), http://www.w3.org/TR/xmldsig-core/

W3C, XML Signature Best Practices, http://www.w3.org/TR/xmldsig-bestpractices/.

(3)  ETSI TS 101 903 v1.4.1: XML Advanced Electronic Signatures (XAdES).

(4)  ETSI TS 102 176: Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms; Part 2: ‧Secure channel protocols and algorithms for signature creation devices‧.

(5)  Najnovija inačica je D.SPA.13 ECRYPT2 Yearly Report on Algorithms and Key sizes (2009.-2010.), označena datumom 30. ožujka 2010. (http://www. ecrypt.eu.org/documents/D.SPA.13.pdf)

(6)  IETF, RFC 5652, Cryptographic Message Syntax (CMS), http://tools.ietf.org/html/rfc5652.

IETF, RFC 5035, Enhanced Security Services (ESS) Update: Adding CertID Algorithm Agility, http://tools.ietf.org/html/rfc5035.

IETF, RFC 3161, Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP), http://tools.ietf.org/html/rfc3161.

(7)  ETSI TS 101 733 v.1.8.1: CMS Advanced Electronic Signatures (CAdES).

(8)  ETSI TS 102 176: Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms; Part 2: ‧Secure channel protocols and algorithms for signature creation devices‧.

(9)  Najnovija inačica je D.SPA.13 ECRYPT2 Yearly Report on Algorithms and Key sizes (2009.-2010.), označena datumom 30. ožujka 2010. (http://www. ecrypt.eu.org/documents/D.SPA.13.pdf).

(10)  ETSI TS 102 778-3 v1.2.1: PDF Advanced Electronic Signatures (PAdES), PAdES Enhanced — PAdES-Basic Electronic Signatures and PAdES-Explicit Policy Electronic Signatures Profiles.

(11)  ETSI TS 102 176: Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms; Part 2: ‧Secure channel protocols and algorithms for signature creation devices‧.

(12)  Najnovija inačica je D.SPA.13 ECRYPT2 Yearly Report on Algorithms and Key sizes (2009.-2010.), označena datumom 30. ožujka 2010. (http://www. ecrypt.eu.org/documents/D.SPA.13.pdf).

---