Δευτέρα 9 Ιουνίου 2014

Ο ΚΑΝΟΝΙΣΜΟΣ 910/2014 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για ηλεκτρονικές συναλλαγές στην εσωτερική αγορά - Μια πρώτη ματιά στο Νέο Κανονισμό


Ο κανονισμός  (ΕΕ) αριθ. 910/2014 : http://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:32014R0910&from=EN
Regulation (EU) N°910/2014  : http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32014R0910&from=EN
(http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2014.257.01.0073.01.ENG)


Σημαντικότατες αλλαγές επέρχονται με την ψήφιση από το Ευρωπαϊκό Κοινοβούλιο στις 3/4/2014 της Πρότασης για το νέο Κανονισμό που αφορά στην ηλεκτρονική ταυτοποίηση και τιςυπηρεσίες εμπιστοσύνης για ηλεκτρονικές συναλλαγές στην εσωτερική αγορά.

Ο Κανονισμός αυτός σε συνδυασμό με την πρόσφατη Οδηγία 2014/55/ΕΕ για την έκδοση ηλεκτρονικών τιμολογίων στο πλαίσιο των δημόσιων συμβάσεων, αλλά και την Οδηγία 2010/045/ΕΕ (που τροποποίησε την 2006/112/ΕΕ) σχετικά με το κοινό σύστημα ΦΠΑ  όσον αφορά τους κανόνες τιμολόγησης, αποτελούν πλέον το βασικό Ευρωπαϊκό Θεσμικό πλαίσιο, το οποίο αναμένεται να διαδραματίσει καταλυτικό ρόλο στους κανόνες και τις πρακτικές παροχής υπηρεσιών (εθνικών και διασυνοριακών) στον τομέα της Ηλεκτρονικής Τιμολόγησης, του Ηλεκτρονικού Εμπορίου, των Ηλεκτρονικών Συναλλαγών, αλλά και των ψηφιακών διασυνοριακών υπηρεσιών γενικότερα.

Ουσιαστικά, ο νέος αυτός κανονισμός, αντικαθιστά πλήρως την προηγούμενη Οδηγία για τις Ηλεκτρονικές Υπογραφές 1999/93/ΕΚ (που έχει ενσωματωθεί στο  Ελληνικό θεσμικό πλαίσιο με το Προεδρικό Διάταγμα 150/2001 και το σχετικό κανονιστικό πλαίσιο της ΕΕΤΤ) και  παράλληλα εισάγει μια σειρά από νέες οντότητες και υπηρεσίες που σχετίζονται με την ψηφιακή ταυτοποίηση. Ο Κανονισμός στοχεύει στη δημιουργία ενός πλαισίου για την αμοιβαία αναγνώριση και αποδοχή της ηλεκτρονικής ταυτοποίησης και αυθεντικοποίησης που σχετίζονται και με την παροχή και πρόσβαση σε σχετικές δημόσιες υπηρεσίες.

Σύμφωνα με το 1ο άρθρο του Κανονισμού, αντικείμενό του, αποτελούν
  • Ο καθορισμός των όρων υπό τους οποίους τα κράτη μέλη αναγνωρίζουν τα μέσα ηλεκτρονικής ταυτοποίησης φυσικών και νομικών προσώπων που εμπίπτουν σε κοινοποιημένο σύστημα ηλεκτρονικής ταυτοποίησης άλλου κράτους μέλους,
  • Η θέσπιση των κανόνων για τις υπηρεσίες εμπίστευσης, ιδίως για τις ηλεκτρονικές συναλλαγές, και
  • Η θέσπιση του νομικού πλαισίου για τις ηλεκτρονικές υπογραφές, τις ηλεκτρονικές σφραγίδες, τις ηλεκτρονικές χρονοσφραγίδες, τα ηλεκτρονικά έγγραφα, τις ηλεκτρονικές υπηρεσίες συστημένης παράδοσης και τις υπηρεσίες πιστοποιητικών για την επαλήθευση της ταυτότητας ιστοτόπων.
Ειδικότερα, η ασφάλεια δικαίου στις Ενωσιακές διασυνοριακές ηλεκτρονικές συναλλαγές απαιτεί περισσότερα από το καθεστώς της απερχόμενης Οδηγίας 1999/93/ΕΚ που θέσπισε (ή προσπάθησε να θεσπίσει) το ισοδύναμο μεταξύ της χειρόγραφης και της ηλεκτρονικής υπογραφής. Η επίτευξη ενός αποδεκτού επιπέδου ασφάλειας δικαίου στις διασυνοριακές ηλεκτρονικές συναλλαγές εξαρτάται από πολλά θέματα στα οποία περιλαμβάνονται :
  • Η ανάγκη αμοιβαίας αναγνώρισης και αποδοχής της ηλεκτρονικής ταυτότητας που μπορεί να δίνεται από ένα κ-μ σε έναν πολίτη, από τα άλλα κ-μ.
  • κανόνες χρήσης χρονοσφραγίδων
  • νομική ασφάλεια - βεβαιότητα ως προς το νομικό βάρος των ηλεκτρονικών εγγράφων (πχ ηλεκτρονικών τιμολογίων)
  • νομική ασφάλεια - βεβαιότητα για τις νομικές συνέπειες από τη χρήση υπηρεσιών ηλεκτρονικών διανομών και τους κανόνες που αυθεντικοποιούν ποιος  είναι ιδιοκτήτης ενός δικτυακού τόπου.
Ο προτεινόμενος κανονισμός στοχεύει ακριβώς στο να αντιμετωπίσει τα παραπάνω θέματα.

Συνοπτικά με τον Κανονισμό καθορίζεται το πλαίσιο για τα εξής :



Υπηρεσίες εμπιστοσύνης ή Έμπιστες Υπηρεσίες  - Πάροχοι Υπηρεσιών
Ο κανονισμός εισάγει την έννοια των «υπηρεσιών εμπιστοσύνης» ως μια νέα έννοια στο κοινοτικό δίκαιο. Οι υπηρεσίες που ορίζονται ως «υπηρεσίες εμπιστοσύνης» θα περιλαμβάνουν τη δημιουργία, τον έλεγχο, την επικύρωση, το χειρισμό και τη συντήρηση των ηλεκτρονικών υπογραφών, των ηλεκτρονικών σφραγίδων, τις ηλεκτρονικές χρονοσφραγίδες, τα ηλεκτρονικά έγγραφα, τις υπηρεσίες ηλεκτρονικών διανομών, της ταυτοποίησης ιστοσελίδων και υα ηλεκτρονικά πιστοποιητικά.
Η θέσπιση Παρόχων υπηρεσιών εμπιστοσύνης/εμπίστευσης  που θα εποπτεύονται κατ’ ευθείαν από τους Εθνικούς Φορείς Εποπτείας (και χωρίς να διαφαίνεται δυνατότητα εκχώρησης των υπηρεσιών εμπίστευσης σε τρίτες, υποκείμενες οντότητες), συνιστά –κατά την άποψή μου- θεμελιώδη αλλαγή, που επηρεάζει άμεσα και το σύστημα Υποδομών Δημόσιων Κλειδιών (Public Key Infrastructure - PKI). Το γεγονός αυτό, αναμένεται να περιορίσει τη δυσκολία εποπτείας και την ομολογουμένως υψηλού βαθμού πολυπλοκότητα της δενδροειδούς δομής PKI και να ανοίξει το δρόμο για παροχή συνδυαστικών και ασφαλών υπηρεσιών στις ηλεκτρονικές συναλλαγές γενικότερα. (e-Commerce, e-Invoicing, etc).
Οι Πάροχοι υπηρεσιών εμπίστευσης θα ευθύνονται για τυχόν άμεσες ζημίες όταν δεν θα συμμορφώνονται με τις ειδικές απαιτήσεις ασφάλειας που καθορίζονται στον κανονισμό ή ακόμη και αν ενεργούν από αμέλεια. Οι απαιτήσεις ασφάλειας που καθορίζονται από τον Κανονισμό, υποχρεώνουν τους Παρόχους υπηρεσιών εμπιστοσύνης  να κοινοποιούν στους εποπτεύοντες οργανισμούς κάθε παραβίαση της ασφάλειας εντός 24 ωρών από την εμφάνιση της παραβίασης, αλλά και την ενημέρωση του κοινού, όταν η αποκάλυψη της παραβίασης αφορά το δημόσιο συμφέρον. Επισημαίνεται επίσης ότι στους Παρόχους υπηρεσιών εμπιστοσύνης (ή εμπίστευσης) θα παρέχεται η δυνατότητα χρήση του ειδικού Ενωσιακού σήματος εμπίστευσης για εγκεκριμένες υπηρεσίες εμπίστευσης (άρθρο 23).
Οι ειδικότερες απαιτήσεις για τους εγκεκριμένους παρόχους υπηρεσιών εμπίστευσης ορίζονται στο άρθρο 24 και συνοπτικά παρατίθενται παρακάτω :
Υποχρεώσεις για εξακρίβωση ταυτότητας
Για την έκδοση εγκεκριμένου πιστοποιητικού για υπηρεσία εμπίστευσης, ο εγκεκριμένος πάροχος υπηρεσιών εμπίστευσης θα πρέπει να ελέγχει με κατάλληλα μέσα και σύμφωνα με το εθνικό δίκαιο, και να εξακριβώνει τη ταυτότητα του φυσικού ή νομικού προσώπου, για το οποίο θα εκδοθεί εγκεκριμένο πιστοποιητικό. Η εξακρίβωση μπορεί (εφ’όσον είναι σύμφωνη με το εθνικό δίκαιο) να γίνεται άμεσα από τον ίδιο τον πάροχο ή μέσω διαμεσολάβησης τρίτου (υπεργολάβου). Η διαδικασία εξακρίβωσης μπορεί να γίνεται με τους εξής τρόπους :

  • με φυσική παρουσία του φυσικού προσώπου (ή εξουσιοδοτημένου εκπροσώπου του νομικού προσώπου), ή
  • από απόσταση μέσω ηλεκτρονικής ταυτοποίησης. Για την ηλεκτρονική ταυτοποίηση, προυπόθεση αποτελεί να χρησιμοποιούνται μέσα για τα οποία, πριν από την έκδοση του εγκεκριμένου πιστοποιητικού, έχει διασφαλιστεί η φυσική παρουσία του φυσικού προσώπου (ή εξουσιοδοτημένου εκπροσώπου του νομικού προσώπου) και τα οποία παρέχουν «ικανό» ή «υψηλό» επίπεδο διασφάλισης, ή
  • μέσω πιστοποιητικού εγκεκριμένης ηλεκτρονικής υπογραφής ή εγκεκριμένης ηλεκτρονικής σφραγίδας που έχει εκδοθεί προηγουμένως, ή
  • με τη χρήση άλλων μεθόδων ταυτοποίησης αναγνωρισμένων σε εθνικό επίπεδο που παρέχουν διασφάλιση ισοδύναμη με τη φυσική παρουσία. Η ισοδύναμη διασφάλιση πρέπει να επιβεβαιώνεται από οργανισμό αξιολόγησης της συμμόρφωσης.

Γενικές Υποχρεώσεις


  • να παρέχουν ενημέρωση προς τον εποπτικό φορέα για κάθε αλλαγή όσον αφορά την παροχή των εγκεκριμένων υπηρεσιών εμπίστευσης, περιλαμβανομένης της πρόθεσης παύσης των δραστηριοτήτων τους,
  • να διαθέτουν προσωπικό (ή και υπεργολάβους) με απαραίτητη τεχνογνωσία, αξιοπιστία, πείρα, προσόντα, κλπ, και ειδική εκπαίδευση σε θέματα ασφάλειας και προστασίας δεδομένων προσωπικού χαρακτήρα, καθώς και να εφαρμόζουν διαδικασίες με βάση ευρωπαϊκά ή διεθνή πρότυπα,
  • να χρησιμοποιούν αξιόπιστα συστήματα και προϊόντα τα οποία προστατεύονται από τροποποιήσεις και διασφαλίζουν την τεχνική ασφάλεια και αξιοπιστία τόσο των διεργασιών που υποστηρίζονται από αυτά, όσο και την ασφαλή και επεληθεύσιμη αποθήκευση όλων των δεδομένων, και να          λαμβάνουν κατάλληλα μέτρα κατά της πλαστογραφίας και της κλοπής δεδομένων
  • να έχουν επαρκείς οικονομικούς πόρους (ή και ασφαλιστική κάλυψη) για τις περιπτώσεις αντιμετώπισης τυχόν ζημιών,
  • να ενημερώνουν, με σαφή και ολοκληρωμένο τρόπο, κάθε πρόσωπο που επιθυμεί να χρησιμοποιήσει εγκεκριμένη υπηρεσία εμπίστευσης, (προτού συνάψουν συμβατική) σχέση σχετικά με τους ακριβείς όρους και τις προϋποθέσεις για τη χρήση της εν λόγω υπηρεσίας, συμπεριλαμβανομένων τυχόν περιορισμών όσον αφορά τη χρήση της (πχ πρότυπα SLAs),
  • να διατηρούν καταγραφικά αρχεία (LOG files) ακόμη και μετά την παύση των δραστηριοτήτων τους,  να εξασφαλίζουν τη νόμιμη επεξεργασία των δεδομένων προσωπικού χαρακτήρα και να έχουν πάντα έτοιμο σχέδιο τερματισμού υπηρεσιών

Υποχρεώσεις διαχείρισης Πιστοποιητικών

  • να τηρούν τη βάση δεδομένων (ΒΔ) για τα πιστοποιητικά που εκδίδουν
  • να δημοσιοποιούν έγκαιρα (σε 24 ώρες max) κάθε ανάκληση πιστοποιητικού και να ενημερώνουν τη ΒΔ σχετικά και να παρέχουν με αυτοματοποιημένο τρόπο πληροφορίες σχετικές με την ισχύ ή την ανάκληση των εγκεκριμένων πιστοποιητικών που έχουν εκδώσει.
Ηλεκτρονικές Υπογραφές

Η παλαιά οδηγία για τις ηλεκτρονικές υπογραφές  κάνει διάκριση μεταξύ των «ηλεκτρονικών υπογραφών» και των «προηγμένων ηλεκτρονικών υπογραφών». Μόνο η χρήση δεδομένων στις ηλεκτρονικές υπογραφές που συνδέονται μονοσήμαντα με ένα (φυσικό) πρόσωπο (πχ Ψηφιακό Πιστοποιητικό) θα μπορούσαν να προσδώσουν τον χαρακτηρισμό της «προηγμένης ηλεκτρονικής υπογραφής».

Η προτεινόμενος κανονισμός εισάγει την έννοια όχι της «προηγμένης», αλλά της «αναγνωρισμένης» ηλεκτρονικής υπογραφής. Αυτή είναι μια ηλεκτρονική υπογραφή που υποστηρίζεται από ένα πιστοποιητικό που εκδίδεται από Πάροχο υπηρεσιών εμπιστοσύνης. Οι (Ενωσιακοί) Πάροχοι υπηρεσιών εμπιστοσύνης και οι σχετικές υπηρεσίες ρυθμίζονται σύμφωνα με τον Κανονισμό. Ο κανονισμός περιλαμβάνει και άλλες προϋποθέσεις που πρέπει να πληρούνται ώστε μια υπογραφή να είναι «αναγνωρισμένη».

Ο κανονισμός επιδιώκει επίσης να εξασφαλίσει ότι η ισχύς μιας (αναγνωρισμένης) ηλεκτρονικής υπογραφής δεν μειώνεται με το πέρασμα του χρόνου εξαιτίας τεχνολογικών αλλαγών. Αυτό γίνεται με την εισαγωγή της έννοιας της «Υπηρεσία Διατήρησης αναγνωρισμένων ηλεκτρονικών υπογραφών», η οποία θα χρησιμοποιεί διαδικασίες και τεχνολογίες που μπορούν να παρατείνουν στο χρόνο την ισχύ της αξιοπιστίας μιας αναγνωρισμένης ηλεκτρονικής υπογραφής.

Ηλεκτρονικές σφραγίδες

Ο κανονισμός αναφέρει ότι η χρήση ηλεκτρονικών σφραγίδων διασφαλίζει την προέλευση και την ακεραιότητα των δεδομένων με τα οποία αυτές (οι ηλεκτρονικές σφραγίδες) συνδέονται. Σύμφωνα με τον σχετικό ορισμό στον Κανονισμό,  ως «ηλεκτρονική σφραγίδα» ορίζονται τα δεδομένα σε ηλεκτρονική μορφή τα οποία είναι συνημμένα σε άλλα ηλεκτρονικά δεδομένα ή συσχετίζονται λογικά με άλλα ηλεκτρονικά δεδομένα, με σκοπό τη διασφάλιση της προέλευσης και της ακεραιότητας των συσχετιζόμενων δεδομένων. Επιπλέον, σύμφωνα με τον Κανονισμό, οι ηλεκτρονικές σφραγίδες θα χρησιμεύουν ως απόδειξη ότι ένα ηλεκτρονικό έγγραφο έχει εκδοθεί από ένα νομικό πρόσωπο, βεβαιώνοντας την προέλευση και την ακεραιότητα του εγγράφου.

Η θεσμοθέτηση των ηλεκτρονικών σφραγίδων αποτελεί σημαντικό βήμα στην αποσαφήνιση θεμάτων που σχετίζονται με την αποστολή – διαβίβαση ηλεκτρονικών  δεδομένων (πχ ηλεκτρονικών τιμολογίων) με τη χρήση ηλεκτρονικών υπογραφών. Είναι πλέον καθαρό ότι θεσμοθετείται η διαφορετικότητα του σταδίου δημιουργίας (έκδοσης) ενός ηλεκτρονικού τιμολογίου από τα υπόλοιπα στάδια της ηλεκτρονικής τιμολόγησης (ηλεκτρονική διαβίβαση, ηλεκτρονική λήψη, ηλεκτρονική αρχειοθέτηση, κλπ), κάτι που στην Ελλάδα είχε θεσμοθετηθεί από το 2003 με την ηλεκτρονική σήμανση των παραστατικών. Η διάκριση αυτή φαίνεται ακόμη περισσότερο, και από το γεγονός ότι με τον παρόντα Κανονισμό θεσπίζεται για πρώτη φορά και η διαδικασία της ηλεκτρονικής υπηρεσίας συστημένης παράδοσης, με τις ηλεκτρονικές υπηρεσίες διανομής.

Αξίζει ακόμη να αναφερθεί, ότι στην έκθεση - μελέτη επιπτώσεων που συνόδευε την πρόταση του κανονισμού, αναφέρεται ως παράδειγμα, η βελτίωση της αποτελεσματικότητας μιας επιχείρησης που εκδίδει εκατομμύρια τιμολογίων (σύμφωνα με τις απαιτήσεις της ΕΕ – 2010/045/ΕΕ), που επιβεβαιώνονται από μια ηλεκτρονική σφραγίδα (e-Seal) σε αντίθεση με την αναποτελεσματικότητα ενός ατόμου της εν λόγω εταιρείας που υπογράφει κάθε τιμολόγιο ξεχωριστά. Οι απαιτήσεις για διαδικασίες επικύρωσης και επαλήθευσης  καθώς και της διατήρησης των αναγνωρισμένων ηλεκτρονικών υπογραφών που θεσμοθετούνται από τον κανονισμό ισχύουν και για τις «αναγνωρισμένες» ηλεκτρονικές σφραγίδες. Επίσης, αναμένεται, ότι οι ηλεκτρονικές σφραγίδες θα μπορούν να χρησιμοποιηθούν και για την πιστοποίηση της γνησιότητας οποιουδήποτε άλλου ψηφιακού περιουσιακού στοιχείου, π.χ. κώδικα λογισμικού, κλπ.

Ηλεκτρονικές Χρονοσφραγίδες

Μπορεί να υπάρχουν πολλές περιπτώσεις στις οποίες είναι απαραίτητο να γνωρίζουμε τον χρόνο κατά τον οποίο μία συναλλαγή έχει ολοκληρωθεί ή καθίσταται υπαρκτή (πχ ηλεκτρονική έκδοση). Για τις ηλεκτρονικές συναλλαγές αυτό μπορεί να γίνει με τη χρήση ηλεκτρονικών χρονοσφραγίδων. Πολλά κ-μ έχουν ήδη θεσπίσει νομοθεσία σχετική με χρονοσφραγίδες, αλλά υπάρχει διαφορετική μεταξύ τους αντιμετώπιση στη χρήση των όρων.

Ο προτεινόμενος κανονισμός καθορίζει μια ηλεκτρονική χρονοσφραγίδα ως «δεδομένα σε ηλεκτρονική μορφή», με τα οποία διασυνδέονται άλλα ηλεκτρονικά δεδομένα σε μια συγκεκριμένη χρονική στιγμή, με σκοπό της εδραίωσης του γεγονότος (της απόδειξης) ότι τα στοιχεία αυτά υπήρξαν (δημιουργήθηκαν ή ολοκληρώθηκαν) εκείνη τη χρονική στιγμή. Ο προτεινόμενος κανονισμός καθορίζει επίσης τους όρους για «αναγνωρισμένες» ηλεκτρονικές χρονοσφραγίδες, οι οποίες θα αποτελέσουν και ένα νομικό τεκμήριο που θα αποδεικνύει τη χρονική στιγμή που ένα σύνολο δεδομένων συνδέθηκε με αυτή τη χρονική στιγμή και επίσης ότι συνδέεται και με την ακεραιότητα αυτών των δεδομένων.

Σημειώνεται ότι στην Ελλάδα ήδη από το 2003 είχε εισαχθεί η έννοια της χρονοσφραγίδας στη σήμανση κατά τη έκδοση των φορολογικών παραστατικών. Επίσης με την ΥΑΠ/Φ.40.4/163/7.2.2013 Απόφαση του Υπουργείου Διοικητικής Μεταρρύθμισης και Ηλεκτρονικής Διακυβέρνησης ρυθμίζονται για το Δημόσιο θέματα που αφορούν τη διαδικασία και τον τρόπο ηλεκτρονικής επιβεβαίωσης της λήψης ασφαλούς χρονοσήμανσης, τις προδιαγραφές και τα πρότυπα του συστήματος για τη γνωστοποίηση εγγράφων σε φυσικά πρόσωπα ή Ν.Π.Ι.Δ. με χρήση ΤΠΕ, την ηλεκτρονική διακίνηση εγγράφων μεταξύ φορέων του δημόσιου τομέα και των φυσικών προσώπων ή ΝΠΙΔ καθώς μέσω Παρόχων Υπηρεσιών (Χρονοσήμανσης, κλπ) διαπιστευμένων στην ΕΕΤΤ.
Τέλος αξίζει να αναφερθούν και τα πρότυπα ETSI TS 101 861 V1.4.1 (Electronic Signatures and Infrastructures - Time stamping profile) και ETSI TS 102 023 V1.2.2 (Policy requirements for time-stamping authorities).

Τα ηλεκτρονικά έγγραφα

Βάσει του προτεινόμενου κανονισμού τα ηλεκτρονικά έγγραφα πρέπει να θεωρούνται ισοδύναμα με τα χάρτινα έγγραφα, (εφόσον τα ηλεκτρονικά έγγραφα δεν περιέχουν κανένα δυναμικό χαρακτηριστικό ικανό να αλλάζει αυτόματα αυτό το έγγραφο). Όταν ένας φορέας του δημόσιου τομέα, απαιτεί ένα πρωτότυπο έγγραφο ή ένα επικυρωμένο αντίγραφο για την παροχή μιας on-line υπηρεσίας, τα ηλεκτρονικά έγγραφα θα πρέπει να γίνονται δεκτά ως υποκατάστατα χωρίς πρόσθετες απαιτήσεις, εφόσον έχουν συσταθεί σύμφωνα με τις διατάξεις του προτεινόμενου κανονισμού.

Ηλεκτρονικές υπηρεσίες διανομής

Ο προτεινόμενος κανονισμός εισάγει την έννοια της «αναγνωρισμένης» ηλεκτρονικής υπηρεσίας διανομής. Τα δεδομένα που αποστέλλονται ή λαμβάνονται με τη χρήση «αναγνωρισμένων» ηλεκτρονικών υπηρεσιών διανομής, θα καθίστανται νομικά τεκμήρια ως προς την ακεραιότητα των δεδομένων που αποστέλλονται ή λαμβάνονται μέσω της υπηρεσίας, καθώς επίσης και η ημερομηνία και η ώρα της αποστολή ή της λήψης των δεδομένων που έχουν καταγραφεί από την «αναγνωρισμένη» ηλεκτρονική υπηρεσία διανομής. Οι αναγνωρισμένες ηλεκτρονικές υπηρεσίες διανομής θα πρέπει να πληρούν τους όρους που καθορίζονται στον προτεινόμενο κανονισμό, συμπεριλαμβανομένης και της απαίτησης ότι η διαδικασία διαβίβασης - μετάδοσης θα πρέπει να διασφαλίζεται, ώστε να αποκλείει τη δυνατότητα να συμβεί κάποια μη ανιχνεύσιμη αλλαγή (αλλοίωση)  στα διαβιβαζόμενα δεδομένα (χωρίς αυτό να γίνεται αντιληπτό).

Αυθεντικοποίηση Δικτυακών τόπων και Ιστοσελίδων

Ο κανονισμός θα παρέχει ένα σύστημα για την πιστοποίηση της ιδιοκτησίας των ιστοσελίδων και επιβάλει τη νομική υποχρέωση ώστε οι ιστοσελίδες να περιλαμβάνουν επαληθεύσιμα στοιχεία ιδιοκτησίας. Οι υπηρεσίες επαλήθευσης της ταυτότητας ιστοτόπων αποτελούν ένα μέσο με το οποίο ένας επισκέπτης του ιστοτόπου μπορεί να βεβαιωθεί ότι υπάρχει πραγματική και νόμιμη οντότητα πίσω από τον ιστότοπο. Αυτό θα επιτρέψει στους χρήστες να ελέγχουν τη γνησιότητα ενός δικτυακού τόπου και την ύπαρξη του ιδιοκτήτη της ιστοσελίδας πχ στις περιπτώσεις on-line πωλήσεων.

Ο Κανονισμός επιβάλλει στα κ-μ να αναγνωρίζουν και να αποδέχονται όλα τα αναγνωρισμένα πιστοποιητικά γνησιότητας ιστοσελίδων που πληρούν τις απαιτήσεις του, έτσι ώστε οι χρήστες να μπορούν να έχουν εμπιστοσύνη σε χώρους (websites) που χρησιμοποιούνται σε όλη την Ευρωπαϊκή Ένωση, γεγονός με άμεσο αντίκτυπο στα on-line shops και το ηλεκτρονικό εμπόριο (e-commerce)
[Εδώ πρέπει να αναφερθεί και η έναρξη ισχύος από 13/6/2014 της Απόφασης του Υπουργείου Ανάπτυξης (Ζ1-891/13-8-2013 ΦΕΚ 2144Β’) με την οποία ενσωματώθηκε στο Ελληνικό θεσμικό πλαίσιο η Ευρωπαϊκή Οδηγία 2011/83/ΕΕ που αφορά τα δικαιώματα των καταναλωτών ειδικότερα στις εξ’ αποστάσεως Συμβάσεις (on-line e-commerce)].

Στο σημείο αυτό θα ήθελα να υπογραμμίσω ότι οι περισσότεροι από τους σκοπούς του Κανονισμού αυτού, περιλαμβάνονταν (φυσικά, με μια περισσότερο απλουστευμένη, αλλά εξειδικευμένη και θεσμική προσέγγιση) στο σχέδιο Υπουργικής Απόφασης που είχα συντάξει πέρσι για τη «Δομή (Μορφότυπο) των Ηλεκτρονικών Δεδομένων των Φορολογικών Στοιχείων που εκδίδονται με Η/Υ και Διασφάλιση αυτών για την ηλεκτρονική τους έκδοση, την  ηλεκτρονική τους αποθήκευση και την ηλεκτρονική τους διαβίβαση».
[Δημόσια διαβούλευση του 2013 :
Σχέδιο Απόφασης :
Παράρτημα για το Μορφότυπο :
Εκτιμώ ότι εάν είχαν υιοθετηθεί από τότε οι προσεγγίσεις του παραπάνω σχεδίου απόφασης, τώρα θα ήμασταν σε σαφώς πλεονεκτική θέση για την πολύ ομαλή και ταχύτατη  μετάβαση στις απαιτήσεις που θα ισχύσουν με την έναρξη εφαρμογής του Κανονισμού.

Εκτελεστικές και κανονιστικές πράξεις για περαιτέρω ρύθμιση λεπτομερειών και τεχνικών απαιτήσεων.

Για την πλήρη (ή ολική) εφαρμογή του Κανονισμού, και για να συμπληρωθούν ορισμένες λεπτομερείς τεχνικές πτυχές, κατά τρόπο ευέλικτο και ταχύ, ανατίθεται στην Επιτροπή η εξουσία έκδοσης πράξεων, σύμφωνα με το άρθρο 290 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης, (ΣΛΕΕ). Έτσι στον παρόντα Κανονισμό προβλέπονται μια σειρά από κανονιστικές εκτελεστικές πράξεις είτε από την Επιτροπή είτε  από τους Εθνικούς φορείς εποπτείας. Συγκεκριμένα προβλέπονται :
·         οι εκτελεστικές πράξεις της Επιτροπής, για τις ελάχιστες τεχνικές προδιαγραφές, τα πρότυπα και τις διαδικασίες βάσει των οποίων καθορίζονται τα επίπεδα διασφάλισης - χαμηλό, ικανό και υψηλό - των μέσων ηλεκτρονικής ταυτοποίησης για τους σκοπούς της παραγράφου (άρθρο 8, παρ.3).
·         οι ενδεχόμενες εκτελεστικές πράξεις της Επιτροπής, για τις περιστάσεις, τους μορφοτύπους και τις διαδικασίες για την κοινοποίηση των δεδομένων που αφορούν τα κοινοποιούμενα συστήματα ηλεκτρονικής ταυτοποίησης (άρθρο 9, παρ. 5 & 1)
·         οι εκτελεστικές πράξεις της Επιτροπής, για τις αναγκαίες διαδικαστικές λεπτομέρειες διευκόλυνσης της συνεργασίας μεταξύ των κρατών μελών για τη διαλειτουργικότητα και την ανταλλαγή πληροφοριών σχετικά με τα συστήματα ηλεκτρονικής ταυτοποίησης των κ-μ(άρθρο 12, παρ. 7)
·         η θέσπιση ενιαίων όρων για την εφαρμογή της απαίτησης για την κοινοποίηση των (διαλειτουργικών) εθνικών συστημάτων ηλεκτρονικής ταυτοποίησης και μέχρι την θέσπιση αυτή, οι εκτελεστικές πράξεις σχετικά με το πλαίσιο διαλειτουργικότητας (άρθρο 12, παρ. 8)
·         οι ενδεχόμενες εκτελεστικές πράξεις, (αριθμοί αναφοράς προτύπων) σχετικά με πρότυπα διαπίστευσης οργανισμών αξιολόγησης της συμμόρφωσης παρόχων υπηρεσιών εμπίστευσης και για τις σχετικές εκθέσεις αξιολόγησης, καθώς και τυχόν πρότυπα που αφορούν τους κανόνες ελέγχου βάσει των οποίων οι οργανισμοί αξιολόγησης της συμμόρφωσης θα διενεργούν την αξιολόγηση των παρόχων υπηρεσιών εμπίστευσης (άρθρο 19, παρ. 4).
·         η θέσπιση εθνικών κανόνων σχετικά με τις κυρώσεις που θα εφαρμόζονται σε περίπτωση παράβασης του παρόντος κανονισμού
·         οι ενδεχόμενες εκτελεστικές πράξεις της Επιτροπής, που αφορούν μορφοτύπους και διαδικασίες για την υποβολή δήλωση πρόθεσης έναρξης εγκεκριμένων υπηρεσιών εμπίστευσης από μη εγκεκριμένους παρόχους καθώς και τις σχετικές διαδικασίες διαπίστωσης της συμμόρφωσής τους (άρθρο 20, παρ. 4).
·         η δημιουργία σε εθνικό επίπεδο καταλόγου εμπίστευσης (άρθρο 21, παρ. 1 και 2) καθώς και οι εκτελεστικές πράξεις της Επιτροπής, που αφορούν καταλόγους εμπίστευσης και τις τεχνικές προδιαγραφές και τους μορφοτύπους των καταλόγων εμπίστευσης ((άρθρο 21, παρ. 5).
·         Έως την 1η Ιουλίου 2015 οι εκτελεστικές πράξεις της Επιτροπής, για τις προδιαγραφές σχετικά με τη μορφή και ιδίως την παρουσίαση, τη σύνθεση, το μέγεθος και το σχέδιο του Ενωσιακού σήματος εμπίστευσης για τις εγκεκριμένες υπηρεσίες εμπίστευσης (άρθρο 23, παρ. 3).
·         οι ενδεχόμενες εκτελεστικές πράξεις της Επιτροπής για πρότυπα  που αφορούν τα χρησιμοποιούμενα από Παρόχους αξιόπιστα συστήματα και προϊόντα (προστασία από τροποποιήσεις και διασφαλίζουν την τεχνική ασφάλεια και την αξιοπιστία των διεργασιών που υποστηρίζονται από αυτά, καθώς και απαιτήσεις για την αξιοπιστία των συστημάτων αποθήκευσης δεδομένων και της πρόσβασης σε αυτά για επαληθευτικούς σκοπούς, αυθεντικότητα, κλπ (άρθρο 24, παρ. 5).
·         οι εκτελεστικές πράξεις της Επιτροπής σχετικές με πρότυπα προηγμένων ηλεκτρονικών υπογραφών (άρθρο 26, παρ. 4 & 5).
·         η ενδεχόμενη ειδικότερη θέσπιση εθνικών κανόνων σχετικά με την προσωρινή αναστολή εγκεκριμένου πιστοποιητικού ηλεκτρονικής υπογραφής (άρθρο 27, παρ. 5) και οι ενδεχόμενες εκτελεστικές πράξεις της Επιτροπής, για πρότυπα σχετικά με τα εγκεκριμένα πιστοποιητικά ηλεκτρονικής υπογραφής (άρθρο 27, παρ. 6).
·         οι ενδεχόμενες εκτελεστικές πράξεις της Επιτροπής, για πρότυπα σχετικά με τις εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής (άρθρο 28, παρ. 2)
·         ο ορισμός σε εθνικό επίπεδο των αρμόδιων δημόσιων ή ιδιωτικών φορέων για την πιστοποίηση της συμμόρφωσης των εγκεκριμένων διατάξεων δημιουργίας ηλεκτρονικής υπογραφής  και η έκδοση από την Επιτροπή πράξεων σχετικά με τον καθορισμό συγκεκριμένων κριτηρίων που πρέπει να πληρούνται από τους φορείς αυτούς (άρθρο 29, παρ.1 & 4 και  παράρτημα ΙΙ)
·         οι ενδεχόμενες εκτελεστικές πράξεις της Επιτροπής, για τις διαδικασίες κοινοποίησης στην Επιτροπή, πληροφοριών σχετικών με τις πιστοποιημένες - εγκεκριμένες διατάξεις δημιουργίας ηλεκτρονικής υπογραφής, από τους εθνικούς φορείς (άρθρο 30, παρ. 3)
·         οι ενδεχόμενες εκτελεστικές πράξεις της Επιτροπής για τις διαδικασίες επικύρωσης εγκεκριμένων ηλεκτρονικών υπογραφών (άρθρο 31, παρ. 3) καθώς και των εγκεκριμένων υπηρεσιών επικύρωσης εγκεκριμένων ηλεκτρονικών υπογραφών (άρθρο 32, παρ. 2)
·         οι ενδεχόμενες εκτελεστικές πράξεις της Επιτροπής για τις εγκεκριμένες υπηρεσίες διαφύλαξης εγκεκριμένων ηλεκτρονικών υπογραφών (άρθρο 33, παρ. 2)
·         οι ενδεχόμενες εκτελεστικές πράξεις της Επιτροπής για πρότυπα που αφορούν τις προηγμένες ηλεκτρονικές σφραγίδες και τις μορφές αναφοράς των προηγμένων ηλεκτρονικών σφραγίδων (άρθρο 35, παρ. 4 & 5)
·         οι ενδεχόμενες εκτελεστικές πράξεις της Επιτροπής που αφορούν εγκεκριμένα πιστοποιητικά ηλεκτρονικής σφραγίδας (άρθρο 36, παρ. 6)
·         οι ενδεχόμενες εκτελεστικές πράξεις της Επιτροπής που αφορούν τα πρότυπα για τη σύνδεση της ημερομηνίας και της ώρας με τα δεδομένα καθώς και για τις χρονικές πηγές ακριβείας στις ηλεκτρονικές χρονοσφραγίδες (άρθρο 40, παρ. 2)
·         οι ενδεχόμενες εκτελεστικές πράξεις της Επιτροπής για τις διαδικασίες αποστολής και λήψης δεδομένων στις εγκεκριμένες ηλεκτρονικές υπηρεσίες συστημένης παράδοσης (άρθρο 42, παρ. 2)
·         οι ενδεχόμενες εκτελεστικές πράξεις της Επιτροπής για εγκεκριμένα πιστοποιητικά γνησιότητας ιστοτόπων (άρθρο 43, παρ. 2)

Επόμενα Βήματα

Ο Κανονισμός τίθεται σε ισχύ από 1/7/2016 με εξαίρεση των διατάξεων των άρθρων που ορίζονται στο άρθρο 50 παρ. 2 και παρακολουθείται στενά από στελέχη της Εθνική Επιτροπή Τηλεπικοινωνιών & Ταχυδρομείων (ΕΕΤΤ), η οποία λογικά θα πρέπει να είναι και ο εθνικός μας εποπτικός φορέας,  υπεύθυνος για την άσκηση καθηκόντων εποπτείας του Κανονισμού, όπως ορίζεται στο άρθρο 16.

Τέλος επισημαίνεται ότι επειδή πρόκειται για Κανονισμό, αυτός ισχύει αυτούσιος και άμεσα από την ημερομηνία έναρξης ισχύος του, χωρίς την ανάγκη της εθνικής θεσμοθέτησής του  με ειδικές εθνικές νομοθετικές πράξεις 


Σχετικά κείμενα (με τους αντίστοιχους συνδέσμους – links) για περισσότερη πληροφόρηση :
Παρατίθενται παρακάτω οι σύνδεσμοι (links) από τους οποίους μπορείτε να έχετε πρόσβαση σε σχετικά με τον Κανονισμό, κείμενα:

Περισσότερα gia "Trust Services and eID" και στο site της ΕΕ : http://ec.europa.eu/digital-agenda/en/trust-services-and-eid

Εθνικό θεσμικό πλαίσιο

ΠΔ 150/2001
Προσαρμογή στην Οδηγία 99/93/ΕΚ Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές
Απόφαση ΥΑΠ/Φ.40.4/3/1031/23.4.2012
Ρυθμίσεις για το Ηλεκτρονικό Δημόσιο Έγγραφο
Απόφαση 165/2011 (ΦΕΚ 2715Β/2011) της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ)
Κανονισμός για τη Διασφάλιση του Απορρήτου των Ηλεκτρονικών Επικοινωνιών
Απόφαση 205/2013 (ΦΕΚ 1742 Β’/15-7-2013) της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ)
Κανονισμός για την Ασφάλεια και την Ακεραιότητα Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών
(Ελληνικός) Κατάλογος Εμπίστευσης εποπτευόμενων / διαπιστευομένων παρόχων υπηρεσιών πιστοποίησης (TSL) της Εθνικής Επιτροπής Τηλεπικοινωνιών & Ταχυδρομείων (ΕΕΤΤ).
(ο κατάλογος σε μορφή xml):
Απόφαση ΥΑΠ/Φ.40.4/163/7.2.2013
Ρυθμίσεις για α) τη διαδικασία και τον τρόπο ηλεκτρονικής επιβεβαίωσης της λήψης και της ασφαλούς χρονοσήμανσης, β) τις προδιαγραφές και τα πρότυπα του συστήματος νια τη γνωστοποίηση εγγράφων σε φυσικά πρόσωπα ή Ν.Π.Ι.Δ. με χρήση ΤΠΕ και γ) την ηλεκτρονική διακίνηση εγγράφων μεταξύ φορέων του δημόσιου τομέα και των φυσικών προσώπων ή ΝΠΙΔ.
και
Απόφαση του Υπουργείου Ανάπτυξης (Ζ1-891/13-8-2013 ΦΕΚ 2144Β’)
και

Ευρωπαϊκό θεσμικό πλαίσιο

Κανονισμός για την «Ηλεκτρονική ταυτοποίηση και τις Υπηρεσίες εμπιστοσύνης για ηλεκτρονικές συναλλαγές στην εσωτερική αγορά» - Κείμενο του που εγκρίθηκε από το ΕΚ στις 3/4/2014
Οδηγία 1999/93/ΕΚ
Σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές
Οδηγία 2014/55/ΕΕ
για την έκδοση ηλεκτρονικών τιμολογίων στο πλαίσιο των δημόσιων συμβάσεων
Οδηγία 2010/45/ΕΕ για την τροποποίηση της οδηγίας 2006/112/ΕΚ σχετικά με το κοινό σύστημα φόρου προστιθέμενης αξίας όσον αφορά τους κανόνες τιμολόγησης
Οδηγία 2006/112/ΕΕ
Σχετικά με το κοινό σύστημα φόρου προστιθέμενης αξίας (βοηθητικό ενοποιημένο κείμενο)
Οδηγία 2011/83/ΕΕ
Σχετικά με τα δικαιώματα των καταναλωτών, την τροποποίηση της οδηγίας 93/13/ΕΟΚ του Συμβουλίου και της οδηγίας 1999/44/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και την κατάργηση της οδηγίας 85/577/ ΕΟΚ του Συμβουλίου και της οδηγίας 97/7/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου.
Οδηγία 2006/123/ΕΚ
Σχετικά με τις υπηρεσίες στην εσωτερική αγορά
Οδηγία 2011/24/ΕΕ
περί εφαρμογής των δικαιωμάτων των ασθενών στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης
Οδηγία 95/46/ΕΚ
για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών
Απόφαση 2010/48/ΕΚ
σχετικά με τη σύναψη, από την Ευρωπαϊκή Κοινότητα, της σύμβασης των Ηνωμένων Εθνών για τα δικαιώματα των ατόμων με αναπηρία
Κανονισμός 765/2008/ΕΚ
για τον καθορισμό των απαιτήσεων διαπίστευσης και εποπτείας της αγοράς όσον αφορά την εμπορία των προϊόντων και για την κατάργηση του κανονισμού (ΕΟΚ) αριθ. 339/93 του Συμβουλίου
Απόφαση 2009/767/ΕΚ
Σχετικά με τη θέσπιση μέτρων που διευκολύνουν τη χρήση διαδικασιών με ηλεκτρονικά μέσα μέσω των «ενιαίων κέντρων εξυπηρέτησης» βάσει της οδηγίας 2006/123/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τις υπηρεσίες στην εσωτερική αγορά
και
Απόφαση 2010/425/ΕΚ (28.7.2010)
για την τροποποίηση της απόφασης 2009/767/ΕΚ σχετικά με την κατάρτιση, την τήρηση και τη δημοσίευση καταλόγων εμπίστευσης για παρόχους υπηρεσιών πιστοποίησης οι οποίοι εποπτεύονται / διαπιστεύονται από τα κράτη μέλη
Απόφαση 2011/130/ΕΕ
περί καθιέρωσης ελάχιστων απαιτήσεων για τη διασυνοριακή επεξεργασία εγγράφων τα οποία έχουν υπογραφεί ηλεκτρονικά από αρμόδιες αρχές, σύμφωνα με την Οδηγία 2006/123/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με τις υπηρεσίες στην εσωτερική αγορά
Κανονισμός (ΕΕ) αριθ. 182/2011
για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή

Πρότυπα και διεθνή standards

Πρότυπο ISO 29115
ISO/IEC 29115:2013 Information technology -- Security techniques -- Entity authentication assurance framework
και
Πρότυπο ISO 15408 [Common Criteria (CC) multi-part standard]
ΙSO/IEC Standard 15408 - Information technology -- Security techniques -- Evaluation criteria for IT security
και
ISO/IEC 15408-1:2009
Πρότυπο ETSI TS 102 023 V1.2.2
(Policy requirements for time-stamping authorities)
Πρότυπο ETSI TS 101 861 V1.4.1
(Electronic Signatures and Infrastructures - Time stamping profile)
ETSI - Certification Authorities and other Trust Service Providers
STORK project
(Secure idenTity acrOss boRders linKed)

WCO publishes global standards on e-commerce

On  10 July 2018 , the WCO published the  Framework of Standards on Cross-Border E-Commerce   as adopted at the end of June 2018 by th...