16.3.2013

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 74/30

---

ΑΠΌΦΑΣΗ ΤΗΣ ΕΥΡΩΠΑΪΚΉΣ ΚΕΝΤΡΙΚΉΣ ΤΡΆΠΕΖΑΣ

της 11ης Ιανουαρίου 2013

για τη θέσπιση του πλαισίου της υποδομής δημόσιου κλειδιού για το Ευρωπαϊκό Σύστημα Κεντρικών Τραπεζών

(ΕΚΤ/2013/1)

(2013/132/ΕΕ)

ΤΟ ΔΙΟΙΚΗΤΙΚΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΚΕΝΤΡΙΚΗΣ ΤΡΑΠΕΖΑΣ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 127,

Έχοντας υπόψη το καταστατικό του Ευρωπαϊκού Συστήματος Κεντρικών Τραπεζών και της Ευρωπαϊκής Κεντρικής Τράπεζας (εφεξής το «καταστατικό του ΕΣΚΤ»), και ιδίως το άρθρο 12.1, σε συνδυασμό με τα άρθρα 3.1, 5, 12.3 και 16 έως 24,

Εκτιμώντας τα ακόλουθα:

(1)

Δυνάμει του άρθρου 12.1 του καταστατικού του ΕΣΚΤ, το διοικητικό συμβούλιο καθορίζει τις κατευθυντήριες γραμμές και λαμβάνει τις αναγκαίες αποφάσεις για την εκπλήρωση των καθηκόντων που ανατίθενται στο Ευρωπαϊκό Σύστημα Κεντρικών Τραπεζών (ΕΣΚΤ) και στο Ευρωσύστημα σύμφωνα με τη Συνθήκη και το καταστατικό του ΕΣΚΤ. Στο πλαίσιο αυτό διαθέτει την εξουσία να αποφασίζει για την οργάνωση των επικουρικών δραστηριοτήτων που είναι απαραίτητες για την εκπλήρωση των ως άνω καθηκόντων, όπως η έκδοση και διαχείριση ψηφιακών πιστοποιητικών για την ασφάλεια των πληροφοριών των οποίων η αποθήκευση και επεξεργασία γίνεται στις ηλεκτρονικές εφαρμογές, τα συστήματα, τις πλατφόρμες και τις υπηρεσίες του ΕΣΚΤ και του Ευρωσυστήματος, καθώς και για τα δεδομένα που μεταφέρονται από και προς αυτά.

(2)

Δυνάμει του άρθρου 12.3 του καταστατικού του ΕΣΚΤ, το διοικητικό συμβούλιο διαθέτει επίσης την εξουσία να καθορίζει την εσωτερική οργάνωση της Ευρωπαϊκής Κεντρικής Τράπεζας (ΕΚΤ) και των οργάνων λήψης αποφάσεων αυτής. Συνεπώς, το διοικητικό συμβούλιο έχει την εξουσία να αποφασίζει ότι η ΕΚΤ θα χρησιμοποιεί ψηφιακά πιστοποιητικά τα οποία θα εκδίδονται από την υποδομή δημόσιου κλειδιού του Ευρωσυστήματος.

(3)

Οι χρήστες που έχουν πρόσβαση σε έναν αυξανόμενο αριθμό συνεχώς εξελισσόμενων ηλεκτρονικών εφαρμογών, συστημάτων, πλατφορμών και υπηρεσιών του ΕΣΚΤ και του Ευρωσυστήματος πολλαπλασιάζονται. Το διοικητικό συμβούλιο έχει αναγνωρίσει την ανάγκη παροχής προηγμένων υπηρεσιών ασφάλειας των πληροφοριών με τη χρήση ψηφιακών πιστοποιητικών, όπως αποτελεσματική πιστοποίηση ταυτότητας, ηλεκτρονικές υπογραφές και κρυπτογράφηση.

(4)

Λίγες είναι οι κεντρικές τράπεζες του ΕΣΚΤ που διαθέτουν δική τους υποδομή δημόσιου κλειδιού, ενώ πολλοί χρήστες που προέρχονται από τρίτους φορείς οι οποίοι συνεργάζονται με κεντρικές τράπεζες του Ευρωσυστήματος δεν έχουν εύκολη πρόσβαση σε μια αρχή πιστοποίησης αποδεκτή από το ΕΣΚΤ σύμφωνα με το σύστημα αποδοχής πιστοποιητικών του ΕΣΚΤ.

(5)

Το Ευρωσύστημα θα πρέπει να δημιουργήσει τη δική του υποδομή δημόσιου κλειδιού, η οποία θα μπορεί να εκδίδει όλα τα είδη ψηφιακών πιστοποιητικών, όπως προσωπικά πιστοποιητικά για χρήστες εντός και εκτός του ΕΣΚΤ και πιστοποιητικά υποσυστημάτων, και η οποία θα είναι αρκετά ευέλικτη ώστε να προσαρμόζεται στην εξέλιξη των ηλεκτρονικών εφαρμογών, συστημάτων, πλατφορμών και υπηρεσιών του ΕΣΚΤ και του Ευρωσυστήματος. Η εν λόγω υποδομή δημόσιου κλειδιού (εφεξής η «ΕΣΚΤ-ΥΔΚ» ή «ESCB-PKI») θα πρέπει να συμπληρώνει τις υπηρεσίες που παρέχουν άλλες αρχές πιστοποίησης αποδεκτές από το ΕΣΚΤ σύμφωνα με το πλαίσιο αποδοχής πιστοποιητικών του ΕΣΚΤ ή αρχές πιστοποίησης αποδεκτές από το ΕΣΚΤ για τις εφαρμογές TARGET2 και TARGET2-Securities.

(6)	Στις 29 Σεπτεμβρίου 2010 το διοικητικό συμβούλιο αποφάσισε την έναρξη του έργου ESCB-PKI για τη δημιουργία και εφαρμογή της ESCB-PKI και την παροχή των πόρων που απαιτούνται για την ολοκλήρωσή του. Αποφάσισε ότι την ανάπτυξη, φιλοξενία και λειτουργία της ESCB-PKI θα αναλάβει η Banco de España.

(7)

Η ESCB-PKI υποστηρίζει έμμεσα την εκπλήρωση των καθηκόντων του ΕΣΚΤ και του Ευρωσυστήματος. Βασίζεται σε τρία επίπεδα διακυβέρνησης: το διοικητικό συμβούλιο και η εκτελεστική επιτροπή αποτελούν το επίπεδο 1, οι κεντρικές τράπεζες του Ευρωσυστήματος το επίπεδο 2 και η παρέχουσα κεντρική τράπεζα το επίπεδο 3.

(8)

Στο επίπεδο 1, το διοικητικό συμβούλιο είναι υπεύθυνο για τη διεύθυνση, τη διαχείριση και τον έλεγχο των δραστηριοτήτων και των παραδοτέων που απαιτούνται για την ανάπτυξη και λειτουργία της ESCB-PKI. Είναι επίσης υπεύθυνο για τη λήψη των αποφάσεων που αφορούν την ESCB-PKI, αποφασίζει δε και για την κατανομή των καθηκόντων που δεν ανατίθενται ειδικά στα επίπεδα 2 και 3.

(9)	Οι κεντρικές τράπεζες του Ευρωσυστήματος είναι υπεύθυνες για τα καθήκοντα που ανατίθενται στο επίπεδο 2, εντός του γενικού πλαισίου που καθορίζει το διοικητικό συμβούλιο. Διαθέτουν αρμοδιότητες όσον αφορά τα τεχνικά μέσα για την εφαρμογή της ESCB-PKI.

(10)

Η επιτροπή πληροφορικής του ΕΣΚΤ έχει καθοδηγητικό ρόλο στην ανάπτυξη της ESCB-PKI. Καθοδηγεί, αξιολογεί, ελέγχει και εγκρίνει τα παραδοτέα του έργου με βάση τα κριτήρια αποδοχής σύμφωνα με το πλαίσιο αποδοχής πιστοποιητικών του ΕΣΚΤ, το αντικείμενο και το εγκεκριμένο από το διοικητικό συμβούλιο πρόγραμμα.

(11)

Στο επίπεδο 3, η Banco de España ορίστηκε ως παρέχουσα κεντρική τράπεζα για την εκτέλεση των καθηκόντων που της ανατέθηκαν εντός του γενικού πλαισίου που καθορίστηκε από το διοικητικό συμβούλιο. Η παρέχουσα κεντρική τράπεζα διέθεσε την τεχνική υποδομή και τις απαιτούμενες ασφαλείς συσκευές και υπηρεσίες για τη δημιουργία και χρήση υποδομής δημόσιου κλειδιού σύμφωνα με: α) την εθνική νομοθεσία για τη μεταφορά της οδηγίας 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 1999, σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές (1), όπως εφαρμόζεται σε αυτή· β) την εθνική νομοθεσία για τη μεταφορά της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (2), όπως εφαρμόζεται σε αυτή· και γ) τον κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών (3).

(12)

Δεδομένου ότι τα ψηφιακά πιστοποιητικά αποτελούν ουσιαστικό στοιχείο των ηλεκτρονικών υπογραφών και χρησιμοποιούνται ως μέσο πιστοποίησης της ταυτότητας για την εφαρμογή των ηλεκτρονικών εφαρμογών, αλλά και για την κρυπτογράφηση που βασίζεται σε δημόσιο κλειδί, η ESCB-PKI θα λάβει υπόψη τις υφιστάμενες ηλεκτρονικές εφαρμογές, συστήματα, πλατφόρμες και υπηρεσίες του ΕΣΚΤ και του Ευρωσυστήματος και τα υπό εξέλιξη έργα του ΕΣΚΤ προκειμένου να διασφαλίζεται ότι καλύπτονται οι ανάγκες τους.

(13)	Οι εθνικές κεντρικές τράπεζες (ΕθνΚΤ) εκτός ζώνης ευρώ μπορούν να αποφασίσουν να χρησιμοποιούν τα πιστοποιητικά και τις υπηρεσίες που παρέχει η ESCB-PKI,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Ορισμοί

Για τους σκοπούς της παρούσας απόφασης ισχύουν οι ακόλουθοι ορισμοί:

1.   «πιστοποιητικό» ή «ψηφιακό πιστοποιητικό»: ηλεκτρονικό αρχείο, το οποίο εκδίδεται από μια αρχή πιστοποίησης και συνδέει ένα δημόσιο κλειδί με την ταυτότητα ενός κατόχου πιστοποιητικού. Χρησιμοποιείται για όλες ή ορισμένες από τις ακόλουθες πράξεις: α) για να επαληθεύεται ότι ένα δημόσιο κλειδί ανήκει σε συγκεκριμένο κάτοχο πιστοποιητικού· β) για να πιστοποιείται η ταυτότητα ενός κατόχου πιστοποιητικού· γ) για να ελέγχεται η υπογραφή ενός κατόχου πιστοποιητικού· δ) για να κρυπτογραφούνται τα μηνύματα που απευθύνονται στον κάτοχο πιστοποιητικού· ε) για να επαληθεύονται τα δικαιώματα πρόσβασης ενός κατόχου πιστοποιητικού στις ηλεκτρονικές εφαρμογές, τα συστήματα, τις πλατφόρμες και τις υπηρεσίες του ΕΣΚΤ και του Ευρωσυστήματος. Κάθε αναφορά της παρούσας απόφασης σε πιστοποιητικό ή ψηφιακό πιστοποιητικό περιέχει αναφορά στις συσκευές-φορείς δεδομένων στις οποίες τηρείται το πιστοποιητικό ή ψηφιακό πιστοποιητικό·

2.   «ηλεκτρονικές εφαρμογές, συστήματα, πλατφόρμες και υπηρεσίες του ΕΣΚΤ και του Ευρωσυστήματος»: οι ηλεκτρονικές εφαρμογές, τα συστήματα, οι πλατφόρμες και οι υπηρεσίες που χρησιμοποιούν το ΕΣΚΤ ή/και το Ευρωσύστημα κατά την εκτέλεση των καθηκόντων που τους ανατίθενται βάσει της Συνθήκης και του καταστατικού του ΕΣΚΤ·

3.   «υποδομή δημόσιου κλειδιού»: σύνολο ατόμων, πολιτικών, διαδικασιών και συστημάτων ηλεκτρονικών υπολογιστών, τα οποία είναι απαραίτητα για την παροχή υπηρεσιών πιστοποίησης ταυτότητας, κρυπτογράφησης, ακεραιότητας και μη άρνησης αποδοχής μέσω της κρυπτογράφησης δημόσιου και ιδιωτικού κλειδιού και της έκδοσης ψηφιακών πιστοποιητικών·

4.   «χρήστης»: κάτοχος πιστοποιητικού ή οντότητα που βασίζεται σε πιστοποιητικό, ή και τα δύο·

5.   «πιστοποίηση ταυτότητας»: η διαδικασία επαλήθευσης της ταυτότητας αιτούντος την έκδοση πιστοποιητικού ή κατόχου πιστοποιητικού·

6.   «κεντρική τράπεζα του ΕΣΚΤ»: κεντρική τράπεζα του Ευρωσυστήματος ή ΕθνΚΤ εκτός ζώνης ευρώ·

7.   «κεντρική τράπεζα του Ευρωσυστήματος»: ΕθνΚΤ κράτους μέλους με νόμισμα το ευρώ, συμπεριλαμβανομένης της παρέχουσας κεντρικής τράπεζας, ή η ΕΚΤ·

8.   «παρέχουσα κεντρική τράπεζα»: η ΕθνΚΤ την οποία όρισε το διοικητικό συμβούλιο για την ανάπτυξη της ESCB-PKI και την παροχή υπηρεσιών της ESCB-PKI για λογαριασμό και προς όφελος των κεντρικών τραπεζών του Ευρωσυστήματος·

9.   «ΕθνΚΤ εκτός ζώνης ευρώ»: ΕθνΚΤ κράτους μέλους του οποίου το νόμισμα δεν είναι το ευρώ·

10.   «αρχή πιστοποίησης ESCB-PKI»: η οντότητα, την οποία εμπιστεύονται οι χρήστες για την έκδοση, διαχείριση, ανάκληση και ανανέωση των πιστοποιητικών για λογαριασμό των κεντρικών τραπεζών του ΕΣΚΤ ή των κεντρικών τραπεζών του Ευρωσυστήματος σύμφωνα με το πλαίσιο αποδοχής πιστοποιητικών του ΕΣΚΤ·

11.   «αρχή επικύρωσης ESCB-PKI»: η οντότητα, την οποία εμπιστεύονται οι χρήστες, η οποία παρέχει πληροφορίες σχετικά με την ισχύ των πιστοποιητικών που εκδίδει η αρχή πιστοποίησης ESCB-ΡΚΙ·

12.   «κάτοχος πιστοποιητικού»: πρόσωπο το οποίο είναι το υποκείμενο για το οποίο έχει εκδοθεί ψηφιακό πιστοποιητικό ή διαχειριστής τεχνικού υποσυστήματος ο οποίος αποδέχθηκε ψηφιακό πιστοποιητικό που εκδόθηκε από την αρχή πιστοποίησης ESCB-PKI για τεχνικό υποσύστημα, ή και τα δύο·

13.   «πλαίσιο αποδοχής πιστοποιητικών του ΕΣΚΤ»: τα κριτήρια που θεσπίζει η επιτροπή πληροφορικής του ΕΣΚΤ για την αναγνώριση των αρχών πιστοποίησης, εντός και εκτός του ΕΣΚΤ, οι οποίες μπορούν να θεωρηθούν έμπιστες όσον αφορά τις ηλεκτρονικές εφαρμογές, τα συστήματα, τις πλατφόρμες και τις υπηρεσίες του ΕΣΚΤ και του Ευρωσυστήματος·

14.   «αρχή καταχώρισης»: οντότητα, την οποία εμπιστεύονται οι χρήστες, η οποία επαληθεύει την ταυτότητα του αιτούντος την έκδοση πιστοποιητικού πριν από την έκδοση του εν λόγω πιστοποιητικού από την αρχή πιστοποίησης ESCB-ΡΚΙ·

15.   «οντότητα που βασίζεται σε πιστοποιητικό»: άτομο ή οντότητα, εκτός από τον κάτοχο του πιστοποιητικού, η οποία αποδέχεται και βασίζεται σε πιστοποιητικό·

16.   «πολιτική επιθεώρησης»: η πολιτική επιθεώρησης του ΕΣΚΤ, η οποία καθορίστηκε από το διοικητικό συμβούλιο στις 7 Οκτωβρίου 1998 και είναι δημοσιευμένη στο δικτυακό τόπο της ΕΚΤ (4)·

17.   «αιτών την έκδοση πιστοποιητικού»: άτομο που ζητεί την έκδοση πιστοποιητικού για δική του χρήση ή για τεχνικό υποσύστημα·

18.   «τεχνικό υποσύστημα»: λογισμικό ή υλικός εξοπλισμός που μπορεί να αναγνωριστεί με τη χρήση ψηφιακών πιστοποιητικών.

Άρθρο 2

Πεδίο εφαρμογής

1.   Η παρούσα απόφαση θεσπίζει το πλαίσιο της ESCB-PKI. Η ESCB-PKI είναι η υποδομή δημόσιου κλειδιού του Ευρωσυστήματος, η οποία αναπτύχθηκε από την παρέχουσα κεντρική τράπεζα για λογαριασμό και προς όφελος των κεντρικών τραπεζών του Ευρωσυστήματος και εκδίδει, διαχειρίζεται, ανακαλεί και ανανεώνει πιστοποιητικά σύμφωνα με το πλαίσιο αποδοχής πιστοποιητικών του ΕΣΚΤ.

2.   Καθώς οι υπηρεσίες της ESCB-PKI μπορεί να επηρεάζουν τις οντότητες που βασίζονται σε πιστοποιητικό, η παρούσα απόφαση ορίζει και τις προϋποθέσεις υπό τις οποίες οι εν λόγω οντότητες μπορούν να βασίζονται στα πιστοποιητικά της ESCB-PKI.

Άρθρο 3

Πεδίο εφαρμογής και στόχοι της ESCB-PKI

1.   Η πρόσβαση στις μέσου όρου ή άνω του μέσου όρου κρισιμότητας ηλεκτρονικές εφαρμογές, συστήματα, πλατφόρμες και υπηρεσίες του ΕΣΚΤ και του Ευρωσυστήματος και η χρήση αυτών επιτρέπεται μόνον εφόσον η ταυτότητα του χρήστη έχει πιστοποιηθεί με ψηφιακό πιστοποιητικό το οποίο έχουν εκδώσει και διαχειρίζονται αρχές πιστοποίησης αποδεκτές από το ΕΣΚΤ σύμφωνα με το πλαίσιο αποδοχής πιστοποιητικών του ΕΣΚΤ, συμπεριλαμβανομένης της αρχής πιστοποίησης ESCB-PKI, ή αρχές πιστοποίησης αποδεκτές από το ΕΣΚΤ για τις εφαρμογές TARGET2 και TARGET2-Securities.

2.   Η αρχή πιστοποίησης ESCB-PKI εκδίδει ψηφιακά πιστοποιητικά, ενώ παρέχει και άλλες υπηρεσίες ψηφιακών πιστοποιητικών, για κατόχους πιστοποιητικών των κεντρικών τραπεζών του ΕΣΚΤ και τρίτων που εργάζονται μαζί τους προκειμένου αυτοί να έχουν ασφαλή πρόσβαση και να χρησιμοποιούν τις ηλεκτρονικές εφαρμογές, τα συστήματα, τις πλατφόρμες και τις υπηρεσίες του ΕΣΚΤ και του Ευρωσυστήματος.

3.   Η ESCB-PKI παρέχει τις ακόλουθες υπηρεσίες πιστοποίησης:

α)	έκδοση, ανανέωση και ανάκληση πιστοποιητικών, καθώς και επιβεβαίωση ισχύος πιστοποιητικού για διαφορετικά είδη πιστοποιητικών·

β)	έκδοση πιστοποιητικών για πιστοποίηση ταυτότητας, ηλεκτρονική υπογραφή και κρυπτογράφηση για χρήστες εντός και εκτός του ΕΣΚΤ, καθώς και πιστοποιητικά υποσυστημάτων·

γ)	σε περίπτωση απώλειας πιστοποιητικού, ανάκτηση του ιδιωτικού κλειδιού για τη διασφάλιση της ανάκτησης πληροφοριών που είναι κρυπτογραφημένες βάσει δημόσιου κλειδιού·

δ)	παράδοση και διαχείριση κρυπτοσυσκευών σε κατόχους πιστοποιητικών, εφόσον απαιτείται·

ε)	παροχή πληροφοριών για τις διαδικασίες διαχείρισης πιστοποιητικών της ESCB-PKI, καθώς και τεχνική υποστήριξη στους διαχειριστές έργων του ΕΣΚΤ προκειμένου οι τελευταίοι να βοηθούνται στην ενσωμάτωση πιστοποιητικών της ESCB-PKI στις εφαρμογές τους.

Στο μέλλον μπορούν να προστεθούν και άλλες υπηρεσίες, εφόσον το απαιτούν οι ανάγκες των ηλεκτρονικών εφαρμογών, συστημάτων, πλατφορμών και υπηρεσιών του ΕΣΚΤ και του Ευρωσυστήματος.

Άρθρο 4

Πλαίσιο της ESCB-PKI

1.   Με την επιφύλαξη της παρούσας απόφασης, οι αρμοδιότητες και τα καθήκοντα της παρέχουσας κεντρικής τράπεζας και των λοιπών κεντρικών τραπεζών του Ευρωσυστήματος όσον αφορά την εφαρμογή, τη λειτουργία και τη χρήση της ESCB-PKI προβλέπονται στη συμφωνία επιπέδου 2 – επιπέδου 3 και εξειδικεύονται περαιτέρω στην πολιτική πιστοποίησης και στη δήλωση διαδικασιών πιστοποίησης της ESCB-PKI.

2.   Η συμφωνία επιπέδου 2 – επιπέδου 3, στην οποία περιλαμβάνεται και η συμφωνία επιπέδου υπηρεσιών, περιέχει τη συμφωνία την οποία διαπραγματεύονται η παρέχουσα κεντρική τράπεζα και οι κεντρικές τράπεζες του Ευρωσυστήματος όσον αφορά τις αρμοδιότητες και τα καθήκοντα της παρέχουσας κεντρικής τράπεζας και των κεντρικών τραπεζών του Ευρωσυστήματος. Η εν λόγω συμφωνία υποβάλλεται στο διοικητικό συμβούλιο για έγκριση και ακολούθως υπογράφεται από την παρέχουσα κεντρική τράπεζα και τις κεντρικές τράπεζες του Ευρωσυστήματος.

3.   Η συμφωνία επιπέδου υπηρεσιών είναι η συμφωνία που καθορίζει το επίπεδο των υπηρεσιών που θα παρέχει η παρέχουσα κεντρική τράπεζα στο Ευρωσύστημα, καθώς και το επίπεδο των υπηρεσιών που θα παρέχει το Ευρωσύστημα σε ΕθνΚΤ εκτός ζώνης ευρώ και σε τρίτους σε σχέση με την ESCB-PKI.

4.   Η δήλωση διαδικασιών πιστοποίησης της ESCB-PKI αποτελεί μια δέσμη κανόνων οι οποίοι διέπουν τον κύκλο ζωής των ψηφιακών πιστοποιητικών, από την αρχική αίτηση έκδοσής τους έως τη λήξη ή την ανάκλησή τους, καθώς και τις σχέσεις μεταξύ του αιτούντος την έκδοση πιστοποιητικού ή του κατόχου πιστοποιητικού, της αρχής πιστοποίησης ESCB-PKI και των οντοτήτων που βασίζονται σε πιστοποιητικό. Καλύπτει ψηφιακά πιστοποιητικά εντός και εκτός του πεδίου εφαρμογής της οδηγίας 1999/93/ΕΚ. Καθορίζει επίσης τα καθήκοντα και τις αρμοδιότητες όλων των συμβαλλομένων μερών και θεσπίζει τις διαδικασίες που αφορούν την έκδοση και διαχείριση των πιστοποιητικών. Αποτελεί παράρτημα της συμφωνίας επιπέδου 2 – επιπέδου 3.

5.   Μια πολιτική πιστοποίησης της ESCB-PKI αποτελεί δέσμη κανόνων που εφαρμόζεται σε συγκεκριμένο είδος πιστοποιητικού. Κάθε τέτοια δέσμη κανόνων περιέχει λεπτομέρειες εφαρμογής σχετικά με τη δήλωση διαδικασιών πιστοποίησης της ESCB-PKI για συγκεκριμένο είδος πιστοποιητικού. Οι πολιτικές πιστοποίησης της ESCB-PKI αποτελούν παράρτημα της συμφωνίας επιπέδου 2 – επιπέδου 3.

6.   Οι πολιτικές πιστοποίησης της ESCB-PKI και η δήλωση διαδικασιών πιστοποίησης της ESCB-PKI δημοσιεύονται στο δικτυακό τόπο της ESCB-PKI (5).

7.   Πληροφορίες για την αρχή πιστοποίησης ESCB-PKI, καθώς και για την ταυτότητα και τα τεχνικά υποσυστήματά της παρατίθενται στο παράρτημα της παρούσας απόφασης.

Άρθρο 5

Αρμοδιότητες και καθήκοντα της παρέχουσας κεντρικής τράπεζας

1.   Η παρέχουσα κεντρική τράπεζα είναι υπεύθυνη για τη θέση σε λειτουργία και τη συντήρηση της ESCB-PKI προς όφελος των κεντρικών τραπεζών του Ευρωσυστήματος, καθώς και για τη φιλοξενία, τη λειτουργία και τη διαχείρισή της σύμφωνα με τη συμφωνία επιπέδου 2 – επιπέδου 3. Συγκεκριμένα, παρέχει πιστοποιητικά και υπηρεσίες της ESCB-PKI σύμφωνα με τις επιχειρησιακές απαιτήσεις και τις τεχνικές προδιαγραφές, όπως ορίζεται στο πλαίσιο αποδοχής πιστοποιητικών του ΕΣΚΤ και στις απαιτήσεις και προδιαγραφές που προβλέπονται στη συμφωνία επιπέδου 2 – επιπέδου 3.

2.   Η παρέχουσα κεντρική τράπεζα εγκαθιστά την απαραίτητη τεχνική υποδομή για τη δημιουργία, έκδοση και διαχείριση πιστοποιητικών και μεριμνά για τη συντήρηση της υποδομής. Για το σκοπό αυτό, η παρέχουσα κεντρική τράπεζα, κατόπιν διαβούλευσης με την επιτροπή πληροφορικής, μπορεί να θεσπίζει κανόνες για την εσωτερική οργάνωση και διοίκησή της.

3.   Η παρέχουσα κεντρική τράπεζα ενεργεί ως η αρχή πιστοποίησης ESCB-PKI και η αρχή επικύρωσης ESCB-PKI.

4.   Η συμφωνία επιπέδου 2 – επιπέδου 3 θεσπίζει το καθεστώς ευθύνης που εφαρμόζεται στην παρέχουσα κεντρική τράπεζα.

Άρθρο 6

Αρμοδιότητες και καθήκοντα των κεντρικών τραπεζών του Ευρωσυστήματος

1.   Κάθε κεντρική τράπεζα του Ευρωσυστήματος είναι υπεύθυνη για την ταυτοποίηση των δικών της κατόχων πιστοποιητικού. Για την εκπλήρωση του εν λόγω καθήκοντος δημιουργεί το ρόλο του διαχειριστή αρχής καταχώρισης, ο οποίος έχει την αρμοδιότητα να εγγράφει τρίτους χρήστες.

2.   Κάθε κεντρική τράπεζα του Ευρωσυστήματος ενεργεί ως οντότητα που βασίζεται σε πιστοποιητικό όσον αφορά πιστοποιητικά για κρυπτογράφηση και ηλεκτρονική υπογραφή, τα οποία εκδίδονται από την ESCB-PKI για άλλες κεντρικές τράπεζες του Ευρωσυστήματος ή για κατόχους πιστοποιητικών τρίτων χρηστών.

3.   Κάθε κεντρική τράπεζα του Ευρωσυστήματος που χρησιμοποιεί τις υπηρεσίες της ESCB-PKI ενεργεί ως αρχή καταχώρισης για τους δικούς της αιτούντες την έκδοση πιστοποιητικού και διασφαλίζει ότι αυτοί αποδέχονται και εφαρμόζουν τους όρους και τις προϋποθέσεις χρήσης που παρατίθενται στην αίτηση εγγραφής της αρχής πιστοποίησης ESCB-PKI για την παροχή των υπηρεσιών της.

Άρθρο 7

Σχέσεις μεταξύ των κεντρικών τραπεζών του Ευρωσυστήματος, τρίτων και κατόχων πιστοποιητικού

Κάθε κεντρική τράπεζα του Ευρωσυστήματος θεσπίζει διατάξεις για την ασφαλή πρόσβαση τρίτων και τη χρήση από αυτούς των ηλεκτρονικών εφαρμογών, συστημάτων, πλατφορμών και υπηρεσιών του ΕΣΚΤ και του Ευρωσυστήματος μέσω πιστοποιητικών της ESCB-PKI. Οι εν λόγω διατάξεις διέπουν αποκλειστικά τη σχέση μεταξύ της οικείας κεντρικής τράπεζας του Ευρωσυστήματος και των τρίτων που χρησιμοποιούν πιστοποιητικά της ESCB-PKI. Οι τρίτοι συμμορφώνονται με τις πολιτικές πιστοποίησης της ESCB-PKI, τη δήλωση διαδικασιών πιστοποίησης της ESCB-PKI και τους όρους και τις προϋποθέσεις χρήσης που προβλέπονται στην αίτηση εγγραφής της αρχής πιστοποίησης ESCB-PKI για την παροχή των υπηρεσιών της.

Άρθρο 8

Σχέσεις με οντότητες που βασίζονται σε πιστοποιητικό

Οντότητα που βασίζεται σε πιστοποιητικό μπορεί να εμπιστευτεί ψηφιακό πιστοποιητικό που εκδόθηκε σύμφωνα με την παρούσα απόφαση υπό την προϋπόθεση ότι:

α)	επαληθεύει την ισχύ, την αναστολή ή ανάκληση του πιστοποιητικού χρησιμοποιώντας τις υφιστάμενες πληροφορίες για την κατάσταση ανάκλησης·

β)	λαμβάνει υπόψη της τυχόν περιορισμούς στη χρήση του πιστοποιητικού οι οποίοι καθορίζονται σε αυτό· και

γ)	αποδέχεται τη δήλωση διαδικασιών πιστοποίησης της ESCB-PKI και τις εφαρμοστέες πολιτικές πιστοποίησης της ESCB-PKI.

Άρθρο 9

Δικαιώματα επί της ESCB-PKI

1.   Η ESCB-PKI ανήκει εξ ολοκλήρου στις κεντρικές τράπεζες του Ευρωσυστήματος.

2.   Λαμβανομένων υπόψη των ανωτέρω, η παρέχουσα κεντρική τράπεζα εκχωρεί στις κεντρικές τράπεζες του Ευρωσυστήματος, στο βαθμό που αυτό είναι εφικτό βάσει της ισχύουσας νομοθεσίας, όλες τις άδειες που αφορούν τα δικαιώματα πνευματικής ιδιοκτησίας που απαιτούνται προκειμένου αυτές να είναι σε θέση να χρησιμοποιούν την ESCB-PKI και τα υποσυστήματά της, καθώς και όλο το εύρος των υπηρεσιών της ESCB-PKI, και επίσης να παρέχουν υπηρεσίες της ESCB-PKI σε τρίτους βάσει της δήλωσης διαδικασιών πιστοποίησης της ESCB-PKI και των πολιτικών πιστοποίησης της ESCB-PKI. Η παρέχουσα κεντρική τράπεζα καλύπτει τις κεντρικές τράπεζες του Ευρωσυστήματος έναντι κάθε αξίωσης τρίτων όσον αφορά την παραβίαση των εν λόγω δικαιωμάτων πνευματικής ιδιοκτησίας.

3.   Οι λεπτομέρειες που αφορούν τα δικαιώματα των κεντρικών τραπεζών του Ευρωσυστήματος στην ESCB-PKI συμφωνούνται μεταξύ του επιπέδου 2 και του επιπέδου 3 στη συμφωνία επιπέδου 2 – επιπέδου 3.

Άρθρο 10

Ευθύνη των κεντρικών τραπεζών του Ευρωσυστήματος έναντι των χρηστών

1.   Εκτός εάν αποδείξουν ότι δεν ενήργησαν αμελώς, οι κεντρικές τράπεζες του Ευρωσυστήματος ευθύνονται βάσει των καθηκόντων και αρμοδιοτήτων τους στην ESCB-PKI για κάθε ζημία που προκλήθηκε σε χρήστη ο οποίος ευλόγως βασίζεται σε αναγνωρισμένο πιστοποιητικό, σύμφωνα με τα οριζόμενα στην οδηγία 1999/93/ΕΚ, όσον αφορά:

α)	την ακρίβεια όλων των πληροφοριών που περιέχονται σε αναγνωρισμένο πιστοποιητικό κατά το χρόνο έκδοσής του και το ερώτημα εάν το πιστοποιητικό περιέχει όλες τις λεπτομέρειες που απαιτούνται για ένα αναγνωρισμένο πιστοποιητικό, σύμφωνα με τα οριζόμενα στην οδηγία 1999/93/ΕΚ·

β)	τη διαβεβαίωση ότι, κατά το χρόνο έκδοσης του πιστοποιητικού, ο κάτοχος πιστοποιητικού που ταυτοποιείται στο αναγνωρισμένο πιστοποιητικό ήταν κάτοχος των δεδομένων δημιουργίας υπογραφής που αντιστοιχούν στα δεδομένα επαλήθευσης υπογραφής που αναφέρονται ή ταυτοποιούνται στο πιστοποιητικό·

γ)	τη διαβεβαίωση ότι η συσκευή δημιουργίας υπογραφής και η συσκευή επαλήθευσης υπογραφής λειτουργούν συμπληρωματικά, στις περιπτώσεις που και οι δύο προέρχονται από την ESCB-ΡΚΙ·

δ)	τη μη καταχώριση ανάκλησης αναγνωρισμένου πιστοποιητικού.

2.   Οι κεντρικές τράπεζες του Ευρωσυστήματος δεν αναλαμβάνουν καμία δέσμευση, δεν παρέχουν εγγυήσεις και δεν αποδέχονται καμία ευθύνη έναντι των χρηστών, εκτός εάν τούτο προβλέπεται ρητά στην παρούσα απόφαση και στη δήλωση διαδικασίας πιστοποίησης της ESCB-PKI.

Άρθρο 11

Συμμετοχή ΕθνΚΤ εκτός ζώνης ευρώ στην ESCB-PKI

1.   Οι ΕθνΚΤ εκτός ζώνης ευρώ μπορούν να ενεργούν ως αρχές καταχώρισης για τους εσωτερικούς χρήστες τους, καθώς και για τρίτους χρήστες. Μπορούν να δημιουργήσουν το ρόλο διαχειριστή αρχής καταχώρισης για την εκπλήρωση του εν λόγω καθήκοντος.

2.   Με την επιφύλαξη της έγκρισης του διοικητικού συμβουλίου, οι ΕθνΚΤ εκτός ζώνης ευρώ μπορούν επίσης να αποφασίσουν να χρησιμοποιούν τις υπηρεσίες της ESCB-PKI με τις ίδιες προϋποθέσεις που ισχύουν και για τις κεντρικές τράπεζες του Ευρωσυστήματος. Για το σκοπό αυτό, η ενδιαφερόμενη ΕθνΚΤ εκτός ζώνης ευρώ υποβάλλει δήλωση στο διοικητικό συμβούλιο με την οποία επιβεβαιώνει ότι θα τηρεί τις υποχρεώσεις που καθορίζονται στην παρούσα απόφαση και στη συμφωνία επιπέδου 2 – επιπέδου 3. Οι ΕθνΚΤ εκτός ζώνης ευρώ δεν γίνονται συνιδιοκτήτριες της ESCB-PKI και δεν υποχρεούνται να συνεισφέρουν στο κονδύλιο χρηματοδότησης της ESCB-PKI.

Άρθρο 12

Προστασία δεδομένων

Οι κεντρικές τράπεζες του Ευρωσυστήματος συμμορφώνονται με τη νομοθεσία προστασίας δεδομένων που έχει εφαρμογή στην επεξεργασία προσωπικών δεδομένων που διενεργούν κατά την εκπλήρωση των καθηκόντων τους που σχετίζονται με την ESCB-PKI.

Άρθρο 13

Επιθεώρηση

Οι επιθεωρήσεις στην ESCB-PKI διενεργούνται σύμφωνα με τις αρχές και τις ρυθμίσεις που προβλέπονται στην πολιτική επιθεώρησης. Διενεργούνται με την επιφύλαξη των εσωτερικών ελέγχων και των κανόνων επιθεώρησης που ισχύουν στις κεντρικές τράπεζες του Ευρωσυστήματος ή θεσπίζονται από αυτές.

Άρθρο 14

Οικονομικές ρυθμίσεις

Οι κεντρικές τράπεζες του Ευρωσυστήματος αναλαμβάνουν το κόστος ανάπτυξης και λειτουργίας της ESCB-PKI, όπως περαιτέρω προβλέπεται βάσει του κονδυλίου χρηματοδότησής της.

Άρθρο 15

Ρόλος της εκτελεστικής επιτροπής

1.   Δυνάμει του άρθρου 17.3 της απόφασης ΕΚΤ/2004/2 της 19ης Φεβρουαρίου 2004 για τη θέσπιση του εσωτερικού κανονισμού της Ευρωπαϊκής Κεντρικής Τράπεζας (6), το διοικητικό συμβούλιο μεταβιβάζει στην εκτελεστική επιτροπή τις κανονιστικές του εξουσίες προκειμένου αυτή να προβαίνει στη λήψη μέτρων εφαρμογής της παρούσας απόφασης τα οποία είναι αναγκαία για την αποτελεσματικότητα και την ασφάλεια της ESCB-PKI, καθώς και να εκδίδει τροποποιητικές πράξεις που αφορούν τις τεχνικές πτυχές της ESCB-PKI και των υπηρεσιών της ESCB-PKI που προβλέπονται στα παραρτήματα της συμφωνίας επιπέδου 2 – επιπέδου 3, αφού λάβει υπόψη τις συμβουλές της επιτροπής πληροφορικής και, κατά περίπτωση, της συντονιστικής επιτροπής πληροφοριακών συστημάτων του Ευρωσυστήματος.

2.   Η εκτελεστική επιτροπή ενημερώνει χωρίς καθυστέρηση το διοικητικό συμβούλιο για κάθε μέτρο που λαμβάνει βάσει της παραγράφου 1 και τηρεί κάθε απόφαση που εκδίδει το διοικητικό συμβούλιο για το συγκεκριμένο ζήτημα.

---

(1)  ΕΕ L 13 της 19.1.2000, σ. 12.

(2)  ΕΕ L 281 της 23.11.1995, σ. 31.

(3)  ΕΕ L 8 της 12.1.2001, σ. 1.

(4)  www.ecb.europa.eu.

(5)  http://pki.escb.eu.

(6)  ΕΕ L 80 της 18.3.2004, σ. 33.

---

---