Gabinete Nacional de Segurança - GNS

Legislação e Normas Técnicas | Avaliação de Software

O Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno, mais conhecido por regulamento eIDAS, entrou em vigor em 17/09/2014 e o essencial do seu articulado passou a ser aplicado desde 01/07/2016.

O citado regulamento revogou a Diretiva n.º 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas eletrónicas, caducando a vigência do Decreto-Lei n.º 290-D/99, de 2 de agosto (regime jurídico dos documentos eletrónicos e da assinatura digital).

O eIDAS tem como objetivo principal, estabelecer uma base europeia comum para uma interação eletrónica segura, aumentando a confiança e segurança das transações online na União Europeia, promovendo uma maior utilização de serviços online por parte dos cidadãos, operadores económicos e administração pública.

O eIDAS estabelece um conjunto alargado de serviços de confiança, bem como o reconhecimento mútuo transfronteiriço dos meios de identificação eletrónica (eID). A partir de 29 de setembro de 2018, um cidadão da UE com um cartão eID (notificado de acordo com o regulamento eIDAS), poderá aceder a qualquer serviço público online a partir de qualquer Estado-Membro da EU.

Com o regulamento eIDAS é estabelecida uma nova arquitetura institucional e de governança em matéria de segurança dos meios de identificação eletrónica e dos serviços de confiança, a qual passa pela existência das seguintes entidades:

• Entidade supervisora (Gabinete Nacional de Segurança), cuja função principal é a de supervisionar os prestadores qualificados de serviços de confiança estabelecidos no território nacional, no sentido de verificar se os prestadores e os serviços de confiança qualificados por eles prestados cumprem os requisitos estabelecidos no regulamento eIDAS;

• Entidade gestora das listas de confiança (Gabinete Nacional de Segurança), que é responsável pela elaboração, conservação, atualização e publicação das listas de confiança nacionais;

• Organismos de avaliação de conformidade, entidades competentes para realizar a avaliação da conformidade de prestadores qualificados de serviços de confiança e dos serviços de confiança qualificados prestados. Estes organismos são obrigatoriamente acreditados pelo organismo nacional de acreditação (o Instituto Português de Acreditação, I.P.);

• Prestador de serviços de confiança, que é a pessoa singular ou coletiva que presta um ou mais do que um serviço de confiança, quer como prestador qualificado quer como prestador não qualificado de serviços de confiança;

• Agência da União Europeia para a segurança das redes e da informação (ENISA), que recebe anualmente da entidade supervisora um resumo das notificações de violações da segurança e de perda de integridade que tenha recebido dos prestadores de serviços de confiança;

• Autoridade responsável pela proteção de dados (Comissão Nacional de Proteção de Dados), que recebe informação da entidade supervisora sobre auditorias ou dos resultados das auditorias realizadas a prestadores qualificados de serviços de confiança, quando haja suspeita de terem sido violadas as regras de proteção dos dados pessoais, assim como é notificada pelos prestadores de serviços de confiança de todas as violações da segurança ou perdas de integridade que tenham um impacto significativo sobre os dados pessoais por eles conservados.

O eIDAS estabelece os seguintes serviços de confiança:

• Assinaturas eletrónicas;
• Selos eletrónicos;
• Selos temporais;
• Serviços de envio registado eletrónico;
• Autenticação de websites.

Os serviços de confiança previstos no regulamento são disponibilizados ao público por prestadores de serviços de confiança.

O artigo 21.º do regulamento eIDAS define que, quando os prestadores de serviços de confiança pretendam começar a prestar serviços de confiança qualificados, apresentam à entidade supervisora uma notificação da sua intenção, acompanhada de um relatório de avaliação da conformidade emitido por um organismo de avaliação da conformidade.

Pode ser descarregado a seguir, o modelo para a notificação referida.

PDF - Formulário para notificação de início/manutenção de serviço de confiança qualificado

MS Word - Formulário para notificação de início/manutenção de serviço de confiança qualificado

O documento “Formulário para notificação de início/manutenção de serviço de confiança qualificado”, estabelece as regras para a referida notificação, bem como para a elaboração do obrigatório Relatório de Avaliação de Conformidade. O referido documento tem particular interesse para o Prestadores de Serviços de Confiança e Organismos de Avaliação de Conformidade (obrigatoriamente acreditados pelo IPAC – www.ipac.pt).

Os Prestadores e respetivos Serviços de Confiança Qualificados são inscritos na Trusted List  Nacional. 

Validação de assinaturas eletrónicas: No link seguinte pode verificar o tipo de assinatura eletrónica que está aposta num documento, nomeadamente, assinatura eletrónica avançada (AdES), assinatura eletrónica avançada baseada em certificado qualificado (AdES/QC) ou assinatura eletrónica qualificada (QES).

European Commission Digital Signature Service (DSS)