Regulamento eIDAS – Entidade Supervisora Nacional

ENQUADRAMENTO

O Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à Identificação Eletrónica e aos Serviços de Confiança para as transações eletrónicas no mercado interno, designado por Regulamento eIDAS, entrou em vigor em 17 de setembro de 2014, e o essencial do seu articulado passou a ser aplicado desde 01 de julho de 2016.

O Regulamento eIDAS revogou a Diretiva n.º 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, relativa a um quadro legal comunitário para as Assinaturas Eletrónicas.

O Decreto-Lei n.º 12/2021 de 9 de fevereiro assegura a execução na ordem jurídica interna o Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014.

A publicação deste Decreto-Lei n.º 12/2021 de 9 de fevereiro, permitiu:

  • Designar e dotar as autoridades portuguesas das competências para realizar as atividades de supervisão previstas no Regulamento;
  • Definir o quadro sancionatório aplicável em caso de infração das normas do Regulamento;
  • Consolidar a legislação nacional existente relativa à validade, eficácia e valor probatório dos documentos eletrónicos, bem como, sobre o Sistema de Certificação Eletrónica do Estado - Infraestrutura de Chaves Públicas.


FINALIDADE DO REGULAMENTO eIDAS

Estabelecer uma base europeia comum para uma interação eletrónica segura, aumentando a confiança e segurança das transações online na União Europeia, promovendo uma maior utilização de serviços online por parte dos cidadãos, operadores económicos e administração pública.

O eIDAS estabelece ainda um conjunto alargado de serviços de confiança, bem como o reconhecimento mútuo transfronteiriço dos meios de identificação eletrónica (eID). Desde 29 de setembro de 2018, um cidadão da UE com um cartão eID (notificado de acordo com o Regulamento eIDAS), pode aceder a qualquer serviço público online a partir de qualquer Estado-Membro da UE.


ORGANIZAÇÃO

No âmbito da segurança dos meios de Identificação Eletrónica e dos Serviços de Confiança, o Regulamento eIDAS estabelece uma nova arquitetura institucional e de governança, concretizada pelas seguintes entidades:

  • Entidade Supervisora - Gabinete Nacional de Segurança (GNS), tendo por atribuição a supervisão dos Prestadores qualificados de Serviços de Confiança estabelecidos no território nacional, no sentido de verificar se os Prestadores qualificados e os Serviços de Confiança qualificados por eles prestados, cumprem os requisitos estabelecidos no Regulamento eIDAS; 
  • Entidade Gestora das Listas de Confiança - GNS, responsável pela elaboração, conservação, atualização e publicação das Listas de Confiança nacionais;
  • Organismos de Avaliação de Conformidade, entidades competentes para realizar a avaliação da conformidade de Prestadores Qualificados de Serviços de Confiança e dos Serviços de Confiança qualificados prestados. Estes organismos são obrigatoriamente acreditados pelo organismo nacional de acreditação, o Instituto Português de Acreditação, I.P. (IPAC);
  • Prestador de Serviços de Confiança, pessoa singular ou coletiva que presta um ou mais do que um Serviço de Confiança, quer como Prestador Qualificado, quer como Prestador Não Qualificado de Serviços de Confiança; Os Prestadores e respetivos Serviços de Confiança Qualificados são inscritos na Trusted List Nacional (Lista de Confiança Nacional. 
  • Agência da União Europeia para a Cibersegurança (ENISA), a qual recebe anualmente da Entidade Supervisora (GNS), um Relatório das notificações de violações da segurança e de perda de integridade que tenham sido comunicados pelos Prestadores de Serviços de Confiança;
  • Autoridade responsável pela proteção de dados (Comissão Nacional de Proteção de Dados), a qual recebe da Entidade Supervisora (GNS), informação relativa a auditorias ou dos resultados das auditorias realizadas a Prestadores Qualificados de Serviços de Confiança, quando haja suspeita de terem sido violadas as regras de proteção dos dados pessoais, assim como é notificada pelos Prestadores de Serviços de Confiança, de todas as violações da segurança ou perdas de integridade que tenham um impacto significativo sobre os dados pessoais por eles conservados.


SERVIÇOS DE CONFIANÇA PREVISTOS NO REGULAMENTO EIDAS

São disponibilizados ao público por Prestadores de Serviços de Confiança, nomeadamente:

  • Validação de Assinaturas Eletrónicas, no sítio do European Commission Digital Signature Service (DSS), pode verificar o tipo de Assinatura Eletrónica que está aposta num documento, nomeadamente, Assinatura Eletrónica Avançada (AdES), Assinatura Eletrónica Avançada baseada em Certificado Qualificado (AdES/QC) ou Assinatura Eletrónica Qualificada (QES):
  • Selos Eletrónicos;
  • Selos Temporais;
  • Serviços de Envio Registado Eletrónico;
  • Autenticação de Websites.


NOTIFICAÇÃO DE INCIDENTES DE SEGURANÇA – Artº 19º do eIDAS

Os prestadores, qualificados e não qualificados, de serviços de confiança notificam, sem demora indevida, mas sempre no prazo de 24 horas após terem tomado conhecimento do ocorrido, a entidade supervisora e, se necessário, outras entidades, como a entidade nacional competente em matéria de segurança da informação ou a autoridade responsável pela proteção de dados, de todas as violações da segurança ou perdas de integridade que tenham um impacto significativo sobre o serviço de confiança prestado ou sobre os dados pessoais por ele conservados.

A entidade supervisora fornece uma vez por ano à ENISA um resumo das notificações de violações da segurança e de perda de integridade que tenha recebido dos prestadores de serviços de confiança

Procedimento a adotar para a notificação:
Preencher um dos formulários abaixo, de acordo com o tipo de incidente, e enviá-lo para svc.confianca@gns.gov.pt

Formulários:


SERVIÇOS PRESTADOS PELO GNS (ENTIDADE SUPERVISORA)

O Artigo 21.º do Regulamento eIDAS define que, quando os Prestadores de Serviços de Confiança, sem estatuto de qualificado, pretendam começar a prestar Serviços de Confiança Qualificados, apresentam à Entidade Supervisora (GNS) uma notificação da sua intenção, acompanhada de um relatório de avaliação da conformidade emitido por um organismo de avaliação da conformidade.
Em documentos associados pode ser descarregado o Formulário modelo utilizado para a notificação da Entidade Supervisora (Versão PDF e Versão Microsoft Word).

O Formulário para notificação de início/manutenção de Serviço de Confiança Qualificado estabelece as regras para a referida notificação, bem como para a elaboração Relatório de Avaliação de Conformidade (carácter obrigatório). O referido documento tem particular interesse para os Prestadores de Serviços de Confiança e Organismos de Avaliação de Conformidade (obrigatoriamente acreditados pelo IPAC).



LEGISLAÇÃO, DESPACHOS E NORMAS TÉCNICAS

LEGISLAÇÃO EUROPEIA

  • Regulamento de Execução (UE) 2015/1502 da Comissão de 8 de setembro
    Estabelece as especificações técnicas mínimas e os procedimentos para a atribuição dos níveis de garantia dos meios de identificação eletrónica, nos termos do artigo 8º, n.º 3, do Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno.
  • Decisão de Execução (UE) 2015/1505 da Comissão de 8 de setembro
    Estabelece as especificações técnicas e os formatos relativos às listas de confiança, nos termos do artigo 22º, n.º 5, do Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno.
  • Decisão de Execução (UE) 2015/1506 da Comissão de 8 de setembro
    Estabelece especificações relativas aos formatos das assinaturas eletrónicas avançadas e dos selos eletrónicos avançados para reconhecimento pelos organismos públicos nos termos dos artigos 27º, n.º 5, e 37º, n.º 5, do Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno.
  • Decisão de Execução (UE) 2016/650 da Comissão de 25 de abril
    Estabelece normas para a avaliação da segurança dos dispositivos qualificados de criação de assinaturas e selos nos termos dos artigos 30.º, n.º 3, e 39.º, n.º 2, do Regulamento (UE) n.º 910/2014 do Parlamento Europeu e do Conselho relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno.


LEGISLAÇÃO NACIONAL

  • Decreto-Lei n.º 12/2021, de 9 de fevereiro, que assegura a execução na ordem jurídica interna do Regulamento (UE) 910/2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno.

DESPACHOS E COMUNICAÇÕES DA ENTIDADE SUPERVISORA

  • Despacho n.º 2705/2021 da Entidade Supervisora nacional, de 11 de março
    Relativo à identificação de pessoas físicas através de procedimentos de identificação à distância com recurso a sistemas biométricos automáticos de reconhecimento facial.
    Define os requisitos e procedimentos para a certificação e avaliação da conformidade dos procedimentos e sistemas de identificação com recurso a sistemas biométricos automáticos de reconhecimento facial, para os efeitos definidos na alínea d) do n.º 1 do artigo 24.º do Regulamento eIDAS.
  • Despacho 154/2017 da Entidade Supervisora nacional, de 5 de dezembro (PDF, 345KB)
    Relativo à Identificação de pessoas físicas através de procedimentos de identificação à distância com recurso a videoconferência.
    Define os requisitos para os procedimentos e sistemas de identificação por videoconferência, bem como da certificação e avaliação da conformidade dos procedimentos e sistemas de identificação por videoconferência, para os efeitos definidos na alínea d) do n.º 1 do artigo 24.º do Regulamento eIDAS.
  • Despacho 155/2017 da Entidade Supervisora nacional, de 5 de dezembro (PDF, 234KB)
    Relativo à criação de assinaturas eletrónicas à distância, com gestão por um prestador qualificado de serviços de confiança em nome do signatário.
    Define os Requisitos para a utilização de sistemas e produtos de confiança para criação de assinaturas eletrónicas à distância, bem como da Avaliação da conformidade dos sistemas e produtos de confiança utilizados para a criação de assinaturas eletrónicas à distância.

NORMAS TÉCNICAS

  • NT - D 01 (PDF, 4.02MB) - Requisitos para a Credenciação de Auditor de Segurança, previstos no Decreto Regulamentar nº. 25/2004, de 15 de Julho;
  • NT - D 03 (PDF, 110KB) - Requisitos para Entidades Certificadoras que emitem Certificados Qualificados;
  • NT - D 04 (PDF, 396KB) - Regras para a Auditoria de Entidades Certificadoras que emitem Certificados Qualificados.

Fale conosco!

Está interessado nos nossos serviços?