- Els prestadors de serveis de confiança electrònica han d’adoptar les mesures tècniques i organitzatives adequades per gestionar els riscos per a la seguretat dels serveis de confiança electrònica que presten. Tenint en compte l’estat de la tècnica, aquestes mesures han de garantir un nivell de seguretat adequat al grau de risc. En particular, han d’adoptar mesures per evitar i reduir al mínim l’impacte dels incidents de seguretat i informar els interessats dels efectes negatius de qualsevol incident.
Sense perjudici del que disposa l’article 35, qualsevol prestador de serveis de confiança electrònica pot presentar a l’organisme de supervisió l’informe d’una auditoria de seguretat realitzada per un organisme independent reconegut per tal de confirmar que s’han pres les mesures de seguretat apropiades.
- Els prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats, han de notificar a l’organisme de supervisió competent, tan aviat com sigui possible i preferentment dins d’un termini de 24 hores després de tenir-ne coneixement, qualsevol violació de la seguretat o minva de la integritat en el servei de confiança electrònica prestat i en les dades personals corresponents.
L’organisme de supervisió pot informar el públic sobre la violació de la seguretat o la minva de la integritat en el servei de confiança electrònica prestat i en les dades personals corresponents, o exigir al prestador de serveis de confiança electrònica que ho faci, en cas de considerar que la divulgació de la violació de la seguretat és d’interès públic.
- Per a l’aplicació dels apartats 1 i 2, l’organisme de supervisió competent està facultat per impartir instruccions vinculants als prestadors de serveis de confiança electrònica.