keyboard_tab EIDAS 2014/0910 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
ELEKTRONISK IDENTIFIKATION
KAPITEL III
TILLIDSTJENESTER
afdeling 1
Almindelige bestemmelser
afdeling 2
Tilsyn
afdeling 3
Kvalificerede tillidstjenesteydelser
afdeling 4
Elektroniske signaturer
afdeling 5
Elektroniske segl
afdeling 6
Elektroniske tidsstempler
afdeling 7
Elektroniske registrerede leveringstjenester
afdeling 8
Webstedsautentifikation
KAPITEL IV
ELEKTRONISKE DOKUMENTER
KAPITEL V
DELEGEREDE BEFØJELSER OG GENNEMFØRELSESBESTEMMELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- eller 31
- elektroniske 29
- kvalificerede 28
- artikel 26
- skal 19
- kvalificeret 15
- gennemførelsesretsakter 12
- disse 12
- standarder 10
- efter 10
- identifikationsordninger 9
- hjælp 9
- data 9
- person 9
- tillidstjenesteudbyder 9
- afdeling 8
- overensstemmelse 8
- tillidstjenesteudbydere 8
- sikkerheden 7
- dataene 7
- kravene 7
- hensyn 6
- elektronisk 6
- integritet 6
- under 6
- certifikat 6
- tekniske 6
- undersøgelsesproceduren 6
- segl 6
- mellem 6
- denne 6
- bevaring 6
- vedtages 6
- systemer 5
- brud 5
- signaturer 5
- opfylder 5
- tjeneste 5
- sikkerhed 5
- fysisk 5
- være 5
- kommissionen 5
- fysiske 5
- juridiske 5
- medlemsstaterne 5
- oplysninger 5
- produkter 4
- passende 4
- pålidelige 4
- udsteder 4
Artikel 12
Samarbejde og interoperabilitet
1. De nationale elektroniske identifikationsordninger, der anmeldes i henhold til artikel 9, stk. 1, skal være interoperable.
2. Med henblik på stk. 1 indføres der en interoperabilitetsramme.
3. Interoperabilitetsrammen skal opfylde følgende kriterier:
| a) | den tager sigte på at være teknologineutral og forskelsbehandler ikke mellem specifikke nationale tekniske løsninger til elektronisk identifikation inden for en medlemsstat |
| b) | den følger europæiske og internationale standarder, når det er muligt |
| c) | den letter gennemførelsen af princippet om indbygget databeskyttelse (privacy by design), og |
| d) | den sikrer, at personoplysninger behandles i overensstemmelse med direktiv 95/46/EF. |
4. Interoperabilitetsrammen skal omfatte:
| a) | en henvisning til tekniske minimumskrav for sikringsniveauerne i artikel 8 |
| b) | en kortlægning af nationale sikringsniveauer for anmeldte elektroniske identifikationsordninger under sikringsniveauerne i artikel 8 |
| c) | en henvisning til tekniske minimumskrav for interoperabilitet |
| d) | en henvisning til et minimum af personidentifikationsdata, der entydigt repræsenterer en fysisk eller juridisk person, og som stilles til rådighed fra elektroniske identifikationsordninger |
| e) | forretningsorden |
| f) | tvistbilæggelsesordninger, og |
| g) | fælles operationelle sikkerhedsstandarder. |
5. Medlemsstaterne skal samarbejde om følgende:
| a) | interoperabilitet mellem de elektroniske identifikationsordninger, der er anmeldt i henhold til artikel 9, stk. 1, og de elektroniske identifikationsordninger, som medlemsstaterne har til hensigt at anmelde, og |
| b) | sikkerheden i de elektroniske identifikationsordninger. |
6. Samarbejdet mellem medlemsstaterne omfatter:
| a) | udvekslingen af oplysninger, erfaring og god praksis med hensyn til elektroniske identifikationsordninger og navnlig tekniske krav til interoperabilitet og sikringsniveauer |
| b) | udvekslingen af oplysninger, erfaring og god praksis med hensyn til arbejdet med sikringsniveauer i elektroniske identifikationsordninger i henhold til artikel 8 |
| c) | fagfællebedømmelse (peer review) af elektroniske identifikationsordninger, der henhører under denne forordning, og |
| d) | undersøgelse af relevante udviklingstendenser i sektoren for elektronisk identifikation. |
7. Senest den 18. marts 2015 fastlægger Kommissionen ved hjælp af gennemførelsesretsakter de fornødne proceduremæssige ordninger for at lette samarbejdet mellem medlemsstaterne, jf. stk. 5 og 6, med henblik på at fremme et højt niveau af tillid og sikkerhed, der står i et passende forhold til risikoen.
8. Senest den 18. september 2015 vedtager Kommissionen med forbehold af kriterierne i stk. 3 og under hensyn til resultaterne af samarbejdet mellem medlemsstaterne gennemførelsesretsakter om interoperabilitetsrammen som fastsat i stk. 4 med henblik på at fastsætte ensartede betingelser for gennemførelsen af kravet i stk. 1.
9. De i stk. 7 og 8 i nærværende artikel omhandlede gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
KAPITEL III
TILLIDSTJENESTER
afdeling 1
Almindelige bestemmelser
Artikel 16
Sanktioner
Medlemsstaterne fastsætter regler om sanktioner for overtrædelse af denne forordning. Sanktionerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.
afdeling 2
Tilsyn
Artikel 19
Sikkerhedskrav til tillidstjenesteudbydere
1. Kvalificerede og ikkekvalificerede tillidstjenesteudbydere skal træffe passende tekniske og organisatoriske foranstaltninger til at styre de sikkerhedsmæssige risici i forbindelse med de tillidstjenester, de udbyder. Under hensyn til den seneste teknologiske udvikling skal disse foranstaltninger garantere et sikkerhedsniveau, der svarer til risikoens omfang. Tillidstjenesteudbyderne bør navnlig tage skridt til at forhindre og minimere virkningen af sikkerhedsrelaterede hændelser og underrette de berørte parter om de negative virkninger af sådanne hændelser.
2. De kvalificerede og ikkekvalificerede tillidstjenesteudbydere, der konstaterer et brud på sikkerheden eller tab af integritet, som har en væsentlig indvirkning på den udbudte tillidstjeneste eller de berørte personoplysninger, skal hurtigst muligt og under alle omstændigheder inden for 24 timer efter at være blevet opmærksomme på forholdet underrette tilsynsorganet, og eventuelt andre relevante organer som f.eks. det kompetente nationale organ for informationssikkerhed eller databeskyttelsesmyndigheden.
Når det er sandsynligt, at et brud på sikkerheden eller tab af integritet vil krænke den fysiske eller juridiske person, som har modtaget tillidstjenesten, skal tillidstjenesteudbyderen også hurtigst muligt underrette den fysiske eller juridiske person om bruddet på sikkerheden eller tab af integritet.
Hvor det er relevant, og navnlig hvis et brud på sikkerheden eller tab af integritet berører to eller flere medlemsstater, skal det underrettede tilsynsorgan informere tilsynsorganerne i andre berørte medlemsstater og ENISA.
Det underrettede tilsynsorgan skal også informere offentligheden eller kræve, at tillidstjenesteudbyderen gør det, hvis det fastslår, at det er i offentlighedens interesse, at et brud på sikkerheden eller tab af integritet offentliggøres.
3. Tilsynsorganet forelægger en gang om året ENISA en sammenfattende rapport om de indberetninger af brud på sikkerheden eller tab af integritet, som det har modtaget fra tillidstjenesteudbyderne.
4. Kommissionen kan ved gennemførelsesretsakter:
| a) | yderligere specificere de i stk. 1 omhandlede foranstaltninger, og |
| b) | vedtage formater og procedurer, herunder tidsfrister, for gennemførelsen af stk. 2. |
Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
afdeling 3
Kvalificerede tillidstjenesteydelser
Artikel 24
Krav til kvalificerede tillidstjenesteudbydere
1. Når en kvalificeret tillidstjenesteudbyder udsteder et kvalificeret certifikat for en tillidstjeneste, skal vedkommende med hensigtsmæssige midler og i overensstemmelse med national ret kontrollere identiteten og eventuelt særlige kendetegn ved den fysiske eller juridiske person, som det kvalificerede certifikat udstedes til.
Oplysningerne i første afsnit kontrolleres af den kvalificerede tillidstjenesteudbyder enten direkte eller via en tredjemand i overensstemmelse med national ret:
| a) | ved fysisk tilstedeværelse af den fysiske person eller den bemyndigede repræsentant for den juridiske person, eller |
| b) | uden fysisk tilstedeværelse ved hjælp af elektroniske identifikationsmidler, hvortil der forud for udstedelsen af et kvalificeret certifikat var sikret en fysisk tilstedeværelse af den fysiske person eller af en bemyndiget repræsentant for den juridiske person, og som lever op til kravene i artikel 8 med hensyn til sikringsniveauet »betydelig« eller »høj«, eller |
| c) | ved hjælp af et certifikat af en kvalificeret elektronisk signatur eller af et kvalificeret elektronisk segl udstedt i overensstemmelse med litra a) eller b), eller |
| d) | ved hjælp af andre identifikationsmetoder anerkendt på nationalt plan, som giver en sikkerhed, der for så vidt angår pålidelighed svarer til fysisk tilstedeværelse. Den tilsvarende sikkerhed skal bekræftes af et overensstemmelsesvurderingsorgan. |
2. En kvalificeret tillidstjenesteudbyder, der udbyder kvalificerede tillidstjenester, skal:
| a) | informere tilsynsorganet om ændringer i udbuddet af dennes kvalificerede tillidstjenester og om dennes hensigt om at ophøre med denne virksomhed |
| b) | beskæftige personale, og eventuelt underleverandører, der har den nødvendige ekspertviden og troværdighed og de nødvendige erfaringer, og kvalifikationer, og som har fået tilstrækkelig uddannelse i reglerne for sikkerhed og beskyttelse af personoplysninger og skal anvende administrative og ledelsesmæssige procedurer i overensstemmelse med europæiske eller internationale standarder |
| c) | i forbindelse med erstatningsansvaret for skader, have tilstrækkelige økonomiske ressourcer til rådighed, jf. artikel 13, og/eller anskaffe en passende ansvarsforsikring i overensstemmelse med national ret |
| d) | på en klar og let forståelig måde underrette de personer, der ønsker at gøre brug af en kvalificeret tillidstjeneste, om de nøjagtige vilkår for brugen af denne tjeneste, herunder eventuelle begrænsninger i brugen heraf, inden de indgår i et kontraktforhold |
| e) | anvende pålidelige systemer og produkter, som er beskyttet mod ændringer, og sikre den tekniske sikkerhed og pålidelighed i de processer, som disse systemer og produkter understøtter |
| f) | benytte pålidelige systemer til opbevaring af de data, den kvalificerede tillidstjenesteudbyder modtager, i kontrollerbar form, således at
|
| g) | træffe passende foranstaltninger imod forfalskning og tyveri af data |
| h) | i en rimelig periode registrere alle relevante oplysninger om de data, den kvalificerede tillidstjenesteudbyder har udstedt og modtaget, og sørge for, at de er tilgængelige, herunder efter at den kvalificerede tillidstjenesteudbyder har indstillet sin virksomhed, navnlig for at kunne fremlægge bevis i retssager og for at garantere tjenestens kontinuitet. Denne registrering kan ske elektronisk |
| i) | have en ajourført plan i tilfælde af virksomhedsafbrydelse for at sikre tjenestens kontinuitet i overensstemmelse med de bestemmelser, som tilsynsorganer kontrollerer i medfør af artikel 17, stk. 4, litra i) |
| j) | sikre, at personoplysninger behandles lovligt i overensstemmelse med direktiv 95/46/EF |
| k) | oprette og ajourføre en certifikatdatabase, når den kvalificerede tillidstjenesteudbyder udsteder kvalificerede certifikater. |
3. Vælger en kvalificeret tillidstjenesteudbyder, der udsteder kvalificerede certifikater, at spærre et certifikat, skal denne registrere en sådan spærring i sin certifikatdatabase og offentliggøre spærringen af certifikatet i god tid, og under alle omstændigheder inden for 24 timer efter modtagelsen af anmodningen. Spærringen træder i kraft straks efter offentliggørelsen.
4. Med hensyn til stk. 3 skal kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede certifikater, stille oplysninger om certifikaternes gyldighed eller spærring til rådighed for alle modtagerparter. Disse oplysninger skal som minimum for et certifikat ad gangen være automatisk og gratis tilgængelige til enhver tid og ud over gyldighedsperioden på pålidelig og effektiv vis.
5. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for pålidelige systemer og produkter, som opfylder kravene i stk. 2, litra e) og f), i nærværende artikel. Pålidelige systemer og produkter, der opfylder disse standarder, formodes at overholde kravene i nærværende artikel. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
afdeling 4
Elektroniske signaturer
Artikel 34
Kvalificeret tjeneste til bevaring af kvalificerede elektroniske signaturer
1. En kvalificeret tjeneste til bevaring af kvalificerede elektroniske signaturer må kun stilles til rådighed af en kvalificeret tillidstjenesteudbyder, der anvender procedurer og teknologier, der gør det muligt at forlænge pålideligheden af den kvalificerede elektroniske signatur ud over den teknologiske gyldighedsperiode.
2. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for kvalificeret tjeneste til bevaring af kvalificerede elektroniske signaturer. En kvalificeret tjeneste til bevaring af kvalificerede elektroniske signaturer, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
afdeling 5
Elektroniske segl
Artikel 40
Validering og bevaring af kvalificerede elektroniske segl
Artikel 32, 33 og 34 finder tilsvarende anvendelse for så vidt angår validering og bevaring af kvalificerede elektroniske segl.
afdeling 6
Elektroniske tidsstempler
Artikel 42
Krav til kvalificerede elektroniske tidsstempler
1. Kvalificerede elektroniske tidsstempler skal opfylde følgende krav:
| a) | de forbinder dato og tidspunkt med data på en sådan måde, at det med rimelighed udelukker muligheden for at ændre dataene, uden at det opdages |
| b) | de bygger på en præcis tidskilde forbundet med koordineret universaltid, og |
| c) | de er forsynet med den kvalificerede tillidstjenesteudbyders avancerede elektroniske signatur eller forseglet med dennes avancerede elektroniske segl eller med en anden tilsvarende metode. |
2. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for forbindelsen af dato og tidspunkt med data og for brug af nøjagtige tidskilder. Forbindelsen af dato og tidspunkt med data og nøjagtige tidskilder, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
afdeling 7
Elektroniske registrerede leveringstjenester
Artikel 44
Krav til kvalificerede elektroniske registrerede leveringstjenester
1. Kvalificerede elektroniske registrerede leveringstjenester skal opfylde følgende krav:
| a) | de udbydes af en eller flere kvalificerede tillidstjenesteudbydere |
| b) | de sikrer med en høj grad af tillid identifikation af afsenderen |
| c) | de sikrer forud for levering af dataene identifikation af modtageren |
| d) | afsendelsen og modtagelsen af data er beskyttet af en kvalificeret tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl på en sådan måde, at det er umuligt at ændre dataene, uden at det opdages |
| e) | hvis det er nødvendigt at ændre dataene, for at de kan sendes eller modtages, angives dette klart over for afsenderen og modtageren af dataene |
| f) | datoen og tidspunktet for afsendelse, modtagelse og en eventuel ændring af data angives ved hjælp af et kvalificeret elektronisk tidsstempel. |
Overføres dataene mellem to eller flere kvalificerede tillidstjenesteudbydere, gælder kravene i litra a)-f) for samtlige kvalificerede tillidstjenesteudbydere.
2. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for dataafsendelses- og -modtagelsesprocesser. En dataafsendelses- og -modtagelsesproces, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
afdeling 8
Webstedsautentifikation
whereas