keyboard_tab EIDAS 2014/0910 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artikel 6 Gensidig anerkendelse
- 2 Artikel 13 Erstatningsansvar og bevisbyrde
- 1 Artikel 21 Iværksættelse af en kvalificeret tillidstjeneste
- 1 Artikel 23 EU-tillidsmærket for kvalificerede tillidstjenester
- 1 Artikel 24 Krav til kvalificerede tillidstjenesteudbydere
- 1 Artikel 30 Certificering af kvalificerede elektroniske signaturgenereringssystemer
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
ELEKTRONISK IDENTIFIKATION
KAPITEL III
TILLIDSTJENESTER
AFDELING 1
Almindelige bestemmelser
AFDELING 2
Tilsyn
AFDELING 3
Kvalificerede tillidstjenesteydelser
AFDELING 4
Elektroniske signaturer
AFDELING 5
Elektroniske segl
AFDELING 6
Elektroniske tidsstempler
AFDELING 7
Elektroniske registrerede leveringstjenester
AFDELING 8
Webstedsautentifikation
KAPITEL IV
ELEKTRONISKE DOKUMENTER
KAPITEL V
DELEGEREDE BEFØJELSER OG GENNEMFØRELSESBESTEMMELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- kvalificerede 28
- eller 27
- artikel 25
- skal 13
- tillidstjenesteudbyder 13
- kvalificeret 13
- tillidstjenester 11
- overensstemmelse 11
- disse 10
- omhandlede 10
- efter 10
- tillidstjenesteudbydere 9
- litra 8
- kommissionen 8
- gennemførelsesretsakter 8
- denne 8
- elektroniske 8
- person 8
- elektronisk 8
- hjælp 8
- første 7
- afsnit 7
- sikringsniveauet 6
- certifikat 6
- identifikationsmiddel 6
- pågældende 6
- udbyder 6
- offentlige 6
- udstedt 6
- standarder 6
- liste 5
- fysisk 5
- ikke 5
- systemer 5
- omhandlet 5
- tilsynsorganet 5
- juridiske 4
- vedkommende 4
- forbindelse 4
- tillidstjenesteudbyderen 4
- pålidelige 4
- status 4
- have 4
- national 4
- tillidstjeneste 4
- data 4
- når 4
- produkter 4
- oplysninger 4
- krav 4
Artikel 6
Gensidig anerkendelse
1. Når der i henhold til national ret eller administrativ praksis kræves elektronisk identifikation ved hjælp af et elektronisk identifikationsmiddel og autentifikation som forudsætning for adgang til en onlinetjeneste, der udbydes af en offentlig myndighed i en medlemsstat, skal det elektroniske identifikationsmiddel, der er udstedt i en anden medlemsstat, anerkendes i den første medlemsstat med henblik på grænseoverskridende autentifikation af denne onlinetjeneste, forudsat at følgende betingelser er opfyldt:
| a) | det elektroniske identifikationsmiddel er udstedt under en elektronisk identifikationsordning, der er opført på den liste, som Kommissionen offentliggør i henhold til artikel 9 |
| b) | sikringsniveauet for det elektroniske identifikationsmiddel svarer til et sikringsniveau, der modsvarer eller er højere end det sikringsniveau, der kræves af den relevante offentlige myndighed for at få adgang til den pågældende onlinetjeneste i den første medlemsstat, forudsat at sikringsniveauet for det pågældende elektroniske identifikationsmiddel svarer til sikringsniveauet »betydelig« eller »høj« |
| c) | den relevante offentlige myndighed anvender sikringsniveauet »betydelig« eller »høj« i forbindelse med adgang til den pågældende onlinetjeneste. |
En sådan anerkendelse skal finde sted senest 12 måneder efter, at Kommissionen offentliggør den i første afsnit, litra a), omhandlede liste.
2. Et elektronisk identifikationsmiddel, der er udstedt under en elektronisk identifikationsordning, som er opført på den liste, som Kommissionen offentliggør i henhold til artikel 9, og som svarer til sikringsniveauet »lav«, kan anerkendes af offentlige myndigheder med henblik på grænseoverskridende autentifikation af disse myndigheders tjenester, der udbydes online.
Artikel 13
Erstatningsansvar og bevisbyrde
1. Uden at det berører stk. 2 er tillidstjenesteudbydere erstatningsansvarlige for skade, der forsætligt eller uagtsomt påføres en fysisk eller juridisk person som følge af manglende overholdelse af forpligtelserne i denne forordning.
Den fysiske eller juridiske person, der hævder at have lidt skade som omhandlet i første afsnit, bærer bevisbyrden for, at en ikkekvalificeret tillidstjenesteudbyder har handlet forsætligt eller uagtsomt.
En kvalificeret tillidstjenesteudbyder formodes at have handlet forsætligt eller uagtsomt, medmindre den pågældende kvalificerede tillidstjenesteudbyder beviser, at den i første afsnit omhandlede skade opstod uden forsæt eller uagtsomhed fra den pågældende kvalificerede tillidstjenesteudbyders side.
2. Når tillidstjenesteudbydere behørigt forudgående underretter deres kunder om begrænsningerne i forbindelse med anvendelsen af de tjenester, de udbyder, og når disse begrænsninger er identificerbare for tredjeparter, er tillidstjenesteudbydere ikke erstatningsansvarlige for skader, der påføres i forbindelse med anvendelse af tjenester, der går ud over de anførte begrænsninger.
3. Stk. 1 og 2 anvendes i overensstemmelse med nationale regler om erstatningsansvar.
Artikel 21
Iværksættelse af en kvalificeret tillidstjeneste
1. Ønsker en tillidstjenesteudbyder, der ikke har status som kvalificeret, at udbyde kvalificerede tillidstjenester, skal tjenesteudbyderen anmelde sin hensigt til tilsynsorganet og indsende en overensstemmelsesvurderingsrapport udstedt af et overensstemmelsesvurderingsorgan.
2. Tilsynsorganet kontrollerer, om tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, opfylder de i denne forordning fastsatte krav, og navnlig kravene til kvalificerede tillidstjenesteudbydere og disses kvalificerede tillidstjenester.
Konkluderer tilsynsorganet, at tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, overholder de i første afsnit omhandlede krav, tildeler tilsynsorganet tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, status som kvalificeret og underretter senest tre måneder efter anmeldelsen, jf. stk. 1 i nærværende artikel, det organ, der er omhandlet i artikel 22, stk. 3, med henblik på at føre positivlisterne i artikel 22, stk. 1, ajour.
Er kontrollen ikke afsluttet inden tre måneder efter anmeldelsen, underretter tilsynsorganet tillidstjenesteudbyderen herom og forklarer årsagerne til forsinkelsen samt oplyser, hvornår kontrollen skal være afsluttet.
3. Kvalificerede tillidstjenesteudbydere kan begynde at udbyde den kvalificerede tillidstjeneste, når den kvalificerede status er indført på de i artikel 22, stk. 1, omhandlede positivlister.
4. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge formater og procedurer med henblik på stk. 1 og 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
Artikel 23
EU-tillidsmærket for kvalificerede tillidstjenester
1. Efter at status som kvalificeret tillidstjenesteudbyder, jf. artikel 21, stk. 2, andet afsnit, er blevet angivet på den i artikel 22, stk. 1, omhandlede positivliste, kan kvalificerede tillidstjenesteudbydere anvende EU-tillidsmærket for på en enkel, genkendelig og klar måde at angive, hvilke kvalificerede tillidstjenester de udbyder.
2. Når EU-tillidsmærket anvendes for de i stk. 1 omhandlede kvalificerede tillidstjenester, skal de kvalificerede tillidstjenesteudbydere sikre, at der på deres websted findes et link til den relevante positivliste.
3. Senest den 1. juli 2015 fastlægger Kommissionen ved hjælp af gennemførelsesretsakter specifikationer med hensyn til formen og navnlig præsentationsformen, sammensætningen, størrelsen og udformningen af EU-tillidsmærket for kvalificerede tillidstjenester. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
Artikel 24
Krav til kvalificerede tillidstjenesteudbydere
1. Når en kvalificeret tillidstjenesteudbyder udsteder et kvalificeret certifikat for en tillidstjeneste, skal vedkommende med hensigtsmæssige midler og i overensstemmelse med national ret kontrollere identiteten og eventuelt særlige kendetegn ved den fysiske eller juridiske person, som det kvalificerede certifikat udstedes til.
Oplysningerne i første afsnit kontrolleres af den kvalificerede tillidstjenesteudbyder enten direkte eller via en tredjemand i overensstemmelse med national ret:
| a) | ved fysisk tilstedeværelse af den fysiske person eller den bemyndigede repræsentant for den juridiske person, eller |
| b) | uden fysisk tilstedeværelse ved hjælp af elektroniske identifikationsmidler, hvortil der forud for udstedelsen af et kvalificeret certifikat var sikret en fysisk tilstedeværelse af den fysiske person eller af en bemyndiget repræsentant for den juridiske person, og som lever op til kravene i artikel 8 med hensyn til sikringsniveauet »betydelig« eller »høj«, eller |
| c) | ved hjælp af et certifikat af en kvalificeret elektronisk signatur eller af et kvalificeret elektronisk segl udstedt i overensstemmelse med litra a) eller b), eller |
| d) | ved hjælp af andre identifikationsmetoder anerkendt på nationalt plan, som giver en sikkerhed, der for så vidt angår pålidelighed svarer til fysisk tilstedeværelse. Den tilsvarende sikkerhed skal bekræftes af et overensstemmelsesvurderingsorgan. |
2. En kvalificeret tillidstjenesteudbyder, der udbyder kvalificerede tillidstjenester, skal:
| a) | informere tilsynsorganet om ændringer i udbuddet af dennes kvalificerede tillidstjenester og om dennes hensigt om at ophøre med denne virksomhed |
| b) | beskæftige personale, og eventuelt underleverandører, der har den nødvendige ekspertviden og troværdighed og de nødvendige erfaringer, og kvalifikationer, og som har fået tilstrækkelig uddannelse i reglerne for sikkerhed og beskyttelse af personoplysninger og skal anvende administrative og ledelsesmæssige procedurer i overensstemmelse med europæiske eller internationale standarder |
| c) | i forbindelse med erstatningsansvaret for skader, have tilstrækkelige økonomiske ressourcer til rådighed, jf. artikel 13, og/eller anskaffe en passende ansvarsforsikring i overensstemmelse med national ret |
| d) | på en klar og let forståelig måde underrette de personer, der ønsker at gøre brug af en kvalificeret tillidstjeneste, om de nøjagtige vilkår for brugen af denne tjeneste, herunder eventuelle begrænsninger i brugen heraf, inden de indgår i et kontraktforhold |
| e) | anvende pålidelige systemer og produkter, som er beskyttet mod ændringer, og sikre den tekniske sikkerhed og pålidelighed i de processer, som disse systemer og produkter understøtter |
| f) | benytte pålidelige systemer til opbevaring af de data, den kvalificerede tillidstjenesteudbyder modtager, i kontrollerbar form, således at
|
| g) | træffe passende foranstaltninger imod forfalskning og tyveri af data |
| h) | i en rimelig periode registrere alle relevante oplysninger om de data, den kvalificerede tillidstjenesteudbyder har udstedt og modtaget, og sørge for, at de er tilgængelige, herunder efter at den kvalificerede tillidstjenesteudbyder har indstillet sin virksomhed, navnlig for at kunne fremlægge bevis i retssager og for at garantere tjenestens kontinuitet. Denne registrering kan ske elektronisk |
| i) | have en ajourført plan i tilfælde af virksomhedsafbrydelse for at sikre tjenestens kontinuitet i overensstemmelse med de bestemmelser, som tilsynsorganer kontrollerer i medfør af artikel 17, stk. 4, litra i) |
| j) | sikre, at personoplysninger behandles lovligt i overensstemmelse med direktiv 95/46/EF |
| k) | oprette og ajourføre en certifikatdatabase, når den kvalificerede tillidstjenesteudbyder udsteder kvalificerede certifikater. |
3. Vælger en kvalificeret tillidstjenesteudbyder, der udsteder kvalificerede certifikater, at spærre et certifikat, skal denne registrere en sådan spærring i sin certifikatdatabase og offentliggøre spærringen af certifikatet i god tid, og under alle omstændigheder inden for 24 timer efter modtagelsen af anmodningen. Spærringen træder i kraft straks efter offentliggørelsen.
4. Med hensyn til stk. 3 skal kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede certifikater, stille oplysninger om certifikaternes gyldighed eller spærring til rådighed for alle modtagerparter. Disse oplysninger skal som minimum for et certifikat ad gangen være automatisk og gratis tilgængelige til enhver tid og ud over gyldighedsperioden på pålidelig og effektiv vis.
5. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for pålidelige systemer og produkter, som opfylder kravene i stk. 2, litra e) og f), i nærværende artikel. Pålidelige systemer og produkter, der opfylder disse standarder, formodes at overholde kravene i nærværende artikel. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
AFDELING 4
Elektroniske signaturer
Artikel 30
Certificering af kvalificerede elektroniske signaturgenereringssystemer
1. Egnede offentlige eller private organer, der udpeges af medlemsstaterne, skal certificere overensstemmelsen mellem de kvalificerede elektroniske signaturgenereringssystemer og de i bilag II fastsatte krav.
2. Medlemsstaterne meddeler Kommissionen navn og adresse på de i stk. 1 omhandlede offentlige eller private organer. Kommissionen stiller disse oplysninger til rådighed for medlemsstaterne.
3. Certificeringen i stk. 1 baseres på en af følgende processer:
| a) | en sikkerhedsevalueringsproces, som gennemføres i overensstemmelse med en af de standarder for sikkerhedsvurdering af informationsteknologiprodukter, der er opført på den liste, der er udarbejdet i overensstemmelse med andet afsnit, eller |
| b) | en anden proces end den i litra a) omhandlede, såfremt den anvender sammenlignelige sikkerhedsniveauer og såfremt det i stk. 1 omhandlede offentlige eller private organ meddeler denne proces til Kommissionen. Den pågældende proces kan kun anvendes, hvis de standarder, der er omhandlet i litra a), ikke findes, eller hvis en sikkerhedsevalueringsproces som omhandlet i litra a) ikke er afsluttet. |
Kommissionen udarbejder ved hjælp af gennemførelsesretsakter en liste over standarder for sikkerhedsvurderingen af de informationsteknologiprodukter, der er omhandlet i litra a). Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
4. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 47 vedrørende fastsættelsen af de særlige kriterier, som de i stk. 1 i nærværende artikel omhandlede udpegede organer skal opfylde.
whereas