keyboard_tab EIDAS 2014/0910 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artikel 17 Tilsynsorganer
- 1 Artikel 20 Tilsyn med kvalificerede tillidstjenesteudbydere
- 1 Artikel 21 Iværksættelse af en kvalificeret tillidstjeneste
- 3 Artikel 22 Positivlister
- 2 Artikel 24 Krav til kvalificerede tillidstjenesteudbydere
- 1 Artikel 31 Offentliggørelse af en liste over certificerede kvalificerede elektroniske signaturgenereringssystemer
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
ELEKTRONISK IDENTIFIKATION
KAPITEL III
TILLIDSTJENESTER
AFDELING 1
Almindelige bestemmelser
AFDELING 2
Tilsyn
AFDELING 3
Kvalificerede tillidstjenesteydelser
AFDELING 4
Elektroniske signaturer
AFDELING 5
Elektroniske segl
AFDELING 6
Elektroniske tidsstempler
AFDELING 7
Elektroniske registrerede leveringstjenester
AFDELING 8
Webstedsautentifikation
KAPITEL IV
ELEKTRONISKE DOKUMENTER
KAPITEL V
DELEGEREDE BEFØJELSER OG GENNEMFØRELSESBESTEMMELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- kvalificerede 41
- artikel 34
- eller 23
- tillidstjenesteudbydere 20
- overensstemmelse 16
- kvalificeret 15
- efter 15
- tilsynsorganet 14
- tillidstjenesteudbyder 12
- gennemførelsesretsakter 12
- disse 12
- tillidstjenester 12
- denne 12
- hjælp 11
- skal 11
- oplysninger 10
- kommissionen 9
- udbyder 8
- status 8
- forordning 7
- kravene 7
- opfylder 7
- kommissionen 7
- person 6
- certifikat 6
- omhandlet 6
- positivlister 6
- elektroniske 6
- krav 6
- vedtages 6
- undersøgelsesproceduren 6
- organ 6
- systemer 5
- medlemsstat 5
- underrette 5
- henblik 5
- ikke 5
- medlemsstaterne 5
- sikre 5
- overensstemmelsesvurderingsorgan 5
- inden 5
- tilsynsorganer 5
- elektronisk 5
- deres 5
- ændringer 4
- tilgængelige 4
- litra 4
- fastsat 4
- udsteder 4
- vedkommende 4
Artikel 17
Tilsynsorganer
1. Hver medlemsstat udpeger et tilsynsorgan, der er hjemmehørende på dens område, eller, efter gensidig aftale med en anden medlemsstat, et tilsynsorgan, der er hjemmehørende i den pågældende anden medlemsstat. Dette organ er ansvarligt for tilsynsopgaver i den udpegende medlemsstat.
Tilsynsorganerne tillægges de nødvendige beføjelser og tilstrækkelige ressourcer til varetagelsen af deres opgaver.
2. Medlemsstaterne meddeler Kommissionen navn og adresse på de tilsynsorganer, de hver især har udpeget.
3. Tilsynsorganet har følgende rolle:
| a) | at føre tilsyn med kvalificerede tillidstjenesteudbydere, der er hjemmehørende på den udpegende medlemsstats område, for ved hjælp af forudgående og efterfølgende tilsynsvirksomhed at sikre, at disse kvalificerede tillidstjenesteudbydere og de kvalificerede tillidstjenester, de udbyder, opfylder kravene i denne forordning |
| b) | om nødvendigt at gribe ind over for ikkekvalificerede tillidstjenesteudbydere, der er hjemmehørende på den udpegende medlemsstats område ved hjælp af efterfølgende tilsynsvirksomhed, når det underrettes om, at disse ikkekvalificerede tillidstjenesteudbydere eller de tillidstjenester, de udbyder, angiveligt ikke opfylder kravene i denne forordning. |
4. Med henblik på stk. 3 og med forbehold af de deri fastsatte begrænsninger omfatter tilsynsorganets opgaver navnlig:
| a) | at samarbejde med andre tilsynsorganer og yde dem bistand i overensstemmelse med artikel 18 |
| b) | at analysere de overensstemmelsesvurderingsrapporter, der er omhandlet i artikel 20, stk. 1, og artikel 21, stk. 1 |
| c) | at underrette andre tilsynsorganer og offentligheden om brud på sikkerheden eller tab af integritet i overensstemmelse med artikel 19, stk. 2 |
| d) | at aflægge rapport til Kommissionen om sin primære virksomhed i overensstemmelse med stk. 6 i nærværende artikel |
| e) | at foretage kontrolundersøgelser eller anmode et overensstemmelsesvurderingsorgan om at udføre en overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere i overensstemmelse med artikel 20, stk. 2 |
| f) | at samarbejde med databeskyttelsesmyndighederne, navnlig ved hurtigst muligt at underrette dem om resultaterne af kontrolundersøgelser af kvalificerede tillidstjenesteudbydere, hvis der er mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger |
| g) | at tildele kvalificerede tillidstjenesteudbydere og de tjenester, de udbyder, status som kvalificeret og at trække denne status tilbage i overensstemmelse med artikel 20 og 21 |
| h) | at underrette det organ, der er ansvarligt for den nationale positivliste, der er omhandlet i artikel 22, stk. 3, om sine afgørelser om tildeling eller tilbagetrækning af status som kvalificeret, medmindre dette organ også er tilsynsorganet |
| i) | at kontrollere, at der findes bestemmelser om planer for virksomhedsafbrydelse, og at de anvendes korrekt, i tilfælde hvor den kvalificerede tillidstjenesteudbyder afbryder sin virksomhed, herunder hvordan oplysninger forbliver tilgængelige i overensstemmelse med artikel 24, stk. 2, litra h) |
| j) | at pålægge tillidstjenesteudbydere at afhjælpe mangler i opfyldelsen af de krav, der er fastsat i denne forordning. |
5. Medlemsstaterne kan kræve, at tilsynsorganet opretter, vedligeholder og ajourfører en tillidsinfrastruktur i overensstemmelse med betingelserne i national ret.
6. Senest den 31. marts hvert år forelægger tilsynsorganerne Kommissionen en rapport om det foregående kalenderårs primære tilsynsvirksomhed sammen med en sammenfatning af de indberetninger af brud på sikkerheden, som er modtaget fra tillidstjenesteudbydere i overensstemmelse med artikel 19, stk. 2.
7. Kommissionen gør den i stk. 6 omhandlede årlige rapport tilgængelig for medlemsstaterne.
8. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge formater og procedurer for rapporteringen i medfør af stk. 6. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
Artikel 20
Tilsyn med kvalificerede tillidstjenesteudbydere
1. Kvalificerede tillidstjenesteudbydere skal kontrolleres af et overensstemmelsesvurderingsorgan for egen regning mindst hver 24. måned. Formålet med kontrollen er at bekræfte, at de kvalificerede tillidstjenesteudbydere og de kvalificerede tillidstjenester, som de udbyder, opfylder de krav, der er fastsat i denne forordning. De kvalificerede tillidstjenesteudbydere skal forelægge den resulterende overensstemmelsesvurderingsrapport for tilsynsorganet inden for en periode på tre arbejdsdage efter modtagelsen heraf.
2. Uden at dette berører stk. 1, kan tilsynsorganet til enhver tid foretage kontrol hos eller anmode et overensstemmelsesvurderingsorgan om at udføre en overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere for disses tillidstjenesteudbyderes regning for at bekræfte, at de og deres kvalificerede tillidstjenester opfylder de krav, der er fastsat i denne forordning. Ved mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger skal tilsynsorganet underrette databeskyttelsesmyndighederne om resultaterne af deres kontrolundersøgelser.
3. Kræver tilsynsorganet, at den kvalificerede tillidstjenesteudbyder afhjælper enhver forsømmelse af at opfylde kravene i denne forordning, og hvis tjenesteudbyderen ikke handler i overensstemmelse hermed og eventuelt inden for en af tilsynsorganet fastsat frist, kan tilsynsorganet under særlig hensyntagen til den omtalte mangels omfang, varighed og konsekvenser tilbagetrække den pågældende tjenesteudbyders eller den pågældende tjenestes status som kvalificeret og informere det organ, der er omhandlet i artikel 22, stk. 3, med henblik på at føre positivlisten i artikel 22, stk. 1, ajour. Tilsynsorganet underretter den kvalificerede tillidstjenesteudbyder om tilbagetrækningen af vedkommendes eller af den pågældende kvalificerede tjenestes status som kvalificeret.
4. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på følgende standarder:
| a) | akkreditering af overensstemmelsesvurderingsorganerne og for overensstemmelsesvurderingsrapporten, jf. stk. 1 |
| b) | revisionsregler, i henhold til hvilke overensstemmelsesvurderingsorganer udfører deres overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere, jf. stk. 1. |
Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
Artikel 21
Iværksættelse af en kvalificeret tillidstjeneste
1. Ønsker en tillidstjenesteudbyder, der ikke har status som kvalificeret, at udbyde kvalificerede tillidstjenester, skal tjenesteudbyderen anmelde sin hensigt til tilsynsorganet og indsende en overensstemmelsesvurderingsrapport udstedt af et overensstemmelsesvurderingsorgan.
2. Tilsynsorganet kontrollerer, om tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, opfylder de i denne forordning fastsatte krav, og navnlig kravene til kvalificerede tillidstjenesteudbydere og disses kvalificerede tillidstjenester.
Konkluderer tilsynsorganet, at tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, overholder de i første afsnit omhandlede krav, tildeler tilsynsorganet tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, status som kvalificeret og underretter senest tre måneder efter anmeldelsen, jf. stk. 1 i nærværende artikel, det organ, der er omhandlet i artikel 22, stk. 3, med henblik på at føre positivlisterne i artikel 22, stk. 1, ajour.
Er kontrollen ikke afsluttet inden tre måneder efter anmeldelsen, underretter tilsynsorganet tillidstjenesteudbyderen herom og forklarer årsagerne til forsinkelsen samt oplyser, hvornår kontrollen skal være afsluttet.
3. Kvalificerede tillidstjenesteudbydere kan begynde at udbyde den kvalificerede tillidstjeneste, når den kvalificerede status er indført på de i artikel 22, stk. 1, omhandlede positivlister.
4. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge formater og procedurer med henblik på stk. 1 og 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
Artikel 22
Positivlister
1. Hver medlemsstat opretter, ajourfører og offentliggør positivlister herunder oplysninger om de kvalificerede tillidstjenesteudbydere, som den har ansvaret for, samt oplysninger om deres kvalificerede tillidstjenester.
2. Medlemsstaterne opretter, ajourfører og offentliggør under sikre forhold de elektronisk underskrevne eller forseglede positivlister, jf. stk. 1, i en form, der egner sig til automatiseret behandling.
3. Medlemsstaterne meddeler hurtigst muligt Kommissionen, hvilket organ der er ansvarligt for at oprette, ajourføre og offentliggøre de nationale positivlister, og hvor disse lister offentliggøres, og sender Kommissionen de certifikater, der er anvendt til underskrift eller forsegling af positivlisterne, og eventuelle ændringer heraf.
4. Kommissionen stiller de oplysninger, der er omhandlet i stk. 3, til rådighed for offentligheden via en sikker kommunikationsforbindelse og i en elektronisk underskrevet eller forseglet form, der egner sig til automatiseret behandling.
5. Senest den 18. september 2015 præciserer Kommissionen ved hjælp af gennemførelsesretsakter de oplysninger, der er anført i stk. 1, og fastlægger tekniske specifikationer og formater for positivlister med henblik på gennemførelsen af stk. 1-4. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
Artikel 24
Krav til kvalificerede tillidstjenesteudbydere
1. Når en kvalificeret tillidstjenesteudbyder udsteder et kvalificeret certifikat for en tillidstjeneste, skal vedkommende med hensigtsmæssige midler og i overensstemmelse med national ret kontrollere identiteten og eventuelt særlige kendetegn ved den fysiske eller juridiske person, som det kvalificerede certifikat udstedes til.
Oplysningerne i første afsnit kontrolleres af den kvalificerede tillidstjenesteudbyder enten direkte eller via en tredjemand i overensstemmelse med national ret:
| a) | ved fysisk tilstedeværelse af den fysiske person eller den bemyndigede repræsentant for den juridiske person, eller |
| b) | uden fysisk tilstedeværelse ved hjælp af elektroniske identifikationsmidler, hvortil der forud for udstedelsen af et kvalificeret certifikat var sikret en fysisk tilstedeværelse af den fysiske person eller af en bemyndiget repræsentant for den juridiske person, og som lever op til kravene i artikel 8 med hensyn til sikringsniveauet »betydelig« eller »høj«, eller |
| c) | ved hjælp af et certifikat af en kvalificeret elektronisk signatur eller af et kvalificeret elektronisk segl udstedt i overensstemmelse med litra a) eller b), eller |
| d) | ved hjælp af andre identifikationsmetoder anerkendt på nationalt plan, som giver en sikkerhed, der for så vidt angår pålidelighed svarer til fysisk tilstedeværelse. Den tilsvarende sikkerhed skal bekræftes af et overensstemmelsesvurderingsorgan. |
2. En kvalificeret tillidstjenesteudbyder, der udbyder kvalificerede tillidstjenester, skal:
| a) | informere tilsynsorganet om ændringer i udbuddet af dennes kvalificerede tillidstjenester og om dennes hensigt om at ophøre med denne virksomhed |
| b) | beskæftige personale, og eventuelt underleverandører, der har den nødvendige ekspertviden og troværdighed og de nødvendige erfaringer, og kvalifikationer, og som har fået tilstrækkelig uddannelse i reglerne for sikkerhed og beskyttelse af personoplysninger og skal anvende administrative og ledelsesmæssige procedurer i overensstemmelse med europæiske eller internationale standarder |
| c) | i forbindelse med erstatningsansvaret for skader, have tilstrækkelige økonomiske ressourcer til rådighed, jf. artikel 13, og/eller anskaffe en passende ansvarsforsikring i overensstemmelse med national ret |
| d) | på en klar og let forståelig måde underrette de personer, der ønsker at gøre brug af en kvalificeret tillidstjeneste, om de nøjagtige vilkår for brugen af denne tjeneste, herunder eventuelle begrænsninger i brugen heraf, inden de indgår i et kontraktforhold |
| e) | anvende pålidelige systemer og produkter, som er beskyttet mod ændringer, og sikre den tekniske sikkerhed og pålidelighed i de processer, som disse systemer og produkter understøtter |
| f) | benytte pålidelige systemer til opbevaring af de data, den kvalificerede tillidstjenesteudbyder modtager, i kontrollerbar form, således at
|
| g) | træffe passende foranstaltninger imod forfalskning og tyveri af data |
| h) | i en rimelig periode registrere alle relevante oplysninger om de data, den kvalificerede tillidstjenesteudbyder har udstedt og modtaget, og sørge for, at de er tilgængelige, herunder efter at den kvalificerede tillidstjenesteudbyder har indstillet sin virksomhed, navnlig for at kunne fremlægge bevis i retssager og for at garantere tjenestens kontinuitet. Denne registrering kan ske elektronisk |
| i) | have en ajourført plan i tilfælde af virksomhedsafbrydelse for at sikre tjenestens kontinuitet i overensstemmelse med de bestemmelser, som tilsynsorganer kontrollerer i medfør af artikel 17, stk. 4, litra i) |
| j) | sikre, at personoplysninger behandles lovligt i overensstemmelse med direktiv 95/46/EF |
| k) | oprette og ajourføre en certifikatdatabase, når den kvalificerede tillidstjenesteudbyder udsteder kvalificerede certifikater. |
3. Vælger en kvalificeret tillidstjenesteudbyder, der udsteder kvalificerede certifikater, at spærre et certifikat, skal denne registrere en sådan spærring i sin certifikatdatabase og offentliggøre spærringen af certifikatet i god tid, og under alle omstændigheder inden for 24 timer efter modtagelsen af anmodningen. Spærringen træder i kraft straks efter offentliggørelsen.
4. Med hensyn til stk. 3 skal kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede certifikater, stille oplysninger om certifikaternes gyldighed eller spærring til rådighed for alle modtagerparter. Disse oplysninger skal som minimum for et certifikat ad gangen være automatisk og gratis tilgængelige til enhver tid og ud over gyldighedsperioden på pålidelig og effektiv vis.
5. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for pålidelige systemer og produkter, som opfylder kravene i stk. 2, litra e) og f), i nærværende artikel. Pålidelige systemer og produkter, der opfylder disse standarder, formodes at overholde kravene i nærværende artikel. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
AFDELING 4
Elektroniske signaturer
Artikel 31
Offentliggørelse af en liste over certificerede kvalificerede elektroniske signaturgenereringssystemer
1. Medlemsstaterne forelægger uden unødig forsinkelse og senest en måned efter, at certificeringen er blevet afsluttet, Kommissionen oplysninger om de kvalificerede elektroniske signaturgenereringssystemer, der er certificeret af de organer, der er omhandlet i artikel 30, stk. 1. De underretter også hurtigst muligt og senest en måned efter, at certificeringen er blevet annulleret, Kommissionen om kvalificerede elektroniske signaturgenereringssystemer, der ikke længere er certificeret.
2. På grundlag af de modtagne oplysninger opstiller Kommissionen en liste over certificerede kvalificerede elektroniske signaturgenereringssystemer, som den offentliggør og fører ajour.
3. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge formater og procedurer for gennemførelsen af stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
whereas