EIDAS 2014/0910 DA

1. En elektronisk identifikationsordning, der er anmeldt i henhold til artikel 9, stk. 1, skal angive sikringsniveauerne »lav«, »betydelig« og/eller »høj« for de elektroniske identifikationsmidler, der er udstedt under den pågældende ordning.

2. Sikringsniveauerne »lav«, »betydelig« og »høj« skal opfylde følgende kriterier:

sikringsniveauet »lav« henviser til et elektronisk identifikationsmiddel i en elektronisk identifikationsordning, der udviser en begrænset grad af tillid til en persons påståede identitet, og som er karakteriseret ved henvisning til tekniske specifikationer, standarder og hertil knyttede procedurer, herunder tekniske kontroller, hvis formål er at mindske risikoen for misbrug eller ændring af identiteten

sikringsniveauet »betydelig« henviser til et elektronisk identifikationsmiddel i en elektronisk identifikationsordning, der udviser en middelstor grad af tillid til en persons påståede identitet, og som er karakteriseret ved henvisning til tekniske specifikationer, standarder og hertil knyttede procedurer, herunder tekniske kontroller, hvis formål er at mindske risikoen for misbrug eller ændring af identiteten

sikringsniveauet »høj« henviser til et elektronisk identifikationsmiddel i en elektronisk identifikationsordning, der giver en højere grad af tillid til en persons påståede identitet end elektroniske identifikationsmidler med sikringsniveauet »betydelig«, og som er karakteriseret ved henvisning til tekniske specifikationer, standarder og hertil knyttede procedurer, herunder tekniske kontroller, hvis formål er at mindske risikoen for misbrug eller ændring af identiteten.

3. Senest den 18. september 2015 fastsætter Kommissionen, idet der tages hensyn til relevante internationale standarder og med forbehold af stk. 2, ved hjælp af gennemførelsesretsakter de tekniske minimumsspecifikationer, minimumsstandarder, og procedurer, der henvises til i forbindelse med fastsættelse af sikringsniveauerne »lav«, »betydelig« og »høj« for de elektroniske identifikationsmidler, jf. stk. 1.

Disse tekniske minimumsspecifikationer, minimumsstandarder, og procedurer udarbejdes på grundlag af pålideligheden og kvaliteten af følgende elementer:

a)	proceduren for godtgørelse og kontrol af identiteten på fysiske og juridiske personer, der ansøger om udstedelse af et elektronisk identifikationsmiddel

b)	proceduren for udstedelse af det pågældende elektroniske identifikationsmiddel

c)	autentifikationsmekanismen, hvorigennem den fysiske eller den juridiske person anvender det elektroniske identifikationsmiddel til at bekræfte vedkommendes identitet over for en modtagerpart

d)	enheden, der udsteder det elektroniske identifikationsmiddel

e)	ethvert andet organ, der er involveret i ansøgningsproceduren for udstedelse af det elektroniske identifikationsmiddel

f)	de tekniske specifikationer og sikkerhedsspecifikationerne for det udstedte elektroniske identifikationsmiddel.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 12

Samarbejde og interoperabilitet

1. De nationale elektroniske identifikationsordninger, der anmeldes i henhold til artikel 9, stk. 1, skal være interoperable.

2. Med henblik på stk. 1 indføres der en interoperabilitetsramme.

3. Interoperabilitetsrammen skal opfylde følgende kriterier:

a)	den tager sigte på at være teknologineutral og forskelsbehandler ikke mellem specifikke nationale tekniske løsninger til elektronisk identifikation inden for en medlemsstat

b)	den følger europæiske og internationale standarder, når det er muligt

c)	den letter gennemførelsen af princippet om indbygget databeskyttelse (privacy by design), og

d)	den sikrer, at personoplysninger behandles i overensstemmelse med direktiv 95/46/EF.

4. Interoperabilitetsrammen skal omfatte:

a)	en henvisning til tekniske minimumskrav for sikringsniveauerne i artikel 8

b)	en kortlægning af nationale sikringsniveauer for anmeldte elektroniske identifikationsordninger under sikringsniveauerne i artikel 8

c)	en henvisning til tekniske minimumskrav for interoperabilitet

d)	en henvisning til et minimum af personidentifikationsdata, der entydigt repræsenterer en fysisk eller juridisk person, og som stilles til rådighed fra elektroniske identifikationsordninger

e)	forretningsorden

f)	tvistbilæggelsesordninger, og

g)	fælles operationelle sikkerhedsstandarder.

5. Medlemsstaterne skal samarbejde om følgende:

a)	interoperabilitet mellem de elektroniske identifikationsordninger, der er anmeldt i henhold til artikel 9, stk. 1, og de elektroniske identifikationsordninger, som medlemsstaterne har til hensigt at anmelde, og

b)	sikkerheden i de elektroniske identifikationsordninger.

6. Samarbejdet mellem medlemsstaterne omfatter:

a)	udvekslingen af oplysninger, erfaring og god praksis med hensyn til elektroniske identifikationsordninger og navnlig tekniske krav til interoperabilitet og sikringsniveauer

b)	udvekslingen af oplysninger, erfaring og god praksis med hensyn til arbejdet med sikringsniveauer i elektroniske identifikationsordninger i henhold til artikel 8

c)	fagfællebedømmelse (peer review) af elektroniske identifikationsordninger, der henhører under denne forordning, og

d)	undersøgelse af relevante udviklingstendenser i sektoren for elektronisk identifikation.

7. Senest den 18. marts 2015 fastlægger Kommissionen ved hjælp af gennemførelsesretsakter de fornødne proceduremæssige ordninger for at lette samarbejdet mellem medlemsstaterne, jf. stk. 5 og 6, med henblik på at fremme et højt niveau af tillid og sikkerhed, der står i et passende forhold til risikoen.

8. Senest den 18. september 2015 vedtager Kommissionen med forbehold af kriterierne i stk. 3 og under hensyn til resultaterne af samarbejdet mellem medlemsstaterne gennemførelsesretsakter om interoperabilitetsrammen som fastsat i stk. 4 med henblik på at fastsætte ensartede betingelser for gennemførelsen af kravet i stk. 1.

9. De i stk. 7 og 8 i nærværende artikel omhandlede gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

KAPITEL III

TILLIDSTJENESTER

AFDELING 1

Almindelige bestemmelser

Artikel 17

Tilsynsorganer

1. Hver medlemsstat udpeger et tilsynsorgan, der er hjemmehørende på dens område, eller, efter gensidig aftale med en anden medlemsstat, et tilsynsorgan, der er hjemmehørende i den pågældende anden medlemsstat. Dette organ er ansvarligt for tilsynsopgaver i den udpegende medlemsstat.

Tilsynsorganerne tillægges de nødvendige beføjelser og tilstrækkelige ressourcer til varetagelsen af deres opgaver.

2. Medlemsstaterne meddeler Kommissionen navn og adresse på de tilsynsorganer, de hver især har udpeget.

3. Tilsynsorganet har følgende rolle:

at føre tilsyn med kvalificerede tillidstjenesteudbydere, der er hjemmehørende på den udpegende medlemsstats område, for ved hjælp af forudgående og efterfølgende tilsynsvirksomhed at sikre, at disse kvalificerede tillidstjenesteudbydere og de kvalificerede tillidstjenester, de udbyder, opfylder kravene i denne forordning

om nødvendigt at gribe ind over for ikkekvalificerede tillidstjenesteudbydere, der er hjemmehørende på den udpegende medlemsstats område ved hjælp af efterfølgende tilsynsvirksomhed, når det underrettes om, at disse ikkekvalificerede tillidstjenesteudbydere eller de tillidstjenester, de udbyder, angiveligt ikke opfylder kravene i denne forordning.

4. Med henblik på stk. 3 og med forbehold af de deri fastsatte begrænsninger omfatter tilsynsorganets opgaver navnlig:

a)	at samarbejde med andre tilsynsorganer og yde dem bistand i overensstemmelse med artikel 18

b)	at analysere de overensstemmelsesvurderingsrapporter, der er omhandlet i artikel 20, stk. 1, og artikel 21, stk. 1

c)	at underrette andre tilsynsorganer og offentligheden om brud på sikkerheden eller tab af integritet i overensstemmelse med artikel 19, stk. 2

d)	at aflægge rapport til Kommissionen om sin primære virksomhed i overensstemmelse med stk. 6 i nærværende artikel

e)	at foretage kontrolundersøgelser eller anmode et overensstemmelsesvurderingsorgan om at udføre en overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere i overensstemmelse med artikel 20, stk. 2

f)	at samarbejde med databeskyttelsesmyndighederne, navnlig ved hurtigst muligt at underrette dem om resultaterne af kontrolundersøgelser af kvalificerede tillidstjenesteudbydere, hvis der er mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger

g)	at tildele kvalificerede tillidstjenesteudbydere og de tjenester, de udbyder, status som kvalificeret og at trække denne status tilbage i overensstemmelse med artikel 20 og 21

h)	at underrette det organ, der er ansvarligt for den nationale positivliste, der er omhandlet i artikel 22, stk. 3, om sine afgørelser om tildeling eller tilbagetrækning af status som kvalificeret, medmindre dette organ også er tilsynsorganet

i)	at kontrollere, at der findes bestemmelser om planer for virksomhedsafbrydelse, og at de anvendes korrekt, i tilfælde hvor den kvalificerede tillidstjenesteudbyder afbryder sin virksomhed, herunder hvordan oplysninger forbliver tilgængelige i overensstemmelse med artikel 24, stk. 2, litra h)

j)	at pålægge tillidstjenesteudbydere at afhjælpe mangler i opfyldelsen af de krav, der er fastsat i denne forordning.

5. Medlemsstaterne kan kræve, at tilsynsorganet opretter, vedligeholder og ajourfører en tillidsinfrastruktur i overensstemmelse med betingelserne i national ret.

6. Senest den 31. marts hvert år forelægger tilsynsorganerne Kommissionen en rapport om det foregående kalenderårs primære tilsynsvirksomhed sammen med en sammenfatning af de indberetninger af brud på sikkerheden, som er modtaget fra tillidstjenesteudbydere i overensstemmelse med artikel 19, stk. 2.

7. Kommissionen gør den i stk. 6 omhandlede årlige rapport tilgængelig for medlemsstaterne.

8. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge formater og procedurer for rapporteringen i medfør af stk. 6. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 18

Gensidig bistand

1. Tilsynsorganerne skal samarbejde med henblik på at udveksle god praksis.

Et tilsynsorgan skal efter modtagelsen af en begrundet anmodning fra et andet tilsynsorgan yde det pågældende organ bistand, således at tilsynsorganernes arbejde kan udføres på en ensartet måde. Den gensidige bistand kan navnlig omfatte anmodninger om oplysninger og tilsynsforanstaltninger, f.eks. anmodninger om at foretage inspektioner i forbindelse med de overensstemmelsesvurderingsrapporter, der er omhandlet i artikel 20 og 21.

2. Et tilsynsorgan, der modtager en anmodning om bistand, kan afvise denne anmodning med en af følgende begrundelser:

a)	tilsynsorganet er ikke kompetent til at yde den bistand, der anmodes om

b)	anmodningen om bistand står ikke i rimeligt forhold til tilsynsorganets tilsynsvirksomhed udført i overensstemmelse med artikel 17

c)	det ville være uforeneligt med denne forordning at yde den bistand, der anmodes om.

3. Når det er hensigtsmæssigt, kan medlemsstaterne tillade, at deres respektive tilsynsorganer i fællesskab gennemfører undersøgelser, hvor personale fra andre medlemsstaters tilsynsorganer deltager. Reglerne for og fremgangsmåden ved sådanne fælles aktioner skal aftales og fastlægges af de berørte medlemsstater i overensstemmelse med deres nationale ret.

Artikel 30

Certificering af kvalificerede elektroniske signaturgenereringssystemer

1. Egnede offentlige eller private organer, der udpeges af medlemsstaterne, skal certificere overensstemmelsen mellem de kvalificerede elektroniske signaturgenereringssystemer og de i bilag II fastsatte krav.

2. Medlemsstaterne meddeler Kommissionen navn og adresse på de i stk. 1 omhandlede offentlige eller private organer. Kommissionen stiller disse oplysninger til rådighed for medlemsstaterne.

3. Certificeringen i stk. 1 baseres på en af følgende processer:

a)	en sikkerhedsevalueringsproces, som gennemføres i overensstemmelse med en af de standarder for sikkerhedsvurdering af informationsteknologiprodukter, der er opført på den liste, der er udarbejdet i overensstemmelse med andet afsnit, eller

en anden proces end den i litra a) omhandlede, såfremt den anvender sammenlignelige sikkerhedsniveauer og såfremt det i stk. 1 omhandlede offentlige eller private organ meddeler denne proces til Kommissionen. Den pågældende proces kan kun anvendes, hvis de standarder, der er omhandlet i litra a), ikke findes, eller hvis en sikkerhedsevalueringsproces som omhandlet i litra a) ikke er afsluttet.

Kommissionen udarbejder ved hjælp af gennemførelsesretsakter en liste over standarder for sikkerhedsvurderingen af de informationsteknologiprodukter, der er omhandlet i litra a). Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

4. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 47 vedrørende fastsættelsen af de særlige kriterier, som de i stk. 1 i nærværende artikel omhandlede udpegede organer skal opfylde.

Artikel 49

Revision

Kommissionen reviderer anvendelsen af denne forordning og aflægger rapport til Europa-Parlamentet og Rådet senest den 1. juli 2020. Kommissionen evaluerer navnlig, hvorvidt det er hensigtsmæssigt at ændre denne forordnings anvendelsesområde eller de specifikke bestemmelser heri, herunder artikel 6, artikel 7, litra f), samt artikel 34, 43, 44 og 45, under hensyntagen til de erfaringer, der er gjort med anvendelsen af denne forordning, og til den teknologiske, markedsmæssige og retlige udvikling.

Den i stk. 1 omhandlede rapport ledsages om nødvendigt af lovgivningsmæssige forslag.

Kommissionen forelægger endvidere hvert fjerde år efter udarbejdelsen af den i stk. 1 omhandlede rapport Europa-Parlamentet og Rådet en rapport om de fremskridt, der er gjort med hensyn til at opfylde målene for denne forordning.

whereas

(10) Europa-Parlamentets og Rådets direktiv 2011/24/EU (6) etablerer et netværk mellem de nationale myndigheder, der er ansvarlige for e-sundhed.
For at øge sikkerheden og kontinuiteten i forbindelse med grænseoverskridende sundhedsydelser skal netværket udarbejde retningslinjer for adgang til elektroniske sundhedsoplysninger og –ydelser på tværs af grænserne og blandt andet støtte »fælles identifikations- og autentifikationsforanstaltninger for at gøre det lettere at overføre data ved grænseoverskridende sundhedsydelser«.
Gensidig anerkendelse af elektronisk identifikation og autentifikation er afgørende for, at sundhedsydelser for Europas borgere på tværs af grænserne bliver en realitet.
Når borgerne tager til udlandet for at få lægebehandling, skal deres medicinske data være tilgængelige i det land, hvor de skal behandles.
Dette kræver en solid og sikker ramme for elektronisk identifikation, som de berørte parter har tillid til.

- = -

(19) Sikkerheden i ordninger for elektronisk identifikation er central i en pålidelig grænseoverskridende gensidig anerkendelse af elektroniske identifikationsmidler.
I den forbindelse bør medlemsstaterne samarbejde om sikkerhed og interoperabilitet i ordningerne for elektronisk identifikation på EU-plan.
Når det i ordningerne for elektronisk identifikation kræves, at modtagerparter skal anvende bestemt hardware eller software på nationalt plan, indebærer grænseoverskridende interoperabilitet, at disse medlemsstater ikke må pålægge modtagerparter, der er hjemmehørende uden for deres område, sådanne krav og dermed forbundne omkostninger.
I så fald bør passende løsninger drøftes og udformes inden for interoperabilitetsrammen.
Dog er tekniske krav, der hidrører fra de iboende specifikationer for nationale elektroniske identifikationsmidler, og som kan berøre indehaverne af sådanne elektroniske midler (f.eks.
smartkort), uundgåelige.

- = -

(20) Samarbejdet mellem medlemsstaterne bør lette den tekniske interoperabilitet mellem de anmeldte elektroniske identifikationsordninger med henblik på at bidrage til et højt niveau af tillid og sikkerhed, der står i et passende forhold til risikoen.
Udveksling af information og bedste praksis mellem medlemsstaterne med henblik på gensidig anerkendelse af identifikationsordningerne bør fremme et sådant samarbejde.

- = -

(31) Tilsynsorganerne bør samarbejde med databeskyttelsesmyndighederne, f.eks.
ved at underrette dem om resultaterne af revisioner af kvalificerede tillidstjenesteudbydere, når der er mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger.
Underretningen bør navnlig omfatte sikkerhedsrelaterede hændelser og brud på persondatasikkerheden.

- = -

(43) For at sikre, at kvalificerede tillidstjenesteudbydere og de tjenester, de udbyder, opfylder kravene i denne forordning, bør et overensstemmelsesvurderingsorgan foretage en overensstemmelsesvurdering, og de kvalificerede tillidstjenesteudbydere bør forelægge tilsynsorganet de overensstemmelsesvurderingsrapporter, der herefter udarbejdes.
Når tilsynsorganet kræver, at en kvalificeret tillidstjenesteudbyder forelægger en ad hoc-overensstemmelsesvurderingsrapport, bør tilsynsorganet især overholde princippet om god forvaltningspraksis, herunder pligten til at begrunde sine beslutninger, og proportionalitetsprincippet.
Derfor bør tilsynsorganet behørigt begrunde sin beslutning om at kræve en ad hoc-overensstemmelsesvurdering.

- = -

(69) EU-institutionerne, -organerne, -kontorerne og -agenturerne opfordres til at anerkende elektronisk identifikation og tillidstjenester dækket af denne forordning med henblik på administrativt samarbejde, der især udnytter eksisterende god praksis og resultaterne af igangværende projekter på de områder, der er dækket af denne forordning.

- = -

(70) For at supplere visse detaljerede tekniske aspekter af denne forordning på fleksibel og hurtig vis, bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i TEUF, for så vidt angår de kriterier, som de organer, der er ansvarlige for certificering af kvalificerede elektroniske signaturgenereringssystemer, skal opfylde.
Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau.
Kommissionen bør i forbindelse med forberedelsen og udarbejdelsen af delegerede retsakter sørge for samtidig, rettidig og hensigtsmæssig fremsendelse af relevante dokumenter til Europa-Parlamentet og Rådet.

- = -

(72) Når Kommissionen vedtager delegerede retsakter eller gennemførelsesretsakter, bør den tage behørigt hensyn til de standarder og tekniske specifikationer, som europæiske og internationale standardiseringsorganisationer og organer har udarbejdet, navnlig Den Europæiske Standardiseringsorganisation (CEN), Det Europæiske Institut for Telestandarder (ETSI), Den Internationale Standardiseringsorganisation (ISO) og Den Internationale Telekommunikationsunion (ITU), for at sikre et højt sikkerheds- og interoperabilitetsniveau for elektroniske identifikations- og tillidstjenester.

- = -

keyboard_tab EIDAS 2014/0910 DA

EIDAS 2014/0910 DA