EIDAS 2014/0910 DA

1) »elektronisk identifikation«: det at bruge personidentifikationsdata i elektronisk form, der entydigt repræsenterer enten en fysisk eller juridisk person eller en fysisk person, der repræsenterer en juridisk person

2) »elektronisk identifikationsmiddel«: en materiel og/eller immateriel enhed, der indeholder personidentifikationsdata, og som bruges til autentifikation i forbindelse med en onlinetjeneste

3) »personidentifikationsdata«: et sæt data, der gør det muligt at fastslå identiteten på en fysisk eller juridisk person eller en fysisk person, der repræsenterer en juridisk person

4) »elektronisk identifikationsordning«: et system til elektronisk identifikation, under hvilket der udstedes elektroniske identifikationsmidler til fysiske eller juridiske eller fysiske personer, der repræsenterer juridiske personer

5) »autentifikation«: en elektronisk proces, der muliggør bekræftelse af den elektroniske identifikation af en fysisk eller juridisk person eller oprindelsen og integriteten af data i elektronisk form

6) »modtagerpart«: en fysisk eller juridisk person, der er afhængig af en elektronisk identifikations- eller tillidstjeneste

7) »offentlig myndighed«: en statslig, regional eller lokal myndighed, et offentligretligt organ eller en sammenslutning af en eller flere af disse myndigheder eller et eller flere af disse offentligretlige organer eller en privat enhed med mandat fra mindst en af disse myndigheder, organer eller sammenslutninger til at udbyde offentlige tjenester, når den optræder i henhold til et sådant mandat

8) »offentligretligt organ«: et organ som defineret i artikel 2, stk. 1, nr. 4), i Europa-Parlamentets og Rådets direktiv 2014/24/EU (15)

9) »underskriver«: en fysisk person, der genererer en elektronisk signatur

10) »elektronisk signatur«: data i elektronisk form, der er vedhæftet eller logisk tilknyttet andre data i elektronisk form, og som anvendes af underskriveren til at skrive under med

11) »avanceret elektronisk signatur«: en elektronisk signatur, der opfylder kravene i artikel 26

12) »kvalificeret elektronisk signatur«: en avanceret elektronisk signatur, der er genereret af et kvalificeret elektronisk signaturgenereringssystem og baseret på et kvalificeret certifikat for elektroniske signaturer

13) »elektroniske signaturgenereringsdata«: entydige data, som anvendes af underskriveren til at generere en elektronisk signatur

14) »certifikat for elektronisk signatur«: en elektronisk attestering, som knytter elektroniske signaturvalideringsdata til en fysisk person og mindst bekræfter denne persons navn eller pseudonym

15) »kvalificeret certifikat for elektronisk signatur«: et certifikat for elektroniske signaturer, som er udstedt af en kvalificeret tillidstjenesteudbyder og opfylder kravene i bilag I

16) »tillidstjeneste«: en elektronisk tjeneste, der normalt udføres mod betaling, og som består af:

a)	generering, kontrol og validering af elektroniske signaturer, elektroniske segl eller elektroniske tidsstempler, elektroniske registrerede leveringstjenester og certifikater relateret til disse tjenester, eller

b)	generering, kontrol og validering af certifikater for webstedsautentifikation, eller

c)	bevaring af elektroniske signaturer, segl eller certifikater relateret til disse tjenester

17) »kvalificeret tillidstjeneste«: en tillidstjeneste, der opfylder de krav, der er fastsat i denne forordning

18) »overensstemmelsesvurderingsorgan«: et organ som defineret i artikel 2, nr. 13), i forordning (EF) nr. 765/2008, der er akkrediteret i overensstemmelse med nævnte forordning med kompetence til at udføre overensstemmelsesvurderinger af en kvalificeret tillidstjenesteudbyder og de kvalificerede tillidstjenester, den udbyder

19) »tillidstjenesteudbyder«: en fysisk eller juridisk person, der udbyder en eller flere tillidstjenester, som enten en kvalificeret eller ikkekvalificeret tillidstjenesteudbyder

20) »kvalificeret tillidstjenesteudbyder«: en tillidstjenesteudbyder, der udbyder en eller flere kvalificerede tillidstjenester og har fået tildelt status som kvalificeret tillidstjenesteudbyder af tilsynsorganet

21) »produkt«: hardware eller software eller relevante hardware- eller softwarekomponenter, som er beregnet til at blive brugt til levering af tillidstjenester

22) »elektronisk signaturgenereringssystem«: konfigureret software eller hardware, der bruges til at generere en elektronisk signatur

23) »kvalificeret elektronisk signaturgenereringssystem«: et elektronisk signaturgenereringssystem, der opfylder kravene i bilag II

24) »forseglende part«: en juridisk person, der genererer et elektronisk segl

25) »elektronisk segl«: data i elektronisk form, der er vedhæftet eller logisk tilknyttet andre data i elektronisk form, og som giver sikkerhed for disse tilknyttede datas oprindelse og integritet

26) »avanceret elektronisk segl«: et elektronisk segl, der opfylder kravene fastsat i artikel 36

27) »kvalificeret elektronisk segl«: et avanceret elektronisk segl, der er genereret af et kvalificeret elektronisk seglgenereringssystem, og som er baseret på et kvalificeret certifikat for elektroniske segl

28) »elektroniske seglgenereringsdata«: entydige data, som anvendes af den forseglende part til at generere et elektronisk segl

29) »certifikat for elektronisk segl«: en elektronisk attestering, som knytter elektroniske seglvalideringsdata til en fysisk person og bekræfter denne persons navn

30) »kvalificeret certifikat for elektronisk segl«: et certifikat for et elektronisk segl, som er udstedt af en kvalificeret tillidstjenesteudbyder og opfylder kravene i bilag III

31) »elektronisk seglgenereringssystem«: konfigureret software eller hardware, der bruges til at generere et elektronisk segl

32) »kvalificeret elektronisk seglgenereringssystem«: et elektronisk seglgenereringssystem, der med de fornødne ændringer opfylder kravene i bilag II

33) »elektronisk tidsstempel«: data i elektronisk form, der forbinder andre data i elektronisk form med et bestemt tidspunkt og udgør bevis for, at disse andre data eksisterede på det pågældende tidspunkt

34) »kvalificeret elektronisk tidsstempel«: et elektronisk tidsstempel, der opfylder kravene i artikel 42

35) »elektronisk dokument«: al form for indhold, der er lagret i elektronisk form, især som tekst eller lyd eller i visuel eller audiovisuel form

36) »elektronisk registreret leveringstjeneste«: en tjeneste, der gør det muligt at sende data mellem tredjeparter ad elektronisk vej og dokumenterer behandlingen af de sendte data, herunder leverer bevis for afsendelse og modtagelse af dataene, og som beskytter de sendte data mod tab, tyveri, beskadigelse og uautoriseret ændring

37) »kvalificeret elektronisk registreret leveringstjeneste«: en elektronisk registreret leveringstjeneste, der opfylder kravene i artikel 44

38) »certifikat for webstedsautentifikation«: en attestering, der gør det muligt at autentificere et websted og knytter webstedet til den fysiske eller juridiske person, som certifikatet er udstedt til

39) »kvalificeret certifikat for webstedsautentifikation«: et certifikat for webstedsautentifikation, der er udstedt af en kvalificeret tillidstjenesteudbyder og opfylder kravene i bilag IV

40) »valideringsdata«: data, der bruges til at validere en elektronisk signatur eller et elektronisk segl

41) »validering«: en fremgangsmåde til at kontrollere og bekræfte gyldigheden af en elektronisk signatur eller et elektronisk segl.

Artikel 22

Positivlister

1. Hver medlemsstat opretter, ajourfører og offentliggør positivlister herunder oplysninger om de kvalificerede tillidstjenesteudbydere, som den har ansvaret for, samt oplysninger om deres kvalificerede tillidstjenester.

2. Medlemsstaterne opretter, ajourfører og offentliggør under sikre forhold de elektronisk underskrevne eller forseglede positivlister, jf. stk. 1, i en form, der egner sig til automatiseret behandling.

3. Medlemsstaterne meddeler hurtigst muligt Kommissionen, hvilket organ der er ansvarligt for at oprette, ajourføre og offentliggøre de nationale positivlister, og hvor disse lister offentliggøres, og sender Kommissionen de certifikater, der er anvendt til underskrift eller forsegling af positivlisterne, og eventuelle ændringer heraf.

4. Kommissionen stiller de oplysninger, der er omhandlet i stk. 3, til rådighed for offentligheden via en sikker kommunikationsforbindelse og i en elektronisk underskrevet eller forseglet form, der egner sig til automatiseret behandling.

5. Senest den 18. september 2015 præciserer Kommissionen ved hjælp af gennemførelsesretsakter de oplysninger, der er anført i stk. 1, og fastlægger tekniske specifikationer og formater for positivlister med henblik på gennemførelsen af stk. 1-4. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 24

Krav til kvalificerede tillidstjenesteudbydere

1. Når en kvalificeret tillidstjenesteudbyder udsteder et kvalificeret certifikat for en tillidstjeneste, skal vedkommende med hensigtsmæssige midler og i overensstemmelse med national ret kontrollere identiteten og eventuelt særlige kendetegn ved den fysiske eller juridiske person, som det kvalificerede certifikat udstedes til.

Oplysningerne i første afsnit kontrolleres af den kvalificerede tillidstjenesteudbyder enten direkte eller via en tredjemand i overensstemmelse med national ret:

a)	ved fysisk tilstedeværelse af den fysiske person eller den bemyndigede repræsentant for den juridiske person, eller

uden fysisk tilstedeværelse ved hjælp af elektroniske identifikationsmidler, hvortil der forud for udstedelsen af et kvalificeret certifikat var sikret en fysisk tilstedeværelse af den fysiske person eller af en bemyndiget repræsentant for den juridiske person, og som lever op til kravene i artikel 8 med hensyn til sikringsniveauet »betydelig« eller »høj«, eller

c)	ved hjælp af et certifikat af en kvalificeret elektronisk signatur eller af et kvalificeret elektronisk segl udstedt i overensstemmelse med litra a) eller b), eller

d)	ved hjælp af andre identifikationsmetoder anerkendt på nationalt plan, som giver en sikkerhed, der for så vidt angår pålidelighed svarer til fysisk tilstedeværelse. Den tilsvarende sikkerhed skal bekræftes af et overensstemmelsesvurderingsorgan.

2. En kvalificeret tillidstjenesteudbyder, der udbyder kvalificerede tillidstjenester, skal:

a)	informere tilsynsorganet om ændringer i udbuddet af dennes kvalificerede tillidstjenester og om dennes hensigt om at ophøre med denne virksomhed

beskæftige personale, og eventuelt underleverandører, der har den nødvendige ekspertviden og troværdighed og de nødvendige erfaringer, og kvalifikationer, og som har fået tilstrækkelig uddannelse i reglerne for sikkerhed og beskyttelse af personoplysninger og skal anvende administrative og ledelsesmæssige procedurer i overensstemmelse med europæiske eller internationale standarder

c)	i forbindelse med erstatningsansvaret for skader, have tilstrækkelige økonomiske ressourcer til rådighed, jf. artikel 13, og/eller anskaffe en passende ansvarsforsikring i overensstemmelse med national ret

d)	på en klar og let forståelig måde underrette de personer, der ønsker at gøre brug af en kvalificeret tillidstjeneste, om de nøjagtige vilkår for brugen af denne tjeneste, herunder eventuelle begrænsninger i brugen heraf, inden de indgår i et kontraktforhold

e)	anvende pålidelige systemer og produkter, som er beskyttet mod ændringer, og sikre den tekniske sikkerhed og pålidelighed i de processer, som disse systemer og produkter understøtter

benytte pålidelige systemer til opbevaring af de data, den kvalificerede tillidstjenesteudbyder modtager, i kontrollerbar form, således at

i)	de kun er offentligt tilgængelige i de tilfælde, hvor den person, som dataene vedrører, har givet sit samtykke

ii)	kun bemyndigede personer kan foretage tilføjelser til og ændringer af de opbevarede data

iii)	dataenes ægthed kan kontrolleres

g)	træffe passende foranstaltninger imod forfalskning og tyveri af data

i en rimelig periode registrere alle relevante oplysninger om de data, den kvalificerede tillidstjenesteudbyder har udstedt og modtaget, og sørge for, at de er tilgængelige, herunder efter at den kvalificerede tillidstjenesteudbyder har indstillet sin virksomhed, navnlig for at kunne fremlægge bevis i retssager og for at garantere tjenestens kontinuitet. Denne registrering kan ske elektronisk

i)	have en ajourført plan i tilfælde af virksomhedsafbrydelse for at sikre tjenestens kontinuitet i overensstemmelse med de bestemmelser, som tilsynsorganer kontrollerer i medfør af artikel 17, stk. 4, litra i)

j)	sikre, at personoplysninger behandles lovligt i overensstemmelse med direktiv 95/46/EF

k)	oprette og ajourføre en certifikatdatabase, når den kvalificerede tillidstjenesteudbyder udsteder kvalificerede certifikater.

3. Vælger en kvalificeret tillidstjenesteudbyder, der udsteder kvalificerede certifikater, at spærre et certifikat, skal denne registrere en sådan spærring i sin certifikatdatabase og offentliggøre spærringen af certifikatet i god tid, og under alle omstændigheder inden for 24 timer efter modtagelsen af anmodningen. Spærringen træder i kraft straks efter offentliggørelsen.

4. Med hensyn til stk. 3 skal kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede certifikater, stille oplysninger om certifikaternes gyldighed eller spærring til rådighed for alle modtagerparter. Disse oplysninger skal som minimum for et certifikat ad gangen være automatisk og gratis tilgængelige til enhver tid og ud over gyldighedsperioden på pålidelig og effektiv vis.

5. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for pålidelige systemer og produkter, som opfylder kravene i stk. 2, litra e) og f), i nærværende artikel. Pålidelige systemer og produkter, der opfylder disse standarder, formodes at overholde kravene i nærværende artikel. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

AFDELING 4

Elektroniske signaturer

Artikel 28

Kvalificerede certifikater for elektroniske signaturer

1. Kvalificerede certifikater for elektroniske signaturer skal opfylde kravene i bilag I.

2. Kvalificerede certifikater for elektroniske signaturer må ikke være omfattet af ufravigelige krav, der går videre end kravene i bilag I.

3. Kvalificerede certifikater for elektroniske signaturer kan omfatte ikkeobligatoriske supplerende særlige kendetegn. Disse kendetegn må ikke påvirke interoperabiliteten mellem og anerkendelsen af kvalificerede elektroniske signaturer.

4. Såfremt et kvalificeret certifikat for elektroniske signaturer er blevet spærret efter den første aktivering, mister det sin gyldighed fra tidspunktet for spærringen, og dets status kan under ingen omstændigheder genetableres.

5. Medlemsstaterne kan fastsætte nationale regler for en midlertidig suspension af et kvalificeret certifikat for elektroniske signaturer på følgende betingelser:

a)	hvis et kvalificeret certifikat for elektroniske signaturer er blevet suspenderet midlertidigt, mister det sin gyldighed i suspensionsperioden

b)	suspensionsperioden angives klart i certifikatdatabasen, og suspensionsstatus gøres synlig i suspensionsperioden af den tjeneste, der formidler oplysninger om status for certifikatet.

6. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for kvalificerede certifikater for elektroniske signaturer. Et kvalificeret certifikat for elektroniske signaturer, der opfylder disse standarder, formodes at overholde kravene i bilag I. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 38

Kvalificerede certifikater for elektroniske segl

1. Kvalificerede certifikater for elektroniske segl skal opfylde kravene i bilag III.

2. Kvalificerede certifikater for elektroniske segl må ikke undergives ufravigelige krav, der går videre end kravene i bilag III.

3. Kvalificerede certifikater for elektroniske segl kan omfatte ikkeobligatoriske supplerende særlige kendetegn. Disse kendetegn må ikke påvirke interoperabiliteten mellem og anerkendelsen af kvalificerede elektroniske segl.

4. Såfremt et kvalificeret certifikat for elektronisk segl er blevet spærret efter den første aktivering, mister det sin gyldighed fra tidspunktet for spærringen, og dets status kan under ingen omstændigheder ændres.

5. Medlemsstaterne kan fastsætte nationale regler for en midlertidig suspension af kvalificerede certifikater for elektroniske segl på følgende betingelser:

a)	hvis et kvalificeret certifikat for elektronisk segl er blevet suspenderet midlertidigt, mister det sin gyldighed i suspensionsperioden

b)	suspensionsperioden angives klart i certifikatdatabasen og suspensionsstatus gøres synlig i suspensionsperioden af den tjeneste, der formidler oplysninger om status for certifikatet.

6. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for kvalificerede certifikater for elektroniske segl. Et kvalificeret certifikat for elektroniske segl, der opfylder disse standarder, formodes at overholde kravene i bilag III. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 45

Krav til kvalificerede certifikater for webstedsautentifikation

1. Kvalificerede certifikater for webstedsautentifikation skal opfylde kravene i bilag IV.

2. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for kvalificerede certifikater for webstedsautentifikation. Et kvalificeret certifikat for webstedsautentifikation, der opfylder disse standarder, formodes at overholde kravene i bilag IV. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

KAPITEL IV

ELEKTRONISKE DOKUMENTER

Artikel 51

Overgangsforanstaltninger

1. Sikre signaturgenereringssystemer, for hvilke det er fastslået, at de opfylder kravene i artikel 3, stk. 4, i direktiv 1999/93/EF, anses for kvalificerede elektroniske signaturgenereringssystemer i henhold til nærværende forordning.

2. Kvalificerede certifikater, der er udstedt til fysiske personer i henhold til direktiv 1999/93/EF, anses for kvalificerede certifikater for elektroniske signaturer i henhold til nærværende forordning, indtil de udløber.

3. En certificeringstjenesteudbyder, der udsteder kvalificerede certifikater i henhold til direktiv 1999/93/EF, forelægger en overensstemmelsesvurderingsrapport for tilsynsorganet så hurtigt som muligt dog senest den 1. juli 2017. Indtil forelæggelsen af en sådan overensstemmelsesvurderingsrapport og tilsynsorganets gennemførelse af sin vurdering betragtes den pågældende certificeringstjenesteudbyder som en kvalificeret tillidstjenesteudbyder i henhold til nærværende forordning.

4. Forelægger en certificeringstjenesteudbyder, der udsteder kvalificerede certifikater i henhold til direktiv 1999/93/EF ikke en overensstemmelsesvurderingsrapport for tilsynsorganet inden for den i stk. 3 omhandlede frist, betragtes den pågældende certificeringstjenesteudbyder ikke som en kvalificeret tillidstjenesteudbyder i henhold til denne forordning fra den 2. juli 2017.

Artikel 52

Ikrafttræden

1. Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

2. Denne forordning anvendes fra den 1. juli 2016, bortset fra følgende bestemmelser:

artikel 8, stk. 3, artikel 9, stk. 5, artikel 12, stk. 2-9, artikel 17, stk. 8, artikel 19, stk. 4, artikel 20, stk. 4, artikel 21, stk. 4, artikel 22, stk. 5, artikel 23, stk. 3, artikel 24, stk. 5, artikel 27, stk. 4 og 5, artikel 28, stk. 6, artikel 29, stk. 2, artikel 30, stk. 3 og 4, artikel 31, stk. 3, artikel 32, stk. 3, artikel 33, stk. 2, artikel 34, stk. 2, artikel 37, stk. 4 og 5, artikel 38, stk. 6, artikel 42, stk. 2, artikel 44, stk. 2, artikel 45, stk. 2, artikel 47 and 48 finder anvendelse fra den 17. september 2014

b)	artikel 7, artikel 8, stk. 1 og 2, artikel 9, 10, 11 og artikel 12, stk. 1, finder anvendelse fra datoen for anvendelsen af de i artikel 8, stk. 3, og artikel 12, stk. 8, omhandlede gennemførelsesretsakter

c)	artikel 6 finder anvendelse fra tre år efter datoen for anvendelsen af de i artikel 8, stk. 3, og artikel 12, stk. 8, omhandlede gennemførelsesretsakter.

3. Opføres den anmeldte elektroniske identifikationsordning på den liste, som Kommissionen offentliggør i henhold til artikel 9, før den i stk. 2, litra c), i nærværende artikel omhandlede dato, sker anerkendelsen af det elektroniske identifikationsmiddel i medfør af denne ordning i henhold til artikel 6 senest 12 måneder efter offentliggørelsen af denne ordning, dog ikke før den i stk. 2, litra c), i nærværende artikel omhandlede dato.

4. Uanset stk. 2, litra c), i nærværende artikel kan en medlemsstat beslutte, at et elektronisk identifikationsmiddel i medfør af den elektroniske identifikationsordning, som en anden medlemsstat har anmeldt i henhold til artikel 9, stk. 1, anerkendes i den første medlemsstat fra datoen for anvendelsen af de i artikel 8, stk. 3, og artikel 12, stk. 8, omhandlede gennemførelsesretsakter. De pågældende medlemsstater underretter Kommissionen. Kommissionen offentliggør disse oplysninger.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 23. juli 2014.

På Europa-Parlamentets vegne

M. SCHULZ

Formand

På Rådets vegne

S. GOZI

Formand

(1) EUT C 351 af 15.11.2012, s. 73.

(2) Europa-Parlamentets holdning af 3.4.2014 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 23.7.2014.

(3) Europa-Parlamentets og Rådets direktiv 1999/93/EF af 13. december 1999 om en fællesskabsramme for elektroniske signaturer (EFT L 13 af 19.1.2000, s. 12).

(4) EUT C 50 E af 21.2.2012, s. 1.

(5) Europa-Parlamentets og Rådets direktiv 2006/123/EF af 12. december 2006 om tjenesteydelser i det indre marked (EUT L 376 af 27.12.2006, s. 36).

(6) Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

(7) Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).

(8) Rådets afgørelse 2010/48/EF af 26. november 2009 om Det Europæiske Fællesskabs indgåelse af De Forenede Nationers konvention om handicappedes rettigheder (EUT L 23 af 27.1.2010, s. 35).

(9) Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og markedsovervågning i forbindelse med markedsføring af produkter og om ophævelse af forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30).

(10) Kommissionens beslutning 2009/767/EF af 16. oktober 2009 om fastlæggelse af foranstaltninger, der skal lette anvendelsen af elektroniske procedurer ved hjælp af kvikskranker i henhold til Europa-Parlamentets og Rådets direktiv 2006/123/EF om tjenesteydelser i det indre marked (EUT L 274 af 20.10.2009, s. 36).

(11) Kommissionens afgørelse 2011/130/EU af 25. februar 2011 om fastsættelse af mindstekrav ved behandling af elektronisk underskrevne dokumenter på tværs af grænserne foretaget af de kompetente myndigheder som omhandlet i Europa-Parlamentets og Rådets direktiv 2006/123/EF om tjenesteydelser i det indre marked (EUT L 53 af 26.2.2011, s. 66).

(12) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(13) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EUT L 8 af 12.1.2001, s. 1).

(14) EUT C 28 af 30.1.2013, s. 6.

(15) Europa-Parlamentets og Rådets direktiv 2014/24/EU af 26. februar 2014 om offentlige udbud og om ophævelse af direktiv 2004/18/EF (EUT L 94 af 28.3.2014, s. 65).

BILAG I

KRAV TIL KVALIFICEREDE certifikater FOR ELEKTRONISKE SIGNATURER

Kvalificerede certifikater for elektroniske signaturer skal indeholde:

a)	en angivelse — som minimum i en form, der egner sig til automatiseret behandling — af, at certifikatet er udstedt som et kvalificeret certifikat for elektronisk signatur

et sæt data, der entydigt repræsenterer den kvalificerede tillidstjenesteudbyder, som udsteder de kvalificerede certifikater, herunder som minimum oplysning om, hvilken medlemsstat den pågældende udbyder er hjemmehørende i, og

—	for en juridisk person: navn og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

—	for en fysisk person: personens navn

c)	som minimum underskriverens navn eller pseudonym; anvendes der pseudonym, skal dette tydeligt angives

d)	elektroniske signaturvalderingsdata, som svarer til dataene til de elektroniske signaturgenereringsdata

e)	certifikatets ikrafttrædelses- og udløbsdato

f)	certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteudbyder

g)	den udstedende kvalificerede tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl

h)	oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra g), er gratis tilgængeligt

i)	oplysninger om, hvor de tjenester, hvortil der kan rettes forespørgsel om det kvalificerede certifikats gyldighedsstatus, befinder sig

j)	hvis de elektroniske signaturgenereringsdata, der svarer til de elektroniske signaturvalideringsdata, befinder sig i et kvalificeret elektronisk signaturgenereringssystem er: en passende angivelse af dette, som minimum i en form, der egner sig til automatiseret behandling.

BILAG II

KRAV TIL KVALIFICEREDE ELEKTRONISKE SIGNATURGENERERINGSSYSTEMER

Kvalificerede elektroniske signaturgenereringssystemer sikrer ved hjælp af passende tekniske og proceduremæssige midler som minimum, at:

a)	de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, med rimelig sikkerhed forbliver fortrolige

b)	de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, i praksis kun kan forekomme én gang

c)	de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, med rimelig sikkerhed ikke kan udledes, og at den elektroniske signatur på pålidelig vis er beskyttet mod forfalskning under anvendelse af eksisterende teknologi

d)	de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, på pålidelig vis kan beskyttes af den retmæssige underskriver mod andres brug.

Kvalificerede elektroniske signaturgenereringssystemer må ikke ændre de data, som skal underskrives, eller hindre, at disse data vises for underskriveren forud for signaturprocessen.

Generering og forvaltning af elektroniske signaturgenereringsdata på underskriverens vegne må kun udføres af en kvalificeret tillidstjenesteudbyder.

Uanset punkt 1, litra d), må kvalificerede tillidstjenesteudbydere, der forvalter elektroniske signaturgenereringsdata på underskriverens vegne, kun kopiere disse data til backupformål, forudsat at følgende betingelser er opfyldt:

a)	der skal opretholdes samme niveau af sikkerhed for kopierede datasæt som for de originale datasæt

b)	antallet af kopierede datasæt må ikke overstige det minimum, der er nødvendigt for at sikre tjenestens kontinuitet.

BILAG III

KRAV TIL KVALIFICEREDE certifikater FOR ELEKTRONISKE SEGL

Kvalificerede certifikater for elektroniske segl skal indeholde:

a)	en angivelse — som minimum i en form, der egner sig til automatiseret behandling — af, at certifikatet er udstedt som et kvalificeret certifikat for elektronisk segl

—	for en juridisk person: navn og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

—	for en fysisk person: personens navn

c)	som minimum navnet på den forseglende part og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

d)	elektroniske seglvalideringsdata, som svarer tilde elektroniske seglgenereringsdata

e)	certifikatets ikrafttrædelses- og udløbsdato

f)	certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteudbyder

g)	den udstedende kvalificerede tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl

h)	oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra g), er gratis tilgængeligt

i)	oplysninger om, hvor de tjenester, hvortil der kan rettes forespørgsel om det kvalificerede certifikats gyldighedsstatus, befinder sig

j)	hvis de elektroniske seglgenereringsdata, der svarer til de elektroniske seglvalideringsdata, befinder sig i et kvalificeret elektronisk seglgenereringssystem: en passende angivelse af dette, som minimum i en form, der egner sig til automatiseret behandling.

BILAG IV

KRAV TIL KVALIFICEREDE certifikater FOR WEBSTEDSAUTENTIFIKATION

Kvalificerede certifikater for webstedsautentifikation skal indeholde:

a)	en angivelse — som minimum i en form, der egner sig til automatiseret behandling — af, at certifikatet er udstedt som et kvalificeret certifikat for webstedsautentifikation

—	for en juridisk person: navn og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

—	for en fysisk person: personens navn

for fysiske personer: som minimum navnet på den person, som certifikatet er udstedt til, eller et pseudonym. Hvis der anvendes pseudonym, angives dette klart

for juridiske personer: som minimum navnet på den juridiske person, som certifikatet er udstedt til, og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

d)	adresseoplysninger, herunder som minimum oplysninger om by og nationalstat, for den fysiske eller juridiske person, som certifikatet er udstedt til, og, når det er relevant, som de fremgår af det officielle register

e)	domænenavnet på det eller de domæner, der drives af den fysiske eller juridiske person, som certifikatet er udstedt til

f)	certifikatets ikrafttrædelses- og udløbsdato

g)	certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteudbyder

h)	den udstedende kvalificerede tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl

i)	oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra h), er gratis tilgængeligt

j)	oplysninger om, hvor de tjenester, hvortil der kan rettes forespørgsel om det kvalificerede certifikats gyldighedsstatus, befinder sig.

whereas

(16) Sikringsniveauer bør afspejle graden af tillid til, at et elektronisk identifikationsmiddel kan fastslå identiteten på en person og således give sikkerhed for, at den person, der gør krav på en specifik identitet, faktisk er den person, hvortil identiteten er blevet knyttet.
Sikringsniveauet afhænger af graden af tillid til, at det elektroniske identifikationsmiddel kan fastslå en persons påståede identitet, idet der tages hensyn til processer (for eksempel godtgørelse, kontrol og autentifikation af identitet), ledelsesaktiviteter (for eksempel den enhed, der udsteder det elektroniske identifikationsmiddel, og proceduren for udstedelse af sådanne midler) og iværksatte tekniske kontroller.
Der eksisterer forskellige tekniske definitioner på og beskrivelser af sikringsniveauer som følge af EU-finansierede pilotprojekter i stor skala, standardiseringer og internationale aktiviteter.
Navnlig i pilotprojekterne i stor skala STORK og ISO 29115 henvises der blandt andet til niveauerne 2, 3 og 4, som der bør tages størst muligt hensyn til ved fastsættelsen af tekniske minimumskrav, standarder og procedurer for sikringsniveauerne »lav«, »betydelig« og »høj« som omhandlet i denne forordning, samtidig med at der sikres ensartet anvendelse af denne forordning, især hvad angår sikringsniveauet »høj« i forbindelse med godtgørelse af identitet ved udstedelsen af kvalificerede certifikater.
De fastsatte krav bør være teknologineutrale.
Det bør være muligt at opfylde de nødvendige sikkerhedskrav med forskellige teknologier.

- = -

(33) Bestemmelserne om brug af pseudonymer i certifikater bør ikke forhindre medlemsstaterne i at stille krav om identifikation af personer i henhold til EU-ret eller national ret.

- = -

(53) Suspensionen af kvalificerede certifikater er en etableret praksis blandt tillidstjenesteudbydere i en række medlemsstater, som adskiller sig fra spærring, og som medfører midlertidigt tab af et certifikats gyldighed.
Af hensyn til retssikkerheden kræves det, at et certifikats suspensionsstatus altid angives klart.
Derfor bør tillidstjenesteudbydere have ansvaret for klart at angive certifikatets status og, såfremt det er suspenderet, angive den præcise suspensionsperiode.
Denne forordning bør ikke pålægge tillidstjenesteudbyderne eller medlemsstaterne at anvende suspension, men fastlægge gennemsigtighedsbestemmelser, når og hvor en sådan praksis findes.

- = -

(54) Kvalificerede certifikaters grænseoverskridende interoperabilitet og anerkendelse er en forudsætning for kvalificerede elektroniske signaturers grænseoverskridende anerkendelse.
Kvalificerede certifikater bør derfor ikke underlægges ufravigelige krav, der går videre end kravene i denne forordning.
På nationalt plan bør det dog være tilladt at medtage særlige kendetegn såsom entydige identifikatorer i kvalificerede certifikater, hvis de særlige kendetegn ikke hindrer kvalificerede certifikaters og elektroniske signaturers grænseoverskridende interoperabilitet og anerkendelse.

- = -

(60) Tillidstjenesteudbydere, der udsteder kvalificerede certifikater for elektroniske segl, bør anvende de nødvendige foranstaltninger til at fastslå identiteten på den fysiske person, der repræsenterer den juridiske person, som det kvalificerede certifikat for elektronisk segl udstedes til, når denne identifikation er nødvendig på nationalt plan som led i retlig eller administrativ forfølgning.

- = -

(74) Af hensyn til retssikkerheden for de markedsoperatører, der allerede benytter kvalificerede certifikater, som er udstedt til fysiske personer i overensstemmelse med direktiv 1999/93/EF, er det nødvendigt at foreskrive en tilstrækkelig overgangsperiode.
På samme måde bør der fastlægges overgangsforanstaltninger for sikre signaturgenereringssystemer, hvis opfyldelse af kravene er fastslået i overensstemmelse med direktiv 1999/93/EF, og for certificeringstjenesteudbydere, der udsteder kvalificerede certifikater inden den 1.
juli 2016.
Endelig er det også nødvendigt at give Kommissionen beføjelser til at vedtage gennemførelsesretsakter og delegerede retsakter før udløbet af overgangsperioden.

- = -

keyboard_tab EIDAS 2014/0910 DA

EIDAS 2014/0910 DA