keyboard_tab EIDAS 2014/0910 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artikel 9 Anmeldelse
- 1 Artikel 19 Sikkerhedskrav til tillidstjenesteudbydere
- 1 Artikel 20 Tilsyn med kvalificerede tillidstjenesteudbydere
- 1 Artikel 22 Positivlister
- 3 Artikel 24 Krav til kvalificerede tillidstjenesteudbydere
- 2 Artikel 32 Krav til validering af kvalificerede elektroniske signaturer
- 1 Artikel 44 Krav til kvalificerede elektroniske registrerede leveringstjenester
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
ELEKTRONISK IDENTIFIKATION
KAPITEL III
TILLIDSTJENESTER
AFDELING 1
Almindelige bestemmelser
AFDELING 2
Tilsyn
AFDELING 3
Kvalificerede tillidstjenesteydelser
AFDELING 4
Elektroniske signaturer
AFDELING 5
Elektroniske segl
AFDELING 6
Elektroniske tidsstempler
AFDELING 7
Elektroniske registrerede leveringstjenester
AFDELING 8
Webstedsautentifikation
KAPITEL IV
ELEKTRONISKE DOKUMENTER
KAPITEL V
DELEGEREDE BEFØJELSER OG GENNEMFØRELSESBESTEMMELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- eller 40
- kvalificerede 36
- artikel 27
- skal 18
- elektroniske 17
- kvalificeret 17
- tillidstjenesteudbydere 15
- disse 14
- gennemførelsesretsakter 13
- efter 13
- tillidstjenesteudbyder 11
- elektronisk 11
- oplysninger 10
- hjælp 10
- overensstemmelse 9
- tilsynsorganet 9
- certifikat 9
- kravene 9
- data 8
- denne 8
- person 8
- kommissionen 8
- kommissionen 7
- vedtages 7
- standarder 7
- integritet 7
- inden 7
- undersøgelsesproceduren 7
- signatur 7
- dataene 6
- ændringer 6
- sikkerheden 6
- under 6
- tillidstjenester 6
- opfylder 6
- underrette 5
- litra 5
- systemer 5
- brud 5
- krav 5
- offentliggør 5
- herunder 5
- validering 5
- udsteder 5
- positivlister 5
- muligt 5
- juridiske 5
- fysiske 5
- europæiske 4
- pålidelige 4
Artikel 9
Anmeldelse
1. Den anmeldende medlemsstat meddeler Kommissionen nedenstående oplysninger og hurtigst muligt eventuelle senere ændringer heraf:
| a) | en beskrivelse af den elektroniske identifikationsordning, herunder dens sikringsniveau og udstederen eller udstederne af elektroniske identifikationsmidler under ordningen |
| b) | den gældende tilsynsordning og oplysninger om erstatningsansvarsordningen med hensyn til følgende:
|
| c) | oplysning om, hvilken eller hvilke myndigheder der er ansvarlige for den elektroniske identifikationsordning |
| d) | oplysning om den eller de enheder, der forvalter registreringen af de entydige personidentifikationsdata |
| e) | en beskrivelse af, hvordan kravene i gennemførelsesretsakterne, jf. artikel 12, stk. 8, opfyldes |
| f) | en beskrivelse af den autentifikation, der er omhandlet i artikel 7, litra f) |
| g) | nærmere bestemmelser om suspension eller spærring af den anmeldte elektroniske identifikationsordning eller autentifikationen eller de kompromitterede dele heraf. |
2. Et år fra anvendelsesdatoen for gennemførelsesretsakterne, jf. artikel 8, stk. 3, og artikel 12, stk. 8, offentliggør Kommissionen i Den Europæiske Unions Tidende en liste over de elektroniske identifikationsordninger, der er anmeldt i henhold til stk. 1 i nærværende artikel, med grundlæggende oplysninger om ordningerne.
3. Modtager Kommissionen en anmeldelse efter udløbet af den periode, der er fastsat i stk. 2, offentliggør den i Den Europæiske Unions Tidende ændringerne af den i stk. 2 omhandlede liste inden for to måneder fra datoen for modtagelsen af denne anmeldelse.
4. En medlemsstat kan anmode Kommissionen om at fjerne en elektronisk identifikationsordning, der er anmeldt af den pågældende medlemsstat, fra den i stk. 2 omhandlede liste. Kommissionen offentliggør i Den Europæiske Unions Tidende de tilsvarende ændringer til listen inden for en måned fra datoen for medlemsstatens anmodning.
5. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge vilkår, formater og procedurer for anmeldelser i medfør af stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
Artikel 19
Sikkerhedskrav til tillidstjenesteudbydere
1. Kvalificerede og ikkekvalificerede tillidstjenesteudbydere skal træffe passende tekniske og organisatoriske foranstaltninger til at styre de sikkerhedsmæssige risici i forbindelse med de tillidstjenester, de udbyder. Under hensyn til den seneste teknologiske udvikling skal disse foranstaltninger garantere et sikkerhedsniveau, der svarer til risikoens omfang. Tillidstjenesteudbyderne bør navnlig tage skridt til at forhindre og minimere virkningen af sikkerhedsrelaterede hændelser og underrette de berørte parter om de negative virkninger af sådanne hændelser.
2. De kvalificerede og ikkekvalificerede tillidstjenesteudbydere, der konstaterer et brud på sikkerheden eller tab af integritet, som har en væsentlig indvirkning på den udbudte tillidstjeneste eller de berørte personoplysninger, skal hurtigst muligt og under alle omstændigheder inden for 24 timer efter at være blevet opmærksomme på forholdet underrette tilsynsorganet, og eventuelt andre relevante organer som f.eks. det kompetente nationale organ for informationssikkerhed eller databeskyttelsesmyndigheden.
Når det er sandsynligt, at et brud på sikkerheden eller tab af integritet vil krænke den fysiske eller juridiske person, som har modtaget tillidstjenesten, skal tillidstjenesteudbyderen også hurtigst muligt underrette den fysiske eller juridiske person om bruddet på sikkerheden eller tab af integritet.
Hvor det er relevant, og navnlig hvis et brud på sikkerheden eller tab af integritet berører to eller flere medlemsstater, skal det underrettede tilsynsorgan informere tilsynsorganerne i andre berørte medlemsstater og ENISA.
Det underrettede tilsynsorgan skal også informere offentligheden eller kræve, at tillidstjenesteudbyderen gør det, hvis det fastslår, at det er i offentlighedens interesse, at et brud på sikkerheden eller tab af integritet offentliggøres.
3. Tilsynsorganet forelægger en gang om året ENISA en sammenfattende rapport om de indberetninger af brud på sikkerheden eller tab af integritet, som det har modtaget fra tillidstjenesteudbyderne.
4. Kommissionen kan ved gennemførelsesretsakter:
| a) | yderligere specificere de i stk. 1 omhandlede foranstaltninger, og |
| b) | vedtage formater og procedurer, herunder tidsfrister, for gennemførelsen af stk. 2. |
Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
AFDELING 3
Kvalificerede tillidstjenesteydelser
Artikel 20
Tilsyn med kvalificerede tillidstjenesteudbydere
1. Kvalificerede tillidstjenesteudbydere skal kontrolleres af et overensstemmelsesvurderingsorgan for egen regning mindst hver 24. måned. Formålet med kontrollen er at bekræfte, at de kvalificerede tillidstjenesteudbydere og de kvalificerede tillidstjenester, som de udbyder, opfylder de krav, der er fastsat i denne forordning. De kvalificerede tillidstjenesteudbydere skal forelægge den resulterende overensstemmelsesvurderingsrapport for tilsynsorganet inden for en periode på tre arbejdsdage efter modtagelsen heraf.
2. Uden at dette berører stk. 1, kan tilsynsorganet til enhver tid foretage kontrol hos eller anmode et overensstemmelsesvurderingsorgan om at udføre en overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere for disses tillidstjenesteudbyderes regning for at bekræfte, at de og deres kvalificerede tillidstjenester opfylder de krav, der er fastsat i denne forordning. Ved mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger skal tilsynsorganet underrette databeskyttelsesmyndighederne om resultaterne af deres kontrolundersøgelser.
3. Kræver tilsynsorganet, at den kvalificerede tillidstjenesteudbyder afhjælper enhver forsømmelse af at opfylde kravene i denne forordning, og hvis tjenesteudbyderen ikke handler i overensstemmelse hermed og eventuelt inden for en af tilsynsorganet fastsat frist, kan tilsynsorganet under særlig hensyntagen til den omtalte mangels omfang, varighed og konsekvenser tilbagetrække den pågældende tjenesteudbyders eller den pågældende tjenestes status som kvalificeret og informere det organ, der er omhandlet i artikel 22, stk. 3, med henblik på at føre positivlisten i artikel 22, stk. 1, ajour. Tilsynsorganet underretter den kvalificerede tillidstjenesteudbyder om tilbagetrækningen af vedkommendes eller af den pågældende kvalificerede tjenestes status som kvalificeret.
4. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på følgende standarder:
| a) | akkreditering af overensstemmelsesvurderingsorganerne og for overensstemmelsesvurderingsrapporten, jf. stk. 1 |
| b) | revisionsregler, i henhold til hvilke overensstemmelsesvurderingsorganer udfører deres overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere, jf. stk. 1. |
Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
Artikel 22
Positivlister
1. Hver medlemsstat opretter, ajourfører og offentliggør positivlister herunder oplysninger om de kvalificerede tillidstjenesteudbydere, som den har ansvaret for, samt oplysninger om deres kvalificerede tillidstjenester.
2. Medlemsstaterne opretter, ajourfører og offentliggør under sikre forhold de elektronisk underskrevne eller forseglede positivlister, jf. stk. 1, i en form, der egner sig til automatiseret behandling.
3. Medlemsstaterne meddeler hurtigst muligt Kommissionen, hvilket organ der er ansvarligt for at oprette, ajourføre og offentliggøre de nationale positivlister, og hvor disse lister offentliggøres, og sender Kommissionen de certifikater, der er anvendt til underskrift eller forsegling af positivlisterne, og eventuelle ændringer heraf.
4. Kommissionen stiller de oplysninger, der er omhandlet i stk. 3, til rådighed for offentligheden via en sikker kommunikationsforbindelse og i en elektronisk underskrevet eller forseglet form, der egner sig til automatiseret behandling.
5. Senest den 18. september 2015 præciserer Kommissionen ved hjælp af gennemførelsesretsakter de oplysninger, der er anført i stk. 1, og fastlægger tekniske specifikationer og formater for positivlister med henblik på gennemførelsen af stk. 1-4. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
Artikel 24
Krav til kvalificerede tillidstjenesteudbydere
1. Når en kvalificeret tillidstjenesteudbyder udsteder et kvalificeret certifikat for en tillidstjeneste, skal vedkommende med hensigtsmæssige midler og i overensstemmelse med national ret kontrollere identiteten og eventuelt særlige kendetegn ved den fysiske eller juridiske person, som det kvalificerede certifikat udstedes til.
Oplysningerne i første afsnit kontrolleres af den kvalificerede tillidstjenesteudbyder enten direkte eller via en tredjemand i overensstemmelse med national ret:
| a) | ved fysisk tilstedeværelse af den fysiske person eller den bemyndigede repræsentant for den juridiske person, eller |
| b) | uden fysisk tilstedeværelse ved hjælp af elektroniske identifikationsmidler, hvortil der forud for udstedelsen af et kvalificeret certifikat var sikret en fysisk tilstedeværelse af den fysiske person eller af en bemyndiget repræsentant for den juridiske person, og som lever op til kravene i artikel 8 med hensyn til sikringsniveauet »betydelig« eller »høj«, eller |
| c) | ved hjælp af et certifikat af en kvalificeret elektronisk signatur eller af et kvalificeret elektronisk segl udstedt i overensstemmelse med litra a) eller b), eller |
| d) | ved hjælp af andre identifikationsmetoder anerkendt på nationalt plan, som giver en sikkerhed, der for så vidt angår pålidelighed svarer til fysisk tilstedeværelse. Den tilsvarende sikkerhed skal bekræftes af et overensstemmelsesvurderingsorgan. |
2. En kvalificeret tillidstjenesteudbyder, der udbyder kvalificerede tillidstjenester, skal:
| a) | informere tilsynsorganet om ændringer i udbuddet af dennes kvalificerede tillidstjenester og om dennes hensigt om at ophøre med denne virksomhed |
| b) | beskæftige personale, og eventuelt underleverandører, der har den nødvendige ekspertviden og troværdighed og de nødvendige erfaringer, og kvalifikationer, og som har fået tilstrækkelig uddannelse i reglerne for sikkerhed og beskyttelse af personoplysninger og skal anvende administrative og ledelsesmæssige procedurer i overensstemmelse med europæiske eller internationale standarder |
| c) | i forbindelse med erstatningsansvaret for skader, have tilstrækkelige økonomiske ressourcer til rådighed, jf. artikel 13, og/eller anskaffe en passende ansvarsforsikring i overensstemmelse med national ret |
| d) | på en klar og let forståelig måde underrette de personer, der ønsker at gøre brug af en kvalificeret tillidstjeneste, om de nøjagtige vilkår for brugen af denne tjeneste, herunder eventuelle begrænsninger i brugen heraf, inden de indgår i et kontraktforhold |
| e) | anvende pålidelige systemer og produkter, som er beskyttet mod ændringer, og sikre den tekniske sikkerhed og pålidelighed i de processer, som disse systemer og produkter understøtter |
| f) | benytte pålidelige systemer til opbevaring af de data, den kvalificerede tillidstjenesteudbyder modtager, i kontrollerbar form, således at
|
| g) | træffe passende foranstaltninger imod forfalskning og tyveri af data |
| h) | i en rimelig periode registrere alle relevante oplysninger om de data, den kvalificerede tillidstjenesteudbyder har udstedt og modtaget, og sørge for, at de er tilgængelige, herunder efter at den kvalificerede tillidstjenesteudbyder har indstillet sin virksomhed, navnlig for at kunne fremlægge bevis i retssager og for at garantere tjenestens kontinuitet. Denne registrering kan ske elektronisk |
| i) | have en ajourført plan i tilfælde af virksomhedsafbrydelse for at sikre tjenestens kontinuitet i overensstemmelse med de bestemmelser, som tilsynsorganer kontrollerer i medfør af artikel 17, stk. 4, litra i) |
| j) | sikre, at personoplysninger behandles lovligt i overensstemmelse med direktiv 95/46/EF |
| k) | oprette og ajourføre en certifikatdatabase, når den kvalificerede tillidstjenesteudbyder udsteder kvalificerede certifikater. |
3. Vælger en kvalificeret tillidstjenesteudbyder, der udsteder kvalificerede certifikater, at spærre et certifikat, skal denne registrere en sådan spærring i sin certifikatdatabase og offentliggøre spærringen af certifikatet i god tid, og under alle omstændigheder inden for 24 timer efter modtagelsen af anmodningen. Spærringen træder i kraft straks efter offentliggørelsen.
4. Med hensyn til stk. 3 skal kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede certifikater, stille oplysninger om certifikaternes gyldighed eller spærring til rådighed for alle modtagerparter. Disse oplysninger skal som minimum for et certifikat ad gangen være automatisk og gratis tilgængelige til enhver tid og ud over gyldighedsperioden på pålidelig og effektiv vis.
5. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for pålidelige systemer og produkter, som opfylder kravene i stk. 2, litra e) og f), i nærværende artikel. Pålidelige systemer og produkter, der opfylder disse standarder, formodes at overholde kravene i nærværende artikel. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
AFDELING 4
Elektroniske signaturer
Artikel 32
Krav til validering af kvalificerede elektroniske signaturer
1. Processen for validering af en kvalificeret elektronisk signatur skal bekræfte gyldigheden af en kvalificeret elektronisk signatur, såfremt:
| a) | det certifikat, der støtter signaturen, på underskriftstidspunktet var et kvalificeret certifikat for elektronisk signatur, der var i overensstemmelse bilag I |
| b) | det kvalificerede certifikat var udstedt af en kvalificeret tillidstjenesteudbyder og var gyldigt på underskriftstidspunktet |
| c) | signaturvalideringsdataene stemmer overens med de data, der leveres til modtagerparten |
| d) | det entydige sæt data, der repræsenterer underskriveren i certifikatet, leveres korrekt til modtagerparten |
| e) | en eventuel anvendelse af et pseudonym fremgår klart for modtagerparten, såfremt der på underskriftstidspunktet blev anvendt et pseudonym |
| f) | den elektroniske signatur er genereret af et kvalificeret elektronisk signaturgenereringssystem |
| g) | de underskrevne datas integritet ikke er bragt i fare |
| h) | kravene i artikel 26 var opfyldt på underskriftstidspunktet. |
2. Det system, der anvendes til validering af den kvalificerede elektroniske signatur, skal levere det korrekte resultat af valideringsprocessen til modtagerparten og gøre det muligt for vedkommende at opdage eventuelle sikkerhedsproblemer.
3. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for validering af kvalificerede elektroniske signaturer. En validering af kvalificerede elektroniske signaturer, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
Artikel 44
Krav til kvalificerede elektroniske registrerede leveringstjenester
1. Kvalificerede elektroniske registrerede leveringstjenester skal opfylde følgende krav:
| a) | de udbydes af en eller flere kvalificerede tillidstjenesteudbydere |
| b) | de sikrer med en høj grad af tillid identifikation af afsenderen |
| c) | de sikrer forud for levering af dataene identifikation af modtageren |
| d) | afsendelsen og modtagelsen af data er beskyttet af en kvalificeret tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl på en sådan måde, at det er umuligt at ændre dataene, uden at det opdages |
| e) | hvis det er nødvendigt at ændre dataene, for at de kan sendes eller modtages, angives dette klart over for afsenderen og modtageren af dataene |
| f) | datoen og tidspunktet for afsendelse, modtagelse og en eventuel ændring af data angives ved hjælp af et kvalificeret elektronisk tidsstempel. |
Overføres dataene mellem to eller flere kvalificerede tillidstjenesteudbydere, gælder kravene i litra a)-f) for samtlige kvalificerede tillidstjenesteudbydere.
2. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for dataafsendelses- og -modtagelsesprocesser. En dataafsendelses- og -modtagelsesproces, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
AFDELING 8
Webstedsautentifikation
whereas