EIDAS 2014/0910 DA

1. Denne forordning finder anvendelse på elektroniske identifikationsordninger, der er blevet anmeldt af en medlemsstat, samt på tillidstjenesteudbydere, der er hjemmehørende i Unionen.

2. Denne forordning finder ikke anvendelse på levering af tillidstjenester, der udelukkende anvendes i lukkede systemer i henhold til national ret eller aftaler mellem et defineret sæt deltagere.

3. Denne forordning påvirker ikke national ret eller EU-ret vedrørende kontrakters indgåelse og gyldighed eller andre retlige eller proceduremæssige forpligtelser, der vedrører formkrav.

Artikel 6

Gensidig anerkendelse

1. Når der i henhold til national ret eller administrativ praksis kræves elektronisk identifikation ved hjælp af et elektronisk identifikationsmiddel og autentifikation som forudsætning for adgang til en onlinetjeneste, der udbydes af en offentlig myndighed i en medlemsstat, skal det elektroniske identifikationsmiddel, der er udstedt i en anden medlemsstat, anerkendes i den første medlemsstat med henblik på grænseoverskridende autentifikation af denne onlinetjeneste, forudsat at følgende betingelser er opfyldt:

a)	det elektroniske identifikationsmiddel er udstedt under en elektronisk identifikationsordning, der er opført på den liste, som Kommissionen offentliggør i henhold til artikel 9

sikringsniveauet for det elektroniske identifikationsmiddel svarer til et sikringsniveau, der modsvarer eller er højere end det sikringsniveau, der kræves af den relevante offentlige myndighed for at få adgang til den pågældende onlinetjeneste i den første medlemsstat, forudsat at sikringsniveauet for det pågældende elektroniske identifikationsmiddel svarer til sikringsniveauet »betydelig« eller »høj«

c)	den relevante offentlige myndighed anvender sikringsniveauet »betydelig« eller »høj« i forbindelse med adgang til den pågældende onlinetjeneste.

En sådan anerkendelse skal finde sted senest 12 måneder efter, at Kommissionen offentliggør den i første afsnit, litra a), omhandlede liste.

2. Et elektronisk identifikationsmiddel, der er udstedt under en elektronisk identifikationsordning, som er opført på den liste, som Kommissionen offentliggør i henhold til artikel 9, og som svarer til sikringsniveauet »lav«, kan anerkendes af offentlige myndigheder med henblik på grænseoverskridende autentifikation af disse myndigheders tjenester, der udbydes online.

Artikel 17

Tilsynsorganer

1. Hver medlemsstat udpeger et tilsynsorgan, der er hjemmehørende på dens område, eller, efter gensidig aftale med en anden medlemsstat, et tilsynsorgan, der er hjemmehørende i den pågældende anden medlemsstat. Dette organ er ansvarligt for tilsynsopgaver i den udpegende medlemsstat.

Tilsynsorganerne tillægges de nødvendige beføjelser og tilstrækkelige ressourcer til varetagelsen af deres opgaver.

2. Medlemsstaterne meddeler Kommissionen navn og adresse på de tilsynsorganer, de hver især har udpeget.

3. Tilsynsorganet har følgende rolle:

at føre tilsyn med kvalificerede tillidstjenesteudbydere, der er hjemmehørende på den udpegende medlemsstats område, for ved hjælp af forudgående og efterfølgende tilsynsvirksomhed at sikre, at disse kvalificerede tillidstjenesteudbydere og de kvalificerede tillidstjenester, de udbyder, opfylder kravene i denne forordning

om nødvendigt at gribe ind over for ikkekvalificerede tillidstjenesteudbydere, der er hjemmehørende på den udpegende medlemsstats område ved hjælp af efterfølgende tilsynsvirksomhed, når det underrettes om, at disse ikkekvalificerede tillidstjenesteudbydere eller de tillidstjenester, de udbyder, angiveligt ikke opfylder kravene i denne forordning.

4. Med henblik på stk. 3 og med forbehold af de deri fastsatte begrænsninger omfatter tilsynsorganets opgaver navnlig:

a)	at samarbejde med andre tilsynsorganer og yde dem bistand i overensstemmelse med artikel 18

b)	at analysere de overensstemmelsesvurderingsrapporter, der er omhandlet i artikel 20, stk. 1, og artikel 21, stk. 1

c)	at underrette andre tilsynsorganer og offentligheden om brud på sikkerheden eller tab af integritet i overensstemmelse med artikel 19, stk. 2

d)	at aflægge rapport til Kommissionen om sin primære virksomhed i overensstemmelse med stk. 6 i nærværende artikel

e)	at foretage kontrolundersøgelser eller anmode et overensstemmelsesvurderingsorgan om at udføre en overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere i overensstemmelse med artikel 20, stk. 2

f)	at samarbejde med databeskyttelsesmyndighederne, navnlig ved hurtigst muligt at underrette dem om resultaterne af kontrolundersøgelser af kvalificerede tillidstjenesteudbydere, hvis der er mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger

g)	at tildele kvalificerede tillidstjenesteudbydere og de tjenester, de udbyder, status som kvalificeret og at trække denne status tilbage i overensstemmelse med artikel 20 og 21

h)	at underrette det organ, der er ansvarligt for den nationale positivliste, der er omhandlet i artikel 22, stk. 3, om sine afgørelser om tildeling eller tilbagetrækning af status som kvalificeret, medmindre dette organ også er tilsynsorganet

i)	at kontrollere, at der findes bestemmelser om planer for virksomhedsafbrydelse, og at de anvendes korrekt, i tilfælde hvor den kvalificerede tillidstjenesteudbyder afbryder sin virksomhed, herunder hvordan oplysninger forbliver tilgængelige i overensstemmelse med artikel 24, stk. 2, litra h)

j)	at pålægge tillidstjenesteudbydere at afhjælpe mangler i opfyldelsen af de krav, der er fastsat i denne forordning.

5. Medlemsstaterne kan kræve, at tilsynsorganet opretter, vedligeholder og ajourfører en tillidsinfrastruktur i overensstemmelse med betingelserne i national ret.

6. Senest den 31. marts hvert år forelægger tilsynsorganerne Kommissionen en rapport om det foregående kalenderårs primære tilsynsvirksomhed sammen med en sammenfatning af de indberetninger af brud på sikkerheden, som er modtaget fra tillidstjenesteudbydere i overensstemmelse med artikel 19, stk. 2.

7. Kommissionen gør den i stk. 6 omhandlede årlige rapport tilgængelig for medlemsstaterne.

8. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge formater og procedurer for rapporteringen i medfør af stk. 6. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 23

EU-tillidsmærket for kvalificerede tillidstjenester

1. Efter at status som kvalificeret tillidstjenesteudbyder, jf. artikel 21, stk. 2, andet afsnit, er blevet angivet på den i artikel 22, stk. 1, omhandlede positivliste, kan kvalificerede tillidstjenesteudbydere anvende EU-tillidsmærket for på en enkel, genkendelig og klar måde at angive, hvilke kvalificerede tillidstjenester de udbyder.

2. Når EU-tillidsmærket anvendes for de i stk. 1 omhandlede kvalificerede tillidstjenester, skal de kvalificerede tillidstjenesteudbydere sikre, at der på deres websted findes et link til den relevante positivliste.

3. Senest den 1. juli 2015 fastlægger Kommissionen ved hjælp af gennemførelsesretsakter specifikationer med hensyn til formen og navnlig præsentationsformen, sammensætningen, størrelsen og udformningen af EU-tillidsmærket for kvalificerede tillidstjenester. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 30

Certificering af kvalificerede elektroniske signaturgenereringssystemer

1. Egnede offentlige eller private organer, der udpeges af medlemsstaterne, skal certificere overensstemmelsen mellem de kvalificerede elektroniske signaturgenereringssystemer og de i bilag II fastsatte krav.

2. Medlemsstaterne meddeler Kommissionen navn og adresse på de i stk. 1 omhandlede offentlige eller private organer. Kommissionen stiller disse oplysninger til rådighed for medlemsstaterne.

3. Certificeringen i stk. 1 baseres på en af følgende processer:

a)	en sikkerhedsevalueringsproces, som gennemføres i overensstemmelse med en af de standarder for sikkerhedsvurdering af informationsteknologiprodukter, der er opført på den liste, der er udarbejdet i overensstemmelse med andet afsnit, eller

en anden proces end den i litra a) omhandlede, såfremt den anvender sammenlignelige sikkerhedsniveauer og såfremt det i stk. 1 omhandlede offentlige eller private organ meddeler denne proces til Kommissionen. Den pågældende proces kan kun anvendes, hvis de standarder, der er omhandlet i litra a), ikke findes, eller hvis en sikkerhedsevalueringsproces som omhandlet i litra a) ikke er afsluttet.

Kommissionen udarbejder ved hjælp af gennemførelsesretsakter en liste over standarder for sikkerhedsvurderingen af de informationsteknologiprodukter, der er omhandlet i litra a). Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

4. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 47 vedrørende fastsættelsen af de særlige kriterier, som de i stk. 1 i nærværende artikel omhandlede udpegede organer skal opfylde.

Artikel 39

Kvalificerede elektroniske seglgenereringssystemer

1. Artikel 29 finder tilsvarende anvendelse for så vidt angår kravene til kvalificerede elektroniske seglgenereringssystemer.

2. Artikel 30 finder tilsvarende anvendelse for så vidt angår certificering af kvalificerede elektroniske seglgenereringssystemer.

3. Artikel 31 finder tilsvarende anvendelse for så vidt angår offentliggørelse af en liste over certificerede kvalificerede elektroniske seglgenereringssystemer.

Artikel 40

Validering og bevaring af kvalificerede elektroniske segl

Artikel 32, 33 og 34 finder tilsvarende anvendelse for så vidt angår validering og bevaring af kvalificerede elektroniske segl.

AFDELING 6

Elektroniske tidsstempler

Artikel 52

Ikrafttræden

1. Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

2. Denne forordning anvendes fra den 1. juli 2016, bortset fra følgende bestemmelser:

artikel 8, stk. 3, artikel 9, stk. 5, artikel 12, stk. 2-9, artikel 17, stk. 8, artikel 19, stk. 4, artikel 20, stk. 4, artikel 21, stk. 4, artikel 22, stk. 5, artikel 23, stk. 3, artikel 24, stk. 5, artikel 27, stk. 4 og 5, artikel 28, stk. 6, artikel 29, stk. 2, artikel 30, stk. 3 og 4, artikel 31, stk. 3, artikel 32, stk. 3, artikel 33, stk. 2, artikel 34, stk. 2, artikel 37, stk. 4 og 5, artikel 38, stk. 6, artikel 42, stk. 2, artikel 44, stk. 2, artikel 45, stk. 2, artikel 47 and 48 finder anvendelse fra den 17. september 2014

b)	artikel 7, artikel 8, stk. 1 og 2, artikel 9, 10, 11 og artikel 12, stk. 1, finder anvendelse fra datoen for anvendelsen af de i artikel 8, stk. 3, og artikel 12, stk. 8, omhandlede gennemførelsesretsakter

c)	artikel 6 finder anvendelse fra tre år efter datoen for anvendelsen af de i artikel 8, stk. 3, og artikel 12, stk. 8, omhandlede gennemførelsesretsakter.

3. Opføres den anmeldte elektroniske identifikationsordning på den liste, som Kommissionen offentliggør i henhold til artikel 9, før den i stk. 2, litra c), i nærværende artikel omhandlede dato, sker anerkendelsen af det elektroniske identifikationsmiddel i medfør af denne ordning i henhold til artikel 6 senest 12 måneder efter offentliggørelsen af denne ordning, dog ikke før den i stk. 2, litra c), i nærværende artikel omhandlede dato.

4. Uanset stk. 2, litra c), i nærværende artikel kan en medlemsstat beslutte, at et elektronisk identifikationsmiddel i medfør af den elektroniske identifikationsordning, som en anden medlemsstat har anmeldt i henhold til artikel 9, stk. 1, anerkendes i den første medlemsstat fra datoen for anvendelsen af de i artikel 8, stk. 3, og artikel 12, stk. 8, omhandlede gennemførelsesretsakter. De pågældende medlemsstater underretter Kommissionen. Kommissionen offentliggør disse oplysninger.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 23. juli 2014.

På Europa-Parlamentets vegne

M. SCHULZ

Formand

På Rådets vegne

S. GOZI

Formand

(1) EUT C 351 af 15.11.2012, s. 73.

(2) Europa-Parlamentets holdning af 3.4.2014 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 23.7.2014.

(3) Europa-Parlamentets og Rådets direktiv 1999/93/EF af 13. december 1999 om en fællesskabsramme for elektroniske signaturer (EFT L 13 af 19.1.2000, s. 12).

(4) EUT C 50 E af 21.2.2012, s. 1.

(5) Europa-Parlamentets og Rådets direktiv 2006/123/EF af 12. december 2006 om tjenesteydelser i det indre marked (EUT L 376 af 27.12.2006, s. 36).

(6) Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

(7) Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).

(8) Rådets afgørelse 2010/48/EF af 26. november 2009 om Det Europæiske Fællesskabs indgåelse af De Forenede Nationers konvention om handicappedes rettigheder (EUT L 23 af 27.1.2010, s. 35).

(9) Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og markedsovervågning i forbindelse med markedsføring af produkter og om ophævelse af forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30).

(10) Kommissionens beslutning 2009/767/EF af 16. oktober 2009 om fastlæggelse af foranstaltninger, der skal lette anvendelsen af elektroniske procedurer ved hjælp af kvikskranker i henhold til Europa-Parlamentets og Rådets direktiv 2006/123/EF om tjenesteydelser i det indre marked (EUT L 274 af 20.10.2009, s. 36).

(11) Kommissionens afgørelse 2011/130/EU af 25. februar 2011 om fastsættelse af mindstekrav ved behandling af elektronisk underskrevne dokumenter på tværs af grænserne foretaget af de kompetente myndigheder som omhandlet i Europa-Parlamentets og Rådets direktiv 2006/123/EF om tjenesteydelser i det indre marked (EUT L 53 af 26.2.2011, s. 66).

(12) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(13) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EUT L 8 af 12.1.2001, s. 1).

(14) EUT C 28 af 30.1.2013, s. 6.

(15) Europa-Parlamentets og Rådets direktiv 2014/24/EU af 26. februar 2014 om offentlige udbud og om ophævelse af direktiv 2004/18/EF (EUT L 94 af 28.3.2014, s. 65).

BILAG I

KRAV TIL KVALIFICEREDE CERTIFIKATER FOR ELEKTRONISKE SIGNATURER

Kvalificerede certifikater for elektroniske signaturer skal indeholde:

a)	en angivelse — som minimum i en form, der egner sig til automatiseret behandling — af, at certifikatet er udstedt som et kvalificeret certifikat for elektronisk signatur

et sæt data, der entydigt repræsenterer den kvalificerede tillidstjenesteudbyder, som udsteder de kvalificerede certifikater, herunder som minimum oplysning om, hvilken medlemsstat den pågældende udbyder er hjemmehørende i, og

—	for en juridisk person: navn og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

—	for en fysisk person: personens navn

c)	som minimum underskriverens navn eller pseudonym; anvendes der pseudonym, skal dette tydeligt angives

d)	elektroniske signaturvalderingsdata, som svarer til dataene til de elektroniske signaturgenereringsdata

e)	certifikatets ikrafttrædelses- og udløbsdato

f)	certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteudbyder

g)	den udstedende kvalificerede tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl

h)	oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra g), er gratis tilgængeligt

i)	oplysninger om, hvor de tjenester, hvortil der kan rettes forespørgsel om det kvalificerede certifikats gyldighedsstatus, befinder sig

j)	hvis de elektroniske signaturgenereringsdata, der svarer til de elektroniske signaturvalideringsdata, befinder sig i et kvalificeret elektronisk signaturgenereringssystem er: en passende angivelse af dette, som minimum i en form, der egner sig til automatiseret behandling.

BILAG II

KRAV TIL KVALIFICEREDE ELEKTRONISKE SIGNATURGENERERINGSSYSTEMER

Kvalificerede elektroniske signaturgenereringssystemer sikrer ved hjælp af passende tekniske og proceduremæssige midler som minimum, at:

a)	de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, med rimelig sikkerhed forbliver fortrolige

b)	de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, i praksis kun kan forekomme én gang

c)	de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, med rimelig sikkerhed ikke kan udledes, og at den elektroniske signatur på pålidelig vis er beskyttet mod forfalskning under anvendelse af eksisterende teknologi

d)	de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, på pålidelig vis kan beskyttes af den retmæssige underskriver mod andres brug.

Kvalificerede elektroniske signaturgenereringssystemer må ikke ændre de data, som skal underskrives, eller hindre, at disse data vises for underskriveren forud for signaturprocessen.

Generering og forvaltning af elektroniske signaturgenereringsdata på underskriverens vegne må kun udføres af en kvalificeret tillidstjenesteudbyder.

Uanset punkt 1, litra d), må kvalificerede tillidstjenesteudbydere, der forvalter elektroniske signaturgenereringsdata på underskriverens vegne, kun kopiere disse data til backupformål, forudsat at følgende betingelser er opfyldt:

a)	der skal opretholdes samme niveau af sikkerhed for kopierede datasæt som for de originale datasæt

b)	antallet af kopierede datasæt må ikke overstige det minimum, der er nødvendigt for at sikre tjenestens kontinuitet.

BILAG III

KRAV TIL KVALIFICEREDE CERTIFIKATER FOR ELEKTRONISKE SEGL

Kvalificerede certifikater for elektroniske segl skal indeholde:

a)	en angivelse — som minimum i en form, der egner sig til automatiseret behandling — af, at certifikatet er udstedt som et kvalificeret certifikat for elektronisk segl

—	for en juridisk person: navn og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

—	for en fysisk person: personens navn

c)	som minimum navnet på den forseglende part og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

d)	elektroniske seglvalideringsdata, som svarer tilde elektroniske seglgenereringsdata

e)	certifikatets ikrafttrædelses- og udløbsdato

f)	certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteudbyder

g)	den udstedende kvalificerede tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl

h)	oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra g), er gratis tilgængeligt

i)	oplysninger om, hvor de tjenester, hvortil der kan rettes forespørgsel om det kvalificerede certifikats gyldighedsstatus, befinder sig

j)	hvis de elektroniske seglgenereringsdata, der svarer til de elektroniske seglvalideringsdata, befinder sig i et kvalificeret elektronisk seglgenereringssystem: en passende angivelse af dette, som minimum i en form, der egner sig til automatiseret behandling.

BILAG IV

KRAV TIL KVALIFICEREDE CERTIFIKATER FOR WEBSTEDSAUTENTIFIKATION

Kvalificerede certifikater for webstedsautentifikation skal indeholde:

a)	en angivelse — som minimum i en form, der egner sig til automatiseret behandling — af, at certifikatet er udstedt som et kvalificeret certifikat for webstedsautentifikation

—	for en juridisk person: navn og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

—	for en fysisk person: personens navn

for fysiske personer: som minimum navnet på den person, som certifikatet er udstedt til, eller et pseudonym. Hvis der anvendes pseudonym, angives dette klart

for juridiske personer: som minimum navnet på den juridiske person, som certifikatet er udstedt til, og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

d)	adresseoplysninger, herunder som minimum oplysninger om by og nationalstat, for den fysiske eller juridiske person, som certifikatet er udstedt til, og, når det er relevant, som de fremgår af det officielle register

e)	domænenavnet på det eller de domæner, der drives af den fysiske eller juridiske person, som certifikatet er udstedt til

f)	certifikatets ikrafttrædelses- og udløbsdato

g)	certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteudbyder

h)	den udstedende kvalificerede tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl

i)	oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra h), er gratis tilgængeligt

j)	oplysninger om, hvor de tjenester, hvortil der kan rettes forespørgsel om det kvalificerede certifikats gyldighedsstatus, befinder sig.

whereas

(12) Et af formålene med denne forordning er at fjerne de eksisterende hindringer for grænseoverskridende brug af elektroniske identifikationsmidler, der benyttes i medlemsstaterne for som minimum at autentificere offentlige tjenester.
Forordningen har ikke til formål at gribe ind for så vidt angår de elektroniske identitetsforvaltningssystemer og dermed forbundne infrastrukturer, der er etableret i medlemsstaterne.
Målet med denne forordning er at sørge for, at der findes sikker elektronisk identifikation og autentifikation, der gør det muligt at få adgang til grænseoverskridende onlinetjenester, som medlemsstaterne udbyder.

- = -

(41) For at garantere kvalificerede tillidstjenesters bæredygtighed og holdbarhed og styrke brugernes tillid til disse tjenesters kontinuitet bør tilsynsorganerne kontrollere, om der findes bestemmelser om planer for virksomhedsafbrydelse, og om de anvendes korrekt, i tilfælde hvor kvalificerede tillidstjenesteudbydere ophører med deres virksomhed.

- = -

(42) For at lette tilsynet med kvalificerede tillidstjenesteudbydere, for eksempel når en udbyder udbyder tjenester på en anden medlemsstats område og ikke er underkastet tilsyn der, eller når en udbyders computere befinder sig i en anden medlemsstat end den, hvor udbyderen er hjemmehørende, bør der indføres en ordning for gensidig bistand mellem tilsynsorganerne i medlemsstaterne.

- = -

(52) Genereringen af elektroniske signaturer på afstand, hvor miljøet til elektronisk signaturgenerering forvaltes af en tillidstjenesteudbyder på vegne af underskriveren, forventes at udvikle sig på grund af de mange økonomiske fordele forbundet hermed.
Med henblik på at sikre, at sådanne elektroniske signaturer opnår samme juridiske anerkendelse som elektroniske signaturer, der genereres ved hjælp af et miljø, der fuldt ud forvaltes af brugeren, skal de udbydere, der udbyder elektroniske signaturtjenester på afstand, dog anvende specifikke ledelsesmæssige og administrative sikkerhedsprocedurer og benytte pålidelige systemer og produkter, herunder sikre elektroniske kommunikationskanaler, med henblik på at sikre, at miljøet for elektronisk signaturgenerering er pålideligt, og at det udelukkende anvendes under underskriverens enekontrol.
Hvis en kvalificeret elektronisk signatur er blevet genereret ved hjælp af et system til generering af elektroniske signaturer på afstand, bør de gældende krav til de kvalificerede tillidstjenesteudbydere i denne forordning finde anvendelse.

- = -

(53) Suspensionen af kvalificerede certifikater er en etableret praksis blandt tillidstjenesteudbydere i en række medlemsstater, som adskiller sig fra spærring, og som medfører midlertidigt tab af et certifikats gyldighed.
Af hensyn til retssikkerheden kræves det, at et certifikats suspensionsstatus altid angives klart.
Derfor bør tillidstjenesteudbydere have ansvaret for klart at angive certifikatets status og, såfremt det er suspenderet, angive den præcise suspensionsperiode.
Denne forordning bør ikke pålægge tillidstjenesteudbyderne eller medlemsstaterne at anvende suspension, men fastlægge gennemsigtighedsbestemmelser, når og hvor en sådan praksis findes.

- = -

(55) IT-sikkerhedscertificering baseret på internationale standarder som f.eks.
ISO 15408 og dertil knyttede evalueringsmetoder og gensidige anerkendelsesordninger er et vigtigt redskab til at kontrollere sikkerheden af kvalificerede elektroniske signaturgenereringssystemer og bør fremmes.
Innovative løsninger og tjenester som f.eks.
mobil signatur, cloudsignatur benytter imidlertid tekniske og organisatoriske løsninger for kvalificerede elektroniske signaturgenereringssystemer, hvortil der eventuelt endnu ikke findes tilgængelige sikkerhedsstandarder, eller for hvilke den første IT-sikkerhedscertificering ikke er afsluttet.
Kun i de tilfælde, hvor sådanne sikkerhedsstandarder ikke er tilgængelige, eller hvor den første IT-sikkerhedscertificering ikke er afsluttet, vil sikkerhedsniveauet for sådanne kvalificerede elektroniske signaturgenereringssystemer kunne evalueres under anvendelse af alternative processer.
Disse processer bør være sammenlignelige med standarder for IT-sikkerhedscertificering, i det omfang deres sikkerhedsniveauer er ens.
En fagfællebedømmelse (peer review) vil kunne lette disse processer.

- = -

(68) Begrebet »juridiske personer« i henhold til bestemmelserne i traktaten om Den Europæiske Unions funktionsmåde (TEUF) om etablering giver operatørerne mulighed for frit at vælge den retlige form, de måtte finde passende for udøvelsen af deres virksomhed.
Begrebet »juridiske personer« i henhold til TEUF omfatter derfor alle enheder, der er oprettet i henhold til eller reguleret af en medlemsstats ret, uanset deres retlige form.

- = -

keyboard_tab EIDAS 2014/0910 DA

EIDAS 2014/0910 DA