EIDAS 2014/0910 DA

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2014/0910 DA cercato: 'hvis' . Output generated live by software developed by IusOnDemand srl

just index hvis:

1 Artikel 7 Antagelse af anmeldelser af elektroniske identifikationsordninger

3 Artikel 8 Sikringsniveauer for elektroniske identifikationsordninger

1 Artikel 14 Internationale aspekter

1 Artikel 17 Tilsynsorganer

2 Artikel 19 Sikkerhedskrav til tillidstjenesteudbydere

1 Artikel 20 Tilsyn med kvalificerede tillidstjenesteudbydere

1 Artikel 28 Kvalificerede certifikater for elektroniske signaturer

2 Artikel 30 Certificering af kvalificerede elektroniske signaturgenereringssystemer

1 Artikel 38 Kvalificerede certifikater for elektroniske segl

1 Artikel 44 Krav til kvalificerede elektroniske registrerede leveringstjenester

2 Artikel 47 Udøvelse af de delegerede beføjelser

whereas hvis:

definitions:

cloud tag:

and the number of total unique words without stopwords is: 805

Artikel 7

Antagelse af anmeldelser af elektroniske identifikationsordninger

En elektronisk identifikationsordning kan anmeldes i henhold til artikel 9, stk. 1, hvis alle nedenstående betingelser er opfyldt:

det elektroniske identifikationsmiddel under den elektroniske identifikationsordning er udstedt:

i)	af den anmeldende medlemsstat

ii)	i henhold til et mandat fra den anmeldende medlemsstat, eller

iii)	uafhængigt af den anmeldende medlemsstat og anerkendt af den pågældende medlemsstat

b)	det elektroniske identifikationsmiddel under den elektroniske identifikationsordning kan bruges til at få adgang til mindst en tjeneste, som udbydes af en offentlig myndighed, og som kræver elektronisk identifikation i den anmeldende medlemsstat

c)	den elektroniske identifikationsordning og de elektroniske identifikationsmidler, der er udstedt i medfør heraf, opfylder kravene i mindst ét af de sikringsniveauer, der er fastsat i den gennemførelsesretsakt, som er omhandlet i artikel 8, stk. 3

den anmeldende medlemsstat sikrer, at de personidentifikationsdata, der entydigt repræsenterer den pågældende person, i overensstemmelse med de tekniske specifikationer, standarderne og procedurerne for det relevante sikringsniveau, der er anført i den gennemførelsesretsakt, som er omhandlet i artikel 8, stk. 3, er knyttet til den i artikel 3, nr. 1), omhandlede fysisk eller juridisk person på tidspunktet for udstedelsen af de elektroniske identifikationsmidler under denne ordning

den part, der udsteder det elektroniske identifikationsmiddel under denne ordning, sikrer, at det elektroniske identifikationsmiddel, der knyttes til den person, der er omhandlet i litra d) i nærværende artikel, er i overensstemmelse med de tekniske specifikationer, standarderne og procedurerne for det relevante sikringsniveau, der er fastsat i den gennemførelsesretsakt, som er omhandlet i artikel 8, stk. 3

den anmeldende medlemsstat sikrer, at der er onlineadgang til autentifikation, så enhver modtagerpart, der er hjemmehørende på en anden medlemsstats område, kan bekræfte de personidentifikationsdata, der er modtaget i elektronisk form.

For modtagerparter, der ikke er offentlige myndigheder, kan den anmeldende medlemsstat fastsætte betingelser for adgang til den pågældende autentifikation. Den grænseoverskridende autentifikation skal foretages gratis, når den gennemføres i forbindelse med en onlinetjeneste, der udbydes af en offentlig myndighed.

Medlemsstaterne må ikke pålægge modtagerparter, som vil gennemføre en sådan autentifikation, urimelige tekniske krav, når sådanne krav forhindrer eller i væsentligt omfang hindrer interoperabilitet mellem de anmeldte elektroniske identifikationsordninger

senest seks måneder forud for anmeldelsen i henhold til artikel 9, stk. 1, fremlægger den anmeldende medlemsstat på baggrund af forpligtelsen i artikel 12, stk. 5, en beskrivelse af ordningen for de andre medlemsstater i overensstemmelse med de proceduremæssige ordninger, der er fastsat ved de i artikel 12, stk. 7, omhandlede gennemførelsesretsakter

h)	den elektroniske identifikationsordning opfylder de krav, der er fastsat i den i artikel 12, stk. 8, omhandlede gennemførelsesretsakt.

Artikel 8

Sikringsniveauer for elektroniske identifikationsordninger

1. En elektronisk identifikationsordning, der er anmeldt i henhold til artikel 9, stk. 1, skal angive sikringsniveauerne »lav«, »betydelig« og/eller »høj« for de elektroniske identifikationsmidler, der er udstedt under den pågældende ordning.

2. Sikringsniveauerne »lav«, »betydelig« og »høj« skal opfylde følgende kriterier:

sikringsniveauet »lav« henviser til et elektronisk identifikationsmiddel i en elektronisk identifikationsordning, der udviser en begrænset grad af tillid til en persons påståede identitet, og som er karakteriseret ved henvisning til tekniske specifikationer, standarder og hertil knyttede procedurer, herunder tekniske kontroller, hvis formål er at mindske risikoen for misbrug eller ændring af identiteten

sikringsniveauet »betydelig« henviser til et elektronisk identifikationsmiddel i en elektronisk identifikationsordning, der udviser en middelstor grad af tillid til en persons påståede identitet, og som er karakteriseret ved henvisning til tekniske specifikationer, standarder og hertil knyttede procedurer, herunder tekniske kontroller, hvis formål er at mindske risikoen for misbrug eller ændring af identiteten

sikringsniveauet »høj« henviser til et elektronisk identifikationsmiddel i en elektronisk identifikationsordning, der giver en højere grad af tillid til en persons påståede identitet end elektroniske identifikationsmidler med sikringsniveauet »betydelig«, og som er karakteriseret ved henvisning til tekniske specifikationer, standarder og hertil knyttede procedurer, herunder tekniske kontroller, hvis formål er at mindske risikoen for misbrug eller ændring af identiteten.

3. Senest den 18. september 2015 fastsætter Kommissionen, idet der tages hensyn til relevante internationale standarder og med forbehold af stk. 2, ved hjælp af gennemførelsesretsakter de tekniske minimumsspecifikationer, minimumsstandarder, og procedurer, der henvises til i forbindelse med fastsættelse af sikringsniveauerne »lav«, »betydelig« og »høj« for de elektroniske identifikationsmidler, jf. stk. 1.

Disse tekniske minimumsspecifikationer, minimumsstandarder, og procedurer udarbejdes på grundlag af pålideligheden og kvaliteten af følgende elementer:

a)	proceduren for godtgørelse og kontrol af identiteten på fysiske og juridiske personer, der ansøger om udstedelse af et elektronisk identifikationsmiddel

b)	proceduren for udstedelse af det pågældende elektroniske identifikationsmiddel

c)	autentifikationsmekanismen, hvorigennem den fysiske eller den juridiske person anvender det elektroniske identifikationsmiddel til at bekræfte vedkommendes identitet over for en modtagerpart

d)	enheden, der udsteder det elektroniske identifikationsmiddel

e)	ethvert andet organ, der er involveret i ansøgningsproceduren for udstedelse af det elektroniske identifikationsmiddel

f)	de tekniske specifikationer og sikkerhedsspecifikationerne for det udstedte elektroniske identifikationsmiddel.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 14

Internationale aspekter

1. Tillidstjenester der udbydes af tillidstjenesteudbydere, som er hjemmehørende i et tredjeland, anerkendes som retligt ligestillede med kvalificerede tillidstjenester, der udbydes af kvalificerede tillidstjenesteudbydere, der er hjemmehørende i Unionen, hvis de tillidstjenester, der har oprindelse i tredjelandet, anerkendes i henhold til en aftale, som er indgået mellem Unionen og det pågældende tredjeland eller en international organisation i overensstemmelse med artikel 218 i TEUF.

2. Aftaler som omhandlet i stk. 1 skal navnlig sikre, at:

a)	tillidstjenesteudbyderne i det tredjeland eller de internationale organisationer, som aftalen indgås med, og de tillidstjenester, de udbyder, opfylder de krav, der gælder for kvalificerede tillidstjenesteudbydere, som er hjemmehørende i Unionen, og de kvalificerede tillidstjenester, de udbyder

b)	de kvalificerede tillidstjenester, der udbydes af kvalificerede tillidstjenesteudbydere, som er hjemmehørende i Unionen, anerkendes som retligt ligestillede med tillidstjenester, der udbydes af tillidstjenesteudbydere i det tredjeland eller den internationale organisation, som aftalen indgås med.

Artikel 17

Tilsynsorganer

1. Hver medlemsstat udpeger et tilsynsorgan, der er hjemmehørende på dens område, eller, efter gensidig aftale med en anden medlemsstat, et tilsynsorgan, der er hjemmehørende i den pågældende anden medlemsstat. Dette organ er ansvarligt for tilsynsopgaver i den udpegende medlemsstat.

Tilsynsorganerne tillægges de nødvendige beføjelser og tilstrækkelige ressourcer til varetagelsen af deres opgaver.

2. Medlemsstaterne meddeler Kommissionen navn og adresse på de tilsynsorganer, de hver især har udpeget.

3. Tilsynsorganet har følgende rolle:

at føre tilsyn med kvalificerede tillidstjenesteudbydere, der er hjemmehørende på den udpegende medlemsstats område, for ved hjælp af forudgående og efterfølgende tilsynsvirksomhed at sikre, at disse kvalificerede tillidstjenesteudbydere og de kvalificerede tillidstjenester, de udbyder, opfylder kravene i denne forordning

om nødvendigt at gribe ind over for ikkekvalificerede tillidstjenesteudbydere, der er hjemmehørende på den udpegende medlemsstats område ved hjælp af efterfølgende tilsynsvirksomhed, når det underrettes om, at disse ikkekvalificerede tillidstjenesteudbydere eller de tillidstjenester, de udbyder, angiveligt ikke opfylder kravene i denne forordning.

4. Med henblik på stk. 3 og med forbehold af de deri fastsatte begrænsninger omfatter tilsynsorganets opgaver navnlig:

a)	at samarbejde med andre tilsynsorganer og yde dem bistand i overensstemmelse med artikel 18

b)	at analysere de overensstemmelsesvurderingsrapporter, der er omhandlet i artikel 20, stk. 1, og artikel 21, stk. 1

c)	at underrette andre tilsynsorganer og offentligheden om brud på sikkerheden eller tab af integritet i overensstemmelse med artikel 19, stk. 2

d)	at aflægge rapport til Kommissionen om sin primære virksomhed i overensstemmelse med stk. 6 i nærværende artikel

e)	at foretage kontrolundersøgelser eller anmode et overensstemmelsesvurderingsorgan om at udføre en overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere i overensstemmelse med artikel 20, stk. 2

f)	at samarbejde med databeskyttelsesmyndighederne, navnlig ved hurtigst muligt at underrette dem om resultaterne af kontrolundersøgelser af kvalificerede tillidstjenesteudbydere, hvis der er mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger

g)	at tildele kvalificerede tillidstjenesteudbydere og de tjenester, de udbyder, status som kvalificeret og at trække denne status tilbage i overensstemmelse med artikel 20 og 21

h)	at underrette det organ, der er ansvarligt for den nationale positivliste, der er omhandlet i artikel 22, stk. 3, om sine afgørelser om tildeling eller tilbagetrækning af status som kvalificeret, medmindre dette organ også er tilsynsorganet

i)	at kontrollere, at der findes bestemmelser om planer for virksomhedsafbrydelse, og at de anvendes korrekt, i tilfælde hvor den kvalificerede tillidstjenesteudbyder afbryder sin virksomhed, herunder hvordan oplysninger forbliver tilgængelige i overensstemmelse med artikel 24, stk. 2, litra h)

j)	at pålægge tillidstjenesteudbydere at afhjælpe mangler i opfyldelsen af de krav, der er fastsat i denne forordning.

5. Medlemsstaterne kan kræve, at tilsynsorganet opretter, vedligeholder og ajourfører en tillidsinfrastruktur i overensstemmelse med betingelserne i national ret.

6. Senest den 31. marts hvert år forelægger tilsynsorganerne Kommissionen en rapport om det foregående kalenderårs primære tilsynsvirksomhed sammen med en sammenfatning af de indberetninger af brud på sikkerheden, som er modtaget fra tillidstjenesteudbydere i overensstemmelse med artikel 19, stk. 2.

7. Kommissionen gør den i stk. 6 omhandlede årlige rapport tilgængelig for medlemsstaterne.

8. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge formater og procedurer for rapporteringen i medfør af stk. 6. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 19

Sikkerhedskrav til tillidstjenesteudbydere

1. Kvalificerede og ikkekvalificerede tillidstjenesteudbydere skal træffe passende tekniske og organisatoriske foranstaltninger til at styre de sikkerhedsmæssige risici i forbindelse med de tillidstjenester, de udbyder. Under hensyn til den seneste teknologiske udvikling skal disse foranstaltninger garantere et sikkerhedsniveau, der svarer til risikoens omfang. Tillidstjenesteudbyderne bør navnlig tage skridt til at forhindre og minimere virkningen af sikkerhedsrelaterede hændelser og underrette de berørte parter om de negative virkninger af sådanne hændelser.

2. De kvalificerede og ikkekvalificerede tillidstjenesteudbydere, der konstaterer et brud på sikkerheden eller tab af integritet, som har en væsentlig indvirkning på den udbudte tillidstjeneste eller de berørte personoplysninger, skal hurtigst muligt og under alle omstændigheder inden for 24 timer efter at være blevet opmærksomme på forholdet underrette tilsynsorganet, og eventuelt andre relevante organer som f.eks. det kompetente nationale organ for informationssikkerhed eller databeskyttelsesmyndigheden.

Når det er sandsynligt, at et brud på sikkerheden eller tab af integritet vil krænke den fysiske eller juridiske person, som har modtaget tillidstjenesten, skal tillidstjenesteudbyderen også hurtigst muligt underrette den fysiske eller juridiske person om bruddet på sikkerheden eller tab af integritet.

Hvor det er relevant, og navnlig hvis et brud på sikkerheden eller tab af integritet berører to eller flere medlemsstater, skal det underrettede tilsynsorgan informere tilsynsorganerne i andre berørte medlemsstater og ENISA.

Det underrettede tilsynsorgan skal også informere offentligheden eller kræve, at tillidstjenesteudbyderen gør det, hvis det fastslår, at det er i offentlighedens interesse, at et brud på sikkerheden eller tab af integritet offentliggøres.

3. Tilsynsorganet forelægger en gang om året ENISA en sammenfattende rapport om de indberetninger af brud på sikkerheden eller tab af integritet, som det har modtaget fra tillidstjenesteudbyderne.

4. Kommissionen kan ved gennemførelsesretsakter:

a)	yderligere specificere de i stk. 1 omhandlede foranstaltninger, og

b)	vedtage formater og procedurer, herunder tidsfrister, for gennemførelsen af stk. 2.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

AFDELING 3

Kvalificerede tillidstjenesteydelser

Artikel 20

Tilsyn med kvalificerede tillidstjenesteudbydere

1. Kvalificerede tillidstjenesteudbydere skal kontrolleres af et overensstemmelsesvurderingsorgan for egen regning mindst hver 24. måned. Formålet med kontrollen er at bekræfte, at de kvalificerede tillidstjenesteudbydere og de kvalificerede tillidstjenester, som de udbyder, opfylder de krav, der er fastsat i denne forordning. De kvalificerede tillidstjenesteudbydere skal forelægge den resulterende overensstemmelsesvurderingsrapport for tilsynsorganet inden for en periode på tre arbejdsdage efter modtagelsen heraf.

2. Uden at dette berører stk. 1, kan tilsynsorganet til enhver tid foretage kontrol hos eller anmode et overensstemmelsesvurderingsorgan om at udføre en overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere for disses tillidstjenesteudbyderes regning for at bekræfte, at de og deres kvalificerede tillidstjenester opfylder de krav, der er fastsat i denne forordning. Ved mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger skal tilsynsorganet underrette databeskyttelsesmyndighederne om resultaterne af deres kontrolundersøgelser.

3. Kræver tilsynsorganet, at den kvalificerede tillidstjenesteudbyder afhjælper enhver forsømmelse af at opfylde kravene i denne forordning, og hvis tjenesteudbyderen ikke handler i overensstemmelse hermed og eventuelt inden for en af tilsynsorganet fastsat frist, kan tilsynsorganet under særlig hensyntagen til den omtalte mangels omfang, varighed og konsekvenser tilbagetrække den pågældende tjenesteudbyders eller den pågældende tjenestes status som kvalificeret og informere det organ, der er omhandlet i artikel 22, stk. 3, med henblik på at føre positivlisten i artikel 22, stk. 1, ajour. Tilsynsorganet underretter den kvalificerede tillidstjenesteudbyder om tilbagetrækningen af vedkommendes eller af den pågældende kvalificerede tjenestes status som kvalificeret.

4. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på følgende standarder:

a)	akkreditering af overensstemmelsesvurderingsorganerne og for overensstemmelsesvurderingsrapporten, jf. stk. 1

b)	revisionsregler, i henhold til hvilke overensstemmelsesvurderingsorganer udfører deres overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere, jf. stk. 1.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 28

Kvalificerede certifikater for elektroniske signaturer

1. Kvalificerede certifikater for elektroniske signaturer skal opfylde kravene i bilag I.

2. Kvalificerede certifikater for elektroniske signaturer må ikke være omfattet af ufravigelige krav, der går videre end kravene i bilag I.

3. Kvalificerede certifikater for elektroniske signaturer kan omfatte ikkeobligatoriske supplerende særlige kendetegn. Disse kendetegn må ikke påvirke interoperabiliteten mellem og anerkendelsen af kvalificerede elektroniske signaturer.

4. Såfremt et kvalificeret certifikat for elektroniske signaturer er blevet spærret efter den første aktivering, mister det sin gyldighed fra tidspunktet for spærringen, og dets status kan under ingen omstændigheder genetableres.

5. Medlemsstaterne kan fastsætte nationale regler for en midlertidig suspension af et kvalificeret certifikat for elektroniske signaturer på følgende betingelser:

a)	hvis et kvalificeret certifikat for elektroniske signaturer er blevet suspenderet midlertidigt, mister det sin gyldighed i suspensionsperioden

b)	suspensionsperioden angives klart i certifikatdatabasen, og suspensionsstatus gøres synlig i suspensionsperioden af den tjeneste, der formidler oplysninger om status for certifikatet.

6. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for kvalificerede certifikater for elektroniske signaturer. Et kvalificeret certifikat for elektroniske signaturer, der opfylder disse standarder, formodes at overholde kravene i bilag I. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 30

Certificering af kvalificerede elektroniske signaturgenereringssystemer

1. Egnede offentlige eller private organer, der udpeges af medlemsstaterne, skal certificere overensstemmelsen mellem de kvalificerede elektroniske signaturgenereringssystemer og de i bilag II fastsatte krav.

2. Medlemsstaterne meddeler Kommissionen navn og adresse på de i stk. 1 omhandlede offentlige eller private organer. Kommissionen stiller disse oplysninger til rådighed for medlemsstaterne.

3. Certificeringen i stk. 1 baseres på en af følgende processer:

a)	en sikkerhedsevalueringsproces, som gennemføres i overensstemmelse med en af de standarder for sikkerhedsvurdering af informationsteknologiprodukter, der er opført på den liste, der er udarbejdet i overensstemmelse med andet afsnit, eller

en anden proces end den i litra a) omhandlede, såfremt den anvender sammenlignelige sikkerhedsniveauer og såfremt det i stk. 1 omhandlede offentlige eller private organ meddeler denne proces til Kommissionen. Den pågældende proces kan kun anvendes, hvis de standarder, der er omhandlet i litra a), ikke findes, eller hvis en sikkerhedsevalueringsproces som omhandlet i litra a) ikke er afsluttet.

Kommissionen udarbejder ved hjælp af gennemførelsesretsakter en liste over standarder for sikkerhedsvurderingen af de informationsteknologiprodukter, der er omhandlet i litra a). Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

4. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 47 vedrørende fastsættelsen af de særlige kriterier, som de i stk. 1 i nærværende artikel omhandlede udpegede organer skal opfylde.

Artikel 38

Kvalificerede certifikater for elektroniske segl

1. Kvalificerede certifikater for elektroniske segl skal opfylde kravene i bilag III.

2. Kvalificerede certifikater for elektroniske segl må ikke undergives ufravigelige krav, der går videre end kravene i bilag III.

3. Kvalificerede certifikater for elektroniske segl kan omfatte ikkeobligatoriske supplerende særlige kendetegn. Disse kendetegn må ikke påvirke interoperabiliteten mellem og anerkendelsen af kvalificerede elektroniske segl.

4. Såfremt et kvalificeret certifikat for elektronisk segl er blevet spærret efter den første aktivering, mister det sin gyldighed fra tidspunktet for spærringen, og dets status kan under ingen omstændigheder ændres.

5. Medlemsstaterne kan fastsætte nationale regler for en midlertidig suspension af kvalificerede certifikater for elektroniske segl på følgende betingelser:

a)	hvis et kvalificeret certifikat for elektronisk segl er blevet suspenderet midlertidigt, mister det sin gyldighed i suspensionsperioden

b)	suspensionsperioden angives klart i certifikatdatabasen og suspensionsstatus gøres synlig i suspensionsperioden af den tjeneste, der formidler oplysninger om status for certifikatet.

6. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for kvalificerede certifikater for elektroniske segl. Et kvalificeret certifikat for elektroniske segl, der opfylder disse standarder, formodes at overholde kravene i bilag III. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 44

Krav til kvalificerede elektroniske registrerede leveringstjenester

1. Kvalificerede elektroniske registrerede leveringstjenester skal opfylde følgende krav:

a)	de udbydes af en eller flere kvalificerede tillidstjenesteudbydere

b)	de sikrer med en høj grad af tillid identifikation af afsenderen

c)	de sikrer forud for levering af dataene identifikation af modtageren

d)	afsendelsen og modtagelsen af data er beskyttet af en kvalificeret tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl på en sådan måde, at det er umuligt at ændre dataene, uden at det opdages

e)	hvis det er nødvendigt at ændre dataene, for at de kan sendes eller modtages, angives dette klart over for afsenderen og modtageren af dataene

f)	datoen og tidspunktet for afsendelse, modtagelse og en eventuel ændring af data angives ved hjælp af et kvalificeret elektronisk tidsstempel.

Overføres dataene mellem to eller flere kvalificerede tillidstjenesteudbydere, gælder kravene i litra a)-f) for samtlige kvalificerede tillidstjenesteudbydere.

2. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for dataafsendelses- og -modtagelsesprocesser. En dataafsendelses- og -modtagelsesproces, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

AFDELING 8

Webstedsautentifikation

Artikel 47

Udøvelse af de delegerede beføjelser

1. Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.

2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 30, stk. 4, tillægges Kommissionen for en ubegrænset periode fra den 17. september 2014.

3. Den i artikel 30, stk. 4, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om spærring bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Afgørelsen får virkning fra dagen efter offentliggørelsen i Den Europæiske Unions Tidende eller fra en senere dato, der fastsættes nærmere i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.

4. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.

5. En delegeret retsakt vedtaget i henhold til artikel 30, stk. 4, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har informeret Kommissionen om, at de ikke agter at gøre indsigelse. Denne frist forlænges med to måneder på Europa-Parlamentets eller Rådets initiativ.

Artikel 52

Ikrafttræden

1. Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

2. Denne forordning anvendes fra den 1. juli 2016, bortset fra følgende bestemmelser:

artikel 8, stk. 3, artikel 9, stk. 5, artikel 12, stk. 2-9, artikel 17, stk. 8, artikel 19, stk. 4, artikel 20, stk. 4, artikel 21, stk. 4, artikel 22, stk. 5, artikel 23, stk. 3, artikel 24, stk. 5, artikel 27, stk. 4 og 5, artikel 28, stk. 6, artikel 29, stk. 2, artikel 30, stk. 3 og 4, artikel 31, stk. 3, artikel 32, stk. 3, artikel 33, stk. 2, artikel 34, stk. 2, artikel 37, stk. 4 og 5, artikel 38, stk. 6, artikel 42, stk. 2, artikel 44, stk. 2, artikel 45, stk. 2, artikel 47 and 48 finder anvendelse fra den 17. september 2014

b)	artikel 7, artikel 8, stk. 1 og 2, artikel 9, 10, 11 og artikel 12, stk. 1, finder anvendelse fra datoen for anvendelsen af de i artikel 8, stk. 3, og artikel 12, stk. 8, omhandlede gennemførelsesretsakter

c)	artikel 6 finder anvendelse fra tre år efter datoen for anvendelsen af de i artikel 8, stk. 3, og artikel 12, stk. 8, omhandlede gennemførelsesretsakter.

3. Opføres den anmeldte elektroniske identifikationsordning på den liste, som Kommissionen offentliggør i henhold til artikel 9, før den i stk. 2, litra c), i nærværende artikel omhandlede dato, sker anerkendelsen af det elektroniske identifikationsmiddel i medfør af denne ordning i henhold til artikel 6 senest 12 måneder efter offentliggørelsen af denne ordning, dog ikke før den i stk. 2, litra c), i nærværende artikel omhandlede dato.

4. Uanset stk. 2, litra c), i nærværende artikel kan en medlemsstat beslutte, at et elektronisk identifikationsmiddel i medfør af den elektroniske identifikationsordning, som en anden medlemsstat har anmeldt i henhold til artikel 9, stk. 1, anerkendes i den første medlemsstat fra datoen for anvendelsen af de i artikel 8, stk. 3, og artikel 12, stk. 8, omhandlede gennemførelsesretsakter. De pågældende medlemsstater underretter Kommissionen. Kommissionen offentliggør disse oplysninger.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 23. juli 2014.

På Europa-Parlamentets vegne

M. SCHULZ

Formand

På Rådets vegne

S. GOZI

Formand

(1) EUT C 351 af 15.11.2012, s. 73.

(2) Europa-Parlamentets holdning af 3.4.2014 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 23.7.2014.

(3) Europa-Parlamentets og Rådets direktiv 1999/93/EF af 13. december 1999 om en fællesskabsramme for elektroniske signaturer (EFT L 13 af 19.1.2000, s. 12).

(4) EUT C 50 E af 21.2.2012, s. 1.

(5) Europa-Parlamentets og Rådets direktiv 2006/123/EF af 12. december 2006 om tjenesteydelser i det indre marked (EUT L 376 af 27.12.2006, s. 36).

(6) Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

(7) Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).

(8) Rådets afgørelse 2010/48/EF af 26. november 2009 om Det Europæiske Fællesskabs indgåelse af De Forenede Nationers konvention om handicappedes rettigheder (EUT L 23 af 27.1.2010, s. 35).

(9) Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og markedsovervågning i forbindelse med markedsføring af produkter og om ophævelse af forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30).

(10) Kommissionens beslutning 2009/767/EF af 16. oktober 2009 om fastlæggelse af foranstaltninger, der skal lette anvendelsen af elektroniske procedurer ved hjælp af kvikskranker i henhold til Europa-Parlamentets og Rådets direktiv 2006/123/EF om tjenesteydelser i det indre marked (EUT L 274 af 20.10.2009, s. 36).

(11) Kommissionens afgørelse 2011/130/EU af 25. februar 2011 om fastsættelse af mindstekrav ved behandling af elektronisk underskrevne dokumenter på tværs af grænserne foretaget af de kompetente myndigheder som omhandlet i Europa-Parlamentets og Rådets direktiv 2006/123/EF om tjenesteydelser i det indre marked (EUT L 53 af 26.2.2011, s. 66).

(12) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(13) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EUT L 8 af 12.1.2001, s. 1).

(14) EUT C 28 af 30.1.2013, s. 6.

(15) Europa-Parlamentets og Rådets direktiv 2014/24/EU af 26. februar 2014 om offentlige udbud og om ophævelse af direktiv 2004/18/EF (EUT L 94 af 28.3.2014, s. 65).

BILAG I

KRAV TIL KVALIFICEREDE CERTIFIKATER FOR ELEKTRONISKE SIGNATURER

Kvalificerede certifikater for elektroniske signaturer skal indeholde:

a)	en angivelse — som minimum i en form, der egner sig til automatiseret behandling — af, at certifikatet er udstedt som et kvalificeret certifikat for elektronisk signatur

et sæt data, der entydigt repræsenterer den kvalificerede tillidstjenesteudbyder, som udsteder de kvalificerede certifikater, herunder som minimum oplysning om, hvilken medlemsstat den pågældende udbyder er hjemmehørende i, og

—	for en juridisk person: navn og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

—	for en fysisk person: personens navn

c)	som minimum underskriverens navn eller pseudonym; anvendes der pseudonym, skal dette tydeligt angives

d)	elektroniske signaturvalderingsdata, som svarer til dataene til de elektroniske signaturgenereringsdata

e)	certifikatets ikrafttrædelses- og udløbsdato

f)	certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteudbyder

g)	den udstedende kvalificerede tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl

h)	oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra g), er gratis tilgængeligt

i)	oplysninger om, hvor de tjenester, hvortil der kan rettes forespørgsel om det kvalificerede certifikats gyldighedsstatus, befinder sig

j)	hvis de elektroniske signaturgenereringsdata, der svarer til de elektroniske signaturvalideringsdata, befinder sig i et kvalificeret elektronisk signaturgenereringssystem er: en passende angivelse af dette, som minimum i en form, der egner sig til automatiseret behandling.

BILAG II

KRAV TIL KVALIFICEREDE ELEKTRONISKE SIGNATURGENERERINGSSYSTEMER

Kvalificerede elektroniske signaturgenereringssystemer sikrer ved hjælp af passende tekniske og proceduremæssige midler som minimum, at:

a)	de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, med rimelig sikkerhed forbliver fortrolige

b)	de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, i praksis kun kan forekomme én gang

c)	de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, med rimelig sikkerhed ikke kan udledes, og at den elektroniske signatur på pålidelig vis er beskyttet mod forfalskning under anvendelse af eksisterende teknologi

d)	de elektroniske signaturgenereringsdata, der anvendes til elektronisk signaturgenerering, på pålidelig vis kan beskyttes af den retmæssige underskriver mod andres brug.

Kvalificerede elektroniske signaturgenereringssystemer må ikke ændre de data, som skal underskrives, eller hindre, at disse data vises for underskriveren forud for signaturprocessen.

Generering og forvaltning af elektroniske signaturgenereringsdata på underskriverens vegne må kun udføres af en kvalificeret tillidstjenesteudbyder.

Uanset punkt 1, litra d), må kvalificerede tillidstjenesteudbydere, der forvalter elektroniske signaturgenereringsdata på underskriverens vegne, kun kopiere disse data til backupformål, forudsat at følgende betingelser er opfyldt:

a)	der skal opretholdes samme niveau af sikkerhed for kopierede datasæt som for de originale datasæt

b)	antallet af kopierede datasæt må ikke overstige det minimum, der er nødvendigt for at sikre tjenestens kontinuitet.

BILAG III

KRAV TIL KVALIFICEREDE CERTIFIKATER FOR ELEKTRONISKE SEGL

Kvalificerede certifikater for elektroniske segl skal indeholde:

a)	en angivelse — som minimum i en form, der egner sig til automatiseret behandling — af, at certifikatet er udstedt som et kvalificeret certifikat for elektronisk segl

—	for en juridisk person: navn og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

—	for en fysisk person: personens navn

c)	som minimum navnet på den forseglende part og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

d)	elektroniske seglvalideringsdata, som svarer tilde elektroniske seglgenereringsdata

e)	certifikatets ikrafttrædelses- og udløbsdato

f)	certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteudbyder

g)	den udstedende kvalificerede tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl

h)	oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra g), er gratis tilgængeligt

i)	oplysninger om, hvor de tjenester, hvortil der kan rettes forespørgsel om det kvalificerede certifikats gyldighedsstatus, befinder sig

j)	hvis de elektroniske seglgenereringsdata, der svarer til de elektroniske seglvalideringsdata, befinder sig i et kvalificeret elektronisk seglgenereringssystem: en passende angivelse af dette, som minimum i en form, der egner sig til automatiseret behandling.

BILAG IV

KRAV TIL KVALIFICEREDE CERTIFIKATER FOR WEBSTEDSAUTENTIFIKATION

Kvalificerede certifikater for webstedsautentifikation skal indeholde:

a)	en angivelse — som minimum i en form, der egner sig til automatiseret behandling — af, at certifikatet er udstedt som et kvalificeret certifikat for webstedsautentifikation

—	for en juridisk person: navn og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

—	for en fysisk person: personens navn

for fysiske personer: som minimum navnet på den person, som certifikatet er udstedt til, eller et pseudonym. hvis der anvendes pseudonym, angives dette klart

for juridiske personer: som minimum navnet på den juridiske person, som certifikatet er udstedt til, og, når det er relevant, registreringsnummer, som det fremgår af det officielle register

d)	adresseoplysninger, herunder som minimum oplysninger om by og nationalstat, for den fysiske eller juridiske person, som certifikatet er udstedt til, og, når det er relevant, som de fremgår af det officielle register

e)	domænenavnet på det eller de domæner, der drives af den fysiske eller juridiske person, som certifikatet er udstedt til

f)	certifikatets ikrafttrædelses- og udløbsdato

g)	certifikatets identifikationskode, der skal være entydig for den kvalificerede tillidstjenesteudbyder

h)	den udstedende kvalificerede tillidstjenesteudbyders avancerede elektroniske signatur eller avancerede elektroniske segl

i)	oplysninger om, hvor certifikatet for den avancerede elektroniske signatur eller det avancerede elektroniske segl, der henvises til i litra h), er gratis tilgængeligt

j)	oplysninger om, hvor de tjenester, hvortil der kan rettes forespørgsel om det kvalificerede certifikats gyldighedsstatus, befinder sig.

whereas

(1) Det er afgørende for den økonomiske og sociale udvikling, at der skabes tillid til onlineverdenen.
hvis tilliden mangler, især på grund af en formodning om manglende retssikkerhed, vil forbrugere, virksomheder og offentlige myndigheder tøve med at gennemføre transaktioner elektronisk og benytte nye tjenester.

- = -

(14) Denne forordning bør indeholde visse betingelser for, hvilke elektroniske identifikationsmidler der skal anerkendes, og for, hvordan de elektroniske identifikationsordninger bør anmeldes.
Betingelserne bør hjælpe medlemsstaterne til at opbygge den nødvendige tillid til hinandens elektroniske identifikationsordninger og til gensidigt at anerkende elektroniske identifikationsmidler, der er omfattet af de anmeldte ordninger.
Princippet om gensidig anerkendelse bør følges, hvis den anmeldende medlemsstats elektroniske identifikationsordning opfylder anmeldelsesbetingelserne, og hvis anmeldelsen har været offentliggjort i Den Europæiske Unions Tidende.
Dog bør princippet om gensidig anerkendelse kun gælde for autentifikation i forbindelse med en onlinetjeneste.
Adgangen til disse onlinetjenester og den endelige levering af tjenesterne til parter, der anmoder herom, bør afhænge nøje af retten til at modtage sådanne tjenester i henhold til betingelserne i den nationale lovgivning.

- = -

(15) Pligten til at anerkende elektroniske identifikationsmidler bør kun vedrøre de midler, hvis identitetssikringsniveau svarer til eller er højere end det niveau, der kræves for den pågældende onlinetjeneste.
Desuden bør pligten kun gælde, når den pågældende offentlige myndighed anvender sikringsniveauet »betydelig« eller »høj« i forbindelse med adgang til den pågældende onlinetjeneste.
Medlemsstaterne bør i overensstemmelse med EU-retten frit kunne anerkende elektroniske identifikationsmidler, der har lavere identitetssikringsniveauer.

- = -

(18) Denne forordning bør fastsætte det erstatningsansvar, der påhviler den anmeldende medlemsstat, den part, der udsteder det elektroniske identifikationsmiddel, og den part, der udfører autentifikationsproceduren, hvis de ikke opfylder de relevante forpligtelser i henhold til denne forordning.
Denne forordning bør imidlertid anvendes i overensstemmelse med nationale regler om erstatningsansvar.
Derfor berører den ikke de nationale regler, der handler om f.eks.
definition af skadeserstatning eller relevante gældende procedureregler, herunder bevisbyrden.

- = -

(23) I det omfang denne forordning indfører en pligt til at anerkende en tillidstjeneste, kan denne tillidstjeneste kun afvises, hvis den, som pligten er rettet mod, af tekniske grunde, som vedkommende ikke har nogen umiddelbar indflydelse på, ikke kan læse eller kontrollere den.
Pligten bør dog ikke i sig selv indebære, at et offentligt organ skal skaffe den hardware eller software, der er nødvendig for den tekniske læsbarhed af alle eksisterende tillidstjenester.

- = -

(52) Genereringen af elektroniske signaturer på afstand, hvor miljøet til elektronisk signaturgenerering forvaltes af en tillidstjenesteudbyder på vegne af underskriveren, forventes at udvikle sig på grund af de mange økonomiske fordele forbundet hermed.
Med henblik på at sikre, at sådanne elektroniske signaturer opnår samme juridiske anerkendelse som elektroniske signaturer, der genereres ved hjælp af et miljø, der fuldt ud forvaltes af brugeren, skal de udbydere, der udbyder elektroniske signaturtjenester på afstand, dog anvende specifikke ledelsesmæssige og administrative sikkerhedsprocedurer og benytte pålidelige systemer og produkter, herunder sikre elektroniske kommunikationskanaler, med henblik på at sikre, at miljøet for elektronisk signaturgenerering er pålideligt, og at det udelukkende anvendes under underskriverens enekontrol.
hvis en kvalificeret elektronisk signatur er blevet genereret ved hjælp af et system til generering af elektroniske signaturer på afstand, bør de gældende krav til de kvalificerede tillidstjenesteudbydere i denne forordning finde anvendelse.

- = -

(54) Kvalificerede certifikaters grænseoverskridende interoperabilitet og anerkendelse er en forudsætning for kvalificerede elektroniske signaturers grænseoverskridende anerkendelse.
Kvalificerede certifikater bør derfor ikke underlægges ufravigelige krav, der går videre end kravene i denne forordning.
På nationalt plan bør det dog være tilladt at medtage særlige kendetegn såsom entydige identifikatorer i kvalificerede certifikater, hvis de særlige kendetegn ikke hindrer kvalificerede certifikaters og elektroniske signaturers grænseoverskridende interoperabilitet og anerkendelse.

- = -

(67) Webstedsautentifikationstjenester giver besøgende på et websted sikkerhed for, at der står en ægte og legitim enhed bag webstedet.
Disse tjenester bidrager til at opbygge tilliden i forbindelse med onlineforretninger, da brugerne vil have tillid til et websted, som er autentificeret.
Ydelse og brug af webstedsautentifikationstjenester er helt frivillig.
For at webstedsautentifikation kan blive et middel til at fremme tilliden ved at give brugerne en bedre oplevelse og stimulere vækst på det indre marked bør denne forordning dog fastlægge minimumsforpligtelser for tjenesteudbyderne og deres tjenester med hensyn til sikkerhed og erstatningsansvar.
Med henblik herpå er der taget hensyn til resultaterne af igangværende industriledede initiativer, f.eks.
Certification Authorities/Browser Forum — CA/Browser Forum.
Desuden bør denne forordning ikke hindre brugen af andre midler eller metoder til autentifikation af et websted, der ikke er omfattet af denne forordning, og bør heller ikke forhindre ydere af webstedsautentifikationstjenester i tredjelande i at yde deres tjenester til kunder i Unionen.
En tjenesteudbyder i et tredjeland bør dog kun kunne få sine webstedsautentifikationstjenester anerkendt som kvalificerede i overensstemmelse med denne forordning, hvis der er indgået en international aftale mellem Unionen og det land, hvor tjenesteudbyderen er hjemmehørende.

- = -

(71) For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser, navnlig beføjelse til at opstille referencenumre på standarder, hvis anvendelse ville skabe formodning om overensstemmelse med bestemte krav, der er fastlagt i denne forordning.
Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (12).

- = -

(74) Af hensyn til retssikkerheden for de markedsoperatører, der allerede benytter kvalificerede certifikater, som er udstedt til fysiske personer i overensstemmelse med direktiv 1999/93/EF, er det nødvendigt at foreskrive en tilstrækkelig overgangsperiode.
På samme måde bør der fastlægges overgangsforanstaltninger for sikre signaturgenereringssystemer, hvis opfyldelse af kravene er fastslået i overensstemmelse med direktiv 1999/93/EF, og for certificeringstjenesteudbydere, der udsteder kvalificerede certifikater inden den 1.
juli 2016.
Endelig er det også nødvendigt at give Kommissionen beføjelser til at vedtage gennemførelsesretsakter og delegerede retsakter før udløbet af overgangsperioden.

- = -

keyboard_tab EIDAS 2014/0910 DA

EIDAS 2014/0910 DA