keyboard_tab EIDAS 2014/0910 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artikel 7 Antagelse af anmeldelser af elektroniske identifikationsordninger
- 1 Artikel 19 Sikkerhedskrav til tillidstjenesteudbydere
- 1 Artikel 20 Tilsyn med kvalificerede tillidstjenesteudbydere
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
ELEKTRONISK IDENTIFIKATION
KAPITEL III
TILLIDSTJENESTER
AFDELING 1
Almindelige bestemmelser
AFDELING 2
Tilsyn
AFDELING 3
Kvalificerede tillidstjenesteydelser
AFDELING 4
Elektroniske signaturer
AFDELING 5
Elektroniske segl
AFDELING 6
Elektroniske tidsstempler
AFDELING 7
Elektroniske registrerede leveringstjenester
AFDELING 8
Webstedsautentifikation
KAPITEL IV
ELEKTRONISKE DOKUMENTER
KAPITEL V
DELEGEREDE BEFØJELSER OG GENNEMFØRELSESBESTEMMELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- eller 18
- artikel 17
- kvalificerede 12
- elektroniske 12
- skal 10
- medlemsstat 9
- tillidstjenesteudbydere 9
- tilsynsorganet 8
- anmeldende 8
- fastsat 7
- under 7
- sikkerheden 6
- pågældende 6
- integritet 6
- denne 5
- brud 5
- person 5
- krav 5
- omhandlet 5
- identifikationsordning 5
- underrette 4
- gennemførelsesretsakt 4
- identifikationsmiddel 4
- opfylder 4
- gennemførelsesretsakter 4
- autentifikation 4
- efter 4
- overensstemmelse 4
- tekniske 4
- hvis 4
- henhold 4
- omhandlede 4
- tillidstjenester 3
- foranstaltninger 3
- inden 3
- relevante 3
- elektronisk 3
- berørte 3
- sikrer 3
- deres 3
- ikke 3
- disse 3
- mindst 3
- enhver 3
- medlemsstater 3
- når 3
- andre 3
- omfang 3
- forordning 3
- modtaget 3
Artikel 7
Antagelse af anmeldelser af elektroniske identifikationsordninger
En elektronisk identifikationsordning kan anmeldes i henhold til artikel 9, stk. 1, hvis alle nedenstående betingelser er opfyldt:
| a) | det elektroniske identifikationsmiddel under den elektroniske identifikationsordning er udstedt:
|
| b) | det elektroniske identifikationsmiddel under den elektroniske identifikationsordning kan bruges til at få adgang til mindst en tjeneste, som udbydes af en offentlig myndighed, og som kræver elektronisk identifikation i den anmeldende medlemsstat |
| c) | den elektroniske identifikationsordning og de elektroniske identifikationsmidler, der er udstedt i medfør heraf, opfylder kravene i mindst ét af de sikringsniveauer, der er fastsat i den gennemførelsesretsakt, som er omhandlet i artikel 8, stk. 3 |
| d) | den anmeldende medlemsstat sikrer, at de personidentifikationsdata, der entydigt repræsenterer den pågældende person, i overensstemmelse med de tekniske specifikationer, standarderne og procedurerne for det relevante sikringsniveau, der er anført i den gennemførelsesretsakt, som er omhandlet i artikel 8, stk. 3, er knyttet til den i artikel 3, nr. 1), omhandlede fysisk eller juridisk person på tidspunktet for udstedelsen af de elektroniske identifikationsmidler under denne ordning |
| e) | den part, der udsteder det elektroniske identifikationsmiddel under denne ordning, sikrer, at det elektroniske identifikationsmiddel, der knyttes til den person, der er omhandlet i litra d) i nærværende artikel, er i overensstemmelse med de tekniske specifikationer, standarderne og procedurerne for det relevante sikringsniveau, der er fastsat i den gennemførelsesretsakt, som er omhandlet i artikel 8, stk. 3 |
| f) | den anmeldende medlemsstat sikrer, at der er onlineadgang til autentifikation, så enhver modtagerpart, der er hjemmehørende på en anden medlemsstats område, kan bekræfte de personidentifikationsdata, der er modtaget i elektronisk form. For modtagerparter, der ikke er offentlige myndigheder, kan den anmeldende medlemsstat fastsætte betingelser for adgang til den pågældende autentifikation. Den grænseoverskridende autentifikation skal foretages gratis, når den gennemføres i forbindelse med en onlinetjeneste, der udbydes af en offentlig myndighed. Medlemsstaterne må ikke pålægge modtagerparter, som vil gennemføre en sådan autentifikation, urimelige tekniske krav, når sådanne krav forhindrer eller i væsentligt omfang hindrer interoperabilitet mellem de anmeldte elektroniske identifikationsordninger |
| g) | senest seks måneder forud for anmeldelsen i henhold til artikel 9, stk. 1, fremlægger den anmeldende medlemsstat på baggrund af forpligtelsen i artikel 12, stk. 5, en beskrivelse af ordningen for de andre medlemsstater i overensstemmelse med de proceduremæssige ordninger, der er fastsat ved de i artikel 12, stk. 7, omhandlede gennemførelsesretsakter |
| h) | den elektroniske identifikationsordning opfylder de krav, der er fastsat i den i artikel 12, stk. 8, omhandlede gennemførelsesretsakt. |
Artikel 19
Sikkerhedskrav til tillidstjenesteudbydere
1. Kvalificerede og ikkekvalificerede tillidstjenesteudbydere skal træffe passende tekniske og organisatoriske foranstaltninger til at styre de sikkerhedsmæssige risici i forbindelse med de tillidstjenester, de udbyder. Under hensyn til den seneste teknologiske udvikling skal disse foranstaltninger garantere et sikkerhedsniveau, der svarer til risikoens omfang. Tillidstjenesteudbyderne bør navnlig tage skridt til at forhindre og minimere virkningen af sikkerhedsrelaterede hændelser og underrette de berørte parter om de negative virkninger af sådanne hændelser.
2. De kvalificerede og ikkekvalificerede tillidstjenesteudbydere, der konstaterer et brud på sikkerheden eller tab af integritet, som har en væsentlig indvirkning på den udbudte tillidstjeneste eller de berørte personoplysninger, skal hurtigst muligt og under alle omstændigheder inden for 24 timer efter at være blevet opmærksomme på forholdet underrette tilsynsorganet, og eventuelt andre relevante organer som f.eks. det kompetente nationale organ for informationssikkerhed eller databeskyttelsesmyndigheden.
Når det er sandsynligt, at et brud på sikkerheden eller tab af integritet vil krænke den fysiske eller juridiske person, som har modtaget tillidstjenesten, skal tillidstjenesteudbyderen også hurtigst muligt underrette den fysiske eller juridiske person om bruddet på sikkerheden eller tab af integritet.
Hvor det er relevant, og navnlig hvis et brud på sikkerheden eller tab af integritet berører to eller flere medlemsstater, skal det underrettede tilsynsorgan informere tilsynsorganerne i andre berørte medlemsstater og ENISA.
Det underrettede tilsynsorgan skal også informere offentligheden eller kræve, at tillidstjenesteudbyderen gør det, hvis det fastslår, at det er i offentlighedens interesse, at et brud på sikkerheden eller tab af integritet offentliggøres.
3. Tilsynsorganet forelægger en gang om året ENISA en sammenfattende rapport om de indberetninger af brud på sikkerheden eller tab af integritet, som det har modtaget fra tillidstjenesteudbyderne.
4. Kommissionen kan ved gennemførelsesretsakter:
| a) | yderligere specificere de i stk. 1 omhandlede foranstaltninger, og |
| b) | vedtage formater og procedurer, herunder tidsfrister, for gennemførelsen af stk. 2. |
Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
AFDELING 3
Kvalificerede tillidstjenesteydelser
Artikel 20
Tilsyn med kvalificerede tillidstjenesteudbydere
1. Kvalificerede tillidstjenesteudbydere skal kontrolleres af et overensstemmelsesvurderingsorgan for egen regning mindst hver 24. måned. Formålet med kontrollen er at bekræfte, at de kvalificerede tillidstjenesteudbydere og de kvalificerede tillidstjenester, som de udbyder, opfylder de krav, der er fastsat i denne forordning. De kvalificerede tillidstjenesteudbydere skal forelægge den resulterende overensstemmelsesvurderingsrapport for tilsynsorganet inden for en periode på tre arbejdsdage efter modtagelsen heraf.
2. Uden at dette berører stk. 1, kan tilsynsorganet til enhver tid foretage kontrol hos eller anmode et overensstemmelsesvurderingsorgan om at udføre en overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere for disses tillidstjenesteudbyderes regning for at bekræfte, at de og deres kvalificerede tillidstjenester opfylder de krav, der er fastsat i denne forordning. Ved mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger skal tilsynsorganet underrette databeskyttelsesmyndighederne om resultaterne af deres kontrolundersøgelser.
3. Kræver tilsynsorganet, at den kvalificerede tillidstjenesteudbyder afhjælper enhver forsømmelse af at opfylde kravene i denne forordning, og hvis tjenesteudbyderen ikke handler i overensstemmelse hermed og eventuelt inden for en af tilsynsorganet fastsat frist, kan tilsynsorganet under særlig hensyntagen til den omtalte mangels omfang, varighed og konsekvenser tilbagetrække den pågældende tjenesteudbyders eller den pågældende tjenestes status som kvalificeret og informere det organ, der er omhandlet i artikel 22, stk. 3, med henblik på at føre positivlisten i artikel 22, stk. 1, ajour. Tilsynsorganet underretter den kvalificerede tillidstjenesteudbyder om tilbagetrækningen af vedkommendes eller af den pågældende kvalificerede tjenestes status som kvalificeret.
4. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på følgende standarder:
| a) | akkreditering af overensstemmelsesvurderingsorganerne og for overensstemmelsesvurderingsrapporten, jf. stk. 1 |
| b) | revisionsregler, i henhold til hvilke overensstemmelsesvurderingsorganer udfører deres overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere, jf. stk. 1. |
Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
whereas