EIDAS 2014/0910 DA

1) »elektronisk identifikation«: det at bruge personidentifikationsdata i elektronisk form, der entydigt repræsenterer enten en fysisk eller juridisk person eller en fysisk person, der repræsenterer en juridisk person

2) »elektronisk identifikationsmiddel«: en materiel og/eller immateriel enhed, der indeholder personidentifikationsdata, og som bruges til autentifikation i forbindelse med en onlinetjeneste

3) »personidentifikationsdata«: et sæt data, der gør det muligt at fastslå identiteten på en fysisk eller juridisk person eller en fysisk person, der repræsenterer en juridisk person

4) »elektronisk identifikationsordning«: et system til elektronisk identifikation, under hvilket der udstedes elektroniske identifikationsmidler til fysiske eller juridiske eller fysiske personer, der repræsenterer juridiske personer

5) »autentifikation«: en elektronisk proces, der muliggør bekræftelse af den elektroniske identifikation af en fysisk eller juridisk person eller oprindelsen og integriteten af data i elektronisk form

6) »modtagerpart«: en fysisk eller juridisk person, der er afhængig af en elektronisk identifikations- eller tillidstjeneste

7) »offentlig myndighed«: en statslig, regional eller lokal myndighed, et offentligretligt organ eller en sammenslutning af en eller flere af disse myndigheder eller et eller flere af disse offentligretlige organer eller en privat enhed med mandat fra mindst en af disse myndigheder, organer eller sammenslutninger til at udbyde offentlige tjenester, når den optræder i henhold til et sådant mandat

8) »offentligretligt organ«: et organ som defineret i artikel 2, stk. 1, nr. 4), i Europa-Parlamentets og Rådets direktiv 2014/24/EU (15)

9) »underskriver«: en fysisk person, der genererer en elektronisk signatur

10) »elektronisk signatur«: data i elektronisk form, der er vedhæftet eller logisk tilknyttet andre data i elektronisk form, og som anvendes af underskriveren til at skrive under med

11) »avanceret elektronisk signatur«: en elektronisk signatur, der opfylder kravene i artikel 26

12) »kvalificeret elektronisk signatur«: en avanceret elektronisk signatur, der er genereret af et kvalificeret elektronisk signaturgenereringssystem og baseret på et kvalificeret certifikat for elektroniske signaturer

13) »elektroniske signaturgenereringsdata«: entydige data, som anvendes af underskriveren til at generere en elektronisk signatur

14) »certifikat for elektronisk signatur«: en elektronisk attestering, som knytter elektroniske signaturvalideringsdata til en fysisk person og mindst bekræfter denne persons navn eller pseudonym

15) »kvalificeret certifikat for elektronisk signatur«: et certifikat for elektroniske signaturer, som er udstedt af en kvalificeret tillidstjenesteudbyder og opfylder kravene i bilag I

16) »tillidstjeneste«: en elektronisk tjeneste, der normalt udføres mod betaling, og som består af:

a)	generering, kontrol og validering af elektroniske signaturer, elektroniske segl eller elektroniske tidsstempler, elektroniske registrerede leveringstjenester og certifikater relateret til disse tjenester, eller

b)	generering, kontrol og validering af certifikater for webstedsautentifikation, eller

c)	bevaring af elektroniske signaturer, segl eller certifikater relateret til disse tjenester

17) »kvalificeret tillidstjeneste«: en tillidstjeneste, der opfylder de krav, der er fastsat i denne forordning

18) »overensstemmelsesvurderingsorgan«: et organ som defineret i artikel 2, nr. 13), i forordning (EF) nr. 765/2008, der er akkrediteret i overensstemmelse med nævnte forordning med kompetence til at udføre overensstemmelsesvurderinger af en kvalificeret tillidstjenesteudbyder og de kvalificerede tillidstjenester, den udbyder

19) »tillidstjenesteudbyder«: en fysisk eller juridisk person, der udbyder en eller flere tillidstjenester, som enten en kvalificeret eller ikkekvalificeret tillidstjenesteudbyder

20) »kvalificeret tillidstjenesteudbyder«: en tillidstjenesteudbyder, der udbyder en eller flere kvalificerede tillidstjenester og har fået tildelt status som kvalificeret tillidstjenesteudbyder af tilsynsorganet

21) »produkt«: hardware eller software eller relevante hardware- eller softwarekomponenter, som er beregnet til at blive brugt til levering af tillidstjenester

22) »elektronisk signaturgenereringssystem«: konfigureret software eller hardware, der bruges til at generere en elektronisk signatur

23) »kvalificeret elektronisk signaturgenereringssystem«: et elektronisk signaturgenereringssystem, der opfylder kravene i bilag II

24) »forseglende part«: en juridisk person, der genererer et elektronisk segl

25) »elektronisk segl«: data i elektronisk form, der er vedhæftet eller logisk tilknyttet andre data i elektronisk form, og som giver sikkerhed for disse tilknyttede datas oprindelse og integritet

26) »avanceret elektronisk segl«: et elektronisk segl, der opfylder kravene fastsat i artikel 36

27) »kvalificeret elektronisk segl«: et avanceret elektronisk segl, der er genereret af et kvalificeret elektronisk seglgenereringssystem, og som er baseret på et kvalificeret certifikat for elektroniske segl

28) »elektroniske seglgenereringsdata«: entydige data, som anvendes af den forseglende part til at generere et elektronisk segl

29) »certifikat for elektronisk segl«: en elektronisk attestering, som knytter elektroniske seglvalideringsdata til en fysisk person og bekræfter denne persons navn

30) »kvalificeret certifikat for elektronisk segl«: et certifikat for et elektronisk segl, som er udstedt af en kvalificeret tillidstjenesteudbyder og opfylder kravene i bilag III

31) »elektronisk seglgenereringssystem«: konfigureret software eller hardware, der bruges til at generere et elektronisk segl

32) »kvalificeret elektronisk seglgenereringssystem«: et elektronisk seglgenereringssystem, der med de fornødne ændringer opfylder kravene i bilag II

33) »elektronisk tidsstempel«: data i elektronisk form, der forbinder andre data i elektronisk form med et bestemt tidspunkt og udgør bevis for, at disse andre data eksisterede på det pågældende tidspunkt

34) »kvalificeret elektronisk tidsstempel«: et elektronisk tidsstempel, der opfylder kravene i artikel 42

35) »elektronisk dokument«: al form for indhold, der er lagret i elektronisk form, især som tekst eller lyd eller i visuel eller audiovisuel form

36) »elektronisk registreret leveringstjeneste«: en tjeneste, der gør det muligt at sende data mellem tredjeparter ad elektronisk vej og dokumenterer behandlingen af de sendte data, herunder leverer bevis for afsendelse og modtagelse af dataene, og som beskytter de sendte data mod tab, tyveri, beskadigelse og uautoriseret ændring

37) »kvalificeret elektronisk registreret leveringstjeneste«: en elektronisk registreret leveringstjeneste, der opfylder kravene i artikel 44

38) »certifikat for webstedsautentifikation«: en attestering, der gør det muligt at autentificere et websted og knytter webstedet til den fysiske eller juridiske person, som certifikatet er udstedt til

39) »kvalificeret certifikat for webstedsautentifikation«: et certifikat for webstedsautentifikation, der er udstedt af en kvalificeret tillidstjenesteudbyder og opfylder kravene i bilag IV

40) »valideringsdata«: data, der bruges til at validere en elektronisk signatur eller et elektronisk segl

41) »validering«: en fremgangsmåde til at kontrollere og bekræfte gyldigheden af en elektronisk signatur eller et elektronisk segl.

Artikel 5

Databehandling og databeskyttelse

1. Behandling af personoplysninger skal udføres i overensstemmelse med direktiv 95/46/EF.

2. Uden at den retsvirkning, der tillægges pseudonymer i henhold til den nationale ret dermed foregribes, må anvendelsen af pseudonymer i elektroniske transaktioner ikke forbydes.

KAPITEL II

ELEKTRONISK IDENTIFIKATION

Artikel 7

Antagelse af anmeldelser af elektroniske identifikationsordninger

En elektronisk identifikationsordning kan anmeldes i henhold til artikel 9, stk. 1, hvis alle nedenstående betingelser er opfyldt:

det elektroniske identifikationsmiddel under den elektroniske identifikationsordning er udstedt:

i)	af den anmeldende medlemsstat

ii)	i henhold til et mandat fra den anmeldende medlemsstat, eller

iii)	uafhængigt af den anmeldende medlemsstat og anerkendt af den pågældende medlemsstat

b)	det elektroniske identifikationsmiddel under den elektroniske identifikationsordning kan bruges til at få adgang til mindst en tjeneste, som udbydes af en offentlig myndighed, og som kræver elektronisk identifikation i den anmeldende medlemsstat

c)	den elektroniske identifikationsordning og de elektroniske identifikationsmidler, der er udstedt i medfør heraf, opfylder kravene i mindst ét af de sikringsniveauer, der er fastsat i den gennemførelsesretsakt, som er omhandlet i artikel 8, stk. 3

den anmeldende medlemsstat sikrer, at de personidentifikationsdata, der entydigt repræsenterer den pågældende person, i overensstemmelse med de tekniske specifikationer, standarderne og procedurerne for det relevante sikringsniveau, der er anført i den gennemførelsesretsakt, som er omhandlet i artikel 8, stk. 3, er knyttet til den i artikel 3, nr. 1), omhandlede fysisk eller juridisk person på tidspunktet for udstedelsen af de elektroniske identifikationsmidler under denne ordning

den part, der udsteder det elektroniske identifikationsmiddel under denne ordning, sikrer, at det elektroniske identifikationsmiddel, der knyttes til den person, der er omhandlet i litra d) i nærværende artikel, er i overensstemmelse med de tekniske specifikationer, standarderne og procedurerne for det relevante sikringsniveau, der er fastsat i den gennemførelsesretsakt, som er omhandlet i artikel 8, stk. 3

den anmeldende medlemsstat sikrer, at der er onlineadgang til autentifikation, så enhver modtagerpart, der er hjemmehørende på en anden medlemsstats område, kan bekræfte de personidentifikationsdata, der er modtaget i elektronisk form.

For modtagerparter, der ikke er offentlige myndigheder, kan den anmeldende medlemsstat fastsætte betingelser for adgang til den pågældende autentifikation. Den grænseoverskridende autentifikation skal foretages gratis, når den gennemføres i forbindelse med en onlinetjeneste, der udbydes af en offentlig myndighed.

Medlemsstaterne må ikke pålægge modtagerparter, som vil gennemføre en sådan autentifikation, urimelige tekniske krav, når sådanne krav forhindrer eller i væsentligt omfang hindrer interoperabilitet mellem de anmeldte elektroniske identifikationsordninger

senest seks måneder forud for anmeldelsen i henhold til artikel 9, stk. 1, fremlægger den anmeldende medlemsstat på baggrund af forpligtelsen i artikel 12, stk. 5, en beskrivelse af ordningen for de andre medlemsstater i overensstemmelse med de proceduremæssige ordninger, der er fastsat ved de i artikel 12, stk. 7, omhandlede gennemførelsesretsakter

h)	den elektroniske identifikationsordning opfylder de krav, der er fastsat i den i artikel 12, stk. 8, omhandlede gennemførelsesretsakt.

Artikel 11

Erstatningsansvar

1. Den anmeldende medlemsstat er erstatningsansvarlig for skader, der forsætligt eller uagtsomt påføres en fysisk eller juridisk person som følge af manglende overholdelse af forpligtelserne i henhold til artikel 7, litra d) og f), i forbindelse med en grænseoverskridende transaktion.

2. Den part, der udsteder det elektroniske identifikationsmiddel, er erstatningsansvarlig for skader, der forsætligt eller uagtsomt påføres en fysisk eller juridisk person som følge af manglende overholdelse af forpligtelsen i henhold til artikel 7, litra e), i forbindelse med en grænseoverskridende transaktion.

3. Den part, der udfører autentifikationsproceduren, er erstatningsansvarlig for skader, der forsætligt eller uagtsomt påføres en fysisk eller juridisk person som følge af manglende sikring af den korrekte udførelse af autentifikationen i henhold til artikel 7, litra f), i forbindelse med en grænseoverskridende transaktion.

4. Stk. 1, 2 og 3 anvendes i overensstemmelse med nationale regler om erstatningsansvar.

5. Stk. 1, 2 og 3 berører ikke det erstatningsansvar, der i henhold til national ret påhviler parterne i en transaktion, hvor der benyttes elektroniske identifikationsmidler, som er omfattet af den elektroniske identifikationsordning, der anmeldes i henhold til artikel 9, stk. 1.

Artikel 12

Samarbejde og interoperabilitet

1. De nationale elektroniske identifikationsordninger, der anmeldes i henhold til artikel 9, stk. 1, skal være interoperable.

2. Med henblik på stk. 1 indføres der en interoperabilitetsramme.

3. Interoperabilitetsrammen skal opfylde følgende kriterier:

a)	den tager sigte på at være teknologineutral og forskelsbehandler ikke mellem specifikke nationale tekniske løsninger til elektronisk identifikation inden for en medlemsstat

b)	den følger europæiske og internationale standarder, når det er muligt

c)	den letter gennemførelsen af princippet om indbygget databeskyttelse (privacy by design), og

d)	den sikrer, at personoplysninger behandles i overensstemmelse med direktiv 95/46/EF.

4. Interoperabilitetsrammen skal omfatte:

a)	en henvisning til tekniske minimumskrav for sikringsniveauerne i artikel 8

b)	en kortlægning af nationale sikringsniveauer for anmeldte elektroniske identifikationsordninger under sikringsniveauerne i artikel 8

c)	en henvisning til tekniske minimumskrav for interoperabilitet

d)	en henvisning til et minimum af personidentifikationsdata, der entydigt repræsenterer en fysisk eller juridisk person, og som stilles til rådighed fra elektroniske identifikationsordninger

e)	forretningsorden

f)	tvistbilæggelsesordninger, og

g)	fælles operationelle sikkerhedsstandarder.

5. Medlemsstaterne skal samarbejde om følgende:

a)	interoperabilitet mellem de elektroniske identifikationsordninger, der er anmeldt i henhold til artikel 9, stk. 1, og de elektroniske identifikationsordninger, som medlemsstaterne har til hensigt at anmelde, og

b)	sikkerheden i de elektroniske identifikationsordninger.

6. Samarbejdet mellem medlemsstaterne omfatter:

a)	udvekslingen af oplysninger, erfaring og god praksis med hensyn til elektroniske identifikationsordninger og navnlig tekniske krav til interoperabilitet og sikringsniveauer

b)	udvekslingen af oplysninger, erfaring og god praksis med hensyn til arbejdet med sikringsniveauer i elektroniske identifikationsordninger i henhold til artikel 8

c)	fagfællebedømmelse (peer review) af elektroniske identifikationsordninger, der henhører under denne forordning, og

d)	undersøgelse af relevante udviklingstendenser i sektoren for elektronisk identifikation.

7. Senest den 18. marts 2015 fastlægger Kommissionen ved hjælp af gennemførelsesretsakter de fornødne proceduremæssige ordninger for at lette samarbejdet mellem medlemsstaterne, jf. stk. 5 og 6, med henblik på at fremme et højt niveau af tillid og sikkerhed, der står i et passende forhold til risikoen.

8. Senest den 18. september 2015 vedtager Kommissionen med forbehold af kriterierne i stk. 3 og under hensyn til resultaterne af samarbejdet mellem medlemsstaterne gennemførelsesretsakter om interoperabilitetsrammen som fastsat i stk. 4 med henblik på at fastsætte ensartede betingelser for gennemførelsen af kravet i stk. 1.

9. De i stk. 7 og 8 i nærværende artikel omhandlede gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

KAPITEL III

TILLIDSTJENESTER

AFDELING 1

Almindelige bestemmelser

Artikel 13

Erstatningsansvar og bevisbyrde

1. Uden at det berører stk. 2 er tillidstjenesteudbydere erstatningsansvarlige for skade, der forsætligt eller uagtsomt påføres en fysisk eller juridisk person som følge af manglende overholdelse af forpligtelserne i denne forordning.

Den fysiske eller juridiske person, der hævder at have lidt skade som omhandlet i første afsnit, bærer bevisbyrden for, at en ikkekvalificeret tillidstjenesteudbyder har handlet forsætligt eller uagtsomt.

En kvalificeret tillidstjenesteudbyder formodes at have handlet forsætligt eller uagtsomt, medmindre den pågældende kvalificerede tillidstjenesteudbyder beviser, at den i første afsnit omhandlede skade opstod uden forsæt eller uagtsomhed fra den pågældende kvalificerede tillidstjenesteudbyders side.

2. Når tillidstjenesteudbydere behørigt forudgående underretter deres kunder om begrænsningerne i forbindelse med anvendelsen af de tjenester, de udbyder, og når disse begrænsninger er identificerbare for tredjeparter, er tillidstjenesteudbydere ikke erstatningsansvarlige for skader, der påføres i forbindelse med anvendelse af tjenester, der går ud over de anførte begrænsninger.

3. Stk. 1 og 2 anvendes i overensstemmelse med nationale regler om erstatningsansvar.

Artikel 14

Internationale aspekter

1. Tillidstjenester der udbydes af tillidstjenesteudbydere, som er hjemmehørende i et tredjeland, anerkendes som retligt ligestillede med kvalificerede tillidstjenester, der udbydes af kvalificerede tillidstjenesteudbydere, der er hjemmehørende i Unionen, hvis de tillidstjenester, der har oprindelse i tredjelandet, anerkendes i henhold til en aftale, som er indgået mellem Unionen og det pågældende tredjeland eller en international organisation i overensstemmelse med artikel 218 i TEUF.

2. Aftaler som omhandlet i stk. 1 skal navnlig sikre, at:

a)	tillidstjenesteudbyderne i det tredjeland eller de internationale organisationer, som aftalen indgås med, og de tillidstjenester, de udbyder, opfylder de krav, der gælder for kvalificerede tillidstjenesteudbydere, som er hjemmehørende i Unionen, og de kvalificerede tillidstjenester, de udbyder

b)	de kvalificerede tillidstjenester, der udbydes af kvalificerede tillidstjenesteudbydere, som er hjemmehørende i Unionen, anerkendes som retligt ligestillede med tillidstjenester, der udbydes af tillidstjenesteudbydere i det tredjeland eller den internationale organisation, som aftalen indgås med.

Artikel 17

Tilsynsorganer

1. Hver medlemsstat udpeger et tilsynsorgan, der er hjemmehørende på dens område, eller, efter gensidig aftale med en anden medlemsstat, et tilsynsorgan, der er hjemmehørende i den pågældende anden medlemsstat. Dette organ er ansvarligt for tilsynsopgaver i den udpegende medlemsstat.

Tilsynsorganerne tillægges de nødvendige beføjelser og tilstrækkelige ressourcer til varetagelsen af deres opgaver.

2. Medlemsstaterne meddeler Kommissionen navn og adresse på de tilsynsorganer, de hver især har udpeget.

3. Tilsynsorganet har følgende rolle:

at føre tilsyn med kvalificerede tillidstjenesteudbydere, der er hjemmehørende på den udpegende medlemsstats område, for ved hjælp af forudgående og efterfølgende tilsynsvirksomhed at sikre, at disse kvalificerede tillidstjenesteudbydere og de kvalificerede tillidstjenester, de udbyder, opfylder kravene i denne forordning

om nødvendigt at gribe ind over for ikkekvalificerede tillidstjenesteudbydere, der er hjemmehørende på den udpegende medlemsstats område ved hjælp af efterfølgende tilsynsvirksomhed, når det underrettes om, at disse ikkekvalificerede tillidstjenesteudbydere eller de tillidstjenester, de udbyder, angiveligt ikke opfylder kravene i denne forordning.

4. Med henblik på stk. 3 og med forbehold af de deri fastsatte begrænsninger omfatter tilsynsorganets opgaver navnlig:

a)	at samarbejde med andre tilsynsorganer og yde dem bistand i overensstemmelse med artikel 18

b)	at analysere de overensstemmelsesvurderingsrapporter, der er omhandlet i artikel 20, stk. 1, og artikel 21, stk. 1

c)	at underrette andre tilsynsorganer og offentligheden om brud på sikkerheden eller tab af integritet i overensstemmelse med artikel 19, stk. 2

d)	at aflægge rapport til Kommissionen om sin primære virksomhed i overensstemmelse med stk. 6 i nærværende artikel

e)	at foretage kontrolundersøgelser eller anmode et overensstemmelsesvurderingsorgan om at udføre en overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere i overensstemmelse med artikel 20, stk. 2

f)	at samarbejde med databeskyttelsesmyndighederne, navnlig ved hurtigst muligt at underrette dem om resultaterne af kontrolundersøgelser af kvalificerede tillidstjenesteudbydere, hvis der er mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger

g)	at tildele kvalificerede tillidstjenesteudbydere og de tjenester, de udbyder, status som kvalificeret og at trække denne status tilbage i overensstemmelse med artikel 20 og 21

h)	at underrette det organ, der er ansvarligt for den nationale positivliste, der er omhandlet i artikel 22, stk. 3, om sine afgørelser om tildeling eller tilbagetrækning af status som kvalificeret, medmindre dette organ også er tilsynsorganet

i)	at kontrollere, at der findes bestemmelser om planer for virksomhedsafbrydelse, og at de anvendes korrekt, i tilfælde hvor den kvalificerede tillidstjenesteudbyder afbryder sin virksomhed, herunder hvordan oplysninger forbliver tilgængelige i overensstemmelse med artikel 24, stk. 2, litra h)

j)	at pålægge tillidstjenesteudbydere at afhjælpe mangler i opfyldelsen af de krav, der er fastsat i denne forordning.

5. Medlemsstaterne kan kræve, at tilsynsorganet opretter, vedligeholder og ajourfører en tillidsinfrastruktur i overensstemmelse med betingelserne i national ret.

6. Senest den 31. marts hvert år forelægger tilsynsorganerne Kommissionen en rapport om det foregående kalenderårs primære tilsynsvirksomhed sammen med en sammenfatning af de indberetninger af brud på sikkerheden, som er modtaget fra tillidstjenesteudbydere i overensstemmelse med artikel 19, stk. 2.

7. Kommissionen gør den i stk. 6 omhandlede årlige rapport tilgængelig for medlemsstaterne.

8. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge formater og procedurer for rapporteringen i medfør af stk. 6. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 18

Gensidig bistand

1. Tilsynsorganerne skal samarbejde med henblik på at udveksle god praksis.

Et tilsynsorgan skal efter modtagelsen af en begrundet anmodning fra et andet tilsynsorgan yde det pågældende organ bistand, således at tilsynsorganernes arbejde kan udføres på en ensartet måde. Den gensidige bistand kan navnlig omfatte anmodninger om oplysninger og tilsynsforanstaltninger, f.eks. anmodninger om at foretage inspektioner i forbindelse med de overensstemmelsesvurderingsrapporter, der er omhandlet i artikel 20 og 21.

2. Et tilsynsorgan, der modtager en anmodning om bistand, kan afvise denne anmodning med en af følgende begrundelser:

a)	tilsynsorganet er ikke kompetent til at yde den bistand, der anmodes om

b)	anmodningen om bistand står ikke i rimeligt forhold til tilsynsorganets tilsynsvirksomhed udført i overensstemmelse med artikel 17

c)	det ville være uforeneligt med denne forordning at yde den bistand, der anmodes om.

3. Når det er hensigtsmæssigt, kan medlemsstaterne tillade, at deres respektive tilsynsorganer i fællesskab gennemfører undersøgelser, hvor personale fra andre medlemsstaters tilsynsorganer deltager. Reglerne for og fremgangsmåden ved sådanne fælles aktioner skal aftales og fastlægges af de berørte medlemsstater i overensstemmelse med deres nationale ret.

Artikel 20

Tilsyn med kvalificerede tillidstjenesteudbydere

1. Kvalificerede tillidstjenesteudbydere skal kontrolleres af et overensstemmelsesvurderingsorgan for egen regning mindst hver 24. måned. Formålet med kontrollen er at bekræfte, at de kvalificerede tillidstjenesteudbydere og de kvalificerede tillidstjenester, som de udbyder, opfylder de krav, der er fastsat i denne forordning. De kvalificerede tillidstjenesteudbydere skal forelægge den resulterende overensstemmelsesvurderingsrapport for tilsynsorganet inden for en periode på tre arbejdsdage efter modtagelsen heraf.

2. Uden at dette berører stk. 1, kan tilsynsorganet til enhver tid foretage kontrol hos eller anmode et overensstemmelsesvurderingsorgan om at udføre en overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere for disses tillidstjenesteudbyderes regning for at bekræfte, at de og deres kvalificerede tillidstjenester opfylder de krav, der er fastsat i denne forordning. Ved mistanke om overtrædelse af reglerne om beskyttelse af personoplysninger skal tilsynsorganet underrette databeskyttelsesmyndighederne om resultaterne af deres kontrolundersøgelser.

3. Kræver tilsynsorganet, at den kvalificerede tillidstjenesteudbyder afhjælper enhver forsømmelse af at opfylde kravene i denne forordning, og hvis tjenesteudbyderen ikke handler i overensstemmelse hermed og eventuelt inden for en af tilsynsorganet fastsat frist, kan tilsynsorganet under særlig hensyntagen til den omtalte mangels omfang, varighed og konsekvenser tilbagetrække den pågældende tjenesteudbyders eller den pågældende tjenestes status som kvalificeret og informere det organ, der er omhandlet i artikel 22, stk. 3, med henblik på at føre positivlisten i artikel 22, stk. 1, ajour. Tilsynsorganet underretter den kvalificerede tillidstjenesteudbyder om tilbagetrækningen af vedkommendes eller af den pågældende kvalificerede tjenestes status som kvalificeret.

4. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på følgende standarder:

a)	akkreditering af overensstemmelsesvurderingsorganerne og for overensstemmelsesvurderingsrapporten, jf. stk. 1

b)	revisionsregler, i henhold til hvilke overensstemmelsesvurderingsorganer udfører deres overensstemmelsesvurdering af de kvalificerede tillidstjenesteudbydere, jf. stk. 1.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 21

Iværksættelse af en kvalificeret tillidstjeneste

1. Ønsker en tillidstjenesteudbyder, der ikke har status som kvalificeret, at udbyde kvalificerede tillidstjenester, skal tjenesteudbyderen anmelde sin hensigt til tilsynsorganet og indsende en overensstemmelsesvurderingsrapport udstedt af et overensstemmelsesvurderingsorgan.

2. Tilsynsorganet kontrollerer, om tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, opfylder de i denne forordning fastsatte krav, og navnlig kravene til kvalificerede tillidstjenesteudbydere og disses kvalificerede tillidstjenester.

Konkluderer tilsynsorganet, at tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, overholder de i første afsnit omhandlede krav, tildeler tilsynsorganet tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, status som kvalificeret og underretter senest tre måneder efter anmeldelsen, jf. stk. 1 i nærværende artikel, det organ, der er omhandlet i artikel 22, stk. 3, med henblik på at føre positivlisterne i artikel 22, stk. 1, ajour.

Er kontrollen ikke afsluttet inden tre måneder efter anmeldelsen, underretter tilsynsorganet tillidstjenesteudbyderen herom og forklarer årsagerne til forsinkelsen samt oplyser, hvornår kontrollen skal være afsluttet.

3. Kvalificerede tillidstjenesteudbydere kan begynde at udbyde den kvalificerede tillidstjeneste, når den kvalificerede status er indført på de i artikel 22, stk. 1, omhandlede positivlister.

4. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge formater og procedurer med henblik på stk. 1 og 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 24

Krav til kvalificerede tillidstjenesteudbydere

1. Når en kvalificeret tillidstjenesteudbyder udsteder et kvalificeret certifikat for en tillidstjeneste, skal vedkommende med hensigtsmæssige midler og i overensstemmelse med national ret kontrollere identiteten og eventuelt særlige kendetegn ved den fysiske eller juridiske person, som det kvalificerede certifikat udstedes til.

Oplysningerne i første afsnit kontrolleres af den kvalificerede tillidstjenesteudbyder enten direkte eller via en tredjemand i overensstemmelse med national ret:

a)	ved fysisk tilstedeværelse af den fysiske person eller den bemyndigede repræsentant for den juridiske person, eller

uden fysisk tilstedeværelse ved hjælp af elektroniske identifikationsmidler, hvortil der forud for udstedelsen af et kvalificeret certifikat var sikret en fysisk tilstedeværelse af den fysiske person eller af en bemyndiget repræsentant for den juridiske person, og som lever op til kravene i artikel 8 med hensyn til sikringsniveauet »betydelig« eller »høj«, eller

c)	ved hjælp af et certifikat af en kvalificeret elektronisk signatur eller af et kvalificeret elektronisk segl udstedt i overensstemmelse med litra a) eller b), eller

d)	ved hjælp af andre identifikationsmetoder anerkendt på nationalt plan, som giver en sikkerhed, der for så vidt angår pålidelighed svarer til fysisk tilstedeværelse. Den tilsvarende sikkerhed skal bekræftes af et overensstemmelsesvurderingsorgan.

2. En kvalificeret tillidstjenesteudbyder, der udbyder kvalificerede tillidstjenester, skal:

a)	informere tilsynsorganet om ændringer i udbuddet af dennes kvalificerede tillidstjenester og om dennes hensigt om at ophøre med denne virksomhed

beskæftige personale, og eventuelt underleverandører, der har den nødvendige ekspertviden og troværdighed og de nødvendige erfaringer, og kvalifikationer, og som har fået tilstrækkelig uddannelse i reglerne for sikkerhed og beskyttelse af personoplysninger og skal anvende administrative og ledelsesmæssige procedurer i overensstemmelse med europæiske eller internationale standarder

c)	i forbindelse med erstatningsansvaret for skader, have tilstrækkelige økonomiske ressourcer til rådighed, jf. artikel 13, og/eller anskaffe en passende ansvarsforsikring i overensstemmelse med national ret

d)	på en klar og let forståelig måde underrette de personer, der ønsker at gøre brug af en kvalificeret tillidstjeneste, om de nøjagtige vilkår for brugen af denne tjeneste, herunder eventuelle begrænsninger i brugen heraf, inden de indgår i et kontraktforhold

e)	anvende pålidelige systemer og produkter, som er beskyttet mod ændringer, og sikre den tekniske sikkerhed og pålidelighed i de processer, som disse systemer og produkter understøtter

benytte pålidelige systemer til opbevaring af de data, den kvalificerede tillidstjenesteudbyder modtager, i kontrollerbar form, således at

i)	de kun er offentligt tilgængelige i de tilfælde, hvor den person, som dataene vedrører, har givet sit samtykke

ii)	kun bemyndigede personer kan foretage tilføjelser til og ændringer af de opbevarede data

iii)	dataenes ægthed kan kontrolleres

g)	træffe passende foranstaltninger imod forfalskning og tyveri af data

i en rimelig periode registrere alle relevante oplysninger om de data, den kvalificerede tillidstjenesteudbyder har udstedt og modtaget, og sørge for, at de er tilgængelige, herunder efter at den kvalificerede tillidstjenesteudbyder har indstillet sin virksomhed, navnlig for at kunne fremlægge bevis i retssager og for at garantere tjenestens kontinuitet. Denne registrering kan ske elektronisk

i)	have en ajourført plan i tilfælde af virksomhedsafbrydelse for at sikre tjenestens kontinuitet i overensstemmelse med de bestemmelser, som tilsynsorganer kontrollerer i medfør af artikel 17, stk. 4, litra i)

j)	sikre, at personoplysninger behandles lovligt i overensstemmelse med direktiv 95/46/EF

k)	oprette og ajourføre en certifikatdatabase, når den kvalificerede tillidstjenesteudbyder udsteder kvalificerede certifikater.

3. Vælger en kvalificeret tillidstjenesteudbyder, der udsteder kvalificerede certifikater, at spærre et certifikat, skal denne registrere en sådan spærring i sin certifikatdatabase og offentliggøre spærringen af certifikatet i god tid, og under alle omstændigheder inden for 24 timer efter modtagelsen af anmodningen. Spærringen træder i kraft straks efter offentliggørelsen.

4. Med hensyn til stk. 3 skal kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede certifikater, stille oplysninger om certifikaternes gyldighed eller spærring til rådighed for alle modtagerparter. Disse oplysninger skal som minimum for et certifikat ad gangen være automatisk og gratis tilgængelige til enhver tid og ud over gyldighedsperioden på pålidelig og effektiv vis.

5. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for pålidelige systemer og produkter, som opfylder kravene i stk. 2, litra e) og f), i nærværende artikel. Pålidelige systemer og produkter, der opfylder disse standarder, formodes at overholde kravene i nærværende artikel. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

AFDELING 4

Elektroniske signaturer

Artikel 30

Certificering af kvalificerede elektroniske signaturgenereringssystemer

1. Egnede offentlige eller private organer, der udpeges af medlemsstaterne, skal certificere overensstemmelsen mellem de kvalificerede elektroniske signaturgenereringssystemer og de i bilag II fastsatte krav.

2. Medlemsstaterne meddeler Kommissionen navn og adresse på de i stk. 1 omhandlede offentlige eller private organer. Kommissionen stiller disse oplysninger til rådighed for medlemsstaterne.

3. Certificeringen i stk. 1 baseres på en af følgende processer:

a)	en sikkerhedsevalueringsproces, som gennemføres i overensstemmelse med en af de standarder for sikkerhedsvurdering af informationsteknologiprodukter, der er opført på den liste, der er udarbejdet i overensstemmelse med andet afsnit, eller

en anden proces end den i litra a) omhandlede, såfremt den anvender sammenlignelige sikkerhedsniveauer og såfremt det i stk. 1 omhandlede offentlige eller private organ meddeler denne proces til Kommissionen. Den pågældende proces kan kun anvendes, hvis de standarder, der er omhandlet i litra a), ikke findes, eller hvis en sikkerhedsevalueringsproces som omhandlet i litra a) ikke er afsluttet.

Kommissionen udarbejder ved hjælp af gennemførelsesretsakter en liste over standarder for sikkerhedsvurderingen af de informationsteknologiprodukter, der er omhandlet i litra a). Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

4. Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 47 vedrørende fastsættelsen af de særlige kriterier, som de i stk. 1 i nærværende artikel omhandlede udpegede organer skal opfylde.

Artikel 32

Krav til validering af kvalificerede elektroniske signaturer

1. Processen for validering af en kvalificeret elektronisk signatur skal bekræfte gyldigheden af en kvalificeret elektronisk signatur, såfremt:

a)	det certifikat, der støtter signaturen, på underskriftstidspunktet var et kvalificeret certifikat for elektronisk signatur, der var i overensstemmelse bilag I

b)	det kvalificerede certifikat var udstedt af en kvalificeret tillidstjenesteudbyder og var gyldigt på underskriftstidspunktet

c)	signaturvalideringsdataene stemmer overens med de data, der leveres til modtagerparten

d)	det entydige sæt data, der repræsenterer underskriveren i certifikatet, leveres korrekt til modtagerparten

e)	en eventuel anvendelse af et pseudonym fremgår klart for modtagerparten, såfremt der på underskriftstidspunktet blev anvendt et pseudonym

f)	den elektroniske signatur er genereret af et kvalificeret elektronisk signaturgenereringssystem

g)	de underskrevne datas integritet ikke er bragt i fare

h)	kravene i artikel 26 var opfyldt på underskriftstidspunktet.

2. Det system, der anvendes til validering af den kvalificerede elektroniske signatur, skal levere det korrekte resultat af valideringsprocessen til modtagerparten og gøre det muligt for vedkommende at opdage eventuelle sikkerhedsproblemer.

3. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for validering af kvalificerede elektroniske signaturer. En validering af kvalificerede elektroniske signaturer, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 33

Kvalificeret valideringstjeneste for kvalificerede elektroniske signaturer

1. En kvalificeret valideringstjeneste for kvalificerede elektroniske signaturer må kun stilles til rådighed af en kvalificeret tillidstjenesteudbyder, der

a)	udfører validering i overensstemmelse med artikel 32, stk. 1, og

b)	gør det muligt for modtagerparter automatisk at modtage resultatet af valideringsprocessen på pålidelig og effektiv vis, hvor resultatet er forsynet med valideringstjenesteudbyderens avancerede elektroniske signatur eller avancerede elektroniske segl.

2. Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for kvalificerede valideringstjenester, jf. stk. 1. En valideringstjeneste for en kvalificeret elektronisk signatur, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 51

Overgangsforanstaltninger

1. Sikre signaturgenereringssystemer, for hvilke det er fastslået, at de opfylder kravene i artikel 3, stk. 4, i direktiv 1999/93/EF, anses for kvalificerede elektroniske signaturgenereringssystemer i henhold til nærværende forordning.

2. Kvalificerede certifikater, der er udstedt til fysiske personer i henhold til direktiv 1999/93/EF, anses for kvalificerede certifikater for elektroniske signaturer i henhold til nærværende forordning, indtil de udløber.

3. En certificeringstjenesteudbyder, der udsteder kvalificerede certifikater i henhold til direktiv 1999/93/EF, forelægger en overensstemmelsesvurderingsrapport for tilsynsorganet så hurtigt som muligt dog senest den 1. juli 2017. Indtil forelæggelsen af en sådan overensstemmelsesvurderingsrapport og tilsynsorganets gennemførelse af sin vurdering betragtes den pågældende certificeringstjenesteudbyder som en kvalificeret tillidstjenesteudbyder i henhold til nærværende forordning.

4. Forelægger en certificeringstjenesteudbyder, der udsteder kvalificerede certifikater i henhold til direktiv 1999/93/EF ikke en overensstemmelsesvurderingsrapport for tilsynsorganet inden for den i stk. 3 omhandlede frist, betragtes den pågældende certificeringstjenesteudbyder ikke som en kvalificeret tillidstjenesteudbyder i henhold til denne forordning fra den 2. juli 2017.

whereas

(15) Pligten til at anerkende elektroniske identifikationsmidler bør kun vedrøre de midler, hvis identitetssikringsniveau svarer til eller er højere end det niveau, der kræves for den pågældende onlinetjeneste.
Desuden bør pligten kun gælde, når den pågældende offentlige myndighed anvender sikringsniveauet »betydelig« eller »høj« i forbindelse med adgang til den pågældende onlinetjeneste.
Medlemsstaterne bør i overensstemmelse med EU-retten frit kunne anerkende elektroniske identifikationsmidler, der har lavere identitetssikringsniveauer.

- = -

(18) Denne forordning bør fastsætte det erstatningsansvar, der påhviler den anmeldende medlemsstat, den part, der udsteder det elektroniske identifikationsmiddel, og den part, der udfører autentifikationsproceduren, hvis de ikke opfylder de relevante forpligtelser i henhold til denne forordning.
Denne forordning bør imidlertid anvendes i overensstemmelse med nationale regler om erstatningsansvar.
Derfor berører den ikke de nationale regler, der handler om f.eks.
definition af skadeserstatning eller relevante gældende procedureregler, herunder bevisbyrden.

- = -

(24) Medlemsstaterne kan i overensstemmelse med EU-retten opretholde eller indføre nationale bestemmelser vedrørende tillidstjenester, for så vidt disse tjenester ikke er fuldt harmoniseret ved denne forordning.
Der er dog fri bevægelighed på det indre marked for tillidstjenester, der overholder bestemmelserne i denne forordning.

- = -

(29) I overensstemmelse med forpligtelserne i De Forenede Nationers konvention om handicappedes rettigheder, der blev godkendt ved Rådets afgørelse 2010/48/EF (8), særlig artikel 9 i konventionen, bør handicappede have mulighed for at benytte tillidstjenester og slutbrugerprodukter, der bruges til levering af disse tjenester, på lige fod med andre forbrugere.
Derfor bør tillidstjenester og slutbrugerprodukter, der bruges til levering af disse tjenester, så vidt muligt være tilgængelige for handicappede.
Gennemførlighedsvurderingen bør bl.a.
omfatte tekniske og økonomiske hensyn.

- = -

(37) Denne forordning bør fastsætte alle tillidstjenesteudbyderes erstatningsansvar.
Den indfører navnlig en erstatningsansvarsordning, hvorefter alle tillidstjenesteudbydere bør være erstatningsansvarlige for skader forvoldt mod en fysisk eller juridisk person på grund af manglende opfyldelse af denne forordnings forpligtelser.
For at lette vurderingen af de økonomiske risici, som tillidstjenesteudbydere måske skal bære, eller som de bør forsikre sig imod, giver denne forordning tillidstjenesteudbydere mulighed for på visse betingelser at fastsætte begrænsninger i brugen af de tjenester, som de udbyder, og for at fralægge sig erstatningsansvaret for skader som følge af en brug af tjenesterne, der går videre end disse begrænsninger.
Kunderne bør underrettes behørigt om begrænsningerne på forhånd.
Disse begrænsninger bør være klare for en tredjepart, f.eks.
ved oplysninger om begrænsningerne i vilkårene for den ydede tjeneste eller på andre tydelige måder.
Med henblik på at gennemføre disse principper bør denne forordning anvendes i overensstemmelse med de nationale bestemmelser om erstatningsansvar.
Denne forordning berører derfor ikke disse nationale bestemmelser om f.eks.
definition af skadeserstatning, forsæt, uagtsomhed eller relevante gældende procedurebestemmelser.

- = -

(43) For at sikre, at kvalificerede tillidstjenesteudbydere og de tjenester, de udbyder, opfylder kravene i denne forordning, bør et overensstemmelsesvurderingsorgan foretage en overensstemmelsesvurdering, og de kvalificerede tillidstjenesteudbydere bør forelægge tilsynsorganet de overensstemmelsesvurderingsrapporter, der herefter udarbejdes.
Når tilsynsorganet kræver, at en kvalificeret tillidstjenesteudbyder forelægger en ad hoc-overensstemmelsesvurderingsrapport, bør tilsynsorganet især overholde princippet om god forvaltningspraksis, herunder pligten til at begrunde sine beslutninger, og proportionalitetsprincippet.
Derfor bør tilsynsorganet behørigt begrunde sin beslutning om at kræve en ad hoc-overensstemmelsesvurdering.

- = -

(44) Denne forordning har til formål at sikre en sammenhængende ramme med henblik på at opnå et højt sikkerheds- og retssikkerhedsniveau i tillidstjenester.
Når Kommissionen behandler overensstemmelsesvurderingen af produkter og tjenester, bør den derfor, når det er hensigtsmæssigt, søge synergier med gældende relevante europæiske og internationale ordninger såsom Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 (9), som fastlægger kravene til akkreditering af overensstemmelsesvurderingsorganer og markedsovervågning af produkter.

- = -

(62) Med henblik på at garantere kvalificerede elektroniske tidsstemplers sikkerhed bør denne forordning kræve, at der anvendes et avanceret elektronisk segl eller en avanceret elektronisk signatur eller andre tilsvarende metoder.
Det kan forventes, at innovation kan føre til nye teknologier, som kan sikre et tilsvarende sikkerhedsniveau for tidsstempler.
Når der anvendes en anden metode end avancerede elektroniske segl eller avancerede elektroniske signaturer, bør det påhvile den kvalificerede tillidstjenesteudbyder i overensstemmelsesvurderingsrapporten at godtgøre, at denne metode giver et tilsvarende sikkerhedsniveau og opfylder forpligtelserne i denne forordning.

- = -

(67) Webstedsautentifikationstjenester giver besøgende på et websted sikkerhed for, at der står en ægte og legitim enhed bag webstedet.
Disse tjenester bidrager til at opbygge tilliden i forbindelse med onlineforretninger, da brugerne vil have tillid til et websted, som er autentificeret.
Ydelse og brug af webstedsautentifikationstjenester er helt frivillig.
For at webstedsautentifikation kan blive et middel til at fremme tilliden ved at give brugerne en bedre oplevelse og stimulere vækst på det indre marked bør denne forordning dog fastlægge minimumsforpligtelser for tjenesteudbyderne og deres tjenester med hensyn til sikkerhed og erstatningsansvar.
Med henblik herpå er der taget hensyn til resultaterne af igangværende industriledede initiativer, f.eks.
Certification Authorities/Browser Forum — CA/Browser Forum.
Desuden bør denne forordning ikke hindre brugen af andre midler eller metoder til autentifikation af et websted, der ikke er omfattet af denne forordning, og bør heller ikke forhindre ydere af webstedsautentifikationstjenester i tredjelande i at yde deres tjenester til kunder i Unionen.
En tjenesteudbyder i et tredjeland bør dog kun kunne få sine webstedsautentifikationstjenester anerkendt som kvalificerede i overensstemmelse med denne forordning, hvis der er indgået en international aftale mellem Unionen og det land, hvor tjenesteudbyderen er hjemmehørende.

- = -

(70) For at supplere visse detaljerede tekniske aspekter af denne forordning på fleksibel og hurtig vis, bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i TEUF, for så vidt angår de kriterier, som de organer, der er ansvarlige for certificering af kvalificerede elektroniske signaturgenereringssystemer, skal opfylde.
Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau.
Kommissionen bør i forbindelse med forberedelsen og udarbejdelsen af delegerede retsakter sørge for samtidig, rettidig og hensigtsmæssig fremsendelse af relevante dokumenter til Europa-Parlamentet og Rådet.

- = -

(71) For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser, navnlig beføjelse til at opstille referencenumre på standarder, hvis anvendelse ville skabe formodning om overensstemmelse med bestemte krav, der er fastlagt i denne forordning.
Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (12).

- = -

(74) Af hensyn til retssikkerheden for de markedsoperatører, der allerede benytter kvalificerede certifikater, som er udstedt til fysiske personer i overensstemmelse med direktiv 1999/93/EF, er det nødvendigt at foreskrive en tilstrækkelig overgangsperiode.
På samme måde bør der fastlægges overgangsforanstaltninger for sikre signaturgenereringssystemer, hvis opfyldelse af kravene er fastslået i overensstemmelse med direktiv 1999/93/EF, og for certificeringstjenesteudbydere, der udsteder kvalificerede certifikater inden den 1.
juli 2016.
Endelig er det også nødvendigt at give Kommissionen beføjelser til at vedtage gennemførelsesretsakter og delegerede retsakter før udløbet af overgangsperioden.

- = -

(76) Målene for denne forordning kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af foranstaltningens omfang bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf.
artikel 5 i traktaten om Den Europæiske Union.
I overensstemmelse med proportionalitetsprincippet, jf.
nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå disse mål.

- = -

(77) Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 28, stk. 2, i Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (13) og har afgivet en udtalelse den 27.
september 2012 (14) —

- = -

keyboard_tab EIDAS 2014/0910 DA

EIDAS 2014/0910 DA