keyboard_tab EIDAS 2014/0910 DA

whereas rådighed:

• whereas (17) 2

definitions:

Artikel 12

Samarbejde og interoperabilitet

1.   De nationale elektroniske identifikationsordninger, der anmeldes i henhold til artikel 9, stk. 1, skal være interoperable.

2.   Med henblik på stk. 1 indføres der en interoperabilitetsramme.

3.   Interoperabilitetsrammen skal opfylde følgende kriterier:

a)	den tager sigte på at være teknologineutral og forskelsbehandler ikke mellem specifikke nationale tekniske løsninger til elektronisk identifikation inden for en medlemsstat

b)	den følger europæiske og internationale standarder, når det er muligt

c)	den letter gennemførelsen af princippet om indbygget databeskyttelse (privacy by design), og

d)	den sikrer, at personoplysninger behandles i overensstemmelse med direktiv 95/46/EF.

4.   Interoperabilitetsrammen skal omfatte:

a)	en henvisning til tekniske minimumskrav for sikringsniveauerne i artikel 8

b)	en kortlægning af nationale sikringsniveauer for anmeldte elektroniske identifikationsordninger under sikringsniveauerne i artikel 8

c)	en henvisning til tekniske minimumskrav for interoperabilitet

d)	en henvisning til et minimum af personidentifikationsdata, der entydigt repræsenterer en fysisk eller juridisk person, og som stilles til rådighed fra elektroniske identifikationsordninger

e)	forretningsorden

f)	tvistbilæggelsesordninger, og

g)	fælles operationelle sikkerhedsstandarder.

5.   Medlemsstaterne skal samarbejde om følgende:

a)	interoperabilitet mellem de elektroniske identifikationsordninger, der er anmeldt i henhold til artikel 9, stk. 1, og de elektroniske identifikationsordninger, som medlemsstaterne har til hensigt at anmelde, og

b)	sikkerheden i de elektroniske identifikationsordninger.

6.   Samarbejdet mellem medlemsstaterne omfatter:

a)	udvekslingen af oplysninger, erfaring og god praksis med hensyn til elektroniske identifikationsordninger og navnlig tekniske krav til interoperabilitet og sikringsniveauer

b)	udvekslingen af oplysninger, erfaring og god praksis med hensyn til arbejdet med sikringsniveauer i elektroniske identifikationsordninger i henhold til artikel 8

c)	fagfællebedømmelse (peer review) af elektroniske identifikationsordninger, der henhører under denne forordning, og

d)	undersøgelse af relevante udviklingstendenser i sektoren for elektronisk identifikation.

7.   Senest den 18. marts 2015 fastlægger Kommissionen ved hjælp af gennemførelsesretsakter de fornødne proceduremæssige ordninger for at lette samarbejdet mellem medlemsstaterne, jf. stk. 5 og 6, med henblik på at fremme et højt niveau af tillid og sikkerhed, der står i et passende forhold til risikoen.

8.   Senest den 18. september 2015 vedtager Kommissionen med forbehold af kriterierne i stk. 3 og under hensyn til resultaterne af samarbejdet mellem medlemsstaterne gennemførelsesretsakter om interoperabilitetsrammen som fastsat i stk. 4 med henblik på at fastsætte ensartede betingelser for gennemførelsen af kravet i stk. 1.

9.   De i stk. 7 og 8 i nærværende artikel omhandlede gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

KAPITEL III

TILLIDSTJENESTER

AFDELING 1

Almindelige bestemmelser

Artikel 22

Positivlister

1.   Hver medlemsstat opretter, ajourfører og offentliggør positivlister herunder oplysninger om de kvalificerede tillidstjenesteudbydere, som den har ansvaret for, samt oplysninger om deres kvalificerede tillidstjenester.

2.   Medlemsstaterne opretter, ajourfører og offentliggør under sikre forhold de elektronisk underskrevne eller forseglede positivlister, jf. stk. 1, i en form, der egner sig til automatiseret behandling.

3.   Medlemsstaterne meddeler hurtigst muligt Kommissionen, hvilket organ der er ansvarligt for at oprette, ajourføre og offentliggøre de nationale positivlister, og hvor disse lister offentliggøres, og sender Kommissionen de certifikater, der er anvendt til underskrift eller forsegling af positivlisterne, og eventuelle ændringer heraf.

4.   Kommissionen stiller de oplysninger, der er omhandlet i stk. 3, til rådighed for offentligheden via en sikker kommunikationsforbindelse og i en elektronisk underskrevet eller forseglet form, der egner sig til automatiseret behandling.

5.   Senest den 18. september 2015 præciserer Kommissionen ved hjælp af gennemførelsesretsakter de oplysninger, der er anført i stk. 1, og fastlægger tekniske specifikationer og formater for positivlister med henblik på gennemførelsen af stk. 1-4. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 24

Krav til kvalificerede tillidstjenesteudbydere

1.   Når en kvalificeret tillidstjenesteudbyder udsteder et kvalificeret certifikat for en tillidstjeneste, skal vedkommende med hensigtsmæssige midler og i overensstemmelse med national ret kontrollere identiteten og eventuelt særlige kendetegn ved den fysiske eller juridiske person, som det kvalificerede certifikat udstedes til.

Oplysningerne i første afsnit kontrolleres af den kvalificerede tillidstjenesteudbyder enten direkte eller via en tredjemand i overensstemmelse med national ret:

a)	ved fysisk tilstedeværelse af den fysiske person eller den bemyndigede repræsentant for den juridiske person, eller

b)

uden fysisk tilstedeværelse ved hjælp af elektroniske identifikationsmidler, hvortil der forud for udstedelsen af et kvalificeret certifikat var sikret en fysisk tilstedeværelse af den fysiske person eller af en bemyndiget repræsentant for den juridiske person, og som lever op til kravene i artikel 8 med hensyn til sikringsniveauet »betydelig« eller »høj«, eller

c)	ved hjælp af et certifikat af en kvalificeret elektronisk signatur eller af et kvalificeret elektronisk segl udstedt i overensstemmelse med litra a) eller b), eller

d)	ved hjælp af andre identifikationsmetoder anerkendt på nationalt plan, som giver en sikkerhed, der for så vidt angår pålidelighed svarer til fysisk tilstedeværelse. Den tilsvarende sikkerhed skal bekræftes af et overensstemmelsesvurderingsorgan.

2.   En kvalificeret tillidstjenesteudbyder, der udbyder kvalificerede tillidstjenester, skal:

a)	informere tilsynsorganet om ændringer i udbuddet af dennes kvalificerede tillidstjenester og om dennes hensigt om at ophøre med denne virksomhed

b)

beskæftige personale, og eventuelt underleverandører, der har den nødvendige ekspertviden og troværdighed og de nødvendige erfaringer, og kvalifikationer, og som har fået tilstrækkelig uddannelse i reglerne for sikkerhed og beskyttelse af personoplysninger og skal anvende administrative og ledelsesmæssige procedurer i overensstemmelse med europæiske eller internationale standarder

c)	i forbindelse med erstatningsansvaret for skader, have tilstrækkelige økonomiske ressourcer til rådighed, jf. artikel 13, og/eller anskaffe en passende ansvarsforsikring i overensstemmelse med national ret

d)	på en klar og let forståelig måde underrette de personer, der ønsker at gøre brug af en kvalificeret tillidstjeneste, om de nøjagtige vilkår for brugen af denne tjeneste, herunder eventuelle begrænsninger i brugen heraf, inden de indgår i et kontraktforhold

e)	anvende pålidelige systemer og produkter, som er beskyttet mod ændringer, og sikre den tekniske sikkerhed og pålidelighed i de processer, som disse systemer og produkter understøtter

f)

benytte pålidelige systemer til opbevaring af de data, den kvalificerede tillidstjenesteudbyder modtager, i kontrollerbar form, således at i) de kun er offentligt tilgængelige i de tilfælde, hvor den person, som dataene vedrører, har givet sit samtykke ii) kun bemyndigede personer kan foretage tilføjelser til og ændringer af de opbevarede data iii) dataenes ægthed kan kontrolleres

g)	træffe passende foranstaltninger imod forfalskning og tyveri af data

h)

i en rimelig periode registrere alle relevante oplysninger om de data, den kvalificerede tillidstjenesteudbyder har udstedt og modtaget, og sørge for, at de er tilgængelige, herunder efter at den kvalificerede tillidstjenesteudbyder har indstillet sin virksomhed, navnlig for at kunne fremlægge bevis i retssager og for at garantere tjenestens kontinuitet. Denne registrering kan ske elektronisk

i)	have en ajourført plan i tilfælde af virksomhedsafbrydelse for at sikre tjenestens kontinuitet i overensstemmelse med de bestemmelser, som tilsynsorganer kontrollerer i medfør af artikel 17, stk. 4, litra i)

j)	sikre, at personoplysninger behandles lovligt i overensstemmelse med direktiv 95/46/EF

k)	oprette og ajourføre en certifikatdatabase, når den kvalificerede tillidstjenesteudbyder udsteder kvalificerede certifikater.

3.   Vælger en kvalificeret tillidstjenesteudbyder, der udsteder kvalificerede certifikater, at spærre et certifikat, skal denne registrere en sådan spærring i sin certifikatdatabase og offentliggøre spærringen af certifikatet i god tid, og under alle omstændigheder inden for 24 timer efter modtagelsen af anmodningen. Spærringen træder i kraft straks efter offentliggørelsen.

4.   Med hensyn til stk. 3 skal kvalificerede tillidstjenesteudbydere, der udsteder kvalificerede certifikater, stille oplysninger om certifikaternes gyldighed eller spærring til rådighed for alle modtagerparter. Disse oplysninger skal som minimum for et certifikat ad gangen være automatisk og gratis tilgængelige til enhver tid og ud over gyldighedsperioden på pålidelig og effektiv vis.

5.   Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for pålidelige systemer og produkter, som opfylder kravene i stk. 2, litra e) og f), i nærværende artikel. Pålidelige systemer og produkter, der opfylder disse standarder, formodes at overholde kravene i nærværende artikel. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

AFDELING 4

Elektroniske signaturer

Artikel 30

Certificering af kvalificerede elektroniske signaturgenereringssystemer

1.   Egnede offentlige eller private organer, der udpeges af medlemsstaterne, skal certificere overensstemmelsen mellem de kvalificerede elektroniske signaturgenereringssystemer og de i bilag II fastsatte krav.

2.   Medlemsstaterne meddeler Kommissionen navn og adresse på de i stk. 1 omhandlede offentlige eller private organer. Kommissionen stiller disse oplysninger til rådighed for medlemsstaterne.

3.   Certificeringen i stk. 1 baseres på en af følgende processer:

a)	en sikkerhedsevalueringsproces, som gennemføres i overensstemmelse med en af de standarder for sikkerhedsvurdering af informationsteknologiprodukter, der er opført på den liste, der er udarbejdet i overensstemmelse med andet afsnit, eller

b)

en anden proces end den i litra a) omhandlede, såfremt den anvender sammenlignelige sikkerhedsniveauer og såfremt det i stk. 1 omhandlede offentlige eller private organ meddeler denne proces til Kommissionen. Den pågældende proces kan kun anvendes, hvis de standarder, der er omhandlet i litra a), ikke findes, eller hvis en sikkerhedsevalueringsproces som omhandlet i litra a) ikke er afsluttet.

Kommissionen udarbejder ved hjælp af gennemførelsesretsakter en liste over standarder for sikkerhedsvurderingen af de informationsteknologiprodukter, der er omhandlet i litra a). Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

4.   Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 47 vedrørende fastsættelsen af de særlige kriterier, som de i stk. 1 i nærværende artikel omhandlede udpegede organer skal opfylde.

Artikel 33

Kvalificeret valideringstjeneste for kvalificerede elektroniske signaturer

1.   En kvalificeret valideringstjeneste for kvalificerede elektroniske signaturer må kun stilles til rådighed af en kvalificeret tillidstjenesteudbyder, der

a)	udfører validering i overensstemmelse med artikel 32, stk. 1, og

b)	gør det muligt for modtagerparter automatisk at modtage resultatet af valideringsprocessen på pålidelig og effektiv vis, hvor resultatet er forsynet med valideringstjenesteudbyderens avancerede elektroniske signatur eller avancerede elektroniske segl.

2.   Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for kvalificerede valideringstjenester, jf. stk. 1. En valideringstjeneste for en kvalificeret elektronisk signatur, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 34

Kvalificeret tjeneste til bevaring af kvalificerede elektroniske signaturer

1.   En kvalificeret tjeneste til bevaring af kvalificerede elektroniske signaturer må kun stilles til rådighed af en kvalificeret tillidstjenesteudbyder, der anvender procedurer og teknologier, der gør det muligt at forlænge pålideligheden af den kvalificerede elektroniske signatur ud over den teknologiske gyldighedsperiode.

2.   Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for kvalificeret tjeneste til bevaring af kvalificerede elektroniske signaturer. En kvalificeret tjeneste til bevaring af kvalificerede elektroniske signaturer, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

AFDELING 5

Elektroniske segl