keyboard_tab EIDAS 2014/0910 DA
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artikel 19 Sikkerhedskrav til tillidstjenesteudbydere
- 4 Artikel 21 Iværksættelse af en kvalificeret tillidstjeneste
KAPITEL I
ALMINDELIGE BESTEMMELSER
KAPITEL II
ELEKTRONISK IDENTIFIKATION
KAPITEL III
TILLIDSTJENESTER
AFDELING 1
Almindelige bestemmelser
AFDELING 2
Tilsyn
AFDELING 3
Kvalificerede tillidstjenesteydelser
AFDELING 4
Elektroniske signaturer
AFDELING 5
Elektroniske segl
AFDELING 6
Elektroniske tidsstempler
AFDELING 7
Elektroniske registrerede leveringstjenester
AFDELING 8
Webstedsautentifikation
KAPITEL IV
ELEKTRONISKE DOKUMENTER
KAPITEL V
DELEGEREDE BEFØJELSER OG GENNEMFØRELSESBESTEMMELSER
KAPITEL VI
AFSLUTTENDE BESTEMMELSER
- eller 12
- artikel 8
- skal 8
- kvalificerede 7
- tillidstjenester 6
- tillidstjenesteudbyderen 6
- integritet 6
- sikkerheden 6
- tilsynsorganet 5
- brud 5
- efter 5
- tillidstjenesteudbydere 5
- udbyder 4
- gennemførelsesretsakter 3
- berørte 3
- underrette 3
- navnlig 3
- omhandlede 3
- disse 3
- tillidstjeneste 3
- status 3
- kvalificeret 3
- foranstaltninger 3
- vedkommende 3
- vedtages 2
- fysiske 2
- når 2
- organ 2
- andre 2
- underretter 2
- måneder 2
- anmeldelsen 2
- henblik 2
- kontrollen 2
- være 2
- afsluttet 2
- inden 2
- juridiske 2
- person 2
- krav 2
- undersøgelsesproceduren 2
- modtaget 2
- udbyde 2
- også 2
- medlemsstater 2
- underrettede 2
- tilsynsorgan 2
- informere 2
- enisa 2
- muligt 2
Artikel 19
Sikkerhedskrav til tillidstjenesteudbydere
1. Kvalificerede og ikkekvalificerede tillidstjenesteudbydere skal træffe passende tekniske og organisatoriske foranstaltninger til at styre de sikkerhedsmæssige risici i forbindelse med de tillidstjenester, de udbyder. Under hensyn til den seneste teknologiske udvikling skal disse foranstaltninger garantere et sikkerhedsniveau, der svarer til risikoens omfang. Tillidstjenesteudbyderne bør navnlig tage skridt til at forhindre og minimere virkningen af sikkerhedsrelaterede hændelser og underrette de berørte parter om de negative virkninger af sådanne hændelser.
2. De kvalificerede og ikkekvalificerede tillidstjenesteudbydere, der konstaterer et brud på sikkerheden eller tab af integritet, som har en væsentlig indvirkning på den udbudte tillidstjeneste eller de berørte personoplysninger, skal hurtigst muligt og under alle omstændigheder inden for 24 timer efter at være blevet opmærksomme på forholdet underrette tilsynsorganet, og eventuelt andre relevante organer som f.eks. det kompetente nationale organ for informationssikkerhed eller databeskyttelsesmyndigheden.
Når det er sandsynligt, at et brud på sikkerheden eller tab af integritet vil krænke den fysiske eller juridiske person, som har modtaget tillidstjenesten, skal tillidstjenesteudbyderen også hurtigst muligt underrette den fysiske eller juridiske person om bruddet på sikkerheden eller tab af integritet.
Hvor det er relevant, og navnlig hvis et brud på sikkerheden eller tab af integritet berører to eller flere medlemsstater, skal det underrettede tilsynsorgan informere tilsynsorganerne i andre berørte medlemsstater og ENISA.
Det underrettede tilsynsorgan skal også informere offentligheden eller kræve, at tillidstjenesteudbyderen gør det, hvis det fastslår, at det er i offentlighedens interesse, at et brud på sikkerheden eller tab af integritet offentliggøres.
3. Tilsynsorganet forelægger en gang om året ENISA en sammenfattende rapport om de indberetninger af brud på sikkerheden eller tab af integritet, som det har modtaget fra tillidstjenesteudbyderne.
4. Kommissionen kan ved gennemførelsesretsakter:
a) | yderligere specificere de i stk. 1 omhandlede foranstaltninger, og |
b) | vedtage formater og procedurer, herunder tidsfrister, for gennemførelsen af stk. 2. |
Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
AFDELING 3
Kvalificerede tillidstjenesteydelser
Artikel 21
Iværksættelse af en kvalificeret tillidstjeneste
1. Ønsker en tillidstjenesteudbyder, der ikke har status som kvalificeret, at udbyde kvalificerede tillidstjenester, skal tjenesteudbyderen anmelde sin hensigt til tilsynsorganet og indsende en overensstemmelsesvurderingsrapport udstedt af et overensstemmelsesvurderingsorgan.
2. Tilsynsorganet kontrollerer, om tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, opfylder de i denne forordning fastsatte krav, og navnlig kravene til kvalificerede tillidstjenesteudbydere og disses kvalificerede tillidstjenester.
Konkluderer tilsynsorganet, at tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, overholder de i første afsnit omhandlede krav, tildeler tilsynsorganet tillidstjenesteudbyderen og de tillidstjenester, som vedkommende udbyder, status som kvalificeret og underretter senest tre måneder efter anmeldelsen, jf. stk. 1 i nærværende artikel, det organ, der er omhandlet i artikel 22, stk. 3, med henblik på at føre positivlisterne i artikel 22, stk. 1, ajour.
Er kontrollen ikke afsluttet inden tre måneder efter anmeldelsen, underretter tilsynsorganet tillidstjenesteudbyderen herom og forklarer årsagerne til forsinkelsen samt oplyser, hvornår kontrollen skal være afsluttet.
3. Kvalificerede tillidstjenesteudbydere kan begynde at udbyde den kvalificerede tillidstjeneste, når den kvalificerede status er indført på de i artikel 22, stk. 1, omhandlede positivlister.
4. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge formater og procedurer med henblik på stk. 1 og 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.
whereas