keyboard_tab EIDAS 2014/0910 DA

whereas    de:

definitions:

Artikel 2

Anvendelsesområde

1.   denne forordning finder anvendelse på elektroniske identifikationsordninger, der er blevet anmeldt af en medlemsstat, samt på tillidstjenesteudbydere, der er hjemmehørende i Unionen.

2.   denne forordning finder ikke anvendelse på levering af tillidstjenester, der udelukkende anvendes i lukkede systemer i henhold til national ret eller aftaler mellem et defineret sæt deltagere.

3.   denne forordning påvirker ikke national ret eller EU-ret vedrørende kontrakters indgåelse og gyldighed eller andre retlige eller proceduremæssige forpligtelser, der vedrører formkrav.

Artikel 4

Principper vedrørende det indre marked

1.   Tillidstjenesteudbydere har ret til uden restriktioner at udbyde deres tjenester i en anden medlemsstat end den, hvor de er hjemmehørende, når tjenesterne udbydes med et formål, der er omfattet af denne forordning.

2.   der er fri bevægelighed på det indre marked for produkter og tillidstjenester, der overholder bestemmelserne i denne forordning.

Artikel 9

Anmeldelse

1.   den anmeldende medlemsstat meddeler Kommissionen nedenstående oplysninger og hurtigst muligt eventuelle senere ændringer heraf:

a)	en beskrivelse af den elektroniske identifikationsordning, herunder dens sikringsniveau og udstederen eller udstederne af elektroniske identifikationsmidler under ordningen

b)	den gældende tilsynsordning og oplysninger om erstatningsansvarsordningen med hensyn til følgende: i) den part, der udsteder det elektroniske identifikationsmiddel, og ii) den part, der udfører autentifikationsproceduren

c)	oplysning om, hvilken eller hvilke myndigheder der er ansvarlige for den elektroniske identifikationsordning

d)	oplysning om den eller de enheder, der forvalter registreringen af de entydige personidentifikationsdata

e)	en beskrivelse af, hvordan kravene i gennemførelsesretsakterne, jf. artikel 12, stk. 8, opfyldes

f)	en beskrivelse af den autentifikation, der er omhandlet i artikel 7, litra f)

g)	nærmere bestemmelser om suspension eller spærring af den anmeldte elektroniske identifikationsordning eller autentifikationen eller de kompromitterede dele heraf.

2.   Et år fra anvendelsesdatoen for gennemførelsesretsakterne, jf. artikel 8, stk. 3, og artikel 12, stk. 8, offentliggør Kommissionen i Den Europæiske Unions Tidende en liste over de elektroniske identifikationsordninger, der er anmeldt i henhold til stk. 1 i nærværende artikel, med grundlæggende oplysninger om ordningerne.

3.   Modtager Kommissionen en anmeldelse efter udløbet af den periode, der er fastsat i stk. 2, offentliggør den i Den Europæiske Unions Tidende ændringerne af den i stk. 2 omhandlede liste inden for to måneder fra datoen for modtagelsen af denne anmeldelse.

4.   En medlemsstat kan anmode Kommissionen om at fjerne en elektronisk identifikationsordning, der er anmeldt af den pågældende medlemsstat, fra den i stk. 2 omhandlede liste. Kommissionen offentliggør i Den Europæiske Unions Tidende de tilsvarende ændringer til listen inden for en måned fra datoen for medlemsstatens anmodning.

5.   Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge vilkår, formater og procedurer for anmeldelser i medfør af stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 11

Erstatningsansvar

1.   den anmeldende medlemsstat er erstatningsansvarlig for skader, der forsætligt eller uagtsomt påføres en fysisk eller juridisk person som følge af manglende overholdelse af forpligtelserne i henhold til artikel 7, litra d) og f), i forbindelse med en grænseoverskridende transaktion.

2.   den part, der udsteder det elektroniske identifikationsmiddel, er erstatningsansvarlig for skader, der forsætligt eller uagtsomt påføres en fysisk eller juridisk person som følge af manglende overholdelse af forpligtelsen i henhold til artikel 7, litra e), i forbindelse med en grænseoverskridende transaktion.

3.   den part, der udfører autentifikationsproceduren, er erstatningsansvarlig for skader, der forsætligt eller uagtsomt påføres en fysisk eller juridisk person som følge af manglende sikring af den korrekte udførelse af autentifikationen i henhold til artikel 7, litra f), i forbindelse med en grænseoverskridende transaktion.

4.   Stk. 1, 2 og 3 anvendes i overensstemmelse med nationale regler om erstatningsansvar.

5.   Stk. 1, 2 og 3 berører ikke det erstatningsansvar, der i henhold til national ret påhviler parterne i en transaktion, hvor der benyttes elektroniske identifikationsmidler, som er omfattet af den elektroniske identifikationsordning, der anmeldes i henhold til artikel 9, stk. 1.

Artikel 12

Samarbejde og interoperabilitet

1.   de nationale elektroniske identifikationsordninger, der anmeldes i henhold til artikel 9, stk. 1, skal være interoperable.

2.   Med henblik på stk. 1 indføres der en interoperabilitetsramme.

3.   Interoperabilitetsrammen skal opfylde følgende kriterier:

a)	den tager sigte på at være teknologineutral og forskelsbehandler ikke mellem specifikke nationale tekniske løsninger til elektronisk identifikation inden for en medlemsstat

b)	den følger europæiske og internationale standarder, når det er muligt

c)	den letter gennemførelsen af princippet om indbygget databeskyttelse (privacy by design), og

d)	den sikrer, at personoplysninger behandles i overensstemmelse med direktiv 95/46/EF.

4.   Interoperabilitetsrammen skal omfatte:

a)	en henvisning til tekniske minimumskrav for sikringsniveauerne i artikel 8

b)	en kortlægning af nationale sikringsniveauer for anmeldte elektroniske identifikationsordninger under sikringsniveauerne i artikel 8

c)	en henvisning til tekniske minimumskrav for interoperabilitet

d)	en henvisning til et minimum af personidentifikationsdata, der entydigt repræsenterer en fysisk eller juridisk person, og som stilles til rådighed fra elektroniske identifikationsordninger

e)	forretningsorden

f)	tvistbilæggelsesordninger, og

g)	fælles operationelle sikkerhedsstandarder.

5.   Medlemsstaterne skal samarbejde om følgende:

a)	interoperabilitet mellem de elektroniske identifikationsordninger, der er anmeldt i henhold til artikel 9, stk. 1, og de elektroniske identifikationsordninger, som medlemsstaterne har til hensigt at anmelde, og

b)	sikkerheden i de elektroniske identifikationsordninger.

6.   Samarbejdet mellem medlemsstaterne omfatter:

a)	udvekslingen af oplysninger, erfaring og god praksis med hensyn til elektroniske identifikationsordninger og navnlig tekniske krav til interoperabilitet og sikringsniveauer

b)	udvekslingen af oplysninger, erfaring og god praksis med hensyn til arbejdet med sikringsniveauer i elektroniske identifikationsordninger i henhold til artikel 8

c)	fagfællebedømmelse (peer review) af elektroniske identifikationsordninger, der henhører under denne forordning, og

d)	undersøgelse af relevante udviklingstendenser i sektoren for elektronisk identifikation.

7.   Senest den 18. marts 2015 fastlægger Kommissionen ved hjælp af gennemførelsesretsakter de fornødne proceduremæssige ordninger for at lette samarbejdet mellem medlemsstaterne, jf. stk. 5 og 6, med henblik på at fremme et højt niveau af tillid og sikkerhed, der står i et passende forhold til risikoen.

8.   Senest den 18. september 2015 vedtager Kommissionen med forbehold af kriterierne i stk. 3 og under hensyn til resultaterne af samarbejdet mellem medlemsstaterne gennemførelsesretsakter om interoperabilitetsrammen som fastsat i stk. 4 med henblik på at fastsætte ensartede betingelser for gennemførelsen af kravet i stk. 1.

9.   de i stk. 7 og 8 i nærværende artikel omhandlede gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

KAPITEL III

TILLIDSTJENESTER

AFDELING 1

Almindelige bestemmelser

Artikel 19

Sikkerhedskrav til tillidstjenesteudbydere

1.   Kvalificerede og ikkekvalificerede tillidstjenesteudbydere skal træffe passende tekniske og organisatoriske foranstaltninger til at styre de sikkerhedsmæssige risici i forbindelse med de tillidstjenester, de udbyder. Under hensyn til den seneste teknologiske udvikling skal disse foranstaltninger garantere et sikkerhedsniveau, der svarer til risikoens omfang. Tillidstjenesteudbyderne bør navnlig tage skridt til at forhindre og minimere virkningen af sikkerhedsrelaterede hændelser og underrette de berørte parter om de negative virkninger af sådanne hændelser.

2.   de kvalificerede og ikkekvalificerede tillidstjenesteudbydere, der konstaterer et brud på sikkerheden eller tab af integritet, som har en væsentlig indvirkning på den udbudte tillidstjeneste eller de berørte personoplysninger, skal hurtigst muligt og under alle omstændigheder inden for 24 timer efter at være blevet opmærksomme på forholdet underrette tilsynsorganet, og eventuelt andre relevante organer som f.eks. det kompetente nationale organ for informationssikkerhed eller databeskyttelsesmyndigheden.

Når det er sandsynligt, at et brud på sikkerheden eller tab af integritet vil krænke den fysiske eller juridiske person, som har modtaget tillidstjenesten, skal tillidstjenesteudbyderen også hurtigst muligt underrette den fysiske eller juridiske person om bruddet på sikkerheden eller tab af integritet.

Hvor det er relevant, og navnlig hvis et brud på sikkerheden eller tab af integritet berører to eller flere medlemsstater, skal det underrettede tilsynsorgan informere tilsynsorganerne i andre berørte medlemsstater og ENISA.

Det underrettede tilsynsorgan skal også informere offentligheden eller kræve, at tillidstjenesteudbyderen gør det, hvis det fastslår, at det er i offentlighedens interesse, at et brud på sikkerheden eller tab af integritet offentliggøres.

3.   Tilsynsorganet forelægger en gang om året ENISA en sammenfattende rapport om de indberetninger af brud på sikkerheden eller tab af integritet, som det har modtaget fra tillidstjenesteudbyderne.

4.   Kommissionen kan ved gennemførelsesretsakter:

a)	yderligere specificere de i stk. 1 omhandlede foranstaltninger, og

b)	vedtage formater og procedurer, herunder tidsfrister, for gennemførelsen af stk. 2.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

AFDELING 3

Kvalificerede tillidstjenesteydelser

Artikel 32

Krav til validering af kvalificerede elektroniske signaturer

1.   Processen for validering af en kvalificeret elektronisk signatur skal bekræfte gyldigheden af en kvalificeret elektronisk signatur, såfremt:

a)	det certifikat, der støtter signaturen, på underskriftstidspunktet var et kvalificeret certifikat for elektronisk signatur, der var i overensstemmelse bilag I

b)	det kvalificerede certifikat var udstedt af en kvalificeret tillidstjenesteudbyder og var gyldigt på underskriftstidspunktet

c)	signaturvalideringsdataene stemmer overens med de data, der leveres til modtagerparten

d)	det entydige sæt data, der repræsenterer underskriveren i certifikatet, leveres korrekt til modtagerparten

e)	en eventuel anvendelse af et pseudonym fremgår klart for modtagerparten, såfremt der på underskriftstidspunktet blev anvendt et pseudonym

f)	den elektroniske signatur er genereret af et kvalificeret elektronisk signaturgenereringssystem

g)	de underskrevne datas integritet ikke er bragt i fare

h)	kravene i artikel 26 var opfyldt på underskriftstidspunktet.

2.   det system, der anvendes til validering af den kvalificerede elektroniske signatur, skal levere det korrekte resultat af valideringsprocessen til modtagerparten og gøre det muligt for vedkommende at opdage eventuelle sikkerhedsproblemer.

3.   Kommissionen kan ved hjælp af gennemførelsesretsakter opstille referencenumre på standarder for validering af kvalificerede elektroniske signaturer. En validering af kvalificerede elektroniske signaturer, der opfylder disse standarder, formodes at overholde kravene i stk. 1. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 48, stk. 2.

Artikel 47

Udøvelse af de delegerede beføjelser

1.   Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.

2.   Beføjelsen til at vedtage delegerede retsakter, jf. artikel 30, stk. 4, tillægges Kommissionen for en ubegrænset periode fra den 17. september 2014.

3.   den i artikel 30, stk. 4, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om spærring bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Afgørelsen får virkning fra dagen efter offentliggørelsen i Den Europæiske Unions Tidende eller fra en senere dato, der fastsættes nærmere i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.

4.   Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.

5.   En delegeret retsakt vedtaget i henhold til artikel 30, stk. 4, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har informeret Kommissionen om, at de ikke agter at gøre indsigelse. Denne frist forlænges med to måneder på Europa-Parlamentets eller Rådets initiativ.

Artikel 52

Ikrafttræden

1.   denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

2.   denne forordning anvendes fra den 1. juli 2016, bortset fra følgende bestemmelser:

a)

artikel 8, stk. 3, artikel 9, stk. 5, artikel 12, stk. 2-9, artikel 17, stk. 8, artikel 19, stk. 4, artikel 20, stk. 4, artikel 21, stk. 4, artikel 22, stk. 5, artikel 23, stk. 3, artikel 24, stk. 5, artikel 27, stk. 4 og 5, artikel 28, stk. 6, artikel 29, stk. 2, artikel 30, stk. 3 og 4, artikel 31, stk. 3, artikel 32, stk. 3, artikel 33, stk. 2, artikel 34, stk. 2, artikel 37, stk. 4 og 5, artikel 38, stk. 6, artikel 42, stk. 2, artikel 44, stk. 2, artikel 45, stk. 2, artikel 47 and 48 finder anvendelse fra den 17. september 2014

b)	artikel 7, artikel 8, stk. 1 og 2, artikel 9, 10, 11 og artikel 12, stk. 1, finder anvendelse fra datoen for anvendelsen af de i artikel 8, stk. 3, og artikel 12, stk. 8, omhandlede gennemførelsesretsakter

c)	artikel 6 finder anvendelse fra tre år efter datoen for anvendelsen af de i artikel 8, stk. 3, og artikel 12, stk. 8, omhandlede gennemførelsesretsakter.

3.   Opføres den anmeldte elektroniske identifikationsordning på den liste, som Kommissionen offentliggør i henhold til artikel 9, før den i stk. 2, litra c), i nærværende artikel omhandlede dato, sker anerkendelsen af det elektroniske identifikationsmiddel i medfør af denne ordning i henhold til artikel 6 senest 12 måneder efter offentliggørelsen af denne ordning, dog ikke før den i stk. 2, litra c), i nærværende artikel omhandlede dato.

4.   Uanset stk. 2, litra c), i nærværende artikel kan en medlemsstat beslutte, at et elektronisk identifikationsmiddel i medfør af den elektroniske identifikationsordning, som en anden medlemsstat har anmeldt i henhold til artikel 9, stk. 1, anerkendes i den første medlemsstat fra datoen for anvendelsen af de i artikel 8, stk. 3, og artikel 12, stk. 8, omhandlede gennemførelsesretsakter. De pågældende medlemsstater underretter Kommissionen. Kommissionen offentliggør disse oplysninger.

---

(1)  EUT C 351 af 15.11.2012, s. 73.

(2)  Europa-Parlamentets holdning af 3.4.2014 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 23.7.2014.

(3)  Europa-Parlamentets og Rådets direktiv 1999/93/EF af 13. december 1999 om en fællesskabsramme for elektroniske signaturer (EFT L 13 af 19.1.2000, s. 12).

(4)  EUT C 50 E af 21.2.2012, s. 1.

(5)  Europa-Parlamentets og Rådets direktiv 2006/123/EF af 12. december 2006 om tjenesteydelser i det indre marked (EUT L 376 af 27.12.2006, s. 36).

(6)  Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

(7)  Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).

(8)  Rådets afgørelse 2010/48/EF af 26. november 2009 om Det Europæiske Fællesskabs indgåelse af De Forenede Nationers konvention om handicappedes rettigheder (EUT L 23 af 27.1.2010, s. 35).

(9)  Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og markedsovervågning i forbindelse med markedsføring af produkter og om ophævelse af forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30).

(10)  Kommissionens beslutning 2009/767/EF af 16. oktober 2009 om fastlæggelse af foranstaltninger, der skal lette anvendelsen af elektroniske procedurer ved hjælp af kvikskranker i henhold til Europa-Parlamentets og Rådets direktiv 2006/123/EF om tjenesteydelser i det indre marked (EUT L 274 af 20.10.2009, s. 36).

(11)  Kommissionens afgørelse 2011/130/EU af 25. februar 2011 om fastsættelse af mindstekrav ved behandling af elektronisk underskrevne dokumenter på tværs af grænserne foretaget af de kompetente myndigheder som omhandlet i Europa-Parlamentets og Rådets direktiv 2006/123/EF om tjenesteydelser i det indre marked (EUT L 53 af 26.2.2011, s. 66).

(12)  Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(13)  Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EUT L 8 af 12.1.2001, s. 1).

(14)  EUT C 28 af 30.1.2013, s. 6.

(15)  Europa-Parlamentets og Rådets direktiv 2014/24/EU af 26. februar 2014 om offentlige udbud og om ophævelse af direktiv 2004/18/EF (EUT L 94 af 28.3.2014, s. 65).

---

---

---

---