keyboard_tab EIDAS 2014/0910 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
-
ÜLDSÄTTED
- 1 Artikkel 9 Teavitamine USALDUSTEENUSED
- 1 Artikkel 17 Järelevalveasutus Kvalifitseeritud usaldusteenus
- 1 Artikkel 19 Usaldusteenuse osutajate suhtes kohaldatavad turvanõuded
- 1 Artikkel 21 Kvalifitseeritud usaldusteenuse osutamise alustamine
- 1 Artikkel 22 Usaldusnimekirjad E-allkirjad
- 1 Artikkel 27 E-allkirjad avalikus teenistuses
- 1 Artikkel 31 Sertifitseeritud kvalifitseeritud e-allkirja andmise vahendite nimekirja avaldamine E-tempel
- 1 Artikkel 37 E-templid avalikus teenistuses E-ajatemplid
E-IDENTIMINE
Üldsätted
Järelevalve
Registreeritud e-andmevahetusteenused
Veebisaidi autentimine
E-DOKUMENDID
DELEGEERITUD ÕIGUSAKTID JA RAKENDUSAKTID
LÕPPSÄTTED
- osutatud 35
- kvalifitseeritud 35
- lõikes 34
- või 33
- artikli 30
- usaldusteenuse 27
- täiustatud 18
- kooskõlas 17
- ning 13
- vastu 12
- rakendusaktid 12
- komisjon 12
- võetakse 11
- nimetatud 11
- nende 10
- liikmesriik 10
- kontrollimenetlusega 10
- sätestatud 9
- järelevalveasutus 9
- võib 9
- poolt 8
- artikkel 8
- kindlaks 8
- liikmesriigid 8
- komisjonile 8
- tema 8
- e-allkirja 8
- e-identimise 7
- teabe 7
- pärast 7
- rakendusaktidega 7
- nõuetele 7
- viivituseta 7
- tervikluse 7
- põhjendamatu 7
- formaadid 6
- osutajate 6
- kasutamiseks 6
- teenuse 6
- internetipõhise 6
- osutajad 6
- seotud 6
- osutatava 6
- formaadis 6
- asutuse 6
- kui 6
- sektori 6
- avaliku 6
- sertifikaadil 6
- teavitatud 6
Artikkel 9
Teavitamine
1. Teavitav liikmesriik edastab komisjonile järgmise teabe ja põhjendamatu viivituseta selle iga hilisema muudatuse:
| a) | e-identimise süsteemi kirjeldus. kaasa arvatud selle usaldusväärsuse tase ja sellesse süsteemi kuuluvate e-identimise vahendite väljastaja(d); |
| b) | kohaldatav järelevalvekord ja järgmine vastutuskorda puudutav teave:
|
| c) | teavitatud e-identimise süsteemi eest vastutav asutus või vastutavad asutused; |
| d) | teave ainulaadsete isikutuvastusandmete registreerimist haldava üksuse või haldavate üksuste kohta; |
| e) | kirjeldus, kuidas täidetakse artikli 12 lõikes 8 osutatud rakendusaktis sätestatud nõuded; |
| f) | artikli 7 punktis f osutatud autentimise kirjeldus; |
| g) | teavitatud e-identimise süsteemi, autentimise või asjaomase ohustatud osa peatamise või tühistamise kord. |
2. Üks aasta pärast artikli 8 lõikes 3 ja artikli 12 lõikes 8 osutatud rakendusaktide kohaldamise alguskuupäeva avaldab komisjon Euroopa Liidu Teatajas nimekirja e-identimise süsteemidest, millest on teavitatud vastavalt käesoleva artikli lõikele 1, ja nendega seotud põhiteabe.
3. Kui komisjoni teavitatakse pärast lõikes 2 osutatud ajavahemiku möödumist, avaldab ta Euroopa Liidu Teatajas lõikes 2 osutatud nimekirja muudatused kahe kuu jooksul alates kõnealuse teate saamise kuupäevast.
4. Liikmesriik võib komisjonile esitada taotluse jätta selle liikmesriigi poolt teavitatud e-identimise süsteem lõikes 2 osutatud nimekirjast välja. Komisjon avaldab vastavad nimekirja muudatused Euroopa Liidu Teatajas ühe kuu jooksul pärast liikmesriigilt taotluse saamist.
5. Komisjon võib rakendusaktidega kindlaks määrata lõikes 1 osutatud teavitamise asjaolud, formaadid ja menetlused. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 17
Järelevalveasutus
1. Liikmesriigid määravad järelevalveasutuse, mis asub nende territooriumil või, vastastikusel kokkuleppel teise liikmesriigiga, kõnealuses teises liikmesriigis asuva järelevalveasutuse. Nimetatud asutus vastutab määravas liikmesriigis järelevalveülesannete täitmise eest.
Järelevalveasutustele antakse nende ülesannete täitmiseks vajalikud volitused ja piisavad vahendid.
2. Liikmesriigid teatavad komisjonile enda poolt määratud järelevalveasutuste nimed ja aadressid.
3. Järelevalveasutuse ülesandeks on:
| a) | teostada eelneva ja järgneva järelevalve käigus määrava liikmesriigi territooriumil asuvate kvalifitseeritud usaldusteenuse osutajate üle järelevalvet selle tagamiseks, et kvalifitseeritud usaldusteenuse osutajad ja nende osutatavad kvalifitseeritud usaldusteenused vastaksid käesolevas määruses sätestatud nõuetele; |
| b) | võtta järgneva järelevalve käigus vajaduse korral meetmeid määrava liikmesriigi territooriumil asuvate kvalifitseerimata usaldusteenuse osutajate suhtes, kui järelevalveasutusele teatatakse, et kvalifitseerimata usaldusteenuse osutajad või nende osutatavad usaldusteenused ei vasta väidetavalt käesolevas määruses sätestatud nõuetele. |
4. Lõike 3 kohaldamisel ja tulenevalt selles sätestatud piirangutest on järelevalveasutuse ülesanne eelkõige:
| a) | teha koostööd teiste järelevalveasutustega ja anda neile abi kooskõlas artikliga 18; |
| b) | analüüsida artikli 20 lõikes 1 ja artikli 21 lõikes 1 osutatud vastavushindamisaruandeid; |
| c) | teavitada teisi järelevalveasutusi ja üldsust turvarikkumistest ja tervikluse kaost kooskõlas artikli 19 lõikega 2; |
| d) | anda komisjonile aru oma põhitegevusest kooskõlas käesoleva artikli lõikega 6; |
| e) | korraldada auditeid või paluda vastavushindamisasutusel teostada kvalifitseeritud usaldusteenuse osutajate vastavushindamine kooskõlas artikli 20 lõikega 2; |
| f) | teha andmekaitseasutustega koostööd, eelkõige teavitades neid põhjendamatu viivituseta kvalifitseeritud usaldusteenuse osutajate auditite tulemustest, kui näib, et isikuandmete kaitse eeskirju on rikutud; |
| g) | anda usaldusteenuse osutajatele ja nende osutatavatele teenustele kvalifitseeritud staatus ning võtta see staatus ära kooskõlas artiklitega 20 ja 21; |
| h) | teavitada artikli 22 lõikes 3 osutatud riigisiseste usaldusnimekirjade eest vastutavat asutust oma otsustest anda kvalifitseeritud staatus või võtta see ära, välja arvatud juhul, kui kõnealune asutus on samuti järelevalveasutus; |
| i) | kontrollida lõpetamiskava käsitlevate sätete olemasolu ja nõuetekohast kohaldamist juhtudel, kui kvalifitseeritud usaldusteenuse osutajad lõpetavad oma tegevuse, sealhulgas seda, kuidas teave hoitakse kättesaadavana kooskõlas artikli 24 lõike 2 punktiga h; |
| j) | nõuda usaldusteenuse osutajatelt käesolevas määruses sätestatud nõuete täitmata jätmise heastamist. |
5. Liikmesriigid võivad nõuda, et järelevalveasutus looks, haldaks ja ajakohastaks usaldusteenuste infrastruktuuri kooskõlas siseriiklikus õiguses sätestatud tingimustega.
6. Iga järelevalveasutus esitab igal aastal 31. märtsiks komisjonile aruande oma eelmise kalendriaasta põhitegevuse kohta ning kokkuvõtte usaldusteenuse osutajatelt artikli 19 lõike 2 kohaselt saadud rikkumisteadetest.
7. Komisjon teeb lõikes 6 osutatud aastaaruande liikmesriikidele kättesaadavaks.
8. Komisjon võib rakendusaktidega määrata kindlaks lõikes 6 osutatud aruande formaadid ja menetlused. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 19
Usaldusteenuse osutajate suhtes kohaldatavad turvanõuded
1. Kvalifitseeritud ja kvalifitseerimata usaldusteenuse osutajad võtavad asjakohased tehnilised ja korralduslikud meetmed, et ohjata nende osutatavate usaldusteenuste turvalisusega seotud riske. Tehnoloogia viimaseid arenguid arvesse võttes tagatakse nende meetmetega riski astmele vastav turvalisuse tase. Eelkõige võetakse meetmeid turvaintsidentide vältimiseks ja nende mõju minimeerimiseks ning sidusrühmade teavitamiseks intsidentide kahjulikust mõjust.
2. Kvalifitseeritud ja kvalifitseerimata usaldusteenuse osutajad teavitavad järelevalveasutust ning vajaduse korral teisi asjakohaseid asutusi, nagu infoturbe eest vastutav pädev riiklik asutus või andmekaitseasutus, igast turvarikkumisest või tervikluse kaost, millel on märkimisväärne mõju osutatavale usaldusteenusele või selles sisalduvatele isikuandmetele, tehes seda põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast sellest teadasaamist.
Kui turvarikkumisel või tervikluse kaol on tõenäoliselt kahjulik mõju füüsilisele või juriidilisele isikule, kellele usaldusteenus on osutatud, teavitab usaldusteenuse osutaja põhjendamatu viivituseta ka füüsilist või juriidilist isikut turvarikkumisest või tervikluse kaost.
Kui see on asjakohane ja eelkõige juhul, kui turvarikkumine või tervikluse kadu hõlmab kahte või enamat liikmesriiki, teavitab teavitatud järelevalveasutus teiste asjaomaste liikmesriikide järelevalveasutusi ning ENISA-t.
Kui teavitatud järelevalveasutus leiab, et turvarikkumise või tervikluse kao avalikustamine on avalikes huvides, teavitab ta üldsust või nõuab üldsuse teavitamist asjaomaselt usaldusteenuse osutajalt.
3. Järelevalveasutus esitab ENISA-le kord aastas kokkuvõtte usaldusteenuse osutajatelt saadud turvarikkumise või tervikluse kao teadetest.
4. Komisjon võib rakendusaktidega:
| a) | täpsustada lähemalt lõikes 1 osutatud meetmeid ning |
| b) | määrata kindlaks lõike 2 kohaldamisega seotud formaadid ja menetlused, sealhulgas tähtajad. |
Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
3. JAGU
Kvalifitseeritud usaldusteenus
Artikkel 21
Kvalifitseeritud usaldusteenuse osutamise alustamine
1. Kui usaldusteenuse osutajad, kellel ei ole kvalifitseeritud staatust, kavatsevad alustada kvalifitseeritud usaldusteenuse osutamist, esitavad nad järelevalveasutusele teate oma kavatsusest ja vastavushindamisasutuse koostatud vastavushindamisaruande.
2. Järelevalveasutus kontrollib usaldusteenuse osutaja ja tema osutatavate usaldusteenuste vastavust käesolevas määruses sätestatud nõuetele ning eelkõige kvalifitseeritud usaldusteenuse osutajatele ja nende osutatavatele kvalifitseeritud usaldusteenustele ette nähtud nõuetele.
Kui järelevalveasutus leiab, et usaldusteenuse osutaja ja tema osutatavad teenused vastavad esimeses lõigus osutatud nõuetele, annab järelevalveasutus usaldusteenuse osutajale ja tema osutatavatele usaldusteenustele kvalifitseeritud staatuse ning teavitab artikli 22 lõikes 3 osutatud asutust artikli 22 lõikes 1 osutatud usaldusnimekirjade ajakohastamise eesmärgil hiljemalt kolm kuud pärast käesoleva artikli lõike 1 kohast teavitamist.
Kui kontrolli ei ole kolme kuu jooksul alates teavitamisest lõpule viidud, teavitab järelevalveasutus usaldusteenuse osutajat viivituse põhjustest ja ajavahemikust, mille jooksul kontroll lõpule viiakse.
3. Kvalifitseeritud usaldusteenuse osutaja võib alustada kvalifitseeritud usaldusteenuse osutamist, kui kvalifitseeritud staatus on kantud artikli 22 lõikes 1 osutatud usaldusnimekirjadesse.
4. Komisjon võib rakendusaktidega kindlaks määrata lõigete 1 ja 2 kohaldamisega seotud formaadid ja menetlused. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 22
Usaldusnimekirjad
1. Iga liikmesriik koostab, haldab ja avaldab usaldusnimekirju, mis sisaldavad teavet tema vastutusalasse kuuluvate kvalifitseeritud usaldusteenuse osutajate ja nende osutatavate kvalifitseeritud usaldusteenuste kohta.
2. Liikmesriigid koostavad elektrooniliselt allkirjastatud või e-templiga varustatud, lõikes 1 osutatud usaldusnimekirjad, haldavad neid ja avaldavad need turvalisel viisil ja automaatseks töötlemiseks sobivas formaadis.
3. Liikmesriigid edastavad komisjonile põhjendamatu viivituseta teabe, mis hõlmab riigisiseste usaldusnimekirjade koostamise, haldamise ja avaldamise eest vastutavat asutust, kõnealuste nimekirjade avaldamise koha üksikasju, nimekirjade allkirjastamiseks või templiga varustamiseks kasutatavaid sertifikaate ning nimekirjade mis tahes muudatusi.
4. Komisjon teeb lõikes 3 osutatud teabe turvalise kanali kaudu avalikkusele kättesaadavaks automaatseks töötlemiseks sobivas, elektrooniliselt allkirjastatud või e-templiga varustatud formaadis.
5. Komisjon täpsustab hiljemalt 18. septembriks 2015 rakendusaktidega lõikes 1 osutatud teabe ning määrab kindlaks lõigete 1–4 kohaldamisega seotud usaldusnimekirjade tehnilised kirjeldused ja formaadid. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 27
E-allkirjad avalikus teenistuses
1. Kui liikmesriik nõuab avaliku sektori asutuse poolt või tema nimel osutatava internetipõhise teenuse kasutamiseks täiustatud e-allkirja, tunnustab see liikmesriik täiustatud e-allkirju, e-allkirja kvalifitseeritud sertifikaadil põhinevaid täiustatud e-allkirju ja kvalifitseeritud e-allkirju, mis on antud vähemalt lõikes 5 osutatud formaadis või rakendusaktides määratletud meetodeid kasutades.
2. Kui liikmesriik nõuab avaliku sektori asutuse poolt või tema nimel osutatava internetipõhise teenuse kasutamiseks kvalifitseeritud sertifikaadil põhinevat täiustatud e-allkirja, tunnustab see liikmesriik kvalifitseeritud sertifikaadil põhinevaid täiustatud e-allkirju ja kvalifitseeritud e-allkirju, mis on antud vähemalt lõikes 5 osutatud formaadis või rakendusaktides määratletud meetodeid kasutades.
3. Liikmesriigid ei nõua avaliku sektori asutuse poolt osutatava internetipõhise teenuse piiriüleseks kasutamiseks e-allkirja, mille tagatistase on kõrgem kui kvalifitseeritud e-allkirjal.
4. Komisjon võib rakendusaktidega kehtestada täiustatud e-allkirjade standardite viitenumbrid. Kui täiustatud e-allkiri vastab neile standarditele, loetakse see käesoleva artikli lõigetes 1 ja 2 ning artiklis 26 täiustatud e-allkirjadele sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
5. Komisjon võtab kehtivaid tavasid, standardeid ja liidu õigusakte arvestades hiljemalt 18. septembriks 2015 vastu rakendusaktid, milles määratakse kindlaks täiustatud e-allkirjade standardformaadid või alternatiivsete formaatide kasutamise korral standardmeetodid. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 31
Sertifitseeritud kvalifitseeritud e-allkirja andmise vahendite nimekirja avaldamine
1. Liikmesriigid edastavad komisjonile põhjendamatu viivituseta ja mitte hiljem kui üks kuu pärast sertifitseerimise lõpuleviimist teabe selliste kvalifitseeritud e-allkirja andmise vahendite kohta, mille on sertifitseerinud artikli 30 lõikes 1 osutatud asutused. Samuti edastavad nad komisjonile põhjendamatu viivituseta ja mitte hiljem kui üks kuu pärast sertifitseerimise tühistamist teabe selliste kvalifitseeritud e-allkirja andmise vahendite kohta, mis ei ole enam sertifitseeritud.
2. Saadud teabe põhjal koostab komisjon sertifitseeritud kvalifitseeritud e-allkirja andmise vahendite nimekirja, haldab seda ja avaldab selle.
3. Komisjon võib rakendusaktidega kindlaks määrata lõike 1 kohaldamisega seotud formaadid ja menetlused. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 37
E-templid avalikus teenistuses
1. Kui liikmesriik nõuab avaliku sektori asutuse poolt või tema nimel osutatava internetipõhise teenuse kasutamiseks täiustatud e-templit, tunnustab see liikmesriik täiustatud e-templeid, e-templi kvalifitseeritud sertifikaadil põhinevaid täiustatud e-templeid ja kvalifitseeritud e-templeid, mis on loodud vähemalt lõikes 5 osutatud formaadis või rakendusaktides määratletud meetodeid kasutades.
2. Kui liikmesriik nõuab avaliku sektori asutuse poolt või tema nimel osutatava internetipõhise teenuse kasutamiseks kvalifitseeritud sertifikaadil põhinevat täiustatud e-templit, tunnustab see liikmesriik kvalifitseeritud sertifikaadil põhinevaid täiustatud e-templeid ja kvalifitseeritud e-templeid, mis on loodud vähemalt lõikes 5 osutatud formaadis või rakendusaktides määratletud meetodeid kasutades.
3. Liikmesriigid ei nõua avaliku sektori asutuse poolt osutatava internetipõhise teenuse piiriüleseks kasutamiseks e-templit, mille turvatase on kõrgem kui kvalifitseeritud e-templil.
4. Komisjon võib rakendusaktidega kehtestada täiustatud e-templite standardite viitenumbrid. Kui täiustatud e-tempel vastab neile standarditele, loetakse see käesoleva artikli lõigetes 1 ja 2 ning artiklis 36 täiustatud e-templitele sätestatud nõuetele vastavaks. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
5. Komisjon võtab kehtivaid tavasid, standardeid ja liidu õigusakte arvestades hiljemalt 18. septembriks 2015 vastu rakendusaktid, milles määratakse kindlaks täiustatud e-templite standardformaadid või alternatiivsete formaatide kasutamise korral standardmeetodid. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.
whereas