keyboard_tab EIDAS 2014/0910 ET

whereas sellest:

• whereas (15) 1
• whereas (16) 1
• whereas (47) 1

definitions:

Artikkel 6

Vastastikune tunnustamine

1.   Kui ühes liikmesriigis nõutakse vastavalt siseriiklikule õigusele või haldustavale avaliku sektori asutuse osutatavale internetipõhisele teenusele juurdepääsuks e-identimist e-identimise vahendi abil ja e-autentimist, tunnustatakse selles liikmesriigis teises liikmesriigis väljastatud e-identimise vahendit kõnealuse internetipõhise teenuse piiriüleseks autentimiseks, kui täidetud on järgmised tingimused:

a)	e-identimise vahend on väljastatud e-identimise süsteemi kohaselt, mis on kantud komisjoni poolt vastavalt artiklile 9 avaldatud nimekirja;

b)

e-identimise vahendi usaldusväärsuse tase vastab usaldusväärsuse tasemele, mida avaliku sektori asutus nõuab kõnealusele internetipõhisele teenusele juurdepääsuks esimesena nimetatud liikmesriigis, või on sellest usaldusväärsuse tasemest kõrgem, eeldusel et selle e-identimise vahendi usaldusväärsuse tase on märkimisväärne või kõrge;

c)	asjaomane avaliku sektori asutus kasutab kõnealusele internetipõhisele teenusele juurdepääsuks usaldusväärsuse taset, mille tase on märkimisväärne või kõrge.

Tunnustamine toimub hiljemalt 12 kuud pärast seda, kui komisjon avaldab esimese lõigu punktis a osutatud nimekirja.

2.   E-identimise vahendit, mis on väljastatud komisjoni poolt vastavalt artiklile 9 avaldatud nimekirjas oleva süsteemi kohaselt ning mille usaldusväärsuse tase on madal, võivad avaliku sektori asutused tunnustada nende asutuste osutatavate internetipõhiste teenuste piiriülese autentimise eesmärgil.

Artikkel 10

Turvarikkumine

1.   Kui artikli 9 lõike 1 kohaselt teavitatud e-identimise süsteemi või artikli 7 punktis f osutatud autentimist rikutakse või see on osaliselt ohustatud viisil, mis mõjutab selle süsteemi piiriülese autentimise usaldusväärsust, peatab või tühistab teavitav liikmesriik viivitamata selle piiriülese autentimise või asjaomaste ohustatud osade toimimise ning teavitab sellest teisi liikmesriike ja komisjoni.

2.   Pärast lõikes 1 osutatud rikkumise või ohu kõrvaldamist taastab teavitav liikmesriik piiriülese autentimise ning teavitab sellest ilma põhjendamatu viivituseta teisi liikmesriike ja komisjoni.

3.   Kui lõikes 1 osutatud rikkumist või ohtu ei kõrvaldata kolme kuu jooksul alates peatamisest või tühistamisest, teatab teavitav liikmesriik e-identimise süsteemi kasutamise lõpetamisest teistele liikmesriikidele ja komisjonile.

Komisjon avaldab põhjendamatu viivituseta Euroopa Liidu Teatajas artikli 9 lõikes 2 osutatud nimekirjas tehtud muudatused.

Artikkel 19

Usaldusteenuse osutajate suhtes kohaldatavad turvanõuded

1.   Kvalifitseeritud ja kvalifitseerimata usaldusteenuse osutajad võtavad asjakohased tehnilised ja korralduslikud meetmed, et ohjata nende osutatavate usaldusteenuste turvalisusega seotud riske. Tehnoloogia viimaseid arenguid arvesse võttes tagatakse nende meetmetega riski astmele vastav turvalisuse tase. Eelkõige võetakse meetmeid turvaintsidentide vältimiseks ja nende mõju minimeerimiseks ning sidusrühmade teavitamiseks intsidentide kahjulikust mõjust.

2.   Kvalifitseeritud ja kvalifitseerimata usaldusteenuse osutajad teavitavad järelevalveasutust ning vajaduse korral teisi asjakohaseid asutusi, nagu infoturbe eest vastutav pädev riiklik asutus või andmekaitseasutus, igast turvarikkumisest või tervikluse kaost, millel on märkimisväärne mõju osutatavale usaldusteenusele või selles sisalduvatele isikuandmetele, tehes seda põhjendamatu viivituseta, ent igal juhul 24 tunni jooksul pärast sellest teadasaamist.

Kui turvarikkumisel või tervikluse kaol on tõenäoliselt kahjulik mõju füüsilisele või juriidilisele isikule, kellele usaldusteenus on osutatud, teavitab usaldusteenuse osutaja põhjendamatu viivituseta ka füüsilist või juriidilist isikut turvarikkumisest või tervikluse kaost.

Kui see on asjakohane ja eelkõige juhul, kui turvarikkumine või tervikluse kadu hõlmab kahte või enamat liikmesriiki, teavitab teavitatud järelevalveasutus teiste asjaomaste liikmesriikide järelevalveasutusi ning ENISA-t.

Kui teavitatud järelevalveasutus leiab, et turvarikkumise või tervikluse kao avalikustamine on avalikes huvides, teavitab ta üldsust või nõuab üldsuse teavitamist asjaomaselt usaldusteenuse osutajalt.

3.   Järelevalveasutus esitab ENISA-le kord aastas kokkuvõtte usaldusteenuse osutajatelt saadud turvarikkumise või tervikluse kao teadetest.

4.   Komisjon võib rakendusaktidega:

a)	täpsustada lähemalt lõikes 1 osutatud meetmeid ning

b)	määrata kindlaks lõike 2 kohaldamisega seotud formaadid ja menetlused, sealhulgas tähtajad.

Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.

3.   JAGU

Kvalifitseeritud usaldusteenus

Artikkel 30

Kvalifitseeritud e-allkirja andmise vahendite sertifitseerimine

1.   Kvalifitseeritud e-allkirja andmise vahendite vastavust II lisas sätestatud nõuetele sertifitseerivad liikmesriikide määratud asjakohased avalik-õiguslikud või eraõiguslikud asutused.

2.   Liikmesriigid teatavad komisjonile lõikes 1 osutatud avalik-õiguslike või eraõiguslike asutuste nimed ja aadressid. Komisjon teeb selle teabe liikmesriikidele kättesaadavaks.

3.   Lõikes 1 osutatud sertifitseerimine põhineb ühel järgmistest võimalustest:

a)	turvalisuse hindamise protsess, mis on tehtud kooskõlas ühega standarditest selliste infotehnoloogiatoodete turvalisuse hindamiseks, mis on kantud kooskõlas teise lõiguga koostatud nimekirja, või

b)

punktis a osutatust erinev protsess, tingimusel et selles protsessis kasutatakse samaväärseid turvatasemeid ning et lõikes 1 osutatud avalik-õiguslik või eraõiguslik asutus teatab sellest protsessist komisjonile. Seda protsessi võib kasutada üksnes punktis a osutatud standardite puudumisel või juhul kui käimas on punktis a osutatud turvalisuse hindamise protsess.

Komisjon koostab rakendusaktidega punktis a osutatud infotehnoloogiatoodete turvalisuse hindamise standardite nimekirja. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 48 lõikes 2 osutatud kontrollimenetlusega.

4.   Komisjonile on õigus võtta kooskõlas artikliga 47 vastu delegeeritud õigusakte, et kehtestada konkreetsed kriteeriumid, millele käesoleva artikli lõikes 1 osutatud määratud asutused peavad vastama.

Artikkel 49

Läbivaatamine

Komisjon vaatab läbi käesoleva määruse kohaldamise ja annab sellest Euroopa Parlamendile ja nõukogule aru hiljemalt 1. juuliks 2020. Komisjon hindab eelkõige seda, kas on asjakohane muuta käesoleva määruse kohaldamisala või selle erisätteid, sealhulgas artiklit 6, artikli 7 punkti f ja artikleid 34, 43, 44 ja 45, võttes arvesse käesoleva määruse kohaldamisel saadud kogemusi ning tehnoloogia, turu ja õiguse arengut.

Asjakohasel juhul lisatakse esimeses lõigus osutatud aruandele seadusandlikud ettepanekud.

Lisaks esitab komisjon Euroopa Parlamendile ja nõukogule iga nelja aasta järel pärast esimeses lõigus osutatud aruande esitamist aruande selle kohta, kuidas on edenenud käesoleva määruse eesmärkide saavutamine.

Artikkel 52

Jõustumine

1.   Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

2.   Käesolevat määrust kohaldatakse alates 1. juulist 2016, välja arvatud järgmised sätted:

a)

artikli 8 lõiget 3, artikli 9 lõiget 5, artikli 12 lõikeid 2–9, artikli 17 lõiget 8, artikli 19 lõiget 4, artikli 20 lõiget 4, artikli 21 lõiget 4, artikli 22 lõiget 5, artikli 23 lõiget 3, artikli 24 lõiget 5, artikli 27 lõikeid 4 ja 5, artikli 28 lõiget 6, artikli 29 lõiget 2, artikli 30 lõikeid 3 ja 4, artikli 31 lõiget 3, artikli 32 lõiget 3, artikli 33 lõiget 2, artikli 34 lõiget 2, artikli 37 lõikeid 4 ja 5, artikli 38 lõiget 6, artikli 42 lõiget 2, artikli 44 lõiget 2, artikli 45 lõiget 2 ning artikleid 47 ja 48 kohaldatakse alates 17. septembrist 2014;

b)	artiklit 7, artikli 8 lõikeid 1 ja 2, artikleid 9, 10 ja 11 ning artikli 12 lõiget 1 kohaldatakse alates artikli 8 lõikes 3 ja artikli 12 lõikes 8 osutatud rakendusaktide kohaldamise alguskuupäevast;

c)	artiklit 6 kohaldatakse kolm aastat alates artikli 8 lõikes 3 ja artikli 12 lõikes 8 osutatud rakendusaktide kohaldamise alguskuupäevast.

3.   Kui teadaantud e-identimise süsteem on nimekirjas, mille komisjon avaldab artikli 9 kohaselt enne käesoleva artikli lõike 2 punktis c osutatud kuupäeva, tunnustatakse selle süsteemi kohast e-identimise vahendit vastavalt artiklile 6 hiljemalt 12 kuud pärast vastava süsteemi avaldamist, kuid mitte enne käesoleva artikli lõike 2 punktis c osutatud kuupäeva.

4.   Ilma et see piiraks käesoleva artikli lõike 2 punkti c kohaldamist, võib liikmesriik otsustada, et muu liikmesriigi poolt artikli 9 lõike 1 kohaselt teada antud e-identimise süsteemi kohaseid e-identimise vahendeid tunnustatakse esimesena nimetatud liikmesriigis alates artikli 8 lõikes 3 ja artikli 12 lõikes 8 osutatud rakendusaktide kohaldamise kuupäevast. Asjaomased liikmesriigid teavitavad sellest komisjoni. Komisjon avalikustab nimetatud teabe.

---

(1)  ELT C 351, 15.11.2012, lk 73.

(2)  Euroopa Parlamendi 3. aprilli 2014. aasta seisukoht (Euroopa Liidu Teatajas seni avaldamata) ja nõukogu 23. juuli 2014. aasta otsus.

(3)  Euroopa Parlamendi ja nõukogu 13. detsembri 1999. aasta direktiiv 1999/93/EÜ elektroonilisi allkirju käsitleva ühenduse raamistiku kohta (EÜT L 13, 19.1.2000, lk 12).

(4)  ELT C 50 E, 21.2.2012, lk 1.

(5)  Euroopa Parlamendi ja nõukogu 12. detsembri 2006. aasta direktiiv 2006/123/EÜ teenuste kohta siseturul (ELT L 376, 27.12.2006, lk 36).

(6)  Euroopa Parlamendi ja nõukogu 9. märtsi 2011. aasta direktiiv 2011/24/EL patsiendiõiguste kohaldamise kohta piiriüleses tervishoius (ELT L 88, 4.4.2011, lk 45).

(7)  Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.1995, lk 31).

(8)  Nõukogu 26. novembri 2009. aasta otsus 2010/48/EÜ Ühinenud Rahvaste Organisatsiooni puuetega inimeste õiguste konventsiooni sõlmimise kohta Euroopa Ühenduse nimel (ELT L 23, 27.1.2010, lk 35).

(9)  Euroopa Parlamendi ja nõukogu 9. juuli 2008. aasta määrus (EÜ) nr 765/2008, millega sätestatakse akrediteerimise ja turujärelevalve nõuded seoses toodete turustamisega ja tunnistatakse kehtetuks määrus (EMÜ) nr 339/93 (ELT L 218, 13.8.2008, lk 30).

(10)  Komisjoni 16. oktoobri 2009. aasta otsus 2009/767/EÜ, millega kehtestatakse meetmed elektrooniliste haldustoimingute kasutamise lihtsustamiseks nn ühtsete kontaktpunktide kaudu, mis on sätestatud Euroopa Parlamendi ja nõukogu direktiivis 2006/123/EÜ teenuste kohta siseturul (ELT L 274, 20.10.2009, lk 36).

(11)  Komisjoni 25. veebruari 2011. aasta otsus 2011/130/EL, millega kehtestatakse pädevate asutuste poolt elektrooniliselt allkirjastatud dokumentide piiriülese töötlemise miinimumnõuded vastavalt Euroopa Parlamendi ja nõukogu direktiivile 2006/123/EÜ teenuste kohta siseturul (ELT L 53, 26.2.2011, lk 66).

(12)  Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13).

(13)  Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001, lk 1).

(14)  ELT C 28, 30.1.2013, lk 6.

(15)  Euroopa Parlamendi ja nõukogu 26. veebruari 2014. aasta direktiiv 2014/24/EL, milles käsitletakse riigihankeid ja millega tunnistatakse kehtetuks direktiiv 2004/18/EÜ (ELT L 94, 28.3.2014, lk 65).

---

---

---

---