EIDAS 2014/0910 FI

1. Jäsenvaltioiden on nimettävä valvontaelin, joka on sijoittautunut niiden alueelle, tai keskinäisellä sopimuksella toisen jäsenvaltion kanssa valvontaelin, joka on sijoittautunut kyseiseen toiseen jäsenvaltioon. Kyseinen valvontaelin vastaa valvontatehtävistä nimeävässä jäsenvaltiossa.

Valvontaelimille on annettava tarvittavat valtuudet ja riittävät resurssit tehtäviensä hoitamiseksi.

2. Jäsenvaltioiden on ilmoitettava komissiolle nimeämänsä valvontaelimen nimi ja osoite.

3. Valvontaelimellä on seuraavat tehtävät:

nimeävän jäsenvaltion alueelle sijoittautuneiden hyväksyttyjen luottamuspalvelun tarjoajien valvonta sen varmistamiseksi ennakkoon ja jälkikäteen toteutettavin valvontatoimin, että nämä hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset;

toimien toteuttaminen tarvittaessa nimeävän jäsenvaltion alueelle sijoittautuneiden ei-hyväksyttyjen luottamuspalvelun tarjoajien suhteen jälkikäteen toteutettavin valvontatoimin, jos sille ilmoitetaan, että nämä ei-hyväksytyt luottamuspalvelun tarjoajat tai niiden tarjoamat luottamuspalvelut eivät väitetysti täytä tässä asetuksessa säädettyjä vaatimuksia.

4. Sovellettaessa 3 kohtaa ja ottaen huomioon siinä säädetyt rajoitukset valvontaelimen tehtäviin sisältyy erityisesti:

a)	yhteistyö muiden valvontaelinten kanssa ja tuen antaminen niille 18 artiklan mukaisesti;

b)	jäljempänä 20 artiklan 1 kohdassa ja 21 artiklan 1 kohdassa tarkoitettujen vaatimustenmukaisuuden arviointikertomusten analysointi;

c)	muille valvontaelimille ja yleisölle tiedottaminen tietoturvaloukkauksista tai eheyden menetyksistä 19 artiklan 2 kohdan mukaisesti;

d)	komissiolle tiedottaminen valvontaelimen tärkeimmistä toimista tämän artiklan 6 kohdan mukaisesti;

e)	tarkastusten tekeminen tai vaatimustenmukaisuuden arviointilaitoksen pyytäminen suorittamaan hyväksyttyjen luottamuspalvelun tarjoajien vaatimustenmukaisuuden arviointi 20 artiklan 2 kohdan mukaisesti;

f)	yhteistyön tekeminen tietosuojaviranomaisten kanssa erityisesti tiedottamalla niille ilman aiheetonta viivytystä hyväksyttyjä luottamuspalvelun tarjoajia koskevien tarkastusten tuloksista, jos vaikuttaa siltä, että henkilötietojen suojaa koskevia sääntöjä on rikottu;

g)	hyväksytyn aseman myöntäminen luottamuspalvelujen tarjoajille ja niiden tarjoamille palveluille sekä kyseisen aseman peruuttaminen 20 ja 21 artiklan mukaisesti;

h)	jäljempänä 22 artiklan 3 kohdassa tarkoitetusta kansallisesta luotetusta luettelosta vastaavalle elimelle tiedottaminen hyväksytyn aseman myöntämistä tai peruuttamista koskevista päätöksistään, ellei tämä elin ole myös valvontaelin;

i)	lopettamissuunnitelmia koskevien säännösten olemassaolon ja asianmukaisen soveltamisen tarkistaminen tapauksissa, joissa hyväksytty luottamuspalvelun tarjoaja lopettaa toimintansa, 24 artiklan 2 kohdan h alakohdan mukainen tiedon saatavilla pitäminen mukaan lukien;

j)	sen edellyttäminen, että luottamuspalvelun tarjoajat korjaavat mahdolliset puutteet tässä asetuksessa säädettyjen vaatimusten täyttämisessä.

5. Jäsenvaltiot voivat vaatia, että valvontaelin perustaa luottamusinfrastruktuurin ja pitää sitä yllä sekä saattaa sen ajan tasalle kansallisen lain edellytysten mukaisesti.

6. Kunkin valvontaelimen on toimitettava komissiolle joka vuosi viimeistään 31 päivänä maaliskuuta kertomus tärkeimmistä toimistaan edellisenä kalenterivuonna sekä tiivistelmä luottamuspalvelun tarjoajilta 19 artiklan 2 kohdan mukaisesti saaduista loukkausilmoituksista.

7. Komissio asettaa 6 kohdassa tarkoitetun vuosikertomuksen jäsenvaltioiden saataville.

8. Komissio voi täytäntöönpanosäädöksillä määritellä 6 kohdassa tarkoitettuun kertomukseen liittyvät muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

20 artikla

Hyväksyttyjen luottamuspalvelun tarjoajien valvonta

1. Vaatimustenmukaisuuden arviointilaitoksen on tarkastettava hyväksytyt luottamuspalvelun tarjoajat vähintään 24 kuukauden välein niiden omalla kustannuksella. Tarkastuksen tarkoituksena on vahvistaa, että hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset. Hyväksyttyjen luottamuspalvelun tarjoajien on toimitettava tarkastuksen perusteella laadittava vaatimustenmukaisuuden arviointikertomus valvontaelimelle kolmen työpäivän kuluessa sen vastaanottamisesta.

2. Valvontaelin voi milloin tahansa tehdä hyväksytyille luottamuspalvelun tarjoajille tarkastuksia tai pyytää vaatimustenmukaisuuden arviointilaitosta suorittamaan hyväksyttyjä luottamuspalvelun tarjoajia koskevan vaatimustenmukaisuuden arvioinnin näiden hyväksyttyjen luottamuspalvelun tarjoajien kustannuksella sen vahvistamiseksi, että ne ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista. Jos näyttää siltä, että henkilötietojen suojaan liittyviä sääntöjä on rikottu, valvontaelimen on ilmoitettava tarkastustensa tuloksista tietosuojaviranomaisille.

3. Jos valvontaelin vaatii hyväksyttyä luottamuspalvelun tarjoajaa korjaamaan mahdollisen laiminlyönnin tämän asetuksen mukaisten vaatimusten noudattamisessa ja jos kyseinen palvelun tarjoaja ei toimi pyynnön mukaisesti ja valvontaelimen tapauksen mukaan asettaman aikarajan puitteissa, valvontaelin voi erityisesti laiminlyönnin laajuuden, keston ja seuraukset huomioon ottaen perua kyseisen palvelun tarjoajan tai sen tarjoaman puutteellisen palvelun hyväksytyn aseman ja tiedottaa 22 artiklan 3 kohdassa tarkoitetulle elimelle asiasta 22 artiklan 1 kohdassa tarkoitettujen luotettujen luetteloiden ajan tasalle saattamista varten. Valvontaelin ilmoittaa hyväksytylle luottamuspalvelun tarjoajalle sen hyväksytyn aseman tai asianomaisen palvelun hyväksytyn aseman perumisesta.

4. Komissio voi täytäntöönpanosäädöksin vahvistaa viitenumeron seuraavia standardeja varten:

a)	edellä 1 kohdassa tarkoitettu vaatimustenmukaisuuden arviointilaitosten akkreditointi ja vaatimustenmukaisuuden arviointikertomus;

b)	tarkastusta koskevat säännöt, joiden mukaisesti vaatimustenmukaisuuden arviointilaitokset suorittavat 1 kohdassa tarkoitetun hyväksyttyjen luottamuspalvelun tarjoajien vaatimustenmukaisuuden arvioinnin.

Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

21 artikla

Hyväksytyn luottamuspalvelun aloittaminen

1. Jos luottamuspalvelun tarjoajat, joilla ei ole hyväksyttyä asemaa, aikovat tarjota hyväksyttyjä luottamuspalveluja, niiden on toimitettava valvontaelimelle ilmoitus aikomuksestaan yhdessä vaatimustenmukaisuuden arviointilaitoksen myöntämän vaatimustenmukaisuuden arviointikertomuksen kanssa.

2. Valvontaelin tarkastaa, täyttävätkö luottamuspalvelun tarjoaja ja sen tarjoamat luottamuspalvelut tässä asetuksessa säädetyt vaatimukset ja erityisesti hyväksyttyjä luottamuspalvelun tarjoajia ja niiden tarjoamia hyväksyttyjä luottamuspalveluja koskevat vaatimukset.

Jos valvontaelin päättää, että luottamuspalvelun tarjoaja ja sen tarjoamat luottamuspalvelut täyttävät ensimmäisessä alakohdassa tarkoitetut vaatimukset, valvontaelimen on myönnettävä luottamuspalvelun tarjoajalle ja sen tarjoamille luottamuspalveluille hyväksytty asema sekä ilmoitettava asiasta 22 artiklan 3 kohdassa tarkoitetulle elimelle 22 artiklan 1 kohdassa tarkoitettujen luotettujen luetteloiden ajan tasalle saattamista varten viimeistään kolmen kuukauden kuluttua tämän artiklan 1 kohdan mukaisesta ilmoituksesta.

Jos tarkastusta ei saada päätökseen kolmen kuukauden kuluessa ilmoituksesta, valvontaelimen on ilmoitettava asiasta luottamuspalvelun tarjoajalle ja yksilöitävä viivästyksen syyt ja ajanjakso, jonka aikana tarkastus on saatava päätökseen.

3. Hyväksytyt luottamuspalvelun tarjoajat voivat ryhtyä tarjoamaan hyväksyttyä luottamuspalvelua sen jälkeen kun hyväksytty asema on merkitty 22 artiklan 1 kohdassa tarkoitettuihin luotettuihin luetteloihin.

4. Komissio voi täytäntöönpanosäädöksillä määritellä 1 ja 2 kohdan soveltamiseen liittyvät muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

23 artikla

hyväksyttyjä luottamuspalveluja koskeva EU:n luotettavuusmerkki

1. Sen jälkeen kun 21 artiklan 2 kohdan toisessa alakohdassa tarkoitettu hyväksytty asema on merkitty 22 artiklan 1 kohdassa tarkoitettuihin luotettuihin luetteloihin, hyväksytyt luottamuspalvelun tarjoajat voivat käyttää EU:n luotettavuusmerkkiä osoittaakseen yksinkertaisella, tunnistettavalla ja selkeällä tavalla niiden tarjoamat hyväksytyt luottamuspalvelut.

2. Käyttäessään EU:n luotettavuusmerkkiä 1 kohdassa tarkoitettujen hyväksyttyjen luottamuspalvelujen yhteydessä hyväksyttyjen luottamuspalvelun tarjoajien on varmistettava, että niiden verkkosivulla on käytettävissä linkki asianomaiseen luotettuun luetteloon.

3. Komissio vahvistaa viimeistään 1 päivänä heinäkuuta 2015 täytäntöönpanosäädöksillä eritelmät hyväksyttyjä luottamuspalveluja koskevan EU:n luotettavuusmerkin muodosta ja erityisesti sen esittämistavasta, koostumuksesta, koosta ja mallista. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

24 artikla

hyväksyttyjä luottamuspalvelun tarjoajia koskevat vaatimukset

1. Hyväksytyn luottamuspalvelun tarjoajan on myöntäessään hyväksyttyä varmennetta luottamuspalvelulle tarkastettava asianmukaisin menetelmin ja kansallisen lain mukaisesti sen luonnollisen henkilön tai oikeushenkilön henkilöllisyys ja mahdolliset muut attribuutit, jolle hyväksytty varmenne myönnetään.

Ensimmäisessä alakohdassa tarkoitetut tiedot on tarkastettava hyväksytyn luottamuspalvelun tarjoajan toimesta joko suoraan tai kolmatta osapuolta käyttäen kansallisen lain mukaisesti:

a)	luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan läsnä ollessa; tai

b)	etäältä käyttäen sähköisen tunnistamisen menetelmää, jonka osalta on ennen hyväksytyn varmenteen myöntämistä varmistettu luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan läsnäolo ja joka täyttää 8 artiklassa säädetyt ”korotettua” tai ”korkeaa” varmuustasoa koskevat vaatimukset; tai

c)	käyttäen a tai b alakohdan mukaisesti myönnettyä hyväksytyn sähköisen allekirjoituksen tai hyväksytyn sähköisen leiman varmennetta; tai

d)	käyttäen muita kansallisella tasolla hyväksyttyjä tunnistamismenetelmiä, jotka tarjoavat fyysistä läsnäoloa vastaavan varmuuden. Vaatimustenmukaisuuden arviointilaitoksen on vahvistettava varmuuden vastaavuus.

2. hyväksyttyjä luottamuspalveluja tarjoavan hyväksytyn luottamuspalvelun tarjoajan on

a)	ilmoitettava valvontaelimelle kaikista muutoksista hyväksyttyjen luottamuspalvelujensa tarjoamisessa sekä aikomuksesta lopettaa tämä toiminta;

palkattava henkilöstöä ja tarvittaessa alihankkijoita, joilla on tarvittava asiantuntemus, luotettavuus, kokemus ja pätevyys ja jotka ovat saaneet tarvittavaa koulutusta tietoturvaa ja henkilötietojen suojaa koskevista säännöistä, ja noudatettava eurooppalaisia tai kansainvälisiä standardeja vastaavia hallinnollisia menettelyjä ja johtamismenettelyjä;

c)	ylläpidettävä 13 artiklan mukaisen vahinkovastuun riskin suhteen riittäviä taloudellisia varoja ja/tai hankittava asianmukainen vastuuvakuutus kansallisen lain mukaisesti;

d)	ilmoitettava ennen sopimussuhteen aloittamista henkilöille, jotka haluavat käyttää hyväksyttyä luottamuspalvelua, selkeästi ja kattavasti kyseisen palvelun käytön tarkoista ehdoista ja edellytyksistä, muun muassa sen käyttöä koskevista rajoituksista;

e)	käytettävä luotettavia järjestelmiä ja tuotteita, jotka on suojattu muutoksilta ja joilla varmistetaan niiden tukemien prosessien tekninen tietoturva ja luotettavuus;

käytettävä luotettavia järjestelmiä sille annettujen tietojen tallentamiseen tarkastettavissa olevassa muodossa siten, että

i)	tiedot ovat julkisesti haettavissa vain, jos siihen on saatu tietojen kohteena olevan henkilön suostumus,

ii)	ainoastaan valtuutetut henkilöt voivat syöttää tietoja ja tehdä muutoksia tallennettuihin tietoihin,

iii)	tietojen aitous voidaan tarkastaa;

g)	toteutettava tarkoituksenmukaisia toimenpiteitä tietojen väärentämisen ja varastamisen estämiseksi;

arkistoitava ja pidettävä saatavilla asianmukaisen ajan, myös sen jälkeen kun hyväksytyn luottamuspalvelun tarjoajan toiminta on lakannut, kaikki tarvittavat tiedot hyväksytyn luottamuspalvelun tarjoajan myöntämistä ja vastaanottamista tiedoista, erityisesti käytettäväksi todisteena oikeudellisissa käsittelyissä ja palvelun jatkuvuuden varmistamiseksi. Tällaisia arkistoja voidaan ylläpitää sähköisessä muodossa;

i)	ylläpidettävä ajan tasalla olevaa toiminnan lopettamissuunnitelmaa, jotta voidaan varmistaa palvelun jatkuvuus valvontaelimen 17 artiklan 4 kohdan i alakohdan nojalla tarkastamien säännösten mukaisesti;

j)	varmistettava, että henkilötietoja käsitellään lainmukaisesti direktiiviä 95/46/EY noudattaen;

k)	kun kyse on hyväksyttyjä varmenteita myöntävistä hyväksytyistä luottamuspalvelun tarjoajista, perustettava varmennetietokanta ja pidettävä se ajan tasalla.

3. Jos hyväksyttyjä varmenteita myöntävä hyväksytty luottamuspalvelujen tarjoaja päättää sulkea varmenteen, sen on kirjattava kyseinen sulkeminen varmennetietokantaansa ja julkaistava varmenteen sulkemistila oikea-aikaisesti ja joka tapauksessa 24 tunnin kuluessa pyynnön vastaanottamisesta. Sulkeminen tulee voimaan välittömästi sen julkaisemisen yhteydessä.

4. hyväksyttyjä varmenteita myöntävien hyväksyttyjen luottamuspalvelun tarjoajien on 3 kohtaan liittyen annettava kaikille luottaville osapuolille tietoa niiden myöntämien hyväksyttyjen varmenteiden voimassaolo- tai sulkemistilasta. Tämä tieto on asetettava saataville ainakin varmennekohtaisesti jatkuvasti ja myös varmenteen voimassaolon päätyttyä automaattisella tavalla, joka on luotettava, maksuton ja tehokas.

5. Komissio voi täytäntöönpanosäädöksin vahvistaa tämän artiklan 2 kohdan e ja f alakohdan vaatimukset täyttäviin luotettaviin järjestelmiin ja tuotteisiin sovellettavien standardien viitenumerot. Jos luotettava järjestelmä tai tuote vastaa näitä standardeja, sen katsotaan olevan tässä artiklassa säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4 JAKSO

Sähköiset allekirjoitukset

29 artikla

hyväksyttyjä sähköisen allekirjoituksen luontivälineitä koskevat vaatimukset

1. Hyväksyttyjen sähköisen allekirjoituksen luontivälineiden on täytettävä liitteessä II säädetyt vaatimukset.

2. Komissio voi täytäntöönpanosäädöksin vahvistaa hyväksyttyihin sähköisen allekirjoituksen luontivälineisiin sovellettavien standardien viitenumerot. Jos hyväksytty sähköisen allekirjoituksen luontiväline vastaa kyseisiä standardeja, sen katsotaan olevan liitteessä II säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

42 artikla

hyväksyttyjä sähköisiä aikaleimoja koskevat vaatimukset

1. Hyväksytyn sähköisen aikaleiman on täytettävä seuraavat vaatimukset:

a)	se sitoo tiedot päivään ja ajankohtaan niin, että voidaan kohtuudella sulkea pois mahdollisuus, että tietoja olisi muutettu huomaamatta;

b)	se perustuu virheettömään aikalähteeseen, joka on liitetty koordinoituun yleisaikaan; ja

c)	se on allekirjoitettu hyväksytyn luottamuspalvelujen tarjoajan kehittyneellä sähköisellä allekirjoituksella tai leimattu tämän kehittyneellä sähköisellä leimalla tai vastaavalla menetelmällä.

2. Komissio voi täytäntöönpanosäädöksin vahvistaa päivän ja ajankohdan sitomista tietoihin sekä virheettömiä aikalähteitä koskevien standardien viitenumerot. Jos päivän ja ajankohdan sitominen tietoihin ja virheetön aikalähde vastaavat kyseisiä standardeja, niiden katsotaan olevan 1 kohdassa säädettyjen vaatimusten mukaiset. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

7 JAKSO

Sähköiset rekisteröidyt jakelupalvelut

44 artikla

hyväksyttyjä sähköisiä rekisteröityjä jakelupalveluja koskevat vaatimukset

1. Hyväksyttyjen sähköisten rekisteröityjen jakelupalvelujen on täytettävä seuraavat vaatimukset:

a)	niitä tarjoaa yksi tai useampi hyväksytty luottamuspalvelun tarjoaja;

b)	niissä varmistetaan korkealla varmuustasolla lähettäjän tunnistaminen;

c)	niissä varmistetaan vastaanottajan tunnistaminen ennen tietojen toimittamista;

d)	tietojen lähettäminen ja vastaanottaminen on suojattu hyväksytyn luottamuspalvelun tarjoajan kehittyneellä sähköisellä allekirjoituksella tai kehittyneellä sähköisellä leimalla niin, että voidaan sulkea pois mahdollisuus, että tietoja olisi muutettu huomaamatta;

e)	kaikki muutokset tietojen lähettämisessä tai vastaanottamisessa tarvittavissa tiedoissa ilmoitetaan selkeästi tietojen lähettäjälle ja vastaanottajalle;

f)	tietojen lähettämisen, vastaanottamisen ja muuttamisen päivämäärä ja ajankohta ilmoitetaan hyväksytyllä sähköisellä aikaleimalla.

Kun tietoja siirretään kahden tai useamman hyväksytyn luottamuspalvelun tarjoajan välillä, a–f alakohdan vaatimuksia sovelletaan kaikkiin näihin palveluntarjoajiin.

2. Komissio voi täytäntöönpanosäädöksin vahvistaa tietojen lähettämis- ja vastaanottamisprosesseihin sovellettavien standardien viitenumerot. Jos tietojen lähettämis- ja vastaanottamisprosessi vastaa kyseisiä standardeja, sen katsotaan olevan 1 kohdassa säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

8 JAKSO

Verkkosivustojen todentaminen

45 artikla

Verkkosivustojen todentamisen hyväksyttyjä varmenteita koskevat vaatimukset

1. Verkkosivustojen todentamisen hyväksyttyjen varmenteiden on täytettävä liitteessä IV säädetyt vaatimukset.

2. Komissio voi täytäntöönpanosäädöksin vahvistaa verkkosivustojen todentamisen hyväksyttyihin varmenteisiin sovellettavien standardien viitenumerot. Jos verkkosivustojen todentamisen hyväksytty varmenne vastaa kyseisiä standardeja, sen katsotaan olevan liitteessä IV säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

IV LUKU

SÄHKÖISET ASIAKIRJAT

51 artikla

Siirtymätoimenpiteet

1. Turvallisia allekirjoituksen luontivälineitä, joiden vaatimustenmukaisuus on määritetty direktiivin 1999/93/EY 3 artiklan 4 kohdan mukaisesti, pidetään tämän asetuksen mukaisina hyväksyttyinä sähköisen allekirjoituksen luontivälineinä.

2. Direktiivin 1999/93/EY mukaisesti luonnollisille henkilöille myönnettyjä hyväksyttyjä varmenteita pidetään tämän asetuksen mukaisina sähköisten allekirjoitusten hyväksyttyinä varmenteina niiden voimassaolon päättymiseen saakka.

3. Direktiivin 1999/93/EY mukaisen hyväksyttyjä varmenteita myöntävän varmennepalvelujen tarjoajan on toimitettava valvontaelimelle vaatimustenmukaisuuden arviointikertomus mahdollisimman pian mutta viimeistään 1 päivänä heinäkuuta 2017. Kyseistä varmennepalvelujen tarjoajaa pidetään tämän asetuksen mukaisena hyväksyttynä luottamuspalvelun tarjoajana siihen saakka, kun vaatimustenmukaisuuden arviointikertomus on toimitettu ja valvontaelin on saattanut loppuun sen arvioinnin.

4. Jos direktiivin 1999/93/EY mukainen hyväksyttyjä varmenteita myöntävä varmennepalvelujen tarjoaja ei toimita valvontaelimelle vaatimustenmukaisuuden arviointikertomusta 3 kohdassa tarkoitetussa määräajassa, kyseistä varmennepalvelujen tarjoajaa ei pidetä tämän asetuksen mukaisena hyväksyttynä luottamuspalvelun tarjoajana 2 päivästä heinäkuuta 2017.

whereas

(31) Valvontaelinten olisi tehtävä yhteistyötä tietosuojaviranomaisten kanssa esimerkiksi tiedottamalla niille hyväksyttyjä luottamuspalvelun tarjoajia koskevien tarkastusten tuloksista, jos vaikuttaa siltä, että henkilötietojen suojaa koskevia sääntöjä on rikottu.
Tietojen antamisen olisi koskettava erityisesti tietoturvapoikkeamia ja henkilötietojen suojan loukkauksia.

- = -

(36) Kaikkia luottamuspalvelun tarjoajia koskevan valvontajärjestelmän perustamisessa olisi varmistettava tasapuoliset edellytykset niiden toimien ja palvelujen tietoturvalle ja vastuuvelvollisuudelle, jolloin edistetään käyttäjien suojelua ja sisämarkkinoiden toimintaa.
Ei-hyväksyttyihin luottamuspalvelun tarjoajiin olisi sovellettava joustavia ja reaktiivisia jälkikäteen toteutettavia valvontatoimia, jotka ovat perusteltavissa niiden palvelujen ja toimien luonteella.
Valvontaelimellä ei siis pitäisi olla yleistä velvoitetta valvoa ei-hyväksyttyjä palveluntarjoajia.
Valvontaelimen pitäisi toteuttaa toimia vain silloin, kun se saa tietää (esimerkiksi ei-hyväksytyn luottamuspalvelun tarjoajan itsensä tai muun valvontaelimen taholta, käyttäjän tai liikekumppanin ilmoituksen perusteella tai oman tutkintansa perusteella), että ei-hyväksytty luottamuspalvelun tarjoaja ei täytä tämän asetuksen vaatimuksia.

- = -

(47) Verkkopalvelujen luotettavuus ja niiden käytön mukavuus ovat käyttäjien kannalta olennaisia tekijöitä, jotta nämä voivat täysimääräisesti hyötyä sähköisistä palveluista ja tietoisesti luottaa niihin.
Tätä varten olisi luotava EU:n luotettavuusmerkki hyväksyttyjen luottamuspalvelun tarjoajien tarjoamien hyväksyttyjen luottamuspalvelujen tunnistamiseksi.
Tällaisella hyväksyttyjä luottamuspalveluja koskevalla EU:n luotettavuusmerkillä erotettaisiin hyväksytyt luottamuspalvelut selkeästi muista luottamuspalveluista, mikä edistäisi markkinoiden avoimuutta.
EU:n luotettavuusmerkin käytön pitäisi olla hyväksytyille luottamuspalvelun tarjoajille vapaaehtoista eikä sen pitäisi luoda mitään muita velvoitteita tässä asetuksessa säädettyjen velvoitteiden lisäksi.

- = -

(56) Tässä asetuksessa olisi vahvistettava hyväksyttyjä sähköisen allekirjoituksen luontivälineitä koskevat vaatimukset kehittyneiden sähköisten allekirjoitusten toiminnan varmistamiseksi.
Tämän asetuksen soveltamisalaan ei olisi kuuluttava se järjestelmäympäristö kokonaisuudessaan, jossa tällaiset välineet toimivat.
Näin ollen hyväksyttyjen allekirjoituksen luontivälineiden sertifioinnin soveltamisala olisi rajoitettava laitteistoihin ja järjestelmäohjelmistoihin, joita käytetään allekirjoituksen luontivälineessä luotujen, siihen tallennettujen tai siinä käsiteltyjen allekirjoituksen luontitietojen hallinnointiin ja suojaamiseen.
Kuten asiaankuuluvissa standardeissa esitetään, allekirjoituksen luontisovellukset olisi jätettävä sertifiointivelvoitteen soveltamisalan ulkopuolelle.

- = -

(60) Sähköisten leimojen hyväksyttyjä varmenteita myöntävien luottamuspalvelun tarjoajien olisi toteutettava tarvittavat toimenpiteet määrittääkseen sitä oikeushenkilöä edustavan luonnollisen henkilön henkilöllisyyden, jolle sähköisen leiman hyväksytty varmenne myönnetään, kun tällainen tunnistaminen on tarpeen kansallisella tasolla oikeudellisen tai hallinnollisen menettelyn yhteydessä.

- = -

(74) Oikeusvarmuuden varmistamiseksi markkinatoimijoille, jotka jo käyttävät direktiivin 1999/93/EY mukaisia luonnollisille henkilöille myönnettyjä hyväksyttyjä varmenteita, on tarpeen säätää riittävästä siirtymäajasta.
Vastaavasti olisi vahvistettava siirtymätoimenpiteet turvallisten allekirjoituksen luontivälineiden osalta, joiden vaatimustenmukaisuus on määritetty direktiivin 1999/93/EY mukaisesti, sekä niiden varmennepalvelujen tarjoajien osalta, jotka myöntävät hyväksyttyjä varmenteita ennen 1 päivää heinäkuuta 2016.
Lopuksi on myös tarpeen säätää komission mahdollisuudesta hyväksyä täytäntöönpanosäädökset ja delegoidut säädökset ennen kyseistä päivämäärää.

- = -

keyboard_tab EIDAS 2014/0910 FI

EIDAS 2014/0910 FI