keyboard_tab EIDAS 2014/0910 FI

whereas ilmoittaa:

• whereas (53) 1

definitions:

7 artikla

Edellytykset sähköisen tunnistamisen järjestelmien ilmoittamiselle

Sähköisen tunnistamisen järjestelmä voidaan ilmoittaa 9 artiklan 1 kohdan mukaisesti, edellyttäen että kaikki seuraavat ehdot täyttyvät:

a)	sähköisen tunnistamisen järjestelmän mukaiset sähköisen tunnistamisen menetelmät on myönnetty: i) ilmoittavan jäsenvaltion toimesta; ii) ilmoittavan jäsenvaltion toimeksiannosta; tai iii) ilmoittavasta jäsenvaltiosta riippumatta niin, että kyseinen jäsenvaltio tunnustaa ne;

b)	sähköisen tunnistamisen järjestelmän mukaista sähköisen tunnistamisen menetelmää voidaan käyttää pääsemiseksi ainakin yhteen sellaiseen palveluun, jonka julkisen sektorin elin tarjoaa ja joka edellyttää ilmoittavassa jäsenvaltiossa sähköistä tunnistamista;

c)	sähköisen tunnistamisen järjestelmä ja sen puitteissa myönnetty sähköisen tunnistamisen menetelmä täyttävät 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädetyistä varmuustasoista ainakin yhden vaatimukset;

d)

ilmoittava jäsenvaltio varmistaa, että kyseistä henkilöä vastaavat yksilöivät tunnistetiedot on liitetty 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädettyä asianmukaista varmuustasoa koskevien teknisten eritelmien, standardien ja menettelyjen mukaisesti 3 artiklan 1 kohdassa tarkoitettuun luonnolliseen henkilöön tai oikeushenkilöön kyseisen järjestelmän mukaisen sähköisen tunnistamisen menetelmän myöntämisen ajankohtana;

e)

kyseisen järjestelmän mukaisen sähköisen tunnistamisen menetelmän myöntävä osapuoli varmistaa, että sähköisen tunnistamisen menetelmä on liitetty tämän artiklan d alakohdassa tarkoitettuun henkilöön 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädettyä asianmukaista varmuustasoa koskevien teknisten eritelmien, standardien ja menettelyjen mukaisesti;

f)

ilmoittava jäsenvaltio varmistaa, että todentaminen verkossa on mahdollista niin, että mikä tahansa toisen jäsenvaltion alueelle sijoittautunut luottava osapuoli kykenee vahvistamaan sähköisessä muodossa vastaanotetut henkilön tunnistetiedot. Ilmoittava jäsenvaltio voi muiden luottavien osapuolten kuin julkisen sektorin elinten osalta määrittää kyseisen todentamisen käyttöehdot. Rajat ylittävä todentaminen on tarjottava veloituksetta, kun se suoritetaan julkisen sektorin elimen tarjoaman verkkopalvelun yhteydessä. Jäsenvaltiot eivät saa asettaa tällaista todentamismahdollisuutta hyödyntäville luottaville osapuolille minkäänlaisia suhteettomia teknisiä erityisvaatimuksia, jos tällaiset vaatimukset estävät tai merkittävästi haittaavat ilmoitettujen sähköisen tunnistamisen järjestelmien yhteentoimivuutta;

g)

ilmoittava jäsenvaltio toimittaa vähintään kuusi kuukautta ennen 9 artiklan 1 kohdan mukaista ilmoittamista muille jäsenvaltioille 12 artiklan 5 kohdassa säädetyn velvoitteen täyttämiseksi kuvauksen kyseisestä järjestelmästä 12 artiklan 7 kohdassa tarkoitetuilla täytäntöönpanosäädöksillä vahvistettujen menettelyä koskevien järjestelyjen mukaisesti;

h)	sähköisen tunnistamisen järjestelmä täyttää 12 artiklan 8 kohdassa tarkoitetun täytäntöönpanosäädöksen vaatimukset.

10 artikla

Tietoturvaloukkaus

1.   Jos 9 artiklan 1 kohdan mukaisesti ilmoitettuun sähköisen tunnistamisen järjestelmään tai 7 artiklan f alakohdassa tarkoitettuun todentamiseen liittyy loukkaus tai niiden jonkin osan turvallisuus on vaarantunut tavalla, joka vaikuttaa kyseisen järjestelmän rajat ylittävän todentamisen luotettavuuteen, ilmoittavan jäsenvaltion on viipymättä keskeytettävä tai peruutettava kyseinen rajat ylittävä todentaminen tai ne osat, joiden turvallisuus on vaarantunut, ja ilmoitettava asiasta muille jäsenvaltioille ja komissiolle.

2.   Kun 1 kohdassa tarkoitettu loukkaus tai turvallisuuden vaarantuminen on korjattu, ilmoittava jäsenvaltio vahvistaa rajat ylittävän todentamisen uudelleen ja ilmoittaa asiasta muille jäsenvaltioille ja komissiolle ilman aiheetonta viivytystä.

3.   Jos 1 kohdassa tarkoitettua loukkausta tai vaarantumista ei ole korjattu kolmen kuukauden kuluessa keskeyttämisestä tai peruuttamisesta, ilmoittavan jäsenvaltion on ilmoitettava sähköisen tunnistamisen järjestelmän peruuttamisesta muille jäsenvaltioille ja komissiolle.

Komissio julkaisee Euroopan unionin virallisessa lehdessä vastaavat tarkistukset 9 artiklan 2 kohdassa tarkoitettuun luetteloon ilman aiheetonta viivytystä.

12 artikla

Yhteistyö ja yhteentoimivuus

1.   Edellä olevan 9 artiklan 1 kohdan nojalla ilmoitettujen kansallisten sähköisen tunnistamisen järjestelmien on oltava yhteentoimivia.

2.   Edellä olevan 1 kohdan soveltamiseksi perustetaan yhteentoimivuusjärjestelmä.

3.   Yhteentoimivuusjärjestelmän on täytettävä seuraavat kriteerit:

a)	se pyrkii olemaan teknologianeutraali ja eikä syrji mitään kansallisia sähköisen tunnistamisen teknisiä erityisratkaisuja jäsenvaltiossa;

b)	se noudattaa eurooppalaisia ja kansainvälisiä standardeja, kun se on mahdollista;

c)	sillä helpotetaan sisäänrakennetun yksityisyyden suojan periaatteen soveltamista; ja

d)	sillä varmistetaan, että henkilötietoja käsitellään direktiivin 95/46/EY mukaisesti.

4.   Yhteentoimivuusjärjestelmän on muodostuttava:

a)	viittauksesta teknisiin vähimmäisvaatimuksiin, jotka liittyvät 8 artiklan mukaisiin varmuustasoihin;

b)	ilmoitettujen sähköisen tunnistamisen järjestelmien kansallisten varmuustasojen kartoittamisesta suhteessa 8 artiklan mukaisiin varmuustasoihin;

c)	viittauksesta yhteentoimivuutta koskeviin teknisiin vähimmäisvaatimuksiin;

d)	viittauksesta luonnollista henkilöä tai oikeushenkilöä vastaavien yksilöivien tunnistetietojen vähimmäismäärään, joka sähköisen tunnistamisen järjestelmissä on käytettävissä;

e)	työjärjestyksestä;

f)	riidanratkaisujärjestelyistä; ja

g)	yhteisistä toiminnan turvallisuutta koskevista standardeista.

5.   Jäsenvaltioiden on tehtävä yhteistyötä seuraavilla osa-alueilla:

a)	edellä olevan 9 artiklan 1 kohdan mukaisesti ilmoitettujen sähköisen tunnistamisen järjestelmien yhteentoimivuus niiden sähköisen tunnistamisen järjestelmien kanssa, jotka jäsenvaltiot aikovat ilmoittaa; ja

b)	sähköisen tunnistamisen järjestelmien turvallisuus.

6.   Jäsenvaltioiden välinen yhteistyö muodostuu seuraavista:

a)	sähköisen tunnistamisen järjestelmiä ja erityisesti yhteentoimivuuteen ja varmuustasoihin liittyviä teknisiä vaatimuksia koskevien tietojen, kokemusten ja hyvien käytäntöjen vaihto;

b)	edellä olevan 8 artiklan mukaisten sähköisen tunnistamisen järjestelmien varmuustasojen käyttöä koskevien tietojen, kokemusten ja hyvien käytäntöjen vaihto;

c)	tämän asetuksen soveltamisalaan kuuluvien sähköisen tunnistamisen järjestelmien vertaisarviointi; ja

d)	sähköisen tunnistamisen alan merkityksellisen kehityksen tarkastelu.

7.   Komissio vahvistaa viimeistään 18 päivänä maaliskuuta 2015 täytäntöönpanosäädöksin tarvittavat menettelyä koskevat järjestelyt 5 ja 6 kohdassa tarkoitetun jäsenvaltioiden yhteistyön helpottamiseksi edistääkseen luottamuksen ja tietoturvan korkeaa tasoa, joka on oikeassa suhteessa riskin suuruuteen.

8.   Komissio antaa 3 kohdan edellytysten mukaisesti ja ottaen huomioon jäsenvaltioiden välisen yhteistyön tulokset viimeistään 18 päivänä syyskuuta 2015 4 kohdassa säädettyä yhteentoimivuusjärjestelmää koskevat täytäntöönpanosäädökset yhdenmukaisten edellytysten asettamiseksi 1 kohdan mukaisen vaatimuksen täytäntöönpanolle.

9.   Tämän artiklan 7 ja 8 kohdassa tarkoitetut täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

III   LUKU

LUOTTAMUSPALVELUT

1   JAKSO

Yleiset säännökset

20 artikla

Hyväksyttyjen luottamuspalvelun tarjoajien valvonta

1.   Vaatimustenmukaisuuden arviointilaitoksen on tarkastettava hyväksytyt luottamuspalvelun tarjoajat vähintään 24 kuukauden välein niiden omalla kustannuksella. Tarkastuksen tarkoituksena on vahvistaa, että hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset. Hyväksyttyjen luottamuspalvelun tarjoajien on toimitettava tarkastuksen perusteella laadittava vaatimustenmukaisuuden arviointikertomus valvontaelimelle kolmen työpäivän kuluessa sen vastaanottamisesta.

2.   Valvontaelin voi milloin tahansa tehdä hyväksytyille luottamuspalvelun tarjoajille tarkastuksia tai pyytää vaatimustenmukaisuuden arviointilaitosta suorittamaan hyväksyttyjä luottamuspalvelun tarjoajia koskevan vaatimustenmukaisuuden arvioinnin näiden hyväksyttyjen luottamuspalvelun tarjoajien kustannuksella sen vahvistamiseksi, että ne ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista. Jos näyttää siltä, että henkilötietojen suojaan liittyviä sääntöjä on rikottu, valvontaelimen on ilmoitettava tarkastustensa tuloksista tietosuojaviranomaisille.

3.   Jos valvontaelin vaatii hyväksyttyä luottamuspalvelun tarjoajaa korjaamaan mahdollisen laiminlyönnin tämän asetuksen mukaisten vaatimusten noudattamisessa ja jos kyseinen palvelun tarjoaja ei toimi pyynnön mukaisesti ja valvontaelimen tapauksen mukaan asettaman aikarajan puitteissa, valvontaelin voi erityisesti laiminlyönnin laajuuden, keston ja seuraukset huomioon ottaen perua kyseisen palvelun tarjoajan tai sen tarjoaman puutteellisen palvelun hyväksytyn aseman ja tiedottaa 22 artiklan 3 kohdassa tarkoitetulle elimelle asiasta 22 artiklan 1 kohdassa tarkoitettujen luotettujen luetteloiden ajan tasalle saattamista varten. Valvontaelin ilmoittaa hyväksytylle luottamuspalvelun tarjoajalle sen hyväksytyn aseman tai asianomaisen palvelun hyväksytyn aseman perumisesta.

4.   Komissio voi täytäntöönpanosäädöksin vahvistaa viitenumeron seuraavia standardeja varten:

a)	edellä 1 kohdassa tarkoitettu vaatimustenmukaisuuden arviointilaitosten akkreditointi ja vaatimustenmukaisuuden arviointikertomus;

b)	tarkastusta koskevat säännöt, joiden mukaisesti vaatimustenmukaisuuden arviointilaitokset suorittavat 1 kohdassa tarkoitetun hyväksyttyjen luottamuspalvelun tarjoajien vaatimustenmukaisuuden arvioinnin.

Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

30 artikla

Hyväksyttyjen sähköisen allekirjoituksen luontivälineiden sertifiointi

1.   Jäsenvaltioiden nimeämien asianmukaisten julkisten tai yksityisten tahojen on sertifioitava hyväksyttyjen sähköisen allekirjoituksen luontivälineiden vaatimustenmukaisuus liitteessä II säädettyjen vaatimusten kanssa.

2.   Jäsenvaltioiden on ilmoitettava komissiolle 1 kohdassa tarkoitetun julkisen tai yksityisen tahon nimi ja osoite. Komissio asettaa nämä tiedot jäsenvaltioiden saataville.

3.   Edellä 1 kohdassa tarkoitettu sertifiointi perustuu toiseen seuraavista:

a)	tietoturvan arviointiprosessi, joka on tehty noudattaen jotakin toisen alakohdan mukaisesti vahvistettuun luetteloon sisältyvää tietoteknisten tuotteiden tietoturva-arviointia koskevaa standardia; tai

b)

muu kuin a alakohdassa tarkoitettu prosessi, edellyttäen että siinä käytetään vertailukelpoisia tietoturvatasoja ja että 1 kohdassa tarkoitettu julkinen tai yksityinen taho ilmoittaa menettelystä komissiolle. Tätä prosessia voidaan käyttää ainoastaan, jos a alakohdassa tarkoitetut standardit puuttuvat tai jos a alakohdassa tarkoitetun tietoturvan arviointiprosessin suorittaminen on kesken.

Komissio vahvistaa täytäntöönpanosäädöksillä luettelon a alakohdassa tarkoitettua tietoteknisten tuotteiden tietoturva-arviointia koskevista standardeista. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4.   Siirretään komissiolle valta antaa 47 artiklan mukaisesti delegoituja säädöksiä, jotka koskevat tämän artiklan 1 kohdassa tarkoitetuille nimetyille tahoille asetettavia erityisvaatimuksia.