EIDAS 2014/0910 FI

Sisämarkkinoiden asianmukaisen toiminnan varmistamiseksi, pyrkien samalla sähköisen tunnistamisen menetelmien ja luottamuspalvelujen tietoturvan riittävän korkeaan tasoon, tässä asetuksessa:

a)	säädetään ehdoista, joiden mukaisesti jäsenvaltiot tunnustavat toisen jäsenvaltion ilmoitetun sähköisen tunnistamisen järjestelmän piiriin kuuluvat luonnollisten henkilöiden ja oikeushenkilöiden sähköisen tunnistamisen menetelmät;

b)	säädetään luottamuspalveluja koskevista säännöistä erityisesti sähköisten transaktioiden osalta; ja

c)	vahvistetaan oikeudelliset puitteet sähköisille allekirjoituksille, sähköisille leimoille, sähköisille aikaleimoille, sähköisille asiakirjoille, sähköisille rekisteröidyille jakelupalveluille ja verkkosivustojen todentamisen varmennepalveluille.

2 artikla

Soveltamisala

1. Tätä asetusta sovelletaan jäsenvaltion ilmoittamiin sähköisen tunnistamisen järjestelmiin ja unioniin sijoittautuneisiin luottamuspalvelujen tarjoajiin.

2. Tätä asetusta ei sovelleta sellaisten luottamuspalvelujen tarjoamiseen, joita käytetään yksinomaan kansallisesta oikeudesta tai määrätyn osallistujajoukon välisistä sopimuksista johtuvissa suljetuissa järjestelmissä.

3. Tämä asetus ei vaikuta kansalliseen eikä unionin oikeuteen, joka liittyy sopimusten tekemiseen tai pätevyyteen taikka muihin muotovaatimuksia koskeviin oikeudellisiin tai menettelyllisiin velvoitteisiin.

3 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan:

1)	’sähköisellä tunnistamisella’ prosessia, jossa käytetään tiettyä luonnollista henkilöä, oikeushenkilöä tai oikeushenkilöä edustavaa luonnollista henkilöä vastaavia yksilöiviä tunnistetietoja sähköisessä muodossa;

2)	’sähköisen tunnistamisen menetelmällä’ aineellista ja/tai aineetonta kokonaisuutta, joka sisältää henkilön tunnistetietoja ja jota käytetään verkkopalveluun liittyvään todentamiseen;

3)	’henkilön tunnistetiedoilla’ tietoja, jotka mahdollistavat luonnollisen henkilön, oikeushenkilön tai oikeushenkilöä edustavan luonnollisen henkilön henkilöllisyyden toteamisen;

4)	’sähköisen tunnistamisen järjestelmällä’ sähköiseen tunnistamiseen liittyvää järjestelmää, jonka puitteissa sähköisen tunnistamisen menetelmiä myönnetään luonnollisille henkilöille, oikeushenkilöille tai oikeushenkilöä edustaville luonnollisille henkilöille;

5)	’todentamisella’ sähköistä prosessia, joka mahdollistaa luonnollisen henkilön tai oikeushenkilön sähköisen tunnistamisen tai sähköisessä muodossa olevien tietojen alkuperän ja eheyden vahvistamisen;

6)	’luottavalla osapuolella’ luonnollista henkilöä tai oikeushenkilöä, joka luottaa sähköiseen tunnistamiseen tai luottamuspalveluun;

’julkisen sektorin elimellä’ valtion viranomaista, alueviranomaista tai paikallisviranomaista, julkisoikeudellista laitosta taikka yhden tai useamman tällaisen viranomaisen tai yhden tai useamman tällaisen julkisoikeudellisen laitoksen muodostamaa yhteenliittymää, taikka yksityistä yhteisöä, jonka vähintään yksi kyseisistä viranomaisista, laitoksista tai yhteenliittymistä on valtuuttanut tarjoamaan julkisia palveluja, niiden toimiessa tällaisen valtuutuksen nojalla;

8)	’julkisoikeudellisella laitoksella’ Euroopan parlamentin ja neuvoston direktiivin 2014/24/EU (15) 2 artiklan 1 kohdan 4 alakohdassa määriteltyä laitosta;

9)	’allekirjoittajalla’ luonnollista henkilöä, joka luo sähköisen allekirjoituksen;

10)	’sähköisellä allekirjoituksella’ sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen;

11)	’kehittyneellä sähköisellä allekirjoituksella’ sähköistä allekirjoitusta, joka täyttää 26 artiklassa säädetyt vaatimukset;

12)	’hyväksytyllä sähköisellä allekirjoituksella’ kehittynyttä sähköistä allekirjoitusta, joka on luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä ja joka perustuu sähköisten allekirjoitusten hyväksyttyyn varmenteeseen;

13)	’sähköisen allekirjoituksen luontitiedoilla’ yksilöiviä tietoja, joita allekirjoittaja käyttää sähköisen allekirjoituksen luomiseen;

14)	’sähköisen allekirjoituksen varmenteella’ sähköistä todistusta, joka liittää sähköisen allekirjoituksen validointitiedot luonnolliseen henkilöön ja vahvistaa vähintään kyseisen henkilön nimen tai salanimen;

15)	’sähköisen allekirjoituksen hyväksytyllä varmenteella’ sähköisen allekirjoituksen varmennetta, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä I säädetyt vaatimukset;

16)

’luottamuspalvelulla’ sähköistä palvelua, jota yleensä tarjotaan vastiketta vastaan ja joka koostuu seuraavista:

a)	sähköisten allekirjoitusten, sähköisten leimojen tai sähköisten aikaleimojen, sähköisten rekisteröityjen jakelupalvelujen ja kyseisiin palveluihin liittyvien varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai

b)	verkkosivustojen todentamisen varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai

c)	sähköisten allekirjoitusten, leimojen tai kyseisiin palveluihin liittyvien varmenteiden säilyttämisestä;

17)	’hyväksytyllä luottamuspalvelulla’ luottamuspalvelua, joka täyttää tässä asetuksessa säädetyt sovellettavat vaatimukset;

18)

’vaatimustenmukaisuuden arviointilaitoksella’ asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa määriteltyä elintä, joka on akkreditoitu kyseisen asetuksen mukaisesti päteväksi arvioimaan hyväksyttyjen luottamuspalvelun tarjoajien ja niiden tarjoamien hyväksyttyjen luottamuspalvelujen vaatimustenmukaisuus;

19)	’luottamuspalvelun tarjoajalla’ luonnollista henkilöä tai oikeushenkilöä, joka tarjoaa yhtä tai useampaa luottamuspalvelua joko hyväksyttynä tai ei-hyväksyttynä luottamuspalvelun tarjoajana;

20)	’hyväksytyllä luottamuspalvelun tarjoajalla’ luottamuspalvelun tarjoajaa, joka tarjoaa yhtä tai useampaa hyväksyttyä luottamuspalvelua ja jolle valvontaelin on myöntänyt hyväksytyn aseman;

21)	’tuotteella’ laitteistoja tai ohjelmistoja taikka laitteistojen tai ohjelmistojen merkityksellisiä osia, jotka on tarkoitettu käytettäviksi luottamuspalveluja tarjottaessa;

22)	’sähköisen allekirjoituksen luontivälineellä’ asetuksin varustettua ohjelmistoa tai laitteistoa, jota käytetään sähköisen allekirjoituksen luomiseen;

23)	’hyväksytyllä sähköisen allekirjoituksen luontivälineellä’ sähköisen allekirjoituksen luontivälinettä, joka täyttää liitteessä II säädetyt vaatimukset;

24)	’leiman luojalla’ oikeushenkilöä, joka luo sähköisen leiman;

25)	’sähköisellä leimalla’ sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon viimeksi mainitun tiedon alkuperän ja eheyden varmistamiseksi;

26)	’kehittyneellä sähköisellä leimalla’ sähköistä leimaa, joka täyttää 36 artiklassa säädetyt vaatimukset;

27)	’hyväksytyllä sähköisellä leimalla’ kehittynyttä sähköistä leimaa, joka on luotu hyväksytyllä sähköisen leiman luontivälineellä ja joka perustuu sähköisen leiman hyväksyttyyn varmenteeseen;

28)	’sähköisen leiman luontitiedoilla’ yksilöiviä tietoja, joita sähköisen leiman luoja käyttää sähköisen leiman luomiseen;

29)	’sähköisen leiman varmenteella’ sähköistä todistusta, joka liittää sähköisen leiman validointitiedot oikeushenkilöön ja vahvistaa kyseisen henkilön nimen;

30)	’sähköisen leiman hyväksytyllä varmenteella’ sähköisen leiman varmennetta, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä III säädetyt vaatimukset;

31)	’sähköisen leiman luontivälineellä’ asetuksin varustettua ohjelmistoa tai laitteistoa, jota käytetään sähköisen leiman luomiseen;

32)	’hyväksytyllä sähköisen leiman luontivälineellä’ sähköisen leiman luontivälinettä, joka täyttää soveltuvin osin liitteessä II säädetyt vaatimukset;

33)	’sähköisellä aikaleimalla’ sähköisessä muodossa olevia tietoja, jotka sitovat muut sähköisessä muodossa olevat tiedot tiettyyn ajankohtaan ja muodostavat todisteen viimeksi mainittujen tietojen olemassaolosta kyseisenä ajankohtana;

34)	’hyväksytyllä sähköisellä aikaleimalla’ sähköistä aikaleimaa, joka täyttää 42 artiklassa säädetyt vaatimukset;

35)	’sähköisellä asiakirjalla’ kaikkea sisältöä, joka on tallennettu sähköisessä muodossa, erityisesti tekstinä tai äänenä, visuaalisessa muodossa tai audiovisuaalisena tallenteena;

36)

’sähköisellä rekisteröidyllä jakelupalvelulla’ palvelua, jonka avulla tietoa voidaan siirtää sähköisesti kolmansien osapuolten välillä ja joka antaa siirretyn tiedon käsittelyyn liittyviä todisteita, muun muassa vahvistuksen tietojen lähettämisestä ja vastaanottamisesta, ja joka suojaa siirretyt tiedot häviämisen, varkauden, vaurioitumisen tai luvattomien muutosten riskiltä;

37)	’hyväksytyllä sähköisellä rekisteröidyllä jakelupalvelulla’ sähköistä rekisteröityä jakelupalvelua, joka täyttää 44 artiklassa säädetyt vaatimukset;

38)	’verkkosivustojen todentamisen varmenteella’ todistusta, jonka avulla verkkosivusto voidaan todentaa ja joka liittää verkkosivuston siihen luonnolliseen henkilöön tai oikeushenkilöön, jolle varmenne on myönnetty;

39)	’verkkosivustojen todentamisen hyväksytyllä varmenteella’ verkkosivustojen todentamisen varmennetta, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä IV säädetyt vaatimukset;

40)	’validointitiedoilla’ tietoja, joita käytetään sähköisen allekirjoituksen tai sähköisen leiman validointiin;

41)	’validoinnilla’ prosessia sen tarkistamiseksi ja vahvistamiseksi, että sähköinen allekirjoitus tai leima on pätevä.

4 artikla

Sisämarkkinaperiaate

1. Toiseen jäsenvaltioon sijoittautuneen luottamuspalvelujen tarjoajan luottamuspalvelujen tarjoamista jäsenvaltion alueella ei saa rajoittaa syistä, jotka kuuluvat tämän asetuksen kattamiin aloihin.

2. Tämän asetuksen mukaisten tuotteiden ja luottamuspalvelujen on saatava liikkua vapaasti sisämarkkinoilla.

13 artikla

Vastuu ja todistustaakka

1. Luottamuspalvelun tarjoajat ovat vastuussa luonnolliselle henkilölle tai oikeushenkilölle tahallaan tai tuottamuksesta aiheutetusta vahingosta, joka johtuu tässä asetuksessa säädettyjen velvollisuuksien laiminlyönnistä, sanotun kuitenkaan rajoittamatta 2 kohdan soveltamista.

Ei-hyväksytyn luottamuspalvelujen tarjoajan tahallisuutta tai tuottamuksellisuutta koskeva todistustaakka on luonnollisella henkilöllä tai oikeushenkilöllä, joka hakee korvausta ensimmäisessä alakohdassa tarkoitetusta vahingosta.

Hyväksytyn luottamuspalvelun tarjoajan oletetaan toimineen tahallaan tai tuottamuksesta, ellei kyseinen hyväksytty luottamuspalvelun tarjoaja todista, että ensimmäisessä alakohdassa tarkoitettu vahinko on tapahtunut ilman kyseisen hyväksytyn luottamuspalvelun tarjoajan tahallisuutta tai tuottamuksellisuutta.

2. Jos luottamuspalvelun tarjoajat ilmoittavat tarjoamiensa palvelujen käytön rajoituksista asianmukaisesti ennakolta asiakkailleen ja jos kyseiset rajoitukset ovat kolmansien osapuolien tunnistettavissa, luottamuspalvelun tarjoajat eivät ole vastuussa vahingoista, joita aiheutuu ilmoitetut rajoitukset ylittävästä palvelujen käytöstä.

3. Edellä olevia 1 ja 2 kohtaa sovelletaan kansallisten vastuusääntöjen mukaisesti.

17 artikla

Valvontaelin

1. Jäsenvaltioiden on nimettävä valvontaelin, joka on sijoittautunut niiden alueelle, tai keskinäisellä sopimuksella toisen jäsenvaltion kanssa valvontaelin, joka on sijoittautunut kyseiseen toiseen jäsenvaltioon. Kyseinen valvontaelin vastaa valvontatehtävistä nimeävässä jäsenvaltiossa.

Valvontaelimille on annettava tarvittavat valtuudet ja riittävät resurssit tehtäviensä hoitamiseksi.

2. Jäsenvaltioiden on ilmoitettava komissiolle nimeämänsä valvontaelimen nimi ja osoite.

3. Valvontaelimellä on seuraavat tehtävät:

nimeävän jäsenvaltion alueelle sijoittautuneiden hyväksyttyjen luottamuspalvelun tarjoajien valvonta sen varmistamiseksi ennakkoon ja jälkikäteen toteutettavin valvontatoimin, että nämä hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset;

toimien toteuttaminen tarvittaessa nimeävän jäsenvaltion alueelle sijoittautuneiden ei-hyväksyttyjen luottamuspalvelun tarjoajien suhteen jälkikäteen toteutettavin valvontatoimin, jos sille ilmoitetaan, että nämä ei-hyväksytyt luottamuspalvelun tarjoajat tai niiden tarjoamat luottamuspalvelut eivät väitetysti täytä tässä asetuksessa säädettyjä vaatimuksia.

4. Sovellettaessa 3 kohtaa ja ottaen huomioon siinä säädetyt rajoitukset valvontaelimen tehtäviin sisältyy erityisesti:

a)	yhteistyö muiden valvontaelinten kanssa ja tuen antaminen niille 18 artiklan mukaisesti;

b)	jäljempänä 20 artiklan 1 kohdassa ja 21 artiklan 1 kohdassa tarkoitettujen vaatimustenmukaisuuden arviointikertomusten analysointi;

c)	muille valvontaelimille ja yleisölle tiedottaminen tietoturvaloukkauksista tai eheyden menetyksistä 19 artiklan 2 kohdan mukaisesti;

d)	komissiolle tiedottaminen valvontaelimen tärkeimmistä toimista tämän artiklan 6 kohdan mukaisesti;

e)	tarkastusten tekeminen tai vaatimustenmukaisuuden arviointilaitoksen pyytäminen suorittamaan hyväksyttyjen luottamuspalvelun tarjoajien vaatimustenmukaisuuden arviointi 20 artiklan 2 kohdan mukaisesti;

f)	yhteistyön tekeminen tietosuojaviranomaisten kanssa erityisesti tiedottamalla niille ilman aiheetonta viivytystä hyväksyttyjä luottamuspalvelun tarjoajia koskevien tarkastusten tuloksista, jos vaikuttaa siltä, että henkilötietojen suojaa koskevia sääntöjä on rikottu;

g)	hyväksytyn aseman myöntäminen luottamuspalvelujen tarjoajille ja niiden tarjoamille palveluille sekä kyseisen aseman peruuttaminen 20 ja 21 artiklan mukaisesti;

h)	jäljempänä 22 artiklan 3 kohdassa tarkoitetusta kansallisesta luotetusta luettelosta vastaavalle elimelle tiedottaminen hyväksytyn aseman myöntämistä tai peruuttamista koskevista päätöksistään, ellei tämä elin ole myös valvontaelin;

i)	lopettamissuunnitelmia koskevien säännösten olemassaolon ja asianmukaisen soveltamisen tarkistaminen tapauksissa, joissa hyväksytty luottamuspalvelun tarjoaja lopettaa toimintansa, 24 artiklan 2 kohdan h alakohdan mukainen tiedon saatavilla pitäminen mukaan lukien;

j)	sen edellyttäminen, että luottamuspalvelun tarjoajat korjaavat mahdolliset puutteet tässä asetuksessa säädettyjen vaatimusten täyttämisessä.

5. Jäsenvaltiot voivat vaatia, että valvontaelin perustaa luottamusinfrastruktuurin ja pitää sitä yllä sekä saattaa sen ajan tasalle kansallisen lain edellytysten mukaisesti.

6. Kunkin valvontaelimen on toimitettava komissiolle joka vuosi viimeistään 31 päivänä maaliskuuta kertomus tärkeimmistä toimistaan edellisenä kalenterivuonna sekä tiivistelmä luottamuspalvelun tarjoajilta 19 artiklan 2 kohdan mukaisesti saaduista loukkausilmoituksista.

7. Komissio asettaa 6 kohdassa tarkoitetun vuosikertomuksen jäsenvaltioiden saataville.

8. Komissio voi täytäntöönpanosäädöksillä määritellä 6 kohdassa tarkoitettuun kertomukseen liittyvät muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

19 artikla

Luottamuspalvelun tarjoajiin sovellettavat tietoturvavaatimukset

1. Hyväksyttyjen ja ei-hyväksyttyjen luottamuspalvelun tarjoajien on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet hallitakseen tarjoamiensa luottamuspalvelujen tietoturvaan kohdistuvat riskit. Näillä toimenpiteillä on voitava varmistaa riskiin suhteutettu tietoturvataso, ottaen huomioon uusin tekninen kehitys. Erityisesti on toteutettava toimenpiteet tietoturvapoikkeamien vaikutusten ehkäisemiseksi ja minimoimiseksi sekä tällaisten mahdollisten poikkeamien haittavaikutusten ilmoittamiseksi sidosryhmille.

2. Hyväksyttyjen ja ei-hyväksyttyjen luottamuspalvelun tarjoajien on ilman aiheetonta viivytystä mutta joka tapauksessa 24 tunnin kuluessa siitä, kun asia on tullut niiden tietoon, ilmoitettava valvontaelimelle ja tarvittaessa muille asianomaisille elimille, kuten toimivaltaiselle tietoturvasta vastaavalle kansalliselle elimelle tai tietosuojaviranomaiselle, kaikista tietoturvaloukkauksista ja eheyden menetyksistä, joilla on huomattavia vaikutuksia tarjottuun luottamuspalveluun tai sen puitteissa ylläpidettyihin henkilötietoihin.

Jos on todennäköistä, että tietoturvaloukkaus tai eheyden menetys vaikuttaa haitallisesti luonnolliseen henkilöön tai oikeushenkilöön, jolle luottamuspalvelu on tarjottu, luottamuspalvelun tarjoajan on myös tiedotettava luonnolliselle henkilölle tai oikeushenkilölle tietoturvaloukkauksesta tai eheyden menetyksestä ilman aiheetonta viivytystä.

Tarvittaessa ja erityisesti silloin, kun tietoturvaloukkaus tai eheyden menetys koskee kahta tai useampaa jäsenvaltiota, ilmoitetun valvontaelimen on tiedotettava asiasta muiden asianomaisten jäsenvaltioiden valvontaelimille ja ENISAlle.

Ilmoitetun valvontaelimen on tiedotettava asiasta yleisölle tai vaadittava luottamuspalvelun tarjoajaa tiedottamaan siitä, jos se katsoo, että tietoturvaloukkauksen tai eheyden menetyksen julkistaminen on yleisen edun mukaista.

3. Valvontaelimen on toimitettava ENISAlle kerran vuodessa tiivistelmä luottamuspalvelun tarjoajilta saamistaan tietoturvaloukkausta tai eheyden menetystä koskevista ilmoituksista.

4. Komissio voi täytäntöönpanosäädöksillä:

a)	määrittää 1 kohdassa tarkoitetut toimenpiteet tarkemmin; ja

b)	määritellä 2 kohdan soveltamiseen liittyvät muotoseikat ja menettelyt, mukaan lukien määräajat.

Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

3 JAKSO

Hyväksytyt luottamuspalvelut

23 artikla

Hyväksyttyjä luottamuspalveluja koskeva EU:n luotettavuusmerkki

1. Sen jälkeen kun 21 artiklan 2 kohdan toisessa alakohdassa tarkoitettu hyväksytty asema on merkitty 22 artiklan 1 kohdassa tarkoitettuihin luotettuihin luetteloihin, hyväksytyt luottamuspalvelun tarjoajat voivat käyttää EU:n luotettavuusmerkkiä osoittaakseen yksinkertaisella, tunnistettavalla ja selkeällä tavalla niiden tarjoamat hyväksytyt luottamuspalvelut.

2. Käyttäessään EU:n luotettavuusmerkkiä 1 kohdassa tarkoitettujen hyväksyttyjen luottamuspalvelujen yhteydessä hyväksyttyjen luottamuspalvelun tarjoajien on varmistettava, että niiden verkkosivulla on käytettävissä linkki asianomaiseen luotettuun luetteloon.

3. Komissio vahvistaa viimeistään 1 päivänä heinäkuuta 2015 täytäntöönpanosäädöksillä eritelmät hyväksyttyjä luottamuspalveluja koskevan EU:n luotettavuusmerkin muodosta ja erityisesti sen esittämistavasta, koostumuksesta, koosta ja mallista. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

24 artikla

Hyväksyttyjä luottamuspalvelun tarjoajia koskevat vaatimukset

1. Hyväksytyn luottamuspalvelun tarjoajan on myöntäessään hyväksyttyä varmennetta luottamuspalvelulle tarkastettava asianmukaisin menetelmin ja kansallisen lain mukaisesti sen luonnollisen henkilön tai oikeushenkilön henkilöllisyys ja mahdolliset muut attribuutit, jolle hyväksytty varmenne myönnetään.

Ensimmäisessä alakohdassa tarkoitetut tiedot on tarkastettava hyväksytyn luottamuspalvelun tarjoajan toimesta joko suoraan tai kolmatta osapuolta käyttäen kansallisen lain mukaisesti:

a)	luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan läsnä ollessa; tai

b)	etäältä käyttäen sähköisen tunnistamisen menetelmää, jonka osalta on ennen hyväksytyn varmenteen myöntämistä varmistettu luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan läsnäolo ja joka täyttää 8 artiklassa säädetyt ”korotettua” tai ”korkeaa” varmuustasoa koskevat vaatimukset; tai

c)	käyttäen a tai b alakohdan mukaisesti myönnettyä hyväksytyn sähköisen allekirjoituksen tai hyväksytyn sähköisen leiman varmennetta; tai

d)	käyttäen muita kansallisella tasolla hyväksyttyjä tunnistamismenetelmiä, jotka tarjoavat fyysistä läsnäoloa vastaavan varmuuden. Vaatimustenmukaisuuden arviointilaitoksen on vahvistettava varmuuden vastaavuus.

2. Hyväksyttyjä luottamuspalveluja tarjoavan hyväksytyn luottamuspalvelun tarjoajan on

a)	ilmoitettava valvontaelimelle kaikista muutoksista hyväksyttyjen luottamuspalvelujensa tarjoamisessa sekä aikomuksesta lopettaa tämä toiminta;

palkattava henkilöstöä ja tarvittaessa alihankkijoita, joilla on tarvittava asiantuntemus, luotettavuus, kokemus ja pätevyys ja jotka ovat saaneet tarvittavaa koulutusta tietoturvaa ja henkilötietojen suojaa koskevista säännöistä, ja noudatettava eurooppalaisia tai kansainvälisiä standardeja vastaavia hallinnollisia menettelyjä ja johtamismenettelyjä;

c)	ylläpidettävä 13 artiklan mukaisen vahinkovastuun riskin suhteen riittäviä taloudellisia varoja ja/tai hankittava asianmukainen vastuuvakuutus kansallisen lain mukaisesti;

d)	ilmoitettava ennen sopimussuhteen aloittamista henkilöille, jotka haluavat käyttää hyväksyttyä luottamuspalvelua, selkeästi ja kattavasti kyseisen palvelun käytön tarkoista ehdoista ja edellytyksistä, muun muassa sen käyttöä koskevista rajoituksista;

e)	käytettävä luotettavia järjestelmiä ja tuotteita, jotka on suojattu muutoksilta ja joilla varmistetaan niiden tukemien prosessien tekninen tietoturva ja luotettavuus;

käytettävä luotettavia järjestelmiä sille annettujen tietojen tallentamiseen tarkastettavissa olevassa muodossa siten, että

i)	tiedot ovat julkisesti haettavissa vain, jos siihen on saatu tietojen kohteena olevan henkilön suostumus,

ii)	ainoastaan valtuutetut henkilöt voivat syöttää tietoja ja tehdä muutoksia tallennettuihin tietoihin,

iii)	tietojen aitous voidaan tarkastaa;

g)	toteutettava tarkoituksenmukaisia toimenpiteitä tietojen väärentämisen ja varastamisen estämiseksi;

arkistoitava ja pidettävä saatavilla asianmukaisen ajan, myös sen jälkeen kun hyväksytyn luottamuspalvelun tarjoajan toiminta on lakannut, kaikki tarvittavat tiedot hyväksytyn luottamuspalvelun tarjoajan myöntämistä ja vastaanottamista tiedoista, erityisesti käytettäväksi todisteena oikeudellisissa käsittelyissä ja palvelun jatkuvuuden varmistamiseksi. Tällaisia arkistoja voidaan ylläpitää sähköisessä muodossa;

i)	ylläpidettävä ajan tasalla olevaa toiminnan lopettamissuunnitelmaa, jotta voidaan varmistaa palvelun jatkuvuus valvontaelimen 17 artiklan 4 kohdan i alakohdan nojalla tarkastamien säännösten mukaisesti;

j)	varmistettava, että henkilötietoja käsitellään lainmukaisesti direktiiviä 95/46/EY noudattaen;

k)	kun kyse on hyväksyttyjä varmenteita myöntävistä hyväksytyistä luottamuspalvelun tarjoajista, perustettava varmennetietokanta ja pidettävä se ajan tasalla.

3. Jos hyväksyttyjä varmenteita myöntävä hyväksytty luottamuspalvelujen tarjoaja päättää sulkea varmenteen, sen on kirjattava kyseinen sulkeminen varmennetietokantaansa ja julkaistava varmenteen sulkemistila oikea-aikaisesti ja joka tapauksessa 24 tunnin kuluessa pyynnön vastaanottamisesta. Sulkeminen tulee voimaan välittömästi sen julkaisemisen yhteydessä.

4. Hyväksyttyjä varmenteita myöntävien hyväksyttyjen luottamuspalvelun tarjoajien on 3 kohtaan liittyen annettava kaikille luottaville osapuolille tietoa niiden myöntämien hyväksyttyjen varmenteiden voimassaolo- tai sulkemistilasta. Tämä tieto on asetettava saataville ainakin varmennekohtaisesti jatkuvasti ja myös varmenteen voimassaolon päätyttyä automaattisella tavalla, joka on luotettava, maksuton ja tehokas.

5. Komissio voi täytäntöönpanosäädöksin vahvistaa tämän artiklan 2 kohdan e ja f alakohdan vaatimukset täyttäviin luotettaviin järjestelmiin ja tuotteisiin sovellettavien standardien viitenumerot. Jos luotettava järjestelmä tai tuote vastaa näitä standardeja, sen katsotaan olevan tässä artiklassa säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4 JAKSO

Sähköiset allekirjoitukset

42 artikla

Hyväksyttyjä sähköisiä aikaleimoja koskevat vaatimukset

1. Hyväksytyn sähköisen aikaleiman on täytettävä seuraavat vaatimukset:

a)	se sitoo tiedot päivään ja ajankohtaan niin, että voidaan kohtuudella sulkea pois mahdollisuus, että tietoja olisi muutettu huomaamatta;

b)	se perustuu virheettömään aikalähteeseen, joka on liitetty koordinoituun yleisaikaan; ja

c)	se on allekirjoitettu hyväksytyn luottamuspalvelujen tarjoajan kehittyneellä sähköisellä allekirjoituksella tai leimattu tämän kehittyneellä sähköisellä leimalla tai vastaavalla menetelmällä.

2. Komissio voi täytäntöönpanosäädöksin vahvistaa päivän ja ajankohdan sitomista tietoihin sekä virheettömiä aikalähteitä koskevien standardien viitenumerot. Jos päivän ja ajankohdan sitominen tietoihin ja virheetön aikalähde vastaavat kyseisiä standardeja, niiden katsotaan olevan 1 kohdassa säädettyjen vaatimusten mukaiset. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

7 JAKSO

Sähköiset rekisteröidyt jakelupalvelut

whereas

(21) Tällä asetuksella olisi luotava myös yleiset oikeudelliset puitteet luottamuspalvelujen käytölle.
Sillä ei kuitenkaan pitäisi asettaa yleistä velvollisuutta käyttää niitä tai ottaa käyttöön yhteyspistettä kaikkia olemassa olevia luottamuspalveluja varten.
Sen ei varsinkaan pitäisi kattaa sellaisten palvelujen tarjoamista, joita tarjotaan yksinomaan määrätyn osallistujajoukon välisissä suljetuissa järjestelmissä ja joilla ei ole vaikutuksia kolmansiin osapuoliin.
Esimerkiksi yrityksissä tai julkishallinnossa sisäisten menettelyjen hallinnoimiseksi perustettuihin järjestelmiin, joissa käytetään luottamuspalveluja, ei olisi sovellettava tämän asetuksen vaatimuksia.
Ainoastaan yleisölle tarjottujen luottamuspalvelujen, joilla on vaikutuksia kolmansiin osapuoliin, olisi oltava asetuksessa säädettyjen vaatimusten mukaisia.
Tämän asetuksen ei myöskään pitäisi kattaa näkökohtia, jotka liittyvät sellaisten sopimusten tai muiden oikeudellisten velvoitteiden vahvistamiseen ja pätevyyteen, joihin sisältyy kansallisessa tai unionin oikeudessa säädettyjä muotovaatimuksia.
Lisäksi sen ei pitäisi vaikuttaa kansallisiin muotovaatimuksiin, jotka koskevat julkisia rekistereitä, erityisesti kauppa- ja kiinteistörekistereitä.

- = -

(22) luottamuspalvelujen yleisen rajat ylittävän käytön edistämiseksi niitä olisi voitava käyttää todisteena oikeudellisissa menettelyissä kaikissa jäsenvaltioissa.
luottamuspalvelujen oikeusvaikutukset määritellään kansallisessa laissa, jollei tässä asetuksessa toisin säädetä.

- = -

(23) Siltä osin kuin tässä asetuksessa luodaan velvoite tunnustaa luottamuspalvelu, tällainen luottamuspalvelu voidaan olla tunnustamatta vain, jos se, jolle velvoite on osoitettu, ei pysty lukemaan tai tarkastamaan sitä teknisistä syistä, jotka eivät ole sen välittömässä hallinnassa.
Tämä velvoite ei saisi kuitenkaan sellaisenaan edellyttää, että julkinen elin hankkii laitteistot ja ohjelmistot, jotka ovat tarpeen kaikkien olemassa olevien luottamuspalvelujen teknistä luettavuutta varten.

- = -

(25) Jäsenvaltioiden olisi edelleen voitava vapaasti määritellä muun tyyppisiä luottamuspalveluja niiden lisäksi, jotka sisältyvät tässä asetuksessa säädettyyn suljettuun luottamuspalvelujen luetteloon, tunnustettaviksi kansallisella tasolla hyväksytyiksi luottamuspalveluiksi.

- = -

(28) Erityisesti pienten ja keskisuurten yritysten sekä kuluttajien sisämarkkinoita kohtaan tunteman luottamuksen vahvistamiseksi ja luottamuspalvelujen ja -tuotteiden käytön lisäämiseksi olisi otettava käyttöön hyväksyttyjen luottamuspalvelujen ja hyväksytyn luottamuspalvelun tarjoajan käsitteet, joiden avulla voitaisiin määritellä vaatimukset ja velvoitteet, joilla voidaan varmistaa minkä tahansa käytettävän tai tarjottavan hyväksytyn luottamuspalvelun tai -tuotteen korkea tietoturvataso.

- = -

(41) Hyväksyttyjen luottamuspalvelujen kestävyyden ja jatkuvuuden varmistamiseksi sekä hyväksyttyjen luottamuspalvelujen jatkuvuuteen kohdistuvan käyttäjien luottamuksen lisäämiseksi valvontaelinten olisi varmistettava, että on olemassa säännöksiä toiminnan lopettamista koskevista suunnitelmista ja että tällaisia säännöksiä sovelletaan asianmukaisesti tapauksissa, joissa hyväksytyt luottamuspalvelun tarjoajat lopettavat toimintansa.

- = -

(44) Tämän asetuksen tavoitteena on varmistaa johdonmukaiset puitteet luottamuspalvelujen tietoturvan ja oikeusvarmuuden korkean tason takaamiseksi.
Tältä osin komission olisi tuotteiden ja palvelujen vaatimustenmukaisuuden arviointia käsitellessään pyrittävä tarvittaessa luomaan synergioita olemassa olevien asiaankuuluvien eurooppalaisten ja kansainvälisten järjestelyjen kuten Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (9) kanssa, jossa vahvistetaan vaatimustenmukaisuuden arviointilaitosten akkreditointia ja tuotteiden markkinavalvontaa koskevat vaatimukset.

- = -

(45) Jotta saataisiin aikaan tehokas aloitusprosessi, jonka pitäisi johtaa hyväksyttyjen luottamuspalvelun tarjoajien ja niiden tarjoamien hyväksyttyjen luottamuspalvelujen sisällyttämiseen luotettuihin luetteloihin, olisi edistettävä mahdollisten hyväksyttyjen luottamuspalvelun tarjoajien ja toimivaltaisen valvontaelimen alustavaa yhteydenpitoa, joka helpottaisi hyväksyttyjen luottamuspalvelujen tarjoamista edeltävää asianmukaista taustaselvitystä.

- = -

(47) Verkkopalvelujen luotettavuus ja niiden käytön mukavuus ovat käyttäjien kannalta olennaisia tekijöitä, jotta nämä voivat täysimääräisesti hyötyä sähköisistä palveluista ja tietoisesti luottaa niihin.
Tätä varten olisi luotava EU:n luotettavuusmerkki hyväksyttyjen luottamuspalvelun tarjoajien tarjoamien hyväksyttyjen luottamuspalvelujen tunnistamiseksi.
Tällaisella hyväksyttyjä luottamuspalveluja koskevalla EU:n luotettavuusmerkillä erotettaisiin hyväksytyt luottamuspalvelut selkeästi muista luottamuspalveluista, mikä edistäisi markkinoiden avoimuutta.
EU:n luotettavuusmerkin käytön pitäisi olla hyväksytyille luottamuspalvelun tarjoajille vapaaehtoista eikä sen pitäisi luoda mitään muita velvoitteita tässä asetuksessa säädettyjen velvoitteiden lisäksi.

- = -

(72) Hyväksyessään delegoituja säädöksiä tai täytäntöönpanosäädöksiä komission olisi otettava asianmukaisesti huomioon eurooppalaisten ja kansainvälisten standardointijärjestöjen ja -elinten, erityisesti Euroopan standardisointikomitean (CEN), Euroopan telealan standardointilaitoksen (ETSI), Kansainvälisen standardisoimisjärjestön (ISO) ja Kansainvälisen televiestintäliiton (ITU) laatimat standardit ja tekniset eritelmät, jotta voidaan varmistaa sähköisen tunnistamisen ja sähköisten luottamuspalvelujen korkea tietoturvataso ja yhteentoimivuus.

- = -

keyboard_tab EIDAS 2014/0910 FI

EIDAS 2014/0910 FI