keyboard_tab EIDAS 2014/0910 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
-
YLEISET SÄÄNNÖKSET
- 1 7 artikla Edellytykset sähköisen tunnistamisen järjestelmien ilmoittamiselle
- 4 8 artikla Sähköisen tunnistamisen järjestelmien varmuustasot
- 1 11 artikla Vastuu LUOTTAMUSPALVELUT
- 1 24 artikla Hyväksyttyjä luottamuspalvelun tarjoajia koskevat vaatimukset Sähköiset leimat
SÄHKÖINEN TUNNISTAMINEN
Yleiset säännökset
Valvonta
Hyväksytyt luottamuspalvelut
Sähköiset allekirjoitukset
Sähköiset aikaleimat
Sähköiset rekisteröidyt jakelupalvelut
Verkkosivustojen todentaminen
SÄHKÖISET ASIAKIRJAT
SÄÄDÖSVALLAN SIIRTO JA TÄYTÄNTÖÖNPANOSÄÄNNÖKSET
LOPPUSÄÄNNÖKSET
- sähköisen 34
- tunnistamisen 34
- artiklan 20
- joka 13
- järjestelmän 9
- kohdassa 9
- mukaisesti 9
- henkilön 8
- että 8
- luottamuspalvelun 8
- kohdan 7
- hyväksytyn 7
- menetelmää 7
- henkilöllisyyden 7
- jäsenvaltio 6
- osalta 6
- vaatimukset 6
- teknisiin 6
- tarjoajan 5
- kyseisen 5
- alakohdassa 5
- menetelmien 5
- jotka 5
- yhteydessä 5
- voidaan 5
- varmuustaso 5
- sekä 4
- hyväksyttyjä 4
- tarjoaa 4
- rajat 4
- varmistaa 4
- tietojen 4
- kansallisen 4
- ilmoittava 4
- osapuoli 4
- transaktiossa 4
- lain 4
- artikla 4
- järjestelmä 4
- käyttäen 4
- siihen 4
- suhteessa 4
- varmenteen 4
- ennen 3
- luotettavuus 3
- korkea 3
- korotettu 3
- matala 3
- standardien 3
- myöntämistä 3
7 artikla
Edellytykset sähköisen tunnistamisen järjestelmien ilmoittamiselle
Sähköisen tunnistamisen järjestelmä voidaan ilmoittaa 9 artiklan 1 kohdan mukaisesti, edellyttäen että kaikki seuraavat ehdot täyttyvät:
| a) | sähköisen tunnistamisen järjestelmän mukaiset sähköisen tunnistamisen menetelmät on myönnetty:
|
| b) | sähköisen tunnistamisen järjestelmän mukaista sähköisen tunnistamisen menetelmää voidaan käyttää pääsemiseksi ainakin yhteen sellaiseen palveluun, jonka julkisen sektorin elin tarjoaa ja joka edellyttää ilmoittavassa jäsenvaltiossa sähköistä tunnistamista; |
| c) | sähköisen tunnistamisen järjestelmä ja sen puitteissa myönnetty sähköisen tunnistamisen menetelmä täyttävät 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädetyistä varmuustasoista ainakin yhden vaatimukset; |
| d) | ilmoittava jäsenvaltio varmistaa, että kyseistä henkilöä vastaavat yksilöivät tunnistetiedot on liitetty 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädettyä asianmukaista varmuustasoa koskevien teknisten eritelmien, standardien ja menettelyjen mukaisesti 3 artiklan 1 kohdassa tarkoitettuun luonnolliseen henkilöön tai oikeushenkilöön kyseisen järjestelmän mukaisen sähköisen tunnistamisen menetelmän myöntämisen ajankohtana; |
| e) | kyseisen järjestelmän mukaisen sähköisen tunnistamisen menetelmän myöntävä osapuoli varmistaa, että sähköisen tunnistamisen menetelmä on liitetty tämän artiklan d alakohdassa tarkoitettuun henkilöön 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädettyä asianmukaista varmuustasoa koskevien teknisten eritelmien, standardien ja menettelyjen mukaisesti; |
| f) | ilmoittava jäsenvaltio varmistaa, että todentaminen verkossa on mahdollista niin, että mikä tahansa toisen jäsenvaltion alueelle sijoittautunut luottava osapuoli kykenee vahvistamaan sähköisessä muodossa vastaanotetut henkilön tunnistetiedot. Ilmoittava jäsenvaltio voi muiden luottavien osapuolten kuin julkisen sektorin elinten osalta määrittää kyseisen todentamisen käyttöehdot. Rajat ylittävä todentaminen on tarjottava veloituksetta, kun se suoritetaan julkisen sektorin elimen tarjoaman verkkopalvelun yhteydessä. Jäsenvaltiot eivät saa asettaa tällaista todentamismahdollisuutta hyödyntäville luottaville osapuolille minkäänlaisia suhteettomia teknisiä erityisvaatimuksia, jos tällaiset vaatimukset estävät tai merkittävästi haittaavat ilmoitettujen sähköisen tunnistamisen järjestelmien yhteentoimivuutta; |
| g) | ilmoittava jäsenvaltio toimittaa vähintään kuusi kuukautta ennen 9 artiklan 1 kohdan mukaista ilmoittamista muille jäsenvaltioille 12 artiklan 5 kohdassa säädetyn velvoitteen täyttämiseksi kuvauksen kyseisestä järjestelmästä 12 artiklan 7 kohdassa tarkoitetuilla täytäntöönpanosäädöksillä vahvistettujen menettelyä koskevien järjestelyjen mukaisesti; |
| h) | sähköisen tunnistamisen järjestelmä täyttää 12 artiklan 8 kohdassa tarkoitetun täytäntöönpanosäädöksen vaatimukset. |
8 artikla
Sähköisen tunnistamisen järjestelmien varmuustasot
1. Sähköisen tunnistamisen järjestelmässä, joka on ilmoitettu 9 artiklan 1 kohdan nojalla, on kyseisen järjestelmän puitteissa myönnettyjen sähköisen tunnistamisen menetelmien osalta määritettävä matala, korotettu ja/tai korkea varmuustaso.
2. Matalan, korotetun ja korkean varmuustason on oltava seuraavien kriteerien mukaisia:
| a) | matala varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa rajallisen luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää henkilöllisyyden väärinkäytön tai muuttamisen riskiä; |
| b) | korotettu varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa merkittävän luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää merkittävässä määrin henkilöllisyyden väärinkäytön tai muuttamisen riskiä; |
| c) | korkea varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa korkeamman luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta kuin korotetun varmuustason omaava sähköisen tunnistamisen menetelmä ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on estää henkilöllisyyden väärinkäyttö tai muuttaminen. |
3. Asianmukaiset kansainväliset standardit huomioon ottaen ja jollei 2 kohdasta muuta johdu, komissio vahvistaa viimeistään 18 päivänä syyskuuta 2015 täytäntöönpanosäädöksillä tekniset vähimmäiseritelmät, -standardit ja -menettelyt; sähköisen tunnistamisen menetelmien matala, korotettu ja korkea varmuustaso määritellään 1 kohdan soveltamiseksi suhteessa niihin.
Nämä tekniset vähimmäiseritelmät, -standardit ja -menettelyt laaditaan ottaen huomioon seuraavien osatekijöiden luotettavuus ja laatu:
| a) | menettely sellaisten luonnollisten henkilöiden ja oikeushenkilöiden henkilöllisyyden todistamiseksi ja todentamiseksi, jotka hakevat sähköisen tunnistamisen menetelmien myöntämistä; |
| b) | myöntämismenettely haetuille sähköisen tunnistamisen menetelmille; |
| c) | todentamismekanismi, jolla luonnollinen henkilö tai oikeushenkilö käyttää sähköisen tunnistamisen menetelmää vahvistaakseen henkilöllisyytensä luottavalle osapuolelle; |
| d) | toimija, joka myöntää sähköisen tunnistamisen menetelmiä; |
| e) | muu elin, joka osallistuu hakemukseen sähköisen tunnistamisen menetelmien myöntämiseksi; ja |
| f) | myönnettyjen sähköisen tunnistamisen menetelmien tekniset eritelmät ja turvaominaisuudet. |
Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
11 artikla
Vastuu
1. Ilmoittava jäsenvaltio on vastuussa luonnolliselle henkilölle tai oikeushenkilölle tahallaan tai tuottamuksesta aiheutetusta vahingosta, joka johtuu 7 artiklan d ja f alakohdassa säädettyjen velvollisuuksien laiminlyönnistä rajat ylittävässä transaktiossa.
2. Sähköisen tunnistamisen menetelmän myöntävä osapuoli on vastuussa luonnolliselle henkilölle tai oikeushenkilölle tahallaan tai tuottamuksesta aiheutetusta vahingosta, joka johtuu 7 artiklan e alakohdassa tarkoitetun velvollisuuden laiminlyönnistä rajat ylittävässä transaktiossa.
3. Todentamismenettelyä operoiva osapuoli on vastuussa luonnolliselle henkilölle tai oikeushenkilölle tahallaan tai tuottamuksesta aiheutetusta vahingosta, joka johtuu 7 artiklan f alakohdassa tarkoitetun todentamisen asianmukaisen toiminnan varmistamatta jättämisestä rajat ylittävässä transaktiossa.
4. Edellä olevia 1, 2 ja 3 kohtaa sovelletaan kansallisten vastuusääntöjen mukaisesti.
5. Edellä olevilla 1, 2 ja 3 kohdalla ei rajoiteta kansallisen lain mukaisia osapuolten vastuita transaktiossa, jossa käytetään 9 artiklan 1 kohdan nojalla ilmoitetun sähköisen tunnistamisen järjestelmän piiriin kuuluvaa sähköisen tunnistamisen menetelmää.
24 artikla
Hyväksyttyjä luottamuspalvelun tarjoajia koskevat vaatimukset
1. Hyväksytyn luottamuspalvelun tarjoajan on myöntäessään hyväksyttyä varmennetta luottamuspalvelulle tarkastettava asianmukaisin menetelmin ja kansallisen lain mukaisesti sen luonnollisen henkilön tai oikeushenkilön henkilöllisyys ja mahdolliset muut attribuutit, jolle hyväksytty varmenne myönnetään.
Ensimmäisessä alakohdassa tarkoitetut tiedot on tarkastettava hyväksytyn luottamuspalvelun tarjoajan toimesta joko suoraan tai kolmatta osapuolta käyttäen kansallisen lain mukaisesti:
| a) | luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan läsnä ollessa; tai |
| b) | etäältä käyttäen sähköisen tunnistamisen menetelmää, jonka osalta on ennen hyväksytyn varmenteen myöntämistä varmistettu luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan läsnäolo ja joka täyttää 8 artiklassa säädetyt ”korotettua” tai ”korkeaa” varmuustasoa koskevat vaatimukset; tai |
| c) | käyttäen a tai b alakohdan mukaisesti myönnettyä hyväksytyn sähköisen allekirjoituksen tai hyväksytyn sähköisen leiman varmennetta; tai |
| d) | käyttäen muita kansallisella tasolla hyväksyttyjä tunnistamismenetelmiä, jotka tarjoavat fyysistä läsnäoloa vastaavan varmuuden. Vaatimustenmukaisuuden arviointilaitoksen on vahvistettava varmuuden vastaavuus. |
2. Hyväksyttyjä luottamuspalveluja tarjoavan hyväksytyn luottamuspalvelun tarjoajan on
| a) | ilmoitettava valvontaelimelle kaikista muutoksista hyväksyttyjen luottamuspalvelujensa tarjoamisessa sekä aikomuksesta lopettaa tämä toiminta; |
| b) | palkattava henkilöstöä ja tarvittaessa alihankkijoita, joilla on tarvittava asiantuntemus, luotettavuus, kokemus ja pätevyys ja jotka ovat saaneet tarvittavaa koulutusta tietoturvaa ja henkilötietojen suojaa koskevista säännöistä, ja noudatettava eurooppalaisia tai kansainvälisiä standardeja vastaavia hallinnollisia menettelyjä ja johtamismenettelyjä; |
| c) | ylläpidettävä 13 artiklan mukaisen vahinkovastuun riskin suhteen riittäviä taloudellisia varoja ja/tai hankittava asianmukainen vastuuvakuutus kansallisen lain mukaisesti; |
| d) | ilmoitettava ennen sopimussuhteen aloittamista henkilöille, jotka haluavat käyttää hyväksyttyä luottamuspalvelua, selkeästi ja kattavasti kyseisen palvelun käytön tarkoista ehdoista ja edellytyksistä, muun muassa sen käyttöä koskevista rajoituksista; |
| e) | käytettävä luotettavia järjestelmiä ja tuotteita, jotka on suojattu muutoksilta ja joilla varmistetaan niiden tukemien prosessien tekninen tietoturva ja luotettavuus; |
| f) | käytettävä luotettavia järjestelmiä sille annettujen tietojen tallentamiseen tarkastettavissa olevassa muodossa siten, että
|
| g) | toteutettava tarkoituksenmukaisia toimenpiteitä tietojen väärentämisen ja varastamisen estämiseksi; |
| h) | arkistoitava ja pidettävä saatavilla asianmukaisen ajan, myös sen jälkeen kun hyväksytyn luottamuspalvelun tarjoajan toiminta on lakannut, kaikki tarvittavat tiedot hyväksytyn luottamuspalvelun tarjoajan myöntämistä ja vastaanottamista tiedoista, erityisesti käytettäväksi todisteena oikeudellisissa käsittelyissä ja palvelun jatkuvuuden varmistamiseksi. Tällaisia arkistoja voidaan ylläpitää sähköisessä muodossa; |
| i) | ylläpidettävä ajan tasalla olevaa toiminnan lopettamissuunnitelmaa, jotta voidaan varmistaa palvelun jatkuvuus valvontaelimen 17 artiklan 4 kohdan i alakohdan nojalla tarkastamien säännösten mukaisesti; |
| j) | varmistettava, että henkilötietoja käsitellään lainmukaisesti direktiiviä 95/46/EY noudattaen; |
| k) | kun kyse on hyväksyttyjä varmenteita myöntävistä hyväksytyistä luottamuspalvelun tarjoajista, perustettava varmennetietokanta ja pidettävä se ajan tasalla. |
3. Jos hyväksyttyjä varmenteita myöntävä hyväksytty luottamuspalvelujen tarjoaja päättää sulkea varmenteen, sen on kirjattava kyseinen sulkeminen varmennetietokantaansa ja julkaistava varmenteen sulkemistila oikea-aikaisesti ja joka tapauksessa 24 tunnin kuluessa pyynnön vastaanottamisesta. Sulkeminen tulee voimaan välittömästi sen julkaisemisen yhteydessä.
4. Hyväksyttyjä varmenteita myöntävien hyväksyttyjen luottamuspalvelun tarjoajien on 3 kohtaan liittyen annettava kaikille luottaville osapuolille tietoa niiden myöntämien hyväksyttyjen varmenteiden voimassaolo- tai sulkemistilasta. Tämä tieto on asetettava saataville ainakin varmennekohtaisesti jatkuvasti ja myös varmenteen voimassaolon päätyttyä automaattisella tavalla, joka on luotettava, maksuton ja tehokas.
5. Komissio voi täytäntöönpanosäädöksin vahvistaa tämän artiklan 2 kohdan e ja f alakohdan vaatimukset täyttäviin luotettaviin järjestelmiin ja tuotteisiin sovellettavien standardien viitenumerot. Jos luotettava järjestelmä tai tuote vastaa näitä standardeja, sen katsotaan olevan tässä artiklassa säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
4 JAKSO
Sähköiset allekirjoitukset
whereas