(11) Tätä asetusta sovellettaessa olisi noudatettava täysin henkilötietojen suojaan liittyviä periaatteita, joista säädetään Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY (7).
Kun otetaan huomioon tällä asetuksella vahvistettu vastavuoroisen tunnustamisen periaate, verkkopalveluun liittyvän todentamisen olisi tältä osin koskettava ainoastaan niiden tunnistetietojen käsittelyä, jotka ovat riittäviä ja asiaankuuluvia eivätkä aiheettoman runsaita kyseisen verkkopalvelun käytön sallimiseksi.
Lisäksi luottamuspalvelun tarjoajien ja valvontaelinten olisi noudatettava luottamuksellisuutta ja käsittelyn turvallisuutta koskevia direktiivin 95/46/EY vaatimuksia.
- = -
(13) Jäsenvaltioiden olisi edelleen voitava vapaasti käyttää ja ottaa käyttöön verkkopalvelujen edellyttämiä sähköisen tunnistamisen menetelmiä.
Niiden olisi myös voitava päättää, ottavatko ne yksityisen sektorin mukaan näiden menetelmien tarjoamiseen.
Jäsenvaltioita ei olisi velvoitettava ilmoittamaan sähköisen tunnistamisen järjestelmiään komissiolle.
Jäsenvaltiot voivat päättää, ilmoittavatko ne komissiolle kaikki kansallisella tasolla käytetyt sähköisen tunnistamisen järjestelmät, joita tarvitaan ainakin julkisten verkkopalvelujen tai tiettyjen palvelujen käyttöön, vai ilmoittavatko ne vain jotkin tällaiset järjestelmät tai ei mitään niistä.
- = -
(14) Tässä asetuksessa on säädettävä joitakin ehtoja sille, mitkä sähköisen tunnistamisen menetelmät on tunnustettava ja miten sähköisen tunnistamisen järjestelmät olisi ilmoitettava.
Näiden ehtojen avulla jäsenvaltioiden olisi helpompi rakentaa tarvittavaa luottamusta toistensa sähköisen tunnistamisen järjestelmiin ja tunnustaa vastavuoroisesti sähköisen tunnistamisen menetelmät, jotka kuuluvat ilmoitettujen järjestelmien piiriin.
Vastavuoroisen tunnustamisen periaatetta olisi sovellettava, jos ilmoittavan jäsenvaltion sähköisen tunnistamisen järjestelmä täyttää ilmoittamiselle asetetut ehdot ja ilmoitus on julkaistu Euroopan unionin virallisessa lehdessä.
Vastavuoroisen tunnustamisen periaatteen tulisi kuitenkin koskea ainoastaan verkkopalveluun liittyvää todentamista.
Näihin verkkopalveluihin pääsyn ja niiden lopputarjonnan käyttäjälle olisi kuitenkin oltava tiiviisti sidoksissa kansallisessa lainsäädännössä säädettyihin ehtoihin, jotka koskevat oikeutta saada hyödyntää kyseisiä palveluja.
- = -
(15) Velvoitteen tunnustaa sähköisen tunnistamisen menetelmät olisi koskettava ainoastaan niitä menetelmiä, joiden tunnistamisen varmuustaso on yhtä korkea tai korkeampi kuin kyseiseltä verkkopalvelulta edellytettävä taso.
Lisäksi tätä velvoitetta olisi sovellettava vain, kun kyseessä oleva julkisen sektorin elin käyttää varmuustasoa ”korotettu” tai ”korkea” kyseisen verkkopalvelun käytön osalta.
Jäsenvaltioiden olisi unionin oikeuden mukaisesti voitava vapaasti tunnustaa sähköisen tunnistamisen menetelmät, joiden tunnistamisen varmuustasot ovat matalammat.
- = -
(16) Varmuustasojen olisi luonnehdittava sähköisen tunnistamisen menetelmän luotettavuuden astetta henkilön henkilöllisyyden toteamisessa ja siten tarjota varmuus siitä, että henkilö, joka väittää omaavansa tietyn henkilöllisyyden, on tosiasiassa henkilö, jolle kyseinen henkilöllisyys on osoitettu.
Varmuustaso riippuu kyseisen sähköisen tunnistamisen menetelmän tarjoamasta luottamustasosta henkilön väitetyn tai esitetyn henkilöllisyyden suhteen ottaen huomioon toteutetut prosessit (esimerkiksi henkilöllisyyden todistaminen ja varmentaminen sekä todentaminen), hallinnolliset toimet (esimerkiksi sähköisen tunnistamisen menetelmän myöntävä toimija ja menettely tällaisen menetelmän myöntämiseksi) ja tekniset tarkastukset.
Unionin rahoittamien suuren mittakaavan pilottihankkeiden, standardisoinnin ja kansainvälisen toiminnan seurauksena on laadittu lukuisia teknisiä eritelmiä ja varmuustasojen kuvauksia.
Erityisesti suuren mittakaavan pilottihanke STORK ja ISO 29115 viittaavat muun muassa tasoihin 2, 3 ja 4, jotka olisi otettava mahdollisimman tarkkaan huomioon vahvistettaessa teknisten vaatimusten, standardien ja menettelyjen vähimmäistaso tässä asetuksessa tarkoitetuille matalalle, korotetulle ja korkealle varmuustasolle, ja samalla on huolehdittava tämän asetuksen johdonmukaisesta soveltamisesta erityisesti hyväksyttyjen varmenteiden myöntämiseen liittyvän henkilöllisyyden todistamisen edellyttämän korkean varmuustason osalta.
Vahvistettujen vaatimusten olisi oltava teknologianeutraaleja.
Tarvittavat turvallisuusvaatimukset olisi oltava mahdollista saavuttaa erilaisilla teknologioilla.
- = -
(17) Jäsenvaltioiden olisi kannustettava yksityistä sektoria käyttämään vapaaehtoisesti ilmoitetun järjestelmän piiriin kuuluvia sähköisen tunnistamisen menetelmiä tunnistamistarkoituksiin, kun se on tarpeen verkkopalveluissa tai sähköisissä transaktioissa.
Tällaisten sähköisen tunnistamisen menetelmien käyttömahdollisuuden ansiosta yksityinen sektori voisi luottaa monissa jäsenvaltioissa ainakin julkisissa palveluissa jo laajasti käytettyihin sähköisen tunnistamisen ja todentamisen tapoihin, jolloin yritysten ja kansalaisten olisi helpompi käyttää niiden verkkopalveluja rajojen yli.
Jotta yksityisen sektorin olisi helpompi käyttää tällaisia sähköisen tunnistamisen menetelmiä rajojen yli, minkä tahansa jäsenvaltion tarjoaman todentamismahdollisuuden olisi oltava kyseisen jäsenvaltion alueen ulkopuolelle sijoittautuneiden yksityisen sektorin luottavien osapuolten käytettävissä samoin edellytyksin, joita sovelletaan kyseisen jäsenvaltion alueelle sijoittautuneisiin yksityisen sektorin luottaviin osapuoliin.
Näin ollen ilmoittava jäsenvaltio voi määritellä yksityisen sektorin luottavien osapuolten osalta todentamismenetelmän käyttöehdot.
Tällaisiin käyttöehtoihin voi sisältyä tieto siitä, onko ilmoitettuun järjestelmään liittyvä todentamismenetelmä parhaillaan yksityisen sektorin luottavien osapuolten käytettävissä.
- = -
(18) Tässä asetuksessa olisi säädettävä ilmoittavan jäsenvaltion, sähköisen tunnistamisen menetelmän myöntävän osapuolen ja todentamismenettelyä operoivan osapuolen vastuusta siinä tapauksessa, etteivät ne noudata tässä asetuksessa säädettyjä asianmukaisia velvoitteita.
Tätä asetusta olisi kuitenkin sovellettava kansallisten vastuusääntöjen mukaisesti.
Se ei näin ollen vaikuta näihin kansallisiin sääntöihin, jotka koskevat esimerkiksi vahinkojen määrittelyä, tai asiaan liittyviin sovellettaviin menettelysääntöihin, todistustaakka mukaan lukien.
- = -
(19) Sähköisen tunnistamisen järjestelmien tietoturva on olennainen seikka sähköisen tunnistamisen menetelmien luotettavan rajat ylittävän vastavuoroisen tunnustamisen kannalta.
Tässä yhteydessä jäsenvaltioiden olisi tehtävä yhteistyötä sähköisen tunnistamisen järjestelmien tietoturvan ja yhteentoimivuuden osalta unionin tasolla.
Kun sähköisen tunnistamisen järjestelmät edellyttävät, että luottavat osapuolet käyttävät erityisiä laitteistoja tai ohjelmistoja kansallisella tasolla, rajat ylittävä yhteentoimivuus taas edellyttää, että nämä jäsenvaltiot eivät määrää tällaisia vaatimuksia ja niihin liittyviä kustannuksia niiden alueen ulkopuolelle sijoittautuneille luottaville osapuolille.
Tässä tapauksessa olisi käsiteltävä ja kehitettävä asianmukaisia ratkaisuja yhteentoimivuusjärjestelmän puitteissa.
Kansallisten sähköisen tunnistamisen menetelmien ominaispiirteistä johtuvilta teknisiltä vaatimuksilta, jotka todennäköisesti vaikuttavat tällaisten sähköisten menetelmien (esimerkiksi älykorttien) haltijoihin, ei silti voida välttyä.
- = -
(20) Jäsenvaltioiden yhteistyön olisi edistettävä ilmoitettujen sähköisen tunnistamisen järjestelmien teknistä yhteentoimivuutta, ja siinä olisi pyrittävä vaalimaan luottamuksen ja tietoturvan korkeaa tasoa, joka on oikeassa suhteessa riskin suuruuteen.
Tällaisessa yhteistyössä olisi apua tietojenvaihdosta ja parhaiden käytäntöjen jakamisesta, joilla pyritään järjestelmien vastavuoroiseen tunnustamiseen.
- = -
(21) Tällä asetuksella olisi luotava myös yleiset oikeudelliset puitteet luottamuspalvelujen käytölle.
Sillä ei kuitenkaan pitäisi asettaa yleistä velvollisuutta käyttää niitä tai ottaa käyttöön yhteyspistettä kaikkia olemassa olevia luottamuspalveluja varten.
Sen ei varsinkaan pitäisi kattaa sellaisten palvelujen tarjoamista, joita tarjotaan yksinomaan määrätyn osallistujajoukon välisissä suljetuissa järjestelmissä ja joilla ei ole vaikutuksia kolmansiin osapuoliin.
Esimerkiksi yrityksissä tai julkishallinnossa sisäisten menettelyjen hallinnoimiseksi perustettuihin järjestelmiin, joissa käytetään luottamuspalveluja, ei olisi sovellettava tämän asetuksen vaatimuksia.
Ainoastaan yleisölle tarjottujen luottamuspalvelujen, joilla on vaikutuksia kolmansiin osapuoliin, olisi oltava asetuksessa säädettyjen vaatimusten mukaisia.
Tämän asetuksen ei myöskään pitäisi kattaa näkökohtia, jotka liittyvät sellaisten sopimusten tai muiden oikeudellisten velvoitteiden vahvistamiseen ja pätevyyteen, joihin sisältyy kansallisessa tai unionin oikeudessa säädettyjä muotovaatimuksia.
Lisäksi sen ei pitäisi vaikuttaa kansallisiin muotovaatimuksiin, jotka koskevat julkisia rekistereitä, erityisesti kauppa- ja kiinteistörekistereitä.
- = -
(22) Luottamuspalvelujen yleisen rajat ylittävän käytön edistämiseksi niitä olisi voitava käyttää todisteena oikeudellisissa menettelyissä kaikissa jäsenvaltioissa.
Luottamuspalvelujen oikeusvaikutukset määritellään kansallisessa laissa, jollei tässä asetuksessa toisin säädetä.
- = -
(24) Jäsenvaltiot voivat unionin oikeuden mukaisesti pitää voimassa tai ottaa käyttöön luottamuspalveluja koskevia kansallisia säännöksiä siltä osin kuin tällaisia palveluja ei ole täysin yhdenmukaistettu tällä asetuksella.
Tämän asetuksen mukaisten luottamuspalveluiden olisi kuitenkin liikuttava vapaasti sisämarkkinoilla.
- = -
(25) Jäsenvaltioiden olisi edelleen voitava vapaasti määritellä muun tyyppisiä luottamuspalveluja niiden lisäksi, jotka sisältyvät tässä asetuksessa säädettyyn suljettuun luottamuspalvelujen luetteloon, tunnustettaviksi kansallisella tasolla hyväksytyiksi luottamuspalveluiksi.
- = -
(26) Teknologian muutosnopeuden vuoksi tässä asetuksessa olisi omaksuttava lähestymistapa, joka on avoin innovoinnille.
- = -
(27) Tämän asetuksen olisi oltava teknologianeutraali.
Sen oikeusvaikutusten olisi oltava saavutettavissa millä tahansa teknisellä menetelmällä, kunhan asetuksen vaatimukset täyttyvät.
- = -
(28) Erityisesti pienten ja keskisuurten yritysten sekä kuluttajien sisämarkkinoita kohtaan tunteman luottamuksen vahvistamiseksi ja luottamuspalvelujen ja -tuotteiden käytön lisäämiseksi olisi otettava käyttöön hyväksyttyjen luottamuspalvelujen ja hyväksytyn luottamuspalvelun tarjoajan käsitteet, joiden avulla voitaisiin määritellä vaatimukset ja velvoitteet, joilla voidaan varmistaa minkä tahansa käytettävän tai tarjottavan hyväksytyn luottamuspalvelun tai -tuotteen korkea tietoturvataso.
- = -
(29) Neuvoston päätöksellä 2010/48/EY (8) hyväksyttyyn vammaisten henkilöiden oikeuksia koskevaan Yhdistyneiden kansakuntien yleissopimukseen ja erityisesti kyseisen yleissopimuksen 9 artiklaan sisältyvien velvoitteiden mukaisesti vammaisten olisi voitava käyttää luottamuspalveluja ja niiden tarjoamiseksi tarvittavia loppukäyttäjätuotteita tasavertaisesti muiden kuluttajien kanssa.
Näin ollen tarjotut luottamuspalvelut ja niiden tarjoamisessa käytetyt loppukäyttäjätuotteet olisi tehtävä vammaisille esteettömiksi aina kun se on toteutettavissa.
Toteutettavuuden arvioinnissa olisi otettava huomioon muun muassa tekniset ja taloudelliset näkökohdat.
- = -
(30) Jäsenvaltioiden olisi nimettävä valvontaelin tai valvontaelimiä suorittamaan tämän asetuksen mukaisia valvontatehtäviä.
Jäsenvaltioiden olisi myös voitava päättää keskinäisellä sopimuksella toisen jäsenvaltion kanssa valvontaelimen nimeämisestä kyseisen toisen jäsenvaltion alueelle.
- = -
(31) Valvontaelinten olisi tehtävä yhteistyötä tietosuojaviranomaisten kanssa esimerkiksi tiedottamalla niille hyväksyttyjä luottamuspalvelun tarjoajia koskevien tarkastusten tuloksista, jos vaikuttaa siltä, että henkilötietojen suojaa koskevia sääntöjä on rikottu.
Tietojen antamisen olisi koskettava erityisesti tietoturvapoikkeamia ja henkilötietojen suojan loukkauksia.
- = -
(32) Kaikkien luottamuspalvelun tarjoajien olisi noudatettava niiden toimintaan liittyvien riskien mukaisia hyviä tietoturvakäytänteitä, jotta käyttäjien luottamus sisämarkkinoita kohtaan lujittuisi.
- = -
(34) Kaikkien jäsenvaltioiden olisi noudatettava yhteisiä keskeisiä valvontavaatimuksia, jotta hyväksytyille luottamuspalveluille voitaisiin taata vastaava tietoturvataso.
Jotta näiden vaatimusten johdonmukainen soveltaminen koko unionissa olisi helpompaa, jäsenvaltioiden olisi otettava käyttöön keskenään vertailukelpoiset menettelyt ja vaihdettava tietoja valvontatoiminnastaan ja alan parhaista käytännöistä.
- = -
(35) Kaikkiin luottamuspalvelun tarjoajiin olisi sovellettava tämän asetuksen vaatimuksia, erityisesti tietoturvaa ja vastuuta koskevia vaatimuksia, niiden toimien ja palvelujen asianmukaisen huolellisuuden, avoimuuden ja vastuuvelvollisuuden varmistamiseksi.
Kyseisten vaatimusten osalta on kuitenkin asianmukaista tehdä ero hyväksyttyjen ja ei-hyväksyttyjen luottamuspalvelun tarjoajien välillä, luottamuspalvelun tarjoajien tarjoamien palvelujen tyyppi huomioon ottaen.
- = -
(36) Kaikkia luottamuspalvelun tarjoajia koskevan valvontajärjestelmän perustamisessa olisi varmistettava tasapuoliset edellytykset niiden toimien ja palvelujen tietoturvalle ja vastuuvelvollisuudelle, jolloin edistetään käyttäjien suojelua ja sisämarkkinoiden toimintaa.
Ei-hyväksyttyihin luottamuspalvelun tarjoajiin olisi sovellettava joustavia ja reaktiivisia jälkikäteen toteutettavia valvontatoimia, jotka ovat perusteltavissa niiden palvelujen ja toimien luonteella.
Valvontaelimellä ei siis pitäisi olla yleistä velvoitetta valvoa ei-hyväksyttyjä palveluntarjoajia.
Valvontaelimen pitäisi toteuttaa toimia vain silloin, kun se saa tietää (esimerkiksi ei-hyväksytyn luottamuspalvelun tarjoajan itsensä tai muun valvontaelimen taholta, käyttäjän tai liikekumppanin ilmoituksen perusteella tai oman tutkintansa perusteella), että ei-hyväksytty luottamuspalvelun tarjoaja ei täytä tämän asetuksen vaatimuksia.
- = -
(37) Tässä asetuksessa olisi säädettävä kaikkien luottamuspalvelun tarjoajien vastuusta.
Siinä otetaan erityisesti käyttöön vastuuta koskeva järjestelmä, jonka nojalla kaikkien luottamuspalvelun tarjoajien olisi oltava vastuussa luonnolliselle henkilölle tai oikeushenkilölle aiheutetusta vahingosta, joka johtuu tässä asetuksessa säädettyjen velvoitteiden noudattamisen laiminlyönnistä.
Niiden taloudellisten riskien arvioinnin helpottamiseksi, joita luottamuspalvelun tarjoajille saattaa aiheutua tai jotka niiden olisi katettava vakuutuksilla, tässä asetuksessa sallitaan, että luottamuspalvelun tarjoajat asettavat tietyin edellytyksin rajoituksia tarjoamiensa palvelujen käytölle ja että ne eivät ole vastuussa vahingoista, joita aiheutuu tällaiset rajoitukset ylittävästä palvelujen käytöstä.
Asiakkaille olisi ilmoitettava rajoituksista asianmukaisesti ennakolta.
Tällaisten rajoitusten olisi oltava kolmannen osapuolen tunnistettavissa esimerkiksi siten, että rajoituksia koskevia tietoja sisällytetään tarjotun palvelun ehtoihin ja edellytyksiin, tai muilla tunnistettavilla keinoilla.
Näiden periaatteiden toteuttamiseksi tätä asetusta olisi sovellettava kansallisten vastuusääntöjen mukaisesti.
Tämä asetus ei näin ollen vaikuta kyseisiin kansallisiin sääntöihin, jotka koskevat esimerkiksi vahinkojen, tahallisuuden tai tuottamuksellisuuden määrittelyä, tai asiaan liittyviin sovellettaviin menettelysääntöihin.
- = -
(39) Jotta komissio ja jäsenvaltiot voisivat arvioida tällä asetuksella perustetun tietoturvaloukkausten ilmoitusmekanismin toimivuutta, valvontaelimiä olisi pyydettävä toimittamaan asiasta tiivistettyä tietoa komissiolle ja Euroopan unionin verkko- ja tietoturvavirastolle (ENISA).
- = -
(40) Jotta komissio ja jäsenvaltiot voisivat arvioida tällä asetuksella käyttöön otetun tehostetun valvontamekanismin tuloksellisuutta, valvontaelimiä olisi pyydettävä raportoimaan toiminnastaan.
Tämä edistäisi hyvien käytäntöjen vaihtoa valvontaelinten välillä ja antaisi varmuuden keskeisten valvontavaatimusten johdonmukaisesta ja tehokkaasta noudattamisesta kaikissa jäsenvaltioissa.
- = -
(41) Hyväksyttyjen luottamuspalvelujen kestävyyden ja jatkuvuuden varmistamiseksi sekä hyväksyttyjen luottamuspalvelujen jatkuvuuteen kohdistuvan käyttäjien luottamuksen lisäämiseksi valvontaelinten olisi varmistettava, että on olemassa säännöksiä toiminnan lopettamista koskevista suunnitelmista ja että tällaisia säännöksiä sovelletaan asianmukaisesti tapauksissa, joissa hyväksytyt luottamuspalvelun tarjoajat lopettavat toimintansa.
- = -
(42) Hyväksyttyjen luottamuspalvelun tarjoajien valvonnan helpottamiseksi esimerkiksi silloin, kun palveluntarjoaja tarjoaa palvelujaan toisen jäsenvaltion alueella eikä kuulu valvonnan piiriin siellä tai kun palveluntarjoajan tietokoneet sijaitsevat toisen jäsenvaltion kuin sen sijoittautumisvaltion alueella, olisi perustettava jäsenvaltioiden valvontaelinten keskinäisen avun järjestelmä.
- = -
(43) Sen varmistamiseksi, että hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat palvelut täyttävät tässä asetuksessa säädetyt vaatimukset, vaatimustenmukaisuuden arviointilaitoksen olisi tehtävä vaatimustenmukaisuuden arviointi, ja hyväksyttyjen luottamuspalvelun tarjoajien olisi toimitettava sen perusteella laadittavat vaatimustenmukaisuuden arviointikertomukset valvontaelimelle.
Kun valvontaelin edellyttää hyväksytyn luottamuspalvelun tarjoajan toimittavan vaatimustenmukaisuuden ad hoc -arviointia koskevan kertomuksen, valvontaelimen olisi noudatettava erityisesti hyvän hallintotavan periaatetta, mukaan lukien velvoite esittää päätöstensä perustelut, sekä suhteellisuusperiaatetta.
Näin ollen valvontaelimen olisi perusteltava asianmukaisesti päätöksensä, joissa edellytetään vaatimustenmukaisuuden ad hoc -arviointia.
- = -
(44) Tämän asetuksen tavoitteena on varmistaa johdonmukaiset puitteet luottamuspalvelujen tietoturvan ja oikeusvarmuuden korkean tason takaamiseksi.
Tältä osin komission olisi tuotteiden ja palvelujen vaatimustenmukaisuuden arviointia käsitellessään pyrittävä tarvittaessa luomaan synergioita olemassa olevien asiaankuuluvien eurooppalaisten ja kansainvälisten järjestelyjen kuten Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (9) kanssa, jossa vahvistetaan vaatimustenmukaisuuden arviointilaitosten akkreditointia ja tuotteiden markkinavalvontaa koskevat vaatimukset.
- = -
(45) Jotta saataisiin aikaan tehokas aloitusprosessi, jonka pitäisi johtaa hyväksyttyjen luottamuspalvelun tarjoajien ja niiden tarjoamien hyväksyttyjen luottamuspalvelujen sisällyttämiseen luotettuihin luetteloihin, olisi edistettävä mahdollisten hyväksyttyjen luottamuspalvelun tarjoajien ja toimivaltaisen valvontaelimen alustavaa yhteydenpitoa, joka helpottaisi hyväksyttyjen luottamuspalvelujen tarjoamista edeltävää asianmukaista taustaselvitystä.
- = -
(47) Verkkopalvelujen luotettavuus ja niiden käytön mukavuus ovat käyttäjien kannalta olennaisia tekijöitä, jotta nämä voivat täysimääräisesti hyötyä sähköisistä palveluista ja tietoisesti luottaa niihin.
Tätä varten olisi luotava EU:n luotettavuusmerkki hyväksyttyjen luottamuspalvelun tarjoajien tarjoamien hyväksyttyjen luottamuspalvelujen tunnistamiseksi.
Tällaisella hyväksyttyjä luottamuspalveluja koskevalla EU:n luotettavuusmerkillä erotettaisiin hyväksytyt luottamuspalvelut selkeästi muista luottamuspalveluista, mikä edistäisi markkinoiden avoimuutta.
EU:n luotettavuusmerkin käytön pitäisi olla hyväksytyille luottamuspalvelun tarjoajille vapaaehtoista eikä sen pitäisi luoda mitään muita velvoitteita tässä asetuksessa säädettyjen velvoitteiden lisäksi.
- = -
(48) Vaikka sähköisten allekirjoitusten vastavuoroinen tunnustaminen edellyttää korkeaa tietoturvatasoa, tietyissä erityistapauksissa, kuten komission päätöksen 2009/767/EY (10) yhteydessä, myös alhaisemmalla tietoturvavarmistuksella toimivat sähköiset allekirjoitukset olisi hyväksyttävä.
- = -
(49) Tässä asetuksessa olisi vahvistettava periaate, jonka mukaan sähköisen allekirjoituksen oikeusvaikutuksia ei pitäisi kieltää sillä perusteella, että se on sähköisessä muodossa tai että se ei täytä hyväksytyn sähköisen allekirjoituksen vaatimuksia.
Sähköisten allekirjoitusten oikeusvaikutukset määritellään kuitenkin kansallisessa laissa, lukuun ottamatta tässä asetuksessa säädettyjä vaatimuksia, joiden mukaan hyväksytyllä sähköisellä allekirjoituksella olisi oltava samanlaiset oikeusvaikutukset kuin käsin kirjoitetulla allekirjoituksella.
- = -
(50) Koska jäsenvaltioiden toimivaltaiset viranomaiset käyttävät tällä hetkellä erilaisia kehittyneiden sähköisten allekirjoitusten muotoja asiakirjojensa sähköiseen allekirjoittamiseen, on tarpeen varmistaa, että jäsenvaltiot kykenevät teknisesti käsittelemään ainakin muutamia kehittyneiden sähköisten allekirjoitusten muotoja vastaanottaessaan sähköisesti allekirjoitettuja asiakirjoja.
Kun jäsenvaltioiden toimivaltaiset viranomaiset käyttävät kehittyneitä sähköisiä leimoja, olisi vastaavasti välttämätöntä varmistaa, että ne kykenevät käsittelemään ainakin muutamia kehittyneiden sähköisten leimojen muotoja.
- = -
(51) Allekirjoittajan olisi voitava antaa hyväksytyt sähköisen allekirjoituksen luontivälineet kolmannen osapuolen hoidettaviksi, kunhan käytössä on tarvittavat mekanismit ja menettelyt, joilla varmistetaan, että allekirjoittajalla on yksinomainen määräysvalta sähköisen allekirjoituksensa luontitietojen käyttöön, ja välineen käytössä noudatetaan hyväksytyille sähköisille allekirjoituksille asetettuja vaatimuksia.
- = -
(52) Sähköisten allekirjoitusten luomista etäpalveluna siten, että niiden luomista hallinnoi allekirjoittajan puolesta luottamuspalvelun tarjoaja, ollaan lisäämässä siihen liittyvien monien taloudellisten etujen vuoksi.
On kuitenkin varmistuttava siitä, että nämä sähköiset allekirjoitukset tunnustetaan oikeudellisesti samalla tavalla kuin käyttäjän yksinomaisesti hallinnoimassa ympäristössä luodut sähköiset allekirjoitukset.
Tämän vuoksi sähköisiä allekirjoituspalveluja etäpalveluna tuottavien palveluntarjoajien on noudatettava erityisiä johtamis- ja hallinnollisia tietoturvamenettelyjä ja käytettävä luotettavia järjestelmiä ja tuotteita, joihin kuuluvat turvatut sähköiset viestintäkanavat, jotta varmistettaisiin sähköisen allekirjoituksen luontiympäristön luotettavuus ja se, että ympäristöä käytetään allekirjoittajan yksinomaisessa määräysvallassa.
Jos hyväksytty sähköinen allekirjoitus luodaan etäpalveluna tarjottavaa sähköisen allekirjoituksen luontivälinettä käyttäen, olisi sovellettava tässä asetuksessa vahvistettuja hyväksyttyihin luottamuspalvelun tarjoajiin sovellettavia vaatimuksia.
- = -
(53) Hyväksyttyjen varmenteiden voimassaolon keskeyttäminen on luottamuspalvelun tarjoajien vakiintunut toimintakäytäntö useissa jäsenvaltioissa.
Se on eri asia kuin sulkeminen, ja se aiheuttaa varmenteen voimassaolon väliaikaisen päättymisen.
Oikeusvarmuuden takia varmenteen keskeytystila on aina ilmoitettava selvästi.
Tätä varten luottamuspalvelun tarjoajilla olisi oltava velvollisuus ilmoittaa selvästi varmenteen tila ja, jos se on keskeytetty, varmenteen voimassaolon keskeyttämisen tarkka ajanjakso.
Tällä asetuksella ei olisi velvoitettava luottamuspalvelun tarjoajia tai jäsenvaltioita käyttämään voimassaolon keskeyttämistä, vaan siinä olisi säädettävä avoimuussäännöistä tapauksissa, joissa tällainen käytäntö on mahdollinen.
- = -
(54) Hyväksyttyjen varmenteiden rajat ylittävä yhteentoimivuus ja tunnustaminen on edellytys hyväksyttyjen sähköisten allekirjoitusten rajat ylittävälle tunnustamiselle.
Näin ollen hyväksytyille varmenteille ei saisi asettaa pakollisia vaatimuksia, jotka ylittävät tässä asetuksessa säädetyt vaatimukset.
Kansallisella tasolla olisi kuitenkin sallittava erityisten attribuuttien, kuten yksilöivien tunnisteiden, sisällyttäminen hyväksyttyihin varmenteisiin edellyttäen, että tällaiset erityiset attribuutit eivät haittaa hyväksyttyjen varmenteiden ja sähköisten allekirjoitusten rajat ylittävää yhteentoimivuutta ja tunnustamista.
- = -
(55) Tietotekninen tietoturvasertifiointi, joka perustuu kansainvälisiin standardeihin, kuten ISO 15408 ja siihen liittyvät arviointimenetelmät ja vastavuoroista tunnustamista koskevat järjestelyt, on hyväksyttyjen sähköisen allekirjoituksen luontivälineiden turvallisuuden tarkastamisessa tärkeä väline, jota olisi edistettävä.
Innovatiiviset ratkaisut ja palvelut, kuten mobiiliallekirjoitus ja allekirjoitus pilvipalveluna, riippuvat kuitenkin sellaisista hyväksyttyjen sähköisen allekirjoituksen luontivälineiden teknisistä ja organisatorisista ratkaisuista, joita koskevia tietoturvastandardeja ei ehkä vielä ole saatavilla tai joiden osalta ensimmäinen tietotekninen tietoturvasertifiointi on käynnissä.
Tällaisten hyväksyttyjen sähköisen allekirjoituksen luontivälineiden tietoturvatasoa voitaisiin arvioida käyttäen vaihtoehtoisia prosesseja ainoastaan silloin, kun tällaisia tietoturvastandardeja ei ole saatavilla tai kun ensimmäinen tietotekninen tietoturvasertifiointi on käynnissä.
Näiden prosessien olisi oltava vertailukelpoisia tietoteknisen tietoturvasertifioinnin standardien kanssa siltä osin kuin niiden tietoturvatasot ovat vastaavat.
Näitä prosesseja voitaisiin edistää vertaisarvioinnilla.
- = -
(56) Tässä asetuksessa olisi vahvistettava hyväksyttyjä sähköisen allekirjoituksen luontivälineitä koskevat vaatimukset kehittyneiden sähköisten allekirjoitusten toiminnan varmistamiseksi.
Tämän asetuksen soveltamisalaan ei olisi kuuluttava se järjestelmäympäristö kokonaisuudessaan, jossa tällaiset välineet toimivat.
Näin ollen hyväksyttyjen allekirjoituksen luontivälineiden sertifioinnin soveltamisala olisi rajoitettava laitteistoihin ja järjestelmäohjelmistoihin, joita käytetään allekirjoituksen luontivälineessä luotujen, siihen tallennettujen tai siinä käsiteltyjen allekirjoituksen luontitietojen hallinnointiin ja suojaamiseen.
Kuten asiaankuuluvissa standardeissa esitetään, allekirjoituksen luontisovellukset olisi jätettävä sertifiointivelvoitteen soveltamisalan ulkopuolelle.
- = -
(57) Allekirjoituksen pätevyyttä koskevan oikeusvarmuuden varmistamiseksi on tärkeää yksilöidä ne hyväksytyn sähköisen allekirjoituksen osatekijät, jotka validoinnin suorittavan luottavan osapuolen olisi arvioitava.
Yksilöimällä vaatimukset sellaisille hyväksytyille luottamuspalvelun tarjoajille, jotka voivat tarjota hyväksyttyä validointipalvelua luottaville osapuolille, jotka eivät halua tai voi itse suorittaa hyväksyttyjen sähköisten allekirjoitusten validointia, voitaisiin lisäksi edistää yksityisen ja julkisen sektorin investointeja tällaisiin palveluihin.
Nämä molemmat tekijät voisivat tehdä hyväksyttyjen sähköisten allekirjoitusten validoinnista helppoa ja sujuvaa kaikille osapuolille unionin tasolla.
- = -
(58) Kun tietty transaktio edellyttää oikeushenkilön hyväksyttyä sähköistä leimaa, olisi samalla tavoin hyväksyttävä myös kyseisen oikeushenkilön valtuutetun edustajan hyväksytty sähköinen allekirjoitus.
- = -
(59) Sähköisten leimojen olisi toimittava todisteena siitä, että tietty sähköinen asiakirja on lähtöisin tietyltä oikeushenkilöltä, ja varmistettava näin asiakirjan alkuperä ja eheys.
- = -
(60) Sähköisten leimojen hyväksyttyjä varmenteita myöntävien luottamuspalvelun tarjoajien olisi toteutettava tarvittavat toimenpiteet määrittääkseen sitä oikeushenkilöä edustavan luonnollisen henkilön henkilöllisyyden, jolle sähköisen leiman hyväksytty varmenne myönnetään, kun tällainen tunnistaminen on tarpeen kansallisella tasolla oikeudellisen tai hallinnollisen menettelyn yhteydessä.
- = -
(61) Tällä asetuksella olisi varmistettava tietojen pitkäaikainen säilyminen sähköisten allekirjoitusten ja sähköisten leimojen pitkän aikavälin oikeudellinen pätevyyden varmistamiseksi ja sen takaamiseksi, että ne voidaan validoida tulevista teknologian muutoksista riippumatta.
- = -
(62) Hyväksyttyjen sähköisten aikaleimojen tietoturvan varmistamiseksi tässä asetuksessa olisi edellytettävä kehittyneiden sähköisten leimojen tai kehittyneiden sähköisten allekirjoitusten tai muiden vastaavien menetelmien käyttöä.
On ennakoitavissa, että innovointi saattaa johtaa uusiin teknologioihin, joilla voidaan varmistaa vastaava tietoturvan taso aikaleimojen osalta.
Kun käytetään muuta menetelmää kuin kehittynyttä sähköistä leimaa tai kehittynyttä sähköistä allekirjoitusta, hyväksytyn luottamuspalvelun tarjoajan olisi osoitettava vaatimustenmukaisuuden arviointikertomuksessa, että tällaisella menetelmällä varmistetaan vastaava tietoturvataso ja että se on tässä asetuksessa säädettyjen velvoitteiden mukainen.
- = -
(63) Sähköiset asiakirjat ovat tärkeitä sisämarkkinoilla suoritettavien rajat ylittävien sähköisten transaktioiden jatkokehityksen kannalta.
Tässä asetuksessa olisi vahvistettava periaate, jonka mukaan sähköisen asiakirjan oikeusvaikutuksia ei pitäisi kieltää sillä perusteella, että se on sähköisessä muodossa, sen varmistamiseksi, että sähköistä transaktiota ei olla hyväksymättä ainoastaan sillä perusteella, että asiakirja on sähköisessä muodossa.
- = -
(64) Käsitellessään kehittyneiden sähköisten allekirjoitusten ja leimojen muotoja komission olisi käytettävä perustana olemassa olevia käytäntöjä, standardeja ja säädöksiä, erityisesti komission päätöstä 2011/130/EU (11).
- = -
(67) Verkkosivustojen todentamispalvelut tarjoavat välineen, jonka avulla verkkosivustolla vieraileva henkilö voi varmistua siitä, että verkkosivuston taustalla on aito ja laillinen taho.
Nämä palvelut lisäävät luottamusta verkossa asiointiin, koska käyttäjät luottavat verkkosivustoon, joka on todennettu.
Verkkosivustojen todentamispalvelujen tarjoaminen ja käyttö ovat täysin vapaaehtoisia.
Jotta verkkosivustojen todentamisesta tulisi kuitenkin keino lisätä luottamusta, antaa käyttäjälle parempia kokemuksia ja edistää kasvua sisämarkkinoilla, tässä asetuksessa olisi säädettävä tietoturvaa ja vastuuta koskevista vähimmäisvelvoitteista palveluntarjoajien ja niiden palvelujen osalta.
Tätä varten on otettu huomioon toimialan toteuttamien olemassa olevien aloitteiden, esimerkiksi sertifiointiviranomaisten ja selainohjelmistojen myyjien foorumin (CA/B Forum), tulokset.
Lisäksi tämän asetuksen ei pitäisi estää muiden, tämän asetuksen soveltamisalaan kuulumattomien keinojen tai menetelmien käyttöä verkkosivuston todentamiseksi, eikä sen pitäisi estää kolmansista maista peräisin olevia verkkosivustojen todentamispalvelujen tarjoajia tarjoamasta palvelujaan unionin asiakkaille.
Kolmannen maan palveluntarjoajan olisi kuitenkin saatava verkkosivustojen todentamispalvelunsa tunnustettua hyväksytyiksi tämän asetuksen mukaisesti vain, jos unionin ja tarjoajan sijoittautumismaan välillä on tehty kansainvälinen sopimus.
- = -
(70) Tämän asetuksen tiettyjen yksityiskohtaisten teknisten näkökohtien täydentämiseksi joustavasti ja nopeasti komissiolle olisi siirrettävä valta hyväksyä säädöksiä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti niiden perusteiden osalta, jotka hyväksyttyjen sähköisen allekirjoituksen luontivälineiden sertifioinnista vastaavien laitosten on täytettävä.
On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla.
Komission olisi delegoituja säädöksiä valmistellessaan ja laatiessaan varmistettava, että asianomaiset asiakirjat toimitetaan Euroopan parlamentille ja neuvostolle yhtäaikaisesti, hyvissä ajoin ja asianmukaisesti.
- = -
(71) Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa, joka liittyy erityisesti niiden standardien viitenumeroiden ilmoittamiseen, joiden käyttö johtaa olettamaan tässä asetuksessa säädettyjen tiettyjen vaatimusten noudattamisesta.
Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (12) mukaisesti.
- = -
(72) Hyväksyessään delegoituja säädöksiä tai täytäntöönpanosäädöksiä komission olisi otettava asianmukaisesti huomioon eurooppalaisten ja kansainvälisten standardointijärjestöjen ja -elinten, erityisesti Euroopan standardisointikomitean (CEN), Euroopan telealan standardointilaitoksen (ETSI), Kansainvälisen standardisoimisjärjestön (ISO) ja Kansainvälisen televiestintäliiton (ITU) laatimat standardit ja tekniset eritelmät, jotta voidaan varmistaa sähköisen tunnistamisen ja sähköisten luottamuspalvelujen korkea tietoturvataso ja yhteentoimivuus.
- = -
(73) Direktiivi 1999/93/EY olisi kumottava oikeusvarmuuden ja selkeyden vuoksi.
- = -
(74) Oikeusvarmuuden varmistamiseksi markkinatoimijoille, jotka jo käyttävät direktiivin 1999/93/EY mukaisia luonnollisille henkilöille myönnettyjä hyväksyttyjä varmenteita, on tarpeen säätää riittävästä siirtymäajasta.
Vastaavasti olisi vahvistettava siirtymätoimenpiteet turvallisten allekirjoituksen luontivälineiden osalta, joiden vaatimustenmukaisuus on määritetty direktiivin 1999/93/EY mukaisesti, sekä niiden varmennepalvelujen tarjoajien osalta, jotka myöntävät hyväksyttyjä varmenteita ennen 1 päivää heinäkuuta 2016.
Lopuksi on myös tarpeen säätää komission mahdollisuudesta hyväksyä täytäntöönpanosäädökset ja delegoidut säädökset ennen kyseistä päivämäärää.
- = -