EIDAS 2014/0910 FI

1. Sähköisen tunnistamisen järjestelmässä, joka on ilmoitettu 9 artiklan 1 kohdan nojalla, on kyseisen järjestelmän puitteissa myönnettyjen sähköisen tunnistamisen menetelmien osalta määritettävä matala, korotettu ja/tai korkea varmuustaso.

2. Matalan, korotetun ja korkean varmuustason on oltava seuraavien kriteerien mukaisia:

matala varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa rajallisen luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää henkilöllisyyden väärinkäytön tai muuttamisen riskiä;

korotettu varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa merkittävän luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää merkittävässä määrin henkilöllisyyden väärinkäytön tai muuttamisen riskiä;

korkea varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa korkeamman luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta kuin korotetun varmuustason omaava sähköisen tunnistamisen menetelmä ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on estää henkilöllisyyden väärinkäyttö tai muuttaminen.

3. Asianmukaiset kansainväliset standardit huomioon ottaen ja jollei 2 kohdasta muuta johdu, komissio vahvistaa viimeistään 18 päivänä syyskuuta 2015 täytäntöönpanosäädöksillä tekniset vähimmäiseritelmät, -standardit ja -menettelyt; sähköisen tunnistamisen menetelmien matala, korotettu ja korkea varmuustaso määritellään 1 kohdan soveltamiseksi suhteessa niihin.

Nämä tekniset vähimmäiseritelmät, -standardit ja -menettelyt laaditaan ottaen huomioon seuraavien osatekijöiden luotettavuus ja laatu:

a)	menettely sellaisten luonnollisten henkilöiden ja oikeushenkilöiden henkilöllisyyden todistamiseksi ja todentamiseksi, jotka hakevat sähköisen tunnistamisen menetelmien myöntämistä;

b)	myöntämismenettely haetuille sähköisen tunnistamisen menetelmille;

c)	todentamismekanismi, jolla luonnollinen henkilö tai oikeushenkilö käyttää sähköisen tunnistamisen menetelmää vahvistaakseen henkilöllisyytensä luottavalle osapuolelle;

d)	toimija, joka myöntää sähköisen tunnistamisen menetelmiä;

e)	muu elin, joka osallistuu hakemukseen sähköisen tunnistamisen menetelmien myöntämiseksi; ja

f)	myönnettyjen sähköisen tunnistamisen menetelmien tekniset eritelmät ja turvaominaisuudet.

Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

12 artikla

Yhteistyö ja yhteentoimivuus

1. Edellä olevan 9 artiklan 1 kohdan nojalla ilmoitettujen kansallisten sähköisen tunnistamisen järjestelmien on oltava yhteentoimivia.

2. Edellä olevan 1 kohdan soveltamiseksi perustetaan yhteentoimivuusjärjestelmä.

3. Yhteentoimivuusjärjestelmän on täytettävä seuraavat kriteerit:

a)	se pyrkii olemaan teknologianeutraali ja eikä syrji mitään kansallisia sähköisen tunnistamisen teknisiä erityisratkaisuja jäsenvaltiossa;

b)	se noudattaa eurooppalaisia ja kansainvälisiä standardeja, kun se on mahdollista;

c)	sillä helpotetaan sisäänrakennetun yksityisyyden suojan periaatteen soveltamista; ja

d)	sillä varmistetaan, että henkilötietoja käsitellään direktiivin 95/46/EY mukaisesti.

4. Yhteentoimivuusjärjestelmän on muodostuttava:

a)	viittauksesta teknisiin vähimmäisvaatimuksiin, jotka liittyvät 8 artiklan mukaisiin varmuustasoihin;

b)	ilmoitettujen sähköisen tunnistamisen järjestelmien kansallisten varmuustasojen kartoittamisesta suhteessa 8 artiklan mukaisiin varmuustasoihin;

c)	viittauksesta yhteentoimivuutta koskeviin teknisiin vähimmäisvaatimuksiin;

d)	viittauksesta luonnollista henkilöä tai oikeushenkilöä vastaavien yksilöivien tunnistetietojen vähimmäismäärään, joka sähköisen tunnistamisen järjestelmissä on käytettävissä;

e)	työjärjestyksestä;

f)	riidanratkaisujärjestelyistä; ja

g)	yhteisistä toiminnan turvallisuutta koskevista standardeista.

5. Jäsenvaltioiden on tehtävä yhteistyötä seuraavilla osa-alueilla:

a)	edellä olevan 9 artiklan 1 kohdan mukaisesti ilmoitettujen sähköisen tunnistamisen järjestelmien yhteentoimivuus niiden sähköisen tunnistamisen järjestelmien kanssa, jotka jäsenvaltiot aikovat ilmoittaa; ja

b)	sähköisen tunnistamisen järjestelmien turvallisuus.

6. Jäsenvaltioiden välinen yhteistyö muodostuu seuraavista:

a)	sähköisen tunnistamisen järjestelmiä ja erityisesti yhteentoimivuuteen ja varmuustasoihin liittyviä teknisiä vaatimuksia koskevien tietojen, kokemusten ja hyvien käytäntöjen vaihto;

b)	edellä olevan 8 artiklan mukaisten sähköisen tunnistamisen järjestelmien varmuustasojen käyttöä koskevien tietojen, kokemusten ja hyvien käytäntöjen vaihto;

c)	tämän asetuksen soveltamisalaan kuuluvien sähköisen tunnistamisen järjestelmien vertaisarviointi; ja

d)	sähköisen tunnistamisen alan merkityksellisen kehityksen tarkastelu.

7. Komissio vahvistaa viimeistään 18 päivänä maaliskuuta 2015 täytäntöönpanosäädöksin tarvittavat menettelyä koskevat järjestelyt 5 ja 6 kohdassa tarkoitetun jäsenvaltioiden yhteistyön helpottamiseksi edistääkseen luottamuksen ja tietoturvan korkeaa tasoa, joka on oikeassa suhteessa riskin suuruuteen.

8. Komissio antaa 3 kohdan edellytysten mukaisesti ja ottaen huomioon jäsenvaltioiden välisen yhteistyön tulokset viimeistään 18 päivänä syyskuuta 2015 4 kohdassa säädettyä yhteentoimivuusjärjestelmää koskevat täytäntöönpanosäädökset yhdenmukaisten edellytysten asettamiseksi 1 kohdan mukaisen vaatimuksen täytäntöönpanolle.

9. Tämän artiklan 7 ja 8 kohdassa tarkoitetut täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

III LUKU

LUOTTAMUSPALVELUT

1 JAKSO

Yleiset säännökset

17 artikla

Valvontaelin

1. Jäsenvaltioiden on nimettävä valvontaelin, joka on sijoittautunut niiden alueelle, tai keskinäisellä sopimuksella toisen jäsenvaltion kanssa valvontaelin, joka on sijoittautunut kyseiseen toiseen jäsenvaltioon. Kyseinen valvontaelin vastaa valvontatehtävistä nimeävässä jäsenvaltiossa.

Valvontaelimille on annettava tarvittavat valtuudet ja riittävät resurssit tehtäviensä hoitamiseksi.

2. Jäsenvaltioiden on ilmoitettava komissiolle nimeämänsä valvontaelimen nimi ja osoite.

3. Valvontaelimellä on seuraavat tehtävät:

nimeävän jäsenvaltion alueelle sijoittautuneiden hyväksyttyjen luottamuspalvelun tarjoajien valvonta sen varmistamiseksi ennakkoon ja jälkikäteen toteutettavin valvontatoimin, että nämä hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset;

toimien toteuttaminen tarvittaessa nimeävän jäsenvaltion alueelle sijoittautuneiden ei-hyväksyttyjen luottamuspalvelun tarjoajien suhteen jälkikäteen toteutettavin valvontatoimin, jos sille ilmoitetaan, että nämä ei-hyväksytyt luottamuspalvelun tarjoajat tai niiden tarjoamat luottamuspalvelut eivät väitetysti täytä tässä asetuksessa säädettyjä vaatimuksia.

4. Sovellettaessa 3 kohtaa ja ottaen huomioon siinä säädetyt rajoitukset valvontaelimen tehtäviin sisältyy erityisesti:

a)	yhteistyö muiden valvontaelinten kanssa ja tuen antaminen niille 18 artiklan mukaisesti;

b)	jäljempänä 20 artiklan 1 kohdassa ja 21 artiklan 1 kohdassa tarkoitettujen vaatimustenmukaisuuden arviointikertomusten analysointi;

c)	muille valvontaelimille ja yleisölle tiedottaminen tietoturvaloukkauksista tai eheyden menetyksistä 19 artiklan 2 kohdan mukaisesti;

d)	komissiolle tiedottaminen valvontaelimen tärkeimmistä toimista tämän artiklan 6 kohdan mukaisesti;

e)	tarkastusten tekeminen tai vaatimustenmukaisuuden arviointilaitoksen pyytäminen suorittamaan hyväksyttyjen luottamuspalvelun tarjoajien vaatimustenmukaisuuden arviointi 20 artiklan 2 kohdan mukaisesti;

f)	yhteistyön tekeminen tietosuojaviranomaisten kanssa erityisesti tiedottamalla niille ilman aiheetonta viivytystä hyväksyttyjä luottamuspalvelun tarjoajia koskevien tarkastusten tuloksista, jos vaikuttaa siltä, että henkilötietojen suojaa koskevia sääntöjä on rikottu;

g)	hyväksytyn aseman myöntäminen luottamuspalvelujen tarjoajille ja niiden tarjoamille palveluille sekä kyseisen aseman peruuttaminen 20 ja 21 artiklan mukaisesti;

h)	jäljempänä 22 artiklan 3 kohdassa tarkoitetusta kansallisesta luotetusta luettelosta vastaavalle elimelle tiedottaminen hyväksytyn aseman myöntämistä tai peruuttamista koskevista päätöksistään, ellei tämä elin ole myös valvontaelin;

i)	lopettamissuunnitelmia koskevien säännösten olemassaolon ja asianmukaisen soveltamisen tarkistaminen tapauksissa, joissa hyväksytty luottamuspalvelun tarjoaja lopettaa toimintansa, 24 artiklan 2 kohdan h alakohdan mukainen tiedon saatavilla pitäminen mukaan lukien;

j)	sen edellyttäminen, että luottamuspalvelun tarjoajat korjaavat mahdolliset puutteet tässä asetuksessa säädettyjen vaatimusten täyttämisessä.

5. Jäsenvaltiot voivat vaatia, että valvontaelin perustaa luottamusinfrastruktuurin ja pitää sitä yllä sekä saattaa sen ajan tasalle kansallisen lain edellytysten mukaisesti.

6. Kunkin valvontaelimen on toimitettava komissiolle joka vuosi viimeistään 31 päivänä maaliskuuta kertomus tärkeimmistä toimistaan edellisenä kalenterivuonna sekä tiivistelmä luottamuspalvelun tarjoajilta 19 artiklan 2 kohdan mukaisesti saaduista loukkausilmoituksista.

7. Komissio asettaa 6 kohdassa tarkoitetun vuosikertomuksen jäsenvaltioiden saataville.

8. Komissio voi täytäntöönpanosäädöksillä määritellä 6 kohdassa tarkoitettuun kertomukseen liittyvät muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

22 artikla

Luotetut luettelot

1. Kunkin jäsenvaltion on laadittava, ylläpidettävä ja julkaistava luotettuja luetteloja, jotka sisältävät tietoa niiden vastuulle kuuluvista hyväksytyistä luottamuspalvelun tarjoajista ja niiden tarjoamista hyväksytyistä luottamuspalveluista.

2. Jäsenvaltioiden on laadittava, ylläpidettävä ja julkaistava suojatusti 1 kohdassa tarkoitetut sähköisesti allekirjoitetut tai leimatut luotetut luettelot muodossa, joka soveltuu automaattiseen käsittelyyn.

3. Jäsenvaltioiden on ilman aiheetonta viivytystä ilmoitettava komissiolle tiedot kansallisten luotettujen luettelojen laatimisesta, ylläpitämisestä ja julkaisemisesta vastaavasta elimestä sekä yksityiskohtaiset tiedot tällaisten luettelojen julkaisupaikasta, luotettujen luettelojen allekirjoittamisessa tai leimaamisessa käytetyistä varmenteista ja niiden tietojen mahdollisista muutoksista.

4. Komissio asettaa julkisesti saataville suojatusti 3 kohdassa tarkoitetut tiedot sähköisesti allekirjoitetussa tai leimatussa muodossa, joka soveltuu automaattiseen käsittelyyn.

5. Komissio täsmentää viimeistään 18 päivänä syyskuuta 2015 täytäntöönpanosäädöksillä 1 kohdassa tarkoitetut tiedot ja määrittelee 1–4 kohdan soveltamiseen liittyvät luotettujen luetteloiden tekniset eritelmät ja muotoseikat. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

23 artikla

Hyväksyttyjä luottamuspalveluja koskeva EU:n luotettavuusmerkki

1. Sen jälkeen kun 21 artiklan 2 kohdan toisessa alakohdassa tarkoitettu hyväksytty asema on merkitty 22 artiklan 1 kohdassa tarkoitettuihin luotettuihin luetteloihin, hyväksytyt luottamuspalvelun tarjoajat voivat käyttää EU:n luotettavuusmerkkiä osoittaakseen yksinkertaisella, tunnistettavalla ja selkeällä tavalla niiden tarjoamat hyväksytyt luottamuspalvelut.

2. Käyttäessään EU:n luotettavuusmerkkiä 1 kohdassa tarkoitettujen hyväksyttyjen luottamuspalvelujen yhteydessä hyväksyttyjen luottamuspalvelun tarjoajien on varmistettava, että niiden verkkosivulla on käytettävissä linkki asianomaiseen luotettuun luetteloon.

3. Komissio vahvistaa viimeistään 1 päivänä heinäkuuta 2015 täytäntöönpanosäädöksillä eritelmät hyväksyttyjä luottamuspalveluja koskevan EU:n luotettavuusmerkin muodosta ja erityisesti sen esittämistavasta, koostumuksesta, koosta ja mallista. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

27 artikla

Sähköiset allekirjoitukset julkisissa palveluissa

1. Jos jäsenvaltio vaatii kehittynyttä sähköistä allekirjoitusta julkisen sektorin elimen tarjoaman tai sen puolesta tarjotun verkkopalvelun käyttämiseksi, kyseisen jäsenvaltion on tunnustettava ainakin ne kehittyneet sähköiset allekirjoitukset, sähköisten allekirjoitusten hyväksyttyyn varmenteeseen perustuvat kehittyneet sähköiset allekirjoitukset sekä hyväksytyt sähköiset allekirjoitukset, jotka ovat 5 kohdassa tarkoitetuissa täytääntöönpanosäädöksissä määritellyissä muodoissa tai joissa käytetään niissä tarkoitettuja menettelyjä.

2. Jos jäsenvaltio vaatii hyväksyttyyn varmenteeseen perustuvaa kehittynyttä sähköistä allekirjoitusta julkisen sektorin elimen tarjoaman tai sen puolesta tarjotun verkkopalvelun käyttämiseksi, kyseisen jäsenvaltion on tunnustettava ainakin ne hyväksyttyyn varmenteeseen perustuvat kehittyneet sähköiset allekirjoitukset sekä hyväksytyt sähköiset allekirjoitukset, jotka ovat 5 kohdassa tarkoitetuissa täytääntöönpanosäädöksissä määritellyissä muodoissa tai joissa käytetään niissä tarkoitettuja menettelyjä.

3. Jäsenvaltiot eivät saa vaatia julkisen sektorin elimen tarjoaman verkkopalvelun käytössä rajojen yli sähköistä allekirjoitusta, jonka tietoturvataso on korkeampi kuin hyväksytyn sähköisen allekirjoituksen.

4. Komissio voi täytäntöönpanosäädöksin vahvistaa kehittyneisiin sähköisiin allekirjoituksiin sovellettavien standardien viitenumerot. Jos kehittynyt sähköinen allekirjoitus vastaa kyseisiä standardeja, sen katsotaan olevan tämän artiklan 1 ja 2 kohdassa sekä 26 artiklassa tarkoitettujen kehittyneitä sähköisiä allekirjoituksia koskevien vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

5. Komissio määrittelee kehittyneitä sähköisiä allekirjoituksia koskevat viitemuodot tai, jos käytetään vaihtoehtoisia muotoja, viitemenetelmät täytäntöönpanosäädöksillä viimeistään 18 päivänä syyskuuta 2015 ottaen huomioon olemassa olevat käytännöt, standardit ja unionin säädökset. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

37 artikla

Sähköiset leimat julkisissa palveluissa

1. Jos jäsenvaltio vaatii kehittynyttä sähköistä leimaa julkisen sektorin elimen tarjoaman tai sen puolesta tarjotun verkkopalvelun käyttämiseksi, kyseisen jäsenvaltion on tunnustettava vähintään kehittyneet sähköiset leimat, sähköisten leimojen hyväksyttyyn varmenteeseen perustuvat kehittyneet sähköiset leimat sekä hyväksytyt sähköiset leimat, jotka ovat 5 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä määritellyissä muodoissa tai joissa käytetään niissä tarkoitettuja menettelyjä.

2. Jos jäsenvaltio vaatii hyväksyttyyn varmenteeseen perustuvaa kehittynyttä sähköistä leimaa julkisen sektorin elimen tarjoaman tai sen puolesta tarjotun verkkopalvelun käyttämiseksi, kyseisen jäsenvaltion on tunnustettava ainakin hyväksyttyyn varmenteeseen perustuvat kehittyneet sähköiset leimat sekä hyväksytyt sähköiset leimat, jotka ovat 5 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä määritellyissä muodoissa tai joissa käytetään niissä tarkoitettuja menettelyjä.

3. Jäsenvaltiot eivät saa vaatia julkisen sektorin elimen tarjoaman verkkopalvelun käytössä rajojen yli sähköistä leimaa, jonka tietoturvataso on korkeampi kuin hyväksytyn sähköisen leiman.

4. Komissio voi täytäntöönpanosäädöksin vahvistaa kehittyneisiin sähköisiin leimoihin sovellettavien standardien viitenumerot. Jos kehittynyt sähköinen leima vastaa kyseisiä standardeja, sen katsotaan olevan tämän artiklan 1 ja 2 kohdassa sekä 36 artiklassa tarkoitettujen kehittyneitä sähköisiä leimoja koskevien vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

5. Komissio määrittelee kehittyneitä sähköisiä leimoja koskevat viitemuodot tai, jos käytetään vaihtoehtoisia muotoja, viitemenetelmät täytäntöönpanosäädöksillä viimeistään 18 päivänä syyskuuta 2015 ottaen huomioon olemassa olevat käytännöt, standardit ja unionin säädökset. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

47 artikla

Siirretyn säädösvallan käyttäminen

1. Komissiolle siirrettyä valtaa antaa delegoituja säädöksiä koskevat tässä artiklassa säädetyt edellytykset.

2. Siirretään komissiolle määräämättömäksi ajaksi 17 päivästä syyskuuta 2014 30 artiklan 4 kohdassa tarkoitettu valta antaa delegoituja säädöksiä.

3. Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 30 artiklan 4 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Peruuttaminen tulee voimaan sitä päivää seuraavana päivänä, jona sitä koskeva päätös julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, kyseisessä päätöksessä mainittuna päivänä. Peruuttamispäätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

4. Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.

5. Edellä olevan 30 artiklan 4 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kahden kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kahdella kuukaudella.

49 artikla

Uudelleentarkastelu

Komissio tarkastelee uudelleen tämän asetuksen soveltamista ja antaa Euroopan parlamentille ja neuvostolle kertomuksen viimeistään 1 päivänä heinäkuuta 2020. Komissio arvioi erityisesti, olisiko tämän asetuksen tai sen tiettyjen säännösten, mukaan lukien 6 artikla, 7 artiklan f alakohta sekä 34, 43, 44 ja 45 artikla, soveltamisalaa asianmukaista muuttaa, ottaen huomioon tämän asetuksen soveltamisesta saatu kokemus sekä tekninen, markkinoihin liittyvä ja oikeudellinen kehitys.

Ensimmäisessä kohdassa tarkoitettuun kertomukseen liitetään tarvittaessa lainsäädäntöehdotuksia.

Lisäksi komissio antaa Euroopan parlamentille ja neuvostolle ensimmäisessä kohdassa tarkoitetun kertomuksen jälkeen neljän vuoden välein kertomuksen edistymisestä tämän asetuksen tavoitteiden saavuttamisessa.

51 artikla

Siirtymätoimenpiteet

1. Turvallisia allekirjoituksen luontivälineitä, joiden vaatimustenmukaisuus on määritetty direktiivin 1999/93/EY 3 artiklan 4 kohdan mukaisesti, pidetään tämän asetuksen mukaisina hyväksyttyinä sähköisen allekirjoituksen luontivälineinä.

2. Direktiivin 1999/93/EY mukaisesti luonnollisille henkilöille myönnettyjä hyväksyttyjä varmenteita pidetään tämän asetuksen mukaisina sähköisten allekirjoitusten hyväksyttyinä varmenteina niiden voimassaolon päättymiseen saakka.

3. Direktiivin 1999/93/EY mukaisen hyväksyttyjä varmenteita myöntävän varmennepalvelujen tarjoajan on toimitettava valvontaelimelle vaatimustenmukaisuuden arviointikertomus mahdollisimman pian mutta viimeistään 1 päivänä heinäkuuta 2017. Kyseistä varmennepalvelujen tarjoajaa pidetään tämän asetuksen mukaisena hyväksyttynä luottamuspalvelun tarjoajana siihen saakka, kun vaatimustenmukaisuuden arviointikertomus on toimitettu ja valvontaelin on saattanut loppuun sen arvioinnin.

4. Jos direktiivin 1999/93/EY mukainen hyväksyttyjä varmenteita myöntävä varmennepalvelujen tarjoaja ei toimita valvontaelimelle vaatimustenmukaisuuden arviointikertomusta 3 kohdassa tarkoitetussa määräajassa, kyseistä varmennepalvelujen tarjoajaa ei pidetä tämän asetuksen mukaisena hyväksyttynä luottamuspalvelun tarjoajana 2 päivästä heinäkuuta 2017.

52 artikla

Voimaantulo

1. Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2. Tätä asetusta sovelletaan 1 päivästä heinäkuuta 2016, lukuun ottamatta seuraavia säännöksiä:

asetuksen 8 artiklan 3 kohtaa, 9 artiklan 5 kohtaa, 12 artiklan 2–9 kohtaa, 17 artiklan 8 kohtaa, 19 artiklan 4 kohtaa, 20 artiklan 4 kohtaa, 21 artiklan 4 kohtaa, 22 artiklan 5 kohtaa, 23 artiklan 3 kohtaa, 24 artiklan 5 kohtaa, 27 artiklan 4 ja 5 kohtaa, 28 artiklan 6 kohtaa, 29 artiklan 2 kohtaa, 30 artiklan 3 ja 4 kohtaa, 31 artiklan 3 kohtaa, 32 artiklan 3 kohtaa, 33 artiklan 2 kohtaa, 34 artiklan 2 kohtaa, 37 artiklan 4 ja 5 kohtaa, 38 artiklan 6 kohtaa, 42 artiklan 2 kohtaa, 44 artiklan 2 kohtaa, 45 artiklan 2 kohtaa, 47 artiklaa ja 48 artiklaa sovelletaan 17 päivästä syyskuuta 2014;

b)	asetuksen 7 artiklaa, 8 artiklan 1 ja 2 kohtaa, 9 artiklaa, 10 artiklaa, 11 artiklaa ja 12 artiklan 1 kohtaa sovelletaan 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä;

c)	asetuksen 6 artiklaa sovelletaan kolmen vuoden kuluttua 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä.

3. Jos ilmoitettu sähköisen tunnistamisen järjestelmä sisällytetään komission 9 artiklan nojalla julkaisemaan luetteloon ennen tämän artiklan 2 kohdan c alakohdassa tarkoitettua päivää, kyseisen järjestelmän mukaiset sähköisen tunnistamisen menetelmät on tunnustettava 6 artiklan nojalla viimeistään 12 kuukauden kuluttua järjestelmän julkaisemisesta, mutta tämän artiklan 2 kohdan c alakohdassa tarkoitetun päivän jälkeen.

4. Sen estämättä, mitä tämän artiklan 2 kohdan c alakohdassa säädetään, jäsenvaltio voi päättää, että sähköisen tunnistamisen järjestelmän mukaiset toisen jäsenvaltion 9 artiklan 1 kohdan nojalla ilmoittamat sähköisen tunnistamisen menetelmät tunnustetaan ensimmäisessä jäsenvaltiossa 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä alkaen. Asianomaiset jäsenvaltiot ilmoittavat asiasta komissiolle. Komissio julkistaa nämä tiedot.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 23 päivänä heinäkuuta 2014.

Euroopan parlamentin puolesta

Puhemies

M. SCHULZ

Neuvoston puolesta

Puheenjohtaja

S. GOZI

(1) EUVL C 351, 15.11.2012, s. 73.

(2) Euroopan parlamentin kanta, vahvistettu 3. huhtikuuta 2014 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston päätös, tehty 23. heinäkuuta 2014.

(3) Euroopan parlamentin ja neuvoston direktiivi 1999/93/EY, annettu 13 päivänä joulukuuta 1999, sähköisiä allekirjoituksia koskevista yhteisön puitteista (EYVL L 13, 19.1.2000, s. 12).

(4) EUVL C 50 E, 21.2.2012, s. 1.

(5) Euroopan parlamentin ja neuvoston direktiivi 2006/123/EY, annettu 12 päivänä joulukuuta 2006, palveluista sisämarkkinoilla (EUVL L 376, 27.12.2006, s. 36).

(6) Euroopan parlamentin ja neuvoston direktiivi 2011/24/EU, annettu 9 päivänä maaliskuuta 2011, potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa (EUVL L 88, 4.4.2011, s. 45).

(7) Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31).

(8) Neuvoston päätös 2010/48/EY, tehty 26 päivänä marraskuuta 2009, vammaisten henkilöiden oikeuksia koskevan Yhdistyneiden Kansakuntien yleissopimuksen tekemisestä Euroopan yhteisön puolesta (EUVL L 23, 27.1.2010, s. 35).

(9) Euroopan parlamentin ja neuvoston asetus (EY) N:o 765/2008, annettu 9 päivänä heinäkuuta 2008, tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta (EUVL L 218, 13.8.2008, s. 30).

(10) Komission päätös 2009/767/EY, tehty 16 päivänä lokakuuta 2009, toimenpiteistä sähköisten menettelyjen käytön edistämiseksi keskitettyjä asiointipisteitä käyttäen palveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston direktiivin 2006/123/EY mukaisesti (EUVL L 274, 20.10.2009, s. 36).

(11) Komission päätös 2011/130/EU, annettu 25 päivänä helmikuuta 2011, palveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston direktiivin 2006/123/EY nojalla toimivaltaisten viranomaisten sähköisesti allekirjoittamien asiakirjojen maiden rajat ylittävää käsittelyä koskevista vähimmäisvaatimuksista (EUVL L 53, 26.2.2011, s. 66).

(12) Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13).

(13) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

(14) EUVL C 28, 30.1.2013, s. 6.

(15) Euroopan parlamentin ja neuvoston direktiivi 2014/24/EU, annettu 26 päivänä helmikuuta 2014, julkisista hankinnoista ja direktiivin 2004/18/EY kumoamisesta (EUVL L 94, 28.3.2014, s. 65).

LIITE I

SÄHKÖISTEN ALLEKIRJOITUSTEN HYVÄKSYTTYJÄ VARMENTEITA KOSKEVAT VAATIMUKSET

Sähköisten allekirjoitusten hyväksyttyjen varmenteiden on sisällettävä:

a)	tieto, ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty sähköisen allekirjoituksen hyväksyttynä varmenteena;

tietokokonaisuus, joka yksiselitteisesti edustaa hyväksytyt varmenteet myöntävää hyväksyttyä luottamuspalvelun tarjoajaa ja sisältää ainakin tiedon jäsenvaltiosta, johon tarjoaja on sijoittautunut, ja

—	oikeushenkilön osalta: nimi ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa,

—	luonnollisen henkilön osalta: henkilön nimi;

c)	ainakin allekirjoittajan nimi tai salanimi; jos käytetään salanimeä, tämä on ilmoitettava selvästi;

d)	sähköisen allekirjoituksen validointitiedot, jotka vastaavat sen luontitietoja;

e)	tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;

f)	varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelun tarjoajan osalta yksilöivä;

g)	myöntävän hyväksytyn luottamuspalvelun tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;

h)	sijainti, josta g kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;

i)	niiden palvelujen sijainti, joista voi selvittää hyväksytyn varmenteen voimassaolon tilan;

j)	jos sähköisen allekirjoituksen validointitietoihin liittyvät sähköisen allekirjoituksen luontitiedot sijaitsevat hyväksytyssä sähköisten allekirjoitusten luontivälineessä, tieto tästä ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa.

LIITE II

HYVÄKSYTTYJÄ SÄHKÖISEN ALLEKIRJOITUKSEN LUONTIVÄLINEITÄ KOSKEVAT VAATIMUKSET

Hyväksytyillä sähköisen allekirjoituksen luontivälineillä on tarkoituksenmukaista tekniikkaa ja menettelytapoja käyttäen varmistettava ainakin, että

a)	sähköisen allekirjoituksen luomisessa käytettävien sähköisen allekirjoituksen luontitietojen luottamuksellisuus taataan kohtuudella;

b)	sähköisen allekirjoituksen luomisessa käytettäviä sähköisen allekirjoituksen luontitietoja voi käytännössä esiintyä vain kerran;

c)	sähköisen allekirjoituksen luomisessa käytettävät sähköisen allekirjoituksen luontitiedot eivät kohtuullisella varmuudella ole pääteltävissä ja sähköinen allekirjoitus on luotettavasti suojattu väärentämiseltä kulloinkin saatavilla olevan teknologian mukaisesti;

d)	laillinen allekirjoittaja voi luotettavasti suojata sähköisen allekirjoituksen luomisessa käytettävät sähköisen allekirjoituksen luontitiedot muiden käytöltä.

Hyväksytyt sähköisen allekirjoituksen luontivälineet eivät saa muuttaa allekirjoitettavia tietoja eivätkä estää niiden esittämistä allekirjoittajalle ennen allekirjoittamista.

Allekirjoittajan puolesta tapahtuvasta sähköisen allekirjoituksen luontitietojen muodostamisesta ja hallinnoinnista voi vastata ainoastaan hyväksytty luottamuspalvelun tarjoaja.

Allekirjoittajan puolesta sähköisen allekirjoituksen luontitietoja hallinnoivat hyväksytyt luottamuspalvelun tarjoajat voivat kahdentaa sähköisen allekirjoituksen luontitietoja ainoastaan varmuuskopiointitarkoituksiin edellyttäen, että seuraavat vaatimukset täyttyvät, sanotun kuitenkaan rajoittamatta 1 kohdan d alakohdan soveltamista:

a)	kahdennettujen tietokokonaisuuksien tietoturvan on oltava samalla tasolla kuin alkuperäisten tietokokonaisuuksien;

b)	kahdennettujen tietokokonaisuuksien määrä ei saa ylittää vähimmäismäärää, joka on tarpeen palvelun jatkuvuuden varmistamiseksi.

LIITE III

SÄHKÖISTEN LEIMOJEN HYVÄKSYTTYJÄ VARMENTEITA KOSKEVAT VAATIMUKSET

Sähköisten leimojen hyväksyttyjen varmenteiden on sisällettävä:

a)	tieto, ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty sähköisen leiman hyväksyttynä varmenteena;

—	oikeushenkilön osalta: nimi ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa,

—	luonnollisen henkilön osalta: henkilön nimi;

c)	ainakin leiman luojan nimi ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa;

d)	sähköisen leiman validointitiedot, jotka vastaavat kyseisen sähköisen leiman luontitietoja;

e)	tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;

f)	varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelun tarjoajan osalta yksilöivä;

g)	myöntävän hyväksytyn luottamuspalvelun tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;

h)	sijainti, josta g kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;

i)	niiden palvelujen sijainti, joista voi selvittää hyväksytyn varmenteen voimassaolon tilan;

j)	jos sähköisen leiman validointitietoihin liittyvät sähköisen leiman luontitiedot sijaitsevat hyväksytyssä sähköisten leimojen luontivälineessä, tieto tästä ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa.

LIITE IV

VERKKOSIVUSTOJEN TODENTAMISEN HYVÄKSYTTYJÄ VARMENTEITA KOSKEVAT VAATIMUKSET

Verkkosivustojen todentamisen hyväksyttyjen varmenteiden on sisällettävä:

a)	tieto, ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty verkkosivustojen todentamisen hyväksyttynä varmenteena;

—	oikeushenkilön osalta: nimi ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa,

—	luonnollisen henkilön osalta: henkilön nimi;

luonnollisten henkilöiden osalta: ainakin sen henkilön nimi, jolle varmenne on myönnetty, tai salanimi. Jos käytetään salanimeä, tämä on ilmoitettava selvästi;

oikeushenkilöiden osalta: ainakin sen oikeushenkilön nimi, jolle varmenne on myönnetty, ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa;

d)	luonnollisen henkilön tai oikeushenkilön, jolle varmenne on myönnetty, osoitteen osatiedot, mukaan luettuina ainakin kaupunki ja valtio, tarvittaessa virallisissa rekistereissä olevassa muodossa;

e)	luonnollisen henkilön tai oikeushenkilön, jolle varmenne on myönnetty, käyttämät verkon aluetunnukset;

f)	tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;

g)	varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelun tarjoajan osalta yksilöivä;

h)	myöntävän hyväksytyn luottamuspalvelun tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;

i)	sijainti, josta h kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;

j)	niiden varmenteen voimassaolotilaan liittyvien palvelujen sijainti, joista voi selvittää hyväksytyn varmenteen voimassaolon tilan.

whereas

(4) Komission 26 päivänä elokuuta 2010 antamassa tiedonannossa ”Euroopan digitaalistrategia” digitaalimarkkinoiden hajanaisuus, yhteentoimivuuden puutteet ja verkkorikollisuuden lisääntyminen todettiin vakaviksi esteiksi digitaalitalouden hyvän kierteen syntymiselle.
Kertomuksessaan ”Katsaus Euroopan unionin kansalaisuuteen vuonna 2010 – Unionin kansalaisoikeuksien esteiden poistaminen” komissio nosti edelleen esiin tarpeen ratkaista vaikeimmat ongelmat, jotka estävät unionin kansalaisia hyötymästä digitaalisista sisämarkkinoista ja rajat ylittävistä digitaalisista palveluista.

- = -

(5) Eurooppa-neuvosto kehotti 4 päivänä helmikuuta 2011 ja 23 päivänä lokakuuta 2011 antamissaan päätelmissä komissiota luomaan digitaaliset sisämarkkinat vuoteen 2015 mennessä, pyrkimään nopeaan edistymiseen digitaalitalouden keskeisillä osa-alueilla ja edistämään digitaalisten sisämarkkinoiden täyttä yhdentymistä helpottamalla verkkopalvelujen käyttöä yli rajojen kiinnittäen erityistä huomiota turvallisen sähköisen tunnistamisen ja todentamisen helpottamiseen.

- = -

(6) Neuvosto kehotti 27 päivänä toukokuuta 2011 antamissaan päätelmissä komissiota edistämään digitaalisten sisämarkkinoiden kehittymistä luomalla tarvittavat edellytykset tärkeimpien rajat ylittävien mahdollistavien tekijöiden, kuten sähköisen tunnistamisen, sähköisten asiakirjojen, sähköisten allekirjoitusten ja sähköisten jakelupalvelujen, vastavuoroista tunnustamista varten sekä yhteentoimivia sähköisen hallinnon palveluja varten koko Euroopan unionissa.

- = -

(7) Euroopan parlamentti korosti sisämarkkinoiden täydentämisestä sähköistä kaupankäyntiä ajatellen 21 päivänä syyskuuta 2010 antamassaan päätöslauselmassa (4) turvallisuuden merkitystä sähköisten palvelujen, erityisesti sähköisten allekirjoitusten, yhteydessä sekä sitä, että on tarpeen luoda yleiseurooppalaisella tasolla julkisen avaimen infrastruktuuri, ja kehotti komissiota perustamaan validointiviranomaisten eurooppalaisen portaalin, jolla varmistetaan sähköisten allekirjoitusten rajat ylittävä yhteentoimivuus ja parannetaan internetissä suoritettujen maksujen turvallisuutta.

- = -

(77) Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 (13) 28 artiklan 2 kohdan mukaisesti, ja hän on antanut lausunnon 27 päivänä syyskuuta 2012 (14),

- = -

keyboard_tab EIDAS 2014/0910 FI

EIDAS 2014/0910 FI