EIDAS 2014/0910 FI

Sisämarkkinoiden asianmukaisen toiminnan varmistamiseksi, pyrkien samalla sähköisen tunnistamisen menetelmien ja luottamuspalvelujen tietoturvan riittävän korkeaan tasoon, tässä asetuksessa:

a)	säädetään ehdoista, joiden mukaisesti jäsenvaltiot tunnustavat toisen jäsenvaltion ilmoitetun sähköisen tunnistamisen järjestelmän piiriin kuuluvat luonnollisten henkilöiden ja oikeushenkilöiden sähköisen tunnistamisen menetelmät;

b)	säädetään luottamuspalveluja koskevista säännöistä erityisesti sähköisten transaktioiden osalta; ja

c)	vahvistetaan oikeudelliset puitteet sähköisille allekirjoituksille, sähköisille leimoille, sähköisille aikaleimoille, sähköisille asiakirjoille, sähköisille rekisteröidyille jakelupalveluille ja verkkosivustojen todentamisen varmennepalveluille.

2 artikla

Soveltamisala

1. Tätä asetusta sovelletaan jäsenvaltion ilmoittamiin sähköisen tunnistamisen järjestelmiin ja unioniin sijoittautuneisiin luottamuspalvelujen tarjoajiin.

2. Tätä asetusta ei sovelleta sellaisten luottamuspalvelujen tarjoamiseen, joita käytetään yksinomaan kansallisesta oikeudesta tai määrätyn osallistujajoukon välisistä sopimuksista johtuvissa suljetuissa järjestelmissä.

3. Tämä asetus ei vaikuta kansalliseen eikä unionin oikeuteen, joka liittyy sopimusten tekemiseen tai pätevyyteen taikka muihin muotovaatimuksia koskeviin oikeudellisiin tai menettelyllisiin velvoitteisiin.

3 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan:

1)	’sähköisellä tunnistamisella’ prosessia, jossa käytetään tiettyä luonnollista henkilöä, oikeushenkilöä tai oikeushenkilöä edustavaa luonnollista henkilöä vastaavia yksilöiviä tunnistetietoja sähköisessä muodossa;

2)	’sähköisen tunnistamisen menetelmällä’ aineellista ja/tai aineetonta kokonaisuutta, joka sisältää henkilön tunnistetietoja ja jota käytetään verkkopalveluun liittyvään todentamiseen;

3)	’henkilön tunnistetiedoilla’ tietoja, jotka mahdollistavat luonnollisen henkilön, oikeushenkilön tai oikeushenkilöä edustavan luonnollisen henkilön henkilöllisyyden toteamisen;

4)	’sähköisen tunnistamisen järjestelmällä’ sähköiseen tunnistamiseen liittyvää järjestelmää, jonka puitteissa sähköisen tunnistamisen menetelmiä myönnetään luonnollisille henkilöille, oikeushenkilöille tai oikeushenkilöä edustaville luonnollisille henkilöille;

5)	’todentamisella’ sähköistä prosessia, joka mahdollistaa luonnollisen henkilön tai oikeushenkilön sähköisen tunnistamisen tai sähköisessä muodossa olevien tietojen alkuperän ja eheyden vahvistamisen;

6)	’luottavalla osapuolella’ luonnollista henkilöä tai oikeushenkilöä, joka luottaa sähköiseen tunnistamiseen tai luottamuspalveluun;

’julkisen sektorin elimellä’ valtion viranomaista, alueviranomaista tai paikallisviranomaista, julkisoikeudellista laitosta taikka yhden tai useamman tällaisen viranomaisen tai yhden tai useamman tällaisen julkisoikeudellisen laitoksen muodostamaa yhteenliittymää, taikka yksityistä yhteisöä, jonka vähintään yksi kyseisistä viranomaisista, laitoksista tai yhteenliittymistä on valtuuttanut tarjoamaan julkisia palveluja, niiden toimiessa tällaisen valtuutuksen nojalla;

8)	’julkisoikeudellisella laitoksella’ Euroopan parlamentin ja neuvoston direktiivin 2014/24/EU (15) 2 artiklan 1 kohdan 4 alakohdassa määriteltyä laitosta;

9)	’allekirjoittajalla’ luonnollista henkilöä, joka luo sähköisen allekirjoituksen;

10)	’sähköisellä allekirjoituksella’ sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen;

11)	’kehittyneellä sähköisellä allekirjoituksella’ sähköistä allekirjoitusta, joka täyttää 26 artiklassa säädetyt vaatimukset;

12)	’hyväksytyllä sähköisellä allekirjoituksella’ kehittynyttä sähköistä allekirjoitusta, joka on luotu hyväksytyllä sähköisen allekirjoituksen luontivälineellä ja joka perustuu sähköisten allekirjoitusten hyväksyttyyn varmenteeseen;

13)	’sähköisen allekirjoituksen luontitiedoilla’ yksilöiviä tietoja, joita allekirjoittaja käyttää sähköisen allekirjoituksen luomiseen;

14)	’sähköisen allekirjoituksen varmenteella’ sähköistä todistusta, joka liittää sähköisen allekirjoituksen validointitiedot luonnolliseen henkilöön ja vahvistaa vähintään kyseisen henkilön nimen tai salanimen;

15)	’sähköisen allekirjoituksen hyväksytyllä varmenteella’ sähköisen allekirjoituksen varmennetta, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä I säädetyt vaatimukset;

16)

’luottamuspalvelulla’ sähköistä palvelua, jota yleensä tarjotaan vastiketta vastaan ja joka koostuu seuraavista:

a)	sähköisten allekirjoitusten, sähköisten leimojen tai sähköisten aikaleimojen, sähköisten rekisteröityjen jakelupalvelujen ja kyseisiin palveluihin liittyvien varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai

b)	verkkosivustojen todentamisen varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai

c)	sähköisten allekirjoitusten, leimojen tai kyseisiin palveluihin liittyvien varmenteiden säilyttämisestä;

17)	’hyväksytyllä luottamuspalvelulla’ luottamuspalvelua, joka täyttää tässä asetuksessa säädetyt sovellettavat vaatimukset;

18)

’vaatimustenmukaisuuden arviointilaitoksella’ asetuksen (EY) N:o 765/2008 2 artiklan 13 kohdassa määriteltyä elintä, joka on akkreditoitu kyseisen asetuksen mukaisesti päteväksi arvioimaan hyväksyttyjen luottamuspalvelun tarjoajien ja niiden tarjoamien hyväksyttyjen luottamuspalvelujen vaatimustenmukaisuus;

19)	’luottamuspalvelun tarjoajalla’ luonnollista henkilöä tai oikeushenkilöä, joka tarjoaa yhtä tai useampaa luottamuspalvelua joko hyväksyttynä tai ei-hyväksyttynä luottamuspalvelun tarjoajana;

20)	’hyväksytyllä luottamuspalvelun tarjoajalla’ luottamuspalvelun tarjoajaa, joka tarjoaa yhtä tai useampaa hyväksyttyä luottamuspalvelua ja jolle valvontaelin on myöntänyt hyväksytyn aseman;

21)	’tuotteella’ laitteistoja tai ohjelmistoja taikka laitteistojen tai ohjelmistojen merkityksellisiä osia, jotka on tarkoitettu käytettäviksi luottamuspalveluja tarjottaessa;

22)	’sähköisen allekirjoituksen luontivälineellä’ asetuksin varustettua ohjelmistoa tai laitteistoa, jota käytetään sähköisen allekirjoituksen luomiseen;

23)	’hyväksytyllä sähköisen allekirjoituksen luontivälineellä’ sähköisen allekirjoituksen luontivälinettä, joka täyttää liitteessä II säädetyt vaatimukset;

24)	’leiman luojalla’ oikeushenkilöä, joka luo sähköisen leiman;

25)	’sähköisellä leimalla’ sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon viimeksi mainitun tiedon alkuperän ja eheyden varmistamiseksi;

26)	’kehittyneellä sähköisellä leimalla’ sähköistä leimaa, joka täyttää 36 artiklassa säädetyt vaatimukset;

27)	’hyväksytyllä sähköisellä leimalla’ kehittynyttä sähköistä leimaa, joka on luotu hyväksytyllä sähköisen leiman luontivälineellä ja joka perustuu sähköisen leiman hyväksyttyyn varmenteeseen;

28)	’sähköisen leiman luontitiedoilla’ yksilöiviä tietoja, joita sähköisen leiman luoja käyttää sähköisen leiman luomiseen;

29)	’sähköisen leiman varmenteella’ sähköistä todistusta, joka liittää sähköisen leiman validointitiedot oikeushenkilöön ja vahvistaa kyseisen henkilön nimen;

30)	’sähköisen leiman hyväksytyllä varmenteella’ sähköisen leiman varmennetta, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä III säädetyt vaatimukset;

31)	’sähköisen leiman luontivälineellä’ asetuksin varustettua ohjelmistoa tai laitteistoa, jota käytetään sähköisen leiman luomiseen;

32)	’hyväksytyllä sähköisen leiman luontivälineellä’ sähköisen leiman luontivälinettä, joka täyttää soveltuvin osin liitteessä II säädetyt vaatimukset;

33)	’sähköisellä aikaleimalla’ sähköisessä muodossa olevia tietoja, jotka sitovat muut sähköisessä muodossa olevat tiedot tiettyyn ajankohtaan ja muodostavat todisteen viimeksi mainittujen tietojen olemassaolosta kyseisenä ajankohtana;

34)	’hyväksytyllä sähköisellä aikaleimalla’ sähköistä aikaleimaa, joka täyttää 42 artiklassa säädetyt vaatimukset;

35)	’sähköisellä asiakirjalla’ kaikkea sisältöä, joka on tallennettu sähköisessä muodossa, erityisesti tekstinä tai äänenä, visuaalisessa muodossa tai audiovisuaalisena tallenteena;

36)

’sähköisellä rekisteröidyllä jakelupalvelulla’ palvelua, jonka avulla tietoa voidaan siirtää sähköisesti kolmansien osapuolten välillä ja joka antaa siirretyn tiedon käsittelyyn liittyviä todisteita, muun muassa vahvistuksen tietojen lähettämisestä ja vastaanottamisesta, ja joka suojaa siirretyt tiedot häviämisen, varkauden, vaurioitumisen tai luvattomien muutosten riskiltä;

37)	’hyväksytyllä sähköisellä rekisteröidyllä jakelupalvelulla’ sähköistä rekisteröityä jakelupalvelua, joka täyttää 44 artiklassa säädetyt vaatimukset;

38)	’verkkosivustojen todentamisen varmenteella’ todistusta, jonka avulla verkkosivusto voidaan todentaa ja joka liittää verkkosivuston siihen luonnolliseen henkilöön tai oikeushenkilöön, jolle varmenne on myönnetty;

39)	’verkkosivustojen todentamisen hyväksytyllä varmenteella’ verkkosivustojen todentamisen varmennetta, jonka on myöntänyt hyväksytty luottamuspalvelujen tarjoaja ja joka täyttää liitteessä IV säädetyt vaatimukset;

40)	’validointitiedoilla’ tietoja, joita käytetään sähköisen allekirjoituksen tai sähköisen leiman validointiin;

41)	’validoinnilla’ prosessia sen tarkistamiseksi ja vahvistamiseksi, että sähköinen allekirjoitus tai leima on pätevä.

6 artikla

Vastavuoroinen tunnustaminen

1. Kun julkisen sektorin elimen yhdessä jäsenvaltiossa tarjoaman verkkopalvelun käyttö edellyttää kansallisen oikeuden nojalla tai kansallisessa hallinnollisessa käytännössä sähköistä tunnistamista sähköisen tunnistamisen menetelmän ja todentamisen avulla, toisessa jäsenvaltiossa myönnetyt verkkopalvelujen käyttöön tarvittavat sähköisen tunnistamisen menetelmät on tunnustettava ensimmäisessä jäsenvaltiossa kyseisen verkkopalvelun osalta rajat ylittävää todentamista varten edellyttäen, että seuraavat ehdot täyttyvät:

a)	sähköisen tunnistamisen menetelmä on myönnetty komission 9 artiklan mukaisesti julkaisemaan luetteloon sisältyvän sähköisen tunnistamisen järjestelmän puitteissa;

sähköisen tunnistamisen menetelmän varmuustaso vastaa varmuustasoa, joka on yhtä korkea tai korkeampi kuin asianomaisen julkisen sektorin elimen edellyttämä varmuustaso kyseiseen verkkopalveluun pääsemiseksi ensimmäisessä jäsenvaltiossa, edellyttäen, että kyseisen sähköisen tunnistamisen menetelmän varmuustaso vastaa korotettua tai korkeaa varmuustasoa;

c)	asianomainen julkisen sektorin elin soveltaa korotettua tai korkeaa varmuustasoa kyseisen verkkopalvelun käytön osalta.

Tällaisen tunnustamisen on toteuduttava viimeistään 12 kuukauden kuluttua siitä, kun komissio julkaisee ensimmäisen alakohdan a alakohdassa tarkoitetun luettelon.

2. Julkisen sektorin elimet voivat tarjoamiensa verkkopalvelujen rajat ylittävää todentamista varten tunnustaa sähköisen tunnistamisen menetelmän, joka on myönnetty komission 9 artiklan mukaisesti julkaisemaan luetteloon sisältyvän sähköisen tunnistamisen järjestelmän puitteissa ja jonka varmuustaso vastaa matalaa varmuustasoa.

7 artikla

Edellytykset sähköisen tunnistamisen järjestelmien ilmoittamiselle

Sähköisen tunnistamisen järjestelmä voidaan ilmoittaa 9 artiklan 1 kohdan mukaisesti, edellyttäen että kaikki seuraavat ehdot täyttyvät:

sähköisen tunnistamisen järjestelmän mukaiset sähköisen tunnistamisen menetelmät on myönnetty:

i)	ilmoittavan jäsenvaltion toimesta;

ii)	ilmoittavan jäsenvaltion toimeksiannosta; tai

iii)	ilmoittavasta jäsenvaltiosta riippumatta niin, että kyseinen jäsenvaltio tunnustaa ne;

b)	sähköisen tunnistamisen järjestelmän mukaista sähköisen tunnistamisen menetelmää voidaan käyttää pääsemiseksi ainakin yhteen sellaiseen palveluun, jonka julkisen sektorin elin tarjoaa ja joka edellyttää ilmoittavassa jäsenvaltiossa sähköistä tunnistamista;

c)	sähköisen tunnistamisen järjestelmä ja sen puitteissa myönnetty sähköisen tunnistamisen menetelmä täyttävät 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädetyistä varmuustasoista ainakin yhden vaatimukset;

ilmoittava jäsenvaltio varmistaa, että kyseistä henkilöä vastaavat yksilöivät tunnistetiedot on liitetty 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädettyä asianmukaista varmuustasoa koskevien teknisten eritelmien, standardien ja menettelyjen mukaisesti 3 artiklan 1 kohdassa tarkoitettuun luonnolliseen henkilöön tai oikeushenkilöön kyseisen järjestelmän mukaisen sähköisen tunnistamisen menetelmän myöntämisen ajankohtana;

kyseisen järjestelmän mukaisen sähköisen tunnistamisen menetelmän myöntävä osapuoli varmistaa, että sähköisen tunnistamisen menetelmä on liitetty tämän artiklan d alakohdassa tarkoitettuun henkilöön 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädettyä asianmukaista varmuustasoa koskevien teknisten eritelmien, standardien ja menettelyjen mukaisesti;

ilmoittava jäsenvaltio varmistaa, että todentaminen verkossa on mahdollista niin, että mikä tahansa toisen jäsenvaltion alueelle sijoittautunut luottava osapuoli kykenee vahvistamaan sähköisessä muodossa vastaanotetut henkilön tunnistetiedot.

Ilmoittava jäsenvaltio voi muiden luottavien osapuolten kuin julkisen sektorin elinten osalta määrittää kyseisen todentamisen käyttöehdot. Rajat ylittävä todentaminen on tarjottava veloituksetta, kun se suoritetaan julkisen sektorin elimen tarjoaman verkkopalvelun yhteydessä.

Jäsenvaltiot eivät saa asettaa tällaista todentamismahdollisuutta hyödyntäville luottaville osapuolille minkäänlaisia suhteettomia teknisiä erityisvaatimuksia, jos tällaiset vaatimukset estävät tai merkittävästi haittaavat ilmoitettujen sähköisen tunnistamisen järjestelmien yhteentoimivuutta;

ilmoittava jäsenvaltio toimittaa vähintään kuusi kuukautta ennen 9 artiklan 1 kohdan mukaista ilmoittamista muille jäsenvaltioille 12 artiklan 5 kohdassa säädetyn velvoitteen täyttämiseksi kuvauksen kyseisestä järjestelmästä 12 artiklan 7 kohdassa tarkoitetuilla täytäntöönpanosäädöksillä vahvistettujen menettelyä koskevien järjestelyjen mukaisesti;

h)	sähköisen tunnistamisen järjestelmä täyttää 12 artiklan 8 kohdassa tarkoitetun täytäntöönpanosäädöksen vaatimukset.

8 artikla

Sähköisen tunnistamisen järjestelmien varmuustasot

1. Sähköisen tunnistamisen järjestelmässä, joka on ilmoitettu 9 artiklan 1 kohdan nojalla, on kyseisen järjestelmän puitteissa myönnettyjen sähköisen tunnistamisen menetelmien osalta määritettävä matala, korotettu ja/tai korkea varmuustaso.

2. Matalan, korotetun ja korkean varmuustason on oltava seuraavien kriteerien mukaisia:

matala varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa rajallisen luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää henkilöllisyyden väärinkäytön tai muuttamisen riskiä;

korotettu varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa merkittävän luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää merkittävässä määrin henkilöllisyyden väärinkäytön tai muuttamisen riskiä;

korkea varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa korkeamman luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta kuin korotetun varmuustason omaava sähköisen tunnistamisen menetelmä ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on estää henkilöllisyyden väärinkäyttö tai muuttaminen.

3. Asianmukaiset kansainväliset standardit huomioon ottaen ja jollei 2 kohdasta muuta johdu, komissio vahvistaa viimeistään 18 päivänä syyskuuta 2015 täytäntöönpanosäädöksillä tekniset vähimmäiseritelmät, -standardit ja -menettelyt; sähköisen tunnistamisen menetelmien matala, korotettu ja korkea varmuustaso määritellään 1 kohdan soveltamiseksi suhteessa niihin.

Nämä tekniset vähimmäiseritelmät, -standardit ja -menettelyt laaditaan ottaen huomioon seuraavien osatekijöiden luotettavuus ja laatu:

a)	menettely sellaisten luonnollisten henkilöiden ja oikeushenkilöiden henkilöllisyyden todistamiseksi ja todentamiseksi, jotka hakevat sähköisen tunnistamisen menetelmien myöntämistä;

b)	myöntämismenettely haetuille sähköisen tunnistamisen menetelmille;

c)	todentamismekanismi, jolla luonnollinen henkilö tai oikeushenkilö käyttää sähköisen tunnistamisen menetelmää vahvistaakseen henkilöllisyytensä luottavalle osapuolelle;

d)	toimija, joka myöntää sähköisen tunnistamisen menetelmiä;

e)	muu elin, joka osallistuu hakemukseen sähköisen tunnistamisen menetelmien myöntämiseksi; ja

f)	myönnettyjen sähköisen tunnistamisen menetelmien tekniset eritelmät ja turvaominaisuudet.

Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

9 artikla

Ilmoittaminen

1. Ilmoittavan jäsenvaltion on ilman aiheetonta viivytystä ilmoitettava komissiolle seuraavat tiedot ja niiden mahdolliset myöhemmät muutokset:

a)	kuvaus sähköisen tunnistamisen järjestelmästä, mukaan lukien sen varmuustasot ja järjestelmän mukaisten sähköisen tunnistamisen menetelmien myöntäjä tai myöntäjät;

sovellettava valvontajärjestelmä ja tiedot vastuuta koskevasta järjestelmästä seuraavien osalta:

i)	sähköisen tunnistamisen menetelmän myöntävä osapuoli; ja

ii)	todentamismenettelyä operoiva osapuoli;

c)	sähköisen tunnistamisen järjestelmästä vastaava viranomainen tai vastaavat viranomaiset;

d)	tiedot siitä, mikä taho tai mitkä tahot hallinnoivat yksilöivien henkilön tunnistetietojen rekisteröintiä;

e)	kuvaus siitä, miten 12 artiklan 8 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä säädetyt vaatimukset on täytetty;

f)	kuvaus 7 artiklan f alakohdassa tarkoitetusta todentamisesta;

g)	järjestelyt joko ilmoitetun sähköisen tunnistamisen järjestelmän tai todentamisen tai niiden osien, joiden turvallisuus on vaarantunut, keskeyttämistä tai peruuttamista varten.

2. Yhden vuoden kuluttua 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä komissio julkaisee Euroopan unionin virallisessa lehdessä luettelon tämän artiklan 1 kohdan nojalla ilmoitetuista sähköisen tunnistamisen järjestelmistä sekä niitä koskevat perustiedot.

3. Jos komissio saa ilmoituksen 2 kohdassa tarkoitetun ajanjakson päättymisen jälkeen, se julkaisee Euroopan unionin virallisessa lehdessä muutokset 2 kohdassa tarkoitettuun luetteloon kahden kuukauden kuluessa kyseisen ilmoituksen vastaanottamisesta.

4. Jäsenvaltio voi toimittaa komissiolle pyynnön poistaa kyseisen jäsenvaltion ilmoittama sähköisen tunnistamisen järjestelmä 2 kohdassa tarkoitetusta luettelosta. Komissio julkaisee Euroopan unionin virallisessa lehdessä vastaavat tarkistukset luetteloon kuukauden kuluessa jäsenvaltion pyynnön vastaanottamisesta.

5. Komissio voi täytäntöönpanosäädöksillä määritellä 1 kohdan mukaisiin ilmoituksiin liittyvät olosuhteet, muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

10 artikla

Tietoturvaloukkaus

1. Jos 9 artiklan 1 kohdan mukaisesti ilmoitettuun sähköisen tunnistamisen järjestelmään tai 7 artiklan f alakohdassa tarkoitettuun todentamiseen liittyy loukkaus tai niiden jonkin osan turvallisuus on vaarantunut tavalla, joka vaikuttaa kyseisen järjestelmän rajat ylittävän todentamisen luotettavuuteen, ilmoittavan jäsenvaltion on viipymättä keskeytettävä tai peruutettava kyseinen rajat ylittävä todentaminen tai ne osat, joiden turvallisuus on vaarantunut, ja ilmoitettava asiasta muille jäsenvaltioille ja komissiolle.

2. Kun 1 kohdassa tarkoitettu loukkaus tai turvallisuuden vaarantuminen on korjattu, ilmoittava jäsenvaltio vahvistaa rajat ylittävän todentamisen uudelleen ja ilmoittaa asiasta muille jäsenvaltioille ja komissiolle ilman aiheetonta viivytystä.

3. Jos 1 kohdassa tarkoitettua loukkausta tai vaarantumista ei ole korjattu kolmen kuukauden kuluessa keskeyttämisestä tai peruuttamisesta, ilmoittavan jäsenvaltion on ilmoitettava sähköisen tunnistamisen järjestelmän peruuttamisesta muille jäsenvaltioille ja komissiolle.

Komissio julkaisee Euroopan unionin virallisessa lehdessä vastaavat tarkistukset 9 artiklan 2 kohdassa tarkoitettuun luetteloon ilman aiheetonta viivytystä.

11 artikla

Vastuu

1. Ilmoittava jäsenvaltio on vastuussa luonnolliselle henkilölle tai oikeushenkilölle tahallaan tai tuottamuksesta aiheutetusta vahingosta, joka johtuu 7 artiklan d ja f alakohdassa säädettyjen velvollisuuksien laiminlyönnistä rajat ylittävässä transaktiossa.

2. Sähköisen tunnistamisen menetelmän myöntävä osapuoli on vastuussa luonnolliselle henkilölle tai oikeushenkilölle tahallaan tai tuottamuksesta aiheutetusta vahingosta, joka johtuu 7 artiklan e alakohdassa tarkoitetun velvollisuuden laiminlyönnistä rajat ylittävässä transaktiossa.

3. Todentamismenettelyä operoiva osapuoli on vastuussa luonnolliselle henkilölle tai oikeushenkilölle tahallaan tai tuottamuksesta aiheutetusta vahingosta, joka johtuu 7 artiklan f alakohdassa tarkoitetun todentamisen asianmukaisen toiminnan varmistamatta jättämisestä rajat ylittävässä transaktiossa.

4. Edellä olevia 1, 2 ja 3 kohtaa sovelletaan kansallisten vastuusääntöjen mukaisesti.

5. Edellä olevilla 1, 2 ja 3 kohdalla ei rajoiteta kansallisen lain mukaisia osapuolten vastuita transaktiossa, jossa käytetään 9 artiklan 1 kohdan nojalla ilmoitetun sähköisen tunnistamisen järjestelmän piiriin kuuluvaa sähköisen tunnistamisen menetelmää.

12 artikla

Yhteistyö ja yhteentoimivuus

1. Edellä olevan 9 artiklan 1 kohdan nojalla ilmoitettujen kansallisten sähköisen tunnistamisen järjestelmien on oltava yhteentoimivia.

2. Edellä olevan 1 kohdan soveltamiseksi perustetaan yhteentoimivuusjärjestelmä.

3. Yhteentoimivuusjärjestelmän on täytettävä seuraavat kriteerit:

a)	se pyrkii olemaan teknologianeutraali ja eikä syrji mitään kansallisia sähköisen tunnistamisen teknisiä erityisratkaisuja jäsenvaltiossa;

b)	se noudattaa eurooppalaisia ja kansainvälisiä standardeja, kun se on mahdollista;

c)	sillä helpotetaan sisäänrakennetun yksityisyyden suojan periaatteen soveltamista; ja

d)	sillä varmistetaan, että henkilötietoja käsitellään direktiivin 95/46/EY mukaisesti.

4. Yhteentoimivuusjärjestelmän on muodostuttava:

a)	viittauksesta teknisiin vähimmäisvaatimuksiin, jotka liittyvät 8 artiklan mukaisiin varmuustasoihin;

b)	ilmoitettujen sähköisen tunnistamisen järjestelmien kansallisten varmuustasojen kartoittamisesta suhteessa 8 artiklan mukaisiin varmuustasoihin;

c)	viittauksesta yhteentoimivuutta koskeviin teknisiin vähimmäisvaatimuksiin;

d)	viittauksesta luonnollista henkilöä tai oikeushenkilöä vastaavien yksilöivien tunnistetietojen vähimmäismäärään, joka sähköisen tunnistamisen järjestelmissä on käytettävissä;

e)	työjärjestyksestä;

f)	riidanratkaisujärjestelyistä; ja

g)	yhteisistä toiminnan turvallisuutta koskevista standardeista.

5. Jäsenvaltioiden on tehtävä yhteistyötä seuraavilla osa-alueilla:

a)	edellä olevan 9 artiklan 1 kohdan mukaisesti ilmoitettujen sähköisen tunnistamisen järjestelmien yhteentoimivuus niiden sähköisen tunnistamisen järjestelmien kanssa, jotka jäsenvaltiot aikovat ilmoittaa; ja

b)	sähköisen tunnistamisen järjestelmien turvallisuus.

6. Jäsenvaltioiden välinen yhteistyö muodostuu seuraavista:

a)	sähköisen tunnistamisen järjestelmiä ja erityisesti yhteentoimivuuteen ja varmuustasoihin liittyviä teknisiä vaatimuksia koskevien tietojen, kokemusten ja hyvien käytäntöjen vaihto;

b)	edellä olevan 8 artiklan mukaisten sähköisen tunnistamisen järjestelmien varmuustasojen käyttöä koskevien tietojen, kokemusten ja hyvien käytäntöjen vaihto;

c)	tämän asetuksen soveltamisalaan kuuluvien sähköisen tunnistamisen järjestelmien vertaisarviointi; ja

d)	sähköisen tunnistamisen alan merkityksellisen kehityksen tarkastelu.

7. Komissio vahvistaa viimeistään 18 päivänä maaliskuuta 2015 täytäntöönpanosäädöksin tarvittavat menettelyä koskevat järjestelyt 5 ja 6 kohdassa tarkoitetun jäsenvaltioiden yhteistyön helpottamiseksi edistääkseen luottamuksen ja tietoturvan korkeaa tasoa, joka on oikeassa suhteessa riskin suuruuteen.

8. Komissio antaa 3 kohdan edellytysten mukaisesti ja ottaen huomioon jäsenvaltioiden välisen yhteistyön tulokset viimeistään 18 päivänä syyskuuta 2015 4 kohdassa säädettyä yhteentoimivuusjärjestelmää koskevat täytäntöönpanosäädökset yhdenmukaisten edellytysten asettamiseksi 1 kohdan mukaisen vaatimuksen täytäntöönpanolle.

9. Tämän artiklan 7 ja 8 kohdassa tarkoitetut täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

III LUKU

LUOTTAMUSPALVELUT

1 JAKSO

Yleiset säännökset

24 artikla

Hyväksyttyjä luottamuspalvelun tarjoajia koskevat vaatimukset

1. Hyväksytyn luottamuspalvelun tarjoajan on myöntäessään hyväksyttyä varmennetta luottamuspalvelulle tarkastettava asianmukaisin menetelmin ja kansallisen lain mukaisesti sen luonnollisen henkilön tai oikeushenkilön henkilöllisyys ja mahdolliset muut attribuutit, jolle hyväksytty varmenne myönnetään.

Ensimmäisessä alakohdassa tarkoitetut tiedot on tarkastettava hyväksytyn luottamuspalvelun tarjoajan toimesta joko suoraan tai kolmatta osapuolta käyttäen kansallisen lain mukaisesti:

a)	luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan läsnä ollessa; tai

b)	etäältä käyttäen sähköisen tunnistamisen menetelmää, jonka osalta on ennen hyväksytyn varmenteen myöntämistä varmistettu luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan läsnäolo ja joka täyttää 8 artiklassa säädetyt ”korotettua” tai ”korkeaa” varmuustasoa koskevat vaatimukset; tai

c)	käyttäen a tai b alakohdan mukaisesti myönnettyä hyväksytyn sähköisen allekirjoituksen tai hyväksytyn sähköisen leiman varmennetta; tai

d)	käyttäen muita kansallisella tasolla hyväksyttyjä tunnistamismenetelmiä, jotka tarjoavat fyysistä läsnäoloa vastaavan varmuuden. Vaatimustenmukaisuuden arviointilaitoksen on vahvistettava varmuuden vastaavuus.

2. Hyväksyttyjä luottamuspalveluja tarjoavan hyväksytyn luottamuspalvelun tarjoajan on

a)	ilmoitettava valvontaelimelle kaikista muutoksista hyväksyttyjen luottamuspalvelujensa tarjoamisessa sekä aikomuksesta lopettaa tämä toiminta;

palkattava henkilöstöä ja tarvittaessa alihankkijoita, joilla on tarvittava asiantuntemus, luotettavuus, kokemus ja pätevyys ja jotka ovat saaneet tarvittavaa koulutusta tietoturvaa ja henkilötietojen suojaa koskevista säännöistä, ja noudatettava eurooppalaisia tai kansainvälisiä standardeja vastaavia hallinnollisia menettelyjä ja johtamismenettelyjä;

c)	ylläpidettävä 13 artiklan mukaisen vahinkovastuun riskin suhteen riittäviä taloudellisia varoja ja/tai hankittava asianmukainen vastuuvakuutus kansallisen lain mukaisesti;

d)	ilmoitettava ennen sopimussuhteen aloittamista henkilöille, jotka haluavat käyttää hyväksyttyä luottamuspalvelua, selkeästi ja kattavasti kyseisen palvelun käytön tarkoista ehdoista ja edellytyksistä, muun muassa sen käyttöä koskevista rajoituksista;

e)	käytettävä luotettavia järjestelmiä ja tuotteita, jotka on suojattu muutoksilta ja joilla varmistetaan niiden tukemien prosessien tekninen tietoturva ja luotettavuus;

käytettävä luotettavia järjestelmiä sille annettujen tietojen tallentamiseen tarkastettavissa olevassa muodossa siten, että

i)	tiedot ovat julkisesti haettavissa vain, jos siihen on saatu tietojen kohteena olevan henkilön suostumus,

ii)	ainoastaan valtuutetut henkilöt voivat syöttää tietoja ja tehdä muutoksia tallennettuihin tietoihin,

iii)	tietojen aitous voidaan tarkastaa;

g)	toteutettava tarkoituksenmukaisia toimenpiteitä tietojen väärentämisen ja varastamisen estämiseksi;

arkistoitava ja pidettävä saatavilla asianmukaisen ajan, myös sen jälkeen kun hyväksytyn luottamuspalvelun tarjoajan toiminta on lakannut, kaikki tarvittavat tiedot hyväksytyn luottamuspalvelun tarjoajan myöntämistä ja vastaanottamista tiedoista, erityisesti käytettäväksi todisteena oikeudellisissa käsittelyissä ja palvelun jatkuvuuden varmistamiseksi. Tällaisia arkistoja voidaan ylläpitää sähköisessä muodossa;

i)	ylläpidettävä ajan tasalla olevaa toiminnan lopettamissuunnitelmaa, jotta voidaan varmistaa palvelun jatkuvuus valvontaelimen 17 artiklan 4 kohdan i alakohdan nojalla tarkastamien säännösten mukaisesti;

j)	varmistettava, että henkilötietoja käsitellään lainmukaisesti direktiiviä 95/46/EY noudattaen;

k)	kun kyse on hyväksyttyjä varmenteita myöntävistä hyväksytyistä luottamuspalvelun tarjoajista, perustettava varmennetietokanta ja pidettävä se ajan tasalla.

3. Jos hyväksyttyjä varmenteita myöntävä hyväksytty luottamuspalvelujen tarjoaja päättää sulkea varmenteen, sen on kirjattava kyseinen sulkeminen varmennetietokantaansa ja julkaistava varmenteen sulkemistila oikea-aikaisesti ja joka tapauksessa 24 tunnin kuluessa pyynnön vastaanottamisesta. Sulkeminen tulee voimaan välittömästi sen julkaisemisen yhteydessä.

4. Hyväksyttyjä varmenteita myöntävien hyväksyttyjen luottamuspalvelun tarjoajien on 3 kohtaan liittyen annettava kaikille luottaville osapuolille tietoa niiden myöntämien hyväksyttyjen varmenteiden voimassaolo- tai sulkemistilasta. Tämä tieto on asetettava saataville ainakin varmennekohtaisesti jatkuvasti ja myös varmenteen voimassaolon päätyttyä automaattisella tavalla, joka on luotettava, maksuton ja tehokas.

5. Komissio voi täytäntöönpanosäädöksin vahvistaa tämän artiklan 2 kohdan e ja f alakohdan vaatimukset täyttäviin luotettaviin järjestelmiin ja tuotteisiin sovellettavien standardien viitenumerot. Jos luotettava järjestelmä tai tuote vastaa näitä standardeja, sen katsotaan olevan tässä artiklassa säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4 JAKSO

Sähköiset allekirjoitukset

52 artikla

Voimaantulo

1. Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2. Tätä asetusta sovelletaan 1 päivästä heinäkuuta 2016, lukuun ottamatta seuraavia säännöksiä:

asetuksen 8 artiklan 3 kohtaa, 9 artiklan 5 kohtaa, 12 artiklan 2–9 kohtaa, 17 artiklan 8 kohtaa, 19 artiklan 4 kohtaa, 20 artiklan 4 kohtaa, 21 artiklan 4 kohtaa, 22 artiklan 5 kohtaa, 23 artiklan 3 kohtaa, 24 artiklan 5 kohtaa, 27 artiklan 4 ja 5 kohtaa, 28 artiklan 6 kohtaa, 29 artiklan 2 kohtaa, 30 artiklan 3 ja 4 kohtaa, 31 artiklan 3 kohtaa, 32 artiklan 3 kohtaa, 33 artiklan 2 kohtaa, 34 artiklan 2 kohtaa, 37 artiklan 4 ja 5 kohtaa, 38 artiklan 6 kohtaa, 42 artiklan 2 kohtaa, 44 artiklan 2 kohtaa, 45 artiklan 2 kohtaa, 47 artiklaa ja 48 artiklaa sovelletaan 17 päivästä syyskuuta 2014;

b)	asetuksen 7 artiklaa, 8 artiklan 1 ja 2 kohtaa, 9 artiklaa, 10 artiklaa, 11 artiklaa ja 12 artiklan 1 kohtaa sovelletaan 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä;

c)	asetuksen 6 artiklaa sovelletaan kolmen vuoden kuluttua 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä.

3. Jos ilmoitettu sähköisen tunnistamisen järjestelmä sisällytetään komission 9 artiklan nojalla julkaisemaan luetteloon ennen tämän artiklan 2 kohdan c alakohdassa tarkoitettua päivää, kyseisen järjestelmän mukaiset sähköisen tunnistamisen menetelmät on tunnustettava 6 artiklan nojalla viimeistään 12 kuukauden kuluttua järjestelmän julkaisemisesta, mutta tämän artiklan 2 kohdan c alakohdassa tarkoitetun päivän jälkeen.

4. Sen estämättä, mitä tämän artiklan 2 kohdan c alakohdassa säädetään, jäsenvaltio voi päättää, että sähköisen tunnistamisen järjestelmän mukaiset toisen jäsenvaltion 9 artiklan 1 kohdan nojalla ilmoittamat sähköisen tunnistamisen menetelmät tunnustetaan ensimmäisessä jäsenvaltiossa 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä alkaen. Asianomaiset jäsenvaltiot ilmoittavat asiasta komissiolle. Komissio julkistaa nämä tiedot.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 23 päivänä heinäkuuta 2014.

Euroopan parlamentin puolesta

Puhemies

M. SCHULZ

Neuvoston puolesta

Puheenjohtaja

S. GOZI

(1) EUVL C 351, 15.11.2012, s. 73.

(2) Euroopan parlamentin kanta, vahvistettu 3. huhtikuuta 2014 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston päätös, tehty 23. heinäkuuta 2014.

(3) Euroopan parlamentin ja neuvoston direktiivi 1999/93/EY, annettu 13 päivänä joulukuuta 1999, sähköisiä allekirjoituksia koskevista yhteisön puitteista (EYVL L 13, 19.1.2000, s. 12).

(4) EUVL C 50 E, 21.2.2012, s. 1.

(5) Euroopan parlamentin ja neuvoston direktiivi 2006/123/EY, annettu 12 päivänä joulukuuta 2006, palveluista sisämarkkinoilla (EUVL L 376, 27.12.2006, s. 36).

(6) Euroopan parlamentin ja neuvoston direktiivi 2011/24/EU, annettu 9 päivänä maaliskuuta 2011, potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa (EUVL L 88, 4.4.2011, s. 45).

(7) Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31).

(8) Neuvoston päätös 2010/48/EY, tehty 26 päivänä marraskuuta 2009, vammaisten henkilöiden oikeuksia koskevan Yhdistyneiden Kansakuntien yleissopimuksen tekemisestä Euroopan yhteisön puolesta (EUVL L 23, 27.1.2010, s. 35).

(9) Euroopan parlamentin ja neuvoston asetus (EY) N:o 765/2008, annettu 9 päivänä heinäkuuta 2008, tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta (EUVL L 218, 13.8.2008, s. 30).

(10) Komission päätös 2009/767/EY, tehty 16 päivänä lokakuuta 2009, toimenpiteistä sähköisten menettelyjen käytön edistämiseksi keskitettyjä asiointipisteitä käyttäen palveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston direktiivin 2006/123/EY mukaisesti (EUVL L 274, 20.10.2009, s. 36).

(11) Komission päätös 2011/130/EU, annettu 25 päivänä helmikuuta 2011, palveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston direktiivin 2006/123/EY nojalla toimivaltaisten viranomaisten sähköisesti allekirjoittamien asiakirjojen maiden rajat ylittävää käsittelyä koskevista vähimmäisvaatimuksista (EUVL L 53, 26.2.2011, s. 66).

(12) Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13).

(13) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

(14) EUVL C 28, 30.1.2013, s. 6.

(15) Euroopan parlamentin ja neuvoston direktiivi 2014/24/EU, annettu 26 päivänä helmikuuta 2014, julkisista hankinnoista ja direktiivin 2004/18/EY kumoamisesta (EUVL L 94, 28.3.2014, s. 65).

LIITE I

SÄHKÖISTEN ALLEKIRJOITUSTEN HYVÄKSYTTYJÄ VARMENTEITA KOSKEVAT VAATIMUKSET

Sähköisten allekirjoitusten hyväksyttyjen varmenteiden on sisällettävä:

a)	tieto, ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty sähköisen allekirjoituksen hyväksyttynä varmenteena;

tietokokonaisuus, joka yksiselitteisesti edustaa hyväksytyt varmenteet myöntävää hyväksyttyä luottamuspalvelun tarjoajaa ja sisältää ainakin tiedon jäsenvaltiosta, johon tarjoaja on sijoittautunut, ja

—	oikeushenkilön osalta: nimi ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa,

—	luonnollisen henkilön osalta: henkilön nimi;

c)	ainakin allekirjoittajan nimi tai salanimi; jos käytetään salanimeä, tämä on ilmoitettava selvästi;

d)	sähköisen allekirjoituksen validointitiedot, jotka vastaavat sen luontitietoja;

e)	tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;

f)	varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelun tarjoajan osalta yksilöivä;

g)	myöntävän hyväksytyn luottamuspalvelun tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;

h)	sijainti, josta g kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;

i)	niiden palvelujen sijainti, joista voi selvittää hyväksytyn varmenteen voimassaolon tilan;

j)	jos sähköisen allekirjoituksen validointitietoihin liittyvät sähköisen allekirjoituksen luontitiedot sijaitsevat hyväksytyssä sähköisten allekirjoitusten luontivälineessä, tieto tästä ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa.

LIITE II

HYVÄKSYTTYJÄ SÄHKÖISEN ALLEKIRJOITUKSEN LUONTIVÄLINEITÄ KOSKEVAT VAATIMUKSET

Hyväksytyillä sähköisen allekirjoituksen luontivälineillä on tarkoituksenmukaista tekniikkaa ja menettelytapoja käyttäen varmistettava ainakin, että

a)	sähköisen allekirjoituksen luomisessa käytettävien sähköisen allekirjoituksen luontitietojen luottamuksellisuus taataan kohtuudella;

b)	sähköisen allekirjoituksen luomisessa käytettäviä sähköisen allekirjoituksen luontitietoja voi käytännössä esiintyä vain kerran;

c)	sähköisen allekirjoituksen luomisessa käytettävät sähköisen allekirjoituksen luontitiedot eivät kohtuullisella varmuudella ole pääteltävissä ja sähköinen allekirjoitus on luotettavasti suojattu väärentämiseltä kulloinkin saatavilla olevan teknologian mukaisesti;

d)	laillinen allekirjoittaja voi luotettavasti suojata sähköisen allekirjoituksen luomisessa käytettävät sähköisen allekirjoituksen luontitiedot muiden käytöltä.

Hyväksytyt sähköisen allekirjoituksen luontivälineet eivät saa muuttaa allekirjoitettavia tietoja eivätkä estää niiden esittämistä allekirjoittajalle ennen allekirjoittamista.

Allekirjoittajan puolesta tapahtuvasta sähköisen allekirjoituksen luontitietojen muodostamisesta ja hallinnoinnista voi vastata ainoastaan hyväksytty luottamuspalvelun tarjoaja.

Allekirjoittajan puolesta sähköisen allekirjoituksen luontitietoja hallinnoivat hyväksytyt luottamuspalvelun tarjoajat voivat kahdentaa sähköisen allekirjoituksen luontitietoja ainoastaan varmuuskopiointitarkoituksiin edellyttäen, että seuraavat vaatimukset täyttyvät, sanotun kuitenkaan rajoittamatta 1 kohdan d alakohdan soveltamista:

a)	kahdennettujen tietokokonaisuuksien tietoturvan on oltava samalla tasolla kuin alkuperäisten tietokokonaisuuksien;

b)	kahdennettujen tietokokonaisuuksien määrä ei saa ylittää vähimmäismäärää, joka on tarpeen palvelun jatkuvuuden varmistamiseksi.

LIITE III

SÄHKÖISTEN LEIMOJEN HYVÄKSYTTYJÄ VARMENTEITA KOSKEVAT VAATIMUKSET

Sähköisten leimojen hyväksyttyjen varmenteiden on sisällettävä:

a)	tieto, ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty sähköisen leiman hyväksyttynä varmenteena;

—	oikeushenkilön osalta: nimi ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa,

—	luonnollisen henkilön osalta: henkilön nimi;

c)	ainakin leiman luojan nimi ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa;

d)	sähköisen leiman validointitiedot, jotka vastaavat kyseisen sähköisen leiman luontitietoja;

e)	tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;

f)	varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelun tarjoajan osalta yksilöivä;

g)	myöntävän hyväksytyn luottamuspalvelun tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;

h)	sijainti, josta g kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;

i)	niiden palvelujen sijainti, joista voi selvittää hyväksytyn varmenteen voimassaolon tilan;

j)	jos sähköisen leiman validointitietoihin liittyvät sähköisen leiman luontitiedot sijaitsevat hyväksytyssä sähköisten leimojen luontivälineessä, tieto tästä ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa.

LIITE IV

VERKKOSIVUSTOJEN TODENTAMISEN HYVÄKSYTTYJÄ VARMENTEITA KOSKEVAT VAATIMUKSET

Verkkosivustojen todentamisen hyväksyttyjen varmenteiden on sisällettävä:

a)	tieto, ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty verkkosivustojen todentamisen hyväksyttynä varmenteena;

—	oikeushenkilön osalta: nimi ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa,

—	luonnollisen henkilön osalta: henkilön nimi;

luonnollisten henkilöiden osalta: ainakin sen henkilön nimi, jolle varmenne on myönnetty, tai salanimi. Jos käytetään salanimeä, tämä on ilmoitettava selvästi;

oikeushenkilöiden osalta: ainakin sen oikeushenkilön nimi, jolle varmenne on myönnetty, ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa;

d)	luonnollisen henkilön tai oikeushenkilön, jolle varmenne on myönnetty, osoitteen osatiedot, mukaan luettuina ainakin kaupunki ja valtio, tarvittaessa virallisissa rekistereissä olevassa muodossa;

e)	luonnollisen henkilön tai oikeushenkilön, jolle varmenne on myönnetty, käyttämät verkon aluetunnukset;

f)	tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;

g)	varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelun tarjoajan osalta yksilöivä;

h)	myöntävän hyväksytyn luottamuspalvelun tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;

i)	sijainti, josta h kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;

j)	niiden varmenteen voimassaolotilaan liittyvien palvelujen sijainti, joista voi selvittää hyväksytyn varmenteen voimassaolon tilan.

whereas

(5) Eurooppa-neuvosto kehotti 4 päivänä helmikuuta 2011 ja 23 päivänä lokakuuta 2011 antamissaan päätelmissä komissiota luomaan digitaaliset sisämarkkinat vuoteen 2015 mennessä, pyrkimään nopeaan edistymiseen digitaalitalouden keskeisillä osa-alueilla ja edistämään digitaalisten sisämarkkinoiden täyttä yhdentymistä helpottamalla verkkopalvelujen käyttöä yli rajojen kiinnittäen erityistä huomiota turvallisen sähköisen tunnistamisen ja todentamisen helpottamiseen.

- = -

(6) Neuvosto kehotti 27 päivänä toukokuuta 2011 antamissaan päätelmissä komissiota edistämään digitaalisten sisämarkkinoiden kehittymistä luomalla tarvittavat edellytykset tärkeimpien rajat ylittävien mahdollistavien tekijöiden, kuten sähköisen tunnistamisen, sähköisten asiakirjojen, sähköisten allekirjoitusten ja sähköisten jakelupalvelujen, vastavuoroista tunnustamista varten sekä yhteentoimivia sähköisen hallinnon palveluja varten koko Euroopan unionissa.

- = -

(9) Useimmissa tapauksissa kansalaiset eivät voi käyttää sähköistä tunnistettaan todentaakseen itsensä toisessa jäsenvaltiossa, koska niiden kotimaan kansallisia sähköisen tunnistamisen järjestelmiä ei tunnusteta muissa jäsenvaltioissa.
Tämän sähköisen esteen vuoksi palveluntarjoajat eivät voi hyödyntää kaikkia sisämarkkinoiden suomia etuja.
Vastavuoroisesti tunnustetut sähköisen tunnistamisen menetelmät helpottavat lukuisten palvelujen rajat ylittävää tarjoamista sisämarkkinoilla ja antavat yrityksille mahdollisuuden toimia rajojen yli ilman, että ne kohtaavat monia esteitä viranomaisasioinnissa.

- = -

(10) Euroopan parlamentin ja neuvoston direktiivillä 2011/24/EU (6) perustetaan sähköisestä terveydenhuollosta vastaavien kansallisten viranomaisten verkosto.
Rajat ylittävän terveydenhuollon turvallisuuden ja jatkuvuuden parantamiseksi verkoston on määrä tuottaa ohjeistoja rajat ylittävästä pääsystä sähköisiin terveystietoihin ja -palveluihin muun muassa tukemalla ”yhteisiä tunnistamismenetelmiä ja alkuperäisyyden toteamismenetelmiä, jotta voidaan helpottaa tietojen siirrettävyyttä rajatylittävässä terveydenhoidossa”.
Sähköisen tunnistamisen ja todentamisen vastavuoroinen tunnustaminen on olennaisen tärkeää tuotaessa rajat ylittävää terveydenhuoltoa Euroopan kansalaisten ulottuville.
Kun ihmiset matkustavat ulkomaille saamaan hoitoa, heidän potilastietojensa on oltava saatavilla hoitomaassa.
Tämä edellyttää vankkoja, turvallisia ja luotettuja sähköisen tunnistamisen puitteita.

- = -

(12) Yksi tämän asetuksen tavoitteista on poistaa nykyiset esteet, jotka haittaavat jäsenvaltioiden ainakin julkisissa palveluissa todentamiseen käyttämien sähköisen tunnistamisen menetelmien käyttöä yli rajojen.
Tällä asetuksella ei pyritä puuttumaan jäsenvaltioissa käytettäviin sähköisen identiteetin hallintajärjestelmiin ja niihin liittyviin infrastruktuureihin.
Tämän asetuksen tarkoituksena on varmistaa, että jäsenvaltioiden tarjoamia rajat ylittäviä verkkopalveluja varten on käytössä turvallisia sähköisen tunnistamisen ja todentamisen menetelmiä.

- = -

(13) Jäsenvaltioiden olisi edelleen voitava vapaasti käyttää ja ottaa käyttöön verkkopalvelujen edellyttämiä sähköisen tunnistamisen menetelmiä.
Niiden olisi myös voitava päättää, ottavatko ne yksityisen sektorin mukaan näiden menetelmien tarjoamiseen.
Jäsenvaltioita ei olisi velvoitettava ilmoittamaan sähköisen tunnistamisen järjestelmiään komissiolle.
Jäsenvaltiot voivat päättää, ilmoittavatko ne komissiolle kaikki kansallisella tasolla käytetyt sähköisen tunnistamisen järjestelmät, joita tarvitaan ainakin julkisten verkkopalvelujen tai tiettyjen palvelujen käyttöön, vai ilmoittavatko ne vain jotkin tällaiset järjestelmät tai ei mitään niistä.

- = -

(14) Tässä asetuksessa on säädettävä joitakin ehtoja sille, mitkä sähköisen tunnistamisen menetelmät on tunnustettava ja miten sähköisen tunnistamisen järjestelmät olisi ilmoitettava.
Näiden ehtojen avulla jäsenvaltioiden olisi helpompi rakentaa tarvittavaa luottamusta toistensa sähköisen tunnistamisen järjestelmiin ja tunnustaa vastavuoroisesti sähköisen tunnistamisen menetelmät, jotka kuuluvat ilmoitettujen järjestelmien piiriin.
Vastavuoroisen tunnustamisen periaatetta olisi sovellettava, jos ilmoittavan jäsenvaltion sähköisen tunnistamisen järjestelmä täyttää ilmoittamiselle asetetut ehdot ja ilmoitus on julkaistu Euroopan unionin virallisessa lehdessä.
Vastavuoroisen tunnustamisen periaatteen tulisi kuitenkin koskea ainoastaan verkkopalveluun liittyvää todentamista.
Näihin verkkopalveluihin pääsyn ja niiden lopputarjonnan käyttäjälle olisi kuitenkin oltava tiiviisti sidoksissa kansallisessa lainsäädännössä säädettyihin ehtoihin, jotka koskevat oikeutta saada hyödyntää kyseisiä palveluja.

- = -

(15) Velvoitteen tunnustaa sähköisen tunnistamisen menetelmät olisi koskettava ainoastaan niitä menetelmiä, joiden tunnistamisen varmuustaso on yhtä korkea tai korkeampi kuin kyseiseltä verkkopalvelulta edellytettävä taso.
Lisäksi tätä velvoitetta olisi sovellettava vain, kun kyseessä oleva julkisen sektorin elin käyttää varmuustasoa ”korotettu” tai ”korkea” kyseisen verkkopalvelun käytön osalta.
Jäsenvaltioiden olisi unionin oikeuden mukaisesti voitava vapaasti tunnustaa sähköisen tunnistamisen menetelmät, joiden tunnistamisen varmuustasot ovat matalammat.

- = -

(16) Varmuustasojen olisi luonnehdittava sähköisen tunnistamisen menetelmän luotettavuuden astetta henkilön henkilöllisyyden toteamisessa ja siten tarjota varmuus siitä, että henkilö, joka väittää omaavansa tietyn henkilöllisyyden, on tosiasiassa henkilö, jolle kyseinen henkilöllisyys on osoitettu.
Varmuustaso riippuu kyseisen sähköisen tunnistamisen menetelmän tarjoamasta luottamustasosta henkilön väitetyn tai esitetyn henkilöllisyyden suhteen ottaen huomioon toteutetut prosessit (esimerkiksi henkilöllisyyden todistaminen ja varmentaminen sekä todentaminen), hallinnolliset toimet (esimerkiksi sähköisen tunnistamisen menetelmän myöntävä toimija ja menettely tällaisen menetelmän myöntämiseksi) ja tekniset tarkastukset.
Unionin rahoittamien suuren mittakaavan pilottihankkeiden, standardisoinnin ja kansainvälisen toiminnan seurauksena on laadittu lukuisia teknisiä eritelmiä ja varmuustasojen kuvauksia.
Erityisesti suuren mittakaavan pilottihanke STORK ja ISO 29115 viittaavat muun muassa tasoihin 2, 3 ja 4, jotka olisi otettava mahdollisimman tarkkaan huomioon vahvistettaessa teknisten vaatimusten, standardien ja menettelyjen vähimmäistaso tässä asetuksessa tarkoitetuille matalalle, korotetulle ja korkealle varmuustasolle, ja samalla on huolehdittava tämän asetuksen johdonmukaisesta soveltamisesta erityisesti hyväksyttyjen varmenteiden myöntämiseen liittyvän henkilöllisyyden todistamisen edellyttämän korkean varmuustason osalta.
Vahvistettujen vaatimusten olisi oltava teknologianeutraaleja.
Tarvittavat turvallisuusvaatimukset olisi oltava mahdollista saavuttaa erilaisilla teknologioilla.

- = -

(17) Jäsenvaltioiden olisi kannustettava yksityistä sektoria käyttämään vapaaehtoisesti ilmoitetun järjestelmän piiriin kuuluvia sähköisen tunnistamisen menetelmiä tunnistamistarkoituksiin, kun se on tarpeen verkkopalveluissa tai sähköisissä transaktioissa.
Tällaisten sähköisen tunnistamisen menetelmien käyttömahdollisuuden ansiosta yksityinen sektori voisi luottaa monissa jäsenvaltioissa ainakin julkisissa palveluissa jo laajasti käytettyihin sähköisen tunnistamisen ja todentamisen tapoihin, jolloin yritysten ja kansalaisten olisi helpompi käyttää niiden verkkopalveluja rajojen yli.
Jotta yksityisen sektorin olisi helpompi käyttää tällaisia sähköisen tunnistamisen menetelmiä rajojen yli, minkä tahansa jäsenvaltion tarjoaman todentamismahdollisuuden olisi oltava kyseisen jäsenvaltion alueen ulkopuolelle sijoittautuneiden yksityisen sektorin luottavien osapuolten käytettävissä samoin edellytyksin, joita sovelletaan kyseisen jäsenvaltion alueelle sijoittautuneisiin yksityisen sektorin luottaviin osapuoliin.
Näin ollen ilmoittava jäsenvaltio voi määritellä yksityisen sektorin luottavien osapuolten osalta todentamismenetelmän käyttöehdot.
Tällaisiin käyttöehtoihin voi sisältyä tieto siitä, onko ilmoitettuun järjestelmään liittyvä todentamismenetelmä parhaillaan yksityisen sektorin luottavien osapuolten käytettävissä.

- = -

(18) Tässä asetuksessa olisi säädettävä ilmoittavan jäsenvaltion, sähköisen tunnistamisen menetelmän myöntävän osapuolen ja todentamismenettelyä operoivan osapuolen vastuusta siinä tapauksessa, etteivät ne noudata tässä asetuksessa säädettyjä asianmukaisia velvoitteita.
Tätä asetusta olisi kuitenkin sovellettava kansallisten vastuusääntöjen mukaisesti.
Se ei näin ollen vaikuta näihin kansallisiin sääntöihin, jotka koskevat esimerkiksi vahinkojen määrittelyä, tai asiaan liittyviin sovellettaviin menettelysääntöihin, todistustaakka mukaan lukien.

- = -

(19) Sähköisen tunnistamisen järjestelmien tietoturva on olennainen seikka sähköisen tunnistamisen menetelmien luotettavan rajat ylittävän vastavuoroisen tunnustamisen kannalta.
Tässä yhteydessä jäsenvaltioiden olisi tehtävä yhteistyötä sähköisen tunnistamisen järjestelmien tietoturvan ja yhteentoimivuuden osalta unionin tasolla.
Kun sähköisen tunnistamisen järjestelmät edellyttävät, että luottavat osapuolet käyttävät erityisiä laitteistoja tai ohjelmistoja kansallisella tasolla, rajat ylittävä yhteentoimivuus taas edellyttää, että nämä jäsenvaltiot eivät määrää tällaisia vaatimuksia ja niihin liittyviä kustannuksia niiden alueen ulkopuolelle sijoittautuneille luottaville osapuolille.
Tässä tapauksessa olisi käsiteltävä ja kehitettävä asianmukaisia ratkaisuja yhteentoimivuusjärjestelmän puitteissa.
Kansallisten sähköisen tunnistamisen menetelmien ominaispiirteistä johtuvilta teknisiltä vaatimuksilta, jotka todennäköisesti vaikuttavat tällaisten sähköisten menetelmien (esimerkiksi älykorttien) haltijoihin, ei silti voida välttyä.

- = -

(20) Jäsenvaltioiden yhteistyön olisi edistettävä ilmoitettujen sähköisen tunnistamisen järjestelmien teknistä yhteentoimivuutta, ja siinä olisi pyrittävä vaalimaan luottamuksen ja tietoturvan korkeaa tasoa, joka on oikeassa suhteessa riskin suuruuteen.
Tällaisessa yhteistyössä olisi apua tietojenvaihdosta ja parhaiden käytäntöjen jakamisesta, joilla pyritään järjestelmien vastavuoroiseen tunnustamiseen.

- = -

(72) Hyväksyessään delegoituja säädöksiä tai täytäntöönpanosäädöksiä komission olisi otettava asianmukaisesti huomioon eurooppalaisten ja kansainvälisten standardointijärjestöjen ja -elinten, erityisesti Euroopan standardisointikomitean (CEN), Euroopan telealan standardointilaitoksen (ETSI), Kansainvälisen standardisoimisjärjestön (ISO) ja Kansainvälisen televiestintäliiton (ITU) laatimat standardit ja tekniset eritelmät, jotta voidaan varmistaa sähköisen tunnistamisen ja sähköisten luottamuspalvelujen korkea tietoturvataso ja yhteentoimivuus.

- = -

keyboard_tab EIDAS 2014/0910 FI

EIDAS 2014/0910 FI