EIDAS 2014/0910 FI

1. Tätä asetusta sovelletaan jäsenvaltion ilmoittamiin sähköisen tunnistamisen järjestelmiin ja unioniin sijoittautuneisiin luottamuspalvelujen tarjoajiin.

2. Tätä asetusta ei sovelleta sellaisten luottamuspalvelujen tarjoamiseen, joita käytetään yksinomaan kansallisesta oikeudesta tai määrätyn osallistujajoukon välisistä sopimuksista johtuvissa suljetuissa järjestelmissä.

3. tämä asetus ei vaikuta kansalliseen eikä unionin oikeuteen, joka liittyy sopimusten tekemiseen tai pätevyyteen taikka muihin muotovaatimuksia koskeviin oikeudellisiin tai menettelyllisiin velvoitteisiin.

4 artikla

Sisämarkkinaperiaate

1. Toiseen jäsenvaltioon sijoittautuneen luottamuspalvelujen tarjoajan luottamuspalvelujen tarjoamista jäsenvaltion alueella ei saa rajoittaa syistä, jotka kuuluvat tämän asetuksen kattamiin aloihin.

2. tämän asetuksen mukaisten tuotteiden ja luottamuspalvelujen on saatava liikkua vapaasti sisämarkkinoilla.

6 artikla

Vastavuoroinen tunnustaminen

1. Kun julkisen sektorin elimen yhdessä jäsenvaltiossa tarjoaman verkkopalvelun käyttö edellyttää kansallisen oikeuden nojalla tai kansallisessa hallinnollisessa käytännössä sähköistä tunnistamista sähköisen tunnistamisen menetelmän ja todentamisen avulla, toisessa jäsenvaltiossa myönnetyt verkkopalvelujen käyttöön tarvittavat sähköisen tunnistamisen menetelmät on tunnustettava ensimmäisessä jäsenvaltiossa kyseisen verkkopalvelun osalta rajat ylittävää todentamista varten edellyttäen, että seuraavat ehdot täyttyvät:

a)	sähköisen tunnistamisen menetelmä on myönnetty komission 9 artiklan mukaisesti julkaisemaan luetteloon sisältyvän sähköisen tunnistamisen järjestelmän puitteissa;

sähköisen tunnistamisen menetelmän varmuustaso vastaa varmuustasoa, joka on yhtä korkea tai korkeampi kuin asianomaisen julkisen sektorin elimen edellyttämä varmuustaso kyseiseen verkkopalveluun pääsemiseksi ensimmäisessä jäsenvaltiossa, edellyttäen, että kyseisen sähköisen tunnistamisen menetelmän varmuustaso vastaa korotettua tai korkeaa varmuustasoa;

c)	asianomainen julkisen sektorin elin soveltaa korotettua tai korkeaa varmuustasoa kyseisen verkkopalvelun käytön osalta.

Tällaisen tunnustamisen on toteuduttava viimeistään 12 kuukauden kuluttua siitä, kun komissio julkaisee ensimmäisen alakohdan a alakohdassa tarkoitetun luettelon.

2. Julkisen sektorin elimet voivat tarjoamiensa verkkopalvelujen rajat ylittävää todentamista varten tunnustaa sähköisen tunnistamisen menetelmän, joka on myönnetty komission 9 artiklan mukaisesti julkaisemaan luetteloon sisältyvän sähköisen tunnistamisen järjestelmän puitteissa ja jonka varmuustaso vastaa matalaa varmuustasoa.

7 artikla

Edellytykset sähköisen tunnistamisen järjestelmien ilmoittamiselle

Sähköisen tunnistamisen järjestelmä voidaan ilmoittaa 9 artiklan 1 kohdan mukaisesti, edellyttäen että kaikki seuraavat ehdot täyttyvät:

sähköisen tunnistamisen järjestelmän mukaiset sähköisen tunnistamisen menetelmät on myönnetty:

i)	ilmoittavan jäsenvaltion toimesta;

ii)	ilmoittavan jäsenvaltion toimeksiannosta; tai

iii)	ilmoittavasta jäsenvaltiosta riippumatta niin, että kyseinen jäsenvaltio tunnustaa ne;

b)	sähköisen tunnistamisen järjestelmän mukaista sähköisen tunnistamisen menetelmää voidaan käyttää pääsemiseksi ainakin yhteen sellaiseen palveluun, jonka julkisen sektorin elin tarjoaa ja joka edellyttää ilmoittavassa jäsenvaltiossa sähköistä tunnistamista;

c)	sähköisen tunnistamisen järjestelmä ja sen puitteissa myönnetty sähköisen tunnistamisen menetelmä täyttävät 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädetyistä varmuustasoista ainakin yhden vaatimukset;

ilmoittava jäsenvaltio varmistaa, että kyseistä henkilöä vastaavat yksilöivät tunnistetiedot on liitetty 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädettyä asianmukaista varmuustasoa koskevien teknisten eritelmien, standardien ja menettelyjen mukaisesti 3 artiklan 1 kohdassa tarkoitettuun luonnolliseen henkilöön tai oikeushenkilöön kyseisen järjestelmän mukaisen sähköisen tunnistamisen menetelmän myöntämisen ajankohtana;

kyseisen järjestelmän mukaisen sähköisen tunnistamisen menetelmän myöntävä osapuoli varmistaa, että sähköisen tunnistamisen menetelmä on liitetty tämän artiklan d alakohdassa tarkoitettuun henkilöön 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädettyä asianmukaista varmuustasoa koskevien teknisten eritelmien, standardien ja menettelyjen mukaisesti;

ilmoittava jäsenvaltio varmistaa, että todentaminen verkossa on mahdollista niin, että mikä tahansa toisen jäsenvaltion alueelle sijoittautunut luottava osapuoli kykenee vahvistamaan sähköisessä muodossa vastaanotetut henkilön tunnistetiedot.

Ilmoittava jäsenvaltio voi muiden luottavien osapuolten kuin julkisen sektorin elinten osalta määrittää kyseisen todentamisen käyttöehdot. Rajat ylittävä todentaminen on tarjottava veloituksetta, kun se suoritetaan julkisen sektorin elimen tarjoaman verkkopalvelun yhteydessä.

Jäsenvaltiot eivät saa asettaa tällaista todentamismahdollisuutta hyödyntäville luottaville osapuolille minkäänlaisia suhteettomia teknisiä erityisvaatimuksia, jos tällaiset vaatimukset estävät tai merkittävästi haittaavat ilmoitettujen sähköisen tunnistamisen järjestelmien yhteentoimivuutta;

ilmoittava jäsenvaltio toimittaa vähintään kuusi kuukautta ennen 9 artiklan 1 kohdan mukaista ilmoittamista muille jäsenvaltioille 12 artiklan 5 kohdassa säädetyn velvoitteen täyttämiseksi kuvauksen kyseisestä järjestelmästä 12 artiklan 7 kohdassa tarkoitetuilla täytäntöönpanosäädöksillä vahvistettujen menettelyä koskevien järjestelyjen mukaisesti;

h)	sähköisen tunnistamisen järjestelmä täyttää 12 artiklan 8 kohdassa tarkoitetun täytäntöönpanosäädöksen vaatimukset.

9 artikla

Ilmoittaminen

1. Ilmoittavan jäsenvaltion on ilman aiheetonta viivytystä ilmoitettava komissiolle seuraavat tiedot ja niiden mahdolliset myöhemmät muutokset:

a)	kuvaus sähköisen tunnistamisen järjestelmästä, mukaan lukien sen varmuustasot ja järjestelmän mukaisten sähköisen tunnistamisen menetelmien myöntäjä tai myöntäjät;

sovellettava valvontajärjestelmä ja tiedot vastuuta koskevasta järjestelmästä seuraavien osalta:

i)	sähköisen tunnistamisen menetelmän myöntävä osapuoli; ja

ii)	todentamismenettelyä operoiva osapuoli;

c)	sähköisen tunnistamisen järjestelmästä vastaava viranomainen tai vastaavat viranomaiset;

d)	tiedot siitä, mikä taho tai mitkä tahot hallinnoivat yksilöivien henkilön tunnistetietojen rekisteröintiä;

e)	kuvaus siitä, miten 12 artiklan 8 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä säädetyt vaatimukset on täytetty;

f)	kuvaus 7 artiklan f alakohdassa tarkoitetusta todentamisesta;

g)	järjestelyt joko ilmoitetun sähköisen tunnistamisen järjestelmän tai todentamisen tai niiden osien, joiden turvallisuus on vaarantunut, keskeyttämistä tai peruuttamista varten.

2. Yhden vuoden kuluttua 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä komissio julkaisee Euroopan unionin virallisessa lehdessä luettelon tämän artiklan 1 kohdan nojalla ilmoitetuista sähköisen tunnistamisen järjestelmistä sekä niitä koskevat perustiedot.

3. Jos komissio saa ilmoituksen 2 kohdassa tarkoitetun ajanjakson päättymisen jälkeen, se julkaisee Euroopan unionin virallisessa lehdessä muutokset 2 kohdassa tarkoitettuun luetteloon kahden kuukauden kuluessa kyseisen ilmoituksen vastaanottamisesta.

4. Jäsenvaltio voi toimittaa komissiolle pyynnön poistaa kyseisen jäsenvaltion ilmoittama sähköisen tunnistamisen järjestelmä 2 kohdassa tarkoitetusta luettelosta. Komissio julkaisee Euroopan unionin virallisessa lehdessä vastaavat tarkistukset luetteloon kuukauden kuluessa jäsenvaltion pyynnön vastaanottamisesta.

5. Komissio voi täytäntöönpanosäädöksillä määritellä 1 kohdan mukaisiin ilmoituksiin liittyvät olosuhteet, muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

12 artikla

Yhteistyö ja yhteentoimivuus

1. Edellä olevan 9 artiklan 1 kohdan nojalla ilmoitettujen kansallisten sähköisen tunnistamisen järjestelmien on oltava yhteentoimivia.

2. Edellä olevan 1 kohdan soveltamiseksi perustetaan yhteentoimivuusjärjestelmä.

3. Yhteentoimivuusjärjestelmän on täytettävä seuraavat kriteerit:

a)	se pyrkii olemaan teknologianeutraali ja eikä syrji mitään kansallisia sähköisen tunnistamisen teknisiä erityisratkaisuja jäsenvaltiossa;

b)	se noudattaa eurooppalaisia ja kansainvälisiä standardeja, kun se on mahdollista;

c)	sillä helpotetaan sisäänrakennetun yksityisyyden suojan periaatteen soveltamista; ja

d)	sillä varmistetaan, että henkilötietoja käsitellään direktiivin 95/46/EY mukaisesti.

4. Yhteentoimivuusjärjestelmän on muodostuttava:

a)	viittauksesta teknisiin vähimmäisvaatimuksiin, jotka liittyvät 8 artiklan mukaisiin varmuustasoihin;

b)	ilmoitettujen sähköisen tunnistamisen järjestelmien kansallisten varmuustasojen kartoittamisesta suhteessa 8 artiklan mukaisiin varmuustasoihin;

c)	viittauksesta yhteentoimivuutta koskeviin teknisiin vähimmäisvaatimuksiin;

d)	viittauksesta luonnollista henkilöä tai oikeushenkilöä vastaavien yksilöivien tunnistetietojen vähimmäismäärään, joka sähköisen tunnistamisen järjestelmissä on käytettävissä;

e)	työjärjestyksestä;

f)	riidanratkaisujärjestelyistä; ja

g)	yhteisistä toiminnan turvallisuutta koskevista standardeista.

5. Jäsenvaltioiden on tehtävä yhteistyötä seuraavilla osa-alueilla:

a)	edellä olevan 9 artiklan 1 kohdan mukaisesti ilmoitettujen sähköisen tunnistamisen järjestelmien yhteentoimivuus niiden sähköisen tunnistamisen järjestelmien kanssa, jotka jäsenvaltiot aikovat ilmoittaa; ja

b)	sähköisen tunnistamisen järjestelmien turvallisuus.

6. Jäsenvaltioiden välinen yhteistyö muodostuu seuraavista:

a)	sähköisen tunnistamisen järjestelmiä ja erityisesti yhteentoimivuuteen ja varmuustasoihin liittyviä teknisiä vaatimuksia koskevien tietojen, kokemusten ja hyvien käytäntöjen vaihto;

b)	edellä olevan 8 artiklan mukaisten sähköisen tunnistamisen järjestelmien varmuustasojen käyttöä koskevien tietojen, kokemusten ja hyvien käytäntöjen vaihto;

c)	tämän asetuksen soveltamisalaan kuuluvien sähköisen tunnistamisen järjestelmien vertaisarviointi; ja

d)	sähköisen tunnistamisen alan merkityksellisen kehityksen tarkastelu.

7. Komissio vahvistaa viimeistään 18 päivänä maaliskuuta 2015 täytäntöönpanosäädöksin tarvittavat menettelyä koskevat järjestelyt 5 ja 6 kohdassa tarkoitetun jäsenvaltioiden yhteistyön helpottamiseksi edistääkseen luottamuksen ja tietoturvan korkeaa tasoa, joka on oikeassa suhteessa riskin suuruuteen.

8. Komissio antaa 3 kohdan edellytysten mukaisesti ja ottaen huomioon jäsenvaltioiden välisen yhteistyön tulokset viimeistään 18 päivänä syyskuuta 2015 4 kohdassa säädettyä yhteentoimivuusjärjestelmää koskevat täytäntöönpanosäädökset yhdenmukaisten edellytysten asettamiseksi 1 kohdan mukaisen vaatimuksen täytäntöönpanolle.

9. tämän artiklan 7 ja 8 kohdassa tarkoitetut täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

III LUKU

LUOTTAMUSPALVELUT

1 JAKSO

Yleiset säännökset

16 artikla

Seuraamukset

Jäsenvaltioiden on säädettävä seuraamuksista, joita sovelletaan tämän asetuksen rikkomiseen. Säädettyjen seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.

2 JAKSO

Valvonta

17 artikla

Valvontaelin

1. Jäsenvaltioiden on nimettävä valvontaelin, joka on sijoittautunut niiden alueelle, tai keskinäisellä sopimuksella toisen jäsenvaltion kanssa valvontaelin, joka on sijoittautunut kyseiseen toiseen jäsenvaltioon. Kyseinen valvontaelin vastaa valvontatehtävistä nimeävässä jäsenvaltiossa.

Valvontaelimille on annettava tarvittavat valtuudet ja riittävät resurssit tehtäviensä hoitamiseksi.

2. Jäsenvaltioiden on ilmoitettava komissiolle nimeämänsä valvontaelimen nimi ja osoite.

3. Valvontaelimellä on seuraavat tehtävät:

nimeävän jäsenvaltion alueelle sijoittautuneiden hyväksyttyjen luottamuspalvelun tarjoajien valvonta sen varmistamiseksi ennakkoon ja jälkikäteen toteutettavin valvontatoimin, että nämä hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset;

toimien toteuttaminen tarvittaessa nimeävän jäsenvaltion alueelle sijoittautuneiden ei-hyväksyttyjen luottamuspalvelun tarjoajien suhteen jälkikäteen toteutettavin valvontatoimin, jos sille ilmoitetaan, että nämä ei-hyväksytyt luottamuspalvelun tarjoajat tai niiden tarjoamat luottamuspalvelut eivät väitetysti täytä tässä asetuksessa säädettyjä vaatimuksia.

4. Sovellettaessa 3 kohtaa ja ottaen huomioon siinä säädetyt rajoitukset valvontaelimen tehtäviin sisältyy erityisesti:

a)	yhteistyö muiden valvontaelinten kanssa ja tuen antaminen niille 18 artiklan mukaisesti;

b)	jäljempänä 20 artiklan 1 kohdassa ja 21 artiklan 1 kohdassa tarkoitettujen vaatimustenmukaisuuden arviointikertomusten analysointi;

c)	muille valvontaelimille ja yleisölle tiedottaminen tietoturvaloukkauksista tai eheyden menetyksistä 19 artiklan 2 kohdan mukaisesti;

d)	komissiolle tiedottaminen valvontaelimen tärkeimmistä toimista tämän artiklan 6 kohdan mukaisesti;

e)	tarkastusten tekeminen tai vaatimustenmukaisuuden arviointilaitoksen pyytäminen suorittamaan hyväksyttyjen luottamuspalvelun tarjoajien vaatimustenmukaisuuden arviointi 20 artiklan 2 kohdan mukaisesti;

f)	yhteistyön tekeminen tietosuojaviranomaisten kanssa erityisesti tiedottamalla niille ilman aiheetonta viivytystä hyväksyttyjä luottamuspalvelun tarjoajia koskevien tarkastusten tuloksista, jos vaikuttaa siltä, että henkilötietojen suojaa koskevia sääntöjä on rikottu;

g)	hyväksytyn aseman myöntäminen luottamuspalvelujen tarjoajille ja niiden tarjoamille palveluille sekä kyseisen aseman peruuttaminen 20 ja 21 artiklan mukaisesti;

h)	jäljempänä 22 artiklan 3 kohdassa tarkoitetusta kansallisesta luotetusta luettelosta vastaavalle elimelle tiedottaminen hyväksytyn aseman myöntämistä tai peruuttamista koskevista päätöksistään, ellei tämä elin ole myös valvontaelin;

i)	lopettamissuunnitelmia koskevien säännösten olemassaolon ja asianmukaisen soveltamisen tarkistaminen tapauksissa, joissa hyväksytty luottamuspalvelun tarjoaja lopettaa toimintansa, 24 artiklan 2 kohdan h alakohdan mukainen tiedon saatavilla pitäminen mukaan lukien;

j)	sen edellyttäminen, että luottamuspalvelun tarjoajat korjaavat mahdolliset puutteet tässä asetuksessa säädettyjen vaatimusten täyttämisessä.

5. Jäsenvaltiot voivat vaatia, että valvontaelin perustaa luottamusinfrastruktuurin ja pitää sitä yllä sekä saattaa sen ajan tasalle kansallisen lain edellytysten mukaisesti.

6. Kunkin valvontaelimen on toimitettava komissiolle joka vuosi viimeistään 31 päivänä maaliskuuta kertomus tärkeimmistä toimistaan edellisenä kalenterivuonna sekä tiivistelmä luottamuspalvelun tarjoajilta 19 artiklan 2 kohdan mukaisesti saaduista loukkausilmoituksista.

7. Komissio asettaa 6 kohdassa tarkoitetun vuosikertomuksen jäsenvaltioiden saataville.

8. Komissio voi täytäntöönpanosäädöksillä määritellä 6 kohdassa tarkoitettuun kertomukseen liittyvät muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

18 artikla

Keskinäinen avunanto

1. Valvontaelinten on tehtävä yhteistyötä hyvien käytänteiden vaihtamiseksi.

Valvontaelimen on vastaanotettuaan toisen valvontaelimen perustellun pyynnön annettava tälle apua niin, että valvontaelinten toimintaa voidaan harjoittaa johdonmukaisesti. Keskinäinen avunanto voi kattaa erityisesti tietopyynnöt ja valvontatoimet, kuten pyynnöt suorittaa 20 ja 21 artiklassa tarkoitettuihin vaatimustenmukaisuuden arviointikertomuksiin liittyviä selvityksiä.

2. Valvontaelin, jolle avunantopyyntö on osoitettu, voi kieltäytyä noudattamasta pyyntöä millä hyvänsä seuraavalla perusteella:

a)	valvontaelimellä ei ole toimivaltaa antaa pyydettyä apua;

b)	pyydetty apu ei ole oikeassa suhteessa valvontaelimen 17 artiklan mukaisesti toteuttamiin valvontatehtäviin;

c)	pyydetyn avun antaminen olisi ristiriidassa tämän asetuksen kanssa.

3. Jäsenvaltiot voivat tarvittaessa valtuuttaa asianomaiset valvontaelimensä toteuttamaan yhteisselvityksiä, joihin osallistuu henkilöstöä muiden jäsenvaltioiden valvontaelimistä. Asianomaiset jäsenvaltiot hyväksyvät ja ottavat käyttöön tällaisia yhteisiä toimia koskevat järjestelyt ja menettelyt kansallisen lakinsa mukaisesti.

20 artikla

Hyväksyttyjen luottamuspalvelun tarjoajien valvonta

1. Vaatimustenmukaisuuden arviointilaitoksen on tarkastettava hyväksytyt luottamuspalvelun tarjoajat vähintään 24 kuukauden välein niiden omalla kustannuksella. Tarkastuksen tarkoituksena on vahvistaa, että hyväksytyt luottamuspalvelun tarjoajat ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset. Hyväksyttyjen luottamuspalvelun tarjoajien on toimitettava tarkastuksen perusteella laadittava vaatimustenmukaisuuden arviointikertomus valvontaelimelle kolmen työpäivän kuluessa sen vastaanottamisesta.

2. Valvontaelin voi milloin tahansa tehdä hyväksytyille luottamuspalvelun tarjoajille tarkastuksia tai pyytää vaatimustenmukaisuuden arviointilaitosta suorittamaan hyväksyttyjä luottamuspalvelun tarjoajia koskevan vaatimustenmukaisuuden arvioinnin näiden hyväksyttyjen luottamuspalvelun tarjoajien kustannuksella sen vahvistamiseksi, että ne ja niiden tarjoamat hyväksytyt luottamuspalvelut täyttävät tässä asetuksessa säädetyt vaatimukset, sanotun kuitenkaan rajoittamatta 1 kohdan soveltamista. Jos näyttää siltä, että henkilötietojen suojaan liittyviä sääntöjä on rikottu, valvontaelimen on ilmoitettava tarkastustensa tuloksista tietosuojaviranomaisille.

3. Jos valvontaelin vaatii hyväksyttyä luottamuspalvelun tarjoajaa korjaamaan mahdollisen laiminlyönnin tämän asetuksen mukaisten vaatimusten noudattamisessa ja jos kyseinen palvelun tarjoaja ei toimi pyynnön mukaisesti ja valvontaelimen tapauksen mukaan asettaman aikarajan puitteissa, valvontaelin voi erityisesti laiminlyönnin laajuuden, keston ja seuraukset huomioon ottaen perua kyseisen palvelun tarjoajan tai sen tarjoaman puutteellisen palvelun hyväksytyn aseman ja tiedottaa 22 artiklan 3 kohdassa tarkoitetulle elimelle asiasta 22 artiklan 1 kohdassa tarkoitettujen luotettujen luetteloiden ajan tasalle saattamista varten. Valvontaelin ilmoittaa hyväksytylle luottamuspalvelun tarjoajalle sen hyväksytyn aseman tai asianomaisen palvelun hyväksytyn aseman perumisesta.

4. Komissio voi täytäntöönpanosäädöksin vahvistaa viitenumeron seuraavia standardeja varten:

a)	edellä 1 kohdassa tarkoitettu vaatimustenmukaisuuden arviointilaitosten akkreditointi ja vaatimustenmukaisuuden arviointikertomus;

b)	tarkastusta koskevat säännöt, joiden mukaisesti vaatimustenmukaisuuden arviointilaitokset suorittavat 1 kohdassa tarkoitetun hyväksyttyjen luottamuspalvelun tarjoajien vaatimustenmukaisuuden arvioinnin.

Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

21 artikla

Hyväksytyn luottamuspalvelun aloittaminen

1. Jos luottamuspalvelun tarjoajat, joilla ei ole hyväksyttyä asemaa, aikovat tarjota hyväksyttyjä luottamuspalveluja, niiden on toimitettava valvontaelimelle ilmoitus aikomuksestaan yhdessä vaatimustenmukaisuuden arviointilaitoksen myöntämän vaatimustenmukaisuuden arviointikertomuksen kanssa.

2. Valvontaelin tarkastaa, täyttävätkö luottamuspalvelun tarjoaja ja sen tarjoamat luottamuspalvelut tässä asetuksessa säädetyt vaatimukset ja erityisesti hyväksyttyjä luottamuspalvelun tarjoajia ja niiden tarjoamia hyväksyttyjä luottamuspalveluja koskevat vaatimukset.

Jos valvontaelin päättää, että luottamuspalvelun tarjoaja ja sen tarjoamat luottamuspalvelut täyttävät ensimmäisessä alakohdassa tarkoitetut vaatimukset, valvontaelimen on myönnettävä luottamuspalvelun tarjoajalle ja sen tarjoamille luottamuspalveluille hyväksytty asema sekä ilmoitettava asiasta 22 artiklan 3 kohdassa tarkoitetulle elimelle 22 artiklan 1 kohdassa tarkoitettujen luotettujen luetteloiden ajan tasalle saattamista varten viimeistään kolmen kuukauden kuluttua tämän artiklan 1 kohdan mukaisesta ilmoituksesta.

Jos tarkastusta ei saada päätökseen kolmen kuukauden kuluessa ilmoituksesta, valvontaelimen on ilmoitettava asiasta luottamuspalvelun tarjoajalle ja yksilöitävä viivästyksen syyt ja ajanjakso, jonka aikana tarkastus on saatava päätökseen.

3. Hyväksytyt luottamuspalvelun tarjoajat voivat ryhtyä tarjoamaan hyväksyttyä luottamuspalvelua sen jälkeen kun hyväksytty asema on merkitty 22 artiklan 1 kohdassa tarkoitettuihin luotettuihin luetteloihin.

4. Komissio voi täytäntöönpanosäädöksillä määritellä 1 ja 2 kohdan soveltamiseen liittyvät muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

24 artikla

Hyväksyttyjä luottamuspalvelun tarjoajia koskevat vaatimukset

1. Hyväksytyn luottamuspalvelun tarjoajan on myöntäessään hyväksyttyä varmennetta luottamuspalvelulle tarkastettava asianmukaisin menetelmin ja kansallisen lain mukaisesti sen luonnollisen henkilön tai oikeushenkilön henkilöllisyys ja mahdolliset muut attribuutit, jolle hyväksytty varmenne myönnetään.

Ensimmäisessä alakohdassa tarkoitetut tiedot on tarkastettava hyväksytyn luottamuspalvelun tarjoajan toimesta joko suoraan tai kolmatta osapuolta käyttäen kansallisen lain mukaisesti:

a)	luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan läsnä ollessa; tai

b)	etäältä käyttäen sähköisen tunnistamisen menetelmää, jonka osalta on ennen hyväksytyn varmenteen myöntämistä varmistettu luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan läsnäolo ja joka täyttää 8 artiklassa säädetyt ”korotettua” tai ”korkeaa” varmuustasoa koskevat vaatimukset; tai

c)	käyttäen a tai b alakohdan mukaisesti myönnettyä hyväksytyn sähköisen allekirjoituksen tai hyväksytyn sähköisen leiman varmennetta; tai

d)	käyttäen muita kansallisella tasolla hyväksyttyjä tunnistamismenetelmiä, jotka tarjoavat fyysistä läsnäoloa vastaavan varmuuden. Vaatimustenmukaisuuden arviointilaitoksen on vahvistettava varmuuden vastaavuus.

2. Hyväksyttyjä luottamuspalveluja tarjoavan hyväksytyn luottamuspalvelun tarjoajan on

a)	ilmoitettava valvontaelimelle kaikista muutoksista hyväksyttyjen luottamuspalvelujensa tarjoamisessa sekä aikomuksesta lopettaa tämä toiminta;

palkattava henkilöstöä ja tarvittaessa alihankkijoita, joilla on tarvittava asiantuntemus, luotettavuus, kokemus ja pätevyys ja jotka ovat saaneet tarvittavaa koulutusta tietoturvaa ja henkilötietojen suojaa koskevista säännöistä, ja noudatettava eurooppalaisia tai kansainvälisiä standardeja vastaavia hallinnollisia menettelyjä ja johtamismenettelyjä;

c)	ylläpidettävä 13 artiklan mukaisen vahinkovastuun riskin suhteen riittäviä taloudellisia varoja ja/tai hankittava asianmukainen vastuuvakuutus kansallisen lain mukaisesti;

d)	ilmoitettava ennen sopimussuhteen aloittamista henkilöille, jotka haluavat käyttää hyväksyttyä luottamuspalvelua, selkeästi ja kattavasti kyseisen palvelun käytön tarkoista ehdoista ja edellytyksistä, muun muassa sen käyttöä koskevista rajoituksista;

e)	käytettävä luotettavia järjestelmiä ja tuotteita, jotka on suojattu muutoksilta ja joilla varmistetaan niiden tukemien prosessien tekninen tietoturva ja luotettavuus;

käytettävä luotettavia järjestelmiä sille annettujen tietojen tallentamiseen tarkastettavissa olevassa muodossa siten, että

i)	tiedot ovat julkisesti haettavissa vain, jos siihen on saatu tietojen kohteena olevan henkilön suostumus,

ii)	ainoastaan valtuutetut henkilöt voivat syöttää tietoja ja tehdä muutoksia tallennettuihin tietoihin,

iii)	tietojen aitous voidaan tarkastaa;

g)	toteutettava tarkoituksenmukaisia toimenpiteitä tietojen väärentämisen ja varastamisen estämiseksi;

arkistoitava ja pidettävä saatavilla asianmukaisen ajan, myös sen jälkeen kun hyväksytyn luottamuspalvelun tarjoajan toiminta on lakannut, kaikki tarvittavat tiedot hyväksytyn luottamuspalvelun tarjoajan myöntämistä ja vastaanottamista tiedoista, erityisesti käytettäväksi todisteena oikeudellisissa käsittelyissä ja palvelun jatkuvuuden varmistamiseksi. Tällaisia arkistoja voidaan ylläpitää sähköisessä muodossa;

i)	ylläpidettävä ajan tasalla olevaa toiminnan lopettamissuunnitelmaa, jotta voidaan varmistaa palvelun jatkuvuus valvontaelimen 17 artiklan 4 kohdan i alakohdan nojalla tarkastamien säännösten mukaisesti;

j)	varmistettava, että henkilötietoja käsitellään lainmukaisesti direktiiviä 95/46/EY noudattaen;

k)	kun kyse on hyväksyttyjä varmenteita myöntävistä hyväksytyistä luottamuspalvelun tarjoajista, perustettava varmennetietokanta ja pidettävä se ajan tasalla.

3. Jos hyväksyttyjä varmenteita myöntävä hyväksytty luottamuspalvelujen tarjoaja päättää sulkea varmenteen, sen on kirjattava kyseinen sulkeminen varmennetietokantaansa ja julkaistava varmenteen sulkemistila oikea-aikaisesti ja joka tapauksessa 24 tunnin kuluessa pyynnön vastaanottamisesta. Sulkeminen tulee voimaan välittömästi sen julkaisemisen yhteydessä.

4. Hyväksyttyjä varmenteita myöntävien hyväksyttyjen luottamuspalvelun tarjoajien on 3 kohtaan liittyen annettava kaikille luottaville osapuolille tietoa niiden myöntämien hyväksyttyjen varmenteiden voimassaolo- tai sulkemistilasta. tämä tieto on asetettava saataville ainakin varmennekohtaisesti jatkuvasti ja myös varmenteen voimassaolon päätyttyä automaattisella tavalla, joka on luotettava, maksuton ja tehokas.

5. Komissio voi täytäntöönpanosäädöksin vahvistaa tämän artiklan 2 kohdan e ja f alakohdan vaatimukset täyttäviin luotettaviin järjestelmiin ja tuotteisiin sovellettavien standardien viitenumerot. Jos luotettava järjestelmä tai tuote vastaa näitä standardeja, sen katsotaan olevan tässä artiklassa säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4 JAKSO

Sähköiset allekirjoitukset

27 artikla

Sähköiset allekirjoitukset julkisissa palveluissa

1. Jos jäsenvaltio vaatii kehittynyttä sähköistä allekirjoitusta julkisen sektorin elimen tarjoaman tai sen puolesta tarjotun verkkopalvelun käyttämiseksi, kyseisen jäsenvaltion on tunnustettava ainakin ne kehittyneet sähköiset allekirjoitukset, sähköisten allekirjoitusten hyväksyttyyn varmenteeseen perustuvat kehittyneet sähköiset allekirjoitukset sekä hyväksytyt sähköiset allekirjoitukset, jotka ovat 5 kohdassa tarkoitetuissa täytääntöönpanosäädöksissä määritellyissä muodoissa tai joissa käytetään niissä tarkoitettuja menettelyjä.

2. Jos jäsenvaltio vaatii hyväksyttyyn varmenteeseen perustuvaa kehittynyttä sähköistä allekirjoitusta julkisen sektorin elimen tarjoaman tai sen puolesta tarjotun verkkopalvelun käyttämiseksi, kyseisen jäsenvaltion on tunnustettava ainakin ne hyväksyttyyn varmenteeseen perustuvat kehittyneet sähköiset allekirjoitukset sekä hyväksytyt sähköiset allekirjoitukset, jotka ovat 5 kohdassa tarkoitetuissa täytääntöönpanosäädöksissä määritellyissä muodoissa tai joissa käytetään niissä tarkoitettuja menettelyjä.

3. Jäsenvaltiot eivät saa vaatia julkisen sektorin elimen tarjoaman verkkopalvelun käytössä rajojen yli sähköistä allekirjoitusta, jonka tietoturvataso on korkeampi kuin hyväksytyn sähköisen allekirjoituksen.

4. Komissio voi täytäntöönpanosäädöksin vahvistaa kehittyneisiin sähköisiin allekirjoituksiin sovellettavien standardien viitenumerot. Jos kehittynyt sähköinen allekirjoitus vastaa kyseisiä standardeja, sen katsotaan olevan tämän artiklan 1 ja 2 kohdassa sekä 26 artiklassa tarkoitettujen kehittyneitä sähköisiä allekirjoituksia koskevien vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

5. Komissio määrittelee kehittyneitä sähköisiä allekirjoituksia koskevat viitemuodot tai, jos käytetään vaihtoehtoisia muotoja, viitemenetelmät täytäntöönpanosäädöksillä viimeistään 18 päivänä syyskuuta 2015 ottaen huomioon olemassa olevat käytännöt, standardit ja unionin säädökset. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

30 artikla

Hyväksyttyjen sähköisen allekirjoituksen luontivälineiden sertifiointi

1. Jäsenvaltioiden nimeämien asianmukaisten julkisten tai yksityisten tahojen on sertifioitava hyväksyttyjen sähköisen allekirjoituksen luontivälineiden vaatimustenmukaisuus liitteessä II säädettyjen vaatimusten kanssa.

2. Jäsenvaltioiden on ilmoitettava komissiolle 1 kohdassa tarkoitetun julkisen tai yksityisen tahon nimi ja osoite. Komissio asettaa nämä tiedot jäsenvaltioiden saataville.

3. Edellä 1 kohdassa tarkoitettu sertifiointi perustuu toiseen seuraavista:

a)	tietoturvan arviointiprosessi, joka on tehty noudattaen jotakin toisen alakohdan mukaisesti vahvistettuun luetteloon sisältyvää tietoteknisten tuotteiden tietoturva-arviointia koskevaa standardia; tai

muu kuin a alakohdassa tarkoitettu prosessi, edellyttäen että siinä käytetään vertailukelpoisia tietoturvatasoja ja että 1 kohdassa tarkoitettu julkinen tai yksityinen taho ilmoittaa menettelystä komissiolle. Tätä prosessia voidaan käyttää ainoastaan, jos a alakohdassa tarkoitetut standardit puuttuvat tai jos a alakohdassa tarkoitetun tietoturvan arviointiprosessin suorittaminen on kesken.

Komissio vahvistaa täytäntöönpanosäädöksillä luettelon a alakohdassa tarkoitettua tietoteknisten tuotteiden tietoturva-arviointia koskevista standardeista. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4. Siirretään komissiolle valta antaa 47 artiklan mukaisesti delegoituja säädöksiä, jotka koskevat tämän artiklan 1 kohdassa tarkoitetuille nimetyille tahoille asetettavia erityisvaatimuksia.

34 artikla

Hyväksyttyjen sähköisten allekirjoitusten hyväksytty säilyttämispalvelu

1. Hyväksyttyjen sähköisten allekirjoitusten hyväksyttyä säilyttämispalvelua voi tarjota ainoastaan hyväksytty luottamuspalvelun tarjoaja, jonka käyttämät menettelyt ja teknologiat ovat sellaisia, että niillä voidaan jatkaa hyväksytyn sähköisen allekirjoituksen luotettavuutta senkin jälkeen, kun niiden teknologinen luotettavuusaika on päättynyt.

2. Komissio voi täytäntöönpanosäädöksin vahvistaa hyväksyttyjen sähköisten allekirjoitusten hyväksyttyyn säilyttämispalveluun sovellettavien standardien viitenumerot. Jos hyväksyttyjen sähköisten allekirjoitusten hyväksyttyä säilyttämispalvelua koskevat järjestelyt vastaavat kyseisiä standardeja, 1 kohdassa säädettyjen vaatimusten mukaisuuden katsotaan täyttyvän. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

5 JAKSO

Sähköiset leimat

37 artikla

Sähköiset leimat julkisissa palveluissa

1. Jos jäsenvaltio vaatii kehittynyttä sähköistä leimaa julkisen sektorin elimen tarjoaman tai sen puolesta tarjotun verkkopalvelun käyttämiseksi, kyseisen jäsenvaltion on tunnustettava vähintään kehittyneet sähköiset leimat, sähköisten leimojen hyväksyttyyn varmenteeseen perustuvat kehittyneet sähköiset leimat sekä hyväksytyt sähköiset leimat, jotka ovat 5 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä määritellyissä muodoissa tai joissa käytetään niissä tarkoitettuja menettelyjä.

2. Jos jäsenvaltio vaatii hyväksyttyyn varmenteeseen perustuvaa kehittynyttä sähköistä leimaa julkisen sektorin elimen tarjoaman tai sen puolesta tarjotun verkkopalvelun käyttämiseksi, kyseisen jäsenvaltion on tunnustettava ainakin hyväksyttyyn varmenteeseen perustuvat kehittyneet sähköiset leimat sekä hyväksytyt sähköiset leimat, jotka ovat 5 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä määritellyissä muodoissa tai joissa käytetään niissä tarkoitettuja menettelyjä.

3. Jäsenvaltiot eivät saa vaatia julkisen sektorin elimen tarjoaman verkkopalvelun käytössä rajojen yli sähköistä leimaa, jonka tietoturvataso on korkeampi kuin hyväksytyn sähköisen leiman.

4. Komissio voi täytäntöönpanosäädöksin vahvistaa kehittyneisiin sähköisiin leimoihin sovellettavien standardien viitenumerot. Jos kehittynyt sähköinen leima vastaa kyseisiä standardeja, sen katsotaan olevan tämän artiklan 1 ja 2 kohdassa sekä 36 artiklassa tarkoitettujen kehittyneitä sähköisiä leimoja koskevien vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

5. Komissio määrittelee kehittyneitä sähköisiä leimoja koskevat viitemuodot tai, jos käytetään vaihtoehtoisia muotoja, viitemenetelmät täytäntöönpanosäädöksillä viimeistään 18 päivänä syyskuuta 2015 ottaen huomioon olemassa olevat käytännöt, standardit ja unionin säädökset. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

42 artikla

Hyväksyttyjä sähköisiä aikaleimoja koskevat vaatimukset

1. Hyväksytyn sähköisen aikaleiman on täytettävä seuraavat vaatimukset:

a)	se sitoo tiedot päivään ja ajankohtaan niin, että voidaan kohtuudella sulkea pois mahdollisuus, että tietoja olisi muutettu huomaamatta;

b)	se perustuu virheettömään aikalähteeseen, joka on liitetty koordinoituun yleisaikaan; ja

c)	se on allekirjoitettu hyväksytyn luottamuspalvelujen tarjoajan kehittyneellä sähköisellä allekirjoituksella tai leimattu tämän kehittyneellä sähköisellä leimalla tai vastaavalla menetelmällä.

2. Komissio voi täytäntöönpanosäädöksin vahvistaa päivän ja ajankohdan sitomista tietoihin sekä virheettömiä aikalähteitä koskevien standardien viitenumerot. Jos päivän ja ajankohdan sitominen tietoihin ja virheetön aikalähde vastaavat kyseisiä standardeja, niiden katsotaan olevan 1 kohdassa säädettyjen vaatimusten mukaiset. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

7 JAKSO

Sähköiset rekisteröidyt jakelupalvelut

48 artikla

Komiteamenettely

1. Komissiota avustaa komitea. tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

VI LUKU

LOPPUSÄÄNNÖKSET

49 artikla

Uudelleentarkastelu

Komissio tarkastelee uudelleen tämän asetuksen soveltamista ja antaa Euroopan parlamentille ja neuvostolle kertomuksen viimeistään 1 päivänä heinäkuuta 2020. Komissio arvioi erityisesti, olisiko tämän asetuksen tai sen tiettyjen säännösten, mukaan lukien 6 artikla, 7 artiklan f alakohta sekä 34, 43, 44 ja 45 artikla, soveltamisalaa asianmukaista muuttaa, ottaen huomioon tämän asetuksen soveltamisesta saatu kokemus sekä tekninen, markkinoihin liittyvä ja oikeudellinen kehitys.

Ensimmäisessä kohdassa tarkoitettuun kertomukseen liitetään tarvittaessa lainsäädäntöehdotuksia.

Lisäksi komissio antaa Euroopan parlamentille ja neuvostolle ensimmäisessä kohdassa tarkoitetun kertomuksen jälkeen neljän vuoden välein kertomuksen edistymisestä tämän asetuksen tavoitteiden saavuttamisessa.

51 artikla

Siirtymätoimenpiteet

1. Turvallisia allekirjoituksen luontivälineitä, joiden vaatimustenmukaisuus on määritetty direktiivin 1999/93/EY 3 artiklan 4 kohdan mukaisesti, pidetään tämän asetuksen mukaisina hyväksyttyinä sähköisen allekirjoituksen luontivälineinä.

2. Direktiivin 1999/93/EY mukaisesti luonnollisille henkilöille myönnettyjä hyväksyttyjä varmenteita pidetään tämän asetuksen mukaisina sähköisten allekirjoitusten hyväksyttyinä varmenteina niiden voimassaolon päättymiseen saakka.

3. Direktiivin 1999/93/EY mukaisen hyväksyttyjä varmenteita myöntävän varmennepalvelujen tarjoajan on toimitettava valvontaelimelle vaatimustenmukaisuuden arviointikertomus mahdollisimman pian mutta viimeistään 1 päivänä heinäkuuta 2017. Kyseistä varmennepalvelujen tarjoajaa pidetään tämän asetuksen mukaisena hyväksyttynä luottamuspalvelun tarjoajana siihen saakka, kun vaatimustenmukaisuuden arviointikertomus on toimitettu ja valvontaelin on saattanut loppuun sen arvioinnin.

4. Jos direktiivin 1999/93/EY mukainen hyväksyttyjä varmenteita myöntävä varmennepalvelujen tarjoaja ei toimita valvontaelimelle vaatimustenmukaisuuden arviointikertomusta 3 kohdassa tarkoitetussa määräajassa, kyseistä varmennepalvelujen tarjoajaa ei pidetä tämän asetuksen mukaisena hyväksyttynä luottamuspalvelun tarjoajana 2 päivästä heinäkuuta 2017.

52 artikla

Voimaantulo

1. tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2. Tätä asetusta sovelletaan 1 päivästä heinäkuuta 2016, lukuun ottamatta seuraavia säännöksiä:

asetuksen 8 artiklan 3 kohtaa, 9 artiklan 5 kohtaa, 12 artiklan 2–9 kohtaa, 17 artiklan 8 kohtaa, 19 artiklan 4 kohtaa, 20 artiklan 4 kohtaa, 21 artiklan 4 kohtaa, 22 artiklan 5 kohtaa, 23 artiklan 3 kohtaa, 24 artiklan 5 kohtaa, 27 artiklan 4 ja 5 kohtaa, 28 artiklan 6 kohtaa, 29 artiklan 2 kohtaa, 30 artiklan 3 ja 4 kohtaa, 31 artiklan 3 kohtaa, 32 artiklan 3 kohtaa, 33 artiklan 2 kohtaa, 34 artiklan 2 kohtaa, 37 artiklan 4 ja 5 kohtaa, 38 artiklan 6 kohtaa, 42 artiklan 2 kohtaa, 44 artiklan 2 kohtaa, 45 artiklan 2 kohtaa, 47 artiklaa ja 48 artiklaa sovelletaan 17 päivästä syyskuuta 2014;

b)	asetuksen 7 artiklaa, 8 artiklan 1 ja 2 kohtaa, 9 artiklaa, 10 artiklaa, 11 artiklaa ja 12 artiklan 1 kohtaa sovelletaan 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä;

c)	asetuksen 6 artiklaa sovelletaan kolmen vuoden kuluttua 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä.

3. Jos ilmoitettu sähköisen tunnistamisen järjestelmä sisällytetään komission 9 artiklan nojalla julkaisemaan luetteloon ennen tämän artiklan 2 kohdan c alakohdassa tarkoitettua päivää, kyseisen järjestelmän mukaiset sähköisen tunnistamisen menetelmät on tunnustettava 6 artiklan nojalla viimeistään 12 kuukauden kuluttua järjestelmän julkaisemisesta, mutta tämän artiklan 2 kohdan c alakohdassa tarkoitetun päivän jälkeen.

4. Sen estämättä, mitä tämän artiklan 2 kohdan c alakohdassa säädetään, jäsenvaltio voi päättää, että sähköisen tunnistamisen järjestelmän mukaiset toisen jäsenvaltion 9 artiklan 1 kohdan nojalla ilmoittamat sähköisen tunnistamisen menetelmät tunnustetaan ensimmäisessä jäsenvaltiossa 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä alkaen. Asianomaiset jäsenvaltiot ilmoittavat asiasta komissiolle. Komissio julkistaa nämä tiedot.

tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 23 päivänä heinäkuuta 2014.

Euroopan parlamentin puolesta

Puhemies

M. SCHULZ

Neuvoston puolesta

Puheenjohtaja

S. GOZI

(1) EUVL C 351, 15.11.2012, s. 73.

(2) Euroopan parlamentin kanta, vahvistettu 3. huhtikuuta 2014 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston päätös, tehty 23. heinäkuuta 2014.

(3) Euroopan parlamentin ja neuvoston direktiivi 1999/93/EY, annettu 13 päivänä joulukuuta 1999, sähköisiä allekirjoituksia koskevista yhteisön puitteista (EYVL L 13, 19.1.2000, s. 12).

(4) EUVL C 50 E, 21.2.2012, s. 1.

(5) Euroopan parlamentin ja neuvoston direktiivi 2006/123/EY, annettu 12 päivänä joulukuuta 2006, palveluista sisämarkkinoilla (EUVL L 376, 27.12.2006, s. 36).

(6) Euroopan parlamentin ja neuvoston direktiivi 2011/24/EU, annettu 9 päivänä maaliskuuta 2011, potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa (EUVL L 88, 4.4.2011, s. 45).

(7) Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31).

(8) Neuvoston päätös 2010/48/EY, tehty 26 päivänä marraskuuta 2009, vammaisten henkilöiden oikeuksia koskevan Yhdistyneiden Kansakuntien yleissopimuksen tekemisestä Euroopan yhteisön puolesta (EUVL L 23, 27.1.2010, s. 35).

(9) Euroopan parlamentin ja neuvoston asetus (EY) N:o 765/2008, annettu 9 päivänä heinäkuuta 2008, tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta (EUVL L 218, 13.8.2008, s. 30).

(10) Komission päätös 2009/767/EY, tehty 16 päivänä lokakuuta 2009, toimenpiteistä sähköisten menettelyjen käytön edistämiseksi keskitettyjä asiointipisteitä käyttäen palveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston direktiivin 2006/123/EY mukaisesti (EUVL L 274, 20.10.2009, s. 36).

(11) Komission päätös 2011/130/EU, annettu 25 päivänä helmikuuta 2011, palveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston direktiivin 2006/123/EY nojalla toimivaltaisten viranomaisten sähköisesti allekirjoittamien asiakirjojen maiden rajat ylittävää käsittelyä koskevista vähimmäisvaatimuksista (EUVL L 53, 26.2.2011, s. 66).

(12) Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13).

(13) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

(14) EUVL C 28, 30.1.2013, s. 6.

(15) Euroopan parlamentin ja neuvoston direktiivi 2014/24/EU, annettu 26 päivänä helmikuuta 2014, julkisista hankinnoista ja direktiivin 2004/18/EY kumoamisesta (EUVL L 94, 28.3.2014, s. 65).

LIITE I

SÄHKÖISTEN ALLEKIRJOITUSTEN HYVÄKSYTTYJÄ VARMENTEITA KOSKEVAT VAATIMUKSET

Sähköisten allekirjoitusten hyväksyttyjen varmenteiden on sisällettävä:

a)	tieto, ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty sähköisen allekirjoituksen hyväksyttynä varmenteena;

tietokokonaisuus, joka yksiselitteisesti edustaa hyväksytyt varmenteet myöntävää hyväksyttyä luottamuspalvelun tarjoajaa ja sisältää ainakin tiedon jäsenvaltiosta, johon tarjoaja on sijoittautunut, ja

—	oikeushenkilön osalta: nimi ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa,

—	luonnollisen henkilön osalta: henkilön nimi;

c)	ainakin allekirjoittajan nimi tai salanimi; jos käytetään salanimeä, tämä on ilmoitettava selvästi;

d)	sähköisen allekirjoituksen validointitiedot, jotka vastaavat sen luontitietoja;

e)	tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;

f)	varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelun tarjoajan osalta yksilöivä;

g)	myöntävän hyväksytyn luottamuspalvelun tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;

h)	sijainti, josta g kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;

i)	niiden palvelujen sijainti, joista voi selvittää hyväksytyn varmenteen voimassaolon tilan;

j)	jos sähköisen allekirjoituksen validointitietoihin liittyvät sähköisen allekirjoituksen luontitiedot sijaitsevat hyväksytyssä sähköisten allekirjoitusten luontivälineessä, tieto tästä ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa.

LIITE II

HYVÄKSYTTYJÄ SÄHKÖISEN ALLEKIRJOITUKSEN LUONTIVÄLINEITÄ KOSKEVAT VAATIMUKSET

Hyväksytyillä sähköisen allekirjoituksen luontivälineillä on tarkoituksenmukaista tekniikkaa ja menettelytapoja käyttäen varmistettava ainakin, että

a)	sähköisen allekirjoituksen luomisessa käytettävien sähköisen allekirjoituksen luontitietojen luottamuksellisuus taataan kohtuudella;

b)	sähköisen allekirjoituksen luomisessa käytettäviä sähköisen allekirjoituksen luontitietoja voi käytännössä esiintyä vain kerran;

c)	sähköisen allekirjoituksen luomisessa käytettävät sähköisen allekirjoituksen luontitiedot eivät kohtuullisella varmuudella ole pääteltävissä ja sähköinen allekirjoitus on luotettavasti suojattu väärentämiseltä kulloinkin saatavilla olevan teknologian mukaisesti;

d)	laillinen allekirjoittaja voi luotettavasti suojata sähköisen allekirjoituksen luomisessa käytettävät sähköisen allekirjoituksen luontitiedot muiden käytöltä.

Hyväksytyt sähköisen allekirjoituksen luontivälineet eivät saa muuttaa allekirjoitettavia tietoja eivätkä estää niiden esittämistä allekirjoittajalle ennen allekirjoittamista.

Allekirjoittajan puolesta tapahtuvasta sähköisen allekirjoituksen luontitietojen muodostamisesta ja hallinnoinnista voi vastata ainoastaan hyväksytty luottamuspalvelun tarjoaja.

Allekirjoittajan puolesta sähköisen allekirjoituksen luontitietoja hallinnoivat hyväksytyt luottamuspalvelun tarjoajat voivat kahdentaa sähköisen allekirjoituksen luontitietoja ainoastaan varmuuskopiointitarkoituksiin edellyttäen, että seuraavat vaatimukset täyttyvät, sanotun kuitenkaan rajoittamatta 1 kohdan d alakohdan soveltamista:

a)	kahdennettujen tietokokonaisuuksien tietoturvan on oltava samalla tasolla kuin alkuperäisten tietokokonaisuuksien;

b)	kahdennettujen tietokokonaisuuksien määrä ei saa ylittää vähimmäismäärää, joka on tarpeen palvelun jatkuvuuden varmistamiseksi.

LIITE III

SÄHKÖISTEN LEIMOJEN HYVÄKSYTTYJÄ VARMENTEITA KOSKEVAT VAATIMUKSET

Sähköisten leimojen hyväksyttyjen varmenteiden on sisällettävä:

a)	tieto, ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty sähköisen leiman hyväksyttynä varmenteena;

—	oikeushenkilön osalta: nimi ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa,

—	luonnollisen henkilön osalta: henkilön nimi;

c)	ainakin leiman luojan nimi ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa;

d)	sähköisen leiman validointitiedot, jotka vastaavat kyseisen sähköisen leiman luontitietoja;

e)	tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;

f)	varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelun tarjoajan osalta yksilöivä;

g)	myöntävän hyväksytyn luottamuspalvelun tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;

h)	sijainti, josta g kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;

i)	niiden palvelujen sijainti, joista voi selvittää hyväksytyn varmenteen voimassaolon tilan;

j)	jos sähköisen leiman validointitietoihin liittyvät sähköisen leiman luontitiedot sijaitsevat hyväksytyssä sähköisten leimojen luontivälineessä, tieto tästä ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa.

LIITE IV

VERKKOSIVUSTOJEN TODENTAMISEN HYVÄKSYTTYJÄ VARMENTEITA KOSKEVAT VAATIMUKSET

Verkkosivustojen todentamisen hyväksyttyjen varmenteiden on sisällettävä:

a)	tieto, ainakin automaattiseen tietojenkäsittelyyn soveltuvassa muodossa, siitä, että varmenne on myönnetty verkkosivustojen todentamisen hyväksyttynä varmenteena;

—	oikeushenkilön osalta: nimi ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa,

—	luonnollisen henkilön osalta: henkilön nimi;

luonnollisten henkilöiden osalta: ainakin sen henkilön nimi, jolle varmenne on myönnetty, tai salanimi. Jos käytetään salanimeä, tämä on ilmoitettava selvästi;

oikeushenkilöiden osalta: ainakin sen oikeushenkilön nimi, jolle varmenne on myönnetty, ja tarvittaessa rekisterinumero virallisissa rekistereissä olevassa muodossa;

d)	luonnollisen henkilön tai oikeushenkilön, jolle varmenne on myönnetty, osoitteen osatiedot, mukaan luettuina ainakin kaupunki ja valtio, tarvittaessa virallisissa rekistereissä olevassa muodossa;

e)	luonnollisen henkilön tai oikeushenkilön, jolle varmenne on myönnetty, käyttämät verkon aluetunnukset;

f)	tiedot varmenteen voimassaoloajan alkamisesta ja päättymisestä;

g)	varmenteen tunniste, jonka on oltava kyseisen hyväksytyn luottamuspalvelun tarjoajan osalta yksilöivä;

h)	myöntävän hyväksytyn luottamuspalvelun tarjoajan kehittynyt sähköinen allekirjoitus tai kehittynyt sähköinen leima;

i)	sijainti, josta h kohdassa tarkoitettua kehittynyttä sähköistä allekirjoitusta tai kehittynyttä sähköistä leimaa tukeva varmenne on saatavilla veloituksetta;

j)	niiden varmenteen voimassaolotilaan liittyvien palvelujen sijainti, joista voi selvittää hyväksytyn varmenteen voimassaolon tilan.

whereas

(3) Euroopan parlamentin ja neuvoston direktiivi 1999/93/EY (3) koski sähköisiä allekirjoituksia tarjoamatta kokonaisvaltaisia rajat ylittäviä ja eri alat kattavia puitteita turvallisia, luotettavia ja helppokäyttöisiä sähköisiä transaktioita varten.
tämä asetus parantaa ja laajentaa mainittuun direktiiviin liittyvää säännöstöä.

- = -

(5) Eurooppa-neuvosto kehotti 4 päivänä helmikuuta 2011 ja 23 päivänä lokakuuta 2011 antamissaan päätelmissä komissiota luomaan digitaaliset sisämarkkinat vuoteen 2015 mennessä, pyrkimään nopeaan edistymiseen digitaalitalouden keskeisillä osa-alueilla ja edistämään digitaalisten sisämarkkinoiden täyttä yhdentymistä helpottamalla verkkopalvelujen käyttöä yli rajojen kiinnittäen erityistä huomiota turvallisen sähköisen tunnistamisen ja todentamisen helpottamiseen.

- = -

(6) Neuvosto kehotti 27 päivänä toukokuuta 2011 antamissaan päätelmissä komissiota edistämään digitaalisten sisämarkkinoiden kehittymistä luomalla tarvittavat edellytykset tärkeimpien rajat ylittävien mahdollistavien tekijöiden, kuten sähköisen tunnistamisen, sähköisten asiakirjojen, sähköisten allekirjoitusten ja sähköisten jakelupalvelujen, vastavuoroista tunnustamista varten sekä yhteentoimivia sähköisen hallinnon palveluja varten koko Euroopan unionissa.

- = -

(9) Useimmissa tapauksissa kansalaiset eivät voi käyttää sähköistä tunnistettaan todentaakseen itsensä toisessa jäsenvaltiossa, koska niiden kotimaan kansallisia sähköisen tunnistamisen järjestelmiä ei tunnusteta muissa jäsenvaltioissa.
tämän sähköisen esteen vuoksi palveluntarjoajat eivät voi hyödyntää kaikkia sisämarkkinoiden suomia etuja.
Vastavuoroisesti tunnustetut sähköisen tunnistamisen menetelmät helpottavat lukuisten palvelujen rajat ylittävää tarjoamista sisämarkkinoilla ja antavat yrityksille mahdollisuuden toimia rajojen yli ilman, että ne kohtaavat monia esteitä viranomaisasioinnissa.

- = -

(10) Euroopan parlamentin ja neuvoston direktiivillä 2011/24/EU (6) perustetaan sähköisestä terveydenhuollosta vastaavien kansallisten viranomaisten verkosto.
Rajat ylittävän terveydenhuollon turvallisuuden ja jatkuvuuden parantamiseksi verkoston on määrä tuottaa ohjeistoja rajat ylittävästä pääsystä sähköisiin terveystietoihin ja -palveluihin muun muassa tukemalla ”yhteisiä tunnistamismenetelmiä ja alkuperäisyyden toteamismenetelmiä, jotta voidaan helpottaa tietojen siirrettävyyttä rajatylittävässä terveydenhoidossa”.
Sähköisen tunnistamisen ja todentamisen vastavuoroinen tunnustaminen on olennaisen tärkeää tuotaessa rajat ylittävää terveydenhuoltoa Euroopan kansalaisten ulottuville.
Kun ihmiset matkustavat ulkomaille saamaan hoitoa, heidän potilastietojensa on oltava saatavilla hoitomaassa.
tämä edellyttää vankkoja, turvallisia ja luotettuja sähköisen tunnistamisen puitteita.

- = -

(12) Yksi tämän asetuksen tavoitteista on poistaa nykyiset esteet, jotka haittaavat jäsenvaltioiden ainakin julkisissa palveluissa todentamiseen käyttämien sähköisen tunnistamisen menetelmien käyttöä yli rajojen.
Tällä asetuksella ei pyritä puuttumaan jäsenvaltioissa käytettäviin sähköisen identiteetin hallintajärjestelmiin ja niihin liittyviin infrastruktuureihin.
tämän asetuksen tarkoituksena on varmistaa, että jäsenvaltioiden tarjoamia rajat ylittäviä verkkopalveluja varten on käytössä turvallisia sähköisen tunnistamisen ja todentamisen menetelmiä.

- = -

(16) Varmuustasojen olisi luonnehdittava sähköisen tunnistamisen menetelmän luotettavuuden astetta henkilön henkilöllisyyden toteamisessa ja siten tarjota varmuus siitä, että henkilö, joka väittää omaavansa tietyn henkilöllisyyden, on tosiasiassa henkilö, jolle kyseinen henkilöllisyys on osoitettu.
Varmuustaso riippuu kyseisen sähköisen tunnistamisen menetelmän tarjoamasta luottamustasosta henkilön väitetyn tai esitetyn henkilöllisyyden suhteen ottaen huomioon toteutetut prosessit (esimerkiksi henkilöllisyyden todistaminen ja varmentaminen sekä todentaminen), hallinnolliset toimet (esimerkiksi sähköisen tunnistamisen menetelmän myöntävä toimija ja menettely tällaisen menetelmän myöntämiseksi) ja tekniset tarkastukset.
Unionin rahoittamien suuren mittakaavan pilottihankkeiden, standardisoinnin ja kansainvälisen toiminnan seurauksena on laadittu lukuisia teknisiä eritelmiä ja varmuustasojen kuvauksia.
Erityisesti suuren mittakaavan pilottihanke STORK ja ISO 29115 viittaavat muun muassa tasoihin 2, 3 ja 4, jotka olisi otettava mahdollisimman tarkkaan huomioon vahvistettaessa teknisten vaatimusten, standardien ja menettelyjen vähimmäistaso tässä asetuksessa tarkoitetuille matalalle, korotetulle ja korkealle varmuustasolle, ja samalla on huolehdittava tämän asetuksen johdonmukaisesta soveltamisesta erityisesti hyväksyttyjen varmenteiden myöntämiseen liittyvän henkilöllisyyden todistamisen edellyttämän korkean varmuustason osalta.
Vahvistettujen vaatimusten olisi oltava teknologianeutraaleja.
Tarvittavat turvallisuusvaatimukset olisi oltava mahdollista saavuttaa erilaisilla teknologioilla.

- = -

(17) Jäsenvaltioiden olisi kannustettava yksityistä sektoria käyttämään vapaaehtoisesti ilmoitetun järjestelmän piiriin kuuluvia sähköisen tunnistamisen menetelmiä tunnistamistarkoituksiin, kun se on tarpeen verkkopalveluissa tai sähköisissä transaktioissa.
Tällaisten sähköisen tunnistamisen menetelmien käyttömahdollisuuden ansiosta yksityinen sektori voisi luottaa monissa jäsenvaltioissa ainakin julkisissa palveluissa jo laajasti käytettyihin sähköisen tunnistamisen ja todentamisen tapoihin, jolloin yritysten ja kansalaisten olisi helpompi käyttää niiden verkkopalveluja rajojen yli.
Jotta yksityisen sektorin olisi helpompi käyttää tällaisia sähköisen tunnistamisen menetelmiä rajojen yli, minkä tahansa jäsenvaltion tarjoaman todentamismahdollisuuden olisi oltava kyseisen jäsenvaltion alueen ulkopuolelle sijoittautuneiden yksityisen sektorin luottavien osapuolten käytettävissä samoin edellytyksin, joita sovelletaan kyseisen jäsenvaltion alueelle sijoittautuneisiin yksityisen sektorin luottaviin osapuoliin.
Näin ollen ilmoittava jäsenvaltio voi määritellä yksityisen sektorin luottavien osapuolten osalta todentamismenetelmän käyttöehdot.
Tällaisiin käyttöehtoihin voi sisältyä tieto siitä, onko ilmoitettuun järjestelmään liittyvä todentamismenetelmä parhaillaan yksityisen sektorin luottavien osapuolten käytettävissä.

- = -

(21) Tällä asetuksella olisi luotava myös yleiset oikeudelliset puitteet luottamuspalvelujen käytölle.
Sillä ei kuitenkaan pitäisi asettaa yleistä velvollisuutta käyttää niitä tai ottaa käyttöön yhteyspistettä kaikkia olemassa olevia luottamuspalveluja varten.
Sen ei varsinkaan pitäisi kattaa sellaisten palvelujen tarjoamista, joita tarjotaan yksinomaan määrätyn osallistujajoukon välisissä suljetuissa järjestelmissä ja joilla ei ole vaikutuksia kolmansiin osapuoliin.
Esimerkiksi yrityksissä tai julkishallinnossa sisäisten menettelyjen hallinnoimiseksi perustettuihin järjestelmiin, joissa käytetään luottamuspalveluja, ei olisi sovellettava tämän asetuksen vaatimuksia.
Ainoastaan yleisölle tarjottujen luottamuspalvelujen, joilla on vaikutuksia kolmansiin osapuoliin, olisi oltava asetuksessa säädettyjen vaatimusten mukaisia.
tämän asetuksen ei myöskään pitäisi kattaa näkökohtia, jotka liittyvät sellaisten sopimusten tai muiden oikeudellisten velvoitteiden vahvistamiseen ja pätevyyteen, joihin sisältyy kansallisessa tai unionin oikeudessa säädettyjä muotovaatimuksia.
Lisäksi sen ei pitäisi vaikuttaa kansallisiin muotovaatimuksiin, jotka koskevat julkisia rekistereitä, erityisesti kauppa- ja kiinteistörekistereitä.

- = -

(23) Siltä osin kuin tässä asetuksessa luodaan velvoite tunnustaa luottamuspalvelu, tällainen luottamuspalvelu voidaan olla tunnustamatta vain, jos se, jolle velvoite on osoitettu, ei pysty lukemaan tai tarkastamaan sitä teknisistä syistä, jotka eivät ole sen välittömässä hallinnassa.
tämä velvoite ei saisi kuitenkaan sellaisenaan edellyttää, että julkinen elin hankkii laitteistot ja ohjelmistot, jotka ovat tarpeen kaikkien olemassa olevien luottamuspalvelujen teknistä luettavuutta varten.

- = -

(24) Jäsenvaltiot voivat unionin oikeuden mukaisesti pitää voimassa tai ottaa käyttöön luottamuspalveluja koskevia kansallisia säännöksiä siltä osin kuin tällaisia palveluja ei ole täysin yhdenmukaistettu tällä asetuksella.
tämän asetuksen mukaisten luottamuspalveluiden olisi kuitenkin liikuttava vapaasti sisämarkkinoilla.

- = -

(27) tämän asetuksen olisi oltava teknologianeutraali.
Sen oikeusvaikutusten olisi oltava saavutettavissa millä tahansa teknisellä menetelmällä, kunhan asetuksen vaatimukset täyttyvät.

- = -

(30) Jäsenvaltioiden olisi nimettävä valvontaelin tai valvontaelimiä suorittamaan tämän asetuksen mukaisia valvontatehtäviä.
Jäsenvaltioiden olisi myös voitava päättää keskinäisellä sopimuksella toisen jäsenvaltion kanssa valvontaelimen nimeämisestä kyseisen toisen jäsenvaltion alueelle.

- = -

(33) Säännökset salanimien käytöstä varmenteissa eivät saisi estää jäsenvaltioita edellyttämästä henkilöiden tunnistamista unionin tai kansallisen oikeuden mukaisesti.

- = -

(35) Kaikkiin luottamuspalvelun tarjoajiin olisi sovellettava tämän asetuksen vaatimuksia, erityisesti tietoturvaa ja vastuuta koskevia vaatimuksia, niiden toimien ja palvelujen asianmukaisen huolellisuuden, avoimuuden ja vastuuvelvollisuuden varmistamiseksi.
Kyseisten vaatimusten osalta on kuitenkin asianmukaista tehdä ero hyväksyttyjen ja ei-hyväksyttyjen luottamuspalvelun tarjoajien välillä, luottamuspalvelun tarjoajien tarjoamien palvelujen tyyppi huomioon ottaen.

- = -

(36) Kaikkia luottamuspalvelun tarjoajia koskevan valvontajärjestelmän perustamisessa olisi varmistettava tasapuoliset edellytykset niiden toimien ja palvelujen tietoturvalle ja vastuuvelvollisuudelle, jolloin edistetään käyttäjien suojelua ja sisämarkkinoiden toimintaa.
Ei-hyväksyttyihin luottamuspalvelun tarjoajiin olisi sovellettava joustavia ja reaktiivisia jälkikäteen toteutettavia valvontatoimia, jotka ovat perusteltavissa niiden palvelujen ja toimien luonteella.
Valvontaelimellä ei siis pitäisi olla yleistä velvoitetta valvoa ei-hyväksyttyjä palveluntarjoajia.
Valvontaelimen pitäisi toteuttaa toimia vain silloin, kun se saa tietää (esimerkiksi ei-hyväksytyn luottamuspalvelun tarjoajan itsensä tai muun valvontaelimen taholta, käyttäjän tai liikekumppanin ilmoituksen perusteella tai oman tutkintansa perusteella), että ei-hyväksytty luottamuspalvelun tarjoaja ei täytä tämän asetuksen vaatimuksia.

- = -

(37) Tässä asetuksessa olisi säädettävä kaikkien luottamuspalvelun tarjoajien vastuusta.
Siinä otetaan erityisesti käyttöön vastuuta koskeva järjestelmä, jonka nojalla kaikkien luottamuspalvelun tarjoajien olisi oltava vastuussa luonnolliselle henkilölle tai oikeushenkilölle aiheutetusta vahingosta, joka johtuu tässä asetuksessa säädettyjen velvoitteiden noudattamisen laiminlyönnistä.
Niiden taloudellisten riskien arvioinnin helpottamiseksi, joita luottamuspalvelun tarjoajille saattaa aiheutua tai jotka niiden olisi katettava vakuutuksilla, tässä asetuksessa sallitaan, että luottamuspalvelun tarjoajat asettavat tietyin edellytyksin rajoituksia tarjoamiensa palvelujen käytölle ja että ne eivät ole vastuussa vahingoista, joita aiheutuu tällaiset rajoitukset ylittävästä palvelujen käytöstä.
Asiakkaille olisi ilmoitettava rajoituksista asianmukaisesti ennakolta.
Tällaisten rajoitusten olisi oltava kolmannen osapuolen tunnistettavissa esimerkiksi siten, että rajoituksia koskevia tietoja sisällytetään tarjotun palvelun ehtoihin ja edellytyksiin, tai muilla tunnistettavilla keinoilla.
Näiden periaatteiden toteuttamiseksi tätä asetusta olisi sovellettava kansallisten vastuusääntöjen mukaisesti.
tämä asetus ei näin ollen vaikuta kyseisiin kansallisiin sääntöihin, jotka koskevat esimerkiksi vahinkojen, tahallisuuden tai tuottamuksellisuuden määrittelyä, tai asiaan liittyviin sovellettaviin menettelysääntöihin.

- = -

(40) Jotta komissio ja jäsenvaltiot voisivat arvioida tällä asetuksella käyttöön otetun tehostetun valvontamekanismin tuloksellisuutta, valvontaelimiä olisi pyydettävä raportoimaan toiminnastaan.
tämä edistäisi hyvien käytäntöjen vaihtoa valvontaelinten välillä ja antaisi varmuuden keskeisten valvontavaatimusten johdonmukaisesta ja tehokkaasta noudattamisesta kaikissa jäsenvaltioissa.

- = -

(44) tämän asetuksen tavoitteena on varmistaa johdonmukaiset puitteet luottamuspalvelujen tietoturvan ja oikeusvarmuuden korkean tason takaamiseksi.
Tältä osin komission olisi tuotteiden ja palvelujen vaatimustenmukaisuuden arviointia käsitellessään pyrittävä tarvittaessa luomaan synergioita olemassa olevien asiaankuuluvien eurooppalaisten ja kansainvälisten järjestelyjen kuten Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (9) kanssa, jossa vahvistetaan vaatimustenmukaisuuden arviointilaitosten akkreditointia ja tuotteiden markkinavalvontaa koskevat vaatimukset.

- = -

(50) Koska jäsenvaltioiden toimivaltaiset viranomaiset käyttävät tällä hetkellä erilaisia kehittyneiden sähköisten allekirjoitusten muotoja asiakirjojensa sähköiseen allekirjoittamiseen, on tarpeen varmistaa, että jäsenvaltiot kykenevät teknisesti käsittelemään ainakin muutamia kehittyneiden sähköisten allekirjoitusten muotoja vastaanottaessaan sähköisesti allekirjoitettuja asiakirjoja.
Kun jäsenvaltioiden toimivaltaiset viranomaiset käyttävät kehittyneitä sähköisiä leimoja, olisi vastaavasti välttämätöntä varmistaa, että ne kykenevät käsittelemään ainakin muutamia kehittyneiden sähköisten leimojen muotoja.

- = -

(52) Sähköisten allekirjoitusten luomista etäpalveluna siten, että niiden luomista hallinnoi allekirjoittajan puolesta luottamuspalvelun tarjoaja, ollaan lisäämässä siihen liittyvien monien taloudellisten etujen vuoksi.
On kuitenkin varmistuttava siitä, että nämä sähköiset allekirjoitukset tunnustetaan oikeudellisesti samalla tavalla kuin käyttäjän yksinomaisesti hallinnoimassa ympäristössä luodut sähköiset allekirjoitukset.
tämän vuoksi sähköisiä allekirjoituspalveluja etäpalveluna tuottavien palveluntarjoajien on noudatettava erityisiä johtamis- ja hallinnollisia tietoturvamenettelyjä ja käytettävä luotettavia järjestelmiä ja tuotteita, joihin kuuluvat turvatut sähköiset viestintäkanavat, jotta varmistettaisiin sähköisen allekirjoituksen luontiympäristön luotettavuus ja se, että ympäristöä käytetään allekirjoittajan yksinomaisessa määräysvallassa.
Jos hyväksytty sähköinen allekirjoitus luodaan etäpalveluna tarjottavaa sähköisen allekirjoituksen luontivälinettä käyttäen, olisi sovellettava tässä asetuksessa vahvistettuja hyväksyttyihin luottamuspalvelun tarjoajiin sovellettavia vaatimuksia.

- = -

(53) Hyväksyttyjen varmenteiden voimassaolon keskeyttäminen on luottamuspalvelun tarjoajien vakiintunut toimintakäytäntö useissa jäsenvaltioissa.
Se on eri asia kuin sulkeminen, ja se aiheuttaa varmenteen voimassaolon väliaikaisen päättymisen.
Oikeusvarmuuden takia varmenteen keskeytystila on aina ilmoitettava selvästi.
Tätä varten luottamuspalvelun tarjoajilla olisi oltava velvollisuus ilmoittaa selvästi varmenteen tila ja, jos se on keskeytetty, varmenteen voimassaolon keskeyttämisen tarkka ajanjakso.
Tällä asetuksella ei olisi velvoitettava luottamuspalvelun tarjoajia tai jäsenvaltioita käyttämään voimassaolon keskeyttämistä, vaan siinä olisi säädettävä avoimuussäännöistä tapauksissa, joissa tällainen käytäntö on mahdollinen.

- = -

(56) Tässä asetuksessa olisi vahvistettava hyväksyttyjä sähköisen allekirjoituksen luontivälineitä koskevat vaatimukset kehittyneiden sähköisten allekirjoitusten toiminnan varmistamiseksi.
tämän asetuksen soveltamisalaan ei olisi kuuluttava se järjestelmäympäristö kokonaisuudessaan, jossa tällaiset välineet toimivat.
Näin ollen hyväksyttyjen allekirjoituksen luontivälineiden sertifioinnin soveltamisala olisi rajoitettava laitteistoihin ja järjestelmäohjelmistoihin, joita käytetään allekirjoituksen luontivälineessä luotujen, siihen tallennettujen tai siinä käsiteltyjen allekirjoituksen luontitietojen hallinnointiin ja suojaamiseen.
Kuten asiaankuuluvissa standardeissa esitetään, allekirjoituksen luontisovellukset olisi jätettävä sertifiointivelvoitteen soveltamisalan ulkopuolelle.

- = -

(66) On olennaisen tärkeää säätää oikeudellisesta kehyksestä, jolla edistetään rajat ylittävää tunnustamista sähköisiin rekisteröityihin jakelupalveluihin liittyvien olemassa olevien kansallisten oikeusjärjestelmien välillä.
tämä kehys voisi myös avata unionin luottamuspalvelun tarjoajille uusia markkinamahdollisuuksia uusien yleiseurooppalaisten sähköisten rekisteröityjen jakelupalvelujen tarjoamiseksi.

- = -

(67) Verkkosivustojen todentamispalvelut tarjoavat välineen, jonka avulla verkkosivustolla vieraileva henkilö voi varmistua siitä, että verkkosivuston taustalla on aito ja laillinen taho.
Nämä palvelut lisäävät luottamusta verkossa asiointiin, koska käyttäjät luottavat verkkosivustoon, joka on todennettu.
Verkkosivustojen todentamispalvelujen tarjoaminen ja käyttö ovat täysin vapaaehtoisia.
Jotta verkkosivustojen todentamisesta tulisi kuitenkin keino lisätä luottamusta, antaa käyttäjälle parempia kokemuksia ja edistää kasvua sisämarkkinoilla, tässä asetuksessa olisi säädettävä tietoturvaa ja vastuuta koskevista vähimmäisvelvoitteista palveluntarjoajien ja niiden palvelujen osalta.
Tätä varten on otettu huomioon toimialan toteuttamien olemassa olevien aloitteiden, esimerkiksi sertifiointiviranomaisten ja selainohjelmistojen myyjien foorumin (CA/B Forum), tulokset.
Lisäksi tämän asetuksen ei pitäisi estää muiden, tämän asetuksen soveltamisalaan kuulumattomien keinojen tai menetelmien käyttöä verkkosivuston todentamiseksi, eikä sen pitäisi estää kolmansista maista peräisin olevia verkkosivustojen todentamispalvelujen tarjoajia tarjoamasta palvelujaan unionin asiakkaille.
Kolmannen maan palveluntarjoajan olisi kuitenkin saatava verkkosivustojen todentamispalvelunsa tunnustettua hyväksytyiksi tämän asetuksen mukaisesti vain, jos unionin ja tarjoajan sijoittautumismaan välillä on tehty kansainvälinen sopimus.

- = -

(69) Unionin toimielimiä, elimiä, laitoksia ja virastoja kannustetaan tunnustamaan tämän asetuksen kattamat sähköinen tunnistaminen ja luottamuspalvelut hallinnollista yhteistyötä varten, käyttäen hyväksi erityisesti olemassa olevia hyviä käytäntöjä ja käynnissä olevien hankkeiden tuloksia tämän asetuksen kattamilla aloilla.

- = -

(70) tämän asetuksen tiettyjen yksityiskohtaisten teknisten näkökohtien täydentämiseksi joustavasti ja nopeasti komissiolle olisi siirrettävä valta hyväksyä säädöksiä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti niiden perusteiden osalta, jotka hyväksyttyjen sähköisen allekirjoituksen luontivälineiden sertifioinnista vastaavien laitosten on täytettävä.
On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla.
Komission olisi delegoituja säädöksiä valmistellessaan ja laatiessaan varmistettava, että asianomaiset asiakirjat toimitetaan Euroopan parlamentille ja neuvostolle yhtäaikaisesti, hyvissä ajoin ja asianmukaisesti.

- = -

(71) Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa, joka liittyy erityisesti niiden standardien viitenumeroiden ilmoittamiseen, joiden käyttö johtaa olettamaan tässä asetuksessa säädettyjen tiettyjen vaatimusten noudattamisesta.
Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (12) mukaisesti.

- = -

(76) Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitteita, vaan ne voidaan suunnitellun toiminnan laajuuden vuoksi saavuttaa paremmin unionin tasolla.
Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti.
Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen näiden tavoitteiden saavuttamiseksi.

- = -

keyboard_tab EIDAS 2014/0910 FI

EIDAS 2014/0910 FI