EIDAS 2014/0910 FI

1. Kun julkisen sektorin elimen yhdessä jäsenvaltiossa tarjoaman verkkopalvelun käyttö edellyttää kansallisen oikeuden nojalla tai kansallisessa hallinnollisessa käytännössä sähköistä tunnistamista sähköisen tunnistamisen menetelmän ja todentamisen avulla, toisessa jäsenvaltiossa myönnetyt verkkopalvelujen käyttöön tarvittavat sähköisen tunnistamisen menetelmät on tunnustettava ensimmäisessä jäsenvaltiossa kyseisen verkkopalvelun osalta rajat ylittävää todentamista varten edellyttäen, että seuraavat ehdot täyttyvät:

a)	sähköisen tunnistamisen menetelmä on myönnetty komission 9 artiklan mukaisesti julkaisemaan luetteloon sisältyvän sähköisen tunnistamisen järjestelmän puitteissa;

sähköisen tunnistamisen menetelmän varmuustaso vastaa varmuustasoa, joka on yhtä korkea tai korkeampi kuin asianomaisen julkisen sektorin elimen edellyttämä varmuustaso kyseiseen verkkopalveluun pääsemiseksi ensimmäisessä jäsenvaltiossa, edellyttäen, että kyseisen sähköisen tunnistamisen menetelmän varmuustaso vastaa korotettua tai korkeaa varmuustasoa;

c)	asianomainen julkisen sektorin elin soveltaa korotettua tai korkeaa varmuustasoa kyseisen verkkopalvelun käytön osalta.

Tällaisen tunnustamisen on toteuduttava viimeistään 12 kuukauden kuluttua siitä, kun komissio julkaisee ensimmäisen alakohdan a alakohdassa tarkoitetun luettelon.

2. Julkisen sektorin elimet voivat tarjoamiensa verkkopalvelujen rajat ylittävää todentamista varten tunnustaa sähköisen tunnistamisen menetelmän, joka on myönnetty komission 9 artiklan mukaisesti julkaisemaan luetteloon sisältyvän sähköisen tunnistamisen järjestelmän puitteissa ja jonka varmuustaso vastaa matalaa varmuustasoa.

7 artikla

Edellytykset sähköisen tunnistamisen järjestelmien ilmoittamiselle

Sähköisen tunnistamisen järjestelmä voidaan ilmoittaa 9 artiklan 1 kohdan mukaisesti, edellyttäen että kaikki seuraavat ehdot täyttyvät:

sähköisen tunnistamisen järjestelmän mukaiset sähköisen tunnistamisen menetelmät on myönnetty:

i)	ilmoittavan jäsenvaltion toimesta;

ii)	ilmoittavan jäsenvaltion toimeksiannosta; tai

iii)	ilmoittavasta jäsenvaltiosta riippumatta niin, että kyseinen jäsenvaltio tunnustaa ne;

b)	sähköisen tunnistamisen järjestelmän mukaista sähköisen tunnistamisen menetelmää voidaan käyttää pääsemiseksi ainakin yhteen sellaiseen palveluun, jonka julkisen sektorin elin tarjoaa ja joka edellyttää ilmoittavassa jäsenvaltiossa sähköistä tunnistamista;

c)	sähköisen tunnistamisen järjestelmä ja sen puitteissa myönnetty sähköisen tunnistamisen menetelmä täyttävät 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädetyistä varmuustasoista ainakin yhden vaatimukset;

ilmoittava jäsenvaltio varmistaa, että kyseistä henkilöä vastaavat yksilöivät tunnistetiedot on liitetty 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädettyä asianmukaista varmuustasoa koskevien teknisten eritelmien, standardien ja menettelyjen mukaisesti 3 artiklan 1 kohdassa tarkoitettuun luonnolliseen henkilöön tai oikeushenkilöön kyseisen järjestelmän mukaisen sähköisen tunnistamisen menetelmän myöntämisen ajankohtana;

kyseisen järjestelmän mukaisen sähköisen tunnistamisen menetelmän myöntävä osapuoli varmistaa, että sähköisen tunnistamisen menetelmä on liitetty tämän artiklan d alakohdassa tarkoitettuun henkilöön 8 artiklan 3 kohdassa tarkoitetussa täytäntöönpanosäädöksessä säädettyä asianmukaista varmuustasoa koskevien teknisten eritelmien, standardien ja menettelyjen mukaisesti;

ilmoittava jäsenvaltio varmistaa, että todentaminen verkossa on mahdollista niin, että mikä tahansa toisen jäsenvaltion alueelle sijoittautunut luottava osapuoli kykenee vahvistamaan sähköisessä muodossa vastaanotetut henkilön tunnistetiedot.

Ilmoittava jäsenvaltio voi muiden luottavien osapuolten kuin julkisen sektorin elinten osalta määrittää kyseisen todentamisen käyttöehdot. Rajat ylittävä todentaminen on tarjottava veloituksetta, kun se suoritetaan julkisen sektorin elimen tarjoaman verkkopalvelun yhteydessä.

Jäsenvaltiot eivät saa asettaa tällaista todentamismahdollisuutta hyödyntäville luottaville osapuolille minkäänlaisia suhteettomia teknisiä erityisvaatimuksia, jos tällaiset vaatimukset estävät tai merkittävästi haittaavat ilmoitettujen sähköisen tunnistamisen järjestelmien yhteentoimivuutta;

ilmoittava jäsenvaltio toimittaa vähintään kuusi kuukautta ennen 9 artiklan 1 kohdan mukaista ilmoittamista muille jäsenvaltioille 12 artiklan 5 kohdassa säädetyn velvoitteen täyttämiseksi kuvauksen kyseisestä järjestelmästä 12 artiklan 7 kohdassa tarkoitetuilla täytäntöönpanosäädöksillä vahvistettujen menettelyä koskevien järjestelyjen mukaisesti;

h)	sähköisen tunnistamisen järjestelmä täyttää 12 artiklan 8 kohdassa tarkoitetun täytäntöönpanosäädöksen vaatimukset.

8 artikla

Sähköisen tunnistamisen järjestelmien varmuustasot

1. Sähköisen tunnistamisen järjestelmässä, joka on ilmoitettu 9 artiklan 1 kohdan nojalla, on kyseisen järjestelmän puitteissa myönnettyjen sähköisen tunnistamisen menetelmien osalta määritettävä matala, korotettu ja/tai korkea varmuustaso.

2. Matalan, korotetun ja korkean varmuustason on oltava seuraavien kriteerien mukaisia:

matala varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa rajallisen luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää henkilöllisyyden väärinkäytön tai muuttamisen riskiä;

korotettu varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa merkittävän luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on vähentää merkittävässä määrin henkilöllisyyden väärinkäytön tai muuttamisen riskiä;

korkea varmuustaso tarkoittaa sähköisen tunnistamisen järjestelmän yhteydessä sähköisen tunnistamisen menetelmää, joka tarjoaa korkeamman luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta kuin korotetun varmuustason omaava sähköisen tunnistamisen menetelmä ja jota luonnehditaan suhteessa siihen liittyviin teknisiin eritelmiin, standardeihin ja menettelyihin sekä teknisiin tarkastuksiin, joiden tarkoituksena on estää henkilöllisyyden väärinkäyttö tai muuttaminen.

3. Asianmukaiset kansainväliset standardit huomioon ottaen ja jollei 2 kohdasta muuta johdu, komissio vahvistaa viimeistään 18 päivänä syyskuuta 2015 täytäntöönpanosäädöksillä tekniset vähimmäiseritelmät, -standardit ja -menettelyt; sähköisen tunnistamisen menetelmien matala, korotettu ja korkea varmuustaso määritellään 1 kohdan soveltamiseksi suhteessa niihin.

Nämä tekniset vähimmäiseritelmät, -standardit ja -menettelyt laaditaan ottaen huomioon seuraavien osatekijöiden luotettavuus ja laatu:

a)	menettely sellaisten luonnollisten henkilöiden ja oikeushenkilöiden henkilöllisyyden todistamiseksi ja todentamiseksi, jotka hakevat sähköisen tunnistamisen menetelmien myöntämistä;

b)	myöntämismenettely haetuille sähköisen tunnistamisen menetelmille;

c)	todentamismekanismi, jolla luonnollinen henkilö tai oikeushenkilö käyttää sähköisen tunnistamisen menetelmää vahvistaakseen henkilöllisyytensä luottavalle osapuolelle;

d)	toimija, joka myöntää sähköisen tunnistamisen menetelmiä;

e)	muu elin, joka osallistuu hakemukseen sähköisen tunnistamisen menetelmien myöntämiseksi; ja

f)	myönnettyjen sähköisen tunnistamisen menetelmien tekniset eritelmät ja turvaominaisuudet.

Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

9 artikla

Ilmoittaminen

1. Ilmoittavan jäsenvaltion on ilman aiheetonta viivytystä ilmoitettava komissiolle seuraavat tiedot ja niiden mahdolliset myöhemmät muutokset:

a)	kuvaus sähköisen tunnistamisen järjestelmästä, mukaan lukien sen varmuustasot ja järjestelmän mukaisten sähköisen tunnistamisen menetelmien myöntäjä tai myöntäjät;

sovellettava valvontajärjestelmä ja tiedot vastuuta koskevasta järjestelmästä seuraavien osalta:

i)	sähköisen tunnistamisen menetelmän myöntävä osapuoli; ja

ii)	todentamismenettelyä operoiva osapuoli;

c)	sähköisen tunnistamisen järjestelmästä vastaava viranomainen tai vastaavat viranomaiset;

d)	tiedot siitä, mikä taho tai mitkä tahot hallinnoivat yksilöivien henkilön tunnistetietojen rekisteröintiä;

e)	kuvaus siitä, miten 12 artiklan 8 kohdassa tarkoitetuissa täytäntöönpanosäädöksissä säädetyt vaatimukset on täytetty;

f)	kuvaus 7 artiklan f alakohdassa tarkoitetusta todentamisesta;

g)	järjestelyt joko ilmoitetun sähköisen tunnistamisen järjestelmän tai todentamisen tai niiden osien, joiden turvallisuus on vaarantunut, keskeyttämistä tai peruuttamista varten.

2. Yhden vuoden kuluttua 8 artiklan 3 kohdassa ja 12 artiklan 8 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamispäivästä komissio julkaisee Euroopan unionin virallisessa lehdessä luettelon tämän artiklan 1 kohdan nojalla ilmoitetuista sähköisen tunnistamisen järjestelmistä sekä niitä koskevat perustiedot.

3. Jos komissio saa ilmoituksen 2 kohdassa tarkoitetun ajanjakson päättymisen jälkeen, se julkaisee Euroopan unionin virallisessa lehdessä muutokset 2 kohdassa tarkoitettuun luetteloon kahden kuukauden kuluessa kyseisen ilmoituksen vastaanottamisesta.

4. Jäsenvaltio voi toimittaa komissiolle pyynnön poistaa kyseisen jäsenvaltion ilmoittama sähköisen tunnistamisen järjestelmä 2 kohdassa tarkoitetusta luettelosta. Komissio julkaisee Euroopan unionin virallisessa lehdessä vastaavat tarkistukset luetteloon kuukauden kuluessa jäsenvaltion pyynnön vastaanottamisesta.

5. Komissio voi täytäntöönpanosäädöksillä määritellä 1 kohdan mukaisiin ilmoituksiin liittyvät olosuhteet, muotoseikat ja menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

12 artikla

Yhteistyö ja yhteentoimivuus

1. Edellä olevan 9 artiklan 1 kohdan nojalla ilmoitettujen kansallisten sähköisen tunnistamisen järjestelmien on oltava yhteentoimivia.

2. Edellä olevan 1 kohdan soveltamiseksi perustetaan yhteentoimivuusjärjestelmä.

3. Yhteentoimivuusjärjestelmän on täytettävä seuraavat kriteerit:

a)	se pyrkii olemaan teknologianeutraali ja eikä syrji mitään kansallisia sähköisen tunnistamisen teknisiä erityisratkaisuja jäsenvaltiossa;

b)	se noudattaa eurooppalaisia ja kansainvälisiä standardeja, kun se on mahdollista;

c)	sillä helpotetaan sisäänrakennetun yksityisyyden suojan periaatteen soveltamista; ja

d)	sillä varmistetaan, että henkilötietoja käsitellään direktiivin 95/46/EY mukaisesti.

4. Yhteentoimivuusjärjestelmän on muodostuttava:

a)	viittauksesta teknisiin vähimmäisvaatimuksiin, jotka liittyvät 8 artiklan mukaisiin varmuustasoihin;

b)	ilmoitettujen sähköisen tunnistamisen järjestelmien kansallisten varmuustasojen kartoittamisesta suhteessa 8 artiklan mukaisiin varmuustasoihin;

c)	viittauksesta yhteentoimivuutta koskeviin teknisiin vähimmäisvaatimuksiin;

d)	viittauksesta luonnollista henkilöä tai oikeushenkilöä vastaavien yksilöivien tunnistetietojen vähimmäismäärään, joka sähköisen tunnistamisen järjestelmissä on käytettävissä;

e)	työjärjestyksestä;

f)	riidanratkaisujärjestelyistä; ja

g)	yhteisistä toiminnan turvallisuutta koskevista standardeista.

5. Jäsenvaltioiden on tehtävä yhteistyötä seuraavilla osa-alueilla:

a)	edellä olevan 9 artiklan 1 kohdan mukaisesti ilmoitettujen sähköisen tunnistamisen järjestelmien yhteentoimivuus niiden sähköisen tunnistamisen järjestelmien kanssa, jotka jäsenvaltiot aikovat ilmoittaa; ja

b)	sähköisen tunnistamisen järjestelmien turvallisuus.

6. Jäsenvaltioiden välinen yhteistyö muodostuu seuraavista:

a)	sähköisen tunnistamisen järjestelmiä ja erityisesti yhteentoimivuuteen ja varmuustasoihin liittyviä teknisiä vaatimuksia koskevien tietojen, kokemusten ja hyvien käytäntöjen vaihto;

b)	edellä olevan 8 artiklan mukaisten sähköisen tunnistamisen järjestelmien varmuustasojen käyttöä koskevien tietojen, kokemusten ja hyvien käytäntöjen vaihto;

c)	tämän asetuksen soveltamisalaan kuuluvien sähköisen tunnistamisen järjestelmien vertaisarviointi; ja

d)	sähköisen tunnistamisen alan merkityksellisen kehityksen tarkastelu.

7. Komissio vahvistaa viimeistään 18 päivänä maaliskuuta 2015 täytäntöönpanosäädöksin tarvittavat menettelyä koskevat järjestelyt 5 ja 6 kohdassa tarkoitetun jäsenvaltioiden yhteistyön helpottamiseksi edistääkseen luottamuksen ja tietoturvan korkeaa tasoa, joka on oikeassa suhteessa riskin suuruuteen.

8. Komissio antaa 3 kohdan edellytysten mukaisesti ja ottaen huomioon jäsenvaltioiden välisen yhteistyön tulokset viimeistään 18 päivänä syyskuuta 2015 4 kohdassa säädettyä yhteentoimivuusjärjestelmää koskevat täytäntöönpanosäädökset yhdenmukaisten edellytysten asettamiseksi 1 kohdan mukaisen vaatimuksen täytäntöönpanolle.

9. Tämän artiklan 7 ja 8 kohdassa tarkoitetut täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

III LUKU

LUOTTAMUSPALVELUT

1 JAKSO

Yleiset säännökset

24 artikla

Hyväksyttyjä luottamuspalvelun tarjoajia koskevat vaatimukset

1. Hyväksytyn luottamuspalvelun tarjoajan on myöntäessään hyväksyttyä varmennetta luottamuspalvelulle tarkastettava asianmukaisin menetelmin ja kansallisen lain mukaisesti sen luonnollisen henkilön tai oikeushenkilön henkilöllisyys ja mahdolliset muut attribuutit, jolle hyväksytty varmenne myönnetään.

Ensimmäisessä alakohdassa tarkoitetut tiedot on tarkastettava hyväksytyn luottamuspalvelun tarjoajan toimesta joko suoraan tai kolmatta osapuolta käyttäen kansallisen lain mukaisesti:

a)	luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan läsnä ollessa; tai

b)	etäältä käyttäen sähköisen tunnistamisen menetelmää, jonka osalta on ennen hyväksytyn varmenteen myöntämistä varmistettu luonnollisen henkilön tai oikeushenkilön valtuutetun edustajan läsnäolo ja joka täyttää 8 artiklassa säädetyt ”korotettua” tai ”korkeaa” varmuustasoa koskevat vaatimukset; tai

c)	käyttäen a tai b alakohdan mukaisesti myönnettyä hyväksytyn sähköisen allekirjoituksen tai hyväksytyn sähköisen leiman varmennetta; tai

d)	käyttäen muita kansallisella tasolla hyväksyttyjä tunnistamismenetelmiä, jotka tarjoavat fyysistä läsnäoloa vastaavan varmuuden. Vaatimustenmukaisuuden arviointilaitoksen on vahvistettava varmuuden vastaavuus.

2. Hyväksyttyjä luottamuspalveluja tarjoavan hyväksytyn luottamuspalvelun tarjoajan on

a)	ilmoitettava valvontaelimelle kaikista muutoksista hyväksyttyjen luottamuspalvelujensa tarjoamisessa sekä aikomuksesta lopettaa tämä toiminta;

palkattava henkilöstöä ja tarvittaessa alihankkijoita, joilla on tarvittava asiantuntemus, luotettavuus, kokemus ja pätevyys ja jotka ovat saaneet tarvittavaa koulutusta tietoturvaa ja henkilötietojen suojaa koskevista säännöistä, ja noudatettava eurooppalaisia tai kansainvälisiä standardeja vastaavia hallinnollisia menettelyjä ja johtamismenettelyjä;

c)	ylläpidettävä 13 artiklan mukaisen vahinkovastuun riskin suhteen riittäviä taloudellisia varoja ja/tai hankittava asianmukainen vastuuvakuutus kansallisen lain mukaisesti;

d)	ilmoitettava ennen sopimussuhteen aloittamista henkilöille, jotka haluavat käyttää hyväksyttyä luottamuspalvelua, selkeästi ja kattavasti kyseisen palvelun käytön tarkoista ehdoista ja edellytyksistä, muun muassa sen käyttöä koskevista rajoituksista;

e)	käytettävä luotettavia järjestelmiä ja tuotteita, jotka on suojattu muutoksilta ja joilla varmistetaan niiden tukemien prosessien tekninen tietoturva ja luotettavuus;

käytettävä luotettavia järjestelmiä sille annettujen tietojen tallentamiseen tarkastettavissa olevassa muodossa siten, että

i)	tiedot ovat julkisesti haettavissa vain, jos siihen on saatu tietojen kohteena olevan henkilön suostumus,

ii)	ainoastaan valtuutetut henkilöt voivat syöttää tietoja ja tehdä muutoksia tallennettuihin tietoihin,

iii)	tietojen aitous voidaan tarkastaa;

g)	toteutettava tarkoituksenmukaisia toimenpiteitä tietojen väärentämisen ja varastamisen estämiseksi;

arkistoitava ja pidettävä saatavilla asianmukaisen ajan, myös sen jälkeen kun hyväksytyn luottamuspalvelun tarjoajan toiminta on lakannut, kaikki tarvittavat tiedot hyväksytyn luottamuspalvelun tarjoajan myöntämistä ja vastaanottamista tiedoista, erityisesti käytettäväksi todisteena oikeudellisissa käsittelyissä ja palvelun jatkuvuuden varmistamiseksi. Tällaisia arkistoja voidaan ylläpitää sähköisessä muodossa;

i)	ylläpidettävä ajan tasalla olevaa toiminnan lopettamissuunnitelmaa, jotta voidaan varmistaa palvelun jatkuvuus valvontaelimen 17 artiklan 4 kohdan i alakohdan nojalla tarkastamien säännösten mukaisesti;

j)	varmistettava, että henkilötietoja käsitellään lainmukaisesti direktiiviä 95/46/EY noudattaen;

k)	kun kyse on hyväksyttyjä varmenteita myöntävistä hyväksytyistä luottamuspalvelun tarjoajista, perustettava varmennetietokanta ja pidettävä se ajan tasalla.

3. Jos hyväksyttyjä varmenteita myöntävä hyväksytty luottamuspalvelujen tarjoaja päättää sulkea varmenteen, sen on kirjattava kyseinen sulkeminen varmennetietokantaansa ja julkaistava varmenteen sulkemistila oikea-aikaisesti ja joka tapauksessa 24 tunnin kuluessa pyynnön vastaanottamisesta. Sulkeminen tulee voimaan välittömästi sen julkaisemisen yhteydessä.

4. Hyväksyttyjä varmenteita myöntävien hyväksyttyjen luottamuspalvelun tarjoajien on 3 kohtaan liittyen annettava kaikille luottaville osapuolille tietoa niiden myöntämien hyväksyttyjen varmenteiden voimassaolo- tai sulkemistilasta. Tämä tieto on asetettava saataville ainakin varmennekohtaisesti jatkuvasti ja myös varmenteen voimassaolon päätyttyä automaattisella tavalla, joka on luotettava, maksuton ja tehokas.

5. Komissio voi täytäntöönpanosäädöksin vahvistaa tämän artiklan 2 kohdan e ja f alakohdan vaatimukset täyttäviin luotettaviin järjestelmiin ja tuotteisiin sovellettavien standardien viitenumerot. Jos luotettava järjestelmä tai tuote vastaa näitä standardeja, sen katsotaan olevan tässä artiklassa säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4 JAKSO

Sähköiset allekirjoitukset

26 artikla

Kehittyneen sähköisen allekirjoituksen vaatimukset

Kehittyneen sähköisen allekirjoituksen on täytettävä seuraavat vaatimukset:

a)	se liittyy yksilöivästi allekirjoittajaansa;

b)	sillä voidaan yksilöidä allekirjoittaja;

c)	se on luotu käyttäen sähköisen allekirjoituksen luontitietoja, joita allekirjoittaja voi korkealla varmuustasolla käyttää yksinomaisessa valvonnassaan; ja

d)	se on liitetty sillä allekirjoitettuun tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita.

36 artikla

Kehittyneitä sähköisiä leimoja koskevat vaatimukset

Kehittyneen sähköisen leiman on täytettävä seuraavat vaatimukset:

a)	se liittyy yksilöivästi leiman luojaan;

b)	sillä voidaan yksilöidä leiman luoja;

c)	se on luotu käyttäen sähköisen leiman luontitietoja, joita leiman luoja voi korkealla varmuustasolla käyttää valvonnassaan sähköisen leiman luomiseen; ja

d)	se on liitetty kohteenaan olevaan tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita.

44 artikla

Hyväksyttyjä sähköisiä rekisteröityjä jakelupalveluja koskevat vaatimukset

1. Hyväksyttyjen sähköisten rekisteröityjen jakelupalvelujen on täytettävä seuraavat vaatimukset:

a)	niitä tarjoaa yksi tai useampi hyväksytty luottamuspalvelun tarjoaja;

b)	niissä varmistetaan korkealla varmuustasolla lähettäjän tunnistaminen;

c)	niissä varmistetaan vastaanottajan tunnistaminen ennen tietojen toimittamista;

d)	tietojen lähettäminen ja vastaanottaminen on suojattu hyväksytyn luottamuspalvelun tarjoajan kehittyneellä sähköisellä allekirjoituksella tai kehittyneellä sähköisellä leimalla niin, että voidaan sulkea pois mahdollisuus, että tietoja olisi muutettu huomaamatta;

e)	kaikki muutokset tietojen lähettämisessä tai vastaanottamisessa tarvittavissa tiedoissa ilmoitetaan selkeästi tietojen lähettäjälle ja vastaanottajalle;

f)	tietojen lähettämisen, vastaanottamisen ja muuttamisen päivämäärä ja ajankohta ilmoitetaan hyväksytyllä sähköisellä aikaleimalla.

Kun tietoja siirretään kahden tai useamman hyväksytyn luottamuspalvelun tarjoajan välillä, a–f alakohdan vaatimuksia sovelletaan kaikkiin näihin palveluntarjoajiin.

2. Komissio voi täytäntöönpanosäädöksin vahvistaa tietojen lähettämis- ja vastaanottamisprosesseihin sovellettavien standardien viitenumerot. Jos tietojen lähettämis- ja vastaanottamisprosessi vastaa kyseisiä standardeja, sen katsotaan olevan 1 kohdassa säädettyjen vaatimusten mukainen. Nämä täytäntöönpanosäädökset hyväksytään 48 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

8 JAKSO

Verkkosivustojen todentaminen

whereas

(15) Velvoitteen tunnustaa sähköisen tunnistamisen menetelmät olisi koskettava ainoastaan niitä menetelmiä, joiden tunnistamisen varmuustaso on yhtä korkea tai korkeampi kuin kyseiseltä verkkopalvelulta edellytettävä taso.
Lisäksi tätä velvoitetta olisi sovellettava vain, kun kyseessä oleva julkisen sektorin elin käyttää varmuustasoa ”korotettu” tai ”korkea” kyseisen verkkopalvelun käytön osalta.
Jäsenvaltioiden olisi unionin oikeuden mukaisesti voitava vapaasti tunnustaa sähköisen tunnistamisen menetelmät, joiden tunnistamisen varmuustasot ovat matalammat.

- = -

(16) varmuustasojen olisi luonnehdittava sähköisen tunnistamisen menetelmän luotettavuuden astetta henkilön henkilöllisyyden toteamisessa ja siten tarjota varmuus siitä, että henkilö, joka väittää omaavansa tietyn henkilöllisyyden, on tosiasiassa henkilö, jolle kyseinen henkilöllisyys on osoitettu.
varmuustaso riippuu kyseisen sähköisen tunnistamisen menetelmän tarjoamasta luottamustasosta henkilön väitetyn tai esitetyn henkilöllisyyden suhteen ottaen huomioon toteutetut prosessit (esimerkiksi henkilöllisyyden todistaminen ja varmentaminen sekä todentaminen), hallinnolliset toimet (esimerkiksi sähköisen tunnistamisen menetelmän myöntävä toimija ja menettely tällaisen menetelmän myöntämiseksi) ja tekniset tarkastukset.
Unionin rahoittamien suuren mittakaavan pilottihankkeiden, standardisoinnin ja kansainvälisen toiminnan seurauksena on laadittu lukuisia teknisiä eritelmiä ja varmuustasojen kuvauksia.
Erityisesti suuren mittakaavan pilottihanke STORK ja ISO 29115 viittaavat muun muassa tasoihin 2, 3 ja 4, jotka olisi otettava mahdollisimman tarkkaan huomioon vahvistettaessa teknisten vaatimusten, standardien ja menettelyjen vähimmäistaso tässä asetuksessa tarkoitetuille matalalle, korotetulle ja korkealle varmuustasolle, ja samalla on huolehdittava tämän asetuksen johdonmukaisesta soveltamisesta erityisesti hyväksyttyjen varmenteiden myöntämiseen liittyvän henkilöllisyyden todistamisen edellyttämän korkean varmuustason osalta.
Vahvistettujen vaatimusten olisi oltava teknologianeutraaleja.
Tarvittavat turvallisuusvaatimukset olisi oltava mahdollista saavuttaa erilaisilla teknologioilla.

- = -

keyboard_tab EIDAS 2014/0910 FI

EIDAS 2014/0910 FI