EIDAS 2014/0910 SV

1. Denna förordning gäller system för elektronisk identifiering som har anmälts av en medlemsstat, och tillhandahållare av betrodda tjänster som är etablerade inom unionen.

2. Denna förordning gäller inte tillhandahållande av betrodda tjänster som till följd av nationell rätt eller avtal mellan en avgränsad uppsättning deltagare endast används inom slutna system.

3. Denna förordning påverkar inte nationell rätt eller unionsrätt som avser ingående av avtal och deras giltighet eller andra rättsliga eller förfarandemässiga skyldigheter avseende formkrav.

Artikel 17

Tillsynsorgan

1. Medlemsstaterna ska utse ett tillsynsorgan som är etablerat inom deras territorium eller, efter ömsesidig överenskommelse med en annan medlemsstat, ett tillsynsorgan som är etablerat i den andra medlemsstaten. Det organet ska ansvara för tillsynsuppgifter i den medlemsstat som utsett organet.

Tillsynsorgan ska tilldelas nödvändiga befogenheter och adekvata resurser för utövande av sina uppgifter.

2. Medlemsstaterna ska meddela kommissionen namn på och adress till sina respektive utsedda tillsynsorgan.

3. Tillsynsorganet ska ha följande roll:

Utöva tillsyn över kvalificerade tillhandahållare av betrodda tjänster som är etablerade i den medlemsstat där de har utsetts för att genom tillsynsverksamhet på förhand och i efterhand se till att de kvalificerade tillhandahållarna av betrodda tjänster och de kvalificerade betrodda tjänster som de tillhandahåller uppfyller kraven i denna förordning.

Vid behov vidta åtgärder avseende icke-kvalificerade tillhandahållare av betrodda tjänster som är etablerade i den medlemsstat där de har utsetts genom tillsynsverksamhet i efterhand om de tar del av påståenden att dessa icke-kvalificerade tillhandahållare av betrodda tjänster eller de betrodda tjänster som de tillhandahåller inte uppfyller kraven i denna förordning.

4. Vid tillämpningen av punkt 3 och med förbehåll för de begränsningar som anges däri ska tillsynsorganets uppgifter särskilt innefatta följande:

a)	Samarbete med andra tillsynsorgan och bistånd till dem i enlighet med artikel 18.

b)	Analys av de rapporter om överensstämmelsebedömning som avses i artiklarna 20.1 och 21.1.

c)	Information till andra tillsynsorgan samt allmänheten om säkerhetsincidenter eller integritetsförluster i enlighet med artikel 19.2.

d)	Rapportering till kommissionen om sin huvudverksamhet i enlighet med punkt 6 i denna artikel.

e)	Granskningsverksamhet eller framställningar till ett organ för bedömning av överensstämmelse om att detta ska göra en överensstämmelsebedömning av kvalificerade tillhandahållare av betrodda tjänster i enlighet med artikel 20.2.

f)	Samarbete med dataskyddsmyndigheterna, främst genom att utan onödigt dröjsmål informera dem om resultatet av granskningar av kvalificerade tillhandahållare av betrodda tjänster, när det förefaller ha skett en överträdelse av reglerna för skydd för personuppgifter.

g)	Beviljande av status som kvalificerad tillhandahållare av betrodda tjänster och till de tjänster som de tillhandahåller samt återkallande av denna status i enlighet med artiklarna 20 och 21.

h)	Information till det organ som är ansvarigt för den nationella förteckning över betrodda tjänsteleverantörer som avses i artikel 22.3 om sina beslut om beviljande eller återkallande av status som kvalificerad, såvida inte det organet även är tillsynsorganet.

i)	Kontroll av befintlighet och korrekt tillämpning av bestämmelser om planer för verksamhetens upphörande i sådana fall när den kvalificerade tillhandahållaren av betrodda tjänster upphör med sin verksamhet, inbegripet hur information hålls tillgänglig i enlighet med artikel 24.2 h.

j)	Åläggande av krav på tillhandahållare av betrodda tjänster att åtgärda varje underlåtenhet att uppfylla kraven i denna förordning.

5. Medlemsstaterna får kräva att tillsynsorganet ska inrätta, underhålla och uppdatera en infrastruktur för betrodda tjänster i enlighet med villkoren i nationell rätt.

6. Senast den 31 mars varje år ska varje tillsynsorgan till kommissionen överlämna en rapport om det föregående kalenderårets huvudverksamhet tillsammans med en sammanfattning av överträdelseanmälningar som har inkommit från tillhandahållare av betrodda tjänster i enlighet med artikel 19.2.

7. Kommissionen ska göra den årsrapport som avses i punkt 6 tillgänglig för medlemsstaterna.

8. Kommissionen får genom genomförandeakter fastställa format och förfaranden för den rapport som avses i punkt 6. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 48.2.

Artikel 18

Ömsesidigt bistånd

1. Tillsynsorganen ska samarbeta med sikte på att utbyta god praxis.

Ett tillsynsorgan ska, efter att ha mottagit en motiverad begäran från ett annat tillsynsorgan, ge det organet bistånd så att deras åtgärder kan vidtas på ett enhetligt sätt. Det ömsesidiga biståndet kan bland annat omfatta begäranden om information och tillsynsåtgärder, t.ex. begäranden om att utföra inspektioner avseende de rapporter om överensstämmelsebedömning som avses i artiklarna 20 och 21.

2. Ett tillsynsorgan som tar emot en begäran om bistånd får vägra att tillmötesgå denna begäran på grundval av något av följande skäl:

a)	Tillsynsorganet är inte behörigt att tillhandahålla det bistånd som begärs.

b)	Det begärda biståndet står inte i proportion till den tillsynsverksamhet som tillsynsorganet utför i enlighet med artikel 17.

c)	Det skulle stå i strid med denna förordning att tillhandahålla det begärda biståndet.

3. Där så är lämpligt får medlemsstaterna bemyndiga sina respektive tillsynsorgan att vidta gemensamma åtgärder där personal från andra medlemsstaters tillsynsorgan deltar. De berörda medlemsstaterna ska besluta om och inrätta arrangemangen och förfarandena för sådana gemensamma åtgärder i enlighet med sin nationella rätt.

Artikel 23

EU-förtroendemärke för kvalificerade betrodda tjänster

1. Efter det att den kvalificerade status som avses i artikel 21.2 andra stycket har angetts i den förteckning över betrodda tjänsteleverantörer som avses i artikel 22.1, får kvalificerade tillhandahållare av betrodda tjänster använda sig av EU-förtroendemärket för att på ett enkelt, igenkännligt och tydligt sätt ange de kvalificerade betrodda tjänster som de tillhandahåller.

2. Vid användning av det EU-förtroendemärke som avses i punkt 1 ska kvalificerade tillhandahållare av betrodda tjänster se till att en länk till den relevanta förteckningen över betrodda tjänsteleverantörer finns på deras webbplats.

3. Senast den 1 juli 2015 ska kommissionen genom genomförandeakter fastställa specifikationer med avseende på formatet för EU-förtroendemärket för kvalificerade betrodda tjänster och särskilt för dess presentation, sammansättning, storlek och utformning. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 48.2.

whereas

(9) I de flesta fall kan medborgare inte använda sin elektroniska identifiering för att autentisera sig i en annan medlemsstat därför att de nationella systemen för elektronisk identifiering i deras land inte är erkända i andra medlemsstater.
Detta elektroniska hinder utestänger tillhandahållare av tjänster från möjligheten att fullt ut utnyttja fördelarna med den inre marknaden. Ömsesidigt erkända medel för elektronisk identifiering kommer att underlätta tillhandahållandet av en rad olika tjänster över gränserna på den inre marknaden och ge företagen möjlighet att verka över gränserna utan att stöta på en mängd hinder i sina kontakter med myndigheter.

- = -

(10) Genom Europaparlamentets och rådets direktiv 2011/24/EU (6) inrättades ett nätverk av nationella myndigheter som är ansvariga för e-hälsa.
I syfte att öka säkerheten och kontinuiteten i gränsöverskridande hälso- och sjukvård ska nätverket utarbeta riktlinjer om tillgång till elektroniska hälso- och sjukvårdsuppgifter samt tjänster, inklusive genom att stödja ”gemensamma åtgärder för identifiering och autentisering för att underlätta överförbara uppgifter i gränsöverskridande hälso- och sjukvård”. Ömsesidigt erkännande av elektronisk identifiering och autentisering är en förutsättning för att gränsöverskridande sjukvård ska kunna bli verklighet för Europas befolkning.
Om personer reser för att söka vård måste deras sjukjournaler vara tillgängliga i behandlingslandet.
Detta förutsätter robusta, säkra och tillförlitliga ramar för elektronisk identifiering.

- = -

(14) I förordningen bör vissa villkor fastställas rörande vilka medel för elektronisk identifiering som måste erkännas och hur systemen för elektronisk identifiering bör anmälas.
Dessa villkor bör hjälpa medlemsstaterna att bygga upp det förtroende som krävs för varandras system för elektronisk identifiering samt att ömsesidigt erkänna medel för elektronisk identifiering som ingår i deras anmälda system.
Principen om ömsesidigt erkännande bör gälla om den anmälande medlemsstatens system för elektronisk identifiering uppfyller villkoren för anmälan och om anmälan har offentliggjorts i Europeiska unionens officiella tidning.
Principen om ömsesidigt erkännande bör dock endast avse autentisering för en nättjänst. Åtkomsten till dessa nättjänster och deras slutliga leverans till den sökande bör vara nära kopplad till rätten att ta emot sådana tjänster enligt villkoren i nationell lagstiftning.

- = -

(19) Säkerheten i system för elektronisk identifiering är avgörande för ett tillförlitligt gränsöverskridande ömsesidigt erkännande av medel för elektronisk identifiering.
Mot denna bakgrund bör medlemsstaterna samarbeta med avseende på säkerheten och interoperabiliteten i systemen för elektronisk identifiering på unionsnivå.
När system för elektronisk identifiering kräver att förlitande parter på nationell nivå använder särskild maskinvara eller programvara förutsätter den gränsöverskridande interoperabiliteten att dessa medlemsstater inte inför sådana krav och därtill hörande kostnader för förlitande parter som är etablerade utanför deras territorium.
I så fall bör lämpliga lösningar diskuteras och utvecklas inom interoperabilitetsramverkets räckvidd.
Tekniska krav som har sin grund i de inneboende specifikationerna för nationella medel för elektronisk identifiering som sannolikt berör innehavarna av sådana elektroniska medel (t.ex.
smartkort) är däremot oundvikliga.

- = -

(22) För att bidra till deras allmänna gränsöverskridande användning bör det vara möjligt att använda betrodda tjänster som bevis vid rättsliga förfaranden i alla medlemsstater.
Rättsverkan av betrodda tjänster ska definieras i nationell rätt, om inte annat föreskrivs i denna förordning.

- = -

(32) För att öka användarnas förtroende för den inre marknaden bör det åligga alla tillhandahållare av betrodda tjänster att tillämpa goda säkerhetsförfaranden som är lämpliga i förhållande till de risker som deras verksamhet är förenad med.

- = -

(36) Inrättandet av ett tillsynssystem för alla tillhandahållare av betrodda tjänster bör säkerställa lika villkor för säkerheten och tillförlitligheten i deras åtgärder och tjänster, och därigenom bidra till användarskyddet och till en fungerande inre marknad.
Icke-kvalificerade tillhandahållare av betrodda tjänster bör omfattas av mindre omfattande, förebyggande tillsynsverksamhet i efterhand som är anpassad till arten av deras tjänster och åtgärder.
Tillsynsorganet bör därför inte ha någon allmän skyldighet att utöva tillsyn av icke-kvalificerade tillhandahållare av betrodda tjänster.
Tillsynsorganet bör endast vidta åtgärder när det har informerats (t.ex.
av den icke-kvalificerade tillhandahållaren av betrodda tjänster själv, av ett annat tillsynsorgan, genom anmälan från en användare eller en affärspartner eller på grundval av en egen utredning) om att en icke-kvalificerad tillhandahållare av betrodda tjänster inte uppfyller kraven i denna förordning.

- = -

(55) It-säkerhetscertifiering som bygger på internationella standarder, såsom ISO 15408 och besläktade utvärderingsmetoder och arrangemang för ömsesidigt erkännande, utgör ett viktigt verktyg för att kontrollera säkerheten hos kvalificerade anordningar för skapande av elektroniska underskrifter och bör främjas.
Innovativa lösningar och tjänster, såsom undertecknande via mobil och datamoln, förlitar sig emellertid på tekniska och organisatoriska lösningar för kvalificerade anordningar för skapande av elektroniska underskrifter, för vilka det eventuellt ännu inte finns tillgängliga säkerhetsstandarder eller för vilka den första it-säkerhetscertifieringen pågår.
Säkerhetsnivån för sådana kvalificerade anordningar för skapande av elektroniska underskrifter skulle kunna utvärderas genom alternativa processer endast om sådana säkerhetsstandarder inte finns tillgängliga eller om den första it-säkerhetscertifieringen pågår.
De processerna bör vara jämförbara med standarderna för it-säkerhetscertifiering i den mån deras säkerhetsnivåer är likvärdiga.
Förfarandena skulle dessutom kunna underlättas av en sakkunnighetsbedömning.

- = -

(61) Genom denna förordning bör långsiktigt bevarande av uppgifter säkerställas, för att säkerställa den rättsliga giltigheten hos elektroniska underskrifter och elektroniska stämplar över längre tidsperioder och garantera att de kan valideras oavsett kommande tekniska förändringar.

- = -

(67) Tjänster för autentisering av webbplatser innebär möjlighet för en besökare på en webbplats att försäkra sig om att en verklig och legitim enhet står bakom webbplatsen.
Dessa tjänster bidrar till att bygga upp förtroendet för näthandeln, eftersom användarna kommer att ha förtroende för en webbplats som har autentiserats.
Tillhandahållande och användning av tjänster för autentisering av webbplatser är fullständigt frivilligt.
För att autentiseringen av webbplatser ska kunna bli ett sätt att stärka förtroendet, ge användaren en bättre upplevelse och främja tillväxten på den inre marknaden bör man emellertid i denna förordning föreskriva minimiskyldigheter vad gäller säkerhet och skadeståndsansvar för tillhandahållarna och deras tjänster.
Därför har hänsyn tagits till resultaten av befintliga initiativ ledda av industrin, t.ex.
forumet för certifieringsinstanser och försäljare av webbläsare – CA/B Forum.
Dessutom bör denna förordning inte hindra användning av andra sätt eller metoder för att autentisera webbplatser som inte omfattas av denna förordning och förordningen bör inte heller hindra tillhandahållare av autentiseringstjänster i tredjeland från att tillhandahålla sina tjänster till kunder i unionen.
En tillhandahållare från ett tredjeland bör dock endast kunna få sina tjänster för autentisering av webbplatser erkända som kvalificerade i enlighet med denna förordning om ett internationellt avtal mellan unionen och det land i vilket tillhandahållaren är etablerad har ingåtts.

- = -

keyboard_tab EIDAS 2014/0910 SV

EIDAS 2014/0910 SV