Ehdotus Euroopan parlamentin ja neuvoston direktiiviksi sähköisten allekirjoitusten yhteisestä kehyksestä (98/C 325/04) (ETA:n kannalta merkityksellinen teksti) KOM(1998) 297 lopull. - 98/0191(COD)

(Komission esittämä 16 päivänä kesäkuuta 1998)

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

Ottavat huomioon Euroopan yhteisön perustamissopimuksen ja erityisesti sen 57 artiklan 2 kohdan, 66 artiklan ja 100 a artiklan,

ottavat huomioon komission ehdotuksen,

ottavat huomioon talous- ja sosiaalikomitean lausunnon,

ottavat huomioon alueiden komitean lausunnon,

noudattavat perustamissopimuksen 189 b artiklassa määrättyä menettelyä,

sekä katsovat, että

(1) komissio antoi 16 päivänä huhtikuuta 1997 Euroopan parlamentille, neuvostolle, talous- ja sosiaalikomitealle ja alueiden komitealle tiedonannon "Eurooppalainen elektronisen kaupankäynnin aloite" (1),

(2) komissio antoi 8 päivänä lokakuuta 1997 Euroopan parlamentille, neuvostolle, talous- ja sosiaalikomitealle ja alueiden komitealle tiedonannon "Tietoturvan ja luottamuksen varmistaminen sähköisessä viestinnässä - Digitaalisia allekirjoituksia ja viestien salausta koskeva eurooppalainen malli" (2),

(3) neuvosto kehotti 1 päivänä joulukuuta 1997 komissiota antamaan mahdollisimman pian ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi digitaalisista allekirjoituksista,

(4) sähköisessä viestinnässä ja kaupankäynnissä tarvitaan sähköisiä allekirjoituksia ja niihin liittyviä, tiedon todentamisen mahdollistavia palveluja; sähköisten allekirjoitusten oikeudellista tunnustamista koskevissa säännöissä ja varmennepalvelujen tarjoajien akkreditoinnissa jäsenvaltioiden väliset erot saattavat muodostaa huomattavan esteen sähköiselle viestinnälle ja kaupankäynnille ja näin vaikeuttaa sisämarkkinoiden kehittymistä; toisistaan poikkeavat toimet jäsenvaltioissa osoittavat yhteisön tasoiselle yhdenmukaistamiselle olevan tarvetta,

(5) sähköisen allekirjoituksen tuotteiden yhteentoimivuutta olisi edistettävä; perustamissopimuksen 7 a artiklan mukaan sisämarkkinat käsittävät alueen, jolla tavaroiden vapaa liikkuvuus taataan; varmennepalvelujen tarjoajien käyttämille sähköisen allekirjoituksen tuotteille erityisesti asetettuja olennaisia vaatimuksia on noudatettava vapaan liikkuvuuden sisämarkkinoilla varmistamiseksi ja luottamuksen lisäämiseksi sähköisiin allekirjoituksiin,

(6) internetin nopea tekninen kehitys ja maailmanlaajuisuus edellyttää toimintatapaa, joka on avoin erilaisille sähköisille tiedon todentamistekniikoille ja -palveluille; nykyisin kuitenkin julkisia avaimia käyttäviin salaustekniikoihin perustuvat digitaaliset allekirjoitukset ovat laajimmin tunnustettu sähköisten allekirjoitusten muoto,

(7) sisämarkkinat antavat varmennepalvelujen tarjoajille mahdollisuuden kehittää valtioiden rajat ylittäviä palvelujaan kilpailukykynsä lisäämiseksi ja siten tarjota kuluttajille ja yrityksille uusia mahdollisuuksia turvalliseen tiedonvaihtoon ja sähköiseen kaupankäyntiin rajoista riippumatta; avoimissa verkoissa tapahtuvan yhteisön laajuisen varmennepalvelujen tarjonnan edistämiseksi varmennepalvelujen tarjoajien olisi yleensä voitava vapaasti tarjota palvelujaan ilman lupaa; nyt ei kuitenkaan ole välitöntä tarvetta turvata varmennepalvelujen vapaata liikkuvuutta yhdenmukaistamalla näiden palvelujen tarjonnalle asetettuja perusteltuja ja tarkoituksenmukaisia kansallisia rajoituksia,

(8) vapaaehtoisuuteen perustuvat akkreditointijärjestelmät, joilla pyritään parempaan palveluntarjontaan, voivat tarjota varmennepalvelujen tarjoajille tarkoituksenmukaisen kehyksen kehittää palvelujaan kehittyvien markkinoiden edellyttämän luottamuksen, turvallisuuden ja laadun saavuttamiseksi; tällaisten järjestelmien olisi kannustettava varmennepalvelujen tarjoajia noudattamaan alan parhaita toimintatapoja; varmennepalvelujen tarjoajien olisi vapaasti voitava osallistua tällaisiin akkreditointijärjestelmiin ja hyötyä niistä, jäsenvaltiot eivät saisi estää varmennepalvelujen tarjoajia toimimasta tällaisten akkreditointijärjestelmien ulkopuolella; olisi varmistettava, että akkreditointijärjestelmät eivät vähennä kilpailua varmennepalvelujen alalla; on tärkeätä löytää tasapaino kuluttajien ja yritysten tarpeiden välillä,

(9) tällä direktiivillä olisi edistettävä sähköisten allekirjoitusten käyttöä ja oikeudellista tunnustamista yhteisössä; sääntelyä ei tarvita yksinomaan suljetuissa järjestelmissä käytettyjä sähköisiä allekirjoituksia varten; osapuolten vapautta sopia keskenään sähköisesti allekirjoitetun tiedon tunnustamista koskevista ehdoista ja edellytyksistä olisi kunnioitettava kansallisen oikeuden sallimissa rajoissa; tämän direktiivin tarkoituksena ei ole yhdenmukaistaa sopimusoikeutta koskevia kansallisia sääntöjä, erityisesti sopimusten laatimista ja toimintaa, tai allekirjoitusta edellyttäviä, sopimuksiin perustumattomia muita muotomääräyksiä; tämän vuoksi sähköisten allekirjoitusten oikeudellista vaikutusta koskevan kansallisen oikeuden ei tulisi rajoittaa sitä, mitä on säädetty sopimuksia tehtäessä noudatettavista muodollisista vaatimuksista tai sopimuksentekopaikasta,

(10) sähköisten allekirjoitusten yleisen hyväksynnän lisäämiseksi, sähköisen allekirjoituksen oikeudellista kelpoisuutta ei tulisi kieltää yksinomaan sen vuoksi, että se on sähköisessä muodossa, sille ei ole esitetty hyväksyttyä varmennetta tai akkreditoidun varmennepalvelujen tarjoajan varmennetta tai varmenteen on myöntänyt toisessa jäsenvaltiossa toimiva palveluntarjoaja; sellaisilla sähköisillä allekirjoituksilla, jotka keskeisten vaatimusten mukainen luotettava varmenne-palvelujen tarjoaja on vahvistanut, olisi oltava samat oikeusvaikutukset kuin käsin kirjoitetuilla allekirjoituksilla; on varmistettava, että sähköisiä allekirjoituksia voidaan käyttää todisteena oikeudellisissa menettelyissä kaikissa jäsenvaltioissa; sähköisten allekirjoitusten oikeudellisen tunnustamisen olisi perustuttava objektiivisiin periaatteisiin eikä oltava sidoksissa siihen, onko palveluntarjoaja hyväksytty vai ei; sähköisten allekirjoitusten oikeusvaikutuksia koskevat yhdenmukaistetut säännöt tukevat yhtenäistä oikeudellista kehystä kaikkialla yhteisössä;

(11) yleisölle suunnattuja varmennepalveluja tarjoavat palveluntarjoajat kuuluvat kansallisten vastuusääntöjen soveltamisalaan; erot tällaisten vastuusääntöjen laajuudessa ja sisällössä saattavat aiheuttaa oikeudellista epävarmuutta erityisesti kolmansille, jotka käyttävät näitä palveluja; tällainen epävarmuus haittaa rajat ylittävää kauppaa ja vaikeuttaa sisämarkkinoiden toimintaa; yhdenmukaistetut vastuusäännöt lisäävät oikeusvarmuutta ja ennustettavuutta sekä varmennepalvelujen tarjoajien että kuluttajien kannalta; tällaiset säännöt lisäisivät sähköisten allekirjoitusten yleistä hyväksyntää ja oikeudellista tunnustamista yhteisössä ja siten vaikuttavat suotuisasti sisämarkkinoiden toimintaan,

(12) kansainvälisen sähköisen kaupankäynnin kehittyminen edellyttää rajat ylittäviä mekanismeja, joihin liittyy myös yhteisön ulkopuolisia maita; tällaisia mekanismeja olisi kehitettävä yritysten kesken; maailmanlaajuisen yhteentoimivuuden varmistamiseksi saattaisi olla hyödyllistä sopia varmennepalvelujen vastavuoroista tunnustamista koskevista monenvälisistä säännöistä kolmansien maiden kanssa,

(13) lisätäkseen sähköistä viestintää ja kaupankäyntiä varmistamalla käyttäjien luottamus jäsenvaltioiden olisi velvoitettava varmennepalvelujen tarjoajat noudattamaan tietoturvalainsäädäntöä ja kunnioittamaan yksityisyyden suojaa sekä tarjoamaan varmennepalveluja allekirjoittajan pyynnöstä myös salanimelle; kansallisessa lainsäädännössä olisi säädettävä voidaanko, ja jos voidaan, niin millä edellytyksillä, tietojen kohteen henkilöllisyys paljasta rikostutkintaa varten; varmennepalvelujen tarjoajien olisi ennalta ilmoitettava käyttäjille ehdoistaan, varsinkin varmenteidensa oikeasta käytöstä ja vastuurajoituksistaan kirjallisesti, selvästi ymmärrettävällä ja tiedon säilyttävää viestintämuotoa käyttäen,

(14) tämän direktiivin soveltamiseksi neuvoa-antavan komitean olisi avustettava komissiota, ja

(15) perustamissopimuksen 3 b artiklassa esitetyn toissijaisuusperiaatteen ja suhteellisuusperiaatteen mukaisesti, jäsenvaltiot eivät voi riittävällä tavalla toteuttaa tämän direktiivin tavoitetta eli sähköisten allekirjoitusten tarjontaa ja siihen liittyviä palveluja koskevan yhdenmukaisen oikeudellisen kehyksen luomisesta ja sen vuoksi se voidaan paremmin toteuttaa yhteisön tasolla; tämä direktiivi rajoittuu vähimpään tämän tavoitteen toteuttamiseksi tarpeelliseen eikä siten ylitä sitä, mikä tarvitaan tähän tarkoitukseen,

OVAT ANTANEET TÄMÄN DIREKTIIVIN:

1 artikla

Soveltamisala

Tämä direktiivi koskee sähköisten allekirjoitusten oikeudellista tunnustamista.

Tämä direktiivi ei koske sopimusten pätevyyteen ja tekemiseen liityviä muita kysymyksiä, eikä allekirjoituksia edellyttäviä sopimukseen perustumattomia muita muotomääräyksiä.

Tällä direktiivillä perustetaan oikeudellinen kehys tietyille yleisön käytettävissä oleville varmennepalveluille.

2 artikla

Määritelmät

Tässä direktiivissä tarkoitetaan:

1. "sähköisellä allekirjoituksella" tiedon yhteydessä esitettyä, siihen liitettyä tai siihen loogisesti liittyvää digitaalisessa muodossa olevaa allekirjoitusta, jota allekirjoittaja käyttää osoittaakseen hyväksyvänsä tiedon, ja joka täyttää seuraavat vaatimukset:

a) se viittaa yksinomaan allekirjoittajaan,

b) se yksilöi allekirjoittajan,

c) se on luotu menetelmällä, jota allekirjoittaja voi täysin valvoa, ja

d) se on liitetty kohteena olevaan tietoon siten, että tiedon myöhempi muuttuminen ilmenee,

2. "allekirjoittajalla" henkilöä, joka luo sähköisen allekirjoituksen,

3. "allekirjoitusmenetelmällä" ainutlaatuista tietokokonaisuutta, esimerkiksi koodia tai henkilökohtaista salausavainta, taikka ainutlaatuisin asetuksin varustettua välinettä, jota allekirjoittaja käyttää luodakseen sähköisen allekirjoituksen,

4. "allekirjoituksen todentamismenetelmällä" ainutlaatuista tietokokonaisuutta, esimerkiksi koodia tai julkista salausavainta, taikka ainutlaatuisin asetuksin varustettua välinettä, jota käytetään sähköisen allekirjoituksen vahvistamiseen,

5. "hyväksytyllä varmenteella" digitaalista todistusta, joka liittää allekirjoituksen todentamismenetelmän henkilöön, vahvistaa kyseisen henkilön henkilöllisyden ja täyttää liitteessä I vahvistetut vaatimukset,

6. "varmennepalvelujen tarjoajalla" henkilöä tai yksikköä, joka myöntää varmenteita tai tarjoaa yleisesti muita sähköisiin allekirjoituksiin liittyviä palveluja,

7. "sähköisen allekirjoituksen tuotteen" laitteistoja tai ohjelmistoja tai niiden merkityksellisiä osia, jotka on tarkoitettu varmennepalvelujen tarjoajan käyttöön tämän tarjotessa sähköisen allekirjoituksen palveluja.

3 artikla

Markkinoille pääsy

1. Jäsenvaltiot eivät saa tehdä varmennepalvelujen tarjonnasta luvanvaraista.

2. Rajoittamatta 1 kohdan säännösten soveltamista jäsenvaltiot voivat ottaa käyttöön tai ylläpitää vapaaehtoisuuteen perustuvia akkreditointijärjestelmiä parantaakseen varmennepalvelujen tarjontaa. Kaikkien tällaisiin järjestelmiin liityvien ehtojen on oltava objektiivisia, avoimia, suhteellisia ja syrjimättömiä. Jäsenvaltiot eivät saa rajoittaa varmennepalvelujen tarjoajien määrää tämän direktiivin soveltamisalaan kuuluvista syistä.

3. Komissio voi 9 artiklassa säädetyn menettelyn mukaisesti vahvistaa ja julkaista sähköisen allekirjoituksen tuotteita koskevien yleisesti tunnustettujen standardien viitenumerot Euroopan yhteisöjen virallisessa lehdessä. Jäsenvaltioiden on oletettava sähköisen allekirjoituksen tuotteen täyttävän liitteessä II olevan e kohdan vaatimukset, jos kyseinen tuote on kyseisten standardien mukainen.

4. Jäsenvaltiot voivat asettaa lisävaatimuksia sähköisten allekirjoitusten käytölle julkisella alalla. Tällaisten vaatimusten on oltava objektiivisia, avoimia, suhteellisia ja syrjimättömiä, ja ne saavat liittyä vain kyseessä olevan sovelluksen erityispiirteisiin.

4 artikla

Sisämarkkinaperiaatteet

1. Jokaisen jäsenvaltion on sovellettava tämän direktiivin nojalla antamiaan kansallisia säädöksiä aluelleen asettuneisiin varmennepalvelujen tarjoajiin ja niiden tarjoamiin palveluihin. Jäsenvaltiot eivät saa rajoittaa toisesta jäsenvaltiosta peräisin olevien varmennepalvelujen tarjontaa tämän direktiivin soveltamisalaan kuuluvilla aloilla.

2. Jäsenvaltioiden on varmistettava, että tämän direktiivin mukaiset sähköisen allekirjoituksen tuotteet saavat liikkua vapaasti sisämarkkinoilla.

5 artikla

Oikeusvaikutukset

1. Jäsenvaltioiden on varmistettava, että sähköisen allekirjoituksen oikeusvaikutuksia ja oikeudellista pätevyyttä ei kiistetä yksinomaan sillä perusteella, että allekirjoitus on sähköisesä muodossa tai siihen ei liity hyväksyttyä varmennetta taikka siihen ei liity akkreditoidun varmennepalvelujen tarjoajan myöntämää varmennetta.

2. Jäsenvaltioiden on varmistettava, että sellaiset sähköiset allekirjoitukset, joihin liittyy liitteessä II olevien vaatimusten mukaisen varmennepalvelujen tarjoajan myöntämä hyväksytty varmenne, toisaalta tunnustetaan vastaavan oikeudellista vaatimusta käsin kirjoitetusta allekirjoituksesta ja toisaalta kelpaavan todisteeksi oikeudellisissa menettelyissä samalla tavalla kuin käsin kirjoitetut allekirjoitukset.

6 artikla

Vastuu

1. Jäsenvaltioiden on varmistettava, että myöntämällä hyväksytyn varmenteen varmennepalvelun tarjoaja on varmenteeseen kohtuullisessa määrin tukeutuvalle henkilölle vastuussa seuraavista seikoista:

a) varmenteen myöntämisajankohtaa koskevat tiedot pitävät paikkansa, jollei palveluntarjoaja ole varmentessa toisin todennut;

b) varmenteen myöntämisessä on noudatettu kaikkia tämän direktiivin vaatimuksia;

c) varmistus, että hyväksytyssä varmenteessa nimetyllä henkilöllä oli varmenteen myöntämisajankohtana käytössään allekirjoitusmenetelmä, joka vastaa varmenteessa mainittua tai määriteltyä allekirjoituksen todentamismenetelmää;

d) tapauksissa, joissa varmennepalvelujen tarjoaja luo sekä allekirjoitusmenetelmän että allekirjoituksen todentamismenetelmän varmenne on todiste siitä, että nämä kaksi menetelmää toimivat toisiaan täydentävästi.

2. Jäsenvaltioiden on varmistettava, että varmennepalvelujen tarjoaja ei ole vastuussa virheistä varmenteen kohteena olevan henkilön hyväksytyssä varmenteessa antamissa tiedoissa, jos tarjoaja voi osoittaa toteuttaneensa kaikki kohtuullisesti katsoen toteutettavissa olevat toimenpiteet tietojen varmistamiseksi.

3. Jäsenvaltioiden on varmistettava, että varmennepalvelujen tarjoajilla on mahdollisuus rajoittaa hyväksytyssä varmenteessa kyseisen varmenteen käyttöä. Varmennepalvelujen tarjoaja ei ole vastuussa, jos hyväksyttyä varmennetta on käytetty siinä annettujen käyttörajoitusten vastaisesti.

4. Jäsenvaltioiden on varmistettava, että varmennepalvelujen tarjoajilla on mahdollisuus ilmoittaa hyväksytyssä varmenteessa arvomääräinen yläraja niille toimille, joita varmenne koskee. Varmennepalvelujen tarjoaja ei ole vastuussa tämän ylärajan ylittävän vahingon osalta.

5. Edellä 1-4 kohdan säännökset eivät rajoita neuvoston direktiivin 93/13/ETY (3) soveltamista.

7 artikla

Kansainväliset näkökohdat

1. Jäsenvaltioiden on varmistettava, että kolmanteen maahan sijoittautuneen varmennepalvelujen tarjoajan myöntämät varmenteet tunnustetaan oikeusvaikutuksiltaan vastaavana kuin yhteisöön sijoittautuneen varmennepalvelujen tarjoajan myöntämät varmenteet, kun:

a) varmennepalvelujen tarjoaja täyttää tässä direktiivissä vahvistetut vaatimukset ja on akkreditoitu jäsenvaltion vapaaehtoisessa akkreditointijärjestelmässä; tai

b) liitteessä II vahvistettujen vaatimusten mukainen yhteisöön sijoittautunut varmennepalvelujen tarjoaja ottaa varmenteesta vastuun samassa laajuudessa kuin omista varmenteistaan; taikka

c) varmenne tai varmennepalvelun tarjoaja on tunnustettu toisaalta yhteisön ja toisaalta kolmannen maan tai maiden tai kansainvälisten organisaatioiden välisen kahdenvälisen tai monenvälisen sopimuksen perusteella.

2. Helpottaakseen yhteisön jäsenvaltioiden ja kolmansien maiden väliset rajat ylittävien varmennepalvelujen tarjontaa ja kolmansista maista peräisin olevien sähköisten allekirjoitusten oikeudellista tunnustamista, komissio voi antaa tarvittaessa ehdotuksia varmennepalveluihin sovellettavien standardien ja kansainvälisten sopimusten täytäntöönpanemiseksi käytännössä. Erityisesti komissio antaa neuvostolle tarvittaessa ehdotuksia asianmukaisista neuvotteluvaltuuksista kolmansien maiden ja kansainvälisten organisaatioiden kanssa tehtäviä kahdenvälisiä ja monenvälisiä sopimuksia varten. Neuvosto tekee päätöksen määräenemmistöllä.

8 artikla

Tietosuoja

1. Jäsenvaltioiden on varmistettava, että varmennepalvelujen tarjoajat ja akkreditoinnista tai valvonnasta vastaavat kansalliset laitokset noudattavat Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (4) ja Euroopan parlamentin ja neuvoston direktiivin 97/66/EY (5) vaatimuksia.

2. Jäsenvaltioiden on varmistettava, että varmennepalvelujen tarjoaja saa hankkia henkilötietoja ainoastaan välittömästi tietojen kohteelta itseltään ja siinä määrin kuin se on välttämätöntä varmenteen myöntämiseksi. Tietoja ei saa koota tai muokata muihin tarkoituksiin ilman tietojen kohteen lupaa.

3. Jäsenvaltioiden on varmistettava, että varmennepalvelujen tarjoaja ilmoittaa varmenteessa allekirjoittajan pyynnöstä salanimen allekirjoittajan todellisen nimen sijasta.

4. Jäsenvaltioiden on varmistettava, että varmennepalvelujen tarjoaja viranomaisten pyynnöstä toimittaa niille salanimeä käyttävän henkilön tiedot kyseisen henkilön suostumuksella. Silloin kun kyseisen henkilön henkilöllisyyden paljastaminen on kansallisen lainsäädännön mukaan tarpeen rikostutkinnan takia, joka liittyy salanimellä tehtyihin sähköisiin allekirjoituksiin, henkilötietojen siirrosta on laadittava tallenne ja asianomaiselle on ilmoitettava henkilöllisyyden paljastamisesta mahdollisimman pian tutkinnan päätyttyä.

9 artikla

Komitea

Komissiota avustaa neuvoa-antava komitea nimeltään "sähköisten allekirjoitusten komitea", jäljempänä "komitea" jossa on jäsenvaltioiden edustajat ja puheenjohtajana komission edustaja.

Komission edustaja tekee komitealle ehdotuksen tarvittavista toimenpiteistä. Komitea antaa, tarvittaessa äänestettyään, lausuntonsa ehdotuksesta määräajassa, jonka puheenjohtaja voi asettaa asian kiireellisyyden mukaan.

Lausunto merkitään pöytäkirjaan; lisäksi jokaisella jäsenvaltiolla on oikeus pyytää, että sen kanta merkitään pöytäkirjaan.

Komission on, niin suurelta osin kuin mahdollista, otettava huomioon komitean lausunto. Sen on ilmoitettava, millä tavoin lausunto on otettu huomioon.

10 artikla

Komitean kuuleminen

Komiteaa kuullaan tarvittaessa kysymyksissä, jotka koskevat varmennepalvelujen tarjoajille liitteessä II asetettuja vaatimuksia ja sähköisen allekirjoituksen tuotteiden 3 artiklan 3 kohdassa tarkoitettuja yleisesti tunnustettuja standardeja.

11 artikla

Ilmoittaminen

1. Jäsenvaltioiden on toimitettava komissiolle seuraavat tiedot:

a) tiedot vapaaehtoisuuteen perustuvista kansallisista akkreditointijärjestelmistä, mukaan lukien 3 artiklan 4 kohdan lisävaatimukset;

b) akkreditoinnista ja valvonnasta vastaavien kansallisten laitosten nimet ja osoitteet; ja

c) akkreditoitujen kansallisten varmennepalvelujen tarjoajien nimet ja osoitteet.

2. Jäsenvaltioiden on ilmoitettava 1 kohdan nojalla toimitettavat tiedot ja näiden tietojen muutokset mahdollisimman pian.

12 artikla

Uudelleentarkastelu

1. Komissio tarkastelee tämän direktiivin toteuttamista ja antaa Euroopan parlamentille ja neuvostolle siitä kertomuksen viimeistään 31 päivänä joulukuuta 2002.

2. Tässä kertomuksessa on arvioitava muun muassa, olisiko direktiivin soveltamisalaa teknisen ja oikeudellisen kehityksen vuoksi muutettava. Kertomuksessa on erityisesti oltava saatuihin kokemuksiin perustuva arvio yhdenmukaistamiseen liittyvistä näkökohdista. Kertomukseen on liitettävä tarvittaessa täydentäviä lainsäädäntöehdotuksia.

13 artikla

Täytäntöönpano

1. Jäsenvaltioiden on saatettava tämän direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset voimaan viimeistään 31 päivänä joulukuuta 2000. Niiden on ilmoitettava tästä komissiolle viipymättä.

Näissä jäsenvaltioiden antamissa säädöksissä on viitattava tähän direktiiviin tai niitä virallisesti julkaistaessa niihin on liitettävä viittaus tähän direktiiviin. Jäsenvaltioiden on säädettävä siitä, miten viittaukset tehdään.

2. Jäsenvaltioiden on toimitettava komissiolle tämän direktiivin alalta sekä direktiiviin liittyviltä aloilta antamansa kansalliset säännökset sekä vastaavuustaulukko tämän direktiivin säännöksistä ja annetuista kansallisista säännöksistä.

14 artikla

Voimaantulo

Tämä direktiivi tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan yhteisöjen virallisessa lehdessä.

15 artikla

Osoitus

Tämä direktiivi on osoitettu kaikille jäsenvaltioille.

(1) KOM(97) 157 lopullinen.

(2) KOM(97) 503 lopullinen.

(3) EYVL L 95, 21.4.1993, s. 29.

(4) EYVL L 281, 23.11.1995, s. 31.

(5) EYVL L 24, 30.1.1998, s. 1.

LIITE I

VAATIMUKSET HYVÄKSYTYILLE VARMENTEILLE

Hyväksytyssä varmenteessa on oltava:

a) sen myöntäneen varmennepalvelujen tarjoajan tunniste;

b) haltijan nimi tai salanimi sellaisessa muodossa, että siitä ei voi erehtyä; salanimen kohdalla on erikseen mainittava kyseessä olevan salanimi;

c) haltijaan liittyvät erityismääreet, kuten osoite, valtuudet toimia tietyn yrityksen nimissä, luottokelpoisuus, alv-tunnus tai muu verotunniste, maksutakuiden saatavuus tai erityiset luvat;

d) allekirjoituksen todentamismenetelmä, joka vastaa haltijan hallussa olevaa allekirjoitusmenetelmää;

e) varmenteen voimassaoloajan alkamis- ja päättymisajankohta;

f) varmenteen yksilöivä tunnus;

g) varmenteen myöntävän varmennepalvelujen tarjoajan sähköinen allekirjoitus;

h) mahdolliset varmenteen käyttörajoitukset; ja

i) mahdolliset varmennepalvelujen tarjoajan vastuurajoitukset ja varmenteen kattamien toimien enimmäisarvoa koskevat rajoitukset.

LIITE II

VAATIMUKSET VARMENNEPALVELUJEN TARJOAJILLE

Varmennepalvelujen tarjoajien on:

a) osoitettava varmennepalvelujen tarjoamisen edellyttämä luotettavuus;

b) tarjottava nopeaa ja varmaa perumismahdollisuutta;

c) todennettava tarkoituksenmukaisin keinoin sen henkilön henkilöllisyys ja kyky toimia, jolle hyväksytty varmenne on myönnetty;

d) pidettävä palveluksessaan henkilökuntaa, jolla on tarjottujen palvelujen edellyttämä asiantuntemus, kokemus ja pätevyys varsinkin johtotehtävissä, sähköisten allekirjoitusten tekniikoihin liittyvä asiantuntemus ja tarkoituksenmukaisten turvatoimien tuntemus; palveluntarjoajien on lisäksi noudatettava asianmukaisia ja tunnustettujen standardien mukaisia hallinnollisia ja likkeenjohdollisia menettelytapoja;

e) käytettävä luotettavia järjestelmiä ja sellaisia sähköisen allekirjoituksen tuotteita, jotka suojaavat tuotteiden muutoksilta niin, että tuotteita ei voida käyttää toisenlaisiin toimintoihin kuin mihin ne on suunniteltu; palveluntarjoajien on myös käytettävä sellaisia sähköisen allekirjoituksen tuotteita, jotka varmistavat tuotteiden tukemien varmentamisprosessien turvallisuuden niin tekniikan kuin salaamisen osalta;

f) toteutettavat toimenpiteet varmenteiden väärentämisen ehkäisemiseksi ja, silloin kun varmennepalvelun tarjoaja luo henkilökohtaisen salausavaimen, taattava luottamuksellisuus avainta luotaessa;

g) hallittava tämän direktiivin vaatimusten mukaisen toiminnan edellyttämiä varoja varsinkin mahdollisten vahinkovaastuiden kattamiseksi, esimerkiksi asianmukaisella vakuutuksella;

h) arkistoitava kaikki hyväksyttyä varmennetta koskevat tiedot tarkoituksenmukaiseksi ajaksi erityisesti voidakseen esittää todisteita mahdollisissa oikeudellisissa menettelyissä; tällaisia arkistoja voidaan ylläpitää myös sähköisessä muodossa;

i) oltava tallentamatta tai jäljentämättä varmennepalvelujen tarjoajalta salausavaimen hallintapalveluja saaneen henkilön henkilökohtaista salausavainta, jollei kyseinen henkilö sitä nimenomaisesti pyydä;

j) ennen sopimuksen tekemistä ilmoitettava kuluttajille kirjallisesti, selvästi ymmärrettävällä kielellä ja tiedon säilyttävää viestintämuotoa käyttäen varmenteen käytön tarkoista ehdoista ja edellytyksistä, mukaan lukien vastuurajoitukset, vapaaehtoisen akkreditointijärjestelmän olemassaolo sekä riitojenratkaisu- ja valitusmenettelyt.