ΟΔΗΓΙΑ 1999/93/ΕΚ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

της 13ης Δεκεμβρίου 1999

σχετικά με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη:

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας, και ιδίως το άρθρο 47 παράγραφος 2 και τα άρθρα 55 και 95,

την πρόταση της Επιτροπής(1),

τη γνώμη της Οικονομικής και Κοινωνικής Επιτροπής(2),

της γνώμη της Επιτροπής των Περιφερειών(3),

Αποφασίζοντας σύμφωνα με τη διαδικασία του άρθρου 251 της συνθήκης(4),

Εκτιμώντας τα ακόλουθα:

(1) στις 16 Απριλίου 1997, η Επιτροπή υπέβαλε στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών ανακοίνωση σχετικά με ευρωπαϊκή πρωτοβουλία στο ηλεκτρονικό εμπόριο·

(2) στις 8 Οκτωβρίου 1997 η Επιτροπή υπέβαλε στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών ανακοίνωση για την κατοχύρωση της ασφάλειας και εμπιστοσύνης στις ηλεκτρονικές επικοινωνίες - προς ένα ευρωπαϊκό πλαίσιο για ψηφιακές υπογραφές και κρυπτοθέτηση·

(3) την 1η Δεκεμβρίου 1997, το Συμβούλιο κάλεσε την Επιτροπή να υποβάλει το ταχύτερο δυνατό πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τις ψηφιακές υπογραφές·

(4) για τις ηλεκτρονικές επικοινωνίες και το εμπόριο απαιτούνται "ηλεκτρονικές υπογραφές" και συναφείς υπηρεσίες που παρέχουν τη δυνατότητα απόδειξης της γνησιότητας των δεδομένων· η ύπαρξη αποκλινόντων κανόνων όσον αφορά τη νομική αναγνώριση των ψηφιακών υπογραφών και διαπίστευση "παροχών υπηρεσιών πιστοποίησης" στα κράτη μέλη ενδέχεται να αποτελέσει σημαντικό φραγμό για τη χρήση των ηλεκτρονικών επικοινωνιών και του ηλεκτρονικού εμπορίου· από την άλλη πλευρά, ένα σαφές κοινοτικό πλαίσιο σχετικά με τις προϋποθέσεις που θα εφαρμόζονται στις ηλεκτρονικές υπογραφές θα ενισχύσει την εμπιστοσύνη στις νέες τεχνολογίες και θα συμβάλει στη γενική αποδοχή τους· οι νομοθεσίες στα κράτη μέλη δεν θα πρέπει να εμποδίζουν την ελεύθερη κυκλοφορία αγαθών και υπηρεσιών στην εσωτερική αγορά·

(5) θα πρέπει να προαχθεί η διαλειτουργικότητα των προϊόντων ηλεκτρονικής υπογραφής· σύμφωνα με το άρθρο 14 της συνθήκης, η εσωτερική αγορά περιλαμβάνει ένα χώρο χωρίς εσωτερικά σύνορα μέσα στον οποίο εξασφαλίζεται η ελεύθερη κυκλοφορία των εμπορευμάτων· πρέπει να ικανοποιηθούν βασικές απαιτήσεις που αναφέρονται σε προϊόντα ηλεκτρονικής υπογραφής για τη διασφάλιση της ελεύθερης κυκλοφορίας εντός της εσωτερικής αγοράς και για την οικοδόμηση εμπιστοσύνης στις ηλεκτρονικές υπογραφές, με την επιφύλαξη του κανονισμού (ΕΚ) αριθ. 3381/94 του Συμβουλίου, της 19ης Δεκεμβρίου 1994, περί κοινοτικού καθεστώτος ελέγχου της εξαγωγής αγαθών διπλής χρήσης(5) και της απόφασης 94/942/ΚΕΠΠΑ του Συμβουλίου, της 19ης Δεκεμβρίου 1994, σχετικά με την κοινή δράση που ενεκρίθη από το Συμβούλιο σχετικά με τον έλεγχο της εξαγωγής αγαθών διπλής χρήσης(6)·

(6) η παρούσα οδηγία δεν εναρμονίζει την παροχή υπηρεσιών όσον αφορά το απόρρητο των πληροφοριών όταν καλύπτονται από εθνικές διατάξεις περί δημόσιας τάξης ή δημόσιας ασφάλειας·

(7) η εσωτερική αγορά εξασφαλίζει την ελεύθερη κυκλοφορία των προσώπων, η οποία έχει ως συνέπεια ότι οι πολίτες και οι κάτοικοι της Ευρωπαϊκής Ένωσης, έρχονται όλο και συχνότερα αντιμέτωποι με αρχές κρατών μελών διαφορετικών εκείνου στο οποίο διαμένουν· η ηλεκτρονική επικοινωνία θα μπορούσε να αποδειχθεί εξαιρετικά χρήσιμη από αυτή την άποψη·

(8) η ταχεία τεχνολογική ανάπτυξη και ο παγκόσμιος χαρακτήρας του Internet επιβάλλουν προσέγγιση που θα είναι ανοικτή σε διάφορες τεχνολογίες και υπηρεσίες ηλεκτρονικής αναγνώρισης της γνησιότητας δεδομένων·

(9) οι ηλεκτρονικές υπογραφές θα χρησιμοποιούνται σε πολλές διαφορετικές συνθήκες και εφαρμογές, έχοντας ως αποτέλεσμα ευρύ φάσμα νέων υπηρεσιών και προϊόντων που θα συνδέονται με ή θα χρησιμοποιούν ηλεκτρονικές υπογραφές· ο ορισμός αυτών των προϊόντων και υπηρεσιών δεν θα πρέπει να περιοριστεί στην έκδοση και διαχείριση πιστοποιητικών αλλά θα πρέπει να συμπεριλαμβάνει όλες τις υπηρεσίες και τα προϊόντα που χρησιμοποιούν ή σχετίζονται με ηλεκτρονικές υπογραφές, όπως οι υπηρεσίες καταχώρησης, οι υπηρεσίες χρονοσήμανσης, οι υπηρεσίες καταλόγου, οι υπηρεσίες πληροφορικής ή οι υπηρεσίες μελετών σχετικά με τις ηλεκτρονικές υπογραφές·

(10) η εσωτερική αγορά επιτρέπει στους παρόχους υπηρεσιών πιστοποίησης την ανάπτυξη των διασυνοριακών δραστηριοτήτων τους αποβλέποντας στην αύξηση της ανταγωνιστικότητάς τους, προσφέροντας έτσι στους καταναλωτές και τις επιχειρήσεις νέες ευκαιρίες ασφαλούς ανταλλαγής πληροφοριών και ηλεκτρονικών συναλλαγών, ανεξαρτήτως συνόρων· για την τόνωση της παροχής υπηρεσιών πιστοποίησης μέσω ανοικτών δικτύων σε κοινοτική κλίμακα, θα πρέπει οι πάροχοι υπηρεσιών πιστοποίησης να είναι ελεύθεροι να παρέχουν τις υπηρεσίες τους χωρίς προηγούμενη έγκριση· ως προηγούμενη έγκριση νοείται, όχι μόνο κάθε άδεια για την οποία απαιτείται απόφαση των εθνικών αρχών προτού επιτραπεί στον ενδιαφερόμενο να παρέχει υπηρεσίες πιστοποίησης, αλλά και κάθε άλλο μέτρο ισοδυνάμου αποτελέσματος·

(11) οι μηχανισμοί εθελοντικής διαπίστευσης που αποσκοπούν σε βελτιωμένο επίπεδο παροχής υπηρεσιών ενδέχεται να προσφέρουν στους παρόχους υπηρεσιών πιστοποίησης το κατάλληλο πλαίσιο για την περαιτέρω ανάπτυξη των υπηρεσιών τους στα επίπεδα εμπιστοσύνης, ασφάλειας και ποιότητας που απαιτούνται από την εξελισσόμενη αγορά· αυτοί οι μηχανισμοί θα πρέπει να ενθαρρύνουν την ανάπτυξη βέλτιστης πρακτικής μεταξύ των παρόχων υπηρεσιών πιστοποίησης· οι πάροχοι υπηρεσιών πιστοποίησης θα πρέπει να είναι ελεύθεροι να επιλέγουν και να επωφελούνται από τους εν λόγω μηχανισμούς διαπίστευσης·

(12) οι υπηρεσίες πιστοποίησης μπορούν να παρέχονται είτε από δημόσιο φορέα είτε από νομικό ή φυσικό πρόσωπο, εφόσον είναι εγκατεστημένο σύμφωνα με το εθνικό δίκαιο· τα κράτη μέλη δεν θα πρέπει να απαγορεύουν στους παρόχους υπηρεσιών πιστοποίησης να λειτουργούν εκτός των εν λόγω μηχανισμών εθελοντικής διαπίστευσης· θα πρέπει να διασφαλίζεται ότι οι μηχανισμοί εθελοντικής διαπίστευσης δεν περιορίζουν τον ανταγωνισμό στις υπηρεσίες πιστοποίησης·

(13) τα κράτη μέλη μπορούν να αποφασίζουν με ποιό τρόπο θα εξασφαλίσουν τον έλεγχο της τήρησης των διατάξεων της παρούσας οδηγίας· η παρούσα οδηγία δεν αποκλείει τη θέσπιση συστημάτων ελέγχου βασισμένων στον ιδιωτικό τομέα· η παρούσα οδηγία δεν υποχρεώνει τους παρόχους υπηρεσιών πιστοποίησης να υπόκεινται σε έλεγχο δυνάμει τυχόν μηχανισμών περί διαπίστευσης·

(14) είναι σημαντικό να ευρεθεί μία ισορροπία μεταξύ των αναγκών των καταναλωτών και των επιχειρήσεων·

(15) το παράρτημα ΙΙΙ καλύπτει απαιτήσεις για ασφαλείς διατάξεις δημιουργίας υπογραφής ούτως ώστε να εξασφαλιστεί η λειτουργικότητα των προηγμένων ηλεκτρονικών υπογραφών· δεν καλύπτει ολόκληρο το περιβάλλον του συστήματος στο οποίο λειτουργούν οι διατάξεις αυτές· η λειτουργία της εσωτερικής αγοράς υποχρεώνει την Επιτροπή και τα κράτη μέλη να αναλάβουν ταχέως μέτρα για το διορισμό των φορέων που θα αναλάβουν την αξιολόγηση της πιστότητας των ασφαλών διατάξεων υπογραφής με το παράρτημα ΙΙΙ· για να ικανοποιούνται οι ανάγκες της αγοράς η αξιολόγηση της πιστότητας πρέπει να διενεργείται έγκαιρα και αποτελεσματικά·

(16) η παρούσα οδηγία συμβάλλει στη χρήση και νομική αναγνώριση των ηλεκτρονικών υπογραφών εντός της Κοινότητας· δεν απαιτείται κανονιστικό πλαίσιο για ηλεκτρονικές υπογραφές που χρησιμοποιούνται αποκλειστικά μέσα σε συστήματα που στηρίζονται σε εθελούσιες συμφωνίες ιδιωτικού δικαίου μεταξύ συγκεκριμένου αριθμού συμμετεχόντων· θα πρέπει να γίνει σεβαστή η ελευθερία των μερών να συμφωνούν μεταξύ τους τους όρους όρους και τις προϋποθέσεις βάσει των οποίων αποδέχονται ηλεκτρονικά υπογεγραμμένα δεδομένα, στο βαθμό που τούτο επιτρέπεται από την εθνική νομοθεσία, θα πρέπει να αναγνωρίζεται η νομική ισχύς των ηλεκτρονικών υπογραφών που χρησιμοποιούνται σε αυτά τα διαστήματα καθώς και η αποδοχή τους ως αποδεικτικών στοιχείων σε νομικές διαδικασίες·

(17) η παρούσα οδηγία δεν αποσκοπεί σε εναρμόνιση εθνικών κανόνων που αφορούν το ενοχικό δίκαιο, ιδίως την κατάρτιση και εκτέλεση των συμβάσεων ή άλλες διατυπώσεις μη συμβατικού χαρακτήρα σχετικά με τις υπογραφές· επομένως, οι διατάξεις που αφορούν τις έννομες συνέπειες των ηλεκτρονικών υπογραφών θα πρέπει να ισχύουν με την επιφύλαξη των απαιτήσεων ως προς τον τύπο δυνάμει της εθνικής νομοθεσίας σχετικά με τη σύναψη συμβάσεων ή τους κανόνες που καθορίζουν τον τόπο σύναψης μιας σύμβασης·

(18) η αποθήκευση και η αντιγραφή δεδομένων δημιουργίας υπογραφής θα μπορούσε να αποτελέσει απειλή για την νομική ισχύ των ηλεκτρονικών υπογραφών·

(19) οι ηλεκτρονικές υπογραφές θα χρησιμοποιούνται στο δημόσιο τομέα στο πλαίσιο εθνικών και κοινοτικών διοικητικών υπηρεσιών και για την επικοινωνία μεταξύ αυτών των υπηρεσιών και των πολιτών και οικονομικών φορέων, π.χ. για τις δημόσιες συμβάσεις, τη φορολογία, την κοινωνική ασφάλιση, την υγεία και την απονομή δικαιοσύνης·

(20) η ύπαρξη εναρμονισμένων κριτηρίων όσον αφορά τις έννομες συνέπειες των ηλεκτρονικών υπογραφών θα διαφυλάξει έαν συνεκτικό νομικό πλαίσιο σε ολόκληρη την έκταση της Κοινότητας· στις εθνικές νομοθεσίες προβλέπονται διαφορετικές απαιτήσεις για τη νομική ιχύ των ιδιόχειρων υπογραφών· τα πιστοποιητικά μπορούν να χρησιμοποιούνται για την επιβεβαίωση της ταυτότητας προσώπου που υπογράφει ηλεκτρονικά· οι προηγούμενες ηλεκτρονικέςς υπογραφές που βασίζονται σε αναγνωρισμένο πιστοποιητικό στοχεύουν υψηλότερο επίπεδο ασφάλειας· οι προηγμένες ηλεκτρονικές υπογραφές που βασίζονται σε αναγνωρισμένο πιστοποιητικό και έχουν δημιουργηθεί από ασφαλή διάταξη δημιουργίας υπογραφής μπορούν να θεωρηθούν ως νομικά ισοδύναμες προς ιδιόχειρες υπογραφές μόνον εφόσον πληρούνται οι εν λόγω προϋποθέσεις γαι ιδιόχειρες υπογραφές·

(21) ως συμβολή στη γενική αποδοχή των ηλεκτρονικών μεθόδων απόδειξης γνησιότητας πρέπει να διασφαλιστεί η δυνατότητα χρησιμοποίησης των ηλεκτρονικών υπογραφών ως αποδεικτικού στοιχείου σε νομικές διαδικασίες σε όλα τα κράτη μέλη· η νομική αναγνώριση των ηλεκτρονικών υπογραφών θα πρέπει να βασίζεται σε αντικειμενικά κριτήρια και να μη συνδέεται με την εξουσιοδότηση του εμπλεκόμενου παρόχου υπηρεσιών πιστοποίησης· ο καθορισμός των τομέων δικαίου στους οποίους επιτρέπεται η χρήση ηλεκτρονικών εγγράφων και ηλεκτρονικών υπογραφών διέπεται από το εθνικό δίκαιο· η παρούσα οδηγία δεν θίγει την αρμοδιότητα εθνικού δικαστηρίου να αποφασίζει ως προς τη συμμόρφωση με τις απαιτήσεις της οδηγίας και δεν επηρεάζει εθνικούς κανόνες που διέπουν την ελεύθερη εκτίμηση αποδείξεων υπό του δικαστηρίου·

(22) οι πάροχοι υπηρεσιών πιστοποίησης που παρέχουν υπηρεσίες πιστοποίησης στο κοινό υπάγονται στους εθνικούς κανόνες περί ευθύνης·

(23) για την ανάπτυξη του διεθνούς ηλεκτρονικού εμπορίου απαιτούνται διασυνοριακές ρυθμίσεις με συμμετοχή τρίτων χωρών· προκειμένου να διασφαλισθεί η διαλειτουργικότητα σε παγκόσμιο επίπεδο, θα μπορούσαν να αποβούν χρήσιμες συμφωνίες με τρίτες χώρες για πολυμερείς ρυθμίσεις όσον αφορά την αμοιβαία αναγνώριση υπηρεσιών πιστοποίησης·

(24) για την τόνωση της εμπιστοσύνης των χρηστών στην ηλεκτρονική επικοινωνία και στο ηλεκτρονικό εμπόριο μέσω της διασφάλισης της εμπιστοσύνης των χρηστών, οι πάροχοι υπηρεσιών πιστοποίησης πρέπει να τηρούν τη νομοθεσία περί προστασίας των δεδομένων και της ιδιωτικής ζωής·

(25) διατάξεις περί της χρήσης ψευδωνύμων στα πιστοποιητικά δεν θα πρέπει να εμποδίζουν τα κράτη μέλη να ζητούν εξακρίβωση της ταυτότητας των προσώπων σύμφωνα με το κοινοτικό ή το εθνικό δίκαιο·

(26) τα αναγκαία μέτρα για την εφαρμογή της παρούσας οδηγίας πρέπει να θεσπισθούν σύμφωνα με την απόφαση 1999/468/ΕΚ του Συμβουλίου, της 28ης Ιουνίου 1999, για τον καθορισμό των όρων άσκησης των εκτελεστικών αρμοδιοτήτων που ανατίθενται στην Επιτροπή(7)·

(27) η Επιτροπή θα επενεξετάσει την παρούσα οδηγία δύο έτη μετά την εφαρμογή της, μεταξύ άλλων για να εξασφαλίσει ότι η πρόοδος της τεχνολογίας ή οι αλλαγές των νομικών συνθηκών δεν έχουν δημιουργήσει εμπόδια για την επίτευξη των στόχων που θέτει η παρούσα οδηγία· θα πρέπει να εξετάσει τις συνέπειες των συνδεδεμένων τεχνικών τομέων και να υποβάλει σχετική έκθεση στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο·

(28) σύμφωνα με τι αρχές της επικουρικότητας και της αναλογικότητας που αναφέρονται στο άρθρο 5 της συνθήκης, ο στόχος της δημιουργίας εναρμονισμένου νομοθετικού πλαισίου για την παροχή ηλεκτρονικών υπογραφών και συναφών υπηρεσιών δεν μπορεί να επιτευχθεί αποτελεσματικά από τα κράτη μέλη και, ως εκ τούτου, είναι δυνατόν, να επιτευχθεί καλύτερα από την Κοινότητα· η παρούσα οδηγία δεν υπερβαίνει τα αναγκαία όρια για την επίτευξη του εν λόγω στόχου,

ΕΞΕΔΩΣΑΝ ΤΗΝ ΠΑΡΟΥΣΑ ΟΔΗΓΙΑ:

Άρθρο 1

Πεδίο εφαρμογής

Στόχος της παρούσας οδηγίας είναι να διευκολύνει τη χρήση ηλεκτρονικών υπογραφών και να συμβάλει στη νομική αναγνώρισή τους. Θεσπίζει νομικό πλαίσιο για τις ηλεκτρονικές υπογραφές και ορισμένες υπηρεσίες πιστοποίησης, ώστε να εξασφαλίσει την ομαλή λειτουργία της εσωτερικής αγοράς.

Δεν καλύπτει πτυχές που αφορούν τη σύναψη και την ισχύ συμβάσεων ή άλλων νομικών υποχρεώσεων που διέπονται από απαιτήσεις ως προς τον τύπο δυνάμει του εθνικού ή του κοινοτικού δικαίου και δεν θίγει κανόνες και περιορισμούς σχετικά με τη χρήση εγγράφων οι οποίοι περιέχονται στο εθνικό ή κοινοτικό δίκαιο.

Άρθρο 2

Ορισμοί

Για τους σκοπούς της παρούσας οδηγίας νοούνται ως:

1. "ηλεκτρονική υπογραφή": δεδομένα σε ηλεκτρονική μορφή τα οποία είναι συνημμένα σε, ή λογικά συσχετιζόμενα με, άλλα ηλεκτρονικά δεδομένα και τα οποία χρησιμεύουν ως μέθοδος απόδειξης της γνησιότητας,

2. "προηγμένη ηλεκτρονική υπογραφή": ηλεκτρονική υπογραφή που ανταποκρίνεται στις εξής απαιτήσεις:

α) συνδέεται μονοσήμαντα με τον υπογράφοντα·

β) είναι ικανή να ταυτοποιήσει τον υπογράφοντα·

γ) δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο, και

δ) συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπιστεί οποιαδήποτε επακόλουθη αλλοίωση των εν λόγω δεδομένων.

3. "υπογράφων": φυσικό ή νομικό πρόσωπο που κατέχει διάταξη δημιουργίας υπογραφής και ενεργεί είτε για λογαριασμό του είτε εξ ονόματος φυσικού ή νομικού προσώπου ή φορέα που αντιπροσωπεύει,

4. "δεδομένα δημιουργίας υπογραφής": μονοσήμαντα δεδομένα όπως κώδικες ή ιδιωτικά κλειδιά κρυπτογραφίας, που χρησιμοποιούνται από τον υπογράφοντα για τη δημιουργία ηλεκτρονικής υπογραφής,

5. "διάταξη δημιουργίας υπογραφής": διατεταγμένο υλικό ή λογισμικό που χρησιμοποιείται για την εφαρμογή των δεδομένων δημιουργίας της υπογραφής,

6. "ασφαλής διάταξη δημιουργίας υπογραφής": διάταξη δημιουργίας υπογραφής που πληροί τις απαιτήσεις του παραρτήματος ΙΙΙ,

7. "δεδομένα δημιουργίας υπογραφής": δεδομένα, όπως κώδικες ή δημόσια κλειδιά κρυπτογραφίας, τα οποία χρησιμοποιούνται για την επαλήθευση της ηλεκτρονικής υπογραφής,

8. "δεδομένα επαλήθευσης υπογραφής": διατεταγμένο υλικό ή λογισμικό που χρησιμοποιείται για την εφαρμογή των δεδομένων επαλήθευσης υπογραφής,

9. "πιστοποιητικό": ηλεκτρονική βεβαίωση, η οποία συνδέει δεδομένα επαλήθευσης υπογραφής με ένα άτομο που επιβεβαιώνει την ταυτότητά του,

10. "αναγνωρισμένο πιστοποιητικό": πιστοποιητικό που ανταποκρίνεται στις οριζόμενες στο παράρτημα Ι απαιτήσεις και εκδίδεται από πάροχο υπηρεσιών πιστοποίησης ο οποίος πληροί τις οριζόμενες στο παράρτημα ΙΙ απαιτήσεις,

11. "πάροχος υπηρεσιών πιστοποίησης": φορέας ή φυσικό ή νομικό πρόσωπο που εκδίδει πιστοποιητικά ή παρέχει άλλες υπηρεσίες, συναφείς με τις ηλεκτρονικές υπογραφές,

12. "προϊόν ηλεκτρονικής υπογραφής": υλικό ή λογισμικό ή συναφή συστατικά στοιχεία τους, που προορίζονται για χρήση από τον πάροχο υπηρεσιών πιστοποίησης για την παροχή υπηρεσιών ηλεκτρονικής υπογραφής ή προορίζονται να χρησιμοποιηθούν για τη δημιουργία ή επαλήθευση ηλεκτρονικών υπογραφών,

13. "εθελοντική διαπίστευση": κάθε άδεια, στην οποία ορίζονται τα δικαιώματα και οι υποχρεώσειςς που διέπουν την παροχή υπηρεσιών πιστοποίησης και η οποία χορηγείται κατόπιν αιτήσεως του ενδιαφερόμενου παρόχου υπηρεσιών πιστοποίησης από το δημόσιο ή ιδιωτικό φορέα ο οποίος είναι υπεύθυνος για τον καθορισμό αυτών των δικαιωμάτων και υποχρεώσεων και για τον έλεγχο της τήρησής τους, όταν ο πάροχος των υπηρεσιών πιστοποίησης δεν δικαούται να ασκεί τα δικαιώματα που απορρέουν από την άδεια προτού λάβει την απόφαση του εν λόγω φορέα.

Άρθρο 3

Πρόσβαση στην αγορά

1. Τα κράτη μέλη δεν εξαρτούν την παροχή υπηρεσιών πιστοποίησης από εκ των προτέρων έγκριση.

2. Με την επιφύλαξη των διατάξεων της παραγράφου 1, τα κράτη μέλη δύνανται να διατηρούν μηχανισμούς εθελοντικής διαπίστευσης που αποσκοπούν στην επίτευξη βελτιωμένου επιπέδου παροχής υπηρεσιών πιστοποίησης. Όλες οι προϋποθέσεις που συνδέονται με τους εν λόγω μηχανισμούς πρέπει να είναι αντικειμενικές, διαφανείς, ανάλογες και να μην οδηγούν σε διακρίσεις. Τα κράτη μέλη δεν μπορούν να περιορίζουν τον αριθμό των διαπιστευμένων παρόχων υπηρεσιών πιστοποίησης για λόγους που εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας.

3. Κάθε κράτος μέλος εξασφαλίζει την καθιέρωση κατάλληλου συστήματος που καθιστά δυνατή την επιτήρηση των εγκατεστημένων στο έδαφός τους παρόχων υπηρεσιών πιστοποίησης οι οποίοι εκδίδουν για το κοινό αναγνωρισμένα πιστοποιητικά.

4. Η συμμόρφωση των ασφαλών διατάξεων δημιουργίας υπογραφής προς τις απαιτήσεις του παραρτήματος ΙΙΙ διαπιστώνεται από τους αρμόδιους δημόσιους ή ιδιωτικούς φορείς που ορίζουν τα κράτη μέλη. Η Επιτροπή καθορίζει, σύμφωνα με τη διαδικασία του άρθρου 9, κριτήρια βάσει των οποίων τα κράτη μέλη ορίζουν τους φορείς.

Η υπό των εν λόγω φορέων διαπίστωση της συμμόρφωσης προς τις απαιτήσεις του παραρτήματος ΙΙΙ αναγνωρίζεται από όλα τα κράτη μέλη.

5. Η Επιτροπή δύναται, σύμφωνα με τη διαδικασία του άρθρου 9, να καθορίζει και να δημοσιεύει αριθμούς αναφοράς γενικώς αναγνωρισμένων προτύπων για προϊόντα ηλεκτρονικής υπογραφής στην Επίσημη Εφημερίδα των Ευρωπαϊκών Κοινοτήτων. Τα κράτη μέλη τεκμαίρουν συμμόρφωση με τις απαιτήσεις που καθορίζονται στο στοιχείο στ) του παραρτήματος ΙΙ και στο παράρτημα ΙΙΙ, όταν ένα προϊόν ηλεκτρονικής υπογραφής ανταποκρίνεται στα εν λόγω πρότυπα.

6. Τα κράτη μέλη και η Επιτροπή συνεργάζονται για να προωθήσουν την ανάπτυξη και χρησιμοποίηση των διατάξεων επαλήθευσης υπογραφής, με βάση τις συστάσεις για την ασφαλή επαλήθευση της υπογραφής που προβλέπονται στο παράρτημα IV και προς όφελος του καταναλωτή.

7. Τα κράτη μέλη δύνανται να εξαρτούν τη χρήση ηλεκτρονικών υπογραφών στο δημόσιο τομέα από ενδεχόμενες πρόσθετες απαιτήσεις. Οι εν λόγω απαιτήσεις είναι αντικειμενικές, διαφανείς, ανάλογες και δεν οδηγούν σε διακρίσεις, αναφέρονται δε μόνο στα ειδικά χαρακτηριστικά της συγκεκριμένης εφαρμογής. Οι απαιτήσεις αυτές δεν πρέπει να αποτελούν εμπόδιο στις διασυνοριακές υπηρεσίες για τους πολίτες.

Άρθρο 4

Αρχές της εσωτερικής αγοράς

1. Κάθε κράτος μέλος εφαρμόζει τις εθνικές διατάξεις που θεσπίζει κατ' εφαρμογήν της παρούσας οδηγίας για παρόχους υπηρεσιών πιστοποίησης εγκατεστημένους στην επικράτειά του, καθώς και για τις υπηρεσίες που αυτοί παρέχουν. Τα κράτη μέλη δεν μπορούν να περιορίσουν την παροχή υπηρεσιών πιστοποίησης που προέρχονται από άλλο κράτος μέλος στους τομείς που καλύπτονται από την παρούσα οδηγία.

2. Τα κράτη μέλη διασφαλίζουν ότι τα προϊόντα ηλεκτρονικής υπογραφής που συμμορφούνται με την παρούσα οδηγία επιτρέπεται να κυκλοφορούν ελεύθερα στην εσωτερική αγορά.

Άρθρο 5

Έννομες συνέπειες των ηλεκτρονικών υπογραφών

1. Τα κράτη μέλη διασφαλίζουν ότι οι προηγμένες ηλεκτρονικές υπογραφές που βασίζονται σε αναγνωρισμένο πιστοποιητικό κυι οι οποίες δημιουργούνται από ασφαλή διάταξη δημιουργίας υπογραφής:

α) ικανοποιούν τις νομικές απαιτήσεις υπογραφής σε σχέση με τα δεδομένα σε ηλεκτρονική μορφή κατά τον ίδιο τρόπο που μια ιδιόχειρη υπογραφή ικανοποιεί τις απαιτήσεις αυτές σε σχέση με τα δεδομένα που καταχωρούνται επί χάρτου, και

β) γίνονται δεκτές ως αποδεικτικό στοιχείο σε νομικές διαδικασίες.

2. Τα κράτη μέλη διασφαλίζουν ότι δεν απορρίπτεται η νομική ισχύς και το παραδεκτό μιας ηλεκτρονικής υπογραφής ως αποδεικτικού στοιχείου σε νομικές διαδικασίες μόνο λόγω του γεγονότος ότι:

- είναι υπό μορφή ηλεκτρονικών δεδομένων, ή

- δεν βασίζεται σε αναγνωρισμένο πιστοποιητικό, ή

- δεν βασίζεται σε αναγνωρισμένο πιστοποιητικό που εξεδόθη από διαπιστευμένο παροχέα υπηρεσιών πιστοποίησης, ή

- δεν δημιουργείται από ασφαλή διάταξη δημιουργίας υπογραφής.

Άρθρο 6

Ευθύνη

1. Τα κράτη μέλη διασφαλίζουν τουλάχιστον ότι με την έκδοση πιστοποιητικού ως αναγνωρισμένου πιστοποιητικού στο κοινό ή με την εγγύηση τέτοιου πιστοποιητικού στο κοινό, πάροχος υπηρεσιών πιστοποίησης υπέχει ευθύνη για την προκληθείσα ζημία έναντι οποιουδήποτε φορέα ή φυσικού ή νομικού προσώπου που ευλόγως βασίζεται στο πιστοποιητικό:

α) όσον αφορά την ακρίβεια, κατά τη στιγμή έκδοσής του, όλων των πληροφοριών που περιέχονται στο αναγνωρισμένο πιστοποιητικό, καθώς και την ύπαρξη στο πιστοποιητικό όλων των στοιχείων τα οποία απαιτούνται για ένα αναγνωρισμένο πιστοποιητικό·

β) για τη διαβεβαίωση ότι, κατά το χρόνο έκδοσης του πιστοποιητικού, ο υπογράφων που ταυτοποιείται στο αναγνωρισμένο πιστοποιητικό ήταν κάτοχος των δεδομένων δημιουργίας υπογραφής που αντιστοιχούν στα δεδομένα επαλήθευσης υπογραφής που αναφέρονται ή ταυτοποιούνται στο πιστοποιητικό·

γ) για τη διαβεβαίωση ότι τα δεδομένα δημιουργίας υπογραφής και τα δεδομένα επαλήθευσης υπογραφής μπορούν να χρησιμοποιηθούν συμπληρωματικά, στις περιπτώσεις που αμφότερα προέρχονται από τον πάροχο υπηρεσιών πιστοποίησης,

εκτός εάν ο πάροχος υπηρεσιών πιστοποίησης αποδείξει ότι δεν ενήργησε αμελώς.

2. Τα κράτη μέλη διασφαλίζουν τουλάχιστον ότι ο πάροχοςς υπηρεσιών πιστοποίησης που εξέδωσε πιστοποιητικό ως ανεγνωρισμένο πιστοποιητικό στο κοινό υπέχει ευθύνη για τη ζημία που προξενείται σε οιοδήποτε φορέα ή φυσικό πρόσωπο, που ευλόγως βασίζεται στο πιστοποιητικό, λόγω παράλειψής του να καταγράψει την ανάκληση του πιστοποιητικού, εκτός εάν ο πάροχος υπηρεσιών πιστοποίησης αποδείξει ότι δεν ενήργησε αμελώς.

3. Τα κράτη μέλη διασφαλίζουν ότι ένας πάροχος υπηρεσιών πιστοποίησης δύναται να αναγράφει σε αναγνωρισμένο πιστοποιητικό περιορισμούς χρήσεως αυτού του πιστοποιητικού, με την προϋπόθεση ότι οι περιορισμοί αυτοί είναι αναγνωρίσιμοι για τους τρίτους. Ο πάροχος υπηρεσιών πιστοποίησης δεν υπέχει ευθύνη για βλάβες που προκύπτουν από χρήση ενός αναγνωρισμένου πιστοποιητικού που υπερβαίνει τους περιορισμούς που αναγράφηκαν σε αυτό.

4. Τα κράτη μέλη διασφαλίζουν ότι ένας πάροχος υπηρεσιών πιστοποίησης δύναται να αναγράφει στο αναγνωρισμένο πιστοποιητικό όρια στο ύψος των συναλλαγών για τις οποίες το πιστοποιητικό μπορεί να χρησιμοποιηθεί, με την προϋπόθεση ότι τα όρια αυτά είναι αναγνωρίσιμα για τους τρίτους.

Ο πάροχος υπηρεσιών πιστοποίησης δεν ευθύνεται για ζημίες που απορρέουν από την υπέρβαση αυτών των ορίων.

5. Οι διατάξεις των παραγράφων 1 έως 4 ισχύουν με την επιφύλαξη της οδηγίας 93/13/ΕΟΚ του Συμβουλίου, της 13ης Απριλίου 1993, σχετικά με τις καταχρηστικές ρήτρες των συμβάσεων που συνάπτονται με καταναλωτές(8).

Άρθρο 7

Διεθνείς πτυχές

1. Τα κράτη μέλη διασφαλίζουν ότι τα πιστοποιητικά που εκδίδονται στο κοινό ως αναγνωρισμένα πιστοποιητικά από πάροχο υπηρεσιών πιστοποίησης, εγκατεστημένο σε τρίτη χώρα, θεωρούνται νομικώς ισοδύναμα με πιστοποιητικά που εκδίδονται από πάροχο υπηρεσιών πιστοποίησης εγκατεστημένο στην Κοινότητα εάν:

α) ο πάροχος υπηρεσιών πιστοποίησης πληροί τις απαιτήσεις που καθορίζονται στην παρούσα οδηγία και έχει διαπιστευθεί δυνάμει εθελοντικού μηχανισμού πιστοποίησης, καθιερωμένου σε κράτος μέλος, ή

β) πάροχος υπηρεσιών πιστοποίησης, εγκατεστημένος στην Κοινότητα, ο οποίος πληροί τις απαιτήσεις που καθορίζονται στην παρούσα οδηγία, εγγυάται για το πιστοποιητικό, ή

γ) το πιστοποιητικό παρόχου υπηρεσιών πιστοποίησης αναγνωρίζεται δυνάμει διμερούς ή πολυμερούς συμφωνίας μεταξύ της Κοινότητας και τρίτων χωρών ή διεθνών οργανισμών.

2. Η Επιτροπή, για να διευκολύνει τις διασυνοριακές υπηρεσίες πιστοποίησης με τρίτες χώρες και την αναγνώριση προηγμένων ηλεκτρονικών υπογραφών προερχόμενων από τρίτες χώρες, διατυπώνει προτάσεις για την επίτευξη αποτελεσματικής εφαρμογής προτύπων και διεθνών συμφωνιών που ισχύουν για υπηρεσίες πιστοποίησης. Ειδικότερα, όπου κρίνει απαραίτητο, υποβάλλει προτάσεις προς το Συμβούλιο για την έκδοση κατάλληλων εντολών διαπραγμάτευσης διμερών και πολυμερών συμφωνιών με τρίτες χώρες και διεθνείς οργανισμούς. Το Συμβούλιο αποφασίζει με ειδική πλειοψηφία.

3. Οσάκις η Επιτροπή πληροφορείται τυχόν δυσκολίες που συναντούν οι κοινοτικές επιχειρήσεις όσον αφορά την πρόσβαση σε αγορές τρίτων χωρών, δύναται να υποβάλει στο Συμβούλιο, εφόσον παρίσταται ανάγκη, προτάσεις για τη δέουσα εντολή διαπραγμάτευσης αναλόγων δικαιωμάτων των κοινοτικών επιχειρήσεων σε αυτές τις τρίτες χώρες. Το Συμβούλιο αποφασίζει με ειδική πλειοψηφία.

Τα μέτρα που λαμβάνονται δυνάμει της παρούσας παραγράφου δεν θίγουν τις υποχρεώσεις της Κοινότητας και των κρατών μελών δυνάμει σχετικών διεθνών συμφωνιών.

Άρθρο 8

Προστασία δεδομένων

1. Τα κράτη μέλη διασφαλίζουν ότι οι πάροχοι υπηρεσιών πιστοποίησης και οι εθνικοί φορείς, αρμόδιοι για πιστοποίηση ή εποπτεία, συμμορφούνται προς τις απαιτήσεις που καθορίζονται στην οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών(9).

2. Τα κράτη μέλη διασφαλίζουν ότι ένας πάροχος υπηρεσιών πιστοποίησης που εκδίδει πιστοποιητικά στο κοινό δύναται να συλλέγει δεδομένα προσωπικού χαρακτήρα μόνο απευθείας από το πρόσωπο το οποίο αφορούν, ή με τη ρητή συγκατάθεσή του, και μόνον στο βαθμό που είναι απαραίτητο για τους σκοπούς έκδοσης και διατήρησης του πιστοποιητικού. Δεν επιτρέπεται συλλογή ή επεξεργασία των δεδομένων για οποιουσδήποτε άλλους σκοπούς χωρίς τη ρητή συναίνεση του εν λόγω προσώπου.

3. Με την επιφύλαξη των εννόμων συνεπειών των ψευδονύμων δυνάμει της εθνικής νομοθεσίας, τα κράτη μέλη δεν εμποδίζουν τους παρόχους υπηρεσιών πιστοποίησης να αναφέρουν στο πιστοποιητικό ψευδώνυμο αντί του ονόματος του υπογράφοντος.

Άρθρο 9

Επιτροπή

1. Η Επιτροπή επικουρείται από την "επιτροπή ηλεκτρονικής υπογραφής", καλούμενη εφεξής "επιτροπή".

2. Όταν γίνεται αναφορά στην παρούσα παράγραφο, εφαρμόζονται τα άρθρα 4 και 7 της απόφασης 1999/468/ΕΚ, με την επιφύλαξη των διατάξεων του άρθρου 8 της εν λόγω απόφασης.

Η περίοδος που προβλέπεται στο άρθρο 4 παράγραφος 3 της απόφασης 1999/468/ΕΚ είναι τρεις μήνες.

3. Η επιτροπή θεσπίζει τον εσωτερικό κανονισμό της.

Άρθρο 10

Καθήκοντα της επιτροπής

Η επιτροπή διευκρινίζει, σύμφωνα με τη διαδικασία του άρθρου 9 παράγραφος 2, τις απαιτήσεις που ορίζονται στα παραρτήματα της παρούσας οδηγίας, τα κριτήρια που αναφέρονται στο άρθρο 3 παράγραφος 4 και τα γενικώς αναγνωρισμένα πρότυπα για προϊόντα ηλεκτρονικής υπογραφής, που καθορίστηκαν και δημοσιεύθηκαν σύμφωνα με το άρθρο 3 παράγραφος 5.

Άρθρο 11

Κοινοποίηση

1. Τα κράτη μέλη κοινοποιούν στην Επιτροπή και στα λοιπά κράτη μέλη τα ακόλουθα:

α) πληροφορίες σχετικά με εθνικά συστήματα εθελοντικής διαπίστευσης, συμπεριλαμβανομένων όλων των πρόσθετων απαιτήσεων σύμφωνα με το άρθρο 3 παράγραφος 7·

β) ονομασίες και διευθύνσεις των εθνικών φορέων που είναι αρμόδιοι για διαπίστευση και επίβλεψη, καθώς και των φορέων που αναφέρονται στο άρθρο 3 παράγραφος 4·

γ) ονομασίες και διευθύνσεις όλων των διαπιστευμένων εθνικών παρόχων υπηρεσιών πιστοποίησης.

2. Τα κράτη μέλη κοινοποιούν τα ταχύτερο δυνατόν το σύνολο των πληροφοριών που υποβάλλονται βάσει της παραγράφου 1 καθώς και τις σχετικές αλλαγές τους.

Άρθρο 12

Επανεξέταση

1. Η Επιτροπή εξετάζει τη λειτουργία της παρούσας οδηγίας και υποβάλλει σχετική έκθεση προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, το αργότερο έως τις 19 Ιουλίου 2003.

2. Στην εξέταση εκτιμάται, μεταξύ άλλων, εάν θα πρέπει να τροποποιηθεί το πεδίο εφαρμογής της παρούσας οδηγίας λαμβανομένων υπόψη των τεχνολογικών, εμπορικών και νομοθετικών εξελίξεων. Στην έκθεση περιλαμβάνεται ιδίως αξιολόγηση, βάσει της κτηθείσας εμπειρίας, πτυχών της εναρμόνισης. Η έκθεση συνοδεύεται, κατά περίπτωση, από νομοθετικές προτάσεις.

Άρθρο 13

Εφαρμογή

1. Τα κράτη μέλη θέτουν σε ισχύ τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν με την παρούσα οδηγία πριν από τις 19 Ιουλίου 2001. Ενημερώνουν αμέσως την Επιτροπή σχετικά.

Οι διατάξεις αυτές, όταν θεσπίζονται από τα κράτη μέλη, αναφέρονται στην παρούσα οδηγία ή συνοδεύονται από την αναφορά αυτή κατά την επίσημη δημοσίευσή τους. Οι λεπτομερείς διατάξεις της αναφοράς αυτής καθορίζονται από τα κράτη μέλη.

2. Τα κράτη μέλη ανακοινώνουν στην Επιτροπή το κείμενο των ουσιωδών διατάξεων του εσωτερικού δικαίου που θεσπίζουν στον τομέα που διέπεται από την παρούσα οδηγία.

Άρθρο 14

Έναρξη ισχύος

Η παρούσα οδηγία αρχίζει να ισχύει την ημέρα της δημοσίευσής της στην Επίσημη Εφημερίδα των Ευρωπαϊκών Κοινοτήτων.

Άρθρο 15

Αποδέκτες

Η παρούσα οδηγία απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 13 Δεκεμβρίου 1999.

Για το Ευρωπαϊκό Κοινοβούλιο

Η Πρόεδρος

N. FONTAINE

Για το Συμβούλιο

Ο Πρόεδρος

S. HASSI

(1) ΕΕ C 325 της 23.10.1998, σ. 5.

(2) ΕΕ C 40 της 15.2.1999, σ. 29.

(3) ΕΕ C 93 της 6.4.1999, σ. 33.

(4) Γνώμη του Ευρωπαϊκού Κοινοβουλίου, της 13ης Ιανουαρίου 1999 (ΕΕ C 104 της 14.4.1999, σ. 49)· κοινή θέση του Συμβουλίου, της 28ης Ιουνίου 1999 (ΕΕ C 243 της 27.8.1999, σ. 33) και απόφαση του Ευρωπαϊκού Κοινοβουλίου, της 27ης Οκτωβρίου 1999 (δεν δημοσιεύθηκε ακόμα στην Επίσημη Εφημερίδα)· απόφαση του Συμβουλίου, της 30ής Νοεμβρίου 1999.

(5) ΕΕ L 367 της 31.12.1994, σ, 1· κανονισμός όπως τροποποιήθηκε από τον κανονισμό (ΕΚ) αριθ. 837/95 (ΕΕ L 90 της 21.4.1995, σ. 1).

(6) ΕΕ L 367 της 31.12.1994, σ, 8· απόφαση όπως τροποποιήθηκε τελευταία από την απόφαση 99/193/ΚΕΠΠΑ (ΕΕ L 73 της 19.3.1999, σ. 1).

(7) ΕΕ L 184 της 17.7.1999, σ. 23.

(8) ΕΕ L 95 της 21.4.1993, σ. 29.

(9) ΕΕ L 281 της 23.11.1995, σ. 31.

ΠΑΡΑΡΤΗΜΑ Ι

Όροι ισχύοντες για αναγνωρισμένα πιστοποιητικά

Τα αναγνωρισμένα πιστοποιητικά πρέπει να περιλαμβάνουν:

α) ένδειξη ότι το πιστοποιητικό εκδίδεται ως αναγνωρισμένο πιστοποιητικό·

β) τα στοιχεία αναγνώρισης του παρόχου υπηρεσιών πιστοποίησης και το κράτος στο οποίο είναι εγκατεστημένο·

γ) το όνομα του υπογράφοντος ή ψευδώνυμο που αναγνωρίζεται ως ψευδώνυμο·

δ) πρόβλεψη ειδικού χρακτηριστικού του υπογράφοντος, που θα περιληφθεί εφόσον είναι σημαντικό σε σχέση με τον σκοπό για τον οποίο προορίζεται το πιστοποιητικό·

ε) δεδομένα επαλήθευσης υπογραφής που αντιστοιχούν σε δεδομένα δημιουργίας υπογραφής υπό τον έλεγχο του υπογράφοντος·

στ) ένδειξη της έναρξης και τέλος της περιόδου ισχύος του πιστοποιητικού·

ζ) τον κωδικό ταυτοποίησης του πιστοποιητικού·

η) την προηγμένη ηλεκτρονική υπογραφή του παρόχου υπηρεσιών πιστοποίησης που το εκδίδει·

θ) ενδεχομένως, περιορισμούς του πεδίου χρήσης του πιστοποιητικού, και

ι) ενδεχομένως, όρια στο ύψος των συναλλαγών για τις οποίες το πιστοποιητικό μπορεί να χρησιμοποιηθεί.

ΠΑΡΑΡΤΗΜΑ ΙΙ

Όροι ισχύοντες για παρόχους υπηρεσιών πιστοποίησης που εκδίδουν αναγνωρισμένα πιστοποιητικά

Οι πάροχοι υπηρεσιών πιστοποίησης πρέπει:

α) να αποδεικνύουν την απαραίτητη αξιοπιστία για την παροχή υπηρεσιών πιστοποίησης·

β) να διασφαλίζουν την παροχή ασφαλών και άμεσων υπηρεσιών καταλόγου και ανάκλησης·

γ) να διασφαλίζουν ότι η ημερομηνία και ο χρόνος έκδοσης ή ανάκλησης πιστοποιητικού μπορεί να προσδιοριστεί επακριβώς·

δ) να προβαίνουν, με κατάλληλα μέσα και σύμφωνα με το εθνικό δίκαιο, σε επαλήθευση, της ταυτότητας και ενδεχομένως, τυχόν ειδικών χαρακτηριστικών του ατόμου στο όνομα του οποίου έχει εκδοθεί αναγνωρισμένο πιστοποιητικό·

ε) να απασχολούν προσωπικό που διαθέτει την εμπειρογνωμοσύνη, την εμπειρία και τα προσόντα που είναι απαραίτητα για τις παρεχόμενες υπηρεσίες, ιδίως ικανότητα σε διαχειριστικό επίπεδο, εμπειρογνωμοσύνη στην τεχνολογία ηλεκτρονικών υπογραφών και εξοικείωση με τις κατάλληλες διαδικασίες ασφαλείας· πρέπει επίσης να χρησιμοποιούν κατάλληλες διοικητικές και διαχειριστικές διαδικασίες οι οποίες να αντιστοιχούν προς αναγνωρισμένα πρότυπα·

στ) να χρησιμοποιούν αξιόπιστα συστήματα και προϊόντα τα οποία προστατεύονται έναντι τροποποίησης και διασφαλίζουν την τεχνική και κρυπτογραφική ασφάλεια των διεργασιών πιστοποίησης οι οποίες υποστηρίζονται από αυτά·

ζ) να λαμβάνουν μέτρα έναντι της πλαστογράφησης πιστοποιητικών και, σε περίπτωση που ο πάροχος υπηρεσιών πιστοποίησης παράγει δεδομένα δημιουργίας υπογραφής, να εγγυώνται την τήρηση του απορρήτου κατά τη διάρκεια της διεργασίας παραγωγής των εν λόγω δεδομένων·

η) να διαθέτουν επαρκείς χρηματικούς πόρους ώστε να λειτουργούν σύμφωνα με τις απαιτήσεις που καθορίζονται στην οδηγία, ιδίως για την ανάληψη της ευθύνης ζημιών, π.χ. με τη σύναψη κατάλληλης ασφάλισης·

θ) να καταγράφουν το σύνολο των συναφών πληροφοριών που αφορούν ένα αναγνωρισμένο για κατάλληλη χρονική περίοδο, ιδίως για την παροχή αποδεικτικών στοιχείων πιστοποίησης σε νομικές διαδικασίες. Η καταγραφή αυτή δύναται να πραγματοποιείται με ηλεκτρονικά μέσα·

ι) να μην αποθηκεύουν δεδομένα δημιουργίας υπογραφής του ατόμου προς το οποίο ο πάροχος υπηρεσιών πιστοποίησης παρέσχε υπηρεσίες διαχείρισης κλειδιών·

ια) προτού συνάψουν συμβατική σχέση με πρόσωπο που ζητά πιστοποιητικό από αυτούς για να κατοχυρώσει την ηλεκτρονική του υπογραφή, να το ενημερώνουν με ανθεκτικά μέσα επικοινωνίας σχετικά με τους ακριβείς όρους και προϋποθέσεις χρησιμοποίησης του πιστοποιητικού, της ύπαρξης μηχανισμού εθελοντικής διαπίστευσης και των διαδικασιών υποβολής παραπόνων και επίλυσης διαφορών. Οι πληροφορίες αυτές, οι οποίες δύνανται να διαβιβάζονται ηλεκτρονικώς, πρέπει να παρέχονται εγγράφως, σε εύκολα καταληπτή γλώσσα. Σχετικά αποσπάσματα των πληροφοριών αυτών καθίστανται επίσης προσιτά κατόπιν αιτήματος τρίτων οι οποίοι βασίζονται στο πιστοποιητικό αυτό·

ιβ) να χρησιμοποιούν αξιόπιστα συστήματα για την αποθήκευση πιστοποιητικών σε επαληθεύσιμη μορφή, ούτως ώστε:

- μόνον αρμόδιοι να μπορούν να διενεργούν εισαγωγές και τροποποιήσεις,

- να μπορεί να ελέγχεται η γνησιότητα των πληροφοριών,

- να είναι δυνατή η κοινόχρηστη ανάκτηση πιστοποιητικών μόνον στις περιπτώσεις εκείνες για τις οποίες έχει δοθεί η συγκατάθεση του κατόχου, και

- οι τυχόν τεχνικές αλλαγές που θέτουν σε κίνδυνο τις εν λόγω αιτήσεις ασφαλείας να γίνονται εμφανώς αντιληπτές από τον χειριστή.

ΠΑΡΑΡΤΗΜΑ ΙΙΙ

Απαιτήσεις για ασφαλείς διατάξεις δημιουργίας υπογραφής

1. Οι ασφαλείς διατάξεις δημιουργίας υπογραφής πρέπει, μέσω ενδεδειγμένων τεχνικών και διαδικαστικών μέσων, να διασφαλίζουν τουλάχιστον, ότι:

α) τα δεδομένα δημιουργίας υπογραφής που χρησιμοποιούνται προς παραγωγή υπογραφών απαντούν κατ' ουσίαν μόνο μια φορά και ότι το απόρρητο είναι διασφαλισμένο·

β) τα δεδομένα δημιουργίας υπογραφής που χρησιμοποιούνται προς παραγωγή υπογραφών δεν μπορούν, με εύλογη βεβαιότητα, να αντληθούν από αλλού και ότι η υπογραφή προστατεύεται από πλαστογραφία με τα μέσα της σύγχρονης τεχνολογίας·

γ) τα δεδομένα δημιουργίας υπογραφής που χρησιμοποιούνται προς παραγωγή υπογραφών μπορούν να προστατεύονται αποτελεσματικά από τον νόμιμο υπογράφοντα κατά της χρησιμοποίησης από τρίτους.

2. Οι ασφαλείς διατάξεις δημιουργίας υπογραφής δεν μεταβάλλουν τα προς υπογραφή δεδομένα ούτε εμποδίζουν την υποβολή των δεδομένων αυτών στον υπογράφοντα πριν από τη διαδικασία υπογραφής.

ΠΑΡΑΡΤΗΜΑ IV

Συστάσεις για την ασφαλή επαλήθευση της υπογραφής

Κατά τη διαδικασία επαλήθευσης της υπογραφής θα πρέπει να διασφαλίζεται, με εύλογη βεβαιότητα, ότι:

α) τα δεδομένα που χρησιμοποιούνται προς επαλήθευση της υπογραφής αντιστοιχούν στα δεδομένα που εμφανίζονται στον επαληθεύοντα·

β) η υπογραφή επαληθεύεται με αξιοπιστία και ότι το αποτέλεσμα της επαλήθευσης εμφανίζεται με τον ορθό τρόπο·

γ) ο επαληθεύων μπορεί, ενδεχομένως, να ορίσει με βεβαιότητα τα περιεχόμενα των δεδομένων που υπογράφονται·

δ) η γνησιότητα και η εγκυρότητα του πιστοποιητικού που απαιτείται κατά τη στιγμή της επαλήθευσης της υπογραφής έχουν ελεγχθεί με αξιοπιστία·

ε) το αποτέλεσμα της επαλήθευσης όπως και η ταυτότητα του υπογράφοντος εμφανίζονται με τον ορθό τρόπο·

στ) η χρησιμοποίηση ψευδωνύμου δηλώνεται εμφανώς, και

ζ) μπορούν να εντοπιστούν τροποποιήσεις απτόμενες της ασφάλειας.