EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32011D0130
2011/130/EU: Commission Decision of 25 February 2011 establishing minimum requirements for the cross-border processing of documents signed electronically by competent authorities under Directive 2006/123/EC of the European Parliament and of the Council on services in the internal market (notified under document C(2011) 1081) Text with EEA relevance
2011/130/EL: Komisjoni otsus, 25. veebruar 2011 , millega kehtestatakse pädevate asutuste poolt elektrooniliselt allkirjastatud dokumentide piiriülese töötlemise miinimumnõuded vastavalt Euroopa Parlamendi ja nõukogu direktiivile 2006/123/EÜ teenuste kohta siseturul (teatavaks tehtud numbri K(2011) 1081 all) EMPs kohaldatav tekst
2011/130/EL: Komisjoni otsus, 25. veebruar 2011 , millega kehtestatakse pädevate asutuste poolt elektrooniliselt allkirjastatud dokumentide piiriülese töötlemise miinimumnõuded vastavalt Euroopa Parlamendi ja nõukogu direktiivile 2006/123/EÜ teenuste kohta siseturul (teatavaks tehtud numbri K(2011) 1081 all) EMPs kohaldatav tekst
OJ L 53, 26.2.2011, p. 66–72
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 13 Volume 048 P. 84 - 90
In force: This act has been changed. Current consolidated version: 01/12/2014
|
26.2.2011 |
ET |
Euroopa Liidu Teataja |
L 53/66 |
KOMISJONI OTSUS,
25. veebruar 2011,
millega kehtestatakse pädevate asutuste poolt elektrooniliselt allkirjastatud dokumentide piiriülese töötlemise miinimumnõuded vastavalt Euroopa Parlamendi ja nõukogu direktiivile 2006/123/EÜ teenuste kohta siseturul
(teatavaks tehtud numbri K(2011) 1081 all)
(EMPs kohaldatav tekst)
(2011/130/EL)
EUROOPA KOMISJON,
võttes arvesse Euroopa Liidu toimimise lepingut,
võttes arvesse Euroopa Parlamendi ja nõukogu 12. detsembri 2006. aasta direktiivi 2006/123/EÜ teenuste kohta siseturul, (1) eriti selle artiklit 8 lõiget 3,
ning arvestades järgmist:
|
(1) |
Teenuseosutajad, kelle teenused kuuluvad direktiivi 2006/123/EÜ reguleerimisalasse, peavad olema võimelised teostama ühtsete kontaktpunktide ja elektrooniliste vahendite kaudu menetlusi ja toiminguid, mis on vajalikud nende teenustele juurdepääsuks ja teenuste osutamiseks. Direktiivi 2006/123/EÜ artikli 5 lõike 3 kohaselt võib ikka veel esineda juhtumeid, kus teenuseosutaja peab esitama nende menetluste ja toimingute teostamisel originaaldokumente, tõestatud koopiaid või kinnitatud tõlkeid. Neil juhtudel võib teenuseosutajatel olla tarvis esitada dokumente, mille pädevad asutused on allkirjastanud elektrooniliselt. |
|
(2) |
Kvalifitseeritud sertifikaadil põhinevate täiustatud elektrooniliste allkirjade piiriülest kasutamist on lihtsustatud komisjoni 16. oktoobri 2009. aasta otsusega 2009/767/EÜ, millega kehtestatakse meetmed elektrooniliste haldustoimingute kasutamise lihtsustamiseks ühtsete kontaktpunktide kaudu, mis on sätestatud Euroopa Parlamendi ja nõukogu direktiivis 2006/123/EÜ teenuste kohta siseturul, (2) millega seatakse liikmesriikidele muu hulgas kohustus viia enne teenuseosutajatelt elektrooniliste allkirjade nõudmist läbi riskianalüüs, ning kehtestatakse reeglid kvalifitseeritud sertifikaadil põhinevate, turvalise allkirja andmise vahendiga või ilma selleta genereeritud täiustatud elektrooniliste allkirjade vastuvõtmiseks liikmesriikide poolt. Samas ei käsitleta otsuses 2009/767/EÜ elektrooniliste allkirjade vorminguid nendes pädevate asutuste väljastatavates dokumentides, mille teenuseosutajad peavad vastavate menetluste ja toimingute teostamisel esitama. |
|
(3) |
Kuna praegu kasutavad liikmesriikide pädevad asutused oma dokumentide elektrooniliseks allkirjastamiseks erinevaid täiustatud elektroonilise allkirja vorminguid, võib liikmesriikidel, kellele need dokumendid saadetakse ja kes peavad neid töötlema, tekkida kasutatavate allkirjavormingute erinevuse tõttu tehnilisi raskusi. Selleks et võimaldada teenuseosutajatel teostada oma menetlusi ja toiminguid piiriüleselt elektrooniliste vahendite kaudu, on vaja tagada, et liikmesriikide süsteemid toetaksid tehniliselt vähemalt teatavat hulka täiustatud elektroonilise allkirja vorminguid, kui neile saadetakse teiste liikmesriikide pädevate asutuste poolt elektrooniliselt allkirjastatud dokumente. Kui määratleda teatud hulk täiustatud elektroonilise allkirja vorminguid, mida saaja-liikmesriigi süsteemid peavad tehniliselt toetama, võimaldaks see ulatuslikumat automatiseerimist ja parandaks elektrooniliste menetluste piiriülest koostalitlusvõimet. |
|
(4) |
On võimalik, et liikmesriigid, kelle pädevad asutused kasutavad muid elektroonilise allkirja vorminguid kui üldiselt toetatavad vormingud, on juurutanud verifitseerimisvahendid, mis võimaldavad nende allkirjade verifitseerimist ka piiriüleselt. Kui see on nii, on vaja teha teave nende verifitseerimisvahendite kohta kergesti ligipääsetaval viisil kättesaadavaks, et liikmesriigid, kellele dokumente saadetakse, saaksid neid vahendeid kasutada, välja arvatud juhul, kui vajalik teave sisaldub juba saadetavates elektroonilistes dokumentides, elektroonilistes allkirjades või elektrooniliste dokumentide kandjates. |
|
(5) |
Käesolev otsus ei mõjuta liikmesriikide õigust määrata, mis kujutab endast originaali, mis tõestatud koopiat ja mis kinnitatud tõlget. Otsuse eesmärk on piiratud sellega, et lihtsustada elektrooniliste allkirjade verifitseerimist sel juhul, kui neid kasutatakse originaalidel, tõestatud koopiatel või kinnitatud tõlgetel, mille teenuseosutajad peavad ühtsete kontaktpunktide kaudu esitama. |
|
(6) |
Võimaldamaks liikmesriikidel vajalikud tehnilised vahendid juurutada, on mõistlik, et seda otsust kohaldatakse alates 1. augustist 2011. |
|
(7) |
Käesoleva otsusega ette nähtud meetmed on kooskõlas teenuste direktiivi komitee arvamusega, |
ON VASTU VÕTNUD KÄESOLEVA OTSUSE:
Artikkel 1
Elektroonilise allkirja standardvormingud
1. Liikmesriigid juurutavad vajalikud tehnilised vahendid, mis võimaldavad neil töödelda elektrooniliselt allkirjastatud dokumente, mida teenuseosutajad ühtsete kontaktpunktide kaudu menetlusi ja toiminguid teostades esitavad, nagu ette nähtud direktiivi 2006/123/EÜ artikliga 8, ja mis on allkirjastatud teiste liikmesriikide pädevate asutuste poolt BES- või EPES-vormingus XMLi või CMSi või PDFi täiustatud elektrooniliste allkirjadega, mis vastavad lisas sätestatud tehnilistele kirjeldustele.
2. Liikmesriigid, kelle pädevates asutustes allkirjastatakse lõikes 1 osutatud dokumente, kasutades muid elektroonilise allkirja vorminguid kui samas lõikes osutatud vormingud, teavitavad komisjoni olemasolevatest verifitseerimisvõimalustest, mis võimaldavad teistel liikmesriikidel laekunud elektroonilisi allkirju interneti teel, tasuta ja kasutatud keelt emakeelena mittekõnelevale inimesele arusaadaval viisil verifitseerida, välja arvatud juhul, kui nõutav teave sisaldub juba saadetavas dokumendis, elektroonilises allkirjas või elektroonilises dokumendikandjas. Komisjon teeb selle teabe kättesaadavaks kõigile liikmesriikidele.
Artikkel 2
Kohaldamine
Käesolevat otsust kohaldatakse alates 1. augustist 2011.
Artikkel 3
Adressaadid
Käesolev otsus on adresseeritud liikmesriikidele.
Brüssel, 25. veebruar 2011
Komisjoni nimel
komisjoni liige
Michel BARNIER
(1) ELT L 376, 27.12.2006, lk 36.
(2) ELT L 274, 20.10.2009, lk 36.
LISA
XMLi, CMSi või PDFi täiustatud elektrooniliste allkirjade spetsifikaadid – elektroonilised allkirjad, mida saaja-liikmesriigi süsteemid peavad tehniliselt toetama
Dokumendi järgnevas osas tuleb võtmesõnu „PEAB”, „EI TOHI”, „NÕUTAV”, „TULEB”, „EI TULE”, „PEAKS”, „EI PEAKS”, „SOOVITATAV”, „VÕIB” ja „VALIKULINE” tõlgendada niiviisi, nagu kirjeldatud dokumendis RFC 2119 (1).
PUNKT 1. XAdES-BES/EPES
Allkiri vastab W3C XMLi allkirja spetsifikaadile (2).
Allkiri PEAB olema vähemalt XAdES-BESi (või -EPESi) allkirja vormis, nagu kirjeldatud ETSI TS 101 903 XAdESi spetsifikaadis, (3) ning vastab kõigile järgmistele täiendavatele spetsifikaatidele.
|
|
Meetod ds:CanonicalizationMethod, mis määrab kindlaks kanoniseerimise algoritmi, mida rakendatakse SignedInfo-elemendile enne allkirja arvutuste teostamist, on ainult üks järgmistest algoritmidest:
|
|
|
Teisi algoritme ega ülal loetletud algoritmide „Kommentaaridega” versioone EI PEAKS allkirja loomiseks kasutatama, kuid allkirjade verifitseerimisel PEAKS neid toetatama, et tagada koostalitlusvõime varem kasutatud algoritmide osas. |
|
|
MD5 (RFC 1321)-d EI TOHI kasutada räsialgoritmina. Allkirja andjatel soovitatakse tutvuda kohaldatavate riigisiseste seadustega ning juhiste saamiseks dokumendiga ETSI TS 102 176 (4) ning täiendavate soovituste saamiseks elektronallkirjade puhul lubatavate algoritmide ja parameetrite kohta raportiga ECRYPT2 D.SPA.x (5). |
Transformidest võib kasutada ainult järgmisi.
|
|
Kanoniseerimise transformid: vt ülal esitatud seonduvaid spetsifikaate |
|
|
Base64 kodeerimine (http://www.w3.org/2000/09/xmldsig#base64) |
|
|
Filtreerimine XPath (http://www.w3.org/TR/1999/REC-xpath-19991116): ühilduvuse jaoks ning vastavuseks XMLDSig’iga. XPath Filter 2.0 (http://www.w3.org/2002/06/xmldsig-filter2): järglasena XPath’ile töökindluse jaoks. |
|
|
Ümbrikusse pandud allkirja transform: (http://www.w3.org/2000/09/xmldsig#enveloped-signature). |
|
|
XSLT (laaditabel) transform. |
Element ds:KeyInfo PEAB sisaldama allkirjastaja X.509 v3 digitaalset sertifikaati (st selle väärtust ja mitte ainult viidet sellele).
„SigningCertificate’i” allkirjastatud allkirjavara PEAB sisaldama räsiväärtust (CertDigest) ja allkirjastaja sertifikaadi seerianumbrit (IssuerSerial), mis on talletatud elemendis ds:KeyInfo, ning valikulist URI väljal „SigningCertificate” EI TOHI kasutada.
SigningTime’i allkirjastatud allkirjavara on olemas ja sisaldab UTC-d, mis on väljendatud kujul xsd:dateTime (http://www.w3.org/TR/xmlschema-2/#dateTime).
Element DataObjectFormat PEAB olema olemas ja sisaldama MimeType’i alamelementi.
Juhul kui liikmesriikide kasutatavad allkirjad põhinevad kvalifitseeritud sertifikaadil, on allkirjas sisalduvad PKI-objektid (sertifikaadi ahelad, kehtivusinfo, ajatemplid) verifitseeritavad vastavalt otsusele 2009/767/EÜ, kasutades selle liikmesriigi usaldusnimekirja, kes teostab järelevalvet selle sertifitseerimisteenuse osutaja üle või akrediteerib seda sertifitseerimisteenuse osutajat, kes allkirjastaja sertifikaadi väljastas.
Tabelis 1 on esitatud kokkuvõtlikult spetsifikaadid, millele XAdES-BES/EPES-allkiri peab vastama, et saaja-liikmesriigi süsteemid seda tehniliselt toetaksid.
Tabel 1
PUNKT 2. CAdES-BES/EPES
Allkiri vastab Cryptographic Message Syntaxi (CMS) allkirja spetsifikaadile (6).
Allkiri kasutab CAdES-BESi (või -EPESi) allkirja atribuute, nagu kirjeldatud ETSI TS 101 733 CAdESi spetsifikaadis, (7) ning vastab täiendavatele spetsifikaatidele, nagu esitatud allpool tabelis 2.
Kõik CAdESi atribuudid, mis sisalduvad arhiivi ajatempli räsikalkulatsioonis (ETSI TS 101 733 V1.8.1 lisa K), PEAVAD olema DER-krüpteeringus ja mis tahes muud atribuudid võivad olla BERis, et lihtsustada CAdESi ühekäigulist töötlemist.
MD5 (RFC 1321) EI TOHI kasutada räsialgoritmina. Allkirja andjatel soovitatakse tutvuda kohaldatavate riigisiseste seadustega ning juhiste saamiseks dokumendiga ETSI TS 102 176 (8) ning täiendavate soovituste saamiseks elektronallkirjade puhul lubatavate algoritmide ja parameetrite kohta raportiga ECRYPT2 D.SPA.x (9).
Allkirjastatud atribuudid PEAVAD sisaldama viidet allkirjastaja X.509 v3 digitaalsele sertifikaadile (RFC 5035) ning väli „SignedData.certificates” PEAB sisaldama selle väärtust;
Allkirjastatud atribuut SigningTime PEAB olema olemas ja PEAB sisaldama UTCd, mis on väljendatud nagu lehel http://tools.ietf.org/html/rfc5652#section-11.3.
Allkirjastatud atribuut ContentType PEAB olema olemas ning sisaldab id-andmeid (http://tools.ietf.org/html/rfc5652#section-4), kus andmete sisu tüüp on mõeldud osutamaks suvalistele oktett-stringidele, nagu UTF-8 tekst või ZIP-konteiner koos MimeType’i alamelemendiga.
Juhul kui liikmesriikide kasutatavad allkirjad põhinevad kvalifitseeritud sertifikaadil, on allkirjas sisalduvad PKI-objektid (sertifikaadi ahelad, kehtivusinfo, ajatemplid) verifitseeritavad vastavalt otsusele 2009/767/EÜ, kasutades selle liikmesriigi usaldusnimekirja, kes teostab järelevalvet selle sertifitseerimisteenuse osutaja üle või akrediteerib seda sertifitseerimisteenuse osutajat, kes allkirjastaja sertifikaadi väljastas.
Tabel 2
PUNKT 3. PAdES-PART 3 (BES/EPES)
Allkirjas PEAB olema kasutatud PAdES-BESi (või -EPESi) allkirja laiendit, nagu kirjeldatud ETSI TS 102 778 PAdES-Part3 spetsifikaadis, (10) ning see vastab järgmistele täiendavatele spetsifikaatidele.
MD5 (RFC 1321) EI TOHI kasutada räsialgoritmina. Allkirja andjatel soovitatakse tutvuda kohaldatavate riigisiseste seadustega ning juhiste saamiseks dokumendiga ETSI TS 102 176 (11) ning täiendavate soovituste saamiseks elektronallkirjade puhul lubatavate algoritmide ja parameetrite kohta raportiga ECRYPT2 D.SPA.x (12).
Allkirjastatud atribuudid PEAVAD sisaldama viidet allkirjastaja X.509 v3 digitaalsele sertifikaadile (RFC 5035) ning väli „SignedData.certificates” PEAB sisaldama selle väärtust.
Allkirjastamise aega näitab allkirja sõnastikus kirje M väärtus.
Juhul kui liikmesriikide kasutatavad allkirjad põhinevad kvalifitseeritud sertifikaadil, on allkirjas sisalduvad PKI-objektid (sertifikaadi ahelad, kehtivusinfo, ajatemplid) verifitseeritavad vastavalt otsusele 2009/767/EÜ, kasutades selle liikmesriigi usaldusnimekirja, kes teostab järelevalvet selle sertifitseerimisteenuse osutaja üle või akrediteerib seda sertifitseerimisteenuse osutajat, kes allkirjastaja sertifikaadi väljastas.
(1) IETF RFC 2119: „Key words for use in RFCs to indicate Requirements Levels”.
(2) W3C, XML Signature Syntax and Processing, (Version 1.1), http://www.w3.org/TR/xmldsig-core1/.
W3C, XML Signature Syntax and Processing, (Second Edition), http://www.w3.org/TR/xmldsig-core/.
W3C, XML Signature Best Practices, http://www.w3.org/TR/xmldsig-bestpractices/.
(3) ETSI TS 101 903 v1.4.1: XML Advanced Electronic Signatures (XAdES).
(4) ETSI TS 102 176: Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms; Part 2: „Secure channel protocols and algorithms for signature creation devices”.
(5) Viimane versioon on D.SPA.13 ECRYPT2 Yearly Report on Algorithms and Key sizes (2009-2010), 30. märts 2010 (http://www.ecrypt.eu.org/documents/D.SPA.13.pdf).
(6) IETF, RFC 5652, Cryptographic Message Syntax (CMS), http://tools.ietf.org/html/rfc5652.
IETF, RFC 5035, Enhanced Security Services (ESS) Update: Adding CertID Algorithm Agility, http://tools.ietf.org/html/rfc5035.
IETF, RFC 3161, Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP), http://tools.ietf.org/html/rfc3161.
(7) ETSI TS 101 733 v.1.8.1: CMS Advanced Electronic Signatures (CAdES).
(8) ETSI TS 102 176: Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms; Part 2: „Secure channel protocols and algorithms for signature creation devices”.
(9) Viimane versioon on D.SPA.13 ECRYPT2 Yearly Report on Algorithms and Key sizes (2009-2010), 30. märts 2010 (http://www.ecrypt.eu.org/documents/D.SPA.13.pdf).
(10) ETSI TS 102 778-3 v1.2.1: PDF Advanced Electronic Signatures (PAdES), PAdES Enhanced – PAdES-Basic Electronic Signatures and PAdES-Explicit Policy Electronic Signatures Profiles.
(11) ETSI TS 102 176: Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms; Part 2: „Secure channel protocols and algorithms for signature creation devices”.
(12) Viimane versioon on D.SPA.13 ECRYPT2 Yearly Report on Algorithms and Key sizes (2009-2010), 30. märts 2010 (http://www.ecrypt.eu.org/documents/D.SPA.13.pdf).