Sähköinen allekirjoitus EU:ssa

Tällä direktiivillä luodaan Euroopan laajuinen oikeudellinen kehys sähköisille allekirjoituksille ja varmennepalvelujen tarjoajien tunnustamiselle. Tavoitteena on

—	tehdä sähköisistä allekirjoituksista helppokäyttöisempiä ja

—	tehdä niistä laillisesti tunnustettuja kaikissa EU-maissa.

SÄÄDÖS

Euroopan parlamentin ja neuvoston direktiivi 1999/93/EY, annettu 13 päivänä joulukuuta 1999, sähköisiä allekirjoituksia koskevista yhteisön puitteista.

TIIVISTELMÄ

Direktiivissä määritellään edellytykset sähköisten allekirjoitusten lailliselle tunnustamiselle. Painopisteenä on varmennepalvelujen tarjoajia koskeva sääntely. Direktiivissä säädetään

—	varmennepalvelujen tarjoajia koskevat yleiset vaatimukset rajat ylittävien sähköisten allekirjoitusten ja varmenteiden tunnustamiseksi koko Euroopan unionissa (EU)

—	vastuuvelvollisuutta koskevat yleiset säännöt varmenteisiin tukeutuvien käyttäjien luottamuksen lisäämiseksi

—	yhteistyömenettelyt helpottamaan sähköisten allekirjoitusten ja varmenteiden rajat ylittävää tunnustamista EU:n ulkopuolisissa maissa.

Direktiivissä määritellään uusia käsitteitä:

—	sähköinen allekirjoitus: sähköisessä muodossa olevaa tietoa, joka on liitetty tai yhdistetty loogisesti muuhun sähköiseen tietoon ja jota käytetään todentamiseen.

—

kehittynyt sähköinen allekirjoitus, joka täyttää seuraavat vaatimukset:

—	se liittyy yksiselitteisesti allekirjoittajaansa

—	sillä voidaan yksilöidä allekirjoittaja

—	se on luotu keinoilla, jotka allekirjoittaja voi pitää yksinomaisessa valvonnassaan

—	se on liitetty varmennettavaan sähköiseen asiakirjaan. Näin varmistetaan, että tiedon myöhempi muuttaminen pystytään havaitsemaan.

—

hyväksytty varmenne, jossa on oltava

—	tieto siitä, että se on myönnetty hyväksyttynä varmenteena

—	varmennepalvelun tarjoajan tunniste

—	allekirjoittajan nimi

—	mahdollisuus sisällyttää erityinen lisätieto varmenteeseen, kuten allekirjoittajan syntymäaika (varmenteen aiotun käyttötarkoituksen mukaan)

—	allekirjoituksen todentamiseen käytettävät tiedot: näiden on vastattava allekirjoituksen luomisessa käytettyjä tietoja, jotka ovat allekirjoittajan valvonnassa

—	varmenteen voimassaoloajan alkamis- ja päättymispäivät

—	varmenteen tunnuskoodi

—	varmenteen myöntävän varmennepalvelujen tarjoajan kehittynyt sähköinen allekirjoitus.

Varmenteen on oltava direktiivissä säädetyt erityisvaatimukset täyttävän varmennepalvelun tarjoajan myöntämä.

Markkinoille pääsy

EU-maat eivät saa tehdä varmennepalvelujen tarjonnasta millään tavoin luvanvaraista.

EU-maat voivat luoda omat järjestelmänsä, joilla kannustetaan varmentamiseen tiettyjen lisäominaisuuksien avulla. Valtiot eivät saa rajoittaa akkreditoitujen varmennepalvelujen tarjoajien määrää. Myöskään toisesta EU-maasta peräisin olevien varmennepalvelujen tarjoajien toimintaa ei saa rajoittaa.

EU-maat voivat asettaa mahdollisia lisävaatimuksia sähköisten allekirjoitusten käytölle julkisella sektorilla. Vaatimusten on oltava objektiivisia, avoimia, suhteellisia ja syrjimättömiä.

Sähköisten allekirjoitusten oikeusvaikutukset

Hyväksyttyyn varmenteeseen perustuvia kehittyneitä sähköisiä allekirjoituksia voidaan pitää käsin kirjoitettujen allekirjoitusten kanssa oikeudellisesti samanarvoisina ainoastaan, jos käsin kirjoitetuille allekirjoituksille asetetut vaatimukset täyttyvät. (Tällaista allekirjoitusta kutsutaan ”hyväksytyksi sähköiseksi allekirjoitukseksi”. Vaikka käsitettä kuvaillaan direktiivissä, sitä ei varsinaisesti määritellä). Se kelpaa todisteeksi myös oikeudellisissa menettelyissä.

Sähköistä allekirjoitusta ei saa evätä todisteena oikeudellisissa menettelyissä yksinomaan sen vuoksi, että

—	allekirjoitus on sähköisessä muodossa

—	se ei perustu hyväksyttyyn varmenteeseen

—	sitä ei ole luotu turvallisella allekirjoituksen luomismenetelmällä.

Vastuu

EU-maiden on varmistettava, että myöntäessään hyväksyttyjä varmenteita varmennepalvelun tarjoaja ottaa tiettyjä vastuita. Näihin kuuluu vastuu varmenteeseen tukeutuvalle henkilölle tai yhteisölle aiheutuvista vahingoista seuraavien seikkojen osalta:

—	hyväksytyssä varmenteessa olevien tietojen paikkansapitävyys sen myöntämisajankohtana

—	varmuus siitä, että varmenteessa on kaikki tarvittavat hyväksyttyjä varmenteita koskevat tiedot myöntämisajankohtana ja että varmenteen allekirjoittaja on sama henkilö, jolle se on myönnetty.

Varmennepalvelujen tarjoajalla on mahdollisuus asettaa rajoitus niiden toimien arvolle, joihin varmennetta voidaan käyttää. Rajoitukset on annettava tiedoksi kolmansille osapuolille. Varmennepalvelujen tarjoaja ei ole vastuussa vahingosta, joka aiheutuu siitä, että varmenteen enimmäisrajoitus ylitetään.

Kansainväliset näkökohdat

EU-maiden on varmistettava, että EU:n ulkopuolelle sijoittautuneen varmennepalvelujen tarjoajan hyväksytyt varmenteet ja sähköiset allekirjoitukset tunnustetaan oikeusvaikutuksiltaan vastaaviksi. Edellytyksenä on tiettyjen luotettavuuteen perustuvien ehtojen täyttyminen:

—	EU:n ulkopuolelle sijoittautuneet varmennepalvelujen tarjoajat täyttävät tämän direktiivin vaatimukset ja ovat mukana jonkin EU-maan vapaaehtoisuuteen perustuvassa akkreditointijärjestelmässä tai

—	direktiivin vaatimukset täyttävä EU-maahan sijoittautunut varmennepalvelujen tarjoaja takaa, että EU:n ulkopuolisessa maassa toimivan varmennepalvelujen tarjoajan varmenteet vastaavat sen omia varmenteita.

Euroopan komissio voi antaa ehdotuksia varmistaakseen, että kansainväliset standardit ja sopimukset pannaan täytäntöön täysimittaisesti.

Tietosuoja

EU-maiden on varmistettava, että varmennepalveluiden tarjoajat ja akkreditoinnista tai valvonnasta vastaavat kansalliset viranomaiset noudattavat henkilötietosuojasta annettua direktiiviä 95/46/EY.

Uuden sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista annetun asetuksen (eIDAS) soveltaminen

eIDAS-asetus (asetus (EU) N:o 910/2014) annettiin vuonna 2014. Asetus astui voimaan 17.9.2014 ja sitä sovelletaan 1.7.2016 alkaen, lukuun ottamatta tiettyjä säännöksiä, jotka on mainittu sen 52 artiklassa. Asetuksella (EU) N:o 910/2014 kumotaan direktiivi 1999/93/EY 30.6.2016 alkaen.

Lisätietoa on saatavana Euroopan digitaalistrategiaa käsittelevältä Euroopan komission verkkosivustolta kohdasta”Luottamuspalvelut”.

VIITTEET

Säädös	Voimaantulo	Täytäntöönpanon määräaika jäsenvaltioissa	Euroopan unionin virallinen lehti
Direktiivi 1999/93/EY	19.1.2000	18.7.2001	EYVL L 13, 19.1.2000, s. 12-20

Direktiiviin 1999/93/EY tehdyt peräkkäiset muutokset ja korjaukset on sisällytetty perussäädökseen. Konsolidoitu toisinto on tarkoitettu ainoastaan viitteeksi.

MUUT ASIAAN LIITTYVÄT ASIAKIRJAT

Komission tiedonanto neuvostolle, Euroopan parlamentille, Euroopan talous- ja sosiaalikomitealle sekä alueiden komitealle - Sähköisiä allekirjoituksia ja sähköistä tunnistusta koskeva toimintasuunnitelma rajatylittävien julkisten palveluiden tarjonnan helpottamiseksi yhtenäismarkkinoilla (KOM(2008) 798 lopullinen, 28.11.2008).

Tiedonannossa komissio ehdottaa toimintasuunnitelmaa, jonka tavoitteena on auttaa jäsenvaltioita toteuttamaan vastavuoroisesti tunnustettuja ja yhteentoimivia sähköisten allekirjoitusten sekä sähköisen tunnistuksen ratkaisuja, jotta rajatylittävien julkisten palvelujen tarjoamista sähköisessä ympäristössä voitaisiin helpottaa. Tämä on olennaista yhtenäismarkkinoiden pirstoutumisen välttämiseksi.

Toimintasuunnitelman toimet jaetaan kahteen osaan:

—	toimet, joilla tähdätään hyväksyttyjen ja kehittyneiden sähköisten allekirjoitusten tunnistamisen rajatylittävän yhteentoimivuuden parantamiseen

—	toimet, joilla parannetaan sähköisen identiteetin rajatylittävää yhteentoimivuutta.

Komission kertomus Euroopan parlamentille ja neuvostolle - Kertomus sähköisiä allekirjoituksia koskevista yhteisön puitteista annetun direktiivin 1999/93/EY toteuttamisesta (KOM(2006) 120 lopullinen, 15.3.2006).

Kertomuksen mukaan EU-maat ovat ottaneet käyttöön direktiivin yleiset periaatteet.

Komissio toteaa, että EU-maiden saatettua direktiivin säännökset osaksi kansallista lainsäädäntöään sähköisistä allekirjoituksista on tullut oikeudellisesti päteviä. Näin ollen komissio katsoo, että direktiivin tavoitteet on täytetty eikä sitä ole syytä tässä vaiheessa tarkistaa. Komissio aikoo kuitenkin kuulla EU-maita ja asianosaisia sidosryhmiä, jotta monia erityisesti yhteensopivuuteen sekä teknisiin näkökulmiin ja standardointiasioihin liittyviä ongelmia voitaisiin ratkaista.

Komission päätös 2003/511/EY, tehty 14 päivänä heinäkuuta 2003, sähköisiin allekirjoituksiin liittyviä tuotteita koskevien yleisesti tunnustettujen standardien viitenumeroiden julkaisemisesta Euroopan parlamentin ja neuvoston direktiivin 1999/93/EY mukaisesti (EUVL L 175, 15.7.2003, s. 45-46).

Päätöksessä annetaan kolmen sähköisiin allekirjoituksiin liittyviä tuotteita koskevan yleisesti tunnustetun standardin viitenumerot, joiden noudattamisen perusteella tuotteiden voidaan olettaa olevan varmennetun sähköisen allekirjoituksen mukaisia.

Komission päätös 2000/709/EY, tehty 6 päivänä marraskuuta 2000, vähimmäisedellytyksistä, jotka jäsenvaltioiden on otettava huomioon nimetessään sähköisiä allekirjoituksia koskevista yhteisön puitteista annetun Euroopan parlamentin ja neuvoston direktiivin 1999/93/EY 3 artiklan 4 kohdan mukaisia laitoksia (EYVL L 289 , 16.11.2000, s. 42-43).

Päätöksessä vahvistetaan edellytykset, jotka EU-maiden on otettava huomioon nimetessään kansallisia laitoksia arvioimaan turvallisen allekirjoituksen luomismenetelmän vaatimustenmukaisuutta.

Viimeisin päivitys 09.01.2015